KR102379721B1 - Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 - Google Patents

Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 Download PDF

Info

Publication number
KR102379721B1
KR102379721B1 KR1020210117398A KR20210117398A KR102379721B1 KR 102379721 B1 KR102379721 B1 KR 102379721B1 KR 1020210117398 A KR1020210117398 A KR 1020210117398A KR 20210117398 A KR20210117398 A KR 20210117398A KR 102379721 B1 KR102379721 B1 KR 102379721B1
Authority
KR
South Korea
Prior art keywords
information
network
source node
data
data flow
Prior art date
Application number
KR1020210117398A
Other languages
English (en)
Inventor
김영랑
Original Assignee
프라이빗테크놀로지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 프라이빗테크놀로지 주식회사 filed Critical 프라이빗테크놀로지 주식회사
Priority to KR1020210117398A priority Critical patent/KR102379721B1/ko
Application granted granted Critical
Publication of KR102379721B1 publication Critical patent/KR102379721B1/ko
Priority to PCT/KR2022/013193 priority patent/WO2023033586A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

본 문서에 개시된 일 실시예에 따른 네트워크 노드는, 통신 회로, 메모리, 및 상기 통신 회로 및 상기 메모리와 동작 가능하게 연결되는 프로세서를 포함하고, 상기 프로세서는, 서버로부터, 출발지 노드와 목적지 네트워크 사이의 TCP 세션 생성을 허용할 수 있도록 생성된 노드 IP, 목적지 네트워크 IP 및 포트 정보를 포함하는 데이터 플로우를 수신하고, 네트워크 경계에서 상기 출발지 노드로부터 브로드캐스팅 또는 멀티캐스팅된 데이터 패킷을 모니터링하고, 상기 모니터링을 통해 수신된 데이터 패킷의 출발지 IP에 대응하는 데이터 플로우가 존재하지 않는 경우, IP 차단 데이터 패킷을 상기 출발지 노드로 전송하거나, 또는 상기 모니터링을 통해 수신된 데이터 패킷의 도착지 IP 및 도착지 포트 정보에 대응하는 데이터 플로우가 존재하지 않는 경우, TCP 세션을 강제로 종료시키는 TCP 데이터 패킷을 상기 출발지 노드로 전송할 수 있다.

Description

TCP 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법{SYSTEM FOR CONTROLLING NETWORK ACCESS OF APPLICATION BASED ON TCP SESSION CONTROL AND METHOD THEREFOR}
본 문서에 개시된 실시예들은 TCP 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다.
일반적으로 단말과 서버간 통신은 IP(Internet Protocol) 기반의 TCP(Transmission Control Protocol)를 사용하며, 데이터 패킷 내에 포함된 5 Tuples 정보로 출발지 IP 및 도착지 IP, 포트 정보를 식별하는 방식의 접속 제어를 수행하는 방화벽 기술이 보편적으로 사용된다.
방화벽 기술은 단말 또는 네트워크 노드(예컨대, 스위치, 공유기 등)에 할당된 IP를 식별하여 네트워크 경계 사이에서 인바운드 또는 아웃바운드 데이터 패킷의 접근 제어를 수행함으로써 비인가된 IP가 비인가된 목적지 네트워크로의 접속을 차단하는 역할을 수행한다.
IP를 기반으로 하는 방화벽과 같은 기술의 문제점은 IP 할당 및 제어가 어려운 인터넷 대역에 있는 단말 또는 공유기 및 스위치에 의해 서브 네트워크를 구성하여 사설 IP 대역을 만드는 경우 IP 단위로의 통제가 어려운 문제를 내재하고 있으며, IP(Internet Protocol) 통신 구조상 IP를 위변조가 가능하다는 문제점이 있기 때문에 실질적으로 방화벽은 최소한의 안전 장치로써 사용되고 있다.
이러한 문제점을 해결하기 위해 단말과 서버 또는 스위치 사이에 전송되는 데이터 패킷을 암호화하거나 위변조되지 않도록 하고 인가된 대상만 유일한 접속을 허용할 수 있도록 하는 터널링 기술(예컨대, IPSec, GRE, GTP 등) 또는 보안 세션(Secure Sockets Layer, Transport Layer Security) 등의 접속성 제어(Connectivity Control) 기술을 사용함으로써 방화벽이 내재하고 있는 문제점을 해결하고 있다.
터널링 기술의 일 예로서, 도 1을 참조하면, 상이한 제1 네트워크(10) 및 제2 네트워크(20) 사이에서 출발지 노드(101)는 제2 네트워크(20)로의 접속(access)을 시도하고 제2 네트워크(20)에 포함된 도착지 노드(102)로 데이터를 전송할 때, 출발지 노드(101)는 스위치(103) 및 터널(105)을 통해 데이터를 도착지 노드(102)로 전송할 수 있다.
그러나, 접속성 제어 기술을 사용하는 경우, 알려져 있는 터널링 또는 보안 세션 기술을 반드시 사용하여야 하기 때문에 자체적인 암호화 프로토콜로 통신하는 애플리케이션 또는 암호화가 불필요로 한 구간 또는 네트워크 환경 문제로 인해 터널링 기술을 사용하기 어려운 구간에 적용하기 어려운 문제가 존재한다.
나아가 단말과 서버 사이의 네트워크 경계에는 하나 이상의 스위치가 존재하여야 하며, 모든 데이터 패킷은 해당 스위치를 거쳐서 지나가기 때문에 해당 스위치에 심각한 장애가 발생하는 경우 서버 또는 목적지 네트워크로 도달되는 모든 데이터 패킷이 차단되어 통신되지 않는 문제를 가지고 있다.
결과적으로 보안과 안정성을 타협해야 하는 특수한 네트워크 환경(예컨대, 단말과 동일한 세그먼트에 존재하는 세부 네트워크 단위로 접속 제어를 해야 하는 환경)에서 터널링 또는 보안 세션 기술을 사용하지 않는 접속성 제어 기술이 필요로 하며, 이러한 네트워크 환경에서 IP 통신 메커니즘을 활용하여 접근 제어를 수행하는 기술의 대표적인 예로 NAC(Network Access Control) 기술이 존재한다.
IP 통신 메커니즘은 단말에서 목적지로 데이터 패킷을 전송하기 위해 목적지의 IP를 기반으로 물리적 주소(MAC Address: Media Access Control Address)를 주소 결정 프로토콜인 ARP(Address Resolution Protocol)를 사용하여 확인한 후에 해당 MAC Address로 데이터 패킷을 전송하게 된다.
단말과 같은 세그먼트에 존재하는 NAC는 이러한 데이터 패킷을 수신하여 비인가된 단말이 접속을 시도하는 경우 ARP 스푸핑(Spoofing)을 통하여 NAC 자신의 MAC Address를 단말에게 알려줌으로써 실질적 통신 대상으로 데이터 패킷이 전송되는 것을 차단하는 구조를 제공한다.
이러한 NAC 기술은 사전에 인증되지 않은 단말 또는 인가되지 않은 단말의 IP를 차단하기 위한 기술로써 인트라넷에서 네트워크에 연결된 인가되지 않은 단말(예컨대, 외부로부터 반입된 단말 또는 비허용된 단말)이 서버 및 업무 자원에 접속하는 것을 방지하기 위한 목적으로 고안되어 있으나, 비인가된 출발지 IP를 기준으로 차단하기 때문에 세밀한 네트워크 접속 통제가 어려운 문제를 포함하고 있다.
즉, NAC는 단말에 할당된 IP를 기준으로 네트워크 접속 통제는 가능하지만 실질적으로 통신을 수행하는 주체인 애플리케이션 수준에서의 접속 통제를 수행하고 있지 못하기 때문에 외부로부터 반입된 단말에 포함된 랜섬웨어 또는 멀웨어는 단말에 IP 할당이 이루어지고 NAC에 의해서 접속 허용상태가 되면 해당 네트워크에 있는 모든 자원에 접근하여 랜섬웨어 또는 멀웨어를 전파 및 감염시키는 문제점을 근본적으로 해결할 수 없다.
본 문서에 개시되는 다양한 실시예들은, 터널링 또는 보안 세션 기반의 접속성 제어가 아닌, TCP 기반의 접속성 제어 기술을 통하여 특수한 네트워크 환경에서의 접속성 제어 문제점을 해결하기 위해 접속 대상 애플리케이션 및 애플리케이션을 실행하고 있는 단말 또는 하나 이상의 식별 정보를 기반으로 인가된 네트워크에만 접속할 수 있는 방법을 제공하여, 비인가된 대상이 TCP 세션을 생성하는 것을 방지하며, 위험 탐지, 애플리케이션 및 서비스 종료 등의 상황에서 유효하지 않은 대상의 네트워크 접속을 해제할 수 있는 방법을 제공한다.
본 문서에 개시된 일 실시예에 따른 네트워크 노드는, 통신 회로, 메모리, 및 상기 통신 회로 및 상기 메모리와 동작 가능하게 연결되는 프로세서를 포함하고, 상기 프로세서는, 서버로부터, 출발지 노드와 목적지 네트워크 사이의 TCP 세션 생성을 허용할 수 있도록 생성된 노드 IP, 목적지 네트워크 IP 및 포트 정보를 포함하는 데이터 플로우를 수신하고, 네트워크 경계에서 상기 출발지 노드로부터 브로드캐스팅 또는 멀티캐스팅된 데이터 패킷을 모니터링하고, 상기 모니터링을 통해 수신된 데이터 패킷의 출발지 IP에 대응하는 데이터 플로우가 존재하지 않는 경우, IP 차단 데이터 패킷을 상기 출발지 노드로 전송하거나, 또는 상기 모니터링을 통해 수신된 데이터 패킷의 도착지 IP 및 도착지 포트 정보에 대응하는 데이터 플로우가 존재하지 않는 경우, TCP 세션을 강제로 종료시키는 TCP 데이터 패킷을 상기 출발지 노드로 전송할 수 있다.
일 실시예 따르면, 상기 프로세서는, 상기 서버로부터 데이터 플로우 제거 요청을 받는 경우, 데이터 플로우를 제거함으로써 상기 출발지 노드의 접속 제어 애플리케이션으로 하여금 목적지 네트워크로 데이터 패킷을 전송하지 못하게 할 수 있다.
일 실시예 따르면, 상기 프로세서는, 데이터 패킷 차단 로그 동기화를 위해, 데이터 패킷 차단 로그 갱신 이벤트를 감지하는 것에 응답하여, 수집된 데이터 패킷 차단 로그를 일정 주기 단위로 상기 서버에 전송하도록 할 수 있다.
일 실시예 따르면, 상기 데이터 패킷 차단 로그 갱신 이벤트는 IP 차단 또는 TCP 세션 강제 종료를 포함하고, 상기 데이터 패킷 차단 로그는 차단된 노드 IP 주소, 도착지 IP 주소, 및 포트 정보를 포함할 수 있다.
본 문서에 개시된 일 실시예에 따른 서버는, 통신 회로, 데이터 베이스를 저장하는 메모리, 및 상기 통신 회로 및 상기 메모리와 동작 가능하게 연결되는 프로세서를 포함하고, 상기 프로세서는, 출발지 노드의 접속 제어 애플리케이션으로부터 네트워크 접속의 요청을 수신하고, 상기 출발지 노드, 사용자, 상기 출발지 노드의 네트워크 정보를 포함하는 제어 플로우 상에 식별된 정보와 매칭된 접속 정책에서, 애플리케이션, 목적지 네트워크 IP 및 서비스 포트 정보를 포함하는 식별 정보의 포함 여부 및 상기 식별 정보로 매핑된 목적지 네트워크와의 접속 가능 여부를 확인하며, 접속이 가능한 경우, 상기 출발지 노드의 접속을 허용하기 위해 네트워크 노드 정책에서 상기 출발지 노드가 위치한 네트워크 노드를 식별하고, 데이터 플로우 테이블에서 상기 목적지 네트워크 IP와 상기 서비스 포트 정보로 접속 가능한 데이터 플로우 정보가 존재하는지 확인하며, 상기 데이터 플로우 테이블에서 유효한 데이터 플로우 정보가 없는 경우, 상기 애플리케이션이 상기 목적지 네트워크 사이에서 TCP 세션 생성할 수 있도록 상기 출발지 노드의 IP, 상기 목적지 네트워크 IP 및 상기 서비스 포트 정보에 기초하여 데이터 플로우 정보를 생성하고, 생성된 상기 데이터 플로우 정보를 상기 출발지 노드 및 식별된 상기 네트워크 노드에 각각 데이터 플로우 정보를 전송하며, 상기 데이터 플로우 테이블에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 상기 데이터 플로우 정보를 상기 출발지 노드에 전송하도록 할 수 있다.
일 실시예에 따르면, 상기 프로세서는, 상기 출발지 노드의 접속 제어 애플리케이션으로부터 사용자 인증의 요청을 수신하고, 상기 접속 제어 애플리케이션이 인증을 요청한 정보에 기초하여 접속 가능한 사용자인지 여부와 상기 사용자가 블랙리스트에 포함되어 있는지 여부를 검사함으로써 상기 사용자가 차단되어 있는지 여부를 확인하며, 상기 사용자가 접속 가능한 사용자로 확인된 경우, 제어 플로우 식별 정보로 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우에의 식별 정보에 사용자 식별 정보를 추가하고, 사용자 인증 결과로써 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 상기 출발지 노드에 반환하도록 할 수 있다.
일 실시예에 따르면, 상기 프로세서는, 상기 식별된 정보와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하고, 접속 결과로써 접속 완료 상태를 반환하며, 추가적인 상기 출발지 노드의 사용자 인증 요청 또는 지속적인 단말 정보 업데이트 요청이 수신되는 경우, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 생성된 상기 애플리케이션 화이트리스트를 반환하도록 할 수 있다.
일 실시예에 따르면, 상기 프로세서는, 상기 출발지 노드로부터 제어 플로우 갱신 요청을 수신하고, 상기 제어 플로우 갱신 요청에 응답하여, 상기 출발지 노드가 요청한 제어 플로우 식별 정보에 기초하여 상기 제어 플로우 테이블에서 제어 플로우가 존재하는지 여부를 확인하며, 상기 제어 플로우 테이블에서 상기 출발지 노드에 대한 제어 플로우가 존재하지 않는 경우, 상기 출발지 노드의 접속이 유효하지 않다는 접속 불가 정보를 상기 출발지 노드로 반환하고, 상기 제어 플로우 테이블에서 상기 출발지 노드에 대한 제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 상기 제어 플로우에 종속된 데이터 플로우 정보를 탐색하며, 상기 출발지 노드에 대한 데이터 플로우 중 재인증을 수행해야 하거나 접속이 불가능한 데이터 플로우가 존재하는 경우, 데이터 플로우 정보를 상기 출발지 노드로 반환하고, 제어 플로우 갱신 결과가 정상이고, 갱신된 데이터 플로우 정보가 있는 경우, 상기 데이터 플로우 테이블의 정보를 갱신하도록 할 수 있다.
일 실시예에 따르면, 상기 프로세서는, 상기 출발지 노드로부터 제어 플로우 종료 요청을 수신하고, 상기 제어 플로우 종료 요청에 응답하여, 상기 출발지 노드가 요청한 제어 플로우 식별 정보에 기초하여 식별 및 검색된 제어 플로우를 제거하며, 상기 제어 플로우가 제거되는 경우, 상기 네트워크 노드로 데이터 플로우 제거 요청을 전송 제거 요청하도록 하고, 상기 네트워크 노드는 상기 데이터 플로우 제거 요청에 응답하여 데이터 플로우를 제거함으로써 상기 접속 제어 애플리케이션으로 하여금 목적지 네트워크로 데이터 패킷을 전송하지 못하게 할 수 있다.
본 문서에 개시된 일 실시예에 따른 네트워크 노드의 동작 방법은, 서버로부터, 출발지 노드와 목적지 네트워크 사이의 TCP 세션 생성을 허용할 수 있도록 생성된 노드 IP, 목적지 네트워크 IP 및 포트 정보를 포함하는 데이터 플로우를 수신하는 단계, 네트워크 경계에서 상기 출발지 노드로부터 브로드캐스팅 또는 멀티캐스팅된 데이터 패킷을 모니터링하는 단계, 상기 모니터링을 통해 수신된 데이터 패킷의 출발지 IP에 대응하는 데이터 플로우가 존재하지 않는 경우, IP 차단 데이터 패킷을 상기 출발지 노드로 전송하는 단계, 및 상기 모니터링을 통해 수신된 데이터 패킷의 도착지 IP 및 도착지 포트 정보에 대응하는 데이터 플로우가 존재하지 않는 경우, TCP 세션을 강제로 종료시키는 TCP 데이터 패킷을 상기 출발지 노드로 전송하는 단계를 포함할 수 있다.
본 문서에 개시되는 실시예들에 따르면, 접속 애플리케이션은 서비스 서버와의 접속을 위해 컨트롤러에 단말 또는 하나 이상의 식별 정보 및 애플리케이션에 대한 식별 및 인증을 통해서 단말에 할당된 IP 및 컨트롤러가 식별한 단말의 IP를 기반으로 데이터 패킷을 전송 허용하기 위한 데이터 플로우 정보(출발지 IP 및 도착지 IP, 포트 정보)를 수신하며, 해당 데이터 플로우는 네트워크 경계에 존재하는 프로텍터에도 동시에 전파될 수 있다.
본 문서에 개시되는 실시예들에 따르면, 접속 제어 애플리케이션은 접속 애플리케이션의 네트워크 접속을 컨트롤러로부터 수신한 데이터 플로우 정보에 따라 일차적으로 전송을 허용하거나 차단하는 행위를 수행하며, 이를 우회하여 데이터 패킷을 전송하는 경우 네트워크 경계에 존재하는 프로텍터에 컨트롤러로부터 수신된 데이터 플로우가 없는 경우, TCP 세션이 강제 종료되므로, 본 문서에 개시되는 실시예들에 의하면 비인가 대상이 TCP를 사용하여 비인가 서비스 서버에 접속되는 것을 기본적으로 차단할 수 있다.
본 문서에 개시되는 실시예들에 따르면, 인가되지 않은 단말 및 애플리케이션, 안전하지 않은 애플리케이션이 인가되지 않은 네트워크의 접속을 원천 차단하기 때문에 외부로부터 반입된 단말에 포함된, 특히 안티바이러스 또는 백신, 멀웨어 탐지 도구로 발견되지 않은 신종 위험 요소인 랜섬웨어 및 멀웨어가 연결된 네트워크 또는 서비스 서버로 전파 및 공격하는 행위를 차단할 수 있다.
종래의 터널링 또는 보안 세션 기반의 접속성 제어가 아니라, 일반적으로 사용되는 TCP 기반 통신을 사용하여 네트워크 접속 제어를 하기 때문에 자체적인 통신 프로토콜 또는 성능에 민감한 기존 애플리케이션을 별도로 수정하지 않고 인가된 대상과 아닌 대상을 분리하여 접속 통제가 가능하다.
본 문서에 개시되는 실시예들에 따르면, 프로텍터는 단말에 연결된 스위치 또는 같은 네트워크 세그먼트 상에서 발생되는 데이터 패킷을 간접적으로 수집 및 모니터링하여 비인가된 대상의 지속적 접속 시도 또는 인가된 대상의 비인가 네트워크 접속 시도 행위가 반복되는 경우 잠재적 위험 요소로 판단하고 데이터 플로우 정보 해제 및 제어 플로우 정보 해제를 통해 해당 단말 및 애플리케이션 접속을 영구적으로 차단할 수 있다.
또한 프로텍터는 종래의 네트워크 보안 기술과 같이 단말과 서비스 서버 사이의 네트워크에 직접적으로 연결되는 방식이 아니라 IP 네트워크의 특성을 활용하여 간접적으로 네트워크 접속을 통제하므로 네트워크 성능 저하 문제 및 장애에 대한 문제가 개선될 수 있다.
특히, 애플리케이션과 서비스 서버 사이에서 송수신되는 데이터 패킷의 전송 시각을 감시하고 일정 시간 동안 데이터 패킷 송수신이 없을 경우, 애플리케이션과 컨트롤러 사이에 지속적인 접속 갱신 행위가 없을 경우, 애플리케이션이 종료되었거나, 컨트롤러와 연동된 서비스 서버 또는 타 보안 시스템과 연동하여 식별된 정보를 기반으로 네트워크 접속을 차단해야 하는 경우, 컨트롤러는 즉각적으로 제어 플로우 및 데이터 플로우를 해제함으로써 해당 전송 주체가 더 이상 서비스 서버에 접속할 수 없도록 네트워크 수준에서의 차단 방법을 제공하므로 애플리케이션과 서비스 서버 사이의 모호한 네트워크 접속 해제 시점에 대한 정확한 해제 및 라이프 사이클 관리가 가능해질 수 있다.
본 문서에 개시되는 실시예들에 따르면, 애플리케이션이 위변조된 상태에서 애플리케이션 내에 포함된 중요 기능 또는 보안 기능이 순차적으로 실행되지 않거나, 특정 기능을 우회하여 접속하는 경우, 모든 네트워크의 접속을 차단할 수 있는 방법을 제공하며, 네트워크 접속이 원천적으로 차단된 상태에서 위변조된 애플리케이션은 어떠한 공격 행위도 수행할 수 없으므로 중요 보안 기능을 우회하여 서비스 서버에 위험 행위를 가하는 문제를 원천적으로 해결할 수 있는 방법을 제공한다.
또한 네트워크 접속이 더 필요로 하지 않은 경우, 모든 데이터 플로우 정보를 회수함으로써 네트워크에서 완전한 차단 방법을 제공하기 때문에 완전한 격리 방법을 제공한다.
결과적으로 TCP 세션 기반 접속성 제어 기술을 활용하여 애플리케이션의 네트워크 접속 통제 및 위협 차단, 격리에 이르는 보안 네트워크 연결 라이프사이클 구현이 가능하며 기존 IP 통신이 내재하고 있는 문제점이 해소된 안전한 네트워크 연결을 제공할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 터널링 기술의 일례를 나타낸다.
도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 3은 다양한 실시예들에 따라 컨트롤러에 저장된 데이터 베이스를 나타내는 기능적 블록도이다.
도 4는 다양한 실시예들에 따른 노드의 기능적 블록도를 나타낸다.
도 5는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명할 수 있다.
도 6은 다양한 실시예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 7은 다양한 실시예들에 따른 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.
도 8은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 9는 네트워크 접속을 처리하기 위한 신호 흐름도를 나타낸다.
도 10는 다양한 실시예들에 따라 네트워크 접속을 차단하기 위한 신호 흐름도를 나타낸다.
도 11은 다양한 실시예들에 따른 제어 플로우 갱신하기 위한 흐름도를 나타낸다.
도 12는 다양한 실시예들에 따른 네트워크 접속을 해제하기 위한 흐름도를 나타낸다.
도 13은 다양한 실시예들에 따른 단위 네트워크 접속을 해제하기 위한 흐름도를 나타낸다.
도 14는 다양한 실시예들에 따른 데이터 패킷 차단 로그 동기화를 위한 흐름도를 나타낸다.
도 15는 다양한 실시예들에 따른 애플리케이션 실행 종료를 위한 흐름도를 나타낸다.
이하, 본 발명의 다양한 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나", "A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예컨대, 중요성 또는 순서)에서 한정하지 않는다. 어떤(예컨대, 제 1) 구성요소가 다른(예컨대, 제 2) 구성요소에, "기능적으로" 또는 "통신적으로"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예컨대, 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예컨대, 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예컨대, 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.
본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다.
본 문서의 다양한 실시예들은 기기(machine)에 의해 읽을 수 있는 저장 매체(storage medium)(예컨대, 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예컨대, 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예컨대, 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.
본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예컨대, compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예컨대, 스마트폰들) 간에 직접, 온라인으로 배포(예컨대, 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
도 2는 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 2를 참조하면, 단말(201), 스위치(203), 프로텍터(204)의 개수는 도 2에 도시된 개수로 제한되는 것은 아니다. 도 2는 TCP 기반 접속성 제어 기술의 일례이다.
TCP 기반 접속성 제어 기술은 애플리케이션이 서비스 서버(235)에 접속하기 위해 단말(201)에 부여된 IP(사설 IP 또는 공용 IP) 또는 컨트롤러(202)로부터 식별된 IP(공용 IP)를 기반으로 인증된 애플리케이션만 서비스 서버(235)와 TCP 세션 생성 및 유지를 하며 비인가된 단말(201) 또는 인증되지 않은 애플리케이션의 TCP 세션은 프로텍터(204)에 의해 종료되어 지속적으로 통신을 유지할 수 없는 구조를 제공할 수 있다. 프로텍터(204)는 '네트워크 노드'로도 참조될 수 있다.
단말(201)은 네트워크 접속 발생시 컨트롤러(202)로부터 접속 가능 여부를 확인하고, 접속 가능한 경우에만 컨트롤러(202)에 의해 생성된 데이터 플로우 정보를 통해 접속 대상 네트워크의 경계에 존재하는 스위치(203)로 데이터 패킷을 전송할 수 있다. 단말(201)은 인트라넷(200) 내에 위치될 수 있으며, 인트라넷(200)은 단말(201), 스위치(203), 및 프로텍터(204) 등을 포함할 수 있다. 인트라넷(200)에서 단말(201)과 스위치(203) 및 스위치(203)와 프로텍터(204)는 동작 가능하게 연결될 수 있다.
접속 제어 애플리케이션(211)은 서비스 서버(235)와 통신하기 이전에 컨트롤러로(202)부터 접속 가능 여부를 확인하고, 접속 가능한 경우에만 접속 제어 애플리케이션을 통해서 데이터 패킷이 네트워크로 전송되며, 각 네트워크 경계 상에서 IP 기반의 멀티 캐스트 정보를 수신하고 있는 프로텍터(204)는 수신된 TCP 데이터 패킷이 컨트롤러(202)로부터 수신된 데이터 플로우 정보(인가된 출발지 IP, 도착지 IP, 포트)에 포함되어 있지 않은 경우, 해당 TCP 세션을 종료하는 데이터 패킷을 전파함으로써 비인가된 애플리케이션이 서비스 서버(235)와 지속적으로 통신되는 것을 방지한다.
다양한 실시 예들에 따르면, 단말(201)은 단말(201) 내에 저장된 애플리케이션의 네트워크 접속을 관리하기 위한 접속 제어 애플리케이션(211) 및 네트워크 드라이버(미도시)를 포함할 수 있다. 예를 들어, 접속 제어 애플리케이션은 단말(201) 내에서 운영체제를 포함하는 커널(kernel) 및 네트워크 드라이버를 통해 데이터 패킷의 전송을 제어할 수 있다.
컨트롤러(202)는 예를 들어, 서버(또는 클라우드 서버)일 수 있다. 컨트롤러(202)는 단말(201), 프로텍터(204), 및 목적지 네트워크(230) 사이의 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 컨트롤러(202)는 애플리케이션의 네트워크 접속 통제 및 단말(201)과 프로텍터(204)가 속하여 있는 네트워크에서의 TCP 접속 제어를 위한 정책 및 프로텍터(204)로부터 수신된 비인가 접속 현황, 서비스 서버 및 연동 시스템으로부터 수신된 보안 이벤트에 따라 생성된 데이터 플로우 제거 및 해제, 블랙리스트를 통한 단말(201)의 격리 등 상시 안전한 네트워크 상태를 유지하기 위한 방법을 제공한다. 한편, 컨트롤러(202)는 서버 또는 외부 서버를 포함할 수 있다. 컨트롤러(202)는 클라우드 네트워크(220) 내에 위치될 수 있으며, 컨트롤러(202)는 연동된 타 보안 시스템(222)과 동작 가능하게 연결될 수 있다.
프로텍터(204)는 네트워크 경계 단위로 존재할 수 있으며 네트워크 대역에 따라 NAT(Network Address Translation)된 단말(201)의 IP를 컨트롤러(202)를 통해서 식별하여 각 경계 별로 NAT된 단말(201)의 IP(출발지 IP)에 최적화된 데이터 플로우 정보를 수신하고 접속을 제어할 수 있다.
관리자는 컨트롤러(202)에 접속하여 애플리케이션과 서버 사이의 접속을 제어하기 위한 TCP 접속(Connection) 중심의 정책을 설정할 수 있으므로, 단순히 IP 접속 통제를 수행하는 기존의 네트워크 보안 기술보다 더 세밀하고 네트워크 접속 관점에서 더 안전한 제어가 가능하다.
프로텍터(204)는 스위치(203) 또는 단말(201)과 같은 네트워크 세그먼트에서 전송된 데이터 패킷을 수신하는 경우, 데이터 플로우에 존재하는 데이터 패킷이 수신되었는지 여부를 확인할 수 있다.
컨트롤러(202)로부터 수신된 데이터 플로우 정보는 출발지 IP, 도착지 IP, 포트 정보를 포함하여, 데이터 플로우가 존재하지 않는 데이터 패킷의 경우 출발지 IP로 TCP 세션을 종료하기 위한 데이터 패킷(예컨대, RST)를 전송함으로써 비인가된 단말(201) 및 애플리케이션이 비인가된 서버로의 접속 및 접속 유지 행위를 차단할 수 있다.
비인가된 단말(201)은 지속적으로 TCP 세션 생성 및 연결 시도를 수행하지만 상기와 같은 TCP 세션 제어 절차를 통해서 TCP 세션은 강제 종료되므로, 실질적 네트워크 접속 및 통신은 불가능하게 된다.
도 3은 다양한 실시예들에 따라 컨트롤러(예컨대, 도 2의 컨트롤러(202))에 저장된 데이터 베이스를 나타내는 기능적 블록도이다. 도 3은 메모리(330)만을 도시하지만, 컨트롤러(202)는 외부 전자 장치(예컨대, 도 2의 단말(201), 스위치(203) 또는 목적지 네트워크(230))와 통신을 수행하기 위한 통신 회로(예컨대, 도 4의 통신 회로(430)) 및 컨트롤러의 전반적인 동작을 제어하기 위한 프로세서(예컨대, 도 4의 프로세서(410))를 더 포함할 수 있다.
도 3을 참조하면, 컨트롤러는 네트워크 접속 및 데이터 전송의 제어를 위한 데이터 베이스(311 내지 316)를 메모리(330)에 저장할 수 있다.
접속 정책 데이터 베이스(311)는 접속하고자 하는 단말(201) 또는 하나 이상의 식별 정보, 애플리케이션 등이 접속 가능한 서비스 정보를 포함하며, 애플리케이션이 네트워크 접속 요청시 해당 정책을 기반으로 식별된 단말(201) 또는 하나 이상의 식별 대상, 애플리케이션 등이 대상이 서비스에 접속 가능한지 여부를 확인할 수 있다.
프로텍터 정책 데이터 베이스(312)는 접속(Connection) 경로 상에서 서비스 서버(도착지 IP 및 포트)의 네트워크 경계 사이에 존재하는 프로텍터 정보, 출발지 노드(단말(201))가 서비스 서버에 접속하기 위해 프로텍터에서 관리할 네트워크 대역 정보 및 주기적 데이터 플로우 갱신을 위한 만료 시간 정보를 포함할 수 있다.
블랙리스트 정책 데이터 베이스(313)는 단말(201) 또는 프로텍터(204)에서 주기적으로 수집되는 보안 이벤트 중 보안 이벤트의 위험도 및 발생 주기, 행위 분석 등을 통해 식별된 정보(단말(201) 또는 하나 이상의 식별 정보, IP 주소, MAC 주소, 사용자 등)를 기반으로 식별된 대상의 접속을 영구적 또는 일시적 차단하기 위한 블랙리스트 등록 정책을 설정할 수 있다.
블랙리스트 데이터 베이스(314)는 블랙리스트 정책 데이터 베이스(313)에 의해 접속 차단된 단말(201) 또는 하나 이상의 식별 정보, IP, MAC 주소, 사용자 등을 포함하고 있으며 애플리케이션은 컨트롤러(202) 접속 요청 시 해당 목록에 포함되어 있을 경우 접속 요청이 거부되기 때문에 네트워크 접속이 불가능한 완전한 격리 상태가 된다.
제어 플로우 테이블(315)은 애플리케이션과 컨트롤러(202) 사이에 생성된 흐름을 관리하기 위한 일종의 세션 테이블로서, 애플리케이션은 성공적으로 컨트롤러(202)에 접속하였을 경우 제어 플로우 및 제어 플로우 식별을 위한 식별 정보가 생성되며 제어 플로우 내에는 컨트롤러(202) 접속 및 인증 시 각각 식별된 IP 주소, 단말(201) 또는 하나 이상의 식별 정보, 애플리케이션 식별 정보, 서비스 서버(235)와의 연계를 통해 추가적으로 식별된 정보 등의 정보를 포함하게 된다.
애플리케이션의 네트워크 접속 요청 시 전송된 제어 플로우 식별 정보와 해당 식별 정보로 검색된 제어 플로우 내에 포함된 각 식별 정보를 접속 정책과 매핑하여 서비스 서버(235)에 접속이 가능한지 여부 및 서비스 서버(235)와의 TCP 세션 생성을 위한 데이터 플로우 생성 가능 여부를 판단하기 위한 정보로 사용된다.
애플리케이션은 주기적으로 제어 플로우의 만료 시각을 갱신해야 하며 일정 시간 동안 갱신이 이루어지지 않았을 경우 제어 플로우가 제거되며, 접속 애플리케이션, 타 보안 애플리케이션 및 프로텍터(204)로부터 수집된 보안 이벤트의 위험 수준에 따라 즉각적인 접속 차단이 필요로 할 경우 또는 애플리케이션의 접속 종료 요청에 따라 제어 플로우는 제거된다.
제어 플로우가 제거되면 관련 데이터 플로우는 모두 회수되며, 애플리케이션과 서비스 서버(235) 사이에 존재하는 프로텍터(204)를 통해서 모든 접속이 차단된다.
데이터 플로우 테이블(316)은 단말(201) 및 단말(201)과 서비스 서버(235) 사이에 존재하는 프로텍터(204)가 세부적인 데이터 패킷이 전송되는 흐름을 관리하기 위한 테이블로써, 출발지 단말(201)의 애플리케이션 및 서버의 서비스 단위로 생성되는 TCP 세션을 관리하기 위한 데이터 플로우 정보를 포함한다.
데이터 플로우를 식별하기 위한 데이터 플로우 식별 정보, 각 단말(201) 또는 하나 이상의 식별 정보 및 애플리케이션은 하나 이상의 서비스와 TCP 세션을 생성할 수 있고, 전송 주체에 부여된 제어 플로우 식별 정보로 종속된 데이터 플로우를 관리할 수 있으며, 애플리케이션과 서비스 서버(235) 사이에 존재하는 프로텍터(204)가 해당 데이터 패킷의 출발지 IP 및 도착지 IP, 서비스 포트 정보를 기반으로 TCP 세션 종료 데이터 패킷 전송 및 해제 처리 여부를 판단하기 위한 인가된 대상 정보, 해당 데이터 플로우를 주기적으로 인증할 경우 필요로 한 인증 만료 시각 정보를 포함할 수 있다.
또한, 컨트롤러(202)에 포함된 데이터 플로우 테이블(316) 구조는 단말(201)과 프로텍터(204)에 각각 동일하거나 유사하게 적용될 수 있다.
도 4는 다양한 실시예들에 따른 노드(예컨대, 도 2의 단말(201) 및 목적지 네트워크(230))의 기능적 블록도를 나타낸다. 도 4를 참조하면, 노드는 단말(201)일 수 있고, 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시예에 따르면, 노드는 사용자와 인터페이스를 수행하기 위하여 디스플레이(440)를 더 포함할 수 있다.
프로세서(410)는 단말(201)의 전반적인 동작을 제어할 수 있다. 다양한 실시예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다.
프로세서(410)의 전부 또는 일부는 노드 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 동작 가능하게(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 노드의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기초하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에게 제공할 수 있다.
프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다.
메모리(420)는 노드를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션(application) 프로그램, OS(operating system)(예컨대, Microsoft Windows, Google Android, Apple iOS, MacOS 등), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다.
메모리(420)는 휘발성 메모리(volatile memory) 또는 불휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다. 메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multimedia card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다.
일 실시예에 따르면, 메모리(420)는 컨트롤러(202)의 메모리(예컨대, 도 3의 메모리(330))에 포함된 정보 중 일부를 저장할 수 있다.
통신 회로(430)는 단말(201)과 외부 전자 장치(예컨대, 도 2의 컨트롤러(202) 또는 스위치(203)) 사이의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시예에 따르면, 통신 회로(430)는 무선 통신 회로(예컨대, 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예컨대, LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.
디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 시각적으로 출력할 수 있다. 다양한 실시예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.
한편, 일 실시예에 따른 서버(예컨대, 컨트롤러(202))는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 서버에 포함되는 프로세서(410), 메모리(420) 및 통신 회로(430)는 상술한 프로세서(410), 메모리(420) 및 통신 회로(430)와 실질적으로 동일할 수 있다.
도 5는 다양한 실시예들에 따라 네트워크 접속이 차단되는 동작을 설명한다.
일 실시예에 따르면, 접속 애플리케이션은 컨트롤러(202)와 접속된 상태가 아닌 경우, 서비스 서버(235)로 전송되는 데이터 패킷은 TCP 세션 생성이 프로텍터(204)에서 차단되어 컨트롤러(202)로 전송되는 데이터 패킷을 제외한 어떠한 데이터 패킷도 서비스 서버(235)로 전송되지 않는다.
접속 제어 애플리케이션(211)은 컨트롤러(202)와 접속된 상태가 아닌 경우, 서비스 서버(235)로 전송되는 데이터 패킷은 TCP 세션 생성이 프로텍터(204)에서 차단되어 컨트롤러(202)로 전송되는 데이터 패킷을 제외한 어떠한 데이터 패킷도 서비스 서버(235)로 전송되지 않는다.
접속 제어 애플리케이션(211)은 반드시 컨트롤러(202)에 접속하여 단말(201) 또는 하나 이상의 식별 정보 및 애플리케이션에 대한 식별 및 인증을 수행해야 하며, 인증 수행 이후 서비스 서버(235) 접속 시, 접속 네트워크 정보를 컨트롤러(202)에 질의하여 접속 가능 여부를 확인하고, 인가된 애플리케이션의 데이터 패킷만 네트워크로 전송한다.
그에 따라, 비인가 단말(201) 또는 애플리케이션은 기본적으로 서비스 서버(235)에 접속할 수 없는 상태이며, 인가된 단말(201) 또는 애플리케이션이더라도 컨트롤러(202)로부터 해당 애플리케이션의 접속 정보를 포함하는 데이터 플로우 정보가 프로텍터(204)에 전달되지 않은 경우, TCP 세션 생성이 차단 및 종료되기 때문에 서비스 서버(235)에 도달할 수 없는 상태, 즉 격리된 상태가 된다.
도 6 내지 도 7은 다양한 실시예들에 따른 컨트롤러 접속을 위한 동작을 설명한다. 도 6은 컨트롤러 접속을 위한 신호 흐름도를 나타내고, 도 7은 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.
단말(201)이 네트워크를 접속 또는 수신하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 단말(201)의 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우(제어 데이터 패킷 흐름 및 일련의 세션)의 생성을 요청함으로서 단말(201)의 컨트롤러 접속을 시도할 수 있다. 또한, 접속 제어 애플리케이션(211)은 도 2에서의 접속 제어 애플리케이션(211)을 포함할 수 있다.
사용자는 컨트롤러(202) 접속을 위해 접속 제어 애플리케이션(211) 실행시 접속 정보를 기입하고 사용자 접속 버튼(714)을 클릭할 수 있다.
컨트롤러(202)는 접속 제어 애플리케이션(211)이 접속 요청한 정보(해당 단말(201)의 종류, 위치 정보, 환경 및 단말(201)이 포함되어 있는 네트워크 등)가 정책에 의해 접속 가능한 상태인지 여부, 단말(201) 및 네트워크 식별 정보(단말(201) 식별 정보, IP, MAC 주소 등)가 블랙리스트에 포함되어 있는지 여부를 검사하여 단말(201)이 접속 가능한 상태인지를 확인하고, 접속 가능한 상태인 경우 제어 플로우를 생성하고 생성된 제어 플로우 식별 정보를 단말(201)에 전송할 수 있다.
만약 단말(201)이 접속 불가능한 상태인 경우, 접속 제어 애플리케이션(211)은 화면에 접속 불가 메시지 및 사유를 표시할 수 있다(725).
컨트롤러(202)에 정상적으로 접속된 경우, 이후 단말(201)에서 발생되는 모든 네트워크 접속 요청은 컨트롤러(202)를 통해 인가 여부를 확인하게 되며, 현재 단계에서는 사용자 인증이 이루어지지 않은 상태이므로 비식별 사용자(게스트)에 해당하는 접속 정책이 적용된다.
도 6을 참조하면, 동작 605에서, 단말(201)은 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 컨트롤러(202)와 제어 플로우(제어 데이터 패킷 흐름 및 일련의 세션)를 생성하기 위해 컨트롤러(202) 접속 요청할 수 있다(동작 610).
컨트롤러 접속 이벤트의 예시적인 실시예로서, 도 7을 참조하면, 접속 제어 애플리케이션(211)이 실행되면 단말(201)은 컨트롤러 접속을 위하여 필요한 정보를 수신하기 위한 사용자 인터페이스 화면(710)을 표시할 수 있다. 사용자 인터페이스 화면(710)은 컨트롤러(202)의 IP 또는 도메인을 입력하기 위한 입력 창(711), 사용자 식별 정보를 입력하기 위한 입력 창(712), 비밀번호를 입력하기 위한 입력 창(713), 및/또는 접속 위치를 입력하기 위한 입력 창(714)을 포함할 수 있다. 입력 창들(711 내지 714)에 대한 정보가 입력된 후 인증된 사용자의 컨트롤러 접속을 위한 버튼(715)을 수신함으로써 단말(201)은 컨트롤러 접속 이벤트를 감지할 수 있다. 다른 예를 들어, 단말(201)의 사용자 인증이 아직 완료되지 않은 상태라면, 단말(201)은 비인가된 사용자(즉, 게스트)의 컨트롤러 접속을 위한 버튼(716)을 수신함으로써 컨트롤러 접속 이벤트를 감지할 수 있다.
동작 615에서, 컨트롤러(202)는 접속 제어 애플리케이션(211)이 접속 요청한 정보(해당 단말(201)의 종류, 위치 정보, 환경 및 단말(201)이 포함되어 있는 네트워크, 접속 제어 애플리케이션(211) 정보 등)가 정책에 의해 접속 가능한 상태인지 여부, 단말(201) 및 네트워크 식별 정보(단말(201) 식별 정보, IP, MAC 주소 등)가 블랙리스트에 포함되어 있는지 여부를 검사하여 단말(201)이 접속 가능한 상태인지를 확인할 수 있다.
만약 접속이 불가능하거나 블랙리스트에 포함된 경우 접속 불가 정보를 단말(2011)로 전송한다.
동작 620에서, 접속 가능한 단말(201)인 경우, 제어 플로우를 생성하고 난수 형태로 제어 플로우 식별 정보 생성, 단말(201) 및 네트워크 식별 정보(단말(201) 식별 정보, IP, MAC 주소 등)를 기입하여 제어 플로우 테이블에 추가한다.
동작 625에서, 컨트롤러(202)는 식별된 정보(단말(201), 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하며, 접속 결과로써 접속 완료 상태 및 이후 단말(201)의 사용자 인증 요청 및 지속적인 단말(201) 정보 업데이트시, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 상기의 과정을 통해서 생성된 애플리케이션 화이트리스트를 반환한다. 만약 접속이 불가능한 경우, 컨트롤러(202)는 단말(201)에 접속 불가 결과를 전송한다.
동작 630에서, 단말(201)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다. 만약 접속이 불가능한 경우, 접속 제어 애플리케이션(211)의 실행을 중지하고 종료하거나, 관련 오류 메시지를 표시한다.
동작 635에서, 단말(201)은 컨트롤러(202)로부터 애플리케이션 화이트리스트를 수신한 경우, 해당 애플리케이션이 단말(201)에 설치되어 있는지 여부를 확인하고, 존재하는 애플리케이션의 경우, 유효성 검사 정책에 따라 해당 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 수행한 결과를 컨트롤러(202)로 전송한다.
동작 640에서, 접속이 가능한 경우, 해당 네트워크에 연결된 단말(201)의 접속을 허용하기 위해 프로텍터(204) 정책에서 해당 단말(201)이 위치한 프로텍터(204)를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
만약 데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션이 서비스 서버(235) 사이의 TCP 세션 생성을 허용할 수 있도록 출발지 IP, 도착지 IP 및 포트 정보를 기반으로 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 프로텍터(204)에 각각 데이터 플로우 정보를 전송할 수 있다(동작 645).
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 단말(201)에 전송할 수 있다.
동작 650에서, 단말(201)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
도 8은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
컨트롤러(202)는 접속 제어 애플리케이션(211)이 인증 요청한 정보(사용자 식별 정보 및 비밀번호, 강화된 인증 정보 등)를 기반으로 접속 가능한 사용자인지 여부와 블랙리스트에 포함되어 있는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인하고 접속 가능한 상태인 경우 인증 절차를 완료하고 제어 플로우에 사용자 식별 정보를 추가한다.
만약 사용자 인증이 실패한 경우, 접속 제어 애플리케이션(211)은 화면에 접속 불가 메시지 및 사유를 표시한다.
사용자가 정상적으로 인증된 경우, 인증된 사용자에 해당하는 접속 정책이 적용되어 네트워크 접속 인가 여부를 확인하게 된다.
도 8을 참조하면, 동작 805에서, 접속 제어 애플리케이션(211)은 네트워크의 상세한 접속 권한을 부여받기 위해 사용자 인증을 수행할 수 있으며, 사용자 식별 정보 및 비밀번호 또는 강화된 인증 방법에 의한 인증 정보를 컨트롤러(202)로 전송할 수 있다(동작 810).
동작 815에서, 컨트롤러(202)는 접속 제어 애플리케이션(211)이 인증 요청한 정보(사용자 식별 정보 및 비밀번호, 강화된 인증 정보 등)를 기반으로 접속 가능한 사용자인지 여부와 블랙리스트에 포함되어 있는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인할 수 있다.
인증이 불가능한 경우, 컨트롤러(202)는 단말(201)에 접속이 불가능하거나 블랙리스트에 포함된 경우 접속 불가 정보를 전송한다.
동작 820에서, 접속 가능한 사용자인 경우, 전송한 제어 플로우 식별 정보로 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우에의 식별 정보에 사용자 식별 정보(사용자 식별 정보)를 추가할 수 있다. 컨트롤러(202)는 사용자 인증 결과로써 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 반환할 수 있다.
동작 825에서, 컨트롤러(202)는 식별된 정보(단말(201), 출발지 네트워크 정보, 사용자 식별 정보 등)와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하며, 접속 결과로써 접속 완료 상태 및 이후 단말(201)의 사용자 인증 요청 및 지속적인 단말(201) 정보 업데이트시, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 상기의 과정을 통해서 생성된 애플리케이션 화이트리스트를 반환한다.
만약 접속이 불가능한 경우, 컨트롤러(202)는 단말(201)에 접속 불가 결과를 전송한다.
동작 830에서, 단말(201)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다. 만약 접속이 불가능한 경우, 접속 제어 애플리케이션(211)의 실행을 중지하고 종료하거나, 관련 오류 메시지를 사용자 인터페이스를 통해 표시할 수 있다.
동작 835에서, 단말(201)은 컨트롤러(202)로부터 애플리케이션 화이트리스트를 수신한 경우, 해당 애플리케이션이 단말(201)에 설치되어 있는지 여부를 확인하고, 존재하는 애플리케이션의 경우, 유효성 검사 정책에 따라 해당 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 수행한 결과를 컨트롤러(202)로 전송할 수 있다.
동작 840에서, 접속이 가능한 경우, 해당 네트워크에 연결된 단말(201)의 접속을 허용하기 위해 프로텍터(204) 정책에서 해당 단말(201)이 위치한 프로텍터(204)를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
만약 데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션이 서비스 서버(235) 사이의 TCP 세션 생성을 허용할 수 있도록 출발지 IP, 도착지 IP 및 포트 정보를 기반으로 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 프로텍터(204)에 각각 데이터 플로우 정보를 전송한다(동작 845).
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 단말(201)에 전송할 수 있다.
동작 850에서, 단말(201)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다.
도 9는 네트워크 접속을 처리하기 위한 신호 흐름도를 나타낸다.
접속 제어 애플리케이션(211)은 네트워크 접속 요청이 들어오는 경우, 접속 요청한 애플리케이션과 도착지 IP, 서비스 포트 정보를 식별하고 데이터 플로우 테이블(316)에서 해당 식별 정보로 사용할 수 있는 유효한 데이터 플로우 정보가 있는지 확인한다.
데이터 플로우 테이블(316)은 접속 및 관리 단위 별로 데이터 패킷을 전송할 수 있는지 여부를 판단하기 위한 정보를 제공할 수 있다.
사용할 수 있는 데이터 플로우 정보가 있다면 데이터 패킷을 전송할 수 있다.
데이터 플로우 정보가 존재하지 않는 경우, 유효성 검사 정책에 따라 유효성 검사 절차를 수행한다. 유효성 검사는 접속 요청한 애플리케이션의 무결성 및 안전성 여부(애플리케이션 위변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사 및 컨트롤러(202)로부터 수신된 접속 정책에 따라 접속 제어 애플리케이션(211), 접속 대상 IP 및 포트가 접속 가능한 상태인지를 사전에 확인하는 절차를 수행할 수 있다.
만약 유효성 검사에 실패한 경우, 데이터 패킷을 드롭(DROP)하고 접속 제어 애플리케이션(211)에 접속 불가 메시지 및 사유를 표시할 수 있다.
유효성 검사에 성공한 경우, 단말(201)은 컨트롤러(202)에 접속 요청을 수행하며 요청 시 각 식별 정보(접속 제어 애플리케이션(211), 접속 대상 IP, 서비스 포트 정보 등)를 전송할 수 있다.
컨트롤러(202)는 제어 플로우 상에 식별된 정보(단말(201), 사용자, 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 요청한 식별 정보(접속 제어 애플리케이션(211) 및 접속 대상 IP 및 서비스 포트 정보 등)의 포함 여부 및 접속 가능 여부를 확인할 수 있다.
만약 접속이 불가능한 경우, 컨트롤러(202)는 단말(201)에 접속 불가 결과를 전송하고, 접속 제어 애플리케이션(211)은 해당 데이터 패킷을 드롭(DROP)하고 접속 불가 메시지 및 사유를 표시할 수 있다.
접속이 가능한 경우, 서비스 서버(235) 사이에 존재하는 프로텍터(204)에 해당 데이터 패킷 차단을 해제하기 위한 정보를 포함하는 데이터 플로우 정보를 전송한다.
접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 확인한다.
데이터 플로우 정보를 수신한 접속 제어 애플리케이션(211)은 서비스 서버(235)로 데이터 패킷을 전송하며, 애플리케이션과 서비스 서버(235) 사이에 존재하는 프로텍터(204)는 수신된 데이터 패킷이 해당 인증 데이터 패킷 및 출발지 IP, 도착지 IP, 포트 기반으로 유효한 데이터 플로우가 존재하는지 여부를 확인하여 유효하지 않은 경우, TCP 세션 종료 데이터 패킷(예컨대, RST)을 단말(201)로 전송한다.
이와 같은 절차를 통해 애플리케이션은 기본적으로 서비스 서버(235)와 차단된 상태이며, 컨트롤러(202)의 인가 과정 및 프로텍터(204)의 TCP 세션 모니터링 과정을 통해 허용된 데이터 플로우 테이블(316)에 포함된 데이터 패킷만 전송할 수 있는 환경이 제공된다.
도 9를 참조하면, 동작 905에서, 접속 제어 애플리케이션(211)은 네트워크 접속 이벤트를 감지할 수 있다. 예를 들어, 접속 제어 애플리케이션(211)은 웹 브라우저와 같은 타겟 애플리케이션이 인터넷과 같은 목적지 네트워크(230)를 포함하는 목적지 네트워크로의 접속을 시도함을 감지할 수 있다. 예를 들어, 사용자는 웹 브라우저를 실행하고 접속하고자 하는 웹 주소를 입력 및 호출할 수 있다.
동작 910에서, 접속 제어 애플리케이션(211)은 서비스 서버(235)와 통신을 수행해야 하는 경우, 해당 서비스 서버(235)와 통신하기 위해 애플리케이션 식별 정보, 도착지 IP와 포트 정보를 기반으로 데이터 플로우 정보가 존재하는지 확인할 수 있다. 만약 데이터 플로우가 존재하지만 유효하지 않은 경우(예컨대, 데이터 패킷 전송 불가 상태) 데이터 패킷은 드롭(DROP)될 수 있다. 만약 데이터 플로우가 존재하는 경우 데이터 패킷을 전송할 수 있다.
동작 915에서, 만약 데이터 패킷이 존재하지 않거나, 인증 시각이 만료되어 갱신이 필요로 한 경우 및 그 외의 사항에 의하여 데이터 플로우를 갱신해야 하는 경우, 유효성 검사 정책에 따라 유효성 검사 절차를 수행할 수 있다. 유효성 검사는 접속 제어 애플리케이션(211) 의 무결성 및 안전성 여부(애플리케이션 위변조 여부, 코드 사이닝 검사, 핑거프린트 검사 등) 검사를 포함할 수 있다.
동작 920에서, 접속 제어 애플리케이션(211) 애플리케이션은 네트워크 접속 이벤트 이전에 컨트롤러(202)와 생성된 제어 플로우를 식별하기 위한 제어 플로우 식별 정보와 애플리케이션 식별 정보, 접속하고자 하는 서버의 도착지IP 및 포트 정보를 기반으로 컨트롤러(202)에 네트워크 접속 요청을 수행할 수 있다.
동작 925에서, 컨트롤러(202)는 제어 플로우 상에 식별된 정보(단말(201), 사용자, 출발지 네트워크 정보 등)와 매칭된 접속 정책에서, 접속 요청한 식별 정보(애플리케이션, 도착지 IP 및 서비스 포트 정보 등)의 포함 여부 및 해당 식별 정보로 매핑된 도착지 서버와의 접속 가능 여부를 확인할 수 있다. 만약 접속이 불가능한 경우, 컨트롤러(202)는 단말(201)에 접속 불가 결과를 전송할 수 있다.
동작 930에서, 접속이 가능한 경우, 해당 네트워크에 연결된 단말(201)의 접속을 허용하기 위해 프로텍터(204) 정책에서 해당 단말(201)이 위치한 프로텍터(204)를 확인하고, 데이터 플로우 테이블(316)에서 해당 도착지 IP와 포트로 접속 가능한 데이터 플로우 정보가 존재하는지 확인할 수 있다.
만약 데이터 플로우 테이블(316)에서 유효한 데이터 플로우 정보가 없는 경우, 해당 애플리케이션이 서비스 서버(235) 사이의 TCP 세션 생성을 허용할 수 있도록 출발지 IP, 도착지 IP 및 포트 정보를 기반으로 데이터 플로우 정보를 생성하고, 해당 정보를 식별된 프로텍터(204)에 각각 데이터 플로우 정보를 전송할 수 있다(동작 935).
만약 데이터 플로우 테이블(316)에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 해당 정보를 단말(201)에 전송할 수 있다.
동작 940에서, 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 접속 요청 결과값을 처리할 수 있다. 만약 네트워크 접속에 실패한 경우, 데이터 패킷은 드롭(DROP) 될 수 있다. 만약 기존에 존재하는 데이터 플로우를 기반으로 접속이 가능한 경우, 데이터 패킷을 전송할 수 있다.
도 10는 다양한 실시예들에 따라 네트워크 접속을 차단하기 위한 신호 흐름도를 나타낸다.
동작 1005에서, 프로텍터(204)는 스위치(203)를 통해서 단말(201)과 같은 세그먼트에 존재하는 멀티캐스팅된 데이터 패킷을 수신할 수 있다.
동작 1005에서, 프로텍터(204)는 데이터 패킷을 수신하는 경우, IP(Internet Protocol)의 5 Tuples 정보에 포함된 출발지 IP, 도착지 IP, 도착지 포트 정보를 기반으로 데이터 플로우 테이블(316)에서 수신된 출발지 IP에 해당하는 데이터 플로우가 존재하는지 확인할 수 있다.
동작 1010에서, 만약 데이터 플로우 테이블(316)에 출발지 IP에 해당하는 데이터 플로우가 존재하지 않는 경우, 프로텍터(204)는 IP 차단 데이터 패킷(ARP Spoofing)을 전송하고 데이터 패킷 전송 차단 로그를 기록할 수 있다(동작 1015).
데이터 플로우 테이블(316)에 출발지 IP가 존재하는 경우, 도착지 IP 및 도착지 포트에 해당하는 데이터 플로우 정보가 존재하는지 확인할 수 있다.
동작 1020에서, 만약 데이터 플로우가 존재하지 않는 경우 TCP 세션을 강제로 종료시키는 TCP 데이터 패킷(예컨대, RST 패킷)을 전송하고 데이터 패킷 전송 차단 로그를 기록할 수 있다.
도 11은 다양한 실시예들에 따른 제어 플로우 갱신하기 위한 흐름도를 나타낸다.
동작 1105에서, 애플리케이션은 제어 플로우 및 현재 접속된 데이터 플로우 정보를 유지하고, 갱신된 데이터 플로우를 컨트롤러(202)로부터 수신하기 위해 주기적으로 부여받은 제어 플로우 식별 정보를 기반으로 제어 플로우를 갱신 요청할 수 있다.
동작 1110에서, 컨트롤러(202)는 단말(201)이 요청한 제어 플로우 식별 정보를 기반으로 제어 플로우 테이블에서 제어 플로우가 존재하는지 여부를 확인할 수 있다.
만약 제어 플로우가 존재하지 않는 경우(예컨대, 타 보안 시스템에 의해서 접속 해제, 갱신 시각 초과, 자체적인 위험 탐지 등에 의한 접속 해제 등), 해당 단말(201)의 접속이 유효하지 않으므로, 접속 불가 정보를 반환할 수 있다.
만약 제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 해당 제어 플로우에 종속된 데이터 플로우 정보를 탐색할 수 있다.
만약 데이터 플로우 중 재인증을 수행해야 하거나, 더 이상 접속이 불가능한 데이터 플로우가 존재하는 경우, 해당 데이터 플로우 정보를 반환할 수 있다.
동작 1115에서, 만약 제어 플로우 갱신 결과가 접속 불가인 경우, 애플리케이션을 종료하거나, 애플리케이션의 모든 네트워크 접속을 차단할 수 있다.
만약 제어 플로우 갱신 결과가 정상이고, 갱신된 데이터 플로우 정보가 있는 경우, 애플리케이션 내의 데이터 플로우 테이블(316) 정보를 갱신할 수 있다.
도 12는 다양한 실시예들에 따른 네트워크 접속을 해제하기 위한 흐름도를 나타낸다.
동작 1205에서, 애플리케이션이 종료되거나 더 이상 네트워크 접속을 사용하지 않는 경우, 연동 시스템으로부터 식별된 정보를 기반으로 접속 종료 요청이 발생하는 경우, 컨트롤러(202)에 제어 플로우 종료 요청을 수행할 수 있다.
동작 1210에서, 컨트롤러(202)는 단말(201)이 요청한 제어 플로우 식별 정보를 기반으로 식별 및 검색된 제어 플로우를 제거할 수 있다.
동작 1215에서, 제어 플로우가 제거되면 종속되어 있는 모든 데이터 플로우를 중계하는 프로텍터(204)에 해당 데이터 플로우를 제거 요청할 수 있다.
동작 1220에서, 프로텍터(204)에서 데이터 플로우를 제거하므로, 해당 애플리케이션이 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태가 될 수 있다.
도 13은 다양한 실시예들에 따른 단위 네트워크 접속을 해제하기 위한 흐름도를 나타낸다.
동작 1305에서, 애플리케이션은 특정 서비스 서버(235)에 대해서 더 이상 접속할 필요가 없는 경우, 연동 시스템으로부터 식별된 정보를 기반으로 접속 종료 요청이 발생하는 경우, 컨트롤러(202)에 데이터 플로우 종료 요청을 수행할 수 있다.
동작 1310에서, 컨트롤러(202)는 단말(201)이 요청한 제어 플로우 식별 정보 및 데이터 플로우 식별 정보를 기반으로 식별 및 검색된 제어 플로우에 종속된 데이터 플로우를 제거할 수 있다.
동작 1315에서, 해당 데이터 플로우를 중계하는 프로텍터(204)에 해당 데이터 플로우를 제거 요청함으로써 해당 애플리케이션이 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없는 상태가 될 수 있다.
도 14는 다양한 실시예들에 따른 데이터 패킷 차단 로그 동기화를 위한 흐름도를 나타낸다.
동작 1405에서, 프로텍터(204)는 IP 차단 또는 TCP 세션 강제 종료 절차에 따라 수집된 데이터 패킷 차단 로그를 일정 주기 단위로 컨트롤러(202)에 전송할 수 있다.
동작 1410에서, 컨트롤러(202)는 프로텍터(204)로부터 수신된 데이터 패킷 차단 로그에 포함된 차단된 출발지 IP 주소 및 도착지 IP 주소, 포트 정보에 기초하여 블랙리스트 정책 데이터 베이스(313)에 저장되는 블랙리스트 정책에 의해 주기적으로 비허용된 접속 수행 발생시, 동작 1415에서, 해당 출발지 IP 주소가 일시적 또는 영구적으로 접속할 수 없도록 블랙리스트에 추가하거나 기존 블랙리스트(블랙리스트 데이터 베이스(314))에 포함되어 있을 경우 해당 정보를 업데이트할 수 있다.
도 15는 다양한 실시예들에 따른 애플리케이션 실행 종료를 위한 흐름도를 나타낸다.
동작 1505에서, 접속 제어 애플리케이션은 단말에서 실행중인 애플리케이션의 종료 여부를 실시간으로 확인하고 애플리케이션이 종료된 경우 데이터 플로우 테이블(316)을 검사하는 절차를 수행할 수 있다.
동작 1510에서, 종료된 애플리케이션의 식별 정보 및 PID(Process ID 및 Child Process ID Tree) 정보가 데이터 플로우 테이블에 존재하는지 여부를 확인한다.
동작 1515에서, 만약 데이터 플로우 테이블에 종료된 애플리케이션의 식별 정보와 PID에 해당하는 데이터 플로우가 존재하는 경우 데이터 플로우 삭제를 요청할 수 있다.
다중으로 실행 가능한 애플리케이션의 종료를 추적하기 위해 종료된 애플리케이션이 실행중인 프로세스 목록에서 존재하지 않는 경우, 종료된 애플리케이션의 식별 정보에 해당하는 데이터 플로우를 모두 삭제 요청할 수 있다.
접속 제어 애플리케이션(211)은 삭제된 데이터 플로우 목록을 컨트롤러(202)에 전송하여 데이터 플로우의 삭제를 요청할 수 있다.
동작 1520에서, 컨트롤러(202)는 단말에서 수신된 삭제된 데이터 플로우 목록을 기반으로 데이터 플로우 테이블(316)에서 해당 데이터 플로우를 삭제하고, 삭제된 데이터 플로우 목록을 프로텍터로 전송할 수 있다.
동작 1525에서, 프로텍터(204)는 삭제된 데이터 플로우 목록에 포함된 출발지 IP 주소 및 도착지 IP 주소, 도착지 포트 정보에 해당하는 데이터 패킷이 더 이상 포워딩되지 않도록 처리할 수 있다.
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (10)

  1. 네트워크 노드에 있어서,
    통신 회로;
    메모리; 및
    상기 통신 회로 및 상기 메모리와 동작 가능하게 연결되는 프로세서를 포함하고, 상기 프로세서는,
    서버로부터, 출발지 노드와 목적지 네트워크 사이의 TCP 세션 생성을 허용할 수 있도록 생성된 노드 IP, 목적지 네트워크 IP 및 포트 정보를 포함하는 데이터 플로우를 수신하고,
    상기 출발지 노드가 속한 네트워크의 스위치를 통해서 상기 출발지 노드로부터 브로드캐스팅 또는 멀티캐스팅된 데이터 패킷을 모니터링하고,
    상기 모니터링을 통해 수신된 데이터 패킷의 출발지 IP에 대응하는 데이터 플로우가 존재하지 않는 경우, IP 차단 데이터 패킷을 상기 출발지 노드로 전송하거나, 또는
    상기 모니터링을 통해 수신된 데이터 패킷의 도착지 IP 및 도착지 포트 정보에 대응하는 데이터 플로우가 존재하지 않는 경우, TCP 세션을 강제로 종료시키는 TCP 데이터 패킷을 상기 출발지 노드로 전송하고,
    상기 스위치에 연결되는, 네트워크 노드.
  2. 제 1 항에 있어서, 상기 프로세서는,
    상기 서버로부터 데이터 플로우 제거 요청을 받는 경우, 데이터 플로우를 제거함으로써 상기 출발지 노드의 접속 제어 애플리케이션으로 하여금 목적지 네트워크로 데이터 패킷을 전송하지 못하게 하는, 네트워크 노드.
  3. 제 1 항에 있어서, 상기 프로세서는,
    데이터 패킷 차단 로그 동기화를 위해, 데이터 패킷 차단 로그 갱신 이벤트를 감지하는 것에 응답하여, 수집된 데이터 패킷 차단 로그를 일정 주기 단위로 상기 서버에 전송하도록 하는, 네트워크 노드.
  4. 제 3 항에 있어서,
    상기 데이터 패킷 차단 로그 갱신 이벤트는 IP 차단 또는 TCP 세션 강제 종료를 포함하고,
    상기 데이터 패킷 차단 로그는 차단된 노드 IP 주소, 도착지 IP 주소, 및 포트 정보를 포함하는, 네트워크 노드.
  5. 서버에 있어서,
    통신 회로;
    데이터 베이스를 저장하는 메모리; 및
    상기 통신 회로 및 상기 메모리와 동작 가능하게 연결되는 프로세서를 포함하고, 상기 프로세서는,
    출발지 노드의 접속 제어 애플리케이션으로부터 네트워크 접속의 요청을 수신하고,
    상기 출발지 노드, 사용자, 상기 출발지 노드의 네트워크 정보를 포함하는 제어 플로우 상에 식별된 정보와 매칭된 접속 정책에서, 애플리케이션, 목적지 네트워크 IP 및 서비스 포트 정보를 포함하는 식별 정보의 포함 여부 및 상기 식별 정보로 매핑된 목적지 네트워크와의 접속 가능 여부를 확인하며,
    접속이 가능한 경우, 상기 출발지 노드의 접속을 허용하기 위해 네트워크 노드 정책에서 상기 출발지 노드가 위치한 네트워크 노드를 식별하고,
    데이터 플로우 테이블에서 상기 목적지 네트워크 IP와 상기 서비스 포트 정보로 접속 가능한 데이터 플로우 정보가 존재하는지 확인하며,
    상기 데이터 플로우 테이블에서 유효한 데이터 플로우 정보가 없는 경우, 상기 애플리케이션이 상기 목적지 네트워크 사이에서 TCP 세션 생성할 수 있도록 상기 출발지 노드의 IP, 상기 목적지 네트워크 IP 및 상기 서비스 포트 정보에 기초하여 데이터 플로우 정보를 생성하고, 생성된 상기 데이터 플로우 정보를 상기 출발지 노드 및 식별된 상기 네트워크 노드에 각각 데이터 플로우 정보를 전송하며,
    상기 데이터 플로우 테이블에서 접속 가능한 데이터 플로우 정보가 존재하는 경우, 상기 데이터 플로우 정보를 상기 출발지 노드에 전송하고,
    상기 네트워크 노드로부터 데이터 패킷 차단 로그를 수신하고,
    상기 데이터 패킷 차단 로그 및 상기 데이터 베이스에 포함된 블랙리스트 정책에 기반하여 블랙리스트를 갱신하도록 하는, 서버.
  6. 제 5 항에 있어서, 상기 프로세서는,
    상기 출발지 노드의 접속 제어 애플리케이션으로부터 사용자 인증의 요청을 수신하고,
    상기 접속 제어 애플리케이션이 인증을 요청한 정보에 기초하여 접속 가능한 사용자인지 여부와 상기 사용자가 블랙리스트에 포함되어 있는지 여부를 검사함으로써 상기 사용자가 차단되어 있는지 여부를 확인하며,
    상기 사용자가 접속 가능한 사용자로 확인된 경우, 제어 플로우 식별 정보로 제어 플로우 테이블에서 제어 플로우를 검색하고, 검색된 제어 플로우에의 식별 정보에 사용자 식별 정보를 추가하고,
    사용자 인증 결과로써 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 상기 출발지 노드에 반환하도록 하는, 서버.
  7. 제 6 항에 있어서, 상기 프로세서는,
    상기 식별된 정보와 매칭된 접속 정책에서, 접속 가능한 애플리케이션 화이트리스트 정보를 생성하고,
    접속 결과로써 접속 완료 상태를 반환하며,
    추가적인 상기 출발지 노드의 사용자 인증 요청 또는 지속적인 단말 정보 업데이트 요청이 수신되는 경우, 제어 플로우를 식별하기 위한 제어 플로우 식별 정보 및 생성된 상기 애플리케이션 화이트리스트를 반환하도록 하는, 서버.
  8. 제 6 항에 있어서, 상기 프로세서는,
    상기 출발지 노드로부터 제어 플로우 갱신 요청을 수신하고,
    상기 제어 플로우 갱신 요청에 응답하여, 상기 출발지 노드가 요청한 제어 플로우 식별 정보에 기초하여 상기 제어 플로우 테이블에서 제어 플로우가 존재하는지 여부를 확인하며,
    상기 제어 플로우 테이블에서 상기 출발지 노드에 대한 제어 플로우가 존재하지 않는 경우, 상기 출발지 노드의 접속이 유효하지 않다는 접속 불가 정보를 상기 출발지 노드로 반환하고,
    상기 제어 플로우 테이블에서 상기 출발지 노드에 대한 제어 플로우가 존재하는 경우 갱신 시각을 업데이트하고, 상기 제어 플로우에 종속된 데이터 플로우 정보를 탐색하며,
    상기 출발지 노드에 대한 데이터 플로우 중 재인증을 수행해야 하거나 접속이 불가능한 데이터 플로우가 존재하는 경우, 데이터 플로우 정보를 상기 출발지 노드로 반환하고,
    제어 플로우 갱신 결과가 정상이고, 갱신된 데이터 플로우 정보가 있는 경우, 상기 데이터 플로우 테이블의 정보를 갱신하도록 하는, 서버.
  9. 제 8 항에 있어서, 상기 프로세서는,
    상기 출발지 노드로부터 제어 플로우 종료 요청을 수신하고,
    상기 제어 플로우 종료 요청에 응답하여, 상기 출발지 노드가 요청한 제어 플로우 식별 정보에 기초하여 식별 및 검색된 제어 플로우를 제거하며,
    상기 제어 플로우가 제거되는 경우, 상기 네트워크 노드로 데이터 플로우 제거 요청을 전송 제거 요청하도록 하고,
    상기 네트워크 노드는 상기 데이터 플로우 제거 요청에 응답하여 데이터 플로우를 제거함으로써 상기 접속 제어 애플리케이션으로 하여금 목적지 네트워크로 데이터 패킷을 전송하지 못하게 하는, 서버.
  10. 네트워크 노드의 동작 방법에 있어서,
    서버로부터, 출발지 노드와 목적지 네트워크 사이의 TCP 세션 생성을 허용할 수 있도록 생성된 노드 IP, 목적지 네트워크 IP 및 포트 정보를 포함하는 데이터 플로우를 수신하는 단계;
    상기 출발지 노드가 속한 네트워크의 스위치를 통해서 상기 출발지 노드로부터 브로드캐스팅 또는 멀티캐스팅된 데이터 패킷을 모니터링하는 단계;
    상기 모니터링을 통해 수신된 데이터 패킷의 출발지 IP에 대응하는 데이터 플로우가 존재하지 않는 경우, IP 차단 데이터 패킷을 상기 출발지 노드로 전송하는 단계; 및
    상기 모니터링을 통해 수신된 데이터 패킷의 도착지 IP 및 도착지 포트 정보에 대응하는 데이터 플로우가 존재하지 않는 경우, TCP 세션을 강제로 종료시키는 TCP 데이터 패킷을 상기 출발지 노드로 전송하는 단계;를 포함하고,
    상기 네트워크 노드는 상기 스위치에 연결되는, 네트워크 노드의 동작 방법.
KR1020210117398A 2021-09-03 2021-09-03 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 KR102379721B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210117398A KR102379721B1 (ko) 2021-09-03 2021-09-03 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
PCT/KR2022/013193 WO2023033586A1 (ko) 2021-09-03 2022-09-02 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210117398A KR102379721B1 (ko) 2021-09-03 2021-09-03 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Publications (1)

Publication Number Publication Date
KR102379721B1 true KR102379721B1 (ko) 2022-03-29

Family

ID=80997418

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210117398A KR102379721B1 (ko) 2021-09-03 2021-09-03 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Country Status (2)

Country Link
KR (1) KR102379721B1 (ko)
WO (1) WO2023033586A1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102495373B1 (ko) * 2022-05-19 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495371B1 (ko) * 2022-05-13 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102495372B1 (ko) * 2022-05-13 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
WO2023033586A1 (ko) * 2021-09-03 2023-03-09 프라이빗테크놀로지 주식회사 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102517981B1 (ko) * 2022-05-13 2023-04-05 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102517982B1 (ko) * 2022-05-19 2023-04-05 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102564417B1 (ko) * 2022-12-21 2023-08-08 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102620214B1 (ko) * 2022-12-21 2024-01-03 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886449B (zh) * 2023-09-07 2023-12-05 杭州优云科技有限公司 一种智能识别并拦截域名的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090099165A (ko) * 2008-03-17 2009-09-22 삼성전자주식회사 네트워크 접속 제어 시스템 및 방법
KR101692672B1 (ko) * 2016-05-02 2017-01-03 김광태 전송장치 이원화에 의한 tcp/ip 망단절형 단방향 접속 시스템 및 그 방법
KR20210045917A (ko) * 2019-09-24 2021-04-27 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101490227B1 (ko) * 2013-02-14 2015-02-05 주식회사 시큐아이 트래픽 제어 방법 및 장치
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
KR102379721B1 (ko) * 2021-09-03 2022-03-29 프라이빗테크놀로지 주식회사 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090099165A (ko) * 2008-03-17 2009-09-22 삼성전자주식회사 네트워크 접속 제어 시스템 및 방법
KR101692672B1 (ko) * 2016-05-02 2017-01-03 김광태 전송장치 이원화에 의한 tcp/ip 망단절형 단방향 접속 시스템 및 그 방법
KR20210045917A (ko) * 2019-09-24 2021-04-27 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023033586A1 (ko) * 2021-09-03 2023-03-09 프라이빗테크놀로지 주식회사 Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495371B1 (ko) * 2022-05-13 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102495372B1 (ko) * 2022-05-13 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
KR102517981B1 (ko) * 2022-05-13 2023-04-05 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495373B1 (ko) * 2022-05-19 2023-02-06 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102517982B1 (ko) * 2022-05-19 2023-04-05 프라이빗테크놀로지 주식회사 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102564417B1 (ko) * 2022-12-21 2023-08-08 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102620214B1 (ko) * 2022-12-21 2024-01-03 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
WO2023033586A1 (ko) 2023-03-09

Similar Documents

Publication Publication Date Title
JP7148187B2 (ja) トンネルに基盤して端末のネットワーク接続を制御するためのシステム及びそれに関する方法
KR102379721B1 (ko) Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309116B1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309115B1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102364445B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102396528B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102349038B1 (ko) 분산 게이트웨이 환경에 최적화된 터널링 및 게이트웨이 접속 시스템 및 그에 관한 방법
US11082256B2 (en) System for controlling network access of terminal based on tunnel and method thereof
KR102460691B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102377247B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460696B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11271777B2 (en) System for controlling network access of terminal based on tunnel and method thereof
KR102514618B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333555B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102446934B1 (ko) 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102502367B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102495369B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102460695B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333553B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333554B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
EP4037277A1 (en) System for authenticating and controlling network access of terminal, and method therefor
US20220247720A1 (en) System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor
KR102460692B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102472554B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant