JP2013516016A - Proxy-based security system to ensure availability - Google Patents

Proxy-based security system to ensure availability Download PDF

Info

Publication number
JP2013516016A
JP2013516016A JP2012547001A JP2012547001A JP2013516016A JP 2013516016 A JP2013516016 A JP 2013516016A JP 2012547001 A JP2012547001 A JP 2012547001A JP 2012547001 A JP2012547001 A JP 2012547001A JP 2013516016 A JP2013516016 A JP 2013516016A
Authority
JP
Japan
Prior art keywords
unit
data packet
proxy
transmitted
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012547001A
Other languages
Japanese (ja)
Inventor
ジン,スンテ
パク,デウォン
ベク,スンヨン
パク,チュンオ
Original Assignee
ピーエヌピースィキュア インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ピーエヌピースィキュア インコーポレイテッド filed Critical ピーエヌピースィキュア インコーポレイテッド
Publication of JP2013516016A publication Critical patent/JP2013516016A/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract


【課題】可用性保障のためのプロキシベースセキュリティーシステムを提供する。
【解決手段】本発明に係るプロキシをベースとしたセキュリティーシステムは、ユーザーコンピュータから、データベース管理システムサーバーを最終目的地とする情報が含まれたデータパケットの伝送を受け、伝送されたデータパケットを伝送制御部とプロキシACL部へ伝送する受信待ち行列部と、受信待ち行列部からデータパケットの伝送を受け、データパケットの目的地アドレスをデータベース管理システムサーバーに設定して伝送待ち行列部へ伝送するプロキシACL部と、受信待ち行列部から伝送されたデータパケットの伝送許否を予め記憶されたセキュリティーシステム政策プログラムを用いて判断し、許容信号又は遮断信号を有する命令データを生成して伝送待ち行列部へ伝送する伝送制御部と、プロキシACL部からデータパケットの伝送を受け、伝送制御部から命令データの伝送を受けて、命令データが許容信号を有する場合にはプロキシACL部から伝送されたデータパケットをデータベース管理システムサーバーへ伝送し、命令データが遮断信号を有する場合にはプロキシACL部から伝送されたデータパケットのヘッダ部を除いた情報データ部を設定された遮断メッセージデータ部に変更してデータベース管理システムサーバーへ伝送し、且つ、受信待ち行列部がデータパケットの伝送を受けた時点から所定の時間伝送制御部から命令データが伝送されなければ、プロキシACL部から伝送されたデータパケットをデータベース管理システムサーバーへ伝送する伝送待ち行列部と、を含んでなる。上述したような本発明によれば、伝送制御部に障害が発生しても、既に接続されているセッション、新規のセッションともに影響を与えないため、セキュリティーシステムの可用性を保障することができる。
【選択図】図2
A proxy-based security system for ensuring availability is provided.
A proxy-based security system according to the present invention receives a data packet including information whose final destination is a database management system server from a user computer, and transmits the transmitted data packet. A reception queue unit that transmits to the control unit and the proxy ACL unit, and a proxy that receives data packet transmission from the reception queue unit, sets the destination address of the data packet in the database management system server, and transmits the data packet to the transmission queue unit The ACL unit and the transmission queue of the data packet transmitted from the reception queue unit are judged using a security system policy program stored in advance, and command data having an allowance signal or a blocking signal is generated and transmitted to the transmission queue unit Data is transmitted from the transmission control unit and the proxy ACL unit. Receives packet transmission, receives command data from the transmission control unit, and if the command data has an allowable signal, transmits the data packet transmitted from the proxy ACL unit to the database management system server, and blocks the command data If there is a signal, the information data part excluding the header part of the data packet transmitted from the proxy ACL part is changed to the set blocking message data part and transmitted to the database management system server, and the reception queue part A transmission queue unit that transmits the data packet transmitted from the proxy ACL unit to the database management system server if the command data is not transmitted from the transmission control unit for a predetermined time from when the data packet is transmitted. It becomes. According to the present invention as described above, even if a failure occurs in the transmission control unit, neither an already connected session nor a new session is affected, so that the availability of the security system can be ensured.
[Selection] Figure 2

Description

本発明は、プロキシ(proxy)をベースとしたセキュリティーシステムの可用性保障のためのパッケット制御モジュール及び装置に関する。   The present invention relates to a packet control module and apparatus for ensuring the availability of a security system based on a proxy.

