KR20050075308A - 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법 - Google Patents

방화벽용 및 관련 제품을 위한 보안 시스템 및 방법 Download PDF

Info

Publication number
KR20050075308A
KR20050075308A KR1020050003835A KR20050003835A KR20050075308A KR 20050075308 A KR20050075308 A KR 20050075308A KR 1020050003835 A KR1020050003835 A KR 1020050003835A KR 20050003835 A KR20050003835 A KR 20050003835A KR 20050075308 A KR20050075308 A KR 20050075308A
Authority
KR
South Korea
Prior art keywords
firewall
application
parameter
connection
para0
Prior art date
Application number
KR1020050003835A
Other languages
English (en)
Inventor
보데스필립
퀼로텔필립
비엘라드세어리
Original Assignee
톰슨 라이센싱 에스.에이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 에스.에이. filed Critical 톰슨 라이센싱 에스.에이.
Publication of KR20050075308A publication Critical patent/KR20050075308A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 방화벽의 보안용 시스템(1) 및 방법에 관한 것이다.
이 시스템은, 방화벽을 통해 접속을 하도록 제공되는 애플리케이션(APP)을 갖는 통신 수단(11), 위임 파라미터가 적어도 하나의 참조 파라미터(PARA0)를 따를 때 이 애플리케이션을 접속 확립할 수 있는 것으로서 인식하도록 제공되며, 이 애플리케이션에 의해 공급되는 상기 적어도 하나의 위임 파라미터를 식별하는 수단(12), 및 이 애플리케이션으로부터 발생하는 요청에 기초하여 접속을 확립하는 코맨드 수단(13)을 포함한다.
보안 시스템은, 자동 발생 수단(21) 및/또는 허가된 사용자들의 리스트에 대한 참조 파라미터의 자동 분포용 코맨드 수단(22)을 포함하여, 참조 파라미터를 생성하는 수단(20)도 포함한다. 따라서 위임 파라미터로서 공급되는 참조 파라미터를 사용자와 통신할 수 있다.

Description

방화벽용 및 관련 제품을 위한 보안 시스템 및 방법{SECURITY SYSTEM AND METHOD FOR FIREWALL AND ASSOCIATED PRODUCT}
본 발명은 방화벽을 위한 방법 및 보안 시스템에 관한 것이며, 이와 관련된 컴퓨터 프로그램에 관한 것이다.
인터넷 상의 서비스의 급속한 개발로 인한 성공에는 상호접속 및 모든 종류의 데이터의 상호교환의 용이가 일부 기여하고 있다. 그러나, 일부 불필요한 데이터 스트림이 네트워크 상에서 이동하면서 유해한 영향(특히, 트래픽 정체 현상)을 끼치거나 해적 프로그램(바이러스, 웜 등)을 전달할 수 있다.
이러한 문제점을 해결하는데 현재 이용되고 있는 해결책은, 사설 네트워크와 인터넷 간의 안전한 액세스를 위해 보호를 요구하는 네트워크(사설 네트워크) 입구에 포탈이라고도 불리는 게이트웨이를 방화벽과 함께 설정하는 것이다. 이 방화벽은 입출력되는 데이터 스트림을 필터링하는데 사용된다. 이에 따라 포탈을 통과하는 임의의 패킷이, 인가된 접속 리스트에 대하여 검증받게 된다.
게이트웨이에 의해 아래와 같은 3가지 타입의 결정을 내릴 수 있다.
- 패킷이 허가된 것으로서 리스팅된 데이터 스트림에 속해 있다면, 패킷은 정상적으로 게이트웨이를 통과한다.
- 패킷이 허가되지 않은 것으로서 이미 리스팅된 데이터 스트림에 속해 있다면, 패킷은 게이트웨이를 통과하지 못한다.
- 패킷이 아직 리스팅되지 않은 데이터 스트림에 속해 있다면, 이 패킷은 잠시 차단되고 관리자가 호출되어 (양방향성 인터페이스) 취할 액션(인가 또는 비인가)을 선택하게 된다.
실제로, 인터넷 트래픽의 꾸준한 증가, 피어 투 피어(peer-to-peer) 애플리케이션의 성공 및 새로운 접속을 동적 생성하는 멀티미디어 애플리케이션의 출현으로 인해, 안전한 게이트웨이 상에서의 로드가 일정하게 증가하고 있다. 이에 따라, 일반적으로 보호로부터 이익을 얻는 사설 네트워크가 단일 기계 또는 여러 기계들로 구성되는지 여부에 상관없이, 불만족스러운 상황이 발생한다.
따라서, 안전한 게이트웨이의 역할도 수행하는 이 네트워크가 단일 기계로 감소되면, 애플리케이션 소프트웨어 프로그램 (또는 애플리케이션)의 최종 사용자는 관리자이기도 하다. 이에 따라, 사용자의 그 기계와의 상호작용은, 번거로운 관리 태스크에 의해 항상 간섭받는다.
또한, 사설 네트워크가 여러 사용자 및 여러 애플리케이션과 함께 여러 기계들로 구성되면, 관리자가 정확하고 빠른 결정을 내리기 어려우며, 특히 관리자가 (특히 국내 네트워크에 대하여) 전문가가 아닌 경우에 그러하다. 특히, 흔히 애플리케이션에 의해 효율적으로 선택되는 포트의 가치를 안다는 것은 쉽지 않다. 기업 네트워크에서, 안전한 게이트웨이는, 임의의 피어 투 피어 접속을 금지하고 예를 들어 UDP(사용자 데이터그램 프로토콜)에 따른 데이터 스트림과 같은 데이터 스트림의 소정의 카테고리를 차단함으로써 빈번하고도 상당히 간단하게 제한된다. 이에 따라, 임의의 타입의 통신 애플리케이션의 성능이 감소된다.
문헌 EP-A2-0.910.197은, 이용가능한 여러 규칙중 선택된 하나의 액세스 규칙을 적용함으로써 다중 보안 전략 및/또는 다중 사용자를 지원할 수 있는 개선된 방화벽을 개시한다. 방화벽 프로세스는, 프리로드된(preloaded) 규칙들 및 동적 규칙들을 조합하여 이용함으로써 보다 쉽게 행해질 수 있다. 예를 들어 특정 소스 및 목적지 포트 번호를 포함할 수 있는 이러한 동적 규칙들은, 트러스트(trust) 애플리케이션, 프록시 서버 또는 원격 방화벽 관리자와 같은 인가된 파티에 의해 임의의 시간에 로딩될 수 있다. 이러한 동적 규칙들은, 단일 세션용으로 기능할 수 있으며, 시간에 대하여 제한된 사용을 가질 수 있거나 소정의 조건이 만족될 때에만 이용될 수 있다.
이러한 해결책은 방화벽에 필터링 규칙을 적응시킬 수 있는 매우 큰 유연성을 제공하며 보안 게이트웨이 관리자의 간섭을 상당히 줄일 수 있게 한다. 특히, 애플리케이션, 프록시 서버 또는 소정의 기준을 만족하는 (전형적으로, 애플리케이션의 타입 및/또는 수신된 메시지 소스를 검증함으로써 유효한) 원격 관리자에 대하여 소정의 접속 인가 태스크의 위임을 허가할 수 있다.
그러나, 이 기술은, 선택된 기준에 따라 허용되는 사설 애플리케이션에 의한 보안 규칙의 변경 및 악의적인 공격에 대하여 시스템 취약성을 갖고 있다.
또한, 안전한 게이트웨이에서 구현되며 식별된 바이러스를 갖는 모든 애플리케이션의 정지를 담당하는 안티바이러스 시스템이 알려져 있다.
이러한 기술은, 유용한 정도나 필요 불가결한 정도에 상관없이, 이미 알려져 있는 기생 프로그램 및 유해 프로그램의 인식에 기초하여 상당히 제한된 필터링을 제공하는 것으로만 이용될 수 있다. 반면에, 이러한 기술은, 애플리케이션이 선택된 기준에 기초하여 식별될 수 있는 바이러스를 갖지 않을 때 해를 가할 가능성이 있는 그 애플리케이션에 대하여 효율적이지 못하다. 또한, 이러한 기술은 선험적으로 허용가능한 애플리케이션의 경우에 접속 인가 또는 비인가의 문제점을 해결하지 못한다.
방화벽의 보안 상태를 개선하는 다른 해결책은, 체크를 증가시킴으로써 적용가능 선택 규칙을 엄격하게 하는 것이다. 이러한 규칙의 엄격화는, 종래 문헌인 EP-A2-0.910.197의 기술에 따라 접속 인가 뿐만 아니라 프록시 서버 또는 원격 방화벽 관리자 또는 트러스트 애플리케이션의 사용권한 기준에도 적용된다. 예를 들어, 그 태스크를 원격 관리자에게 위임하려면 관리자의 소스 어드레스의 검증 뿐만 아니라 애플리케이션의 성질 및 목적지 포트의 검증이 필요하다.
이 해결책을 이용하여 시스템 안정성을 증가할 수 있지만, 사용 유연성에 손해를 가하게 된다. 또한, 테스트받도록 데이터를 집합하고 검정 알고리즘을 수행하도록 방화벽에서의 동작시 비용면에서 비싸고 더 복잡한 프로세스를 필요로 한다.
또한, 접속을 인가 및 금지할 가능성을 갖는 사용자에 대하여 방화벽으로의 액세스 보안을 향상하는 것이 제안되었다. 이러한 타입의 기술은, 액세스를 요구하는 사용자의 아이덴티티를 체크하기 위해, 사용자 인증에 기초하며, 특히 방화벽 시스템에 대한 패스워드의 전송에 기초한다.
따라서, 미국 특허출원번호 US 제2003/0233582호는 네트워크 방화벽을 위한 방법을 개시하고 있으며, 이 방화벽은 인증 메카니즘을 통하여 동적 구성가능하다. 프리로드된 액세스 규칙에 더하여 동적 규칙을 이용할 수 있으며, 이러한 규칙들은 방화벽 제어기에 의해 추가되거나 삭제된다. 이를 위해, 클라이언트는 방화벽 제어기와의 세션을 오픈하고, 일단 인증되면, 방화벽에 액세스할 수 있다.
미국특허번호 제6609154호는 클라이언트의 로컬 인증에 의한 네트워크로의 액세스를 제어하는 방법을 일부 개시하고 있다. 이를 위한 네트워크 장치는 클라이언트에 의해 개시되어 네트워크 리소스측으로 향하는 네트워크 트래픽의 아이템을 간섭할 수 있다. 인증이 성공적이면, 네트워크 장치는 동적 재구성되어 네트워크 트래픽이 그 리소스에 도달하는 것을 인가한다.
이러한 기술은 기계 사용자의 아이덴티티의 사기 위험성을 줄인다. 그러나, 이러한 기술은, 모든 허용된 사용자 및 이들과 각각 관련된 인증 파라미터를 고려하는데 이용되는 비교적 복잡한 로컬 관리를 요구한다. 이러한 복잡성은 여러 사용자들이 하나의 동일한 기계를 이용하면 심각해진다. 또한, (예를 들어, 소정의 주기동안 사용권한이 허가되면) 권한의 동적 수정의 포함으로 인해 처리에 어려움을 더하게 된다.
본 발명은 방화벽에서의 패킷 필터링의 신뢰도를 높일 수 있는 방화벽을 위한 보안 시스템에 관한 것이다. 또한, 본 발명의 보안 시스템은, 악의적인 공격 위험성의 상당한 감소를 인가할 수 있으며 방화벽이 제공된 안전한 게이트웨이의 관리자의 태스크를 상당히 간략화할 수 있다.
또한, 본 발명은 상기한 이점들을 갖는 보안 방법 및 컴퓨터 프로그램에 관한 것이다. 본 발명은 특히 국내 네트워크 및 인터넷과 같은 와이드 아웃사이드(wide outside) 네트워크 간의 접속에 적용된다.
이를 위해, 본 발명은 특히 아래와 같은 단계들을 포함하는 방화벽용 보안 방법에 관련된다.
- 방화벽을 통해 접속을 이루도록 제공되는 애플리케이션과의 통신 단계
- 상기 애플리케이션에 의해 공급되는 적어도 하나의 위임 파라미터를 자동 식별하고, 위임 파라미터가 저장 공간에 기록되어 있는 적어도 하나의 참조 파라미터에 따를 때 방화벽을 통해 접속을 확립할 수 있는 것으로서 상기 애플리케이션을 자동 인식하는 단계
- 방화벽을 통한 접속 자동 확립의 코맨드 단계 - 이 코맨드는 애플리케이션으로부터 발생하는 요청에 기초함 -
본 발명에 따라, 이 방법은, 위임 파라미터로서 공급될 참조 파라미터를 이 애플리케이션의 적어도 하나의 사용자에게 미리 전송하는 단계를 더 포함한다.
따라서, 본 발명의 방법은, 하나 이상의 참조 파라미터와의 비교에 의해, 하나 이상의 위임 파라미터 인식에 의한 안티바이러스 프로그램에 있어서 첨단 기술과 구별되며, 애플리케이션은 일치하는 경우에 접속을 확립할 수 있다. 반면에, 안티 바이러스 프로그램을 갖는 시스템은, 바이러스 캐리어로 고려되는 애플리케이션을 별도로 설정함으로써, 즉 제거에 의해 진행된다. 상기한 반대의 경우에서, 시스템은 자신들 스스로에게 통과하도록 허용한다.
문헌 EP-A2-0.910.197에 개시된 기술과 비교할 때, 본 발명의 방법은 허용된 사용자와 미리 통신되는 위임 파라미터를 이용한다. 따라서, 이 파라미터는, 사용자들이 라이센스 식별자를 우선 제시한다면, 이에 따라 사용자들이 자신들의 애플리케이션을 위해 방화벽에서 접속을 확립할 권한을 얻을 수 있도록 허용하는 라이센스 식별자로서 기능한다. 반면에, 종래 기술에서는, 위임 파라미터가, 수신된 메시지의 성질 또는 출처에 의해 강요되며 예를 들어 애플리케이션용으로 사용되는 프로토콜 또는 소스 어드레스로 구성된다. 따라서 이 위임 파라미터는 애플리케이션에 의해 방화벽과 통신되는 데이터에 자동적으로 및 무조건적으로 존재하게 된다.
사용자의 자발적인 액션에 의한 본 발명의 방법을 확인하는 모드는 알려져 있는 기술과 크게 대조되며, 여기서 사용자는 실제로 특정한 액션을 취하지 않으며, 파라미터에 따라 소팅(sorting)을 전달하는 것을 담당하는 방화벽은 본질적으로 애플리케이션의 데이터에 링크되었다.
본 발명의 방법에 의해 문헌 EP-A2-0.910.197에 대한 방화벽의 신뢰도를 상당히 개선할 수 있는 한편, 관련된 게이트웨이의 관리자의 로드를 경감시킨다. 특히, 시스템이 침투되는 것을 방지할 수 있고 그 보안 규칙이 고정된 기준을 만족하는 해적 애플리케이션에 의해 변경되는 것을 방지할 수 있다. 또한, 필요한 처리 리소스를 상당히 방해하는 리스크를 야기하는 필터링 규칙의 증가를 요구하지 않고서 그러한 결과를 얻는다.
인가된 애플리케이션은 접속의 현재 및 미래의 특성을 알고 있으며, 안전한 게이트웨이에서 인가된 접속 리스트를 급속히 갱신할 수 있다. 이러한 동작들은 게이트웨이 관리자에 대하여 높은 레벨의 보안성을 갖고 투명하게 전달될 수 있다.
바람직한 실시예에서, 보안 방법은 다음과 같은 이점을 얻게 된다.
- 인가를 정교한 필터과 결합하는 한편 애플리케이션에 그 인가를 위임하여 안전한 게이트웨이를 통과하는 가능성
- 게이트웨이 관리자의 태스크의 간략화
- 애플리케이션의 특성이 고려되기 때문에, 적어도 종래 시스템의 보안 레벨에 등가인 보안 레벨의 획득
- 악의적인 공격에 대하여 향상된 신뢰도
또한, 본 발명은 본 발명의 보안 방법을 적어도 부분적으로 수행하는 특정한 보안 시스템에 관한 것이다. 이러한 보안 시스템은 방화벽에 내장되거나 독립형 외장 장치의 형태를 취할 수 있다. 또한, 보안 시스템은 여러 부분으로 분리될 수 있으며, 그중 일부만 방화벽에 내장되고 나머지는 내장되지 않을 수 있다.
본 발명의 보안 방법을 위해 구성된 방화벽용 보안 시스템은,
방화벽을 통한 접속을 갖도록 제공된 애플리케이션과의 통신 수단과,
위임 파라미터가 저장 공간에 기록되어 있는 적어도 하나의 참조 파라미터를 따를 때, 애플리케이션을 방화벽을 통하여 접속을 확립할 수 있는 것으로서 인식하도록 제공되며, 애플리케이션에 의해 공급되는 적어도 하나의 위임 파라미터를 식별하는 수단과,
방화벽을 통하여 접속을 확립하는 코맨드 수단을 포함하며, 이 코맨드는 애플리케이션으로부터 발생하는 요청에 기초한다.
본 발명의 보안 방법은, 위임 파라미터가 참조 파라미터에 따르면 접속을 확립할 권한을 적어도 부분적으로 이 애플리케이션에 위임할 수 있는 (방화벽에 내장된 형태거나 독립형인) 보안 시스템에 의해 이용된다. 보안 시스템은 (애플리케이션 고유의 성질 또는 그 소스 고유의 성질에 기초하지 않고) 애플리케이션 사용자에게 참조 파라미터를 미리 전송하는 것에 기초하여 위임 파라미터에 적용된다. 이후, 사용자는 관심 대상인 애플리케이션이 방화벽을 통해 전송을 실행하려 할 때마다 이 코드를 생성해야 한다.
보안 시스템의 기본적인 형태에 있어서, 참조 파라미터는 결정되어 있으며 보안 시스템의 사용자에게 독립적으로 통신된다. 이를 위해, 예를 들어, 방화벽 운용자는 비밀 코드 또는 패스워드의 형태인 참조 파라미터를 선택하여 이를 임의의 허용된 사용자에게 안전한 방식으로 전송한다. 이러한 전송은 특히 메일, 이메일, 또는 전화에 의해 실행될 수 있다. 허용된 사용자는 특히 정기적으로 갱신된 리스트에 의해 식별될 수 있으며, 그 허용은 특정 서명 지불에 기초하여 필요시 가능해진다.
보안 시스템의 다른 실시예는 이 시스템내에 본 발명에 고유한 모듈을 포함한다.
따라서, 방화벽용 보안 시스템의 제1 특정 형태에서, 후자는 참조 파라미터를 생성하는 수단을 더 포함하며, 이러한 생성 수단은 저장 공간에 기록되는 참조 파라미터를 자동 발생하는 수단을 포함한다.
참조 파라미터의 자동 발생은, 방화벽 관리자의 태스크를 경감할 수 있으며 관리자에 의해 결정된 선택보다 보다 높은 보안 레벨을 갖는 복잡한 코드를 생성할 수 있다. 또한, 바람직한 실시예에서, 참조 파라미터는 정기적으로, 예를 들어, 매달 변경된다. 후자의 실시예에서는, 위임 체크의 신뢰도를 높이지만, 참조 파라미터가 변경될 때마다 새로운 코드를 선택하여 모든 허용된 사용자들에게 전송하는 네트워크 관리자에게는 번거롭다. 또한, 시스템 보안성 레벨에 손해를 가하면서 이전에 이미 선택된 코드와 유사한 코드를 선택하기가 매우 쉬울 수 있다.
보안 시스템에 자동 발생 수단을 포함함으로써 관리자의 태스크를 상당히 줄일 수 있으며, 이것은 각 변경시에 사용될 새로운 코드를 관리자에게 자동 공급할 수 있다.
하드웨어 측면에서 볼 때, 자동 발생 수단은 보안 장치의 다른 수단과 별도로 구현될 수 있다. 또한, 이러한 수단은 특히 방화벽으로부터 별도의 장치에서 다른 수단과 결합될 수 있거나 방화벽에 직접 내장될 수 있다.
방화벽용 보안 시스템의 제2 특정 형태에 있어서, 후자는 참조 파라미터를 생성하는 수단을 더 포함하며, 이 생성 수단은, 저장 공간에 참조 파라미터의 임의의 새로운 기록시에, 참조 파라미터를 허용된 사용자 리스트에게 자동 분포하기 위한 코맨드 수단을 포함한다.
이 실시예를 이용함으로써 참조 파라미터의 주기적인 변경이 행해질 때 특히 워크 관리자에 의해 실행되는 동작을 줄일 수 있다. 허용된 사용자 리스트가 클 때, 예를 들어, 기업 또는 빌딩 근거리 통신망의 경우에 특히 가치있다. 실제로, 이 리스트는 예를 들어 도착 또는 출발에 따라 또는 상이한 사람들에게 허가되는 권한에 따라 가변적인 복잡하고 변경가능한 위험성을 갖고 있다. 따라서, (예를 들어, 암호화, 인증, 및/또는 제어되는 통신 네트워크와 같이 알려져 있는 수단에 따른) 바람직하게는 안전한 자동 분포는 번거로운 수작업을 방지할 수 있고, 전송 비용을 줄일 수 있으며, 그리고/또는 에러 위험을 줄일 수 있다.
"생성"이라는 용어는 제공의 넓은 의미로 이해되며, 여기서 후자는 네트워크 관리자, 애플리케이션 사용자, 또는 이들 모두의 이점을 위해 이용된다.
개선된 실시예에서, 자동 분포를 위한 코맨드 수단은, 사용자가 허용된 사용자 리스트에 등록되어 있을 때 참조 파라미터를 임의의 새로운 허용된 사용자와 통신할 수도 있다.
제1 및 제2 특정 실시예는 이점을 갖도록 조합되어, 참조 파라미터가 자동 결정되어 허용된 모든 사용자들에게 자동으로 통신된다.
또한, 바람직하게 본 발명의 보안 시스템에 의해, 자동 발생 수단 및 자동 전송 수단 뿐만 아니라, 허용된 사용자들에게의 독립적인 전송의 확인 및/또는 참조 파라미터를 수동으로 도입하는 수단을 가능하게 한다. 따라서, 특히, 적용가능한 참조 파라미터는 코맨드 수단이 활성화되도록 자동 분포할 필요없이 새로운 사용자에게 통신될 수 있다. 전송 확인을 이용함으로써 관련된 사용자가 이미 현재의 참조 파라미터를 갖고 있으며 이에 따라 그 참조 파라미터를 더이상 사용자에게 전송할 필요가 없음을 분포용 코맨드 수단에 통지할 수 있다.
바람직하게, 상기한 바와 같이, 보안 시스템은 생성 수단을 주기적으로 활성화하는 수단을 포함한다. 이 활성화는 특히 새로운 참조 파라미터의 자동 발생(제1 특정 형태), 및/또는 허용된 사용자들에 대한 참조 파라미터의 자동 분포 코맨드(제2 특정 형태)에 관련될 수 있다.
참조 파라미터의 자동화된 주기적인 전송은 바람직하게 새로운 파라미터의 자동 발생의 공동 이용에 기초하지만, 새로운 참조 파라미터의 선(advance) 수동 기록, 특히 방화벽 관리자에 의한 선 수동 기록에 기초할 수도 있다. 후자의 경우, 이점을 갖는 양상에 따라, 파라미터가 이전에 수정되었는지 여부에 상관없이 필요로 하는 간격으로 주기적인 분포가 실행된다.
바람직하게, 보안 시스템은, 소정의 선택 기준 함수로서 코맨드 수단에 의한 접속 확립을 위한 코맨드를 필터링하도록 제공되는 접속 필터링 수단을 포함한다.
사용자에 의해 애플리케이션이 부가되는 필드를 고려하는 한 쪽과 접속에 관한 다른 파라미터를 이용하는 다른 쪽 간의 커플링이 특히 유용하다. 실제로, 이를 이용하여 애플리케이션에 대하여 허가된 권한을 신뢰성있게 확인할 수 있다.
따라서, 필터링의 제1 형태에 따라, 하나 이상의 어드레스 및/또는 소스 포트 및/또는 목적지 포트에 기초하여 접속들중 적어도 하나를 배제하도록 접속 필터링 수단이 제공된다.
(제1 형태와 조합되어 이점을 갖는) 필터링의 제2 형태에 따라, 소정의 확인 주기 동안에만 위임 파라미터를 위한 코맨드 수단에 의해 접속 확립을 위한 코맨드를 인가하도록 접속 필터링 수단이 제공된다.
따라서, 라이센스는 제한된 주기 동안에만 안전한 게이트웨이에서 접속을 인가하도록 사용자에게 허가될 수 있다. 이러한 사전 조치를 이용함으로써 라이센스 식별자를 얻을 수 있는 인가되지 않은 제삼자에 의한 위임 파라미터의 부정 유용의 위험성을 줄일 수 있다. 반면에, 이러한 형태의 필터링은, 예를 들어 필요시에 사설 네트워크의 관리자에 의해 규정되는 보상으로 주기적으로 새롭게 될 수 있는 권한 허가를 인가한다.
상기한 바와 조합되어 이점을 갖는 다른 형태의 필터링에 따라, 소정의 사용자들을 인가하기 위해 그리고/또는 소정의 사용자를 배제하기 위해, 소정의 어드레스 및/또는 소스 포트 및/또는 목적지 포트만을 위하여 접속 확립을 위한 코맨드를 인가하도록 접속 필터링 수단이 제공된다.
바람직하게, 라이센스 식별자의 형태로 위임 파라미터를 식별하도록 식별 수단이 제공된다.
또한, 보안 시스템의 이점은,
- 위임 파라미터를 인증하는 수단 및/또는
- 위임 파라미터를 암호 해제하는 수단을 포함한다.
이러한 실시예를 이용함으로써, 시스템의 신뢰도를 더 향상시킬 수 있는 한편, (인증 증명서에 의해) 라이센스의 위조를 방지하며, 위임 파라미터를 안전하게 하도록 하는 알려져 있는 암호 기술을 이용함으로써 그리고/또는 관리자에 의해 증명된 라이세스만이 유효한 것이다.
또한, 본 발명은, 방화벽이 본 발명의 임의의 형태중 하나에 따르는 보안 시스템을 포함하는 것을 특징으로 하는 방화벽에 관한 것이다.
본 발명의 보안 방법은 바람직하게 상기한 본 발명의 실시예들중 임의의 하나에 따르는 보안 시스템에 의해 구현된다.
본 발명은, 프로그램이 컴퓨터 상에서 실행될 때, 본 발명에 따른 보안 방법의 단계들의 실행을 위한 그 프로그램의 코드 명령을 포함하는 컴퓨터 프로그램 제품에도 동일하게 적용된다. "컴퓨터 프로그램 제품"은, 디스켓 또는 카세트와 같이 프로그램을 포함하는 저장 공간뿐만 아니라 전기 신호나 광학 신호와 같은 신호로 구성되는 컴퓨터 프로그램 매체를 의미한다.
본 발명은, 첨부 도면을 참조하여 다음에 따르는 다양한 예시적인 실시예 및 구현예에 의해 더 잘 이해될 것이다.
도 1과 2에서, 모듈은 기능성 유닛으로 표현되며, 이것은 물리적으로 구별가능한 유닛에 대응하거나 대응하지 않을 수 있다. 예를 들어, 이러한 모듈 또는 이들중 소정의 일부는 단일 구성 요소에서 조합될 수 있으며, 또는 하나의 동일한 소프트웨어 프로그램의 기능성을 구성할 수 있다. 반면에, 소정의 모듈은 필요시에 별도의 물리적 엔티티로 구성될 수 있다.
국내 네트워크와 같은 근거리 통신망(LAN; 4)과 인터넷과 같은 원거리 통신망(WAN; 5) 간에 개재된 안전한 게이트웨이(10)(도 1)는, 방화벽으로서 기능하며, 보안 시스템(1) 및 네트워크 어드레스 번역 모듈(NAT; 2)을 포함한다.
근거리 통신망(4)은 예를 들어 단말(A1, A2) 및 원거리 통신망(4)과 같은 장치를 예를 들어 서버(B)와 같은 장치에 상호접속한다.
(도 2) 보안 시스템(1)(도 2)은 아래와 같은 보다 상세한 엔티티인,
- 근거리 통신망(4) 또는 원거리 통신망(5)으로부터 발생하는 애플리케이션(APP)과의 통신을 위한 보안 시스템(1)의 모듈(11)과,
- 접속 인가 위임이 효율적이도록, 라이센스 식별자는 이미 사용자에 의해 애플리케이션(APP)에 직접적으로 부착되어 있거나 사용자에 의해 공급되는 데이터에 기초하여 그 효율 목적을 위해 메카니즘을 통하여 부착되어 있으며, 참조 파라미터(PARA0)는 필요시 게이트웨이(10)의 관리자에 의해 수정될 수 있고, 게이트웨이(10)의 저장 공간(30)에 기록되어 있는 참조 파라미터(PARA0)와의 비교에 의해, 애플리케이션(APP)에 의해 공급되는 유효 라이센스 식별자의 식별을 위한 모듈(12)과,
- 애플리케이션(APP)으로부터 발생하는 요청에 따라 게이트웨이(10)를 통한 접속 확립을 위한 코맨드 모듈(13) - 애플리케이션(APP)은, 일단 신뢰성있는 것으로 인식되면, 새로운 접속 확립을 인가하거나 인가하지 않는 코맨드(CMD)를 발행하도록 관리자를 대신할 수 있음 - 과,
- 저장 공간(30)에 기록되어 있는 선택 기준(CRIT)에 따라 코맨드 모듈(13)에 의한 접속 확립을 위한 코맨드를 필터링하도록 제공된 접속 필터링 모듈(14) - 이러한 기준(CRIT)은 예를 들어 명백한 인가 또는 배제에 의한 소정의 사용자 및/또는 소정의 어드레스 및/또는 외부 포트 및/또는 내부 포트(소스/목적지)에 대하여 그리고 시간에 대하여 허가된 라이센스의 범위를 제한하는데 이용되고, 기준(CRIT)은 관리자에 의해 수정될 수 있지만, 애플리케이션 또는 허용된 사용자에 의한 원격 수정을 위해 제공될 수도 있음 - 과,
- 인증 증명서를 통한 라이센스 식별자를 인증하기 위한 모듈(15)과,
- 라이센스 식별자를 복호화하기 위한 모듈(16)을 포함한다.
보안 시스템(1)은 참조 파라미터(PARA0)의 생성을 위한 어셈블리(20)를 더 포함하며, 이것은 아래와 같은 구성 요소인,
- 예를 들어, 알려져 있는 랜덤 발생 기술에 따른 참조 파라미터(PARA0)의 자동 발생을 위한 모듈(21) - 발생 모듈(21)은 상당히 복잡한 코드를 발생하여 쉽게 파손되는 것을 방지함 - 과,
- (우선 순위를 갖지만 반드시 안전한 게이트웨이(10)의 관리자일 필요는 없는) 보안 시스템 관리자(1)에 의한 참조 파라미터(PARA0)의 도입을 위한 모듈(22) - 이 도입 모듈(22)은 발생 모듈(21)의 자동 해결책을 보완하도록 수동 해결책을 제시함 - 과,
- 도입 모듈(22)로부터 또는 자동 발생 모듈(21)로부터 발생하는 파라미터(PARA0)를 저장 공간(30)에 자동 기록하기 위한 모듈(23)과,
- 안전한 전송 모듈(25)을 통해 저장 공간(30)에서 이용가능한 허용된 사용자의 리스트(LIST)에 참조 파라미터(PARA0)의 자동 분포를 위한 코맨드 모듈(24) - 코맨드 모듈(24)은 발생 모듈(21) 또는 도입 모듈(22)에 기초하여 참조 파라미터(PARA0)의 임의의 새로운 엔트리가 존재할 때 활성화되도록 제공되며, 리스트(LIST)에 새롭게 기록된 임의의 사용자에게 파라미터(PARA0)를 전송할 수도 있음 - 을 포함한다.
또한, 보안 시스템(1)의 주기적 활성화를 위한 모듈(26)은, 참조 파라미터(PARA0)의 도입을 위한 어셈블리를 주기적으로 활성화하는 것을 담당하며, 이 모듈은 파라미터(PARA0)를 갱신하여 허용된 사용자에게 통신하는데 자동적으로 이용된다.
동작시, 게이트웨이(10)의 관리자는, 안전한 수단에 의해 소정의 사용자와 라이센스 식별자(코드)를 통신함으로써 그 사용자들에게 라이센스를 우선 허가한다.
애플리케이션(APP)과 게이트웨이(10)와의 각 통신에 대하여, 허용된 사용자는 이 라이센스 식별자를 애플리케이션(APP)에 부가한다. 게이트웨이(10)의 보안 시스템(1)이 그 라이센스가 유효한 것으로 인식하면, 보안 시스템은, 부여될 수 있는 제한적인 조건을 받는 (관리자를 대신하여) 애플리케이션(APP)에게 접속 인가를 위임한다.
주기적으로(예를 들어 매달마다), 라이센스 식별자는 변경되며, 허용된 사용자는 자신의 애플리케이션(APP)에서 사용될 새로운 대응 코드를 수신한다.
다른 실시예에서, 보안 시스템(1)은 근거리 통신망(4)에서 발생하는 메시지에만 적용된다. 원거리 통신망(5)으로부터 발생하는 애플리케이션에 의해 요구되는 접속에 대해서는, 예를 들어 게이트웨이(10)의 관리자의 명백한 인가에 의해 또는 소정의 기준에 따른 각 경우에 결정된다. 따라서, 보안 시스템(1)에 의한 사용권한 허가 능력은 근거리 통신망(4)의 사용자로 제한된다.
반면에, 또다른 실시예에서, 보안 시스템(1)은 원거리 통신망(5)으로부터 발생하는 메시지에만 적용된다. 접속을 인가하는 사용권한을 애플리케이션이 갖는지 여부를 정하도록 소정의 규칙이 예를 들어 근거리 통신망(4)으로부터 발생하는 애플리케이션용으로 이용된다. 따라서, 근거리 통신망(4)의 사용자가 따라야 하는 프로시저가 경감된다.
일반적으로, 보안 시스템(1)을 게이트웨이(10)를 통과하는 모든 애플리케이션에 적용하는 것은 사용자에 대하여 제약을 별로 두지 않게 되며 잠재적으로 내외장형 모두가 유용하다.
본 발명에 따라, 악의적인 공격 위험성이 상당한 감소할 수 있으며, 방화벽이 제공된 안전한 게이트웨이의 관리자의 태스크를 상당히 간략화할 수 있다.
도 1은 본 발명에 따른 보안 시스템을 갖춘, 근거리 통신망(LAN) 및 원거리 통신망(WAN) 간에 배치된 게이트를 나타내는 도면.
도 2는 도 1의 보안 시스템의 상세 원리를 나타내는 블록도.
* 도면의 주요 부분에 대한 부호 설명 *
1 보안 시스템
2 네트워크 어드레스 번역 모듈
4 근거리 통신망
5 원거리 통신망
10 게이트웨이
13 코맨드 모듈

Claims (13)

  1. 방화벽(10)용 보안 시스템(1)으로서,
    상기 방화벽(10)을 통하여 접속하도록 제공되는 애플리케이션(APP)과 통신하는 수단(11)과,
    위임 파라미터가 저장 공간(30)에 기록되어 있는 적어도 하나의 참조 파라미터(PARA0)를 따를 때, 상기 애플리케이션을 상기 방화벽(10)을 통하여 접속을 확립할 수 있는 것으로 인식하도록 제공되며, 상기 애플리케이션(APP)에 의해 공급되는 적어도 하나의 상기 위임 파라미터를 식별하는 수단(12)과,
    상기 방화벽(10)을 통하여 접속을 확립하는 코맨드 수단(13)을 포함하며,
    상기 코맨드(CMD)는 상기 애플리케이션(APP)으로부터 발생하는 요청에 기초하고,
    상기 참조 파라미터(PARA0)를 생성하는 수단(20)을 더 포함하며,
    상기 생성 수단(20)은 상기 저장 공간(30)에 기록될 상기 참조 파라미터(PARA0)를 자동 발생하는 수단(21)을 포함하는 보안 시스템.
  2. 방화벽(10)용 보안 시스템(1)으로서,
    상기 방화벽(10)을 통하여 접속하도록 제공되는 애플리케이션(APP)과 통신하는 수단(11)과,
    위임 파라미터가 저장 공간(30)에 기록되어 있는 적어도 하나의 참조 파라미터(PARA0)를 따를 때, 상기 애플리케이션을 상기 방화벽(10)을 통하여 접속을 확립할 수 있는 것으로 인식하도록 제공되며, 상기 애플리케이션(APP)에 의해 공급되는 적어도 하나의 상기 위임 파라미터를 식별하는 수단(12)과,
    상기 방화벽(10)을 통하여 접속을 확립하는 코맨드 수단(13)을 포함하며,
    상기 코맨드(CMD)는 상기 애플리케이션(APP)으로부터 발생하는 요청에 기초하고,
    상기 참조 파라미터(PARA0)를 생성하는 수단(20)을 더 포함하며,
    상기 생성 수단(20)은, 상기 저장 공간(30)에서 상기 참조 파라미터(PARA0)의 임의의 새로운 기록시에, 상기 참조 파라미터(PARA0)를 허용된 사용자들의 리스트에 자동 분포하기 위한 코맨드 수단(22)을 포함하는 보안 시스템.
  3. 제2항에 있어서,
    제1항의 보안 시스템에도 따르는 보안 시스템.
  4. 제2항 또는 제3항에 있어서,
    자동 분포를 위한 상기 코맨드 수단(22)은, 새롭게 허용된 사용자가 상기 허용된 사용자들의 리스트에 등록되어 있을 때, 상기 참조 파라미터(PARA0)를 임의의 상기 새롭게 허용된 사용자에게 통신할 수도 있는 보안 시스템.
  5. 제1항 내지 제4항중 어느 한 항에 있어서,
    상기 생성 수단(20)을 활성화하는 주기적 수단(26)을 포함하는 보안 시스템.
  6. 제1항 내지 제5항중 어느 한 항에 있어서,
    소정의 선택 기준(CRIT) 함수로서, 상기 코맨드 수단(13)에 의한 접속 확립을 위한 코맨드를 필터링하도록 제공되는 접속 필터링 수단(14)을 포함하는 보안 시스템.
  7. 제6항에 있어서,
    상기 접속 필터링 수단(14)은, 적어도 하나의 소스 어드레스, 적어도 하나의 목적지 어드레스, 적어도 하나의 소스 포트, 및 적어도 하나의 목적지 포트로부터 선택된 선택 정보중 적어도 하나의 아이템에 기초하여 상기 접속중 적어도 하나를 수행하도록 제공되는 보안 시스템.
  8. 제6항 또는 제7항에 있어서,
    상기 접속 필터링 수단(4)은, 소정의 유효 기간 동안에만 상기 위임 파라미터에 대하여, 상기 코맨드 수단(13)에 의한 상기 접속 확립을 위한 코맨드를 인가하도록 제공되는 보안 시스템.
  9. 제1항 내지 제8항중 어느 한 항에 있어서,
    상기 위임 파라미터를 인증하는 수단(15)을 포함하는 보안 시스템.
  10. 제1항 내지 제9항중 어느 한 항에 있어서,
    상기 위임 파라미터를 복호화하는 수단(16)을 포함하는 보안 시스템.
  11. 제1항 내지 제10항중 어느 한 항에 따르는 보안 시스템(1)을 포함하는 방화벽(10).
  12. 방화벽(10)용 보안 방법으로서,
    상기 방화벽(10)을 통한 접속을 위해 제공되는 애플리케이션(AP)과의 통신 단계와,
    상기 애플리케이션에 의해 공급되는 적어도 하나의 위임 파라미터를 자동 식별하고, 상기 위임 파라미터가 저장 공간(30)내에 기록되어 있는 적어도 하나의 참조 파라미터(PARA0)에 따를 때 상기 방화벽(10)을 통하여 접속을 확립할 수 있는 것으로서 상기 애플리케이션(APP)을 자동 인식하는 단계와,
    상기 방화벽(10)을 통하여 접속을 자동 확립하는 코맨드 실행 단계
    를 포함하고,
    상기 코맨드(CMD)는 상기 애플리케이션(APP)으로부터 발생하는 요청에 기초하며,
    상기 위임 파라미터(PARA0)로서 공급될 상기 참조 파라미터를, 상기 애플리케이션(APP)의 적어도 하나의 사용자에게 미리 전송하는 단계를 더 포함하는 방법.
  13. 컴퓨터 상에서 프로그램이 실행될 때 제12항에 따른 보안 방법의 단계들을 실행하기 위한 상기 프로그램의 코드 명령을 포함하는 컴퓨터 프로그램 제품.
KR1020050003835A 2004-01-15 2005-01-14 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법 KR20050075308A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0450089A FR2865337B1 (fr) 2004-01-15 2004-01-15 Systeme et procede de securite pour coupe-feu et produit associe
FR0450089 2004-01-15

Publications (1)

Publication Number Publication Date
KR20050075308A true KR20050075308A (ko) 2005-07-20

Family

ID=34708029

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050003835A KR20050075308A (ko) 2004-01-15 2005-01-14 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법

Country Status (6)

Country Link
US (1) US20050188197A1 (ko)
JP (1) JP2005202970A (ko)
KR (1) KR20050075308A (ko)
CN (1) CN1642174A (ko)
FR (1) FR2865337B1 (ko)
MX (1) MXPA05000541A (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070276950A1 (en) * 2006-05-26 2007-11-29 Rajesh Dadhia Firewall For Dynamically Activated Resources
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
CN104852909B (zh) * 2015-04-24 2019-07-09 新华三技术有限公司 一种攻击检测规则的开启方法和设备
US10341293B2 (en) * 2017-02-22 2019-07-02 Honeywell International Inc. Transparent firewall for protecting field devices

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6484258B1 (en) * 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
DE10147147A1 (de) * 2001-09-25 2003-04-24 Siemens Ag Verfahren und Vorrichtung zur Realisierung einer Firewallanwendung für Kommunikationsdaten
US20030233582A1 (en) * 2002-04-09 2003-12-18 Ram Pemmaraju Methods and apparatus for a computer network firewall which can be configured dynamically via an authentication mechanism
JP4217455B2 (ja) * 2002-10-15 2009-02-04 キヤノン株式会社 周辺装置、情報処理方法、および制御プログラム
US20040088176A1 (en) * 2002-11-04 2004-05-06 Balaji Rajamani System and method of automated licensing of an appliance or an application

Also Published As

Publication number Publication date
MXPA05000541A (es) 2005-08-29
CN1642174A (zh) 2005-07-20
FR2865337A1 (fr) 2005-07-22
US20050188197A1 (en) 2005-08-25
JP2005202970A (ja) 2005-07-28
FR2865337B1 (fr) 2006-05-05

Similar Documents

Publication Publication Date Title
US11647003B2 (en) Concealing internal applications that are accessed over a network
US7441265B2 (en) Method and system for session based authorization and access control for networked application objects
US7428754B2 (en) System for secure computing using defense-in-depth architecture
US8156231B2 (en) Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal
US8146145B2 (en) Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US9781114B2 (en) Computer security system
US6804777B2 (en) System and method for application-level virtual private network
US8490153B2 (en) Automatically generating rules for connection security
US20030131245A1 (en) Communication security system
US20020162026A1 (en) Apparatus and method for providing secure network communication
Denniss et al. Oauth 2.0 for native apps
CA2556549A1 (en) Ip for switch based acl's
EP1760988A1 (en) Multi-level and multi-factor security credentials management for network element authentication
KR20050075308A (ko) 방화벽용 및 관련 제품을 위한 보안 시스템 및 방법
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
CN115996381B (zh) 一种无线专网的网络安全管控方法、系统、装置及介质
Denniss et al. RFC 8252: OAuth 2.0 for Native Apps
EP1689144A1 (en) Security system and method for firewall and associated product
CN117896059A (zh) 一种基于量子安全网关和量子零信任物联组网一体机系统
Kumar DATA SECURITY IN LOCAL NETWORK USING DISTRIBUTED FIREWALL
WO2023028094A1 (en) System and method for providing dual endpoint access control of remote cloud-stored resources
WO2023170504A1 (en) Secure remote connection enabling system
Prasetijo et al. Firewalling a Secure Shell Service
Gollmann Secure applications without secure infrastructures
AU2002322451A1 (en) Apparatus and method for providing secure network communication

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid