KR101460167B1 - 통신보안시스템 및 통신보안방법 - Google Patents

통신보안시스템 및 통신보안방법 Download PDF

Info

Publication number
KR101460167B1
KR101460167B1 KR20130105634A KR20130105634A KR101460167B1 KR 101460167 B1 KR101460167 B1 KR 101460167B1 KR 20130105634 A KR20130105634 A KR 20130105634A KR 20130105634 A KR20130105634 A KR 20130105634A KR 101460167 B1 KR101460167 B1 KR 101460167B1
Authority
KR
South Korea
Prior art keywords
dedicated
channel
communication
data packet
communication channel
Prior art date
Application number
KR20130105634A
Other languages
English (en)
Inventor
김용우
이중현
서광희
송호철
Original Assignee
(주) 더존비즈온
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 더존비즈온 filed Critical (주) 더존비즈온
Priority to KR20130105634A priority Critical patent/KR101460167B1/ko
Application granted granted Critical
Publication of KR101460167B1 publication Critical patent/KR101460167B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 통신보안시스템 및 통신보안방법에 관한 것이다. 상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면에 따르면 서버장치 및 클라이언트장치 간의 통신을 보호하는 통신보안시스템으로서, 상기 서버장치에 포함되고, 상기 클라이언트장치를 인증하여 상기 클라이언트장치와의 통신을 위한 전용통신채널을 형성하도록 구성되는 제1채널형성부, 및 상기 서버장치에 포함되고, 상기 전용통신채널을 통해 클라이언트장치와의 통신을 수행하도록 구성되는 제1채널통신부를 포함할 수 있다.

Description

통신보안시스템 및 통신보안방법{SYSTEM AND METHOD FOR SECURING COMMUNICATION}
본 발명은 통신보안시스템 및 통신보안방법에 관한 것으로, 보다 상세하게는 클라이언트장치 및 서버장치 간의 통신채널의 보안을 향상시킴으로써 통신네트워크의 보안을 향상시키는 시스템 및 방법에 관한 것이다.
최근 들어 무선데이터 통신 환경이 구축되면서, 해킹 등과 같은 네트워크 공격에 의한 피해가 속출하고 있다. 특히, 특정 사이트(예를 들어 포탈 사이트)로의 액세스를 위한 DNS 서버, 프록시 서버에 대한 공격이 빈번하게 이루어지고 있어 다수의 사용자들의 피해가 발생하고 있다.
특히, DDoS 공격(Distributed Denial of Service Attack)과 같이, 다수의 클라이언트 컴퓨터에 악성 코드를 감염시켜 다수의 클라이언트 컴퓨터로 하여금 특정 네트워크 시스템에 다량의 패킷(packet)을 일시에 전송하도록 유도하여 네트워크 시스템의 서버를 다운시키는 공격 방법 등이 빈번하게 발생하고 있다.
이러한 DDoS 공격은, 일반적인 패킷으로 공격하므로 그 공격방식이 매우 단순하다.
즉, 일반적으로 서버로의 접속을 위한 통신포트가 알려진 경우가 많은데, 예를 들어, HTTP프로토콜은 포트 80번을, SSH프로토콜은 포트 20번을, FTP프로토콜은 포트 21번을 사용하는 것으로 알려져 있다. 이렇게 알려진 통신포트를 통해, 해커들은 비정상 패킷을 전송할 수 있고, 상기 비정상 패킷을 수신한 서버는 비정상 패킷을 정상 패킷과 구분하기가 어려워 상기와 같은 공격에 무방비할 수밖에 없다. 설령 공격을 받은 서버가 DDoS공격을 감지하고 패킷의 수신을 차단하면, 비정상패킷은 물론 정상패킷에 대한 수신이 차단되기 때문에 서비스를 제공받으려는 정상적인 사용자들에게 서비스를 제공하지 못하는 문제점이 있다.
관련하여 선행문헌인 특허공개번호 제2003-0049853호에서는 인터럽트부를 이용한 인터럽트 신호의 수신을 통해 각 컴퓨터 시스템간 세션 연결의 요청 여부를 지속적으로 확인하는 단계, 상기 과정에서 특정 컴퓨터 시스템으로부터 다른 한 컴퓨터 시스템으로의 세션 연결을 위한 요청 신호가 발생될 경우 이 세션을 통해 전송되는 데이터 패킷을 커널로 전달하도록 제어하는 단계, 상기 커널을 메모리 데이터 베이스와 연동시켜 수신된 데이터 패킷의 이상 유무를 판독함과 더불어 그 판독 결과에 따라 전송 대상 컴퓨터 시스템으로의 해당 데이터 패킷 전송 혹은, 차단을 결정하며, 상기 결정에 따른 제어를 수행하는 단계와 같은 일련의 과정을 진행하는 내용을 개시하고 있다. 이러한 선행문헌에서는, 컴퓨터 시스템 간에 교환되는 데이터패킷을 펫치(fetch)할 수 있는 커널장치를 두고 있는데, 커널장치가 공격대상이 되는 경우 커널을 경유하게 되는 컴퓨터 시스템 모두 공격의 대상이 될 수 있어 선행문헌은 상술된 문제점을 여전히 해결하지 못한다. 따라서 상술된 문제점을 해결하기 위한 기술이 필요하게 되었다.
한편, 전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
본 발명의 일실시예는 통신보안시스템 및 통신보안방법을 제공하는 데에 목적이 있다.
또한, 본 발명의 일실시예는 서버장치 및 클라이언트장치 간의 전용통신채널을 할당함으로써 통신보안시스템 및 통신보안방법을 제공하는 데에 목적이 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면에 따르면 서버장치 및 클라이언트장치 간의 통신을 보호하는 통신보안시스템으로서, 상기 서버장치에 포함되고, 상기 클라이언트장치를 인증하여 상기 클라이언트장치와의 통신을 위한 전용통신채널을 형성하도록 구성되는 제1채널형성부, 및 상기 서버장치에 포함되고, 상기 전용통신채널을 통해 클라이언트장치와의 통신을 수행하도록 구성되는 제1채널통신부를 포함할 수 있다.
본 발명의 제 2 측면에 따르면, 통신보안시스템이, 서버장치 및 클라이언트장치 간의 통신을 보호하는 방법으로서, 상기 클라이언트장치를 인증하여 상기 클라이언트장치와의 통신을 위한 전용통신채널을 형성하는 단계, 및 상기 전용통신채널을 통해 상기 서버장치 및 상기 클라이언트장치 간의 데이터패킷의 송수신을 처리하는 단계를 포함할 수 있다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 본 발명의 일실시예는 통신보안시스템 및 통신보안방법을 제공할 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 서버장치 및 클라이언트장치 간의 전용통신채널을 할당함으로써 통신보안시스템 및 통신보안방법을 제공할 수 있다.
그리고 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 서버장치의 특정 포트는 클라이언트장치 외의 다른 단말로부터의 접속을 방지할 수 있어 외부로부터의 서버 공격을 방지할 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 별도의 장치, 예를 들어 프록시서버가 구현될 필요가 없는, 통신보안시스템 및 통신보안방법을 제공할 수 있다.
그리고, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 서버장치 및 클라이언트장치 중 일방의 장치에서의 문제점(예를 들어 해킹 대상이 됨)이 타방의 장치로 전이되지 않도록 하는 통신보안시스템 및 통신보안방법을 제시할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 통신보안시스템의 대략적인 구성도이다.
도 2는 본 발명의 일실시예에 따른 서버장치를 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 클라이언트장치를 도시한 블록도이다.
도 4 및 도 5는 본 발명의 일실시예에 따른 통신보안방법을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 통신보안방법에 따라 데이터패킷이 이동하는 모습을 나타낸 예시도이다.
도 7은 본 발명의 또 다른 실시예에 따른 통신보안방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 일실시예에 따른 통신보안방법에 따라 데이터패킷이 이동하는 모습을 나타낸 예시도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 통신보안시스템을 설명하기 위한 구성도이다.
도 1에서 도시된 바와 같이, 통신보안시스템은 서버장치(10) 및 클라이언트장치(20)를 포함할 수 있으며, 서버장치(10) 및 클라이언트장치(20)는 네트워크(N)를 통해 통신할 수 있다.
네트워크(N)는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.
한편 서버장치(10)는 서버클라이언트 시스템에서 통상의 서버프로그램이 설치된 장치로서 클라이언트장치로 서비스를 제공하기 위한 각종 데이터를 처리할 수 있다.
반면 클라이언트장치(20)는 서버클라이언트 시스템에서 통상의 클라이언트프로그램이 설치된 장치로서, 이러한 클라이언트장치는 또는 엔드유저인 사용자단말과 통신을 수행할 수 있으며, 또는 엔드유저 그 자체(즉, 사용자단말)일 수 있다.
여기서 사용자단말은 네트워크(N)를 통해 원격지의 서버에 접속하거나, 타 단말 및 서버와 연결 가능한 컴퓨터나 휴대용 단말기, 텔레비전으로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, 텔레비전은 IPTV(Internet Protocol Television), 인터넷 TV(Internet Television), 지상파 TV, 케이블 TV 등을 포함할 수 있다.
이러한 클라이언트장치 및 서버장치는 서비스제공을 위한 데이터패킷을 통신채널을 통해 송수신할 수 있다. 이러한 클라이언트장치 및 서버장치 각각에 대해서는 도 2 및 도 3을 참조하여 보다 상세히 후술된다.
도 2는 본 발명의 일실시예에 따른 서버장치(10)를 도시한 블록도이다.
관련하여 서버장치(10)는 하나의 물리적인 서버 또는 여러 대의 물리적인 서버로 구성될 수 있으며, 여러 대의 서버로 구성되는 경우에는 서버의 로드율 증가, 부하량, 속도저하등을 고려하여 적절히 분산처리할 수 있는 로드밸런싱서버를 포함할 수 있다.
한편 도 2에서 도시된 바와 같이, 서버장치(10)는 서비스제공부(110), 제1인터페이스부(120), 채널관리부(130) 및 보안검증부(140)를 포함할 수 있다.
서비스제공부(110)는, 서버장치가 클라이언트장치로 제공하고자 하는 서비스를 제공하기 위한 모듈이다. 관련하여, 서비스의 종류로 예를 들어, 클라우드서비스가 있을 수 있으나, 서비스의 종류는 상술된 예에 제한되지 않는다.
한편 제1인터페이스부(120)는, 서비스제공부(110)가 클라이언트장치로 제공할 데이터패킷을 제1채널통신부(132)로 전달할 수 있다.
이를 위해 제1인터페이스부(120)는 서비스제공부(110)로부터 수신된 데이터패킷에 클라이언트 전용헤더를 추가함으로써 데이터패킷을 캡슐화(encapsulate)하여 채널통신부(132)로 전달할 수 있다.
또한 제1인터페이스부(120)는 제1채널통신부(132)를 통해 수신된 데이터패킷을 검증하고 검증결과에 기초하여 수신된 데이터패킷을 서비스제공부(110)로 포워딩할 수 있다.
이를 위해 제1인터페이스부(120)는 클라이언트장치와의 전용통신채널을 통해 수신된 데이터패킷을 역캡슐화(decapsulate)하여 데이터패킷에 포함된 헤더가, 상기 클라이언트장치에 대한 전용헤더인지를 비교하고 비교결과 일치하는 경우에 한해 상기 데이터패킷을 서비스제공부(110)로 전달하는 방식으로 상기 데이터패킷을 서비스제공부로 포워딩할 수 있다.
이와 같은 제1인터페이스부(120)의 동작으로 인해, 안전한 것으로 검증된 데이터패킷만이 서비스제공부(110)로 전달되므로 검증되지 않은 외부장치로부터 서비스제공부(110)가 은닉된다. 즉, 외부장치에 의해 서버장치(10)가 스캔되더라도 제1인터페이스부(120)만이 외부로 공개되며, 서비스제공부(110)는 공개되지 않는다.
한편 채널관리부(130)는, 하나 이상의 클라이언트장치와의 통신을 위한 채널을 형성하고 관리하는 모듈이다. 채널관리부(130)는 클라이언트장치 별로 고유의 전용통신채널을 할당할 수 있다.
이러한 채널관리부(130)는 제1채널형성부(131) 및 제1채널통신부(132)를 포함할 수 있다.
제1채널형성부(131)는 클라이언트장치를 인증하여 상기 클라이언트장치와의 통신을 위한 전용통신채널을 형성할 수 있다. 여기서 클라이언트장치를 인증하는 방식은 예를 들어, 클라이언트장치에 대한 고유 암호키(예를 들어, 서버장치가 공개키 암호화방식에 기초하여 클라이언트장치로 전송한 대칭키)가 할당되어 있는 경우 상기 고유 암호키를 갖고 액세스하는 클라이언트장치에 한해 인증할 수 있다. 다만 클라이언트장치를 인증하는 방식은 상술된 예에 한정되지 않으며, 클라이언트장치가 안전한 클라이언트장치임을 인증할 수 있는 각종 방식이 가능하다.
그리고, 제1채널형성부(131)는 상기 클라이언트장치만을 위한 전용포트를 할당할 수 있다.
이를 위해 제1채널형성부(131)는 기존에 사용되고 있는 포트를 조회하여 사용되지 않는 포트를 탐색할 수 있다. 그리고 제1채널형성부(131)는 사용되지 않는 포트를 탐색한 결과 상기 사용되지 않는 포트를 상기 클라이언트장치에 대해 할당할 수 있으며, 또는 사용되지 않는 포트가 없는 경우에는 가장 적은 개수의 클라이언트장치가 매칭되어 있는 포트를 우선순위로 탐색하여 상기 탐색된 포트를 클라이언트장치에 대해 할당할 수 있다.
또한, 제1채널형성부(131)는 상기 클라이언트장치만을 위한 전용헤더정보를 생성하여 할당할 수 있다. 즉 예를 들어, 제1채널형성부(131)는 서버장치의 서비스를 제공받는 고객사(고객상의 장치) 별로 전용헤더정보를 할당할 수 있다.
이를 위해 제1채널형성부(131)는 클라이언트장치와의 통신프로토콜에 따라 임의의 패킷헤더를 생성할 수 있으며, 생성한 패킷헤더를 상기 클라이언트장치에 할당할 수 있다. 보다 높은 안정성을 위해 제1채널형성부(131)는 상기 생성된 패킷헤더가 이미 사용되고 있는 패킷헤더를 검사할 수 있으며, 이미 사용되고 있는 패킷헤더이면 다시 새로운 패킷헤더정보를 생성할 수 있다. 이를 위해 클라이언트장치 각각에 대응되는 패킷헤더정보를 저장하는 데이터베이스를 구축할 수 있으며, 상기 데이터베이스에 기초하여 타클라이언트장치에 대응되는 패킷헤더정보와는 상이한 패킷헤더정보를 생성하면 상기 패킷헤더정보를 데이터베이스에 추가하여 저장할 수 있다.
또한 제1채널형성부(131)는 상기 클라이언트장치 전용으로 이용될 전용포트에 관한 통신포트정보를 생성할 수 있고, 생성된 통신포트정보를 클라이언트장치로 전달할 수 있다. 이러한 전달에 응답하여 클라이언트장치로부터 상기 전용포트를 통해 확인응답 데이터패킷을 수신하면, 제1채널형성부(131)는 상기 전용포트를 통한 전용통신채널이 생성되었음을 결정할 수 있다.
또한 제1채널형성부(131)는 상기 클라이언트에 대응되는 패킷전용헤더를 생성할 수 있으며 상기 패킷전용헤더에 관한 전용헤더정보를 상기 클라이언트장치로 송신할 수 있다. 그리고 상기 송신에 대한 응답으로 상기 전용헤더정보가 포함된 확인응답 데이터패킷을 수신하면 제1채널형성부(131)는 상기 전용포트를 통한 전용통신채널이 생성되었음을 결정할 수 있다.
또한 제1채널형성부(131)는 상기 클라이언트장치와의 통신을 위한 대칭키를 생성할 수 있으며 상기 대칭키를, 공개키 암호화방식에 따라 상기 클라이언트장치와 교환할 수 있다. 상기 대칭키를 획득한 클라이언트장치로부터 상기 대칭키에 따라 암호화된 데이터패킷을 수신하면, 제1채널형성부(131)는, 상기 대칭키에 기초하여 데이터패킷을 암호화하고 상기 암호화된 데이터패킷을 송수신할 수 있는 전용통신채널이 생성되었음을 결정할 수 있다.
한편, 제1채널통신부(132)는 전용통신채널을 통해 클라이언트장치와의 통신을 수행할 수 있다.
특히 제1채널통신부(132)는 클라이언트장치 별로 할당된 포트를 통해 클라이언트장치와 데이터패킷을 송수신할 수 있다.
또한 제1채널통신부(132)는 클라이언트장치 별로 할당된 전용헤더정보를 포함하는 데이터패킷을, 상기 클라이언트장치에 대해 할당된 포트를 통해 클라이언트장치로 전달할 수 있다. 그리고 클라이언트장치로부터 수신된 데이터패킷을 역캡슐화하여 상기 데이터패킷에 포함된 헤더정보가 클라이언트장치에 대응하는 전용헤더정보인지를 판단함으로써 정상클라이언트장치를 구분하여 데이터 통신할 수 있다.
한편, 보안검증부(140)는 클라이언트장치 간의 전용통신채널의 안정성을 검증하기 위한 모듈이다.
즉, 보안검증부(140)는 전용통신채널을 통해 클라이언트장치로부터 안전하지 않은 데이터패킷을 수신하는지 여부를 검증할 수 있다.
예를 들어, 보안검증부(140)는 특정 포트를 통해 수신된 데이터패킷의 헤더정보를, 상기 특정포트(또는 특정포트를 통해 전용통신채널이 형성된 클라이언트장치)에 매칭되는 전용헤더정보와 일치하는지 여부를 분석하여 소정의 횟수 이상 불일치하는 경우에는 해당포트(또는 전용통신채널)가 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다.
또한 예를 들어, 보안검증부(140)는 특정 포트를 통해 수신된 데이터패킷을 송신한 클라이언트장치가, 상기 특정 포트에 대응되는 클라이언트장치인지 여부를 판단하여 소정의 횟수 이상 불일치한다면 해당포트(또는 전용통신채널)가 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다.
또한 예를 들어, 보안검증부(140)는 전용통신채널을 통해 수신되는 데이터패킷의 트래픽을 모니터링하고, 트래픽이 급증하는 경우에는 상기 전용통신채널이 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다.
또한 예를 들어, 보안검증부(140)는 전용통신채널을 통해 전달된 요청에 대한 응답속도를 모니터링하고, 응답속도가 급격하게 변하는 경우에는 상기 전용통신채널이 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다.
또한 예를 들어, 보안검증부(140)는 클라이언트장치로부터 전용통신채널의 문제를 보고받음으로써 상기 전용통신채널이 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다. 즉 클라이언트장치가 소정의 횟수 이상, 잘못된 헤더(즉, 서버장치와 합의되지 않은 헤더)를 갖는 데이터패킷을 서버장치로부터 수신한 것으로 확인하면, 클라이언트장치는 이러한 확인사항을 경고정보로 생성하여 서버장치로 전달할 수 있고, 보안검증부(140)는 상기와 같은 경고정보를 소정의 횟수 이상 수신하면, 상기 전용통신채널이 악성 클라이언트장치에게 노출된 것으로 판단할 수 있다.
상술된 바와 같이 보안검증부(140)는 클라이언트장치 간의 전용통신채널이 안전하지 않다고 판단할 수 있으며 전용통신채널이 안전하지 않다고 판단하는 경우에는 상기 제1채널형성부로 하여금 상기 전용통신채널과는 다른 통신채널을 상기 클라이언트장치와의 전용통신채널로 설정하도록 할 수 있다.
한편, 도 3은 본 발명의 일실시예에 따른 클라이언트장치를 도시한 블록도이다.
클라이언트장치(20)는 도 3에서 도시된 바와 같이, 서비스부(210), 제2인터페이스부(220) 및 제2채널관리부(230)를 포함할 수 있다.
서비스부(210)는 클라이언트장치가 서버장치로부터 수신한 서비스를 사용자에게 제공하기 위한 모듈이다. 서비스의 종류로 예를 들어, 클라우드서비스가 있을 수 있으나, 서비스의 종류는 상술된 예에 제한되지 않는다.
서비스부(210)는 클라이언트장치가 엔드유저 그 자체일 경우 사용자와 인터랙션을 위한 모듈들, 예를 들어 사용자로부터 명령을 수신하기 위한 입력모듈, 사용자로부터 서비스 관련 정보를 표시하기 위한 출력모듈 등을 포함할 수 있다.
또한 서비스부(210)는 클라이언트장치가 엔드유저인 사용자단말과의 통신을 수행하는 경우, 클라이언트장치가 수신한 데이터패킷이더라도 서비스부(210)로 전달된 데이터패킷에 한해 사용자단말로 전달할 수 있다.
한편, 제2인터페이스부(220)는 서비스부(210)가 서버장치로 제공할 데이터패킷을 제2채널통신부(232)로 전달하거나 제2채널통신부(232)를 통해 수신된 데이터패킷을 서비스부(210)로 전달할 수 있다.
이를 위해 제2인터페이스부(220)는 서비스부(210)로부터 수신된 데이터패킷에 클라이언트 전용헤더를 추가함으로써 데이터패킷을 캡슐화(encapsulate)하여 제2채널통신부(232)로 전달할 수 있다.
또한 제2인터페이스부(220)는 클라이언트장치와의 전용통신채널을 통해 수신된 데이터패킷을 역캡슐화(decapsulate)하여 데이터패킷에 포함된 헤더가, 상기 서버장치에 대한 전용헤더인지를 비교하고 비교결과 일치하는 경우에 한해 상기 데이터패킷을 안전하다고 판단할 수 있다. 그리고, 제2인터페이스부(220)는, 안전하다고 판단된 데이터패킷만을 서비스부(210)로 루프백(loopback) 포워딩할 수 있다. 예를 들어, 제2인터페이스부(220)는 루프백 IP(loopback IP)주소를 이용하여 안전하다고 판단된 데이터패킷을 상기 루프백 IP주소로 포워딩함으로써 서비스부(210)로 데이터패킷이 전달되도록 할 수 있다.
또한 제2인터페이스부(220)는 클라이언트장치와의 전용통신채널을 통해 수신된 데이터패킷을 역캡슐화하여 데이터패킷에 포함된 헤더가, 상기 서버장치에 대한 전용헤더인지를 비교하고 비교결과 일치하지 않는다고 판단하면 상기의 일치하지 않음을 로그데이터로 저장할 수 있다. 이러한 로그데이터가 소정의 횟수 이상 생성되면 상기 로그데이터를 경고정보로서 생성하여 서버장치로 송신함으로써 전용통신채널이 노출되었을 가능성을 서버장치에게 경고할 수 있다.
한편 제2채널관리부(230)는, 하나 이상의 서버장치와의 통신을 위한 채널을 형성하고 관리하는 모듈이다. 제2채널관리부(230)는 클라이언트장치에 대해 서버 별로 형성된 고유의 전용통신채널을 관리할 수 있다.
이러한 제2채널관리부(230)는 제2채널형성부(231) 및 제2채널통신부(232)를 포함할 수 있다.
제2채널형성부(231)는 서버장치를 인증하여 상기 서버장치와의 통신을 위한 전용통신채널을 형성할 수 있다. 여기서 서버장치를 인증하는 방식은 예를 들어, 서버장치에 대한 고유 암호키가 할당되어 있는 경우 상기 고유 암호키를 갖고 액세스하는 서버장치를 인증할 수 있다. 다만 클라이언트장치를 인증하는 방식은 상술된 예에 한정되지 않으며, 클라이언트장치가 안전한 클라이언트장치임을 인증할 수 있는 각종 방식이 가능하다.
한편 제2채널통신부(232)는 서버장치와의 데이터패킷을 송수신할 수 있다.
특히 제2채널통신부(232)는 서버장치에 대해, 자신에게 전용으로 할당된 서버의 포트로 데이터패킷이 전달되도록 할 수 있다.
또한 제2채널통신부(232)는 서버장치 별로 할당된 전용헤더정보를 포함하는 데이터패킷을, 상기 서버장치로 전달할 수 있다.
도 4 및 도 5는 본 발명의 일실시예에 따른 통신보안방법을 설명하기 위한 순서도이다.
도 4 및 도 5에 도시된 실시예에 따른 통신보안방법은 도 1 내지 도 3에 도시된 통신보안시스템(30)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하에서 생략된 내용이라고 하더라도 도 1 내지 도 3에 도시된 통신보안시스템(30)에 관하여 이상에서 기술한 내용은 도 4 및 도 5에 도시된 실시예에 따른 통신보안방법에도 적용될 수 있다.
보다 상세하게는 도 4는 본 발명의 실시예에 따른 통신보안방법에 있어서 서버장치(10) 및 클라이언트장치(20) 간의 전용통신채널을 형성하는 방법을 도시한 순서도이다.
먼저 서버장치(10)와의 전용통신채널이 형성되지 않은 경우, 클라이언트장치(20)는 서버장치(10)로 전용통신채널의 할당을 요청할 수 있다 (S410).
이러한 요청을 수신한 서버장치(10)는 클라이언트장치(20)가 서버장치(10)로의 액세스권한(또는 서비스권한)이 있는 클라이언트인지를 인증할 수 있다 (S420).
인증된 클라이언트장치(10)인 경우 상기 클라이언트장치(10)만이 액세스가능한 전용포트를 할당할 수 있다 (S430).
또한 인증된 클라이언트장치(10)인 경우 클라이언트장치(10)에 대응되는, 클라이언트장치(10) 고유의 전용헤더정보를 생성할 수 있다 (S430).
그리고 서버장치(10)는 클라이언트장치(20)로, 클라이언트장치에 대응되는 포트정보 및/또는 전용헤더정보를 송신하고(S440), 클라이언트장치(20)가 상기 서버장치의 송신을 확인응답하면 (S450), 상기 서버장치(10) 및 클라이언트장치(20) 간의 전용통신채널을 형성한 것으로 볼 수 있다. 특히, 클라이언트장치는 자신에게 할당된 전용포트로 확인응답정보를 송신함으로써 서버장치(10)와의 전용통신채널이 확립되었음을 나타낼 수 있다. 또한 클라이언트장치(20)는 상기 전용헤더정보의 수신에 응답하여 상기 전용헤더정보가 포함된 확인응답 데이터패킷을 송신함으로써 서버장치(10)와 전용통신채널이 확립되었음을 나타낼 수 있다.
한편, 서버장치(10)가 클라이언트장치(20)로 전용통신채널의 할당을 요청할 수 있다. 이때의 요청에는 클라이언트장치에 대응되는 포트정보 및/또는 전용헤더정보가 포함되어 송신될 수 있다. 상기 포트정보 및/또는 전용헤더정보를 수신한 클라이언트장치는, 상술된 단계 S440 내지 S450에 따라 동작함으로써 서버장치와 통신가능한 전용통신채널을 형성할 수 있다.
상술된 바와 같이 전용통신채널이 형성되면 서버장치(10) 및 클라이언트장치(20) 각각은 전용통신채널을 통해 통신을 수행할 수 있다.
관련하여 도 5는 본 발명의 실시예에 따른 통신보안방법에 있어서 서버장치(10) 및 클라이언트장치(20) 간의 전용통신채널을 통해 데이터패킷을 송수신하는 방법을 도시한 순서도이다.
클라이언트장치(20)로 서비스를 제공하고자 하는 서버장치(10)는, 서비스 관련 데이터패킷을 캡슐화할 수 있다 (S510). 즉, 서버장치(10)는 클라이언트장치에 대응되는 전용헤더가 포함되도록 데이터패킷을 캡슐화할 수 있다.
그리고 캡슐화된 데이터패킷을, 클라이언트장치에 대해 할당된 전용포트를 통해 송신함(S520)으로써, 전용통신채널을 통해 클라이언트장치와 통신할 수 있다.
이러한 데이터패킷을 수신한 클라이언트장치(20)는 데이터패킷을 역캡슐화할 수 있다 (S530).
역캡슐화한 결과 추출된 패킷헤더정보가, 서버장치와 합의된 전용헤더정보와 불일치하는 경우 (S540), 클라이언트장치(20)는 수신된 데이터패킷을 폐기할 수 있다 (S550). 또한, 클라이언트장치(20)는 잘못된 헤더정보를 갖는 데이터패킷이 서버장치로부터 수신되었음을 서버장치(10)로 보고할 수 있다.
또한 역캡슐화한 결과 추출된 패킷헤더정보가, 서버장치와 합의된 전용헤더정보와 일치하는 경우(S540), 클라이언트장치(20)는 서버장치의 서비스를 처리하는 모듈로 상기 데이터패킷을 루프백 포워딩함으로써 사용자에게 데이터패킷을 전달할 수 있다 (S560).
관련하여 도 6은 상술된 도 5의 각 단계에 따라 데이터패킷이 이동하는 모습을 도시한 예시도이다.
즉, 서버장치(10)의 서비스제공부(110)는, 사용자의 요청에 응답하는 정보 등과 같이, 서비스를 사용자에게 제공하기 위한 각종 정보를 포함하는 데이터패킷을 생성하고, 생성된 데이터패킷을 클라이언트장치(20)로 전달할 것을 요청할 수 있다. 서버장치(10)의 제1인터페이스부(120)는 서비스제공부(110)의 데이터패킷 송신 요청을 모니터링하고, 상기 데이터패킷에 패킷헤더를 추가함으로써 상기 데이터패킷을 캡슐화시킬 수 있다. 그리고 제1인터페이스부(120)는 상기 캡슐화된 데이터패킷을 제1채널통신부(132)로 포워딩할 수 있다(S610). 서버장치(10)의 제1채널통신부(132)는, 클라이언트장치(20)와의 통신을 위해 지정된 포트를 통해, 캡슐화된 데이터패킷을 제2채널통신부(232)로 전달(S620)함으로써 데이터패킷을 클라이언트장치(20)로 전달할 수 있다. 클라이언트장치(20)의 제2통신채널부(232)는 수신된 데이터패킷을 제2인터페이스부(220)로 포워딩(S630)하며, 제2인터페이스부(220)는 데이터패킷을 역캡슐화하여 추출된 패킷헤더정보가, 합의된 전용헤더정보와 일치하는 경우, 서비스를 처리하는 모듈로 상기 데이터패킷을 루프백 포워딩함으로써 사용자에게 데이터패킷을 전달할 수 있다.
한편 관련하여 도 7은 본 발명의 실시예에 따른 통신보안방법에 있어서 서버장치(10) 및 클라이언트장치(20) 간의 전용통신채널을 통해 데이터패킷을 송수신하는 방법을 도시한 순서도이며, 특히 클라이언트장치(20)로부터 서버장치(10)로 데이터패킷을 송신하는 각 단계를 도시하기 위한 순서도이다.
도 7에서 도시된 바와 같이, 클라이언트장치(20) 또한 서버장치(10)로 데이터패킷을 송신할 수 있으며, 이를 위해 클라이언트장치(20)는 데이터패킷을, 정해진 전용헤더정보가 포함되도록 캡슐화할 수 있으며 (S710), 캡슐화된 데이터패킷을 전용통신채널을 통해 서버장치(10)로 송신할 수 있다. (S720)
이러한 데이터패킷을 수신한 서버장치(10)는, 먼저 상기 데이터패킷이 클라이언트장치(20)에 대해 할당된 통신포트를 통해 수신된 것인지를 검증할 수 있으며, 검증된 데이터패킷에 한해 상기 데이터패킷을 역캡슐화할 수 있다 (S730). 역캡슐화된 데이터패킷에 포함된 패킷헤더정보가, 상기 클라이언트장치(20)에 대응되는 전용헤더정보와 일치하는 경우에 한해 (S740), 서비스를 제공하는 모듈로 데이터패킷을 전달하여 서버장치가 원활하게 클라이언트장치로 서비스를 제공하도록 할 수 있다 (S760). 반면, 서버장치(10)는 수신된 패킷이, 클라이언트장치에 대해 할당된 통신포트를 통해 수신된 것이 아니거나, 클라이언트장치에 대응되는 전용헤더정보를 갖고 있지 아니한 경우에는 상기 데이터패킷을 수신한 통신포트를 차단하거나, 상기 클라이언트장치에 대한 새로운 통신포트 또는 새로운 전용헤더정보를 할당함으로써 새로운 전용통신채널을 생성할 수 있다 (S750).
관련하여 도 8은 상술된 도 7의 각 단계에 따라 데이터패킷이 이동하는 모습을 도시한 예시도이다.
즉, 클라이언트장치(20)의 서비스부(210)는, 사용자의 서비스 요청 정보 등과 같이, 서비스를 사용자에게 제공하기 위한 각종 정보를 포함하는 데이터패킷을 생성하고 서버장치로 전달할 것을 요청할 수 있다. 클라이언트장치(20)의 제2인터페이스부(220)는 서비스부(210)의 데이터패킷 송신 요청을 모니터링하고, 상기 데이터패킷에 패킷헤더를 추가함으로써 데이터패킷을 캡슐화시킬 수 있다. 그리고 제2인터페이스부(220)는 상기 캡슐화된 데이터패킷을 제2채널통신부(232)로 포워딩하며(S810), 클라이언트장치(20)의 제2채널통신부(232)는, 서버장치(10)의 지정된 포트로 통신을 가능하게 하는 제1채널통신부(132)로, 캡슐화된 데이터패킷을 전달(S820)함으로써 데이터패킷을 서버장치(10)로 전달한다. 서버장치(10)의 제1통신채널부(132)는 수신된 데이터패킷을 제1인터페이스부(120)로 포워딩(S830)하며, 제1인터페이스부(120)는 데이터패킷을 역캡슐화하여 추출된 패킷헤더정보가, 합의된 전용헤더정보와 일치하는 경우, 서버장치(10)는 서버장치의 서비스를 처리하는 모듈인 서비스제공부(110)로 상기 데이터패킷을 포워딩함으로써, 클라이언트장치로부터 전달된 데이터패킷을 전달할 수 있다
도 4 내지 도 5를 통해 설명된 실시예에 따른 통신보안방법은 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: 서버장치
20: 클라이언트장치
30: 통신보안시스템

Claims (15)

  1. 서버장치 및 클라이언트장치 간의 통신을 보호하는 통신보안시스템으로서,
    상기 서버장치에 포함되고, 상기 클라이언트장치를 인증하여 상기 클라이언트장치와의 통신을 위한 전용통신채널을 형성하도록 구성되는 제1채널형성부;
    상기 서버장치에 포함되고, 상기 전용통신채널을 통해 클라이언트장치와의 통신을 수행하도록 구성되는 제1채널통신부;
    상기 서버장치에 포함되고, 상기 클라이언트장치에 대한 서비스를 제공하도록 구성되는 서비스제공부; 및
    상기 서버장치에 포함되고, 상기 제1채널통신부를 통해 수신된 데이터패킷을 검증한 결과에 기초하여 상기 수신된 데이터패킷을 상기 서비스제공부로 포워딩하도록 구성되는 제1인터페이스부를 포함하는, 통신보안시스템.
  2. 제 1 항에 있어서,
    상기 제1채널형성부는 상기 클라이언트장치와의 통신을 위한 전용 포트를 할당하도록 구성되며,
    상기 제1채널통신부는 상기 포트를 통해 상기 클라이언트장치와의 통신을 수행하도록 구성되는, 통신보안시스템.
  3. 제 1 항에 있어서,
    상기 제1채널형성부는 상기 클라이언트장치와의 통신을 위한 패킷전용헤더를 설정하도록 구성되며,
    상기 제1채널통신부는 상기 패킷전용헤더로 캡슐화된 데이터패킷을 송수신하도록 구성되는, 통신보안시스템.
  4. 제 1 항에 있어서,
    상기 제1채널형성부는 상기 클라이언트장치와의 통신을 위한 대칭키를, 공개키 암호화방식에 따라 상기 클라이언트장치와 교환하도록 구성되며,
    상기 제1채널통신부는 상기 대칭키에 기초하여 암호화된 데이터패킷을 송수신하도록 구성되는, 통신보안시스템.
  5. 제 1 항에 있어서,
    상기 전용통신채널을 통해 수신되는 데이터패킷의 패킷전용헤더를 분석함으로써 상기 전용통신채널의 안정성여부를 검증하도록 구성되는 보안검증부를 더 포함하는, 통신보안시스템.
  6. 제 5 항에 있어서,
    상기 보안검증부는 추가적으로, 상기 전용통신채널이 안전하지 않다고 판단하는 경우 상기 제1채널형성부로 하여금 상기 전용통신채널과는 다른 통신채널을 상기 클라이언트장치와의 전용통신채널로 설정하도록 구성되는, 통신보안시스템.
  7. 제 6 항에 있어서,
    상기 보안검증부는 추가적으로, 상기 클라이언트장치가 아닌 장치로부터 상기 전용통신채널을 통해 소정의 횟수 이상 데이터패킷을 수신하는 경우 상기 전용통신채널이 안전하지 않다고 판단하도록 구성되는, 통신보안시스템.
  8. 삭제
  9. 제 1 항에 있어서,
    상기 클라이언트장치에 포함되고, 상기 전용통신채널을 통해 상기 서버장치와의 통신을 수행하도록 구성되는 제2채널통신부;
    상기 클라이언트장치에 포함되고, 데이터패킷에 대하여 사용자와의 인터랙션을 처리하도록 구성되는 서비스부; 및
    상기 클라이언트장치에 포함되고, 상기 제2채널통신부를 통해 수신된 데이터패킷을 검증한 결과에 기초하여 상기 수신된 데이터패킷을 상기 서비스부로 포워딩하도록 구성되는 제2인터페이스부를 더 포함하는, 통신보안시스템.
  10. 통신보안시스템이, 서버장치 및 클라이언트장치 간의 통신을 보호하는 방법으로서,
    상기 클라이언트장치를 인증하여 상기 서버장치 및 상기 클라이언트장치 간의 통신을 위한 전용통신채널을 형성하는 단계; 및
    상기 전용통신채널을 통해 상기 서버장치 및 상기 클라이언트장치 간의 데이터패킷 송수신을 처리하는 단계를 포함하고,
    상기 데이터패킷 송수신을 처리하는 단계는,
    상기 전용통신채널을 통해 수신된 데이터패킷을 검증한 결과에 기초하여 상기 수신된 패킷을, 상기 서버장치에 포함되며 상기 클라이언트장치에 대한 서비스를 제공하도록 구성되는 서비스제공부로 포워딩하는 단계를 포함하는, 통신보안방법.
  11. 제 10 항에 있어서,
    상기 전용통신채널을 형성하는 단계는,
    상기 서버장치의 통신포트 중에서, 상기 클라이언트장치 전용으로 이용될 전용포트에 관한 통신포트정보를 상기 클라이언트장치로 송신하는 단계; 및
    상기 포트정보의 송신에 응답하여 확인응답 데이터패킷을 상기 전용포트를 통해 수신함으로써 전용통신채널을 형성하는 단계를 포함하는, 통신보안방법.
  12. 제 10 항에 있어서,
    상기 전용통신채널을 형성하는 단계는
    상기 클라이언트에 대응되는 패킷전용헤더를 생성하는 단계;
    상기 패킷전용헤더에 관한 전용헤더정보를 상기 클라이언트장치로 송신하는 단계; 및
    상기 전용헤더정보의 송신에 응답하여 상기 전용헤더정보가 포함된 확인응답 데이터패킷을 수신함으로써 전용통신채널을 형성하는 단계를 포함하는, 통신보안방법.
  13. 제 10 항에 있어서,
    상기 전용통신채널을 통해 수신되는 데이터패킷의 패킷전용헤더를 분석함으로써 상기 전용통신채널의 안정성여부를 검증하는 단계를 더 포함하는 통신보안방법.
  14. 제 13 항에 있어서,
    상기 전용통신채널이 안전하지 않다고 판단하는 경우 상기 전용통신채널과는 다른 통신채널을 상기 클라이언트장치와의 전용통신채널로 설정하는 단계를 더 포함하는, 통신보안방법.
  15. 제 10 항에 있어서,
    상기 전용통신채널을 통해 수신된 데이터패킷을 검증한 결과에 기초하여 상기 수신된 패킷헤더정보를 포워딩하는 단계를 더 포함하는, 통신보안방법.
KR20130105634A 2013-09-03 2013-09-03 통신보안시스템 및 통신보안방법 KR101460167B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130105634A KR101460167B1 (ko) 2013-09-03 2013-09-03 통신보안시스템 및 통신보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130105634A KR101460167B1 (ko) 2013-09-03 2013-09-03 통신보안시스템 및 통신보안방법

Publications (1)

Publication Number Publication Date
KR101460167B1 true KR101460167B1 (ko) 2014-11-11

Family

ID=52287659

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130105634A KR101460167B1 (ko) 2013-09-03 2013-09-03 통신보안시스템 및 통신보안방법

Country Status (1)

Country Link
KR (1) KR101460167B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060119686A (ko) * 2005-05-20 2006-11-24 한국전자통신연구원 다중 모드 단말 및 다중 모드 단말의 통신 경로 제어 방법
KR20070022200A (ko) * 2003-12-22 2007-02-26 모토로라 인코포레이티드 포트들의 동적 전용을 제공하는 인터프로세서 통신네트워크
KR20080049312A (ko) * 2006-11-30 2008-06-04 삼성전자주식회사 통신 시스템에서 데이터 송신 장치 및 방법
KR20100013747A (ko) * 2008-08-01 2010-02-10 삼성생명보험주식회사 가상 omr 카드를 이용한 실시간 전자 청약 서비스 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070022200A (ko) * 2003-12-22 2007-02-26 모토로라 인코포레이티드 포트들의 동적 전용을 제공하는 인터프로세서 통신네트워크
KR20060119686A (ko) * 2005-05-20 2006-11-24 한국전자통신연구원 다중 모드 단말 및 다중 모드 단말의 통신 경로 제어 방법
KR20080049312A (ko) * 2006-11-30 2008-06-04 삼성전자주식회사 통신 시스템에서 데이터 송신 장치 및 방법
KR20100013747A (ko) * 2008-08-01 2010-02-10 삼성생명보험주식회사 가상 omr 카드를 이용한 실시간 전자 청약 서비스 방법

Similar Documents

Publication Publication Date Title
US11177946B2 (en) Quantum entropy distributed via software defined perimeter connections
US8763097B2 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
US7661128B2 (en) Secure login credentials for substantially anonymous users
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US9219709B2 (en) Multi-wrapped virtual private network
US9374360B2 (en) System and method for single-sign-on in virtual desktop infrastructure environment
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
US9444807B2 (en) Secure non-geospatially derived device presence information
US20180375648A1 (en) Systems and methods for data encryption for cloud services
US20150249639A1 (en) Method and devices for registering a client to a server
US11838148B2 (en) Providing a split-configuration virtual private network
KR20170087406A (ko) 무선 네트워크들에서 빠르고, 안전하며 프라이버시에 해가 되지 않는 인터넷 접속 발견을 위한 방법들
US20240146728A1 (en) Access control method, access control system, and related device
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
KR20170054260A (ko) 고객 댁내 장비를 통한 서비스의 보안 액세스를 위한 방법 및 장치
WO2023078106A1 (zh) 加密流量的访问控制方法、装置及系统
US20230351028A1 (en) Secure element enforcing a security policy for device peripherals
KR101460167B1 (ko) 통신보안시스템 및 통신보안방법
Lee et al. Man-in-the-middle Attacks Detection Scheme on Smartphone using 3G network
US11784973B2 (en) Edge-based enterprise network security appliance and system
Yoon et al. Robust mutual trust architecture for safety critical service in heterogeneous mobile network environment
Rayat et al. Review on security challenges of data communication in IoT devices
Maheshwary et al. Safeguarding the Connected Future: Security in Internet of Things (IoT)
Kirk Wireless Security: Secure and Public Networks
Raiyn Global Journal of Advanced Engineering Technologies and Sciences

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171019

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181105

Year of fee payment: 5