KR102345261B1 - Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System - Google Patents
Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System Download PDFInfo
- Publication number
- KR102345261B1 KR102345261B1 KR1020210062238A KR20210062238A KR102345261B1 KR 102345261 B1 KR102345261 B1 KR 102345261B1 KR 1020210062238 A KR1020210062238 A KR 1020210062238A KR 20210062238 A KR20210062238 A KR 20210062238A KR 102345261 B1 KR102345261 B1 KR 102345261B1
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- information
- authentication
- network
- internal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H04L67/2814—
Abstract
Description
본 발명은 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법에 관한 것으로서, 더욱 상세하게는 관제서버에 의하여, 내부망에 연결된 제1사용자단말이 제1내부정책정보에 부합하는 경우에 상기 제1사용자단말의 내부망 접근을 허가하고, 상기 인증제어부에 의하여, 외부망에 연결된 제2사용자단말의 인증정보가 유효한 것으로 검증된 경우에 상기 제2사용자단말에 대한 통신채널을 수립하도록 하고, 상기 관제서버에 의하여 통신채널이 수립된 제2사용자단말이 제2내부정책정보에 부합하는 경우에 최종적으로 상기 제2사용자단말의 통신채널을 재개하도록 하여, 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말을 관제서버에서 통합 관리할 수 있도록 하는, 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법에 관한 것이다.The present invention relates to a network system and an integrated security method for a user terminal connected to an internal network and an external network performed in the network system, and more particularly, by a control server, a first user terminal connected to the internal network is When the policy information is met, the access to the internal network of the first user terminal is permitted, and when the authentication information of the second user terminal connected to the external network is verified as valid by the authentication control unit, it is transmitted to the second user terminal. to establish a communication channel for the user terminal, and finally to resume the communication channel of the second user terminal when the second user terminal with the communication channel established by the control server conforms to the second internal policy information, A method of integrated security for a network system and a user terminal connected to an internal network and an external network performed in the network system, which enables the control server to manage the first user terminal connected to the first user terminal and the second user terminal connected to the external network will be.
온라인 서비스와 같이 네트워크 기반의 환경이 점차 확대되고 있으며, 최근 코로나 바이러스의 발생으로 인해 비대면 활동들이 크게 증가함에 따라, 다양한 컴퓨팅장치들, 구체적으로 네트워크 시스템의 내부망 및 인터넷 등을 통한 외부망을 통해 연결되는 컴퓨팅장치에 대한 네트워크의 도입이 더욱 활발하게 이루어지고 있다. 그러나, 네트워크 시스템의 도입이 증가함에 따라 보안 문제 또한 크게 증가하고 있는 상황이며, 이에 따라 내부망 및 외부망에 대한 보안을 강화하기 위한 종래의 기술들이 개발되었다.Network-based environments such as online services are gradually expanding, and as non-face-to-face activities increase significantly due to the recent corona virus outbreak, various computing devices, specifically, the internal network of the network system and the external network through the Internet, etc. The introduction of networks for computing devices connected through a network is being made more actively. However, as the introduction of the network system increases, the security problem is also greatly increased. Accordingly, conventional techniques for strengthening the security of the internal network and the external network have been developed.
우선, 내부망에 대하여 각 단말이 연결되는 게이트웨이 또는 허브에 각 단말의 패킷을 모니터링하는 모니터링 서버가 접속되고, 모니터링 서버는 각 단말에서 송신하는 패킷을 모니터링 하여, 변조된 패킷을 송신한 단말에 대하여 해당 단말에서 송신하는 패킷을 수신하는 서버가 해당 단말이 송신한 패킷들을 무시하도록 하는 종래의 보안 방법이 개발되었다. 그러나, 상기 종래의 기술의 경우, 모니터링 서버에서 각 단말에서 송신하는 패킷의 이상 여부를 지속적으로 모니터링해야 하므로, 모니터링 서버 및 해당 네트워크의 트래픽의 부하가 가중되는 문제점이 존재하고, 패킷을 수신하는 서버에 대해서도 단말에서 송신하는 변조된 패킷을 원천적으로 차단하는 것이 아니라, 우선 수신한 후에 무시해야 하므로 해당 서버의 불필요한 부하가 발생할 수 있는 추가적인 문제점이 존재한다.First, a monitoring server that monitors packets of each terminal is connected to the gateway or hub to which each terminal is connected to the internal network, and the monitoring server monitors packets transmitted from each terminal, A conventional security method has been developed in which a server receiving a packet transmitted from a corresponding terminal ignores packets transmitted from the corresponding terminal. However, in the case of the prior art, there is a problem in that the monitoring server continuously monitors whether a packet transmitted from each terminal is abnormal, so that the load of the monitoring server and the traffic of the corresponding network is increased, and the server that receives the packet Also, there is an additional problem that an unnecessary load on the server may occur because the modulated packet transmitted from the terminal is not fundamentally blocked, but must be ignored after receiving it first.
다음으로, 네트워크 시스템의 외부망에 대한 종래의 보안 방법의 경우, 네트워크의 보안을 수립하기 위하여 방화벽(Firewall)이나, 가상사설망(Virtual Private Network, VPN) 장치와 같이 다양한 보안 요소들을 사용하고 있다. 그러나 네트워크의 규모가 커지게 되면 보안 장치들을 네트워크의 구성요소 별로 구비해야 하므로 보안에 따른 비용이 증가하게 되는 문제점이 존재하며, 또한 외부 단말이 방화벽을 통과하거나 가상사설망에 접속한 후에는 직접적으로 서비스를 제공하는 서버와 통신을 수행할 수 있고, 내부 네트워크의 요소들을 쉽게 파악할 수 있으므로, 가상사설망에 접속할 수 있는 ID/PW가 탈취되는 경우에 해당 내부망에 존재하는 서버 및 단말에 쉽게 접근할 수 있는 보안 취약점이 존재한다. 더불어 VPN이나 방화벽의 경우 IP를 기반으로 하기 때문에, 다른 계층에 대해서는 보안에 취약할 수 있는 부가적인 문제가 발생할 수 있다.Next, in the case of a conventional security method for an external network of a network system, various security elements such as a firewall or a virtual private network (VPN) device are used to establish network security. However, as the size of the network increases, security devices must be provided for each component of the network, so there is a problem in that the security cost increases. Since it is possible to communicate with a server that provides A security vulnerability exists. In addition, since VPNs and firewalls are IP-based, additional problems that may be vulnerable to security for other layers may occur.
또한, 이와 같이 네트워크 시스템의 내부망에 대한 보안 및 외부망에 대한 보안을 이원화하는 경우에, 해당 네트워크 시스템을 관리하는 측면에서 내부망에 접속하는 사용자단말에 대한 보안 및 외부망에 접속하는 사용자단말에 대한 보안을 별도의 시스템을 통해 각각 관리해야 하므로, 네트워크 시스템을 관리하기 위한 비용 및 시간이 많이 소요되는 문제점이 존재한다.In addition, in the case of dualizing the security of the internal network and the security of the external network of the network system in this way, in terms of managing the network system, security for the user terminal accessing the internal network and the user terminal accessing the external network Since the security of the network system must be managed through a separate system, there is a problem in that it takes a lot of time and money to manage the network system.
따라서, 네트워크 시스템의 내부망 및 외부망에 대한 종래의 문제점을 개선함과 동시에, 내부망 및 외부망에 접속하는 사용자단말에 대한 보안을 통합적으로 관리하기 위한 새로운 방법의 개발이 필요한 상황이다.Accordingly, there is a need to develop a new method for improving the conventional problems with respect to the internal network and the external network of the network system, and at the same time, for integrally managing the security of the user terminal accessing the internal network and the external network.
본 발명은 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법에 관한 것으로서, 더욱 상세하게는 관제서버에 의하여, 내부망에 연결된 제1사용자단말이 제1내부정책정보에 부합하는 경우에 상기 제1사용자단말의 내부망 접근을 허가하고, 상기 인증제어부에 의하여, 외부망에 연결된 제2사용자단말의 인증정보가 유효한 것으로 검증된 경우에 상기 제2사용자단말에 대한 통신채널을 수립하도록 하고, 상기 관제서버에 의하여 통신채널이 수립된 제2사용자단말이 제2내부정책정보에 부합하는 경우에 최종적으로 상기 제2사용자단말의 통신채널을 재개하도록 하여, 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말을 관제서버에서 통합 관리할 수 있도록 하는, 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법을 제공하는 것을 목적으로 한다.The present invention relates to a network system and an integrated security method for a user terminal connected to an internal network and an external network performed in the network system, and more particularly, by a control server, a first user terminal connected to the internal network is When the policy information is met, the access to the internal network of the first user terminal is permitted, and when the authentication information of the second user terminal connected to the external network is verified as valid by the authentication control unit, it is transmitted to the second user terminal. to establish a communication channel for the user terminal, and finally to resume the communication channel of the second user terminal when the second user terminal with the communication channel established by the control server conforms to the second internal policy information, Provides an integrated security method for a network system and a user terminal connected to an internal network and an external network performed by the network system, which enables the control server to manage the first user terminal connected to the first user terminal and the second user terminal connected to the external network aim to do
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 네트워크시스템에서 수행하는 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말에 대한 통합보안 방법으로서, 상기 네트워크시스템은 관제서버, 차단서버 및 인증제어부를 포함하고, 상기 관제서버에 의하여, 상기 내부망에 연결된 제1사용자단말에 상응하는 제1내부정책정보를 상기 제1사용자단말에 제공하고, 상기 제1사용자단말로부터 수신한 상기 제1내부정책정보에 따른 판단결과에 기초하여 상기 차단서버로 하여금 상기 제1사용자단말의 상기 내부망 접근을 허가 또는 차단하는 내부망제어단계; 상기 인증제어부에 의하여, 상기 외부망에 연결된 제2사용자단말로부터 수신한 인증정보를 검증하여 상기 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성하여 상기 제2사용자단말에 송신하고, 상기 제2사용자단말로부터 수신한 상기 인증토큰을 포함하는 라우팅요청정보에 기초하여 상기 제2사용자단말에 설치된 서비스어플리케이션 및 서비스서버에 대한 통신채널을 수립하기 위한 라우팅정보를 상기 제2사용자단말에 송신하는 외부망제어단계; 및 상기 관제서버에 의하여, 상기 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말에 의하여 상기 수립된 통신채널이 중지된 상태에서, 상기 제2사용자단말에 상응하는 제2내부정책정보를 상기 제2사용자단말에 제공하고, 상기 제2사용자단말로부터 수신한 상기 제2내부정책정보에 따른 판단결과에 기초하여 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통합제어단계;를 포함하는, 통합보안 방법을 제공한다.In order to solve the above problems, in one embodiment of the present invention, as an integrated security method for a first user terminal connected to an internal network and a second user terminal connected to an external network performed in a network system, the network system comprises: a control server, a blocking server, and an authentication control unit, wherein the control server provides first internal policy information corresponding to a first user terminal connected to the internal network to the first user terminal, and the first user terminal an internal network control step of allowing or blocking, by the blocking server, access to the internal network of the first user terminal based on a determination result according to the first internal policy information received from; By the authentication control unit, the authentication information received from the second user terminal connected to the external network is verified, and when the authentication information is verified as valid, an authentication token is generated and transmitted to the second user terminal, and the second An external network for transmitting routing information for establishing a communication channel for a service application and a service server installed in the second user terminal to the second user terminal based on the routing request information including the authentication token received from the user terminal control step; and, by the control server, in a state in which the established communication channel is stopped by the second user terminal in which the communication channel is established through the external network control step, second internal policy information corresponding to the second user terminal An integrated control step of providing to the second user terminal and resuming the communication channel stopped by the second user terminal based on a determination result according to the second internal policy information received from the second user terminal; to provide an integrated security method.
본 발명의 일 실시예에서는, 상기 인증정보는, 상기 네트워크시스템의 식별정보, 상기 제2사용자단말의 식별정보 및 상기 제2사용자단말의 사용자에 대한 사용자정보를 포함하고, 상기 외부망제어단계는, 수신한 상기 인증정보에 포함된 상기 제2사용자단말의 식별정보 및 상기 사용자정보가 상기 인증제어부에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별한 경우에 인증토큰을 생성하여 상기 제2사용자단말에 제공할 수 있다.In an embodiment of the present invention, the authentication information includes identification information of the network system, identification information of the second user terminal, and user information about a user of the second user terminal, wherein the external network control step includes: , it is determined whether the identification information of the second user terminal and the user information included in the received authentication information are included in the database stored in the authentication control unit, and when it is determined that they are included, an authentication token is generated to generate the first 2 It can be provided to the user terminal.
본 발명의 일 실시예에서는, 상기 네트워크시스템은 인증검증부를 더 포함하고, 상기 통합보안 방법은, 상기 인증검증부에 의하여, 상기 외부망제어단계를 통해 상기 제2사용자단말에서 송신하는 상기 인증정보를 수신하고, 상기 인증정보에 포함된 상기 네트워크시스템의 식별정보를 검증하여 유효한 것으로 검증된 경우에 상기 인증제어부로 상기 인증정보를 송신하는 인증검증단계; 및 상기 인증검증부에 의하여, 상기 외부망제어단계를 통해 상기 제2사용자단말에서 송신하는 상기 라우팅요청정보를 수신하고, 상기 라우팅요청정보에 포함된 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 검증하여 유효한 것으로 검증된 경우에 상기 인증제어부로 상기 라우팅요청정보를 송신하는 라우팅요청검증단계;를 더 포함할 수 있다.In an embodiment of the present invention, the network system further includes an authentication verification unit, and in the integrated security method, the authentication information transmitted from the second user terminal through the external network control step by the authentication verification unit an authentication verification step of receiving and transmitting the authentication information to the authentication control unit when validated by verifying the identification information of the network system included in the authentication information; and the authentication verification unit receives the routing request information transmitted from the second user terminal through the external network control step, and verifies the identification information of the network system and the authentication token included in the routing request information. and a routing request verification step of transmitting the routing request information to the authentication control unit when verified as valid.
본 발명의 일 실시예에서는, 상기 외부망제어단계는, 외부정책제공단계를 포함하고, 상기 외부정책제공단계는, 상기 외부망제어단계를 통해 상기 인증토큰을 수신한 제2사용자단말로부터 외부정책요청정보를 수신하고, 상기 외부정책요청정보에 기초하여 상기 제2사용자단말에 상응하는 외부정책정보를 상기 제2사용자단말에 제공하고, 상기 외부망제어단계는, 상기 외부정책제공단계를 통해 외부정책정보를 제공받은 제2사용자단말에서 상기 제2사용자단말이 상기 외부정책정보에 부합하는 것으로 판별한 경우에 상기 제2사용자단말로부터 상기 라우팅요청정보를 수신할 수 있다.In an embodiment of the present invention, the step of controlling the external network includes the step of providing an external policy, and the step of providing the external policy includes an external policy from the second user terminal that has received the authentication token through the external network control step. receiving request information, and providing external policy information corresponding to the second user terminal to the second user terminal based on the external policy request information, wherein the external network control step includes: When the second user terminal provided with the policy information determines that the second user terminal conforms to the external policy information, the routing request information may be received from the second user terminal.
본 발명의 일 실시예에서는, 상기 네트워크시스템은 배포서버를 더 포함하고, 상기 통합보안 방법은, 상기 관제서버에 의하여, 상기 통합제어단계에서 상기 제2사용자단말로부터 상기 제2사용자단말이 상기 제2내부정책정보에 부합하지 않는 것으로 판단한 판단결과를 수신하는 경우에 상기 제2사용자단말이 상기 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계; 및 상기 관제서버에 의하여, 상기 리다이렉트단계를 통해 상기 배포서버와 통신을 수행한 상기 제2사용자단말이 상기 제2내부정책정보에 부합하는 경우에 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통신채널재개단계;를 더 포함할 수 있다.In an embodiment of the present invention, the network system further includes a distribution server, and the integrated security method includes, by the control server, the second user terminal from the second user terminal in the integrated control step. 2 A redirecting step of controlling the second user terminal to communicate with the distribution server when receiving a determination result determined not to conform to the internal policy information; and by the control server, when the second user terminal communicating with the distribution server through the redirecting step matches the second internal policy information, the communication channel stopped by the second user terminal is resumed It may further include; a communication channel resumption step.
본 발명의 일 실시예에서는, 상기 통합보안 방법은, 상기 관제서버에 의하여, 상기 내부망제어단계를 통해 상기 내부망 접근이 허가 또는 차단된 1 이상의 제1사용자단말 및 상기 외부망제어단계를 통해 통신채널이 수립된 1 이상의 제2사용자단말의 상태정보가 표시되는 상태정보레이어; 및 상기 제1사용자단말에 대한 제1내부정책정보 및 상기 제2사용자단말에 대한 제2내부정책정보에 대한 설정을 입력받는 정책설정레이어;를 포함하는 관리자인터페이스를 상기 관제서버와 통신을 수행하는 관리자단말에 제공하는 인터페이스제공단계를 더 포함할 수 있다.In an embodiment of the present invention, the integrated security method is, by the control server, through the internal network control step, the internal network access is permitted or blocked at least one first user terminal and through the external network control step a status information layer on which status information of one or more second user terminals with established communication channels is displayed; and a policy setting layer that receives settings for the first internal policy information for the first user terminal and the second internal policy information for the second user terminal; The step of providing an interface to the manager terminal may be further included.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말에 대한 통합보안 방법을 수행하는 네트워크시스템으로서,In order to solve the above problems, in an embodiment of the present invention, as a network system for performing an integrated security method for a first user terminal connected to an internal network and a second user terminal connected to an external network,
상기 네트워크시스템은 관제서버, 차단서버 및 인증제어부를 포함하고, 상기 관제서버에 의하여, 상기 내부망에 연결된 제1사용자단말에 상응하는 제1내부정책정보를 상기 제1사용자단말에 제공하고, 상기 제1사용자단말로부터 수신한 상기 제1내부정책정보에 따른 판단결과에 기초하여 상기 차단서버로 하여금 상기 제1사용자단말의 상기 내부망 접근을 허가 또는 차단하는 내부망제어단계; 상기 인증제어부에 의하여, 상기 외부망에 연결된 제2사용자단말로부터 수신한 인증정보를 검증하여 상기 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성하여 상기 제2사용자단말에 송신하고, 상기 제2사용자단말로부터 수신한 상기 인증토큰을 포함하는 라우팅요청정보에 기초하여 상기 제2사용자단말에 설치된 서비스어플리케이션 및 서비스서버에 대한 통신채널을 수립하기 위한 라우팅정보를 상기 제2사용자단말에 송신하는 외부망제어단계; 및 상기 관제서버에 의하여, 상기 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말에 의하여 상기 수립된 통신채널이 중지된 상태에서, 상기 제2사용자단말에 상응하는 제2내부정책정보를 상기 제2사용자단말에 제공하고, 상기 제2사용자단말로부터 수신한 상기 제2내부정책정보에 따른 판단결과에 기초하여 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통합제어단계;를 수행하는, 네트워크시스템을 제공한다.The network system includes a control server, a blocking server, and an authentication control unit, and provides, by the control server, first internal policy information corresponding to a first user terminal connected to the internal network to the first user terminal, an internal network control step of allowing or blocking, by the blocking server, access to the internal network of the first user terminal based on a determination result according to the first internal policy information received from the first user terminal; By the authentication control unit, the authentication information received from the second user terminal connected to the external network is verified, and when the authentication information is verified as valid, an authentication token is generated and transmitted to the second user terminal, and the second An external network for transmitting routing information for establishing a communication channel for a service application and a service server installed in the second user terminal to the second user terminal based on the routing request information including the authentication token received from the user terminal control step; and, by the control server, in a state in which the established communication channel is stopped by the second user terminal in which the communication channel is established through the external network control step, second internal policy information corresponding to the second user terminal An integrated control step of providing to the second user terminal and resuming the communication channel stopped by the second user terminal based on a determination result according to the second internal policy information received from the second user terminal; performing; to provide a network system.
본 발명의 일 실시예에 따르면, 관제서버는 내부망에 연결된 제1사용자단말이 제1내부정책정보에 부합하는지 여부에 따라 상기 제1사용자단말의 내부망 접근을 허가 또는 차단하고, 인증제어부에 의하여 외부망에 연결된 제2사용자단말에 대한 통신채널이 수립된 이후에, 상기 제2사용자단말이 제2내부정책정보에 부합하는지 여부에 따라 수립된 통신채널을 재개하도록 하므로, 관제서버를 통해 내부망에 연결되는 제1사용자단말 및 외부망에 연결되는 제2사용자단말에 대한 보안을 통합적으로 관리할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the control server permits or blocks access to the internal network of the first user terminal according to whether the first user terminal connected to the internal network conforms to the first internal policy information, and the authentication control unit After the communication channel for the second user terminal connected to the external network is established by the It is possible to exert the effect of integrally managing the security of the first user terminal connected to the network and the second user terminal connected to the external network.
본 발명의 일 실시예에 따르면, 관제서버는 관리자단말에 관리자인터페이스를 제공함으로써, 관리자가 상기 관리자인터페이스를 통해 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말의 상태를 통합적으로 확인할 수 있고, 제1사용자단말 및 제2사용자단말에 대한 정책들을 설정할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the control server provides a manager interface to the manager terminal, so that the manager can integrate the states of the first user terminal connected to the internal network and the second user terminal connected to the external network through the manager interface. can be confirmed, and the effect of setting policies for the first user terminal and the second user terminal can be exerted.
본 발명의 일 실시예에 따르면, 관제서버는 에이전트어플리케이션이 설치된 제1사용자단말 및 제2사용자단말의 접속을 차단한 경우에 각 사용자단말에 대하여 배포서버와 통신하도록 제어하므로, 상기 각각의 사용자단말이 배포서버와 통신을 통해 정책에 부합하도록 하는 소정의 과정들을 수행하여 접속이 허가될 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the control server controls each user terminal to communicate with the distribution server when the connection of the first user terminal and the second user terminal installed with the agent application is blocked, each user terminal Through communication with the distribution server, it is possible to exert the effect of allowing access by performing predetermined processes to conform to the policy.
본 발명의 일 실시예에 따르면, 내부망의 게이트웨이에 접속된 제1사용자단말의 네트워크 접속을 차단하고자 하는 경우에, 상기 제1사용자단말에 설정된 상기 게이트웨이 주소정보를 차단서버의 주소정보로 변경하므로, 차단하고자 하는 제1사용자단말의 패킷이 게이트웨이를 통해 네트워크로 송신되는 것을 사전에 차단할 수 있으므로, 해당 네트워크 및 패킷의 목적지에 해당하는 서버의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, when the network connection of the first user terminal connected to the gateway of the internal network is to be blocked, the gateway address information set in the first user terminal is changed to the address information of the blocking server. , since it is possible to block in advance that the packet of the first user terminal to be blocked is transmitted to the network through the gateway, it is possible to reduce the load on the server corresponding to the network and the destination of the packet.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치된 제1사용자단말은 관제서버에서 제공하는 제1내부정책정보에 부합하는 경우에 내부망에 접근할 수 있으므로, 제1내부정책정보에 포함된 다양한 정책들을 통해 내부망 접근에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the first user terminal installed with the agent application can access the internal network when it meets the first internal policy information provided by the control server, various Policies can have the effect of improving the security of access to the internal network.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치되지 않은 제1사용자단말에서 송신하는 인증정보는 상기 제1사용자단말의 주소정보뿐만 아니라, 패킷사이즈 정보 등의 추가적인 정보들을 포함하고, 관제서버는 상기 인증정보에 기초하여 상기 제1사용자단말의 내부망 접근을 제어하므로, 동일한 주소정보를 갖는 악의적 목적의 단말에 대한 내부망 접근을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication information transmitted from the first user terminal on which the agent application is not installed includes not only the address information of the first user terminal, but also additional information such as packet size information, and the control server Since access to the internal network of the first user terminal is controlled based on the authentication information, it is possible to exert an effect of preventing access to the internal network by a malicious terminal having the same address information.
본 발명의 일 실시예에 따르면, 관제서버는 제1사용자단말의 내부망 접근을 허가하지 않는 경우에, 상기 내부망에 연결된 나머지 제1사용자단말에 설정되어 있는 허가되지 않은 제1사용자단말의 주소정보를 가상주소정보로 변경하므로, 내부망에 연결된 제1사용자단말 사이의 통신에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, when the control server does not permit the first user terminal to access the internal network, the address of the unauthorized first user terminal set in the remaining first user terminals connected to the internal network Since the information is changed to virtual address information, it is possible to exert an effect of improving the security of communication between the first user terminals connected to the internal network.
본 발명의 일 실시예에 따르면, 제2사용자단말은 인증검증부 및 인증제어부와의 통신을 수행하여 외부망에 대한 접근이 허가된 후에 서비스서버와의 통신채널이 수립될 수 있으므로, 접근이 허가되기 전까지 상기 제2사용자단말의 서비스서버에 대한 접근을 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the second user terminal communicates with the authentication verification unit and the authentication control unit to establish a communication channel with the service server after access to the external network is permitted, access is permitted. It is possible to exhibit the effect of fundamentally blocking the access to the service server of the second user terminal until it is done.
본 발명의 일 실시예에 따르면, 인증제어부는 인증정보에 포함된 제2사용자단말의 식별정보 및 제2사용자단말의 사용자에 대한 사용자정보를 확인한 후에, 서비스서버와의 통신채널을 수립할 수 있는 인증토큰을 제2사용자단말에 제공하므로, ID/PW와 같이 사용자정보 뿐만 아니라, 제2사용자단말까지 확인하므로 인증되지 않은 제2사용자단말의 접속을 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication control unit can establish a communication channel with the service server after confirming the identification information of the second user terminal and the user information about the user of the second user terminal included in the authentication information. Since the authentication token is provided to the second user terminal, not only user information such as ID/PW, but also the second user terminal is checked, so that an unauthorized access to the second user terminal can be blocked.
본 발명의 일 실시예에 따르면, 인증제어부는 제2사용자단말에 상응하는 제2내부정책정보를 제공하여, 제2사용자단말에 설치된 에이전트어플리케이션에서 해당 제2사용자단말이 상기 제2내부정책정보에 부합하는 것으로 판단한 경우에 서비스서버와의 통신채널을 재개할 수 있도록 하므로, 네트워크시스템의 관리자가 설정한 정책에 부합하는 제2사용자단말만 네트워크시스템에 접근할 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication control unit provides the second internal policy information corresponding to the second user terminal, so that the second user terminal responds to the second internal policy information in the agent application installed on the second user terminal. Since the communication channel with the service server can be resumed when it is determined to be consistent, it is possible to exert the effect of allowing only the second user terminal that meets the policy set by the administrator of the network system to access the network system.
본 발명의 일 실시예에 따르면, 인증제어부에서 제2사용자단말에 제공하는 라우팅정보는 제2사용자단말의 서비스어플리케이션과 통신이 수립되는 게이트웨이의 주소정보 및 서비스서버의 주소정보만을 포함하므로, 제2사용자단말이 네트워크시스템의 타 구성요소에 접근하는 것을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the routing information provided to the second user terminal by the authentication control unit includes only the address information of the gateway through which communication with the service application of the second user terminal is established and the address information of the service server, so that the second It can have the effect of preventing the user terminal from accessing other components of the network system.
본 발명의 일 실시예에 따르면, 네트워크시스템에 포함되는 인증검증부에서 제2사용자단말로부터 수신한 정보들을 검증하여, 유효한 것으로 검증된 경우에 정보들을 인증제어부로 송신하므로, 인증제어부의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the authentication verification unit included in the network system verifies the information received from the second user terminal and transmits the information to the authentication control unit when verified as valid, the load of the authentication control unit is reduced. possible effect can be exerted.
도 1은 본 발명의 일 실시예에 따른 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말에 대한 통합보안 방법을 수행하는 네트워크시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 통합보안 방법의 세부 단계들을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 내부망제어단계의 세부 단계들을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 내부망제어단계에서의 내부인증정보 및 접근제어정보의 구성요소들을 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따른 내부망 접근이 허가되지 않은 제1사용자단말에 설정된 게이트웨이 주소정보 및 나머지 제1사용자단말에 설정된 내부망 접근이 허가되지 않은 제1사용자단말의 주소정보를 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 관제서버 및 에이전트어플리케이션이 설치되지 않은 제1사용자단말에 대한 예외정책정보의 구성요소들을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 외부망제어단계에 포함되는 인증토큰제공단계 및 인증검증부에서 수행하는 인증검증단계의 수행과정들을 개략적으로 도시한다.
도 8은 본 발명의 일 실시예에 따른 인증검증부에서 수행하는 외부정책요청정보검증단계 및 외부망제어단계에 포함되는 외부정책정보제공단계의 수행과정들을 개략적으로 도시한다.
도 9는 본 발명의 일 실시예에 따른 제2사용자단말에 제공하는 외부정책정보를 개략적으로 도시한다.
도 10은 본 발명의 일 실시예에 따른 인증검증부에서 수행하는 라우팅요청검증단계 및 외부망제어단계에 포함되는 라우팅정보제공단계를 개략적으로 도시한다.
도 11은 본 발명의 일 실시예에 따른 제2사용자단말에서 라우팅정보에 따라 서비스어플리케이션에 대한 통신채널을 수립하는 과정을 개략적으로 도시한다.
도 12는 본 발명의 일 실시예에 따른 관제서버에서 수행하는 리다이렉트단계 및 통신채널재개단계의 세부 단계들을 개략적으로 도시한다.
도 13은 본 발명의 일 실시예에 따른 관리자단말에 표시되는 관리자인터페이스의 상태정보레이어를 개략적으로 도시한다.
도 14는 본 발명의 일 실시예에 따른 관리자단말에 표시되는 관리자인터페이스의 정책설정레이어를 개략적으로 도시한다.
도 15는 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.1 schematically illustrates a network system for performing an integrated security method for a first user terminal connected to an internal network and a second user terminal connected to an external network according to an embodiment of the present invention.
2 schematically illustrates detailed steps of an integrated security method performed in a network system according to an embodiment of the present invention.
3 schematically shows detailed steps of an internal network control step performed in a network system according to an embodiment of the present invention.
4 schematically shows components of internal authentication information and access control information in the internal network control step according to an embodiment of the present invention.
5 shows gateway address information set in the first user terminal to which access to the internal network is not permitted and address information of the first user terminal not permitted to access the internal network set in the remaining first user terminals according to an embodiment of the present invention; schematically shown.
6 schematically illustrates components of exception policy information for a first user terminal on which a control server and an agent application are not installed according to an embodiment of the present invention.
7 schematically shows the execution processes of the authentication token providing step included in the external network control step performed in the network system and the authentication verification step performed by the authentication verification unit according to an embodiment of the present invention.
8 schematically illustrates the execution processes of the external policy request information verification step performed by the authentication verification unit and the external policy information providing step included in the external network control step according to an embodiment of the present invention.
9 schematically illustrates external policy information provided to a second user terminal according to an embodiment of the present invention.
10 schematically illustrates the routing information providing step included in the routing request verification step and the external network control step performed by the authentication verification unit according to an embodiment of the present invention.
11 schematically illustrates a process of establishing a communication channel for a service application according to routing information in a second user terminal according to an embodiment of the present invention.
12 schematically illustrates detailed steps of a redirect step and a communication channel resumption step performed by the control server according to an embodiment of the present invention.
13 schematically illustrates a state information layer of a manager interface displayed on a manager terminal according to an embodiment of the present invention.
14 schematically illustrates a policy setting layer of a manager interface displayed on a manager terminal according to an embodiment of the present invention.
15 schematically illustrates an internal configuration of a computing device according to an embodiment of the present invention.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.Hereinafter, various embodiments and/or aspects are disclosed with reference to the drawings. In the following description, for purposes of explanation, numerous specific details are set forth to provide a thorough understanding of one or more aspects. However, it will also be recognized by one of ordinary skill in the art that such aspect(s) may be practiced without these specific details. The following description and accompanying drawings set forth in detail certain illustrative aspects of one or more aspects. These aspects are illustrative, however, and some of various methods may be employed in the principles of the various aspects, and the descriptions set forth are intended to include all such aspects and their equivalents.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.Further, various aspects and features will be presented by a system that may include a number of devices, components and/or modules, and the like. It is also noted that various systems may include additional apparatuses, components, and/or modules, etc. and/or may not include all of the apparatuses, components, modules, etc. discussed with respect to the drawings. must be understood and recognized.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.As used herein, “embodiment”, “example”, “aspect”, “exemplary”, etc. may not be construed as an advantage or advantage in any aspect or design being described over other aspects or designs. . The terms '~part', 'component', 'module', 'system', 'interface', etc. used below generally mean a computer-related entity, for example, hardware, hardware A combination of and software may mean software.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.Also, the terms "comprises" and/or "comprising" mean that the feature and/or element is present, but excludes the presence or addition of one or more other features, elements, and/or groups thereof. should be understood as not
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Also, terms including an ordinal number, such as first, second, etc., may be used to describe various elements, but the elements are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, a first component may be referred to as a second component, and similarly, a second component may also be referred to as a first component. and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.In addition, in the embodiments of the present invention, unless otherwise defined, all terms used herein, including technical or scientific terms, are generally understood by those of ordinary skill in the art to which the present invention belongs. have the same meaning as Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and unless explicitly defined in an embodiment of the present invention, an ideal or excessively formal meaning is not interpreted as
도 1은 본 발명의 일 실시예에 따른 내부망에 연결된 제1사용자단말(9100 및 9200) 및 외부망에 연결된 제2사용자단말(9300)에 대한 통합보안 방법을 수행하는 네트워크시스템(A)을 개략적으로 도시한다.1 is a network system (A) for performing an integrated security method for
도 1에 도시된 바와 같이, 상기 네트워크시스템(A)은 상기 네트워크시스템(A)에 포함된 구성요소를 통해 근거리통신망(Local Area Network, LAN)과 같이 내부망을 구현할 수 있고, 상기 네트워크시스템(A)은 인터넷과 같이 외부망과 연결될 수 있다. 상기 네트워크시스템(A)은 내부망을 구현하기 위하여 복수의 구성요소들을 포함하며, 상기 복수의 구성요소는 스위치(8000), 게이트웨이(6200), 차단서버(2000), 관제서버(1000), 배포서버(7000) 및 서비스서버(5000) 등을 포함할 수 있다. 또한, 상기 네트워크시스템(A)은 외부망과 연결하기 위하여 복수의 구성요소들을 포함하며, 상기 복수의 구성요소에는 인증검증부(4000), 인증제어부(3000), 게이트웨이(6100), 서비스서버(5000) 및 관제서버(1000) 등을 포함할 수 있다.1, the network system (A) can implement an internal network like a local area network (LAN) through the components included in the network system (A), and the network system ( A) can be connected to an external network such as the Internet. The network system (A) includes a plurality of components to implement an internal network, and the plurality of components include a
한편, 상기 네트워크시스템(A)은 내부망 및 외부망을 통해 1 이상의 사용자단말과 연결될 수 있으며, 본 발명의 일 실시예에서는 상기 내부망에 연결되는 사용자단말을 제1사용자단말(9100 및 9200)로, 상기 외부망에 연결되는 사용자단말을 제2사용자단말(9300)로 명명하도록 한다.Meanwhile, the network system (A) may be connected to one or more user terminals through an internal network and an external network, and in an embodiment of the present invention, the user terminals connected to the internal network are connected to the
상기 내부망을 구현하기 위한 복수의 구성요소들에 있어서, 상기 스위치(8000)는 1 이상의 제1사용자단말(9100 및 9200) 및 차단서버(2000)와 연결되어 게이트웨이(6200)로부터 수신한 패킷을 패킷의 목적지에 해당하는 제1사용자단말 또는 차단서버(2000)로 송신하거나, 연결된 1 이상의 제1사용자단말(9100 및 9200) 또는 차단서버(2000)에서 송신하는 패킷을 수신하여 게이트웨이(6200), 해당 패킷의 목적지에 해당하는 제1사용자단말(9100 및 9200) 또는 차단서버(2000)로 송신할 수 있다.In the plurality of components for implementing the internal network, the
한편, 상기 스위치(8000)에 제1사용자단말(9100 및 9200)이 접속되는 경우에 해당 제1사용자단말(9100 및 9200)은 상기 스위치(8000)를 식별하며, 또한 해당 제1사용자단말(9100 및 9200)은 브로드캐스팅 방식으로 상기 스위치(8000)에 접속되어 있는 타 구성요소에게 자신의 주소정보를 포함하는 식별정보를 전파하고, 타 구성요소들은 송신한 식별정보를 통해 해당 제1사용자단말(9100 및 9200)을 식별하며, 상기 타 구성요소 각각은 상기 식별정보를 수신한 경우에, 자신의 주소정보를 포함하는 식별정보를 해당 제1사용자단말(9100 및 9200)로 송신하고, 해당 제1사용자단말(9100 및 9200)은 수신한 각각의 식별정보에 기초하여 상기 스위치(8000)에 접속되어 있는 타 구성요소들을 식별할 수 있다. 이와 같이 스위치(8000)에 접속된 구성요소들은 타 구성요소들을 식별할 수 있고, 이후에 상기 스위치(8000)를 통해 타 구성요소와 데이터를 송수신할 수 있게 된다.On the other hand, when the
도 1에 도시된 바와 같이, 상기 스위치(8000)에 연결되는 구성요소에는 1 이상의 사용자단말(9100 및 9200) 및 차단서버(2000)를 포함하고, 본 발명의 다른 실시예에서, 도 1에서는 도시되지 않았으나 상기 스위치(8000)에 접속되는 구성요소에는 별도의 스위치가 해당될 수 있고, 상기 별도의 스위치 또한 상술한 1 이상의 구성요소와 접속할 수 있다.As shown in FIG. 1, the components connected to the
상기 게이트웨이(6200)는 상기 스위치(8000) 및 상기 스위치(8000)에 접속된 1 이상의 구성요소로 이루어진 로컬네트워크 및 상기 게이트웨이(6200)에 연결된 1 이상의 서버 또는 별도의 로컬네트워크와의 통신을 중계한다. 따라서 상기 게이트웨이(6200)는 서버에서 송신하는 데이터를 수신하여 스위치(8000)로 송신하며, 상기 스위치(8000)로부터 수신한 데이터를 상응하는 1 이상의 서버로 송신할 수 있다. 한편, 상기 게이트웨이(6200)는 복수의 스위치와 연결될 수 있고, 서버에서 송신하는 데이터에 상응하는 특정 스위치에 해당 데이터를 송신할 수도 있다.The
한편, 도 1에서는 상기 스위치(8000) 및 상기 게이트웨이(6200)를 구분하여 도시하였으나, 본 발명의 다른 실시예에서 상기 게이트웨이(6200)는 스위치(8000)와 통합되어, 상술한 스위치(8000)의 기능을 수행할 수 있다. 따라서, 이하에서는 본 발명의 설명을 용이하게 하기 위하여, 도 1에 도시된 스위치(8000)에 연결된 복수의 구성요소들(복수의 제1사용자단말 및 차단서버(2000))이 게이트웨이(6200)에 직접 연결된 것으로 간주하여 설명하도록 한다.Meanwhile, although FIG. 1 shows the
또한, 본 발명의 네트워크시스템(A)에서는 복수의 게이트웨이를 포함할 수 있고, 각각의 게이트웨이별로 1 이상의 구성요소와 연결되어 로컬네트워크를 구성할 수도 있다.In addition, the network system (A) of the present invention may include a plurality of gateways, and each gateway may be connected to one or more components to form a local network.
상기 차단서버(2000)는 상술한 게이트웨이(6200)에 연결되어, 후술하는 관제서버(1000)의 제어에 따라 상기 게이트웨이(6200)에 연결된 제1사용자단말(9100 및 9200)의 게이트웨이(6200) 접근을 허가 또는 차단한다. 구체적으로 상기 차단서버(2000)는 특정 제1사용자단말의 게이트웨이(6200) 접근을 차단하는 경우에, 상기 특정 제1사용자단말에서 식별한 게이트웨이(6200) 주소정보를 상기 차단서버(2000)의 주소정보로 변경하도록 상기 특정 제1사용자단말을 제어하여, 상기 특정 제1사용자단말이 상기 게이트웨이(6200)로 송신하고자 하는 데이터들이 상기 차단서버(2000)로 송신되도록 한다.The blocking
상기 관제서버(1000)는 게이트웨이(6200)에 연결되어, 해당 게이트웨이(6200)에 연결된 1 이상의 제1사용자단말(9100 및 9200)의 네트워크 접근을 허가 또는 차단하기 위한 데이터들을 송수신하며, 허가 또는 차단하기 위한 제어정보를 해당 게이트웨이(6200)에 연결된 차단서버(2000)로 송신한다. 또한, 상기 관제서버(1000)는 후술하는 외부망에 대한 게이트웨이(6100)에 연결되어, 상기 외부망에 연결된 1 이상의 제2사용자단말(9300)에 대한 통신채널을 재개하기 위한 데이터들을 송수신하며, 재개하기 위한 데이터들을 상기 외부망에 대한 게이트웨이(6100)로 송신한다.The
한편, 상기 관제서버(1000)는 관리자가 사용하는 관리자단말(9400)과 통신할 수 있으며, 상기 관리자단말(9400)로 네트워크 접근이 허가 또는 차단된 제1사용자단말(9100 및 9200) 및 제2사용자단말(9300) 현황과 같이 해당 네트워크시스템(A)의 상태를 제공할 수 있으며, 또한 상기 관리자단말(9400)로부터 관리자가 입력한 제1내부정책정보, 제2내부정책정보, 외부정책정보 및 예외정책정보를 수신하여 저장할 수 있다.On the other hand, the
상기 배포서버(7000)는 제1사용자단말(9100 및 9200) 또는 제2사용자단말(9300)이 상기 관제서버(1000)에 의해 네트워크의 접근이 차단된 경우(내부망에 대한 접근이 차단되거나, 수립된 통신채널이 계속 중지된 경우)에 해당 제1사용자단말(9100 및 9200) 또는 제2사용자단말(9300)과 통신을 수행하여, 해당 제1사용자단말(9100 및 9200) 또는 제2사용자단말(9300)이 네트워크에 대한 접근이 허가되도록, 해당 제1사용자단말(9100 및 9200) 또는 제2사용자단말(9300)에 1 이상의 어플리케이션을 설치하도록 하는 등의 통신을 수행하여 해당 제1사용자단말(9100 및 9200) 또는 제2사용자단말(9300)이 상응하는 제1내부정책정보 또는 제2내부정책정보에 부합하도록 통신을 수행한다.The
한편, 바람직하게는 상기 배포서버(7000)와 통신을 수행하는 제1사용자단말(9200)은 제1내부정책정보에 해당 제1사용자단말(9200)이 부합하는지를 판단할 수 있는 에이전트어플리케이션(9210)이 설치되어 있는 제1유형의 제1사용자단말(9200)에 해당할 수 있고, 상기 배포서버(7000)와 통신을 수행하는 제2사용자단말(9300) 또한 제2내부정책정보에 해당 제2사용단말이 부합하는지를 판단할 수 있는 에이전트어플리케이션(9310)이 설치되어 있는 것이 바람직하다. 이에 대한 상세한 설명에 대해서는 후술하도록 한다.On the other hand, preferably, the
상기 서비스서버(5000)는 게이트웨이(6100 및 6200)에 연결되어, 상기 서비스서버(5000)에 상응하는 서비스어플리케이션이 설치되어 있는 제1사용자단말(9200) 또는 제2사용자단말(9300)과 통신을 수행한다. 즉, 상기 서비스서버(5000)는 제1사용자단말(9200) 또는 제2사용자단말(9300)에 설치된 서비스어플리케이션과 통신을 수행하여 상기 제1사용자단말(9200) 또는 제2사용자단말(9300)의 사용자에게 소정의 서비스를 제공한다.The
한편, 도 1에 도시된 네트워크시스템(A)에서는 단일 서비스서버(5000)를 포함하고 있으나, 본 발명의 다른 실시예에서는 상기 네트워크시스템(A)은 복수의 서비스서버를 포함할 수 있고, 상기 복수의 서비스서버 각각은 1 이상의 서비스어플리케이션과 통신을 수행하여 고유의 서비스를 해당 사용자에게 제공할 수도 있다.On the other hand, in the network system (A) shown in Figure 1, including a
상기 제1사용자단말(9100 및 9200)은 게이트웨이(6200)에 연결되어, 상기 게이트웨이(6200) 및 상기 게이트웨이(6200)에 연결된 타 구성요소와 통신을 수행할 수 있다. 한편, 본 발명에서 제1사용자단말은(9100 및 9200) 2 개의 유형으로 구분될 수 있다. 제1유형의 제1사용자단말(9200)은 관제서버(1000)로부터 제공받은 제1내부정책정보에 따라 해당 제1유형의 제1사용자단말(9200)이 제1내부정책정보에 부합하는지 여부를 판단할 수 있는 에이전트어플리케이션(9210)이 설치된 제1사용자단말(9200)에 해당한다. 또한 상기 제1유형의 제1사용자단말(9200)은 데스크탑PC, 스마트폰 또는 노트북과 같이 임의의 어플리케이션을 사용자의 입력에 따라 혹은 제1사용자단말(9200) 자체적으로 설치 또는 제거할 수 있다. 제2유형의 제1사용자단말(9100)은 에이전트어플리케이션이 설치될 수 없는 제1사용자단말(9100)에 해당할 수 있다. 예를 들어, 상기 제2유형의 제1사용자단말(9100)은 프린터, 스캐너 또는 복합기 등과 같이 에이전트어플리케이션과 같은 임의의 어플리케이션을 추가로 설치 또는 삭제할 수 없는 제1사용자단말(9100)에 해당하며, 상기 제2유형의 제1사용자단말(9100)은 특정한 기능 또는 서비스만을 수행하는 제1사용자단말에 해당할 수 있다.The
한편, 상기 외부망과 연결하기 위한 상기 네트워크시스템(A)에 포함되는 복수의 구성요소들에 있어서, 상기 인증검증부(4000) 및 상기 인증제어부(3000)는 제2사용자단말(9300)과 통신을 수행하여, 제2사용자단말(9300)을 검증하고, 상기 제2사용자단말(9300)이 정상적으로 검증된 경우에 상기 제2사용자단말(9300)이 상기 네트워크시스템(A), 구체적으로는 상기 서비스서버(5000)와 통신채널을 수립할 수 있도록 제어한다. 즉, 상기 인증검증부(4000) 및 상기 인증제어부(3000)는 상기 제2사용자단말(9300)이 네트워크시스템(A)과 서비스에 대한 데이터들을 주고받기 위한 통신채널을 수립할 수 있도록 제2사용자단말(9300)을 제어하는 역할을 수행한다.Meanwhile, in the plurality of components included in the network system (A) for connecting to the external network, the
상기 게이트웨이(6100)는 제2사용자단말(9300)과 서비스서버(5000)의 통신을 중계하는 역할을 수행한다. 상기 게이트웨이(6100)는 서비스서버(5000)와 연결되어, 상기 제2사용자단말(9300)로부터 수신한 데이터에 따라 해당 데이터에 상응하는 서비스서버(5000)로 제2사용자단말(9300)의 데이터를 제공할 수 있다. 또한 상기 게이트웨이(6100)는 제2사용자단말(9300)이 네트워크시스템(A)에 외부망을 통해 최초로 접속을 시도하는 경우에는 노출되지 않고, 제2사용자단말(9300)이 상기 인증검증부(4000) 및 상기 인증제어부(3000)를 통해 서비스서버(5000)와의 통신채널이 수립되는 경우에, 제2사용자단말(9300)은 상기 게이트웨이(6100)로 서비스서버(5000)와 통신하기 위한 데이터를 송신할 수 있다.The
한편, 본 발명의 다른 실시예에서 상기 네트워크시스템(A)은 복수의 게이트웨이(6100 및 6200)를 포함할 수 있고, 복수의 게이트웨이(6100 및 6200) 각각은 내부망에 연결된 제1사용자단말(9100 및 9200) 또는 외부망에 연결된 제2사용자단말(9300)과 서비스서버(5000)와의 통신을 중계할 수 있다.Meanwhile, in another embodiment of the present invention, the network system A may include a plurality of
또한, 도 1에 도시된 상기 네트워크시스템(A)은 내부망에 연결된 제1사용자단말(9100 및 9200)을 중계하는 게이트웨이(6200) 및 외부망에 연결된 제2사용자단말(9300)을 중계하는 게이트웨이(6100) 각각을 포함하고 있으나, 본 발명의 또 다른 실시예에서 상기 네트워크시스템(A)은 단일의 게이트웨이를 포함하고, 상기 게이트웨이가 내부망에 연결된 제1사용자단말(9100 및 9200) 및 외부망에 연결된 제2사용자단말(9300)을 모두 중계할 수도 있다.In addition, the network system (A) shown in FIG. 1 has a
한편, 제2사용자단말(9300)은 에이전트어플리케이션(9310) 및 1 이상의 서비스어플리케이션(9320)을 포함한다.Meanwhile, the
상기 에이전트어플리케이션(9310)은, 상기 인증검증부(4000) 및 상기 인증제어부(3000)에 제2사용자단말(9300)의 서비스서버(5000)에 대한 접속 허가를 요청하기 위한 정보들을 도출하거나, 인증제어부(3000) 또는 관제서버(1000)에서 생성된 정책정보에 따라 해당 제2사용자단말(9300)이 정책정보에 부합하는지 판별할 수 있으며, 제2사용자단말(9300)에 설치된 운영체제(Operating System, OS)를 제어하여 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320)과 서비스서버(5000)의 통신채널이 수립될 수 있도록 한다. 한편, 상기 에이전트어플리케이션(9310)은 상기 네트워크시스템(A)에 포함되는 배포서버(7000)를 통해 상기 제2사용자단말(9300)에 설치될 수도 있다.The
또한, 본 발명의 일 실시예에서 상기 제2사용자단말(9300)에 설치되는 에이전트어플리케이션(9310)은 인증제어부(3000)와 통신을 수행하여 제공받은 외부정책정보에 상기 제2사용자단말(9300)이 부합하는지 여부를 판단하고, 판단결과에 따라 통신채널을 수립할 수 있는 인증제어부통신모듈(9311) 및 관제서버(1000)와 통신을 수행하여 제공받은 제2내부정책정보에 상기 제2사용자단말(9300)이 부합하는지 여부를 판단하고, 판단결과에 따라 수립된 통신채널을 재개할 수 있는 관제서버통신모듈(9312)을 포함할 수 있다. 한편, 상기 관제서버통신모듈(9312)은 상술한 제1사용자단말(9200)에 설치되는 에이전트어플리케이션(9210)에 해당할 수도 있다.In addition, in an embodiment of the present invention, the
본 발명의 다른 실시예에서 제2사용자단말(9300)에는 인증제어부통신모듈(9311) 및 관제서버통신모듈(9312)을 포함하는 상기 에이전트어플리케이션(9310)이 설치되는 것이 아니라, 인증제어부통신모듈(9311) 및 관제서버통신모듈(9312) 각각이 별도의 어플리케이션으로 상기 제2사용자단말(9300)에 설치될 수도 있다.In another embodiment of the present invention, the
본 발명의 네트워크시스템(A)은 외부망에 연결된 제2사용자단말(9300)과 두 가지 채널을 통해 통신을 수행할 수 있다. 구체적으로 제2사용자단말(9300)이 에이전트어플리케이션(9310), 구체적으로 인증제어부통신모듈(9311)을 통해 상기 네트워크시스템(A)에 최초로 접속하는 경우에, 상기 제2사용자단말(9300)은 인증검증부(4000)와의 통신을 수행하기 위한 채널(도 1에서 점선으로 도시)을 통해 상기 제2사용자단말(9300)이 서비스서버(5000)에 접속하기 위한 통신채널(도 1에서 실선으로 표시)을 수립하기 위한 일련의 통신을 수행할 수 있다. 그리고 제2사용자단말(9300)이 통신채널을 수립하는 경우에, 상기 제2사용자단말(9300)의 에이전트어플리케이션(9310), 구체적으로 관제서버통신모듈(9312)에서 수립된 통신채널을 중지시키고, 상기 관제서버통신모듈(9312)은 상기 관제서버(1000)에서 수행하는 통합제어단계를 통해 통신채널을 재개하기 위한 일련의 통신을 수행할 수 있고, 통신채널이 재개되는 경우에 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320)과 서비스서버(5000)는 상기 통신채널을 사용자에게 서비스를 제공하기 위한 일련의 통신을 수행할 수 있다.The network system (A) of the present invention may communicate with the
즉, 관제서버(1000)는 내부망에 연결된 제1사용자단말(9100 및 9200)의 접근을 허가 또는 차단하고, 외부망에 연결된 제2사용자단말(9300)이 인증제어부(3000)를 통해 통신채널이 수립된 이후에 통신채널의 사용 여부를 제어하는 것으로, 관제서버(1000)에서 제1사용자단말(9100 및 9200) 및 제2사용자단말(9300)에 대한 보안을 통합적으로 관리할 수 있게 된다.That is, the
도 2는 본 발명의 일 실시예에 따른 네트워크시스템(A)에서 수행하는 통합보안 방법의 세부 단계들을 개략적으로 도시한다.2 schematically shows detailed steps of the integrated security method performed by the network system (A) according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 네트워크시스템(A)에서 수행하는 내부망에 연결된 제1사용자단말(9200) 및 외부망에 연결된 제2사용자단말(9300)에 대한 통합보안 방법으로서, 상기 네트워크시스템(A)은 관제서버(1000), 차단서버(2000) 및 인증제어부(3000)를 포함하고, 상기 관제서버(1000)에 의하여, 상기 내부망에 연결된 제1사용자단말(9200)에 상응하는 제1내부정책정보를 상기 제1사용자단말(9200)에 제공하고, 상기 제1사용자단말(9200)로부터 수신한 상기 제1내부정책정보에 따른 판단결과에 기초하여 상기 차단서버(2000)로 하여금 상기 제1사용자단말(9200)의 상기 내부망 접근을 허가 또는 차단하는 내부망제어단계; 상기 인증제어부(3000)에 의하여, 상기 외부망에 연결된 제2사용자단말(9300)로부터 수신한 인증정보를 검증하여 상기 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성하여 상기 제2사용자단말(9300)에 송신하고, 상기 제2사용자단말(9300)로부터 수신한 상기 인증토큰을 포함하는 라우팅요청정보에 기초하여 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션 및 서비스서버에 대한 통신채널을 수립하기 위한 라우팅정보를 상기 제2사용자단말(9300)에 송신하는 외부망제어단계; 및 상기 관제서버(1000)에 의하여, 상기 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말(9300)에 의하여 상기 수립된 통신채널이 중지된 상태에서, 상기 제2사용자단말(9300)에 상응하는 제2내부정책정보를 상기 제2사용자단말(9300)에 제공하고, 상기 제2사용자단말(9300)로부터 수신한 상기 제2내부정책정보에 따른 판단결과에 기초하여 상기 제2사용자단말(9300)에 의해 중지된 통신채널을 재개하는 통합제어단계;를 포함할 수 있다.As shown in FIG. 2, as an integrated security method for a
구체적으로, 상기 관제서버(1000)는 내부망제어단계를 수행하여, 상기 제1사용자단말(9200), 구체적으로는 제1유형의 제1사용자단말(9200)에 상응하는 제1내부정책정보를 송신(S10)한다. 상기 단계 S10에서 상기 제1내부정책정보는 상기 제1사용자단말(9200)이 연결된 게이트웨이(6200)를 통해 상기 제1사용자단말(9200)로 송신될 수도 있다. 한편, 상기 제1사용자단말(9200)은 수신한 제1내부정책정보에 상기 제1사용자단말(9200)이 부합하는지 여부를 판단(S11)하며, 바람직하게 상기 제1사용자단말(9200)에 설치된 에이전트어플리케이션에서 단계 S11을 수행할 수 있다.Specifically, the
한편, 상기 관제서버(1000)는 상기 제1사용자단말(9200)로부터 상기 제1내부정책정보에 대한 판단결과를 수신(S12)하고, 상기 판단결과에 따라 상기 제1사용자단말(9200)의 내부망 접근을 허가 또는 차단하도록 제어하는 접근제어정보를 도출(S13)하여, 상기 접근제어정보를 상기 제1사용자단말(9200)과 동일한 게이트웨이(6200)에 연결된 차단서버(2000)로 송신(S14)한다.On the other hand, the
상기 접근제어정보를 수신한 상기 차단서버(2000)는 상기 접근제어정보에 따라 상기 제1사용자단말(9200)의 내부망 접근을 허가 또는 차단하기 위한 제어(S15)를 수행한다. 구체적으로 상기 단계 S15에서는 상기 제1사용자단말(9200)의 내부망 접근을 허가하고자 하는 경우에 상기 제1사용자단말(9200)에 설정된 게이트웨이 주소정보로 데이터를 송신할 수 있도록 하고, 상기 제1사용자단말(9200)의 내부망 접근을 차단하고자 하는 경우에 상기 제1사용자단말(9200)에 설정된 게이트웨이 주소정보를 소정의 주소정보로 변경하도록 제어한다.The blocking
이와 같이, 상기 내부망제어단계는 내부망에 연결된 제1사용자단말(9200)의 접근을 허가 또는 차단할 수 있으며, 상기 내부망제어단계에 대한 상세한 설명은 도 3 내지 도 6에서 후술하도록 한다.As such, the internal network control step may permit or block access of the
상기 인증제어부(3000)에서 수행하는 외부망제어단계는, 외부망에 연결된 제2사용자단말(9300)로부터 인증정보를 수신(S16)한다. 구체적으로 상기 제2사용자단말(9300)의 사용자가 상기 제2사용자단말(9300)에 설치된 에이전트어플리케이션(9310), 더 구체적으로는 인증제어부통신모듈(9311)을 실행하는 경우에, 상기 인증제어부통신모듈(9311)에서 인증정보를 생성하고 이를 상기 인증제어부(3000)로 송신하게 된다.The external network control step performed by the
상기 인증정보를 수신한 인증제어부(3000)는 상기 인증정보가 상기 인증제어부(3000)에 저장된 인증정보에 해당하는 지 판단하는 것으로 상기 인증정보를 검증(S17)하고, 상기 인증정보가 유효한 것으로 검증한 경우에 상기 제2사용자단말(9300)이 통신채널을 수립할 수 있도록 하는 인증토큰을 생성(S18)하고, 상기 인증토큰을 상기 제2사용자단말(9300)로 송신(S19)한다. 한편, 상기 인증제어부(3000)에서 상기 인증정보가 유효한 것으로 검증되지 않는 경우 수신한 인증정보를 버릴 수 있고, 검증되지 않았다는 정보를 상기 제2사용자단말(9300)로 송신할 수도 있다.The
한편, 제2사용자단말(9300)은 인증토큰을 수신하는 경우에 통신채널을 수립하기 위한 라우팅요청정보를 도출(S20)하고, 상기 인증제어부(3000)는 상기 제2사용자단말(9300)로부터 상기 라우팅요청정보를 수신(S21)한다. 구체적으로, 상기 제2사용자단말(9300)의 인증제어부통신모듈(9311)에서 수신한 인증토큰을 포함하는 라우팅요청정보를 도출(S20)하여 상기 인증제어부(3000)로 송신할 수 있다.On the other hand, the
상기 인증제어부(3000)는 수신한 라우팅요청정보에 기초하여 상기 제2사용자단말(9300) 및 서비스서버(5000)의 통신채널을 수립하기 위한 라우팅정보를 도출(S22)하여 상기 제2사용자단말(9300)로 상기 라우팅정보를 송신(S23)한다. 구체적으로, 상기 인증제어부(3000)는 라우팅요청정보에 포함된 인증토큰을 판별하여 상기 라우팅요청정보의 유효성을 검증하고, 유효한 것으로 검증된 경우에 라우팅정보를 도출(S22)하며, 상기 라우팅정보는 상기 제2사용자단말(9300)과 통신을 수행하기 위한 게이트웨이의 주소정보 및 서비스서버의 주소정보를 포함하여, 상기 제2사용자단말(9300)의 서비스어플리케이션(9320)에서 상기 게이트웨이의 주소정보에 상응하는 게이트웨이를 통해 상기 서비스서버의 주소정보에 상응하는 서비스서버로 통신을 수행할 수 있도록 한다.The
이와 같이, 상기 외부망제어단계는 외부망에 연결된 제2사용자단말(9300)과 서비스서버(5000)가 통신하기 위한 통신채널을 수립할 수 있도록 하며, 구체적으로 상기 제2사용자단말(9300)은 상기 외부망제어단계를 수행하는 것으로 서비스서버(5000)와 통신을 곧바로 수행할 수 있는 것이 아니라, 관제서버(1000)에서 수행하는 통합제어단계를 통해 수립된 통신채널을 사용할 수 있게 되었을 때 상기 통신채널을 재개하여 통신을 수행할 수 있다.In this way, the external network control step enables the
한편, 상기 외부망제어단계에 대한 상세한 설명은 도 7 내지 도 11에서 후술하도록 한다.Meanwhile, a detailed description of the external network control step will be described later with reference to FIGS. 7 to 11 .
구체적으로, 상기 제2사용자단말(9300)의 에이전트어플리케이션(9310), 더 구체적으로는 관제서버통신모듈(9312)은 상기 외부망제어단계를 통해 수립된 통신채널의 사용을 중지(S24)하고, 이후에 상기 관제서버(1000)에서 수행하는 통합제어단계는 상기 제2사용자단말(9300)에 제2내부정책정보를 송신(S25)한다. 이를 위해 상기 관제서버(1000)는 외부망과 연결된 게이트웨이(6100)를 통해 상기 제2내부정책정보를 상기 제2사용자단말(9300)에 송신하거나, 별도의 통신채널을 통해 상기 제2사용자단말(9300)에 상기 제2내부정책정보를 송신할 수도 있다.Specifically, the
상기 제2내부정책정보를 수신한 제2사용자단말(9300)의 에이전트어플리케이션(9310), 구체적으로는 관제서버통신모듈(9312)은 상기 제2내부정책정보에 상기 제2사용자단말(9300)이 부합하는지 여부를 판단(S26)하고, 상기 관제서버(1000)는 상기 제2사용자단말(9300)로부터 판단결과를 수신(S27)한다.The
한편, 본 발명의 다른 실시예에서 상기 제1내부정책정보 및 제2내부정책정보는 상응하는 제1사용자단말(9200) 및 제2사용자단말(9300)의 단말의 종류 및 사용자정보에 따라 결정될 수 있으며, 상기 제1내부정책정보 및 상기 제2내부정책정보는 동일할 수도 있다.On the other hand, in another embodiment of the present invention, the first internal policy information and the second internal policy information may be determined according to the type and user information of the corresponding
상기 관제서버(1000)는 수신한 판단결과에 따라 수립된 후에 사용이 중지된 통신채널에 대하여 사용을 재개하거나, 그대로 중지하도록 상기 통신채널을 제어(S28)한다. 구체적으로, 상기 판단결과가 상기 제2사용자단말(9300)이 제2내부정책정보에 부합하지 않는 경우에 중지된 상기 통신채널을 그대로 유지하거나, 수립된 통신채널을 파기하도록 상기 제2사용자단말(9300)을 제어하고, 상기 판단결과가 상기 제2사용자단말(9300)이 제2내부정책정보에 부합하는 경우에 중지된 상기 통신채널을 재개하도록 상기 제2사용자단말(9300)을 제어할 수 있다.The
이와 같이, 관제서버(1000)는 내부망제어단계를 통해 내부망에 연결된 제1사용자단말(9200)의 접근을 제어하고, 통합제어단계를 통해 통신채널이 수립된 제2사용자단말(9300)의 접근을 제어함으로써, 내부망 및 외부망에 연결된 모든 사용자단말에 대한 보안을 통합적으로 관리할 수 있다.In this way, the
도 3은 본 발명의 일 실시예에 따른 네트워크시스템(A)에서 수행하는 내부망제어단계의 세부 단계들을 개략적으로 도시한다.3 schematically shows detailed steps of an internal network control step performed by the network system A according to an embodiment of the present invention.
도 3에 도시된 바와 같이, 내부망제어단계는 상기 관제서버(1000)에 의하여, 상기 게이트웨이(6200)에 접속되어 있고, 에이전트어플리케이션(9210)이 설치된 제1유형의 제1사용자단말(9200)에 상응하는 제1내부정책정보를 상기 제1유형의 제1사용자단말(9200)에 제공하고, 상기 에이전트어플리케이션(9210)에서 도출된 상기 제1유형의 제1사용자단말(9200)이 상기 제1내부정책정보에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계; 상기 게이트웨이(6200)에 접속되어 있고, 에이전트어플리케이션(9210)이 설치되어 있지 않은 제2유형의 제1사용자단말(9100)에 내부인증정보를 요청하고, 상기 제2유형의 제1사용자단말(9100)로부터 수신한 내부인증정보를 검증하는 내부인증정보검증단계; 및 상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 내부인증정보검증단계에서의 상기 내부인증정보에 대한 검증결과에 따라 상기 제1유형의 제1사용자단말(9200) 및 상기 제2유형의 제1사용자단말(9100) 각각에 대한 내부망 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버(2000)에 제공하는 접근제어정보도출단계;를 포함하고, 상기 차단서버(2000)는, 상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 제1사용자단말(9200) 및 상기 제2유형의 제1사용자단말(9100) 각각에 대하여 상기 게이트웨이(6200) 접속을 제어하는 접속제어단계;를 수행할 수 있다.As shown in FIG. 3 , in the internal network control step, the first type of
구체적으로, 상기 관제서버(1000)는 상기 정책판단결과수신단계를 수행하여 제1유형의 제1사용자단말(9200)에 상기 제1유형의 제1사용자단말(9200)에 상응하는 제1내부정책정보를 상기 게이트웨이(6200)를 통해 상기 제1유형의 제1사용자단말(9200)에 송신(S30 및 S31)하고, 상기 제1유형의 제1사용자단말(9200)에 설치된 에이전트어플리케이션(9210)은 수신한 제1내부정책정보에 상기 제1유형의 제1사용자단말(9200)이 부합하는지 여부를 판단한다.Specifically, the
더 구체적으로, 상기 제1내부정책정보에는 제1사용자단말의 방화벽 설정 여부, 제1사용자단말의 운영체제 시스템의 최신 업데이트 여부 등과 같이, 1 이상의 정책을 포함하며, 상기 에이전트어플리케이션(9210)은 상기 제1유형의 제1사용자단말(9200)이 각각의 정책을 따르고 있는지를 판단할 수 있다. 이에 따라, 상기 에이전트어플리케이션(9210)은 정책의 부합 여부를 판단하기 위하여, 상기 제1유형의 제1사용자단말(9200)에 설치된 운영체제 시스템(Operating System, OS)에 접근할 수 있는 권한이 부여될 수 있다.More specifically, the first internal policy information includes one or more policies, such as whether the firewall is set on the first user terminal, whether or not the operating system system of the first user terminal is updated, and the
이후에 상기 정책판단결과수신단계는 상기 에이전트어플리케이션(9210)으로부터 상기 제1유형의 제1사용자단말(9200)이 제1내부정책정보에 부합하는지에 대한 판단결과를 상기 게이트웨이(6200)를 통해 수신(S33 및 S34)한다.Thereafter, in the policy determination result receiving step, a determination result of whether the first type of
본 발명의 다른 실시예에서 상기 정책판단결과수신단계는, 제1유형의 제1사용자단말(9200)이 상기 게이트웨이(6200)에 최초 접속하는 경우에 수행되거나, 혹은 상기 게이트웨이(6200)에 접속한 후에 기설정된 주기에 따라 주기적으로 수행될 수도 있다.In another embodiment of the present invention, the step of receiving the policy determination result is performed when the first type of
한편, 상기 관제서버(1000)는 에이전트어플리케이션(9210)이 설치되지 않는 제2유형의 제1사용자단말(9100)에 대해서는 내부인증정보검증단계를 수행하여, 상기 제2유형의 제1사용자단말(9100)로부터 내부인증정보를 수신한다. 구체적으로, 상기 내부인증정보검증단계는, 상기 제2유형의 제1사용자단말(9100)에 상기 게이트웨이(6200)를 통해 내부인증정보를 요청(S35 및 S36)하고, 상기 제2유형의 제1사용자단말(9100)은 수신한 상기 내부인증정보의 요청에 따라 내부인증정보를 도출(S37)한다.On the other hand, the
이후에 상기 내부인증정보검증단계는 상기 제2유형의 제1사용자단말(9100)로부터 도출된 내부인증정보를 상기 게이트웨이(6200)를 통해 수신(S39)하고, 상기 수신한 내부인증정보를 검증(S40)한다. 더 구체적으로 상기 내부인증정보검증단계는 수신한 내부인증정보가 관제서버(1000)에 저장된 예외정책정보에 포함되어 있는지를 검증하며, 이에 대해서는 이후에 상세히 설명하도록 한다.Thereafter, the internal authentication information verification step receives the internal authentication information derived from the
상기 제1내부정책정보에 대한 상기 판단결과 수신 및 상기 내부인증정보에 대한 검증을 수행한 관제서버(1000)는 접근제어정보도출단계를 수행하여 상기 판단결과를 송신한 제1유형의 제1사용자단말(9200) 및 상기 내부인증정보를 송신한 제2유형의 제1사용자단말(9100) 각각에 대하여 네트워크(내부망)에 접근을 허가 또는 차단하기 위한 접근제어정보를 도출(S41)하고, 상기 접근제어정보를 상기 게이트웨이(6200)를 통해 상기 차단서버(2000)로 송신(S42 및 S43)한다.The
더 구체적으로, 상기 접근제어정보도출단계는 상기 제1유형의 제1사용자단말(9200)의 에이전트어플리케이션(9210)에서 도출된 판단결과가 상기 제1유형의 제1사용자단말(9200)이 제1내부정책정보에 부합하는 것으로 판단한 경우에 상기 제1유형의 제1사용자단말(9200)의 내부망 접근을 허가하도록 제어하기 위한 제3제어정보를 상기 접근제어정보에 포함시키고, 반대로 상기 제1유형의 제1사용자단말(9200)의 에이전트어플리케이션(9210)에서 도출된 판단결과가 상기 제1유형의 제1사용자단말(9200)이 제1내부정책정보에 부합하지 않는 것으로 판단한 경우에 상기 제1유형의 제1사용자단말(9200)의 내부망 접근을 차단하도록 제어하기 위한 제4제어정보를 상기 접근제어정보에 포함시킬 수 있다.More specifically, in the step of deriving access control information, the determination result derived from the
또한, 상기 접근제어정보도출단계는, 상기 제2유형의 제1사용자단말(9100)에서 도출된 내부인증정보가 유효한 것으로 검증된 경우에 상기 제2유형의 제1사용자단말(9100)의 내부망 접근을 허가하도록 제어하기 위한 제1제어정보를 상기 접근제어정보에 포함시키고, 반대로 상기 제2유형의 제1사용자단말(9100)에서 도출된 내부인증정보가 유효하지 않은 것으로 검증된 경우에 상기 제2유형의 제1사용자단말(9100)의 내부망 접근을 차단하도록 제어하기 위한 제2제어정보를 상기 접근제어정보에 포함시킬 수 있다.In addition, in the access control information derivation step, when the internal authentication information derived from the second type
본 발명의 다른 실시예에서 상기 접근제어정보도출단계에서 도출되는 접근제어정보는 1 이상의 사용자단말 각각의 내부망 접근이 허가 또는 차단되도록 제어하는 1 이상의 제어정보를 포함하며, 사용자단말의 유형에 따라 상기 제어정보는 제3제어정보 또는 제4제어정보에 해당하거나, 제1제어정보 또는 제2제어정보에 해당할 수 있다.In another embodiment of the present invention, the access control information derived in the access control information derivation step includes one or more control information for controlling access to the internal network of each of the one or more user terminals to be permitted or blocked, and according to the type of the user terminal The control information may correspond to the third control information or the fourth control information, or may correspond to the first control information or the second control information.
상기 관제서버(1000)로부터 접근제어정보를 수신한 차단서버(2000)는 상기 접속제어단계를 수행하여, 각각의 사용자단말별로 내부망에 접근하는 것을 허가 또는 차단하도록 제어한다.The blocking
더 구체적으로, 상기 접속제어단계는 상기 접근제어정보에 상기 제2유형의 제1사용자단말(9100)에 대한 제1제어정보가 포함되어 있는 경우에 상기 제2유형의 제1사용자단말(9100)의 내부망 접속을 허가하도록 제어하며, 상기 접근제어정보에 상기 제2유형의 제1사용자단말(9100)에 대한 제2제어정보가 포함되어 있는 경우에 상기 제2유형의 제1사용자단말(9100)의 내부망 접속을 차단하도록 제어한다.More specifically, in the access control step, when the first control information for the second type of
마찬가지로, 상기 접속제어단계는 상기 접근제어정보에 상기 제1유형의 제1사용자단말(9200)에 대한 제3제어정보가 포함되어 있는 경우에 상기 제1유형의 제1사용자단말(9200)의 내부망 접속을 허가하도록 제어하며, 상기 접근제어정보에 상기 제1유형의 제1사용자단말(9200)에 대한 제4제어정보가 포함되어 있는 경우에 상기 제1유형의 제1사용자단말(9200)의 내부망 접속을 차단하도록 제어한다.Similarly, in the access control step, when the third control information for the first type of
본 발명의 일 실시예에서, 상기 접속제어단계는 제1사용자단말의 내부망 접속을 허가하는 경우에 제1사용자단말에 설정되어 있는 게이트웨이(6200)의 주소정보가 변경되지 않도록 제어하며, 제1사용자단말의 네트워크 접속을 차단하는 경우에 제1사용자단말에 설정되어 있는 게이트웨이(6200)의 주소정보가 상기 차단서버(2000)의 주소정보로 변경되도록 제어한다. 따라서, 상기 차단서버(2000)의 주소정보로 변경되도록 제어된 제1사용자단말에서 게이트웨이(6200)로 송신하고자 하는 데이터가 상기 차단서버(2000)로 우회하여 송신되기 때문에, 차단된 제1사용자단말의 데이터를 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.In one embodiment of the present invention, the access control step controls the address information of the
본 발명의 다른 실시예에서, 상기 차단서버(2000)에 의하여 제1사용자단말의 게이트웨이(6200)의 접근이 허가 또는 차단되는 경우에, 상기 관제서버(1000)는 상기 차단서버(2000)로부터 제1사용자단말의 접근 허가 또는 차단에 대한 상태정보를 수신하고, 이를 상기 관리자단말에 송신하여 상기 관리자단말을 사용하는 관리자가 상기 제1사용자단말의 접근 허가 또는 차단에 대한 상태를 용이하게 인지하도록 할 수도 있다.In another embodiment of the present invention, when the access to the
도 4는 본 발명의 일 실시예에 따른 내부망제어단계에서의 내부인증정보 및 접근제어정보의 구성요소들을 개략적으로 도시한다.4 schematically shows components of internal authentication information and access control information in the internal network control step according to an embodiment of the present invention.
도 4에 도시된 바와 같이, 상기 내부인증정보검증단계는, 제1사용자단말의 주소정보를 포함하는 내부인증정보를 상기 제2유형의 제1사용자단말(9100)에 요청하고, 상기 제2유형의 제1사용자단말로(9100)부터 수신한 내부인증정보에 포함된 주소정보가 상기 관제서버(1000)에 저장되어 있는지 여부를 검증할 수 있다.As shown in FIG. 4 , the internal authentication information verification step requests the
구체적으로, 도 4의 (A)에 도시된 바와 같이, 상기 내부인증정보검증단계는 제2유형의 제1사용자단말(9100)에 내부인증정보를 요청하는데 있어서, 제2유형의 제1사용자단말(9100)의 주소정보를 포함하는 내부인증정보를 요청하며, 상기 제2유형의 제1사용자단말(9100)은 요청에 따라 자신의 주소정보를 포함하는 내부인증정보를 도출하여 상기 관제서버(1000)로 송신한다.Specifically, as shown in (A) of Figure 4, the internal authentication information verification step in requesting the internal authentication information to the
더 구체적으로, 사용자단말의 주소정보는 사용자단말의 IP주소 및 MAC주소를 포함하며, 상기 내부인증정보검증단계는 사용자단말의 주소정보뿐만 아니라, 사용자단말의 설치된 운영체제 시스템 정보, 접속된 네트워크에서의 명칭정보, 접속된 포트정보 및 사용자단말에서 네트워크로 송신하는 패킷의 사이즈정보를 포함하는 내부인증정보를 요청한다. 이에 따라 상기 제2유형의 제1사용자단말(9100)은 요청에 따라 각각의 정보들을 포함하는 내부인증정보를 도출하여 상기 관제서버(1000)로 송신한다.More specifically, the address information of the user terminal includes the IP address and the MAC address of the user terminal, and the internal authentication information verification step includes not only the address information of the user terminal, but also the installed operating system system information of the user terminal, and information on the connected network. Requests internal authentication information including name information, connected port information, and packet size information transmitted from the user terminal to the network. Accordingly, the
이에 따라, 내부인증정보검증단계는 내부인증정보에 포함된 각각의 정보가 상기 관제서버(1000)에 저장된 예외정책정보에 포함되어 있는지를 판단하여 상기 내부인증정보를 검증한다. 이와 같이, 내부인증정보에 사용자단말의 주소정보뿐만 아니라, 다양한 정보를 포함하도록 요청하는 것은 단순히 주소정보만을 검증하는 경우에는 네트워크를 공격하기 위하여 주소정보가 동일한 악의적 목적의 단말이 게이트웨이에 접속되는 경우에 네트워크 접근이 허가되므로, 악의적 목적의 단말에 의해 네트워크가 공격받을 수 있는 문제점이 발생할 수 있다. 따라서, 이러한 문제점을 개선하기 위하여 상기 내부인증정보검증단계는 제2유형의 제1사용자단말(9100)에 주소정보를 비롯한 다양한 정보들을 포함하는 내부인증정보를 요청한다.Accordingly, the internal authentication information verification step verifies the internal authentication information by determining whether each information included in the internal authentication information is included in the exception policy information stored in the
한편, 도 4의 (B)에 도시된 바와 같이, 접근제어정보도출단계에서 도출하는 접근제어정보는 네트워크(내부망) 접근을 허가 또는 차단하고자 하는 제1사용자단말(9100 및 9200)의 유형에 따라 상이한 제어정보를 포함한다. 구체적으로, 상기 접근제어정보도출단계에서 내부인증정보에 기초하여 도출하는 접근제어정보는 제2유형의 제1사용자단말(9100)의 네트워크 접근을 허가하고자 하는 경우에 제1제어정보를 포함하고, 제2유형의 제1사용자단말(9100)의 네트워크 접근을 차단하고자 하는 경우에 제2제어정보를 포함한다.On the other hand, as shown in (B) of FIG. 4, the access control information derived in the access control information derivation step is based on the type of the
또한, 상기 접근제어정보도출단계에서 제1유형의 제1사용자단말(9200)에 설치된 에이전트어플리케이션(9210)에서 도출된 판단결과에 기초하여 도출하는 접근제어정보는 제1유형의 제1사용자단말(9200)의 네트워크 접근을 허가하고자 하는 경우에 제3제어정보를 포함하고, 제1유형의 제1사용자단말(9200)의 네트워크 접근을 차단하고자 하는 경우에 제4제어정보를 포함한다.In addition, the access control information derived based on the determination result derived from the
한편, 상기 접근제어정보도출단계에서 내부인증정보 및 판단결과에 기초하여 도출하는 접근제어정보는 상기 내부인증정보에 상응하는 제2유형의 제1사용자단말(9100)에 대한 제1제어정보 또는 제2제어정보를 포함하고, 상기 판단결과에 상응하는 제1유형의 제1사용자단말(9200)에 대한 제3제어정보 또는 제4제어정보를 더 포함할 수 있다.On the other hand, the access control information derived based on the internal authentication information and the determination result in the access control information derivation step is the first control information or the second type of the
도 5는 본 발명의 일 실시예에 따른 내부망 접근이 허가되지 않은 제1사용자단말에 설정된 게이트웨이(6200) 주소정보 및 나머지 제1사용자단말에 설정된 내부망 접근이 허가되지 않은 제1사용자단말의 주소정보를 개략적으로 도시한다.5 is a view of the
상기 접근제어정보는, 상기 내부인증정보에 대한 검증결과에 따라 상기 제2유형의 제1사용자단말(9100)의 네트워크 접근을 허가하기 위한 제1제어정보 및 상기 제2유형의 제1사용자단말(9100)의 네트워크 접근을 허가하지 않기 위한 제2제어정보를 포함하고, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 제1사용자단말(9100)에 대하여 상기 제2유형의 제1사용자단말에 설정되어 있는 상기 게이트웨이(6200) 주소정보가 상기 차단서버(2000)의 주소정보로 변경되도록 제어할 수 있다.The access control information includes first control information and the second type of first user terminal ( 9100), and the access control step includes a second control information corresponding to the second control information when the second control information is included in the access control information. With respect to the first type of
한편, 도 5의 (A)에서는 제1유형의 제1사용자단말의 네트워크(내부망) 접근을 차단하기 위하여 게이트웨이(6200) 주소정보를 변경하는 것에 대해서만 도시하였으나, 상기 접속제어단계는 제2유형의 제1사용자단말(9100)의 네트워크(내부망) 접근을 차단하는 경우에도 동일하게 게이트웨이(6200) 주소정보를 차단서버(2000)의 주소정보로 변경할 수 있다.Meanwhile, in FIG. 5(A), only changing the address information of the
구체적으로, 도 5의 (A)의 좌측에 도시된 제1유형의 제1사용자단말#1은 게이트웨이에 최초로 접속되는 경우에 브로드캐스팅 방식을 통해 상기 게이트웨이의 주소정보인 IP254 및 MAC254를 식별한다. 한편, 식별된 상기 게이트웨이의 주소정보는 상기 제1유형의 제1사용자단말#1의 Address Resolution Protocol(ARP) 캐쉬 테이블에 저장될 수 있다.Specifically, when the first
또한, 이전에 제1유형의 제1사용자단말#1에 대한 접근제어정보에 따라 상기 제1유형의 제1사용자단말#1의 네트워크 접근이 허가되는 것으로 제어되는 경우에도 도 5의 (A)에 도시된 바와 같이, 상기 제1유형의 제1사용자단말#1에는 게이트웨이(6200) 주소정보가 저장될 수 있다.In addition, even in the case where network access of the first type of first
한편, 상기 제1유형의 제1사용자단말#1에서 송신한 판단결과에 기초하여 도출된 접근제어정보에 상기 제1유형의 제1사용자단말#1의 네트워크 접근을 차단하도록 제어하는 제4제어정보가 포함되는 경우에, 상기 제1유형의 제1사용자단말#1은 상기 차단서버(2000)에서 수행하는 접속제어단계에 의해 저장되어 있는 게이트웨이(6200) 주소정보가 도 5의 (A)에 도시된 바와 같이 변경될 수 있다.On the other hand, fourth control information for controlling to block the network access of the first
구체적으로, 상기 접속제어단계가 수행됨에 따라 네트워크의 접근이 차단되도록 제어되는 제1유형의 제1사용자단말#1에 저장된 게이트웨이(6200) 주소정보는 상기 차단서버(2000)의 주소정보로 변경된다. 도 5의 (A)의 우측 도면에서는 게이트웨이(6200) 주소정보가 차단서버(2000)의 주소정보에 해당하는 IP101 및 MAC101로 변경된다.Specifically, as the access control step is performed, the address information of the
이와 같이, 네트워크의 접근이 차단되는 제1사용자단말에 저장된 게이트웨이(6200) 주소정보가 차단서버(2000)의 주소정보로 변경되며, 이후에 상기 제1사용자단말에서 게이트웨이(6200)로 송신하고자 하는 패킷은 변경된 주소정보에 따라 상기 차단서버(1000)로 송신되며, 상기 차단서버(1000)는 수신한 패킷을 버리거나(drop), 해당 패킷을 수신하는 경우에 상기 제1사용자단말 및 상기 배포서버(7000)가 통신을 수행하도록 할 수도 있다.In this way, the address information of the
한편, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 제1사용자단말을 제외한 나머지 제1사용자단말에 대하여 상기 나머지 제1사용자단말에 설정되어 있는 상기 제2제어정보에 해당하는 제2유형의 제1사용자단말의 주소정보가 가상주소정보로 변경되도록 제어할 수 있다.On the other hand, in the access control step, when the second control information is included in the access control information, for the remaining first user terminals except for the first user terminal of the second type corresponding to the second control information It is possible to control the address information of the first user terminal of the second type corresponding to the second control information set in the remaining first user terminals to be changed to virtual address information.
구체적으로, 도 5의 (B)에서는 제1유형의 제1사용자단말(9200)의 네트워크(내부망) 접근이 차단됨에 따라 나머지 제1사용자단말에 설정된 상기 제1유형의 사용자단말(9200)의 주소정보가 변경되는 것에 대해서만 도시하였으나, 상기 접속제어단계는 제2유형의 제1사용자단말의 네트워크(내부망) 접근이 차단됨에 따라 나머지 제1사용자단말에 설정된 상기 제2유형의 제1사용자단말의 주소정보가 변경될 수도 있다.Specifically, in FIG. 5B , as the network (internal network) access of the first type of
구체적으로, 상기 접속제어단계는, 네트워크의 접근을 차단하고자 하는 제1사용자단말에 저장된 게이트웨이(6200)의 주소정보를 변경하도록 제어하는 것뿐만 아니라, 상기 제1사용자단말을 제외한 상기 게이트웨이(6200)에 접속된 1 이상의 나머지 제1사용자단말에 대해서도 접근제어정보에 기초하여 제어를 수행할 수 있다.Specifically, the access control step includes not only controlling to change the address information of the
더 구체적으로, 상기 각각의 제1사용자단말은 게이트웨이(6200)에 접속하는 경우에 브로드캐스팅 방식을 통해 게이트웨이(6200)에 이미 접속되어 있는 1 이상의 제1사용자단말을 식별하여, 상기 1 이상의 각각의 사용자단말의 주소정보를 ARP 캐쉬 테이블에 저장할 수 있다. 즉, 도 5의 (B)의 좌측에 도시된 바와 같이, 상기 나머지 제1사용자단말에 해당하는 제1유형의 제1사용자단말#2에는 도 5의 (A)에서 설명한 바와 같이, 네트워크 접근이 차단되도록 제어되는 제1유형의 제1사용자단말#1의 주소정보에 해당하는 IP2 및 MAC2가 저장되어 있다.More specifically, each of the first user terminals identifies one or more first user terminals that are already connected to the
이후에, 상기 접속제어단계는 상기 제1유형의 제1사용자단말#1에 대하여 게이트웨이 주소정보를 차단서버의 주소정보로 변경하고, 1 이상의 나머지 제1사용자단말에 저장된 상기 제1유형의 제1사용자단말#1의 주소정보를 소정의 주소정보로 변경한다. 도 5의 (B)의 우측 도면에서는 나머지 제1사용자단말에 해당하는 제1유형의 제1사용자단말#2에 저장된 상기 제1유형의 제1사용자단말#1의 주소정보가 차단서버(2000)의 주소정보로 변경된 것으로 도시된 것과 같이, 상기 소정의 주소정보는 상기 차단서버(2000)의 주소정보에 해당할 수 있으며, 본 발명의 다른 실시예에서 상기 소정의 주소정보는 기설정된 가상의 주소정보에 해당할 수도 있다.Thereafter, in the access control step, the gateway address information for the first type of first
이와 같이, 상기 접속제어단계는, 네트워크의 접속을 차단하고자 하는 제1사용자단말을 제외한 나머지 제1사용자단말에 저장된 차단하고자 하는 제1사용자단말의 주소정보를 소정의 주소정보로 변경하여, 상기 나머지 제1사용자단말과 상기 차단하고자 하는 제1사용자단말 사이의 통신이 이루어지지 않도록 하여, 상기 나머지 제1사용자단말을 보호할 수 있는 효과를 발휘할 수 있다.As such, in the access control step, the address information of the first user terminal to be blocked stored in the remaining first user terminals except for the first user terminal to block access to the network is changed to predetermined address information, and the remaining By preventing communication between the first user terminal and the first user terminal to be blocked, the effect of protecting the remaining first user terminals may be exhibited.
또한, 상술한 1 이상의 나머지 제1사용자단말은, 접속제어단계를 통해 네트워크의 접속이 차단되도록 제어되는 제1사용자단말을 제외한 1 이상의 나머지 제1사용자단말에 해당하나, 본 발명의 다른 실시예에서 이미 네트워크의 접속이 차단된 제1사용자단말은 상기 1 이상의 나머지 제1사용자단말에 포함되지 않을 수도 있다.In addition, the one or more remaining first user terminals described above correspond to one or more remaining first user terminals except for the first user terminals controlled to block access to the network through the access control step, but in another embodiment of the present invention The first user terminals whose network access is already blocked may not be included in the one or more remaining first user terminals.
도 6은 본 발명의 일 실시예에 따른 관제서버(1000) 및 에이전트어플리케이션이 설치되지 않은 제1사용자단말에 대한 예외정책정보(1520)의 구성요소들을 개략적으로 도시한다.6 schematically shows components of the
도 6의 (A)는 관제서버(1000)에 포함되는 구성요소들을 개략적으로 도시한다. 상기 관제서버(1000)는, 제1유형의 제1사용자단말에 대하여 정책판단결과수신단계를 수행하는 정책판단결과수신부(1100), 제2유형의 제1사용자단말에 대하여 내부인증정보검증단계를 수행하는 내부인증정보검증부(1200), 상기 정책판단결과수신단계 및 상기 내부인증정보검증단계를 통해 도출된 정보에 따라 상응하는 제1사용자단말의 네트워크(내부망) 접근을 제어하는 접근제어정보를 도출하는 접근제어정보도출단계를 수행하는 접근제어정보도출부(1300) 및 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말에 대하여 통신채널을 재개하도록 제어하는 통합제어부(1400)를 포함한다. 각각의 단계들은 상술한 바 생략하도록 한다.6A schematically shows components included in the
한편, 상기 관제서버(1000)는 DB(1500)를 더 포함하며, 상기 DB(1500)에는 정책정보(1510) 및 예외정책정보(1520)를 포함한다.Meanwhile, the
상기 정책정보(1510)는 제1유형의 제1사용자단말에 설치된 에이전트어플리케이션에 제공되어 상기 제1유형의 제1사용자단말이 부합하는지 판단하도록 하는 제1내부정책정보, 제2사용자단말에 설치된 인증제어부통신모듈(9311)에 제공되어 상기 제2사용자단말이 부합하는지 판단하도록 하는 외부정책정보 및 제2사용자단말에 설치된 관제서버통신모듈(9312)에 제공되어 상기 제2사용자단말이 부합하는지 판단하도록 하는 제2내부정책정보를 포함할 수 있다.The
상기 정책정보(1510)는 1 이상의 정책을 포함할 수 있고, 상기 정책정보(1510)는 관리자단말(9400) 상에서 관리자에 의하여 입력될 수 있고, 상기 관제서버(1000)는 상기 관리자단말(9400)로부터 입력된 정책정보(1510)를 수신하여 DB(1500)에 저장할 수 있다.The
상기 정책정보(1510)는 제1유형의 제1사용자단말의 상태나 종류 및/또는 상기 제1유형의 제1사용자단말을 사용하는 사용자에 따라 상이할 수 있고, 마찬가지로 제2사용자단말의 상태나 종류 및/또는 상기 제2사용자단말을 사용하는 사용자에 따라 상이할 수 있다. 예를 들어, 제1유형의 제1사용자단말이 모바일 단말 또는 데스크탑 단말인지에 따라 상기 제1내부정책정보가 상이할 수 있고, 또한 제1유형의 제1사용자단말을 사용하는 사용자의 네트워크 권한, 예를 들어, 상기 네트워크가 기업 내에서 운영되는 네트워크인 경우에 사용자의 직급 및 부서에 따라 상기 제1내부정책정보가 상이할 수 있다. 따라서, 상기 관제서버(1000)의 DB(1500)에는 사용자단말의 상태나 종류 및/또는 사용자에 따른 복수의 정책정보(1510)가 저장될 수 있다.The
상기 예외정책정보(1520)는 상기 내부인증정보검증단계에서 제2유형의 제1사용자단말로부터 수신한 내부인증정보를 검증하기 위한 정보에 해당한다. 즉, 상기 내부인증정보검증단계는 수신한 내부인증정보가 상기 예외정책정보(1520)와 일치하는지 여부를 검증할 수 있다.The
상기 예외정책정보(1520)는 사용자단말에 대한 주소정보에 포함되는 IP주소정보 및 MAC주소정보를 포함하고, 네트워크에서의 사용자단말의 명칭정보, 사용자단말의 운영체제 시스템에 대한 정보, 접속 포트정보 및 사용자단말에서 송신하는 패킷의 사이즈 정보를 더 포함한다. 상기 예외정책정보(1520) 또한 관리자단말(9400) 상에서 관리자에 의하여 입력될 수 있고, 상기 관제서버(1000)는 상기 관리자단말(9400)로부터 입력된 예외정책정보(1520)를 수신하여 상기 DB(1500)에 저장할 수 있다.The
상기 관제서버(1000)의 DB(1500)에는 관리자가 네트워크의 접속을 허가하기 위한 일종의 기준에 해당하는 예외정책정보(1520)가 1 이상의 제2유형의 제1사용자단말별로 저장될 수 있다. 한편, 상기 내부인증정보검증단계에서 제2유형의 제1사용자단말에 내부인증정보를 요청함에 있어서, 상기 예외정책정보(1520)에 포함된 복수의 정보들을 포함하는 내부인증정보를 요청하고, 상기 내부인증정보검증단계는 상기 제2유형의 제1사용자단말에서 송신한 내부인증정보가 상기 관제서버(1000)의 DB(1500)에 저장된 예외정책정보(1520)에 해당하는 경우에 상기 내부인증정보가 유효한 것으로 검증한다.In the
이와 같이, 내부인증정보검증단계는 제2유형의 제1사용자단말의 주소정보만을 검증하는 것이 아니라, 제2유형의 제1사용자단말에서 제공할 수 있는 1 이상의 정보들을 추가적으로 검증함으로써, 제2유형의 제1사용자단말이 네트워크에 접근할 수 있는 것으로 제어되는 경우에 상기 제2유형의 제1사용자단말과 동일한 주소정보를 갖는 다른 사용자단말이 해당 네트워크에 무분별하게 접속할 수 있는 것을 방지할 수 있는 효과를 발휘할 수 있다.In this way, the internal authentication information verification step does not verify only the address information of the first user terminal of the second type, but additionally verifies one or more pieces of information that can be provided by the first user terminal of the second type. In the case where the first user terminal is controlled to be able to access the network, it is possible to prevent other user terminals having the same address information as the first user terminal of the second type from indiscriminately accessing the network. can exert
도 7은 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 외부망제어단계에 포함되는 인증토큰제공단계 및 인증검증부(4000)에서 수행하는 인증검증단계의 수행과정들을 개략적으로 도시한다.7 schematically illustrates the steps of providing an authentication token included in the external network control step performed in the network system and performing the authentication verification step performed by the
도 7에 도시된 바와 같이, 상기 네트워크시스템은 인증검증부(4000) 및 인증제어부(3000)를 포함하고, 상기 인증검증부(4000)에 의하여, 상기 에이전트어플리케이션(9310)이 설치된 제2사용자단말(9300)로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부(3000)로 송신하는 인증검증단계; 및 상기 인증제어부(3000)에 의하여 수행되는 외부망제어단계는 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 제2사용자단말(9300)에 제공하는 인증토큰제공단계;를 포함하고, 상기 인증정보는, 상기 네트워크시스템의 식별정보, 상기 제2사용자단말(9300)의 식별정보 및 상기 제2사용자단말(9300)의 사용자에 대한 사용자정보를 포함하고, 상기 인증검증단계는, 상기 인증정보에 포함된 상기 네트워크시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(3000)로 송신하고, 상기 인증토큰제공단계는, 상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 제2사용자단말(9300)의 식별정보 및 상기 사용자정보가 상기 네트워크시스템에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 제2사용자단말(9300)에 제공할 수 있다.As shown in FIG. 7 , the network system includes an
구체적으로, 상기 제2사용자단말(9300)에 설치된 에이전트어플리케이션(9310)을 사용자가 실행하여, 사용자는 상기 에이전트어플리케이션(9310)을 통해 사용자정보를 입력하고, 제2사용자단말(9300)은 사용자의 사용자정보 입력을 수신(S50)할 수 있다. 한편, 상기 사용자정보는 상기 제2사용자단말(9300)을 사용하는 사용자를 식별할 수 있는 다양한 정보 가운데 하나에 해당할 수 있다. 예를 들어 상기 사용자정보는 ID/PW 정보에 해당하거나, 지문정보와 같이 사용자 고유의 생체정보에 해당할 수 있다.Specifically, the user executes the
더 구체적으로 사용자는 상기 제2사용자단말(9300)에 설치된 에이전트어플리케이션(9310)에 포함된 인증제어부통신모듈(9311)을 실행함에 따라 상기 인증제어부통신모듈(9311)을 통해 사용자정보를 입력할 수 있다.More specifically, as the user executes the authentication control
한편, 상기 에이전트어플리케이션(9310)은 입력받은 사용자정보를 포함하는 인증정보를 도출(S51)한다. 구체적으로 상기 인증정보는 상기 네트워크시스템의 식별정보, 상기 제2사용자단말(9300)의 식별정보 및 상기 사용자정보를 포함한다.On the other hand, the
상기 네트워크시스템의 식별정보는 네트워크시스템의 내부에서 구현되는 네트워크에 대한 식별정보에 해당할 수 있다. 예를 들어, 상기 네트워크시스템이 기업 내의 네트워크를 구현하는 경우에, 상기 네트워크시스템의 식별정보는 해당 기업에 대한 ID와 같이, 해당 기업에 대한 식별정보에 해당할 수도 있다. 상기 제2사용자단말(9300)의 식별정보는 사용자가 사용하는 제2사용자단말(9300)을 식별하기 위한 고유정보에 해당할 수 있고, 상기 제2사용자단말(9300)의 식별정보는 해당 제2사용자단말(9300)의 MAC주소(Media Access Control Address) 또는 iOS에서 제공하는 Unique Device Identifier(UDID)와 같이, 제2사용자단말(9300)에 대한 고유정보에 해당할 수 있다. 한편, 상기 네트워크시스템의 식별정보 및 상기 제2사용자단말(9300)의 식별정보는 상기 제2사용자단말(9300)의 메모리에 기 저장될 수 있다.The identification information of the network system may correspond to identification information on a network implemented inside the network system. For example, when the network system implements a network within a company, the identification information of the network system may correspond to identification information for the corresponding company, such as an ID for the corresponding company. The identification information of the
한편, 상기 인증정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 상기 네트워크시스템의 식별정보를 포함하고, 상기 바디는 상기 제2사용자단말(9300)의 식별정보 및 상기 사용자정보를 포함할 수 있다. 이와 같이 상기 에이전트어플리케이션(9310)은 생성한 인증정보를 상기 인증검증부(4000)로 송신(S52)한다.Meanwhile, the authentication information is generated in the form of packet data including a header and a body, the header includes identification information of the network system, and the body includes identification information of the
상기 인증검증부(4000)는 인증검증단계를 수행하여 제2사용자단말(9300)로부터 수신한 인증정보를 검증(S53)한다. 구체적으로 인증검증단계는, 상기 인증정보의 헤더에 포함된 상기 네트워크시스템의 식별정보가 상기 인증검증부(4000)가 포함된 네트워크시스템의 식별정보와 일치하는지 여부를 검증(S53)한다. 상기 인증검증부(4000)는 수신한 인증정보를 검증하기 위하여 자신이 포함된 네트워크시스템의 식별정보를 저장할 수 있다.The
한편, 상기 인증검증단계에서 수신한 인증정보가 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(3000)로 송신(S54)하고, 만약 상기 인증정보가 유효한 것으로 검증되지 않는 경우, 즉, 상기 인증정보에 포함된 네트워크시스템의 식별정보가 상기 인증검증부(4000)가 포함된 네트워크시스템의 식별정보와 일치하지 않는 경우, 수신한 인증정보를 버리거나(drop), 상기 인증정보를 송신한 제2사용자단말(9300)의 에이전트어플리케이션(9310)으로 인증정보의 검증결과를 송신할 수 있다.On the other hand, if the authentication information received in the authentication verification step is verified as valid, the authentication information is transmitted to the authentication control unit 3000 (S54), and if the authentication information is not verified as valid, that is, the When the identification information of the network system included in the authentication information does not match the identification information of the network system including the
한편, 상기 인증제어부(3000)는 인증토큰제공단계를 수행하여 상기 인증검증부(4000)로부터 수신한 인증정보의 바디를 검증(S55)하고, 검증결과에 따라 상기 제2사용자단말(9300)의 서비스어플리케이션과 서비스서버의 통신을 수립할 수 있는 인증토큰을 생성(S56)할 수 있다.On the other hand, the
구체적으로, 상기 인증토큰제공단계는 수신한 상기 인증정보의 바디에 포함된 제2사용자단말(9300)의 식별정보 및 사용자정보를 검증한다. 이를 위하여, 상기 인증토큰제공단계는 상기 인증제어부(3000) 또는 상기 네트워크시스템에 포함된 데이터베이스에 상기 제2사용자단말(9300)의 식별정보 및 상기 사용자정보가 저장되어 있는지 판별한다. 본 발명의 일 실시예에서 상기 데이터베이스에 저장되는 제2사용자단말(9300)의 식별정보 및 사용자정보는 상술한 관리자단말을 통해 수신할 수 있다. 또한 본 발명의 다른 실시예에서는 상기 에이전트어플리케이션(9310)을 통해 제2사용자단말(9300)의 사용자가 사용자등록과 같은 절차를 수행함에 따라 상기 데이터베이스에 상기 제2사용자단말(9300)의 식별정보 및 상기 사용자정보가 자동적으로 저장될 수도 있다.Specifically, the step of providing the authentication token verifies the identification information and user information of the
한편, 상기 인증토큰제공단계는 인증정보를 검증(S55)하여, 해당 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성(S56)하고, 생성한 인증토큰을 상기 인증검증부(4000)를 통해 상기 에이전트어플리케이션(9310)이 설치된 제2사용자단말(9300)로 송신(S57 및 S58)한다. 상기 인증토큰제공단계를 통해 생성된 인증토큰은 제2사용자단말(9300)이 인증되었음을 의미하며, 이후 제2사용자단말(9300)은 상기 인증검증부(4000)로 데이터를 송신하는 경우에 인증토큰을 포함하여 송신하며, 상기 인증검증부(4000)는 인증토큰을 확인하는 것으로 해당 데이터를 상기 인증제어부(3000)에 제공하게 된다.On the other hand, the authentication token providing step verifies the authentication information (S55), generates an authentication token (S56) when the corresponding authentication information is verified as valid, and uses the generated authentication token through the
또한 상기 인증토큰을 수신한 인증검증부(4000)는 상기 인증토큰을 저장하여, 이후에 상기 에이전트어플리케이션(9310)으로부터 수신하는 데이터에 포함된 인증토큰을 검증할 수 있고, 상기 제2사용자단말(9300) 또한 제공받은 인증토큰을 저장(S59)하고, 이후에 상기 인증검증부(4000)로 데이터를 송신함에 있어서, 상기 데이터에 저장된 인증토큰을 포함시킬 수 있다.In addition, the
이와 같이, 인증검증부(4000)는 제2사용자단말(9300)에서 인증제어부(3000)로 송신하고자 하는 데이터들의 유효성을 검증하여, 유효한 것으로 검증된 데이터만을 상기 인증제어부(3000)로 제공하므로, 상기 인증제어부(3000)에 대한 보안이 향상될 수 있고, 상기 인증제어부(3000)의 부하를 줄일 수 있다.In this way, the
한편, 상기 인증토큰제공단계에서 생성된 인증토큰을 제2사용자단말(9300)이 수신하는 것으로 상기 제2사용자단말(9300)의 에이전트어플리케이션(9310)에서 인증정보가 정상적으로 검증된 것으로 판단할 수 있으나, 본 발명의 다른 실시예에서 상기 인증토큰제공단계는 인증토큰과 함께 인증정보에 대한 검증이 정상적으로 이루어졌음을 의미하는 인증결과정보를 상기 제2사용자단말(9300)에 제공할 수도 있다.On the other hand, as the
도 8은 본 발명의 일 실시예에 따른 인증검증부(4000)에서 수행하는 외부정책요청정보검증단계 및 외부망제어단계에 포함되는 외부정책정보제공단계의 수행과정들을 개략적으로 도시한다.FIG. 8 schematically illustrates the execution processes of the external policy information providing step included in the external policy request information verification step and the external network control step performed by the
도 8에 도시된 바와 같이, 상기 인증검증부(4000)에 의하여, 상기 인증토큰제공단계가 수행된 이후에, 상기 제2사용자단말(9300)로부터 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 포함하는 외부정책요청정보를 수신하고, 상기 외부정책요청정보에 포함된 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 외부정책요청정보를 상기 인증제어부(3000)로 송신하는 외부정책요청정보검증단계; 및 상기 인증제어부(3000)에 의하여 수행하는 외부망제어단계는, 상기 외부정책요청정보검증단계를 통해 수신한 외부정책요청정보에 기초하여 상기 제2사용자단말(9300) 및 상기 제2사용자단말(9300)의 사용자에 상응하는 외부정책정보를 도출하여 상기 제2사용자단말(9300)에 상기 외부정책정보를 제공하는 외부정책정보제공단계;를 포함할 수 있다.As shown in FIG. 8 , after the authentication token providing step is performed by the
구체적으로, 상기 인증토큰을 제공받은 제2사용자단말(9300)은, 곧바로 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션 및 상기 네트워크시스템에 포함된 서비스서버의 통신채널을 수립하기 위한 라우팅정보를 상기 인증검증부(4000)로 송신할 수 있으나, 바람직하게는 상기 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)은 상기 제2사용자단말(9300)이 상기 서비스서버와 접속할 수 있는 상태인지를 판별하기 위한 외부정책요청정보를 상기 인증검증부(4000)로 송신하고, 상기 인증검증부(4000) 및 상기 인증제어부(3000)는 외부정책요청정보검증단계 및 외부정책정보제공단계를 통해 상기 제2사용자단말(9300)에 상응하는 외부정책정보를 도출하여 상기 제2사용자단말(9300)에 제공한다.Specifically, the
이를 위해, 상기 에이전트어플리케이션(9310), 구체적으로 인증제어부통신모듈(9311)은 인증토큰을 제공받은 후에 상기 인증토큰을 포함하는 외부정책요청정보를 생성(S60)하고, 상기 외부정책요청정보를 상기 인증검증부(4000)로 송신(S61)한다. 한편, 상기 외부정책요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 네트워크시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.To this end, the
한편, 상기 인증검증부(4000)는 외부정책요청정보검증단계를 수행하여 상기 제2사용자단말(9300)로부터 수신한 외부정책요청정보를 검증(S62)한다. 구체적으로 외부정책요청정보검증단계는, 상기 외부정책요청정보의 헤더에 포함된 네트워크시스템의 식별정보가 상기 인증검증부(4000)가 포함된 네트워크시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 외부정책요청정보의 바디에 포함된 인증토큰이 상기 네트워크시스템에 포함된 인증제어부(3000)에서 생성한 인증토큰에 해당하는지 여부를 검증(S62)한다.Meanwhile, the
이어서, 상기 외부정책요청정보검증단계에서 수신한 외부정책요청정보가 유효한 것으로 검증된 경우에 상기 외부정책요청정보검증단계는 상기 외부정책요청정보를 상기 인증제어부(3000)로 송신(S63)하고, 만약 상기 외부정책요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 외부정책요청정보를 버리거나(drop), 상기 외부정책요청정보를 송신한 제2사용자단말(9300)의 에이전트어플리케이션(9310)으로 외부정책요청정보에 대한 검증결과를 송신할 수 있다.Next, when the external policy request information received in the external policy request information verification step is verified as valid, the external policy request information verification step transmits the external policy request information to the authentication control unit 3000 (S63), If the external policy request information is not verified as valid, the received external policy request information is dropped, or the external policy request information is sent to the
한편, 상기 인증제어부(3000)는 외부정책정보제공단계를 수행하여 상기 인증검증부(4000)로부터 수신한 외부정책요청정보에 상응하는 외부정책정보를 도출(S64)한다. 구체적으로, 상기 외부정책정보제공단계는 네트워크시스템에 포함된 데이터베이스에 저장된 1 이상의 외부정책정보 가운데 상기 외부정책요청정보에 상응하는 외부정책정보를 도출(S64)한다. 이를 위해 관리자는 상기 관리자단말을 통해 제2사용자단말(9300)의 유형 및/또는 사용자의 유형에 따른 1 이상의 외부정책정보를 입력할 수 있고, 상기 네트워크시스템은 관리자가 입력한 1 이상의 외부정책정보를 데이터베이스에 저장할 수 있다.Meanwhile, the
본 발명의 다른 실시예에서 상기 제2사용자단말(9300)의 유형은 데스크탑, 스마트폰 및 태블릿 PC와 같은 제2사용자단말(9300)의 종류에 해당할 수 있고, 상기 사용자의 유형은 상기 네트워크시스템이 기업에서 운영하는 경우에, 사용자의 직급 및/또는 부서에 해당할 수도 있다.In another embodiment of the present invention, the type of the
이어서, 상기 외부정책정보제공단계는 도출한 외부정책정보를 상기 인증검증부(4000)를 통해 상기 에이전트어플리케이션(9310)이 설치된 제2사용자단말(9300)로 송신(S65 및 S66)한다. 상기 에이전트어플리케이션(9310)은 수신한 외부정책정보에 따라 상기 제2사용자단말(9300)의 상태를 판단(S67)하며, 상기 외부정책정보에 부합하는 것으로 판단하는 경우에 상기 인증검증부(4000)에 상기 제2사용자단말(9300)의 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 요청하게 된다.Then, in the step of providing the external policy information, the derived external policy information is transmitted (S65 and S66) to the
한편, 상기 외부정책정보 및 상술한 제2내부정책정보는 제2사용자단말(9300)에 제공되는 점에서 동일하나, 상기 외부정책정보에 포함된 1 이상의 정책과 상기 제2내부정책정보에 포함된 1 이상의 정책은 상이할 수 있다. 구체적으로, 상기 외부정책정보는 외부망을 통해 제2사용자단말(9300)을 네트워크시스템에 연결함에 있어서 제2사용자단말(9300)이 필수적으로 검증되어야 하는 정책들을 포함하고, 상기 제2내부정책정보는 통신채널이 수립된 후에 실제 서비스서버와 통신을 수행함에 있어서 제2사용자단말(9300)의 보안적 요소들을 검증하기 위한 정책들을 포함할 수 있다. 예를 들어, 상기 보안적 요소에는 제2사용자단말(9300)의 화면보호기 설정여부에 대한 정책, 제2사용자단말(9300)의 로그인 비밀번호 설정여부에 대한 정책들에 해당할 수 있다.Meanwhile, the external policy information and the second internal policy information are the same in that they are provided to the
도 9는 본 발명의 일 실시예에 따른 제2사용자단말(9300)에 제공하는 외부정책정보를 개략적으로 도시한다.9 schematically illustrates external policy information provided to the
도 9에 도시된 바와 같이, 외부정책정보는 1 이상의 정책들을 포함하고, 상기 라우팅요청검증단계는, 상기 외부정책정보제공단계를 통해 외부정책정보를 제공받은 제2사용자단말(9300)의 에이전트어플리케이션(9310)에서 해당 제2사용자단말(9300)이 상기 외부정책정보에 부합하는 것으로 판별한 경우에 상기 제2사용자단말(9300)로부터 상기 라우팅요청정보를 수신할 수 있다.As shown in FIG. 9 , the external policy information includes one or more policies, and in the routing request verification step, the agent application of the
구체적으로, 도 9에 도시된 바와 같이 외부정책정보는 1 이상의 정책들을 포함하고, 상기 외부정책정보는 제2사용자단말(9300)의 유형 및/또는 사용자의 유형에 따라 상이한 정책들을 포함할 수 있으며, 상기 외부정책정보는 관리자가 설정할 수 있다.Specifically, as shown in FIG. 9 , the external policy information includes one or more policies, and the external policy information may include different policies depending on the type of the
상기 외부정책정보는 제2사용자단말(9300)이 네트워크시스템, 구체적으로는 서비스서버(5000)와의 통신채널을 수립하는 데 있어서 제2사용자단말(9300)의 상태를 확인하기 위한 정보에 해당할 수 있다. 예를 들어, 상기 외부정책정보는 제2사용자단말(9300)에 1 이상의 백신소프트웨어의 설치여부에 대한 정책, 제2사용자단말(9300)에 방화벽의 설정여부에 대한 정책, 제2사용자단말(9300)의 운영체제의 최신 업데이트 여부에 대한 정책, 제2사용자단말(9300)에 블랙리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 및 제2사용자단말(9300)에 화이트리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 등을 포함할 수 있다.The external policy information may correspond to information for confirming the state of the
한편, 상기 에이전트어플리케이션(9310), 구체적으로 인증제어부통신모듈(9311)은 상기 인증제어부(3000)로부터 제공받은 외부정책정보에 기초하여 상기 에이전트어플리케이션(9310)이 설치된 제2사용자단말(9300)이 상기 외부정책정보에 포함된 1 이상의 정책에 부합하는지 여부를 판단할 수 있다. 이를 위하여 상기 에이전트어플리케이션(9310)은 상기 제2사용자단말(9300)의 운영체제의 내부에 접근할 수 있는 권한이 부여될 수 있다.On the other hand, the
이에 따라, 상기 에이전트어플리케이션(9310)이 제공받은 외부정책정보에 해당 제2사용자단말(9300)이 부합하는 것으로 판별한 경우에, 상기 에이전트어플리케이션(9310)은 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320) 및 상기 서비스어플리케이션(9320)에 상응하는 서비스서버(5000)와의 통신을 수립하기 위한 라우팅정보를 상기 인증검증부(4000)에 요청할 수 있다.Accordingly, when it is determined that the
반면에, 상기 에이전트어플리케이션(9310)이 해당 제2사용자단말(9300)이 제공받은 외부정책정보에 부합하지 않는 것으로 판별한 경우에, 상기 에이전트어플리케이션(9310)은 상기 라우팅정보를 상기 인증검증부(4000)에 요청하지 않는다. 또한, 부가적으로 상기 에이전트어플리케이션(9310)은 외부정책정보에 부합하지 않음을 해당 제2사용자단말(9300)에 디스플레이 하거나, 상기 네트워크시스템에 포함된 배포서버와 통신을 수행하여 상기 외부정책정보에 부합하기 위한 1 이상의 소프트웨어를 제2사용자단말(9300)에 설치하거나, 제2사용자단말(9300)에 설치된 블랙리스트에 포함된 소프트웨어를 제거하는 등의 동작을 수행하여 상기 제2사용자단말(9300)이 제공받은 외부정책정보에 부합되도록 하는 일련의 과정을 수행할 수도 있다.On the other hand, when it is determined that the
이와 같이, 본 발명의 일 실시예에서 네트워크시스템은 제2사용자단말(9300)이 인증토큰을 제공받는 경우에, 즉시 서비스어플리케이션(9320)과 서비스서버(5000) 사이의 통신채널을 수립하기 위한 라우팅정보를 제공하는 것이 아니라, 제2사용자단말(9300) 및 사용자에 상응하는 외부정책정보를 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)에 제공하고, 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)에서 제2사용자단말(9300)이 외부정책정보에 부합하는 것으로 판별한 경우에만 라우팅정보를 요청할 수 있도록 하므로, 보안에 위협이 되는 요소들을 포함하는 제2사용자단말(9300)이 서비스서버(5000)와 통신하는 것을 미연에 방지할 수 있는 효과를 발휘할 수 있다.As such, in an embodiment of the present invention, the network system is routing for establishing a communication channel between the
한편, 본 발명의 다른 실시예에서 상기 외부정책정보에 따라 상기 에이전트어플리케이션(9310)에서 해당 제2사용자단말(9300)이 상기 외부정책정보에 부합하는지 판별하는 과정은 상기 에이전트어플리케이션(9310)에서 라우팅정보를 요청하기 위하여 수행되는 것뿐만 아니라, 라우팅정보에 따라 서비스어플리케이션(9320) 및 서비스서버(5000)의 통신채널이 수립된 후에도 상기 과정이 수행될 수 있고, 해당 제2사용자단말(9300)이 상기 외부정책정보에 부합하지 않는 것으로 판별되는 경우에 수립된 통신채널은 끊어질 수 있다.On the other hand, in another embodiment of the present invention, the process of determining whether the
도 10은 본 발명의 일 실시예에 따른 인증검증부(4000)에서 수행하는 라우팅요청검증단계 및 외부망제어단계에 포함되는 라우팅정보제공단계를 개략적으로 도시한다.10 schematically shows a routing information providing step included in the routing request verification step and the external network control step performed by the
도 10에 도시된 바와 같이, 상기 인증검증부(4000)는, 상기 인증토큰을 제공받은 제2사용자단말(9300)로부터 수신한 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320) 및 서비스서버(5000)의 통신채널이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부(3000)로 송신하는 라우팅요청검증단계를 수행하고, 상기 인증제어부(3000)에 의하여 수행되는 외부망제어단계는, 상기 라우팅요청검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션(9320) 및 서비스서버(5000)의 통신채널을 수립하기 위한 라우팅정보를 도출하여 상기 제2사용자단말(9300)에 제공하는 라우팅정보제공단계;를 포함하고, 상기 라우팅요청정보는, 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 포함하고, 상기 라우팅요청검증단계는, 상기 라우팅요청정보에 포함된 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 검증하고, 유효한 것으로 검증된 경우에 상기 라우팅요청정보를 상기 인증제어부(3000)로 송신하고, 상기 라우팅정보제공단계는, 상기 라우팅요청검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스서버(5000)의 주소정보 및 상기 서비스어플리케이션(9320)과 상기 서비스서버(5000)의 통신을 중계하는 게이트웨이의 주소정보를 포함하는 라우팅정보를 도출하여 상기 제2사용자단말(9300)에 상기 라우팅정보를 제공할 수 있다.As shown in FIG. 10 , the
구체적으로, 상술한 바와 같이 상기 에이전트어플리케이션(9310)에서, 구체적으로 상기 인증제어부통신모듈(9311)에서 제2사용자단말(9300)이 외부정책정보에 부합하는 것으로 판별한 경우에, 상기 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320)과 이에 상응하는 서비스서버(5000)의 통신을 수립하기 위한 라우팅정보를 요청하는 라우팅요청정보를 생성(S70)하고, 상기 라우팅요청정보를 상기 인증검증부(4000)로 송신(S71)한다. 한편, 상기 라우팅요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 네트워크시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.Specifically, as described above, when the
한편, 상기 인증검증부(4000)는 라우팅요청검증단계를 수행하여 상기 제2사용자단말(9300)로부터 수신한 라우팅요청정보를 검증(S72)한다. 구체적으로, 상기 라우팅요청검증단계는, 상기 라우팅요청정보의 헤더에 포함된 네트워크시스템의 식별정보가 상기 인증검증부(4000)가 포함된 네트워크시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 라우팅요청정보의 바디에 포함된 인증토큰이 상기 네트워크시스템에 포함된 인증제어부(3000)에서 생성한 인증토큰에 해당하는지 여부를 검증(S72)한다.On the other hand, the
이어서, 상기 라우팅요청검증단계에서 수신한 라우팅요청정보가 유효한 것으로 검증된 경우에 상기 라우팅요청검증단계는 상기 라우팅요청정보를 상기 인증제어부(3000)로 송신(S73)하고, 만약 상기 라우팅요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 라우팅요청정보를 버리거나(drop), 상기 라우팅요청정보를 송신한 제2사용자단말(9300)의 에이전트어플리케이션(9310)으로 라우팅요청정보에 대한 검증결과를 송신할 수 있다.Subsequently, if the routing request information received in the routing request verification step is verified as valid, the routing request verification step transmits the routing request information to the authentication control unit 3000 (S73), and if the routing request information is If it is not verified as valid, the received routing request information is dropped, or the verification result for the routing request information can be transmitted to the
한편, 상기 인증제어부(3000)는 라우팅정보제공단계를 수행하여 상기 인증검증부(4000)로부터 수신한 라우팅요청정보에 기초하여 제2사용자단말(9300)에 설치된 서비스어플리케이션(9320) 및 서비스서버(5000)의 통신을 수립하기 위한 라우팅정보를 도출(S74)한다. 구체적으로, 상기 라우팅정보제공단계에서 도출하는 라우팅정보는 통신을 수립하고자 하는 서비스서버(5000)의 주소정보 및 통신을 수립하고자 하는 서비스서버(5000) 및 서비스어플리케이션(9320)의 통신을 중계하는 게이트웨이의 주소정보를 포함할 수 있다.On the other hand, the
이어서, 상기 라우팅정보제공단계는 도출한 라우팅정보를 상기 인증검증부(4000)를 통해 상기 에이전트어플리케이션(9310)이 설치된 제2사용자단말(9300)로 송신(S75 및 S76)한다. 한편, 상기 에이전트어플리케이션(9310), 구체적으로 상기 인증제어부통신모듈(9311)은 수신한 라우팅정보에 기초하여 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 해당하는 게이트웨이를 경유하는 서비스어플리케이션(9320) 및 서비스서버(5000)의 통신채널을 수립하기 위한 경로(라우팅)를 설정(S77)할 수 있다.Next, in the routing information providing step, the derived routing information is transmitted (S75 and S76) to the
도 11은 본 발명의 일 실시예에 따른 제2사용자단말(9300)에서 라우팅정보에 따라 서비스어플리케이션(9320)에 대한 통신채널을 수립하는 과정을 개략적으로 도시한다.11 schematically illustrates a process of establishing a communication channel for a
도 11에 도시된 바와 같이, 상기 라우팅정보제공단계를 통해 상기 제2사용자단말(9300)에 제공되는 라우팅정보는, 상기 에이전트어플리케이션(9310)에서 상기 제2사용자단말(9300)에 설치된 운영체제(Operating System)(9330)로 하여금 상기 서비스어플리케이션(9320) 및 상기 서비스서버(5000)가 상기 게이트웨이를 통해 통신을 수행하도록 상기 운영체제(9330)의 커널(kernel)을 제어하도록 할 수 있다.11, the routing information provided to the
구체적으로, 상기 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)은 상기 라우팅정보제공단계를 통해 제공받은 라우팅정보에 기초하여, 상기 제2사용자단말(9300)에 설치된 운영체제(9330)에 포함되는 커널을 제어함으로써, 서비스어플리케이션(9320) 및 서비스서버(5000)가 게이트웨이를 통해 통신을 수행할 수 있도록 라우팅 될 수 있다.Specifically, the authentication control
상기 커널은 서비스어플리케이션(9320)의 수행에 필요한 다양한 서비스를 제공하고, 제2사용자단말(9300)의 하드웨어를 제어하여 타 제2사용자단말(9300)과의 네트워킹을 제공할 수 있으며, 이에 따라 상기 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)은 상기 운영체제(9330)의 커널을 제어할 수 있는 권한이 부여될 수 있다.The kernel may provide various services necessary to perform the
따라서, 상기 에이전트어플리케이션(9310)의 인증제어부통신모듈(9311)은, 서비스어플리케이션(9320)이 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 상응하는 게이트웨이를 통해 상기 라우팅정보에 포함된 서비스서버(5000)의 주소정보에 상응하는 서비스서버(5000)와 통신이 수립되도록 상기 커널을 제어한다.Accordingly, the authentication control
이와 같이, 라우팅정보에 따라 수립된 통신채널을 통해서만 상기 서비스어플리케이션(9320) 및 상기 서비스서버(5000)가 통신을 수행할 수 있으며, 상기 서비스어플리케이션(9320)은 상기 통신채널을 통해 특정 서비스서버(5000)에 대해서만 통신을 할 수 있으므로, 상기 네트워크시스템에 포함된 타 구성요소와의 불필요한 통신을 미연에 차단할 수 있으므로 상기 네트워크시스템의 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.In this way, the
한편, 본 발명의 다른 실시예에서 상기 서비스어플리케이션(9320) 및 상기 서비스서버(5000)의 통신채널이 수립되는 경우에 해당 통신채널은 암호화되어, 해당 통신채널을 통해 송수신하는 데이터의 보안을 향상시킬 수 있으며, 암호화 방식은 전송 계층 보안(Transport Layer Security, TLS) 프로토콜 등과 같이 다양한 암호화 방식을 사용할 수 있다. 또한, 상기 통신채널에서 암호화되는 구간은 상기 서비스어플리케이션(9320) 및 상기 게이트웨이 사이의 구간에만 해당할 수도 있다.On the other hand, in another embodiment of the present invention, when a communication channel between the
이와 같이, 상기 제2사용자단말(9300)은 상술한 외부망제어단계를 통해 통신채널을 수립하며 즉시 통신채널을 통해 서비스서버(5000)와의 통신을 수행하는 것이 아니라 수립된 통신채널을 중지한다. 이후에 상기 관제서버는 상술한 통합제어단계를 통해 상기 제2사용자단말(9300)이 제2내부정책에 부합하는 경우에 중지된 통신채널을 재개하도록 한다.As such, the
한편, 도 12에서는 상기 통합제어단계를 통해 상기 제2사용자단말(9300)이 제2내부정책에 부합하지 않는 경우에 수행되는 리다이렉트단계 및 통신채널재개단계에 대해 설명하도록 한다.Meanwhile, in FIG. 12 , a redirection step and a communication channel resumption step performed when the
도 12는 본 발명의 일 실시예에 따른 관제서버(1000)에서 수행하는 리다이렉트단계 및 통신채널재개단계의 세부 단계들을 개략적으로 도시한다.12 schematically illustrates detailed steps of a redirect step and a communication channel resumption step performed by the
도 12에 도시된 바와 같이, 상기 네트워크시스템은 배포서버(7000)를 더 포함하고, 상기 통합보안 방법은, 상기 관제서버(1000)에 의하여, 상기 통합제어단계에서 상기 제2사용자단말(9300)로부터 상기 제2사용자단말(9300)이 상기 제2내부정책정보에 부합하지 않는 것으로 판단한 판단결과를 수신하는 경우에 상기 제2사용자단말(9300)이 상기 배포서버(7000)와 통신을 수행하도록 제어하는 리다이렉트단계; 및 상기 관제서버(1000)에 의하여, 상기 리다이렉트단계를 통해 상기 배포서버(7000)와 통신을 수행한 상기 제2사용자단말(9300)이 상기 제2내부정책정보에 부합하는 경우에 상기 제2사용자단말(9300)에 의해 중지된 통신채널을 재개하는 통신채널재개단계;를 더 포함할 수 있다.12, the network system further includes a
구체적으로, 상기 제2사용자단말(9300)에 설치된 에이전트어플리케이션(9310)의 관제서버통신모듈(9312)에서 상기 제2사용자단말(9300)이 제2내부정책정보에 부합하지 않는 것으로 판단(S80)한 경우에, 상기 제2사용자단말(9300)은 판단결과를 상기 관제서버(1000)로 송신하고, 상기 관제서버(1000)는 상기 판단결과를 수신(S81)한다. 한편, 상기 판단결과는 상기 관제서버통신모듈(9312)에서 상기 제2사용자단말(9300)이 제2내부정책정보에 부합하지 않는 것으로 판단함에 따라 상기 제2사용자단말(9300)이 제2내부정책정보에 부합할 수 있도록 상기 배포서버(7000)와의 통신을 요청하는 정보에 해당할 수 있다.Specifically, it is determined that the
상기 판단결과를 수신한 관제서버(1000)는 리다이렉트단계를 수행하여, 상기 제2사용자단말(9300)과 상기 배포서버(7000)가 통신을 수행하도록하는 리다이렉트정보를 생성(S82)하고, 상기 리다이렉트정보를 상기 제2사용자단말(9300)로 송신(S83)한다. 구체적으로 상기 리다이렉트정보는 상기 배포서버(7000)에 대한 주소정보를 포함하여, 상기 제2사용자단말(9300)이 상기 배포서버(7000)에 대한 주소정보에 기초하여 상기 배포서버(7000)와 통신을 수행하도록 할 수 있다.The
한편, 상기 제2사용자단말(9300)은 수신한 리다이렉트정보에 기초하여 상기 배포서버(7000)와 통신을 수행(S84)하며, 상기 배포서버(7000)는 상기 제2사용자단말(9300)이 상기 제2내부정책정보에 부합하도록 특정 어플리케이션을 설치하거나, 설치된 특정 어플리케이션을 삭제하도록 하거나, 상기 제2사용자단말(9300)에 설정된 요소를 변경하도록 하는 일련의 통신과정을 수행할 수 있다.On the other hand, the
이어서, 상기 제2사용자단말(9300)에 설치된 에이전트어플리케이션(9310)이 상기 배포서버(7000)와의 일련의 통신과정을 수행한 후에 상기 관제서버통신모듈(9312)은 다시 상기 제2사용자단말(9300)이 상기 제2내부정책정보에 부합하는지 여부를 판단(S85)하고, 판단결과를 상기 관제서버(1000)로 송신하며, 상기 관제서버(1000)는 상기 판단결과를 수신(S86)한다.Next, after the
한편, 상기 관제서버(1000)는 상기 판단결과가 부합하는 것에 대한 판단결과인 경우에 중지된 통신채널을 재개하도록 제2사용자단말(9300)의 에이전트어플리케이션(9310)을 제어(S87)하는 통신채널재개단계를 수행한다. 반면에 상기 판단결과가 부합하지 않는 판단결과인 경우에 상기 관제서버(1000)는 다시 리다이렉트단계를 수행할 수도 있다.On the other hand, the
도 13은 본 발명의 일 실시예에 따른 관리자단말(9400)에 표시되는 관리자인터페이스의 상태정보레이어를 개략적으로 도시한다.13 schematically illustrates a state information layer of a manager interface displayed on a
도 13에 도시된 바와 같이, 상기 통합보안 방법은, 상기 관제서버(1000)에 의하여, 상기 내부망제어단계를 통해 상기 내부망 접근이 허가 또는 차단된 1 이상의 제1사용자단말 및 상기 외부망제어단계를 통해 통신채널이 수립된 1 이상의 제2사용자단말의 상태정보가 표시되는 상태정보레이어를 포함하는 관리자인터페이스를 상기 관제서버(1000)와 통신을 수행하는 관리자단말(9400)에 제공하는 인터페이스제공단계를 더 포함할 수 있다.As shown in FIG. 13 , in the integrated security method, one or more first user terminals and the external network control to which the internal network access is permitted or blocked through the internal network control step by the
구체적으로, 상기 관제서버(1000)는 인터페이스제공단계를 통해 관리자단말(9400)에 관리자인터페이스를 제공하며, 상기 관리자인터페이스는 복수의 레이어를 포함할 수 있다.Specifically, the
도 13의 (A)는 관제서버(1000)의 리소스 사용현황이 표시되는 레이어를 도시한다. 도 13의 (A)에 도시된 바와 같이 해당 레이어에는 상기 관제서버(1000)의 프로세서(CPU)의 사용율, 메모리의 사용율에 대한 정보가 표시되고, 상기 차단서버, 상기 인증검증부 및 상기 인증제어부의 상태가 표시되며, 네트워크시스템의 전체적인 보안 상태가 표시될 수 있다.13A illustrates a layer in which the resource usage status of the
도 13의 (B)는 관제서버(1000)에 의해 내부망 접근이 차단 또는 허가된 1 이상의 제1사용자단말의 상태정보 및 수립된 통신채널의 사용이 차단 또는 허가된 1 이상의 제2사용자단말의 상태정보가 표시되는 상태정보레이어를 포함한다.13(B) shows the status information of one or more first user terminals blocked or permitted to access the internal network by the
상기 상태정보레이어에는 1 이상의 제1사용자단말 및 제2사용자단말의 주소정보, 제조사정보, 최초 접속 시간정보, 마지막 활동일시정보, 에이전트어플리케이션 설치 여부에 대한 정보 등이 표시될 수 있으며, 도 13의 (B)에 도시된 바와 같이, 상기 상태정보레이어에는 제1사용자단말 및 제2사용자단말뿐만 아니라, 네트워크시스템에 포함되는 1 이상의 게이트웨이, 1 이상의 스위치 등에 대한 상태정보가 추가적으로 표시될 수 있다.Address information of one or more first and second user terminals, manufacturer information, first access time information, last activity date and time information, information on whether an agent application is installed, etc. may be displayed in the state information layer, as shown in FIG. As shown in (B), the state information layer may additionally display state information about one or more gateways, one or more switches, etc. included in the network system as well as the first and second user terminals.
도 13의 (C)는 내부망 접근이 차단 또는 허가된 1 이상의 제1사용자단말 및 수립된 통신채널의 사용이 차단 또는 허가된 1 이상의 제2사용자단말에 설치된 1 이상의 어플리케이션에 대한 현황이 표시되는 레이어를 도시한다. 상기 레이어에는 상기 1 이상의 어플리케이션별로 해당 어플리케이션을 설치한 사용자단말에 대한 정보가 표시되고, 해당 어플리케이션의 저작권자 정보, 상용 여부에 대한 정보, 사용용도정보, 해당 어플리케이션의 사용이 인가된 사용자정보, 해당 어플리케이션의 사용이 인가되지 않은 사용자정보, 해당 어플리케이션의 사용의 제한가능 여부에 대한 정보, 해당 어플리케이션의 삭제가능 여부에 대한 정보 등이 표시될 수 있다.13(C) shows the status of one or more applications installed in one or more first user terminals blocked or allowed access to the internal network and one or more second user terminals blocked or permitted to use an established communication channel. Show the layers. In the layer, information on a user terminal that has installed the corresponding application for each of the one or more applications is displayed, copyright holder information of the corresponding application, information on commercial availability, usage information, user information authorized to use the application, and the corresponding application User information for which the use of is not authorized, information on whether the use of the corresponding application can be restricted, information on whether the corresponding application can be deleted, and the like may be displayed.
한편, 상기 레이어에서는 프리웨어와 같이 별도의 라이선스 구매 없이 사용가능한 어플리케이션 및 라이선스를 구매하여 사용가능한 어플리케이션이 시각적으로 구분되도록 상기 상용 여부에 대한 정보에 따라 상이한 색상으로 표시될 수 있다.Meanwhile, in the layer, applications that can be used without purchasing a separate license, such as freeware, and applications that can be purchased by purchasing a license may be displayed in different colors according to the information on whether or not commercial use is available to visually distinguish them.
도 14는 본 발명의 일 실시예에 따른 관리자단말(9400)에 표시되는 관리자인터페이스의 정책설정레이어를 개략적으로 도시한다.14 schematically illustrates a policy setting layer of the manager interface displayed on the
도 14에 도시된 바와 같이, 상기 통합보안 방법은, 상기 관제서버(1000)에 의하여, 상기 제1사용자단말에 대한 제1내부정책정보 및 상기 제2사용자단말에 대한 제2내부정책정보에 대한 설정을 입력받는 정책설정레이어;를 포함하는 관리자인터페이스를 상기 관제서버(1000)와 통신을 수행하는 관리자단말(9400)에 제공하는 인터페이스제공단계를 더 포함할 수 있다.14, in the integrated security method, by the
구체적으로, 상기 관제서버(1000)는 인터페이스제공단계를 통해 관리자단말(9400)에 관리자인터페이스를 제공하며, 상기 관리자인터페이스는 복수의 레이어를 포함할 수 있다.Specifically, the
도 14의 (A)는 상기 네트워크시스템의 연결된 제1사용자단말 및 제2사용자단말별로 제공한 정책정보(제1내부정책정보, 제2내부정책정보 및 외부정책정보)가 표시되는 레이어를 도시한다. 도 14의 (A)에 도시된 상기 레이어에서는 제1사용자단말의 사용자정보 및 상기 제2사용자단말의 사용자정보에 따른 정책이 표시되어 있다. 구체적으로 상기 네트워크시스템이 기업에서 운영하는 시스템인 경우에 도 14의 (A)에 도시된 바와 같이, 상기 사용자정보는 해당 기업의 부서 또는 해당 부서에서의 직급에 해당할 수 있다.14A shows a layer in which policy information (first internal policy information, second internal policy information, and external policy information) provided for each connected first and second user terminals of the network system is displayed. . In the layer shown in FIG. 14A , policies according to user information of the first user terminal and user information of the second user terminal are displayed. Specifically, when the network system is a system operated by a company, as shown in FIG. 14A , the user information may correspond to a department of the corresponding company or a position in the corresponding department.
본 발명의 다른 실시예에서 상기 레이어에서는 사용자정보에 따른 정책이 표시되는 것이 아니라, 제1사용자단말 및 제2사용자단말의 종류에 따른 정책이 표시될 수 있으며, 사용자정보 및 사용자단말의 종류에 따른 정책이 표시될 수도 있다.In another embodiment of the present invention, in the layer, a policy according to the type of the first user terminal and the second user terminal may be displayed instead of displaying the policy according to the user information, and according to the type of the user information and the user terminal, the policy may be displayed. A policy may be displayed.
또한, 상기 레이어에는 상응하는 정책정보를 관리자가 등록한 일시정보 및 등록한 정책정보를 수정한 일시정보가 표시되며, 해당 정책정보에 따라 상기 제1사용자단말 및 제2사용자단말의 동작상태가 표시될 수 있다.In addition, the layer displays the date information on which the administrator registered the corresponding policy information and the date information on which the registered policy information is modified, and the operation status of the first user terminal and the second user terminal according to the policy information can be displayed. have.
도 14의 (B) 내지 (D)는 정책설정레이어의 일 실시예들을 개략적으로 도시한다. 도 14의 (B) 내지 (D)에 도시된 바와 같이, 상기 정책설정레이어는 해당 정책정보에 대한 이름을 입력받을 수 있는 정책이름입력영역을 포함한다.14 (B) to (D) schematically show one embodiment of a policy setting layer. As shown in (B) to (D) of FIG. 14 , the policy setting layer includes a policy name input area in which a name for the corresponding policy information can be input.
또한, 도 14의 (B)에 도시된 바와 같이, 정책설정레이어는 사용자가 설정할 수 있는 보안 정책들을 입력받을 수 있는 사용자보안정책 설정영역을 포함한다. 상기 사용자보안정책 설정영역을 통해 사용자가 사용자단말을 부팅하거나, 사용자단말의 운영체제 시스템을 사용하기 위하여 비밀번호를 설정했는지 여부에 대한 정책을 설정할 수 있으며, 해당 사용자단말의 화면보호기 설정 여부에 대한 정책을 설정할 수 있다.Also, as shown in (B) of FIG. 14 , the policy setting layer includes a user security policy setting area that can receive security policies that can be set by the user. Through the user security policy setting area, you can set a policy on whether the user boots the user terminal or sets a password to use the operating system of the user terminal, can be set.
한편, 도 14의 (C)에 도시된 바와 같이, 정책설정레이어는 사용자단말의 하드웨어적 요소들의 사용여부에 대한 정책들을 입력받을 수 있는 사용제한 설정영역을 포함한다. 상기 사용제한 설정영역을 통해 해당 사용자단말의 하드웨어적 요소들을 사용할 수 있도록 정책을 설정하거나, 사용하지 못하도록(차단) 정책을 설정하거나, 사용하되 사용상태를 모니터링하도록 정책을 설정할 수 있다.Meanwhile, as shown in (C) of FIG. 14 , the policy setting layer includes a usage restriction setting area that can receive policies on whether to use hardware elements of the user terminal. Through the use restriction setting area, a policy can be set to enable the use of hardware elements of the corresponding user terminal, a policy can be set not to use (block), or a policy can be set to monitor the usage status while being used.
마지막으로, 도 14의 (D)에 도시된 바와 같이, 정책설정레이어는 사용자단말에 특정 정보가 저장되어 있는지 검사하기 위한 정책들을 입력받을 수 있는 검사항목 설정영역을 포함한다. 상기 검사항목 설정영역을 통해 해당 사용자단말에 주민등록번호, 이메일주소, 휴대폰번호 등과 같이 특정 정보가 저장되어 있는지 여부를 검사하도록 하는 정책을 설정할 수 있다.Finally, as shown in FIG. 14D , the policy setting layer includes an inspection item setting area that can receive policies for inspecting whether specific information is stored in the user terminal. Through the inspection item setting area, it is possible to set a policy to inspect whether specific information such as a resident registration number, e-mail address, mobile phone number, etc. is stored in the corresponding user terminal.
이와 같이, 정책설정레이어는 관리자로 하여금 사용자단말에 대한 다양한 정책들을 입력받을 수 있으므로, 네트워크시스템에 접근하기 위하여 사용되는 정책정보를 다양하게 구성할 수 있는 효과를 발휘할 수 있다.In this way, since the policy setting layer allows the administrator to receive various policies for the user terminal, it is possible to exert the effect of variously configuring the policy information used to access the network system.
도 15은 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.15 schematically illustrates an internal configuration of a computing device according to an embodiment of the present invention.
상술한 도 1에 도시된 네트워크시스템에 포함되는 구성요소들은 상기 도 15에 도시된 컴퓨팅장치(11000)의 구성요소들을 포함할 수 있다.Components included in the above-described network system shown in FIG. 1 may include components of the
도 15에 도시된 바와 같이, 컴퓨팅장치(11000)는 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅장치(11000)는 도 1에 도시된 네트워크시스템에 포함되는 구성요소에 해당될 수 있다.15, the
메모리(11200)는 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그 밖에 다양한 데이터를 포함할 수 있다.The
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.In this case, access to the
주변장치 인터페이스(11300)는 컴퓨팅장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리(11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.The input/output subsystem may couple various input/output peripherals to the
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.The
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅장치와 통신을 가능하게 할 수 있다.The
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅장치와 통신을 가능하게 할 수도 있다.Alternatively, as described above, if necessary, the
이러한 도 15의 실시예는, 컴퓨팅장치(11000)의 일례일 뿐이고, 컴퓨팅장치(11000)는 도 15에 도시된 일부 컴포넌트가 생략되거나, 도 15에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅장치는 도 15에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(11600)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.This embodiment of FIG. 15 is only an example of the
본 발명의 실시예에 따른 방법들은 별도의 다양한 컴퓨팅장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 어플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 사용자단말을 포함하는 별도의 컴퓨팅장치에 설치될 수 있다. 일 예로, 파일 배포 시스템은 별도의 컴퓨팅장치의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.Methods according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various separate computing devices and recorded in a computer-readable medium. In particular, the program according to the present embodiment may be configured as a PC-based program or an application dedicated to a mobile terminal. The application to which the present invention is applied may be installed in a separate computing device including a user terminal through a file provided by the file distribution system. For example, the file distribution system may include a file transmission unit (not shown) that transmits the file in response to a request from a separate computing device.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented as a hardware component, a software component, and/or a combination of the hardware component and the software component. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA). , a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. A processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computing devices, and may be stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
본 발명의 일 실시예에 따르면, 관제서버는 내부망에 연결된 제1사용자단말이 제1내부정책정보에 부합하는지 여부에 따라 상기 제1사용자단말의 내부망 접근을 허가 또는 차단하고, 인증제어부에 의하여 외부망에 연결된 제2사용자단말에 대한 통신채널이 수립된 이후에, 상기 제2사용자단말이 제2내부정책정보에 부합하는지 여부에 따라 수립된 통신채널을 재개하도록 하므로, 관제서버를 통해 내부망에 연결되는 제1사용자단말 및 외부망에 연결되는 제2사용자단말에 대한 보안을 통합적으로 관리할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the control server permits or blocks access to the internal network of the first user terminal according to whether the first user terminal connected to the internal network conforms to the first internal policy information, and the authentication control unit After the communication channel for the second user terminal connected to the external network is established by the It is possible to exert the effect of integrally managing the security of the first user terminal connected to the network and the second user terminal connected to the external network.
본 발명의 일 실시예에 따르면, 관제서버는 관리자단말에 관리자인터페이스를 제공함으로써, 관리자가 상기 관리자인터페이스를 통해 내부망에 연결된 제1사용자단말 및 외부망에 연결된 제2사용자단말의 상태를 통합적으로 확인할 수 있고, 제1사용자단말 및 제2사용자단말에 대한 정책들을 설정할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the control server provides a manager interface to the manager terminal, so that the manager can integrate the states of the first user terminal connected to the internal network and the second user terminal connected to the external network through the manager interface. can be confirmed, and the effect of setting policies for the first user terminal and the second user terminal can be exerted.
본 발명의 일 실시예에 따르면, 관제서버는 에이전트어플리케이션이 설치된 제1사용자단말 및 제2사용자단말의 접속을 차단한 경우에 각 사용자단말에 대하여 배포서버와 통신하도록 제어하므로, 상기 각각의 사용자단말이 배포서버와 통신을 통해 정책에 부합하도록 하는 소정의 과정들을 수행하여 접속이 허가될 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the control server controls each user terminal to communicate with the distribution server when the connection of the first user terminal and the second user terminal installed with the agent application is blocked, each user terminal Through communication with the distribution server, it is possible to exert the effect of allowing access by performing predetermined processes to conform to the policy.
본 발명의 일 실시예에 따르면, 내부망의 게이트웨이에 접속된 제1사용자단말의 네트워크 접속을 차단하고자 하는 경우에, 상기 제1사용자단말에 설정된 상기 게이트웨이 주소정보를 차단서버의 주소정보로 변경하므로, 차단하고자 하는 제1사용자단말의 패킷이 게이트웨이를 통해 네트워크로 송신되는 것을 사전에 차단할 수 있으므로, 해당 네트워크 및 패킷의 목적지에 해당하는 서버의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, when the network connection of the first user terminal connected to the gateway of the internal network is to be blocked, the gateway address information set in the first user terminal is changed to the address information of the blocking server. , since it is possible to block in advance that the packet of the first user terminal to be blocked is transmitted to the network through the gateway, it is possible to reduce the load on the server corresponding to the network and the destination of the packet.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치된 제1사용자단말은 관제서버에서 제공하는 제1내부정책정보에 부합하는 경우에 내부망에 접근할 수 있으므로, 제1내부정책정보에 포함된 다양한 정책들을 통해 내부망 접근에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the first user terminal installed with the agent application can access the internal network when it meets the first internal policy information provided by the control server, various Policies can have the effect of improving the security of access to the internal network.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치되지 않은 제1사용자단말에서 송신하는 인증정보는 상기 제1사용자단말의 주소정보뿐만 아니라, 패킷사이즈 정보 등의 추가적인 정보들을 포함하고, 관제서버는 상기 인증정보에 기초하여 상기 제1사용자단말의 내부망 접근을 제어하므로, 동일한 주소정보를 갖는 악의적 목적의 단말에 대한 내부망 접근을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication information transmitted from the first user terminal on which the agent application is not installed includes not only the address information of the first user terminal, but also additional information such as packet size information, and the control server Since access to the internal network of the first user terminal is controlled based on the authentication information, it is possible to exert an effect of preventing access to the internal network by a malicious terminal having the same address information.
본 발명의 일 실시예에 따르면, 관제서버는 제1사용자단말의 내부망 접근을 허가하지 않는 경우에, 상기 내부망에 연결된 나머지 제1사용자단말에 설정되어 있는 허가되지 않은 제1사용자단말의 주소정보를 가상주소정보로 변경하므로, 내부망에 연결된 제1사용자단말 사이의 통신에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, when the control server does not permit the first user terminal to access the internal network, the address of the unauthorized first user terminal set in the remaining first user terminals connected to the internal network Since the information is changed to virtual address information, it is possible to exert an effect of improving the security of communication between the first user terminals connected to the internal network.
본 발명의 일 실시예에 따르면, 제2사용자단말은 인증검증부 및 인증제어부와의 통신을 수행하여 외부망에 대한 접근이 허가된 후에 서비스서버와의 통신채널이 수립될 수 있으므로, 접근이 허가되기 전까지 상기 제2사용자단말의 서비스서버에 대한 접근을 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the second user terminal communicates with the authentication verification unit and the authentication control unit to establish a communication channel with the service server after access to the external network is permitted, access is permitted. It is possible to exhibit the effect of fundamentally blocking the access to the service server of the second user terminal until it is done.
본 발명의 일 실시예에 따르면, 인증제어부는 인증정보에 포함된 제2사용자단말의 식별정보 및 제2사용자단말의 사용자에 대한 사용자정보를 확인한 후에, 서비스서버와의 통신채널을 수립할 수 있는 인증토큰을 제2사용자단말에 제공하므로, ID/PW와 같이 사용자정보 뿐만 아니라, 제2사용자단말까지 확인하므로 인증되지 않은 제2사용자단말의 접속을 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication control unit can establish a communication channel with the service server after confirming the identification information of the second user terminal and the user information about the user of the second user terminal included in the authentication information. Since the authentication token is provided to the second user terminal, not only user information such as ID/PW, but also the second user terminal is checked, so that an unauthorized access to the second user terminal can be blocked.
본 발명의 일 실시예에 따르면, 인증제어부는 제2사용자단말에 상응하는 제2내부정책정보를 제공하여, 제2사용자단말에 설치된 에이전트어플리케이션에서 해당 제2사용자단말이 상기 제2내부정책정보에 부합하는 것으로 판단한 경우에 서비스서버와의 통신채널을 재개할 수 있도록 하므로, 네트워크시스템의 관리자가 설정한 정책에 부합하는 제2사용자단말만 네트워크시스템에 접근할 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication control unit provides the second internal policy information corresponding to the second user terminal, so that the second user terminal responds to the second internal policy information in the agent application installed on the second user terminal. Since the communication channel with the service server can be resumed when it is determined to be consistent, it is possible to exert the effect of allowing only the second user terminal that meets the policy set by the administrator of the network system to access the network system.
본 발명의 일 실시예에 따르면, 인증제어부에서 제2사용자단말에 제공하는 라우팅정보는 제2사용자단말의 서비스어플리케이션과 통신이 수립되는 게이트웨이의 주소정보 및 서비스서버의 주소정보만을 포함하므로, 제2사용자단말이 네트워크시스템의 타 구성요소에 접근하는 것을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the routing information provided to the second user terminal by the authentication control unit includes only the address information of the gateway through which communication with the service application of the second user terminal is established and the address information of the service server, so that the second It can have the effect of preventing the user terminal from accessing other components of the network system.
본 발명의 일 실시예에 따르면, 네트워크시스템에 포함되는 인증검증부에서 제2사용자단말로부터 수신한 정보들을 검증하여, 유효한 것으로 검증된 경우에 정보들을 인증제어부로 송신하므로, 인증제어부의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the authentication verification unit included in the network system verifies the information received from the second user terminal and transmits the information to the authentication control unit when verified as valid, the load of the authentication control unit is reduced. possible effect can be exerted.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible from the above description by those skilled in the art. For example, the described techniques are performed in an order different from the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (7)
상기 네트워크시스템은 관제서버, 차단서버 및 인증제어부를 포함하고,
상기 관제서버에 의하여, 상기 내부망에 연결된 제1사용자단말에 상응하는 제1내부정책정보를 상기 제1사용자단말에 제공하고, 상기 제1사용자단말로부터 상기 제1내부정책정보에 따른 판단결과를 수신하고, 상기 판단결과에 기초하여 상기 차단서버로 하여금 상기 제1사용자단말의 상기 내부망 접근을 허가 또는 차단하는 내부망제어단계;
상기 인증제어부에 의하여, 상기 외부망에 연결된 제2사용자단말로부터 수신한 인증정보를 검증하여 상기 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성하여 상기 제2사용자단말에 송신하고, 상기 제2사용자단말로부터 수신한 상기 인증토큰을 포함하는 라우팅요청정보에 기초하여 상기 제2사용자단말에 설치된 서비스어플리케이션 및 서비스서버에 대한 통신채널을 수립하기 위한 라우팅정보를 상기 제2사용자단말에 송신하는 외부망제어단계; 및
상기 관제서버에 의하여, 상기 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말에 의하여 상기 수립된 통신채널이 중지된 상태에서, 상기 제2사용자단말에 상응하는 제2내부정책정보를 상기 제2사용자단말에 제공하고, 상기 제2사용자단말로부터 수신한 상기 제2내부정책정보에 따른 판단결과에 기초하여 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통합제어단계;를 포함하고,
상기 네트워크시스템은 배포서버를 더 포함하고,
상기 통합보안 방법은,
상기 관제서버에 의하여, 상기 통합제어단계에서 상기 제2사용자단말로부터 상기 제2사용자단말이 상기 제2내부정책정보에 부합하지 않는 것으로 판단한 판단결과를 수신하는 경우에 상기 제2사용자단말이 상기 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계; 및
상기 관제서버에 의하여, 상기 리다이렉트단계를 통해 상기 배포서버와 통신을 수행한 상기 제2사용자단말이 상기 제2내부정책정보에 부합하는 경우에 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통신채널재개단계;를 더 포함하는, 통합보안 방법.
An integrated security method for a first user terminal connected to an internal network and a second user terminal connected to an external network performed in a network system, the method comprising:
The network system includes a control server, a blocking server and an authentication control unit,
By the control server, first internal policy information corresponding to the first user terminal connected to the internal network is provided to the first user terminal, and a determination result according to the first internal policy information is obtained from the first user terminal an internal network control step of receiving, and allowing or blocking, by the blocking server, access to the internal network of the first user terminal based on the determination result;
By the authentication control unit, the authentication information received from the second user terminal connected to the external network is verified, and when the authentication information is verified as valid, an authentication token is generated and transmitted to the second user terminal, and the second An external network for transmitting routing information for establishing a communication channel for a service application and a service server installed in the second user terminal to the second user terminal based on the routing request information including the authentication token received from the user terminal control step; and
By the control server, in a state in which the established communication channel is stopped by the second user terminal in which the communication channel is established through the external network control step, the second internal policy information corresponding to the second user terminal is transmitted to the An integrated control step of providing to a second user terminal and resuming the communication channel stopped by the second user terminal based on a determination result according to the second internal policy information received from the second user terminal; and ,
The network system further comprises a distribution server,
The integrated security method is
When the control server receives, from the second user terminal in the integrated control step, a determination result determined that the second user terminal does not conform to the second internal policy information, the second user terminal distributes the distribution Redirect step of controlling to perform communication with the server; and
By the control server, when the second user terminal, which communicated with the distribution server through the redirecting step, conforms to the second internal policy information, resuming the communication channel stopped by the second user terminal Communication channel resumption step; further comprising, the integrated security method.
상기 인증정보는,
상기 네트워크시스템의 식별정보, 상기 제2사용자단말의 식별정보 및 상기 제2사용자단말의 사용자에 대한 사용자정보를 포함하고,
상기 외부망제어단계는,
수신한 상기 인증정보에 포함된 상기 제2사용자단말의 식별정보 및 상기 사용자정보가 상기 인증제어부에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별한 경우에 인증토큰을 생성하여 상기 제2사용자단말에 제공하는, 통합보안 방법.
The method according to claim 1,
The authentication information is
It includes identification information of the network system, identification information of the second user terminal, and user information about a user of the second user terminal,
The external network control step is
It is determined whether the identification information of the second user terminal and the user information included in the received authentication information are included in the database stored in the authentication control unit, and when it is determined that they are included, an authentication token is generated to generate the second An integrated security method provided to the user terminal.
상기 네트워크시스템은 인증검증부를 더 포함하고,
상기 통합보안 방법은,
상기 인증검증부에 의하여, 상기 외부망제어단계를 통해 상기 제2사용자단말에서 송신하는 상기 인증정보를 수신하고, 상기 인증정보에 포함된 상기 네트워크시스템의 식별정보를 검증하여 유효한 것으로 검증된 경우에 상기 인증제어부로 상기 인증정보를 송신하는 인증검증단계; 및
상기 인증검증부에 의하여, 상기 외부망제어단계를 통해 상기 제2사용자단말에서 송신하는 상기 라우팅요청정보를 수신하고, 상기 라우팅요청정보에 포함된 상기 네트워크시스템의 식별정보 및 상기 인증토큰을 검증하여 유효한 것으로 검증된 경우에 상기 인증제어부로 상기 라우팅요청정보를 송신하는 라우팅요청검증단계;를 더 포함하는, 통합보안 방법.
The method according to claim 1,
The network system further includes an authentication verification unit,
The integrated security method is
When the authentication information transmitted from the second user terminal is received through the external network control step by the authentication verification unit and verified as valid by verifying the identification information of the network system included in the authentication information an authentication verification step of transmitting the authentication information to the authentication control unit; and
By the authentication verification unit, receiving the routing request information transmitted from the second user terminal through the external network control step, and verifying the identification information of the network system and the authentication token included in the routing request information, A routing request verification step of transmitting the routing request information to the authentication control unit when verified as valid; further comprising, an integrated security method.
상기 외부망제어단계는, 외부정책제공단계를 포함하고,
상기 외부정책제공단계는,
상기 외부망제어단계를 통해 상기 인증토큰을 수신한 제2사용자단말로부터 외부정책요청정보를 수신하고, 상기 외부정책요청정보에 기초하여 상기 제2사용자단말에 상응하는 외부정책정보를 상기 제2사용자단말에 제공하고,
상기 외부망제어단계는,
상기 외부정책제공단계를 통해 외부정책정보를 제공받은 제2사용자단말에서 상기 제2사용자단말이 상기 외부정책정보에 부합하는 것으로 판별한 경우에 상기 제2사용자단말로부터 상기 라우팅요청정보를 수신하는, 통합보안 방법.
The method according to claim 1,
The external network control step includes an external policy providing step,
The step of providing the external policy is
Receive external policy request information from the second user terminal that has received the authentication token through the external network control step, and transmit external policy information corresponding to the second user terminal to the second user based on the external policy request information provided to the terminal,
The external network control step is
Receiving the routing request information from the second user terminal when the second user terminal that has received the external policy information through the external policy providing step determines that the second user terminal conforms to the external policy information, Integrated security method.
상기 통합보안 방법은,
상기 관제서버에 의하여, 상기 내부망제어단계를 통해 상기 내부망 접근이 허가 또는 차단된 1 이상의 제1사용자단말 및 상기 외부망제어단계를 통해 통신채널이 수립된 1 이상의 제2사용자단말의 상태정보가 표시되는 상태정보레이어; 및
상기 제1사용자단말에 대한 제1내부정책정보 및 상기 제2사용자단말에 대한 제2내부정책정보에 대한 설정을 입력받는 정책설정레이어;를 포함하는 관리자인터페이스를 상기 관제서버와 통신을 수행하는 관리자단말에 제공하는 인터페이스제공단계를 더 포함하는, 통합보안 방법.
The method according to claim 1,
The integrated security method is
Status information of one or more first user terminals to which access to the internal network is permitted or blocked through the internal network control step by the control server and one or more second user terminals for which a communication channel is established through the external network control step, by the control server a state information layer in which is displayed; and
An administrator performing communication with the control server through an administrator interface including a; The integrated security method further comprising the step of providing an interface to the terminal.
상기 네트워크시스템은 관제서버, 차단서버 및 인증제어부를 포함하고,
상기 관제서버에 의하여, 상기 내부망에 연결된 제1사용자단말에 상응하는 제1내부정책정보를 상기 제1사용자단말에 제공하고, 상기 제1사용자단말로부터 상기 제1내부정책정보에 따른 판단결과를 수신하고, 상기 판단결과에 기초하여 상기 차단서버로 하여금 상기 제1사용자단말의 상기 내부망 접근을 허가 또는 차단하는 내부망제어단계;
상기 인증제어부에 의하여, 상기 외부망에 연결된 제2사용자단말로부터 수신한 인증정보를 검증하여 상기 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성하여 상기 제2사용자단말에 송신하고, 상기 제2사용자단말로부터 수신한 상기 인증토큰을 포함하는 라우팅요청정보에 기초하여 상기 제2사용자단말에 설치된 서비스어플리케이션 및 서비스서버에 대한 통신채널을 수립하기 위한 라우팅정보를 상기 제2사용자단말에 송신하는 외부망제어단계; 및
상기 관제서버에 의하여, 상기 외부망제어단계를 통해 통신채널이 수립된 제2사용자단말에 의하여 상기 수립된 통신채널이 중지된 상태에서, 상기 제2사용자단말에 상응하는 제2내부정책정보를 상기 제2사용자단말에 제공하고, 상기 제2사용자단말로부터 수신한 상기 제2내부정책정보에 따른 판단결과에 기초하여 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통합제어단계;를 수행하고,
상기 네트워크시스템은 배포서버를 더 포함하고,
상기 네트워크시스템은,
상기 관제서버에 의하여, 상기 통합제어단계에서 상기 제2사용자단말로부터 상기 제2사용자단말이 상기 제2내부정책정보에 부합하지 않는 것으로 판단한 판단결과를 수신하는 경우에 상기 제2사용자단말이 상기 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계; 및
상기 관제서버에 의하여, 상기 리다이렉트단계를 통해 상기 배포서버와 통신을 수행한 상기 제2사용자단말이 상기 제2내부정책정보에 부합하는 경우에 상기 제2사용자단말에 의해 중지된 통신채널을 재개하는 통신채널재개단계;를 더 수행하는, 네트워크시스템.
A network system for performing an integrated security method for a first user terminal connected to an internal network and a second user terminal connected to an external network, comprising:
The network system includes a control server, a blocking server and an authentication control unit,
By the control server, first internal policy information corresponding to the first user terminal connected to the internal network is provided to the first user terminal, and a determination result according to the first internal policy information is obtained from the first user terminal an internal network control step of receiving, and allowing or blocking, by the blocking server, access to the internal network of the first user terminal based on the determination result;
By the authentication control unit, the authentication information received from the second user terminal connected to the external network is verified, and when the authentication information is verified as valid, an authentication token is generated and transmitted to the second user terminal, and the second An external network for transmitting routing information for establishing a communication channel for a service application and a service server installed in the second user terminal to the second user terminal based on the routing request information including the authentication token received from the user terminal control step; and
By the control server, in a state in which the established communication channel is stopped by the second user terminal in which the communication channel is established through the external network control step, the second internal policy information corresponding to the second user terminal is transmitted to the An integrated control step of providing to a second user terminal and resuming a communication channel stopped by the second user terminal based on a determination result according to the second internal policy information received from the second user terminal; and ,
The network system further comprises a distribution server,
The network system is
When the control server receives, from the second user terminal in the integrated control step, a determination result determined that the second user terminal does not conform to the second internal policy information, the second user terminal distributes the distribution Redirect step of controlling to perform communication with the server; and
By the control server, when the second user terminal, which communicated with the distribution server through the redirecting step, conforms to the second internal policy information, resuming the communication channel stopped by the second user terminal A network system that further performs a communication channel resumption step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210062238A KR102345261B1 (en) | 2021-05-13 | 2021-05-13 | Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210062238A KR102345261B1 (en) | 2021-05-13 | 2021-05-13 | Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102345261B1 true KR102345261B1 (en) | 2021-12-29 |
Family
ID=79176674
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210062238A KR102345261B1 (en) | 2021-05-13 | 2021-05-13 | Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102345261B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102443713B1 (en) * | 2021-12-30 | 2022-09-16 | 주식회사 제네럴테크놀로지 | Next-Generation Convergence Security System |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130028323A (en) * | 2011-09-09 | 2013-03-19 | 삼성에스디에스 주식회사 | System and method for controlling access to network |
KR101480443B1 (en) * | 2013-09-17 | 2015-01-09 | 주식회사 하나은행 | Hybrid network partition system and method thereof |
KR20210046979A (en) * | 2019-10-21 | 2021-04-29 | 주식회사 시큐센 | Method to Provide Application Security Service Based on Cloud Computing |
-
2021
- 2021-05-13 KR KR1020210062238A patent/KR102345261B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130028323A (en) * | 2011-09-09 | 2013-03-19 | 삼성에스디에스 주식회사 | System and method for controlling access to network |
KR101480443B1 (en) * | 2013-09-17 | 2015-01-09 | 주식회사 하나은행 | Hybrid network partition system and method thereof |
KR20210046979A (en) * | 2019-10-21 | 2021-04-29 | 주식회사 시큐센 | Method to Provide Application Security Service Based on Cloud Computing |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102443713B1 (en) * | 2021-12-30 | 2022-09-16 | 주식회사 제네럴테크놀로지 | Next-Generation Convergence Security System |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11120125B2 (en) | Configurable internet isolation and security for laptops and similar devices | |
US10757094B2 (en) | Trusted container | |
US10083290B2 (en) | Hardware-based device authentication | |
US11170096B2 (en) | Configurable internet isolation and security for mobile devices | |
EP3298527B1 (en) | Secured access control to cloud-based applications | |
US10554475B2 (en) | Sandbox based internet isolation in an untrusted network | |
US11888890B2 (en) | Cloud management of connectivity for edge networking devices | |
US10558798B2 (en) | Sandbox based Internet isolation in a trusted network | |
US9729514B2 (en) | Method and system of a secure access gateway | |
US10432673B2 (en) | In-channel event processing for network agnostic mobile applications in cloud based security systems | |
US10931669B2 (en) | Endpoint protection and authentication | |
JP2020039166A (en) | System and method for securing network endpoint | |
US11405378B2 (en) | Post-connection client certificate authentication | |
US10623446B1 (en) | Multi-factor authentication for applications and virtual instance identities | |
US11363022B2 (en) | Use of DHCP for location information of a user device for automatic traffic forwarding | |
KR102345866B1 (en) | Server System and Communication Security Method for User Devices Performed in the Server System | |
KR102345261B1 (en) | Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System | |
KR102345265B1 (en) | Network System and Network Control Method Performed in the Network System | |
KR102371181B1 (en) | Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices | |
KR102472556B1 (en) | Network System and a Method for Blocking Attacks through Lateral Movement between Clients Performed in the Network System | |
KR102381575B1 (en) | Communication Security Method including Optional Anti-Capture Function Performed in the User Devices and the Server-System that Communicated with the User Devices | |
KR102584579B1 (en) | Database access control gateway service system based on software as a service and method thereof | |
US20230308433A1 (en) | Early termination of secure handshakes | |
KR20230081110A (en) | Server System and Communication Security Method for User Devices Performed in the Server System | |
WO2008062169A1 (en) | Secure network architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |