KR102491627B1 - Gateway apparatus and method for handling access thereof - Google Patents
Gateway apparatus and method for handling access thereof Download PDFInfo
- Publication number
- KR102491627B1 KR102491627B1 KR1020220089918A KR20220089918A KR102491627B1 KR 102491627 B1 KR102491627 B1 KR 102491627B1 KR 1020220089918 A KR1020220089918 A KR 1020220089918A KR 20220089918 A KR20220089918 A KR 20220089918A KR 102491627 B1 KR102491627 B1 KR 102491627B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- access terminal
- virtual private
- gateway device
- tunnel
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 9
- 238000000926 separation method Methods 0.000 claims abstract description 27
- 238000003672 processing method Methods 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims description 45
- 238000004590 computer program Methods 0.000 claims description 15
- 230000009471 action Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 게이트웨이(gateway) 장치와 이 게이트웨이 장치가 접속을 처리하는 방법에 관한 것이다.The present invention relates to a gateway device and how the gateway device handles a connection.
일반적으로 물리적 망분리 환경은 외부망(예컨대, 인터넷망)과 내부망(예컨대, 업무망)을 물리적으로 분리한 환경에서 운용하는 것을 일컫고, 이러한 물리적 망분리 환경에서 원격 접속 시에는 G2C(gateway to client) 가상사설망(VPN, virtual private network)을 통해 접근한다.In general, a physical network separation environment refers to operating in an environment in which an external network (eg, Internet network) and an internal network (eg, business network) are physically separated. client) is accessed through a virtual private network (VPN).
그런데, G2C 가상사설망 접근을 위해 외부망의 G2C 가상사설망 서버의 접속 주소 및 내부망의 G2C 가상사설망 서버의 접속 주소가 노출되기 때문에 접속 주소를 이용한 불특정 다수의 공격 시도에 취약하다.However, since the access address of the G2C virtual private network server of the external network and the access address of the G2C virtual private network server of the internal network are exposed to access the G2C virtual private network, it is vulnerable to an unspecified number of attack attempts using the access address.
이와 같은 보안 취약성을 최소화하기 위해 제로트러스트 개념으로 원격 사용자가 인증 받은 후에만 서버 주소를 알 수 있는 서버 하이딩 또는 서버 스텔스라 불리는 기능을 적용하기도 하는데, 이 방법 역시 인증 받은 후라 할지라도 결국 서버 주소가 노출된다는 약점이 존재한다.In order to minimize such security vulnerabilities, a function called server hiding or server stealth, in which the server address can be known only after the remote user is authenticated, is applied as a concept of zero trust. There are weaknesses that are exposed.
특히, 인터넷망 등의 외부망에 비해 업무망 등의 내부망은 상대적으로 보안이 매우 중요하기 때문에 보다 엄격한 보안이 적용되어야 할 필요성이 있다.In particular, since the security of the internal network, such as the business network, is relatively very important compared to the external network, such as the Internet network, there is a need for stricter security to be applied.
일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G(gateway to gateway) 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있도록 한 게이트웨이 장치와 그 접속 처리 방법을 제공한다.According to an embodiment, by creating a G2G (gateway to gateway) virtual private network tunnel between an external network gateway and an internal network gateway in a physical network separation environment, the access address of the internal network gateway is always hidden regardless of whether the access terminal is authenticated. A gateway device and its connection processing method are provided.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.However, the problem to be solved by the present invention is not limited to those mentioned above, and another problem to be solved that is not mentioned can be clearly understood by those skilled in the art from the description below. will be.
제 1 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법은, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함한다.In the connection processing method performed by the gateway device of the external network operated in a physical network separation environment between the external network and the internal network according to the first aspect, external network authentication for an access terminal of the external network in a state in which an access address is exposed Generating a G2C virtual private network tunnel with the access terminal according to the result of the step, and in a state where the access address of the other gateway device of the internal network is concealed, according to the result of authentication for the internal network of the access terminal, the other gateway device and and creating a G2G virtual private network tunnel dedicated to the access terminal.
제 2 관점에 따른 외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치는, 상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와, 상기 통신부를 제어하는 프로세서부를 포함하고, 상기 프로세서부는, 상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어한다.The gateway device of the external network operated in a physical network separation environment between the external network and the internal network according to the second aspect includes a communication unit that communicates with an access terminal of the external network and other gateway devices of the internal network, and the communication unit A processor unit controlling a processor unit, wherein the processor unit controls the communication unit to create a G2C virtual private network tunnel with the access terminal according to a result of external network authentication for the access terminal in a state in which an access address of the communication unit is exposed; , Controls the communication unit to create a G2G virtual private network tunnel with the other gateway device exclusively for the access terminal according to the internal network authentication result for the access terminal in a state in which the access address of the other gateway device is hidden .
제 3 관점에 따른 물리적 망분리 통신 시스템은, 외부망과 내부망의 물리적 망분리 환경에서 접속 주소를 노출한 상태로 운용되는 상기 외부망의 제 1 게이트웨이 장치와, 접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고, 상기 제 1 게이트웨이 장치는, 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성한다.A physical network separation communication system according to a third aspect includes a first gateway device of the external network operated in a state in which the access address is exposed in a physical network separation environment between the external network and the internal network, and operation in a state in which the access address is concealed and a second gateway device of the internal network, wherein the first gateway device creates a G2C virtual private network tunnel with the access terminal according to an external network authentication result for the access terminal of the external network, and the access terminal A G2G virtual private network tunnel with the second gateway device is created exclusively for the access terminal according to the result of internal network authentication for .
제 4 관점에 따라 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체는, 상기 컴퓨터 프로그램이, 프로세서에 의해 실행되면, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.According to the fourth aspect, a computer readable recording medium storing a computer program includes instructions for causing the processor to perform the connection processing method when the computer program is executed by a processor.
제 5 관점에 따라 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램은, 상기 컴퓨터 프로그램이, 상기 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함한다.A computer program stored in a computer readable recording medium according to the fifth aspect includes instructions for causing the processor to perform the connection processing method.
일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 근래의 불법적인 사이버 공격은 컴퓨팅파워를 활용하기 보다는 다크웹과 같은 불법적인 루트를 통해 정상적인 계정 정보 및/또는 접속 권한을 획득한 후 공격하는 방식이 증가하는 추세다. 따라서 인증을 받은 정상적인 단말 사용자로 판단이 되더라도 이 같은 상황에 대비하기 위해 최대한으로 보안성을 적용해야 할 필요가 있다. 본 발명의 일 실시예에 따르면, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.According to an embodiment, by creating a G2G virtual private network tunnel between the external network gateway and the internal network gateway in a physical network separation environment, the access address of the internal network gateway can always be hidden regardless of whether the accessing terminal is authenticated or not. Recently, illegal cyber attacks tend to increase in attack methods after obtaining normal account information and/or access rights through illegal routes such as the dark web rather than utilizing computing power. Therefore, even if it is judged as a normal terminal user who has been authenticated, it is necessary to apply maximum security to prepare for such a situation. According to an embodiment of the present invention, since the access address of an internal network gateway such as a business network gateway can always be hidden, there is an effect of increasing safety and efficiency for remote access.
도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.
도 2는 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치의 구성도이다.
도 3은 도 1의 물리적 망분리 통신 시스템 내 제 1 게이트웨이 장치가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.1 is a configuration diagram of a physical network separation communication system according to an embodiment of the present invention.
FIG. 2 is a configuration diagram of a first gateway device in the physical network separation communication system of FIG. 1 .
FIG. 3 is a flowchart illustrating an access processing method performed by a first gateway device in the physical network separation communication system of FIG. 1 .
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention, and methods of achieving them, will become clear with reference to the detailed description of the following embodiments taken in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only these embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention belongs. It is provided to completely inform the person who has the scope of the invention, and the present invention is only defined by the scope of the claims.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the embodiment of the present invention, which may vary according to the intention or custom of a user or operator. Therefore, the definition should be made based on the contents throughout this specification.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as 'comprise' or 'comprise' are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other It should be understood that the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof is not precluded.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.Also, in an embodiment of the present invention, when a part is said to be connected to another part, this includes not only a direct connection but also an indirect connection through another medium. In addition, the meaning that a certain part includes a certain component means that it may further include other components rather than excluding other components unless otherwise specified.
도 1은 본 발명의 일 실시예에 따른 물리적 망분리 통신 시스템의 구성도이다.1 is a configuration diagram of a physical network separation communication system according to an embodiment of the present invention.
도 1을 참조하면, 물리적 망분리 통신 시스템(100)은 인터넷망 등과 같은 외부망의 제 1 게이트웨이 장치(120) 및 업무망 등과 같은 내부망의 제 2 게이트웨이 장치(130)를 포함한다.Referring to FIG. 1 , a physical network
이러한 물리적 망분리 통신 시스템(100)에서, 인터넷망 등과 같은 외부망을 통해 접속 단말(110)이 제 1 게이트웨이 장치(120)에 접속할 수 있고, 업무망 등의 내부망을 통해 서버(140)가 제 2 게이트웨이 장치(130)에 접속할 수 있다. 예를 들어, 서버(140)는 업무망 내에서 수행할 수 있는 각종 업무를 지원하는 업무 서버일 수 있다. 여기서, 제 1 게이트웨이 장치(120)는 접속 주소를 노출한 상태로 운용되고, 제 2 게이트웨이 장치(130)는 접속 주소를 은닉한 상태로 운용된다.In this physical network
제 1 게이트웨이 장치(120)는 외부망의 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널(101)을 생성하고, 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달한다. 그리고, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거한다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우에 G2G 가상사설망 터널(102)을 제거할 수 있고, 외부망용 인증에 대해 로그아웃을 할 경우에 G2C 가상사설망 터널(101)을 제거할 수 있다.The
도 2는 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)의 구성도이다.FIG. 2 is a configuration diagram of the
도 2를 참조하면, 제 1 게이트웨이 장치(120)는 통신부(121) 및 프로세서부(122)를 포함하고, 저장부(123)를 더 포함할 수 있다.Referring to FIG. 2 , the
통신부(121)는 프로세서부(122)의 제어에 따라 외부망의 접속 단말(110) 및 내부망의 제 2 게이트웨이 장치(130)와 통신을 수행한다.The
프로세서부(122)는 통신부(121)의 접속 주소를 노출한 상태에서 접속 단말(110)에 대한 외부망용 인증의 결과에 따라 접속 단말(110)과 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하며, 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태에서 접속 단말(110)에 대한 내부망용 인증의 결과에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어한다. 그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어한다.The
저장부(123)에는 프로세서부(122)에 의한 각종 처리 결과가 저장될 수 있고, 그리고, 저장부(123)에는 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장될 수 있다.Various processing results by the
도 3은 도 1의 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 수행하는 접속 처리 방법을 설명하기 위한 흐름도이다.FIG. 3 is a flowchart illustrating an access processing method performed by the
이하, 도 1 내지 도 3을 참조하여 물리적 망분리 통신 시스템(100) 내 제 1 게이트웨이 장치(120)가 접속 단말(110)에 의한 접속을 처리하는 과정에 대해 자세히 살펴보기로 한다.Hereinafter, a process in which the
먼저, 접속 단말(110)은 인터넷망 등과 같은 외부망을 통해 제 1 게이트웨이 장치(120)에 접속할 수 있다(S310).First, the
그러면, 제 1 게이트웨이 장치(120)는 접속 단말(110)에 대해 외부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 외부망용 인증에 통과할 수 있다. 예컨대, 외부망용 인증은 제 1 게이트웨이 장치(120)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S320).Then, the
외부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 G2C 가상사설망 터널을 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 접속 단말(110)과의 G2C 가상사설망 터널(101)을 생성한다. 예컨대, 통신부(121)는 G2C 가상사설망 터널(101)로서 SSL(secure socket layer) 가상사설망 터널을 생성할 수 있다(S330).For the
이렇게 외부망용 인증에 통과한 접속 단말(110)은 외부망을 이용할 수 있지만 내부망을 이용할 수 없는 상태이고, 내부망을 이용하기 위해서는 내부망용 인증에 통과하여야 한다. 이를 위해, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 대해 내부망용 인증을 수행할 수 있다. 예를 들어, 접속 단말(110)은 제 1 게이트웨이 장치(120)에 의해 제공되는 제 2 게이트웨이 장치(130)에 대한 접속 화면에서 아이디와 패스워드를 입력하는 방식으로 인증을 요청할 수 있고, 사전 등록된 아이디와 패스워드와 동일할 경우에 내부망용 인증에 통과할 수 있다. 이러한 내부망용 인증에서 접속 단말(110)은 제 2 게이트웨이 장치(130)의 접속 주소를 알 필요가 없기 때문에 제 1 게이트웨이 장치(120)는 제 2 게이트웨이 장치(130)의 접속 주소를 은닉한 상태로 내부망용 인증과 관련된 서비스를 제공할 수 있고 인증된 이후에도 제 2 게이트웨이 장치(130)의 접속 주소를 계속 은닉한다. 예컨대, 이러한 내부망용 인증은 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)가 직접 수행할 수도 있고, 제 1 게이트웨이 장치(120) 또는 제 2 게이트웨이 장치(130)에 접속된 별도의 인증 서버(도시 생략됨)에 의해 수행될 수 있다(S340).The
내부망용 인증에 통과한 접속 단말(110)에 대해 제 1 게이트웨이 장치(120)의 프로세서부(122)는 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성하도록 통신부(121)를 제어하고, 통신부(121)는 제어에 따라 제 2 게이트웨이 장치(130)와의 G2G 가상사설망 터널(102)을 접속 단말(110)에 대해 전용으로 생성한다. 예컨대, 통신부(121)는 G2G 가상사설망 터널(102)로서 IPSec(internet protocol security) 가상사설망 터널을 생성할 수 있다(S350).For the
이렇게 G2G 가상사설망 터널(102)이 생성된 후, 제 1 게이트웨이 장치(120)의 프로세서부(122)는 접속 단말(110)에 의해 G2C 가상사설망 터널(101)을 통해 발생된 트래픽에 대해 G2G 가상사설망 터널(102)을 통한 릴레이를 적용해 제 2 게이트웨이 장치(130)를 통해 내부망의 서버(140)에 전달하도록 통신부(121)를 제어하고, 통신부(121)는 프로세서부(122)의 제어에 따라 접속 단말(110)과 서버(140) 사이의 데이터 송수신을 위해 G2G 가상사설망 터널(102)을 통한 릴레이를 지원한다(S360).After the G2G virtual
그리고, 프로세서부(122)는 접속 단말(110)에 의한 행위에 대하여 G2C 가상사설망 터널(101)과 G2G 가상사설망 터널(102) 중 적어도 하나를 제거하도록 통신부(121)를 제어할 수 있다. 예를 들어, 접속 단말(110)이 내부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2G 가상사설망 터널(102)을 제거할 수 있고(S380), 외부망용 인증에 대해 로그아웃을 할 경우(S370)에 G2C 가상사설망 터널(101)을 제거할 수 있다(S380).Further, the
지금까지 설명한 바와 같이 본 발명의 일 실시예에 따르면, 물리적 망분리 환경에서 외부망 게이트웨이와 내부망 게이트웨이 구간에 G2G 가상사설망 터널을 생성함으로써, 접속 단말의 인증 여부와 관계없이 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있다. 이처럼, 업무망 게이트웨이 등과 같은 내부망 게이트웨이의 접속 주소를 상시 은닉할 수 있기 때문에, 원격 접속에 대한 안전성 및 효율성이 증대되는 효과가 있다.As described so far, according to an embodiment of the present invention, by creating a G2G virtual private network tunnel between an external network gateway and an internal network gateway in a physical network separation environment, the access address of the internal network gateway regardless of whether the access terminal is authenticated or not. can be hidden at all times. As such, since the access address of the internal network gateway, such as the business network gateway, can always be hidden, there is an effect of increasing safety and efficiency for remote access.
한편, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램은 컴퓨터 판독 가능 기록매체에 저장될 수 있다.On the other hand, a computer program including instructions for causing the
또한, 상술한 일 실시예에 따른 각각의 단계를 포함하는 접속 처리 방법을 제 1 게이트웨이 장치(120)의 프로세서부(122)가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램이 저장되어 있는 컴퓨터 판독 가능한 기록매체가 제공될 수 있다.In addition, a computer readable program in which a computer program including instructions for causing the
본 발명에 첨부된 각 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Combinations of each step in each flowchart attached to the present invention may be performed by computer program instructions. Since these computer program instructions may be loaded into a processor of a general-purpose computer, a special-purpose computer, or other programmable data processing equipment, the instructions executed by the processor of the computer or other programmable data processing equipment function as described in each step of the flowchart. create a means to do them. These computer program instructions can also be stored on a computer usable or computer readable medium that can be directed to a computer or other programmable data processing equipment to implement functions in a particular way, so that the computer usable or computer readable It is also possible that the instructions stored on the recording medium produce an article of manufacture containing instruction means for performing the functions described in each step of the flowchart. The computer program instructions can also be loaded on a computer or other programmable data processing equipment, so that a series of operational steps are performed on the computer or other programmable data processing equipment to create a computer-executed process to generate computer or other programmable data processing equipment. Instructions for performing the processing equipment may also provide steps for executing the functions described at each step in the flowchart.
또한, 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Further, each step may represent a module, segment or portion of code that includes one or more executable instructions for executing the specified logical function(s). It should also be noted that in some alternative embodiments it is possible for the functions mentioned in the steps to occur out of order. For example, two steps shown in succession may in fact be performed substantially concurrently, or the steps may sometimes be performed in reverse order depending on the function in question.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an example of the technical idea of the present invention, and various modifications and variations can be made to those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed according to the claims below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.
100: 물리적 망분리 통신 시스템
110: 접속 단말
120: 제 1 게이트웨이 장치
130: 제 2 게이트웨이 장치
140: 서버100: physical network separation communication system
110: access terminal
120: first gateway device
130: second gateway device
140: server
Claims (11)
접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C(gateway to client) 가상사설망 터널을 생성하는 단계와,
상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G(gateway to gateway) 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는
접속 처리 방법.A connection processing method performed by a gateway device of the external network operating in a physical network separation environment between an external network and an internal network, comprising:
generating a G2C (gateway to client) virtual private network tunnel with the access terminal according to an external network authentication result for the access terminal of the external network in a state where the access address is exposed;
In a state in which access addresses of other gateway devices of the internal network are concealed, a gateway to gateway (G2G) virtual private network tunnel with the other gateway device is dedicated for the access terminal according to the result of internal network authentication for the access terminal including the steps to create
Connection handling method.
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버로 데이터를 전달하는 단계를 더 포함하는
접속 처리 방법.According to claim 1,
Applying a relay through the G2G virtual private network tunnel to traffic generated by the access terminal through the G2C virtual private network tunnel and forwarding data to a server of the internal network through the other gateway device Further comprising
Connection handling method.
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는 단계를 더 포함하는
접속 처리 방법.According to claim 2,
Further comprising removing at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel with respect to the action by the access terminal
Connection handling method.
상기 외부망의 접속 단말 및 상기 내부망의 다른 게이트웨이 장치와 통신을 수행하는 통신부와,
상기 통신부를 제어하는 프로세서부를 포함하고,
상기 프로세서부는,
상기 통신부의 접속 주소를 노출한 상태에서 상기 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하도록 상기 통신부를 제어하며, 상기 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하도록 상기 통신부를 제어하는
게이트웨이 장치.A gateway device of the external network operated in a physical network separation environment of an external network and an internal network,
a communication unit that communicates with an access terminal of the external network and other gateway devices of the internal network;
A processor unit controlling the communication unit;
The processor unit,
Controlling the communication unit to create a G2C virtual private network tunnel with the access terminal according to the result of external network authentication for the access terminal in a state in which the access address of the communication unit is exposed, and hiding the access address of the other gateway device Controlling the communication unit to create a G2G virtual private network tunnel with the other gateway device exclusively for the access terminal according to a result of internal network authentication for the access terminal in
gateway device.
상기 프로세서부는,
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 다른 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하도록 상기 통신부를 제어하는
게이트웨이 장치.According to claim 4,
The processor unit,
Controlling the communication unit to apply a relay through the G2G virtual private network tunnel to traffic generated by the access terminal through the G2C virtual private network tunnel and forward the traffic to the server of the internal network through the other gateway device
gateway device.
상기 프로세서부는,
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하도록 상기 통신부를 제어하는
게이트웨이 장치.According to claim 5,
The processor unit,
Controlling the communication unit to remove at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel in response to an action by the access terminal
gateway device.
접속 주소를 은닉한 상태에서 운용되는 상기 내부망의 제 2 게이트웨이 장치를 포함하고,
상기 제 1 게이트웨이 장치는,
상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하고, 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 제 2 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는
물리적 망분리 통신 시스템.A first gateway device of the external network operated in a state in which access addresses are exposed in a physical network separation environment between an external network and an internal network;
A second gateway device of the internal network operated in a state in which the access address is hidden;
The first gateway device,
A G2C virtual private network tunnel is created with the access terminal according to the external network authentication result for the access terminal of the external network, and a G2G virtual private network tunnel with the second gateway device according to the internal network authentication result for the access terminal. To create a dedicated for the access terminal
Physical network separation communication system.
상기 제 1 게이트웨이 장치는,
상기 접속 단말에 의해 상기 G2C 가상사설망 터널을 통해 발생된 트래픽에 대해 상기 G2G 가상사설망 터널을 통한 릴레이를 적용해 상기 제 2 게이트웨이 장치를 통해 상기 내부망의 서버에 전달하는
물리적 망분리 통신 시스템.According to claim 7,
The first gateway device,
Applying a relay through the G2G virtual private network tunnel to traffic generated through the G2C virtual private network tunnel by the access terminal and forwarding the traffic to the server of the internal network through the second gateway device
Physical network separation communication system.
상기 제 1 게이트웨이 장치는,
상기 접속 단말에 의한 행위에 대하여 상기 G2C 가상사설망 터널과 G2G 가상사설망 터널 중 적어도 하나를 제거하는
물리적 망분리 통신 시스템.According to claim 8,
The first gateway device,
Removing at least one of the G2C virtual private network tunnel and the G2G virtual private network tunnel with respect to the action by the access terminal
Physical network separation communication system.
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium storing a computer program,
When the computer program is executed by a processor,
A connection processing method performed by a gateway device of the external network operated in a physical network separation environment between an external network and an internal network, wherein the external network authentication results for the external network access terminal in a state in which the access address is exposed Generating a G2C virtual private network tunnel with an access terminal, and G2G virtual private network tunnel with other gateway devices according to the internal network authentication result for the access terminal while hiding the access address of the other gateway devices of the internal network A computer-readable recording medium comprising instructions for causing the processor to perform an access processing method comprising generating a dedicated for the access terminal.
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
외부망과 내부망의 물리적 망분리 환경에서 운용되는 상기 외부망의 게이트웨이 장치가 수행하는 접속 처리 방법으로서, 접속 주소를 노출한 상태에서 상기 외부망의 접속 단말에 대한 외부망용 인증의 결과에 따라 상기 접속 단말과 G2C 가상사설망 터널을 생성하는 단계와, 상기 내부망의 다른 게이트웨이 장치의 접속 주소를 은닉한 상태에서 상기 접속 단말에 대한 내부망용 인증의 결과에 따라 상기 다른 게이트웨이 장치와의 G2G 가상사설망 터널을 상기 접속 단말에 대해 전용으로 생성하는 단계를 포함하는 접속 처리 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램.As a computer program stored on a computer-readable recording medium,
When the computer program is executed by a processor,
A connection processing method performed by a gateway device of the external network operated in a physical network separation environment between an external network and an internal network, wherein the external network authentication results for the external network access terminal in a state in which the access address is exposed Generating a G2C virtual private network tunnel with an access terminal, and G2G virtual private network tunnel with other gateway devices according to the internal network authentication result for the access terminal while hiding the access address of the other gateway devices of the internal network A computer program comprising instructions for causing the processor to perform an access processing method comprising generating a dedicated for the access terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220089918A KR102491627B1 (en) | 2022-07-20 | 2022-07-20 | Gateway apparatus and method for handling access thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220089918A KR102491627B1 (en) | 2022-07-20 | 2022-07-20 | Gateway apparatus and method for handling access thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102491627B1 true KR102491627B1 (en) | 2023-01-27 |
Family
ID=85101781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220089918A KR102491627B1 (en) | 2022-07-20 | 2022-07-20 | Gateway apparatus and method for handling access thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102491627B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090123800A (en) | 2008-05-27 | 2009-12-02 | 아바야 인코포레이티드 | Proxy-based two-way web-service router gateway |
KR20150116170A (en) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof |
KR101585936B1 (en) * | 2011-11-22 | 2016-01-18 | 한국전자통신연구원 | System for managing virtual private network and and method thereof |
KR102146568B1 (en) * | 2019-09-24 | 2020-08-20 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method thereof |
-
2022
- 2022-07-20 KR KR1020220089918A patent/KR102491627B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090123800A (en) | 2008-05-27 | 2009-12-02 | 아바야 인코포레이티드 | Proxy-based two-way web-service router gateway |
KR101585936B1 (en) * | 2011-11-22 | 2016-01-18 | 한국전자통신연구원 | System for managing virtual private network and and method thereof |
KR20150116170A (en) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof |
KR102146568B1 (en) * | 2019-09-24 | 2020-08-20 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method thereof |
KR102178003B1 (en) * | 2019-09-24 | 2020-11-13 | 프라이빗테크놀로지 주식회사 | System for controlling network access and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105027493B (en) | Safety moving application connection bus | |
US11190489B2 (en) | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter | |
EP3208222B1 (en) | Anonymous and ephemeral tokens to authenticate elevator calls | |
CN104662551B (en) | In a network environment to the inspection of the data of encryption | |
JP7304983B2 (en) | Massive localization for cloud-based security services | |
US8281387B2 (en) | Method and apparatus for supporting a virtual private network architecture on a partitioned platform | |
US10931686B1 (en) | Detection of automated requests using session identifiers | |
US20190207920A1 (en) | System and method for secure application communication between networked processors | |
CN104871484A (en) | System and method for an endpoint hardware assisted network firewall in a security environment | |
EP3097658B1 (en) | Automatic placeholder finder-filler | |
US20090007218A1 (en) | Switched-Based Network Security | |
JP2014511616A (en) | Logic device, processing method and processing device | |
US10560433B2 (en) | Vertical cloud service | |
US10681057B2 (en) | Device and method for controlling a communication network | |
Kulshrestha et al. | A literature reviewon sniffing attacks in computernetwork | |
JP2008090791A (en) | Quarantine network system using virtual terminal, method for quarantining virtual terminal, and program for quarantining virtual terminal | |
KR102491627B1 (en) | Gateway apparatus and method for handling access thereof | |
WO2011125638A1 (en) | Network system, port forward forming apparatus and reverse proxy server | |
US9584544B2 (en) | Secured logical component for security in a virtual environment | |
Garba | The anatomy of a cyber attack: dissecting the cyber kill chain (ckc) | |
KR102605714B1 (en) | Communition apparatus and remote access secutity method therefor | |
KR101448711B1 (en) | security system and security method through communication encryption | |
Nandhini et al. | VPN blocker and recognizing the pattern of IP address | |
US11757839B2 (en) | Virtual private network application platform | |
US20220191209A1 (en) | Deperimeterized access control service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |