KR101979157B1 - Non-address network equipment and communication security system using it - Google Patents
Non-address network equipment and communication security system using it Download PDFInfo
- Publication number
- KR101979157B1 KR101979157B1 KR1020180114863A KR20180114863A KR101979157B1 KR 101979157 B1 KR101979157 B1 KR 101979157B1 KR 1020180114863 A KR1020180114863 A KR 1020180114863A KR 20180114863 A KR20180114863 A KR 20180114863A KR 101979157 B1 KR101979157 B1 KR 101979157B1
- Authority
- KR
- South Korea
- Prior art keywords
- address
- terminal
- data
- input
- network equipment
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템에 관한 것으로, 더욱 자세하게는 각종 전용망과 공용망을 통해 데이터를 송수신하는 단말기들의 해킹이나 도청 및 감청을 IP 주소나 계정이 없는 넌어드레스 네트워크 장비(Non-address network equipment)를 이용하여 차단함으로써 데이터 전송의 보안을 유지하고 해킹이나 도청 및 감청을 방지할 수 있도록 하는, 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템에 관한 것이다.The present invention relates to a non-address network device and a communication security system using the non-address network device. More particularly, the present invention relates to a non-address network device and a non- Non-address network equipment to protect data transmission and prevent hacking, eavesdropping and eavesdropping, and a communication security system using the non-address network equipment.
일반적으로 유선 또는 무선을 포함하는 전용망 또는 공중망 속에서 운영되고 있는 각종 단말기들, 예를 들면, PC, 노트북, VoIP 전화기, fax 단말기, 모바일 폰 등은 각종 해킹으로 인해 막대한 물리적 또는 재산적 피해를 입을 수 있다.Generally, various terminals operated in a private network or a public network including a wired or wireless, for example, a PC, a notebook, a VoIP telephone, a fax terminal, and a mobile phone may suffer massive physical or property damage due to various hacks .
해킹은 네트워크의 취약한 보안망에 불법적으로 접근하거나 정보 시스템 또는 특정 단말기 상의 동작에 유해한 영향을 끼치는 제반 행위를 일컫는 것으로서, 결국 어플리케이션의 프로그램 코드를 임의로 조작하여 해당 어플리케이션을 개발한 개발자가 의도하지 않은 형태로 어플리케이션이 동작하도록 하는 것을 말한다.Hacking refers to all kinds of activities that illegally access a vulnerable network of a network or have a detrimental effect on the operation of an information system or a specific terminal. Thus, a hacker may arbitrarily manipulate the program code of the application, To operate the application.
이러한 해킹은 각종 단말기의 IP Address 및 계정 정보를 통하여 이루어지고, 보안 장비들의 경우에도 해커(Hacker)들이 IP Address 및 계정 정보를 공격하여 보안 장비를 무력화시킨다.Such hacking is performed through IP addresses and account information of various terminals. In case of security equipment, hackers attack the IP address and account information to disable security equipment.
기존의 VPN 및 단말기 통신에 관한 보안 장비들은 IP Address 및 계정 설정이 필수적이었다. 따라서 필연적으로 DDoS(distributed denial of service) 공격 및 날로 발달하는 각종 해킹 기법에 의해 보안 장비의 무력화가 발생하는 문제점이 있다.The existing security equipments for VPN and terminal communication are required to set IP address and account. Therefore, it is inevitable that the distributed denial of service (DDoS) attack and the ever-evolving hacking techniques cause the security equipment to be disabled.
또한, 사용자의 PC가 좀비 PC가 될 가능성이 존재하게 되며, 기밀 유출에 따른 막대한 피해는 물론 생명까지 위협받을 수 있으며, 통신 장비의 경우에는 도청이나 감청 및 무력화되는 문제점이 있다.In addition, there is a possibility that the user's PC may become a zombie PC, and the life may be threatened as well as the enormous damage caused by confidential leakage. In the case of the communication equipment, there is a problem that it is eavesdropped, intercepted, and disabled.
전술한 문제점을 해결하기 위한 본 발명의 목적은, 각종 전용망과 공용망을 통해 데이터를 송수신하는 단말기들의 해킹이나 도청 및 감청을 IP 주소나 계정이 없는 넌어드레스 네트워크 장비를 이용하여 차단함으로써 데이터 전송의 보안을 유지하고 해킹이나 도청 및 감청을 방지할 수 있도록 하는, 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템을 제공함에 있다.It is an object of the present invention to solve the above-mentioned problems and to provide a data communication system and a data transmission method thereof, which can prevent hacking, eavesdropping and tapping of terminals transmitting and receiving data through various private networks and public networks by using an IP address or non- And to provide a non-address network equipment and a communication security system using the non-address network equipment, which can maintain security and prevent hacking, eavesdropping and eavesdropping.
위와 같은 과제를 해결하기 위한 본 발명의 일 측면에 따르면, 넌어드레스 네트워크 장비가 제공된다. 상기 넌어드레스 네트워크 장비는, 제1 주소를 가지는 제1 단말기로 통신망을 통해 송신된 제1 암호화 데이터를 수신하여 복호화하고 복호화 데이터를 생성하여 상기 제1 단말기로 상기 복호화 데이터를 전달하거나, 상기 통신망을 통해 제2 주소를 가지는 제2 단말기로 상기 제1 단말기로부터 전달받은 데이터를 암호화하여 제2 암호화 데이터를 생성하고, 상기 통신망을 통해 상기 암호화 데이터를 송출하는 넌어드레스 네트워크 장비에 있어서, 상기 제1 단말기에 연결된 제2 입출력부; 상기 제2 입출력부에 일측이 연결되고 다른 측이 통신망에 연결된 제1 입출력부; 및 상기 제1 입출력부로부터 입력된 제1 암호화 데이터를 복호화하고, 상기 제2 입출력부로부터 입력된 데이터를 암호화하여 제2 암호화 데이터를 생성하는 IP 주소와 계정이 설정되지 않은 상태에서 동작하는 보안부를 포함하며, 상기 보안부는, 상기 제1 암호화 데이터의 폐기 여부를 판단하기 위해 상기 제1 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 이용하며, 상기 제2 암호화 데이터를 생성하기 위해 제1 단말 값을 이용하여 데이터의 폐기 여부를 판단한 후, 상기 보안부의 고유 정상 판단 값 및 고유 장비 값을 상기 제2 암호화 데이터의 헤더부분에 추가한다.According to an aspect of the present invention, there is provided a non-address network equipment. Wherein the non-address network equipment receives and decodes first encrypted data transmitted through a communication network to a first terminal having a first address, generates decoded data and transmits the decoded data to the first terminal, And transmitting the encrypted data through the communication network. The non-address network equipment according to claim 1, further comprising: a second terminal having a first address and a second address, A second input / output unit connected to the second input / output unit; A first input / output unit having one side connected to the second input / output unit and the other side connected to a communication network; And a security unit operable to decrypt the first encrypted data input from the first input / output unit and to encrypt the data input from the second input / output unit to generate the second encrypted data, Wherein the secure unit uses a normal determination value included in a header portion of the first encrypted data to determine whether to discard the first encrypted data, And adds the unique normal determination value and the unique device value of the security unit to the header portion of the second encrypted data.
위와 같은 과제를 해결하기 위한 본 발명의 일 측면에 따르면, 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템이 제공된다. 상기 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템은, 제1 주소가 포함된 데이터를 수신하거나 제2 주소가 포함된 데이터를 생성하여 송출하는 제1 단말기와, 상기 제1 주소가 포함된 데이터를 생성하여 송출하거나 상기 제2 주소가 포함된 데이터를 수신하는 제2 단말기와 통신망을 통해 통신하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템으로서, 상기 제1 단말기에 연결된 제1-2 입출력부; 상기 제1-2 입출력부에 일측이 연결되고 다른 측이 통신망에 연결된 제1-1 입출력부; 및 상기 제1-1 입출력부로부터 입력된 암호화 데이터를 복호화하고, 상기 제1-2 입출력부로부터 입력된 데이터를 암호화하는 제1 보안부를 포함하는 제1 넌어드레스 네트워크 장비; 및 상기 통신망에 연결된 제2-1 입출력부; 상기 제2-1 입출력부에 일 측이 연결되고 다른 측이 상기 제2 단말기에 연결된 제2-2 입출력부; 및 상기 제2-1 입출력부로부터 입력된 암호화 데이터를 복호화하고, 상기 제2-2 입출력부로부터 입력된 데이터를 암호화하는 제2 보안부를 포함하는 제2 넌어드레스 네트워크 장비;를 포함하며, 상기 제1 넌어드레스 네트워크 장비 및 상기 제2 넌어드레스 네트워크 장비는, 각각 IP 주소와 계정이 설정되지 않은 상태에서, 상기 제1 보안부의 동작과 상기 제2 보안부의 동작을 실행하고, 상기 제1 주소가 설정되어 있는 상기 제1 단말기가 상기 제2 주소가 설정되어 있는 상기 제2 단말기로 데이터를 송신하는 경우에, 상기 제1 단말기가 상기 제2 주소가 포함된 데이터를 생성하여 상기 제1 넌어드레스 네트워크 장비에 송출하면, 상기 제1 넌어드레스 네트워크 장비에서 상기 제1-2 입출력부가 상기 제2 주소가 포함된 데이터를 입력받아 상기 제1 보안부로 전달하고, 상기 제1 보안부는 제1 단말 값과 상기 제2 주소가 포함된 데이터에 포함된 단말 값이 일치하는지 확인하며, 일치하지 않는 경우 상기 제2 주소가 포함된 데이터를 폐기하며, 상기 단말 값이 일치하는 경우 상기 제2 주소가 포함된 데이터에 상기 제1 넌어드레스 네트워크 장비의 장비 값인 제1 장비 값과 상기 제2 넌어드레스 네트워크 장비의 장비 값인 제2 장비 값을 포함하도록 암호화하여 특정 알고리즘에 따라 재가공하여 제1 암호화 데이터로 생성해 상기 제1-1 입출력부를 통해 상기 통신망에 송출하며, 상기 제2 넌어드레스 네트워크 장비가 상기 통신망으로부터 상기 제1 암호화 데이터를 수신해 상기 제2-1 입출력부를 통해 제2 보안부에 전달하며, 상기 제2 보안부는 상기 제1 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 상기 제2 주소가 포함된 데이터로 생성해 상기 제2-2 입출력부를 통해 상기 제2 단말기에 전달하고, 상기 제2 주소가 설정되어 있는 상기 제2 단말기가 상기 제1 주소가 설정되어 있는 상기 제1 단말기로 데이터를 송신하는 경우에, 상기 제2 단말기가 상기 제1 주소가 포함된 데이터를 생성하여 상기 제2 넌어드레스 네트워크 장비에 송출하면, 상기 제2 넌어드레스 네트워크 장비에서 상기 제2-2 입출력부가 상기 제1 주소가 포함된 데이터를 입력받아 상기 제2 보안부로 전달하고, 상기 제2 보안부는 제2 단말 값과 상기 제1 주소가 포함된 데이터에 포함된 단말 값이 일치하는지 확인하며, 일치하지 않는 경우 상기 제1 주소가 포함된 데이터를 폐기하며, 상기 단말 값이 일치하는 경우 상기 제1 주소가 포함된 데이터에 상기 제1 장비 값과 상기 제2 장비 값을 포함하도록 암호화하여 특정 알고리즘에 따라 재가공하여 제2 암호화 데이터로 생성해 상기 제2-1 입출력부를 통해 상기 통신망에 송출하며, 상기 제1 넌어드레스 네트워크 장비에서 상기 제1-1 입출력부가 상기 통신망으로부터 상기 제2 암호화 데이터를 수신해 상기 제1 보안부에 전달하며, 상기 제1 보안부는 상기 제2 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 상기 제1 주소가 포함된 데이터로 생성해 상기 제1-2 입출력부를 통해 상기 제1 단말기에 전달한다.According to an aspect of the present invention, a communication security system using non-address network equipment is provided. The communication security system using the non-address network equipment includes a first terminal for receiving data including a first address or generating and transmitting data including a second address, and a second terminal for generating data including the first address A first terminal connected to the first terminal and connected to the first terminal, and a second terminal connected to the first terminal, the second terminal being connected to the first terminal; A 1-1 input / output unit having one end connected to the 1-2 input / output unit and the other end connected to the communication network; And a first non-address network equipment including a first security unit for decrypting encrypted data input from the 1-1 input / output unit and encrypting data input from the 1-2 input / output unit; And a 2-1 input / output unit connected to the communication network; A second I / O unit having one end connected to the second I / O unit and the other end connected to the second terminal; And a second non-address network equipment including a second security unit for decrypting the encrypted data input from the 2-1 input / output unit and encrypting the data input from the 2-2 input / output unit, The first non-address network equipment and the second non-address network equipment execute the operation of the first security unit and the operation of the second security unit, respectively, with no IP address and account set, When the first terminal transmits data to the second terminal in which the second address is set, the first terminal generates data including the second address and transmits the data to the first non-address network equipment The first 1-2 input / output unit receives data including the second address in the first non-address network equipment and transmits the data to the first security unit The first security unit checks whether the terminal value included in the data including the first terminal value matches the terminal value included in the second address, discards data including the second address if the first terminal value does not match, The first non-address network device and the second non-address network device are encrypted to include the first device value as the device value of the first non-address network device and the second device value as the device value of the second non-address network device, Output unit to the communication network, and the second non-address network equipment receives the first encrypted data from the communication network and outputs the first encryption data to the second -1 input / output unit And the second security unit decrypts the first encrypted data and re-processes the encrypted data according to a specific algorithm, Outputting the data including the second address to the second terminal through the second-2 input / output unit, and the second terminal, in which the second address is set, In the case of transmitting data to the terminal, when the second terminal generates and transmits data including the first address to the second non-address network equipment, the second non-address network equipment transmits the second 2- Wherein the second security unit receives data including the first address and transmits the received data to the second security unit, and the second security unit verifies whether the second terminal value matches the terminal value included in the data including the first address, The first device value and the second device value are included in the data including the first address if the terminal value is identical to the first device value, And outputs the generated second encryption data to the communication network through the second I / O unit. The first non-address network unit transmits the first 1-1 input / 2 encryption data, and transmits the second encryption data to the first security unit. The first encryption unit decrypts the second encryption data, re-processes the second encryption data according to a specific algorithm, generates data including the first address, To the first terminal.
상기 제1 보안부는, 상기 제1 암호화 데이터를 생성한 후, 상기 제1 암호화 데이터가 헤더에 기 설정된 제1 정상 판단 값을 포함하도록 상기 제1 암호화 데이터를 재가공하며, 상기 제2 보안부는, 상기 제2 암호화 데이터를 생성한 후, 상기 제2 암호화 데이터가 헤더에 기 설정된 제2 정상 판단 값을 포함하도록 상기 제2 암호화 데이터를 재가공 할 수 있다.Wherein the first security unit reprocesses the first encrypted data so that the first encrypted data includes a first normal determination value set in advance in the header after generating the first encrypted data, After generating the second encrypted data, the second encrypted data may be re-processed such that the second encrypted data includes a second normal determination value set in the header.
상기 제1 보안부는, 상기 제2 암호화 데이터를 수신하면, 상기 제2 암호화 데이터의 상기 제2 정상 판단 값을 확인하고, 상기 제2 정상 판단 값이 기 설정된 값이 아닌 경우, 상기 제2 암호화 데이터를 폐기하며, 상기 제2 보안부는, 상기 제1 암호화 데이터를 수신하면, 상기 제1 암호화 데이터의 상기 제1 정상 판단 값을 확인하고, 상기 제1 정상 판단 값이 기 설정된 값이 아닌 경우, 상기 제1 암호화 데이터를 폐기할 수 있다.Wherein the first encryption unit checks the second normal determination value of the second encrypted data when receiving the second encrypted data, and when the second normal determination value is not a predetermined value, Wherein the second security unit verifies the first normal determination value of the first encrypted data when receiving the first encrypted data, and when the first normal determination value is not a predetermined value, The first encrypted data can be discarded.
상기 제1 단말 값은, 상기 제1 넌어드레스 네트워크 장비가 상기 제1 단말기와 최초 연결되는 경우 상기 제1-2 입출력부를 통해 상기 제1 단말기로부터 송신받은 첫 패킷을 분석하여 획득한 상기 제1 단말기의 고유 단말 값이고, 상기 제2 단말 값은, 상기 제2 넌어드레스 네트워크 장비가 상기 제2 단말기와 최초 연결되는 경우 상기 제2-2 입출력부를 통해 상기 제2 단말기로부터 송신받은 첫 패킷을 분석하여 획득한 상기 제2 단말기의 고유 단말 값 일 수 있다.Wherein the first terminal value is a value obtained by analyzing a first packet transmitted from the first terminal through the first 1-2 input / output unit when the first non-address network equipment is first connected to the first terminal, And the second terminal value is a unique terminal value of the first non-address network equipment when the second non-address network equipment is connected to the second terminal for the first time, analyzes the first packet transmitted from the second terminal through the second -2 input / And may be the unique terminal value of the acquired second terminal.
상기 제1 넌어드레스 네트워크 장비와 상기 제2 넌어드레스 네트워크 장비는, 상기 통신망을 통해 최초로 연결되는 경우, 상기 제1 넌어드레스 네트워크 장비에서 송출되는 최초 데이터를 상기 제2 넌어드레스 네트워크 장비가 획득하여 헤더값을 분석하여 상기 제1 단말 값 및 상기 제1 장비 값을 상기 제2 보안부에 저장하며, 상기 제2 넌어드레스 네트워크 장비에서 송출되는 최초 데이터를 상기 제1 넌어드레스 네트워크 장비가 획득하여 헤더값을 분석하여 상기 제2 단말 값 및 상기 제2 장비 값을 상기 제1 보안부에 저장 할 수 있다.Wherein when the first non-address network equipment and the second non-address network equipment are first connected through the communication network, the first data transmitted from the first non-address network equipment is acquired by the second non- And stores the first terminal value and the first device value in the second security unit. The first non-address network equipment acquires the first data transmitted from the second non-address network equipment, And store the second terminal value and the second device value in the first security unit.
상기 제1 보안부는, 상기 제2 암호화 데이터의 복호화 알고리즘에 상기 제2 단말 값 및 상기 제2 단말 값을 이용하며 상기 제2 보안부는, 상기 제1 암호화 데이터의 복호화 알고리즘에 상기 제1 단말 값 및 상기 제1 단말 값을 이용 할 수 있다.Wherein the first security unit uses the second terminal value and the second terminal value in the decryption algorithm of the second encrypted data and the second security unit uses the first terminal value and the second terminal value in the decryption algorithm of the first encrypted data, The first terminal value can be used.
상기 제1-1 입출력부와 상기 제1-2 입출력부간의 연결과, 상기 제2-1 입출력부와 상기 제2-2 입출력부 간의 연결은, 각각 브릿지(Bridge) 방식으로 연결될 수 있다.The first 1-1 input / output unit and the 1-2 input / output unit may be connected to each other, and the 2-1 input / output unit and the 2-2 input / output unit may be connected by a bridge.
상기 제1 보안부는, 상기 제1-1 입출력부 또는 상기 제1-2 입출력부에 포함되거나, 상기 제1-1 입출력부 및 상기 제1-2 입출력부와 별개로 상기 제1 넌어드레스 네트워크 장비에 포함될 수 있다.The first security unit may be included in the first 1-1 input / output unit or the 1-2 first input / output unit, or may be included in the first non-address network equipment .
상기 제2 보안부는, 상기 제2-1 입출력부 또는 상기 제2-2 입출력부에 포함되거나, 상기 제2-1 입출력부 및 상기 제2-2 입출력부와 별개로 상기 제2 넌어드레스 네트워크 장비에 포함될 수 있다.The second security unit may be included in the second-1 input / output unit or the second -2 input / output unit, or may be included in the second non-address network equipment .
상기 제1 단말기는 상기 제1 주소가 설정되고, 상기 제2 단말기는 상기 제2 주소가 설정되며, 상기 제1 단말기와 상기 제2 단말기에는 서로 다른 계정이 각각 설정되어 있을 수 있다.The first terminal may be set to the first address, the second terminal may be set to the second address, and the first terminal and the second terminal may have different accounts.
상기 통신망에 연결된 상기 제1-2 입출력부와 상기 제2-1 입출력부는, 상기 통신망을 통해 전송되는 모든 데이터를 수신하기 위한 프러미스큐어스 모드(Promiscuous mode)로 동작할 수 있다.The 1-2 input / output unit and the 2-1 input / output unit connected to the communication network may operate in a promiscuous mode for receiving all data transmitted through the communication network.
상기 제1 보안부는, 상기 제1 단말기로부터 상기 제1-2 입출력부를 통해 입력된 제1 데이터의 특정 부분을 암호화하고 특정 알고리즘에 따라 재가공한 제1 암호화 데이터로 생성해 상기 제1-1 입출력부에 출력하거나, 상기 통신망으로부터 상기 제1-1 입출력부를 통해 입력된 제2 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공한 제2 데이터로 상기 제1 단말기에 출력할 수 있다.The first security unit encrypts a specific portion of the first data input from the first terminal through the 1-2 input / output unit, generates the first encrypted data that has been reprocessed according to a specific algorithm, Or may decode the second encrypted data input through the 1-1 input / output unit from the communication network, and output the decrypted second data to the first terminal as second data re-processed according to a specific algorithm.
상기 제2 보안부는, 상기 제2 단말기로부터 상기 제2-2 입출력부를 통해 입력된 제2 데이터의 특정 부분을 암호화하고 특정 알고리즘에 따라 재가공한 제2 암호화 데이터로 생성해 상기 제2-1 입출력부에 출력하거나, 상기 통신망으로부터 상기 제2-1 입출력부를 통해 입력된 제1 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공한 제1 데이터로 상기 제2 단말기에 출력할 수 있다.The second security unit encrypts a specific portion of the second data input from the second terminal through the second -2 input / output unit, generates second encrypted data that has been reprocessed according to a specific algorithm, Or may output the decrypted first encrypted data input through the second-1 input / output unit from the communication network to the second terminal as first data that has been reprocessed according to a specific algorithm.
상기 통신망을 통해 상기 제1 넌어드레스 네트워크 장비 및 상기 제2 넌어드레스 네트워크 장비와 연결되어 상기 제1 및 제2 암호화 데이터를 획득하고, 해킹 데이터를 상기 통신망으로 전송하는 제3 넌어드레스 네트워크 장비를 더 포함하며, 상기 제3 넌어드레스 네트워크 장비는 상기 통신망으로부터 상기 제1 또는 제2 암호화 데이터를 획득하는 경우, 상기 제1 또는 제2 암호화 데이터에서 상기 제3 넌어드레스 네트워크 장비와 연결된 제3 단말기의 단말 값인 제3 단말 값 또는 상기 제3 넌어드레스 네트워크 장비의 장비 값인 제3 장비 값을 추출하지 못하면 상기 제1 또는 제2 암호화 데이터의 복호화를 수행하지 않고 폐기할 수 있다.Further comprising a third non-address network equipment connected to the first non-address network equipment and the second non-address network equipment via the communication network to obtain the first and second encrypted data and to transmit the hacking data to the communication network Wherein the third non-address network equipment is adapted to, when acquiring the first or second encrypted data from the communication network, transmit the first or second encrypted data to the terminal of the third terminal connected to the third non- If the third terminal value which is the value of the first non-address network equipment or the third apparatus value which is the device value of the third non-address network equipment can not be extracted, the first or second encrypted data can be discarded without performing the decryption.
본 발명에 의하면, 각 단말기에 연결되는 네트워크 장비에 IP 주소나 계정을 설정할 필요가 없으며, 각종 전용망이나 공용망을 통해 통신하는 단말기들의 해킹이나 도청 및 감청을 방지할 수 있다.According to the present invention, there is no need to set an IP address or an account in network equipment connected to each terminal, and it is possible to prevent hacking, eavesdropping and interception of terminals communicating through various private networks or public networks.
따라서, 해커들이 IP 주소나 계정이 없는 넌어드레스 네트워크 장비에 연결된 단말기에 접속할 수 없으며, 전용망 및 공중망을 통해 도청이나 감청 및 기밀을 유출할 수 없다.Thus, hackers can not connect to terminals connected to non-address network equipment without an IP address or account, and can not eavesdrop, intercept, or leak secrets through private networks and public networks.
또한, 원격지에 있는 단말기들 간에 IP 주소나 계정이 없는 넌어드레스 네트워크 장비를 이용하여 각 단말기들 간의 데이터 전송의 보안을 유지할 수 있다.Also, it is possible to maintain the security of data transmission between terminals using non-address network equipment without IP address or account between remote terminals.
또한, 송신측이나 수신측 단말기에 연결된 IP 주소 및 계정이 없는 넌어드레스 네트워크 장비들 간의 네트워크 통신은 일종의 가상 사설망과 같은 효과가 발생하는 장점이 있다.In addition, network communication between non-address network devices without an IP address and an account connected to a sending side or a receiving side terminal is advantageous in that it has the same effect as a virtual private network.
또한, IP 주소 및 계정이 없는 넌어드레스 네트워크 장비를 이용함으로써 산업체 단말기에 대한 완벽한 보안을 제공하여 악의적인 해커 및 기밀 유출자로부터 중요한 기밀 정보 및 데이터 등을 보호할 수 있는 보안 솔루션을 제공할 수 있다.In addition, by using non-address network equipment without an IP address and an account, it is possible to provide a complete security for industrial terminals, thereby providing a security solution capable of protecting important confidential information and data from malicious hackers and confidential outsourcers.
그리고, 통신이 기 설정되지 않은 다른 넌어드레스 네트워크 장비를 이용하더라도 데이터의 복호화를 수행할 수 없기 때문에 중요한 기밀 정보 및 데이터를 보호할 수 있는 보다 강화된 보안 솔루션을 제공할 수 있다.And, since the decryption of data can not be performed even if other non-address network equipment, in which communication is not established, can be provided, a stronger security solution that can protect important confidential information and data can be provided.
도 1은 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템의 기본적인 개념을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템의 전체적인 구성을 개략적으로 나타낸 구성도이다.
도 3은 본 발명의 실시예에 따라 넌어드레스 네트워크 장비를 이용하여 단말기 간에 데이터를 전송하는 예를 나타낸 도면이다.
도 4는 본 발명의 실시예에 따라 넌어드레스 네트워크 장비를 이용하여 단말기의 해킹을 방지하는 예를 나타낸 도면이다.
도 5는 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 기본적인 흐름도를 나타낸 도면이다.
도 6은 본 발명의 실시예에 따른 통신 보안 시스템의 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 흐름도를 나타낸 도면이다.
도 7은 본 발명의 실시예에 따른 통신 보안 시스템의 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 흐름도를 나타낸 도면이다. 1 is a diagram illustrating a basic concept of a communication security system using a non-address network device according to an embodiment of the present invention.
2 is a block diagram schematically illustrating the overall configuration of a communication security system using non-address network equipment according to an embodiment of the present invention.
3 is a diagram illustrating an example of transmitting data between terminals using a non-address network device according to an embodiment of the present invention.
4 is a diagram illustrating an example of preventing hacking of a terminal using a non-address network device according to an embodiment of the present invention.
5 is a flowchart illustrating a method of securing a communication using a non-address network device according to an embodiment of the present invention.
6 is a flowchart illustrating a communication security method using a non-address network device of a communication security system according to an embodiment of the present invention.
FIG. 7 is a flowchart illustrating a communication security method using a non-address network device of a communication security system according to an embodiment of the present invention.
이하, 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art to which the present invention pertains. The present invention may be embodied in many different forms and is not limited to the embodiments described herein.
본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조 부호를 붙이도록 한다.In order to clearly illustrate the present invention, parts not related to the description are omitted, and the same or similar components are denoted by the same reference numerals throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between . Also, when an element is referred to as " comprising ", it means that it can include other elements as well, without departing from the other elements unless specifically stated otherwise.
어느 부분이 다른 부분의 "위에" 있다고 언급하는 경우, 이는 바로 다른 부분의 위에 있을 수 있거나 그 사이에 다른 부분이 수반될 수 있다. 대조적으로 어느 부분이 다른 부분의 "바로 위에" 있다고 언급하는 경우, 그 사이에 다른 부분이 수반되지 않는다.If any part is referred to as being " on " another part, it may be directly on the other part or may be accompanied by another part therebetween. In contrast, when a section is referred to as being " directly above " another section, no other section is involved.
제1, 제2 및 제3 등의 용어들은 다양한 부분, 성분, 영역, 층 및/또는 섹션들을 설명하기 위해 사용되나 이들에 한정되지 않는다. 이들 용어들은 어느 부분, 성분, 영역, 층 또는 섹션을 다른 부분, 성분, 영역, 층 또는 섹션과 구별하기 위해서만 사용된다. 따라서, 이하에서 서술하는 제1 부분, 성분, 영역, 층 또는 섹션은 본 발명의 범위를 벗어나지 않는 범위 내에서 제2 부분, 성분, 영역, 층 또는 섹션으로 언급될 수 있다.The terms first, second and third, etc. are used to describe various portions, components, regions, layers and / or sections, but are not limited thereto. These terms are only used to distinguish any moiety, element, region, layer or section from another moiety, moiety, region, layer or section. Thus, a first portion, component, region, layer or section described below may be referred to as a second portion, component, region, layer or section without departing from the scope of the present invention.
여기서 사용되는 전문 용어는 단지 특정 실시예를 언급하기 위한 것이며, 본 발명을 한정하는 것을 의도하지 않는다. 여기서 사용되는 단수 형태들은 문구들이 이와 명백히 반대의 의미를 나타내지 않는 한 복수 형태들도 포함한다. 명세서에서 사용되는 "포함하는"의 의미는 특정 특성, 영역, 정수, 단계, 동작, 요소 및/또는 성분을 구체화하며, 다른 특성, 영역, 정수, 단계, 동작, 요소 및/또는 성분의 존재나 부가를 제외시키는 것은 아니다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to limit the invention. The singular forms as used herein include plural forms as long as the phrases do not expressly express the opposite meaning thereto. Means that a particular feature, region, integer, step, operation, element and / or component is specified and that the presence or absence of other features, regions, integers, steps, operations, elements, and / It does not exclude addition.
"아래", "위" 등의 상대적인 공간을 나타내는 용어는 도면에서 도시된 한 부분의 다른 부분에 대한 관계를 보다 쉽게 설명하기 위해 사용될 수 있다. 이러한 용어들은 도면에서 의도한 의미와 함께 사용 중인 장치의 다른 의미나 동작을 포함하도록 의도된다. 예를 들면, 도면 중의 장치를 뒤집으면, 다른 부분들의 "아래"에 있는 것으로 설명된 어느 부분들은 다른 부분들의 "위"에 있는 것으로 설명된다. 따라서 "아래"라는 예시적인 용어는 위와 아래 방향을 전부 포함한다. 장치는 90˚ 회전 또는 다른 각도로 회전할 수 있고, 상대적인 공간을 나타내는 용어도 이에 따라서 해석된다.Terms indicating relative space such as " below ", " above ", and the like may be used to more easily describe the relationship to other portions of a portion shown in the figures. These terms are intended to include other meanings or acts of the apparatus in use, as well as intended meanings in the drawings. For example, when inverting a device in the figures, certain portions that are described as being " below " other portions are described as being " above " other portions. Thus, an exemplary term " below " includes both up and down directions. The device can be rotated by 90 degrees or rotated at different angles, and terms indicating relative space are interpreted accordingly.
다르게 정의하지는 않았지만, 여기에 사용되는 기술용어 및 과학용어를 포함하는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 일반적으로 이해하는 의미와 동일한 의미를 가진다. 보통 사용되는 사전에 정의된 용어들은 관련 기술문헌과 현재 개시된 내용에 부합하는 의미를 가지는 것으로 추가 해석되고, 정의되지 않는 한 이상적이거나 매우 공식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms including technical and scientific terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Commonly used predefined terms are further interpreted as having a meaning consistent with the relevant technical literature and the present disclosure, and are not to be construed as ideal or very formal meanings unless defined otherwise.
이하, 첨부한 도면을 참조하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein.
도 1은 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템의 기본적인 개념을 나타낸 도면이다.1 is a diagram illustrating a basic concept of a communication security system using a non-address network device according to an embodiment of the present invention.
도 1에서, 본 발명에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템(100)은, 기본적으로 단말기(110)가 넌어드레스 네트워크 장비(Non-address Network Equipment)(120)를 통해 통신망(130)에 연결된 구성을 포함한다.1, a
단말기(110)는 통신망(130)에 데이터를 송신하거나 수신하기 위한 통신용 단말기로서, 유선 방식 또는 무선 방식 통신용 단말기를 포함한다. 예를 들면, 단말기(110)는 PC, 노트북, VoIP 전화기, 팩시밀리(Fax), 모바일 폰(mobile phone) 등이 될 수 있다.The terminal 110 is a communication terminal for transmitting or receiving data to / from the
넌어드레스 네트워크 장비(120)는 데이터를 송수신하는 통신에 필요한 IP 주소나 MAC 주소 등이 설정되지 않거나, 계정이 필요 없는 네트워크 장치를 의미한다.The
또한, 넌어드레스 네트워크 장비(120)는 제1 입출력부(Input/Output 1)(122)와 제2 입출력부(Input/Output 2)(124) 및 보안부(135)를 포함하고, 제1 입출력부(122)를 통해 통신망(130)에 연결되며, 제2 입출력부(124)를 통해 단말기(110)에 연결된다. 여기서, 제1 입출력부(122)와 제2 입출력부(124)는 예를 들면, LAN(Local Area Network) 카드 등과 같이 네트워크 카드가 될 수 있다.The
보안부(125)는 통신망(130)으로부터 제1 입출력부(122)를 통해 암호화 데이터를 입력 받으면 복호화 하여 복호화 데이터를 제2 입출력부(124)를 통해 단말기(110)로 전달하고, 단말기(110)로부터 제2 입출력부(124)를 통해 데이터를 입력 받으면 암호화하여 암호화 데이터로 제1 입출력부(122)를 통해 통신망(130)에 출력한다.When the encrypted data is received from the
이때, 보안부(125)는 데이터의 암호화 또는 복호화를 위한 암복호화 패킷 정보, 연결 단말 값 및 정상 판단 값을 저장할 수 있다.At this time, the
통신망(130)은 전용망이나 공용망을 포함하고, 인터넷이나 PSTN 등의 유선망과, 지그비(Zigbee)와 블루투스(Bluetooth) 등의 무선망을 포함할 수 있다.The
본 발명의 실시예에서는 유선망을 중심으로 설명하지만 이에 한정되지 않고, 무선망을 통해 동일한 개념으로 적용하여 실시할 수 있다.In the embodiment of the present invention, a wired network is mainly described, but the present invention is not limited thereto, and the same concept can be applied through a wireless network.
한편, 본 발명의 일 실시예에 따른 넌어드레스 네트워크 장비(120)는 단말기(110)와 최초 연결되는 과정에서 연결된 단말기로부터 무작위 패킷을 전달받는다. 넌어드레스 네트워크 장비(120)는 제2 입출력부(124)를 통해 단말기(110)로부터 무작위 패킷을 전달받으면, 보안부(125)에서 해당 패킷을 분석하여 넌어드레스 네트워크 장비(120)와 연결된 단말기의 주소(IP), MAC 및 기타 고유 값을 단말 값으로 획득한 후 보안부(125)에 형성되는 단말 값 저장 영역인 고스트 테이블에 저장한다.Meanwhile, the
이후, 넌어드레스 네트워크 장비(120)는 단말기(110)로부터 전송되는 모든 패킷을 분석하여 고스트 테이블에 저장된 단말 값과 비교함으로써 분석 대상 패킷이 저장된 단말 값과 다른 경우, 넌어드레스 네트워크 장비(120)는 보안부(125)에서 암호화 작업을 수행하거나 제1 입출력부(122)로 해당 패킷을 전달하지 않고 폐기하여 해당 데이터가 통신망(130)으로 전송되는 것을 방지할 수 있다.Then, when the
이를 통해, 넌어드레스 네트워크 장비(120)가 탈취되었거나, 해킹 공격 등으로 인해 네트워크 구조가 변화하였거나, 제2 입출력부와 연결된 단말기(110)의 위변조가 발생하는 등 보안 상의 문제가 발생하는 경우에도 데이터의 보안을 유지할 수 있다.In this way, even if the network structure changes due to the
한편, 본 발명의 일 실시예에 따른 넌어드레스 네트워크 장비(120)는 통신망(130)을 통해 암호화된 데이터를 획득하여 복호화를 수행한 후 복호화 데이터를 단말기(110)에 전달할 수도 있다.Meanwhile, the
제1 입출력부(122)는 통신망(130)을 통해 암호화 데이터를 획득하고, 보안부(125)에 전달한다. 보안부(125)는 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 먼저 확인한다. The first input /
정상 판단 값은 통신하는 다른 넌어드레스 네트워크 장비, 즉 제1 입출력부(122)가 획득한 암호화 데이터를 생성한 넌어드레스 네트워크 장비가 정상적인 장비인지 식별하기 위해 암호화 데이터의 헤더 부분에 추가되는 값이며, 해당 값에 이상이 존재하는 경우 암호화 데이터의 복호화를 수행하지 않고 해당 패킷을 폐기함으로써 DDOS와 같은 무작위 데이터 공격 시 부하를 방지할 수 있다.The normal decision value is a value added to the header part of the encrypted data to identify whether the non-address network equipment that has generated the encrypted data acquired by the other non-address network equipment, i.e., the first input /
정상 판단 값에 이상이 존재하지 않는 경우, 보안부(125)는 암호화 데이터의 헤더를 분석하여 해당 데이터를 생성한 단말기의 단말 값 및 암호화 데이터를 생성한 넌어드레스 네트워크 장비의 장비 값을 고스트 테이블에 저장하고, 해당 단말 값 및 장비 값을 이용하여 암호화 데이터의 헤더를 분석함으로써 통신을 원하는 단말기 및 단말기와 연결된 넌어드레스 네트워크 장비에서 생성된 데이터만을 선택적으로 수신하여 복호화 할 수 있다.If there is no abnormality in the normal judgment value, the
도 2는 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템의 전체적인 구성을 개략적으로 나타낸 구성도이다.2 is a block diagram schematically illustrating the overall configuration of a communication security system using non-address network equipment according to an embodiment of the present invention.
도 2를 참조하면, 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템(200)은, 제1 단말기(112)에 제1 넌어드레스 네트워크 장비(210)가 연결되어 통신망(130)에 연결되고, 제2 단말기(114)에 제2 넌어드레스 네트워크 장비(220)가 연결되어 통신망(130)에 연결된 구성을 포함한다.2, a
여기서, 제1 단말기(112)는 제1 주소가 설정되고, 제2 단말기(114)는 제2 주소가 설정되며, 제1 단말기(112)와 제2 단말기(114)에는 서로 다른 계정이 각각 설정될 수 있다.Here, a first address is set in the
또한, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220) 간의 통신은 가상 사설망을 통한 통신과 같은 효과가 발생할 수 있다.In addition, communication between the first
제1 단말기(112)는 통신망(130)으로부터 제1 주소가 포함된 데이터를 수신하거나, 제2 주소가 포함된 데이터를 생성하여 통신망(130)에 송출한다.The
즉, 제1 단말기(112)는 제2 단말기(114)에 전송하기 위한 제2 주소가 포함된 데이터를 생성하여 통신망(130)에 송출하거나, 제2 단말기(114)로부터 제1 단말기(112)를 향해 송출된 제1 주소가 포함된 데이터를 통신망(130)으로부터 수신하는 것이다.That is, the
여기서, 제1 단말기(112)와 제2 단말기(114)간에 전송되는 데이터는 출발지 주소(Source Address)와 목적지 주소(Destination Address) 및 계정(Identifier) 등을 포함하는 헤더(Header)와, 정보를 포함하는 페이로드(Payroad) 형태로 구성될 수 있다.The data transmitted between the
제2 단말기(114)는 제1 주소가 포함된 데이터를 생성하여 통신망(130)에 송출하거나, 통신망(130)으로부터 제2 주소가 포함된 데이터를 수신한다. 즉, 제2 단말기(114)는 제1 단말기(112)에 데이터를 전송하기 위해 제1 주소가 포함된 데이터를 생성하여 통신망(130)에 송출하거나, 제1 단말기(112)에서 제2 단말기(114)를 향해 송출한 제2 주소가 포함된 데이터를 통신망(130)으로부터 수신하는 것이다.The
제1 넌어드레스 네트워크 장비(210) 및 제2 넌어드레스 네트워크 장비(220)는, 각각 IP 주소와 계정이 설정되지 않은, 즉, 주소 및 계정이 없는 상태에서, 각각 제1 보안부(215)의 동작과 제2 보안부(225)의 동작을 실행할 수 있다.The first
또한, 제1 넌어드레스 네트워크 장비(210) 및 제2 넌어드레스 네트워크 장비(220)는, 더미 허브(Dummy Hub) 장치와 같이 동작하며, 보안 관련 기능은 하드웨어(Hardware)뿐만 아니라 소프트웨어(Software)로도 구성할 수 있다.In addition, the first
제1 넌어드레스 네트워크 장비(210)는 제1-1 입출력부(211)와 제1-2 입출력부(212) 및 제1 보안부(215)를 포함한다.The first
제1-1 입출력부(211)는 일 측이 제1 보안부(215)를 통해 제1-2 입출력부(212)에 연결되고 다른 측이 통신망(130)에 연결된다.One end of the 1-1 input /
제1-2 입출력부(212)는 일 측이 제1 단말기(112)에 연결되고, 다른 측이 제1 보안부(215)를 통해 제1-1 입출력부(211)에 연결된다.The first 1-2 input and
제1 보안부(215)는 제1-1 입출력부(211)로부터 입력된 암호화 데이터를 복호화하거나, 제1-2 입출력부(212)로부터 입력된 데이터를 암호화하며, 암호화 및 복호화를 위한 키를 저장한다.The
제2 넌어드레스 네트워크 장비(220)는 제2-1 입출력부(221)와 제2-2 입출력부(222) 및 제2 보안부(225)를 포함한다.The second
제2-1 입출력부(221)는 일측이 통신망(130)에 연결되고, 다른 측이 제2 보안부(225)를 통해 제2-2 입출력부(222)에 연결된다.The second I /
제2-2 입출력부(222)는 일측이 제2 보안부(225)를 통해 제2-1 입출력부(221)에 연결되고 다른 측이 제2 단말기(114)에 연결된다.One end of the second I /
제2 보안부(225)는 제2-1 입출력부(221)로부터 입력된 암호화 데이터를 복호화하거나, 제2-2 입출력부(222)로부터 입력된 데이터를 암호화하며, 암호화 및 복호화를 위한 키를 저장한다.The
이때, 제1-1 입출력부(211)와 제1-2 입출력부(212) 간의 연결과, 제2-1 입출력부(221)와 제2-2 입출력부(222) 간의 연결은, 각각 브릿지(Bridge) 방식으로 연결될 수 있다.The first 1-1 input and
또한, 제1 보안부(215)는, 도 2에 도시된 바와 다르게 제1-1 입출력부(211) 또는 제1-2 입출력부(212)에 포함되거나, 도 2에 도시된 바와 같이 제1-1 입출력부(211) 및 제1-2 입출력부(212)와 별개로 제1 넌어드레스 네트워크 장비(210)에 포함될 수 있다.2, the
또한, 제2 보안부(225)는, 도 2에 도시된 바와 다르게 제2-1 입출력부(221) 또는 제2-2 입출력부(222)에 포함되거나, 제2-1 입출력부(221) 및 제2-2 입출력부(222)와 별개로 제2 넌어드레스 네트워크 장비(220)에 포함될 수 있다.2, the
또한, 제1 보안부(215)는, 제1 단말기(112)로부터 제1-2 입출력부(212)를 통해 입력된 제1 데이터를 특정 알고리즘에 따라 재가공하는 암호화를 통해 제1 암호화 데이터로 생성해 제1-1 입출력부(211)를 통해 통신망(130)에 출력한다.The
제1 데이터는 헤더부에 출발지 단말기의 단말 값인 제1 단말 값과 제1 암호화 데이터를 생성하는 넌어드레스 네트워크 장비의 장비 값인 제1 장비 값을 포함하며, 도착지 단말기의 단말 값인 제2 단말 값과 제1 암호화 데이터의 복호화를 수행하는 넌어드레스 네트워크 장비의 장비 값인 제2 장비 값을 더 포함한다.The first data includes a first device value, which is a device value of a non-address network device that generates a first terminal value and a first encrypted data, which are terminal values of a source terminal and a second terminal value, 1 < / RTI > device value of the non-address network equipment that performs decryption of the first encryption data.
이때, 제1 보안부(215)는 제1 암호화 데이터의 헤더가 정상 판단 값을 더 포함하도록 제1 데이터를 특정 알고리즘에 따라 재가공하는 암호화 과정을 수행할 수도 있다.At this time, the
또한, 제2 보안부(225)는, 제2 단말기(114)로부터 제2-2 입출력부(222)를 통해 입력된 제2 데이터를 특정 알고리즘에 따라 재가공하는 암호화를 통해 제2 암호화 데이터로 생성해 제2-1 입출력부(221)를 통해 통신망(130)에 출력한다.Also, the
제2 데이터는 헤더부에 출발지 단말기의 단말 값인 제2 단말 값과 제2 암호화 데이터를 생성하는 넌어드레스 네트워크 장비의 장비 값인 제2 장비 값을 포함하며, 도착지 단말기의 단말 값인 제1 단말 값과 제2 암호화 데이터의 복호화를 수행하는 넌어드레스 네트워크 장비의 장비 값인 제1 장비 값을 더 포함한다.The second data includes a second device value, which is a device value of a non-address network device that generates a second terminal value and a second encrypted data, which are terminal values of a source terminal and a second terminal value, 2 < / RTI > device value of the non-address network equipment performing decryption of the second encryption data.
이때, 제2 보안부(225)는 제2 암호화 데이터의 헤더가 정상 판단 값을 더 포함하도록 제2 데이터를 특정 알고리즘에 따라 재가공하는 암호화 과정을 수행할 수도 있다.At this time, the
한편, 통신망(130)에 연결된 제1-1 입출력부(211) 및 제2-1 입출력부(221)는, 통신망(130)을 통해 전송되는 모든 데이터를 수신하기 위한 프러미스큐어스 모드(Promiscuous mode)로 동작한다.The 1-1 input and
즉, 프러미스큐어스 모드에서 제1-1 입출력부(211) 및 제2-1 입출력부(221)는 통신망(130)으로부터 수신되는 데이터 및 암호화 데이터를 포함하는 모든 데이터를 입력 받아 각각 제1 보안부(215)와 제2 보안부(225)에 전달한다.That is, the first 1-1 input /
따라서, 제1 보안부(215)는, 통신망(130)으로부터 제1-1 입출력부(211)를 통해 제2 암호화 데이터가 입력되면, 입력된 제2 암호화 데이터를 특정 알고리즘에 따라 재가공하는 복호화를 통해 제2 데이터로 제1-2 입출력부(212)를 통해 제1 단말기(112)에 출력한다. Accordingly, when the second encryption data is input from the
즉, 제2 단말기(114)에서 전송한 제2 데이터가 제2 넌어드레스 네트워크 장비(220)를 통해 제2 암호화 데이터로 생성되어 통신망(130)을 경유해 제1 넌어드레스 네트워크 장비(210)로 전달되고, 제1 넌어드레스 네트워크 장비(210)에서 제2 암호화 데이터를 제1 보안부(215)를 통해 복호화하여 제2 데이터로 생성해 제1 단말기(112)에 전달함으로써, 제2 단말기(114)에서 제1 단말기 (112)로 데이터가 안전하게 전송되는 것이다.That is, the second data transmitted from the
또한, 제2 보안부(225)는, 통신망(130)으로부터 제2-1 입출력부(221)를 통해 제1 암호화 데이터가 입력되면, 입력된 제1 암호화 데이터를 특정 알고리즘에 따라 재가공하는 복호화를 통해 제1 데이터로 제2-2 입출력부(222)를 통해 제2 단말기(114)에 출력한다. When the first encryption data is inputted from the
즉, 제1 단말기(112)에서 전송한 제1 데이터가 제1 넌어드레스 네트워크 장비(210)를 통해 제1 암호화 데이터로 생성되어 통신망(130)을 경유해 제2 넌어드레스 네트워크 장비(220)로 전달되고, 제2 넌어드레스 네트워크 장비(220)에서 제1 암호화 데이터를 제2 보안부(225)를 통해 복호화하여 제1 데이터로 생성해 제2 단말기(114)에 전달함으로써, 제1 단말기(112)에서 제2 단말기(114)로 데이터가 안전하게 전송되는 것이다.That is, the first data transmitted from the
한편, 본 발명의 일 실시예에 따른 제1 넌어드레스 네트워크 장비(210)는 제1 단말기(112)와 최초 연결되는 과정에서 연결된 단말기로부터 무작위 패킷을 전달받는다. Meanwhile, the first
제1 넌어드레스 네트워크 장비(210)는 제1-2 입출력부(212)를 통해 제1 단말기(112)로부터 무작위 패킷을 전달받으면, 제1 보안부(215)에서 해당 패킷을 분석하여 제1 넌어드레스 네트워크 장비(210)와 연결된 단말기의 주소(IP), MAC 및 기타 고유 값을 포함하는 제1 단말 값을 획득한 후 제1 보안부(215)에 형성되는 단말 값 저장 영역인 고스트 테이블에 저장한다.When the first
이후, 제1 넌어드레스 네트워크 장비(210)는 제1 단말기(112)로부터 전송되는 모든 패킷을 분석하여 고스트 테이블에 저장된 제1 단말 값과 비교함으로써 분석 대상 패킷이 제1 단말 값과 다른 경우, 제1 넌어드레스 네트워크 장비(210)가 보안부(215)에서 암호화 작업을 수행하지 않거나 제1-1 입출력부(211)로 해당 패킷을 전달하지 않고 폐기하여 해당 데이터가 통신망(130)으로 전송되는 것을 방지할 수 있다.Thereafter, the first
이를 통해, 제1 넌어드레스 네트워크 장비(210)가 탈취되었거나, 해킹 공격 등으로 인해 네트워크 구조가 변화하였거나, 제1-2 입출력부(212)와 연결된 제1 단말기(112)의 위변조가 발생하는 등 보안 상의 문제가 발생하는 경우에도 데이터의 보안을 유지할 수 있다.In this case, the first
또, 본 발명의 일 실시예에 따른 제2 넌어드레스 네트워크 장비(220)는 제2 단말기(114)와 최초 연결되는 과정에서 연결된 단말기로부터 무작위 패킷을 전달받는다. In addition, the second
제2 넌어드레스 네트워크 장비(220)는 제2-2 입출력부(222)를 통해 제2 단말기(114)로부터 무작위 패킷을 전달받으면, 제2 보안부(225)에서 해당 패킷을 분석하여 제2 넌어드레스 네트워크 장비(220)와 연결된 단말기의 주소(IP), MAC 및 기타 고유 값을 포함하는 제2 단말 값을 획득한 후 제2 보안부(225)에 형성되는 단말 값 저장 영역인 고스트 테이블에 저장한다.When the second
이후, 제2 넌어드레스 네트워크 장비(220)는 제2 단말기(114)로부터 전송되는 모든 패킷을 분석하여 고스트 테이블에 저장된 제2 단말 값과 비교함으로써 분석 대상 패킷이 제2 단말 값과 다른 경우, 제2 넌어드레스 네트워크 장비(220)가 보안부(225)에서 암호화 작업을 수행하지 않거나 제2-1 입출력부(211)로 해당 패킷을 전달하지 않고 폐기하여 해당 데이터가 통신망(130)으로 전송되는 것을 방지할 수 있다.Then, the second
이를 통해, 제2 넌어드레스 네트워크 장비(220)가 탈취되었거나, 해킹 공격 등으로 인해 네트워크 구조가 변화하였거나, 제2-2 입출력부(222)와 연결된 제2 단말기(114)의 위변조가 발생하는 등 보안 상의 문제가 발생하는 경우에도 데이터의 보안을 유지할 수 있다.Thus, the second
도 3은 본 발명의 실시예에 따라 넌어드레스 네트워크 장비를 이용하여 단말기 간에 데이터를 전송하는 예를 나타낸 도면이다. 도 3에서, 제1 단말기(112) 및 제2 단말기(114)는 데이터만 인식하고 데이터를 송신하거나 수신하며, 암호화 데이터는 인식하지 못하므로 처리하지 못한다.3 is a diagram illustrating an example of transmitting data between terminals using a non-address network device according to an embodiment of the present invention. In FIG. 3, the
전술한 바와 같이 본 발명에 의하면, 제1 단말기(112)와 제2 단말기(114) 간의 데이터 전송 시에, 도 3에 도시된 바와 같이 제1 단말기(112)는 제1 넌어드레스 네트워크 장비(210)를 통해 통신망(130)에 연결되고, 제2 단말기(114)는 제2 넌어드레스 네트워크 장비(220)를 통해 통신망(130)에 연결된 상태에서, 제1 단말기(112)와 제1 넌어드레스 네트워크 장비(210) 사이는 데이터로 전송되고, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220) 사이는 통신 망(130)을 통해 암호화 데이터로 전송되며, 제2 단말기(114)와 제2 넌어드레스 네트워크 장비(220) 사이는 데이터로 전송된다.As described above, according to the present invention, when data is transmitted between the
즉, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)는 통신망(130)을 통해 암호화 데이터만을 교환하기 때문에, 제1 보안부(215) 및 제2 보안부(225)는 제1-1 입출력부(211) 및 제2-1 입출력부(221)에서 수신하는 데이터가 암호화 데이터가 아닌 경우, 해당 데이터를 폐기함으로써 넌어드레스 네트워크 장비의 부하를 방지할 수 있다. That is, since the first
한편, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)는 통신망(130)을 통해 암호화 데이터를 교환하기 위해 서로 통신을 주고받는다. Meanwhile, the first
이때, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)가 첫 교신을 수행하면, 제1-1 입출력부(211)는 제2-1 입출력부(221)로부터 통신망(130)을 통해 전달받은 패킷의 헤더를 분석하여 제2 단말기의 정보인 제2 단말 값 및 제2 넌어드레스 네트워크 장비(220)의 장비 값인 제2 장비 값을 제1 보안부(215)에 형성되는 제1 고스트 테이블에 저장한다.At this time, when the first
또, 제2-1 입출력부(221)는 제1-1 입출력부(211)로부터 통신망(130)을 통해 전달받은 패킷의 헤더를 분석하여 제1 단말기의 정보인 제1 단말 값 및 제1 넌어드레스 네트워크 장비(210)의 장비 값인 제1 장비 값을 제2 보안부(225)에 형성되는 제2 고스트 테이블에 저장한다.The 2-1 input /
이를 통해 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)는 서로의 단말 값 및 장비 값을 공유할 수 있으며, 공유하는 단말 값 및 장비 값을 이용하여 수신하는 암호화 데이터가 기 설정된 단말에서, 즉 데이터 송수신이 허용된 단말에서 생성된 데이터인지, 허용된 넌어드레스 네트워크 장비에서 암호화된 데이터인지 확인할 수 있다.Accordingly, the first
또, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)는 제1 단말기(112) 및 제2 단말기(114)로부터 전달받은 데이터의 암호화를 수행한 후, 암호화 데이터의 헤더 부분에 정상 판단 값을 추가할 수 있다.The first
정상 판단 값은 해당 암호화 데이터를 생성한 넌어드레스 네트워크 장비가 정상적인 장비인지, 다시 말해 데이터 송수신이 허용된 장비에서 생성된 암호화 데이터인지 식별하기 위해 암호화 데이터의 헤더 부분에 추가되는 값이며, 해당 값에 이상이 존재하는 경우 암호화 데이터의 복호화를 수행하지 않고 해당 패킷을 폐기함으로써 DDOS와 같은 무작위 데이터 공격 시 부하를 방지할 수 있다.The normal judgment value is a value added to the header part of the encrypted data in order to identify whether the non-address network equipment that generated the corresponding encrypted data is a normal device, that is, the encrypted data generated by the device permitted to transmit and receive data, If there is an error, the load of the random data attack such as DDOS can be prevented by discarding the corresponding packet without decrypting the encrypted data.
또, 수신한 암호화 데이터에 정상 판단 값에 이상이 존재하지 않는 경우, 제1 보안부(215) 및 제2 보안부(225)는 암호화 데이터의 헤더를 분석하여 해당 데이터를 생성한 단말기의 단말 값 및 암호화를 수행한 넌어드레스 네트워크 장비의 장비 값을 고스트 테이블에 저장하고, 해당 단말 값 및 장비 값을 이용하여 암호화 데이터의 헤더를 분석함으로써 통신을 원하는 단말기에서 생성되고 허용된 넌어드레스 네트워크 장비에서 암호화된 데이터만을 선택적으로 수신하여 복호화 할 수 있다.If there is no abnormality in the received decryption data, the
한편, 도4에는 제 3의 단말기(116)가 제3 넌어드레스 네트워크 장비(230)를 이용하여 통신망(130)에 해킹 데이터를 송출하거나 데이터를 해킹하기 위해 암호화 데이터를 수신하는 상황이 나타나고 있다.4 illustrates a situation where the
도 4를 참고하면, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)가 암호화 데이터를 주고받는 과정에서 제3 넌어드레스 네트워크 장비(230)를 이용하여 해커 단말기(116)가 통신망(130)에 접근할 수 있다.4, when the first
제3 넌어드레스 네트워크 장비(230)는 통신망(130)을 통해 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220) 사이에서 통신중인 암호화 데이터를 획득하여 해커 단말기(116)에게 전달할 수도 있으며, 해커 단말기(116)에서 생성된 데이터를 암호화하여 통신망(130)을 통해 제1 넌어드레스 네트워크 장비(210) 또는 제2 넌어드레스 네트워크 장비(220)에 해킹 데이터를 전달할 수도 있다.The third
이때, 제1 넌어드레스 네트워크 장비(210)와 제2 넌어드레스 네트워크 장비(220)는 첫 교신을 마침으로써 각각의 단말 값 및 장비 값을 서로 저장하고 있지만, 제3 넌어드레스 네트워크 장비(230)는 교신 중간에 새로운 데이터를 전달하고 있기 때문에 제1 및 제2 단말 값, 제1 및 제2 장비 값과 정상 판단 값을 가지지 못한다. At this time, the first
따라서, 해커 단말기(116)가 제3 넌어드레스 네트워크 장비(230)를 이용하여 통신망(130)으로부터 제1 또는 제2 암호화 데이터를 획득하더라도, 제1 및 제2 단말 값과 제1 및 제2 장비 값을 제3 넌어드레스 네트워크 장비(230)가 가지고 있지 않기 때문에 제3 넌어드레스 네트워크 장비(230)는 통신망(130)으로부터 획득한 제1 또는 제2 암호화 데이터의 해독이 불가능할 뿐 아니라, 제1 또는 제2 암호화 데이터를 폐기하도록 설정될 수 있다.Accordingly, even if the
또, 해커 단말기(116)로부터 생성된 데이터가 제3 넌어드레스 네트워크 장비(230)에서 해킹 데이터로 암호화하여 통신망(130)에 송출되더라도, 제1 넌어드레스 네트워크 장비(210) 및 제2 넌어드레스 네트워크 장비(220)는 해킹 데이터에 제1 및 제2 단말 값, 제1 및 제2 장비 값과 정상 판단 값이 존재하지 않기 때문에 해당 데이터를 폐기함으로써 해킹 공격을 방어할 수 있다.Even if the data generated from the
도 5는 본 발명의 실시예에 따른 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 기본적인 흐름도를 나타낸 도면이다.5 is a flowchart illustrating a method of securing a communication using a non-address network device according to an embodiment of the present invention.
도 1 및 도 5를 참조하면, 본 발명에 따른 넌어드레스 네트워크 장비(120)에서, 보안부(125)는 단말기(110)로부터 제2 입출력부(124)를 통해 데이터를 입력받는 경우에(S510), 해당 데이터를 암호화하여 암호화 데이터를 생성해 제1 입출력부(122)를 통해 통신망(130)에 출력한다(S520).1 and 5, in the
한편, 보안부(125)는 단계 S510에서 단말기(110)와 최초 연결되는 과정에서 연결된 단말기로부터 무작위 패킷을 전달받는다. 보안부(125)는 제2 입출력부(124)를 통해 단말기(110)로부터 무작위 패킷을 전달받으면, 해당 패킷을 분석하여 연결된 단말기(110)의 주소(IP), MAC 및 기타 고유 값을 단말 값으로 획득한 후 보안부(125)에 형성되는 단말 값 저장 영역인 고스트 테이블에 저장한다.Meanwhile, the
이후, 넌어드레스 네트워크 장비(120)는 단말기(110)로부터 전송되는 모든 패킷을 분석하여 고스트 테이블에 저장된 단말 값과 비교함으로써 분석 대상 패킷이 저장된 단말 값과 다른 경우, 넌어드레스 네트워크 장비(120)는 보안부(125)에서 암호화 작업을 수행하거나 제1 입출력부(122)로 해당 패킷을 전달하지 않고 폐기하여 해당 데이터가 통신망(130)으로 전송되는 것을 방지할 수 있다.Then, when the
이를 통해, 넌어드레스 네트워크 장비(120)가 탈취되었거나, 해킹 공격 등으로 인해 네트워크 구조가 변화하였거나, 제2 입출력부와 연결된 단말기(110)의 위변조가 발생하는 등 보안 상의 문제가 발생하는 경우에도 데이터의 보안을 유지할 수 있다.In this way, even if the network structure changes due to the
한편, 보안부(125)는 통신망(130)으로부터 제1 입출력부(122)를 통해 암호화 데이터를 입력받는 경우에(S530), 해당 암호화 데이터를 복호화하여 복호화 데이터를 생성해 제2 입출력부를 통해 단말기에 출력한다(S540).Meanwhile, when the
제1 입출력부(122)는 통신망(130)을 통해 암호화 데이터를 획득하고, 보안부(125)에 전달한다. 보안부(125)는 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 먼저 확인한다. The first input /
정상 판단 값은 통신하는 다른 넌어드레스 네트워크 장비, 즉 제1 입출력부(122)가 획득한 암호화 데이터를 생성한 넌어드레스 네트워크 장비가 정상적인 장비인지 식별하기 위해 암호화 데이터의 헤더 부분에 추가되는 값이며, 해당 값에 이상이 존재하는 경우 암호화 데이터의 복호화를 수행하지 않고 해당 패킷을 폐기함으로써 DDOS와 같은 무작위 데이터 공격 시 부하를 방지할 수 있다.The normal decision value is a value added to the header part of the encrypted data to identify whether the non-address network equipment that has generated the encrypted data acquired by the other non-address network equipment, i.e., the first input /
정상 판단 값에 이상이 존재하지 않는 경우, 보안부(125)는 암호화 데이터의 헤더를 분석하여 해당 데이터를 생성한 단말기의 단말 값 및 암호화 데이터를 생성한 넌어드레스 네트워크 장비의 장비 값을 고스트 테이블에 저장하고, 해당 단말 값 및 장비 값을 이용하여 암호화 데이터의 헤더를 분석함으로써 통신을 원하는 단말기 및 단말기와 연결된 넌어드레스 네트워크 장비에서 생성된 데이터만을 선택적으로 수신하여 복호화 할 수 있다.If there is no abnormality in the normal judgment value, the
도 6은 본 발명의 실시예에 따른 통신 보안 시스템의 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 흐름도를 나타낸 도면이다. 즉, 도 6은 제1 단말기(112)에서 제2 단말기(114)로 데이터를 전송하는 과정을 나타낸 흐름도이다.6 is a flowchart illustrating a communication security method using a non-address network device of a communication security system according to an embodiment of the present invention. 6 is a flowchart illustrating a process of transmitting data from the
도 2 및 도 6을 참조하면, 본 발명의 실시예에 따른 통신 보안 시스템(200)은, 제1 단말기(112)가 제2 주소가 포함된 데이터를 생성하여 제1-2 입출력부(212)를 통해 제1 넌어드레스 네트워크 장비(210)에 송출한다(S610).2 and 6, the
여기서 제1 넌어드레스 네트워크 장비(210)는 제2 주소가 포함된 데이터를 암호화하기 위해 제1 보안부(215)의 고스트 테이블에 기 저장된 제1 단말 값과 제2 주소가 포함된 데이터의 단말 값을 비교하여 동일한 단말 값인지 확인하고, 동일한 단말 값이 아닌 경우 해당 데이터를 폐기함으로써 제2 주소로 해킹 데이터가 전송되지 않도록 할 수 있다.Here, the first
이어, 제1 넌어드레스 네트워크 장비(210)에서 제1 보안부(215)가 제2 주소가 포함된 데이터의 단말 값과 기 저장된 제1 단말 값이 동일하다고 판단하는 경우, 제1 보안부(215)는 제2 주소가 포함된 데이터를 암호화하여 특정 알고리즘에 따라 재가공하여 제1 암호화 데이터로 생성해 제1-1 입출력부(211)를 통해 통신망(130)에 송출한다(S620).If the
여기서 제1 보안부(215)는 제2 주소가 포함된 데이터를 암호화하기 전, 제1 넌어드레스 네트워크 장비(210)의 장비 값인 제1 장비 값과 제2 주소를 가지는 제2 단말기(114)와 연결된 제2 넌어드레스 네트워크 장비(220)의 장비 값인 제2 장비 값을 고스트 테이블로부터 획득하여 제1 암호화 데이터의 헤더 부분에 정상 판단 값과 함께 제1 장비 값 및 제2 장비 값을 포함시킬 수 있다.Here, the
정상 판단 값은 통신하는 넌어드레스 네트워크 장비가 정상적인 장비라는 것을 증명하기 위해 암호화 데이터의 헤더 부분에 추가되는 값이며, 해당 값에 이상이 존재하는 경우 암호화 데이터를 수신한 넌어드레스 네트워크 장비는 암호화 데이터의 복호화를 수행하지 않고 해당 패킷을 폐기함으로써 DDOS와 같은 무작위 데이터 공격 시 부하를 방지할 수 있다.The normal decision value is a value added to the header part of the encrypted data in order to prove that the non-address network equipment to be communicated is a normal equipment. If there is an error in the corresponding value, the non-address network equipment, It is possible to prevent the load of a random data attack such as a DDOS by discarding the packet without performing decoding.
이어, 제2 넌어드레스 네트워크 장비(220)에서 제2-1 입출력부(221)가 통신망(130)으로부터 제1 암호화 데이터를 수신해 제2 보안부(225)에 전달한다(S630).The second -1 input /
이어, 제2 보안부(225)는 제1 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 제2 주소가 포함된 데이터로 생성해 제2-2 입출력부(222)를 통해 제2 단말기(114)에 전달한다(S640).Then, the
제2 보안부(225)는 제1 암호화 데이터를 전달받으면, 제1 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 확인한다. 제2 보안부(225)는 정상 판단 값에 이상이 있는 경우, 제1 암호화 데이터가 인가되지 않은 장비를 이용하여 암호화 된 데이터로 판단하고 제1 암호화 데이터를 폐기한다.When the
또, 제2 보안부(225)는 정상 판단 값에 이상이 없는 경우, 제1 암호화 데이터를 복호화를 수행한다. 이때, 제2 보안부(225)는 제1 암호화 데이터의 복호화 과정에서 제1 주소, 제1 장비 값, 제2 주소 및 제2 장비 값 중 어느 하나라도 제2 보안부(225)의 고스트 테이블에 저장된 값과 차이가 있는 경우, 제1 암호화 데이터를 인가되지 않은 데이터로 판단하여 폐기함으로써 제1 단말기(112)로부터 송출된 데이터가 제2 단말기(114)에서 안전하게 수신하게 되는 것이다.The
도 7은 본 발명의 실시예에 따른 통신 보안 시스템의 넌어드레스 네트워크 장비를 이용한 통신 보안 방법을 설명하기 위한 흐름도를 나타낸 도면이다. 즉, 도 7은 제2 단말기(114)에서 제1 단말기(112)로 데이터를 전송함에 따라 제1 단말기(112)가 제2 단말기(114)로부터 송출된 데이터를 수신하는 과정을 나타낸 흐름도이다.FIG. 7 is a flowchart illustrating a communication security method using a non-address network device of a communication security system according to an embodiment of the present invention. 7 is a flowchart illustrating a process in which the
도 2 및 도 7을 참조하면, 본 발명의 실시예에 따른 통신 보안 시스템(200)은, 제2 단말기(114)가 제1 주소가 포함된 데이터를 생성하여 제2-2 입출력 부(222)를 통해 제2 넌어드레스 네트워크 장비(220)에 송출한다(S710).2 and 7, a
여기서 제2 보안부(225)는 제1 주소가 포함된 데이터를 암호화하기 위해 제2 보안부(215)의 고스트 테이블에 기 저장된 제2 단말 값과 제1 주소가 포함된 데이터의 단말 값을 비교하여 동일한 단말 값인지 확인하고, 동일한 단말 값이 아닌 경우 해당 데이터를 폐기함으로써 제1 주소로 해킹 데이터가 전송되지 않도록 할 수 있다The
이어, 제2 넌어드레스 네트워크 장비(220)에서 제2 보안부(225)가 제2 주소가 포함된 데이터의 단말 값과 기 저장된 제2 단말 값이 동일하다고 판단하는 경우, 제2 보안부(225)는 제1 주소가 포함된 데이터를 암호화하여 특정 알고리즘에 따라 재가공하여 제2 암호화 데이터로 생성해 제2-1 입출력부(221)를 통해 통신망(130)에 송출한다(S720).If the
여기서, 제2 보안부(225)는 제1 주소가 포함된 데이터를 암호화하기 전, 제2 넌어드레스 네트워크 장비(220)의 장비 값인 제2 장비 값과 제1 주소를 가지는 제1 단말기(112)와 연결된 제1 넌어드레스 네트워크 장비(210)의 장비 값인 제1 장비 값을 고스트 테이블로부터 획득하여 제2 암호화 데이터의 헤더 부분에 정상 판단 값과 함께 제1 장비 값 및 제2 장비 값을 포함시킬 수 있다.Here, the
정상 판단 값은 통신하는 넌어드레스 네트워크 장비가 정상적인 장비라는 것을 증명하기 위해 암호화 데이터의 헤더 부분에 추가되는 값이며, 해당 값에 이상이 존재하는 경우 암호화 데이터를 수신한 넌어드레스 네트워크 장비는 암호화 데이터의 복호화를 수행하지 않고 해당 패킷을 폐기함으로써 DDOS와 같은 무작위 데이터 공격 시 부하를 방지할 수 있다.The normal decision value is a value added to the header part of the encrypted data in order to prove that the non-address network equipment to be communicated is a normal equipment. If there is an error in the corresponding value, the non-address network equipment, It is possible to prevent the load of a random data attack such as a DDOS by discarding the packet without performing decoding.
이어, 제1 넌어드레스 네트워크 장비(210)에서 제1-1 입출력부(211)가 통신망(130)으로부터 제2 암호화 데이터를 수신해 제1 보안부(215)에 전달한다(S730).In the first
이어, 제1 보안부(215)는 제2 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 제1 주소가 포함된 데이터로 생성해 제1-2 입출력부(212)를 통해 제1 단말기(112)에 전달한다(S740).The
제1 보안부(215)는 제2 암호화 데이터를 전달받으면, 제2 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 확인한다. 제1 보안부(215)는 정상 판단 값에 이상이 있는 경우, 제1 암호화 데이터가 인가되지 않은 장비를 이용하여 암호화된 데이터로 판단하고 제2 암호화 데이터를 폐기한다.When the
또, 제1 보안부(215)는 정상 판단 값에 이상이 없는 경우, 제2 암호화 데이터를 복호화를 수행한다. 이때, 제1 보안부(215)는 제2 암호화 데이터의 복호화 과정에서 제1 주소, 제1 장비 값, 제2 주소 및 제2 장비 값 중 어느 하나라도 제1 보안부(215)의 고스트 테이블에 저장된 값과 차이가 있는 경우, 제2 암호화 데이터를 인가되지 않은 데이터로 판단하여 폐기함으로써 제2 단말기(114)로부터 송출된 데이터가 제1 단말기(112)에서 안전하게 수신하게 되는 것이다.If there is no abnormality in the normal judgment value, the
전술한 바와 같이 본 발명에 의하면, 각종 전용망과 공용망을 통해 데이터를 송수신하는 단말기들의 해킹이나 도청 및 감청을 IP 주소나 계정이 없는 넌어드레스 네트워크 장비를 이용하여 차단함으로써 데이터 전송의 보안을 유지하고 해킹이나 도청 및 감청을 방지할 수 있도록 하는, 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법을 실현할 수 있다.As described above, according to the present invention, hacking, eavesdropping, and tapping of terminals transmitting and receiving data through various private networks and public networks are blocked by using an IP address or a non-address network device without an account, It is possible to realize a communication security system and method using non-address network equipment, which can prevent hacking, eavesdropping and eavesdropping.
본 발명이 속하는 기술 분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구 범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the present invention as defined by the following claims and their equivalents. Only. It is intended that the present invention covers the modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents. .
100: 통신 보안 시스템 110: 단말기
112: 제1 단말기 114: 제2 단말기
116: 해킹 단말기 120: 넌어드레스 네트워크 장비
122: 제1 입출력부 124: 제2 입출력부
125: 보안부 130: 통신망
210: 제1 넌어드레스 네트워크 장비
211: 제1-1 입출력부 212: 제1-2 입출력부
215: 제1 보안부 220: 제2 넌어드레스 네트워크 장비
221: 제2-1 입출력부 222: 제2-2 입출력부
225: 제2 보안부 230: 제3 넌어드레스 네트워크 장비100: communication security system 110: terminal
112: first terminal 114: second terminal
116: Hacking terminal 120: Non-address network equipment
122: first input / output unit 124: second input /
125: security unit 130:
210: first non-address network equipment
211: 1-1 input / output unit 212: 1-2 input / output unit
215: first security unit 220: second non-address network equipment
221: 2-1 input / output unit 222: 2-2 input / output unit
225: second security unit 230: third non-address network equipment
Claims (15)
상기 제1 단말기에 연결된 제2 입출력부;
상기 제2 입출력부에 일측이 연결되고 다른 측이 통신망에 연결된 제1 입출력부; 및
상기 제1 입출력부로부터 입력된 제1 암호화 데이터를 복호화하고, 상기 제2 입출력부로부터 입력된 데이터를 암호화하여 제2 암호화 데이터를 생성하는 IP 주소와 계정이 설정되지 않은 상태에서 동작하는 보안부를 포함하며,
상기 보안부는, 상기 제1 암호화 데이터의 폐기 여부를 판단하기 위해 상기 제1 암호화 데이터의 헤더 부분에 포함된 정상 판단 값을 이용하며,
상기 제2 암호화 데이터를 생성하기 위해 제1 단말 값을 이용하여 데이터의 폐기 여부를 판단한 후, 상기 보안부의 상기 정상 판단 값 및 상기 넌어드레스 네트워크 장비를 구분할 수 있도록 기 설정되는 장비 값을 상기 제2 암호화 데이터의 헤더부분에 추가하는 넌어드레스 네트워크 장비.The first terminal having the first address receives and decodes the first encrypted data transmitted through the communication network, generates the decoded data and transmits the decoded data to the first terminal, or transmits the decoded data to the first terminal having the second address 2 non-address network equipment for encrypting data received from the first terminal to generate second encrypted data and transmitting the encrypted data via the communication network,
A second input / output unit connected to the first terminal;
A first input / output unit having one side connected to the second input / output unit and the other side connected to a communication network; And
An IP address for decrypting the first encrypted data input from the first input / output unit and encrypting the data input from the second input / output unit to generate second encrypted data, and a security unit operating in a state where no account is set In addition,
Wherein the security unit uses a normal determination value included in a header portion of the first encrypted data to determine whether to discard the first encrypted data,
Wherein the control unit determines whether the data is discarded using the first terminal value to generate the second encrypted data, and then transmits the device value, which is set to distinguish the normal determination value of the security unit and the non- Non-addressed network equipment that adds to the header part of the encrypted data.
상기 제1 단말기에 연결된 제1-2 입출력부;
상기 제1-2 입출력부에 일측이 연결되고 다른 측이 통신망에 연결된 제1-1 입출력부; 및
상기 제1-1 입출력부로부터 입력된 암호화 데이터를 복호화하고, 상기 제1-2 입출력부로부터 입력된 데이터를 암호화하는 제1 보안부를 포함하는 제1 넌어드레스 네트워크 장비; 및
상기 통신망에 연결된 제2-1 입출력부;
상기 제2-1 입출력부에 일 측이 연결되고 다른 측이 상기 제2 단말기에 연결된 제2-2 입출력부; 및
상기 제2-1 입출력부로부터 입력된 암호화 데이터를 복호화하고, 상기 제2-2 입출력부로부터 입력된 데이터를 암호화하는 제2 보안부를 포함하는 제2 넌어드레스 네트워크 장비;를 포함하며,
상기 제1 넌어드레스 네트워크 장비 및 상기 제2 넌어드레스 네트워크 장비는, 각각 IP 주소와 계정이 설정되지 않은 상태에서, 상기 제1 보안부의 동작과 상기 제2 보안부의 동작을 실행하고,
상기 제1 주소가 설정되어 있는 상기 제1 단말기가 상기 제2 주소가 설정되어 있는 상기 제2 단말기로 데이터를 송신하는 경우에,
상기 제1 단말기가 상기 제2 주소가 포함된 데이터를 생성하여 상기 제1 넌어드레스 네트워크 장비에 송출하면, 상기 제1 넌어드레스 네트워크 장비에서 상기 제1-2 입출력부가 상기 제2 주소가 포함된 데이터를 입력받아 상기 제1 보안부로 전달하고,
상기 제1 보안부는 제1 단말 값과 상기 제2 주소가 포함된 데이터에 포함된 단말 값이 일치하는지 확인하며, 일치하지 않는 경우 상기 제2 주소가 포함된 데이터를 폐기하며, 상기 단말 값이 일치하는 경우 상기 제2 주소가 포함된 데이터에 상기 제1 넌어드레스 네트워크 장비의 장비 값인 제1 장비 값과 상기 제2 넌어드레스 네트워크 장비의 장비 값인 제2 장비 값을 포함하도록 암호화하여 특정 알고리즘에 따라 재가공하여 제1 암호화 데이터로 생성해 상기 제1-1 입출력부를 통해 상기 통신망에 송출하며,
상기 제2 넌어드레스 네트워크 장비가 상기 통신망으로부터 상기 제1 암호화 데이터를 수신해 상기 제2-1 입출력부를 통해 제2 보안부에 전달하며,
상기 제2 보안부는 상기 제1 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 상기 제2 주소가 포함된 데이터로 생성해 상기 제2-2 입출력부를 통해 상기 제2 단말기에 전달하고,
상기 제2 주소가 설정되어 있는 상기 제2 단말기가 상기 제1 주소가 설정되어 있는 상기 제1 단말기로 데이터를 송신하는 경우에,
상기 제2 단말기가 상기 제1 주소가 포함된 데이터를 생성하여 상기 제2 넌어드레스 네트워크 장비에 송출하면, 상기 제2 넌어드레스 네트워크 장비에서 상기 제2-2 입출력부가 상기 제1 주소가 포함된 데이터를 입력받아 상기 제2 보안부로 전달하고,
상기 제2 보안부는 제2 단말 값과 상기 제1 주소가 포함된 데이터에 포함된 단말 값이 일치하는지 확인하며, 일치하지 않는 경우 상기 제1 주소가 포함된 데이터를 폐기하며, 상기 단말 값이 일치하는 경우 상기 제1 주소가 포함된 데이터에 상기 제1 장비 값과 상기 제2 장비 값을 포함하도록 암호화하여 특정 알고리즘에 따라 재가공하여 제2 암호화 데이터로 생성해 상기 제2-1 입출력부를 통해 상기 통신망에 송출하며,
상기 제1 넌어드레스 네트워크 장비에서 상기 제1-1 입출력부가 상기 통신망으로부터 상기 제2 암호화 데이터를 수신해 상기 제1 보안부에 전달하며,
상기 제1 보안부는 상기 제2 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공하여 상기 제1 주소가 포함된 데이터로 생성해 상기 제1-2 입출력부를 통해 상기 제1 단말기에 전달하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.A first terminal for receiving data including a first address or generating and transmitting data including a second address, and a second terminal for generating and transmitting data including the first address or receiving data including the second address And a non-address network device communicating with the second terminal through a communication network,
A first 1-2 input / output unit connected to the first terminal;
A 1-1 input / output unit having one end connected to the 1-2 input / output unit and the other end connected to the communication network; And
A first non-address network equipment including a first security unit for decrypting the encrypted data input from the 1-1 input / output unit and encrypting data input from the 1-2 input / output unit; And
A 2-1 input / output unit connected to the communication network;
A second I / O unit having one end connected to the second I / O unit and the other end connected to the second terminal; And
And a second non-address network equipment including a second security unit for decrypting the encrypted data input from the 2-1 input / output unit and encrypting the data input from the 2-2 input / output unit,
Wherein the first non-address network equipment and the second non-address network equipment execute the operation of the first security unit and the operation of the second security unit, respectively, with no IP address and account set,
When the first terminal to which the first address is set transmits data to the second terminal in which the second address is set,
When the first terminal generates data including the second address and transmits the data to the first non-address network equipment, the first 1-2 input / output unit receives data including the second address in the first non-address network equipment To the first security unit,
Wherein the first security unit checks whether the terminal value included in the data including the first terminal value matches the terminal value included in the second address and discards data including the second address if the terminal value does not match, The first non-address network device and the second non-address network device are encrypted so that the first device value of the first non-address network device and the second device value of the second non-address network device are included in the data including the second address, And outputs the first encrypted data to the communication network through the 1-1 input / output unit,
Wherein the second non-address network equipment receives the first encrypted data from the communication network and transfers the first encrypted data to the second security unit via the second I / O unit,
The second security unit decrypts the first encrypted data and re-processes the first encrypted data according to a specific algorithm to generate data including the second address and transmits the generated data to the second terminal through the second -2 input /
When the second terminal in which the second address is set transmits data to the first terminal in which the first address is set,
When the second terminal generates data including the first address and sends the generated data to the second non-address network equipment, the second -2 input / output unit receives data including the first address in the second non-address network equipment To the second security unit,
Wherein the second security unit checks whether the second terminal value and the terminal value included in the data including the first address coincide with each other, discards data including the first address if the second terminal value does not match, The first device value and the second device value are included in the data including the first address and re-processed according to a specific algorithm to generate second encrypted data, and the second input / And,
Wherein the first 1-1 input / output unit receives the second encrypted data from the communication network and transfers the second encrypted data to the first security unit in the first non-address network equipment,
The first security unit decrypts the second encrypted data, re-processes the second encrypted data according to a specific algorithm, generates data including the first address, and transmits the data to the first terminal through the 1-2 input / output unit Communication security system.
상기 제1 보안부는, 상기 제1 암호화 데이터를 생성한 후, 상기 제1 암호화 데이터가 헤더에 기 설정된 제1 정상 판단 값을 포함하도록 상기 제1 암호화 데이터를 재가공하며,
상기 제2 보안부는, 상기 제2 암호화 데이터를 생성한 후, 상기 제2 암호화 데이터가 헤더에 기 설정된 제2 정상 판단 값을 포함하도록 상기 제2 암호화 데이터를 재가공하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.3. The method of claim 2,
Wherein the first encryption unit re-processes the first encrypted data so that the first encrypted data includes a first normal determination value set in advance in the header,
Wherein the second security unit generates the second encrypted data and then transmits the second encrypted data to the communication unit using a non-address address network device that re-processes the second encrypted data so that the second encrypted data includes a second normal determination value, system.
상기 제1 보안부는, 상기 제2 암호화 데이터를 수신하면, 상기 제2 암호화 데이터의 상기 제2 정상 판단 값을 확인하고, 상기 제2 정상 판단 값이 기 설정된 값이 아닌 경우, 상기 제2 암호화 데이터를 폐기하며,
상기 제2 보안부는, 상기 제1 암호화 데이터를 수신하면, 상기 제1 암호화 데이터의 상기 제1 정상 판단 값을 확인하고, 상기 제1 정상 판단 값이 기 설정된 값이 아닌 경우, 상기 제1 암호화 데이터를 폐기하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.The method of claim 3,
Wherein the first encryption unit checks the second normal determination value of the second encrypted data when receiving the second encrypted data, and when the second normal determination value is not a predetermined value, Lt; / RTI >
Wherein the second security unit checks the first normal determination value of the first encrypted data when the first encryption data is received and if the first normal determination value is not a predetermined value, A communication security system using non - address network equipment to discard.
상기 제1 단말 값은, 상기 제1 넌어드레스 네트워크 장비가 상기 제1 단말기와 최초 연결되는 경우 상기 제1-2 입출력부를 통해 상기 제1 단말기로부터 송신받은 첫 패킷을 분석하여 획득한 상기 제1 단말기의 고유 단말 값이고,
상기 제2 단말 값은, 상기 제2 넌어드레스 네트워크 장비가 상기 제2 단말기와 최초 연결되는 경우 상기 제2-2 입출력부를 통해 상기 제2 단말기로부터 송신받은 첫 패킷을 분석하여 획득한 상기 제2 단말기의 고유 단말 값인 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.5. The method of claim 4,
Wherein the first terminal value is a value obtained by analyzing a first packet transmitted from the first terminal through the first 1-2 input / output unit when the first non-address network equipment is first connected to the first terminal, Lt; RTI ID = 0.0 >
Wherein the second terminal value is a value obtained by analyzing a first packet transmitted from the second terminal through the second -2 input / output unit when the second non-address network equipment is first connected to the second terminal, Which is a unique terminal value of a non-address network device.
상기 제1 넌어드레스 네트워크 장비와 상기 제2 넌어드레스 네트워크 장비는, 상기 통신망을 통해 최초로 연결되는 경우,
상기 제1 넌어드레스 네트워크 장비에서 송출되는 최초 데이터를 상기 제2 넌어드레스 네트워크 장비가 획득하여 헤더값을 분석하여 상기 제1 단말 값 및 상기 제1 장비 값을 상기 제2 보안부에 저장하며,
상기 제2 넌어드레스 네트워크 장비에서 송출되는 최초 데이터를 상기 제1 넌어드레스 네트워크 장비가 획득하여 헤더값을 분석하여 상기 제2 단말 값 및 상기 제2 장비 값을 상기 제1 보안부에 저장하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.6. The method of claim 5,
Wherein the first non-address network equipment and the second non-address network equipment, when initially connected through the communication network,
Wherein the first non-address network equipment acquires first data transmitted from the first non-address network equipment and analyzes the header value to store the first terminal value and the first equipment value in the second security unit,
Wherein the first non-address network equipment acquires first data transmitted from the second non-address network equipment, analyzes the header value, and stores the second terminal value and the second equipment value in the first security unit, Communication security system using equipment.
상기 제1 보안부는, 상기 제2 암호화 데이터의 복호화 알고리즘에 상기 제2 단말 값 및 상기 제2 장비 값을 이용하며
상기 제2 보안부는, 상기 제1 암호화 데이터의 복호화 알고리즘에 상기 제1 단말 값 및 상기 제1 장비 값을 이용하는 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.The method according to claim 6,
Wherein the first security unit uses the second terminal value and the second device value in the decryption algorithm of the second encrypted data
Wherein the second security unit uses a non-address network device that uses the first terminal value and the first device value in the decryption algorithm of the first encrypted data.
상기 제1-1 입출력부와 상기 제1-2 입출력부간의 연결과, 상기 제2-1 입출력부와 상기 제2-2 입출력부 간의 연결은, 각각 브릿지(Bridge) 방식으로 연결된,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
And the connection between the first 1-1 input-output unit and the 1-2 input-output unit and the connection between the 2-1 input-output unit and the 2-2 input-output unit are bridged,
Communication security system using non - address network equipment.
상기 제1 보안부는, 상기 제1-1 입출력부 또는 상기 제1-2 입출력부에 포함되거나, 상기 제1-1 입출력부 및 상기 제1-2 입출력부와 별개로 상기 제1 넌어드레스 네트워크 장비에 포함된,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
The first security unit may be included in the first 1-1 input / output unit or the 1-2 first input / output unit, or may be included in the first non-address network equipment Lt; / RTI >
Communication security system using non - address network equipment.
상기 제2 보안부는, 상기 제2-1 입출력부 또는 상기 제2-2 입출력부에 포함되거나, 상기 제2-1 입출력부 및 상기 제2-2 입출력부와 별개로 상기 제2 넌어드레스 네트워크 장비에 포함된,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
The second security unit may be included in the second-1 input / output unit or the second -2 input / output unit, or may be included in the second non-address network equipment Lt; / RTI >
Communication security system using non - address network equipment.
상기 제1 단말기는 상기 제1 주소가 설정되고, 상기 제2 단말기는 상기 제2 주소가 설정되며, 상기 제1 단말기와 상기 제2 단말기에는 서로 다른 계정이 각각 설정되어 있는,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
Wherein the first terminal is set to the first address, the second terminal is set to the second address, and a different account is set to the first terminal and the second terminal, respectively,
Communication security system using non - address network equipment.
상기 통신망에 연결된 상기 제1-2 입출력부와 상기 제2-1 입출력부는, 상기 통신망을 통해 전송되는 모든 데이터를 수신하기 위한 프러미스큐어스 모드(Promiscuous mode)로 동작하는,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
Wherein the 1-2 input / output unit and the 2-1 input / output unit connected to the communication network operate in a promiscuous mode for receiving all data transmitted through the communication network,
Communication security system using non - address network equipment.
상기 제1 보안부는, 상기 제1 단말기로부터 상기 제1-2 입출력부를 통해 입력된 제1 데이터의 특정 부분을 암호화하고 특정 알고리즘에 따라 재가공한 제1 암호화 데이터로 생성해 상기 제1-1 입출력부에 출력하거나, 상기 통신망으로부터 상기 제1-1 입출력부를 통해 입력된 제2 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공한 제2 데이터로 상기 제1 단말기에 출력하는,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
The first security unit encrypts a specific portion of the first data input from the first terminal through the 1-2 input / output unit, generates the first encrypted data that has been reprocessed according to a specific algorithm, And outputs the decrypted second encrypted data to the first terminal as second data that is reprocessed according to a specific algorithm,
Communication security system using non - address network equipment.
상기 제2 보안부는, 상기 제2 단말기로부터 상기 제2-2 입출력부를 통해 입력된 제2 데이터의 특정 부분을 암호화하고 특정 알고리즘에 따라 재가공한 제2 암호화 데이터로 생성해 상기 제2-1 입출력부에 출력하거나, 상기 통신망으로부터 상기 제2-1 입출력부를 통해 입력된 제1 암호화 데이터를 복호화하여 특정 알고리즘에 따라 재가공한 제1 데이터로 상기 제2 단말기에 출력하는,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
The second security unit encrypts a specific portion of the second data input from the second terminal through the second -2 input / output unit, generates second encrypted data that has been reprocessed according to a specific algorithm, And outputs the decrypted first encrypted data to the second terminal as first data that has been reprocessed according to a specific algorithm,
Communication security system using non - address network equipment.
상기 통신망을 통해 상기 제1 넌어드레스 네트워크 장비 및 상기 제2 넌어드레스 네트워크 장비와 연결되어 상기 제1 및 제2 암호화 데이터를 획득하고, 해킹 데이터를 상기 통신망으로 전송하는 제3 넌어드레스 네트워크 장비를 더 포함하며,
상기 제3 넌어드레스 네트워크 장비는 상기 통신망으로부터 상기 제1 또는 제2 암호화 데이터를 획득하는 경우, 상기 제1 또는 제2 암호화 데이터에서 상기 제3 넌어드레스 네트워크 장비와 연결된 제3 단말기의 단말 값인 제3 단말 값 또는 상기 제3 넌어드레스 네트워크 장비의 장비 값인 제3 장비 값을 추출하지 못하면 상기 제1 또는 제2 암호화 데이터의 복호화를 수행하지 않고 폐기하는,
넌어드레스 네트워크 장비를 이용한 통신 보안 시스템.8. The method of claim 7,
Further comprising a third non-address network equipment connected to the first non-address network equipment and the second non-address network equipment via the communication network to obtain the first and second encrypted data and to transmit the hacking data to the communication network ≪ / RTI &
Wherein the third non-address network equipment is adapted to, when acquiring the first or second ciphered data from the communication network, transmit, from the first or second encrypted data, And decrypting the first or second encrypted data if the third device value is not extracted from the first non-address network device or the third non-
Communication security system using non - address network equipment.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180114863A KR101979157B1 (en) | 2018-09-27 | 2018-09-27 | Non-address network equipment and communication security system using it |
| PCT/KR2019/012515 WO2020067734A1 (en) | 2018-09-27 | 2019-09-26 | Non-address network equipment and communication security system using same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180114863A KR101979157B1 (en) | 2018-09-27 | 2018-09-27 | Non-address network equipment and communication security system using it |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101979157B1 true KR101979157B1 (en) | 2019-05-15 |
Family
ID=66579438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180114863A KR101979157B1 (en) | 2018-09-27 | 2018-09-27 | Non-address network equipment and communication security system using it |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR101979157B1 (en) |
| WO (1) | WO2020067734A1 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020067734A1 (en) * | 2018-09-27 | 2020-04-02 | 이광원 | Non-address network equipment and communication security system using same |
| KR102380107B1 (en) * | 2020-11-19 | 2022-03-28 | 이광원 | Encryption system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240513B1 (en) * | 1997-01-03 | 2001-05-29 | Fortress Technologies, Inc. | Network security device |
| KR20100099513A (en) * | 2009-03-03 | 2010-09-13 | 시큐아이닷컴 주식회사 | System and method for defending against distributed denial of service attack |
| KR20130005973A (en) | 2011-07-08 | 2013-01-16 | 유넷시스템주식회사 | A network security system and network security method |
| KR20170060596A (en) * | 2016-11-24 | 2017-06-01 | 이광원 | Communication security method and system using a non-address network equipment |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7100048B1 (en) * | 2000-01-25 | 2006-08-29 | Space Micro Inc. | Encrypted internet and intranet communication device |
| KR100976751B1 (en) * | 2002-05-09 | 2010-08-20 | 오니시스 그룹 엘.에이., 엘엘시 | Centralized encryption management system |
| KR101979157B1 (en) * | 2018-09-27 | 2019-05-15 | 이광원 | Non-address network equipment and communication security system using it |
-
2018
- 2018-09-27 KR KR1020180114863A patent/KR101979157B1/en active IP Right Grant
-
2019
- 2019-09-26 WO PCT/KR2019/012515 patent/WO2020067734A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240513B1 (en) * | 1997-01-03 | 2001-05-29 | Fortress Technologies, Inc. | Network security device |
| KR20100099513A (en) * | 2009-03-03 | 2010-09-13 | 시큐아이닷컴 주식회사 | System and method for defending against distributed denial of service attack |
| KR20130005973A (en) | 2011-07-08 | 2013-01-16 | 유넷시스템주식회사 | A network security system and network security method |
| KR20170060596A (en) * | 2016-11-24 | 2017-06-01 | 이광원 | Communication security method and system using a non-address network equipment |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020067734A1 (en) * | 2018-09-27 | 2020-04-02 | 이광원 | Non-address network equipment and communication security system using same |
| KR102380107B1 (en) * | 2020-11-19 | 2022-03-28 | 이광원 | Encryption system |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020067734A1 (en) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100961087B1 (en) | Context limited shared secret | |
| US8904178B2 (en) | System and method for secure remote access | |
| CN100571125C (en) | A kind of method and device that is used for secure communication between subscriber equipment and internal network | |
| US9055047B2 (en) | Method and device for negotiating encryption information | |
| CN109428867B (en) | Message encryption and decryption method, network equipment and system | |
| US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
| US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
| Kumar et al. | A literature review of security threats to wireless networks | |
| AU2005226659B2 (en) | Methods and apparatus for confidentiality protection for fibre channel common transport | |
| JP6807153B2 (en) | Devices and related methods for secure hearing device communication | |
| US20150373006A1 (en) | Secure Non-Geospatially Derived Device Presence Information | |
| CN108712364B (en) | Security defense system and method for SDN (software defined network) | |
| JP2015536061A (en) | Method and apparatus for registering a client with a server | |
| KR101281099B1 (en) | An Authentication method for preventing damages from lost and stolen smart phones | |
| CN112040485A (en) | Local area network key agreement method, system and computer readable storage medium | |
| KR101979157B1 (en) | Non-address network equipment and communication security system using it | |
| Rana et al. | Common security protocols for wireless networks: A comparative analysis | |
| KR20190009497A (en) | Apparatus for splitting networks using wireless security access point | |
| CN105591748B (en) | A kind of authentication method and device | |
| US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
| KR101784240B1 (en) | Communication security method and system using a non-address network equipment | |
| KR102308248B1 (en) | Encryption Gateway equipped with quantum encryption chip based a quantum random number and method of providing encryption communication service between IoT device using the same | |
| Abare et al. | A proposed model for enhanced security against key reinstallation attack on wireless networks | |
| JP2007043566A (en) | Encryption control device and encryption system of wireless lan | |
| JP2007074761A (en) | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |