KR101908428B1 - 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템 - Google Patents

가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템 Download PDF

Info

Publication number
KR101908428B1
KR101908428B1 KR1020160104628A KR20160104628A KR101908428B1 KR 101908428 B1 KR101908428 B1 KR 101908428B1 KR 1020160104628 A KR1020160104628 A KR 1020160104628A KR 20160104628 A KR20160104628 A KR 20160104628A KR 101908428 B1 KR101908428 B1 KR 101908428B1
Authority
KR
South Korea
Prior art keywords
connection
private network
virtual private
connection request
connected device
Prior art date
Application number
KR1020160104628A
Other languages
English (en)
Other versions
KR20180020392A (ko
Inventor
주갑수
Original Assignee
주식회사 엑스게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스게이트 filed Critical 주식회사 엑스게이트
Priority to KR1020160104628A priority Critical patent/KR101908428B1/ko
Publication of KR20180020392A publication Critical patent/KR20180020392A/ko
Application granted granted Critical
Publication of KR101908428B1 publication Critical patent/KR101908428B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 가상사설망을 통해 접속하는 기기를 차단하는 방법은 가상사설망을 통해 데이터 송수신을 위한 연결요청을 수신하는 단계 및 연결요청에 포함된 접속 기기의 식별자와 부팅 시각을 이용하여 접속 기기의 차단 여부를 결정하는 단계를 포함하고, 차단 여부의 결정 단계는 가상사설망을 통해 접속될 수 있는 기기를 관리하는 접속 리스트에 기록된 접속 기기의 부팅 시각과 연결요청의 부팅 시각의 차이에 적어도 기초하여 차단 여부를 결정하는 것을 특징으로 한다.

Description

가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템{METHOD, CENTER APPARATUS AND SYSTEM FOR BLOCKING ACCESSING DEVICE THROUGH VIRTUAL PRIVATE NETWORK}
본 발명은 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템에 관한 것으로서, 구체적으로는 가상사설망으로의 액세스가 허가된 접속 기기 중 도난 분실 등의 가능성이 있는 접속 기기에 의한 가상사설망으로의 접속을 차단할 수 있는, 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템에 관한 것이다.
가상사설망(Virtual Private Network, VPN)이 알려져 있다. 가상사설망은 인터넷망과 같은 공중망에 사설망을 구축하여 이용자가 사설구내망과 같이 또는 전용망과 같이 이용할 수 있는 네트워크이다.
가상사설망은 전용망을 이용하는 것과 같은 효과를 이용자에게 제공함으로써 회선 비용을 크게 절감할 수 있는 서비스이고 다양한 업체에서 활용하고 있다. 가상사설망은 암호화 기법과 터널링 기법을 이용하여 연결된 기기(장치) 간에 안전하게 (제어) 데이터를 송수신할 수 있다.
가상사설망은 예를 들어 PPTP(Point-to-Point Tunneling Protocol), L2TP( Layer 2 Tunneling Protocol), SSTP(Simple Symmetric Transmission Protocol) 등을 통해 장치 간에 1 대 1(N) 방식으로 데이터를 전송하여 다른 시스템이나 인터넷으로부터의 보안을 유지할 수 있다.
가상사설망은 이와 같은 터널링 프로토콜을 통해 불안정하고 보안에 노출된 공중망에서 기업망과 같은 안전한 망과 그에 따른 서비스를 제공할 수 있다.
가상사설망의 확산에 따라 최근에는 CCTV나 ATM 기기 등과 같이 사람이 없는 무인 지점에 VPN 장치를 적용하는 사례가 늘어나고 있고 무인 지점의 VPN 장치는 무인 관리의 특성으로 인해 자동으로 가상사설망에 접속될 수 있다.
사람이 관리하는 지점뿐 아니라 무인 지점의 VPN 장치는 외부에 쉽게 노출되고 도난의 가능성이 있으며, 이러한 VPN 장치가 도난되는 경우 악의적인 목적을 가지는 비인가된 사용자가 공중망을 통해 내부망에 접속할 수 있다.
이와 같은 문제를 해소하기 위해, 도난된 VPN 장치를 통한 가상사설망 접속을 차단할 수 있도록 하는, 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템이 필요하다.
본 발명은, 상술한 문제점을 해결하기 위해서 안출한 것으로서, 가상사설망의 연결요청에 포함된 접속 기기의 부팅 시각을 적어도 활용하여 접속 기기의 연결 허용 여부를 판단하고 그에 따라 도난 가능성이 있는 접속 기기를 차단할 수 있는, 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템을 제공하는 데 그 목적이 있다.
또한, 본 발명은 접속 기기에 고정적으로 획득 가능한 시리얼 번호와 전원의 연결 및 분리를 인식 가능한 접속 기기의 부팅 시각을 적어도 활용하여 접속 기기를 인증하고 이상 여부를 판단하여 그에 따라 접속 기기를 차단할 수 있는 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템을 제공하는 데 그 목적이 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 양상에 따른 가상사설망을 통해 접속하는 기기를 차단하는 방법은 센터 장치가 가상사설망을 통해 데이터 송수신을 위한 연결요청을 수신하는 단계; 및 센터 장치가 연결요청에 포함된 접속 기기의 식별자와 부팅 시각을 이용하여 상기 접속 기기의 차단 여부를 결정하는 단계;를 포함하고, 상기 차단 여부의 결정 단계는 가상사설망을 통해 접속될 수 있는 기기를 관리하는 접속 리스트에 기록된 접속 기기의 부팅 시각과 상기 연결요청의 부팅 시각의 차이에 기초하여 차단 여부를 결정하는 것을 특징으로 한다.
상기한 차단 방법에 있어서, 상기 차단 여부의 결정 단계는 상기 접속 리스트에 기록된 접속 기기의 부팅 시각과 상기 연결요청의 부팅 시각이 다르고 이전 연결의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 이상의 차이가 발생하는 경우 접속 기기의 차단을 결정하고, 상기 차단 방법은, 차단 결정에 따라 센터 장치가 상기 접속 기기의 식별자를 포함하는 차단 아이템을 생성하여 차단 리스트에 등록하는 단계;를 더 포함한다.
상기한 차단 방법에 있어서, 상기 차단 여부의 결정 단계 이후에, 상기 센터 장치가 상기 접속 기기와의 연결 종료를 감지하고 종료 시각을 상기 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 기록하는 단계;를 더 포함하고, 복수 회 수행되는 차단 여부의 결정 단계 중 상기 접속 아이템 기록 단계 이후에 수행되는 상기 차단 여부의 결정 단계는 상기 접속 리스트의 접속 아이템에 기록된 부팅 시각과 상기 연결요청의 부팅 시각이 동일하거나 상기 접속 아이템의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 미만의 차이가 발생하는 경우 접속 기기와의 연결을 결정한다.
상기한 차단 방법에 있어서, 상기 연결요청의 수신 단계 이후에, 상기 센터 장치는 상기 접속 리스트의 검색을 통해 신규의 연결요청인지를 판단하고 신규의 연결요청인 경우 상기 연결요청의 접속 기기의 식별자와 부팅 시각을 포함하는 접속 아이템을 생성하고 상기 접속 리스트에 등록하는 단계;를 더 포함하며, 상기 접속 기기의 식별자는 접속 기기에 고정되어 저장되는 시리얼 번호이다.
상기한 차단 방법에 있어서, 차단된 접속 기기로부터 지정된 횟수 이상의 연결요청이 시도된 경우 상기 센터 장치가 차단된 접속 기기로부터의 연결요청의 발생을 나타내는 메시지를 관리자 기기로 출력하는 단계;를 더 포함한다.
상기한 차단 방법에 있어서, 가상사설망으로의 연결이 차단될 하나 이상의 접속 기기를 식별 가능한 차단 리스트를 관리자 기기로 출력하는 단계; 관리자 기기로부터 차단 아이템의 선택을 수신하는 단계; 및 선택된 차단 아이템을 차단 리스트로부터 삭제하는 단계;를 더 포함한다.
본 발명의 일 양상에 따른 가상사설망을 통해 접속하는 기기를 차단하는 센터 장치는 가상사설망을 통해 데이터 송수신을 위한 연결요청을 수신하는 통신부; 및 연결요청에 포함된 접속 기기의 식별자와 부팅 시각을 이용하여 상기 접속 기기의 차단 여부를 결정하는 제어부;를 포함하고, 상기 제어부는, 차단 여부의 결정을 위해, 가상사설망을 통해 접속될 수 있는 기기를 관리하는 접속 리스트에 기록된 접속 기기의 부팅 시각과 상기 연결요청의 부팅 시각의 차이에 기초하여 차단 여부를 결정하는 것을 특징으로 한다.
상기한 센터 장치에 있어서, 가상사설망으로의 연결이 차단될 하나 이상의 접속 기기를 식별 가능한 차단 리스트와 상기 가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하고, 상기 제어부는, 차단 여부의 결정을 위해, 상기 접속 리스트에 기록된 접속 기기의 부팅 시각과 상기 연결요청의 부팅 시각이 다르고 이전 연결의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 이상의 차이가 발생하는 경우 연결요청한 접속 기기의 차단을 결정하고 차단 결정된 상기 접속 기기의 식별자를 포함하는 차단 아이템을 생성하여 상기 차단 리스트에 저장한다.
상기한 센터 장치에 있어서, 가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하고, 상기 제어부는 차단 여부의 결정에 후속하여 연결된 상기 접속 기기와의 연결 종료를 감지하고 종료 시각을 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 기록하고, 상기 제어부는, 상기 접속 아이템의 기록 이후의 연결요청에 따른 차단 여부의 결정을 위해, 상기 접속 리스트의 접속 아이템에 기록된 부팅 시각과 상기 연결요청의 부팅 시각이 동일하거나 상기 접속 아이템의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 미만의 차이가 발생하는 경우 접속 기기와의 연결을 결정한다.
상기한 센터 장치에 있어서, 가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하고, 상기 제어부는 상기 접속 리스트의 검색을 통해 통신부를 통해 수신된 연결요청이 신규의 연결요청인지를 판단하고 신규의 연결요청인 경우 상기 연결요청의 접속 기기의 식별자와 부팅 시각을 포함하는 접속 아이템을 생성하고 상기 접속 리스트에 저장하며, 상기 접속 기기의 식별자는 접속 기기에 고정되어 저장되는 시리얼 번호이다.
상기한 센터 장치에 있어서, 메시지를 출력하는 출력부;를 더 포함하고, 상기 제어부는 차단된 접속 기기로부터 지정된 횟수 이상의 연결요청이 시도된 경우 차단된 접속 기기로부터의 연결요청의 발생을 나타내는 메시지를 상기 출력부 또는 상기 통신부를 통해 출력한다.
본 발명의 일 양상에 따른 가상사설망을 통해 접속하는 기기를 차단하는 시스템은 상기한 센터 장치; 및 상기 센터 장치에 가상사설망을 통해 접속할 수 있는 복수의 접속 기기;를 포함하는 것을 특징으로 한다.
상기와 같은 본 발명에 따른 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템은 가상사설망의 연결요청에 포함된 접속 기기의 부팅 시각을 활용하여 접속 기기의 연결 허용 여부를 판단하고 그에 따라 도난 가능성이 있는 접속 기기를 차단할 수 있는 효과가 있다.
또한, 상기와 같은 본 발명에 따른 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템은 접속 기기에 고정적으로 획득 가능한 시리얼 번호와 전원의 연결 및 분리를 인식 가능한 접속 기기의 부팅 시각을 활용하여 접속 기기를 인증하고 이상 여부를 판단하여 그에 따라 접속 기기를 차단할 수 있는 효과가 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 차단 시스템 내에 구성되는 장치 간의 연결구성의 예를 도시한 도면이다.
도 2는 센터 장치의 예시적인 블록도를 도시한 도면이다.
도 3은 분실 등에 의해 접속이 차단되는 예시적인 처리 과정을 도시한 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술 되어 있는 상세한 설명을 통하여 더욱 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하기로 한다.
도 1은 차단 시스템 내에 구성되는 장치 간의 연결구성의 예를 도시한 도면이다.
도 1의 차단 시스템은 가상사설망을 통해 접속하는 기기를 차단할 수 있도록 구성되고 특히 접속 기기(100)에서 획득 가능한 고정된 정보나 전원 제공/차단을 반영하는 정보를 이용하여 차단이 이루어지도록 구성된다.
도 1에서 알 수 있는 바와 같이, 차단 시스템은 하나 이상의 접속 기기(100), 센터 장치(200) 및 접속 기기(100)와 센터 장치(200) 사이의 데이터를 송수신할 수 있는 통신망(300)을 포함한다.
차단 시스템은 도난 등의 소지가 있는 접속 기기(100)를 인식하여 해당 접속 기기(100)의 가상사설망으로의 접속을 차단할 뿐 아니라 지정된 서비스를 시스템 사용자에게 제공할 수 있다. 예를 들어, 차단 시스템은 CCTV 모니터링 및 관리 서비스를 제공하거나 은행의 ATM기를 통한 거래를 제공하거나 기업체 내에서 전용으로 사용 가능한 기업망에서의 서비스를 제공할 수 있다. 이와 같이 차단 시스템은 적어도 가상사설망을 제공하고 이 가상사설망 상에서 제공되는 임의의 서비스를 시스템 사용자에게 제공할 수 있다.
접속 기기(100)는 가상사설망을 통해 센터 장치(200)에 접속할 수 있는 기기이다. 차단 시스템의 제공 서비스에 따라 접속 기기(100)는 그 유형이 달라질 수 있다. 접속 기기(100)는 예를 들어 전용 VPN 장치이거나, VPN 기능이 포함된 CCTV 또는 ATM 기기이거나 무인발권기이거나 가상사설망에 접속할 수 있는 노트북, 핸드폰(스마트폰), 개인용 PC 등일 수 있다. 접속 기기(100)는 적어도 통신망(300)을 통해 센터 장치(200)에 접속하여 각종 데이터를 송수신할 수 있다. 접속 기기(100)는 사용자에 의해 직접적인 관리가 불가능한 무인지점에 설치되는 기기일 수 있다.
접속 기기(100)는 접속 기기(100)의 식별자와 부팅 프로그램과 시스템상에서 제공되는 서비스를 구현하기 위한 서비스 프로그램을, 또는 이들 기능이 함께 포함된 프로그램을 접속 기기(100) 내부의 비휘발성 메모리, 하드디스크 등과 같은 대용량 저장매체에 저장한다. 접속 기기(100)는 또한 부팅 프로그램과 서비스 프로그램을 수행하기 위한 프로세서를 포함한다. 프로세서는 예를 들어 CPU이거나 MPU 등일 수 있다.
접속 기기(100)의 프로세서는 전원이 인가됨에 따라 부팅 프로그램을 로딩하여 부팅 시퀀스를 진행하고 이후 서비스 프로그램을 로딩하여 가상사설망을 통해 센터 장치(200)에 접속하고 설정된 서비스를 사용자에게 제공할 수 있다.
접속 기기(100)에 전원이 인가됨에 따라, 접속 기기(100)의 프로세서는 부팅 프로그램이나 서비스 프로그램을 통해 부팅 시각과 접속 기기(100)의 식별자를 획득 가능하다. 부팅 시각은 부팅시작 시각을 나타내거나 부팅종료 시각을 나타낼 수 있고 부팅 프로그램에 의해 설정되거나 서비스 프로그램에 의해 설정될 수 있다. 접속 기기(100)의 식별자는 비휘발성 메모리나 하드디스크 등에 저장되고 접속 기기(100)를 다른 접속 기기(100)와 식별할 수 있도록 할당되는 시리얼 번호일 수 있다. 이러한 시리얼 번호는 접속 기기(100)의 제조시나 무인지점 등에 설치시에 입력되거나 설정될 수 있다.
접속 기기(100)는 가상사설망에 연결될 수 있다. 예를 들어 접속 기기(100)는 부팅이 진행된 후에 서비스 프로그램에 의해 가상사설망에 연결되기 위한 연결요청을 생성하고 생성된 연결요청을 통신망(300)을 통해 센터 장치(200)로 전송할 수 있다.
전송되는 연결요청은 접속 기기(100)의 내부에 저장된 각종 데이터나 정보를 포함하는 데 바람직하게는 적어도 부팅 시각과 접속 기기(100)의 식별자(예를 들어 시리얼 번호)를 포함하고 그 외 IP 주소 등을 더 포함할 수 있다.
접속 기기(100)는 연결요청에 따른 응답을 수신할 수 있고 이후 암호화에 이용되는 키를 센터 장치(200)와 교환하고 교환된 키를 이용하여 설정된 터널을 통해 데이터를 안전하게 송수신할 수 있다.
이와 같이 복수의 접속 기기(100) 각각은 연결요청을 통해 센터 장치(200)에 접속할 수 있고 각종 데이터를 가상사설망을 통해 송수신할 수 있다.
센터 장치(200)는 가상사설망을 통해 접속 기기(100)와 데이터를 송수신할 수 있다. 센터 장치(200)는 접속 기기(100)의 연결의 허용 여부를 결정할 수 있고 연결 이후 접속 기기(100)를 통해 각종 서비스를 시스템 사용자에게 제공할 수 있다.
센터 장치(200)는 적어도 접속 기기(100)에서 접속 기기(100)의 동작과 접속 기기(100)의 생산이나 설치를 통해서 직접 추출 가능한 각종 정보를 활용하여 연결요청한 접속 기기(100)의 연결 허용 또는 연결 차단을 결정할 수 있다.
센터 장치(200)는 각종 프로토콜(PPTP, L2TP, SSTP 등)을 통해서 가상사설망을 구성할 수 있고 가상사설망을 통해서 접속 기기(100)와 데이터를 송수신할 수 있도록 구성된다.
센터 장치(200)에 관련해서는 도 2 및 3을 통해서 좀 더 상세히 살펴보도록 한다.
통신망(300)은 복수의 접속 기기(100)와 센터 장치(200)에 연결되어 상태 데이터나 제어 데이터 등을 송수신 가능토록 한다. 통신망(300)은 인터넷망과 같은 공중망을 포함하고 나아가 전용망을 더 포함할 수 있다. 통신망(300)은 가상사설망으로 이용될 수 있고 각각의 접속 기기(100)나 센터 장치(200)는 약속된 암호화 키와 복호화 키를 이용하여 데이터(상태나 제어)를 안전하게 전송할 수 있다.
도 2는 센터 장치(200)의 예시적인 블록도를 도시한 도면이다.
도 2에 따르면, 센터 장치(200)는 통신부(201), 저장부(203), 입력부(205), 출력부(207), 연결부(209) 및 제어부(211)를 포함한다. 도 2는 바람직하게는 기능 블록도를 나타내며 대응하는 하드웨어 블록을 각 기능 블록들은 구비한다. 도 2의 센터 장치(200)는 다양한 하드웨어를 이용하여 구성될 수 있다. 예를 들어 센터 장치(200)는 하나 이상의 PC, 워크스테이션 및/또는 메인 프레임 등을 이용하여 구성될 수 있다. 도 2에 도시되지 않은 다른 블록들이 설계 변형에 따라 이 블록도에 더 포함될 수도 있다.
센터 장치(200)는 복수의 접속 기기(100)에 연결되어 복수의 접속 기기(100)를 관리할 수 있는 서버로서 동작할 수 있다.
통신부(201)는 통신망(300)을 통해 각종 데이터를 송수신한다. 통신부(201)는 센터 장치(200)에 구비된 유선랜 칩셋 등을 통해 통신망(300)에 연결되고 각종 통신 패킷을 수신하고 수신된 통신 패킷을 제어부(211)로 전달한다. 통신부(201)는 제어부(211)로부터 수신된 통신 패킷을 통신망(300)으로 전송할 수도 있다.
통신부(201)를 통해 송수신되는 통신 패킷은 바람직하게는 IP 레이어 이상의 프로토콜에 따른 통신 패킷일 수 있고 접속 기기(100)와 센터 장치(200) 사이에 구축된 가상사설망을 통해 송수신되는 데이터를 나타내거나 포함하는 통신 패킷일 수 있다.
이와 같이, 통신부(201)는 통신망(300)의 가상사설망을 통해 각종 상태, 제어 데이터 등을 수신하고 송신할 수 있도록 구성된다. 예를 들어 통신부(201)는 임의의 접속 기기(100)로부터 연결요청을 나타내는 통신 패킷을 수신하고 수신된 연결요청(의 통신 패킷)을 제어부(211)로 전달할 수 있다.
또한, 통신부(201)는 암호화와 복호화에 이용될 암호화 키 및 복호화 키를 제어부(211)와 접속 기기(100) 사이에서 송신, 수신 또는 설정할 수 있고 암호화가 된 통신 패킷을 가설사설망을 통해 접속 기기(100)에 송신하고 접속 기기(100)로부터 수신하여 이를 제어부(211)로 전달할 수 있다. 또한, 통신부(201)는 가설사설망 상에서 접속 기기(100)의 각종 상태를 나타내는 통신 패킷을 수신하고 이를 제어부(211)로 전달할 수 있다. 또한, 통신부(201)는 연결요청 등의 요청에 대응한 응답(의 통신 패킷)을 제어부(211)로부터 수신하여 이를 요청한 접속 기기(100)로 전송 가능하다.
저장부(203)는 휘발성 메모리, 비휘발성 메모리 및/또는 하드디스크 등의 대용량 저장 매체로 구성되거나 포함하여 각종 데이터와 프로그램을 저장한다. 저장부(203)는 제어부(211)에서 이용가능하고 접속 기기(100)의 차단을 제어할 수 있는 차단제어 프로그램을 저장한다. 또한, 저장부(203)는 차단제어 프로그램에서 이용 가능한 각종 리스트를 저장한다.
저장부(203)는 가상사설망을 통해 접속될 수 있는 접속 기기(100)를 식별할 수 있도록 구성된 접속 리스트를 저장한다. 접속 리스트는 복수의 접속 아이템(item)으로 구성되고 각각의 접속 아이템은 접속 기기(100)를 식별할 수 있도록 구성된다. 접속 아이템은 접속 기기(100)의 식별자, 접속 기기(100)가 부팅된 부팅 시각을 포함하고 나아가 이전 연결요청에 따라 연결된 가상사설망 터널의 종료 시점을 나타내는 종료 시각 및 접속 기기(100)의 IP 정보(예를 들어 IP 주소 등) 등을 더 포함한다. 접속 기기(100)의 식별자는 접속 기기(100)의 생산이나 배포(설치)시에 부여되고 접속 기기(100)의 비휘발성 메모리 등에 고정되어 저장되는 시리얼 번호일 수 있다. 부팅 시각은 접속 기기(100)가 부팅 프로그램에 의해서 부팅된 시각을 나타낸다. 종료 시각은 제어부(211)에 의해서 자동 인식되어 기록될 수 있다.
접속 리스트의 접속 아이템은 신규 등록시에 구성되고 예를 들어 최초의 연결요청시에 또는 입력부(205) 등을 통한 관리자의 입력시에 생성되어 접속 리스트에 등록될 수 있다.
저장부(203)는 가상사설망을 통해 연결이 차단될 하나 이상의 접속 기기(100)를 식별할 수 있도록 구성되는 차단 리스트를 포함한다. 차단 리스트는 복수의 차단 아이템으로 구성되고 각각의 차단 아이템은 가상사설망을 통한 연결이 차단될 접속 기기(100)를 식별할 수 있도록 구성된다.
차단 아이템은 접속 기기(100)의 식별자를 포함하고 나아가 접속 기기(100)가 부팅된 부팅 시각이나 IP 정보나 차단 후 접속시도 횟수 등을 더 포함한다. 차단 아이템에서 식별되는 접속 기기(100)들은 연결요청에도 그 접속이 차단되었던 장치들이다.
차단 리스트와 접속 리스트는 바람직하게는 저장부(203)의 비휘발성 메모리(예를 들어 플래쉬 메모리) 및/또는 하드디스크 등에 저장된다.
저장부(203)는 센터 장치(200)의 관리자에 연결 가능한 관리자 기기의 연결 식별자를 더 포함한다. 연결 식별자는 예를 들어 IP 주소이거나 전화번호(휴대전화번호) 등일 수 있다. 연결 식별자를 통해 각종 메시지가 관리자에게 전송될 수 있다.
입력부(205)는 센터 장치(200)를 관리하는 관리자 등으로부터 사용자 입력을 수신한다. 입력부(205)는 마우스, 키보드, 터치 패널, 마이크 등을 구비하여 관리자로부터의 사용자 입력을 수신할 수 있다.
예를 들어, 입력부(205)는 차단 리스트를 디스플레이하기 위한 사용자 입력을 수신하거나 차단 리스트에서 특정 차단 아이템을 삭제(제거)하기 위한 차단 아이템의 선택을 사용자 입력으로 수신하거나 접속 리스트를 디스플레이하기 위한 사용자 입력이나 접속 리스트에서 접속 아이템을 삽입하기 위한 사용자 입력을 수신할 수 있다.
출력부(207)는 디스플레이, 스피커 등을 구비하여 각종 이미지나 오디오 신호를 출력한다. 출력부(207)는 제어부(211)에 연결되어 제어부(211)로부터의 이미지나 오디오 신호를 출력할 수 있도록 구성되는 데 예를 들어 관리자가 인식 가능한 메시지를 나타내는 이미지나 오디오 신호를 출력할 수 있다.
연결부(209)는 센터 장치(200) 내의 블록 간 데이터를 송수신한다. 연결부(209)는 근거리 네트워크, 병렬 버스, 시리얼 버스 등을 이용하여 구성된다.
제어부(211)는 하나 이상의 실행 유닛을 구비하여 저장부(203)에 저장되어 있는 차단제어 프로그램을 로딩하고 실행 유닛을 통해 프로그램의 명령어 코드를 실행한다.
접속 기기(100)의 (자동) 차단에 관련된 예를 통해 제어부(211)의 제어를 좀 더 구체적으로 살펴보면, 먼저 제어부(211)는 접속 리스트를 구성한다. 제어부(211)는 입력부(205)를 통한 사용자 입력을 통해 센터 장치(200)에 가상사설망을 통해 접속 가능한 접속 리스트를 먼저 구성할 수 있다. 입력을 통한 접속 리스트의 구성시에 접속 리스트의 각각의 접속 아이템은 접속 기기(100)의 식별자를 포함하나 그 외 부팅 시각이나 그 외 IP 정보 등은 최초 연결요청시에 구성될 수 있다.
또는, 제어부(211)는 접속 기기(100)로부터의 최초(신규) 연결요청시에 접속 아이템을 동적으로 구성하고 구성된 접속 아이템을 접속 리스트에 삽입하여 접속 리스트를 저장부(203)에 구성할 수도 있다. 예를 들어, 제어부(211)는 연결요청의 수신에 따라 연결요청에 포함된 접속 기기(100)의 식별자를 이용하여 접속 리스트를 검색하고 접속 리스트에 연결요청한 접속 기기(100)가 존재하지 않는 경우 신규의 접속 아이템을 생성한다. 제어부(211)는 생성된 접속 아이템의 접속 기기(100)의 식별자와 부팅 시각 및 IP 정보를 연결요청의 식별자, 부팅 시각 및 IP 정보로 기록하고 접속 아이템을 접속 리스트에 저장할 수 있다.
신규의 접속 아이템의 생성시에 관리자 등에 의해서 입력된 접속기기 허용 리스트가 활용될 수 있다. 접속기기 허용 리스트는 센터 장치(200)로 접속 가능한 접속 기기(100)의 식별자들을 포함한다. 제어부(211)는 접속기기 허용리스트에 연결요청한 접속 기기(100)가 존재하는 경우 접속 리스트에 접속 아이템을 생성하고 이를 저장부(203)에 저장 가능하다.
제어부(211)는, 접속 리스트의 구성 이후 또는 접속 리스트의 구성을 동시에 하기 위해, 가상사설망을 통해 데이터 송수신을 위한 연결요청을 통신부(201)로부터 수신한다. 연결요청은 각종 데이터나 정보를 포함하고 적어도 접속 기기(100)의 부팅 시각과 접속 기기(100)의 식별자를 포함한다.
제어부(211)는 연결요청에 포함된 접속 기기(100)의 식별자와 부팅 시각을 적어도 이용하여 연결요청한 접속 기기(100)의 차단 여부를 결정한다. 한편, 차단 여부의 결정에 앞서, 이 연결요청을 이용하여 접속 리스트를 먼저 갱신할 수 있다.
차단 여부의 결정을 위해, 제어부(211)는 연결요청의 접속 기기(100)의 식별자로 접속 리스트를 검색한다. 만일 접속 아이템이 존재하지 않는 경우 앞서 살펴본 바와 같이 접속기기 허용 리스트 등을 이용하여 신규 등록을 수행한다. 만일 신규 등록이 불가능하고 접속 아이템이 검색되지 않는 경우 제어부(211)는 연결 거절 응답을 생성하여 통신부(201)를 통해 출력할 수 있다.
접속 리스트의 검색에 따라, 제어부(211)는 검색된 접속 아이템에 기록된 부팅 시각과 연결요청에 포함된 부팅 시각을 비교하고 두 부팅 시각의 차이에 적어도 기초하여 차단 여부를 결정한다.
구체적으로, 여러 가지 상황(예를 들어 부팅 후 재접속)을 고려하여 바람직하게는 제어부(211)는 두 부팅 시각이 서로 다르고 나아가 접속 기기(100)의 이전 연결의 종료 시각과 현재의 연결요청의 요청 시각의 차가 지정된 임계시간(예를 들어 30분, 3시간 등) 이상의 차가 발생한 것으로 인식한 경우 연결요청한 접속 기기(100)의 연결을 차단하도록 결정한다. 이전 연결의 종료 시각은 검색된 접속 아이템의 종료 시각을 나타내고 연결요청의 요청 시각은 연결요청을 통신부(201)를 통해 수신한 시각을 나타낼 수 있다.
한편, 제어부(211)는 차단 여부의 결정을 이미 생성되어 구성된 차단 리스트에 대한 검색으로 수행할 수도 있다.
접속 기기(100)가 차단 결정되었으나 해당 접속 기기(100)에 대응하는 차단 아이템이 차단 리스트에 존재하지 않는 경우, 제어부(211)는 신규의 차단 아이템을 연결요청으로부터 생성한다. 신규 생성된 차단 아이템의 접속 기기(100)의 식별자를 연결요청의 접속 기기(100)의 식별자로 기록하고 부팅 시각을 연결요청의 접속 기기(100)의 부팅 시각으로 기록하고 IP 정보를 연결요청의 IP 정보로 기록하고 접속시도 횟수를 1로 기록한다.
접속 기기(100)가 차단 리스트에 존재하는 경우, 제어부(211)는 접속 기기(100)에 대응하는 차단 아이템의 접속시도 횟수를 갱신(1 증가)하고 나아가 설계 예에 따라 부팅 시각을 더 갱신할 수도 있다.
차단 결정에 따라, 제어부(211)는 차단에 따라 연결 거절을 나타내는 응답을 통신부(201)를 통해 연결요청한 접속 기기(100)로 전송할 수 있다.
만일 두 부팅 시각이 동일하거나 이전 연결의 종료 시각인 검색된 접속 아이템에 기록된 종료 시각과 연결요청의 요청 시각의 차가 임계시간 미만의 차이인 경우, 제어부(211)는 연결요청한 접속 기기(100)의 연결 허용을 결정하고 연결 허용을 나타내는 응답을 통신부(201)를 통해 연결요청한 접속 기기(100)로 전송할 수 있다.
제어부(211)는 연결 허용에 따라 연결이 허용된 접속 기기(100)에 대응하는 접속 아이템을 갱신한다. 예를 들어, 제어부(211)는 접속 리스트에서 검색된 접속 아이템의 부팅 시각을 연결요청의 부팅 시각으로 갱신한다.
연결 허용에 따라 제어부(211)는 가상사설망 상에서 안전한 데이터 송수신을 위한 암호화 키를 통신부(201)를 통해 교환하고 이후 가상사설망을 통한 데이터 통신을 수행한다.
부팅 시각과 접속 종료 시각 및 접속 요청 시각을 이용한 접속 허용 여부 판단으로, 센터 장치(200)는 도난이나 분실 등의 이상 상황 발생 이후의 접속을 용이하게 식별할 수 있고 의심스러운 접속 기기(100)의 가상사설망 접속을 용이하게 차단할 수 있다.
그리고 예를 들면, 가상사설망 연결(터널 연결)이 끊어진 상태라도 재부되지 않은 경우, 또는 펌웨어 업그레이드를 위해 재부팅을 했지만 지정된 시간 이내에 다시 연결된 경우 등에 있어서, 접속 기기(100)는 차단되지 않고 가상사설망에 바로 연결될 수 있다.
제어부(211)는 접속 아이템에 특정 접속 기기(100)의 종료 시각을 기록할 수 있도록 구성되는 데, 제어부(211)는 연결 허용과 후속하는 응답 등을 통해 접속 기기(100)와 가상사설망을 통해 데이터 송수신을 위한 터널을 설정하고 터널을 통해 데이터 패킷 및 제어 패킷을 송수신한다.
제어부(211)는 연결된 터널 각각을 모니터링하도록 구성되고 접속 기기(100)와의 제어 패킷의 송수신으로 터널 연결을 종료할 수 있다. 또는 제어부는 접속 기기(100)로 제어 패킷을 전송하고 접속 기기(100)로부터의 응답 패킷의 수신 여부(예를 들어 제어 패킷 전송 후 지정된 시간 내에 응답 패킷이 수신되지 않는 경우)에 따라 터널 연결을 종료할 수 있다.
이와 같은 과정을 통해 제어부(211)는 특정 접속 기기(100)와의 터널 연결의 종료를 감지하고 터널의 종료 시점을 나타내는 종료 시각을 해당 접속 기기(100)에 대응하는 접속 아이템의 종료 시각으로 기록할 수 있다. 이 종료 시각은 접속 기기(100)의 마지막 이전 연결에서의 연결 종료 시각을 나타내고 이후의 연결요청시 연결 허용 여부를 위해 이용 가능하다.
또한, 차단된 접속 기기(100)에 대응하는 차단 아이템의 접속시도 횟수가 임계횟수(예를 들어 5회 등)를 넘어서는 경우 제어부(211)는 접속 차단된 접속 기기(100)로부터의 연결요청이 발생하였음을 나타내는 메시지를 생성하여 이를 출력부(207)를 통해 출력하거나 관리자 기기의 연결 식별자를 사용하여 통신부(201)를 통해 관리자 기기로 출력한다.
또한, 제어부(211)는 출력부(207)나 통신부(201)를 통해 차단 리스트 등을 출력할 수 있고 입력부(205)나 통신부(201)를 통해 특정 차단 아이템의 선택을 수신할 수 있다. 그에 따라 제어부(211)는 선택된 차단 아이템을 차단 리스트에서 삭제하여 이후 재접속이 가능토록 한다.
도 3은 분실 등에 의해 접속이 차단되는 예시적인 처리 과정을 도시한 도면이다.
도 3의 예는 분실 등이 발생한 경우의 접속 차단이 되는 예를 도시한 도면이다. 접속 기기(100)는 관리자가 없는 지점 등에 설치되는 기기일 수 있고 센터 장치(200)는 이러한 여러 접속 기기(100)를 통신망(300)을 통해 원격에서 관리하고 제어할 수 있다. 접속 기기(100)에 이루어지는 제어와 처리 흐름은 부팅 프로그램과 서비스 프로그램을 구동하는 프로세서에 의해서 이루어지고 그 데이터 송수신은 통신망(300)에 접속할 수 있는 통신 인터페이스를 통해서 이루어진다. 센터 장치(200)에서 이루어지는 제어와 처리 흐름은 차단제어 프로그램을 로딩하여 수행하는 제어부(211)에 의한 제어로 이루어지고 그 데이터 송수신은 통신부(201)를 통해서 이루어진다.
이미 도 2를 통해서 센터 장치(200)에서 이루어지는 주요한 처리 과정을 살펴보았으므로 여기서는 간단하게 살펴보도록 한다.
먼저, 무인 지점 등에 최초 설치되는 접속 기기(100)는 설치 기술자 등에 의해 특정 위치에 설치되고 전원이 공급된다. 전원 공급에 따라 접속 기기(100)는 부팅 프로그램을 이용하여 부팅되고 부팅 시각을 비휘발성 메모리 등에 기록한다. 또한, 접속 기기(100)는 서비스 프로그램을 구동(① 참조)하여 서비스 프로그램의 구동에 따라 연결요청을 생성(예를 들어 최초의 연결요청)하고 이를 통신망(300)을 통해 센터 장치(200)로 전송한다. 연결요청은 비휘발성 메모리 등에 기록되어 있는 부팅 시각과 접속 기기(100)의 식별자를 포함하고 그 외 IP 정보 등을 더 포함한다. 연결요청은 가상사설망을 통해 데이터 송수신이 이루어지도록 요구하는 요청이다.
센터 장치(200)는 연결요청을 수신(② 참조)하고 센터 장치(200)는 신규의 연결요청인지를 먼저 판단하고 만일 인증되거나 허가된 접속 기기(100)에 의한 신규 연결요청인 경우 연결요청한 접속 기기(100)를 접속 리스트에 신규 등록(③ 참조)한다. 예를 들어, 연결요청에 대응한 접속 기기(100)가 이미 등록되어 있는 접속 기기(100)인 지를 접속 리스트 등을 이용하여 결정하고 만일 등록되지 않은 접속 기기(100)이나 설치 기술자 등에 의해서 인증되거나 접속기기 허용리스트에 존재하는 접속 기기(100)인 경우 연결요청한 접속 기기(100)를 접속 리스트에 신규 등록한다.
신규 등록을 위해, 센터 장치(200)는 새로운 접속 아이템을 생성하고 접속 아이템의 접속 기기(100)의 식별자를 연결요청의 접속 기기(100)의 식별자로 기록하고 부팅 시각과 IP 정보를 연결요청의 부팅 시각과 IP 정보로 기록한다. 접속 기기(100)의 식별자는 예를 들어 접속 기기(100)에 고정되어 저장되는 시리얼 번호일 수 있다.
이후, 접속 기기(100)와 센터 장치(200)는 가상사설망에서 이용될 키(암호화 키)를 교환(④ 참조)하고 암호화 키를 이용하고 설정된 터널을 통해 VPN 통신을 수행(⑤ 참조)한다.
한편, 접속 기기(100) 및/또는 센터 장치(200)의 상태나 이상 상황으로 인해 접속 기기(100)와 센터 장치(200) 사이의 터널 연결이 끊어지거나 종료될 수 있다. 센터 장치(200)는 접속 기기(100)와의 터널 연결의 종료를 감지하고 터널 연결 종료 시점인 종료 시각을 접속 기기(100)에 대응하는 접속 아이템의 종료 시각으로 기록 갱신한다. 접속 기기(100)는 연결된 터널의 종료를 감지하고 다시 연결요청을 통신망(300)을 통해 센터 장치(200)로 전송(⑥ 참조)할 수 있다.
연결요청을 수신한 센터 장치(200)는 연결요청이 신규등록을 위한 최초의 연결요청인 지를 접속 리스트를 통해 판단하고 접속 리스트의 검색을 통해 이미 등록되어 있는 차단 아이템을 검색할 수 있다.
차단 아이템의 검색에 따라, 제어부(211)는 연결요청에 포함된 접속 기기(100)의 식별자와 부팅 시각을 적어도 이용하여 연결요청한 접속 기기(100)의 차단 여부를 결정(⑦ 참조)한다.
예를 들어, 제어부(211)는 연결요청의 접속 기기(100)의 식별자를 이용하여 대응하는 접속 아이템을 접속 리스트에서 검색하고 접속 아이템에 기록된 부팅 시각과 연결요청의 부팅 시각의 차이에 적어도 기초하여 차단 여부를 결정한다.
재차 연결요청에 포함된 부팅 시각은 접속 기기(100)의 최초 부팅 시각(① 참조)과 동일할 수 있거나 상이할 수 있다.
여러 가지 상황(예를 들어 펌웨어 업그레이드)을 고려하여 제어부(211)는 두 부팅 시각이 서로 다르고 나아가 접속 기기(100)에 대응하는 접속 아이템의 종료 시각과 현재의 연결요청의 요청 시각의 차가 지정된 임계시간 이상의 경우 그 연결을 차단한다.
제어부(211)는 두 부팅 시각이 서로 같거나 접속 아이템의 종료 시각과 현재의 연결요청의 요청 시각의 차가 지정된 임계시간 미만의 차이가 발생한 것으로 판단하는 경우 연결요청한 접속 기기(100)의 연결을 결정할 수 있다. 그에 따라 연결의 허용을 나타내는 응답을 접속 기기(100)로 전송하고 검색된 접속 아이템을 갱신할 수 있다. 예를 들어 제어부(211)는 검색된 접속 아이템의 부팅 시각을 연결요청의 부팅 시각으로 갱신할 수 있다.
연결의 허용에 따라, 다시 접속 기기(100)와 센터 장치(200)는 키를 교환하고 VPN 통신을 수행(⑧ 참조)할 수 있다.
한편, 접속 기기(100)는 분실, 도난 등에 따라 공급되는 전원이 차단(⑨ 참조)될 수 있고 센터 장치(200)는 접속 기기(100)와의 터널 연결의 종료를 감지하고 터널 연결 종료 시점인 종료 시각을 접속 기기(100)에 대응하는 접속 아이템의 종료 시각으로 기록 갱신한다. 이후 접속 기기(100)는 다시 전원이 공급되고 전원 공급에 후속하여 부팅 프로그램과 서비스 프로그램이 구동(⑩ 참조)된다. 부팅 과정을 통해 접속 기기(100)는 자동으로 새로운 부팅 시각을 비휘발성 메모리 등에 기록한다.
이후, 접속 기기(100)는 서비스 프로그램 등에 의해 연결요청을 생성하고 센터 장치(200)는 새로운 연결요청을 수신(⑪ 참조)한다.
연결요청의 수신에 따라, 제어부(211)는 다시 접속 아이템을 검색하고 접속 아이템의 부팅 시각과 연결요청의 부팅 시각의 차이에 적어도 기초하여 차단 여부를 결정(⑫ 참조)한다. 전원 온오프에 따라 새로운 부팅 시각은 서로 다를 수 있다. 접속 기기(100)의 여러 상황 발생을 고려하여 제어부(211)는 두 부팅 시각이 서로 다르고 접속 리스트에서 검색된 접속 아이템의 종료 시각과 연결요청의 요청 시각이 지정된 임계시간 이상의 차이가 존재하는 경우에 제어부(211)는 연결요청한 접속 기기(100)의 연결을 차단하도록 결정한다.
차단 결정에 따라 제어부(211)는 차단 아이템을 생성하여 차단 리스트에 삽입 저장할 수 있다. 예를 들어 제어부(211)는 연결요청한 접속 기기(100)의 식별자를 포함하고 나아가 부팅 시각이나 IP 정보와 1회를 나타내는 접속시도 횟수를 신규 생성된 차단 아이템에 기록하여 차단 리스트에 등록할 수 있다.
차단 결정에 따른 응답을 제어부(211)는 생성하고 이 응답을 통신부(201)를 통해 접속 기기(100)로 전송할 수 있다.
접속 거절(차단) 응답을 수신한 접속 기기(100)는 여러 번 반복적으로 연결요청을 전송하고 재차 거절의 응답을 수신할 수 있다. 반복적인 연결요청에 따라 센터 장치(200)의 제어부(211)는 대응하는 차단 아이템을 검색하고 접속시도 횟수를 갱신할 수 있다.
제어부(211)는 연결요청에 후속하여 또는 지정된 주기에 따라 반복적으로 차단 리스트에서 접속시도 횟수가 지정된 횟수인 임계횟수 이상인 차단 아이템들을 검색할 수 있다. 검색된 차단 아이템(들)은 적어도 임계횟수 이상의 연결요청이 시도된 접속 기기(100)(들)를 나타낸다.
이러한 차단 아이템들이 검색되는 경우, 센터 장치(200)(의 제어부(211))는 차단된 접속 기기(100)로부터의 복수 회 이상의 반복적인 연결요청의 발생을 나타내는 메시지를 관리자에게 출력(⑬ 참조)한다. 예를 들어 제어부(211)는 임계횟수 이상의 반복적인 연결 시도가 발생하였음을 나타내는 메시지를 생성하고 생성된 메시지를 출력부(207)로 출력하거나 연결 식별자를 사용하여 통신부(201)를 통해 관리자 기기로 출력할 수 있다.
또한, 센터 장치(200)의 제어부(211)는 입력부(205)를 통한 사용자 입력이나 통신부(201)를 통한 요청으로 차단 리스트를 출력부(207)로 출력하거나 관리자 기기로 출력(⑭ 참조)할 수 있다.
관리자는 차단 리스트를 브라우징할 수 있고 차단 리스트의 여러 차단 아이템들 중 차단이 해제될 차단 아이템들을 선택할 수 있다. 제어부(211)는 입력부(205)나 통신부(201)를 통해 차단 해제될 차단 아이템의 선택을 수신하고 선택된 차단 아이템을 차단 리스트에서 삭제(⑮ 참조)한다.
이와 같은 처리 과정을 통해 불법적으로 도난되거나 분실된 경우에도 물리적인 시각 정보를 활용하여 가상사설망으로의 접속을 차단할 수 있고 그에 따라 안전하게 가상사설망을 보호할 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니다.
100 : 접속 기기
200 : 센터 장치
201 : 통신부 203 : 저장부
205 : 입력부 207 : 출력부
209 : 연결부 211 : 제어부
300 : 통신망

Claims (12)

  1. 가상사설망을 통해 접속하는 기기를 차단하는 방법으로서,
    센터 장치가 가상사설망을 통해 데이터 송수신을 위한 연결요청을 수신하는 단계; 및
    상기 센터 장치가 상기 연결요청에 각각 포함되는 접속 기기의 식별자와 상기 접속 기기의 부팅 프로그램의 구동에 따라 설정되는 부팅 시각을 적어도 이용하여 상기 접속 기기의 차단 여부를 결정하는 단계;를 포함하고,
    상기 차단 여부의 결정 단계는, 가상사설망을 통해 접속될 수 있는 기기를 관리하는 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 이전의 가상사설망 터널 연결에 따라 기록된 부팅 시각과 상기 연결요청에 포함된 부팅 시각이 서로 다르고 상기 접속 아이템의 이전의 가상사설망 터널 연결의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 이상의 차이가 발생하는 경우 상기 접속 기기의 연결 차단을 결정하고, 상기 접속 아이템에 기록된 부팅 시각과 상기 연결요청의 부팅 시각이 동일하거나 상기 접속 아이템의 상기 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 미만의 차이가 발생하는 경우 상기 접속 기기와의 연결을 결정하며,
    상기 접속 기기의 분실 또는 도난에 따라 공급되는 전원이 차단되고 난 후 다시 전원이 공급되면 상기 접속 기기에서 상기 부팅 프로그램의 구동에 따라 새로운 부팅 시각이 설정되는,
    차단 방법.
  2. 제1항에 있어서,
    연결 차단 결정에 따라, 센터 장치가 상기 접속 기기의 식별자를 포함하는 차단 아이템을 생성하여 차단 리스트에 등록하는 단계;를 더 포함하는,
    차단 방법.
  3. 제1항에 있어서,
    상기 차단 여부의 결정 단계 이후에, 상기 센터 장치가 상기 접속 기기와의 연결 종료를 감지하고 종료 시각을 상기 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 기록하는 단계;를 더 포함하는,
    차단 방법.
  4. 제1항에 있어서,
    상기 연결요청의 수신 단계 이후에, 상기 센터 장치는 상기 접속 리스트의 검색을 통해 신규의 연결요청인지를 판단하고 신규의 연결요청인 경우 상기 연결요청의 접속 기기의 식별자와 부팅 시각을 포함하는 접속 아이템을 생성하고 상기 접속 리스트에 등록하는 단계;를 더 포함하며,
    상기 접속 기기의 식별자는 접속 기기에 고정되어 저장되는 시리얼 번호인,
    차단 방법.
  5. 제1항에 있어서,
    차단된 접속 기기로부터 지정된 횟수 이상의 연결요청이 시도된 경우 상기 센터 장치가 차단된 접속 기기로부터의 연결요청의 발생을 나타내는 메시지를 관리자 기기로 출력하는 단계;를 더 포함하는,
    차단 방법.
  6. 제1항에 있어서,
    가상사설망으로의 연결이 차단될 하나 이상의 접속 기기를 식별 가능한 차단 리스트를 관리자 기기로 출력하는 단계;
    관리자 기기로부터 차단 아이템의 선택을 수신하는 단계; 및
    선택된 차단 아이템을 차단 리스트로부터 삭제하는 단계;를 더 포함하는,
    차단 방법.
  7. 가상사설망을 통해 접속하는 기기를 차단하는 센터 장치로서,
    가상사설망을 통해 데이터 송수신을 위한 연결요청을 수신하는 통신부; 및
    상기 연결요청에 각각 포함되는 접속 기기의 식별자와 상기 접속 기기의 부팅 프로그램의 구동에 따라 설정되는 부팅 시각을 적어도 이용하여 상기 접속 기기의 차단 여부를 결정하는 제어부;를 포함하고,
    상기 제어부는, 차단 여부의 결정을 위해, 가상사설망을 통해 접속될 수 있는 기기를 관리하는 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 이전의 가상사설망 터널 연결에 따라 기록된 부팅 시각과 상기 연결요청에 포함된 부팅 시각이 서로 다르고 상기 접속 아이템의 이전의 가상사설망 터널 연결의 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 이상의 차이가 발생하는 경우 상기 접속 기기의 연결 차단을 결정하고, 상기 접속 아이템에 기록된 부팅 시각과 상기 연결요청의 부팅 시각이 동일하거나 상기 접속 아이템의 상기 종료 시각과 상기 연결요청의 요청 시각이 지정된 임계시간 미만의 차이가 발생하는 경우 상기 접속 기기와의 연결을 결정하며,
    상기 접속 기기의 분실 또는 도난에 따라 공급되는 전원이 차단되고 난 후 다시 전원이 공급되면 상기 접속 기기에서 상기 부팅 프로그램의 구동에 따라 새로운 부팅 시각이 설정되는,
    센터 장치.
  8. 제7항에 있어서,
    가상사설망으로의 연결이 차단될 하나 이상의 접속 기기를 식별 가능한 차단 리스트와 상기 가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하는,
    센터 장치.
  9. 제7항에 있어서,
    가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하고,
    상기 제어부는 차단 여부의 결정에 후속하여 연결된 상기 접속 기기와의 연결 종료를 감지하고 종료 시각을 접속 리스트의 상기 접속 기기에 대응하는 접속 아이템에 기록하는,
    센터 장치.
  10. 제7항에 있어서,
    가상사설망을 통해 접속될 수 있는 접속 기기를 식별 가능한 접속 리스트를 저장하는 저장부;를 더 포함하고,
    상기 제어부는 상기 접속 리스트의 검색을 통해 통신부를 통해 수신된 연결요청이 신규의 연결요청인지를 판단하고 신규의 연결요청인 경우 상기 연결요청의 접속 기기의 식별자와 부팅 시각을 포함하는 접속 아이템을 생성하고 상기 접속 리스트에 저장하며,
    상기 접속 기기의 식별자는 접속 기기에 고정되어 저장되는 시리얼 번호인,
    센터 장치.
  11. 제7항에 있어서,
    메시지를 출력하는 출력부;를 더 포함하고,
    상기 제어부는 차단된 접속 기기로부터 지정된 횟수 이상의 연결요청이 시도된 경우 차단된 접속 기기로부터의 연결요청의 발생을 나타내는 메시지를 상기 출력부 또는 상기 통신부를 통해 출력하는,
    센터 장치.
  12. 가상사설망을 통해 접속하는 기기를 차단하는 시스템으로서,
    제7항의 센터 장치; 및
    상기 센터 장치에 가상사설망을 통해 접속할 수 있는 복수의 접속 기기;를 포함하는,
    차단 시스템.
KR1020160104628A 2016-08-18 2016-08-18 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템 KR101908428B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160104628A KR101908428B1 (ko) 2016-08-18 2016-08-18 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160104628A KR101908428B1 (ko) 2016-08-18 2016-08-18 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템

Publications (2)

Publication Number Publication Date
KR20180020392A KR20180020392A (ko) 2018-02-28
KR101908428B1 true KR101908428B1 (ko) 2018-10-16

Family

ID=61401136

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160104628A KR101908428B1 (ko) 2016-08-18 2016-08-18 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템

Country Status (1)

Country Link
KR (1) KR101908428B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070271598A1 (en) * 2006-05-16 2007-11-22 A10 Networks, Inc. Systems and methods for user access authentication based on network access point
US20100042734A1 (en) * 2007-08-31 2010-02-18 Atli Olafsson Proxy server access restriction apparatus, systems, and methods

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100921728B1 (ko) * 2007-04-11 2009-10-15 (주)씽크에이티 로그 분석을 이용한 금융 거래 서비스 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070271598A1 (en) * 2006-05-16 2007-11-22 A10 Networks, Inc. Systems and methods for user access authentication based on network access point
US20100042734A1 (en) * 2007-08-31 2010-02-18 Atli Olafsson Proxy server access restriction apparatus, systems, and methods

Also Published As

Publication number Publication date
KR20180020392A (ko) 2018-02-28

Similar Documents

Publication Publication Date Title
CN106599694B (zh) 安全防护管理方法、计算机系统和计算机可读取存储媒体
US8321956B2 (en) Remote access control of storage devices
US7607140B2 (en) Device management system
US8588422B2 (en) Key management to protect encrypted data of an endpoint computing device
JP4127315B2 (ja) デバイス管理システム
US8566610B2 (en) Methods and apparatus for restoration of an anti-theft platform
US10579830B1 (en) Just-in-time and secure activation of software
CN104320389A (zh) 一种基于云计算的融合身份保护系统及方法
US11695650B2 (en) Secure count in cloud computing networks
KR102356474B1 (ko) 클라우드 서비스 기반의 원격통제 기능이 탑재된 스마트워크 지원시스템
EP3472719B1 (en) Method and apparatus of implementing a vpn tunnel
JP4720959B2 (ja) デバイス管理システム
KR101908428B1 (ko) 가상사설망을 통해 접속하는 기기를 차단하는 방법, 센터 장치 및 시스템
US9239937B2 (en) Targeted security policy override
US20200021591A1 (en) Automated creation of dynamic privileged access resources
CN102822840B (zh) 使用管理系统和使用管理方法
JP3298587B2 (ja) 装置制御システム
JP2002208921A (ja) Vpnデータ通信方法および私設網構築システム
EP3361696A1 (en) A method for securely exchanging link discovery information
KR101591053B1 (ko) 푸시 서비스를 이용한 원격제어 방법 및 그 시스템
KR102444356B1 (ko) 보안 강화 인트라넷 접속 방법 및 시스템
RU2504835C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR101654249B1 (ko) 컴퓨터의 통신 인터페이스 보안 시스템
JP2004272319A (ja) セキュリティ性向上と管理容易化のための装置をもった計算機と方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant