KR100455126B1 - Home network system providing security function - Google Patents

Home network system providing security function Download PDF

Info

Publication number
KR100455126B1
KR100455126B1 KR10-2003-0000784A KR20030000784A KR100455126B1 KR 100455126 B1 KR100455126 B1 KR 100455126B1 KR 20030000784 A KR20030000784 A KR 20030000784A KR 100455126 B1 KR100455126 B1 KR 100455126B1
Authority
KR
South Korea
Prior art keywords
security
home network
home
network system
digital devices
Prior art date
Application number
KR10-2003-0000784A
Other languages
Korean (ko)
Other versions
KR20040063388A (en
Inventor
고영후
손진호
구세완
강문희
차건업
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2003-0000784A priority Critical patent/KR100455126B1/en
Publication of KR20040063388A publication Critical patent/KR20040063388A/en
Application granted granted Critical
Publication of KR100455126B1 publication Critical patent/KR100455126B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2818Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2823Reporting information sensed by appliance or service execution status of appliance services in a home automation network
    • H04L12/2827Reporting to a device within the home network; wherein the reception of the information reported automatically triggers the execution of a home appliance functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 보안 기능을 구비한 홈 네트워크 시스템에 관한 것으로 특히, 홈 게이트웨이/홈 서버에서 홈 네트워크 상의 여러 종류의 상이한 디지털 기기들의 특징에 맞는 보안 서비스를 제공하도록 함으로써 제한된 리소스를 가지고도 효과적으로 홈 네트워크의 침입 차단 및 침입 탐지를 가능하도록 함에 목적이 있다. 이러한 목적의 본 발명은 홈 게이트웨이(310)에 다수의 디지털 기기들이 연결되는 홈 네트워크 시스템에 있어서, UPnP 등의 미들웨어를 사용하여 홈 네트워크 내부에 연결된 디지털 기기들의 정보를 확인하고 원격의 보안서버(320)에 접속하여 상기에서 확인된 디지털 기기들의 보안상 취약점이나 공격방법에 대한 대처 모듈 및 구성(configuration) 등의 최적화된 보안 모듈을 다운로드받아 업데이트(update)하는 보안 엔진(311)을 상기 홈 게이트웨이(310)에 구비하여 구성함을 특징으로 한다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a home network system having a security function. In particular, the home gateway / home server provides a security service for various types of different digital devices on a home network. The objective is to enable intrusion prevention and intrusion detection. The present invention for this purpose is a home network system in which a plurality of digital devices are connected to the home gateway 310, using the middleware such as UPnP to check the information of the digital devices connected to the inside of the home network and remote security server 320 ), The security engine 311 for downloading and updating an optimized security module such as a coping module and a configuration for a security vulnerability or an attack method of the digital devices identified above is connected to the home gateway ( It is characterized in that the configuration provided in 310.

Description

보안 기능을 구비한 홈 네트워크 시스템{HOME NETWORK SYSTEM PROVIDING SECURITY FUNCTION}Home network system with security function {HOME NETWORK SYSTEM PROVIDING SECURITY FUNCTION}

본 발명은 홈 네트워크에 관한 것으로 특히, 보안 기능을 구비한 홈 네트워크 시스템에 관한 것이다.The present invention relates to a home network, and more particularly, to a home network system having a security function.

일반적으로 기업 네트워크의 보안 환경은 도1의 구성도와 같이, 침입 차단을위한 방화벽(Firewall)(110)과 침입 탐지를 위한 IDS(Intrusion detection system ; 침입탐지 시스템)(120)가 구비된다.In general, a security environment of an enterprise network includes a firewall 110 for intrusion prevention and an intrusion detection system IDS 120 for intrusion detection, as shown in the configuration of FIG. 1.

침입 차단을 해주는 방화벽(110)은 기업의 보안 정책에 따라 외부 네트워크로부터의 불법적인 접근을 1차적으로 막는다.The firewall 110 that blocks intrusion primarily blocks illegal access from an external network according to a corporate security policy.

그리고, 방화벽(110)이 모든 형태의 공격을 막을 수 있는 것이 아니기 때문에 방화벽(110)을 통과한 침입 시도는 IDS(120)에서 탐지를 하게 된다. IDS(120)는 크게 네트워크형 IDS와 호스트 IDS가 있다.In addition, since the firewall 110 is not able to prevent all types of attacks, the intrusion attempt passing through the firewall 110 is detected by the IDS 120. IDS 120 is largely divided into network type IDS and host IDS.

최근 각종 가정용 가전들이 디지털 기기로 상용화되면서 가정 내 모든 기기들을 도2의 구성도와 같이, UPnP/이더넷, 802.11 b/a, 블루투스, LnCP(HnCP) 등을 이용하여 하나의 네트워크로 연결하는 홈 네트워크 환경이 점차 확산되고 있다.Recently, as various home appliances are commercialized as digital devices, a home network environment in which all devices in the home are connected to a single network using UPnP / Ethernet, 802.11 b / a, Bluetooth, LnCP (HnCP), and the like as shown in FIG. This is gradually spreading.

홈 네트워크 환경이 갖추어지면 집안에서 각종 유/무선 기기들을 서로 연결하여 조작하거나 데이터를 주고받을 수 있을 뿐 아니라, 집안의 각종 디지털 기기들을 외부에서 네트워크를 통해 조작할 수도 있게 된다.When the home network environment is established, not only can wired / wireless devices be connected to each other in the home to operate or send data, but also various digital devices in the home can be operated from outside the network.

최근에는 기업 네트워크 환경의 보안에서는 불법적인 침입에 더욱 효과적으로 대응하도록 방화벽과 IDS의 침입 차단과 침입 탐지 기능을 유기적으로 구성함은 물론 내부 사용자들에 의한 보안 사고도 방지하기 위하여 외부로부터의 네트워크 트래픽은 물론이고 내부 인트라넷상의 트래픽들까지도 감시의 대상으로 하고 있다.Recently, in the security of the corporate network environment, the network traffic from the outside to prevent the security incidents by internal users as well as organically configure the firewall and IDS intrusion prevention and intrusion detection to effectively respond to illegal intrusions Of course, traffic on the internal intranet is also monitored.

따라서, 기업 네트워크 환경의 보안에서는 많은 트래픽에 대한 감시를 필요로 하고 또한, 기업 네트워크 상 대부분의 연결 기기가 PC나 서버 등이므로 이들에대한 많은 침입 유형에 의해 침입 차단이나 침입 탐지에 많은 부하가 걸리게 된다.Therefore, the security of the corporate network environment requires the monitoring of a lot of traffic, and since most of the connected devices on the corporate network are PCs or servers, many types of intrusions on them may put a heavy load on intrusion prevention and intrusion detection. do.

그러나, 홈 네트워크 환경에서는 대규모의 보안 장비를 갖추기도 어렵고 홈게이트웨이/홈서버의 리소스도 제한적이며 또한, 홈네트워크 환경에서는 기업 네트워크 환경과는 다른 점이 있다.However, it is difficult to have a large-scale security equipment in a home network environment, and resources of a home gateway / home server are limited. Also, a home network environment is different from a corporate network environment.

따라서, 현재 홈 네트워크가 확산되면서 홈 네트워크에 대한 침입 위험이 증가하고 있으므로 홈 네트워크에 대한 보안을 고려하여야 하지만, 홈 네트워크의 보안이 기업 네트워크 환경의 보안과 비슷하여도 기존의 기업 네트워크 환경의 보안을 그대로 홈 네트워크 보안에 적용하는 것은 무리가 있다.Therefore, as the home network is proliferating, the risk of intrusion into the home network is increasing. Therefore, the security of the home network should be considered. However, even if the security of the home network is similar to that of the corporate network environment, It is unreasonable to apply it to home network security.

그런데, 홈 네트워크에 연결되는 기기들은 PC도 있지만 대부분의 디지털 기기들로서 제한적인 기능과 서비스를 제공하기 때문에 외부에서의 침입 방법이 제한적이고 내부망에 대한 감시의 필요성이 비교적 적다.By the way, the devices connected to the home network have PCs, but most digital devices provide limited functions and services, so the external intrusion method is limited and the need for monitoring the internal network is relatively small.

따라서, 제한된 리소스를 가진 홈 게이트웨이/홈 서버의 환경에서 좀더 효율적인 보안 방법을 구현할 수 있을 것이다.Therefore, a more efficient security method can be implemented in a home gateway / home server environment with limited resources.

본 발명은 종래의 문제점을 개선하기 위하여 홈 게이트웨이에 침입차단(Firewall) 및 침입탐지(IDS) 기능을 홈 네트워크의 보안 환경에 맞도록 특정화하여 구현함으로써 홈 네트워크의 보안 환경을 손실시키지 않으면서도 리소스를 감소시켜 보안 성능을 향상시킬 수 있도록 창안한 보안 기능을 구비한 홈 네트워크 시스템을 제공함에 목적이 있다.In order to solve the problems of the present invention, the home gateway can be implemented by specifying the firewall and intrusion detection (IDS) functions in accordance with the security environment of the home network so as not to lose the security environment of the home network. An object of the present invention is to provide a home network system having a security function created to reduce and improve security performance.

즉, 본 발명은 홈 게이트웨이/홈 서버에서 홈 네트워크 상의 여러 종류의 상이한 디지털 기기들의 특징에 맞는 보안 서비스를 제공하도록 함으로써 제한된 리소스를 가지고도 효과적으로 홈 네트워크의 침입 차단 및 침입 탐지를 가능하도록 함에 목적이 있다.That is, an object of the present invention is to provide an intrusion prevention and intrusion detection of a home network effectively with limited resources by providing a security service that meets the characteristics of various types of different digital devices on a home network in a home gateway / home server. have.

도1은 일반적인 기업 네트워크의 보안 시스템을 보인 구성도.1 is a configuration diagram showing a security system of a general corporate network.

도2는 일반적인 홈 네트워크 시스템의 구성도.2 is a block diagram of a general home network system.

도3은 본 발명의 실시예를 위한 홈 네트워크 시스템을 보인 구성도.Figure 3 is a block diagram showing a home network system for an embodiment of the present invention.

도4는 본 발명의 실시예에서 보안 모듈 구성을 보인 동작 순서도.4 is an operation flowchart showing a security module configuration in an embodiment of the present invention.

도5는 본 발명의 실시예에서 보안 모듈 최적화 과정을 보인 동작 순서도.5 is an operation flowchart showing a security module optimization process in an embodiment of the present invention.

도6은 본 발명의 실시예에서 보안 기능 실행 과정을 보인 동작 순서도.6 is a flowchart illustrating an operation of executing a security function in an embodiment of the present invention.

* 도면의 주요부분에 대한 부호 설명 *Explanation of symbols on the main parts of the drawings

310 : 홈 게이트웨이 311 : 보안 엔진310: home gateway 311: security engine

320 : 보안 서버320: security server

본 발명은 상기의 목적을 달성하기 위하여 홈 게이트웨이/홈 서버에 다수의 디지털 기기들이 연결되는 홈 네트워크 시스템에 있어서, UPnP 등의 미들웨어를 사용하여 홈 네트워크 내부에 연결된 디지털 기기들의 정보를 확인하고 원격의 보안서버에 접속하여 상기에서 확인된 디지털 기기들의 보안상 취약점이나 공격방법에 대한 대처 모듈 및 구성(configuration) 등의 최적화된 보안 모듈을 다운로드받아 업데이트(update)하는 보안 엔진을 홈 게이트웨이/홈 서버에 구비하여 구성함을 특징으로 한다.The present invention provides a home network system in which a plurality of digital devices are connected to a home gateway / home server in order to achieve the above object, by using middleware such as UPnP to check the information of digital devices connected inside the home network and A security engine that accesses a security server and downloads and updates an optimized security module such as a response module and a configuration for a security vulnerability or an attack method of the digital devices identified above to the home gateway / home server. It is characterized by comprising a configuration.

상기에서 디지털 기기들의 종류 확인은 수동으로도 가능하다.The type of digital devices can be checked manually.

상기 다운로드되는 보안 모듈은 기기들의 종류, 펌웨어나 OS 등에 따라 최적화된 보안 모듈로서, PC의 경우를 예로 들면, OS의 종류, OS 버전, 패치나 서비스팩 등의 확인에 따른 최적화된 보안 모듈을 말한다.The downloaded security module is a security module optimized according to types of devices, firmware or OS. For example, in the case of a PC, the security module is optimized according to the identification of the type of OS, OS version, patch or service pack. .

상기 보안 엔진은 외부로부터의 접근에 대하여 서로 다른 침입 차단과 침입 탐지의 정책과 서비스를 결정함으로써 보안 성능을 최적화하도록 구성함을 특징으로 한다.The security engine is configured to optimize security performance by determining policies and services of different intrusion blocking and intrusion detection for access from the outside.

상기 보안 엔진은 외부에서의 패킷에 대해 패킷 각각의 목적지(destination)에 따라 서로 다른 침입 차단과 침입 탐지 프로세스를 실행하도록 함으로써 최적화된 침입 차단, 침입 탐지 뿐 아니라 바이러스 차단/치료 등의 다른 보안 툴들도 최적화하도록 구성함을 특징으로 한다.The security engine executes different intrusion prevention and intrusion detection processes according to each packet's destination for external packets, so that other security tools such as virus prevention / remediation as well as optimized intrusion prevention and intrusion detection can be executed. Characterized in that configured to optimize.

상기 원격의 보안 서버는 다양한 종류의 디지털 기기들의 보안에 대한 정보를 수시로 업데이트하여 가지고 있다가 홈 게이트웨이/홈 서버(310)의 보안 엔진의 요청에 의해 다운로드하도록 구성함을 특징으로 한다.The remote security server is characterized in that it is configured to update the information on the security of the various types of digital devices from time to time and to download at the request of the security engine of the home gateway / home server (310).

이하, 본 발명을 도면에 의거 상세히 설명하면 다음과 같다.Hereinafter, the present invention will be described in detail with reference to the drawings.

발명의 홈 네트워크에는 보안 엔진을 탑재하고 있는 홈 게이트웨이 혹은 홈 서버를 필요로 하는데, 본 발명의 실시예에서는 홈 게이트웨이라고 가정하여 설명하기로 한다.The home network of the present invention requires a home gateway or a home server equipped with a security engine. In the embodiment of the present invention, a home gateway will be described.

도3은 본 발명의 실시예를 위한 홈 네트워크 시스템의 구성도로서 이에 도시한 바와 같이, 홈 게이트웨이(310)에 다수의 디지털 기기들이 연결되는 홈 네트워크 시스템에 있어서, UPnP 등의 미들웨어를 사용하여 홈 네트워크 내부에 연결된 디지털 기기들의 정보를 확인하고 원격의 보안서버(320)에 접속하여 상기에서 확인된 디지털 기기들의 보안상 취약점이나 공격방법에 대한 대처 모듈 및 구성(configuration) 등의 최적화된 보안 모듈을 다운로드받아 업데이트(update)하는 보안 엔진(311)을 상기 홈 게이트웨이(310)에 구비하여 구성한다.3 is a block diagram of a home network system according to an exemplary embodiment of the present invention. In the home network system in which a plurality of digital devices are connected to the home gateway 310, the home network system uses middleware such as UPnP. Check the information of the digital devices connected inside the network and access the remote security server 320 to optimize the security module, such as coping module and configuration for security vulnerabilities or attack methods of the digital devices identified above. A security engine 311 for downloading and updating is provided in the home gateway 310.

상기 원격의 보안 서버(320)는 다양한 종류의 디지털 기기들의 보안에 대한 정보를 수시로 업데이트하여 데이터베이스에 저장하고 홈 게이트웨이(310)에 탑재된 보안 엔진(311)의 요청에 의해 업데이트한 보안 정보를 다운로드하도록 구성한다.The remote security server 320 updates the security information of various types of digital devices from time to time and stores them in a database, and downloads the security information updated at the request of the security engine 311 mounted in the home gateway 310. Configure to

상기 보안 엔진(311)은 침입 차단(firewall) 및 침입 탐지(IDS) 기능을 실행하도록 구성한다.The security engine 311 is configured to execute firewall and intrusion detection (IDS) functions.

이와같이 구성한 본 발명의 실시예에 대한 동작 및 작용 효과를 도4 내지 도6을 참도하여 설명하면 다음과 같다.The operation and the effect of the embodiment of the present invention constructed as described above will be described with reference to FIGS. 4 to 6.

도4는 보안 모듈 구성을 보인 동작 순서도이고, 도5는 보안 모듈 최적화 과정을 보인 동작 순서도이며, 도6은 보안 기능 실행 과정을 보인 동작 순서도.4 is an operation flowchart showing a security module configuration, FIG. 5 is an operation flowchart showing a security module optimization process, and FIG. 6 is an operation flowchart showing a security function execution process.

우선, 홈 게이트웨이(310)에 탑재된 보안 엔진(311)은 UPnP, Jini 등을 지원하여 자동으로 UPnP나 Jini를 지원하는 홈 네트워크 상의 디지털 기기들의 정보를 인식하여 데이터베이스에 목록을 저장한다.First, the security engine 311 mounted on the home gateway 310 supports UPnP, Jini, and the like, and automatically recognizes information of digital devices on a home network supporting UPnP or Jini and stores the list in a database.

만일, UPnP나 Jini 등을 지원하지 않는 홈 네트워크 상의 다른 디지털 기기들은 보안 엔진(311)가 원격의 보안 서버(320)로부터 목록을 미리 다운로드하여 데이터베이스에 저장하고 이에 따라, 사용자가 피씨(PC)를 이용하여 상기 보안 엔진(311)에 접속한 후 수동으로 목록을 선택할 수 있도록 한다.If other digital devices on the home network that do not support UPnP, Jini, or the like, the security engine 311 pre-downloads the list from the remote security server 320 and stores the list in a database. By using the access to the security engine 311 to manually select the list.

상기에서 보안 엔진(311)이 원격의 보안 서버(320)로부터 다운로드하여 데이터베이스에 저장하는 보안 정보는 보안 지원되는 디지털 홈 기기들의 목록, 현재 홈 게이트웨이(311)와 연결되어 있는 디지털 기기들의 정보(vendor, 기종, firmware 및 버전 등), 네트워크 주소 쌍 리스트이다. 만일, 피씨(PC)가 홈 네트워크 상에 있을 경우에는 PC의 OS, OS 버전, 보안 패치나 서비스팩 등의 정보 포함한다.The security information that the security engine 311 downloads from the remote security server 320 and stores in the database includes a list of digital home devices that are secured and information about digital devices that are currently connected to the home gateway 311. , Model, firmware and version), and a list of network address pairs. If the PC is on a home network, the PC includes information such as an OS, an OS version, a security patch, and a service pack.

이후, 홈 네트워크에 새로이 추가되었거나 업그레이드된 디지털 기기들이 있을 경우 보안 엔진(311)은 홈 네트워크 상의 기기에 대한 리스트를 업데이트하고원격의 보안 서버(320)에 SSL 또는 VPN 등으로 접속하여 업데이트된 리스트의 해당 기기들에 대한 보안 모듈을 pop 방식으로 다운로드받아 데이터베이스에 저장한다.Thereafter, when there are new or upgraded digital devices in the home network, the security engine 311 updates the list of devices on the home network and connects to the remote security server 320 by SSL or VPN. Download the security module for the devices in a pop way and save it in the database.

또한, 원격의 보안 서버(320)는 새로운 기기들에 대한 보안 모듈이나 새로 발견된 네트워크 침입 방식 등에 대한 보안 모듈을 수시로 업데이트하고 해당 기기들에 대한 보안 모듈이 업데이트되면 등록되어 있는 홈 게이트웨이(310)의 보안 엔진(311)로 push 방식으로 다운로드하여 업데이트시킬 수도 있다.In addition, the remote security server 320 frequently updates the security module for new devices or a newly discovered network intrusion method, etc., and the home gateway 310 registered when the security module for the corresponding devices is updated. It can also be downloaded and updated by the push to the security engine 311.

이에 따라, 보안 엔진(311)은 최적화된 보안 모듈을 기본 구성으로 하여 침입 차단과 침입 탐지 기능을 수행한다.Accordingly, the security engine 311 performs an intrusion blocking and intrusion detection function using the optimized security module as a basic configuration.

또한, UPnP, Jini 기능을 지원하지 않는 기기들의 보안 최적화를 위해 사용자는 피씨(PC)를 통해 보안 엔진(311)에 접속하여 각 기기들에 대해 외부 네트워크 접속 기능과 제공 서비스를 목록으로 선택할 수 있다. 예를 들어, 홈 네트워크 상의 피씨(PC)에는 FTP, telnet, HTTP 서비스 제공을 설정하고, 디지털 티브이(Digital TV)에는 외부에서 접근 불가를 설정하며, PVR과 디지털 에어컨은 외부에서 특정 컨트롤 포트로만 접근 가능하도록 설정할 수 있다.In addition, in order to optimize the security of devices that do not support UPnP and Jini functions, the user may access the security engine 311 through PC (PC) and select an external network access function and a service provided for each device as a list. . For example, you can set up FTP, telnet, and HTTP services for PCs on your home network, and externally access to digital TVs.PVRs and digital air conditioners can only be accessed from certain external control ports. Can be set to enable.

따라서, 상기와 같은 과정으로 보안 엔진(311)은 다운로드된 보안 모듈과 구성(configuration)에 따라 최적화 상태로 구성된다.Therefore, in the above process, the security engine 311 is configured in an optimized state according to the downloaded security module and configuration.

만일, 구성이나 접속 기기들이 변경될 경우 보안 엔진(311)은 다시 상기와 동일한 과정을 수행하여 보안 모듈 최적화를 수행한다.If the configuration or the connected devices are changed, the security engine 311 performs the same process as above to perform security module optimization.

이로써 침입 차단과 침입 탐지에 필요한 리소스를 최소화할 수 있다. 예를 들어, 침입 차단에서 피씨(PC)의 telnet 서비스를 막아 놓는 경우 보안 엔진(311)의 IDS는 telnet 서비스를 통한 침입 방법에 대한 탐지 모듈은 제외시킬 수 있고, 디지털 티브이는 외부 네트워크에서의 모든 접속을 방화벽(firewall)에서 막는 경우 보안 엔진(311)은 IDS에서 디지털 티브이에 관한 침입 탐지 모듈을 제외시킬 수 있으며, PVR의 펌웨어가 업그레이드되어 기존의 보안 버그가 해결되었을 경우 해당 침입에 대한 탐지 모듈을 제외시킬 수 있다.This minimizes the resources required for intrusion prevention and intrusion detection. For example, if intrusion prevention is blocking the PC's telnet service, the IDS of the security engine 311 can exclude the detection module of the intrusion method through the telnet service, and the digital TV can If the firewall is blocked, the security engine 311 can exclude the intrusion detection module related to the digital TV from IDS. If the firmware of the PVR is upgraded and the existing security bug is resolved, the detection module for the intrusion is detected. Can be excluded.

또한, 보안 엔진(311)은 홈 네트워크 내의 네트워크 주소 혹은 물리적 포트와 연관되어 작동한다. 즉, 보안 엔진(311)은 경우에 따라 소프트웨어적으로 뿐만 아니라 하드웨어적인 포트를 구분하여 침입 차단과 침입 탐지를 작동시킬 수도 있다. 이는 홈 게이트웨이(310)에서 NAT(Network Address Translator ; 네트워크 주소 변환기)를 사용할 경우에도 동일하다.In addition, the security engine 311 operates in association with a network address or physical port in the home network. That is, the security engine 311 may operate intrusion blocking and intrusion detection by dividing the ports not only in software but also in hardware in some cases. This is the same when using a network address translator (NAT) in the home gateway 310.

예를 들어, 방화벽(firewall)에서는 보안 엔진(311)의 구성에 따라 외부로부터의 패킷의 목적지를 확인하고 해당 보안 정책에 맞는 침입 차단을 실행한다. 즉, 도6의 동작 순서도에 도시한 바와 같이, 패킷의 목적지가 특정 기기일 때 해당 구성에 따라 지원하지 않는 서비스에 접근하려는 패킷이면 그냥 드롭(drop)하면 되므로 피씨(PC)와 같이 다양한 서비스를 사용하는 목적지를 향하는 패킷을 검사하기 위한 리소스의 낭비를 막을 수 있다.For example, the firewall checks the destination of the packet from the outside according to the configuration of the security engine 311, and executes intrusion blocking according to the security policy. That is, as shown in the operation flowchart of FIG. 6, when the packet destination is a specific device, if the packet wants to access a service that is not supported according to the configuration, the packet may be dropped. Therefore, various services such as PC may be used. This can avoid wasting resources to inspect packets destined for their destination.

또한, 침입탐지 시스템(IDS)은 패킷의 목적지 주소를 확인하고 해당 기기에 대한 침입만을 검사하면 된다. 또한 피씨(PC) 등에 비해 매우 제한된 기능과 네트워크 서비스만을 제공하는 대부분의 디지털 가전들의 경우에는 침입 방법 역시 매우 제한적이므로 현재의 일반적인 IDS보다 훨씬 간단한 최적화된 IDS 기능을 수행할 수 있다. 또한 분석에 사용되는 signature의 양도 적어지므로 리소스의 낭비를 최대한 막을 수 있다.In addition, the intrusion detection system (IDS) needs to check the destination address of the packet and check only the intrusion to the corresponding device. In addition, in the case of most digital appliances that provide only limited functions and network services compared to PCs, intrusion methods are also very limited, so optimized IDS functions are much simpler than current IDSs. In addition, the amount of signatures used in the analysis is reduced so that resources can be minimized.

예를 들어, 홈 네트워크 상에 2대의 피씨(PC1,PC2)가 있다고 가정할 때 피씨(PC1)에서는 telnet 서비스를 막고 피씨(PC2)에서는 허용하도록 구성하였을 경우 피씨(PC1)이 목적지인 패킷에 대해 방화벽에서는 그 패킷이 telnet 접근인 경우 그냥 드롭(drop)하므로 피씨(PC2)에 대한 telnet 접근에 대해 필요한 침입 탐지는 하지 않아도 된다. 그리고, 외부에서 on/off만 할 수 있도록 구성된 디지털 기기를 가정할 때 디지털 기기로 향하는 패킷의 경우 on/off 동작 외의 다른 접근은 모두 방화벽(firewall)에서 막고 간략한 기능의 IDS 기능만을 수행하여 리소스를 절약한다.For example, assuming that there are two PCs PC1 and PC2 on the home network, the PC PC1 blocks the telnet service and the PC2 allows the PC. The firewall simply drops the packet if it is for telnet access, eliminating the need for intrusion detection for telnet access to the PC (PC2). In addition, assuming a digital device configured to only be turned on and off from the outside, packets destined for the digital device are prevented from accessing other than the on / off operation at the firewall, and only a simple IDS function is performed. Save.

한편, 상기에서 홈 게이트웨이(310)에서의 동작에 대하여 설명하였으나, 홈 서버가 접속되어 있는 경우에도 동일한 동작을 수행하게 된다.Meanwhile, the operation of the home gateway 310 has been described above, but the same operation is performed even when the home server is connected.

상기에서 상세히 설명한 바와 같이 본 발명은 기기의 변경 또는 새로운 보안 모듈이 업그레이될 때 홈 네트워크에 특화된 보안 기능을 제공함으로써 제한된 리소스를 가진 홈 게이트웨이/홈 서버에서 침입 차단과 침입 탐지의 효과를 극대화할 수 있는 효과가 있다.As described in detail above, the present invention can maximize the effects of intrusion prevention and intrusion detection in a home gateway / home server with limited resources by providing a security function specific to a home network when a device change or a new security module is upgraded. It has an effect.

또한, 본 발명은 바이러스 차단/치료 등의 다른 보안 분야에 적용하여도 동일한 효과를 발휘할 수 있다.In addition, the present invention can also be applied to other security fields, such as virus blocking / treatment.

Claims (6)

다수의 디지털 기기들이 연결되는 홈 네트워크 시스템에 있어서,In a home network system to which a plurality of digital devices are connected, 미들웨어를 사용하여 홈 네트워크 내부에 연결된 디지털 기기들의 정보를 확인하고 원격의 보안서버에 접속하여 상기에서 확인된 디지털 기기들의 보안상 취약점이나 침입 방법에 대한 최적화된 보안 정보를 다운로드받아 업데이트(update)하는 보안 엔진을 홈 게이트웨이/홈 서버에 구비하여 구성함을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.Using middleware to check the information of digital devices connected inside the home network and access the remote security server to download and update the optimized security information on the security vulnerabilities or intrusion methods of the digital devices identified above A home network system with a security function, comprising a security engine provided in a home gateway / home server. 제1항에 있어서, 보안 엔진은The method of claim 1, wherein the security engine UPnP나 Jini 등을 지원하지 않는 홈 네트워크 상의 다른 디지털 기기들에 대한 목록을 사용자가 수동으로 선택할 수 있도록 원격의 보안 서버로부터 목록을 미리 다운로드하여 데이터베이스에 저장하도록 구성함을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.Security function characterized in that the list is pre-downloaded from the remote security server and stored in the database so that the user can manually select a list of other digital devices on the home network that do not support UPnP or Jini. One home network system. 제1항에 있어서, 보안 엔진은The method of claim 1, wherein the security engine 외부로부터의 접근에 대해 원격의 보안 서버로부터 다운로드한 보안 정보를 참조하여 서로 다른 침입 차단과 침입 탐지의 정책과 서비스를 결정함으로써 침입 차단, 침입 탐지 및 바이러스 차단/치료 등의 보안 성능을 최적화하도록 구성함을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.Configured to optimize security performance such as intrusion prevention, intrusion detection, and antivirus / remediation by determining different intrusion prevention and intrusion detection policies and services by referring to security information downloaded from a remote security server for external access. Home network system with a security function, characterized in that. 제1항에 있어서, 원격의 보안 서버는The method of claim 1, wherein the remote security server 다양한 종류의 디지털 기기들의 보안 정보를 수시로 업데이트하여 가지고 있다가 보안 엔진의 요청에 의해 다운로드하도록 구성함을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.A home network system having a security function, characterized in that the security information of various types of digital devices is updated from time to time and configured to download at the request of a security engine. 제1항 또는 제4항에 있어서, 보안 서버는The method of claim 1 or 4, wherein the security server 새로운 기기들에 대한 보안 모듈이나 새로 발견된 네트워크 침입 방식 등에 대한 보안 모듈을 수시로 업데이트하고 해당 기기들에 대한 보안 모듈이 업데이트되면 등록되어 있는 보안 엔진으로 push 방식으로 다운로드하여 업데이트시키도록 구성함을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.It is configured to update security module about new devices or newly discovered network intrusion method from time to time, and to download and update by pushing method to registered security engine when security module for relevant devices is updated. A home network system equipped with a security function. 제1항 또는 제4항에 있어서, 보안 정보는The method of claim 1 or 4, wherein the security information is 보안 지원되는 디지털 홈 기기들의 목록, 디지털 기기들의 정보(vendor, 기종, firmware 및 버전 등), 네트워크 주소 쌍 리스트 등의 기기 관련 정보임을 특징으로 하는 보안 기능을 구비한 홈 네트워크 시스템.Security Home network system with a security function, characterized in that the device-related information, such as a list of digital home devices, information (digits, firmware, version, etc.) of the digital devices, a list of network address pairs.
KR10-2003-0000784A 2003-01-07 2003-01-07 Home network system providing security function KR100455126B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0000784A KR100455126B1 (en) 2003-01-07 2003-01-07 Home network system providing security function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0000784A KR100455126B1 (en) 2003-01-07 2003-01-07 Home network system providing security function

Publications (2)

Publication Number Publication Date
KR20040063388A KR20040063388A (en) 2004-07-14
KR100455126B1 true KR100455126B1 (en) 2004-11-06

Family

ID=37354300

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0000784A KR100455126B1 (en) 2003-01-07 2003-01-07 Home network system providing security function

Country Status (1)

Country Link
KR (1) KR100455126B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160113424A (en) 2015-03-19 2016-09-29 (주)탑플러스 Dentel implant assembly to preventing unfastening of screw

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100678897B1 (en) 2004-11-23 2007-02-07 삼성전자주식회사 System and method for making a secure connection between home network devices
KR100947211B1 (en) * 2008-02-21 2010-03-11 주식회사 조은시큐리티 System for active security surveillance

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160113424A (en) 2015-03-19 2016-09-29 (주)탑플러스 Dentel implant assembly to preventing unfastening of screw

Also Published As

Publication number Publication date
KR20040063388A (en) 2004-07-14

Similar Documents

Publication Publication Date Title
US20230388349A1 (en) Policy enforcement using host information profile
US10033762B2 (en) Threat engagement and deception escalation
US11057344B2 (en) Management of internet of things (IoT) by security fabric
Nobakht et al. A host-based intrusion detection and mitigation framework for smart home IoT using OpenFlow
Yu et al. Handling a trillion (unfixable) flaws on a billion devices: Rethinking network security for the internet-of-things
US11463482B2 (en) Adaptive access control management
US9686296B1 (en) Systems and methods for providing network security monitoring
US8813213B2 (en) Reverse firewall with self-provisioning
Yu et al. PSI: Precise Security Instrumentation for Enterprise Networks.
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
JP2020039166A (en) System and method for securing network endpoint
US8402528B1 (en) Portable firewall adapter
US20140096229A1 (en) Virtual honeypot
US11909767B2 (en) Device visibility and scanning including network segments
US20060095961A1 (en) Auto-triage of potentially vulnerable network machines
JP2005018769A (en) Method of assisting application to traverse firewall
US20200007395A1 (en) Dynamic segmentation management
KR100455126B1 (en) Home network system providing security function
US10404750B2 (en) Externally defined objects in security policy
US20230208848A1 (en) Centralized network response to mitigate a data-based security risk
RU2786201C1 (en) SYSTEM AND METHOD FOR SECURING IoT DEVICES THROUGH A GATEWAY
JP2019047239A (en) Packet filtering device
Gheorghe " COBOT" TYPE MULTIAPLICATIVE INTELLIGENT PLATFORM WITH ROBOT & HEXAPOD MICROSYSTEM AND ULTRAPRECIS PING PROBE FOR MEASURING PARTS (WITH A 3KG TABLE)
KR20210012902A (en) I2nsf registration interface yang data model
CN117675173A (en) System and method for providing security for internet of things devices

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090929

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee