KR102017038B1 - An access control system for web applications - Google Patents

An access control system for web applications Download PDF

Info

Publication number
KR102017038B1
KR102017038B1 KR1020190021123A KR20190021123A KR102017038B1 KR 102017038 B1 KR102017038 B1 KR 102017038B1 KR 1020190021123 A KR1020190021123 A KR 1020190021123A KR 20190021123 A KR20190021123 A KR 20190021123A KR 102017038 B1 KR102017038 B1 KR 102017038B1
Authority
KR
South Korea
Prior art keywords
password
web
access control
client
web browser
Prior art date
Application number
KR1020190021123A
Other languages
Korean (ko)
Inventor
신호철
김대옥
이재국
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Priority to KR1020190021123A priority Critical patent/KR102017038B1/en
Application granted granted Critical
Publication of KR102017038B1 publication Critical patent/KR102017038B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

The present invention relates to an access control system for a web application having a password change function, which is installed between at least one user terminal and a web server, relays and monitors messages of a web browser which are bypassed by an access control client installed in the user terminal. The access control system for a web application comprises: an authentication authority policy unit for registering user account information consisting of an ID and a password of a user and transmitting the user account information to an access control client; a client proxy handler for bypassing communication of the web server of the web browser by the access control client to form a session (hereinafter referred to as a session for a client) with the web browser; a web server proxy handler for forming a session (hereinafter referred to as a session for a server) with the web server; a message analysis unit for relaying messages between the session for a client and the session for a server, analyzing messages received from the session for a client, and controlling the messages according to a path control policy; and a password update unit for changing the password of the user account information periodically or according to an event, and accessing the web server to update the password of the user account with the changed password. By the above-described system, a password can be changed by simulating a user′s password change operation and forwarding a simulated operation message to a web server, and thus, the password can be automatically changed without modifying a web application of the web server.

Description

패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템 { An access control system for web applications }An access control system for web applications with password change function

본 발명은 웹브라우저에서 웹 어플리케이션의 웹서버를 접속하여 이용할 때, 데이터 패킷을 변조하여 접근통제 게이트웨이로 경유하도록 처리하고, 접근통제 게이트웨이에서 웹 어플리케이션에 대한 접근통제를 수행하는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 관한 것이다.The present invention has a password change function for processing a web packet of a web application by accessing the web server through a web browser, and modulating a data packet to pass through the access control gateway, and performing an access control on the web application at the access control gateway. The access control system of the web application.

또한, 본 발명은 사용자 계정의 아이디와 패스워드를 관리하는 웹브라우저의 확장 프로그램을 추가하여, 이미 인증된 사용자에 대하여 웹 어플리케이션 접속을 위한 아이디와 패스워드를 자동으로 입력하거나 변경시키는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 관한 것이다.In addition, the present invention has a password change function for automatically inputting or changing an ID and password for accessing a web application to an already authenticated user by adding an extension program of a web browser that manages an ID and password of a user account. The access control system of the web application.

최근 클라우드 환경이 일반화되고 보편화 되면서, 대부분의 업무 시스템이나 서비스 시스템이 웹 어플리케이션의 형태로 개발되어 제공되고 있다. 즉, 사용자는 웹브라우저를 통해 언제 어디서나 쉽게 웹 어플리케이션에 접속하여 이용할 수 있게 되었다.Recently, with the generalization and generalization of the cloud environment, most business systems or service systems have been developed and provided in the form of web applications. That is, the user can easily access and use the web application anytime and anywhere through the web browser.

그런데, 이러한 웹 어플리케이션은 오픈된 인터넷과 범용의 웹브라우저를 통해 접근되기 때문에, 그만큼 악의적인 공격에 쉽게 노출되고 있다. 즉, 웹 어플리케이션은 사용의 편의성을 제고하면서 동시에 보안도 강화되도록 개발되어야 한다.However, since these web applications are accessed through the open Internet and general-purpose web browsers, they are easily exposed to malicious attacks. In other words, the web application should be developed to enhance the convenience and security at the same time.

일반적으로, 웹 어플리케이션의 보안 기능을 강화하기 위하여, 대부분 웹 어플리케이션의 소스를 수정하고 있다. 악의적 공격 방법이 계속 진화하고 보안 방법도 발전하므로, 안전한 운영을 위해서 웹 어플리케이션을 지속적으로 갱신해야 한다. 또한, 웹브라우저의 기능을 강화하는 기술도 제시되고 있다[특허문헌 1].In general, in order to enhance the security of a web application, the source of the web application is mostly modified. As malicious attack methods continue to evolve and security methods evolve, web applications must be constantly updated for safe operation. In addition, a technique for enhancing the function of a web browser is also proposed [Patent Document 1].

특히, 웹 어플리케이션의 사용자 인증을 종래의 내부망에서의 업무 시스템과 같이 편리하게 수행할 수 있도록, SSO(Single Sign On) 인증 방식을 도입하고 있다. 그런데 SSO 인증 방식을 도입하기 위해서는, 웹 어플리케이션의 소스를 전반적으로 수정하고 유지 관리해야 한다.In particular, the SSO (Single Sign On) authentication scheme is introduced so that user authentication of a web application can be conveniently performed like a work system in a conventional internal network. However, in order to introduce SSO authentication, the source of the web application must be modified and maintained.

또한, 웹 어플리케이션은 URL 등의 접근 경로로 접근될 수 있으므로, 웹 어플리케이션의 내부 접근 경로를 기준으로 통제할 수 있어야 한다. 이를 위해, 웹 어플리케이션의 모든 웹 페이지 앞 부분에 권한 관련 통제 코드를 삽입해야 한다.In addition, since the web application can be accessed by an access path such as a URL, the web application should be controlled based on the internal access path of the web application. To do this, you must insert permission-related control code at the beginning of every web page in your web application.

웹 어플리케이션의 보안의 취약성을 정리하면 다음과 같다.The security vulnerabilities of web applications are as follows.

먼저, 웹브라우저에서 직접 웹 어플리케이션을 접근하므로, 사용자 계정의 아이디와, 패스워드만 알면 누구든지 접속을 할 수 있다. 이를 방지하기 위하여, 웹 어플리케이션에 대한 이중 인증을 수행해야 한다.First, since the web application is accessed directly from the web browser, anyone who can know the ID and password of the user account can connect. To prevent this, double authentication of the web application should be performed.

또한, 웹 어플리케이션의 아이디 및 패스워드가 쉽게 노출될 수 있다. 예를 들어, 외주 직원이 관련 웹 어플리케이션에 접속을 할 경우, 대개의 경우 ID를 따로 만들지 않고, 관리자의 ID로 접근한다. 이때, 관리자의 ID와 패스워드가 노출될 수 있다.In addition, the ID and password of the web application can be easily exposed. For example, when a subcontractor accesses a related web application, the administrator's ID is usually accessed without creating a separate ID. At this time, the administrator's ID and password may be exposed.

또한, 웹 어플리케이션을 접근한 후, 메뉴에 노출이 되어 있지 않은 경로(Path)에 대해 직접 접근할 수 있다. 또한, 웹의 메뉴에 대한 통제를 하지 않는 웹서비스의 경우, 관련 내용에 대한 통제가 불가하다.Also, after accessing the web application, you can directly access the path that is not exposed in the menu. In addition, in the case of a web service that does not control the menu of the web, it is impossible to control the related contents.

그런데, 이러한 위험을 방지하기 위한 보안 기능을 구현하기 위해서, 웹 어플리케이션의 많은 부분을 수정해야 하는 문제점이 있다.However, in order to implement a security function to prevent such a risk, there is a problem that many parts of the web application must be modified.

한편, 기존의 접근통제 시스템은 주로 통신 전용 어플리케이션을 대상으로 게이트웨이를 경유하게 하여 서버에 대한 접근을 통제하고 있다. 즉, 접근통제 게이트웨이는 통신 전용 어플리케이션과 서버 사이에서 모든 통신 데이터를 모니터링할 수 있기 때문에 효과적으로 서버에 대한 접근을 통제할 수 있다. 즉, 서버가 보안 기능이 높지 않아도 게이트웨이에서 보안 역할을 전담하므로, 서버의 기능을 갱신하지 않더라도 보안 기능을 강화시킬 수 있다.On the other hand, the existing access control system mainly controls the access to the server through the gateway to the communication-only application. That is, the access control gateway can monitor all communication data between the communication-only application and the server, thereby effectively controlling access to the server. That is, even if the server does not have a high security function, the gateway is dedicated to the security role, so that the security function can be enhanced even if the server function is not updated.

그런데 웹브라우저를 통해 접근하는 웹 어플리케이션에 기존의 접근통제 시스템의 기술을 그대로 적용할 수 없다. 즉, 기존의 접근통제 시스템은 웹 어플리케이션의 로그인 시 사용자 인증 정보(아이디와 패스워드 등)의 노출 가능성을 차단할 수 없고, 웹서버 내부의 접근 가능한 경로에 대해 통제할 수 없다.However, the technology of the existing access control system cannot be applied to the web application accessed through the web browser. That is, the existing access control system cannot block the possibility of exposing user authentication information (ID and password, etc.) when logging in the web application, and cannot control the accessible path inside the web server.

따라서 웹 어플리케이션에 적합한 접근통제 시스템의 적용 기술이 절실하다.Therefore, the application technology of access control system suitable for web application is urgently needed.

한국등록특허 제10-1677051호(2016.11.17.공고)Korean Patent Registration No. 10-1677051 (announced on November 17, 2016)

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 웹브라우저에서 웹 어플리케이션의 웹서버를 접속하여 이용할 때, 데이터 패킷을 변조하여 접근통제 게이트웨이로 경유하도록 처리하고, 접근통제 게이트웨이에서 웹 어플리케이션에 대한 접근통제를 수행하는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템을 제공하는 것이다.An object of the present invention is to solve the problems described above, when the web browser accesses the web server of the web application, and modulates the data packet to pass through the access control gateway, the web application in the access control gateway The present invention provides an access control system for a web application equipped with a password change function that performs access control for a web application.

또한, 본 발명의 목적은 사용자 계정의 아이디와 패스워드를 관리하는 웹브라우저의 확장 프로그램을 추가하여, 이미 인증된 사용자에 대하여 웹 어플리케이션 접속을 위한 아이디와 패스워드를 자동으로 입력하거나 변경시키는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템을 제공하는 것이다.In addition, an object of the present invention is to add an extension program of the web browser that manages the ID and password of the user account, the password change function to automatically enter or change the ID and password for accessing the web application for the already authenticated user It is to provide an access control system of the provided web application.

또한, 본 발명의 목적은 사용자가 패스워드를 변경하기 위해 수행되는 일련의 작업을 모방하여 패스워드 변경을 위한 일련의 작업 메시지를 생성하고, 생성된 작업 메시지에 패스워드 정보를 삽입하고, 이를 웹서버에 전송하여 자동으로 패스워드를 변경하는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템을 제공하는 것이다.It is also an object of the present invention to generate a series of operation messages for password change by imitating a series of operations performed by the user to change the password, insert password information into the generated operation messages, and transmit them to the web server. It is to provide an access control system for a web application equipped with a password change function to automatically change the password.

상기 목적을 달성하기 위해 본 발명은 적어도 하나의 사용자 단말과 웹서버 사이에 설치되어, 상기 사용자 단말에 설치된 접근통제 클라이언트가 우회시키는 웹브라우저의 메시지를 중계하고 모니터링하는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 관한 것으로서, 사용자의 아이디와 패스워드로 구성된 사용자 계정정보를 등록하고, 사용자 계정 정보를 상기 접근통제 클라이언트에 전송하는 인증권한 정책부; 상기 접근통제 클라이언트에 의해 상기 웹브라우저의 웹서버의 통신이 우회되어, 상기 웹브라우저와 세션(이하 클라이언트용 세션)을 형성하는 클라이언트 프록시 핸들러; 상기 웹서버와 세션(이하 서버용 세션)을 형성하는 웹서버 프록시 핸들러; 상기 클라이언트 세션과 상기 서버용 세션 간의 메시지를 중계하되, 상기 클라이언트용 세션에서 수신되는 메시지를 분석하여, 경로 통제정책에 따라 메시지를 통제하는 메시지 분석부; 및, 상기 사용자 계정 정보의 패스워드를 주기적으로 또는 이벤트에 따라 변경하고, 상기 웹서버에 접속하여 변경된 패스워드로 상기 사용자 계정의 패스워드를 갱신하는 패스워드 갱신부를 포함하는 것를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention is installed between at least one user terminal and a web server, the web with a password change function, relaying and monitoring the message of the web browser bypassed by the access control client installed on the user terminal An access control system of an application, comprising: an authentication authority policy unit for registering user account information including a user ID and a password, and transmitting user account information to the access control client; A client proxy handler configured to bypass communication of the web server of the web browser by the access control client to form a session (hereinafter referred to as a client session) with the web browser; A web server proxy handler for establishing a session (hereinafter referred to as a server session) with the web server; A message analyzer configured to relay a message between the client session and the server session, and analyze the message received in the client session, and control the message according to a path control policy; And a password update unit for periodically changing the password of the user account information or an event and accessing the web server to update the password of the user account with the changed password.

또, 본 발명은 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서, 상기 인증권한 정책부는 상기 접근통제 클라이언트가 접속을 요청하면, 상기 접근통제 클라이언트에 대한 인증(이하 게이트웨이 인증)을 수행하고, 게이트웨이 인증이 통과되면, 상기 사용자 계정정보와 접근가능한 웹서버 주소 정보를 상기 접근통제 클라이언트에 전송하는 것을 특징으로 한다.In addition, the present invention in the access control system of the web application with a password change function, the authentication authority policy unit performs the authentication (hereinafter referred to as gateway authentication) for the access control client when the access control client requests access; When the gateway authentication passes, the user account information and accessible web server address information are transmitted to the access control client.

또, 본 발명은 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서, 상기 패스워드 갱신부는 상기 웹브라우저 상에서 패스워드를 변경하는 일련의 행위를 모방하여 저장해두고, 패스워드를 변경할 때, 웹브라우저 모듈 상에서, 저장된 일련의 행위를 적용하여 패스워드를 변경하는 것을 특징으로 한다.In addition, the present invention provides a web application access control system with a password change function, wherein the password update unit mimics and stores a series of actions for changing the password on the web browser, and when the password is changed, The password may be changed by applying a series of stored actions.

또, 본 발명은 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서, 상기 일련의 행위는 패스워드를 변경하기 위하여 웹브라우저 상에서 수행되는 동작으로서, 웹브라우저의 객체 또는 웹브라우저 상에 표시된 웹문서의 객체와, 해당 객체에 동작되는 이벤트로 구성되는 것을 특징으로 한다.In addition, the present invention is the access control system of a web application with a password change function, the series of operations are performed on a web browser to change the password, the object of the web browser or a web document displayed on the web browser The object and, characterized in that consisting of the event to operate on the object.

또, 본 발명은 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서, 상기 접근통제 클라이언트는, 상기 웹서버 주소 정보들로 구성되는 주소필터 정보를 생성하는 접근통제 매니저; 상기 사용자 단말의 운영체제에 설치되는 네트워크 필터 드라이버로서, 상기 웹브라우저의 송수신되는 메시지 패킷들을 모니터링하고, 상기 주소 필터 정보에 속하는 목적주소를 가지는 메시지 패킷의 목적주소를 변조하여 우회시키는 클라이언트 필터 드라이버; 및, 우회된 메시지 패킷을 수신하여 상기 클라이언트 프록시 핸들러로 전송하는 클라이언트 프록시를 포함하는 것을 특징으로 한다.In addition, the present invention provides an access control system for a web application with a password change function, the access control client comprising: an access control manager for generating address filter information consisting of the web server address information; A network filter driver installed in an operating system of the user terminal, comprising: a client filter driver configured to monitor message packets transmitted and received by the web browser and to circumvent and modify a destination address of a message packet having a destination address belonging to the address filter information; And a client proxy for receiving the bypassed message packet and transmitting the received message packet to the client proxy handler.

또, 본 발명은 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서, 상기 사용자 단말에는 상기 웹브라우저에 부가되는 웹브라저용 프로그램인 확장 프로그램이 더 설치되고, 상기 확장 프로그램은 상기 접근통제 클라이언트로부터 변경된 사용자 계정 정보를 수신하여, 상기 웹브라우저가 상기 웹서버의 인증 웹페이지를 오픈하면, 상기 인증 웹페이지의 사용자 인증 정보의 입력 객체에 사용자의 아이디와 패스워드를 자동으로 입력하여 상기 웹서버로 전송하는 것을 특징으로 한다.In addition, the present invention is an access control system of a web application with a password change function, the user terminal is further provided with an extension program which is a program for the web browser added to the web browser, the extension program is the access control client When the web browser receives the changed user account information from the web browser and opens the authentication web page of the web server, the user ID and password are automatically entered into the input object of the user authentication information of the authentication web page to the web server. Characterized in that the transmission.

상술한 바와 같이, 본 발명에 따른 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 의하면, 웹 어플리케이션에 대한 통제를 위해서 웹 어플리케이션의 소스를 변경할 필요가 없어 편리하게 유지 관리할 수 있고, 동시에, 사용자의 인증 강화, 패스워드 노출의 최소화, 웹 어플리케이션 내부의 경로(Path) 통제, 접근한 데이터의 추출 등이 가능하여 보안을 전반적으로 강화할 수 있는 효과가 얻어진다.As described above, according to the access control system of the web application with a password change function according to the present invention, it is not necessary to change the source of the web application for the control of the web application, can be conveniently maintained, and at the same time, It is possible to strengthen the overall security by strengthening user authentication, minimizing password exposure, controlling the path inside the web application, and extracting the accessed data.

또한, 본 발명에 따른 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 의하면, 사용자의 패스워드 변경 작업을 모방하여 모방된 작업 메시지를 웹서버에 전달함으로써 패스워드를 변경할 수 있고, 이를 통해, 웹서버의 웹어플리케이션의 수정 없이도 패스워드를 자동으로 변경할 수 있는 효과가 얻어진다.In addition, according to the access control system of the web application with a password change function according to the present invention, it is possible to change the password by imitating the password change operation of the user to pass the imitated work message to the web server, through which the web server The effect of automatically changing the password without modifying the web application is obtained.

도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 패스워드 변경 방법을 설명하는 흐름도.
도 4 내지 도 7은 본 발명의 일실시예에 따른 웹브라우저 상에서 패스워드를 변경하는 예시 화면.1 is a block diagram of an overall system for practicing the present invention.
Figure 2 is a block diagram of the configuration of the access control system of the web application with a password change function according to an embodiment of the present invention.
3 is a flowchart illustrating a password change method according to an embodiment of the present invention.
4 to 7 are exemplary screens for changing a password on a web browser according to an embodiment of the present invention.

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION Hereinafter, specific contents for carrying out the present invention will be described with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.In addition, in describing this invention, the same code | symbol is attached | subjected and the repeated description is abbreviate | omitted.

먼저, 본 발명을 실시하기 위한 전체 시스템의 구성에 대하여 도 1을 참조하여 설명한다.First, the structure of the whole system for implementing this invention is demonstrated with reference to FIG.

도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 사용자 단말(10)에 설치되는 접근통제 클라이언트(20)와 웹브라우저(60)와 확장 프로그램(80), 웹서비스를 제공하는 웹서버(40), 및, 웹서버(40)의 접근을 통제하는 접근통제 게이트웨이(30)로 구성된다. 또한, 사용자 단말(10)과 접근통제 게이트웨이(30)는 네트워크(미도시)를 통해 연결된다.As shown in FIG. 1, the entire system for implementing the present invention includes a user terminal 10, an access control client 20 installed in the user terminal 10, a web browser 60, an extension program 80, and a web. Web server 40 that provides a service, and the access control gateway 30 that controls the access of the web server 40. In addition, the user terminal 10 and the access control gateway 30 is connected through a network (not shown).

먼저, 사용자 단말(10)은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC, 스마트폰, 태블릿PC 등이다. 또한, 사용자 단말(10)은 네트워크(미도시)를 통해 접근통제 게이트웨이(30)에 연결할 수 있는 네트워크 기능을 보유한다. 또한, 사용자 단말(10)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다.First, the user terminal 10 is a computing terminal used by the user, such as a PC, laptop, tablet PC, smart phone, tablet PC. In addition, the user terminal 10 has a network function capable of connecting to the access control gateway 30 through a network (not shown). In addition, the user terminal 10 may be installed and executed by a program system such as an application.

다음으로, 웹브라우저(60)는 사용자 단말(10)에 설치되는 범용 웹브라우저로서, 웹서버(40) 뿐만 아니라 다른 웹서버 또는 웹페이지 등 통상의 웹서버를 접근할 수 있다.Next, the web browser 60 is a general-purpose web browser installed in the user terminal 10, and can access not only the web server 40 but also other conventional web servers such as web servers or web pages.

웹브라우저(60)는 웹서버(40)에 접속하여 웹 서비스를 이용할 때, 실제로 접근통제 게이트웨이(30)를 통해 우회적으로 웹서버(40)에 접속한다. 웹브라우저(60)는 자신의 입장에서 웹서버(40)와 직접적으로 통신하는 것으로 작동한다. 즉, 웹브라우저(60)는 웹서버의 서버 정보와 프로토콜 정보(IP주소 및 포트)를 이용하여 세션 설정을 수행하고, 설정된 세션으로 웹서버(40)에 접근한다. 그러나 접근통제 클라이언트(20)가 웹브라우저(60)의 통신 패킷 등을 변조하여 접근통제 게이트웨이(30)로 우회시킨다.When the web browser 60 accesses the web server 40 and uses the web service, the web browser 60 actually bypasses the web server 40 through the access control gateway 30. The web browser 60 operates by directly communicating with the web server 40 from its point of view. That is, the web browser 60 performs session setup using server information and protocol information (IP address and port) of the web server, and accesses the web server 40 with the established session. However, the access control client 20 modulates the communication packet of the web browser 60 and the like to bypass the access control gateway 30.

또한, 웹브라우저(60)은 HTTP, HTTPS 등 표준화된 웹 프로토콜을 기반으로 접속하고 통신을 수행한다.In addition, the web browser 60 connects and performs communication based on a standardized web protocol such as HTTP and HTTPS.

한편, 웹브라우저(60)는 사용자 레벨의 어플리케이션으로서 통신을 위한 시스템콜(system call)을 운영체제에 요청하면, 사용자 단말(10)의 운영체제는 해당 시스템콜 요청을 처리한다. 이때, 네트워크 드라이버를 통해 네트워크에 접속한다. 따라서 웹브라우저(60)가 송수신하는 모든 데이터 또는 데이터 패킷은 네트워크 드라이버(미도시)를 거쳐 처리된다.Meanwhile, when the web browser 60 requests a system call for communication as an application of a user level to the operating system, the operating system of the user terminal 10 processes the system call request. At this time, connect to the network through the network driver. Therefore, all data or data packets transmitted and received by the web browser 60 are processed through a network driver (not shown).

한편, 웹브라우저(60)는 웹서버(40)의 사용자 인증 웹페이지에서 서비스 계정 및 패스워드로 사용자 인증을 수행받고, 사용자 인증이 통과되면 웹서버(40)의 서비스를 이용할 수 있다.Meanwhile, the web browser 60 may perform user authentication with a service account and password on the user authentication web page of the web server 40, and use the service of the web server 40 when the user authentication passes.

다음으로, 접근통제 클라이언트(20)는 사용자 단말(10)에 설치되는 프로그램 시스템(또는 어플리케이션)으로서, 접근통제 게이트웨이(30)에 대한 접근을 위해 사용자의 게이트웨이 인증을 수행하고, 사용자가 접근할 수 있는 웹서버(40)의 주소 정보(이하 웹서버 주소 정보)를 전달받는다.Next, the access control client 20 is a program system (or application) installed in the user terminal 10 to perform the gateway authentication of the user for access to the access control gateway 30, the user can access The address information (hereinafter referred to as web server address information) of the web server 40 is received.

구체적으로, 접근통제 클라이언트(20)는 접근통제 게이트웨이(30)에 접근하여 게이트웨이에 대한 사용자 인증을 수행한다. 이를 사용자의 게이트웨이 인증이라 부르기로 한다. 바람직하게는, 사용자의 아이디와 패스워드로 인증하고, 추가적으로, 메일이나 문자 메시지 등에 의한 이중 인증으로 인증될 수 있다.Specifically, the access control client 20 accesses the access control gateway 30 to perform user authentication for the gateway. This is called the user's gateway authentication. Preferably, the user ID and password may be authenticated, and in addition, authentication may be performed by double authentication by mail or text message.

또한, 접근통제 클라이언트(20)는 접근통제 게이트웨이(30)로부터, 게이트웨이를 통해 접근할 수 있는 웹서버의 주소 정보를 전달받는다. 웹서버 주소 정보는 IP주소와 포트번호의 리스트로 구성된다. 웹서버(40)이 제공하는 접속가능한 IP주소와 포트번호를 모두 포함하여 구성된다.In addition, the access control client 20 receives from the access control gateway 30, the address information of the web server that can be accessed through the gateway. Web server address information consists of a list of IP addresses and port numbers. It is configured to include both an accessible IP address and a port number provided by the web server 40.

또한, 접근통제 클라이언트(20)는 웹브라우저(60)가 웹서버(40)와 송수신하는 패킷을 접근통제 게이트웨이(30)로 우회시킨다. 즉, 웹브라우저(60)에서 전송하는 패킷 중에서 웹서버의 주소 정보로 전송하는 패킷을 검출하면, 해당 패킷을 접근통제 게이트웨이(30)로 전송하여 우회시킨다.In addition, the access control client 20 bypasses the packet transmitted and received by the web browser 60 to the web server 40 to the access control gateway 30. That is, if a packet transmitted from the web browser 60 to the address information of the web server is detected, the packet is transmitted to the access control gateway 30 and bypassed.

구체적으로, 접근통제 클라이언트(20)는 웹브라우저(60)가 전송하는 패킷의 목적지을 변조하여 접근통제 게이트웨이(30)로 전송하고, 접근통제 게이트웨이(30)로부터 수신한 패킷을 웹브라우저(60)로 전달하게 한다. 따라서 웹브라우저(60)와 웹서버(40)간의 통신은 접근통제 게이트웨이(30)로 우회되나, 웹브라우저(60)에게는 웹서버(40)와 직접 통신하는 것으로 보여진다.Specifically, the access control client 20 modulates the destination of the packet transmitted by the web browser 60 and transmits it to the access control gateway 30, and transmits the packet received from the access control gateway 30 to the web browser 60. Let it pass Therefore, communication between the web browser 60 and the web server 40 is bypassed to the access control gateway 30, but the web browser 60 is shown to communicate directly with the web server 40.

특히, 접근통제 클라이언트(20)는 네트워크 필터 드라이버에서 데이터 패킷을 필터링하여 웹서버 주소로 전달되는 패킷인지를 확인하고, 해당 데이터 패킷을 접근통제 클라이언트(20)로 우회시킨다.In particular, the access control client 20 filters the data packet in the network filter driver to check whether the packet is delivered to the web server address, and bypasses the data packet to the access control client 20.

한편, 접근통제 클라이언트(20)는 웹브라우저(60)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 웹서버 주소 정보를 접근통제 게이트웨이(30)에 전달한다.On the other hand, when the access control client 20 bypasses the packet of the web browser 60 to the access control gateway 30 for the first time, it transmits the web server address information to the access control gateway 30.

다음으로, 접근통제 게이트웨이(30)는 사용자 단말(10)/웹브라우저(60)와 웹서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 웹브라우저(60)와 웹서버(40) 사이를 모니터링하여 중계하거나 차단한다.Next, the access control gateway 30 is a gateway installed on the network (not shown) between the user terminal 10 / web browser 60 and the web server 40, the web browser 60 and the web server ( 40) Monitor and relay or cut off.

구체적으로, 접근통제 게이트웨이(30)는 접속하는 접근통제 클라이언트(20)에 대해 게이트웨이 인증(즉, 게이트웨이에 대한 사용자 인증)을 수행한다. 바람직하게는, 이중 인증으로 인증할 수 있다.Specifically, the access control gateway 30 performs gateway authentication (that is, user authentication for the gateway) for the access control client 20 to access. Preferably, authentication can be achieved by two-factor authentication.

또한, 접근통제 게이트웨이(30)는 웹서버(40)에 접속하기 위한 사용자의 인증정보(예를 들어, 아이디와 패스워드)를 사용자 계정DB(51)에 등록하여 관리한다. 사용자 계정DB(51)는 사용자 계정(또는 사용자 아이디) 및 그 계정의 패스워드로 구성되며, 바람직하게는, 다수의 계정을 목록으로 관리한다.In addition, the access control gateway 30 registers and manages authentication information (for example, ID and password) of the user for accessing the web server 40 in the user account DB 51. The user account DB 51 is composed of a user account (or a user ID) and a password of the account. Preferably, the user account DB 51 manages a plurality of accounts in a list.

또한, 접근통제 게이트웨이(30)는 주기적으로 또는 특정 이벤트에 따라 패스워드를 변경한다. 즉, 접근통제 게이트웨이(30)는 사용자 계정DB(51)에 저장된 사용자 계정과 패스워드를 이용하여 웹서버(40)에 접속하고, 새로운 패스워드를 생성하여 새로운 패스워드로 웹서버(40)에 패스워드 갱신을 요청한다. 그리고 해당 사용자의 사용자 계정DB(51)에서 해당 사용자 계정의 패스워드를 새로운 패스워드로 갱신한다.In addition, the access control gateway 30 changes the password periodically or according to a specific event. That is, the access control gateway 30 accesses the web server 40 using the user account and password stored in the user account DB 51, generates a new password, and updates the password to the web server 40 with the new password. request. The user account DB 51 of the user updates the password of the user account with a new password.

또한, 접근통제 게이트웨이(30)는 갱신된 패스워드 등 갱신된 사용자의 인증정보(아이디와 패스워드)를 접근통제 클라이언트(20)로 전송한다. 이와 같은 패스워드를 주기적으로 자동으로 변경하기 때문에, 패스워드에 대한 보안성을 한층 더 높을 수 있다.In addition, the access control gateway 30 transmits the updated user authentication information such as the updated password (ID and password) to the access control client 20. Since such a password is automatically changed periodically, the security of the password can be further increased.

또한, 접근통제 게이트웨이(30)는 접속 가능한 웹서버에 대한 웹서버 주소 정보를 등록받아 웹서버 주소DB(55)에 저장하여 관리한다. 웹서버 주소DB(55)는 각 사용자를 기준으로 웹서버(40)의 IP주소와 포트번호로 구성되어, 다수 개의 웹서버 주소 정보를 리스트로 관리한다.In addition, the access control gateway 30 receives the web server address information about the accessible web server is registered and stored in the web server address DB 55 to manage. The web server address DB 55 is composed of an IP address and a port number of the web server 40 based on each user, and manages a plurality of web server address information as a list.

또한, 접근통제 게이트웨이(30)는 접근통제 클라이언트(20)의 요청에 따라 웹서버 주소 정보를 전송해준다. 이때, 바람직하게는, 사용자에 대하여 게이트웨이 인증을 수행하고, 게이트웨이 인증이 통과되면 웹서버 주소 정보를 전송해준다.In addition, the access control gateway 30 transmits web server address information according to the request of the access control client 20. In this case, preferably, gateway authentication is performed for the user, and when the gateway authentication passes, the web server address information is transmitted.

또한, 접근통제 게이트웨이(30)는 웹브라우저(60)과 웹서버(40) 사이를 중계한다. 즉, 웹브라우저(60)로부터 수신되는 메시지(또는 데이터 패킷)를 수신하여 웹서버(40)에 전달하고, 웹서버(40)로부터 결과(또는 결과 메시지, 데이터 패킷)를 수신하여 웹브라우저(60)로 전달한다. 이하에서, 메시지는 패킷 또는 IP 패킷으로 전달되므로, 메시지와 패킷을 혼용한다. In addition, the access control gateway 30 relays between the web browser 60 and the web server 40. That is, a message (or data packet) received from the web browser 60 is received and delivered to the web server 40, and a result (or result message or data packet) is received from the web server 40 to receive the web browser 60. To pass). In the following, the message is delivered in a packet or an IP packet, so that the message and the packet are mixed.

이때, 접근통제 게이트웨이(30)는 수신되는 메시지(또는 패킷, IP 패킷)를 파싱하여 분석하여 통제할 수 있다. 즉, 접근통제 게이트웨이(30)는 웹어플리케이션 통제 정책(53)에 따라 해당 메시지를 모니터링하고 저장(로깅)하거나, 차단 또는 전송한다.At this time, the access control gateway 30 may parse and analyze the received message (or packet, IP packet). That is, the access control gateway 30 monitors and stores (logs), blocks, or transmits the corresponding message according to the web application control policy 53.

다음으로, 웹서버(40)는 사용자 단말(10) 또는 웹브라우저(60)로부터 네트워크(미도시)를 통해 웹서비스 요청을 받고, 요청에 따라 웹서비스를 제공한다. 이때, 바람직하게는, 웹서버(40)는 표준화된 웹 프로토콜을 통해 웹브라우저(60)와 통신을 수행한다.Next, the web server 40 receives a web service request from the user terminal 10 or the web browser 60 through a network (not shown), and provides a web service according to the request. At this time, preferably, the web server 40 communicates with the web browser 60 through a standardized web protocol.

즉, 사용자가 웹브라우저(60)에 표시된 웹문서 상에서 특정한 작업을 수행하면, 웹브라우저(60)는 작업 결과나 웹서버에 요청할 내용을 메시지(또는 요청 메시지)로 웹서버(40)에 전송한다. 웹서버(40)는 요청 메시지에 따라, 그 결과 메시지(그 결과 데이터 또는 결과 페이지 등)를 생성하여, 웹브라우저(60)로 전송한다.That is, when a user performs a specific task on the web document displayed in the web browser 60, the web browser 60 transmits the result of the operation or the request to the web server as a message (or a request message) to the web server 40. . The web server 40 generates a result message (result data or a result page, etc.) according to the request message and transmits the result message to the web browser 60.

한편, 웹서버(40)는 사용자 인증을 위한 인증 웹페이지를 생성하여 웹브라우저(60)로 전송하고, 웹브라우저(60)로부터 사용자 인증정보(또는 인증정보를 입력한 메시지)를 수신한다.Meanwhile, the web server 40 generates an authentication web page for user authentication, transmits the authentication web page to the web browser 60, and receives user authentication information (or a message in which authentication information is input) from the web browser 60.

한편, 위에서 설명된 웹서버(40)와 웹브라우저(60)와의 통신은 직접 연결되어 처리되지 않고, 접근통제 게이트웨이(30)를 경유하여 연결된다. 즉, 웹브라우저(60)의 작업 또는 작업 메시지는 접근통제 게이트웨이(30)를 통해 웹서버(40)로 전달되고, 또한, 웹서버(40)의 응답 메시지(웹페이지, 결과 메시지 등)도 접근통제 게이트웨이(30)를 통해 웹브라우저(60)에 전달된다.Meanwhile, the communication between the web server 40 and the web browser 60 described above is not directly connected and processed, but is connected via the access control gateway 30. That is, the job or job message of the web browser 60 is transmitted to the web server 40 through the access control gateway 30, and also the response message (web page, result message, etc.) of the web server 40 is accessed. It is delivered to the web browser 60 through the control gateway 30.

한편, 바람직하게는, 웹서버(40)은 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(10) 또는 웹브라우저(60)는 직접 서버(50)에 접근할 수 없고 반드시 접근통제 게이트웨이(30)를 통해서만 웹서버(40)에 접근할 수 있다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 웹서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.On the other hand, preferably, the web server 40 is a firewall (firewall) is installed, it is possible to set the control policy to pass only the data (or data packet) received from the access control gate 30. Therefore, the user terminal 10 or the web browser 60 may not directly access the server 50, but may access the web server 40 only through the access control gateway 30. If the packet is transmitted to the web server 40 without changing the packet path to the gateway 30, the server access path other than the gateway, which is an access control construction condition, is blocked by a firewall policy that blocks all access.

다음으로, 확장 프로그램(80)은 웹 브라우저용 프로그램으로서, 웹브라우저(60)에 부가되어 기존 기능의 동작을 변경하거나 새로운 기능을 추가한다.Next, the extension program 80 is a program for a web browser, and is added to the web browser 60 to change an operation of an existing function or add a new function.

특히, 확장 프로그램(80)은 웹브라우저(60)가 인증 웹페이지를 오픈하면, 이를 검출하여 인증 웹페이지의 사용자 인증 정보의 입력 객체에 사용자 인증 정보(아이디 및 패스워드)를 자동으로 입력하고, 해당 인증 웹페이지를 웹서버(40)로 전송한다.In particular, the extension program 80 detects when the web browser 60 opens the authentication web page, and automatically inputs user authentication information (ID and password) to the input object of the user authentication information of the authentication web page, and The authentication web page is transmitted to the web server 40.

한편, 확장 프로그램(80)은 접근통제 클라이언트(20)로부터 웹서버(40)에 대한 사용자 인증정보(아이디 및 패스워드)를 수신하고, 수신된 사용자 인증 정보를 자동으로 입력시킨다.On the other hand, the extension program 80 receives user authentication information (ID and password) for the web server 40 from the access control client 20, and automatically inputs the received user authentication information.

다음으로, 본 발명의 일실시예에 따른 접근통제 클라이언트(20)의 세부 구성을 도 2를 참조하여 설명한다.Next, a detailed configuration of the access control client 20 according to an embodiment of the present invention will be described with reference to FIG.

또한, 도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 접근통제 클라이언트(20)는 접근통제 게이트웨이(30)로부터 웹서버 주소 정보를 수신하는 클라이언트 매니저(21), 웹브라우저(60)의 패킷을 변조하여 우회시키는 클라이언트 필터 드라이버(22), 및, 클라이언트 필터 드라이버(22)로부터 수신되는 패킷을 접근통제 게이트웨이(30)로 우회시키는 클라이언트 프록시(23)로 구성된다.In addition, as shown in Figure 2, the access control client 20 according to an embodiment of the present invention of the client manager 21, the web browser 60 to receive the web server address information from the access control gateway 30 A client filter driver 22 for modulating and bypassing the packet, and a client proxy 23 for bypassing the packet received from the client filter driver 22 to the access control gateway 30.

먼저, 클라이언트 매니저(21)는 접근통제 게이트웨이(30)에 접속하여 사용자의 게이트웨이에 대한 인증(게이트웨이 인증)을 수행한다. 게이트웨이 인증은 접근통제 게이트웨이(30)에 접근하기 위한 사용자 인증, 또는 게이트웨이에 대한 사용자 인증이다. 바람직하게는, 보안 강화를 위하여 이중 인증으로 사용자 인증을 수행한다.First, the client manager 21 accesses the access control gateway 30 to perform authentication (gateway authentication) for the user's gateway. Gateway authentication is user authentication for access to the access control gateway 30, or user authentication for the gateway. Preferably, user authentication is performed by two-factor authentication for enhanced security.

또한, 클라이언트 매니저(21)는 접근통제 게이트웨이(30)로부터 웹서버 주소 정보를 전달받을 수 있다. 웹서버 주소 정보는 IP주소와 프로토콜 포트번호 등의 리스트로 구성된다.In addition, the client manager 21 may receive the web server address information from the access control gateway 30. The web server address information consists of a list of IP addresses and protocol port numbers.

또한, 클라이언트 매니저(21)는 웹서버 주소 정보를 주소필터 정보로 클라이언트 프록시(23)에 전달한다. 바람직하게는, 클라이언트 프록시(23)를 실행시키고 주소필터 정보를 전달한다. 클라이언트 프록시(23)는 웹서버(40)와의 통신 세션에서 우회시키는 프록시(proxy) 기능을 수행한다.In addition, the client manager 21 transmits web server address information to the client proxy 23 as address filter information. Preferably, it executes the client proxy 23 and passes address filter information. The client proxy 23 performs a proxy function to bypass the communication session with the web server 40.

한편, 클라이언트 매니저(21)는 접근통제 게이트웨이(30)로부터 웹서버에 대한 사용자 인증 정보(아이디와 패스워드)를 수신하여, 확장 프로그램(80)으로 전달한다.On the other hand, the client manager 21 receives the user authentication information (ID and password) for the web server from the access control gateway 30, and transfers to the extension program (80).

다음으로, 클라이언트 필터 드라이버(22)는 사용자 단말(10)의 운영체제에 설치되는 네트워크 필터 드라이버로서, 송수신되는 통신 패킷들을 모니터링하고 주소필터 정보(또는 주소필터 리스트)에 속하는 패킷을 탐지하여 변조한다.Next, the client filter driver 22 is a network filter driver installed in the operating system of the user terminal 10. The client filter driver 22 monitors communication packets transmitted and received and detects and modulates packets belonging to address filter information (or address filter list).

일반적으로, 네트워크 드라이버는 사용자 단말(10)의 운영체제(OS)의 시스템 프로그램으로서, 사용자 프로그램에서 요청되는 네트워크 관련 시스템콜을 처리한다. 즉, 네트워크 드라이버는 웹서버(40)와 통신을 수행하기 위하여, 웹서버(40)와 세션을 설정하고, 전송할 데이터를 데이터 패킷으로 만들어 웹서버(40)에 전송하고, 수신한 데이터 패킷을 데이터로 복원한다. 즉, 네트워크를 이용하는 모든 사용자 프로그램은 시스템 프로그램인 네트워크 드라이버를 통해, 데이터 패킷 차원으로 데이터를 송수신한다.In general, the network driver is a system program of an operating system (OS) of the user terminal 10 and processes a network related system call requested by the user program. That is, the network driver establishes a session with the web server 40 in order to communicate with the web server 40, makes a data packet to be transmitted to the web server 40, and transmits the received data packet to the data server. Restore to. That is, all user programs using a network transmit and receive data in the data packet dimension through a network driver, which is a system program.

클라이언트 필터 드라이버(22)는 네트워크 드라이버의 일부로서, 네트워크 드라이버의 중간에서 필터링 또는 후킹하는 드라이버이며, 웹브라우저(60)에서 전송할 패킷을 검사한다.The client filter driver 22 is a part of the network driver, which filters or hooks in the middle of the network driver, and checks the packet to be transmitted by the web browser 60.

이때, 패킷의 헤더정보에는 소스정보(또는 소스주소)와 목적정보(또는 목적주소)로 구성된다. 소스주소는 패킷을 전송하는 소스(source) 또는 웹브라우저(60)의 IP주소와 포트로 구성된다. 또한, 목적주소는 목적(destination) 또는 웹서버(40)의 IP주소와 포트로 구성된다.At this time, the header information of the packet includes source information (or source address) and destination information (or destination address). The source address is composed of an IP address and a port of a source or web browser 60 that transmits a packet. In addition, the destination address is composed of a destination or an IP address and a port of the web server 40.

클라이언트 필터 드라이버(22)는 데이터 패킷을 검사하여 주소필터 정보(IP필터링 리스트) 내의 주소로 전송하는 패킷인지 확인하고, 확인되면 해당 데이터 패킷을 클라이언트 프록시(23)의 주소로 패킷의 목적지를 변경한다.The client filter driver 22 checks the data packet and checks whether the packet is transmitted to an address in the address filter information (IP filtering list), and if so, changes the destination of the packet to the address of the client proxy 23. .

이때, 주소필터 정보에는 웹서버(40)의 주소를 포함한다. 주소필터 정보(또는 IP필터링 리스트)에는 필터링할 주소 정보를 리스트로 관리하고, 주소필터 정보에 속하는 주소를 목적주소로 가지는 패킷들은 클라이언트 프록시(23)로 우회된다. 즉, 클라이언트 필터 드라이버(22)는 보안 관리가 필요한 웹서버(40)에 접근하는 데이터 패킷인 경우, 해당 데이터 패킷의 목적지를 변경함으로써, 직접 웹서버(40)로 전송하지 않고 클라이언트 프록시(23)로 우회시킨다.In this case, the address filter information includes the address of the web server 40. The address filter information (or IP filtering list) manages address information to be filtered as a list, and packets having an address belonging to the address filter information as a destination address are bypassed to the client proxy 23. That is, when the client filter driver 22 is a data packet that accesses the web server 40 that requires security management, the client proxy 23 does not directly transmit the data packet to the web server 40 by changing the destination of the data packet. Bypass

한편, 클라이언트 필터 드라이버(22)는 클라이언트 프록시(23)로부터 주소필터 정보와, 클라이언트 프록시(23)의 주소(이하 프록시 주소)를 수신하여 저장해둔다. 바람직하게는, 소정의 주기로 주소필터 정보를 갱신한다. 이때, 클라이언트 프록시(23)는 접근통제 게이트웨이(30)에 접속하여 주소필터 정보를 갱신하여 클라이언트 필터 드라이버(22)에 전달한다.On the other hand, the client filter driver 22 receives and stores address filter information from the client proxy 23 and the address (hereinafter referred to as proxy address) of the client proxy 23. Preferably, the address filter information is updated at predetermined intervals. At this time, the client proxy 23 connects to the access control gateway 30 to update the address filter information and delivers it to the client filter driver 22.

바람직하게는, 클라이언트 필터 드라이버(22)는 실행 전에 주소필터 정보와 프록시 주소를 수신하여 저장해두고, 실행되면 데이터 패킷을 주소필터 정보로 목적주소(destination address)를 필터링하여, 필터링된 데이터 패킷의 목적주소를 프록시 주소로 변조(변경)한다.Preferably, the client filter driver 22 receives and stores the address filter information and the proxy address before execution, and when executed, the client filter driver filters the destination address with the address filter information, thereby filtering the destination address of the filtered data packet. Modifies (changes) the address to a proxy address.

다음으로, 클라이언트 프록시(23)는 패킷 또는 통신 세션을 중계하는 프록시 기능을 수행한다. 바람직하게는, 클라이언트 프록시(23)는 사용자 단말(10)에서 독립적인 프로세스로서 작동되는 사용자 계층의 프로그램 시스템이다.Next, the client proxy 23 performs a proxy function of relaying a packet or communication session. Preferably, the client proxy 23 is a user layer program system that operates as an independent process in the user terminal 10.

구체적으로, 클라이언트 프록시(23)는 클라이언트 필터 드라이버(22)를 실행시키고, 주소필터 정보 및 자신의 주소(또는 프록시 주소)를 전달하여 필터링하고 변조하게 한다. 그리고, 클라이언트 프록시(23)는 클라이언트 필터 드라이버(22)로부터 변조된 패킷을 수신하여 접근통제 게이트웨이(30)로 중계한다.Specifically, the client proxy 23 executes the client filter driver 22 and passes address filter information and its address (or proxy address) to filter and modulate. The client proxy 23 receives the modulated packet from the client filter driver 22 and relays it to the access control gateway 30.

특히, 클라이언트 필터 드라이버(22)가 필터링 해야하는 패킷이 감지될 경우 패킷의 목적지 주소를 프록시 주소로 변경하고, 네트워크 인터페이스 카드(Network Interface Card) 등으로 전달하는 역할만 수행하면, 목적지 주소가 변경된 패킷은 네트워크 카드(Network Interface Card)를 거쳐 로컬에서 대기하는 클라이언트 프록시(23)로 전달된다.Particularly, when the client filter driver 22 detects a packet to be filtered, the client filter driver 22 only changes the destination address of the packet to a proxy address and delivers the packet to a network interface card. It is delivered to the client proxy 23 waiting locally via a network card.

클라이언트 필터 드라이버(22)가 실행되어 구동되면, 웹브라우저(60)이 웹서버(40)에 원격 접근 패킷을 전송하려는 것을 감지하고, 클라이언트 프록시(23)로 패킷의 경로를 바꿔 전송하게 시킨다. 이때, 클라이언트 프록시(23)는 클라이언트 필터 드라이버(22)로부터 변조된 패킷을 수신하고, 수신한 패킷을 접근통제 게이트웨이(30)로 전송한다. 즉, 클라이언트 프록시(23)는 웹서버(40)로 전송하려는 패킷을 수신하여, 접근통제 게이트웨이(30)로 우회시킨다.When the client filter driver 22 is executed and driven, the web browser 60 detects that the web server 40 wants to transmit a remote access packet, and redirects the packet to the client proxy 23. At this time, the client proxy 23 receives the modulated packet from the client filter driver 22 and transmits the received packet to the access control gateway 30. That is, the client proxy 23 receives the packet to be transmitted to the web server 40 and bypasses the access control gateway 30.

한편, 이를 위해, 클라이언트 프록시(23)는 접근통제 게이트웨이(30)와 세션을 수립하고, 수립된 세션(이하 클라이언트용 세션)을 통해 패킷을 송수신한다. 바람직하게는, 클라이언트 프록시(23)는 패킷을 수신하면 세션을 수립하고, 전송된 패킷 및 그 이후로 전달되는 패킷들을 수립된 세션으로 전송한다.On the other hand, for this purpose, the client proxy 23 establishes a session with the access control gateway 30, and transmits and receives packets through the established session (hereinafter referred to as a client session). Preferably, the client proxy 23 establishes a session upon receiving the packet and transmits the transmitted packet and subsequent packets to the established session.

또한, 클라이언트 프록시(23)는 수신된 패킷을 접근통제 게이트웨이(30)에 전달해야 하지만, 해당 패킷이 실제 어느 서버에 접근해야 하는지에 대한 목적지 정보를 접근통제 게이트웨이(30)에 전달하지 못할 경우 접근통제 게이트웨이(30)는 전달받은 패킷을 어디가 최종 목적지인지 알 수 없어 패킷을 중계할 수 없게 된다. 따라서, 클라이언트 프록시(23)은 패킷이 수신되면, 실제 목적지 정보를 질의하기 위해, 패킷의 소스(Source) 정보 (IP, Client port 번호)를 클라이언트 필터 드라이버(22)와 연결된 채널(또는 인터페이스)을 통해 전달하고, 클라이언트 필터 드라이버(22)는 자신이 변조한 패킷의 실제 목적지를 소스(Source) 정보로 탐색하여 실제 목적지 정보를 연결된 채널로 반환하게 된다.In addition, the client proxy 23 should forward the received packet to the access control gateway 30, but the client proxy 23 does not deliver the destination information on which server the packet should actually access to the access control gateway 30. The control gateway 30 may not know where the final destination of the received packet is and cannot relay the packet. Therefore, when the packet is received, the client proxy 23 receives the source information (IP, client port number) of the packet and connects the channel (or interface) connected with the client filter driver 22 to query the actual destination information. The client filter driver 22 searches for the actual destination of the packet modulated by the user as source information and returns the actual destination information to the connected channel.

또한, 이때, 클라이언트 프록시(23)는 수신된 변조 패킷의 원래 최종 목적지(또는 패킷의 원래 목적주소)를 클라이언트 필터 드라이버(22)로부터 채널을 통해 획득한다. 특히, 신규 접속 요청(또는 연결 요청) 이벤트가 발생되면, 클라이언트 필터 드라이버(22)에 실제 목적주소를 질의하여 수신한다.Also, at this time, the client proxy 23 obtains the original final destination (or original destination address of the packet) of the received modulation packet from the client filter driver 22 through the channel. In particular, when a new connection request (or connection request) event occurs, the client filter driver 22 queries and receives the actual destination address.

또한, 클라이언트 프록시(23)는 웹브라우저(60)의 패킷을 최초로 접근통제 게이트웨이(30)에 우회시킬 때, 웹브라우저(60)가 접근하려는 웹서버 주소 정보를 접근통제 게이트웨이(30)에 전달한다.In addition, when the client proxy 23 bypasses the packet of the web browser 60 to the access control gateway 30 for the first time, the client proxy 23 transmits the web server address information to which the web browser 60 attempts to access to the access control gateway 30. .

다음으로, 본 발명의 일실시예에 따른 접근통제 게이트웨이(30)의 세부 구성에 대하여 도 2를 참조하여 보다 구체적으로 설명한다.Next, a detailed configuration of the access control gateway 30 according to an embodiment of the present invention will be described in detail with reference to FIG. 2.

도 2의 게이트웨이(30)의 세부 구성에서 보는 바와 같이, 본 발명에 따른 접근통제 게이트웨이(30)는 게이트웨이 인증을 수행하고 웹서버에 대한 사용자 인증정보를 전송하는 인증권한 정책부(31), 클라이언트 프록시(23)와 통신을 수행하는 클라이언트 프록시 핸들러(32), 웹서버(40)와 통신을 수행하는 웹서버 프록시 핸들러(34), 메시지를 파싱하여 분석하고 분석결과에 따라 접근을 통제하는 메시지 분석부(35), 및, 웹서버에 대한 사용자 계정의 패스워드를 갱신하는 패스워드 갱신부(37)로 구성된다. 또한, 접근 이력 등을 저장하는 로그 저장부(33)를 더 포함하여 구성될 수 있다.As shown in the detailed configuration of the gateway 30 of FIG. 2, the access control gateway 30 according to the present invention performs authentication of the gateway and transmits the authentication authority policy unit 31 and the client to transmit user authentication information to the web server. A client proxy handler 32 for communicating with the proxy 23, a web server proxy handler 34 for communicating with the web server 40, a message parser for parsing and analyzing access and controlling access based on the analysis result Section 35 and a password updating section 37 for updating the password of the user account for the web server. In addition, it may be configured to further include a log storage unit 33 for storing the access history.

또한, 접근통제 게이트웨이(30)는 사용자 인증DB(51), 통제정책DB(53), 로그 DB(54), 웹서버 주소DB(55) 등을 데이터로서 구성한다.In addition, the access control gateway 30 constitutes a user authentication DB 51, a control policy DB 53, a log DB 54, a web server address DB 55, and the like as data.

먼저, 인증권한 정책부(31)는 접근통제 클라이언트(20) 또는 클라이언트 매니저(21)에 대해 게이트웨이 인증(또는 게이트웨이에 대한 사용자 인증)을 수행한다. 바람직하게는, 사용자의 아이디와 패스워드로 인증하고, 추가적으로, 메일이나 문자 메시지 등에 의한 인증을 수행하여, 이중 인증으로 인증할 수 있다.First, the authentication authority policy unit 31 performs gateway authentication (or user authentication on the gateway) with respect to the access control client 20 or the client manager 21. Preferably, the user ID and password may be authenticated, and additionally, authentication may be performed by e-mail or text message, thereby authenticating by double authentication.

또한, 인증권한 정책부(31)는 웹서버(40)에 접속하기 위한 사용자의 초기 인증정보(예를 들어, 아이디와 패스워드)를 등록받아 사용자 계정DB(51)에 저장하여 관리한다. 초기 인증정보, 즉, 초기 패스워드는 최초에 정해지는 패스워드이다. 사용자 인증정보의 패스워드는 패스워드 갱신부(37)에 의해 주기적으로 또는 특정 이벤트에 따라 갱신된다. 아이디는 주기적으로 갱신되지 않는다.In addition, the authentication authority policy unit 31 registers initial authentication information (for example, an ID and a password) of a user for accessing the web server 40 and stores and manages the same in the user account DB 51. The initial authentication information, that is, the initial password is a password initially determined. The password of the user authentication information is updated by the password updater 37 periodically or in accordance with a specific event. The ID is not updated periodically.

사용자의 인증정보 또는 사용자 계정 정보는 사용자 계정(또는 사용자 아이디) 및 그 계정의 패스워드로 구성된다. 바람직하게는, 사용자의 인증정보는 관리자에 의해 사전에 등록되어 저장될 수 있다.The authentication information or user account information of the user is composed of a user account (or user ID) and a password of the account. Preferably, the authentication information of the user may be registered and stored in advance by the administrator.

또한, 인증권한 정책부(31)는 사용자 아이디와 패스워드 등 사용자의 인증정보를 접근통제 클라이언트(20) 또는 클라이언트 매니저(21)에 전송해준다. 특히, 인증권한 정책부(31)는 패스워드가 갱신될 때마다 갱신된 패스워드를 클라이언트 매니저(31)로 전송한다. 이때, 게이트웨이 인증이 통과된 클라이언트 매니저(31)에만 인증정보를 전송해준다.In addition, the authentication authority policy unit 31 transmits the authentication information of the user, such as the user ID and password, to the access control client 20 or the client manager 21. In particular, the authentication authority policy unit 31 transmits the updated password to the client manager 31 whenever the password is updated. At this time, the authentication information is transmitted only to the client manager 31 that has passed the gateway authentication.

또한, 인증권한 정책부(31)는 접근 가능한 웹서버 주소 정보를 사전에 등록받아 웹서버 주소DB(55)에 저장하여 관리한다. 웹서버 주소 정보는 웹서버의 IP주소와 포트번호를 포함한다. 바람직하게는, 웹서버 주소 정보는 관리자에 의해 사전에 등록되어 저장될 수 있다.In addition, the authentication authority policy unit 31 receives the accessible web server address information in advance and stores it in the web server address DB 55 to manage it. The web server address information includes the web server's IP address and port number. Preferably, the web server address information may be registered and stored in advance by the administrator.

한편, 인증권한 정책부(31)는 접근 가능한 웹서버 주소 정보를 접근통제 클라이언트(20) 또는 클라이언트 매니저(21)에 전송해준다. 전송된 웹서버 주소 정보는 클라이언트 필터 드라이버(22)가 주소 필터링을 할 때 주소 필터로 이용된다.Meanwhile, the authentication authority policy unit 31 transmits accessible web server address information to the access control client 20 or the client manager 21. The transmitted web server address information is used as an address filter when the client filter driver 22 performs address filtering.

또한, 인증권한 정책부(31)는 게이트웨이 인증이 된 경우에 한하여, 해당 웹브라우저(20)의 메시지를 웹서버(40)에 중계하도록, 클라이언트 프록시 핸들러(32)에 허용(인가)한다.In addition, the authentication authority policy unit 31 permits (authorizes) the client proxy handler 32 to relay the message of the web browser 20 to the web server 40 only when the gateway authentication is made.

다음으로, 클라이언트 프록시 핸들러(32)는 클라이언트 프록시(13)와 세션을 수립하고, 수립된 세션을 통해 데이터를 송수신한다. 이때, 암호화에 의한 안전한 세션이 수립될 수 있다.Next, the client proxy handler 32 establishes a session with the client proxy 13 and transmits and receives data through the established session. At this time, a secure session by encryption may be established.

또한, 클라이언트 프록시 핸들러(32)는 메시지, 특히, 접근통제 클라이언트(20) 또는 클라이언트 매니저(21)로부터 수신되는 메시지를 메시지 분석부(35)에 전달하여 분석하게 한다. 이때 통제정책DB(53)의 접근통제 정책을 참고하여, 분석결과에 E라 서버 프록시 핸들러(34)로 메시지를 전달하거나 차단한다.In addition, the client proxy handler 32 transmits a message, particularly a message received from the access control client 20 or the client manager 21, to the message analyzer 35 for analysis. At this time, referring to the access control policy of the control policy DB 53, the message is transmitted or blocked to the server proxy handler 34 in the analysis result.

다음으로, 웹서버 프록시 핸들러(34)는 클라이언트 프록시 핸들러(32)와 형성된 세션(이하 클라이언트용 세션)에 대응되는 세션(이하 서버용 세션)을 웹서버(40)와 형성한다. 즉, 클라이언트용 세션과 서버용 세션은 클라이언트 프록시(23)와 웹서버(40) 사이를 중계하기 위한 세션들이다. 또한, 클라이언트 프록시(23)는 웹브라우저(60)를 프록싱하기 때문에, 결국 클라이언트용 세션과 서버용 세션은 웹브라우저(60)와 웹서버(40) 사이를 중계하는 세션들이다.Next, the web server proxy handler 34 forms a session (hereinafter referred to as server session) corresponding to the session (hereinafter referred to as client session) formed with the client proxy handler 32 with the web server 40. That is, the client session and the server session are sessions for relaying between the client proxy 23 and the web server 40. In addition, since the client proxy 23 proxyes the web browser 60, the session for the client and the session for the server are sessions relaying between the web browser 60 and the web server 40.

다음으로, 로그 저장부(33)는 클라이언트 프록시 핸들러(32)와 웹서버 프록시 핸들러(34) 사이에서 송수신되는 메시지를 저장하거나, 웹브라우저(60)가 웹서버(40)에 접근하는 이력 등을 저장한다. 이때, 메시지나 이력 등은 로그DB(54)에 저장된다.Next, the log storage unit 33 stores messages transmitted and received between the client proxy handler 32 and the web server proxy handler 34, or records the history of the web browser 60 accessing the web server 40. Save it. At this time, a message or a history is stored in the log DB 54.

다음으로, 패스워드 갱신부(37)는 주기적으로 또는 특정 이벤트에 따라 패스워드를 변경한다. 이때, 특정 이벤트는 사전에 설정된 이벤트로서, 시스템이 리부팅된다거나 클라이언트 프로그램들이 갱신되는 것, 관리자 또는 사용자의 명령 등으로 설정될 수 있다.Next, the password updater 37 changes the password periodically or in accordance with a specific event. In this case, the specific event may be set as a preset event, such as rebooting the system, updating of client programs, or command of an administrator or user.

구체적으로, 패스워드 갱신부(37)는 사용자 인증DB(51)에 저장된 사용자 계정과 패스워드를 이용하여 웹서버(40)에 접속하고, 새로운 패스워드를 생성하여 새로운 패스워드로 웹서버(40)에 패스워드 변경을 요청한다. 그리고 사용자 인증DB(51)에서, 해당 사용자 계정의 패스워드를 새로운 패스워드로 갱신한다. 즉, 패스워드 갱신부(37)는 서버 프록시 핸들러(34)를 통해 웹서버(40)에 접근하여, 갱신전 패스워드로 계정 인증을 수행하고 패스워드를 갱신한다.Specifically, the password updater 37 accesses the web server 40 using the user account and password stored in the user authentication DB 51, generates a new password, and changes the password to the web server 40 with the new password. Ask. In the user authentication DB 51, the password of the user account is updated with the new password. That is, the password updater 37 accesses the web server 40 through the server proxy handler 34, performs account authentication with the password before updating, and updates the password.

바람직하게는, 패스워드 갱신부(37)는 웹브라우저 모듈을 실행시켜 패스워드 변경 작업을 수행하게 한다. 즉, 패스워드 갱신부(37)는 패스워드를 변경하기 위해 웹브라우저 상에서 수행하는 일련의 행위를 저장해두고, 웹브라우저 모듈에 일련의 행위를 적용시켜 패스워드 변경 작업을 수행시킨다.Preferably, the password updater 37 executes the web browser module to perform a password change operation. That is, the password updater 37 stores a series of actions performed on the web browser to change the password, and applies a series of actions to the web browser module to perform the password change operation.

웹브라우저 상에서 수행되는 행위는 행위의 대상이 되는 "객체"와, 행위에 해당하는 "이벤트"로 구성된다. "이벤트"에는 데이터가 포함될 수 있다. "객체"는 웹페이지를 구성하는 객체 또는 웹브라우저 자체의 객체도 해당될 수 있다.An action performed on a web browser is composed of an "object" that is the object of the action and an "event" corresponding to the action. "Event" may include data. The "object" may correspond to an object constituting a web page or an object of the web browser itself.

웹브라우저의 메뉴, 주소줄 등도 모두 객체가 될 수 있다. 또한, 웹문서(웹페이지)는 웹브라우저 상에 표시되는데, 웹브라우저 화면상에 표시되는 웹문서는 프레임, 표, 이미지, 영역, 글자, 링크 등의 객체로 구성된다.Web browser menus, address lines, etc. can all be objects. In addition, the web document (web page) is displayed on the web browser, the web document displayed on the web browser screen is composed of objects such as frames, tables, images, regions, text, links.

행위는 이러한 객체에 수행되는 동작을 말한다.Actions are actions performed on these objects.

예를 들어, 사용자가 웹브라우저의 주소줄에 웹주소(URL 등)를 입력하여 불러오기 버튼을 누르고, 불러온 웹페이지 상에서 아이디 입력 박스에 아이디를 입력하는 경우를 설명한다. 이때, 일련의 행위를 (객체, 이벤트)로 표시하면, (주소줄, 클릭), (주소줄, 웹주소 입력), (불러오기 버튼, 클릭), (입력박스, 클릭), (입력박스, 아이디 입력) 등이다.For example, a case in which a user enters a web address (URL, etc.) in a web browser, presses a load button, and enters an ID in an ID input box on the loaded web page. In this case, if you mark a series of actions as (Object, Event), (Address Bar, Click), (Address Line, Web Address Input), (Load Button, Click), (Input Box, Click), (Input Box, ID input).

상기와 같은 행위들은 운영체제(OS)에 전달되고, 운영체제(OS)에서 웹브라우저에 전달되어, 웹브라우저가 해당 행위를 처리하여 아이디를 입력하는 작업을 수행한다. 이때, 각각의 행위를 웹브라우저 상의 행위(또는 단위 행위)라 부르기로 한다.The above actions are delivered to the operating system (OS) and delivered to the web browser from the operating system (OS), and the web browser processes the corresponding actions and inputs an ID. At this time, each action is called an action (or a unit action) on the web browser.

한편, 웹브라우저 모듈은 접근통제 게이트웨이(30)에 설치되는 통상의 웹브라우저로서, 웹브라우저(60)와 같이 웹브라우저 기능을 수행한다. 바람직하게는, 패스워드 갱신부(37)에 연동되어 실행된다. 즉, 패스워드 갱신부(37)는 웹브라우저 모듈에 행위를 적용시켜, 웹브라우저 모듈이 행위에 해당하는 작업을 수행하게 한다.On the other hand, the web browser module is a conventional web browser installed in the access control gateway 30, and performs a web browser function like the web browser 60. Preferably, the program is executed in conjunction with the password updater 37. That is, the password updater 37 applies the action to the web browser module so that the web browser module performs a task corresponding to the action.

따라서, 패스워드 갱신부(37)는 웹브라우저 모듈에서 수행하는 행위는 사용자가 웹브라우저 상에서 하는 수행하는 행위와 동일한 행위이다. 따라서 패스워드 갱신부(37)는 사용자가 웹브라우저 상에서 패스워드를 변경할 때 수행하는 일련의 행위들을, 사용자 대신 수행하는 것과 같다. 다만, 이때, 패스워드 입력 박스에 입력되는 패스워드만 달리 입력한다.Therefore, the action performed by the password updater 37 in the web browser module is the same as the action performed by the user on the web browser. Therefore, the password updater 37 performs a series of actions performed when the user changes the password on the web browser on behalf of the user. However, at this time, only the password input in the password input box is input differently.

다음으로, 메시지 분석부(35)는 클라이언트 세션과 서버용 세션 간의 메시지를 중계하되, 메시지에서 포함된 경로를 분석하여, 경로에 대한 접근통제 정책(이하 경로 통제정책)에 따라 접근을 통제한다.Next, the message analyzer 35 relays the message between the client session and the server session, analyzes the path included in the message, and controls the access according to an access control policy (hereinafter referred to as a path control policy) for the path.

즉, 메시지 분석부(35)는 접근이 허용되는 경로 리스트(이하 경로 화이트 리스트) 또는 접근이 차단되는 경로 리스트(이하 경로 블랙 리스트)를 사전에 저장해둔다.That is, the message analyzer 35 stores in advance a path list (hereinafter referred to as a path white list) to which access is permitted or a path list (hereinafter referred to as a path black list) to which access is blocked.

그리고 메시지 분석부(35)는 클라이언트 프록시 핸들러(32)에 수신되는 메시지(또는 패킷, IP 패킷)를 파싱하여, 메시지 내에 포함된 경로를 추출한다. 그리고 추출된 메시지의 경로가 경로 화이트 리스트 또는 경로 블랙 리스트에 속하는지 여부를 판단한다. 판단 결과에 따라 해당 메시지의 통제 여부를 결정하여 그 판단 결과를 클라이언트 프록시 핸들러(32)로 전달한다. 클라이언트 프록시 핸들러(32)는 통제 여부의 판단결과에 따라 해당 메시지를 차단하거나 중계한다.The message analyzer 35 parses a message (or packet or IP packet) received by the client proxy handler 32 and extracts a path included in the message. The method determines whether the extracted message path belongs to a path white list or a path black list. Based on the determination result, it is determined whether to control the corresponding message, and the determination result is transmitted to the client proxy handler 32. The client proxy handler 32 blocks or relays the message according to the determination result of the control.

다음으로, 본 발명의 일실시예에 따른 패스워드 갱신부(37)의 패스워드 변경 방법을 도 3을 참조하여 보다 구체적으로 설명한다.Next, a password change method of the password updater 37 according to an embodiment of the present invention will be described in more detail with reference to FIG. 3.

앞서 설명한 바와 같이, 패스워드 갱신부(37)는 사용자가 패스워드를 변경하는 웹브라우저 상의 작업(일련의 행위)을 모방하여, 동일한 작업을 웹브라우저 모듈에 적용하여, 자동으로 패스워드를 변경한다. 다만, 패스워드 입력 박스에 입력되는 패스워드만 달리 입력한다.As described above, the password updater 37 mimics a task (a series of actions) on the web browser in which the user changes the password, applies the same task to the web browser module, and automatically changes the password. However, enter only the password entered in the password input box.

즉, 웹서버(40)의 패스워드를 변경하고자 하는 웹어플리케이션에 대해서 분석하여, 일련의 행위들을 추출한다.That is, a series of actions are extracted by analyzing the web application to change the password of the web server 40.

모든 웹어플리케이션은 화면을 구성하는 객체와 각 객체에 대해서 특정한 이벤트를 만들면, 해당 웹어플리케이션이 동작된다. 따라서 웹어플리케이션의 패스워드를 변경하기 위해서 각 화면을 분석하고, 객체에 사용자가 수행하는 행위와 동일한 행위(객체와 이벤트)를 웹브라우저 모듈 상에서 수행하면 패스워드를 변경할 수 있다.Every web application makes a specific event for each object and the web application. Therefore, in order to change the password of the web application, each screen is analyzed and the password can be changed by performing the same actions (objects and events) as the actions performed by the user on the object on the web browser module.

기존 기술은 다음과 같은 방식으로 패스워드 변경 작업을 수행한다.Existing technologies perform password changes in the following manner.

일례로서, 웹어플리케이션의 패스워드를 변경하기 위해서는 해당 웹어플리케이션과의 패스워드 연동 API(Application Program Interface)를 만들고 해당 API를 호출한다.For example, in order to change the password of a web application, a password interworking API (Application Program Interface) with the web application is created and the API is called.

또 다른 예로서, 웹어플리케이션이 저장해 놓은 패스워드에 대해서 직접 접근해서 해당 패스워드를 변경한다.As another example, a web application directly accesses a stored password and changes the password.

또 다른 예로서, 웹어플리케이션의 패스워드 저장 데이터베이스를 만들어 두고, 각 웹어플리케이션이 해당 패스워드를 가지고 와서 각자 변경 처리한다.As another example, a password storage database of a web application is created, and each web application takes a corresponding password and changes it.

또 다른 예로서, SSO(Single Sign On) 솔루션이 존재할 경우, 웹어플리케이션의 로그인 부분을 수정하여, SSO 솔루션에서 처리하게 한다.As another example, if a single sign-on solution exists, the login portion of the web application is modified to be processed by the SSO solution.

그런데 상기와 같은 패스워드 변경 방법은 웹어플리케이션이 이와 같은 변경 기능을 구비해야만 가능하다. 즉, 기존의 웹어플리케이션을 수정해야하는 문제점이 있다.However, the above password change method is possible only when the web application has such a change function. That is, there is a problem in that an existing web application needs to be modified.

본 발명에서는 사용자의 패스워드 변경 작업을 모방하여, 패스워드 변경 작업(일련의 행위들)을 웹브라우저 모듈 상에서 수행하여 웹어플리케이션을 처리함으로써 패스워드를 변경하게 한다. 따라서 본 발명은 웹어플리케이션의 수정 없이도 패스워드 변경 작업을 자동으로 수행할 수 있다.In the present invention, the password change operation of the user is simulated, and the password change operation (a series of actions) is performed on the web browser module to process the web application to change the password. Therefore, the present invention can automatically perform a password change operation without modifying the web application.

도 3에서 보는 바와 같이, 먼저, 패스워드 갱신부(37)는 웹서버(40)의 대상 웹어플리케이션을 실행한다(S11). 즉, 패스워드 갱신부(37)는 웹브라우저 모듈 상의 주소줄에 웹서버(40)의 웹어플리케이션의 주소(URL)를 입력시켜 호출함으로써, 웹브라우저 모듈 상에서 웹어플리케이션을 실행시킨다.As shown in FIG. 3, first, the password update unit 37 executes the target web application of the web server 40 (S11). That is, the password updater 37 executes the web application on the web browser module by calling the web application module by inputting the address (URL) of the web application of the web server 40 in the address line on the web browser module.

이때, 패스워드 갱신부(37)는 웹브라우저 모듈이 실행되지 않은 경우이면, 웹브라우저 모듈을 실행시킨다.At this time, if the web browser module is not executed, the password updater 37 executes the web browser module.

다음으로, 패스워드 갱신부(37)는 실행한 웹어플리케이션을 확인한다(S12). 바람직하게는, 웹브라우저 모듈 상에서, 웹어플리케이션의 화면 창의 이름으로 해당 웹어플리케이션 여부를 확인한다. 즉, 실행한 웹어플리케이션은 고유한 창 이름을 가지고 있으며, 해당 창 이름을 확인한다.Next, the password updater 37 checks the executed web application (S12). Preferably, on the web browser module, the name of the screen window of the web application checks whether the corresponding web application. In other words, the launched web application has a unique window name and checks the window name.

예를 들어, 해당 창 이름은 "Live view - AXIS P1346 Network Camera - Internet Explorer"을 가진다.For example, the window name has "Live view-AXIS P1346 Network Camera-Internet Explorer".

그리고 첫 로그인 화면이 도 4와 같이 실행되어 표시된다.The first login screen is displayed as shown in FIG. 4.

웹어플리케이션을 실행하면 바로 로그인 화면이 표시되지 않는 경우에는, 로그인 화면을 표시하는 단계가 추가될 수 있다.If the login screen is not displayed immediately after executing the web application, the step of displaying the login screen may be added.

다음으로, 패스워드 갱신부(37)는 로그인 화면을 확인하여 로그인 작업을 수행한다(S13). 즉, 로그인 작업의 일련의 행위를 웹브라우저 모듈에 적용시킨다.Next, the password updater 37 checks the login screen and performs a login operation (S13). In other words, a series of login actions are applied to the web browser module.

즉, 웹브라우저 모듈 상에서, 로그인 화면의 객체를 확인해서 사용자 이름 텍스트 박스에 마우스를 클릭하는 행위를 수행한다. 이때 (사용자 이름 텍스트 박스, 마우스 클릭)의 객체와 이벤트 쌍의 행위가 웹브라우저 모듈에 적용된다.That is, on the web browser module, the user checks the object of the login screen and clicks the mouse on the user name text box. In this case, the behavior of the object and event pair (user name text box, mouse click) is applied to the web browser module.

구체적으로, 사용자 이름 텍스트 박스(객체)에 로그인하고자 하는 아이디(ID)의 문자열을 운영체제(OS)에 전달하고, 키보드의 탭을 운영체제(OS) 전달하고, 암호에 관련한 문자열을 운영체제(OS)에 전달하고, 키보트 엔터 이벤트를 운영체제(OS)에 전달하면 로그인이 된다.In detail, a string of an ID to be logged in to a user name text box (object) is transmitted to the operating system, a tab of a keyboard is transmitted to the operating system, and a string related to a password is transmitted to the operating system. If you forward it, send the keyboard enter event to the operating system (OS) to log in.

다음으로, 패스워드 갱신부(37)는 패스워드 변경 창으로 변경한다(S14).Next, the password updater 37 changes to the password change window (S14).

즉, 웹어플리케이션 실행이 되면 창의 주소를 변경하는 행위를 보내서 패스워드 변경 창으로 변경한다. 이때, 패스워드 변경 창으로 변경하는 작업은 웹어플리케이션의 웹문서 상의 패스워드 변경 링크를 클릭하는 행위일 수도 있고, 웹브라우저 모듈의 주소줄에 변경 창 URL을 입력하는 작업일 수도 있다.In other words, when the web application is executed, the window is changed to the password change window by sending an action of changing the window address. In this case, the change to the password change window may be an action of clicking a password change link on the web document of the web application, or may be a task of inputting the change window URL into the address line of the web browser module.

패스워드 변경 창을 호출하는 화면이 도 5에 도시되고 있다.A screen for calling a password change window is shown in FIG.

일례로서, 패스워드 갱신부(37)는 웹브라우저 모듈 상에서, 호출된 패스워드 변경 창에서 사용자 관련 웹페이지로 호출하고, 사용자 관련 웹페이지에서 패스워드 변경 페이지를 호출할 수 있다.As an example, the password updater 37 may call the user related web page from the called password change window on the web browser module and call the password change page from the user related web page.

또한, 도 6과 같이, 사용자 관련 웹페이지가 호출될 수 있다.Also, as illustrated in FIG. 6, a web page related to a user may be called.

최종적으로, 도 7과 같이, 패스워드 변경 페이지가 호출된다.Finally, as shown in Fig. 7, the password change page is called.

다음으로, 패스워드 갱신부(37)는 웹브라우저 모듈 상에서, 패스워드 변경 페이지에서 패스워드 변경 작업을 처리한다(S15).Next, the password updater 37 processes the password change operation on the password change page on the web browser module (S15).

웹브라우저 모듈 상에서, 화면을 구성하는 모든 구성요소를 객체라고 얘기 할 수 있다. 그리고 여기서는 사용하는 객체들은 (a) 신규 패스워드를 적어 넣을 수 있는 테스트 박스, (b) 신규 패스워드확인을 위한 텍스트 박스, 그리고 (c) 확인(OK) 버튼 객체들이다.In a web browser module, all the components that make up the screen can be referred to as objects. The objects used here are: (a) a test box for entering a new password, (b) a text box for confirming a new password, and (c) OK button objects.

패스워드 변경 작업을 구성하는 일련의 행위는 아래와 같습니다.The sequence of actions that make up a password change operation is as follows:

1) 신규 패스워드 텍스트 박스에 마우스 클릭 이벤트1) Mouse click event in the new password text box

2) 신규 패스워드를 입력하는 키보드 클릭 이벤트 2) Keyboard click event to input new password

3) 확인 패스워드 텍스트 박스에 마우스 클릭 이벤트3) Mouse click event in the Confirm Password text box

4) 신규 패스워드를 입력하는 키보드 클릭 이벤트 4) Keyboard click event for entering a new password

5) 확인(OK) 버튼에 대한 클릭 이벤트 5) Click event for OK button

위와 같이, 사용자 패스워드를 변경할 때, 웹브라우저 모듈 상에서 수행되는 동작들 하나 하나가 모두 행위(객체, 이벤트)들이다. 패스워드를 변경하기 위한 일련의 행위(화면의 구성 객체, 이벤트의 조합)를 만들어서 웹브라우저 모듈에 보내서, 웹브라우저 모듈이 각 행위에 해당하는 작업(함수 호출 등)을 웹서버(40)에 전달한다. 이때, 웹서버(40)는 전달받은 작업(또는 함수)를 실행하고, 그 결과를 웹브라우저 모듈에 전달한다. 웹브라우저 모듈은 그 결과 화면을 출력하는데, 변경된 웹페이지를 표시하거나 팝업 화면을 호출하는 등의 작업을 수행한다.As above, when changing the user password, all of the operations performed on the web browser module are actions (objects and events). Create a series of actions (combination of screen object and event) to change the password and send them to the web browser module, and the web browser module delivers the action (function call etc.) corresponding to each action to the web server 40 . At this time, the web server 40 executes the received task (or function), and transmits the result to the web browser module. As a result, the web browser module outputs a screen. The web browser module displays a changed web page or invokes a pop-up screen.

또한, 패스워드 갱신부(37)는 웹브라우저 모듈이 웹서버(40)로부터 수신하여 표시된 화면(웹문서)에서, 웹문서의 객체에 그 다음 동작을 위한 행위를 적용하는 등, 패스워드 변경이 완료 되기까지 순차적으로 행위를 적용하여 해당 패스워드 변경 작업을 수행하게 한다.In addition, the password update unit 37 is configured to complete the password change, such as applying an action for the next operation to the object of the web document on the displayed screen (web document) received from the web browser module 40 from the web server 40. The action is applied sequentially until the password change operation is performed.

이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.As mentioned above, although the invention made by this inventor was demonstrated concretely according to the said Example, this invention is not limited to the said Example and can be variously changed in the range which does not deviate from the summary.

10 : 사용자 단말 11 : 클라이언트 매니저
12 : 클라이언트 필터 드라이버 13 : 클라이언트 프록시
20 : 웹브라우저
30 : 접근통제 게이트웨이 31 : 인증권한부
32 : 클라이언트 프록시 핸들러 34 : 웹서버 프록시 핸들러
35 : 메시지 분석부 37 : 패스워드 갱신부
40 : 웹서버
51 : 사용자 인증DB 53 : 통제정책DB
54 : 로그DB 55 : 웹서버 주소DB10: user terminal 11: client manager
12: Client Filter Driver 13: Client Proxy
20: web browser
30: access control gateway 31: authentication authority
32: client proxy handler 34: web server proxy handler
35: message analysis unit 37: password update unit
40: web server
51: user authentication DB 53: control policy DB
54: Log DB 55: Web Server Address DB

Claims (6)

적어도 하나의 사용자 단말과 웹서버 사이에 설치되어, 상기 사용자 단말에 설치된 접근통제 클라이언트가 우회시키는 웹브라우저의 메시지를 중계하고 모니터링하는, 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템에 있어서,
사용자의 아이디와 패스워드로 구성된 사용자 계정정보를 등록하고, 사용자 계정 정보를 상기 접근통제 클라이언트에 전송하는 인증권한 정책부;
상기 접근통제 클라이언트에 의해 상기 웹브라우저의 웹서버로의 통신이 우회되어, 상기 웹브라우저와 세션(이하 클라이언트용 세션)을 형성하는 클라이언트 프록시 핸들러;
상기 웹서버와 세션(이하 서버용 세션)을 형성하는 웹서버 프록시 핸들러;
상기 클라이언트용 세션과 상기 서버용 세션 간의 메시지를 중계하되, 상기 클라이언트용 세션에서 수신되는 메시지를 분석하여, 경로 통제정책에 따라 메시지를 통제하는 메시지 분석부; 및,
상기 사용자 계정 정보의 패스워드를 주기적으로 또는 이벤트에 따라 변경하고, 상기 웹서버에 접속하여 변경된 패스워드로 상기 사용자 계정의 패스워드를 갱신하는 패스워드 갱신부를 포함하고,
웹브라우저 모듈은 접근통제 시스템에 설치되고, 상기 패스워드 갱신부에 연동되어 실행되고,
상기 패스워드 갱신부는 상기 웹브라우저 상에서 패스워드를 변경하는 일련의 행위를 모방하여 저장해두고, 패스워드를 변경할 때, 웹브라우저 모듈을 실행시키고, 웹브라우저 모듈 상에서, 저장된 일련의 행위를 적용하여 패스워드를 변경하고,
상기 일련의 행위는 패스워드를 변경하기 위하여 웹브라우저 상에서 수행되는 동작으로서, 웹브라우저의 객체 또는 웹브라우저 상에 표시된 웹문서의 객체와, 해당 객체에 동작되는 이벤트로 구성되는 것을 특징으로 하는 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템.
In the access control system of the web application with a password change function, installed between at least one user terminal and the web server, relaying and monitoring the message of the web browser bypassed by the access control client installed on the user terminal,
An authentication authority policy unit for registering user account information including a user ID and a password and transmitting user account information to the access control client;
A client proxy handler configured to bypass communication of the web browser to the web server by the access control client to form a session (hereinafter referred to as a client session) with the web browser;
A web server proxy handler for establishing a session (hereinafter referred to as a server session) with the web server;
A message analyzer configured to relay a message between the client session and the server session, and analyze the message received from the client session, and control the message according to a path control policy; And,
A password update unit for periodically changing a password of the user account information or an event, and accessing the web server to update the password of the user account with the changed password;
The web browser module is installed in the access control system, is executed in conjunction with the password update unit,
The password updater emulates and stores a series of actions for changing a password on the web browser, when the password is changed, executes the web browser module, applies a series of stored actions on the web browser module, and changes the password.
The series of actions is an operation performed on a web browser to change a password, the password changing function comprising an object of a web browser or an object of a web document displayed on the web browser and an event operated on the object. Access control system of the provided web application.
제1항에 있어서,
상기 인증권한 정책부는 상기 접근통제 클라이언트가 접속을 요청하면, 상기 접근통제 클라이언트에 대한 인증(이하 게이트웨이 인증)을 수행하고, 게이트웨이 인증이 통과되면, 상기 사용자 계정정보와 접근가능한 웹서버 주소 정보를 상기 접근통제 클라이언트에 전송하는 것을 특징으로 하는 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템.
The method of claim 1,
The authentication authority policy unit performs authentication (hereinafter referred to as gateway authentication) for the access control client when the access control client requests access, and when the gateway authentication passes, the user account information and accessible web server address information are read. Access control system of a web application with a password change function, characterized in that the transmission to the access control client.
삭제delete 삭제delete 제2항에 있어서, 상기 접근통제 클라이언트는,
상기 웹서버 주소 정보들로 구성되는 주소필터 정보를 생성하는 접근통제 매니저;
상기 사용자 단말의 운영체제에 설치되는 네트워크 필터 드라이버로서, 상기 웹브라우저의 송수신되는 메시지 패킷들을 모니터링하고, 상기 주소 필터 정보에 속하는 목적주소를 가지는 메시지 패킷의 목적주소를 변조하여 우회시키는 클라이언트 필터 드라이버; 및,
우회된 메시지 패킷을 수신하여 상기 클라이언트 프록시 핸들러로 전송하는 클라이언트 프록시를 포함하는 것을 특징으로 하는 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템.
The method of claim 2, wherein the access control client,
An access control manager for generating address filter information consisting of the web server address information;
A network filter driver installed in an operating system of the user terminal, comprising: a client filter driver configured to monitor message packets transmitted and received by the web browser and to circumvent and modify a destination address of a message packet having a destination address belonging to the address filter information; And,
And a client proxy for receiving the bypassed message packet and transmitting the received message packet to the client proxy handler.
제1항에 있어서,
상기 사용자 단말에는 상기 웹브라우저에 부가되는 웹브라저용 프로그램인 확장 프로그램이 더 설치되고,
상기 확장 프로그램은 상기 접근통제 클라이언트로부터 변경된 사용자 계정 정보를 수신하여, 상기 웹브라우저가 상기 웹서버의 인증 웹페이지를 오픈하면, 상기 인증 웹페이지의 사용자 인증 정보의 입력 객체에 사용자의 아이디와 패스워드를 자동으로 입력하여 상기 웹서버로 전송하는 것을 특징으로 하는 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템.
The method of claim 1,
The user terminal is further provided with an extension program which is a program for the web browser added to the web browser,
The extension program receives the changed user account information from the access control client, and when the web browser opens the authentication web page of the web server, the user ID and password are input to the input object of the user authentication information of the authentication web page. Access control system for a web application with a password change function, characterized in that automatically input and transmit to the web server.
KR1020190021123A 2019-02-22 2019-02-22 An access control system for web applications KR102017038B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190021123A KR102017038B1 (en) 2019-02-22 2019-02-22 An access control system for web applications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190021123A KR102017038B1 (en) 2019-02-22 2019-02-22 An access control system for web applications

Publications (1)

Publication Number Publication Date
KR102017038B1 true KR102017038B1 (en) 2019-09-02

Family

ID=67951330

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190021123A KR102017038B1 (en) 2019-02-22 2019-02-22 An access control system for web applications

Country Status (1)

Country Link
KR (1) KR102017038B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110764929A (en) * 2019-10-16 2020-02-07 支付宝(杭州)信息技术有限公司 Message interaction method, system and device and electronic equipment
CN111831994A (en) * 2020-07-15 2020-10-27 神思电子技术股份有限公司 Equipment authority authentication method based on web browser
CN114338142A (en) * 2021-12-27 2022-04-12 云深互联(北京)科技有限公司 Safety access system and method based on browser
CN114629716A (en) * 2022-03-31 2022-06-14 广东电网有限责任公司 User password resetting method and device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268719A (en) * 2005-03-25 2006-10-05 Nec Corp Password authentication system and method
KR101467930B1 (en) * 2014-02-06 2014-12-02 (주) 시큐어가드 테크놀러지 Method for changing password, device for managing password and computer readable recording medium
KR101677051B1 (en) 2016-09-05 2016-11-17 이형근 method of providing operation of secure web-browser
KR101896453B1 (en) * 2018-04-06 2018-09-07 주식회사 넷앤드 A gateway-based access control system for improving security and reducing constraint of remote access application

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268719A (en) * 2005-03-25 2006-10-05 Nec Corp Password authentication system and method
KR101467930B1 (en) * 2014-02-06 2014-12-02 (주) 시큐어가드 테크놀러지 Method for changing password, device for managing password and computer readable recording medium
KR101677051B1 (en) 2016-09-05 2016-11-17 이형근 method of providing operation of secure web-browser
KR101896453B1 (en) * 2018-04-06 2018-09-07 주식회사 넷앤드 A gateway-based access control system for improving security and reducing constraint of remote access application

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110764929A (en) * 2019-10-16 2020-02-07 支付宝(杭州)信息技术有限公司 Message interaction method, system and device and electronic equipment
CN110764929B (en) * 2019-10-16 2022-04-29 支付宝(杭州)信息技术有限公司 Message interaction method, system and device and electronic equipment
CN111831994A (en) * 2020-07-15 2020-10-27 神思电子技术股份有限公司 Equipment authority authentication method based on web browser
CN111831994B (en) * 2020-07-15 2022-06-03 神思电子技术股份有限公司 Equipment authority authentication method based on web browser
CN114338142A (en) * 2021-12-27 2022-04-12 云深互联(北京)科技有限公司 Safety access system and method based on browser
CN114629716A (en) * 2022-03-31 2022-06-14 广东电网有限责任公司 User password resetting method and device

Similar Documents

Publication Publication Date Title
KR102017038B1 (en) An access control system for web applications
US12003547B1 (en) Protecting web applications from untrusted endpoints using remote browser isolation
EP1203297B1 (en) Method and system for extracting application protocol characteristics
US11757944B2 (en) Network intermediary with network request-response mechanism
US8984630B2 (en) System and method for preventing web frauds committed using client-scripting attacks
US8898796B2 (en) Managing network data
US7882265B2 (en) Systems and methods for managing messages in an enterprise network
RU2755675C2 (en) Identification of security vulnerabilities in application program interfaces
US8543726B1 (en) Web relay
EP4026297A1 (en) Honeypots for infrastructure-as-a-service security
US9218487B2 (en) Remote DOM access
US11647052B2 (en) Synthetic request injection to retrieve expired metadata for cloud policy enforcement
RU2237275C2 (en) Server and method (variants) for determining software surroundings of client node in a network having client/server architecture
US20140282891A1 (en) Method and system for unique computer user identification for the defense against distributed denial of service attacks
CN113645234B (en) Honeypot-based network defense method, system, medium and device
CN114995214A (en) Method, system, device, equipment and storage medium for remotely accessing application
CN111464528A (en) Network security protection method, system, computing device and storage medium
CN115134105A (en) Resource configuration method and device of private network, electronic equipment and storage medium
CN111049844A (en) Internet access behavior management method, device, equipment and storage medium based on Socks agents
KR102142045B1 (en) A server auditing system in a multi cloud environment
KR102118380B1 (en) An access control system of controlling server jobs by users
EP1664974A2 (en) Systems and methods for dynamically updating software in a protocol gateway
EP1820293A2 (en) Systems and methods for implementing protocol enforcement rules
KR102269885B1 (en) An access control system of making up customized server work environment for each user
Salemi et al. " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant