KR100358387B1 - 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법 - Google Patents

네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법 Download PDF

Info

Publication number
KR100358387B1
KR100358387B1 KR1020000035533A KR20000035533A KR100358387B1 KR 100358387 B1 KR100358387 B1 KR 100358387B1 KR 1020000035533 A KR1020000035533 A KR 1020000035533A KR 20000035533 A KR20000035533 A KR 20000035533A KR 100358387 B1 KR100358387 B1 KR 100358387B1
Authority
KR
South Korea
Prior art keywords
network
data
ftp
user
internal
Prior art date
Application number
KR1020000035533A
Other languages
English (en)
Other versions
KR20020001190A (ko
Inventor
이상우
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020000035533A priority Critical patent/KR100358387B1/ko
Priority to US09/891,300 priority patent/US20010056550A1/en
Publication of KR20020001190A publication Critical patent/KR20020001190A/ko
Application granted granted Critical
Publication of KR100358387B1 publication Critical patent/KR100358387B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

본 발명은 방화벽의 후단에 구비된 FTP 프락시가 내부 클라이언트들의 FTP 서비스 이용현황을 감시하여 실시간 모니터링을 수행함으로써 내부자원의 외부유출을 방지할 수 있는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법을 제공하기 위한 것으로, 방화벽과; 내부망으로부터 외부망으로의 접근요구에 대한 인증여부를 판단하고 인증된 사용자가 외부망으로 전송하는 데이터의 복사본 및 로그정보를 저장하는 FTP 프락시로 구성되는 장치와,
내부사용자의 외부서버에 대한 접근권한의 인증을 수행하는 단계와; 출력되는 데이터형을 저장하는 단계와; 전송권한이 인증된 사용자의 데이터를 서버로 전송하고 전송되는 파일의 복사본 및 로그정보를 저장하는 단계와; 각 명령어에 따른 동작을 수행하고 접속종료 명령어가 있게 되면 서버와의 접속을 종료하는 단계로 구성되는 방법을 수행하여, 내부 사용자의 FTP 서비스를 이용한 자원유출을 감시/추적하고 실시간 모니터링할 수 있는 것이다.

Description

네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법 {Apparatus for extended firewall protecting internal resources in network system}
본 발명은 네트워크망의 보안기능에 관한 것으로, 특히 인터넷(Internet) 등의 공중 네트워크망에 접속되는 내부 네트워크에서 FTP 프락시(File Transfer Protocol Proxy)가 내부 클라이언트들의 FTP 서비스 이용현황을 감시하여 내부에서 외부로 전송되는 데이터의 복사본 저장 및 전송정보의 실시간 모니터링을 수행함으로써, 내부자원의 외부유출을 감시하고 추적할 수 있도록 한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법에 관한 것이다.
일반적으로 인터넷과 같은 공중 네트워크망에 접속되는 내부 네트워크망을 구성하는 경우에 있어서, 내부 네트워크에서는 자유롭게 공유되는 자원일지라도 외부망으로의 유출을 방지할 필요가 있다. 상기와 같이 특정의 자원에 대한 보안기능은 일반적으로 방화벽을 통해 구현되는데, 특히 내부적으로 중요한 자원의 외부유출을 방지할 필요가 있는 경우 방화벽에 대하여 높은 신뢰성을 요구하게 된다.
이하, 네트워크망의 보안기능에 대한 종래기술을 설명한다.
먼저, 도1은 종래기술에 의한 네트워크망의 보안장치의 블록구성도이다.
상기 도1에 도시된 바와 같이 네트워크망은, 외부망으로부터 내부망으로의 접근요구에 대한 차단기능을 선별적으로 수행하는 방화벽(1)과; 인터넷을 통해 상기 방화벽(1)의 인증을 받아 FTP 서버(3)로 접속하는 복수개의 클라이언트(2)와; 상기 복수개의 클라이언트(2)의 접속요구를 수용하여 데이터 교환을 수행하는 FTP 서버(3)로 구성된다.
상기 구성에 따른 장치의 동작을 설명하면 다음과 같다.
일반적으로 외부망에 대하여 FTP 서비스를 제공하는 내부망의 방화벽(1)에는 FTP 프락시가 구비되어 있으며, 상기 FTP 프락시가 내부망에 대한 접속요구를 발하는 외부망의 클라이언트(2)에 대한 인증여부를 결정하게 된다. 즉, 내부 네트워크의 특정 데이터에 대한 사용자의 접근요구를 접수하여 허가된 사용자인지 아닌지를 판단함으로써, 내부 네트워크로의 접속허용 여부를 결정하여 내부 데이터를 보호하는 기능을 수행하게 된다. 따라서 방화벽의 FTP 프락시는 서비스를 요청하는 주체와 서비스를 요청받는 객체사이의 접근제어와 사용자를 확인하기 위한 사용자 인증방법 등을 주로 이용하여 보안기술을 구현하게 되는 것이다.
이러한 방화벽(1)에는 응용프로그램 게이트웨이(Gateway)라 하여 방화벽상에 다종의 프락시들이 존재하며, 패킷 필터링(Packet Filtering) 등의 다른 보안기능과 더불어 실행된다. 사용자 인증방법의 경우 인증서버에 의해 관리되는 일반 평문형식(Text Type)의 패스워드나 일회용 패스워드를 사용하며, 접근제어의 경우 주체와 객체의 각종 정보를 가지고 접근허용 및 차단여부를 결정한다. 이때 접근권한의 인증과 관련된 주체는 클라이언트(2)이고 객체는 내부망의 FTP 서버(3)가 된다.
그래서 외부망의 사용자가 FTP 서비스를 제공받고자 하는 경우에는 방화벽(1)상에서 실행중인 FTP 프락시에 접속하여 사용자 인증을 마친 후 FTP 서버(3)로 접속하게 된다. 다만 방화벽(1)의 기능 중 NAT(Network Address Translator)를 이용할 경우 내부사용자에 한하여 FTP 프락시를 거치지 않고 바로 외부망의 FTP 서버에 접속할 수 있다.
특히, 전형적인 FTP 프락시는 논리적으로는 하나의 접속노드를 가지지만, 물리적으로는 FTP 서버(3)와 FTP 프락시간 및 FTP 프락시와 클라이언트(2)간에 구성되는 두 개의 접속노드를 갖게 된다. 이때 FTP 프락시는 서비스를 요구한 사용자에 대한 사용자 인증을 위하여 인증서버와 메시지 교환을 수행하게 되는데, 상기 생성된 접속노드가 주체(2)와 FTP 프락시 사이의 물리적 접속노드이다.
만약, 사용자 인증에 실패하게 되면 FTP프락시에 의하여 물리적 접속노드의 접속차단이 이루어지게 될 것이다. 그리고 사용자 인증에 성공하여 물리적 접속노드가 구성되면, 사용자는 실제 접속하고자 하는 FTP 서버(3)에 대한 접속을 요청하여 FTP 프락시의 접근제어 규칙을 통과함으로써 FTP 프락시와 객체(3)간의 물리적 접속이 이루어지게 된다. 이때 상기 접근제어 규칙을 통과하지 못하게 되면 클라이언트(2)와 FTP 프락시 사이의 물리적 접속이 차단된다.
그리고 이러한 모든 접속과정 및 사용자의 행위는 FTP 프락시에 의하여 로그정보로써 기록된다. FTP 프락시가 기록하는 로그정보는 사용자 ID, 출발지 및 목적지 IP 주소, 날짜, 시간, 접속차단이유 등이며, 상기 로그정보는 시스템에의 접속통계 및 데이터 흐름의 추적자료로써 활용될 수 있게 된다.
상기 설명한 종래기술에 의한 보안기능의 경우에 방화벽상의 FTP 프락시는 외부 사용자의 내부망에 대한 접속요구시 접속허용 여부를 결정하여 내부자원을 보호하는 기능이 주목적이다. 따라서 내부 사용자에 의하여 중요한 자원이 외부로 유출될 가능성에 대하여는 보안기능이 상대적으로 취약한 문제점이 있었다.
즉, 방화벽을 기준으로 내부 사용자는 대부분 허가된 사용자이며 외부 사용자는 허가되지 않은 사용자라는 전제조건과 내부 자원을 감시하기 위한 기능의 구현시 방화벽에 큰 부하가 걸리는 점을 고려하여 FTP 프락시의 보안기능은 내부 사용자보다는 외부 사용자의 접근 통제기능을 중심으로 작용하였기 때문에, 내부 사용자가 FTP 서비스를 이용하여 내부자원을 외부로 유출시키는 것에 대한 특별한 보호수단을 갖지 못한 문제점이 있었던 것이다.
이에 본 발명은 상기와 같은 종래의 제반 문제점을 해소하기 위해 제안된 것으로, 본 발명의 목적은 공중 네트워크망에 접속되는 내부 네트워크에서 FTP 프락시가 내부 클라이언트들의 FTP 서비스 이용현황을 감시하여 내부에서 외부로 전송되는 데이터의 복사본 저장 및 전송정보의 실시간 모니터링을 수행함으로써, 내부자원의 외부유출을 감시하고 추적할 수 있도록 한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법을 제공하는 데 있다.
도1은 종래기술에 의한 네트워크망의 보안장치의 블록구성도이고,
도2는 본 발명의 일실시예에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 블록구성도이고,
도3은 본 발명에 의한 장치에 적용되는 운용방법의 흐름도이고,
도4는 도3에서 파일 및 로그정보 저장동작의 상세흐름도이며,
도5는 도4에서 로그정보의 구성예시도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
11 : 방화벽 12 : FTP 프락시 13 : 클라이언트
14 : FTP 서버 15 : 프락시 모니터
상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치는, 외부망으로부터 내부망으로의 접근요구에 대한 차단기능을 선별적으로 수행하는 방화벽과; 상기 방화벽에 네트워크 연결되어 내부망에 설치되고, FTP 서비스를 요청하는 하나 이상의 클라이언트와; 상기 하나 이상의 클라이언트의 FTP 서비스 요청에 응답하여 상기 클라이언트와 데이터를 교환하고, 상기 방화벽에 인터넷을 통해 연결되어 외부망에 설치되는 FTP 서버와; 상기 내부망으로부터 외부망으로의 접근요구에 대한 인증여부를 판단하고, 인증된 사용자가 외부망으로 전송하는 데이터의 복사본 및 상기 데이터 전송에 관련된 로그정보를 저장하는 FTP 프락시와; 상기 FTP 프락시의 전송데이터 복사본을 데이터형별로 구분하여 저장하는 파일시스템과; 상기 FTP 프락시의 전송데이터에 관한 로그정보를 저장하는 데이터베이스로 구성되는 것을 특징으로 한다.상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치는, 상기 FTP 프락시의 로그정보를 수신하여 시스템관리자가 인지할 수 있도록 출력하는 프락시 모니터를 더 포함하여 구성되는 것을 특징으로 한다.상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법은, 내부사용자의 외부 서버에 대한 접근권한의 인증을 수행하고, 상기에서 접근권한이 인증된 사용자가 외부 서버에 접속하는 제1 단계와; 상기 제1 단계 수행 후 사용자의 명령어를 수신하여 상기 명령어가 데이터형 지정을 요구하는 것이면 지정된 데이터형을 저장하는 제2 단계와; 상기 제2 단계에서 수신한 명령어가 데이터 송신을 요구하는 것이면 데이터 전송권한이 인증된 사용자의 데이터를 서버로 전송하고 상기 전송되는 파일의 복사본 및 로그정보를 저장하고 시스템 관리자에게 상기 로그정보를 전송하는 제3 단계와; 상기 제2 단계에서 수신한 명령어가 데이터형 지정요구 또는 데이터 송신명령이 아닐 경우에는 해당 명령어에 따른 동작을 수행하고, 접속종료 명령어가 있게 되면 서버와의 접속을 종료하는 제4 단계를 수행함을 그 기술적 구성상의 특징으로 한다.상기와 같은 목적을 달성하기 위하여 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법은, 상기 제 1 단계의 접근권한의 인증 수행과정은, 내부사용자의 외부서버에 대한 접속요구시 사용된 계정과 상기 계정에 할당된 패스워드 비교를 통하여 정당한 사용자인지를 판단하는 사용자 인증 수행 단계와; 사용자 계정의 등록시 상기 계정이 사용될 수 있도록 특정된 호스트를 통하여 외부망에의 접속서비스를 요청하는지를 판단함으로써 내부망의 허가되지 않은 호스트를 통한 외부망에의 접속을 방지할 수 있는 접근제어 단계로 구성되는 것을 특징으로 한다.상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법은, 상기 제3 단계에서 외부로 전송되는 파일의 복사본 및 로그정보의 저장동작은, 내부망에서 외부망으로 전송되는 파일을 수신하여 상기 파일의 데이터형에 따라 복사본을 파일시스템에 저장하고 외부망으로 해당 데이터를 전송하는 것을 전송완료시까지 반복적으로 수행하는 단계와;상기 단계에서 외부망으로의 데이터 전송이 완료되면, 상기 전송과정에 대한 정보를 로그정보로써 데이터베이스에 저장하고 상기 로그정보를 시스템의 관리자가 인지할 수 있도록 출력하는 단계를 수행하는 것을 특징으로 한다.상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법은, 전송데이터에 대한 로그정보는, 상기 데이터를 전송하는 클라이언트 사용자의 계정과; 상기 클라이언트의 IP 주소와; 상기 클라이언트가 전송하는 데이터를 수신하는 FTP 서버의 IP 주소와; 상기 데이터 전송시의 날짜 및 시간과; FTP 서버로 전송된 데이터가 저장되는 절대경로 및 저장파일명과; 전송되는 데이터의 복사본 파일명 및 그 로깅경로를 포함하여 구성되는 것을 특징으로 한다.상기와 같은 목적을 달성하기 위한 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법은, 상기 제 2 단계에서 수신한 명령어가 데이터 송신을 요구하는 것인 경우, 사용자 계정이 anonymous(익명)인지 여부를 확인하여, anonymous이면 데이터 송신명령을 차단하는 단계를 더 포함하여 구성되는 것을 특징으로 한다.다음은, 상기와 같이 구성되는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법에 대하여 첨부한 도면을 기초로 하여 상세하게 설명한다.
먼저, 도2는 본 발명의 일실시예에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 블록구성도이다.
도2에 도시된 바와 같이 본 발명의 일실시예에 의하면, 데이터를 필요로 하고, 필요한 데이터를 요청하는 복수개의 클라이언트(13)가 내부망에 설치된다. 내부망이라 함은, 내부 리소스가 있어서 아래에서 설명하는 방화벽(11)에 의해서 보호되는 네트워크이다. 그리고, 내부망을 제외한 네트워크를 외부망이라고 한다.상기 클라이언트(13)에는 방화벽(1)이 네트워크 연결되어 있다. 상기 방화벽(11)은 외부인이 내부망으로의 접근을 통제하여 내부 자원을 보호한다.상기 방화벽(11)에는 인터넷을 통해서 FTP 서버(14)가 연결된다. 상기 FTP 서버(14)는 상기 복수개의 클라이언트(13)의 데이터 요청에 응답하여 클라이언트(13)와 데이터를 주고 받는다.그리고, 상기 방화벽(11)과 복수개의 클라이언트(13) 사이에는 FTP프락시(12)가 네트워크 연결된다. 상기 FTP 프락시(12)는, 복수개의 클라이언트(13)가 외부망으로의 접근권한의 인증여부를 판단하며, 상기 인증여부 판단의 결과, 사용 인증이 부여된 클라이언트(13)가 FTP 서버(14)로 전송하는 데이터를 로깅(logging)하고 복사본을 만든다.상기 FTP 프락시(12)에는 파일시스템(16)이 연결된다. 상기 파일시스템(16)은, 상기 FTP 프락시(12)가 만든 복사본을 파일의 형식에 따라 구분하여 저장한다.그리고, 상기 FTP 프락시(12)에는 또한 데이터베이스(17)가 연결되어 있다. 상기 데이터베이스(17)는, 클라이언트(13)에서 FTP 서버(14)로의 전송이 종료된 후 전송된 데이터의 로그정보를 저장한다.그리고, 상기 FTP 프락시(12)와 클라이언트(13) 사이에는 프락시모니터(15)가 네트워크 연결된다. 상기 프락시모니터(15)는 상기 FTP 프락시(12)의 로그정보를 수신하여 시스템 관리자가 인지할 수 있도록 출력한다.
다음은 상기와 같은 구성을 갖는 본 발명에 의한 실시예의 동작 과정에 대하여 도3 ~ 도5를 기초로 하여 상술한다.도3은 본 발명에 의한 장치에 적용되는 운용방법의 흐름도이다.도3에 도시된 바와 같이, 상기 클라이언트(13)가 FTP 서버(14)에 접속하기 위해서는 먼저 사용자 인증을 받아야 한다.
즉, 상기 클라이언트(13)가 상기 FTP 프락시(12)로 사용자 인증 요청신호를 송신하고, 상기 사용자 인증요청신호를 수신한 FTP 프락시(12)는 사용자가 송신한 계정 및 등록 계정 고유의 패스워드 검사를 통하여 사용자 인증여부를 판단한다(ST11).상기 FTP 프락시(12)의 사용자 인증여부의 판단 결과, 등록 계정 및 패스워드가 기억된 값과 일치하지 않으면(즉, 사용자 인증에 실패하면), 상기 FTP 프락시(12)는 사용자 인증 거부 신호를 클라이언트(13)에 송신하고, 동시에 물리적 접속노드에 대하여 접속차단 신호를 보내서 접속을 차단한다(ST12).상기 ST11 단계에서의 판단 결과, 등록 계정과 패스워드가 기억된 값과 일치하면(즉, 사용자 인증에 성공하면), 상기 클라이언트(13)는 FTP 서버(14)와의 접속을 시도한다(ST13).그리고, 상기 FTP 프락시(12)는, 상기 사용자가 FTP 프락시(12)로 송신한 계정이 anonymous 계정인지 여부를 판단한다(ST14). 상기 사용자가 'anonymous' 계정으로 FTP 서버(14)에 접속시도하는 경우에는 별다른 접근제어 동작없이 접속이 허용된다. 이 경우, 'anonymous' 계정으로 접속을 시도하는 경우, FTP 프락시(12)에 의해 패스워드 검사와 접근제어 동작은 수행되지 않지만, 'anonymous' 게정으로 FTP 서버에 접속하는 사용자에 대해서는 해당 FTP 서버(14)로의 파일전송을 위한 'put' 또는 'mput' 등의 파일전송 명령을 제외한 명령어 사용만이 허용된다(ST14).그러나, 특정 계정으로 외부망의 FTP 서버(14)에 접속시도하는 경우에는, 상기 FTP 프락시(12)는 접근제어기능을 수행한다(ST15). 상기 접근제어기능이라 함은 사용자 계정의 등록시 상기 계정으로 외부망에 접속할 수 있는 호스트를 특정하여 등록시킨 후, 특정 호스트로부터 서버로의 접근요구가 있을 경우 해당 호스트와 사용자의 계정을 비교하여 허가된 접근요구인지를 판단하는 것이다.상기 접근제어를 위하여 FTP 프락시(12)는 내부망에 구비된 각 호스트의 FTP 서버(14)에 대한 접근요구를 수신하여 해당 호스트가 정당한 권한을 갖는 것인지를 확인한다. 상기에서 정당한 접근권한이 인증된 호스트는 외부망의 FTP 서버(14)에 접속하여 FTP 서비스상에서 클라이언트(13)로써 동작하게 된다.사용자에 대한 계정부여시 사용자가 상기 계정으로 FTP 접속할 때 이용할 호스트를 지정하도록 한다. 즉, 사용자 계정으로 접속요구할 수 있는 호스트를 특정하여 허가된 호스트를 이용하는 사용자에 대해서만 외부망의 FTP 서버(14)에의 접속을 허용하는 것으로, FTP 서비스를 요청한 호스트와 등록된 호스트의 비교를 통해 하나의 계정으로 다수의 사용자가 서비스를 이용하는 것을 방지할 수 있게 된다(ST15).그러므로 정당한 계정을 갖는 사용자로써 인증된 경우에도 해당 계정에 대해 허가된 클라이언트(13) 이외의 시스템을 통하여 접속시도하게 되면, FTP 프락시(12)는 접근제어를 수행하여 클라이언트(13)와 FTP 서버(14)간의 물리적 접속을 차단하게 되는 것이다(ST12).FTP 서버(14)에 대한 내부 사용자의 접속요구 계정이 'anonymous'로써 불특정 사용자인 경우 또는, 특정계정에 대하여 접근이 허용된 경우에는, 해당 사용자가 사용중인 클라이언트(13)와 외부망의 FTP 서버(14)간의 물리적 접속이 이루어진다(ST16).상기와 같이 FTP 서버(14)에 접속된 클라이언트(13)는, 상기 FTP 서버(14)에 대해 일정한 명령처리를 요구할 수 있게 된다.그리고 FTP 서버(14)와 클라이언트(13)는 제어접속(Control Connection)을 통해 FTP 명령어(Command)와 응답(Reply)을 교환한다. 이때 FTP 명령어는 3 또는 4 바이트의 문자열로 구성되고, 명령어에 따라서는 임의의 가변인자를 더 포함하기도 한다. 상기와 같은 명령어에 대한 응답은 3자리의 숫자열로 구성되고, 상기 숫자열에 이어 부가적인 메시지를 전송하게 된다. 또한, FTP 서버(14)와 클라이언트(13)간의 데이터 교환은 데이터 접속을 통하여 이루어지는데, 교환되는 데이터는 파일과 디렉토리 목록이 된다.
이제 데이터 전송과정을 구체적으로 보면, 상기 클라이언트(13)가 데이터 요청신호를 상기 FTP 프락시(12)에 송신하고, 상기 FTP 프락시(12)는 상기 클라이언트(13)가 FTP 서버(14)로 전송하는 명령어를 수신한다(ST17).그리고, 상기 ST17단계에서 FTP 서버(14)로 전송되는 클라이언트(13)의 명령어를 수신한 FTP 프락시(12)는, 수신된 각 명령어에 따른 로그정보의 기록을 수행하게 된다.즉, 상기 FTP 프락시(12)는 수신되는 명령어가 데이터형 지정요구 명령인 'TYPE'인지를 판단한다(ST18).상기 ST18단계의 판단 결과, 클라이언트(13)가 FTP 서버(14)로 전송하는 명령어가 'TYPE'인 경우, 상기 FTP 프락시(12)는 지정된 데이터형 정보를 메모리에 저장한다(ST19).그리고, 상기 ST18단계의 판단 결과, 클라이언트(13)가 FTP 서버(14)로 전송하는 명령어가 'TYPE'이 아닌 경우에는, 상기 명령어가 데이터 송신명령인 'STOR'인지를 판단한다(ST20).상기 ST20단계의 판단 결과, 클라이언트(130가 FTP 서버(14)로 전송하는 명령어가 데이터 송신명령인 'STOR'인 경우에는, 상기 FTP 프락시(12)는 사용자 계정이 'anonymous'인지 여부를 확인한다. 즉, 상기 FTP 프락시(12)가 사용자 계정을 다시 한 번 확인하도록 함으로써, 데이터 파일이 외부로 유출되는 것을 더욱 더 방지할 수 있다. 즉 보안 기능을 더욱 강화 한 것이다(ST21).
상기 ST21단계의 판단 결과, 사용자 계정이 'anonymous'인 경우, FTP 프락시(12)는 사용자의 데이터 송신명령을 차단하여 데이터가 외부망으로 전송되는 것을 방지한다(ST22).그리고, 상기 ST21단계의 판단 결과, 사용자 계정이 'anonymous'가 아니면, 상기 FTP 프락시(12)는 외부망의 FTP 서버(14)로 해당 데이터를 전송한다 (ST23).
그리고, 상기 FTP 프락시(12)는, 상기 ST23단계에서 전송되는 데이터를 구성하는 파일의 복사본을 FTP 프락시(12)의 파일시스템(16)에 저장하고, 로그정보를 데이터베이스(17)에 기록한다(ST24).이때 상기 데이터베이스(17)에 기록되는 로그정보와 복사본 파일의 저장경로는 시스템의 관리자에게도 전송되어 FTP 서비스 현황에 대한 실시간 감시 및 추적이 가능하도록 한다(ST25).상기 ST24단계에서, 외부망으로 데이터 전송시 기록되는 로그정보는, 특히, 도5에 도시된 바와 같이 파일전송을 수행하는 사용자의 계정, 상기 사용자가 사용중인 클라이언트(13)의 IP 주소, 해당 파일이 전송되는 FTP 서버(14)의 IP 주소, 파일 전송시의 날짜 및 시간, 클라이언트(13)에서 FTP 서버(14)에 저장되는 파일명 및 절대경로, FTP 프락시(12)상에 로깅(Logging)된 파일의 절대경로와 파일명 등으로 구성된다.이때 저장되는 복사본 파일의 경우 FTP 프락시(12)상에 저장되기 때문에 파일명이 중복될 가능성이 있지만, 시간상 늦게 저장되는 파일명 뒤에 일련의 숫자를 부가하는 방식으로 유일한 파일명을 구성함으로써 기 저장된 복사본 파일이 덮어쓰기(Overwrite)로 인해 유실되는 것을 방지할 수 있다.
한편, 외부망의 FTP 서버(14)에 접속된 클라이언트(13)가 데이터 송신과 관련된 명령어 이외의 명령처리를 요청하는 경우에는 FTP 프락시(12)는 별다른 동작을 수행하지 않고, 해당 명령어가 FTP 서버(14)로 전송되어 처리되도록 한다(ST26). 이러한 각 명령어에 따른 동작수행은 필요한 횟수만큼 반복적으로 수행되고, 클라이언트(13)로 접속종료 명령어인 'QUIT'가 입력되면 FTP 서버(14)와 해당 클라이언트(13)간의 접속이 중단된다(ST27).
한편, 도4에는 외부망으로 전송되는 파일의 복사본 저장 및 로그정보 저장동작 과정이 상세하게 도시되어 있다.도 4에 도시된 바와 같이, FTP 서비스에 접속하는 내부망의 클라이언트(13)가 FTP 서버(14)로 전송하려는 파일을 FTP 프락시(12)가 수신하여(ST31) 상기 파일을 파일형식에 따라 구분하여 파일시스템(16)에 저장하게 된다(ST32). 일반적으로 파일형식에는 ASCII(American Standard Code for Information Interchange)형과 EBCDIC(Extended Binary Coded Decimal Interchange code)형 및 이미지(Image)형이 있다.
상기와 같이 데이터형을 구분 저장하는 것은 각 파일의 유지관리 및 호환성 등을 고려한 것이며, 전송파일에 대한 데이터형의 구분이 불가능하거나 상기 열거된 3가지 파일형식 이외의 형식을 갖는 파일이 수신되는 경우에는 기본적으로 이미지형으로 분류하여 저장하게 된다.
상기의 동작으로 FTP 프락시(12)에 의한 수신데이터의 파일형식별 구분저장이 수행되면, 해당 데이터는 FTP 서버(14)로 전송된다(ST33). 이어서 FTP 프락시(12)는 클라이언트(13)로부터 수신되는 데이터가 더 있는지를 확인하여 수신데이터가 있으면(ST34), 상기 파일형식별 구분저장 동작 및 데이터 전송동작을 반복적으로 수행하게 된다.
그래서 모든 데이터의 전송이 완료되어 클라이언트(13)로부터 수신되는 데이터가 없게 되면, FTP 프락시(12)는 상기 데이터 전송과정상의 로그정보를 데이터베이스(17)에 저장한다(ST35). 또한, 로그정보는 프락시 모니터(15)로 전송되어 표시됨으로써, 관리자가 FTP 서비스 현황을 실시간으로 감시/추적할 수 있도록 한다.
이처럼 본 발명은 방화벽이 구비된 네트워크상에서 내부망으로부터 외부망을 향한 FTP 서비스를 감시할 FTP 프락시를 구비하여 사용자의 인증기능을 수행하고, 내부망에서 외부망으로 전송되는 데이터 및 상기 데이터의 전송과 관련된 각종 정보를 저장하며, 시스템 관리자의 FTP 서비스 현황에 대한 실시간 감시가 가능하도록 하는 것이다.
이상에서 본 발명의 바람직한 실시예를 설명하였으나, 본 발명은 다양한 변화와 변경 및 균등물을 사용할 수 있다. 본 발명은 상기 실시예를 적절히 변형하여 동일하게 응용할 수 있음이 명확하다. 따라서 상기 기재 내용은 하기 특허청구범위의 한계에 의해 정해지는 본 발명의 범위를 한정하는 것이 아니다.
이상에서 살펴본 바와 같이 본 발명에 의한 네트워크망에서 내부자원의 보호기능이 강화된 보안장치 및 그 운용방법은, 방화벽이 구축된 네트워크 시스템에서 내부 사용자가 FTP 서비스를 이용하여 내부망의 중요자원을 외부로 유출시키는 것에 대한 보안관리가 취약하였던 종래기술의 문제점을 극복하고, 허가된 사용자에 대해서만 외부망에 대한 파일전송 권한을 부여함으로써 내부자원의 보안관리 기능을 향상시키는 효과가 있다.
그리고 등록된 계정을 가지고 있어 외부망에의 접근이 허가된 사용자의 경우에도 내부망에서 외부망으로 전송하는 파일에 대한 복사본 및 로그정보를 기록하여 파일이동 현황의 감시/추적이 가능하고 FTP 서비스 현황에 대한 실시간 모니터링이 가능하도록 하는 효과를 갖는다.
이처럼 실시간 모니터링을 수행함으로써 내부의 중요자원이 외부로 유출되는 것을 최대한 방지하고 상황에 따라서는 실시간으로 자원의 유출을 방지할 수 있는 효과가 있게 된다.

Claims (8)

  1. 외부망으로부터 내부망으로의 접근요구에 대한 차단기능을 선별적으로 수행하는 방화벽과;
    상기 방화벽에 네트워크 연결되어 내부망에 설치되고, FTP 서비스를 요청하는 하나 이상의 클라이언트와;
    상기 하나 이상의 클라이언트의 FTP 서비스 요청에 응답하여 상기 클라이언트와 데이터를 교환하고, 상기 방화벽에 인터넷을 통해 연결되어 외부망에 설치되는 FTP 서버와;
    상기 내부망으로부터 외부망으로의 접근요구에 대한 인증여부를 판단하고, 인증된 사용자가 외부망으로 전송하는 데이터의 복사본 및 상기 데이터 전송에 관련된 로그정보를 저장하는 FTP 프락시와;
    상기 FTP 프락시의 전송데이터 복사본을 데이터형별로 구분하여 저장하는 파일시스템과;
    상기 FTP 프락시의 전송데이터에 관한 로그정보를 저장하는 데이터베이스로 구성되는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치.
  2. 제 1항에 있어서,
    상기 FTP 프락시의 로그정보를 수신하여 시스템 관리자가 인지할 수 있도록 출력하는 프락시 모니터를 더 포함하여 구성되는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치.
  3. 내부사용자의 외부 서버에 대한 접근권한의 인증을 수행하고, 상기에서 접근권한이 인증된 사용자가 외부 서버에 접속하는 제1 단계와;
    상기 제1 단계 수행 후 사용자의 명령어를 수신하여 상기 명령어가 데이터형 지정을 요구하는 것이면 지정된 데이터형을 저장하는 제2 단계와;
    상기 제2 단계에서 수신한 명령어가 데이터 송신을 요구하는 것이면 데이터전송권한이 인증된 사용자의 데이터를 외부망으로 전송하고 상기 전송되는 데이터의 복사본 및 로그정보를 저장하고 시스템 관리자에게 상기 로그정보를 전송하는 제3 단계와;
    상기 제2 단계에서 수신한 명령어가 데이터형 지정요구 또는 데이터 송신명령이 아닐 경우에는 해당 명령어에 따른 동작을 수행하고, 접속종료 명령어가 있게 되면 서버와의 접속을 종료하는 제4 단계를 수행하는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법.
  4. 제 3 항에 있어서, 접근권한의 인증 수행과정은,
    내부사용자의 외부서버에 대한 접속요구시 사용된 계정과 상기 계정에 할당된 패스워드 비교를 통하여 정당한 사용자인지를 판단하는 사용자 인증 수행 단계와;
    사용자 계정의 등록시 상기 계정이 사용될 수 있도록 특정된 호스트를 통하여 외부망에의 접속서비스를 요청하는지를 판단함으로써 내부망의 허가되지 않은 호스트를 통한 외부망에의 접속을 방지할 수 있는 접근제어 단계로 구성되는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법.
  5. 제 3항에 있어서, 상기 제3 단계에서 외부로 전송되는 파일의 복사본 및 로그정보의 저장동작은,
    내부망에서 외부망으로 전송되는 파일을 수신하여 상기 파일의 데이터형에 따라 복사본을 파일시스템에 저장하고 외부망으로 해당 데이터를 전송하는 것을 전송완료시까지 반복적으로 수행하는 단계와;
    상기 단계에서 외부망으로의 데이터 전송이 완료되면, 상기 전송과정에 대한 정보를 로그정보로써 데이터베이스에 저장하고 상기 로그정보를 시스템의 관리자가 인지할 수 있도록 출력하는 단계를 수행하는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법.
  6. 제 3항에 있어서, 전송데이터에 대한 로그정보는,
    상기 데이터를 전송하는 클라이언트 사용자의 계정과; 상기 클라이언트의 IP 주소와; 상기 클라이언트가 전송하는 데이터를 수신하는 FTP 서버의 IP 주소와; 상기 데이터 전송시의 날짜 및 시간과; FTP 서버로 전송된 데이터가 저장되는 절대경로 및 저장파일명과; 전송되는 데이터의 복사본 파일명 및 그 로깅경로를 포함하여 구성되는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법.
  7. 삭제
  8. 제 3 항에 있어서, 상기 제 2 단계에서 수신한 명령어가 데이터 송신을 요구하는 것인 경우, 사용자 계정이 anonymous(익명)인지 여부를 확인하여, anonymous이면 데이터 송신명령을 차단하는 단계를 더 포함하여 구성되는 것을 특징으로 하는 네트워크망에서 내부자원의 보호기능이 강화된 보안장치의 운용방법.
KR1020000035533A 2000-06-27 2000-06-27 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법 KR100358387B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020000035533A KR100358387B1 (ko) 2000-06-27 2000-06-27 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법
US09/891,300 US20010056550A1 (en) 2000-06-27 2001-06-27 Protective device for internal resource protection in network and method for operating the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000035533A KR100358387B1 (ko) 2000-06-27 2000-06-27 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법

Publications (2)

Publication Number Publication Date
KR20020001190A KR20020001190A (ko) 2002-01-09
KR100358387B1 true KR100358387B1 (ko) 2002-10-25

Family

ID=19674091

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000035533A KR100358387B1 (ko) 2000-06-27 2000-06-27 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법

Country Status (2)

Country Link
US (1) US20010056550A1 (ko)
KR (1) KR100358387B1 (ko)

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100390086B1 (ko) * 2000-07-03 2003-07-04 사파소프트 주식회사 통합 내부정보 유출 방지 시스템
KR20020025469A (ko) * 2000-09-29 2002-04-04 허노재 엔에이티 시스템을 이용하여 네트워크 자동설정, 웹캐싱및 파일 쉐어링 기능을 갖는 서버와 그 기능을 수행하는방법
KR20010078840A (ko) * 2001-04-17 2001-08-22 유성경 컴퓨터저장매체를 통한 정보유출을 감시하는 보안시스템
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US7930756B1 (en) 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US7783765B2 (en) 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US7916322B2 (en) * 2002-03-14 2011-03-29 Senshin Capital, Llc Method and apparatus for uploading content from a device to a remote network location
DE10217952A1 (de) * 2002-04-22 2003-11-13 Nutzwerk Informationsgmbh Vorrichtung und Verfahren zum Schutz von Datenendgeräten und Datenservern zwischen öffentlichen und privaten Datennetzen
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
US7886365B2 (en) 2002-06-11 2011-02-08 Panasonic Corporation Content-log analyzing system and data-communication controlling device
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
KR100469539B1 (ko) * 2002-09-16 2005-02-02 한국정보보호진흥원 센서 파일을 이용한 컴퓨터 감시 시스템 및 방법
US6957067B1 (en) * 2002-09-24 2005-10-18 Aruba Networks System and method for monitoring and enforcing policy within a wireless network
US7739329B2 (en) * 2002-10-23 2010-06-15 Aspect Software, Inc. Web assistant
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US7295524B1 (en) * 2003-02-18 2007-11-13 Airwave Wireless, Inc Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments
US9137670B2 (en) * 2003-02-18 2015-09-15 Hewlett-Packard Development Company, L.P. Method for detecting rogue devices operating in wireless and wired computer network environments
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7992199B1 (en) * 2003-12-31 2011-08-02 Honeywell International Inc. Method for permitting two parties to establish connectivity with both parties behind firewalls
KR100522138B1 (ko) 2003-12-31 2005-10-18 주식회사 잉카인터넷 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법
JP2005242543A (ja) * 2004-02-25 2005-09-08 Sony Corp 情報処理方法、および情報処理装置、並びにコンピュータ・プログラム
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
US8776206B1 (en) * 2004-10-18 2014-07-08 Gtb Technologies, Inc. Method, a system, and an apparatus for content security in computer networks
US9438683B2 (en) 2005-04-04 2016-09-06 Aol Inc. Router-host logging
KR101143847B1 (ko) * 2005-04-14 2012-05-10 (주) 모두스원 네트워크 보안장치 및 그 방법
US7562304B2 (en) 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US9384345B2 (en) 2005-05-03 2016-07-05 Mcafee, Inc. Providing alternative web content based on website reputation assessment
US8566726B2 (en) 2005-05-03 2013-10-22 Mcafee, Inc. Indicating website reputations based on website handling of personal information
US8438499B2 (en) 2005-05-03 2013-05-07 Mcafee, Inc. Indicating website reputations during user interactions
JP4911940B2 (ja) 2005-09-30 2012-04-04 キヤノン株式会社 データ送信装置及びその制御方法と画像入出力装置
US20070174207A1 (en) * 2006-01-26 2007-07-26 Ibm Corporation Method and apparatus for information management and collaborative design
US8701196B2 (en) * 2006-03-31 2014-04-15 Mcafee, Inc. System, method and computer program product for obtaining a reputation associated with a file
US8234702B2 (en) * 2006-08-29 2012-07-31 Oracle International Corporation Cross network layer correlation-based firewalls
DE102006046212A1 (de) * 2006-09-29 2008-04-17 Siemens Home And Office Communication Devices Gmbh & Co. Kg Verfahren zur Verbindungs-Zugangs-Steuerung und Vorrichtungen
US8817813B2 (en) 2006-10-02 2014-08-26 Aruba Networks, Inc. System and method for adaptive channel scanning within a wireless network
US8280980B2 (en) * 2006-10-16 2012-10-02 The Boeing Company Methods and systems for providing a synchronous display to a plurality of remote users
US8386783B2 (en) * 2006-12-04 2013-02-26 Fuji Xerox Co., Ltd. Communication apparatus and communication method
JP2008283465A (ja) * 2007-05-10 2008-11-20 Toshiba Corp 通信装置及び通信システムで用いられる遠隔制御方法
US7831611B2 (en) 2007-09-28 2010-11-09 Mcafee, Inc. Automatically verifying that anti-phishing URL signatures do not fire on legitimate web sites
JP4564525B2 (ja) * 2007-10-30 2010-10-20 株式会社沖データ 画像処理装置
US8588215B2 (en) * 2010-01-27 2013-11-19 Mediatek Inc. Proxy server, computer program product and methods for providing a plurality of internet telephony services
CN102143168B (zh) * 2011-02-28 2014-07-09 浪潮(北京)电子信息产业有限公司 基于linux平台服务器安全性能实时监控方法及系统
CN103491054A (zh) * 2012-06-12 2014-01-01 珠海市鸿瑞信息技术有限公司 Sam准入系统
KR101483901B1 (ko) * 2014-01-21 2015-01-16 (주)이스트소프트 인트라넷 보안시스템 및 보안방법
US9602505B1 (en) * 2014-04-30 2017-03-21 Symantec Corporation Dynamic access control
CN104065731B (zh) * 2014-06-30 2018-04-13 北京华电天益信息科技有限公司 一种ftp文件传输系统及传输方法
US9819653B2 (en) 2015-09-25 2017-11-14 International Business Machines Corporation Protecting access to resources through use of a secure processor
US9762563B2 (en) * 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
CN107172114B (zh) * 2016-03-08 2020-06-16 深信服科技股份有限公司 基于显式代理环境中访问ftp资源的方法及代理服务器
US9977915B2 (en) * 2016-04-19 2018-05-22 Bank Of America Corporation System for controlling database security and access
US10523635B2 (en) * 2016-06-17 2019-12-31 Assured Information Security, Inc. Filtering outbound network traffic
US10819750B1 (en) * 2018-04-27 2020-10-27 Amazon Technologies, Inc. Multi-tenant authentication and permissions framework
US11563721B2 (en) * 2020-06-21 2023-01-24 Hewlett Packard Enterprise Development Lp Methods and systems for network address translation (NAT) traversal using a meet-in-the-middle proxy
CN114124935A (zh) * 2021-11-18 2022-03-01 北京明朝万达科技股份有限公司 Ftp服务的实现方法、系统、设备及存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
KR19980022833A (ko) * 1996-09-24 1998-07-06 최승렬 정보 유출을 추적하기 위한 장치 및 방법
US6058379A (en) * 1997-07-11 2000-05-02 Auction Source, L.L.C. Real-time network exchange with seller specified exchange parameters and interactive seller participation
EP1086426B1 (en) * 1998-06-19 2006-11-15 Sun Microsystems, Inc. Scalable proxy servers with plug in filters
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US20010020242A1 (en) * 1998-11-16 2001-09-06 Amit Gupta Method and apparatus for processing client information
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US20030167403A1 (en) * 1999-03-02 2003-09-04 Mccurley Kevin Snow Secure user-level tunnels on the internet
US6636242B2 (en) * 1999-08-31 2003-10-21 Accenture Llp View configurer in a presentation services patterns environment

Also Published As

Publication number Publication date
US20010056550A1 (en) 2001-12-27
KR20020001190A (ko) 2002-01-09

Similar Documents

Publication Publication Date Title
KR100358387B1 (ko) 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법
US4672572A (en) Protector system for computer access and use
US8239933B2 (en) Network protecting authentication proxy
US5481720A (en) Flexible interface to authentication services in a distributed data processing environment
US6292900B1 (en) Multilevel security attribute passing methods, apparatuses, and computer program products in a stream
US6088451A (en) Security system and method for network element access
US5778174A (en) Method and system for providing secured access to a server connected to a private computer network
US8527754B2 (en) Authorizing information flows based on a sensitivity of an information object
US7647630B2 (en) Associating security information with information objects in a data processing system
US7793100B2 (en) Reference monitor for enforcing information flow policies
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US7779248B2 (en) Moving principals across security boundaries without service interruption
US7043553B2 (en) Method and apparatus for securing information access
KR20010041365A (ko) 보안 조건의 방법당 지정
CN114499976B (zh) 一种实现跨网交换的数据交换方法
US5832209A (en) System and method for providing object authorization in a distributed computed network
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
US7392386B2 (en) Setuid-filter method for providing secure access to a credentials store for computer systems
JP2000354056A (ja) 計算機ネットワークシステムおよびそのアクセス制御方法
Karp et al. The secure data network system
Diaz et al. MILENIO: A secure Java 2-based mobile agent system with a comprehensive security
JP2003178025A (ja) ユーザ認証方法及びユーザ認証装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121004

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20130913

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee