KR102345265B1 - 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법 - Google Patents

네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법 Download PDF

Info

Publication number
KR102345265B1
KR102345265B1 KR1020210062242A KR20210062242A KR102345265B1 KR 102345265 B1 KR102345265 B1 KR 102345265B1 KR 1020210062242 A KR1020210062242 A KR 1020210062242A KR 20210062242 A KR20210062242 A KR 20210062242A KR 102345265 B1 KR102345265 B1 KR 102345265B1
Authority
KR
South Korea
Prior art keywords
user terminal
type
information
server
network
Prior art date
Application number
KR1020210062242A
Other languages
English (en)
Inventor
이수희
Original Assignee
이수희
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이수희 filed Critical 이수희
Priority to KR1020210062242A priority Critical patent/KR102345265B1/ko
Application granted granted Critical
Publication of KR102345265B1 publication Critical patent/KR102345265B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법에 관한 것으로서, 더욱 상세하게는 네트워크시스템은 차단서버, 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하고, 상기 관제서버는 상기 게이트웨이에 접속된 제1유형의 사용자단말에서 도출된 정책정보에 대한 판단결과 및 상기 게이트웨이에 접속된 제2유형의 사용자단말에서 도출된 인증정보에 기초하여 상기 차단서버로 하여금 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각의 상기 게이트웨이에 대한 접속을 제어하도록 하는, 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법에 관한 것이다.

Description

네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법 {Network System and Network Control Method Performed in the Network System}
본 발명은 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법에 관한 것으로서, 더욱 상세하게는 네트워크시스템은 차단서버, 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하고, 상기 관제서버는 상기 게이트웨이에 접속된 제1유형의 사용자단말에서 도출된 정책정보에 대한 판단결과 및 상기 게이트웨이에 접속된 제2유형의 사용자단말에서 도출된 인증정보에 기초하여 상기 차단서버로 하여금 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각의 상기 게이트웨이에 대한 접속을 제어하도록 하는, 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법에 관한 것이다.
온라인 서비스와 같이 네트워크 기반의 환경이 점차 확대되고 있으며, 최근 코로나 바이러스의 발생으로 인해 비대면 활동들이 크게 증가함에 따라, 다양한 컴퓨팅장치들이 네트워킹되는 시스템의 도입이 더욱 활발하게 이루어지고 있다. 그러나, 네트워크 시스템의 도입이 늘어남에 따라서 네트워크 시스템에 대한 보안 문제 또한 크게 증가하고 있는 상황이며, 네트워크 시스템에 대한 보안을 강화하기 위한 종래의 기술들이 개발되었다.
네트워크 시스템에 대한 보안을 강화하기 위한 종래의 기술 가운데, 대한민국 등록특허 제10-0457825호는 네트워크의 각 단말이 연결되는 게이트웨이 또는 허브에 각 단말의 패킷을 모니터링하는 모니터링 서버가 접속되고, 모니터링 서버는 각 단말에서 송신하는 패킷을 모니터링 하여, 변조된 패킷을 송신한 단말에 대하여 해당 단말에서 송신하는 패킷을 수신하는 서버가 해당 단말이 송신한 패킷들을 무시하도록 하는 보안 방법에 대해 기재하고 있다.
그러나, 상기 종래의 기술의 경우, 모니터링 서버에서 각 단말에서 송신하는 패킷의 이상 여부를 지속적으로 모니터링해야 하므로, 모니터링 서버 및 해당 네트워크의 트래픽의 부하가 가중되는 문제점이 존재하고, 패킷을 수신하는 서버에 대해서도 단말에서 송신하는 변조된 패킷을 원천적으로 차단하는 것이 아니라, 우선 수신한 후에 무시해야 하므로 해당 서버의 불필요한 부하가 발생할 수 있는 추가적인 문제점이 존재한다.
한편, 종래의 기술에서 프린터와 같이 네트워크에서 상대적으로 단순한 형태의 패킷, 또는 고정된 형태의 패킷만을 송신하는 단말의 경우, 해당 단말의 IP주소 및/또는 MAC주소가 네트워크에 접속될 수 있는 것으로 사전에 설정된 경우에 해당 네트워크에 접속할 수 있도록 하고 있으나, 이러한 경우에 동일한 IP주소 및/또는 MAC주소를 갖는 악의적 목적의 단말이 네트워크에 접속하는 경우에, 상기 네트워크는 상기 악의적 목적의 단말의 접속을 허용하게 되므로, 네트워크 보안에 취약점이 발생할 수 있는 문제점이 존재한다.
따라서, 이와 같이, 이상이 있는 단말의 패킷을 원천적으로 차단하여, 서버 또는 네트워크의 부하를 줄이도록 하며, 프린터와 같은 단말이 네트워크에 접속하는데 있어서 보안성을 향상시킬 수 있는 새로운 방법의 개발이 필요한 상황이다.
본 발명은 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법에 관한 것으로서, 더욱 상세하게는 네트워크시스템은 차단서버, 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하고, 상기 관제서버는 상기 게이트웨이에 접속된 제1유형의 사용자단말에서 도출된 정책정보에 대한 판단결과 및 상기 게이트웨이에 접속된 제2유형의 사용자단말에서 도출된 인증정보에 기초하여 상기 차단서버로 하여금 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각의 상기 게이트웨이에 대한 접속을 제어하도록 하는, 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법을 제공하는 것을 목적으로 한다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 차단서버, 상기 차단서버와 통신을 수행하는 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하는 네트워크시스템에서 수행하는 네트워크 제어 방법으로서, 상기 관제서버에 의하여, 상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치된 제1유형의 사용자단말에 상응하는 정책정보를 상기 제1유형의 사용자단말에 제공하고, 상기 에이전트어플리케이션에서 도출된 상기 제1유형의 사용자단말이 상기 정책정보에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계; 상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치되어 있지 않은 제2유형의 사용자단말에 인증정보를 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보를 검증하는 인증정보검증단계; 상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 인증정보검증단계에서의 상기 인증정보에 대한 검증결과에 따라 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대한 네트워크 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버에 제공하는 접근제어정보도출단계; 상기 차단서버에 의하여, 상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대하여 상기 게이트웨이 접속을 제어하는 접속제어단계;를 포함하는, 네트워크 제어 방법을 제공한다.
본 발명의 일 실시예에서는, 상기 인증정보검증단계는, 사용자단말의 주소정보를 포함하는 인증정보를 상기 제2유형의 사용자단말에 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보에 포함된 주소정보가 상기 관제서버에 저장되어 있는지 여부를 검증할 수 있다.
본 발명의 일 실시예에서는, 상기 접근제어정보는, 상기 인증정보에 대한 검증결과에 따라 상기 제2유형의 사용자단말의 네트워크 접근을 허가하기 위한 제1제어정보 및 상기 제2유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제2제어정보를 포함하고, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말에 대하여 상기 제2유형의 사용자단말에 설정되어 있는 상기 게이트웨이 주소정보가 상기 차단서버의 주소정보로 변경되도록 제어할 수 있다.
본 발명의 일 실시예에서는, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말을 제외한 나머지 사용자단말에 대하여 상기 나머지 사용자단말에 설정되어 있는 상기 제2제어정보에 해당하는 제2유형의 사용자단말의 주소정보가 가상주소정보로 변경되도록 제어할 수 있다.
본 발명의 일 실시예에서는, 상기 인증정보검증단계는, 사용자단말의 주소정보, 사용자단말에 설치되는 운영체제에 대한 정보, 네트워크에서의 사용자단말의 명칭정보, 사용자단말의 접속 포트정보 및 사용자단말에서 송신하는 패킷의 사이즈 정보를 포함하는 인증정보를 상기 제2유형의 사용자단말에 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보가 상기 관제서버에 저장된 예외정책정보에 부합하는지 여부를 검증할 수 있다.
본 발명의 일 실시예에서는, 상기 접근제어정보는, 상기 판단결과에 따라 상기 제1유형의 사용자단말의 네트워크 접근을 허가하기 위한 제3제어정보 및 상기 제1유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제4제어정보를 포함하고, 상기 접속제어단계는, 상기 접근제어정보에 상기 제4제어정보가 포함된 경우에, 상기 제4제어정보에 해당하는 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정되어 있는 상기 게이트웨이 주소정보가 상기 차단서버의 주소정보로 변경되도록 제어하고, 상기 네트워크 제어 방법은, 상기 차단서버에 의하여, 상기 접속제어단계를 통해 상기 차단서버의 주소로 변경되도록 제어된 제1유형의 사용자단말로부터 데이터를 수신하는 경우에, 상기 제1유형의 사용자단말이 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계;를 더 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 네트워크 제어 방법은, 상기 차단서버에 의하여, 상기 리다이렉트단계를 통해 상기 제1유형의 사용자단말이 상기 배포서버의 요청에 따라 동작을 수행한 후에, 상기 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정된 상기 차단서버의 주소정보가 상기 게이트웨이 주소정보로 변경되도록 제어하는, 접속허용제어단계;를 더 포함할 수 있다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 차단서버, 상기 차단서버와 통신을 수행하는 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하는 네트워크시스템으로서, 상기 관제서버에 의하여, 상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치된 제1유형의 사용자단말에 상응하는 정책정보를 상기 제1유형의 사용자단말에 제공하고, 상기 에이전트어플리케이션에서 도출된 상기 제1유형의 사용자단말이 상기 정책정보에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계; 상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치되어 있지 않은 제2유형의 사용자단말에 인증정보를 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보를 검증하는 인증정보검증단계; 상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 인증정보검증단계에서의 상기 인증정보에 대한 검증결과에 따라 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대한 네트워크 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버에 제공하는 접근제어정보도출단계; 상기 차단서버에 의하여, 상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대하여 상기 게이트웨이 접속을 제어하는 접속제어단계;를 수행하는, 네트워크시스템을 제공한다.
본 발명의 일 실시예에 따르면, 게이트웨이에 접속된 제1유형의 사용자단말 또는 제2유형의 사용자단말의 네트워크 접속을 차단하고자 하는 경우에, 상기 제1유형의 사용자단말 또는 상기 제2유형의 사용자단말에 설정된 상기 게이트웨이의 주소정보를 차단서버의 주소로 변경하므로, 차단하고자 하는 사용자단말의 패킷이 게이트웨이를 통해 네트워크로 송신되는 것을 사전에 차단할 수 있으므로, 해당 네트워크 및 패킷의 목적지에 해당하는 서버의 부하를 줄일 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제1유형의 사용자단말은 관제서버에서 제공하는 정책정보에 부합하는 경우에 네트워크에 접속할 수 있으므로, 정책정보 포함된 다양한 정책들을 통해 네트워크의 접속에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제2유형의 사용자단말에서 송신하는 인증정보는 제2유형의 사용자단말의 주소정보뿐만 아니라, 패킷사이즈 정보 등의 추가적인 정보들을 포함하고, 인증정보검증단계는 상기 인증정보에 기초하여 제2유형의 사용자단말의 네트워크 접근을 제어하므로, 동일한 주소정보를 갖는 악의적 목적의 단말의 네트워크 접근을 방지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 접속제어단계는 제2유형의 사용자단말의 네트워크 접근을 허가하지 않는 경우에, 상기 네트워크에 접속하는 나머지 사용자단말에 설정되어 있는 상기 제2유형의 사용자단말의 주소정보를 가상주소정보로 변경하므로, 사용자단말 간의 통신에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제1유형의 사용자단말의 네트워크 접근을 차단한 경우에 상기 제1유형의 사용자단말을 배포서버와 통신하도록 하므로, 상기 제1유형의 사용자단말이 정책정보에 부합하도록 하는 소정의 과정들을 수행할 수 있는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 제어 방법을 수행하는 네트워크시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 네트워크 제어 방법의 세부 단계들을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 인증정보 및 접근제어정보의 구성요소들을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접근이 허가되지 않은 사용자단말에 설정된 게이트웨이 주소정보 및 나머지 사용자단말에 설정된 네트워크 접근이 허가되지 않은 사용자단말의 주소정보를 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따른 관제서버 및 예외정책정보의 구성요소들을 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 리다이렉트단계의 세부 단계 및 리다이렉트단계를 통해 제2유형의 사용자단말에 디스플레이되는 화면을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 네트워크 접근이 허가된 사용자단말에 설정된 게이트웨이 주소정보 및 나머지 사용자단말에 설정된 네트워크에 접근이 허가된 사용자단말의 주소정보를 개략적으로 도시한다.
도 8은 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 네트워크 제어 방법을 수행하는 네트워크시스템을 개략적으로 도시한다.
도 1에 도시된 바와 같이, 상기 네트워크시스템은, 복수의 사용자단말과 통신을 수행하기 위한 복수의 구성요소들을 포함하며, 상기 복수의 구성요소는 스위치(5000), 게이트웨이(3000), 차단서버(1000), 관제서버(2000), 배포서버(7000) 및 서비스서버(8000) 등에 해당할 수 있다.
상기 스위치(5000)는 1 이상의 사용자단말 및 차단서버(1000)와 연결되어 게이트웨이(3000)로부터 수신한 패킷을 패킷의 목적지에 해당하는 사용자단말 또는 차단서버(1000)로 송신하거나, 연결된 1 이상의 사용자단말 또는 차단서버(1000)에서 송신하는 패킷을 수신하여 게이트웨이(3000), 해당 패킷의 목적지에 해당하는 사용자단말 또는 차단서버(1000)로 송신할 수 있다.
한편, 상기 스위치(5000)에 사용자단말이 접속되는 경우에 해당 사용자단말은 상기 스위치(5000)를 식별하며, 또한 해당 사용자단말은 브로드캐스팅 방식으로 상기 스위치(5000)에 접속되어 있는 타 구성요소에게 자신의 주소정보를 포함하는 식별정보를 전파하고, 타 구성요소들은 송신한 식별정보를 통해 해당 사용자단말을 식별하며, 상기 타 구성요소 각각은 상기 식별정보를 수신한 경우에, 자신의 주소정보를 포함하는 식별정보를 해당 사용자단말로 송신하고, 해당 사용자단말은 수신한 각각의 식별정보에 기초하여 상기 스위치(5000)에 접속되어 있는 타 구성요소들을 식별할 수 있다. 이와 같이 스위치(5000)에 접속된 구성요소들은 타 구성요소들을 식별할 수 있고, 이후에 상기 스위치(5000)를 통해 타 구성요소와 데이터를 송수신할 수 있게 된다.
본 발명의 다른 실시예에서, 도 1에서는 도시되지 않았으나 상기 스위치(5000)에 접속되는 구성요소에는 별도의 스위치가 해당할 수 있고, 상기 별도의 스위치 또한 상술한 1 이상의 구성요소와 접속할 수 있다.
상기 게이트웨이(3000)는 상기 스위치(5000) 및 상기 스위치(5000)에 접속된 1 이상의 구성요소로 이루어진 로컬네트워크 및 상기 게이트웨이(3000)에 연결된 1 이상의 서버 또는 별도의 로컬네트워크와의 통신을 중계한다. 따라서 상기 게이트웨이(3000)는 서버에서 송신하는 데이터를 수신하여 스위치(5000)로 송신하며, 상기 스위치(5000)로부터 수신한 데이터를 상응하는 1 이상의 서버로 송신할 수 있다. 한편, 상기 게이트웨이(3000)는 복수의 스위치(5000)와 연결될 수 있고, 서버에서 송신하는 데이터에 상응하는 특정 스위치(5000)에 해당 데이터를 송신할 수도 있다.
한편, 도 1에서는 상기 스위치(5000) 및 상기 게이트웨이(3000)를 구분하여 도시하였으나, 본 발명의 다른 실시예에서 상기 게이트웨이(3000)는 스위치(5000)와 통합되어, 상술한 스위치(5000)의 기능을 수행할 수 있다. 따라서, 이하에서는 본 발명의 설명을 용이하게 하기 위하여, 도 1에 도시된 스위치(5000)에 연결된 복수의 구성요소들(복수의 사용자단말 및 차단서버(1000))이 게이트웨이(3000)에 직접 연결된 것으로 간주하여 설명하도록 한다.
또한, 본 발명의 네트워크시스템에서는 복수의 게이트웨이(3000)를 포함할 수 있고, 각각의 게이트웨이(3000)별로 1 이상의 구성요소와 연결되어 로컬네트워크를 구성할 수도 있다.
상기 차단서버(1000)는 상술한 게이트웨이(3000)에 연결되어, 후술하는 관제서버(2000)의 제어에 따라 상기 게이트웨이(3000)에 연결된 사용자단말의 게이트웨이(3000) 접근을 허가 또는 차단한다. 구체적으로 상기 차단서버(1000)는 특정 사용자단말의 게이트웨이(3000) 접근을 차단하는 경우에, 상기 특정 사용자단말에서 식별한 게이트웨이(3000) 주소정보를 상기 차단서버(1000)의 주소정보로 변경하도록 상기 특정 사용자단말을 제어하여, 상기 특정 사용자단말이 상기 게이트웨이(3000)로 송신하고자 하는 데이터들이 상기 차단서버(1000)로 송신되도록 한다.
상기 관제서버(2000)는 게이트웨이(3000)에 연결되어, 해당 게이트웨이(3000)에 연결된 1 이상의 사용자단말의 네트워크 접근을 허가 또는 차단하기 위한 데이터들을 송수신하며, 허가 또는 차단하기 위한 제어정보를 해당 게이트웨이(3000)에 연결된 차단서버(1000)로 송신한다.
한편, 상기 관제서버(2000)는 관리자가 사용하는 관리자단말(6000)과 통신할 수 있으며, 상기 관리자단말(6000)로 네트워크 접근이 허가된 사용자단말 및 차단된 사용자단말 현황과 같이 해당 네트워크시스템의 상태를 제공할 수 있으며, 또한 상기 관리자단말(6000)로부터 관리자가 입력한 정책정보(2410) 또는 예외정책정보(2420)를 수신하여 저장할 수 있다.
상기 배포서버(7000)는 사용자단말이 상기 관제서버(2000)에 의해 네트워크로의 접근이 차단된 경우에 해당 사용자단말과 통신을 수행하여, 해당 사용자단말이 네트워크에 대한 접근이 허가되도록 해당 사용자단말에 1 이상의 어플리케이션을 설치하도록 하는 등의 통신을 수행하여 해당 사용자단말이 상응하는 정책정보(2410)에 부합하도록 통신을 수행한다.
한편, 바람직하게는 상기 사용자단말은 정책정보(2410)에 부합하는지 판단할 수 있는 에이전트어플리케이션(4100)이 설치되어 있는 제1유형의 사용자단말에 해당할 수 있으며, 이에 대해서는 후술하도록 한다.
상기 서비스서버(8000)는 게이트웨이(3000)에 연결되어, 상기 서비스서버(8000)에 상응하는 서비스어플리케이션(미도시)이 설치되어 있는 사용자단말과 통신을 수행한다. 즉, 상기 서비스서버(8000)는 사용자단말에 설치된 서비스어플리케이션(미도시)과 통신을 수행하여 상기 사용자단말의 사용자에게 소정의 서비스를 제공한다.
상기 사용자단말은 게이트웨이(3000)에 연결되어, 상기 게이트웨이(3000) 및 상기 게이트웨이(3000)에 연결된 타 구성요소와 통신을 수행할 수 있다. 한편, 본 발명에서 사용자단말은 2 개의 유형으로 구분될 수 있다. 제1유형의 사용자단말은 관제서버(2000)로부터 제공받은 정책정보(2410)에 따라 해당 제1유형의 사용자단말이 정책정보(2410)에 부합하는지 여부를 판단할 수 있는 에이전트어플리케이션(4100)이 설치된 사용자단말에 해당한다. 또한 상기 제1유형의 사용자단말은 데스크탑PC, 스마트폰 또는 노트북과 같이 임의의 어플리케이션을 사용자의 입력에 따라 혹은 사용자단말 자체적으로 설치 또는 제거할 수 있다. 제2유형의 사용자단말은 에이전트어플리케이션(4100)이 설치될 수 없는 사용자단말에 해당할 수 있다. 예를 들어, 상기 제2유형의 사용자단말은 프린터, 스캐너 또는 복합기 등과 같이 에이전트어플리케이션(4100)과 같은 임의의 어플리케이션을 추가로 설치 또는 삭제할 수 없는 사용자단말에 해당하며, 상기 제2유형의 사용자단말은 특정한 기능 또는 서비스만을 수행하는 사용자단말에 해당할 수 있다.
한편, 네트워크 시스템에 포함되거나 연결되는 각각의 구성요소들은 주소정보를 가질 수 있고, 상기 주소정보는 IP주소 및 MAC주소를 포함할 수 있다. 도 1에 도시된 바와 같이, 게이트웨이(3000)의 IP주소는 192.0.165.254(이하 IP254), 게이트웨이(3000)의 MAC주소는 06-c1-59-61-bd-e1(이하 MAC254), 차단서버(1000)의 IP주소는 192.168.123.101(이하 IP101), 차단서버(1000)의 MAC주소는 01-9b-6c-85-a2-57(이하 MAC101), 제2유형의 사용자단말#1(4000.1)의 IP주소는 192.168.0.1(이하 IP1), 제2유형의 사용자단말의 MAC주소는 00-e0-98-a7-dc-b9(이하 MAC1), 제1유형의 사용자단말#2(4000.2)의 IP주소는 192.168.123.2(이하 IP2), 제1유형의 사용자단말#2(4000.2)의 MAC주소는 00-af-37-98-c6-ae(이하 MAC2), 제1유형의 사용자단말#2(4000.3)의 IP주소는 192.168.1.3(이하 IP3) 및 제1유형의 사용자단말#2(4000.3)의 MAC주소는 38-2f-67-5c-5b-07(이하 MAC3)에 해당한다.
이하에서는 발명의 설명을 용이하게 하기 위하여, 상기 제1유형의 사용자단말#2(4000.2)가 관제서버(2000)에 의해 네트워크의 접근이 차단되는 사용자단말인 것으로 가정한다.
도 2는 본 발명의 일 실시예에 따른 네트워크시스템에서 수행하는 네트워크 제어 방법의 세부 단계들을 개략적으로 도시한다.
도 2에 도시된 바와 같이, 차단서버(1000), 상기 차단서버(1000)와 통신을 수행하는 관제서버(2000) 및 상기 차단서버(1000) 및 상기 관제서버(2000)를 중계하는 게이트웨이(3000)를 포함하는 네트워크시스템에서 수행하는 네트워크 제어 방법으로서, 상기 관제서버(2000)에 의하여, 상기 게이트웨이(3000)에 접속되어 있고, 에이전트어플리케이션(4100)이 설치된 제1유형의 사용자단말(4000.2)에 상응하는 정책정보(2410)를 상기 제1유형의 사용자단말(4000.2)에 제공하고, 상기 에이전트어플리케이션(4100)에서 도출된 상기 제1유형의 사용자단말(4000.2)이 상기 정책정보(2410)에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계; 상기 게이트웨이(3000)에 접속되어 있고, 에이전트어플리케이션(4100)이 설치되어 있지 않은 제2유형의 사용자단말(4000.1)에 인증정보를 요청하고, 상기 제2유형의 사용자단말(4000.1)로부터 수신한 인증정보를 검증하는 인증정보검증단계; 상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 인증정보검증단계에서의 상기 인증정보에 대한 검증결과에 따라 상기 제1유형의 사용자단말(4000.2) 및 상기 제2유형의 사용자단말(4000.1) 각각에 대한 네트워크 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버(1000)에 제공하는 접근제어정보도출단계; 상기 차단서버(1000)에 의하여, 상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 사용자단말(4000.2) 및 상기 제2유형의 사용자단말(4000.1) 각각에 대하여 상기 게이트웨이(3000) 접속을 제어하는 접속제어단계;를 포함할 수 있다.
구체적으로, 상기 관제서버(2000)는 상기 정책판단결과수신단계를 수행하여 제1유형의 사용자단말(4000.2)에 상기 제1유형의 사용자단말(4000.2)에 상응하는 정책정보(2410)를 상기 게이트웨이(3000)를 통해 상기 제1유형의 사용자단말(4000.2)에 송신(S10 및 S11)하고, 상기 제1유형의 사용자단말(4000.2)에 설치된 에이전트어플리케이션(4100)은 수신한 정책정보(2410)에 상기 제1유형의 사용자단말(4000.2)이 부합하는지 여부를 판단(S12)한다.
더 구체적으로, 상기 정책정보(2410)에는 사용자단말의 방화벽 설정 여부, 사용자단말의 운영체제 시스템의 최신 업데이트 여부 등과 같이, 1 이상의 정책을 포함하며, 상기 에이전트어플리케이션(4100)은 상기 제1유형의 사용자단말(4000.2)이 각각의 정책을 따르고 있는지를 판단할 수 있다. 이에 따라, 상기 에이전트어플리케이션(4100)은 정책의 부합 여부를 판단하기 위하여, 상기 제1유형의 사용자단말(4000.2)에 설치된 운영체제 시스템(Operating System, OS)에 접근할 수 있는 권한이 부여될 수 있다.
이후에 상기 정책판단결과수신단계는 상기 에이전트어플리케이션(4100)으로부터 상기 제1유형의 사용자단말(4000.2)이 정책정보(2410)에 부합하는지에 대한 판단결과를 상기 게이트웨이(3000)를 통해 수신(S13 및 S14)한다.
본 발명의 다른 실시예에서 상기 정책판단결과수신단계는, 제1유형의 사용자단말(4000.2)이 상기 게이트웨이(3000)에 최초 접속하는 경우에 수행되거나, 혹은 상기 게이트웨이(3000)에 접속한 후에 기설정된 주기에 따라 주기적으로 수행될 수도 있다.
한편, 상기 관제서버(2000)는 에이전트어플리케이션(4100)이 설치되지 않는 제2유형의 사용자단말(4000.1)에 대해서는 인증정보검증단계를 수행하여, 상기 제2유형의 사용자단말(4000.1)로부터 인증정보를 수신한다. 구체적으로, 상기 인증정보검증단계는, 상기 제2유형의 사용자단말(4000.1)에 상기 게이트웨이(3000)를 통해 인증정보를 요청(S15 및 S16)하고, 상기 제2유형의 사용자단말(4000.1)은 수신한 상기 인증정보의 요청에 따라 인증정보를 도출(S17)한다.
이후에 상기 인증정보검증단계는 상기 제2유형의 사용자단말(4000.1)로부터 도출된 인증정보를 상기 게이트웨이(3000)를 통해 수신(S19)하고, 상기 수신한 인증정보를 검증(S20)한다. 더 구체적으로 상기 인증정보검증단계는 수신한 인증정보가 관제서버(2000)에 저장된 예외정책정보(2420)에 포함되어 있는지를 검증하며, 이에 대해서는 이후에 상세히 설명하도록 한다.
상기 판단결과 및 상기 인증정보에 대한 검증을 수행한 관제서버(2000)는 접근제어정보도출단계를 수행하여 상기 판단결과를 송신한 제1유형의 사용자단말(4000.2) 및 상기 인증정보를 송신한 제2유형의 사용자단말(4000.1) 각각에 대하여 네트워크에 접근을 허가 또는 차단하기 위한 접근제어정보를 도출(S21)하고, 상기 접근제어정보를 상기 게이트웨이(3000)를 통해 상기 차단서버(1000)로 송신(S22 및 S23)한다.
더 구체적으로, 상기 접근제어정보도출단계는, 상기 제1유형의 사용자단말(4000.2)의 에이전트어플리케이션(4100)에서 도출된 판단결과가 상기 제1유형의 사용자단말(4000.2)이 정책정보(2410)에 부합하는 것으로 판단한 경우에 상기 제1유형의 사용자단말(4000.2)의 네트워크 접근을 허가하도록 제어하기 위한 제3제어정보를 상기 접근제어정보에 포함시키고, 반대로 상기 제1유형의 사용자단말(4000.2)의 에이전트어플리케이션(4100)에서 도출된 판단결과가 상기 제1유형의 사용자단말(4000.2)이 정책정보(2410)에 부합하지 않는 것으로 판단한 경우에 상기 제1유형의 사용자단말(4000.2)의 네트워크 접근을 차단하도록 제어하기 위한 제4제어정보를 상기 접근제어정보에 포함시킬 수 있다.
또한, 상기 접근제어정보도출단계는, 상기 제2유형의 사용자단말(4000.1)에서 도출된 인증정보가 유효한 것으로 검증된 경우에 상기 제2유형의 사용자단말(4000.1)의 네트워크 접근을 허가하도록 제어하기 위한 제1제어정보를 상기 접근제어정보에 포함시키고, 반대로 상기 제2유형의 사용자단말(4000.1)에서 도출된 인증정보가 유효하지 않은 것으로 검증된 경우에 상기 제2유형의 사용자단말(4000.1)의 네트워크 접근을 차단하도록 제어하기 위한 제2제어정보를 상기 접근제어정보에 포함시킬 수 있다.
본 발명의 다른 실시예에서 상기 접근제어정보도출단계에서 도출되는 접근제어정보는 1 이상의 사용자단말 각각의 네트워크 접근이 허가 또는 차단되도록 제어하는 1 이상의 제어정보를 포함하며, 사용자단말의 유형에 따라 상기 제어정보는 제3제어정보 또는 제4제어정보에 해당하거나, 제1제어정보 또는 제2제어정보에 해당할 수 있다.
상기 관제서버(2000)로부터 접근제어정보를 수신한 차단서버(1000)는 상기 접속제어단계를 수행하여, 각각의 사용자단말별로 네트워크에 접근하는 것을 허가 또는 차단하도록 제어(S24 및 S25)한다.
더 구체적으로, 상기 접속제어단계는 상기 접근제어정보에 상기 제2유형의 사용자단말(4000.1)에 대한 제1제어정보가 포함되어 있는 경우에 상기 제2유형의 사용자단말(4000.1)의 네트워크 접속을 허가하도록 제어하며, 상기 접근제어정보에 상기 제2유형의 사용자단말(4000.1)에 대한 제2제어정보가 포함되어 있는 경우에 상기 제2유형의 사용자단말(4000.1)의 네트워크 접속을 차단하도록 제어한다.
마찬가지로, 상기 접속제어단계는 상기 접근제어정보에 상기 제1유형의 사용자단말(4000.2)에 대한 제3제어정보가 포함되어 있는 경우에 상기 제1유형의 사용자단말(4000.2)의 네트워크 접속을 허가하도록 제어하며, 상기 접근제어정보에 상기 제1유형의 사용자단말(4000.2)에 대한 제4제어정보가 포함되어 있는 경우에 상기 제1유형의 사용자단말(4000.2)의 네트워크 접속을 차단하도록 제어한다.
본 발명의 일 실시예에서, 상기 접속제어단계는 사용자단말의 네트워크 접속을 허가하는 경우에 사용자단말에 설정되어 있는 게이트웨이(3000)의 주소정보가 변경되지 않도록 제어하며, 사용자단말의 네트워크 접속을 차단하는 경우에 사용자단말에 설정되어 있는 게이트웨이(3000)의 주소정보가 상기 차단서버(1000)의 주소정보로 변경되도록 제어한다. 따라서, 상기 차단서버(1000)의 주소정보로 변경되도록 제어된 사용자단말에서 게이트웨이(3000)로 송신하고자 하는 데이터가 상기 차단서버(1000)로 우회하여 송신되기 때문에, 차단된 사용자단말의 데이터를 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.
본 발명의 다른 실시예에서, 상기 차단서버(1000)에 의하여 사용자단말의 게이트웨이(3000)의 접근이 허가 또는 차단되는 경우에, 상기 관제서버(2000)는 상기 차단서버(1000)로부터 사용자단말의 접근 허가 또는 차단에 대한 상태정보를 수신하고, 이를 상기 관리자단말(6000)에 송신하여 상기 관리자단말(6000)을 사용하는 관리자가 상기 사용자단말의 접근 허가 또는 차단에 대한 상태를 용이하게 인지하도록 할 수도 있다.
도 3은 본 발명의 일 실시예에 따른 인증정보 및 접근제어정보의 구성요소들을 개략적으로 도시한다.
도 3에 도시된 바와 같이, 상기 인증정보검증단계는, 사용자단말의 주소정보를 포함하는 인증정보를 상기 제2유형의 사용자단말에 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보에 포함된 주소정보가 상기 관제서버(2000)에 저장되어 있는지 여부를 검증할 수 있다.
구체적으로, 도 3의 (A)에 도시된 바와 같이, 상기 인증정보검증단계는 제2유형의 사용자단말에 인증정보를 요청하는데 있어서, 제2유형의 사용자단말의 주소정보를 포함하는 인증정보를 요청하며, 상기 제2유형의 사용자단말은 요청에 따라 자신의 주소정보를 포함하는 인증정보를 도출하여 상기 관제서버(2000)로 송신한다.
더 구체적으로, 사용자단말의 주소정보는 도 1에서 상술한 바와 같이, 사용자단말의 IP주소 및 MAC주소를 포함하며, 상기 인증정보검증단계는 사용자단말의 주소정보뿐만 아니라, 사용자단말의 설치된 운영체제 시스템 정보, 접속된 네트워크에서의 명칭정보, 접속된 포트정보 및 사용자단말에서 네트워크로 송신하는 패킷의 사이즈정보를 포함하는 인증정보를 요청한다. 이에 따라 상기 제2유형의 사용자단말은 요청에 따라 각각의 정보들을 포함하는 인증정보를 도출하여 상기 관제서버(2000)로 송신한다.
이에 따라, 인증정보검증단계는 인증정보에 포함된 각각의 정보가 상기 관제서버(2000)에 저장된 예외정책정보(2420)에 포함되어 있는지를 판단하여, 상기 인증정보를 검증한다. 이와 같이, 인증정보에 사용자단말의 주소정보뿐만 아니라, 다양한 정보를 포함하도록 요청하는 것은 단순히 주소정보만을 검증하는 경우에는 네트워크를 공격하기 위하여 주소정보가 동일한 악의적 목적의 단말이 게이트웨이(3000)에 접속되는 경우에 네트워크 접근이 허가되므로, 악의적 목적의 단말에 의해 네트워크가 공격받을 수 있는 문제점이 발생할 수 있다. 따라서, 이러한 문제점을 개선하기 위하여 상기 인증정보검증단계는 제2유형의 사용자단말에 주소정보를 비롯한 다양한 정보들을 포함하는 인증정보를 요청한다.
한편, 도 3의 (B)에 도시된 바와 같이, 접근제어정보도출단계에서 도출하는 접근제어정보는 네트워크 접근을 허가 또는 차단하고자 하는 사용자단말의 유형에 따라 상이한 제어정보를 포함한다. 구체적으로, 상기 접근제어정보도출단계에서 인증정보에 기초하여 도출하는 접근제어정보는 제2유형의 사용자단말의 네트워크 접근을 허가하고자 하는 경우에 제1제어정보를 포함하고, 제2유형의 사용자단말의 네트워크 접근을 차단하고자 하는 경우에 제2제어정보를 포함한다.
또한, 상기 접근제어정보도출단계에서 제1유형의 사용자단말에 설치된 에이전트어플리케이션(4100)에서 도출된 판단결과에 기초하여 도출하는 접근제어정보는 제1유형의 사용자단말의 네트워크 접근을 허가하고자 하는 경우에 제3제어정보를 포함하고, 제1유형의 사용자단말의 네트워크 접근을 차단하고자 하는 경우에 제4제어정보를 포함한다.
한편, 상기 접근제어정보도출단계에서 인증정보 및 판단결과에 기초하여 도출하는 접근제어정보는 상기 인증정보에 상응하는 제2유형의 사용자단말에 대한 제1제어정보 또는 제2제어정보를 포함하고, 상기 판단결과에 상응하는 제1유형의 사용자단말에 대한 제3제어정보 또는 제4제어정보를 더 포함할 수 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접근이 허가되지 않은 사용자단말에 설정된 게이트웨이(3000) 주소정보 및 나머지 사용자단말에 설정된 네트워크 접근이 허가되지 않은 사용자단말의 주소정보를 개략적으로 도시한다.
상기 접근제어정보는, 상기 인증정보에 대한 검증결과에 따라 상기 제2유형의 사용자단말의 네트워크 접근을 허가하기 위한 제1제어정보 및 상기 제2유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제2제어정보를 포함하고, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말에 대하여 상기 제2유형의 사용자단말에 설정되어 있는 상기 게이트웨이(3000) 주소정보가 상기 차단서버(1000)의 주소정보로 변경되도록 제어할 수 있다.
한편, 도 4의 (A)에서는 제1유형의 사용자단말의 네트워크 접근을 차단하기 위하여 게이트웨이(3000) 주소정보를 변경하는 것에 대해서만 도시하였으나, 상기 접속제어단계는 제2유형의 사용자단말의 네트워크 접근을 차단하는 경우에도 동일하게 게이트웨이(3000) 주소정보를 차단서버(1000)의 주소정보로 변경할 수 있다.
구체적으로, 도 4의 (A)의 좌측에 도시된 제1유형의 사용자단말#2(4000.2)는 게이트웨이(3000)에 최초로 접속되는 경우에 브로드캐스팅 방식을 통해 상기 게이트웨이(3000)의 주소정보인 IP254 및 MAC254를 식별한다. 한편, 식별된 상기 게이트웨이(3000)의 주소정보는 상기 제1유형의 사용자단말#2(4000.2)의 Address Resolution Protocol(ARP) 캐쉬 테이블에 저장될 수 있다.
또한, 이전에 제1유형의 사용자단말#2(4000.2)에 대한 접근제어정보에 따라 상기 제1유형의 사용자단말#2(4000.2)의 네트워크 접근이 허가되는 것으로 제어되는 경우에도 도 4의 (A)에 도시된 바와 같이, 상기 제1유형의 사용자단말#2(4000.2)에는 게이트웨이(3000) 주소정보가 저장될 수 있다.
한편, 상기 제1유형의 사용자단말#2(4000.2)에서 송신한 판단결과에 기초하여 도출된 접근제어정보에 상기 제1유형의 사용자단말#2(4000.2)의 네트워크 접근을 차단하도록 제어하는 제4제어정보가 포함되는 경우에, 상기 제1유형의 사용자단말#2(4000.2)는 상기 차단서버(1000)에서 수행하는 접속제어단계에 의해 저장되어 있는 게이트웨이(3000) 주소정보가 도 4의 (A)에 도시된 바와 같이 변경될 수 있다.
구체적으로, 상기 접속제어단계가 수행됨에 따라 네트워크의 접근이 차단되도록 제어되는 제1유형의 사용자단말#2(4000.2)에 저장된 게이트웨이(3000) 주소정보는 상기 차단서버(1000)의 주소정보로 변경된다. 도 4의 (A)의 우측 도면에서는 게이트웨이(3000) 주소정보가 도 1에 도시된 차단서버(1000)의 주소정보에 해당하는 IP101 및 MAC101로 변경된다.
이와 같이, 네트워크의 접근이 차단되는 사용자단말에 저장된 게이트웨이(3000) 주소정보가 차단서버(1000)의 주소정보로 변경되며, 이후에 상기 사용자단말에서 게이트웨이(3000)로 송신하고자 하는 패킷은 변경된 주소정보에 따라 상기 차단서버(1000)로 송신되며, 상기 차단서버(1000)는 수신한 패킷을 버리거나(drop), 해당 패킷을 수신하는 경우에 상기 사용자단말 및 상기 배포서버(7000)가 통신을 수행하도록 할 수도 있다.
한편, 상기 접속제어단계는, 상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말을 제외한 나머지 사용자단말에 대하여 상기 나머지 사용자단말에 설정되어 있는 상기 제2제어정보에 해당하는 제2유형의 사용자단말의 주소정보가 가상주소정보로 변경되도록 제어할 수 있다.
구체적으로 도 4의 (B)에서는 제1유형의 사용자단말의 네트워크 접근이 차단됨에 따라 나머지 사용자단말에 설정된 상기 제1유형의 사용자단말의 주소정보가 변경되는 것에 대해서만 도시하였으나, 상기 접속제어단계는 제2유형의 사용자단말의 네트워크 접근이 차단됨에 따라 나머지 사용자단말에 설정된 상기 제2유형의 사용자단말의 주소정보가 변경될 수도 있다.
상기 접속제어단계는, 네트워크의 접근을 차단하고자 하는 사용자단말에 저장된 게이트웨이(3000) 주소정보를 변경하도록 제어하는 것뿐만 아니라, 상기 사용자단말을 제외한 상기 게이트웨이(3000)에 접속된 1 이상의 나머지 사용자단말에 대해서도 접근제어정보에 기초하여 제어를 수행할 수 있다.
더 구체적으로, 상기 각각의 사용자단말은 게이트웨이(3000)에 접속하는 경우에 브로드캐스팅 방식을 통해 게이트웨이(3000)에 이미 접속되어 있는 1 이상의 사용자단말을 식별하여, 상기 1 이상의 각각의 사용자단말의 주소정보를 ARP 캐쉬 테이블에 저장할 수 있다. 즉, 도 4의 (B)의 좌측에 도시된 바와 같이, 상기 나머지 사용자단말에 해당하는 제1유형의 사용자단말#3(4000.3)에는 도 4의 (A)에서 설명한 바와 같이, 네트워크 접근이 차단되도록 제어되는 제1유형의 사용자단말#2(4000.2)의 주소정보에 해당하는 IP2 및 MAC2가 저장되어 있다.
이후에, 상기 접속제어단계는 상기 제1유형의 사용자단말#2(4000.2)에 대하여 게이트웨이(3000) 주소정보를 차단서버(1000)의 주소정보로 변경하고, 1 이상의 나머지 사용자단말에 저장된 상기 제1유형의 사용자단말#2(4000.2)의 주소정보를 소정의 주소정보로 변경한다. 도 4의 (B)의 우측 도면에서는 나머지 사용자단말에 해당하는 제1유형의 사용자단말#3(4000.3)에 저장된 상기 제1유형의 사용자단말#2(4000.2)의 주소정보가 차단서버(1000)의 주소정보로 변경된 것으로 도시된 것과 같이, 상기 소정의 주소정보는 상기 차단서버(1000)의 주소정보에 해당할 수 있으며, 본 발명의 다른 실시예에서 상기 소정의 주소정보는 기설정된 가상의 주소정보에 해당할 수도 있다.
이와 같이, 상기 접속제어단계는, 네트워크의 접속을 차단하고자 하는 사용자단말을 제외한 나머지 사용자단말에 저장된 차단하고자 하는 사용자단말의 주소정보를 소정의 주소정보로 변경하여, 상기 나머지 사용자단말과 상기 차단하고자 하는 사용자단말 사이의 통신이 이루어지지 않도록 하여, 상기 나머지 사용자단말을 보호할 수 있는 효과를 발휘할 수 있다.
또한, 상술한 1 이상의 나머지 사용자단말은, 접속제어단계를 통해 네트워크의 접속이 차단되도록 제어되는 사용자단말을 제외한 1 이상의 나머지 사용자단말에 해당하나, 본 발명의 다른 실시예에서 이미 네트워크의 접속이 차단된 사용자단말은 상기 1 이상의 나머지 사용자단말에 포함되지 않을 수도 있다.
도 5는 본 발명의 일 실시예에 따른 관제서버(2000) 및 예외정책정보(2420)의 구성요소들을 개략적으로 도시한다.
도 5의 (A)는 관제서버(2000)에 포함되는 구성요소들을 개략적으로 도시한다. 상기 관제서버(2000)는 상술한 바와 같이, 제1유형의 사용자단말에 대하여 정책판단결과수신단계를 수행하는 정책판단결과수신부(2100), 제2유형의 사용자단말에 대하여 인증정보검증단계를 수행하는 인증정보검증부(2200) 및 상기 정책판단결과수신단계 및 상기 인증정보검증단계를 통해 도출된 정보에 따라 상응하는 사용자단말의 네트워크 접근을 제어하는 접근제어정보를 도출하는 접근제어정보도출단계를 수행하는 접근제어정보도출부(2300)를 포함한다. 각각의 단계들은 도 2에서 설명하였으므로 생략하도록 한다.
한편, 상기 관제서버(2000)는 DB(2400)를 더 포함하며, 상기 DB(2400)에는 정책정보(2410) 및 예외정책정보(2420)를 포함한다.
상기 정책정보(2410)는 제1유형의 사용자단말에 설치된 에이전트어플리케이션(4100)에 제공되어, 상기 제1유형의 사용자단말이 상기 정책정보(2410)에 부합하는지 판단하도록 한다. 상기 정책정보(2410)는 1 이상의 정책을 포함할 수 있고, 상기 정책정보(2410)는 관리자단말(6000) 상에서 관리자에 의하여 입력될 수 있고, 상기 관제서버(2000)는 상기 관리자단말(6000)로부터 입력된 정책정보(2410)를 수신하여 DB(2400)에 저장할 수 있다.
상기 정책정보(2410)는 제1유형의 사용자단말의 상태나 종류 및/또는 상기 제1유형의 사용자단말을 사용하는 사용자에 따라 상이할 수 있다. 예를 들어, 제1유형의 사용자단말이 모바일 단말 또는 데스크탑 단말인지에 따라 상기 정책정보(2410)가 상이할 수 있고, 또한 제1유형의 사용자단말의 사용자의 네트워크 권한, 예를 들어, 상기 네트워크가 기업 내에서 운영되는 네트워크인 경우에 사용자의 직급 및 부서에 따라 상기 정책정보(2410)가 상이할 수 있다. 따라서, 상기 관제서버(2000)의 DB(2400)에는 사용자단말의 상태나 종류 및/또는 사용자에 따른 복수의 정책정보(2410)가 저장될 수 있다.
상기 예외정책정보(2420)는 상기 인증정보검증단계에서 제2유형의 사용자단말로부터 수신한 인증정보를 검증하기 위한 정보에 해당한다. 즉, 상기 인증정보검증단계는 수신한 인증정보가 상기 예외정책정보(2420)와 일치하는지 여부를 검증할 수 있다.
상기 예외정책정보(2420)는 사용자단말에 대한 주소정보에 포함되는 IP주소정보 및 MAC주소정보를 포함하고, 네트워크에서의 사용자단말의 명칭정보, 사용자단말의 운영체제 시스템에 대한 정보, 접속 포트정보 및 사용자단말에서 송신하는 패킷의 사이즈 정보를 더 포함한다. 상기 예외정책정보(2420) 또한 관리자단말(6000) 상에서 관리자에 의하여 입력될 수 있고, 상기 관제서버(2000)는 상기 관리자단말(6000)로부터 입력된 예외정책정보(2420)를 수신하여 상기 DB(2400)에 저장할 수 있다.
상기 관제서버(2000)의 DB(2400)에는 관리자가 네트워크의 접속을 허가하기 위한 일종의 기준에 해당하는 예외정책정보(2420)가 1 이상의 제2유형의 사용자단말별로 저장될 수 있다. 한편, 상기 인증정보검증단계에서 제2유형의 사용자단말에 인증정보를 요청함에 있어서, 상기 예외정책정보(2420)에 포함된 복수의 정보들을 포함하는 인증정보를 요청하고, 상기 인증정보검증단계는 상기 제2유형의 사용자단말에서 송신한 인증정보가 상기 관제서버(2000)의 DB(2400)에 저장된 예외정책정보(2420)에 해당하는 경우에 상기 인증정보가 유효한 것으로 검증한다.
이와 같이, 인증정보검증단계는 제2유형의 사용자단말의 주소정보만을 검증하는 것이 아니라, 제2유형의 사용자단말에서 제공할 수 있는 1 이상의 정보들을 추가적으로 검증함으로써, 제2유형의 사용자단말이 네트워크에 접근할 수 있는 것으로 제어되는 경우에 상기 제2유형의 사용자단말과 동일한 주소정보를 갖는 다른 사용자단말이 해당 네트워크에 무분별하게 접속할 수 있는 것을 방지할 수 있는 효과를 발휘할 수 있다.
도 6은 본 발명의 일 실시예에 따른 리다이렉트단계의 세부 단계 및 리다이렉트단계를 통해 제2유형의 사용자단말에 디스플레이되는 화면을 개략적으로 도시한다.
도 6에 도시된 바와 같이, 상기 접근제어정보는, 상기 판단결과에 따라 상기 제1유형의 사용자단말의 네트워크 접근을 허가하기 위한 제3제어정보 및 상기 제1유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제4제어정보를 포함하고, 상기 접속제어단계는, 상기 접근제어정보에 상기 제4제어정보가 포함된 경우에, 상기 제4제어정보에 해당하는 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정되어 있는 상기 게이트웨이(3000) 주소정보가 상기 차단서버(1000)의 주소정보로 변경되도록 제어하고, 상기 네트워크 제어 방법은, 상기 차단서버(1000)에 의하여, 상기 접속제어단계를 통해 상기 차단서버(1000)의 주소로 변경되도록 제어된 제1유형의 사용자단말(4000.4)로부터 데이터를 수신하는 경우에, 상기 제1유형의 사용자단말(4000.4)이 배포서버(7000)와 통신을 수행하도록 제어하는 리다이렉트단계;를 더 포함할 수 있다.
구체적으로, 접근제어정보도출단계에서 도출된 접근제어정보에 제4제어정보가 포함된 경우에 상기 접속제어단계는 상기 접근제어정보에 포함된 제4제어정보에 상응하는 제1유형의 사용자단말의 네트워크 접근을 차단하도록 상기 제1유형의 사용자단말을 제어한다.
이후에 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4)에서 상기 게이트웨이(3000)로 패킷을 송신하는 경우에, 상기 패킷은 차단서버(1000)로 송신(S30)되며, 상기 패킷을 수신한 차단서버(1000)는 리다이렉트단계를 수행한다.
상기 리다이렉트단계는 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4) 및 배포서버(7000)가 통신을 수행하도록 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4)을 제어하도록 하는 리다이렉트정보를 생성(S31)하고, 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4)로 상기 리다이렉트정보를 송신(S32)한다. 상기 리다이렉트정보는 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4)이 상기 배포서버(7000)에 접속하도록 리다이렉트(S33)하기 위한 주소정보에 해당할 수 있다.
바람직하게 상기 리다이렉트단계는, 상기 차단서버(1000)가 상기 네트워크에 접근이 차단된 제1유형의 사용자단말(4000.4)로부터 패킷을 수신하는 경우에, 상기 차단서버(1000)는 게이트웨이(3000)의 주소정보를 알고 있으므로, 해당 패킷을 상기 게이트웨이(3000)를 통해 상기 배포서버(7000)로 송신(리다이렉트)하는 과정을 통해 상기 차단된 제1유형의 사용자단말이 상기 배포서버(7000)에 접속할 수 있도록 할 수 있다.
한편, 상기 배포서버(7000)는 상기 차단된 제1유형의 사용자단말(4000.4)로 패킷에 상응하는 정보를 제공(S34)한다. 상기 정보는 도 6의 (B)에 도시된 바와 같이, 상기 차단된 제1유형의 사용자단말(4000.4)이 정책정보(2410)에 부합할 수 있도록 특정 어플리케이션을 설치 또는 업데이트하기 위한 웹페이지 관련 정보에 해당할 수 있다.
따라서 상기 차단된 제1유형의 사용자단말(4000.4)의 사용자는 해당 웹페이지를 통해 정책정보(2410)에 상응하는 어플리케이션을 새로 설치 또는 업데이트하거나, 설치되어 있는 특정 어플리케이션을 삭제하는 과정을 수행함으로써, 상기 차단된 제1유형의 사용자단말(4000.4)의 상태가 정책정보(2410)에 부합할 수 있도록 할 수 있다.
한편, 상술한 상기 리다이렉트단계는 사용자단말에 새로운 어플리케이션을 설치하는 등의 과정을 제공하기 위한 것이므로, 상술한 바와 같이, 제2유형의 사용자단말에 대해서는 상기 리다이렉트단계가 수행되지 않을 수 있다.
도 7은 본 발명의 일 실시예에 따른 네트워크 접근이 허가된 사용자단말에 설정된 게이트웨이(3000) 주소정보 및 나머지 사용자단말에 설정된 네트워크에 접근이 허가된 사용자단말의 주소정보를 개략적으로 도시한다.
도 7에 도시된 바와 같이, 상기 네트워크 제어 방법은, 상기 차단서버(1000)에 의하여, 상기 리다이렉트단계를 통해 상기 제1유형의 사용자단말이 상기 배포서버(7000)의 요청에 따라 동작을 수행한 후에, 상기 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정된 상기 차단서버(1000)의 주소정보가 상기 게이트웨이(3000) 주소정보로 변경되도록 제어하는, 접속허용제어단계;를 더 포함할 수 있다.
구체적으로, 상기 차단서버(1000)는 상기 배포서버(7000)와의 통신을 통해 상기 제1유형의 사용자단말이 정책정보(2410)에 부합하도록 특정 어플리케이션을 설치하는 등의 과정을 수행한 이후에, 상기 접속허용제어단계를 수행하여 상기 네트워크 접근이 차단된 제1유형의 사용자단말의 접근을 허가하도록 제어한다.
이를 위해, 상기 접속허용제어단계는 도 7의 (A)의 좌측 도면에 도시된 바와 같이, 상기 접속제어단계를 통해 상기 제1유형의 사용자단말#2(4000.2)에 저장된 차단서버(1000)의 주소정보(IP101 및 MAC101)로 변경되어 저장된 게이트웨이(3000) 주소정보를 도 7의 (A)의 우측 도면에 도시된 바와 같이, 실제 게이트웨이(3000) 주소정보로 변경되도록 상기 제1유형의 사용자단말#2(4000.2)를 제어하는 것으로 상기 제1유형의 사용자단말#2(4000.2)의 네트워크 접근을 허가할 수 있다. 여기서, 상기 제1유형의 사용자단말#2(4000.2)는 상기 접속제어단계를 통해 네트워크의 접근이 차단된 제1유형의 사용자단말에 해당한다.
또한, 상기 접속허용제어단계는 네트워크의 접근이 차단되고, 리다이렉트단계를 통해 정책정보(2410)에 부합하게 된 제1유형의 사용자단말만을 제어하는 것이 아니라, 도 7의 (B)에 도시된 바와 같이, 상기 제1유형의 사용자단말의 주소정보가 소정의 가상의 주소정보로 변경된 1 이상의 나머지 사용자단말에 대해서도 상기 소정의 가상의 주소정보를 상기 제1유형의 사용자단말의 주소정보로 변경하도록 상기 1 이상의 나머지 사용자단말을 제어한다.
이를 통해, 상기 접속허용제어단계를 통해 네트워크에 접근 가능하도록 제어된 제1유형의 사용자단말 및 상기 1 이상의 나머지 사용자단말 사이의 통신이 이루어질 수 있다.
도 8은 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.
상술한 도 1에 도시된 네트워크시스템에 포함되는 구성요소들은 상기 도 8에 도시된 컴퓨팅장치(11000)의 구성요소들을 포함할 수 있다.
도 8에 도시된 바와 같이, 컴퓨팅장치(11000)는 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅장치(11000)는 도 1에 도시된 네트워크시스템에 포함되는 구성요소에 해당될 수 있다.
메모리(11200)는 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그 밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리(11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅장치와 통신을 가능하게 할 수도 있다.
이러한 도 8의 실시예는, 컴퓨팅장치(11000)의 일례일 뿐이고, 컴퓨팅장치(11000)는 도 8에 도시된 일부 컴포넌트가 생략되거나, 도 8에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅장치는 도 8에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(11600)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시예에 따른 방법들은 별도의 다양한 컴퓨팅장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 어플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 사용자단말을 포함하는 별도의 컴퓨팅장치에 설치될 수 있다. 일 예로, 파일 배포 시스템은 별도의 컴퓨팅장치의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 일 실시예에 따르면, 게이트웨이에 접속된 제1유형의 사용자단말 또는 제2유형의 사용자단말의 네트워크 접속을 차단하고자 하는 경우에, 상기 제1유형의 사용자단말 또는 상기 제2유형의 사용자단말에 설정된 상기 게이트웨이의 주소정보를 차단서버의 주소로 변경하므로, 차단하고자 하는 사용자단말의 패킷이 게이트웨이를 통해 네트워크로 송신되는 것을 사전에 차단할 수 있으므로, 해당 네트워크 및 패킷의 목적지에 해당하는 서버의 부하를 줄일 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제1유형의 사용자단말은 관제서버에서 제공하는 정책정보에 부합하는 경우에 네트워크에 접속할 수 있으므로, 정책정보 포함된 다양한 정책들을 통해 네트워크의 접속에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제2유형의 사용자단말에서 송신하는 인증정보는 제2유형의 사용자단말의 주소정보뿐만 아니라, 패킷사이즈 정보 등의 추가적인 정보들을 포함하고, 인증정보검증단계는 상기 인증정보에 기초하여 제2유형의 사용자단말의 네트워크 접근을 제어하므로, 동일한 주소정보를 갖는 악의적 목적의 단말의 네트워크 접근을 방지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 접속제어단계는 제2유형의 사용자단말의 네트워크 접근을 허가하지 않는 경우에, 상기 네트워크에 접속하는 나머지 사용자단말에 설정되어 있는 상기 제2유형의 사용자단말의 주소정보를 가상주소정보로 변경하므로, 사용자단말 간의 통신에 대한 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 제1유형의 사용자단말의 네트워크 접근을 차단한 경우에 상기 제1유형의 사용자단말을 배포서버와 통신하도록 하므로, 상기 제1유형의 사용자단말이 정책정보에 부합하도록 하는 소정의 과정들을 수행할 수 있는 효과를 발휘할 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (8)

  1. 차단서버, 상기 차단서버와 통신을 수행하는 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하는 네트워크시스템에서 수행하는 네트워크 제어 방법으로서,
    상기 관제서버에 의하여,
    상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치된 제1유형의 사용자단말에 상응하는 정책정보를 상기 제1유형의 사용자단말에 제공하고, 상기 에이전트어플리케이션에서 도출된 상기 제1유형의 사용자단말이 상기 정책정보에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계;
    상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치되어 있지 않은 제2유형의 사용자단말에 인증정보를 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보를 검증하는 인증정보검증단계;
    상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 인증정보검증단계에서의 상기 인증정보에 대한 검증결과에 따라 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대한 네트워크 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버에 제공하는 접근제어정보도출단계;
    상기 차단서버에 의하여,
    상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대하여 상기 게이트웨이 접속을 제어하는 접속제어단계;를 포함하고,
    상기 접근제어정보는,
    상기 판단결과에 따라 상기 제1유형의 사용자단말의 네트워크 접근을 허가하기 위한 제3제어정보 및 상기 제1유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제4제어정보를 포함하고,
    상기 접속제어단계는,
    상기 접근제어정보에 상기 제4제어정보가 포함된 경우에, 상기 제4제어정보에 해당하는 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정되어 있는 상기 게이트웨이 주소정보가 상기 차단서버의 주소정보로 변경되도록 제어하고,
    상기 네트워크 제어 방법은,
    상기 차단서버에 의하여, 상기 접속제어단계를 통해 상기 차단서버의 주소로 변경되도록 제어된 제1유형의 사용자단말로부터 데이터를 수신하는 경우에, 상기 제1유형의 사용자단말이 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계;를 더 포함하는, 네트워크 제어 방법.
  2. 청구항 1에 있어서,
    상기 인증정보검증단계는,
    사용자단말의 주소정보를 포함하는 인증정보를 상기 제2유형의 사용자단말에 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보에 포함된 주소정보가 상기 관제서버에 저장되어 있는지 여부를 검증하는, 네트워크 제어 방법.
  3. 청구항 1에 있어서,
    상기 접근제어정보는,
    상기 인증정보에 대한 검증결과에 따라 상기 제2유형의 사용자단말의 네트워크 접근을 허가하기 위한 제1제어정보 및 상기 제2유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제2제어정보를 더 포함하고,
    상기 접속제어단계는,
    상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말에 대하여 상기 제2유형의 사용자단말에 설정되어 있는 상기 게이트웨이 주소정보가 상기 차단서버의 주소정보로 변경되도록 제어하는, 네트워크 제어 방법.
  4. 청구항 3에 있어서,
    상기 접속제어단계는,
    상기 접근제어정보에 상기 제2제어정보가 포함된 경우에, 상기 제2제어정보에 해당하는 제2유형의 사용자단말을 제외한 나머지 사용자단말에 대하여 상기 나머지 사용자단말에 설정되어 있는 상기 제2제어정보에 해당하는 제2유형의 사용자단말의 주소정보가 가상주소정보로 변경되도록 제어하는, 네트워크 제어 방법.
  5. 청구항 1에 있어서,
    상기 인증정보검증단계는,
    사용자단말의 주소정보, 사용자단말에 설치되는 운영체제에 대한 정보, 네트워크에서의 사용자단말의 명칭정보, 사용자단말의 접속 포트정보 및 사용자단말에서 송신하는 패킷의 사이즈 정보를 포함하는 인증정보를 상기 제2유형의 사용자단말에 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보가 상기 관제서버에 저장된 예외정책정보에 부합하는지 여부를 검증하는, 네트워크 제어 방법.
  6. 삭제
  7. 청구항 1에 있어서,
    상기 네트워크 제어 방법은,
    상기 차단서버에 의하여, 상기 리다이렉트단계를 통해 상기 제1유형의 사용자단말이 상기 배포서버의 요청에 따라 동작을 수행한 후에, 상기 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정된 상기 차단서버의 주소정보가 상기 게이트웨이 주소정보로 변경되도록 제어하는, 접속허용제어단계;를 더 포함하는, 네트워크 제어 방법.
  8. 차단서버, 상기 차단서버와 통신을 수행하는 관제서버 및 상기 차단서버 및 상기 관제서버를 중계하는 게이트웨이를 포함하는 네트워크시스템으로서,
    상기 관제서버에 의하여,
    상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치된 제1유형의 사용자단말에 상응하는 정책정보를 상기 제1유형의 사용자단말에 제공하고, 상기 에이전트어플리케이션에서 도출된 상기 제1유형의 사용자단말이 상기 정책정보에 부합하는지 여부에 대한 판단결과를 수신하는 정책판단결과수신단계;
    상기 게이트웨이에 접속되어 있고, 에이전트어플리케이션이 설치되어 있지 않은 제2유형의 사용자단말에 인증정보를 요청하고, 상기 제2유형의 사용자단말로부터 수신한 인증정보를 검증하는 인증정보검증단계;
    상기 정책판단결과수신단계를 통해 수신한 판단결과 및 상기 인증정보검증단계에서의 상기 인증정보에 대한 검증결과에 따라 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대한 네트워크 접근을 제어하기 위한 접근제어정보를 도출하여 상기 차단서버에 제공하는 접근제어정보도출단계;
    상기 차단서버에 의하여,
    상기 접근제어정보도출단계를 통해 수신한 접근제어정보에 기초하여 상기 제1유형의 사용자단말 및 상기 제2유형의 사용자단말 각각에 대하여 상기 게이트웨이 접속을 제어하는 접속제어단계;를 수행하고,
    상기 접근제어정보는,
    상기 판단결과에 따라 상기 제1유형의 사용자단말의 네트워크 접근을 허가하기 위한 제3제어정보 및 상기 제1유형의 사용자단말의 네트워크 접근을 허가하지 않기 위한 제4제어정보를 포함하고,
    상기 접속제어단계는,
    상기 접근제어정보에 상기 제4제어정보가 포함된 경우에, 상기 제4제어정보에 해당하는 제1유형의 사용자단말에 대하여 상기 제1유형의 사용자단말에 설정되어 있는 상기 게이트웨이 주소정보가 상기 차단서버의 주소정보로 변경되도록 제어하고,
    상기 네트워크시스템은,
    상기 차단서버에 의하여, 상기 접속제어단계를 통해 상기 차단서버의 주소로 변경되도록 제어된 제1유형의 사용자단말로부터 데이터를 수신하는 경우에, 상기 제1유형의 사용자단말이 배포서버와 통신을 수행하도록 제어하는 리다이렉트단계;를 더 수행하는, 네트워크시스템.
KR1020210062242A 2021-05-13 2021-05-13 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법 KR102345265B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210062242A KR102345265B1 (ko) 2021-05-13 2021-05-13 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210062242A KR102345265B1 (ko) 2021-05-13 2021-05-13 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법

Publications (1)

Publication Number Publication Date
KR102345265B1 true KR102345265B1 (ko) 2021-12-29

Family

ID=79176685

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210062242A KR102345265B1 (ko) 2021-05-13 2021-05-13 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법

Country Status (1)

Country Link
KR (1) KR102345265B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102548703B1 (ko) * 2022-11-22 2023-06-28 에스지에이솔루션즈 주식회사 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130028323A (ko) * 2011-09-09 2013-03-19 삼성에스디에스 주식회사 네트워크 접근 제어 시스템 및 방법
KR101480443B1 (ko) * 2013-09-17 2015-01-09 주식회사 하나은행 하이브리드 망 분리 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130028323A (ko) * 2011-09-09 2013-03-19 삼성에스디에스 주식회사 네트워크 접근 제어 시스템 및 방법
KR101480443B1 (ko) * 2013-09-17 2015-01-09 주식회사 하나은행 하이브리드 망 분리 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102548703B1 (ko) * 2022-11-22 2023-06-28 에스지에이솔루션즈 주식회사 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체

Similar Documents

Publication Publication Date Title
US10986094B2 (en) Systems and methods for cloud based unified service discovery and secure availability
US11843577B2 (en) Fingerprinting to identify devices and applications for use in management and policy in the cloud
US10432673B2 (en) In-channel event processing for network agnostic mobile applications in cloud based security systems
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
CN116601919A (zh) 经由安全访问服务边缘(sase)网络优化控制器(noc)对客户端应用访问的动态优化
US10009348B2 (en) Hybrid database access control in external-to-database security systems
WO2014176461A1 (en) Systems and methods for network access control
US10623446B1 (en) Multi-factor authentication for applications and virtual instance identities
US9633199B2 (en) Using a declaration of security requirements to determine whether to permit application operations
US11363022B2 (en) Use of DHCP for location information of a user device for automatic traffic forwarding
US11516260B2 (en) Selective policy-driven interception of encrypted network traffic utilizing a domain name service and a single-sign on service
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
US20230328063A1 (en) Method for Determining Trusted Terminal and Related Apparatus
WO2022081578A1 (en) Steering traffic on a flow-by-flow basis by a single sign-on service
KR102345866B1 (ko) 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법
KR102345265B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
US10021070B2 (en) Method and apparatus for federated firewall security
US11695769B2 (en) Dynamic user authorization with a service provider
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
KR102556976B1 (ko) 토큰 기반 계층적 접속 제어 장치 및 방법
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
KR102584579B1 (ko) SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법
KR102548703B1 (ko) 홈 네트워크 환경에서의 원격 시스템에 대한 접속 제어 방법, 장치 및 컴퓨터-판독가능 기록매체
KR20230081110A (ko) 서버시스템 및 서버시스템에서 수행되는 사용자단말에 대한 통신 보안방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant