KR20180069610A - 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 - Google Patents

가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 Download PDF

Info

Publication number
KR20180069610A
KR20180069610A KR1020160171950A KR20160171950A KR20180069610A KR 20180069610 A KR20180069610 A KR 20180069610A KR 1020160171950 A KR1020160171950 A KR 1020160171950A KR 20160171950 A KR20160171950 A KR 20160171950A KR 20180069610 A KR20180069610 A KR 20180069610A
Authority
KR
South Korea
Prior art keywords
agent
management unit
gateway
access control
authentication
Prior art date
Application number
KR1020160171950A
Other languages
English (en)
Inventor
김기철
이준희
Original Assignee
주식회사 포스링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스링크 filed Critical 주식회사 포스링크
Priority to KR1020160171950A priority Critical patent/KR20180069610A/ko
Publication of KR20180069610A publication Critical patent/KR20180069610A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

본 발명은 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법에 관한 것이다. 이를 위한 본 발명의 가상 사설망에서의 접근 통제 제공 장치는 적어도 하나의 제 1 에이전트(IH: Initiating Host); 게이트웨이; 제 2 에이전트(AH: Accepting Host); 및 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하고, 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하며, 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 제 1 에이전트(IH)로 제공하는 관리부를 포함하는 것을 특징으로 한다.

Description

가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법{APPARATUS FOR PROVIDING ACCESS CONTROL IN VIRTUAL PRIVATE NETWORK AND METHOD FOR OPERATING THE SAME}
본 발명은 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법에 관한 것이고, 보다 상세하게 가상 사설망에서 능동적으로 에이전트들 간의 접근 통제를 수행할 수 있는 장치 및 이의 동작 방법에 관한 것이다.
가상 사설망(VPN: virtual private network)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망을 나타낸다. 가상 사설망(VPN)은 지사 사용자가 본사의 내부시스템에 접근하도록 Site-To-Site 방식으로 구성하거나 외부사용자가 내부시스템을 접근하도록 하는 원격접근(Remote Access) 방식으로 구성될 수 있다.
이러한 가상 사설망(VPN)은 Site-To-Site 방식과 원격 접근 방식 모두, 지사 사용자 또는 외부 사용자가 VPN 게이트웨이에 접근될 시, 특별한 권한 없이도 본사의 모든 내부 시스템과 네트워크 통신이 가능한 문제점이 존재한다. 즉, 종래의 기술은 일단 사설IP를 설정하거나 원격접근을 통하여 가상 사설망의 VPN 게이트웨이에 접근하면 특별한 권한 없이 가상 사설망 내의 모든 시스템과 네트워크 통신이 가능하므로, 보안에 취약한 문제점을 내포하고 있다.
이에 관련하여, 발명의 명칭이 "사설 네트워크 시스템 및 그를 구현하는 방법"인 한국등록특허 제1463404호가 존재한다.
본 발명은 가상 사설망에서 능동적으로 에이전트들 간의 접근 통제를 수행할 수 있는 장치 및 이의 동작 방법을 제공하는데 그 목적이 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 가상 사설망에서의 접근 통제 제공 장치는 적어도 하나의 제 1 에이전트(IH: Initiating Host); 게이트웨이; 제 2 에이전트(AH: Accepting Host); 및 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하고, 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하며, 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 제 1 에이전트(IH)로 제공하는 관리부를 포함하는 것을 특징으로 한다.
또한, 제 2 에이전트(AH)는 관리부와의 통신을 통해 인증을 수행하되, 관리부로부터 인가된 제 1 에이전트(IH)와만 통신이 허용될 수 있다.
또한, 제 1 에이전트(IH)는 관리부로부터 수신된 접속 정보와 정책 정보를 이용하여 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와 통신을 수행할 수 있다.
또한, 제 1 에이전트(IH)와 제 1 에이전트(IH)가 통신 가능한 제 2 에이전트에 연결된 게이트웨이 간에는 통신 터널이 생성되고, 제 1 에이전트(IH)는 통신 터널을 통해 제 2 에이전트(AH)와 통신을 수행할 수 있다.
또한, 제 1 에이전트(IH)는 관리부로 제 1 에이전트(IH)에 대한 인증 요청 정보를 송신하고, 인증 요청 정보는 게이트웨이 프로파일에 대한 인증서 정보, ID 정보 및 패스워드 정보를 포함할 수 있다.
또한, 관리부는 제 1 에이전트(IH)로부터 송신된 인증 요청 정보를 분석함으로써, 제 1 에이전트(IH)에 대한 인증을 수행할 수 있다.
또한, 관리부는 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 근거로 인증 및 접근 제어를 더 수행할 수 있다.
또한, 게이트웨이는 IPSec VPN을 제공할 수 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 적어도 하나의 제 1 에이전트(IH), 게이트웨이, 제 2 에이전트(AH); 및 관리부를 포함하는 가상 사설망에서의 접근 통제 제공 장치의 동작 방법은 관리부에 의해, 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계; 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하는 단계; 및 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 제 1 에이전트(IH)로 제공하는 단계를 포함하는 것을 특징으로 한다.
또한, 제 2 에이전트(AH)는 상기 관리부와의 통신을 통해 인증을 수행하되, 관리부로부터 인가된 제 1 에이전트(IH)와만 통신이 허용될 수 있다.
또한, 제 1 에이전트(IH)는 관리부로부터 수신된 접속 정보와 정책 정보를 이용하여 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와 통신을 수행할 수 있다.
또한, 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 방법은 제 1 에이전트(IH)와 제 1 에이전트(IH)가 통신 가능한 제 2 에이전트에 연결된 게이트웨이 간 통신 터널을 생성하는 단계를 더 포함하고, 제 1 에이전트(IH)는 통신 터널을 통해 제 2 에이전트(AH)와 통신을 수행할 수 있다.
또한, 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 방법은 제 1 에이전트(IH)에 의해, 관리부로 제 1 에이전트(IH)에 대한 인증 요청 정보를 송신하는 단계를 더 포함하고, 인증 요청 정보는 게이트웨이 프로파일에 대한 인증서 정보, ID 정보 및 패스워드 정보를 포함할 수 있다.
또한, 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계는 제 1 에이전트(IH)로부터 송신된 인증 요청 정보를 분석함으로써, 제 1 에이전트(IH)에 대한 인증을 수행하는 단계를 포함할 수 있다.
또한, 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계는 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 근거로 인증 및 접근 제어를 수행하는 단계를 더 포함할 수 있다.
또한, 게이트웨이는 IPSec VPN을 제공할 수 있다.
본 발명의 일 실시예에 따른 접근 통제 제공 장치 및 이의 동작 방법에 따르면, SDP(Software Defined Perimeter) 프로토콜의 적용을 통해 가상 사설망에서 능동적으로 에이전트들 간의 접근 통제를 수행할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치에 대한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치에서 사용되는 SDP 프로토콜을 설명하기 위한 개념도이다.
도 3a 및 도 3b는 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치를 통한 터널링 방법을 설명하기 위한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치의 동작 방법에 대한 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명의 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법에 대하여 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치(100)에 대한 개념도이다. 위에서 설명한 것처럼, 본 발명의 일 실시예에 따른 접근 통제 제공 장치(100)는 가상 사설망에서 능동적으로 에이전트들 간의 접근 통제를 수행하는 것을 특징으로 한다. 이를 위해, 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치(이하, 접근 통제 제공 장치(100))는 도 1에 도시된 것처럼, 제 1 에이전트(IH: Initiating Host, 110), 게이트웨이(120), 제 2 에이전트(AH: Accepting Host, 130) 및 관리부(140)를 포함하여 구성될 수 있다.
여기서, 제 1 에이전트(IH, 110)는 접속 요청을 하는 호스트(예를 들어, 사용자 단말기 등)를 나타내고, 제 2 에이전트(AH, 130)는 접속 요청을 받는 호스트 예를 들어, 클라우드 서버(131) 및 기업(또는 기관)의 인트라넷 서버(132)를 나타낼 수 있다. 또한, 게이트웨이(120)는 VPN 게이트웨이를 나타낼 수 있고, IPSec VPN을 제공할 수 있다.
즉, 제 1 에이전트(IH, 110)가 접속 요청을 하면, 아래에서 설명되는 관리부(120)를 통한 일련의 동작이 수행되고, 제 1 에이전트(IH, 110)와 게이트웨이 간에는 통신 터널이 생성될 수 있다.
여기서, 관리부(120)는 이러한 통신 터널을 생성하기 전 과정을 능동적으로 수행하는 것을 특징으로 한다. 일반적으로, 종래기술에 따른 VPN 통신 기법은 관리자가 단말기, 게이트웨이, 그리고 서버에 인증 및 인가를 위한 정보를 직접적으로 입력하는 과정이 요구되고, 이러한 직접적인 입력 과정 이후, 인가된 단말이 서버에 접속이 이루어진다. 다만, 이러한 방식은 관리자의 작업이 증대되고, 해커 등에 의한 공격에도 취약한 문제가 있다.
이에 따라, 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치(100)는 능동적이면서도, 보안이 강력하도록 SDP(Software Defined Perimeter) 프로토콜을 이용한 것을 특징으로 한다. 여기서, SDP 프로토콜의 기본 개념은 도 2에 도시된다.
도 2에 도시된 것처럼, 복수의 호스트들(Initiating SDP 호스트와 Accepting SDP 호스트)이 존재하고, Initiating SDP 호스트와 Accepting SDP 호스트는 각각 통신 접속을 개시하거나, 통신 접속 요청을 수락할 수 있다. 이들 동작은 보안 제어 채널을 통한 SDP 제어기(controller)와의 상호 작용을 통해 관리된다. 즉, SDP 프로토콜은 SDP 제어기를 통해 SDP 호스트 간 통신 제어를 수행할 수 있다. 또한, SDP 프로토콜은 데이터 통신 채널과 제어 통신 채널을 구분하여 통신을 수행할 수 있고, 각 채널은 분리되어 통신 시스템의 확장성을 보장할 수 있다. 또한, 위에서 언급된 SDP 제어기, Initiating SDP 호스트, 그리고 Accepting SDP 호스트는 다음과 같이 정의될 수 있다.
먼저, SDP 제어기는 SDP 호스트들(IH, AH)이 서로 통신할 수 있도록 제어를 수행하는 기능을 한다. 여기서, SDP 제어기는 인증, 지리적 위치 및/또는 신원 확인 서버와 같은 외부 인증 서비스로 정보를 중계할 수 있다.
Initiating SDP 호스트들(IH)은 Initiating SDP 호스트(IH)들이 접속할 수 있는 Accepting SDP 호스트(AH)의 리스트를 요청하기 위해 SDP 제어기와 통신을 수행한다. SDP 제어기는 임의의 정보를 제공하기 전, Initiating SDP 호스트(IH)들로부터 하드웨어 또는 소프트웨어 인벤토리와 같은 정보를 요청할 수 있다.
기본적으로, Accepting SDP 호스트(AH)는 관리부 외의 다른 호스트들과의 모든 통신을 거부한다. Accepting SDP 호스트(AH)는 관리부에 의해 지시를 받은 이후에만 제 1 에이전트(IH)들로부터의 접속 요청을 수락한다.
이러한, SDP 프로토콜을 통한 통신 방법의 동작 흐름은 다음과 같다.
먼저, 하나 이상의 SDP 제어기들은 온라인 상태가 되고, 적합한 선택적 인증 및 권한 부여 서비스에 연결된다.
그 후, 하나 이상의 Accepting SDP 호스트(AH)들은 온라인이 되고, 하나 이상의 Accepting SDP 호스트(AH)들은 SDP 제어기와 연결되어 인증을 수행한다. 하지만, 하나 이상의 Accepting SDP 호스트(AH)들은 임의의 다른 호스트들과는 통신을 인가 받지 못하고, 어떠한 비인가된 요청도 받지 못한다.
그 후, 온라인으로 서로 연결된 각 Initiating SDP 호스트(IH)는 SDP 제어기들에 연결되고, 인증을 수행한다.
그 후, Initiating SDP 호스트(IH)의 인증 이후, SDP 제어기는 Initiating SDP 호스트(IH)가 통신을 위해 인증된 Accepting SDP 호스트(AH)들의 목록을 결정한다.
그 후, SDP 제어기는 Accepting SDP 호스트(AH)가 Initiating SDP 호스트(IH)과의 통신뿐만 아니라, 암호화된 통신을 위해 필요한 임의의의 선택적인 정책을 수락하도록 제어를 수행한다.
그 후, SDP 제어기는 인가된 Accepting SDP 호스트(AH)의 목록과, 암호화된 통신을 위해 필요한 임의의 선택적인 정책을 Initiating SDP 호스트(IH)에 제공한다.
그 후, Initiating SDP 호스트(IH)는 각 인가된 Accepting SDP 호스트(AH)에 대한 단일 패킷 인증(SPA)을 시작하고, 그 후 이들 Accepting SDP 호스트(AH)에 다수의 TLS 접속을 생성한다.
상술한 흐름을 통해, 그리고 SDP 제어기의 구성에 기인하여 인가된 호스트들 간에는 암호화 정보를 함께 제공하므로, SDP 프로토콜은 관리자가 호스트들과 게이트웨이 각각에 미리 인증 등을 위한 값들을 입력하지 않더라도 동적으로 호스트들 간 접속을 수행할 수 있고, 보안에도 강력한 장점이 있다.
즉, 본 발명의 일 실시예에 따른 접근 통제 제공 장치(100)는 상술한 SDP 프로토콜의 적용을 통해 능동적이면서도, 보안이 강력한 접근 통제가 가능한 장점이 있다. 위의 설명에서, 제 1 에이전트(IH, 110)는 Initiating SDP 호스트(IH)와 유사한 기능을 수행하고, 게이트웨이(120) 및 제 2 에이전트(AH, 131, 132)는 Accepting SDP 호스트(AH)와 유사한 기능을 수행하며, 관리부(140)는 SDP 제어기와 유사한 기능을 수행할 수 있다.
즉, 제 1 에이전트(IH, 110)는 제 2 에이전트(AH) 즉, 클라우드 서버(131) 및 기업(또는 기관)의 인트라넷 서버(132) 중 적어도 하나와의 통신 접속 요청을 수행하면, 관리부(140)에서 제 1 에이전트(IH, 110)에 대한 인증을 수행하고, 인증 및 인가 과정이 완료되면 관리부(140)의 제어를 통해 제 1 에이전트(IH, 110)와 접속 요청된 클라우드 서버(131) 및 기업(또는 기관)의 인트라넷 서버(132) 중 적어도 하나 간 통신이 가능하도록 제어를 수행할 수 있다.
이를 위해, 관리부(140)는 적어도 하나의 제 1 에이전트(IH, 110), 게이트웨이(120) 및 제 2 에이전트(AH, 130)의 인증을 수행하고, 인증된 제 1 에이전트(IH, 110)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정할 수 있다. 여기서, 적어도 하나의 제 1 에이전트(IH, 110), 게이트웨이(120) 및 제 2 에이전트(AH, 130)의 인증 방법은 다중 인자를 이용한 인증 기법과, 트래픽 셀렉터를 이용한 인증 기법이 활용될 수 있다.
여기서, 다중 인자를 이용한 인증 기법은 제 1 에이전트(IH, 110)에서 송신된 인증 요청 정보를 이용하는 방식으로서, 여기서 인증 요청 정보는 인증서 정보, ID 정보 및 패스워드 정보를 포함할 수 있다. 여기서, 인증서 정보는 제 1 에이전트(IH, 110)가 접속될 대상에 대한 인증서 정보를 나타내고, 게이트웨이(120) 또는 제 2 에이전트(AH, 131, 132)에 대한 즉, 게이트웨이 프로파일에 대한 인증서 정보 또는 제 2 에이전트 프로파일에 대한 인증서 정보를 포함할 수 있다.
또한, 트래픽 셀렉터를 이용한 인증 기법은 제 1 에이전트(IH, 110)에서 송신된 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 이용하는 방식으로서, 상기 서브넷 값을 근거로 인증 및 접근 제어를 수행하는 방식이다. 일반적으로, 게이트웨이(120) 즉, VPN 방식의 게이트웨이는 도 3a 및 도 3b에 도시된 것처럼 원격 액세스 방식의 통신, 그리고 사이트 간(site to site) 통신을 지원할 수 있는데, 트래픽 셀렉터를 이용한 인증 및 접근 제어 기법은 원격 액세스 방식의 경우 프로파일의 주소 풀 항목의 서브넷과 주소 범위에 의한 접근 통제를 수행할 수 있고, 사이트간 통신의 경우, 미리 결정된 파라미터에 의한 접근 통제를 수행할 수 있다.
또한, 관리부(140)는 상술한 인증 및 접근 통제 과정이 완료되면, 인증된 제 1 에이전트(IH, 110)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 제 1 에이전트(IH, 110)로 제공할 수 있다. 즉, 관리부(140)는 인증이 완료된 제 1 에이전트(IH, 110)가 제 2 에이전트(AH) 고유의 보안 또는 암호화 정책 등에 의해 통신이 차단되는 상황을 방지하기 위해, 접속 정보와 정책 정보를 제 1 에이전트(IH, 110)로 제공할 수 있다.
이에 따라, 게이트웨이(120)와 제 2 에이전트(AH, 130)는 관리부(140)와의 통신을 통해 인증을 수행한 후, 관리부(140)로부터 인가된 제 1 에이전트(IH, 110)와만 통신이 허용되고, 제 1 에이전트(IH, 110)는 관리부(140)로부터 수신된 접속 정보와 정책 정보를 이용하여 제 1 에이전트(IH, 110)가 접속 가능한 제 2 에이전트(AH, 130)와 통신을 수행할 수 있다. 이처럼, 인가된 제 1 에이전트(IH, 110)와 제 2 에이전트(AH, 130) 간에는 동적이고, 능동적인 접근 통제가 가능해지는 장점이 있다.
또한, 제 1 에이전트(IH, 110)와 제 1 에이전트(IH, 110)가 통신 가능한 제 2 에이전트(AH, 130)에 연결된 게이트웨이(120) 간에는 통신 터널이 생성되고, 제 1 에이전트(IH, 110)는 통신 터널을 통해 상기 제 2 에이전트(AH, 130)와 통신을 수행할 수 있다.
도 4는 본 발명의 일 실시예에 따른 가상 사설망에서의 접근 통제 제공 장치의 동작 방법에 대한 흐름도이다. 상술한 바와 같이, 본 발명의 일 실시예에 따른 접근 통제 제공 장치는 가상 사설망에서 능동적으로 에이전트들 간의 접근 통제를 수행하는 것을 특징으로 하고 이를 위해, 제 1 에이전트(IH), 게이트웨이, 제 2 에이전트(AH) 및 관리부를 포함하여 구성될 수 있다. 위에서 설명한 것처럼 게이트웨이는 VPN 게이트웨이일 수 있고, IPSec VPN을 제공할 수 있다. 도 4에서, 게이트웨이 및 제 2 에이전트(AH)가 하나의 구성인 것으로 도시되었으나, 이는 관리부를 통한 통신 설정 방법에 있어서, 게이트웨이 및 제 2 에이전트(AH)가 거의 동일한 방식으로 관리부(140)와 통신되는 점에 기인한 것이고, 실제로는 별도의 구성으로 존재할 수 있다.
S101 단계는 제 1 에이전트(IH)에 의해, 제 2 에이전트 프로파일을 요청하는 단계이고, S102 단계는 단일 패킷 인증(SPA) 메시지를 송신하는 단계이며, S103 단계에서 인증을 요청하는 과정이 수행된다.
S104 단계는 관리부에 의해, 인증을 수행하는 단계이다. 여기서, 인증은 위에서 언급한 제 1 에이전트(IH)뿐만 아니라, 게이트웨이 및 제 2 에이전트(AH)에 대해서도 인증이 수행될 수 있다. 이를 위해, S104 단계를 통한 인증 과정이 수행되기 전, 제 1 에이전트(IH)에 의해, 관리부로 제 1 에이전트(IH)에 대한 인증 요청 정보를 송신하는 단계를 더 포함할 수 있고, 인증 요청 정보는 게이트웨이 프로파일에 대한 인증서 정보, ID 정보 및 패스워드 정보를 포함할 수 있다.
위에서 설명한 것처럼, S104 단계는 다중 인자를 이용한 인증 기법과, 트래픽 셀렉터를 이용한 인증 기법 중 적어도 하나를 근거로 이루어질 수 있다. 예를 들어, 다중 인자를 이용한 인증 기법은 제 1 에이전트(IH)로부터 송신된 인증 요청 정보를 분석함으로써 인증 및 접근 통제를 수행하는 방식을 나타내고, 트래픽 셀렉터를 이용한 인증 기법은 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 근거로 인증 및 접근 제어를 수행하는 단계를 나타낸다. S104 단계는 상기 2개의 방식 모두를 활용하거나, 또는 2개의 방식 중 하나의 방식을 근거로 인증을 수행할 수 있다.
S105 단계는 S104 단계를 통한 인증 과정 이후 수행되는 단계로서, 제 1 에이전트(IH)에 의해, 관리부를 통해 생성된 인증 결과를 수신하는 단계이고, S106 단계는 인증 결과 및 서비스 메시지를 수신하는 단계이며, S107 단계는 제 2 에이전트 프로파일을 수신하는 단계이다.
위에서 설명한 것처럼, 제 1 에이전트(IH)에 대한 인증이 완료되면, 관리부에 의해, 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하는 단계 및 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 제 1 에이전트(IH)로 제공하는 단계가 수행될 수 있다. 이처럼, S106 단계를 통해 제 1 에이전트(IH)에서 수신되는 서비스 메시지에는 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)의 목록, 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보가 포함될 수 있다.
즉, 제 2 에이전트(AH)는 관리부와의 통신을 통해 인증을 수행하되, 비인가된 제 1 에이전트(IH)와는 통신이 이루어지지 않고, 상기 과정을 통해 관리부로부터 인가된 제 1 에이전트(IH)에 대해서만 통신이 허용된다.
또한, 제 1 에이전트(IH)는 관리부로부터 수신된 접속 정보와 정책 정보를 수신하게 되므로, 제 2 에이전트(AH) 또는 게이트웨이가 수행하는 고유의 암호화를 쉽게 해독할 수 있어서, 원활한 통신이 가능해진다.
이를 위해, S108 단계에서 통신 접속이 개시되고, S109 단계에서 단일 패킷 인증 메시지를 게이트웨이 및 제 2 에이전트로 송신하는 과정이 수행된다.
그 후, S110 단계 내지 S114 단계를 통해, 통신 접속을 요청하는 과정, 오픈 커넥션을 요청하는 과정, 인증 및 통신 접속을 요청하고 수신하는 과정, 오픈 커넥션을 수신하는 과정 등이 이루어지고, S115 단계에서 제 1 에이전트(IH)와 게이트웨이 간, 또는 제 1 에이전트(IH)와 제 2 에이전트(AH)간 통신 터널이 생성된다. 이렇게 통신 터널이 생성되면, 제 1 에이전트(IH)는 통신 터널을 통해 제 2 에이전트(AH)와 통신을 수행할 수 있다.
또한, 본 발명에 따른 가상 사설망에서의 접근 통제 제공 장치의 동작 방법과, 상기 장치 중 관리부를 통해 이루어지는 일련의 과정은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.  상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.  상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.  컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 모든 형태의 하드웨어 장치가 포함된다.  프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.  이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 원리들의 교시들은 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다. 또한, 소프트웨어는 프로그램 저장부 상에서 실재로 구현되는 응용 프로그램으로서 구현될 수 있다. 응용 프로그램은 임의의 적절한 아키텍쳐를 포함하는 머신에 업로드되고 머신에 의해 실행될 수 있다. 바람직하게는, 머신은 하나 이상의 중앙 처리 장치들(CPU), 컴퓨터 프로세서, 랜덤 액세스 메모리(RAM), 및 입/출력(I/O) 인터페이스들과 같은 하드웨어를 갖는 컴퓨터 플랫폼 상에 구현될 수 있다. 또한, 컴퓨터 플랫폼은 운영 체제 및 마이크로 명령 코드를 포함할 수 있다. 여기서 설명된 다양한 프로세스들 및 기능들은 마이크로 명령 코드의 일부 또는 응용 프로그램의 일부, 또는 이들의 임의의 조합일 수 있고, 이들은 CPU를 포함하는 다양한 처리 장치에 의해 실행될 수 있다. 추가로, 추가 데이터 저장부 및 프린터와 같은 다양한 다른 주변 장치들이 컴퓨터 플랫폼에 접속될 수 있다.
첨부 도면들에서 도시된 구성 시스템 컴포넌트들 및 방법들의 일부가 바람직하게는 소프트웨어로 구현되므로, 시스템 컴포넌트들 또는 프로세스 기능 블록들 사이의 실제 접속들은 본 발명의 원리들이 프로그래밍되는 방식에 따라 달라질 수 있다는 점이 추가로 이해되어야 한다. 여기서의 교시들이 주어지면, 관련 기술분야의 당업자는 본 발명의 원리들의 이들 및 유사한 구현예들 또는 구성들을 참작할 수 있을 것이다.
100 : 접근 통제 제공 장치 110 : 제 1 에이전트(IH)
120 : 게이트웨이 130 : 제 2 에이전트(AH)
140 : 관리부

Claims (18)

  1. 가상 사설망에서의 접근 통제 제공 장치로서,
    적어도 하나의 제 1 에이전트(IH: Initiating Host);
    게이트웨이;
    제 2 에이전트(AH: Accepting Host); 및
    상기 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하고, 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하며, 상기 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 상기 제 1 에이전트(IH)로 제공하는 관리부를 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  2. 제1항에 있어서,
    상기 제 2 에이전트(AH)는 상기 관리부와의 통신을 통해 인증을 수행하되, 상기 관리부로부터 인가된 제 1 에이전트(IH)와만 통신이 허용되는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  3. 제1항에 있어서,
    상기 제 1 에이전트(IH)는 상기 관리부로부터 수신된 접속 정보와 정책 정보를 이용하여 상기 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와 통신을 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  4. 제3항에 있어서,
    상기 제 1 에이전트(IH)와 상기 제 1 에이전트(IH)가 통신 가능한 제 2 에이전트(AH)에 연결된 게이트웨이 간에는 통신 터널이 생성되고, 상기 제 1 에이전트(IH)는 상기 통신 터널을 통해 상기 제 2 에이전트(AH)와 통신을 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  5. 제1항에 있어서,
    상기 제 1 에이전트(IH)는 상기 관리부로 상기 제 1 에이전트(IH)에 대한 인증 요청 정보를 송신하고, 상기 인증 요청 정보는 게이트웨이 프로파일에 대한 인증서 정보, ID 정보 및 패스워드 정보를 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  6. 제5항에 있어서,
    상기 관리부는 상기 제 1 에이전트(IH)로부터 송신된 인증 요청 정보를 분석함으로써, 상기 제 1 에이전트(IH)에 대한 인증을 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  7. 제5항에 있어서,
    상기 관리부는
    상기 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 근거로 인증 및 접근 제어를 더 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  8. 제1항에 있어서,
    상기 게이트웨이는
    IPSec VPN을 제공하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  9. 제1항에 있어서,
    상기 관리부는 SDP(Software Defined Perimeter) 프로토콜을 이용하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 장치.
  10. 적어도 하나의 제 1 에이전트(IH), 게이트웨이, 제 2 에이전트(AH); 및 관리부를 포함하는 가상 사설망에서의 접근 통제 제공 방법으로서,
    상기 관리부에 의해, 상기 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계;
    상기 관리부에 의해, 인증된 제 1 에이전트(IH)에 대해 접속 가능한 제 2 에이전트(AH)의 목록을 결정하는 단계; 및
    상기 관리부에 의해, 상기 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와의 접속에 필요한 접속 정보와, 암호화된 통신을 위해 필요한 정책 정보를 상기 제 1 에이전트(IH)로 제공하는 단계를 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  11. 제10항에 있어서,
    상기 제 2 에이전트(AH)는 상기 관리부와의 통신을 통해 인증을 수행하되, 상기 관리부로부터 인가된 제 1 에이전트(IH)와만 통신이 허용되는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  12. 제10항에 있어서,
    상기 제 1 에이전트(IH)는 상기 관리부로부터 수신된 접속 정보와 정책 정보를 이용하여 상기 제 1 에이전트(IH)가 접속 가능한 제 2 에이전트(AH)와 통신을 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  13. 제12항에 있어서,
    상기 제 1 에이전트(IH)와 상기 제 1 에이전트(IH)가 통신 가능한 제 2 에이전트에 연결된 게이트웨이 간 통신 터널을 생성하는 단계를 더 포함하고,
    상기 제 1 에이전트(IH)는 상기 통신 터널을 통해 상기 제 2 에이전트(AH)와 통신을 수행하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  14. 제10항에 있어서,
    상기 제 1 에이전트(IH)에 의해, 상기 관리부로 상기 제 1 에이전트(IH)에 대한 인증 요청 정보를 송신하는 단계를 더 포함하고,
    상기 인증 요청 정보는 게이트웨이 프로파일에 대한 인증서 정보, ID 정보 및 패스워드 정보를 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  15. 제14항에 있어서,
    상기 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계는 상기 제 1 에이전트(IH)로부터 송신된 인증 요청 정보를 분석함으로써, 상기 제 1 에이전트(IH)에 대한 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  16. 제14항에 있어서,
    상기 적어도 하나의 제 1 에이전트(IH), 게이트웨이 및 제 2 에이전트(AH)의 인증을 수행하는 단계는 상기 인증 요청 정보에 포함된 제 2 에이전트(AH) 측 서브넷 값을 근거로 인증 및 접근 제어를 수행하는 단계를 더 포함하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  17. 제10항에 있어서,
    상기 게이트웨이는 IPSec VPN을 제공하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
  18. 제10항에 있어서,
    SDP 프로토콜을 이용하는 것을 특징으로 하는 가상 사설망에서의 접근 통제 제공 방법.
KR1020160171950A 2016-12-15 2016-12-15 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법 KR20180069610A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160171950A KR20180069610A (ko) 2016-12-15 2016-12-15 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160171950A KR20180069610A (ko) 2016-12-15 2016-12-15 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법

Publications (1)

Publication Number Publication Date
KR20180069610A true KR20180069610A (ko) 2018-06-25

Family

ID=62806263

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160171950A KR20180069610A (ko) 2016-12-15 2016-12-15 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법

Country Status (1)

Country Link
KR (1) KR20180069610A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200021364A (ko) * 2018-08-20 2020-02-28 한국전자통신연구원 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
CN111131307A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 一种控制访问权限的方法及系统
CN113972992A (zh) * 2020-07-23 2022-01-25 中国电信股份有限公司 用于sdp控制器的访问方法及装置、计算机可存储介质
KR102415998B1 (ko) * 2021-01-13 2022-07-05 한국전자통신연구원 소프트웨어 정의 경계 네트워크 시스템의 제어 채널의 부하분산이 가능한 sdp 컨트롤러 및 방법
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체
KR102602607B1 (ko) * 2023-07-12 2023-11-16 주식회사 심시스글로벌 샌드박스 및 sdp에 기반한 가상 망 분리 방법 및 시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200021364A (ko) * 2018-08-20 2020-02-28 한국전자통신연구원 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치
CN111131307A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 一种控制访问权限的方法及系统
CN111131307B (zh) * 2019-12-31 2021-09-28 奇安信科技集团股份有限公司 一种控制访问权限的方法及系统
CN113972992A (zh) * 2020-07-23 2022-01-25 中国电信股份有限公司 用于sdp控制器的访问方法及装置、计算机可存储介质
CN113972992B (zh) * 2020-07-23 2024-01-30 中国电信股份有限公司 用于sdp控制器的访问方法及装置、计算机可存储介质
KR102415998B1 (ko) * 2021-01-13 2022-07-05 한국전자통신연구원 소프트웨어 정의 경계 네트워크 시스템의 제어 채널의 부하분산이 가능한 sdp 컨트롤러 및 방법
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체
KR102602607B1 (ko) * 2023-07-12 2023-11-16 주식회사 심시스글로벌 샌드박스 및 sdp에 기반한 가상 망 분리 방법 및 시스템

Similar Documents

Publication Publication Date Title
KR20180069610A (ko) 가상 사설망에서의 접근 통제 제공 장치 및 이의 동작 방법
US10992642B2 (en) Document isolation
CN114615328B (zh) 一种安全访问控制系统和方法
KR101135021B1 (ko) 펨토셀이 모바일 유닛에 무선 접속성을 제공할 권한이 있는지의 여부를 결정하기 위한 방법들
US20140289826A1 (en) Establishing a communication session
KR100789123B1 (ko) 컴퓨터 네트워크 자원들의 비허가된 액세스 방지
US11451959B2 (en) Authenticating client devices in a wireless communication network with client-specific pre-shared keys
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
CN101986598B (zh) 认证方法、服务器及系统
US20220217143A1 (en) Identity security gateway agent
US20130312074A1 (en) Establishing virtual private network session using roaming credentials
EP2706717A1 (en) Method and devices for registering a client to a server
JP2009157781A (ja) リモートアクセス方法
CN109101811B (zh) 一种基于SSH隧道的可控Oracle会话的运维与审计方法
US20190052623A1 (en) Authenticating Applications to a Network Service
US20050246531A1 (en) System and method for secured access for visitor terminals to an IP type network
WO2010003322A1 (zh) 终端访问的控制方法、系统和设备
JP2023162313A (ja) 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法
KR102463051B1 (ko) 선박 네트워크 접근제어 방법 및 장치
CN113678410A (zh) 提供连接租赁交换和相互信任协议的计算系统和相关方法
CN115001770A (zh) 一种基于零信任的业务访问控制系统及控制方法
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
EP2920912A1 (en) Electronic rendezvous-based two stage access control for private networks
JP2005202970A (ja) ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品
WO2022017582A1 (en) Method and system for securing data communication in a computing environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application