KR102491627B1 - Gateway apparatus and method for handling access thereof - Google Patents

Gateway apparatus and method for handling access thereof Download PDF

Info

Publication number
KR102491627B1
KR102491627B1 KR1020220089918A KR20220089918A KR102491627B1 KR 102491627 B1 KR102491627 B1 KR 102491627B1 KR 1020220089918 A KR1020220089918 A KR 1020220089918A KR 20220089918 A KR20220089918 A KR 20220089918A KR 102491627 B1 KR102491627 B1 KR 102491627B1
Authority
KR
South Korea
Prior art keywords
network
access terminal
virtual private
gateway device
tunnel
Prior art date
Application number
KR1020220089918A
Other languages
Korean (ko)
Inventor
임진우
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020220089918A priority Critical patent/KR102491627B1/en
Application granted granted Critical
Publication of KR102491627B1 publication Critical patent/KR102491627B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

According to one embodiment, a connection processing method performed by a gateway device of an external network operated in a physical network separation environment between the external network and an internal network comprises the following steps of: generating a G2C virtual private network tunnel with a connection terminal according to a result of external network authentication for the connection terminal of the external network in a state in which a connection address is exposed; and generating a G2G virtual private network tunnel with a different gateway device exclusively for the connection terminal according to a result of internal network authentication for the connection terminal in a state in which a connection address of the different gateway device of the internal network is concealed.

Description

게이트웨이 장치와 그 접속 처리 방법{GATEWAY APPARATUS AND METHOD FOR HANDLING ACCESS THEREOF}Gateway device and its connection processing method {GATEWAY APPARATUS AND METHOD FOR HANDLING ACCESS THEREOF}

본 발명은 게이트웨이(gateway) 장치와 이 게이트웨이 장치가 접속을 처리하는 방법에 관한 것이다.The present invention relates to a gateway device and how the gateway device handles a connection.

일반적으로 물리적 망분리 환경은 외부망(예컨대, 인터넷망)과 내부망(예컨대, 업무망)을 물리적으로 분리한 환경에서 운용하는 것을 일컫고, 이러한 물리적 망분리 환경에서 원격 접속 시에는 G2C(gateway to client) 가상사설망(VPN, virtual private network)을 통해 접근한다.In general, a physical network separation environment refers to operating in an environment in which an external network (eg, Internet network) and an internal network (eg, business network) are physically separated. client) is accessed through a virtual private network (VPN).

그런데, G2C 가상사설망 접근을 위해 외부망의 G2C 가상사설망 서버의 접속 주소 및 내부망의 G2C 가상사설망 서버의 접속 주소가 노출되기 때문에 접속 주소를 이용한 불특정 다수의 공격 시도에 취약하다.However, since the access address of the G2C virtual private network server of the external network and the access address of the G2C virtual private network server of the internal network are exposed to access the G2C virtual private network, it is vulnerable to an unspecified number of attack attempts using the access address.

이와 같은 보안 취약성을 최소화하기 위해 제로트러스트 개념으로 원격 사용자가 인증 받은 후에만 서버 주소를 알 수 있는 서버 하이딩 또는 서버 스텔스라 불리는 기능을 적용하기도 하는데, 이 방법 역시 인증 받은 후라 할지라도 결국 서버 주소가 노출된다는 약점이 존재한다.In order to minimize such security vulnerabilities, a function called server hiding or server stealth, in which the server address can be known only after the remote user is authenticated, is applied as a concept of zero trust. There are weaknesses that are exposed.

특히, 인터넷망 등의 외부망에 비해 업무망 등의 내부망은 상대적으로 보안이 매우 중요하기 때문에 보다 엄격한 보안이 적용되어야 할 필요성이 있다.In particular, since the security of the internal network, such as the business network, is relatively very important compared to the external network, such as the Internet network, there is a need for stricter security to be applied.

한국공개특허공보, 제10-2009-0123800호 (2009.12.02. 공개)Korean Patent Laid-open Publication, No. 10-2009-0123800 (published on 2009.12.02)

일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G(gateway to gateway) 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있도록 한 게이트웨이 장치와 그 접속 처리 방법을 제공한다.According to an embodiment, by creating a G2G (gateway to gateway) virtual private network tunnel between an external network gateway and an internal network gateway in a physical network separation environment, the access address of the internal network gateway is always hidden regardless of whether the access terminal is authenticated. A gateway device and its connection processing method are provided.

다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.However, the problem to be solved by the present invention is not limited to those mentioned above, and another problem to be solved that is not mentioned can be clearly understood by those skilled in the art from the description below. will be.

제 1 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법은, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함한다.In the connection processing method performed by the gateway device of the external network operated in a physical network separation environment between the external network and the internal network according to the first aspect, external network authentication for an access terminal of the external network in a state in which an access address is exposed Generating a G2C virtual private network tunnel with the access terminal according to the result of the step, and in a state where the access address of the other gateway device of the internal network is concealed, according to the result of authentication for the internal network of the access terminal, the other gateway device and and creating a G2G virtual private network tunnel dedicated to the access terminal.

제 2 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치는, 상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와, 상기 통신부를 제어하는 프로세서부를 포함하고, 상기 프로세서부는, 상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어한다.The gateway device of the external network operated in a physical network separation environment between the external network and the internal network according to the second aspect includes a communication unit that communicates with an access terminal of the external network and other gateway devices of the internal network, and the communication unit A processor unit controlling a processor unit, wherein the processor unit controls the communication unit to create a G2C virtual private network tunnel with the access terminal according to a result of external network authentication for the access terminal in a state in which an access address of the communication unit is exposed; , Controls the communication unit to create a G2G virtual private network tunnel with the other gateway device exclusively for the access terminal according to the internal network authentication result for the access terminal in a state in which the access address of the other gateway device is hidden .

제 3 관점에 따른 물리적 망분리 통신 시스템은, 외부망과 내부망의 물리적 망분리 환경에서 접속 주소를 노출한 상태로 운용되는 상기 외부망의 제 1 게이트웨이 장치와, 접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고, 상기 제 1 게이트웨이 장치는, 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성한다.A physical network separation communication system according to a third aspect includes a first gateway device of the external network operated in a state in which the access address is exposed in a physical network separation environment between the external network and the internal network, and operation in a state in which the access address is concealed and a second gateway device of the internal network, wherein the first gateway device creates a G2C virtual private network tunnel with the access terminal according to an external network authentication result for the access terminal of the external network, and the access terminal A G2G virtual private network tunnel with the second gateway device is created exclusively for the access terminal according to the result of internal network authentication for .

제 4 관점에 따라 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체는, 상기 컴퓨터 프로그램이, 프로세서에 의해 실행되면, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.According to the fourth aspect, a computer readable recording medium storing a computer program includes instructions for causing the processor to perform the connection processing method when the computer program is executed by a processor.

제 5 관점에 따라 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램은, 상기 컴퓨터 프로그램이, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.A computer program stored in a computer readable recording medium according to the fifth aspect includes instructions for causing the processor to perform the connection processing method.

일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 근래의 불법적인 사이버 공격은 컴퓨팅파워를 활용하기 보다는 다크웹과 같은 불법적인 루트를 통해 정상적인 계정 정보 및/또는 접속 권한을 획득한 후 공격하는 방식이 증가하는 추세다. 따라서 인증을 받은 정상적인 단말 사용자로 판단이 되더라도 이 같은 상황에 대비하기 위해 최대한으로 보안성을 적용해야 할 필요가 있다. 본 발명의 일 실시예에 따르면, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.According to an embodiment, by creating a G2G virtual private network tunnel between the external network gateway and the internal network gateway in a physical network separation environment, the access address of the internal network gateway can always be hidden regardless of whether the accessing terminal is authenticated or not. Recently, illegal cyber attacks tend to increase in attack methods after obtaining normal account information and/or access rights through illegal routes such as the dark web rather than utilizing computing power. Therefore, even if it is judged as a normal terminal user who has been authenticated, it is necessary to apply maximum security to prepare for such a situation. According to an embodiment of the present invention, since the access address of an internal network gateway such as a business network gateway can always be hidden, there is an effect of increasing safety and efficiency for remote access.

도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.
도 2는 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치의 구성도이다.
도 3은 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.1 is a configuration diagram of a physical network separation communication system according to an embodiment of the present invention.
FIG. 2 is a configuration diagram of a first gateway device in the physical network separation communication system of FIG. 1 .
FIG. 3 is a flowchart illustrating an access processing method performed by a first gateway device in the physical network separation communication system of FIG. 1 .

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention, and methods of achieving them, will become clear with reference to the detailed description of the following embodiments taken in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only these embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention belongs. It is provided to completely inform the person who has the scope of the invention, and the present invention is only defined by the scope of the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the embodiment of the present invention, which may vary according to the intention or custom of a user or operator. Therefore, the definition should be made based on the contents throughout this specification.

본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as 'comprise' or 'comprise' are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other It should be understood that the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof is not precluded.

또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.Also, in an embodiment of the present invention, when a part is said to be connected to another part, this includes not only a direct connection but also an indirect connection through another medium. In addition, the meaning that a certain part includes a certain component means that it may further include other components rather than excluding other components unless otherwise specified.

도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.1 is a configuration diagram of a physical network separation communication system according to an embodiment of the present invention.

도 1을 참조하면, 물리적 망분리 통신 시스템(100)은 인터넷망 등과 같은 외부망의 제 1 게이트웨이 장치(120) 및 업무망 등과 같은 내부망의 제 2 게이트웨이 장치(130)를 포함한다.Referring to FIG. 1 , a physical network separation communication system 100 includes a first gateway device 120 of an external network such as an Internet network and a second gateway device 130 of an internal network such as a business network.

이러한 물리적 망분리 통신 시스템(100)에서, 인터넷망 등과 같은 외부망을 통해 접속 단말(110)이 제 1 게이트웨이 장치(120)에 접속할 수 있고, 업무망 등의 내부망을 통해 서버(140)가 제 2 게이트웨이 장치(130)에 접속할 수 있다. 예를 들어, 서버(140)는 업무망 내에서 수행할 수 있는 각종 업무를 지원하는 업무 서버일 수 있다. 여기서, 제 1 게이트웨이 장치(120)는 접속 주소를 노출한 상태로 운용되고, 제 2 게이트웨이 장치(130)는 접속 주소를 은닉한 상태로 운용된다.In this physical network separation communication system 100, the access terminal 110 can access the first gateway device 120 through an external network such as the Internet network, and the server 140 can access the first gateway device 120 through an internal network such as a business network. It can access the second gateway device 130 . For example, the server 140 may be a business server supporting various tasks that can be performed within a business network. Here, the first gateway device 120 is operated with the access address exposed, and the second gateway device 130 is operated with the access address hidden.

제 1 게이트웨이 장치(120)는 외부망의 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널(101)을 생성하고, 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거한다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우에 G2G 가상사설망 터널(102)을 제거할 수 있고, 외부망용 인증에 대해 로그아웃을 할 경우에 G2C 가상사설망 터널(101)을 제거할 수 있다.The first gateway device 120 creates a G2C virtual private network tunnel 101 with the access terminal 110 according to the result of external network authentication for the access terminal 110 of the external network, and internal to the access terminal 110. According to the network authentication result, the G2G virtual private network tunnel 102 with the second gateway device 130 is created exclusively for the access terminal 110 . In addition, the first gateway device 120 applies a relay through the G2G virtual private network tunnel 102 to the traffic generated by the access terminal 110 through the G2C virtual private network tunnel 101 to obtain a second gateway device 130. ) to the server 140 of the internal network. In addition, the first gateway device 120 removes at least one of the G2C virtual private network tunnel 101 and the G2G virtual private network tunnel 102 in response to an action by the access terminal 110 . For example, when the access terminal 110 logs out for internal network authentication, the G2G virtual private network tunnel 102 may be removed, and when logging out for external network authentication, the G2C virtual private network tunnel ( 101) can be removed.

도 2는 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)의 구성도이다.FIG. 2 is a configuration diagram of the first gateway device 120 in the physical network separation communication system 100 of FIG. 1 .

도 2를 참조하면, 제 1 게이트웨이 장치(120)는 통신부(121) 및 프로세서부(122)를 포함하고, 저장부(123)를 더 포함할 수 있다.Referring to FIG. 2 , the first gateway device 120 includes a communication unit 121 and a processor unit 122, and may further include a storage unit 123.

통신부(121)는 프로세서부(122)의 제어에 따라 외부망의 접속 단말(110) 및 내부망의 제 2 게이트웨이 장치(130)와 통신을 수행한다.The communication unit 121 performs communication with the access terminal 110 of the external network and the second gateway device 130 of the internal network under the control of the processor unit 122 .

프로세서부(122)는 통신부(121)의 접속 주소를 노출한 상태에서 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하며, 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태에서 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어한다.The processor unit 122 configures the communication unit 121 to create a G2C virtual private network tunnel with the access terminal 110 according to the external network authentication result for the access terminal 110 in a state in which the access address of the communication unit 121 is exposed. and, in a state where the access address of the second gateway device 130 is concealed, the access terminal 110 establishes the G2G virtual private network tunnel 102 with the second gateway device 130 according to the internal network authentication result. Controls the communication unit 121 to generate exclusively for (110). In addition, the processor unit 122 applies a relay through the G2G virtual private network tunnel 102 to the traffic generated by the access terminal 110 through the G2C virtual private network tunnel 101 to transmit the second gateway device 130. Controls the communication unit 121 to transmit the data to the server 140 of the internal network through the Further, the processor unit 122 controls the communication unit 121 to remove at least one of the G2C virtual private network tunnel 101 and the G2G virtual private network tunnel 102 in response to an action by the access terminal 110 .

저장부(123)에는 프로세서부(122)에 의한 각종 처리 결과가 저장될 수 있고, 그리고, 저장부(123)에는 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장될 수 있다.Various processing results by the processor unit 122 may be stored in the storage unit 123, and a connection processing method including each step according to an embodiment may be stored in the storage unit 123 as a first gateway device ( A computer program including instructions for the processor unit 122 of 120 to execute may be stored.

도 3은 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.FIG. 3 is a flowchart illustrating an access processing method performed by the first gateway device 120 in the physical network separation communication system 100 of FIG. 1 .

이하, 도 1 내지 도 3을 참조하여 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 접속 단말(110)에 의한 접속을 처리하는 과정에 대해 자세히 살펴보기로 한다.Hereinafter, a process in which the first gateway device 120 in the physical network separation communication system 100 processes an access by the access terminal 110 will be described in detail with reference to FIGS. 1 to 3 .

먼저, 접속 단말(110)은 인터넷망 등과 같은 외부망을 통해 제 1 게이트웨이 장치(120)에 접속할 수 있다(S310).First, the access terminal 110 may access the first gateway device 120 through an external network such as an Internet network (S310).

그러면, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 대해 외부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 외부망용 인증에 통과할 수 있다. 예컨대, 외부망용 인증은 제 1 게이트웨이 장치(120)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S320).Then, the first gateway device 120 may perform external network authentication for the access terminal 110 . For example, the access terminal 110 may request authentication by inputting an ID and password on the access screen for the first gateway device 120, and if the ID and password are the same as the pre-registered ID and password, external network authentication is performed. can pass through For example, authentication for an external network may be performed directly by the first gateway device 120 or may be performed by a separate authentication server (not shown) connected to the first gateway device 120 (S320).

외부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 접속 단말(110)과의 G2C 가상사설망 터널(101)을 생성한다. 예컨대, 통신부(121)는 G2C 가상사설망 터널(101)로서 SSL(secure socket layer) 가상사설망 터널을 생성할 수 있다(S330).For the access terminal 110 that has passed the external network authentication, the processor unit 122 of the first gateway device 120 controls the communication unit 121 to create a G2C virtual private network tunnel, and the communication unit 121 controls the communication unit 121 according to the control. A G2C virtual private network tunnel 101 with the access terminal 110 is created. For example, the communication unit 121 may create a secure socket layer (SSL) virtual private network tunnel as the G2C virtual private network tunnel 101 (S330).

이렇게 외부망용 인증에 통과한 접속 단말(110)은 외부망을 이용할 수 있지만 내부망을 이용할 수 없는 상태이고, 내부망을 이용하기 위해서는 내부망용 인증에 통과하여야 한다. 이를 위해, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 대해 내부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 의해 제공되는 제 2 게이트웨이 장치(130)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 내부망용 인증에 통과할 수 있다. 이러한 내부망용 인증에서 접속 단말(110)은 제 2 게이트웨이 장치(130)의 접속 주소를 알 필요가 없기 때문에 제 1 게이트웨이 장치(120)는 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태로 내부망용 인증과 관련된 서비스를 제공할 수 있고 인증된 이후에도 제 2 게이트웨이 장치(130)의 접속 주소를 계속 은닉한다. 예컨대, 이러한 내부망용 인증은 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S340).The access terminal 110 that has passed authentication for the external network is in a state where it can use the external network but cannot use the internal network, and must pass authentication for the internal network to use the internal network. To this end, the processor unit 122 of the first gateway device 120 may perform internal network authentication for the access terminal 110 . For example, the access terminal 110 may request authentication by inputting an ID and password on the access screen provided by the first gateway device 120 to the second gateway device 130, If the ID and password are the same, authentication for the internal network can pass. In this internal network authentication, since the access terminal 110 does not need to know the access address of the second gateway device 130, the first gateway device 120 hides the access address of the second gateway device 130. It can provide a service related to authentication for the internal network, and continues to hide the access address of the second gateway device 130 even after being authenticated. For example, the authentication for the internal network may be directly performed by the first gateway device 120 or the second gateway device 130, or a separate authentication connected to the first gateway device 120 or the second gateway device 130. It may be performed by a server (not shown) (S340).

내부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 예컨대, 통신부(121)는 G2G 가상사설망 터널(102)로서 IPSec(internet protocol security) 가상사설망 터널을 생성할 수 있다(S350).For the access terminal 110 that has passed authentication for the internal network, the processor unit 122 of the first gateway device 120 establishes the G2G virtual private network tunnel 102 with the second gateway device 130 for the access terminal 110. The communication unit 121 controls the communication unit 121 to create a dedicated connection, and the communication unit 121 creates the G2G virtual private network tunnel 102 with the second gateway device 130 exclusively for the access terminal 110 according to the control. For example, the communication unit 121 may create an internet protocol security (IPSec) virtual private network tunnel as the G2G virtual private network tunnel 102 (S350).

이렇게 G2G 가상사설망 터널(102)이 생성된 후, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어하고, 통신부(121)는 프로세서부(122)의 제어에 따라 접속 단말(110)과 서버(140) 사이의 데이터 송수신을 위해 G2G 가상사설망 터널(102)을 통한 릴레이를 지원한다(S360).After the G2G virtual private network tunnel 102 is created in this way, the processor unit 122 of the first gateway device 120 treats the traffic generated by the access terminal 110 through the G2C virtual private network tunnel 101 as a G2G virtual private network. The communication unit 121 is controlled so that relay through the private network tunnel 102 is applied and transmitted to the server 140 of the internal network through the second gateway device 130, and the communication unit 121 controls the processor unit 122. According to this, relay through the G2G virtual private network tunnel 102 is supported for data transmission and reception between the access terminal 110 and the server 140 (S360).

그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어할 수 있다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2G 가상사설망 터널(102)을 제거할 수 있고(S380), 외부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2C 가상사설망 터널(101)을 제거할 수 있다(S380).Further, the processor unit 122 may control the communication unit 121 to remove at least one of the G2C virtual private network tunnel 101 and the G2G virtual private network tunnel 102 in response to an action by the access terminal 110 . For example, when the access terminal 110 logs out for authentication for the internal network (S370), the G2G virtual private network tunnel 102 can be removed (S380), and logs out for authentication for the external network. In (S370), the G2C virtual private network tunnel 101 may be removed (S380).

지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 이처럼, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.As described so far, according to an embodiment of the present invention, by creating a G2G virtual private network tunnel between an external network gateway and an internal network gateway in a physical network separation environment, the access address of the internal network gateway regardless of whether the access terminal is authenticated or not. can be hidden at all times. As such, since the access address of the internal network gateway, such as the business network gateway, can always be hidden, there is an effect of increasing safety and efficiency for remote access.

한편, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램은 컴퓨터 판독 가능 기록매체에 저장될 수 있다.On the other hand, a computer program including instructions for causing the processor unit 122 of the first gateway device 120 to perform the connection processing method including each step according to the above-described embodiment is stored in a computer readable recording medium. can be stored

또한, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장되어 있는 컴퓨터 판독 가능한 기록매체가 제공될 수 있다.In addition, a computer readable program in which a computer program including instructions for causing the processor unit 122 of the first gateway device 120 to perform the connection processing method including each step according to the above-described embodiment is stored. A recording medium may be provided.

본 발명에 첨부된 각 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Combinations of each step in each flowchart attached to the present invention may be performed by computer program instructions. Since these computer program instructions may be loaded into a processor of a general-purpose computer, a special-purpose computer, or other programmable data processing equipment, the instructions executed by the processor of the computer or other programmable data processing equipment function as described in each step of the flowchart. create a means to do them. These computer program instructions can also be stored on a computer usable or computer readable medium that can be directed to a computer or other programmable data processing equipment to implement functions in a particular way, so that the computer usable or computer readable It is also possible that the instructions stored on the recording medium produce an article of manufacture containing instruction means for performing the functions described in each step of the flowchart. The computer program instructions can also be loaded on a computer or other programmable data processing equipment, so that a series of operational steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to generate computer or other programmable data processing equipment. Instructions for performing the processing equipment may also provide steps for executing the functions described at each step in the flowchart.

또한, 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Further, each step may represent a module, segment or portion of code that includes one or more executable instructions for executing the specified logical function(s). It should also be noted that in some alternative embodiments it is possible for the functions mentioned in the steps to occur out of order. For example, two steps shown in succession may in fact be performed substantially concurrently, or the steps may sometimes be performed in reverse order depending on the function in question.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an example of the technical idea of the present invention, and various modifications and variations can be made to those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed according to the claims below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

100: 물리적 망분리 통신 시스템
110: 접속 단말
120: 제 1 게이트웨이 장치
130: 제 2 게이트웨이 장치
140: 서버100: physical network separation communication system
110: access terminal
120: first gateway device
130: second gateway device
140: server

Claims (11)

외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서,
접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C(gateway to client) 가상사설망 터널을 생성하는 단계와,
상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G(gateway to gateway) 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는
접속 처리 방법.A connection processing method performed by a gateway device of the external network operating in a physical network separation environment between an external network and an internal network, comprising:
generating a G2C (gateway to client) virtual private network tunnel with the access terminal according to an external network authentication result for the access terminal of the external network in a state where the access address is exposed;
In a state in which access addresses of other gateway devices of the internal network are concealed, a gateway to gateway (G2G) virtual private network tunnel with the other gateway device is dedicated for the access terminal according to the result of internal network authentication for the access terminal including the steps to create
Connection handling method. 제 1 항에 있어서,
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버로 데이터를 전달하는 단계를 더 포함하는
접속 처리 방법.According to claim 1,
Applying a relay through the G2G virtual private network tunnel to traffic generated by the access terminal through the G2C virtual private network tunnel and forwarding data to a server of the internal network through the other gateway device Further comprising
Connection handling method. 제 2 항에 있어서,
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는 단계를 더 포함하는
접속 처리 방법.According to claim 2,
Further comprising removing at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel with respect to the action by the access terminal
Connection handling method. 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치로서,
상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와,
상기 통신부를 제어하는 프로세서부를 포함하고,
상기 프로세서부는,
상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어하는
게이트웨이 장치.A gateway device of the external network operated in a physical network separation environment of an external network and an internal network,
a communication unit that communicates with an access terminal of the external network and other gateway devices of the internal network;
A processor unit controlling the communication unit;
The processor unit,
Controlling the communication unit to create a G2C virtual private network tunnel with the access terminal according to the result of external network authentication for the access terminal in a state in which the access address of the communication unit is exposed, and hiding the access address of the other gateway device Controlling the communication unit to create a G2G virtual private network tunnel with the other gateway device exclusively for the access terminal according to a result of internal network authentication for the access terminal in
gateway device. 제 4 항에 있어서,
상기 프로세서부는,
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하도록 상기 통신부를 제어하는
게이트웨이 장치.According to claim 4,
The processor unit,
Controlling the communication unit to apply a relay through the G2G virtual private network tunnel to traffic generated by the access terminal through the G2C virtual private network tunnel and forward the traffic to the server of the internal network through the other gateway device
gateway device. 제 5 항에 있어서,
상기 프로세서부는,
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하도록 상기 통신부를 제어하는
게이트웨이 장치.According to claim 5,
The processor unit,
Controlling the communication unit to remove at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel in response to an action by the access terminal
gateway device. 외부망과 내부망의 물리적 망분리 환경에서 접속 주소를 노출한 상태로 운용되는 상기 외부망의 제 1 게이트웨이 장치와,
접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고,
상기 제 1 게이트웨이 장치는,
상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는
물리적 망분리 통신 시스템.A first gateway device of the external network operated in a state in which access addresses are exposed in a physical network separation environment between an external network and an internal network;
A second gateway device of the internal network operated in a state in which the access address is hidden;
The first gateway device,
A G2C virtual private network tunnel is created with the access terminal according to the external network authentication result for the access terminal of the external network, and a G2G virtual private network tunnel with the second gateway device according to the internal network authentication result for the access terminal. To create a dedicated for the access terminal
Physical network separation communication system. 제 7 항에 있어서,
상기 제 1 게이트웨이 장치는,
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 제 2 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하는
물리적 망분리 통신 시스템.According to claim 7,
The first gateway device,
Applying a relay through the G2G virtual private network tunnel to traffic generated through the G2C virtual private network tunnel by the access terminal and forwarding the traffic to the server of the internal network through the second gateway device
Physical network separation communication system. 제 8 항에 있어서,
상기 제 1 게이트웨이 장치는,
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는
물리적 망분리 통신 시스템.According to claim 8,
The first gateway device,
Removing at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel with respect to the action by the access terminal
Physical network separation communication system. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium storing a computer program,
When the computer program is executed by a processor,
A connection processing method performed by a gateway device of the external network operated in a physical network separation environment between an external network and an internal network, wherein the external network authentication results for the external network access terminal in a state in which the access address is exposed Generating a G2C virtual private network tunnel with an access terminal, and G2G virtual private network tunnel with other gateway devices according to the internal network authentication result for the access terminal while hiding the access address of the other gateway devices of the internal network A computer-readable recording medium comprising instructions for causing the processor to perform an access processing method comprising generating a dedicated for the access terminal. 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램.As a computer program stored on a computer-readable recording medium,
When the computer program is executed by a processor,
A connection processing method performed by a gateway device of the external network operated in a physical network separation environment between an external network and an internal network, wherein the external network authentication results for the external network access terminal in a state in which the access address is exposed Generating a G2C virtual private network tunnel with an access terminal, and G2G virtual private network tunnel with other gateway devices according to the internal network authentication result for the access terminal while hiding the access address of the other gateway devices of the internal network A computer program comprising instructions for causing the processor to perform an access processing method comprising generating a dedicated for the access terminal.
KR1020220089918A 2022-07-20 2022-07-20 Gateway apparatus and method for handling access thereof KR102491627B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220089918A KR102491627B1 (en) 2022-07-20 2022-07-20 Gateway apparatus and method for handling access thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220089918A KR102491627B1 (en) 2022-07-20 2022-07-20 Gateway apparatus and method for handling access thereof

Publications (1)

Publication Number Publication Date
KR102491627B1 true KR102491627B1 (en) 2023-01-27

Family

ID=85101781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220089918A KR102491627B1 (en) 2022-07-20 2022-07-20 Gateway apparatus and method for handling access thereof

Country Status (1)

Country Link
KR (1) KR102491627B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090123800A (en) 2008-05-27 2009-12-02 아바야 인코포레이티드 Proxy-based two-way web-service router gateway
KR20150116170A (en) * 2014-04-07 2015-10-15 한국전자통신연구원 Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof
KR101585936B1 (en) * 2011-11-22 2016-01-18 한국전자통신연구원 System for managing virtual private network and and method thereof
KR102146568B1 (en) * 2019-09-24 2020-08-20 프라이빗테크놀로지 주식회사 System for controlling network access and method thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090123800A (en) 2008-05-27 2009-12-02 아바야 인코포레이티드 Proxy-based two-way web-service router gateway
KR101585936B1 (en) * 2011-11-22 2016-01-18 한국전자통신연구원 System for managing virtual private network and and method thereof
KR20150116170A (en) * 2014-04-07 2015-10-15 한국전자통신연구원 Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof
KR102146568B1 (en) * 2019-09-24 2020-08-20 프라이빗테크놀로지 주식회사 System for controlling network access and method thereof
KR102178003B1 (en) * 2019-09-24 2020-11-13 프라이빗테크놀로지 주식회사 System for controlling network access and method thereof

Similar Documents

Publication Publication Date Title
CN105027493B (en) Safety moving application connection bus
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
EP3208222B1 (en) Anonymous and ephemeral tokens to authenticate elevator calls
CN104662551B (en) In a network environment to the inspection of the data of encryption
JP7304983B2 (en) Massive localization for cloud-based security services
US8281387B2 (en) Method and apparatus for supporting a virtual private network architecture on a partitioned platform
US10931686B1 (en) Detection of automated requests using session identifiers
US20190207920A1 (en) System and method for secure application communication between networked processors
CN104871484A (en) System and method for an endpoint hardware assisted network firewall in a security environment
EP3097658B1 (en) Automatic placeholder finder-filler
US20090007218A1 (en) Switched-Based Network Security
JP2014511616A (en) Logic device, processing method and processing device
US10560433B2 (en) Vertical cloud service
US10681057B2 (en) Device and method for controlling a communication network
Kulshrestha et al. A literature reviewon sniffing attacks in computernetwork
JP2008090791A (en) Quarantine network system using virtual terminal, method for quarantining virtual terminal, and program for quarantining virtual terminal
KR102491627B1 (en) Gateway apparatus and method for handling access thereof
WO2011125638A1 (en) Network system, port forward forming apparatus and reverse proxy server
US9584544B2 (en) Secured logical component for security in a virtual environment
Garba The anatomy of a cyber attack: dissecting the cyber kill chain (ckc)
KR102605714B1 (en) Communition apparatus and remote access secutity method therefor
KR101448711B1 (en) security system and security method through communication encryption
Nandhini et al. VPN blocker and recognizing the pattern of IP address
US11757839B2 (en) Virtual private network application platform
US20220191209A1 (en) Deperimeterized access control service

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant