KR20230053129A - A control method and the device for internet search engine using security interface - Google Patents
A control method and the device for internet search engine using security interface Download PDFInfo
- Publication number
- KR20230053129A KR20230053129A KR1020210136325A KR20210136325A KR20230053129A KR 20230053129 A KR20230053129 A KR 20230053129A KR 1020210136325 A KR1020210136325 A KR 1020210136325A KR 20210136325 A KR20210136325 A KR 20210136325A KR 20230053129 A KR20230053129 A KR 20230053129A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- search engine
- subscriber terminal
- internet
- interface
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000004044 response Effects 0.000 claims abstract description 26
- 238000009434 installation Methods 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000001939 inductive effect Effects 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000009385 viral infection Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 보안 인터페이스를 이용한 보안검색엔진 제어방법 및 장치에 관한 것으로, 보다 상세하게는 인터넷 종단장치에 수용된 가입자 터미널이 인터넷 등의 네트워크에 접속을 시도하는 경우에 보안검색엔진의 설치 유무 및 동작 상태를 확인하여 보안 네트워크 접속을 허용하는 기술에 관한 것이다.The present invention relates to a method and apparatus for controlling a secure search engine using a security interface, and more particularly, to whether or not a secure search engine is installed and operating state when a subscriber terminal accommodated in an Internet termination device attempts to access a network such as the Internet. It relates to a technology that allows secure network access by checking
인터넷은 네트워크들이 모인 전 세계적인 규모의 네트워크이다. 인터넷에는 다양한 정보가 있으며, 경우에 따라 이들 정보는 유해한 정보와 유익한 정보를 모두 포함하고 있을 수 있다.The Internet is a global network of networks. There is a variety of information on the Internet, and in some cases, this information may contain both harmful and beneficial information.
예를 들어 해커(hacker)나 크래커(cracker)와 같은 사용자에 의해 유해한 정보가 존재할 수 있다. 해커 또는 크래커는 가입자의 개인정보 유출, 바이러스 및 악성 코드 등을 이용한 네트워크 시스템의 침입과 마비 등을 초래한다.For example, harmful information may exist by a user such as a hacker or a cracker. Hackers or crackers cause leakage of personal information of subscribers, intrusion and paralysis of network systems using viruses and malicious codes.
인터넷상에 존재하는 유해한 정보는 그 종류가 매우 다양하며, 그 공격 대상 역시 네트워크 장비뿐만 아니라 개인 사용자 및 인터넷 서비스 제공자 혹은 특정 서비스 제공자 등 그 범위가 매우 다양하다.Harmful information that exists on the Internet is very diverse, and the target of attack is also very diverse, such as individual users, Internet service providers, or specific service providers as well as network equipment.
이와 같이 인터넷상에 존재하는 유해 정보들은 가입자 및 네트워크 장비 등에 많은 피해를 초래하며 최악의 경우 네트워크의 사용을 불가능하게 할 수 있다. 이러한 인터넷상에 존재하는 유해 정보의 피해를 막기 위해 다양한 보안검색엔진이 존재한다.As such, harmful information existing on the Internet causes a lot of damage to subscribers and network equipment, and in the worst case, can make the use of the network impossible. Various security search engines exist to prevent damage from harmful information existing on the Internet.
통상적으로 보안검색엔진은 가입자의 단말에 설치되어 인터넷에 존재하는 다양한 바이러스(virus), 해킹프로그램, 스파이웨어(spy ware) 및 각종 악성 코드 등을 검색하고, 이를 제거하여 인터넷 및 가입자 터미널의 보안 상태를 유지한다.Normally, a security search engine is installed in a subscriber's terminal to search for various viruses, hacking programs, spyware, and various malicious codes existing on the Internet, and removes them to improve the security status of the Internet and subscriber terminals. keep
가입자 터미널에 보안검색엔진이 존재하여 가입자 터미널의 보안이 확보되면, 인터넷의 보안성이 확보될 수 있다. 다시 말해, 인터넷에 접속하는 모든 가입자 터미널의 보안성이 제공되는 경우, 인터넷 내부에서 자체적으로 바이러스 등이 발생하지 않는 한 인터넷은 바이러스 등에 감염될 수 없는 것이다. 통상적으로 바이러스는 최초 바이러스에 감염된 가입자 터미널에 의해 네트워크를 통해 다른 가입자 터미널을 감염시킨다. 따라서 감염된 가입자 터미널이 인터넷에 접속하지 않을 경우 다른 가입자 터미널의 바이러스 감염 확률은 낮아지는 것이다.When the security of the subscriber terminal is ensured by the presence of a security search engine in the subscriber terminal, the security of the Internet can be secured. In other words, if the security of all subscriber terminals accessing the Internet is provided, the Internet cannot be infected with a virus unless a virus or the like is generated within the Internet itself. Typically, a virus infects other subscriber terminals through a network by a subscriber terminal initially infected with the virus. Therefore, when an infected subscriber terminal does not access the Internet, the virus infection probability of other subscriber terminals is reduced.
따라서 모든 가입자 터미널이 보안검색엔진을 구비하고 인터넷에 접속하는 경우, 다른 가입자 터미널을 감염으로부터 예방할 수 있으며, 또한 인터넷의 보안성이 강화될 수 있다.Accordingly, when all subscriber terminals are equipped with security search engines and access the Internet, other subscriber terminals can be prevented from being infected, and the security of the Internet can be enhanced.
그러나 모든 가입자 터미널에 대하여 보안검색엔진이 설치되어 있는 것은 아니라는 문제점이 있다. 현재의 보안검색엔진은 가입자가 필요에 따라 별도로 보안검색엔진을 구매하여 설치하는 형태로 제공되고 있다. 또한 인터넷사업자 또는 기타 서비스 사업자 등에서 제공하는 보안검색엔진은 가입자 터미널이 인터넷에 접속하여 웹서버 등에 접속한 이후에 동작하게 된다는 문제점이 있다.However, there is a problem that security search engines are not installed in all subscriber terminals. The current security search engine is provided in a form in which a subscriber separately purchases and installs a security search engine as needed. In addition, there is a problem in that a security search engine provided by Internet service providers or other service providers operates after a subscriber terminal accesses the Internet and connects to a web server.
또한 이와 같이 인터넷 게이트웨이 또는 외부보안검색시스템을 이용하는 경우, 그 성능이 낮아 속도 저하를 초래할 수 있으며, 가입자 터미널에 설치되는 보안검색엔진에 비해 검색하는 파일의 크기가 제약되고, 압축파일의 경우 검색이 곤란하며 인터넷에 사용되는 일부 프로토콜만 지원하는 등의 문제점이 있다.In addition, when using an Internet gateway or an external security search system in this way, its performance is low, which can cause speed degradation, and compared to security search engines installed in subscriber terminals, the size of files to be searched is limited, and in the case of compressed files, search is difficult. It is difficult, and there are problems such as supporting only some protocols used in the Internet.
더불어, 가입자 터미널에 보안검색엔진을 설치하더라도 가입자 터미널의 동작에 이상이 발생하여 운영체계 등의 OS(Operating System) 프로그램을 재설치하는 경우에 일시적으로 보안검색엔진이 설치되어 있지 않아 보안성이 떨어진다는 단점이 있다. 통상적으로 판매되는 보안검색엔진은 구매 후 라이센스(license) 등록을 위해 인터넷에 접속해야 한다. 이때 가입자 터미널은 보안검색엔진을 설치하였어도 정품 등록이 안된 상태이기 때문에 보안서비스가 제공되지 않는 상태에서 인터넷에 접속한다는 문제점이 있는 것이다.In addition, even if the security search engine is installed in the subscriber terminal, if an operating system (OS) program such as an operating system is reinstalled due to an error in the operation of the subscriber terminal, security is lowered because the security search engine is not installed temporarily. There are downsides. Security search engines that are usually sold require access to the Internet for license registration after purchase. At this time, the subscriber terminal has a problem in that it accesses the Internet in a state where security service is not provided because the genuine product is not registered even though the security search engine is installed.
이와 같은 문제점을 해결하기 위한 본 발명의 목적은, 가입자 터미널이 인터넷에 접속하는 경우에 가입자 터미널의 보안검색엔진 설치 유무를 확인하여 설치되지 않은 경우 보안검색엔진의 설치를 제공한 후 인터넷에 접속할 수 있도록 하여 가입자 터미널 및 인터넷의 보안성을 강화하는 것이다.An object of the present invention to solve this problem is to check whether a security search engine is installed in the subscriber terminal when the subscriber terminal accesses the Internet, and if not, install the security search engine and then access the Internet. It is to strengthen the security of the subscriber terminal and the Internet.
본 발명은, 보안 인터페이스에 구비되어 가입자 터미널이 보안검색엔진을 시도하는 경우, 상태질의 메시지를 이용하여 가입자 터미널에 보안검색엔진이 설치되어 정상 동작하는 경우에만 상기 보안검색엔진을 허용하는 보안관리 매니저를 구비하는 것을 특징으로 하는 보안 인터페이스를 이용한 보안검색엔진 제어장치와 그 구동 방법을 과제의 해결 수단으로 제공한다.According to the present invention, a security management manager provided in a security interface and permitting the security search engine only when the security search engine is installed in the subscriber terminal and normally operates by using a status query message when the subscriber terminal attempts the security search engine. A security search engine control device using a security interface and a method of driving the same are provided as means for solving the problem.
본 발명에 따른 보안 인터페이스를 이용한 보안검색엔진 제어방법 및 장치는, 가입자 터미널이 인터넷 등의 네트워크에 접속하는 시점에 보안검색엔진의 설치 유무 및 동작 여부에 따라 접속을 허용하는 것으로, 보안검색엔진이 설치되어 동작하는 가입자 터미널에 한하여 네트워크에 접속할 수 있도록 하여 보안성이 확보된 가입자 터미널만 네트워크에 접속하도록 하여 네트워크의 보안성을 확보하는 효과가 있으며, 네트워크의 보안성 확보를 통해 망 사업자의 네트워크 운용유지보수비를 절감할 수 있도록 하는 효과가 있다.A method and apparatus for controlling a secure search engine using a security interface according to the present invention allows access depending on whether a secure search engine is installed and operated when a subscriber terminal accesses a network such as the Internet. It has the effect of securing the security of the network by allowing only subscriber terminals that are installed and operating to access the network so that only subscriber terminals with secured security can access the network. It has the effect of reducing maintenance costs.
또한, 가입자 터미널의 보안성 확보로 가입자가 가입자의 단말을 바이러스 등의 감염의 우려 없이 사용할 수 있도록 하는 효과가 있다.In addition, by securing the security of the subscriber terminal, there is an effect of allowing the subscriber to use the subscriber terminal without fear of virus infection.
도 1은 본 발명에 따른 인터넷의 연결관계
도 2는 본 발명에 따른 보안 인터페이스의 내부 구성
도 3 및 4는 본 발명에 따른 가입자 터미널과 보안 인터페이스 간의 메시지 흐름
도 5는 보안 인터페이스를 이용한 보안검색엔진 제어방법의 동작
도 6은 본 발명에 따른 상태질의 메시지 및 상태응답 메시지의 형식1 is a connection relationship of the Internet according to the present invention
2 is an internal configuration of a security interface according to the present invention
3 and 4 are message flows between a subscriber terminal and a secure interface in accordance with the present invention;
5 is an operation of a security search engine control method using a security interface
6 is a format of a status query message and a status response message according to the present invention
본 발명의 보안 인터페이스를 이용한 보안검색엔진 제어방법은, 보안 인터페이스의 보안관리 매니저가 가입자 터미널의 보안검색엔진시도를 확인하는 제 1단계; 보안검색엔진을 시도한 가입자 터미널로 상태질의 메시지를 전송하는 제 2단계; 가입자 터미널로부터 상태질의 메시지에 대한 상태응답 메시지를 수신하지 못한 경우 가입자 터미널에 보안검색엔진 을 설치하고, 제 2단계로 우회하는 제 3단계; 및 가입자 터미널로부터 상태질의 메시지에 대한 상태응답 메시지를 수신한 경우 가입자 터미널의 보안검색엔진을 허용하는 제 4단계를 포함하는것을 특징으로 한다.A secure search engine control method using a security interface of the present invention includes: a first step in which a security management manager of the security interface checks a secure search engine attempt of a subscriber terminal; a second step of transmitting a status query message to a subscriber terminal that has attempted a secure search engine; a third step of installing a security search engine in the subscriber terminal and detouring to the second step when the status response message for the status query message is not received from the subscriber terminal; and a fourth step of permitting the secure search engine of the subscriber terminal when a status response message for the status query message is received from the subscriber terminal.
이와 같은 목적을 달성하기 위한 보안 인터페이스를 이용한 보안검색엔진 제어장치는, 보안 인터페이스에 구비되어 가입자 터미널이 보안검색엔진을 시도하는 경우, 상태질의 메시지를 이용하여 가입자 터미널에 보안검색엔진 이 설치되어 정상동작하는 경우에만 보안검색엔진을 허용하는 보안관리 매니저를 구비하는 것을 특징으로 한다.The security search engine control device using the security interface to achieve this purpose is provided in the security interface, and when the subscriber terminal attempts the security search engine, the security search engine is installed in the subscriber terminal using the status query message and is normally It is characterized by having a security management manager that permits a secure search engine only when it is operating.
이하, 첨부 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하면 다음과 같다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 인터넷(10)의 연결관계를 나타낸 도면이다.1 is a diagram showing the connection relationship of the Internet 10 according to the present invention.
가입자 터미널(30a, 30b,…)은 보안 인터페이스(100)에 접속되어 인터넷(10)에 연결되고, 인터넷(10)에는 보안검색서버(20)가 연결된다.The
가입자 터미널(30a, 30b,…)은 가입자가 인터넷(10) 서비스를 사용하기 위해 사용하는 단말이다. 가입자 터미널(30a, 30b,…)은 개인용 컴퓨터 및 PDA(Personal Digital Assistant) 등 인터넷(10)에 접속할 수 있는 모든 단말을 포함한다.The
보안 인터페이스(100)는 인터넷(10)에 구비된 네트워크 장비의 일종으로 인터넷(10)의 가장 말단에 구비되어 가입자를 인터넷(10)에 접속시키는 장비이다. 통상적으로 보안 인터페이스(100)는 residential gateway, 라우터 또는 L2/L3 스위치 등을 포함한다.The
본 발명에 따른 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)의 보안검색엔진의 설치 유무 및 동작 여부를 확인하여 보안검색엔진이 설치되지 않은 경우 또는 동작하지 않는 경우, 보안검색엔진을 설치 또는 재설치하여 가입자 터미널(30a, 30b,…)의 보안성을 확보할 수 있도록 한다.The
인터넷(10)은 다양한 네트워크가 연결되어 구성된 전 세계적인 규모의 네트워크이다. 수많은 가입자 터미널(30a,30b,…)은 인터넷(10)에 접속하여 인터넷(10)에 존재하는 다양한 정보에 접근하거나 가입자 터미널(30a, 30b,…)간의 이메일 교환이나 P2P(peer to peer) 통신 등을 통해 정보 교환을 한다. 인터넷(10)은 이와 같은 가입자 터미널(30a, 30b,…) 간의 통신이나 가입자 터미널(30a, 30b,…)과 웹서버 등의 정보 제공 기기와의 통신을 지원한다.The Internet 10 is a global scale network configured by connecting various networks. Numerous subscriber terminals (30a, 30b, ...) access the Internet (10) to access various information existing on the Internet (10), e-mail exchange or P2P (peer to peer) communication between subscriber terminals (30a, 30b, ...) exchange of information, etc. The Internet 10 supports communication between the
보안검색서버(20)는 인터넷(10)에 연결되어 인터넷(10)에 접속하는 가입자 터미널(30a, 30b,…)에 설치된 보안검색엔진의 업데이트, 추가 기능 지원 등의 기능향상 및 상태 점검 등을 수행하고, 보안 인터페이스(100)가 가입자 터미널(30a, 30b,…)에 보안검색엔진을 설치할 경우에 이를 지원한다.The security search server 20 is connected to the Internet 10 and updates the security search engine installed in the
본 발명은 가입자 터미널(30a, 30b,…)이 인터넷(10)에 접속을 시도하는 경우에 보안검색엔진 이 설치되어 있는가 확인하고, 보안검색엔진이 정상 동작하는지 확인하여 인터넷(10)에 접속시키는 것이다. 여기서 가입자 터미널(30a, 30b,…)에 보안검색엔진이 설치되지 않았거나 정상 동작하지 않는 경우, 보안검색엔진을 설치하는 것이다.In the present invention, when a subscriber terminal (30a, 30b, ...) attempts to access the Internet (10), it is checked whether a security search engine is installed, and whether the security search engine is normally operated to connect to the Internet (10). will be. Here, if the security search engine is not installed in the
여기서 보안검색엔진의 설치는 보안 인터페이스(100)에 보안검색엔진을 저장하고 있다가 필요시 가입자 터미널(30a, 30b,…)에 설치하는 형태의 구현과 보안검색서버(20)에 저장하고 있다가 필요시 가입자 터미널(30a,30b,…)에 설치하는 형태의 구현 등 다양한 구현이 가능하다.Here, the security search engine is installed in the
도 2는 본 발명에 따른 보안 인터페이스(100)의 내부 구성을 나타낸 도면이다.2 is a diagram showing the internal configuration of the
본 발명에 따른 보안 인터페이스(100)는 보안관리 매니저(110), WAN 포트(111) 및 터미널 포트(112)를 포함한다.The
보안관리 매니저(110)는 보안 인터페이스(100)에 구비되어 있는 보안검색엔진(31)의 제어장치이다. 보안관리 매니저(110)는 가입자 터미널(30a, 30b,…)이 인터넷(10) 접속을 시도하면, 보안검색엔진(31)의 설치 유무 및 동작상태를 확인하는 상태질의를 하고, 상태질의에 대한 적합한 응답을 수신하는 경우 접속을 허용하는 것이다.The
그러나 상태질의에 대해 적합한 응답을 수신하지 못하거나 응답이 없는 경우, 보안관리 매니저(110)는 보안검색 서버(20)에 저장되어 있는 보안검색엔진 (31)을 가입자 터미널(30a, 30b,…)에 설치한다. 여기서 보안검색엔진(31)은 당업자의 구현 의도에 따라 보안검색서버(20)에 저장되지 않고 보안 인터페이스(100)에 저장되어 있다가 보안관리 매니저(110)에 의해 가입자 터미널(30a, 30b,…)에 설치되는 형태로도 구현될 수 있다.However, if an appropriate response to the status query is not received or there is no response, the
WAN 포트(111)는 보안 인터페이스(100)가 인터넷(10)에 연결되는 포트이다. 보안 인터페이스(100)는 기본적으로 가입자 터미널(30a, 30b,…)을 수용하여 인터넷(10)에 접속시키기 위한 장비이다. WAN 포트(111)는 보안 인터페이스(100)에서 인터넷(10) 방향으로의 연결을 위한 포트이다.The
터미널 포트(112)는 보안 인터페이스(100)에 가입자 터미널(30a, 30b,…)을 수용하기 위한 포트이다. 터미널 포트(112)는 보안 인터페이스(100)에 복수 개로 존재하며, 보안 인터페이스(100)는 포트 구분을 통해 가입자 터미널(30a,30b,…)을 구분한다.The
가입자 터미널(30a, 30b,…)에는 보안검색엔진 (31)이 구비된다. 보안검색엔진(31)은 보안관리 매니저(110)에 의해 가입자 터미널(30a, 30b,…)에 설치되는 것이다. 보안검색엔진(31)은 가입자 터미널(30a, 30b,…)을 검사하여 바이러스 감염 여부, 악성코드 및 스파이웨어 등의 설치 유무를 검사하고 지속적으로 감염을 방지하도록 하는 역할을 한다.A
또한 보안검색엔진(31)은 보안관리 매니저(110)로부터 상태질의를 받는 경우, 상태응답을 통해 응답한다. 상태 응답은 보안검색엔진(31)이 정상적으로 설치되어 동작하는 경우에만 전달된다. 따라서 보안검색엔진(31)이 설치되어 있어도 정상적으로 동작하지 않는 경우, 보안검색엔진(31)은 보안관리 매니저(110)에 의해 재설치된다. 이는 가입자 터미널(30a, 30b,…)이 바이러스나 악성코드 등에 감염된 경우, 보안검색엔진(31)이 설치되더라도 정상 동작을 못하도록 방해받을 수 있기 때문이다. 따라서 이러한 경우를 대비하여 정상 동작하지 않는 경우, 재설치를 통해 정상 동작할 수 있도록 하는 것이다.In addition, when receiving a status query from the
도 3 및 도4는 본 발명에 따른 가입자 터미널(30a, 30b,…)과 보안 인터페이스(100) 간의 메시지 흐름을 나타낸 도면이다.3 and 4 are diagrams illustrating message flow between
도 3은 가입자 터미널(30a, 30b,…)에 보안검색엔진(31)이 설치되어 있고 정상 동작하는 경우의 메시지 흐름을 나타낸다.3 shows a message flow when the
가입자 터미널(30a, 30b,…)에서 인터넷(10) 접속을 시도하면 보안 인터페이스(100)는 이를 인지한다. 보안 인터페이스(100)에서 가입자 터미널(30a, 30b,…)의 인터넷(10) 접속 시도 인지는 인터넷(10)의 구현 형태에 따라 상이 할 수 있다.When
통상적으로 인터넷(10)은 유동 IP(Internet Protocol) 주소 방식과 고정 IP 주소 방식을 사용하는 경우로 구분 할 수 있다.In general, the Internet 10 can be divided into a case of using a dynamic IP (Internet Protocol) address method and a static IP address method.
유동 IP 주소를 사용하는 경우, 통상적으로 인터넷 사업자는 DHCP(Dynamic Host Configuration Protocol)를 이용한다. DHCP는 인터넷(10)에 접속하는 가입자 터미널(30a, 30b,…)에 IP 주소를 동적으로 할당하는 것으로 IP 주소 자원의 효율적 사용을 위한 프로토콜이다. DHCP의 동작은 다음과 같다.When using a dynamic IP address, Internet service providers typically use DHCP (Dynamic Host Configuration Protocol). DHCP dynamically allocates IP addresses to
인터넷(10)에 접속하고자 하는 단말이 IP 주소할당을 요청하면 IP 주소를 관리하는 DHCP 서버는 사용가능한 IP주소를 통보하고, 단말은 사용하고자 하는 IP 주소를 선택하여 통보한다. 이후 DHCP 서버는 IP 주소를 할당한다.When a terminal desiring to access the Internet 10 requests IP address allocation, a DHCP server managing IP addresses notifies us of available IP addresses, and the terminal selects and notifies an IP address to be used. The DHCP server then assigns an IP address.
이러한 DHCP의 동작과정에서 가입자 터미널(30a, 30b,…)이 IP 주소를 요청하는 메시지를 전송하는 등의 경우를 가입자 터미널(30a, 30b,…)의 인터넷(10) 접속 시도로 판단할 수 있다.During this DHCP operation process, a case in which the
고정 IP 주소를 사용하는 경우에는 다른 방법을 이용하여 접속 시도를 확인할 수 있다.If you are using a static IP address, you can check access attempts using other methods.
인터넷(10)에서는 ARP(Address Resolution Protocol)가 사용된다. 인터넷(10) 등의 네트워크에서 정보 전달을 위해서는 목적지의 물리계층 주소(MAC 주소, Media Access Control 주소) 및 IP 주소를 모두 알고 있어야 한다. 따라서 네트워크에서는 IP 주소에 대응하는 MAC 주소를 획득하는 프로토콜을 제공하며, ARP가 대표적인 예이다.In the Internet 10, ARP (Address Resolution Protocol) is used. In order to transfer information in a network such as the Internet 10, both the physical layer address (MAC address, Media Access Control address) and IP address of the destination must be known. Therefore, the network provides a protocol for obtaining a MAC address corresponding to an IP address, and ARP is a representative example.
ARP는 IP 주소에 대응하는 MAC 주소의 획득 또는 MAC 주소에 해당하는 IP 주소의 획득을 지원한다. 가입자 터미널(30a, 30b,…)이 인터넷(10)에 접속하게 되는 경우, 가입자 터미널(30a, 30b,…)은 보안검색엔진을 위한 게이트웨이(gateway) 주소를 필요로 한다. 게이트웨이 주소는 MAC 주소이기 때문에 가입자 터미널(30a, 30b,…)은 ARP 요청을 통해 게이트웨이 주소를 획득한다.ARP supports acquisition of a MAC address corresponding to an IP address or acquisition of an IP address corresponding to a MAC address. When the
즉, 가입자 터미널(30a, 30b,…)이 이와 같이 게이트웨이의 MAC 주소 획득을 위한 ARP 요청을 하는 경우를 접속 시도로 판단하는 것이다.That is, when the
본 발명에서 가입자 터미널(30a, 30b,…)의 접속 시도 판단은 이와 같은 방법 외에도 당업자의 구현의도에 따라 다양한 형태로 구현할 수 있다.In the present invention, the connection attempt determination of the
보안 인터페이스(100)가 가입자 터미널(30a, 30b,…)의 접속시도를 확인하면, 보안검색엔진(31)의 설치 유무 및 동작상태를 확인하는 상태질의 메시지를 전송한다. 가입자 터미널(30a, 30b,…)에 보안검색엔진(31)이 설치되어있으며, 정상 동작인 경우 보안검색엔진(31)의 상태응답 메시지가 전송된다. 보안 인터페이스(100)는 상태응답 메시지가 전송되면 보안 인터페이스(100)는 해당 가입자 터미널(30a, 30b,…)의 인터넷(10) 접속을 허용한다.When the
도 4는 가입자 터미널(30a, 30b,…)에 보안검색엔진(31)이 설치되어 있지 않거나 정상 동작하지 않는 경우의 메시지 흐름을 나타낸다.4 shows a message flow when the
가입자 터미널(30a, 30b,…)이 인터넷(10) 접속을 시도하면, 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)의 보안검색엔진(31)으로 상태질의 메시지를 전송한다. 이때 가입자 터미널(30a, 30b,…)에는 보안검색엔진(31)이 설치되어 있지 않은 상태이거나 보안검색엔진(31)이 정상동작하지 못하는 상태이므로 상태응답 메시지가 전송되지 않는다.When the
보안 인터페이스(100)는 설정된 소정 시간을 대기하며 상태응답 메시지가 전송되기를 기다린다. 이후 소정 시간이 경과 하면, 보안 인터페이스(100)는 보안검색서버(20)로 해당 가입자 터미널(30a, 30b,…)에 보안검색엔진(31) 설치를 요청하는 메시지를 전송한다. 이에 보안검색서버(20)는 해당 가입자 터미널(30a, 30b,…)로 보안검색엔진(31)을 전송한다.The
가입자 터미널(30a, 30b,…)에 보안검색엔진(31)이 설치되면 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)로 상태질의 메시지를 전송한다. 가입자 터미널(30a, 30b,…)은 보안검색엔진(31)이 설치되었으므로 보안 인터페이스(100)로 상태응답 메시지를 전송할 수 있다.When the
상태응답 메시지를 전송받은 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)의 인터넷(10) 접속을 허용한다.Upon receiving the status response message, the
도 5는 보안 인터페이스(100)를 이용한 보안검색엔진(31) 제어방법의 동작을 나타낸 순서도이다.5 is a flowchart illustrating the operation of a method for controlling the
보안 인터페이스(100)의 보안관리 매니저(110)가 구동되어 보안검색엔진 (31) 제어 기능이 작동된다(S2). 보안 인터페이스(100)의 보안관리 매니저(110)가 구동된 상태에서 가입자 터미널(30a, 30b,…)의 접속이 시도됨을 확인한다(S4). 이때 보안 인터페이스(100)의 동작을 좀더 상세히 정의할 수 있다.The
다시 말하면, 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)을 인터넷(10)에 접속시키기 위한 장비이다. 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)이 인터넷(10)에 접속을 시도하는 경로와 접속시도 후에 통신을하는 경로가 동일하다. 즉, 보안 인터페이스(100)의 하나의 포트에 연결된 하나의 가입자 터미널(30a)은 하나의 경로를 이용하여 인터넷(10) 접속을 시도하고 지속적으로 통신을 하는 것이다.In other words, the
따라서, 가입자 터미널(30a)에서 보안 인터페이스(100)로는 수많은 패킷(packet)이 전송되며, 보안 인터페이스(100)는 이러한 패킷을 확인하여 DHCP 또는 ARP 관련 패킷이 발생하는 경우에 인터넷(10) 접속시도로 판단하는 것이다.Therefore, numerous packets are transmitted from the
그러므로, 가입자 터미널(30a, 30b,…)이 인터넷(10)으로 DHCP 또는 ARP 관련 패킷이 아닌 패킷을 전송하는 경우에는 가입자 터미널(30a, 30b,…)이 이미 접속시도를 마친 상태이기 때문에 보안검색엔진(31)의 설치 유무 및 동작 여부를 확인하지 않는다. 이러한 구현은 접속시도를 거치지 않은 불법적인 가입자 터미널(30a, 30b,…)이 발생할 경우에, 인터넷(10)의 보안성의 허점으로 작용할 수 있다.Therefore, when the
따라서, 본 발명을 응용하여 보안 인터페이스(100) 내에 상태정보리스트를 추가할 수 있다. 상태정보리스트는 가입자 터미널(30a, 30b,…)이 접속시도를 하는 경우, 보안검색엔진(31)의 설치 및 동작 유무를 확인하여, 정상적으로 동작하는가를 저장하는 것이다. 상태정보리스트에 가입자 터미널(30a, 30b,…)이 보안검색엔진(31)의 상태질의를 받았으며, 정상 동작하여 상태 응답을 한 경우 상태정보리스트에 이러한 사항이 기록된다. 이후, 가입자 터미널(30a, 30b,…)에서 접속시도 이외의 패킷이 발생하는 경우, 보안 인터페이스(100)는 접속시도가 아니지만 보안성의 확대를 위해 가입자 터미널(30a, 30b,…)의 상태를 상태정보리스트를 이용하여 확인하는 것이다.Therefore, a status information list can be added to the
상태정보리스트를 확인하여 접속시도시, 상태 질의 및 상태 응답 절차를 수행한 가입자 터미널(30a, 30b,…)에 대해서만 통신을 허용하는 것이다.When access is attempted by checking the status information list, communication is permitted only for the
이러한 본 발명의 운용상에 있어서 변형 가능한 부분은 당업자의 구현의도에 따라 상이할 수 있으며, 위의 예에서 미처 제시하지 못한 부분을 변형할 수 있다.In the operation of the present invention, the deformable part may be different according to the implementation intention of those skilled in the art, and the part not presented in the above example may be modified.
가입자 터미널(30a, 30b,…)로부터 보안 인터페이스(100)로 패킷이 전송되고 패킷이 인터넷(10) 접속 시도로 확인되면(S4), 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)로 상태질의 메시지를 전송한다(S6).When a packet is transmitted from the
상태질의 메시지를 전송한 후, 보안 인터페이스(100)는 소정 시간을 대기하여 가입자 터미널(30a, 30b,…)로부터 상태응답 메시지 수신을 기다린다(단계 S6까지의 동작). 그러나 소정 시간이 초과한 후에도 상태응답 메시지가 전송되지 않은 경우(단계 S8에서 No 인 경우), 보안 인터페이스(100)는 보안검색서버(20)로 보안검색엔진(31)의 설치를 요청하여 가입자 터미널(30a, 30b,…)에 보안검색엔진(31)을 설치한다(S10).After transmitting the status query message, the
보안 인터페이스(100)의 보안검색엔진(31) 설치요청 메시지를 수신한 보안검색서버(20)는 해당 가입자 터미널(30a,30b,…)로 보안검색엔진(31)을 전송하여 가입자 터미널(30a, 30b,…)에 설치되도록 한다. 이때 보안검색서버(20)는 액티브 X 컨트롤(Active X control) 같은 프로그램을 이용할 수 있다. 액티브 X 컨트롤은 특정 프로그램을 브라우저와 연결하여 파일이나 소프트웨어를 다운로드 하는 프로그램으로, 보안검색서버(20)는 이와 유사한 기능의 프로그램 등을 이용하여 보안검색엔진(31)을 가입자 터미널(30a, 30b,…)에 설치하는 것이다.Upon receiving the
보안검색서버(20)가 보안검색엔진(31)을 설치한 후(단계 S10 이후), 보안 인터페이스(100)는 단계 S6으로 우회하여 상태질의 메시지를 다시 전송한다.After the security search server 20 installs the security search engine 31 (after step S10), the
가입자 터미널(30a, 30b,…)로부터 상태응답 메시지를 수신한 경우(단계 S8에서 Yes 인 경우), 보안 인터페이스(100)는 가입자 터미널(30a, 30b,…)의 인터넷(10) 접속을 허용한다(S12).When the status response message is received from the
도 6은 본 발명에 따른 상태질의 메시지 및 상태응답 메시지의 형식을 나타낸 도면이다.6 is a diagram showing the format of a status query message and a status response message according to the present invention.
상태질의 메시지 및 상태응답 메시지는 Version 필드, Length 필드, Message ID 필드, Type 필드 및 Option 필드를 포함한다. Version 필드는 상태질의 메시지 및 상태응답 메시지의 전송에 사용되는 프로토콜과 버전 정보를 기록하고, Length 필드는 메시지의 전체 길이를 나타낸다. Message ID 필드 및 Type 필드를 이용하여 상태질의 메시지와 상태응답 메시지 간의 구별을 하고 메시지에 대한 내용을 기록한다. Option 필드는 추후 필요에 따라 확장을 위해 할당된 필드이다.The status query message and status response message include a Version field, a Length field, a Message ID field, a Type field, and an Option field. The Version field records the protocol and version information used to transmit the status query message and status response message, and the Length field indicates the total length of the message. Distinguish between a status query message and a status response message by using the Message ID field and the Type field, and record the contents of the message. The Option field is a field allocated for extension according to future needs.
아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.In addition, the preferred embodiment of the present invention is for illustrative purposes, and those skilled in the art will be able to make various modifications, changes, substitutions, and additions through the technical spirit and scope of the appended claims, and these modifications and changes, etc. should be considered within the scope.
10; 인터넷 20; 보안검색서버
30a, 30b,…; 가입자 터미널 31; 보안검색엔진
100; 보안 인터페이스 110; 보안관리 매니저
111; WAN 포트 112; 터미널 포트10; Internet 20; Security search server
30a, 30b, ... ;
100;
111;
Claims (3)
보안 인터페이스의 보안관리 매니저가 가입자 터미널의 보안검색엔진 시도를 확인하는 제 1단계;
보안검색엔진을 시도한 상기 가입자 터미널로 상태질의 메시지를 전송하는 제 2단계;
상기 가입자 터미널로부터 상기 상태질의 메시지에 대한 상태응답 메시지를 수신하지 못한 경우 상기 가입자 터미널에 보안검색엔진을 설치하고, 상기 제 2단계로 우회하는 제 3단계; 및
상기 가입자 터미널로부터 상기 상태질의 메시지에 대한 상태응답 메시지를 수신한 경우 상기 가입자 터미널의 상기 보안검색엔진을 허용하는 제 4단계를 포함하며,
상기 보안검색엔진 시도는,
상기 가입자 터미널이 유동 IP(Internet Protocol) 주소를 사용하는 경우 상기 가입자 터미널의 IP 주소 요청을 접속 시도로 판단하고,
상기 가입자 터미널이 고정 IP(internet Protocol) 주소를 사용하는 경우 상기 가입자 터미널의 게이트웨이(gateway)의 MAC(Media Access Control) 주소 요청을 접속 시도로 판단하는 것을 특징으로 하는 보안 인터페이스를 이용한 보안검색엔진 제어방법.
A secure search engine control method using a secure interface configured by connecting a subscriber terminal to a secure interface and connecting to the Internet, and a secure search server connected to the Internet, the method comprising:
A first step in which the security management manager of the security interface checks the security search engine attempt of the subscriber terminal;
a second step of transmitting a status query message to the subscriber terminal that has attempted a security search engine;
a third step of installing a security search engine in the subscriber terminal and detouring to the second step when a status response message for the status query message is not received from the subscriber terminal; and
a fourth step of allowing the security search engine of the subscriber terminal when a status response message for the status query message is received from the subscriber terminal;
The security search engine attempt,
When the subscriber terminal uses a dynamic IP (Internet Protocol) address, determining the IP address request of the subscriber terminal as an access attempt;
When the subscriber terminal uses a fixed IP (internet protocol) address, a security search engine control using a security interface characterized in that the request for a media access control (MAC) address of a gateway of the subscriber terminal is determined as an access attempt. method.
상기 가입자 터미널에 상기 보안검색엔진의 설치 유무 및 동작 상태를 질의하며,
상기 상태응답 메시지는,
상기 가입자 터미널에 상기 보안검색엔진이 설치되어 있으며 정상 동작하는 경우에 상기 보안관리 매니저로 상기 보안검색엔진이 동작하고 있음을 통보하는 내용을 포함하는 것을 특징으로 하는 보안 인터페이스를 이용한 보안 검색엔진 제어방법.
The method of claim 1, wherein the status query message comprises:
Query whether or not the security search engine is installed in the subscriber terminal and its operating state;
The status response message,
When the secure search engine is installed in the subscriber terminal and operates normally, the security management manager is notified that the secure search engine is operating. .
보안 인터페이스에 구비되어 가입자 터미널이 보안검색엔진을 시도하는 경우, 상태질의 메시지를 이용하여 가입자 터미널에 보안검색엔진이 설치되어 정상 동작하는 경우에만 상기 보안검색엔진을 허용하는 보안관리 매니저를 구비하고,
상기 보안관리 매니저는,
상기 가입자 터미널이 고정 IP(internet Protocol) 주소를 사용하는 경우 상기 가입자 터미널의 게이트웨이(gateway)의 MAC(Media Access Control) 주소 요청을 접속 시도로 판단하고,
상기 상태질의 메시지는,
상기 가입자 터미널에 상기 보안검색엔진이 설치되어 있고, 정상 동작하는가를 질의하며,
상기 보안관리 매니저는,
상기 보안 인터페이스에 수용된 상기 가입자 터미널 별로 상기 보안검색엔진 의 설치 유무 및 동작 여부를 저장하는 상태정보리스트를 더 포함하는 것을 특징으로 하는 보안 인터페이스를 이용한 보안검색엔진 제어장치.
A security search engine control device using a security interface configured by connecting a subscriber terminal to a security interface and connecting to the Internet, and a security search server to the Internet, comprising:
A security management manager provided in the security interface and permitting the security search engine only when the security search engine is installed in the subscriber terminal and normally operates using a status query message when the subscriber terminal attempts the security search engine;
The security management manager,
When the subscriber terminal uses a fixed IP (internet protocol) address, determining a media access control (MAC) address request of a gateway of the subscriber terminal as an access attempt;
The status query message,
inquires whether the security search engine is installed in the subscriber terminal and is normally operating;
The security management manager,
The security search engine control device using a security interface, characterized in that it further comprises a status information list for storing whether the security search engine is installed or not and whether the security search engine is operated for each of the subscriber terminals accommodated in the security interface.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210136325A KR20230053129A (en) | 2021-10-14 | 2021-10-14 | A control method and the device for internet search engine using security interface |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210136325A KR20230053129A (en) | 2021-10-14 | 2021-10-14 | A control method and the device for internet search engine using security interface |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230053129A true KR20230053129A (en) | 2023-04-21 |
Family
ID=86098426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210136325A KR20230053129A (en) | 2021-10-14 | 2021-10-14 | A control method and the device for internet search engine using security interface |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230053129A (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110002947A (en) | 2009-07-03 | 2011-01-11 | (주)넷맨 | Network access control system using install information of mandatory program and method thereof |
KR20180103487A (en) | 2017-03-10 | 2018-09-19 | 주식회사 케이티 | System and method for controlling network access |
-
2021
- 2021-10-14 KR KR1020210136325A patent/KR20230053129A/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110002947A (en) | 2009-07-03 | 2011-01-11 | (주)넷맨 | Network access control system using install information of mandatory program and method thereof |
KR20180103487A (en) | 2017-03-10 | 2018-09-19 | 주식회사 케이티 | System and method for controlling network access |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4327630B2 (en) | Storage area network system, security system, security management program, storage device using Internet protocol | |
RU2755880C2 (en) | Hardware virtualized isolation for ensuring security | |
US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
US7725932B2 (en) | Restricting communication service | |
US7360242B2 (en) | Personal firewall with location detection | |
US7836501B2 (en) | Client compliancy with self-policing clients | |
US8549646B2 (en) | Methods, media and systems for responding to a denial of service attack | |
US20090119745A1 (en) | System and method for preventing private information from leaking out through access context analysis in personal mobile terminal | |
US20130031605A1 (en) | Method and Apparatus for Probabilistic Matching to Authenticate Hosts During Distributed Denial of Service Attack | |
CA2688553A1 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
JP2005318584A (en) | Method and apparatus for network security based on device security status | |
JP5864598B2 (en) | Method and system for providing service access to a user | |
US8272041B2 (en) | Firewall control via process interrogation | |
US7359338B2 (en) | Method and apparatus for transferring packets in network | |
US20050243730A1 (en) | Network administration | |
US20080201477A1 (en) | Client side replacement of DNS addresses | |
KR200427501Y1 (en) | Network security system based on each terminal connected to network | |
KR20070003409A (en) | A secure gateway system and method with internal network user authentication and packet control function | |
KR20230053129A (en) | A control method and the device for internet search engine using security interface | |
US20080022397A1 (en) | Systems and methods for managing network vulnerability | |
US7343621B2 (en) | Method and apparatus for providing iSCSI target stealth operation | |
KR20080002214A (en) | A control method and the device terminating the internet for security check engine | |
US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
TWI732708B (en) | Network security system and network security method based on multi-access edge computing | |
KR102628441B1 (en) | Apparatus and method for protecting network |