KR100498747B1 - Integration security system of local network - Google Patents

Integration security system of local network Download PDF

Info

Publication number
KR100498747B1
KR100498747B1 KR10-2000-0070721A KR20000070721A KR100498747B1 KR 100498747 B1 KR100498747 B1 KR 100498747B1 KR 20000070721 A KR20000070721 A KR 20000070721A KR 100498747 B1 KR100498747 B1 KR 100498747B1
Authority
KR
South Korea
Prior art keywords
client
main server
security system
network
internal network
Prior art date
Application number
KR10-2000-0070721A
Other languages
Korean (ko)
Other versions
KR20020041004A (en
Inventor
박근범
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2000-0070721A priority Critical patent/KR100498747B1/en
Publication of KR20020041004A publication Critical patent/KR20020041004A/en
Application granted granted Critical
Publication of KR100498747B1 publication Critical patent/KR100498747B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 NAT를 사용하는 사내망의 통합 보안시스템에 관한 것으로, 본 발명에 따른 사내망 통합 보안 시스템은 외부 네트워크와 연결되는 라우터가 이더넷스위치를 통해 사내망과 연결되고, 사내망에는 라우터에서 제공되는 변환된 IP를 통해 외부 네트워크 및 메인서버와 접속되는 각각의 클라이트언트들과 연결되는 사내망에 있어서,The present invention relates to an integrated security system of an internal network using NAT. In an integrated network integrated security system according to the present invention, a router connected to an external network is connected to an internal network through an Ethernet switch, and the internal network is provided by a router. In the corporate network connected to each client connected to the external network and the main server through the converted IP,

상기 각 클라이언트들을 통제하는 메인서버에 침입탐지는 물론 침입차단과 로그인을 통한 인증 및 암호화절차를 수행하여 각 클라이언트 사이의 정보보안은 물론 클라이언트와 메인서버의 정보보안을 관리하는 보안시스템을 연결하고, 상기 보안시스템에는 사내망을 이용하는 각 클라이언트들의 접속상태를 추적 감시하는 스크린링 라우터를 연결 구성함을 특징으로 한다.Connect the security system that manages the information security between each client as well as the information security between each client by performing the intrusion detection, authentication and encryption procedures through intrusion prevention and login to the main server controlling each client, The security system is characterized in that the connection configuration of the screening router to track and monitor the connection status of each client using the internal network.

이에 본 발명은, 각 클라이언트는 물론 클라이언트와 메인 서버간에 보안 시스템과 인증절차를 구축하므로서, 내부 침입 방지는 물론 사내에서의 정보 보안 효율성을 높이고, 더불어 각 클라이언트들의 보안과 메인서버의 정보를 효과적으로 보호할수 있도록 함은 물론, 보안기능의 집중화로 예산절감과 메인서버의 관리가 용이하게 이루어지는 사내망의 통합 보안시스템을 제공한다.Accordingly, the present invention establishes a security system and authentication procedure between each client as well as the client and the main server, thereby preventing internal intrusion and improving information security efficiency in-house, and effectively protecting the security of each client and the information of the main server. In addition, it provides an integrated security system for the internal network that enables budget savings and easy management of the main server by centralizing security functions.

Description

사내망의 통합 보안 시스템{INTEGRATION SECURITY SYSTEM OF LOCAL NETWORK}INTEGRATION SECURITY SYSTEM OF LOCAL NETWORK}

본 발명은 NAT를 사용하는 사내망의 통합 보안시스템에 관한 것으로서, 특히 클라이언트(사용자)와 메인 서버간의 보안 시스템 구축과 그 인증방법을 통해 내부 침입 방지는 물론 사내에서의 정보 보안 효율성을 높이는 한편, 각각의 클라이언트들의 보안과 메인서버의 정보를 보호할수 있도록 하는 사내망의 통합 보안시스템에 관한 것이다.The present invention relates to an integrated security system of an internal network using NAT. In particular, the security system between the client (user) and the main server is established and its authentication method increases internal security as well as internal information security efficiency. It is about the integrated security system of the internal network that can protect the security of each client and the information of the main server.

종래에는 도 1에 도시된 바와같이, 외부 네트워크(1)와 연결되는 라우터(routeur)(2)가 이더넷스위치(ethernet switch)(3)를 통해 사내망(NET)(4)과 연결되도록 하였다.In the related art, as illustrated in FIG. 1, a router 2 connected to an external network 1 is connected to an internal network 4 through an Ethernet switch 3.

이때, 상기 사내망(4)에는 사용자 즉, 클라이언트들(C1)(C2)(C3)(C4)에게 연결되어 라우터(2)에서 제공되는 변환된 아이피(IP)를 통해 외부 네트워크(1) 및 사내망 이하에 있는 각각의 클라이트언트(C1)(C2)(C3)(C4)와 연결되며, 상기 각 클라이언트(C1)(C2)(C3)(C4)들은 메인서버(5)에 접속하여 사용할수 있게 된다.At this time, the internal network (4) is connected to the user, that is, the clients (C1) (C2) (C3) (C4) and the external network (1) through the converted IP (IP) provided by the router 2 and Each client (C1), C2, C3, and C4, which is below the internal network, is connected to each client C1, C2, C3, and C4. You can use it.

이때, 사내망을 이용하는 각 클라이언트(C1)(C2)(C3)(C4)들은 변환된 IP주소를 할당받기 때문에, 외부에서 각각의 클라이언트(C1)(C2)(C3)(C4)들을 접속할수가 없어 보안적인 측면으로 본다면 안전하다고 할수 있다.At this time, since each client C1, C2, C3, and C4 using the internal network is assigned a converted IP address, it is not possible to connect each client C1, C2, C3, and C4 from the outside. In terms of security, it can be said to be safe.

즉, 종래에는 사내망을 이용하여 IP를 사용하는 내부 네트워크에서 하나의 공인된 IP로 사용되어 보안측면에서 우수한 기능을 수행하고 있을뿐만 아니라 내부 사내망이 하나의 방화벽 기능을 수행하게 되는 것이다.That is, in the related art, as an authorized IP is used in an internal network using an internal network, the internal internal network performs a firewall function as well as performing an excellent function in terms of security.

또한, 외부 네트워크(1)에 접속하고자 하는 경우, 사내망에서 하나의 공인된 IP로 사상시켜주는 역할도 함께 하므로서 내부 네트워크를 사용하는 각 클라이언트(C1)(C2)(C3)(C4)들을 외부에서 안전하게 보호할수 있게 되는 것이다.In addition, when connecting to the external network (1), it also serves to map a single authorized IP in the company network, each client (C1) (C2) (C3) (C4) using the internal network to the outside It will be safe to protect from.

그러나, 종래 내부의 사내망을 사용하고 있는 클라이언트(C1)(C2)(C3)(C4)들은 내부적으로는 그 보안이 매우 취약한 문제점을 갖고 있으며, 아직까지 내부 클라이언트(C1)(C2)(C3)(C4)들의 사용자 인증방법은 물론, 메인서버(5)를 보호할 시스템이 구축되어 있지 않다.However, the clients C1, C2, C3, and C4, which use the internal internal network in the related art, have a problem in that their security is very weak internally, and so far, the internal clients C1, C2, and C3 (C4) of the user authentication method, as well as the system to protect the main server (5) is not built.

즉, 종래의 사내망에서는 내부 IP를 외부 IP로 변환하여 외부 인터넷에 연결하는 방법인 바 외부에서 내부로 접속하는 측면에서는 그 보안성이 우수하다 할수 있지만, 사내망을 이용하는 각 클라이언트들간의 보안에는 많은 문제점을 가지고 있어 서로간의 정보 보안은 제대로 이루어지지 않고, 이와함께 사내망을 통한 메인서버의 접속이 인증절차없이 자유롭게 이루어지는 관계로 메인서버의 보호에 취약한 단점을 갖고 있다.In other words, the conventional internal network converts the internal IP into an external IP and connects to the external Internet. Therefore, in terms of accessing from the outside to the inside, the security is excellent. Since there are many problems, the information security between each other is not properly achieved, and with this, the main server is freely connected to the main server without any authentication procedure.

따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서 본 발명의 목적은, 사내망에 각 클라이언트는 물론 클라이언트와 메인 서버간에 보안 시스템과 인증절차를 구축함으로써, 내부 침입 방지는 물론 사내에서의 정보 보안 효율성을 높이고, 더불어 각 클라이언트들의 보안과 메인서버의 정보를 효과적으로 보호할수 있도록 하는 사내망의 통합 보안시스템을 제공하려는 것이다.Accordingly, the present invention has been made to solve the above-mentioned conventional problems, and an object of the present invention is to establish a security system and authentication procedure between each client as well as the client and the main server in the internal network, thereby preventing internal intrusion. To increase the efficiency of information security in the company, and to provide an integrated security system for the internal network to effectively protect the security of each client and the information of the main server.

상기한 목적 달성을 위한 본 발명에 따른 사내망 통합 보안 시스템은,Internal network integrated security system according to the present invention for achieving the above object,

외부 네트워크와 연결되는 라우터가 이더넷스위치를 통해 사내망과 연결되고, 사내망에는 라우터에서 제공되는 변환된 IP를 통해 외부 네트워크 및 메인서버와 접속되는 각각의 클라이트언트들과 연결되는 사내망에 있어서,The router connected to the external network is connected to the internal network through the Ethernet switch, and the internal network is connected to each client connected to the external network and the main server through the converted IP provided by the router. ,

상기 각 클라이언트들을 통제하는 메인서버에 침입탐지는 물론 침입차단과 로그인을 통한 인증 및 암호화절차를 수행하여 각 클라이언트 사이의 정보보안은 물론 클라이언트와 메인서버의 정보보안을 관리하는 보안시스템을 연결하고,Connect the security system that manages the information security between each client as well as the information security between each client by performing the intrusion detection, authentication and encryption procedures through intrusion prevention and login to the main server controlling each client,

상기 보안시스템에는 사내망을 이용하는 각 클라이언트들의 접속상태를 추적 감시하는 스크린링 라우터를 연결 구성하는 것을 특징으로 한다.The security system is characterized in that the connection configuration of the screening router to track and monitor the connection status of each client using the internal network.

상세하게는, 상기 보안시스템은, 메인서버에 불특정한 사용자의 침입을 탐지한 후 그 침입을 차단시키는 침입 탐지 및 차단부, 각 클라이언트가 메인서버에 접속시 인증을 거친 사용자만이 메인서버에 접속할수 있도록 하는 사용자인증부, 상기 사용자인증부를 통해 인증절차를 거친 각 클라이언트들이 메인서버에 접속할수 있도록 암호화된 인증키이를 요청하는 암호화부 및, 각 클라이언트들이 메인서버에 접속했을 때 그 접속경로와 시간등의 로그를 저장하면서 침입탐지 및 차단부와 메인서버의 로그현황 체크하는 로그박스부를 포함하는 것을 특징으로 한다.In detail, the security system is an intrusion detection and blocking unit that detects an intrusion of an unspecified user on the main server and blocks the intrusion, and only a user authenticated when each client accesses the main server connects to the main server. A user authentication unit that enables the user, an encryption unit for requesting an encrypted authentication key for each client that has been authenticated through the user authentication unit to access the main server, and the connection path and time when each client accesses the main server. It characterized in that it comprises a log box for checking the log status of the intrusion detection and blocking unit and the main server while storing the log.

바람직하게, 사내망의 통합 보안시스템의 사용자 인증방법은, Preferably, the user authentication method of the integrated security system of the internal network,

클라이언트가 사용자인증부로 정보를 보내 메인서버로의 접속을 요청하는 단계와;Requesting the client to access the main server by sending information to the user authentication unit;

상기 단계로 부터 사용자인증부는 암호화부를 통해 인증된 암호화 키이를 인증을 요청한 클라이언트에게 전송하여 클라이언트가 암호화된 키이를 통해 메인서버로의 접속이 이루어게 하는 단계를 포함하는 것을 특징으로 한다. From the above step, the user authentication unit is characterized in that it comprises the step of transmitting the authentication key to the client requesting authentication through the encryption unit to make a connection to the main server through the encrypted key.

이하, 첨부된 도면에 의거하여 본 발명의 바람직한 일실시예를 설명하면 다음과 같다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

도 2는 본 발명의 일실시예로 통합 보안기능이 추가된 사내망의 구성도이고, 도 3은 본 발명의 일실시예로 사내망 통합 보안시스템의 내부 블럭구성도이며, 도 4는 본 발명의 일실시예로 사내망 통합 보안시스템의 사용자 인증 절차를 보인 흐름도 이다. 2 is a block diagram of an internal network to which an integrated security function is added as an embodiment of the present invention, and FIG. 3 is a block diagram of an internal network integrated security system according to an embodiment of the present invention, and FIG. In one embodiment of the flow chart showing the user authentication procedure of the internal network integrated security system.

도 2 내지 도 4에 도시된 바와같이, 외부 네트워크(1)와 연결되는 라우터(2)가 이더넷스위치(3)를 통해 사내망(NET)(4)과 연결되고, 사내망(4)에는 라우터(2)에서 제공되는 변환된 IP를 통해 외부 네트워크(1) 및 메인서버(5)와 접속되는 각각의 클라이트언트(C1)(C2)(C3)(C4)들과 연결되는 사내망에 있어서,As shown in Figures 2 to 4, a router (2) connected to the external network (1) is connected to the internal network (NET) (4) through the Ethernet switch (3), a router in the internal network (4) In the corporate network connected to each of the clients (C1) (C2) (C3) (C4) connected to the external network (1) and the main server (5) through the converted IP provided in (2) ,

상기 각 클라이언트(C1)(C2)(C3)(C4)들을 통제하는 메인서버(5)에 침입탐지는 물론 침입차단과 로그인을 통한 인증 및 암호화절차를 수행하여 각 클라이언트(C1)(C2)(C3)(C4) 사이의 정보보안은 물론 클라이언트(C1)(C2)(C3)(C4)와 메인서버 의 정보보안을 관리하는 보안시스템(10)을 연결하고,Intrusion detection is performed on the main server 5 that controls each of the clients C1, C2, C3, and C4, and authentication and encryption procedures through intrusion blocking and login are performed for each client C1, C2 ( C3) (C4) as well as connecting the security system 10 for managing the information security of the client (C1) (C2) (C3) (C4) and the main server,

상기 보안시스템(10)에는 사내망(4)을 이용하는 각 클라이언트(C1)(C2)(C3)(C4)들의 접속상태를 추적 감시하는 스크린링 라우터(screening routeur)(20)를 연결 구성한 것이다.The security system 10 connects and configures a screening route 20 for monitoring and monitoring a connection state of each client C1, C2, C3, and C4 using the internal network 4.

다른 일면에 따라, 상기 보안시스템(10)은, 메인서버(5)에 불특정한 사용자의 침입을 탐지한 후 그 침입을 차단시키는 침입 탐지 및 차단부(11),According to another aspect, the security system 10, the intrusion detection and blocking unit 11 for detecting the intrusion of the unspecified user in the main server 5, and blocks the intrusion;

각 클라이언트(C1)(C2)(C3)(C4)가 메인서버(5)에 접속시 인증을 거친 사용자만이 메인서버(5)에 접속할수 있도록 하는 사용자인증부(12),A user authentication unit 12 which allows only the authenticated user to access the main server 5 when each client C1, C2, C3, C4 connects to the main server 5,

상기 사용자인증부(12)를 통해 인증절차를 거친 각 클라이언트(C1)(C2)(C3) (C4)들이 메인서버(5)에 접속할수 있도록 암호화된 인증키이를 요청하는 암호화부(13) 및,An encryption unit 13 for requesting an encrypted authentication key so that each of the clients C1, C2, C3, and C4 that have undergone the authentication procedure through the user authentication unit 12 can access the main server 5; ,

각 클라이언트(C1)(C2)(C3)(C4)들이 메인서버(5)에 접속했을 때 그 접속경로와 시간등의 로그를 저장하면서 침입탐지 및 차단부(11)와 메인서버(5)의 로그현황 체크하는 로그박스부(14)를 포함하고 있다.When the clients C1, C2, C3, and C4 connect to the main server 5, the intrusion detection and blocking unit 11 and the main server 5 of the main server 5 store a log of the connection path and time. A log box unit 14 for checking the log status is included.

또 다른 일면에 따라, 상기 사용자 인증은, 클라이언트가 사용자인증부(12)로 정보를 보내 메인서버(5)로의 접속을 요청하는 단계와, 상기 단계로 부터 사용자인증부(12)는 암호화부(13)를 통해 인증된 암호화 키이를 인증을 요청한 클라이언트에게 전송하여 클라이언트가 암호화된 키이를 통해 메인서버(5)로의 접속이 이루어지도록 하는 단계, 로 진행된다. According to another aspect of the present invention, the user authentication includes a step in which a client sends information to the user authentication unit 12 to request access to the main server 5, and from the step, the user authentication unit 12 includes an encryption unit ( And transmitting the authenticated encryption key to the client requesting the authentication through the 13) so that the client makes a connection to the main server 5 through the encrypted key.

여기서, 상기의 사용자 인증은 개방형 시스템인 네트워크를 통한 서버와 클라이언트 사이에서의 서비스교환을 클라이언트가 자신의 신원을 서버에게 확인시키는 양방향 인증방법을 적용함이 바람직하다.Here, the user authentication is preferably a two-way authentication method in which the client confirms its identity to the server to exchange the service between the server and the client through the network that is an open system.

이와같이 구성된 본 발명의 일실시예에 대한 작용을 첨부된 도 2 내지 도 4를 참조하여 설명하면 다음과 같다.Referring to Figures 2 to 4 attached to the operation of an embodiment of the present invention configured as described above are as follows.

먼저, 각 클라이언트(C1)(C2)(C3)(C4)들을 통제하는 메인서버(5)에 침입탐지는 물론 침입차단과 로그인을 통한 인증 및 암호화절차를 수행하여 각 클라이언트(C1)(C2)(C3)(C4) 사이의 정보보안은 물론 클라이언트(C1)(C2)(C3)(C4)와 메인서버 의 정보보안을 관리하는 보안시스템(10)을 연결한 후, 상기 보안시스템(10)에 사내망(4)을 이용하는 각 클라이언트(C1)(C2)(C3)(C4)들의 접속상태를 추적 감시하는 스크린링 라우터(20)를 연결하여 둔다.First, each client C1 (C2) performs an intrusion detection, authentication and encryption procedure through intrusion blocking and login, as well as intrusion detection on the main server 5 controlling the clients C1, C2, C3, and C4. After connecting the security system 10 that manages the information security of the main server as well as the information security between the (C3) (C4) and the client (C1) (C2) (C3) (C4), the security system (10) The screening router 20 which tracks and monitors the connection state of each client C1, C2, C3, C4 using the internal network 4 is connected.

이때, 각 클라이언트(C1)(C2)(C3)(C4)는 개별적으로 메인서버(5)에 접속하기 위해서는 사용자 인증을 위한 경로로 사용자 인증을 위한 절차를 밟게 된다.At this time, each client (C1) (C2) (C3) (C4) is to go through the procedure for user authentication to the path for user authentication in order to access the main server (5) individually.

즉, 클라이언트가 스크린링 라우터(20)를 통해 보안시스템(10)에 구축되어 있는 사용자인증부(12)로 정보를 보내 메인서버(5)의 접속을 요청하면, 상기 사용자인증부(12)에서는 클라이언트가 보낸 정보를 통해 사용자를 확인한다.That is, when the client requests the connection of the main server 5 by sending information to the user authentication unit 12 built in the security system 10 through the screening router 20, the user authentication unit 12 Identify the user from the information sent by the client.

이후, 상기 사용자인증부(12)는 그 사용자 인증을 암호화부(13)를 통해 암호화시킨 후 그 암호화된 키이를 인증을 요청한 클라이언트에게 전송하므로서, 상기 클라이언트는 암호화된 키이를 통해 메인서버(5)로의 접속이 이루어지는 것이다.Thereafter, the user authentication unit 12 encrypts the user authentication through the encryption unit 13 and transmits the encrypted key to the client requesting authentication, so that the client receives the main server 5 through the encrypted key. Connection is made.

다시말해, 도 5에 도시된 바와같이, 클라이언트는 사용자인증부(12)에 자신의 정보를 보내면서 메인서버(5)로의 접속을 요청하면, 상기 사용자인증부(12)에서는 클라이언트가 보낸 정보를 확인한 후 그 정보를 암호화시킨 키이를 클라이언트에게 부여한다.In other words, as shown in FIG. 5, when the client requests connection to the main server 5 while sending its information to the user authentication unit 12, the user authentication unit 12 sends the information sent by the client. After confirmation, the client is given a key that encrypts the information.

그러면, 상기 클라이언트는 부여받은 암호화 키이를 통해 메인서버(5)에 자유롭게 접속할수 있게 되는데, 이때 상기 사용자인증부(12)는 클라이언트와 메인서버(5)간의 세션키와 티켓을 각각 생성한 후 이를 비밀키이로 암호화하여 클라이언트에게 전달한다.Then, the client can freely access the main server 5 through the given encryption key. In this case, the user authentication unit 12 generates a session key and a ticket between the client and the main server 5, respectively. Encrypt it with the secret key and pass it to the client.

이때, 상기 클라이언트는 사용자인증부(12)로 부터 수신한 세션키이를 이용하여 생성한 인증자와 티켓을 메인서버(5)로 전송하므로서, 상기 메인서버(5)는 티켓을 복호화 한 다음 티켓에서 복구된 정보와 복호화된 세션키이를 이용하여 인증자로 부터 복구된 정보가 서로 일치하는지를 확인한 후 클라이언트의 접속 정당성을 확인시키게 되는 것이다.At this time, the client transmits the authenticator and the ticket generated using the session key received from the user authentication unit 12 to the main server 5, so that the main server 5 decrypts the ticket and then By using the recovered information and the decrypted session key, after confirming whether the recovered information from the authenticator matches each other, the client's connection validity is verified.

한편, 상기 클라이언트가 사용자 인증을 받음과 동시에 보안시스템(10)에 구축되어 있는 침입 탐지 및 차단부(11)로 부터도 인증을 받게 되는데, 이때 사용자 인증과 암호화가 동시에 이루어지지 않으면 상기 사용자인증부(12) 및 암호화부(13)에서는 침입 탐지 및 차단부(11)로 그 인증결과를 통보하므로서, 상기 침입 탐지 및 차단부(11)에서는 인증이 이루어지지 않은 클라이언트의 메인서버(5) 접속을 차단하는 한편, 그 인증절차를 재요구하게 되는 것이다.On the other hand, the client receives the user authentication and at the same time is also authenticated from the intrusion detection and blocking unit 11 that is built in the security system 10, if the user authentication and encryption is not performed at the same time the user authentication unit (12) and the encryption unit 13 notifies the intrusion detection and blocking unit 11 of the authentication result, the intrusion detection and blocking unit 11 is connected to the main server (5) of the unauthenticated client On the other hand, the authentication process is required again.

이때, 상기 보안시스템(10)에 구축되어 있는 로그박스부(14)는 네트워크 세그먼트 사이에 패킷 필터링 규칙을 적용하여 전달되는 모든 트래픽에 대하여 접근 허가 및 접근 거부에 관한 내용을 로그 서버를 두어 로그를 관리하게 되는 바,In this case, the log box unit 14 built in the security system 10 applies a packet filtering rule between the network segments to log the information on the access permission and access denied for all traffic forwarded. Will be managed,

상기 클라이언트의 인증절차 승인은 물론 그 거부상태를 기록하면서 이를 정보보안 침입 발생시 사후 처리로 사용할수 있도록 하였다. As well as approving the authentication process of the client and recording the rejection state, it can be used as a post processing in case of information security intrusion.

더불어, 상기 로그박스부(14)는 외부로부터의 억세스에 대한 로그의 중앙집중적인 관리로 로그자료의 실시간 처리 및 데이타 베이스(DB) 구축으로 인한 관리 및 검색도 할수 있도록 하였다.In addition, the log box unit 14 also allows centralized management of logs for access from the outside, so that the log data can be managed and searched by real-time processing of log data and a database (DB).

이상에서 설명한 바와같이 본 발명은 사내망에 각 클라이언트는 물론 클라이언트와 메인 서버간에 보안 시스템과 인증절차를 구축함으로써, 내부 침입 방지는 물론 사내에서의 정보 보안 효율성을 높이고, 더불어 각 클라이언트들의 보안과 메인서버의 정보를 효과적으로 보호할수 있도록 함은 물론, 보안기능의 집중화로 예산절감과 1인 통제로 메인서버의 관리자가 용이하게 메인서버를 관리할수 있는 효과를 제공한다.As described above, the present invention establishes a security system and authentication procedure between each client as well as the client and the main server in the internal network, thereby preventing internal intrusion and increasing information security efficiency in the company. It not only helps to effectively protect the information of the server, but also provides the effect that the administrator of the main server can easily manage the main server by reducing budget and controlling one person by centralizing security functions.

본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와같은 변경은 청구범위 기재의 범위내에 있게 된다.The present invention is not limited to the above-described specific preferred embodiments, and various modifications can be made by any person having ordinary skill in the art without departing from the gist of the present invention claimed in the claims. Of course, such changes are within the scope of the claims.

도 1은 종래 NAT를 사용하는 사내망의 구성도.1 is a block diagram of an internal network using a conventional NAT.

도 2는 본 발명의 일실시예로 통합 보안기능이 추가된 사내망의 구성도.2 is a block diagram of an internal network to which an integrated security function is added as an embodiment of the present invention.

도 3은 본 발명의 일실시예로 사내망 통합 보안시스템의 내부 블럭구성도.3 is an internal block diagram of an internal network integrated security system according to an embodiment of the present invention.

도 4는 본 발명의 일실시예로 사내망 통합 보안시스템의 사용자 인증 절차를 보인 흐름도. Figure 4 is a flow chart showing a user authentication procedure of the internal network integrated security system in an embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

1...외부 네트워크 2...라우터1 ... external network 2 ... router

3...이더넷 스위치 4...사내망3 ... Ethernet Switch 4 ... Household Network

5...메인서버 C1~C4...클라이언트5.Main server C1 ~ C4 ... Client

10...보안 시스템 20...스크린링 라우터10 ... security system 20 ... screening router

Claims (3)

외부 네트워크와 연결되는 라우터가 이더넷스위치를 통해 사내망과 연결되고, 사내망에는 라우터에서 제공되는 변환된 IP를 통해 외부 네트워크 및 메인서버와 접속되는 각각의 클라이트언트들과 연결되는 사내망에 있어서,The router connected to the external network is connected to the internal network through the Ethernet switch, and the internal network is connected to each client connected to the external network and the main server through the converted IP provided by the router. , 상기 각 클라이언트들을 통제하는 메인서버로의 침입탐지 및 침입차단을 수행하고, 클라이언트의 로그인을 통한 인증 및 암호화절차를 수행하여 각 클라이언트 사이의 정보보안 및 클라이언트 및 메인서버의 정보보안을 관리하는 보안 시스템과; 상기 보안시스템과 연결되며 사내망을 이용하는 각 클라이언트들의 접속상태를 추적 감시하는 스크린링 라우터를 포함하며, Security system that performs intrusion detection and intrusion prevention to main server controlling each client and manages information security between each client and information security between client and main server by performing authentication and encryption procedure through client login. and; It is connected to the security system and comprises a screening router for tracking and monitoring the connection status of each client using the internal network, 상기 보안 시스템은, 상기 메인서버에 불특정한 사용자의 침입을 탐지한 후 그 침입을 차단시키는 침입 탐지 및 차단부와, 각 클라이언트의 메인서버 접속시 인증을 거친 사용자만이 메인서버에 접속할수 있도록 상기 클라이언트 및 메인 서버간의 세션키 및 티켓을 각각 생성하여 비밀키로 사용자 인증을 암호화한 후 클라이언트에 전달하는 사용자인증부와, 상기 사용자 인증부를 통해 인증절차를 거친 각 클라이언트들의 사용자 인증을 암호화하며 상기 메인서버에 접속할수 있도록 암호화된 인증키이를 상기 침입 탐지 및 차단부에 전달하는 암호화부 및, 각 클라이언트들이 메인서버에 접속했을 때 그 접속경로와 시간등의 로그를 저장하면서 상기 침입탐지 및 차단부와 메인서버의 로그현황 체크하는 로그박스부를 포함하는 것을 특징으로 하는 사내망의 통합 보안 시스템.The security system includes an intrusion detection and blocking unit that detects an intrusion of an unspecified user on the main server and blocks the intrusion, so that only a user authenticated when accessing the main server of each client can access the main server. The user server generates a session key and a ticket between the client and the main server, encrypts user authentication with a secret key, and transmits the user authentication to the client, and encrypts user authentication of each client that has undergone the authentication procedure through the user authentication unit. An encryption unit for transmitting the authentication key encrypted to access the intrusion detection and blocking unit, and when each client connects to the main server, storing the log of the connection path and time, the intrusion detection and blocking unit and the main Characterized in that the log box to check the log status of the server Integrated security system in the company network. 제 1 항에 있어서, The method of claim 1, 상기 클라이언트는 사용자 인증부로부터 수신한 세션키이를 이용하여 생성한 인증자와 티켓을 메인 서버에 전송하고, The client transmits the authenticator and the ticket generated using the session key received from the user authenticator to the main server. 상기 메인 서버는 상기 클라이언트로부터 수신된 티켓을 복호화한 다음 그 티켓에서 복구된 정보와 복호화된 세션키이를 이용하여 인증자로부터 복구된 정보가 서로 일치하는 지를 확인하는 클라이언트의 접속 정당성을 확인시켜 주는 것을 특징으로 하는 것을 특징으로 하는 사내망의 통합 보안 시스템.The main server decrypts the ticket received from the client and then confirms the client's connection validity by using the information recovered from the ticket and the decrypted session key. Integrated security system of the internal network, characterized in that. 삭제delete
KR10-2000-0070721A 2000-11-25 2000-11-25 Integration security system of local network KR100498747B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0070721A KR100498747B1 (en) 2000-11-25 2000-11-25 Integration security system of local network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0070721A KR100498747B1 (en) 2000-11-25 2000-11-25 Integration security system of local network

Publications (2)

Publication Number Publication Date
KR20020041004A KR20020041004A (en) 2002-05-31
KR100498747B1 true KR100498747B1 (en) 2005-07-01

Family

ID=19701506

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0070721A KR100498747B1 (en) 2000-11-25 2000-11-25 Integration security system of local network

Country Status (1)

Country Link
KR (1) KR100498747B1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100543664B1 (en) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 system for protecting of network and operation method thereof
KR20030075808A (en) * 2002-03-20 2003-09-26 유디에스 주식회사 Dowonload system with dividing an external access server and a data storage server and the method thereof
KR20030080412A (en) * 2002-04-08 2003-10-17 (주)이카디아 method of preventing intrusion from an exterior network and interior network
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR100604604B1 (en) * 2004-06-21 2006-07-24 엘지엔시스(주) Method for securing system using server security solution and network security solution, and security system implementing the same
KR101143847B1 (en) * 2005-04-14 2012-05-10 (주) 모두스원 Network security apparatus and method thereof
KR101287220B1 (en) * 2011-08-31 2013-07-17 한국남부발전 주식회사 Network security system for plant integrated control system
KR101835315B1 (en) 2016-03-07 2018-03-08 주식회사 윈스 IPS Switch System and Processing Method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990038925A (en) * 1997-11-07 1999-06-05 정선종 Secure Two-Way Authentication Method in a Distributed Environment
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000024492A (en) * 2000-02-16 2000-05-06 이성호 Method and Apparatus for Certifying User and Method and Apparatus for Recording Shop and Goods
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20010035612A (en) * 1999-10-01 2001-05-07 윤종용 Method for checking client for security in PABX
KR20020033278A (en) * 2000-10-30 2002-05-06 이상천 Firewall system and method for protecting network elements in data communication network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR19990038925A (en) * 1997-11-07 1999-06-05 정선종 Secure Two-Way Authentication Method in a Distributed Environment
KR20010035612A (en) * 1999-10-01 2001-05-07 윤종용 Method for checking client for security in PABX
KR20000024492A (en) * 2000-02-16 2000-05-06 이성호 Method and Apparatus for Certifying User and Method and Apparatus for Recording Shop and Goods
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20020033278A (en) * 2000-10-30 2002-05-06 이상천 Firewall system and method for protecting network elements in data communication network

Also Published As

Publication number Publication date
KR20020041004A (en) 2002-05-31

Similar Documents

Publication Publication Date Title
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
RU2514138C1 (en) System and method for verifying public key certificate to counteract &#34;man-in-middle&#34; attacks
US8544081B2 (en) Secure network architecture
KR101518526B1 (en) Authentication method without credential duplication for users belonging to different organizations
US8418241B2 (en) Method and system for traffic engineering in secured networks
US8352725B1 (en) Method and apparatus for managing secure communications
US7669229B2 (en) Network protecting authentication proxy
US20100226280A1 (en) Remote secure router configuration
JP2009514100A (en) Access control system and access management method
US20050111466A1 (en) Method and apparatus for content based authentication for network access
US20090313682A1 (en) Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus
WO2005004418A1 (en) Remote access vpn mediation method and mediation device
MXPA06002182A (en) Preventing unauthorized access of computer network resources.
CN108712364B (en) Security defense system and method for SDN (software defined network)
KR100498747B1 (en) Integration security system of local network
US7424736B2 (en) Method for establishing directed circuits between parties with limited mutual trust
Herscovitz Secure virtual private networks: the future of data communications
Treytl et al. Security measures in automation systems-a practice-oriented approach
JP3700671B2 (en) Security management system
US20030233582A1 (en) Methods and apparatus for a computer network firewall which can be configured dynamically via an authentication mechanism
JPH11203248A (en) Authentication device and recording medium for storing program for operating the device
JP3877388B2 (en) Information provision system
KR20060044494A (en) Network management system and network management server of co-operating with authentication server
Cisco Configuring IPSec and Certification Authorities
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network

Legal Events

Date Code Title Description
N231 Notification of change of applicant
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100528

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee