KR20190101608A - 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템 - Google Patents

네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템 Download PDF

Info

Publication number
KR20190101608A
KR20190101608A KR1020180021798A KR20180021798A KR20190101608A KR 20190101608 A KR20190101608 A KR 20190101608A KR 1020180021798 A KR1020180021798 A KR 1020180021798A KR 20180021798 A KR20180021798 A KR 20180021798A KR 20190101608 A KR20190101608 A KR 20190101608A
Authority
KR
South Korea
Prior art keywords
data
network
self
identification
security
Prior art date
Application number
KR1020180021798A
Other languages
English (en)
Other versions
KR102050249B1 (ko
Inventor
변상구
김갑철
박인원
Original Assignee
주식회사 디케이아이테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 디케이아이테크놀로지 filed Critical 주식회사 디케이아이테크놀로지
Priority to KR1020180021798A priority Critical patent/KR102050249B1/ko
Publication of KR20190101608A publication Critical patent/KR20190101608A/ko
Application granted granted Critical
Publication of KR102050249B1 publication Critical patent/KR102050249B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것으로, 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법은 서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계, 송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계, 각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계, 해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계, 수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 한다.

Description

네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템{Data Protection Method and System Using Self Identification ID in Network-based In Network-Separted Environment}
본 발명은 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것으로, 더욱 상세하게는, 업무망과 외부망의 망분리 환경에서 전송 데이터를 보안하기 위한 보안방법 및 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷을 폐기하는 보안시스템에 관한 것으로, 보다 상세 또한 혁신적으로 송수신된 패킷을 보안 처리하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템에 관한 것이다.
망분리란 외부의 침입으로부터 내부 전산자원을 보호하기 위해 네트워크 망을 이중화시켜 업무용과 개인용을 구분하는 것으로 물리적 망분리와 논리적 망분리 두가지 방식이 있다.
물리적 망분리는 한 사람이 두개의 PC를 사용하거나 전환 스위치로 망을 분리해 내는 방식,네트워크 카드를 두개 탑재한 PC를 사용하는 방안 등이 있다.
논리적 망분리의 경우에는 과거 서버 기반 컴퓨팅이 거론됐었지만, 최근 들어 가상화 기술을 활용한 VDI와 하나의 PC에 두개의 운영체제(OS)를 설치하는 OS 커널 분리 방식이 주로 이용되고 있다.
보안 등의 이유로 물리적 망분리를 권고한 국정원 의견에 따라 그동안 대부분의 공공기관들은 두대의 PC를 활용하는 물리적 망분리를 실시했다.
하지만 두대의 PC를 사용하기 위해서는 네트워크 망을 이중화 해야하기 때문에 과도한 투자가 발생하게 되고, 정부부처 이전이나 청사 이전을 해야 할 경우 구축한 인프라를 재활용 할 수 없다는 문제가 있었다. 특히 사무공간에 PC 수가 많아지면서 발열로 인해 업무환경이 악화되는 부작용도 발생했다.
또한, 최근 도청 및 해킹 기술의 발전에 따른 개인정보 유출 및 악성 패킷으로 인한 바이러스 등에 민감한 시점에서 각 정부기관, 국방부 및 예하 군, 지방자치제, 공공기관, 금융권 등에서 정보통신망법과 개인정보보호법 제정에 따른 해결 방안을 고민하고 있는 실정이다.
[선행기술문헌]
대한민국특허등록번호 제10-1357036호(2014년01월23일 등록)
본 발명의 목적은 상기한 바와 같은 실정을 감안하여 제안된 것으로서, 네트워크 기반 망분리에 있어서, 업무망과 외부망의 망 분리 장치 간에 IP 패킷 데이터를 보호하고 전송하기 위한 방안으로, 망간에 자기식별 ID를 부여하여 자기식별 ID가 없는 패킷은 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷으로 판단하여 업무망으로 전송하지 않으며, 이에 따른 업무망과 외부망의 데이터 보호 및 감시 등의 데이터 보안과 보안 관리를 목적으로 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법 및 시스템을 제공함에 있다.
상기한 바와 같은 목적을 달성하기 위한 본 발명에 따른 에 따르면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널 관점을 탈피하여 각 패킷마다 보안게이트웨이에서 자기식별 ID를 취부하고 암호화하여 수신 측에 전달하고, 수신 측 보안게이트웨이에서 자기식별 ID 및 키 검증, 복호화를 통하여 수신 호스트에 안정적 데이터 보안, 전송을 유지하는 것을 특징으로 한다.
또한, 본 발명의 다른 측면에 따르면, 망분리 환경에서 중계영역에서 불순한 패킷이 유입될 때, 불순한 패킷에는 자기식별 ID 및 키 등이 존재하지 않아, 패킷 분석 시 해당 패킷을 폐기 시킬 수 있으며, 내부 영역으로 들어오는 해킹 및 바이러스 침투에 대비할 수 있는 보안시스템을 특징으로 한다.
또한, 본 발명의 다른 측면에 따르면, 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,
서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,
송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계,
각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계,
해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,
수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법이 제공된다.
또한, 상기 데이터 보안은,
출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함한다.
또한,
상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시킨다.
본 발명의 또 다른 측면에 있어서, 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,
암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템이 제공된다.
또한, 상기 보안게이트웨이부는,
상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송한다.
또한, 상기 DNS부, 송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성한다.
또한, 상기 호스트부, 데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함한다.
상기 설명한 바와 같은 본 발명에 의하면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널을 맺기 위한 네트워크 점유율 가져야 하는 문제점을 해결하고, 악의적 패킷을 발생시켜 해킹 및 바이러스 침투의 목적을 원천 차단할 수 있으며, 전송되는 자료의 암호화를 통한 데이터 보호 및 감시 등의 데이터 보안과 보안 관리가 가능한 효과가 있다.
본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.
또한, 망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.
또한, 본 발명에서 얻을 수 있는 효과는 앞의 언급한 효과들로 제한하지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 보안시스템 구성도이다.
도 2는 본 발명의 일실시예에 따른 보안시스템을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안방법을 설명하기 위한 순서도이다.
본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.
망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.
본 발명에서 얻을 수 있는 효과는 앞의 언급한 효과들로 제한하지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이하 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며, 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다.
명세서 전체에서, 어떤 부분이 다른 부분과 “연결”되어 있다고 할 때, 이는 “직접적으로 연결”되어 있는 경우뿐 아니라, 그 중간에 다른 기기를 사이에 두고 “전기적으로 연결”되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 발명은 업무망과 외부망의 논리적 또는 물리적으로 분리된 환경에서의 보안 방법 및 보안시스템을 말한다. 즉, 서로 다른 네트워크이거나 가상화 기법, 또는 다른 방법을 통해 외부망과 업무망으로 구분한 시스템일 수 있다.
업무망과 외부망의 망 분리 환경에 포함된 외부망은 근거리 통신망, 광역 통신망, 개인 근거리 무선통신망, 이동통신망 등의 유/무선 네트워크로 구현될 수 있다.
업무망은 업무 PC를 포함하는 정보처리시스템이 구성될 수 있으며, 정보처리시스템은 개인정보나 사내의 중요 정보들을 처리하는 컴퓨터 등의 데이터를 처리하는 정보기기 모두를 말한다.
본 발명의 일실시예로서, 호스트부는 데이터를 발생시키거나 수신하는 IP형 정보기기로 송신 호스트부와 수신 호스트부로 나누어진다.
본 발명의 일실시예로서, DNS부는 송신 호스트부와 수신 호스트부의 자기식별을 하고 보안게이트웨이로 자기식별 ID를 제공한다.
본 발명의 일실시예로서, 보안게이트웨이부는 라우팅 및 실 IP를 숨기기 위해 새로운 IP를 취부하며, DNS서버로부터 받은 SRC 자기식별 ID와 DST 자기식별 ID를 추가로 취부하며, 키를 통해 실 IP와 Payload를 암호화시키고 서명검증이 완료되면 암호화 전송을 한다. 보안게이트웨이부는 송신 보안게이트웨이부와 수신게이트웨이부로 구성되어 있다.
도 1은 본 발명의 일실시예에 따른 보안시스템 구성도이며, 도 2는 보안시스템의 블록도이며, 도 1과 도 2는 도 3을 설명하기 위한 도면이다.
본 발명의 일실시예의 도 2를 설명하면, DNS부(A), DNS부(B), 호스트부(A), 호스트부(B)를 통하여 *①*번인 자기식별 ID와 호스트부(A)에서 송신하는 IP 패킷 *②*를 송신 보안게이트웨이로 전달하고 송신 보안게이트부에서는 *③*의 행위인 NEW IP Header와 자기식별 ID, 키, 서명검증을 통하여 암호화된 데이터를 *④*로 전송하고 수신 보안게이트웨이부에서는 데이터 검증 및 복호화를 통하여 *⑥*으로 수신 호스트부로 데이터를 전달한다. 이때 *⑤*번으로 들어오는 불순한 패킷은 수신 보안게이트웨이에서 폐기를 시킨다.
본 발명의 일실시예의 도 3을 설명하며 100, 200, 500, 600을 통하여 송신 패킷의 자기식별 ID를 제공하고 300은 100으로부터 들어오는 패킷을 NEW IP와 SRC 자기식별 ID, DST 자기식별 ID를 취부하며, 암호화를 위해 키를 생성하고 서명검증이 이루어지며, 실 IP 및 Payload를 암호화시켜 400으로 보낸다. 400은 자기식별 ID와 키, 서명검증을 하고 복호화시켜 600으로 패킷을 전송시킨다.
본 발명에 따른 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,
네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법은
서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,
송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계,
각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계,
해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,
수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 한다.
상기 데이터 보안은,
출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함한다.
또한,
상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시킨다.
또한, 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,
네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템은
암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함한다.
상기 보안게이트웨이부는,
상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송한다.
또한, 상기 DNS부, 송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성한다.
또한, 상기 호스트부, 데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함한다.
본 발명에 의하면, 업무망과 외부망의 망분리 환경에서 기존의 VPN 방식의 상시 터널을 맺기 위한 네트워크 점유율 가져야 하는 문제점을 해결하고, 악의적 패킷을 발생시켜 해킹 및 바이러스 침투의 목적을 원천 차단할 수 있으며, 전송되는 자료의 암호화를 통한 데이터 보호 및 감시 등의 데이터 보안과 보안 관리가 가능하다다.
본 발명은 업무망과 외부망 사이의 데이터 전송 시 안정된 데이터 보호와 전송 데이터가 외부로 유출되어도 암호화를 하였으므로 분석 및 해석이 불가능하다.
또한, 망분리 환경에서 중계영역으로 통하여 외부 불순한 패킷이 유입될 때 수신 측에서 자기식별 ID와 키 검증을 통하여 불순 패킷으로 간주하고 폐기를 시켜 해킹 및 바이러스 침투를 방어할 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허 청구범위의 의미 및 범위, 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100 : 송신 호스트부
200 : DNS부(A)
300 : 송신 보안게이트웨이부
400 : 수신 보안게이트웨이부
500 : DNS부(B)
600 : 수신 호스트부

Claims (7)

  1. 네트워크 기반 망분리 환경에서 IP 패킷 데이터 송신, 수신 중 데이터 보안과 악의적 의도 및 바이러스 침투, 해킹 등의 목적인 불순한 패킷의 수신 불허를 시키는 보안시스템이 수행하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법에 있어서,
    서로 다른 망분리 환경에서 호스트그룹 A/B 간 데이터 전송 시 송신측 보안게이트웨이에서 호스트와 DNS에서 각 패킷의 Source ID 및 Destination ID를 제공받아 자기식별 ID를 취부하는 취부단계,
    송신/수신 데이터의 보안 암호화 및 복호화를 위한 키(KEY) 생성단계, 송신/수신 데이터의 암호화 및 복호화를 위한 키(KEY)의 안정성을 검사하는 서명검증단계,
    각 패킷의 라우팅 및 기존 IP를 보호하기 위하여 새로운 IP를 추가하는 NEW IP 추가단계,
    해당 IP 패킷 데이터를 수신 측 보안게이트웨이에 전송하기 위한 전송단계,
    수신측 보안게이트웨이에서 송신, 수신측의 자기식별 ID를 검증하기 위한 인증단계와 자기식별 ID를 포함하고 있지 않는 데이터를 불허 및 폐기하는 폐기단계로 구성되는 데이터 보호 및 감시의 데이터 보안과 보안관리를 하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법.
  2. 제 1항에 있어서,
    상기 데이터 보안은,
    출발지 IP, 목적지 IP, 송신 호스트의 자기식별 ID, 수신 호스트의 자기식별 ID, 키, 서명검증, ID인증, 새로운 IP 중 적어도 하나를 포함하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법.
  3. 제 1항에 있어서,
    상기 데이터를 수신 보안게이트웨이에 전송 시, 수신 데이터를 분석, 감시, 탐지하여 허용하거나 폐기시키는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 방법.
  4. 망분리 환경에서 자료를 송신하는 송신망과 자료를 수신하는 수신망 간 자기식별 및 암호화를 포함하는네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템으로써,
    암호화 및 자기식별 ID, 서명검증, ID인증, 새로운 IP 배정 등의 송신/수신데이터 전송의 보안게이트웨이부와 자기식별 ID 정보를 수신하기 위한 DNS부, 송신/수신PC 그룹인 호스트부를 포함하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템.
  5. 제 4 항에 있어서,
    상기 보안게이트웨이부는,
    상기 데이터의 새로운 IP, 자기식별 ID, 키, 암호화, 복호화, 서명검증, ID인증, 출발지 IP, 목적지 IP 중 적어도 하나를 포함하는 보안데이터를 전송하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템.
  6. 제 4 항에 있어서,
    상기 DNS부,
    송신/수신 호스트의 자기식별 ID 정보를 보안게이트웨이부에 제공을 위한 출발지 IP, 목적지 IP 등에 대한 자기식별 ID 연계의 정보를 생성하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템.
  7. 제 4 항에 있어서,
    상기 호스트부,
    데이터를 송신하는 송신 호스트부와 데이터를 수신하는 수신 호스트부를 포함하는 네트워크기반 망분리 환경에서 자기식별 ID를 이용한 데이터 보호 시스템.


KR1020180021798A 2018-02-23 2018-02-23 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템 KR102050249B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180021798A KR102050249B1 (ko) 2018-02-23 2018-02-23 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180021798A KR102050249B1 (ko) 2018-02-23 2018-02-23 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20190101608A true KR20190101608A (ko) 2019-09-02
KR102050249B1 KR102050249B1 (ko) 2019-11-29

Family

ID=67951434

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180021798A KR102050249B1 (ko) 2018-02-23 2018-02-23 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102050249B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112865975A (zh) * 2019-11-12 2021-05-28 中国电信股份有限公司 消息安全交互方法和系统、信令安全网关装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924951B1 (ko) * 2008-05-09 2009-11-06 국방과학연구소 네트워크 연동 보안 게이트웨이 장치 및 방법
KR20170111305A (ko) * 2016-03-27 2017-10-12 (주)이센티아 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924951B1 (ko) * 2008-05-09 2009-11-06 국방과학연구소 네트워크 연동 보안 게이트웨이 장치 및 방법
KR20170111305A (ko) * 2016-03-27 2017-10-12 (주)이센티아 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112865975A (zh) * 2019-11-12 2021-05-28 中国电信股份有限公司 消息安全交互方法和系统、信令安全网关装置

Also Published As

Publication number Publication date
KR102050249B1 (ko) 2019-11-29

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
Iqbal et al. Security issues in software defined networking (SDN): risks, challenges and potential solutions
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
US11658944B2 (en) Methods and apparatus for encrypted communication
Bello et al. On sustained zero trust conceptualization security for mobile core networks in 5g and beyond
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
US10841840B2 (en) Processing packets in a computer system
CN112291295A (zh) 一种基于多标识网络体系的高安全移动办公网
Rahman et al. Security attacks on wireless networks and their detection techniques
US20220038478A1 (en) Confidential method for processing logs of a computer system
US10812506B2 (en) Method of enciphered traffic inspection with trapdoors provided
KR102050249B1 (ko) 네트워크기반 망분리 환경에서 자기식별 id를 이용한 데이터 보호 방법 및 시스템
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
Terkawi et al. Major impacts of key reinstallation attack on Internet of Things system
CN115348118B (zh) 一种基于密码技术的网络地址和端口号隐藏方法
KR101979157B1 (ko) 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템
Gantsou et al. Toward a honeypot solution for proactive security in vehicular ad hoc networks
Amaldeep et al. Cross Protocol Attack on IPSec-based VPN
CN108282337A (zh) 一种基于可信密码卡的路由协议加固方法
Lacroix et al. Vehicular ad hoc network security and privacy: A second look
Melnikov et al. Access control mechanism based on entity authentication with IPv6 header" flow label" field
US20080059788A1 (en) Secure electronic communications pathway
RU183015U1 (ru) Средство обнаружения вторжений
Kleberger et al. Securing vehicle diagnostics in repair shops
RU2163744C2 (ru) Система защиты виртуального канала корпоративной сети с фиксальным контролем доступа к информации, построенной на каналах и средствах коммутации сети связи общего пользования

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant