KR20200098181A - 통합보안네트워크카드에의한네트워크보안시스템 - Google Patents

통합보안네트워크카드에의한네트워크보안시스템 Download PDF

Info

Publication number
KR20200098181A
KR20200098181A KR1020190015982A KR20190015982A KR20200098181A KR 20200098181 A KR20200098181 A KR 20200098181A KR 1020190015982 A KR1020190015982 A KR 1020190015982A KR 20190015982 A KR20190015982 A KR 20190015982A KR 20200098181 A KR20200098181 A KR 20200098181A
Authority
KR
South Korea
Prior art keywords
network
data
security
network card
unit
Prior art date
Application number
KR1020190015982A
Other languages
English (en)
Inventor
조수천
Original Assignee
에스에스앤씨(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스에스앤씨(주) filed Critical 에스에스앤씨(주)
Priority to KR1020190015982A priority Critical patent/KR20200098181A/ko
Publication of KR20200098181A publication Critical patent/KR20200098181A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/321Interlayer communication protocols or service data unit [SDU] definitions; Interfaces between layers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 개인 피씨(PC)의 네트워크 보안 강화를 위한 통합보안 네트워크 카드에 의한 네트워크 보안 시스템 및 그에 따른 네트워크 보안 방법에 관한 것이다.
본 발명의 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및 시스템은 인트라넷을 구성하는 개별 PC 또는 네트워크 서버의 내부에 장착될 수 있도록 하는 PCI 인터페이스부(110)와; 라우터 또는 허브에서 분리된 외부 통신 라인 연결을 위한 라인 접속부(120)와; 데이터의 송,수신시 데이터 전송 속도를 결정하는 랜칩(130)과; PCI 인터페이스부(110)를 통해서 수집된 데이터를 일시적으로 저장하는 데이터 저장부(140), 전송 신호에 의한 물리적 어드레스를 결정 하는 프로그램 로직부(150), 개별적 보안 기능을 수행하는 네트워크 운영부(160), 부팅 시스템을 수행하는 프로그램 구동부(170) 및 저장장치로서의 중앙 메모리부(180)로 구성된 SPU 기능부(190)를 포함하여 이루어짐에 기술적 특징이 있다.
본 발명 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및 시스템은 개별 PC 시스템 및 네트워크 시스템에 부하가 발생되지 않고 네트워크상에서 발생된 모든 정보를 자동으로 전송하여 PC의 이상 상태 및 해커의 외부 침입을 실시간
모니터링할 수 있는 이점이 있음과 아울러 통합보안 네트워크 카드에 탑재된 SPU 기능부의 네트워크 운영부에 의해서 각 PC들로부터 송수신되는 데이터의 암호화와 복화기능을 수행되도록 함으로써 네트워크 송수신 데이터의 처리속도의
향상과 개인 PC의 완벽한 통합보안 환경이 구축되도록 한 장점이 있다.

Description

통합보안네트워크카드에의한네트워크보안시스템{Network security system by integrated security network card}
통합보안 네트워크 카드에 의한 네트워크 보안 방법 및 시스템
본 발명은 개인 피씨(PC)의 네트워크 보안 강화를 위한 통합보안 네트워크 카드에 의한 네트워크 보안 시스템 및 그에 따른 네트워크 보안 방법에 관한 것으로서, 보다 자세하게는 기존 네트워크카드(NIC)의 표준 규격을 만족하는 소프트 웨어 형태로 구동되는 비화(秘話) 유니트(SPU : Security Processing unit, 이하 SPU라 한다.)가 탑재되어 비화 유니트(SPU)에 의한 각 개인 컴퓨터(PC)간의 개별 네트워크 보안 시스템이 가동되고 상기 비화 유니트가 저장 분석된 접속 아이피(IP) 로그 데이터(Log data)를 중앙집중식 이벤트 콘솔(Event console)로 전송시켜 관리자의 실시간 모니터링에 의한 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및 그 시스템에 관한 것이다.
최근에 인터넷망과 네트워크 기술의 발달로 멀리 떨어진 컴퓨터도 LAN(Local Area Network)과 WAN(Wide Area Network)으로 연결하여 바로 옆에 있는 컴퓨터처럼 사용할 수 있게 되었으며 상호간에 필요로 하는 데이터의 전송이 쉽게 이루어지게 되었다. 하지만, 이점과 달리 보안이 유지되는 정보의 유출, 네트워크를 통한 불법침입에 의한 시스템의 파괴등도 쉽게 이루어 질 수 있는 문제점이 발생하게 되었는 바, 예전에는 인터넷과 네트워크를 통한 해킹이란 컴퓨터에 대한 지식이 상당한
소수의 사람들만이 할 수 있는 것으로 인식되었으나 최근에 이르러서는 인터넷에 산재한 해킹 정보와 프로그램을 이용하여 초보자도 쉽게 해킹이 가능한 상태에 이르게 되었다.
이와 같은 해킹을 방지하기 위하여 내부자 또는 외부자에 의한 허가되지 않은 네트워크 침입을 사전에 차단하여 네트워크의 보안 유지와 안정성을 확보할 수 있는 보안 솔루션의 개발이 한층 요구되고 있으며, 이러한 보안 솔루션중에 대표적으로 침입차단 시스템과 침입탐지 시스템(Intrusion Detection System: IDS)이 있다.
종래 보안 솔루션중의 하나인 침입차단 시스템은 네트워크 사이에 침입차단(방화벽)시스템을 두어 허가되지 않은 침입에 대해서 접속을 차단하는 기술로서 안정된 검사와 네트워크를 물리적으로 분리시키는 장점을 지니고 있긴 하나 내부
자 감시를 수행할 수 없고 네트워크 트래픽의 흐름을 가로막아 검사를 하게 되므로 트래픽 속도를 지연시키며 낮은 대역폭에서만 적용이 가능한 문제점과 인증된 IP를 통한 해커의 공격은 무용지물이 되는 단점이 있다.
또한, 종래 침입탐지 시스템은 단순한 접근 제어 기능을 넘어서서 침입의 패턴 데이터베이스와 전문 시스템을 사용해 네트워크나 시스템의 사용을 실시간으로 모니터링하고 침입을 탐지하는 보안 솔루션으로서, 해커의 일반적인 네트워크
공격을 차단하기는 하지만 연속되는 공격에는 특별한 조치를 취하지 못할 뿐만 아니라 여러가지 공격방법을 사용한 해커의 침입에 대해서는 침입탐지 방법의 한계가 노출되는 단점이 지적되고 있다. 그리고, 종래의 침입탐지 시스템은 호스트에서 공격을 받았을 경우에 해당 IP주소를 공격자에 대한 정보로 관리자에게 제공해 주게 되는 데, 최근 들어 IP주소의 부족으로 인해 동적 IP 주소 할당방식을 사용하는 ISP(Internet Service Provider)가 늘고 있으며 이런 경우에는 제공된 IP 주소로 공격자를 추적하는 것이 사실상 불가능한 문제점이 있다. 상기와 같은 네트워크 보안 시스템은 지금까지 주로 별도의 소프트웨어 환경으로 구성됨으로써 네트워크 구성 비용 외에 보안 시스템 구성의 추가 장비로 인한 비용이 많이 소요되고 네크워크 트래픽에 의한 부하가 발생되면 보안 시스템으로 인해 전체 시스템의 가동률이 저하되며 시스템 다운의 요인으로 작용하고 있다. 이에 반하여 최근에 주목을 받고 있는 하드웨어 보안 시스템은 네트워크 보안 측면에서 소프트웨어 시스템보다 더욱 강력하게 작동되긴 하지만 높은 가격 때문에 아직 정착되지 못한 단점이 있다.
본 발명은 종래 네트워크의 보안 관련 시스템에서 제기되는 상기 제반 단점과 문제점을 해결하기 위하여 안출된 것으로서, 개인 컴퓨터간 또는 서버와 개인 컴퓨터간의 네트워크 연결 구성 요소인 네트워크카드(NIC) 표준 규격을 만족하며 소프트웨어적으로 구동되는 비화 유니트가 탑재되도록 하고 SPU에 의한 개별 네트워크 보안 시스템이 가동되어 SPU에 의해서 분석되는 네트워크 접속 IP의 로그 데이터를 이벤트 콘솔(event console)로 전송시킴으로서 개별PC 시스템에 부하를 주지 않고 네트워크상에서 발생된 정보를 자동으로 전송하여 PC의 이상 상태를 실시간 모니터링
할 수 있을 뿐 만 아니라 네트워크카드(NIC)에 탑재된 SPU에 의해서 각 PC들로부터 송수신되는 데이터의 암호화와 복화기능을 수행함으로써 데이터 처리속도의 향상괴 개인 PC의 완벽한 통합보안 환경이 구축되는 통합보안 네트워크 카드의 네트워크 보안 시스템 및 그에 따른 네트워크 보안 방법을 제공함에 발명의 목적이 있다.
발명 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및 시스템은 개별 PC 시스템 및 네트워크 시스템에 부하가발생되지 않고 네트워크상에서 발생된 모든 정보를 자동으로 전송하여 PC의 이상 상태 및 해커의 외부 침입을 실시간 모니터링할 수 있는 이점이 있음과 아울러 통합보안 네트워크 카드에 탑재된 SPU 기능부의 네트워크 운영부에 의해서 각 PC들로부터 송수신되는 데이터의 암호화와 복화기능을 수행되도록 함으로써 네트워크 송수신 데이터의 처리속도의 향상과 개인 PC의 완벽한 통합보안 환경이 구축되도록 했습니다.
도1은 본 발명 통합보안 네트워크 카드에 의한 개략적인 네트워크 보안 시스템 구축도.
도2는 본 발명 통합보안 네트워크 카드의 내부 구성도.
도3은 본 발명에 따른 시스템에 의한 네트워크 구성도.
도4는 본 발명에 따른 데이터 송,수신시 인증키 획득 과정이 도시된 순서도.
도5는 본 발명에 따른 통합보안 네트워크 카드의 개별 침입차단 기능 수행 과정이 도시된 순서도.
본 발명의 상기 목적은, 다수의 서버를 통해서 사내 또는 소정 단체내의 네트워크를 이용한 인트라넷의 구성시 상기 인트라넷을 구성하는 개별 퍼스널 컴퓨터(PC) 또는 서버군을 이루는 서버의 내부에 장착되는 네트워크카드(NIC)상에 도의 운영체계로 구동되며 응용 프로그램으로 수행될 수 있는 비화(秘話) 유니트(SPU : Security Processing Unit, 이하 SPU라 한다.)의 소프트웨어적 설치에 의해서 달성된다.
상기 본 발명에 따른 네트워크 카드의 하드웨어적 구성의 기술적 특징은 단일회선 잭(RJ-45 등)에 의해서 통신라인과 결되고 PCI 인터페이스에 의해서 개별 PC의 통신라인과 연결되며 PCI 인터페이스를 통한 데이터와 제어신호가 발생되는 통상의 네트워크카드(NIC) 시스템에 있어서, 개별적 실시간 운영체계(RTOS : Real-time Operating System)에 의해서 작동되는 중앙처리장치(CPU)가 탑재되고 개별 보안 프로그램이 부팅되는 플래시 롬의 구동에 의해서 송수신 로그 데이터의 저장이 이루어지는 중앙메모리로 구성된 SPU 프로그램부가 부가 장착된 구조로 이루어짐에 있다.상기 SPU 프로그램부는 기본적으로 개별 PC 및 서버로부터 수신되는 데이터들의 특정 암호화와 복화 기능을 수행하게 되며 상기 SPU 프로그램부가 탑재된 네트워크카드(NIC) 장착 시스템상에서 침입차단 기능이 수행된다.
또한, 인터넷에 연결된 인트라넷상의 본 발명 네트워크카드(NIC) 장착 PC 및 서버에서 발생된 통신 이벤트와 보안 상태를 수시로 점검하여 이상 프로그램 수행에 대한 자료를 상위 이벤트 콘솔(event console)로 실시간 전송과 데이터의 백업 기능을 수행하게 된다.
한편, 인트라넷을 구성하는 개별 PC 또는 네트워크 서버상에 장착된 통합보안 네트워크 카드(NIC : Network interface card)간의 데이터 전송시에는 송신쪽 네트워크 카드(NIC)의 SPU에서 하드웨어적으로 구현되는 데이터의 암호화알고리즘에 의해서 비화(秘話)된 데이터가 수신측 네트워크 카드(NIC)로 전송이 가능하게 된다.
본 발명 통합보안 네트워크 카드에 의한 네트워크 보안 시스템 및 그에 따른 네트워크 보안 방법의 상기 목적에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예를 도시하고 있는 도면을 참조한 아래의 상세한
설명에 의해서 명확하게 이해될 것이다.
먼저, 도1은 본 발명 통합보안 네트워크 카드에 의한 개략적인 네트워크 보안 시스템 구축도이고, 도2는 본 발명 통합 보안 네트워크 카드의 내부 구성도이다.
도시된 바와같이, 본 발명의 통합보안 네트워크 카드에 의한 네트워크 보안 시스템은 인트라넷을 구성하는 개별 PC 또는 네트워크 서버의 내부에 장착될 수 있도록 하는 PCI 인터페이스부(110)와; 라우터 또는 허브에서 분리된 외부 통신 라인 연결을 위한 라인 접속부(120)와; 데이터의 송,수신시 데이터 전송 속도를 결정하는 랜칩(130)과; PCI 인터페이스부(110)를 통해서 수집된 데이터의 일시적으로 저장하는 데이터 저장부(140), 전송 신호에 의한 물리적 어드레스를 결정하는 프로그램 로직부(150), 개별적 네트워크 운영부(160), 부팅 시스템을 수행하는 프로그램 구동부(170) 및 저장장치로서의 중앙 메모리부(180)를 포함하여 구성된 SPU 기능부(190)로 이루어진 구조이다. 상기 SPU 기능부(190)의 네트워크 운영부(160)는 개별적 네트워크 연결의 실시간 운영체제(RTOS;Real-time Operrating System)가 탑재되어 송수신 데이터의 다양한 암호화에 따른 개별적 보안 기능을 수행하게 되고 데이터 송수신의 기본 프로토콜인 TCP/IP에 의한 네트워크 연결을 지원하도록 설계된다. 또한, 상기 프로그램 구동부(170)는 플래시 롬(Flash ROM)상에서 개별적 보안 프로그램이 작동되도록 메인 응용 프로그램이 탑재되고 응용프로그램의 구동에 의해서 개별 PC 및 네트워크 서버상에서 보안 프로그램이 실행된다.
상기 프로그램 구동부(170)에서는 본 발명의 네트워크 카드가 장착된 PC 사용자들끼리 주고받게 되는 데이터의 암호화와 함께 복화기능이 수행되어 해킹에 의한 데이터의 외부 유출이 발생하게 되더라도 암호화된 데이터의 해독이 불가능하도록 구성된다.
한편, 상기 SPU 기능부(190)의 중앙 메모리부(180)는 32MB의 SDRAM이 탑재되어 상기 프로그램 구동부(170)와 네트워크 운영부(160)를 통한 독립적 실시간 운영체계(RTOS)에 따른 보안 프로그램의 작동과 보안 프로그램의 구동에 의한 프로그램 인터페이스 및 인트라넷 구성 PC들의 로그 메세지가 저장된다.
상기 SPU 기능부(190)는 네트워크카드(NIC)가 탑재된 개별 PC 및 네트워크 서버로부터 송,수신되는 데이터들에 대하여 개별적인 암호화와 복화 기능을 수행하게 됨으로써 외부에서 침입한 해커에 의해서 인트라넷상에서 전송되는 패킷(packet)이 하이제킹(Hijacking) 되더라도 암호화된 데이터의 내용을 해독할 수 없도록 함에 기술적 특징이 있다.
상기 SPU 기능부(190)를 통한 데이터의 송신시에는 수신측 네트워크 카드(NIC)에도 같은 형태로 구동되는 SPU 기능부(190)가 탑재되어야만 인트라넷상에서 상호간에 송수되는 데이터의 인증과 원활한 암호화의 해독이 수행될 수 있다.
또한, 상기 SPU 기능부(190)의 프로그램 구동부(170)를 통한 보안 프로그램의 구동시에는 개별 PC 및 네트워크 서버의 주어진 시스템상에서 침입차단 기능이 수행되며, 중앙 메모리부(180)에 저장된 로그 데이터를 포함한 데이터 송,수신 등의 통신 이벤트를 상위 이벤트 콘솔(event console)로 백업이 이루어지도록 한다.
이와 같이, 본 발명의 통합보안 네트워크 카드에 의한 네트워크 보안 시스템에 장착된 SPU 기능부(190)는 네트워크 운영부(160)에 탑재된 별도의 운영체계로서 32bit CPU로 구성된 실시간 운영체계(RTOS)가 탑재되어 개별적인 보안 프로그램의 구동과 그에 따른 통신 데이터의 저장이 이루어지게 됨으로써 통신 과부하에 의한 네트워크 성능 저하를 방지할 수 있도록 구성된다.상기와 같은 본 발명의 통합보안 네트워크 카드에 의한 도1의 네트워크 보안 시스템 구축 과정을 간략히 설명하면 다음과 같다.
일단, 해커(Hackers)나 크래커(Crekers) 또는 정보 테러리스트(Info-terrorists)등의 침입자(10)가 공중의 인터넷(20)을 통하여 다수의 개인 PC(41)와 서버(42)로 상호 연결된 인트라넷(40)이나 다수의 네트워크 서버(51)가 연결된 서버군(50)에 해킹을 시도하게 되면 일차적인 침입차단 시스템(30)에서 일차적인 해킹이 차단되며 인트라넷(40)과 서버군(50)을 이루는 다수의 PC(41)와 서버(42)(51)에 장착된 통합보안 네트워크 카드(41a)(51a)에 의해서 이차적인 해킹의 방지가 이루어지게 된다.
또한, 상기 통합보안 네트워크 카드(41a)(51a)가 장창된 PC(41)간 또는 서버(42)와 PC(41)간의 상호 데이터 교환 시에는 통합보안 네트워크 카드에 탑재된 SPU 기능부에 의한 데이터 암호화 및 복호화에 의해서 암호화된 데이터 교환이 이루어지게 되며 외부에서의 침입 탐지와 기 설정된 공용 또는 사설 IP를 가진 사용자들의 통신 이벤트가 모니터링 시스템(43)으로 전송되어 실시간 관리될 수 있도록 구성된다.
다음, 도3은 본 발명에 따른 시스템에 의한 네트워크 구성도로서, 도시된 바와 같이, 본 발명 통합보안 네트워크 카드 보안 시스템은 통합보안 네트워크 카드의 SPU 기능부(190)에서 개별적으로 구동되는 네트워크 보안 프로그램에 의해서 송,수신되는 데이터의 암호화와 복호화가 이루어지게 되고 상기 데이터는 TCP/IP 또는 UDP/IP등의 통신 규약 프로토콜에 의해서 네트워크 드라이버(200)의 작동으로 압축되어 다른 통합보안 네트워크 카드의 프로토콜을 통해 실시간 전송된다. 이 때, 상기 TCP/IP 및 UDP/IP를 통한 데이터 전송시 네트워크상에서 IP주소를 물리적 네트웍 주소로 대응시키기 위하여 사용되는 주소결정 프로토콜(210)(ARP : Address Resolution Protocol, 이하 ARP라 한다.)이 사용되어 물리적 네트워크 주소 정보가 호출 전송될 수 있다. 상기 SPU 기능부(190)의 중앙 메모리부(180)에 저장된 네트워크 카드간에 발생되는 여러가지 정보는 개별적 운영체계로 작동되는 RTOS에 의해서 개별 PC에 부하를 주지않고 이벤트 콘솔(220)로 실시간 전송되며, 상기와 같이 전송되는 이벤트 내용은 네트워크 통신에 접속된 시점에 접속 IP와 상대 IP의 접속 시간과 송,수신 데이터의 정보를 전송하게 되고 반복적인 데이터의 이동상황과 그 확인된 데이터 내용의 결과와 네트워크상의 개별 PC의 상태를 수시로 점검하여 이상 프로그램 수행 및 침입자 정보에 대한 자료의 수시 전송이 이루어지게 된다.
도4는 본 발명에 따른 데이터 송,수신시 인증키 획득 과정이 도시된 순서도로서, 도시된 바와같이 인트라넷을 구성하는 개별 PC 및 네트워크 서버간의 상호 통신에 의한 통신 데이터의 송신 준비(S100 단계)가 이루어지면 개별 PC에 장착된 통합보안 네트워크 카드(100) SPU 기능부(190)의 네트워크 운영부(160)를 통한 개별적 운영체계(RTOS)와 보안 프로그램의 구동에 의해서 데이터의 암호화(S101 단계)가 이루어지게 되고 데이터의 수신 가능자로 판단(S103 단계)되면 SPU 기능부(190)는 다시 암호화된 데이터의 복호화를 수행(S104 단계)하여 수신자 통합보안 네트워크 카드의 TCP/IP등의 프로토콜을 통해서 해당 데이터의 전송(S105 단계)이 이루어지도록 하며 상기 SPU 기능부(190)는 중앙 메모리부(180)에 저장된 데이터의 전송 정보를 이벤트 콘솔(event console)로 송신(S106 단계)하여 해당 송,수신 내역의 실시간 모니터링이 가능하도록 한다.이 때, 상기 S101 단계에서 수신측 네트워크 카드(NIC)에 SPU 기능부가 탑재되지 않은 상태라면 송신측 통합보안 네트워크 카드(NIC)에서는 선택적으로 데이터의 암호화가 이루어지도록 하여 수신자의 IP로 전송(S102 단계)이 이루어 지도록 할 수 있다.
또한, 상기 S103 단계의 수신 가능자 판단 과정에서 SPU 기능부(190)의 네트워크 운영부(160)로부터 수신 인증이 이루어지지 않게 되면, 프로그램 구동부(170)를 통한 보안 프로그램에 의해서 고유 IP에 대한 서버 인증키를 요구(S107 단계)하게 되고 인증키의 획득(S108 단계)과 동시에 S104 단계의 복호화가 수행된다.
만약, 상기 S108 단계에서 해당 IP의 인증키 획득이 실패하게 되면 해당 IP의 네트워크 서버 또는 다른 PC의 접근 통제정보가 이벤트 콘솔(event console)로 전송(S109 단계)되어 실시간 모니터링에 의한 접속 차단 IP 정보 및 해커의
침입 탐지가 이루어지게 된다.
마지막으로, 도5는 본 발명에 따른 통합보안 네트워크 카드의 개별 침입차단 기능 수행 과정이 도시된 순서도로서, 도시된 바와 같이 본 발명의 통합보안 네트워크 카드에 의한 네트워크 보안 방법은 인트라넷을 구성하는 개별 PC 및 네트워크 서버에 장착된 각각의 통합보안 네트워크 카드가 이벤트 콘솔(event console)에 개별적으로 연결되어 콘솔의 정책(IP, Port등) 설정 정보를 적용(S200 단계)시키기 위한 데이터를 수신받고 각 통합보안 네트워크 카드의 SPU 기능부에 대한 개별 IP나 포트를 포함한 통신 정보 검사(S201 단계)가 이루어지며 통신하고자 하는 데이터의 수신(S202단계)이 이루어지게 된다.
이 때, 상기 데이터 수신은 각각의 통합보안 네트워크 카드의 SPU 기능부에 의해서 IP나 포트(Port)등을 포함한 수신 정보의 비교(S203 단계)에 의해서 수신 가능자인가를 판단(S206 단계)하게 되고 수신 가능자라고 판단되면 해당 데이터를 상위 레이어로 전송(S207 단계)하고 전송된 데이터의 헤더와 송,수신 정보가 로그 데이터로 변환(S209 단계)되어 저장된다. 만약, SPU 기능부에 의한 수신정보 비교 단계(S203)와 수신 가능자 판단 단계(S206)에서 에서 콘솔의 정책 설정 정보와 일치하지 않는 사용자의 IP 정보나 포트(PORT) 정보가 검출되면 데이터 수신을 차단(S204 단계)하고 데이터 정보가 암호화되어 콘솔로 데이터 정보의 전송(S205, S208 단계)이 이루어지게 된다.
100 통합보안 네트워크 카드 110 PCI 인터페이스부
120 라인 접속부 130 랜 칩
140 데이터 저장부 150 프로그램 로직부
160 네트워크 운영부 170 프로그램 구동부
180 중앙 메모리부 190 SPU 기능부

Claims (8)

  1. 인트라넷을 구성하는 개별 PC 상호간 또는 개별 PC와 네트워크 서버간의 통합보안 네트워크 카드에 의한 통신 데이터의 송신 준비(S100)가 이루어지면 개별 PC에 장착된 통합보안 네트워크 카드 SPU 기능부의 네트워크 운영부를 통한 개별적 운영체계(RTOS)와 보안 프로그램의 구동에 의해서 데이터의 암호화가 이루어지는 단계(S101)와,통합보안 네트워크 카드의 SPU 기능부에 의해서 데이터 수신 가능자로 판단(S103)되면 SPU 기능부는 다시 암호화된 데이터의 복호화를 수행(S104)하여 수신자 통합보안 네트워크 카드의 TCP/IP등의 프로토콜을 통해서 해당 데이터의
    전송이 이루어지도록 하는 단계(S105)와, 상기 SPU 기능부가 중앙 메모리부에 저장된 데이터의 전송 정보를 이벤트 콘솔(event console)로 송신하여 해당 송,수신 내역의 실시간 모니터링이 가능하도록 하는 단계(S106)로 이루어짐을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 방법.
  2. 제1항에 있어서, 상기 데이터의 암호화(S101) 단계의 수신측 네트워크 카드(NIC)에 SPU 기능부가 탑재되지 않은 상태라면 송신측 통합보안 네트워크 카드(NIC)에서는 선택적으로 데이터의 암호화가 이루어지도록 하여 수신자의 해당 IP로 전송이 이루어지도록 하는 단계(S102)가 더 포함됨을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 방법.
  3. 제1항에 있어서, 상기 수신가능자 판단 단계(S103)의 수신 가능자 판단 과정에서 SPU 기능부의 네트워크 운영부로부터 수신 인증이 이루어지지 않게 되면, 프로그램 구동부를 통한 보안 프로그램에 의해서 고유 IP에 대한 서버 인증키를 요구(S107)하게 되고 복호화 수행을 위한 인증키 획득 단계(S108)와, 상기 인증키 획득 단계(S108)의 해당 IP 인증키 획득이 실패하게 되면 해당 IP의 네트워크 서버 또는 다른 PC의 접근 통제정보가 이벤트 콘솔(event console)로 전송되어 실시간 모니터링에 의한 접속 차단 IP 정보 및 해커의 침입 탐지가 이루어지는 단계(S109)가 더 포함됨을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 방법.
  4. 인트라넷을 구성하는 개별 PC 및 네트워크 서버에 장착된 각각의 통합보안 네트워크 카드가 이벤트 콘솔(event console)에 개별적으로 연결되어 콘솔의 정책(IP, Port등) 설정 정보를 적용(S200)시키기 위한 데이터를 수신받고 각 통합보안 네트워크 카드의 SPU 기능부에 대한 개별 IP나 포트를 포함한 통신 정보 검사(S201)가 이루어지며 통신하고자 하는 데이터의 수신받는 단계(S202)와, 이 때, 상기 데이터 수신은 각각의 통합보안 네트워크 카드의 SPU 기능부에 의해서 IP나 포트(Port)등을 포함한 수신보의 비교(S203)에 의해서 수신 가능자인가를 판단(S206)하게 되고 수신 가능자라고 판단되면 해당 데이터를 상위 레이어로 전송(S207)하고 전송된 데이터의 헤더와 송,수신 정보가 로그 데이터로 변환되어 저장되는 단계(S209)와,
    만약, SPU 기능부에 의한 수신정보 비교 단계(S203)와 수신 가능자 판단단계(S206)에서 에서 콘솔의 정책 설정 정보와 일치하지 않는 사용자의 IP 정보나 포트(PORT) 정보가 검출되면 데이터 수신을 차단(S204)하고 데이터 정보가 암호화되어 콘솔로 데이터 정보의 전송이 이루어지는 단계(S205, S208),로 구성됨을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 방법.
  5. 인트라넷을 구성하는 개별 PC 또는 네트워크 서버의 내부에 장착될 수 있도록 하는 PCI 인터페이스부(110)와; 라우터 또는 허브에서 분리된 외부 통신 라인 연결을 위한 라인 접속부(120)와; 데이터의 송,수신시 데이터 전송 속도를 결정하는 랜칩(130)과; PCI 인터페이스부(110)를 통해서 수집된 데이터를 일시적으로 저장하는 데이터 저장부(140), 전송 신호에 의한 물리적 어드레스를 결정하는 프로그램 로직부(150), 개별적 보안 기능을 수행하는 네트워크 운영부(160), 부팅 시스템을 수행하는 프로그램 구동부(170) 및 저장장치로서의 중앙 메모리부(180)로 구성된 SPU 기능부(190)를 포함하여 이루어짐을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 시스템.
  6. 제5항에 있어서, 상기 네트워크 운영부(160)는 개별적 네트워크 연결의 실시간 운영체제(RTOS;Real-time Operating System)가 탑재되어 송수신 데이터의 다양한 암호화에 따른 개별적 보안 기능을 수행하게 되고 데이터 송수신의 기본 프로토콜인 TCP/IP에 의한 네트워크 연결을 지원하도록 설계됨을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 시스템.
  7. 제5항에 있어서, 상기 프로그램 구동부(170)는 플래시 롬(Flash ROM)상에서 개별적 보안 프로그램이 작동되도록 메인 응용프로그램이 탑재되고 응용프로그램의 구동에 의해서 개별 PC 및 네트워크 서버상에서 복화 기능을 수행하는 보안 프로그램이 실행되도록 함을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 시스템.
  8. 제5항에 있어서, 상기 중앙 메모리부(180)는 32MB의 SDRAM이 탑재되어 상기 프로그램 구동부(170)와 네트워크 운영부(160)를 통한 독립적 실시간 운영체계(RTOS)에 따른 보안 프로그램의 작동과 보안 프로그램의 구동에 의한 프로그램 인터페이스 및 인트라넷 구성 PC들의 로그 메세지를 포함한 데이터 송,수신 정보가 저장됨을 특징으로 하는 통합보안 네트워크 카드에 의한 네트워크 보안 시스템.
KR1020190015982A 2019-02-12 2019-02-12 통합보안네트워크카드에의한네트워크보안시스템 KR20200098181A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190015982A KR20200098181A (ko) 2019-02-12 2019-02-12 통합보안네트워크카드에의한네트워크보안시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190015982A KR20200098181A (ko) 2019-02-12 2019-02-12 통합보안네트워크카드에의한네트워크보안시스템

Publications (1)

Publication Number Publication Date
KR20200098181A true KR20200098181A (ko) 2020-08-20

Family

ID=72242685

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190015982A KR20200098181A (ko) 2019-02-12 2019-02-12 통합보안네트워크카드에의한네트워크보안시스템

Country Status (1)

Country Link
KR (1) KR20200098181A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102531376B1 (ko) 2022-08-01 2023-05-12 (주)트라이언아이앤씨 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102531376B1 (ko) 2022-08-01 2023-05-12 (주)트라이언아이앤씨 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
US7370354B2 (en) Method of remotely managing a firewall
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
US7024695B1 (en) Method and apparatus for secure remote system management
US7788366B2 (en) Centralized network control
US8661250B2 (en) Remote activation of covert service channels
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
US20080209560A1 (en) Active intrusion resistant environment of layered object and compartment key (airelock)
CA2437548A1 (en) Apparatus and method for providing secure network communication
AU2002324631A1 (en) Active intrusion resistant environment of layered object and compartment keys
US7818790B1 (en) Router for use in a monitored network
JP2006309698A (ja) アクセス制御サービス及び制御サーバ
US20100095366A1 (en) Enabling Network Communication From Role Based Authentication
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
US11310265B2 (en) Detecting MAC/IP spoofing attacks on networks
US20050132231A1 (en) Administration of computing entities in a network
KR20200098181A (ko) 통합보안네트워크카드에의한네트워크보안시스템
Cisco Glossary
KR20020096194A (ko) 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및시스템
EP2090073B1 (en) Secure network architecture
TWI706281B (zh) 裝置驗證方法
Holik Protecting IoT Devices with Software-Defined Networks
KR20030057780A (ko) 가상사설망을 통한 네트워크 보안시스템 및 그 방법
CN118157967A (zh) 远程访问系统及方法
CN113572735A (zh) 一种利用隐藏服务器防止网络攻击的方法