図1は従来の技術に係るセキュリティーシステムを経由したユーザーコンピュータとデータベース管理システムサーバーとの論理的な接続を示す図である。   FIG. 1 is a diagram showing a logical connection between a user computer and a database management system server via a security system according to the prior art.

図1に示すように、ユーザーコンピュータ400は、データベース管理システムサーバー600に接続するためのデータパケットを生成するプログラムとしてのデータベースツール410と、データパケットがデータベース管理システムサーバー600へ直接伝送される前にセキュリティーシステム500を経由するように、データパケットの目的地アドレスをデータベース管理システムサーバー600からセキュリティーシステム500に変調するアドレス変換方式のプロキシセキュリティーモジュール420と、LANカードなどのイーサネットインターフェース430とを含んでなる。
また、セキュリティーシステム500は、ユーザーコンピュータのアドレス変換方式のプロキシセキュリティーモジュール420によって伝送されたデータパケットを受信する第1ソケット部510と、セキュリティーシステム政策プログラムを備え、伝送されたデータパケットをセキュリティーシステム政策プログラムを用いて分析することにより、データパケットを伝送するか否かを判断し、伝送を許容する場合には、データパケットの出発地アドレスをセキュリティーシステム500に変調し、目的地アドレスをデータベース管理システムサーバー600に変調してデータベース管理システムサーバー600へ伝送するように制御し、伝送を遮断する場合には、遮断メッセージを有するデータパケットを生成してユーザーコンピュータ400へ伝送するように制御する伝送制御部520と、伝送制御部520の制御に基づいて、ユーザーコンピュータ400から伝送されたデータパケット、又は遮断メッセージを有するデータパケットを伝送する第2ソケット部530とを含んでなる。
また、データベース管理システムサーバー600は、伝送されたデータパケットに応じて数多くのデータ資料を追加、修正又は削除し、或いはユーザーコンピュータ400から要請されるデータに応答するデータベースサーバーであって、Oracle、MS−SQL、SyBaseなどのソフトウェアを含む。
ところが、このような従来に係るセキュリティーシステム400は、伝送制御部520に障害が発生する場合、接続中のセッションが全て終了してしまうという問題点が生じた。 As shown in FIG. 1, the user computer 400 includes a database tool 410 as a program for generating a data packet for connection to the database management system server 600, and before the data packet is directly transmitted to the database management system server 600. An address conversion type proxy security module 420 that modulates the destination address of the data packet from the database management system server 600 to the security system 500 so as to pass through the security system 500, and an Ethernet interface 430 such as a LAN card. .
In addition, the security system 500 includes a first socket unit 510 that receives a data packet transmitted by the proxy security module 420 of the user computer address translation method, and a security system policy program. By analyzing using a program, it is determined whether or not to transmit a data packet. When transmission is permitted, the starting address of the data packet is modulated into the security system 500, and the destination address is converted into a database management system. When the server 600 is controlled so as to be modulated and transmitted to the database management system server 600 and the transmission is cut off, a data packet having a cut-off message is generated and the user computer is generated. A transmission control unit 520 that controls the transmission to 00, and a second socket unit 530 that transmits a data packet transmitted from the user computer 400 or a data packet having a blocking message based on the control of the transmission control unit 520, Comprising.
The database management system server 600 is a database server that adds, modifies, or deletes a large number of data materials according to transmitted data packets or responds to data requested by the user computer 400. -Includes software such as SQL, SyBase.
However, such a security system 400 according to the related art has a problem in that when a failure occurs in the transmission control unit 520, all connected sessions are terminated.

本発明は、上述した問題点を解決するためになされたもので、その目的は、セキュリティーシステムの伝送制御部に障害が発生しても、既に接続されているセッション、新規のセッションともに影響を与えないように可用性を保障するセキュリティーシステムを提供することにある。   The present invention has been made to solve the above-described problems, and its purpose is to affect both already-connected sessions and new sessions even if a failure occurs in the transmission control unit of the security system. It is to provide a security system that ensures availability.

上記目的を達成するために、本発明に係るプロキシをベースとしたセキュリティーシステムは、ユーザーコンピュータから、データベース管理システムサーバーを最終目的地とする情報が含まれたデータパケットの伝送を受け、伝送されたデータパケットを伝送制御部とプロキシACL部へ伝送する受信待ち行列部と、受信待ち行列部からデータパケットの伝送を受け、データパケットの目的地アドレスをデータベース管理システムサーバーに設定して伝送待ち行列部へ伝送するプロキシACL部と、受信待ち行列部から伝送されたデータパケットの伝送許否を予め記憶されたセキュリティーシステム政策プログラムを用いて判断し、許容信号又は遮断信号を有する命令データを生成して伝送待ち行列部へ伝送する伝送制御部と、プロキシACL部からデータパケットの伝送を受け、伝送制御部から命令データの伝送を受けて、命令データが許容信号を有する場合にはプロキシACL部から伝送されたデータパケットをデータベース管理システムサーバーへ伝送し、命令データが遮断信号を有する場合にはプロキシACL部から伝送されたデータパケットのヘッダ部を除いた情報データ部を設定された遮断メッセージデータ部に変更してデータベース管理システムサーバーへ伝送し、且つ、受信待ち行列部がデータパケットの伝送を受けた時点から所定の時間伝送制御部から命令データが伝送されなければ、プロキシACL部から伝送されたデータパケットをデータベース管理システムサーバーへ伝送する伝送待ち行列部とを含んでなる。
また、前記プロキシACL部は、受信待ち行列から伝送されたデータパケットの出発地アドレスを該当ユーザーコンピュータに設定し、目的地アドレスをデータベース管理システムサーバーに設定して伝送待ち行列部へ伝送してもよい。 In order to achieve the above object, a proxy-based security system according to the present invention receives a data packet including information whose final destination is a database management system server from a user computer, and transmits the data packet. A reception queue unit that transmits data packets to the transmission control unit and the proxy ACL unit, a transmission queue unit that receives the transmission of data packets from the reception queue unit, and sets the destination address of the data packet in the database management system server The proxy ACL unit that transmits to the host and the transmission permission / refusal of the data packet transmitted from the reception queue unit are determined using a security system policy program stored in advance, and command data having a permission signal or a blocking signal is generated and transmitted. Transmission control unit for transmitting to the queue unit and proxy A Receiving the transmission of the data packet from the L section, receiving the transmission of the instruction data from the transmission control section, and transmitting the data packet transmitted from the proxy ACL section to the database management system server when the instruction data has an allowable signal, If the command data has a blocking signal, the information data part excluding the header part of the data packet transmitted from the proxy ACL part is changed to the set blocking message data part and transmitted to the database management system server, and A transmission queue unit that transmits the data packet transmitted from the proxy ACL unit to the database management system server if the command data is not transmitted from the transmission control unit for a predetermined time from the time when the reception queue unit receives the transmission of the data packet And comprising.
The proxy ACL unit may set a starting address of the data packet transmitted from the reception queue in the corresponding user computer, set a destination address in the database management system server, and transmit it to the transmission queue unit. Good.

上述した本発明によれば、セキュリティーシステムの伝送制御部に障害が発生しても、既に接続されているセッション、新規のセッションともに影響を与えないため、セキュリティーシステムの可用性を保障することができる。   According to the above-described present invention, even if a failure occurs in the transmission control unit of the security system, neither an already connected session nor a new session is affected, so that the availability of the security system can be ensured.

従来の技術に係るセキュリティーシステムを経由したユーザーコンピュータとデータベース管理システムサーバーとの論理的な接続を示す図である。It is a figure which shows the logical connection of the user computer and database management system server which passed through the security system which concerns on the prior art. 本発明に係るセキュリティーシステムを経由したユーザーコンピュータとデーベース管理システムサーバーとの論理的な接続を示す図である。It is a figure which shows the logical connection of the user computer and database management system server which passed through the security system which concerns on this invention.

以下、添付図面を参照して詳細に説明する。本発明を説明するにあたり、関連した公知の機能或いは公知の構成についての具体的な説明、又は当業者に自明な事項であって、本発明の要旨を不要に乱すおそれがあると判断される場合には、その詳細な説明を省略する。   Hereinafter, it will be described in detail with reference to the accompanying drawings. In explaining the present invention, when it is determined that there is a possibility of unnecessarily disturbing the gist of the present invention, which is a specific description of a related known function or a known configuration, or a matter obvious to those skilled in the art. Detailed description thereof will be omitted.

図2は本発明に係るセキュリティーシステムを経由したユーザーコンピュータとデータベース管理システムサーバーとの論理的な接続を示す図である。図2に示すように、本発明に係るプロキシをベースとしたセキュリティーシステム200は、ユーザーコンピュータ100から、データベース管理システムサーバー300を最終目的地とする情報が含まれたデータパケットの伝送を受け、伝送されたデータパケットを伝送制御部230とプロキシACL(Access Control List)部220へ伝送する受信待ち行列部210と、受信待ち行列部210からデータパケットの伝送を受け、データパケットの目的地アドレスをデータベース管理システムサーバー300に設定して伝送待ち行列部240へ伝送するプロキシACL部220と、受信待ち行列部210から伝送されたデータパケットの伝送許否を予め記憶されたセキュリティーシステム政策プログラムを用いて判断し、許容信号又は遮断信号を有する命令データを生成して伝送待ち行列部240へ伝送する伝送制御部230と、プロキシACL部220からデータパケットの伝送を受け、伝送制御部230から命令データの伝送を受けて、命令データが許容信号を有する場合にはプロキシACL部220から伝送されたデータパケットをデータベース管理システムサーバー300へ伝送し、命令データが遮断信号を有する場合にはプロキシACL部220から伝送されたデータパケットのヘッダ部を除いた情報データ部を設定された遮断メッセージデータ部に変更してデータベース管理システムサーバー300へ伝送し、且つ、受信待ち行列部210がデータパケットの伝送を受けた時点から所定の時間伝送制御部230から命令データが伝送されなければ、プロキシACL部220から伝送されたデータパケットをデータベース管理システムサーバー300へ伝送する伝送待ち行列部240とを含んでなる。   FIG. 2 is a diagram showing a logical connection between the user computer and the database management system server via the security system according to the present invention. As shown in FIG. 2, the proxy-based security system 200 according to the present invention receives a transmission of a data packet including information whose final destination is the database management system server 300 from the user computer 100, and transmits the data packet. The received data packet is transmitted to the transmission control unit 230 and the proxy ACL (Access Control List) unit 220, the data packet is transmitted from the reception queue unit 210, and the destination address of the data packet is stored in the database. The proxy ACL unit 220 set in the management system server 300 and transmitted to the transmission queue unit 240 and the transmission permission / refusal of the data packet transmitted from the reception queue unit 210 are determined using a security system policy program stored in advance. , Have a tolerance signal or a cut-off signal The command data is transmitted from the proxy controller 220 and the command data is transmitted from the transmission controller 230, and the command data is allowed. If the data has a signal, the data packet transmitted from the proxy ACL unit 220 is transmitted to the database management system server 300. If the command data has a blocking signal, the header of the data packet transmitted from the proxy ACL unit 220 is transmitted. The removed information data part is changed to a set blocking message data part and transmitted to the database management system server 300, and the reception queue part 210 receives a data packet transmission for a predetermined time transmission control part 230. If command data is not transmitted from the proxy ACL unit 220, Comprising a transmission queue unit 240 for transmitting the transmitted data packet to a database management system server 300.

この際、前記ユーザーコンピュータ100は、データベース管理システムサーバー300に接続するためのデータパケットを生成するプログラムとしてのデータベースツール110と、データパケットがデータベース管理システムサーバー300へ直接伝送される前にセキュリティーシステム200を経由するように、データパケットの目的地アドレスをデータベース管理システムサーバー300からセキュリティーシステム200に変調するアドレス変換方式のプロキシセキュリティーモジュール120と、LANカードなどのイーサネットインターフェース130とを含んでなる。   At this time, the user computer 100 includes a database tool 110 as a program for generating a data packet for connection to the database management system server 300, and the security system 200 before the data packet is directly transmitted to the database management system server 300. The proxy security module 120 of the address conversion method for modulating the destination address of the data packet from the database management system server 300 to the security system 200 and the Ethernet interface 130 such as a LAN card are included.

また、前記データベース管理システム(DBMS:database management system)サーバー300は、伝送されたデータパケットに応じて数多くのデータ資料を追加、修正又は削除し、或いはユーザーコンピュータ100から要請されるデータを提供するデータベースサーバーを意味するものであって、Oracle、MS−SQL、SyBase等のソフトウェアを含む。   Further, the database management system (DBMS) server 300 adds, modifies, or deletes a large number of data materials according to transmitted data packets, or provides data requested by the user computer 100. It means a server and includes software such as Oracle, MS-SQL, SyBase.

前記データベースツール110は、ユーザーコンピュータ100に設置され、データベース管理システムサーバー300に接続してSQLを実行し、結果を確認するプログラムであって、SQLPLUS、TOAD、MS−SQL Enterprise Managerなどのプログラムがある。   The database tool 110 is a program that is installed in the user computer 100, connects to the database management system server 300, executes SQL, and confirms the result. There are programs such as SQLLUS, TOAD, and MS-SQL Enterprise Manager. .

前記セキュリティーシステム200の受信待ち行列部210は、セキュリティーシステム200に取り込まれるネットワークのデータパケットを複製して伝送制御部230とプロキシACLへ複製データパケットを伝送し、原本パケットは捨てるプログラムを含む。この際、受信待ち行列部210から受信するデータパケットは、ユーザーコンピュータ100のアドレス変換方式のプロキシセキュリティーモジュール120によって目的地アドレスがデータベース管理システムサーバー300からセキュリティーシステム200に変調されて設定されたデータパケットであり、該当データパケットには、データベース管理システムサーバー300を最終目的地とする情報が含まれる。   The reception queue unit 210 of the security system 200 includes a program that duplicates a network data packet captured by the security system 200 and transmits the duplicated data packet to the transmission control unit 230 and the proxy ACL, and discards the original packet. At this time, the data packet received from the reception queue unit 210 is a data packet set by modulating the destination address from the database management system server 300 to the security system 200 by the proxy security module 120 of the address conversion method of the user computer 100. In the corresponding data packet, information whose final destination is the database management system server 300 is included.

前記プロキシACL部220は、受信待ち行列部210からデータパケットの伝送を受け、データパケットのヘッダ部の目的地アドレスをデータベース管理システムサーバー300に設定して伝送待ち行列部240へ伝送する。また、一実施例として、前記プロキシACL部220は、受信待ち行列部210から伝送されたデータパケットのヘッダ部の出発地アドレスを該当ユーザーコンピュータ100に設定し、目的地アドレスをデータベース管理システムサーバー300に設定して伝送待ち行列部240へ伝送することができる。これにより、データベース管理システムサーバー300は、実際接続したユーザーコンピュータ100のIPアドレスを正確に把握することができ、データパケットに対する応答データパケットを、セキュリティーシステム200を経由することなく、ユーザーコンピュータ100へ直接伝送することができる。   The proxy ACL unit 220 receives the transmission of the data packet from the reception queue unit 210, sets the destination address of the header of the data packet in the database management system server 300, and transmits the data packet to the transmission queue unit 240. Also, as an example, the proxy ACL unit 220 sets the departure address of the header portion of the data packet transmitted from the reception queue unit 210 in the corresponding user computer 100, and sets the destination address to the database management system server 300. To the transmission queue unit 240. Thereby, the database management system server 300 can accurately grasp the IP address of the actually connected user computer 100, and the response data packet to the data packet is directly transmitted to the user computer 100 without passing through the security system 200. Can be transmitted.

前記伝送制御部230のセキュリティーシステム政策プログラムは、受信待ち行列部210から伝送されたデータパケットのユーザーIP、DBMSアカウント、データベースツール情報を用いてセキュリティーシステムの政策に適するか否かを判断することにより、データパケットの伝送許否を判断する。参考として、セキュリティーシステムの政策は接続制御政策と権限制御政策に大別される。接続制御政策は、データベース管理システムサーバー300への接続を制御する政策として認可を受けたユーザーIP、DMBSアカウント、データベースツール情報によって、データベース管理システムサーバー300に対して接続を許容するか遮断するかを決定する政策であり、権限制御政策は、データベース管理システムサーバー300に接続されたユーザーコンピュータの権限を制御する政策として認可を受けたユーザーIP、DBMSアカウント、データベースツール情報によって、データベース管理システムサーバー300に対してSQLの実行を許容するか遮断するかを決定する政策である。また、本発明は、データパケットの許否を判断する技術に特徴があるのではないので、詳細な説明は省略する。   The security system policy program of the transmission control unit 230 uses the user IP, DBMS account, and database tool information of the data packet transmitted from the reception queue unit 210 to determine whether the security system policy is suitable. Then, it is determined whether or not transmission of the data packet is permitted. For reference, security system policies are broadly divided into connection control policies and authority control policies. The connection control policy determines whether to allow or block connection to the database management system server 300 according to the user IP, DMBS account, and database tool information authorized as a policy for controlling the connection to the database management system server 300. The authority control policy is determined by the database management system server 300 based on the user IP, DBMS account, and database tool information authorized as a policy for controlling the authority of the user computer connected to the database management system server 300. In contrast, this policy determines whether to allow or block the execution of SQL. In addition, the present invention is not characterized in the technology for determining whether or not a data packet is permitted, and thus detailed description thereof is omitted.

また、前記伝送制御部230は、データパケットの許否を判断した後、許容信号又は遮断信号を有する命令データを生成して伝送待ち行列部240へ伝送する機能をする。   In addition, the transmission control unit 230 has a function of generating command data having a permission signal or a blocking signal and transmitting the command data to the transmission queue unit 240 after determining whether or not the data packet is permitted.

一方、伝送待ち行列部240は、プロキシACL部220と伝送制御部230からそれぞれデータパケットと該当データパケットに対する命令データの伝送を受け、命令データが許容信号を有する場合には、プロキシACL部220から伝送されたデータパケットをデータベース管理システムサーバー300へ伝送し、命令データが遮断信号を有する場合には、プロキシACL部220から伝送されたデータパケットのヘッダ部を除いた情報データ部を設定された遮断メッセージデータ部に変更してデータベース管理システムサーバー300へ伝送する。この際、受信待ち行列部210がデータパケットの伝送を受けた時点から所定の時間伝送制御部230から命令データが伝送されなければ、プロキシACL部220から伝送されたデータパケットを許否に対する判断なしでデータベース管理システムサーバー300へ伝送する。これにより、伝送制御部230に障害が発生しても、既に接続されているセッション、新規のセッションともに影響を与えないため、セキュリティーシステム200の可用性を保障することができる。
また、本発明に係る好適な一実施例として、セキュリティーシステム200は、伝送制御部230の障害有無を判断する障害感知部(図示せず)をさらに備え、伝送待ち行列部240へ所定の時間命令データを伝送しければ、セキュリティーシステム200の管理者、すなわち設定された連絡網(例えば、メール、SMS)へ、障害発生信号及び障害発生時間を含む情報を伝送するようにすることが好ましい。或いは、セキュリティーシステムは、障害感知部に接続されたアラーム部(図示せず)をさらに備え、障害感知部が障害発生の際にアラーム部を作動させるように制御してもよい。
本発明に係るプロキシをベースとしたセキュリティーシステムは、保安性も重要視するがデータ伝送の可用性をより重要視する環境に適するように設計された。以上、本発明について図面と実施例によって説明したが、本発明は、特定の実施例に限定されず、当該技術分野における通常の知識を有する者であれば、本発明の範囲から外れることなく様々な修正及び変形を加え得ることを理解するであろう。また、前記図面は、発明の理解を助けるためのもので、請求の範囲を限定するものと理解してはならない。 On the other hand, the transmission queue unit 240 receives the data packet and the command data for the corresponding data packet from the proxy ACL unit 220 and the transmission control unit 230, respectively. When the transmitted data packet is transmitted to the database management system server 300 and the command data has a blocking signal, the information data portion excluding the header portion of the data packet transmitted from the proxy ACL unit 220 is set as the blocking. The message data part is changed and transmitted to the database management system server 300. At this time, if the command data is not transmitted from the transmission control unit 230 for a predetermined time from the time when the reception queue unit 210 receives the transmission of the data packet, the data packet transmitted from the proxy ACL unit 220 is judged without permission. The data is transmitted to the database management system server 300. As a result, even if a failure occurs in the transmission control unit 230, the already connected session and the new session are not affected, so the availability of the security system 200 can be ensured.
As a preferred embodiment according to the present invention, the security system 200 further includes a failure detection unit (not shown) for determining whether or not the transmission control unit 230 has failed, and sends a command to the transmission queue unit 240 for a predetermined time. If data is to be transmitted, it is preferable to transmit information including a failure occurrence signal and a failure occurrence time to an administrator of the security system 200, that is, a set communication network (for example, mail, SMS). Alternatively, the security system may further include an alarm unit (not shown) connected to the failure detection unit, and the failure detection unit may be controlled to activate the alarm unit when a failure occurs.
The proxy-based security system according to the present invention is designed to be suitable for an environment in which security is important but data transmission availability is more important. Although the present invention has been described with reference to the drawings and embodiments, the present invention is not limited to the specific embodiments, and various modifications can be made without departing from the scope of the present invention as long as the person has ordinary knowledge in the technical field. It will be understood that various modifications and variations may be made. Moreover, the said drawing is for assisting the understanding of the invention, and should not be understood as limiting the scope of the claims.

100、400 ユーザーコンピュータ
200、500 セキュリティーシステム
300、600 データベース管理システムサーバー
110、410 データベースツール
120、420 アドレス変換方式のプロキシセキュリティーモジュール
130、430 イーサネットインターフェース
210 受信待ち行列部
220 プロキシACL部
230 伝送制御部
240 伝送待ち行列部 100, 400 User computer 200, 500 Security system 300, 600 Database management system server 110, 410 Database tool 120, 420 Address conversion type proxy security module 130, 430 Ethernet interface 210 Reception queue unit 220 Proxy ACL unit 230 Transmission control unit 240 Transmission queue part

Claims (2)

ユーザーコンピュータ(100)から、データベース管理システムサーバー(300)を最終目的地とする情報が含まれたデータパケットの伝送を受け、伝送されたデータパケットを伝送制御部(230)とプロキシACL部(220)へ伝送する受信待ち行列部(210)と、
受信待ち行列部(210)からデータパケットの伝送を受け、データパケットの目的地アドレスをデータベース管理システムサーバー(300)に設定して伝送待ち行列部(240)へ伝送するプロキシACL部(220)と、
受信待ち行列部(210)から伝送されたデータパケットの伝送許否を予め記憶されたセキュリティーシステム政策プログラムを用いて判断し、許容信号又は遮断信号を有する命令データを生成して伝送待ち行列部(240)へ伝送する伝送制御部(230)と、
プロキシACL部(220)からデータパケットの伝送を受け、伝送制御部(230)から命令データの伝送を受けて、命令データが許容信号を有する場合にはプロキシACL部(220)から伝送されたデータパケットをデータベース管理システムサーバー(300)へ伝送し、命令データが遮断信号を有する場合にはプロキシACL部(220)から伝送されたデータパケットのヘッダ部を除いた情報データ部を設定された遮断メッセージデータ部に変更してデータベース管理システムサーバー(300)へ伝送し、且つ、受信待ち行列部(210)がデータパケットの伝送を受けた時点から所定の時間伝送制御部(230)から命令データが伝送されなければ、プロキシACL部(220)から伝送されたデータパケットをデータベース管理システムサーバー(300)へ伝送する伝送待ち行列部(240)と、を含んでなることを特徴とする、プロキシをベースとしたセキュリティーシステム。 A data packet including information whose final destination is the database management system server (300) is received from the user computer (100), and the transmitted data packet is transmitted to the transmission control unit (230) and the proxy ACL unit (220). A reception queue part (210) for transmission to
A proxy ACL unit (220) that receives a data packet from the reception queue unit (210), sets a destination address of the data packet in the database management system server (300), and transmits the data packet to the transmission queue unit (240). ,
The transmission queue part (240) determines whether transmission of the data packet transmitted from the reception queue part (210) is permitted or not by using a security system policy program stored in advance, and generates command data having an allowance signal or a blocking signal. ) To the transmission control unit (230),
Data received from the proxy ACL unit (220), received from the transmission control unit (230), and transmitted from the proxy ACL unit (220) when the command data has an allowable signal. When the packet is transmitted to the database management system server (300), and the command data has a blocking signal, the blocking message in which the information data portion excluding the header portion of the data packet transmitted from the proxy ACL unit (220) is set. The data is changed to the data part and transmitted to the database management system server (300), and the command data is transmitted from the transmission control part (230) for a predetermined time from the time when the reception queue part (210) receives the transmission of the data packet. If not, the data packet transmitted from the proxy ACL unit (220) is stored in the database. Transmission queue unit for transmitting to the management system server (300) and (240), characterized in that it comprises a security system based on proxy. 前記プロキシACL部(220)が、受信待ち行列部(210)から伝送されたデータパケットの出発地アドレスを該当ユーザーコンピュータ(100)に設定し、目的地アドレスをデータベース管理システムサーバー(300)に設定して伝送待ち行列部(240)へ伝送することを特徴とする、請求項1に記載のプロキシをベースとしたセキュリティーシステム。 The proxy ACL unit (220) sets the departure address of the data packet transmitted from the reception queue unit (210) in the corresponding user computer (100), and sets the destination address in the database management system server (300). The proxy-based security system according to claim 1, wherein the proxy-based security system transmits to the transmission queue unit.
JP2012547001A 2009-12-29 2010-12-23 Proxy-based security system to ensure availability Pending JP2013516016A (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020090132584A KR101027725B1 (en) 2009-12-29 2009-12-29 Security system
KR10-2009-0132584 2009-12-29
PCT/KR2010/009273 WO2011081358A2 (en) 2009-12-29 2010-12-23 Proxy-based security system for guaranteeing availability

Publications (1)

Publication Number Publication Date
JP2013516016A true JP2013516016A (en) 2013-05-09

Family

ID=44049771

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012547001A Pending JP2013516016A (en) 2009-12-29 2010-12-23 Proxy-based security system to ensure availability

Country Status (3)

Country Link
JP (1) JP2013516016A (en)
KR (1) KR101027725B1 (en)
WO (1) WO2011081358A2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101316903B1 (en) 2012-09-19 2013-10-11 주식회사 시큐아이 Method and appratus for synchronizing session in high availability system
KR101259471B1 (en) * 2012-10-08 2013-05-06 에스지앤 주식회사 Proxy server and computer readable recording medium
WO2015012422A1 (en) * 2013-07-24 2015-01-29 Kim Hangjin Method for dealing with ddos attack and guaranteeing business continuity by using "2d matrix-based distributed access network"
KR102155561B1 (en) * 2018-09-12 2020-09-14 주식회사 에스원 Proxy system for linkage between management server and external device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11298484A (en) * 1998-04-08 1999-10-29 Mitsubishi Electric Corp Atm communication regulation system
JP2006270894A (en) * 2005-03-25 2006-10-05 Fuji Xerox Co Ltd Gateway unit, terminal device, communications system and program
US20070203980A1 (en) * 2006-02-28 2007-08-30 Microsoft Corporation Subsystem-scoping architecture for breakout rooms in a virtual space

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6584567B1 (en) * 1999-06-30 2003-06-24 International Business Machines Corporation Dynamic connection to multiple origin servers in a transcoding proxy
US7661129B2 (en) * 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
KR20070026331A (en) * 2003-11-11 2007-03-08 사이트릭스 게이트웨이즈, 아이엔씨. System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than that at which packets are filtered
KR20070114501A (en) * 2006-05-29 2007-12-04 주식회사 케이티 Url(uniform resource locator) filtering system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11298484A (en) * 1998-04-08 1999-10-29 Mitsubishi Electric Corp Atm communication regulation system
JP2006270894A (en) * 2005-03-25 2006-10-05 Fuji Xerox Co Ltd Gateway unit, terminal device, communications system and program
US20070203980A1 (en) * 2006-02-28 2007-08-30 Microsoft Corporation Subsystem-scoping architecture for breakout rooms in a virtual space

Also Published As

Publication number Publication date
WO2011081358A3 (en) 2011-11-10
KR101027725B1 (en) 2011-04-12
WO2011081358A2 (en) 2011-07-07

Similar Documents

Publication Publication Date Title
US10728229B2 (en) Method and device for communicating securely between T-box device and ECU device in internet of vehicles system
JP5714078B2 (en) Authentication for distributed secure content management systems
EP2036305B1 (en) Communication network application activity monitoring and control
KR101038124B1 (en) Data transfer controlling method, content transfer controlling method, content processing information acquisition method and content transfer system
JP4630896B2 (en) Access control method, access control system, and packet communication apparatus
WO2017152754A1 (en) Method and apparatus for secure communication of software defined network (sdn)
WO2018148058A9 (en) Network application security policy enforcement
WO2014187393A1 (en) Client and method for maintaining byod security
CN111447180B (en) Security access control strategy for power Internet of things edge access management system
WO2016202007A1 (en) Device operation and maintenance method and system
KR101896453B1 (en) A gateway-based access control system for improving security and reducing constraint of remote access application
US20080065778A1 (en) Method of managing information and information processing apparatus
JP2013516016A (en) Proxy-based security system to ensure availability
CN107749863B (en) Method for network security isolation of information system
WO2019076032A1 (en) Method and system for classified storage of keys
JP2004220120A (en) Network security system, access control method, authentication mechanism, firewall mechanism, authentication mechanism program, firewall mechanism program, and recording medium
CN102333099A (en) Security control method and equipment
CN102185867A (en) Method for realizing network security and star network
CN114499976A (en) Data exchange method for realizing cross-network exchange
KR101881061B1 (en) 2-way communication apparatus capable of changing communication mode and method thereof
CN104396216A (en) Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
CN115499177A (en) Cloud desktop access method, zero-trust gateway, cloud desktop client and server
CN105407095B (en) Secure communication device and its communication means between heterogeneous networks
JP2007505409A (en) System and method for dynamically updating software in a protocol gateway
JP6150137B2 (en) Communication device, heterogeneous communication control method, and operation management expertise exclusion method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140204