KR101448711B1 - 통신 암호화를 통한 보안시스템 및 보안방법 - Google Patents

통신 암호화를 통한 보안시스템 및 보안방법 Download PDF

Info

Publication number
KR101448711B1
KR101448711B1 KR1020130166145A KR20130166145A KR101448711B1 KR 101448711 B1 KR101448711 B1 KR 101448711B1 KR 1020130166145 A KR1020130166145 A KR 1020130166145A KR 20130166145 A KR20130166145 A KR 20130166145A KR 101448711 B1 KR101448711 B1 KR 101448711B1
Authority
KR
South Korea
Prior art keywords
communication module
server
security
module
user
Prior art date
Application number
KR1020130166145A
Other languages
English (en)
Inventor
박천오
백순용
진선태
이재춘
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020130166145A priority Critical patent/KR101448711B1/ko
Application granted granted Critical
Publication of KR101448711B1 publication Critical patent/KR101448711B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

통신 암호화를 통한 보안시스템 및 보안방법에 관한 것으로, 본 발명에 따른 통신 암호화를 통한 보안시스템은, 사용자 인터페이스가 설치된 단말기와, 사용자가 이용하고자 하는 실제 서비스가 제공되는 보호대상 서버와, 상기 단말기 및 상기 보호대상 서버 간에 수행되는 통신이 보호되도록 상기 단말기 및 상기 보호대상 서버 사이에서 유선 또는 무선 통신방식으로 연결되는 보안서버를 포함하는 것으로서, 상기 보안서버는, 상기 단말기로부터 사용자의 식별자 정보 또는 명령어를 수신하여 처리하는 보안처리모듈과, 상기 보안처리모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 암호화하여 상기 보호대상 서버로 전송하는 제1 암호화 통신 모듈을 포함하고, 상기 보호대상 서버에는, 상기 제1 암호화 통신 모듈로부터 전송되는 사용자의 식별자 정보 또는 명령어를 단일 포트로 수신하여 이를 복호화하는 제2 암호화 통신 모듈과, 상기 제2 암호화 통신 모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 숨겨진 실제 서비스 포트로 전송하는 패킷 중계 모듈을 포함하는 암호화 중계 에이전트가 구비된 것을 특징으로 한다.
이에 의하여, 보안서버와 보호대상 서버 간에 이뤄지는 모든 통신이 암호화됨으로써 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있고, 통신 패킷이 노출되더라도 통신 중 전달될 수 있는 모든 중요 정보들을 안전하게 보호할 수 있으며, 보호대상 서버의 실제 서비스 포트가 숨겨지고 암호화 중계 에이전트의 단일 포트가 보안서버를 통해서만 접속될 수 있도록 함으로써, 외부에서 포트 스캐닝을 통해 보호대상 서버로 우회 접속하려고 시도하더라도 그러한 접속을 원천적으로 차단할 수 있고, 실제 서비스를 제공하는 보호대상 서버로의 실제 서비스 포트를 통한 공격을 방지할 수 있다.

Description

통신 암호화를 통한 보안시스템 및 보안방법 {security system and security method through communication encryption}
본 발명은 통신 암호화를 통한 보안시스템 및 보안방법에 관한 것으로, 더욱 상세하게는 사용자가 단말기를 이용해 Telnet, DBMS 등의 프로토콜을 사용하는 실제 서비스가 제공되는 보호대상 서버에 접속해 통신하기 위해 보안서버를 경유하는 구조와 방법을 개선한 통신 암호화를 통한 보안시스템 및 보안방법에 관한 것이다.
최근 정보통신기술의 발달로 말미암아 데이터 통신망을 매개로 하여 다양한 분야에 대한 정보를 적어도 하나 이상의 서비스 제공 서버를 통하여 다수의 가입자 측으로 실시간 제공하는 정보제공기술의 개발이 활발하게 진행 중이다.
한편, 사용자가 컴퓨터 단말기를 이용하여 상기 서비스 제공 서버에 접속해 통신을 주고 받고자 할 때에 상기 서비스 제공 서버는 보호대상 서버로서 보안서버를 통해 보호되는 보안시스템이 적용되는 정보보안기술의 개발 또한 활발하게 진행 중이다.
이러한 보안시스템의 일 예가 대한민국 특허등록번호 제10-0951716호(2010년03월31일자 등록, 이하 '특허문헌 1'이라 함) 등에 개시되어 있다.
한편, 종래기술에 따른 보안시스템은, 도 1에 도시된 바와 같이, 사용자 인터페이스(UI: User Interface)가 설치된 단말기(10)와, 사용자가 이용하고자 하는 실제 서비스가 제공되는 보호대상 서버(30)와, 단말기(10) 및 보호대상 서버(30) 간에 수행되는 통신이 보호되도록 하는 보안서버(20)를 포함한다.
사용자가 단말기(10)를 이용해 보안서버(20)를 경유하여 보호대상 서버(30)에 접속할 때에는 보호대상 서버(30)에서 제공하는 각각의 실제 서비스에 종속적으로 해당되는 프로토콜(Telnet, Ftp, DBMS의 기본 프로토콜)을 사용하게 된다.
예컨대, 보호대상 서버(30)로는 텔넷 서버(Telnet server)(30´)나 오라클 서버(Oracle server)(30″)가 포함될 수 있다.
각각의 보호대상 서버에는 실제 서비스 포트가 외부로 노출되는데, 텔넷 서버(30´)의 경우에는 텔넷 포트(Telnet port)(31´)(예컨대, Port 23)가 통신망(1)을 통해 보안서버(20)와 바로 연결되고, 오라클 서버(30″)의 경우에는 오라클 포트(Oracle port)(31″)(예컨대, Port 1521)가 통신망(1)을 통해 보안서버(20)와 바로 연결된다.
단말기(10)에서 보안서버(20)까지 연결되는 통신망(1)과 보안서버(20)에서 보호대상 서버(30)까지 연결되는 통신망(1) 중 적어도 어느 하나는 인터넷(Internet) 또는 이더넷(Ethernet)이 될 수 있고, 인터넷은 인트라넷(Intranet)을 포함할 수도 있다.
그러나, 종래기술에 따른 보안시스템은 보안서버(20)를 통해 보호대상 서버(30)에 접속하여 통신할 때에 보호대상 서버(30)에서 제공하는 실제 서비스의 통신 프로토콜(protocol)에 따른 평문 통신에 의존하기 때문에 해당 패킷(packet)을 외부에서 가로챌 경우 계정 로그인 정보, 통신 중 전송되는 서버 내의 중요 데이터 정보 등이 외부로 그대로 유출될 수 있다는 문제점이 있다.
또한, 텔넷 포트(31´)나 오라클 포트(31″)와 같은 실제 서비스 포트가 노출되기 때문에 외부에서 실제 서비스 포트의 포트 스캐닝(port scanning)을 통해 보안서버(20)를 거치지 않고 우회하여 보호대상 서버(30)의 실제 서비스 포트로 직접 접속해 공격할 수 있다는 문제점이 있다.
대한민국 특허등록번호 제10-0951716호(2010년03월31일자 등록)
본 발명의 목적은, 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있는 통신 암호화를 통한 보안시스템 및 보안방법을 제공하는 것이다.
또한, 외부에서 포트 스캐닝을 통해 보호대상 서버로 우회 접속하려고 시도하더라도 그러한 접속을 원천적으로 차단하여 실제 서비스 포트를 통한 공격을 방지할 수 있는 통신 암호화를 통한 보안시스템 및 보안방법을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명에 따른 통신 암호화를 통한 보안시스템은: 사용자 인터페이스가 설치된 단말기와, 사용자가 이용하고자 하는 실제 서비스가 제공되는 보호대상 서버와, 상기 단말기 및 상기 보호대상 서버 간에 수행되는 통신이 보호되도록 상기 단말기 및 상기 보호대상 서버 사이에서 유선 또는 무선 통신방식으로 연결되는 보안서버를 포함하는 것으로서, 상기 보안서버는, 상기 단말기로부터 사용자의 식별자 정보 또는 명령어를 수신하여 처리하는 보안처리모듈과, 상기 보안처리모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 암호화하여 상기 보호대상 서버로 전송하는 제1 암호화 통신 모듈을 포함하고, 상기 보호대상 서버에는, 상기 제1 암호화 통신 모듈로부터 전송되는 사용자의 식별자 정보 또는 명령어를 단일 포트로 수신하여 이를 복호화하는 제2 암호화 통신 모듈과, 상기 제2 암호화 통신 모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 숨겨진 실제 서비스 포트로 전송하는 패킷 중계 모듈을 포함하는 암호화 중계 에이전트가 구비된 것을 특징으로 한다.
여기서, 상기 제2 암호화 통신 모듈은 상기 패킷 중계 모듈을 통해 실제 서비스 포트로부터 명령어에 따른 실행 결과 데이터가 전송되어 오면 이를 암호화 하여 상기 제1 암호화 통신 모듈로 전송하고, 상기 제1 암호화 통신 모듈은 상기 제2 암호화 통신 모듈로부터 전송되는 실행 결과 데이터를 수신 및 복호화하여 이를 상기 보안처리모듈로 전달하며, 상기 보안처리모듈은 상기 제1 암호화 통신 모듈로부터 실행 결과 데이터를 전달받아 이를 상기 단말기로 전송할 수 있다.
한편, 상기 목적을 달성하기 위해 본 발명에 따른 통신 암호화를 통한 보안방법은: 사용자 인터페이스가 설치된 단말기로부터 전송되는 사용자의 식별자 정보를 보안서버의 보안처리모듈에서 수신 및 처리하여 제1 암호화 통신 모듈로 전달하는 단계; 상기 보안처리모듈로부터 전달되는 사용자의 식별자 정보를 상기 제1 암호화 통신 모듈에서 암호화하는 단계; 상기 제1 암호화 통신 모듈에서 암호화된 사용자의 식별자 정보를 암호화 중계 에이전트의 제2 암호화 통신 모듈로 전송하는 단계; 상기 제1 암호화 통신 모듈로부터 전송되는 사용자의 식별자 정보를 상기 제2 암호화 통신 모듈에서 단일 포트로 수신하고, 이를 복호화하여 패킷 중계 모듈로 전달하는 단계; 및, 상기 제2 암호화 통신 모듈로부터 전달되는 사용자의 식별자 정보를 상기 패킷 중계 모듈에서 보호대상 서버의 숨겨진 실제 서비스 포트로 전송하는 단계;를 포함하는 것을 특징으로 한다.
여기서, 상기 단말기로부터 전송되는 명령어를 상기 보안처리모듈에서 수신 및 처리하여 상기 제1 암호화 통신 모듈로 전달하는 단계와, 상기 보안처리모듈로부터 전달되는 명령어를 상기 제1 암호화 통신 모듈에서 암호화하는 단계와, 상기 제1 암호화 통신 모듈에서 암호화된 명령어를 상기 제2 암호화 통신 모듈로 전송하는 단계와, 상기 제1 암호화 통신 모듈로부터 전송되는 명령어를 상기 제2 암호화 통신 모듈에서 단일 포트로 수신하고, 이를 복호화하여 상기 패킷 중계 모듈로 전달하는 단계와, 상기 제2 암호화 통신 모듈로부터 전달되는 명령어를 상기 패킷 중계 모듈에서 상기 보호대상 서버의 숨겨진 실제 서비스 포트로 전송하는 단계를 더 포함하는 것이 바람직하다.
그리고, 상기 보호대상 서버의 숨겨진 실제 서비스 포트로 전송된 명령어에 따른 실행 결과 데이터를 상기 패킷 중계 모듈에서 수신하여 이를 상기 제2 암호화 통신 모듈로 전달하는 단계와, 상기 패킷 중계 모듈로부터 전달되는 실행 결과 데이터를 상기 제2 암호화 통신 모듈에서 암호화하는 단계와, 상기 제2 암호화 통신 모듈에서 암호화된 실행 결과 데이터를 상기 제1 암호화 통신 모듈로 전송하는 단계와, 상기 제2 암호화 통신 모듈로부터 전송되는 실행 결과 데이터를 상기 제1 암호화 통신 모듈에서 수신하고, 이를 복호화하여 상기 보안처리모듈로 전달하는 단계와, 상기 제1 암호화 통신 모듈로부터 전달되는 실행 결과 데이터를 상기 보안처리모듈에서 상기 단말기로 전송하는 단계를 더 포함하는 것이 바람직하다.
본 발명에 따르면, 보안서버와 보호대상 서버 간에 이뤄지는 모든 통신이 암호화됨으로써 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있고, 통신 패킷이 노출되더라도 통신 중 전달될 수 있는 모든 중요 정보들을 안전하게 보호할 수 있다.
또한, 보호대상 서버의 실제 서비스 포트가 숨겨지고 암호화 중계 에이전트의 단일 포트가 보안서버를 통해서만 접속될 수 있도록 함으로써, 외부에서 포트 스캐닝을 통해 보호대상 서버로 우회 접속하려고 시도하더라도 그러한 접속을 원천적으로 차단할 수 있고, 실제 서비스를 제공하는 보호대상 서버로의 실제 서비스 포트를 통한 공격을 방지할 수 있다.
도 1은 종래기술에 따른 보안시스템의 블록도,
도 2는 본 발명에 따른 통신 암호화를 통한 보안시스템의 블록도,
도 3은 본 발명에 따른 통신 암호화를 통한 보안방법에서 사용자의 식별 접속 과정을 도시한 플로차트,
도 4는 본 발명에 따른 통신 암호화를 통한 보안방법에서 서비스별 보호대상 서버로의 명령어 전송 과정을 도시한 플로차트,
도 5는 본 발명에 따른 통신 암호화를 통한 보안방법에서 명령어 전송에 따라 수신되는 실행 결과 데이터의 사용자의 단말기로의 전송 과정을 도시한 플로차트이다.
이하에서는 첨부된 도면을 참조하여 본 발명에 대해 상세히 설명한다.
도 2는 본 발명에 따른 통신 암호화를 통한 보안시스템의 블록도인 바, 이를 참조해 설명한다.
본 발명에 따른 통신 암호화를 통한 보안시스템은, 사용자 인터페이스가 설치된 단말기(10)와, 사용자가 이용하고자 하는 실제 서비스가 제공되는 보호대상 서버(200)와, 단말기(10) 및 보호대상 서버(200) 간에 수행되는 통신이 보호되도록 단말기(10) 및 보호대상 서버(200) 사이에서 유선 또는 무선 통신방식으로 연결되는 보안서버(100)를 포함한다.
한편, 단말기(10)에서 보안서버(100)까지 연결되는 통신망(1)과 보안서버(100)에서 보호대상 서버(200)까지 연결되는 통신망(1) 중 적어도 어느 하나는 인터넷 또는 이더넷이 될 수 있고, 인터넷은 인트라넷을 포함할 수도 있다.
단말기(10)는 사용자가 통신 네트워크에 접속해서 다른 단말기 또는 보호대상 서버(200)와 통신할 수 있도록 하는 통상적인 장치로서, 보호대상 서버(200)에서의 데이터 처리를 위한 사용자의 식별자 정보와 각종 명령어가 입력되고, 단말기(10)는 이렇게 입력된 식별자 정보 또는 각종 명령어를 쿼리(query)의 형태로 보안서버(100)로 전송한다.
한편, 단말기(10)에는 사용자가 아이디와 패스워드를 입력하면 사용자의 접속 프로세스를 진행하도록 전용 프로그램의 형태를 포함한 접속 툴(tool)(11)이 설치된다.
이에 따라, 사용자는 접속 툴(11)의 구동에 의해 단말기(10) 상에서 접속 인증을 위한 창이 팝 업(pop-up) 형태로 뜨게 되면 해당 창에 아이디와 패스워드를 입력하게 되고, 이는 보안서버(100)로 전송되어 보호대상 서버(200)의 후술할 텔넷 서버(200´)나 오라클 서버(200″)에서 사용자의 접속 인증을 실행하도록 할 수 있다.
단말기(10)는 통상적인 OS(Operating System)에 의해 구동되는 공지 공용의 장치로서, 이에 대한 하드웨어적인 설명은 생략한다.
한편, 본 발명에 따른 보안서버(100)는, 단말기(10)로부터 사용자의 식별자 정보 또는 명령어를 수신하여 처리하는 보안처리모듈(110)과, 보안처리모듈(110)로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 암호화하여 보호대상 서버(200)로 전송하는 제1 암호화 통신 모듈(120)을 포함한다.
이에 따라, 보안서버(100)로부터 보호대상 서버(200)로 전송되는 모든 통신 데이터(패킷 형태로 된)가 제1 암호화 통신 모듈(120)에 의해 암호화됨으로써 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있다.
보안서버(100)로는 텔넷 보안서버(100´)나 오라클 보안서버(100″)가 포함될 수 있다. 본 발명에 따른 보안처리모듈(110)과 제1 암호화 통신 모듈(120)은 텔넷 보안서버(100´)나 오라클 보안서버(100″)에 각각 동일하게 구비된다.
예를 들어, 보안서버(100)에 텔넷 보안서버(100´)와 오라클 보안서버(100″)가 함께 구비될 경우, 사용자가 텔넷 서비스를 이용하고자 한다면 사용자는 단말기(10)의 접속 툴(11)에 의해 구동된 접속 인증 창을 통해 텔넷 서비스를 선택하고 입력된 사용자의 접속정보(아이디와 패스워드 등)는 보안서버(100)의 인증모듈(미도시)로 전송되어 보안서버(100) 내에 구비된 텔넷 보안서버(100´)나 오라클 보안서버(100″)와 같은 서비스별 보안서버로 모두 보내지게 되는데, 이때 사용자의 접속정보는 이미 접속 툴(11)에 의해 텔넷 서비스가 선택된 상태이므로 텔넷 보안서버(100´)에서만 받아들여지고 오라클 보안서버(100″)에서는 수신을 거부하게 되어 보호대상 서버(200)의 후술할 암호화 중계 에이전트(210)를 통해 텔넷 서버(200´)로 전송된다.
본 발명의 일실시예로서, 보안서버(100)에서 각각의 텔넷 보안서버(100´)와 오라클 보안서버(100″)로 사용자의 접속정보를 데몬(demon) 처리하여 보낼 때에 별도의 인증모듈을 통해 각각의 서비스별 보안서버(100´,100″)로 내보내는 아이디(ID) 중심 관리방식을 적용한 것으로 설명하지만, 본 발명의 또 다른 실시예로서, 인증모듈 없이 사용자의 단말기(10)가 고정 아이피(IP)를 사용하도록 하여 아이피 중심 관리방식을 적용할 수도 있다.
보안처리모듈(110)은 단말기(10)로부터 전송된 쿼리를 확인하고, 해당 서비스별 보호대상 서버(200´,200″)에 대한 상기 쿼리의 처리 여부를 결정하여 해당 서비스별 보호대상 서버(200´,200″)로의 접근을 통제 및 감사한다.
한편, 제1 암호화 통신 모듈(120)은 암호화 중계 에이전트(210)의 후술할 제2 암호화 통신 모듈(211)로부터 암호화되어 전송되는 실행 결과 데이터(보호대상 서버로 전송되는 명령어에 따라 보호대상 서버에서 실행하여 처리된 결과 데이터)를 수신 및 복호화하여 이를 보안처리모듈(110)로 전달하기도 한다. 이때, 보안처리모듈(110)은 제1 암호화 통신 모듈(120)로부터 실행 결과 데이터를 전달받아 이를 단말기(10)로 전송한다.
본 발명에 따른 보호대상 서버(200)에는 암호화 중계 에이전트(210)가 구비된다.
암호화 중계 에이전트(210)는, 제1 암호화 통신 모듈(120)로부터 전송되는 사용자의 식별자 정보 또는 명령어를 단일 포트(211a)(예컨대, Port 3155)로 수신하여 이를 복호화하는 제2 암호화 통신 모듈(211)과, 제2 암호화 통신 모듈(211)로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 숨겨진 실제 서비스 포트(201´,201″)로 전송하는 패킷 중계 모듈(213)을 포함한다.
본 발명에 따른 통신 암호화를 통한 보안시스템은 보안서버(100)가 실제 서비스가 제공되는 후술할 텔넷 서버(200´)나 오라클 서버(200″)와 같은 서비스별 보호대상 서버로 단일 포트(211a)를 통해 명령어를 비롯한 데이터를 전달하기 이전에, 보안서버(100)에서 사용자의 식별자 정보(접속 대상 정보 등)를 우선적으로 전달하고, 이를 수신한 암호화 중계 에이전트(210)가 실제 서비스 포트(201´,201″)를 통해 실제 서비스를 제공하는 텔넷 서버(200´)나 오라클 서버(200″)로 접속하도록 하는 것이 바람직하다.
보호대상 서버(200)로는 은행권 등에서 많이 사용되며 TCP/IP 프로토콜을 이용하는 텔넷 서버(200´)나 기업 전산용 DBMS인 오라클 서버(200″)가 포함될 수 있다.
각각의 서비스별 보호대상 서버(200´,200″)에는 실제 서비스 포트(201´,201″)가 패킷 중계 모듈(213)과 연결되어 외부로부터 숨겨지게 되는데, 텔넷 서버(200´)의 경우에는 텔넷 포트(201´)가 패킷 중계 모듈(213)과 바로 연결되고, 오라클 서버(200″)의 경우에는 오라클 포트(201″)가 패킷 중계 모듈(213)과 바로 연결된다.
이에 따라, 서비스별 보호대상 서버(200´,200″)의 Port 23, Port 1521과 같은 실제 서비스 포트(201´,201″)가 숨겨지고 암호화 중계 에이전트(210)의 Port 3155와 같은 단일 포트(211a)가 보안서버(100)를 통해서만 접속될 수 있도록 함으로써, 외부에서 포트 스캐닝을 통해 서비스별 보호대상 서버(200´,200″)로 우회 접속하려고 시도하더라도 그러한 접속을 원천적으로 차단할 수 있고, 실제 서비스를 제공하는 서비스별 보호대상 서버(200´,200″)로의 실제 서비스 포트(201´,201″)를 통한 공격을 방지할 수 있다.
한편, 제2 암호화 통신 모듈(211)은 패킷 중계 모듈(213)을 통해 실제 서비스 포트(201´,201″)로부터 명령어에 따른 실행 결과 데이터가 전송되어 오면, 이를 암호화하여 제1 암호화 통신 모듈(120)로 전송하기도 한다.
이에 따라, 보호대상 서버(200)로부터 보안서버(100)로 전송되는 모든 통신 데이터(패킷 형태로 된)가 제2 암호화 통신 모듈(211)에 의해 암호화됨으로써 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있고, 통신 패킷이 노출되더라도 통신 중 전달될 수 있는 모든 중요 정보들을 안전하게 보호할 수 있다.
즉, 본 발명에 따른 통신 암호화를 통한 보안시스템에 의하면 보안서버(100)와 보호대상 서버(200) 간의 통신이 암호화되어 이뤄지기 때문에 통신이 외부로 노출되더라도 보안이 취약해지는 것을 막을 수 있고, 보호대상 서버(200)에서 암호화 중계 에이전트(210)의 단일 포트(211a)를 제외한 실제 서비스 포트(201´,201″)로의 모든 직접 접속을 원천적으로 차단하여 실제 서비스 포트(201´,201″)에 대한 포트 스캐닝을 할 수 없도록 하며, 실제 서비스 포트(201´,201″)로의 외부 공격이 원천적으로 이뤄지지 않도록 할 수 있다.
또한, 본 발명에 따른 통신 암호화를 통한 보안시스템에 의하면 보안서버(100)를 통하지 않고서는 접속이 이뤄지지 않는 구조이기 때문에 외부로부터 보안서버(100)를 통하지 않고 서비스별 보호대상 서버(200´,200″)에 바로 접속하려는 우회 접속을 완벽하게 차단할 수 있다.
본 발명에 따른 보안서버(100)와 보호대상 서버(200) 간의 통신의 암호화는 프로토콜 교환을 제외하고는 모든 데이터를 암호화하여 주고받는 것을 원칙으로 한다.
상기한 제1 암호화 통신 모듈(120)과 제2 암호화 통신 모듈(211)에 의해 데이터가 암호화되는 일 예를 나타내면 다음과 같다.
[암호화 적용 전 데이터 패킷(실제 패킷에서 쿼리 확인 가능)]
Figure 112013119941474-pat00001

[암호화 적용 후 데이터 패킷(암호화되어 패킷 확인 불가능)]
Figure 112013119941474-pat00002

한편, 보호대상 서버(200)에서 암호화 중계 에이전트(210)의 단일 포트(211a)를 제외한 실제 서비스 포트(201´,201″)로의 모든 접속을 차단하는 것은 보호대상 서버(200) 자체에 있는 방화벽이나 OS 자체의 방화벽 또는 그밖에 외부에 마련된 방화벽에 의해 수행된다.
도 3은 본 발명에 따른 통신 암호화를 통한 보안방법에서 명령어 전송 이전에 가장 먼저 선행되어야 하는 사용자의 식별 접속 과정을 도시한 플로차트인 바, 이를 참조해 설명한다.
우선, 사용자가 사용자 인터페이스가 설치된 단말기(10)를 통해 서비스별 보호대상 서버(200´,200″)에 접속하고자 하면 단말기(10)는 텔넷 보안서버(100´)나 오라클 보안서버(100″)와 같은 서비스별 보안서버(100´,100″)에 먼저 접속하게 되는데, 이때 보안서버(100)의 보안처리모듈(110)은 단말기(10)로부터 전송되는 사용자의 식별자 정보를 수신 및 처리하여 제1 암호화 통신 모듈(120)로 전달한다(S1).
본 발명의 일실시예로서, 보안처리모듈(110)은 제1 암호화 통신 모듈(120)을 통해 보호대상 서버(200)의 암호화 중계 에이전트(210)의 제2 암호화 통신 모듈(211)에 접속하여 접속이 성공하면 이후 과정이 수행되도록 할 수 있다.
다음에, 보안처리모듈(110)로부터 전달되는 사용자의 식별자 정보를 제1 암호화 통신 모듈(120)에서 암호화한다(S2).
그리고, 제1 암호화 통신 모듈(120)에서 암호화된 사용자의 식별자 정보를 암호화 중계 에이전트(210)의 제2 암호화 통신 모듈(211)로 전송한다(S3).
다음에, 제1 암호화 통신 모듈(120)로부터 전송되는 사용자의 식별자 정보를 제2 암호화 통신 모듈(211)에서 단일 포트(211a)로 수신 및 확인하고, 이를 복호화하여 패킷 중계 모듈(213)로 전달한다(S4).
마지막으로, 제2 암호화 통신 모듈(211)로부터 전달되는 사용자의 식별자 정보를 패킷 중계 모듈(213)에서 수신 및 확인하고, 이를 보호대상 서버(200)의 숨겨진 실제 서비스 포트(201´,201″)로 전송한다(S5).
이에 따라, 사용자의 식별자 정보가 텔넷 서버(200´)나 오라클 서버(200″)로 전송되어 사용자가 단말기(10)를 통해 접속할 수 있으며, 텔넷 서버(200´)나 오라클 서버(200″)에서는 전송된 사용자의 식별자 정보가 유효한지의 여부를 판단하여 접속을 승인 또는 차단하도록 할 수 있고, 전송된 식별자 정보가 유효하여 접속이 승인되면 이후 명령어의 전송을 비롯한 데이터 통신들이 암호화되어 암호화 데이터 중계가 시작되도록 할 수 있다.
도 4는 본 발명에 따른 통신 암호화를 통한 보안방법에서 서비스별 보호대상 서버(200´,200″)로의 명령어 전송 과정을 도시한 플로차트인 바, 이를 참조해 설명한다.
우선, 상기한 사용자의 식별 접속 과정을 거쳐 보호대상 서버(200)에 사용자의 단말기(10)가 접속된 상태에서 사용자가 단말기(10)를 통해 명령어를 입력하면 단말기(10)는 보안서버(100)로 해당 명령어를 전송하게 되는데, 이때 보안서버(100)의 보안처리모듈(110)은 단말기(10)로부터 전송되는 명령어를 수신 및 처리하여 제1 암호화 통신 모듈(120)로 전달한다(S10).
다음에, 보안처리모듈(110)로부터 전달되는 명령어를 제1 암호화 통신 모듈(120)에서 암호화한다(S11).
그리고, 제1 암호화 통신 모듈(120)에서 암호화된 명령어를 암호화 중계 에이전트(210)의 제2 암호화 통신 모듈(211)로 전송한다(S12).
다음에, 제1 암호화 통신 모듈(120)로부터 전송되는 명령어를 제2 암호화 통신 모듈(211)에서 단일 포트(211a)로 수신 및 확인하고, 이를 복호화하여 패킷 중계 모듈(213)로 전달한다(S13).
이후, 단계 13을 통해 제2 암호화 통신 모듈(211)로부터 전달되는 명령어를 패킷 중계 모듈(213)에서 수신 및 확인하고, 이를 보호대상 서버(200)의 숨겨진 실제 서비스 포트(201´,201″)로 전송한다(S14).
이에 따라, 보안서버(100)로부터 보호대상 서버(200)로 전송되는 명령어 데이터가 암호화되되 암호화 중계 에이전트(210)의 제2 암호화 통신 모듈(211)에서 복호화되어 패킷 중계 모듈(213)을 통해 실제 서비스가 제공되는 텔넷 서버(200´)나 오라클 서버(200″)로 전송되도록 할 수 있고, 패킷 중계 모듈(213)에서 텔넷 서버(200´)나 오라클 서버(200″)로 명령어 데이터가 전송될 때에는 평문 통신의 형태로 전송되도록 할 수 있다.
도 5는 본 발명에 따른 통신 암호화를 통한 보안방법에서 명령어 전송에 따라 수신되는 실행 결과 데이터를 사용자의 단말기(10)로 전송하는 과정을 도 4에 연이어 도시한 플로차트인 바, 이를 참조해 설명한다.
상기한 단계 14를 거친 다음, 숨겨진 실제 서비스 포트(201´,201″)를 통해 텔넷 서버(200´)나 오라클 서버(200″)로 명령어가 전송되어 전송된 해당 명령어에 따라 텔넷 서버(200´)나 오라클 서버(200″)에서 명령어를 실행하여 결과 데이터가 생성되면 암호화 중계 에이전트(210)의 패킷 중계 모듈(213)에서 실행 결과 데이터를 수신하여 이를 제2 암호화 통신 모듈(211)로 전달한다(S20).
다음에, 패킷 중계 모듈(213)로부터 전달되는 실행 결과 데이터를 제2 암호화 통신 모듈(211)에서 암호화한다(S21).
그리고, 제2 암호화 통신 모듈(211)에서 암호화된 실행 결과 데이터를 보안서버(100)의 제1 암호화 통신 모듈(120)로 전송한다(S22).
다음에, 제2 암호화 통신 모듈(211)로부터 전송되는 실행 결과 데이터를 제1 암호화 통신 모듈(120)에서 수신 및 확인하고, 이를 복호화하여 보안처리모듈(110)로 전달한다(S23).
마지막으로, 제1 암호화 통신 모듈(120)로부터 전달되는 실행 결과 데이터를 보안처리모듈(110)에서 단말기(10)로 전송하여 출력되게 함으로써 사용자가 이를 이용할 수 있도록 한다(S24).
이에, 본 발명에 따르면, 보안서버(100)와 보호대상 서버(200) 간에 이뤄지는 모든 통신이 암호화됨으로써 외부에서 통신상의 데이터를 가로채려고 시도하더라도 중요 데이터 정보가 외부로 유출되는 것을 방지할 수 있고, 통신 패킷이 외부로 노출되더라도 통신 중 전달될 수 있는 모든 중요 정보들을 안전하게 보호할 수 있으며, 보호대상 서버(200)의 실제 서비스 포트(201´,201″)가 숨겨지고 암호화 중계 에이전트(210)의 단일 포트(211a)가 보안서버(100)를 통해서만 접속될 수 있도록 함으로써, 외부에서 포트 스캐닝을 통해 서비스별 보호대상 서버(200´,200″)로 우회 접속하려고 시도하더라도 그러한 접속을 원천적으로 차단할 수 있고, 실제 서비스를 제공하는 서비스별 보호대상 서버(200´,200″)로의 실제 서비스 포트(201´,201″)를 통한 공격을 방지할 수 있다.
상기에 의해 설명되고 첨부된 도면에서 그 기술적인 면이 기술되었으나, 본 발명의 기술적인 사상은 그 설명을 위한 것이고, 그 제한을 두는 것은 아니며 본 발명의 기술분야에서 통상의 기술적인 지식을 가진 자는 본 발명의 기술적인 사상을 이하 후술 될 특허청구범위에 기재된 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10 : 단말기 100 : 보안서버
110 : 보안처리모듈 120 : 제1 암호화 통신 모듈
200 : 보호대상 서버 210 : 암호화 중계 에이전트
211 : 제2 암호화 통신 모듈 211a : 단일 포트
213 : 패킷 중계 모듈

Claims (5)

  1. 사용자 인터페이스가 설치된 단말기와, 사용자가 이용하고자 하는 실제 서비스가 제공되는 보호대상 서버와, 상기 단말기 및 상기 보호대상 서버 간에 수행되는 통신이 보호되도록 상기 단말기 및 상기 보호대상 서버 사이에서 유선 또는 무선 통신방식으로 연결되는 보안서버를 포함하는 보안시스템에 있어서,
    상기 보안서버는, 상기 단말기로부터 사용자의 식별자 정보 또는 명령어를 수신하여 처리하는 보안처리모듈과, 상기 보안처리모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 암호화하여 상기 보호대상 서버로 전송하는 제1 암호화 통신 모듈을 포함하고,
    상기 보호대상 서버에는, 상기 제1 암호화 통신 모듈로부터 전송되는 사용자의 식별자 정보 또는 명령어를 단일 포트로 수신하여 이를 복호화하는 제2 암호화 통신 모듈과, 상기 제2 암호화 통신 모듈로부터 사용자의 식별자 정보 또는 명령어를 전달받아 이를 숨겨진 실제 서비스 포트로 전송하는 패킷 중계 모듈을 포함하는 암호화 중계 에이전트가 구비되되,
    상기 제2 암호화 통신 모듈은 상기 패킷 중계 모듈을 통해 실제 서비스 포트로부터 명령어에 따른 실행 결과 데이터가 전송되어 오면 이를 암호화 하여 상기 제1 암호화 통신 모듈로 전송하고,
    상기 제1 암호화 통신 모듈은 상기 제2 암호화 통신 모듈로부터 전송되는 실행 결과 데이터를 수신 및 복호화하여 이를 상기 보안처리모듈로 전달하며,
    상기 보안처리모듈은 상기 제1 암호화 통신 모듈로부터 실행 결과 데이터를 전달받아 이를 상기 단말기로 전송하는 것을 특징으로 하는 통신 암호화를 통한 보안시스템.
  2. 삭제
  3. 사용자 인터페이스가 설치된 단말기로부터 전송되는 사용자의 식별자 정보 또는 명령어를 보안서버의 보안처리모듈에서 수신 및 처리하여 제1 암호화 통신 모듈로 전달하는 단계;
    상기 보안처리모듈로부터 전달되는 사용자의 식별자 정보 또는 명령어를 상기 제1 암호화 통신 모듈에서 암호화하는 단계;
    상기 제1 암호화 통신 모듈에서 암호화된 사용자의 식별자 정보 또는 명령어를 암호화 중계 에이전트의 제2 암호화 통신 모듈로 전송하는 단계;
    상기 제1 암호화 통신 모듈로부터 전송되는 사용자의 식별자 정보 또는 명령어를 상기 제2 암호화 통신 모듈에서 단일 포트로 수신하고, 이를 복호화하여 패킷 중계 모듈로 전달하는 단계;
    상기 제2 암호화 통신 모듈로부터 전달되는 사용자의 식별자 정보 또는 명령어를 상기 패킷 중계 모듈에서 보호대상 서버의 숨겨진 실제 서비스 포트로 전송하는 단계;
    상기 보호대상 서버의 숨겨진 실제 서비스 포트로 전송된 명령어에 따른 실행 결과 데이터를 상기 패킷 중계 모듈에서 수신하여 이를 상기 제2 암호화 통신 모듈로 전달하는 단계;
    상기 패킷 중계 모듈로부터 전달되는 실행 결과 데이터를 상기 제2 암호화 통신 모듈에서 암호화하는 단계;
    상기 제2 암호화 통신 모듈에서 암호화된 실행 결과 데이터를 상기 제1 암호화 통신 모듈로 전송하는 단계;
    상기 제2 암호화 통신 모듈로부터 전송되는 실행 결과 데이터를 상기 제1 암호화 통신 모듈에서 수신하고, 이를 복호화하여 상기 보안처리모듈로 전달하는 단계; 및
    상기 제1 암호화 통신 모듈로부터 전달되는 실행 결과 데이터를 상기 보안처리모듈에서 상기 단말기로 전송하는 단계;
    를 포함하는 것을 특징으로 하는 통신 암호화를 통한 보안방법.


  4. 삭제
  5. 삭제
KR1020130166145A 2013-12-27 2013-12-27 통신 암호화를 통한 보안시스템 및 보안방법 KR101448711B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130166145A KR101448711B1 (ko) 2013-12-27 2013-12-27 통신 암호화를 통한 보안시스템 및 보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130166145A KR101448711B1 (ko) 2013-12-27 2013-12-27 통신 암호화를 통한 보안시스템 및 보안방법

Publications (1)

Publication Number Publication Date
KR101448711B1 true KR101448711B1 (ko) 2014-10-10

Family

ID=51997032

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130166145A KR101448711B1 (ko) 2013-12-27 2013-12-27 통신 암호화를 통한 보안시스템 및 보안방법

Country Status (1)

Country Link
KR (1) KR101448711B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190119785A (ko) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
US8452956B1 (en) * 2003-02-13 2013-05-28 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Tutorial on Network Security: Attacks and Controls, Natarajan Meghanathan, Jackson State University, 2013-05-08 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190119785A (ko) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
KR102102524B1 (ko) 2018-04-13 2020-04-22 엔에이치엔 주식회사 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템

Similar Documents

Publication Publication Date Title
US8904178B2 (en) System and method for secure remote access
EP3723399A1 (en) Identity verification method and apparatus
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US8037306B2 (en) Method for realizing network access authentication
US7562211B2 (en) Inspecting encrypted communications with end-to-end integrity
EP2332089B1 (en) Authorization of server operations
US20100228962A1 (en) Offloading cryptographic protection processing
CN109167802B (zh) 防止会话劫持的方法、服务器以及终端
CN108769007B (zh) 网关安全认证方法、服务器及网关
US20190140823A1 (en) Method for Detecting Encrypted Content, and Device
US20190238334A1 (en) Communication system, communication client, communication server, communication method, and program
US20040177248A1 (en) Network connection system
US20160248734A1 (en) Multi-Wrapped Virtual Private Network
US9210128B2 (en) Filtering of applications for access to an enterprise network
US9444807B2 (en) Secure non-geospatially derived device presence information
EP2706717A1 (en) Method and devices for registering a client to a server
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
WO2015180399A1 (zh) 一种认证方法及装置系统
KR20190009497A (ko) 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN106576050B (zh) 三层安全和计算架构
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법
KR101628094B1 (ko) 보안 장비 및 그것의 접근 허용 방법

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 6