KR101473607B1 - Apparatus and Method for Access Control in a Virtual Private Network - Google Patents

Apparatus and Method for Access Control in a Virtual Private Network Download PDF

Info

Publication number
KR101473607B1
KR101473607B1 KR20140026979A KR20140026979A KR101473607B1 KR 101473607 B1 KR101473607 B1 KR 101473607B1 KR 20140026979 A KR20140026979 A KR 20140026979A KR 20140026979 A KR20140026979 A KR 20140026979A KR 101473607 B1 KR101473607 B1 KR 101473607B1
Authority
KR
South Korea
Prior art keywords
command
policy
access
client terminal
network
Prior art date
Application number
KR20140026979A
Other languages
Korean (ko)
Inventor
이종명
홍성호
Original Assignee
(주) 퓨전데이타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 퓨전데이타 filed Critical (주) 퓨전데이타
Priority to KR20140026979A priority Critical patent/KR101473607B1/en
Application granted granted Critical
Publication of KR101473607B1 publication Critical patent/KR101473607B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

The present invention relates to an apparatus and a method for controlling a virtual private network access. According to the present invention, a gateway server which is positioned in a neutral zone to control a client terminal of an external network device includes: a policy storage unit to store an access policy of an internal network; a command receiving unit to receive a command word from the client terminal, which accesses from the external network; a policy identifying unit to identify the stored policy with respect to the received command word; and an access controller to control an access to the internal network according to the identified policy. According to the present invention, even when an ID and a password are hacked and stealing of internal enterprise information is attempted, an access to the internal enterprise information having a possibility of being leaked can be prevented, an efficient extension of work is always guaranteed based on SSL VPN, and the internal enterprise information can be safely protected.

Description

가상 사설망 접근 제어장치 및 방법{Apparatus and Method for Access Control in a Virtual Private Network}Technical Field [0001] The present invention relates to a virtual private network access control apparatus and a virtual private network access control apparatus,

본 발명은 가상 사설망 접근 제어 장치 및 방법에 관한 것으로, 더욱 상세하게는 가상화 환경에서 가상 사설망 서비스의 보안을 강화하기 위한 접근 제어장치 및 이를 위한 방법에 관한 것이다.
The present invention relates to a virtual private network access control apparatus and method, and more particularly, to an access control apparatus and method for enhancing security of a virtual private network service in a virtualized environment.

이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The contents described in this section merely provide background information on the embodiment of the present invention and do not constitute the prior art.

가상화(Virtualization)란 물리적으로 다른 시스템을 논리적으로 통합하거나 반대로 하나의 시스템을 논리적으로 분할해 자원을 효율적으로 사용케 하는 기술을 말하며, 최근에는 서버나 PC에서도 이러한 기능이 절대적으로 요구되고 있다.Virtualization refers to a technology that physically integrates other systems logically, or conversely, one system is logically divided to make efficient use of resources. In recent years, such functions are absolutely required in servers and PCs.

가상화의 종류에는 어플리케이션 가상화, 데스크탑 가상화, 서버 가상화, 스토리지 가상화, 네트워크 가상화 등으로 구분될 수 있다. Types of virtualization can be divided into application virtualization, desktop virtualization, server virtualization, storage virtualization, and network virtualization.

어플리케이션 가상화는 사용자의 로컬PC에 필요한 어플리케이션을 매번 설치하지 않고도 가상화를 통해 제공하는 기술이다. 데스크탑 가상화는 기존 데스크탑 수준의 성능을 가진 가상머신들을 중앙의 서버에 생성하고 관리자에 의해 사용자들에게 할당하여, 사용자는 데스크탑이나 다양한 모바일 기기를 이용해 할당 받은 계정으로 인증하고 로그인하면 언제 어디서든 인터넷용 가상화 PC 또는 업무용 가상화 PC를 자신만의 가상 데스크탑처럼 사용할 수 있는 기술을 말한다.Application virtualization is a technology that virtualization provides without the need to install the applications required for users' local PCs. Desktop virtualization creates virtual machines with the performance of the existing desktop level on a central server and assigns them to users by the administrator. Users authenticate with their assigned accounts using the desktop or various mobile devices, Virtualization A technology that allows you to use your PC or business virtualization PC as your own virtual desktop.

네트워크 가상화의 예로는 가상 사설망(VPN, virtual private network) 서비스가 대표적이다. 가상 사설망 서비스란 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화기법을 제공하는 서비스로 기업 본사와 지사 또는 지사 간에 전용망을 설치한 것과 같은 효과를 거둘 수 있으며, 기존 사설망의 고비용 부담을 해소하기 위해 사용한다. 기업의 통신망과 인터넷서비스 제공자와 연결만 하면 되기 때문에 별도로 값비싼 장비나 소프트웨어를 구입하고 관리할 필요가 없어, 기존 전용선에 비해 비용 절감효과를 얻을 수 있다. 뿐만 아니라 사용자의 이동성 보장과 편리한 네트워크 구성 등이 장점이 있다. Examples of network virtualization are virtual private network (VPN) services. The virtual private network service is a service that provides a special communication system and encryption method to use the internet network as a private line, and it has the same effect as installing a private network between the corporate headquarters and branch offices or branch offices. It solves the high cost burden of the existing private network For use. Since it is only necessary to connect with the enterprise communication network and the Internet service provider, it is not necessary to purchase and manage expensive equipment or software separately, and it is possible to reduce the cost compared to the existing private line. In addition, it has advantages such as user's mobility guarantee and convenient network configuration.

하지만, 가상 사설망 서비스는 일반 공중망에서 사설망을 구축하여 운영하는 것이기 때문에 공중망에 존재하는 보안의 취약점을 보완할 수 있는 보안기술이 필수적으로 뒷받침되어야 한다. 가상 사설망 서비스 보안을 위한 기법으로는 전통적으로 IP 기반에서 구성되는 IPsec(IP Security) VPN을 예로 들 수 있다. 하지만, IPsec VPN 구성을 위해서는 반드시 security통신을 위한 VPN 장비가 구성되어 있어야 하며, NAT(Network Access Translation) 등에 대한 제약, 장비간 구성방법의 차이 등으로 어려운 점이 있었다.However, since the virtual private network service is constructed and operated by the private network in the public network, security technology that can compensate the security weakness in the public network must be supported. An example of a technique for securing virtual private network services is IPsec (IP Security) VPN, which is traditionally configured on an IP basis. However, in order to configure IPsec VPN, it is necessary to configure VPN equipment for security communication, and there are difficulties due to restriction on NAT (Network Access Translation) and difference in configuration method between devices.

이러한 단점이 보완된 SSL VPN(Secure Sockets Layer Virtual Private Network)은 서버를 두고 여러 클라이언트(PC, 스마트폰, thin client pc, 테블릿 pc, 노트북 등)들이 웹 브라우저를 통해 메인 서버에 접근하고 인증을 통과하면 사설망이 구성되는 방식이다. 기존의 IPsec이 network계층에서의 VPN이었다면 SSL은 전송계층, 어플리케이션 계층에서의 VPN 구성이다. 따라서 IPsec을 해줄 장비의 필요없이 언제 어디에서든 웹 브라우저로 인터넷 통신만 가능하다면 이동중에도 VPN 통신이 가능하게 되었다. SSL VPN (Secure Sockets Layer Virtual Private Network), which is complemented by these disadvantages, is a server that allows multiple clients (PCs, smart phones, thin client PCs, tablet PCs and notebooks) If you pass it, the private network is constructed. If the existing IPsec was a VPN at the network layer, SSL is a VPN configuration at the transport layer and the application layer. Therefore, VPN communication is possible on the move if Internet communication is possible with a web browser at any time, without the need for IPsec equipment.

SSL VPN이 도입됨에 따라서 언제 어디서나 효율적으로 업무의 연장성을 보장할 수 있게 되었으나, 그로 인하여 기업내부 정보유출 등의 보안위협이 문제되고 있다. 최근 정보도용 기법의 발달하고 있고, 특히 금융업 등의 경우 기업내부의 고객 개인정보 유출 등은 기업 이미지에도 심각한 타격을 주게 된다. With the introduction of SSL VPN, it has been possible to guarantee the extensibility of business efficiently anytime and anywhere. However, security threats such as leakage of internal information are becoming a problem. Recently, information stealing techniques have been developed. Especially, in the case of financial business, leakage of personal information of customers inside the company has a serious impact on the corporate image.

이에, 본 발명에서는, 전술한 기술적 제약을 해소시킬 수 있는 가상화 환경에서 보안이 강화하기 위한 가상 사설망 접근 제어장치 및 방법을 제안하고자 한다.
Accordingly, the present invention proposes a virtual private network access control apparatus and method for enhancing security in a virtualized environment that can overcome the above-described technical constraints.

한국공개특허 제10-2010-0033698, 2010년 3월 31일 공개(명칭:가상사설망 서비스방법 및 그 시스템)Korean Published Patent No. 10-2010-0033698, published on March 31, 2010 (name: virtual private network service method and system thereof)

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 전술한 목적을 달성하기 위한 본 발명의 일 양상은 가상화 환경의 가상 사설망 서비스에 있어서, 기업 내부 네트워크의 정보에 대한 외부 네트워크 클라이언트 단말의 접근을 제어함으로써 보안성을 강화한 장치 및 방법을 제안한다.According to an aspect of the present invention, there is provided a virtual private network service in a virtualized environment. The virtual private network service includes: Thereby enhancing security.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The problems to be solved by the present invention are not limited to those mentioned above, and another problem to be solved can be clearly understood by those skilled in the art from the following description.

전술한 목적을 달성하기 위한 본 발명의 일 양상은, 중립지대에 위치하면서 외부 네트워크의 클라이언트 단말의 접근을 제어하는 게이트웨이 서버장치에 있어서, 내부 네트워크로의 접근정책을 저장하는 정책 저장부; 외부 네크워크에서 접속하는 클라이언트 단말로부터 명령어를 전달받는 명령 수신부; 상기 수신된 명령어에 대하여 상기 저장된 정책을 확인하는 정책 확인부: 및 상기 확인된 정책에 따라 내부 네트워크로의 접근을 제어하는 접근 제어부를 포함하는 것을 특징으로 하는 게이트웨이 서버 장치를 제공한다. According to an aspect of the present invention, there is provided a gateway server apparatus for controlling access to a client terminal of an external network, the gateway server apparatus being located in a neutral zone, the gateway server apparatus comprising: a policy storage unit for storing an access policy to an internal network; An instruction receiver for receiving an instruction from a client terminal connected to the external network; A policy verifying unit for verifying the stored policy with respect to the received command word; and an access control unit for controlling access to the internal network according to the verified policy.

본 발명의 다른 일 양상은, 중립지대에 위치한 게이트웨이 서버장치에서 외부 네트워크의 클라이언트 단말의 가상 사설망 접근을 제어하는 방법에 있어서, 내부 네트워크로의 접근정책을 저장하는 단계; 외부 네크워크에서 접속하는 클라이언트 단말로부터 명령어를 전달받는 단계; 상기 수신된 명령어에 대하여 상기 저장된 정책을 확인하는 정책 확인단계: 및 상기 확인된 정책에 따라 내부 네트워크로의 접근을 제어하는 접근 제어단계를 포함하는 것을 특징으로 하는 가상 사설망 접근 제어방법을 제공한다. According to another aspect of the present invention, there is provided a method of controlling a virtual private network access of a client terminal of an external network in a gateway server apparatus located in a neutral zone, the method comprising: storing an access policy to an internal network; Receiving an instruction from a client terminal connected in an external network; A policy checking step of confirming the stored policy with respect to the received command word; and an access control step of controlling access to the internal network according to the checked policy.

본 발명의 다른 일 양상은, 가상 사설망 접근 제어방법을 실행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체를 제공한다.
Another aspect of the present invention provides a computer readable recording medium on which a program for executing a virtual private network access control method is recorded.

본 발명의 가상화 환경의 가상 사설망 접근 제어장치 및 방법에 의하면, 아이디와 비밀번호를 해킹하여 기업 내부정보의 도용을 시도하더라도, 기업 내부 정보의 유출 가능성이 있는 접근은 원천적으로 차단할 수 있다는 효과가 있다.According to the virtual private network access control apparatus and method of the virtualized environment of the present invention, even if an attempt is made to steal company internal information by hacking an ID and a password, the access with possibility of leak of internal company information can be effectively prevented.

또한, SSL VPN 기반으로 언제 어디서나 효율적으로 업무의 연장성을 보장하면서도, 기업 내부의 정보를 안전하게 보호할 수 있다는 효과가 있다. In addition, it is effective to safely protect the information inside the company, while ensuring the extensibility of the business efficiently and at anytime and anywhere with the SSL VPN.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The effects obtained in the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the following description .

본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 본 발명의 일 실시예에 따른 가상 사설망 접근 제어장치의 개략적인 구성을 예시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 게이트웨이 서버의 개략적인 구성을 예시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 가상 사설망 접근 제어방법을 예시한 도면이다.The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of the specification, illustrate embodiments of the invention and, together with the description, serve to explain the technical features of the invention.
1 is a diagram illustrating a schematic configuration of a virtual private network access control apparatus according to an embodiment of the present invention.
2 is a diagram illustrating a schematic configuration of a gateway server according to an embodiment of the present invention.
3 is a diagram illustrating a virtual private network access control method according to an embodiment of the present invention.

이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다. Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The following detailed description, together with the accompanying drawings, is intended to illustrate exemplary embodiments of the invention and is not intended to represent the only embodiments in which the invention may be practiced. The following detailed description includes specific details in order to provide a thorough understanding of the present invention. However, those skilled in the art will appreciate that the present invention may be practiced without these specific details.

몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.In some instances, well-known structures and devices may be omitted or may be shown in block diagram form, centering on the core functionality of each structure and device, to avoid obscuring the concepts of the present invention.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사 관련어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.Throughout the specification, when an element is referred to as "comprising" or " including ", it is meant that the element does not exclude other elements, do. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have. Also, the terms " a or ", "one "," the ", and the like are synonyms in the context of describing the invention (particularly in the context of the following claims) May be used in a sense including both singular and plural, unless the context clearly dictates otherwise.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

이하, 첨부된 도면들을 참조하여 본 발명의 실시예에 대해 살펴보기로 한다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 가상 사설망 접근 제어장치의 개략적인 구성을 예시한 도면이다. 1 is a diagram illustrating a schematic configuration of a virtual private network access control apparatus according to an embodiment of the present invention.

여기서 가상 사설망 서비스는 SSL VPN 기술 기반으로 설명하도록 한다. 클라이언트 단말(100)은 불특정 다수의 외부 네트워크에 위치하는 외부 사용자 접속 단말기를 말한다. 클라이언트 단말(100)의 예로는 퍼스널 컴퓨터, 랩탑 컴퓨터, PDA(personal digital assistant), 셀룰러 전화, 메인프레임(mainframe) 컴퓨터, 미니(mini)컴퓨터 및 Web TV와 같은 인터넷 액세스 디바이스이다. Here, virtual private network service is explained based on SSL VPN technology. The client terminal 100 refers to an external user access terminal located in an unspecified number of external networks. Examples of the client terminal 100 are an Internet access device such as a personal computer, a laptop computer, a personal digital assistant (PDA), a cellular telephone, a mainframe computer, a mini computer and a Web TV.

나아가, 클라이언트 단말(100)은 바람직하게는 MICROSOFT INTERNET EXPLORER, MOZILLAFIREFOX 등과 같은 웹 브라우저 소프트웨어를 장착하여 임의의 알려진 데이터 통신 네트워킹 기술을 사용하여 통신망(300)에 연결된다.Further, the client terminal 100 preferably is equipped with web browser software such as MICROSOFT INTERNET EXPLORER, MOZILLAFIREFOX, etc. and is connected to the network 300 using any known data communication networking technology.

호스트 컴퓨터(200)는 가상화 환경을 구축하여 클라이언트 단말(100)에 제공하는 기업 등의 내부 네트워크(202) 내에 존재하는 서버이다. 물리적으로 1대의 시스템상에서 윈도즈나 리눅스 등 각기 다른 운영 체계(OS)의 다양한 어플리케이션을 효율적으로 운영할 수 있다.The host computer 200 is a server existing in the internal network 202 such as a company that establishes a virtual environment and provides the virtual environment to the client terminal 100. Physically, it is possible to efficiently operate various applications of different operating systems (OS) such as Windows and Linux on one system.

호스트 컴퓨터(200)는 단일 서버뿐 아니라 서버팜(Server Farm) 형태로 있을 수도 있다. 서버팜은 한 집단으로 수용되어 동작되는 서버 그룹으로 서버클러스터라고도 하며, 클라이언트망과 분리하여 따로 관리된다. 각 서버들은 어떤 서버가 중단되더라도 다른 서버가 즉시 대체되어 서비스의 중단을 막을 수 있어 서버 안정화에 유용하다.The host computer 200 may be in the form of a server farm as well as a single server. A server farm is a group of servers that are housed and operated as a group, which is also called a server cluster, and is managed separately from the client network. Each server can be used to stabilize the server because it can be immediately replaced by any other server to prevent service interruption.

호스트 컴퓨터(200)에는 게스트 가상머신(210)이 탑재되어 있다. 가상머신(210)은 실재하는 컴퓨터상에 소프트웨어로 논리적으로 만들어낸 컴퓨터를 말한다. 중앙처리장치(CPU), 입출력장치(I/O) 등 컴퓨터의 모든 자원을 가상화하는 것이며, 1대의 컴퓨터상에서 여러 사용자의 클라이언트 단말(100)이 접속하여 여러 개의 시스템을 동작시키는 것이 가능하다. A guest virtual machine 210 is mounted on the host computer 200. The virtual machine 210 refers to a computer logically created by software on a real computer. Such as a central processing unit (CPU) and an input / output device (I / O), and it is possible to operate a plurality of systems by connecting client terminals 100 of a plurality of users on one computer.

게스트 가상머신(210) 상에서는 가상의 게스트 OS가 운영체제로 구동할 수 있으며, 운영체제는 CP/M, MS-DOS, Windows, 유닉스, 리눅스, VMS, OS/2 등 어떠한 형태도 될 수 있다. A virtual guest OS can run as an operating system on the guest virtual machine 210 and the operating system can be any form such as CP / M, MS-DOS, Windows, Unix, Linux, VMS, OS /

클라이언트 단말(100)과 호스트 컴퓨터(200)간에는 안정적인 통신 기반을 유지하기 위한 터널링(Tunneling, 320)으로 구성된다.Tunneling (320) for maintaining a stable communication base between the client terminal (100) and the host computer (200).

가상 사설망 서비스는 알 수 없는 공중망을 거치는 연결을 통하지만 그 안에서 소프트웨어적으로 가상의 회선을 직접 연결한 것과 같은 효과를 내게 된다.  여기에서 가상의 회선을 구현하는 방식에 따라 가상 사설망 서비스 방식을 분류하게 되는데 공통적으로 터널링 기술이 사용된다. 터널링은 실제 통신을 위해 사용을 원하는 특정프로토콜을 이를 지원하지 못하는 네트워크 프로토콜이나 신뢰성이 부족한 네트워크(공중망)에 캡슐화를 통해 전달하는 기술이다.Virtual private networking services have the same effect as connecting directly to a virtual circuit in a virtual network through a connection through an unknown public network. Here, the virtual private network service method is classified according to a method of implementing a virtual circuit, and a tunneling technique is commonly used. Tunneling is a technology that encapsulates a specific protocol that is desired to be used for actual communication in a network protocol that does not support it or an unreliable network (public network).

바람직하게, 본 발명의 일실시예에 의한 터널링(320) 은 VPN SSL 환경에서는 SSL 세션 터널링(Session Tunneling)방식이 활용된다. Preferably, the tunneling 320 according to an embodiment of the present invention utilizes an SSL session tunneling method in a VPN SSL environment.

통신망(300)은 클라이언트 단말(100)과 호스트 컴퓨터(200)간에 접속을 제공할 수 있는 연결수단을 말한다. 바람직하게는 인터넷과 같은 글로벌 공공 통신 네트워크(Global Public Communication Network)이지만, WAN(wide area network), LAN(local area network), 인트라넷, CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), GSM(Global System for Mobile Communications), LTE(Long Term Evolution) 등의 이동통신망 또는 그 명칭 여부에 불구하고 향후 구현될 어떠한 형태의 네트워크일 수 있다.The communication network 300 refers to a connection means capable of providing a connection between the client terminal 100 and the host computer 200. A wide area network (WAN), a local area network (LAN), an intranet, a Code Division Multiple Access (CDMA), a Wideband Code Division Multiple Access (WCDMA) , Global System for Mobile Communications (GSM), and Long Term Evolution (LTE), or any type of network to be implemented in the future, regardless of its name.

본 발명의 일 실시예에서는 게이트웨이 서버(400)를 중립지대(420, Demilitarized Zone)에 별도로 구축한다. 본 발명의 일 실시예에서 핵심 기능을 하는 게이트웨이 서버(400)는 이하 도2의 설명 부분에서 상세히 설명하도록 한다. In one embodiment of the present invention, the gateway server 400 is separately constructed in a demilitarized zone 420. The gateway server 400, which performs a core function in one embodiment of the present invention, will be described in detail in the following description of FIG.

중립지대(420)는 외부 네트워크(102)와 내부 네트워크(202)가 서로 연결되지 않도록 하는 공간으로 일종의 호스트 또는 네트워크를 말한다. 외부 사용자가 기업의 정보를 담고 있는 내부 네트워크(202) 내부 서버에 직접 접근하는 것을 방지하며, 외부 사용자가 중립지대 호스트의 보안을 뚫고 들어오더라도 기업 내부의 정보는 유출되지 않는다.The neutral zone 420 is a kind of host or network that is a space for preventing the external network 102 and the internal network 202 from being connected to each other. It is possible to prevent an external user from directly accessing an internal server 202 of the internal network 202 containing the information of the enterprise, and even if an external user breaks the security of the neutral host, information inside the enterprise is not leaked.

중립지대(420)는 외부 네트워크(102)와 내부 네트워크(202) 간에 일종의 separation 서비스를 제공할 수 있다.The neutral zone 420 may provide some sort of separation service between the external network 102 and the internal network 202.

본 발명에 의한 실시예에서 중립지대(420)는 모든 외부 네트워크(102)의 목적지(Destination)가 되며, 내부 네트워크(202)는 외부 네트워크(102)와 직접 통신을 하지 않는다.In the embodiment of the present invention, the neutral zone 420 is the destination of all the external networks 102, and the internal network 202 does not directly communicate with the external network 102.

외부 네트워크(102)와 게이트웨이 서버(400)간에도 게이트웨이 서버(400)와 가상머신(210)간과 같이 보안을 강화하기 위하여 터널링(320)을 통하여 정보를 주고 받는다. 바람직하게는 터널링 방식은 SSL 세션 터널링을 통하여 패킷을 캡슐화, 암호화한다. Information is exchanged between the external network 102 and the gateway server 400 through the tunneling 320 in order to enhance security between the gateway server 400 and the virtual machine 210. Preferably, the tunneling scheme encapsulates and encrypts the packet through SSL session tunneling.

내부 네트워크(202)의 가상머신(210)에서 실행된 화면값은 터널링(320)을 통하여 게이트웨이 서버(400)에 전달되며, 클라이언트 단말(100)은 게이트웨이 서버(400)에 전달된 화면값을 보게 된다. The screen value executed in the virtual machine 210 of the internal network 202 is transmitted to the gateway server 400 through the tunneling 320 and the client terminal 100 sees the screen value transmitted to the gateway server 400 do.

외부 네트워크(102)와 게이트웨이 서버(400)간, 게이트웨이 서버(400)와 가상머신(210)간에는 추가적으로 보안을 강화하기 위하여, 방화벽(Firewall,미도시)을 설치할 수 있다. A firewall (not shown) may be installed between the external network 102 and the gateway server 400 and between the gateway server 400 and the virtual machine 210 to further enhance security.

이하 도2를 중심으로 본 발명의 핵심 구성요소인 게이트웨이 서버(400)의 구성요소들을 상세히 설명하도록 한다.Hereinafter, the components of the gateway server 400, which is a core component of the present invention, will be described in detail with reference to FIG.

도 2는 본 발명의 일 실시예에 따른 게이트웨이 서버의 개략적인 구성을 예시한 도면이다. 2 is a diagram illustrating a schematic configuration of a gateway server according to an embodiment of the present invention.

게이트웨이 서버(400)는 클라이언트 단말(100)에서 입력하는 명령어가 내부 네트워크(202)의 정보를 유출할 수 있는 위험요소가 있는 경우 사전에 차단하는 역할을 수행한다. The gateway server 400 plays a role of preventing the command input from the client terminal 100 in advance when there is a risk that information of the internal network 202 can be leaked.

이를 위하여 정책 저장부(401)에 위험요소가 있는 명령어들을 사전에 저장하는데, 이들의 예로는 CMD, COPY, FTP, Delete, MTSC 등이며, 기타 내부 네트워크(202) 시스템에 영향을 줄 수 있는 어떠한 명령어도 저장할 수 있다. In order to do this, pre-stored risky commands are stored in the policy storage unit 401. Examples of these are CMD, COPY, FTP, Delete, and MTSC. Commands can also be saved.

저장되는 정책은 대개는 차단할 명령어를 저장하는 형태이나, 그 반대로 실행할 명령어들을 저장하는 행태로도 구성될 수 있다.The stored policy can usually be configured to store commands to be blocked, or vice versa.

상기 명령어는 바람직하게는 문자 명령어의 형태이나, 이에 한정하는 것은 아니고, 문자, 음성, 사운드 혹은 코드 등 내부 네트워크(202)의 가상머신(210)에 실행명령을 수행하게 할 수 있는 어떠한 형태의 명령 형식도 포함하는 개념이다. The command is preferably in the form of a character command but is not limited to any type of command that can cause an execution command to be executed by the virtual machine 210 of the internal network 202, such as text, voice, sound, It is a concept that includes formats.

정책 저장부(401)에 저장된 정책은, 언제라도 사용자의 정책변경에 따라 수정, 추가 혹은 삭제가 가능하다. The policy stored in the policy storage unit 401 can be modified, added or deleted at any time according to the policy change of the user.

클라이언트 단말(100))이 가상 사설망에 접속하여 명령어를 입력하면 명령 수신부(403)에서는 모든 명령어를 수신하여 키워드를 추출한다. Client terminal 100) accesses the virtual private network and inputs a command, the command receiving unit 403 receives all commands and extracts the keyword.

정책 확인부(405)에서는 명령 수신부(403)가 추출된 명령 키워드들을 전달받아 필터링을 한다. 정책 확인부(405)는 각각의 명령어의 위험성을 필터링 하기 위하여, 기 저장되어 있는 정책 저장부(401)를 조회하여 차단 혹은 실행할 명령어인지 여부를 확인한다. In the policy checking unit 405, the command receiving unit 403 receives the extracted command keywords and performs filtering. In order to filter the risk of each instruction, the policy verifying unit 405 inquires the previously stored policy storage unit 401 to check whether it is a command to block or execute.

정책 확인부(405)는 상기 확인된 결과값을 접근 제어부(407)에 전달한다. The policy verification unit 405 transfers the confirmed result value to the access control unit 407. [

접근 제어부(407)는 사용자 정책에 따라 입력된 명령어들을 처리한다. 해당 명령어가 차단 대상명령어인 경우, 해당 명령을 수행하지 않고, 필요시 클라이언트 단말(100)에 차단 메시지를 통지한다. 클라이언트 단말(100)이 명령어 차단 메시지를 받은 경우, 미리 정하여진 형식, 가령 팝업 메시지의 형식으로 메시지 차단 여부를 표시한다. The access control unit 407 processes the inputted commands according to the user policy. If the command is the block target command, the client terminal 100 notifies the client terminal 100 of the blocking message without performing the command. When the client terminal 100 receives the command blocking message, it displays whether or not the message is blocked in a predetermined format, for example, a popup message format.

접근 제어부(407)는 해당 명령어가 실행 가능한 명령어인 경우, 해당 명령어를 가상머신(210)으로 포워딩 한다. If the command is an executable command, the access control unit 407 forwards the command to the virtual machine 210.

포워딩된 명령어에 따라 내부 네트워크(202)의 가상머신(210)에서 실행된 결과의 화면값은 터널링(320)을 통하여 게이트웨이 서버(400)에 전달되며, 클라이언트 단말(100)은 게이트웨이 서버(400)로부터 다시 전달받은 화면값을 보게 된다.The screen value of the result executed in the virtual machine 210 of the internal network 202 according to the forwarded command is transmitted to the gateway server 400 through the tunneling 320. The client terminal 100 transmits the screen value to the gateway server 400, The user can see the screen value received from the user.

상기 정책 저장부(401), 명령 수신부(403), 정책 확인부(405), 접근 제어부(407)는 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있으며, 어느 하나 이상의 구성이 물리적으로 분리 또는 통합되어 구현될 수 있다.The policy storage unit 401, the command receiving unit 403, the policy checking unit 405, and the access control unit 407 refer to a unit for processing a single function or operation. The unit may be hardware, software, , And any one or more of the configurations may be physically separated or integrated.

이하, 본 발명의 실시예에 따른 가상 사설망 접근 제어 방법에 대해 설명하도록 한다. Hereinafter, a virtual private network access control method according to an embodiment of the present invention will be described.

도 3은 본 발명의 일 실시예에 따른 가상 사설망 접근 제어방법을 예시한 도면이다. 3 is a diagram illustrating a virtual private network access control method according to an embodiment of the present invention.

정책 저장부(401)에는 해당 정책에 따른 차단, 혹은 실행 명령어들에 대한 정책이 저장된다(S310).In the policy storage unit 401, a policy for blocking or execution commands according to the policy is stored (S310).

가상 사설망에 접속하는 클라이언트 단말(100)에서 웹브라우저의 주소창이나, 하이퍼링크, 서브밋버튼 등을 사용하여 서비스를 요청하면 그 패킷을 캡슐화, 암호화하여 터널링을 통하여 게이트웨이 서버(400)로 전달된다(S320).When a client terminal 100 accessing a virtual private network requests a service using a web browser address bar, a hyperlink, or a submit button, the packet is encapsulated, encrypted, and transmitted to the gateway server 400 through tunneling S320).

전달 받은 해당 명령어의 키워드들이 추출된 후, 기 저장되어 있는 정책과 비교하여 해당 명령어의 차단여부에 대한 정책이 확인된다(S330). After the keywords of the received command are extracted, a policy for blocking the command is compared with a previously stored policy (S330).

해당 명령어가 차단 대상 명령어인 경우, 사전에 정하여진 방식으로 클라이언트 단말(100)에 명령어 차단 메시지를 전달하고(S340), 클라이언트 단말(100)은 차단 메시지를 팝업 등의 형식으로 표시한다(S350).If the command is a blocking target command, the command blocking message is transmitted to the client terminal 100 in a predetermined manner (S340), and the client terminal 100 displays the blocking message in a pop-up form or the like (S350) .

해당 명령어가 차단 대상 명령어가 아니어서 실행이 가능한 경우, 가상머신(210)에 해당 명령어를 포워딩 한다(S360). If the command is not a block target instruction and execution is possible, the command is forwarded to the virtual machine 210 (S360).

포워딩된 명령어에 따라 내부 네트워크(202)의 가상머신(210)는 해당 명령어를 실행하고(S370), 실행된 화면값을 터널링(320)을 통하여 게이트웨이 서버(400)에 전달한다(S380). The virtual machine 210 of the internal network 202 executes the corresponding command according to the forwarded command in step S370 and transmits the executed screen value to the gateway server 400 through the tunneling 320 in step S380.

게이트웨이 서버(400)는 이 화면값을 다시 클라이언트 단말(100)에 전달한다(S390).The gateway server 400 transmits the screen value again to the client terminal 100 (S390).

도 3에서는 단계 S310 내지 단계 S390를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3에 기재된 순서를 변경하여 실행하거나 단계 S310 내지 단계 S390 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3은 시계열적인 순서로 한정되는 것은 아니다. 3, it is described that steps S310 to S390 are sequentially executed. However, this is merely an exemplary description of the technical idea of the present embodiment, and it is obvious to those skilled in the art that the present embodiment It will be understood that various modifications and changes may be made to the method of the present invention without departing from the essential characteristics and by implementing one or more of the steps S310 to S390 in parallel, But is not limited thereto.

본 명세서에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Each block of the block diagrams attached hereto and combinations of steps of the flowchart diagrams may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory It is also possible for the instructions stored in the block diagram to produce a manufacturing item containing instruction means for performing the functions described in each block or flowchart of the block diagram. Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the processing equipment provide the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially concurrently, or the blocks or steps may sometimes be performed in reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

100: 클라이언트 단말
102: 외부 네트워크
200: 호스트 컴퓨터
210: 가상머신
202: 네부 네트워크
300: 통신망
320: 터널링
400: 게이트웨이 서버
420: 중립지대
401: 정책 저장부
403: 명령 수신부
405: 정책 확인부
407: 접근 제어부100: a client terminal
102: External network
200: Host computer
210: Virtual Machine
202: Nebu Network
300: Network
320: Tunneling
400: gateway server
420: Neutral Zone
401: Policy storage unit
403:
405:
407:

Claims (13)

중립지대에 위치하면서 외부 네트워크의 클라이언트 단말의 접근을 제어하는 게이트웨이 서버장치에 있어서,
내부 네트워크로의 접근정책을 저장하는 정책저장부;
외부 네트워크에서 접속하는 클라이언트 단말로부터 문자, 음성, 사운드, 혹은 코드 중 어느 하나 이상의 형태인 명령어를 전달받는 명령 수신부;
상기 수신된 명령어에 대하여 상기 저장된 정책을 확인하는 정책 확인부; 및
상기 확인된 정책에 따라 내부 네트워크로의 접근을 제어하는 접근 제어부;
를 포함하되, 상기 접근정책은,
사전에 정의된 소정의 명령어의 전달을 차단하고, 그 외의 명령어는 포워딩을 통하여 상기 내부 네트워크의 가상머신으로 전달하되,
상기 명령어의 전달이 차단되는 경우, 상기 클라이언트 단말에 상기 명령어가 차단되었음을 알리는 메시지를 전달하고, 해당 명령어를 실행하지 않는 것을 특징으로 하는 게이트웨이 서버 장치.1. A gateway server apparatus for controlling access to a client terminal of an external network in a neutral zone,
A policy storage unit for storing an access policy to the internal network;
An instruction receiving unit for receiving an instruction in a form of one or more of a character, voice, sound, or code from a client terminal connected in an external network;
A policy verifying unit for verifying the stored policy with respect to the received command; And
An access control unit for controlling access to the internal network according to the identified policy;
The access policy comprising:
And the other commands are forwarded to the virtual machine of the internal network through forwarding,
Wherein when the transmission of the command is interrupted, a message indicating that the command is blocked is transmitted to the client terminal, and the command is not executed. 삭제delete 제1항에 있어서,
상기 전달이 차단되는 소정의 명령어는,
CMD, COPY, FTP, Delete, MSTSC 중 어느 하나인 것을 특징으로 하는 게이트웨이 서버 장치.The method according to claim 1,
The predetermined command to which the transmission is blocked,
CMD, COPY, FTP, Delete, and MSTSC. 삭제delete 삭제delete 제1항에 있어서,
상기 가상머신으로 명령어가 전달되는 경우,
상기 가상머신에서 상기 명령어를 실행한 화면값을 전달받아 상기클라이언트 단말에 전달하는 것을 특징으로 하는 게이트웨이 서버 장치.The method according to claim 1,
When a command is transferred to the virtual machine,
Wherein the gateway server receives the screen value from which the command is executed in the virtual machine and transfers the received screen value to the client terminal. 중립지대에 위치한 게이트웨이 서버장치에서 외부 네트워크의 클라이언트 단말의 가상 사설망 접근을 제어하는 방법에 있어서,
내부 네트워크로의 접근정책을 저장하는 단계;
외부 네크워크에서 접속하는 클라이언트 단말로부터 문자, 음성, 사운드 혹은 코드 중 어느 하나 이상의 형태인 명령어를 전달받는 단계;
상기 전달받은 명령어에 대하여 상기 저장된 정책을 확인하는 정책 확인단계: 및
상기 확인된 정책에 따라 내부 네트워크로의 접근을 제어하는 접근 제어단계를 포함하되,
상기 접근정책은 사전에 정의된 소정의 명령어의 전달을 차단하고, 그 외의 명령어는 포워딩을 통하여 상기 내부 네트워크의 가상머신으로 전달하는 것이며,
상기 명령어의 전달을 차단하는 경우, 상기 클라이언트 단말에 상기 명령어가 차단되었음을 알리는 메시지를 전달하는 단계가 포함되어지는 것을 특징으로 하는 가상 사설망 접근 제어방법.A method for controlling a virtual private network access of a client terminal of an external network in a gateway server device located in a neutral zone,
Storing an access policy to an internal network;
Receiving an instruction from a client terminal connected to the external network in a form of one or more of a character, a voice, a sound, and a code;
Checking the stored policy for the received command; and
And an access control step of controlling access to the internal network according to the identified policy,
Wherein the access policy blocks transmission of a predefined command and transfers the other command to the virtual machine of the internal network through forwarding,
And transmitting a message informing that the command is blocked to the client terminal when blocking the transmission of the command. 삭제delete 제7항에 있어서,
상기 전달이 차단되는 소정의 명령어는,
CMD, COPY, FTP, Delete, MSTSC 중 어느 하나인 것을 특징으로 하는 가상 사설망 접근 제어방법.8. The method of claim 7,
The predetermined command to which the transmission is blocked,
CMD, COPY, FTP, Delete, and MSTSC. 삭제delete 제7항에 있어서,
상기 가상머신으로 명령어가 전달되는 경우,
상기 가상머신에서 상기 명령어를 실행한 화면값을 전달받아 상기클라이언트 단말에 전달하는 것을 특징으로 하는 것을 가상 사설망 접근 제어방법.

8. The method of claim 7,
When a command is transferred to the virtual machine,
Wherein the virtual machine receives the screen value from which the command is executed in the virtual machine and transfers the received screen value to the client terminal.

삭제delete 삭제delete
KR20140026979A 2014-03-07 2014-03-07 Apparatus and Method for Access Control in a Virtual Private Network KR101473607B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140026979A KR101473607B1 (en) 2014-03-07 2014-03-07 Apparatus and Method for Access Control in a Virtual Private Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140026979A KR101473607B1 (en) 2014-03-07 2014-03-07 Apparatus and Method for Access Control in a Virtual Private Network

Publications (1)

Publication Number Publication Date
KR101473607B1 true KR101473607B1 (en) 2014-12-16

Family

ID=52679120

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140026979A KR101473607B1 (en) 2014-03-07 2014-03-07 Apparatus and Method for Access Control in a Virtual Private Network

Country Status (1)

Country Link
KR (1) KR101473607B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101780764B1 (en) * 2017-03-20 2017-09-22 주식회사 넷앤드 An unauthorized command control method by the access control system for enhancing server security
KR20190018799A (en) * 2017-08-16 2019-02-26 주식회사 좋을 System for managing access control based on agent
KR101988205B1 (en) 2019-02-10 2019-06-12 김기수 Virtual private network service system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706338B1 (en) * 2006-02-27 2007-04-13 전남대학교산학협력단 Virtual access control security system for supporting various access control policies in operating system or application
US20130047151A1 (en) * 2011-08-16 2013-02-21 Microsoft Corporation Virtualization gateway between virtualized and non-virtualized networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706338B1 (en) * 2006-02-27 2007-04-13 전남대학교산학협력단 Virtual access control security system for supporting various access control policies in operating system or application
US20130047151A1 (en) * 2011-08-16 2013-02-21 Microsoft Corporation Virtualization gateway between virtualized and non-virtualized networks

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101780764B1 (en) * 2017-03-20 2017-09-22 주식회사 넷앤드 An unauthorized command control method by the access control system for enhancing server security
WO2018174486A1 (en) * 2017-03-20 2018-09-27 주식회사 넷앤드 Unauthorized command control method of access control system for server security enhancement
KR20190018799A (en) * 2017-08-16 2019-02-26 주식회사 좋을 System for managing access control based on agent
KR102001996B1 (en) * 2017-08-16 2019-10-01 주식회사 좋을 System for managing access control based on agent
KR101988205B1 (en) 2019-02-10 2019-06-12 김기수 Virtual private network service system

Similar Documents

Publication Publication Date Title
KR102204143B1 (en) Tunnel-based conectivity management method and apparatus and system therefor
US11290346B2 (en) Providing mobile device management functionalities
US10362032B2 (en) Providing devices as a service
US11170096B2 (en) Configurable internet isolation and security for mobile devices
ES2806379T3 (en) Hardware-based virtualized security isolation
JP6594449B2 (en) Micro VPN tunneling for mobile platforms
US8464335B1 (en) Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement
US8595822B2 (en) System and method for cloud based scanning for computer vulnerabilities in a network environment
JP2020166906A (en) Secure single sign on and conditional access for client applications
EP2907289B1 (en) Providing virtualized private network tunnels
US20190372937A1 (en) Systems and methods for split network tunneling based on traffic inspection
US11438306B2 (en) System and method of connecting a DNS secure resolution protocol
KR101473607B1 (en) Apparatus and Method for Access Control in a Virtual Private Network
US11374903B1 (en) Systems and methods for managing devices
US11128665B1 (en) Systems and methods for providing secure access to vulnerable networked devices
KR101459261B1 (en) Apparatus and Method for Switching Browser Automatically in a Logical Network Separation
US10698752B2 (en) Preventing unauthorized access to secure enterprise information systems using a multi-intercept system
US11323454B1 (en) Systems and methods for securing communications
KR101480263B1 (en) System and Method for Virtual Private Network with Enhanced Security
EP3675450B1 (en) System and method of connecting a dns secure resolution protocol
US9525665B1 (en) Systems and methods for obscuring network services
US11489811B1 (en) On-device protected DNS
US10462050B1 (en) Systems and methods for chaining virtual private networks
Jakimoski et al. Carrier-class VPN to cloud evolution
El-Bawab Untangle Network Security

Legal Events

Date Code Title Description
AMND Amendment
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181210

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191202

Year of fee payment: 6