KR20050002348A - System for securing of intranet and method thereof - Google Patents

System for securing of intranet and method thereof Download PDF

Info

Publication number
KR20050002348A
KR20050002348A KR1020030043724A KR20030043724A KR20050002348A KR 20050002348 A KR20050002348 A KR 20050002348A KR 1020030043724 A KR1020030043724 A KR 1020030043724A KR 20030043724 A KR20030043724 A KR 20030043724A KR 20050002348 A KR20050002348 A KR 20050002348A
Authority
KR
South Korea
Prior art keywords
data
server
external
intranet
encrypted
Prior art date
Application number
KR1020030043724A
Other languages
Korean (ko)
Inventor
문호건
한세진
김태구
최진기
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020030043724A priority Critical patent/KR20050002348A/en
Publication of KR20050002348A publication Critical patent/KR20050002348A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A system and a method for fundamentally blocking data maliciously connected to an intranet through the Internet are provided to fundamentally block hacking and prevent virus infection by transmitting the data to the intranet, after removing an IP(Internet Protocol) address of the data transmitted to the intranet from the Internet and judging validity of the data. CONSTITUTION: An external server(101) connected to the Internet(107) through an external Ethernet port(103) removes an IP header of the encrypted IP data transmitted from the Internet and transmits the data to a switch(105). A memory(106) stores the encrypted data transmitted from the external server through the switch. An internal server(102) judges the validity of the data by fetching the data stored in the memory through the switch and transmits only the validated data to the intranet(108) through an internal Ethernet port(104).

Description

인트라넷 보안 시스템 및 방법{System for securing of intranet and method thereof}Intranet security system and method

본 발명은 인트라넷 보안 시스템 및 방법에 관한 것으로, 보다 상세하게는 인터넷을 통해 인트라넷으로 악의적으로 접근하는 데이터를 근원적으로 차단할 수 있도록 하는 기술에 관한 것이다.The present invention relates to an intranet security system and method, and more particularly, to a technology that can fundamentally block data that malicious access to an intranet through the Internet.

인터넷(internet) 기술은 1980년 후반부터 미국의 NSFNET(National Science Foundation Network, 전미과학재단 네트워크)를 핵심으로 하여 급속한 발전·성장을 이루었고, 데이터 네트워크의 기본 기술로서의 지위를 확립하였다. 현재에도 인터넷 시스템의 성장 속도는 쇠퇴를 보이는 일 없이 오히려 그 성정·발전이 가속화되는 실정이다.Since the late 1980s, the Internet technology has been rapidly developed and grown with the US National Science Foundation Network (NSFNET) as the core, and established its position as the basic technology of the data network. Even now, the growth rate of the Internet system is not declining, but rather its growth and development is accelerating.

인터넷 기술은 네트워크 간의 네트워크(상호 접속)를 가능하게 했고, 따라서 세계의 컴퓨터 및 디지털 통신 기기가 상호 접속가능해 진다. 즉, 인터넷은 글로벌 데이터 네트워크의 기반으로서 역할을 수행하며, 여전히 지수함수 이상으로 트래픽(통신량) 및 접속 노드(컴퓨터와 라우)의 수가 증대하고 있다. 또, 최근 인터넷 기술의 보급과 확대에 의해 인터넷은 산업 기반 및 생활 기반으로서의 기능을 하게 되었다.Internet technology has enabled networks (interconnections) between networks, thus making computers and digital communication devices around the world interconnectable. In other words, the Internet serves as the basis of a global data network, and the number of traffic (traffic) and access nodes (computers and routes) is still increasing beyond the exponential function. In addition, with the recent spread of Internet technology, the Internet has been functioning as an industrial base and a living base.

개방형 데이터 네트워크인 인터넷은 IP 기술에 기초하여 구축·운용되고 있다. 한편, 기업용의 사설망(Private Network)과 같은 망에서는 인터넷과의 상호 접속을 하지 않거나, 혹은 필터링에 의한 접속을 제한하고 패쇄 사설망이 구축되어 왔다.The Internet, an open data network, is built and operated based on IP technology. On the other hand, in networks such as private networks for businesses, closed private networks have been established without access to the Internet or restricting access by filtering.

이에 대해 보안 기술의 진보를 배경으로 인터넷에서 이용되는 IP 기술을 이용해 사설망을 구축하는 것이 일반화되어 왔다. 이것을 인트라넷(Intranet)이라고 한다.Against this backdrop, it has become common to build private networks using IP technologies used on the Internet, based on advances in security technologies. This is called an intranet.

일반적으로, 인트라넷은 사내 또는 특정 대상영역을 대상으로 한 정보공유를 위해 제공되기 때문에, 인트라넷의 시설 정보 또는 공유 정보 등은 외부 사용자(인터넷)로부터 안전하게 보호되어야 한다.In general, since an intranet is provided for sharing information in-house or for a specific target area, facility information or sharing information of an intranet should be secured from an external user (Internet).

상기와 같은 이유로, 인트라넷에 대한 보안장치가 제안되어 있지만, 종래 보안장치의 경우에는 인트라넷으로 전송된 데이터를 인트라넷 내부에서 모니터링하여 유해성을 판단하기 때문에 이미 침입이 행해진 후에, 침입여부를 감지할 수 있다는 기술적 한계가 있다.For the above reasons, a security device for an intranet has been proposed, but in the case of the conventional security device, since the data transmitted to the intranet is monitored inside the intranet to determine the harmfulness, it is possible to detect the intrusion after the intrusion has already been performed. There are technical limitations.

따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위해 이루어진 것으로, 인터넷에서 인트라넷으로 전송되는 데이터의 IP 주소를 제거한 상태로 인트라넷으로 전송하여 해킹을 근원적으로 차단하고, 상기 데이터에 대해 유효성을 판단하여 인트라넷이 바이러스 등에 감염되는 것을 원천적으로 차단할 수 있는 인트라넷 보안 시스템 및 방법을 제공함에 그 목적이 있다.Accordingly, the present invention has been made to solve the above-described problems, and by removing the IP address of the data transmitted to the intranet from the Internet to the intranet to remove hacking, and determine the validity of the data It is an object of the present invention to provide an intranet security system and method that can fundamentally prevent an intranet from being infected with a virus.

도 1은 본 발명의 실시예에 따른 인트라넷 보안 시스템의 구성도.1 is a block diagram of an intranet security system according to an embodiment of the present invention.

도 2와 도 3은 본 발명의 실시예에 따른 인트라넷 보안 방법을 설명하기 위한 신호흐름도.2 and 3 is a signal flow diagram illustrating an intranet security method according to an embodiment of the present invention.

도 4는 도 1에 도시된 외부 서버(101)의 계층 구조를 설명하기 위한 도면.4 is a diagram for explaining the hierarchical structure of the external server 101 shown in FIG.

도 5는 도 4의 확장 서버 기반 모듈(403)에서 복수의 가상 서버(402)가 동작하는 과정을 설명하기 위한 도면.FIG. 5 is a diagram for describing a process of operating a plurality of virtual servers 402 in the expansion server based module 403 of FIG. 4.

도 6은 도 1에 도시된 내부 서버(102)의 계층 구조를 설명하기 위한 도면.FIG. 6 is a diagram for explaining the hierarchical structure of the internal server 102 shown in FIG.

도 7은 도 6의 확장 엔진 기반 모듈(501)과 복수개의 확장엔진(502)의 연동 과정을 설명하기 위한 도면.FIG. 7 is a view for explaining an interlocking process between the expansion engine based module 501 and the plurality of expansion engines 502 of FIG. 6.

상기한 목적을 달성하기 위한 본 발명의 인트라넷 보안 시스템은, 외부 이더넷 포트를 통해 인터넷에 접속되어, 인터넷으로부터 전송되는 암호화된 IP 데이터의 IP 헤더를 제거한 후, IP 헤더가 제거된 데이터를 스위치로 전송하는 외부서버; 상기 스위치를 통해 외부서버로부터 전송되는 암호화된 데이터를 저장하는 메모리; 및 상기 스위치를 통해 상기 메모리에 저장된 데이터를 페치하여 상기 데이터의 유효성을 판단한 후, 내부 이더넷 포트를 통해 유효한 데이터만 인트라넷으로 전송하는 내부 서버를 포함하여 구성된 것을 특징으로 한다.Intranet security system of the present invention for achieving the above object is connected to the Internet through an external Ethernet port, after removing the IP header of the encrypted IP data transmitted from the Internet, and transmits the IP header removed data to the switch An external server; A memory for storing encrypted data transmitted from an external server through the switch; And an internal server fetching data stored in the memory through the switch to determine validity of the data and transmitting only valid data to the intranet through an internal Ethernet port.

상기한 목적을 달성하기 위한 인트라넷 보안 방법은, 인터넷을 통해 외부 사용자 단말로부터 소정 IP 데이터가 전송되면, 외부 서버가 상기 IP 데이터의 IP 헤더를 제거한 후, IP 헤더가 제거된 데이터를 메모리에 일시 저장하는 제 1 과정; 상기 메모리로의 데이터 저장이 종료되면, 인트라넷에 연결된 내부 서버로 상기 메모리에 저장된 데이터를 페치시키는 제 2 과정; 상기 외부 사용자에 대한 인증을 수행하는 제 3 과정; 상기 인증이 성공하면 상기 데이터의 유효성을 판단하여 유효한 것으로 판단된 상기 데이터를 상기 인트라넷의 소정 서버로 전송하는 제 4 과정; 및상기 인트라넷의 소정 서버로부터 전송되는 응답을 상기 외부 사용의 단말로 전송하는 제 5 과정을 포함하여 이루어진 것을 특징으로 한다.In the intranet security method for achieving the above object, if predetermined IP data is transmitted from an external user terminal through the Internet, the external server removes the IP header of the IP data, and then temporarily stores the data from which the IP header is removed in a memory. A first process of doing; A second process of fetching data stored in the memory to an internal server connected to an intranet when data storage in the memory is finished; A third process of performing authentication on the external user; A fourth step of, if the authentication is successful, determining the validity of the data and transmitting the determined data to a predetermined server of the intranet; And a fifth process of transmitting a response transmitted from a predetermined server of the intranet to the terminal of the external use.

이하, 첨부된 도면을 참조하여 본 발명의 실시예를 보다 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention in more detail.

본 발명의 실시예에 따른 인트라넷 보안 시스템은 도 1에 도시된 바와 같이, 인터넷(107)과 인트라넷(108)의 사이에 인트라넷 보안 시스템(100)이 구축되어, 인터넷(107)을 통한 인트라넷(108)으로의 접근을 원천적으로 차단한다.In an intranet security system according to an embodiment of the present invention, as shown in FIG. 1, an intranet security system 100 is constructed between the Internet 107 and an intranet 108, and an intranet 108 via the Internet 107. Block access to) at source.

인트라넷 보안 시스템(100)은 도 1에 도시된 바와 같이, 외부 이더넷 포트(103)를 통해 외부 인터넷(107)과 연결되는 외부 서버(101), 내부 이더넷 포트(104)를 통해 내부 인트라넷(108)과 연결되는 내부 서버(102), 메모리(106)와 외부 서버(101) 또는 메모리(106)와 내부 서버(102)와의 신호경로를 설정하는 스위치(105)를 구비한다.Intranet security system 100 is external server 101 connected to external Internet 107 via external Ethernet port 103, internal intranet 108 via internal Ethernet port 104, as shown in FIG. And a switch 105 for setting a signal path between the internal server 102, the memory 106, and the external server 101 or the memory 106 and the internal server 102 connected to each other.

이하, 인트라넷 보안 시스템(100)의 세부 구성을 보다 구체적으로 설명한다.Hereinafter, the detailed configuration of the intranet security system 100 will be described in more detail.

인트라넷 보안 시스템(100)의 외부 이더넷 포트(103)는 외부 서버(101)와 외부의 인터넷을 연결해 주는 역할을 한다. 인터넷(107)으로부터 전송되어 내부의 인트라넷(108)으로 향하는 통신데이터 또는 반대로 인트라넷(108)에서 인터넷(107)으로 향하는 모든 통신 데이터는 외부 이더넷 포트(103)을 거치게 된다. 이더넷 포트(103)은 IP(Internet Protocol) 주소와 DNS(domain name system) 네임을 갖고 있으며 이것은 인터넷(107) 상에 있는 모든 컴퓨터에 공개된다.The external Ethernet port 103 of the intranet security system 100 serves to connect the external server 101 with the external Internet. Communication data sent from the Internet 107 to the internal intranet 108 or vice versa all communication data from the intranet 108 to the Internet 107 is passed through the external Ethernet port 103. Ethernet port 103 has an Internet Protocol (IP) address and a domain name system (DNS) name, which is open to all computers on the Internet 107.

외부 서버(101)는 외부 이더넷 포트(103)에 연결되어 있으며 외부 이더넷 포트(103)를 통해 인터넷(107)으로부터 전송된 모든 암호화된 외부 사용자의 데이터를 수신하는 역할을 한다. 외부 서버(101)는 외부 사용자의 암호화된 패킷을 수신한 후에 목적지 IP가 포함된 IP 헤더(IP Header)를 제거하고, 스위치(105)로 암호화된 데이터만을 전송한다. 여기서, IP 헤더가 제거됨으로 인해, 해커가 내부 인트라넷(108)에 존재하는 각종 사용자 PC와 서버의 IP 정보와 네트워크 구조를 알아내는 것이 불가능해 진다.The external server 101 is connected to the external Ethernet port 103 and serves to receive data of all encrypted external users transmitted from the Internet 107 via the external Ethernet port 103. After receiving the encrypted packet of the external user, the external server 101 removes the IP header including the destination IP, and transmits only the encrypted data to the switch 105. Here, since the IP header is removed, it is impossible for a hacker to find out the IP information and network structure of various user PCs and servers existing in the internal intranet 108.

스위치(105)는 반도체 스위치로 만들어져 있으며 메모리(106)와 통신한다. 바람직하게, 스위치(105)는 배타적 접근 방식을 사용하기 때문에 외부 서버(101)와 내부 서버(102)가 동시에 스위치(105)에 접속할 수 없다. 즉, 특정 시간에 스위치(105)와 연결될 수 있는 서버는 외부 서버(101) 또는 내부 서버(102) 중 하나만 가능하며 동시에 두개의 서버가 스위치(105)에 접속하는 것은 불가능하다. 인터넷(107)으로부터 전송된 데이터가 인트라넷(108)으로 전송될 경우, IP 헤더가 제거된 상태로 외부 서버(101)로부터 전송된 암호화된 데이터는 임시로 메모리(106)에 저장되며 메모리(106)에 데이터의 적재가 끝나면 스위치(105)는 외부 서버(101)와의 접속을 끊고 내부 서버(102)와 접속한다. 이때, 스위치(105)와 메모리(106) 사이의 데이터 교환은 TCP/IP(Transmission Control Protocol/Internet Protocol)가 아닌 SCSI(Small Computer System Interface) 등과 같은 Out of band(밴드 영역 이외의) 프로토콜을 사용해서 TCP/IP의 취약점을 이용한 공격을 논리적으로도 차단한다.The switch 105 is made of a semiconductor switch and communicates with the memory 106. Preferably, the switch 105 uses an exclusive approach so that the external server 101 and the internal server 102 cannot connect to the switch 105 at the same time. That is, only one of the external server 101 or the internal server 102 may be connected to the switch 105 at a specific time, and it is impossible for two servers to simultaneously connect to the switch 105. When data transmitted from the Internet 107 is transmitted to the intranet 108, the encrypted data transmitted from the external server 101 with the IP header removed is temporarily stored in the memory 106 and the memory 106. After the data has been loaded, the switch 105 disconnects from the external server 101 and connects to the internal server 102. At this time, the data exchange between the switch 105 and the memory 106 uses an out of band (non-band) protocol such as a small computer system interface (SCSI) or the like, rather than Transmission Control Protocol / Internet Protocol (TCP / IP). It also logically blocks attacks using vulnerabilities in TCP / IP.

내부 서버(102)는 인증 기능을 갖고 있으며 암호화된 데이터를 해독하여 일반 데이터로 변환하는 기능을 가지고 있다. 또한, 인트라넷(108)에 존재하는 각종 서버 중 어떤 서버에게로 통신 데이터를 전달해야 하는지를 결정하는 기능을 가지고 있다. 스위치(105)가 외부 서버(101)와 접속을 절단하고, 내부 서버(102)와 접속함으로써 메모리(106)에 임시로 저장된 암호화된 패킷을 내부 서버(102)로 전송하면, 내부 서버(102)는 암호화된 데이터를 해독하여 일반 데이터로 변환한 후, 내부 이더넷 포트(104)를 통해서 인트라넷(108)에 있는 서버 중 해당 데이터를 처리해 줄 특정 서버로 데이터를 전송한다. 스위치(105)가 배타적 접근 방식을 이용해서 외부 서버(101)와 내부 서버(102)를 연결하기 때문에 외부에서 내부 인트라넷(108)로 불법적인 침입을 하는 것이 불가능해 진다. 또한, 내부 서버(102)는 데이터 전송 이전에 외부의 사용자가 접근해도 되는지를 판단하는 인증 기능을 가지고 있으며 데이터의 전송 이전에 사용자에 대한 인증을 실시한다.The internal server 102 has an authentication function and has a function of decrypting encrypted data and converting it into general data. It also has a function of determining which of the various servers existing in the intranet 108 should communicate the communication data to. When the switch 105 disconnects the external server 101 and transmits an encrypted packet temporarily stored in the memory 106 to the internal server 102 by connecting to the internal server 102, the internal server 102 is disconnected. After the encrypted data is decrypted and converted into general data, the server transmits the data to a specific server that will process the corresponding data among the servers in the intranet 108 through the internal Ethernet port 104. Since the switch 105 connects the external server 101 and the internal server 102 using an exclusive approach, it is impossible to illegally invade the internal intranet 108 from the outside. In addition, the internal server 102 has an authentication function for determining whether an external user may access before data transmission, and authenticates the user before data transmission.

이어, 도 2와 도 3에 도시된 신호흐름도를 참조하여 인트라넷에 대한 침입 방지 시스템의 동작을 설명한다.Next, the operation of the intrusion prevention system for the intranet will be described with reference to the signal flow diagrams shown in FIGS. 2 and 3.

도 2에 도시된 바와 같이, 인터넷(107)상의 외부 사용자가 내부 서버(102)와의 통신을 요청하면, 상기 외부 사용자 단말과 외부 서버(101)간의 암호화 세션이 초기화되고(S201), 상기 외부 사용자 단말은 상기 암호화된 세션에 대한 트랜젝션을 외부 서버(101)로 전송한다(S202). 이로서, 외부 서버(101)는 상기 외부 사용자 단말로부터 전송된 패킷을 수신할 수 있는 상태가 된다.As shown in FIG. 2, when an external user on the Internet 107 requests communication with the internal server 102, an encryption session between the external user terminal and the external server 101 is initialized (S201), and the external user The terminal transmits the transaction for the encrypted session to the external server 101 (S202). As a result, the external server 101 is in a state capable of receiving a packet transmitted from the external user terminal.

외부 서버(101)는 상기 외부 사용자 단말로부터의 패킷을 수신(S203)한 후, 외부 서버(101)는 패킷의 내용 중 TCP/IP의 헤더를 제거(S204)한 후, 스위치(105)에 접속 요청을 하게 된다. 이때, 외부 서버(101)에서 패킷이 제거되기 때문에 외부의 해커가 인트라넷(108)내의 특정 서버로 직접 패킷을 전송하는 것이 불가능해 진다.After the external server 101 receives the packet from the external user terminal (S203), the external server 101 removes the header of the TCP / IP from the contents of the packet (S204), and then connects to the switch 105. You will be asked. At this time, since the packet is removed from the external server 101, it is impossible for an external hacker to directly transmit the packet to a specific server in the intranet 108.

이에, 스위치(105)는 내부 서버(102)와 접속 중인 상태라면 내부 서버(102)와의 접속이 끝날 때까지 기다린 후 내부 서버(102)와의 접속을 끊고 외부 서버(101)와 접속한 후(S206), 외부 서버(101)로부터 전송되는 암호화된 데이터를 메모리(106)에 저장한다(S207).Accordingly, if the switch 105 is in the state of being connected with the internal server 102, the switch 105 waits until the connection with the internal server 102 is finished, and then disconnects from the internal server 102 and connects with the external server 101 (S206). The encrypted data transmitted from the external server 101 is stored in the memory 106 (S207).

만약, 내부 서버(102)와 접속 중이 아니라면 스위치(105)의 배타적 접속 방식에 의해서, 외부 서버(101)와 바로 접속하여 외부 서버(101)로부터 전송되는 암호화된 데이터를 메모리(106)에 저장한다.If not connected to the internal server 102, the exclusive connection method of the switch 105 may be used to directly connect with the external server 101 to store encrypted data transmitted from the external server 101 in the memory 106. .

스위치(105)는 메모리(106)로의 데이터 저장이 완료되면, 외부 서버(101)와의 접속을 종료함(S208)과 동시에 내부 서버(102)로 접속하고(S209), 메모리(106)에 저장된 데이터를 내부 서버(102)로 페치(Fetch)한 후(S210), 전송된 데이터를 복호화한다(S211).When the storage of the data in the memory 106 is completed, the switch 105 terminates the connection with the external server 101 (S208) and simultaneously connects to the internal server 102 (S209), and the data stored in the memory 106. Fetch to the internal server 102 (S210), and then decrypt the transmitted data (S211).

데이터를 복호화한 후, 내부 서버(102)는 외부 사용자에 대한 인증을 위하여 상기 외부 사용자와의 암호화 통신 세션을 생성한다(S301). 바람직하게, 암호화 통신 세션은 외부 사용자의 인증 정보가 외부에 노출되는 것을 방지하기 위한 것이다.After decrypting the data, the internal server 102 creates an encrypted communication session with the external user for authentication of the external user (S301). Preferably, the encrypted communication session is for preventing the external user's authentication information from being exposed to the outside.

이어, 내부 서버(102)는 암호화된 로긴 화면을 생성한 후, 스위치(105)를 통해 외부 사용자 단말로 전송한다(S302).Subsequently, the internal server 102 generates an encrypted login screen and transmits the encrypted login screen to the external user terminal through the switch 105 (S302).

상기 외부 사용자가 암호화된 로긴 화면에 자신의 ID, 패스워드, 또는 PKI(public key infrastructure) 인증서 등 각종 인증에 필요한 정보를 입력하면(S304), 상기 인증정보는 외부 서버(101)와 스위치(105)를 경유하여, 내부 서버(102)로 전송된다(S305).When the external user inputs information necessary for various authentications, such as his ID, password, or public key infrastructure (PKI) certificate, on the encrypted login screen (S304), the authentication information is stored in the external server 101 and the switch 105. Via S, it is transmitted to the internal server 102 (S305).

상기 외부 사용자의 인증 정보를 받은 내부 서버(102)는 사용자의 인증 정보가 올바른지 체크하고 사용자에 대한 인증을 수행한다(S306). 이때, 사용자의 인증은 내부 서버(102)의 자체에서 할 수도 있고 인트라넷에 위치한 RADIUS(Remote Authentication Dial-In User Service), LDAP(Lightweight Directory Access Protocol) 서버 등을 사용할 수도 있다.The internal server 102 receiving the authentication information of the external user checks whether the authentication information of the user is correct and authenticates the user (S306). In this case, the authentication of the user may be performed by the internal server 102 itself, or may use a Remote Authentication Dial-In User Service (RADIUS), a Lightweight Directory Access Protocol (LDAP) server, or the like located in the intranet.

상기 외부 사용자에 대한 인증이 성공하면, 내부 서버(102)는 단계 S211에서 복호화된 데이터에 대해 바이러스(virus), 웜(warm) 등에 대한 검사 및 URL(Uniform Resource Locator)에 대한 검사 등을 수행하고, 검사결과 정상이면 내부 서버(102)에 설정된 규칙에 의해서 어떤 인트라넷 서버로 전송할지를 결정한다(S307).If the authentication of the external user is successful, the internal server 102 performs a virus or worm scan and a URL (Uniform Resource Locator) on the data decrypted in step S211. If the check result is normal, determine which intranet server to transmit to based on the rules set in the internal server 102 (S307).

인트라넷 내부의 특정 서버로 데이터가 전송되면(S308), 상기 데이터를 수신한 인트라넷 내부의 특정 서버는 응답을 결정하여(S309), 결정된 응답을 내부 서버(102)로 응답을 전송한다(S310).When data is transmitted to a specific server in the intranet (S308), the specific server in the intranet receiving the data determines a response (S309), and transmits the response to the internal server 102 (S310).

이어, 내부 서버(102)는 전송된 응답을 암호화하여(S311) 원격 사용자 단말로 전송하여(S312), 모든 데이터 송수신 과정을 종료한다.Subsequently, the internal server 102 encrypts the transmitted response (S311) and transmits it to the remote user terminal (S312), thereby terminating all data transmission / reception processes.

본 발명의 인트라넷 보안 시스템에 구성되는 외부 서버(101)의 계층 구조는 도 4에 도시된 바와 같다.The hierarchical structure of the external server 101 configured in the intranet security system of the present invention is as shown in FIG.

도 4에서 하드웨어와 펌웨어(firmware)(400)는 도 1에 도시된 기본 구조와 동일하다. 서버 기반(401)에는 외부 서버가 사용하는 운영체제와 운영체제의 상단에 확장서버 기반 모듈(403)이 구성된다. 여기서, 확장 서버 기반 모듈(403)은 외부 서버(101)의 기반이 되는 구조이며, 상기 구조에 의해 내부 서버(102)와 구별되는 특징이 구현된다.In FIG. 4, hardware and firmware 400 are identical to the basic structure shown in FIG. 1. The server base 401 includes an operating system used by an external server and an expansion server based module 403 on top of the operating system. In this case, the expansion server-based module 403 is a structure on which the external server 101 is based, and features distinguishing from the internal server 102 are implemented by the above structure.

확장 서버 기반 모듈(403)은 복수개의 가상 서버(402)를 상위에 구성할 수 있게 해 주는데, 가상 서버(402)는 외부 서버 운영자 임의대로 원하는 가상 서버를 동작시킬 수 있다. 가상 서버(402) 계층에는 애플리케이션 별로 SSL, DB, FTP, Web 등과 같이 다양한 서버를 사용할 수 있다.The expansion server-based module 403 allows a plurality of virtual servers 402 to be configured on the upper side. The virtual server 402 may operate a desired virtual server as an external server operator. In the virtual server 402 layer, various servers such as SSL, DB, FTP, and Web may be used for each application.

실제 서버를 사용하지 않고 가상 서버를 사용하는 이유는, 본 발명의 원래 목적이 침입 방지 구조를 설계하는 것인데 실제 서버를 외부 서버에 위치할 경우 실제 서버 자체의 각종 버그나 패치가 덜 된 취약점을 이용한 침입이 가능하기 때문에 외부 서버에는 반드시 가상 서버만 운영하도록 되어 있다. 그리고 확장서버기반 모듈(403)을 바탕으로 여러 개의 가상 서버를 확장 운영할 수 있는 특징이 있다.The reason for using a virtual server without using a real server is to design an intrusion prevention structure. When a real server is located on an external server, it is possible to take advantage of a variety of bugs and patches of the real server itself. Because it is possible to invade, only the virtual server should be operated on the external server. And based on the expansion server-based module 403 has a feature that can be extended to operate multiple virtual servers.

외부 서버(101)의 확장 서버 기반 모듈(403)이 복수의 가상 서버에 대해 확장성을 갖는 원리를 도 5에 참조하여 설명한다.The principle that the expansion server base module 403 of the external server 101 has scalability with respect to a plurality of virtual servers will be described with reference to FIG. 5.

인터넷(107)에서 외부 사용자의 요구가 있으면(601), 외부의 요구(601)는 확장 서버 기반 모듈(403)로 먼저 보내진다. 확장 서버 기반 모듈(403)은 외부서버(101)상에서 동작하며 스케쥴링 및 로드 밸런싱 역할을 담당한다. 외부 요구(601)로 수신한 패킷을 수신한 확장서버 기반 모듈(403)은 패킷의 목적지 주소(Address)와 포트 번호(Port Number)를 제일 먼저 검사한다. 확장 서버 기반 모듈(403)에는 확장 서버 기반 모듈 상위에서 운영 중인 가상 서버의 정보를 담은 테이블(Table)이 구비되어, 만일에 목적지 주소와 포트 번호가 가상 서버(402) 상에서 운영 중인 각종 가상 서버의 서비스와 매칭이 될 경우 내부의 스케쥴링 알고리즘을 이용해서 매칭된 가상 서버(402)에 패킷을 전송한다.If there is a request from an external user on the Internet 107 (601), the external request (601) is first sent to the expansion server based module 403. The expansion server based module 403 operates on the external server 101 and plays a role of scheduling and load balancing. The expansion server based module 403 receiving the packet received by the external request 601 first checks the destination address and the port number of the packet. The expansion server based module 403 is provided with a table containing information of the virtual servers running on the expansion server based module, and if the destination address and the port number of the various virtual servers are operated on the virtual server 402. When matching with the service, the packet is transmitted to the matched virtual server 402 using an internal scheduling algorithm.

이 때 생성된 연결(Connection)은 확장서버 기반 모듈(403)의 해쉬(Hash) Table에 기록된다. 원래 인터넷(107)에서 보내진 원본 패킷의 목적지 주소와 포트 번호는 선택된 가상 서버(402)에 맞는 주소로 재기록 된다. 이 과정은 스케쥴링과 패킷 재기록(602)이라고 부른다.The generated connection is recorded in the hash table of the extension server-based module 403. The destination address and port number of the original packet originally sent from the Internet 107 are rewritten to an address that matches the selected virtual server 402. This process is called scheduling and packet rewriting (602).

가상서버(402)는 스케쥴링과 패킷 재기록(602) 이후에 확장서버 기반 모듈(403)에서 전송된 외부 요구를 처리(603)하고 다시 확장서버 기반 모듈(403)로 응답을 보내준다. 응답이 돌아오면 확장서버 기반 모듈은 원래 인터넷(107)에서 들어온 패킷에 근원지 주소(Source Address)와 포트 번호를 다시 기록한다. 이를 응답 재기록(604)이라고 부른다. 응답 재기록(604)이 끝난 패킷은 인터넷(107)의 외부 사용자에게 다시 돌려보내진다. 이 과정을 외부 요구에 응답(605)라고 부른다. 연결이 종료되거나 시간경과(Timeout)가 되면 확장 서버 기반 모듈(403)에 있는 해쉬(Hash) 테이블의 정보는 삭제된다.The virtual server 402 processes 603 the external request sent from the expansion server based module 403 after scheduling and packet rewriting 602 and sends a response back to the expansion server based module 403. When the response is returned, the expansion server based module rewrites the source address and the port number in the packet originally received from the Internet 107. This is called response rewrite 604. The packet whose response rewrite 604 is completed is returned back to an external user of the Internet 107. This process is called responding to an external request (605). When the connection is terminated or timed out, the information of the hash table in the expansion server based module 403 is deleted.

확장서버 기반 모듈(403)은 스케쥴링과 패킷 재기록(602)을 통해 상위의 가상 서버(402)의 개수에 상관없이 목적지 주소와 포트 번호를 변경하여 외부의 사용자가 원하는 서버와 연결할 수 있도록 해주며 로드 밸런싱(Load Balancing) 기능이 있어서 복수개의 가상 서버 운영시의 패킷의 병목 현상을 방지한다.The expansion server based module 403 allows the external user to connect with the desired server by changing the destination address and port number regardless of the number of virtual servers 402 through scheduling and packet rewriting 602. Load balancing prevents bottlenecks in packets when multiple virtual servers are operated.

본 발명의 인트라넷 보안 시스템에 구성되는 내부 서버(101)의 계층 구조는 도 6에 도시된 바와 같다.The hierarchical structure of the internal server 101 configured in the intranet security system of the present invention is as shown in FIG.

도 6에 도시된 하드웨어와 펌웨어는(400)로 도 1, 도 4와 동일하며, 서버기반(500)은 확장 엔진 기반 모듈(501)을 사용하는 것이 특징이다. 확장 엔진 기반 모듈은 데이터의 암복호화, 인증 기능, 웜 및 바이러스의 업데이트와 검사 등을 실시하는 각종 엔진을 탑재할 수 있게 되어 있으며 이러한 각종 엔진들은 확장 엔진(502) 계층을 이루게 된다.The hardware and firmware illustrated in FIG. 6 are the same as those of FIGS. 1 and 4 as 400, and the server-based 500 uses the expansion engine-based module 501. The extension engine-based module can be equipped with various engines that perform data encryption / decryption, authentication function, update and inspection of worms and viruses, and these various engines form the expansion engine 502 layer.

확장 엔진(502) 계층은 패치된 암호화된 데이터를 복호화하기 위한 엔진, 복호화된 데이터에 대해 바이러스, 웜 및 URL에 대한 검사 등을 행하는 엔진, 상기 외부 서버로 전송할 데이터를 암호화시키기 위한 엔진, 상기 인터넷을 통해 접속한 외부 사용자에 대해 인증을 수행하는 엔진을 포함하는 것이 바람직하다.The extension engine 502 layer includes an engine for decrypting the patched encrypted data, an engine for checking viruses, worms and URLs for the decrypted data, an engine for encrypting data to be transmitted to the external server, and the Internet. It is preferable to include an engine that performs authentication for an external user connected through.

확장 엔진 기반 모듈(501)은 입출력 형식만 맞추면 복수개의 확장 엔진을 구동할 수 있는 구조로 되어 있으며 이러한 용이한 확장성은 새로운 바이러스나 웜의 출현에 대해서 대비할 수 있도록 해 주고 향후의 네트워크 확충이나 새로운 서비스용 엔진을 추가로 탑재하는 것을 가능하게 해 준다.The expansion engine-based module 501 has a structure that can operate a plurality of expansion engines by matching the input / output type, and this easy scalability can prepare for the emergence of a new virus or worm and expand the network or a new service in the future. It makes it possible to mount additional dragon engines.

외부 서버(101)의 확장 엔진 기반 모듈(501)이 복수의 확장 엔진(502)과의 연동 과정을 도 7에 참조하여 설명한다.The expansion engine-based module 501 of the external server 101 will be described with reference to FIG. 7 in association with the plurality of expansion engines 502.

확장엔진(502)의 동작은 확장엔진 등록, 확장엔진 동작, 확장 엔진 삭제의 순서로 진행된다.The operation of the expansion engine 502 proceeds in the order of expansion engine registration, expansion engine operation, and expansion engine deletion.

필요에 의해 확장엔진 기반 모듈(501)위에 있는 복수 개의 확장 엔진(502)에 특정한 확장 엔진이 추가될 경우 해당 확장 엔진은 확장엔진 기반 모듈(501)내에 위치한 확장엔진 테이블(706)에 해당 확장엔진의 ID, 명령어 입출력 형식, 명령어 파라미터 형식과 파라미터 개수, 명령어 처리 결과의 형식, 처리 결과의 파라미터 개수 등을 기록하게 된다.If a specific expansion engine is added to the plurality of expansion engines 502 on the expansion engine base module 501 as necessary, the expansion engine is added to the expansion engine table 706 located in the expansion engine base module 501. The ID of the command, the command input / output format, the command parameter format and the number of parameters, the format of the command processing result, and the number of parameters of the processing result are recorded.

내부 서버(102)로 인터넷(107)에서 전달된 패킷이 들어오면 확장엔진 기반 모듈(501)내의 명령어 해석기(703)는 확장엔진 테이블(706)상에 ID가 등록된 확장엔진에게 메시지를 전송한다(701). 이 메시지에는 패킷 수신을 알리는 정보와 해당 패킷의 처리 여부를 묻는 정보가 포함된다. 메시지를 전송받은 해당 확장 엔진 중 해당 엔진의 동작이 필요하다고 판단한 엔진은 명령어 해석기에게 해당 엔진이 동작할 준비가 되었다는 메시지를 명령어 해석기(703)에게 다시 돌려 보낸다.When the packet transmitted from the Internet 107 to the internal server 102, the command interpreter 703 in the extension engine-based module 501 transmits a message to the expansion engine whose ID is registered on the expansion engine table 706. (701). This message includes information indicating that the packet is received and whether the packet is processed or not. The engine which has determined that the operation of the corresponding engine is necessary among the corresponding expansion engines having received the message sends a message back to the command interpreter 703 indicating that the engine is ready for operation.

명령어 해석기(703)는 확장 엔진이 동작 준비 되었다는 메시지를 받은 후 수신한 패킷을 검사하여 확장엔진 테이블(706)에 기록된 각종 명령어와 데이터 입출력 형식에 맞추어 가공한다. 가공이 끝난 메시지는 다시 해당 확장엔진에게 전송되며 해당 확장엔진의 동작이 끝나면 처리 응답(702)이 다시 확장엔진 기반 모듈(501)로 전송된다. 전송된 처리 응답(702)는 결과 분석기(705)에서 분석하며 결과의 오류, 재전송 또는 재처리 여부, 처리 결과 내용을 확장엔진 테이블에 기록할지 등을 결정한다. 통상적인 처리 결과에 이상이 없을 경우 확장엔진 테이블(706)에 기록하지 않으나 오류가 발생하거나 처리 결과를 다른 확장엔진이 다시 이용할 필요가 있을 경우 등에는 확장엔진에 처리 결과를 기록한다. 복수개의 확장엔진(502)이 동작할 경우 확장엔진으로 전송되는 메시지의 병목현상, 처리 지연 등이 발생할 수 있기 때문에 스케쥴러(704)가 메시지의 처리를 스케쥴링하게 된다. 스케쥴러는 검사엔진, 업데이트 엔진처럼 주기 또는 비주기적인 동작을 하는 확장엔진 동작의 스케쥴링도 담당한다.The instruction interpreter 703 receives the message that the expansion engine is ready for operation, inspects the received packet, and processes the received packet according to various instructions and data input / output formats recorded in the expansion engine table 706. The processed message is transmitted to the expansion engine again, and when the operation of the expansion engine is finished, the processing response 702 is transmitted to the expansion engine based module 501 again. The transmitted process response 702 is analyzed by the result analyzer 705 to determine whether the result is an error, retransmission or reprocessing, whether to record the result of the processing in the extension engine table, and the like. If there is no abnormality in the normal processing result, the processing result is not recorded in the expansion engine table 706, but in the case of an error or when another expansion engine needs to use the processing result again, the processing result is recorded in the expansion engine. When a plurality of expansion engines 502 operate, the scheduler 704 schedules the processing of messages because bottlenecks, processing delays, etc. of messages transmitted to the expansion engine may occur. The scheduler is also responsible for scheduling the operation of expansion engines that perform periodic or aperiodic operations, such as check engines and update engines.

확장엔진(502)에서 동작하는 각종 확장엔진들은 모든 메시지 전송을 확장엔진 기반 모듈과 주고 받게 되므로 개별적인 확장엔진은 독립적으로 운영된다.Various expansion engines operating in the expansion engine 502 exchange all message transmissions with the expansion engine based module, so that the individual expansion engines operate independently.

이상 설명한 바와 같은 본 발명에 의하면, 인터넷에서 시도되는 인트라넷에 대한 해킹을 근본적으로 차단할 수 있게 되어, 불법적인 리소스(resourse)의 사용을 차단하고, 윔(warm) 및 바이어스(virus)에 의한 서버 감염을 방지할 수 있게 된다.According to the present invention as described above, it is possible to fundamentally block the hacking on the intranet attempted on the Internet, to block the use of illegal resources, and to infect the server by warming and biasing viruses. Can be prevented.

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.On the other hand, the present invention is not limited only to the above-described embodiments, it can be carried out by modifying and modifying within the scope not departing from the gist of the present invention, such modifications and changes should be regarded as belonging to the following claims. will be.

Claims (15)

외부 이더넷 포트를 통해 인터넷에 접속되어, 인터넷으로부터 전송되는 암호화된 IP 데이터의 IP 헤더를 제거한 후, IP 헤더가 제거된 데이터를 스위치로 전송하는 외부서버;An external server connected to the Internet through an external Ethernet port to remove an IP header of encrypted IP data transmitted from the Internet, and then transmit the data from which the IP header has been removed to a switch; 상기 스위치를 통해 외부서버로부터 전송되는 암호화된 데이터를 저장하는 메모리; 및A memory for storing encrypted data transmitted from an external server through the switch; And 상기 스위치를 통해 상기 메모리에 저장된 데이터를 페치하여 상기 데이터의 유효성을 판단한 후, 내부 이더넷 포트를 통해 유효한 데이터만 인트라넷으로 전송하는 내부 서버를 포함하여 구성된 것을 특징으로 하는 인트라넷 보안 시스템.And an internal server for fetching data stored in the memory through the switch to determine validity of the data and transmitting only valid data to the intranet through an internal Ethernet port. 제 1 항에 있어서,The method of claim 1, 상기 스위치는,The switch, 상기 외부 서버의 요청에 의해 상기 외부 서버에 접속되어 상기 외부 서버로부터 암호화된 데이터를 전송받아 상기 메모리에 저장하고, 상기 메모리로의 데이터 저장이 완료되면 상기 내부 서버로 접속하여 상기 메모리에 저장된 암호화된 데이터가 상기 내부 서버로 페치되게 하는 인트라넷 보안 시스템.Upon request of the external server, the external server is connected to the external server to receive encrypted data from the external server, and stores the encrypted data in the memory. When the data storage in the memory is completed, the external server is connected to the internal server to store the encrypted data. Intranet security system that allows data to be fetched to the internal server. 제 2 항에 있어서,The method of claim 2, 상기 스위치는,The switch, 배타적 접속 방식임을 특징으로 하는 인트라넷 보안 시스템.Intranet security system characterized by an exclusive access method. 제 1 항에 있어서,The method of claim 1, 상기 외부 서버는,The external server, 운영체제의 상위에 복수의 가상 서버의 설치를 지원하는 확장서버 기반 모듈이 설치되고, 상기 확장서버 기반 모듈의 상위에 복수의 가상 서버로 구성된 가상 서버계층이 설치되는 것을 특징으로 하는 인트라넷 보안 시스템.An extension server based module for installing a plurality of virtual servers on top of an operating system is installed, and a virtual server layer including a plurality of virtual servers is installed on the extension server based module. 제 1 항에 있어서,The method of claim 1, 상기 내부 서버는,The internal server, 운용체제의 상위에 복수의 엔진의 설치를 지원하는 확장 엔진 기반 모듈이 설치되고, 상기 확장 엔진 기반 모듈의 사위에 복수의 엔진으로 구성된 확장 엔진 계층이 설치되는 것을 특징으로 하는 인트라넷 보안 시스템.An extension engine based module for installing a plurality of engines installed above the operating system, and an expansion engine layer including a plurality of engines is installed above the expansion engine based module. 제 5 항에 있어서,The method of claim 5, wherein 상기 확장 엔진 계층은,The expansion engine layer, 패치된 암호화된 데이터를 복호화하기 위한 엔진, 복호화된 데이터에 대해 바이러스, 웜 및 URL에 대한 검사 등을 행하는 엔진, 상기 외부 서버로 전송할 데이터를 암호화시키기 위한 엔진, 상기 인터넷을 통해 접속한 외부 사용자에 대해 인증을 수행하는 엔진을 포함함을 특징으로 하는 인트라넷 보안 시스템.An engine for decrypting the patched encrypted data, an engine for checking viruses, worms, and URLs for the decrypted data, an engine for encrypting data to be transmitted to the external server, and an external user connected through the Internet. Intranet security system, characterized in that it comprises an engine for performing authentication. 제 6 항에 있어서,The method of claim 6, 상기 내부 서버는,The internal server, 상기 외부 사용자의 단말과 암호화 통신세션을 생성한 후, 상기 암호화 통신세션을 통해 상기 외부 사용자 단말로 암호화된 로긴 화면을 전송하고, 상기 외부 사용자 단말로부터 입력되는 인증정보를 이용하여 상기 외부 사용자 단말에 대한 인증을 수행하는 것을 특징으로 하는 인트라넷 보안 시스템.After generating an encrypted communication session with the terminal of the external user, the encrypted login screen is transmitted to the external user terminal through the encrypted communication session, and using the authentication information input from the external user terminal to the external user terminal Intranet security system, characterized in that for performing authentication. 제 1 항에 있어서,The method of claim 1, 상기 내부 서버는,The internal server, 상기 데이터에 대해 웜(warm), 바이러스(virus) 검사를 행하고, URL 검사를 행하여, 검사결과가 정상인 데이터를 유효한 데이터로 판단하는 것을 특징으로 하는 인트라넷 보안 시스템.An intranet security system, characterized in that a worm and a virus test are performed on the data, and a URL test is performed to determine that the data whose test result is normal is valid data. 제 1 항에 있어서,The method of claim 1, 상기 이더넷 포트는,The Ethernet port is IP(Internet Ptotocol)주소와 DNS(domain name system) 네임을 갖는 것을 특징으로 하는 인트라넷 보안 시스템.Intranet security system characterized by having an IP (Internet Protocol) address and a domain name system (DNS) name. 제 1 항에 있어서,The method of claim 1, 상기 스위치와 상기 메모리는 밴드 영역 이외의 프로토콜을 사용하여 통신하는 것을 특징으로 하는 인트라넷 보안 시스템.The switch and the memory communicate using a protocol other than a band domain. 인터넷을 통해 외부 사용자 단말로부터 소정 IP 데이터가 전송되면, 외부 서버가 상기 IP 데이터의 IP 헤더를 제거한 후, IP 헤더가 제거된 데이터를 메모리에 일시 저장하는 제 1 과정;A first step of, when the predetermined IP data is transmitted from the external user terminal through the Internet, after the external server removes the IP header of the IP data, temporarily storing the data from which the IP header has been removed in a memory; 상기 메모리로의 데이터 저장이 종료되면, 인트라넷에 연결된 내부 서버로 상기 메모리에 저장된 데이터를 페치시키는 제 2 과정;A second process of fetching data stored in the memory to an internal server connected to an intranet when data storage in the memory is finished; 상기 외부 사용자에 대한 인증을 수행하는 제 3 과정;A third process of performing authentication on the external user; 상기 인증이 성공하면 상기 데이터의 유효성을 판단하여 유효한 것으로 판단된 상기 데이터를 상기 인트라넷의 소정 서버로 전송하는 제 4 과정; 및A fourth step of, if the authentication is successful, determining the validity of the data and transmitting the determined data to a predetermined server of the intranet; And 상기 인트라넷의 소정 서버로부터 전송되는 응답을 상기 외부 사용의 단말로 전송하는 제 5 과정을 포함하여 이루어진 것을 특징으로 하는 인트라넷 보안 방법.And a fifth process of transmitting a response transmitted from a predetermined server of the intranet to the terminal of the external use. 제 11 항에 있어서,The method of claim 11, 상기 제 2 과정에서,In the second process, 상기 메모리에 저장되는 데이터는 암호화된 데이터인 것을 특징으로 하는 인트라넷 보안 방법.And the data stored in the memory is encrypted data. 제 11 항에 있어서,The method of claim 11, 제 2 과정과 제 3 과정의 사이에, 상기 내부 서버와 상기 외부 사용자 단말간에 암호화 통신세션을 생성하는 과정이 더 포함되는 것을 특징으로 하는 인트라넷 보안 방법.Between the second process and the third process, the intranet security method further comprising the step of generating an encrypted communication session between the internal server and the external user terminal. 제 13 항에 있어서,The method of claim 13, 상기 제 3 과정은,The third process, 상기 암호화 통신세션을 통해 암호화된 로긴 화면을 상기 외부 사용자 단말로 전송하는 제 1 단계; 및A first step of transmitting an encrypted login screen through the encrypted communication session to the external user terminal; And 상기 암호화된 로긴 화면에 대해 상기 외부 사용자가 입력한 인증정보가 상기 암호화 통신세션을 통해 상기 내부 서버로 전송되면, 상기 내부 서버가 상기 인증정보를 이용하여 상기 외부 사용자에 대한 인증을 행하는 제 2 단계를 포함하여 구성된 것을 특징으로 하는 인트라넷 보안 방법A second step of authenticating the external user using the authentication information when the authentication information input by the external user with respect to the encrypted login screen is transmitted to the internal server through the encrypted communication session; Intranet security method, characterized in that configured to include 제 10 항에 있어서,The method of claim 10, 상기 제 4 과정에서,In the fourth process, 상기 데이터에 대한 유효성의 판단은, 상기 데이터에 대해 웜(warm), 바이러스(virus) 검사를 행하고, URL 검사를 행하여, 검사결과가 정상인 데이터를 유효한 데이터로 판단하는 것을 특징으로 하는 인트라넷 보안 방법.The determination of the validity of the data includes a warm and virus check on the data, a URL check, and the data having a normal check result as the valid data.
KR1020030043724A 2003-06-30 2003-06-30 System for securing of intranet and method thereof KR20050002348A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030043724A KR20050002348A (en) 2003-06-30 2003-06-30 System for securing of intranet and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030043724A KR20050002348A (en) 2003-06-30 2003-06-30 System for securing of intranet and method thereof

Publications (1)

Publication Number Publication Date
KR20050002348A true KR20050002348A (en) 2005-01-07

Family

ID=37217880

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030043724A KR20050002348A (en) 2003-06-30 2003-06-30 System for securing of intranet and method thereof

Country Status (1)

Country Link
KR (1) KR20050002348A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190119785A (en) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 Network operation method and system for providing service between server and server

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190119785A (en) * 2018-04-13 2019-10-23 엔에이치엔 주식회사 Network operation method and system for providing service between server and server

Similar Documents

Publication Publication Date Title
US10778659B2 (en) System and method for protecting communications
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
US9882876B2 (en) System and method for redirected firewall discovery in a network environment
US9210126B2 (en) Method for secure single-packet authorization within cloud computing networks
US8800024B2 (en) System and method for host-initiated firewall discovery in a network environment
JP4347335B2 (en) Network relay program, network relay device, communication system, and network relay method
CN110198297B (en) Flow data monitoring method and device, electronic equipment and computer readable medium
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
WO2018075965A1 (en) Dark virtual private networks and secure services
CN115603932A (en) Access control method, access control system and related equipment
WO2023279782A1 (en) Access control method, access control system and related device
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
CN112839062A (en) Port hiding method, device and equipment with mixed authentication signals
CN110892695A (en) Method, device and computer program product for checking connection parameters of a password-protected communication connection during the establishment of a connection
Joshi Network security: know it all
CN109688104A (en) It is a kind of to realize the system and method for the hiding host in network
US8590031B2 (en) Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
Sørensen et al. Automatic profile-based firewall for iot devices
KR20050002348A (en) System for securing of intranet and method thereof
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
Frank Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance
Izadinia Fingerprinting encrypted tunnel endpoints
Al-Muhaitheef The firewall mobile customs agent: A distributed firewall architecture
Bornstein et al. Shell Protocols
KR20050046834A (en) Security system and method for internet commumication between client system and sever system of specific domain

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination