KR101776131B1 - 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템 - Google Patents

보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템 Download PDF

Info

Publication number
KR101776131B1
KR101776131B1 KR1020150185333A KR20150185333A KR101776131B1 KR 101776131 B1 KR101776131 B1 KR 101776131B1 KR 1020150185333 A KR1020150185333 A KR 1020150185333A KR 20150185333 A KR20150185333 A KR 20150185333A KR 101776131 B1 KR101776131 B1 KR 101776131B1
Authority
KR
South Korea
Prior art keywords
host
hosts
packet
authentication information
identifier
Prior art date
Application number
KR1020150185333A
Other languages
English (en)
Other versions
KR20170075541A (ko
Inventor
이현준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150185333A priority Critical patent/KR101776131B1/ko
Publication of KR20170075541A publication Critical patent/KR20170075541A/ko
Application granted granted Critical
Publication of KR101776131B1 publication Critical patent/KR101776131B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Abstract

본 발명의 보안 장치의 동작 방법은, 클라우드 캘린더에 저장된 호스트 인증 정보를 수집하는 단계와, 상기 호스트 인증 정보를 이용하여 내부 네트워크에 접속된 호스트들의 네트워크 인증 상태를 갱신하는 단계와, 상기 네트워크 인증 상태를 기초로 상기 호스트들 각각의 패킷 송수신을 제어하는 단계를 포함한다.

Description

보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템{SECURITY DEVICE, OPERATING METHOD THEREOF, AND SECURITY SYSTEM INCLUDING SECURITY DEVICE}
본 발명의 개념에 따른 실시 예는 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템에 관한 것이다.
최근 들어 각종 해킹 기술들이 누구든지 악용할 수 있도록 보편화 되면서, 해킹 피해가 기하급수적으로 증가하는 추세이다. 일반 기업, 공공 기관 등 네트워크 보안이 필수적인 단체들은 방화벽(Firewall)을 설치하여 해킹 피해를 방지하기 위해 노력하고 있다.
일반적으로, 방화벽이란, 보호하고자 하는 네트워크와 신뢰할 수 없는 네트워크 사이에 위치한다. 방화벽은 네트워크들 사이에서 송수신되는 트래픽을 일일이 사용자가 설정한 정책과 대조하여, 사용자 정책에 어긋나는 트래픽은 차단하고, 사용자 정책에 합치하는 트래픽만을 선별적으로 통과시킬 수 있다. 또한, 방화벽은 특정 호스트로부터 수신된 트래픽을 차단하거나, 일정기간 동안 선별적으로 통과시킬 수 있다.
즉, 방화벽은 특정 호스트의 트래픽을 허용하거나 차단할 것인지 정의되어 있는 사용자 정책에 따라 트래픽의 통과 여부를 결정할 수 있다. 하지만, 이러한 사용자 정책은 관리자에 의해 설정되어야 하는데, 관리자는 특정 호스트에 네트워크 접속을 허용하거나, 트래픽을 통과시키기 위해 지속적으로 사용자 정책을 갱신해야 하는 번거로움이 있다.
본 발명이 이루고자 하는 기술적인 과제는 클라우드 캘린더를 이용하여 생성된 호스트 인증 정보를 기초로 호스트의 네트워크 접속을 제어하는 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템을 제공하는 것이다.
또한, 본 발명이 이루고자 하는 기술적인 과제는 호스트 인증 정보를 기초로 복수의 호스트들 각각의 네트워크 접속을 동시에 제어할 수 있는 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템을 제공하는 것이다.
본 발명의 실시 예에 다른 보안 장치의 동작 방법은, 클라우드 캘린더에 저장된 호스트 인증 정보를 수집하는 단계와, 상기 호스트 인증 정보를 이용하여 내부 네트워크에 접속된 호스트들의 네트워크 인증 상태를 갱신하는 단계와, 상기 네트워크 인증 상태를 기초로 상기 호스트들 각각의 패킷 송수신을 제어하는 단계를 포함한다.
실시 예에 따라, 상기 수집하는 단계는, 외부 네트워크를 통해 캘린더 서버로부터 일정 주기마다 상기 호스트 인증 정보를 수집할 수 있다.
실시 예에 따라, 상기 호스트 인증 정보는 상기 호스트들 각각이 상기 내부 네트워크를 통해 패킷 송수신을 수행할 수 있도록 설정된 시간대역 정보를 포함할 수 있다.
실시 예에 따라, 상기 갱신하는 단계는, 상기 시간대역 정보를 이용하여 상기 호스트들 각각에 대한 허용 시간대역과 차단 시간대역을 추출하고, 상기 허용 시간대역 및 상기 차단 시간대역에 따라 상기 호스트들 각각의 네트워크 인증 상태를 갱신할 수 있다.
실시 예에 따라, 상기 제어하는 단계는, 상기 호스트들 중에 어느 한 호스트가 상기 허용 시간대역 내에서 패킷을 상기 내부 네트워크를 통해 전송한 경우에, 상기 패킷을 타겟 대상으로 전송할 수 있다.
실시 예에 따라, 상기 제어하는 단계는, 상기 호스트들 중에 어느 한 호스트가 상기 차단 시간대역 내에서 패킷을 상기 내부 네트워크를 통해 전송한 경우에, 상기 패킷을 차단할 수 있다.
본 발명의 다른 실시 예에 따른 보안 장치는, 클라우드 캘린더에 저장된 제1 호스트들의 호스트 인증 정보를 일정 주기마다 수집하는 인증 정보 수집 모듈과, 상기 호스트 인증 정보를 이용하여 상기 제1 호스트들의 네트워크 인증 상태를 갱신하는 인증 갱신 모듈과, 상기 네트워크 인증 상태를 기초로 상기 호스트들 각각의 패킷 송수신을 제어하는 제어 모듈을 포함한다.
본 발명의 다른 실시 예에 따른 보안 시스템은, 내부 네트워크를 통해 상기 보안 장치들 각각과 접속된 제1 호스트들과, 상기 제1 호스트들로부터 송수신되는 패킷을 제어하는 보안 장치들과, 상기 제1 호스트들 각각의 호스트 인증 정보를 저장하는 클라우드 캘린더를 포함하는 캘린더 서버를 포함하고, 상기 보안 장치들 각각은 일정한 주기마다 상기 캘린더 서버로부터 상기 호스트 인증 정보를 수집하여 상기 제1 호스트들로부터 수신된 패킷들을 제어한다.
실시 예에 따라, 상기 호스트 인증 정보는 상기 호스트들 각각이 상기 내부 네트워크를 통해 패킷 송수신을 수행할 수 있도록 허용된 시간대역 정보를 포함할 수 있다.
실시 예에 따라, 상기 보안 장치들은 상기 호스트 인증 정보를 이용하여 실시간으로 상기 제1 호스트들의 네트워크 인증 상태를 동시에 갱신할 수 있다.
실시 예에 따라, 상기 캘린더 서버는 상기 내부 네트워크를 통해 상기 보안 장치들과 접속될 수 있다.
실시 예에 따라, 상기 캘린더 서버는 외부 네트워크를 통해 상기 보안 장치들과 접속될 수 있다.
실시 예에 따라, 외부 네트워크를 통해 상기 보안 장치들과 접속된 제2 호스트들을 더 포함하고, 상기 보안 장치들 각각은 상기 호스트 인증 정보를 기초로 패킷 송수신이 허용된 제1 호스트들을 선별하고, 선별된 제1 호스트들로부터 수신된 패킷들을 상기 제2 호스트들로 전송할 수 있다.
실시 예에 따라, 상기 보안 장치들 각각은 상기 호스트 인증 정보를 기초로 패킷 송수신이 허용되지 않은 제1 호스트들을 선별하고, 선별된 제1 호스트들로부터 수신된 패킷들을 차단할 수 있다.
본 발명의 실시 예에 따른 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템은 클라우드 캘린더를 이용하여 생성된 호스트 인증 정보를 기초로 복잡한 절차없이 호스트의 네트워크 접속을 제어할 수 있다.
또한, 본 발명의 실시 예에 따른 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템은 호스트 인증 정보를 기초로 실시간으로 호스트의 네트워크 인증 상태를 갱신하여 효율적으로 호스트의 네트워크 접속을 제어할 수 있고, 이로써 보안사고가 발생될 위험을 줄일 수 있다.
또한, 본 발명의 실시 예에 따른 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템은 복수의 호스트들 각각의 네트워크 인증 상태를 동시에 갱신하여 호스트들의 네트워크 접속을 제어하기 위한 번거로움을 줄일 수 있다.
도 1은 본 발명의 실시 예에 따른 보안 시스템의 개략적인 블록도이다.
도 2는 도 1에 도시된 보안 장치의 개략적인 블록도이다.
도 3은 도 1에 도시된 캘린더 서버에 저장된 호스트 인증 정보를 설명하기 위한 개념도이다.
도 4는 도 1에 도시된 보안 장치의 동작 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 다른 실시 예에 따른 보안 시스템의 개략적인 블록도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 명세서에서 모듈(module)이라 함은 본 발명의 실시 예에 따른 방법을 수행하기 위한 하드웨어 또는 상기 하드웨어를 구동할 수 있는 소프트웨어의 기능적 또는 구조적 결합을 의미할 수 있다. 따라서, 상기 모듈은 프로그램 코드와 상기 프로그램 코드를 수행할 수 있는 하드웨어 리소스(resource)의 논리적 단위 또는 집합을 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나 한 종류의 하드웨어를 의미하는 것은 아니다.
이하, 본 명세서에 첨부된 도면들을 참조하여 본 발명의 실시 예들을 상세히 설명한다.
도 1은 본 발명의 실시 예에 따른 보안 시스템의 개략적인 블록도이고, 도 2는 도 1에 도시된 보안 장치의 개략적인 블록도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 보안 시스템(10)은 캘린더 서버(400), 보안 장치(100), 제1 호스트(200), 제2 호스트(300), 내부 네트워크(210), 및 외부 네트워크(310)를 포함할 수 있다.
캘린더 서버(400)는 클라우드 캘린더 서비스를 제공하는 서버로서, 외부 네트워크(310)를 통해 보안 장치(100)와 접속될 수 있다. 캘린더 서버(400)는 제1 호스트(200)의 패킷 송수신을 결정하기 위한 호스트 인증 정보를 포함할 수 있다.
예컨대, 캘린더 서버(400)는 아웃룩 서버(outlook server), 아이 클라우드 서버(icloud server), 또는 네이버 캘린더 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다.
여기서, 상기 호스트 인증 정보는 제1 호스트(200)의 식별자 아이디에 대응하는 네트워크 인증 상태를 포함할 수 있다. 또한, 호스트 인증 정보는 제1 호스트(200)가 패킷 송수신을 할 수 있는 시간 대역 정보를 포함할 수 있다.
호스트 인증 정보는 클라우드 캘린더 서비스를 이용하는 사용자에 의해 실시간으로 변경될 수 있다.
예컨대, 클라우드 캘린더 서비스를 이용하는 사용자가 제1 호스트(200)의 패킷 송수신을 차단하고 싶으면, 클라우드 캘린더 서비스를 이용하여 제1 호스트(200)의 네트워크 인증 상태를 "차단 상태"로 설정할 수 있다.
또한, 클라우드 캘린더 서비스를 이용하는 사용자가 제1 호스트(200)의 패킷 송수신을 허용하고 싶으면, 클라우드 캘린더 서비스를 이용하여 제1 호스트(200)의 네트워크 인증 상태를 "허용 상태"로 설정할 수 있다.
또한, 클라우드 캘린더 서비스를 이용하는 사용자가 제1 호스트(200)의 패킷 송수신을 특정한 시간대에만 허용하고 싶으면, 클라우드 캘린더 서비스를 이용하여 제1 호스트(200)의 네트워크 인증 상태를 특정한 시간대에만 "허용 상태"로 설정할 수 있다.
이와 같이, 사용자는 클라우드 캘린더 서비스를 이용하여 간편하게 제1 호스트(200)의 네트워크 인증 상태를 변경시킬 수 있다.
제1 호스트(200)는 내부 네트워크(210)를 통해 보안 장치(100)와 접속되고, 보안 장치(100)를 통해 패킷을 제2 호스트(300)로 전송할 수 있다.
예컨대, 제1 호스트(200)는 PC, 스마트 폰(smart phone), 태블릿 (tablet) PC, 모바일 인터넷 장치(mobile internet device(MID)), 인터넷 태블릿, IoT(internet of things) 장치, IoE(internet of everything) 장치, 데스크 탑 컴퓨터(desktop computer), 랩탑(laptop) 컴퓨터, 워크스테이션 컴퓨터, 또는 PDA (personal digital assistant)를 의미할 수 있으나, 이에 한정되는 것은 아니다.
제2 호스트(300)는 외부 네트워크(310)를 통해 보안 장치(100)와 접속되고, 보안 장치(100)를 통해 패킷을 제1 호스트(200)로 전송할 수 있다.
예컨대, 제2 호스트(300)는 DNS(domain name system) 서버, NTP(network time protocol) 서버, SSDP(simple service discovery protocol) 서버, P2P(peer to peer) 서버, 또는 SNMP(simple network management protocol) 서버, web 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다.
내부 네트워크(210)와 외부 네트워크(310) 각각은 유선 인터넷망, 무선 인터넷망, 또는 WiFi 네트워크를 의미할 수 있다.
보안 장치(100)는 내부 네트워크(210)를 통해 제1 호스트(200)와 접속되고, 외부 네트워크(310)를 통해 제2 호스트(300)와 접속될 수 있다.
보안 장치(100)는 캘린더 서버로부터 호스트 인증 정보를 수집할 수 있다. 예컨대, 보안 장치는 calDav 프로토콜로 구성된 호스트 인증 정보를 수집할 수 있다.
보안 장치(100)는 캘린더 서버(400)로부터 수신된 호스트 인증 정보를 이용하여 제1 호스트(200)와 제2 호스트(300) 사이에서 패킷 송수신을 제어할 수 있다.
이때, 보안 장치(100)는 제2 호스트(300)로부터 외부 네트워크(310)를 통해 보안 장치(100)로 수신된 하향 패킷을 차단하거나 제1 호스트(200)로 전송할 수 있다. 그리고, 보안 장치(100)는 내부 네트워크(210)를 통해 보안 장치(100)로 수신된 상향 패킷을 차단하거나 제2 호스트(300)로 전송할 수 있다.
실시 예에 따라, 제1 호스트(200)로부터 내부 네트워크(210)를 통해 보안 장치(100)로 전송된 패킷이 상향 패킷이고, 제2 호스트(300)로부터 외부 네트워크(310)를 통해 보안 장치(100)로 전송된 패킷이 하향 패킷일 수 있다.
설명의 편의를 위해, 도 1에 도시된 캘린더 서버(400)가 외부 네트워크(310)를 통해 보안 장치(100)와 접속된 것을 도시하였지만, 다른 실시 예로서 캘린더 서버(400)는 내부 네트워크(210)와 접속되는 내부 서버로 구현될 수 있다. 이와 같은 캘린더 서버(400)는 도 1에 도시된 캘린더 서버(400)와 실질적으로 동일한 기능을 수행할 수 있다.
도 2를 참조하면, 보안 장치(100)는 인증 정보 수집 모듈(110), 인증 갱신 모듈(120), 및 제어 모듈(130)을 포함할 수 있다.
인증 정보 수집 모듈(110)은 캘린더 서버(400)로부터 클라우드 캘린더에 저장된 제1 호스트(200)의 호스트 인증 정보를 일정 주기마다 수집할 수 있다.
예컨대, 인증 정보 수집 모듈(110)은 10초마다 캘린더 서버(400)에 접속하여 호스트 인증 정보를 수집할 수 있다.
실시 예에 따라, 인증 정보 수집 모듈(110)은 캘린더 서버(400)에 접속하여 제1 호스트(200)의 호스트 인증 정보를 실시간으로 수집할 수 있다.
인증 갱신 모듈(120)은 호스트 인증 정보를 이용하여 제1 호스트(200)의 네트워크 인증 상태를 갱신할 수 있다.
여기서, 네트워크 인증 상태는 패킷 송수신을 허용하는 "허용 상태"와 패킷 송수신을 차단하는 "차단 상태"를 포함할 수 있다.
즉, 인증 갱신 모듈(120)은 호스트 인증 정보에 포함된 제1 호스트(200)의 네트워크 인증 상태를 기초로 제1 호스트(200)의 현재의 네트워크 인증 상태를 갱신할 수 있다.
호스트 인증 정보는 제1 호스트(200)가 내부 네트워크(210)를 통해 패킷 송수신을 할 수 있도록 설정된 시간대역 정보를 포함할 수 있다.
따라서, 인증 갱신 모듈(120)은 시간대역 정보를 이용하여 제1 호스트(200)의 허용 시간대역과 차단 시간대역을 추출하고, 상기 허용 시간대역과 차단 시간대역에 따라 제1 호스트(200)의 네트워크 인증 상태를 갱신할 수 있다.
여기서, 허용 시간대역은 패킷 송수신이 허용된 시간을 의미할 수 있고, 차단 시간대역은 패킷 송수신이 차단된 시간을 의미할 수 있다.
제어 모듈(130)은 제1 호스트(200)의 현재의 네트워크 인증 상태를 기초로 제1 호스트(200)의 패킷 송수신을 제어할 수 있다.
예컨대, 갱신된 제1 호스트(200)의 네트워크 인증 상태가 "허용 상태"로 설정되어 있으면, 보안 장치(100)는 제1 호스트(200)로부터 전송된 패킷을 제2 호스트(300)로 전송할 수 있다.
예컨대, 제1 호스트(200)의 네트워크 인증 상태가 "차단 상태"로 설정되어 있으면, 보안 장치(100)는 제1 호스트(200)로부터 전송된 패킷을 차단할 수 있다.
예컨대, 제1 호스트(200)의 네트워크 인증 상태가 특정한 시간대에만 "허용 상태"로 설정되어 있으면, 특정시간 동안에 제1 호스트(200)로부터 전송된 패킷을 제2 호스트(300)로 전송할 수 있다.
도 3은 도 1에 도시된 캘린더 서버에 저장된 호스트 인증 정보를 설명하기 위한 개념도이다.
도 3을 참조하면, 캘린더 서버는 날짜별로 네트워크 인증 상태를 설정할 수 있는 클라우드 캘린더 서비스를 제공할 수 있다. 클라우드 캘린더 서비스를 이용하는 사용자는 날짜별로 특정 호스트의 네트워크 인증 상태를 설정할 수 있다. 또한, 클라우드 캘린더 서비스를 이용하는 사용자는 특정 호스트의 허용 시간대역과 차단 시간대역을 설정할 수 있다.
예컨대, 클라우드 캘린더 서비스의 사용자는 제1 식별자 아이디(ID1)에 해당하는 호스트가 12월 28일 14시부터 16시 사이에 패킷 송수신을 할 수 있도록 네트워크 인증 상태를 설정할 수 있다. 이때, 제1 식별자 아이디(ID1)의 허용 시간대역은 12월 28일 14부터 16시이고, 차단 시간대역은 12월 28일 0시부터 14시까지 및 16시부터 24시까지이다.
따라서, 캘린더 서버(400)는 제1 식별자 아이디(ID1)와 함께 허용 시간대역(12월 28일 14시부터 16시 사이)을 포함하는 호스트 인증 정보(FWI)를 저장할 수 있다.
보안 장치(100)는 캘린더 서버(400)에 저장된 호스트 인증 정보(FWI)를 이용하여 제1 식별자 아이디(ID1)에 해당하는 호스트의 네트워크 인증 상태를 허용 시간대역에서만 "허용 상태"로 갱신할 수 있다.
이에 따라, 제1 식별자 아이디(ID1)에 해당하는 호스트가 12월 28일 14시부터 16시 사이에 보안 장치(100)로 패킷을 전송하면, 보안 장치(100)는 타겟 대상으로 상기 패킷을 전송할 수 있다.
하지만, 제1 식별자 아이디(ID1)에 해당하는 호스트가 12월 28일 14시부터 16시 이외의 시간에 보안 장치(100)로 패킷을 전송하면, 보안 장치(100)는 상기 패킷을 차단할 수 있다.
이와 같이, 관리자가 간편하게 클라우드 캘린더 서비스를 이용하여 제1 호스트의 네트워크 인증 상태를 변경함으로써, 제1 호스트의 패킷 송수신을 제어할 수 있다.
본 발명의 설명의 편의를 위해 네트워크 인증 상태가 클라우드 캘린더 서비스를 이용하여 설정되는 방법을 설명하였으나, 이는 일 실시 예일 뿐 이에 한정되지 않는다. 네트워크 인증 상태를 설정하여 호스트 인증 정보를 설정하는 방법은 클라우드 캘린더 서비스의 종류에 따라 다양하게 변형되어 실시될 수 있다.
도 4는 도 1에 도시된 보안 장치의 동작 방법을 설명하기 위한 흐름도이다.
도 4를 참조하면, 보안 장치(100)는 캘린더 서버(400)로부터 호스트 인증 정보(FWI)를 수신할 수 있다(S100).
보안 장치(100)는 제1 호스트(200)의 식별자 아이디와 시간대역 정보를 포함하는 호스트 인증 정보(FWI)를 분석하여(S110), 제1 호스트(200)의 허용 시간대역과 차단 시간대역을 추출할 수 있다(S120).
보안 장치(100)는 식별자 아이디의 허용 시간대역을 기초로 제1 호스트(200)의 네트워크 인증 상태를 갱신할 수 있다(S130).
보안 장치(100)가 제1 호스트(200)로부터 패킷 데이터를 수신하면(S140), 보안 장치(100)는 제1 호스트(200)의 네트워크 인증 상태에 기초하여 제1 호스트(200)의 패킷 송수신의 허용 여부를 판단할 수 있다(S150).
보안 장치(100)가 패킷 데이터를 수신했을 때 제1 호스트(200)의 네트워크 인증 상태가 "허용 상태"이면, 보안 장치(100)는 패킷 데이터를 제2 호스트(300)로 전송할 수 있다(S160).
보안 장치(100)가 패킷 데이터를 수신했을 때 제1 호스트(200)의 네트워크 인증 상태가 "차단 상태"이면, 보안 장치(100)는 패킷 데이터 차단할 수 있다.
도 5는 본 발명의 다른 실시 예에 따른 보안 시스템의 개략적인 블록도이다.
도 5에 도시된 보안 장치들(100a 및 100b), 제1 호스트들(200'), 제2 호스트들(300'), 캘린더 서버(400'), 내부 네트워크들(210a 및 210b), 및 외부 네트워크(310) 각각은 도 1에 도시된 보안 장치(100), 제1 호스트(200), 제2 호스트(300), 캘린더 서버(400), 내부 네트워크(210), 및 외부 네트워크(310) 각각과 실질적으로 동일하거나 유사한 기능을 수행하므로 중복되는 설명을 생략한다.
도 5를 참조하면, 본 발명의 다른 실시 예에 따른 보안 시스템은 보안 장치들(100a 및 100b), 제1 호스트들(200'), 제2 호스트들(300'), 캘린더 서버(400'), 내부 네트워크들(210a 및 210b), 및 외부 네트워크(310)를 포함할 수 있다.
클라우드 캘린더의 사용자가 제1 호스트들(200')의 네트워크 인증 상태를 설정하면, 캘린더 서버(400')는 상기 네트워크 인증 상태를 포함하는 호스트 인증 정보(FWI)를 저장할 수 있다.
보안 장치들(100a 및 100b) 각각은 일정 주기마다 캘린더 서버에 저장된 호스트 인증 정보(FWI)를 수집하여, 내부 네트워크들(210a 및 210b)을 통해 접속된 제1 호스트들(200')의 네트워크 인증 상태를 갱신할 수 있다.
그리고, 보안 장치들(100a 및 100b)은 네트워크 인증 상태를 기초로 제1 호스트들(200') 각각의 패킷 송수신을 제어할 수 있다.
이때, 제1 보안 장치(100a)와 제2 보안 장치(100b)는 호스트 인증 정보(FWI)를 이용하여 동시에 제1 호스트들(200')의 네트워크 인증 상태를 동시에 갱신할 수 있다.
예컨대, 제1 보안 장치(100a)는 호스트 인증 정보를 이용하여 제1 내부 네트워크(210a)를 통해 제1 호스트들(200')의 네트워크 인증 상태를 갱신할 수 있고, 동시에 제2 보안 장치(100b)는 제2 내부 네트워크(210b)를 통해 제1 호스트들(200')의 네트워크 인증 상태를 갱신할 수 있다.
이와 같이, 본 발명의 실시 예에 의한 보안 장치는 제1 호스트들(200')의 네트워크 인증 상태를 변경하기 위해 개별적으로 보안 장치들(100a 및 100b)을 제어할 필요없이, 클라우드 캘린더에 각 호스트에 대한 네트워크 인증 상태를 변경하여 제1 호스트들(200')의 네트워크 인증 상태를 동시에 변경할 수 있다.
본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100: 보안 장치
200: 제1 호스트
210: 내부 네트워크
300: 제2 호스트
310: 외부 네트워크
400: 캘린더 서버

Claims (14)

  1. 사용자에 의해 클라우드 캘린더에 저장되고, 호스트들의 식별자 아이디 및 상기 식별자 아이디별로 패킷 송수신을 허여한 허용 시간대역을 포함하는 호스트 인증 정보를 외부 네트워크를 통해 캘린더 서버로부터 수집하는 단계;
    상기 호스트 인증 정보에 포함된 상기 식별자 아이디와 상기 허용 시간대역에 대응하여 내부 네트워크에 접속된 호스트들 각각의 네트워크 인증 상태를 갱신하는 단계; 및
    상기 네트워크 인증 상태에 따라, 상기 식별자 아이디와 대응하는 호스트로부터 상기 허용 시간대역 동안에 패킷이 수신된 경우 상기 패킷을 대상 호스트에 전달하고, 상기 식별자 아이디와 대응하는 호스트로부터 상기 허용 시간대역이 아닌 기간 동안에 패킷이 수신된 경우 상기 패킷을 차단하는 단계를 포함하는 보안 장치의 동작 방법.
  2. 제1항에 있어서, 상기 수집하는 단계는,
    일정 주기마다 상기 호스트 인증 정보를 수집하는 보안 장치의 동작 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 클라우드 캘린더에 저장되고, 호스트들의 식별자 아이디 및 상기 식별자 아이디별로 패킷 송수신을 허여한 허용 시간대역을 포함하는 상기 호스트들의 호스트 인증 정보를 일정 주기마다 수집하는 인증 정보 수집 모듈;
    상기 호스트 인증 정보에 포함된 상기 식별자 아이디와 상기 허용 시간대역에 대응하여 상기 호스트들 각각의 네트워크 인증 상태를 갱신하는 인증 갱신 모듈; 및
    상기 네트워크 인증 상태에 따라, 상기 식별자 아이디와 대응하는 호스트로부터 상기 허용 시간대역 동안에 패킷이 수신된 경우 상기 패킷을 대상 호스트에 전달하고, 상기 식별자 아이디와 대응하는 상기 호스트로부터 상기 허용 시간대역이 아닌 기간 동안에 패킷이 수신된 경우 상기 패킷을 차단하는 제어 모듈을 포함하는 보안 장치.
  8. 내부 네트워크를 통해 보안 장치들 각각과 접속된 제1 호스트들;
    상기 제1 호스트들로부터 송수신되는 패킷을 제어하는 보안 장치들; 및
    상기 제1 호스트들의 식별자 아이디 및 상기 식별자 아이디별로 패킷 송수신을 허여한 허용 시간대역을 포함하는 호스트 인증 정보를 저장하는 클라우드 캘린더를 포함하는 캘린더 서버를 포함하고,
    상기 보안 장치들 각각은,
    상기 캘린더 서버로부터 상기 방화벽 인증 정보를 수집하고,
    상기 호스트 인증 정보에 포함된 상기 식별자 아이디와 상기 허용 시간대역에 대응하여 상기 제1 호스트들 각각의 네트워크 인증 상태를 갱신하고,
    상기 네트워크 인증 상태에 따라, 상기 식별자 아이디와 대응하는 제1 호스트로부터 상기 허용 시간대역 동안에 패킷이 수신된 경우 상기 패킷을 대상 호스트에 전달하고, 상기 식별자 아이디와 대응하는 제1 호스트로부터 상기 허용 시간대역이 아닌 기간 동안에 패킷이 수신된 경우 상기 패킷을 차단하는 보안 시스템.
  9. 삭제
  10. 제8항에 있어서,
    상기 보안 장치들은 상기 호스트 인증 정보를 이용하여 실시간으로 상기 제1 호스트들의 네트워크 인증 상태를 동시에 갱신하는 보안 시스템.
  11. 제8항에 있어서,
    상기 캘린더 서버는 상기 내부 네트워크를 통해 상기 보안 장치들과 접속된 보안 시스템.
  12. 제8항에 있어서,
    상기 캘린더 서버는 외부 네트워크를 통해 상기 보안 장치들과 접속된 보안 시스템.
  13. 제8항에 있어서,
    외부 네트워크를 통해 상기 보안 장치들과 접속된 제2 호스트들을 더 포함하고,
    상기 보안 장치들 각각은 상기 호스트 인증 정보를 기초로 패킷 송수신이 허용된 제1 호스트들을 선별하고, 선별된 제1 호스트들로부터 수신된 패킷들을 상기 제2 호스트들로 전송하는 보안 시스템.
  14. 제8항에 있어서,
    상기 보안 장치들 각각은 상기 호스트 인증 정보를 기초로 패킷 송수신이 허용되지 않은 제1 호스트들을 선별하고, 선별된 제1 호스트들로부터 수신된 패킷들을 차단하는 보안 시스템.


KR1020150185333A 2015-12-23 2015-12-23 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템 KR101776131B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150185333A KR101776131B1 (ko) 2015-12-23 2015-12-23 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150185333A KR101776131B1 (ko) 2015-12-23 2015-12-23 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템

Publications (2)

Publication Number Publication Date
KR20170075541A KR20170075541A (ko) 2017-07-03
KR101776131B1 true KR101776131B1 (ko) 2017-09-08

Family

ID=59358015

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150185333A KR101776131B1 (ko) 2015-12-23 2015-12-23 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템

Country Status (1)

Country Link
KR (1) KR101776131B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000174792A (ja) * 1998-12-07 2000-06-23 Nec Corp Lanインタフェ―ス装置及びその不正アクセス防止方法
US20100217850A1 (en) * 2009-02-24 2010-08-26 James Michael Ferris Systems and methods for extending security platforms to cloud-based networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000174792A (ja) * 1998-12-07 2000-06-23 Nec Corp Lanインタフェ―ス装置及びその不正アクセス防止方法
US20100217850A1 (en) * 2009-02-24 2010-08-26 James Michael Ferris Systems and methods for extending security platforms to cloud-based networks

Also Published As

Publication number Publication date
KR20170075541A (ko) 2017-07-03

Similar Documents

Publication Publication Date Title
US11296937B2 (en) Decentralized data storage and processing for IoT devices
Schiller et al. Landscape of IoT security
CN107113297B (zh) 用于保护网络端点的系统及方法
US9565192B2 (en) Router based securing of internet of things devices on local area networks
US9119017B2 (en) Cloud based mobile device security and policy enforcement
JP2020530922A (ja) エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
CN116601919A (zh) 经由安全访问服务边缘(sase)网络优化控制器(noc)对客户端应用访问的动态优化
Anthi et al. EclipseIoT: A secure and adaptive hub for the Internet of Things
US10470102B2 (en) MAC address-bound WLAN password
US11678261B2 (en) Distributed wireless communication access security
CN105721419B (zh) 用于选择拦截网络传输的装置的系统和方法
Bakhshi Securing wireless software defined networks: Appraising threats, defenses & research challenges
CN110213171B (zh) 一种基于联盟链技术的数据流量监测与控制方法
RU101231U1 (ru) Система управления безопасностью мобильного вычислительного устройства
US20160094937A1 (en) Local Peer-to-Peer Network for Providing Recommendations and Enforcing Security Policies
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
KR101776131B1 (ko) 보안 장치, 이의 동작 방법, 및 이를 포함하는 보안 시스템
Jhanjhi et al. A canvass of 5G network slicing: Architecture and security concern
Wells Better Practices for IoT Smart Home Security
KR101490227B1 (ko) 트래픽 제어 방법 및 장치
KR101806310B1 (ko) 도청 공격 모듈, 이를 이용한 도청 방지 방법, 및 이를 포함하는 보안 시스템
SHAHBAZI Analysis of security at the Near-real-time RIC xApps based on O-RAN-defined use cases
KR101346810B1 (ko) 통합적 서비스 제어 장치 및 방법
WO2017165043A1 (en) Mac address-bound wlan password

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant