JP7148173B2 - トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法 - Google Patents

トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法 Download PDF

Info

Publication number
JP7148173B2
JP7148173B2 JP2021039780A JP2021039780A JP7148173B2 JP 7148173 B2 JP7148173 B2 JP 7148173B2 JP 2021039780 A JP2021039780 A JP 2021039780A JP 2021039780 A JP2021039780 A JP 2021039780A JP 7148173 B2 JP7148173 B2 JP 7148173B2
Authority
JP
Japan
Prior art keywords
terminal
connection
tunnel
network
target application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021039780A
Other languages
English (en)
Other versions
JP2021145335A (ja
Inventor
ヨンラン キム、
ミンゼ リ、
ピルホ ソン、
ジュテ キム、
Original Assignee
プライビット テクノロジー インク
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/580,974 external-priority patent/US11381557B2/en
Priority claimed from US16/580,866 external-priority patent/US11190494B2/en
Application filed by プライビット テクノロジー インク filed Critical プライビット テクノロジー インク
Publication of JP2021145335A publication Critical patent/JP2021145335A/ja
Priority to JP2022002658A priority Critical patent/JP7148187B2/ja
Application granted granted Critical
Publication of JP7148173B2 publication Critical patent/JP7148173B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Description

本文書で開示される実施形態は、ネットワーク環境でトンネル(tunnel)に基盤して端末のネットワーク接続を制御するための技術に関する。
多数の装置は、ネットワークを介してデータを通信することができる。例えば、スマートフォンは、インターネットを介してサーバとデータを送信したり受信したりすることができる。ネットワークは、インターネットのような公用ネットワーク(public network)だけではなく、イントラネットのような私設ネットワーク(private network)を含むことができる。
ネットワークに対する無分別な接続を統制するためにTCP(transmission control protocol)/IP(internet protocol)を基盤としてネットワークへの接続を制限する技術が適用されている。
例えば、NAC(network access controller)は、認可された端末が認可されたIPアドレスの提供を受けることによりネットワークに接続することができるように許容し、非認可された端末が非認可されたIPアドレスを用いる場合、ARPスプーフィング(address resolution protocol spoofing)を利用して非認可された端末を遮断する方式である。ファイアウォール(fire wall)は、IPヘッダー情報に含まれる出発地IP、目的地IP、及びポート情報と、政策に基盤してデータパケットの伝送を許容するか否かを決定する方式である。VPN(virtual private network)は、TCP/IPプロトコル上で暗号化が適用されたトンネルを利用することでデータパケットの無欠性及び機密性を保障する方式である。
しかし、ARPスプーフィングは、ネットワークに負荷を与えるので、最近は、これを迂回する技術が発達している。ファイアウォールは、データパケットのフローを制御するためのものなので、2つのノード間の連結(connection)生成過程で直接的に関与できないことがある。また、VPNは、トンネルが生成された後のデータパケットのフローに対する管理に脆弱である。それだけではなく、前記技術は、TCP/IPに基盤するため、OSI(open system interconnection)階層中で他の階層(例:応用階層)に対する保安に脆弱であり得る。
本文書で開示される多様な実施形態は、ネットワーク環境で前述した問題点を解決するためのシステム及びそれに関する方法の提供を図る。
本文書で開示される実施形態による端末は、ディスプレイ、通信回路、前記ディスプレイ及び前記通信回路と作動的に連結されるプロセッサ、及び前記プロセッサと作動的に連結され、ターゲットアプリケーション及び接続制御アプリケーションを保存するメモリを含み、前記メモリは、前記プロセッサにより実行されるとき、前記端末が、前記接続制御アプリケーションを介し、前記ターゲットアプリケーションの目的地ネットワークに対するネットワーク接続イベントを感知すると、少なくとも前記ターゲットアプリケーションの識別情報、及び、前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信し、前記接続制御アプリケーションを介し、前記外部サーバから、前記ネットワークへの接続要請が前記外部サーバの接続政策を満足するか否かの判断に基づく認可されたトンネルの有無を含む情報を受信し、前記認可されたトンネルが存在すると、前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記認可されたトンネルを介して伝送し、前記認可されたトンネルが存在しなければ、前記外部サーバから利用可能なトンネルを生成するための情報を受信するか、又は、前記ターゲットアプリケーションのデータパケットをドロップ(drop)するようにする命令語を保存することができる。
本文書で開示される実施形態によるサーバは、通信回路、接続政策及びトンネル政策を含むデータベースを保存するメモリ、及び前記通信回路及び前記メモリと作動的に連結されるプロセッサを含み、前記プロセッサは、端末の接続制御アプリケーションから、前記端末に保存されたターゲットアプリケーションの目的地ネットワークに対するネットワーク接続を要請する第1要請を受信し、前記第1要請は、前記端末と前記サーバとの間に生成された制御フローの識別情報、前記ターゲットアプリケーションの識別情報、及び前記目的地ネットワークの識別情報を含み、前記第1要請、及び、前記接続政策に基盤して、前記ターゲットアプリケーションが接続可能か否かを確認し、前記ターゲットアプリケーションが接続可能であれば、前記目的地ネットワークに対応するトンネル政策と、前記ターゲットアプリケーションの識別情報及び前記目的地ネットワークの識別情報に基盤して、前記ターゲットアプリケーションと前記目的地ネットワークのゲートウェイ間に、認可されたトンネルが存在するか否かを確認し、前記確認された結果を、前記通信回路を利用して前記接続制御アプリケーションに伝送するように構成され得る。
本文書で開示される実施形態による請求項1~9のいずれか1項に記載の端末からデータパケットを受信するゲートウェイであって、前記受信されたデータパケットが外部サーバにより認可されたトンネルを介して受信されたのかを確認し、前記データパケットが前記認可されたトンネルを介して受信されていれば、前記データパケットを目的地ネットワークにフォワーディングし、前記データパケットが前記認可されたトンネルを介して受信されていなければ、前記データパケットをドロップするように構成され得る。
本文書で開示される実施形態による端末は、ディスプレイ、通信回路、前記ディスプレイ及び前記通信回路と作動的に連結されるプロセッサ、及び前記プロセッサと作動的に連結され、ターゲットアプリケーション及び接続制御アプリケーションを保存するメモリを含み、前記メモリは、前記プロセッサにより実行されるとき、前記端末が、前記接続制御アプリケーションを介し、前記ターゲットアプリケーションの目的地ネットワークに対するネットワーク接続イベントを感知すると、少なくとも前記ターゲットアプリケーションの識別情報、及び前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信し、前記接続制御アプリケーションを介し、前記外部サーバから、前記ネットワークへの接続要請が前記外部サーバの接続政策を満足するか否かの判断に基づく認可されたトンネルの有無を含む第1応答を受信し、前記第1応答に基盤し、利用可能なトンネルが存在するか否かを確認し、前記利用可能なトンネルが存在すると、前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記利用可能なトンネルを介して伝送し、
前記利用可能なトンネルが存在しなければ、前記外部サーバから利用可能なトンネルを生成するための情報を受信するか、又は、前記ターゲットアプリケーションのデータパケットをドロップするようにする命令語を保存することができる。
本文書に開示される実施形態によると、端末は認可されていないアプリケーションのデータパケット伝送を遮断することができる。
また、本文書に開示される実施形態によると、NACのような広範囲なIPアドレス基盤のネットワーク保安技術に比べて政策設定及び回収の問題を解決し、迂迴的な攻撃を防止することができる。
また、本文書に開示される実施形態によると、ゼロトラストネットワーク環境でMITM(man in the middle attack)攻撃を遮断することができるので、区間保護のみ提供するVPNに比べてトンネル基盤の接続制御を行うことができる。
また、本文書に開示される実施形態によると、TCP/IP基盤ネットワーク保安技術が内在している問題点を解消して安全なネットワーク連結を提供することができる。
また、本文書に開示される実施形態によると、ネットワーク制御装備に従って政策を設定しなければならないという問題を解消することができる。
その他、本文書を介して直接的または間接的に把握される多様な効果が提供され得る。
複数のネットワークを含む環境を示す図である。 多様な実施形態によるネットワーク環境内のアーキテクチャを示す図である。 多様な実施形態によりコントローラに保存されたデータベースを示す機能的ブロック図である。 多様な実施形態による端末の機能的ブロック図である。 多様な実施形態によりデータパケットの伝送を制御する動作を説明する図である。 多様な実施形態によるコントローラ接続のための信号のフローチャート図である。 多様な実施形態によるコントローラ接続のためのユーザインターフェース画面を示す図である。 多様な実施形態によるユーザ認証のための信号のフローチャート図である。 多様な実施形態によるネットワーク接続を制御するための信号のフローチャート図である。 多様な実施形態によるネットワーク接続が遮断されるときのユーザインターフェース画面を示す図である。 多様な実施形態によるネットワーク接続が許容されるときのユーザインターフェース画面を示す図である。 多様な実施形態により端末でネットワーク接続を制御するための動作フローチャート図である。 多様な実施形態により端末でネットワーク接続を制御するための他の動作フローチャート図である。 多様な実施形態によりゲートウェイでネットワーク接続を制御するための動作フローチャート図である。 多様な実施形態によりネットワーク接続を解除するための信号のフローチャート図である。 多様な実施形態によりネットワーク接続を解除するためのユーザインターフェース画面を示す図である。
図面の説明と関連して、同一または類似の構成要素に対しては同一または類似の参照符号が用いられ得る。
以下、本発明の多様な実施形態が図を参照して記載される。しかし、これは本発明を特定の実施形態に対して限定しようとするものではなく、本発明の実施形態の多様な変更(modification)、均等物(equivalent)、及び/または代替物(alternative)を含むものと理解しなければならない。
本文書において、アイテムに対応する名詞の単数型は、関連の文脈上明らかに異なって指示しない限り、前記アイテム1つまたは複数個を含むことができる。本文書において「AまたはB」、「A及びBの少なくとも1つ」、「AまたはBの少なくとも1つ」、「A、BまたはC」、「A、B及びCの少なくとも1つ」及び「A、B、またはCの少なくとも1つ」のような語句のそれぞれは、その語句中で該当する語句にともに羅列された項目のいずれか1つ、またはそれら全ての可能な組み合わせを含むことができる。「第1」、「第2」、または「1番目」または「2番目」のような用語は、単に当該構成要素を他の当該構成要素と区分するために使用されてよく、当該構成要素を他の側面(例:重要性または順序)で限定しない。ある(例:第1)構成要素が異なる(例:第2)構成要素に、「機能的に」または「通信的に」という用語とともに、またはこのような用語なく、「カップルド」または「コネクテッド」と言及された場合、それは、前記ある構成要素が前記異なる構成要素に直接的に(例:有線で)、無線で、または第3構成要素を介して連結され得るということを意味する。
本文書において説明される構成要素のそれぞれの構成要素(例:モジュールまたはプログラム)は、単数または複数の個体を含むことができる。多様な実施形態によると、当該構成要素のうち1つ以上の構成要素または動作が省略されるか、または1つ以上の他の構成要素または動作が追加され得る。大体的にまたは追加的に、複数の構成要素(例:モジュールまたはプログラム)は1つの構成要素に統合され得る。このような場合、統合された構成要素は、前記複数の構成要素それぞれの構成要素の1つ以上の機能を前記統合以前に前記複数の構成要素中の当該構成要素によって行われることと同一または類似に行うことができる。多様な実施形態によると、モジュール、プログラムまたは異なる構成要素によって行われる動作は、順次、並列的に、繰り返して、またはヒューリスティックに実行されるか、前記動作のうち1つ以上が異なる順に実行されるか、省略されるか、または1つ以上の他の動作が追加され得る。
本文書において用いられる用語「モジュール」は、ハードウェア、ソフトウェアまたはファームウエアに具現されたユニットを含むことができ、例えば、ロジック、論理ブロック、部品、または回路のような用語と相互互換的に用いられ得る。モジュールは、一体に構成された部品または1つまたはそれ以上の機能を行う、前記部品の最小単位またはその一部となり得る。例えば、一実施形態によると、モジュールは、ASIC(application-specific integrated circuit)の形態に具現され得る。
本文書の多様な実施形態は、機器(machine)によって読み取ることができる保存媒体(storage medium)(例:メモリ)に保存された1つ以上の命令語を含むソフトウェア(例:プログラムまたはアプリケーション)として具現され得る。例えば、機器のプロセッサは、保存媒体から保存された1つ以上の命令語の少なくとも1つの命令を呼び出し、それを実行することができる。これは、機器が前記呼び出された少なくとも1つの命令語によって少なくとも1つの機能を行うように運営されることを可能とする。前記1つ以上の命令語は、コンパイラによって生成されたコードまたはインタプリタによって実行され得るコードを含むことができる。機器で読み取ることができる保存媒体は、非一時的(non-transitory)保存媒体の形態で提供され得る。ここで、「非一時的」は、保存媒体が実在(tangible)する装置であり、信号(signal)(例:電磁気波)を含まないということを意味するだけであり、この用語はデータが保存媒体に半永久的に保存される場合と臨時的に保存される場合とを区分しない。
本文書において開示された多様な実施形態による方法は、コンピュータプログラム製品(computer program product)に含まれて提供され得る。コンピュータプログラム製品は、商品として販売者及び購買者の間に取引され得る。コンピュータプログラム製品は、機器で読み取ることができる保存媒体(例:compact disc readonly memory(CD-ROM))の形態で配布されるか、またはアプリケーションストア(例:プレイストアTM)を介してまたは2つのユーザ装置(例:スマートフォン)間に直接、オンラインで配布(例:ダウンロードまたはアップロード)され得る。オンライン配布の場合に、コンピュータプログラム製品の少なくとも一部は、製造社のサーバ、アプリケーションストアのサーバ、または中継サーバのメモリのような機器で読み出すことができる保存媒体に少なくとも一時保存されるか、臨時的に生成され得る。
図1は、複数のネットワークを含む環境を示す図である。
図1を参照すると、第1ネットワーク10及び第2ネットワーク20は互いに異なるネットワークであり得る。例えば、第1ネットワーク10はインターネットのような公用ネットワークで、第2ネットワーク20はイントラネットまたはVPNのような私設ネットワークであり得る。
第1ネットワーク10は、端末101を含むことができる。図1及び以下に記述される実施形態において、「端末」は、データ通信を行うことができる多様な形態の装置であり得る。例えば、端末101は、スマートフォンまたはタブレットのような携帯装置、デスクトップ(desktop)またはラップトップ(laptop)のようなコンピュータ装置、マルチメディア装置、医療機器、カメラ、ウェアラブル装置、VR(virtual reality)装置、または家電装置を含むことができ、前述した機器に限定されない。端末101は、「電子装置」または「ノード」としても参照され得る。
端末101は、第2ネットワーク20への接続(access)を試み、第2ネットワーク20に含まれたサーバ102a、102bにデータを伝送することができる。端末101は、ゲートウェイ103及びトンネル105を介してデータをサーバ102a、102bに伝送することができる。図1は、第2ネットワーク20がサーバのみを含む例を示すが、多様な実施形態によると、第2ネットワーク20は、端末101のような電子装置または端末をさらに含むことができる。
端末101の第1ネットワーク10に対する接続が承認されると、端末101は第1ネットワーク10に含まれた全てのサーバと通信することができるので、端末101は悪性(malicious)プログラムの攻撃から露出され得る。例えば、端末101は、インターネットウェブブラウザ110a、ビジネスアプリケーション110bのような信頼された(trusted)及び/または保安された(secure)アプリケーションだけではなく、悪性コード110c、感染した(infected)ビジネスアプリケーション110dのように信頼されないか保安されないアプリケーションのデータを受信することができる。
悪性プログラムから感染した端末101は、第2ネットワーク20への接続及び/またはデータ伝送を試みることができる。第2ネットワーク20がVPNのようにIPに基盤して形成される場合、第2ネットワーク20は第2ネットワーク20内に含まれる複数の装置を個別にモニタリングしにくいことがあり、OSI階層における応用階層または伝送階層に対する保安に脆弱であり得る。また、トンネルが既に生成された後に、端末101が悪性アプリケーションを含む場合、前記悪性アプリケーションのデータは第2ネットワーク20内の異なる電子装置に伝達され得る。
図2は、多様な実施形態によるネットワーク環境内のアーキテクチャを示す図である。
図2を参照すると、端末201、ゲートウェイ203、及び目的地ネットワーク205の個数は、図2に示された個数に制限されるものではない。例えば、端末201は、複数のゲートウェイを介して複数の目的地ネットワークにデータを伝送することができ、コントローラ202は複数の端末及びゲートウェイを管理することができる。端末201は、図1に示された端末101と同一の類似した機能を行うことができ、ゲートウェイ203は、図1に示されたゲートウェイ103と同一の類似した機能を行うことができ、目的地ネットワーク205は、図1の第1ネットワーク10または第2ネットワーク20と同一の類似した構造を有し得る。
コントローラ202は、例えば、サーバ(またはクラウドサーバ)であり得る。コントローラ202は、端末201、ゲートウェイ203、及び異なるネットワーク(例:目的地ネットワーク205)間のデータ伝送を管理することにより、ネットワーク環境内で信頼されるデータ伝送を保障することができる。例えば、コントローラ202は、政策情報またはブラックリスト情報を介して端末201の目的地ネットワーク205に対する接続を管理するか、端末201とゲートウェイ203との間の認可されたトンネル210の生成を仲介するか、端末201またはゲートウェイ203から収集された保安イベントによってトンネル210を除去することができる。端末201は、コントローラ202により認可されたトンネル210を介して目的地ネットワーク205と通信することができ、認可されたトンネル210が存在しなければ、端末201は目的地ネットワーク205への接続が遮断され得る。一実施形態によると、コントローラ202は、端末201のネットワーク接続と連関された多様な動作(例:登録、承認、認証、更新、終了)を行うために端末201と制御データパケットを送受信することができる。制御データパケットが伝送されるフロー(例:220)は、制御フロー(control flow)として参照され得る。
ゲートウェイ203は、端末201が属するネットワークの境界または目的地ネットワーク205の境界に位置することができる。ゲートウェイ203は複数であり得る。ゲートウェイ203は、端末201から受信されたデータパケット中で認可されたトンネル210を介して受信されたデータパケットのみを目的地ネットワーク205にフォワーディングできる。端末201とゲートウェイ203、またはゲートウェイ203と目的地ネットワーク205との間でデータパケットが伝送されるフロー(例:230)はデータフローとして参照され得る。一実施形態によると、ゲートウェイ203は、クラウド(cloud)基盤でコントローラ202と連結され得る。ゲートウェイ203は、コントローラ202の制御に従って端末201と認可されたトンネル210を生成することができる。
多様な実施形態によると、端末201は、端末201内に保存されたアプリケーションのネットワーク接続を管理するための接続制御アプリケーション211及びネットワークドライバー(図示せず)を含むことができる。例えば、端末201に含まれたターゲットアプリケーション221(例:図1のアプリケーション110aから110dのうち任意の1つ)の目的地ネットワーク205に対する接続イベントが発生すると、接続制御アプリケーション211は、ターゲットアプリケーション221の接続可否を決定することができる。ターゲットアプリケーション221が接続可能であれば、接続制御アプリケーション211は、トンネル210を介してゲートウェイ203にデータパケットを伝送することができる。接続制御アプリケーション211は、端末201内で運営体制を含むカーネル(kernel)及びネットワークドライバーを介してデータパケットの伝送を制御することができる。
図3は、多様な実施形態によりコントローラ(例:図2のコントローラ202)に保存されたデータベースを示す機能的ブロック図である。図3は、メモリ330のみを示すが、コントローラは、外部電子装置(例:図2の端末201またはゲートウェイ203と通信を行うための通信回路(例:図4の通信回路430)及びコントローラの全般的な動作を制御するためのプロセッサ(例:図4のプロセッサ410)をさらに含むことができる。
図3を参照すると、コントローラは、ネットワーク接続及びデータ伝送の制御のためのデータベース311~317をメモリ330に保存することができる。
接続政策データベース311は、識別されたネットワーク、端末、ユーザ、またはアプリケーションが接続可能なネットワーク及び/またはサービスに対する情報を含むことができる。例えば、端末から目的地ネットワークに対する接続が要請されると、コントローラは、接続政策データベース311に基盤して識別されたネットワーク(例:端末が属するネットワーク)、端末、ユーザ(例:端末のユーザ)、及び/またはアプリケーション(例:端末に含まれるアプリケーション)が目的地ネットワークに接続が可能か否かを決定することができる。
トンネル政策データベース312は、連結(connection)経路上で出発地ノード(例:端末)とネットワークの境界に存在するゲートウェイに連結されるトンネルの種類、暗号化方法、及び暗号化水準情報を含むことができる。例えば、端末から目的地ネットワークに対する接続が要請されると、コントローラは、トンネル政策データベース312に基盤して目的地ネットワークに接続するための最適のトンネル及びそれに関する情報を端末に提供することができる。
ブラックリスト政策データベース313は、特定端末の接続を永久的または一時的に遮断するための政策を含むことができる。ブラックリスト政策データベース313は、端末またはゲートウェイで周期的に収集される保安イベントのうちで保安イベントの危険度、発生周期、及び/または行為分析を介して識別された情報(例:端末ID(identifier))、IPアドレス、MAC(media access control)アドレス、またはユーザIDの少なくとも1つ)を基盤に生成され得る。
ブラックリストデータベース314は、ブラックリスト政策データベース313により遮断された端末、IPアドレス、MACアドレス、またはユーザの少なくとも1つに対するリストを含むことができる。例えば、コントローラは、目的地ネットワークへの接続を要請する端末の識別情報がブラックリストデータベース314に含まれると、前記端末の接続要請を拒否することにより前記目的地ネットワークから前記端末を隔離させることができる。
制御フローテーブル315は、端末とコントローラとの間に生成された制御データパケットのフロー(例:制御フロー)を管理するためのセッション(session)テーブルの一実施形態である。端末が成功的にコントローラに接続する場合、制御フロー情報がコントローラにより生成され得る。制御フロー情報は、制御フローの識別情報、コントローラに対する接続及び認証時に識別されるIPアドレス、端末ID、またはユーザIDの少なくとも1つを含むことができる。例えば、端末から目的地ネットワークに対する接続が要請されると、コントローラは、端末から受信された制御フロー識別情報を介して制御フロー情報を検索し、検索された制御フロー情報内に含まれたIPアドレス、端末ID、またはユーザIDの少なくとも1つを接続政策データベース311にマッピングすることで端末が接続可能か否か及びトンネル生成可否を決定することができる。
一実施形態によると、制御フローは満了時刻を有し得る。端末は、制御フローの満了時刻を更新しなければならず、一定時間の間に満了時刻が更新されなければ制御フロー(または、制御フロー情報)は除去され得る。また、端末またはゲートウェイから収集された保安イベントに沿って直ちに接続遮断が必要であると決定される場合、コントローラは端末の接続終了要請に沿って制御フローを除去することができる。制御フローが除去されると、既存に生成されたトンネル及びデータフローも除去されるので、端末のネットワークに対する接続が遮断され得る。
トンネルテーブル316は、端末とゲートウェイとの間に連結されたトンネルを管理するためのテーブルである。トンネルは、例えば、装置またはIP単位で生成され得る。端末とゲートウェイとの間にトンネルが生成されると、トンネルテーブル316は、トンネル識別情報、トンネルが制御フローに従属した場合には制御フロー識別情報、トンネルエンドポイント(tunnel end point、TEP)、トンネルスタートポイント(tunnel start point、TSP)、トンネルアルゴリズム、トンネルの種類、及び/またはトンネルを管理するための付加情報を含むことができる。
データフローテーブル317は、端末とゲートウェイとの間に詳細的なデータパケットが伝送されるフロー(例:データフロー)を管理するためのテーブルである。データフローは、トンネル内でTCPセッション、出発地端末のアプリケーション、または、より詳細的な単位で生成され得る。データフローテーブル317は、データフロー識別情報、データフローが制御フローに従属する場合には、制御フロー識別情報、認可された対象のデータフローを識別するためのアプリケーションID、到着地IPアドレス、及び/またはサービスポートを含むことができる。
図4は、多様な実施形態による端末(例:図2の端末201)の機能的ブロック図である。
図4を参照すると、端末は、プロセッサ410、メモリ420、及び通信回路430を含むことができる。一実施形態によると、端末は、ユーザとインターフェースを行うためにディスプレイ440をさらに含むことができる。
プロセッサ410は、端末の全般的な動作を制御することができる。多様な実施形態において、プロセッサ410は、1つのプロセッサコア(single core)を含むか、複数のプロセッサコアを含むことができる。例えば、プロセッサ410は、デュアルコア(dual-core)、クアッドコア(quad-core)、ヘキサコア(hexa-core)などのマルチコア(multi-core)を含むことができる。実施形態により、プロセッサ410は、内部または外部に位置されたキャッシュメモリ(cache memory)をさらに含むことができる。実施形態により、プロセッサ410は、1つ以上のプロセッサから構成され(configured with)得る。例えば、プロセッサ410は、アプリケーションプロセッサ(application processor)、通信プロセッサ(communication processor)、またはGPU(graphical processingunit)の少なくとも1つを含むことができる。
プロセッサ410の全部または一部は、端末内の異なる構成要素(例えば、メモリ420、通信回路430、またはディスプレイ440と電気的に(electrically)または作動的に(operatively)結合(coupled with)されるか、連結され(connected to)得る。プロセッサ410は、端末の異なる構成要素の命令を受信することができ、受信された命令を解釈することができ、解釈された命令に沿って計算を行うかデータを処理することができる。プロセッサ410は、メモリ420、通信回路430、またはディスプレイ440から受信されるメッセージ、データ、命令語、または信号を解釈することができ、加工することができる。プロセッサ410は、受信されたメッセージ、データ、命令語、または信号に基盤して新しいメッセージ、データ、命令語、または信号を生成することができる。プロセッサ410は、加工されるか生成されたメッセージ、データ、命令語、または信号をメモリ420、通信回路430、またはディスプレイ440に提供することができる。
プロセッサ410は、プログラムで生成されるか発生されるデータまたは信号を処理することができる。例えば、プロセッサ410は、プログラムを行うか制御するためにメモリ420に命令語、データまたは信号を要請することができる。プロセッサ410は、プログラムを行うか制御するためにメモリ420に命令語、データ、または信号を記録(または保存)するか更新することができる。
メモリ420は、端末を制御する命令語、制御命令語コード、制御データ、またはユーザデータを保存することができる。例えば、メモリ420は、アプリケーション(application)プログラム、OS(operating system)、ミドルウェア(middleware)、またはデバイスドライバー(device driver)の少なくとも1つを含むことができる。
メモリ420は、揮発性メモリ(volatile memory)または不揮発性(non-volatile memory)のうち1つ以上を含むことができる。揮発性メモリは、DRAM(dynamic random access memory)、SRAM(static RAM)、SDRAM(synchronous DRAM)、PRAM(phase-change RAM)、MRAM(magnetic RAM)、RRAM(resistive RAM)、FeRAM(ferroelectric RAM)などを含むことができる。不揮発性メモリは、ROM(read only memory)、PROM(programmable ROM)、EPROM(electrically programmable ROM)、EEPROM(electrically erasable programmable ROM)、フラッシュメモリ(flash memory)などを含むことができる。
メモリ420は、ハードディスクドライブ(HDD、hard disk drive)、ソリッドステートディスク(SSD、solid state disk)、eMMC(embedded multi media card)、UFS(universal flash storage)のような揮発性媒体(medium)をさらに含むことができる。
一実施形態によると、メモリ420は、コントローラのメモリ(例:図3のメモリ330)に含まれた情報中の一部を保存することができる。例えば、メモリ420は、図3で説明されたトンネルテーブル316及びデータフローテーブル317を保存することができる。
通信回路430は、端末と外部電子装置(例:図2のコントローラ202またはゲートウェイ203)間の有線または無線通信連結の樹立、及び樹立された連結を介した通信遂行を支援することができる。一実施形態によると、通信回路430は、無線通信回路(例:セルラー通信回路、近距離無線通信回路、またはGNSS(global navigation satellite system)通信回路)または有線通信回路(例:LAN(local area network)通信回路、または電力線通信回路)を含み、そのうち該当する通信回路を利用してブルートース、WiFi directまたはIrDA(infrared data association)のような近距離通信ネットワークまたはセルラーネットワーク、インターネット、または、コンピュータネットワークのような遠距離通信ネットワークを介して外部電子装置と通信することができる。前述した多くの種類の通信回路430は、1つのチップに具現されるかまたはそれぞれ別途のチップに具現され得る。
ディスプレイ440は、コンテンツ、データ、または信号を出力することができる。多様な実施形態において、ディスプレイ440は、プロセッサ410により加工されたイメージデータを表示することができる。実施形態により、ディスプレイ440はタッチ入力などを受信することができる複数のタッチセンサー(図示せず)と結合されることで一体型のタッチスクリーン(touch screen)から構成され(configured with)てもよい。ディスプレイ440がタッチスクリーンで構成される場合、前記複数のタッチセンサーは、ディスプレイ440上に配置されるか、ディスプレイ440下に配置され得る。
図5は、多様な実施形態によりデータパケットの伝送を制御する動作を説明する図である。
図5を参照すると、接続制御アプリケーション211は、ターゲットアプリケーション221の目的地ネットワーク205に対する接続要請を感知し、端末201またはターゲットアプリケーション221がコントローラ202と接続された状態であるか否かを決定することができる。端末201またはターゲットアプリケーション221がコントローラ202と接続された状態でなければ、接続制御アプリケーション211は、運営体制が含まれるカーネル(kernel)やネットワークドライバーからデータパケットの伝送を遮断することができる(動作510)。接続制御アプリケーション211を介して、端末201は、OSI階層中の応用階層で悪意的なアプリケーションの接続を予め遮断することができる。
他の実施形態によると、端末201に接続制御アプリケーション211が設置されないか悪性アプリケーションが接続制御アプリケーション211の制御を迂回する場合、非認可されたデータパケットが端末201から伝送され得る。この場合、ネットワークの境界に存在するゲートウェイ203は、認可されていないトンネルに受信されるデータパケットを遮断するので(動作520)、端末201から送信されたデータパケット(例:TCPセッション生成のためのデータパケット)は、目的地ネットワーク205に到達しないこともある。すなわち、端末201は、目的地ネットワーク205から隔離され得る。
図6から図7は、多様な実施形態によるコントローラ接続のための動作を説明する図である。図6は、コントローラ接続のための信号フローチャート図であり、図7は、コントローラ接続のためのユーザインターフェース画面を示す図である。
端末201が目的地ネットワーク(例:図2の目的地ネットワーク205)に接続するためにはコントローラ202により認可される必要があるので、端末201の接続制御アプリケーション211は、コントローラ202に制御フローの生成を要請することで端末201のコントローラ接続を試みることができる。
図6を参照すると、動作605において、端末201はコントローラ接続イベントを感知することができる。例えば、端末201は、端末201内で接続制御アプリケーション211が設置及び実行され、接続制御アプリケーション211を介してコントローラ202に対する接続が要請されることを感知することができる。
一実施形態において、図7を参照すると、接続制御アプリケーション211が実行されると、端末201はコントローラ接続のために必要な情報を受信するためのユーザインターフェース画面710を表示することができる。ユーザインターフェース画面710は、コントローラ202のIPまたはドメインを入力するための入力ウィンドウ711、ユーザIDを入力するための入力ウィンドウ712、及び/またはパスワードを入力するための入力ウィンドウ713を含むことができる。入力ウィンドウ711から713に対する情報が入力された後、認証されたユーザのコントローラ接続のためのボタン714を受信することで、端末201はコントローラ接続イベントを感知することができる。他の例を挙げると、端末201のユーザ認証がまだ完了していない状態であれば、端末201は非認可されたユーザ(すなわち、ゲスト)のコントローラ接続のためのボタン715を受信することでコントローラ接続イベントを感知することができる。
動作610において、端末201は、コントローラ接続イベントを感知したことに応答してコントローラ202にコントローラ接続を要請することができる。端末201は、接続制御アプリケーション211を介してコントローラ接続を要請することができる。一実施形態によると、接続制御アプリケーション211は、端末201の識別情報(例:端末ID、IPアドレス、MACアドレス)、種類、位置、環境、端末201が属するネットワークの識別情報、及び/または接続制御アプリケーション211の識別情報をコントローラ202に伝送することができる。
動作615において、コントローラ202は、受信された要請に応答して端末201の接続可否を確認(identify)することができる。一実施形態によると、コントローラ202は、コントローラ202のメモリ(例:図3のメモリ330)に含まれたデータベースに基盤して端末201の接続可否を確認することができる。例えば、コントローラ202は、接続制御アプリケーション211から受信された情報が接続政策データベースに含まれるか否かと、端末201及び/または端末201が属したネットワークの識別情報がブラックリストデータベースに含まれるか否かに基盤して端末201の接続可否を確認することができる。
端末201が接続可能であれば、コントローラ202は、端末201とコントローラ202間の制御フローを生成することができる。この場合、コントローラ202は、乱数形態で制御フロー識別情報を生成し、端末201及び/または端末201が属したネットワークの識別情報を制御フローテーブルに保存することができる。制御フローテーブルに保存された情報(例:制御フロー識別情報及び/または制御フロー情報)は、端末201のユーザ認証、端末201の情報アップデート、端末201のネットワーク接続のための政策確認、及び/または有効性検査に利用され得る。
制御フローが生成されると、動作620において、コントローラ202は、コントローラ接続要請に対する応答を端末201に伝送することができる。この場合、コントローラ202は、生成された制御フロー識別情報を端末201に伝送することができる。
動作625において、端末201は受信された応答に従って結果値を処理することができる。例えば、接続制御アプリケーション211は、受信された制御フロー識別情報を保存し、コントローラ接続が完了することを示すユーザインターフェース画面をユーザに表示することができる。コントローラ接続が完了すると、端末201の目的地ネットワークに対するネットワーク接続要請はコントローラ202により統制され得る。
他の実施形態により、コントローラ202は、端末201が接続不可能なものとして決定することができる。例えば、端末201及び/または端末201が属したネットワークの識別情報がブラックリストデータベースに含まれると、コントローラ202は端末201が接続不可能なものとして決定することできる。この場合、コントローラ202は、動作615において制御フローを生成せずに、動作620において端末201の接続が不可能であることを示す応答を伝送することができる。
端末201の接続が不可能であることを示す応答を受信すると、動作625において端末201はコントローラ接続が不可能であることを示すユーザインターフェース画面をユーザに出力することができる。例えば、図7を参照すると、端末201は、接続制御アプリケーション211を介してユーザインターフェース画面720を表示することができる。ユーザインターフェース画面720は、端末201の接続が遮断されることを示し、管理者(例:コントローラ202)を介する隔離解除をガイドするユーザインターフェース725を含むことができる。
図8は、多様な実施形態によるユーザ認証のための信号のフローチャート図である。
端末201が目的地ネットワークに対する詳細な接続権限の付与を受けるため、端末201の接続制御アプリケーション211は、コントローラ202から端末201のユーザに対する認証を受けることができる。
図8を参照すると、動作805において、端末201はユーザ認証のための入力を受信することができる。ユーザ認証のための入力は、例えば、ユーザID及びパスワードを入力するユーザ入力であり得る。他の例を挙げると、ユーザ認証のための入力は、より強化された認証のためのユーザ入力(例:生体情報)であり得る。
動作810において、端末201は、コントローラ202にユーザ認証を要請することができる。例えば、接続制御アプリケーション211は、ユーザ認証のための入力情報をコントローラ202に伝送することができる。端末201とコントローラ202間の制御フローが既に生成されている状態であれば、接続制御アプリケーション211はユーザ認証のための入力情報を制御フロー識別情報とともに伝送することができる。
動作815において、コントローラ202は、端末201から受信された情報に基盤してユーザを認証することができる。例えば、コントローラ202は、受信された情報に含まれたユーザID、パスワード、及び/または強化された認証情報と、コントローラ202のメモリに含まれたデータベース(例:図3の接続政策データベース311またはブラックリストデータベース314)に基盤してユーザが接続政策により接続可能であるか否か及びユーザがブラックリストに含まれているか否かを決定することができる。
ユーザが認証されると、コントローラ202は、制御フローの識別情報にユーザの識別情報(例:ユーザID)を追加することができる。追加されたユーザ識別情報は、認証されたユーザのコントローラ接続またはネットワーク接続に利用され得る。
動作820において、コントローラ202は、ユーザ認証要請に対する応答としてユーザが認証されることを示す情報を端末201に伝送することができる。
動作825において、端末201は、ユーザ認証に対する結果値を処理することができる。例えば、端末201は、ユーザ認証が完了することを示すユーザインターフェース画面をユーザに表示することができる。
他の実施形態により、コントローラ202は、ユーザ認証が不可能であることを決定することができる。例えば、ユーザの識別情報がブラックリストデータベースに含まれると、コントローラ202は、ユーザ認証が不可能なものとして決定することができる。この場合、動作820において、コントローラ202はユーザ認証が不可能であることを示す情報を端末201に伝送し、動作825において、端末201はユーザ認証が失敗することを示すユーザインターフェース画面を表示することができる。
図9、図10a及び図10bは、多様な実施形態によりネットワーク接続を制御する動作を説明する図である。図9は、ネットワーク接続を制御するための信号のフローチャート図である。図10aは、ネットワーク接続が遮断されるときのユーザインターフェース画面を示す図である。図10bは、ネットワーク接続が許容されるときのユーザインターフェース画面を示す図である。
端末201がコントローラ202から認可された後に、端末201は、端末201の接続制御アプリケーション211を介して端末201内に保存された他のアプリケーションのネットワーク接続を制御することで信頼されたデータ伝送を保障することができる。
図9を参照すると、動作905において、接続制御アプリケーション211は、ネットワーク接続イベントを感知することができる。例えば、接続制御アプリケーション211は、ウェブブラウザのようなターゲットアプリケーションがインターネットのような目的地ネットワークへの接続を試みることを感知することができる。例えば、ユーザは、ウェブブラウザを実行して接続しようとするウェブアドレスを入力し呼び出すことができる。
動作910において、接続制御アプリケーション211は、コントローラ202にターゲットアプリケーションのネットワーク接続を要請することができる。この場合、接続制御アプリケーション211は、ターゲットアプリケーションの識別情報、接続対象のIP、及び/またはサービスポート情報を端末201とコントローラ202との間に生成された制御フローの識別情報とともにコントローラ202に伝送することができる。
動作915において、コントローラ202は、接続制御アプリケーション211から受信された要請に基盤して接続政策及びトンネル政策を確認することができる。例えば、コントローラ202は、接続制御アプリケーション211から受信された情報がコントローラ202の接続政策を満足するか否かに基盤してターゲットアプリケーションの接続可否を決定することができる。ターゲットアプリケーションの接続が不可能であれば、コントローラ202は、動作925において端末201に接続が不可能であることを示す情報を伝送することができる。この場合、接続制御アプリケーション211は、ターゲットアプリケーションのデータパケットをドロップし、ネットワークに対する接続が不可能であることを示すユーザインターフェース画面を表示することができる。
ターゲットアプリケーションの接続が可能であれば、コントローラ202は、端末201とゲートウェイ203間の認可されたトンネルが存在するか否かを確認することができる。例えば、コントローラ202は、目的地ネットワークに対応するトンネル政策でトンネルエンドポイント(tunnel end point、TEP)及び/またはトンネル種類を確認し、確認されたTEPに対応する認可されたトンネルがトンネルテーブル内に存在するか否かを決定することができる。認可されたトンネルが存在すると、コントローラ202は、既に生成されたトンネルのトンネルIDとデータフローテーブル内に含まれた情報を生成し、動作925において、生成された情報を端末201に伝送することができる。認可されたトンネルが存在しなければ、コントローラ202は、トンネル生成に必要な情報(例:トンネル種類、方式、認証情報、及び/またはTEPのIP及びフォト)とデータフローテーブル内に含まれた情報を生成し、生成された情報をゲートウェイ203及び端末201に伝送することができる(動作920及び925)。
他の例を挙げると、端末201とゲートウェイ203間の生成されるトンネル中でトンネル政策を満足するトンネルが存在しない場合、コントローラ202は、動作925において端末201にネットワーク接続が不可能であることを通知することができる。この場合、接続制御アプリケーション211は、ターゲットアプリケーションのデータパケットをドロップしてネットワーク接続が不可能であることを示すユーザインターフェース画面を表示することができる。
接続制御アプリケーション211は、動作925において受信された応答に従って結果値を処理することができる。一実施形態によりコントローラ202からターゲットアプリケーションのネットワーク接続が不可能であるという情報または認可されたトンネルが存在しないという情報を受信すると、接続制御アプリケーション211は、データパケットをドロップしてネットワーク接続が不可能であることを示すユーザインターフェース画面を出力することができる。例えば、図10aを参照すると、端末201は、ディスプレイを介して目的地ネットワークに対する接続が遮断されることを示すユーザインターフェース画面1010または1020を出力することができる。ユーザインターフェース画面1010または1020は、接続が遮断されることを示すテキスト1015またはポップアップウィンドウ1025を含むことができる。
他の実施形態により、コントローラ202からトンネル生成に必要な情報が受信されると、接続制御アプリケーション211は、動作930においてゲートウェイ203とトンネルを生成し、動作935において生成されたトンネルを介してターゲットアプリケーションのデータパケットを伝送することができる。この場合、接続制御アプリケーション211は、目的地ネットワークからデータパケットを受信し、前記目的地ネットワークで提供するデータを処理することができる。例えば、図10bを参照すると、端末201は、接続が許容された目的地ネットワーク(例:ウェブサイト)から提供される画面1030をディスプレイを介して出力することができる。
他の実施形態により、コントローラ202から既に存在するトンネルのトンネルIDを受信すると、接続制御アプリケーション211は、追加的なトンネル生成手続きを行わずに動作935においてターゲットアプリケーションのデータパケットを前記トンネルIDに対応するトンネルを介してゲートウェイ203に伝送する。
一実施形態によると、接続制御アプリケーション211は、動作910を行う前にターゲットアプリケーションと目的地ネットワークの境界にあるゲートウェイ203間の認可されたトンネルが存在するか否かを先ず確認することができる。例えば、接続制御アプリケーション211は、ターゲットアプリケーションの識別情報、目的地ネットワークの識別情報(例:到着地IP)、及びサービスポート情報を識別し、端末201のメモリに保存されたデータフローテーブルで識別された情報に対応するトンネルが存在するかを確認することができる。認可されたトンネルが存在すると、接続制御アプリケーション211は、ネットワーク接続を要請せずに動作935においてデータパケットを前記認可されたトンネルを介してゲートウェイ203に伝送することができる。認可されたトンネルが存在しなければ、接続制御アプリケーション211は、動作910においてネットワーク接続を要請することができる。
一実施形態によると、接続制御アプリケーション211は、ターゲットアプリケーションの無欠性及び安定性を保障するためにネットワーク接続を要請する前にターゲットアプリケーションの有効性検査をさらに行うことができる。例えば、接続制御アプリケーション211は、ターゲットアプリケーションの偽造、変造の有無、コードサイニング検査、及び/またはフィンガープリント検査を行うことができる。他の例を挙げると、接続制御アプリケーション211は、コントローラ202から受信された接続政策データベースに基盤してターゲットアプリケーション、接続対象IP、及びサービスポートが接続可能な状態であるかを確認することができる。ターゲットアプリケーションの有効性検査が失敗すると、接続制御アプリケーション211はネットワーク接続を要請せずにデータパケットをドロップ(drop)することができる。この場合、接続制御アプリケーション211は、接続が不可能であることを示すユーザインターフェース画面を表示することができる。ターゲットアプリケーションの有効性検査が成功すると、接続制御アプリケーション211は、動作910においてネットワーク接続を要請することができる。
図11は、多様な実施形態により、端末においてネットワーク接続を制御するための動作フローチャート図である。以下に記述される動作は、図9の端末201を介して行われ得る。例えば、端末は、プロセッサを介してメモリに保存された命令語を実行することで図11の動作を行うことができる。メモリに保存された命令語は、図9の接続制御アプリケーション211のようなソフトウェアまたはプログラムであり得る。
図11を参照すると、動作1105において、端末はネットワーク接続イベントを感知することができる。例えば、ユーザが特定ウェブブラウザのようなターゲットアプリケーションを介して目的地ネットワークに接続しようと試みると、端末はネットワーク接続イベントを感知することができる。
動作1110において、端末は端末と目的地ネットワークの境界にあるゲートウェイ間の認可されたトンネルが存在するか否かを確認することができる。例えば、接続制御アプリケーションは、端末に保存されたデータフローテーブル内でターゲットアプリケーションの識別情報及び目的地ネットワーク(例:到着地IP)に対応するトンネルが存在するか否かを確認することができる。認可されたトンネルは、外部サーバ(例:図9のコントローラ202)により認可されたトンネルであり得る。
認可されたトンネルが存在すると、動作1115において、端末はターゲットアプリケーションのデータパケットを認可されたトンネルを介して伝送することができる。認可されたトンネルが存在しなければ、動作1120において、端末はデータパケットをドロップするか外部サーバにネットワーク接続を要請することができる。
図12は、多様な実施形態により、端末でネットワーク接続を制御するための他の動作フローチャート図である。図12に示された動作フローチャート図は、図11の動作1110の後に行われ得る。
認可されたトンネルが存在しなければ、動作1220において、端末は外部サーバにネットワーク接続を要請することができる。外部サーバは、例えば、図9のコントローラ202のように端末のネットワーク接続を管理するサーバであり得る。端末は、別途の認証手続きを介して外部サーバに登録された端末であり得る。前記認証手続きは、例えば、図6のコントローラ接続または図8のユーザ認証手続きであり得る。この場合、端末と外部サーバ間の制御フローが生成され得る。一実施形態によると、端末は、ネットワーク接続要請のためにターゲットアプリケーションの識別情報、接続対象のIP、及び端末と外部サーバ間の制御フローの識別情報を前記外部サーバに伝送することができる。
動作1225において、端末は、外部サーバからネットワーク接続要請に対する応答を受信することができる。受信された応答は、ターゲットアプリケーションの目的地ネットワークに対する接続が可能か否か、ターゲットアプリケーションと目的地ネットワーク間の認可されたトンネルが存在するか否か、認可されたトンネルが存在すると認可されたトンネルに対する情報(例:識別情報)、及び/または認可されたトンネルが存在しなければ認可されたトンネルを生成するために必要な情報を含むことができる。
動作1230において、端末は受信された応答に基盤して利用可能なトンネル(または有効なトンネル)が存在するか否かを確認することができる。既に生成されたトンネルが存在するか、外部サーバから受信された情報に基盤して生成され得るトンネルが存在すると、動作1235において、端末はターゲットアプリケーションのデータパケットを前記トンネルを介して伝送することができる。利用可能なトンネルが存在しなければ、動作1240において、端末はデータパケットをドロップすることができる。
図13は、多様な実施形態により、ゲートウェイでネットワーク接続を制御するための動作フローチャート図である。以下に記述される動作は、図9のゲートウェイ203を介して行われ得る。
図13を参照すると、動作1305で、ゲートウェイは、端末(例:図9の端末201)からデータパケットを受信することができる。
動作1310において、ゲートウェイは、受信されたデータパケットが認可されたトンネルを介して受信されたか否かを確認することができる。認可されたトンネルは、例えば、外部サーバ(例:図9のコントローラ202)の制御下に生成されたゲートウェイと端末間のトンネルであり得る。
データパケットが認可されたトンネルを介して受信されたものであれば、動作1315において、ゲートウェイはデータパケットを目的地ネットワークにフォワーディングすることができる。データパケットが認可されたトンネルを介して受信されたものでなければ、動作1320において、ゲートウェイはデータパケットをドロップすることができる。
図14から図15は、多様な実施形態により、ネットワーク接続を解除するための動作を説明する図である。図14は、ネットワーク接続を解除するための信号フローチャート図であり、図15は、ネットワーク接続を解除するためのユーザインターフェース画面を示す図である。
図14を参照すると、動作1405において、端末201は、ネットワーク接続解除をコントローラ202に要請することができる。例えば、端末201は、端末201とコントローラ202間の制御フローの識別情報をネットワーク接続の解除を要請する情報とともにコントローラ202に伝送することができる。
一実施形態によると、端末201は、ユーザの要請、端末201の再開始、または接続制御アプリケーション211の要請のようなネットワーク接続解除イベントに応答してネットワーク接続解除を試みることができる。例えば、図15を参照すると、端末201は、ディスプレイを介して出力されたユーザインターフェース画面1510で接続終了ボタン1515を選択するユーザ入力を受信することができる。端末201は、ポップアップウィンドウ1525を含むユーザインターフェース画面1520を出力することにより、ユーザに接続終了を再び確認することができる。他の例を挙げると、端末201は、ユーザインターフェース画面1520を出力せずに直ちに動作1405を行うことができる。
動作1410において、コントローラ202は、端末201の要請に応答して受信された識別情報に対応する制御フローを除去(または解除)することができる。
動作1415において、コントローラ202は、ゲートウェイ203に除去された制御フローに従属するトンネルの除去を要請することができる。除去される制御フローに従属するトンネルは多数であり得る。この場合、コントローラ202は除去される制御フローに従属する全てのトンネルの除去を要請することができる。
動作1420において、ゲートウェイ203は、コントローラ202の要請に応答してトンネルを除去することができる。トンネルが除去されると、制御されたトンネルに対応する目的地ネットワークに伝送されるデータパケットは、接続制御アプリケーション211またはゲートウェイ203により遮断され得る。前述した動作を介し、端末201を含むシステムは、必要時に認可されたトンネルを解除することで端末201のネットワークに対する完全な遮断及び隔離を提供することができる。

Claims (16)

  1. 端末であって、
    ディスプレイ;
    通信回路;
    前記ディスプレイ及び前記通信回路と作動的に連結されるプロセッサ;及び
    前記プロセッサと作動的に連結され、ターゲットアプリケーション及び接続制御アプリケーションを保存するメモリを含み、前記メモリは、前記プロセッサにより実行されるとき、前記端末が、
    前記接続制御アプリケーションを介し、前記ターゲットアプリケーションの目的地ネットワークに対するネットワーク接続イベントを感知すると、少なくとも前記ターゲットアプリケーションの識別情報、及び、前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信し、
    前記接続制御アプリケーションを介し、前記外部サーバから、前記ネットワークへの接続要請が前記外部サーバの接続政策を満足するか否かの判断に基づく認可されたトンネルの有無を含む情報を受信し、
    前記認可されたトンネルが存在すると、前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記認可されたトンネルを介して伝送し、
    前記認可されたトンネルが存在しなければ、前記外部サーバから利用可能なトンネルを生成するための情報を受信するか、又は、前記ターゲットアプリケーションのデータパケットをドロップ(drop)するようにする命令語を保存する、端末。
  2. 前記命令語は、前記端末が、
    前記認可されたトンネルが存在すると、前記ディスプレイを利用して前記目的地ネットワークから提供される画面を出力し、
    前記認可されたトンネルが存在しなければ、前記ディスプレイを利用して前記目的地ネットワークに対する接続が許容されないことを示すユーザインターフェース画面を出力するようにする、請求項1に記載の端末。
  3. 前記命令語は、前記端末が、
    少なくとも前記ターゲットアプリケーションの識別情報、及び、前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信する前に、前記認可されたトンネルが存在するか否かを確認し、認可されたトンネルが存在する場合、前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記認可されたトンネルを介して伝送し、前記認可されたトンネルが存在しない場合、前記通信回路を利用し、前記目的地ネットワークへの接続要請を、外部サーバに対して送信する、請求項1に記載の端末。
  4. 前記命令語は、前記端末が、
    前記外部サーバから利用可能なトンネルを生成するための情報を受信すると、前記受信された情報を利用して前記目的地ネットワークの境界に位置するゲートウェイとトンネルを生成し、
    前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記生成されたトンネルを介して送るようにする、請求項3に記載の端末。
  5. 前記命令語は、前記端末が、
    前記データパケットが伝送されると、前記ディスプレイを利用して前記目的地ネットワークから提供される画面を出力し、
    前記データパケットがドロップされると、前記ディスプレイを利用して前記目的地ネットワークに対する接続が許容されないことを示すユーザインターフェース画面を出力するようにする、請求項4に記載の端末。
  6. 前記命令語は、前記端末が、少なくとも前記ターゲットアプリケーションの識別情報、及び、前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信する前に、
    前記外部サーバから受信された接続政策データベースに基盤して前記ターゲットアプリケーションの有効性検査を行い、前記ターゲットアプリケーションの有効性検査が失敗すると、前記ターゲットアプリケーションのデータパケットをドロップし、
    前記ターゲットアプリケーションの有効性検査が成功すると、前記通信回路を利用して前記目的地ネットワークに対するネットワーク接続を前記外部サーバに要請するようにする、請求項1に記載の端末。
  7. 前記命令語は、前記端末が、
    前記接続制御アプリケーションを介して前記外部サーバに対するコントローラ接続イベントを感知し、
    前記感知されたイベントに応答し、前記通信回路を利用して前記外部サーバにコントローラ接続を要請し、
    前記外部サーバから前記コントローラ接続要請に対する第2応答を受信し、
    前記第2応答に基盤し、前記外部サーバに対する接続が完了することを示すかまたは前記外部サーバに対する接続が遮断されることを示すユーザインターフェース画面を前記ディスプレイを介して出力するようにする、請求項1に記載の端末。
  8. 前記命令語は、前記端末が、
    ユーザ認証を要請する第1ユーザ入力を受信し、
    前記通信回路を利用し、前記外部サーバに前記端末のユーザに対するユーザ認証を要請し、前記ユーザ認証要請は前記第1ユーザ入力に対応する情報を含み、
    前記外部サーバから、前記ユーザ認証要請に対する第3応答を受信し、
    前記第3応答に基盤し、前記ユーザ認証が完了することを示すかまたは前記ユーザ認証が失敗することを示すユーザインターフェース画面を前記ディスプレイを介して出力するようにする、請求項1に記載の端末。
  9. ネットワーク接続の解除を要請する第2ユーザ入力を受信し、
    前記第2ユーザ入力に応答し、前記外部サーバにネットワーク接続解除を要請するようにする、請求項1に記載の端末。
  10. サーバであって、
    通信回路;
    接続政策及びトンネル政策を含むデータベースを保存するメモリ;及び
    前記通信回路及び前記メモリと作動的に連結されるプロセッサを含み、前記プロセッサは、
    端末の接続制御アプリケーションから、前記端末に保存されたターゲットアプリケーションの目的地ネットワークに対するネットワーク接続を要請する第1要請を受信し、前記第1要請は、前記端末と前記サーバとの間に生成された制御フローの識別情報、前記ターゲットアプリケーションの識別情報、及び前記目的地ネットワークの識別情報を含み、
    前記第1要請、及び、前記接続政策に基盤して、前記ターゲットアプリケーションが接続可能か否かを確認し、
    前記ターゲットアプリケーションが接続可能であれば、前記目的地ネットワークに対応するトンネル政策と、前記ターゲットアプリケーションの識別情報及び前記目的地ネットワークの識別情報に基盤して、前記ターゲットアプリケーションと前記目的地ネットワークのゲートウェイ間に、認可されたトンネルが存在するか否かを確認し、
    前記確認された結果を、前記通信回路を利用して前記接続制御アプリケーションに伝送するように構成された、サーバ。
  11. 前記プロセッサは、前記通信回路を利用し、
    前記認可されたトンネルが存在すると、前記認可されたトンネルの識別情報を伝送し、
    前記認可されたトンネルが存在しなければ、トンネルを生成するために必要な情報を伝送し、
    前記データベースに含まれる政策を満足するトンネルが存在しなければ、前記ターゲットアプリケーションの前記目的地ネットワークに対するネットワーク接続が不可能であることを示す情報を伝送するように構成された、請求項10に記載のサーバ。
  12. 前記プロセッサは、
    前記接続制御アプリケーションから前記サーバに対するコントローラ接続を要請する第2要請を受信し、前記第2要請は、前記端末、前記接続制御アプリケーション、または前記端末が属するネットワークの少なくとも1つの識別情報を含み、
    前記第2要請に含まれる前記識別情報及び前記データベースに基盤して前記端末が接続可能な装置であるか否かを決定し、
    前記端末が接続可能な装置であれば、前記制御フローを生成し、
    前記通信回路を利用して前記生成された制御フローの識別情報を前記端末に伝送するように構成された、請求項10に記載のサーバ。
  13. 前記プロセッサは、
    前記制御フローを介し、前記接続制御アプリケーションから前記端末のユーザに対するユーザ認証を要請する第3要請を受信し、前記第3要請はユーザ認証と係わるユーザの識別情報を含み、
    前記第3要請に含まれる情報及び前記データベースに基盤して前記端末のユーザを認証し、
    前記通信回路を利用し、前記ユーザ認証の結果を前記制御フローを介して前記接続制御アプリケーションに伝送するように構成された、請求項12に記載のサーバ。
  14. 前記プロセッサは、
    前記接続制御アプリケーションから、前記ネットワーク接続解除を要請する第4要請を受信し、
    前記第4要請に応答して前記制御フローを除去し、
    前記通信回路を利用し、前記ゲートウェイに前記制御フローに従属するトンネルの除去を要請するように構成された、請求項10に記載のサーバ。
  15. 端末であって、
    ディスプレイ;
    通信回路;
    前記ディスプレイ及び前記通信回路と作動的に連結されるプロセッサ;及び
    前記プロセッサと作動的に連結され、ターゲットアプリケーション及び接続制御アプリケーションを保存するメモリを含み、前記メモリは、前記プロセッサにより実行されるとき、前記端末が、
    前記接続制御アプリケーションを介し、前記ターゲットアプリケーションの目的地ネットワークに対するネットワーク接続イベントを感知すると、少なくとも前記ターゲットアプリケーションの識別情報、及び前記目的地ネットワークの識別情報を含むネットワークへの接続要請を、外部サーバに対して送信し、
    前記接続制御アプリケーションを介し、前記外部サーバから、前記ネットワークへの接続要請が前記外部サーバの接続政策を満足するか否かの判断に基づく認可されたトンネルの有無を含む第1応答を受信し、
    前記第1応答に基盤し、利用可能なトンネルが存在するか否かを確認し、
    前記利用可能なトンネルが存在すると、前記通信回路を利用し、前記ターゲットアプリケーションのデータパケットを前記利用可能なトンネルを介して伝送し、
    前記利用可能なトンネルが存在しなければ、前記外部サーバから利用可能なトンネルを生成するための情報を受信するか、又は、前記ターゲットアプリケーションのデータパケットをドロップするようにする命令語を保存する、端末。
  16. 前記命令語は、前記端末が、
    前記データパケットが伝送されると、前記ディスプレイを利用して前記目的地ネットワークから提供される画面を出力し、
    前記データパケットがドロップされると、前記ディスプレイを利用して前記目的地ネットワークに対する接続が許容されないことを示すユーザインターフェース画面を出力するようにする、請求項15に記載の端末。
JP2021039780A 2019-09-24 2021-03-12 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法 Active JP7148173B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022002658A JP7148187B2 (ja) 2019-09-24 2022-01-11 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US16/580,974 US11381557B2 (en) 2019-09-24 2019-09-24 Secure data transmission using a controlled node flow
US16/580,866 US11190494B2 (en) 2019-09-24 2019-09-24 Application whitelist using a controlled node flow
KR1020200030721A KR102119257B1 (ko) 2019-09-24 2020-03-12 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR10-2020-0030721 2020-03-12

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022002658A Division JP7148187B2 (ja) 2019-09-24 2022-01-11 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法

Publications (2)

Publication Number Publication Date
JP2021145335A JP2021145335A (ja) 2021-09-24
JP7148173B2 true JP7148173B2 (ja) 2022-10-05

Family

ID=71136887

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021039780A Active JP7148173B2 (ja) 2019-09-24 2021-03-12 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
JP2022002658A Active JP7148187B2 (ja) 2019-09-24 2022-01-11 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022002658A Active JP7148187B2 (ja) 2019-09-24 2022-01-11 トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法

Country Status (4)

Country Link
EP (2) EP3879785A1 (ja)
JP (2) JP7148173B2 (ja)
KR (13) KR102119257B1 (ja)
WO (4) WO2021060853A1 (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
KR102364445B1 (ko) * 2021-04-28 2022-02-18 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333554B1 (ko) * 2021-04-28 2021-12-01 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333555B1 (ko) * 2021-05-07 2021-12-01 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102358595B1 (ko) * 2021-05-07 2022-02-08 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333553B1 (ko) * 2021-05-07 2021-12-01 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377245B1 (ko) * 2021-05-28 2022-03-23 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377247B1 (ko) * 2021-06-09 2022-03-23 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377246B1 (ko) * 2021-06-10 2022-03-23 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377248B1 (ko) * 2021-06-10 2022-03-23 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102371181B1 (ko) * 2021-08-26 2022-03-07 주식회사 엠엘소프트 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법
KR102349039B1 (ko) * 2021-08-31 2022-01-11 프라이빗테크놀로지 주식회사 분산 게이트웨이 환경에 최적화된 제어 데이터 패킷 처리 시스템 및 그에 관한 방법
KR102349038B1 (ko) * 2021-09-02 2022-01-11 프라이빗테크놀로지 주식회사 분산 게이트웨이 환경에 최적화된 터널링 및 게이트웨이 접속 시스템 및 그에 관한 방법
KR102365775B1 (ko) * 2021-09-02 2022-02-23 프라이빗테크놀로지 주식회사 분산 게이트웨이 환경에서 과금 기준 경로 설정 처리 시스템 및 그에 관한 방법
KR102379720B1 (ko) * 2021-09-03 2022-03-29 프라이빗테크놀로지 주식회사 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102379721B1 (ko) * 2021-09-03 2022-03-29 프라이빗테크놀로지 주식회사 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309116B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309115B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407135B1 (ko) * 2021-10-20 2022-06-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407136B1 (ko) * 2021-11-15 2022-06-13 프라이빗테크놀로지 주식회사 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460691B1 (ko) * 2021-11-15 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460692B1 (ko) * 2021-11-18 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN114157472B (zh) * 2021-11-29 2024-02-23 深信服科技股份有限公司 一种网络访问控制方法、装置、设备及存储介质
CN113905109B (zh) * 2021-12-08 2022-03-22 深圳竹云科技有限公司 零信任网络数据传输方法、装置、设备及计算机存储介质
KR102430881B1 (ko) * 2021-12-13 2022-08-09 에스지에이솔루션즈 주식회사 서버 단말 연결 망의 보안위협과 보안 커널을 연계한 사용자의 경로 및 행위의 가시화 방법, 장치 및 컴퓨터-판독가능 기록매체
CN114301690B (zh) * 2021-12-29 2024-02-23 中国电信股份有限公司 动态网络隔离方法及装置、存储介质、终端设备
KR20230106427A (ko) 2022-01-06 2023-07-13 부산대학교 산학협력단 분기 태그 지정 확장을 위한 리스크 파이브 아키텍처 명령어 확장을 위한 장치 및 방법
KR102427663B1 (ko) * 2022-01-14 2022-08-02 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102396528B1 (ko) * 2022-01-14 2022-05-12 프라이빗테크놀로지 주식회사 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102410552B1 (ko) * 2022-01-26 2022-06-22 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102439880B1 (ko) * 2022-01-26 2022-09-05 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102439881B1 (ko) * 2022-01-27 2022-09-05 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460693B1 (ko) * 2022-02-23 2022-10-31 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102460695B1 (ko) * 2022-02-24 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460694B1 (ko) * 2022-02-24 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102502367B1 (ko) * 2022-03-17 2023-02-23 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102472554B1 (ko) * 2022-03-31 2022-12-01 프라이빗테크놀로지 주식회사 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495369B1 (ko) * 2022-04-25 2023-02-06 프라이빗테크놀로지 주식회사 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102514618B1 (ko) * 2022-04-26 2023-03-29 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495370B1 (ko) * 2022-04-28 2023-02-06 프라이빗테크놀로지 주식회사 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102491627B1 (ko) * 2022-07-20 2023-01-27 주식회사 안랩 게이트웨이 장치와 그 접속 처리 방법
KR102584579B1 (ko) * 2022-09-29 2023-10-05 주식회사 신시웨이 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법
KR102600442B1 (ko) * 2023-02-21 2023-11-10 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102600443B1 (ko) * 2023-02-21 2023-11-10 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102564418B1 (ko) * 2023-02-22 2023-08-08 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102583604B1 (ko) * 2023-03-24 2023-10-06 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102554200B1 (ko) * 2023-04-11 2023-07-12 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
CN116437349B (zh) * 2023-06-13 2023-09-05 武汉博易讯信息科技有限公司 对移动网络进行访问控制的方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243655A (ja) 2006-03-09 2007-09-20 Ntt Data Corp Vpn管理装置、プログラム及びvpn管理方法
JP2011015327A (ja) 2009-07-06 2011-01-20 Fujitsu Ltd 通信管理装置および通信管理プログラム
US20140101716A1 (en) 2012-10-09 2014-04-10 Cupp Computing As Transaction Security Systems and Methods
JP2017537501A (ja) 2014-10-06 2017-12-14 クリプトゾーン ノース アメリカ, インコーポレイテッド ネットワーク装置を保護するためのシステムおよび方法

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100415554B1 (ko) * 2001-05-21 2004-01-24 한국전자통신연구원 정보 보호 인터넷 프로토콜 패킷의 송수신 방법
KR20030075810A (ko) * 2002-03-20 2003-09-26 유디에스 주식회사 공인네트워크와 비공인네트워크 사이에서의 데이터 통신시스템 및 그 방법
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
KR20070037650A (ko) * 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 종단에서 게이트웨이로 패킷을 라우팅하기 위한 방법 및시스템
US7280826B2 (en) * 2005-02-01 2007-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus for providing security in an unlicensed mobile access network or a generic access network
KR100692653B1 (ko) * 2005-11-15 2007-03-13 주식회사 케이티프리텔 무선 인터넷 데이터 중계 방법 및 이를 이용한 무선 인터넷데이터를 위한 액세스 게이트웨이 시스템
KR100748698B1 (ko) * 2006-03-17 2007-08-13 삼성전자주식회사 보안 통신 시스템의 패킷 처리 방법 및 그 장치
JP5239341B2 (ja) * 2008-01-08 2013-07-17 日本電気株式会社 ゲートウェイ、中継方法及びプログラム
TWI519098B (zh) * 2009-12-28 2016-01-21 內數位專利控股公司 機器對機器閘道架構
JP5413737B2 (ja) * 2010-02-15 2014-02-12 日本電気株式会社 ネットワークシステム、及び経路情報更新方法
US8504818B2 (en) * 2010-04-15 2013-08-06 Microsoft Corporation Method and system for reliable protocol tunneling over HTTP
RU2562438C2 (ru) * 2010-09-09 2015-09-10 Нек Корпорейшн Сетевая система и способ управления сетью
KR101730954B1 (ko) * 2010-11-01 2017-04-27 에스케이텔레콤 주식회사 애플리케이션을 통한 보안 서비스 제공 시스템 및 방법, 그리고 이에 적용되는 장치
US9529996B2 (en) * 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
AU2013260295B2 (en) * 2012-05-10 2017-05-04 Samsung Electronics Co., Ltd. Method and system for connectionless transmission during uplink and downlink of data packets
EP3633954B1 (en) 2012-10-15 2022-08-10 Citrix Systems, Inc. Providing virtualized private network tunnels
KR20140055857A (ko) * 2012-11-01 2014-05-09 주식회사 케이티 이종망간 이동성 제공 시스템 및 방법
KR101481337B1 (ko) * 2013-11-25 2015-01-21 숭실대학교산학협력단 소프트웨어 정의 네트워크 기반 이동통신 시스템 및 이의 단말 접속 처리 방법
KR102245362B1 (ko) * 2014-01-24 2021-04-28 엘지전자 주식회사 서로 다른 통신 프로토콜을 사용하는 디바이스들 간 무선 네트워크 연결을 제어하기 위한 방법 및 이를 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체
KR101561108B1 (ko) * 2014-05-07 2015-10-16 성균관대학교산학협력단 소프트웨어 정의 네트워크에 기반한 프록시 모바일 IPv6환경에서의 데이터 통신 방법 및 핸드오버 방법
EP3142305A4 (en) * 2014-05-27 2017-06-07 Huawei Technologies Co. Ltd. Flow table management method and relevant device and system
KR101755829B1 (ko) * 2014-09-05 2017-07-07 주식회사 케이티 Sdn 환경에서 arp 처리 방법 및 장치
EP3770781B1 (en) 2014-09-30 2022-06-08 Citrix Systems, Inc. Fast smart card logon and federated full domain logon
KR102272838B1 (ko) * 2014-11-11 2021-07-06 삼성전자주식회사 이동통신 네트워크를 통한 데이터 서비스 제공 방법 및 장치
KR101578193B1 (ko) * 2014-12-31 2015-12-16 (주)넷비젼텔레콤 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법
CN107210956A (zh) * 2015-02-05 2017-09-26 科里普特佐内北美股份有限公司 多隧道虚拟网络适配器
KR20160123069A (ko) * 2015-04-15 2016-10-25 한국전자통신연구원 단말의 통합 인증 방법 및 그 장치
US10432592B2 (en) 2015-05-10 2019-10-01 Citrix Systems, Inc. Password encryption for hybrid cloud services
WO2016190641A1 (ko) * 2015-05-22 2016-12-01 엘지전자(주) 무선 통신 시스템에서 데이터 송수신 방법 및 이를 위한 장치
US10362011B2 (en) * 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture
US9906560B2 (en) * 2015-08-28 2018-02-27 Nicira, Inc. Distributing remote device management attributes to service nodes for service rule processing
US9560015B1 (en) * 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
KR101861201B1 (ko) * 2016-08-16 2018-05-25 아토리서치(주) 소프트웨어 정의 네트워킹에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램
KR101743559B1 (ko) * 2016-09-20 2017-06-05 주식회사 아라드네트웍스 가상 사설 네트워크 시스템, 그를 이용하는 pc방 네트워크, 및 그를 위한 매니저 장치
KR20180032864A (ko) * 2016-09-23 2018-04-02 주식회사 윈스 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법
KR102050089B1 (ko) * 2016-12-01 2019-11-28 엑사비스 주식회사 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법
KR101924712B1 (ko) * 2017-01-24 2018-12-03 건국대학교 산학협력단 패킷 전송 방법 및 오픈플로우 스위치
KR101910605B1 (ko) * 2017-06-19 2018-10-23 주식회사 케이티 무선 단말의 네트워크 접속 제어 시스템 및 방법
US9948612B1 (en) 2017-09-27 2018-04-17 Citrix Systems, Inc. Secure single sign on and conditional access for client applications
KR20190052541A (ko) * 2017-11-08 2019-05-16 한국전자통신연구원 서비스 서버와 사용자 단말간의 네트워크 경로 제공 방법 및 장치
KR20190073114A (ko) * 2017-12-18 2019-06-26 주식회사 케이티 단말, 상기 단말의 동작 방법 및 다중경로 통신 시스템
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243655A (ja) 2006-03-09 2007-09-20 Ntt Data Corp Vpn管理装置、プログラム及びvpn管理方法
JP2011015327A (ja) 2009-07-06 2011-01-20 Fujitsu Ltd 通信管理装置および通信管理プログラム
US20140101716A1 (en) 2012-10-09 2014-04-10 Cupp Computing As Transaction Security Systems and Methods
JP2017537501A (ja) 2014-10-06 2017-12-14 クリプトゾーン ノース アメリカ, インコーポレイテッド ネットワーク装置を保護するためのシステムおよび方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
cloud security alliance,SDP specification 1.0,2014年04月30日,P.1-28,<URL> https://downloads.cloudsecurityalliance.org/initiatives/sdp/SDP_Specification_1.0.pdf
cloud security alliance,Software-Defined Perimeter アーキテクチャガイド,2020年03月10日,P.1-38,<URL> https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2020/03/sdp_architecture_guide_v2_J_FINAL.pdf
CSA ジャパン SDP ワーキンググループ ,SDP利用シナリオ集 ,ソフトウェア・ディファインド・ペリメタ (Software Defined Perimeter:SDP) の活用 バージョン 1.0,2019年04月25日,<URL> https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2019/04/SDP%E5%88%A9%E7%94%A8%E3%82%B7%E3%83%8A%E3%83%AA%E3%82%AA%E9%9B%86-%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9%E7%89%88-v1.0.pdf

Also Published As

Publication number Publication date
KR102119257B1 (ko) 2020-06-26
JP2021145335A (ja) 2021-09-24
KR102175772B1 (ko) 2020-11-06
KR102204143B1 (ko) 2021-01-18
JP7148187B2 (ja) 2022-10-05
KR102181185B1 (ko) 2020-11-20
KR102204705B1 (ko) 2021-01-19
KR20210035742A (ko) 2021-04-01
WO2021060854A1 (ko) 2021-04-01
JP2022043329A (ja) 2022-03-15
WO2021060857A1 (ko) 2021-04-01
WO2021060856A1 (ko) 2021-04-01
KR102178003B1 (ko) 2020-11-13
EP4020941A1 (en) 2022-06-29
KR20210045917A (ko) 2021-04-27
KR102137773B1 (ko) 2020-07-24
KR102250505B1 (ko) 2021-05-12
KR102206562B1 (ko) 2021-01-22
KR102274617B1 (ko) 2021-07-08
WO2021060853A1 (ko) 2021-04-01
KR102146568B1 (ko) 2020-08-20
EP3879785A1 (en) 2021-09-15
KR102223827B1 (ko) 2021-03-08
KR102152314B1 (ko) 2020-09-04

Similar Documents

Publication Publication Date Title
JP7148173B2 (ja) トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
KR102364445B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102379721B1 (ko) Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) System for controlling network access of terminal based on tunnel and method thereof
KR102460691B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377247B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102439881B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333555B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP7489147B2 (ja) 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法
US11271777B2 (en) System for controlling network access of terminal based on tunnel and method thereof
KR102514618B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460696B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102446934B1 (ko) 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102495369B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460695B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333553B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333554B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20220247720A1 (en) System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor
KR102472554B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460692B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407135B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102358595B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
EP4037278A1 (en) System for controlling network access of node on basis of tunnel and data flow, and method therefor
KR102609368B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102593271B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210312

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20210312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220914

R150 Certificate of patent or registration of utility model

Ref document number: 7148173

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150