KR100555745B1 - 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 - Google Patents

클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 Download PDF

Info

Publication number
KR100555745B1
KR100555745B1 KR1020030080429A KR20030080429A KR100555745B1 KR 100555745 B1 KR100555745 B1 KR 100555745B1 KR 1020030080429 A KR1020030080429 A KR 1020030080429A KR 20030080429 A KR20030080429 A KR 20030080429A KR 100555745 B1 KR100555745 B1 KR 100555745B1
Authority
KR
South Korea
Prior art keywords
splug
server
address
client system
tcp
Prior art date
Application number
KR1020030080429A
Other languages
English (en)
Other versions
KR20050046834A (ko
Inventor
최우경
Original Assignee
주식회사 시큐랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐랩 filed Critical 주식회사 시큐랩
Priority to KR1020030080429A priority Critical patent/KR100555745B1/ko
Publication of KR20050046834A publication Critical patent/KR20050046834A/ko
Application granted granted Critical
Publication of KR100555745B1 publication Critical patent/KR100555745B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은, 클라이언트 시스템과 이더넷을 통하여 연결되고, 특정 도메인에 속한 서버로 접속할 때 인증서 기반 사용자 인증 및 전송 자료를 암호화하여 송신하여 주는 에스플러그(SPLUG)와; 상기 SPLUG가 특정 도메인에 포함된 리소스 서버로 접속 요청을 할 때, 그 도메인에 속하여 사용자 인증 및 접속 여부를 결정하고, 상기 SPLUG에서 송신한 자료를 복호화 하여 접속 요청한 도메인 내의 리소스 서버로 송신하여 주는 SPLUG 서버를 포함하여 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템을 구성함으로서, 인터넷을 이용하는 사용자, 혹은 장비에서 기존에 설치된 프로그램이 TCP/IP의 TCP 프로토콜을 이용하여 특정 도메인에 속한 서버로 접속할 때 기존에 사용하던 프로그램 변경 없이 인증서 기반 사용자 인증 및 전송 자료를 암호화를 하여 통신할 수 있게 된다.
TCP 프로토콜, SPLUG, SPLUG 서버, 공인 인증서

Description

클라이언트 시스템과 특정 도메인 서버간의 보안 시스템 및 그 방법{Security system and method for internet commumication between client system and sever system of specific domain}
도 1은 본 발명에 의한 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템의 구성도.
도 2는 본 발명에 의한 시스템의 SPLUG의 구성도.
도 3은 본 발명에 의한 SPLUG와 SPLUG 서버의 통신 프로토콜 계층 구성도.
도 4은 본 발명에 의한 IP주소 테이블의 구성도.
도 5는 본 발명에 의한 클라이언트 시스템과 SPLUG와 SPLUG 서버 간 접속 과정의 흐름도.
도 6는 본 발명에 의한 클라이언트 SPLUG와 SPLUG 서버간 접속과정을 보인 절차도.
도 7은 본 발명에 의한 암호화/복호화 과정에 대한 상세한 흐름도.
<도면의 주요부분에 대한 부호의 설명>
100, 110 : 클라이언트 시스템 120 : SPLUG
121, 122 : 이더넷 모듈 123 : MAC 주소 설정부
124 : 프로토콜 분석부 125 : IP주소 분석부
126 : IP 주소테이블 127 : 바이패스부
128 : PDU변환부 129 : 인증 및 세션키 제어부
130 : SPLUG 서버 140 : 리소스 서버
본 발명은 통신 데이터 암호화 시스템에 관한 것으로, 특히 특정 도메인에 속한 서버로 접속할 때 기존에 사용하던 프로그램 변경 없이 인증서 기반 사용자 인증 및 전송 자료를 암호화를 하는 장치를 제공하고, 그 도메인에 속한 자원의 접근 제어를 하는 서버 시스템을 제공하는 클라이언트와 특정 도메인 서버간의 보안 시스템 및 그 방법에 관한 것이다.
현재 많은 분야에서 인터넷을 이용하고 있지만 인터넷에서 TCP/IP 프로토콜을 이용하여 통신을 할 때 보안에 있어서는 아직 취약한 현실이다. 인터넷을 통해 전송되는 데이터는 해커에 의해 쉽게 전송되는 데이터가 유출되거나 손상될 수 있다.
또한 사용자 ID와 비밀번호로 사용자 인증을 하는 방법은 그 ID와 비밀번호를 아는 모든 사람이 정당한 사용자로 인식되므로 사용자 ID와 비밀번호가 유출되면 타인이 인터넷을 통해 그 ID를 사용하는 시스템으로 접속할 수 있다.
이러한 문제점 때문에 프로그램을 제작할 때 인터넷 상에서 전송되는 데이터 를 암호화 하고 또한 공인 인증서를 이용하여 사용자 인증을 하는 방법을 사용하고 있다.
하지만 기존에 사용하던 프로그램에 암호화나 공인인증서를 이용한 사용자 인증 기능이 없다면 기존에 사용하던 프로그램을 수정하여야 하는 문제점이 있다.
대안으로 VPN(Virtual Private Network) 등을 이용하고 있지만 클라이언트 시스템에 별도의 소프트웨어를 설치하여 관리하여야 하고 또한 처리 속도 문제 등으로 사용자가 쉽게 이용하기는 어려운 상황이다.
본 발명의 목적은, 일반 사용자, 혹은 인터넷에 연결된 장비(이하 클라이언트 시스템)와 기업 인트라 넷 등의 특정 도메인에 속한 서버 간에 인터넷을 통하여 자료 전송을 할 때 클라이언트 시스템에서 기존에 사용하던 프로그램과 클라이언트 시스템의 변경 없이 공인인증서, 혹은 사설인증서를 이용한 사용자 인증과 전송 자료를 암호화 하는 시스템 및 장비 개발과 인증된 사용자가 특정 도메인에 속한 자원의 접근 제어(Access Control)를 할 수 있는 시스템을 제공하기 위한 것이다.
상기 목적을 달성하기 위한 본 발명의 시스템은
a) 클라이언트 시스템과 이더넷(Ethernet)을 통하여 연결되고, 특정 도메인에 속한 서버로 접속할 때 인증서 기반 사용자 인증 및 전송 자료를 암호화하여 송신하여 주는 에스플러그(SPLUG)와;
b) 상기 SPLUG가 특정 도메인에 포함된 서버로 접속 요청을 할 때, 그 도메인에 속하여 사용자 인증 및 접속 여부를 결정하고, 상기 SPLUG에서 송신한 자료를 복호화하여 접속 요청한 도메인 내의 리소스 서버로 송신하여 주는 SPLUG 서버를 포함하여 구성됨에 특징이 있다.
이와 같은 본 발명은 상기 SPLUG와 SPLUG 서버간의 보안 방법은, 클라이언트 시스템의 MAC 주소를 구해 클라이언트 시스템의 MAC 주소와 충돌하지 않는 MAC 주소를 생성하고, 이후 클라이언트 시스템과 통신할 때 이 MAC 주소를 자신의 이더넷 MAC 주소로 사용하는 MAC주소 생성과정과; 클라이언트 시스템 또는 인터넷으로부터 PDU를 수신하면, 수신된 PDU가 사용한 프로토콜이 TCP인지 아닌지를 판단하는 프로토콜 분석과정과; 상기 프로토콜분석 과정에서 수신된 PDU의 프로토콜이 TCP인 경우, 주소와 포트번호를 검사하는 과정과; 미리 저장하여둔 특정 도메인의 주소와 포트번호인 경우, 해당되는 주소의 SPLUG 서버와 TCP접속하여 인증 및 암호화/복호화를 위한 세션키를 주고받는 접속과정과; 상기 주소와 포트번호가 기 저장되어있는 SPLUG 서버의 주소인 경우에는 상기 수신된 PDU를 암호화/복호화 시켜 전송하는 PDU변환 전송과정과; 상기 프로토콜 분석에서 TCP 사용이 아닌경우 및 상기 주소와 포트 검사에서 기 설정된 주소와 포트가 아닌 경우 수신된 PDU를 변환없이 직접 전송하는 바이패스 전송과정과; 을 수행하도록 이루어짐을 특징으로 하고 있다.
이하 본 발명의 실시예를 첨부된 도면을 참조해서 상세히 설명하면 다음과 같다.
도 1은 상기 목적을 달성하기 위한 시스템 구성도이다. 본 고안은, 인터넷에 연결되어 인터넷을 통해 자료 송수신을 하는 컴퓨터 시스템(100) 혹은 통신 장비(110) 등의 클라이언트 시스템에 부착되어 사용자 인증 요청 및 송수신 자료를 암호화/복호화 하는 장치인 에스플러그(이하; SPLUG)(120)와, 이 장치와 인터넷을 통하여 연결되어 사용자 인증, 송수신 자료 암호화/복호화와 인증된 사용자가 요청한 리소스 서버(140)로 접속 권한이 있는지 검사하는 SPLUG 서버(130)로 구성된다.
즉, 특정 도메인에 속한 서버(140)로 접속할 때 기존에 사용하던 프로그램 변경 없이 인증서 기반 사용자 인증 및 전송 자료를 암호화하여 전송하도록 SPLUG(120)를 제공하고, 그 도메인에 속한 자원의 접근 제어를 하는 SPLUG 서버(130)를 구비하여 해당 도메인 내의 리소스 서버(140)와 상기 클라이언트 시스템과의 통신시 인증과 암호화/복호화를 제어하도록 구성된다.
도 2는 SPLUG의 H/W 구성도를 보여준다. SPLUG(120)는 클라이언트와 인터넷에 각기 연결되는 2개의 이더넷 접속 모듈(Ethernet Phy)(121,122)과, 수신된 클라이언트 MAC에 의해 자신의 MAC를 생성하여 클라이언트 시스템과 MAC가 충돌되지 않도록 제어하는 MAC주소 설정부(123)와, 수신되는 PDU가 사용하는 프로토콜을 분석하여 TCP 프로토콜인지를 판단하는 프로토콜 분석부(124)와, 수신되는 PDU에서 IP주소와 포트를 분석하는 IP주소 분석부(125)와, 클라이언트 시스템이 인터넷을 통하여 통신할 서버 중 SPLUG 서버를 통하여 통신하여야 할 주소와 포트 번호를 저장하여둔 IP주소 테이블(126)과, SPLUG 서버와의 TCP접속과 인증 및 암호화를 위한 세션키를 주고받아 접속을 제어하는 인증 및 세션키 제어부(129)와, 상기 프로토콜 분석부(124)의 분석결과 TCP 프로토콜이고, IP주소 분석부(125)의 분석결과 기저장되어 있는 SPLUG 서버의 주소인 경우 수신된 PDU를 상기 세션키에 의거하여 암호화 및 복호화 하여 클라이언트 시스템과 SPLUG서버 사이의 데이터 전송을 제어하는 PDU변환부(128)와, 상기 프로토콜 분석부(124)의 분석결과 TCP 프로토콜 사용이 아닌 경우와 기저장된 IP주소가 아닌 경우 데이터 암호화/복호화 없이 직접 바이패스시켜 전송하는 바이패스부(127)를 포함하여 구성된다. 그리고 SPLUG(120)는 자체 전원부를 포함하여 구성된다.
상기 SPLUG(120)는 클라이언트 시스템과 인터넷에 연결되는 2개의 이더넷 모듈(121),(122)가 구비되어 각각 통신 연결이 이루어지며, SPLUG(120)는 MAC주소 설정부(123)는, 자신이 사용하는 이더넷 엠에이씨(Ethernet MAC ; Medium Access Control) 주소를 미리 설정하지 않고, 클라이언트 시스템의 이더넷 엠에이씨(Ethernet MAC) 주소를 이용하여 자신의 MAC 주소를 설정한다. 클라이언트 시스템이 기동 된 후 최초로 클라이언트 시스템에서 SPLUG(120)로 이더넷 피디유(Ethernet PDU ; Protocol Data Unit)를 송신 하면, SPLUG(120)는 수신한 이더넷 피디유(Ethernet PDU)에서 클라이언트 시스템의 MAC 주소를 구해 클라이언트 시스템의 MAC 주소와 충돌하지 않는 MAC 주소를 생성한다. 이후 SPLUG(120)는 클라이언트 시스템과 통신할 때 이 MAC 주소를 자신의 이더넷 엠에이씨(Ethernet MAC) 주소로 사용한다. SPLUG(120)가 이더넷으로 자료를 송신할 때에는 클라이언트 시스템의 이더넷 카드(Ethernet Card)의 MAC 주소를 자신의 MAC 주소로 설정 하여 인터 넷에 연결된 다른 이더넷 카드(Ethernet Card)의 MAC 주소와 충돌이 일어나지 않도록 한다.
도 3의 SPLUG와 SPLUG 서버의 모듈 통신 프로토콜 계층도이다. 이에 도시된 바와같이, SPLUG(120)는, 패킷 드리이버(Packet Driver)와, 프로토콜 매니저(Protocol Mapper)와, 주소(IP)와, 티씨피 이엠/유디피(TCP Em./UDP), 티씨피/유디피(TCP/UDP)와, 어드레스 맵퍼(Adress Mapper)와, 엔크립트/디크립크 라이브러리(Encrypt/Decrypt Library)와, 피케이아이 라이브러리(PKI Library)와, 시스템 매니저(System Manager), 어드레스 매니저(Address Manager), 서티피케이트 매니저(Certificate Manger)로 구성된다.
상기 SPLUG 서버(130)는, 패킷 드리이버(Packet Driver)와, 주소(IP)와, 티씨피/유디피(TCP/UDP)와, 엔크립트/디크립크 라이브러리(Encrypt/Decrypt Library)와, 피케이아이 라이브러리(PKI Library)와, 유저 억세스 콘트롤러(User Access Controller), 시스템 매니저(System Manager), 리소스 매니저(Resource Manager), 서티피케이트 매니저(Certificate Manger)와, 어드미니스트레이터 인터페이스(Administrator I/F)로 구성된다.
이와같은 통신 프로토콜 계층에 있어서, SPLUG(120)가 이더넷(Ethernet)을 통하여 클라이언트 시스템으로부터 PDU를 수신하면, 우선 프로토콜 매니저 계층의 프로토콜 분석부(Protocol Analyzer)(124)가 수신한 이더넷 피디유(Ethernet PDU)의 패킷 타입(packet type) 필드를 검사하여 수신 PDU가 사용한 프로토콜을 검사한다. 수신 PDU가 사용한 계층-4 프로토콜이 TCP가 아니면 SPLUG는 클라이언트 시스 템으로부터 수신한 PDU를 인터넷으로 PDU의 내용 변환 없이 바이패스부(127)를 통해서 전송(by-pass)한다. 프로토콜 분석부(124)는 SPLUG(120)가 인터넷으로부터 수신한 PDU가 TCP를 이용하지 않은 경우에도 클라이언트 시스템으로 PDU 변환 없이 전송한다.
SPLUG(120)가 수신한 PDU가 TCP 프로토콜을 이용한 경우에는 수신 자료를 IP계층을 통하여 TCP 게이트웨이(Gateway) 계층으로 보낸다. IP는 TCP/IP 프로토콜에서의 IP와 동일하게 동작한다.
도 4는 SPLUG가 클라이언트 시스템으로부터 수신한 자료를 암호화 할지 결정하기 위해 저장하고 있는 IP주소 테이블을 보여준다. SPLUG(120)의 IP주소 테이블(126)에는 SPLUG(120)에서 자료를 암호화 하여 전송할 서버의 IP 주소, Port 번호와, 그 서버로 자료를 전송할 때 이용할 SPLUG 서버 IP 주소와, Port 번호 테이블을 저장한다. 이 정보를 이용하여 클라이언트가 접속하려는 서버의 IP 주소와 Port 번호를 기준으로 SPLUG(120)가 클라이언트 시스템으로부터 수신할 자료를 암호화 할 것인지 결정하고 자료를 암호화 하였을 때 어느 SPLUG 서버(130)로 자료를 송신할 것인지를 결정한다.
이는 SPLUG(120)의 어드레스 맵퍼(Address Mapper)에 클라이언트 시스템이 인터넷을 통하여 통신할 서버 중 SPLUG 서버(130)를 통하여 통신하여야 할 주소와 포트 번호를 IP주소 테이블(126)로 저장한다. SPLUG(120)의 TCP 게이트웨이(Gateway)가 클라이언트 시스템, 혹은 인터넷에서 수신한 TCP PDU에서 TCP 주소와 포트 번호를 추출하여, 이 주소가 SPLUG 서버를 통하여 송수신 할 서버 인지를 어드레스 맵퍼(Address Mapper)에 저장되어 있는 주소와 포트번호를 통하여 검사한다. 어드레스 맵퍼(Address Mapper)에 저장되어 있지 않은 주소인 경우 클라리언트 시스템/인터넷으로 PDU 변환 없이 전송한다.
상기 IP 테이블에 등록되어 있는 서버와의 접속요청인 경우 도 5와 같은 과정을 거쳐 SPLUG는 SPLUG 서버로 접속 요청을 한다.
도 5에 도시된 바와 같이 사용자가 클라이언트 시스템을 통해서 SPLUG(120)로 접속 정보를 송신하면, SPLUG에 등록된 서버인지를 검사하고, 등록된 서버주소가 하니면 자료변형없이 인터넷 통신을 하며, 등록된 서버 주소인 경우는, SPLUG(120)에서 SPLUG 서버(130)로 인증 요청을 한다. 인증 요청에 의해 서버로부터 인증이 성공하면, SPLUG 서버(130)에서 사용자 요청 서버로 접속을 하고, 접속이 성공되면, SPLUG(120)와 SPLUG서버(130)간 세션키를 교환하며, SPLUG(120)와 SPLUG 서버(130)를 이용하여 클라이언트 시스템(100, 110)과 리소스 서버(140)간 자료 암호화 후 전송하고 수신하여 복호화하는 통신을 수행한다.
도 6에서 클라이언트 시스템에서 SPLUG에 등록되어 있는 SPLUG 서버로 접속 요청 과정을 보여준다. 클라이언트 시스템이 SPLUG를 통하여 TCP 접속 요청을 하는단계; SPLUG에서 SPLUG 서버로 TCP 접속요청을 하는 단계; SPLUG서버가 SPLUG의 사용자 인증을 하는 단계; 사용자 인증이 이루어지면 SPLUG서버가 접속요청된 리소스 서버로 TCP접속을 하는 단계; 사용자 인증이 이루어지면 암호화/복호화를 위하여 SPLUG 서버와 SPLUG 사이에 세션키를 설정하는 단계; SPLUG가 클라이언트 시스템으로 TCP 접속 요청 성공을 알리는 단계; TCP접속이 이루어지면 클라이언트 시스템이 접속 작업 완료를 알리는 단계;를 수행하도록 이루어진다.
SPLUG(120)는 우선 공인 인증서, 혹은 사설 인증서를 이용하여 SPLUG 서버(130)로 사용자 인증을 요청하고, SPLUG 서버(130)는 서버에 등록된 사용자 별 DN(Distinguished Name) 값을 이용하여 사용자 인증을 한다. SPLUG 서버(130)에서 사용자 인증에 성공하면 SPLUG 서버(130)는 클라이언트에서 접속 요청한 서버가 해당 사용자가 접속 가능한 서버인지 우선 검사하고 검사에 실패하면 SPLUG 서버(130)는 SPLUG(120)와 접속을 끊는다. 클라이언트 시스템에서 접속 요청한 서버가 사용 가능한 서버이면 SPLUG 서버(130)는 클라이언트 시스템이 요청한 리소스 서버(140)와 TCP 접속을 맺고, 접속에 실패한 경우 SPLUG와 TCP 접속을 끊는다.
SPLUG 서버(130)에서 사용자 인증과 클라이언트 시스템에서 요청한 서버(140)와 접속에 성공하면 SPLUG 서버(130)는 SPLUG(120)와 이후 통신 시 사용할 대칭 키(session key)를 교환한다. 이 후 SPLUG9120)와 SPLUG 서버(130)는 인증과정에서 교환한 세션 키를 이용하여 자료를 암호화 한 후 데이터를 인터넷으로 송신한다.
SPLUG(120)가 SPLUG 서버(130)와 사용자 인증과 세션 키 교환에 성공하면 SPLUG는 해당 접속 정보(클라이언트 시스템 IP 주소, Port 번호, 요청 서버 IP 주소, 포트 번호)를 SPLUG 접속 현황 테이블에 저장한다. 이 후 클라이언트 시스템에서 TCP를 이용하여 데이터를 송신하는 경우(TCP 헤더의 SYN FLAG이 0으로 Reset), SPLUG는 우선 자신이 저장하고 있는 접속 정보 테이블에서 해당 접속 정보가 있는지 검색한다. 접속 정보 테이블에 저장되어 있지 않은 경우, 수신한 PDU를 인터넷 으로 자료 암호화 과정 없이 송신한다. 접속 정보 테이블에 저장되어 있는 경우, SPLUG 서버와 접속 과정에서 교환한 세션 키로 암호화 하여 SPLUG 서버로 인터넷을 통하여 자료를 송신한다.
이와는 반대로, SPLUG(120)가 인터넷에서 PDU를 수신하면 수신 PDU가 TCP/IP 프로토콜을 이용한 것인지 검사하여 수신 PDU가 TCP/IP 프로토콜을 이용한 것이 아니거나 TCP/IP 프로토콜을 이용하였지만 TCP를 이용한 것이 아니면 클라이언트 시스템으로 수신한 PDU를 전송한다. TCP 프로토콜을 이용한 PDU를 수신한 경우, 수신 PDU가 SPLUG 서버에서 전송한 것인지 검사하고 SPLUG 서버에서 전송한 PDU가 아닌 경우 클라이언트로 수신 PDU를 전송한다.
SPLUG가 수신한 PDU가 SPLUG 서버에서 전송한 것이면 우선 접속 요청 응답 PDU인지 검사한다. 접속 요청 응답 PDU를 수신한 경우에는 클라이언트 시스템으로 TCP 접속 응답 PDU(TCP 헤더의 SYN와 ACK Flag을 1로 Set)를 송신하고 클라이언트로부터 접속 완료 PDU(ACK Flag Set)를 수신하여 클라이언트 시스템과 SPLUG 간 TCP 접속 과정을 완료한다. 이 과정을 거치면 클라이언트 시스템은 자신이 처음 요청한 서버와 TCP 접속을 한 것으로 인식하고, 이후 SPLUG와 연결되지 않았을 경우와 동일하게 SPLUG를 통하여 데이터 송수신을 한다.
SPLUG가 인터넷을 통하여 수신한 PDU가 SPLUG 서버로부터 수신한 PDU이면 사용자 인증 과정에서 교환한 세션키(session key)로 자료를 복호화 한 후 클라이언트 시스템으로 자료를 송신하다.
도 7은 본 발명에 의한 암호화 복호화 방법을 설명한 도면으로서, 이에 도시 된 바와 같이, SPLUG는 2개의 랜덤 넘버를 생성하고, 랜덤 넘버와 서버 접속 정보를 전자서명 후 서버 공개키로 암호화 하여 SPLUG 서버로 전송한다. SPLUG 서버는 서버 개인키로 복호화 하고, 서명 인증서 DN값으로 사용자 인증을 거친다. 사용자 인증이 이루어지면, 랜덤 넘버 1을 증가시켜, 증가된 랜덤 넘버를 같은 값으로 암호화 하고, 클라이언트 시스템의 공개키로 암호하 하여 전송한다,
클라이언트 시스템의 SPLUG는 수신된 정보를 클라이언트 시스템 개인키로 복호화하고, 암호화된 비밀번호를 전송한 랜덤 넘버+1로 복호화 한다. 전송한 앤덤 넘버와 비교하여 정당한 서버와 연결되었는지를 인증하게된다.
위의 과정을 거쳐 SPLUG와 SPLUG 서버를 이용하는 경우, 클라이언트에서 기존에 사용하던 프로그램 변경 없이 특정 도메인에 속한 서버와 정확한 사용자 인증과 안전한 자료를 교환을 할 수 있다. SPLUG는 클라이언트 시스템에서 동작하는 장비가 아니므로 클라이언트 시스템이 사용하는 OS에 영향을 받지 않고 또한 일반 PC나 서버 컴퓨터 뿐만 아니라 인터넷에 연결되어 사용되는 장비에도 부착하여 사용할 수 있다.
인터넷 상에서 보안의 중요성이 강조되고 있는 시점에서 사용자나 인트라넷 관리자가 쉽게 사용하고 구성할 수 있는 시스템의 필요성이 부각되고 있다. 본 시스템은 사용자가 기존에 사용하던 프로그램을 수정하지 않고 그대로 사용하여도 공중망에서 보안이 유지될 수 있어 별도의 개발 비용 없이도 안전한 통신을 할 수 있 다. 또한 관리자가 SPLUG 서버에서 사용자 접속 정보를 쉽게 관리할 수 있으므로 외부에서 특정 도메인으로 접속하는 사용자 관리를 쉽게 할 수 있다.

Claims (4)

  1. 클라이언트 시스템과 리소스 서버 시스템 간에 TCP/IP 프로토콜을 이용하여 인터넷을 이용하여 통신하는 시스템에 있어서,
    a) 클라이언트 시스템과 이더넷을 통하여 연결되고, 특정 도메인에 속한 서버로 접속할 때 인증서 기반 사용자 인증 및 전송 자료를 암호화하여 송신하여 주는 에스플러그(SPLUG)(120)와;
    b) 상기 SPLUG(120)가 특정 도메인에 포함된 리소스 서버(140)로 접속을 요청할 때, 그 도메인에 속하여 사용자 인증 및 접속 여부를 결정하고, 상기 SPLUG(120)에서 송신한 자료를 복호화하여 접속 요청한 도메인 내의 리소스 서버(140)로 송신하여 주는 SPLUG 서버(130)를 포함하여 구성된 것을 특징으로 하는 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템.
  2. 제 1 항에 있어서, 상기 SPLUG(120)는,
    클라이언트와 인터넷에 각기 연결되는 2개의 이더넷 접속 모듈(Ethernet Phy)(121,122)과,
    수신된 클라이언트 MAC에 의해 자신의 MAC를 생성하여 클라이언트 시스템과 MAC가 충돌되지 않도록 제어하는 MAC주소 설정부(123)와,
    수신되는 PDU가 사용하는 프로토콜을 분석하여 TCP 프로토콜인지를 판단하는 프로토콜 분석부(124)와,
    수신되는 PDU에서 IP주소와 포트를 분석하는 IP주소 분석부(125)와,
    클라이언트 시스템이 인터넷을 통하여 통신할 서버 중 SPLUG 서버를 통하여 통신하여야 할 주소와 포트 번호를 저장하여둔 IP주소 테이블(126)과,
    SPLUG 서버와의 TCP접속과 인증 및 암호화를 위한 세션키를 주고받아 접속을 제어하는 인증 및 세션키 제어부(129)와,
    상기 프로토콜 분석부(124)의 분석결과 TCP 프로토콜이고, IP주소 분석부(125)의 분석결과 기저장되어 있는 SPLUG 서버의 주소인 경우 수신된 PDU를 상기 세션키에 의거하여 암호화 및 복호화 하여 클라이언트 시스템과 SPLUG서버 사이의 데이터 전송을 제어하는 PDU변환부(128)와,
    상기 프로토콜 분석부(124)의 분석결과 TCP 프로토콜 사용이 아닌 경우와 기저장된 IP주소가 아닌 경우 데이터 암호화/복호화 없이 직접 바이패스시켜 전송하는 바이패스부(127)를 포함하여 구성된 것을 특징으로 하는 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템.
  3. 클라이언트 시스템에 SPLUG를 설치하고, 기업 인트라 넷 등의 특정 도메인에 속한 리소스 서버 시스템에 SPLUG 서버를 설치하여, 인증 및 자료의 암호화/복호하를 통해 보안 처리하도록 하는 방법에 있어서,
    상기 SPLUG는, 클라이언트 시스템의 MAC 주소를 구해 클라이언트 시스템의 MAC 주소와 충돌하지 않는 MAC 주소를 생성하고, 이후 클라이언트 시스템과 통신할 때 이 MAC 주소를 자신의 이더넷 MAC 주소로 사용하는 MAC주소 생성과정과;
    클라이언트 시스템 또는 인터넷으로부터 PDU를 수신하면, 수신된 PDU가 사용한 프로토콜이 TCP인지 아닌지를 판단하는 프로토콜 분석과정과;
    상기 프로토콜분석 과정에서 수신된 PDU의 프로토콜이 TCP인 경우, 주소와 포트번호를 검사하는 과정과;
    미리 저장하여둔 특정 도메인의 주소와 포트번호인 경우, 해당되는 주소의 SPLUG 서버와 TCP접속하여 인증 및 암호화/복호화를 위한 세션키를 주고받는 접속과정과;
    상기 주소와 포트번호가 기 저장되어 있는 SPLUG 서버의 주소인 경우에는 수신된 PDU를 암호화/복호화 시켜 전송하는 PDU변환 전송과정과;
    상기 프로토콜 분석에서 TCP 사용이 아닌경우 및 상기 주소와 포트 검사에서 기 설정된 주소와 포트가 아닌 경우 수신된 PDU를 변환없이 직접 전송하는 바이패스 전송과정과;
    을 수행하여 통신 하도록 이루어진 것을 특징으로 하는 클라이언트 시스템과 특정 도메인 서버간의 보안 방법.
  4. 제 3 항에 있어서, 상기 접속과정은,
    클라이언트 시스템이 SPLUG를 통하여 TCP 접속 요청을 하면, SPLUG에서 SPLUG 서버로 TCP 접속요청을 하는 단계; SPLUG서버가 SPLUG의 사용자 인증을 하는 단계;
    사용자 인증이 이루어지면 SPLUG 서버가 접속 요청된 리소스 서버로 TCP접속을 하는 단계;
    사용자 인증이 이루어지면 암호화/복호화를 위하여 SPLUG 서버와 SPLUG 사이에 세션키를 설정하는 단계;
    SPLUG가 클라이언트 시스템으로 TCP 접속 요청 성공을 알리는 단계;
    TCP접속이 이루어지면 클라이언트 시스템이 접속 작업 완료를 알리는 단계;를 수행하도록 이루어진 것을 특징으로 하는 클라이언트 시스템과 특정 도메인 서버간의 보안 방법.
KR1020030080429A 2003-11-14 2003-11-14 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 KR100555745B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030080429A KR100555745B1 (ko) 2003-11-14 2003-11-14 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030080429A KR100555745B1 (ko) 2003-11-14 2003-11-14 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법

Publications (2)

Publication Number Publication Date
KR20050046834A KR20050046834A (ko) 2005-05-19
KR100555745B1 true KR100555745B1 (ko) 2006-03-03

Family

ID=37245986

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030080429A KR100555745B1 (ko) 2003-11-14 2003-11-14 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법

Country Status (1)

Country Link
KR (1) KR100555745B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115314242B (zh) * 2022-06-24 2024-06-21 贵州省气象信息中心(贵州省气象档案馆、贵州省气象职工教育培训中心) 一种网络数据安全加密方法及其装置

Also Published As

Publication number Publication date
KR20050046834A (ko) 2005-05-19

Similar Documents

Publication Publication Date Title
US7228438B2 (en) Computer network security system employing portable storage device
US6643774B1 (en) Authentication method to enable servers using public key authentication to obtain user-delegated tickets
EP1730651B1 (en) Establishing a virtual private network for a road warrior
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US7526640B2 (en) System and method for automatic negotiation of a security protocol
KR100994666B1 (ko) 네트워크 기반 디바이스를 위한 액세스 및 제어 시스템
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
CN112235235B (zh) 一种基于国密算法的sdp认证协议实现方法
US20150288679A1 (en) Interposer with Security Assistant Key Escrow
US20020090089A1 (en) Methods and apparatus for secure wireless networking
US11736304B2 (en) Secure authentication of remote equipment
US20060005239A1 (en) Inspected secure communication protocol
US20080222714A1 (en) System and method for authentication upon network attachment
JP2012182812A (ja) インターネットのための対称鍵配信フレームワーク
EP1384370B1 (en) Method and system for authenticating a personal security device vis-a-vis at least one remote computer system
CN111935213B (zh) 一种基于分布式的可信认证虚拟组网系统及方法
US11968302B1 (en) Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator
JP2018117340A (ja) コンピュータネットワーク内のユーザの認証
US20150249639A1 (en) Method and devices for registering a client to a server
US20140282999A1 (en) Secure access to applications behind firewall
US20230336529A1 (en) Enhanced privacy preserving access to a vpn service
WO2023279782A1 (zh) 一种访问控制方法、访问控制系统及相关设备
JPH10242957A (ja) ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
CN108989302B (zh) 一种基于密钥的opc代理连接系统和连接方法
CN114189370A (zh) 一种访问方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100219

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee