KR102050249B1 - Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment - Google Patents

Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment Download PDF

Info

Publication number
KR102050249B1
KR102050249B1 KR1020180021798A KR20180021798A KR102050249B1 KR 102050249 B1 KR102050249 B1 KR 102050249B1 KR 1020180021798 A KR1020180021798 A KR 1020180021798A KR 20180021798 A KR20180021798 A KR 20180021798A KR 102050249 B1 KR102050249 B1 KR 102050249B1
Authority
KR
South Korea
Prior art keywords
data
self
network
identification
receiving
Prior art date
Application number
KR1020180021798A
Other languages
Korean (ko)
Other versions
KR20190101608A (en
Inventor
변상구
김갑철
박인원
Original Assignee
주식회사 디케이아이테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 디케이아이테크놀로지 filed Critical 주식회사 디케이아이테크놀로지
Priority to KR1020180021798A priority Critical patent/KR102050249B1/en
Publication of KR20190101608A publication Critical patent/KR20190101608A/en
Application granted granted Critical
Publication of KR102050249B1 publication Critical patent/KR102050249B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것으로, 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법은 서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계, 송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계, 각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계, 해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계, 수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 한다.The present invention relates to a data protection method and system using a self-identification ID in a network-based network separation environment. The present invention relates to an IP packet data transmission and reception in a network-based network separation environment. In the network-based network separation environment that the security system disallows the reception of packets, the data protection method using self-identification ID is used in the host and DNS in the security gateway at the sending side when transmitting data between host group A / B in different network separation environment. A step of attaching a self identification ID by receiving a source ID and a destination ID of each packet, generating a key for secure encryption and decryption of transmission / reception data, and a key for encryption and decryption of transmission / reception data ( Signature verification step to check the stability of KEY), routing each packet and protecting existing IP NEW IP adding step for adding a new IP, a transmission step for transmitting the corresponding IP packet data to the receiving security gateway, an authentication step for verifying the self identification ID of the transmitting and receiving at the receiving security gateway, and the identification ID Data security and security management of data protection and monitoring, which consists of a retirement phase that denies and discards data that does not contain data.

Description

네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템{Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment}Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment

본 발명은 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것으로, 더욱 상세하게는, 업무망과 외부망의 망분리 환경에서 전송 데이터를 보안하기 위한 보안방법 및 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷을 폐기하는 보안시스템에 관한 것으로, 보다 상세 또한 혁신적으로 송수신된 패킷을 보안 처리하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것이다.The present invention relates to a data protection method and system using a self-identification ID in a network-based network separation environment, and more particularly, to a security method and malicious intention to secure transmission data in a network separation environment of a work network and an external network. The present invention relates to a security system for discarding impure packets for the purpose of virus infiltration, hacking, etc., and more particularly, to a data protection method and system using a self-identifying ID in a network-based network separation environment for securely processing a packet.

망분리란 외부의 침입으로부터 내부 전산자원을 보호하기 위해 네트워크 망을 이중화시켜 업무용과 개인용을 구분하는 것으로 물리적 망분리와 논리적 망분리 두가지 방식이 있다.In order to protect the internal computing resources from outside intrusion, network separation is to divide the network network and distinguish between business and personal. There are two methods of physical separation and logical separation.

물리적 망분리는 한 사람이 두개의 PC를 사용하거나 전환 스위치로 망을 분리해 내는 방식,네트워크 카드를 두개 탑재한 PC를 사용하는 방안 등이 있다.Physical network separation includes a method in which a single person uses two PCs, a network separation switch using a changeover switch, and a PC equipped with two network cards.

논리적 망분리의 경우에는 과거 서버 기반 컴퓨팅이 거론됐었지만, 최근 들어 가상화 기술을 활용한 VDI와 하나의 PC에 두개의 운영체제(OS)를 설치하는 OS 커널 분리 방식이 주로 이용되고 있다.In the case of logical network separation, server-based computing has been mentioned in the past, but in recent years, VDI utilizing virtualization technology and OS kernel separation method of installing two operating systems (OS) on one PC are mainly used.

보안 등의 이유로 물리적 망분리를 권고한 국정원 의견에 따라 그동안 대부분의 공공기관들은 두대의 PC를 활용하는 물리적 망분리를 실시했다.In response to the NIS recommending physical network separation for security reasons, most public agencies have implemented physical network separation using two PCs.

하지만 두대의 PC를 사용하기 위해서는 네트워크 망을 이중화 해야하기 때문에 과도한 투자가 발생하게 되고, 정부부처 이전이나 청사 이전을 해야 할 경우 구축한 인프라를 재활용 할 수 없다는 문제가 있었다. 특히 사무공간에 PC 수가 많아지면서 발열로 인해 업무환경이 악화되는 부작용도 발생했다.However, in order to use two PCs, the network has to be duplexed, resulting in excessive investment, and there is a problem that the installed infrastructure cannot be recycled when a government department or a government office is to be moved. In particular, as the number of PCs in the office space increased, the work environment worsened due to heat generation.

또한, 최근 도청 및 해킹 기술의 발전에 따른 개인정보 유출 및 악성 패킷으로 인한 바이러스 등에 민감한 시점에서 각 정부기관, 국방부 및 예하 군, 지방자치제, 공공기관, 금융권 등에서 정보통신망법과 개인정보보호법 제정에 따른 해결 방안을 고민하고 있는 실정이다.In addition, in accordance with the enactment of the Information Communication Network Act and the Personal Information Protection Act in each government agency, the Ministry of National Defense, the subordinate forces, local governments, public institutions, and the financial sector, when sensitive to personal information leakage and viruses caused by malicious packets due to the recent development of eavesdropping and hacking technology. The situation is considering a solution.

[선행기술문헌][Preceding technical literature]

대한민국특허등록번호 제10-1357036호(2014년01월23일 등록)Korea Patent Registration No. 10-1357036 (registered January 23, 2014)

본 발명의 목적은 상기한 바와 같은 실정을 감안하여 제안된 것으로서, 네트워크 기반 망분리에 있어서, 업무망과 외부망의 망 분리 장치 간에 IP 패킷 데이터를 보호하고 전송하기 위한 방안으로, 망간에 자기식별 ID를 부여하여 자기식별 ID가 없는 패킷은 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷으로 판단하여 업무망으로 전송하지 않으며, 이에 따른 업무망과 외부망의 데이터 보호 및 감시 등의 데이터 보안과 보안 관리를 목적으로 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템을 제공함에 있다. An object of the present invention has been proposed in view of the above-described circumstances, in a network-based network separation, a method for protecting and transmitting IP packet data between a network separation device of a work network and an external network. By assigning IDs, packets without self-identification IDs are judged as impure packets for malicious intentions, virus infiltration, hacking, etc., and are not transmitted to the business network.Therefore, data security such as data protection and monitoring of business and external networks The present invention provides a data protection method and system using a self identification ID in a network-based network separation environment for the purpose of security management.

상기한 바와 같은 목적을 달성하기 위한 본 발명에 따른 에 따르면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널 관점을 탈피하여 각 패킷마다 보안게이트웨이에서 자기식별 ID를 취부하고 암호화하여 수신 측에 전달하고, 수신 측 보안게이트웨이에서 자기식별 ID 및 키 검증, 복호화를 통하여 수신 호스트에 안정적 데이터 보안, 전송을 유지하는 것을 특징으로 한다.According to the present invention for achieving the object as described above, in the network separation environment of the work network and the external network, the self-identifying ID is installed and encrypted in the security gateway for each packet, breaking away from the usual tunnel view of the conventional VPN method. It transmits the data to the receiving side, and maintains stable data security and transmission to the receiving host through self-identification ID and key verification and decryption at the receiving security gateway.

또한, 본 발명의 다른 측면에 따르면, 망분리 환경에서 중계영역에서 불순한 패킷이 유입될 때, 불순한 패킷에는 자기식별 ID 및 키 등이 존재하지 않아, 패킷 분석 시 해당 패킷을 폐기 시킬 수 있으며, 내부 영역으로 들어오는 해킹 및 바이러스 침투에 대비할 수 있는 보안시스템을 특징으로 한다.In addition, according to another aspect of the present invention, when an impure packet in the relay region in the network separation environment, there is no self-identification ID and key in the impure packet, it is possible to discard the packet during packet analysis, internal It features a security system that can prepare for hacking and virus ingress into the area.

또한, 본 발명의 다른 측면에 따르면, 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,In addition, according to another aspect of the present invention, network-based network security performed by the security system to disallow reception of impure packets for the purpose of data security and malicious intention and virus intrusion, hacking, etc. during IP packet data transmission and reception in a network-based network separation environment In a data protection method using a self identification ID in a network separation environment,

서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,In case of transmitting data between host group A / B in different network separation environment, attaching self identification ID by receiving source ID and destination ID of each packet from host and DNS at sending gateway.

송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계, Generating a key for secure encryption and decryption of the transmission / reception data, Signature verification step for checking the stability of the key for encryption and decryption of the transmission / reception data,

각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계, NEW IP addition step to add new IP to protect each packet routing and existing IP,

해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,A transmission step for transmitting the corresponding IP packet data to the receiving security gateway;

수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 하는 것을 특징으로 하고
상기 데이터 보안은, 출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함하고, 상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시키는 것을 특징으로 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법이 제공된다.The data security and security management of data protection and monitoring consists of an authentication step for verifying the self-identification ID of the sending and receiving side at the receiving security gateway, and a revocation step for disallowing and discarding data that does not include the self-identifying ID. Characterized by
The data security includes at least one of a source IP, a destination IP, a self-identifying ID of a transmitting host, a self-identifying ID of a receiving host, a key, signature verification, ID authentication, and a new IP, and transmits the data to a receiving security gateway. In the network-based network separation environment characterized by analyzing, monitoring, detecting, allowing, or discarding received data, a data protection method using a self-identifying ID is provided.

삭제delete

삭제delete

삭제delete

삭제delete

본 발명의 또 다른 측면에 있어서, 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,In another aspect of the present invention, as a data protection system using a self-identification ID in a network-based network separation environment including a self-identification and encryption between the transmitting network for transmitting data in the network separation environment and the receiving network receiving the data,

암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함하고, 상기 보안게이트웨이부는, 상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송하고, 상기 DNS부는 송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성하고, 상기 호스트부는 데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함하는 것을 특징으로 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템이 제공된다.A security gateway portion for transmission / reception data transmission, such as encryption and self identification ID, signature verification, ID authentication, new IP assignment, DNS portion for receiving self identification ID information, and a host portion that is a transmission / reception PC group. The security gateway unit transmits security data including at least one of a new IP, self identification ID, key, encryption, decryption, signature verification, ID authentication, source IP, and destination IP of the data, and the DNS unit transmits / receives a host. Generating self-identification ID association information for a source IP, a destination IP, and the like, for providing the self-identification ID information of the security gateway to the security gateway, wherein the host unit includes a transmitting host for transmitting data and a receiving host for receiving data. Provided is a data protection system using a self identification ID in a network-based network separation environment.

삭제delete

삭제delete

삭제delete

삭제delete

상기 설명한 바와 같은 본 발명에 의하면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널을 맺기 위한 네트워크 점유율 가져야 하는 문제점을 해결하고, 악의적 패킷을 발생시켜 해킹 및 바이러스 침투의 목적을 원천 차단할 수 있으며, 전송되는 자료의 암호화를 통한 데이터 보호 및 감시 등의 데이터 보안과 보안 관리가 가능한 효과가 있다.According to the present invention as described above, in order to solve the problem of having a network share to establish a regular tunnel of the existing VPN method in the network separation environment of the work network and the external network, to generate malicious packets to solve the purpose of hacking and virus infiltration The source can be blocked, and data security and security management such as data protection and monitoring through encryption of transmitted data can be performed.

본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.According to the present invention, since data is transmitted between the work network and the external network, the data is protected and encrypted even if the transmitted data is leaked to the outside.

또한, 망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.In addition, when an external impure packet flows into a relay area in a network separation environment, the receiving side can be regarded as an impure packet through self-identification ID and key verification and discarded to prevent hacking and virus intrusion.

또한, 본 발명에서 얻을 수 있는 효과는 앞의 언급한 효과들로 제한하지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.In addition, the effects obtainable in the present invention are not limited to the aforementioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description. Could be.

도 1은 본 발명의 일실시예에 따른 보안시스템 구성도이다.
도 2는 본 발명의 일실시예에 따른 보안시스템을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안방법을 설명하기 위한 순서도이다.1 is a block diagram of a security system according to an embodiment of the present invention.
2 is a block diagram illustrating a security system according to an embodiment of the present invention.
3 is a flowchart illustrating a security method according to an embodiment of the present invention.

본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.According to the present invention, since data is transmitted between the work network and the external network, the data is protected and encrypted even if the transmitted data is leaked to the outside.

망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.In the network separation environment, when an external impure packet flows into the relay domain, the receiving side can consider it as an impure packet through self-identification ID and key verification and discard it to protect against hacking and virus intrusion.

본 발명에서 얻을 수 있는 효과는 앞의 언급한 효과들로 제한하지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned may be clearly understood by those skilled in the art from the following description. will be.

이하 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며, 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention.

명세서 전체에서, 어떤 부분이 다른 부분과 “연결”되어 있다고 할 때, 이는 “직접적으로 연결”되어 있는 경우뿐 아니라, 그 중간에 다른 기기를 사이에 두고 “전기적으로 연결”되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is said to be "connected" to another part, this includes not only "directly connected" but also "electrically connected" with another device in between. . In addition, when a part is said to "include" a certain component, this means that it may further include other components, except to exclude other components unless otherwise stated.

본 발명은 업무망과 외부망의 논리적 또는 물리적으로 분리된 환경에서의 보안 방법 및 보안시스템을 말한다. 즉, 서로 다른 네트워크이거나 가상화 기법, 또는 다른 방법을 통해 외부망과 업무망으로 구분한 시스템일 수 있다.The present invention refers to a security method and a security system in a logical or physically separated environment of a work network and an external network. That is, it may be a system divided into an external network and a work network through different networks or virtualization techniques or other methods.

업무망과 외부망의 망 분리 환경에 포함된 외부망은 근거리 통신망, 광역 통신망, 개인 근거리 무선통신망, 이동통신망 등의 유/무선 네트워크로 구현될 수 있다.The external network included in the separation network of the work network and the external network may be implemented as a wired / wireless network such as a local area network, a wide area network, a personal local area wireless network, or a mobile communication network.

업무망은 업무 PC를 포함하는 정보처리시스템이 구성될 수 있으며, 정보처리시스템은 개인정보나 사내의 중요 정보들을 처리하는 컴퓨터 등의 데이터를 처리하는 정보기기 모두를 말한다.The work network may be configured with an information processing system including a work PC, and the information processing system refers to both an information device that processes data such as a computer that processes personal information or important information in the company.

본 발명의 일실시예로서, 호스트부는 데이터를 발생시키거나 수신하는 IP형 정보기기로 송신 호스트부와 수신 호스트부로 나누어진다.In one embodiment of the present invention, the host unit is an IP-type information device for generating or receiving data. The host unit is divided into a transmitting host unit and a receiving host unit.

본 발명의 일실시예로서, DNS부는 송신 호스트부와 수신 호스트부의 자기식별을 하고 보안게이트웨이로 자기식별 ID를 제공한다.In one embodiment of the present invention, the DNS unit performs the self-identification of the transmitting host unit and the receiving host unit and provides the self-identifying ID to the security gateway.

본 발명의 일실시예로서, 보안게이트웨이부는 라우팅 및 실 IP를 숨기기 위해 새로운 IP를 취부하며, DNS서버로부터 받은 SRC 자기식별 ID와 DST 자기식별 ID를 추가로 취부하며, 키를 통해 실 IP와 Payload를 암호화시키고 서명검증이 완료되면 암호화 전송을 한다. 보안게이트웨이부는 송신 보안게이트웨이부와 수신게이트웨이부로 구성되어 있다. As an embodiment of the present invention, the security gateway unit attaches a new IP to hide the routing and the real IP, and additionally attaches the SRC self-identification ID and the DST self-identification ID received from the DNS server, and the real IP and the payload through the key. After encrypting the signature and verifying the signature, send the encrypted message. The security gateway portion is composed of a transmission security gateway portion and a reception gateway portion.

도 1은 본 발명의 일실시예에 따른 보안시스템 구성도이며, 도 2는 보안시스템의 블록도이며, 도 1과 도 2는 도 3을 설명하기 위한 도면이다.1 is a configuration diagram of a security system according to an embodiment of the present invention, FIG. 2 is a block diagram of a security system, and FIGS. 1 and 2 are views for explaining FIG.

본 발명의 일실시예의 도 2를 설명하면, DNS부(A), DNS부(B), 호스트부(A), 호스트부(B)를 통하여 *①*번인 자기식별 ID와 호스트부(A)에서 송신하는 IP 패킷 *②*를 송신 보안게이트웨이로 전달하고 송신 보안게이트부에서는 *③*의 행위인 NEW IP Header와 자기식별 ID, 키, 서명검증을 통하여 암호화된 데이터를 *④*로 전송하고 수신 보안게이트웨이부에서는 데이터 검증 및 복호화를 통하여 *⑥*으로 수신 호스트부로 데이터를 전달한다. 이때 *⑤*번으로 들어오는 불순한 패킷은 수신 보안게이트웨이에서 폐기를 시킨다.Referring to FIG. 2 of one embodiment of the present invention, a self identification ID and host portion A of * 1. 1 through DNS unit A, DNS unit B, host unit A, and host unit B are described. Transmits IP packet * ② * transmitted from to the transmitting security gateway, and transmits the encrypted data to * ④ * through NEW IP Header, self-identification ID, key, and signature verification, which is the behavior of * ③ *. The receiving security gateway unit transmits data to the receiving host unit as * ⑥ * through data verification and decryption. At this time, the impure packet entering * ⑤ * is discarded at the receiving security gateway.

본 발명의 일실시예의 도 3을 설명하며 100, 200, 500, 600을 통하여 송신 패킷의 자기식별 ID를 제공하고 300은 100으로부터 들어오는 패킷을 NEW IP와 SRC 자기식별 ID, DST 자기식별 ID를 취부하며, 암호화를 위해 키를 생성하고 서명검증이 이루어지며, 실 IP 및 Payload를 암호화시켜 400으로 보낸다. 400은 자기식별 ID와 키, 서명검증을 하고 복호화시켜 600으로 패킷을 전송시킨다.Referring to FIG. 3 of one embodiment of the present invention, 100, 200, 500, and 600 provide a self-identification ID of a transmission packet, and 300 attaches a new IP, an SRC self-identification ID, and a DST self-identification ID to a packet from 100. It generates the key for encryption, signature verification, and encrypts the real IP and payload to 400. 400 transmits the packet to 600 by decrypting and decrypting the self identification ID, key, and signature.

본 발명에 따른 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,Self-identification in a network-based network separation environment performed by a security system for disallowing reception of impure packets for the purpose of data security and malicious intention, virus intrusion, hacking, etc. during IP packet data transmission and reception in a network-based network separation environment according to the present invention. In the data protection method using ID,

네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법은Data protection method using self-identification ID in network-based network separation environment

서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,In case of transmitting data between host group A / B in different network separation environment, attaching self identification ID by receiving source ID and destination ID of each packet from host and DNS at sending gateway.

송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계, Generating a key for secure encryption and decryption of the transmission / reception data, Signature verification step for checking the stability of the key for encryption and decryption of the transmission / reception data,

각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계, NEW IP addition step to add new IP to protect each packet routing and existing IP,

해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,A transmission step for transmitting the corresponding IP packet data to the receiving security gateway;

수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 한다.The data security and security management of data protection and monitoring consists of an authentication step for verifying the self-identification ID of the sending and receiving side at the receiving security gateway, and a revocation step for disallowing and discarding data that does not include the self-identifying ID. do.

상기 데이터 보안은,The data security,

출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함한다.At least one of a source IP, a destination IP, a self-identifying ID of a transmitting host, a self-identifying ID of a receiving host, a key, signature verification, ID authentication, and a new IP.

또한,In addition,

상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시킨다.When transmitting the data to the receiving security gateway, the received data is analyzed, monitored, detected and allowed or discarded.

또한, 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,In addition, as a data protection system using a self-identification ID in a network-based network separation environment including a self-identification and encryption between the transmitting network and the receiving network receiving the data in a network separation environment,

네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템은In the network-based network separation environment, data protection system using self-identification ID

암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함한다.Security gateway portion for transmission / reception data transmission such as encryption and self identification ID, signature verification, ID authentication, new IP assignment, DNS portion for receiving self identification ID information, and host portion which is a transmission / reception PC group.

상기 보안게이트웨이부는,The security gateway unit,

상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송한다.Security data including at least one of a new IP, a self identification ID, a key, encryption, decryption, signature verification, ID authentication, source IP, and destination IP of the data is transmitted.

또한, 상기 DNS부, 송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성한다.In addition, the self-identification ID association information for the source IP, the destination IP, etc. for providing the self-identification ID information of the DNS unit and the transmitting / receiving host to the security gateway unit is generated.

또한, 상기 호스트부, 데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함한다.The host unit includes a transmitting host unit for transmitting data and a receiving host unit for receiving data.

본 발명에 의하면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널을 맺기 위한 네트워크 점유율 가져야 하는 문제점을 해결하고, 악의적 패킷을 발생시켜 해킹 및 바이러스 침투의 목적을 원천 차단할 수 있으며, 전송되는 자료의 암호화를 통한 데이터 보호 및 감시 등의 데이터 보안과 보안 관리가 가능하다다.According to the present invention, it is possible to solve the problem of having a network share for establishing a regular tunnel of a conventional VPN method in a network separation environment of a work network and an external network, and generate a malicious packet to block the purpose of hacking and virus intrusion. In addition, data security and security management such as data protection and monitoring through encryption of transmitted data are possible.

본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.According to the present invention, since data is transmitted between the work network and the external network, the data is protected and encrypted even if the transmitted data is leaked to the outside.

또한, 망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.In addition, when an external impure packet flows into a relay area in a network separation environment, the receiving side can be regarded as an impure packet through self-identification ID and key verification and discarded to prevent hacking and virus intrusion.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The foregoing description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허 청구범위의 의미 및 범위, 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents are included in the scope of the present invention. Should be.

100 : 송신 호스트부
200 : DNS부(A)
300 : 송신 보안게이트웨이부
400 : 수신 보안게이트웨이부
500 : DNS부(B)
600 : 수신 호스트부100: sending host section
200: DNS unit (A)
300: transmission security gateway
400: reception security gateway unit
500 DNS part (B)
600: receiving host unit

Claims (7)

네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,
서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,
송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계,
각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계,
해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,
수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 하는 것을 특징으로 하고 ,
상기 데이터 보안은,
출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함하고,
상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시키는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법.Data using self-identification ID in network-based network separation environment performed by security system that disallows reception of impure packets for the purpose of data security and malicious intention, virus intrusion, hacking, etc. In the protection method,
In case of transmitting data between host group A / B in different network separation environment, attaching self identification ID by receiving source ID and destination ID of each packet from host and DNS at security gateway of sending side,
Generating a key for secure encryption and decryption of the transmission / reception data, Signature verification step for checking the stability of the key for encryption and decryption of the transmission / reception data,
NEW IP addition step to add new IP to protect each packet routing and existing IP,
A transmission step for transmitting the corresponding IP packet data to the receiving security gateway;
The data security and security management of data protection and monitoring consists of an authentication step for verifying the self-identification ID of the sending and receiving side at the receiving security gateway, and a revocation step for disallowing and discarding data that does not include the self-identifying ID. Characterized in that,
The data security,
At least one of a source IP, a destination IP, a self-identifying ID of a sending host, a self-identifying ID of a receiving host, a key, signature verification, ID authentication, and a new IP,
A method of protecting data using a self-identifying ID in a network-based network separation environment that analyzes, monitors, detects, permits or discards the received data when transmitting the data to a receiving security gateway. 삭제delete 삭제delete 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,
암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함하는 것을 특징으로 하고,
상기 보안게이트웨이부는,
상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송하는 것을 특징으로 하고,
상기 DNS부는
송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성하고,
상기 호스트부는
데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템.


As a data protection system using a self identification ID in a network-based network separation environment including self identification and encryption between a transmitting network transmitting data in a network separation environment and a receiving network receiving data,
Security gateway part for transmission / reception data transmission such as encryption and self identification ID, signature verification, ID authentication, new IP assignment, DNS part for receiving self identification ID information, and host part which is a sending / receiving PC group. With
The security gateway unit,
And transmitting secure data including at least one of a new IP, a self identification ID, a key, encryption, decryption, signature verification, ID authentication, a source IP, and a destination IP of the data,
The DNS unit
Generate self-identification ID association information for source IP and destination IP for providing self-identification ID information of the transmitting / receiving host to the security gateway;
The host unit
A data protection system using a self-identification ID in a network-based network separation environment comprising a transmitting host for transmitting data and a receiving host for receiving data.


삭제delete 삭제delete 삭제delete
KR1020180021798A 2018-02-23 2018-02-23 Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment KR102050249B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180021798A KR102050249B1 (en) 2018-02-23 2018-02-23 Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180021798A KR102050249B1 (en) 2018-02-23 2018-02-23 Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment

Publications (2)

Publication Number Publication Date
KR20190101608A KR20190101608A (en) 2019-09-02
KR102050249B1 true KR102050249B1 (en) 2019-11-29

Family

ID=67951434

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180021798A KR102050249B1 (en) 2018-02-23 2018-02-23 Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment

Country Status (1)

Country Link
KR (1) KR102050249B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112865975A (en) * 2019-11-12 2021-05-28 中国电信股份有限公司 Message security interaction method and system, and signaling security gateway device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924951B1 (en) * 2008-05-09 2009-11-06 국방과학연구소 Network Interworking Security Gateway Apparatus and Method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170111305A (en) * 2016-03-27 2017-10-12 (주)이센티아 A network bridging method and computer network system thereof seamlessly supporting UDP protocols between the separated networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924951B1 (en) * 2008-05-09 2009-11-06 국방과학연구소 Network Interworking Security Gateway Apparatus and Method

Also Published As

Publication number Publication date
KR20190101608A (en) 2019-09-02

Similar Documents

Publication Publication Date Title
Iqbal et al. Security issues in software defined networking (SDN): risks, challenges and potential solutions
Radivilova et al. Decrypting SSL/TLS traffic for hidden threats detection
US9210128B2 (en) Filtering of applications for access to an enterprise network
Oniga et al. Analysis, design and implementation of secure LoRaWAN sensor networks
Bello et al. On sustained zero trust conceptualization security for mobile core networks in 5g and beyond
CN103875226A (en) System and method for host-initiated firewall discovery in a network environment
US11658944B2 (en) Methods and apparatus for encrypted communication
EP4236206A2 (en) Actively monitoring encrypted traffic by inspecting logs
CN111988289B (en) EPA industrial control network security test system and method
US10841840B2 (en) Processing packets in a computer system
Rahman et al. Security attacks on wireless networks and their detection techniques
Oniga et al. A secure LoRaWAN sensor network architecture
US20220038478A1 (en) Confidential method for processing logs of a computer system
Laghari et al. ES-SECS/GEM: An efficient security mechanism for SECS/GEM communications
KR102050249B1 (en) Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment
US10812506B2 (en) Method of enciphered traffic inspection with trapdoors provided
Pandya et al. Framework for securing SDN southbound communication
KR20130085473A (en) Encryption system for intrusion detection system of cloud computing service
Terkawi et al. Major impacts of key reinstallation attack on Internet of Things system
KR101979157B1 (en) Non-address network equipment and communication security system using it
HASHIYANA et al. Design and Implementation of an IPSec Virtual Private Network: A Case Study at the University of Namibia
Garg Wireless Network Security Threats
Yu et al. Detection and defense against network isolation attacks in software‐defined networks
Lacroix et al. Vehicular ad hoc network security and privacy: A second look
Manale et al. Security of communication 5G-V2X: A proposed approach based on securing 5G-V2X based on Blockchain

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant