KR101818508B1 - System, method and computer readable recording medium for providing secure network in enterprise - Google Patents

System, method and computer readable recording medium for providing secure network in enterprise Download PDF

Info

Publication number
KR101818508B1
KR101818508B1 KR1020150019412A KR20150019412A KR101818508B1 KR 101818508 B1 KR101818508 B1 KR 101818508B1 KR 1020150019412 A KR1020150019412 A KR 1020150019412A KR 20150019412 A KR20150019412 A KR 20150019412A KR 101818508 B1 KR101818508 B1 KR 101818508B1
Authority
KR
South Korea
Prior art keywords
terminal
network
secure channel
gateway server
secure
Prior art date
Application number
KR1020150019412A
Other languages
Korean (ko)
Other versions
KR20150041613A (en
Inventor
김형정
배기덕
곽동원
김성배
Original Assignee
주식회사 엑스엔시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스엔시스템즈 filed Critical 주식회사 엑스엔시스템즈
Priority to KR1020150019412A priority Critical patent/KR101818508B1/en
Publication of KR20150041613A publication Critical patent/KR20150041613A/en
Application granted granted Critical
Publication of KR101818508B1 publication Critical patent/KR101818508B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

기업 내 보안망 제공시스템 및 그 방법이 개시된다. 상기 기업 내 보안망 제공시스템은 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하며, 상기 제1단말기와 상기 내부 망에 존재하는 타장치 간의 통신을 위해 상기 제1단말기와 제1보안 채널을 형성하기 위한 게이트웨이 서버 및 상기 제1보안 채널의 설정을 위해 상기 게이트웨이 서버 및 상기 제1단말기를 제어하기 위한 매니저 서버를 포함한다.A system for providing a security network in an enterprise and a method thereof are disclosed. Wherein the security network providing system in the enterprise provides a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise and further provides a security network for communication between the first terminal and another device existing in the internal network, A gateway server for forming a first secure channel with the first terminal, and a manager server for controlling the gateway server and the first terminal for setting the first secure channel.

Description

기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체{System, method and computer readable recording medium for providing secure network in enterprise}SYSTEM, METHOD AND COMPUTER READABLE RECORDING MEDIUM FOR PROVIDING SECURITY NETWORK IN IN-

본 발명은 기업 내 보안망 제공시스템 및 그 방법에 관한 것으로, 보다 상세하게는 기업내의 내부망에서도 네트워크 장치들(예컨대, 사용자 단말기 또는 서버 등)간의 보안채널을 형성하여 보안망을 제공할 수 있도록 함으로써 안전한 기업 내부망을 구축할 수 있는 시스템 및 그 방법에 관한 것이다.
The present invention relates to a system and method for providing a security network in an enterprise, and more particularly, to a system and method for providing a security network in an enterprise so that a secure channel can be formed between network devices (e.g., user terminal or server) To a system and method for establishing a secure enterprise internal network.

기업 내부의 통신망 즉, 내부망의 보안성을 유지하기 위한 다양한 시도가 있어왔다. Various attempts have been made to maintain the security of the communication network inside the enterprise, that is, the internal network.

이러한 시도는 일반적으로 외부망에서 내부망으로의 침입을 방지하는 방향으로 주로 발전해왔다. 예컨대, 기업 외부의 단말기에서 내부망에 접속하기 위해서는 소정의 보안채널(예컨대, VPN(Virtual Private Network) 채널 등)을 통하여야 하는 방식 등이 그러하다.These attempts have generally developed in a direction to prevent intrusion from the external network to the internal network. For example, in order to access an internal network from a terminal outside the enterprise, there is a method that must be performed through a predetermined secure channel (for example, a VPN (Virtual Private Network) channel, etc.).

도 1은 종래의 기업 내부망을 보호하기 위한 방식을 설명하기 위한 도면이다.FIG. 1 is a view for explaining a conventional method for protecting an internal company network.

도 1을 참조하면, 종래의 방식은 기업의 외부에 존재하는 소정의 외부 단말기(20)가 기업의 내부망(40)에 접속하기 위해서는 상기 외부 단말기(20)와 상기 기업을 위한 게이트웨이(10) 간에 소정의 보안채널을 형성하여야 했다. 그리고 이러한 보안채널(예컨대, VPN 채널)은 미리 검증된 외부 단말기(20)에 설치된 VPN 클라이언트와 상기 게이트웨이(10) 간에 형성되었다. 따라서, 검증 또는 인증된 외부 단말기(20)만이 상기 게이트웨이(10)를 통해 상기 내부망(40)에 접근할 수 있었다. 1, in order to connect a predetermined external terminal 20 existing outside the enterprise to the internal network 40 of the enterprise, the external terminal 20 and the gateway 10 for the enterprise, It is necessary to form a predetermined secure channel between them. The secure channel (e.g., VPN channel) is formed between the VPN client installed in the external terminal 20 and the gateway 10, which have been verified. Therefore, only the verified or authenticated external terminal 20 can access the internal network 40 through the gateway 10. [

하지만, 이러한 종래의 보안채널의 활용방식은 주로 외부망에서 내부망으로의 접근제어를 위해 사용되었을 뿐, 즉, 공개된 네트워크에서의 보안성 부여를 위해 주로 사용되어 왔을 뿐이다. 그리고 실제 내부망(40) 안에서의 통신은 크게 보안성에 신경을 쓰지 않고 있었다. However, the conventional method of utilizing the secure channel is mainly used for access control from the external network to the internal network, that is, it is mainly used for securing security in the open network. And the communication in the actual internal network 40 was not concerned with security.

하지만, 최근의 내부망 자체에 대한 보안성 확보 필요가 급증하면서, 외부망과는 별도로 내부망을 위한 다양한 보안 솔루션들이 필요하게 되었다. 예컨대, 내부망에 존재하는 단말기들의 네트워크 접근 제어를 위한 NAC(Network Acess Control) 솔루션, 필요에 따라 외부망과 내부망을 분리하기 위한 망 분리 솔루션, 최근에 문제시되고 있는 불법 와이파이 단말기의 차단을 위한 WIPS(Wireless Intrusion Prevention System) 등 다양한 솔루션들이 모두 별도로 내부망의 안정성을 위해 설치되어야 하는 추세이다.However, as the need for securing the internal network itself has rapidly increased, various security solutions for the internal network have been required separately from the external network. For example, a network access control (NAC) solution for network access control of terminals existing in the internal network, a network separation solution for separating an external network and an internal network as needed, and a network disconnection solution for blocking an illegal Wi- And Wireless Intrusion Prevention System (WIPS) are all installed separately for stability of the internal network.

따라서, 내부망 자체만을 위해서도 이처럼 다양한 보안 솔루션들이 존재하는데, 이러한 솔루션들을 모두 채용하여 개별적으로 구축하는데에 상당한 비용이 소모되는 문제점이 있다.Therefore, there are various security solutions for the internal network itself, and there is a problem that it takes a considerable expense to individually employ these solutions.

또한, 개별적으로 다양한 솔루션들이 구축된다고 하더라도 각각의 솔루션들은 취약점이 존재한다. 예컨대, NAC의 경우 인증이 된 내부 호스트들에 대해서는 통제가 힘들다는 문제점이 있고, 망분리 솔루션의 경우 호스트 자체(또는 단말기 자체)의 이중화 또는 각 호스트마다 OS의 이중화를 해야하는 막대한 비용의 문제점이 있으며, WIPS의 경우에는 불법 AP(Access Point)의 탐지를 위해 계속 기업 내부에서 유통되는 무선신호를 모니터링하여야 하는 버든(burden)이 존재한다.In addition, even if various solutions are individually constructed, each solution has a vulnerability. For example, in the case of NAC, there is a problem that it is difficult to control the authorized internal hosts, and in the case of the network separation solution, there is a problem in that the host itself (or the terminal itself) , And in the case of WIPS, there is a burden to continuously monitor wireless signals distributed within the enterprise to detect an illegal access point (AP).

따라서, 내부망에 대한 보안성을 제공하면서도 개별적으로 구축되어야 하는 다양한 솔루션들을 통합하여 제공할 수 있으며, 내부망 및 외부망에 대해 동일한 방식의 접근제어를 수행할 수 있는 효과적인 기업 내부망을 위한 보안 솔루션이 절실히 요구된다.
Accordingly, it is possible to integrate various solutions that need to be individually constructed while providing security for the internal network, and to provide an effective security for the internal network that can perform the same access control to the internal network and the external network Solutions are urgently required.

등록특허공보 10-0446816 "네트워크 기반의 통합 보안 관리 서비스망"Registered patent publication 10-0446816 "Network-based integrated security management service network"

따라서, 본 발명이 이루고자 하는 기술적인 과제는 기업 내부의 호스트들간의 통신을 게이트웨이를 매개로 하는 보안채널을 통해 수행할 수 있는 시스템 및 그 방법을 제공하는 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above problems, and it is an object of the present invention to provide a system and method for communication between hosts within a company through a secure channel mediated by a gateway.

또한, 동적으로 호스트와 게이트웨이 사이의 보안채널을 설정함으로써 보안 채널의 형성에도 안정성을 제공할 수 있는 시스템 및 그 방법을 제공하는 것이다.It is another object of the present invention to provide a system and method for establishing a secure channel between a host and a gateway by dynamically providing stability even in the formation of a secure channel.

또한, 보안채널을 통해 보안성이 높은 보안 망(secure network)를 제공하면서도 호스트의 내부망에서의 접근권한의 제어 및/또는 애플리케이션별 접근제어가 가능할 수 있는 시스템 및 그 방법을 제공하는 것이다..
It is another object of the present invention to provide a system and method for controlling access rights in an internal network of a host and / or access control for each application while providing a secure network with high security through a secure channel.

상기의 기술적 과제를 해결하기 위한 본 발명의 기술적 사상에 따른 기업 내 보안망 제공시스템은 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하며, 상기 제1단말기와 상기 내부 망에 존재하는 타장치 간의 통신을 위해 상기 제1단말기와 제1보안 채널을 형성하기 위한 게이트웨이 서버 및 상기 제1보안 채널의 설정을 위해 상기 게이트웨이 서버 및 상기 제1단말기를 제어하기 위한 매니저 서버를 포함한다.According to an aspect of the present invention, there is provided a system for providing a security network in an enterprise, which provides a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise, A gateway server for establishing a first secure channel with the first terminal for communication between the other devices in the internal network and a manager for controlling the gateway server and the first terminal for setting the first secure channel, Server.

상기 매니저 서버는 상기 제1단말기의 사용자를 인증하기 위한 인증부 및 상기 제1단말기의 사용자가 인증된 경우 상기 제1보안 채널을 위한 채널 설정 정보를 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하기 위한 보안채널 설정부를 포함할 수 있다.
Wherein the manager server comprises an authentication unit for authenticating a user of the first terminal and channel setting information for the first secure channel when the user of the first terminal is authenticated and transmits the generated channel setting information to the first terminal and the gateway server And a secure channel setting unit.

*상기 보안채널 설정부는 상기 제1보안 채널의 통신상대, 암호화알고리즘, 또는 암호화 키 값 중 적어도 하나를 포함하는 상기 채널 설정정보를 동적으로 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하는 것을 특징으로 할 수 있다.The secure channel setting unit dynamically generates the channel setting information including at least one of a communication counterpart, an encryption algorithm, and an encryption key value of the first secure channel and transmits the generated channel setting information to the first terminal and the gateway server .

상기 보안채널 설정부는 상기 게이트웨이 서버에 포함된 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여, 상기 복수의 게이트웨이 장치들 중 상기 제1단말기와 상기 제1보안 채널을 형성할 게이트웨이 장치를 선택하는 것을 특징으로 할 수 있다.Wherein the secure channel setting unit sets a secure channel based on a secure channel setting load of each of a plurality of gateway apparatuses included in the gateway server by using a gateway to form the first secure channel with the first terminal among the plurality of gateway apparatuses, And selecting the device.

상기 매니저 서버는 상기 제1단말기를 통해 접근할 수 있는 상기 타장치에 대한 정보를 특정하기 위한 접근권한 정보를 설정하는 접근제어부를 더 포함하며, 상기 접근제어부는 상기 게이트웨이 서버로 상기 제1단말기에 상응하는 상기 접근권한 정보를 전송하여, 상기 게이트웨이 서버가 상기 제1단말기가 상기 접근권한정보에 상응하도록 상기 타장치로의 접근을 선택적으로 허용하도록 제어하는 것을 특징으로 할 수 있다.Wherein the manager server further comprises an access control unit for setting access right information for specifying information about the other device that can be accessed through the first terminal, And transmits the corresponding access right information to the gateway server so as to selectively allow the first terminal to access the other device so as to correspond to the access right information.

상기 매니저 서버는 상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 설정하는 애플리케이션 관리부를 더 포함하며, 상기 애플리케이션 관리부는 상기 애플리케이션 관리정보를 상기 제1단말기로 전송하여, 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 것을 특징으로 할 수 있다.Wherein the manager server further comprises an application management unit configured to set application management information for specifying information on a permitted application that can be connected to the secure network among applications installed in the first terminal, To the first terminal, and controls the first terminal to selectively allow only the permitted application to access the secure network.

상기 게이트웨이 서버는 상기 매니저 서버의 제어하에 상기 제1단말기와 보안 채널을 형성하기 위한 보안 채널 형성부를 포함하며, 상기 보안 채널 형성부는 외부망에 존재하는 소정의 외부장치와 외부 보안 채널을 더 형성하는 것을 특징으로 할 수 있다.The gateway server includes a secure channel forming unit for forming a secure channel with the first terminal under the control of the manager server. The secure channel forming unit further forms an external secure channel with a predetermined external device existing in the external network . ≪ / RTI >

상기 게이트웨이 서버는 외부망과 상기 내부망 사이에 소정의 방화벽을 제공하기 위한 방화벽 제공부, 상기 외부망으로부터 상기 내부망으로의 침입을 탐지하기 위한 침입탐지부, 또는 상기 외부망 또는 상기 내부망으로의 접근 URL을 필터링하기 위한 URL 필터링부 중 적어도 하나를 더 포함할 수 있다.The gateway server includes a firewall for providing a predetermined firewall between the external network and the internal network, an intrusion detection unit for detecting an intrusion from the external network to the internal network, And a URL filtering unit for filtering the access URL of the access point.

상기 제1단말기는 상기 매니저 서버로부터 채널 설정정보를 수신하고, 수신된 상기 채널 설정정보에 기초하여 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하기 위한 보안 채널 형성모듈을 포함하는 에이전트 시스템을 포함할 수 있다.The first terminal includes an agent system including a secure channel forming module for receiving channel setting information from the manager server and forming the first secure channel with the gateway server based on the received channel setting information .

상기 에이전트 시스템은 상기 애플리케이션 관리부로부터 소정의 애플리케이션 관리정보를 수신하고, 수신된 애플리케이션 관리정보에 기초하여 특정되는 허용 애플리케이션만이 상기 보안 채널 형성모듈을 통해 상기 보안망에 접속하도록 제어하는 제어모듈을 더 포함할 수 있다.The agent system further includes a control module for receiving predetermined application management information from the application management unit and for controlling only an authorized application specified based on the received application management information to access the security network through the secure channel forming module .

상기 제어모듈은 상기 애플리케이션 관리정보에 기초하여 차단되는 차단 애플리케이션에 대한 정보를 상기 매니저 서버로 전송하거나, 상기 차단 애플리케이션의 프로세스를 강제종료 하는 것을 특징으로 할 수 있다.The control module may transmit information about a blocking application that is blocked based on the application management information to the manager server or forcibly terminate the process of the blocking application.

상기 보안채널은 VPN 채널인 것을 특징으로 할 수 있다.The secure channel may be a VPN channel.

상기 기술적 과제를 해결하기 위한 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공방법은 상기 제1단말기가 매니저 서버를 통해 사용자 인증을 수행하는 단계, 인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계, 및 상기 제1단말기가 상기 제1보안 채널과 상기 게이트웨이 서버와 상기 보안망에 접속된 타장치 간에 형성된 제2보안 채널을 통해 상기 타장치와 통신을 수행하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for providing a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise, The first terminal establishing a first secure channel with the gateway server according to an authentication result, and a step in which the first terminal establishes a connection between the first secure channel, the gateway server, and another device connected to the secure network And performing communication with the other device through the second secure channel.

상기 기업 내 보안망 제공방법은 인증이 성공되면 상기 제1단말기가 상기 매니저 서버로부터 상기 제1보안 채널을 형성하기 위한 채널 설정정보를 수신하는 단계를 더 포함하며, 수신된 상기 채널 설정정보에 기초하여 상기 제1단말기가 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하는 것을 특징으로 할 수 있다.Wherein the secure network providing method further comprises a step in which the first terminal receives channel setting information for forming the first secure channel from the manager server if authentication is successful, And the first terminal forms the first secure channel with the gateway server.

상기 게이트웨이 서버는 복수의 게이트웨이 장치들을 포함하며, 인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계는, 상기 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여 선택된 소정의 게이트웨이 장치와 상기 제1단말기가 상기 제1보안 채널을 형성하는 단계를 포함할 수 있다.Wherein the gateway server includes a plurality of gateway devices, and the first terminal forms a first secure channel with the gateway server according to the authentication result, the secure channel setting load of each of the plurality of gateway devices And a step of the first terminal forming the first secure channel and the predetermined gateway device selected based on the first secure channel.

상기 타장치와 통신을 수행하는 단계는 상기 매니저 서버로부터 상기 게이트웨이 서버로 전송된 접근권한 정보에 기초하여 상기 게이트웨이 서버에 의해 선택적으로 허용되는 상기 타장치와 통신을 수행하는 것을 특징으로 할 수 있다.And the step of performing communication with the other device performs communication with the other device selectively allowed by the gateway server based on the access right information transmitted from the manager server to the gateway server.

상기 기업 내 보안망 제공방법은 상기 제1단말기가 상기 매니저 서버로부터 상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 수신하는 단계 및 수신된 상기 애플리케이션 관리정보에 기초하여 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 단계를 더 포함할 수 있다. The method for providing a security network in an enterprise includes receiving application management information for specifying information on an application permitted to access the secure network among applications installed in the first terminal from the manager server, And controlling the first terminal to selectively allow only the permitted application to access the secure network based on the received application management information.

상기 기업 내 보안망 제공방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 저장될 수 있다.
The method for providing the security network in the enterprise may be stored in a computer-readable recording medium on which the program is recorded.

본 발명의 기술적 사상에 따르면, 기업 내부의 호스트들간의 통신을 게이트웨이를 매개로 하는 보안채널을 통해 수행할 수 있으므로, 내부망에서도 강력한 보안성이 부여되는 보안 네트워크를 구축할 수 있는 효과가 있다. According to the technical idea of the present invention, since communication between hosts inside a company can be performed through a secure channel mediated by a gateway, it is possible to construct a security network to which strong security is given even in the internal network.

또한, 동적으로 호스트와 게이트웨이 사이의 보안채널을 설정함으로써 보안 채널의 형성 자체에도 안정성을 제공할 수 있는 효과가 있다. In addition, by establishing a secure channel between the host and the gateway dynamically, it is possible to provide stability even in the formation of a secure channel.

또한, 보안채널을 통해 보안성이 높은 보안 망(secure network)를 제공하면서도 호스트의 내부망에서의 접근권한의 제어 및/또는 애플리케이션별 접근제어가 가능할 수 있다. 특히, 본 발명의 기술적 사상을 통해 단말단에서 애플리케이션로 접근제어가 가능하므로 차세대방화벽을 도입하는 효과가 있으며, 사용자별 접속권한 및 접속대상을 통제할 수 있는 효과가 있다.In addition, it is possible to control the access authority in the internal network of the host and / or access control by application, while providing a secure network with high security through the secure channel. In particular, since the access control from the terminal to the application is possible through the technical idea of the present invention, there is an effect of introducing a next-generation firewall, and an effect of controlling access rights and access targets for each user.

또한, 보안망(보안 네트워크)와 비보안망을 논리적으로 분리함으로써 어느 정도의 망분리 솔루션을 도입한 효과를 가져올 수 있다.In addition, by separating the security network (security network) and the non-security network logically, it is possible to introduce some degree of network separation solution.

또한, 보안채널의 형성을 위해서는 강력한 인증이 수행되어야 하므로 NAC 도입효과를 얻을 수 있으며, 내부 호스트들 간의 통신도 암호화 통신을 수행할 수 있으므로 네트워크 미러링 등의 공격을 사전에 차단할 수 있는 효과가 있다. 또한, 이를 통해 네트워크 미러링 등을 통한 불법 와이파이 망을 차단할 수 있으므로 WIPS 솔루션을 구축하는 효과도 있다. In addition, strong authentication is required to form a secure channel, so that the effect of introducing NAC can be obtained, and communication between internal hosts can also perform encrypted communication, so that an attack such as network mirroring can be prevented in advance. In addition, it can block the illegal Wi-Fi network through network mirroring and the like, which also has the effect of building a WIPS solution.

또한, 내부망 및 외부망 모두 동일한 접속 방식을 통해 보안성을 제공할 수 있는 효과가 있다.
In addition, both the internal network and the external network can provide security through the same connection method.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 종래의 보안채널을 활용한 기업 내부망으로의 접근방식을 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위한 시스템 구성을 개략적으로 나타낸다.
도 3은 본 발명의 실시 예에 따른 매니저 서버의 개략적인 구성을 나타낸다.
도 4는 본 발명의 실시 예에 따른 게이트웨이 서버의 개략적인 구성을 나타낸다.
도 5는 본 발명의 실시 예에 따른 내부 호스트에 설치되는 에이전트 시스템의 개략적인 구성을 나타낸다.
도 6은 본 발명의 일 실시 예에 따른 기업 내 보안망 제공방법을 설명하기 위한 데이터 플로우를 나타낸다.
도 7은 본 발명의 실시 예에 따른 기업 내 보안망 제공방법에 따라 접근제어가 수행되는 데이터 플로우를 나타낸다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
FIG. 1 is a diagram for explaining an approach to an internal company network using a conventional secure channel.
2 schematically shows a system configuration for implementing a security network providing method according to an embodiment of the present invention.
FIG. 3 shows a schematic configuration of a manager server according to an embodiment of the present invention.
4 shows a schematic configuration of a gateway server according to an embodiment of the present invention.
FIG. 5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.
FIG. 6 shows a data flow for explaining a security network providing method according to an embodiment of the present invention.
FIG. 7 shows a data flow in which access control is performed according to a security network providing method according to an embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component.

반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.

도 2는 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위한 시스템 구성을 개략적으로 나타낸다.2 schematically shows a system configuration for implementing a security network providing method according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위해서는 매니저 서버(100) 및 게이트웨이 서버(200)가 구비될 수 있다. Referring to FIG. 2, a manager server 100 and a gateway server 200 may be provided to implement a security network providing method according to an embodiment of the present invention.

상기 게이트웨이 서버(200)를 통해 소정의 기업내의 내부망과 외부망이 구분될 수 있다. An internal network and an external network in a predetermined company can be distinguished through the gateway server 200. [

상기 내부망은 물리적인 망(40)으로 구현될 수 있으며, 상기 물리적인 망(40)을 통해 복수의 호스트들 즉 복수의 단말기들(300, 310)이 연결될 수 있다. 또한, 상기 복수의 호스트들에는 소정의 무선 단말기(320)가 포함될 수도 있다. 또한, 상기 물리적인 망(40)에는 적어도 하나의 서버들(410, 420)을 포함하는 서버팜(server farm)이 연결될 수 있다.The internal network may be implemented as a physical network 40 and a plurality of hosts or a plurality of terminals 300 and 310 may be connected through the physical network 40. In addition, the plurality of hosts may include a predetermined wireless terminal 320. Also, a server farm including at least one server 410, 420 may be connected to the physical network 40.

상기 매니저 서버(100) 역시 상기 물리적인 망(40)을 통해 복수의 호스트들 및/또는 상기 게이트웨이 서버(200)와 연결될 수 있다. 상기 매니저 서버(100)는 상기 게이트웨이 서버(200) 및 상기 물리적인 망(40)에 연결된 복수의 호스트들을 제어함으로써 본 발명의 기술적 사상을 구현할 수 있다.The manager server 100 may also be connected to a plurality of hosts and / or the gateway server 200 through the physical network 40. [ The manager server 100 can implement the technical idea of the present invention by controlling the gateway server 200 and a plurality of hosts connected to the physical network 40. [

상기 복수의 호스트들 각각에는 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템이 구비될 수 있다. Each of the plurality of hosts may include a predetermined agent system for implementing the technical idea of the present invention.

본 발명의 기술적 사상에 의하면, 상기 내부 망에 포함된 네트워크 장치들(예컨대, 복수의 호스트들(300, 310, 320), 서버팜(400) 등)은 각각 상기 게이트웨이 서버(200)와 보안채널을 형성하여 상기 보안채널을 통해 상기 내부 망에 포함된 타장치와 통신을 수행할 수 있다. 따라서, 상기 게이트웨이 서버(200)는 내부 망에 존재하는 두 네트워크 장치간의 통신을 릴레이하는 역할을 수행할 수 있다.The network devices (e.g., the plurality of hosts 300, 310, 320, and the server farm 400) included in the internal network are connected to the gateway server 200 and the secure channel 300, respectively, according to the technical idea of the present invention. And can communicate with other devices included in the internal network through the secure channel. Therefore, the gateway server 200 can relay the communication between two network devices existing in the internal network.

상기 매니저 서버(100)는 이러한 게이트웨이 서버(200)와 내부 망에 존재하는 소정의 네트워크 장치간의 보안채널 형성을 제어할 수 있다. 상기 보안채널 형성을 제어하기 위해 동적으로 상기 보안채널 형성에 필요한 정보를 설정하고, 이를 보안채널에 참여하는 두 장치로 전송함으로써 동적으로 보안채널을 형성하도록 할 수 있다. 또한, 상기 매니저 서버(100)는 사용자별(호스트별)로 보안 네트워크를 통해 접속가능한 대상을 제어할 수도 있고, 또한 접속가능한 애플리케이션의 제어도 수행할 수 있다.The manager server 100 may control the formation of a secure channel between the gateway server 200 and a predetermined network device in the internal network. It is possible to dynamically form a secure channel by setting information necessary for forming the secure channel dynamically to control the secure channel formation and transmitting the information to two devices participating in the secure channel. In addition, the manager server 100 can control an object that can be connected through a secure network in each user (per host), and can also control a connectable application.

도 2에서 보안채널은 굵은 양방향 화살표로 표시되고 있는데, 이러한 보안채널은 1:1 암호화 통신을 수행하게 되므로 기업의 내부 망에서도 보안 네트워크(보안망)를 구축하는 효과가 있다. 예컨대, 제1단말기(300)와 제2단말기(310)가 통신을 하기 위해서는 물리적인 망(40)을 이용하여 비보안 네트워크 통신을 수행할 수도 있다. 하지만, 본 발명의 기술적 사상에 의한 보안 네트워크(보안망)를 통해 통신을 수행하는 경우에는, 상기 제1단말기(300)는 상기 게이트웨이 서버(200)와 제1보안채널을 형성하고, 상기 제2단말기(310) 역시 상기 게이트웨이 서버(200)와 제2보안채널을 형성할 수 있다. 그러면, 상기 제1단말기(300)와 상기 제2단말기(310)는 상기 제1보안채널 및 상기 제2보안채널을 통해 수행될 수 있다. In FIG. 2, the secure channel is indicated by a bold double-headed arrow. Since the secure channel performs 1: 1 encryption communication, it has an effect of establishing a secure network (security network) in the internal network of the enterprise. For example, in order for the first terminal 300 and the second terminal 310 to communicate, the non-secured network communication may be performed using the physical network 40. [ However, when performing communication through a secure network (security network) according to the technical idea of the present invention, the first terminal 300 forms a first secure channel with the gateway server 200, The terminal 310 may also form a second secure channel with the gateway server 200. Then, the first terminal 300 and the second terminal 310 can be performed through the first secure channel and the second secure channel.

상기 제1단말기(300) 및 상기 제2단말기(310)가 상기 게이트웨이 서버(200)와 형성하는 보안채널은 VPN(Virtual Private Network) 채널일 수 있다. 상기 VPN 채널을 형성하기 위한 VPN 터널링을 통해 상기 제1단말기(300) 및/또는 상기 제2단말기(310)는 상기 게이트웨이 서버(200)는 논리적인 보안채널을 형성할 수 있다. The secure channel formed by the first terminal 300 and the second terminal 310 with the gateway server 200 may be a virtual private network (VPN) channel. The gateway server 200 can form a logical security channel for the first terminal 300 and / or the second terminal 310 through VPN tunneling to form the VPN channel.

이러한 보안채널은 보안채널을 형성하는 두 네트워크 장치간에 암호화 통신을 수행할 수 있으므로, 상기 보안채널의 경로상에 존재하는 물리적인 장치에 의해 패킷이 유출되거나 공격되더라도 데이터의 유출이 일어나지 않을 수 있는 효과가 있다.Such a secure channel can perform encrypted communication between two network devices forming a secure channel, so that even if a packet is leaked or attacked by a physical device existing on the path of the secure channel, data leakage may not occur .

또한, 암호화 통신을 위한 IKE(Internet Key Exchange) 인증을 수행할 수 있어서 강력한 사용자 인증 솔루션을 제공할 수 있기 때문에 NAC 솔루션을 도입하는 효과가 있다. In addition, since it can perform IKE (Internet Key Exchange) authentication for encrypted communication, it is possible to provide a strong user authentication solution, which is effective to introduce a NAC solution.

또한, 내부 망을 본 발명의 기술적 사상이 적용되는 보안 네트워크만 이용하도록 할 수도 있지만, 기존의 물리적인 망도 허용하는 경우에는 물리적인 망은 비보안 네트워크로 작동하고 본 발명의 기술적 사상에 따른 솔루션은 상기 비보안 네트워크와는 독립적으로 작용하는 보안 네트워크로 사용할 수 있으므로 어느 정도의 망 이중화 솔루션을 제공하는 효과도 있다. 이는 후술할 바와 같이 상기 보안 네트워크를 이용할 수 있는 사용자별 애플리케이션 제어 및/또는 사용자별 접근권한 제어를 통해 더욱 망 이중화 효과를 가져올 수도 있다. 물론, 기존의 호스트나 OS 자체의 이중화를 수행하는 경우에 비해서는 다소 보안성이 낮아질 수 있음은 별론으로 한다.In addition, although the internal network may be configured to use only the security network to which the technical idea of the present invention is applied, if the existing physical network is allowed, the physical network operates as a non-secure network, and the solution according to the technical idea of the present invention And can be used as a secure network that operates independently of the non-secured network, thereby providing a degree of network redundancy solution. This may result in further network redundancy through control of user-specific applications and / or control of access rights for each user who can use the secure network, as described later. Of course, it is different from the case of performing duplication of existing host or OS itself, which is somewhat less secure.

또한, 내부망에 존재하는 호스트들(단말기들)은 게이트웨이 서버(200)와 1:1 암호화 채널을 통해 통신을 수행하므로, 네트워크 미러링 공격에 의한 무선 AP의 복제 즉, 불법적인 와이파이 통신을 차단할 수 있는 효과가 있다. 이는 기존의 WIPS 솔루션을 도입하는 효과도 제공할 수 있다. In addition, the hosts (terminals) existing in the internal network perform communication through the 1: 1 encryption channel with the gateway server 200, thereby preventing the replication of the wireless AP due to the network mirroring attack, that is, illegal Wi- There is an effect. This can also provide the effect of introducing existing WIPS solutions.

또한, 후술할 바와 같이 사용자별 애플리케이션의 접근제어, 사용자별 접속권한제어가 가능하므로 차세대방화벽을 도입하는 효과가 있다.In addition, access control of an application for each user and access right control for each user can be performed as will be described later, so that a next-generation firewall is introduced.

또한, 종래의 보안채널의 활용방식과 같이 소정의 외부망에 존재하는 외부 단말기(500) 역시 상기 게이트웨이 서버(200)와 보안채널을 형성할 수 있다. 따라서, 외부의 단말기(500) 또는 내부의 단말기들(300, 310, 320) 모두 통일된 통신방식을 통해 내부망에 접속할 수 있는 효과도 있다. In addition, an external terminal 500 existing in a predetermined external network may form a secure channel with the gateway server 200 as in the conventional security channel utilization method. Therefore, both the external terminal 500 and the internal terminals 300, 310, and 320 can be connected to the internal network through a unified communication method.

또한, 종래에는 예컨대, 외부 단말기(500)에서 서버군(400)에 접속을 하는 경우, 외부 단말기에서 게이트웨이 서버(200)까지만 보안채널을 통해 통신을 하고 내부망에 접속되어서는 비보안 네트워크로 상기 서버군(400)에 접속을 하게 되지만, 본 발명의 기술적 사상에 의하면 게이트웨이 서버(200)와 상기 서버군(400) 사이도 보안 네트워크를 통해 통신을 수행하게 되므로 훨씬 보안성이 높은 접근환경을 외부에 제공할 수 있는 효과가 있다.In the related art, for example, when the external terminal 500 connects to the server group 400, only the external terminal to the gateway server 200 communicate via the secure channel, and the external terminal 500 is connected to the internal network, According to the technical idea of the present invention, since the communication between the gateway server 200 and the server group 400 is also performed through the security network, There is an effect that can be provided.

이러한 기술적 사상을 구현하기 위한 본 발명의 실시 예에 따른 매니저 서버(100)는 도 3과 같이 구현될 수 있다. The manager server 100 according to an embodiment of the present invention for realizing such a technical idea can be implemented as shown in FIG.

도 3은 본 발명의 실시 예에 따른 매니저 서버의 개략적인 구성을 나타낸다.FIG. 3 shows a schematic configuration of a manager server according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 실시 예에 따른 매니저 서버(100)는 인증부(110) 및 보안채널 설정부(120)를 포함한다. 상기 매니저 서버(100)는 접근 제어부(130)를 더 포함할 수 있다. 또한, 상기 매니저 서버(100)는 애플리케이션 관리부(140)를 더 포함할 수 있다. Referring to FIG. 3, the manager server 100 according to the embodiment of the present invention includes an authentication unit 110 and a secure channel setting unit 120. The manager server 100 may further include an access control unit 130. In addition, the manager server 100 may further include an application management unit 140.

상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비한 논리적인 구성을 의미할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다. The manager server 100 may refer to a logical configuration having hardware resources and / or software necessary for implementing the technical idea of the present invention, and may mean one physical component or one It does not mean a device. That is, the manager server 100 may mean a logical combination of hardware and / or software provided to implement the technical idea of the present invention. If necessary, the manager server 100 may be installed in a separate apparatus to perform respective functions And may be embodied as a set of logical structures for realizing the technical idea of the present invention. Also, the manager server 100 may mean a set of configurations separately implemented for each function or role for implementing the technical idea of the present invention.

또한, 본 명세서에서 '~부' 또는 '~모듈'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '~부' 또는 '~모듈'은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.In the present specification, the term "module" or "module" may mean a functional or structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware. For example, the 'to' or 'to module' may refer to a logical unit of a predetermined code and a hardware resource for the predetermined code to be executed, It is to be appreciated that the term " hardware "

예컨대, 상기 인증부(110), 상기 보안채널 설정부(120), 상기 접근 제어부(130), 및/또는 상기 애플리케이션 관리부(140) 각각은 서로 다른 물리적 장치에 위치할 수도 있고, 동일한 물리적 장치에 위치할 수도 있다. 또한, 구현 예에 따라서는 상기 인증부(110), 상기 보안채널 설정부(120), 상기 접근 제어부(130), 및/또는 상기 애플리케이션 관리부(140) 각각을 구성하는 소프트웨어 및/또는 하드웨어의 결합 역시 서로 다른 물리적 장치에 위치하고, 서로 다른 물리적 장치에 위치한 구성들이 서로 유기적으로 결합되어 각각의 상기 모듈들을 구현할 수도 있다.For example, each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application management unit 140 may be located in different physical devices, It may be located. Also, according to an embodiment, a combination of software and / or hardware constituting each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application management unit 140 Also, the components located in different physical devices and the components located in different physical devices may be organically coupled to each other to implement the respective modules.

상기 인증부(110)는 본 발명의 기술적 사상이 적용되는 소정의 기업 내의 내부망에 존재하는 제1단말기(예컨대, 300)의 사용자를 인증할 수 있다. 이를 위해 상기 매니저 서버(100)는 도 3에는 도시되지 않았지만, 사용자 DB(미도시)를 더 포함할 수 있음은 물론이다. 사용자의 인증은 예컨대, 상기 제1단말기(예컨대, 300)에 설치되어 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템과 상기 인증부(110)에 의해 수행될 수 있다. 상기 에이전트 시스템은 본 발명의 기술적 사상에 의해 제공되는 보안 네트워크에 접속하고자 할 때, 사용자에게 로그인 절차를 수행하도록 할 수 있다. 그러면, 상기 인증부(110)는 상기 에이전트 시스템으로부터 수신되는 로그인 정보에 기초하여 상기 제1단말기(예컨대, 300)의 사용자를 인증할 수 있다. The authentication unit 110 can authenticate a user of a first terminal (e.g., 300) existing in an internal network of a predetermined company to which the technical idea of the present invention is applied. 3, the manager server 100 may further include a user DB (not shown). The authentication of the user may be performed by the authentication unit 110 and the predetermined agent system installed in the first terminal (e.g., 300) to implement the technical idea of the present invention. The agent system may allow a user to perform a login procedure when accessing a secure network provided by the technical idea of the present invention. Then, the authentication unit 110 may authenticate the user of the first terminal (e.g., 300) based on login information received from the agent system.

인증부(110)에 의해 인증이 성공되는 경우, 상기 제1단말기(예컨대, 300)는 상기 게이트웨이 서버(200)와 소정의 제1보안채널(예컨대, VPN 채널)을 형성할 수 있다. 이러한 제1보안채널의 형성은 상기 보안채널 설정부(120)에 의해 제어될 수 있다.When the authentication is successful by the authentication unit 110, the first terminal 300 may form a predetermined first secure channel (e.g., a VPN channel) with the gateway server 200. The formation of the first secure channel may be controlled by the secure channel setting unit 120. [

상기 보안채널 설정부(120)는 상기 제1보안채널을 형성하기 위한 채널 설정 정보를 생성하고, 이를 상기 제1단말기(예컨대, 300) 및 상기 게이트웨이 서버(200)로 각각 전송함으로써 상기 게이트웨이 서버(200)와 인증이 성공한 상기 제1단말기(예컨대, 300) 사이에 보안채널이 형성되도록 제어할 수 있다.The secure channel setting unit 120 generates channel setting information for forming the first secure channel and transmits the generated channel setting information to the first terminal 300 and the gateway server 200, 200) and the first terminal (e.g., 300) that has been successfully authenticated.

상기 제1보안채널의 형성이 상기 게이트웨이 서버(200)와 상기 제1단말기(예컨대, 300)간의 통신에 의해 직접 수행되는 것이 아니라, 상기 보안채널 설정부(120)에 의해 동적으로 제어됨으로써 설령 상기 제1단말기(예컨대, 300) 및/또는 상기 게이트웨이 서버(200)가 공격을 당하여 상기 제1보안채널의 형성을 위한 파라미터들즉, 채널 설정정보(예컨대, 암호화 키 값, 암호화 알고리즘 등)이 유출될 위험을 줄일 수 있는 효과가 있다. The formation of the first secure channel is not directly performed by the communication between the gateway server 200 and the first terminal 300 (for example, 300) but is dynamically controlled by the secure channel setting unit 120, The first terminal (e.g., 300) and / or the gateway server 200 are attacked and parameters for forming the first secure channel, that is, channel setting information (e.g., encryption key value, encryption algorithm, There is an effect that can reduce the risk of becoming.

상기 채널 설정정보는 상기 제1보안채널의 형성을 위해 정의되어야 하는 정보를 적어도 하나 포함할 수 있다. 상기 채널 설정정보는 예컨대, 보안채널을 통해 통신을 수행할 상대장치, 암호화알고리즘, 및/또는 암호화 키값(예컨대, PSK 키 값 등)을 포함할 수 있다. 상기 채널 설정정보에 포함되는 정보들 중 일부는 고정될 수 있고, 일부만 동적으로 상기 보안채널 설정부(120)에 의해 생성될 수도 있다. The channel setting information may include at least one information to be defined for forming the first secure channel. The channel setting information may include, for example, a counterpart device to perform communication over a secure channel, an encryption algorithm, and / or an encryption key value (e.g., a PSK key value, etc.). Some of the information included in the channel setting information may be fixed, and only a part of the information may be generated by the secure channel setting unit 120 dynamically.

상기 채널 설정정보의 생성은 상기 제1보안채널이 형성되기 전이면 언제든지 수행될 수 있다. 또한, 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)로 전송되는 채널 설정정보는 서로 대응되는 것이 바람직하다. 즉, 상기 제1단말기(예컨대, 300)로 전송되는 제1채널 설정정보는 상기 게이트웨이 서버(200)를 상대장치로 특정할 수 있으며, 상기 게이트웨이 서버(200)로 전송되는 제2채널 설정정보는 상기 제1단말기(예컨대, 300)를 상대장치로 특정할 수 있다. 또한, 상기 제1채널 설정정보 및 상기 제2채널 설정정보는 각각 동일한 암호화 알고리즘에 대한 정보를 포함하고 있는 것이 바람직하며, 암호화 키 값으로는 서로 대응되는 키 값을 포함하고 있는 것이 바람직하다. 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)는 예컨대, IPSec(Internet Protocol Security)의 IKE(Internet Key Exchange) 인증을 통해 서로를 인증할 수 있으며, 이를 위한 암호화 알고리즘 및 각각이 가져야할 암호화 키 값들이 상기 제1채널 설정정보 및 상기 제2채널 설정정보에 정의될 수 있다. 또한, IKE 인증을 사용하는 경우, 암호화 키를 통한 서로간의 인증이 수행되므로, 내부망에 연결된 호스트들(단말기들)에 대한 강력한 인증도구가 될 수 있다.The generation of the channel setting information may be performed any time before the first secure channel is formed. Also, it is preferable that the channel setting information transmitted to the first terminal (e.g., 300) and the gateway server 200 correspond to each other. That is, the first channel setting information transmitted to the first terminal (e.g., 300) may specify the gateway server 200 as a partner device, and the second channel setting information transmitted to the gateway server 200 may include The first terminal (e.g., 300) can be specified as a partner apparatus. Preferably, the first channel setting information and the second channel setting information each include information on the same encryption algorithm, and the encryption key values include key values corresponding to each other. The first terminal 300 and the gateway server 200 can authenticate each other through IKE (Internet Key Exchange) authentication of IPSec (Internet Protocol Security), for example. May be defined in the first channel setting information and the second channel setting information. In addition, when IKE authentication is used, mutual authentication is performed through the encryption key, so that it becomes a strong authentication tool for hosts (terminals) connected to the internal network.

상기 보안채널 설정부(120)에 의해 상기 제1채널 설정정보가 상기 제1단말기(예컨대, 300)로 전송되고, 상기 제2채널 설정정보가 상기 게이트웨이 서버(200)로 전송되면, 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)는 서로 수신된 정보에 기초하여 VPN 터널링을 수행할 수 있다. 그리고, 상기 제1보안채널을 형성할 수 있다. When the first channel setting information is transmitted to the first terminal (e.g., 300) by the secure channel setting unit 120 and the second channel setting information is transmitted to the gateway server 200, The terminal (for example, 300) and the gateway server 200 can perform VPN tunneling based on information received from each other. The first secure channel can be formed.

이와 같은 방식으로 각각의 단말기들(예컨대, 300~320)이 상기 게이트웨이 서버(200)와 보안채널을 형성하게 되면, 상기 게이트웨이 서버(200)를 중심으로 하나의 가상의(또는 논리적인) 네트워크가 형성되며, 이러한 네트워크를 본 명세서에서는 보안 네트워크로 정의할 수 있다.When each terminal (for example, 300-320) establishes a secure channel with the gateway server 200 in this manner, a virtual (or logical) network centered on the gateway server 200 And this network can be defined as a secure network in this specification.

한편, 상기 게이트웨이 서버(200)는 후술할 바와 같이 어느 하나의 서버 또는 장치로 구현되지 않고, 복수의 장치 즉, 게이트웨이 장치로 구현될 수 있다. 즉, 상기 게이트웨이 서버(200)의 기능은 복수의 게이트웨이 장치로 구현될 수 있다. 이러한 경우, 상기 제1단말기(예컨대, 300)가 어떠한 게이트웨이 장치와 보안채널을 형성할지에 따라 전체 보안 네트워크의 통신성능이 결정될 수도 있다. 따라서, 상기 보안채널 설정부(120)는 각각의 게이트웨이 장치의 로드(load) 즉, 현재 얼마나 많은 보안채널을 형성하고 있는지 여부를 고려하여, 로드를 밸런싱할 수 있도록 복수의 게이트웨이 장치들 중에서 어느 하나의 게이트웨이 장치를 선택할 수 있다. 상기 보안채널 설정부(120)가 소정의 단말기들(예컨대, 300~320)과 상기 게이트웨이 장치들 각각의 보안채널 형성을 제어하므로, 상기 보안채널 설정부(120)는 어떠한 게이트웨이 장치가 현재 몇개의 보안채널을 형성하고 있는지 또는 후술할 바와 같이 보안채널을 통한 트래픽 양이 모니터링될 수 있는 경우에는 이러한 트래픽 양까지 고려하여 전체 게이트웨이 장치들이 가급적 비슷한 로드를 가질 수 있도록 게이트웨이 장치를 선택할 수 있다.Meanwhile, the gateway server 200 may be implemented by a plurality of devices, that is, a gateway device, rather than being implemented by any one server or device as will be described later. That is, the function of the gateway server 200 may be realized by a plurality of gateway devices. In this case, the communication performance of the entire secure network may be determined depending on which gateway device the first terminal (e.g., 300) forms with the secure channel. Therefore, in consideration of the load of each gateway device, that is, how many security channels are formed at present, the secure channel setting unit 120 sets one of the plurality of gateway devices so as to balance the load Can be selected. Since the secure channel setting unit 120 controls the formation of the secure channel of each of the predetermined terminals (for example, 300 to 320) and the gateway devices, the secure channel setting unit 120 determines which of the gateway devices Secure channel, or if the amount of traffic over the secure channel can be monitored, as will be described below, it is possible to select the gateway device so that all the gateway devices have as similar loads as possible considering this amount of traffic.

이와 같은 방식으로 본 발명의 기술적 사상에 따른 보안 네트워크에 접속하기 위해서는 내부망에 존재하는 호스트들(단말기들(300~320))은 각각 게이트웨이 서버(200)와 보안채널을 형성할 수 있다. 따라서, 예컨대, 상기 제1단말기(예컨대, 300)와 상기 제2단말기(예컨대, 310)간의 통신은 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)가 형성하는 제1보안채널 및 상기 제2단말기(예컨대, 310)와 상기 게이트웨이 서버(200)가 형성하는 제2보안채널을 통해 수행될 수 있다. In this way, in order to connect to the secure network according to the technical idea of the present invention, the hosts (terminals 300 to 320) present in the internal network can form a secure channel with the gateway server 200, respectively. Thus, for example, communication between the first terminal (e.g., 300) and the second terminal (e.g., 310) may be established between the first terminal (e.g., 300) and the gateway server 200, And the second secure channel formed by the second terminal (e.g., 310) and the gateway server 200 may be performed.

그러므로, 상기 게이트웨이 서버(200)는 상기 제1단말기(예컨대, 300)와 상기 제1단말기(예컨대, 300)가 통신을 수행할 타장치(예컨대, 310, 320, 400 등)와의 통신을 중계하는 역할을 수행할 수 있다. Therefore, the gateway server 200 relays communications between the first terminal 300 (e.g., 300) and other devices (e.g., 310, 320, 400, etc.) with which the first terminal 300 Can play a role.

한편, 상기 게이트웨이 서버(200)는 상기 제1단말기(예컨대, 300)가 요청하는 모든 타장치로의 접근을 중계할 수도 있지만, 상기 제1단말기(예컨대, 300)의 사용자가 누구인지에 따라 접근제어를 수행할 수도 있다. 이러한 접근제어는 기업망에서 특히 유용할 수 있다. 이러한 접근제어 역시 상기 매니저 서버(100)에 의해 제어될 수 있다. 그리고, 이러한 접근제어는 상기 매니저 서버(100)의 접근 제어부(130)에 의해 통제될 수 있다. Meanwhile, the gateway server 200 may relay access to all the other devices requested by the first terminal 300 (for example, 300), but may access the other terminal 300 Control may be performed. This access control can be particularly useful in a corporate network. This access control can also be controlled by the manager server 100. [ This access control can be controlled by the access control unit 130 of the manager server 100. [

상기 접근 제어부(130)는 상기 제1단말기(예컨대, 300)의 사용자 인증이 성공하면, 상기 사용자가 접근할 수 있는 장치에 대한 정보 즉, 상기 제1단말기(예컨대, 300)가 접근할 수 있는 타장치에 대한 정보를 특정할 수 있다. 상기 타장치는 예컨대, 내부망에 존재하는 타 호스트들(예컨대, 310~320)일 수도 있고, 상기 내부망에 존재하는 서버군(400)에 포함된 서버들(410, 420)일 수도 있다. 또는, 상기 게이트웨이 서버(200)를 통해 외부망에 존재하는 외부 단말기(500)에 접근할 수 있는지에 대한 정보도 포함될 수 있다. If the user authentication of the first terminal (e.g., 300) is successful, the access controller 130 transmits information about the device that the user can access, that is, the first terminal (e.g., 300) Information about other devices can be specified. The other devices may be other hosts (for example, 310 to 320) existing in the internal network or may be servers 410 and 420 included in the server group 400 existing in the internal network. Alternatively, information on whether the external terminal 500 existing in the external network can be accessed through the gateway server 200 may be included.

상기 사용자가 상기 제1단말기(예컨대, 300)를 통해 접근할 수 있는 타장치에 대한 정보는 접근권한 정보에 의해 특정될 수 있다. 상기 접근 제어부(130)는 사용자별로 접근권한 정보를 설정할 수 있다. 사용자의 직책 또는 업무에 따라 상기 접근권한 정보가 달라질 수 있음은 물론이다. Information about other devices that the user can access through the first terminal (e.g., 300) may be specified by the access right information. The access control unit 130 can set access rights information for each user. It is needless to say that the information of the access right may be changed according to the position or task of the user.

상기 접근권한 정보는 화이트리스트 방식 즉, 접근할 수 있는 장치들에 대한 정보가 리스트업된 방식일 수도 있고, 블랙리스트 방식 즉, 접근할 수 없는 장치들에 대한 정보가 리스트업되는 방식으로 구현될 수도 있다.The access right information may be a whitelisting scheme, that is, a list-up scheme for information on accessible devices, or a blacklist scheme, that is, a scheme in which information about inaccessible devices is listed It is possible.

따라서, 상기 접근 제어부(130)는 상기 제1단말기(예컨대, 300)의 사용자가 인증되면, 상기 사용자에 상응하는 접근권한 정보를 상기 게이트웨이 서버(200) 또는 복수의 게이트웨이 장치들 중 상기 제1단말기(예컨대, 300)와 보안채널을 형성하도록 선택된 게이트웨이 장치로 전송할 수 있다. 그러면, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)는 상기 제1단말기(예컨대, 300)로부터 소정의 장치들(예컨대, 310, 320, 410, 420) 중 어느 하나로의 접근요청이 수신되면, 상기 접근권한 정보에 기초하여 상기 제1단말기(예컨대, 300)가 접속가능한 장치로의 접근요청인지를 판단하고 판단결과에 따라 선택적으로 상기 접근요청을 허용하거나 불허할 수 있다. 물론, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)가 상기 제1단말기(예컨대, 300)로부터의 접근요청에 응답하여 소정의 타장치로 접근을 허락하기 위해서는 해당 타장치와 상기 게이트웨이 서버(200)가 보안채널이 형성되어 있어야 할 수 있다. 일반적으로 상기 서버군(400)에 포함된 각각의 서버들(410, 420)과 상기 게이트웨이 서버(200)는 보안채널이 상시적으로 형성되어 있을 수 있으며, 이때에는 상기 서버들(410, 420)을 위한 별도의 인증은 수행되거나 또는 수행되지 않을 수도 있다. 하지만, 내부망에 존재하는 단말기들(예컨대, 300~320)은 전술한 바와 같이 상기 인증부(110)에 의해 인증이 수행되어야 보안채널이 형성될 수 있다.Accordingly, when the user of the first terminal (e.g., 300) is authenticated, the access control unit 130 transmits the access right information corresponding to the user to the gateway server 200 or the first terminal (E. G., 300) to a gateway device selected to form a secure channel. Then, when the gateway server 200 (or the selected gateway device) receives a request for access to any one of the predetermined devices 310, 320, 410 and 420 from the first terminal 300, for example, It is possible to determine whether the first terminal (e.g., 300) is an access request to a connectable device based on the access right information, and selectively allow or deny the access request according to the determination result. Of course, in order to allow the gateway server 200 (or the selected gateway device) to access the predetermined other device in response to the access request from the first terminal (e.g., 300), the other device and the gateway server 200 ) May have a secure channel formed. Generally, each server 410 and 420 included in the server group 400 and the gateway server 200 may have a secure channel at all times. At this time, the servers 410 and 420, May be performed or may not be performed. However, terminals (for example, 300 to 320) existing in the internal network need to be authenticated by the authentication unit 110 as described above to form a secure channel.

만약, 상기 제1단말기(예컨대, 300)와 보안채널을 형성하고 있는 제1게이트웨이 장치와 상기 타장치와 보안채널을 형성하고 있는 제2게이트웨이 장치가 서로 다른 경우에는, 상기 제1게이트웨이 장치와 상기 제2게이트웨이 장치 간에도 보안채널이 형성될 수 있다. 물론, 이때에도 상기 제1게이트웨이 장치와 상기 제2게이트웨이 장치간의 보안채널 역시 상기 매니저 서버(100)의 보안채널 설정부(120)에 의해 제어될 수 있다. If the first gateway device forming the secure channel with the first terminal (e.g., 300) and the second gateway device forming the secure channel are different from each other, the first gateway device and the second gateway device A secure channel may also be formed between the second gateway devices. Of course, a secure channel between the first gateway device and the second gateway device may also be controlled by the secure channel setting unit 120 of the manager server 100 at this time.

한편, 상기 매니저 서버(100)는 사용자별 애플리케이션을 관리할 수도 있다. 이를 위해 상기 매니저 서버(100)는 애플리케이션 관리부(140)를 더 포함할 수 있다. Meanwhile, the manager server 100 may manage an application for each user. To this end, the manager server 100 may further include an application management unit 140.

상기 애플리케이션 관리부(140)는 사용자별로(단말기들(예컨대, 300~320)별로) 상기 보안 네트워크에 접속할 수 있는 애플리케이션 즉, 허용 애플리케이션을 특정할 수 있다. 즉, 상기 허용 애플리케이션만이 상기 게이트웨이 서버(200)와 형성된 보안채널을 통해 타장치에 접근할 수 있도록 제어할 수 있다. 또한, 사용자별로 허용 애플리케이션을 특정한다고 함은, 사용자별로 허용 애플리케이션을 다르게 설정할 수 있음을 의미하는 것이지 반드시 모든 사용자별로 허용 애플리케이션이 달라야하는 것의 의미하는 것은 아니다.The application management unit 140 can identify an application that can access the secure network, that is, an allowed application (for each of the terminals 300 to 320). That is, only the permitted application can control access to other devices through the secure channel formed with the gateway server 200. [ In addition, specifying an allowable application for each user means that an allowable application can be set differently for each user, but it does not necessarily mean that the allowable application is different for every user.

상기 애플리케이션 관리부(140)는 인증부(110)에 의해 상기 제1단말기(예컨대, 300)의 사용자가 인증되면, 상기 제1단말기(예컨대, 300)에서 상기 보안 네트워크에 접속이 허용되는 허용 애플리케이션에 대한 정보를 포함하는 애플리케이션 관리정보를 상기 제1단말기(예컨대, 300)로 전송할 수 있다. 그러면 상기 제1단말기(예컨대, 300)는 전송된 상기 애플리케이션 관리정보에 기초하여 상기 보안 네트워크에 접속가능한 애플리케이션을 제어할 수 있다. 예컨대, 상기 보안 네트워크에 접속되어 있는 경우에는, 허용 애플리케이션만이 실행될 수 있고, 그렇지 않은 애플리케이션은 실행이 차단되거나 이미 실행되고 있는 애플리케이션의 프로세스가 상기 제1단말기(예컨대, 300)에 의해 강제종료 또는 킬(kill)될 수도 있다. 또는, 상기 보안 네트워크에 접속해 있더라도 보안 네트워크를 통해 타장치에 접근하는 애플리케이션만이 관리될 수도 있다. 즉, 허용 애플리케이션만 상기 보안 네트워크를 통해 타 장치에 접근할 수 있도록 상기 제1단말기(예컨대, 300)가 제어할 수도 있고, 상기 보안 네트워크의 접속여부와는 관계없이 상기 제1단말기(예컨대, 300)가 보안 네트워크에 접속되어 있는 경우에 실행될 수 있는 애플리케이션이 상기 애플리케이션 관리정보에 의해 제어될 수도 있다. When the authentication of the user of the first terminal (e.g., 300) by the authentication unit 110 is made, the application management unit 140 notifies the first terminal (e.g., 300) to an allowed application that is allowed to access the secure network To the first terminal (e.g., 300). The first terminal (e.g., 300) may then control an application accessible to the secure network based on the transmitted application management information. For example, when connected to the secure network, only an authorized application may be executed, and an unauthorized application may be blocked from execution or a process of an application already executing may be forcibly terminated by the first terminal (e.g., 300) It can also be killed. Alternatively, only applications that access other devices via the secure network may be managed, even if they are connected to the secure network. That is, the first terminal (e.g., 300) may control only an authorized application to access another apparatus through the secure network, and the first terminal (e.g., 300 Is connected to the secure network may be controlled by the application management information.

상기 애플리케이션 관리정보 역시 화이트리스트 방식으로 허용 애플리케이션을 리스트업할 수도 있고, 블랙리스트 방식으로 차단 애플리케이션을 리스트업하도록 구현될 수도 있다. The application management information may also be list-up in a whitelist manner or list-up in a blacklist manner.

따라서, 상기 매니저 서버(100)에 의해 본 발명의 기술적 사상에 따른 기업 내 보안망 제공시스템은 강력한 보안채널을 통한 암호화 통신을 수행하면서도, 내부망에 존재하는 호스트들(단말기들(예컨대, 300~320))의 인증, 사용자별 접근권한의 제어, 및/또는 사용자별 허용 애플리케이션의 제어가 가능한 효과가 있다. 그리고 이러한 효과는 전술한 바와 같이 상기 기업의 내부망에 NAC 및 차세대방화벽을 구축한 효과를 제공할 수 있다. 또한, 각각의 단말기들(예컨대, 300~320)은 보안 네트워크 상에서는 암호화 통신을 하여야 하므로, 네트워크 미러링에 대한 강력한 보안대책이 되고, 내부망을 전술한 바와 같은 보안 네트워크와 기존의 물리적인 망(40)을 통한 통신을 같이 허용하는 경우에는 망 이중화 솔루션을 어느 정도 실현하는 효과도 존재할 수 있다.Therefore, the manager server 100 can provide a secure network providing company in accordance with the technical idea of the present invention while performing encryption communication through a strong secure channel, 320), control of access rights for each user, and / or control of permitted applications for each user. As described above, this effect can provide the effect of establishing the NAC and the next generation firewall in the internal network of the enterprise. In addition, since each of the terminals (for example, 300 to 320) must perform encrypted communication on the secure network, it is a strong security countermeasure against network mirroring, and the internal network is connected to the secure network ), There may be an effect of realizing the network duplication solution to some extent.

한편, 상술한 바와 같은 본 발명의 기술적 사상을 구현하기 위한 게이트웨이 서버(200)의 구성은 도 4에 도시된다. 또한, 내부망에 포함된 단말기의 구성은 도 5에 도시된다.Meanwhile, the configuration of the gateway server 200 for implementing the technical idea of the present invention as described above is shown in FIG. The configuration of the terminal included in the internal network is shown in Fig.

도 4는 본 발명의 실시 예에 따른 게이트웨이 서버의 개략적인 구성을 나타낸다. 또한, 도 5는 본 발명의 실시 예에 따른 내부 호스트에 설치되는 에이전트 시스템의 개략적인 구성을 나타낸다.4 shows a schematic configuration of a gateway server according to an embodiment of the present invention. 5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.

먼저 도 4를 참조하면, 본 발명의 실시 예에 따른 게이트웨이 서버(200)는 전술한 바와 같이 대량의 보안채널의 형성 및 형성된 보안채널을 통한 통신을 수행하기 위해 복수의 게이트웨이 장치들(예컨대, 210, 220)을 포함할 수 있다. 4, the gateway server 200 according to an exemplary embodiment of the present invention includes a plurality of gateway devices (for example, 210 , 220).

상기 게이트웨이 장치들(예컨대, 210, 220) 각각은 보안채널 형성부(211)를 포함할 수 있다. 상기 보안채널 형성부(211)는 전술한 바와 같이 상기 매니저 서버(100)의 보안채널 설정부(120)의 제어 하에 소정의 제1단말기(예컨대, 300)와 보안채널을 형성할 수 있다. 또한, 전술한 바와 같이 상기 보안채널 형성부(211)는 각각의 단말기들(예컨대, 300~320)별로 즉, 사용자별로 접속가능한 타장치들로만 접근을 허용할 수도 있다. 이를 위해 사용자별(단말기들(예컨대, 300~320)별)로 접근권한 정보를 상기 보안채널 설정부(120)로부터 수신하고, 수신된 접근권한 정보에 상응하도록 접근권한을 제어할 수 있다. Each of the gateway devices (e.g., 210 and 220) may include a secure channel forming unit 211. The secure channel forming unit 211 may form a secure channel with a first terminal (e.g., 300) under the control of the secure channel setting unit 120 of the manager server 100 as described above. Also, as described above, the secure channel forming unit 211 may allow access only to other terminals (e.g., 300-320), i.e., other devices connectable to each user. To this end, the access right information may be received from the secure channel setting unit 120 for each user (for each of the terminals (for example, 300 to 320)) and the access right may be controlled to correspond to the received access right information.

또한, 상기 보안채널 형성부(211)는 외부망에 위치한 외부 단말기(500)와도 보안채널을 형성할 수 있다. 그리고 상기 외부 단말기(500)의 접근권한에 대해서도 미리 또는 실시간으로 상기 보안채널 설정부(120)로부터 제어를 받아서 접근제어를 수행할 수도 있다. In addition, the secure channel forming unit 211 may form a secure channel with the external terminal 500 located in the external network. The access right of the external terminal 500 may also be controlled by receiving the control from the secure channel setting unit 120 in advance or in real time.

상기 보안채널 형성부(211)는 접근권한이 있는 두 장치들(예컨대, 300 및 310)간의 통신을 중계함으로써 상기 두 장치들이 자신을 통해 서로 다른 보안채널을 통한 통신을 수행하도록 할 수 있다. The secure channel forming unit 211 may relay the communication between the two authorized devices (for example, 300 and 310) to allow the two devices to perform communication through different secure channels through the two devices.

또한, 전술한 바와 같이 두 장치들(예컨대, 300 및 310)이 보안채널을 형성하는 게이트웨이 장치들(예컨대, 210, 220)이 서로 다른 경우에는 상기 보안채널 형성부(211)는 다른 게이트웨이 장치(예컨대, 220)에 포함된 보안채널 형성부와 보안채널을 형성할 수도 있다. 이러한 경우에는 3 개의 서로 다른 보안채널을 통해 상기 두 장치들(예컨대, 300 및 310)이 통신을 수행할 수도 있다.In addition, when the gateway apparatuses 210 and 220 forming the secure channel are different from each other (for example, 300 and 310) as described above, the secure channel forming unit 211 may transmit the secure channel to another gateway apparatus For example, the secure channel forming unit 220 may form a secure channel. In this case, the two devices (e.g., 300 and 310) may communicate through three different secure channels.

또한, 각각의 게이트웨이 장치들(210, 220)은 각각 UTM(Unified Threat Management)으로 구현될 수 있다. 따라서, 원래의 게이트웨이가 수행하여야 할 외부로부터 내부망을 보호하기 위한 방확벽 기능 뿐만 아니라, 침입탐지(또는 방지)(IPS, Intrusion Prevention System), URL 필터링 등의 기능을 더 수행할 수 있다. 그리고 이러한 기능들을 수행하기 위한 각각의 구성들 즉, 방화벽 제공부(212), 침입탐지부(213), URL 필터링부(214) 들이 상기 각각의 게이트웨이 장치들(210, 220)에 더 포함될 수 있다. 이외에도 구현 예에 따라, DDos 탐지기능을 위한 구성, 스팸 처리를 위한 구성 들이 상기 각각의 게이트웨이 장치들(210, 220)에 더 포함될 수 있음은 물론이다. 상기 보안채널 형성부(211)를 제외한 상기 게이트웨이 장치들(210, 220)에 포함되는 구성들(예컨대, 212~214 등)은 널리 공지된 구성이므로 본 명세서에서는 상세한 설명은 생략하도록 한다.In addition, each of the gateway devices 210 and 220 may be implemented as Unified Threat Management (UTM). Therefore, it is possible to further perform functions such as Intrusion Prevention System (IPS) and URL filtering, as well as a firewall function for protecting the internal network from the outside to be performed by the original gateway. Each of the components for performing these functions, that is, the firewall providing unit 212, the intrusion detecting unit 213, and the URL filtering unit 214 may be further included in each of the gateway devices 210 and 220 . In addition, it is needless to say that configurations for the DDoS detection function and configurations for the spam processing may be further included in the gateway devices 210 and 220 according to the embodiment. The configurations (for example, 212 to 214, etc.) included in the gateway devices 210 and 220 except for the secure channel forming unit 211 are widely known and will not be described in detail herein.

도 5를 참조하면, 내부망에 포함되는 단말기들(예컨대, 300~320) 각각에는 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템이 설치될 수 있다. 제1단말기(예컨대, 300)를 일 예로 들면, 상기 제1단말기(300)에는 상기 에이전트 시스템이 설치될 수 있다. 상기 에이전트 시스템은 본 발명의 기술적 사상을 구현하기 위해 상기 제1단말기(300)에 설치되는 소프트웨어 및 상기 제1단말기(300)의 하드웨어가 유기적으로 결합되어 구현되는 시스템을 의미할 수 있다.Referring to FIG. 5, each of the terminals (for example, 300 to 320) included in the internal network may be provided with a predetermined agent system for implementing the technical idea of the present invention. The first terminal 300 (e.g., 300) may include the agent system. The agent system may mean a system in which the software installed in the first terminal 300 and the hardware of the first terminal 300 are combined and implemented in order to implement the technical idea of the present invention.

상기 에이전트 시스템은 보안채널 형성모듈(310)을 포함할 수 있다. The agent system may include a secure channel forming module 310.

상기 보안채널 형성모듈(310)은 전술한 바와 같이 상기 게이트웨이 서버(200)에 포함되는 보안채널 형성부(211)와 보안채널을 형성할 수 있다. 전술한 상기 보안채널 형성부(211) 및 상기 보안채널 형성모듈(310)은 상기 매니저 서버(100)에 포함된 보안채널 설정부(120)의 제어하에 보안채널을 형성할 수 있다. 예컨대, 상기 보안채널 형성부(211) 및 상기 보안채널 형성모듈(310)은 서로 통신을 수행하여 VPN 터널링을 수행하고 VPN 채널을 형성할 수 있다.The secure channel forming module 310 may form a secure channel with the secure channel forming unit 211 included in the gateway server 200 as described above. The secure channel forming unit 211 and the secure channel forming module 310 may form a secure channel under the control of the secure channel setting unit 120 included in the manager server 100. [ For example, the secure channel forming unit 211 and the secure channel forming module 310 can communicate with each other to perform VPN tunneling and form a VPN channel.

또한, 상기 에이전트 시스템은 제어모듈(320)을 더 포함할 수 있다. In addition, the agent system may further include a control module 320.

상기 제어모듈(320)은 상기 매니저 서버(100)에 포함된 애플리케이션 관리부(140)의 제어하에 허용 애플리케이션을 관리하는 기능을 수행할 수 있다. 상기 제어모듈(320)은 허용 애플리케이션만이 상기 보안 네트워크에 접속하도록 제어할 수 있다. 구현 예에 따라서는, 상기 제1단말기(300)가 상기 보안 네트워크에 접속된 경우에는 상기 허용 애플리케이션만이 실행되도록 제어할 수도 있다. The control module 320 may perform a function of managing an allowed application under the control of the application management unit 140 included in the manager server 100. The control module 320 may control only the permitted applications to connect to the secure network. According to an embodiment, when the first terminal 300 is connected to the secure network, only the permitted application may be controlled to be executed.

또한, 상기 제어모듈(320)은 허용 애플리케이션이 상기 보안 네트워크를 통해 통신하는 트래픽량, 사용시간, 애플리케이션의 이름 등을 상기 애플리케이션 관리부(140)로 전송하여 상기 매니저 서버(100)가 보안 네트워크의 네트워크 모니터링을 수행하도록 할 수도 있다. 또한 상기 제어모듈(320)에 의해 차단되는 애플리케이션에 대한 정보(차단 애플리케이션의 이름, 실행위치, 사용시간 등의 로그정보)를 상기 매니저 서버(100)로 전송함으로써, 상기 매니저 서버(100)가 상기 보안 네트워크에서 실행요청되는 애플리케이션에 대한 전반적인 모니터링 및 관리를 수행하도록 할 수도 있다.In addition, the control module 320 transmits to the application management unit 140 the amount of traffic, usage time, application name, and the like, which the permitted application communicates through the secure network, Monitoring may be performed. The manager server 100 transmits the information about the application blocked by the control module 320 (log information such as the name of the blocking application, the execution position and the use time) to the manager server 100, It is possible to perform overall monitoring and management of an application requested to be executed in the secure network.

도 6은 본 발명의 일 실시 예에 따른 기업 내 보안망 제공방법을 설명하기 위한 데이터 플로우를 나타낸다.FIG. 6 shows a data flow for explaining a security network providing method according to an embodiment of the present invention.

도 6을 참조하면, 기업의 내부망에 존재하는 소정의 제1단말기(300)는 매니저 서버(100)로 인증을 요청할 수 있다(S100). 그러면, 상기 매니저 서버(100)는 인증을 수행할 수 있다(S110). 인증결과 인증이 성공하면, 상기 매니저 서버(100)는 상기 제1단말기(300)가 보안채널을 형성할 게이트웨이 장치를 복수의 게이트웨이 장치들간의 로드를 고려하여 선택할 수도 있다(S120). 그러면, 선택된 게이트웨이 장치와 상기 제1단말기(300)로 전송할 채널 설정정보를 상기 매니저 서버(100)는 동적으로 생성하고(S130), 생성된 채널 설정정보를 상기 제1단말기(300) 및 상기 선택된 게이트웨이 장치(또는 게이트웨이 서버(200))로 전송할 수 있다(S140, S150). Referring to FIG. 6, a predetermined first terminal 300 existing in an internal network of an enterprise can request authentication to the manager server 100 (S100). Then, the manager server 100 can perform authentication (S110). If authentication of the authentication result is successful, the manager server 100 may select a gateway device in which the first terminal 300 forms a secure channel considering a load between a plurality of gateway devices (S120). The manager server 100 dynamically generates channel setting information to be transmitted to the selected gateway device and the first terminal 300 in step S130 and transmits the generated channel setting information to the first terminal 300 and the first terminal 300, To the gateway device (or the gateway server 200) (S140, S150).

그러면, 채널 설정정보를 각각 수신한 상기 제1단말기(300)와 상기 선택된 게이트웨이 장치(또는 게이트웨이 서버(200))는 수신된 채널 설정정보에 기초하여 보안채널을 형성할 수 있다(S160).Then, the first terminal 300 and the selected gateway device (or the gateway server 200) receiving the channel setting information can form a secure channel based on the received channel setting information (S160).

도 7은 본 발명의 실시 예에 따른 기업 내 보안망 제공방법에 따라 접근제어가 수행되는 데이터 플로우를 나타낸다.FIG. 7 shows a data flow in which access control is performed according to a security network providing method according to an embodiment of the present invention.

도 7을 참조하면, 상기 제1단말기(300)의 인증이 성공하면, 상기 매니저 서버(100)는 상기 제1단말기(300)에 상응하는 접근권한 정보를 생성할 수 있다(S200). 또한 상기 게이트웨이 서버(200)와 상기 제1단말기(300)가 통신을 수행할 타장치 역시 미리 도 6에 도시된 바와 같은 방식으로 소정의 보안채널이 형성된 상태일 수 있다(S200-1).Referring to FIG. 7, if authentication of the first terminal 300 is successful, the manager server 100 may generate the access right information corresponding to the first terminal 300 (S200). In addition, the gateway server 200 and other devices to which the first terminal 300 can communicate may have a predetermined secure channel formed in advance as shown in FIG. 6 (S200-1).

그러면, 상기 매니저 서버(100)는 생성한 상기 접근권한 정보를 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)로 전송할 수 있다(S210).Then, the manager server 100 can transmit the generated access right information to the gateway server 200 (or the selected gateway device) (S210).

그리고, 도 6에서 설명한 바와 같이 상기 제1단말기(300)와 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)가 보안채널이 형성된 후(S220), 상기 제1단말기(300)는 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)로 상기 타장치에 대한 접근요청을 할 수 있다(S230). 그러면, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)는 과정(S210)을 통해 수신한 상기 접근권한 정보에 기초하여 상기 제1단말기(300)가 상기 타장치에 접근할 권한이 있는지 여부 즉, 상기 제1단말기(300)의 상기 타장치로의 접근의 허용여부를 판단한 수 있다(S240). 판단결과 허용된다고 판단되면, 상기 게이트웨이 서버(200)는 상기 제1단말기(300)와 상기 타장치간의 통신을 중계함으로써, 결과적으로는 상기 제1단말기(300)와 상기 타장치간에 보안채널이 형성되는 효과를 가져올 수 있다(S250).6, after the first terminal 300 and the gateway server 200 (or the selected gateway device) establish a secure channel (S220), the first terminal 300 transmits the secure channel to the gateway server 200 200) (or the selected gateway device) in step S230. Then, the gateway server 200 (or the selected gateway device) determines whether the first terminal 300 is authorized to access the other device based on the access right information received in step S210, that is, It may be determined whether the first terminal 300 is allowed to access the other apparatus (S240). The gateway server 200 relays the communication between the first terminal 300 and the other device and consequently forms a secure channel between the first terminal 300 and the other device (S250).

본 발명의 실시 예에 따른 기업 내 보안망 제공방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The security network providing method according to the embodiment of the present invention can be implemented as a computer readable code on a computer readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, optical data storage, and the like. In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner. And functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers skilled in the art to which the present invention pertains.

본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (10)

기업 내의 물리적인 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공시스템에 있어서,
상기 내부 망과 외부 망 사이의 통신을 중개하며, 상기 제1단말기와 상기 내부 망에 존재하는 타장치 간의 통신을 위해 상기 제1단말기와 제1보안 채널을 형성하기 위한 게이트웨이 서버; 및
상기 제1보안 채널의 설정을 위해 상기 게이트웨이 서버 및 상기 제1단말기를 제어하기 위한 매니저 서버를 포함하며,
상기 게이트웨이 서버는,
상기 타장치와 제2보안채널을 형성하며,
상기 제1단말기와 상기 타장치는,
상기 물리적인 내부망을 통한 통신 또는 제1보안채널과 상기 제2보안채널을 통한 통신 중 어느 하나를 선택적으로 이용하여 통신할 수 있는 것을 특징으로 하는 기업 내 보안망 제공시스템.
There is provided a security network providing system for providing a security network to a plurality of terminals including a first terminal connected to a physical internal network in an enterprise,
A gateway server for mediating communication between the internal network and the external network and forming a first security channel with the first terminal for communication between the first terminal and another device existing in the internal network; And
And a manager server for controlling the gateway server and the first terminal for setting the first secure channel,
The gateway server comprises:
Forming a second secure channel with the other device,
Wherein the first terminal and the other apparatus,
Wherein the communication unit is capable of selectively communicating using either the communication through the physical internal network or the communication through the first secure channel and the second secure channel.
제1항에 있어서, 상기 매니저 서버는,
상기 제1단말기의 사용자를 인증하기 위한 인증부; 및
상기 제1단말기의 사용자가 인증된 경우 상기 제1보안 채널을 위한 채널 설정 정보를 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하기 위한 보안채널 설정부를 포함하는 기업 내 보안망 제공시스템.
The method according to claim 1,
An authentication unit for authenticating a user of the first terminal; And
And a security channel setting unit for generating channel setting information for the first secure channel and transmitting the generated channel setting information to the first terminal and the gateway server when the user of the first terminal is authenticated.
삭제delete 삭제delete 제2항에 있어서, 상기 매니저 서버는,
상기 제1단말기를 통해 접근할 수 있는 상기 타장치에 대한 정보를 특정하기 위한 접근권한 정보를 설정하는 접근제어부를 더 포함하며,
상기 접근제어부는,
상기 게이트웨이 서버로 상기 제1단말기에 상응하는 상기 접근권한 정보를 전송하여, 상기 게이트웨이 서버가 상기 제1단말기가 상기 접근권한정보에 상응하도록 상기 타장치로의 접근을 선택적으로 허용하도록 제어하는 것을 특징으로 하는 기업 내 보안망 제공시스템.
3. The system of claim 2, wherein the manager server comprises:
Further comprising an access control unit for setting access right information for specifying information about the other device accessible through the first terminal,
The access control unit,
The gateway server transmits the access right information corresponding to the first terminal to the gateway server so that the gateway server selectively controls access to the other terminal so that the first terminal corresponds to the access authority information To provide a security network in the enterprise.
제2항에 있어서, 상기 매니저 서버는,
상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 설정하는 애플리케이션 관리부를 더 포함하며,
상기 애플리케이션 관리부는,
상기 애플리케이션 관리정보를 상기 제1단말기로 전송하여, 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 것을 특징으로 하는 기업 내 보안망 제공시스템.
3. The system of claim 2, wherein the manager server comprises:
Further comprising an application management unit configured to set application management information for specifying information on a permitted application that can be connected to the secure network among applications installed in the first terminal,
The application management unit,
And transmits the application management information to the first terminal, and controls the first terminal to selectively allow only the permitted application to access the secure network.
삭제delete 기업 내의 물리적인 내부망에 존재하는 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공방법에 있어서,
상기 제1단말기가 매니저 서버를 통해 사용자 인증을 수행하는 단계;
인증이 성공하면 상기 제1단말기가 상기 내부 망과 외부 망 사이의 통신을 중개하는 게이트웨이 서버와 제1보안 채널을 형성하는 단계; 및
상기 제1단말기가 상기 제1보안 채널과 상기 게이트웨이 서버와 상기 내부망에 존재하는 타장치 간에 형성된 제2보안 채널을 통해 상기 타장치와 통신을 수행하는 단계를 포함하며,
상기 제1단말기와 상기 타장치는,
선택적으로 상기 물리적인 내부망을 통해서도 통신할 수 있는 것을 특징으로 하는 기업 내 보안망 제공방법.
There is provided a method for providing a security network to a plurality of terminals including a first terminal existing in a physical internal network of an enterprise,
Performing the user authentication through the manager server by the first terminal;
If the authentication is successful, the first terminal forms a first secure channel with a gateway server that mediates communication between the internal network and the external network; And
The first terminal performing communication with the other device through a second secure channel formed between the first secure channel, the gateway server and another device existing in the internal network,
Wherein the first terminal and the other apparatus,
And selectively communicating with the external network through the physical internal network.
기업 내의 물리적인 내부망에 존재하는 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공방법에 있어서,
상기 내부 망과 외부 망 사이의 통신을 중개하는 게이트웨이 서버가 상기 제1단말기와 제1보안채널을 형성하는 단계;
상기 게이트웨이 서버가 상기 내부망에 존재하며 상기 제1단말기에 의해 요청되는 타장치와 제2보안채널을 형성하는 단계; 및
상기 게이트웨이 서버가 상기 제1보안채널과 상기 제2보안채널을 통해 상기 제1단말기와 상기 타장치간의 통신을 중개하는 단계를 포함하며,
상기 제1단말기와 상기 타장치는,
선택적으로 상기 물리적인 내부망을 통해서도 통신할 수 있는 것을 특징으로 하는 기업 내 보안망 제공방법.
There is provided a method for providing a security network to a plurality of terminals including a first terminal existing in a physical internal network in an enterprise,
A gateway server for mediating communication between the internal network and the external network forms a first secure channel with the first terminal;
The gateway server exists in the internal network and forms a second secure channel with another device requested by the first terminal; And
Wherein the gateway server mediates communication between the first terminal and the other device via the first secure channel and the second secure channel,
Wherein the first terminal and the other apparatus,
And selectively communicating with the external network through the physical internal network.
제8항 또는 제9항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독가능한 기록매체.

A computer-readable recording medium recording a program for performing the method according to any one of claims 8 to 9.

KR1020150019412A 2015-02-09 2015-02-09 System, method and computer readable recording medium for providing secure network in enterprise KR101818508B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150019412A KR101818508B1 (en) 2015-02-09 2015-02-09 System, method and computer readable recording medium for providing secure network in enterprise

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150019412A KR101818508B1 (en) 2015-02-09 2015-02-09 System, method and computer readable recording medium for providing secure network in enterprise

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020130012922A Division KR20140100101A (en) 2013-02-05 2013-02-05 System and method for providing secure network in enterprise

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020150115585A Division KR20150114921A (en) 2015-08-17 2015-08-17 System and method for providing secure network in enterprise

Publications (2)

Publication Number Publication Date
KR20150041613A KR20150041613A (en) 2015-04-16
KR101818508B1 true KR101818508B1 (en) 2018-03-09

Family

ID=53035039

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150019412A KR101818508B1 (en) 2015-02-09 2015-02-09 System, method and computer readable recording medium for providing secure network in enterprise

Country Status (1)

Country Link
KR (1) KR101818508B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230037183A (en) 2021-09-09 2023-03-16 현대중공업 주식회사 The system that supports on-line access to remotly located equipment/products

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086240B (en) * 2021-03-12 2024-05-14 中国电信股份有限公司 Network traffic adjusting method, device and network system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
V. Gupta 외 1명, KSSL: Experiments in Wireless Internet Security, Sun Microsystems, SMLI TR-2001-103 (2001.11.)*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230037183A (en) 2021-09-09 2023-03-16 현대중공업 주식회사 The system that supports on-line access to remotly located equipment/products

Also Published As

Publication number Publication date
KR20150041613A (en) 2015-04-16

Similar Documents

Publication Publication Date Title
KR101681504B1 (en) Hardware-based device authentication
US7703126B2 (en) Hierarchical trust based posture reporting and policy enforcement
Ertaul et al. Security Challenges in Cloud Computing.
US8959334B2 (en) Secure network architecture
CN114598540B (en) Access control system, method, device and storage medium
KR101143847B1 (en) Network security apparatus and method thereof
US20080282080A1 (en) Method and apparatus for adapting a communication network according to information provided by a trusted client
US11595385B2 (en) Secure controlled access to protected resources
CN115001870B (en) Information security protection system, method and storage medium
KR20050026624A (en) Integration security system and method of pc using secure policy network
US20110023088A1 (en) Flow-based dynamic access control system and method
KR20150114921A (en) System and method for providing secure network in enterprise
KR101818508B1 (en) System, method and computer readable recording medium for providing secure network in enterprise
KR101881061B1 (en) 2-way communication apparatus capable of changing communication mode and method thereof
Miloslavskaya et al. Ensuring information security for internet of things
CN106453336B (en) Method for internal network to actively provide external network host calling service
Ogunnaike et al. Toward consumer-friendly security in smart environments
Baugher et al. Home-network threats and access controls
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
EP2090073B1 (en) Secure network architecture
KR101175667B1 (en) Network access management method for user terminal using firewall
KR20140100101A (en) System and method for providing secure network in enterprise
Wells Better practices for IoT smart home security
Tr Principles and practices for securing software-defined networks
Datta Vulnerabilities of smart homes

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
A107 Divisional application of patent
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2016101001013; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20160222

Effective date: 20170907

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)