KR20190014424A - Security association apparatus and security service method thereof - Google Patents

Security association apparatus and security service method thereof Download PDF

Info

Publication number
KR20190014424A
KR20190014424A KR1020170098239A KR20170098239A KR20190014424A KR 20190014424 A KR20190014424 A KR 20190014424A KR 1020170098239 A KR1020170098239 A KR 1020170098239A KR 20170098239 A KR20170098239 A KR 20170098239A KR 20190014424 A KR20190014424 A KR 20190014424A
Authority
KR
South Korea
Prior art keywords
address
security
access request
specific
server
Prior art date
Application number
KR1020170098239A
Other languages
Korean (ko)
Other versions
KR102034520B1 (en
Inventor
김인기
이동기
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020170098239A priority Critical patent/KR102034520B1/en
Publication of KR20190014424A publication Critical patent/KR20190014424A/en
Application granted granted Critical
Publication of KR102034520B1 publication Critical patent/KR102034520B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

The present invention relates to a security interlocking apparatus to solve a security problem which may occur in interlocking between an application container and a legacy server without changing a security system of a legacy server side, and a security service method thereof. According to the present invention, the security interlocking apparatus comprises a request checking unit, an authority checking unit, and a transfer control unit.

Description

보안연동장치 및 보안연동장치의 보안 서비스 방법{SECURITY ASSOCIATION APPARATUS AND SECURITY SERVICE METHOD THEREOF}SECURITY ASSOCIATION APPARATUS AND SECURITY SERVICE METHOD THEREOF FIELD OF THE INVENTION [0001]

본 발명은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너 기술에 관한 것으로서, 더욱 상세하게는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 보안연동장치 및 보안연동장치의 보안 서비스 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an application container technology to be executed in a cloud environment, and more particularly, to a security interworking device and a security service method of a security interworking device that solve a security problem that may occur in interlocking between an application container and a legacy server will be.

어플리케이션 서비스는, 어플리케이션 서비스를 위해 제작/배포된 어플리케이션(이하, App)이 사용자단말에 설치되는 기본 구조 하에서, 사용자단말에서 실행되는 App 및 그 App과의 통신을 기반으로 어플리케이션 서비스를 실행/제공하는 서버(이하, App서버)의 구성으로 서비스된다.The application service is a program for executing / providing an application service based on an App executed in the user terminal and communication with the application, under the basic structure in which an application (hereinafter referred to as an App) produced / distributed for the application service is installed in the user terminal Server (hereinafter referred to as an App server).

한편, 최근에도 새로운 어플리케이션 서비스들의 개발이 계속되고 있으며, 수 많은 어플리케이션 서비스들의 대량 등장 및 서비스 고속화 요구 등을 만족시키기 위해, 향후에는 기존의 서버 기반으로 운영되는 어플리케이션 방식에서 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식으로 진화할 것이다.Meanwhile, the development of new application services has been continuing recently, and in order to satisfy a large number of application services and a demand for high-speed service, in the future, Application-oriented approach.

도 1을 참조하여, 기존의 서버 기반으로 운영되는 어플리케이션 방식을 간단하게 설명하면, 사용자단말에서 실행되는 App과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 물리적인 App서버로 볼 수 있다.Referring to FIG. 1, a conventional application based on a server will be briefly described. A subject providing an application service to a user terminal based on communication with an application running on the user terminal is a physical application server .

즉, App서버1은 어플리케이션 서비스1을 제공하는 물리적 서버이며, App서버2는 어플리케이션 서비스2를 제공하는 물리적 서버이다.That is, the App server 1 is a physical server that provides the application service 1, and the App server 2 is a physical server that provides the application service 2.

예컨대, 이에, App서버1에서는 어플리케이션 서비스1을 실행 및 사용자단말에 제공하며, 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)들은 해당 행위의 대상이 되는 서버(10, 레거시서버)로의 접근 요청/응답 회신을 통해 수행하게 된다.For example, in the App server 1, the application service 1 is executed and provided to the user terminal. Actions (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 are transmitted to the server 10 Server) through the access request / response reply.

이러한 물리적 서버인 App서버1,2는, 통상적으로 고정된 IP주소를 사용한다.App servers 1 and 2, which are physical servers, typically use a fixed IP address.

한편, 레거시서버(10) 특히 보안이 중요한 레거시서버(10)는, 보안을 위해 접근 허용된 App서버의 IP주소에 대해서만 접근을 허용(오픈)하는 방화벽을 관리함으로써, 접근 허용된 App서버의 접근 요청 만이 레거시서버(10)에 정상적으로 수신되어 레거시서버(10)에서 필요한 행위를 수행하도록 연동을 허용하고 있다.Meanwhile, the legacy server 10, particularly the security-critical legacy server 10, manages a firewall that allows (opens) access only to the IP address of the access-allowed App server for security, Only the request is normally received by the legacy server 10, and the legacy server 10 allows the interworking to perform necessary actions.

이에, 레거시서버(10)의 방화벽이 App1서버의 IP주소에 대해서 접근을 허용(오픈)하고 App2서버의 IP주소에 대해서 접근을 차단하도록 관리되는 경우, App서버1의 접근 요청은 방화벽을 통과해 레거시서버(10)에 정상적으로 수신되지만 App서버2의 접근 요청은 방화벽을 통과하지 못해 레거시서버(10)에 수신되지 않는 것이다.Accordingly, when the firewall of the legacy server 10 is managed to allow access to the IP address of the App1 server (open) and to block access to the IP address of the App2 server, the access request of the App server 1 passes through the firewall The access request of the App server 2 does not pass through the firewall and is not received by the legacy server 10 although it is normally received by the legacy server 10.

즉, 기존의 기존의 서버 기반으로 운영되는 어플리케이션 방식에서는, App서버(고정 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버의 방화벽 만으로도 충분히 통제할 수 있었다.In other words, in the existing application method based on the server, the security problem that can occur in the interworking between the App server (fixed IP address) and the legacy server can be sufficiently controlled by the firewall of the legacy server alone.

한편, 도 2를 참조하여, 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식을 간단하게 설명하면, 사용자단말에서 실행되는 App과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 컨테이너 기반으로 동작하는 어플리케이션(이하, App 컨테이너)으로 볼 수 있다. Referring to FIG. 2, a container-based application method in a cloud environment is briefly described. A subject providing an application service to a user terminal based on communication with an application executed in the user terminal is a container- (Hereinafter referred to as an App container).

컨테이너(Container)는, 어플리케이션 소프트웨어를 특수한 포맷으로 묶어서 사용하는 소프트웨어 패키징/배포 기술이다.Containers are software packaging / distribution technologies that use application software in a special format.

이에, 컨테이너 기반으로 동작하는 어플리케이션 즉 App 컨테이너는, 여러 대의 서버들로 구성된 클라우드 환경에서 컨테이너 형태로 운영/동작하여 어플리케이션 서비스를 제공하는 것이다.Accordingly, an application that operates on a container basis, that is, an application container, operates / operates in a container form in a cloud environment composed of a plurality of servers to provide application services.

클라우드 환경에서 실행되는 App 컨테이너의 경우 IP주소가 유동적이며, 특히 기술적인 특성 상 App 컨테이너가 비정상 종료되더라도 빠르게 복구/재실행된다는 장점이 있지만 App 컨테이너가 재실행될 때마다 IP주소가 바뀌는 현상을 피할 수 없다.The App container running in a cloud environment has an IP address that is flexible, especially because of its technical nature, but even if the App container is abnormally terminated, it can be quickly restored / replayed, but the IP address change every time the App container is re- .

따라서, 향후 보편화될 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버의 방화벽 만으로도 통제할 수 없는 문제점이 예상된다.Therefore, it is expected that there is a problem that the security problem that can occur in the link between the App container (dynamic IP address) and the legacy server can not be controlled only by the firewall of the legacy server in the container type based application method in the future cloud environment do.

이에, 본 발명에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결할 수 있는 방안을 제안하고자 한다.Accordingly, the present invention proposes a method for solving a security problem that may occur in an application container (dynamic IP address) and a legacy server.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 효과적으로 해결하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to effectively solve a security problem that may occur in interlocking between an application container and a legacy server executed in a cloud environment.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 보안연동장치는, 클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인부; 상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인부; 및 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부를 포함한다.In order to achieve the above object, according to a first aspect of the present invention, there is provided a security interworking apparatus comprising: a request confirmation unit for confirming an access request from an application container executed in a cloud environment to a specific server; An authority checking unit for checking the use authority of the application container with respect to the specific server based on the access request; And a transfer control unit for determining whether or not the IP address in the access request is changed to a specific IP address permitted to be accessed by the firewall managed by the specific server according to the identified access right.

바람직하게는, 상기 권한확인부는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고, 상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인할 수 있다.Preferably, the authority checking unit identifies an application container that is using the IP address in the access request, in cooperation with a control node managing IP address use of each application container executed in the cloud environment, It is possible to confirm the usage right for the specific server assigned to the container.

바람직하게는, 상기 전달제어부는, 상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control unit may change the IP address in the access request to the specific IP address and transmit the IP address to the specific server when the determined usage right is the access permission authority.

바람직하게는, 상기 특정 IP주소는, 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소일 수 있다.Preferably, the specific IP address may be a static IP address of the security interworking device allowing access from a firewall managed by the specific server.

바람직하게는, 어플리케이션 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 및 권한 레벨을 관리하는 보안테이블을 저장하는 저장부를 더 포함하며; 상기 권한확인부는, 상기 접근 요청을 기초로, 상기 보안테이블로부터 상기 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한 및 이용 레벨을 확인할 수 있다.Preferably, the information processing apparatus further includes a storage unit for storing a security table for managing usage rights and authority levels assigned to the respective servers by application containers; The authority checking unit may check a usage right and a usage level for the specific server assigned to the application container from the security table based on the access request.

바람직하게는, 상기 전달제어부는, 상기 확인된 이용 권한 및 이용 레벨에 기초하여, 상기 이용 권한이 접근허용권한이고 상기 접근 요청에 의해 상기 특정 서버에서 수행되는 행위가 상기 이용 레벨의 허용범위에 속하는 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control unit determines that the usage right is the access permission authority and that the action performed by the specific server in the access request falls within the allowable range of the usage level , The IP address in the access request may be changed to the specific IP address and transmitted to the specific server.

바람직하게는, 상기 특정 서버로부터 상기 접근 요청에 따른 응답 회신이 수신되는 경우, 상기 응답 회신에 포함된 정보에 근거하여 상기 접근 요청의 어플리케이션 컨테이너를 인지하고, 상기 응답 회신을 상기 인지한 어플리케이션 컨테이너로 전달하는 송수신인터페이스부를 더 포함할 수 있다.Preferably, when receiving a response response based on the access request from the specific server, the application server recognizes the application container of the access request based on the information included in the response reply, And a transmission / reception interface unit for transmitting the transmission / reception interface unit.

바람직하게는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너는, 불특정 시점에 발생되는 특정 이벤트에 의해, 사용 중인 IP주소가 변경될 수 있다.Preferably, the IP address being used may be changed by a specific event occurring at an unspecified time point in each application container executed in the cloud environment.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 보안연동장치의 보안 서비스 방법은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인단계; 상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인단계; 및 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어단계를 포함한다.According to a second aspect of the present invention, there is provided a security service method for a security interworking device, comprising: a request confirmation step of confirming an access request from an application container executed in a cloud environment to a specific server; An authority checking step of checking the use authority of the application container for the specific server based on the access request; And a transfer control step of determining whether or not the IP address in the access request is changed to a specific IP address permitted by the firewall managed by the specific server according to the identified usage right.

바람직하게는, 상기 권한확인단계는, 상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고, 상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인할 수 있다.Preferably, the authority checking step identifies an application container that is using the IP address in the access request, in cooperation with a control node managing IP address use of each application container executed in the cloud environment, It is possible to confirm the usage right for the specific server assigned to the application container.

바람직하게는, 상기 전달제어단계는, 상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달할 수 있다.Preferably, the delivery control step may change the IP address in the access request to the specific IP address and transmit the IP address to the specific server when the determined usage right is the access permission authority.

바람직하게는, 상기 특정 IP주소는, 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소일 수 있다.Preferably, the specific IP address may be a static IP address of the security interworking device allowing access from a firewall managed by the specific server.

이에, 본 발명의 보안연동장치 및 보안연동장치의 보안 서비스 방법에 의하면, 클라우드 환경에서 실행되는 어플리케이션 컨테이너(App 컨테이너)와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제함으로써, 어플리케이션 컨테이너(App 컨테이너)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.According to the security service method of the security interworking apparatus and the security interworking apparatus of the present invention, interworking between the application container (App container) running in the cloud environment and the legacy server can be controlled with high reliability without changing the security system of the legacy server , And solves a security problem that may occur in an application container (App container) and a legacy server.

도 1은 기존의 서버 기반으로 운영되는 어플리케이션 방식에서 App서버 및 레거시서버 간 보안 체계를 보여주는 예시도이다.
도 2는 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서 App 컨테이너 및 레거시서버 간 보안 체계의 문제점을 보여주는 예시도이다.
도 3은 본 발명의 바람직한 실시예에 따라 App 컨테이너 및 레거시서버 간 보안 체계의 문제점이 해결되는 예시도이다.
도 4는 본 발명의 바람직한 실시예에 따른 보안연동장치의 구성을 보여주는 예시도이다.
도 5는 본 발명의 바람직한 실시예에 따른 보안연동장치의 보안 서비스 방법의 제어 흐름을 보여주는 예시도이다.FIG. 1 is an exemplary diagram illustrating a security scheme between an App server and a legacy server in an application method that is based on a conventional server.
FIG. 2 is an exemplary diagram illustrating a problem of a security scheme between an App container and a legacy server in an application method operated in a container based on a cloud environment.
FIG. 3 is a diagram illustrating an example in which a problem of a security scheme between an App container and a legacy server is solved according to a preferred embodiment of the present invention.
4 is an exemplary diagram illustrating the configuration of a security interworking device according to a preferred embodiment of the present invention.
5 is an exemplary diagram illustrating a control flow of a security service method of a security interworking device according to a preferred embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

본 발명은, 클라우드 환경에서 실행되는 어플리케이션 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 기술에 관한 것이다.TECHNICAL FIELD The present invention relates to a technology for solving a security problem that may occur in interlocking between an application container and a legacy server executed in a cloud environment.

이에, 먼저 도 2를 참조하여, 클라우드 환경에서 실행되는 App 컨테이너 및 레거시서버 간에 발생하는 기존의 보안 체계가 갖는 문제점을 간단히 설명하겠다.First, with reference to FIG. 2, a brief description will be given of the problems of existing security schemes occurring between an App container and a legacy server executed in a cloud environment.

도 2에 도시된 바와 같이, 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, 사용자단말에서 실행되는 어플리케이션(이하, App)과의 통신을 기반으로 사용자단말에 어플리케이션 서비스를 제공하는 주체는, 컨테이너 기반으로 동작하는 어플리케이션(이하, App 컨테이너)이다.As shown in FIG. 2, in an application method operated in a container-based manner in a cloud environment, a subject providing an application service to a user terminal based on communication with an application (hereinafter referred to as an App) (Hereinafter referred to as an " App container ").

컨테이너(Container)는, 어플리케이션 소프트웨어를 특수한 포맷으로 묶어서 사용하는 소프트웨어 패키징/배포 기술이다.Containers are software packaging / distribution technologies that use application software in a special format.

이에, 컨테이너 기반으로 동작하는 어플리케이션, 예컨대 App 컨테이너1,2,3,4 각각은, 여러 대의 서버들로 구성된 클라우드 환경에서 컨테이너 형태로 운영/동작하여 어플리케이션 서비스를 제공하는 것이다.Accordingly, each of the applications running on the container, for example, the App containers 1, 2, 3, and 4, operates / operates in a container form in a cloud environment composed of a plurality of servers to provide application services.

이처럼 클라우드 환경에서 실행되는 App 컨테이너는, 기술적인 특성 상 사용하는 IP주소가 유동적이다.In this way, the App container running in a cloud environment has a dynamic IP address that is used due to its technical characteristics.

구체적으로, App 컨테이너는, 비정상 종료되더라도 빠르게 복구/재실행되는 장점을 가지며, 이때 재실행될 때마다 사용하는 IP주소가 변경되는 것이다.Specifically, the App container has the advantage of being quickly restored / replayed even if it is abnormally terminated, and the IP address used changes every time it is re-executed.

한편, 도 1에 도시된 있는, 기존의 서버 기반으로 운영되는 어플리케이션 방식에서는, App서버가 고정 IP주소를 사용하기 때문에, App서버(IP주소)와 레거시서버(10) 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버(10)의 방화벽 만으로도 충분히 통제할 수 있었다.1, since an App server uses a fixed IP address in an application method based on an existing server, it is possible to prevent a conflict between an App server (IP address) and a legacy server 10 The security problem could be sufficiently controlled by the firewall of the legacy server 10 alone.

헌데, 전술한 바와 같이, 도 2에 도시된 바 있는 클라우드 환경에서 컨테이너 기반으로 운영되는 어플리케이션 방식에서는, App 컨테이너의 IP주소가 불특정 시점에 발생되는 재실행 시마다 사용 중인 IP주소가 변경되는 등 유동적이기 때문에, App 컨테이너(유동 IP주소)와 레거시서버(10) 사이의 연동에서 발생할 수 있는 보안 문제를, 레거시서버(10)의 방화벽 만으로는 통제할 수 없다.As described above, in the application method operated in the container based on the cloud environment shown in FIG. 2, since the IP address of the App container is changed at the time of re-execution when the IP address of the App container is generated at the unspecified time, , A security problem that may occur in the interworking between the App container (dynamic IP address) and the legacy server 10 can not be controlled by the firewall of the legacy server 10 alone.

구체적으로 설명하자면, App 컨테이너1이 어플리케이션 서비스1을 제공하는 주체이고, App 컨테이너2가 어플리케이션 서비스2를 제공하는 주체이고, App 컨테이너3이 어플리케이션 서비스3을 제공하는 주체이고, App 컨테이너4가 어플리케이션 서비스4를 제공하는 주체라고 가정한다.Specifically, it is assumed that the App container 1 is the entity providing the application service 1, the App container 2 is the entity providing the application service 2, the App container 3 is the entity providing the application service 3, 4 as a subject.

그리고, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.It is assumed that the legacy server 10 permits interworking only with the App containers 1 and 2, and interworking with the App containers 3 and 4 is not permitted.

이러한 경우, 기존의 레거시서버(10)의 방화벽 만으로 통제하는 보안 체계에 따르면, 레거시서버(10)의 방화벽이 App 컨테이너1,2의 IP주소에 대해서 접근을 허용(오픈)하고 App 컨테이너3,4의 IP주소에 대해서 접근을 차단하도록 관리될 것이다.In this case, according to the security scheme of controlling only the existing firewall of the legacy server 10, the firewall of the legacy server 10 permits (opens) the IP addresses of the App containers 1 and 2, The IP address will be managed to block access.

헌데, 레거시서버(10)의 방화벽이 App 컨테이너1,2의 IP주소가 언제 어떻게 변하는지 알 수 없기 때문에, App 컨테이너1의 변경된 IP주소가 레거시서버(10)의 방화벽이 오픈하는 IP주소가 아닐 수 있고 이 경우 App 컨테이너1의 접근 요청은 방화벽을 통과하지 못해 레거시서버(10)에 수신되지 않는 문제가 있다. However, since the firewall of the legacy server 10 can not know when and how the IP addresses of the App containers 1 and 2 change, the changed IP address of the App container 1 is not the IP address opened by the firewall of the legacy server 10 In this case, the access request of the App container 1 can not pass through the firewall and is not received by the legacy server 10.

즉, 연동 허용된 App 컨테이너1,2 및 레거시서버(10) 간에 연동이 실패하는, 보안 상의 문제가 발생할 수 있다.That is, a security problem may occur that the interworking between the application containers 1 and 2 and the legacy server 10 that are allowed to be interlinked fails.

그렇다고 레거시서버(10)로의 App 컨테이너1의 정당한 접근 요청 수신이 실패되는 것을 막기 위해, 레거시서버(10)의 방화벽이 과도하게 많은 IP주소를 오픈하는 경우, 연동이 허용되지 않은 App 컨테이너3,4에서 방화벽이 오픈하는 IP주소를 사용하게 될 수 있기 때문에 보안 체계의 기능이 사실 상 무의미하다.If the firewall of the legacy server 10 opens too many IP addresses in order to prevent the legitimate server 10 from receiving the legitimate access request of the App container 1, The function of the security system is virtually useless because the firewall can use the open IP address.

즉, 연동 허용되지 않은 App 컨테이너3,4 및 레거시서버(10) 간에 정당하지 않은 연동이 일시적으로 이루어지는, 보안 상의 문제가 발생할 수 있다.That is, unauthorized interworking between the non-cooperatively allowed App containers 3 and 4 and the legacy server 10 may temporarily occur, which may cause a security problem.

이처럼, 클라우드 환경에서 실행되는 App 컨테이너의 경우, App 컨테이너의 IP주소가 유동적이라는 특성으로 인해, 레거시서버의 방화벽에 의존하는 기존의 보안 체계로는 App 컨테이너(유동 IP주소)와 레거시서버(10) 사이의 연동 허용/차단을 신뢰도 높게 충분히 통제할 없는 보안 상의 문제가 있다.As described above, in the case of an App container executed in a cloud environment, an existing security system that relies on a firewall of a legacy server due to the property that an IP address of the App container is flexible is called an App container (a floating IP address) There is a security problem in that it does not sufficiently control the permission / interception of interlocking between the devices.

이에, 본 발명에서는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결할 수 있는 방안을 제안하고자 한다.Accordingly, the present invention proposes a method for solving a security problem that may occur in an application container (dynamic IP address) and a legacy server.

더 구체적으로는, App 컨테이너(유동 IP주소)와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 방안을 실현하는 보안연동장치를 제안하고자 한다.More specifically, the present invention proposes a security interworking device that realizes a solution to solve a security problem that can occur in an interoperation between an App container (a dynamic IP address) and a legacy server.

이하에서는, 도 3 및 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안연동장치에 대하여 설명하겠다.Hereinafter, a security interlocking apparatus according to a preferred embodiment of the present invention will be described with reference to FIG. 3 and FIG.

먼저, 도 3을 참조하여 설명하면, 본 발명의 보안연동장치(100)는, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버(10) 사이에 위치하여, App 컨테이너 및 레거시서버(10) 사이의 연동을 지원하는 역할을 한다.3, the security interworking apparatus 100 of the present invention is located between an App container running in a cloud environment and a legacy server 10, and is interlocked between an App container and a legacy server 10 As well.

이에, 보안연동장치(100)는, App 컨테이너로부터 레거시서버(10)로 전달되는 접근 요청(또는, 네트워크 요청)을 중계하되, 레거시서버(10)와의 연동이 허용된 App 컨테이너에 대해서만 유동적인 IP주소를 사용하더라도 레거시서버(10)와의 연동이 실패 없이 이루어질 수 있도록 게이트웨이 역할을 하는, 보안 서비스를 제공한다.Accordingly, the security interworking apparatus 100 relays an access request (or network request) transmitted from the App container to the legacy server 10, and only relays the IP request to the legacy server 10 Address to the legacy server 10 without failing to provide a security service that acts as a gateway.

이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 보안연동장치의 구성을 보다 구체적으로 설명하겠다.Hereinafter, the configuration of a security interworking device according to a preferred embodiment of the present invention will be described in more detail with reference to FIG.

도 4에 도시된 바와 같이 본 발명의 보안연동장치(100)는, 클라우드 환경에서 실행되는 어플리케이션 컨테이너(이하, App 컨테이너)로부터 특정 서버(이하, 레거시서버)로의 접근 요청을 확인하는 요청확인부(110)와, 상기 접근 요청을 기초로, 상기 레거시서버에 대한 상기 App 컨테이너의 이용 권한을 확인하는 권한확인부(120)와, 상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 레거시서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부(140)를 포함한다.As shown in FIG. 4, the security interworking apparatus 100 of the present invention includes a request confirmation unit (hereinafter referred to as an application container) for confirming an access request from an application container (hereinafter referred to as an App container) executed in a cloud environment to a specific server An access authority checking unit (120) for checking the access right of the App container to the legacy server based on the access request; and an access control unit And a transfer control unit 140 for determining whether to change to a specific IP address permitted by the firewall managed by the legacy server.

이하에서는, 도 3에 도시된 App 컨테이너1,2,3,4를 언급하여 설명하겠다.Hereinafter, the App containers 1, 2, 3, and 4 shown in FIG. 3 will be described.

요청확인부(110)는, 클라우드 환경에서 실행되는 App 컨테이너로부터 레거시서버(10)로의 접근 요청을 확인한다.The request confirmation unit 110 confirms an access request to the legacy server 10 from the App container executed in the cloud environment.

예를 들어, App 컨테이너1이 어플리케이션 서비스1을 제공하는 중에 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)를 수행하고자 해당 행위의 대상이 되는 레거시서버(10)로의 접근 요청을 발생한다고 가정하겠다.For example, in order to perform an action (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 while the application container 1 provides the application service 1, the access request to the legacy server 10 .

이 경우, 요청확인부(110)는, App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청을 수신하여, 확인할 수 있다.In this case, the request confirmation unit 110 can receive and confirm the access request transmitted from the App container 1 to the legacy server 10. [

권한확인부(120)는, 상기 접근 요청을 기초로, 레거시서버(10)에 대한 App 컨테이너1의 이용 권한을 확인한다.The authority checking unit 120 checks the usage right of the App container 1 for the legacy server 10 based on the access request.

보다 구체적으로 설명하면, 권한확인부(120)는, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별한다.More specifically, the authority checking unit 120 identifies an App container that is using the IP address in the access request, in cooperation with a control node that manages IP address use of each App container executed in the cloud environment.

앞서 설명한 바와 같이, 클라우드 환경에서 실행되는 App 컨테이너는, 기술적인 특성 상 사용하는 IP주소가 유동적이다.As described above, the IP container used in the cloud environment is flexible in terms of the technical characteristics.

특히, 클라우드 환경에서 실행되는 각 App 컨테이너는, 불특정 시점에 발생되는 특정 이벤트에 의해 사용 중인 IP주소가 변경된다.In particular, each application container that runs in the cloud environment changes the IP address in use by a specific event occurring at an unspecified time.

구체적으로는, 각 App 컨테이너는, App 컨테이너가 비정상 종료되는 경우 빠르게 복구/재실행되는데, 이처럼 불특정한 시점에 발생하게 되는 재실행(특정 이벤트) 시마다 사용 중인 IP주소가 변경되는 것이다.Specifically, each App container is quickly restored / replayed when the App container is abnormally terminated. In this case, the IP address being used changes every time a replay (specific event) occurs at an unspecified time.

이때, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)가 존재한다.At this time, there is a control node (not shown) for controlling / managing the use of the IP address of each App container executed in the cloud environment.

권한확인부(120)는, 요청확인부(110)에서 확인한 금번 접근 요청을 기초로, 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있다.The authority checking unit 120 is configured to interwork with a control node (not shown) for controlling / managing the IP address use of each App container based on the access request confirmed by the request checking unit 110, You can identify your App container using your IP address.

App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청에는, App 컨테이너1가 사용 중인 유동적인 IP주소가 사용되었을 것이다.In the access request transmitted from the App container 1 to the legacy server 10, a flexible IP address used by the App container 1 is used.

따라서, 권한확인부(120)는, 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있고, 이 경우 App 컨테이너1을 식별할 것이다.Accordingly, the authority checking unit 120 can identify the App container that is using the IP address in this access request in cooperation with the control node (not shown), and will identify the App container 1 in this case.

즉, 권한확인부(120)는, 클라우드 환경에서 실행되는 각 App 컨테이너의 IP주소가 변경되기 때문에, 접근 요청 내 IP주소 만으로는 접근 요청의 주체인 App 컨테이너를 식별할 수 없으므로, 제어노드(미도시)와 연동하여 App 컨테이너를 식별해내는 것이다.That is, since the IP address of each App container executed in the cloud environment is changed, the authority checking unit 120 can not identify the App container, which is the subject of the access request, only with the IP address in the access request, ) To identify the App container.

권한확인부(120)는, 이처럼 식별된 App 컨테이너1에 기 부여된 레거시서버(10)에 대한 이용 권한을 확인한다.The authority checking unit 120 confirms a usage right for the legacy server 10 granted to the App container 1 thus identified.

구체적으로, 보안연동장치(100)는, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한을 관리하는 보안테이블을 저장하는 저장부(130)를 더 포함할 수 있다.Specifically, the security interworking apparatus 100 may further include a storage unit 130 for storing a security table for managing usage rights assigned to each server for each App container.

저장부(130)에 저장되는 보안테이블은, 보안연동장치(100)가 보안 서비스를 제공하는 각 서버에 대하여, App 컨테이너 별로 부여된 이용 권한을 저장/관리하는 정보테이블이다.The security table stored in the storage unit 130 is an information table that stores / manages a usage right assigned to each of the servers provided with the security service by the security interworking apparatus 100 for each App container.

이에, 보안연동장치(100)가 보안 서비스를 제공하는 레거시서버(10)을 언급하여 설명하면, 보안테이블에는, 레거시서버(10)에 대하여 App 컨테이너1,2,3,4 별로 부여된 이용 권한이 저장/관리될 것이다.Hereinafter, the security interworking apparatus 100 will be described with reference to the legacy server 10 providing the security service. The security table includes a usage right assigned to each of the App containers 1, 2, 3, and 4 to the legacy server 10 Will be stored / managed.

이하에서는 설명의 편의 상, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.Hereinafter, it is assumed that legacy server 10 permits interworking only with App containers 1 and 2, and interworking with App containers 3 and 4 is not allowed.

이 경우, 저장부(130)에 저장되는 보안테이블에는, 레거시서버(10)에 대하여, App 컨테이너1,2 별로 부여된 접근허용권한의 이용 권한 및 App 컨테이너3,4 별로 부여된 접근차단의 이용 권한이 저장/관리될 것이다.In this case, the security table stored in the storage unit 130 includes a right to use the access permission granted to each of the App containers 1 and 2, and a use of the access blocks assigned to the App containers 3 and 4 to the legacy server 10 Permissions will be stored / managed.

이에, 권한확인부(120)는, 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너1을 식별한 후, 보안테이블에 근거하여 레거시서버(10)에 대한 App 컨테이너1의 이용 권한(접근허용권한)을 확인할 수 있다.Then, the authority checking unit 120 identifies the application container 1 using the IP address of the access request in cooperation with the control node (not shown), and then, based on the security table, 1 (access permission authority).

전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한에 따라, 금번 접근 요청 내 IP주소에 대하여 레거시서버(10)가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정한다.The delivery control unit 140 determines whether or not the IP address in the access request is changed to a specific IP address permitted to be accessed by the firewall managed by the legacy server 10 according to the usage right identified by the authority checking unit 120 .

구체적으로, 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한이 접근허용권한인 경우, 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경을 결정한다.Specifically, when the access right identified by the authority checking unit 120 is the access permission authority, the delivery control unit 140 determines to change the IP address in the access request to a specific IP address.

즉, 전술과 같이 권한확인부(120)에서 확인된 App 컨테이너1의 이용 권한이 접근허용권한인 경우, 전달제어부(140)는, App 컨테이너1로부터의 금번 접근 요청 내 IP주소(유동)를 특정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)할 수 있다.That is, when the access right of the App container 1 confirmed by the authority checking unit 120 is the access permission authority, the delivery control unit 140 specifies the IP address (flow) in the access request from the App container 1 It is possible to transfer the IP address to the legacy server 10 (relay).

이때, 레거시서버(10)가 관리하는 방화벽에서 접근 허용하는 특정 IP주소란, 레거시서버(10)에서 관리하는 방화벽이 접근을 허용(오픈)하도록 설정된 고정IP주소이면 될 것이며, 더 구체적으로는 보안연동장치(100)가 사용하는 고정 IP주소일 수 있다.In this case, the specific IP address permitted to be accessed by the firewall managed by the legacy server 10 may be a static IP address set to allow (open) a firewall managed by the legacy server 10, and more specifically, And may be a static IP address used by the interworking device 100. [

즉, 전달제어부(140)는, 이용 권한이 접근허용권한으로 확인되는 App 컨테이너1,2로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.That is, for the access request from the App containers 1 and 2 for which the use right is confirmed as the access permission authority, the delivery control unit 140 sets the IP address (flow) in the access request to a specific IP address, that is, To the fixed IP address, and to the legacy server 10 (relay).

이렇게 되면, 레거시서버(10)의 방화벽이 보안연동장치(100)의 고정 IP주소에 대해서 접근을 허용(오픈)하므로, App 컨테이너1,2로부터의 접근 요청은 기존의 보안 체계에 따라 방화벽을 통과하여 레거시서버(10)에 정상적으로 수신될 것이다.In this case, since the firewall of the legacy server 10 permits (opens) access to the fixed IP address of the security interworking apparatus 100, the access request from the App containers 1 and 2 passes through the firewall according to the existing security scheme And will normally be received by the legacy server 10.

여기서, 본 발명의 보안연동장치(100)는, App 컨테이너 및 레거시서버(10) 간의 접근 요청/응답 회신의 송수신을 중계하기 위한 송수신인터페이스부(150)를 더 포함한다.Here, the security interworking apparatus 100 of the present invention further includes a transmission / reception interface unit 150 for relaying transmission / reception of an access request / response reply between the App container and the legacy server 10.

송수신인터페이스부(150)는, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우, 금번 응답 회신에 포함된 정보에 근거하여 금번 응답 회신에 대응되는 접근 요청의 어플리케이션 컨테이너를 인지하고, 금번 응답 회신을 인지한 어플리케이션 컨테이너로 전달한다.Reception interface unit 150 recognizes the application container of the access request corresponding to this response response based on the information included in this response reply when the response response based on the access request is received from the legacy server 10, And passes the response reply to the recognized application container.

구체적으로, 송수신인터페이스부(150)는, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우, 금번 응답 회신에 포함된 정보 특히 응답 회신(패킷)에 기 포함되어 있는 original source 정보에 근거하여, 금번 응답 회신에 대응되는 접근 요청을 발생한 App 컨테이너(예: App 컨테이너1)를 인지할 수 있다.Specifically, when a response response based on the access request is received from the legacy server 10, the transmission / reception interface unit 150 transmits the original source information included in the information included in the response reply, particularly the response reply (packet) Based on this, it is possible to recognize an App container (for example, App container 1) that has generated an access request corresponding to this response response.

이에, 송수신인터페이스부(150)는, 금번 응답 회신에 대응되는 접근 요청의 어플리케이션 컨테이너 예컨대 App 컨테이너1을 인지하면, 금번 응답 회신을 해당하는 App 컨테이너1로 전달(중계)할 수 있다.Accordingly, the transmission / reception interface unit 150 can forward (relay) the response response to the corresponding App container 1 when it recognizes the application container of the access request corresponding to this response reply, for example, App container 1.

한편, 송수신인터페이스부(150)는, 전술한 방식 외에도, 양 기기(App 컨테이너/레거시서버) 간의 송수신을 중계 및 게이트웨이 역할을 하는 기존의 기술에서, 송수신되는 신호(접근 요청/응답 회신)을 상호 대응시켜 전달하는 다양한 방식 중 어느 것을 채택하여도 무방할 것이다.In addition to the above-described method, the transmission / reception interface unit 150 transmits signals (access requests / response replies) transmitted and received in a conventional technology serving as a relay and gateway between the two devices (App containers / legacy servers) It may be possible to adopt any of a variety of methods for communicating and communicating.

한편, 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한이 접근차단인 경우, 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경 없이, 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다.If the access right identified by the authority verifying unit 120 is access blocking, the transfer control unit 140 can directly transfer the access request to the legacy server ( 10).

즉, 전달제어부(140)는, 이용 권한이 접근차단으로 확인되는 App 컨테이너3,4로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 변경하지 않고, 레거시서버(10)로 전달(중계)하는 것이다.That is, the transfer control unit 140 does not change the IP address (flow) in the access request to the access request from the App containers 3 and 4 whose usage right is confirmed as the access blocking, and transfers the access request to the legacy server 10 Relay).

이렇게 되면, 레거시서버(10)의 방화벽이 접근을 허용(오픈)하지 않는 App 컨테이너3,4로부터의 접근 요청은, 기존의 보안 체계에 따라 방화벽을 통과하지 못하고 차단될 것이다.In this case, access requests from the App containers 3 and 4, in which the firewall of the legacy server 10 does not allow access (open), will be blocked without passing through the firewall according to the existing security scheme.

이상에서 설명한 바와 같이, 본 발명의 보안연동장치(100)는, App 컨테이너로부터 레거시서버(10)로 전달되는 접근 요청(또는, 네트워크 요청)을 중계하되, 레거시서버(10)와의 연동이 허용된 접근허용권한의 App 컨테이너의 접근 요청에 대해서는 IP주소를 레거시서버(10)의 방화벽에서 접근 허용하는 IP주소로 변경하는 간단한 절차를 통해, App 컨테이너가 유동적인 IP주소를 사용하더라도 App 컨테이너 및 레거시서버(10) 간의 연동이 실패 없이 이루어질 수 있도록 한다.As described above, the security interworking apparatus 100 of the present invention relays an access request (or a network request) transmitted from the App container to the legacy server 10, For the access request of the App container of the access permission authority, a simple procedure of changing the IP address to an IP address allowing access from the firewall of the legacy server 10, even if the App container uses a flexible IP address, (10) can be performed without fail.

더 나아가, 저장부(130)에 저장되는 보안테이블은, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 뿐 아니라 이용 레벨을 더 관리할 수 있다.Furthermore, the security table stored in the storage unit 130 can further manage not only the access right granted to each server but also the access level for each App container.

여기서, 이용 레벨은, 정의하기에 따라 달리 구분될 수 있으며, 예를 들면 접근 요청에 따라 레거시서버(10)에서 수행되는 행위의 허용범위를 기준으로 상/중/하의 3개 이용 레벨로 구분하여 정의할 수 있다.Here, the usage level may be differently defined according to the definition. For example, the usage level may be divided into three usage levels of upper, middle, and lower based on the allowable range of the action performed by the legacy server 10 according to the access request Can be defined.

이러한 실시예에 따르면, 권한확인부(120)는, 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너1을 식별한 후, 보안테이블에 근거하여 레거시서버(10)에 대한 App 컨테이너1의 이용 권한(접근허용권한) 및 이용 레벨을 확인할 수 있다.According to this embodiment, the authority checking unit 120 identifies the App container 1 using the IP address of the access request in cooperation with the control node (not shown), and then, based on the security table, (The access permission authority) and the usage level of the App container 1 with respect to the user.

그리고 전달제어부(140)는, 권한확인부(120)에서 확인된 이용 권한 및 이용 레벨에 기초하여, 이용 권한이 접근허용권한이고 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 이용 레벨의 허용범위에 속하는 경우, 금번 접근 요청 내 IP주소를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여 레거시서버(10)로 전달(중계)할 수 있다.The transfer control unit 140 determines whether the usage right is the access permission authority and the action performed by the legacy server 10 based on the access request is the usage level (Relay) the IP address in the access request to the specific IP address, that is, the fixed IP address of the security interworking device 100, to the legacy server 10 (relay).

예를 들어, App 컨테이너1의 이용 레벨은 상 이용 레벨이고 이때의 허용범위는 정보 획득, 정보 저장, 정보 변경이라고 가정하며, App 컨테이너2의 이용 레벨은 하 이용 레벨이고 이때의 허용범위는 정보 획득이라고 가정한다.For example, it is assumed that the usage level of the App container 1 is the usage level, and the allowable range at this time is information acquisition, information storage, and information change. The usage level of the App container 2 is the lower level, .

이 경우, 전달제어부(140)는, 이용 권한이 접근허용권한, 이용 레벨인 상 이용 레벨로 확인되는 App 컨테이너1로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 상 이용 레벨의 허용범위(정보 획득, 정보 저장, 정보 변경)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.In this case, for the access request from the App container 1 in which the usage right is identified as the access permission level and the usage level, that is, the usage level, the action according to the access request is the allowable range of the usage level (Relay) the IP address (flow) of the access request to the specific IP address, that is, the fixed IP address of the security interworking apparatus 100, and transfers it to the legacy server 10 .

한편, 전달제어부(140)는, 이용 권한이 접근허용권한, 이용 레벨이 하 이용 레벨로 확인되는 App 컨테이너2로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 하 이용 레벨의 허용범위(정보 획득)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.On the other hand, for the access request from the App container 2 in which the use right is the access right and the use level is found to be the lower use level, the transfer control unit 140 determines that the action according to the access request is an allowable range (Relay) the IP address (flow) of the access request to the specific IP address, that is, the fixed IP address of the security interworking device 100, to the legacy server 10.

이렇게 되면, 본 발명의 보안연동장치(100)는, 레거시서버(10)와의 연동이 허용된 접근허용권한의 App 컨테이너의 접근 요청에 대해서는 이용 레벨 별로 차등을 두어 IP주소를 변경함으로써, 유동적인 IP주소를 사용하는 App 컨테이너 및 레거시서버(10) 간의 연동이 이용 레벨에 따라 차등화하여 이루어질 수 있도록 한다.In this case, the security interworking apparatus 100 of the present invention changes the IP address by changing the access request of the access container of the access permission permission permitted to the legacy server 10, The application container using the address and the legacy server 10 can be differentiated according to the utilization level.

이상에서 설명한 바와 같이, 본 발명에 따르면, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제하는 것이 가능해짐으로써, App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.As described above, according to the present invention, it becomes possible to control the interlock between the App container and the legacy server executed in the cloud environment with high reliability without changing the security system of the legacy server, And solves security problems that may occur in interworking.

이하에서는, 도 5를 참조하여 본 발명의 다양한 실시예에 따른 보안연동장치의 보안 서비스 방법을 설명하겠다. Hereinafter, a security service method of a security interworking device according to various embodiments of the present invention will be described with reference to FIG.

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, App 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한을 관리하는 보안테이블을 저장/관리한다(S100).The security service method of the security interworking apparatus 100 according to the present invention stores / manages a security table for managing usage rights granted to each server for each App container (S100).

보안테이블은, 보안연동장치(100)가 보안 서비스를 제공하는 각 서버에 대하여, App 컨테이너 별로 부여된 이용 권한을 저장/관리하는 정보테이블이다.The security table is an information table for storing / managing a usage right assigned for each App container for each server that the security interworking device 100 provides security services.

이에, 보안연동장치(100)가 보안 서비스를 제공하는 레거시서버(10)을 언급하여 설명하면, 보안테이블에는, 레거시서버(10)에 대하여 App 컨테이너1,2,3,4 별로 부여된 이용 권한이 저장/관리될 것이다.Hereinafter, the security interworking apparatus 100 will be described with reference to the legacy server 10 providing the security service. The security table includes a usage right assigned to each of the App containers 1, 2, 3, and 4 to the legacy server 10 Will be stored / managed.

이하에서는 설명의 편의 상, 레거시서버(10)에서 App 컨테이너1,2에 대해서만 연동을 허용하고 App 컨테이너3,4에 대해서는 연동을 허용하지 않는 것으로 가정한다.Hereinafter, it is assumed that legacy server 10 permits interworking only with App containers 1 and 2, and interworking with App containers 3 and 4 is not allowed.

이 경우, 보안테이블에는, 레거시서버(10)에 대하여, App 컨테이너1,2 별로 부여된 접근허용권한의 이용 권한/이용 레벨 및 App 컨테이너3,4 별로 부여된 접근차단의 이용 권한/이용 레벨이 저장/관리될 것이다.In this case, in the security table, the use authority / use level of the access permission authority assigned to each of the App containers 1 and 2 and the use authority / use level of the access blocking agent assigned to each of the App containers 3 and 4 Stored / managed.

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 클라우드 환경에서 실행되는 App 컨테이너로부터 레거시서버(10)로의 접근 요청을 확인한다(S110).The security service method of the security interworking apparatus 100 according to the present invention confirms an access request to the legacy server 10 from an App container executed in a cloud environment (S110).

예를 들어, App 컨테이너1이 어플리케이션 서비스1을 제공하는 중에 어플리케이션 서비스1의 실행에 필요한 행위(예: 정보 획득, 정보 저장 등)를 수행하고자 해당 행위의 대상이 되는 레거시서버(10)로의 접근 요청을 발생한다고 가정하겠다.For example, in order to perform an action (e.g., information acquisition, information storage, etc.) necessary for execution of the application service 1 while the application container 1 provides the application service 1, the access request to the legacy server 10 .

이 경우, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청을 수신하여, 확인할 수 있다.In this case, the security service method of the security interworking apparatus 100 according to the present invention can receive and confirm an access request transmitted from the App container 1 to the legacy server 10.

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, S110단계에서 접근 요청이 확인되면, 확인한 금번 접근 요청을 기초로, 각 App 컨테이너의 IP주소 사용을 제어/관리하는 역할의 제어노드(미도시)와 연동하여 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있다(S120).In the security service method of the security interworking apparatus 100 according to the present invention, when the access request is confirmed in step S110, the security service method of the security interworking apparatus 100 includes a control node The IP address of the access request can be identified (S120).

App 컨테이너1로부터 레거시서버(10)로 전달되는 접근 요청에는, App 컨테이너1가 사용 중인 유동적인 IP주소가 사용되었을 것이다.In the access request transmitted from the App container 1 to the legacy server 10, a flexible IP address used by the App container 1 is used.

따라서, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 제어노드(미도시)와 연동하여, 금번 접근 요청 내 IP주소를 사용 중인 App 컨테이너를 식별할 수 있고, 이 경우 App 컨테이너1을 식별할 것이다.Accordingly, the security service method of the security interworking apparatus 100 according to the present invention can identify the App container using the IP address in this access request in cooperation with the control node (not shown). In this case, Lt; / RTI >

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이처럼 식별된 App 컨테이너1에 기 부여된 레거시서버(10)에 대한 이용 권한 및 이용 레벨을 확인한다(S130).In the security service method of the security interworking apparatus 100 according to the present invention, the usage right and usage level of the legacy server 10 granted to the App container 1 thus identified are checked (S130).

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 보안테이블에 근거하여, S120단계에서 식별한 App 컨테이너1의 이용 권한(예: 접근허용권한) 및 이용 레벨(예: 상)을 확인할 수 있다(S130).The security service method of the security interworking apparatus 100 according to the present invention checks the access right (for example, access permission right) and the use level (for example, an upper right) of the App container 1 identified in step S120 based on the security table (S130).

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 확인된 이용 권한이 접근허용권한이 아닌 접근차단인 경우(S140 No), 금번 접근 요청 내 IP주소에 대하여 특정 IP주소로의 변경 없이, 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다(S200).In the security service method of the security interworking apparatus 100 according to the present invention, when the identified access right is access blocking rather than the access permission right (S140 No), the security access method of the security interlocking apparatus 100 , The access request can be transferred (relayed) to the legacy server 10 as it is (S200).

이에, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 예컨대 이용 권한이 접근차단으로 확인되는 App 컨테이너3,4로부터의 접근 요청에 대해서는, 접근 요청 내 IP주소(유동)를 변경하지 않고, 레거시서버(10)로 전달(중계)하는 것이다.Accordingly, the security service method of the security interworking apparatus 100 according to the present invention is configured to change the IP address (flow) in the access request, for example, for an access request from the App containers 3 and 4, (Relays) it to the legacy server 10 without relaying it.

한편, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 확인된 이용 권한이 접근허용권한인 경우(S140 Yes), 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하는지 판단한다(S150).Meanwhile, in the security service method of the security interworking apparatus 100 according to the present invention, when the determined usage right is the access permission authority (Yes in S140), the action performed by the legacy server 10 is confirmed by the access request It is judged whether it is within the allowable range of the use level (S150).

본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하지 않는 경우(S150 No) 금번 접근 요청을 그대로 레거시서버(10)로 전달(중계)할 수 있다(S200).In the security service method of the security interworking apparatus 100 according to the present invention, when the action performed in the legacy server 10 by the access request does not fall within the allowable range of the usage level that is confirmed (No in S150) (Relay) to the legacy server 10 as it is (S200).

반면, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 접근 요청에 의해 레거시서버(10)에서 수행되는 행위가 확인된 이용 레벨의 허용범위에 속하는 경우(S150 Yes), 금번 접근 요청 내 IP주소를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여 레거시서버(10)로 전달(중계)할 수 있다(S160).On the other hand, in the security service method of the security interworking apparatus 100 according to the present invention, when the action performed by the legacy server 10 by the access request belongs to the permitted range of the usage level that is confirmed (Yes in S150) The IP address of the request may be changed to a specific IP address, that is, the fixed IP address of the security interworking device 100, and may be transmitted (relayed) to the legacy server 10 (S160).

예를 들어, App 컨테이너1의 이용 레벨은 상 이용 레벨이고 이때의 허용범위는 정보 획득, 정보 저장, 정보 변경이라고 가정하며, App 컨테이너2의 이용 레벨은 하 이용 레벨이고 이때의 허용범위는 정보 획득이라고 가정한다.For example, it is assumed that the usage level of the App container 1 is the usage level, and the allowable range at this time is information acquisition, information storage, and information change. The usage level of the App container 2 is the lower level, .

이 경우, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이용 권한이 접근허용권한, 이용 레벨인 상 이용 레벨로 확인되는 App 컨테이너1로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 상 이용 레벨의 허용범위(정보 획득, 정보 저장, 정보 변경)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.In this case, in the security service method of the security interworking apparatus 100 according to the present invention, an access request from the App container 1 whose usage right is determined to be the usage permission level, (Flow) of the access request is changed to a specific IP address, that is, a static IP address of the security interworking apparatus 100, and the legacy server 10).

한편, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 이용 권한이 접근허용권한, 이용 레벨이 하 이용 레벨로 확인되는 App 컨테이너2로부터의 접근 요청에 대해서는, 접근 요청에 따른 행위가 하 이용 레벨의 허용범위(정보 획득)에 속하면 접근 요청 내 IP주소(유동)를 특정 IP주소 즉 보안연동장치(100)의 고정 IP주소로 변경하여, 레거시서버(10)로 전달(중계)하는 것이다.Meanwhile, in the security service method of the security interworking apparatus 100 according to the present invention, an access request from the App container 2 in which the access right is identified as the access right and the usage level is the lower level, (Relay) to the legacy server 10 by changing the IP address (flow) of the access request to a specific IP address, that is, a static IP address of the security interworking device 100, .

그리고, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 레거시서버(10)로부터 접근 요청에 따른 응답 회신이 수신되는 경우(S170), 금번 응답 회신을 해당하는 App 컨테이너로 전달(중계)한다.In the security service method of the security interworking apparatus 100 according to the present invention, when a response response based on an access request is received from the legacy server 10 (S170), the security response method transmits the response response to the corresponding App container )do.

즉, 본 발명에 따른 보안연동장치(100)의 보안 서비스 방법은, 금번 수신된 응답 회신에 포함된 정보 특히 original source 정보로부터 금번 응답 회신에 대응되는 접근 요청을 발생한 App 컨테이너(예: App 컨테이너1)를 인지하고, 금번 응답 회신을 앞서 인지한 App 컨테이너1로 전달(중계)할 수 있다(S180).That is, in the security service method of the security interworking apparatus 100 according to the present invention, an application container (for example, an application container 1) which has received an access request corresponding to this response reply from the information included in the currently received response reply, ), And can transmit (relay) the response reply to the previously recognized App container 1 (S180).

이상에서 설명한 바와 같이, 본 발명에 따르면, 클라우드 환경에서 실행되는 App 컨테이너와 레거시서버 사이의 연동을, 레거시서버 측의 보안 체계 변경 없이도 신뢰도 높게 통제하는 것이 가능해짐으로써, App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 효과를 도출한다.As described above, according to the present invention, it becomes possible to control the interlock between the App container and the legacy server executed in the cloud environment with high reliability without changing the security system of the legacy server, And solves security problems that may occur in interworking.

이상에서 설명한 바와 같이 본 발명에 따른 보안 서비스 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.As described above, the security service method according to the present invention can be implemented in the form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

본 발명에 따른 보안연동장치 및 보안연동장치의 보안 서비스 방법에 따르면, 레거시서버 측의 보안 체계 변경 없이도 App 컨테이너와 레거시서버 사이의 연동에서 발생할 수 있는 보안 문제를 해결하는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the security interworking apparatus and the security interworking apparatus security service method according to the present invention, the security problem that may occur in interworking between the App container and the legacy server is solved without changing the security scheme of the legacy server, It is not only the use of the related technology but also the possibility of commercialization or operation of the applied device is sufficient, and it is possible that the device can be practically and practically used.

100 : 보안연동장치
110 : 요청확인부 120 : 권한확인부
130 : 저장부 140 : 전달제어부
150 : 송수신인터페이스부100: Security interlocking device
110: request confirmation unit 120:
130: storage unit 140:
150: Transmitting /

Claims (12)

클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인부;
상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인부; 및
상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어부를 포함하는 것을 특징으로 하는 보안연동장치.A request confirmation unit for confirming a request for access to a specific server from an application container executed in a cloud environment;
An authority checking unit for checking the use authority of the application container with respect to the specific server based on the access request; And
And a transfer control unit for determining whether to change the IP address in the access request to a specific IP address permitted to be accessed by a firewall managed by the specific server according to the identified usage right. 제 1 항에 있어서,
상기 권한확인부는,
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고,
상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The authority-
An application container in use of the IP address in the access request in cooperation with a control node managing IP address use of each application container executed in the cloud environment,
And confirms a usage right for the specific server assigned to the identified application container. 제 1 항에 있어서,
상기 전달제어부는,
상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The delivery control unit,
And when the determined usage right is the access permission authority, changing the IP address in the access request to the specific IP address and delivering the changed IP address to the specific server. 제 1 항에 있어서,
상기 특정 IP주소는,
상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소인 것을 특징으로 하는 보안연동장치.The method according to claim 1,
The specific IP address may be,
Wherein the secure interworking device is a static IP address of the security interworking device which permits access from a firewall managed by the specific server. 제 1 항에 있어서,
어플리케이션 컨테이너 별로, 각 서버에 대하여 부여된 이용 권한 및 권한 레벨을 관리하는 보안테이블을 저장하는 저장부를 더 포함하며;
상기 권한확인부는,
상기 접근 요청을 기초로, 상기 보안테이블로부터 상기 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한 및 이용 레벨을 확인하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Further comprising: a storage unit for storing security tables for managing usage rights and authority levels assigned to the respective servers by application containers;
The authority-
And confirms the usage right and usage level for the specific server assigned to the application container from the security table based on the access request. 제 5 항에 있어서,
상기 전달제어부는,
상기 확인된 이용 권한 및 이용 레벨에 기초하여, 상기 이용 권한이 접근허용권한이고 상기 접근 요청에 의해 상기 특정 서버에서 수행되는 행위가 상기 이용 레벨의 허용범위에 속하는 경우,
상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치.6. The method of claim 5,
The delivery control unit,
When the use right is the access permission authority and the action performed by the specific server by the access request belongs to the allowable range of the use level,
And changes the IP address in the access request to the specific IP address and delivers the IP address to the specific server. 제 1 항에 있어서,
상기 특정 서버로부터 상기 접근 요청에 따른 응답 회신이 수신되는 경우, 상기 응답 회신에 포함된 정보에 근거하여 상기 접근 요청의 어플리케이션 컨테이너를 인지하고, 상기 응답 회신을 상기 인지한 어플리케이션 컨테이너로 전달하는 송수신인터페이스부를 더 포함하는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Receiving a response response based on the access request from the specific server, recognizing an application container of the access request based on the information included in the response reply, and transmitting the response reply to the recognized application container Further comprising: a security association module. 제 1 항에 있어서,
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너는,
불특정 시점에 발생되는 특정 이벤트에 의해, 사용 중인 IP주소가 변경되는 것을 특징으로 하는 보안연동장치.The method according to claim 1,
Each application container executing in the cloud environment,
And the IP address being used is changed by a specific event generated at an unspecified time point. 클라우드 환경에서 실행되는 어플리케이션 컨테이너로부터 특정 서버로의 접근 요청을 확인하는 요청확인단계;
상기 접근 요청을 기초로, 상기 특정 서버에 대한 상기 어플리케이션 컨테이너의 이용 권한을 확인하는 권한확인단계; 및
상기 확인된 이용 권한에 따라, 상기 접근 요청 내 IP주소에 대하여 상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 특정 IP주소로의 변경 여부를 결정하는 전달제어단계를 포함하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.A request confirmation step of confirming an access request from an application container executed in a cloud environment to a specific server;
An authority checking step of checking the use authority of the application container for the specific server based on the access request; And
And a transfer control step of determining whether or not the IP address in the access request is changed to a specific IP address permitted to be accessed by a firewall managed by the specific server according to the identified usage right, Of security services. 제 9 항에 있어서,
상기 권한확인단계는,
상기 클라우드 환경에서 실행되는 각 어플리케이션 컨테이너의 IP주소 사용을 관리하는 제어노드와 연동하여, 상기 접근 요청 내 IP주소를 사용 중인 어플리케이션 컨테이너를 식별하고,
상기 식별된 어플리케이션 컨테이너에 기 부여된 상기 특정 서버에 대한 이용 권한을 확인하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
Wherein the authority checking step comprises:
An application container in use of the IP address in the access request in cooperation with a control node managing IP address use of each application container executed in the cloud environment,
And confirms a usage right for the specific server assigned to the identified application container. 제 9 항에 있어서,
상기 전달제어단계는,
상기 확인된 이용 권한이 접근허용권한인 경우, 상기 접근 요청 내 IP주소를 상기 특정 IP주소로 변경하여 상기 특정 서버로 전달하는 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
The delivery control step includes:
And if the determined use right is the access permission authority, changing the IP address in the access request to the specific IP address and delivering the changed IP address to the specific server. 제 9 항에 있어서,
상기 특정 IP주소는,
상기 특정 서버가 관리하는 방화벽에서 접근 허용하는 상기 보안연동장치의 고정 IP주소인 것을 특징으로 하는 보안연동장치의 보안 서비스 방법.10. The method of claim 9,
The specific IP address may be,
Wherein the secure interworking device is a static IP address of the security interworking device which permits access from a firewall managed by the specific server.
KR1020170098239A 2017-08-02 2017-08-02 Security association apparatus and security service method thereof KR102034520B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170098239A KR102034520B1 (en) 2017-08-02 2017-08-02 Security association apparatus and security service method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170098239A KR102034520B1 (en) 2017-08-02 2017-08-02 Security association apparatus and security service method thereof

Publications (2)

Publication Number Publication Date
KR20190014424A true KR20190014424A (en) 2019-02-12
KR102034520B1 KR102034520B1 (en) 2019-10-21

Family

ID=65369328

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170098239A KR102034520B1 (en) 2017-08-02 2017-08-02 Security association apparatus and security service method thereof

Country Status (1)

Country Link
KR (1) KR102034520B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023113081A1 (en) * 2021-12-13 2023-06-22 에스지에이솔루션즈 주식회사 Method, apparatus, and computer-readable recording medium for controlling execution of container workload in scheme of event streaming in cloud environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013134711A (en) * 2011-12-27 2013-07-08 Nis Plus Co Ltd Medical cloud system
US20140244851A1 (en) * 2013-02-26 2014-08-28 Zentera Systems, Inc. Secure virtual network platform for enterprise hybrid cloud computing environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013134711A (en) * 2011-12-27 2013-07-08 Nis Plus Co Ltd Medical cloud system
US20140244851A1 (en) * 2013-02-26 2014-08-28 Zentera Systems, Inc. Secure virtual network platform for enterprise hybrid cloud computing environments

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023113081A1 (en) * 2021-12-13 2023-06-22 에스지에이솔루션즈 주식회사 Method, apparatus, and computer-readable recording medium for controlling execution of container workload in scheme of event streaming in cloud environment

Also Published As

Publication number Publication date
KR102034520B1 (en) 2019-10-21

Similar Documents

Publication Publication Date Title
US9106406B2 (en) Communication apparatus and key managing method
CN102741853B (en) The system and method that should be used for preventing loss of data is wrapped up for utilizing virtual machine
CN102947797B (en) The online service using directory feature extending transversely accesses and controls
US9572025B2 (en) Method, server, computer program and computer program product for communicating with secure element
US9100172B2 (en) Method for interworking with trustzone between normal domain and secure domain, and management method of trusted application download, management server, device and system using it
RU2611241C2 (en) Method of routing in mobile terminal, emulating contactless payment card
CN101366242B (en) A partitioning communication system
US20170208147A1 (en) Network infrastructure management
US20110138475A1 (en) Systems and method for providing trusted system functionalities in a cluster based system
CN105049412A (en) Secure data exchange method, device and equipment among different networks
CN103780580A (en) Method, server and system for providing capability access strategy
CN112673350B (en) Method and apparatus for enabling coordinated execution of actions in a distributed computing system having non-trusted entities
KR101591289B1 (en) A Methods and Apparatus of separated software upgrade of Device and Gateway by over the air in the Machine to machine communication
CN111885031A (en) Fine-grained access control method and system based on session process
CN112153055B (en) Authentication method and device, computing equipment and medium
KR20190014424A (en) Security association apparatus and security service method thereof
KR101522139B1 (en) Method for blocking selectively in dns server and change the dns address using proxy
KR101059058B1 (en) Apparatus, method and system for service access control based on user location
CN108366087A (en) A kind of ISCSI service implementing methods and device based on distributed file system
CN114301682B (en) Data processing method, device and terminal equipment
KR101703491B1 (en) Method for providing security service in cloud system and the cloud system thereof
US11231969B2 (en) Method for auditing a virtualised resource deployed in a cloud computing network
CN103077134A (en) Method and device for achieving multi-pipe data transmission in embedded system
KR101489759B1 (en) Method for controlling file transfer protocol using storage apparatus
US20210286906A1 (en) Memory device, data transfer device and method for transferring data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant