KR102672637B1 - 높은 보안성을 가지는 가상사설망 서비스 제공 시스템 - Google Patents

높은 보안성을 가지는 가상사설망 서비스 제공 시스템 Download PDF

Info

Publication number
KR102672637B1
KR102672637B1 KR1020230157173A KR20230157173A KR102672637B1 KR 102672637 B1 KR102672637 B1 KR 102672637B1 KR 1020230157173 A KR1020230157173 A KR 1020230157173A KR 20230157173 A KR20230157173 A KR 20230157173A KR 102672637 B1 KR102672637 B1 KR 102672637B1
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
connection
unit
vpn server
Prior art date
Application number
KR1020230157173A
Other languages
English (en)
Inventor
조현상
Original Assignee
주식회사 스타버킷
조현상
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 스타버킷, 조현상 filed Critical 주식회사 스타버킷
Priority to KR1020230157173A priority Critical patent/KR102672637B1/ko
Application granted granted Critical
Publication of KR102672637B1 publication Critical patent/KR102672637B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S5/00Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations
    • G01S5/02Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations using radio waves
    • G01S5/14Determining absolute distances from a plurality of spaced points of known location
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/06Airborne or Satellite Networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Astronomy & Astrophysics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 종단 간 암호화를 통해 원격지의 사용자 단말과 기업 내 가상사설망(VPN) 서버 간 접속 보안성을 높일 수 있고, 사용자 단말 인증 완료 시 가상 인증 모듈 폐기 및 동일한 인증 절차 진행이 불가능하도록 하며, 접속 허용 반경을 설정하여 사용자 단말이 반경을 벗어나거나 이동경로의 특이점이 발생할 경우 해당 사용자 단말에 대한 재인증을 요청함으로써 높은 보안성을 제공할 수 있는 높은 보안성을 가지는 가상사설망 서비스 제공 시스템에 관한 것이다.

Description

높은 보안성을 가지는 가상사설망 서비스 제공 시스템{A SYSTEM FOR PROVIDING HIGH-SECURITY VIRTUAL PRIVATE NETWORK SERVICES}
본 발명은 높은 보안성을 가지는 가상사설망 서비스 제공 시스템에 관한 것으로서, 보다 구체적으로는, 종단 간 암호화를 통해 원격지의 사용자 단말과 기업 내 가상사설망(VPN) 서버 간 접속 보안성을 높일 수 있고, 사용자 단말 인증 완료 시 가상 인증 모듈 폐기 및 동일한 인증 절차 진행이 불가능하도록 하며, 접속 허용 반경을 설정하여 사용자 단말이 반경을 벗어나거나 이동경로의 특이점이 발생할 경우 해당 사용자 단말에 대한 재인증을 요청함으로써 높은 보안성을 제공할 수 있는 높은 보안성을 가지는 가상사설망 서비스 제공 시스템에 관한 것이다.
일반적으로, 분산된 기업환경에서 본사와 지사를 연결하는 대표적인 방식은 전용회선(leased line)이나 프레임 릴레이(Frame relay)를 이용하여 망을 구축하는 것이다. 그러나 이러한 전용회선(leased line)이나 프레임 릴레이(Frame relay)는 회선비용이 상대적으로 비싸다는 문제점이 있다.
따라서 전용회선이나 프레임 릴레이에 비해 비용이 저렴한 인터넷 공중망을 이용한 망 서비스로 가상사설망 기술이 널리 사용되고 있다. VPN 기술은 기존의 공중망을 이용하여 원거리 단말기(지사)와 본사를 연결하여 외부 와 안전한 통신을 할 수 있도록 가상으로 사설 통신망을 구축하는 기술이다.
기존의 VPN은 IPSec, SSL 등의 프로토콜을 사용하여 전송 계층(transport layer)과 네트워크 계층(network layer) 상에서 동작하였다. 그러나 이와 같이 전송 계층 이하에서 동작하는 VPN의 경우는 릴레이 기능을 통한 확장이 어렵고, 하드웨어 의존성이 높기 때문에 클라이언트 이식성이 떨어진다는 문제점이 있다.
이에 대한 해결책으로 SSH 프로토콜을 사용하는 어플리케이션 계층에서 동작하는 VPN 기법이 제시된 바 있다. 어플리케이션 계층에서 동작하는 VPN의 경우 비교적 확장이 쉬운 편이나 릴레이 서버(relay server)를 통해 연결 시 단순 경로만을 제공하여 신뢰성이 떨어진다는 문제점이 있다. 또한 하나의 릴레이 서버에 다수의 VPN 서버가 연결된 호스티드 VPN(hosted VPN) 서비스 제공 시, 단일 업체가 아닌 여러 업체를 대상으로 VPN 서비스를 제공하 기에 네트워크 보안 설정 및 IP 충돌 문제가 발생한다.
특히, 대부지에 지어진 기업 공장에 사설망이 설치된 경우, 사설망 접속 허용 반경은 보통 공장부지 정도로 제한된다. 이때, 무선 통신을 기반으로 하는 모바일 기기 특성 상, 해당 모바일 기기가 접속 허용 반경의 경계를 벗어났는지 여부를 정확히 파악하기 어렵기 때문에, 해당 사용자가 접속 허용 반경을 벗어난 모바일 기기를 반출, 기업 내부 정보를 외부인에게 유출하더라도 이를 시스템적으로 정확히 판단하기 어렵다는 점에서, 이러한 보안 이슈를 해소하기 위한 기술 개발이 요구되고 있는 실정이다.
한국공개특허 제10-2013-0034401호
본 발명은 전술한 문제점을 해결하기 위한 것으로, 종단 간 암호화를 통해 원격지의 사용자 단말과 기업 내 가상사설망(VPN) 서버 간 접속 보안성을 높일 수 있고, 사용자 단말 인증 완료 시 가상 인증 모듈 폐기 및 동일한 인증 절차 진행이 불가능하도록 하며, 접속 허용 반경을 설정하여 사용자 단말이 반경을 벗어나거나 이동경로의 특이점이 발생할 경우 해당 사용자 단말에 대한 재인증을 요청함으로써 높은 보안성을 제공할 수 있는 높은 보안성을 가지는 가상사설망 서비스 제공 시스템을 제공하고자 한다.
본 발명의 일 실시예에 따른 높은 보안성을 가지는 가상사설망 서비스 제공 시스템(100)은 VPN 서버 접속을 희망하는 사용자 단말에게 접속용 에이전트 모듈을 제공하는 접속 지원부(110), 상기 사용자 단말의 접속 인증을 위한 가상 인증 모듈을 생성하고, 상기 가상 인증 모듈을 통해 해당 사용자 단말의 접속을 인증하는 접속 인증부(120) 및 상기 인증부(120)에 의해 인증된 VPN 서버와의 연결단, 상기 인증부(120)에 의해 인증된 사용자 단말기와의 연결단 각각에 데이터가 이동하는 VPN 터널을 생성하여, 상기 사용자 단말과 상기 VPN 서버 두 종단 간에 데이터의 송수신을 중계하는 터널 관리부(130)를 포함할 수 있다.
일 실시예에서, 상기 접속 인증부(120)는 상기 가상 인증 모듈을 통해 사용자 단말로부터 인증 데이터 및 인증 요청을 수신하고, 상기 인증 데이터에 포함된 VPN 서버의 아이디로 VPN 서버에 접속하여 해당 사용자 단말의 인증을 요청하며, 해당 사용자 단말의 접속 종료 시, 상기 가상 인증 모듈 내 기록된 사용자 단말의 인증 데이터 및 인증 요청 내역을 모두 폐기할 수 있다.
일 실시예에서, 상기 접속 인증부(120)는 동일 사용자 단말의 재접속 요청 시, 해당 사용자 단말로부터 인증 데이터 및 인증 요청 수신, 해당 인증 데이터에 포함된 VPN 서버의 아이디로 VPN 서버에 접속하여 해당 사용자 단말의 인증을 요청하는 과정을 재 수행할 수 있다.
일 실시예에서, 본 발명은 사용자 단말의 접속 가능 반경을 설정하며, 사용자 단말의 위치정보를 토대로 반경 내 사용자 단말의 이동경로를 파악한 후, 사용자 단말이 상기 접속 가능 반경을 벗어나거나 사용자 단말의 이동경로의 특이점 발생 시 상기 접속 인증부(120)를 통해 해당 사용자 단말의 접속 재인증을 요청하도록 하는 위치 파악부(140)를 더 포함할 수 있다.
일 실시예에서, 상기 위치 파악부(140)는 상기 접속 가능 반경 내 다수 개의 스팟에 설치된 위치정보 수집단말로부터 사용자 단말의 위치정보를 수집하되, 해당 사용자 단말과 가장 인접한 적어도 2개 이상의 위치정보 수집단말과의 삼각측량방식을 이용하여 해당 사용자 단말의 위치를 실시간 보정할 수 있다.
일 실시예에서, 상기 위치 파악부(140)는 사용자 단말이 상기 접속 가능 반경의 경계에 위치하는 것으로 판단되는 경우, 상기 접속 인증부(120)를 통해 해당 사용자 단말의 접속 재인증을 요청하거나 또는 접속 유지를 위한 추가 인증을 요청하도록 할 수 있다.
일 실시예에서, 상기 접속 인증부(120)는 상기 VPN 서버로부터 사용자 단말의 인증이 완료되는 경우, 해당 사용자 단말과 연계된 사용자 계정의 보안등급에 따라 상기 접속 가능 반경을 차등적으로 확대 또는 축소하여 반영할 수 있다.
일 실시예에서, 본 발명은 기 설정된 반경 내에서 기 설정된 이동경로를 따라 비행 및 영상을 촬영하도록 설정된 다수 개의 드론과 연결되고, 각 드론 별 접속 인증을 위한 인증 모듈을 생성하여 각 드론 별 접속을 인증하며, 각 드론 별 영상 데이터 수신을 위한 드론용 VPN 터널을 생성하여 각 드론을 통해 촬영되는 영상 데이터가 상기 VPN 서버에 수신 및 저장되도록 하는 드론 관리부(150)를 더 포함할 수 있다.
본 발명의 일 측면에 따르면, 종단 간 암호화를 통해 원격지의 사용자 단말과 기업 내 가상사설망(VPN) 서버 간 접속 보안성을 높일 수 있고, 사용자 단말 인증 완료 시 가상 인증 모듈 폐기 및 동일한 인증 절차 진행이 불가능하도록 하며, 접속 허용 반경을 설정하여 사용자 단말이 반경을 벗어나거나 이동경로의 특이점이 발생할 경우 해당 사용자 단말에 대한 재인증을 요청함으로써 높은 보안성을 제공할 수 있는 이점을 가진다.
도 1은 본 발명의 일 실시예에 따른 높은 보안성을 가지는 가상사설망 서비스 제공 시스템(100)의 구성을 나타낸 도면이다.
도 2는 접속 인증부(120)에서 사용자 단말 인증 완료 후, 접속 인증에 사용된 사용자 인증 데이터 및 인증 요청 내역을 폐기하고, 재접속 요청 시 인증을 재 수행하는 과정을 순서대로 나타낸 도면이다.
도 3은 위치 파악부(140)에서 사용자 단말의 위치정보를 토대로 특이점 발생 시 사용자 단말의 접속 재인을 요청하는 과정을 순서대로 나타낸 도면이다.
도 4는 드론 관리부(150)에서 다수 개의 드론을 통해 촬영되는 영상 데이터를 VPN 서버에 수신 및 저장되도록 하는 과정을 순서대로 나타낸 도면이다.
이하, 본 발명의 이해를 돕기 위하여 바람직한 실시예를 제시한다. 그러나 하기의 실시예는 본 발명을 보다 쉽게 이해하기 위하여 제공되는 것일 뿐, 실시예에 의해 본 발명의 내용이 한정되는 것은 아니다.
도 1은 본 발명의 일 실시예에 따른 높은 보안성을 가지는 가상사설망 서비스 제공 시스템(100)의 구성을 나타낸 도면이다.
도 1을 살펴보면, 본 발명의 일 실시예에 따른 높은 보안성을 가지는 가상사설망 서비스 제공 시스템(100)은 크게 접속 지원부(110), 접속 인증부(120), 터널 관리부(130), 위치 파악부(140) 및 드론 관리부(150)로 구성될 수 있다.
접속 지원부(110)는 기업 내 VPN 서버와 연결되며, VPN 서버 접속을 희망하는 사용자 단말에게 접속용 에이전트 모듈을 제공한다. 사용자 단말 상에 접속용 에이전트 모듈이 설치된 후, 접속용 에이전트 모듈을 통해 사용자 단말이 접속하고자 하는 VPN 서버에 대한 식별정보를 포함하는 인증 데이터 및 인증 요청이 사용자 단말로부터 수신될 경우, 접속 인증부(120)는 사용자 단말의 접속 인증을 위한 가상 인증 모듈을 생성하고, 해당 가상 인증 모듈을 통해 해당 사용자 단말의 접속을 인증한다.
보다 구체적으로, 접속 지원부(110)는 사용자 단말에 설치된 접속용 에이전트 모듈을 통해 사용자 단말이 통신하고자 하는 VPN 서버에 대한 식별정보를 포함하는 인증 데이터 및 인증 요청을 수신하고, 접속 인증부(120)에서는 가상 인증 모듈을 통해 인증 데이터에 포함된 VPN 서버의 아이디를 이용하여 해당 VPN 서버로 접속하여 사용자 단말에 대한 인증을 요청하게 된다.
이때, 접속 인증부(120)로 전송되는 인증 데이터 및 인증 요청은 공인 IP를 통해 이루어진다. 인증 데이터에는 사용자 단말이 접속하고자 하는 VPN 서버의 아이디, 사용자 단말의 아이디 및 VPN 서버의 접속 암호가 포함될 수 있다.
VPN 서버를 통해 해당 사용자 단말에 대한 인증이 완료되면, 사용자 단말에 설치된 접속용 에이전트 모듈에서는 제1 및 제2 공개키와, 제1 및 제2 개인키를 각각 생성하고, 제1 공개키를 접속 인증부(120)에 등록하고, 접속 인증부(120)로부터 해당 제1 공개키에 대한 인증을 받는다. 이때, 접속용 에이전트 모듈에서 접속 인증부(120)로 사전에 설정된 인증 프로토콜에 따라 접속을 요청하면, 상호 간에 사용될 알고리즘이 선택된다. 이때 알고리즘은 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘 등이 적용될 수 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제1 암호키)를 생성하여 접속용 에이전트 모듈과 접속 인증부(120) 간에 서로 교환한다. 이때 제1 암호키는 주기적으로 랜덤하게 재 생성되어 교환될 수 있다.
이 후, 접속용 에이전트 모듈에서는 대칭키인 제1 암호키를 이용하여 VPN 서버의 아이디, 사용자 단말의 아이디 및 제1 개인키를 암호화하여 접속 인증부(120)로 인증을 요청한다. 접속 인증부(120)에서는 제1 공개키로 접속용 에이전트 모듈을 인증하게 된다.
다음으로, 접속용 에이전트 모듈은 제2 공개키를 VPN 서버에 등록하고, VPN 서버에게 제2 공개키로 인증을 받는다. 보다 구체적으로, 접속용 에이전트 모듈은 VPN 서버로 사전에 설정된 인증 프로토콜에 따라 접속을 요청하고 상호 간에 사용될 알고리즘이 선택된다. 이때 알고리즘은 암호화 알고리즘, 해쉬(hash) 알고리즘, HMAC 알고리즘 및 압축 알고리즘 등이 적용될 수 있다. 알고리즘 선택 후 알고리즘(AES, 3SES 등)에 사용할 대칭키(제1 암호키)를 생성하여 접속용 에이전트 모듈과 접속 인증부(120) 간에 서로 교환한다. 이때 제1 암호키는 주기적으로 랜덤하게 재 생성되어 교환될 수 있다.
이 후, 접속용 에이전트 모듈에서는 대칭키인 제1 암호키를 이용하여 VPN 서버의 아이디, 사용자 단말의 아이디 및 제2 개인키를 암호화하여 VPN 서버로 인증을 요청한다. VPN 서버에서는 제2 공개키로 접속용 에이전트 모듈을 인증하게 된다.
한편, 일 실시예에서 접속 인증부(120)는 앞서 가상 인증 모듈을 통한 사용자 단말의 인증이 완료되고, 이후 사용자 단말의 VPN 접속이 종료되는 경우, 해당 가상 인증 모듈을 통해 진행되었던 가상 인증 모듈 내 기록된 사용자 단말의 인증 데이터 및 인증 요청 내역을 모두 폐기하게 된다. 이에 대해 살펴보면 다음과 같다.
도 2는 접속 인증부(120)에서 사용자 단말 인증 완료 후, 접속 인증에 사용된 사용자 인증 데이터 및 인증 요청 내역을 폐기하고, 재접속 요청 시 인증을 재 수행하는 과정을 순서대로 나타낸 도면이다.
도 2를 살펴보면, 접속 인증부(120)는 사용자 단말의 VPN 접속이 종료된 것으로 판단되면(S201), 사용자 단말의 접속용 에이전트 모듈과 VPN 서버 간에 가상 인증 모듈을 통한 인증 시 이용되었던 사용자 단말의 인증 데이터 및 인증 요청 내역을 모두 폐기한다(S202). 이는 해당 사용자 단말의 접속용 에이전트 모듈과 VPN 간에 인증을 일시적으로 매칭시켜 동일한 인증 절차 진행을 불가하게 함으로써, 해당 사용자 단말의 해킹이나 비정상적인 접속을 차단하여 보안성을 높이기 위함이다.
만약, 동일한 사용자 단말의 접속용 에이전트 모듈로부터 VPN 서버에 대한 재접속이 요청되는 경우(S203), 접속 인증부(120)는 앞서 가상 인증 모듈을 생성하고 해당 가상 인증 모듈을 통해 사용자 단말로부터 인증 데이터 및 인증 요청을 수신하는 과정, 인증 데이터에 포함된 VPN 서버의 아이디로 VPN 서버에 접속하여 사용자 단말의 인증을 요청하고 인증 받는 전 과정을 재 수행되도록 함으로써(S204), 동일한 인증 절차 진행을 불가하게 함으로써 해당 사용자 단말의 해킹이나 비정상적인 접속을 차단하여 보안성을 높이게 된다.
터널 관리부(130)는 앞서 상기 인증부(120)에 의해 인증된 VPN 서버와의 연결단, 상기 인증부(120)에 의해 인증된 사용자 단말기와의 연결단 각각에 데이터가 이동하는 VPN 터널을 생성하여, 상기 사용자 단말과 상기 VPN 서버 두 종단 간에 데이터의 송수신을 중계하는 역할을 한다. 터널 관리부(130)의 경우 종래의 공지된 기술이 적용될 수 있는 바, 상세한 설명은 생략하기로 한다.
한편, 본 발명에서는 가상사설망의 이용 환경을 기준으로 접속 가능 반경을 설정하고, 사용자 단말의 위치정보를 토대로 사용자 단말이 접속 가능 반경을 벗어나는지, 또는 사용자 단말의 이동경로 상 특이점이 없는지 여부를 이용하여 사용자 단말의 접속 재인증을 요청함으로써 보안성을 더욱 높일 수도 있다. 이에 대해 살펴보면 다음과 같다.
도 3은 위치 파악부(140)에서 사용자 단말의 위치정보를 토대로 특이점 발생 시 사용자 단말의 접속 재인을 요청하는 과정을 순서대로 나타낸 도면이다.
도 3을 살펴보면, 일반적으로 기업 내 사설망 접속 허용 반경은 보통 해당 기업 부지나 관련 부서 정도로 제한된다. 이때, 사용자 단말이 모바일 기기일 경우, 무선 통신에 기반한 모바일 기기 특성 상, 사용자가 자신의 사용자 단말을 이용하여 사설망의 접속 허용 반경 내에서 자유롭게 이용할 수 있다. 시스템적으로 봤을 때, 사용자가 접속 허용 반경의 경계를 넘어갔는지를 정확히 파악하기는 어렵기 때문에, 사용자가 접속 허용 반경을 벗어난 모바일 기기를 반출, 기업 내부 정보를 외부인에게 유출하더라도 이를 시스템적으로 정확히 판단하기 어렵다는 문제가 발생하게 된다.
특히, 대부지에 지어진 기업 공장의 경우, 사설망 접속 허용 반경 또한 그에 맞게 방대하게 형성되는데, 자유롭게 이동 가능한 모바일 기기를 외부로 반출하여, 기업 내부 정보를 외부인에게 유출하는 보안 이슈가 발생되더라도, 시스템적으로는 현재 모바일 기기의 위치가 사설망 접속 허용 반경을 벗어난지 정확히 알 수 없게 되는 것이다.
이를 해소하기 위하여, 본 발명에서는 사용자 단말의 VPN 접속 가능 반경을 설정하고(S301), 접속 가능 반경 내 다수 개의 스팟에 설치된 위치정보 수집단말로부터 접속 가능 반경 내에서 VPN 서버에 접속한 사용자 단말의 위치정보를 수집한다(S302). 이때, 위치정보라 함은 해당 사용자 단말의 GPS 정보일 수도 있고, 다수 개의 스팟에 설치된 위치정보 수집단말 과의 무선접속에 따라 수집되는 실시간 위치정보일 수도 있다.
특히, 위치 파악부(140)에서는 다수 개의 스팟에 설치된 위치정보 수집단말을 활용하여, 사용자 단말과 가장 인접한 적어도 2개 이상의 위치정보 수집단말 과의 삼각측량방식을 이용하여 해당 사용자 단말의 위치를 실시간으로 보정함으로써 사용자 단말의 위치를 더욱 정확히 측정하게 된다(S303). 삼각측량방식의 경우, 사용자 단말의 GPS 위치정보와 적어도 2개 이상의 위치정보 수집단말 과의 거리비를 토대로 사용자 단말의 정확한 위치를 산출하는 계산법으로써, 이는 공지된 기술을 적용할 수 있다.
만약, 사용자 단말의 현재 위치가 기 설정된 접속 가능 반경을 벗어나는 것으로 판단되는 경우, 위치 파악부(140)는 접속 인증부(120)를 통해 해당 사용자 단말에 대한 VPN 접속 재인증을 요청하게 된다(S304). 이때 재인증 과정은 앞서 살펴본 접속용 에이전트 모듈과 접속 인증부(120) 및 VPN 서버 간에 진행되었던 인증 과정을 모두 포함한다. 일 실시예에서, 위치 파악부(140)는 접속 인증부(120)를 통해 해당 사용자 단말에 대한 VPN 접속 재인증 외에도, 기존 접속 유지를 위한 추가 인증을 요청할 수도 있다.
또한, 일 실시예에서 위치 파악부(140)는 사용자 단말의 위치가 접속 가능 반경을 벗어나는지 여부 외에도, 사용자 단말의 이동경로 상 특이점을 토대로 접속 인증부(120)를 통해 해당 사용자 단말에 대한 VPN 접속 재인증을 요청하도록 할 수도 있다.
예를 들어, 해당 사용자 단말이 특정 부서에 속한 사용자의 소지 단말이라 한다면, 위치 파악부(140)는 해당 사용자의 부서를 기준으로 해당 사용자 단말의 평소 출퇴근 시간, 근무 시간 등 시간 별 이동경로(혹은 이동동선)을 기록할 수 있다. 만약, 기 정해진 시간에 기 기록된 이동경로의 오차범위를 크게 벗어나는 이동경로가 새로 기록될 경우, 접속 인증부(120)는 해당 사용자 단말의 이동경로 상 특이점이 발생한 것으로 판단하고, 사용자 단말의 이동경로 상 최종 목적지에 해당하는 위치에서 접속 인증부(120)를 통해 해당 사용자 단말에 대한 VPN 접속 재인증을 요청하도록 할 수도 있다.
뿐만 아니라, 위치 파악부(140)는 사용자 단말의 이동경로 상 최종 목적지에 해당하는 위치와 가장 인접한 내부 CCTV가 있을 경우, 해당 내부 CCTV를 통해 해당 위치를 자동으로 촬영하여 기록으로 남길 수도 있다. 이렇게 남겨진 영상 기록을 통해, 추후 해당 사용자를 통한 기업 내부 정보 반출 등의 보안 이슈 발생 시, CCTV를 통해 촬영 및 기록된 영상 데이터가 증거자료로써 활용될 수 있는 것이다.
한편, 일 실시예에서 앞서 살펴본 접속 인증부(120)는 VPN 서버로부터 사용자 단말의 인증이 완료되는 경우, 해당 사용자 단말과 연계된 사용자 계정의 보안등급에 따라, 위치 파악부(140)를 통해 설정된 접속 가능 반경을 차등적으로 확대 또는 축소하여 반영할 수도 있다. 예를 들어, 인증 완료된 사용자 단말의 사용자가 보안등급이 낮은 게스트 혹은 협력업체 직원 등일 경우, 접속 인증부(120)는 해당 사용자 단말의 접속 가능 반경을 특정 건물이나 특정 층, 혹은 특정 방 등으로 축소할 수 있다. 반대로, 인증 완료된 사용자 단말의 사용자가 보안등급이 높은 관리 직원 등일 경우, 접속 인증부(120)는 해당 사용자 단말의 접속 가능 반경을 경우에 따라 최대로 확대시키는 등 접속 가능 반경을 차등적으로 반영할 수 있다.
일 실시예에서, 대부지에 지어진 기업 공장 등의 보안을 위하여 설치된 다수의 CCTV들은 워낙 방대한 부지 면적에 의해 필연적으로 사각지대가 발생하기 마련이다. 이러한 사각지대에서도 보안 이슈가 분명 발생할 수 있기 때문에, 종래에는 이러한 사각지대를 설정 반경으로 하여, 미리 입력된 이동경로를 따라 비행 및 영상을 촬영하는 다수의 드론을 배치함으로써, 사각지대를 실시간 영상 촬영하여 CCTV를 대신하였다. 하지만, 드론을 촬영되는 영상은 기업 공장 내부를 촬영하고 있다는 점에서, 이렇게 촬영된 영상 데이터 또한 외부로 절대 반출되거나 유출되어서는 안 되는 중요한 기업 내부 정보에 해당할 수 있다.
따라서, 본 발명에서는 각 드론을 통해 촬영되는 영상 데이터 또한 보안성을 높여 수신되도록 할 수 있다. 이에 대해 보다 구체적으로 살펴보면 다음과 같다.
도 4는 드론 관리부(150)에서 다수 개의 드론을 통해 촬영되는 영상 데이터를 VPN 서버에 수신 및 저장되도록 하는 과정을 순서대로 나타낸 도면이다.
도 4를 살펴보면, 드론 관리부(150)는 기 설정된 반경 내 기 설정된 이동경로를 따라 비행 및 영상을 촬영하도록 설정된 다수 개의 드론과 연결되며(S401), 각 드론에게 접속용 에이전트 모듈을 제공하여 접속용 에이전트 모듈이 설치되도록 한다(S402). 여기에서, 기 설정된 반경 내 기 설정된 이동경로라 함은, 사내 CCTV를 통해 촬영되지 않는 사각지대들에 대해 관리자나 작업자의 단말을 통해 미리 입력된 모니터링 구간을 의미할 수 있다.
드론 관리부(150)는 각 드론 별 접속 인증을 위한 인증 모듈을 생성하고, 해당 인증 모듈을 이용하여 각 드론이 VPN 서버에 접속하는 것을 인증하게 된다(S403). 또한, 드론 관리부(150)는 각 드론 별 영상 데이터 수신을 위하여, 각 드론과 VPN 서버의 연결단 각각에 영상 데이터 수신을 위한 드론용 VPN 터널을 생성한다(S404). 이때 각각의 드론용 VPN 터널은 각 드론 별로 할당된다. 이 후, 드론 관리부(150)는 생성된 드론용 VPN 터널을 통해 각 드론 별로 영상 데이터가 VPN 서버에 수신 및 저장되도록 한다(S405).
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 높은 보안성을 가지는 가상사설망 서비스 제공 시스템
110: 접속 지원부
120: 접속 인증부
130: 터널 관리부
140: 위치 파악부
150: 드론 관리부

Claims (8)

  1. VPN 서버 접속을 희망하는 사용자 단말에게 접속용 에이전트 모듈을 제공하는 접속 지원부(110);
    상기 사용자 단말의 접속 인증을 위한 가상 인증 모듈을 생성하고, 상기 가상 인증 모듈을 통해 해당 사용자 단말의 접속을 인증하는 접속 인증부(120); 및
    상기 인증부(120)에 의해 인증된 VPN 서버와의 연결단, 상기 인증부(120)에 의해 인증된 사용자 단말기와의 연결단 각각에 데이터가 이동하는 VPN 터널을 생성하여, 상기 사용자 단말과 상기 VPN 서버 두 종단 간에 데이터의 송수신을 중계하는 터널 관리부(130);를 포함하며,
    상기 VPN 서버를 통해 사용자 단말에 대한 인증이 완료되면, 사용자 단말에 설치된 접속용 에이전트 모듈에서는 제1 및 제2 공개키와 제1 및 제2 개인키를 각각 생성하고, 제1 공개키를 접속 인증부(120)에 등록하고, 접속 인증부(120)로부터 해당 제1 공개키에 대한 인증을 받으며, 접속용 에이전트 모듈에서 접속 인증부(120)로 사전에 설정된 인증 프로토콜에 따라 접속을 요청하면, 상호 간에 사용될 알고리즘이 선택되고, 알고리즘 선택 후 알고리즘에 사용할 대칭키인 제1 암호키를 생성하여 접속용 에이전트 모듈과 접속 인증부(120) 간에 서로 교환하며, 접속용 에이전트 모듈에서는 상기 제1 암호키를 이용하여 VPN 서버의 아이디, 사용자 단말의 아이디 및 제1 개인키를 암호화하여 접속 인증부(120)로 인증을 요청하고, 접속 인증부(120)에서는 제1 공개키로 접속용 에이전트 모듈을 인증하며, 접속용 에이전트 모듈은 제2 공개키를 VPN 서버에 등록하고, VPN 서버에게 제2 공개키로 인증을 받으며,
    상기 제1 암호키는 주기적으로 랜덤하게 재 생성되어 교환되는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  2. 제1항에 있어서,
    상기 접속 인증부(120)는,
    상기 가상 인증 모듈을 통해 사용자 단말로부터 인증 데이터 및 인증 요청을 수신하고, 상기 인증 데이터에 포함된 VPN 서버의 아이디로 VPN 서버에 접속하여 해당 사용자 단말의 인증을 요청하며,
    해당 사용자 단말의 접속 종료 시, 상기 가상 인증 모듈 내 기록된 사용자 단말의 인증 데이터 및 인증 요청 내역을 모두 폐기하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  3. 제2항에 있어서,
    상기 접속 인증부(120)는,
    동일 사용자 단말의 재접속 요청 시,
    해당 사용자 단말로부터 인증 데이터 및 인증 요청 수신, 해당 인증 데이터에 포함된 VPN 서버의 아이디로 VPN 서버에 접속하여 해당 사용자 단말의 인증을 요청하는 과정을 재 수행하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  4. 제1항에 있어서,
    사용자 단말의 접속 가능 반경을 설정하며, 사용자 단말의 위치정보를 토대로 반경 내 사용자 단말의 이동경로를 파악한 후, 사용자 단말이 상기 접속 가능 반경을 벗어나거나 사용자 단말의 이동경로의 특이점 발생 시 상기 접속 인증부(120)를 통해 해당 사용자 단말의 접속 재인증을 요청하도록 하는 위치 파악부(140);를 더 포함하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  5. 제4항에 있어서,
    상기 위치 파악부(140)는,
    상기 접속 가능 반경 내 다수 개의 스팟에 설치된 위치정보 수집단말로부터 사용자 단말의 위치정보를 수집하되,
    해당 사용자 단말과 가장 인접한 적어도 2개 이상의 위치정보 수집단말과의 삼각측량방식을 이용하여 해당 사용자 단말의 위치를 실시간 보정하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  6. 제4항에 있어서,
    상기 위치 파악부(140)는,
    사용자 단말이 상기 접속 가능 반경의 경계에 위치하는 것으로 판단되는 경우, 상기 접속 인증부(120)를 통해 해당 사용자 단말의 접속 재인증을 요청하거나 또는 접속 유지를 위한 추가 인증을 요청하도록 하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  7. 제4항에 있어서,
    상기 접속 인증부(120)는,
    상기 VPN 서버로부터 사용자 단말의 인증이 완료되는 경우, 해당 사용자 단말과 연계된 사용자 계정의 보안등급에 따라 상기 접속 가능 반경을 차등적으로 확대 또는 축소하여 반영하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
  8. 제1항에 있어서,
    기 설정된 반경 내에서 기 설정된 이동경로를 따라 비행 및 영상을 촬영하도록 설정된 다수 개의 드론과 연결되고, 각 드론 별 접속 인증을 위한 인증 모듈을 생성하여 각 드론 별 접속을 인증하며, 각 드론 별 영상 데이터 수신을 위한 드론용 VPN 터널을 생성하여 각 드론을 통해 촬영되는 영상 데이터가 상기 VPN 서버에 수신 및 저장되도록 하는 드론 관리부(150);를 더 포함하는 것을 특징으로 하는,
    높은 보안성을 가지는 가상사설망 서비스 제공 시스템.
KR1020230157173A 2023-11-14 2023-11-14 높은 보안성을 가지는 가상사설망 서비스 제공 시스템 KR102672637B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230157173A KR102672637B1 (ko) 2023-11-14 2023-11-14 높은 보안성을 가지는 가상사설망 서비스 제공 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230157173A KR102672637B1 (ko) 2023-11-14 2023-11-14 높은 보안성을 가지는 가상사설망 서비스 제공 시스템

Publications (1)

Publication Number Publication Date
KR102672637B1 true KR102672637B1 (ko) 2024-06-05

Family

ID=91470910

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230157173A KR102672637B1 (ko) 2023-11-14 2023-11-14 높은 보안성을 가지는 가상사설망 서비스 제공 시스템

Country Status (1)

Country Link
KR (1) KR102672637B1 (ko)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080092721A (ko) * 2007-04-13 2008-10-16 주식회사 셀리지온 무선 사설망과 연동한 이동통신 단말기 측위 시스템 및무선 사설망 연동을 이용한 이동통신 단말기 측위 방법
KR20100033698A (ko) * 2008-09-22 2010-03-31 주식회사 시큐위즈 가상사설망 서비스방법 및 그 시스템
KR20130034401A (ko) 2011-09-28 2013-04-05 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
KR20190001485A (ko) * 2017-06-27 2019-01-04 주식회사 케이티 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법
KR101951027B1 (ko) * 2018-01-04 2019-02-22 엔쓰리엔 주식회사 무선 액세스 포인트에서의 라이선스 인증 방법, 라이선스 인증을 수행하는 무선 액세스 포인트 장치, 클라이언트 장치의 라이선스 활성화 방법, 및 무선 액세스 포인트와 연동하는 클라이언트 장치
KR102219954B1 (ko) * 2019-09-30 2021-02-23 (주)대우건설 드론 통합관제서버 및 이를 포함하는 통합관제시스템
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080092721A (ko) * 2007-04-13 2008-10-16 주식회사 셀리지온 무선 사설망과 연동한 이동통신 단말기 측위 시스템 및무선 사설망 연동을 이용한 이동통신 단말기 측위 방법
KR20100033698A (ko) * 2008-09-22 2010-03-31 주식회사 시큐위즈 가상사설망 서비스방법 및 그 시스템
KR20130034401A (ko) 2011-09-28 2013-04-05 삼성에스디에스 주식회사 상호 인증 기반의 가상사설망 서비스 장치 및 방법
KR20190001485A (ko) * 2017-06-27 2019-01-04 주식회사 케이티 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법
KR101951027B1 (ko) * 2018-01-04 2019-02-22 엔쓰리엔 주식회사 무선 액세스 포인트에서의 라이선스 인증 방법, 라이선스 인증을 수행하는 무선 액세스 포인트 장치, 클라이언트 장치의 라이선스 활성화 방법, 및 무선 액세스 포인트와 연동하는 클라이언트 장치
KR102219954B1 (ko) * 2019-09-30 2021-02-23 (주)대우건설 드론 통합관제서버 및 이를 포함하는 통합관제시스템
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체

Similar Documents

Publication Publication Date Title
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
US9455958B1 (en) Credentials management in large scale virtual private network deployment
US7818580B2 (en) Control of port based authentication protocols and process to support transfer of connection information
CA2817932C (en) Authorizing secured wireless access at hotspot having open wireless network and secure wireless network
US7930734B2 (en) Method and system for creating and tracking network sessions
US7788705B2 (en) Fine grained access control for wireless networks
KR100952783B1 (ko) 통신 네트워크에서 멀티-홉 액세스를 제공하기 위한 시스템및 방법
US20090119762A1 (en) WLAN Access Integration with Physical Access Control System
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
CN103155512A (zh) 用于对服务提供安全访问的系统和方法
US9270652B2 (en) Wireless communication authentication
CN1973495A (zh) 无线局域网关联的设备和方法及相应产品
KR20070025366A (ko) 무선 랜 시스템의 보안 시스템 및 그 방법
JP2005204086A (ja) 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US20130283050A1 (en) Wireless client authentication and assignment
CN101599967A (zh) 基于802.1x认证系统的权限控制方法及系统
JP7299541B2 (ja) サービス開始方法及び通信システム
KR102672637B1 (ko) 높은 보안성을 가지는 가상사설망 서비스 제공 시스템
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
WO2003075516A1 (en) A system and method for controlling the access to an external network
US9137117B2 (en) System and method for configuration of fixed port location in a network environment
JP3825773B2 (ja) 認証判定ブリッジ
US11929980B1 (en) Sharing domain name service resources in a mesh network
CN117278275A (zh) 访问权限调整方法、装置及存储介质
Oe et al. An implementation and verification of ieee 802.11 wireless network management system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant