KR101067686B1 - System and method for network security policy management based on web services security - Google Patents

System and method for network security policy management based on web services security Download PDF

Info

Publication number
KR101067686B1
KR101067686B1 KR1020100025978A KR20100025978A KR101067686B1 KR 101067686 B1 KR101067686 B1 KR 101067686B1 KR 1020100025978 A KR1020100025978 A KR 1020100025978A KR 20100025978 A KR20100025978 A KR 20100025978A KR 101067686 B1 KR101067686 B1 KR 101067686B1
Authority
KR
South Korea
Prior art keywords
security policy
network
information
security
agent
Prior art date
Application number
KR1020100025978A
Other languages
Korean (ko)
Inventor
최훈일
정창훈
Original Assignee
주식회사 에스티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스티 filed Critical 주식회사 에스티
Priority to KR1020100025978A priority Critical patent/KR101067686B1/en
Application granted granted Critical
Publication of KR101067686B1 publication Critical patent/KR101067686B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 네트워크 환경에서 네트워크 노드들의 서비스 이용과 리소스 사용 등의 네트워크 운용을 안전하고 효율적으로 운용할 수 있도록 하는 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법에 관한 것이다.
본 발명에 따른 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템은 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책을 관리하는 보안정책 관리 시스템에 있어서, 상기 네트워크 노드(1)의 서비스(2) 이용에 따른 네트워크 보안정책 정보를 데이터베이스(11)에 등록하고 관리하며, 상기 데이터베이스(11)에 등록된 보안정책 정보를 적용하여 네트워크 보안을 수행하는 보안정책 서버(10)와; 상기 네트워크 노드(1)에 설치되어, 상기 보안정책 서버(10)로부터 네트워크 보안정책 정보를 제공받아 상기 네트워크 노드(1)의 보안정책을 관리하고 적용하는 보안정책 에이전트(20);를 포함하여 이루어져, 네트워크에 위협상황이 발생할 경우 위협상황별 차별화된 보안정책을 적용하여 위협상황에 따른 네트워크의 피해를 최소화하며, 보안정책의 변경 및 적용이 실시간으로 가능하도록 하여 네트워크 보안 운용을 탄력적이고 능동적으로 이루어질 수 있도록 한다.The present invention relates to a network security policy management system and method based on web services security that can safely and efficiently manage network operations such as service use and resource use of network nodes in a network environment.
In the network security policy management system based on the web service security according to the present invention, a security policy management system for managing a network security policy for service use of a network node made through a network, the service (2) of the network node (1) A security policy server 10 which registers and manages network security policy information according to use in a database 11 and applies network security policy information registered in the database 11 to perform network security; A security policy agent 20 installed in the network node 1 to receive network security policy information from the security policy server 10 and to manage and apply a security policy of the network node 1; In the event of a threat situation in the network, the differentiated security policies for each threat situation are applied to minimize the damage of the network according to the threat situation, and the security policy can be changed and applied in real time to enable flexible and active network security operations. To help.

Description

웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법 {System and Method for Network Security Policy Management based on Web Services Security}System and Method for Network Security Policy Management based on Web Services Security

본 발명은 네트워크 환경에서 네트워크 노드들의 서비스 이용과 리소스 사용 등의 네트워크 운용을 안전하고 효율적으로 운용할 수 있도록 하는 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법에 관한 것이다. The present invention relates to a network security policy management system and method based on web services security that can safely and efficiently manage network operations such as service use and resource use of network nodes in a network environment.

특히, 본 발명은 네트워크 노드들의 서비스 이용과 리소스 사용 등의 네트워크 상에서의 활동을 보안정책을 기반으로 운용되도록 하여, 네트워크의 운영을 좀 더 효율적으로 운영 및 관리할 수 있도록 하며, 네트워크에 위협상황이 발생할 경우 위협상황별 보안정책을 따로 운영하여, 위협상황에 따른 네트워크의 피해를 최소화할 수 있도록 하는 네트워크 보안정책 관리 시스템 및 그 방법에 관한 것이다. 또한, 본 발명은 네트워크 환경의 보안정책을 설정하고 관리하는 보안정책 서버와, 네트워크 노드의 보안정책을 관리하는 보안정책 에이전트와, 이들 간의 안전한 통신을 위한 웹 서비스 보안을 활용하여 안전하고 효율적인 네트워크 운용이 이루어질 수 있도록 하는 네트워크 보안정책 관리 시스템 및 그 방법에 관한 것이다.
In particular, the present invention allows the network nodes to operate on the network such as service use and resource use based on the security policy, so that the operation of the network can be more efficiently operated and managed, and the threat situation in the network is increased. It is a network security policy management system and method for minimizing the damage of a network caused by a threat situation by separately operating a security policy for each threat situation. In addition, the present invention provides a secure and efficient network operation utilizing a security policy server for setting and managing a security policy of a network environment, a security policy agent for managing a security policy of a network node, and a web service security for secure communication between them. The present invention relates to a network security policy management system and a method for enabling the same.

도 1은 종래 일반적인 네트워크 환경에서의 네트워크 노드와 서비스의 네트워크 구성도를 나타낸 것이다.1 illustrates a network configuration diagram of a network node and a service in a conventional general network environment.

도 1에 도시된 바와 같이, 일반적으로 네트워크 환경에서 네트워크 노드(1)들은 서비스(2)들을 이용하고, 네트워크의 리소스를 사용하는 역할을 하게 된다. 상기 네트워크 환경으로 유비쿼터스 네트워크, 홈 네트워크, 센서 네트워크, Binary CDMA 네트워크 등이 있는데, 유비쿼터스 네트워크에서는 유비쿼터스 기기들, 홈 네트워크에서는 정보가전 기기들, 센서 네트워크에서는 각종 센서들, Binary CDMA 네트워크에서는 Binary CDMA 등이 네트워크 노드들이 된다.As shown in FIG. 1, in a network environment, network nodes 1 generally use services 2 and serve to use resources of a network. The network environment includes a ubiquitous network, a home network, a sensor network, and a binary CDMA network, such as ubiquitous devices in a ubiquitous network, information appliances in a home network, various sensors in a sensor network, and binary CDMA in a binary CDMA network. Become network nodes.

일반적으로 상기의 네트워크 환경에서 네트워크 노드(1)들은 인증 절차를 통해 인증을 받고나면, 미리 정의된 권한 범위에서 서비스(2)의 이용과 리소스의 사용이 가능하게 된다. 또한, 네트워크 스캔이나 스니핑, 스푸핑 등의 해킹을 통해 노드들의 인증 정보를 취득하여 네트워크의 불법 접근을 통해서도 미리 정의된 권한 범위의 서비스 이용과 리소스 사용이 가능하게 된다. 즉, 불법적으로 인증을 받게 되더라도 불법 접근은 인지하고 특별한 제약 조치가 발생할 때까지는 미리 정의된 권한만큼 네트워크 상에서의 활동에 전혀 제약을 받지 않게 된다.In general, in the above network environment, once the network nodes 1 have been authenticated through the authentication procedure, the use of the service 2 and the use of resources are possible in a predefined privilege range. In addition, by acquiring the authentication information of the nodes through hacking such as network scanning, sniffing, and spoofing, it is possible to use services and use resources in a predefined range of privileges even through illegal access of the network. In other words, even if illegally authenticated, illegal access is recognized and not restricted to activities on the network as much as a predetermined authority until special restriction measures occur.

이로 인해, 불법 접근에 대한 제약 조치가 발생할 때까지 네트워크 환경에서의 불법 행위는 차단이 되지 않아 네트워크 전체에 대한 불법 접근까지도 가능하게 되어 정상적인 네트워크의 사용이 불가능한 경우까지도 발생하게 된다.As a result, illegal actions in the network environment are not blocked until the restriction on the illegal access occurs, thus allowing illegal access to the entire network, even when normal use of the network is impossible.

즉, 종래의 네트워크 환경하에서의 네트워크 운용에서는 인증과정을 거치면 미리 정의된 권한만큼 서비스 이용과 리소스 사용에 대해서는 필요에 의한 동적인 조치를 취하기가 힘이 들며, 불법 접근에 대해서도 불법 접근을 인지하고 네트워크 접속 차단 등의 조치를 취할 때까지는 불법 행동을 차단하기가 힘든 문제점이 발생한다.
In other words, in the network operation under the conventional network environment, it is difficult to take dynamic measures as needed for service use and resource use as predefined authority through the authentication process, and recognize illegal access even for illegal access and access the network. Until action is taken, it is difficult to block illegal behavior.

본 발명은 상술한 종래의 네트워크 환경에서의 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 네트워크 노드들이 정상적인 인증 과정을 거쳐 서비스 이용과 리소스 사용 권한을 획득하여 사용 중이더라도, 보안정책 서버를 통해 필요시 동적으로 보안정책을 전송받아 권한 변경을 할 수 있도록 하여 보다 능동적이고 효율적인 네트워크 운용이 가능하도록 하는 네트워크 보안정책 관리 시스템 및 그 방법을 제공하는 데 있다.The present invention has been proposed to solve the above-mentioned problems in the conventional network environment, and an object of the present invention is to provide a security policy server even when network nodes acquire and use a service use and resource use right through a normal authentication process. The present invention provides a network security policy management system and method for enabling a more proactive and efficient network operation by receiving a security policy dynamically when necessary to change authority.

또한, 본 발명의 다른 목적은 네트워크 환경에서 해킹 등을 통한 불법 접근이 발생할 경우 위협상황별 보안정책을 전송받아 서비스 및 리소스 사용을 제한하거나 차단하여 위협상황에 대한 능동적인 대처가 가능하도록 하여 보다 안전하고 효율적인 네트워크 운용 및 관리가 이루어질 수 있도록 하는 네트워크 보안정책 관리 시스템 및 그 방법을 제공하는 데 있다.
In addition, another object of the present invention is to receive a security policy for each threat situation in the network environment to receive a security policy for each threat situation to limit or block the use of services and resources to enable active response to the threat situation more secure To provide a network security policy management system and a method for efficient and efficient network operation and management.

상기 목적을 달성하기 위한 본 발명에 따른 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템은 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책 관리 시스템에 있어서, 상기 네트워크 노드의 서비스 이용에 따른 네트워크 보안정책 정보를 데이터베이스에 등록하고 관리하며, 상기 데이터베이스에 등록된 보안정책 정보를 적용하여 네트워크 보안을 수행하는 보안정책 서버와; 상기 네트워크 노드에 설치되어, 상기 보안정책 서버로부터 네트워크 보안정책 정보를 제공받아 상기 네트워크 노드의 보안정책을 관리하고 적용하는 보안정책 에이전트;를 포함하여 이루어진다.In accordance with an aspect of the present invention, there is provided a network security policy management system based on a web service security in a network security policy management system for service use of a network node made through a network. A security policy server that registers and manages security policy information in a database and performs network security by applying security policy information registered in the database; And a security policy agent installed at the network node to receive network security policy information from the security policy server and to manage and apply the security policy of the network node.

상기 보안정책 서버는 보안정책 정보의 등록 및 변경이 이루어질 수 있도록 GUI 인터페이스를 제공하는 보안정책 관리 GUI와; 상기 보안정책 관리 GUI를 통하여 입력되는 보안정책 정보를 상기 데이터베이스에 등록하고 관리하는 보안정책 관리부와; 상기 보안정책 정보의 변경 또는 네트워크 위협상황 발생시나 보안정책 에이전트의 보안정책 정보 요청에 따라 상기 데이터베이스에 보안정책 정보를 질의하고, 상기 데이터베이스로부터 변경된 보안정책 정보를 제공받아 보안정책 에이전트에 전송할 변경된 보안정책 정보를 생성하는 보안정책 처리부와; 상기 네트워크망을 통하여 연결된 보안정책 에이전트와 통신을 수행하여 상기 보안정책 처리부를 통하여 생성되는 변경된 보안정책 정보를 보안정책 에이전트에 전송하는 에이전트 통신부와; 상기 에이전트 통신부를 통한 보안정책 에이전트와의 통신시 데이터 보안을 수행하는 웹 서비스 보안 처리부;를 포함하여 이루어진다.The security policy server comprises: a security policy management GUI providing a GUI interface to register and change security policy information; A security policy management unit for registering and managing security policy information input through the security policy management GUI in the database; When the security policy information is changed or a network threat situation occurs or a security policy agent requests security policy information, the security policy information is queried from the database, and the changed security policy is received from the database and transmitted to the security policy agent. A security policy processing unit for generating information; An agent communication unit configured to communicate with a security policy agent connected through the network, and transmit changed security policy information generated through the security policy processing unit to a security policy agent; And a web service security processing unit that performs data security when communicating with a security policy agent through the agent communication unit.

상기 에이전트 통신부에는 보안정책 에이전트와 통신을 수행하는 송수신부와, 상기 보안정책 정보가 변경되는 경우 보안정책 정보 변경 상태를 알리는 이벤트 정보를 발생시켜 상기 송수신부를 통하여 보안정책 에이전트에 전송하는 이벤트 발생기와, 네트워크의 위협상황 발생 시 위협상황 발생 정보를 발생시켜 이벤트 발생기에 전송하는 위협상황 수신기가 구비되는데, 상기 이벤트 발생기는 위협상황 수신기로부터 위협상황 발생 정보가 수신되면 위협상황 발생에 따른 이벤트 정보를 발생시켜 보안정책 에이전트에 전송하게 된다.The agent communication unit includes a transceiver for communicating with a security policy agent, an event generator for generating event information indicating a change state of security policy information when the security policy information is changed, and transmitting the event information to the security policy agent through the transceiver; A threat situation receiver is provided to generate threat situation occurrence information and transmit it to an event generator when a threat situation of a network occurs. The event generator generates event information according to a threat situation when threat occurrence occurrence information is received from a threat situation receiver. It is sent to the security policy agent.

또한, 상기 보안정책 에이전트는 보안정책 서버와 통신을 수행하는 서버 통신부와; 상기 서버 통신부를 통하여 보안정책 서버에 보안정책 정보를 요청하고 수신하여 수신된 보안정책 정보를 저장하고 관리하며, 최신 보안정책 정보로 유지 관리하는 보안정책 관리부와; 상기 네트워크 노드에 적용되는 보안정책을 상기 보안정책 관리부에 질의하여 제공받아 네트워크 노드의 보안정책에 적용하는 보안정책 운용부와; 상기 서버 통신부를 통한 보안정책 서버와의 통신시 데이터 보안을 수행하는 웹 서비스 보안 처리부;를 포함하여 이루어진다.In addition, the security policy agent includes a server communication unit for communicating with the security policy server; A security policy management unit for requesting and receiving security policy information from the security policy server through the server communication unit, storing and managing the received security policy information, and maintaining the latest security policy information; A security policy manager for querying the security policy manager for the security policy applied to the network node and applying the security policy to the security policy of the network node; And a web service security processing unit that performs data security when communicating with a security policy server through the server communication unit.

상기 서버 통신부에는 보안정책 서버에서 보안정책 변경 및 네트워크 위협상황에 따라 발생시키는 이벤트 정보를 감지하는 이벤트 리스너가 구비된다.
The server communication unit is provided with an event listener for detecting event information generated according to a security policy change and a network threat situation in the security policy server.

한편, 상기 목적을 달성하기 위한 본 발명에 따른 웹 서비스 보안 기반의 네트워크 보안정책 관리 방법은 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책 관리 방법에 있어서, 보안정책을 관리하는 보안정책 서버에서 보안정책 정보가 변경되는 경우, 보안 변경 상태를 알리는 이벤트 정보를 발생시켜 네트워크 노드에 설치된 보안정책 에이전트에 전송하는 단계와; 상기 보안정책 에이전트가 보안정책 서버에서 전송한 보안정책 변경 이벤트 정보를 수신하면, 변경된 보안정책 정보를 보안정책 서버에 요청하는 단계와; 상기 보안정책 서버가 보안정책 에이전트의 보안정책 요청을 수신하여 보안정책 정보가 등록된 데이터베이스에 보안정책 정보를 질의하고, 그 결과를 제공받아 보안정책 에이전트에 전송할 변경된 보안정책 정보를 생성하는 단계와; 상기 보안정책 서버가 생성된 보안정책 정보를 보안정책 에이전트에 전송하는 단계;를 포함하여 이루어진다.On the other hand, the network security policy management method based on the web service security according to the present invention for achieving the above object, in the network security policy management method for using the service of the network node made through a network, the security policy for managing the security policy When the security policy information is changed in the server, generating event information indicating a security change status and transmitting the event information to the security policy agent installed in the network node; When the security policy agent receives the security policy change event information transmitted from the security policy server, requesting the changed security policy information from the security policy server; Receiving, by the security policy server, a security policy request from a security policy agent, querying the security policy information in a database in which the security policy information is registered, and receiving the result to generate modified security policy information to be transmitted to the security policy agent; And transmitting, by the security policy server, the generated security policy information to a security policy agent.

또한, 상기 목적을 달성하기 위한 본 발명에 따른 웹 서비스 보안 기반의 네트워크 보안정책 방법은 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책 관리 방법에 있어서, 보안정책을 관리하는 보안정책 서버에서 네트워크 위협상황 발생시 위협상황을 인지하여 네트워크 위협상황 발생을 알리는 이벤트 정보를 발생시켜 네트워크 노드에 설치된 보안정책 에이전트에 전송하는 단계와; 상기 보안정책 에이전트가 보안정책 서버에서 전송한 위협상황 이벤트 정보를 수신하면, 위협상황별 보안정책 정보를 보안정책 서버에 요청하는 단계와; 상기 보안정책 서버가 보안정책 에이전트의 위협상황별 보안정책 정보 요청을 수신하여 보안정책 정보가 등록된 데이터베이스에 위협상황별 보안정책 정보를 질의하고, 그 결과를 제공받아 상기 보안정책 에이전트에 전송할 위협상황별 보안정책 정보를 생성하는 단계와; 상기 보안정책 서버가 생성된 위협상황별 보안정책 정보를 보안정책 에이전트에 전송하는 단계;를 포함하여 이루어질 수 있다.
In addition, the network security policy method based on the web service security according to the present invention for achieving the above object is a security policy server for managing a security policy in a network security policy management method for using a service of a network node made through a network; Recognizing the threat situation when the network threat situation occurs, generating event information indicating the occurrence of the network threat situation, and transmitting the event information to the security policy agent installed in the network node; When the security policy agent receives threat situation event information transmitted from a security policy server, requesting security policy information for each threat situation from the security policy server; The security policy server receives the security policy information request for each threat situation of the security policy agent, queries the security policy information for each threat situation in the database where the security policy information is registered, and receives the result to transmit the threat policy information to the security policy agent. Generating security policy information for each star; And transmitting, by the security policy server, the generated security policy information for each threat situation to a security policy agent.

본 발명에 따른 네트워크 보안정책 관리 시스템 및 그 방법은 네트워크 환경에서 네트워크 노드들의 서비스 이용과 리소스 사용 등의 네트워크 운용을 보안정책을 기반으로 운용하여, 네트워크의 운영 및 관리가 효율적으로 이루어질 수 있도록 하며, 네트워크에 위협상황이 발생할 경우 위협상황별 차별화된 보안정책을 적용하여 위협상황에 따른 네트워크 보안 운용을 차별화하여 네트워크의 피해를 최소화할 수 있으며, 보안정책의 변경 및 적용이 실시간 가능하도록 하여, 네트워크 보안 운용이 탄력적이고 능동적으로 이루어질 수 있도록 하는 효과가 있다.The network security policy management system and method thereof according to the present invention operate network operations such as service use and resource use of network nodes in a network environment based on a security policy, so that network operation and management can be efficiently performed. In the event of a threat situation in the network, differentiated network security operations according to the threat situation can be applied by applying differentiated security policies for each threat situation, and the network security can be changed and applied in real time. It has the effect of making the operation flexible and active.

또한, 본 발명에 따른 네트워크 보안정책 관리 시스템 및 그 방법은 보안정책 및 전송 프로토콜로 XML 기반을 적용하여 표현하기 때문에 이식성이 뛰어나며, 보안정책 서버와 보안정책 에이전트 간의 메시지 전송 과정에는 웹 서비스 보안 프레임워크 기술을 이용하여 메시지 전송 보안을 수행함으로써 이기종간의 호환성과 확장성을 보장하며, 다양한 네트워크 환경에 적용할 수 있으며, 네트워크 간의 상호 연계 및 확장이 용이한 효과가 있다.
In addition, the network security policy management system and method thereof according to the present invention have excellent portability because they are expressed by applying an XML base as a security policy and a transport protocol. By using the technology to secure message transmission, heterogeneous compatibility and scalability can be guaranteed, it can be applied to various network environments, and interworking and expansion between networks are easy.

도 1은 종래 일반적인 네트워크 환경에서의 네트워크 노드와 서비스의 네트워크 구성도,
도 2는 본 발명에 따른 보안정책 서버와 보안정책 에이전트가 적용된 네트워크 환경에서의 네트워크 노드와 서비스의 네트워크 구성도,
도 3은 본 발명에 따른 보안정책 서버의 블록 구성도,
도 4는 본 발명에 따른 보안정책 에이전트의 블록 구성도,
도 5는 본 발명에 따른 보안정책 설정을 위한 보안정책 정보 등록과정을 나타낸 흐름도,
도 6은 본 발명에 따른 정상적인 네트워크 상황에서의 보안정책 전송과정을 나타낸 흐름도,
도 7은 본 발명에 따른 네트워크 위협상황 발생시 위협상황별 보안정책 전송과정을 나타낸 흐름도이다.1 is a network configuration diagram of a network node and a service in a conventional general network environment;
2 is a network configuration diagram of network nodes and services in a network environment to which a security policy server and a security policy agent are applied according to the present invention;
3 is a block diagram of a security policy server according to the present invention;
4 is a block diagram of a security policy agent according to the present invention;
5 is a flowchart illustrating a process of registering security policy information for setting a security policy according to the present invention;
6 is a flowchart illustrating a security policy transmission process in a normal network situation according to the present invention;
7 is a flowchart illustrating a process of transmitting a security policy for each threat situation when a network threat situation occurs according to the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 실시예에 따른 보안정책 서버와 보안정책 에이전트가 적용된 네트워크 환경에서의 네트워크 노드와 서비스의 네트워크 구성도를 나타낸 것이다.2 is a diagram illustrating a network configuration of network nodes and services in a network environment to which a security policy server and a security policy agent are applied according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명에 따른 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템은 네트워크의 보안정책을 관리하는 보안정책 서버(10)와, 상기 보안정책 서버(10)로부터 네트워크 노드(1)들의 서비스(2) 이용 및 네트워트 리소스 사용을 위한 보안정책을 제공받아 관리하고 적용하는 보안정책 에이전트(20)를 포함하여 이루어진다. As shown in FIG. 2, a network security policy management system based on a web service security system according to the present invention includes a security policy server 10 for managing a security policy of a network, and a network node 1 from the security policy server 10. It includes a security policy agent 20 that receives, manages and applies a security policy for the use of the service (2) and network resource usage of the).

상기 보안정책 서버(10)는 네트워크 운용에 필요한 보안정책에 관련된 정보를 데이터베이스(11)에 등록하여 관리하게 되는데, 상기 데이터베이스(11)에는 보안정책 요소 정보와 보안정책 정보 등의 데이터가 저장된다.The security policy server 10 registers and manages information related to a security policy required for network operation in the database 11, and the database 11 stores data such as security policy element information and security policy information.

상기 보안정책 에이전트(20)는 네트워크 노드(1)에 각각 설치되어, 보안정책 서버(10)에 보안정책 정보를 요청하고 제공받아 네트워크 노드(1)의 보안정책을 수행하는 프로그램으로서, 상기 보안정책 서버(10)와 보안정책 에이전트(20) 간의 데이터 송수신시 데이터 보안은 웹 서비스 보안을 통해 이루어진다.
The security policy agent 20 is installed in the network node 1, respectively, and requests and receives security policy information from the security policy server 10 to execute the security policy of the network node 1, the security policy Data transmission and reception of data between the server 10 and the security policy agent 20 is achieved through web service security.

도 3은 본 발명의 실시예에 따른 보안정책 서버의 블록 구성도를 나타낸 것이다.3 shows a block diagram of a security policy server according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 본 발명에 따른 보안정책 서버(10)는 관리자가 보안정책 요소 정보와 보안정책 정보 등 네트워크 보안 운용에 필요한 정보들을 쉽게 등록할 수 있도록 사용자 인터페이스를 제공하는 보안정책 관리 GUI(Graphical User Interface ; 그래픽 사용자 인터페이스)(110)와, 보안정책 정보를 등록하고 관리하는 보안정책 관리부(120)와, 데이터베이스(11)를 관리하는 데이터베이스 관리부(170)와, 네트워크 노드(1)에 적용할 보안정책을 데이터베이스(11)에 질의하고 보안정책을 생성하는 보안정책 처리부(130)와, 보안정책 에이전트(20)와 통신을 수행하는 에이전트 통신부(140)와, 상기 보안정책 에이전트(20)와의 통신시 데이터 보안 처리를 수행하는 웹 서비스 보안 처리부(150)와, XML로 표현된 데이터를 파싱하고 처리하는 XML 처리부(160)를 포함하여 이루어진다.As shown in FIG. 3, the security policy server 10 according to the present invention provides a security policy management that provides a user interface so that an administrator can easily register information necessary for network security operation such as security policy element information and security policy information. A graphical user interface (GUI) 110, a security policy manager 120 for registering and managing security policy information, a database manager 170 for managing a database 11, and a network node 1 A security policy processing unit 130 for querying the database 11 for a security policy to be applied and generating a security policy, an agent communication unit 140 for communicating with the security policy agent 20, and the security policy agent 20 Web service security processing unit 150 for performing data security processing when communicating with the; and XML processing unit 160 for parsing and processing the data expressed in XML It is broken.

상기 보안정책 관리부(120)는 보안정책 관리 GUI(110)로부터 입력된 보안정책 관련 정보 등을 등록하고 관리하는 프로그램 모듈이다. 이 보안정책 관리부(120)에는 보안정책 설정을 위해 필요한 요소 정보들을 등록하는 보안정책요소 등록부(121)와, 정상적인 네트워크 상황에서의 보안 운용에 적용할 보안정책을 등록하고 관리하는 보안정책 등록부(122)와, 네트워크의 위협상황에서 적용할 위협상황별 보안정책을 등록하고 관리하는 위협상황별 보안정책 등록부(123)가 구비되어 있다.The security policy manager 120 is a program module that registers and manages security policy related information input from the security policy management GUI 110. The security policy management unit 120 includes a security policy element registration unit 121 for registering element information necessary for setting a security policy, and a security policy registration unit 122 for registering and managing a security policy to be applied to security operation in a normal network situation. And a security situation registration unit 123 for each threat situation that registers and manages a security policy for each threat situation to be applied in a threat situation of the network.

상기 보안정책 처리부(130)는 네트워크 노드(1)에 적용할 보안정책 정보를 데이터베이스(11)에 요청하고 제공받아 네트워크 노드(1)에 구비된 보안정책 에이전트(20)에 전송할 보안정책 정보를 생성하는 프로그램 모듈이다. 이 보안정책 처리부(130)에는 정상적인 네트워크 상황에서 적용할 보안정책의 요청에 따라 데이터베이스(11)에 보안정책에 관한 질의를 수행하는 보안정책 질의부(131)와, 데이터베이스(11)로부터 질의에 대한 결과 데이터를 받아 보안정책 정보를 생성하는 보안정책 생성부(132)와, 네트워크의 위협상황에서 적용할 보안정책 요청에 따라 데이터베이스(11)에 위협상황별 보안정책에 관한 질의를 수행하는 위협상황별 보안정책 질의부(133)와, 데이터베이스(11)로부터 질의에 대한 결과 데이터를 받아 위협상황별 보안정책을 생성하는 위협상황별 보안정책 생성부(134)가 구비되어 있다.The security policy processing unit 130 generates security policy information to be transmitted to the security policy agent 20 included in the network node 1 by receiving and providing security policy information to the database 11 to be applied to the network node 1. Is a program module. The security policy processing unit 130 includes a security policy querying unit 131 which performs a query relating to a security policy to the database 11 according to a request of a security policy to be applied in a normal network situation, and a query for a query from the database 11. Security policy generation unit 132 receiving the result data and generating security policy information, and threat situation by the database to query the security policy for each threat situation according to the security policy request to be applied in the threat situation of the network The security policy querying unit 133 and the threat situation-specific security policy generating unit 134 for receiving the result data of the query from the database 11 and generating a security policy for each threat situation are provided.

상기 에이전트 통신부(140)는 보안정책 서버(10)와 보안정책 에이전트(20)와의 통신을 수행하는 프로그램 모듈이다. 이 에이전트 통신부(140)에는 보안정책 에이전트(20)에 구비된 서버 통신부와 보안정책 정보, 이벤트 정보 등을 전송하는 송수신부(141)와, 보안정책 정보가 추가되거나 변경되는 경우 네트워크 노드(1)에 구비된 보안정책 에이전트(20)에 전송될 보안정책의 변경을 알리는 이벤트 정보를 발생시키는 이벤트 발생기(142)와, 네트워크 위협상황 발생시 위협상황 정보를 생성하여 이벤트 발생기(142)에 전송하는 위협상황 수신기(143)가 구비되어 있다. 상기 이벤트 발생기(142)는 위협상황 수신기(143)로부터 위협상황 발생 정보가 수신되면 위협상황 발생에 따른 이벤트 정보를 발생시켜 보안정책 에이전트(20)에 전송하게 된다.The agent communication unit 140 is a program module that performs communication between the security policy server 10 and the security policy agent 20. The agent communication unit 140 includes a server communication unit provided in the security policy agent 20, a transceiver unit 141 for transmitting security policy information, event information, and the like, and a network node 1 when security policy information is added or changed. Event generator 142 for generating event information informing the change of the security policy to be transmitted to the security policy agent 20 provided in the threat situation, and threat situation for generating threat situation information when the network threat situation occurs and transmits it to the event generator 142 Receiver 143 is provided. When the event generator 142 receives threat situation occurrence information from the threat situation receiver 143, the event generator 142 generates event information according to the threat situation occurrence and transmits the event information to the security policy agent 20.

상기 웹 서비스 보안 처리부(150)는 보안정책 서버(10)와 보안정책 에이전트(20) 간의 통신시 데이터 보안을 처리하는 프로그램 모듈이다. 이 웹 서비스 보안 처리부(150)에는 웹 서비스 보안 명세를 해석하고 표현하는 웹 서비스 보안 라이브러리(151)와, 데이터 암호와 복호화 등을 처리하는 암호 라이브러리(152)가 구비되어 있다.The web service security processing unit 150 is a program module that processes data security during communication between the security policy server 10 and the security policy agent 20. The web service security processing unit 150 is provided with a web service security library 151 for interpreting and expressing a web service security specification, and a cryptographic library 152 for processing data encryption and decryption.

상기 XML 처리부(160)는 XML로 기반된 보안정책을 생성하거나 해석하고, XML로 표현된 웹 서비스 보안 명세 등 XML을 기반으로 표현된 데이터를 해석하고 처리하는 프로그램 모듈이다.
The XML processor 160 is a program module for generating or interpreting a security policy based on XML, and interpreting and processing data expressed based on XML such as a web service security specification expressed in XML.

도 4는 본 발명의 실시예에 따른 보안정책 에이전트의 블록 구성도를 나타낸 것이다.4 is a block diagram of a security policy agent according to an embodiment of the present invention.

도 4에 도시된 바와 같이, 본 발명에 따른 보안정책 에이전트(20)에는 보안정책 서버(10)로부터 전송받은 보안정책 정보를 저장하고 최신 정보로 유지하여 관리하는 보안정책 관리부(220)와, 네트워크 노드(1) 운용에 적용할 보안정책 정보를 질의하여 제공받아 네트워크 노드(1)에 적용하는 보안정책 운용부(240)와, 보안정책 서버(10)와 통신을 수행하는 서버 통신부(210)와, 보안정책 서버(10)와의 통신시 데이터 보안 처리를 수행하는 웹 서비스 보안 처리부(230)와, XML로 표현된 데이터를 파싱하고 처리하는 XML 처리부(250)가 구비되어 있다.As shown in FIG. 4, the security policy agent 20 according to the present invention includes a security policy manager 220 for storing and managing security policy information received from the security policy server 10 and maintaining the latest information. A security policy operating unit 240 for querying and providing security policy information to be applied to the operation of the node 1 and applying it to the network node 1, and a server communication unit 210 for communicating with the security policy server 10; In addition, a web service security processing unit 230 for performing data security processing when communicating with the security policy server 10, and an XML processing unit 250 for parsing and processing data expressed in XML is provided.

상기 보안정책 관리부(220)에는 보안정책 서버(10)로부터 전송받은 정상적인 네트워크 상황에서 적용할 보안정책 정보를 저장하고 최신으로 유지/관리하는 보안정책 저장부(221)와, 네트워크 위협상황에 적용할 위협상황 보안정책을 저장하고 최신으로 유지/관리하는 위협상황 보안정책 저장부(222)가 구비되어 있다.The security policy management unit 220 stores a security policy information to be applied in a normal network situation received from the security policy server 10 and maintains / manages the latest security policy storage unit 221 and a network threat situation to be applied. A threat situation security policy storage unit 222 is provided for storing and maintaining / managing a threat situation security policy.

상기 보안정책 운용부(240)에는 보안정책 관리부(220)에 저장된 정상적인 네트워크 상황에서 네트워크 노드(1)에 적용할 보안정책 정보를 질의하는 보안정책 질의부(241)와, 네트워크 위협상황에서 적용할 보안정책을 질의하는 위협상황 보안정책 질의부(242)와, 질의를 통해 얻은 결과를 네트워크 노드(1)에 적용하는 보안정책 노드 적용부(243)가 구비되어 있다.The security policy management unit 240 may be applied to a security policy query unit 241 for querying security policy information to be applied to the network node 1 in a normal network situation stored in the security policy management unit 220, and to be applied in a network threat situation. A threat situation security policy query unit 242 for querying the security policy and a security policy node application unit 243 for applying the result obtained through the query to the network node 1 are provided.

상기 서버 통신부(210)는 보안정책 서버(10)와의 통신을 수행하는 프로그램 모듈이다. 이 서버 통신부(210)에는 보안정책 서버(10)의 에이전트 통신부(140)에 보안정책 정보를 요청하고 응답을 수신하는 송수신부(211)와, 보안정책 서버(10)에서의 보안정책 변경 이벤트 정보가 발생하면 이를 감지하여 실시간 처리하는 이벤트 리스너(212)가 구비되어 있다.The server communication unit 210 is a program module that communicates with the security policy server 10. The server communication unit 210 includes a transceiver 211 for requesting security policy information from the agent communication unit 140 of the security policy server 10 and receiving a response, and security policy change event information from the security policy server 10. Is detected, it is provided with an event listener (212) for real-time processing.

상기 웹 서비스 보안 처리부(230)와 XML 처리부(250)는 보안정책 서버(10)에 구비되어 있는 웹 서비스 보안 처리부(150)와 XML 처리부(160)와 동일한 기능을 수행하게 되는데, 이 웹 서비스 보안 처리부(230)와 XML 처리부(250)는 보안정책 에이전트(20)에 적합한 경량화된 프로그램 모듈이다.
The web service security processing unit 230 and the XML processing unit 250 perform the same functions as the web service security processing unit 150 and the XML processing unit 160 provided in the security policy server 10. The processor 230 and the XML processor 250 are lightweight program modules suitable for the security policy agent 20.

이하, 상기의 구성으로 이루어진 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템을 통하여 보안정책을 등록하고 운용하는 과정에 대하여 설명한다.Hereinafter, a process of registering and operating a security policy through a web service security based network security policy management system having the above configuration will be described.

도 5는 본 발명의 실시예에 따른 보안정책 설정을 위한 보안정책 정보 등록과정을 나타낸 흐름도이다. 5 is a flowchart illustrating a process of registering security policy information for setting a security policy according to an embodiment of the present invention.

단계 S100, S110, S120 : 먼저, 보안정책 정보를 등록하기 위해 사용자(관리자)는 보안정책 서버(20)에 접속하여(단계 S100), 로그인 과정을 통해(단계 S110), 사용자 인증을 수행한다(단계 S120).Steps S100, S110 and S120: First, in order to register the security policy information, the user (administrator) accesses the security policy server 20 (step S100), and performs a user authentication through a login process (step S110). Step S120).

단계 S130, S131 : 상기 보안정책 서버(10)는 로그인 정보가 유효한지 확인하여(단계 S130), 유효한 사용자가 아니라면 접속을 차단한다(단계 S131).Steps S130 and S131: The security policy server 10 checks whether the login information is valid (step S130), and blocks access if not a valid user (step S131).

단계 S140, S150 : 유효한 사용자이면 사용자에게 보안정책 관련 정보를 등록할 수 있는 GUI 환경에 정보 등록 페이지를 제공하여, 정상적인 네트워크 상황에서 적용할 보안정책 정보에 대한 등록, 수정, 삭제 등의 작업을 수행하도록 하며(단계 S140), 네트워크 위협상황에서 적용할 위협상황별 보안정책 정보의 등록 작업을 수행하도록 한다(단계 S150). 사용자에 의해 변경된 보안정책 정보는 보안정책 서버(10)의 보안정책 관리부(120)에 의해 데이터베이스(11)에 등록되어 관리된다.Steps S140 and S150: If the user is a valid user, the user is provided with an information registration page in a GUI environment in which the user can register security policy related information, thereby performing operations such as registration, modification, and deletion of security policy information to be applied in a normal network situation. (Step S140), and to perform the registration of the security policy information for each threat situation to be applied in the network threat situation (step S150). The security policy information changed by the user is registered and managed in the database 11 by the security policy manager 120 of the security policy server 10.

단계 S160, S170 : 정보 변경이 이루어지면 에이전트 통신부(140)의 이벤트 발생기(142)를 통해 보안정책 정보 변경을 알리는 이벤트 정보를 발생시키고(단계 S160), 발생된 보안정책 정보 변경 이벤트 정보를 보안정책 에이전트(20)에 전송하여 네트워크 노드(1)에 보안정책이 실시간으로 반영되도록 한다(단계 S170).Steps S160 and S170: When the information is changed, generate event information informing the security policy information change through the event generator 142 of the agent communication unit 140 (step S160), and generate the security policy information change event information as the security policy. It transmits to the agent 20 so that the security policy is reflected to the network node 1 in real time (step S170).

단계 S180 : 상기 보안정책 정보 등록 과정은 사용자가 로그오프를 할 때까지 반복 수행된다.
Step S180: The security policy information registration process is repeated until the user logs off.

도 6은 본 발명의 실시예에 따른 정상적인 네트워크 상황에서의 보안정책 전송과정을 나타낸 흐름도이다.6 is a flowchart illustrating a security policy transmission process in a normal network situation according to an embodiment of the present invention.

단계 S200, S210, S220 : 먼저, 정상적인 네트워크 상황에서 보안정책 서버(10)에서 보안정책의 등록, 수정, 삭제 등의 변경이 발생하면(단계 S200), 이벤트 발생기(142)를 통해 보안정책 변경 이벤트 정보를 발생하여(단계 S210), 네트워크 노드(1)에 설치된 보안정책 에이전트(20)에 보안정책 변경 이벤트 정보를 전송한다(단계 S220).Steps S200, S210, and S220: First, when a change such as registration, modification, and deletion of the security policy occurs in the security policy server 10 in a normal network situation (step S200), the security policy change event through the event generator 142. Generate the information (step S210), and transmit the security policy change event information to the security policy agent 20 installed in the network node 1 (step S220).

단계 S230 : 보안정책 에이전트(20)가 이벤트 리스너(212)를 통해 이벤트 정보를 수신하면, 변경된 보안정책 정보를 보안정책 서버(10)에 요청하고, 보안정책 서버(10)는 그 요청을 수신하게 된다.Step S230: When the security policy agent 20 receives the event information through the event listener 212, requests the changed security policy information to the security policy server 10, the security policy server 10 to receive the request. do.

단계 S240, S250 : 보안정책 에이전트(20)로부터 변경 보안정책 정보 요청을 수신한 보안정책 서버(10)는 보안정책 처리부(130)를 통해 변경된 보안정책 정보를 데이터베이스(11)에 질의하고(단계 S240), 상기 데이터베이스(11)로부터 변경된 보안정책 정보를 제공받아 보안정책 에이전트(20)에 전송할 변경된 보안정책 정보를 생성하게 된다(단계 S250).Steps S240 and S250: The security policy server 10 receiving the change security policy information request from the security policy agent 20 queries the database 11 for the changed security policy information through the security policy processing unit 130 (step S240). ) Receives the changed security policy information from the database 11 and generates the changed security policy information to be transmitted to the security policy agent 20 (step S250).

단계 S260, S270 : 상기 생성된 보안정책 정보는 에이전트 통신부(140)를 통하여 보안정책 에이전트(20)에 전송되는데(단계 S360), 이러한 보안정책 전송 과정은 네트워크에 접속되어 있는 네트워크 노드(1)의 보안정책 에이전트(20)에 모두 전송될 때까지 반복 수행된다(단계 S270)
Step S260, S270: The generated security policy information is transmitted to the security policy agent 20 through the agent communication unit 140 (step S360), this security policy transmission process of the network node (1) connected to the network The process is repeated until all are transmitted to the security policy agent 20 (step S270).

도 7은 본 발명의 실시예에 따른 네트워크 위협상황 발생시 위협상황별 보안정책 전송과정을 나타낸 흐름도이다.7 is a flowchart illustrating a process of transmitting a security policy for each threat situation when a network threat situation occurs according to an embodiment of the present invention.

단계 S300, S310, S320 : 먼저, 네트워크의 위협상황이 발생하면 보안정책 서버(10)의 에이전트 통신부(140)에 구비되어 있는 위협상황 수신기(143)를 통해 위협상황 발생 정보가 생성되어 이벤트 발생기(142)에 전송되고(단계 S300), 이벤트 발생기(142)는 위협상황 이벤트 정보를 발생하게 되며(단계 S310), 이벤트 발생기(142)에 의해 발생된 위협상황 이벤트 정보는 보안정책 에이전트(20)로 전송된다(단계 S320).Steps S300, S310, and S320: First, when a threat situation of a network occurs, threat situation occurrence information is generated through a threat situation receiver 143 provided in the agent communication unit 140 of the security policy server 10, and an event generator ( 142) (step S300), the event generator 142 generates threat situation event information (step S310), and the threat situation event information generated by the event generator 142 is sent to the security policy agent 20. Is transmitted (step S320).

단계 S330 : 보안정책 에이전트(20)가 이벤트 리스너(212)를 통해 이벤트 정보를 수신하게 되면, 이벤트 리스너(212)는 위협상황별 보안정책 정보를 보안정책 서버(10)에 요청하고, 보안정책 서버(10)는 그 요청을 수신하게 된다(단계 S330).Step S330: When the security policy agent 20 receives the event information through the event listener 212, the event listener 212 requests the security policy server 10 for each threat situation to the security policy server 10, and the security policy server 10 receives the request (step S330).

단계 S340, S350 : 위협상황별 보안정책 정보 요청을 수신한 보안정책 서버(10)는 보안정책 처리부(130)를 통해 위협상황별 보안정책 정보를 데이터베이스(11)에 질의하고(단계 S340), 데이터베이스(11)를 통하여 제공받은 정보를 토대로 보안정책 에이전트(20)에 전송할 위급상황별 보안대책 정보를 생성하게 된다(단계 S350).Steps S340 and S350: The security policy server 10 that receives the security policy information request for each threat situation queries the database 11 for the security policy information for each threat situation through the security policy processing unit 130 (step S340). On the basis of the information provided through the (11) to generate the security measures information for each emergency situation to be sent to the security policy agent 20 (step S350).

단계 S360, S370 : 생성된 위협상황별 보안정책 정보는 에이전트 통신부(140)를 통해 보안정책 에이전트(20)에 전송되어 보안정책 에이전트(20)에 의해 수행되게 되는데(단계 S360), 이러한 위협상황별 보안정책 정보 전송 과정은 네트워크에 접속되어 있는 보안정책 노드(1)의 보안정책 에이전트(20)에 모두 전송될 때까지 반복 수행된다(단계 S370).
Steps S360 and S370: The generated security policy information for each threat situation is transmitted to the security policy agent 20 through the agent communication unit 140 to be performed by the security policy agent 20 (step S360). The security policy information transmission process is repeated until all are transmitted to the security policy agent 20 of the security policy node 1 connected to the network (step S370).

이와 같이, 상술한 본 발명은 유비쿼터스 네트워크, 홈 네트워크, 센서 네트워크, Binary CDMA 네트워크 등 다양한 네트워크 환경에서 네트워크 노드(1)들이 네트워크에 접속하여 서비스(2)를 이용하고 네트워크 리소스를 사용하는 등의 네트워크 운영을 하는데 있어서, 보안 정책을 기반으로 하여 안전하고 효율적인 네트워크 보안 운영이 가능하도록 제공한다.As described above, the above-described present invention provides a network in which network nodes 1 access a network, use services 2, and use network resources in various network environments such as ubiquitous networks, home networks, sensor networks, and binary CDMA networks. In operation, it provides safe and efficient network security operation based on security policy.

이러한 본 발명은 상술한 실시예에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 갖는 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구 범위의 균등범위 내에서 다양한 수정 및 변형이 이루어질 수 있음은 물론이다.
The present invention is not limited to the above-described embodiments, and various modifications within the equivalent scope of the technical idea of the present invention and the claims to be described below by those skilled in the art to which the present invention pertains. Of course, modifications can be made.

1 : 네트워크 노드 2 : 서비스
10 : 보안정책 서버 11 : 데이터베이스
110 : 보안정책 관리 GUI 120 : 보안정책 관리부
130 : 보안정책 처리부 140 : 에이전트 통신부
150 : 웹 서비스 보안 처리부 160 : XML 처리부
170 : 데이터베이스 관리부 20 : 보안정책 에이전트
210 : 서버 통신부 220 : 보안정책 관리부
230 : 웹 서비스 보안 처리부 240 : 보안정책 운영부
250 : XML 처리부 1: network node 2: service
10: Security Policy Server 11: Database
110: security policy management GUI 120: security policy management unit
130: security policy processing unit 140: agent communication unit
150: Web service security processing unit 160: XML processing unit
170: database management unit 20: security policy agent
210: server communication unit 220: security policy management unit
230: Web service security processing unit 240: Security policy management unit
250: XML processing unit

Claims (8)

삭제delete 삭제delete 삭제delete 네트워크 노드(1)의 서비스(2) 이용을 위한 네트워크 보안정책 정보를 데이터베이스(11)에 등록하고 관리하며 보안정책에 따라 네트워크 보안을 수행하는 보안정책 서버(10)와, 상기 보안정책 서버(10)로부터 네트워크 보안정책 정보를 제공받아 상기 네트워크 노드(1)의 보안정책을 관리하고 적용하는 보안정책 에이전트(20)가 구비된 네트워크 보안정책 관리 시스템에 있어서,
상기 보안정책 서버(10)는
상기 보안정책 정보의 등록 및 변경이 이루어질 수 있도록 GUI 인터페이스를 제공하는 보안정책 관리 GUI(110)와;
상기 보안정책 관리 GUI(110)를 통하여 입력되는 보안정책 정보를 상기 데이터베이스(11)에 등록하고 관리하는 보안정책 관리부(120)와;
상기 보안정책 정보의 변경 또는 네트워크 위협상황 발생시나 보안정책 에이전트(1)의 보안정책 정보 요청에 따라 상기 데이터베이스(11)에 보안정책 정보를 질의하고, 상기 데이터베이스(11)로부터 보안정책 정보를 제공받아 보안정책 에이전트(20)에 전송할 보안정책 정보를 생성하는 보안정책 처리부(130)와;
상기 보안정책 에이전트(20)와 통신을 수행하는 송수신부(141)와, 네트워크의 위협상황 발생 시 위협상황 발생 정보를 발생시키는 위협상황 수신기(143)와, 상기 보안정책 처리부(130)를 통하여 생성되는 보안정책 정보 또는 상기 위협상황 수신기(143)를 통하여 발생되는 위협상황 발생 정보에 따라 이벤트 정보를 발생시켜 상기 송수신부(141)를 통하여 보안정책 에이전트(20)에 전송하는 이벤트 발생기(142)가 구비된 에이전트 통신부(140)와;
상기 에이전트 통신부(140)를 통한 보안정책 에이전트(20)와의 통신시 데이터 보안을 수행하는 웹 서비스 보안 처리부(150);를 포함하여 이루어지는 것을 특징으로 하는 네트워크 보안정책 관리 시스템.A security policy server 10 which registers and manages network security policy information for use of the service 2 of the network node 1 in the database 11 and performs network security according to the security policy; and the security policy server 10 In the network security policy management system provided with a security policy agent 20 for receiving and receiving network security policy information from the network node (1) to manage and apply the security policy,
The security policy server 10
A security policy management GUI (110) providing a GUI interface to register and change the security policy information;
A security policy management unit (120) for registering and managing security policy information input through the security policy management GUI (110) in the database (11);
When the security policy information is changed or a network threat situation occurs or a security policy agent 1 requests security policy information, the security policy information is queried from the database 11 and security policy information is received from the database 11. A security policy processing unit 130 generating security policy information to be transmitted to the security policy agent 20;
Generated through a transceiver 141 for communicating with the security policy agent 20, a threat condition receiver 143 for generating threat situation occurrence information when a threat situation of a network occurs, and the security policy processor 130. The event generator 142 generating event information according to the security policy information or the threat situation occurrence information generated through the threat situation receiver 143 and transmitting the event information to the security policy agent 20 through the transceiver 141 is provided. An agent communication unit 140 provided;
And a web service security processing unit (150) for performing data security when communicating with the security policy agent (20) through the agent communication unit (140). 삭제delete 청구항 4에 있어서,
상기 보안정책 에이전트(20)는
상기 보안정책 서버(10)와 통신을 수행하며, 상기 보안정책 서버(10)의 에이전트 통신부(140)에서 전송하는 이벤트 정보를 감지하는 이벤트 리스너(212)가 구비된 서버 통신부(210)와;
상기 서버 통신부(210)를 통하여 보안정책 서버(10)에 보안정책 정보를 요청하고 수신하여 수신된 보안정책 정보를 저장하고 관리하며, 최신 보안정책 정보로 유지 관리하는 보안정책 관리부(220)와;
상기 네트워크 노드(1)에 적용되는 보안정책을 상기 보안정책 관리부(220)에 질의하여 제공받아 네트워크 노드(1)의 보안정책에 적용하는 보안정책 운용부(240)와;
상기 서버 통신부(210)를 통한 보안정책 서버(10)와의 통신시 데이터 보안을 수행하는 웹 서비스 보안 처리부(230);를 포함하여 이루어지는 것을 특징으로 하는 네트워크 보안정책 관리 시스템.The method of claim 4,
The security policy agent 20 is
A server communication unit (210) which communicates with the security policy server (10) and has an event listener (212) for detecting event information transmitted from the agent communication unit (140) of the security policy server (10);
A security policy manager 220 which requests and receives security policy information from the security policy server 10 through the server communication unit 210, stores and manages the received security policy information, and maintains the latest security policy information;
A security policy manager 240 for querying the security policy manager 220 for the security policy applied to the network node 1 and applying the security policy to the security policy of the network node 1;
And a web service security processing unit (230) for performing data security when communicating with the security policy server (10) through the server communication unit (210). 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책 관리 방법에 있어서,
(a) 보안정책을 관리하는 보안정책 서버(10)에서 보안정책 정보가 변경되는 경우, 보안정책 변경 상태를 알리는 이벤트 정보를 발생시켜 네트워크 노드(1)에 설치된 보안정책 에이전트(20)에 전송하는 단계와;
(b) 상기 보안정책 에이전트(20)가 보안정책 서버(10)에서 전송한 보안정책 변경 이벤트 정보를 수신하면, 변경된 보안정책 정보를 보안정책 서버(10)에 요청하는 단계와;
(c) 상기 보안정책 서버(10)가 보안정책 에이전트(20)의 보안정책 정보 요청을 수신하여 보안정책 정보가 등록된 데이터베이스(11)에 보안정책 정보를 질의하고, 그 결과를 제공받아 상기 보안정책 에이전트(20)에 전송할 변경된 보안정책 정보를 생성하는 단계와;
(d) 상기 보안정책 서버(10)가 생성된 보안정책 정보를 보안정책 에이전트(20)에 전송하는 단계;를 포함하여 이루어지는 것을 특징으로 하는 네트워크 보안정책 관리 방법.In the network security policy management method for using a service of a network node made through a network,
(a) When the security policy information is changed in the security policy server 10 that manages the security policy, event information indicating the security policy change state is generated and transmitted to the security policy agent 20 installed in the network node 1. Steps;
(b) when the security policy agent 20 receives the security policy change event information transmitted from the security policy server 10, requesting the changed security policy information from the security policy server 10;
(c) the security policy server 10 receives the security policy information request from the security policy agent 20, queries the security policy information to the database 11 where the security policy information is registered, and receives the result to receive the security policy information. Generating modified security policy information to be sent to the policy agent 20;
(d) transmitting the generated security policy information to the security policy agent (20) by the security policy server (10). 네트워크망을 통하여 이루어지는 네트워크 노드의 서비스 이용을 위한 네트워크 보안정책 관리 방법에 있어서,
(a) 보안정책을 관리하는 보안정책 서버(10)에서 네트워크 위협상황 발생시 위협상황을 인지하여 네트워크 위협상황 발생을 알리는 이벤트 정보를 발생시켜 네트워크 노드(1)에 설치된 보안정책 에이전트(20)에 전송하는 단계와;
(b) 상기 보안정책 에이전트(20)가 보안정책 서버(10)에서 전송한 위협상황 이벤트 정보를 수신하면, 위협상황별 보안정책 정보를 보안정책 서버(10)에 요청하는 단계와;
(c) 상기 보안정책 서버(10)가 보안정책 에이전트(20)의 위협상황별 보안정책 정보 요청을 수신하여 보안정책 정보가 등록된 데이터베이스(11)에 위협상황별 보안정책 정보를 질의하고, 그 결과를 제공받아 상기 보안정책 에이전트(20)에 전송할 위협상황별 보안정책 정보를 생성하는 단계와;
(d) 상기 보안정책 서버(10)가 생성된 위협상황별 보안정책 정보를 보안정책 에이전트(20)에 전송하는 단계;를 포함하여 이루어지는 것을 특징으로 하는 네트워크 보안정책 관리 방법.In the network security policy management method for using a service of a network node made through a network,
(a) The security policy server 10 that manages the security policy recognizes the threat situation when the network threat situation occurs, generates event information indicating the occurrence of the network threat situation, and transmits it to the security policy agent 20 installed in the network node 1. Making a step;
(b) when the security policy agent 20 receives the threat situation event information transmitted from the security policy server 10, requesting security policy information for each threat situation to the security policy server 10;
(c) the security policy server 10 receives the security policy information for each threat situation from the security policy agent 20, queries the security policy information for each threat situation in the database 11 where the security policy information is registered, and Receiving security results and generating security policy information for each threat situation to be transmitted to the security policy agent 20;
(d) transmitting, by the security policy server (10), the generated security policy information for each threat situation to a security policy agent (20).
KR1020100025978A 2010-03-23 2010-03-23 System and method for network security policy management based on web services security KR101067686B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100025978A KR101067686B1 (en) 2010-03-23 2010-03-23 System and method for network security policy management based on web services security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100025978A KR101067686B1 (en) 2010-03-23 2010-03-23 System and method for network security policy management based on web services security

Publications (1)

Publication Number Publication Date
KR101067686B1 true KR101067686B1 (en) 2011-09-27

Family

ID=44957878

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100025978A KR101067686B1 (en) 2010-03-23 2010-03-23 System and method for network security policy management based on web services security

Country Status (1)

Country Link
KR (1) KR101067686B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101572239B1 (en) * 2014-12-03 2015-11-26 한국인터넷진흥원 Apparatus and system for detection and execution prevention for malicious script in user browser level
KR20160083466A (en) * 2014-12-31 2016-07-12 주식회사 시큐아이 Apparatus for managing security policies and method thereof
KR20180070890A (en) 2016-12-19 2018-06-27 (주)에이알씨엔에스 Apparatus for visualizing network security state
KR20190061258A (en) 2017-11-27 2019-06-05 (주)에이알씨엔에스 System for analyzing and recognizing network security state using network traffic flow
KR20190140554A (en) 2018-06-12 2019-12-20 (주)에이알씨엔에스 Apparatus for disruptive visualizing network security state
KR20220005793A (en) * 2020-07-07 2022-01-14 국방과학연구소 Defense agents apparatus based on whitelist for cybersecurity training
KR102381150B1 (en) 2020-10-07 2022-03-31 주식회사 쏘마 Security management system and method for remote working environment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100711595B1 (en) 2005-03-31 2007-04-27 주식회사 니츠 Security system and method based on Multi-agent platform under considering of extension and movement
KR20070064427A (en) * 2004-09-13 2007-06-20 유티스타컴, 인코포레이티드 Dynamic firewall capabilities for wireless access gateways
KR20080113791A (en) * 2007-06-26 2008-12-31 주식회사 케이티 Method and system for home network security management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070064427A (en) * 2004-09-13 2007-06-20 유티스타컴, 인코포레이티드 Dynamic firewall capabilities for wireless access gateways
KR100711595B1 (en) 2005-03-31 2007-04-27 주식회사 니츠 Security system and method based on Multi-agent platform under considering of extension and movement
KR20080113791A (en) * 2007-06-26 2008-12-31 주식회사 케이티 Method and system for home network security management

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101572239B1 (en) * 2014-12-03 2015-11-26 한국인터넷진흥원 Apparatus and system for detection and execution prevention for malicious script in user browser level
KR20160083466A (en) * 2014-12-31 2016-07-12 주식회사 시큐아이 Apparatus for managing security policies and method thereof
KR101640841B1 (en) 2014-12-31 2016-08-01 주식회사 시큐아이 Apparatus for managing security policies and method thereof
KR20180070890A (en) 2016-12-19 2018-06-27 (주)에이알씨엔에스 Apparatus for visualizing network security state
KR20190061258A (en) 2017-11-27 2019-06-05 (주)에이알씨엔에스 System for analyzing and recognizing network security state using network traffic flow
KR20190140554A (en) 2018-06-12 2019-12-20 (주)에이알씨엔에스 Apparatus for disruptive visualizing network security state
KR20220005793A (en) * 2020-07-07 2022-01-14 국방과학연구소 Defense agents apparatus based on whitelist for cybersecurity training
KR102392648B1 (en) * 2020-07-07 2022-05-02 국방과학연구소 Defense agents apparatus based on whitelist for cybersecurity training
KR102381150B1 (en) 2020-10-07 2022-03-31 주식회사 쏘마 Security management system and method for remote working environment
US11785050B2 (en) 2020-10-07 2023-10-10 Somma, Inc. Security management system for remote working environment, computer program therefor, and method therefor

Similar Documents

Publication Publication Date Title
US11956361B2 (en) Network function service invocation method, apparatus, and system
JP6923611B2 (en) Content security at the service layer
EP3308495B1 (en) System, apparatus and method for group key distribution for a network
KR101067686B1 (en) System and method for network security policy management based on web services security
US20160364553A1 (en) System, Apparatus And Method For Providing Protected Content In An Internet Of Things (IOT) Network
US8938074B2 (en) Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
JP5100286B2 (en) Cryptographic module selection device and program
JP7421771B2 (en) Methods, application servers, IOT devices and media for implementing IOT services
CN111064569B (en) Cluster key obtaining method and device of trusted computing cluster
CN103095861A (en) Determining whether a device is inside a network
Mahalle et al. Identity driven capability based access control (ICAC) scheme for the Internet of Things
US9876768B2 (en) System, apparatus and method for secure coordination of a rendezvous point for distributed devices using entropy multiplexing
CN113271289A (en) Method, system and computer storage medium for resource authorization and access
CN112311769A (en) Method, system, electronic device and medium for security authentication
Fysarakis et al. Policy-based access control for DPWS-enabled ubiquitous devices
CN113438242B (en) Service authentication method, device and storage medium
CN103906050A (en) WPKI security monitoring and control method and system based on mobile terminal
Loos Security analysis of the Matter protocol
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN111245600B (en) Authentication method and system based on block chain technology
JP2008028899A (en) Communication system, terminal device, vpn server, program, and communication method
KR101757563B1 (en) Apparatus and method for managing secret key in IoT environment
CN117255340B (en) Bluetooth communication method, device, system, storage medium and electronic equipment
CN109120631B (en) Function calling system, method, device and storage medium
Yadav et al. Lightweight capability-token for consent-based authentication protocol for smart sensor nodes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140911

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150820

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161027

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170913

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180709

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190710

Year of fee payment: 9