KR102309116B1 - 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 - Google Patents

데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 Download PDF

Info

Publication number
KR102309116B1
KR102309116B1 KR1020210119167A KR20210119167A KR102309116B1 KR 102309116 B1 KR102309116 B1 KR 102309116B1 KR 1020210119167 A KR1020210119167 A KR 1020210119167A KR 20210119167 A KR20210119167 A KR 20210119167A KR 102309116 B1 KR102309116 B1 KR 102309116B1
Authority
KR
South Korea
Prior art keywords
node
network
data packet
data
access
Prior art date
Application number
KR1020210119167A
Other languages
English (en)
Inventor
김영랑
Original Assignee
프라이빗테크놀로지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 프라이빗테크놀로지 주식회사 filed Critical 프라이빗테크놀로지 주식회사
Priority to KR1020210119167A priority Critical patent/KR102309116B1/ko
Application granted granted Critical
Publication of KR102309116B1 publication Critical patent/KR102309116B1/ko
Priority to PCT/KR2022/013321 priority patent/WO2023038387A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2466Traffic characterised by specific attributes, e.g. priority or QoS using signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 문서에 개시된 일 실시예에 따른 네트워크 시스템은, 통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하는 노드, 상기 노드가 접속하고자 하는 목적지 네트워크, 상기 노드와 상기 목적지 네트워크 사이에 위치하고, 메모리를 포함하는 네트워크 노드, 및 통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 데이터베이스를 저장하는 메모리를 포함하는 서버로서, 상기 노드 및 상기 네트워크 노드와 통신 가능하게 연결되는, 서버를 포함하고, 상기 노드는, 상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크와 통신하기 위해, 타겟 애플리케이션의 식별 정보, 상기 목적지 네트워크의 IP 주소, 및 포트 정보를 포함하는 식별 정보에 기초하는 데이터 플로우의 존재 여부에 따라서 데이터 패킷을 전송 또는 드롭(DROP)하고, 상기 타겟 애플리케이션 또는 상기 접속 제어 애플리케이션의 실행 종료 이벤트가 확인되면, 상기 종료된 애플리케이션의 식별 정보에 대응하는 상기 데이터 플로우를 삭제하고, 상기 삭제된 데이터 플로우 목록을 상기 서버로 전송하고, 상기 서버는, 상기 삭제된 데이터 플로우 목록을 상기 네트워크 노드로 전송하고, 상기 노드로부터 네트워크 노드 정책을 회수하도록 하며, 상기 네트워크 노드는, 상기 삭제된 데이터 플로우 목록에 포함된 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 및 상기 목적지 네트워크의 포트 정보에 대응하는 데이터 패킷이 더 이상 포워딩되지 않도록 처리하도록 설정될 수 있다.

Description

데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법{SYSTEM AND METHOD FOR CONTROLLING NETWORK ACCESS OF DATA FLOW BASED APPLICATION}
본 문서에 개시된 실시예들은 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다.
IP(Internet Protocol) 기술은 오늘날 단말과 서버 등의 네트워크에서 보편적인 통신 기술로 사용되며, IP 네트워크에서 접속 제어를 수행하기 위해 데이터 패킷내에 포함된 5 튜플(Tuples) 정보(프로토콜, 출발지 IP 주소, 출발지 포트, 도착지 IP 주소, 도착지 포트 정보)를 활용하는 방화벽 기술이 보편적으로 사용될 수 있다.
방화벽 기술은 단말 또는 네트워크 노드(예컨대, 방화벽, 공유기 등)에 할당된 IP 주소를 식별하여 네트워크 경계에서 해당 IP 주소가 목적지 네트워크로 접속(인바운드)하거나 그 반대의 접속(아웃바운드)을 제어하는 역할을 수행하기 때문에 기본적인 네트워크 접속 통제 수단을 제공함으로써 인터넷 보급과 함께 네트워크 경계에서 필수적으로 사용되는 범용적인 네트워크 보안 솔루션으로 자리매김하고 있다.
이러한 IP 네트워크에서의 접속 제어를 수행하기 위해 5 튜플 정보를 사용하는 접속 제어 기술의 특성은 정적 정책(Static Policy), 즉 사전에 설정된 정책에 의해서 운영되기 때문에, 해당 IP의 접속 허용 시점과 종료 시점에 대한 관리가 어려우며, 다양한 경계에 존재하는 방화벽에 다양한 단말이 접속되어 있는 환경에서는 그 정책의 숫자도 기하급수적으로 증가하기 때문에 정책이 회수되지 않거나, 기존에 설정된 정책의 사용 용도가 불분명한 경우 장애 발생 문제의 우려로 인해 정책을 회수하기 어려운 문제가 발생하며, 탈취자는 이러한 정책의 취약점을 사용하여 방화벽을 우회 공격 및 침입하는 행위가 발생될 수 있다.
이러한 문제를 해결하기 위해 다수의 방화벽의 정책을 통합하여 관리 및 운영하기 위한 기술이 존재하지만 IP 기술의 특성상 단말이 언제 네트워크 접속을 시작하고 언제 네트워크 접속을 종료하는지 알 수 없기 때문에 필요로 한 시점에만 정책을 허용하는 동적 정책(Dynamic Policy) 적용의 어려움이 존재할 수 있다.
방화벽은 IP의 5 튜플 정보에 기초하여 단순 네트워크 접속 통제를 수행하기 때문에 허용된 단말이라고 할지라도 해당 단말이 멀웨어 또는 악성코드에 감염된 상태일 경우, 악의적인 행위를 수행하기 위한 데이터 패킷 전송을 차단할 수 없는 실정이다.
계속적으로 진화하고 있는 네트워크 위험에 대응하기 위해 데이터 패킷의 5 튜플 정보 이외에 실질적 데이터가 포함된 페이로드(Payload)를 검사하는 심층 패킷 분석(Deep Packet Inspection: DPI) 기술을 포함하는 차세대 방화벽 기술이 도입되고 있다.
데이터 패킷을 검사하는 DPI 기술은 데이터 패킷의 일부를, 내장된 패턴 DB(악의적인 또는 차단되어야 할 데이터 패킷 필터링 룰)를 통해서 차단하기 때문에 기존 방화벽보다 더 향상된 보안 기술을 제공하지만, 단말에 설치된 백신 처럼, 패턴 DB를 사용하여 위험을 검출하는 방식의 특성상, 패턴 DB에 존재하지 않는 신종 위험에 대응하기 어려운 문제가 있다.
특히, DPI 기술은 단말의 실질적 통신 주체인 애플리케이션을 식별하는 것이 아니라 서비스 포트에 따라 매핑된 프로토콜 정보에 기초하여 패턴 DB를 사용하기 때문에 오탐 및 과탐, 미탐 등의 문제가 발생하며, 알 수 없는 서비스 장애로 이어지기 때문에 관리자는 DPI 기술이 제공하는 모든 패턴 DB를 사용하는 것이 아니라 최소한의 필터링 정책만 설정하고 있는 것이 현실이다.
이러한 문제점은 결과적으로 단말과 네트워크가 분리되어 동작하는 OSI 7 계층을 기반으로 하는 네트워크 기술 스택의 한계로서 실질적 통신 주체인 애플리케이션을 식별하고 애플리케이션이 접속하고자 하는 네트워크에 따라 접속을 제어할 수 있는 방법이 필요로 하게 될 수 있다.
본 문서에 개시되는 다양한 실시예들은 정적 정책(Static Policy) 기반의 방화벽 문제점 및 심층 패킷 분석을 포함하는 차세대 방화벽 기술이 내재하고 있는 근본적인 문제점이자 네트워크 보안의 사각지대인 실질적 통신 주체인 애플리케이션을 식별하여 인가된 안전한 애플리케이션의 데이터 패킷만 단말에서 전송되게 하고, 네트워크 경계에 존재하는 방화벽은 해당 애플리케이션의 접속 시점에만 목적지 네트워크에 접속할 수 있도록 허용하며 해당 애플리케이션이 목적지 네트워크에 접속할 때에 해당 데이터 패킷을 검사하기 위한 패턴 DB를 정확하게 적용하여 과탐지 및 오탐지 등의 문제를 해결함으로써 위험을 사전 필터링(Pre Filtering) 및 사후 필터링(Post Filtering)하기 위한 근본적인 방법을 제공할 수 있다.
본 문서에 개시된 일 실시예에 따른 네트워크 시스템은, 통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하는 노드, 상기 노드가 접속하고자 하는 목적지 네트워크, 상기 노드와 상기 목적지 네트워크 사이에 위치하고, 메모리를 포함하는 네트워크 노드, 및 통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 데이터베이스를 저장하는 메모리를 포함하는 서버로서, 상기 노드 및 상기 네트워크 노드와 통신 가능하게 연결되는, 서버를 포함하고, 상기 노드는, 상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크와 통신하기 위해, 타겟 애플리케이션의 식별 정보, 상기 목적지 네트워크의 IP 주소, 및 포트 정보를 포함하는 식별 정보에 기초하는 데이터 플로우의 존재 여부에 따라서 데이터 패킷을 전송 또는 드롭(DROP)하고, 상기 타겟 애플리케이션 또는 상기 접속 제어 애플리케이션의 실행 종료 이벤트가 확인되면, 상기 종료된 애플리케이션의 식별 정보에 대응하는 상기 데이터 플로우를 삭제하고, 상기 삭제된 데이터 플로우 목록을 상기 서버로 전송하고, 상기 서버는, 상기 삭제된 데이터 플로우 목록을 상기 네트워크 노드로 전송하고, 상기 노드로부터 네트워크 노드 정책을 회수하도록 하며, 상기 네트워크 노드는, 상기 삭제된 데이터 플로우 목록에 포함된 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 및 상기 목적지 네트워크의 포트 정보에 대응하는 데이터 패킷이 더 이상 포워딩되지 않도록 처리하도록 설정될 수 있다.
일 실시예에 따르면, 상기 서버는, 제어 플로우 상에 상기 식별 정보와 매칭된 접속 정책에서, 상기 접속 제어 애플리케이션의 식별 정보의 포함 여부 및 상기 식별 정보로 매핑된 상기 목적지 네트워크와 상기 노드의 네트워크 경계 사이에 존재하는 네트워크 노드와의 접속 가능 여부를 확인하고, 접속이 가능한 경우, 상기 노드의 접속을 허용하기 위해 상기 네트워크 노드 정책에서 상기 노드가 접속하고자 하는 상기 목적지 네트워크 경계의 네트워크 노드와 접속이 가능한지 여부를 확인하고, 데이터 플로우 테이블에서 상기 목적지 네트워크 IP 주소 및 포트로 접속 가능한 데이터 플로우가 존재하는지 확인하며, 상기 데이터 플로우 테이블에서 유효한 데이터 플로우가 없는 경우, 애플리케이션의 접속을 허용할 수 있도록 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 포트 정보, 및 데이터 패킷 검사 정보에 기초하여 데이터 플로우를 생성하고, 생성된 데이터 플로우를 상기 네트워크 노드 및 상기 노드에 전송하고, 상기 데이터 플로우 테이블에서 접속 가능한 데이터 플로우가 존재하는 경우, 상기 데이터 플로우를 상기 노드에 전송하도록 구성될 수 있다.
일 실시예에 따르면, 상기 네트워크 노드는, 상기 노드로부터 수신된 데이터 패킷 중에 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 및 상기 포트 정보에 기초하여, 상기 데이터베이스에 저장된 데이터 테이블에서 데이터 플로우가 존재하는지 여부를 확인하고, 상기 데이터 플로우가 존재하지 않는 경우, 수신된 상기 데이터 패킷을 드롭(DROP)하며, 상기 데이터 플로우가 존재하는 경우, 데이터 플로우에 포함된 데이터 패킷 검사 룰 데이터베이스(DB)에 기초하여 상기 데이터 패킷이 검사 대상에 포함되었는지 여부를 확인하고, 데이터 패킷 검사 대상에 포함되지 않은 경우, 상기 데이터 패킷을 포워딩하고, 데이터 패킷 검사 대상에 포함된 경우, 데이터 패킷 처리를 수행하도록 구성될 수 있다.
일 실시예에 따르면, 상기 데이터 패킷 처리는, 상기 데이터 패킷을 단일 검사하는 경우, 단일 데이터 패킷에 대하여 상기 데이터 패킷 검사 룰 데이터베이스에 기초하여 일치하는지 여부를 검사하는 것, 상기 데이터 패킷을 다중 검사하는 경우, 전송된 데이터 패킷을 데이터 패킷 전송 종료 지점까지 상기 네트워크 노드의 상기 메모리에 저장하고, 저장된 모든 데이터 패킷에 대하여 상기 데이터 패킷 검사 룰 데이터베이스에 기초하여 일치하는지 여부를 검사하는 것, 상기 데이터 패킷 검사 룰 데이터베이스에 일치하는 경우, 데이터 패킷 검사 정보에 따라 패턴이 탐지된 데이터 패킷을 처리하는 것을 포함하고, 상기 데이터 패킷을 처리하는 것은, 상기 데이터 패킷을 차단해야 하는 경우, 상기 데이터 패킷을 드롭(DROP)하는 것, 상기 데이터 패킷의 치환이 필요한 경우, 상기 데이터 플로우에 포함된 치환 정보에 기초하여 상기 데이터 패킷을 치환하고 치환된 데이터 패킷을 포워딩하는 것, 상기 데이터 패킷의 저장이 필요한 경우, 상기 데이터 플로우에 포함된 규칙에 따라 상기 데이터 패킷을 상기 네트워크 노드의 상기 메모리에 저장하고, 상기 데이터 패킷을 포워딩하는 것을 포함할 수 있다.
일 실시예에 따르면, 상기 네트워크 노드는, 데이터 패킷 검사 결과를 상기 서버에 전송하도록 더 구성될 수 있다.
일 실시예에 따르면, 상기 노드는, 사용자 인증을 요청하는 제1 사용자 입력을 수신하고, 상기 통신 회로를 이용하여, 상기 서버에 상기 노드의 사용자에 대한 사용자 인증을 요청하고, 상기 사용자 인증 요청은 사용자 식별 정보를 포함하고, 상기 서버는, 상기 노드로부터 상기 사용자 인증 요청에 응답하여, 상기 노드에서 접속을 시도하는 사용자가 접속 가능한 사용자인지 여부 및 블랙리스트에 포함되어 있는지 여부를 검사하여 상기 사용자가 차단되어 있는지 여부를 확인하고, 상기 사용자의 접속이 불가능하거나 상기 사용자가 블랙리스트에 포함된 경우, 접속 불가 정보를 상기 노드에 전송하며, 상기 사용자가 접속 가능한 사용자인 경우, 전송한 제어 플로우 식별 정보로 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우의 식별 정보에 상기 사용자 식별 정보를 추가하고, 사용자 인증 결과로서 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 상기 노드에 반환하도록 구성될 수 있다.
일 실시예에 따르면, 상기 노드는, 제어 플로우 갱신 이벤트를 감지하고, 제어 플로우 갱신을 상기 서버에 요청하도록 구성되고, 제어 플로우 갱신 결과가 접속 불가인 경우, 애플리케이션을 종료하거나 애플리케이션의 모든 네트워크 접속을 차단하도록 구성되고, 상기 서버는, 상기 노드가 요청한 제어 플로우 식별 정보에 기초하여 제어 플로우 테이블에서 제어 플로우가 존재하는지 여부를 확인하고, 제어 플로우가 존재하지 않는 경우, 접속 불가 정보를 상기 노드에 반환하고, 제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 상기 제어 플로우에 종속된 데이터 플로우를 탐색하도록 구성될 수 있다.
일 실시예에 따르면, 상기 노드는, 접속 해제 이벤트를 감지하여 상기 서버에 제어 플로우 종료를 요청하도록 구성되고, 상기 서버는, 상기 노드가 요청한 제어 플로우 식별 정보에 기초하여 식별 및 검색된 제어 플로우를 제거하고, 제어 플로우가 제거되면 종속되어 있는 모든 데이터 플로우를 중계하는 상기 네트워크 노드에 데이터 플로우를 제거하도록 요청하도록 구성되고, 상기 네트워크 노드는, 데이터 플로우를 제거함으로써 애플리케이션이 더 이상 상기 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태가 되도록 구성될 수 있다.
일 실시예에 따르면, 상기 노드의 상기 접속 제어 애플리케이션은, 다중으로 실행 가능한 애플리케이션의 종료를 추적하기 위해 종료된 애플리케이션이 실행 중인 프로세스 목록에서 존재하지 않는 경우, 종료된 애플리케이션의 식별 정보에 해당하는 데이터 플로우를 모두 삭제하도록 더 구성될 수 있다.
본 문서에 개시되는 실시예들에 따르면, 접속 애플리케이션은 목적지 네트워크와의 접속을 위해 컨트롤러에 단말 또는 하나 이상의 식별 정보 및 애플리케이션에 대한 식별 및 인증을 통해서 단말에 할당된 IP 주소 및 컨트롤러가 식별한 단말의 IP에 기초하여 데이터 패킷을 전송 허용하기 위한 데이터 플로우 정보(출발지 IP 주소 및 도착지 IP 주소, 포트 정보)를 수신하며, 해당 데이터 플로우는 네트워크 경계에 존재하는 방화벽에도 동시에 전파될 수 있다.
접속 제어 애플리케이션은 접속 애플리케이션의 네트워크 접속을 컨트롤러로부터 수신한 데이터 플로우 정보에 따라 일차적으로 전송을 허용하거나 차단하는 행위를 수행하며, 이를 우회하여 데이터 패킷을 전송하는 경우 네트워크 경계에 존재하는 방화벽에 컨트롤러로부터 수신된 데이터 플로우가 없는 경우, 목적지 네트워크로 데이터 패킷이 전송되는 것을 차단하므로, 본 특허를 사용하면 비인가 대상이 목적지 네트워크에 접속되는 것을 기본적으로 차단할 수 있다.
또한, 네트워크 경계에 존재하는 방화벽은 데이터 플로우에 포함된 검사 정보에 기초하여 인가된 안전한 애플리케이션의 인가된 네트워크 접속시, 직접적인 애플리케이션 위변조가 아닌 악성 코드 또는 해당 애플리케이션의 결함을 이용하여 인가된 네트워크에 비정상적인 데이터 패킷을 전송하거나 사용자가 악의적인 목적으로 서비스 자원에서 중요 또는 개인 정보를 탈취하는 행위에 대해서 위험을 탐지하고 접속을 제어 할 수 있다.
특히, 기존 네트워크의 OSI 7 계층에서 식별할 수 없었던 단말 및 사용자, 애플리케이션 및 네트워크 정보를 식별하므로 각각의 식별 요소에 최적화된 데이터 패킷 검사 룰 DB를 필요에 따라 적용이 가능하며, 이러한 최적화 기술로 오탐지 및 과탐지, 미탐지의 최소화가 가능하며, 나아가 탐지된 위험 정보의 수준에 따라 식별된 단말, 사용자 단위의 접속 차단 및 격리가 가능하므로 네트워크 경계에서 데이터 패킷을 검사하는 것보다 실질적 데이터 패킷 전송 주체인 애플리케이션을 식별하여 최적화된 데이터 패킷을 검사하는 것이 더 유용한 방법을 제공할 수 있다.
나아가 데이터 패킷에 포함된 개인 정보를 필터링하거나 서비스 자원에서 중요 데이터를 다운로드 또는 업로드 하지 말아야 할 데이터 패킷을 추출 및 컨트롤러에 전송하여, 향후 감사 자료로 활용함으로써 누가 언제 어떻게 중요 또는 민감한 데이터에 접근하였는지 상세하게 감시할 수 있는 방법을 제공할 수 있다.
또한 네트워크 접속이 더 필요로 하지 않은 경우, 모든 데이터 플로우 정보 및 방화벽과 관련된 정책을 회수함으로써 네트워크에서 완전한 차단 방법을 제공하기 때문에 완전한 격리 방법을 제공할 수 있다.
결과적으로 인가되지 않은 단말 및 애플리케이션, 안전하지 않은 애플리케이션이 인가되지 않은 네트워크의 접속을 원천 차단하며, 인가된 애플리케이션이 접속하고자 하는 서비스에 최적화된 데이터 패킷 검사 DB를 적용하므로 취약점이 내재된 단말에 포함된, 특히 안티바이러스 또는 백신, 멀웨어 탐지 도구로 발견되지 않은 신종 위험 요소인 랜섬웨어 및 멀웨어가 목적지 네트워크 또는 중요 서비스 서버로 전파 및 공격하는 행위를 차단할 수 있다.
결과적으로 데이터 플로우 기반 접속성 제어 기술을 활용하여 애플리케이션의 네트워크 접속 통제 및 위협 차단, 격리에 이르는 보안 네트워크 연결 라이프사이클 구현이 가능하며 기존 방화벽 기술이 가지고 있는 정적 정책(Static Policy) 및 심층 패킷 분석(Deep Packet Inspection)에 대한 포괄적 정책 적용의 문제점이 해소된 안전한 네트워크 연결을 제공할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 다양한 실시예들에 따른 방화벽을 포함하는 네트워크 환경 내의 아키텍처를 나타낸다.
도 2는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명할 수 있다.
도 3은 다양한 실시예들에 따라 컨트롤러에 저장된 데이터베이스를 나타내는 기능적 블록도이다.
도 4는 다양한 실시예들에 따른 노드의 기능적 블록도를 나타낸다.
도 5는 다양한 실시예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 6은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 7은 다양한 실시예들에 따른 네트워크 접속 처리를 위한 신호 흐름도를 나타낸다.
도 8은 다양한 실시예들에 따른 데이터 패킷을 포워딩하기 위한 신호 흐름도를 나타낸다.
도 9는 다양한 실시예들에 따른 네트워크 접속을 해제하기 위한 신호 흐름도를 나타낸다.
도 10은 다양한 실시예들에 따른 애플리케이션 실행을 종료하기 위한 신호 흐름도를 나타낸다.
이하, 본 발명의 다양한 실시예가 첨부된 도면을 참조하여 기재될 수 있다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 할 수 있다.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나", "A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제1", "제2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예컨대, 중요성 또는 순서)에서 한정하지 않는다. 어떤(예컨대, 제1) 구성요소가 다른(예컨대, 제2) 구성요소에, "기능적으로" 또는 "통신 가능하게"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 어떤 구성요소가 다른 구성요소에 직접적으로(예컨대, 유선으로), 무선으로, 또는 제3 구성요소를 통하여 연결될 수 있다는 것을 의미할 수 있다.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예컨대, 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예컨대, 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이 경우, 통합된 구성요소는 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 통합 이전에 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.
본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다.
본 문서의 다양한 실시예들은 기기(machine)에 의해 읽을 수 있는 저장 매체(storage medium)(예컨대, 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예컨대, 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 할 수 있다. 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예컨대, 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.
본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예컨대, compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예컨대, 스마트폰들) 간에 직접, 온라인으로 배포(예컨대, 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
도 1은 다양한 실시예들에 따른 방화벽을 포함하는 네트워크 환경 내의 아키텍처를 나타낸다.
도 1을 참조하면, 노드(101), 방화벽(103), 및 목적지 네트워크(104)의 개수는 도 1에 도시된 개수로 제한되는 것은 아니다. 예를 들어, 컨트롤러(102)는 하나 이상의 노드(101), 하나 이상의 방화벽(103), 및 하나 이상의 목적지 네트워크(104)를 관리할 수 있다. 본 문서에서 '방화벽'은 '라우터'로도 대체될 수 있으며, 방화벽 및 라우터는 '네트워크 노드'로 참조될 수 있다.
일 실시예에 의하면, 데이터 플로우 기반 접속성 제어 기술은 노드(101)이 대상 네트워크에 접속하기 위해 컨트롤러(102)에 의해서 인가된 데이터 플로우가 존재하는 경우에만 통신이 가능한 구조를 제공하며, 데이터 플로우가 존재하지 않는 경우 노드(101)이 통신을 수행할 수 없는 구조를 제공할 수 있다.
노드(101)은 노드(101) 내의 애플리케이션에 대한 모든 네트워크 접속 제어를 위해 접속 제어 애플리케이션(111) 및 네트워크 드라이버(미도시)를 포함할 수 있다.
노드(101)은 네트워크 접속 발생시 컨트롤러(102)로부터 접속 가능 여부를 확인하고, 접속 가능한 경우에만 컨트롤러(102)에 의해 생성된 데이터 플로우 정보를 통해 접속 대상 네트워크의 경계에 존재하는 방화벽(103)으로 데이터 패킷을 전송할 수 있다.
방화벽(103)은 수신된 데이터 패킷 중 5 튜플 정보를 확인하여 출발지 IP 주소, 도착지 IP 주소, 및 도착지 포트 정보에 해당하는 데이터 플로우 정보가 존재하는 경우, 데이터 플로우 정보에 데이터 패킷 검사를 수행해야 하는 경우, 데이터 패킷 검사 후 정상적인 데이터 패킷을 도착지 네트워크로 포워딩할 수 있다.
컨트롤러(102)는 노드(101)의 네트워크 접속 통제 및 노드(101)이 접속하고자 하는 방화벽(103)의 확인, 각 노드(101) 및 방화벽(103)으로부터 수신된 보안 이벤트에 따라 생성된 데이터 플로우 제거 및 블랙리스트를 통한 노드(101)의 격리 등 상시 안전한 네트워크 상태를 유지하기 위한 방법을 제공할 수 있다.
도 2는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명할 수 있다.
노드(101)은 접속 제어 애플리케이션을 통해 컨트롤러(102)와 접속된 상태가 아닌 경우, 네트워크로 전송되는 데이터 패킷은 네트워크 드라이버 및 운영체제의 커널 단에서 차단되어, 접속 제어 애플리케이션을 제외한 어떠한 데이터 패킷도 네트워크로 전송되지 않는다.
목적지 네트워크(104)에 접속하고자 하는 노드(101) 중 접속 제어 애플리케이션이 설치되어 있지 않은 비관리 단말의 경우, 네트워크 접속 애플리케이션('타겟 애플리케이션'으로도 참조될 수 있다)은 비인가된 데이터 패킷을 네트워크로 전송할 수 있지만, 네트워크 경계에 존재하는 방화벽(103)은 인가된 데이터 플로우가 존재하지 않는 데이터 패킷을 모두 차단하기 때문에 실질적으로 노드(101)의 데이터 패킷, 특히 TCP 세션(Session) 생성을 위한 데이터 패킷이 차단되기 때문에 노드(101)은 대상 네트워크에 도달할 수 없는 상태, 즉 격리된 상태가 될 수 있다.
특히 방화벽(103)은 게이트웨이 기반의 접속 제어에 비하여 터널을 생성하지 않고 사전에 설정된 정책을 통해 데이터 패킷의 접속을 제어할 수 있다. 또한, 노드(101)의 접속 제어 애플리케이션(111)이 종료하는 경우, 컨트롤러(102)는 설정된 정책을 회수함으로써 이후 악성 애플리케이션이 접속을 시도하는 것을 막을 수 있다.
도 3은 다양한 실시예들에 따라 컨트롤러(예컨대, 도 2의 컨트롤러(102))에 저장된 데이터베이스를 나타내는 기능적 블록도이다.
도 3은 메모리(330)만을 도시하지만, 컨트롤러는 외부 전자 장치와 통신을 수행하기 위한 통신 회로(예컨대, 도 4의 통신 회로(430)) 및 컨트롤러의 전반적인 동작을 제어하기 위한 프로세서(예컨대, 도 4의 프로세서(410))를 더 포함할 수 있다.
도 3을 참조하면, 컨트롤러는 네트워크 접속 및 데이터 전송의 제어를 위한 데이터베이스(311 내지 316)를 메모리(330)에 저장할 수 있다.
관리자는 컨트롤러(102)에 접속하여 출발지와 도착지간의 접속을 제어하기 위한 접속 중심의 정책을 설정할 수 있기 때문에 기존의 방화벽(103) 대비 세밀한 네트워크 접속 제어가 가능하다.
접속 정책 데이터베이스(311)는 식별된 네트워크, 노드(101), 사용자, 비식별 사용자(게스트), 애플리케이션 등이 접속 가능한 네트워크 및 서비스, 데이터 패킷 검사 정보를 포함하며, 노드(101)의 네트워크 접속 요청시 해당 정책을 기반으로 식별된 네트워크, 노드(101), 사용자, 애플리케이션 등이 대상 네트워크 및 서비스에 접속 가능한지 여부 및 데이터 패킷 검사 필요, 데이터 패킷 검사 방식, 데이터 패킷 검사 정보를 확인할 수 있다.
방화벽 정책 데이터베이스(312)는 상기 정책에 따라 접속(Connection) 경로 상에서 출발지 노드(노드(101))가 도착지 네트워크에 접속시 해당 네트워크 경계에 존재하는 방화벽(103) 정보를 포함하고 있으며 노드(101)의 네트워크 접속 요청시 해당 정책을 기반으로 대상 네트워크 또는 노드에 접속하기 위한 방화벽(103) 정보를 제공할 수 있다.
블랙리스트 정책 데이터베이스(313)는 노드(101) 또는 방화벽(103)에서 주기적으로 수집되는 보안 이벤트 중 보안 이벤트의 위험도 및 발생 주기, 행위 분석 등을 통해 식별된 정보(노드(101), IP 주소, MAC 주소, 사용자 등)에 기초하여 노드(101)의 접속을 영구적 또는 일시적 차단하기 위한 블랙리스트 등록 정책을 설정할 수 있다.
블랙리스트 데이터베이스(314)는 상기 정책에 의해서 접속 차단된 노드(101), IP 주소, MAC 주소, 사용자 등을 포함하고 있으며 노드(101)은 컨트롤러(102) 접속 요청시 해당 목록에 포함되어 있을 경우 접속 요청이 거부되기 때문에 네트워크 접속이 불가능한 완전한 격리 상태가 될 수 있다.
제어 플로우 테이블(315)은 노드(101)과 컨트롤러(102) 사이에 생성된 흐름을 관리하기 위한 일종의 세션 테이블로서, 노드(101)은 성공적으로 컨트롤러(102)에 접속하였을 경우 제어 플로우 및 제어 플로우 식별을 위한 식별 정보가 생성되며 제어 플로우 내에는 컨트롤러(102) 접속 및 인증시 각각 식별된 IP 주소, 노드(101) ID, 사용자 ID 등의 정보를 포함하게 될 수 있다.
노드(101)의 네트워크 접속 요청시 전송된 제어 플로우 식별 정보와 해당 식별 정보로 검색된 제어 플로우 내에 포함된 각 식별 정보를 접속 정책과 매핑하여 접속이 가능한지 여부 및 데이터 플로우 생성 여부를 판단하기 위한 정보로 사용될 수 있다.
노드(101)은 주기적으로 제어 플로우의 만료 시각을 갱신해야 하며 일정 시간 동안 갱신이 이루어지지 않았을 경우 제어 플로우가 제거될 수 있다. 또한 노드(101) 및 방화벽(103)으로부터 수집된 보안 이벤트의 위험 수준에 따라 즉각적인 접속 차단이 필요로 할 경우 또는 노드(101)의 접속 종료 요청에 따라 제어 플로우는 제거되며, 제어 플로우가 제거되면 생성된 모든 데이터 플로우가 회수되기 때문에 노드(101)의 모든 접속은 차단될 수 있다.
데이터 플로우 테이블(316)은 노드(101)과 방화벽(103) 사이의 세부적인 데이터 패킷이 전송되는 흐름을 관리하기 위한 테이블로서, 노드(101) 또는 IP 단위로 생성되는 터널 내에 TCP 세션 또는 출발지 노드(101)의 애플리케이션 및 더 세부적인 관리 단위로 흐름을 관리할 수 있으며 이를 식별하기 위한 데이터 플로우 ID와 제어 플로우에 종속적인 데이터 플로우인 경우, 종속된 제어 플로우 식별 정보, 인가된 대상의 데이터 플로우를 식별하기 위한 애플리케이션 식별 정보, 출발지 IP 주소, 도착지 IP 주소, 및 서비스 포트 등의 세부 관리 단위 정보를 포함할 수 있다.
또한, 데이터 패킷 검사 정보는 데이터 패킷 검사 여부, 데이터 패킷 검사 방법(예컨대, 단일 패킷 검사, 복수 패킷 검사, 패킷 치환, 패킷 복사 등), 데이터 패킷 검사시 적용할 패턴 또는 룰 DB 정보 또는 방화벽(103)에 사전에 저장된 데이터 패킷 검사 룰 데이터베이스(DB) 중에서 해당 데이터 패킷 검사에 적용할 식별 정보를 포함할 수 있다.
컨트롤러(102)에 포함된 데이터 플로우 테이블(316) 구조는 노드(101) 및 방화벽(103) 또는 도착지 노드 각각에 동일하게 적용될 수 있다.
도 4는 다양한 실시예들에 따른 노드의 기능적 블록도를 나타낸다.
도 4를 참조하면, 노드는 노드(101), 방화벽(103), 목적지 네트워크(104)일 수 있고, 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시예에 따르면, 노드는 사용자와 인터페이스를 수행하기 위하여 디스플레이(440)를 더 포함할 수 있다.
프로세서(410)는 노드(101)의 전반적인 동작을 제어할 수 있다. 다양한 실시예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다.
프로세서(410)의 전부 또는 일부는 노드 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 노드의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기초하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에 제공할 수 있다.
프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다.
메모리(420)는 노드를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션(application) 프로그램, OS(operating system)(예컨대, Microsoft Windows, Google Android, Apple iOS, MacOS 등), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다.
메모리(420)는 휘발성 메모리(volatile memory) 또는 비휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다. 메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(solid state disk: SSD), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다.
일 실시예에 따르면, 메모리(420)는 컨트롤러(102)의 메모리(예컨대, 도 3의 메모리(330))에 포함된 정보 중 일부를 저장할 수 있다.
통신 회로(430)는 단말과 외부 전자 장치(예컨대, 도 2의 컨트롤러(102)) 사이의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시예에 따르면, 통신 회로(430)는 무선 통신 회로(예컨대, 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예컨대, LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.
디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 시각적으로 출력할 수 있다. 다양한 실시예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.
한편, 일 실시예에 따른 서버(예컨대, 컨트롤러(102))는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 서버에 포함되는 프로세서(410), 메모리(420) 및 통신 회로(430)는 상술한 프로세서(410), 메모리(420) 및 통신 회로(430)와 실질적으로 동일할 수 있다.
단말 네트워크 접속 제어
사용자는 노드(101)의 네트워크 접속 제어를 수행하기 위한 애플리케이션을 설치 및 실행할 수 있다.
컨트롤러 접속
사용자는 컨트롤러(102) 접속을 위해 접속 제어 애플리케이션 실행시 접속 정보를 기입하고 접속 버튼을 클릭할 수 있다.
컨트롤러(102)는 접속 제어 애플리케이션이 접속 요청한 정보(해당 단말의 종류, 위치 정보, 환경 및 단말이 포함되어 있는 네트워크 등)가 정책에 의해 접속 가능한 상태인지 여부, 노드(101) 및 네트워크 식별 정보(단말 식별 정보, IP 주소, MAC 주소 등)가 블랙리스트에 포함되어 있는지 여부를 검사하여 노드(101)이 접속 가능한 상태인지를 확인하고, 접속 가능한 상태인 경우 제어 플로우를 생성하고 생성된 제어 플로우 식별 정보를 노드(101)에 전송할 수 있다.
만약 노드(101)이 접속 불가능한 상태인 경우, 접속 제어 애플리케이션은 화면에 접속 불가 메시지 및 사유를 표시할 수 있다.
컨트롤러(102)에 정상적으로 접속된 경우, 이후 노드(101)에서 발생되는 모든 네트워크 접속 요청은 컨트롤러(102)를 통해 인가 여부를 확인하게 되며, 현재 단계에서는 사용자 인증이 이루어지지 않은 상태이므로 비식별 사용자(게스트)에 해당하는 접속 정책이 적용될 수 있다.
도 5는 다양한 실시예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
동작 505에서, 노드(101)은 컨트롤러 접속 요청 이벤트를 감지할 수 있다. 노드(101)의 접속 제어 애플리케이션(111)은 컨트롤러(102)와 제어 플로우(제어 데이터 패킷 흐름 및 일련의 세션)를 생성하기 위해 컨트롤러(102)에 접속 요청할 수 있다.
동작 510에서, 컨트롤러(102)는 노드(101)의 접속 제어 애플리케이션(111)이 접속 요청한 정보(해당 노드(101)의 종류, 위치 정보, 환경 및 노드(101)이 포함되어 있는 네트워크, 접속 제어 애플리케이션 정보 등)가 정책에 의해 접속 가능한 상태인지 여부, 단말 및 네트워크 식별 정보(단말 식별 정보, IP 주소, MAC 주소 등)가 블랙리스트에 포함되어 있는지 여부를 검사하여 노드(101)이 접속 가능한 상태인지를 확인할 수 있다.
만약 접속이 불가능하거나 블랙리스트에 포함된 경우 접속 불가 정보를 전송할 수 있다.
동작 515에서, 접속 가능한 노드(101)인 경우, 제어 플로우를 생성하고 난수 형태로 제어 플로우 식별 정보 생성, 노드(101) 및 네트워크 식별 정보(노드(101) 식별 정보, IP 주소, MAC 주소 등)를 기입하여 제어 플로우 테이블(315)에 추가할 수 있다.
동작 520에서, 컨트롤러(102)는 식별된 정보(노드(101), 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하며, 접속 결과로서 접속 완료 상태 및 이후 노드(101)의 사용자 인증 요청 및 지속적인 노드(101) 정보 업데이트시, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 상기의 과정을 통해서 생성된 애플리케이션 화이트리스트를 반환할 수 있다.
만약 접속이 불가능한 경우, 컨트롤러(102)는 노드(101)에 접속 불가 결과를 전송할 수 있다.
동작 525에서, 노드(101)은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
만약 접속이 불가능한 경우, 접속 제어 애플리케이션의 실행을 중지하고 종료하거나, 관련 오류 메시지를 표시할 수 있다.
동작 530에서, 노드(101)은 컨트롤러(102)로부터 애플리케이션 화이트리스트를 수신한 경우, 해당 애플리케이션이 노드(101)에 설치되어 있는지 여부를 확인하고, 존재하는 애플리케이션의 경우, 유효성 검사 정책에 따라 해당 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위·변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 수행한 결과를 컨트롤러(102)로 전송할 수 있다.
동작 535에서, 접속이 가능한 경우, 해당 네트워크에 연결된 노드(101)의 접속을 허용하기 위해 방화벽 정책(312)에서 해당 노드(101)이 접속하고자 하는 목적지 네트워크 경계의 방화벽(103)과 접속이 가능한지 여부를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP 주소와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP 주소, 도착지 IP 주소 및 포트 정보, 데이터 패킷 검사 정보에 기초하여 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 방화벽(103) 및 노드(101)에 각각 전송할 수 있다.
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 노드(101)에 전송할 수 있다.
동작 540에서, 방화벽(103)은 컨트롤러(102)로부터 데이터 플로우 정보를 수신할 수 있다.
동작 545에서, 노드(101)은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
사용자 인증
컨트롤러(102)는 접속 제어 애플리케이션이 인증 요청한 정보(사용자 식별 정보 및 비밀번호, 강화된 인증 정보 등)에 기초하여 접속 가능한 사용자 인지 여부와 블랙리스트에 포함되어 있는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인하고 접속 가능한 상태인 경우 인증 절차를 완료하고 제어 플로우에 사용자 식별 정보를 추가할 수 있다.
만약 사용자 인증이 실패한 경우, 접속 제어 애플리케이션은 화면에 접속 불가 메시지 및 사유를 표시할 수 있다.
사용자가 정상적으로 인증된 경우, 인증된 사용자에 해당하는 접속 정책이 적용되어 네트워크 접속 인가 여부를 확인하게 될 수 있다.
도 6은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
동작 605에서, 노드(101)은 사용자 인증 요청 이벤트를 감지할 수 있다. 접속 제어 애플리케이션(111)은 네트워크의 상세한 접속 권한을 부여 받기 위해 사용자 인증을 수행할 수 있으며, 사용자 식별 정보 및 비밀번호 또는 강화된 인증 방법에 의한 인증 정보를 전송할 수 있다.
동작 610에서, 컨트롤러(102)는 접속 제어 애플리케이션(111)이 인증 요청한 정보(사용자 식별 정보 및 비밀번호, 강화된 인증 정보 등)에 기초하여 접속 가능한 사용자 인지 여부와 블랙리스트에 포함되어 있는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인할 수 있다.
만약 접속이 불가능하거나 블랙리스트에 포함된 경우 접속 불가 정보를 전송할 수 있다.
동작 615에서, 접속 가능한 사용자인 경우, 전송한 제어 플로우 식별 정보로 제어 플로우 테이블(315)에서 제어 플로우를 검색하고, 검색된 제어 플로우에의 식별 정보에 사용자 식별 정보(사용자 식별 정보)를 추가할 수 있다.
컨트롤러(102)는 사용자 인증 결과로서 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 반환할 수 있다.
동작 620에서, 컨트롤러(102)는 식별된 정보(노드(101), 출발지 네트워크 정보, 사용자 식별 정보 등)와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하며, 접속 결과로서 접속 완료 상태 및 이후 노드(101)의 사용자 인증 요청 및 지속적인 단말 정보 업데이트시, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 상기의 과정을 통해서 생성된 애플리케이션 화이트리스트를 반환할 수 있다. 만약 접속이 불가능한 경우, 컨트롤러(102)는 노드(101)에 접속 불가 결과를 전송할 수 있다.
동작 625에서, 노드(101)은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다. 만약 접속이 불가능한 경우, 접속 제어 애플리케이션(111)의 실행을 중지하고 종료하거나, 관련 오류 메시지를 표시할 수 있다.
동작 630에서, 노드(101)은 컨트롤러(102)로부터 애플리케이션 화이트리스트를 수신한 경우, 해당 애플리케이션이 노드(101)에 설치되어 있는지 여부를 확인하고, 존재하는 애플리케이션의 경우, 유효성 검사 정책에 따라 해당 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 수행한 결과를 컨트롤러(102)로 전송할 수 있다.
동작 635에서, 접속이 가능한 경우, 해당 네트워크에 연결된 노드(101)의 접속을 허용하기 위해 방화벽(103) 정책에서 해당 노드(101)이 접속하고자 하는 목적지 네트워크 경계의 방화벽(103)과 접속이 가능한지 여부를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP 주소와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP 주소, 도착지 IP 주소 및 포트 정보, 데이터 패킷 검사 정보에 기초하여 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 방화벽(103) 및 노드(101)에 각각 전송할 수 있다.
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 노드(101)에 전송할 수 있다.
동작 640에서, 방화벽(103)은 컨트롤러(102)로부터 데이터 플로우 정보를 수신할 수 있다.
동작 645에서, 노드(101)은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
애플리케이션 실행 및 접속 웹 주소 입력
노드(101)의 모든 애플리케이션은 네트워크 접속을 하고자 할 경우 접속 제어 애플리케이션에 의해 통제될 수 있다.
접속 제어 애플리케이션은 노드(101)의 모든 애플리케이션의 네트워크 접속 통제를 위해 커널 및 네트워크 드라이버로 동작하는 부분을 포함할 수 있다.
애플리케이션의 네트워크 접속 제어에 대한 일례로, 인터넷 브라우저를 실행하고 접속하고자 하는 웹 주소를 입력 및 호출할 수 있다.
접속 대상 식별 및 데이터 패킷 전송 제어
접속 제어 애플리케이션은 네트워크 접속 요청이 들어오는 경우, 접속 요청한 애플리케이션과 도착지 IP 주소, 서비스 포트 정보를 식별하고 데이터 플로우 테이블(316)에서 해당 식별 정보로 사용할 수 있는 유효한 데이터 플로우 정보가 있는지 확인할 수 있다.
데이터 플로우 테이블(316)은 접속 및 관리 단위 별로 데이터 패킷을 전송할 수 있는지 여부를 판단하기 위한 정보를 제공할 수 있다.
만약 사용할 수 있는 데이터 플로우 정보가 있다면 데이터 패킷을 전송할 수 있다.
만약 데이터 플로우 정보가 존재하지 않는 경우, 유효성 검사 정책에 따라 유효성 검사 절차를 수행할 수 있다. 유효성 검사는 접속 요청한 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위·변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사 및 컨트롤러(102)로부터 수신된 접속 정책에 따라 접속 애플리케이션, 접속 대상 IP 주소 및 포트가 접속 가능한 상태인지를 사전에 확인하는 절차를 수행할 수 있다.
만약 유효성 검사에 실패한 경우, 데이터 패킷을 DROP하고 접속 제어 애플리케이션에 접속 불가 메시지 및 사유를 표시할 수 있다.
유효성 검사에 성공한 경우, 노드(101)은 컨트롤러(102)에 접속 요청을 수행하며 요청시 각 식별 정보(접속 애플리케이션, 접속 대상 IP 주소, 서비스 포트 정보 등)를 전송할 수 있다.
컨트롤러(102)는 제어 플로우 상에 식별된 정보(노드(101), 사용자, 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 요청한 식별 정보(접속 애플리케이션 및 접속 대상 IP 주소 및 서비스 포트 정보 등)의 포함 여부 및 접속 가능 여부를 확인할 수 있다.
만약 접속이 불가능한 경우, 컨트롤러(102)는 노드(101)에 접속 불가 결과를 전송하고, 접속 제어 애플리케이션은 해당 데이터 패킷을 드롭(DROP)하고 접속 불가 메시지 및 사유를 표시할 수 있다.
접속이 가능한 경우, 목적지 네트워크 경계에 존재하는 방화벽(103)에 해당 데이터 패킷을 허용하기 위한 데이터 플로우 정보를 전송할 수 있다.
접속 제어 애플리케이션은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 확인할 수 있다.
데이터 플로우 정보를 수신한 접속 제어 애플리케이션은 서비스 서버로 데이터 패킷을 전송하며, 목적지 네트워크 경계에 존재하는 방화벽(103)은 수신된 데이터 패킷의 5 튜플 정보에 기초하여 출발지 IP 주소, 도착지 IP 주소, 포트 기반으로 유효한 데이터 플로우가 존재하는지 여부를 확인하여 유효하지 않은 경우, 데이터 패킷을 드롭(DROP)할 수 있다.
만약 유효한 데이터 플로우가 존재하는 경우 데이터 패킷을 포워딩할 수 있다.
이와 같은 절차를 통해 애플리케이션은 기본적으로 목적지 네트워크와 차단된 상태이며, 컨트롤러(102)의 인가 과정 및 방화벽(103)의 데이터 패킷 포워딩 과정을 통해 허용된 데이터 플로우 테이블(316)에 포함된 데이터 패킷만 전송할 수 있는 환경이 제공될 수 있다.
도 7은 다양한 실시예들에 따른 네트워크 접속 처리를 위한 신호 흐름도를 나타낸다.
동작 705에서, 노드(101)은 네트워크 접속 이벤트를 감지할 수 있다.
동작 710에서, 접속 제어 애플리케이션(111)은 서비스 서버와 통신을 수행해야 하는 경우, 해당 서비스 서버와 통신하기 위해 애플리케이션 식별 정보, 도착지 IP 주소와 포트 정보에 기초하여 데이터 플로우 정보가 존재하는지 확인할 수 있다.
만약 데이터 플로우가 존재하지만 유효하지 않은 경우(예컨대, 데이터 패킷 전송 불가 상태) 데이터 패킷은 드롭(DROP)될 수 있다.
만약 데이터 플로우가 존재하는 경우 데이터 패킷을 전송할 수 있다.
동작 715에서, 만약 데이터 패킷이 존재하지 않거나, 인증 시각이 만료되어 갱신이 필요한 경우 및 그 외의 사항에 의하여 데이터 플로우를 갱신해야 하는 경우, 유효성 검사 정책에 따라 유효성 검사 절차를 수행할 수 있다. 유효성 검사는 접속 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위·변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 포함할 수 있다.
동작 720에서, 접속 제어 애플리케이션(111) 애플리케이션은 네트워크 접속 이벤트 이전에 컨트롤러(102)와 생성된 제어 플로우를 식별하기 위한 제어 플로우 식별 정보와 애플리케이션 식별 정보, 접속하고자 하는 서버의 도착지 IP 주소 및 포트 정보에 기초하여 컨트롤러(102)에 네트워크 접속 요청을 수행할 수 있다.
동작 725에서, 컨트롤러(102)는 제어 플로우 상에 식별된 정보(단말, 사용자, 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 요청한 식별 정보(애플리케이션, 도착지 IP 주소 및 서비스 포트 정보 등)의 포함 여부 및 해당 식별 정보로 매핑된 도착지 서버와 네트워크 경계 사이에 존재하는 방화벽(103)과의 접속 가능 여부를 확인할 수 있다.
만약 접속이 불가능한 경우, 컨트롤러(102)는 노드(101)에 접속 불가 결과를 전송할 수 있다.
동작 730에서, 접속이 가능한 경우, 해당 네트워크에 연결된 노드(101)의 접속을 허용하기 위해 방화벽(103) 정책에서 해당 노드(101)이 접속하고자 하는 목적지 네트워크 경계의 방화벽(103)과 접속이 가능한지 여부를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP 주소와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션의 접속을 허용할 수 있도록 출발지 IP 주소, 도착지 IP 주소 및 포트 정보, 데이터 패킷 검사 정보에 기초하여 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 방화벽(103) 및 노드(101)에 각각 전송할 수 있다.
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 노드(101)에 전송할 수 있다.
동작 735에서, 방화벽(103)은 컨트롤러(102)로부터 데이터 플로우 정보를 수신할 수 있다.
동작 740에서, 접속 제어 애플리케이션(111)은 컨트롤러(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
만약 네트워크 접속에 실패한 경우, 데이터 패킷은 드롭(DROP) 될 수 있다.
만약 기존에 존재하는 데이터 플로우에 기초하여 접속이 가능한 경우, 데이터 패킷을 전송할 수 있다.
방화벽의 데이터 패킷 포워딩 제어
방화벽(103)은 데이터 패킷을 수신하는 경우, 데이터 플로우에 존재하는 데이터 패킷이 수신되었는지 여부를 확인할 수 있다.
컨트롤러(102)로부터 수신된 데이터 플로우 정보는 출발지 IP 주소, 도착지 IP 주소, 포트 정보를 포함하여, 데이터 플로우가 존재하지 않는 데이터 패킷의 경우 데이터 패킷을 드롭(DROP)할 수 있다.
만약 유효한 데이터 플로우가 존재하는 경우, 만약 데이터 패킷 검사를 수행해야 할 필요가 없는 경우 데이터 패킷을 포워딩할 수 있다.
만약 데이터 패킷 검사를 수행해야 하는 경우 데이터 패킷을 검사할 수 있다.
데이터 패킷을 단일 검사하는 경우, 단일 데이터 패킷에 대하여 데이터 패킷 검사 룰 DB 정보에 기초하여 일치하는지 여부를 검사할 수 있다.
만약 다중 검사를 수행하는 경우, 전송된 데이터 패킷을 데이터 패킷 전송 종료 지점까지 메모리에 저장하고, 저장된 모든 데이터 패킷에 대하여 데이터 패킷 검사 룰 DB 정보에 기초하여 일치하는지 여부를 검사할 수 있다.
만약 데이터 패킷 검사 룰 데이터베이스(DB)와 일치하는 경우, 데이터 패킷 검사 정보에 따라 패턴이 탐지된 데이터 패킷을 차단할 것인지, 다른 정보로 취합할 것인지, 데이터 패킷을 별도로 복사할 것인지를 확인할 수 있다.
만약 데이터 패킷을 차단해야 하는 경우 해당 데이터 패킷을 드롭(DROP)할 수 있다.
만약 데이터 패킷의 정보를 치환해야 하는 경우, 데이터 패킷 검사 룰 DB에 포함된 치환 정보로 해당 데이터 패킷에서 검출된 부분을 치환 후 포워딩할 수 있다.
만약 데이터 패킷을 별도로 복사하는 경우, 해당 데이터 패킷을 디스크 또는 메모리에 별도로 복사한 후 포워딩할 수 있다.
방화벽(103)은 데이터 패킷 검사 결과 또는 저장된 정보를 컨트롤러(102)로 전송할 수 있다.
도 8은 다양한 실시예들에 따른 데이터 패킷을 포워딩하기 위한 신호 흐름도를 나타낸다.
동작 805에서, 노드(101)은 네트워크 접속 이벤트를 감지할 수 있다.
동작 810에서, 방화벽(103)은 데이터 패킷을 수신하는 경우, IP(Internet Protocol)의 5 튜플 정보에 포함된 출발지 IP 주소, 도착지 IP 주소, 도착지 포트 정보에 기초하여 데이터 플로우 테이블(316)에서 포워딩 가능한 데이터 플로우가 존재하는지 확인할 수 있다.
만약 데이터 플로우가 존재하지 않는 경우, 해당 데이터 패킷을 드롭(DROP)할 수 있다.
동작 815에서, 해당 데이터 플로우 정보에 데이터 패킷 검사가 필요로 한지 여부를 확인할 수 있다.
만약 검사가 불필요한 경우 데이터 패킷을 포워딩한다.
동작 820에서, 데이터 플로우 정보에 포함된 데이터 패킷 검사 룰 DB를 통해서 해당 데이터 패킷이 검사 대상에 포함되었는지 여부를 확인할 수 있다.
데이터 패킷 검사 룰 DB는 데이터 플로우 정보에 포함될 수도 있고, 방대한 양의 데이터 패킷 검사 룰 DB가 존재하는 경우 사전에 방화벽(103)에 저장된 데이터 패킷 검사 룰 DB에서 해당 데이터 패킷을 검사하기 위해 선택적으로 적용하기 위한 식별 정보에 기초하여 데이터 패킷 검사 룰 DB를 선택하여 적용할 수 있다.
해당 절차는 필요에 따라 단일 데이터 패킷 또는 복수의 데이터 패킷을 대상으로 검사할 수 있다.
만약 데이터 패킷 검사 대상에 포함되지 않은 경우 데이터 패킷을 포워딩한다(동작 835).
만약 데이터 패킷 검사 대상에 포함된 경우, 데이터 패킷 처리를 수행할 수 있다.
동작 825에서, 데이터 패킷 치환이 필요한 경우 데이터 플로우 정보에 포함된 치환 정보 또는 규칙을 통해서 해당 데이터 패킷을 치환하고 데이터 패킷을 포워딩 할 수 있다.
동작 830에서, 데이터 패킷 저장이 필요한 경우 데이터 플로우 정보에 포함된 규칙에 따라 데이터 패킷을 메모리 또는 디스크에 저장하고 데이터 패킷을 포워딩할 수 있다(동작 835).
동작 840에서, 데이터 패킷 차단이 필요한 경우 해당 데이터 패킷을 드롭(DROP)할 수 있다.
네트워크 접속 해제
사용자는 더 이상 네트워크 접속이 필요로 하지 않은 경우 또는 노드(101)을 종료하거나 재시작하는 경우 접속 해제 절차를 통해 기존에 생성된 데이터 플로우 정보를 해제할 수 있다.
데이터 플로우 정보가 해제된 노드(101)은 기존의 데이터 플로우 정보를 사용하여 네트워크에 접속할 수 없기 때문에 네트워크에서 격리된 상태가 될 수 있다.
도 9는 다양한 실시예들에 따른 네트워크 접속을 해제하기 위한 신호 흐름도를 나타낸다.
동작 905에서, 노드(101)은 접속 해제 이벤트를 감지할 수 있다. 애플리케이션이 종료되거나 더 이상 네트워크 접속을 사용하지 않는 경우, 연동 시스템으로부터 식별된 정보에 기초하여 접속 종료 요청이 발생하는 경우, 컨트롤러(102)에 제어 플로우 종료 요청을 수행할 수 있다.
동작 910에서, 컨트롤러(102)는 노드(101)이 요청한 제어 플로우 식별 정보에 기초하여 식별 및 검색된 제어 플로우를 제거할 수 있다.
동작 915에서, 제어 플로우가 제거되면 종속되어 있는 모든 데이터 플로우를 중계하는 방화벽(103)에 해당 데이터 플로우를 제거 요청할 수 있다.
동작 920에서, 방화벽(103)은 데이터 플로우를 제거함으로써 해당 애플리케이션이 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태가 될 수 있다.
도 10은 다양한 실시예들에 따른 애플리케이션 실행을 종료하기 위한 신호 흐름도를 나타낸다.
노드(101)의 접속 제어 애플리케이션(111)은, 동작 1005에서, 노드(101)에서 실행중인 애플리케이션(예: 타겟 애플리케이션 또는 접속 제어 애플리케이션)의 종료 여부, 즉 애플리케이션 실행 종료 이벤트를 실시간으로 확인하고, 애플리케이션이 종료된 경우 데이터 플로우 테이블 검사 절차를 수행할 수 있다.
동작 1010에서, 종료된 애플리케이션의 식별 정보 및 PID(Process ID 및 Child Process ID Tree) 정보가 데이터 플로우 테이블에 존재하는지 여부를 확인할 수 있다.
동작 1015에서, 만약 데이터 플로우 테이블에 종료된 애플리케이션의 식별 정보와 PID에 해당하는 데이터 플로우가 존재하는 경우, 해당 데이터 플로우를 삭제할 수 있다.
다중으로 실행 가능한 애플리케이션의 종료를 추적하기 위해 종료된 애플리케이션이 실행중인 프로세스 목록에서 존재하지 않는 경우, 종료된 애플리케이션의 식별 정보에 해당하는 데이터 플로우를 모두 삭제할 수 있다.
접속 제어 애플리케이션 삭제된 데이터 플로우 목록을 컨트롤러로 전송하여 삭제 요청할 수 있다.
동작 1020에서, 컨트롤러는 단말에서 수신된 삭제된 데이터 플로우 목록을 기반으로 데이터 플로우 테이블에서 해당 데이터 플로우를 삭제하고, 삭제된 데이터 플로우 목록을 방화벽(103)로 전송할 수 있다. 또한, 컨트롤러는 노드(101)로부터 방화벽 정책을 회수함으로써 이후 악성 노드가 방화벽에 대한 접속을 시도하는 것을 막을 수 있다.
동작 1025에서, 방화벽(103)은 삭제된 데이터 플로우 목록에 포함된 출발지 IP 주소, 도착지 IP 주소, 및 도착지 포트 정보에 해당하는 데이터 패킷이 더 이상 포워딩되지 않도록 처리할 수 있다.
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (9)

  1. 네트워크 시스템으로서,
    통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하는 노드;
    상기 노드가 접속하고자 하는 목적지 네트워크;
    상기 노드와 상기 목적지 네트워크 사이에 위치하고, 메모리를 포함하는 네트워크 노드; 및
    통신 회로, 상기 통신 회로와 동작 가능하게 연결되는 프로세서, 및 데이터베이스를 저장하는 메모리를 포함하는 서버로서, 상기 노드 및 상기 네트워크 노드와 통신 가능하게 연결되는, 서버
    를 포함하고,
    상기 노드는,
    상기 접속 제어 애플리케이션을 통해, 상기 목적지 네트워크와 통신하기 위해, 타겟 애플리케이션의 식별 정보, 상기 목적지 네트워크의 IP 주소, 및 포트 정보를 포함하는 식별 정보에 기초하는 데이터 플로우의 존재 여부에 따라서 데이터 패킷을 전송 또는 드롭(DROP)하고,
    상기 타겟 애플리케이션 또는 상기 접속 제어 애플리케이션의 실행 종료 이벤트가 확인되면, 상기 종료된 애플리케이션의 식별 정보에 대응하는 상기 데이터 플로우를 삭제하고,
    상기 삭제된 데이터 플로우 목록을 상기 서버로 전송하고,
    상기 서버는,
    상기 삭제된 데이터 플로우 목록을 상기 네트워크 노드로 전송하고,
    상기 노드로부터 네트워크 노드 정책을 회수하도록 하며,
    상기 네트워크 노드는,
    상기 삭제된 데이터 플로우 목록에 포함된 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 및 상기 목적지 네트워크의 포트 정보에 대응하는 데이터 패킷이 더 이상 포워딩되지 않도록 처리하도록 설정된, 네트워크 시스템.
  2. 제1항에 있어서, 상기 서버는,
    제어 플로우 상에 상기 식별 정보와 매칭된 접속 정책에서, 상기 접속 제어 애플리케이션의 식별 정보의 포함 여부 및 상기 식별 정보로 매핑된 상기 목적지 네트워크와 상기 노드의 네트워크 경계 사이에 존재하는 네트워크 노드와의 접속 가능 여부를 확인하고,
    접속이 가능한 경우, 상기 노드의 접속을 허용하기 위해 상기 네트워크 노드 정책에서 상기 노드가 접속하고자 하는 상기 목적지 네트워크 경계의 네트워크 노드와 접속이 가능한지 여부를 확인하고, 데이터 플로우 테이블에서 상기 목적지 네트워크 IP 주소 및 포트로 접속 가능한 데이터 플로우가 존재하는지 확인하며,
    상기 데이터 플로우 테이블에서 유효한 데이터 플로우가 없는 경우, 애플리케이션의 접속을 허용할 수 있도록 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 포트 정보, 및 데이터 패킷 검사 정보에 기초하여 데이터 플로우를 생성하고, 생성된 데이터 플로우를 상기 네트워크 노드 및 상기 노드에 전송하고,
    상기 데이터 플로우 테이블에서 접속 가능한 데이터 플로우가 존재하는 경우, 상기 데이터 플로우를 상기 노드에 전송하도록 구성되는, 네트워크 시스템.
  3. 제1항에 있어서, 상기 네트워크 노드는,
    상기 노드로부터 수신된 데이터 패킷 중에 상기 노드의 IP 주소, 상기 목적지 네트워크의 IP 주소, 및 상기 포트 정보에 기초하여, 상기 데이터베이스에 저장된 데이터 테이블에서 데이터 플로우가 존재하는지 여부를 확인하고,
    상기 데이터 플로우가 존재하지 않는 경우, 수신된 상기 데이터 패킷을 드롭(DROP)하며,
    상기 데이터 플로우가 존재하는 경우, 데이터 플로우에 포함된 데이터 패킷 검사 룰 데이터베이스(DB)에 기초하여 상기 데이터 패킷이 검사 대상에 포함되었는지 여부를 확인하고,
    데이터 패킷 검사 대상에 포함되지 않은 경우, 상기 데이터 패킷을 포워딩하고,
    데이터 패킷 검사 대상에 포함된 경우, 데이터 패킷 처리를 수행하도록 구성되는, 네트워크 시스템.
  4. 제3항에 있어서, 상기 데이터 패킷 처리는,
    상기 데이터 패킷을 단일 검사하는 경우, 단일 데이터 패킷에 대하여 상기 데이터 패킷 검사 룰 데이터베이스에 기초하여 일치하는지 여부를 검사하는 것,
    상기 데이터 패킷을 다중 검사하는 경우, 전송된 데이터 패킷을 데이터 패킷 전송 종료 지점까지 상기 네트워크 노드의 상기 메모리에 저장하고, 저장된 모든 데이터 패킷에 대하여 상기 데이터 패킷 검사 룰 데이터베이스에 기초하여 일치하는지 여부를 검사하는 것,
    상기 데이터 패킷 검사 룰 데이터베이스에 일치하는 경우, 데이터 패킷 검사 정보에 따라 패턴이 탐지된 데이터 패킷을 처리하는 것
    을 포함하고,
    상기 데이터 패킷을 처리하는 것은,
    상기 데이터 패킷을 차단해야 하는 경우, 상기 데이터 패킷을 드롭(DROP)하는 것,
    상기 데이터 패킷의 치환이 필요한 경우, 상기 데이터 플로우에 포함된 치환 정보에 기초하여 상기 데이터 패킷을 치환하고 치환된 데이터 패킷을 포워딩하는 것,
    상기 데이터 패킷의 저장이 필요한 경우, 상기 데이터 플로우에 포함된 규칙에 따라 상기 데이터 패킷을 상기 네트워크 노드의 상기 메모리에 저장하고, 상기 데이터 패킷을 포워딩하는 것
    을 포함하는, 네트워크 시스템.
  5. 제4항에 있어서, 상기 네트워크 노드는,
    데이터 패킷 검사 결과를 상기 서버에 전송하도록 더 구성되는, 네트워크 시스템.
  6. 제2항에 있어서,
    상기 노드는,
    사용자 인증을 요청하는 제1 사용자 입력을 수신하고,
    상기 통신 회로를 이용하여, 상기 서버에 상기 노드의 사용자에 대한 사용자 인증을 요청하고, 상기 사용자 인증 요청은 사용자 식별 정보를 포함하고,
    상기 서버는,
    상기 노드로부터 상기 사용자 인증 요청에 응답하여, 상기 노드에서 접속을 시도하는 사용자가 접속 가능한 사용자인지 여부 및 블랙리스트에 포함되어 있는지 여부를 검사하여 상기 사용자가 차단되어 있는지 여부를 확인하고,
    상기 사용자의 접속이 불가능하거나 상기 사용자가 블랙리스트에 포함된 경우, 접속 불가 정보를 상기 노드에 전송하며,
    상기 사용자가 접속 가능한 사용자인 경우, 전송한 제어 플로우 식별 정보로 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우의 식별 정보에 상기 사용자 식별 정보를 추가하고,
    사용자 인증 결과로서 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 상기 노드에 반환하도록 구성되는, 네트워크 시스템.
  7. 제1항에 있어서,
    상기 노드는,
    제어 플로우 갱신 이벤트를 감지하고, 제어 플로우 갱신을 상기 서버에 요청하도록 구성되고,
    제어 플로우 갱신 결과가 접속 불가인 경우, 애플리케이션을 종료하거나 애플리케이션의 모든 네트워크 접속을 차단하도록 구성되고,
    상기 서버는,
    상기 노드가 요청한 제어 플로우 식별 정보에 기초하여 제어 플로우 테이블에서 제어 플로우가 존재하는지 여부를 확인하고,
    제어 플로우가 존재하지 않는 경우, 접속 불가 정보를 상기 노드에 반환하고,
    제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 상기 제어 플로우에 종속된 데이터 플로우를 탐색하도록 구성되는, 네트워크 시스템.
  8. 제1항에 있어서,
    상기 노드는, 접속 해제 이벤트를 감지하여 상기 서버에 제어 플로우 종료를 요청하도록 구성되고,
    상기 서버는,
    상기 노드가 요청한 제어 플로우 식별 정보에 기초하여 식별 및 검색된 제어 플로우를 제거하고,
    제어 플로우가 제거되면 종속되어 있는 모든 데이터 플로우를 중계하는 상기 네트워크 노드에 데이터 플로우를 제거하도록 요청하도록 구성되고,
    상기 네트워크 노드는, 데이터 플로우를 제거함으로써 애플리케이션이 더 이상 상기 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태가 되도록 구성되는, 네트워크 시스템.
  9. 제1항에 있어서,
    상기 노드의 상기 접속 제어 애플리케이션은, 다중으로 실행 가능한 애플리케이션의 종료를 추적하기 위해 종료된 애플리케이션이 실행 중인 프로세스 목록에서 존재하지 않는 경우, 종료된 애플리케이션의 식별 정보에 해당하는 데이터 플로우를 모두 삭제하도록 더 구성되는, 네트워크 시스템.
KR1020210119167A 2021-09-07 2021-09-07 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 KR102309116B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210119167A KR102309116B1 (ko) 2021-09-07 2021-09-07 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
PCT/KR2022/013321 WO2023038387A1 (ko) 2021-09-07 2022-09-06 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210119167A KR102309116B1 (ko) 2021-09-07 2021-09-07 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Publications (1)

Publication Number Publication Date
KR102309116B1 true KR102309116B1 (ko) 2021-10-08

Family

ID=78610044

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210119167A KR102309116B1 (ko) 2021-09-07 2021-09-07 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Country Status (2)

Country Link
KR (1) KR102309116B1 (ko)
WO (1) WO2023038387A1 (ko)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN114885331A (zh) * 2022-07-12 2022-08-09 中国电力科学研究院有限公司 基于通信模组的网络接入控制方法、系统及存储介质
KR102439880B1 (ko) * 2022-01-26 2022-09-05 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102443714B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 사내 네트워크 외부 접속 보안 시스템
KR102460693B1 (ko) * 2022-02-23 2022-10-31 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023038387A1 (ko) * 2021-09-07 2023-03-16 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102554200B1 (ko) * 2023-04-11 2023-07-12 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102578799B1 (ko) * 2023-01-27 2023-09-15 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102583604B1 (ko) * 2023-03-24 2023-10-06 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
WO2023211121A1 (ko) * 2022-04-28 2023-11-02 프라이빗테크놀로지 주식회사 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102609368B1 (ko) * 2023-02-22 2023-12-05 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160126079A (ko) * 2014-03-05 2016-11-01 후아웨이 테크놀러지 컴퍼니 리미티드 데이터 패킷을 포워딩하는 액세스 노드 장치
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8875256B2 (en) * 2012-11-13 2014-10-28 Advanced Micro Devices, Inc. Data flow processing in a network environment
US10187218B2 (en) * 2015-09-15 2019-01-22 Google Llc Systems and methods for processing packets in a computer network
WO2021020918A1 (ko) * 2019-07-30 2021-02-04 스콥정보통신 주식회사 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
KR102309116B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160126079A (ko) * 2014-03-05 2016-11-01 후아웨이 테크놀러지 컴퍼니 리미티드 데이터 패킷을 포워딩하는 액세스 노드 장치
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102223827B1 (ko) * 2019-09-24 2021-03-08 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
KR102250505B1 (ko) * 2019-09-24 2021-05-12 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023038387A1 (ko) * 2021-09-07 2023-03-16 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102415567B1 (ko) * 2021-11-18 2022-07-05 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023090755A1 (ko) * 2021-11-18 2023-05-25 프라이빗테크놀로지 주식회사 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102443714B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 사내 네트워크 외부 접속 보안 시스템
KR102439880B1 (ko) * 2022-01-26 2022-09-05 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023146305A1 (ko) * 2022-01-26 2023-08-03 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102460693B1 (ko) * 2022-02-23 2022-10-31 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023163504A1 (ko) * 2022-02-23 2023-08-31 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023211121A1 (ko) * 2022-04-28 2023-11-02 프라이빗테크놀로지 주식회사 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
CN114885331A (zh) * 2022-07-12 2022-08-09 中国电力科学研究院有限公司 基于通信模组的网络接入控制方法、系统及存储介质
CN114885331B (zh) * 2022-07-12 2023-07-18 中国电力科学研究院有限公司 基于通信模组的网络接入控制方法、系统及存储介质
KR102578799B1 (ko) * 2023-01-27 2023-09-15 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102609368B1 (ko) * 2023-02-22 2023-12-05 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102583604B1 (ko) * 2023-03-24 2023-10-06 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102554200B1 (ko) * 2023-04-11 2023-07-12 프라이빗테크놀로지 주식회사 논리적 연결 식별 기반 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
WO2023038387A1 (ko) 2023-03-16

Similar Documents

Publication Publication Date Title
KR102309116B1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102204143B1 (ko) 터널 기반 접속성 관리 방법 및 그를 위한 장치 및 시스템
KR102379721B1 (ko) Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102364445B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309115B1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20240259349A1 (en) Tunneling and gateway access system optimized for distributed gateway environment, and method related thereto
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460691B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377247B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102379720B1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
US20240080299A1 (en) Controller-based network access control system, and method thereof
KR102415567B1 (ko) 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102446934B1 (ko) 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102495369B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102502367B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102410552B1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
US20240340274A1 (en) System for controlling network access and method thereof
KR102427663B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460692B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20220247720A1 (en) System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor
US20220247721A1 (en) System For Authenticating And Controlling Network Access Of Terminal, And Method Therefor
KR102593271B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495372B1 (ko) 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102495373B1 (ko) 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460693B1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant