KR20030047958A - method and system for Intrusion interception in security network area - Google Patents

method and system for Intrusion interception in security network area Download PDF

Info

Publication number
KR20030047958A
KR20030047958A KR1020030034201A KR20030034201A KR20030047958A KR 20030047958 A KR20030047958 A KR 20030047958A KR 1020030034201 A KR1020030034201 A KR 1020030034201A KR 20030034201 A KR20030034201 A KR 20030034201A KR 20030047958 A KR20030047958 A KR 20030047958A
Authority
KR
South Korea
Prior art keywords
tunnel
processing system
tunnel processing
gateway
intrusion prevention
Prior art date
Application number
KR1020030034201A
Other languages
Korean (ko)
Inventor
이준엽
이규엽
Original Assignee
이준엽
이규엽
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이준엽, 이규엽 filed Critical 이준엽
Priority to KR1020030034201A priority Critical patent/KR20030047958A/en
Publication of KR20030047958A publication Critical patent/KR20030047958A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A method for constructing an internal network firewall system is provided to allow an internal server system to provide the same service even if every external access path is cut off and ensure the security of an individual network. CONSTITUTION: A tunnel gateway is positioned outside an firewall system and tunnel processing systems(A01,A02) are positioned inside the firewall system. The tunnel processing system(A01) requests a connection from the tunnel gateway in order to form virtual paths(B01,B02). The tunnel processing system(A01) and the tunnel gateway perform a mutual authentication at a connection time point by a symmetric key method and codes/decodes exchange data by a session key method. In the same manner, the tunnel processing system(A02) requests a connection from the tunnel gateway and maintains a connection with security. Because the tunnel processing systems(A01,A02) make the connection request inside the firewall system, they can communicate with each other in a state that the firewall system cuts off every connection request made from outside. In this case, an external access path is limited to the tunnel gateway. And, at this time, even if a hacker hacks the tunnel gateway, he/she can not access the internal system.

Description

내부망 차단 시스템 구축 방법{method and system for Intrusion interception in security network area}How to build an internal network interception system {method and system for Intrusion interception in security network area}

인터넷의 발전으로 내트워크가 연결되면서 해킹에 의한 피해가 나날이 증가하고 있는 현실에서, 이의 방어를 위하여 침입차단시스템, VPN(Virture Private Network)등과 같은 보안장비로 외부의 침입을 방어할 수 있는 기술의 발전이 발전되고 있다.As the network is connected with the development of the Internet, the damage caused by hacking is increasing day by day.In order to defend against this, security technology such as intrusion prevention system, VPN (Virture Private Network), etc. Development is developing.

그러나 기존의 기술에는 다음과 같은 문제점이 있다.However, the existing technology has the following problems.

침입차단 시스템은 보안영역 내부에 있는 시스템을 외부에 제공하고자 할 때, 제공하고자 하는 서비스를 위하여 외부 접근 경로를 허용하는 방식으로 구현됨으로,Intrusion prevention system is implemented in a way that allows the external access path for the service to provide when the system inside the security area to the outside,

허용된 접근 경로를 이용한 해킹이 발생하게된다.Hacking using the allowed access paths will occur.

VPN은 상호 인증 장비를 이용하거나, 인증 프로그램을 이용하여 상대편 네트워크에 접속하는 기술로서,VPN is a technology that uses mutual authentication equipment or accesses the other party's network using an authentication program.

인증을 위한 경로의 형성을 위해 침입차단 시스템이 접근 경로를 허용하여야 하고,The intrusion prevention system must allow the access path to establish the path for authentication.

또한 인증된 사용자만이 접근 한다는 제한성으로 인하여 인터넷 상의 모든 사용자를 대상으로한 안전한 정보 서비스의 구현이 불가능 하다.In addition, it is impossible to implement a secure information service for all users on the Internet due to the limitation that only authenticated users have access.

이와 같은 종래 기술의 한계성을 극복하기 위하여 침입차단 시스템의 모든 외부 접근 경로를 차단한 상태에서 보안성 있는 가상경로을 형성하는 방법과,In order to overcome the limitations of the prior art, a method of forming a secure virtual path in the state of blocking all external access paths of the intrusion prevention system,

터널을 이용하는 사용자 범위를 터널 양단의 사용자와 인터넷을 사용하는 불특정 다수의 사용자를 모두 지원하도록 하는 방법과,How to use a tunnel to support both users across the tunnel and an unspecified number of users using the Internet,

침입차단 시스템의 외부 접근 경로를 차단한 상태에서도 터널을 이용하여 보안영역에 위치한 시스템을 외부의 사용자가 사용하도록 하는 방법과,A method of allowing an external user to use a system located in a security area by using a tunnel even when the external access path of the intrusion prevention system is blocked;

기술에 의하여 구현된 터널의 안정성 확보를 위하여 터널을 이용한 해킹을 방지하는 방법을 본 발명에 의한 기술적 과제로 한다.In order to secure the stability of the tunnel implemented by the technology, a method for preventing hacking using the tunnel is a technical problem according to the present invention.

제 1도는 본 발명에 의하여 일실시예로서 구현된 네트워크의 전체 구성도1 is an overall configuration diagram of a network implemented as an embodiment according to the present invention.

제 2도는 본 발명을 위하여 구현된 시스템 구성 및 모듈별 처리 흐름도 구성도2 is a flowchart illustrating a system configuration and a module-specific processing flowchart implemented for the present invention.

제 3도는 본 발명에 의하여 다수의 가상경로에게 네트워크 부하를 분산하는 흐름 구성도3 is a flow diagram for distributing network load among a plurality of virtual paths according to the present invention.

제 4도는 본 발명에 의한 터널게이트웨이의 모듈별 상세 처리 흐름 구성도4 is a detailed process flow diagram for each module of the tunnel gateway according to the present invention

제 5도는 본 발명에 의한 터널처리시스템의 모듈별 상세 처리 흐름 구성도5 is a detailed process flow diagram for each module of the tunnel processing system according to the present invention

제 6도는 본 발명에 따른 인터넷 사용자가 요청한 데이터가 내부로 전송된 후 응답되는 방법에 대한 플로우차트6 is a flowchart of a method in which data requested by an Internet user according to the present invention is transmitted after being transmitted internally.

제 7도는 본 발명에 따른 보안영역에 있는 사용자가 다른 보안영역에 요청한 데이터가 전송된 후 응답되는 방법에 대한 플로우차트7 is a flowchart of a method in which a user in a security zone according to the present invention responds after data requested by another security zone is transmitted.

상기와 같은 목적을 달성하기 위한 구성은 다음과 같다.The configuration for achieving the above object is as follows.

도1은 발명에 의한 시스템 구축의 일실시예로서, 침입차단 시스템 외부에 (터널게이트웨이)을 위치하고, 침입차단 시스템 내부에 (터널처리시스템A01)과 (터널처리시스템A02)를 위치시킨다.Fig. 1 shows an embodiment of a system construction according to the present invention, in which (tunnel gateway) is located outside the intrusion blocking system, and (tunnel processing system A01) and (tunnel processing system A02) are located inside the intrusion blocking system.

도1에서 (가상경로 B01)과 (가상경로 B02)를 형성하기 위하여,(터널처리시스템 A01)은 (터널게이트 웨이)에 연결을 요청한다.In order to form (virtual path B01) and (virtual path B02) in FIG. 1, (tunnel processing system A01) requests a connection to (tunnel gate way).

(터널처리시스템 A01)은 (터널게이트 웨이)은 연결 시점에 대칭키 방식에 의한 상호 인증을 한후 세션키방식에 의하여 교환데이터를 암호화/복호화 한다.(Tunnel processing system A01) encrypts / decrypts the exchange data by the session key method after mutual authentication by the symmetric key method at the time of connection.

이와 같은 방식으로 (터널처리시스템 A02)도 (터널게이트 웨이)에 연결을 요청하여 보안성있는 연결을 유지한다.In this way, (Tunnel Processing System A02) also requests a connection to (Tunnel Gateway) to maintain a secure connection.

이때 (터널처리시스템 A01) 와 (터널처리시스템 A02)은 침입차단 시스템 내부에서 연결요청를 하는 것임으로, 침입차단 시스템이 외부에서 내부로 들어오는 접속 요청을 모두 차단한 차단한 상태에서 상호 통신이 가능하게 된다.At this time, (Tunnel Processing System A01) and (Tunnel Processing System A02) make connection requests inside the intrusion blocking system, so that the intrusion blocking system can mutually communicate in a state in which the intrusion blocking system blocks all incoming connection requests from the outside. do.

침입차단시스템이 외부로부터의 접속 요청을 모두 차단 하게 되면 외부의 접근 경로는 (터널게이트 웨이)로 제한된다.If the firewall blocks all access requests from outside, the external access path is restricted to (tunnel gateway).

(터널게이트 웨이)도 침입차단 시스템이 내부로의 접속 요청을 차단 한 상태이기 때문에 외부의 침입자가 (터널게이트 웨이)를 해킹하여도 이를 이용하여 내부의 시스템에 접속할 수 없게된다.The tunnel gateway is also in a state where the intrusion blocking system has blocked the connection request to the inside, so even if an outside intruder hacks the tunnel gateway, it cannot access the internal system using it.

터널형성 기술의 핵심은 하나의 (터널게이트 웨이)를 중심으로(터널처리시스템)이 아웃바운드로 연결을 하여, 두개의 (네트워크A, B)에 위치하는 개별 (침입차단 시스템A ,B)가 외부의 인바운드를 허용하지 않도록 한 점과 대칭키 방식에 의한 연결단위에서의 보안성 확보와 (터널처리시스템) 중심의 세션키 생성 및 교환에 의하여 (터널게이트웨이)의 해킹에 의하여 불법적인 데이터가 내부로 전달되지 못하도록 한데 있다.The core of the tunneling technology is that (tunnel processing system) is connected outbound around one (tunnel gateway), so that individual (intrusion blocking systems A and B) located in two (network A and B) are connected. Unauthorized data is prevented by hacking of (tunnel gateway) by securing security at connection unit by not allowing external inbound and symmetric key method and generating and exchanging central session key. It is not to be delivered to.

도2는 발명에 의하여 구현된 (터널처리시스템) 과 (터널게이트 웨이)간의 통신 구성을 설명한 개념도이다.2 is a conceptual diagram illustrating a communication configuration between a (tunnel processing system) and a (tunnel gateway) implemented by the present invention.

통신 순서 1은 (터널처리 시스템)이 네트워크 데이터를 수집하여 (터널게이트웨이)로전송하는 순서로 다음과 같다.Communication sequence 1 is a sequence in which (tunnel processing system) collects network data and transmits it to (tunnel gateway).

(터널처리시스템)의 (네크워크카드A1)은 연결된 네트워크에서 발생하는 데이터를 수집하여, 서비스 대상 데이터를 (필터링 A2)한 후, (암호화A3) 하여 본기술에 의하여 구현된 가상경로 (채널통신 프로세스 A4)을 이용하여 (터널게이트웨이)에게 전송하다.The network card A1 of the tunnel processing system collects data generated from the connected network, filters the service target data (A2), and then encrypts (A3) the virtual path implemented by the present technology (channel communication process). Send to (Tunnel Gateway) using A4).

통신 순서 2은 (터널처리 시스템)이 (터널게이트웨이)와 형성된 가상경로로부터 수신되는 데이터를 내부 네트워크에 전송하느 순서로 다음과 같다.The communication sequence 2 is as follows in order for the (tunnel processing system) to transmit data received from the (tunnel gateway) and the formed virtual path to the internal network.

(터널처리시스템)은 (네크워크카드 B1)을 이용하여 (터널게이트웨이)와 형성된 가상경로 (채널통신 프로세스 B2)로 데이터를 수신한다.The (tunnel processing system) receives data in the virtual path (channel communication process B2) formed with the (tunnel gateway) using the (network card B1).

수신한 데이터는(복호화 B3)한후 (보안 필터링 B4)를 이용하여 등록된 공격패턴과 비교 검색한 후 내부로의 전송여부를 결정한다.After the received data is decrypted (decryption B3) and compared with the registered attack pattern using (security filtering B4), it is determined whether to transmit the data.

또한 (보안 필터링 B4)은 공격패턴과의 비교를 수행 함과 동시에, 실행 디렉토리의 등록과 허용명령어의 등록를 통하여 내부 네크워크에 있는 서비스 시스템에게 권한이외의 외부 요청이 전달되는 것을 차단한다.In addition, (Security Filtering B4) performs a comparison with the attack pattern, and blocks external requests from being transmitted to the service system in the internal network by registering execution directories and registering allow commands.

(보안 필터링 B4)에 의하여 안정성을 확보한 데이터는 내부 네트워크의 주소체제로 외부 요청자의 요청을 변경하는 (주소변환 B5)을 거쳐 내부 시스템에게 전송한다.Data secured by (Security Filtering B4) is transmitted to the internal system via (Address Translation B5) which changes the request of the external requestor to the address system of the internal network.

통신 순서 3는 (터널게이트웨이)은 인터넷에서 수신한 네트워크 데이터를 인터넷 사용자가 요청한 목적시스템이 있는 (터널처리시스템)으로 전송하는 순서로 다음과 같다.In the communication sequence 3, the (tunnel gateway) transmits network data received from the Internet to the (tunnel processing system) having the target system requested by the Internet user.

(패킷필터링 E2)을 통하여 서비스 등록된 데이터만을 검출한 후, (서비스컨트롤 E3)를 통하여 인터넷 사용자가 요청한 목적 시스템이 있는 (터널처리시스템)을 찾아 내어,(암호화 E4)하여 해당 가상경로의 (터널처리시스템)과 연결된 (채널통신 프로세스 E5)로 전송한다.After detecting only the data registered for the service through (Packet Filtering E2), the (Tunnel Processing System) having the target system requested by the Internet user is found through (Service Control E3), and (Encryption E4) is used to determine the ( To the channel communication process E5 connected to the tunnel processing system).

이와 같은 통신 방식으로 한대의 (터널게이트웨이)에 다수의 (터널 처리시스템)을 연결하여, 인터넷사용자가 요청한 목적 시스템이 있는 네트워크에 위치한 (터널처리시스템)에 통신데이터가 안전하게 도달하게 된다.In this way, a plurality of (tunnel processing systems) are connected to one (tunnel gateway) so that communication data can safely reach a (tunnel processing system) located in a network where the target system requested by the Internet user is located.

통신 순서 4는 (터널게이트웨이)가 (터널처리시스템)과의 가상경로를 이용하여 통신하는 순서로 다음과 같다.The communication sequence 4 is a sequence in which the (tunnel gateway) communicates with the (tunnel processing system) using the virtual path as follows.

가상경로로부터 수신되는 데이터는 (복호화 D2)과정을 통하여 데이터의 신뢰성을 확보한 후(채널통신 프로세스 D3)에 의하여 수신데이터가 목적하는 네트워크가 있는 (터널처리시스템)과의 연결 경로를 찾은 후, 해당 (터널처리시스템)과 약속된 암호화 키로 (암호화 D4) 하여 전송하게 된다.After the data received from the virtual path is secured through the process of (decoding D2), the channel is connected to the (tunnel processing system) where the received data is located by the channel communication process (D3), and then, It is transmitted with the encryption key (encryption D4) promised with the corresponding (tunnel processing system).

이때 "터널게이트웨이 터널데이터"는 2중서명 암호화 데이터로 (터널처리시스템)간의 암호화 방식을 (터널게이트웨이)가 알지 못하게 된다.At this time, the "tunnel gateway tunnel data" is double-signed encrypted data so that the (tunnel gateway) does not know the encryption scheme between the (tunnel processing system).

이와 같은 통신으로 다수의 터널을 통하여 송수신 되는 데이터를 (터널게이트웨이)가 전달하게 된다.Through such communication, (tunnel gateway) transmits data transmitted and received through a plurality of tunnels.

통신 순서 4에서 하나의 (터널게이트웨이)에 다수의 (터널처리시스템)이 연결되는 경우 처리 효율을 위하여 동일 기능을 하는 (터널처리시스템)으로 그룹을 지정하여 네트워크 요청을 분산처리한다.When multiple (tunnel processing systems) are connected to one (tunnel gateway) in communication procedure 4, network requests are distributed by assigning groups to (tunnel processing systems) having the same function for processing efficiency.

통신 순서 5는 (터널게이트웨이)에 동일한 네트워크로 데이터를 전송하는 목적을 가진 다수의 (터널처리시스템)에게 통신 부하를 분산하는 순서로 다음과 같다.The communication sequence 5 is as follows in order to distribute the communication load to a plurality of (tunnel processing systems) having the purpose of transmitting data to the same network in the (tunnel gateway).

도5에서 (터널게이트웨이)에 다수의 (터널처리시스템)이 동일 목적으로 가상경로를 형성한다. (터널게이트웨이)는 외부로부터 수신된 처리 요청을 (터널게이트웨이)에게 분배 할 때 (분산처리프로세스)가 연결된 가상경로 단위로 분산처리하여 준다.In Fig. 5, a plurality of (tunnel processing systems) in (tunnel gateway) form a virtual path for the same purpose. (Tunnel gateway) distributes processing requests received from outside to (tunnel gateway) in units of virtual paths to which (distributed processing process) is connected.

터널을 이용한 해킹 방지기술의 핵심은 두개의 (터널처리시스템)이 통신함에 있어 보안영역에 있는 (터널처리시스템)이 각각 상대편의 복호화열쇠만를 갖고 있도록 하는 2중 암호화를 통하여, 외부에 있는 (터널게이트웨이)가 해킹되어거나 데이터를 훔쳐들어도, 복호화 하지 못하도록 한것과,The core of the anti-hacking technology using tunnels is that the two (tunnel processing systems) communicate with each other through the two-channel encryption that ensures that the (tunnel processing system) in the security area has only the decryption key of the other party. Prevents decryption even if a gateway is hacked or stolen,

(터널처리시스템)에 공격패턴, 실행 디렉토리, 실행 명령어를 등록하여 외부로부터 유입되는 모든 요청을 차단하는 것과The attack pattern, execution directory, and execution command are registered in (Tunnel Processing System) to block all incoming requests.

보안영역에 있는 (터널처리시스템)이 내부시스템의 주소변화를 담당함으로서 외부에 공개되는 주소와 내부에 운영하는 주소를 다르게 하여 주는 것으로 한다.The (Tunnel Processing System) in the security area is responsible for changing the address of the internal system so that the address that is open to the outside and the address that operates internally are different.

도4은 상기의 설명에서 (터널게이트웨이)의 구현을 위한 세부 모듈을 도식화한 것이다.4 is a schematic diagram of a detailed module for implementing (tunnel gateway) in the above description.

도5는 상기의 설명에서 (터널처리시스템)의 구현을 위한 세부 모듈을 도식화한 것이다.FIG. 5 illustrates a detailed module for implementing (tunnel processing system) in the above description.

이상에서 살펴본 바와 같이 본 발명에 구성된 (터널게이트웨이)와 (터널처리시스템)을 이용하면 다음과 같은 효과를 확보하게 된다.As described above, using the (tunnel gateway) and the (tunnel processing system) configured in the present invention ensures the following effects.

첫째 침입차단 시스템에 어떠한 외부 접속을 허용 하지 않고도 내부영역과 외부영역이 실시간 통신을 하게 된다.First, internal and external areas communicate in real time without allowing any external access to the intrusion prevention system.

둘째 (터널게이트웨이)가 요청 받는 인터넷 주소를 (터널처리시스템)이 내부주소로 변환하여 줌으로서 내부 네트워크에 있는 모든 전산자원을 외부 내트워크와 완전히 분리, 차단한 상태에서 운영하게 된다.Second, the (Tunnel Gateway) converts the requested Internet address into an internal address by the (Tunnel Processing System), so that all computational resources in the internal network are completely separated and blocked from the external network.

셋째 보안영역에 위치하는 (터널처리시스템)에 위치한 보안필터링 기능으로 인하여 내부시스템에 전달되는 공격 패턴을 완전히 차단 한다.Third, due to the security filtering function located in the (tunnel processing system) located in the security area, the attack pattern transmitted to the internal system is completely blocked.

넷째 셋째항에서 보안필터링에 웹서버의 서비스 디렉토리, 서비스 시스템의 허용 명령어를 등록함으로서 권한이외의 실행 요청을 근본적으로 차단 한다.Fourthly, in the third term, the service directory of the web server and the allow command of the service system are registered in the security filtering to block execution requests other than permissions.

다섯째 (터널게이트웨이)와 (터널처리시스템)간의 암호화 통신과 , (터널처리시스템) 과 (터널처리시스템)간의 암호화 통신으로 통신 데이터의 암호화를 보증하며,Fifth, it encrypts communication data by encryption communication between (tunnel gateway) and (tunnel processing system) and encryption communication between (tunnel processing system) and (tunnel processing system).

이때 보안영역에 있는 (터널처리시스템)이 암호열쇠를 보관하고 있으므로 외부자의 데이터 해킹을 근본적으로 차단한다.At this time, the (tunnel processing system) in the security area holds the encryption key, thereby fundamentally blocking data hacking by outsiders.

일곱째 침입차단 시스템이 보안영역의 시스템 중에서 인터넷 사용가능 시스템을 (터널처리시스템)만을 허용하고 다른 모든 네트워크 시스템의 인터넷 사용을 차단 하게 함으로서 외부 해커가 내부 시스템을 해킹하여 자신에게 권한 있는 연결을 재시도하는 공격을 차단한다.The seventh intrusion prevention system allows only Internet-enabled systems (tunnel processing systems) among the security zone systems and blocks all other network systems from using the Internet, so that external hackers hack internal systems and retry their authorized connection. To block attacks.

이와 같은 효과는 기존의 보안 방식이 1차적 외부 노출을 허용하고 있는 구조를 완전히 탈피하여,This effect completely breaks the structure where traditional security measures allow primary external exposure.

보안의 핵심 시스템인 (터널처리시스템)이 보안영역 내부에 위치한다는 본 발명의 기본적인 속성에 기인하며 이로인하여,This is due to the basic property of the present invention that the (tunnel processing system), which is a core system of security, is located inside the security area.

내부 시스템에 대한 해킹 경로를 모두 차단하면서도 내부의 서비스 시스템이 기존과 동일한 서비스를 유지하도록 하며,While blocking all hacking paths for the internal system, the internal service system to maintain the same service as before,

외부사용자와 내부 사용자의 안정적인 통신과, 서로다른 보안영역간의 사용자의 안정적인 통신을 보장한다.It ensures stable communication between external and internal users and stable communication between users in different security domains.

본 발명의 실시예가 특정 용어 및 발명에 의한 시스템의 명칭을 예로들어 기술되어 왔지만, 그러한 기술은 오로지 설명을 하기 위한 것이며, 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않고서 여러 가지 변경 및 변화가 가해질 수 있는 것으로 이해되어져야 한다.While embodiments of the invention have been described using specific terms and names of systems in accordance with the invention, such descriptions are for illustration only and various modifications and changes may be made without departing from the spirit and scope of the following claims. It should be understood that it can be applied.

Claims (8)

침입차단시스템의 외부 접속을 차단한 상태에서 이를 경유하는 가상경로를 형성하여 외부영역의 요청을 내부로 전달하는 하고, 등록된 공격 방법과 비교한 후 내부네트워크로 전달하는 방법.Forming a virtual path through the intrusion blocking system in the state of blocking the external access, and forwarding the request of the external area to the inside, and comparing it with the registered attack method and forwarding it to the internal network. 제 1항에 있어 가상경로 형성의 주체가 침입차단 시스템으로 보호되는 보안영역에 위치한 (터널처리시스템)으로 함으로서 암호화 및 복호화 열쇠를 보호한 방법The method for protecting encryption and decryption keys according to claim 1, wherein the subject of virtual path formation is a (tunnel processing system) located in a secure area protected by an intrusion prevention system. 제 1항에 있어 가상경로을 통하여 수신되는 네트워크 데이터를 침입차단시스템의 보안영역에 위치한 (터널처리시스템)이 보유한 공격 방법 목록과 비교하여 공격데이터의 내부 전달을 근본적으로 차단한 방법The method of claim 1, wherein the internal data transmission of the attack data is blocked by comparing the network data received through the virtual path with the list of attack methods possessed by the (tunnel processing system) located in the security area of the intrusion prevention system. 제 3항에 있어(터널처리시스템)에 공격 방법 목록의 등록에 내부네트워크에 있는 서비스 시스템의 실행 디렉토리와 허용 명령어를 등록하도록 하여 권한이외의 행위시도를 근본적으로 차단한 방법The method according to claim 3, wherein the execution directory and the allow command of the service system in the internal network are registered in the registration of the attack method list in the (tunnel processing system), thereby fundamentally blocking attempts other than permission. 다수의 가상경로간의 통신에 있어 침입차단 시스템으로 보호되는 보안영역에 위치한 (터널처리시스템)이 상대편 (터널처리시스템)의 공개키만을 가지고 있게 함으로서 다른 보안영역의 공격 가능성을 완전히 차단한고, 인터넷을 통한 데이터 교환의 취약점을 극복한 방법.In the communication between multiple virtual paths, the (Tunnel Processing System) located in the security area protected by the intrusion prevention system has only the public key of the other side (Tunnel Processing System), which completely blocks the possibility of attack from other security areas, and How to overcome the weaknesses of data exchange through data. 침입차단 시스템 외부에 있는 (터널게이트웨이)가 동일한 내부 네트워크로 데이터를 전송하는 다수의 (터널처리시스템)에게 가상경로 단위로 네트워크 부하를 분산하도록 한 방법.A method in which (tunnel gateways) outside the intrusion prevention system distributes network load in virtual path units to multiple (tunnel processing systems) transmitting data to the same internal network. 침입차단 시스템 외부에 있는 (터널게이트웨이)에 인터넷 사용자의 접속을 위한 주소를 등록하고 침입차단 시스템 내부에 있는 (터널처리시스템)에 실제 서비스 시스템의 주소를 등록함으로서 (터널게이트웨이)의 공격에 성공하여도, 외부의 공격자가 내부 시스템의 주소 및 네트워크 구조를 직접 알수 없도록 한 방법By registering the address for Internet users in the (Tunnel Gateway) outside the intrusion prevention system and registering the address of the actual service system in the (Tunnel Processing System) inside the intrusion prevention system, In addition, the way that an external attacker can not directly know the address and network structure of the internal system 침입차단 시스템 내부에 있는 (터널처리시스템)이 (터널게이트웨이) 관리 권한 및 명령 전송 권한을 갖도록 하여, 침입차단 시스템 외부에 있는 (터널게이트웨이)의 모든 시스템 명령어를 직접 시행시킬수 없도록 함으로서 (터널게이트웨이)의 공격을 근본적으로 불가능 하게 한 방법(Tunnel Gateway) by allowing (Tunnel Processing System) inside the Intrusion Prevention System to have (Tunnel Gateway) management authority and command transmission authority so that all system commands of (Tunnel Gateway) outside the Intrusion Prevention System cannot be directly executed. How to make your attack fundamentally impossible
KR1020030034201A 2003-05-28 2003-05-28 method and system for Intrusion interception in security network area KR20030047958A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030034201A KR20030047958A (en) 2003-05-28 2003-05-28 method and system for Intrusion interception in security network area

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030034201A KR20030047958A (en) 2003-05-28 2003-05-28 method and system for Intrusion interception in security network area

Publications (1)

Publication Number Publication Date
KR20030047958A true KR20030047958A (en) 2003-06-18

Family

ID=29579887

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030034201A KR20030047958A (en) 2003-05-28 2003-05-28 method and system for Intrusion interception in security network area

Country Status (1)

Country Link
KR (1) KR20030047958A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100765340B1 (en) * 2006-03-30 2007-10-09 지니네트웍스(주) Security method for Imaginary in-line network
KR100968509B1 (en) * 2010-02-18 2010-07-07 주식회사 신한빛 Pole of road lighter

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100765340B1 (en) * 2006-03-30 2007-10-09 지니네트웍스(주) Security method for Imaginary in-line network
KR100968509B1 (en) * 2010-02-18 2010-07-07 주식회사 신한빛 Pole of road lighter

Similar Documents

Publication Publication Date Title
JP4579969B2 (en) Method, apparatus and computer program product for sharing encryption key among embedded agents at network endpoints in a network domain
Yu et al. A view about cloud data security from data life cycle
US7676836B2 (en) Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system
US8059818B2 (en) Accessing protected data on network storage from multiple devices
CN101479984B (en) Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks
JP4168052B2 (en) Management server
CA2437548A1 (en) Apparatus and method for providing secure network communication
WO2006074338B1 (en) System and method for localizing data and devices
EP1706825A2 (en) Avoiding server storage of client state
JPH05274266A (en) Method for providing security function for remote system management
CN107005534A (en) Secure connection is set up
JP2019530344A (en) COMMUNICATION DEVICE, SYSTEM, METHOD, AND PROGRAM
KR20190030317A (en) IoT Security System Based on the BlockChain and Security Method thereof
US20150249639A1 (en) Method and devices for registering a client to a server
JP2007281919A (en) Communication system on public line for performing access restriction, terminal connection apparatus, and server connection restriction apparatus
EP3143724B1 (en) Three-tiered security and computational architecture
CN100466599C (en) Safety access method for special local area net and device used for said method
JPH11203248A (en) Authentication device and recording medium for storing program for operating the device
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network
KR20030047958A (en) method and system for Intrusion interception in security network area
RU2163745C2 (en) Protective system for virtual channel of corporate network using authentication router and built around shared communication network channels and switching facilities
Zhuge et al. Security mechanisms for wireless home network
JP7433620B1 (en) Communication method, communication device and computer program
KR20150060050A (en) Network device and method of forming tunnel of network device
JP2007281918A (en) Communication system on public line for performing access restriction, terminal connection apparatus, and server connection restriction apparatus

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
E601 Decision to refuse application