KR20160138761A - Security management apparatus and method in a home network system - Google Patents

Security management apparatus and method in a home network system Download PDF

Info

Publication number
KR20160138761A
KR20160138761A KR1020150073023A KR20150073023A KR20160138761A KR 20160138761 A KR20160138761 A KR 20160138761A KR 1020150073023 A KR1020150073023 A KR 1020150073023A KR 20150073023 A KR20150073023 A KR 20150073023A KR 20160138761 A KR20160138761 A KR 20160138761A
Authority
KR
South Korea
Prior art keywords
monitoring
monitoring equipment
unit
equipment
security management
Prior art date
Application number
KR1020150073023A
Other languages
Korean (ko)
Other versions
KR101772144B1 (en
Inventor
한태수
김주생
유휘재
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020150073023A priority Critical patent/KR101772144B1/en
Priority to PCT/KR2016/005538 priority patent/WO2016190663A1/en
Publication of KR20160138761A publication Critical patent/KR20160138761A/en
Application granted granted Critical
Publication of KR101772144B1 publication Critical patent/KR101772144B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity

Abstract

According to an embodiment of the present invention, a security management apparatus for a monitoring device which monitors multiple devices and is connected to a server unit for common use includes; a connection unit electrically connected to the monitoring device; a monitoring unit monitoring a task in the monitoring device; and a control unit permitting or blocking the task based on the monitoring result of the monitoring unit.

Description

홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법{SECURITY MANAGEMENT APPARATUS AND METHOD IN A HOME NETWORK SYSTEM}TECHNICAL FIELD [0001] The present invention relates to a security management apparatus and security management method in a home network system,

본 발명은 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법에 관한 것으로, 보다 자세하게는 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안을 관리하는 장치 및 방법에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security management apparatus and a security management method in a home network system, and more particularly, to an apparatus and method for monitoring security of a monitoring apparatus connected to a common server unit.

일반적으로 홈 네트워크는 TV, 냉장고 및 에어컨 등 가정에서 사용하는 가전 제품과 도어락, 조명, 가스, 화재 등의 가정용 기기 등을 네트워크를 통해 제어가능하도록 하는 시스템을 말하며, 아파트나 오피스텔과 같은 공동 주거(거주) 공간이나 IBS(Intelligent Building System) 등에 적용되고 있다.In general, a home network is a system that enables home appliances such as TVs, refrigerators, and air conditioners, household appliances such as door locks, lights, gas, and fire to be controlled through a network. Residential) space and IBS (Intelligent Building System).

도 1은 이러한 홈 네트워크 시스템(40)을 예시적으로 도시한 도면이다. 도 1을 참조하면, 홈 네트워크 시스템(40)은 적어도 하나 이상의 세대(50)에 대한 네트워크 시스템을 지칭하고, 각 세대(50)에 설치된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 가전 제품이나 가정용 기기와 같은 다수의 기기를 모니터링하며, 이러한 모니터링 장비(52)는 공용 서버부(30)를 통해 네트워크(20)를 거쳐 외부(10)와 연결된다. 이 때, 이러한 모니터링 장비(52)는 예를 들면 각 세대(50)마다 설치되어 있는 월패드(wallpad)일 수 있다.FIG. 1 is an exemplary view of such a home network system 40. As shown in FIG. 1, the home network system 40 refers to a network system for at least one household 50, and the monitoring equipment 52 installed in each household 50 is a household appliance (not shown in FIG. 1) Such as a home appliance, and the monitoring device 52 is connected to the outside 10 via the network 20 via the public server unit 30. [ At this time, the monitoring equipment 52 may be, for example, a wall pad provided for each household 50.

그런데, 이러한 홈 네트워크 시스템(40)에는 보안상 문제가 있다. 즉, 외부(10)로부터 공용 서버부(30) 자체에 대한 공격에 대해서는 방화벽이나 기타 이미 알려진 보안 기술로 차단할 수 있지만 모니터링 장비(52) 자체의 해킹 등에 대비한 보안 기술은 아직까지 등장하지 않았기 때문이다. 이에, 외부에서 모니터링 장비(52)를 해킹할 경우, 각 세대의 출입 비밀번호 등이 탈취 또는 변조되거나 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, CCTV, 도어락, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 또는 조명 등)가 임의로 조작될 수 있으며, 또한 이러한 모니터링 장비(52)가 DDos 공격 등에 악용될 수 있다.However, the home network system 40 has a security problem. That is, although the attack from the outside 10 to the public server unit 30 itself can be blocked by a firewall or other known security technology, a security technique against hacking of the monitoring equipment 52 itself has not yet appeared to be. Therefore, when hacking the monitoring device 52 from the outside, a plurality of devices (for example, a CCTV, a door lock, a photographing means such as a camera, etc.) connected to the monitoring equipment 52, Voice input means such as a microphone or light, etc.) can be arbitrarily operated, and such monitoring equipment 52 can also be exploited for DDos attacks and the like.

따라서, 모니터링 장비(52)의 해킹에 대비하여 보안을 제공하는 기술이 요구된다.
Accordingly, there is a need for a technique for providing security against hacking of the monitoring equipment 52. [

한국공개특허공보, 10-2008-0032788 (2008.04.16 공개)Korean Unexamined Patent Publication No. 10-2008-0032788 (published Apr. 16, 2008)

본 발명의 해결하고자 하는 과제는 홈 네트워크 시스템에서 다수의 기기를 모니터링하는 모니터링 장비에 대한 보안을 제공하고 관리하는 장치 및 방법을 제공하고자 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an apparatus and method for providing and managing security for a monitoring device for monitoring a plurality of devices in a home network system.

다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. will be.

본 발명의 일 실시예에 따르면, 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치는 상기 모니터링 장비와 전기적으로 연결되는 접속부, 상기 모니터링 장비에서의 태스크를 감시하는 감시부 및 상기 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부를 포함할 수 있다.According to an embodiment of the present invention, a security management apparatus for a monitoring apparatus connected to a common server unit monitors a plurality of apparatuses includes a connection unit electrically connected to the monitoring equipment, a monitoring unit monitoring a task in the monitoring equipment, And a control unit for allowing or blocking the task based on a result monitored by the monitoring unit.

또한, 상기 보안 관리 장치는 상기 모니터링 장비 내에 포함되도록 구현되거나 또는 상기 모니터링 장비 외부에 별도로 구현되는 것을 특징으로 할 수 있다.In addition, the security management apparatus may be included in the monitoring apparatus or may be separately implemented outside the monitoring apparatus.

또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시부는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는 기기 목록 감시부를 포함할 수 있다.Also, the first device, which is at least one of the plurality of devices, is connected to the monitoring device through the gateway unit, and the monitoring unit may include a list of the second devices connected to the monitoring device, And a device list monitoring unit for monitoring the device list.

또한, 상기 감시부는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시하는 초기화 과정 감시부를 포함할 수 있다.In addition, the monitoring unit may include an initialization process monitoring unit that monitors an initialization process for enabling communication between the monitoring equipment and the gateway unit.

또한, 상기 감시부는 상기 모니터링 장비에 포함된 파일을 감시하는 파일 감시부, 상기 모니터링 장비에서의 프로세스를 감시하는 프로세스 감시부, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터를 감시하는 네트워크 감시부, 상기 모니터링 장비에 포함된 메모리에 대한 접근을 감시하는 메모리 접근 감시부 및 상기 모니터링 장비와 상기 기기 간의 통신을 감시하는 기기 통신 감시부를 포함할 수 있다.Also, the monitoring unit may include a file monitoring unit for monitoring files included in the monitoring equipment, a process monitoring unit for monitoring a process in the monitoring equipment, a monitoring unit for monitoring connection to the network of the monitoring equipment or data transmitted / A network monitoring unit, a memory access monitoring unit for monitoring access to the memory included in the monitoring equipment, and a device communication monitoring unit for monitoring communication between the monitoring equipment and the device.

또한, 상기 감시부는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.Also, the monitoring unit may monitor the task based on a preset white list or a black list.

또한, 상기 감시부는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.In addition, the monitoring unit can monitor the task through interlocking with the common server unit.

또한, 상기 감시부는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.In addition, the monitoring unit can monitor whether the response from the device to the monitoring equipment is a response when there is no request by the monitoring equipment.

또한, 상기 감시부는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.In addition, the monitoring unit may monitor whether the request received from the monitoring equipment is a request from a third equipment for which the request is not permitted.

또한, 상기 제어부는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.The control unit may also allow or block access to the file, the process, the connection to the network, the data to and from the network, the access to the memory, or the communication between the monitoring equipment and the device based on the monitored result have.

본 발명의 다른 실시예에 따른 다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치를 이용한 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계, 상기 모니터링 장비에서의 태스크를 감시하는 단계 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계를 포함할 수 있다.A security management method using a security management apparatus for a monitoring apparatus connected to a common server unit monitors a plurality of apparatuses according to another embodiment of the present invention includes a step of electrically connecting to the monitoring apparatus, Monitoring and allowing or blocking the task based on the monitored result.

또한, 상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며, 상기 감시하는 단계는 상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시할 수 있다.The first device is connected to the monitoring device through a gateway unit, and the monitoring is performed by a second device connected to the monitoring device without passing through the list of the first device or the gateway, Can be monitored.

또한, 상기 감시하는 단계는 상기 모니터링 장비와 상기 게이트웨이부 간에 통신을 가능하게 하는 초기화 과정을 감시할 수 있다.In addition, the monitoring step may monitor an initialization process for enabling communication between the monitoring equipment and the gateway unit.

또한, 상기 감시하는 단계는 상기 모니터링 장비에 포함된 파일, 상기 모니터링 장비에서의 프로세스, 상기 모니터링 장비의 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 감시할 수 있다.In addition, the monitoring may include a file included in the monitoring equipment, a process in the monitoring equipment, access to the network of the monitoring equipment, data to be transmitted to or received from the network, access to the memory included in the monitoring equipment, Monitor the communication between the monitoring device and the device.

또한, 상기 감시하는 단계는 기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시할 수 있다.In addition, the monitoring step may monitor the task based on a preset white list or a black list.

또한, 상기 감시하는 단계는 상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시할 수 있다.In addition, the monitoring step may monitor the task through interlocking with the common server unit.

또한, 상기 감시하는 단계는 상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시할 수 있다.In addition, the monitoring step may monitor whether the response from the device to the monitoring equipment is a response when there is no request by the monitoring equipment.

또한, 상기 감시하는 단계는 상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시할 수 있다.In addition, the monitoring step may monitor whether the request received from the monitoring equipment is a request from a third equipment that is not permitted.

또한, 상기 허용하거나 차단하는 단계는 상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크로의 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 차단할 수 있다.Also, the step of allowing or blocking may include accessing the file, the process, the connection to the network, the data communicating with the network, the memory contained in the monitoring equipment, or the monitoring equipment, The communication between the devices can be permitted or blocked.

본 발명의 또 다른 실시예에 따르면 보안 관리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 포함할 수 있다.
According to another embodiment of the present invention, a computer-readable recording medium having recorded thereon a program including instructions for performing each step according to a security management method may be included.

본 발명의 일 실시예에 따르면, 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.
According to an embodiment of the present invention, only an authorized user or a processor can access the monitoring equipment included in the home network system and the devices connected to the monitoring equipment, and can prevent malicious files from being generated or executed, It can monitor the communication related to the monitoring equipment and can prevent the deception or alteration of the unique information stored in the monitoring equipment. Accordingly, it is possible to prevent invasion of privacy from the outside through the monitoring equipment, and to prevent leakage of various information (internal information or personal information of the company) stored in the monitoring equipment.

도 1은 본 발명의 일 실시예에 따른 보안 관리 장치가 적용되는 홈 네트워크 시스템을 나타낸 도면이다.
도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이다.
도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이다.
도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.
도 5a 내지 5c는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 기기 간의 통신에 대한 보안을 관리하는 것을 개념적으로 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.1 is a diagram illustrating a home network system to which a security management apparatus according to an embodiment of the present invention is applied.
2A and 2B are views illustrating a configuration of a security management apparatus according to an exemplary embodiment of the present invention.
Figures 3A-3C illustrate connections between a monitoring device and a number of devices.
4A and 4B are views illustrating a configuration in which a security management apparatus according to an exemplary embodiment of the present invention is connected to monitoring equipment.
5A to 5C are conceptual diagrams illustrating a security management apparatus according to an exemplary embodiment of the present invention managing security for communication between a monitoring apparatus and a device.
FIG. 6 is a flowchart illustrating a security management method according to an exemplary embodiment of the present invention. Referring to FIG.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. To fully disclose the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

도 2a 및 2b는 본 발명의 일 실시예에 따른 보안 관리 장치의 구성을 예시적으로 도시한 도면이고, 도 3a 내지 3c는 모니터링 장비와 다수의 기기 간의 연결을 예시적으로 도시한 도면이며, 도 4a 및 4b는 본 발명의 일 실시예에 따른 보안 관리 장치가 모니터링 장비와 연결되는 구성을 예시적으로 도시한 도면이다.FIGS. 2A and 2B are views illustrating a configuration of a security management apparatus according to an exemplary embodiment of the present invention. FIGS. 3A to 3C are views illustrating a connection between a monitoring apparatus and a plurality of devices, 4A and 4B are views illustrating a configuration in which a security management apparatus according to an embodiment of the present invention is connected to a monitoring apparatus.

도 2a를 먼저 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비와 전기적으로 연결되는 접속부(110), 모니터링 장비에서의 태스크를 감시하는 감시부(120) 및 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부(130)를 포함할 수 있으며, 다만 도 2a에 도시된 구성은 예시적인 것으로 이 중 적어도 하나 이상의 구성요소를 포함하지 않거나 또는 언급하지 않은 다른 구성요소를 더 포함할 수도 있다. 아울러, 이러한 보안 관리 장치(100)는 적어도 일부의 소프트웨어와 하드웨어의 하이브리드 구현 방식에 의하여, 프로세서 및 프로세서에 의해 실행되는 명령어들을 저장하는 메모리를 포함하는 전자 디바이스 또는 컴퓨터 프로그램에 의해 선택적으로 활성화 또는 재구성되는 프로그래밍 가능한 머신(machine)상에서 구현될 수 있다.Referring to FIG. 2A, the security management apparatus 100 according to an exemplary embodiment of the present invention includes a connection unit 110 electrically connected to a monitoring device, a monitoring unit 120 monitoring a task in the monitoring equipment, And may include a control unit 130 that allows or blocks the task based on the monitored result, but the configuration shown in FIG. 2A is illustrative and not limited to the one that does not include at least one of the components, And may further include components. In addition, the security management apparatus 100 may be selectively activated or reconfigured by an electronic device or a computer program including a memory for storing instructions executed by the processor and the processor, according to a hybrid implementation of at least some software and hardware Lt; RTI ID = 0.0 > programmable < / RTI >

여기서, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 도 1에 도시된 홈 네트워크 시스템(40)의 적어도 하나의 세대(50)에 설치된 모니터링 장비(52) 각각에 적용되는 것을 전제로 설명하기로 한다. 이에, 이하에서는 먼저 도 1에 대하여 보다 자세하게 살펴보기로 하되, 본 명세서에서는 적어도 하나 이상의 '세대'를 포함하는 '홈' 네트워크 시스템이라고 지칭하고 있으나 본 발명의 사상이 단순히 '홈'이나 '세대'에 적용되는 것으로 한정되는 것은 아니다. 즉, 본 발명의 실시예에 따라서는 예를 들면 오피스텔, 사무실이나 IBS 등과 같이 공동 주거(거주) 공간에 적용될 수도 있다.Here, it is assumed that the security management apparatus 100 according to an embodiment of the present invention is applied to each of the monitoring devices 52 installed in at least one household 50 of the home network system 40 shown in FIG. 1 I will explain. Hereinafter, the home network system will be described in more detail with reference to FIG. 1, but the home network system including at least one " household " The present invention is not limited thereto. That is, according to the embodiment of the present invention, for example, it may be applied to a co-residential (residence) space such as an office tower, an office or an IBS.

도 1을 참조하면, 공용 서버부(30)는 적어도 하나의 세대(50)에 포함된 모니터링 장비(52)를 관리하는 장치이며, 예를 들면 데스크탑이나 서버 등일 수 있고, 네트워크(20)를 통해 외부(10)와 연결될 수 있다. 1, the common server unit 30 is a device that manages the monitoring equipment 52 included in at least one household 50 and can be, for example, a desktop or a server, And may be connected to the outside 10.

이러한 공용 서버부(30)는 홈 네트워크 시스템(40)에 포함된 적어도 하나 이상의 세대(50) 내의 모니터링 장비(52)와 연결되는 구조일 수 있다. 이 때, 모니터링 장비(52)와 공용 서버부(30)와의 연결에 있어서 모니터링 장비(52)는 도 1에 도시된 것과 같이 공용 서버부(30)와 직접 연결되거나 또는 이와 달리 도 1에는 도시되지 않았지만 별도의 연결 구성(예를 들면, 게이트웨이(gateway))을 통해 공용 서버부(30)와 연결될 수도 있다.The common server unit 30 may be connected to the monitoring equipment 52 in at least one or more generations 50 included in the home network system 40. At this time, in connection of the monitoring equipment 52 and the common server unit 30, the monitoring equipment 52 is directly connected to the public server unit 30 as shown in FIG. 1, or alternatively is not shown in FIG. 1 But may be connected to the common server unit 30 via a separate connection configuration (for example, a gateway).

각 세대(50)에 포함된 모니터링 장비(52)는 도 1에는 도시되지 않았지만 다수의 기기와 연결된다. 다수의 기기는 예를 들면 도어락, 조명 또는 가스, TV, 냉장고, 에어컨, 카메라와 같은 촬영 수단, 마이크와 같은 음성 입력 수단 등의 다양한 전자 제품이나 전자 기기 등을 포함할 수 있으며, 이러한 전자 제품이나 전자 기기는 IP 기반의 통신 방식을 지원하거나 기타 유선/무선 기반의 통신을 지원할 수 있다. 이하에서는 이러한 다수의 기기와 모니터링 장비 간의 연결 방식에 대하여 도 3a 내지 3c를 참고하여 살펴보기로 한다.The monitoring equipment 52 included in each household 50 is connected to a plurality of devices not shown in FIG. A plurality of devices may include various electronic products such as a door lock, a lighting or gas, a TV, a refrigerator, an air conditioner, a photographing means such as a camera, a voice input means such as a microphone, The electronic device can support IP based communication or support other wired / wireless based communication. Hereinafter, a connection method between the plurality of devices and the monitoring equipment will be described with reference to FIGS. 3A to 3C.

도 3a를 참조하면, 다수의 기기 중 제1 기기(53)는 게이트웨이부(70)를 통해서 모니터링 장비(52)에 연결될 수 있으며, 다수의 기기 중 제2 기기(55)는 게이트웨이부(70)를 통하지 않고 모니터링 장비(52)에 직접 연결될 수 있다. 게이트웨이부(70)는 다수의 장비가 지원하는 통신 방식에 상관없이(예를 들면, RS-232, RS-485, RF, TCP/IP, 블루투스, NFC 등) 이러한 다수의 장비가 모니터링 장비(52)에 연결되도록 하는 인터페이스를 제공할 수 있으며 다만 이러한 게이트웨이부(70)의 구성 및 기능은 이미 공지된 것이므로 이에 관한 자세한 설명은 생략하기로 한다.3A, the first device 53 of the plurality of devices may be connected to the monitoring device 52 through the gateway 70, and the second device 55 of the plurality of devices may be connected to the gateway 70, It can be directly connected to the monitoring equipment 52 without passing through. The gateway unit 70 may be connected to the monitoring equipment 52 (for example, RS-232, RS-485, RF, TCP / IP, Bluetooth or NFC) However, since the configuration and function of the gateway unit 70 are well known, a detailed description thereof will be omitted.

이 때, 도 3a 도시된 것과 같이 이러한 게이트웨이부(70)는 모니터링 장비(52) 내에 포함되도록 구현될 수 있으며 이와 달리 도 3b에 도시된 것과 같이 모니터링 장비(52) 외부에 별도로 구현될 수도 있다. 뿐만 아니라, 도 3c에 도시된 것과 같이 모니터링 장비(52) 내에 포함되도록 구현되면서(게이트웨이부 #1(70)) 동시에 모니터링 장비(52) 외부에 별도로 구현될 수도 있음(게이트웨이부 #2(71))은 물론이다.At this time, as shown in FIG. 3A, such a gateway unit 70 may be implemented to be included in the monitoring equipment 52, or alternatively may be separately implemented outside the monitoring equipment 52 as shown in FIG. 3B. 2 (71) may be separately implemented outside the monitoring equipment 52 while being implemented to be included in the monitoring equipment 52 as shown in FIG. 3C (the gateway unit # 1 70) Of course).

도 2a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)에 포함된 접속부(110)는 보안 관리 장치(100)와 모니터링 장비(52)를 전기적으로 연결시킨다. 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)를 감시하고 제어할 수 있다.Referring to FIG. 2A, a connection unit 110 included in the security management apparatus 100 according to an embodiment of the present invention electrically connects the security management apparatus 100 and the monitoring equipment 52. The security management apparatus 100 can monitor and control the monitoring equipment 52 through this connection unit 110. [

이 때, 도 4a를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 내에 포함되어 모니터링 장비와 전기적으로 연결되도록 구현될 수 있다. 이 경우, 접속부(110)는 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다.Referring to FIG. 4A, the security management apparatus 100 according to an exemplary embodiment of the present invention may be included in the monitoring equipment 52 to be electrically connected to the monitoring equipment. In this case, the connection unit 110 electrically connects the monitoring equipment 52 and the security management apparatus 100. For example, the connection unit 110 may include a file, a process, a communication memory, etc. Or a part where the monitoring equipment 52 performs communication with the outside or the like.

따라서, 보안 관리 장치(100)는 이러한 접속부(110)를 통해 모니터링 장비(52)에서의 파일, 모니터링 장비(52)에서의 프로세스, 모니터링 장비(52)와 외부(예를 들면 공용 서버부 또는 기기)와의 통신, 또는 모니터링 장비(52)에 포함된 메모리에 대한 접근에 관한 사항을 전달받을 수 있다.Accordingly, the security management apparatus 100 can access the file in the monitoring equipment 52, the process in the monitoring equipment 52, the monitoring equipment 52, and the external (for example, a public server or a device ), Or access to the memory contained in the monitoring equipment 52. [0050]

이와 달리, 도 4b를 참조하면 본 발명의 일 실시예에 따른 보안 관리 장치(100)는 모니터링 장비(52) 외부에 별도로 구현될 수도 있다.4B, the security management apparatus 100 according to an embodiment of the present invention may be separately implemented outside the monitoring equipment 52. [

이 때, 접속부(110)는 모니터링 장비(52)와 모니터링 장비(52) 외부에 별도로 구현된 보안 관리 장치(100) 간을 전기적으로 연결시키는데, 예를 들면 접속부(110)는 모니터링 장비(52) 내부에서 파일이나 프로세스, 통신 기타 메모리 등을 제어하는 부분 또는 모니터링 장비(52)가 외부와 통신을 수행하는 부분 등에 연결될 수 있다. 따라서, 보안 관리 장치(100)는 비록 도 2a와는 상이하게 모니터링 장비(52) 외부에 구현되어 있지만 모니터링 장비(52) 내부에서의 파일, 프로세스, 통신, 메모리에 관한 접근에 관한 사항 등에 대해서 도 2a와 동일하게 감시할 수 있다. The connection unit 110 electrically connects between the monitoring equipment 52 and the security management apparatus 100 separately implemented outside the monitoring equipment 52. For example, the connection unit 110 may include the monitoring equipment 52, A part for controlling a file, a process, a communication or other memory, etc., or a part for which the monitoring equipment 52 performs communication with the outside or the like. 2A, although the security management apparatus 100 is implemented outside the monitoring apparatus 52, the security management apparatus 100 is not limited to the configuration shown in FIG. 2A, As shown in FIG.

감시부(120)는 모니터링 장비(52)에서의 태스크(task)를 감시할 수 있다. 이를 위해, 감시부(120)는 접속부(110)가 모니터링 장비(52)에 접속하여 태스크에 관한 사항을 전달받은 뒤, 이러한 태스크에 관한 사항이 실행을 허용하는 목록에 대한 기 설정된 화이트리스트 또는 블랙리스트에 포함되어 있는지 여부로 감시할 수 있다. The monitoring unit 120 can monitor a task in the monitoring equipment 52. [ To this end, the monitoring unit 120 accesses the monitoring equipment 52 and receives the information about the task. The monitoring unit 120 then determines whether the task related to the task is a predetermined whitelist or black It can be monitored whether or not it is included in the list.

여기서, 태스크는 모니터링 장비(52)가 수행하는 작업을 지칭하는 것으로, 예를 들면 시스템 하드닝에 관한 작업, 코드 사이닝(code signing) 솔루션에 관한 작업, 인증서를 기반으로 모니터링 장비(52)에 접근하는 사용자나 기기를 인증하는 작업, 통신 상의 데이터 암호화에 관한 작업, 모니터링 장비(52)로의 접근에 일회성 패스워드(onetime password)를 적용하는 것과 관련된 작업, 보안 관제 서비스에 관한 작업, 데이터의 유출 방지에 관한 작업, 애플리케이션 보호 기술에 관한 작업, 서비스 연속성 보장에 관한 작업, 유사시 데이터 복구에 관한 작업 또는 기기의 비정상적인 사용에 관한 모니터링 등을 포함할 수 있으며 다만 이에 한정되는 것은 아니다.Here, the task refers to a task performed by the monitoring equipment 52, for example, an operation related to system hardening, an operation related to a code signing solution, The operation of encrypting data on the communication, the operation of applying a one-time password to access to monitoring equipment 52, the operation of security control service, the prevention of leakage of data But are not limited to, working with application protection techniques, working on ensuring service continuity, working on data recovery in case of need, or monitoring abnormal use of the device.

이 중 몇 가지 작업에 대하여 보다 상세하게 살펴보면, 시스템 하드닝에 관한 작업은 모니터링 장비(52)에 설치 가능한 앱(소프트웨어)과 모니터링 장비(52)에 접근 가능한 파일이나 디렉토리, 레지스트리 등의 리소스 등을 미리 정의(예를 들면, 화이트리스트 또는 블랙리스트 기반)한 뒤, 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 감시하는 것을 지칭할 수 있다.More specifically, the task of system hardening is performed by the application (software) that can be installed in the monitoring equipment 52 and resources such as a file, a directory, and a registry that can access the monitoring equipment 52 (Eg, based on a whitelist or blacklist) and then monitoring the installation or execution of an unprejudged app, or accessing resources.

또한, 코드 사이닝 솔루션에 관한 작업은 코드 사이닝이 된 애플리케이션에 대해서만 정상적으로 실행 가능하도록 함으로써 해커 등에 의해 배포된 애플리케이션은 실행되지 않도록 하는 작업을 지칭할 수 있으며, 이 때 코드 사이닝은 애플리케이션의 배포 전 실행 파일에 인증서기반으로 코드를 사인하는 것을 의미할 수 있다.In addition, the work related to the code signing solution can be normally executed only for the application that has been code-signed, so that the application distributed by the hacker or the like can not be executed. In this case, This can mean signing the code based on the certificate in the previous executable file.

또한, 인증서 기반으로 사용자나 기기를 인증하는 작업은 인증서가 설치된 사용자나 기기에 대해서만 접근을 허용하는 것을 지칭할 수 있으며, 이러한 인증서에는 예를 들면 저전력 근거리 통신을 위한 장치의 인증서, 미국 Cablelab의 케이블 모뎀의 국제 표준 인터페이스 인증서, DOCSIS의 유럽 규약 인증서 또는 시큐리티 모듈이 분리된 방송용 방식의 인증서 등을 포함할 수 있다.In addition, the authentication of a user or a device based on a certificate may refer to permitting access only to a user or a device having the certificate installed, for example, a certificate of a device for low-power short-range communication, The international standard interface certificate of the modem, the European protocol certificate of the DOCSIS, or the certificate of the separate broadcasting mode of the security module.

또한, 통신 상의 데이터 암호화에 관한 작업은 SSL 인증서를 통한 데이터 암호화를 지칭하는 것으로, 예를 들면 변조된 사이트에는 정상적인 SSL 인증서가 없는 경우 이러한 사이트로의 접속을 차단하고, 정상 사이트에 대해서는 데이터 유출을 방지하는 것을 포함할 수 있다In addition, the task of data encryption on communication refers to data encryption through SSL certificate. For example, if a moderated site does not have a normal SSL certificate, it blocks access to such site, Prevention

또한, 보안 관제 서비스에 관한 작업은 URL/IPS/FILE 등을 모니터링하는 기능을 활용하여 게이트웨이 레벨에서 엔드포인트에 대한 악성코드 여부를 감시하는 것을 지칭할 수 있다.In addition, the work related to the security control service can refer to monitoring the malicious code for the end point at the gateway level by utilizing the function of monitoring URL, IPS / FILE and the like.

또한, 데이터 유출 방지에 관한 작업은 외부로 전송되는 자료 중에서 기밀정보나 개인정보를 포함하는 자료를 탐지하여 차단 및 보고하는 것을 지칭하는 것으로, 예를 들면 IoT(사물 인터넷) 기능을 지원하는 기기로부터 기밀정보나 개인정보가 유출되는 것을 방지할 수 있다.In addition, the work related to data leakage prevention refers to the detection and blocking and reporting of data including confidential information and personal information among the data transmitted to the outside, for example, from a device supporting the IoT (Object Internet) function It is possible to prevent confidential information and personal information from being leaked.

아울러, 애플리케이션 보호 기술에 관한 작업은 모니터링 장비(52)에 저장되는 데이터에 대하여 암호화를 적용하고 비밀 데이터를 분리함으로써 이러한 데이터의 외부 유출을 차단하는 것을 지칭하는 것으로, 예를 들면 데이터 분리, 도난 관리, 암호화 및 인증 등에 관한 작업을 포함할 수 있다.In addition, work on the application protection technology refers to blocking external leakage of such data by applying encryption to data stored in the monitoring equipment 52 and separating secret data. For example, data separation, , Encryption, authentication, and the like.

이러한 감시부(120)는 전술한 작업 이외에도 도 2b에 도시된 것과 같이 파일 감시부(121), 프로세스 감시부(122), 네트워크 감시부(123), 메모리 접근 감시부(124), 초기화 과정 감시부(125) 또는 기기 통신 감시부(127)를 포함함으로써 아래와 같은 다양한 감시를 수행할 수 있고, 다만 이 중 적어도 하나 이상을 포함하지 않거나 여기에 도시되지 않은 다른 구성을 더 포함할 수도 이다.2B, the monitoring unit 120 may include a file monitoring unit 121, a process monitoring unit 122, a network monitoring unit 123, a memory access monitoring unit 124, And may further include other configurations that do not include at least one or more of the following, but may not be shown here.

파일 감시부(122)는 모니터링 장비(52)에서의 파일을 감시한다. 예를 들면, 파일 감시부(122)는 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있으며, 이 때 감시 대상인 파일에는 실행 파일, 설정 파일, 중요 데이터 파일, 레지스트리 또는 시스템 파일 등이 있을 수 있고, 보다 구체적인 예로는 모니터링 장비(52)를 이용한 세대간의 통화 내용을 저장하는 파일, 세대원이나 자동차 출입 또는 방문자 정보 등과 같은 개인정보를 저장하는 파일 등도 포함되며 다만 이에 한정되는 것은 아니다.The file monitoring unit 122 monitors a file in the monitoring equipment 52. [ For example, the file monitoring unit 122 can monitor creation, copying, deletion, movement, access, reading, writing, file name change or execution of a file based on a white list or a black list. The file to be targeted may include an executable file, a configuration file, an important data file, a registry or a system file. More specific examples include a file for storing contents of conversation between generations using the monitoring equipment 52, And the like, and the like, but the present invention is not limited thereto.

프로세스 감시부(122)는 모니터리 장비(52)에서의 프로세스를 감시한다. 예를 들면 프로세스 감시부(122)는 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.The process monitoring unit 122 monitors the process in the monitor equipment 52. [ For example, the process monitoring unit 122 may monitor the intrusion or execution of a process for disabling the operation of the security management apparatus 100 based on a whitelist or a blacklist.

네트워크 감시부(123)는 모니터링 장비(52)의 네트워크에 대한 접속 또는 네트워크를 통해 송수신되는 데이터 등을 화이트리스트 또는 블랙리스트를 기반으로 감시하며, 이 때 감시 대상인 네트워크에는 예를 들면 공용 서버부(30)로의 네트워크 접속, 기타 외부 네트워크(10)로의 네트워크 접속, 네트워크를 통해 송수신되는 패킷이나 데이터, 명령 등이 있을 수 있다.The network monitoring unit 123 monitors the connection of the monitoring equipment 52 to the network or the data transmitted and received through the network on the basis of a white list or a black list. At this time, the monitored network includes, for example, a public server unit 30, a network connection to the other external network 10, packets, data, and commands transmitted and received via the network.

메모리 접근 감시부(125)는 모니터링 장비(52)에 포함된 메모리에 대한 접근을 감시하며, 외부에서 모니터링 장비(52)에 포함된 메모리(이러한 메모리는 예를 들면 세대간의 통화 내용, 자동차 출입 정보, 세대원에 대한 개인 정보, 방문자 정보 등을 저장할 수 있음)에 접근하는 프로세스나 사용자를 화이트리스트 또는 블랙리스트를 기반으로 감시할 수 있다.The memory access monitoring unit 125 monitors accesses to the memory included in the monitoring equipment 52 and externally monitors the memory included in the monitoring equipment 52 such as the contents of conversations between households, , Personal information about household members, visitor information, etc.) can be monitored based on a whitelist or a blacklist.

초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70)와의 초기화 과정을 감시할 수 있다. 즉, 초기화 과정 감시부(126)는 모니터링 장비(52)와 게이트웨이부(70) 간의 통신을 가능하게 하는 다양한 초기화 과정을 감시할 수 있으며, 이러한 초기화 과정은 예를 들면 게이트웨이부(70)로 모니터링 장비(52)의 IP를 전달하는 과정을 포함할 수 있다.The initialization process monitoring unit 126 may monitor the initialization process of the monitoring equipment 52 and the gateway unit 70. [ That is, the initialization process monitoring unit 126 may monitor various initialization processes that enable communication between the monitoring equipment 52 and the gateway unit 70. The initialization process may be performed by, for example, And transmitting the IP of the equipment 52.

또한, 기기 목록 감시부(127)는 모니터링 장비(52)에 연결된 다수의 기기(예를 들면, 제1 기기 또는 제2 기기)의 목록을 감시할 수 있다. 보다 구체적으로 살펴보면, 기기 목록 감시부(127)는 기기 목록의 변조 또는 변경 등을 감시할 수 있으며, 아울러 기기 목록에 포함되어 있지 않은 비인가 기기의 모니터링 장비(52)로의 연결 등을 감시할 수 있다. 또한, 기기 목록 감시부(126)는 게이트웨이부(70)와 모니터링 장비(52) 간의 기기 목록 전송 과정 등을 감시할 수 있다. 여기서 기기 목록을 전송하는 과정은 모니터링 장비(52)가 게이트웨이부(70)에 연결된 기기(예를 들면 제1 기기)에 대한 정보를 게이트웨이부(70)로부터 전달받음으로써 해당 기기에 대한 조회 및 제어를 수행할 수 있도록 하는 과정을 지칭한다.The device list monitoring unit 127 may also monitor a list of a plurality of devices (e.g., a first device or a second device) connected to the monitoring equipment 52. [ More specifically, the device list monitoring unit 127 can monitor the modulation or the change of the device list, and can also monitor the connection to the monitoring device 52 of the unauthorized device that is not included in the device list . The device list monitoring unit 126 may monitor the device list transmission process between the gateway unit 70 and the monitoring equipment 52. [ Here, in the process of transmitting the device list, the monitoring device 52 receives information on the device (e.g., the first device) connected to the gateway 70 from the gateway 70, And the like.

기기 통신 감시부(127)는 모니터링 장비(52)와 다수의 기기 간의 통신을 감시할 수 있다. 예를 들면, 모니터링 장비(52)에 연결 또는 내장되어 있는 카메라와 같은 촬영 수단이나 마이크와 같은 음성 입출력 수단 등에 대한 외부로부터의 비정상적인 접근 등을 감시할 수 있다.The device communication monitoring unit 127 can monitor communication between the monitoring equipment 52 and a plurality of devices. For example, it is possible to monitor an abnormal access from the outside to a photographing means such as a camera connected to the monitoring equipment 52 or a voice input / output means such as a microphone or the like.

또한, 기기 통신 감시부(127)는 기기(53)로 전달되거나 기기(53)로부터 전달된 통신(예를 들면, 제어 명령이나 이벤트, 이하 기기 관련 통신이라고 지칭)에 대하여 감시할 수 있는데, 이하에서는 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중(half-duplex)이면서 폴링 방식인 경우를 전제로, 도 5a 내지 5c를 참조하여 살펴보기로 한다. 이 때, 반이중이면서 폴링 방식의 통신 방식에서는 마스터가 요청을 하여야 슬레이브가 응답을 수행할 수 있으며, 마스터의 요청은 모든 슬레이브로 전달이 되고, 어느 한 슬레이브의 응답은 다른 슬레이브 및 마스터로 전달이 되는 것을 전제로 살펴보기로 한다.The device communication monitoring unit 127 can monitor a communication (for example, a control command or an event, hereinafter referred to as device-related communication) transmitted to the device 53 or transmitted from the device 53 5A to 5C, it is assumed that the communication method between the monitoring device 52 and the plurality of devices is a half-duplex polling method. At this time, in half duplex and polling communication mode, a slave can perform a response when a master makes a request, a request of a master is transmitted to all slaves, and a response of one slave is transmitted to another slave and a master Let's take a look at the premise.

도 5a는 홈 네트워크 시스템에서 모니터링 장비(52)와 다수의 기기 간의 통신 방식이 반이중 방식인 경우를 개념적으로 도시한 도면이다. 도 5a를 참조하면, 반이중이면서 폴링 방식인 경우, 모니터링 장비(52)는 통신을 요청(60)하는 마스터(master)이고 기기(53)는 요청(60)에 대하여 응답(61)하는 슬레이브(slave)일 수 있다. 즉, 반이중이면서 폴링 방식의 홈 네트워크 시스템에서 다수의 기기(53)는 모니터링 장비(52)의 요청(60)이 있어야만 응답(61)할 수 있다. 아울러, 마스터인 모니터링 장비(52)가 요청(60)을 하면 슬레이브인 기기(53)가 응답을 수행할 수 있으며, 이 때의 모니터링 장비(52)의 요청은 모든 기기(53)로 전달이 되고, 어느 한 기기(53)의 응답은 다른 기기 및 모니터링 장비(52)로 전달이 된다.5A is a diagram conceptually showing a case where the communication method between the monitoring equipment 52 and a plurality of devices in the home network system is a half duplex method. Referring to FIG. 5A, in the case of a half-duplex polling scheme, the monitoring equipment 52 is a master requesting communication 60 and the device 53 is a slave for responding to the request 60 ). That is, in the half duplex and polled home network system, the plurality of devices 53 can respond 61 only when there is a request 60 of the monitoring equipment 52. In addition, when the master monitoring device 52 makes a request 60, the slave device 53 can perform a response. At this time, the request of the monitoring device 52 is transmitted to all the devices 53 , The response of any one of the devices 53 is transmitted to the other device and the monitoring device 52.

도 5b는 홈 네트워크 시스템에서 모니터링 장비(52)의 요청(60)이 없는 경우에도 기기(53)로부터 응답(61)이 있는 경우를 도시한 도면이다. 이 경우, 기기 통신 감시부(127)는 요청이 없음에도 불구하고 응답(61)이 있음을 분석할 수 있는데, 이러한 상황은 예를 들면 기기(53)가 악성 코드에 감염이 되어 요청이 없었음에도 스스로 전달하는 경우일 수 있으며, 이와 달리 도 5c와 같이 모니터링 장비(52)가 아닌 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우 이에 대하여 기기(53)가 응답한 경우일 수 있다. 5B is a diagram showing a case where there is a response 61 from the device 53 even when there is no request 60 of the monitoring equipment 52 in the home network system. In this case, the device communication monitoring unit 127 can analyze that there is a response 61 even though there is no request. This situation can be detected, for example, even when the device 53 is infected with a malicious code, If the third equipment 56, not the monitoring equipment 52, transmits a request 62 to attack the equipment 53 as shown in FIG. 5C, Lt; / RTI >

한편, 도 5c에서 모니터링 장비(52)는 기기(53)가 아닌 제3의 장비(56)로부터 기기(53)를 공격하기 위한 요청(62)이 전달된 경우 이러한 요청(62)은 마스터 역할을 하는 모니터링 장비(52)도 전달받을 수 있으며, 따라서 기기 통신 감시부(127)는 제3의 장비(56)가 공격하기 위한 요청(62)을 전달하였는지 여부를 분석할 수 있다.On the other hand, in FIG. 5C, when the monitoring device 52 receives a request 62 to attack the device 53 from a third device 56 other than the device 53, The device communication monitoring unit 127 may analyze whether the third equipment 56 has delivered the request 62 to attack.

한편, 감시부(120)의 전술한 감시는 공용 서버부(30)와의 연동을 통해 공용 서버부(30)의 도움을 받아서 감시를 수행할 수도 있다. 예를 들면, 감시부(120)가 감시를 수행할 수 없는 경우에는 공용 서버부(30)가 감시부(120)가 수행해야할 감시를 대신 수행할 수 있다. 또는, 감시부(120)가 감시한 결과를 공용 서버부(30)로 전달하고 공용 서버부(30)로부터 분석 결과를 전달받은 뒤, 분석 결과가 해당 태스크에 대한 허용이나 차단 등을 판단하는데 사용되도록 할 수도 있다.Meanwhile, the monitoring of the monitoring unit 120 may be performed in cooperation with the common server unit 30, with the help of the common server unit 30. [ For example, when the monitoring unit 120 can not perform monitoring, the common server unit 30 may perform monitoring instead of the monitoring unit 120. Alternatively, the monitoring unit 120 transmits the monitoring result to the public server unit 30 and receives the analysis result from the common server unit 30, and then uses the analysis result to determine whether to allow or block the corresponding task .

다시 도 2a로 돌아가면, 제어부(130)는 감시부(120가 감시한 결과를 기초로, 다음과 같은 태스크를 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 차단(lock down)할 수 있다. Referring back to FIG. 2A, the controller 130 may allow or block the following tasks based on the white list or the black list, based on the monitoring result of the monitoring unit 120.

예를 들면, 제어부(130)는 시스템 하드닝에 관한 작업에서 미리 정의되지 않은 앱의 설치나 실행 또는 리소스의 접근 등을 차단(락다운)할 수 있으며, 코드 사이닝 솔루션에 관한 작업에서 코드 사이닝이 되지 않은 애플리케이션의 실행을 차단(락다운)할 수 있고, 인증서 기반으로 사용자나 기기를 인증하는 작업에서 인증서가 없는 사용자나 기기에 대해서만 접근을 차단할 수 있다. 아울러, 통신 상이 데이터 암호화에 관한 작업에서 변조된 사이트로의 접속을 차단하고, 정상 사이트에 대해서 데이터 유출이 방지되도록 할 수 있다. 뿐만 아니라, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행을 차단(락다운)할 수 있으며, 보안 관리 장치(100)의 동작 자체를 무력화하려는 프로세스의 침입이나 실행 등을 차단할 수 있고, 공용 서버부(30)로의 네트워크 접속이나 기타 외부 네트워크(10)로의 네트워크 접속 등을 차단할 수 있으며, 외부에서 모니터링 장비(52)에 포함된 메모리에 접근하는 프로세스나 사용자를 기반으로 차단할 수 있다. 또한, 제어부(130)는 예를 들면 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근을 차단하거나, 메모리나 파일에 저장된 세대간 통화내용이나 개인정보, 기업내부정보 등의 유출 등을 차단할 수 있다.For example, the control unit 130 can lock down (lock down) the installation or execution of an application or access to a resource that is not defined in the work related to the system hardening. In the work related to the code signing solution, (Lock down) an application that has not been authenticated, and can only block access to a user or device without a certificate in the process of authenticating a user or a device based on a certificate. In addition, it is possible to prevent a communication from being connected to a site that has been modulated by a job related to data encryption, and to prevent data leakage to a normal site. In addition, it is possible to block (lock down) the creation, copying, deletion, movement, access, reading, writing, file name change or execution of a file, It is possible to block the network connection to the public server unit 30 or the network connection to the external network 10 and to prevent the process or the user from accessing the memory included in the monitoring equipment 52 from outside . In addition, the control unit 130 may block abnormal access to the audio input / output means such as a photographing means such as a camera or a built-in camera connected to the monitoring equipment 52, a microphone, or the like, Personal information, company internal information, etc. can be blocked.

또한, 제어부(130)는 초기화 과정에서의 데이터 등에 대한 변조나 탈취 등이 있는 경우 또는 기기 목록 전송 과정에서 모니터링 장비(52)에 연결되는 기기의 목록에 대한 변조나 탈취 등이 있는 경우 해당 통신을 차단할 수 있다.In the case where there is modulation or deodorization of data or the like in the initialization process, or when the list of the devices connected to the monitoring device 52 is altered or deodorized during the device list transmission process, Can be blocked.

아울러, 제어부(130)는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 응답(61)이나 요청(62)을 차단할 수 있다.The control unit 130 also makes a response 61 when the device 53 does not receive the request 60 from the monitoring device 52 or requests the device 53 to attack the device 53 (62), it may block such a response (61) or request (62).

추가적으로, 도 2a에는 도시되지 않았지만 저장부는 감시부(120)가 감시한 결과를 저장할 수 있으며, 이러한 저장부는 데이터를 저장하는 메모리와 같은 형태일 수 있다. 이를 통해, 홈 네트워크 시스템(40)의 관리자 또는 공용 서버부(30)는 언제든지 저장부에 저장된 데이터를 기초로 홈 네트워크 시스템(40)에 대한 보안 문제를 인식하고 관리 및 처리할 수 있다.Additionally, although not shown in FIG. 2A, the storage unit may store a result monitored by the monitoring unit 120, and the storage unit may be in the form of a memory for storing data. Accordingly, the manager or the common server unit 30 of the home network system 40 can recognize, manage, and process the security problem for the home network system 40 based on the data stored in the storage unit at any time.

아울러, 도 2a에는 도시되지 않았지만 알람부는 제어부(130)가 허용 또는 차단한 태스크 내역을 사용자 또는 관리자에게 전송할 수 있다. 예를 들면, 알람부는 차단된 앱의 설치나 실행 또는 리소스의 접근, 코드 사이닝이 되지 않은 애플리케이션의 실행에 대한 차단, 변조된 사이트로의 접속, 동작 자체를 무력화하려는 프로세스의 침입이나 실행, 모니터링 장비(52)에 연결되거나 내장된 카메라와 같은 촬영 수단 또는 마이크와 같은 음성 입출력 수단에 대한 비정상적인 접근, 메모리나 파일에 저장된 세대간 통화내용이나 개인(또는 기업)정보 등의 유출 시도 등을 사용자 또는 관리자에게 알림 메시지로 전달할 수 있으며, 다만 이는 예시적인 것으로 이에 한정되지 않고 이러한 알림 메시지는 SMS, MMS, LMS, 스마트폰의 어플리케이션 기타 다양한 형태일 수 있다.In addition, although not shown in FIG. 2A, the alarm unit may transmit the task details permitted or blocked by the control unit 130 to the user or the administrator. For example, alarms can be used to set up or run blocked applications or to access resources, to block the execution of applications that are not code-signed, to connect to moderated sites, An abnormal access to a voice input / output means such as a camera or a built-in camera such as a camera connected to the equipment 52 or a voice input / output means such as a microphone, an attempted outflow of personal information (such as business information) But it is not limited thereto. The notification message may be various forms of SMS, MMS, LMS, smart phone application, and the like.

아울러, 알람부는 기기(53)가 모니터링 장비(52)로부터 요청(60)이 없는 경우에도 응답(61)을 하거나 또는 제3의 장비(56)가 기기(53)를 공격하기 위한 요청(62)을 전달한 경우, 이러한 내역을 사용자나 관리자에게 알릴 수 있다.In addition, the alarm unit may be configured to respond 61 even if the device 53 does not have a request 60 from the monitoring equipment 52, or to request 62 the third device 56 to attack the device 53, The user or administrator can be informed of such details.

이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 보안 관리 장치에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.As described above, according to the security management apparatus according to an embodiment of the present invention, only authorized users or processors can access the monitoring equipment included in the home network system and the devices connected to the monitoring equipment, Can be prevented from being generated or executed, monitoring communication related to the monitoring equipment, and preventing deception or alteration of the unique information stored in the monitoring equipment. Accordingly, it is possible to prevent invasion of privacy from the outside through the monitoring equipment, and to prevent leakage of various information (internal information or personal information of the company) stored in the monitoring equipment.

아울러, 이하에서는 본 발명의 일 실시예에 따른 보안 관리 장치를 이용하여 홈 네트워크 시스템에서의 보안을 관리하는 방법에 대하여 살펴보기로 한다.Hereinafter, a method for managing security in a home network system using a security management apparatus according to an embodiment of the present invention will be described.

도 6은 본 발명의 일 실시예에 따른 보안 관리 방법에 대한 순서를 도시한 도면이다.FIG. 6 is a flowchart illustrating a security management method according to an exemplary embodiment of the present invention. Referring to FIG.

도 6을 참조하면, 본 발명의 일 실시예에 따른 보안 관리 방법은 상기 모니터링 장비와 전기적으로 연결되는 단계(S100), 상기 모니터링 장비에서의 태스크를 감시하는 단계(S200) 및 상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계(S300)를 포함할 수 있으며 다만, 본 발명의 사상이 도 6에 도시된 것으로 한정해석 되는 것은 아니다.Referring to FIG. 6, a security management method according to an exemplary embodiment of the present invention includes a step (S100) of electrically connecting to the monitoring equipment, a step (S200) of monitoring a task in the monitoring equipment (S300) of permitting or blocking the task as a basis, but the spirit of the present invention is not limited to that shown in FIG.

전기적으로 연결되는 단계(S100)는 예를 들면 보안 관리 장치(100)의 접속부(110)에 의해 수행되며, 이를 통해 보안 관리 장치(100)는 모니터링 장비(52)와 연결될 수 있다. 이 때, 보안 관리 장치(100)가 모니터링 장비(52) 내에 포함되는 경우 및 보안 관리 장치(100)가 모니터링 장비(52) 외부에 별도로 구현되는 경우 각각에 대하여 접속부(110)가 모니터링 장비(52)와 보안 관리 장치(100) 간을 전기적으로 연결시킬 수 있음은 전술한 바와 같다.The step S100 to be electrically connected is performed, for example, by the connection unit 110 of the security management apparatus 100 through which the security management apparatus 100 can be connected to the monitoring equipment 52. [ At this time, when the security management apparatus 100 is included in the monitoring equipment 52 and when the security management apparatus 100 is separately implemented outside the monitoring equipment 52, the connection unit 110 is connected to the monitoring equipment 52 And the security management apparatus 100 can be electrically connected to each other as described above.

감시하는 단계(S200)는 예를 들면 보안 관리 장치(100)의 감시부(120)에 의해 수행되며, 이를 통해 보안 모니터링 장비(52)에서의 파일이나 프로세스, 네트워크 접속이나 메모리에 대한 접근, 초기화 과정이나 기기 목록 전송 과정, 그리고 모니터링 장비(52)와 기기 간의 통신이 감시될 수 있으며, 이는 전술한 바와 같다.The monitoring step S200 is performed, for example, by the monitoring unit 120 of the security management apparatus 100, through which a file or a process in the security monitoring equipment 52, access to a network connection or a memory, The process, device list transmission process, and communication between the monitoring device 52 and the device may be monitored, as described above.

허용하거나 차단하는 단계(S300)는 감시하는 단계(S200)에서의 감시 결과를 기초로 화이트리스트 또는 블랙리스트에 기반하여 해당 태스크를 차단하거나 허용할 수 있다. 예를 들면, 시스템 하드닝에 관한 작업이나 코드 사이닝 솔루션에 관한 작업, 파일의 생성, 복사, 삭제, 이동, 접근, 읽기, 쓰기, 파일 이름의 변경 또는 실행, 프로세스의 침입이나 실행 등에 대하여 화이트리스트 또는 블랙리스트를 기반으로 허용하거나 또는 차단할 수 있음은 전술한 바와 같다.The step of allowing or blocking S300 may block or allow the task based on the whitelist or blacklist based on the monitoring result in step S200 of monitoring. For example, you can work on system hardening, working with code signing solutions, creating, copying, deleting, moving, accessing, reading, writing, changing file names, It is possible to allow or block based on a list or blacklist as described above.

이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따르면 홈 네트워크 시스템에 포함된 모니터링 장비 및 이러한 모니터링 장비에 연결된 기기에 대하여 인가된 사용자 또는 프로세서만 접근하도록 할 수 있으며, 악성 파일의 생성 또는 실행 자체를 차단할 수 있고, 모니터링 장비와 관련된 통신을 감시할 수 있으며, 모니터링 장비에 저장된 고유 정보에 대한 탈취나 변조 등을 차단할 수 있다. 이에 따라, 이러한 모니터링 장비를 통한 외부로부터의 사생활 침해를 방지할 수 있으며, 모니터링 장비에 저장된 다양한 정보(기업의 내부정보나 개인정보 등)의 유출 또한 차단할 수 있다.As described above, according to the embodiment of the present invention, only the authorized user or the processor can access the monitoring equipment included in the home network system and the devices connected to the monitoring equipment, Can monitor the communication related to the monitoring equipment, and can prevent the deception or alteration of the unique information stored in the monitoring equipment. Accordingly, it is possible to prevent invasion of privacy from the outside through the monitoring equipment, and to prevent leakage of various information (internal information or personal information of the company) stored in the monitoring equipment.

본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리, 기록 매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Combinations of each step of the flowchart and each block of the block diagrams appended to the present invention may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created. These computer program instructions may be stored in a computer-usable or computer-readable memory, a recording medium, capable of directing a computer or other programmable data processing apparatus to implement a function in a particular manner, It is also possible for the instructions stored in the readable memory to produce an article of manufacture containing instruction means for performing the function described in each block or flowchart of each block diagram. Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the processing equipment provide the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, two blocks or steps shown in succession may in fact be performed substantially concurrently, or the blocks or steps may sometimes be performed in reverse order according to the corresponding function.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

100: 보안 관리 장치
110: 접속부 120: 감시부
130: 제어부100: security management device
110: connection unit 120:
130:

Claims (20)

다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치에 있어서,
상기 모니터링 장비와 전기적으로 연결되는 접속부;
상기 모니터링 장비에서의 태스크를 감시하는 감시부; 및
상기 감시부가 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 제어부를 포함하는
보안 관리 장치.
1. A security management apparatus for a monitoring apparatus connected to a common server unit for monitoring a plurality of apparatuses,
A connection unit electrically connected to the monitoring equipment;
A monitoring unit for monitoring a task in the monitoring equipment; And
And a control unit for allowing or blocking the task based on a result monitored by the monitoring unit
Security management device.
제 1 항에 있어서,
상기 보안 관리 장치는,
상기 모니터링 장비 내에 포함되도록 구현되거나 또는 상기 모니터링 장비 외부에 별도로 구현되는 것을 특징으로 하는
보안 관리 장치.
The method according to claim 1,
The security management apparatus includes:
Characterized in that it is embodied in the monitoring equipment or separately implemented outside the monitoring equipment
Security management device.
제 1 항에 있어서,
상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며,
상기 감시부는,
상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는 기기 목록 감시부를 포함하는
보안 관리 장치.
The method according to claim 1,
Wherein at least one of the plurality of devices is connected to the monitoring equipment through a gateway unit,
Wherein,
And a device list monitoring unit for monitoring a list of the first devices or a list of second devices connected to the monitoring device without going through the gateway unit
Security management device.
제 3 항에 있어서,
상기 감시부는,
상기 모니터링 장비와 상기 게이트웨이부 간의 통신을 가능하게 하는 초기화 과정을 감시하는 초기화 과정 감시부를 포함하는
보안 관리 장치.
The method of claim 3,
Wherein,
And an initialization process monitoring unit for monitoring an initialization process for enabling communication between the monitoring equipment and the gateway unit
Security management device.
제 1 항에 있어서,
상기 감시부는,
상기 모니터링 장비에 포함된 파일을 감시하는 파일 감시부;
상기 모니터링 장비에서의 프로세스를 감시하는 프로세스 감시부;
상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터를 감시하는 네트워크 감시부;
상기 모니터링 장비에 포함된 메모리에 대한 접근을 감시하는 메모리 접근 감시부; 및
상기 모니터링 장비와 상기 기기 간의 통신을 감시하는 기기 통신 감시부를 포함하는
보안 관리 장치.
The method according to claim 1,
Wherein,
A file monitoring unit monitoring a file included in the monitoring equipment;
A process monitoring unit for monitoring processes in the monitoring equipment;
A network monitoring unit monitoring a connection of the monitoring equipment to the network or data transmitted to and receiving from the network;
A memory access monitoring unit for monitoring access to a memory included in the monitoring equipment; And
And a device communication monitoring unit for monitoring communication between the monitoring equipment and the device
Security management device.
제 1 항에 있어서,
상기 감시부는,
기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시하는
보안 관리 장치.
The method according to claim 1,
Wherein,
And monitors the task based on a predetermined whitelist or blacklist
Security management device.
제 1 항에 있어서,
상기 감시부는,
상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시하는
보안 관리 장치.
The method according to claim 1,
Wherein,
And monitors the task through interlocking with the common server unit
Security management device.
제 1 항에 있어서,
상기 감시부는,
상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시하는
보안 관리 장치.
The method according to claim 1,
Wherein,
Whether the response from the device to the monitoring device is a response when there is no request by the monitoring device
Security management device.
제 1 항에 있어서,
상기 감시부는,
상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시하는
보안 관리 장치.
The method according to claim 1,
Wherein,
Monitors whether the request received by the monitoring equipment is a request from a third party that is not authorized
Security management device.
제 5 항에 있어서,
상기 제어부는,
상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 또는 차단하는
보안 관리 장치.

6. The method of claim 5,
Wherein,
Accepting or blocking the file, the process, the connection to the network, the data communicating with the network, the access to the memory, or the communication between the monitoring equipment and the device based on the monitored result
Security management device.

다수의 기기를 모니터링하며 공용 서버부와 연결되는 모니터링 장비에 대한 보안 관리 장치를 이용한 보안 관리 방법에 있어서,
상기 모니터링 장비와 전기적으로 연결되는 단계;
상기 모니터링 장비에서의 태스크를 감시하는 단계; 및
상기 감시한 결과를 기초로 상기 태스크를 허용하거나 차단하는 단계를 포함하는
보안 관리 방법.
A security management method using a security management apparatus for a monitoring apparatus connected to a common server unit and monitoring a plurality of devices,
Electrically connecting the monitoring equipment;
Monitoring a task in the monitoring equipment; And
And allowing or blocking the task based on the monitored result
How to manage security.
제 11 항에 있어서,
상기 다수의 기기 중 적어도 하나 이상인 제1 기기는 게이트웨이부를 통해서 상기 모니터링 장비에 연결되며,
상기 감시하는 단계는,
상기 제1 기기의 목록 또는 상기 게이트웨이부를 통하지 않고 상기 모니터링 장비에 연결되는 제2 기기의 목록을 감시하는
보안 관리 방법.
12. The method of claim 11,
Wherein at least one of the plurality of devices is connected to the monitoring equipment through a gateway unit,
Wherein the monitoring comprises:
Monitors a list of the first devices or a list of second devices connected to the monitoring device without going through the gateway
How to manage security.
제 12 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비와 상기 게이트웨이부 간의 통신을 가능하게 하는 초기화 과정을 감시하는
보안 관리 방법.
13. The method of claim 12,
Wherein the monitoring comprises:
Monitoring an initialization process enabling communication between the monitoring equipment and the gateway unit
How to manage security.
제 11 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비에 포함된 파일, 상기 모니터링 장비에서의 프로세스, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 감시하는
보안 관리 방법.
12. The method of claim 11,
Wherein the monitoring comprises:
A file included in the monitoring equipment, a process in the monitoring equipment, a connection to the network of the monitoring equipment or data communicated with the network, access to memory contained in the monitoring equipment, or communication between the monitoring equipment and the equipment To monitor
How to manage security.
제 11 항에 있어서,
상기 감시하는 단계는,
기 설정된 화이트리스트 또는 블랙리스트를 기초로 상기 태스크를 감시하는
보안 관리 방법.
12. The method of claim 11,
Wherein the monitoring comprises:
And monitors the task based on a predetermined whitelist or blacklist
How to manage security.
제 11 항에 있어서,
상기 감시하는 단계는,
상기 공용 서버부와의 연동을 통하여 상기 태스크를 감시하는
보안 관리 방법.
12. The method of claim 11,
Wherein the monitoring comprises:
And monitors the task through interlocking with the common server unit
How to manage security.
제 14 항에 있어서,
상기 감시하는 단계는,
상기 기기로부터 상기 모니터링 장비로의 응답이, 상기 모니터링 장비에 의한 요청이 없었을 때의 응답인지 여부를 감시하는
보안 관리 방법.
15. The method of claim 14,
Wherein the monitoring comprises:
Whether the response from the device to the monitoring device is a response when there is no request by the monitoring device
How to manage security.
제 11 항에 있어서,
상기 감시하는 단계는,
상기 모니터링 장비에 수신되는 요청이 허가되지 않은 제3의 장비로부터의 요청인지 여부를 감시하는
보안 관리 방법.
12. The method of claim 11,
Wherein the monitoring comprises:
Monitors whether the request received by the monitoring equipment is a request from a third party that is not authorized
How to manage security.
제 14 항에 있어서,
상기 허용하거나 차단하는 단계는,
상기 감시한 결과를 기초로 상기 파일, 상기 프로세스, 상기 모니터링 장비의 네트워크에 대한 접속 또는 상기 네트워크와 송수신하는 데이터, 상기 모니터링 장비에 포함된 메모리에 대한 접근 또는 상기 모니터링 장비와 상기 기기 간의 통신을 허용하거나 또는 차단하는
보안 관리 방법.
15. The method of claim 14,
The step of allowing or blocking comprises:
Accessing a network of the monitoring equipment, or data communicating with the network, accessing memory contained in the monitoring equipment, or allowing communication between the monitoring equipment and the device based on the monitored results; Or block
How to manage security.
제 11 항 내지 제 19항 중 어느 한 항의 보안 관리 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
A computer-readable recording medium having recorded thereon a program for executing each step according to the security management method of any one of claims 11 to 19.
KR1020150073023A 2015-05-26 2015-05-26 Security management apparatus and method in a home network system KR101772144B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150073023A KR101772144B1 (en) 2015-05-26 2015-05-26 Security management apparatus and method in a home network system
PCT/KR2016/005538 WO2016190663A1 (en) 2015-05-26 2016-05-25 Security management device and security management method in home network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150073023A KR101772144B1 (en) 2015-05-26 2015-05-26 Security management apparatus and method in a home network system

Publications (2)

Publication Number Publication Date
KR20160138761A true KR20160138761A (en) 2016-12-06
KR101772144B1 KR101772144B1 (en) 2017-09-12

Family

ID=57394114

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150073023A KR101772144B1 (en) 2015-05-26 2015-05-26 Security management apparatus and method in a home network system

Country Status (2)

Country Link
KR (1) KR101772144B1 (en)
WO (1) WO2016190663A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102005318B1 (en) * 2018-02-22 2019-07-30 피타입 주식회사 Method And Apparatus for Providing Home Networking for Preventing Hacking
KR102307837B1 (en) * 2021-02-25 2021-10-05 주식회사 맥데이타 Centralized collection and storage method and system for multiplex house home network data
US11372966B2 (en) 2017-06-16 2022-06-28 Hanwha Techwin Co., Ltd. Image processing apparatus, authentication apparatus, and user authentication method of image processing apparatus

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535767A (en) * 2019-09-03 2019-12-03 北京百佑科技有限公司 Intelligent door lock, intelligent gateway and the communication means in cloud and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080032788A (en) 2006-10-11 2008-04-16 이승훈 Homenetwork system having the preservation function

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080113791A (en) * 2007-06-26 2008-12-31 주식회사 케이티 Method and system for home network security management
KR100947211B1 (en) * 2008-02-21 2010-03-11 주식회사 조은시큐리티 System for active security surveillance
KR20110087594A (en) * 2010-01-26 2011-08-03 삼성전자주식회사 Method and apparatus for preventing illegal access to network
KR101769472B1 (en) * 2011-02-25 2017-08-18 삼성전자주식회사 Network system and control method for the same
US9258321B2 (en) * 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080032788A (en) 2006-10-11 2008-04-16 이승훈 Homenetwork system having the preservation function

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11372966B2 (en) 2017-06-16 2022-06-28 Hanwha Techwin Co., Ltd. Image processing apparatus, authentication apparatus, and user authentication method of image processing apparatus
KR102005318B1 (en) * 2018-02-22 2019-07-30 피타입 주식회사 Method And Apparatus for Providing Home Networking for Preventing Hacking
KR102307837B1 (en) * 2021-02-25 2021-10-05 주식회사 맥데이타 Centralized collection and storage method and system for multiplex house home network data

Also Published As

Publication number Publication date
WO2016190663A1 (en) 2016-12-01
KR101772144B1 (en) 2017-09-12

Similar Documents

Publication Publication Date Title
US11936619B2 (en) Combined security and QOS coordination among devices
KR101634295B1 (en) System and method for providing authentication service for iot security
Heartfield et al. A taxonomy of cyber-physical threats and impact in the smart home
US9088861B2 (en) Method and apparatus for bearer and server independent parental control on smartphone, managed by smartphone
WO2012019410A1 (en) Method and apparatus for preventing illegal encroachment in internal network of intelligent home
JP2016537894A (en) Security gateway for local / home networks
KR101772144B1 (en) Security management apparatus and method in a home network system
Aldahmani et al. Cyber-security of embedded IoTs in smart homes: Challenges, requirements, countermeasures, and trends
KR102130950B1 (en) System and method for secure appliance operation
Mantoro et al. Secured communication between mobile devices and smart home appliances
KR101881061B1 (en) 2-way communication apparatus capable of changing communication mode and method thereof
KR101592323B1 (en) System and method for remote server recovery
US20220329429A1 (en) System and method for authorizing access to smart devices in a local environment
Wendzel Covert and side channels in buildings and the prototype of a building-aware active warden
EP3018878B1 (en) Firewall based prevention of the malicious information flows in smart home
KR102110383B1 (en) Mobile Security System based on Block Chain
US20210021635A1 (en) Network denial of service defense method and system
Wells Better Practices for IoT Smart Home Security
Wall et al. Software-defined security architecture for smart buildings using the building information model
KR102455515B1 (en) Security System and Method for Home Network Access
KR101591053B1 (en) Remote control method and system using push service
Doan Smart Home with Resilience Against Cloud Disconnection
GB2574334A (en) Combined security and QOS coordination among devices
Garcia et al. Security in intelligent home
Winfield Smart Homes: A Threat Analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant