KR101425726B1 - Linked network security system and method based on virtualization in the separate network environment - Google Patents
Linked network security system and method based on virtualization in the separate network environment Download PDFInfo
- Publication number
- KR101425726B1 KR101425726B1 KR1020120125826A KR20120125826A KR101425726B1 KR 101425726 B1 KR101425726 B1 KR 101425726B1 KR 1020120125826 A KR1020120125826 A KR 1020120125826A KR 20120125826 A KR20120125826 A KR 20120125826A KR 101425726 B1 KR101425726 B1 KR 101425726B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- data
- interworking
- sender
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명의 LNSV은 제1 네트워크 연동 시스템, 연동 제어 시스템, 제2 네트워크 연동 시스템, 연동 모니터링 시스템을 포함하고, 상기 각 시스템들은 하이퍼바이저(Hypervisor)를 통해 논리적으로 분리 구성되어, 분리된 제1 및 제2 네트워크 사이에 구현된다. 따라서 분리된 네트워크들 각각에 포함된 사용자들과 개별 통신이 가능하지만, 분리된 네트워크에 속한 사용자들 간에 직접 통신 세션이 생성되지는 않는다. 따라서 분리된 네트워크들 간에 이동식 저장매체 없이도 데이터 송수신이 가능하며, 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용함과 동시에 네트워크 연결 정보에 의한 사용자 유효성 검증 과정을 거침으로써 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다. The LNSV of the present invention includes a first network interworking system, an interworking control system, a second network interworking system, and an interworking monitoring system, wherein each of the systems is logically separated by a hypervisor, And is implemented between the second networks. Thus, although individual communication is possible with users included in each of the separate networks, no direct communication session is created between users belonging to the separate network. Therefore, it is possible to send and receive data without any removable storage medium between separate networks. In the case of data transmission, encryption / decryption algorithm is applied in a single system and user validation process is performed by network connection information, Functions can be satisfied.
Description
본 발명은 네트워크 연계 보안 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 분리된 네트워크 간에 안전한 데이터 전송을 보장할 수 있는 네트워크 연계 보안 시스템 및 그 방법에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network-connected security system and a method thereof, and more particularly, to a network-based security system and method capable of ensuring secure data transmission between separate networks.
오늘날은 컴퓨터와 네트워크의 사용을 통해 업무를 추진하고 고부가가치를 창출하는 시대이다. 이미 정부, 기업 및 개인들은 컴퓨터와 네트워크로 구성된 사이버 공간을 업무와 생활을 영위하기 위한 필수 불가결한 요소로 받아들이고 있다. 따라서 이들은 사이버 공간의 안전을 위한 다양한 공격을 방어하는 일에 높은 관심을 가지고 있다. 그러나 이러한 관심에도 불구하고 사이버 위협은 심각한 피해를 유발하며 지속적으로 발생하고 있기 때문에, 지능화된 피싱, 스턱스넷(Stuxnet)을 이용한 중요 기반시설 공격 및 내부정보 유출과 같은 분야의 문제점과 대응책 관련 연구가 활발히 진행되고 있다. Today, it is the era that promotes business through the use of computers and networks and creates high added value. Governments, corporations, and individuals have already embraced computer and networked cyberspace as an indispensable part of their work and life. Therefore, they are highly interested in defending various attacks for the security of cyberspace. Despite this interest, however, cyber threats have been causing serious damage and are continuing to occur. Therefore, research on problems and countermeasures in areas such as intelligent phishing, critical infrastructure attacks using Stuxnet, and internal information leakage It is actively proceeding.
이러한 문제를 해결하기 위한 한 가지 방법으로 종래에는 인트라넷과 인터넷을 분리 운영하였다. 도 1은 이러한 네트워크 분리 구성의 예를 도시한 도면으로서, 특히 물리적 및 논리적으로 네트워크를 분리하여 구현한 예를 도시한 도면이다. 도 1의 예에서 네트워크(Internet)(10)와 네트워크(Disconnected Network)(20)은 물리적 네트워크 분리의 예를 나타내고, 네트워크(Internet)(30)은 논리적 네트워크 분리의 예를 나타낸다. 물리적 네트워크 분리는 모든 시스템 및 네트워크를 하드웨어적으로 분리하는 것이며, 논리적 네트워크 분리는 소프트웨어적 기술을 이용하는 것이다. One way to solve this problem is to separate the intranet and the Internet. FIG. 1 is a diagram showing an example of such a network separation configuration. In particular, FIG. 1 illustrates an example in which networks are separated physically and logically. In the example of FIG. 1, the
이와 같이 네트워크가 물리적 또는 논리적으로 분리된 경우 그 네트워크들은 서로 통신을 할 수 없기 때문에, 별도의 데이터 전송 아키텍쳐를 필요로 한다. 예를 들어, 이동식 저장매체(예컨대, CD, USB 등)를 이용하여 네트워크 간에 데이터 전송을 수행하였다. 이 방법은 이동식 저장매체의 분실로 인한 데이터 유출의 위험, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성코드 전파의 위험 등을 감수해야 한다. 또한 USB의 인증 및 암호화 관련 시스템을 추가해야 하는 단점이 있다. In this way, if the network is physically or logically separated, the networks can not communicate with each other and thus require a separate data transmission architecture. For example, data transmission has been performed between networks using a removable storage medium (e.g., CD, USB, etc.). This method requires the risk of data leakage due to the loss of the removable storage medium, the inconvenience of users who need to connect to PC every time they use it, and the risk of malicious code transmission. It also has the disadvantage of adding USB authentication and encryption related systems.
한편 분리된 네트워크 간 데이터 전송을 위해 도 2에 예시된 바와 같은 저장장치 기반 연계 서버(connected server based on storage)를 활용할 수도 있다. 즉 서로 분리된 네트워크들(예컨대, 인터넷과 인트라넷) 사이에 저장장치(60)를 설치하고 각각의 네트워크를 상기 저장장치(60)에 접속시키기 위한 별도의 서버들(40, 50, 70, 80)을 구축한 후, 각 네트워크에 속한 사용자들이 상기 저장장치(60)에 데이터를 저장함으로써 다른 네트워크에 속한 사용자가 그 저장장치(60)로부터 데이터를 읽어가도록 할 수도 있다. 하지만 이러한 방법은 별도로 다수의 서버와 저장장치를 구축 및 운영해야 하므로 접근통제 시스템 및 암/복호화 기능 등과 같은 다양한 요구사항들을 충족해야 한다. 따라서 IT 자산에 대한 투자 비용을 증대시키고, 시스템 및 네트워크 관리자와 사용자의 업무 효율을 저하시키는 단점이 있다. Meanwhile, a connected server based on storage as illustrated in FIG. 2 may be utilized for data transmission between separated networks.
따라서 본 연구에서는 네트워크 분리 환경에서 편리하고 안전하게 데이터를 전송할 수 있도록 하는 가상화 기반 네트워크 연계 보안 시스템 및 그 방법을 제공하고자 한다.Therefore, this study aims to provide a network-based security system and method for virtualization-based network that can conveniently and securely transmit data in a network separation environment.
일 양태에 있어서, 가상화 기반 네트워크 연계 보안 시스템이 제공된다. 상기 가상화 기반 네트워크 연계 보안 시스템은 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서, 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서, 상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 시스템들; 상기 2 이상의 네트워크 연동 시스템들 사이에서 암호화된 데이터를 송수신하는 연동 제어 시스템; 및 상기 2 이상의 네트워크 연동 시스템들과 상기 연동 제어 시스템의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 시스템을 포함하여, 상기 2 이상의 네트워크 연동 시스템들, 상기 연동 제어 시스템 및 상기 연동 모니터링 시스템은 하나의 서버에서 논리적으로 분리된 장치들이며, 상기 연동 모니터링 시스템은 상기 네트워크 연동 시스템들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 한다.
상기 2 이상의 네트워크 연동 시스템들은 각각 상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스; 해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부; 분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부; 해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 유효한 사용자 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함하는 것이 바람직하다.
여기서, 상기 제어부는 다른 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 복호화하여 저장하는 것이 바람직하다.
또한, 상기 연동 제어 시스템은 상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동 시스템에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부; 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부; 상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하는 것이 바람직하다.In one aspect, a virtualization-based network-linked security system is provided. Wherein the virtualization-based network-connected security system is a network-based security system between two or more separate networks, the network-based security system comprising: at least two network interworking systems field; An interworking control system for transmitting and receiving the encrypted data between the two or more network interworking systems; And an interworking monitoring system for monitoring the operation status of the at least two network interworking systems and the interworking control system and for managing data transmission results, wherein the at least two network interworking systems, the interworking control system, and the interworking monitoring system Wherein the interworking monitoring system reports a list of user identification information and network connection information to be connected to the network interworking systems and sets a security policy based on the information .
The two or more network interworking systems each storing valid user information in the network-based security system; A network connection unit for controlling connection with the network user; A data storage unit for storing data for transmission to another separate network or data received from the other network; And a control unit for checking whether the data sender is valid based on valid user information stored in the user database when the data is received from the network, encrypting and storing the received data, and generating a data storage announcement signal.
Here, the controller may check whether the data sender is valid based on the information stored in the user database when the data is received from another network, decrypt the received data, and store the received data.
The interworking control system may further include a first connection control unit connected to a network interworking system of a transmitting-side network to which data is to be transmitted in response to a storage notification signal of the control unit and reading data newly stored in the data storage unit; A data analyzer for analyzing the read data and detecting receiver network connection information; And a second connection control unit for confirming the network to which the data is to be received based on the detected receiver network connection information and for connecting to the reception side network interworking system and storing data.
다른 양태에 있어서, 상기 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법이 제공되며, 본 발명은 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템, 상기 제1 및 제2 네트워크 연동 시스템 사이에서 데이터를 송수신하는 연동 제어 시스템이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법으로, 상기 제1 네트워크 연동 시스템이 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계; 상기 송신자가 유효한 경우 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계; 상기 제1 네트워크 연동 시스템이 데이터 저장 알림 신호를 발생시키는 단계; 상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 시스템이 상기 제1 네트워크 연동 시스템에 접속 후 송신 데이터를 읽어오는 단계; 상기 연동 제어 시스템이 상기 제2 네트워크 연동 시스템에 접속하여 상기 송신 데이터를 전송하는 단계; 상기 제2 네트워크 연동 시스템이 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및 상기 송신자가 유효한 경우 상기 제2 네트워크 연동 시스템이 송신 데이터를 복호화하여 저장하는 단계를 포함하는 것을 특징으로 한다.
상기 제1 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는 상기 제1 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다.
또한, 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계는, 상기 암호화된 송신 데이터를 송신자 식별정보 및 네트워크 연결정보, 수신자 식별정보 및 네트워크 연결정보와 함께 저장하는 것이 바람직하다.
아울러, 상기 송신 데이터를 전송하는 단계는 상기 연동 제어 시스템이 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계; 상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및 상기 제2 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함하여 수행되는 것이 바람직하다.
나아가, 상기 제2 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는 상기 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다.According to another aspect of the present invention, there is provided a network-linked security method using the network-linked security system, the system comprising: a first and a second network interworking system respectively interworking with separate first and second networks; A network connection security method using a network connection security system in which an interworking control system for transmitting and receiving data between network interworking systems is logically separated from one server, Confirming the validity of the data; If the sender is valid, encrypting and storing transmission data by the first network interworking system; The first network interworking system generating a data storage announcement signal; Reading the transmission data after the interworking control system is connected to the first network interworking system in response to the data storage announcement signal; The interworking control system accessing the second network interworking system to transmit the transmission data; Confirming the validity of the transmission data sender by the second network interworking system; And decrypting and storing transmission data by the second network interworking system when the sender is valid.
The step of verifying the validity of the sender of the first network interworking system preferably checks whether the sender's ID, password and network connection information are valid based on user information previously stored in the first network interworking system.
Preferably, the step of encrypting and storing the transmission data by the first network interworking system stores the encrypted transmission data together with the sender identification information, the network connection information, the receiver identification information, and the network connection information.
In addition, the step of transmitting the transmission data may include the steps of: the interworking control system analyzing the transmission data to detect the sender identification information, the network connection information, and the receiver network connection information; Transmitting the sender identification information and the network connection information to the second network interworking system; And transmitting transmission data in response to a reception permission notification signal transmitted from the second network interworking system.
In addition, the step of verifying the validity of the sender of the second network interworking system preferably confirms whether the sender's ID, password and network connection information are valid based on the user information previously stored in the second network interworking system.
본 발명은 분리된 네트워크 내에 각각 개별 저장장치를 설치하고, 논리적으로 분리된 연동 제어 시스템을 이용하여 상기 개별 저장장치에 접속하여 데이터를 송수신하도록 함으로써 이동식 저장매체(예컨대, CD 또는 USB 등)의 사용 없이 분리된 네트워크 사이에 데이터 전송이 가능하다. 따라서, 이동식 저장매체의 분실로 인한 데이터 유출, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성 코드 전파의 위험으로부터 자유로울 수 있다. In the present invention, each individual storage device is installed in a separate network, and the data is transmitted and received by connecting to the individual storage device using a logically separated interlocking control system, so that the use of a removable storage medium It is possible to transfer data between separate networks without the Therefore, it can be free from the risk of data leakage due to the loss of the removable storage medium, the inconvenience of users who need to connect with PC every time they use, and the risk of malicious code propagation.
또한 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용하고 네트워크 연결 정보에 의한 사용자 유효성을 검증함으로써, 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다. 따라서 시스템 및 네트워크 관리자, 그리고 사용자들이 단일 시스템의 관리 및 운영에만 전념할 수 있어서 효과적으로 업무를 추진할 수 있고, 네트워크 분리 환경에서 보안성 확보를 위한 초기 투자 비용이 적다는 장점이 있다. In addition, by applying encryption / decryption algorithm in a single system during data transmission and verifying user validity by network connection information, all the security functions required for data transmission can be satisfied. Therefore, system and network administrators and users can concentrate on the management and operation of a single system, so that they can work effectively, and the initial investment cost for securing security in a network separation environment is small.
또한 본 발명의 가상화 기반 네트워크 연계 보안 시스템은 개별 네트워크의 모든 사용자들이 네트워크 연결부(Network Connector)를 이용하여 접속할 수 있는 개방성을 지니고, 전송을 필요로 하는 모든 데이터들을 저장할 수 있는 범용성을 갖추고 있다. In addition, the virtualization-based network-based security system of the present invention is open to all users of the individual network using a network connector, and is universal enough to store all the data that need to be transmitted.
도 1은 일반적인 네트워크 분리 구성의 예를 도시한 도면이다.
도 2는 종래의 실시 예에 따라 저장장치 기반 연계 서버를 이용한 시스템 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다.
도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다.
도 6은 본 발명의 일 실시 예에 따른 사용자 데이터베이스의 데이터 필드 구조를 예시한 도면이다.
도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다.
도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다.
도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다.1 is a diagram showing an example of a general network separation configuration.
2 is a system configuration diagram using a storage-based link server according to a conventional embodiment.
3 is a system configuration diagram of a virtualization-based network-connected security system implemented on a network according to an embodiment of the present invention.
4 is a conceptual diagram of a network-based security system based on virtualization according to an embodiment of the present invention.
5 is a schematic block diagram of a network interworking system according to an embodiment of the present invention.
6 is a diagram illustrating a data field structure of a user database according to an exemplary embodiment of the present invention.
7 is a schematic block diagram of an interlocking control system according to an embodiment of the present invention.
8 is a view showing an example of a process list generated in the interlocking monitoring system according to an embodiment of the present invention.
9 is a flowchart of a virtualization-based network-linked security method according to an exemplary embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and like parts are denoted by similar reference numerals throughout the specification. And a detailed description thereof will be omitted to omit descriptions of portions that can be readily understood by those skilled in the art.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, where a section includes a constituent, it does not exclude other elements unless specifically stated otherwise, but may include other elements.
도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다. 도 3을 참조하면, 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV: Linked Network Security system based on Virtualization)(100)은 인터넷(Internet)과 인트라넷(Intranet)으로 분리된 네트워크(즉, 물리적 또는 논리적으로 분리된 네트워크(Physically or Logically separate network)) 사이에 구현되며, 인터넷 서버(Internet Server)(40)와 인트라넷(분리된) 서버(Intranet(Disconnected) Server)(80)와 서로 데이터 통신을 수행한다. 따라서 본 발명의 LNSV(100)는 데이터를 송수신하는 사용자들(이 때, 각 사용자들은 분리된 네트워크에 연결됨)과 개별 통신이 가능하고, 각 사용자들 간에는 통신을 위한 세션이 생성되지 않는다. 즉, 사용자들 끼리 직접 통신이 이루어지지는 않는다. 3 is a system configuration diagram of a virtualization-based network-connected security system implemented on a network according to an embodiment of the present invention. Referring to FIG. 3, a virtual network based security system (LNSV) 100 according to an exemplary embodiment of the present invention includes a
도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다. 도 4를 참조하면 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV)(100)은 제1 네트워크 연동 시스템(120), 연동 제어 시스템(130), 제2 네트워크 연동 시스템(140), 연동 모니터링 시스템(150)을 포함하고, 상기 각 시스템들은 CPU((171), 메모리(Memory)(172), NIC(Network Information Center)(173), 디스크(Disk)(174) 등을 포함하는 하나의 하드웨어(Hardware)(170)위에 구현된 장치들로서, 하이퍼바이저(Hypervisor)(160)를 통해 논리적으로 분리된 가상의 시스템들이다. 이 때, ‘하이퍼바이저(160)’는 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체계(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어를 말한다. 즉, ‘하이퍼바이저(160)’는 다수의 OS를 하나의 컴퓨터 시스템에서 가동할 수 있게 하는 소프트웨어로 중앙 처리 장치(CPU)와 OS 사이에 일종의 중간웨어로 사용되며, 하나의 컴퓨터에서 서로 다른 OS를 사용하는 가상 컴퓨터를 만들 수 있는 효과적인 가상화 엔진을 말한다.4 is a conceptual diagram of a network-based security system based on virtualization according to an embodiment of the present invention. Referring to FIG. 4, a virtual network-based security system (LNSV) 100 according to an exemplary embodiment of the present invention includes a first
이와 같이 하이퍼바이저(160) 위에 구현된 본 발명의 시스템들을 각각 살펴보면 다음과 같다. The systems of the present invention implemented on the
먼저, 제1 및 제2 네트워크 연동 시스템(120, 140)은 서로 분리된 제1 네트워크 및 제2 네트워크 각각과 연동한다. 도 3을 함께 참조하면 제1 및 제2 네트워크 연동 시스템(120, 140)은 각각 네트워크와의 연결을 제어하는 네트워크 접속자(Network Connector)(121, 141) 및 데이터 저장소(Storage)(122, 142)를 포함하며, 제1 네트워크 연동 시스템(120)은 도 3의 인터넷(Internet)과 연동하고, 제2 네트워크 연동 시스템(140)은 도 3의 인트라넷(Intranet)과 연동한다. 따라서 제1 네트워크 연동 시스템(120)의 네트워크 접속부(121)는 인터넷 서버(Internet Server) (40)와 연결되어 인터넷 서버(Internet Server)(40)와 데이터를 송수신하고, 제2 네트워크 연동 시스템(140)의 네트워크 접속부(141)는 인트라넷 서버(Intranet Server)(80)와 연결되어 인트라넷 서버(Intranet Server)(80)와 데이터를 송수신한다. 데이터 저장소(Storage)들(122, 142)은 다른 네트워크로 송신되어질 데이터를 암호화(Crytography)하여 저장하고, 다른 네트워크로부터 수신된 데이터는 복호화(Decryptography)하여 저장한다. First, the first and second
연동 제어 시스템(130)은 제1 및 제2 네트워크 연동 시스템(120, 140) 사이에서 암호화된 데이터를 송수신한다. 이를 위해 연동 제어 시스템(130)은 제1 네트워크 연동 시스템(120)과 접속하기 위한 제1 접속 제어부(Access Control)(131), 제2 네트워크 연동 시스템(140)과 접속하기 위한 제2 접속 제어부(Access Control)(132)를 포함하며, 제1 및 제2 접속 제어부(131, 132)들 간에는 암호화된 데이터를 전송하는 보안 통신(Security Communication)이 이루어진다.The
연동 모니터링 시스템(150)은 제1 및 제2 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)의 동작 상태를 모니터링하고 데이터 전송 결과를 관리한다. 이를 위해 상기 모니터링 동작을 수행하는 가상화 기반 네트워크 연계 보안 시스템 모니터(LNSV Monitor)(151)와, 일자별/사용자별 데이터 저장 통계, 데이터 크기별/종류별 통계 등 사용 현황을 분석하여 보안 정책을 설정하는 보안정책부(Security Policy)(152)를 포함한다. The interlocking
도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다. 도 5에는 도 4의 제1 네트워크 연동 시스템(120)을 예로 들어 설명하고 있다. 도 5를 참조하면, 제1 네트워크 연동 시스템(120)은 네트워크 연결부(121), 데이터 저장부(122), 제어부(123), 사용자 DB(124)를 포함한다. 5 is a schematic block diagram of a network interworking system according to an embodiment of the present invention. FIG. 5 illustrates the first
네트워크 연결부(121)는 제1 네트워크(예컨대, 인터넷) 사용자와 연결을 제어한다. 이 때, 사용자와 네트워크 연결부(121)는 웹기반 또는 에이전트 방식으로 연결할 수 있다. 웹기반 방식은 사용자가 PC에서 인터넷 접속 프로그램(예컨대, 인터넷 익스플로러 등) 상에 네트워크 연결부 주소(예컨대, URL 또는 IP 주소)를 입력하여 접속하는 방식이고, 에이전트 방식은 사용자가 PC에 설치된 전용 프로그램을 실행하여 접속하는 방식이다. 상기 방식들은 사용자가 GUI(Graphic User Interface)를 이용하기 때문에 직관적으로 파일의 선택 및 이동 명령을 손쉽게 할 수 있다.The
한편, 네트워크 연결부(121)는 자료 전송 후 그 전송 자료를 사용자 PC에서 일정 기간 경과 후에 자동 삭제할 수 있다. 이는 전송했던 PC 또는 네트워크에 침해사고가 발생하더라도 분리된 네트워크로 이동된 파일의 내용을 알 수 없게 함으로써 전송 파일에 대한 보안을 강화하기 위함이다. 이를 위해 네트워크 연결부(121)는 사용자에게 지난 전송 목록 점검 결과를 알려주어 삭제가 필요한 파일의 유/무를 고지하고 사용자가 삭제 여부를 최종 결정하도록 하는 것이 바람직하다. On the other hand, the
또한 네트워크 연결부(121)는 전송 가능한 파일의 유형을 미리 제한하고 그 제한된 유형의 파일만을 전송하도록 하고, 파일 전송에 대한 승인 및 결재자는 다수로 지정할 수 있다. 이 때 승인/결재의 형태는 사전승인, 사후승인, 반려, 승인 기능 미사용 등으로 설정할 수 있으며, 승인권자는 송신을 신청한 데이터와 승인 형태를 확인한 후 승인하고, 승인 알람을 발생시킬 수 있다.In addition, the
데이터 저장부(122)는 분리된 다른 네트워크(예컨대, 인트라넷)로 송신하기 위한 데이터 또는 상기 다른 네트워크(예컨대, 인트라넷)로부터 수신되어진 데이터를 저장한다.The
제어부(123)는 미리 설정된 제어 프로그램에 의거하여 제1 네트워크 연동 시스템(120)의 동작을 제어한다. 특히, 해당 네트워크(예컨대, 인터넷)로부터 데이터가 수신되면 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정한다. 그리고 상기 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 데이터 저장부(122)에 저장하되, 암호화하여 저장하고 ‘데이터 저장알림신호’를 발생시킨다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 사용자의 접속을 차단한다. 상기 ‘데이터 저장알림신호’는 연동 제어 시스템에게 다른 네트워크로 전송할 새로운 데이터가 생성되었음을 알리기 위한 것이다.The
한편, 다른 네트워크(예컨대, 인트라넷)로부터 데이터가 수신된 경우 제어부(123)는 상기 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정하고 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 복호화하여 저장한다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 데이터를 무시한다. On the other hand, when data is received from another network (for example, an intranet), the
사용자 DB(124)는 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장한다. 도 6은 이러한 사용자 DB(124)의 필드 구조를 예시한 도면으로서, 도 6을 참조하면 사용자 DB(200)는 사용자 식별정보를 저장하는 ID(201) 필드, 해당 사용자가 접속하는 IP 주소를 저장하는 IP 주소(203)필드 및 해당 사용자가 접속하는 포드 정보를 저장하는 포트 정보(205) 필드를 포함한다. The
도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다. 도 5 및 도 7을 참조하면 연동 제어 시스템(130)은 제1 접속 제어부(131), 데이터 분석부(133) 및 제2 접속 제어부(132)를 포함한다. 7 is a schematic block diagram of an interlocking control system according to an embodiment of the present invention. 5 and 7, the interlocking
제1 접속 제어부(131)는 특정 네트워크 연동 시스템에서 발생된‘데이터 저장 알림신호’에 응답하여 해당 네트워크 연동 시스템에 접속하여 새로이 저장된 데이터를 독출한다. 만약 도 5의 제1 네트워크 연동 시스템(120)에서 발생된 ‘데이터 저장 알림신호’를 수신한 경우 제1 접속 제어부(131)는 그에 응답하여 데이터를 송신하고자 하는 송신측 네트워크(예컨대, 인터넷)의 네트워크 연동 시스템, 즉, 제1 네트워크 연동 시스템(120)에 접속하여 제1 네트워크 연동 시스템(120) 내의 데이터 저장부(122)에 새로 저장된 데이터를 독출한다.The first
데이터 분석부(133)는 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출한다. The
제2 접속 제어부(132)는 데이터 분석부(133)에서 검출한 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크(예컨대, 인트라넷)를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장한다. The second
이 때, 연동 제어 시스템(130)은 송신측 네트워크 연동 시스템 상의 잔존 데이터를 삭제하는 것이 바람직하다. 즉, 제2 접속 제어부(133)가 수신측 네트워크 연동 시스템에 데이터 저장을 완료한 후, 제1 접속 제어부(131)는 송신측 네트워크 연동 시스템에서 송신 완료된 데이터를 삭제하는 것이 바람직하다. 이는 관리자 등이 연동 제어 시스템(130) 내에서 사후에 해당 파일을 열람하는 일을 미연에 방지하고, 연동 제어 시스템(130)에 침해사고가 발생하더라도 이동된 파일의 내용을 알 수 없게 하도록 하기 위함이다. 이를 위해 연동 제어 시스템(130)은 전송 완료된 데이터를 자동 삭제하는 것이 바람직하다. 이는 사용자 또는 관리자가 해당 파일에 대한 추가적 작업을 하는 것이 불필요하기 때문이다.At this time, the
도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다. 연동 모니터링 시스템은 본 발명의 가상화 기반 연계 보안 시스템의 각 구성 요소들의 동작을 모니터링하고 그 결과 도 8에 예시된 바와 같은 목록을 도출한다. 그리고 그 결과에 의거하여 보안 정책을 설정한다. 예를 들어, 특정 ID의 사용자가 유효하지 않은 경로로 접속을 시도한 횟수가 미리 설정된 임계치를 초과하는 경우 그 ID를 자동 삭제하는 등의 보안 정책을 설정할 수 있을 것이다. 8 is a view showing an example of a process list generated in the interlocking monitoring system according to an embodiment of the present invention. The interlocking monitoring system monitors the operation of each component of the virtualization-based cooperative security system of the present invention and as a result derives a list as illustrated in FIG. Then, the security policy is set based on the result. For example, a security policy such as automatically deleting the ID when the number of times that a user of a specific ID attempts to connect with an invalid path exceeds a preset threshold value may be set.
도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다. 도 9는 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템(120, 140), 상기 제1 및 제2 네트워크 연동 시스템(120, 140) 사이에서 데이터를 송수신하는 연동 제어 시스템(130) 및 제1 및 제2 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)을 모니터링하는 연동 모니터링 시스템(150)이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법에 대한 처리 절차가 예시되어 있다. 9 is a flowchart of a virtualization-based network-linked security method according to an exemplary embodiment of the present invention. FIG. 9 is a block diagram illustrating a first
도 9를 참조하면 제1 네트워크 연동 시스템(120)에 사용자의 접속 시도가 감지될 경우(S101), 즉 제1 네트워크에 연결된 특정 사용자가 자신의 ID와 패스워드를 입력하여 제1 네트워크 시스템에 접속하고자 하는 경우, 제1 네트워크 연동 시스템(120)은 상기 사용자가 입력한 정보 및 그 네트워크 연결 정보(예컨대, IP 주소 및 포트 정보 등)를 이용하여 사용자의 유효성을 확인한다(S103). 상기 유효성 확인은 제1 네트워크 연동 시스템(120)에 미리 저장된 사용자 정보에 의거하여 상기 사용자(즉, 데이터 송신자)의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인한다. 상기 확인 결과 송신자가 정당한 사용자라고 판단되면(S105) 제1 네트워크 연동 시스템(120)은 상기 사용자(즉, 데이터 송신자)가 입력한 입력 데이터를 저장한다(S109). 이 때, 제1 네트워크 연동 시스템(120)은 상기 입력 데이터를 암호화하여 저장하되, 송신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)와 수신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)를 함께 저장한다. 또한 암호화 및 복호화를 위해 해시값(Hash value)를 함께 저장할 수 있다. Referring to FIG. 9, when a user's connection attempt is detected in the first network interworking system 120 (S101), that is, when a specific user connected to the first network inputs his ID and password to access the first network system The first
상기 판단(S105) 결과 송신자가 정당하지 않다고 판단되면 제1 네트워크 연동 시스템(120)은 해당 사용자(즉, 데이터 송신자)의 접속을 차단한다(S107).If it is determined that the sender is not valid as a result of the determination (S105), the first
한편 상기 과정(S109)에서 입력 데이터를 저장한 제1 네트워크 연동 시스템(120)은 데이터 저장 알림 신호를 출력한다(S111). Meanwhile, in step S109, the first
그러면 상기 데이터 저장 알림 신호를 확인한 연동 제어 시스템(130)은 그 데이터 저장 알림 신호에 응답하여 제1 네트워크 연동 시스템(120)에 접속 후(S113) 송신 데이터를 읽어온다(S115). In step S115, the
상기 제1 네트워크 연동 시스템(120)으로부터 송신 데이터를 읽어온 연동 제어 시스템(130)은 상기 송신 데이터를 분석하여 수신자 및 수신자의 네트워크 연결정보를 확인하고, 대응된 네트워크의 네트워크 연동 시스템에 접속한다. 도 9의 예에서 수신자의 네트워크에 대응된 네트워크 연동 시스템은 제2 네트워크 연동 시스템(140)이다. 따라서 연동 제어 시스템(130)은 제2 네트워크 연동 시스템(140)에 접속한 후(S117) 송신 데이터를 전송한다. The
이 때 연동 제어 시스템(130)은 상기 데이터 분석 결과 중 하나인 송신자 정보, 즉, 송신자의 식별정보 및 네트워크 연결정보를 제2 네트워크 연동 시스템(140)으로 전송하고(S119), 그 송신자 정보에 의거하여 송신자 유효성을 확인한 제2 네트워크 연동 시스템(140)으로부터 전달된 수신 허용 알림 신호에 응답하여 송신 데이터를 제2 네트워크 연동 시스템(140)으로 전송하는 것이 바람직하다(S125, S127). At this time, the
한편 제2 네트워크 연동 시스템(140)은 연동 제어 시스템(130)으로부터 전달된 송신자 정보에 의거하여 송신자 유효성을 확인하여(S121)하고, 그 결과 상기 송신자가 정당 사용자라고 판단되면(S123) 수신 허용 알림 신호를 연동 제어 시스템(130)으로 전송하고, 연동 제어 시스템(130)으로부터 데이터를 전달받아 그 데이터를 저장한다(S129). 이 때, 제2 네트워크 연동 시스템(140)은 상기 과정(S121)에서, 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다. 또한 과정(S129)에서는 수신된 데이터를 복호화한 후 저장한다. On the other hand, the second
상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the above-described exemplary system, the methods are described on the basis of a flowchart as a series of steps or blocks, but the present invention is not limited to the order of the steps, and some steps may occur in different orders or simultaneously .
또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.
It will also be understood by those skilled in the art that the steps shown in the flowchart are not exclusive and that other steps may be included or that one or more steps in the flowchart may be deleted without affecting the scope of the invention.
Claims (10)
상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 시스템들;
상기 2 이상의 네트워크 연동 시스템들 사이에서 암호화된 데이터를 송수신하는 연동 제어 시스템; 및
상기 2 이상의 네트워크 연동 시스템들과 상기 연동 제어 시스템의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 시스템을 포함하여,
상기 2 이상의 네트워크 연동 시스템들, 상기 연동 제어 시스템 및 상기 연동 모니터링 시스템은 하나의 서버에서 논리적으로 분리된 장치들이며,
상기 연동 모니터링 시스템은 상기 네트워크 연동 시스템들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.A network-linked security system between two or more separate networks,
Two or more network interworking systems interworking with each of the two or more networks;
An interworking control system for transmitting and receiving the encrypted data between the two or more network interworking systems; And
And an interworking monitoring system for monitoring an operation state of the at least two network interworking systems and the interworking control system and managing a result of data transmission,
The two or more network interworking systems, the interworking control system and the interlocking monitoring system are logically separated devices in one server,
Wherein the interworking monitoring system reports user identification information and network connection information to be connected to the network interworking systems, and sets a security policy based on the information.
상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스;
해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부;
분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부;
해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 유효한 사용자 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.The system of claim 1, wherein the two or more network interworking systems each comprise:
A user database for storing valid user information within the network-based security system;
A network connection unit for controlling connection with the network user;
A data storage unit for storing data for transmission to another separate network or data received from the other network;
And a control unit for checking whether the data sender is valid based on valid user information stored in the user database when the data is received from the network, encrypting and storing the received data, and generating a data storage announcement signal Network - based security system based on virtualization.
다른 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 복호화하여 저장하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.3. The apparatus of claim 2, wherein the control unit
Based on the information stored in the user database, whether the data sender is validated, and decrypts and stores the received data when data is received from another network.
상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동 시스템에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부;
상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부;
상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.3. The system of claim 2, wherein the interlocking control system
A first connection control unit connected to a network interworking system of a transmission side network to transmit data in response to a storage notification signal of the control unit and reading data newly stored in the data storage unit;
A data analyzer for analyzing the read data and detecting receiver network connection information;
And a second connection controller for confirming a network to which the data is to be received based on the detected receiver network connection information, and storing the data by connecting to a receiving network interworking system.
상기 제1 네트워크 연동 시스템이 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계;
상기 송신자가 유효한 경우 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계;
상기 제1 네트워크 연동 시스템이 데이터 저장 알림 신호를 발생시키는 단계;
상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 시스템이 상기 제1 네트워크 연동 시스템에 접속 후 송신 데이터를 읽어오는 단계;
상기 연동 제어 시스템이 상기 제2 네트워크 연동 시스템에 접속하여 상기 송신 데이터를 전송하는 단계;
상기 제2 네트워크 연동 시스템이 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및
상기 송신자가 유효한 경우 상기 제2 네트워크 연동 시스템이 송신 데이터를 복호화하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.The first and second network interworking systems interlocked with the first and second networks separated from each other, and the interworking control system for transmitting and receiving data between the first and second network interworking systems, A network-linked security method using a security system,
Confirming the validity of the sender that the first network interworking system attempts to connect to transmit data;
If the sender is valid, encrypting and storing transmission data by the first network interworking system;
The first network interworking system generating a data storage announcement signal;
Reading the transmission data after the interworking control system is connected to the first network interworking system in response to the data storage announcement signal;
The interworking control system accessing the second network interworking system to transmit the transmission data;
Confirming the validity of the transmission data sender by the second network interworking system; And
And if the sender is valid, the second network interworking system decrypts and stores the transmission data.
상기 제1 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.7. The method of claim 6, wherein validating the sender of the first network interworking system comprises:
And checks whether the sender's ID, password, and network connection information are valid based on user information previously stored in the first network interworking system.
상기 연동 제어 시스템이 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계;
상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및
상기 제2 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.7. The method of claim 6, wherein transmitting the transmission data comprises:
The interworking control system analyzing transmission data to detect sender identification information, network connection information and recipient network connection information;
Transmitting the sender identification information and the network connection information to the second network interworking system; And
And transmitting transmission data in response to a reception permission notification signal transmitted from the second network interworking system.
상기 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.
7. The method of claim 6, wherein validating the sender of the second network interworking system comprises:
And confirms whether the sender's ID, password, and network connection information are valid based on user information previously stored in the second network interworking system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120125826A KR101425726B1 (en) | 2012-11-08 | 2012-11-08 | Linked network security system and method based on virtualization in the separate network environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120125826A KR101425726B1 (en) | 2012-11-08 | 2012-11-08 | Linked network security system and method based on virtualization in the separate network environment |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140059403A KR20140059403A (en) | 2014-05-16 |
KR101425726B1 true KR101425726B1 (en) | 2014-08-01 |
Family
ID=50889220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120125826A KR101425726B1 (en) | 2012-11-08 | 2012-11-08 | Linked network security system and method based on virtualization in the separate network environment |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101425726B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102510300B1 (en) | 2022-12-06 | 2023-03-15 | (주)씨크랩 | System and method for indirect connectivity in network-seperated environment |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180051719A (en) * | 2016-11-08 | 2018-05-17 | (주) 퓨전데이타 | System and method for virtualization integrated web service based on html5 |
KR101962408B1 (en) * | 2017-11-29 | 2019-03-26 | 한전케이디엔주식회사 | Automatic Detection System for Multi Homed Host and Method thereof |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002094508A (en) * | 2000-09-13 | 2002-03-29 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for managing connection in inter- private-network communication |
KR20070038618A (en) * | 2005-10-06 | 2007-04-11 | 주식회사 케이티프리텔 | Method and system for providing virtual private network services based on mobile communication and mobile terminal for the same |
US20090300605A1 (en) * | 2004-10-29 | 2009-12-03 | Hewlett-Packard Development Company, L.P. | Virtual computing infrastructure |
-
2012
- 2012-11-08 KR KR1020120125826A patent/KR101425726B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002094508A (en) * | 2000-09-13 | 2002-03-29 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for managing connection in inter- private-network communication |
US20090300605A1 (en) * | 2004-10-29 | 2009-12-03 | Hewlett-Packard Development Company, L.P. | Virtual computing infrastructure |
KR20070038618A (en) * | 2005-10-06 | 2007-04-11 | 주식회사 케이티프리텔 | Method and system for providing virtual private network services based on mobile communication and mobile terminal for the same |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102510300B1 (en) | 2022-12-06 | 2023-03-15 | (주)씨크랩 | System and method for indirect connectivity in network-seperated environment |
Also Published As
Publication number | Publication date |
---|---|
KR20140059403A (en) | 2014-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11722521B2 (en) | Application firewall | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
US9866567B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
US10762209B2 (en) | Boot security | |
Kesh et al. | A framework for analyzing e‐commerce security | |
EP3171571B1 (en) | Method and system for managing access control lists in a networked application environment | |
KR101425726B1 (en) | Linked network security system and method based on virtualization in the separate network environment | |
Darwish et al. | Privacy and security of cloud computing: a comprehensive review of techniques and challenges | |
Dhondge | Lifecycle IoT Security for Engineers | |
Kuzminykh et al. | Mechanisms of ensuring security in Keystone service | |
US20240146536A1 (en) | Network access using hardware-based security | |
Wilson | Towards Enhancing Security in Cloud Storage Environments | |
Majumdar | Cloud Computing and Its Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170622 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180705 Year of fee payment: 5 |