KR20150060325A - 네트워크 장치 및 네트워크 장치의 패킷 전송 방법 - Google Patents

네트워크 장치 및 네트워크 장치의 패킷 전송 방법 Download PDF

Info

Publication number
KR20150060325A
KR20150060325A KR1020130144626A KR20130144626A KR20150060325A KR 20150060325 A KR20150060325 A KR 20150060325A KR 1020130144626 A KR1020130144626 A KR 1020130144626A KR 20130144626 A KR20130144626 A KR 20130144626A KR 20150060325 A KR20150060325 A KR 20150060325A
Authority
KR
South Korea
Prior art keywords
data
packet
module
authentication
address
Prior art date
Application number
KR1020130144626A
Other languages
English (en)
Inventor
김영민
윤현식
정부금
이경호
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130144626A priority Critical patent/KR20150060325A/ko
Publication of KR20150060325A publication Critical patent/KR20150060325A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치에 관한 것이다. 본 발명의 네트워크 장치는, 권한 리스트를 관리하도록 구성되는 인증 모듈, 제 1 패킷으로부터 제 1 소스 주소, 제 1 목적지 주소, 인증 정보 및 제 1 데이터를 추출하는 패킷 분석 모듈, 룩업 테이블을 참조하여 제 1 데이터의 타입에 따라 주소를 판별하는 판별 모듈, 그리고 목적지 주소를 제 2 소스 주소로, 판별된 주소를 제 2 목적지 주소로, 그리고 제 1 데이터를 제 2 데이터로 선택하여 제 2 패킷을 생성하는 포워딩 모듈로 구성된다. 인증 모듈은 인증 정보가 상기 권한 리스트에 대응할 때 유효한 인증 결과를 출력한다. 패킷 분석 모듈은 유효한 인증 결과가 수신될 때, 제 1 데이터를 판별 모듈로 출력한다.

Description

네트워크 장치 및 네트워크 장치의 패킷 전송 방법{NETWORK DEVICE AND METHOD OF TRANSFERRING PACKET OF NETWORK DEVICE}
본 발명은 네트워크에 관한 것으로, 더 상세하게는 네트워크 장치 및 네트워크 장치의 패킷 전송 방법에 관한 것이다.
인터넷과 같은 네트워크의 사용 빈도가 증가하면서, 일상 생활에서 사용되는 전자장치들의 대부분이 네트워크에 연결되어 사용되고 있다. 네트워크의 사용은 사용자들 사이의 정보의 교환을 용이하게 하는 점에서, 많은 편익을 제공하고 있다. 그러나, 네트워크의 사용자가 증가하고 네트워크에 연결된 전자장치들의 수가 증가함에 따라, 해킹에 의해 발생할 수 있는 위험 또한 증가하고 있다.
예시적인 해킹 방법으로, DDoS (Distributed Denial of Service)가 있다. DDoS와 같은 해킹이 발생하면, 해킹의 대상이 된 전자장치가 마비될 수 있다. 해킹의 대상이 된 전자장치가 공공 서비스망의 서버 또는 기업망의 서버인 경우, 해당 공공 서비스망 또는 기업망이 마비될 수 있다. 따라서, 네트워크가 사용되기 시작한 초기로부터, 해킹을 방지하기 위한 방어 방법에 대한 요구가 꾸준히 존재하고 있다.
본 발명의 목적은, 네트워크 단계에서 해킹 시도를 차단하는 네트워크 장치 및 네트워크 장치의 패킷 전송 방법을 제공하는 데에 있다.
본 발명의 실시 예에 따른 네트워크 장치는, 권한 있는 사용자들에 대한 정보를 포함하는 권한 리스트를 저장하도록 구성되는 인증 모듈; 제 1 패킷을 수신하고, 상기 제 1 패킷으로부터 제 1 소스 주소, 제 1 목적지 주소, 인증 정보 및 제 1 데이터를 추출하도록 구성되는 패킷 분석 모듈; 데이터의 타입에 따른 주소들을 리스트로서 저장하고, 상기 패킷 분석 모듈로부터 상기 제 1 데이터를 수신하고, 상기 리스트를 참조하여 상기 제 1 데이터의 타입에 따라 주소를 판별하도록 구성되는 판별 모듈; 그리고 상기 목적지 주소를 제 2 소스 주소로, 상기 판별된 주소를 제 2 목적지 주소로, 그리고 상기 제 1 데이터를 제 2 데이터로 하여 제 2 패킷을 생성하고, 상기 제 2 패킷을 출력하도록 구성되는 포워딩 모듈을 포함하고, 상기 인증 모듈은, 상기 패킷 분석 모듈로부터 상기 인증 정보를 수신하고, 상기 인증 정보가 상기 권한 리스트에 대응할 때 유효한 인증 결과를 상기 패킷 분석 모듈로 출력하도록 구성되고, 상기 패킷 분석 모듈은, 상기 인증 모듈로부터 상기 유효한 인증 결과가 수신될 때, 상기 제 1 데이터를 상기 판별 모듈로 출력하도록 구성된다.
실시 예로서, 상기 패킷 분석 모듈은, 상기 인증 모듈로부터 상기 유효한 인증 결과가 수신되지 않을 때, 상기 제 1 패킷을 무시하도록 구성된다.
실시 예로서, 상기 인증 정보는 식별자 및 상기 식별자에 대응하는 암호를 포함하고, 상기 권한 리스트는, 복수의 식별자들 및 상기 복수의 식별자들에 각각 대응하는 복수의 암호들을 포함한다.
실시 예로서, 상기 판별 모듈은 상기 리스트를 저장하도록 구성되는 참조 메모리를 포함하고, 상기 리스트는, 복수의 데이터 정보 및 상기 복수의 데이터 정보에 각각 대응하는 복수의 주소들을 포함하고, 상기 판별 모듈은, 상기 복수의 데이터 정보 중 상기 제 1 데이터의 정보에 대응하는 데이터 정보를 선택하고, 상기 복수의 주소들 중 상기 선택된 데이터 정보에 대응하는 주소를 판별하도록 구성된다.
실시 예로서, 상기 제 1 데이터의 정보는, 상기 제 1 데이터의 명칭, 분류 정보, 생성 시간 정보 중 적어도 하나를 포함한다.
실시 예로서, 상기 리스트는, 상기 데이터의 타입에 따른 암호화 방법들의 정보를 더 포함하고, 상기 판별 모듈은, 상기 리스트를 참조하여, 상기 제 1 데이터의 타입에 따라 암호화 방법을 선택하도록 구성된다.
실시 예로서, 상기 판별 모듈로부터 상기 제 1 데이터를 수신하고, 상기 선택된 암호화 방법에 따라 상기 수신된 제 1 데이터를 암호화하고, 그리고 상기 암호화된 제 1 데이터를 상기 포워딩 모듈로 출력하도록 구성되는 암호화 및 복호화 모듈을 더 포함하고, 상기 포워딩 모듈은 상기 암호화된 제 1 데이터를 상기 제 2 데이터로 하여 상기 제 2 패킷을 생성하도록 구성된다.
실시 예로서, 상기 권한 리스트는 상기 권한 있는 사용자들 각각의 보안 등급에 대한 정보를 더 포함하고, 상기 인증 모듈은 상기 인증 정보에 대응하는 보안 등급을 상기 패킷 분석 모듈로 출력하도록 구성되고, 상기 판별 모듈은 상기 패킷 분석 모듈로부터 상기 보안 등급을 수신하도록 구성되고, 상기 리스트는 상기 데이터의 타입에 따른 보안 등급들을 더 포함하고, 상기 판별 모듈은, 상기 리스트를 참조하여, 상기 수신된 보안 등급이 상기 제 1 데이터의 타입에 따른 보안 등급과 같거나 그보다 높은지 판별하도록 구성된다.
실시 예로서, 상기 판별 모듈은, 상기 수신된 보안 등급이 상기 제 1 데이터의 타입에 따른 보안 등급과 같거나 그보다 높을 때, 상기 제 1 데이터를 상기 암호화 모듈로 출력하고 상기 판별된 주소를 상기 포워딩 모듈로 출력하도록 구성된다.
실시 예로서, 상기 판별 모듈은, 상기 제 1 소스 주소 및 상기 인증 정보를 저장하도록 구성되는 참조 메모리를 포함한다.
실시 예로서, 상기 판별 모듈은, 상기 제 1 패킷으로부터 추출된 상기 인증 정보가 상기 참조 메모리에 저장되어 있는지 판별하도록 구성되고, 상기 제 1 패킷으로부터 추출된 상기 인증 정보가 상기 참조 메모리에 저장되어 있을 때, 상기 포워딩 모듈은, 상기 목적지 주소를 제 3 소스 주소로, 상기 참조 메모리에 저장된 상기 제 1 소스 주소를 제 3 목적지 주소로, 그리고 상기 제 1 데이터를 제 3 데이터로 하여 제 3 패킷을 생성하고, 상기 제 3 패킷을 출력하도록 구성된다.
실시 예로서, 상기 리스트는, 상기 데이터의 타입에 따른 복호화 방법들의 정보를 더 포함하고, 상기 판별 모듈은, 상기 리스트를 참조하여, 상기 제 1 데이터의 타입에 따라 복호화 방법을 선택하도록 구성된다.
실시 예로서, 상기 판별 모듈로부터 상기 제 1 데이터를 수신하고, 상기 선택된 복호화 방법에 따라 상기 수신된 제 1 데이터를 복호화하고, 그리고 상기 복호화된 제 1 데이터를 상기 포워딩 모듈로 출력하도록 구성되는 암호화 및 복호화 모듈을 더 포함하고, 상기 포워딩 모듈은 상기 복호화된 제 1 데이터를 상기 제 3 데이터로 하여 상기 제 3 패킷을 생성하도록 구성된다.
본 발명의 실시 예에 따른 네트워크 장치의 패킷 전송 방법은, 제 1 패킷을 수신하는 단계; 상기 제 1 패킷으로부터 제 1 소스 주소, 제 1 목적지 주소, 제 1 데이터, 그리고 인증 정보를 추출하고, 상기 추출된 인증 정보를 이용하여 인증을 수행하는 단계; 상기 인증이 성공하면, 상기 제 1 패킷에 기반하여 제 2 패킷을 생성하고, 상기 제 2 패킷을 전송하는 단계; 그리고 상기 인증이 실패하면 상기 제 1 패킷을 무시하는 단계를 포함하고, 상기 제 2 패킷을 전송하는 단계는, 상기 제 1 목적지 주소를 제 2 소스 주소로 선택하는 단계; 상기 제 1 데이터의 타입에 따라, 복수의 주소들 중 제 2 목적지 주소를 선택하는 단계; 상기 제 1 데이터를 제 2 데이터로 선택하는 단계; 그리고 상기 제 2 소스 주소, 상기 제 2 목적지 주소, 그리고 상기 제 2 데이터를 이용하여 상기 제 2 패킷을 생성하는 단계를 포함한다.
실시 예로서, 상기 제 2 패킷을 전송하는 단계는, 상기 제 1 데이터의 타입에 따라, 복수의 암호화 방법들 중 하나의 암호화 방법을 선택하는 단계를 더 포함하고, 상기 제 1 데이터를 제 2 데이터로 선택하는 단계는, 상기 제 1 데이터를 상기 선택된 암호화 방법으로 암호화하는 단계; 그리고 상기 암호화된 제 1 데이터를 상기 제 2 데이터로 선택하는 단계를 포함한다.
실시 예로서, 상기 제 1 소스 주소 및 상기 인증 정보를 저장하는 단계; 제 3 패킷을 수신하는 단계; 상기 제 3 패킷으로부터 제 3 소스 주소, 제 3 목적지 주소, 제 3 데이터, 그리고 제 2 인증 정보를 추출하는 단계; 상기 제 2 인증 정보가 상기 저장된 인증 정보에 대응하면, 상기 제 3 패킷에 기반하여 제 4 패킷을 생성하고, 상기 제 4 패킷을 전송하는 단계를 더 포함한다.
실시 예로서, 상기 제 4 패킷을 전송하는 단계는, 상기 제 3 목적지 주소를 제 4 소스 주소로 선택하는 단계; 상기 저장된 인증 정보에 대응하는 상기 저장된 제 1 소스 주소를 제 4 목적지 주소로 선택하는 단계; 상기 제 3 데이터를 제 4 데이터로 선택하는 단계; 그리고 상기 제 4 소스 주소, 상기 제 4 목적지 주소, 그리고 상기 제 4 데이터를 이용하여 상기 제 4 패킷을 생성하는 단계를 포함한다.
실시 예로서, 상기 제 4 패킷을 전송하는 단계는, 상기 제 3 데이터의 타입에 따라, 복수의 복호화 방법들 중 하나의 복호화 방법을 선택하는 단계를 더 포함하고, 상기 제 3 데이터를 제 4 데이터로 선택하는 단계는, 상기 제 3 데이터를 상기 선택된 복호화 방법으로 복호화하는 단계; 그리고 상기 복호화된 제 3 데이터를 상기 제 4 데이터로 선택하는 단계를 포함한다.
본 발명의 실시 예들에 따르면, 네트워크 장치는 서버의 주소를 외부 네트워크에 노출하지 않고, 인증된 사용자로부터 수신되는 패킷만을 서버로 전달한다. 외부 네트워크에서 서버의 주소를 알 수 없으므로, 서버에 대한 해킹이 방지된다. 따라서, 네트워크 단계에서 해킹 시도를 차단하는 네트워크 장치 및 네트워크 장치의 패킷 전송 방법이 제공된다.
도 1은 본 발명의 실시 예에 따른 네트워크 장치를 보여주는 블록도이다.
도 2는 본 발명의 제 1 실시 예에 따른 패킷 전송 방법을 보여주는 순서도이다.
도 3은 룩업 테이블의 예를 보여준다.
도 4는 보안 등급에 따라 접근을 허용 또는 거부하는 예를 보여주는 순서도이다.
도 5는 본 발명의 제 2 실시 예에 따른 패킷 전송 방법을 보여주는 순서도이다.
도 6은 캐시의 예를 보여준다.
도 7은 본 발명의 실시 예에 따른 네트워크 장치가 적용된 제 1 실시 예에 따른 네트워크 시스템을 보여주는 도면이다.
도 8은 본 발명의 실시 예에 따른 네트워크 장치가 적용된 제 2 실시 예에 따른 네트워크 시스템을 보여주는 도면이다.
이하에서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 실시 예를 첨부된 도면을 참조하여 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 네트워크 장치(100)를 보여주는 블록도이다. 도 1을 참조하면, 네트워크 장치(100)는 패킷 분석 모듈(110), 인증 모듈(120), 판별 모듈(130), 암호화 및 복호화 모듈(140), 그리고 포워딩 모듈(150)을 포함한다.
패킷 분석 모듈(110)은 외부(예를 들어, 외부 네트워크 또는 외부 장치)로부터 패킷(P1)을 수신하고, 수신된 패킷(P1)을 분석할 수 있다. 예를 들어, 패킷 분석 모듈(110)은 수신된 패킷(P1)으로부터 소스 주소(SA1), 목적지 주소(TA1), 데이터(D1), 인증 정보(AI) 등을 추출할 수 있다. 소스 주소(SA1)는 패킷(P1)을 전송한 장치의 네트워크 주소일 수 있다. 목적지 주소(TA1)는 패킷(P1)의 목적지 장치의 네트워크 주소일 수 있다. 데이터(D1)는 패킷(P1)에 포함된 페이로드(Payload)일 수 있다. 인증 정보는 패킷(P1)을 전송한 장치가 적합한 권한을 갖는지를 가리키는 정보일 수 있다. 인증 정보(AI)는 데이터에 포함될 수 있다.
패킷 분석 모듈(110)은 패킷(P1)으로부터 추출된 인증 정보(AI)를 인증 모듈(120)로 전송할 수 있다. 예시적으로, 인증 정보(AI)는 패킷(P1)을 전송한 단말기에 저장된(또는 입력된) 식별자 또는 암호를 포함할 수 있다. 패킷 분석 모듈(110)은 인증 모듈(120)로부터 인증 결과(AR)를 수신할 수 있다. 인증 결과(AR)에 따라, 패킷 분석 모듈(110)은 패킷(P1)으로부터 추출된 데이터(D1)를 판별 모듈(130)로 전송할 수 있다. 패킷 분석 모듈(110)은 데이터(D1)와 함께, 소스 주소(SA1), 목적지 주소(TA1) 및 인증 정보(AI) 중 적어도 하나를 판별 모듈(130)로 전송할 수 있다.
인증 모듈(120)은 권한 리스트(121)를 관리하도록 구성된다. 권한 리스트(121)는 미리 정해진 서버들 또는 네트워크들에 대한 액세스 권한을 갖는 사용자들의 목록을 포함할 수 있다. 예를 들어, 권한 리스트(121)는 권한을 갖는 사용자들의 식별자들 또는 암호들을 포함할 수 있다.
인증 모듈(121)은 패킷 분석 모듈(110)로부터 인증 정보(AI)를 수신하고, 인증 정보(AI) 및 권한 리스트(121)를 이용하여 인증을 수행할 수 있다. 예를 들어, 인증 정보(AI)가 권한 리스트(121)에 등록되어 있으면, 인증 모듈(121)은 인증이 성공한 것으로 판별할 수 있다. 인증 정보(AI)가 권한 리스트(121)에 등록되어 있지 않으면, 인증 모듈(121)은 인증이 실패한 것으로 판별할 수 있다. 인증 모듈(121)은 인증이 성공하였는지 또는 실패하였는지에 대한 정보를 인증 결과(AR)로서 패킷 분석 모듈(110)로 출력할 수 있다.
권한 리스트(121)는 보안 등급에 대한 정보를 더 포함할 수 있다. 예를 들어, 권한 리스트(121)는 액세스 권한을 갖는 사용자들 각각에 할당된 보안 등급에 대한 정보를 포함할 수 있다. 인증 정보(AI)에 기반한 인증이 성공한 경우, 인증 모듈(120)은 인증 정보(AI)에 대응하는 사용자의 보안 등급에 대한 정보를 인증 결과(AR)에 포함시켜 패킷 분석 모듈(110)로 전송할 수 있다.
판별 모듈(130)은 패킷 분석 모듈(110)로부터 데이터(D1)를 수신할 수 있다. 판별 모듈(130)은 패킷 분석 모듈(110)로부터 소스 주소(SA1), 목적지 주소(TA1) 및 인증 정보(AI) 중 적어도 하나를 더 수신할 수 있다. 판별 모듈(130)은 룩업 테이블(131)을 관리하도록 구성된다. 룩업 테이블(131)은 패킷(P1)을 통해 전송 또는 요청되는 데이터의 타입에 따른 주소들을 포함할 수 있다. 판별 모듈(130)은, 룩업 테이블(131)을 참조하여, 데이터(D1)에 대응하는 주소(AD)를 선택할 수 있다. 판별 모듈(130)은 선택된 주소(AD)를 포워딩 모듈(150)로 전송할 수 있다.
룩업 테이블(131)은 데이터의 타입에 따른 암호화(또는 복호화) 방법들을 더 포함할 수 있다. 판별 모듈은, 룩업 테이블(131)을 참조하여, 데이터(D1)에 대응하는 암호화(또는 복호화) 방법을 선택하고, 암호화 정보(EI)를 암호화 및 복호화 모듈(140)로 전송할 수 있다. 판별 모듈(130)은 데이터(D1)를 암호화 및 복호화 모듈(140)로 전달할 수 있다.
룩업 테이블(131)은 데이터의 타입에 따른 보안 등급들을 더 포함할 수 있다. 판별 모듈(130)은, 룩업 테이블(131)을 참조하여, 데이터(D1)에 대응하는 보안 등급을 선택할 수 있다. 판별 모듈(130)은 패킷 분석 모듈(110)로부터 인증 정보(AI)에 대응하는 보안 등급을 수신할 수 있다. 판별 모듈(130)은 룩업 테이블(131)로부터 선택된 보안 등급 및 패킷 분석 모듈(110)로부터 수신된 보안 등급을 비교하고, 비교 결과에 따라 패킷 전송을 지속하거나 중단할 수 있다.
판별 모듈(130)은 캐시(133)를 관리할 수 있다. 판별 모듈(130)은 패킷(P1)으로부터 추출된 소스 주소(SA1) 및 인증 정보(AI)를 상호 연관하여 캐시(133)에 저장할 수 있다. 판별 모듈(130)은 패킷(P1)으로부터 추출된 인증 정보(AI)가 캐시(133)에 저장되어 있는지 판별할 수 있다. 판별 결과에 따라, 판별 모듈(130)은 데이터(D1)를 암호화 및 복호화 모듈(140)로 전송할 수 있다. 판별 모듈(130)은 캐시(133)에 저장된 소스 주소(SA1), 그리고 패킷(P1)으로부터 추출된 목적지 주소(TA1) 및 인증 정보(AI) 중 적어도 하나를 주소(AD)로서 포워딩 모듈(150)로 전송할 수 있다.
암호화 및 복호화 모듈(140)은 판별 모듈(130)로부터 데이터(D1) 및 암호화 정보(EI)를 수신할 수 있다. 암호화 정보(EI)에 응답하여, 암호화 및 복호화 모듈(140)은 수신된 데이터(D1)를 암호화 또는 복호화하여 데이터(D2)를 출력할 수 있다.
포워딩 모듈(150)은 판별 모듈(130)로부터 주소(AD)를 수신하고, 암호화 및 복호화 모듈(140)로부터 데이터(D2)를 수신할 수 있다. 포워딩 모듈(150)은 수신된 정보에 기반하여, 패킷(P2)을 생성 및 출력할 수 있다. 예시적으로, 포워딩 모듈(150)은 패킷(P1)으로부터 추출된 목적지 주소(TA1) 또는 자신의 주소를 패킷(P2)의 소스 주소로 선택할 수 있다. 포워딩 모듈(150)은 판별 모듈(130)에 의해 선택된 주소(AD)를 패킷(P2)의 목적지 주소로 선택할 수 있다. 포워딩 모듈(150)은 암호화 및 복호화 모듈(140)로부터 수신되는 데이터(D2)를 패킷(P2)의 데이터로 선택할 수 있다. 포워딩 모듈(150)은 패킷(P1)으로부터 추출된 인증 정보(AI)를 더 포함하도록 패킷(P2)을 생성할 수 있다.
예시적으로, 네트워크 장치(100)는 본 발명의 실시 예에 따른 인증 기반의 패킷 전송 기능을 구비한 라우터, 게이트웨이, 또는 패킷스위치일 수 있다. 네트워크 장치(100)는 본 발명의 실시 예에 따른 인증 기반의 패킷 전송 기능을 수행하도록 설계된 특수 목적의 네트워크 장치일 수 있다. 네트워크 장치(100)는 공용 인터넷망 및 기업망, 클라우드망과 같이 보안이 요구되는 망 사이에 제공될 수 있다.
예시적으로, 룩업 테이블(131)에 포함된 데이터의 타입에 따른 주소들은, 기업망, 클라우드망 등과 같이 보안이 요구되는 망에 연결된 서버들의 주소들일 수 있다. 네트워크 장치(100)는 서버들의 주소들을 공용 인터넷망에 노출하지 않을 수 있다. 네트워크 장치(100)는 서버들의 주소들을 요청하는 어떠한 형태의 요청이 수신되어도, 서버들의 주소들을 외부로 전송하지 않을 수 있다. 네트워크 장치(100)는 적합한 식별자 및 암호를 포함하는 패킷이 수신되면, 해당 패킷을 룩업 테이블(131)에 저장된 주소를 목표로 전송한다. 따라서, 권한 없는 사용자는 서버들의 존재를 알 수 없고, 권한 있는 사용자는 서버들에 정상적으로 접속할 수 있다. 본 발명의 실시 예에 따른 네트워크 장치(100)의 상세한 동작들은 도 2 내지 도 8을 참조하여 더 상세하게 설명된다.
예시적으로, 네트워크 장치(100)는 권한 리스트(121), 룩업 테이블(131), 또는 캐시(133)를 저장하는 메모리(미도시)를 더 포함할 수 있다. 권한 리스트(121), 룩업 테이블(131), 그리고 캐시(133)는 하나의 메모리 또는 각각 서로 다른 메모리에 저장될 수 있다.
도 2는 본 발명의 제 1 실시 예에 따른 패킷 전송 방법을 보여주는 순서도이다. 예시적으로, 네트워크 장치(100)가, 단말로부터 서버로 전송되는 패킷(예를 들어, 요청 패킷)을 처리하는 예가 도 2에 도시되어 있다. 예시적으로, 단말로부터 서버로 전송되는 패킷은, 단말의 위치를 가리키는 소스 주소, 네트워크 장치(100)의 위치를 가리키는 목적지 주소, 단말을 사용하는 사용자의 인증 정보, 그리고 데이터를 포함할 수 있다.
도 1 및 도 2를 참조하면, S110 단계에서, 패킷(P1)이 수신된다. 패킷 분석 모듈(110)은 외부 네트워크 또는 외부 장치로부터 패킷(P1)을 수신할 수 있다. 패킷(P1)은 단말로부터 서버로 전송되는 요청 패킷일 수 있다.
S120 단계에서, 패킷(P1)으로부터 인증 정보(AI)가 추출되고, 인증이 수행된다. 패킷 분석 모듈(110)은 패킷(P1)으로부터 인증 정보(AI)를 추출할 수 있다. 패킷 분석 모듈(110)은 추출된 인증 정보(AI)를 인증 모듈(120)로 전송할 수 있다. 인증 모듈(120)은 인증 정보를 권한 리스트(121)와 비교하여 인증을 수행할 수 있다.
S130 단계에서, 인증이 성공하는지 판별된다. 인증 정보(AI)가 권한 리스트(121)에 등록되어 있는 경우, 인증이 성공하는 것으로 판별될 수 있다. 인증 정보(AI)가 권한 리스트(121)에 등록되어 있지 않은 경우, 인증이 실패하는 것으로 판별될 수 있다.
인증이 실패하면, 인증 모듈(120)은 인증 실패를 가리키는 인증 결과(AR)를 패킷 분석 모듈(110)로 전송할 수 있다. 패킷 전송 모듈(110)은, 인증 결과(AR)에 응답하여, 수신된 패킷(P1)을 무시할 수 있다. 즉, 보안이 요구되는 망에 대한 접근이 거부될 수 있다(S140 단계).
인증이 성공하면, 인증 모듈(120)은 인증 성공을 가리키는 인증 결과(AR)를 패킷 분석 모듈(110)로 전송할 수 있다. 인증 모듈(120)은 인증 정보(AI)에 대응하는 보안 등급의 정보를 패킷 분석 모듈(110)로 더 전송할 수 있다. 패킷 전송 모듈(110)은, 인증 결과(AR)에 응답하여, 데이터(D1)를 판별 모듈(130)로 전송할 수 있다. 패킷 전송 모듈(110)은 목적지 주소(TA1), 인증 정보(AI) 및 보안 등급의 정보를 판별 모듈(130)로 더 전송할 수 있다
S150 단계에서, 판별 모듈(130)은 룩업 테이블(131)을 참조하여 암호화 방법 및 목적지 주소를 판별한다. 판별 모듈(130)은 패킷(P1)으로부터 추출된 데이터(D1)의 타입을 판별하고, 판별된 타입에 따라 암호화 방법 및 목적지 주소를 판별할 수 있다.
룩업 테이블(131)의 예가 도 3에 도시되어 있다. 도 1 내지 도 3을 참조하면, 제 1 타입의 데이터(D_1)는 본사 기업망의 서버 주소(AD_1)를 갖고, 보안 등급(A)을 갖고, 암호화 방법(RSA)에 대응한다. 패킷 분석 모듈(110)로부터 수신되는 데이터(D1)가 제 1 타입(D_1)인 것으로 판별되면, 판별 모듈(130)은 본사 기업망의 서버 주소(AD_1)를 선택하고, 암호화 방법(RSA)을 선택할 수 있다.
제 2 타입의 데이터(D_2)는 제 1 자사 기업망의 서버 주소(AD_2)를 갖고, 보안 등급(B)을 갖고, 암호화 방법(DDS)에 대응한다. 패킷 분석 모듈(110)로부터 수신되는 데이터(D1)가 제 2 타입(D_2)인 것으로 판별되면, 판별 모듈(130)은 제 1 자사 기업망의 서버 주소(AD_2)를 선택하고, 암호화 방법(DDS)을 선택할 수 있다.
마찬가지로, 패킷 분석 모듈(110)로부터 수신되는 데이터(D1)가 제 3 타입(D_3)인 것으로 판별되면, 판별 모듈(130)은 제 2 자사 기업망의 서버 주소(AD_3)를 선택하고, 암호화 방법(AES)을 선택할 수 있다. 데이터(D1)가 제 4 타입(D_4)인 것으로 판별되면, 판별 모듈(130)은 제 1 클라우드망의 서버 주소(AD_4) 및 암호화 방법(DES)을 선택할 수 있다. 데이터(D1)가 제 5 타입(D_5)인 것으로 판별되면, 판별 모듈(130)은 제 2 클라우드망의 서버 주소(AD_5) 및 암호화 방법(DES)을 선택할 수 있다.
데이터(D1)의 타입은 데이터(D1)의 명칭, 분류 정보, 생성 시간 정보 등에 의해 판별될 수 있다. 데이터(D1)의 타입은 데이터(D1) 또는 데이터(D1)에 의해 요청되는 정보가 어느 서버에 속하는지에 따라 판별될 수 있다. 데이터(D1)의 타입은 데이터가 저장되어 있는 위치들을 가리키는 인덱스에 의해 판별될 수 있다.
계속해서 도 1 및 도 2를 참조하면, S150 단계에서, 판별 모듈(130)은 선택된 암호화 방법에 대응하는 암호화 정보(EI) 및 데이터(D1)를 암호화 및 복호화 모듈(140)로 전송한다. 판별 모듈(130)은 선택된 서버 주소를 포워딩 모듈(150)로 전송한다. 판별 모듈(130)은 패킷(P1)으로부터 추출된 인증 정보(AI) 및 소스 주소(SA1)를 캐시(133)에 저장할 수 있다.
S160 단계에서, 암호화 및 복호화 모듈(140)은 암호화 정보(EI)에 기반하여 암호화를 수행한다. 암호화된 데이터(D2)는 포워딩 모듈(150)로 전달된다.
S170 단계에서, 목적지 주소로 패킷(P2)이 전송된다. 포워딩 모듈(150)은 패킷(P1)으로부터 추출된 목적지 주소(TA1) 또는 자신의 주소를 패킷(P2)의 소스 주소로 선택한다. 포워딩 모듈(150)은 룩업 테이블(131)로부터 선택된 서버 주소를 패킷(P2)의 목표 주소로 선택한다. 포워딩 모듈(150)은 암호화된 데이터(D2)를 패킷(P2)의 데이터로 선택한다. 포워딩 모듈(150)은 생성된 모듈을 전송할 수 있다.
예시적으로, 포워딩 모듈(150)은 인증 정보(AI)를 더 포함하도록 패킷(P2)을 생성할 수 있다.
본 발명의 실시 예들에 따르면, 서버들의 주소들은 단말들에 노출되지 않는다. 서버들에 접근하고자 하는 단말들은, 단말(100)을 목표로 인증 정보(AI)와 함께 패킷(P1)을 전송한다. 인증 정보(AI)에 기반한 인증이 성공하면, 패킷(P1)을 통해 수신된 데이터(D1)는 서버들로 전달된다. 즉, 네트워크 장치(100)는 서버들의 주소들을 망에 노출하지 않으면서, 인증된 단말들과 서버들 사이의 통신을 허용할 수 있다.
도 4는 보안 등급에 따라 접근을 허용 또는 거부하는 예를 보여주는 순서도이다. 예시적으로, 도 4의 동작 방법은 도 2의 S150 단계를 더 상세하게 보여준다. 도 1 및 도 4를 참조하면, S151 단계에서, 룩업 테이블(131)을 참조하여 암호화 방법 및 목적지 주소가 판별된다.
S153 단계에서, 인증된 사용자의 보안 등급과 목적지의 보안 등급이 비교된다. 판별 모듈(130)은 패킷 분석 모듈(110)로부터 인증 정보(AI)에 대응하는 보안 등급을 수신할 수 있다. 판별 모듈(130)은 룩업 테이블(131)로부터 데이터의 타입에 따른 보안 등급을 판별할 수 있다. 판별 모듈(130)은 수신된 보안 등급과 판별된 보안 등급을 비교할 수 있다.
S155 단계에서, 사용자의 보안 등급이 목적지의 보안 등급과 같거나 그보다 높은지 판별된다. 사용자의 보안 등급은 인증 정보(AI)에 대응하는 보안 등급일 수 있다. 목적지의 보안 등급은 룩업 테이블(131)로부터 판별되는 보안 등급일 수 있다.
사용자의 보안 등급이 목적지의 보안 등급과 같거나 그보다 높으면, 사용자는 접근 권한을 갖는 것으로 판별된다. S157 단계에서, 접근이 허용된다. 네트워크 장치(100)는 도 2의 S160 단계 및 S170 단계를 수행할 수 있다.
사용자의 보안 등급이 목적지의 보안 등급보다 낮으면, 사용자는 접근 권한을 갖지 않는 것으로 판별된다. S159 단계에서, 접근이 거부된다. 네트워크 장치(100)는 패킷(P1)을 무시할 수 있다. 네트워크 장치(100)는 보안 등급이 낮음을 알리는 패킷을, 패킷(P1)의 소스 주소(SA1)로 전송할 수 있다.
이 실시 예에 따르면, 인증된 사용자들에 대해서도, 보안 등급에 따라 서버에 대한 접근이 선택적으로 허용된다. 따라서, 네트워크의 보안성이 향상된다.
도 5는 본 발명의 제 2 실시 예에 따른 패킷 전송 방법을 보여주는 순서도이다. 예시적으로, 네트워크 장치(100)가, 서버로부터 단말로 전송되는 패킷(예를 들어, 요청에 따른 응답 패킷)을 처리하는 예가 도 5에 도시되어 있다. 예시적으로, 서버로부터 단말로 전송되는 패킷은, 서버의 위치를 가리키는 소스 주소, 네트워크 장치(100)의 위치를 가리키는 목적지 주소, 단말의 사용자의 인증 정보, 그리고 데이터를 포함할 수 있다.
도 1 및 도 5를 참조하면, S210 단계에서, 패킷(P1)이 수신된다. 패킷 분석 모듈(110)은 외부 네트워크 또는 외부 장치로부터 패킷(P1)을 수신할 수 있다. 패킷(P1)은, 단말로부터의 요청에 응답하여 서버로부터 단말로 전송되는 응답 패킷일 수 있다. 패킷 분석 모듈(110)은 수신된 패킷(P1)으로부터, 소스 주소(SA1), 목적지 주소(TA1), 인증 정보(AI), 그리고 데이터(D1)를 추출할 수 있다. 패킷 분석 모듈(1100은 소스 주소(SA1), 목적지 주소(TA1), 인증 정보(AI), 그리고 데이터(D1)를 판별 모듈(130)로 전송할 수 있다.
예시적으로, 도 2를 참조하여 설명된 바와 같이, 패킷 분석 모듈(110)은 인증 모듈(120)과 함께 인증을 수행할 수 있다. 인증이 성공하면, 패킷 분석 모듈(110)은 추출된 정보를 판별 모듈(130)로 전송할 수 있다.
S220 단계에서, 캐시(133)를 참조하여 목적지 주소가 판별된다. 도 1 및 도 2를 참조하여 상술된 바와 같이, 인증 정보(AI)의 인증이 성공하면, 판별 모듈(130)은 인증 정보(AI) 및 소스 주소(SA1)를 캐시(111)에 저장할 수 있다. 캐시(111)의 예가 도 6에 도시되어 있다.
도 6을 참조하면, 제 1 사용자의 인증 정보(AI_1)는 공용 인터넷의 주소(AD_6)와 함께 캐시(111)에 저장될 수 있다. 즉, 인증 정보(AI_1)를 포함하는 패킷은, 제 1 사용자의 단말이 연결된 공용 인터넷의 주소(AD_6)로부터 수신된 것일 수 있다. 인증 정보(AI_1)는 인증 성공한 인증 정보일 수 있다. 제 2 사용자의 인증 정보(AI_2)는 제 1 자사 기업망의 주소(AD_7)와 함께 캐시(111)에 저장될 수 있다. 즉, 인증 정보(AI_2)를 포함하는 패킷은, 제 2 사용자의 단말이 연결된 제 1 자사 기업망의 주소(AD_7)로부터 수신된 것일 수 있다. 인증 정보(AI_2)는 인증 성공한 인증 정보일 수 있다.
마찬가지로, 제 3 사용자의 인증 정보(AI_3)는 제 2 자사 기업망의 주소(AD_8)와 함께 저장될 수 있다. 제 4 사용자의 인증 정보(AI_4)는 제 1 클라우드망의 주소(AD_9)와 함께 저장될 수 있다. 제 5 사용자의 인증 정보(AI_5)는 제 2 클라우드망의 주소(AI_10)와 함께 저장될 수 있다.
계속해서 도 1, 도 5 및 도 6을 참조하면, 판별 모듈(130)은 캐시(133)를 참조하여, 패킷(P1)에 포함된 인증 정보(AI)에 대응하는 주소를 판별할 수 있다. 판별 모듈(130)은 인증 정보(AI)에 대응하는 주소를 주소(AD)로 포워딩 모듈(150)로 전송할 수 있다. 즉, 판별 모듈(130)은 캐시(133)에 저장된 단말의 주소를 포워딩 모듈(150)로 전송할 수 있다.
S230 단계에서, 룩업 테이블(131)을 참조하여, 복호화 방법이 판별된다. 판별 모듈(130)은 데이터(D1)의 타입에 따라, 룩업 테이블(131)을 참조하여 복호화 방법을 선택할 수 있다. 다른 예로서, 판별 모듈(130)은 소스 주소(SA1)에 따라, 룩업 테이블(131)을 참조하여 복호화 방법을 선택할 수 있다. 판별 모듈(130)은 선택된 복호화 방법에 대한 정보를 암호화 정보(EI)로서 암호화 및 복호화 모듈(140)로 전송할 수 있다.
S240 단계에서, 복호화가 수행된다. 암호화 및 복호화 모듈(140)은 암호화 정보(EI)에 응답하여, 판별 모듈(130)로부터 수신된 데이터(D1)를 복호화할 수 있다. 복호화된 데이터(D2)는 포워딩 모듈(150)로 출력된다.
S250 단계에서, 목적지 주소로 패킷이 전송된다. 포워딩 모듈(150)은 수신된 정보를 기반으로 패킷(P2)을 생성할 수 있다. 포워딩 모듈(150)은 패킷(P1)으로부터 추출된 목적지 주소(TA1) 또는 네트워크 장치(100)의 주소를 패킷(P2)의 소스 주소로 선택할 수 있다. 포워딩 모듈(150)은 판별 모듈(150)로부터 수신된 주소(AD), 즉 캐시(133)를 참조하여 판별된 단말의 소스 주소를 패킷(P2)의 목적지 주소로 선택할 수 있다. 포워딩 모듈(150)은 암호화 및 복호화 모듈(140)로부터 수신되는 복호화된 데이터(D2)를 패킷(P2)의 데이터로 선택할 수 있다. 포워딩 모듈(150)은 인증 정보(AI)를 더 포함하도록 패킷(P2)을 생성할 수 있다.
이 실시 예에 따르면, 네트워크 장치(100)는 서버의 주소를 외부 네트워크에 노출하지 않으면서, 서버로부터 단말로 전송되는 패킷을 처리할 수 있다.
도 7은 본 발명의 실시 예에 따른 네트워크 장치(100)가 적용된 제 1 실시 예에 따른 네트워크 시스템(10)을 보여주는 도면이다. 도 7을 참조하면, 네트워크 시스템(10)은 공용 인터넷망(20), 사내망(30), 네트워크 장치(100), 단말(200), 그리고 서버(300)를 포함한다.
공용 인터넷망(20)은 인터넷 서비스 제공자(ISP)에 의해 제공되는 통상적인 공용 인터넷망일 수 있다. 사내망(30)은 기업 또는 공공기관의 내부에 설치된 망일 수 있다. 사내망(30)은 네트워크 장치(100)를 통해 공용 인터넷망(20)에 연결될 수 있다. 네트워크 장치(100)는 사내망(30)에 연결된 서버(300)의 주소를 공용 인터넷망(20)에 노출하지 않을 수 있다. 네트워크 장치(100)는 사내망(30)과 연관된 어떠한 주소도 공용 인터넷망(20)에 노출하지 않을 수 있다.
사내망(30)의 외부에서, 단말(200)이 공용 인터넷망(20)을 통해 서버(300)에 접근하고자 할 수 있다. 예시적으로, 원격 업무, 원격 회의등을 위해, 단말(200)이 공용 인터넷망(20)을 통해 서버(300)에 접근하고자 할 수 있다. 이때, 서버(300)로의 접근이 허용된 단말(200)은 네트워크 장치(100)의 주소를 미리 저장할 수 있다.
단말(200)이 서버(300)로 요청을 전송하고자 하는 경우, 단말(200)은 네트워크 장치(100)를 목적지로, 패킷(P_1)을 전송할 수 있다. 패킷(P_1)의 소스 주소는 공용 인터넷망(20)에 연결된 단말(200)의 주소이고, 목적지 주소(AD2)는 공용 인터넷망(20)에 연결된 네트워크 장치(100)의 주소일 수 있다. 패킷(P_1)의 데이터(DATA)는 단말(200)이 서버(300)로 전송하고자 하는 요청 및 인증 정보(AI)를 포함할 수 있다. 단말(200)이 생성한 패킷(P_1)은 공용 인터넷망(20)을 통해 목적지인 네트워크 장치(100)로 전달될 수 있다(①).
네트워크 장치(100)는 단말(200)이 전송한 인증 정보(AI)를 인증할 수 있다. 인증이 성공하면, 네트워크 장치(100)는 수신된 패킷(P_1)을 패킷(P_2)으로 변환할 수 있다(②). 패킷(P_2)의 소스 주소는 사내망(30)에 연결된 네트워크 장치(100)의 주소이고, 목적지 주소는 사내망(30)에 연결된 서버(300)의 주소일 수 있다. 패킷(P_2)의 데이터(DATA)는 패킷(P_1)의 데이터(DATA)와 동일할 수 있다. 패킷(P_2)의 데이터(DATA)는 단말(200)의 인증 정보(AI)를 포함할 수 있다. 네트워크 장치(100)에 의해 변환된 패킷(P_2)은 사내망(30)을 통해 서버(300)로 전달된다(③).
서버(300)는 응답 패킷(P_3)을 단말(200)로 전송하고자 할 수 있다. 패킷(P_3)의 소스 주소(AD3)는 서버(300)의 주소일 수 있다. 패킷(P_3)의 목적지 주소(AD2)는 네트워크 장치(100)의 주소일 수 있다. 패킷(P_3)의 데이터(DATA)는 단말(200)의 인증 정보(AI)를 포함할 수 있다. 서버(300)에 의해 생성된 패킷(P_3)은 사내망(30)을 통해 네트워크 장치(100)로 전달될 수 있다(④).
네트워크 장치(100)는 서버(300)로부터 수신된 패킷(P_3)을 변환하여 패킷(P_4)을 생성할 수 있다(⑤). 네트워크 장치(100)는 패킷(P_3)에 포함된 인증 정보(AI) 및 캐시(133)를 참조하여, 단말(200)의 소스 주소를 검출할 수 있다. 패킷(P_4)의 소스 주소는 네트워크 장치(100)의 주소이고, 목적지 주소는 단말(200)의 주소일 수 있다. 패킷(P_4)의 데이터(DATA)는 패킷(P_3)의 데이터(DATA)와 동일할 수 있다. 패킷(P_4)은 공용 인터넷망(20)을 통해 단말(200)로 전달된다(⑥).
상술된 바와 같이, 네트워크 장치(100)는 사내망(30)의 주소를 공용 인터넷망(20)에 노출하지 않고, 공용 인터넷망(20)을 통해 수신되는 패킷들 중 인증된 단말의 패킷만을 사내망(30)으로 전달한다. 따라서, 사내망(30)에 대한 해킹 시도가 네트워크 장치(100)에 의해 차단될 수 있다.
도 8은 본 발명의 실시 예에 따른 네트워크 장치(100)가 적용된 제 2 실시 예에 따른 네트워크 시스템(10')을 보여주는 도면이다. 도 1 및 도 8을 참조하면, 네트워크 시스템(10')은 공용 인터넷망(20), 사내망(30), 클라우드망(40), 네트워크 장치(100), 단말(200), 사내망 서버(300), 그리고 클라우드망 서버(400)를 포함한다.
사내망(30) 및 클라우드망(40)은 해킹 차단이 요구되는 망들일 수 있다. 네트워크 장치(100)는 공용 인터넷망(20)과 사내망(30) 및 클라우드망(40) 사이에 제공될 수 있다. 즉, 네트워크 장치(100)는 공용 인터넷망과 보안이 요구되는 둘 이상의 망들 사이에 제공될 수 있다. 네트워크 장치(100)는 단말(200)로부터 전달되는 요청 패킷을 사내망 서버(300) 또는 클라우드망 서버(400)로 라우팅할 수 있다. 네트워크 장치(100)는 사내망 서버(300) 또는 사내망(30)에 연결된 단말로부터 전송되는 요청 패킷을 클라우드망 서버(400)로 라우팅할 수 있다. 네트워크 장치(100)는 클라우드망 서버(400) 또는 클라우드망(40)에 연결된 단말로부터 전송되는 요청 패킷을 클라우드망 서버(300)로 라우팅할 수 있다.
본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 자명하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100; 네트워크 장치
110; 패킷 분석 모듈
120; 인증 모듈
121; 권리 리스트
130; 판별 모듈
131; 룩업 테이블
133; 캐시
140; 암호화 및 복호화 모듈
150; 포워딩 모듈

Claims (18)

  1. 권한 있는 사용자들에 대한 정보를 포함하는 권한 리스트를 관리하도록 구성되는 인증 모듈;
    제 1 패킷을 수신하고, 상기 제 1 패킷으로부터 제 1 소스 주소, 제 1 목적지 주소, 인증 정보 및 제 1 데이터를 추출하도록 구성되는 패킷 분석 모듈;
    데이터의 타입에 따른 주소들을 룩업 테이블로서 관리하고, 상기 패킷 분석 모듈로부터 상기 제 1 데이터를 수신하고, 상기 룩업 테이블을 참조하여 상기 제 1 데이터의 타입에 따라 주소를 판별하도록 구성되는 판별 모듈; 그리고
    상기 목적지 주소를 제 2 소스 주소로, 상기 판별된 주소를 제 2 목적지 주소로, 그리고 상기 제 1 데이터를 제 2 데이터로 선택하여 제 2 패킷을 생성하고, 상기 제 2 패킷을 출력하도록 구성되는 포워딩 모듈을 포함하고,
    상기 인증 모듈은, 상기 패킷 분석 모듈로부터 상기 인증 정보를 수신하고, 상기 인증 정보가 상기 권한 리스트에 대응할 때 유효한 인증 결과를 상기 패킷 분석 모듈로 출력하도록 구성되고,
    상기 패킷 분석 모듈은, 상기 인증 모듈로부터 상기 유효한 인증 결과가 수신될 때, 상기 제 1 데이터를 상기 판별 모듈로 출력하도록 구성되는 네트워크 장치.
  2. 제 1 항에 있어서,
    상기 패킷 분석 모듈은, 상기 인증 모듈로부터 상기 유효한 인증 결과가 수신되지 않을 때, 상기 제 1 패킷을 무시하도록 구성되는 네트워크 장치.
  3. 제 1 항에 있어서,
    상기 인증 정보는 식별자 및 상기 식별자에 대응하는 암호를 포함하고,
    상기 권한 리스트는, 복수의 식별자들 및 상기 복수의 식별자들에 각각 대응하는 복수의 암호들을 포함하는 네트워크 장치.
  4. 제 1 항에 있어서,
    상기 룩업 테이블은, 복수의 데이터 정보 및 상기 복수의 데이터 정보에 각각 대응하는 복수의 주소들을 포함하고,
    상기 판별 모듈은, 상기 복수의 데이터 정보 중 상기 제 1 데이터의 정보에 대응하는 데이터 정보를 선택하고, 상기 복수의 주소들 중 상기 선택된 데이터 정보에 대응하는 주소를 판별하도록 구성되는 네트워크 장치.
  5. 제 4 항에 있어서,
    상기 제 1 데이터의 정보는,
    상기 제 1 데이터의 명칭, 분류 정보, 생성 시간 정보 중 적어도 하나를 포함하는 네트워크 장치.
  6. 제 1 항에 있어서,
    상기 룩업 테이블은, 상기 데이터의 타입에 따른 암호화 방법들의 정보를 더 포함하고,
    상기 판별 모듈은, 상기 룩업 테이블을 참조하여, 상기 제 1 데이터의 타입에 따라 암호화 방법을 선택하도록 구성되는 네트워크 장치.
  7. 제 6 항에 있어서,
    상기 판별 모듈로부터 상기 제 1 데이터를 수신하고, 상기 선택된 암호화 방법에 따라 상기 수신된 제 1 데이터를 암호화하고, 그리고 상기 암호화된 제 1 데이터를 상기 포워딩 모듈로 출력하도록 구성되는 암호화 및 복호화 모듈을 더 포함하고,
    상기 포워딩 모듈은 상기 암호화된 제 1 데이터를 상기 제 2 데이터로 선택하여 상기 제 2 패킷을 생성하도록 구성되는 네트워크 장치.
  8. 제 1 항에 있어서,
    상기 권한 리스트는 상기 권한 있는 사용자들 각각의 보안 등급에 대한 정보를 더 포함하고,
    상기 인증 모듈은 상기 인증 정보에 대응하는 보안 등급을 상기 패킷 분석 모듈로 출력하도록 구성되고,
    상기 판별 모듈은 상기 패킷 분석 모듈로부터 상기 보안 등급을 수신하도록 구성되고,
    상기 룩업 테이블은 상기 데이터의 타입에 따른 보안 등급들을 더 포함하고,
    상기 판별 모듈은, 상기 룩업 테이블을 참조하여, 상기 수신된 보안 등급이 상기 제 1 데이터의 타입에 따른 보안 등급과 같거나 그보다 높은지 판별하도록 구성되는 네트워크 장치.
  9. 제 8 항에 있어서,
    상기 판별 모듈은, 상기 수신된 보안 등급이 상기 제 1 데이터의 타입에 따른 보안 등급과 같거나 그보다 높을 때, 상기 제 1 데이터를 상기 암호화 모듈로 출력하고 상기 판별된 주소를 상기 포워딩 모듈로 출력하도록 구성되는 네트워크 장치.
  10. 제 1 항에 있어서,
    상기 판별 모듈은, 상기 제 1 소스 주소 및 상기 인증 정보를 저장하도록 구성되는 네트워크 장치.
  11. 제 10 항에 있어서,
    상기 판별 모듈은, 상기 제 1 패킷으로부터 추출된 상기 인증 정보가 저장되어 있는지 판별하도록 구성되고,
    상기 제 1 패킷으로부터 추출된 상기 인증 정보가 저장되어 있을 때, 상기 포워딩 모듈은, 상기 목적지 주소를 제 3 소스 주소로, 저장된 상기 제 1 소스 주소를 제 3 목적지 주소로, 그리고 상기 제 1 데이터를 제 3 데이터로 선택하여 제 3 패킷을 생성하고, 상기 제 3 패킷을 출력하도록 구성되는 네트워크 장치.
  12. 제 11 항에 있어서,
    상기 룩업 테이블은, 상기 데이터의 타입에 따른 복호화 방법들의 정보를 더 포함하고,
    상기 판별 모듈은, 상기 룩업 테이블을 참조하여, 상기 제 1 데이터의 타입에 따라 복호화 방법을 선택하도록 구성되는 네트워크 장치.
  13. 제 12 항에 있어서,
    상기 판별 모듈로부터 상기 제 1 데이터를 수신하고, 상기 선택된 복호화 방법에 따라 상기 수신된 제 1 데이터를 복호화하고, 그리고 상기 복호화된 제 1 데이터를 상기 포워딩 모듈로 출력하도록 구성되는 암호화 및 복호화 모듈을 더 포함하고,
    상기 포워딩 모듈은 상기 복호화된 제 1 데이터를 상기 제 3 데이터로 선택하여 상기 제 3 패킷을 생성하도록 구성되는 네트워크 장치.
  14. 네트워크 장치의 패킷 전송 방법에 있어서:
    제 1 패킷을 수신하는 단계;
    상기 제 1 패킷으로부터 제 1 소스 주소, 제 1 목적지 주소, 제 1 데이터, 그리고 인증 정보를 추출하고, 상기 추출된 인증 정보를 이용하여 인증을 수행하는 단계;
    상기 인증이 성공하면, 상기 제 1 패킷에 기반하여 제 2 패킷을 생성하고, 상기 제 2 패킷을 전송하는 단계; 그리고
    상기 인증이 실패하면 상기 제 1 패킷을 무시하는 단계를 포함하고,
    상기 제 2 패킷을 전송하는 단계는,
    상기 제 1 목적지 주소를 제 2 소스 주소로 선택하는 단계;
    상기 제 1 데이터의 타입에 따라, 복수의 주소들 중 제 2 목적지 주소를 선택하는 단계;
    상기 제 1 데이터를 제 2 데이터로 선택하는 단계; 그리고
    상기 제 2 소스 주소, 상기 제 2 목적지 주소, 그리고 상기 제 2 데이터를 이용하여 상기 제 2 패킷을 생성하는 단계를 포함하는 패킷 전송 방법.
  15. 제 14 항에 있어서,
    상기 제 2 패킷을 전송하는 단계는,
    상기 제 1 데이터의 타입에 따라, 복수의 암호화 방법들 중 하나의 암호화 방법을 선택하는 단계를 더 포함하고,
    상기 제 1 데이터를 제 2 데이터로 선택하는 단계는,
    상기 제 1 데이터를 상기 선택된 암호화 방법으로 암호화하는 단계; 그리고
    상기 암호화된 제 1 데이터를 상기 제 2 데이터로 선택하는 단계를 포함하는 패킷 전송 방법.
  16. 제 14 항에 있어서,
    상기 제 1 소스 주소 및 상기 인증 정보를 저장하는 단계;
    제 3 패킷을 수신하는 단계;
    상기 제 3 패킷으로부터 제 3 소스 주소, 제 3 목적지 주소, 제 3 데이터, 그리고 제 2 인증 정보를 추출하는 단계;
    상기 제 2 인증 정보가 상기 저장된 인증 정보에 대응하면, 상기 제 3 패킷에 기반하여 제 4 패킷을 생성하고, 상기 제 4 패킷을 전송하는 단계를 더 포함하는 패킷 전송 방법.
  17. 제 16 항에 있어서,
    상기 제 4 패킷을 전송하는 단계는,
    상기 제 3 목적지 주소를 제 4 소스 주소로 선택하는 단계;
    상기 저장된 인증 정보에 대응하는 상기 저장된 제 1 소스 주소를 제 4 목적지 주소로 선택하는 단계;
    상기 제 3 데이터를 제 4 데이터로 선택하는 단계; 그리고
    상기 제 4 소스 주소, 상기 제 4 목적지 주소, 그리고 상기 제 4 데이터를 이용하여 상기 제 4 패킷을 생성하는 단계를 포함하는 패킷 전송 방법.
  18. 제 17 항에 있어서,
    상기 제 4 패킷을 전송하는 단계는,
    상기 제 3 데이터의 타입에 따라, 복수의 복호화 방법들 중 하나의 복호화 방법을 선택하는 단계를 더 포함하고,
    상기 제 3 데이터를 제 4 데이터로 선택하는 단계는,
    상기 제 3 데이터를 상기 선택된 복호화 방법으로 복호화하는 단계; 그리고
    상기 복호화된 제 3 데이터를 상기 제 4 데이터로 선택하는 단계를 포함하는 패킷 전송 방법.
KR1020130144626A 2013-11-26 2013-11-26 네트워크 장치 및 네트워크 장치의 패킷 전송 방법 KR20150060325A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130144626A KR20150060325A (ko) 2013-11-26 2013-11-26 네트워크 장치 및 네트워크 장치의 패킷 전송 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130144626A KR20150060325A (ko) 2013-11-26 2013-11-26 네트워크 장치 및 네트워크 장치의 패킷 전송 방법

Publications (1)

Publication Number Publication Date
KR20150060325A true KR20150060325A (ko) 2015-06-03

Family

ID=53504973

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130144626A KR20150060325A (ko) 2013-11-26 2013-11-26 네트워크 장치 및 네트워크 장치의 패킷 전송 방법

Country Status (1)

Country Link
KR (1) KR20150060325A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019107794A1 (ko) * 2017-11-28 2019-06-06 주식회사 안랩 통신 관리 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019107794A1 (ko) * 2017-11-28 2019-06-06 주식회사 안랩 통신 관리 장치 및 방법

Similar Documents

Publication Publication Date Title
EP3090520B1 (en) System and method for securing machine-to-machine communications
CN109155784B (zh) 区分纵向暴力攻击与良性错误
US8307208B2 (en) Confidential communication method
US8074264B2 (en) Secure key distribution to internet clients
US11233790B2 (en) Network-based NT LAN manager (NTLM) relay attack detection and prevention
US9491174B2 (en) System and method for authenticating a user
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
AU2016218981A1 (en) Confidential communication management
US10951421B2 (en) Accessing hosts in a computer network
EP3328023B1 (en) Authentication of users in a computer network
WO2017185978A1 (zh) 一种报文解析方法及设备
EP3328025B1 (en) Accessing hosts in a hybrid computer network
KR102413497B1 (ko) 보안 전자 데이터 전송을 위한 시스템 및 방법
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
Kim et al. Self-certifying id based trustworthy networking system for iot smart service domain
KR20150060325A (ko) 네트워크 장치 및 네트워크 장치의 패킷 전송 방법
KR101548822B1 (ko) 콘텐츠 기반 네트워크의 콘텐츠 송신 방법
US20240267224A1 (en) Cyber security method and system based on multi-party and multi-factor dynamic strong encryption authentication
US12101416B2 (en) Accessing hosts in a computer network
CN114222296B (zh) 一种无线网的安全接入方法和系统
US20240323033A1 (en) System and method for pre-shared key (psk) based document security
Toapanta et al. Security Algorithms and Protocols to Mitigate Data Risks in the Cloud in a Distributed Environment
WO2023212666A1 (en) Access policy token
KR20220107431A (ko) 하드웨어 보안 모듈을 이용한 인증 서버와 디바이스 간의 상호 인증 방법 및 이를 이용한 장치
CN116886404A (zh) 一种卫星互联网密钥管理系统及方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application