KR20190009497A - 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 - Google Patents

무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 Download PDF

Info

Publication number
KR20190009497A
KR20190009497A KR1020170091296A KR20170091296A KR20190009497A KR 20190009497 A KR20190009497 A KR 20190009497A KR 1020170091296 A KR1020170091296 A KR 1020170091296A KR 20170091296 A KR20170091296 A KR 20170091296A KR 20190009497 A KR20190009497 A KR 20190009497A
Authority
KR
South Korea
Prior art keywords
wireless
network
packet
virtual private
private network
Prior art date
Application number
KR1020170091296A
Other languages
English (en)
Inventor
조석원
양용희
Original Assignee
(주)비알티시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)비알티시스템 filed Critical (주)비알티시스템
Priority to KR1020170091296A priority Critical patent/KR20190009497A/ko
Publication of KR20190009497A publication Critical patent/KR20190009497A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법이 개시된다. 본 발명의 무선 보안 액세스 포인트를 이용한 망분리 장치는, 외부망 PC와 연결되어 무선 보안망을 통해 무선패킷을 송수신하는 무선보안 단말장치; 무선 보안망을 통해 접속된 무선보안 단말장치를 인증하고, 무선보안 단말장치의 내부망 접속을 중계하여 VPN 패킷을 송수신하는 무선 가상사설망 AP장치; 및 무선 가상사설망 AP장치를 인증하고, 무선 가상사설망 AP장치와 송수신되는 VPN 패킷을 외부망으로 송수신하고 내부망과 외부망으로의 연결을 단속하는 무선 가상사설망 관리장치;를 포함하는 것을 특징으로 한다.

Description

무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법{APPARATUS FOR SPLITTING NETWORKS USING WIRELESS SECURITY ACCESS POINT}
본 발명은 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 내부망 PC는 유선접속으로 내부망에 접속하고, 외부망 PC는 무선접속으로 외부망에 접속할 수 있도록 무선 보안 액세스 포인트와 무선 가상사설망을 통해 내부망과 외부망을 분리하여 송수신할 수 있도록 하는 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법에 관한 것이다.
근래 들어, 컴퓨터 및 네트워크에 대한 연구 개발이 활발히 진행되어 왔으며, 이에 힘입어 공공기관이나 회사에 종사하는 사용자들은 연구자료 송수신, 이메일(e-mail) 송수신, 전자결제 및 서로 다른 장소에서의 파일 전송 등을 업무에 활용하기 위해 내부망(사내망) 뿐만 아니라, 인터넷 등의 외부망을 이용하여 시간과 장소에 구애받지 않고 데이터나 파일 등을 상대방에게 송신하거나 상대방으로부터 수신할 수 있게 되었다.
이와 같이 사용자들이 데이터나 파일 등을 상대방에게 송신하거나 상대방으로부터 수신할 때 내부 업무를 위한 내부망과 인터넷 등의 외부망을 혼용하여 사용하게 된다. 따라서 이와 같은 네트워크 시스템에서는 불순한 마음을 가진 자가 외부망을 통해 내부망에 접근하여 중요한 정보나 파일들을 탈취하거나 손상을 가하는 일이 발생될 수 있다.
위와 같이 인터넷 등의 외부의 공격에 쉽게 노출될 수 있는 외부망이 광범위하게 이용됨에 따라 공공기관이나 회사 등에서는 내부 중요 정보에 대한 보안을 위해 방화벽(firewall)을 설치하여 운용하고 있으나, 방화벽은 방화벽을 우회하여 침투되는 액세스(excess)에 대해서는 침투를 방지할 수 없는 등 외부의 의도적인 공격으로부터 완벽하게 내부 중요정보를 차단시키지는 못하고 있다.
따라서, 최근 들어 외부망으로부터 내부망에 접근하여 중요한 정보나 파일들을 탈취하거나 손상을 가하는 등의 위협을 방지하기 위해 내부망과 외부망을 분리하여 운용하는 망분리 기술에 대한 연구 개발이 활발하게 진행되고 있다.
망분리 기술이란 서로 다른 용도의 네트워크망을 분리하여 어느 한 네트워크망에서 다른 네트워크망으로 데이터의 송신이나 수신을 차단함으로써, 어느 한쪽의 네트워크망이 보안 위협으로 취약해지더라도 분리된 다른 네트워크망에는 피해가 발생하지 않도록 하는 기술을 말한다
이러한 망분리 기술은 물리적 망분리와 논리적 망분리로 구분할 수 있다. 물리적 망분리는 각각의 네트워크망을 이용하는 장비 및 데이터 케이블을 각각 구축하여 물리적으로 완전히 분리된 네트워크망을 구성하는 방식이고, 논리적 망분리는 한대의 서버시스템에 다수의 사용자가 접속하여 외부망을 접속하는 SBC방식과, 사용자 PC 상에서 OS(Operating System) 가상화를 통해 외부망에 접속하는 PC 가상화 방식이 있다.
그런데, 종래의 망분리기술 중 물리적 망분리를 이용하는 경우 분리된 네트워크망에 따라 각각의 네트워크 장비, 시설 및 사용자 PC를 구축하여야 하므로 그에 따른 많은 비용이 발생하는 문제점이 있고, 논리적 망분리를 이용하는 경우 설치되는 서버 또는 사용자 PC상의 OS의 영향을 받기 때문에 OS 변화에 따른 장애 발생 빈도가 많으며, 사용하는 관련 프로그램의 환경변화에 따라 지속적인 업데이트가 필요하여 사용 편의성이 저하되고 업무 효율이 떨어지는 문제점이 있다
본 발명의 배경기술은 대한민국 공개특허공보 제2011-0100952호(2011.09.15. 공개, 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법)에 개시되어 있다.
본 발명은 상기와 같은 문제점들을 개선하기 위하여 안출된 것으로, 일 측면에 따른 본 발명의 목적은 내부망 PC는 유선접속으로 내부망에 접속하고, 외부망 PC는 무선접속으로 외부망에 접속할 수 있도록 무선 보안 액세스 포인트와 무선 가상사설망을 통해 내부망과 외부망을 분리하여 송수신할 수 있도록 하여 운영 중인 물리적인 네트워크 구성 및 사무환경의 최소 변경으로 망분리를 실현할 수 있도록 하는 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법을 제공하는 것이다.
본 발명의 일 측면에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치는, 외부망 PC와 연결되어 무선 보안망을 통해 무선패킷을 송수신하는 무선보안 단말장치; 무선 보안망을 통해 접속된 무선보안 단말장치를 인증하고, 무선보안 단말장치의 내부망 접속을 중계하여 VPN 패킷을 송수신하는 무선 가상사설망 AP장치; 및 무선 가상사설망 AP장치를 인증하고, 무선 가상사설망 AP장치와 송수신되는 VPN 패킷을 외부망으로 송수신하고 내부망과 외부망으로의 연결을 단속하는 무선 가상사설망 관리장치;를 포함하는 것을 특징으로 한다.
본 발명에서 무선 가상사설망 AP장치는, 무선보안 단말장치의 인증여부에 따라 송수신 패킷을 차단하고 전송하는 것을 특징으로 한다.
본 발명에서 무선 가상사설망 관리장치는, 무선 가상사설망 AP장치의 인증여부에 따라 송수신 패킷을 차단하고 전송하는 것을 특징으로 한다.
본 발명에서 무선보안 단말장치는, 외부망 PC와 연결되는 PC 연결 인터페이스; 무선 가상사설망 AP장치와 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제1 무선패킷 처리부; 및 무선보안망을 통해 무선 가상사설망 AP장치와 접속하기 위한 제1 무선패킷 송수신 인터페이스;를 포함하는 것을 특징으로 한다.
본 발명에서 무선 가상사설망 AP장치는, 무선보안망을 통해 무선보안 단말장치와 접속하기 위한 제1 무선패킷 송수신 인터페이스; 무선보안 단말장치와 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제2 무선패킷 처리부; 무선 가상사설망 관리장치와 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제1 VPN 패킷 처리부; 무선 가상사설망 관리장치와 VPN 접속을 제어하는 제1 VPN 접속 제어부; 및 내부망에 접속하기 위한 제1 내부망 패킷 송수신 인터페이스;를 포함하는 것을 특징으로 한다.
본 발명에서 무선 가상사설망 관리장치는, 내부망에 접속하기 위한 제2 내부망 패킷 송수신 인터페이스; 무선 가상사설망 AP장치와 VPN 접속을 제어하고 내부망과 외부망으로의 연결을 단속하는 제2 VPN 접속 제어부; 외부망과 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제2 VPN 패킷 처리부; 및 외부망에 접속하기 위한 외부망 패킷 송수신 인터페이스;를 포함하는 것을 특징으로 한다.
본 발명의 일 측면에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법은, 외부망 PC가 무선보안 단말장치를 통해 암호화된 무선패킷을 무선 가상사설망 AP장치에 전송하는 단계; 무선 가상사설망 AP장치가 무선보안 단말장치로부터 전송된 무선패킷을 복호화하고 무선 가상사설망 관리장치로 전송할 VPN 패킷으로 암호화하는 단계; 무선 가상사설망 AP장치가 암호화된 VPN 패킷을 무선 가상사설망 관리장치로 전송하는 단계; 무선 가상사설망 관리장치가 무선 가상사설망 AP장치로부터 암호화된 VPN 패킷을 수신받아 VPN 패킷을 복호화하는 단계; 및 무선 가상사설망 관리장치는 복호화된 VPN 패킷을 외부망으로 전송하는 단계;를 포함하는 것을 특징으로 한다.
본 발명에서 무선 가상사설망 AP장치에 접속하는 단계는, 외부망 PC가 무선보안 단말장치로 통신을 요청하는 단계; 무선보안 단말장치가 외부망 PC에서의 통신 요청에 따라 무선패킷을 암호화하는 단계; 및 무선보안 단말장치가 무선 보안망을 통해 무선 가상사설망 AP장치와 접속하여 암호화된 무선패킷을 전송하는 단계;를 포함하는 것을 특징으로 한다.
본 발명은 무선 가상사설망 AP장치가 무선보안 단말장치의 접속에 따라 인증을 수행하는 단계; 및 무선 가상사설망 AP장치가 인증결과에 따라 무선보안 단말장치의 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명은 무선 가상사설망 AP장치가 내부망에 연결된 무선 가상사설망 관리장치에 접속함에 따라 무선 가상사설망 관리장치가 무선 가상사설망 AP장치를 인증하는 단계; 및 무선 가상사설망 관리장치가 인증결과에 따라 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에서 VPN 패킷을 복호화하는 단계는, 무선 가상사설망 관리장치가 VPN 패킷을 수신받아 목적지 IP 주소를 추출하고 목적지 IP 주소가 내부망 PC로 향할 경우 패킷을 차단하고, 외부망으로 향할 경우 복호화하는 것을 특징으로 한다.
본 발명의 또 다른 측면에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법은, 무선 가상사설망 관리장치가 외부망으로부터 패킷을 수신받는 단계; 무선 가상사설망 관리장치가 패킷을 VPN 패킷으로 암호화하는 단계; 무선 가상사설망 관리장치가 암호화된 VPN 패킷을 무선 가상사설망 AP장치로 전송하는 단계; 무선 가상사설망 AP장치가 암호화된 VPN 패킷을 수신받아 복호화하고 무선보안 단말장치로 전송할 패킷을 무선패킷으로 암호화하는 단계; 및 무선보안 단말장치가 암호화된 무선패킷을 수신받아 복호화하여 외부망 PC에 전송하는 단계를 포함하는 것을 특징으로 한다.
본 발명에서 VPN 패킷을 암호화하는 단계는, 무선 가상사설망 관리장치가 패킷을 수신받아 목적지 IP 주소를 추출하고 목적지 IP 주소가 내부망 PC로 향할 경우 패킷을 차단하고, 외부망 PC로 향상할 경우 암호화하는 것을 특징으로 한다.
본 발명은 무선 가상사설망 AP장치가 내부망에 연결된 무선 가상사설망 관리장치에 접속함에 따라 무선 가상사설망 관리장치가 무선 가상사설망 AP장치를 인증하는 단계; 및 무선 가상사설망 관리장치가 인증결과에 따라 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명은 무선 가상사설망 AP장치가 무선보안 단말장치의 접속에 따라 인증을 수행하는 단계; 및 무선 가상사설망 AP장치가 인증결과에 따라 무선보안 단말장치의 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명의 일 측면에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법은 내부망 PC는 유선접속으로 내부망에 접속하고, 외부망 PC는 무선접속으로 외부망에 접속할 수 있도록 무선 보안 액세스 포인트와 무선 가상사설망을 통해 내부망과 외부망을 분리하여 송수신할 수 있도록 하여 운영 중인 물리적인 네트워크 구성 및 사무환경의 최소 변경으로 망분리를 실현할 수 있다.
도 1은 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치가 적용된 네트워크 환경을 나타낸 구성도이다.
도 2는 본 발명의 일 시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치를 나타낸 블록 구성도이다.
도 3은 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법에 따라 외부망 PC에서 송신되는 과정을 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 무선 보안 엑세스 포인트를 이용한 망분리 방법에 따라 외부망 PC로 수신되는 과정을 설명하기 위한 흐름도이다.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법을 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치가 적용된 네트워크 환경을 나타낸 구성도이고, 도 2는 본 발명의 일 시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치를 나타낸 블록 구성도이다.
도 1에 도시된 바와 같이 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 장치가 적용된 네트워크 환경은, 내부망(70)과 연결하여 사용하기 위한 내부망 PC(40)는 내부망 스위치(50B)를 통해 내부망(70)에 연결되고, 내부망 장비(60)도 내부망 스위치(50A)를 통해 내부망(70)에 연결된다.
또한 외부망(120)은 외부망 방화벽(90)을 매개로 외부망 스위치(100)를 통해 외부망 장비(110)가 연결되고, 외부망 방화벽(90)을 매개로 내부망(70)과 외부망(120) 사이에 무선 가상사설망 관리장치(80)가 구비되어 내부망(70)과 외부망(120)을 분리한다.
그리고 외부망(120)과 연결하여 사용하기 위한 외부망 PC(10)는 무선보안 단말장치(20)와 연결되어 무선 가상사설망 AP장치(30)를 통해 무선 보안망을 통해 무선으로 접속된 상태에서 내부망(70)에 연결된 무선 가상사설망 관리장치(80)를 통해 외부망(120)에 연결된다.
따라서 무선 가상사설망 AP장치(30)를 통해 무선 보안망을 구성하여 외부망(120)과 연결하기 위한 외부망 PC(10)가 무선보안 단말장치(20)를 통해 무선으로 무선 가상사설망 AP장치(30)에 접속할 수 있도록 함으로써 무선 가상사설망 관리장치(80)에서 내부망(70)과 외부망(120)을 분리하여 외부망 PC(10)가 외부망(120)에 연결될 수 있도록 한다.
즉, 내부망 PC(40)는 유선접속으로 내부망(70)에 접속하고, 외부망 PC(10)는 무선접속으로 외부망(120)에 접속할 수 있도록 무선 가상사설망 AP장치(20)와 무선 가상사설망 관리장치(80)를 통해 내부망(70)과 외부망(120)을 분리하여 송수신할 수 있도록 한다.
여기서, 도 2에 도시된 바와 같이 무선 보안 액세스 포인트를 이용한 망분리 장치는 무선보안 단말장치(20), 무선 가상사설망 AP장치(30) 및 무선 가상사설망 관리장치(80)를 포함할 수 있다.
무선보안 단말장치(20)는 외부망 PC(10)와 연결되어 무선 보안망을 통해 무선패킷을 송수신한다.
이를 위해 무선보안 단말장치(20)는, PC 연결 인터페이스(210), 제1 무선패킷 처리부(220), 제1 무선패킷 송수신 인터페이스(230)를 포함한다.
PC 연결 인터페이스(210)는 외부망 PC(10)가 무선보안 단말장치(20)에 연결되도록 인터페이스를 제공한다.
제1 무선패킷 처리부(220)는 무선 가상사설망 AP장치(30)와 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행한다. 즉, 무선 가상사설망 AP장치(30)로 송신할 때는 무선패킷을 암호화하고, 무선 가상사설망 AP장치(30)로부터 수신될 때는 무선 패킷을 복호화한다.
제1 무선패킷 송수신 인터페이스(230)는 무선보안망을 통해 무선 가상사설망 AP장치(30)와 접속하여 무선 가상사설망 AP장치(30)와 무선패킷을 송수신할 수 있도록 인터페이스를 제공한다.
무선 가상사설망 AP장치(30)는 무선 보안망을 통해 접속된 무선보안 단말장치(20)를 인증하고, 무선보안 단말장치(20)의 내부망(70) 접속을 중계하여 VPN 패킷을 송수신한다.
이때, 무선 가상사설망 AP장치(30)는 무선보안 단말장치(20)의 접속에 따라 인증을 수행하여 인증여부에 따라 송수신 패킷을 차단하거나 허용하여 전송할 수 있다.
이를 위해 무선 가상사설망 AP장치(30)는 제1 무선패킷 송수신 인터페이스(310), 제2 무선패킷 처리부(320), 제1 VPN 패킷 처리부(330), 제1 VPN 접속 제어부(340) 및 제1 내부망 패킷 송수신 인터페이스(350)를 포함한다.
제1 무선패킷 송수신 인터페이스(310)는 무선보안망을 통해 무선보안 단말장치(20)와 접속하기 위한 인터페이스를 제공한다.
제2 무선패킷 처리부(320)는 무선보안 단말장치(20)와 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행한다. 즉, 제2 무선패킷 처리부(320)는 무선패킷을 보안 무선망을 통해 송신하기 위해 암호화하고 수신된 무선패킷을 처리하기 위해 복호화한다.
제1 VPN 패킷 처리부(330)는 무선 가상사설망 관리장치(80)와 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행한다. 즉, 제1 VPN 패킷 처리부(330)는 제2 무선패킷 처리부(320)에서 복호화된 무선패킷을 무선 가상사설망 관리장치(80)로 송신하기 위해 VPN 패킷을 암호화하고, 무선 가상사설망 관리장치(80)에서 수신된 VPN 패킷을 복호화하여 제2 무선패킷 처리부(320)로 전달한다.
제1 VPN 접속 제어부(340)는 무선 가상사설망 관리장치(80)와 VPN 접속을 제어하고 무선보안 단말장치(20)의 접속에 따라 인증을 수행하고 인증여부에 따라 송수신 패킷을 차단하거나 허용하여 전송할 수 있다.
제1 내부망 패킷 송수신 인터페이스(350)는 무선 가상사설망 AP장치(30)가 내부망(70)에 접속하기 위한 인터페이스를 제공한다.
무선 가상사설망 관리장치(80)는 무선 가상사설망 AP장치(30)를 인증하고, 무선 가상사설망 AP장치(30)와 송수신되는 VPN 패킷을 외부망(120)으로 송수신하고 내부망(70)과 외부망(120)으로의 연결을 단속한다.
이때 무선 가상사설망 관리장치(80)는 무선 가상사설망 AP장치(30)의 인증여부에 따라 송수신 패킷을 차단하거나 전송할 수 있다.
이를 위해 무선 가상사설망 관리장치(80)는 제2 내부망 패킷 송수신 인터페이스(810), 제2 VPN 접속 제어부(820), 제2 VPN 패킷 처리부(830) 및 외부망 패킷 송수신 인터페이스(840)를 포함한다.
제2 내부망 패킷 송수신 인터페이스(810)는 내부망에 접속하기 위한 인터페이스를 제공한다.
제2 VPN 접속 제어부(820)는 무선 가상사설망 AP장치(30)와 VPN 접속을 제어하고 내부망(70)과 외부망(120)으로의 연결을 단속할 뿐만 아니라 무선 가상사설망 AP장치(30)의 인증여부에 따라 송수신 패킷을 차단하거나 전송할 수 있다.
제2 VPN 패킷 처리부(830)는 외부망(120)과 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행한다. 즉, 제2 VPN 패킷 처리부(830)는 VPN 패킷을 복호화하여 외부망(120)으로 패킷을 전송하고, 외부망(120)으로부터 수신되는 패킷을 VPN 패킷으로 복호화한다.
외부망 패킷 송수신 인터페이스(840)는 외부망(120)에 접속하기 위한 인터페이스를 제공한다.
상술한 바와 같이, 본 발명의 실시예에 의한 무선 보안 액세스 포인트를 이용한 망분리 장치에 따르면, 내부망 PC는 유선접속으로 내부망에 접속하고, 외부망 PC는 무선접속으로 외부망에 접속할 수 있도록 무선 보안 액세스 포인트와 무선 가상사설망을 통해 내부망과 외부망을 분리하여 송수신할 수 있도록 하여 운영 중인 물리적인 네트워크 구성 및 사무환경의 최소 변경으로 망분리를 실현할 수 있다.
도 3은 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법에 따라 외부망 PC에서 송신되는 과정을 설명하기 위한 흐름도이다.
도 3에 도시된 바와 같이 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법에 따라 외부망 PC에서 외부망에 연결하기 위한 과정을 설명하면 다음과 같다.
먼저, 외부망(120)에 연결하고자 하는 외부망 PC(10)가 무선보안 단말장치(20)로 통신을 요청한다(S10).
S10 단계에서의 통신 요청에 따라 무선보안 단말장치(20)는 외부망 PC(20)에서 입력되는 패킷을 무선패킷으로 암호화를 진행한다(S20).
S20 단계에서 무선패킷으로 암호화한 후 무선보안 단말장치(20)는 무선 보안망을 통해 무선 가상사설망 AP장치(30)와 접속하여 암호화된 무선패킷을 무선 가상사설망 AP장치(30)로 전송한다(S30).
S30 단계에서 무선보안 단말장치(20)가 접속되면 무선 가상사설망 AP장치(30)는 무선보안 단말장치(20)를 인증하고 인증여부를 확인한다(S40).
S40 단계에서 인증여부를 확인하여 인증이 확인되지 않은 경우 무선 가상사설망 AP장치(30)는 패킷 전송을 차단하고 무선보안 단말장치(20)의 인증 프로세스를 진행할 수 있다(S50).
반면 S40 단계에서 인증여부를 확인하여 인증이 확인된 경우 무선 가상사설망 AP장치(30)는 무선보안 단말장치(20)에서 전송된 무선패킷에 대해 복호화를 진행한다(S60).
S60 단계에서 무선패킷의 복호화를 진행한 후 무선 가상사설망 AP장치(30)는 무선 가상사설망 관리장치(80)로 전송하기 위해 VPN 패킷에 대해 암호화를 진행한다(S70).
S70 단계에서 VPN 패킷을 복호화한 후 무선 가상사설망 AP장치(30)가 무선 가상사설망 관리장치(80)와 통신하여 접속함에 따라 무선 가상사설망 관리장치(80)가 무선 가상사설망 AP장치(30)를 인증하고 인증여부를 확인한다(S80).
S80 단계에서 인증여부를 확인하여 인증이 확인되지 않은 경우 무선 가상사설망 관리장치(80)로의 패킷 전송을 차단하고 무선 가상사설망 AP장치(30)의 인증 프로세스를 진행할 수 있다(S90).
반면, S80 단계에서 인증여부를 확인하여 인증이 확인된 경우 무선 가상사설망 AP장치(30)는 암호화된 VPN 패킷을 내부망(70)으로 전송하여 무선 가상사설망 관리장치(80)로 전송한다(S100).
S100 단계에서 내부망(70)으로 전송된 암호화된 VPN 패킷을 수신받은 무선 가상사설망 관리장치(80)는 VPN 패킷에 대해 복호화를 진행한다(S110).
여기서 무선 가상사설망 관리장치(80)는 VPN 패킷을 복호화할 때 VPN 패킷을 수신받아 목적지 IP 주소를 추출하고 목적지 IP 주소가 내부망 PC(40)로 향할 경우 패킷을 차단하고, 외부망(120)으로 향할 경우 복호화할 수 있다.
S110 단계에서 복호화된 패킷을 무선 가상사설망 관리장치(80)는 외부망(120)으로 전송한다(S120). 이때 무선 가상사설망 관리장치(80)는 외부 방화벽(110)을 통해 외부망(120)으로 전송할 수 있다.
도 4는 본 발명의 일 실시예에 따른 무선 보안 엑세스 포인트를 이용한 망분리 방법에 따라 외부망 PC로 수신되는 과정을 설명하기 위한 흐름도이다.
도 4에 도시된 바와 같이 본 발명의 일 실시예에 따른 무선 보안 액세스 포인트를 이용한 망분리 방법에 따라 외부망(120)으로부터 외부망 PC(10)로 수신되는 과정을 설명하면 다음과 같다.
먼저, 무선 가상사설망 관리장치(80)가 외부망(120)으로부터 패킷을 수신받는다(S200).
S200 단계에서 패킷을 수신받은 후 무선 가상사설망 관리장치(80)는 패킷을 VPN 패킷으로 암호화한다(S210).
여기서 무선 가상사설망 관리장치(80)는 패킷을 수신받아 목적지 IP 주소를 추출하고 목적지 IP 주소가 내부망 PC(40)로 향할 경우 패킷을 차단하고, 외부망 PC(10)로 향상할 경우 암호화할 수 있다.
S210 단계에서 암호화된 VPN 패킷을 내부망(70)에 연결된 무선 가상사설망 AP장치(30)로 전송한다(S220).
S210 단계에서 VPN 패킷을 암호화한 후 무선 가상사설망 AP장치(30)가 무선 가상사설망 관리장치(80)와 통신하여 접속함에 따라 무선 가상사설망 관리장치(80)가 무선 가상사설망 AP장치(30)를 인증하고 인증여부를 확인한다(S230).
S230 단계에서 인증여부를 확인하여 인증이 확인되지 않은 경우 패킷 전송을 차단할 수 있다(S240).
반면, S230 단계에서 인증여부를 확인하여 인증이 확인된 경우 무선 가상사설망 AP장치(30)는 전송된 VPN 패킷에 대해 복호화를 진행한다(S250).
그리고 S250 단계에서 복호화된 VPN 패킷을 무선보안 단말장치(20)로 전송할 무선패킷으로 암호화한다(S260).
S260 단계에서 무선패킷을 암호화한 후 무선보안 단말장치(20)가 접속되면 무선 가상사설망 AP장치(30)는 무선보안 단말장치(20)를 인증하고 인증여부를 확인한다(S270).
S270 단계에서 인증여부를 확인하여 인증이 확인되지 않은 경우 무선 가상사설망 AP장치(30)는 패킷 전송을 차단할 수 있다(S280).
반면 S270 단계에서 인증여부를 확인하여 인증이 확인된 경우 무선 가상사설망 AP장치(30)는 무선보안 단말장치(20)로 무선패킷을 전송한다(S290).
S290 단계에서 전송한 무선패킷을 수신받은 무선보안 단말장치(20)는 무선패킷에 대해 복호화를 진행한다(S300).
S300 단계에서 복호화한 후 무선보안 단말장치(20)는 복호화된 패킷을 외부망 PC(10)에 전송함으로써 외부망(120)으로부터 수신된 패킷이 외부망 PC(10)에 전달된다(S310).
상술한 바와 같이, 본 발명의 실시예에 의한 무선 보안 액세스 포인트를 이용한 망분리 방법에 따르면, 내부망 PC는 유선접속으로 내부망에 접속하고, 외부망 PC는 무선접속으로 외부망에 접속할 수 있도록 무선 보안 액세스 포인트와 무선 가상사설망을 통해 내부망과 외부망을 분리하여 송수신할 수 있도록 하여 운영 중인 물리적인 네트워크 구성 및 사무환경의 최소 변경으로 망분리를 실현할 수 있다.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다.
따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의해서 정하여져야 할 것이다.
10 : 외부망 PC 20 : 무선보안 단말장치
30 : 무선 가상사설망 AP장치 40 : 내부망 PC
50A, 50B : 내부망 스위치 60 : 내부망 장치
70 : 내부망 80 : 무선 가상사설망 관리장치
90 : 외부망 방확벽 100 : 외부망 스위치
110 : 외부망 장치 120 : 외부망
210 : PC 연결 인터페이스 220 : 제1 무선패킷 처리부
230 : 제1 무선패킷 송수신 인터페이스
310 : 제2 무선패킷 송수신 인터페이스
320 : 제2 무선패킷 처리부 330 : 제1 VPN 패킷 처리부
340 : 제2 VPN 접속 제어부
350 : 제1 내부망 패킷 송수신 인터페이스
810 : 제2 내부망 패킷 송수신 인터페이스
820 : 제2 VPN 접속 제어부 830 : 제2 VPN 패킷 처리부
840 : 외부망 패킷 송수신 인터페이스

Claims (15)

  1. 외부망 PC와 연결되어 무선 보안망을 통해 무선패킷을 송수신하는 무선보안 단말장치;
    상기 무선 보안망을 통해 접속된 상기 무선보안 단말장치를 인증하고, 상기 무선보안 단말장치의 내부망 접속을 중계하여 VPN 패킷을 송수신하는 무선 가상사설망 AP장치; 및
    상기 무선 가상사설망 AP장치를 인증하고, 상기 무선 가상사설망 AP장치와 송수신되는 상기 VPN 패킷을 외부망으로 송수신하고 내부망과 상기 외부망으로의 연결을 단속하는 무선 가상사설망 관리장치;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  2. 제 1항에 있어서, 상기 무선 가상사설망 AP장치는, 상기 무선보안 단말장치의 인증여부에 따라 송수신 패킷을 차단하고 전송하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  3. 제 1항에 있어서, 상기 무선 가상사설망 관리장치는, 상기 무선 가상사설망 AP장치의 인증여부에 따라 송수신 패킷을 차단하고 전송하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  4. 제 1항에 있어서, 상기 무선보안 단말장치는,
    상기 외부망 PC와 연결되는 PC 연결 인터페이스;
    상기 무선 가상사설망 AP장치와 상기 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제1 무선패킷 처리부; 및
    상기 무선보안망을 통해 상기 무선 가상사설망 AP장치와 접속하기 위한 제1 무선패킷 송수신 인터페이스;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  5. 제 1항에 있어서, 상기 무선 가상사설망 AP장치는,
    상기 무선보안망을 통해 상기 무선보안 단말장치와 접속하기 위한 제1 무선패킷 송수신 인터페이스;
    상기 무선보안 단말장치와 상기 무선패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제2 무선패킷 처리부;
    상기 무선 가상사설망 관리장치와 상기 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제1 VPN 패킷 처리부;
    상기 무선 가상사설망 관리장치와 VPN 접속을 제어하는 제1 VPN 접속 제어부; 및
    상기 내부망에 접속하기 위한 제1 내부망 패킷 송수신 인터페이스;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  6. 제 1항에 있어서, 상기 무선 가상사설망 관리장치는,
    상기 내부망에 접속하기 위한 제2 내부망 패킷 송수신 인터페이스;
    상기 무선 가상사설망 AP장치와 VPN 접속을 제어하고 상기 내부망과 상기 외부망으로의 연결을 단속하는 제2 VPN 접속 제어부;
    상기 외부망과 상기 VPN 패킷을 송수신하기 위해 암호화 및 복호화를 수행하는 제2 VPN 패킷 처리부; 및
    상기 외부망에 접속하기 위한 외부망 패킷 송수신 인터페이스;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 장치.
  7. 외부망 PC가 무선보안 단말장치를 통해 암호화된 무선패킷을 무선 가상사설망 AP장치에 전송하는 단계;
    상기 무선 가상사설망 AP장치가 상기 무선보안 단말장치로부터 전송된 무선패킷을 복호화하고 무선 가상사설망 관리장치로 전송할 상기 VPN 패킷으로 암호화하는 단계;
    상기 무선 가상사설망 AP장치가 암호화된 상기 VPN 패킷을 상기 무선 가상사설망 관리장치로 전송하는 단계;
    상기 무선 가상사설망 관리장치가 상기 무선 가상사설망 AP장치로부터 암호화된 상기 VPN 패킷을 수신받아 상기 VPN 패킷을 복호화하는 단계; 및
    상기 무선 가상사설망 관리장치는 복호화된 상기 VPN 패킷을 외부망으로 전송하는 단계;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  8. 제 7항에 있어서, 상기 무선 가상사설망 AP장치에 접속하는 단계는,
    상기 외부망 PC가 상기 무선보안 단말장치로 통신을 요청하는 단계;
    상기 무선보안 단말장치가 상기 외부망 PC에서의 통신 요청에 따라 상기 무선패킷을 암호화하는 단계; 및
    상기 무선보안 단말장치가 무선 보안망을 통해 상기 무선 가상사설망 AP장치와 접속하여 암호화된 상기 무선패킷을 전송하는 단계;를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  9. 제 7항에 있어서, 상기 무선 가상사설망 AP장치가 상기 무선보안 단말장치의 접속에 따라 인증을 수행하는 단계; 및
    상기 무선 가상사설망 AP장치가 인증결과에 따라 상기 무선보안 단말장치의 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  10. 제 7항에 있어서, 상기 무선 가상사설망 AP장치가 내부망에 연결된 상기 무선 가상사설망 관리장치에 접속함에 따라 상기 무선 가상사설망 관리장치가 상기 무선 가상사설망 AP장치를 인증하는 단계; 및
    상기 무선 가상사설망 관리장치가 인증결과에 따라 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  11. 제 7항에 있어서, 상기 VPN 패킷을 복호화하는 단계는, 상기 무선 가상사설망 관리장치가 상기 VPN 패킷을 수신받아 목적지 IP 주소를 추출하고 상기 목적지 IP 주소가 내부망 PC로 향할 경우 패킷을 차단하고, 상기 외부망으로 향할 경우 복호화하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  12. 무선 가상사설망 관리장치가 외부망으로부터 패킷을 수신받는 단계;
    상기 무선 가상사설망 관리장치가 패킷을 VPN 패킷으로 암호화하는 단계;
    상기 무선 가상사설망 관리장치가 암호화된 상기 VPN 패킷을 무선 가상사설망 AP장치로 전송하는 단계;
    상기 무선 가상사설망 AP장치가 암호화된 상기 VPN 패킷을 수신받아 복호화하고 무선보안 단말장치로 전송할 패킷을 무선패킷으로 암호화하는 단계; 및
    상기 무선보안 단말장치가 암호화된 상기 무선패킷을 수신받아 복호화하여 외부망 PC에 전송하는 단계를 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  13. 제 12항에 있어서, 상기 VPN 패킷을 암호화하는 단계는, 상기 무선 가상사설망 관리장치가 패킷을 수신받아 목적지 IP 주소를 추출하고 상기 목적지 IP 주소가 내부망 PC로 향할 경우 패킷을 차단하고, 상기 외부망 PC로 향상할 경우 암호화하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  14. 제 12항에 있어서, 상기 무선 가상사설망 AP장치가 내부망에 연결된 상기 무선 가상사설망 관리장치에 접속함에 따라 상기 무선 가상사설망 관리장치가 상기 무선 가상사설망 AP장치를 인증하는 단계; 및
    상기 무선 가상사설망 관리장치가 인증결과에 따라 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
  15. 제 12항에 있어서, 상기 무선 가상사설망 AP장치가 상기 무선보안 단말장치의 접속에 따라 인증을 수행하는 단계; 및
    상기 무선 가상사설망 AP장치가 인증결과에 따라 상기 무선보안 단말장치의 패킷전송을 차단하거나 허용하는 단계를 더 포함하는 것을 특징으로 하는 무선 보안 액세스 포인트를 이용한 망분리 방법.
KR1020170091296A 2017-07-19 2017-07-19 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법 KR20190009497A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170091296A KR20190009497A (ko) 2017-07-19 2017-07-19 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170091296A KR20190009497A (ko) 2017-07-19 2017-07-19 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20190009497A true KR20190009497A (ko) 2019-01-29

Family

ID=65323147

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170091296A KR20190009497A (ko) 2017-07-19 2017-07-19 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20190009497A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210004555A (ko) * 2019-07-05 2021-01-13 빅오 주식회사 무선 침입 방지 시스템의 성능 검사 장치 및 기록매체
KR102312621B1 (ko) * 2021-06-18 2021-10-13 최민영 학내망 네트워크 시스템
KR20220042042A (ko) * 2020-09-25 2022-04-04 한국전자통신연구원 원격 업무 환경 제공 장치 및 방법
US11991150B2 (en) 2020-09-25 2024-05-21 Electronics And Telecommunications Research Institute Apparatus and method for providing remote work environment

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210004555A (ko) * 2019-07-05 2021-01-13 빅오 주식회사 무선 침입 방지 시스템의 성능 검사 장치 및 기록매체
KR20220042042A (ko) * 2020-09-25 2022-04-04 한국전자통신연구원 원격 업무 환경 제공 장치 및 방법
US11991150B2 (en) 2020-09-25 2024-05-21 Electronics And Telecommunications Research Institute Apparatus and method for providing remote work environment
KR102312621B1 (ko) * 2021-06-18 2021-10-13 최민영 학내망 네트워크 시스템

Similar Documents

Publication Publication Date Title
EP2909782B1 (en) Encrypted data inspection in a network environment
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
EP2820792B1 (en) Method of operating a computing device, computing device and computer program
US9473298B2 (en) Simplifying IKE process in a gateway to enable datapath scaling using a two tier cache configuration
US9219709B2 (en) Multi-wrapped virtual private network
US20060182103A1 (en) System and method for routing network messages
WO2010104632A2 (en) Offloading cryptographic protection processing
KR20040075293A (ko) 컴퓨팅 장치를 보안 네트워크에 접속시키기 위한 방법 및시스템
US9838868B1 (en) Mated universal serial bus (USB) wireless dongles configured with destination addresses
KR20190009497A (ko) 무선 보안 액세스 포인트를 이용한 망분리 장치 및 그 방법
US9524394B2 (en) Method and apparatus for providing provably secure user input/output
EP2706717A1 (en) Method and devices for registering a client to a server
WO2017166362A1 (zh) 一种esim号码的写入方法、安全系统、esim号码服务器及终端
US20200092264A1 (en) End-point assisted gateway decryption without man-in-the-middle
KR101420650B1 (ko) 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
KR101979157B1 (ko) 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템
KR101784240B1 (ko) 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법
US20080181404A1 (en) Encrypted packet communication system
JP2008028899A (ja) 通信システム、端末装置、vpnサーバ、プログラム、及び、通信方法
US20080059788A1 (en) Secure electronic communications pathway
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법
CN111628972A (zh) 一种数据加解密装置、方法、系统及存储介质
KR101628094B1 (ko) 보안 장비 및 그것의 접근 허용 방법
EP3662640B1 (en) Data communication with devices having no direct access or only restricted access to communication networks