KR101425726B1 - Linked network security system and method based on virtualization in the separate network environment - Google Patents

Linked network security system and method based on virtualization in the separate network environment Download PDF

Info

Publication number
KR101425726B1
KR101425726B1 KR1020120125826A KR20120125826A KR101425726B1 KR 101425726 B1 KR101425726 B1 KR 101425726B1 KR 1020120125826 A KR1020120125826 A KR 1020120125826A KR 20120125826 A KR20120125826 A KR 20120125826A KR 101425726 B1 KR101425726 B1 KR 101425726B1
Authority
KR
South Korea
Prior art keywords
network
data
interworking
sender
information
Prior art date
Application number
KR1020120125826A
Other languages
Korean (ko)
Other versions
KR20140059403A (en
Inventor
최경호
이동휘
김귀남
Original Assignee
경기대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경기대학교 산학협력단 filed Critical 경기대학교 산학협력단
Priority to KR1020120125826A priority Critical patent/KR101425726B1/en
Publication of KR20140059403A publication Critical patent/KR20140059403A/en
Application granted granted Critical
Publication of KR101425726B1 publication Critical patent/KR101425726B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 LNSV은 제1 네트워크 연동 시스템, 연동 제어 시스템, 제2 네트워크 연동 시스템, 연동 모니터링 시스템을 포함하고, 상기 각 시스템들은 하이퍼바이저(Hypervisor)를 통해 논리적으로 분리 구성되어, 분리된 제1 및 제2 네트워크 사이에 구현된다. 따라서 분리된 네트워크들 각각에 포함된 사용자들과 개별 통신이 가능하지만, 분리된 네트워크에 속한 사용자들 간에 직접 통신 세션이 생성되지는 않는다. 따라서 분리된 네트워크들 간에 이동식 저장매체 없이도 데이터 송수신이 가능하며, 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용함과 동시에 네트워크 연결 정보에 의한 사용자 유효성 검증 과정을 거침으로써 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다. The LNSV of the present invention includes a first network interworking system, an interworking control system, a second network interworking system, and an interworking monitoring system, wherein each of the systems is logically separated by a hypervisor, And is implemented between the second networks. Thus, although individual communication is possible with users included in each of the separate networks, no direct communication session is created between users belonging to the separate network. Therefore, it is possible to send and receive data without any removable storage medium between separate networks. In the case of data transmission, encryption / decryption algorithm is applied in a single system and user validation process is performed by network connection information, Functions can be satisfied.

Description

네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법{LINKED NETWORK SECURITY SYSTEM AND METHOD BASED ON VIRTUALIZATION IN THE SEPARATE NETWORK ENVIRONMENT}TECHNICAL FIELD [0001] The present invention relates to a network-based security system and a method thereof,

본 발명은 네트워크 연계 보안 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 분리된 네트워크 간에 안전한 데이터 전송을 보장할 수 있는 네트워크 연계 보안 시스템 및 그 방법에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network-connected security system and a method thereof, and more particularly, to a network-based security system and method capable of ensuring secure data transmission between separate networks.

오늘날은 컴퓨터와 네트워크의 사용을 통해 업무를 추진하고 고부가가치를 창출하는 시대이다. 이미 정부, 기업 및 개인들은 컴퓨터와 네트워크로 구성된 사이버 공간을 업무와 생활을 영위하기 위한 필수 불가결한 요소로 받아들이고 있다. 따라서 이들은 사이버 공간의 안전을 위한 다양한 공격을 방어하는 일에 높은 관심을 가지고 있다. 그러나 이러한 관심에도 불구하고 사이버 위협은 심각한 피해를 유발하며 지속적으로 발생하고 있기 때문에, 지능화된 피싱, 스턱스넷(Stuxnet)을 이용한 중요 기반시설 공격 및 내부정보 유출과 같은 분야의 문제점과 대응책 관련 연구가 활발히 진행되고 있다. Today, it is the era that promotes business through the use of computers and networks and creates high added value. Governments, corporations, and individuals have already embraced computer and networked cyberspace as an indispensable part of their work and life. Therefore, they are highly interested in defending various attacks for the security of cyberspace. Despite this interest, however, cyber threats have been causing serious damage and are continuing to occur. Therefore, research on problems and countermeasures in areas such as intelligent phishing, critical infrastructure attacks using Stuxnet, and internal information leakage It is actively proceeding.

이러한 문제를 해결하기 위한 한 가지 방법으로 종래에는 인트라넷과 인터넷을 분리 운영하였다. 도 1은 이러한 네트워크 분리 구성의 예를 도시한 도면으로서, 특히 물리적 및 논리적으로 네트워크를 분리하여 구현한 예를 도시한 도면이다. 도 1의 예에서 네트워크(Internet)(10)와 네트워크(Disconnected Network)(20)은 물리적 네트워크 분리의 예를 나타내고, 네트워크(Internet)(30)은 논리적 네트워크 분리의 예를 나타낸다. 물리적 네트워크 분리는 모든 시스템 및 네트워크를 하드웨어적으로 분리하는 것이며, 논리적 네트워크 분리는 소프트웨어적 기술을 이용하는 것이다. One way to solve this problem is to separate the intranet and the Internet. FIG. 1 is a diagram showing an example of such a network separation configuration. In particular, FIG. 1 illustrates an example in which networks are separated physically and logically. In the example of FIG. 1, the network 10 and the network 20 are examples of physical network separation, and the network 30 is an example of logical network separation. Physical network separation is a hardware separation of all systems and networks, and logical network separation is a software technique.

이와 같이 네트워크가 물리적 또는 논리적으로 분리된 경우 그 네트워크들은 서로 통신을 할 수 없기 때문에, 별도의 데이터 전송 아키텍쳐를 필요로 한다. 예를 들어, 이동식 저장매체(예컨대, CD, USB 등)를 이용하여 네트워크 간에 데이터 전송을 수행하였다. 이 방법은 이동식 저장매체의 분실로 인한 데이터 유출의 위험, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성코드 전파의 위험 등을 감수해야 한다. 또한 USB의 인증 및 암호화 관련 시스템을 추가해야 하는 단점이 있다. In this way, if the network is physically or logically separated, the networks can not communicate with each other and thus require a separate data transmission architecture. For example, data transmission has been performed between networks using a removable storage medium (e.g., CD, USB, etc.). This method requires the risk of data leakage due to the loss of the removable storage medium, the inconvenience of users who need to connect to PC every time they use it, and the risk of malicious code transmission. It also has the disadvantage of adding USB authentication and encryption related systems.

한편 분리된 네트워크 간 데이터 전송을 위해 도 2에 예시된 바와 같은 저장장치 기반 연계 서버(connected server based on storage)를 활용할 수도 있다. 즉 서로 분리된 네트워크들(예컨대, 인터넷과 인트라넷) 사이에 저장장치(60)를 설치하고 각각의 네트워크를 상기 저장장치(60)에 접속시키기 위한 별도의 서버들(40, 50, 70, 80)을 구축한 후, 각 네트워크에 속한 사용자들이 상기 저장장치(60)에 데이터를 저장함으로써 다른 네트워크에 속한 사용자가 그 저장장치(60)로부터 데이터를 읽어가도록 할 수도 있다. 하지만 이러한 방법은 별도로 다수의 서버와 저장장치를 구축 및 운영해야 하므로 접근통제 시스템 및 암/복호화 기능 등과 같은 다양한 요구사항들을 충족해야 한다. 따라서 IT 자산에 대한 투자 비용을 증대시키고, 시스템 및 네트워크 관리자와 사용자의 업무 효율을 저하시키는 단점이 있다. Meanwhile, a connected server based on storage as illustrated in FIG. 2 may be utilized for data transmission between separated networks. Separate servers 40, 50, 70 and 80 for establishing a storage 60 between separate networks (e.g., the Internet and an intranet) and connecting each network to the storage 60, The users belonging to each network can store data in the storage device 60 so that a user belonging to the other network can read data from the storage device 60. [ However, since this method requires construction and operation of a plurality of servers and storage devices separately, it must satisfy various requirements such as an access control system and an encryption / decryption function. This increases the investment cost of IT assets and reduces the efficiency of system and network administrators and users.

따라서 본 연구에서는 네트워크 분리 환경에서 편리하고 안전하게 데이터를 전송할 수 있도록 하는 가상화 기반 네트워크 연계 보안 시스템 및 그 방법을 제공하고자 한다.Therefore, this study aims to provide a network-based security system and method for virtualization-based network that can conveniently and securely transmit data in a network separation environment.

일 양태에 있어서, 가상화 기반 네트워크 연계 보안 시스템이 제공된다. 상기 가상화 기반 네트워크 연계 보안 시스템은 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서, 분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서, 상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 시스템들; 상기 2 이상의 네트워크 연동 시스템들 사이에서 암호화된 데이터를 송수신하는 연동 제어 시스템; 및 상기 2 이상의 네트워크 연동 시스템들과 상기 연동 제어 시스템의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 시스템을 포함하여, 상기 2 이상의 네트워크 연동 시스템들, 상기 연동 제어 시스템 및 상기 연동 모니터링 시스템은 하나의 서버에서 논리적으로 분리된 장치들이며, 상기 연동 모니터링 시스템은 상기 네트워크 연동 시스템들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 한다.
상기 2 이상의 네트워크 연동 시스템들은 각각 상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스; 해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부; 분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부; 해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 유효한 사용자 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함하는 것이 바람직하다.
여기서, 상기 제어부는 다른 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 복호화하여 저장하는 것이 바람직하다.
또한, 상기 연동 제어 시스템은 상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동 시스템에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부; 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부; 상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하는 것이 바람직하다.In one aspect, a virtualization-based network-linked security system is provided. Wherein the virtualization-based network-connected security system is a network-based security system between two or more separate networks, the network-based security system comprising: at least two network interworking systems field; An interworking control system for transmitting and receiving the encrypted data between the two or more network interworking systems; And an interworking monitoring system for monitoring the operation status of the at least two network interworking systems and the interworking control system and for managing data transmission results, wherein the at least two network interworking systems, the interworking control system, and the interworking monitoring system Wherein the interworking monitoring system reports a list of user identification information and network connection information to be connected to the network interworking systems and sets a security policy based on the information .
The two or more network interworking systems each storing valid user information in the network-based security system; A network connection unit for controlling connection with the network user; A data storage unit for storing data for transmission to another separate network or data received from the other network; And a control unit for checking whether the data sender is valid based on valid user information stored in the user database when the data is received from the network, encrypting and storing the received data, and generating a data storage announcement signal.
Here, the controller may check whether the data sender is valid based on the information stored in the user database when the data is received from another network, decrypt the received data, and store the received data.
The interworking control system may further include a first connection control unit connected to a network interworking system of a transmitting-side network to which data is to be transmitted in response to a storage notification signal of the control unit and reading data newly stored in the data storage unit; A data analyzer for analyzing the read data and detecting receiver network connection information; And a second connection control unit for confirming the network to which the data is to be received based on the detected receiver network connection information and for connecting to the reception side network interworking system and storing data.

다른 양태에 있어서, 상기 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법이 제공되며, 본 발명은 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템, 상기 제1 및 제2 네트워크 연동 시스템 사이에서 데이터를 송수신하는 연동 제어 시스템이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법으로, 상기 제1 네트워크 연동 시스템이 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계; 상기 송신자가 유효한 경우 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계; 상기 제1 네트워크 연동 시스템이 데이터 저장 알림 신호를 발생시키는 단계; 상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 시스템이 상기 제1 네트워크 연동 시스템에 접속 후 송신 데이터를 읽어오는 단계; 상기 연동 제어 시스템이 상기 제2 네트워크 연동 시스템에 접속하여 상기 송신 데이터를 전송하는 단계; 상기 제2 네트워크 연동 시스템이 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및 상기 송신자가 유효한 경우 상기 제2 네트워크 연동 시스템이 송신 데이터를 복호화하여 저장하는 단계를 포함하는 것을 특징으로 한다.
상기 제1 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는 상기 제1 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다.
또한, 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계는, 상기 암호화된 송신 데이터를 송신자 식별정보 및 네트워크 연결정보, 수신자 식별정보 및 네트워크 연결정보와 함께 저장하는 것이 바람직하다.
아울러, 상기 송신 데이터를 전송하는 단계는 상기 연동 제어 시스템이 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계; 상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및 상기 제2 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함하여 수행되는 것이 바람직하다.
나아가, 상기 제2 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는 상기 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다.According to another aspect of the present invention, there is provided a network-linked security method using the network-linked security system, the system comprising: a first and a second network interworking system respectively interworking with separate first and second networks; A network connection security method using a network connection security system in which an interworking control system for transmitting and receiving data between network interworking systems is logically separated from one server, Confirming the validity of the data; If the sender is valid, encrypting and storing transmission data by the first network interworking system; The first network interworking system generating a data storage announcement signal; Reading the transmission data after the interworking control system is connected to the first network interworking system in response to the data storage announcement signal; The interworking control system accessing the second network interworking system to transmit the transmission data; Confirming the validity of the transmission data sender by the second network interworking system; And decrypting and storing transmission data by the second network interworking system when the sender is valid.
The step of verifying the validity of the sender of the first network interworking system preferably checks whether the sender's ID, password and network connection information are valid based on user information previously stored in the first network interworking system.
Preferably, the step of encrypting and storing the transmission data by the first network interworking system stores the encrypted transmission data together with the sender identification information, the network connection information, the receiver identification information, and the network connection information.
In addition, the step of transmitting the transmission data may include the steps of: the interworking control system analyzing the transmission data to detect the sender identification information, the network connection information, and the receiver network connection information; Transmitting the sender identification information and the network connection information to the second network interworking system; And transmitting transmission data in response to a reception permission notification signal transmitted from the second network interworking system.
In addition, the step of verifying the validity of the sender of the second network interworking system preferably confirms whether the sender's ID, password and network connection information are valid based on the user information previously stored in the second network interworking system.

본 발명은 분리된 네트워크 내에 각각 개별 저장장치를 설치하고, 논리적으로 분리된 연동 제어 시스템을 이용하여 상기 개별 저장장치에 접속하여 데이터를 송수신하도록 함으로써 이동식 저장매체(예컨대, CD 또는 USB 등)의 사용 없이 분리된 네트워크 사이에 데이터 전송이 가능하다. 따라서, 이동식 저장매체의 분실로 인한 데이터 유출, 사용할 때마다 PC와 연결해야 하는 사용자의 불편함, 악성 코드 전파의 위험으로부터 자유로울 수 있다. In the present invention, each individual storage device is installed in a separate network, and the data is transmitted and received by connecting to the individual storage device using a logically separated interlocking control system, so that the use of a removable storage medium It is possible to transfer data between separate networks without the Therefore, it can be free from the risk of data leakage due to the loss of the removable storage medium, the inconvenience of users who need to connect with PC every time they use, and the risk of malicious code propagation.

또한 데이터 전송시 단일 시스템 내에서 암호화/복호화 알고리즘을 적용하고 네트워크 연결 정보에 의한 사용자 유효성을 검증함으로써, 데이터 전송시 요구되는 보안 기능들을 모두 충족시킬 수 있다. 따라서 시스템 및 네트워크 관리자, 그리고 사용자들이 단일 시스템의 관리 및 운영에만 전념할 수 있어서 효과적으로 업무를 추진할 수 있고, 네트워크 분리 환경에서 보안성 확보를 위한 초기 투자 비용이 적다는 장점이 있다. In addition, by applying encryption / decryption algorithm in a single system during data transmission and verifying user validity by network connection information, all the security functions required for data transmission can be satisfied. Therefore, system and network administrators and users can concentrate on the management and operation of a single system, so that they can work effectively, and the initial investment cost for securing security in a network separation environment is small.

또한 본 발명의 가상화 기반 네트워크 연계 보안 시스템은 개별 네트워크의 모든 사용자들이 네트워크 연결부(Network Connector)를 이용하여 접속할 수 있는 개방성을 지니고, 전송을 필요로 하는 모든 데이터들을 저장할 수 있는 범용성을 갖추고 있다. In addition, the virtualization-based network-based security system of the present invention is open to all users of the individual network using a network connector, and is universal enough to store all the data that need to be transmitted.

도 1은 일반적인 네트워크 분리 구성의 예를 도시한 도면이다.
도 2는 종래의 실시 예에 따라 저장장치 기반 연계 서버를 이용한 시스템 구성도이다.
도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다.
도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다.
도 6은 본 발명의 일 실시 예에 따른 사용자 데이터베이스의 데이터 필드 구조를 예시한 도면이다.
도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다.
도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다.
도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다.1 is a diagram showing an example of a general network separation configuration.
2 is a system configuration diagram using a storage-based link server according to a conventional embodiment.
3 is a system configuration diagram of a virtualization-based network-connected security system implemented on a network according to an embodiment of the present invention.
4 is a conceptual diagram of a network-based security system based on virtualization according to an embodiment of the present invention.
5 is a schematic block diagram of a network interworking system according to an embodiment of the present invention.
6 is a diagram illustrating a data field structure of a user database according to an exemplary embodiment of the present invention.
7 is a schematic block diagram of an interlocking control system according to an embodiment of the present invention.
8 is a view showing an example of a process list generated in the interlocking monitoring system according to an embodiment of the present invention.
9 is a flowchart of a virtualization-based network-linked security method according to an exemplary embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and like parts are denoted by similar reference numerals throughout the specification. And a detailed description thereof will be omitted to omit descriptions of portions that can be readily understood by those skilled in the art.

명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, where a section includes a constituent, it does not exclude other elements unless specifically stated otherwise, but may include other elements.

도 3은 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템이 네트워크 상에 구현된 시스템 구성도이다. 도 3을 참조하면, 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV: Linked Network Security system based on Virtualization)(100)은 인터넷(Internet)과 인트라넷(Intranet)으로 분리된 네트워크(즉, 물리적 또는 논리적으로 분리된 네트워크(Physically or Logically separate network)) 사이에 구현되며, 인터넷 서버(Internet Server)(40)와 인트라넷(분리된) 서버(Intranet(Disconnected) Server)(80)와 서로 데이터 통신을 수행한다. 따라서 본 발명의 LNSV(100)는 데이터를 송수신하는 사용자들(이 때, 각 사용자들은 분리된 네트워크에 연결됨)과 개별 통신이 가능하고, 각 사용자들 간에는 통신을 위한 세션이 생성되지 않는다. 즉, 사용자들 끼리 직접 통신이 이루어지지는 않는다. 3 is a system configuration diagram of a virtualization-based network-connected security system implemented on a network according to an embodiment of the present invention. Referring to FIG. 3, a virtual network based security system (LNSV) 100 according to an exemplary embodiment of the present invention includes a network 100 separated into an Internet and an intranet (Physically or Logically separate network)), and is implemented between an Internet server (40) and an Intranet (Disconnected) server (80) And performs communication. Therefore, the LNSV 100 of the present invention is capable of individual communication with users transmitting and receiving data (in this case, each user is connected to a separate network), and a session for communication is not created between the users. That is, the direct communication between users is not performed.

도 4는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템에 대한 개념도이다. 도 4를 참조하면 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 시스템(LNSV)(100)은 제1 네트워크 연동 시스템(120), 연동 제어 시스템(130), 제2 네트워크 연동 시스템(140), 연동 모니터링 시스템(150)을 포함하고, 상기 각 시스템들은 CPU((171), 메모리(Memory)(172), NIC(Network Information Center)(173), 디스크(Disk)(174) 등을 포함하는 하나의 하드웨어(Hardware)(170)위에 구현된 장치들로서, 하이퍼바이저(Hypervisor)(160)를 통해 논리적으로 분리된 가상의 시스템들이다. 이 때, ‘하이퍼바이저(160)’는 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체계(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어를 말한다. 즉, ‘하이퍼바이저(160)’는 다수의 OS를 하나의 컴퓨터 시스템에서 가동할 수 있게 하는 소프트웨어로 중앙 처리 장치(CPU)와 OS 사이에 일종의 중간웨어로 사용되며, 하나의 컴퓨터에서 서로 다른 OS를 사용하는 가상 컴퓨터를 만들 수 있는 효과적인 가상화 엔진을 말한다.4 is a conceptual diagram of a network-based security system based on virtualization according to an embodiment of the present invention. Referring to FIG. 4, a virtual network-based security system (LNSV) 100 according to an exemplary embodiment of the present invention includes a first network interworking system 120, an interworking control system 130, a second network interworking system 140, And an interworking monitoring system 150. Each of the systems includes a CPU 171, a memory 172, a network information center (NIC) 173, a disk 174, Devices implemented on a single hardware 170 are virtual systems logically separated by a hypervisor 160. The hypervisor 160 may be a processor or a memory The hypervisor 160 is a software program that allows a plurality of operating systems to run on a single computer system. The hypervisor 160 is a thin layer of software that controls various operating systems (OS) With a central processing unit (CPU) It is an effective virtualization engine that can be used as a kind of intermediate software between operating systems and can be used to create virtual machines that use different operating systems on the same computer.

이와 같이 하이퍼바이저(160) 위에 구현된 본 발명의 시스템들을 각각 살펴보면 다음과 같다. The systems of the present invention implemented on the hypervisor 160 will be described below.

먼저, 제1 및 제2 네트워크 연동 시스템(120, 140)은 서로 분리된 제1 네트워크 및 제2 네트워크 각각과 연동한다. 도 3을 함께 참조하면 제1 및 제2 네트워크 연동 시스템(120, 140)은 각각 네트워크와의 연결을 제어하는 네트워크 접속자(Network Connector)(121, 141) 및 데이터 저장소(Storage)(122, 142)를 포함하며, 제1 네트워크 연동 시스템(120)은 도 3의 인터넷(Internet)과 연동하고, 제2 네트워크 연동 시스템(140)은 도 3의 인트라넷(Intranet)과 연동한다. 따라서 제1 네트워크 연동 시스템(120)의 네트워크 접속부(121)는 인터넷 서버(Internet Server) (40)와 연결되어 인터넷 서버(Internet Server)(40)와 데이터를 송수신하고, 제2 네트워크 연동 시스템(140)의 네트워크 접속부(141)는 인트라넷 서버(Intranet Server)(80)와 연결되어 인트라넷 서버(Intranet Server)(80)와 데이터를 송수신한다. 데이터 저장소(Storage)들(122, 142)은 다른 네트워크로 송신되어질 데이터를 암호화(Crytography)하여 저장하고, 다른 네트워크로부터 수신된 데이터는 복호화(Decryptography)하여 저장한다. First, the first and second network interworking systems 120 and 140 interwork with the first and second networks, respectively, which are separated from each other. Referring to FIG. 3, the first and second network interworking systems 120 and 140 include network connectors 121 and 141 and data storages 122 and 142, respectively, The first network interworking system 120 is interworked with the Internet of FIG. 3, and the second network interworking system 140 is interworked with the intranet of FIG. The network connection unit 121 of the first network interworking system 120 is connected to the Internet server 40 to transmit and receive data to and from the Internet server 40 and the second network interworking system 140 The network connection unit 141 is connected to an intranet server 80 and transmits and receives data to and from an intranet server 80. Data stores 122 and 142 cryptographically store data to be transmitted to other networks and decrypts and stores data received from other networks.

연동 제어 시스템(130)은 제1 및 제2 네트워크 연동 시스템(120, 140) 사이에서 암호화된 데이터를 송수신한다. 이를 위해 연동 제어 시스템(130)은 제1 네트워크 연동 시스템(120)과 접속하기 위한 제1 접속 제어부(Access Control)(131), 제2 네트워크 연동 시스템(140)과 접속하기 위한 제2 접속 제어부(Access Control)(132)를 포함하며, 제1 및 제2 접속 제어부(131, 132)들 간에는 암호화된 데이터를 전송하는 보안 통신(Security Communication)이 이루어진다.The interworking control system 130 transmits and receives the encrypted data between the first and second network interworking systems 120 and 140. To this end, the interworking control system 130 includes a first connection control unit 131 for connecting to the first network interworking system 120, a second connection control unit for connecting to the second network interworking system 140 And the first and second connection control units 131 and 132 perform security communication for transmitting the encrypted data.

연동 모니터링 시스템(150)은 제1 및 제2 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)의 동작 상태를 모니터링하고 데이터 전송 결과를 관리한다. 이를 위해 상기 모니터링 동작을 수행하는 가상화 기반 네트워크 연계 보안 시스템 모니터(LNSV Monitor)(151)와, 일자별/사용자별 데이터 저장 통계, 데이터 크기별/종류별 통계 등 사용 현황을 분석하여 보안 정책을 설정하는 보안정책부(Security Policy)(152)를 포함한다. The interlocking monitoring system 150 monitors the operation states of the first and second network interlocking systems 120 and 140 and the interlocking control system 130 and manages the data transmission results. In order to achieve this, a virtualization-based network security system monitor (LNSV Monitor) 151 for performing the monitoring operation, a security policy for setting a security policy by analyzing usage statistics such as data storage statistics per data / And a security policy 152.

도 5는 본 발명의 일 실시 예에 따른 네트워크 연동 시스템에 대한 개략적인 블록도이다. 도 5에는 도 4의 제1 네트워크 연동 시스템(120)을 예로 들어 설명하고 있다. 도 5를 참조하면, 제1 네트워크 연동 시스템(120)은 네트워크 연결부(121), 데이터 저장부(122), 제어부(123), 사용자 DB(124)를 포함한다. 5 is a schematic block diagram of a network interworking system according to an embodiment of the present invention. FIG. 5 illustrates the first network interworking system 120 of FIG. 4 as an example. Referring to FIG. 5, the first network interworking system 120 includes a network connection unit 121, a data storage unit 122, a control unit 123, and a user DB 124.

네트워크 연결부(121)는 제1 네트워크(예컨대, 인터넷) 사용자와 연결을 제어한다. 이 때, 사용자와 네트워크 연결부(121)는 웹기반 또는 에이전트 방식으로 연결할 수 있다. 웹기반 방식은 사용자가 PC에서 인터넷 접속 프로그램(예컨대, 인터넷 익스플로러 등) 상에 네트워크 연결부 주소(예컨대, URL 또는 IP 주소)를 입력하여 접속하는 방식이고, 에이전트 방식은 사용자가 PC에 설치된 전용 프로그램을 실행하여 접속하는 방식이다. 상기 방식들은 사용자가 GUI(Graphic User Interface)를 이용하기 때문에 직관적으로 파일의 선택 및 이동 명령을 손쉽게 할 수 있다.The network connection unit 121 controls connection with a first network (e.g., Internet) user. At this time, the user and the network connection unit 121 can be connected through a web-based or agent-based connection. The web-based method is a method in which a user inputs a network connection part address (e.g., a URL or an IP address) on an Internet access program (e.g., Internet Explorer) And connect them. Since the above methods use a GUI (Graphic User Interface), the user can intuitively select and move files.

한편, 네트워크 연결부(121)는 자료 전송 후 그 전송 자료를 사용자 PC에서 일정 기간 경과 후에 자동 삭제할 수 있다. 이는 전송했던 PC 또는 네트워크에 침해사고가 발생하더라도 분리된 네트워크로 이동된 파일의 내용을 알 수 없게 함으로써 전송 파일에 대한 보안을 강화하기 위함이다. 이를 위해 네트워크 연결부(121)는 사용자에게 지난 전송 목록 점검 결과를 알려주어 삭제가 필요한 파일의 유/무를 고지하고 사용자가 삭제 여부를 최종 결정하도록 하는 것이 바람직하다. On the other hand, the network connection unit 121 can automatically delete the transmission data after a certain period elapses from the user PC. This is to enhance the security of the transmission file by making it impossible to know the contents of the file moved to the separated network even if an accident occurs in the transmitted PC or network. To this end, the network connection unit 121 informs the user of the result of the last transmission list check, notifies the user of whether or not the file needs to be deleted, and finally determines whether or not the user deletes the file.

또한 네트워크 연결부(121)는 전송 가능한 파일의 유형을 미리 제한하고 그 제한된 유형의 파일만을 전송하도록 하고, 파일 전송에 대한 승인 및 결재자는 다수로 지정할 수 있다. 이 때 승인/결재의 형태는 사전승인, 사후승인, 반려, 승인 기능 미사용 등으로 설정할 수 있으며, 승인권자는 송신을 신청한 데이터와 승인 형태를 확인한 후 승인하고, 승인 알람을 발생시킬 수 있다.In addition, the network connection unit 121 may restrict the types of files that can be transferred in advance and transmit only limited types of files, and may designate a plurality of approval and approval providers for file transmission. In this case, the form of approval / approval can be set as pre-approval, post-approval, rejection, and non-use of the approval function, and the approver can approve after approving the data and the approval form to be transmitted and generate an approval alarm.

데이터 저장부(122)는 분리된 다른 네트워크(예컨대, 인트라넷)로 송신하기 위한 데이터 또는 상기 다른 네트워크(예컨대, 인트라넷)로부터 수신되어진 데이터를 저장한다.The data storage unit 122 stores data for transmission to another separated network (e.g., an intranet) or data received from the other network (e.g., an intranet).

제어부(123)는 미리 설정된 제어 프로그램에 의거하여 제1 네트워크 연동 시스템(120)의 동작을 제어한다. 특히, 해당 네트워크(예컨대, 인터넷)로부터 데이터가 수신되면 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정한다. 그리고 상기 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 데이터 저장부(122)에 저장하되, 암호화하여 저장하고 ‘데이터 저장알림신호’를 발생시킨다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 사용자의 접속을 차단한다. 상기 ‘데이터 저장알림신호’는 연동 제어 시스템에게 다른 네트워크로 전송할 새로운 데이터가 생성되었음을 알리기 위한 것이다.The control unit 123 controls the operation of the first network interworking system 120 based on a preset control program. Particularly, when data is received from the network (for example, the Internet), the validity of the data sender is confirmed based on the information stored in the user DB 124. [ That is, based on the network connection information (e.g., IP address, port information, etc.) of the data sender, it is determined whether or not the data sender is a valid user. Only when the data sender is a valid user, the received data is stored in the data storage unit 122, encrypted and stored, and a 'data storage announcement signal' is generated. If the data sender is not valid, the user is disconnected. The 'data storage announcement signal' is for informing the interworking control system that new data to be transmitted to another network is generated.

한편, 다른 네트워크(예컨대, 인트라넷)로부터 데이터가 수신된 경우 제어부(123)는 상기 사용자 DB(124)에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인한다. 즉, 데이터 송신자의 네트워크 연결정보(예컨대, IP 주소, 포트 정보 등)에 의거하여 데이터 송신자가 유효한 사용자인지 여부를 결정하고 데이터 송신자가 유효한 사용자인 경우에만 그 수신된 데이터를 복호화하여 저장한다. 만약 상기 데이터 송신자가 유효하지 않은 경우 해당 데이터를 무시한다. On the other hand, when data is received from another network (for example, an intranet), the control unit 123 confirms the validity of the data sender based on the information stored in the user DB 124. [ That is, it decides whether or not the data sender is a valid user based on the network connection information (for example, IP address, port information, etc.) of the data sender, and decodes and stores the received data only when the data sender is a valid user. If the data sender is invalid, the data is ignored.

사용자 DB(124)는 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장한다. 도 6은 이러한 사용자 DB(124)의 필드 구조를 예시한 도면으로서, 도 6을 참조하면 사용자 DB(200)는 사용자 식별정보를 저장하는 ID(201) 필드, 해당 사용자가 접속하는 IP 주소를 저장하는 IP 주소(203)필드 및 해당 사용자가 접속하는 포드 정보를 저장하는 포트 정보(205) 필드를 포함한다. The user DB 124 stores valid user information in the network-linked security system. Referring to FIG. 6, the user DB 200 stores an ID 201 field for storing user identification information, and an IP address to which the user connects. And a port information field 205 for storing the IP address 203 field and the pod information to which the user is connected.

도 7은 본 발명의 일 실시 예에 따른 연동 제어 시스템에 대한 개략적인 블록도이다. 도 5 및 도 7을 참조하면 연동 제어 시스템(130)은 제1 접속 제어부(131), 데이터 분석부(133) 및 제2 접속 제어부(132)를 포함한다. 7 is a schematic block diagram of an interlocking control system according to an embodiment of the present invention. 5 and 7, the interlocking control system 130 includes a first connection control unit 131, a data analysis unit 133, and a second connection control unit 132. [

제1 접속 제어부(131)는 특정 네트워크 연동 시스템에서 발생된‘데이터 저장 알림신호’에 응답하여 해당 네트워크 연동 시스템에 접속하여 새로이 저장된 데이터를 독출한다. 만약 도 5의 제1 네트워크 연동 시스템(120)에서 발생된 ‘데이터 저장 알림신호’를 수신한 경우 제1 접속 제어부(131)는 그에 응답하여 데이터를 송신하고자 하는 송신측 네트워크(예컨대, 인터넷)의 네트워크 연동 시스템, 즉, 제1 네트워크 연동 시스템(120)에 접속하여 제1 네트워크 연동 시스템(120) 내의 데이터 저장부(122)에 새로 저장된 데이터를 독출한다.The first connection control unit 131 accesses the network interworking system in response to the 'data storage announcement signal' generated in the specific network interworking system and reads the newly stored data. If the 'data storage notification signal' generated in the first network interworking system 120 of FIG. 5 is received, the first connection control unit 131 responds to the 'data storage notification signal' And reads the data stored in the data storage unit 122 in the first network interworking system 120 by connecting to the network interworking system, that is, the first network interworking system 120.

데이터 분석부(133)는 상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출한다. The data analysis unit 133 analyzes the read data to detect recipient network connection information.

제2 접속 제어부(132)는 데이터 분석부(133)에서 검출한 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크(예컨대, 인트라넷)를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장한다. The second connection control unit 132 confirms the network (e.g., intranet) to which the data is to be received based on the receiver network connection information detected by the data analysis unit 133, and connects to the reception side network interworking system to store the data .

이 때, 연동 제어 시스템(130)은 송신측 네트워크 연동 시스템 상의 잔존 데이터를 삭제하는 것이 바람직하다. 즉, 제2 접속 제어부(133)가 수신측 네트워크 연동 시스템에 데이터 저장을 완료한 후, 제1 접속 제어부(131)는 송신측 네트워크 연동 시스템에서 송신 완료된 데이터를 삭제하는 것이 바람직하다. 이는 관리자 등이 연동 제어 시스템(130) 내에서 사후에 해당 파일을 열람하는 일을 미연에 방지하고, 연동 제어 시스템(130)에 침해사고가 발생하더라도 이동된 파일의 내용을 알 수 없게 하도록 하기 위함이다. 이를 위해 연동 제어 시스템(130)은 전송 완료된 데이터를 자동 삭제하는 것이 바람직하다. 이는 사용자 또는 관리자가 해당 파일에 대한 추가적 작업을 하는 것이 불필요하기 때문이다.At this time, the interworking control system 130 preferably deletes the remaining data on the transmitting-side network interworking system. That is, after the second connection control unit 133 finishes storing data in the reception side network interworking system, the first connection control unit 131 preferably deletes the data that has been transmitted in the transmission side network interworking system. This is to prevent a manager or the like from previewing the corresponding file in the interworking control system 130 in advance and to make the contents of the moved file unknown even if an intrusion occurs in the interworking control system 130 to be. For this purpose, the interlocking control system 130 preferably deletes the transmitted data automatically. This is because it is unnecessary for the user or the administrator to perform additional work on the file.

도 8은 본 발명의 일 실시 예에 따른 연동 모니터링 시스템에서 생성된 처리 목록의 예를 도시한 도면이다. 연동 모니터링 시스템은 본 발명의 가상화 기반 연계 보안 시스템의 각 구성 요소들의 동작을 모니터링하고 그 결과 도 8에 예시된 바와 같은 목록을 도출한다. 그리고 그 결과에 의거하여 보안 정책을 설정한다. 예를 들어, 특정 ID의 사용자가 유효하지 않은 경로로 접속을 시도한 횟수가 미리 설정된 임계치를 초과하는 경우 그 ID를 자동 삭제하는 등의 보안 정책을 설정할 수 있을 것이다. 8 is a view showing an example of a process list generated in the interlocking monitoring system according to an embodiment of the present invention. The interlocking monitoring system monitors the operation of each component of the virtualization-based cooperative security system of the present invention and as a result derives a list as illustrated in FIG. Then, the security policy is set based on the result. For example, a security policy such as automatically deleting the ID when the number of times that a user of a specific ID attempts to connect with an invalid path exceeds a preset threshold value may be set.

도 9는 본 발명의 일 실시 예에 따른 가상화 기반 네트워크 연계 보안 방법에 대한 처리 절차도이다. 도 9는 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템(120, 140), 상기 제1 및 제2 네트워크 연동 시스템(120, 140) 사이에서 데이터를 송수신하는 연동 제어 시스템(130) 및 제1 및 제2 네트워크 연동 시스템(120, 140)과 연동 제어 시스템(130)을 모니터링하는 연동 모니터링 시스템(150)이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법에 대한 처리 절차가 예시되어 있다. 9 is a flowchart of a virtualization-based network-linked security method according to an exemplary embodiment of the present invention. FIG. 9 is a block diagram illustrating a first network interworking system 120 and a second network interworking system 140 interworking with separate first and second networks, an interworking system for transmitting and receiving data between the first and second network interworking systems 120 and 140, The interworking monitoring system 150 for monitoring the control system 130 and the first and second network interworking systems 120 and 140 and the interworking control system 130 is implemented using a network interfacing security system logically separated from one server A procedure for a network-linked security method is illustrated.

도 9를 참조하면 제1 네트워크 연동 시스템(120)에 사용자의 접속 시도가 감지될 경우(S101), 즉 제1 네트워크에 연결된 특정 사용자가 자신의 ID와 패스워드를 입력하여 제1 네트워크 시스템에 접속하고자 하는 경우, 제1 네트워크 연동 시스템(120)은 상기 사용자가 입력한 정보 및 그 네트워크 연결 정보(예컨대, IP 주소 및 포트 정보 등)를 이용하여 사용자의 유효성을 확인한다(S103). 상기 유효성 확인은 제1 네트워크 연동 시스템(120)에 미리 저장된 사용자 정보에 의거하여 상기 사용자(즉, 데이터 송신자)의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인한다. 상기 확인 결과 송신자가 정당한 사용자라고 판단되면(S105) 제1 네트워크 연동 시스템(120)은 상기 사용자(즉, 데이터 송신자)가 입력한 입력 데이터를 저장한다(S109). 이 때, 제1 네트워크 연동 시스템(120)은 상기 입력 데이터를 암호화하여 저장하되, 송신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)와 수신자의 ID 및 네트워크 연결정보(예컨대, IP 주소 및 포트 정보)를 함께 저장한다. 또한 암호화 및 복호화를 위해 해시값(Hash value)를 함께 저장할 수 있다. Referring to FIG. 9, when a user's connection attempt is detected in the first network interworking system 120 (S101), that is, when a specific user connected to the first network inputs his ID and password to access the first network system The first network interworking system 120 confirms the validity of the user using the information input by the user and the network connection information (for example, IP address and port information) (S103). The validity check confirms whether the ID, password, and network connection information of the user (i.e., the data sender) is valid based on the user information stored in advance in the first network interworking system 120. If it is determined that the sender is a legitimate user (S105), the first network interworking system 120 stores the input data input by the user (i.e., the data sender) (S109). In this case, the first network interworking system 120 encrypts and stores the input data, and stores the ID and network connection information (e.g., IP address and port information) of the sender, the ID of the receiver, and the network connection information And port information). It can also store hash values for encryption and decryption.

상기 판단(S105) 결과 송신자가 정당하지 않다고 판단되면 제1 네트워크 연동 시스템(120)은 해당 사용자(즉, 데이터 송신자)의 접속을 차단한다(S107).If it is determined that the sender is not valid as a result of the determination (S105), the first network interworking system 120 disconnects the corresponding user (i.e., the data sender) (S107).

한편 상기 과정(S109)에서 입력 데이터를 저장한 제1 네트워크 연동 시스템(120)은 데이터 저장 알림 신호를 출력한다(S111). Meanwhile, in step S109, the first network interworking system 120 storing the input data outputs a data storage notification signal (S111).

그러면 상기 데이터 저장 알림 신호를 확인한 연동 제어 시스템(130)은 그 데이터 저장 알림 신호에 응답하여 제1 네트워크 연동 시스템(120)에 접속 후(S113) 송신 데이터를 읽어온다(S115). In step S115, the interworking control system 130, which confirms the data storage notification signal, accesses the first network interworking system 120 in response to the data storage notification signal in step S113 and reads the transmission data in step S115.

상기 제1 네트워크 연동 시스템(120)으로부터 송신 데이터를 읽어온 연동 제어 시스템(130)은 상기 송신 데이터를 분석하여 수신자 및 수신자의 네트워크 연결정보를 확인하고, 대응된 네트워크의 네트워크 연동 시스템에 접속한다. 도 9의 예에서 수신자의 네트워크에 대응된 네트워크 연동 시스템은 제2 네트워크 연동 시스템(140)이다. 따라서 연동 제어 시스템(130)은 제2 네트워크 연동 시스템(140)에 접속한 후(S117) 송신 데이터를 전송한다. The interworking control system 130, which has read the transmission data from the first network interworking system 120, analyzes the transmission data, confirms the network connection information of the receiver and the receiver, and connects to the network interworking system of the corresponding network. In the example of FIG. 9, the network interworking system corresponding to the recipient's network is the second network interworking system 140. FIG. Accordingly, the interworking control system 130 connects to the second network interworking system 140 (S117) and transmits the transmission data.

이 때 연동 제어 시스템(130)은 상기 데이터 분석 결과 중 하나인 송신자 정보, 즉, 송신자의 식별정보 및 네트워크 연결정보를 제2 네트워크 연동 시스템(140)으로 전송하고(S119), 그 송신자 정보에 의거하여 송신자 유효성을 확인한 제2 네트워크 연동 시스템(140)으로부터 전달된 수신 허용 알림 신호에 응답하여 송신 데이터를 제2 네트워크 연동 시스템(140)으로 전송하는 것이 바람직하다(S125, S127). At this time, the interworking control system 130 transmits the sender information, i.e., the sender's identification information and the network connection information, which is one of the data analysis results, to the second network interworking system 140 (S119) And transmits the transmission data to the second network interworking system 140 in response to the reception permission notification signal transmitted from the second network interworking system 140 having confirmed the sender's validity (S125, S127).

한편 제2 네트워크 연동 시스템(140)은 연동 제어 시스템(130)으로부터 전달된 송신자 정보에 의거하여 송신자 유효성을 확인하여(S121)하고, 그 결과 상기 송신자가 정당 사용자라고 판단되면(S123) 수신 허용 알림 신호를 연동 제어 시스템(130)으로 전송하고, 연동 제어 시스템(130)으로부터 데이터를 전달받아 그 데이터를 저장한다(S129). 이 때, 제2 네트워크 연동 시스템(140)은 상기 과정(S121)에서, 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것이 바람직하다. 또한 과정(S129)에서는 수신된 데이터를 복호화한 후 저장한다. On the other hand, the second network interworking system 140 confirms the validity of the sender based on the sender information transmitted from the interworking control system 130 (S121), and if the sender is determined to be the authorized user (S123) Transmits the signal to the interlocking control system 130, receives the data from the interlocking control system 130, and stores the data (S129). At this time, in step S121, the second network interworking system 140 determines whether the ID, password, and network connection information of the sender are valid based on previously stored user information. In step S129, the received data is decoded and stored.

상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the above-described exemplary system, the methods are described on the basis of a flowchart as a series of steps or blocks, but the present invention is not limited to the order of the steps, and some steps may occur in different orders or simultaneously .

또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.
It will also be understood by those skilled in the art that the steps shown in the flowchart are not exclusive and that other steps may be included or that one or more steps in the flowchart may be deleted without affecting the scope of the invention.

Claims (10)

분리된 2 이상의 네트워크들 간의 네트워크 연계 보안 시스템에 있어서,
상기 2 이상의 네트워크들 각각과 연동하는 2 이상의 네트워크 연동 시스템들;
상기 2 이상의 네트워크 연동 시스템들 사이에서 암호화된 데이터를 송수신하는 연동 제어 시스템; 및
상기 2 이상의 네트워크 연동 시스템들과 상기 연동 제어 시스템의 동작 상태를 모니터링하고 데이터 전송 결과를 관리하는 연동 모니터링 시스템을 포함하여,
상기 2 이상의 네트워크 연동 시스템들, 상기 연동 제어 시스템 및 상기 연동 모니터링 시스템은 하나의 서버에서 논리적으로 분리된 장치들이며,
상기 연동 모니터링 시스템은 상기 네트워크 연동 시스템들에 접속하는 사용자 식별정보 및 네트워크 연결정보 목록을 리포팅하고, 그 정보에 의거하여 보안정책을 설정하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.A network-linked security system between two or more separate networks,
Two or more network interworking systems interworking with each of the two or more networks;
An interworking control system for transmitting and receiving the encrypted data between the two or more network interworking systems; And
And an interworking monitoring system for monitoring an operation state of the at least two network interworking systems and the interworking control system and managing a result of data transmission,
The two or more network interworking systems, the interworking control system and the interlocking monitoring system are logically separated devices in one server,
Wherein the interworking monitoring system reports user identification information and network connection information to be connected to the network interworking systems, and sets a security policy based on the information. 제1항에 있어서, 상기 2 이상의 네트워크 연동 시스템들은 각각,
상기 네트워크 연계 보안 시스템 내에서 유효한 사용자 정보를 저장하는 사용자 데이터베이스;
해당 네트워크 사용자와 연결을 제어하는 네트워크 연결부;
분리된 다른 네트워크로 송신하기 위한 데이터 또는 상기 다른 네트워크로부터 수신되어진 데이터를 저장하는 데이터 저장부;
해당 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 유효한 사용자 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 암호화하여 저장한 후 데이터 저장알림신호를 발생시키는 제어부를 포함하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.The system of claim 1, wherein the two or more network interworking systems each comprise:
A user database for storing valid user information within the network-based security system;
A network connection unit for controlling connection with the network user;
A data storage unit for storing data for transmission to another separate network or data received from the other network;
And a control unit for checking whether the data sender is valid based on valid user information stored in the user database when the data is received from the network, encrypting and storing the received data, and generating a data storage announcement signal Network - based security system based on virtualization. 제2항에 있어서, 상기 제어부는
다른 네트워크로부터 데이터가 수신되면 상기 사용자 데이터베이스에 저장된 정보에 의거하여 데이터 송신자의 유효성 여부를 확인하고 수신된 데이터를 복호화하여 저장하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.3. The apparatus of claim 2, wherein the control unit
Based on the information stored in the user database, whether the data sender is validated, and decrypts and stores the received data when data is received from another network. 제2항에 있어서, 상기 연동 제어 시스템은
상기 제어부의 저장알림신호에 응답하여 데이터를 송신하고자 하는 송신측 네트워크의 네트워크 연동 시스템에 접속하여 상기 데이터 저장부에 새로 저장된 데이터를 독출하는 제1 접속 제어부;
상기 독출된 데이터를 분석하여 수신자 네트워크 연결정보를 검출하는 데이터 분석부;
상기 검출된 수신자 네트워크 연결정보에 의거하여 상기 데이터가 수신되어질 네트워크를 확인하고 수신측 네트워크 연동 시스템에 접속하여 데이터를 저장하는 제2 접속 제어부를 포함하는 것을 특징으로 하는 가상화 기반 네트워크 연계 보안 시스템.3. The system of claim 2, wherein the interlocking control system
A first connection control unit connected to a network interworking system of a transmission side network to transmit data in response to a storage notification signal of the control unit and reading data newly stored in the data storage unit;
A data analyzer for analyzing the read data and detecting receiver network connection information;
And a second connection controller for confirming a network to which the data is to be received based on the detected receiver network connection information, and storing the data by connecting to a receiving network interworking system. 삭제delete 분리된 제1 및 제2 네트워크와 각각 연동하는 제1 및 제2 네트워크 연동 시스템, 상기 제1 및 제2 네트워크 연동 시스템 사이에서 데이터를 송수신하는 연동 제어 시스템이 하나의 서버에서 논리적으로 분리 구성된 네트워크 연계 보안 시스템을 이용한 네트워크 연계 보안 방법에 있어서,
상기 제1 네트워크 연동 시스템이 데이터를 송신하기 위해 접속을 시도하는 송신자의 유효성을 확인하는 단계;
상기 송신자가 유효한 경우 상기 제1 네트워크 연동 시스템이 송신 데이터를 암호화하여 저장하는 단계;
상기 제1 네트워크 연동 시스템이 데이터 저장 알림 신호를 발생시키는 단계;
상기 데이터 저장 알림 신호에 응답하여 상기 연동 제어 시스템이 상기 제1 네트워크 연동 시스템에 접속 후 송신 데이터를 읽어오는 단계;
상기 연동 제어 시스템이 상기 제2 네트워크 연동 시스템에 접속하여 상기 송신 데이터를 전송하는 단계;
상기 제2 네트워크 연동 시스템이 상기 송신 데이터 송신자의 유효성을 확인하는 단계; 및
상기 송신자가 유효한 경우 상기 제2 네트워크 연동 시스템이 송신 데이터를 복호화하여 저장하는 단계를 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.The first and second network interworking systems interlocked with the first and second networks separated from each other, and the interworking control system for transmitting and receiving data between the first and second network interworking systems, A network-linked security method using a security system,
Confirming the validity of the sender that the first network interworking system attempts to connect to transmit data;
If the sender is valid, encrypting and storing transmission data by the first network interworking system;
The first network interworking system generating a data storage announcement signal;
Reading the transmission data after the interworking control system is connected to the first network interworking system in response to the data storage announcement signal;
The interworking control system accessing the second network interworking system to transmit the transmission data;
Confirming the validity of the transmission data sender by the second network interworking system; And
And if the sender is valid, the second network interworking system decrypts and stores the transmission data. 제6항에 있어서, 상기 제1 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는
상기 제1 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.7. The method of claim 6, wherein validating the sender of the first network interworking system comprises:
And checks whether the sender's ID, password, and network connection information are valid based on user information previously stored in the first network interworking system. 제6항에 있어서, 상기 제1 네트워크 연동 시스템의 송신 데이터를 암호화하여 저장하는 단계는, 상기 암호화된 송신 데이터를 송신자 식별정보 및 네트워크 연결정보, 수신자 식별정보 및 네트워크 연결정보와 함께 저장하는 것을 특징으로 하는 네트워크 연계 보안 방법.The method of claim 6, wherein encrypting and storing transmission data of the first network interworking system comprises storing the encrypted transmission data together with the sender identification information, the network connection information, the receiver identification information, and the network connection information To-network security method. 제6항에 있어서, 상기 송신 데이터를 전송하는 단계는
상기 연동 제어 시스템이 송신 데이터를 분석하여 송신자 식별정보 및 네트워크 연결정보와 수신자 네트워크 연결정보를 검출하는 단계;
상기 제2 네트워크 연동 시스템으로 상기 송신자 식별정보 및 네트워크 연결정보를 전송하는 단계; 및
상기 제2 네트워크 연동 시스템으로부터 전달된 수신허용 알림 신호에 응답하여 송신 데이터를 전송하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 연계 보안 방법.7. The method of claim 6, wherein transmitting the transmission data comprises:
The interworking control system analyzing transmission data to detect sender identification information, network connection information and recipient network connection information;
Transmitting the sender identification information and the network connection information to the second network interworking system; And
And transmitting transmission data in response to a reception permission notification signal transmitted from the second network interworking system. 제6항에 있어서, 상기 제2 네트워크 연동 시스템의 송신자의 유효성을 확인하는 단계는
상기 제2 네트워크 연동 시스템에 미리 저장된 사용자 정보에 의거하여 상기 송신자의 ID, 패스워드 및 네트워크 연결 정보가 유효한지를 확인하는 것을 특징으로 하는 네트워크 연계 보안 방법.
7. The method of claim 6, wherein validating the sender of the second network interworking system comprises:
And confirms whether the sender's ID, password, and network connection information are valid based on user information previously stored in the second network interworking system.
KR1020120125826A 2012-11-08 2012-11-08 Linked network security system and method based on virtualization in the separate network environment KR101425726B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120125826A KR101425726B1 (en) 2012-11-08 2012-11-08 Linked network security system and method based on virtualization in the separate network environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120125826A KR101425726B1 (en) 2012-11-08 2012-11-08 Linked network security system and method based on virtualization in the separate network environment

Publications (2)

Publication Number Publication Date
KR20140059403A KR20140059403A (en) 2014-05-16
KR101425726B1 true KR101425726B1 (en) 2014-08-01

Family

ID=50889220

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120125826A KR101425726B1 (en) 2012-11-08 2012-11-08 Linked network security system and method based on virtualization in the separate network environment

Country Status (1)

Country Link
KR (1) KR101425726B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102510300B1 (en) 2022-12-06 2023-03-15 (주)씨크랩 System and method for indirect connectivity in network-seperated environment

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180051719A (en) * 2016-11-08 2018-05-17 (주) 퓨전데이타 System and method for virtualization integrated web service based on html5
KR101962408B1 (en) * 2017-11-29 2019-03-26 한전케이디엔주식회사 Automatic Detection System for Multi Homed Host and Method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002094508A (en) * 2000-09-13 2002-03-29 Nippon Telegr & Teleph Corp <Ntt> Method and system for managing connection in inter- private-network communication
KR20070038618A (en) * 2005-10-06 2007-04-11 주식회사 케이티프리텔 Method and system for providing virtual private network services based on mobile communication and mobile terminal for the same
US20090300605A1 (en) * 2004-10-29 2009-12-03 Hewlett-Packard Development Company, L.P. Virtual computing infrastructure

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002094508A (en) * 2000-09-13 2002-03-29 Nippon Telegr & Teleph Corp <Ntt> Method and system for managing connection in inter- private-network communication
US20090300605A1 (en) * 2004-10-29 2009-12-03 Hewlett-Packard Development Company, L.P. Virtual computing infrastructure
KR20070038618A (en) * 2005-10-06 2007-04-11 주식회사 케이티프리텔 Method and system for providing virtual private network services based on mobile communication and mobile terminal for the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102510300B1 (en) 2022-12-06 2023-03-15 (주)씨크랩 System and method for indirect connectivity in network-seperated environment

Also Published As

Publication number Publication date
KR20140059403A (en) 2014-05-16

Similar Documents

Publication Publication Date Title
US11722521B2 (en) Application firewall
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US10762209B2 (en) Boot security
Kesh et al. A framework for analyzing e‐commerce security
EP3171571B1 (en) Method and system for managing access control lists in a networked application environment
KR101425726B1 (en) Linked network security system and method based on virtualization in the separate network environment
Darwish et al. Privacy and security of cloud computing: a comprehensive review of techniques and challenges
Dhondge Lifecycle IoT Security for Engineers
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
US20240146536A1 (en) Network access using hardware-based security
Wilson Towards Enhancing Security in Cloud Storage Environments
Majumdar Cloud Computing and Its Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170622

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180705

Year of fee payment: 5