KR101992985B1 - 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 - Google Patents

서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 Download PDF

Info

Publication number
KR101992985B1
KR101992985B1 KR1020190011745A KR20190011745A KR101992985B1 KR 101992985 B1 KR101992985 B1 KR 101992985B1 KR 1020190011745 A KR1020190011745 A KR 1020190011745A KR 20190011745 A KR20190011745 A KR 20190011745A KR 101992985 B1 KR101992985 B1 KR 101992985B1
Authority
KR
South Korea
Prior art keywords
server
access control
password
information
message
Prior art date
Application number
KR1020190011745A
Other languages
English (en)
Inventor
신호철
김대옥
이재국
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Priority to KR1020190011745A priority Critical patent/KR101992985B1/ko
Application granted granted Critical
Publication of KR101992985B1 publication Critical patent/KR101992985B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

적어도 하나의 제1 서버와 제2 서버 사이에 설치되어, 상기 제1 서버에 설치된 통신 어플리케이션의 메시지를 중계하고 모니터링하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 관한 것으로서, 상기 제2 서버에 접속할 수 있는 상기 제1 서버의 서비스 계정의 정보(이하 서비스 계정 정보)를 등록하는 인증권한 정책부; 상기 제1 서버에 의해 상기 통신 어플리케이션의 제2 서버와의 통신이 우회되어, 상기 통신 어플리케이션과 세션(이하 클라이언트용 세션)을 형성하는 프록시 핸들러; 상기 제2 서버와 세션(이하 서버용 세션)을 형성하는 서비스 프록시 핸들러; 상기 클라이언트 세션과 상기 서버용 세션 간의 메시지를 중계하되, 상기 클라이언트용 세션에서 수신되는 메시지를 분석하여, 메시지 내의 패스워드를 치환하는 메시지 분석부; 및, 상기 서비스 계정 정보의 패스워드를 주기적으로 또는 이벤트에 따라 변경하고, 상기 제2 서버에 접속하여 변경된 패스워드로 상기 서비스 계정의 패스워드를 갱신하는 패스워드 갱신부를 포함하는 구성을 마련한다.
상기와 같은 서버 접근 통제 시스템에 의하여, 접근통제 게이트웨이에서 서비스 서버측의 계정 패스워드를 지속적으로 변경함으로써, 클라이언트측 서버 내부에서 패스워드가 평문으로 노출되더라도 의미가 없게 하여 악용될 여지를 차단할 수 있다.

Description

서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 { An access control system of controlling hard-coded passwords and commands for enhancing security of the servers }
본 발명은 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관에서 관리하는 서버 간의 통신 시, 서버 안에 평문으로 노출되거나 장기적으로 변경 처리되지 않는 서버 계정 패스워드에 대한 보안 및 명령어의 통제를 강화하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 관한 것이다.
기존의 접근통제 시스템의 명령어 통제 기술은 사용자와 서버 사이에서 접근통제 게이트웨이(Gateway)를 경유하는 패킷을 분석하여 통제한다. 특히, 기존 시스템은 사용자가 접속하는 서버 계정의 패스워드를 자동으로 로그인하되 관련 세션에 대해서 이중 인증을 사용하게 하여, 패스워드에 대한 노출 방지 뿐만 아니라 사용자에 대한 인증을 강화하는 방향으로 발전이 되어 왔다.
하지만 종래의 게이트웨이 방식의 접근통제 시스템은 사용자와 서버 간의 통신에 주안점이 맞춰져 있으므로, 서버 간의 통신에 대해서는 제어할 수 있는 방안이 없었다. 그래서 서버 간에 통신 시 사용되는 일부 프로그램이나 쉘 프로그램(클라이언트측 서버의 프로그램)은 해당 프로그램 내부에서, 접속하려는 서버(서비스 서버)의 계정 및 패스워드가 평문으로 노출되어 있을 수 있다. 또한, 평문으로 노출되어 있지 않더라도, 관리 부재로 장기간 패스워드가 변경되고 있지 않다. 따라서 보안적으로 많은 위험을 내포하고 있다. 또한, 해당 프로그램이나 쉘이 사용하는 명령어에 대해서 통제할 수 있는 방법이 없었다.
이러한 문제를 해결하기 위하여, 접근통제 시스템이 서비스 서버 측에 서비스 서버의 패스워드를 주기적으로 변경하고, 서버 간 통신의 중간에 끼어 들어 관련 인증 패킷을 가로채서 관련 패스워드 정보를 변경된 패스워드로 교체한다. 그리고 사용하는 명령어를 제어함으로써, 기존의 패스워드가 평문으로 노출되는 부분, 패스워드가 포함되어 있는 파일에 대한 관리, 그리고 서버 내에 사용하는 프로그램과 쉘에 대해서 제어가 가능하게 되었다.
다만, 클라이언트측 서버(클라이언트 서버)의 모든 프로그램이 패스워드가 맞지 않아도 다른 서버(또는 서비스 서버)로 연결할 수 있다는 문제가 있다. 이를 보완하기 위해서, 해당 프로그램의 이름과 동작하는 위치를 등록하게 하고, 등록되어 인가된 프로그램 만이 접속할 수 있도록 처리하고, 특정한 명령어만 사용하도록 제한하여 통제하고 있다. 이를 통해 시스템의 보안성을 강화하고 있다.
그런데 이러한 기존의 방식으로 클라이언트 서버 내에 있는 패스워드 정보를 주기적으로 변경하기 힘든 2가지 사례가 있다.
먼저, 첫번째 사례는 쉘 프로그램 내부에 로그인 관련된 정보가 포함이 되어 있는 경우이다. 즉, 배치 작업을 통해서 파일을 송수신하는 쉘 프로그램을 작성할 경우로서, 접속에 관련된 모든 정보가 쉘에서 참조하는 파일이나 쉘 파일 안에 평문으로 존재한다.
다음으로, 두번째 사례는 특정한 내부 통신 프로그램을 통하는 경우이다.
즉, 해당 프로그램에서 사용하는 계정에 대해서 계정의 유형을 어플리케이션 계정으로 분류하는 경우로서, 계정관리에서 해당 서버의 계정을 예외로 설정하고 패스워드를 변경 처리하지 않는 경우이다.
또한, 해당 프로그램에서 사용하는 계정에 대한 패스워드를 해당 프로그램에서 암호 처리할 경우로서, 패스워드의 변경이 불가하다.
상기한 2가지 사례의 문제로 인해서, 서버간 사용하는 계정의 패스워드는 노출이 쉽게 될 수 있다. 또한, 보안적인 측면에서, 악의적인 내부 사용자가 이러한 보안 취약점을 간파하여 공격할 수 있으므로, 보안 사고의 위험이 내재되어 있는 문제점이 있다.
한국등록특허 제10-1404537호(2014.06.10.공고)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관에서 관리하는 서버 간의 통신 시, 서버 안에 평문으로 노출되거나 장기적으로 변경 처리되지 않는 서비스 계정의 패스워드에 대한 보안 및 명령어의 통제를 강화하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템을 제공하는 것이다.
특히, 본 발명은 접근통제 게이트웨이에서 서비스 계정의 패스워드를 변경 관리하고, 클라이언트측 서버(제1 서버)에 IP주소 필터를 설치하여 서비스 서버(제2 서버)에 접속 시 접근통제 게이트웨이를 경유하게 하고, 접근통제 게이트웨이에서 패스워드 패킷을 변경된 패스워드로 치환하고 송수신 패킷을 모니터링하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 적어도 하나의 제1 서버와 제2 서버 사이에 설치되어, 상기 제1 서버에 설치된 통신 어플리케이션의 메시지를 중계하고 모니터링하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 관한 것으로서, 상기 제2 서버에 접속할 수 있는 상기 제1 서버의 서비스 계정의 정보(이하 서비스 계정 정보)를 등록하는 인증권한 정책부; 상기 제1 서버에 의해 상기 통신 어플리케이션의 제2 서버와의 통신이 우회되어, 상기 통신 어플리케이션과 세션(이하 클라이언트용 세션)을 형성하는 프록시 핸들러; 상기 제2 서버와 세션(이하 서버용 세션)을 형성하는 서비스 프록시 핸들러; 상기 클라이언트 세션과 상기 서버용 세션 간의 메시지를 중계하되, 상기 클라이언트용 세션에서 수신되는 메시지를 분석하여, 메시지 내의 패스워드를 치환하는 메시지 분석부; 및, 상기 서비스 계정 정보의 패스워드를 주기적으로 또는 이벤트에 따라 변경하고, 상기 제2 서버에 접속하여 변경된 패스워드로 상기 서비스 계정의 패스워드를 갱신하는 패스워드 갱신부를 포함하는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 인증권한 정책부는 상기 제1 서버가 접속 가능한 제2 서버의 장비에 대한 정보(이하 접속가능 장비 정보)를 저장하고, 상기 통신 어플리케이션이 우회되어 접속될 때, 상기 제1 서버의 통신 어플리케이션의 접속 요청에 대하여 상기 접속가능 장비 정보를 이용하여 장비 접속의 권한 여부 인증(이하 장비접속 인증)을 수행하는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 인증권한 정책부는 상기 제2 서버에 접속이 가능한 상기 제1 서버의 통신 어플리케이션의 정보(이하 어플리케이션 허용 정보)를 사전에 등록하고, 상기 제1 서버에 대한 기기 인증을 수행하고, 인증이 통과되면 상기 제1 서버에 해당 제1 서버의 어플리케이션 허용 정보를 전송하고, 상기 통신 어플리케이션의 메시지가 우회될 때, 상기 제1 서버에 의해 상기 통신 어플리케이션의 허용 여부에 대한 인증(이하 어플리케이션 인증)이 수행되는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 인증권한 정책부는 상기 제2 서버에 접속이 가능한 상기 제1 서버의 통신 어플리케이션의 정보(이하 어플리케이션 허용 정보)를 사전에 등록하고, 상기 통신 어플리케이션의 메시지가 우회될 때, 상기 어플리케이션 허용 정보를 이용하여 상기 통신 어플리케이션의 허용 여부에 대한 인증(이하 어플리케이션 인증)을 수행하는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 인증권한 정책부는 상기 제1 서버에 대한 기기 인증을 수행하고, 인증이 통과되면 상기 제1 서버의 통신 어플리케이션에 대해 우회 허용 여부를 결정하는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 메시지 분석부는 상기 메시지를 분석하여 메시지 내에 포함된 명령어를 추출하고, 추출된 명령어를 사전에 설정된 명령어 통제 정책에 적용하여 상기 메시지를 차단 또는 중계하는 것을 특징으로 한다.
또, 본 발명은 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서, 상기 제1 서버는,
상기 접속가능 장비 정보에 속하는 서버 접근 정보들로 구성되는 IP 필터 정보를 생성하는 접근통제 에이전트; 상기 제1 서버의 운영체제에 설치되는 네트워크 필터 드라이버로서, 상기 통신 어플리케이션의 송수신되는 메시지 패킷들을 모니터링하고, 상기 IP 필터 정보에 속하는 목적주소를 가지는 메시지 패킷의 목적주소를 변조하여 우회시키는 IP필터부; 및, 우회된 메시지 패킷을 수신하여 상기 에이전트 프록시 핸들러로 전송하는 접근통제 에이전트 프록시를 포함하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 의하면, 접근통제 게이트웨이에서 서비스 서버측의 계정 패스워드를 지속적으로 변경함으로써, 클라이언트측 서버 내부에서 패스워드가 평문으로 노출되더라도 의미가 없게 하여 악용될 여지를 차단할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 의하면, 서비스 요청 클라이언트에 IP주소 필터를 설치하여 송수신 패킷을 접근통제 게이트웨이로 경유하게 함으로써, 패스워드 갱신 뿐만 아니라 사용하는 명령어들도 모니터링하여 통제하여 보안성을 한층 더 높일 수 있는 효과가 얻어진다.
즉, 서버간 통신 시 접근통제 시스템의 게이트웨이(Gateway)를 경유하여 서로의 서버 접속하며, 패스워드 변경에 관련된 정책을 준수할 수 있다. 또한, 규칙적인 패스워드 변경 작업을 통해 서버에 남아 있는 패스워드는 노출이 되어도 보안적으로 문제가 없게 처리할 수 있다. 또한, 관련 작업에 대해서는 명령어 모니터링을 통해서 작업하는 내역에 대한 인증과 명령어에 대한 인증 작업을 수행할 수 있다.
또한, 본 발명은 TELNET, SSH, FTP, SFTP와 같은 표준화된 원격접속 프로토콜을 이용한 서버 간 원격 접근 시에 대한 정확한 패스워드 및 명령어 통제를 수행할 수 있다.
특히, 본 발명은 기존에 통제가 되지 않았던 서버 내부에 프로그램이나 쉘 스크립트에 포함되어 하드코딩 되어 있거나, 기간이 지나도 변경하지 않는 패스워드와 서버 간 통신 시 사용하는 명령어에 대해서, 기존의 접근통제 시스템과 같이 동일한 수준의 통제를 받을 수 있게 보안을 강화할 수 있다.
도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 접근통제 시스템의 세부 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 접근 통제 시스템의 접근 통제 방법을 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명의 제1 실시예를 실시하기 위한 전체 시스템의 구성에 대하여 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 제1 서버(10), 제1 서버(10)에 설치되는 통신 어플리케이션(20), 서비스를 제공하는 제2 서버(40), 및, 제2 서버(40)의 접근을 통제하는 접근통제 게이트웨이(30)로 구성된다. 또한, 제1 서버(10)와 접근통제 게이트웨이(30)는 네트워크(미도시)를 통해 연결된다.
먼저, 통신 어플리케이션(20)은 제1 서버(10)에 설치되는 프로그램 시스템으로서, 제2 서버(40)에 접속하기 위한 통신 프로그램, 쉘 스크립트, 터미널 어플리케이션 등 통신용 프로그램 시스템이다.
통신 어플리케이션(20)은 제2 서버(40)에 접속하여 통신을 수행하나, 실제로 접근통제 게이트웨이(30)를 통해 우회적으로 제2 서버(40)에 접속한다. 즉, 통신 어플리케이션(20)은 자신의 입장에서 제2 서버(40)와 직접적으로 통신하는 것으로 작동한다. 예를 들어, 통신 어플리케이션(20)은 제2 서버(40)의 주소(IP주소 및 포트)를 이용하여 세션 설정을 수행하고, 설정된 세션을 제2 서버(40)에 접근한다. 그러나 제1 서버(10)가 통신 어플리케이션(20)의 통신 패킷 등을 변조하여 접근통제 게이트웨이(30)로 우회시킨다.
또한, 통신 어플리케이션(20)은 통신 프로토콜을 통해 제2 서버(40)에 접속하고 통신을 수행한다. 예를들어, 통신 어플리케이션(20)은 원격접속 프로토콜인 텔넷(TELNET)을 이용하거나, 파일 전송을 위한 FTP(File Transfer Protocol)의 프로토콜에 의한 쉘(Shell)을 통해 작업을 수행한다. 이외에도 통신 어플리케이션(20)은 SSH, SFTP 등 표준화된 원격 접속 프로토콜을 이용하여 제2 서버(40)에 접속할 수 있는 프로그램 시스템이다.
특히, 통신 어플리케이션(20)은 통신을 수행하는 사용자 레벨의 어플리케이션이고, 통신을 위한 시스템콜(system call)을 운영체제(또는 운영 시스템)에 요청하면, 제1 서버(10)의 운영체제는 해당 시스템콜 요청을 처리하는데 이때, 네트워크 드라이버를 통해 네트워크에 접속한다. 즉, 통신 어플리케이션(20)은 시스템 레벨의 네트워크 드라이버를 통해 네트워크에 접속하여 통신을 수행한다. 따라서 통신 어플리케이션(20)이 송수신하는 모든 데이터 또는 데이터 패킷은 네트워크 드라이버(미도시)를 거쳐 처리된다(송수신 된다).
또한, 바람직하게는, 통신 어플리케이션(20)은 제1 서버(10)에 의해 자동으로 구동되거나 사용자에 의해서 실행되는 프로그램 시스템이다.
한편, 사용자가 개인 계정 및 패스워드로 사용자 인증을 수행 받고, 해당 프로그램에 대해서 권한이 있을 경우에 관련 통신 어플리케이션(20)은 제1 서버(10)에 사용할 수 있으며, 시스템에서 자동으로 접근할 경우 해당 서비스 계정이나 시스템 권한으로 제1 서버(10)의 서비스를 이용할 수 있다. 이때 사용자 개인 계정을 사용할 경우 개인계정, 시스템이 자동으로 동작할 경우 사용하는 서비스 계정을 제1 서버(10)의 서비스 계정이라고 부르기로 한다. 그리고 다수의 통신 어플리케이션(20)이 서비스 계정으로 제2 서버(40)에 접속할 수 있다.
다음으로, 제1 서버(10)는 통상의 서버로서, 네트워크(미도시)를 통해 제2 서버(40) 또는 접근통제 게이트웨이(30)에 연결할 수 있는 네트워크 기능을 구비한다. 제1 서버(10)는 복수 개일 수 있다.
또한, 제1 서버(10)는 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다. 특히, 제1 서버(10)에는 통신 어플리케이션(20)이 설치되어 실행될 수 있다.
또한, 제1 서버(10)는 접근통제 게이트웨이(30)에 기존의 사용자 기반의 인증이 아닌 기기 기반으로 인증(이하 기기 인증)을 받는다. 이때, 바람직하게는, 제1 서버(10)는 접근통제 게이트웨이(30)에 서버기기 유일한 정보를 이용하여 인증을 받는다. 기기 인증은 제1 서버(10)의 MAC 주소 등 물리적 정보를 이용한 인증이다. 즉, 접근통제 게이트웨이(30)는 제1 서버(10)에 대하여 제1 서버(10)의 물리적 정보로 서버기기 인증을 수행한다.
다음으로, 제1 서버(10)는 접근통제 게이트웨이(30)에 허용가능한 통신 어플리케이션의 정보(또는 자신의 어플리케이션 허용 정보)를 가져온다. 이때, 제1 서버(10)는 접근통제 게이트웨이(30)에 서버기기 인증을 받은 후 받아온다. 바람직하게는, 제1 서버(10)는 사전에 설정된 주기에 따라 주기적으로 또는 이벤트에 의해, 어플리케이션 허용 정보를 갱신한다.
어플케이션 허용 정보는 해당 제1 서버(10)에서 제2 서버(40)로 접근이 가능한 통신 어플리케이션들에 대한 정보를 포함한다. 바람직하게는, 어플리케이션 허용 정보는 적어도 하나의 통신 어플리케이션의 프로그램 이름 및 경로 등으로 구성된다. 프로그램 이름은 통신 어플리케이션(20)을 식별하기 위한 이름이나 아이디 등 식별정보이다. 경로는 통신 어플리케이션(20)의 실행 프로그램의 파일이 저장된 위치를 말한다.
또한, 제1 서버(10)는 접근통제 게이트웨이(30)로부터, 게이트웨이를 통해 접근 가능한 서버 정보(또는 자신의 접속가능 장비 정보)를 전달받을 수 있다. 접속가능 장비 정보는 서버 정보(제2 서버의 IP주소)와 프로토콜 정보(포트번호)의 리스트로 구성된다. 예를 들어, { 192.168.0.1:23, 192.168.2.1:23, ... } 등의 리스트를 획득한다. IP주소는 서버의 IP 주소를 의미하고, 포트번호는 프로토콜을 내포하고 있다.
또한, 제1 서버(10)는 통신 어플리케이션(20)이 제2 서버(40)와 송수신하는 패킷을 접근통제 게이트웨이(30)로 우회시킨다. 즉, 제1 서버(10)는 통신 어플리케이션(20)이 전송하는 패킷을 변조하여 접근통제 게이트웨이(30)로 전송하고, 접근통제 게이트웨이(30)로부터 수신한 패킷을 통신 어플리케이션(20)으로 전달하게 한다. 따라서 통신 어플리케이션(20)과 제2 서버(40)간의 통신은 접근통제 게이트웨이(30)로 우회되나, 통신 어플리케이션(20)에게는 제2 서버(40)와 직접 통신하는 것으로 보여진다.
한편, 제1 서버(10)는 통신 어플리케이션(20)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 통신 어플리케이션(20)에 대한 허용 여부 인증(이하 어플리케이션 인증)을 수행하고, 통신 어플리케이션(20)의 장비접속 정보를 접근통제 게이트웨이(30)에 전달한다.
구체적으로, 제1 서버(10)는 해당 통신 어플리케이션의 이름과 경로가 자신의 어플리케이션 허용 정보 내에 있는지 여부를 확인하여, 어플리케이션 인증을 수행한다. 즉, 어플리케이션 허용 정보 내에 해당 통신 어플리케이션이 있으면 인증이 통과된다.
또한, 장비접속 정보는 해당 통신 어플리케이션이 접근하려는 장비(제2 서버)의 IP주소와 프로토콜 정보(포트번호)로 구성된다. 장비접속 정보는 접근통제 게이트웨이(30)에 의해 해당 통신 어플리케이션이 허용된 장비(제2 서버)에 접속하는지를 인증하는데 이용된다.
다음으로, 접근통제 게이트웨이(30)는 제1 서버(10) 또는 통신 어플리케이션(20)과 제2 서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 통신 어플리케이션(20)과 제2 서버(40) 사이를 모니터링하여 중계하거나 차단한다.
구체적으로, 접근통제 게이트웨이(30)는 제2 서버(40)에 접속하기 위한 계정 정보를 서비스 계정 정보(51)로서 등록하여 관리한다. 바람직하게는 관리자에 의해 등록된다. 서비스 계정 정보(51)는 서비스 계정 및 그 계정의 패스워드로 구성되며, 바람직하게는, 다수의 계정을 목록으로 관리한다.
또한, 접근통제 게이트웨이(30)는 주기적으로 또는 특정 이벤트에 따라 패스워드를 변경한다. 즉, 접근통제 게이트웨이(30)는 서비스 계정 정보(51)에 저장된 서비스 계정과 패스워드를 이용하여 제2 서버(40)에 접속하고, 새로운 패스워드를 생성하여 새로운 패스워드로 제2 서버(40)에 패스워드 변경을 요청한다. 그리고 해당 제1 서버(10)의 서비스 계정 정보(51)에서 해당 서비스 계정의 패스워드를 새로운 패스워드로 갱신한다.
또한, 접근통제 게이트웨이(30)는 어플리케이션 허용 정보(52)를 사전에 등록받아 관리한다. 바람직하게는 관리자에 의해 등록된다. 어플리케이션 허용 정보(52)는 적어도 하나의 통신 어플리케이션의 프로그램 이름 및 경로 등으로 구성된다. 어플리케이션 허용 정보(52)는 제1 서버 별로 등록되어 관리된다. 즉, 각 제1 서버별로 허용되는 통신 어플리케이션의 정보를 관리한다.
또한, 접근통제 게이트웨이(30)는 제1 서버(10)의 요청에 따라 해당 제1 서버의 어플리케이션 허용 정보를 전송해준다. 이때, 바람직하게는, 제1 서버(10)에 대하여 기기 인증을 수행하고, 기기 인증이 통과되면 어플리케이션 허용 정보를 전송해준다.
또한, 접근통제 게이트웨이(30)는 접속 가능한 제2 서버의 장비에 대한 정보(또는 접속가능 장비 정보)(55)를 사전에 등록받아 관리한다. 바람직하게는 관리자에 의해 등록된다.
또한, 접속가능 장비 정보(55)는 각 제1 서버(10) 별로 등록되어 저장된다. 즉, 각 제1 서버(10)가 접속 가능한 제2 서버의 장비에 대한 정보로 구성된다. 접속가능 장비 정보(55)는 각 제1 서버를 기준으로 장비의 서버 정보(IP 주소)와 프로토콜(포트번호)로 구성된다. 즉, 접속가능 장비 정보(55)는 제1 서버 정보(제1 서버의 IP주소 또는 기기정보 등 식별정보)와, 장비의 IP주소와 포트번호로 구성된다. 또한, 접속가능 장비 정보(55)는 다수 개의 접속 정보를 리스트로 관리될 수 있다.
또한, 접근통제 게이트웨이(30)는 제1 서버(10)의 요청에 따라 해당 제1 서버의 접속가능 장비 정보를 전송해준다. 이때, 바람직하게는, 제1 서버(10)에 대하여 기기 인증을 수행하고, 기기 인증이 통과되면 접속가능 장비 정보를 전송해준다.
또한, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)이 우회되어 접속될 때, 제1 서버(10)의 통신 어플리케이션의 접속 요청에 대하여 장비 접속의 권한 여부 인증(이하 장비접속 인증)을 수행한다. 즉, 접근통제 게이트웨이(30)는 제1 서버(10)로부터 장비접속 정보(접속할 장비의 IP주소와 포트번호)를 전송받고, 장비접속 정보가 접속가능 장비 정보(55)에 있는지 여부를 판단하여 장비접속 인증을 수행한다. 즉, 접속가능 장비 정보(55) 내에 제1 서버에 해당하는 접속할 장비의 IP주와 포트번호가 존재하면, 장비접속 인증이 통과된 것으로 본다.
또한, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)에 대한 장비접속 인증이 통과되면, 해당 통신 어플리케이션(20)의 메시지를 제2 서버(40)에 중계한다. 즉, 제1 서버(10)로부터 수신되는 통신 어플리케이션(20)의 메시지(또는 데이터 패킷)를 수신하여 제2 서버(40)에 전달하고, 제2 서버(40)로부터 결과(또는 결과 메시지, 데이터 패킷)를 수신하여 제1 서버(10)로 전달한다. 이하에서, 메시지는 패킷 또는 IP 패킷으로 전달되므로, 메시지와 패킷을 혼용한다.
이때, 접근통제 게이트웨이(30)는 수신되는 메시지(또는 패킷, IP 패킷)를 파싱하여 분석한다. 분석 결과에 대해 다음 경우에 따라 처리한다.
먼저, 메시지가 패스워드를 포함하는 경우, 접근통제 게이트웨이(30)는 메시지 내의 원래 패스워드(이하 제1 패스워드)를 갱신 패스워드(이하 제2 패스워드)로 치환한다. 치환된 메시지는 제2 서버(40)로 전송된다. 즉, 통신 어플리케이션(20)이 통신 인증을 위해 서비스 계정 및 그 계정의 패스워드를 포함한 메시지를 전송하는 경우이다. 이때 통신 인증을 위한 메시지에는 서비스 계정 및 패스워드가 포함된다. 접근통제 게이트웨이(30)는 메시지의 서비스 계정으로 서비스 계정 정보(서비스 계정 목록)(51)를 검색하여, 제2 패스워드(서비스 계정 정보에 저장된 패스워드)를 찾는다. 즉, 서비스 계정 정보(51)에서, 메시지의 서비스 계정 이름과 동일한 이름을 갖는 서비스 계정의 패스워드를 검색한다. 검색된 제2 패스워드로 원래의 패스워드(제1 패스워드)를 치환한다.
다음으로, 메시지가 명령어를 포함하는 경우, 접근통제 게이트웨이(30)는 명령어 통제 정책(53)에 따라 해당 메시지를 차단 또는 전송한다. 즉, 접근통제 게이트웨이(30)는 수신되는 메시지를 분석하고, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 즉, 사전에 정해진 보안 정책에 따라, 해당 메시지를 제2 서버(40)에 전송하거나 차단하는 등 모니터링 한다. 특히, 제1 서버(10)가 사용한 명령어(메시지 내의 명령어)를 실행할 수 있는 권한을 확인하여 통제한다.
위와 같은 패스워드의 변경과 명령어 통제에 따라, 제1 서버(10) 내부에서, 평문으로 상시 노출된 제1 패스워드는 의미가 없게 된다. 즉, 보안적으로 예외처리 되었던 계정의 패스워드에 대해서 주기적인 변경 작업이 가능하게 된다. 따라서 서버 간 통신에 사용되는 계정의 패스워드와 이 후 사용하는 명령어를 통제함으로써, 보안성을 한층 더 높을 수 있다.
다음으로, 제2 서버(40)는 제1 서버(10) 또는 통신 어플리케이션(20)으로부터 네트워크(미도시)를 통해 접속 요청을 받고, 요청에 따라 접속을 허용하여 통신을 수행시켜준다. 이때, 바람직하게는, 제2 서버(40)는 통신 프로토콜(또는 표준화된 통신 프로토콜)을 통해 통신 어플리케이션(20)과 통신을 수행한다.
또한, 제2 서버(40)는 통신 프로토콜을 이용하여, 통신 어플리케이션(20)으로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 통신 어플리케이션(20)에 전송한다. 이때, 통신 어플리케이션(20)과, 제2 서버(40) 사이에는 세션이 형성되고, 세션 내에서 접속 요청 또는 메시지, 결과내용 등이 통신 프로토콜을 통해 데이터 패킷으로 송수신된다.
한편, 위에서 설명된 제2 서버(40)와 통신 어플리케이션(20)과의 통신은 직접 연결되어 처리되지 않고, 접근통제 게이트웨이(30)를 통해 연결된다. 즉, 통신 어플리케이션(20)의 요청 메시지는 접근통제 게이트웨이(30)를 통해 제2 서버(40)로 전달되고, 또한, 제2 서버(40)의 응답 메시지도 접근통제 게이트웨이(30)를 통해 통신 어플리케이션(20)에 전달된다.
한편, 바람직하게는, 제2 서버(40)는 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 제1 서버(10) 또는 통신 어플리케이션(20)은 직접 서버(50)에 접근할 수 없고 반드시 접근통제 게이트웨이(30)를 통해서만 제2 서버(40)에 접근할 수 있다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 제2 서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.
또한, 제2 서버(40)는 접근통제 게이트웨이(30)로부터 접속되어, 서비스 계정에 대한 패스워드 변경 요청을 받고, 해당 서비스 계정의 패스워드를 갱신한다.
다음으로, 본 발명의 제1 실시예에 따른 제1 서버(10)의 세부 구성을 도 2를 참조하여 설명한다.
또한, 도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 제1 서버(10)는 통신 어플리케이션(20)에 대한 어플리케이션 인증을 수행하는 접근통제 에이전트(11), 통신 어플리케이션(20)의 패킷을 변조하여 우회시키는 IP 필터부(12), 및, IP 필터부(12)로부터 수신되는 패킷을 접근통제 게이트웨이(30)로 우회시키는 접근통제 에이전트 프록시(13)로 구성된다.
먼저, 접근통제 에이전트(11)는 제1 서버(10)를 기준으로 설치되는 프로그램(또는 어플리케이션)으로서, 접근통제 게이트웨이(30)에 접근하여 기기 인증을 수행한다.
또한, 접근통제 에이전트(11)는 접근통제 게이트웨이(30)에 허용가능한 통신 어플리케이션의 정보(또는 자신의 어플리케이션 허용 정보)를 가져온다.
또한, 접근통제 에이전트(11)는 접근통제 게이트웨이(30)로부터, 게이트웨이를 통해 접근 가능한 서버 정보(또는 자신의 접속가능 장비 정보)를 가져온다. 접속가능 장비 정보는 IP 필터부(12)의 IP 필터링 정보로 활용된다.
즉, 접근통제 에이전트(11)는 접속가능 장비 정보를 접근통제 에이전트 프록시(13)에 전달한다. 접속가능 장비 정보는 접근 가능한 IP 필터 정보로서 활용되는데, IP 필터 정보는 접속 가능한 서버(장비)의 IP주소와 프로토콜 포트번호 등의 리스트로 구성된다.
또한, 접근통제 에이전트(11)는 접속가능 장비 정보(또는 IP 필터 정보)와 함께, 접근통제 에이전트 프록시(13)를 실행시킨다. 즉, 접근통제 에이전트 프록시(13)에 IP 필터 정보(접속가능 장비 정보)를 주고 실행시킨다. 접근통제 에이전트 프록시(13)는 제2 서버(40)와의 통신 세션에서 우회시키는 프록시(proxy) 기능을 수행한다.
또한, 접근통제 에이전트(11)는 접근통제 에이전트 프록시(13)가 통신 어플리케이션(20)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 통신 어플리케이션(20)에 대한 어플리케이션 인증을 수행한다. 구체적으로, 접근통제 에이전트(11)는 해당 통신 어플리케이션의 이름과 경로가 자신의 어플리케이션 허용 정보 내에 있는지 여부를 확인하여, 어플리케이션 인증을 수행한다.
또한, 접근통제 에이전트(11)는 접근통제 에이전트 프록시(13)가 통신 어플리케이션(20)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 통신 어플리케이션(20)의 장비접속 정보를 접근통제 게이트웨이(30)에 전달하여, 장비 접속 권한 여부에 대한 인증을 요청한다.
다음으로, IP 필터부(12)는 제1 서버(10)의 운영체제에 설치되는 네트워크 필터 드라이버로서, 송수신되는 통신 패킷들을 모니터링하고 접속가능 장비 정보(또는 IP 필터 정보)에 속하는 패킷을 탐지하여 변조한다.
일반적으로, 네트워크 드라이버는 제1 서버(10)의 운영체제(OS)의 시스템 프로그램으로서, 사용자 프로그램에서 요청되는 네트워크 관련 시스템콜을 처리한다. 즉, 네트워크 드라이버는 제2 서버(40)와 통신을 수행해주는 시스템 프로그램으로서, 제2 서버(40)와 세션을 설정하고, 전송할 데이터를 데이터 패킷으로 만들어 제2 서버(40)에 전송하고, 수신한 데이터 패킷을 데이터로 복원한다. 즉, 네트워크를 이용하는 모든 사용자 프로그램은 시스템 프로그램인 네트워크 드라이버를 통해, 데이터 패킷 차원으로 데이터를 송수신한다.
IP 필터부(12)는 네트워크 드라이버의 일부로서, 네트워크 드라이버의 중간에서 필터링 또는 후킹하는 드라이버이며, 통신 어플리케이션(20)에서 전송할 패킷을 검사한다.
이때, 패킷의 헤더정보에는 소스정보(또는 소스주소)와 목적정보(또는 목적주소)로 구성된다. 소스주소는 패킷을 전송하는 소스(source) 또는 통신 어플리케이션(20)의 IP주소와 포트로 구성된다. 또한, 목적주소는 목적(destination) 또는 제2 서버(40)의 IP주소와 포트로 구성된다.
IP 필터부(12)는 데이터 패킷을 검사하여 접속가능 장비 정보(또는 IP 필터 정보) 내의 주소로 전송하는 패킷인지 확인하고, 확인되면 해당 데이터 패킷을 접근통제 에이전트 프록시(13)의 주소로 패킷의 목적지를 변경한다.
이때, 접속가능 장비 정보(또는 IP 필터 정보)에는 제2 서버(40)의 주소를 포함한다. 접속가능 장비 정보(또는 IP 필터 정보)에는 필터링할 주소 정보를 리스트로 관리하고, IP 필터 정보에 속하는 주소를 목적주소로 가지는 패킷들은 접근통제 에이전트 프록시(13)로 우회된다. 즉, IP 필터부(12)는 보안 관리가 필요한 제2 서버(40)에 접근하는 데이터 패킷인 경우, 해당 데이터 패킷의 목적지를 변경함으로써, 직접 제2 서버(40)로 전송하지 않고 접근통제 에이전트 프록시(13)로 우회시킨다.
한편, IP 필터부(12)는 접근통제 에이전트 프록시(13)로부터 IP 필터 정보와, 접근통제 에이전트 프록시(13)의 주소(이하 프록시 주소)를 수신하여 저장해둔다. 바람직하게는, 소정의 주기로 IP필터링 정보를 갱신한다. 이때, 접근통제 에이전트 프록시(13)는 접근통제 게이트웨이(30)에 접속하여 IP필터링 정보를 갱신하여 IP 필터부(12)에 전달한다.
바람직하게는, IP 필터부(12)는 실행 전에 IP필터링 정보와 프록시 주소를 수신하여 저장해두고, 실행되면 데이터 패킷을 IP필터링 정보로 목적주소(destination address)를 필터링하여, 필터링된 데이터 패킷의 목적주소를 프록시 주소로 변조(변경)한다.
다음으로, 접근통제 에이전트 프록시(13)는 제1 서버(10)에 설치되는 프로그램(또는 어플리케이션)으로서, 패킷 또는 통신 세션을 중계하는 프록시 기능을 수행한다. 바람직하게는, 접근통제 에이전트 프록시(13)는 제1 서버(10)에서 독립적인 프로세스로서 작동되는 사용자 계층의 프로그램 시스템이다.
구체적으로, 접근통제 에이전트 프록시(13)는 IP 필터부(12)를 실행시키고, IP필터링 정보 및 자신의 주소(또는 프록시 주소)를 전달하여 필터링하고 변조하게 한다. 그리고, 접근통제 에이전트 프록시(13)는 IP 필터부(12)로부터 변조된 패킷을 수신하여 접근통제 게이트웨이(30)로 중계한다.
특히, IP 필터부(12)가 필터링 해야하는 패킷이 감지될 경우 패킷의 목적지 주소를 프록시 주소로 변경하고, 네트워크 인터페이스 카드(Network Interface Card) 등으로 전달하는 역할만 수행하면, 목적지 주소가 변경된 패킷은 네트워크 카드(Network Interface Card)를 거쳐 로컬에서 대기하는 접근통제 에이전트 프록시(13)로 전달된다.
IP 필터부(12)가 실행되어 구동되면, 통신 어플리케이션(20)이 제2 서버(40)에 원격 접근 패킷을 전송하려는 것을 감지하고, 접근통제 에이전트 프록시(13)로 패킷의 경로를 바꿔 전송하게 시킨다. 이때, 접근통제 에이전트 프록시(13)는 IP 필터부(12)로부터 변조된 패킷을 수신하고, 수신한 패킷을 접근통제 게이트웨이(30)로 전송한다. 즉, 접근통제 에이전트 프록시(13)는 제2 서버(40)로 전송하려는 패킷을 수신하여, 접근통제 게이트웨이(30)로 우회시킨다.
한편, 이를 위해, 접근통제 에이전트 프록시(13)는 접근통제 게이트웨이(30)와 세션을 수립하고, 수립된 세션을 통해 패킷을 송수신한다. 바람직하게는, 접근통제 에이전트 프록시(13)는 패킷을 수신하면 세션을 수립하고, 전송된 패킷 및 그 이후로 전달되는 패킷들을 수립된 세션으로 전송한다.
또한, 통신 프로토콜이 암호화 통신인 경우, 접근통제 에이전트 프록시(13)는 접근통제 게이트웨이(30)와 통신 암호화 협상(RSA+AES)을 통한 안전한 세션을 수립하고, 수립된 세션을 통해 패킷을 송수신한다. 즉, 접근통제 에이전트 프록시(13)와 게이트웨이(30) 사이에는 RSA 암호 알고리즘, AES(Advanced Encryption Standard) 알고리즘 등 암호 알고리즘을 이용한 암호화 세션을 형성하여, 암호화 통신을 수행한다.
또한, 접근통제 에이전트 프록시(13)는 수신된 패킷을 접근통제 게이트웨이(30)에 전달해야 하지만, 해당 패킷이 실제 어느 서버에 접근해야 하는지에 대한 목적지 정보를 접근통제 게이트웨이(30)에 전달하지 못할 경우 접근통제 게이트웨이(30)는 전달받은 패킷을 어디가 최종 목적지인지 알 수 없어 패킷을 중계할 수 없게 된다. 따라서, 접근통제 에이전트 프록시(13)는 패킷이 수신되면, 실제 목적지 정보를 질의하기 위해, 패킷의 소스(Source) 정보 (IP, Client port 번호)를 IP 필터부(12)와 연결된 채널(또는 인터페이스)을 통해 전달하고, IP 필터부(12)는 자신이 변조한 패킷의 실제 목적지를 소스(Source) 정보로 탐색하여 실제 목적지 정보를 연결된 채널로 반환하게 된다.
또한, 이때, 접근통제 에이전트 프록시(13)는 수신된 변조 패킷의 원래 최종 목적지(또는 패킷의 원래 목적주소)를 IP 필터부(12)로부터 채널을 통해 획득한다. 특히, 신규 접속 요청(또는 연결 요청) 이벤트가 발생되면, IP 필터부(12)에 실제 목적주소를 질의하여 수신한다.
한편, 접근통제 에이전트 프록시(13)는 통신 어플리케이션(20)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 접근통제 에이전트(11)를 통해 통신 어플리케이션(20)의 장비접속 인증을 요청한다. 장비접속 인증이 통과되어야 접근통제 에이전트 프록시(13)와 접근통제 게이트웨이(30) 간에 세션이 수립될 수 있다.
다음으로, 본 발명의 제1 실시예에 따른 접근통제 게이트웨이(30)의 세부 구성에 대하여 도 2를 참조하여 보다 구체적으로 설명한다.
도 2의 게이트웨이(30)의 세부 구성에서 보는 바와 같이, 본 발명에 따른 접근통제 게이트웨이(30)는 제1 서버(10)에 대한 기기 인증 및 통신 어플리케이션(20)에 대한 어플리케이션 인증을 수행하는 인증권한 정책부(31), 접근통제 에이전트 프록시(13)와 통신을 수행하는 에이전트 프록시 핸들러(32), 제2 서버(40)와 세션을 설정하여 통신을 수행하는 서비스 프록시 핸들러(34), 메시지를 파싱하여 분석하고 분석결과에 따라 패스워드를 치환하거나 명령어 통제를 수행하는 메시지 분석부(35), 및, 서비스 계정의 패스워드를 갱신하고 관리하는 패스워드 갱신부(37)로 구성된다. 또한, 접근 이력 등을 저장하는 로그 저장부(33)를 더 포함하여 구성될 수 있다.
또한, 접근통제 게이트웨이(30)는 서비스 계정 정보(51), 어플리케이션 허용 정보(52), 명령어 통제 정책(53), 로그 정보(54), 접속가능 장비 정보(55) 등을 데이터로서 구성한다.
먼저, 인증권한 정책부(31)는 각 제1 서버(10)의 서비스 계정 및 그 계정의 패스워드(각 제1 서버를 기준으로 서비스 계정 및 패스워드)를 서비스 계정 정보(51)로 사전에 등록한다. 구체적으로, 서비스 계정 정보(51)는 서비스 계정 및 그 계정의 패스워드로 구성되며, 바람직하게는, 다수의 계정을 목록으로 관리된다.
또한, 인증권한 정책부(31)는 각 제1 서버(10)의 허용가능한 통신 어플리케이션(20) 정보(각 제1 서버를 기준으로 허용가능한 어플리케이션 정보)를 어플리케이션 허용 정보(52)로 사전에 등록받아 관리한다. 어플리케이션 허용 정보(52)는 적어도 하나의 통신 어플리케이션의 프로그램 이름 및 경로로 구성되고, 바람직하게는, 목록으로 관리될 수 있다.
또한, 인증권한 정책부(31)는 각 제1 서버(10)가 접근 가능한 장비(제2 서버)(40)에 대한 정보(각 제1 서버를 기준으로 접근 가능한 장비 정보)를 접근가능 장비 정보(55)로 사전에 등록받아 관리한다. 접속가능 장비 정보(55)는 각 제1 서버를 기준으로 제2 서버의 서버 정보(IP 주소)와 프로토콜(포트번호)를 포함한다.
바람직하게는, 상기 정보들(51,52,55)은 관리자에 의해 등록받아 관리한다.
또한, 인증권한 정책부(31)는 제1 서버(10)의 접근통제 에이전트(11)의 요청에 따라 해당 제1 서버의 어플리케이션 허용 정보를 전송해준다. 이때, 바람직하게는, 제1 서버(10)에 대한 기기 인증을 수행하고, 기기 인증이 통과되면 어플리케이션 허용 정보를 전송해준다.
또한, 인증권한 정책부(31)는 접근통제 에이전트(11)의 요청에 따라 해당 제1 서버의 접속가능 장비 정보를 전송해준다. 이때, 바람직하게는, 제1 서버(10)에 대하여 기기 인증을 수행하고, 기기 인증이 통과되면 접속가능 장비 정보를 전송해준다.
또한, 인증권한 정책부(31)는 통신 어플리케이션(20)이 우회되어 접속될 때, 접근통제 에이전트(11)의 요청에 따라 장비접속 인증을 수행한다. 즉, 접근통제 게이트웨이(30)는 접근통제 에이전트(11)로부터 장비접속 정보(접속할 장비의 IP주소와 포트번호)를 전송받고, 장비접속 정보가 접속가능 장비 정보(55)에 있는지 여부를 판단하여 장비접속 인증을 수행한다.
또한, 인증권한 정책부(31)는 통신 어플리케이션(20)에 대한 장비접속 인증이 통과되면, 에이전트 프록시 핸들러(32)에 해당 통신 어플리케이션(20)의 메시지를 제2 서버(40)에 중계하도록 허용(인가)한다.
다음으로, 에이전트 프록시 핸들러(32)는 접근통제 에이전트 프록시(13)와 세션을 수립하고, 수립된 세션을 통해 데이터를 송수신한다. 이때, 암호화 통신 프로토콜인 경우, 암호화에 의한 안전한 세션이 수립된다.
또한, 에이전트 프록시 핸들러(32)는 메시지, 특히, 제1 서버(10) 또는 접근통제 에이전트 프록시(13)로부터 수신되는 메시지를 메시지 분석부(35)에 전달하여 분석하게 한다. 이때 분석결과에 따라, 패스워드가 갱신된 메시지를 서비스 프록시 핸들러(34)로 전달하거나, 메시지의 전달을 차단한다.
즉, 메시지가 패스워드 패킷(패스워드 메시지)인 경우, 에이전트 프록시 핸들러(32)는 메시지 분석부(35)로부터 받은 갱신된 메시지를 서비스 프록시 핸들러(34)로 전달한다.
그리고 메시지가 명령어 통제 정책(53)에 따라 허용되지 않는 경우, 에이전트 프록시 핸들러(32)는 해당 메시지를 서비스 프록시 핸들러(34)로 전달하지 않고 차단한다.
또한, 서비스 프록시 핸들러(34)는 에이전트 프록시 핸들러(32)와 형성된 세션(이하 클라이언트용 세션)에 대응되는 세션(이하 서버용 세션)을 제2 서버(40)와 형성한다. 즉, 클라이언트용 세션과 서버용 세션은 접근통제 에이전트 프록시(13)와 제2 서버(40) 사이를 중계하기 위한 세션들이다. 또한, 접근통제 에이전트 프록시(13)는 통신 어플리케이션(20)을 프록싱하기 때문에, 결국 클라이언트용 세션과 서버용 세션은 통신 어플리케이션(20)과 제2 서버(40) 사이를 중계하는 세션들이다.
다음으로, 로그 저장부(33)는 에이전트 프록시 핸들러(32)와 서비스 프록시 핸들러(34) 사이에서 송수신되는 메시지를 저장하거나, 통신 어플리케이션(20)이 제2 서버(40)에 접근하는 이력 등을 저장한다. 이때, 메시지나 이력 등은 로그 정보(54)에 저장된다.
다음으로, 패스워드 갱신부(37)는 주기적으로 또는 특정 이벤트에 따라 패스워드를 변경한다. 이때, 특정 이벤트는 사전에 설정된 이벤트로서, 시스템이 리부팅된다거나 에이전트 프로그램들이 갱신되는 것, 관리자 또는 사용자의 명령 등으로 설정될 수 있다.
구체적으로, 패스워드 갱신부(37)는 서비스 계정 정보(51)에 저장된 서비스 계정과 패스워드를 이용하여 제2 서버(40)에 접속하고, 새로운 패스워드를 생성하여 새로운 패스워드로 제2 서버(40)에 패스워드 변경을 요청한다. 그리고 해당 제1 서버(10)의 서비스 계정 정보(51)에서 해당 서비스 계정의 패스워드를 새로운 패스워드로 갱신한다. 즉, 패스워드 갱신부(37)는 서비스 프록시 핸들러(34)를 통해 제2 서버(40)에 접근하여, 갱신전 패스워드로 계정 인증을 수행하고 패스워드를 갱신한다.
다음으로, 메시지 분석부(35)는 클라이언트 세션과 서버용 세션 간의 메시지를 중계하되, 메시지를 분석하여, 메시지 내의 패스워드를 치환하거나 메시지 내의 명령어에 대해 통제한다. 즉, 메시지 분석부(35)는 에이전트 프록시 핸들러(32)에 수신되는 메시지(또는 패킷, IP 패킷)를 파싱하여 분석하고, 분석결과에 따라 메시지의 통제 명령을 결정하여 에이전트 프록시 핸들러(32)로 전달한다.
먼저, 메시지 분석부(35)는 메시지가 서비스 계정 또는 패스워드에 대한 것으로 판단하면, 메시지 내의 패스워드(제1 패스워드)를 서비스 계정 정보(51)의 패스워드(제2 패스워드)로 치환한다.
구체적으로, 메시지 분석부(35)는 메시지 내에 포함된 서비스 계정을 추출하고, 추출된 서비스 계정으로 서비스 계정 정보(51)를 검색하여, 제2 패스워드를 찾는다. 즉, 서비스 계정 정보(51)에서, 메시지의 서비스 계정 이름과 동일한 이름을 갖는 서비스 계정의 패스워드(제2 패스워드)를 검색한다. 검색된 제2 패스워드로 원래의 패스워드(제1 패스워드)를 치환한다.
치환된 메시지는 에이전트 프록시 핸들러(32)로 전달되고, 서비스 프록시 핸들러(34)를 통해 제2 서버(40)로 전송된다.
다음으로, 메시지 분석부(35)는 메시지가 명령어를 포함하는 것으로 판단하면, 명령어 통제 정책(53)에 따라 해당 메시지를 차단 또는 전송한다. 즉, 메시지 분석부(35)는 메시지를 분석하여, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다.
명령어 통제 정책(53)은 각 제2 서버(40)의 서비스 계정 별로, 허용되는 명령어 또는 허용되지 않는 명령어들에 대한 리스트로 구성된다. 명령어 통제 정책은 사전에 설정되어 저장된다.
서비스 계정 및 패스워드를 포함하는 메시지에 의해, 제2 서버(40)의 해당 서비스 계정에 로그인 되면, 해당 서비스 계정의 명령어 통제 정책(53)을 검색한다. 그리고 검색된 명령어 통제 정책(53)이 해당 서비스 계정의 세션으로 전달되는 메시지에 적용된다.
특히, 메시지 분석부(35)는 서비스 계정 및 패스워드를 포함하는 메시지를 감지하면, 즉, 해당 메시지에 의해 제2 서버(40)의 해당 서비스 계정에 로그인하는 것을 감지하면, 해당 서비스 계정의 명령어 통제 정책(50)을 검색한다. 그리고 검색된 명령어 통제 정책(50)을, 해당 서비스 계정의 세션에서 전달되는 메시지에 적용되는 정책으로 설정한다.
다음으로, 본 발명의 제1 실시예에 따른 게이트웨이 방식의 접근통제 시스템의 구성을 요약하면 다음과 같다.
먼저, 접근통제 게이트웨이(30)에 어플리케이션 허용 정보(52), 접속가능 장비 정보(55), 서비스 계정 정보(51)가 등록된다.
즉, 어플리케이션 허용 정보(52)는 제1 서버(10)를 기준으로 접근통제 게이트웨이(30)에 등록된다. 또한, 접속가능 장비 정보(55)는 제1 서버(10)를 기준으로 어떤 제2 서버(40)의 IP주소 및 포트번호에 접속이 가능한지 접근통제 게이트웨이(30)에 등록된다. 또한, 서비스 계정 정보(51)는 제1 서버(10)를 기준으로 어떤 제2 서버(40)의 어떤 서비스 계정에 접속이 가능한지 접근통제 게이트웨이(30)에 등록된다.
다음으로, 상기 정보들이 등록되면, 접근통제 에이전트(11)가 동작된다. 동작된 접근통제 에이전트(11)는 MAC 주소를 인증권한 정책부(31)에 전달하여 제1 서버(10)를 인증받는다.
다음으로, 기기 인증이 완료되면 접근통제 에이전트(11)는 접근통제 에이전트 프록시(13)와 IP 필터부(12)를 실행시킨다.
다음으로, 접근통제 에이전트(11)는 어플리케이션 허용 정보(52)와 접속가능 장비 정보(55)를 접근통제 게이트웨이(30)에서 받아온다. 그리고 접속가능 장비 정보(55)는 IP 필터부(12)에 전달한다.
다음으로, 접근통제 에이전트(11)는 어플리케이션 허용 정보(52)를 보유한다. 그리고 통신 어플리케이션(20)이 제2 서버(40)에 접근을 시도할 경우에, IP 필터부(12)는 해당 통신 어플리케이션(20) 정보를 접근통제 에이전트(11)에게 전달한다. 그리고 접근통제 에이전트(11)는 어플리케이션 허용 정보(52)에서 해당 통신 어플리케이션(20) 정보를 확인하고, 등록되어 있으면 어플리케이션 인증을 통과한 것으로 본다.
인증이 통과된 경우, 접근통제 에이전트(11)는 인증권한 정책부(31)에게 제2 서버(40)의 정보(서버 접근 정보)를 전달한다. 그리고 인증권한 정책부(31)는 접속가능 장비 정보(55)를 확인하고, 권한이 있을 경우에 에이전트 프록시 핸들러(32)에게 접근통제 에이전트 프록시(13)와 제2 서버(40) 정보를 전달시킨다. 에이전트 프록시 핸들러(32)는 접근통제 에이전트 프록시(13)와 제2 서버(40) 정보를 다시 서비스 프록시 핸들러(34)에게 전달한다.
다음으로, 제1 서버(10)와 접근통제 게이트웨이(30) 사이에서 접근통제 에이전트 프록시(13)와 에이전트 프록시 핸들러(32)를 연결하고 게이트웨이(30) 내부에서 에이전트 프록시 핸들러(32)와 서비스 프록시 핸들러(34)를 연결한다. 그리고 게이트웨이(30)와 제2 서버(40) 사이에서 서비스 프록시 핸들러(34)과 서비스 서버(40)을 연결 시킨다.
다음으로, 통신 과정에서 에이전트 프록시 핸들러(32)를 통해서 받은 메시지를 메시지 분석부(35)에서 분석된다. 그리고 서비스 서버(40)의 접속 서비스 계정 정보가 분석이 되면, 관련 서비스 계정 정보를 서비스 계정 정보(51)에서 확인한다. 그리고 관련 정보가 존재하면 기존의 패스워드를 무시하고 새로운 패스워드 정보를 서비스 프록시 핸들러(34)에게 전달한다. 서비스 프록시 핸들러(34)는 새로운 패스워드로 변경해서 서비스 서버(40)에 접속을 시도한다.
다음으로, 본 발명의 제1 실시예에 따른 게이트웨이 방식의 접근통제 방법을 도 3을 참조하여 설명한다.
먼저, 제1 서버(10)는 접근통제 게이트웨이(30)로부터 어플리케이션 허용 정보(52) 및, 접속가능 장비 정보(55)를 받아온다(S10).
다음으로, 제1 서버(10)는 접속가능 장비 정보를 이용하여 IP필터 정보를 생성하여, 접근통제 에이전트 프록시(13)를 통해 IP필터부(12)에 전달한다(S20).
다음으로, 통신 어플리케이션(20)이 실행되어(S30), 제2 서버(40)에 접속을 시도한다(S40). 이때, 통신 어플리케이션(20)에서 전송하는 메시지는 접근통제 에이전트 프록시(13) 및 IP필터부(12)에 의해 우회되어 접근통제 게이트웨이(30)에 연결된다. 특히, 제1 서버(10)의 접근통제 에이전트 프록시(13)와 접근통제 게이트웨이(30)의 에이전트 프록시 핸들러(32)와 연결되어 우회된다.
다음으로, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)에 대해 접속 인증을 수행하고(S50), 인증되면 통신 어플리케이션(20)과 접근통제 게이트웨이(30) 간의 세션(클라이언트용 세션)을 설정한다(S60).
다음으로, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)으로부터 우회되어 전송되는 메시지를 수신하고, 메시지에 대하여 명령어를 분석한다. 분석된 명령어는 명령어 통제 정책(53)에 따라 통제된다(S70).
다음으로, 접근통제 게이트웨이(30)는 통신 어플리케이션(20)으로부터 우회되어 전송되는 메시지를 분석하는데, 메시지가 서비스 계정과 패스워드를 포함하는 경우, 서비스 계정 정보(51)를 확인해서 인증이 되면, 갱신된 패스워드로 치환하여 메시지를 제2 서버(40)로 전송한다(S80).
다음으로, 접근통제 게이트웨이(30)는 제2 서버(40)와의 세션(서버용 세션)을 설정한다(S90).
다음으로, 본 발명의 제2 실시예에 따른 접근통제 시스템의 구성에 대하여 설명한다.
본 발명의 제2 실시예는 앞서 설명한 제1 실시예와 동일하다. 다만, 어플리케이션 인증을 접근통제 게이트웨이(30) 또는 권한인증 정책부(31)에서 수행하는 점에서 차이점이 있다. 이하에서, 차이점에 대해서만 설명한다. 그외 설명되지 않은 부분은 앞서 설명한 제1 실시예를 참조한다.
제1 실시예와 같이, 접근통제 게이트웨이(30) 또는 권한인증 정책부(31)는 제1 서버(10)에서 제2 서버(40)로 접근이 가능한 통신 어플리케이션들에 대한 정보를 사전에 등록하여 관리한다.
그러나 접근통제 게이트웨이(30) 또는 권한인증 정책부(31)는 어플리케이션 허용 정보를 제1 서버(10) 또는 접근통제 에이전트(11)에 전송하지 않는다.
대신, 제1 서버에 설치된 통신 어플리케이션(20)이 (최초로) 우회되어 접속할 때, 제1 서버(10) 또는 접근통제 에이전트(11)는 장비접속 정보와 함께 어플리케이션 정보를 접근통제 게이트웨이(30) 또는 권한인증 정책부(31)로 전송한다.
이때, 어플리케이션 정보는 해당 통신 어플리케이션의 이름과 경로로 구성된다.
접근통제 게이트웨이(30) 또는 권한인증 정책부(31)는 장비접속 정보를 이용하여 장비접속의 인가 여부를 확인(장비접속 인증)을 수행하고, 동시에, 어플리케이션의 정보(이름과 경로)를 이용하여 어플리케이션의 인가 여부를 확인(어플리케이션 인증)을 수행한다.
바람직하게는, 접근통제 게이트웨이(30) 또는 권한인증 정책부(31)는 해당 통신 어플리케이션의 이름과 경로가 자신의 어플리케이션 허용 정보 내에 있는지 여부를 확인하여, 어플리케이션 인증을 수행한다. 즉, 어플리케이션 허용 정보 내에 해당 통신 어플리케이션이 있으면 인증이 통과된다.
접근통제 게이트웨이(30) 또는 권한인증 정책부(31)는 장비접속 인증과 어플리케이션 인증이 통과되면, 해당 통신 어플리케이션의 접속을 허용하여, 제1 서버와의 클라이언트용 세션 수립을 허용한다. 즉, 에이전트 프록시 핸들러(32)에 해당 통신 어플리케이션의 메시지를 서버(40)에 중계할 것을 허용(인가)한다.
중계(접속)가 인가되면, 접근통제 에이전트 프록시(13)와 에이전트 프록시 핸들러(32)는 클라이언트용 세션을 수립하여 통신 중계를 수행한다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 제1 서버 11 : 접근통제 에이전트
12 : IP필터부 13 : 접근통제 에이전트 프록시
20 : 통신 어플리케이션 30 : 접근통제 게이트웨이
31 : 인증권한부 32 : 에이전트 프록시 핸들러
33 : 로그저장부 34 : 서비스 프록시 핸들러
35 : 메시지 분석부 37 : 패스워드 갱신부
51 : 서비스 계정 정보 52 : 어플리케이션 허용 정보
53 : 명령어 통제 정책 54 : 로그 정보
55 : 접속가능 장비 정보

Claims (7)

  1. 적어도 하나의 제1 서버와 제2 서버 사이에 설치되어, 상기 제1 서버에 설치된 통신 어플리케이션의 메시지를 중계하고 모니터링하는, 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템에 있어서,
    상기 제2 서버에 접속할 수 있는 상기 제1 서버의 서비스 계정의 정보(이하 서비스 계정 정보)를 등록하는 인증권한 정책부;
    상기 제1 서버에 의해 상기 통신 어플리케이션의 제2 서버와의 통신이 우회되어, 상기 통신 어플리케이션과 세션(이하 클라이언트용 세션)을 형성하는 에이전트 프록시 핸들러;
    상기 제2 서버와 세션(이하 서버용 세션)을 형성하는 서비스 프록시 핸들러;
    상기 클라이언트용 세션과 상기 서버용 세션 간의 메시지를 중계하되, 상기 클라이언트용 세션에서 수신되는 메시지를 분석하여, 메시지 내의 패스워드를 치환하는 메시지 분석부; 및,
    상기 서비스 계정 정보의 패스워드를 주기적으로 또는 이벤트에 따라 변경하고, 상기 제2 서버에 접속하여 변경된 패스워드로 상기 서비스 계정의 패스워드를 갱신하는 패스워드 갱신부를 포함하고,
    상기 인증권한 정책부는 상기 제1 서버에 대한 기기 인증을 수행하고, 인증이 통과되면 상기 제1 서버의 통신 어플리케이션에 대해 우회 허용 여부를 결정하는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
  2. 제1항에 있어서,
    상기 인증권한 정책부는 상기 제1 서버가 접속 가능한 제2 서버의 장비에 대한 정보(이하 접속가능 장비 정보)를 저장하고, 상기 통신 어플리케이션이 우회되어 접속될 때, 상기 제1 서버의 통신 어플리케이션의 접속 요청에 대하여 상기 접속가능 장비 정보를 이용하여 장비 접속의 권한 여부 인증(이하 장비접속 인증)을 수행하는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
  3. 제1항에 있어서,
    상기 인증권한 정책부는 상기 제2 서버에 접속이 가능한 상기 제1 서버의 통신 어플리케이션의 정보(이하 어플리케이션 허용 정보)를 사전에 등록하고, 상기 제1 서버에 해당 제1 서버의 어플리케이션 허용 정보를 전송하고,
    상기 통신 어플리케이션의 메시지가 우회될 때, 상기 제1 서버에 의해 상기 통신 어플리케이션의 허용 여부에 대한 인증(이하 어플리케이션 인증)이 수행되는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
  4. 제1항에 있어서,
    상기 인증권한 정책부는 상기 제2 서버에 접속이 가능한 상기 제1 서버의 통신 어플리케이션의 정보(이하 어플리케이션 허용 정보)를 사전에 등록하고, 상기 통신 어플리케이션의 메시지가 우회될 때, 상기 어플리케이션 허용 정보를 이용하여 상기 통신 어플리케이션의 허용 여부에 대한 인증(이하 어플리케이션 인증)을 수행하는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
  5. 삭제
  6. 제1항에 있어서,
    상기 메시지 분석부는 상기 메시지를 분석하여 메시지 내에 포함된 명령어를 추출하고, 추출된 명령어를 사전에 설정된 명령어 통제 정책에 적용하여 상기 메시지를 차단 또는 중계하는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
  7. 제2항에 있어서, 상기 제1 서버는,
    상기 접속가능 장비 정보에 속하는 서버 접근 정보들로 구성되는 IP 필터 정보를 생성하는 접근통제 에이전트;
    상기 제1 서버의 운영체제에 설치되는 네트워크 필터 드라이버로서, 상기 통신 어플리케이션의 송수신되는 메시지 패킷들을 모니터링하고, 상기 IP 필터 정보에 속하는 목적주소를 가지는 메시지 패킷의 목적주소를 변조하여 우회시키는 IP필터부; 및,
    우회된 메시지 패킷을 수신하여 상기 에이전트 프록시 핸들러로 전송하는 접근통제 에이전트 프록시를 포함하는 것을 특징으로 하는 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템.
KR1020190011745A 2019-01-30 2019-01-30 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템 KR101992985B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190011745A KR101992985B1 (ko) 2019-01-30 2019-01-30 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190011745A KR101992985B1 (ko) 2019-01-30 2019-01-30 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템

Publications (1)

Publication Number Publication Date
KR101992985B1 true KR101992985B1 (ko) 2019-06-26

Family

ID=67104910

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190011745A KR101992985B1 (ko) 2019-01-30 2019-01-30 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템

Country Status (1)

Country Link
KR (1) KR101992985B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102150484B1 (ko) * 2019-11-28 2020-09-01 주식회사 넷앤드 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404537B1 (ko) 2014-01-10 2014-06-10 주식회사 레드비씨 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법
KR101896453B1 (ko) * 2018-04-06 2018-09-07 주식회사 넷앤드 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101404537B1 (ko) 2014-01-10 2014-06-10 주식회사 레드비씨 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법
KR101896453B1 (ko) * 2018-04-06 2018-09-07 주식회사 넷앤드 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102150484B1 (ko) * 2019-11-28 2020-09-01 주식회사 넷앤드 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템

Similar Documents

Publication Publication Date Title
US9258308B1 (en) Point to multi-point connections
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
US7360237B2 (en) System and method for secure network connectivity
CN107426174B (zh) 一种可信执行环境的访问控制方法
US7474655B2 (en) Restricting communication service
US20110167470A1 (en) Mobile data security system and methods
KR101896453B1 (ko) 원격접근의 어플리케이션 제약 해소와 통신 보안성 향상을 위한 게이트웨이 방식의 접근통제 시스템
US11539695B2 (en) Secure controlled access to protected resources
EP3800564A1 (en) Secure communication method and system using network socket proxying
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
KR101896449B1 (ko) 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템
CN106411852B (zh) 一种分布式终端准入控制方法和装置
KR20190009497A (ko) 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
KR102118380B1 (ko) 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템
KR20180028742A (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
KR20150114921A (ko) 기업내 보안망 제공시스템 및 그 방법
KR102284183B1 (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
KR101818508B1 (ko) 기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체
KR102132490B1 (ko) 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
KR100539760B1 (ko) 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법
CN111131172B (zh) 一种内网主动调用服务的方法
EP2095598B1 (en) Secure network architecture
KR102150484B1 (ko) 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템
KR102110821B1 (ko) 슈퍼 계정의 접근 권한 유무 기반 사용자 계정의 권한 전환 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant