KR20010047997A - 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 - Google Patents
디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 Download PDFInfo
- Publication number
- KR20010047997A KR20010047997A KR1019990052455A KR19990052455A KR20010047997A KR 20010047997 A KR20010047997 A KR 20010047997A KR 1019990052455 A KR1019990052455 A KR 1019990052455A KR 19990052455 A KR19990052455 A KR 19990052455A KR 20010047997 A KR20010047997 A KR 20010047997A
- Authority
- KR
- South Korea
- Prior art keywords
- directory
- network
- security
- information
- router
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 12
- 238000001914 filtration Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 abstract 1
- 230000037430 deletion Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 망관리시스템에서 단순 디렉토리의 역할에 라우팅 정책 사항을 추가함으로써, 일관성있게 네트워크상에서 보안을 유지하기 위한 네트워크 보안 유지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 망관리시스템에서 네트워크의 보안을 유지하는 방법에 있어서, 상기 네트워크를 통합 관리하기 위하여, 디렉토리 서버가 디렉토리에 추가, 삭제, 비교, 변경 기능을 추가하는 제 1 단계; 상기 디렉토리 서버가 관리자로부터 상기 디렉토리에 보안정보를 입력받아, 상기 보안정보를 네트워크를 구성하는 각 라우터로 실시간 전송하는 제 2 단계; 및 해당 디렉토리 개체의 상호간 통신시에, 상기 라우터가 보안규칙에 따라 통신을 통합관리하여 전체 보안을 일괄적으로 유지하는 제 3 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 망관리시스템에서의 보안 유지 서비스 등에 이용됨.
Description
본 발명은 망관리시스템에서 디렉토리를 이용하여 네트워크를 통합관리함으로써, 네트워크의 보안을 유지할 수 있는 네트워크 보안 유지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
네트워크가 날로 복잡하고 그 위에 올라가는 애플리케이션(Application)이 다양해짐에 따라, 가입자에 대한 상품의 관리 및 이에 대한 과금문제에 대하여 통합운용 측면에서 현재의 단순 가입자별 회선관리에서 확장가능한 관리능력이 필요하다.
네트워크 자원에 대한 정보를 담고 있는 디렉토리를 이용하여 전체 망을 관리하는 기법은 이미 널리 알려진 방법이나, 이를 이용한 패킷단계의 관리는 유, 무형 자원의 관리를 더욱 손쉽게 한다. 또한, 공중망의 80%이상 매출을 차지하는 기업고객을 위하여 향후 부가서비스 제공을 위한 정보의 라우팅 경로(Routing Path)의 통제방법은 추가 수익원의 확보를 가능하게 한다.
그럼에도 불구하고, 종래의 네트워크 관리는 가입자를 포함한 회선위주의 관리로서, 라우팅 정책을 반영하는 것이 어려워 라우팅 정책을 네트워크 레벨에서 적용하기가 불가능하였다. 이에 따라, 네트워크상의 보안이 공중 네트워크상의 가장 큰 문제점으로 대두되고 있다(현재는 Any-to-Any 연결을 제공).
일반적으로, 공중망의 문제점은 크게 보안과 서비스 품질(QoS : Quality Of Service)로 크게 나뉘는데, QoS 부분은 기술적으로 관련 포럼에서 많이 제기되는 부분으로 당장 적용가능한 솔루션(MPLS, WDM 등)이 있고 보안도 통신하는 정보에 대한 보안방법(DES, 3DES 등)에 치중하고 있다.
일반적으로, 지금까지의 디렉토리의 기능도 사용자와 네트워크상의 프린터, 서버, 네트워크장비 등 유형의 자원을 대상으로 각 어트리뷰트에 대한 정보를 유지하는 역할과 디렉토리 정보 자체의 변경, 추가, 삭제 및 분산환경에서 이들 정보의 동기화(Synchronization) 기능을 수행한다.
이와 같이, 종래에는 가입자를 포함한 회선위주의 네트워크 관리를 함으로써, 라우팅 정책을 네트워크 레벨에서 적용하기가 불가능하여 네트워크상의 보안이 제대로 이루어지지 않는 문제점이 있었다.
상기한 바와 같은 문제점을 해결하기 위하여 안출된 본 발명은, 망관리시스템에서 단순 디렉토리의 역할에 라우팅 정책 사항을 추가함으로써, 일관성있게 네트워크상에서 보안을 유지하기 위한 네트워크 보안 유지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
도 1 은 본 발명이 적용되는 망관리시스템의 구성 예시도.
도 2 는 본 발명에 따른 네트워크 보안 유지 방법을 나타낸 일실시예 설명도.
*도면의 주요 부분에 대한 부호의 설명
11 : 중앙관리센터 12 : 라우터(Router)
13,111 : 허브(HUB) 112 : 디렉토리 서버
112 : 관리 콘솔
상기 목적을 달성하기 위한 본 발명은, 망관리시스템에서 네트워크의 보안을 유지하는 방법에 있어서, 상기 네트워크를 통합 관리하기 위하여, 디렉토리 서버가 디렉토리에 추가, 삭제, 비교, 변경 기능을 추가하는 제 1 단계; 상기 디렉토리 서버가 관리자로부터 상기 디렉토리에 보안정보를 입력받아, 상기 보안정보를 네트워크를 구성하는 각 라우터로 실시간 전송하는 제 2 단계; 및 해당 디렉토리 개체의 상호간 통신시에, 상기 라우터가 보안규칙에 따라 통신을 통합관리하여 전체 보안을 일괄적으로 유지하는 제 3 단계를 포함하여 이루어진 것을 특징으로 한다.
그리고, 본 발명은 프로세서를 구비한 망관리시스템에, 네트워크를 통합 관리하기 위하여, 디렉토리 서버가 디렉토리에 추가, 삭제, 비교, 변경 기능을 추가하는 기능; 상기 디렉토리 서버가 관리자로부터 상기 디렉토리에 보안정보를 입력받아, 상기 보안정보를 네트워크를 구성하는 각 라우터로 실시간 전송하는 기능; 및 해당 디렉토리 개체의 상호간 통신시에, 상기 라우터가 보안규칙에 따라 통신을 통합관리하여 전체 보안을 일괄적으로 유지하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은 디렉토리를 이용한 네트워크 통합관리를 통한 보안 유지를 위하여 단순 디렉토리의 역할에 라우팅 정책 사항을 추가해 이를 네트워크 장비에서 수행할 수 있도록 인터페이스 기능을 개발하여, 일관성있는 네트워크상의 보안유지로 폐쇄 사용자 그룹(CUG : Closed User Group) 형태의 가상 사설망(VPN : Virtual Private Network) 서비스 제공과 애플리케이션 호스팅 서비스를 위한 기본 망 관리 수단으로 사용한다. 이로써, 본 발명은 장비위주의 보안을 제공하는 VPN과 차별되는 서비스를 제공할 수 있고, VPN 서비스를 위하여 네트워크상에서 제공하여야 할 보안과 QoS 부분중 보안을 완벽히 해결할 수 있다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 망관리시스템의 구성 예시도로서, 도면에서 "11"은 중앙관리센터, "12" 라우터(Router), "13,111"은 허브(HUB), "112"는 디렉토리 서버, 그리고 "112"는 관리 콘솔을 각각 나타낸다.
도 1에 도시된 바와 같이, 본 발명이 적용되는 망관리시스템은, 중앙관리센터(11)와 전체 네트워크를 구성하는 가입자 접속 포인트인 라우터(12)로 구성된다.
여기서, 중앙관리센터(11)에서는 관리 콘솔(113)이 가입자에 대한 정보와 보안규칙을 디렉토리 서버(113)에 입력한다.
디렉토리 서버(112)는 입력된 정보를 네트워크를 구성하는 각 라우터(12)에 보안 규칙을 입력하여 자원에의 접근권한을 통제한다.
네트워크를 통합 관리하기 위해서는, 우선 디렉토리 서버(12)내의 디렉토리에 추가, 삭제, 비교, 변경 기능이 추가 구현되어야 한다.
이후, 관리자가 전체 네트워크의 보안 정책에 따라 특정 디렉토리 항목에 보안정보(Filtering, Anti-Spoofing)를 입력하면, 입력된 디렉토리 서버가(112)가 입력된 내용(보안정보)을 통신장비(라우터(12), 스위치 등)에 실시간 입력한다.
이로써, 연결된 가입자는 통신장비가 통제하는 보안 규칙에 의해 통신을 수행함으로써 전체 보안이 일괄적으로 유지된다.
도 2 는 본 발명에 따른 네트워크 보안 유지 방법을 나타낸 일실시예 설명도이다.
디렉토리를 이용한 네트워크 통합 관리를 통한 보안 유지를 위해서는, 단순 디렉토리의 역할에 라우팅 정책 사항을 추가하여 이를 네트워크 장비에서 수행할 수 있는 인터페이스 기능이 필요하다.
추가 어트리뷰트를 통해 보안정보를 살펴보면 다음과 같다.
필터링(Filtering) 정보는 해당 디렉토리 개체가 통신하는 패킷이 갈 수 있는 주소범위이다. 이는 각 디렉토리의 개체(사용자, 그룹)가 실제로 각 장비상에서 하나의 포트로 연결되므로 그 포트에서 나오는 패킷의 경로에 대한 목적지(Destination) 정의로 나타난다.
스풀링(Spoofing) 정보는 각 개체에 대해 사용가능한 주소범위를 주어 입력 패킷이 이 주소범위에 있는지 여부를 보아 해킹 여부를 판단하여 보안 기능을 제공한다.
추가될 디렉토리 기능을 살펴보면 다음과 같다.
상기의 추가 어트리뷰트를 네트워크 장비에 실제로 구현(Implementation)할 기능이 디렉토리에 구현되어야 한다. 이러한 기능으로는 각 정보의 추가, 삭제, 변경, 비교 등이 이루어져야 하고, 각 네트워크 장비별 운영체제(OS)가 상이하므로 이를 디렉토리상의 정보를 이용, 자동으로 판단하여 정보를 변경하여야 한다. 실제로, 라우터(12)에 정보를 입력/변경하는 작업은 보통 텍스트(Text) 처리하는 방법으로 간단한 인터페이스 개발로 가능하다.
이러한 추가 기능을 바탕으로 일관성 있는 네트워크상의 보안유지로 폐쇄 사용자 그룹(CUG) 형태의 VPN 서비스 제공과 애플리케이션 호스팅 서비스를 위한 기본 망 관리 수단으로 사용하여 네트워크의 보안을 유지할 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니다.
상기한 바와 같은 본 발명은, 디렉토리를 이용하여 네트워크를 통합 관리할 수 있어, 장비위주의 보안을 제공하는 VPN과 차별되는 서비스를 제공할 수 있으며, 네트워크의 보안을 철저히 유지할 수 있는 효과가 있다.
Claims (3)
- 망관리시스템에서 네트워크의 보안을 유지하는 방법에 있어서,상기 네트워크를 통합 관리하기 위하여, 디렉토리 서버가 디렉토리에 추가, 삭제, 비교, 변경 기능을 추가하는 제 1 단계;상기 디렉토리 서버가 관리자로부터 상기 디렉토리에 보안정보를 입력받아, 상기 보안정보를 네트워크를 구성하는 각 라우터로 실시간 전송하는 제 2 단계; 및해당 디렉토리 개체의 상호간 통신시에, 상기 라우터가 보안규칙에 따라 통신을 통합관리하여 전체 보안을 일괄적으로 유지하는 제 3 단계를 포함하여 이루어진 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법.
- 제 1 항에 있어서,상기 보안정보는,해당 디렉토리 개체가 통신하는 패킷이 갈 수 있는 주소범위를 나타내는 필터링(Filtering) 정보와, 각 디렉토리 개체에 대해 사용가능한 주소범위를 주어 입력 패킷이 이 주소범위에 있는지 여부를 보아 해킹 여부를 판단하여 보안 기능을 제공하는 스풀링(Spoofing) 정보를 포함하는 것을 특징으로 하는 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법.
- 프로세서를 구비한 망관리시스템에,네트워크를 통합 관리하기 위하여, 디렉토리 서버가 디렉토리에 추가, 삭제, 비교, 변경 기능을 추가하는 기능;상기 디렉토리 서버가 관리자로부터 상기 디렉토리에 보안정보를 입력받아, 상기 보안정보를 네트워크를 구성하는 각 라우터로 실시간 전송하는 기능; 및해당 디렉토리 개체의 상호간 통신시에, 상기 라우터가 보안규칙에 따라 통신을 통합관리하여 전체 보안을 일괄적으로 유지하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019990052455A KR100625448B1 (ko) | 1999-11-24 | 1999-11-24 | 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019990052455A KR100625448B1 (ko) | 1999-11-24 | 1999-11-24 | 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20010047997A true KR20010047997A (ko) | 2001-06-15 |
| KR100625448B1 KR100625448B1 (ko) | 2006-09-18 |
Family
ID=19621610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1019990052455A KR100625448B1 (ko) | 1999-11-24 | 1999-11-24 | 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100625448B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100432166B1 (ko) * | 2001-12-26 | 2004-05-17 | 한국전자통신연구원 | 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법 |
| KR100439177B1 (ko) * | 2002-01-16 | 2004-07-05 | 한국전자통신연구원 | 네트워크 보안 정책의 표현,저장 및 편집 방법 |
| KR100456622B1 (ko) * | 2002-05-27 | 2004-11-10 | 한국전자통신연구원 | 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100506312B1 (ko) * | 1997-12-31 | 2005-11-21 | 삼성전자주식회사 | 커뮤니티와 네트워크 관리자의 주소를 자동으로 설정하는네트워크 관리 시스템 |
-
1999
- 1999-11-24 KR KR1019990052455A patent/KR100625448B1/ko active IP Right Grant
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100432166B1 (ko) * | 2001-12-26 | 2004-05-17 | 한국전자통신연구원 | 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법 |
| KR100439177B1 (ko) * | 2002-01-16 | 2004-07-05 | 한국전자통신연구원 | 네트워크 보안 정책의 표현,저장 및 편집 방법 |
| KR100456622B1 (ko) * | 2002-05-27 | 2004-11-10 | 한국전자통신연구원 | 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100625448B1 (ko) | 2006-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750614B2 (en) | Methods and systems for dynamic creation of access control lists | |
| US8495200B2 (en) | Computerized system and method for handling network traffic | |
| US7987230B2 (en) | Containment of network communication | |
| US7826393B2 (en) | Management computer and computer system for setting port configuration information | |
| EP1949644B1 (en) | Remote access to resources | |
| JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| US20140244851A1 (en) | Secure virtual network platform for enterprise hybrid cloud computing environments | |
| WO2022071985A1 (en) | Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc) | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| US9590998B2 (en) | Network switch with hierarchical security | |
| KR100625448B1 (ko) | 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법 | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| Varadharajan et al. | Securing communication in multiple autonomous system domains with software defined networking | |
| US8868745B1 (en) | Method and system for providing configurable route table limits in a service provider for managing VPN resource usage | |
| CN101471809B (zh) | 配置业务的方法和网络设备 | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| JP2015154322A (ja) | ファイアウォール装置の制御装置及びプログラム | |
| JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| Glaeser et al. | Access control for a database-defined network | |
| US20230362066A1 (en) | Segmentation Using Infrastructure Policy Feedback | |
| US20240146727A1 (en) | Exchange engine for secure access service edge (sase) provider roaming | |
| JP2002077266A (ja) | 論理ルータ及びそのルーチング情報設定方法 | |
| CN116980196A (zh) | 安全防护的方法、装置及电子设备 | |
| McGinley et al. | On Virtualizing Ethernet Switches | |
| Keromytis et al. | Scalable Security Policy Mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120904 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20130904 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20140902 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20150908 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20160906 Year of fee payment: 11 |
|
| FPAY | Annual fee payment |
Payment date: 20170904 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20180903 Year of fee payment: 13 |