KR102184757B1 - Network hidden system and method - Google Patents

Network hidden system and method Download PDF

Info

Publication number
KR102184757B1
KR102184757B1 KR1020190155143A KR20190155143A KR102184757B1 KR 102184757 B1 KR102184757 B1 KR 102184757B1 KR 1020190155143 A KR1020190155143 A KR 1020190155143A KR 20190155143 A KR20190155143 A KR 20190155143A KR 102184757 B1 KR102184757 B1 KR 102184757B1
Authority
KR
South Korea
Prior art keywords
network
client terminal
node
fake
packet
Prior art date
Application number
KR1020190155143A
Other languages
Korean (ko)
Inventor
박형순
Original Assignee
주식회사 스텔스솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 스텔스솔루션 filed Critical 주식회사 스텔스솔루션
Priority to KR1020190155143A priority Critical patent/KR102184757B1/en
Application granted granted Critical
Publication of KR102184757B1 publication Critical patent/KR102184757B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • H04L67/2814
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention provides a network concealment system that hides an IP address and port information of a network connecting communication between a client terminal and a server so that information related to the network to be accessed is not seen from the outside, and a method thereof. To this end, the system comprises: a client terminal which attempts to connect using a fake IP that has no relation to an actual IP of the network when attempting to connect to the desired server through the network; and a virtual perimeter (VP) manager for creating VPs between the client terminal and the network, and directly connecting the created VPs to the fake IP obtained by the client terminal in an end to end signaling method to allow access to the network through the VP even if the client terminal tries to route to the fake IP.

Description

네트워크 은닉 시스템 및 방법{NETWORK HIDDEN SYSTEM AND METHOD}Network hiding system and method {NETWORK HIDDEN SYSTEM AND METHOD}

본 발명은 네트워크 은닉 시스템 및 방법에 관한 것으로, 보다 상세하게는 클라이언트 단말과 서버간 통신을 연결하는 네트워크의 IP주소와 포트 정보를 은닉하여 외부에서는 접속하고자 하는 네트워크의 정보가 전혀 보이지 않게 하는 네트워크 은닉 시스템 및 방법에 관한 것이다. The present invention relates to a network concealment system and method, and more particularly, a network concealment that hides the IP address and port information of a network connecting communication between a client terminal and a server so that no information of a network to be accessed from outside is visible. It relates to systems and methods.

급속도로 발전한 초고속 인터넷망과 기술의 진보로 인해, 최근 들어, 자동차, 기계, 가정용 어플라이언스 등 전세계의 모든 디바이스들을 상호 연결할 수 있는 초연결시대를 맞이하고 있으며, 이에 부합하여 업무환경 또한 스마트하게 구축되어 가고 있다.Due to the rapid development of high-speed Internet networks and technological advances, in recent years, we are in the era of hyper-connectivity that can interconnect all devices around the world, such as automobiles, machines, and home appliances, and in accordance with this, the work environment is also built smart. I'm going.

컴퓨터 디바이스를 이용하여 기존의 IP를 이용한 이더넷 네트워크는 개방성의 취약점을 가지고 있어서 데이터와 시스템에 대한 보안 위협이 그 어느 때보다 큰 상황으로 문제되고 있다. 정상적인 사용자뿐만 아니라 해커 등 악의적인 사용자의 접근도 용이할 뿐만 아니라, 내부 네트워크에 접속한 후에는 내부 네트워크에 연결되어 있는 모든 서버에의 접근이 가능하게 되므로 보안상 커다란 취약점을 갖고 있을 수 밖에 없다. The existing Ethernet network using IP using a computer device has a vulnerability of openness, so security threats to data and systems are becoming more problematic than ever. Not only normal users but also malicious users such as hackers can easily access, and after accessing the internal network, access to all servers connected to the internal network is possible, so it has a huge vulnerability in terms of security.

예컨대 도 1을 참조하면, 단말이 네트워크를 통해 특정 서버에 접속하는 예가 도시되어 있다. 일반적으로 단말은 IP주소를 통해 네트워크에 접속하고 접속에 성공한 단말은 해당 네트워크를 통해 특정 서버와 패킷 데이터를 송수신하게 된다. For example, referring to FIG. 1, an example in which a terminal accesses a specific server through a network is illustrated. In general, a terminal accesses a network through an IP address, and a terminal that successfully accesses transmits and receives packet data with a specific server through the network.

이때, IP는 단말이 네트워크에 접속할 때 할당되는 고유 네트워크 주소인데, 이 주소가 노출되면 각종 해킹 기법을 이용해 공격자가 침입할 여지가 생긴다. 즉, 해킹을 목적으로 접근한 공격자가 패킷 캡쳐를 하게 되면 해당 단말이 접속한 IP주소를 쉽게 찾게 되고 이를 도용할 수가 있다(①, ②). At this time, the IP is a unique network address assigned when the terminal accesses the network, and if this address is exposed, there is room for an attacker to invade using various hacking techniques. In other words, if an attacker who has accessed for hacking purposes captures a packet, it is easy to find the IP address to which the corresponding terminal is connected and can steal it (①, ②).

더욱이, 접속에 성공한 단말은 네트워크에 항상 접속된 상태로 유지할 수 있고 네트워크에 연결되어 있는 모든 서버로의 접근이 용이한데, 즉 단말이 네트워크에 접속된 상태에서는 공격자의 접근 또한 쉽고 이의 공격 위험에 노출될 가능성이 크다는 문제점이 있다(③).Moreover, the successful connection terminal can always remain connected to the network, and access to all servers connected to the network is easy. That is, when the terminal is connected to the network, the attacker's access is also easy and exposed to the risk of attack. There is a problem that it is highly likely to be (③).

이와 같이 시대의 변화에 따른 사이버 보안 문제에 대응하기 위해 위험 가능한 요소들을 심도 깊게 분석해서 적극 대응할 필요가 대두되고 있다. 이러한 위협 요소 중 가장 치명적이며 심각한 부분은 당연히 네트워크망 자체에 있고 지능화된 위협에 대응되는 방안이 요구되고 있다. In this way, in order to cope with the cybersecurity problems according to the changing times, it is necessary to actively respond by analyzing possible risk factors in depth. Of course, the most fatal and serious part of these threats is in the network itself, and measures to respond to advanced threats are required.

대한민국 공개특허공보 제10-2015-0089900호Republic of Korea Patent Publication No. 10-2015-0089900

본 발명은 상기와 같은 문제점을 해결하고 지능화된 공격에 대한 강력한 대응수단의 하나로서, 인증된 단말에 한하여 특정 네트워크로의 접근을 허용하되, 특정 네트워크에 대한 IP 주소와 포트 정보를 은닉하여 패킷 데이터를 송수신함으로써 외부에서는 접속하고자 하는 네트워크에 대한 주소와 포트정보가 전혀 보이지 않도록 하여 공격자의 해킹 공격을 차단하는 데 목적이 있다. The present invention is one of the powerful countermeasures against the above problems and intelligent attacks, allowing access to a specific network only to authenticated terminals, but concealing IP address and port information for a specific network to provide packet data The purpose of this is to prevent hacking attacks by attackers by making sure that the address and port information about the network to be accessed is not seen from outside by sending and receiving.

본 발명은 고가이면서 복잡한 유지비용이 요구되는 별도의 라이브러리나 모듈을 설치할 필요가 없고 간단한 에이전트(agent)를 구동함으로써 네트워크 상에서 정보를 효과적으로 은닉하는 것을 목적으로 한다. An object of the present invention is to effectively hide information on a network by running a simple agent without the need to install a separate library or module that is expensive and requires complex maintenance costs.

본 발명은 기존의 인터넷 인프라를 그대로 활용하면서도 비신뢰적인 통신망으로부터 내부의 신뢰적인 통신망을 보호하기 위한 효과적인 방법을 제시하고자 한다. The present invention is to provide an effective method for protecting an internal trusted communication network from an unreliable communication network while using the existing Internet infrastructure as it is.

또한, 기존의 보안 전략들은 해커가 대상에 대한 정보를 취득하여 시스템 취약점을 찾을 수 있는 빌미를 주었고 결과적으로 수동적이면서 임기응변적 방어책만을 강구하는 것에 주된 보안 전략이었다면, 본 발명은 발상의 전환으로 아예 모든 정보 제공을 차단하고, 실제 주소 은닉과 가상 서버의 이용을 이용한 이중 가상화 기술을 도입하여 네트워크의 노드들을 보다 안정적이고 효과적으로 숨김으로써 공격자의 접속과 취약점 분석 행위를 무력화시키고 접근을 원천 차단하는 데 있다.In addition, the existing security strategies gave the hacker the incentive to find system vulnerabilities by acquiring information on the target. As a result, if the main security strategy was to seek only passive and ad hoc defense measures, the present invention is a change of ideas. It blocks the provision of information and hides the nodes of the network more reliably and effectively by introducing dual virtualization technology using real address concealment and the use of virtual servers, thereby incapacitating the attacker's access and vulnerability analysis behavior and blocking access to the source.

이를 위하여 본 발명의 실시예에 따른 네트워크 은닉 시스템은, 네트워크를 통해 원하는 서버로 연결을 시도할 때 상기 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 이용하여 연결을 시도하는 클라이언트 단말; 상기 클라이언트 단말과 상기 네트워크 사이에 가상 경계(Virtual Perimeter; VP)들을 생성하며, 생성된 가상 경계들을 상기 클라이언트 단말이 획득한 가짜 IP와 엔드 투 엔드(end to end singnaling) 방식으로 직접 연결하여 상기 클라이언트 단말이 상기 가짜 IP로 라우팅을 시도하더라도 상기 가상 경계를 통해 상기 네트워크에 접근할 수 있도록 하는 VP 매니저를 포함한다. To this end, a network concealment system according to an embodiment of the present invention includes a client terminal that attempts to connect using a fake IP that is not related to an actual IP of the network when attempting to connect to a desired server through a network; Virtual Perimeters (VPs) are created between the client terminal and the network, and the generated virtual boundaries are directly connected to the fake IP obtained by the client terminal in an end-to-end singnaling method, and the client It includes a VP manager that allows the terminal to access the network through the virtual boundary even if the terminal attempts to route to the fake IP.

또한, 본 발명의 실시예에 따른 네트워크 은닉 시스템은, 상기 네트워크에 구성된 적어도 하나 이상의 노드들에 대하여 각 노드의 IP와 포트정보를 주기적으로 동적 변경하는 노드 매니저를 더 포함하여, 상기 클라이언트 단말이 상기 네트워크를 매개로 서버와 연결이 유지된 이후에도 상기 네트워크의 IP와 포트정보를 동적 변경하여 공격자의 접속 및 칩임을 방지한다. In addition, the network concealment system according to an embodiment of the present invention further comprises a node manager that periodically dynamically changes IP and port information of each node for at least one or more nodes configured in the network, wherein the client terminal Even after the connection with the server is maintained through the network, the IP and port information of the network is dynamically changed to prevent the attacker's access and chipping.

또한, 본 발명의 실시예에 따른 네트워크 은닉 시스템은, 상기 네트워크에 구성된 적어도 하나 이상의 노드들 내에 구현되며, 기 저장된 매핑 정보를 참조하여, 상기 클라이언트 단말로부터 상기 가상 경계를 경유하여 전달된 패킷의 가짜 IP를 상기 매핑 정보에 매핑되어 있는 해당 노드 자신의 IP로 변경하는 IP 매핑부를 더 포함할 수 있다. In addition, the network concealment system according to an embodiment of the present invention is implemented in at least one or more nodes configured in the network, and by referring to the previously stored mapping information, a fake packet transmitted from the client terminal through the virtual boundary It may further include an IP mapping unit for changing the IP to the corresponding node's own IP mapped to the mapping information.

한편, 본 발명의 실시예에 따른 네트워크 은닉 방법은, 네트워크를 통해 클라이언트 단말과 서버간 통신을 연결하기 위한 방법으로서, 상기 클라이언트 단말이 상기 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 획득하는 단계; 상기 클라이언트 단말이 상기 네트워크를 통해 원하는 서버로 연결을 시도할 때 상기 획득한 가짜 IP를 통해 연결을 시도하는 단계; 상기 클라이언트 단말 내 VP 매니저가 상기 클라이언트 단말과 상기 네트워크 사이에 가상의 인터페이스를 제공하기 위한 가상 경계(Virtual Perimeter; VP)들을 생성하는 단계; 상기 VP 매니저가 상기 단계에서 생성된 가상 경계들을 상기 클라이언트 단말이 획득한 가짜 IP와 엔드 투 엔드(end to end singnaling) 방식으로 연결하여 상기 클라이언트 단말이 상기 가짜 IP를 이용하여 가상 경계로 라우팅을 시도하는 단계를 포함한다. On the other hand, the network concealment method according to an embodiment of the present invention is a method for connecting communication between a client terminal and a server through a network, wherein the client terminal obtains a fake IP that has no relation to the actual IP of the network. Obtaining; Attempting to connect through the acquired fake IP when the client terminal attempts to connect to a desired server through the network; Generating, by a VP manager in the client terminal, virtual perimeters (VPs) for providing a virtual interface between the client terminal and the network; The VP manager connects the virtual boundaries created in the step with the fake IP acquired by the client terminal in an end-to-end singnaling method, and the client terminal attempts to route to the virtual boundary using the fake IP. It includes the step of.

이러한 본 발명에 따르면, 해킹 대상이 되는 접속 정보(IP주소)를 아예 볼 수 없도록 은닉하여 외부에 네트워크의 IP 및 포트 정보를 노출시키지 않고서도 클라이언트 단말과 서버간 패킷 전달이 가능하게 됨으로써 사이버 공격을 원천적으로 차단하는 효과가 있다. 즉, 해커 등 악의적인 사용자의 접근을 어렵게 하여 사이버보안을 강화할 수 있는 효과가 있다.According to the present invention, it is possible to transmit packets between the client terminal and the server without exposing the IP and port information of the network to the outside by concealing the access information (IP address) to be hacked at all, thereby preventing cyber attacks. It has a fundamental blocking effect. That is, there is an effect of reinforcing cybersecurity by making it difficult for malicious users such as hackers to access.

특히, 본 발명에 따르면 이중 가상화를 통해 즉, 가짜 IP만을 이용하여 접속하게 하는 동시에 이차적으로 가상의 네트워크를 통해 통신을 수행함으로써 외부에서 외부 공격을 원천적으로 차단할 수 있는 효과가 있다. In particular, according to the present invention, it is possible to fundamentally block external attacks from the outside by allowing access through double virtualization, that is, using only fake IPs, and performing communication through a virtual network secondarily.

또한, 본 발명에 따르면 단말이 네트워크를 통해 서버에 연결이 유지된 상태에서도 네트워트의 경로를 파악할 수 있는 노드 IP와 포트정보를 주기적으로 동적 변경함으로써 공격자가 가짜 IP를 캡쳐하여 접근하더라도 변경 전 노드 IP와 포트정보를 가지고 접근하게 되므로 이를 차단할 수 있는 효과가 있다. 이로써, 외부 공격을 원천적으로 차단할 수 있다는 현저한 효과가 있다.In addition, according to the present invention, even if the terminal is connected to the server through the network, the node IP and port information that can identify the route of the network are periodically dynamically changed, even if the attacker captures and accesses the fake IP, the node IP before the change Since access is made with the and port information, there is an effect of blocking it. Thereby, there is a remarkable effect that external attacks can be fundamentally blocked.

또한, 본 발명에 따르면 기존 은닉 서버와 호스트 클라이언트에 별도의 라이브러리나 모듈을 설치할 필요가 없고 기존 은닉 서버 또는 클라이언트를 수정하지 않고도 네트워크 상에서 은닉 서버의 정보를 효과적으로 은닉할 수 있다. Further, according to the present invention, there is no need to install separate libraries or modules in the existing hidden server and the host client, and information of the hidden server can be effectively hidden on the network without modifying the existing hidden server or client.

또한, 본 발명에 따르면 클라이언트 단말과 서버간 통신을 연결하기 위해서 고가이면서 복잡한 유지비용이 요구되는 별도의 라이브러리나 모듈을 설치할 필요가 없고 간단한 에이전트(agent)를 구동함으로써 네트워크 상에서 정보를 효과적으로 은닉할 수 있다. In addition, according to the present invention, there is no need to install a separate library or module that requires expensive and complex maintenance costs to connect communication between a client terminal and a server, and by running a simple agent, information can be effectively hidden on the network. have.

도 1은 일반적인 이더넷 기반 네트워크의 문제점을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 네트워크 은닉 시스템을 나타낸 구성도이다.
도 3은 본 발명의 실시예에 따른 네트워크 은닉 시스템을 통해 클라이언트 단말과 네트워크간 패킷 전달 과정을 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 노드 매니저에서 노드의 IP와 포트정보를 동적 변경하는 예를 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 단말에서의 패킷 전달 과정을 설명하기 위한 도면이다. 1 is a diagram illustrating a problem of a general Ethernet-based network.
2 is a block diagram showing a network concealment system according to an embodiment of the present invention.
3 is a diagram illustrating a packet transfer process between a client terminal and a network through a network concealment system according to an embodiment of the present invention.
FIG. 4 is a diagram for explaining an example of dynamically changing IP and port information of a node in a node manager according to an embodiment of the present invention.
5 is a diagram illustrating a packet delivery process in a terminal according to an embodiment of the present invention.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상에 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다. The terms or words used in the specification and claims should not be construed as being limited to their usual or dictionary meanings, and the inventor may appropriately define the concept of terms in order to describe his own invention in the best way. It should be interpreted as a meaning and concept consistent with the technical idea of the present invention based on the principle that there is. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are only the most preferred embodiments of the present invention, and do not represent all the technical spirit of the present invention, and thus various alternatives that can be substituted for them at the time of application It should be understood that there may be equivalents and variations.

또한, 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.In addition, the singular expression used in the present specification includes a plurality of expressions unless the context clearly indicates otherwise. In the present application, terms such as "consist of" or "include" should not be construed as necessarily including all of the various elements or various steps described in the specification, and some of the elements or some steps It may not be included, or it should be interpreted that it may further include additional elements or steps.

특히, 본 명세서에서, "~부" 및 "~ 모듈" 이라는 용어는 하드웨어적 구분을 의미하는 용어로 사용된 것이 아니다. 따라서 복수의 구성부가 하나의 구성부로 통합될 수도 있고, 하나의 구성부가 복수의 구성부로 분할될 수도 있다. 또한, 구성부는 하드웨어의 구성부를 의미할 수도 있지만, 소프트웨어의 구성부를 의미할 수도 있다. 따라서 본 발명은 "~부"라는 용어에 의해 특별히 한정되지 않음을 이해하여야 할 것이다.In particular, in this specification, the terms "~ unit" and "~ module" are not used as terms that mean hardware division. Therefore, a plurality of components may be integrated into one component, or one component may be divided into a plurality of components. Further, the configuration unit may mean a configuration unit of hardware, but may also mean a configuration unit of software. Therefore, it will be understood that the present invention is not particularly limited by the term "~ unit".

이하, 본 발명의 구체적인 실시예를 첨부된 도면을 참조하여 상세히 설명하도록 한다. Hereinafter, specific embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 실시예에 따른 네트워크 은닉 시스템을 나타낸 구성도이다.2 is a block diagram showing a network concealment system according to an embodiment of the present invention.

본 발명의 실시예에 따른 네트워크 은닉 시스템은 도 2에 도시한 바와 같이 클라이언트 단말(100), 가상 경계(Virtual Perimeter; VP)(200), 서버(400), 클라이언트 단말(100)과 서버(400)간 통신을 연결하기 위한 네트워크의 구성들(300, 310, 320)을 포함한다. A network concealment system according to an embodiment of the present invention includes a client terminal 100, a virtual perimeter (VP) 200, a server 400, a client terminal 100, and a server 400 as shown in FIG. ) Including network configurations (300, 310, 320) for connecting communication.

클라이언트 단말(100)은 서버(400)에 접속하여 임의의 서비스를 제공받는 사용자 또는 사용자의 단말을 의미한다. 클라이언트 단말(100)은 네트워크를 통해 원하는 서버(400)로 연결을 시도한다. The client terminal 100 refers to a user or a terminal of a user who accesses the server 400 and receives a service. The client terminal 100 tries to connect to a desired server 400 through a network.

이때, 클라이언트 단말(100)은 네트워크의 IP를 이용하여 연결을 시도하지 않고, 네트워크의 IP와 전혀 관계없는 가짜 IP(fake IP)를 이용하여 연결을 시도한다. 본 발명에서 가짜 IP는 실제 클라이언트 단말(100)과 네트워크 간의 네트워크 상에 전혀 존재하지 않는 가상의 주소를 의미한다. 이는 실제 IP가 아닌 허위 정보를 노출하여 외부에 네트워크 접속과 관련하여 어떠한 IP나 포트 정보가 보이지 않게 하기 위함이다. 즉, 네트워크의 실제 IP와 포트정보를 은닉하기 위함이다. At this time, the client terminal 100 does not attempt to connect using the IP of the network, but attempts to connect using a fake IP that has no relation to the IP of the network. In the present invention, the fake IP refers to a virtual address that does not exist on the network between the actual client terminal 100 and the network. This is to expose false information, not real IP, so that any IP or port information related to network access is not visible to the outside. In other words, it is to hide the actual IP and port information of the network.

이를 위해 클라이언트 단말(100)의 가짜 IP 획득부(110)는 별도의 외부 서버로부터 가짜 IP를 제공받을 수 있다. 가짜 IP는 별도의 인증 채널을 가진 외부 서버에 의해 운영되는데, 클라이언트 단말(100)의 가짜 IP획득부(110)는 외부 서버에서 생성된 가짜 IP를 외부 서버로부터 제공받게 된다. 구체적으로, 클라이언트 단말(100)이 외부 서버로부터 주기적으로 기 설정된 가짜 IP를 제공받거나, 세션(session) 형태의 키 교환 방식으로 서버와 동기화하여 가짜 IP를 제공받을 수 있다. 또는, Pre-Config 방식으로 사전에 미리 고정으로 정의해서 사용하는 등 다양한 방법을 사용할 수 있다. To this end, the fake IP acquisition unit 110 of the client terminal 100 may receive a fake IP from a separate external server. The fake IP is operated by an external server having a separate authentication channel, and the fake IP acquisition unit 110 of the client terminal 100 receives the fake IP generated by the external server from the external server. Specifically, the client terminal 100 may periodically receive a preset fake IP from an external server, or may receive a fake IP by synchronizing with the server through a key exchange method in the form of a session. Alternatively, various methods can be used, such as pre-configured and fixed in advance.

가상 경계(200)는 클라이언트 단말(100)과 네트워크 사이의 경계에 구축되는 가상의 네트워크를 의미한다. The virtual boundary 200 refers to a virtual network built at the boundary between the client terminal 100 and the network.

본 실시예에서 가상 경계(200)는 네트워크의 이동 방식 중 리다이렉트(Redirect) 이동 방식을 기반으로 네트워크 연결을 가상화하는데, 이를 통해 클라이언트 단말(100)로부터 전송되는 패킷은 리다이렉트 방식에 의해 이중 가상화된 형태로 네트워크의 노드(300)로 전송되고, 네트워크의 노드(300)로부터 전달받은 패킷은 다시 가상의 네트워크를 통해 해당 클라이언트 단말(100)로 전송된다. In this embodiment, the virtual boundary 200 virtualizes a network connection based on a redirect movement method among network movement methods. Through this, a packet transmitted from the client terminal 100 is double virtualized by a redirect method. The packet is transmitted to the node 300 of the network and transmitted from the node 300 of the network is transmitted to the corresponding client terminal 100 through the virtual network.

이러한 가상 경계(200)는 클라이언트 단말(100)로부터 전송되는 패킷과 일대일 대응으로 매핑될 수 있는 가상의 네트워크 경로를 제공한다. 따라서, 가상 경계(200)는 별도의 서버를 구축하지 않아도 기존 네트워크를 확장할 수 있는 장점이 있다. The virtual boundary 200 provides a virtual network path that can be mapped in a one-to-one correspondence with a packet transmitted from the client terminal 100. Therefore, the virtual boundary 200 has an advantage of being able to expand an existing network without building a separate server.

특히, 가상 경계(200)는 해킹 단말에서 네트워크의 노드들에 접근할 수 있는 네트워크망을 분리할 수 있도록 구성할 수 있다. 예를 들어, 가상 경계(200)는 디바이스와 특정 업무서버 상호간을 엔드 투 엔드 방식으로 연결시켜 단말을 이용하여 접근할 수 있는 네트워크 노드들을 가상 경계(200)를 통한 인증 단말만 연결될 수 있도록 한정함으로써, IP 매핑이 형성되어 있지 않은 다른 노드들에 접근할 수 있는 네트워크망과는 분리할 수 있게 된다. 결국 기업이나 조직의 기관 단위별, 또는 서비스 단위별로 전용 가상 경계를 형성할 수 있다. In particular, the virtual boundary 200 may be configured to separate a network network capable of accessing nodes of a network from a hacking terminal. For example, the virtual boundary 200 connects the device and a specific business server in an end-to-end manner to limit network nodes that can be accessed using the terminal so that only the authentication terminal through the virtual boundary 200 can be connected. In addition, it can be separated from the network network that can access other nodes that do not have IP mapping. Eventually, a dedicated virtual boundary can be formed for each institutional unit of a company or organization or for each service unit.

또한, 가상 경계(200)는 NAT(Network Address Translation; 주소 변환기), 필터링(filtering) 구성을 포함한다. 필터링(filtering)은 패킷을 걸러 내는 즉 없애는(거부하는) 기능을 담당하므로 주로 방화벽을 구축하는데 사용된다. NAT는 패킷의 내용 즉 주소, 포트번호 등을 변경하여 기존 방화벽, VPN, IPS 등 하드웨어 기반의 경계 경계(Perimeter)를 가상의 소프트웨어 형태로 구성하는 데 사용된다.In addition, the virtual boundary 200 includes a network address translation (NAT) and filtering configuration. Filtering is mainly used to build firewalls because it is responsible for filtering out (rejecting) packets. NAT is used to configure hardware-based perimeters such as firewalls, VPNs, and IPSs in a virtual software form by changing the contents of packets, that is, addresses and port numbers.

클라이언트 단말(100)의 VP 매니저(120)는 이러한 가상 경계(200)들을 생성하며, 생성된 가상 경계들을 클라이언트 단말(100)이 획득한 가짜 IP와 엔드 투 엔드(end-to-end signaling) 방식으로 직접 연결하여 클라이언트 단말(100)이 가짜 IP로 라우팅을 시도하더라도 가상 경계(200)를 통해 네트워크에 접속할 수 있도록 제공한다.The VP manager 120 of the client terminal 100 creates these virtual boundaries 200, and the generated virtual boundaries are acquired by the client terminal 100 and a fake IP and an end-to-end signaling method. Even if the client terminal 100 attempts to route to a fake IP by directly connecting to, it provides access to the network through the virtual boundary 200.

즉, VP 매니저(120)는 클라이언트 단말(100)로부터 서버에의 연결이 시도되면 가짜 IP 획득부(110)에서 획득한 가짜 IP로 커널(kernel) 레벨에서 리다이렉트(redirect)가 이루어진다. VP 매니저(120)의 패킷 리다이렉트는 단말 내 커널 디바이스 모듈을 거쳐 이루어지는데, 이때 커널 디바이스 모듈에 남아있는 커널 정보가 접속 로그를 추적할 수 있는 근거가 될 수 있다. 따라서, 클라이언트 단말(100)은 단말 내 IP mapper를 통해 VP 매니저(120)의 리다이렉트 방식에 의해 수신한 노드 IP로 주소변환을 수행함으로써 커널정보를 변경할 수 있다. That is, when the connection to the server from the client terminal 100 is attempted, the VP manager 120 performs a redirect to the fake IP obtained by the fake IP acquisition unit 110 at the kernel level. Packet redirection of the VP manager 120 is performed through a kernel device module in the terminal, and at this time, kernel information remaining in the kernel device module may serve as a basis for tracking the access log. Accordingly, the client terminal 100 may change kernel information by performing address translation to the node IP received by the redirection method of the VP manager 120 through the IP mapper in the terminal.

VP 매니저(120)는 도 2에도시된 바와 같이 클라이언트 단말(100) 상에 구현될 수 있지만, 이에 한정하는 것은 아니며 클라이언트 단말(100)과 분리하여 별도의 에이전트(agent)에 구비될 수도 있다. The VP manager 120 may be implemented on the client terminal 100 as shown in FIG. 2, but is not limited thereto and may be provided in a separate agent separately from the client terminal 100.

네트워크는 하드웨어적으로 네트워크 장비가 포함되며 이를 노드(node)라 한다. 네트워크에는 적어도 하나 이상의 노드들(300)이 구성되어 있고 각 노드들(300)에는 노드 매니저(Node Manager; 310)와 IP 매핑부(320)가 각각 포함된다. The network includes network equipment in hardware, and this is called a node. The network includes at least one or more nodes 300, and each node 300 includes a node manager 310 and an IP mapping unit 320, respectively.

노드 매니저(310)는 각 노드들(300)의 IP와 포트 정보를 Forward 방식과 Redirect 방식을 사용하여 주기적으로 동적 변경한다. 예를 들어, 3초, 2초, 1초 등 일정 시간 간격으로 각 노드의 IP와 포트정보에 대한 동적 변경이 이루어지도록 한다. The node manager 310 dynamically changes IP and port information of each node 300 periodically using a forward method and a redirect method. For example, the IP and port information of each node is dynamically changed at regular intervals such as 3 seconds, 2 seconds, and 1 second.

이때, 노드 매니저(120)는 네트워크 검색을 막기 위해서 ICMP 프로토콜을 막는다. 또한, 노드 매니저(120)는 정책(Policy)을 기반으로 하여 10 초단위 미만으로 IP와 포트에 대한 동적 변경이 이루어지도록 하되, 다른 노드들간 IP 충돌이 일어나지 않게 랜덤하게 변경한다. 또한, 노드 매니저(120)는 기본적으로 서버의 모든 포트를 닫아 놓고 정책에 의해 필요한 포트만을 동적으로 변경하는 '다이나믹 파이어 월' 형태로 동작한다. At this time, the node manager 120 blocks the ICMP protocol to prevent network discovery. In addition, the node manager 120 makes dynamic changes to IP and ports in less than 10 seconds based on a policy, but randomly changes IP collisions between different nodes. In addition, the node manager 120 basically closes all ports of the server and operates in the form of a'dynamic firewall' in which only the ports required by the policy are dynamically changed.

이와 같이, 노드 매니저(310)를 통해 노드의 IP와 포트 정보를 짧은 시간 간격으로 동적 변경하면, 클라이언트 단말(100)이 네트워크를 통해 서버와 연결이 유지된 상태에서도 해당 네트워크의 IP나 포트 정보는 지속적으로 변경되기 때문에 이전 IP나 포트 정보를 해킹하려는 공격을 원천적으로 차단할 수 있는 효과가 있다. 클라이언트 단말(100)이 네트워크를 통해 서버와 접속이 유지된 상태에서는 공격자가 클라이언트 단말(100)의 가짜 IP를 스캔하여 공격을 시도할 수 있는데, 이때 공격자 측에 네트워크를 통해 연결된 서버의 VPN, 도메인 등의 정보가 노출될 우려가 있다. 그러나 상기의 구성에 의해 공격자가 패킷 캡쳐를 통해 접속하더라도 노드의 IP와 포트 정보가 지속적으로 변경되어 이전 IP와 포트정보로 접속하게 되므로 공격자의 접속을 원천 차단할 수 있다. In this way, if the IP and port information of the node is dynamically changed at short time intervals through the node manager 310, the IP or port information of the corresponding network is maintained even when the client terminal 100 is connected to the server through the network. Since it is constantly changed, it has the effect of fundamentally blocking attacks that attempt to hack previous IP or port information. When the client terminal 100 is connected to the server through the network, the attacker can scan the fake IP of the client terminal 100 and attempt an attack. At this time, the VPN and domain of the server connected to the attacker through the network There is a risk of information such as being exposed. However, with the above configuration, even if an attacker accesses through packet capture, the IP and port information of the node is continuously changed and the access is made to the previous IP and port information, so that the attacker's access can be blocked at the source.

구체적으로, 앞서 기술한 네트워크의 IP와 포트를 동적 변경하는 방법에 대해서는 하기의 도 4에서 설명한다.Specifically, a method of dynamically changing the IP and port of the network described above will be described in FIG. 4 below.

다시 도 2를 참조하면, IP 매핑부(320)는 네트워크에 구성된 적어도 하나 이상의 노드들(300) 내에 구현되며, 기 저장된 매핑 정보에 참조하여 IP 변환을 수행한다. Referring back to FIG. 2, the IP mapping unit 320 is implemented in at least one or more nodes 300 configured in a network, and performs IP conversion by referring to previously stored mapping information.

즉, IP 매핑부(320)는 클라이언트 단말(100)로부터 가상 경계(200)를 경유하여 전달된 패킷의 가짜 IP를 기 저장된 매핑 정보에 근거하여 해당 노드 자신의 IP로 변경한다. 이때, 해당 노드 자신의 IP는 노드 매니저(310)를 통해 최근 동적 변경된 IP 정보가 된다. 매핑 정보는 클라이언트 단말(100)이 획득한 가짜 IP와, 노드 매니저(310)를 통해 동적 변경된 각 노드의 IP와 포트정보간을 매핑한 정보를 포함한다. That is, the IP mapping unit 320 changes the fake IP of the packet transmitted from the client terminal 100 via the virtual boundary 200 to the corresponding node's own IP based on the previously stored mapping information. At this time, the IP of the corresponding node itself becomes IP information that has recently been dynamically changed through the node manager 310. The mapping information includes information obtained by mapping between the fake IP obtained by the client terminal 100 and the IP and port information of each node dynamically changed through the node manager 310.

IP 매핑부(320)를 통해 변환된 패킷은 상위 레벨로 전달되고, 노드 매니저(310)는 클라이언트 단말(100)로부터 가상 경계(200)를 경유하여 전달된 패킷에 대하여 노드 자신의 IP인지 판별한다. 노드 자신의 IP는 주기적으로 변경되기 때문에 최근 변경된 IP 주소에 대하여 실시간 확인이 필요하다. 따라서, 노드 매니저(310)는 가상 경계의 라우팅 정보를 참조하여 상기 패킷이 가짜 IP가 포함된 패킷인 경우 노드 자신의 패킷 임을 인식하고 해당 패킷을 상위 레이어로 전달한다. 이후 통신이 가능하게 된다. The packet converted through the IP mapping unit 320 is transmitted to a higher level, and the node manager 310 determines whether the packet transmitted from the client terminal 100 via the virtual boundary 200 is the node's own IP. . Since the node's own IP is periodically changed, it is necessary to check in real time for the recently changed IP address. Accordingly, the node manager 310 refers to the routing information of the virtual boundary and, if the packet is a packet containing a fake IP, recognizes that the packet is a packet of the node itself and transmits the packet to the upper layer. After that, communication becomes possible.

이하 본 발명의 실시예에 따른 네트워크 은닉 시스템에 기초하여 패킷 전달 메커니즘에 대해 설명한다. Hereinafter, a packet forwarding mechanism will be described based on a network concealment system according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 네트워크 은닉 시스템을 통해 클라이언트 단말과 네트워크간 패킷 전달 과정을 나타낸 도면이고, 도 5는 본 발명의 실시예에 따른 단말에서의 패킷 전달 과정을 설명하기 위한 도면이다. 3 is a diagram illustrating a packet delivery process between a client terminal and a network through a network concealment system according to an embodiment of the present invention, and FIG. 5 is a diagram for explaining a packet delivery process in a terminal according to an embodiment of the present invention .

도 5에 도시된 IP주소를 일 예로 도 3을 참조하면, 인증된 클라이언트 단말의 IP주소는 20.20.20.13라 가정한다. 클라이언트 단말 내 어플리케이션(application)은 특정 서비스를 제공하는 서버의 어플리케이션과 통신을 위해 30.30.30.7:22 의 주소:포트로 통신을 시도한다(①). 그러면, 클라이언트 단말 내 VP 매니저(VP Manager)가 위 접속 주소를 기 설정된 가짜 IP(fake IP)인 1.1.1.1:48743의 주소로 변경하여 커널(kernel) 레벨에서 리다이렉트(Redirect)를 수행한다(②,③). VP 매니저의 패킷 리다이렉트(Packet Redirection)는 커널 디바이스 모듈을 통해 수행되며, 이를 통해 가짜 IP를 가진 패킷이 가상 경계를 경유하여 네트워크 노드로 전달된다(④). 가짜 IP인 1.1.1.1는 실제 클라이언트 단말과 서버간의 네트워크 상에는 전혀 존재하지 않는 가상의 주소를 설정하는 것이 좋지만 실제 존재하는 IP를 사용해도 상관없다. Referring to FIG. 3 using the IP address shown in FIG. 5 as an example, it is assumed that the IP address of the authenticated client terminal is 20.20.20.13. The application in the client terminal attempts to communicate with the application of the server that provides a specific service through the address:port of 30.30.30.7:22 (①). Then, the VP Manager in the client terminal changes the above access address to the address of 1.1.1.1:48743, which is a preset fake IP, and performs a redirect at the kernel level (②). ,③). Packet Redirection of the VP manager is performed through the kernel device module, and through this, a packet with a fake IP is transmitted to the network node via a virtual boundary (④). For 1.1.1.1, which is a fake IP, it is recommended to set up a virtual address that does not exist at all on the network between the actual client terminal and the server, but it is okay to use the actual IP.

이후, 네트워크 상에 존재하는 노드의 네트워크 인터페이스까지에는 비록 자신의 대역폭에 해당하는 실제 IP가 아닌 가짜 IP라 하더라도 패킷이 전달된다. 이때, 네트워크 노드에서는 NIC를 통해 패킷이 전달되며(⑤,⑩), IP Mapper가 가짜 IP와 매핑되어 있는 노드 IP를 확인한 후 최근 동적 변경된 노드 자신의 IP인 10.10.10.x로 변경한다(⑥). 변경된 패킷은 OS의 커널의 네트워크 레이어를 따라 application으로 전달된다(⑦). 다음 절차로 application은 패킷이 노드 자신의 IP인지 판단하게 되는데, 미리 설정된 가상 인터페이스의 라우팅 정보를 참조하여 가짜 IP가 포함된 패킷인 경우 자신의 패킷 임을 인식하고 IP계층을 통과하여 상위 레이어로 올라가게 되어 통신이 가능하게 된다. 통신이 연결된 이후, 네트워크 노드는 서버로부터 전달받은 패킷을 해당 클라이언트 단말로 전달하고 이에 응답하여 클라이언트 단말은 전달받은 패킷을 커널 드라이버 모듈을 통해 application으로 전달한다(⑧ 내지 ⑬). 이때, 클라이언트 단말(100)은 도 5에 도시한 것처럼 단말 내 IP mapper를 통해 VP 매니저의 리다이렉트 방식에 의해 수신한 노드 IP로 주소변환(NAT)을 수행함으로써 커널정보를 변경할 수 있다.After that, packets are delivered to the network interface of a node existing on the network even though it is a fake IP, not an actual IP corresponding to its own bandwidth. At this time, the network node transmits the packet through the NIC (⑤,⑩), and after the IP Mapper checks the node IP mapped to the fake IP, it changes to the recently dynamically changed node's own IP, 10.10.10.x (⑥ ). The changed packet is delivered to the application along the network layer of the OS kernel (⑦). In the next procedure, the application determines whether the packet is the node's own IP. If the packet contains a fake IP by referring to the routing information of the pre-set virtual interface, it recognizes that it is its own packet and passes through the IP layer to the higher layer. Communication becomes possible. After communication is connected, the network node transfers the packet received from the server to the client terminal, and in response, the client terminal delivers the received packet to the application through the kernel driver module (⑧ to ⑬). In this case, the client terminal 100 may change kernel information by performing address translation (NAT) to the node IP received by the VP manager's redirect method through the IP mapper in the terminal as shown in FIG. 5.

이러한 네트워크 구성에서, 외부의 해커 단말이 TCP Dump 와 같은 스캐닝을 통해 IP를 획득하고 해당 네트워크에 접속을 시도할 수 있다. 그러나, 클라이언트 단말은 이중 가상화된 IP를 사용하기 때문에 네트워크에 대한 정보를 찾을 수 없다. 추가적으로, 상기 클라이언트 단말은, 상기 가상 경계를 통해 상기 가짜 IP로 전송한 전송 로그를 삭제하여 상기 네트워크에 접속 가능한 관련 정보의 흔적을 남기지 않는다. 또한, 클라이언트 단말의 어플리케이션(application)을 통해서도 어떠한 실마리도 얻을 수 없기 때문에 해커 입장에서는 black core 가 된다.In this network configuration, an external hacker terminal may acquire an IP through scanning such as a TCP Dump and attempt to access the network. However, since the client terminal uses a dual virtualized IP, information about the network cannot be found. In addition, the client terminal deletes the transmission log transmitted to the fake IP through the virtual boundary so as not to leave a trace of the relevant information accessible to the network. In addition, it becomes a black core for hackers because no clue can be obtained even through the application of the client terminal.

도 4는 본 발명의 실시예에 따른 노드 매니저에서 노드의 IP와 포트정보를 동적 변경하는 예를 설명하기 위한 도면이다.FIG. 4 is a diagram for explaining an example of dynamically changing IP and port information of a node in a node manager according to an embodiment of the present invention.

도 4를 참조하면, C클래스 10.10.10.x 대역을 갖는 임의 네트워크를 구성하고 있다. 이 네트워크에는 서버 노드 #1부터 N개(#N)가 존재하고 상기 노드 안에는 각각 노드 매니저(Node Manager)가 존재한다. 시간은 1초 단위로 기준시간 Time 1에서 Time N까지 흐른다고 가정한다. Referring to FIG. 4, a random network having a C class 10.10.10.x band is configured. In this network, server nodes #1 to N (#N) exist, and each node manager exists in the node. It is assumed that the time flows from the reference time Time 1 to Time N in units of 1 second.

기준시간 Time 1일 때 Node #1의 IP는 10.10.10.5이다. 이때, 상기 노드 안의 Node Manager는 NIC의 IP를 네트워크의 대역폭 중에서 다른 노드들과 충돌이 일어나지 않게 랜덤하게 변경한다. Time 1 + N 시간일 때, Node #1의 IP는 10.10.10.54이다. Node Manager는 서비스 포트에 대해서도 동일한 방식으로 지속적으로 변경시키는 역할을 수행한다. Node Manager는 다른 노드 안에 존재하는 Node Manager들과 상호 통신이나 별도 협력하지 않고 오직 자신의 노드에서만 배타적 역할을 수행한다.When the reference time is Time 1, the IP of Node #1 is 10.10.10.5. At this time, the Node Manager in the node randomly changes the IP of the NIC so as not to collide with other nodes in the network bandwidth. When Time 1 + N time, the IP of Node #1 is 10.10.10.54. Node Manager plays the role of continuously changing service ports in the same way. Node Manager does not communicate or cooperate separately with Node Managers existing in other nodes, and plays an exclusive role only in its own node.

한편, 본 발명의 실시예에 따른 네트워크 은닉 방법은, 네트워크를 통해 클라이언트 단말과 서버간 통신을 연결하기 위한 방법으로서, 먼저 클라이언트 단말이 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 획득한다. Meanwhile, the network concealment method according to an embodiment of the present invention is a method for connecting communication between a client terminal and a server through a network. First, the client terminal acquires a fake IP that is not related to the actual IP of the network. do.

이후, 클라이언트 단말이 네트워크를 통해 원하는 서버로 연결을 시도할 때 획득한 가짜 IP를 통해 연결을 시도한다.Thereafter, when the client terminal tries to connect to the desired server through the network, it tries to connect through the fake IP obtained.

다음, 클라이언트 단말 내 VP 매니저가 클라이언트 단말과 네트워크 사이에 가상의 인터페이스를 제공하기 위한 가상 경계(Virtual Perimeter; VP)들을 생성한다. Next, the VP manager in the client terminal creates virtual perimeters (VPs) for providing a virtual interface between the client terminal and the network.

다음, VP 매니저가 이전 단계에서 생성된 가상 경계들을 클라이언트 단말이 획득한 가짜 IP와 엔드 투 엔드(end to end singnaling) 방식으로 직접 연결하여 클라이언트 단말이 가짜 IP를 이용하여 라우팅을 시도하도록 한다.Next, the VP manager directly connects the virtual boundaries created in the previous step with the fake IP acquired by the client terminal in an end-to-end singnaling method, so that the client terminal attempts routing using the fake IP.

이러한 과정을 통해 본 발명은 클라이언트 단말이 실제 네트워크에 존재하지 않는 가짜 IP로 라우팅을 시도하더라도 VP 매니저에 의해 가상 경계를 통해 네트워크에 접근할 수 있게 된다. 따라서, 본 발명은 네트워크에 관한 노드 IP나 포트정보를 은닉하고 외부에 제공하지 않고서도 단말과 서버간 패킷 전달이 가능하게 되고, 이중 가상화를 통해 외부 공격자의 해킹 공격을 차단할 수 있다. Through this process, in the present invention, even if the client terminal attempts to route to a fake IP that does not exist in the actual network, the VP manager can access the network through the virtual boundary. Accordingly, the present invention enables packet transmission between a terminal and a server without concealing node IP or port information about a network and providing it to the outside, and it is possible to block hacking attacks by external attackers through double virtualization.

이 외, 본 발명의 실시예에 따른 네트워크 은닉 방법은, 네트워크에 구성된 적어도 하나 이상의 노드들이 노드 매니저를 통해 각 노드의 IP와 포트정보를 주기적으로 동적 변경하는 과정을 더 포함할 수 있다. In addition, the network concealment method according to an embodiment of the present invention may further include a process in which at least one or more nodes configured in the network periodically dynamically change IP and port information of each node through a node manager.

상기의 과정은 클라이언트 단말이 네트워크를 매개로 서버와 연결이 유지된 이후에도 네트워크의 IP와 포트정보를 동적 변경하여 공격자의 접속 및 칩임을 방지하기 위함이다. The above process is to prevent the attacker's access and chipping by dynamically changing the IP and port information of the network even after the client terminal maintains the connection with the server through the network.

상기의 과정에서, 노드 매니저는 각 노드의 IP와 포트정보를 일정 시간 간격으로 동적 변경하되 다른 노드들간 IP 충돌되지 않도록 랜덤하게 변경하며, 포트와 관련해서는 네트워크의 모든 포트를 닫아놓고 정책에 의해 필요한 포트만을 동적으로 변경한다. In the above process, the node manager dynamically changes the IP and port information of each node at regular intervals, but randomly changes it so that IP does not collide between other nodes. With regard to ports, all ports in the network are closed and required by policy. Dynamically change only the port.

또한, 본 발명의 네트워크 은닉 방법은, 네트워크 노드에서, 노드 내 IP 매핑부가 기 저장된 매핑 정보를 참조하여 클라이언트 단말로부터 전달된 패킷의 가짜 IP를 이와 매핑되어 있는 최근 동적 변경된 노드 자신의 IP로 변경하는 과정, 이후 노드 매니저가 클라이언트 단말로부터 전달된 패킷에 대하여 노드 자신의 IP인지 판별하는 과정, 노드 매니저가 미리 설정된 가상 경계의 라우팅 정보를 참조하여 가짜 IP가 포함된 패킷인 경우 노드 자신의 패킷 임을 인식하고 해당 패킷을 상위 레이어로 전달하는 과정을 더 포함하여 구현될 수 있다. In addition, in the network concealment method of the present invention, the IP mapping unit in the node changes the fake IP of the packet transmitted from the client terminal to the recently dynamically changed node's own IP mapped thereto by referring to the previously stored mapping information. After the process, the node manager determines whether the packet transmitted from the client terminal is the node's own IP, and the node manager recognizes that the packet contains a fake IP by referring to the routing information of the preset virtual boundary. And transmitting the corresponding packet to an upper layer.

한편, 본 발명은 상술한 네트워크 은닉 시스템을 통한 패킷 전달 과정을 소프트웨어적인 프로그램으로 구현하여 컴퓨터로 읽을 수 있는 소정 기록 매체에 기록해 둘 수 있다. 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다. Meanwhile, in the present invention, the packet delivery process through the network concealment system described above can be implemented as a software program and recorded in a computer-readable recording medium. The recording medium includes all types of recording devices that store data that can be read by a computer system. In addition, the computer-readable recording medium may be distributed over a computer system connected through a network to store and execute a computer-readable program or code in a distributed manner.

예컨대, 기록 매체는 각 재생 장치의 내장형으로 하드 디스크, 플래시 메모리, RAM, ROM 등이거나, 외장형으로 CD-R, CD-RW와 같은 광디스크, 콤팩트 플래시 카드, 스마트 미디어, 메모리 스틱, 멀티미디어 카드일 수 있다. For example, the recording medium may be a hard disk, flash memory, RAM, ROM, etc. as a built-in type of each playback device, or an optical disk such as a CD-R or CD-RW, a compact flash card, a smart media, a memory stick, or a multimedia card as an external type. have.

본 발명의 실시예에 따른 컴퓨터로 읽을 수 있는 기록 매체에 기록한 프로그램은, 단말에 의해 실행될 때, 원하는 서버로의 접근이 시도되면 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 이용하여 연결을 시도하고, 상기 연결 시도에 응답하여 상기 가짜 IP를 이미 생성된 가상 경계들과 엔드 투 엔드 방식으로 직접 연결하여 가짜 IP로 라우팅을 시도하더라도 가상 경계를 통해 네트워크에 접근하도록 하는 명령어를 포함한다.A program recorded on a computer-readable recording medium according to an embodiment of the present invention, when executed by a terminal, uses a fake IP that has no relation to the actual IP of the network when access to the desired server is attempted. A connection is attempted, and in response to the connection attempt, the fake IP is directly connected to the already created virtual boundaries in an end-to-end manner, and even if routing is attempted with the fake IP, a command to access the network through the virtual boundary is included. .

또한, 본 발명의 네트워크를 은닉하기 위한 프로그램은 어플리케이션 형태로 제공될 수 있다. 이때, 어플리케이션 서버는 데이터베이스에 네트워크 은닉에 위한 어플리케이션을 저장 관리하고, 클라이언트 단말기의 요청이 있을 때 어플리케이션을 클라이언트 단말기에 전송한다. 클라이언트 단말기는 어플리케이션을 다운로드 받아 설치하고 어플리케이션을 실행한다. 어플리케이션이 실행되면 클라이언트 단말기는 네트워크 은닉 장치로서 동작하여 가짜 IP를 이용하여 가상 인터페이스를 통해 네트워크에 접속하게 된다. Also, a program for concealing the network of the present invention may be provided in the form of an application. In this case, the application server stores and manages the application for network concealment in the database, and transmits the application to the client terminal when requested by the client terminal. The client terminal downloads and installs the application and runs the application. When the application is executed, the client terminal operates as a network concealment device and connects to the network through a virtual interface using a fake IP.

이상에서 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 누구나 본 발명의 기술적 사상의 범주를 벗어나지 않는 범위 내에서 여러 가지로 치환, 변형 등이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.In the above, the technical idea of the present invention has been described with the accompanying drawings, but this is illustrative of a preferred embodiment of the present invention and does not limit the present invention. Anyone of ordinary skill in the technical field to which the present invention pertains will be able to variously substitute, modify, and the like without departing from the scope of the technical idea of the present invention. Therefore, the embodiments disclosed in the specification of the present invention do not limit the present invention. The scope of the present invention should be interpreted by the following claims, and all technologies within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

100: 클라이언트 단말
110: 가짜 IP 획득부
120: VP 매니저
200: 가상 경계
300: 노드들
310: 노드 매니저
320: IP 매핑부100: client terminal
110: fake IP acquisition unit
120: VP Manager
200: virtual boundary
300: nodes
310: node manager
320: IP mapping unit

Claims (15)

네트워크를 통해 원하는 서버로 연결을 시도할 때 상기 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 이용하여 연결을 시도하는 클라이언트 단말;
상기 클라이언트 단말과 상기 네트워크 사이에 가상 경계(Virtual Perimeter; VP)들을 생성하며, 생성된 가상 경계들을 상기 클라이언트 단말이 획득한 가짜 IP와 엔드 투 엔드(end to end signaling) 방식으로 직접 연결하여 상기 클라이언트 단말이 상기 가짜 IP로 라우팅을 시도하더라도 상기 가상 경계를 통해 상기 네트워크에 접근할 수 있도록 하는 VP 매니저;
상기 네트워크에 구성된 복수의 노드들에 대하여 각 노드의 IP와 포트정보를 주기적으로 동적 변경하고, 상기 복수의 노드들 내에 각각 구현되며, 상기 각 노드의 IP와 포트정보를 일정 시간 간격으로 동적 변경하되 다른 노드들간 IP 충돌되지 않도록 랜덤하게 변경하는 복수의 노드 매니저; 및
상기 복수의 노드들 내에 구현되며, 상기 클라이언트 단말로부터 상기 가상 경계를 경유하여 전달된 패킷의 가짜 IP를 기 저장된 매핑 정보를 참조하여 상기 매핑 정보에 매핑되어 있는 해당 노드 자신의 IP로 변경하는 IP 매핑부;포함하고,
상기 클라이언트 단말이 상기 네트워크를 매개로 서버와 연결이 유지된 이후에도 상기 네트워크의 IP와 포트정보를 동적 변경하여 공격자의 접속 및 칩임을 방지하며,
상기 가상 경계는 클라이언트 단말로부터 전송되는 패킷과 일대일 대응으로 매핑될 수 있는 가상의 네트워크 경로를 제공하며,
상기 해당 노드 자신의 IP는 상기 노드 매니저를 통해 최근 동적 변경된 IP이며,
상기 서로 다른 노드 내에 각각 존재하는 복수의 노드 매니저는 상호 통신하지 않고 해당 노드 내에서만 배타적으로 구동하며,
상기 노드 매니저는,
상기 클라이언트 단말로부터 상기 가상 경계를 경유하여 전달된 패킷에 대하여 노드 자신의 IP인지 판별하되 상기 최근 동적 변경된 IP인지 실시간으로 판별하며, 미리 설정된 상기 가상 경계의 라우팅 정보를 참조하여 상기 패킷이 가짜 IP가 포함된 패킷인 경우 상기 노드 자신의 패킷 임을 인식하고 해당 패킷을 상위 레이어로 전달하는 것을 특징으로 하는 네트워크 은닉 시스템.
A client terminal that attempts to connect to a desired server through a network by using a fake IP that has no relation to an actual IP of the network;
Virtual perimeters (VPs) are created between the client terminal and the network, and the generated virtual boundaries are directly connected to the fake IP obtained by the client terminal in an end-to-end signaling method, and the client A VP manager that allows a terminal to access the network through the virtual boundary even if the terminal attempts to route to the fake IP;
For a plurality of nodes configured in the network, the IP and port information of each node is periodically dynamically changed, implemented in each of the plurality of nodes, and the IP and port information of each node are dynamically changed at regular time intervals. A plurality of node managers for randomly changing IP collisions between different nodes; And
IP mapping implemented in the plurality of nodes and changing the fake IP of the packet transmitted from the client terminal through the virtual boundary to the corresponding node's own IP mapped to the mapping information by referring to previously stored mapping information Part; including,
Even after the client terminal maintains a connection with the server through the network, it dynamically changes the IP and port information of the network to prevent the attacker's access and chipping,
The virtual boundary provides a virtual network path that can be mapped in a one-to-one correspondence with a packet transmitted from a client terminal,
The IP of the corresponding node itself is an IP that has been dynamically changed recently through the node manager,
A plurality of node managers, each existing in the different nodes, do not communicate with each other and operate exclusively within the corresponding node,
The node manager,
The packet transmitted from the client terminal via the virtual boundary is determined whether it is the node's own IP, but it is determined in real time whether it is the recently dynamically changed IP, and the packet is a fake IP by referring to the preset routing information A network concealment system, characterized in that, in the case of an included packet, the node recognizes that it is a packet of itself and transmits the packet to an upper layer.
 삭제delete 삭제delete 제1항에 있어서,
상기 노드 매니저는 상기 네트워크의 모든 포트를 닫아놓고 정책에 의해 필요한 포트만을 동적으로 변경하는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 1,
And the node manager closes all ports of the network and dynamically changes only required ports according to a policy.
 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 VP 매니저는,
상기 클라이언트 단말로부터 상기 가짜 IP를 이용한 연결이 시도되면 상기 가짜 IP를 리다이렉트(redirect) 방식으로 상기 가상 경계에 전송하는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 1,
The VP manager,
When a connection using the fake IP is attempted from the client terminal, the fake IP is transmitted to the virtual boundary in a redirect manner.
 제1항에 있어서,
상기 VP 매니저는 상기 클라이언트 단말 상에 구현되는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 1,
The VP manager is a network concealment system, characterized in that implemented on the client terminal.
 제8항에 있어서,
상기 가상 경계는,
상기 클라이언트 단말로부터 전송되는 패킷을 리다이렉트(redirect) 방식에 의해 상기 네트워크의 노드로 전송하고,
상기 네트워크 노드로부터 전달받은 패킷을 해당 클라이언트 단말로 전송하는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 8,
The virtual boundary is,
Transmit the packet transmitted from the client terminal to the node of the network by a redirect method,
A network concealment system, characterized in that transmitting the packet received from the network node to a corresponding client terminal.
 제10항에 있어서,
상기 클라이언트 단말은,
상기 가상 경계를 통해 상기 가짜 IP로 전송한 전송 로그를 삭제하여 상기 네트워크에 접속 가능한 관련 정보의 흔적을 남기지 않는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 10,
The client terminal,
A network concealment system, characterized in that the transmission log transmitted to the fake IP through the virtual boundary is deleted so as not to leave a trace of related information accessible to the network.
 제1항에 있어서,
상기 가짜 IP는 별도의 외부 서버에 의해 생성되며,
상기 클라이언트 단말과 상기 서버는 상기 외부 서버로부터 일정 주기마다 동일하게 상기 가짜 IP를 제공받거나, 세션 형태의 키 교환 방식으로 상기 클라이언트 단말과 상기 서버간 동기화하여 이용하거나, Pre-config 방식으로 사전에 미리 고정으로 정의해서 사용하는 방식 중 어느 하나에 의해 상기 가짜 IP를 획득하는 것을 특징으로 하는 네트워크 은닉 시스템.
The method of claim 1,
The fake IP is generated by a separate external server,
The client terminal and the server receive the fake IP from the external server at regular intervals, synchronize between the client terminal and the server in a session-type key exchange method, or use a pre-config method in advance. A network concealment system, characterized in that the fake IP is obtained by any one of a fixedly defined and used method.
 네트워크를 통해 클라이언트 단말과 서버간 통신을 연결하기 위한 방법으로서,
상기 클라이언트 단말이 상기 네트워크의 실제 IP와 전혀 관계없는 가짜 IP(fake IP)를 획득하는 단계;
상기 클라이언트 단말이 상기 네트워크를 통해 원하는 서버로 연결을 시도할 때 상기 획득한 가짜 IP를 통해 연결을 시도하는 단계;
상기 클라이언트 단말 내 VP 매니저가 상기 클라이언트 단말과 상기 네트워크 사이에 가상의 인터페이스를 제공하기 위한 가상 경계(Virtual Perimeter; VP)들을 생성하는 단계; 및
상기 VP 매니저가 상기 단계에서 생성된 가상 경계들을 상기 클라이언트 단말이 획득한 가짜 IP와 엔드 투 엔드(end to end signaling) 방식으로 연결하여 상기 클라이언트 단말이 상기 가짜 IP를 이용하여 가상 경계로 라우팅을 시도하는 단계;
상기 네트워크에 구성된 복수의 노드들이 각각의 노드들에 구현된 노드 매니저를 통해 각 노드의 IP와 포트정보를 주기적으로 동적 변경하되, 다른 노드들간 IP 충돌되지 않도록 랜덤하게 변경하는 단계;
상기 노드 내 IP 매핑부가 기 저장된 매핑 정보를 참조하여, 상기 클라이언트 단말로부터 상기 가상 경계를 경유하여 전달된 패킷의 가짜 IP를 기 저장된 매핑 정보를 참조하여 상기 매핑 정보에 매핑되어 있고, 최근 동적 변경된 노드 자신의 IP로 변경하는 단계; 및
상기 노드 매니저가 상기 클라이언트 단말로부터 전달된 패킷에 대하여 노드 자신의 IP인지 판별하되, 상기 최근 동적 변경된 IP인지 실시간으로 판별하며, 미리 설정된 상기 가상 경계의 라우팅 정보를 참조하여 상기 패킷이 가짜 IP가 포함된 패킷인 경우 상기 노드 자신의 패킷 임을 인식하고 해당 패킷을 상위 레이어로 전달하는 단계를 포함하여 네트워크로의 접속 시 패킷을 이중 가상화하며,
상기 가상 경계는 클라이언트 단말로부터 전송되는 패킷과 일대일 대응으로 매핑될 수 있는 가상의 네트워크 경로를 제공하며,
상기 서로 다른 노드 내에 각각 존재하는 복수의 노드 매니저는 상호 통신하지 않고 해당 노드 내에서만 배타적으로 구동하는 네트워크 은닉 방법.

As a method for connecting communication between a client terminal and a server through a network,
Obtaining, by the client terminal, a fake IP that has no relation to the actual IP of the network;
Attempting to connect through the acquired fake IP when the client terminal attempts to connect to a desired server through the network;
Generating, by a VP manager in the client terminal, virtual perimeters (VPs) for providing a virtual interface between the client terminal and the network; And
The VP manager connects the virtual boundaries created in the step with the fake IP acquired by the client terminal in an end-to-end signaling method, and the client terminal attempts to route to the virtual boundary using the fake IP. Step to do;
Periodically dynamically changing IP and port information of each node through a node manager implemented in each node by a plurality of nodes configured in the network, but randomly changing IP collisions between other nodes;
The IP mapping unit in the node refers to the previously stored mapping information, and the fake IP of the packet transmitted from the client terminal through the virtual boundary is mapped to the mapping information by referring to the previously stored mapping information, and the node has recently been dynamically changed. Changing to own IP; And
The node manager determines whether it is the node's own IP for the packet transmitted from the client terminal, and determines in real time whether it is the recently dynamically changed IP, and the packet contains a fake IP by referring to the preset routing information of the virtual boundary. In the case of a packet, the packet is double virtualized when connecting to the network, including the step of recognizing that it is the node's own packet and transferring the packet to an upper layer,
The virtual boundary provides a virtual network path that can be mapped in a one-to-one correspondence with a packet transmitted from a client terminal,
A network concealment method in which a plurality of node managers each existing in the different nodes do not communicate with each other and operate exclusively within a corresponding node.

 삭제delete 삭제delete
KR1020190155143A 2019-11-28 2019-11-28 Network hidden system and method KR102184757B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190155143A KR102184757B1 (en) 2019-11-28 2019-11-28 Network hidden system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190155143A KR102184757B1 (en) 2019-11-28 2019-11-28 Network hidden system and method

Publications (1)

Publication Number Publication Date
KR102184757B1 true KR102184757B1 (en) 2020-11-30

Family

ID=73642054

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190155143A KR102184757B1 (en) 2019-11-28 2019-11-28 Network hidden system and method

Country Status (1)

Country Link
KR (1) KR102184757B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010140111A (en) * 2008-12-09 2010-06-24 Ricoh Co Ltd Equipment management device, equipment management system, log management method, log management program and recording medium with the program recorded thereon
KR20150089900A (en) 2014-01-28 2015-08-05 한국전자통신연구원 Method for hiding server address
KR20160123102A (en) * 2015-04-15 2016-10-25 한국전자통신연구원 Virtual private network secuirity apparatus and operatoin method thereof
KR20170109949A (en) * 2016-03-22 2017-10-10 한국전자통신연구원 Method and apparatus for enhancing network security in dynamic network environment
KR20190110719A (en) * 2018-03-21 2019-10-01 한국전자통신연구원 Apparatus and method for concealing network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010140111A (en) * 2008-12-09 2010-06-24 Ricoh Co Ltd Equipment management device, equipment management system, log management method, log management program and recording medium with the program recorded thereon
KR20150089900A (en) 2014-01-28 2015-08-05 한국전자통신연구원 Method for hiding server address
KR20160123102A (en) * 2015-04-15 2016-10-25 한국전자통신연구원 Virtual private network secuirity apparatus and operatoin method thereof
KR20170109949A (en) * 2016-03-22 2017-10-10 한국전자통신연구원 Method and apparatus for enhancing network security in dynamic network environment
KR20190110719A (en) * 2018-03-21 2019-10-01 한국전자통신연구원 Apparatus and method for concealing network

Similar Documents

Publication Publication Date Title
US10193924B2 (en) Network intrusion diversion using a software defined network
De Donno et al. DDoS‐capable IoT malwares: comparative analysis and Mirai investigation
US10623442B2 (en) Multi-factor deception management and detection for malicious actions in a computer network
CN109347830B (en) Network dynamic defense system and method
US11973783B1 (en) Attack prevention in internet of things networks
CN111756712B (en) Method for forging IP address and preventing attack based on virtual network equipment
CN111314281A (en) Method for forwarding attack traffic to honeypot
CN110881052A (en) Network security defense method, device and system and readable storage medium
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
CN109510841B (en) Safety isolation gateway of control device and system
KR20080063209A (en) Network security elements using endpoint resources
Schoof et al. Detecting peer-to-peer botnets
KR101076683B1 (en) Apparatus and method for splitting host-based networks
CN109495583B (en) Data security interaction method based on host characteristic confusion
CN112714137A (en) Method for deploying honey nets across vlan in large scale based on virtual switching
CN112738002A (en) Technology for building industrial control honey net based on virtuality and reality combination
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
Diebold et al. A honeypot architecture for detecting and analyzing unknown network attacks
Nagesh et al. A survey on denial of service attacks and preclusions
KR102184757B1 (en) Network hidden system and method
Machida et al. Novel deception techniques for malware detection on industrial control systems
Popereshnyak et al. Intrusion detection method based on the sensory traps system
KR101812732B1 (en) Security device and operating method thereof
Sørensen et al. Automatic profile-based firewall for iot devices
Rodrigues et al. Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant