KR100663757B1 - Security network system - Google Patents

Security network system Download PDF

Info

Publication number
KR100663757B1
KR100663757B1 KR1020040060310A KR20040060310A KR100663757B1 KR 100663757 B1 KR100663757 B1 KR 100663757B1 KR 1020040060310 A KR1020040060310 A KR 1020040060310A KR 20040060310 A KR20040060310 A KR 20040060310A KR 100663757 B1 KR100663757 B1 KR 100663757B1
Authority
KR
South Korea
Prior art keywords
secure network
network hub
hub
decryption
encryption
Prior art date
Application number
KR1020040060310A
Other languages
Korean (ko)
Other versions
KR20040079870A (en
Inventor
심재훈
Original Assignee
주식회사 드림시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 드림시큐리티 filed Critical 주식회사 드림시큐리티
Priority to KR1020040060310A priority Critical patent/KR100663757B1/en
Publication of KR20040079870A publication Critical patent/KR20040079870A/en
Application granted granted Critical
Publication of KR100663757B1 publication Critical patent/KR100663757B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner

Abstract

본 발명은 다른 컴퓨터의 액세스를 제어 관리하기 위하여 암호화 및 필터링 기술을 적용한 보안 네트워크 시스템에 관한 것이다. 상세하게는, 사용자 컴퓨터 단말(11)과, 상기 사용자 컴퓨터 단말(11)에 설치되어 보안 네트워크 허브(20)와 암복호 통신을 수행하는 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)을 포함하는 사용자 컴퓨터(10)와; 상기 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)과의 연결을 통해 암복호를 수행하며, 보안 네트워크 허브(20)의 관리자 컴퓨터(30)로부터 다운로드된 필터를 통해 액세스를 관리하는 보안 네트워크 허브(20)와; 상기 보안 네트워크 허브(20)와 연결되어 설정에 따른 패킷을 모니터링하며, 필터를 설정하여 상기 보안 네트워크 허브(20)에 다운로드 시키는 보안 네트워크 허브(20)의 관리자 컴퓨터(30)로 이루어 진 것이다.The present invention relates to a security network system applying encryption and filtering techniques to control and manage access of another computer. Specifically, the encryption / decryption performing module 12 for the user computer terminal 11 installed in the user computer terminal 11 and the user computer terminal 11 to perform encryption / decryption communication with the secure network hub 20. A user computer 10 comprising; Secure network that performs encryption and decryption through connection with the encryption / decryption execution module 12 for the user computer terminal 11 and manages access through a filter downloaded from the administrator computer 30 of the secure network hub 20. Hub 20; It is made of a manager computer 30 of the secure network hub 20 to be connected to the secure network hub 20 to monitor packets according to the setting, and to set a filter to download to the secure network hub 20.

보안, 허브, 사용자, 관리자Security, hub, user, administrator

Description

보안 네트워크 시스템 {Security network system} Security network system             

도 1은 본 발명에 따른 보안 네트워크 시스템의 구성도.1 is a block diagram of a security network system according to the present invention.

도 2는 도 1에 도시된 시스템의 운용을 설명하기 위한 흐름도.2 is a flow chart for explaining the operation of the system shown in FIG.

도 3은 도 1에 도시된 시스템의 운용을 설명하기 위한 다른 흐름도.3 is another flow chart for explaining the operation of the system shown in FIG.

< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>

10: 보안 네트워크 연결을 위한 사용자 컴퓨터 10: Your computer for a secure network connection

10: 사용자 컴퓨터 11. 사용자 컴퓨터 단말10: user computer 11. user computer terminal

12. 암복호 수행 모듈 20: 보안 네트워크 허브12. Encryption Decryption Module 20: Secure Network Hub

30: 보안 네트워크 허브 관리자 컴퓨터30: Secure Network Hub Administrator Computer

40: 통신수단40: communication means

본 발명은 컴퓨터 네트워크 시스템에 관한 것으로서, 보다 상세하게는 네트워크 상에서 허브를 통하여 교환되는 데이터 패킷의 암호화 및 필터링을 통하여 다른 컴퓨터 의 액세스를 제어 관리하는 보안 네트워크 시스템에 관한 것이다.The present invention relates to a computer network system, and more particularly, to a security network system for controlling and managing access of another computer through encryption and filtering of data packets exchanged through a hub on a network.

일반적인 네트워크 시스템에서, 각 컴퓨터 단말기 또는 서버는 네트워크 허브에 연결되고, 그 허브를 통하여 특정 컴퓨터 단말기 또는 서버와의 데이터 통신을 수행한다. 그러나 통상의 시스템에서는, 네트워크 허브에 연결된 또 다른 컴퓨터 단말기에 의하여 통신 당사자간에 전송 교환되는 데이터 패킷을 모니터링하는 것이 가능하여, 정당치 못한 목적을 가진 자에 의해 패스워드를 포함한 중요 정보가 유출되는 문제가 발생되었다. 그리하여, 이것을 막기 위한 여러가지 방법들이 대두되어왔다.In a typical network system, each computer terminal or server is connected to a network hub and performs data communication with a specific computer terminal or server through the hub. However, in a typical system, it is possible to monitor data packets transmitted and exchanged between communication parties by another computer terminal connected to a network hub, so that sensitive information including a password may be leaked by an unauthorized person. Occurred. Thus, various ways to prevent this have emerged.

암호화를 통한 액세스 제어 기술의 한 방법으로, 특정 데이터를 암호화하기 위한 모듈을 서버에서 실행하고 컴퓨터 단말기에서는 특정 데이터에 대해 암호화한 다음 서버의 모듈과 암호화 통신을 수행하는 방법을 이용하여, 다른 사용자가 데이터를 가져가도 쓸 수 없도록 한다. 하지만 이러한 방법은 서비스마다 별도의 모듈을 설치해야 하며 해당 서비스를 제외한 접속에 대해서는 보호를 받을 수 없다. 이 기술의 또 다른 방법으로, 특정 서비스 영역과 VPN 이라는 기술을 이용하여 네트워크 데이터를 모두 암호화하는 방법이 있다. 이 방법은 매우 유용한 방법이지만, 모든 사용자가 특정 암복호화를 수행하는 서버로 접근하기 때문에 서버의 성능 또는 패킷의 양에 따라 서비스의 질이 달라질 수 있는 단점이 있을 수 있다.As a method of access control technology using encryption, another user can execute a module for encrypting specific data on a server, and a computer terminal encrypts specific data and then performs encrypted communication with the module of the server. Don't write data when you take it. However, this method requires the installation of a separate module for each service and no protection for access except those services. Another method of this technique is to encrypt all network data using a specific service area and a technology called VPN. This method is very useful, but there is a disadvantage that the quality of service may vary depending on the performance of the server or the amount of packets since all users access the server that performs a specific encryption / decryption.

필터링을 통한 액세스 제어 기술로서, 방화벽이 있으며 현재 대부분의 네트워크에서는 보안을 위해 이러한 장비를 사용하고 있다. 하지만 이 방화벽도 대부분 특정 서버 한 대를 통해 모든 사용자의 접속을 관리하기 때문에 역시 서버의 성능 및 패킷의 양 에 따라 서비스의 질이 달라질 수 있다.As an access control technology through filtering, there is a firewall and most networks now use such equipment for security. However, since most of these firewalls manage all users' access through a specific server, the quality of service may also vary depending on the server's performance and packet volume.

한편, 패킷에 대한 패턴 매칭 등을 조사하여 네트워크의 침입 여부를 확인하고 대처할 수 있는 침입탐지기술과, 웹페이지 코드 또는 파일의 코드에 대해 스캔 등을 통해 부적절한 목적을 가진 코드가 수행되는 것을 방지하는 기술인 바이러스 백신 기술이 있다. 전자의 기술은 1980년 미국에서 침입을 정보 접근, 정보 조작, 시스템 무기력화 등에 대한 고의적이면서도 불법적인 시도의 잠재 가능성으로 정의하고, 시스템 또는 전산망 침입 탐지 연구 필요성 인식하면서 개발되었으며, 침입자에 의한 불법적인 사용을 탐지 또는 합법적인 사용자의 요용이나 남용을 탐지하는 것을 주 목적으로 한다. 후자의 기술은 보통 이러한 안티바이러스 기술에 의한 프로그램은 사용자 단말 등에 설치되어 사용자 프로그램의 감염 여부, 또는 인터넷을 통해 다운로드 받거나 다른 사용자 단말로부터 전송 받아 저장된 파일에 대한 감염 여부를 검사한 다음, 삭제 또는 치료를 수행하도록 되어 있다.On the other hand, intrusion detection technology that can check and match the intrusion of the network by examining the pattern matching on the packet, and to prevent the execution of code with an inappropriate purpose by scanning the code of the web page code or file, etc. Technology is an antivirus technology. The former technology was developed in 1980 in the United States, defining intrusion as the potential for deliberate and illegal attempts at information access, information manipulation, and system neutralization, and recognizing the need for research into system or computer network intrusion detection. Its primary purpose is to detect the use or misuse or abuse of legitimate users. In the latter technique, such anti-virus technology is usually installed in a user terminal and the like, and the user program is infected, or the file is downloaded from the Internet or transmitted from another user terminal. It is supposed to perform

본 발명은 암호화 및 필터링 기술을 적용한 것으로, The present invention applies encryption and filtering technology,

사용자 컴퓨터 단말과 보안 네트워크 허브 사이의 데이터를 암복호하여 처리하도록 하여 같은 네트워크 허브에 연결된 다른 사용자라 할지라도 전달되어지는 패킷에 대해 알 수 없도록 하며; 관리자 컴퓨터에 의해 다운로드된 액세스 규칙에 따라 패킷의 전달을 수행하거나 또는 패킷을 버리도록 하거나 또는 해당 컴퓨터 단말의 연결을 해제하도록 하며; 패킷들은 설정에 따라 관리자 컴퓨터에 의해 모니터링이 가능하도록 하여 필요시 컴퓨터 단말의 연결을 해제시킬 수 있도록 하는 보안 네트워크 시스템을 제공하는 것을 목적으로 한다.
Encrypting and processing data between the user computer terminal and the secure network hub so that other users connected to the same network hub are not aware of the transmitted packet; To forward the packet or drop the packet or disconnect the computer terminal according to an access rule downloaded by the administrator computer; It is an object of the present invention to provide a secure network system in which packets can be monitored by an administrator computer according to a setting so that the computer terminal can be disconnected when necessary.

본 발명에 따른 보안 네트워크 시스템은: The security network system according to the present invention is:

사용자 컴퓨터 단말과, 상기 사용자 컴퓨터 단말에 설치되어 보안 네트워크 허브와 암복호 통신을 수행하는 사용자 컴퓨터 단말용 암복호 수행 모듈을 포함하는 사용자 컴퓨터와; 상기 사용자 컴퓨터 단말용 암복호 모듈과의 연결을 통해 암복호를 수행하며, 보안 네트워크 허브의 관리자 컴퓨터로부터 다운로드된 필터를 통해 액세스를 관리하는 보안 네트워크 허브와; 상기 보안 네트워크 허브와 연결되어 설정에 따른 패킷을 모니터링하며, 필터를 설정하여 상기 보안 네트워크 허브에 다운로드 시키는 보안 네트워크 허브의 관리자 컴퓨터로 이루어 진다.A user computer comprising a user computer terminal and an encryption / decoding module for the user computer terminal installed in the user computer terminal to perform encryption and decryption communication with a secure network hub; A secure network hub performing decryption through connection with the encryption / decryption module for the user computer terminal and managing access through a filter downloaded from an administrator computer of the secure network hub; It is connected to the secure network hub and monitors packets according to the setting, and sets the filter to the administrator computer of the secure network hub to download to the secure network hub.

본 발명에 적용된 암호화 및 필터링 기술에 의하여, 보다 안전한 네트워크 시스템을 구축할 수 있으며, 효과적인 시스템 관리가 이루어 질 수 있다. 이하에서, 바람직한 실시예를 나타낸 도면을 참조하여 본 발명에 따른 보안 네트워크 시스템을 상세히 설명한다. By the encryption and filtering technology applied to the present invention, a more secure network system can be constructed and effective system management can be achieved. Hereinafter, a security network system according to the present invention will be described in detail with reference to the drawings showing preferred embodiments.

도 1은 본 발명에 따른 보안 네트워크 허브 시스템의 구성도이다. 도시된 바와 같이, 본 발명에 따른 보안 네트워크 시스템은 보안 네트워크 허브(20)와, 보안 네트워크 허브(20)에 연결되는 복수의 사용자 컴퓨터(10)와, 보안 네트워크 허브(20)에 연결되 는 관리자 컴퓨터(30)로 구성된다. 상기 사용자 컴퓨터(10)는 통상의 컴퓨터 단말(11)과, 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)을 포함하며, 상기 모듈(12)은 소프트웨어이거나 또는 하드웨어일 수 있다. 상기 사용자 컴퓨터 단말(11)은 사용자 컴퓨터 단말용 암복호 수행 모듈(12)을 통해 보안 네트워크 허브(20)와 암복호화 통신을 수행한다.1 is a block diagram of a secure network hub system according to the present invention. As shown, the secure network system according to the present invention includes a secure network hub 20, a plurality of user computers 10 connected to the secure network hub 20, and an administrator connected to the secure network hub 20. It consists of a computer 30. The user computer 10 includes a conventional computer terminal 11 and an encryption / decoding module 12 for the user computer terminal 11, which may be software or hardware. The user computer terminal 11 performs encryption / decryption communication with the secure network hub 20 through the encryption / decryption execution module 12 for the user computer terminal.

보안 네트워크 허브(20)에는 다른 네트워크로의 연결을 위한 통신수단(40)이 연결되며, 상기 통신수단(40)은 상기한 보안 네트워크 허브(20) 또는 일반 네트워크 허브 또는 라우터이다. 통신수단(40)이 본 발명에서의 보안 네트워크 허브(20)일 경우, 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)과 보안 네트워크 허브(20)와의 통신처럼 보안 네트워크를 구성하며, 일반 네트워크 허브 또는 라우터일 경우 이미 알려진 일반 네트워크 허브와 같은 방법을 사용하여 송수신을 수행한다. The communication means 40 is connected to the secure network hub 20 for connection to another network, and the communication means 40 is the secure network hub 20 or a general network hub or a router. When the communication means 40 is the secure network hub 20 according to the present invention, the communication network 40 constitutes a secure network as the communication between the encryption / decryption performing module 12 for the user computer terminal 11 and the secure network hub 20, and general In the case of a network hub or router, transmission and reception are performed using the same method as a known general network hub.

보안 네트워크 허브(20)는 송수신 데이터 이력 관리 또는 데이터 감시를 위해 패킷의 일부 또는 전부를 보안 네트워크 허브(20)의 관리자 컴퓨터(30)로 보내며, 데이터를 받은 관리자 컴퓨터(30)는 해당 내용을 저장 또는 화면에 나타내며, 필요시 기 설정된 관리 방법에 따라 보안 네트워크 허브(20)의 필터를 통해 코드 스캔 또는 패턴 매칭 및 기타 알려진 방법으로 패킷을 폐기하거나 또는 전송 중단을 할 수 있다. 또한 컴퓨터 단말 또는 특정 목적지로의 연결 등을 고립화 또는 중지할 수 있다.The secure network hub 20 sends some or all of the packets to the manager computer 30 of the secure network hub 20 for data transmission and reception or data monitoring, and the manager computer 30 receiving the data stores the contents. Alternatively, the packet may be discarded or the transmission may be interrupted by a code scan or pattern matching and other known methods through a filter of the security network hub 20 according to a management method that is set on the screen if necessary. It is also possible to isolate or suspend connection to a computer terminal or a specific destination.

데이터 암복화를 위해 사용자 컴퓨터(10)의 암복호 수행 모듈(12)과 보안 네트워크 허브(20)는 동작 전에 이미 설정된 고정키를 이용하여 대칭키 방법에 의해 데이터를 암복호할 수 있다. 한편으로는, 임시로 생성한 대칭키 값 자체 또는 키 값 생성을 위한 씨드(SEED) 값을 교환하거나, 또는 동일한 값 생성을 위한 키 교환을 수행할 수 있다. 또한 송수신하는 패킷을 암복호화 하는 대칭키는 동일한 값 또는 기본 씨드 값을 바탕으로 주기적으로 변환되어지는 값을 사용한다.For decryption of data, the encryption / decryption execution module 12 of the user computer 10 and the secure network hub 20 may decrypt data by a symmetric key method using a fixed key already set before operation. On the other hand, the temporarily generated symmetric key value itself or a seed (SEED) value for generating a key value may be exchanged, or a key exchange for generating the same value may be performed. In addition, the symmetric key that encrypts and receives the packets transmitted and received uses a value that is periodically converted based on the same value or the default seed value.

이하에서, 본 발명에 의한 보안 네트워크 시스템의 운용 동작을 보다 구체적으로 설명한다. 도 2는 보안 네트워크 시스템의 동작 전에 설정된 키를 이용하는 것에 대한 것이다.Hereinafter, the operation of the security network system according to the present invention will be described in more detail. 2 relates to using a key set prior to operation of a secure network system.

단계 S101에서, 보안 네트워크 허브(20)와 사용자 컴퓨터 단말(11)은 이미 대칭키 또느 대칭키를 생성하기 위한 씨드 값을 공유한 상태이다. 이 때 보안 네트워크 허브(20)의 관리자 컴퓨터(30)를 이용하여 사용자 컴퓨터 단말(11) 네트워크 카드의 맥 어드레스를 키 값으로 보안 네트워크 허브(20)에서 각 사용자 컴퓨터 단말(11)을 구별하게 된다.In step S101, the secure network hub 20 and the user computer terminal 11 have already shared a seed value for generating a symmetric key or a symmetric key. At this time, the user computer terminal 11 is distinguished from the secure network hub 20 using the MAC address of the network card of the user computer terminal 11 using the manager computer 30 of the secure network hub 20 as a key value. .

단계 S102에서, 사용자 컴퓨터 단말(11)에서 전송되는 패킷은 상기 설정된 대칭키 또는 씨앗 값을 통해 생성된 대칭키를 이용하여 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)이 패킷을 암호화한다.In step S102, the packet transmitted from the user computer terminal 11 encrypts the packet by the encryption / decryption performing module 12 for the user computer terminal 11 using the symmetric key generated through the set symmetric key or seed value. .

단계 S103에서는, 위 S102단계에서 암호화한 패킷을 보안 네트워크 허브(20)로 전송을 수행한다.In step S103, the packet encrypted in step S102 is transmitted to the secure network hub 20.

단계 S104에서, 암호화된 패킷을 전송 받은 보안 네트워크 허브(20)는 연결된 컴퓨터 단말(11)의 맥 어드레스에 해당하는 대칭키 또는 씨드 값을 찾은 후 해당 값을 이용하여 패킷을 복호화한다.In step S104, the secure network hub 20 receiving the encrypted packet finds a symmetric key or seed value corresponding to the MAC address of the connected computer terminal 11 and decrypts the packet using the value.

단계 S105에서, 보안 네트워크 허브(20)의 관리자 컴퓨터(30)를 통해 다운로드된 필터들을 이용하여 액세스가 가능한 패킷인지를 확인한다.In step S105, it is checked whether the packet is accessible using the filters downloaded through the manager computer 30 of the secure network hub 20.

단계 S106에서, 상기 S105에서 확인한 결과에 따라 목적지로 데이터를 보내거나 패킷을 버린다. 또한 사전에 설정된 세팅에 따라 보안 네트워크 허브(20)의 관리자 컴퓨터(30)에 결과에 대한 정보 및 패킷의 전부 또는 패킷의 일부를 보낸다. In step S106, data is sent to the destination or discarded according to the result confirmed in step S105. It also sends all or part of the packet and information about the result to the manager computer 30 of the secure network hub 20 in accordance with preset settings.

한편 요청에 대한 응답은 위 단계의 역순으로 수행되어 보안 네트워크 허브(20)는 패킷에 대해 필터를 통해 액세스 가능 여부를 확인한 후, 정당할 경우 대칭키를 이용하여 암호화한 후 사용자 컴퓨터 단말(11)에 보내고, 사용자 컴퓨터 단말(11)은 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)을 통해 복호화한 다음 패킷을 사용한다.On the other hand, the response to the request is performed in the reverse order of the above steps, so that the security network hub 20 checks whether the packet is accessible through a filter, and if justified, encrypts using a symmetric key, and then the user computer terminal 11 And the user computer terminal 11 decodes the decryption performing module 12 for the user computer terminal 11 and then uses the packet.

도 3은 보안 네트워크 시스템의 동작과 함께 생성된 키를 교환하여 이용하는 것에 대한 것이다.3 is for exchanging and using keys generated with the operation of a secure network system.

단계 S201에서, 사용자 컴퓨터 단말(11)의 암복호 모듈(12)에서 임의의 대칭키 또는 사용할 대칭키를 만들기 위한 씨드 값을 생성한다.In step S201, the encryption / decryption module 12 of the user computer terminal 11 generates a seed value for generating any symmetric key or symmetric key to be used.

단계 S202에서, 사용자 컴퓨터 단말(11)의 암복호 수행 모듈(12)과 보안 네트워크 허브(20)는 키교환 알고리즘에 의해 상기 S201에서 생성된 임의의 대칭키 또는 사용할 대칭키를 만들기 위한 씨드 값을 교환한다. In step S202, the encryption / decryption execution module 12 and the security network hub 20 of the user computer terminal 11 input seed values for generating any symmetric key generated in S201 or a symmetric key to be used by a key exchange algorithm. Replace it.

단계 S203에서, 사용자 컴퓨터 단말(11)과 보안 네트워크 허브(20)는 대칭키 자체 또는 대칭키를 생성할 수 있는 씨드 값을 이미 가지고 있는 상태가 된다.In step S203, the user computer terminal 11 and the secure network hub 20 are in a state of already having a seed value capable of generating a symmetric key itself or a symmetric key.

단계 S204에서, 사용자 컴퓨터 단말(11)에서 전송되는 패킷은 상기 설정된 대칭키 또는 씨앗 값을 통해 생성된 대칭키를 이용하여 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)이 패킷을 암호화한다.In step S204, the packet transmitted from the user computer terminal 11 encrypts the packet by the decryption performing module 12 for the user computer terminal 11 using the symmetric key generated through the set symmetric key or seed value. .

단계 S205에서는, 위 S204단계에서 암호화한 패킷을 보안 네트워크 허브(20)로 전송을 수행한다.In step S205, the packet encrypted in step S204 is transmitted to the secure network hub 20.

단계 S206에서, 암호화된 패킷을 전송 받은 보안 네트워크 허브(20)는 상기 S203에서 이미 보유한 대칭키 또는 씨드 값을 이용하여 패킷을 복호화한다.In step S206, the secure network hub 20 receiving the encrypted packet decrypts the packet using the symmetric key or seed value already held in step S203.

단계 S207에서, 보안 네트워크 허브(20)의 관리자 컴퓨터(30)를 통해 다운로드된 필터들을 이용하여 액세스가 가능한 패킷인지를 확인한다.In step S207, it is checked whether the packet is accessible using the filters downloaded through the manager computer 30 of the secure network hub 20.

단계 S208에서, 상기 S207에서 확인한 결과에 따라 목적지로 데이터를 보내거나 패킷을 버린다. 또한 사전에 설정된 세팅에 따라 보안 네트워크 허브(20)의 관리자 컴퓨터(30)에 결과에 대한 정보 및 패킷의 전부 또는 패킷의 일부를 보낸다. In step S208, data is sent to the destination or the packet is discarded according to the result confirmed in step S207. It also sends all or part of the packet and information about the result to the manager computer 30 of the secure network hub 20 in accordance with preset settings.

한편 요청에 대한 응답은 위 단계의 역순으로 수행되어 보안 네트워크 허브(20)는 패킷에 대해 필터를 통해 액세스 가능 여부를 확인한 후, 정당할 경우 대칭키를 이용하여 암호화한 후 사용자 컴퓨터 단말(11)에 보내고, 사용자 컴퓨터 단말(11)은 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)을 통해 복호화한 다음 패킷을 사용한다.On the other hand, the response to the request is performed in the reverse order of the above steps, so that the security network hub 20 checks whether the packet is accessible through a filter, and if justified, encrypts using a symmetric key, and then the user computer terminal 11 And the user computer terminal 11 decodes the decryption performing module 12 for the user computer terminal 11 and then uses the packet.

상술한 도 2, 3의 방법으로 사용자 컴퓨터 단말과 보안 네트워크 허브 사이의 패 킷 데이터에 대한 암복호를 수행하여 같은 네트워크에 연결된 다른 사용자가 정당하지 못한 방법으로 사용자의 정보를 가져가거나 볼 수 없도록 한다.2 and 3, encryption and decryption of packet data between the user computer terminal and the secure network hub is performed so that other users connected to the same network cannot take or view the user's information in an illegal manner. .

본 발명은 보안 네트워크 허브(20)를 통해 교환되는 내부 사용자 데이터를 같은 네트워크에 연결된 다른 사용자가 보거나 이용할 수 없도록 함으로써 안전한 네트워크를 구축할 수 있으며, 필터들을 통하여 효과적인 네트워크 관리가 이루어 질 수 있는 효과가 있다.The present invention can establish a secure network by preventing internal users data exchanged through the secure network hub 20 from being viewed or used by other users connected to the same network, and effective network management can be achieved through filters. have.

또한, 전송되는 패킷을 네트워크 관리자 컴퓨터(30)에서 확인하여 관리할 추가적인 사항에 대해 필터들을 변경하여 보안 네트워크 허브에 다운로드할 수 있도록 함으로써 네트워크에 대한 보안을 더욱 강화할 수 있는 효과가 있다.
In addition, it is possible to further enhance the security of the network by changing the filters for additional matters to be checked and managed by the network manager computer 30 to be downloaded to the secure network hub.

Claims (11)

복수의 사용자 컴퓨터와 관리자 컴퓨터가 네트워크 허브에 연결되어 데이터의 송수신을 할 수 있도록 된 네트워크 시스템에 있어서, In a network system in which a plurality of user computers and administrator computers are connected to a network hub to transmit and receive data, 사용자 컴퓨터 단말(11)과, 상기 사용자 컴퓨터 단말(11)에 설치되어 보안 네트워크 허브(20)와 암복호 통신을 수행하는 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)을 포함하는 사용자 컴퓨터(10)와;A user computer including a user computer terminal 11 and an encryption / decryption module 12 for the user computer terminal 11 installed in the user computer terminal 11 to perform encryption and decryption communication with the secure network hub 20. 10; 상기 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)과의 연결을 통해 암복호를 수행하며, 보안 네트워크 허브(20)의 관리자 컴퓨터(30)로부터 다운로드된 필터를 통해 액세스를 관리하는 보안 네트워크 허브(20)와;Secure network that performs encryption and decryption through connection with the encryption / decryption execution module 12 for the user computer terminal 11 and manages access through a filter downloaded from the administrator computer 30 of the secure network hub 20. Hub 20; 상기 보안 네트워크 허브(20)와 연결되어 설정에 따른 패킷을 모니터링하며, 필터를 설정하여 상기 보안 네트워크 허브(20)에 다운로드시키는 보안 네트워크 허브(20)의 관리자 컴퓨터(30)로 이루어지며;A manager computer (30) of the secure network hub (20) connected to the secure network hub (20) to monitor packets according to settings, and to set filters and download them to the secure network hub (20); 상기 보안 네트워크 허브(20)는 송수신 데이터의 이력관리 또는 감시를 위해 패킷의 일부 또는 전부를 상기 관리자 컴퓨터(30)로 전송하는 동시에, 엑세스 관리에 따른 결과를 관리자 컴퓨터(30)로 전송하는 것을 특징으로 하는 보안 네트워크 시스템.The secure network hub 20 transmits a part or all of the packets to the manager computer 30 for the history management or monitoring of transmission / reception data, and simultaneously transmits the result of the access management to the manager computer 30. Security network system. 제 1 항에 있어서,The method of claim 1, 상기 보안 네트워크 허브(20)에는 다른 네트워크 연결을 위한 보안 네트워크 허브(20), 일반 네트워크 허브 또는 라우터 중에서 선택되는 통신수단(40)이 연결되는 것을 특징으로 하는 보안 네트워크 시스템.The secure network hub 20 is a secure network hub, characterized in that the communication means 40 is selected from among a secure network hub 20, a general network hub or a router for connecting to another network. 제 1 항에 있어서, The method of claim 1, 상기 보안 네트워크 허브(20)에서, 암복호가 수행된 이후 또는 이전의 평문 데이터에 대해 필터를 통해 코드 스캔 또는 패턴 매칭 및 기타 알려진 방법들을 이용하여 패킷을 버리거나, 연결을 해지하는 것을 특징으로 하는 보안 네트워크 시스템.In the secure network hub 20, a packet is discarded or a connection is disconnected by using a code scan or a pattern matching and other known methods through a filter on the plain text data after or before the decryption is performed. Network system. 제 1 항에 있어서, The method of claim 1, 상기 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)과 보안 네트워크 허브(20)는 대칭키 또는 대칭키를 생성할 수 있는 씨드 값을, 사용자 단말(11)에서의 설정 및 보안 네트워크 허브(20)의 관리자 컴퓨터(30)에 의해 보안 네트워크 허브(20)에 사용자 단말 네트워크 디바이스의 맥 어드레스 설정하는 방법으로 설정하며, 설정된 값에 따른 대칭키를 통해 패킷을 암복호화 할 수 있는 것을 특징으로 하는 보안 네트워크 시스템.The encryption / decryption execution module 12 for the user computer terminal 11 and the secure network hub 20 may set seed values for generating a symmetric key or a symmetric key, and the secure network hub ( The MAC address of the user terminal network device is set in the secure network hub 20 by the administrator computer 30 of 20), and the packet can be decrypted through a symmetric key according to the set value. Secure network system. 제 1 항에 있어서, The method of claim 1, 상기 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)과 보안 네트워크 허브(20)는 임의의 대칭키 또는 대칭키를 생성할 수 있는 씨드 값을 생성하여 상호 비대칭키 방식을 이용한 키 교환을 통해 교환한 후, 패킷을 암복호화하는 것을 특징으로 하는 보안 네트워크 시스템.The encryption / decryption execution module 12 and the security network hub 20 for the user computer terminal 11 generate a seed value capable of generating an arbitrary symmetric key or a symmetric key and exchange the key using a mutually asymmetric key method. And encrypting the packet after the exchange. 제 3 항 또는 제 4 항에 있어서, The method according to claim 3 or 4, 상기 패킷을 암호화하는데 사용하는 대칭키는 사전에 설정된 방법에 따라 고정하거나 암호 및 복호의 수행에 따라 변화하는 것을 특징으로 하는 보안 네트워크 시스 템.And a symmetric key used for encrypting the packet is fixed according to a preset method or changed according to encryption and decryption. 삭제delete 제 1 항에 있어서, The method of claim 1, 상기 사용자 컴퓨터 단말(10)의 연결을 필터에 따라 관리하는 보안 네트워크 허브(20)의 액세스 관리는 상기 패킷을 암복호하여 발송하는 것; 상기 패킷을 버리는 것; 상기 패킷과 관련된 연결을 종료하는 것; 상기 패킷과 관련된 컴퓨터 단말의 접속을 보안 네트워크 허브(20)의 관리자 컴퓨터(30)의 허용이 있을 때까지 중지시키는 것 중에서 선택적으로 이루어 지는 것을 특징으로 하는 보안 네트워크 시스템.Access management of the secure network hub 20 which manages the connection of the user computer terminal 10 according to a filter includes decrypting and sending the packet; Discarding the packet; Terminating the connection associated with the packet; And suspending connection of the computer terminal associated with the packet until the administrator computer (30) of the secure network hub (20) is allowed. 제 1 항에 있어서, The method of claim 1, 상기 보안 네트워크 허브(20)의 관리자 컴퓨터(30)는 전송된 패킷을 설정에 따라 저장 및 화면에 출력하는 것을 특징으로 하는 보안 네트워크 시스템.The manager computer (30) of the secure network hub (20) stores the transmitted packet according to the setting and outputs the security network system. 삭제delete 제 1 항에 있어서, The method of claim 1, 상기 사용자 컴퓨터 단말(11)용 암복호 수행 모듈(12)와 보안 네트워크 허브(20)는 보안 네트워크 허브(20)의 관리자 컴퓨터(30)의 설정에 따라 암복호 또는 평문 형태로 패킷을 주고 받을 수 있는 것을 특징으로 하는 보안 네트워크 시스템.The encryption / decryption execution module 12 for the user computer terminal 11 and the secure network hub 20 may exchange packets in the form of decryption or plain text according to the setting of the administrator computer 30 of the secure network hub 20. Secure network system, characterized in that.
KR1020040060310A 2004-07-30 2004-07-30 Security network system KR100663757B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040060310A KR100663757B1 (en) 2004-07-30 2004-07-30 Security network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040060310A KR100663757B1 (en) 2004-07-30 2004-07-30 Security network system

Publications (2)

Publication Number Publication Date
KR20040079870A KR20040079870A (en) 2004-09-16
KR100663757B1 true KR100663757B1 (en) 2007-01-02

Family

ID=37364736

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040060310A KR100663757B1 (en) 2004-07-30 2004-07-30 Security network system

Country Status (1)

Country Link
KR (1) KR100663757B1 (en)

Also Published As

Publication number Publication date
KR20040079870A (en) 2004-09-16

Similar Documents

Publication Publication Date Title
US11201883B2 (en) System, method, and apparatus for data loss prevention
US9866528B2 (en) System and method for interlocking a host and a gateway
AU2003222180B2 (en) System and method for detecting an infective element in a network environment
Iqbal et al. Security issues in software defined networking (SDN): risks, challenges and potential solutions
KR101134217B1 (en) Security policy encycripting method and Intrusion Prevention System for implementing the method
EP1502171B1 (en) Method and arrangement for automatically controlling access between a computer and a communication network
Khan et al. NETWORK THREATS, ATTACKS AND SECURITY MEASURES: A REVIEW.
Khan Securing network infrastructure with cyber security
KR20040065674A (en) Host-based security system and method
KR20060101800A (en) Communication service system and method for managing security of a service server and communication equipment
KR100663757B1 (en) Security network system
KR20190083498A (en) packet filtering system for preventing DDoS attack
Darwish et al. Privacy and security of cloud computing: a comprehensive review of techniques and challenges
Ahmed et al. Architecture based on tor network for securing the communication of northbound interface in sdn
Farooq Network Security Challenges
JP2016021621A (en) Communication system and communication method
Ganapathy Virtual Dispersive Network in the Prevention of Third Party Interception: A Way of Dealing with Cyber Threat
Kotzanikolaou et al. Computer network security: Basic background and current issues
Sarvepalli Designing Network Security Labs
Tian et al. Network Security and Privacy Architecture
KR100507761B1 (en) System and method for harmful traffic detection and response
Qureshi Analysis of Network Security Through VAPT and Network Monitoring
Lee et al. A security scheme for protecting security policies in firewall
Panda et al. Spectrum of Effective Security Trust Architecture to Manage the Interception of Packet Transmission in Value Added Networks
WO2019186526A1 (en) Connectivity-based port scrambling

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121224

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141215

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160810

Year of fee payment: 10

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20170314

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180117

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190320

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20191226

Year of fee payment: 14