KR102444356B1 - 보안 강화 인트라넷 접속 방법 및 시스템 - Google Patents

보안 강화 인트라넷 접속 방법 및 시스템 Download PDF

Info

Publication number
KR102444356B1
KR102444356B1 KR1020210160592A KR20210160592A KR102444356B1 KR 102444356 B1 KR102444356 B1 KR 102444356B1 KR 1020210160592 A KR1020210160592 A KR 1020210160592A KR 20210160592 A KR20210160592 A KR 20210160592A KR 102444356 B1 KR102444356 B1 KR 102444356B1
Authority
KR
South Korea
Prior art keywords
user device
vpn
security
server
client
Prior art date
Application number
KR1020210160592A
Other languages
English (en)
Inventor
송창민
이지찬
Original Assignee
주식회사 제론소프트엔
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제론소프트엔 filed Critical 주식회사 제론소프트엔
Priority to KR1020210160592A priority Critical patent/KR102444356B1/ko
Application granted granted Critical
Publication of KR102444356B1 publication Critical patent/KR102444356B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Computer And Data Communications (AREA)
  • Housing For Livestock And Birds (AREA)

Abstract

통신 방법이 제공된다. 상기 방법은 인트라넷에 연결된 VPN (Virtual Private Network) 서버에 사용자 디바이스에 대한 사전-인증을 요청하는 단계; 상기 사전-인증이 완료되면, 상기 VPN 클라이언트에 설치된 보안 TCP/IP 스택을 통해 상기 VPN 서버와 상기 VPN 클라이언트 사이에 터널을 형성하는 단계; 및 상기 프록시 서버와 상기 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계를 포함하고, 상기 보안 강화 어플리케이션은 상기 보안 TCP/IP 스택을 통해서만 상기 VPN 서버와 통신하도록 구성된다.

Description

보안 강화 인트라넷 접속 방법 및 시스템 {SECURITY-ENHANCED INTRANET CONNECTING METHOD AND SYSTEM}
본 발명은 보안 강화 인트라넷 접속 방법 및 시스템에 관한 것이다.
VPN을 이용하여 인트라넷에 접속하는 다양한 방식이 존재한다. VPN (Virtual Private Network) 은 공중망 (public network) 을 통해 사설망 (private network) 과 통신을 가능하게 해 준다.
기술의 발전과 사회의 필요에 의해 재택 근무가 증가함에 따라, 재택 근무 시 VPN을 이용한 인트라넷을 접속이 증가했다. 이에 따라, VPN을 이용하여 인트라넷에 접속 시 발생할 수 있는 보안 취약 문제가 부각되었다.
VPN을 이용한 인트라넷을 접속 시 발생할 수 있는 보안 취약 문제를 해결하기 위해, 운영 체제 (Operating System, OS) 상에 추가적인 보안 솔루션을 제공하는 방법이 제안된 바 있다.
운영 체제 상에 추가적인 보안 솔루션을 제공하는 종래의 방법에서는, 보안 솔루션이 타인에 의해 무력화되는 경우나 악의적인 의도를 가진 사용자가 보안 솔루션을 스스로 무력화하는 경우에, VPN이 운영체제의 네트워크 인터페이스 (network interface) 에 노출되어, 인트라넷에 대한 보안이 취약해지는 문제가 있다.
다수의 멀웨어 (malware) 가 보안 솔루션 등을 우회 또는 제거(예를 들어, 강제 종료)하는 기능을 가지고 있고, 악의적인 의도를 가진 사용자는 사용자 디바이스를 소유한 상태이므로 사용자 디바이스의 보안 기능 등을 우회 또는 제거하는 조작을 수 있기 때문에, 인트라넷에 대한 보안이 취약해질 수 있다.
이에, 본 발명의 해결하고자 하는 과제는 운영 체제 상에 추가적인 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 보안 취약 문제를 해결하는 방법 및 시스템을 제공하는 것이다.
나아가, 본 발명의 해결하고자 하는 다른 과제는 사용자 및 사용자 디바이스 모두 신뢰하지 않고도, VPN을 이용한 인트라넷을 접속 시 인트라넷에 대한 보안을 확보할 수 있는 방법 및 시스템을 제공하는 것이다.
본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
전술한 바와 같은 과제를 해결하기 위해, 본 발명의 일 실시예에 따른 통신 방법이 제공된다. 통신 방법은 인트라넷에 연결된 VPN (Virtual Private Network) 서버에 사용자 디바이스에 대한 사전-인증을 요청하는 단계; 사전-인증이 완료되면, VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 VPN 서버와 VPN 클라이언트 사이에 터널을 형성하는 단계; 및 프록시 서버와 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계를 포함하고, 보안 강화 어플리케이션은 보안 TCP/IP 스택을 통해서만 VPN 서버와 통신하도록 구성된다.
본 발명의 다른 특징에 따르면, 보안 TCP/IP 스택은 운영 체제 (Operating System, OS) 의 TCP/IP 스택과 분리되도록 구성된다.
본 발명의 또 다른 특징에 따르면, 프록시 서버는 프록시 클라이언트가 설치된 보안 강화 어플리케이션과만 연결되도록 구성된다.
본 발명의 또 다른 특징에 따르면, 프록시 서버와 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계는, 프록시 서버에 프록시 클라이언트와의 연결을 요청하는 단계; 요청에 응답하여, 프록시 서버가 보안 강화 어플리케이션에 설치된 연결 매니저 (Connection Manager, CM) 에 임시 암호를 제공하는 단계; 및 임시 암호를 이용하여, 프록시 서버에 프록시 클라이언트를 연결하는 단계를 포함한다.
본 발명의 또 다른 특징에 따르면, 사전-인증은 TPM (Trusted Platform Module) 이 설치된 사용자 디바이스와 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증 (remote-attestation) 이다.
본 발명의 또 다른 특징에 따르면, 사용자 디바이스의 인트라넷에 대한 접속 정보가 보안 강화 TCP/IP 스택을 이용하여 저장된다.
본 발명의 또 다른 특징에 따르면, 접속 정보는 사용자 디바이스의 디바이스 정보, 사용자 디바이스의 사용자 계정 정보, 보안 강화 TCP/IP 스택의 IP 정보, 사전-인증에 대한 정보, 프록시 서버와 프록시 클라이언트의 연결 정보, 및 사용자 디바이스의 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함한다.
본 발명의 다른 실시예에 따른 사용자 디바이스가 제공된다. 사용자 디바이스는 VPN 서버와 통신하도록 구성된 통신부, 보안 강화 어플리케이션 및 VPN 클라이언트을 저장하도록 구성된 저장부; 및 상기 통신부, 및 상기 저장부와 동작 가능하도록 연결된 제어부를 포함한다. 제어부는 통신부를 통해, VPN 서버에 사용자 디바이스에 대한 사전-인증을 요청하고, 사전-인증이 완료되면, 상기 VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 VPN 서버와 VPN 클라이언트 사이에 터널을 형성하고, 그리고 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트를 연결하도록 구성되고, 보안 강화 어플리케이션은 보안 TCP/IP 스택을 통해서만 VPN 서버와 통신하도록 구성된다.
본 발명의 다른 특징에 따르면, VPN 서버는 인트라넷에 설치된다.
본 발명의 또 다른 특징에 따르면, 보안 TCP/IP 스택은 운영 체제의 TCP/IP 스택과 분리되도록 구성된다.
본 발명의 또 다른 특징에 따르면, 프록시 서버는 프록시 클라이언트가 설치된 보안 강화 어플리케이션과만 연결되도록 구성된다.
본 발명의 또 다른 특징에 따르면, 프록시 서버와 보안 강화 어플리케이션의 프록시 클라이언트는, 프록시 서버가 보안 강화 어플리케이션에 설치된 연결 매니저에게 제공한 임시 비밀번호를 이용하여 연결된다.
본 발명의 또 다른 특징에 따르면, 사전-인증은 TPM이 설치된 사용자 디바이스와 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증이고, 하드웨어 기반 원격-인증은 사용자 디바이스의 디바이스 인증 및 사용자 디바이스의 부트로더 무결성 인증을 포함한다.
본 발명의 또 다른 특징에 따르면, 사용자 디바이스의 인트라넷에 대한 접속 정보가 보안 강화 TCP/IP 스택을 이용하여 저장된다.
본 발명의 또 다른 특징에 따르면, 접속 정보는 사용자 디바이스의 디바이스 정보, 사용자 디바이스의 사용자 계정 정보, 보안 강화 TCP/IP 스택의 IP 정보, 사전-인증에 대한 정보, 및 사용자 디바이스의 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함한다.
기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명은 운영 체제 상에 추가적인 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 보안 취약 문제를 해결하는 방법 및 시스템을 제공할 수 있다.
나아가, 본 발명은 사용자 및 사용자 디바이스 모두 신뢰하지 않고도, VPN을 이용한 인트라넷을 접속 시 인트라넷에 대한 보안을 확보할 수 있는 방법 및 시스템을 제공할 수 있다.
본 발명의 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 보다 다양한 효과들이 본 명세서 내에 포함되어 있다.
도 1는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 개략도이다.
도 2은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 사용자 디바이스의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템을 설명하기 위한 개략도이다.
도 4는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법의 순서도이다.
도 5은 본 발명의 일 실시예에 따른 프록시 서버와 프록시 클라이언트가 연결되는 방법의 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서, 명시적으로 반대로 언급되지 않는 한, "A 또는 (or) B," "A 및/또는 (and/or) B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상" 등의 표현은 비배타적 (non-exclusive) 으로 나열된 항목들의 모든 가능한 조합을 포함하는 것을 지칭하는 것으로 이해될 수 있다. 예를 들어, “또는 B"는 (i) A, (ii) B, 및 (iii) A 및 B인 경우를 모두 포함하는 것으로 이해될 수 있고, "A 및 B 중 적어도 하나" 및 "A 또는 B 중 적어도 하나"는 (i) 적어도 하나의 A, (ii) 적어도 하나의 B, 및 (iii) 적어도 하나의 A 및 적어도 하나의 B인 경우를 모두 포함하는 것으로 이해될 수 있다.
본 명세서에서, "가진다," "가질 수 있다," "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징의 존재를 의미할 뿐, 추가적인 특징의 존재를 배제하지 않는다.
본 명세서에서, 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 명세서에서, 다양한 실시예의 특징들 각각은 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 통상의 기술자가 충분히 이해할 수 있는 바와 같이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.
본 명세서에서, 본 발명의 일 실시예에 따른 장치 또는 디바이스는 제한되지 않고, 범용 컴퓨터, 랩탑, 네트워크 연결형 저장소, 테블릿 디바이스, 스마트폰과 같은 모바일 디바이스 등을 포함할 수 있다. 이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 개략도이다.
도 1을 참조하면, 보안 강화 인트라넷 접속 시스템(1000)은 사용자 디바이스(100), VPN 서버(200), 및 인트라넷(300)을 포함한다. 사용자 디바이스(100)는 VPN 서버(200)를 통해 인트라넷(300)에 접속할 수 있다.
사용자 디바이스(100)는 제한되지 않고, 본 명세서에서 개시되는 보안 강화 인트라넷 접속 방법을 수행하기 위한 제어부를 포함하는 모든 장치이다. 예를 들어, 사용자 디바이스(100)는 범용 컴퓨터, 랩탑, 네트워크 연결형 저장소, 테블릿 디바이스, 스마트폰 등과 같은 모바일 디바이스 등을 포함할 수 있다. 사용자는 인트라넷(300) 외부에서 사용자 디바이스(100)를 이용하여 인트라넷에 접속하게 된다. 사용자 디바이스(100)는 보안 강화 어플리케이션 및 다른 일반 어플리케이션을 포함할 수 있다.
VPN 서버(200)는 VPN 클라이언트와 터널을 형성하도록 인트라넷에 연결된 서버이다. VPN 서버(200)는 인트라넷 서비스를 제공하는 인트라넷 서버와 물리적으로 분리된 서버일 수 있고, 인트라넷 서버와 물리적으로 분리되지 않고 인트라넷 서버 상에 설정된 서버일 수 있다. VPN 서버(200)는 PPTP, OpenVPN, SSTP, S2TP/IPsec 등의 프로토콜을 이용하여 VPN 클라이언트와 터널을 형성하고, 형성된 터널을 통해 VPN 클라이언트와 통신을 수행한다.
인트라넷(300)은 기업, 정부기관, 공공기관, 지방자치단체 등에서 사용되는 조직 내부에서만 접속이 가능하거나 조직 내부가 아니라면 적어도 접속이 승인된 사용자만 접속이 가능한 사설망을 의미한다. 인트라넷(300)에 대한 접속은 VPN 서버(200)를 통해서만 가능하다. 본 명세서에서, '인트라넷'이라는 용어는 물리적 구성으로 인트라넷 서비스를 제공하는 인트라넷 서버를 지칭할 수 있다.
사용자 디바이스(100)는, 보안 강화 어플리케이션을 통해서만, 인터넷 망을 통해 VPN 서버(200)에 연결된다. 사용자 디바이스(100)는 VPN서버(200)를 통해 인트라넷(300)에 접속한다. 인트라넷(300)에 접속된 사용자 디바이스(100)는 인트라넷(300)과 데이터를 송수신하거나 소프트웨어/하드웨어 자원을 공유할 수 있다. 사용자 디바이스(100)가 인트라넷(300)에 접속 시, 필요에 따라, 사용자 디바이스(200)의 인트라넷(300)에 대한 권한 또는 기능이 일부 제한될 수 있다.
인터넷 망은 공중망 뿐만 아니라, 공중망과 분리된 사설망을 포함할 수 있다. 예를 들어, 인터넷 망은 인터넷 서비스 제공자가 기업전용으로 분리한 무선망을 포함한다.
도 2는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 사용자 디바이스의 구성을 나타낸 블록도이다. 도 2을 참조하면, 사용자 디바이스(100)는 저장부(110), 표시부(120), 제어부(130), 통신부(140), 인증부(150)를 포함할 수 있다.
저장부(110)는 운영 체제(111), 보안 강화 어플리케이션(112), 일반 어플리케이션 (113), VPN 클라이언트(미도시) 등의 데이터를 저장할 수 있다. 저장부(110)는 제한되지 않고, 플래시 메모리 타입 (flash memory type), 하드디스크 타입 (hard disk type), 멀티미디어 카드 마이크로 타입 (multimedia card micro type), 카드 타입의 메모리 (예를 들어, SD 또는 XD 메모리 등), 램 (Random Access Memory, RAM), SRAM (Static Random Access Memory), 롬 (Read-Only Memory, ROM), EEPROM (Electrically Erasable Programmable Read-Only Memory), PROM (Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.
표시부(120)는 사용자 디바이스(100)에서 보안 강화 어플리케이션(112), 일반 어플리케이션 (113), VPN 클라이언트(미도시) 등이 실행되는 인터페이스 화면을 표시할 수 있다. 표시부(120)는 제한되지 않고, LCD, OLED, PDP 등의 디스플레이 장치를 사용할 수 있다.
제어부(130)는 저장부(110), 표시부(120), 통신부(140), 인증부(150)와 동작 가능하게 연결되고, 본 발명에 개시된 보안 강화 인트라넷 접속 방법과 관련된 동작을 수행할 수 있다. 제어부(130)는 전용 프로세서(예: 임베디드 프로세서), 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(generic-purpose processor)(예: CPU 또는 application processor) 등을 포함할 수 있다. 이하에서는 제어부(130)의 동작에 대해서 간략하게 설명한다.
제어부(130)는, 통신부(140)를 통해, VPN 서버(200)와 사용자 디바이스(100)에 대한 사전-인증을 요청하고 수행할 수 있다. 제어부(130)는, 사전-인증이 완료되면, VPN 클라이언트(170)에 구현된 보안 TCP/IP 스택(171)을 통해 VPN 서버(200)와 VPN 클라이언트(170) 사이에 터널을 형성할 수 있다. 제어부(130)는 VPN 클라이언트(170)에 설치된 프록시 서버(172)와 보안 강화 어플리케이션(112)의 프록시 클라이언트(112-2)를 연결할 수 있다.
통신부(140)는 VPN 서버(200) 등 사용자 디바이스(100)와 물리적/논리적으로 분리된 디바이스 등과 통신하도록 구성된다. 통신부(140)는 VPN 서버(200)에 사전-인증을 요청할 수 있다. 통신부(110)는 VPN 서버(200), 인트라넷(300), 또는 VPN 서버(200), 인트라넷(300)의 자체적인 저장부 또는 외부의 저장부에 사용자 디바이스의 인트라넷에 대한 접속 정보를 전송할 수 있다. 통신부(110)는 제한되지 않고, 무선 통신부(예를 들어, 셀룰러 통신부, 근거리 무선 통신부, 또는 GNSS(global navigation satellite system) 통신부 등) 또는 유선 통신부(예를 들어, LAN(local area network) 통신부, 또는 전력선 통신부 등)를 포함하고, 그 중 해당하는 통신부를 이용하여 근거리 통신 네트워크(예를 들어, 블루투스, WiFi direct 또는 IrDA(infrared data association) 등) 또는 원거리 통신 네트워크(예를 들어, 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크 등)를 통해 물리적/논리적으로 분리된 디바이스와 통신할 수 있다.
통신부(140)는 운영 체제의 TCP/IP 스택 및 운영 체제의 TCP/IP 스택와 분리되도록 구성되는 보안 TCP/IP 스택을 포함한다. 사용자 디바이스(100)는, 운영 체제의 TCP/IP 스택 및 보안 TCP/IP 스택을 이용하여, 외부 디바이스와 통신할 수 있다. 사용자 디바이스(100)는, 보안 TCP/IP 스택을 통해서만 VPN 서버(200)와 통신할 수 있다.
인증부(150)는 암호화 키를 저장할 수 있는 보안 칩이다. 인증부(150)는 사용자 디바이스(100)의 안정성을 인증하기 위해 사전-인증을 수행한다. 사전-인증은 하드웨어 기반 원격-인증 (remote-attestation) 을 포함한다. VPN 서버(100)는 사전-인증을 통해 원격으로 사용자 디바이스(200)가 멀웨어 감염 문제, 바이오스, 부트로더, 커널 등의 무결성 문제 등이 없음을 확인할 수 있다. 인증부(150)는 제한되지 않고, TPM (Trusted Platform Module) 등을 이용하여 사전-인증을 수행할 수 있다. TPM에 대해서는 후술한다.
도 3은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템을 설명하기 위한 개략도이다. 사용자 디바이스(100)는 TPM(160), VPN 클라이언트(170), 보안 강화 어플리케이션(1122), 다른 일반 어플리케이션(113), 운영 체제(OS)를 포함한다. VPN 클라이언트(170)는 프록시 서버(171) 및 보안 TCP/IP 스택(171)을 포함한다. 보안 강화 어플리케이션(112)은 연결 매니저 (Connection Manager, CM)(112-1) 및 프록시 클라이언트(112-2)를 포함한다. 운영 체제(111)는 TCP/IP 스택(111-1)을 포함한다.
TPM(160)은 사용자 디바이스(100)에 보안 기능을 제공하기 위한 모듈로, 칩 형태로 사용자 디바이스(100)에 내장된다. TPM(160)은 사용자 디바이스(100)의 제어부(130)에 의해 실행되는 보안 어플리케이션과 달리, 하드웨어의 일부로서 제어부(130)와 별개로 동작가능하기 때문에, 해킹이나 우회하여 무력화시키는 것이 어렵다.
VPN 클라이언트(170)는 사용자 디바이스(100)를 VPN 서버(200)에 연결시키기 위해, 사용자 디바이스(100)에 설치된다. VPN 클라이언트(170)는 VPN 서버(200)와 사전-인증을 수행한다. VPN 클라이언트(170)는, 보안 TCP/IP 스택(171)을 이용하여, 보안 강화 어플리케이션(112)의 프록시 클라이언트(112-2)로부터 들어온 연결을 VPN 서버(200)에 연결한다.
보안 TCP/IP 스택(171)은 VPN 클라이언트(170)에서 구현된 TCP/IP 스택으로, 운영 체제(111)의 TCP/IP 스택(111-1)과 분리되도록 구성된다. 이에 따라, 보안 TCP/IP 스택(172)은 운영 체제(111)의 네트워크 인터페이스에 노출되지 않는다. 운영 체제(111)의 TCP/IP 스택(111-1)이 운영 체제(111)에 의존적인 부분들에 대한 설계 및 구현이 필요한 반면, 보안 TCP/IP 스택(172)은 운영 체제(111)에 의존적인 부분들에 대한 설계 및 구현 없이 필요 없다. 또한, 보안 TCP/IP 스택(172)은, VPN 클라이언트(170)로 들어온 연결을, 보안 TCP/IP 스택(172)을 구현해 VPN 서버(200)와 연결한다. 보안 TCP/IP 스택(172)은 lwIP (lightweight IP) 등을 사용하여 구현될 수 있다.
이에 반해, 운영 체제(111) 상의 TCP/IP 스택(111-1)은 운영 체제(111) 상의 다양한 어플리케이션에 네트워크 인터페이스가 노출될 뿐만, 지원하는 프로토콜이 다양하고 처리하는 패킷 형식이 다양하기 때문에, 보안상 공격 표면이 상당히 크다는 보안상 취약점을 가집니다.
프록시 서버(172)는 VPN 클라이언트(170)에 설치되고, 프록시 클라이언트(112-2)는 사용자 디바이스(100)의 보안 강화 어플리케이션(112)에 설치된다. 일반적인 프록시 클라이언트의 경우, 인트라넷 등에 있는 프록시 서버와 통신이 이루어지게 구성된다. 이에 달리, 프록시 클라이언트(112-2)는 사용자 디바이스(100)의 VPN 클라이언트(170)에 설치된 프록시 서버(172)와 통신하도록 구성됩니다. 이에 따라, 프록시 서버(172)는 프록시 클라이언트(112-2)가 설치된 보안 강화 어플리케이션(112)과만 연결되고, 다른 일반 어플리케이션과는 연결되지 않도록 구성된다. 프록시 서버(172)는 SOCKS프로토콜 (예를 들어, SOCKS4, SOCKS5 등), 또는 기타 적합한 프록시 프로토콜 등을 사용하여 구현될 수 있다.
보안 강화 어플리케이션(112)은 다른 일반 어플리케이션(112)과 달리, 연결 매니저 (Connection Manager, CM)(112-1) 및 프록시 클라이언트(112-2)를 포함하는 어플리케이션이다.
연결 매니저(112-1)는 프록시 서버(172)와 프록시 클라이언트(112-2)의 연결을 지원하는 통신 라이브러리이다. 연결 매니저(112-1)는 프록시 서버(172)와 프록시 클라이언트(112-2)에 모두 연결되어, 프록시 서버(172)로부터 임시 암호를 수신할 수 있고, 수신한 임시 암호를 프록시 클라이언트(112-2)에 제공한다. 이에 따라, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만이 프록시 서버(172)에 연결될 수 있다.
도 4는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법의 순서도이다. 이하에서는, 도 4의 순서도는 도 3의 구성들을 참조하여 설명된다.
도 4를 참조하면, 인트라넷(300)에 연결된 VPN 서버(200)에 사용자 디바이스에 대한 사전-인증이 요청된다(S400). 사전-인증은 하드웨어 기반의 원격-인증을 포함하고, 예를 들어, 사전-인증은 사용자 디바이스(100)에 설치된 TPM을 이용한 원격-인증일 수 있다.
다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 사용자 디바이스(100)의 TPM EK 인증서 (TPM EK Certificate) 를 이용하여, VPN 서버(200)에 접속할 수 있는 디바이스를 식별할 수 있다. 구체적으로, VPN 서버(200)는 TPM을 이용한 원격-인증을 위해 챌린지를 VPN 클라리언트에 전송하고, 전송된 챌린지를 TPM EK (Endorsement Key) Private Key로 디지털 서명하고, VPN 서버(200)에서 TPM EK Certificate로 해당 디지털 서명을 확인하는 방식으로 원격-인증을 수행한다.
다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 TPM PCR (Platform Configuration Register) 원격 인증을 이용하여, 바이오스, 부트로더, 커널 등의 무결성을 검증할 수 있다. 구체적으로, 사용자 디바이스(100)에 설치된 (예를 들어, 사용자 디바이스(100)의 제조 과정에서 주입된) TPM은 PCR 값을 생성하여 플랫폼의 현재 상태를 저장하고 저장된 PCR 값을 AIK (Attestation Identity Key) 로 서명하여 VPN 서버(200)에 전송된다. VPN 서버(200)는 AIK로 서명된 PCR 값을 확인하여 사용자 디바이스(100)가 신뢰할 수 있는 상태임을 (무결성을) 검증하는 방식으로 원격-인증을 수행한다. 만일, VPN 서버(200)에 사용자 디바이스(100)의 TPM EK Certificate 및/또는 PCR 값이 존재하지 않는 경우라면, 현재 사용자 디바이스(100)의 TPM EK Certificate 및/또는 PCR 값을 VPN 서버(200)에 전송하여 신뢰할 수 있는 디바이스의 TPM EK Certificate 및/또는 PCR 값으로 저장한다.
다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 사용자 디바이스(200)에 사용자 계정(예를 들어, 사용자 ID/PASSWORD 등)을 이용하여, VPN 서버(200)에 접속가능한 정상적인 사용자를 인증할 수 있다. 사용자의 계정에 대한 인증이 수행되는 경우, 사용자 계정과 사용자 디바이스(200)는 바인딩되어, VPN 서버(200)는 특정 사용자 계정 및 특정 사용자 디바이스에 대해서만 사전-인증을 완료할 수 있다. 구체적으로, 특정 사용자 계정이 인증된 사용자로 판단되더라도, 사용자 디바이스가 특정 사용자 계정에 바인딩된 특정 사용자 디바이스가 아니라면, VPN 서버(200)에 대한 접속을 허용되지 않는다.
따라서, 사전-인증을 통해, 사용자 디바이스(100)가 신뢰할 수 있는 디바이스인지 여부, 바이오스, 부트로더, 커널 등의 무결성이 검증되어 안전한 상태인지 여부, 인증된 사용자인지 여부, 및 인증된 사용자에 바인딩된 사용자 디바이스인지 여부 중 적어도 하나가 판단되어, 인트라넷에 접속 시 보안을 일차적으로 확보할 수 있다.
사전-인증이 완료되면, VPN 클라이언트(170)에 설치된 보안 TCP/IP 스택(171)을 통해 VPN 서버(200)와 VPN 클라이언트(170) 사이에 터널이 형성된다(S410). VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널은 보안 TCP/IP 스택(171)을 통해 동작한다. 보안 TCP/IP 스택(171)은 운영 체제(111)의 TCP/IP 스택(111-1)과 분리되어, 운영 체제(111)의 네트워크 인터페이스에 노출되지 않는다.
프록시 서버(172)와 사용자 디바이스(100)에 설치된 보안 강화 어플리케이션(112)의 프록시 클라이언트(121-2)가 연결된다(S430). 프록시 서버(172)와 사용자 디바이스(100)에 설치된 보안 강화 어플리케이션(112)의 프록시 클라이언트(121-2)가 연결되는 구체적인 과정은 도 5를 참조하여 후술한다 이에 따라, 사용자 디바이스(100)는, 운영 체제(111)의 네트워크 인터페이스에 노출되지 않으면서, 보안 강화 어플리케이션(112)을 통해서만 VPN 서버(200)와 통신하도록 구성될 수 있다. 구체적으로, 운영 체제(111) 상의 다른 일반 어플리케이션(113)은 VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속하지 못하고, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만 VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속할 수 있다.
이에 따라, 본 발명에서는, 운영 체제(111) 상에 설치된 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, 다른 일반 어플리케이션 등을 통해 멀웨어에 감염되거나 운영 체제(111)의 네트워크에 기반한 해킹 공격이 이루어져 보안이 취약해지는 문제가 근본적으로 차단될 수 있다.. 또한, 본 발명에서는, 인증된 사용자가 악의적인 의도를 가지더라도, 다른 일반 어플리케이션 등을 통해 멀웨어에 감염되거나 운영 체제(111)의 네트워크에 기반한 해킹 공격이 이루어져 보안이 취약해지는 문제가 근본적으로 차단될 수 있다. 구체적으로, 다수의 멀웨어가 보안 솔루션 등을 우회 또는 제거(예를 들어, 강제 종료)하는 기능을 가지고 있기 때문에, 멀웨어에 의해 운영 체제(111) 상에 설치된 보안 솔루션이 무력화되는 경우, 어떠한 어플리케이션이든 운영 체제(111)의 네트워크 인터페이스, 즉 운영 체제(111)의 TCP/IP 스택(111-1)에 접속이 가능해진다. 또한, 인증된 사용자가 악의적인 의도를 가지고 사용자 디바이스(100)의 기능을 조작하여 보안 솔루션을 무력화시키는 경우에도, 어떠한 어플리케이션이든 운영 체제(111)의 네트워크 인터페이스, 즉 운영 체제(111)의 TCP/IP 스택(111-1)에 접속이 가능해진다. 일반적인 VPN을 이용하는 경우라면, VPN 서버와 VPN 클라이언트 사이의 터널이 운영 체제(111)의 TCP/IP 스택(171)을 통해 형성된다. 이에 따라, 운영 체제(111) 상에 보안 솔루션이 설치된 경우라도 보안 솔루션이 멀웨어 등에 의해 무력화될 수 있고 인증된 사용자라도 악의적인 의도를 가지고 보안 솔루션을 무력화할 수 있기 때문에, 근본적으로 인트라넷(300)에 대한 보안이 취약해질 수 있다는 것이다. 이와 달리, 본 발명에서는, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만, 보안 TCP/IP 스택(171)을 통해, VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속할 수 있도록 구성된다. 이에 따라, 운영 체제(111) 상에 보안 솔루션이 없더라도, 보안 강화 어플리케이션(112)이 아닌 다른 일반 어플리케이션(113)의 VPN 서버(200)에 대한 접속이 원천적으로 차단된다. 또한, 인증된 사용자가 악의를 가지더라도, 보안 강화 어플리케이션(112)을 통하지 않고, 다른 방법으로 직접적으로 VPN 서버(200)에 접속할 수 없다.
도 5은 본 발명의 일 실시예에 따른 프록시 서버와 프록시 클라이언트가 연결되는 방법의 순서도이다. 프록시 서버(172)와 프록시 클라이언트(112-2)는, 연결 매니저를 통해, 연결된다. 먼저, 프록시 서버(172)에 프록시 클라이언트(112-2)의 연결이 요청된다(S500). 요청에 응답하여, 프록시 서버(172)가 보안 강화 어플리케이션(112)의 연결 매니저(112-1)에게 임시 암호를 제공한다(S510). 임시 암호 (temporary password) 는 프록시 클라이언트(112-2)에 제공되고, 프록시 클라이언트(112-2)는 임시 암호를 이용하여, 프록시 서버(172)에 연결됩니다(S530). 사용자 디바이스(170)에 프록시 서버(172)를 포함하는 VPN 클라이언트(170) 및 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)이 설치되어, 프록시 서버(172)와 프록시 클라이언트(112-2)는 사용자 디바이스(100) 내에서, 다른 일반 어플리케이션(113)에 배타적으로 연결됩니다.
다양한 실시예에서, 사용자 디바이스(100)가 인트라넷(300)에 접속 시, VPN 서버(200)와 VPN 클라이언트(170) 사이의 터널이 보안 TCP/IP 스택(171)을 통해 형성되기 때문에, 인트라넷(300)은 VPN 서버(200)의 IP가 아닌, 보안 TCP/IP 스택(171)의 IP로 사용자 디바이스(100)의 접속을 인식한다. 인트라넷(300)은 보안 TCP/IP 스택(171)의 IP를 이용하여 사용자 또는 사용자 디바이스(100)를 식별할 수 있다. 이에 따라, 사용자 디바이스(100)의 인트라넷(300)에 대한 접속 정보가 보안 강화 TCP/IP 스택(171)을 이용하여 저장되거나 관리될 수 있다. VPN 서버(200) 또는 인트라넷(300)은 접속 정보를 저장하거나 관리할 수 있다.
접속 정보는 사용자 디바이스 정보, 사용자 계정 정보, 사전-인증 정보, 프록시 서버(172)와 프록시 클라이언트(112-2)의 연결 정보, 보안 강화 TCP/IP 스택(171)의 IP 정보, 및 사용자 디바이스(100)의 인트라넷(300)에 대한 접속 기록 정보 중 적어도 하나를 포함할 수 있다. 사전-인증 정보는 인증부(150)의 보안 칩의 하드웨어 정보, 사전-인증 요청 시간, 사전-인증을 요청한 사용자 디바이스(100)의 디바이스 정보, 사전-인증 실패 기록 등을 포함할 수 있다. 사전-인증 실패 기록은 실패 원인, 접속 시도 시간 및 횟수 등을 포함할 수 있다. 접속 기록 정보는 접속 중 사용자 디바이스(100)의 상태, 접속 시간, 접속 중 동작 등을 포함할 수 있다.
VPN 서버(200) 또는 인트라넷(300)은 사용자 디바이스(100)의 식별이 가능한 개별 IP인 보안 TCP/IP 스택(171)의 IP로 사용자 디바이스(100)의 접속을 개별적으로 인식한다. 이에 따라, VPN 서버(200) 또는 인트라넷(300)은 접속 기록 정보에 기초하여, 사용자 디바이스(100)에 대한 접속을 로깅 (logging) 및/또는 제어할 수 있다. 또한, VPN 서버(200) 또는 인트라넷(300)은 접속 정보에 기초하여, 사용자의 권한, 보안 수준 등을 조정할 수 있다. 예를 들어, 사전-인증이 실패하거나 보안-강화 어플리케이션을 이용하지 않아 프록시 서버와 프록시 클라이언트의 연결이 실패한 기록이 있는 경우, 사용자 디바이스(100)와 상이한 디바이스를 이용한 추가적인 인증 절차가 추가되거나 인트라넷(300) 대한 접속 권한이 제한될 수 있다. 일반적인 VPN을 이용하는 경우라면, 다수의 사용자 디바이스의 인트라넷에 대한 접속이 동일한 VPN 서버의 IP로 인식될 수 있어, 개별적으로 사용자 디바이스(100)를 로깅 및/또는 제어할 수 없습니다.
다양한 실시예에서, 사용자 계정 정보에 따라, 특정 사용자에 대해서는 인트라넷(300)에 대한 더 높은 수준의 보안이 요구되거나 더 높은 권한이 허용되도록 보안 강화 어플리케이션(112)이 커스터마이징되어 (customized) 제공될 수 있다. 예를 들어, 사용자 계정에 따라, 보안-강화 어플리케이션(112) 및/또는 VPN 클라이언트(170)의 설치가 인터넷 망을 통해서는 허용되지 않거나, 설치 시 또는 설치 후에 사용자 디바이스(100)와 상이한 디바이스를 이용한 추가적인 인증 절차가 요구될 수 있다.
다양한 실시예에서, 사전-인증 실패 기록에 기초하여, 사용자 계정 및/또는 사용자 디바이스(200)에 대한 사용자의 권한, 보안 수준 등이 조정될 수 있고, 실패 원인을 해소를 지원하기 위한 조치를 수행할 수 있다. 예를 들어, 사전-인증 단계에서 사용자 디바이스가 신뢰할 수 없는 디바이스로 결정된 경우, 사용자에게 신뢰할 수 있는 디바이스로 접속할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 예를 들어, 사전-인증 단계에서 바이오스, 부트로더, 커널 등의 무결성이 문제된 경우, 사용자에게 사용자 디바이스의 무결성이 문제되어 인증이 실패하였다는 사실 및/또는 디바이스의 바이오스, 부트로더, 커널 등을 다시 복구할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 예를 들어, 보안-강화 어플리케이션(112)이 손상되어 문제된 경우, 사용자에게 보안-강화 어플리케이션(112)을 재설치할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 이에 따라, 재택 근무나 외부에서 인트라넷에 접속하는 사용자가 보안에 대한 이해도가 낮은 경우에도, 신속하게 실패 원인을 인지하고 해결할 수 있어, 안정적이고 효율적으로 높은 보안 수준을 유지할 수 있다.
지금까지 본 발명의 다양한 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템 설명하였다. 본 발명에 따르면, 추가적인 보안 솔루션 없이도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 근본적인 보안 취약 문제를 해결할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 일 실시예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
1000: 보안 강화 인트라넷 접속 시스템
100: 사용자 디바이스
200: VPN 서버
300: 인트라넷
110: 저장부
111: 운영 체제
111-1: TCP/IP 스택
112: 보안 강화 어플리케이션
112-1: 연결 매니저
112-2: 프록시 클라이언트
113: 일반 어플리케이션
120: 표시부
130: 제어부
140: 통신부
150: 인증부
160: TPM
170: VPN 클라이언트
171: 보안 TCP/IP 스택
172: 프록시 서버

Claims (15)

  1. 인트라넷에 연결된 VPN (Virtual Private Network) 서버에 사용자 디바이스에 대한 사전-인증을 요청하는 단계;
    상기 사전-인증이 완료되면, VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 상기 VPN 서버와 상기 VPN 클라이언트 사이에 터널을 형성하는 단계; 및
    상기 VPN 클라이언트에 설치된 프록시 서버와 상기 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계를 포함하고,
    상기 보안 강화 어플리케이션은 상기 보안 TCP/IP 스택을 통해서만 상기 VPN 서버와 통신하도록 구성되고,
    상기 보안 TCP/IP 스택은 운영 체제 (Operating System, OS) 의 TCP/IP 스택과 분리되도록 구성되고, 그리고
    상기 프록시 서버는 상기 프록시 클라이언트가 설치된 상기 보안 강화 어플리케이션과만 연결되도록 구성되는, 통신 방법.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 프록시 서버와 상기 사용자 디바이스에 설치된 상기 보안 강화 어플리케이션의 상기 프록시 클라이언트를 연결하는 단계는,
    상기 프록시 서버에 상기 프록시 클라이언트와의 연결을 요청하는 단계;
    상기 요청에 응답하여, 상기 프록시 서버가 상기 보안 강화 어플리케이션에 설치된 연결 매니저 (Connection Manager, CM) 에 임시 암호를 제공하는 단계; 및
    상기 임시 암호를 이용하여, 상기 프록시 서버에 상기 프록시 클라이언트를 연결하는 단계를 포함하는, 통신 방법.
  5. 제 1 항에 있어서,
    상기 사전-인증은 TPM (Trusted Platform Module) 이 설치된 상기 사용자 디바이스와 상기 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증 (remote-attestation) 인, 통신 방법.
  6. 제 1 항에 있어서,
    상기 사용자 디바이스의 상기 인트라넷에 대한 접속 정보가 상기 보안 강화 TCP/IP 스택을 이용하여 저장되는, 통신 방법.
  7. 제 6 항에 있어서,
    상기 접속 정보는 상기 사용자 디바이스의 디바이스 정보, 상기 사용자 디바이스의 사용자 계정 정보, 상기 보안 TCP/IP 스택의 IP 정보, 상기 사전-인증에 대한 정보, 상기 프록시 서버와 상기 프록시 클라이언트의 연결 정보, 및 상기 사용자 디바이스의 상기 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함하는, 통신 방법.
  8. 인트라넷에 접속하기 위한 사용자 디바이스로서,
    VPN 서버와 통신하도록 구성된 통신부;
    보안 강화 어플리케이션 및 VPN 클라이언트을 저장하도록 구성된 저장부; 및
    상기 통신부 및 상기 저장부와 동작 가능하도록 연결된 제어부를 포함하고,
    상기 제어부는,
    상기 통신부를 통해, 상기 VPN 서버에 사용자 디바이스에 대한 사전-인증을 요청하고,
    상기 사전-인증이 완료되면, 상기 VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 상기 VPN 서버와 상기 VPN 클라이언트 사이에 터널을 형성하고, 그리고
    상기 VPN 클라이언트에 설치된 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트를 연결하도록 구성되고,
    상기 보안 강화 어플리케이션은 상기 보안 TCP/IP 스택을 통해서만 상기 VPN 서버와 통신하도록 구성되고,
    상기 보안 TCP/IP 스택은 운영 체제의 TCP/IP 스택과 분리되도록 구성되고, 그리고
    상기 프록시 서버는 상기 프록시 클라이언트가 설치된 상기 보안 강화 어플리케이션과만 연결되도록 구성되는, 사용자 디바이스.
  9. 제 8 항에 있어서,
    상기 VPN 서버는 인트라넷에 설치되는, 사용자 디바이스.
  10. 삭제
  11. 삭제
  12. 제 8 항에 있어서,
    상기 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트는, 상기 프록시 서버가 상기 보안 강화 어플리케이션에 설치된 연결 매니저에게 제공한 임시 비밀번호를 이용하여 연결되는, 사용자 디바이스.
  13. 제 8 항에 있어서,
    상기 사전-인증은 TPM이 설치된 상기 사용자 디바이스와 상기 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증인, 사용자 디바이스.
  14. 제 8 항에 있어서,
    상기 사용자 디바이스의 상기 인트라넷에 대한 접속 정보가 상기 보안 TCP/IP 스택을 이용하여 저장되는, 사용자 디바이스.
  15. 제 14 항에 있어서,
    상기 접속 정보는 상기 사용자 디바이스의 디바이스 정보, 상기 사용자 디바이스의 사용자 계정 정보, 상기 보안 강화 TCP/IP 스택의 IP 정보, 상기 사전-인증에 대한 정보, 상기 프록시 서버와 상기 프록시 클라이언트의 연결 정보, 및 상기 사용자 디바이스의 상기 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함하는, 사용자 디바이스.
KR1020210160592A 2021-11-19 2021-11-19 보안 강화 인트라넷 접속 방법 및 시스템 KR102444356B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210160592A KR102444356B1 (ko) 2021-11-19 2021-11-19 보안 강화 인트라넷 접속 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210160592A KR102444356B1 (ko) 2021-11-19 2021-11-19 보안 강화 인트라넷 접속 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR102444356B1 true KR102444356B1 (ko) 2022-09-16

Family

ID=83445327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210160592A KR102444356B1 (ko) 2021-11-19 2021-11-19 보안 강화 인트라넷 접속 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102444356B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030075810A (ko) * 2002-03-20 2003-09-26 유디에스 주식회사 공인네트워크와 비공인네트워크 사이에서의 데이터 통신시스템 및 그 방법
KR20130034401A (ko) * 2011-09-28 2013-04-05 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
KR20150095791A (ko) * 2012-12-13 2015-08-21 퀄컴 인코포레이티드 통신 시스템에서의 클라이언트 디바이스의 웹 브라우저 상의 리다이렉트된 웹 리소스의 로딩
KR20170056566A (ko) * 2014-09-16 2017-05-23 노크 노크 랩스, 인코포레이티드 네트워크 아키텍처 내에 인증 서비스를 통합하기 위한 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030075810A (ko) * 2002-03-20 2003-09-26 유디에스 주식회사 공인네트워크와 비공인네트워크 사이에서의 데이터 통신시스템 및 그 방법
KR20130034401A (ko) * 2011-09-28 2013-04-05 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
KR20150095791A (ko) * 2012-12-13 2015-08-21 퀄컴 인코포레이티드 통신 시스템에서의 클라이언트 디바이스의 웹 브라우저 상의 리다이렉트된 웹 리소스의 로딩
KR20170056566A (ko) * 2014-09-16 2017-05-23 노크 노크 랩스, 인코포레이티드 네트워크 아키텍처 내에 인증 서비스를 통합하기 위한 시스템 및 방법

Similar Documents

Publication Publication Date Title
US9184918B2 (en) Trusted hardware for attesting to authenticity in a cloud environment
CN102047262B (zh) 用于分布式安全内容管理系统的认证
US20200004946A1 (en) Secretless and secure authentication of network resources
EP2913956B1 (en) Management control method and device for virtual machines
US20070101401A1 (en) Method and apparatus for super secure network authentication
JP6654985B2 (ja) 安全なオンライン認証のためのシステム及び方法
JP2019526993A (ja) ネットワーク機能仮想化システム及び検証方法
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
Atashzar et al. A survey on web application vulnerabilities and countermeasures
EP3674938B1 (en) Identifying computing processes on automation servers
RU2583710C2 (ru) Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
US10305914B1 (en) Secure transfer of secrets for computing devices to access network resources
US20090217375A1 (en) Mobile Data Handling Device
KR102377248B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN106576050B (zh) 三层安全和计算架构
US20230079795A1 (en) Device to device migration in a unified endpoint management system
KR102444356B1 (ko) 보안 강화 인트라넷 접속 방법 및 시스템
Süß et al. Cloud security and security challenges revisited
Naidu et al. Addressing Cloud Computing Security Issues with Solutions
KR102576357B1 (ko) 제로 트러스트 보안인증 시스템
US11671422B1 (en) Systems and methods for securing authentication procedures
Pandhare et al. A Secure Authentication Protocol for Enterprise Administrative Devices
Foltz et al. Secure Endpoint Device Agent Architecture.
RU2722393C2 (ru) Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой
EP3261009B1 (en) System and method for secure online authentication

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant