KR20130032590A - Appratus for connection multitude network using virtualization and method thereof - Google Patents

Appratus for connection multitude network using virtualization and method thereof Download PDF

Info

Publication number
KR20130032590A
KR20130032590A KR1020110096275A KR20110096275A KR20130032590A KR 20130032590 A KR20130032590 A KR 20130032590A KR 1020110096275 A KR1020110096275 A KR 1020110096275A KR 20110096275 A KR20110096275 A KR 20110096275A KR 20130032590 A KR20130032590 A KR 20130032590A
Authority
KR
South Korea
Prior art keywords
virtual machine
data
network
virtual
communication network
Prior art date
Application number
KR1020110096275A
Other languages
Korean (ko)
Other versions
KR101286978B1 (en
Inventor
김영환
김종천
Original Assignee
(주)휴네시온
김종천
김영환
(주)씨앤엠라이즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴네시온, 김종천, 김영환, (주)씨앤엠라이즈 filed Critical (주)휴네시온
Priority to KR1020110096275A priority Critical patent/KR101286978B1/en
Publication of KR20130032590A publication Critical patent/KR20130032590A/en
Application granted granted Critical
Publication of KR101286978B1 publication Critical patent/KR101286978B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results

Abstract

PURPOSE: A multiple network linking device using virtualization and a method thereof are provided to minimize a malicious invasion possibility by blocking unpermitted data between an external network and an internal network. CONSTITUTION: First to third virtual machines(130,150,170) is installed while a starting point communication network and a destination communication network are not connected with each other. If data received from the starting point communication network is permitted on a preset policy, a virtual communication channel is formed between the virtual machine connected with the starting point communication network and the virtual machine connected with the destination communication network. Communication is performed only for the permitted data through the virtual communication channel. The data is transmitted from the starting point communication network to the destination communication network. [Reference numerals] (100) Network linking device; (110) Virtualization driving unit; (130) First virtual machine; (150) Second virtual machine; (170) Third virtual machine; (300) Control console; (500) External network; (700) Internal network;

Description

가상화를 이용한 다중망 연계장치 및 방법{Appratus for Connection Multitude Network using Virtualization and Method thereof}Apparatus for connection multitude network using virtualization and method

본 발명은 가상화를 이용한 다중망 연계장치 및 방법에 관한 것으로, 더욱 상세하게는 외부망과 내부망 사이가 완전히 분리된 상태에서 정책에 허용된 데이터만 가상의 통신채널을 통해 전송되도록 하는 가상화를 이용한 다중망 연계장치 및 방법에 관한 것이다.The present invention relates to a multi-network interconnection apparatus and method using virtualization, and more particularly, using virtualization such that only data allowed by a policy is transmitted through a virtual communication channel in a completely separated state between an external network and an internal network. It relates to a multi-network linkage device and method.

오늘날 거의 모든 업무는 네트워크를 바탕으로 이루어지며, 네트워크가 연결되었을 때 필연적으로 의도하지 않은 형태로 데이터가 유출되거나 업무 서버가 악의적인 의도로 인해 마비되는 경우가 발생할 수 있다.Today, almost all work is network-based, and when a network is connected, it can inevitably lead to unintended data leakage or paralysis of business servers due to malicious intentions.

네트워크를 통한 외부로부터의 악의적 침입을 근본적으로 차단할 수 있는 강력한 방법으로 기업이나 공공기관 등에서는 망 분리를 통해 외부망을 근본적으로 차단함으로써 내부망에 위치한 주요 데이터들에 대한 보안을 유지하고 있다.As a powerful way to fundamentally block malicious intrusion from the outside through the network, companies and public organizations maintain the security of key data located in the internal network by fundamentally blocking the external network through network separation.

종래의 망 분리 장치는 도 1에 도시한 바와 같이, 외부망(10)과 내부망(50) 사이에 스토리지(30)를 구비하고, 스토리지(30)와 외부망(10) 사이 및 스토리지(30)와 내부망(40) 사이에 각각 제1연계서버(20) 및 제2연계서버(40)를 구비한다.As shown in FIG. 1, a conventional network separation device includes a storage 30 between an external network 10 and an internal network 50, and between the storage 30 and the external network 10 and the storage 30. And a first connection server 20 and a second connection server 40 between the internal network 40 and respectively.

제1연계서버(20) 및 제2연계서버(40)에는 미리 설정된 정책이 저장되며, 외부망(10) 또는 외부망(50)으로부터 전송된 데이터의 허용 여부를 결정한다.The first connection server 20 and the second connection server 40 store a predetermined policy, and determine whether to allow data transmitted from the external network 10 or the external network 50.

스토리지(30)의 내부는 외부망 영역(미도시)과 내부망 영역(미도시)으로 나누어져 있고, 외부망(10)에서 전송된 데이터를 내부망 영역으로 복사하거나 또는 내부망(50)에서 전송된 데이터를 외부망 영역으로 복사하는 방식으로 데이터를 전송시키게 된다.The interior of the storage 30 is divided into an external network area (not shown) and an internal network area (not shown), and copy the data transmitted from the external network 10 to the internal network area or from the internal network 50. Data is transmitted by copying the transmitted data to the external network area.

따라서, 외부망(10)을 통해 제1연계서버(20)로 전송된 데이터가 정책에 따라 허용된 데이터이면 스토리지(30)의 외부망 영역으로 전송되고, 스토리지(30)에서는 외부망 영역에 전송된 데이터를 내부망 영역으로 복사하여 내부망(50)으로 데이터가 전송되게 된다.Therefore, if the data transmitted to the first connection server 20 through the external network 10 is allowed according to the policy, the data is transmitted to the external network area of the storage 30, and the storage 30 is transmitted to the external network area. The data is copied to the internal network area and the data is transmitted to the internal network 50.

반대로, 내부망(50)을 통해 제2연계서버(40)로 전송된 데이터가 정책에 따라 허용된 데이터이면 스토리지(30)의 내부망 영역으로 전송되고, 스토리지(30)에서는 내부망 영역에 전송된 데이터를 외부망 영역으로 복사하여 외부망(10)으로 데이터가 전송되게 된다.On the contrary, if the data transmitted to the second associated server 40 through the internal network 50 is allowed according to the policy, the data is transmitted to the internal network area of the storage 30, and the storage 30 is transmitted to the internal network area. The data is copied to the external network area and the data is transmitted to the external network 10.

그러나, 상기 제1연계서버(20) 또는 제2연계서버(40)에 보안 위협이 발생하여 데이터가 오염되면, 상기 외부망(10)과 내부망(50) 사이에서는 아무런 제한 없이 오염된 데이터가 전송되는 문제점이 있었다.However, if a data threat is generated due to a security threat occurring in the first connection server 20 or the second connection server 40, the contaminated data is not restricted between the external network 10 and the internal network 50 without any restriction. There was a problem with the transmission.

아울러, 종래의 망 분리 장치는 연계서버 2개와 스토리지 1개가 구비되어 총 3개의 장비가 필요하므로 설치비용이 많이 드는 문제점이 있었다.In addition, the conventional network separation device is provided with two associated servers and one storage, so a total of three pieces of equipment is required, resulting in a high installation cost.

본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 외부망과 내부망 사이에 구비된 하나의 장비에 서로 연결이 분리된 상태로 운영되는 가상머신을 구현하고, 외부망과 내부망 사이에서 데이터가 전송되려할 때 정책에 허용된 데이터에 대해서만 가상의 통신채널을 통해 전송되도록 하여, 허용되지 않은 데이터는 외부망과 내부망 사이에서의 전송을 차단시킴으로써 악의적 침입 가능성을 최소화할 수 있으며, 하나의 장비만을 이용하여 외부망과 내부망 사이를 분리시키므로 설치비용이 적게 드는 가상화를 이용한 다중망 연계장치 및 방법을 제공하는 것이다.The present invention has been made to solve the above-mentioned problems, implements a virtual machine operating in a state in which the connection is separated from each other in one device provided between the external network and the internal network, data between the external network and the internal network When data is to be transmitted, only the data allowed by the policy is transmitted through the virtual communication channel, so that unauthorized data can be blocked between the external network and the internal network, thereby minimizing the possibility of malicious intrusion. By using only the equipment to separate between the external network and the internal network to provide a multi-network linkage device and method using virtualization that is low installation cost.

전술한 목적을 달성하기 위한 본 발명의 가상화를 이용한 다중망 연계장치 및 방법은, 출발지통신망 및 목적지통신망 사이에 서로 연결이 단절된 상태로 구비된 복수의 가상머신을 포함하며; 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 것이면, 허용된 데이터에 대해서만 통신이 이루어질 수 있는 가상통신채널이 출발지통신망에 연결된 가상머신과 목적지통신망에 연결된 가상머신 사이에 형성되도록 하여; 출발지통신망에서 목적지통신망으로 데이터가 전송되도록 하는 것을 특징으로 한 가상화를 이용한 다중망 연계장치를 제공한다.Multi-network linkage apparatus and method using the virtualization of the present invention for achieving the above object comprises a plurality of virtual machines provided with a disconnected state between the source communication network and the destination communication network; If the data received from the source communication network is allowed in the preset policy, a virtual communication channel capable of communicating only with the allowed data is formed between the virtual machine connected to the source communication network and the virtual machine connected to the destination communication network; Provided is a multi-network interconnection apparatus using virtualization, characterized in that data is transmitted from a source communication network to a destination communication network.

상기 가상머신에는, 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 데이터이면 상기 출발지통신망과 연결 수립 후 목적지통신망을 향하여 데이터 전송을 요청하며, 허용되지 않은 데이터이면 차단시키는 제1커넥터서비스부와; 가상통신채널이 연결되며 상기 제1커넥터서비스부로부터 데이터 전송을 요청받으면 가상통신채널을 통해 목적지통신망을 향하여 데이터를 전송시키는 제1가상머신커넥터부로 이루어진 제1가상머신; 가상통신채널에 연결되며 상기 제1가상머신커넥터부로부터 전송된 데이터를 입력받아 목적지통신망을 향하여 전송시키는 제3가상머신커넥터부와; 상기 제3가상머신커넥터로부터 데이터 전송을 요청받으면 목적지통신망과 연결 수립 후 목적지통신망으로 데이터를 전송시키는 제2커넥터서비스부로 이루어진 제3가상머신; 및 정책이 설정되어 저장된 매니저서비스부와; 가상통신채널에 연결되며 가상통신채널을 통해 상기 매니저서비스부에 저장된 정책을 상기 제1가상머신으로 전송시키는 제2가상머신커넥터부로 이루어진 제2가상머신을 포함하여 구성될 수 있다.The virtual machine includes a first connector service unit for requesting data transmission to the destination communication network after establishing a connection with the source communication network if data received from the source communication network is allowed in a predetermined policy, and blocking data if not allowed. ; A first virtual machine comprising a first virtual machine connector connected to a virtual communication channel and transmitting data to the destination communication network through the virtual communication channel when a data transmission request is received from the first connector service unit; A third virtual machine connector unit connected to a virtual communication channel and receiving data transmitted from the first virtual machine connector unit and transmitting the data to a destination communication network; A third virtual machine including a second connector service unit configured to transmit data to a destination communication network after establishing a connection with a destination communication network when a data transmission request is received from the third virtual machine connector; And a manager service unit in which a policy is set and stored; The second virtual machine may include a second virtual machine connected to a virtual communication channel and configured to transmit a policy stored in the manager service unit to the first virtual machine through a virtual communication channel.

상기 제1가상머신에는 상기 제2가상머신으로부터 전송받은 정책이 저장된 제1보안정책부가 구비될 수 있다.The first virtual machine may be provided with a first security policy unit storing a policy received from the second virtual machine.

상기 제1커넥터서비스부는 정책에 허용된 데이터를 암호화한 후에 저장시킬 수 있다.The first connector service unit may store data after encrypting data allowed in the policy.

상기 가상머신을 구동시키는 가상화구동부가 포함되며, 가상머신과 가상머신 사이에 형성된 가상통신채널은 상기 가상화구동부를 거쳐 형성될 수 있다.A virtualization driving unit for driving the virtual machine is included, and a virtual communication channel formed between the virtual machine and the virtual machine may be formed via the virtualization driving unit.

상기 가상머신과 가상화구동부 사이에는 상기 가상머신을 선택적으로 각각 연결시키는 가상스위치가 구비될 수 있다.A virtual switch may be provided between the virtual machine and the virtual driver to selectively connect the virtual machine.

그리고, 전술한 목적을 달성하기 위한 본 발명의 가상화를 이용한 다중망 연계장치 및 방법은, 출발지통신망으로부터 데이터를 수신받아 정책에 허용되는지 비교하는 비교단계; 정책에 허용된 데이터이면, 서버 프록시를 생성하여 출발지통신망과 연결을 수립 후 가상통신채널을 형성하여 목적지통신망을 향해 연결을 요청하는 요청단계; 및 목적지통신망을 향해 연결이 요청되면 클라이언트 프록시를 생성하여 목적지통신망과 연결을 수립하는 연결단계; 를 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계방법을 제공한다.In addition, the multi-network linkage apparatus and method using the virtualization of the present invention for achieving the above object, a comparison step of receiving data from the source communication network to compare whether the policy is allowed; If the data is allowed in the policy, generating a server proxy and establishing a connection with the source communication network and forming a virtual communication channel to request a connection toward the destination communication network; And establishing a connection with the destination communication network by generating a client proxy when a connection request is made toward the destination communication network. It provides a multi-network connection method using virtualization, characterized in that configured to include.

상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용된 데이터이면 이를 암호화한 후에 저장시키는 단계를 포함할 수 있다.The comparing may include encrypting and storing the data received from the source communication network if the data is allowed in the policy.

상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용되지 않으면 차단시키는 단계를 포함할 수 있다.The comparing step may include blocking the data received from the source communication network if the policy is not allowed.

이상에서 설명한 바와 같은 본 발명의 가상화를 이용한 다중망 연계장치 및 방법에 따르면, 외부망과 내부망 사이에 구비된 하나의 장비에 서로 연결이 분리된 상태로 운영되는 가상머신을 구현하고, 외부망과 내부망 사이에서 데이터가 전송되려할 때 정책에 허용된 데이터에 대해서만 가상의 통신채널을 통해 전송되도록 하여, 허용되지 않은 데이터는 외부망과 내부망 사이에서의 전송을 차단시킴으로써 악의적 침입 가능성을 최소화할 수 있으며, 하나의 장비만을 이용하여 외부망과 내부망 사이를 분리시키므로 설치비용이 적게 드는 효과가 있다.According to the multi-network linkage apparatus and method using the virtualization of the present invention as described above, to implement a virtual machine operating in a state in which the connection is separated from each other in one device provided between the external network and the internal network, the external network When data is to be transferred between the network and the internal network, only the data allowed by the policy is transmitted through the virtual communication channel, thereby minimizing the possibility of malicious intrusion by blocking the transmission between the external network and the internal network. It is possible to separate the external network from the internal network by using only one device, thereby reducing the installation cost.

도 1은 종래의 망 분리장치를 설명하기 위하여 도시한 예시도이며,
도 2는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 예시도이며,
도 3은 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 도시한 블록도이며,
도 4는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 상세 블록도이며,
도 5는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계방법을 도시한 플로우차트이다.1 is an exemplary view showing to explain a conventional network separating apparatus,
2 is an exemplary view illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
3 is a block diagram illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
4 is a detailed block diagram illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
5 is a flowchart illustrating a multi-network linkage method using virtualization according to an embodiment of the present invention.

이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명하기 위하여, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention.

도 2는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 예시도이며, 도 3은 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 도시한 블록도이며, 도 4는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 상세 블록도이다.2 is an exemplary view showing a multi-network linkage apparatus using virtualization according to an embodiment of the present invention, Figure 3 is a block diagram showing a multi-network linkage apparatus using virtualization according to an embodiment of the present invention 4 is a detailed block diagram illustrating a multi-network interconnection apparatus using virtualization according to an embodiment of the present invention.

본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치는, 도 2에 도시한 바와 같이, 외부망(500)과 내부망(700) 사이에 하나의 장비로 구비되는 것으로, 내부에 제1가상머신(130), 제2가상머신(150) 및 제3가상머신(170)으로 이루어진 복수의 가상머신(Virtual Machine)이 구현된다.Multi-network linkage apparatus using virtualization according to an embodiment of the present invention, as shown in Figure 2, is provided with one equipment between the external network 500 and the internal network 700, the first inside A plurality of virtual machines including the virtual machine 130, the second virtual machine 150, and the third virtual machine 170 are implemented.

상기 다중망 연계장치(100)는 외부적으로 외부망접속부(101)와, 콘솔접속부(103)와, 내부망접속부(105)와, 디스플레이(107)가 구비된다.The multi-network linkage device 100 is externally provided with an external network connection portion 101, a console connection portion 103, an internal network connection portion 105, and a display 107.

외부망접속부(101)로 외부망(500)이 연결되고, 내부망접속부(105)로 내부망(700)이 연결되고, 콘솔접속부(103)로 제어콘솔(300)이 접속된다.The external network 500 is connected to the external network connection unit 101, the internal network 700 is connected to the internal network connection unit 105, and the control console 300 is connected to the console connection unit 103.

상기 외부망접속부(101), 내부망접속부(105) 및 콘솔접속부(103)에는 네트워크 인터페이스 카드(NIC; 미도시)가 각각 구비된다.The external network connection unit 101, the internal network connection unit 105, and the console connection unit 103 are each provided with a network interface card (NIC) (not shown).

상기 디스플레이(107)로는 상기 다중망 연계장치(100)의 각종 상태정보가 표시된다.
The display 107 displays various state information of the multi-network linkage device 100.

상기 다중망 연계장치(100)는 도 3 및 도 4에 도시한 바와 같이, 내부적으로 상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170) 및 가상화구동부(110)가 구현된다.As shown in FIGS. 3 and 4, the multi-network linkage apparatus 100 may internally include the first virtual machine 130, the second virtual machine 150, the third virtual machine 170, and the virtualization driver ( 110 is implemented.

상기 가상화구동부(110)는 상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170)을 구동시키는 기능을 수행하며, 가상화 하이퍼바이저(Hypervisor) 방식으로 구현된다.The virtualization driver 110 performs a function of driving the first virtual machine 130, the second virtual machine 150, and the third virtual machine 170, and is implemented in a virtualization hypervisor (hypervisor) method.

상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170)은 상기 가상화구동부(110)와의 사이에서 각각 제1가상스위치(113), 제2가상스위치(115) 및 제3가상스위치(117)로 분리되어 존재하게 된다.The first virtual machine 130, the second virtual machine 150, and the third virtual machine 170 are respectively disposed between the first virtual switch 113 and the second virtual switch 115 between the virtual driver 110. And the third virtual switch 117 is present.

상기 제1가상머신(130)과 제1가상스위치(113) 사이, 제2가상머신(150)과 제2가상스위치(115) 사이 및 제3가상머신(170)과 제3가상스위치(117) 사이에는 가상의 네트워크 인터페이스 카드(vNIC)가 각각 구현된다.Between the first virtual machine 130 and the first virtual switch 113, between the second virtual machine 150 and the second virtual switch 115 and the third virtual machine 170 and the third virtual switch 117 Each virtual network interface card (vNIC) is implemented in between.

상기 제1가상머신(130)은 vNIC와 제1가상스위치(113)를 통해 외부망(500)으로 연결되고, 상기 제2가상머신(150)은 vNIC와 제2가상스위치(115)를 통해 제어콘솔(300)로 연결되고, 상기 제3가상머신(170)은 vNIC와 제3가상스위치(117)를 통해 내부망(700)으로 연결된다.The first virtual machine 130 is connected to the external network 500 through the vNIC and the first virtual switch 113, the second virtual machine 150 is controlled through the vNIC and the second virtual switch 115 It is connected to the console 300, the third virtual machine 170 is connected to the internal network 700 through the vNIC and the third virtual switch 117.

따라서, 평상시에 가상머신과 다른 가상머신으로의 네트워크 연결은 상기 가상스위치(113, 115, 117)에 의해 연결이 단절된 상태가 되어 데이터 전송이 불가능한 상태가 된다.Therefore, the network connection between the virtual machine and the other virtual machine is normally disconnected by the virtual switches 113, 115, and 117, and the data transmission is impossible.

이렇게 네트워크가 분리된 상태에서 제1가상머신(130), 제2가상머신(150), 제3가상머신(170) 간의 데이터 전송을 위해 가상통신채널(Virtual Machine Communication Interface Channel; VMCI Channel)을 이용한다.The virtual machine communication interface (VMCI channel) is used for data transmission between the first virtual machine 130, the second virtual machine 150, and the third virtual machine 170 in a network separated state. .

상기 가상통신채널은 제1가상머신(130), 제2가상머신(150) 및 제3가상머신(170)과 가상화구동부(110) 간의 통신을 위한 인터페이스로, 각각의 가상머신은 보안 운영체계(Secure OS) 기술을 활용하여, 허용되지 않은 데이터는 가상통신채널으로 전송되지 못하도록 제어한다.The virtual communication channel is an interface for communication between the first virtual machine 130, the second virtual machine 150, and the third virtual machine 170 and the virtualization driver 110, each virtual machine is a security operating system ( Secure OS) technology controls unauthorized data not to be transmitted through the virtual communication channel.

따라서, 제1가상머신(130), 제2가상머신(150) 또는 제3가상머신(170)이 해킹 등을 통해 외부 침입이 발생하더라도 가상스위치에 의해 네트워크가 단절되어 있으므로, 외부망(500)과 내부망(700) 사이에 데이터가 전송되지 않게 된다.Therefore, even if an external intrusion occurs through the hacking of the first virtual machine 130, the second virtual machine 150, or the third virtual machine 170, the network is disconnected by the virtual switch. Data is not transmitted between the network and the internal network 700.

그리고, 허용되지 않은 데이터는 가상통신채널을 사용할 수 없으므로, 가상통신채널을 통해서도 외부망(500)과 내부망(700) 사이에 데이터가 전송되지 않게 된다.In addition, since the disallowed data cannot use the virtual communication channel, data is not transmitted between the external network 500 and the internal network 700 even through the virtual communication channel.

상기 제1가상머신(130) 및 제3가상머신(170)은 각각 외부망(500) 및 내부망(700)과 연결되어 네트워크에 대한 연결과 통제를 하게 되며, 제2가상머신(150)은 각종 정책의 수립 및 상기 제1가상머신(130)과 제3가상머신(170)의 접근제어, 가상머신 간의 통신을 제어하게 된다.
The first virtual machine 130 and the third virtual machine 170 is connected to the external network 500 and the internal network 700, respectively, to connect and control the network, the second virtual machine 150 is Various policies are established and access control between the first virtual machine 130 and the third virtual machine 170 and communication between the virtual machines are controlled.

제1가상머신(130)은 도 4에 도시한 바와 같이, 제1커넥터서비스부(131)와 제1보안정책부(135)와 제1가상머신커넥터부(137)로 이루어진다.As shown in FIG. 4, the first virtual machine 130 includes a first connector service unit 131, a first security policy unit 135, and a first virtual machine connector unit 137.

제1커넥터서비스부(131)는 외부망(500)과의 연결을 위한 서비스 모듈로서, 외부망(500)으로부터 전송되는 데이터의 수집 및 미리 설정된 보안정책에 따라 데이터를 통제하는 기능을 수행한다.The first connector service unit 131 is a service module for connecting to the external network 500 and performs a function of collecting data transmitted from the external network 500 and controlling data according to a preset security policy.

외부망(500)으로부터 수신된 데이터가 미리 설정된 보안정책에 허용된 데이터이면 이를 암호화하고, 암호화된 데이터를 저장한다. 그리고, 서버 프록시(Server Proxy)를 생성하여 외부망(500)과 연결 수립 후 내부망(700)을 향하여 데이터 전송을 요청한다.If the data received from the external network 500 is the data allowed in the preset security policy, it is encrypted, and the encrypted data is stored. The server generates a server proxy and establishes a connection with the external network 500 and requests data transmission to the internal network 700.

미리 설정된 보안정책에 허용되지 않은 데이터이면 차단시키는 기능을 한다.Blocks data that is not allowed in the preset security policy.

예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용을 보안정책으로 미리 설정하였다.For example, data from the source IP 10.1.4.20 to the external network 500 is allowed and data from the source IP 10.1.4.21 to the external network 500 is allowed. The security policy specifies that data going to 192.168.10.245:80 is blocked.

그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용을 보안정책으로 미리 설정하였다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the external network 500 from the source IP 10.1.4.20 is previously set as a security policy.

이어서, 외부망(500)을 통해 출발지 IP 10.1.4.20에서 목적지 IP 192.168.10.245:80으로 가는 데이터가 유입되면, 이는 보안정책에 허용된 데이터이므로 목적지통신망인 내부망(700)으로 전달 요청을 하고, 출발지 IP 10.1.4.21에서 목적지 IP 192.168.10.245:80으로 가는 데이터는 보안정책에 허용되지 않은 데이터이므로 차단시킨다.Subsequently, when data from the source IP 10.1.4.20 to the destination IP 192.168.10.245:80 flows in through the external network 500, the request is made to the internal network 700, which is the data that is allowed in the security policy. For example, data from source IP 10.1.4.21 to destination IP 192.168.10.245:80 is blocked because it is not allowed in the security policy.

아울러, 출발지 IP 10.1.4.20에서 목적지 IP 192.168.10.245:80으로 가는 데이터 중 checked.html를 포함하면, 보안정책에서 허용되지 데이터이므로 이를 차단시킨다.In addition, if checked.html is included among the data going from the source IP 10.1.4.20 to the destination IP 192.168.10.245:80, the data is not allowed in the security policy and blocked.

제1보안정책부(135)는 제2가상머신(150)으로부터 전송된 미리 설정된 보안정책이 저장된다.The first security policy unit 135 stores a preset security policy transmitted from the second virtual machine 150.

예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용이 포함될 수 있다.For example, data from the source IP 10.1.4.20 to the external network 500 is allowed and data from the source IP 10.1.4.21 to the external network 500 is allowed. This may include blocking data to 192.168.10.245:80.

그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용이 포함될 수 있다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the external network 500 from the source IP 10.1.4.20 may include a content that is not allowed.

제1가상머신커넥터부(137)는 가상통신채널에 연결되며, 상기 제1커넥터서비스부(131)로부터 데이터 전송을 요청받으면 가상통신채널을 통해 제1커넥터서비스부(131)에 저장된 암호화된 데이터를 내부망(700)을 향하여 데이터를 전송시키는 기능을 한다.The first virtual machine connector 137 is connected to the virtual communication channel, and when the data transmission request is received from the first connector service unit 131, the encrypted data stored in the first connector service unit 131 through the virtual communication channel. To transmit data toward the internal network 700.

그리고, 제1가상머신커텍터부(137)는 제2가상머신(150)으로부터 전달되는 보안정책을 제1보안정책부(135)로 전송하거나, 이벤트 및 로그 정보를 제2가상머신(150)으로 전송한다.
In addition, the first virtual machine connector 137 transmits the security policy transmitted from the second virtual machine 150 to the first security policy unit 135, or transmits event and log information to the second virtual machine 150. send.

제3가상머신(170)은 제2커넥터서비스부(171)와 제2보안정책부(173)와 제3가상머신커넥터부(177)로 이루어진다.The third virtual machine 170 includes a second connector service unit 171, a second security policy unit 173, and a third virtual machine connector unit 177.

제3가상머신커넥터부(177)는 가상통신채널에 연결되며 상기 제1가상머신커넥터부(137)로부터 전송된 암호화된 데이터를 입력받아 제2커넥터서비스부(171)로 전송시킨다.The third virtual machine connector 177 is connected to the virtual communication channel and receives the encrypted data transmitted from the first virtual machine connector 137 and transmits the encrypted data to the second connector service unit 171.

제2커넥터서비스부(171)는 상기 제3가상머신커넥터(177)로부터 데이터 전송을 요청받으면 클라이언트 프록시(Client Proxy)를 생성하여 내부망(700)과 연결을 수립 후 암호화된 데이터를 복호화하여 내부망(700)으로 데이터를 전송시키는 기능을 한다.When the second connector service unit 171 receives a data transmission request from the third virtual machine connector 177, the second connector service unit 171 generates a client proxy, establishes a connection with the internal network 700, and then decrypts the encrypted data. It functions to transmit data to the network 700.

이렇게 데이터가 외부망(500)에서 내부망(700)을 향하여 전송되면, 외부망(500)이 출발지통신망이 되는 것이고, 내부망(700)이 목적지통신망이 된다.When data is transmitted from the external network 500 toward the internal network 700, the external network 500 becomes the source communication network, and the internal network 700 becomes the destination communication network.

반대로, 데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 내부망(700)이 출발지통신망이 되는 것이고, 외부망(500)이 목적지통신망이 된다.On the contrary, when data is transmitted from the internal network 700 toward the external network 500, the internal network 700 becomes the source communication network, and the external network 500 becomes the destination communication network.

데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 제2커넥터서비스부(171)는 내부망(700)과의 연결을 위한 서비스 모듈이 되고, 내부망(700)으로부터 전송되는 데이터의 수집 및 미리 설정된 보안정책에 따라 데이터를 통제하는 기능을 수행한다.When data is transmitted from the internal network 700 toward the external network 500, the second connector service unit 171 becomes a service module for connection with the internal network 700, and is transmitted from the internal network 700. Collects data and controls the data according to a preset security policy.

내부망(700)으로부터 전송된 데이터가 미리 설정된 보안정책에 허용된 데이터이면 이를 암호화하고, 암호화된 데이터를 저장한다. 그리고, 서버 프록시(Server Proxy)를 생성하여 내부망(700)과 연결 수립 후 외부망(500)을 향하여 데이터 전송을 요청한다.If the data transmitted from the internal network 700 is the data allowed in the preset security policy, it is encrypted and the encrypted data is stored. The server generates a server proxy and establishes a connection with the internal network 700 and requests data transmission to the external network 500.

미리 설정된 보안정책에 허용되지 않은 데이터이면 차단시키는 기능을 한다.Blocks data that is not allowed in the preset security policy.

제2보안정책부(173)는 제2가상머신(150)으로부터 전송된 미리 설정된 보안정책이 저장된다.The second security policy unit 173 stores a preset security policy transmitted from the second virtual machine 150.

제3가상머신커넥터부(177)는 가상통신채널에 연결되며, 상기 제2커넥터서비스부(171)로부터 데이터 전송을 요청받으면 가상통신채널을 통해 제2커넥터서비스부(171)에 저장된 암호화된 데이터를 외부망(500)을 향하여 데이터를 전송시키는 기능을 한다.The third virtual machine connector 177 is connected to the virtual communication channel, and encrypted data stored in the second connector service unit 171 through the virtual communication channel when a data transmission request is received from the second connector service unit 171. To transmit data toward the external network 500.

그리고, 제3가상머신커텍터부(177)는 제2가상머신(150)으로부터 전달되는 보안정책을 제2보안정책부(173)에 전송하거나, 이벤트 및 로그 정보를 제2가상머신(150)으로 전송한다.In addition, the third virtual machine connector unit 177 transmits the security policy transmitted from the second virtual machine 150 to the second security policy unit 173 or transmits event and log information to the second virtual machine 150. send.

제1가상머신커넥터부(137)는 가상통신채널에 연결되며 상기 제3가상머신커넥터부(177)로부터 전송된 암호화된 데이터를 입력받아 제1커넥터서비스부(131)로 전송시킨다.The first virtual machine connector 137 is connected to the virtual communication channel and receives the encrypted data transmitted from the third virtual machine connector 177 and transmits it to the first connector service unit 131.

제1커넥터서비스부(131)는 상기 제1가상머신커넥터(137)로부터 데이터 전송을 요청받으면 클라이언트 프록시(Client Proxy)를 생성하여 외부망(500)과 연결을 수립 후 암호화된 데이터를 복호화하여 외부망(500)으로 데이터를 전송시키는 기능을 한다.When the first connector service unit 131 receives a data transmission request from the first virtual machine connector 137, the first connector service unit 131 creates a client proxy and establishes a connection with the external network 500 to decrypt the encrypted data. It serves to transmit data to the network (500).

제1가상머신(130)에서의 제1커넥터서비스부(131)와 제1보안정책부(135)와 제1가상머신커넥터부(137)와, 제3가상머신(170)에서의 제2커넥터서비스부(171)와 제2보안정책부(173)와 제3가상머신커넥터부(177)는 방향만 반대일 뿐 각각 동일한 기능을 수행하는 것이다.
The first connector service unit 131, the first security policy unit 135, the first virtual machine connector unit 137, and the second connector in the third virtual machine 170 in the first virtual machine 130. The service unit 171, the second security policy unit 173, and the third virtual machine connector unit 177 perform opposite functions only in opposite directions.

제2가상머신(150)은 매니저서비스부(153)와 가상머신정책부(1551)와 네트워크정책부(1553)와 제2가상머신커넥터부(157)로 이루어진다.The second virtual machine 150 includes a manager service unit 153, a virtual machine policy unit 1551, a network policy unit 1553, and a second virtual machine connector unit 157.

매니저서비스부(153)에는 미리 설정된 정책이 저장된다.The manager service unit 153 stores a preset policy.

이러한 정책에는 프로토콜(TCP 또는 UDP)에 따른 정책, 출발지 IP, 목적지 IP 및 포트(Port)에 따라 허용/차단 여부를 결정하는 정책, 암호화 여부, 세션타임아웃(일정시간 동안 전송되는 데이터가 없을 경우 세션 종료)에 관한 정보, 차단 데이터에 관한 정보들이 포함될 수 있다.These policies include policies based on protocol (TCP or UDP), policies to determine whether to allow / block based on source IP, destination IP and port, encryption, and session timeout (if there is no data transmitted for a certain period of time). Information about the session termination) and information about blocking data.

예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용이 포함될 수 있다.For example, data from the source IP 10.1.4.20 to the external network 500 is allowed and data from the source IP 10.1.4.21 to the external network 500 is allowed. This may include blocking data to 192.168.10.245:80.

그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용이 포함될 수 있다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the external network 500 from the source IP 10.1.4.20 may include a content that is not allowed.

그리고, 제1가상머신(130)과 제3가상머신(170)의 관리, 네트워크 연결 정보의 설정, 제1가상머신(130) 및 제3가상머신(170) 간 연결정보의 설정, 이벤트 감시 및 로그 조회, 제1가상머신(130) 및 제3가상머신(170)의 접근 권한 관리 등을 수행한다.And, the management of the first virtual machine 130 and the third virtual machine 170, the setting of network connection information, the setting of the connection information between the first virtual machine 130 and the third virtual machine 170, event monitoring and The log inquiry, access rights management of the first virtual machine 130 and the third virtual machine 170 are performed.

상기 다중망 연계장치(100)는 부팅이 되면, 제2가상머신(150)의 매니저서비스부(153)에 미리 설정되어 저장된 상술한 정책을 제1가상머신(130)의 제1보안정책부(135) 또는 제3가상머신(170)의 제2보안정책부(173)로 전송시킨다.When the multi-network linkage device 100 is booted, the first security policy unit of the first virtual machine 130 stores the above-described policy that is preset and stored in the manager service unit 153 of the second virtual machine 150. 135 or the second security policy unit 173 of the third virtual machine 170.

콘솔접속부(103)를 통해 노트북, PDA 등의 제어콘솔(300)이 연결되며, 상기 제어콘솔(300)에서 수행되는 프로그램인 사용자 서비스부(미도시)를 통해 상기 매니저서비스부(153)로 각종 정책 등이 설정되어 저장된다.The control console 300 of the notebook, PDA, etc. are connected through the console connection unit 103, and various kinds of the control service unit 300 are connected to the manager service unit 153 through a user service unit (not shown), which is a program executed in the control console 300. Policies and the like are set and stored.

따라서, 상기 사용자 서비스부를 통해 가상머신의 관리, 가상머신 간 네트워크 연결정보의 설정, 이벤트 감시 및 로그조회, 가상머신의 접근 권한 관리 등을 수행하며, 보안정책을 미리 설정하여 매니저서비스부(153)에 저장시킬 수 있다.Accordingly, the user service unit manages a virtual machine, sets network connection information between virtual machines, monitors and logs an event, manages access rights of the virtual machine, and sets a security policy in advance to the manager service unit 153. Can be stored in

상기 가상머신정책부(1551)에는 가상통신채널의 생성 갯수에 대한 설정정보가 저장되고, 네트워크정책부(1553)에는 가상머신 간 네트워크 연결정보의 설정, 가상스위치 설정 등의 정보가 저장된다.The virtual machine policy unit 1551 stores setting information on the number of virtual communication channels generated, and the network policy unit 1553 stores information such as setting of network connection information between virtual machines and setting of virtual switches.

제2가상머신커넥터부(157)는 가상통신채널에 연결되며, 가상통신채널을 통해 상기 매니저서비스부(153)에 저장된 보안정책을 제1가상머신(130)의 제1보안정책부(135)와 제3가상머신(170)의 제2보안정책부(173)으로 전송시키거나, 또는 제1가상머신커넥터부(137) 및 제3가상머신커넥터부(177)로부터의 이벤트 정보를 제공받아 상기 매니저서비스부(153)로 전송시킨다.
The second virtual machine connector 157 is connected to the virtual communication channel, and the first security policy unit 135 of the first virtual machine 130 stores the security policy stored in the manager service unit 153 through the virtual communication channel. And the event information from the first virtual machine connector 137 and the third virtual machine connector 177 is transmitted to the second security policy unit 173 of the third virtual machine 170. Send to the manager service unit 153.

도 5는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계방법을 도시한 플로우차트이다.5 is a flowchart illustrating a multi-network linkage method using virtualization according to an embodiment of the present invention.

상술한 바와 같이 본 발명의 일실시예에 따른 다중망 연계장치가 이루어지면, 먼저 제어콘솔(300)을 상기 콘솔접속부(103)에 접속하여 상기 제2가상머신(153)으로 설정된 각종 정책을 저장시킨다.As described above, when the multi-network linkage device according to an embodiment of the present invention is made, first, the control console 300 is connected to the console connection unit 103 to store various policies set as the second virtual machine 153. Let's do it.

이어서, 제2가상머신(153)에 저장된 보안정책은 상기 제1가상머신(130)의 제1보안정책부(135)와, 제3가상머신(170)의 제2보안정책부(173)로 각각 전송되어 저장된다.Subsequently, the security policy stored in the second virtual machine 153 is transferred to the first security policy unit 135 of the first virtual machine 130 and the second security policy unit 173 of the third virtual machine 170. Each is sent and stored.

이어서, 외부망(500)으로부터 제1가상머신(130)의 제1커넥터서비스부(131)로 데이터가 전송되면(단계 S110), 제1커넥터서비스부(131)에서는 전송된 데이터가 제1보안정책부(135)에 저장된 보안정책에 따른 데이터인지 비교한다(단계 S120).Subsequently, when data is transmitted from the external network 500 to the first connector service unit 131 of the first virtual machine 130 (step S110), the first connector service unit 131 transmits the data to the first security. The data is compared according to the security policy stored in the policy unit 135 (step S120).

이어서, 정책에 허용된 데이터이면(단계 S130) 이를 암호화한 후에 저장시킨다.Then, if the data is allowed in the policy (step S130), it is stored after encrypting it.

정책에 허용되지 않은 데이터이면 데이터를 차단시킨다(단계 S135).If the data is not allowed in the policy, the data is blocked (step S135).

이어서, 서버 프록시를 생성하여(단계 S140), 출발지통신망과 연결을 수립 후(단계 S150), 가상통신채널을 형성하여 목적지통신망인 내부망(700)을 향해 연결을 요청한다(단계 S160).Subsequently, after generating a server proxy (step S140), establishing a connection with the source communication network (step S150), a virtual communication channel is formed to request a connection toward the internal network 700 which is the destination communication network (step S160).

이어서, 목적지통신망인 내부망(700)을 향해 연결이 요청되면 클라이언트 프록시를 생성하여(단계 S170), 내부망(700)과 연결을 수립한다(단계 S180).Subsequently, when a connection request is made toward the internal network 700 which is the destination communication network, a client proxy is generated (step S170), and a connection is established with the internal network 700 (step S180).

이어서, 외부망(500)에서 내부망(700)으로의 데이터 전송이 이루어진다(단계 S190)Subsequently, data transmission is performed from the external network 500 to the internal network 700 (step S190).

이렇게 데이터가 외부망(500)에서 내부망(700)을 향하여 전송되면, 외부망(500)이 출발지통신망이 되는 것이고, 내부망(700)이 목적지통신망이 된다.When data is transmitted from the external network 500 toward the internal network 700, the external network 500 becomes the source communication network, and the internal network 700 becomes the destination communication network.

반대로, 데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 내부망(700)이 출발지통신망이 되는 것이고, 외부망(500)이 목적지통신망이 된다.On the contrary, when data is transmitted from the internal network 700 toward the external network 500, the internal network 700 becomes the source communication network, and the external network 500 becomes the destination communication network.

이러한 경우 상술한 외부망(500)이 출발지통신망이 되고, 내부망(700)이 목적지통신망인 경우와 방향만 반대일 뿐 동작원리는 동일하게 된다.In this case, the above-described external network 500 becomes the source communication network, and the operation principle is the same as that in which the internal network 700 is the destination communication network.

한편, 본 발명에 따른 단계 S110 내지 단계 S190에 따른 방법을 프로그램화하여 컴퓨터가 읽을 수 있도록 시디롬, 메모리, ROM, EEPROM 등의 기록매체에 저장시킬 수도 있다.Meanwhile, the method of steps S110 to S190 according to the present invention may be programmed and stored in a recording medium such as a CD-ROM, a memory, a ROM, an EEPROM, and the like so that the computer can read the program.

이상의 설명에서는 본 발명의 바람직한 실시예를 제시하여 설명하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있음을 쉽게 알 수 있을 것이다.In the above description, the present invention has been described with reference to preferred embodiments, but the present invention is not necessarily limited thereto, and a person having ordinary skill in the art to which the present invention pertains does not depart from the technical spirit of the present invention. It will be readily appreciated that various substitutions, modifications and variations can be made.

130: 제1가상머신 131: 제1커넥터서비스부
137: 제1가상머신커넥터부 150: 제2가상머신
153: 매니저서비스부 157: 제2가상머신커넥터부
170: 제3가상머신 171: 제2커넥터서비스부
177: 제3가상머신커넥터부130: first virtual machine 131: first connector service
137: first virtual machine connector portion 150: second virtual machine
153: manager service unit 157: second virtual machine connector unit
170: third virtual machine 171: second connector service department
177: third virtual machine connector

Claims (10)

출발지통신망 및 목적지통신망 사이에 서로 연결이 단절된 상태로 구비된 복수의 가상머신을 포함하며; 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 것이면, 허용된 데이터에 대해서만 통신이 이루어질 수 있는 가상통신채널이 출발지통신망에 연결된 가상머신과 목적지통신망에 연결된 가상머신 사이에 형성되도록 하여; 출발지통신망에서 목적지통신망으로 데이터가 전송되도록 하는 것을 특징으로 한 가상화를 이용한 다중망 연계장치.A plurality of virtual machines provided with a disconnected state between the source communication network and the destination communication network; If the data received from the source communication network is allowed in the preset policy, a virtual communication channel capable of communicating only with the allowed data is formed between the virtual machine connected to the source communication network and the virtual machine connected to the destination communication network; Multi-network interconnection apparatus using virtualization, characterized in that data is transmitted from the source communication network to the destination communication network. 제1항에 있어서, 상기 가상머신에는, 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 데이터이면 상기 출발지통신망과 연결 수립 후 목적지통신망을 향하여 데이터 전송을 요청하며, 허용되지 않은 데이터이면 차단시키는 제1커넥터서비스부(131)와; 가상통신채널이 연결되며 상기 제1커넥터서비스부(131)로부터 데이터 전송을 요청받으면 가상통신채널을 통해 목적지통신망을 향하여 데이터를 전송시키는 제1가상머신커넥터부(137)로 이루어진 제1가상머신(130);
가상통신채널에 연결되며 상기 제1가상머신커넥터부(137)로부터 전송된 데이터를 입력받아 목적지통신망을 향하여 전송시키는 제3가상머신커넥터부(177)와; 상기 제3가상머신커넥터(177)로부터 데이터 전송을 요청받으면 생성하여 목적지통신망과 연결 수립 후 목적지통신망으로 데이터를 전송시키는 제2커넥터서비스부(171)로 이루어진 제3가상머신(170); 및
정책이 설정되어 저장된 매니저서비스부(153)와; 가상통신채널에 연결되며 가상통신채널을 통해 상기 매니저서비스부(153)에 저장된 정책을 상기 제1가상머신(130)으로 전송시키는 제2가상머신커넥터부(157)로 이루어진 제2가상머신(150)
을 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계장치.The method of claim 1, wherein the virtual machine requests data transmission to the destination communication network after establishing a connection with the source communication network if the data received from the source communication network is allowed in a preset policy, and blocks the data if the data is not allowed. A first connector service unit 131; When a virtual communication channel is connected and a data transmission request is received from the first connector service unit 131, a first virtual machine including a first virtual machine connector unit 137 for transmitting data toward a destination communication network through a virtual communication channel ( 130);
A third virtual machine connector 177 connected to a virtual communication channel and receiving data transmitted from the first virtual machine connector 137 and transmitting the data to a destination communication network; A third virtual machine (170) comprising a second connector service unit (171) for generating data when a request for data transmission is requested from the third virtual machine connector (177), establishing a connection with a destination communication network, and then transmitting data to the destination communication network; And
A manager service unit 153 in which a policy is set and stored; A second virtual machine 150 connected to a virtual communication channel and including a second virtual machine connector 157 for transmitting a policy stored in the manager service unit 153 to the first virtual machine 130 through a virtual communication channel. )
Multi-network linkage using virtualization, characterized in that configured to include. 제2항에 있어서, 상기 제1가상머신(130)에는 상기 제2가상머신(150)으로부터 전송받은 정책이 저장된 제1보안정책부(135)가 구비된 것을 특징으로 한 가상화를 이용한 다중망 연계장치.According to claim 2, The first virtual machine 130 is connected to multiple networks using virtualization, characterized in that the first security policy unit 135, which stores the policy received from the second virtual machine 150 is provided Device. 제2항에 있어서, 상기 제1커넥터서비스부(131)는 정책에 허용된 데이터를 암호화한 후에 저장시키는 것을 특징으로 한 가상화를 이용한 다중망 연계장치.The apparatus of claim 2, wherein the first connector service unit (131) encrypts and stores data allowed in a policy. 제1항에 있어서, 상기 가상머신을 구동시키는 가상화구동부(110)가 포함되며, 가상머신과 가상머신 사이에 형성된 가상통신채널은 상기 가상화구동부(110)를 거쳐 형성된 것을 특징으로 한 가상화를 이용한 다중망 연계장치.According to claim 1, wherein the virtual driving unit 110 for driving the virtual machine is included, the virtual communication channel formed between the virtual machine and the virtual machine is formed via the virtualization driving unit 110, multiple using virtualization Network linkage. 제1항에 있어서, 상기 가상머신과 가상화구동부(110) 사이에는 상기 가상머신을 선택적으로 각각 연결시키는 가상스위치가 구비된 것을 특징으로 한 가상화를 이용한 다중망 연계장치.The apparatus of claim 1, wherein a virtual switch is provided between the virtual machine and the virtual driver 110 to selectively connect the virtual machines, respectively. (a) 출발지통신망으로부터 데이터를 수신받아 정책에 허용되는지 비교하는 비교단계;
(b) 정책에 허용된 데이터이면, 서버 프록시를 생성하여 출발지통신망과 연결을 수립 후 가상통신채널을 형성하여 목적지통신망을 향해 연결을 요청하는 요청단계; 및
(c) 목적지통신망을 향해 연결이 요청되면 클라이언트 프록시를 생성하여 목적지통신망과 연결을 수립하는 연결단계;
를 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계방법.(a) a comparison step of receiving data from the source communication network and comparing whether the policy is permitted;
(b) a request step of creating a server proxy and establishing a connection with the source communication network and forming a virtual communication channel to request a connection toward the destination communication network if the data is allowed in the policy; And
(c) a connection step of establishing a connection with the destination communication network by generating a client proxy when a connection request is made toward the destination communication network;
Multiple network connection method using virtualization, characterized in that configured to include. 제7항에 있어서, 상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용된 데이터이면 이를 암호화한 후에 저장시키는 단계를 포함하는 것을 특징으로 하는 가상화를 이용한 다중망 연계방법.The method of claim 7, wherein the comparing comprises encrypting and storing the data received from the source communication network if the data is allowed in the policy and storing the encrypted data. 제7항에 있어서, 상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용되지 않으면 차단시키는 단계를 포함하는 것을 특징으로 하는 가상화를 이용한 다중망 연계방법.The method of claim 7, wherein the comparing comprises blocking the data received from the source communication network if it is not allowed in the policy. 제7항 내지 제9항의 제어방법을 실행하는 프로그램이 기록되어 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the control method of claim 7.
KR1020110096275A 2011-09-23 2011-09-23 Appratus for Connection Multitude Network using Virtualization and Method thereof KR101286978B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110096275A KR101286978B1 (en) 2011-09-23 2011-09-23 Appratus for Connection Multitude Network using Virtualization and Method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110096275A KR101286978B1 (en) 2011-09-23 2011-09-23 Appratus for Connection Multitude Network using Virtualization and Method thereof

Publications (2)

Publication Number Publication Date
KR20130032590A true KR20130032590A (en) 2013-04-02
KR101286978B1 KR101286978B1 (en) 2013-07-16

Family

ID=48435344

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110096275A KR101286978B1 (en) 2011-09-23 2011-09-23 Appratus for Connection Multitude Network using Virtualization and Method thereof

Country Status (1)

Country Link
KR (1) KR101286978B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101448028B1 (en) * 2013-04-30 2014-10-08 (주)오픈에스앤에스 Apparatus and method for remote access network division
KR20230013761A (en) * 2021-07-20 2023-01-27 주식회사 한국에임 Multi-task processing system and method using civil service counter computer and digitizer

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7802000B1 (en) 2005-08-01 2010-09-21 Vmware Virtual network in server farm
US8250641B2 (en) 2007-09-17 2012-08-21 Intel Corporation Method and apparatus for dynamic switching and real time security control on virtualized systems
US9672189B2 (en) 2009-04-20 2017-06-06 Check Point Software Technologies, Ltd. Methods for effective network-security inspection in virtualized environments

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101448028B1 (en) * 2013-04-30 2014-10-08 (주)오픈에스앤에스 Apparatus and method for remote access network division
KR20230013761A (en) * 2021-07-20 2023-01-27 주식회사 한국에임 Multi-task processing system and method using civil service counter computer and digitizer

Also Published As

Publication number Publication date
KR101286978B1 (en) 2013-07-16

Similar Documents

Publication Publication Date Title
JP4168052B2 (en) Management server
US6529513B1 (en) Method of using static maps in a virtual private network
RU2584570C2 (en) Implementing secure information exchange in runtime system
JP4579969B2 (en) Method, apparatus and computer program product for sharing encryption key among embedded agents at network endpoints in a network domain
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
EP2807560B1 (en) Privileged access auditing
US10931669B2 (en) Endpoint protection and authentication
US10417428B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal providing a remote desktop accessible in secured and unsecured environments
JP2008015786A (en) Access control system and access control server
US20130340067A1 (en) Multi-Wrapped Virtual Private Network
KR101290963B1 (en) System and method for separating network based virtual environment
JP2008252456A (en) Communication apparatus, and communication method
US11444958B2 (en) Web server security
KR101534566B1 (en) Apparatus and method for security control of cloud virtual desktop
KR101896453B1 (en) A gateway-based access control system for improving security and reducing constraint of remote access application
WO2011108877A2 (en) System and method for logical separation of a server by using client virtualization
Kamens Retrofitting Network Security to Third-Party Applications-The SecureBase Experience.
KR20040065674A (en) Host-based security system and method
KR101286978B1 (en) Appratus for Connection Multitude Network using Virtualization and Method thereof
KR20100025788A (en) Detection system and detecting method for the cryptographic data in ssh
KR101858207B1 (en) System for security network
JP4720576B2 (en) Network security management system, encrypted communication remote monitoring method and communication terminal.
KR101448028B1 (en) Apparatus and method for remote access network division
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
US20210192088A1 (en) Secure computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160503

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170427

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180425

Year of fee payment: 6