KR102495372B1 - System for controlling data flow based on application test and method thereof - Google Patents
System for controlling data flow based on application test and method thereof Download PDFInfo
- Publication number
- KR102495372B1 KR102495372B1 KR1020220059123A KR20220059123A KR102495372B1 KR 102495372 B1 KR102495372 B1 KR 102495372B1 KR 1020220059123 A KR1020220059123 A KR 1020220059123A KR 20220059123 A KR20220059123 A KR 20220059123A KR 102495372 B1 KR102495372 B1 KR 102495372B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- access
- node
- connection
- application
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 52
- 238000012360 testing method Methods 0.000 title claims description 35
- 238000007689 inspection Methods 0.000 claims abstract description 157
- 238000004891 communication Methods 0.000 claims abstract description 35
- 238000011017 operating method Methods 0.000 claims abstract 2
- 230000004044 response Effects 0.000 claims description 33
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 21
- 230000004913 activation Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 229960005486 vaccine Drugs 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000001419 dependent effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002779 inactivation Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
Description
본 문서에서 개시된 실시 예들은 애플리케이션 검사에 기반하여 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다.Embodiments disclosed in this document relate to a system and method for controlling data flow based on application inspection.
다수의 장치들은 네트워크를 통해서 데이터를 통신할 수 있다. 예를 들어, 단말은 인터넷을 통해 서버와 데이터를 송신하거나 수신할 수 있다. 네트워크는 인터넷과 같은 공용 네트워크(public network)뿐만 아니라 인트라넷과 같은 사설 네트워크(private network)를 포함할 수 있다.Multiple devices may communicate data over a network. For example, the terminal may transmit or receive data with a server through the Internet. The network may include a private network such as an intranet as well as a public network such as the Internet.
단말은 IP(Internet Protocol) 기반의 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol)를 활용하여 서버와 통신을 수행하며, TCP 또는 UDP 기술에서 인가된 출발지 IP와 도착지 IP 간 접속을 제어하기 위한 방화벽 기술이 이용될 수 있다. 이러한 IP 통신의 경우, IP를 위조 또는 변조 가능한 문제점이 있으므로, 이를 해결하기 위하여 단말과 서버 간 데이터 패킷을 암호화하기 위한 VPN(Virtual Private Network) 기술 및 터널링 기술이 이용된다.The terminal performs communication with the server by utilizing IP (Internet Protocol)-based TCP (Transmission Control Protocol) or UDP (User Datagram Protocol), and controls the connection between the source IP and destination IP authorized in TCP or UDP technology. Firewall technology may be used. In the case of such IP communication, since there is a problem that IP can be forged or tampered with, in order to solve this problem, virtual private network (VPN) technology and tunneling technology for encrypting data packets between a terminal and a server are used.
이동식 저장 매체(예: 플로피 디스크, USB 디스크) 또는 인터넷 등의 네트워크를 통해 유입된 각종 멀웨어(malware) 및 바이러스와 같은 위험을 탐지하고 치료하기 위해 백신 및 멀웨어 탐지 도구들이 사용될 수 있다. 이러한 도구들의 특성은 멀웨어 및 바이러스를 탐지하기 위해 사전에 저장된 패턴을 기반으로 각각의 파일 또는 메모리 영역을 대입하여 패턴이 일치하는 경우 파일의 실행을 멈추게 하거나 파일을 제거하여, 단말에서 해당 멀웨어가 내재하고 있는 위험이 더 이상 증식되지 않도록 하거나 해당 멀웨어에 의한 피해가 발생되지 않도록 한다. 하지만, 멀웨어 기술의 발달로 인해 상기와 같은 패턴 탐지 기법을 우회하는 새로운 패턴을 생성하거나 자체 암호화를 통해 패턴을 검출할 수 없도록 함으로써, 멀웨어 탐지 도구의 무력화가 발생하고 있다. 예를 들어, 가상 화폐의 발달로 해킹이 돈이 되면서, 멀웨어를 통해 중요 정보를 유출하거나 중요 정보를 인질화하는 랜섬웨어(ransomware)에 의한 각종 보안 사고가 증가하고 있다.Vaccine and malware detection tools may be used to detect and treat risks such as various malware and viruses introduced through a removable storage medium (eg, floppy disk, USB disk) or a network such as the Internet. The characteristics of these tools are that each file or memory area is substituted based on a pre-stored pattern to detect malware and viruses, and when the pattern matches, the file execution is stopped or the file is removed, so that the malware is embedded in the terminal. Prevent the risk from spreading any further or prevent damage caused by the malware. However, due to the development of malware technology, malware detection tools are becoming incapacitated by creating new patterns that bypass the above pattern detection techniques or by making patterns undetectable through self-encryption. For example, as hacking becomes money with the development of virtual currency, various security incidents caused by ransomware that leaks important information or takes hostage of important information through malware are increasing.
이러한 문제점을 해결하고자 EDR(endpoint detection response)과 같은 기술이 존재하며, EDR은 단말의 각종 파일 및 애플리케이션(또는 프로세스)에 대한 실행 및 행위 추적을 통해 각종 멀웨어를 탐지하고, 해당 단말을 격리하거나 해당 멀웨어가 네트워크에 연결된 타 단말로 전파(또는 확산)되는 것을 방지함과 동시에, 어떻게 멀웨어가 단말로 유입되었는지에 대한 총체적 위험 대응을 수행할 수 있다.To solve this problem, technologies such as EDR (endpoint detection response) exist. EDR detects various malware through execution and behavior tracking of various files and applications (or processes) on the terminal, and isolates the terminal or It is possible to prevent malware from propagating (or spreading) to other terminals connected to the network, and at the same time, it is possible to perform a comprehensive risk response on how malware is introduced into the terminal.
하지만 단말에는 수백개의 애플리케이션이 실행되고 있으며 대량의 파일 IO(input output)가 실시간으로 발생하고 있기 때문에, 광범위한 영역을 추적하고 검사하는 EDR 기술은 단말의 물리적 계산 능력(computing power) 한계와 사용자 관점에서의 사용자 경험(user experience)을 저해하지 않는 범위 내에서 동작해야 하는 한계가 존재하므로, 멀웨어를 탐지하기 위한 민감도가 낮아질 수 밖에 없으며, 이러한 문제점을 우회하는 멀웨어의 진화 및 EDR이 해결할 수 없는 사각지대가 발생할 수 밖에 없다.However, since hundreds of applications are running on the device and a large amount of file IO (input output) is occurring in real time, the EDR technology that tracks and inspects a wide area is limited by the physical computing power of the device and from the user's point of view. Since there is a limitation that must operate within a range that does not impede the user experience of the user, the sensitivity for detecting malware is inevitably lowered, and the evolution of malware that bypasses these problems and the blind spot that EDR cannot solve can only happen
이러한 문제점을 해결하기 위해 멀웨어가 동작하는 방식을 살펴보면, 멀웨어는 대량의 실질적 위험을 발생시키고 전파시키기 위해 네트워크에 연결된 서비스(또는 서버), 또는 타 단말에 지속적인 네트워크 접속 시도를 수행하고, 네트워크 접속이 되는 경우 해당 멀웨어를 전파하거나 접속된 대상의 중요 정보를 탈취 및 인질화한다.Looking at the way malware operates to solve this problem, malware continuously attempts network access to services (or servers) or other terminals connected to the network in order to generate and propagate a large amount of practical risk, and network access is If it is, it spreads the malware or steals and hostages the important information of the connected target.
데이터 플로우 기반의 네트워크 접속 제어 기술은 허용된 애플리케이션이 허용된 네트워크에만 접속을 수행할 수 있도록 함으로써 허용되지 않은 애플리케이션인 멀웨어나 랜섬웨어가 허용되지 않은 네트워크에 접속하는 것을 차단할 수 있다. 따라서, 상술한 바와 같이 멀웨어가 네트워크 접속을 수반한다는 특성을 활용하여 문제점을 해결할 수 있는 방법을 제공할 수 있다.The data flow-based network access control technology allows permitted applications to access only permitted networks, thereby preventing unauthorized applications such as malware or ransomware from accessing unallowed networks. Therefore, as described above, it is possible to provide a method for solving the problem by utilizing the characteristic that malware accompanies network access.
애플리케이션을 실행시키고 네트워크에 접속시키기 위한 요소는 운영체제 상에서 동작하며, 애플리케이션이 안전하더라도 운영체제의 환경 및 상태에 따라 보안 기능이 무력화된 운영체제에 의한 위험 요소가 발생할 수 있다. 예를 들어, 안전한(또는 허용된) 애플리케이션이 보안 기능이 무력화되었거나 주요 시스템 파일이 위조 또는 변조된 운영체제를 통해 네트워크에 접속하는 경우 또는 운영체제에서 공격 행위가 발생한 경우, 위험을 탐지하고 네트워크 접속 제어를 할 수 없을 수 있다.Elements for executing an application and accessing a network operate on an operating system, and even if an application is safe, a risk factor may occur due to an operating system in which a security function is incapacitated depending on an environment and state of the operating system. For example, when a safe (or allowed) application accesses the network through an operating system whose security features have been disabled or key system files have been forged or tampered with, or when an operating system has been attacked, it detects the risk and enforces network access control. may not be able to
본 문서에 개시된 다양한 실시예들은 네트워크 환경에서 상술한 문제점을 해결하기 위한 시스템 및 그에 관한 방법을 제공하고자 한다.Various embodiments disclosed in this document are intended to provide a system and method for solving the above problems in a network environment.
본 문서에서 개시되는 일 실시예에 따른 노드는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서, 및 상기 프로세서와 작동적으로 연결되고, 접속 대상 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가, 상기 접속 제어 애플리케이션을 통해, 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대해 외부 서버로부터 수신된 데이터 플로우 정보 또는 애플리케이션 화이트리스트에 기반하여 검사를 수행하고, 상기 접속 대상 애플리케이션의 접속 환경에 대한 검사 결과를 상기 외부 서버로 전송하도록 하는 명령어들을 저장하고, 상기 데이터 플로우 정보 및 상기 애플리케이션 화이트리스트는 상기 외부 서버에서 생성된 접속 환경 검사 정보를 포함할 수 있다.A node according to an embodiment disclosed in this document includes a communication circuit, a processor operatively connected to the communication circuit, and a memory operatively connected to the processor and storing a connection target application and an access control application. and the memory, when executed by the processor, the node, through the access control application, checks the network access environment of the application to be connected based on data flow information or application whitelist received from an external server and storing instructions for transmitting a check result of the connection environment of the connection target application to the external server, and the data flow information and the application whitelist include connection environment check information generated in the external server. can
본 문서에서 개시되는 일 실시예에 따른 서버는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서, 및 상기 프로세서와 작동적으로 연결되고, 데이터베이스를 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 서버가, 노드의 접속 제어 애플리케이션으로부터 서비스 서버에 대한 네트워크 접속 요청을 수신하되, 상기 네트워크 접속 요청은 상기 서비스 서버의 네트워크에 접속하려는 상기 노드의 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보를 포함하고, 상기 데이터베이스에 기반하여 상기 접속 대상 애플리케이션의 상기 서비스 서버에의 접속 가능 여부를 확인하고, 접속이 가능한 경우, 상기 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보에 대응하며 상기 접속 대상 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는 유효한 데이터 플로우가 존재하는지 여부를 확인하고, 유효한 데이터 플로우의 존재 여부에 기초하여 상기 네트워크 접속 요청에 대한 응답을 상기 노드로 전송하고, 접속이 불가능한 경우, 상기 노드로 접속 불가를 나타내는 결과 정보를 전송하도록 하는 명령어들을 저장할 수 있다.A server according to an embodiment disclosed in this document includes a communication circuit, a processor operatively connected to the communication circuit, and a memory operatively connected to the processor and storing a database, the memory comprising: When executed by the processor, the server receives a network access request for a service server from an access control application of a node, wherein the network access request includes identification information of a connection target application of the node trying to access a network of the service server and Network information of the service server is included, and based on the database, whether or not the connection target application can access the service server is checked, and if access is possible, identification information of the connection target application and the network of the service server Check whether a valid data flow corresponding to the information and including connection environment inspection information for examining the network connection environment of the connection target application exists, and respond to the network access request based on whether a valid data flow exists may be transmitted to the node, and when connection is not possible, commands may be stored to transmit result information indicating that connection is not possible to the node.
본 문서에서 개시되는 일 실시예에 따른 노드의 동작 방법은, 상기 노드의 접속 제어 애플리케이션을 통해, 상기 노드의 접속 대상 애플리케이션의 접속 환경에 대해 외부 서버로부터 수신된 데이터 플로우 정보 또는 애플리케이션 화이트리스트에 기반하여 검사를 수행하는 동작, 및 상기 접속 대상 애플리케이션의 접속 환경에 대한 검사 결과를 상기 외부 서버로 전송하는 동작을 포함하고, 상기 데이터 플로우 정보 및 상기 애플리케이션 화이트리스트는 상기 외부 서버에서 생성된 접속 환경 검사 정보를 포함할 수 있다.A method of operating a node according to an embodiment disclosed in this document is based on data flow information or an application whitelist received from an external server for an access environment of an application to be connected to the node through an access control application of the node. and transmitting a test result of the connection environment of the connection target application to the external server, wherein the data flow information and the application whitelist check the connection environment generated in the external server information may be included.
본 문서에서 개시되는 일 실시예에 따른 서버의 동작 방법은, 노드의 접속 제어 애플리케이션으로부터 서비스 서버에 대한 네트워크 접속 요청을 수신하되, 상기 네트워크 접속 요청은 상기 서비스 서버의 네트워크에 접속하려는 상기 노드의 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보를 포함하는 동작, 상기 서버의 데이터베이스에 기반하여 상기 접속 대상 애플리케이션의 상기 서비스 서버에의 접속 가능 여부를 확인하는 동작, 접속이 가능한 경우, 상기 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보에 대응하며 상기 접속 대상 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는 유효한 데이터 플로우가 존재하는지 여부를 확인하고, 유효한 데이터 플로우의 존재 여부에 기초하여 상기 네트워크 접속 요청에 대한 응답을 상기 노드로 전송하는 동작, 및 접속이 불가능한 경우, 상기 노드로 접속 불가를 나타내는 결과 정보를 전송하는 동작을 포함할 수 있다.A method of operating a server according to an embodiment disclosed in this document includes receiving a network access request for a service server from an access control application of a node, and the network access request is the connection of the node trying to access the network of the service server. An operation of including identification information of a target application and network information of the service server, an operation of checking whether or not the connection target application can access the service server based on the database of the server, and if connection is possible, the connection target Check whether there is a valid data flow corresponding to the identification information of the application and the network information of the service server and including connection environment inspection information for examining the network connection environment of the connection target application, and whether there is a valid data flow An operation of transmitting a response to the network access request to the node based on , and an operation of transmitting result information indicating that connection is impossible to the node when connection is impossible.
본 문서에 개시되는 실시예들에 따르면, 안전한(또는 허용된) 애플리케이션이 보안 기능이 무력화되었거나 주요 시스템 파일이 위조 또는 변조된 운영체제를 통해 네트워크에 접속하는 경우 또는 운영체제에서 공격 행위가 발생한 경우, 위험을 탐지하고, 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 동작 방법을 제공할 수 있다.According to the embodiments disclosed in this document, when a safe (or permitted) application accesses the network through an operating system in which security functions are disabled, key system files are forged or tampered with, or an attack occurs in the operating system, a risk It is possible to provide a system for detecting and controlling network access and an operation method related thereto.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.In addition to this, various effects identified directly or indirectly through this document may be provided.
도 1은 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 2는 다양한 실시예들에 따라 컨트롤러에 저장된 데이터베이스를 나타내는 기능적 블록도이다.
도 3은 다양한 실시예들에 따른 데이터베이스에 포함된 제어 플로우 정보 및 데이터 플로우 정보를 나타낸다.
도 4는 다양한 실시예들에 따른 노드의 기능적 블록도이다.
도 5는 다양한 실시예들에 따라 데이터 패킷의 전송을 제어하는 동작을 설명한다.
도 6은 다양한 실시예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 7은 다양한 실시예들에 따른 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 8은 다양한 실시예들에 따른 컨트롤러 접속을 위한 사용자 인터페이스 화면을 도시한다.
도 9는 다양한 실시예들에 따른 네트워크 접속을 위한 신호 흐름도를 나타낸다.
도 10은 다양한 실시예들에 따른 접속 환경 검사를 위한 신호 흐름도를 나타낸다.
도 11은 다양한 실시예들에 따른 네트워크 접속 제어를 위한 사용자 인터페이스 화면을 도시한다.
도 12는 다양한 실시예들에 따른 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.
도 13은 다양한 실시예들에 따른 제어 플로우 제거를 위한 신호 흐름도를 나타낸다.
도 14는 다양한 실시예들에 따른 데이터 플로우 제거를 위한 신호 흐름도를 나타낸다.1 illustrates an architecture within a network environment in accordance with various embodiments.
2 is a functional block diagram illustrating a database stored in a controller according to various embodiments.
3 illustrates control flow information and data flow information included in a database according to various embodiments.
4 is a functional block diagram of a node in accordance with various embodiments.
5 describes an operation of controlling transmission of a data packet according to various embodiments.
6 shows a signal flow diagram for controller connection according to various embodiments.
7 shows a signal flow diagram for user authentication according to various embodiments.
8 illustrates a user interface screen for accessing a controller according to various embodiments.
9 shows a signal flow diagram for network access according to various embodiments.
10 shows a signal flow diagram for checking a connection environment according to various embodiments.
11 illustrates a user interface screen for network access control according to various embodiments.
12 shows a signal flow diagram for control flow update according to various embodiments.
13 shows a signal flow diagram for control flow cancellation according to various embodiments.
14 shows a signal flow diagram for data flow cancellation according to various embodiments.
이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be understood that this is not intended to limit the present invention to the specific embodiments, and includes various modifications, equivalents, and/or alternatives of the embodiments of the present invention.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나","A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, "기능적으로" 또는 "통신적으로"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.In this document, the singular form of a noun corresponding to an item may include one item or a plurality of items, unless the context clearly dictates otherwise. In this document, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A, Each of the phrases such as "at least one of B or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "secondary" may simply be used to distinguish a given component from other corresponding components, and may be used to refer to a given component in another aspect (eg, importance or order) is not limited. A (e.g., first) component is said to be "coupled" or "connected" to another (e.g., second) component, with or without the terms "functionally" or "communicatively." When mentioned, it means that the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. . According to various embodiments, operations performed by modules, programs, or other components are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the operations are executed in a different order, omitted, or , or one or more other operations may be added.
본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. The term "module" used in this document may include a unit implemented in hardware, software, or firmware, and may be used interchangeably with terms such as logic, logic block, component, or circuit, for example. A module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions. For example, according to one embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).
본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.Various embodiments of the present document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.
본 문서에 개시된 다양한 실시 예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다. Methods according to various embodiments disclosed in this document may be included and provided in a computer program product. Computer program products may be traded between sellers and buyers as commodities. A computer program product is distributed in the form of a device-readable storage medium (eg compact disc read only memory (CD-ROM)), or through an application store or between two user devices (eg smartphones). It can be distributed (e.g., downloaded or uploaded) directly or online. In the case of online distribution, at least part of the computer program product may be temporarily stored or temporarily created in a device-readable storage medium such as a manufacturer's server, an application store server, or a relay server's memory.
도 1은 다양한 실시 예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다. 1 illustrates an architecture within a network environment according to various embodiments.
도 1에 도시된 노드(201-1 또는 201-2)는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 예를 들어, 노드(201-1 또는 201-2)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 노드(201-1 또는 201-2)는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 노드(201-1 또는 201-2)는 '전자 장치' 또는 '단말'로도 참조될 수 있다.A node 201-1 or 201-2 shown in FIG. 1 may be various types of devices capable of performing data communication. For example, the node 201-1 or 201-2 may be a portable device such as a smartphone or tablet, a computer device such as a desktop or laptop, a multimedia device, a medical device, a camera, a wearable device, a VR (virtual reality) devices, or home appliances, but is not limited to the aforementioned devices. For example, node 201-1 or 201-2 may include a server or gateway capable of transmitting data packets via an application. The node 201-1 or 201-2 may also be referred to as an 'electronic device' or a 'terminal'.
노드(201-1)는 인터넷을 통해 서비스 서버(205-1 또는 205-2)에 접근하고, 노드(201-2)는 인트라넷을 통해 서비스 서버(205-1, 205-2)에 접근하는 상황이 가정될 수 있다.A situation in which the node 201-1 accesses the service server 205-1 or 205-2 through the Internet and the node 201-2 accesses the service servers 205-1 and 205-2 through the intranet this can be assumed.
노드(201-1 또는 201-2)는 접속 애플리케이션(211-1 또는 211-2) 및 접속 제어 애플리케이션(212-1 또는 212-2)을 저장할 수 있다. 접속 애플리케이션(211-1 또는 211-2)은 '타겟 애플리케이션' 또는 '대상 애플리케이션'으로 참조될 수 있다. 접속 애플리케이션(211-1 또는 211-2)은 서비스 서버(205-1 또는 205-2)의 네트워크에 접속을 요청하므로, '접속 대상 애플리케이션'으로도 참조될 수 있다.A node 201-1 or 201-2 may store a connection application 211-1 or 211-2 and a connection control application 212-1 or 212-2. The connection application 211-1 or 211-2 may be referred to as a 'target application' or 'target application'. Since the connection application 211-1 or 211-2 requests access to the network of the service server 205-1 or 205-2, it may also be referred to as a 'connection target application'.
접속 애플리케이션(211-1 또는 211-2) 각각은 접속 제어 애플리케이션(212-1 또는 212-2)의 제어 하에 게이트웨이(203)를 통해 서비스 서버(205-1 또는 205-2)로 데이터 패킷을 전송하거나 반대로 데이터 패킷을 수신할 수 있다.Each of the access applications 211-1 or 211-2 transmits data packets to the service server 205-1 or 205-2 through the
접속 애플리케이션(211-1 또는 211-2) 중 일부는 웹 브라우저 또는 비즈니스 애플리케이션과 같이 허용된 및/또는 보안된 애플리케이션인 반면에 다른 일부는 허용되지 않은 프로그램(예: 멀웨어, 랜섬웨어, 기타 허용되지 않은 애플리케이션)이거나 보안되지 않은 악성 프로그램(악성 코드에 감염되거나, 위조 또는 변조된 애플리케이션)일 수 있다. 실시 예들에 따르면 접속 제어 애플리케이션(212-1 또는 212-2)은 데이터 패킷의 송신을 요청하는 프로그램(또는 접속 애플리케이션, 접속 애플리케이션의 프로세스)을 식별하고, 허용되지 않은 프로그램의 데이터 패킷이 노드(201-1 또는 201-2)의 외부로 송신되는 것을 방지할 수 있다. 또한, 실시 예들에 따르면, 접속 제어 애플리케이션(212-1 또는 212-2)은 접속 제어 애플리케이션(212-1 또는 212-2)과 게이트웨이(203) 간 채널을 통해 인가되지 않은 프로그램의 서비스 서버(205-1 또는 205-2)에 대한 접속을 차단하고 해당 프로그램을 격리할 수 있다. 채널은 '보안 세션'으로 참조될 수 있다.Some of the accessing applications (211-1 or 211-2) are allowed and/or secured applications, such as web browsers or business applications, while others are disallowed programs (e.g. malware, ransomware, and other unacceptable applications). unsecured applications) or insecure malicious programs (applications that have been infected with malware, forged or tampered with). According to embodiments, the access control application 212-1 or 212-2 identifies a program (or access application, process of the access application) requesting transmission of data packets, and the data packet of the disallowed program is sent to the
예를 들어, 접속 애플리케이션(211-1)이 서비스 서버(205-1 또는 205-2)와 통신하기 이전에 접속 제어 애플리케이션(212-1)은 컨트롤러(202)로부터 접속 가능 여부를 확인하고, 접속 가능한 경우 컨트롤러(202)에 의하여 인증된 데이터 패킷을 통해 게이트웨이(203)와 인증을 수행할 수 있다. 인증이 완료되면 접속 제어 애플리케이션(212-1)은 게이트웨이(203)와 채널(220-1)을 생성할 수 있다. 접속 제어 애플리케이션(212-1)은 허용되지 않은 접속 애플리케이션(211-1)이 허용되지 않은 목적지로 데이터 패킷을 전송하는 것을 방지하고, 노드(201-1)와 게이트웨이(203) 사이에 생성된 채널(220-1)을 통해 허용된 데이터 패킷만이 전송되도록 할 수 있다.For example, before the access application 211-1 communicates with the service server 205-1 or 205-2, the access control application 212-1 checks whether access is available from the
컨트롤러(202)는 예를 들어, 서버(또는 클라우드 서버, 인트라넷)일 수 있다. 컨트롤러(202)는 노드(201-1 또는 201-2), 게이트웨이(203), 및 서비스 서버(205-1 또는 205-2) 간 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 예를 들어, 컨트롤러(202)는 정책 정보 또는 블랙리스트 정보를 통해 인가된 노드(201-1 또는 201-2)(또는, 접속 제어 애플리케이션(212-1 또는 212-2))의 네트워크 접속을 허용할 수 있다.The
또한, 컨트롤러(202)는 접속 제어 애플리케이션(212-1)과 게이트웨이(203) 간 채널(220-1)의 생성을 중개하거나, 노드(201-1), 게이트웨이(203), 또는 연동된 타 보안 시스템(미도시)으로부터 수집된 보안 이벤트에 따라서 채널(220-1)을 제거(또는, 회수)할 수 있다. 접속 제어 애플리케이션(212-1)은 컨트롤러(202)에 의하여 인가된 채널(220-1)을 통해서만 서비스 서버(205-1 또는 205-2)와 통신할 수 있으며, 인가된 채널(220-1)이 존재하지 않으면 노드(201-1) 및 접속 제어 애플리케이션(212-1)의 네트워크 접속이 차단될 수 있다.In addition, the
컨트롤러(202)는 노드(201-1 또는 201-2) 또는 접속 제어 애플리케이션(212-1 또는 212-2)이 접속 애플리케이션(211-1 또는 211-2)의 접속 환경에 대한 검사를 수행한 결과 정보를 분석하여 유해 접속 환경인지 여부를 판단할 수 있다. 예를 들어, 컨트롤러(202)는 자체적으로 또는 외부 시스템과 연계하여 유해 접속 환경인지 여부를 판단할 수 있다. 컨트롤러(202)는 단순 검사 또는 AI(artificial intelligence) 기반 검사의 형태로 유해 접속 환경인지 여부를 판단할 수 있다.The
일 실시 예에서, 접속 애플리케이션(211-1)은 컨트롤러(202)에 의하여 인가된 채널(220-1)을 통해서만 서비스 서버(205-1 또는 205-2)와 통신할 수 있으며, 인가된 채널(220-1)이 존재하지 않으면 접속 애플리케이션(211-1)의 네트워크 접속은 접속 제어 애플리케이션(212-1), 컨트롤러(202) 또는 게이트웨이(203)로부터 차단될 수 있다. 일 실시 예에 따르면, 컨트롤러(202)는 노드(201-1) 또는 접속 제어 애플리케이션(212-1)의 네트워크 접속과 연관된 다양한 동작(예: 등록, 승인, 인증, 갱신, 또는 종료)을 수행하기 위하여 접속 제어 애플리케이션(212-1)과 제어 데이터 패킷을 송수신할 수 있다. 제어 데이터 패킷이 전송되는 흐름(예: 230)은 '제어 플로우(control flow)'로 참조될 수 있다.In one embodiment, the connection application 211-1 may communicate with the service server 205-1 or 205-2 only through the channel 220-1 authorized by the
게이트웨이(203)는 노드(201-1 또는 201-2)가 속하는 네트워크의 경계 또는 서비스 서버(205-1 또는 205-2)가 속하는 네트워크의 경계에 위치할 수 있다. 예를 들어, 게이트웨이(203)는 인트라넷 또는 클라우드(cloud)의 경계에 위치할 수 있다. 일 실시 예에 따르면, 게이트웨이(203)는 클라우드 기반으로 컨트롤러(202)와 연결될 수 있다. 게이트웨이(203)는 접속 제어 애플리케이션(212-1 또는 212-2)으로부터 수신된 데이터 패킷 중에서 인가된 데이터 패킷만을 서비스 서버(205-1 또는 205-2)로 포워딩할 수 있다. 접속 제어 애플리케이션(212-1 또는 212-2) 및 게이트웨이(203) 사이에서 데이터 패킷이 전송되는 흐름(예: 240-1 또는 240-2)은 '데이터 플로우(data flow)'로 참조될 수 있다.The
데이터 플로우는 노드 또는 IP 단위뿐만 아니라 보다 세부적인 단위(예: 애플리케이션 단위)로도 생성될 수 있다. 게이트웨이(203)는 접속 제어 애플리케이션(212-1 또는 212-2)과 게이트웨이(203) 간 채널 생성 이전에 접속 제어 애플리케이션(212-1 또는 212-2)의 인증을 수행하고, 접속 제어 애플리케이션(212-1 또는 212-2)으로부터 전송된 데이터 패킷 중 채널을 통해 전송된 데이터 패킷만을 서비스 서버(205-1 또는 205-2)로 포워딩함으로써 무분별한 네트워크 접속을 사전에 차단할 수 있다.Data flows can be created not only on a node or IP basis, but also on a more granular basis (e.g., on an application basis). The
도 2는 다양한 실시예들에 따라 컨트롤러(202)에 저장된 데이터베이스를 나타내는 기능적 블록도이며, 도 3은 데이터베이스에 포함된 제어 플로우 정보(340) 및 데이터 플로우 정보(350)를 나타낸다.2 is a functional block diagram illustrating a database stored in the
도 2를 참조하면, 컨트롤러(202)는 네트워크 접속 및 데이터 전송의 제어를 위한 데이터베이스(311 내지 319)를 메모리(330)에 저장할 수 있다. 도 2는 메모리(330)만을 도시하지만, 컨트롤러(202)는 외부 전자 장치(예: 도 1의 노드(201-1 또는 201-2), 게이트웨이(203) 또는 서비스 서버(205-1 또는 205-2))와 통신을 수행하기 위한 통신 회로(예: 도 4의 통신 회로(430)) 및 컨트롤러(202)의 전반적인 동작을 제어하기 위한 프로세서(예: 도 4의 프로세서(410))를 더 포함할 수 있다. 관리자는 컨트롤러(202)에 접속하여 접속 제어 애플리케이션(212-1 또는 212-2)과 서비스 서버(205-1 또는 205-2) 간 접속을 제어하기 위한 연결 중심의 정책을 설정할 수 있으므로, 서비스 단에서 세션을 관리하는 것보다 세밀하고 안전하게 네트워크 접속을 제어할 수 있다.Referring to FIG. 2 , the
접속 정책 데이터베이스(311)는 식별된 네트워크, 노드, 또는 애플리케이션이 접속 가능한 네트워크 및/또는 서비스에 대한 정보를 포함할 수 있다. 예를 들어, 컨트롤러(202)는 접속 제어 애플리케이션(212-1 또는 212-2)의 네트워크 접속 요청 시, 접속 정책 데이터베이스(311)의 정책에 기반하여 식별된 네트워크(예: 노드(201-1 또는 201-2)가 속하는 네트워크), 노드(201-1 또는 201-2), 사용자(예: 노드(201-1 또는 201-2)의 사용자), 및/또는 애플리케이션(예: 노드(201-1 또는 201-2)에 포함되는 접속 애플리케이션(211-1 또는 211-2))이 서비스 서버(205-1 또는 205-2)에 접속이 가능한지 여부를 결정할 수 있다. 일 실시 예에서, 컨트롤러(202)는 접속 정책 데이터베이스(311)에 기반하여 특정 서비스(예: IP 및 포트)로 접속 가능한 애플리케이션의 화이트리스트를 생성할 수 있다.The access policy database 311 may include information about networks and/or services to which the identified networks, nodes, or applications may access. For example, the
채널 정책 데이터베이스(312)는 접속 정책 데이터베이스(311)의 정책에 따른 접속 경로 상에서 노드(201-1 또는 201-2)와 서비스 서버(205-1 또는 201-2)(또는, 도착지 IP 및 포트)의 사이에 존재하는 게이트웨이(203)와의 채널 생성에 필요한 정보(예: 인증 정보, 암호화 알고리즘, 및/또는 터널 끝점 IP(Tunnel End Point IP))를 포함할 수 있다. 채널 정책 데이터베이스(312)는 접속 경로 사이에 타 게이트웨이를 통해 사전에 연결된 채널이 존재하는 경우, 이를 사용하기 위한 정보(예: 노드에 할당된 IP 정보의 수집 여부 및 대체 처리 여부)를 포함할 수 있다.The channel policy database 312 connects the node 201-1 or 201-2 and the service server 205-1 or 201-2 (or destination IP and port) on the access path according to the policy of the access policy database 311. It may include information (eg, authentication information, encryption algorithm, and/or Tunnel End Point IP) necessary for channel creation with the
채널 테이블(318)은 노드(201-1 또는 201-2)에 할당된 채널 전용 IP 및 채널 생성 정보를 포함할 수 있다.The channel table 318 may include a dedicated channel IP assigned to node 201-1 or 201-2 and channel creation information.
접속 환경 검사 정책 데이터베이스(313)는 접속 정책 데이터베이스(311)의 정책에 따라 네트워크 접속이 허용되는 애플리케이션이 네트워크에 접속하는 경우 접속 환경(예: 운영체제)이 안전한지 여부를 검사하기 위한 정보, 노드(201-1 또는 201-2)에서 네트워크 접속을 요청하는 애플리케이션(예: 접속 애플리케이션(211-1 또는 211-2))이 접속하는 접속 환경(예: 운영체제)에서 준수해야 하는 보안 정책(예: 방화벽 활성화, 백신 활성화, 및/또는 운영체제 자동 업데이트 활성화) 및 접속 애플리케이션(211-1 또는 211-2)이 서비스 서버(205-1 또는 205-2)에 접속하는 경우 준수해야 하는 보안 정책(예: USB 디스크 연결 여부 및/또는 카메라 사용 여부)을 포함할 수 있다. 접속 환경 검사 정책 데이터베이스(313)는 운영체제가 안전하다고 판단하기 위한 검사 정보로서, 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보를 포함할 수 있다. 접속 환경 검사 정책 데이터베이스(313)는 접속 애플리케이션이 실행되어 네트워크에 접속하기까지의 경로 상에 존재하는 시스템 파일 및 관련 프로세스를 검사하기 위한 정보로서, 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 접속 환경 검사 정책 데이터베이스(313)는 해당 요소가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB(database) 정보를 포함하는 검사 조건을 노드(201-1 또는 201-2)에 요청하고, 노드(201-1 또는 201-2)가 검사한 결과 정보에 기반하여 검사를 수행하기 위한 정보와, 검사 주기 및 시점 정보와 같은 정책 정보를 포함할 수 있다.The access environment inspection policy database 313 includes information for inspecting whether an access environment (eg, operating system) is safe when an application permitted to access the network accesses the network according to the policy of the access policy database 311, a node ( Security policies (e.g., firewalls) that must be followed in the access environment (e.g., operating system) accessed by the application (e.g., access application (211-1 or 211-2)) requesting network access from 201-1 or 201-2. activation, anti-virus activation, and/or activation of automatic operating system updates) and security policies (e.g., USB whether a disk is connected and/or whether a camera is used). The connection environment inspection policy database 313 is inspection information for determining that the operating system is safe, and may include unique information such as a signature, fingerprint, hash, or registry for the operating system. The access environment inspection policy database 313 is information for inspecting system files and related processes existing on a path from execution of a connection application to connection to a network, including signatures, fingerprints, hashes, Alternatively, unique information such as a registry and information for analyzing the corresponding binary may be included. The connection environment inspection policy database 313 requests the node 201-1 or 201-2 for inspection conditions including malware detection tool or pattern DB (database) information for inspecting whether the corresponding element is safe, and Information for performing an inspection based on the inspection result information of (201-1 or 201-2) and policy information such as inspection period and timing information may be included.
접속 환경 데이터베이스(319)는 접속 환경이 정상적인 것으로 기대할 수 있는 정보로서, 정상적인 접속 환경으로 판단하기 위한 운영체제 종류 및 버전 별 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보, 및 접속 애플리케이션(211-1 또는 211-2)이 실행되어 네트워크에 접속하기까지의 경로 상에 존재하는 시스템 파일 및 관련 프로세스를 검사하기 위한 정보로서 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 또한, 접속 환경 데이터베이스(319)는 패턴이 확정된 유해한 접속 환경의 고유 정보를 포함할 수 있다. 접속 환경 데이터베이스(319)는 노드(201-1 또는 202-2)에서 접속 환경을 검사한 결과 정보에 기반하여 접속 환경이 정상이거나 정상이 아닌지 여부, 또는 유해한 접속 환경인지 여부를 식별하기 위한 정보를 제공할 수 있다.The
블랙리스트 정책 데이터베이스(314)는 노드(201-1 또는 201-2) 또는 게이트웨이(203)에서 주기적으로 수집되는 보안 이벤트 중에서 보안 이벤트의 위험도, 발생 주기, 및/또는 행위 분석을 통해 식별된 대상(예: 노드 ID(identifier), IP 주소, MAC(media access control) 주소, 또는 사용자 ID 중 적어도 하나)의 접속을 차단하기 위한 블랙리스트 등록 정책을 나타낼 수 있다. 또한, 블랙리스트 정책은 접속 환경 검사 결과에 따라 애플리케이션(예: 접속 애플리케이션(211-1 또는 211-2))의 위험 수준을 판단하고, 위험 수준에 따라 애플리케이션의 격리 여부를 판단하기 위한 정보로 사용될 수 있다.The blacklist policy database 314 is a target identified through analysis of risk, occurrence cycle, and/or behavior of security events among security events periodically collected by the node 201-1 or 201-2 or the gateway 203 ( Example: A blacklist registration policy for blocking access of at least one of a node identifier (ID), an IP address, a media access control (MAC) address, or a user ID) may be indicated. In addition, the blacklist policy is used as information to determine the risk level of an application (e.g., access application (211-1 or 211-2)) according to the access environment inspection result, and to determine whether to isolate the application according to the risk level. can
블랙리스트 데이터베이스(315)는 블랙리스트 정책 데이터베이스(314)에 의해서 차단된 대상에 대한 목록을 포함할 수 있다. 예를 들어, 컨트롤러(202)는 네트워크 접속을 요청하는 노드(201-1 또는 201-2)의 식별 정보가 블랙리스트 데이터베이스(315)에 포함되면 네트워크 접속 요청을 거부함으로써 노드(201-1 또는 201-2)를 격리시킬 수 있다.The
제어 플로우 테이블(316)은 접속 제어 애플리케이션(212-1 또는 212-2)과 컨트롤러(202) 사이에 생성된 제어 데이터 패킷의 흐름(즉, 제어 플로우)을 관리하기 위한 세션 테이블의 일 예이다.The control flow table 316 is an example of a session table for managing a flow of control data packets generated between the connection control application 212-1 or 212-2 and the controller 202 (ie, control flow).
예를 들어 도 3을 참조하면, 접속 제어 애플리케이션(212-1 또는 212-2)이 성공적으로 컨트롤러(202)에 접속하는 경우 제어 플로우 정보(340) 및 제어 플로우 ID(342)(또는 '제어 플로우 식별 정보'로도 참조될 수 있다)가 컨트롤러(202)에 의하여 생성될 수 있다. 제어 플로우 정보(340)는 컨트롤러 접속 및 인증 시 식별된 IP, 노드, 애플리케이션, 또는 서비스 서버와의 연계를 통해 추가적으로 식별된 대상 중 적어도 하나를 나타내는 식별 정보(344)를 포함할 수 있다. 예를 들어 접속 제어 애플리케이션(212-1 또는 212-2)의 네트워크 접속 요청이 수신되면, 컨트롤러(202)는 접속 요청에 포함된 제어 플로우 ID 및 식별 정보를 제어 플로우 정보(340)에 포함된 제어 플로우 ID(342) 및 식별 정보(344)와 매핑함으로써 접속 제어 애플리케이션(212-1 또는 212-2)의 서비스 서버(205-1 또는 205-2)에 대한 접속 가능 여부 및 게이트웨이(203)와의 보안 세션 생성을 위한 데이터 플로우 생성 가능 여부를 결정할 수 있다.For example, referring to FIG. 3 , when the access control application 212-1 or 212-2 successfully accesses the
또한, 제어 플로우 정보(340)는 네트워크 접속을 시도하는 모든 애플리케이션에 공통적으로 적용되며, 각 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보(345)를 포함할 수 있다. 접속 환경 검사 정보(345)는 접속 환경(예: 운영체제)이 안전한지 여부를 검사하기 위한 정보, 노드(201-1 또는 201-2)에서 네트워크 접속을 요청하는 애플리케이션(예: 접속 애플리케이션(211-1 또는 211-2))이 접속하는 접속 환경(예: 운영체제)에서 준수해야 하는 보안 정책(예: 방화벽 활성화, 백신 활성화, 및/또는 운영체제 자동 업데이트 활성화) 및 접속 애플리케이션(211-1 또는 211-2)이 서비스 서버(205-1 또는 205-2)에 접속하는 경우 준수해야 하는 보안 정책(예: USB 디스크 연결 여부 및/또는 카메라 사용 여부)을 포함할 수 있다. 접속 환경 검사 정보(345)는 운영체제가 안전하다고 판단하기 위한 검사 정보로서, 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보, 및 접속 애플리케이션이 실행되어 네트워크에 접속하기까지의 경로 상에 존재하는 시스템 파일 및 관련 프로세스를 검사하기 위한 정보로서, 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 접속 환경 검사 정보(345)는 해당 요소가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB(database) 정보를 포함하는 검사 조건을 노드(201-1 또는 201-2)에 요청하고, 노드(201-1 또는 201-2)가 검사한 결과 정보에 기반하여 검사를 수행하기 위한 정보와, 검사 주기 및 시점 정보와 같은 정책 정보를 포함할 수 있다.In addition, the
또한, 제어 플로우 정보(340)는 제어 플로우의 생성, 인증, 갱신, 또는 종료와 같은 다양한 상태를 나타내는 상태 정보(346)를 포함할 수 있다.In addition, the
일 실시 예에 따르면, 제어 플로우는 만료 시간을 가지므로, 노드(201)는 시간 정보(348)에 기반하여 제어 플로우의 만료 시간을 갱신해야 하며, 일정 시간 동안에 만료 시간이 갱신되지 않으면 제어 플로우(또는, 제어 플로우 정보(340))는 제거될 수 있다. 또한, 노드(201-1 또는 201-2), 접속 제어 애플리케이션(212-1 또는 212-2), 다른 보안 애플리케이션(미도시), 또는 게이트웨이로(203)부터 수집된 보안 이벤트에 따라서 즉각적인 접속 차단이 필요하다고 결정되거나, 이들로부터 접속 종료 요청이 수신되면, 컨트롤러(202)는 제어 플로우를 제거할 수 있다. 제어 플로우가 제거되면 관련된 데이터 플로우 또한 제거되며, 게이트웨이(203)는 접속 제어 애플리케이션(212-1 또는 212-2) 또는 접속 애플리케이션(211-1 또는 211-2)의 서비스 서버(205-1 또는 205-2)에 대한 접속을 차단할 수 있다.According to one embodiment, since the control flow has an expiration time, the
데이터 플로우 테이블(317)은 노드(201-1 또는 201-2)와 게이트웨이(203), 및 서비스 서버(205-1 또는 205-2) 사이에 세부적인 데이터 패킷이 전송되는 흐름(예: 데이터 플로우)을 관리하기 위한 테이블이다. 데이터 플로우는 TCP 세션, 애플리케이션, 또는 보다 세부적인 단위로 생성될 수 있다. 데이터 플로우 테이블(317)은 노드(201-1 또는 201-2)의 접속 제어 애플리케이션(212-1 또는 212-2), 게이트웨이(203), 및 서비스 서버(205-1 또는 205-2)의 채널 및 세션을 관리하기 위한 데이터 플로우 정보(350)를 포함할 수 있다.The data flow table 317 is a flow (e.g., data flow ) is a table for managing Data flows can be created in TCP sessions, applications, or more granular units. The data flow table 317 is the access control application 212-1 or 212-2 of the node 201-1 or 201-2, the
도 3을 참조하면, 데이터 플로우 정보(350)는 데이터 플로우를 식별하기 위한 데이터 플로우 ID(351)와 데이터 플로우가 제어 플로우에 종속되는 경우에는 제어 플로우 ID(352)를 포함할 수 있다. 또한, 데이터 플로우 정보(350)는 애플리케이션(예: 접속 제어 애플리케이션(212-1 또는 212-2)) 및 애플리케이션의 최소 식별 단위와 서비스 서버(205-1 또는 205-2) 사이에 존재하는 게이트웨이(203)가 해당 데이터 패킷의 출발지 IP, 도착지 IP, 및 서비스 포트 정보를 기반으로 네트워크 접속 가능 여부를 판단하기 위한 인가 대상 정보(353)를 포함할 수 있다. 또한, 데이터 플로우 정보(350)는 데이터 플로우가 사용 가능한 유효한 상태인지 여부를 나타내는 상태 정보(355), 및 데이터 플로우를 주기적으로 인증할 경우 필요한 인증 만료 시간을 나타내는 시간 정보(356)를 포함할 수 있다. 또한, 데이터 플로우 정보(350)는 접속 환경 검사 정보(354)를 더 포함할 수 있다. 접속 환경 검사 정보(354)는 접속 애플리케이션(211-1 또는 211-2)의 네트워크 접속 환경을 검사하기 위한 정보일 수 있다. 접속 환경 검사 정보(354)는 접속 환경(예: 운영체제)에서 준수해야 하는 보안 정책(예: 방화벽 활성화, 백신 활성화, 및/또는 운영체제 자동 업데이트 활성화) 및 접속 애플리케이션(211-1 또는 211-2)이 서비스 서버(205-1 또는 205-2)에 접속하는 경우 준수해야 하는 보안 정책(예: USB 디스크 연결 여부 및/또는 카메라 사용 여부)을 포함할 수 있다. 접속 환경 검사 정보(354)는 운영체제가 안전하다고 판단하기 위한 검사 정보로서, 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보, 및 접속 애플리케이션이 실행되어 네트워크에 접속하기까지의 경로 상에 존재하는 시스템 파일 및 관련 프로세스를 검사하기 위한 정보로서, 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 접속 환경 검사 정보(354)는 해당 요소가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB(database) 정보를 포함하는 검사 조건을 노드(201-1 또는 201-2)에 요청하고, 노드(201-1 또는 201-2)가 검사한 결과 정보에 기반하여 검사를 수행하기 위한 정보와, 검사 주기 및 시점 정보와 같은 정책 정보를 포함할 수 있다.Referring to FIG. 3 , data flow
컨트롤러(202)에 저장된 데이터 플로우 테이블(317)의 구조는 노드(201-1 또는 201-2)와 게이트웨이(203)에 각각 적용될 수 있다.The structure of the data flow table 317 stored in the
도 4는 다양한 실시 예들에 따른 노드(201-1 또는 201-2)의 기능적 블록도를 나타낸다. 도 4에 도시된 구성들 중 적어도 일부는 컨트롤러(202), 게이트웨이(203), 또는 서비스 서버(205-1 또는 205-2)에 적용될 수 있다.4 shows a functional block diagram of a node 201-1 or 201-2 according to various embodiments. At least some of the configurations shown in FIG. 4 may be applied to the
도 4를 참조하면, 노드(201-1 또는 201-2)는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시 예에 따르면, 노드(201-1 또는 201-2)는 사용자 인터페이스를 제공하기 위하여 디스플레이(440)를 더 포함할 수 있다.Referring to FIG. 4 , a node 201-1 or 201-2 may include a
프로세서(410)는 노드의 전반적인 동작을 제어할 수 있다. 다양한 실시 예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다.The
프로세서(410)의 전부 또는 일부는 노드(201-1 또는 201-2) 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기반하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에게 제공할 수 있다.All or part of
프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다.The
메모리(420)는 노드를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션 프로그램, OS(operating system), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다. 메모리(420)는 휘발성 메모리(volatile memory) 또는 불휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다. 메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다.The memory 420 may store commands for controlling nodes, control command codes, control data, or user data. For example, the memory 420 may include at least one of an application program, an operating system (OS), middleware, or a device driver. The memory 420 may include one or more of volatile memory and non-volatile memory. Volatile memory includes dynamic random access memory (DRAM), static RAM (SRAM), synchronous DRAM (SDRAM), phase-change RAM (PRAM), magnetic RAM (MRAM), resistive RAM (RRAM), and ferroelectric RAM (FeRAM). can include The nonvolatile memory may include read only memory (ROM), programmable ROM (PROM), electrically programmable ROM (EPROM), electrically erasable programmable ROM (EEPROM), flash memory, and the like. The memory 420 uses a nonvolatile medium such as a hard disk drive (HDD), a solid state disk (SSD), an embedded multi media card (eMMC), or a universal flash storage (UFS). can include more.
일 실시 예에 따르면, 메모리(420)는 도 1의 접속 애플리케이션(211-1 또는 211-2) 및 접속 제어 애플리케이션(212-1 또는 212-2)을 저장할 수 있다. 접속 제어 애플리케이션(212-1 또는 212-2)은 게이트웨이(203)와의 네트워크 접속 및 채널(220-1) 생성과, 컨트롤러(202)와의 제어 플로우 생성 및 갱신 기능을 수행할 수 있다. 이를 위하여 접속 제어 애플리케이션(212-1 또는 212-2)은 하나 이상의 보안 모듈을 포함할 수 있다. 일 실시 예에서, 메모리(420)는 도 3의 제어 플로우 정보(340) 및 데이터 플로우 정보(350)를 저장할 수 있다.According to one embodiment, the memory 420 may store the connection application 211-1 or 211-2 and the access control application 212-1 or 212-2 of FIG. 1 . The access control application 212-1 or 212-2 may perform a network connection with the
일 실시 예에서, 접속 애플리케이션(211-1 또는 211-2)은 게이트웨이(203)와의 채널(220-1) 생성을 위하여 하나 이상의 보안 모듈을 포함할 수 있다.In one embodiment, the connection application 211-1 or 211-2 may include one or more security modules to create a channel 220-1 with the
통신 회로(430)는 노드(201-1 또는 201-2)와 외부 전자 장치(예: 컨트롤러(202) 또는 게이트웨이(203)) 간의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시 예에 따르면, 통신 회로(430)는 무선 통신 회로(예: 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예: LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.The
디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 출력할 수 있다. 다양한 실시 예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시 예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.The
도 5는 다양한 실시 예들에 따라 데이터 패킷의 전송을 제어하는 동작을 설명한다.5 describes an operation of controlling transmission of a data packet according to various embodiments.
도 5를 참조하면, 접속 제어 애플리케이션(212)은 노드(201)에 포함된 타겟 애플리케이션(211)으로부터 서비스 서버(205)에 대한 네트워크 접속 요청을 감지하고, 노드(201) 또는 접속 제어 애플리케이션(212)이 컨트롤러(202)와 접속된 상태인지 여부를 결정할 수 있다. 노드(201) 또는 접속 제어 애플리케이션(212)이 컨트롤러(202)와 접속된 상태가 아닌 경우, 접속 제어 애플리케이션(212)은 운영체제가 포함되는 커널이나 네트워크 드라이버에서 데이터 패킷의 전송을 차단할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로 접속을 요청하기 위한 데이터 패킷만을 전송할 수 있을 뿐이고, 컨트롤러(202)와 접속된 상태가 아닌 경우 서비스 서버(205)로는 어떠한 데이터 패킷도 전송되지 않는다. 접속 제어 애플리케이션(212)은 컨트롤러(202)에 접속하여 타겟 애플리케이션(211)에 대한 식별 및 인증을 수행하며, 인증 수행 이후 접속 네트워크 정보를 컨트롤러(202)에 질의하여 타겟 애플리케이션(211)의 서비스 서버(205)에 대한 접속 가능 여부를 확인할 수 있고, 인가된 애플리케이션만 서비스 서버(205)에 접속 가능하다. 접속 제어 애플리케이션(212)을 통해, 노드(201)는 OSI(open system interconnection) 7 계층 중 응용 계층에서 악의적인 애플리케이션(예: 랜섬웨어(ransomware) 또는 멀웨어(malware))의 접속을 사전에 차단할 수 있다.Referring to FIG. 5, the access control application 212 detects a network access request to the service server 205 from the
일 실시 예에서, 접속 제어 애플리케이션(212)이 게이트웨이(203)에 의하여 인증되지 않았거나, 접속 제어 애플리케이션(212)과 게이트웨이(203) 간 채널이 생성되지 않은 경우, 접속 제어 애플리케이션(212)으로부터 전송되는 데이터 패킷은 게이트웨이(203)에 의하여 차단될 수 있다. 실시 예에 따라서, 접속 제어 애플리케이션(212)이 게이트웨이(203)에 의하여 인증되지 않아도 접속 제어 애플리케이션(212)으로부터 전송되는 데이터 패킷은 게이트웨이(203)에 의하여 차단되지 않는 경우가 존재할 수 있다.In one embodiment, transmission from the access control application 212 if the access control application 212 has not been authenticated by the
다른 실시 예에 따르면, 노드(201)에 접속 제어 애플리케이션(212)이 설치되지 않거나 악성 애플리케이션이 접속 제어 애플리케이션(212)의 제어를 우회하는 경우, 비인가된 데이터 패킷이 노드(201)로부터 전송될 수 있다. 이 경우, 네트워크의 경계에 존재하는 게이트웨이(203)는 인가되지 않은 보안 세션으로 수신되는 데이터 패킷 및 데이터 플로우가 존재하지 않는 데이터 패킷을 차단하므로 노드(201)로부터 송신된 데이터 패킷(예: TCP 세션 생성을 위한 데이터 패킷)은 서비스 서버(205)에 도달하지 않을 수 있다. 다시 말해, 노드(201)는 서비스 서버(205)로부터 격리될 수 있다.According to another embodiment, if the access control application 212 is not installed on the
도 6은 다양한 실시 예들에 따른 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.6 shows a signal flow diagram for controller connection according to various embodiments.
노드(201)가 네트워크에 접속하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 노드(201)의 접속 제어 애플리케이션(212)은 컨트롤러(202)에게 제어 플로우의 생성을 요청함으로써 노드(201)의 컨트롤러 접속을 시도할 수 있다.Since the
도 6을 참조하면, 동작 605에서, 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 노드(201) 내에서 접속 제어 애플리케이션(212)이 설치 및/또는 실행되면, 노드(201)는 컨트롤러(202)에 대한 접속이 요청됨을 감지할 수 있다.Referring to FIG. 6 , in
동작 610에서, 노드(201)는 컨트롤러(202)에게 컨트롤러 접속을 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 접속 제어 애플리케이션(212)의 식별 정보를 컨트롤러(202)에게 전송할 수 있다. 추가적으로, 접속 제어 애플리케이션(212)은 노드(201)의 식별 정보(예: 단말 ID, IP 주소, MAC 주소), 종류, 위치, 환경, 노드(201)가 속하는 네트워크의 식별 정보, 및/또는 네트워크 시스템에 의하여 자체적으로 생성된 임의의 식별 정보를 더 전송할 수 있다.At operation 610 ,
동작 615에서, 컨트롤러(202)는 컨트롤러 접속을 요청한 대상(예: 접속 제어 애플리케이션(212) 및 노드(201))의 컨트롤러 접속 가능 여부를 확인(identify)할 수 있다. 일 실시 예에 따르면, 컨트롤러(202)는 노드(201)로부터 수신된 정보가 접속 정책 데이터베이스(311)에 포함되는지 여부 또는, 노드(201), 노드(201)가 속한 네트워크, 및/또는 접속 제어 애플리케이션(212)의 식별 정보가 블랙리스트 데이터베이스(315)에 포함되는지 여부 중 적어도 하나에 기반하여 컨트롤러 접속을 요청한 대상의 컨트롤러 접속 가능 여부를 확인할 수 있다.In operation 615 , the
컨트롤러 접속을 요청한 대상의 컨트롤러 접속이 가능하면, 컨트롤러(202)는 노드(201)(또는, 접속 제어 애플리케이션(212))와 컨트롤러(202) 간 제어 플로우를 생성할 수 있다. 이 경우, 컨트롤러(202)는 난수 형태로 제어 플로우 식별 정보를 생성하고, 노드(201), 노드(201)가 속한 네트워크, 또는 접속 제어 애플리케이션(212) 중 적어도 하나의 식별 정보를 제어 플로우 테이블(316)에 저장할 수 있다. 제어 플로우 테이블(316)에 저장된 정보(예: 제어 플로우 정보(340))는 노드(201)의 사용자 인증, 노드(201)의 정보 업데이트, 노드(201)의 네트워크 접속을 위한 정책 확인, 및/또는 유효성 검사에 이용될 수 있다.If the
동작 620에서, 컨트롤러(202)는 접속 정책 및 채널 정책을 확인할 수 있다. 컨트롤러(202)는 접속 정책 데이터베이스(311)에서 식별된 정보(예: 노드(201), 노드(201)가 속하는 출발지 네트워크 정보)와 대응되는 접속 정책을 확인할 수 있다. 컨트롤러(202)는 확인된 접속 정책에 기초하여 접속 가능한 애플리케이션의 화이트리스트 정보 및 공통적으로 사용하기 위한 접속 환경 검사 정보를 생성할 수 있다. 컨트롤러(202)는 접속 환경 검사 정보를 포함하여 애플리케이션 화이트리스트를 생성할 수 있다. 접속 환경 검사 정보는 접속 환경 검사 정책 데이터베이스(313)의 접속 환경 검사 정책에 따라, 애플리케이션의 네트워크 접속 환경을 검사하기 위한 정보일 수 있다. 접속 환경 검사 정보는 접속 환경(예: 운영체제)에서 준수해야 하는 보안 정책(예: 방화벽 활성화, 백신 활성화, 및/또는 운영체제 자동 업데이트 활성화) 및 애플리케이션이 서비스 서버에 접속하는 경우 준수해야 하는 보안 정책(예: USB 디스크 연결 여부 및/또는 카메라 사용 여부)을 포함할 수 있다. 또한, 접속 환경 검사 정보는 운영체제가 안전하다고 판단하기 위한 검사 정보로서, 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보, 및 관련 프로세스를 검사하기 위한 정보로서 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 또한, 접속 환경 검사 정보는 해당 요소가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보와 같은 검사 조건을 노드(201)에 요청하고 노드(201)가 검사한 결과 정보에 기반하여 검사를 수행하기 위한 정보, 및 검사 주기 및 시점 정보를 포함할 수 있다. 공통적으로 사용하기 위한 접속 환경 검사 정보에도 상술한 정보가 포함될 수 있다. 컨트롤러(202)는 접속 결과로서 접속 완료 상태, 이후 노드(201)의 사용자 인증 요청 및 지속적인 노드 정보 업데이트 시 제어 플로우를 식별하기 위한 제어 플로우 ID, 생성된 애플리케이션 화이트리스트, 및 공통적으로 사용하기 위한 접속 환경 검사 정보를 노드(201)로 반환할 수 있다.At
컨트롤러(202)는 채널 정책 데이터베이스(312)에서 식별된 노드(201)의 IP를 통해 채널 정책을 확인할 수 있다. 컨트롤러(202)는 확인된 채널 정책에 기초하여 노드(201)가 연결할 수 있는 채널 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태(예: 처리량 및/또는 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 노드(201)에 최적화된 하나의 채널 및 하나의 게이트웨이를 식별할 수 있다.The
다른 실시 예에서, 컨트롤러(202)는 동작 620을 수행하지 않을 수 있다. 예를 들어, 접속을 요청한 대상의 컨트롤러 접속이 가능하지 않으면, 컨트롤러(202)는 동작 620을 수행하지 않을 수 있다.In other embodiments, the
동작 625에서, 컨트롤러(202)는 컨트롤러 접속 요청에 대한 응답을 노드(201)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는 컨트롤러 접속 요청에 대한 응답으로 제어 플로우 식별 정보가 포함된 제어 플로우 정보(340)를 노드(201)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는, 동작 620의 수행을 통하여 생성된 화이트리스트를 접속 제어 애플리케이션(212)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는 동작 620의 수행을 통하여 식별된 게이트웨이 및 채널 인증 정보를 포함하는 채널을 생성하기 위한 정보를 노드(201)에게 전송할 수 있다. 실시 예에 따라, 노드(201)와 게이트웨이(203) 사이에 사전에 연결된 채널을 통해 접속하는 경우, 또는 노드(201)와 게이트웨이(203) 사이에 다른 채널 기술을 통해 접속하는 경우, 컨트롤러(202)는 별도의 채널 생성 정보를 노드(201)에 전송하지 않을 수 있다. 실시 예에 따라, 컨트롤러 접속을 요청한 대상이 접속 불가능하거나 블랙리스트에 포함된 경우, 컨트롤러(202)는 제어 플로우를 생성하지 않고, 컨트롤러 접속 요청에 대한 응답으로 컨트롤러 접속 불가를 통보할 수 있다.At operation 625 , the
일 실시 예에서, 노드(201)는 수신된 응답에 따라서 결과값을 처리할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 수신된 제어 플로우 식별 정보를 저장하고, 컨트롤러 접속이 완료됨을 나타내는 사용자 인터페이스 화면을 사용자에게 표시할 수 있다. 컨트롤러 접속이 완료되면, 노드(201)의 서비스 서버(205)에 대한 네트워크 접속 요청은 컨트롤러(202)에 의하여 통제될 수 있다.In one embodiment,
실시 예에 따라서, 컨트롤러(202)는 노드(201)가 접속이 불가능한 것으로 결정할 수 있다. 예를 들어, 컨트롤러 접속 불가 정보가 수신되면 노드(201)는 접속 제어 애플리케이션(212)의 실행을 중지 또는 종료하거나, 컨트롤러 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 사용자에게 출력할 수 있다. 예를 들어, 사용자 인터페이스 화면은 노드(201)의 접속이 차단됨을 나타내고, 관리자(예: 컨트롤러(202))를 통한 격리 해제를 가이드 하는 사용자 인터페이스를 포함할 수 있다.Depending on the embodiment, the
일 실시예에서, 노드(201)의 접속 제어 애플리케이션(212), 컨트롤러(202) 및 게이트웨이(203)는 동작 630 내지 동작 650을 더 수행할 수 있다. 실시예에 따라, 노드(201)의 접속 제어 애플리케이션(212), 컨트롤러(202) 및 게이트웨이(203)는 동작 630 내지 동작 670을 전부 또는 일부만 수행할 수 있다.In one embodiment, connection control application 212 of
동작 630에서, 접속 제어 애플리케이션(212)은 채널 생성이 필요한지를 판단할 수 있다. 예를 들어, 컨트롤러(202)는 채널을 생성하기 위한 정보(예: 게이트웨이 및 채널 인증 정보)를 노드(201)로 전송할 수 있다. 컨트롤러(202)로부터 채널 생성을 위한 정보가 수신되면, 접속 제어 애플리케이션(212)은 채널 생성이 필요한 것으로 결정할 수 있다. 다른 예로, 컨트롤러(202)는 별도의 채널 생성 정보를 노드(201)에 전송하지 않을 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 채널 생성 정보가 수신되지 않은 경우 채널 생성이 필요하지 않은 것으로 결정할 수 있다.At
동작 635에서, 접속 제어 애플리케이션(212)은 게이트웨이(203)에 채널 생성을 요청할 수 있다. 예를 들어, 채널 생성이 필요한 것으로 판단된 경우, 접속 제어 애플리케이션(212)은 게이트웨이(203)에 채널 생성을 요청할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 수신된 채널 생성을 위한 정보(예: 게이트웨이 및 채널 인증 정보)를 포함하는 채널 생성 요청을 게이트웨이(203)로 전송할 수 있다.At operation 635 , access control application 212 may request
동작 640에서, 게이트웨이(203)는 채널 생성을 위한 정보에 기초하여 채널을 생성할 수 있다. 동작 645에서, 게이트웨이(203)는 접속 제어 애플리케이션(212)에 채널 생성 결과를 포함하는 응답을 전송할 수 있다. 채널 생성 결과는 채널 생성 완료를 나타내는 정보 및 노드(201)에 할당된 채널 전용 IP 및 해당 채널 생성 정보를 포함할 수 있다.In
동작 650에서, 접속 제어 애플리케이션(212)은 애플리케이션의 검사를 수행할 수 있다. 채널 생성이 불필요한 것으로 결정된 경우, 또는 게이트웨이(203)로부터 채널 생성 결과를 포함하는 응답이 수신된 경우, 접속 제어 애플리케이션(212)은 애플리케이션의 검사를 수행할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 화이트리스트가 수신된 경우에, 화이트리스트에 포함되어 있는 애플리케이션이 노드(201)에 설치되어 있는지 여부를 확인할 수 있다. 노드(201)에 설치된 접속 애플리케이션의 경우, 접속 제어 애플리케이션(212)은 화이트리스트에 포함된 접속 환경 검사 정보를 기반으로 해당 애플리케이션의 접속 환경에 대한 검사를 수행할 수 있다. 다른 예로, 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 공통적으로 적용되는 접속 환경 검사 정보를 수신한 경우, 수신된 접속 환경 검사 정보를 기반으로 해당 애플리케이션의 접속 환경에 대한 검사를 수행할 수 있다.At
동작 655에서, 접속 제어 애플리케이션(212)은 애플리케이션의 검사 결과를 컨트롤러(202)로 전송할 수 있다. 접속 제어 애플리케이션(212)은 접속 애플리케이션의 접속 환경에 대한 검사 결과를 컨트롤러(202)로 전송할 수 있다.At operation 655 , the access control application 212 may send the application's test results to the
동작 660에서, 컨트롤러(202)는 채널 생성 처리 결과에 따라 채널 생성이 완료된 경우, 노드(201)에 할당된 채널 전용 IP 및 해당 채널 생성 정보를 채널 테이블(318)에 등록하고, 노드(201)가 전송한 정보를 식별된 제어 플로우 정보(340)에 갱신할 수 있다.In
컨트롤러(202)는 노드(201)로부터 수신된 접속 환경에 대한 검사 결과 정보를 기반으로 접속 환경 검사 정책에 따라 접속 환경 데이터베이스(319)에서 해당 접속 환경 정보가 유효한지 여부를 검사하거나, 컨트롤러(202)에 포함되거나 컨트롤러(202)와 연결된 타 시스템에 존재하는 유해 접속 환경 검사 모듈을 통해 해당 접속 환경 검사 결과가 정상적인지 여부를 판단할 수 있다.The
예를 들어, 접속 환경 검사 결과가 정상적인 경우, 컨트롤러(202)는 노드(201)가 네트워크 접속 요청 절차 없이 서비스 처리 요청을 게이트웨이(203)를 통해 제어할 수 있도록 출발지 IP, 도착지 IP, 서비스 포트 정보, 및 지속적으로 해당 접속 환경을 검사하기 위한 접속 환경 검사 정보(354)를 포함하는 데이터 플로우(또는 데이터 플로우 정보(350))를 생성할 수 있다.For example, if the connection environment check result is normal, the
다른 예로, 접속 환경 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 접속 환경 검사 정책에 따라 접속 환경 검사 결과의 위험 수준을 평가하고, 위험 수준에 따라 제어 플로우를 해제하여 노드(201)의 접속을 차단하거나 블랙리스트에 노드(201)를 추가하여 노드(201)를 격리시킬 수 있다.As another example, if the access environment inspection result is not normal, the
동작 665에서, 컨트롤러(202)는 접속 제어 애플리케이션(212)의 접속 애플리케이션 검사 결과 전송에 대한 응답을 전송할 수 있다. 예를 들어, 컨트롤러(202)는 데이터 플로우 정보(350)를 접속 제어 애플리케이션(212)으로 전송할 수 있다. 또한, 동작 670에서, 컨트롤러(202)는 데이터 플로우 정보(350)를 게이트웨이(203)로 전송할 수 있다.At operation 665 , the
접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 갱신된 데이터 플로우 정보(350)를 수신한 경우 노드(201)에 저장된 데이터 플로우 정보(350)를 갱신할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 네트워크 접속 해제 정보를 수신한 경우 접속 애플리케이션(211)을 종료하거나 접속 애플리케이션(211)의 모든 네트워크 접속을 차단할 수 있다.The access control application 212 may update the data flow
도 6의 동작들에 따라, 노드(201)가 컨트롤러(202)에 정상적으로 접속된 경우, 노드(201)에서 발생되는 모든 네트워크 접속 요청은 컨트롤러(202)를 통해 인가 여부를 확인하게 된다. 노드(201)가 컨트롤러(202)에 정상적으로 접속된 후 사용자 인증 전에는 노드(201)에게는 비식별 사용자(게스트)에 해당하는 접속 정책이 적용될 수 있다.According to the operations of FIG. 6 , when the
도 7은 다양한 실시 예들에 따른 사용자 인증을 위한 신호 흐름도를 나타내며, 도 8은 다양한 실시 예들에 따른 컨트롤러 접속을 위한 사용자 인터페이스 화면을 도시한다. 도 7에 도시된 동작들은 예를 들어, 도 6의 신호 흐름도 이후에 구현될 수 있다.7 illustrates a signal flow diagram for user authentication according to various embodiments, and FIG. 8 illustrates a user interface screen for controller access according to various embodiments. Operations shown in FIG. 7 may be implemented after the signal flow diagram of FIG. 6 , for example.
노드(201)가 목적지 네트워크에 대한 상세한 접속 권한을 부여 받기 위해서, 노드(201)의 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 노드(201)의 사용자에 대한 인증을 받을 수 있다.In order for the
도 7을 참조하면, 동작 705에서, 노드(201)는 사용자 인증을 위한 입력을 수신할 수 있다. 사용자 인증을 위한 입력은 예를 들어, 사용자 ID 및 비밀번호를 입력하는 사용자 입력일 수 있다. 다른 예를 들어, 사용자 인증을 위한 입력은 보다 강화된 인증을 위한 사용자 입력(예: 생체 정보)일 수 있다.Referring to FIG. 7 , in
일 예로, 도 8을 참조하면, 접속 제어 애플리케이션(212)이 실행되면 노드(201)는 컨트롤러 접속을 위하여 필요한 정보를 수신하기 위한 사용자 인터페이스 화면(810)을 표시할 수 있다. 사용자 인터페이스 화면(810)은 컨트롤러 접속 정보(예: IP 또는 도메인)를 입력하기 위한 입력 창(811), 사용자 ID를 입력하기 위한 입력 창(812), 및/또는 비밀번호를 입력하기 위한 입력 창(813)을 포함할 수 있다. 입력 창들(811, 812, 및 813)에 정보가 입력된 후 사용자의 인증을 위한 버튼(814 또는 815)에 대한 입력을 수신함으로써 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 컨트롤러 접속 정보, 사용자 ID, 및 비밀번호가 입력된 경우 노드(201)는 사용자로서 컨트롤러에 접속하기 위한 버튼(814)에 대한 입력을 수신할 수 있다. 다른 예로, 컨트롤러 접속 정보만이 입력되고, 사용자 ID 및 비밀번호가 입력되지 않은 경우 노드(201)는 게스트로서 컨트롤러에 접속하기 위한 버튼(815)에 대한 입력을 수신할 수 있다.For example, referring to FIG. 8 , when the access control application 212 is executed, the
동작 710에서, 노드(201)는 컨트롤러(202)에게 사용자 인증을 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 사용자 인증을 위한 입력 정보(예: 도 8의 입력 창들(811, 812, 및 813)에 입력된 컨트롤러 접속 정보, 사용자 ID, 및/또는 비밀번호)를 컨트롤러(202)에게 전송할 수 있다. 노드(201)와 컨트롤러(202) 간 제어 플로우가 이미 생성된 상태이면, 접속 제어 애플리케이션(212)은 사용자 인증을 위한 입력 정보를 제어 플로우 식별 정보와 함께 전송할 수 있다.At operation 710 ,
동작 715에서, 컨트롤러(202)는 노드(201)로부터 수신된 정보에 기반하여 사용자를 인증할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 정보에 포함된 사용자 ID, 비밀번호, 및/또는 강화된 인증 정보와, 컨트롤러(202)의 메모리에 포함된 데이터베이스(예: 도 2의 접속 정책 데이터베이스(311) 또는 블랙리스트 데이터베이스(315))에 기반하여 사용자가 접속 정책에 따라 접속 가능한지 여부 및 사용자가 블랙리스트에 포함되는지 여부를 결정할 수 있다.At
사용자가 인증되면, 컨트롤러(202)는 노드(201)가 송신한 제어 플로우 식별 정보에 기초하여 제어 플로우 테이블(316)에서 제어 플로우 정보(340)를 확인하고, 확인된 제어 플로우 정보(340)에 사용자의 식별 정보(예: 사용자 ID)를 추가할 수 있다. 추가된 사용자 식별 정보는 인증된 사용자의 컨트롤러 접속 또는 네트워크 접속에 이용될 수 있다.When the user is authenticated, the
다른 예로, 컨트롤러(202)가 노드(201)로부터 사용자 ID, 비밀번호, 및/또는 강화된 인증 정보를 수신하지 못하고, 컨트롤러 접속 정보만을 수신한 경우, 컨트롤러(202)는 사용자를 인증할 수 없고, 인증되지 않은 사용자의 컨트롤러 접속 또는 네트워크 접속과 관련하여 컨트롤러(202)의 메모리에 포함된 데이터베이스(예: 도 2의 접속 정책 데이터베이스(311) 또는 블랙리스트 데이터베이스(320))에서 비식별 사용자(또는, 게스트)에 해당하는 접속 정책이 적용될 수 있다.As another example, if the
동작 720에서, 컨트롤러(202)는 접속 정책 데이터베이스(311) 및 채널 정책 데이터베이스(312)에서 식별된 정보(예: 노드(201), 사용자, 또는 노드(201)가 속하는 출발지 네트워크 정보)와 대응되는 접속 정책을 확인할 수 있다.In
컨트롤러(202)는 접속 정책 데이터베이스(311)에서 확인된 접속 정책에 기초하여 접속 가능한 애플리케이션의 화이트리스트 정보 및 공통적으로 사용하기 위한 접속 환경 검사 정보를 생성할 수 있다. 컨트롤러(202)는 접속 환경 검사 정보를 포함하여 애플리케이션 화이트리스트를 생성할 수 있다. 접속 환경 검사 정보는 접속 환경 검사 정책 데이터베이스(313)의 접속 환경 검사 정책에 따라, 애플리케이션의 네트워크 접속 환경을 검사하기 위한 정보일 수 있다. 접속 환경 검사 정보는 접속 환경(예: 운영체제)에서 준수해야 하는 보안 정책(예: 방화벽 활성화, 백신 활성화, 및/또는 운영체제 자동 업데이트 활성화) 및 애플리케이션이 서비스 서버에 접속하는 경우 준수해야 하는 보안 정책(예: USB 디스크 연결 여부 및/또는 카메라 사용 여부)을 포함할 수 있다. 또한, 접속 환경 검사 정보는 운영체제가 안전하다고 판단하기 위한 검사 정보로서, 운영체제에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보, 및 관련 프로세스를 검사하기 위한 정보로서 각 파일 및 프로세스에 대한 서명, 핑거프린트, 해쉬, 또는 레지스트리와 같은 고유 정보 및 해당 바이너리 분석을 위한 정보를 포함할 수 있다. 또한, 접속 환경 검사 정보는 해당 요소가 안전한지 여부를 검사하기 위한 멀웨어 탐지 도구 또는 패턴 DB 정보와 같은 검사 조건을 노드(201)에 요청하고 노드(201)가 검사한 결과 정보에 기반하여 검사를 수행하기 위한 정보, 및 검사 주기 및 시점 정보를 포함할 수 있다. 공통적으로 사용하기 위한 접속 환경 검사 정보에도 상술한 정보가 포함될 수 있다. 예를 들어, 공통적으로 사용하기 위한 접속 환경 검사 정보는 네트워크 접속을 시도(또는 요청)하는 애플리케이션의 네트워크 접속 환경을 검사하는데 공통적으로 사용될 수 있다. 예를 들어, 애플리케이션 화이트리스트에 포함된 접속 환경 검사 정보는 화이트리스트에 포함된 애플리케이션의 네트워크 접속 환경을 검사하는데 사용될 수 있다. 컨트롤러(202)는 접속 결과로서 접속 완료 상태, 이후 노드(201)의 사용자 인증 요청 및 지속적인 노드 정보 업데이트 시 제어 플로우를 식별하기 위한 제어 플로우 ID, 생성된 애플리케이션 화이트리스트, 및 공통적으로 사용하기 위한 접속 환경 검사 정보를 노드(201)로 반환할 수 있다.The
컨트롤러(202)는 채널 정책 데이터베이스(312)에서 식별된 노드(201)의 IP를 통해 채널 정책을 확인할 수 있다. 컨트롤러(202)는 확인된 채널 정책에 기초하여 노드(201)가 연결할 수 있는 채널 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태(예: 처리량 및/또는 장애 여부)를 확인하여 목록화된 게이트웨이 중에서 노드(201)에 최적화된 하나의 채널 및 하나의 게이트웨이를 식별할 수 있다.The
다른 실시 예에서, 컨트롤러(202)는 동작 620을 수행하지 않을 수 있다. 예를 들어, 접속을 요청한 대상의 컨트롤러 접속이 가능하지 않으면, 컨트롤러(202)는 동작 720을 수행하지 않을 수 있다.In other embodiments, the
동작 725에서, 컨트롤러(202)는 사용자 인증 요청에 대한 응답을 노드(201)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는 사용자 인증 요청에 대한 응답으로 사용자가 인증됨을 나타내는 정보를 노드(201)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는 동작 720의 수행을 통하여 생성된 화이트리스트를 접속 제어 애플리케이션(212)에게 전송할 수 있다. 일 실시 예에서, 컨트롤러(202)는 동작 720의 수행을 통하여 식별된 게이트웨이 및 채널 인증 정보를 포함하는 채널을 생성하기 위한 정보를 노드(201)에게 전송할 수 있다. 실시 예에 따라, 노드(201)와 게이트웨이(203) 사이에 사전에 연결된 채널을 통해 접속하는 경우, 또는 노드(201)와 게이트웨이(203) 사이에 다른 채널 기술을 통해 접속하는 경우, 컨트롤러(202)는 별도의 채널 생성 정보를 노드(201)에 전송하지 않을 수 있다. 실시 예에 따라, 컨트롤러 접속을 요청한 대상이 접속 불가능하거나 블랙리스트에 포함된 경우, 컨트롤러(202)는 사용자 인증 요청에 대한 응답으로 컨트롤러 접속 불가를 통보할 수 있다.At operation 725 ,
일 실시 예에서, 노드(201)는 수신된 응답에 따라서 사용자 인증에 대한 결과값을 처리할 수 있다. 예를 들어, 노드(201)는 사용자 인증이 완료됨을 나타내는 사용자 인터페이스 화면을 디스플레이(440)를 통해 사용자에게 출력할 수 있다.In one embodiment,
다른 실시 예에 따라 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 예를 들어, 사용자의 식별 정보가 블랙리스트 데이터베이스에 포함되면 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 이 경우, 동작 725에서 컨트롤러(202)는 사용자 인증이 불가능함을 나타내는 정보를 노드(201)에게 전송할 수 있고, 노드(201)는 접속 제어 애플리케이션(212)의 실행을 중지 또는 종료하거나, 사용자 인증이 실패함을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 출력할 수 있다. 예를 들어, 도 8을 참조하면, 노드(201)는 접속 제어 애플리케이션(212)을 통해 사용자 인터페이스 화면(820)을 표시할 수 있다. 사용자 인터페이스 화면(820)은 노드(201)의 접속이 차단됨을 나타내고, 관리자(예: 컨트롤러(202))를 통한 격리 해제를 가이드 하는 사용자 인터페이스(825)를 포함할 수 있다.According to another embodiment, the
일 실시예에서, 노드(201)의 접속 제어 애플리케이션(212), 컨트롤러(202) 및 게이트웨이(203)는 동작 730 내지 동작 750을 더 수행할 수 있다. 실시예에 따라, 노드(201)의 접속 제어 애플리케이션(212), 컨트롤러(202) 및 게이트웨이(203)는 동작 730 내지 동작 770을 전부 또는 일부만 수행할 수 있다.In one embodiment, connection control application 212 of
동작 730에서, 접속 제어 애플리케이션(212)은 채널 생성이 필요한지를 판단할 수 있다. 예를 들어, 컨트롤러(202)는 채널을 생성하기 위한 정보(예: 게이트웨이 및 채널 인증 정보)를 노드(201)로 전송할 수 있다. 컨트롤러(202)로부터 채널 생성을 위한 정보가 수신되면, 접속 제어 애플리케이션(212)은 채널 생성이 필요한 것으로 결정할 수 있다. 다른 예로, 컨트롤러(202)는 별도의 채널 생성 정보를 노드(201)에 전송하지 않을 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 채널 생성 정보가 수신되지 않은 경우 채널 생성이 필요하지 않은 것으로 결정할 수 있다.At
동작 735에서, 접속 제어 애플리케이션(212)은 게이트웨이(203)에 채널 생성을 요청할 수 있다. 예를 들어, 채널 생성이 필요한 것으로 판단된 경우, 접속 제어 애플리케이션(212)은 게이트웨이(203)에 채널 생성을 요청할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 수신된 채널 생성을 위한 정보(예: 게이트웨이 및 채널 인증 정보)를 포함하는 채널 생성 요청을 게이트웨이(203)로 전송할 수 있다.At operation 735 , access control application 212 may request
동작 740에서, 게이트웨이(203)는 채널 생성을 위한 정보에 기초하여 채널을 생성할 수 있다. 동작 745에서, 게이트웨이(203)는 접속 제어 애플리케이션(212)에 채널 생성 결과를 포함하는 응답을 전송할 수 있다. 채널 생성 결과는 채널 생성 완료를 나타내는 정보 및 노드(201)에 할당된 채널 전용 IP 및 해당 채널 생성 정보를 포함할 수 있다.In operation 740, the
동작 750에서, 접속 제어 애플리케이션(212)은 애플리케이션의 검사를 수행할 수 있다. 채널 생성이 불필요한 것으로 결정된 경우, 또는 게이트웨이(203)로부터 채널 생성 결과를 포함하는 응답이 수신된 경우, 접속 제어 애플리케이션(212)은 애플리케이션의 검사를 수행할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 화이트리스트가 수신된 경우에, 화이트리스트에 포함되어 있는 애플리케이션이 노드(201)에 설치되어 있는지 여부를 확인할 수 있다. 노드(201)에 설치된 접속 애플리케이션인 경우, 접속 제어 애플리케이션(212)은 화이트리스트에 포함된 접속 환경 검사 정보를 기반으로 해당 애플리케이션의 접속 환경에 대한 검사를 수행할 수 있다. 다른 예로, 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 공통적으로 적용되는 접속 환경 검사 정보를 수신한 경우, 수신된 접속 환경 검사 정보를 기반으로 해당 애플리케이션의 접속 환경에 대한 검사를 수행할 수 있다.At
동작 755에서, 접속 제어 애플리케이션(212)은 애플리케이션의 검사 결과를 컨트롤러(202)로 전송할 수 있다. 접속 제어 애플리케이션(212)은 접속 애플리케이션의 접속 환경에 대한 검사 결과를 컨트롤러(202)로 전송할 수 있다.At operation 755 , the access control application 212 may send the application's test result to the
동작 760에서, 컨트롤러(202)는 채널 생성 처리 결과에 따라 채널 생성이 완료된 경우, 노드(201)에 할당된 채널 전용 IP 및 해당 채널 생성 정보를 채널 테이블(318)에 등록하고, 노드(201)가 전송한 정보를 식별된 제어 플로우 정보(340)에 갱신할 수 있다.In operation 760, the
컨트롤러(202)는 노드(201)로부터 수신된 접속 환경에 대한 검사 결과 정보를 기반으로 접속 환경 검사 정책에 따라 접속 환경 데이터베이스(319)에서 해당 접속 환경 정보가 유효한지 여부를 검사하거나, 컨트롤러(202)에 포함되거나 컨트롤러(202)와 연결된 타 시스템에 존재하는 유해 접속 환경 검사 모듈을 통해 해당 접속 환경 검사 결과가 정상적인지 여부를 판단할 수 있다.The
예를 들어, 접속 환경 검사 결과가 정상적인 경우, 컨트롤러(202)는 노드(201)가 네트워크 접속 요청 절차 없이 서비스 처리 요청을 게이트웨이(203)를 통해 제어할 수 있도록 출발지 IP, 도착지 IP, 서비스 포트 정보, 및 지속적으로 해당 애플리케이션의 접속 환경을 검사하기 위한 접속 환경 검사 정보(354)를 포함하는 데이터 플로우(또는 데이터 플로우 정보(350))를 생성할 수 있다.For example, if the connection environment check result is normal, the
다른 예로, 접속 환경 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 접속 환경 검사 정책에 따라 접속 환경 검사 결과의 위험 수준을 평가하고, 위험 수준에 따라 제어 플로우를 해제하여 노드(201)의 접속을 차단하거나 블랙리스트에 노드(201)를 추가하여 노드(201)를 격리시킬 수 있다.As another example, if the access environment inspection result is not normal, the
동작 765에서, 컨트롤러(202)는 접속 제어 애플리케이션(212)의 접속 애플리케이션 검사 결과 전송에 대한 응답을 전송할 수 있다. 예를 들어, 컨트롤러(202)는 데이터 플로우 정보(350)를 접속 제어 애플리케이션(212)으로 전송할 수 있다. 또한, 동작 770에서, 컨트롤러(202)는 데이터 플로우 정보(350)를 게이트웨이(203)로 전송할 수 있다.At operation 765 , the
접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 갱신된 데이터 플로우 정보(350)를 수신한 경우 노드(201)에 저장된 데이터 플로우 정보(350)를 갱신할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 네트워크 접속 해제 정보를 수신한 경우 접속 애플리케이션(211)을 종료하거나 접속 애플리케이션(211)의 모든 네트워크 접속을 차단할 수 있다.The access control application 212 may update the data flow
도 9는 다양한 실시 예들에 따른 네트워크 접속을 위한 신호 흐름도를 나타내며, 도 9에 도시된 동작들은 예를 들어, 도 6 또는 도 7의 신호 흐름도 이후에 구현될 수 있다.9 shows a signal flow diagram for network access according to various embodiments, and operations shown in FIG. 9 may be implemented after the signal flow diagram of FIG. 6 or FIG. 7 , for example.
도 9를 참조하면, 동작 905에서, 노드(201)는 네트워크 접속 이벤트를 감지할 수 있다. 예를 들어, 노드(201)는 접속 제어 애플리케이션(212)을 통해 타겟 애플리케이션이 서비스 서버(205)로의 접속을 시도함을 감지할 수 있다. 접속 제어 애플리케이션(212)은 네트워크 접속 이벤트가 감지되면, 동작 910을 수행할 수 있다. 동작 910에서, 접속 제어 애플리케이션(212)은 데이터 플로우를 검사할 수 있다. 접속 제어 애플리케이션(212)은 동작 910을 수행함에 따라 동작 915 내지 935의 전부 또는 일부를 수행할 수 있다.Referring to FIG. 9 , in operation 905 ,
동작 915에서, 접속 제어 애플리케이션(212)은 접속 애플리케이션의 식별 정보, 도착지 IP 및/또는 포트 정보에 대응하는 데이터 플로우가 존재하는지 여부를 확인할 수 있다. 또한, 동작 920에서, 접속 제어 애플리케이션(212)은 데이터 플로우가 유효한지 여부를 확인할 수 있다. 예를 들어, 동작 915의 수행에 의해 데이터 플로우가 존재하는 것으로 확인된 경우, 접속 제어 애플리케이션(212)은 해당 데이터 플로우가 유효한지 여부를 확인할 수 있다. 예를 들어, 유효한 데이터 플로우가 존재하는 경우, 접속 제어 애플리케이션(212)은 동작 925를 수행할 수 있다. 동작 925에서, 접속 제어 애플리케이션(212)은 데이터 패킷을 전송할 수 있다. 다른 예로, 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 데이터 패킷의 전송이 불가한 상태 또는 이전에 컨트롤러(202)로부터 네트워크 접속이 거절된 경우), 접속 제어 애플리케이션(212)은 동작 930을 수행할 수 있다. 동작 930에서, 접속 제어 애플리케이션(212)은 데이터 패킷을 드랍(drop) 할 수 있다.In
접속 제어 애플리케이션(212)은 동작 925 또는 동작 930 수행 시, 데이터 플로우 정보(350)에 포함된 접속 환경 검사 정보(354)에 따라 해당 이벤트(데이터 패킷 전송 또는 드랍) 발생 시마다 접속 환경 검사를 수행할지 여부를 확인하고, 접속 환경 검사를 수행하는 것으로 확인된 경우 동작 935(접속 환경 검사)를 수행할 수 있다.When performing
동작 940에서, 접속 제어 애플리케이션(212)은 컨트롤러(202)로 네트워크 접속을 요청할 수 있다. 데이터 플로우가 존재하지 않거나, 데이터 플로우의 인증 시간이 만료되어 갱신이 필요한 경우, 또는 다른 사유에 의하여 데이터 플로우의 갱신이 필요한 경우, 접속 제어 애플리케이션(212)은 컨트롤러(202)에게 네트워크 접속을 요청할 수 있다.At operation 940 , the connection control application 212 may request a network connection to the
데이터 플로우가 존재하지 않는 경우, 접속 제어 애플리케이션(212)은 컨트롤러 접속 및 사용자 인증 과정에서 컨트롤러(202)로부터 수신된 애플리케이션 화이트리스트가 존재하고, 네트워크 접속 요청한 접속 애플리케이션이 애플리케이션 화이트리스트에 포함되어 있는지 여부를 확인할 수 있다. 예를 들어, 애플리케이션 화이트리스트가 존재하지 않거나, 네트워크 접속 요청한 접속 애플리케이션이 애플리케이션 화이트리스트에 포함되어 있지 않은 경우, 또는 공통적으로 사용할 수 있는 접속 환경 검사 정보가 존재하지 않는 경우, 접속 제어 애플리케이션(212)은 접속 환경 검사를 수행하지 않고, 네트워크 접속 이벤트 감지 이전에 컨트롤러(202)와 생성된 제어 플로우를 식별하기 위한 제어 플로우 ID, 접속 애플리케이션의 식별 정보, 접속 애플리케이션이 접속하고자 하는 서버의 도착지 IP 및 포트 정보를 포함하는 네트워크 접속 요청을 컨트롤러(202)로 전송할 수 있다. 다른 예로, 애플리케이션 화이트리스트가 존재하고, 네트워크 접속 요청한 접속 애플리케이션이 애플리케이션 화이트리스트에 포함되어 있는 경우, 또는 공통적으로 사용할 수 있는 접속 환경 검사 정보가 존재하는 경우, 접속 제어 애플리케이션(212)은 애플리케이션 화이트리스트에 포함된 접속 환경 검사 정보 또는 공통적으로 사용할 수 있는 접속 환경 검사 정보를 기반으로 접속 애플리케이션의 접속 환경에 대한 검사를 수행할 수 있다. 접속 제어 애플리케이션(212)은 제어 플로우 ID, 애플리케이션 식별 정보, 도착지 IP 및 포트 정보와 함께, 애플리케이션이 애플리케이션 화이트리스트에 포함된 접속 환경 검사 정보 또는 공통적으로 사용할 수 있는 접속 환경 검사 정보에 기반하여 접속 환경 검사를 수행한 결과를 포함하는 네트워크 접속 요청을 컨트롤러(202)로 전송할 수 있다.If there is no data flow, the access control application 212 determines whether the application whitelist received from the
데이터 플로우가 존재하는 경우, 접속 제어 애플리케이션(212)은 제어 플로우 ID, 애플리케이션 식별 정보, 도착지 IP 및 포트 정보와 함께, 데이터 플로우에 포함된 접속 환경 검사 정보에 기반하여 접속 환경 검사를 수행한 결과를 포함하는 네트워크 접속 요청을 컨트롤러(202)로 전송할 수 있다.If the data flow exists, the access control application 212 returns the result of performing the access environment inspection based on the access environment inspection information included in the data flow along with the control flow ID, application identification information, destination IP and port information. A network access request including the may be transmitted to the
동작 945에서, 컨트롤러(202)는 접속 제어 애플리케이션(212)으로부터 수신된 네트워크 접속 요청에 응답하여 접속 정책 및 채널 정책을 확인할 수 있다. 컨트롤러(202)는 접속 정책 데이터베이스(311) 및 채널 정책 데이터베이스(312)에서 식별된 정보(예: 노드(201), 사용자, 또는 노드(201)가 속하는 출발지 네트워크 정보)와 대응되는 접속 정책 및 채널 정책을 확인할 수 있다.At operation 945 , the
컨트롤러(202)는 확인된 접속 정책에 기초하여, 접속 애플리케이션이 접속 요청한 식별 정보(예: 도착지 IP 및 서비스 포트 정보)의 포함 여부 및 해당 식별 정보와 대응되는 서비스 서버에의 접속 가능 여부를 확인할 수 있다.Based on the checked access policy, the
접속 애플리케이션의 접속이 불가능한 경우, 컨트롤러(202)는 동작 955에서 노드(201)에게 접속이 불가능함을 나타내는 정보를 전송할 수 있다. 이 경우, 접속 제어 애플리케이션(212)은 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 디스플레이(440)를 통해 출력할 수 있다.If the access of the connection application is not possible, the
접속 애플리케이션의 접속이 가능한 경우, 컨트롤러(202)는 채널 테이블(318)에서 네트워크 접속이 요청된 대상(예: 서비스 서버(205))에 접속하기 위한 채널이 생성되었는지 여부를 확인할 수 있다. 예를 들어, 채널이 생성되어 있지 않은 경우, 컨트롤러(202)는 채널 정책 데이터베이스(312)의 채널 정책에서 서비스 서버(205)에 접속하기 위해 채널 생성이 필요한지 여부를 확인할 수 있다. 채널 생성이 필요한 경우 컨트롤러(202)는 노드(201)로 네트워크 접속 불가를 나타내는 결과를 전송할 수 있다. 다른 예로, 채널이 생성되어 있거나, 채널 정책에서 채널 생성이 불필요한 것으로 확인된 경우, 컨트롤러(202)는 데이터 플로우 테이블(317)에서 노드(201)가 네트워크 접속을 요청한 정보(예: 도착지 IP 및 서비스 포트 정보)에 대응하는 유효한 데이터 플로우가 존재하는지 여부를 확인할 수 있다.When the access application is accessible, the
유효한 데이터 플로우가 존재하는 경우, 컨트롤러(202)는 동작 950을 수행할 수 있다. 유효한 데이터 플로우가 존재하지 않는 경우, 컨트롤러(202)는 출발지 IP, 도착지 IP, 서비스 포트 정보, 및 지속적으로 해당 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는 데이터 플로우(또는 데이터 플로우 정보(350))를 생성하고, 동작 950을 수행할 수 있다.If a valid data flow exists, the
동작 950에서, 컨트롤러(202)는 접속 환경 검사를 수행할 수 있다. 컨트롤러(202)는 수신된 네트워크 접속 요청에 접속 환경에 대한 검사 결과 정보가 포함되는지 여부를 확인할 수 있다.At
네트워크 접속 요청에 접속 환경 검사 결과 정보가 포함되어 있지 않은 경우, 컨트롤러(202)는 접속 환경 검사가 필요함을 나타내는 상태 정보 및 접속 환경 검사 정보를 포함하는 데이터 플로우 정보(350)를 노드(201)로 전송할 수 있다. 이후, 노드(201)는 수신된 정보를 기반으로 컨트롤러(202)로 접속 환경 검사를 요청할 수 있고, 컨트롤러(202)로부터 수신된 접속 환경 검사 요청에 대한 응답에 기초하여 네트워크 접속을 제어할 수 있다.If the connection environment inspection result information is not included in the network connection request, the
네트워크 접속 요청에 접속 환경 검사 결과 정보가 포함되어 있는 경우, 컨트롤러(202)는 네트워크 접속 요청에 포함된 접속 환경 검사 결과 정보를 기반으로 접속 환경 검사 정책에 따라 접속 환경 데이터베이스(319)에서 해당 접속 환경 정보가 유효한지 여부를 검사하거나, 컨트롤러(202) 또는 컨트롤러(202)와 연결된 타 시스템에 포함된 유해 접속 환경 검사 모듈을 통해 해당 접속 환경에 대한 검사 결과가 정상적인지 여부를 판단할 수 있다.When the access environment inspection result information is included in the network access request, the
예를 들어, 해당 접속 환경에 대한 검사 결과가 정상적인 경우, 컨트롤러(202)는 동작 955 및 동작 960에서 데이터 플로우 정보(350)를 노드(201) 및 게이트웨이(203)로 전송할 수 있다.For example, if the test result for the corresponding connection environment is normal, the
다른 예로, 해당 접속 환경에 대한 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 노드(201)로 네트워크 접속이 불가능함을 나타내는 정보를 반환할 수 있다. 컨트롤러(202)는 접속 환경 검사 정책에 따라 접속 환경 검사 결과의 위험 수준을 평가하고, 위험 수준에 따라 제어 플로우를 해제하여 노드(201)의 네트워크 접속을 차단하거나 블랙리스트에 노드(201)를 추가하여 노드(201)를 격리시킬 수 있다.As another example, if the test result for the connection environment is not normal, the
동작 955에서, 컨트롤러(202)는 접속 제어 애플리케이션(212)의 네트워크 접속 요청에 대한 응답을 노드(201)에게 전송할 수 있다. 예를 들어, 컨트롤러(202)는 데이터 플로우 정보(350)를 접속 제어 애플리케이션(212)으로 전송할 수 있다. 또한, 동작 960에서, 컨트롤러(202)는 데이터 플로우 정보(350)를 게이트웨이(203)로 전송할 수 있다.In operation 955 , the
접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 데이터 플로우 정보(350)가 수신된 경우, 노드(201)에 저장된 데이터 플로우 정보(350)를 갱신할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 접속 실패 정보(또는 접속 불가 정보)를 수신한 경우, 데이터 패킷을 드랍 할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 접속 성공 정보(또는 접속 가능 정보)를 수신한 경우, 데이터 패킷을 전송할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 접속 환경 검사가 필요함을 나타내는 상태 정보를 수신한 경우, 수신된 데이터 플로우 정보(350)에 포함된 접속 환경 검사 정보(354)를 기반으로 접속 애플리케이션의 접속 환경에 대한 검사를 수행하고, 검사 결과를 포함하는 접속 환경 검사 요청을 컨트롤러(202)로 전송할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 네트워크 접속 해제 정보(네트워크 접속을 해제함을 나타내는 정보)를 수신한 경우 컨트롤러(202)와의 접속을 해제할 수 있다.When the
접속 제어 애플리케이션(212)이 컨트롤러(202)로 접속 환경 검사를 요청하는 프로세스에 대하여는 이하에서 도 10을 참조하여 상술하기로 한다.A process in which the access control application 212 requests the
도 10은 다양한 실시예들에 따른 접속 환경 검사를 위한 신호 흐름도를 나타낸다. 도 10에 도시된 동작들은 예를 들어, 도 9의 신호 흐름도 이후에 구현될 수 있다.10 shows a signal flow diagram for checking a connection environment according to various embodiments. Operations shown in FIG. 10 may be implemented after the signal flow diagram of FIG. 9 , for example.
동작 1005에서, 접속 제어 애플리케이션(212)은 접속 환경 검사 이벤트를 감지할 수 있다. 네트워크 접속 과정에서 애플리케이션 검사(예: 접속 환경 검사)를 수행해야 하는 이벤트가 발생하는 경우, 제어 플로우 또는 데이터 플로우의 접속 환경 검사 정보에 포함된 접속 환경 검사 주기에 따라 지정된 주기로 접속 환경을 검사해야 하는 경우, 접속 제어 애플리케이션(212)은 접속 환경 검사 이벤트를 감지할 수 있다.At
동작 1010에서, 접속 제어 애플리케이션(212)은 접속 환경 검사 이벤트를 감지하면, 컨트롤러(202)로 접속 환경 검사를 요청할 수 있다. 접속 제어 애플리케이션(212)은 제어 플로우 또는 데이터 플로우에 포함된 접속 환경 검사 정보를 기반으로 접속 환경에 대한 검사를 수행한 결과를 포함하는 접속 환경 검사 요청을 컨트롤러(202)로 전송할 수 있다.In operation 1010, the connection control application 212 may request a connection environment inspection to the
동작 1015에서, 컨트롤러(202)는 수신된 접속 환경 검사 요청에 포함된 접속 환경에 대한 검사 결과 정보를 기반으로, 접속 환경 검사 정책 데이터베이스(313)의 접속 환경 검사 정책에 따라 접속 환경 데이터베이스(319)에서 해당 접속 환경 정보가 유효한지 여부를 검사하거나, 컨트롤러(202) 또는 컨트롤러(202)와 연결된 타 시스템에 포함된 유해 접속 환경 검사 모듈을 통해 해당 접속 환경의 검사 결과가 정상적인지 여부를 판단할 수 있다.In
해당 접속 환경의 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 노드(201)에 검사 실패 정보를 반환할 수 있다. 또한, 컨트롤러(202)는 접속 환경 검사 정책에 따라 접속 환경 검사 결과의 위험 수준을 평가하고, 위험 수준에 따라 제어 플로우를 해제하여 노드(201)의 네트워크 접속을 차단하거나 노드(201)를 블랙리스트에 추가하여 노드(201)를 격리시킬 수 있고, 게이트웨이(203)에 데이터 플로우의 해제를 요청할 수 있다.If the test result of the connection environment is not normal, the
해당 접속 환경의 검사 결과가 정상적인 경우, 컨트롤러(202)는 노드(201)로 검사 완료 정보(또는 검사 성공 정보)를 반환할 수 있다. 또한, 컨트롤러(202)는 노드(201) 및 게이트웨이(203)로 데이터 플로우 정보(350)를 전송할 수 있다.If the test result of the connection environment is normal, the
동작 1020에서, 컨트롤러(202)는 노드(201)로 접속 환경 검사 요청에 대한 응답을 전송할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 데이터 플로우 정보를 수신한 경우, 노드(201)에 저장된 데이터 플로우 정보를 갱신할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 검사 성공 정보를 수신한 경우 데이터 패킷을 전송할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 검사 실패 정보를 수신한 경우 데이터 패킷을 드랍 할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 접속 해제 정보를 수신한 경우, 접속 애플리케이션(211)을 종료하거나 접속 애플리케이션(211)의 모든 네트워크 접속을 차단할 수 있다.At operation 1020 , the
동작 1025에서, 컨트롤러(202)는 게이트웨이(203)로 데이터 플로우 정보를 전송할 수 있다. 예를 들어 접속 환경에 대한 검사 결과가 정상적인 경우, 컨트롤러(202)는 게이트웨이(203)로 데이터 플로우 정보를 전송할 수 있다. 다른 예로 접속 환경에 대한 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 게이트웨이(203)로 데이터 플로우의 해제 요청을 전송할 수 있다.At operation 1025 ,
도 11은 다양한 실시예들에 따른 네트워크 접속 제어를 위한 사용자 인터페이스 화면을 도시한다.11 illustrates a user interface screen for network access control according to various embodiments.
도 11을 참조하면, 노드(201)는 접속 제어 애플리케이션(212)을 통해 컨트롤러(202)로부터 수신한 접속 환경 검사 요청에 대한 결과 정보에 기반하여 사용자 인터페이스 화면(1110 또는 1120)을 표시할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 도 9 또는 도 10의 프로세스를 수행함에 따라 컨트롤러(202)로 접속 환경 검사를 요청하고, 컨트롤러(202)로부터 접속 환경 검사 요청에 대한 결과를 수신할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 수신된 결과 정보에 따라 네트워크 접속을 차단하는 경우 사용자 인터페이스 화면(1110)을 디스플레이(440)를 통해 표시할 수 있다. 사용자 인터페이스 화면(1110)은 네트워크 접속이 차단됨을 나타내며, 차단 사유(예: 백신 비활성화)를 알리는 사용자 인터페이스(1115)를 포함할 수 있다. 접속 제어 애플리케이션(212)은 컨트롤러(202)로부터 수신된 결과 정보에 따라 네트워크 접속을 해제하는 경우, 사용자 인터페이스 화면(1120)을 디스플레이(440)를 통해 표시할 수 있다. 사용자 인터페이스 화면(1120)은 네트워크 접속이 해제되고 사용자 계정이 로그 아웃 되었음을 나타내며, 차단 사유(예: 운영체제 위조 또는 변조)를 알리는 사용자 인터페이스(1125)를 포함할 수 있다.Referring to FIG. 11 , the
도 12는 다양한 실시 예들에 따른 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.12 illustrates a signal flow diagram for updating a control flow according to various embodiments.
도 12를 참조하면, 동작 1205에서, 접속 제어 애플리케이션(212)은 제어 플로우 갱신을 컨트롤러(202)로 요청할 수 있다.Referring to FIG. 12 , at operation 1205 , connection control application 212 may request control flow update to
일 실시 예에서, 접속 제어 애플리케이션(212)은 제어 플로우 및 데이터 플로우를 유지하기 위하여 컨트롤러(202)에게 제어 플로우 갱신을 요청할 수 있다. 일 실시 예에서, 접속 제어 애플리케이션(212)은 지정된 주기마다 제어 플로우의 식별 정보(제어 플로우 ID)를 포함하여 제어 플로우 갱신을 요청할 수 있다.In one embodiment, the access control application 212 may request a control flow update from the
접속 제어 애플리케이션(212)은 이전에 저장된 데이터 플로우 정보(350)를 확인하고, 데이터 플로우 정보(350)에 포함된 접속 환경 검사 정보(354)에 따라 제어 플로우 갱신 시 접속 환경 검사를 수행하는 경우, 접속 환경 검사 정보(354)를 기반으로 접속 환경 검사를 수행한 결과를 포함하여 제어 플로우 갱신을 요청할 수 있다.When the access control application 212 checks the previously stored
동작 1210에서, 컨트롤러(202)는 제어 플로우를 갱신(검사)할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 식별 정보가 나타내는 제어 플로우 정보(340)가 제어 플로우 테이블(316) 내에 존재하는지를 확인할 수 있다. 다른 보안 시스템에 의하여 접속이 해제되거나, 갱신 시간이 경과하거나, 또는 위험 탐지에 의하여 접속이 해제되는 경우, 제어 플로우가 존재하지 않을 수 있다. 제어 플로우가 존재하지 않는 경우, 컨트롤러(202)는 노드(201)로 접속 불가 정보를 반환할 수 있다. 제어 플로우가 존재하는 경우, 컨트롤러(202)는 제어 플로우에 종속되는 데이터 플로우 정보(350)가 존재하는지를 확인할 수 있다. 컨트롤러(202)는 데이터 플로우 정보(350)에 기초하여 제어 플로우 갱신 시 접속 환경 검사를 수행하는지 여부를 확인할 수 있다.At operation 1210, the
접속 환경 검사를 수행하지만 제어 플로우 갱신 요청에 데이터 플로우별 또는 애플리케이션별로의 접속 환경 검사 결과 정보가 포함되어 있지 않은 경우, 또는 노드(201)에서 검사해야 할 애플리케이션의 숫자가 컨트롤러(202)에서 검사해야 할 애플리케이션 숫자와 다른 경우와 같이 접속 환경 검사를 수행할 수 없는 상태인 경우, 컨트롤러(202)는 해당 노드(201)의 접속이 유효하지 않다고 판단하고, 노드(201)로 접속 불가 정보를 반환할 수 있다.When the access environment check is performed, but the access environment check result information for each data flow or each application is not included in the control flow update request, or the number of applications to be checked in the
접속 환경 검사를 수행하고, 제어 플로우 갱신 요청에 접속 환경 검사 결과 정보가 포함되어 있는 경우, 컨트롤러(202)는 접속 환경 검사 결과 정보를 기반으로 접속 환경 검사 정책 데이터베이스(313)의 접속 환경 검사 정책에 따라 접속 환경 데이터베이스(319)에서 해당 접속 환경 정보가 유효한지 여부를 검사하거나, 컨트롤러(202) 또는 컨트롤러(202)와 연결된 타 시스템에 포함된 유해 접속 환경 검사 모듈을 통해 해당 접속 환경의 검사 결과가 정상적인지 여부를 판단할 수 있다.When the access environment check is performed and the access environment check result information is included in the control flow update request, the
해당 접속 환경의 검사 결과가 정상적이지 않은 경우, 컨트롤러(202)는 노드(201)에 검사 실패 정보를 반환할 수 있다. 또한, 컨트롤러(202)는 접속 환경 검사 정책에 따라 접속 환경 검사 결과의 위험 수준을 평가하고, 위험 수준에 따라 제어 플로우를 해제하여 노드(201)의 접속을 차단하거나 노드(201)를 블랙리스트에 추가하여 노드(201)를 격리시킬 수 있고, 게이트웨이(203)에 데이터 플로우의 해제를 요청할 수 있다.If the test result of the connection environment is not normal, the
해당 접속 환경의 검사 결과가 필요하지 않거나, 접속 환경 검사 결과가 정상적인 경우, 컨트롤러(202)는 제어 플로우의 갱신 시각 또는 만료 시간을 업데이트하고, 해당 제어 플로우에 종속하는 데이터 플로우를 탐색할 수 있다. 예를 들어, 탐색된 데이터 플로우에서 재인증을 수행해야 하거나 더 이상 접속이 불가능한 데이터 플로우가 존재하는 경우, 컨트롤러(202)는 해당 데이터 플로우 정보를 노드(201)로 반환할 수 있다.If the connection environment inspection result is not necessary or if the connection environment inspection result is normal, the
예를 들어 갱신(검사)이 실패하면, 컨트롤러(202)는 노드(201)로 접속 불가 정보를 전송할 수 있다. 이 경우, 노드(201)는 접속 제어 애플리케이션(212)을 종료하거나 접속 제어 애플리케이션(212)의 네트워크 접속을 차단할 수 있다. 다른 예를 들어 갱신(검사)이 성공하면, 컨트롤러(202)는 제어 플로우 및 그에 종속되는 데이터 플로우의 만료 시간을 갱신할 수 있다. 컨트롤러(202)는 갱신된 제어 플로우 정보 및 데이터 플로우 정보를 노드(201)로 전송할 수 있다. 이 경우, 노드(201)는 제어 플로우 정보(340) 및 데이터 플로우 정보(350)를 갱신할 수 있다.For example, if the update (check) fails, the
동작 1215에서, 컨트롤러(202)는 갱신(검사) 결과 정보를 접속 제어 애플리케이션(212)에게 전송할 수 있다. 예를 들어 갱신(검사)이 실패하면, 컨트롤러(202)는 접속 불가 정보를 전송할 수 있다. 다른 예를 들어 갱신(검사)이 성공하면, 컨트롤러(202)는 갱신된 제어 플로우 정보(340) 및 그에 종속되는 데이터 플로우 정보(350)를 접속 제어 애플리케이션(212)에게 전송할 수 있다. 이 경우, 노드(201)는 제어 플로우 정보(340) 및 데이터 플로우 정보(350)를 갱신할 수 있다.In operation 1215 , the
접속 제어 애플리케이션(212)은 갱신(검사) 결과 정보를 처리할 수 있다. 제어 플로우 갱신 결과가 접속 불가를 나타내면, 접속 제어 애플리케이션(212)은 접속 애플리케이션(211)을 종료하거나, 접속 애플리케이션(211)의 모든 네트워크 접속을 차단할 수 있다. 제어 플로우 갱신 결과가 정상을 나타내고, 갱신된 데이터 플로우 정보(350)가 있는 경우, 접속 제어 애플리케이션(212)은 접속 제어 애플리케이션(212) 내의 데이터 플로우 테이블(317)을 갱신할 수 있다.The access control application 212 may process update (check) result information. If the control flow update result indicates that access is impossible, the access control application 212 may terminate the
동작 1220에서, 컨트롤러(202)는 게이트웨이(203)로 데이터 플로우 정보(350)를 전송할 수 있다. 예를 들어 갱신(검사)이 성공하면, 컨트롤러(202)는 게이트웨이(203)로 갱신된 제어 플로우 정보에 종속되는 데이터 플로우 정보(350)를 전송할 수 있다. 다른 예로 갱신(검사)이 실패하면, 컨트롤러(202)는 게이트웨이(203)로 데이터 플로우의 해제 요청을 전송할 수 있다.At operation 1220 ,
도 13은 다양한 실시 예들에 따른 제어 플로우 제거를 위한 신호 흐름도를 나타낸다.13 illustrates a signal flow diagram for control flow cancellation according to various embodiments.
도 13을 참조하면, 동작 1305에서 노드(201)는 컨트롤러(202)에게 제어 플로우 종료를 요청할 수 있다. 예를 들어, 노드(201)는 접속 제어 애플리케이션(212)을 종료하거나, 네트워크 접속이 지정된 시간 동안 사용되지 않거나, 또는 다른 시스템으로부터 접속 종료 요청이 수신되는 경우, 제어 플로우 종료를 요청할 수 있다.Referring to FIG. 13 , in operation 1305, the
동작 1310에서, 컨트롤러(202)는 노드(201)로부터 수신된 제어 플로우의 식별 정보(제어 플로우 ID)에 대응하는 제어 플로우를 제거할 수 있다. 컨트롤러(202)는 제거된 제어 플로우에 종속되는 데이터 플로우 또한 제거할 수 있다.In
동작 1315에서, 컨트롤러(202)는 게이트웨이(203)에게 데이터 플로우 제거를 요청하며, 동작 1320에서, 게이트웨이(203)는 데이터 플로우를 제거함으로써 접속 제어 애플리케이션(212)의 네트워크 접속을 차단할 수 있다. 이후, 접속 애플리케이션(211)은 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없게 된다.In operation 1315, the
도 14는 다양한 실시 예들에 따른 데이터 플로우 제거를 위한 신호 흐름도를 나타낸다.14 illustrates a signal flow diagram for data flow cancellation according to various embodiments.
도 14를 참조하면, 동작 1405에서 접속 제어 애플리케이션(212)은 접속 애플리케이션(211)의 종료를 감지할 수 있다. 접속 제어 애플리케이션(212)은 노드(201)에서 실행 중인 접속 애플리케이션의 종료 여부를 실시간 감시할 수 있다.Referring to FIG. 14 , in operation 1405 the access control application 212 may detect termination of the
동작 1410에서 접속 제어 애플리케이션(212)은 컨트롤러(202)에게 데이터 플로우 종료를 요청할 수 있다. 예를 들어, 접속 제어 애플리케이션(212)은 종료된 접속 애플리케이션(211)에 할당되어 있는 데이터 플로우 식별 정보 또는 애플리케이션 정보를 컨트롤러(202)에 전송하여 데이터 플로우 종료를 요청할 수 있다.In operation 1410, the access control application 212 may request the
동작 1415에서, 컨트롤러(202)는 노드(201)로부터 수신된 데이터 플로우 식별 정보 또는 애플리케이션 식별 정보를 기반으로 데이터 플로우를 제거할 수 있다. 컨트롤러(202)는 수신된 데이터 플로우 식별 정보 또는 애플리케이션 식별 정보를 기반으로 제어 플로우를 식별 및 검색하고, 식별 및 검색된 제어 플로우에 종속된 데이터 플로우를 제거할 수 있다.At operation 1415 ,
동작 1420에서, 컨트롤러(202)는 게이트웨이(203)에게 데이터 플로우 제거를 요청하며, 동작 1425에서, 게이트웨이(203)는 데이터 플로우를 제거함으로써 접속 제어 애플리케이션(212)의 제거된 데이터 플로우에 대응되는 서비스 서버(205)에 대한 접속을 차단할 수 있다. 이후, 접속 애플리케이션(211)은 더 이상 목적지 네트워크로 데이터 패킷을 전송할 수 없게 된다.In operation 1420, the
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.The above description is only an illustrative example of the technical idea disclosed in this document, and those skilled in the art to which the embodiments disclosed in this document belong will be within the scope of the essential characteristics of the embodiments disclosed in this document. Many modifications and variations will be possible.
따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Therefore, the embodiments disclosed in this document are not intended to limit the technical idea disclosed in this document, but to explain, and the scope of the technical idea disclosed in this document is not limited by these embodiments. The scope of protection of technical ideas disclosed in this document should be interpreted according to the scope of the following claims, and all technical ideas within the equivalent scope should be construed as being included in the scope of rights of this document.
Claims (19)
통신 회로;
상기 통신 회로와 작동적으로 연결되는 프로세서; 및
상기 프로세서와 작동적으로 연결되고, 접속 대상 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가,
상기 접속 제어 애플리케이션을 통해, 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대해 외부 서버로부터 수신된 데이터 플로우 정보 또는 애플리케이션 화이트리스트에 기반하여 검사를 수행하고,
상기 접속 대상 애플리케이션의 접속 환경에 대한 검사 결과 정보를 상기 외부 서버로 전송하고,
상기 외부 서버로부터 상기 검사 결과 정보를 기반으로 판단된, 접속 환경 검사 결과가 정상적인지 여부에 따른 응답을 수신하고,
상기 응답에 기반하여 상기 접속 대상 애플리케이션의 네트워크 접속을 제어하도록 하는 명령어들을 저장하고,
상기 데이터 플로우 정보 및 상기 애플리케이션 화이트리스트는 상기 외부 서버에서 생성된 접속 환경 검사 정보를 포함하는, 노드.In node,
communication circuit;
a processor in operative connection with the communication circuitry; and
and a memory operatively connected to the processor and storing a connection target application and an access control application, wherein the memory, when executed by the processor, causes the node to:
Through the access control application, the network connection environment of the connection target application is inspected based on data flow information or application whitelist received from an external server;
Transmitting inspection result information on the connection environment of the connection target application to the external server;
Receiving a response from the external server whether or not a connection environment examination result, determined based on the examination result information, is normal;
Storing commands for controlling network access of the connection target application based on the response;
The data flow information and the application whitelist include connection environment check information generated by the external server.
상기 접속 제어 애플리케이션을 통해, 상기 접속 대상 애플리케이션의 네트워크 접속을 감지하고,
상기 외부 서버에 상기 접속 대상 애플리케이션이 접속 요청한 서비스 서버의 IP 및 포트 정보를 전송하고,
상기 외부 서버의 접속 환경 검사 정책에 따라 상기 접속 환경 검사 정보를 포함하는 상기 데이터 플로우 정보를 수신하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Detecting network access of the connection target application through the access control application;
Transmits the IP and port information of the service server requested by the connection target application to the external server;
The node configured to receive the data flow information including the access environment inspection information according to the access environment inspection policy of the external server.
상기 접속 제어 애플리케이션을 통해, 상기 외부 서버에 접속하거나 인증을 수행하여 상기 외부 서버로부터 상기 접속 환경 검사 정보를 포함하는 상기 애플리케이션 화이트리스트 및 네트워크 접속을 시도하는 애플리케이션에 공통적으로 적용되는 접속 환경 검사 정보를 수신하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Through the access control application, access to the external server or authentication is performed to obtain the application whitelist including the access environment check information from the external server and access environment check information commonly applied to applications attempting network access. Node to receive.
상기 접속 제어 애플리케이션을 통해, 상기 외부 서버와의 갱신을 수행하여 상기 외부 서버로부터 갱신된 데이터 플로우 정보 또는 애플리케이션 화이트리스트를 수신하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
A node configured to perform update with the external server through the access control application to receive updated data flow information or application whitelist from the external server.
상기 접속 제어 애플리케이션을 통해, 상기 접속 대상 애플리케이션의 네트워크 접속을 감지하고,
상기 데이터 플로우 정보 또는 상기 애플리케이션 화이트리스트에 의해 접속 환경 검사가 필요한 경우, 상기 접속 대상 애플리케이션의 접속 환경에 대한 검사를 수행하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Detecting network access of the connection target application through the access control application;
A node configured to perform an examination of the connection environment of the connection target application when a connection environment examination is required based on the data flow information or the application whitelist.
상기 접속 제어 애플리케이션을 통해, 상기 데이터 플로우 정보 또는 상기 애플리케이션 화이트리스트에 의해 상기 접속 대상 애플리케이션의 접속 환경에 대해 주기적으로 접속 환경 검사가 필요한 경우, 검사 주기에 따라 상기 접속 대상 애플리케이션의 접속 환경 검사를 수행하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Through the access control application, if the connection environment of the connection target application needs to be checked periodically based on the data flow information or the application whitelist, the connection environment of the connection target application is checked according to the inspection period Node.
상기 접속 제어 애플리케이션을 통해, 상기 외부 서버로부터 상기 애플리케이션 화이트리스트 및 네트워크 접속을 시도하는 애플리케이션에 공통적으로 적용되는 접속 환경 검사 정보를 수신하고,
상기 애플리케이션 화이트리스트에 상기 접속 대상 애플리케이션이 포함된 경우 또는 상기 공통적으로 적용되는 접속 환경 검사 정보가 존재하는 경우, 상기 접속 대상 애플리케이션의 접속 환경에 대한 검사를 수행하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Receiving the application whitelist and connection environment check information commonly applied to applications attempting network access from the external server through the access control application;
The node configured to perform a check on the connection environment of the connection target application when the connection target application is included in the application whitelist or when the commonly applied connection environment check information exists.
상기 접속 제어 애플리케이션을 통해, 상기 외부 서버로부터 네트워크 접속 요청에 대한 응답으로 데이터 플로우 정보를 수신하고,
상기 네트워크 접속 요청에 성공한 경우 데이터 패킷을 전송하고, 상기 네트워크 접속 요청에 실패한 경우 상기 데이터 패킷을 드랍(drop) 하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Receiving data flow information in response to a network access request from the external server through the access control application;
A node configured to transmit a data packet when the network access request is successful and to drop the data packet when the network access request fails.
상기 접속 제어 애플리케이션을 통해, 상기 접속 대상 애플리케이션이 접속하고자 하는 서비스 서버에 대응하는 데이터 플로우가 존재하고 유효한 경우, 데이터 패킷을 전송하고, 상기 데이터 플로우가 존재하되 유효하지 않은 경우, 상기 데이터 패킷을 드랍(drop)하고,
상기 데이터 패킷의 드랍 시에 상기 접속 대상 애플리케이션의 접속 환경에 대한 검사가 필요한 경우, 접속 환경 검사를 수행하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
Through the access control application, if a data flow corresponding to the service server to which the connection target application wants to access exists and is valid, a data packet is transmitted, and if the data flow exists but is not valid, the data packet is dropped (drop),
A node configured to perform a connection environment inspection when the connection environment of the connection target application needs to be inspected when the data packet is dropped.
상기 외부 서버로부터 접속 환경 검사 요청에 대한 응답으로 상기 접속을 해제함을 나타내는 정보를 수신한 경우, 상기 접속 대상 애플리케이션을 종료하거나, 상기 접속 대상 애플리케이션의 네트워크 접속을 차단하도록 하는, 노드.The method according to claim 1, wherein the instructions are the node,
The node that terminates the connection target application or blocks network access of the connection target application when information indicating that the connection is to be released is received in response to the connection environment inspection request from the external server.
통신 회로;
상기 통신 회로와 작동적으로 연결되는 프로세서; 및
상기 프로세서와 작동적으로 연결되고, 데이터베이스를 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 서버가,
노드의 접속 제어 애플리케이션으로부터 서비스 서버에 대한 네트워크 접속 요청을 수신하되, 상기 네트워크 접속 요청은 상기 서비스 서버의 네트워크에 접속하려는 상기 노드의 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보를 포함하고,
상기 데이터베이스에 기반하여 상기 접속 대상 애플리케이션의 상기 서비스 서버에의 접속 가능 여부를 확인하고,
접속이 가능한 경우, 상기 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보에 대응하며 상기 접속 대상 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는 유효한 데이터 플로우가 존재하는지 여부를 확인하고, 유효한 데이터 플로우의 존재 여부에 기초하여 상기 네트워크 접속 요청에 대한 응답을 상기 노드로 전송하고,
접속이 불가능한 경우, 상기 노드로 접속 불가를 나타내는 결과 정보를 전송하고,
상기 노드로부터 상기 접속 환경에 대한 검사 결과 정보를 수신한 경우, 상기 검사 결과 정보에 기반하여 상기 접속 환경에 대한 검사 결과가 정상적인지 여부를 판단하도록 하는 명령어들을 저장하고,
상기 응답은, 상기 검사 결과가 정상적인지 여부에 따라 상기 접속 대상 애플리케이션의 접속을 제어하기 위한 응답을 포함하는, 서버.in the server,
communication circuit;
a processor in operative connection with the communication circuitry; and
a memory operably coupled to the processor and storing a database, wherein the memory, when executed by the processor, causes the server to:
Receive a network access request for a service server from an access control application of a node, wherein the network access request includes identification information of a connection target application of the node to access a network of the service server and network information of the service server,
Based on the database, it is confirmed whether the connection target application can access the service server;
If access is possible, check whether there is a valid data flow that corresponds to the identification information of the connection target application and the network information of the service server and includes connection environment inspection information for examining the network connection environment of the connection target application. and transmits a response to the network access request to the node based on whether a valid data flow exists or not;
If access is impossible, transmit result information indicating that access is not possible to the node;
When receiving test result information on the connected environment from the node, storing instructions for determining whether a test result on the connected environment is normal based on the test result information;
The response includes a response for controlling access of the connection target application according to whether the inspection result is normal.
접속이 가능한 경우,
상기 유효한 데이터 플로우가 존재하지 않는 경우, 상기 접속 대상 애플리케이션의 식별 정보, 상기 서비스 서버의 네트워크 정보 및 상기 접속 환경 검사 정보를 포함하는 데이터 플로우 정보를 생성하고,
상기 유효한 데이터 플로우가 존재하는 경우 또는 상기 데이터 플로우 정보를 생성한 경우, 상기 네트워크 접속 요청에 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대한 검사 결과 정보가 존재하는지 확인하도록 하는, 서버.The method according to claim 11, wherein the commands are the server,
If access is possible,
When the valid data flow does not exist, generating data flow information including identification information of the connection target application, network information of the service server, and connection environment inspection information;
When the valid data flow exists or when the data flow information is generated, the server determines whether inspection result information on the network access environment of the connection target application exists in the network access request.
상기 네트워크 접속 요청에 상기 검사 결과 정보가 존재하지 않는 경우, 접속 환경 검사가 필요함을 나타내는 상태 정보 및 상기 접속 환경 검사 정보를 포함하는 상기 데이터 플로우 정보를 상기 노드로 전송하고,
상기 네트워크 접속 요청에 상기 검사 결과 정보가 존재하는 경우, 상기 네트워크 접속 요청에 포함된 상기 검사 결과 정보에 기반하여 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대한 검사 결과가 정상적인지 여부를 판단하도록 하는, 서버.The method according to claim 12, wherein the instructions are the server,
When the inspection result information does not exist in the network access request, transmits status information indicating that a connection environment inspection is necessary and the data flow information including the connection environment inspection information to the node;
When the test result information exists in the network access request, the server determines whether the test result for the network access environment of the connection target application is normal based on the test result information included in the network access request. .
상기 검사 결과가 정상적인 경우, 상기 접속 대상 애플리케이션의 식별 정보, 상기 서비스 서버의 네트워크 정보 및 상기 접속 환경 검사 정보를 포함하는 상기 데이터 플로우 정보를 상기 노드 및 게이트웨이로 전송하도록 하는, 서버.The method according to claim 13, wherein the instructions are the server,
and transmits the data flow information including the identification information of the connection target application, the network information of the service server, and the connection environment inspection information to the node and the gateway when the test result is normal.
상기 검사 결과가 정상적이지 않은 경우,
상기 노드로 접속 불가를 나타내는 결과 정보를 전송하고,
상기 데이터베이스에 기반하여 접속 환경 검사 결과의 위험 수준을 평가하고,
상기 위험 수준에 따라, 상기 접속 제어 애플리케이션과의 제어 플로우를 해제하거나 상기 노드를 블랙리스트(blacklist)에 추가하여 상기 노드의 네트워크 접속을 차단하도록 하는, 서버.The method according to claim 13, wherein the instructions are the server,
If the above test results are not normal,
Transmitting result information indicating inability to connect to the node;
Evaluate the risk level of the access environment inspection result based on the database,
According to the risk level, the server blocks network access of the node by releasing the control flow with the access control application or adding the node to a blacklist.
상기 노드로부터 접속 환경 검사 요청을 수신하고,
상기 접속 환경 검사 요청에 포함된 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대한 검사 결과 정보에 기반하여 상기 접속 대상 애플리케이션의 네트워크 접속 환경에 대한 검사 결과가 정상적인지 여부를 판단하도록 하는, 서버.The method according to claim 11, wherein the commands are the server,
Receiving a connection environment inspection request from the node;
and determining whether a test result of the network connection environment of the connection target application is normal based on the examination result information of the network connection environment of the connection target application included in the connection environment examination request.
접속 가능한 애플리케이션 화이트리스트 정보 및 네트워크 접속을 시도하는 애플리케이션의 네트워크 접속 환경을 검사하는데 공통적으로 사용하기 위한 접속 환경 검사 정보를 생성하여 상기 접속 제어 애플리케이션으로 전송하도록 하고,
상기 화이트리스트 정보는, 상기 화이트리스트에 포함된 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는, 서버.The method according to claim 11, wherein the commands are the server,
To generate access environment test information for common use in examining the network access environment of applications attempting network access and accessible application white list information, and transmit the information to the access control application;
The whitelist information includes connection environment examination information for examining network access environments of applications included in the whitelist.
상기 노드의 접속 제어 애플리케이션을 통해, 상기 노드의 접속 대상 애플리케이션의 접속 환경에 대해 외부 서버로부터 수신된 데이터 플로우 정보 또는 애플리케이션 화이트리스트에 기반하여 검사를 수행하는 동작,
상기 접속 대상 애플리케이션의 접속 환경에 대한 검사 결과 정보를 상기 외부 서버로 전송하는 동작,
상기 외부 서버로부터 상기 검사 결과 정보를 기반으로 판단된, 접속 환경 검사 결과가 정상적인지 여부에 따른 응답을 수신하는 동작, 및
상기 응답에 기반하여 상기 접속 대상 애플리케이션의 네트워크 접속을 제어하는 동작을 포함하고,
상기 데이터 플로우 정보 및 상기 애플리케이션 화이트리스트는 상기 외부 서버에서 생성된 접속 환경 검사 정보를 포함하는, 동작 방법.In the operating method of the node,
An operation of performing a check based on data flow information or an application whitelist received from an external server for an access environment of a connection target application of the node through an access control application of the node;
Transmitting test result information on the connection environment of the connection target application to the external server;
Receiving, from the external server, a response according to whether a connection environment examination result, determined based on the examination result information, is normal; and
Controlling network access of the connection target application based on the response;
The data flow information and the application whitelist include connection environment check information generated by the external server.
노드의 접속 제어 애플리케이션으로부터 서비스 서버에 대한 네트워크 접속 요청을 수신하되, 상기 네트워크 접속 요청은 상기 서비스 서버의 네트워크에 접속하려는 상기 노드의 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보를 포함하는 동작,
상기 서버의 데이터베이스에 기반하여 상기 접속 대상 애플리케이션의 상기 서비스 서버에의 접속 가능 여부를 확인하는 동작,
접속이 가능한 경우, 상기 접속 대상 애플리케이션의 식별 정보와 상기 서비스 서버의 네트워크 정보에 대응하며 상기 접속 대상 애플리케이션의 네트워크 접속 환경을 검사하기 위한 접속 환경 검사 정보를 포함하는 유효한 데이터 플로우가 존재하는지 여부를 확인하고, 유효한 데이터 플로우의 존재 여부에 기초하여 상기 네트워크 접속 요청에 대한 응답을 상기 노드로 전송하는 동작,
접속이 불가능한 경우, 상기 노드로 접속 불가를 나타내는 결과 정보를 전송하는 동작, 및
상기 노드로부터 상기 접속 환경에 대한 검사 결과 정보를 수신하는 경우, 상기 검사 결과 정보에 기반하여 상기 접속 환경에 대한 검사 결과가 정상적인지 여부를 판단하는 동작을 포함하고,
상기 응답은, 상기 검사 결과가 정상적인지 여부에 따라 상기 접속 대상 애플리케이션의 접속을 제어하기 위한 응답을 포함하는, 동작 방법.In the method of operating the server,
An operation of receiving a network access request for a service server from an access control application of a node, wherein the network access request includes identification information of a connection target application of the node to access a network of the service server and network information of the service server. ,
An operation of checking whether or not access to the service server of the connection target application is possible based on the database of the server;
If access is possible, check whether there is a valid data flow that corresponds to the identification information of the connection target application and the network information of the service server and includes connection environment inspection information for examining the network connection environment of the connection target application. and transmitting a response to the network access request to the node based on whether a valid data flow exists;
If connection is not possible, transmitting result information indicating that connection is impossible to the node; and
When receiving test result information on the connected environment from the node, determining whether a test result on the connected environment is normal based on the test result information;
The operation method of claim 1 , wherein the response includes a response for controlling access of the connection target application according to whether the inspection result is normal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220059123A KR102495372B1 (en) | 2022-05-13 | 2022-05-13 | System for controlling data flow based on application test and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220059123A KR102495372B1 (en) | 2022-05-13 | 2022-05-13 | System for controlling data flow based on application test and method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102495372B1 true KR102495372B1 (en) | 2023-02-06 |
Family
ID=85224398
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220059123A KR102495372B1 (en) | 2022-05-13 | 2022-05-13 | System for controlling data flow based on application test and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102495372B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200038452A (en) * | 2020-04-07 | 2020-04-13 | 주식회사 엔오디비즈웨어 | Application performing security function |
KR102379721B1 (en) * | 2021-09-03 | 2022-03-29 | 프라이빗테크놀로지 주식회사 | System for controlling network access of application based on tcp session control and method therefor |
KR102396528B1 (en) * | 2022-01-14 | 2022-05-12 | 프라이빗테크놀로지 주식회사 | System for controlling network access based on controller and method of the same |
-
2022
- 2022-05-13 KR KR1020220059123A patent/KR102495372B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200038452A (en) * | 2020-04-07 | 2020-04-13 | 주식회사 엔오디비즈웨어 | Application performing security function |
KR102379721B1 (en) * | 2021-09-03 | 2022-03-29 | 프라이빗테크놀로지 주식회사 | System for controlling network access of application based on tcp session control and method therefor |
KR102396528B1 (en) * | 2022-01-14 | 2022-05-12 | 프라이빗테크놀로지 주식회사 | System for controlling network access based on controller and method of the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102250505B1 (en) | System for controlling network access of node based on tunnel and data flow and method thereof | |
KR102309116B1 (en) | System and method for controlling network access of data flow based application | |
KR102364445B1 (en) | System for controlling network access based on controller and method of the same | |
KR102379721B1 (en) | System for controlling network access of application based on tcp session control and method therefor | |
US11082256B2 (en) | System for controlling network access of terminal based on tunnel and method thereof | |
KR102377247B1 (en) | System for controlling network access based on controller and method of the same | |
KR102460691B1 (en) | System for controlling network access based on controller and method of the same | |
KR102407136B1 (en) | System for controlling network access based on controller and method of the same | |
KR102514618B1 (en) | System for controlling network access based on controller and method of the same | |
US20240080299A1 (en) | Controller-based network access control system, and method thereof | |
KR102460696B1 (en) | System for controlling network access based on controller and method of the same | |
US11271777B2 (en) | System for controlling network access of terminal based on tunnel and method thereof | |
KR102446934B1 (en) | System for controlling transmission and reception of file of application based on proxy and method thereof | |
KR102495369B1 (en) | System for controlling network access based on controller and method of the same | |
KR102502367B1 (en) | System for controlling network access based on controller and method of the same | |
US20220247720A1 (en) | System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor | |
US20220337604A1 (en) | System And Method For Secure Network Access Of Terminal | |
US20220247721A1 (en) | System For Authenticating And Controlling Network Access Of Terminal, And Method Therefor | |
KR102495373B1 (en) | System for controlling network access based on application inspection and method of the same | |
KR102472554B1 (en) | System for controlling network access based on controller and method of the same | |
KR102449118B1 (en) | System for controlling transmission and reception of file of application based on proxy and method thereof | |
KR102460693B1 (en) | System for controlling transmission and reception of file of application and method thereof | |
KR102495370B1 (en) | System for controlling transmission and reception of file of application based on proxy and method thereof | |
KR102439880B1 (en) | System for controlling transmission and reception of file of application and method thereof | |
KR102407135B1 (en) | System for controlling network access based on controller and method of the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |