KR20230100745A - 제로 트러스트 엔드 포인트 네트워크 보안 장치 - Google Patents

제로 트러스트 엔드 포인트 네트워크 보안 장치 Download PDF

Info

Publication number
KR20230100745A
KR20230100745A KR1020237019586A KR20237019586A KR20230100745A KR 20230100745 A KR20230100745 A KR 20230100745A KR 1020237019586 A KR1020237019586 A KR 1020237019586A KR 20237019586 A KR20237019586 A KR 20237019586A KR 20230100745 A KR20230100745 A KR 20230100745A
Authority
KR
South Korea
Prior art keywords
ztens
data
communication channel
website
computing device
Prior art date
Application number
KR1020237019586A
Other languages
English (en)
Inventor
프레드릭 케이. 존스
Original Assignee
레이던 컴퍼니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레이던 컴퍼니 filed Critical 레이던 컴퍼니
Publication of KR20230100745A publication Critical patent/KR20230100745A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

여기에서는 제로 트러스트 엔드포인트 네트워크 보안을 위한 장치, 시스템 및 방법에 대해 설명한다. 방법은, ZTENS 장치에 의해, ZTENS 장치가 컴퓨트 장치에 통신적으로 결합되었음을 나타내는 제1 데이터를 제공하는 동작, ZTENS 장치에 의해, 컴퓨트 장치의 웹 애플리케이션을 통한 제1 통신 채널을 통해, 하나 이상의 URL을 제공하는 동작, ZTENS 장치에 의해, 제1 통신 채널을 통해, 웹 애플리케이션을 통한 컴퓨트 장치의 사용자에 의해 선택된 하나 이상의 URL의 URL을 나타내는 데이터를 수신하는 동작, ZTENS 장치에 의해, 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하는 동작, ZTENS 장치에 의해, 웹 사이트 데이터를 수신하고, 컴퓨트 장치에 웹 사이트 데이터를 제공하는 동작을 포함할 수 있다.

Description

제로 트러스트 엔드 포인트 네트워크 보안 장치
본 특허 출원은 2021년 1월 26일에 출원된 미국 출원 일련 번호 17/158,345에 대한 우선권을 주장하며, 이는 그 전체 내용이 참조로 여기에 포함된다.
본 명세서에서 논의된 실시예는, 네트워크 보안을 위한 장치, 시스템 및 방법에 관한 것이다. 네트워크 보안은 단일 또는 다중일 수 있지만, 제한적으로 사용할 수 있다.
외부 네트워크에 있는 대부분의 데이터는, 웹 브라우저, 웹 앱과 같은 웹 애플리케이션을 통해 액세스된다. 데이터를 요청하는 컴퓨트 장치에 대한 보안은, 컴퓨트 장치의 소프트웨어에 의해 제공된다. 일반적으로 소프트웨어는 컴퓨트 장치의 웹 애플리케이션, 운영 체제(OS) 또는 방화벽(firewall)의 일부(part)이다. 이 보안은 유연성이 제한되며, 컴퓨트 장치의 사용자가 제공된 보안을 담당한다(charge). 액세스 중인 데이터의 소유자는, 데이터가 데이터베이스를 떠난 후에는 보안을 컨트롤할 수 없다.
실시예 1은 제로 트러스트 엔드포인트 네트워크 보안(ZTENS)을 위한 컴퓨터-구현 방법을 포함할 수 있으며, 이 방법은, 컴퓨트 장치(compute device)에 통신적으로(communicatively) 결합된(coupled) ZTENS 장치에 의해, 유선 또는 무선 제1 통신 채널을 통해, 및 상기 컴퓨트 장치의 웹 애플리케이션을 통해, 상기 ZTENS 장치가 상기 컴퓨트 장치에 통신적으로 결합되었음을(communicatively coupled) 나타내는 제1 데이터를 제공하는 동작, 상기 ZTENS 장치에 의해, 및 상기 컴퓨트 장치의 웹 애플리케이션을 통한 상기 제1 통신 채널을 통해, 하나 이상의 URL(Uniform Resource Locator)을 제공하는 동작, 상기 ZTENS 장치에 의해, 및 상기 제1 통신 채널을 통해, 상기 웹 애플리케이션을 통한 상기 컴퓨트 장치의 사용자에 의해 선택된 상기 하나 이상의 URL의 URL을 나타내는 데이터를 수신하는 동작, 상기 ZTENS 장치에 의해, 및 상기 제1 통신 채널과는 서로 다른 유선 또는 무선 제2 통신 채널을 통해, 상기 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하는 동작, 및 상기 ZTENS 장치에 의해, 및 상기 제2 통신 채널을 통해, 상기 웹사이트 데이터를 수신하고, 상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하는 동작을 포함한다.
실시예 2에서, 실시예 1은 웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에, 상기 ZTENS 장치에 의해, 상기 사용자의 신원을 인증하는 동작을 더 포함할 수 있다.
실시예 3에서, 실시예 2는, 여기서 상기 사용자의 상기 신원을 인증하는 동작은, 상기 ZTENS 장치에 의해, 상기 ZTENS 장치의 사용자 인터페이스를 통해 상기 사용자로부터 개인 식별 번호(PIN) 또는 생체 스캔 데이터(biometric scan data)를 수신하는 동작을 포함하는 것을 더 포함할 수 있다.
실시예 4에서, 실시예 2 내지 3 중 적어도 하나는, 여기서 상기 사용자의 상기 신원을 인증하는 동작은, 상기 웹 애플리케이션을 통해 멀티-팩터 인증(multi-factor authentication)을 사용하는 동작을 포함하는 것을 더 포함할 수 있다.
실시예 5에서, 실시예 2 내지 4 중 적어도 하나는, 여기서 웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에, 악의적인(malicious) 행동(behavior) 또는 상기 데이터의 유출(exfiltration)에 대해 상기 컴퓨트 장치로부터의 데이터를 분석하는 동작을 더 포함할 수 있다.
실시예 6에서, 실시예 2 내지 5 중 적어도 하나는, 상기 ZTENS 장치에 의해, 상기 ZTENS 장치의 메모리에 있는 DNS(Domain Name Service) 데이터를 사용하여 상기 URL을 인터넷 프로토콜(IP) 주소로 변환하는 동작을 더 포함할 수 있다.
실시예 7에서, 실시예 2 내지 6 중 적어도 하나는, 웹사이트 데이터에 대한 상기 요청을 다수의 패킷(packet)으로 파싱하는(parsing) 동작 -상기 다수의 패킷은 웹사이트 데이터에 대한 상기 요청의 서로 다른 일부(portion)를 포함함-을 더 포함하고, 여기서 웹사이트 데이터에 대한 상기 요청을 통신하는 동작은, 상기 제2 통신 채널 및 제3 통신 채널을 포함하는 서로 다른 통신 채널을 통해 상기 다수의 패킷의 서로 다른 패킷을 통신하는 동작을 포함한다.
실시예 8에서, 실시예 7은, 여기서 상기 제2 통신 채널 및 상기 제3 통신 채널은, 셀룰러 데이터 통신 채널, 와이-파이 통신 채널 및 이더넷 통신 채널 중 서로 다른 채널들을 포함하는 것을 더 포함할 수 있다.
실시예 9에서, 실시예 8은, 여기서 상기 제1 통신 채널은, webUSB 또는 webBluetooth 통신 프로토콜을 사용하여 동작하는 USB 및 블루투스 중 하나를 포함하는 것을 더 포함할 수 있다.
실시예 10에서, 실시예 2 내지 9 중 적어도 하나는, 상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하는 동작 전에, 상기 ZTENS 장치에 의해, 상기 웹 사이트 데이터에 대한 악의적인 행동 및 데이터의 유출 분석(analysis)을 수행하는(performing) 동작을 더 포함할 수 있다.
실시예 11은, 기계에 의해 실행될 때 상기 기계로 하여금, 청구항 1 내지 10 중 적어도 하나의 방법을 수행하기 위한 동작을 수행하게 하는, 인스트럭션을 포함하는 비일시적 기계-판독가능 매체를 포함한다.
실시예 12는, 청구항 1 내지 10 중 적어도 하나의 방법을 수행하도록 구성된 시스템 또는 장치(apparatus)를 포함한다.
도 1은 제로 트러스트 엔드포인트 네트워크 보안(ZTENS) 장치를 포함하는 시스템의 실시예의 다이어그램을 예시적으로 도시한다.
도 2는 ZTENS를 위한 방법의 실시예의 다이어그램을 예로서 도시한다.
도 3은, 컴퓨터 시스템의 예시적인 형태의 기계 실시예의 블록 다이어그램을 예시적으로 도시한 것으로서, 본 명세서에서 논의되는 방법론(methodology) 중 어느 하나 이상을 기계가 수행하도록 하기 위한 인스트럭션들이 실행될 수 있다.
도 1은 제로 트러스트 엔드포인트 네트워크 보안(ZTENS) 장치(110)를 포함하는 시스템(100)의 실시예의 다이어그램을 예시적으로 도시한다. 도시된 바와 같이 시스템(100)은 사용자(102)에 의해 작동가능한(operable) 컴퓨트 장치(104)를 포함한다. 컴퓨트 디바이스(104)는 외부 네트워크(106)에 통신적으로(communicatively) 결합될 수 있다. 컴퓨트 장치(104)는 ZTENS 장치(110)에 통신적으로 결합될 수 있다. ZTENS 장치(110)는 네트워크(106)에 통신적으로 결합될 수 있다. 네트워크(106)는 웹 서버(108)에 통신적으로 결합된다.
사용자(102)는 사용자 인터페이스(112)를 통해 컴퓨트 장치(104)의 애플리케이션 또는 하드웨어의 기능(functionality)에 액세스할 수 있다. 사용자 인터페이스(112)는 예를 들어 웹 애플리케이션(118)을 통해 기능 또는 데이터에 대한 액세스를 사용자(102)에게 제공할 수 있다. 웹 애플리케이션(118)은 웹 브라우저, 웹 앱(예를 들어, 다른 네트워크 상의 데이터 또는 서비스에 액세스하는 모바일 앱 또는 기타 애플리케이션)을 포함할 수 있다. 웹 애플리케이션(118)은, 장치(100)의 운영 체제(OS)(114)에서 로컬로(locally) 실행(run)되는 컴퓨터-기반 소프트웨어 프로그램과 달리, 웹 서버(108)에서 실행되는 하드웨어 또는 소프트웨어의 기능에 액세스한다. 웹 기능 또는 하드웨어는 활성 인터넷 연결(ZTENS 장치(110)에 의해 제공됨)을 사용하여 웹 애플리케이션(118)을 통해 사용자(102)에 의해 액세스된다. 웹 기능은 클라이언트-서버 모델링 구조를 사용하여 프로그래밍되며, 사용자(102)("클라이언트")는 제3자에 의해 호스팅되는 오프-사이트 서버(웹 서버(108))를 통해 서비스를 제공받는다. 일반적으로 사용되는 웹 애플리케이션의 예로는: 웹-메일, 온라인 소매 판매, 온라인 뱅킹, 데이터 저장소 및 온라인 경매가 있다.
전형적으로, 사용자(102)가 웹 기능에 액세스하기를 원할 때, 사용자(102)는 URL(Uniform Resource Locator)을 웹 브라우저에 입력하거나 웹 애플리케이션(118)을 시작(launch)할 것이다. 그런 다음 웹 애플리케이션(118)은 운영 체제(OS)(114)를 통해 네트워크 인터페이스(116)의 기능에 액세스할 수 있다. OS(114)는 웹 애플리케이션(118)과 같은 애플리케이션에 컴퓨트 장치(104)의 하드웨어 기능에 대한 액세스를 제공한다. 네트워크 인터페이스(116)의 통신 회로(120)는 그러한 하드웨어의 예이다.
통신 회로(120)는 물리적 포트 또는 버스를 통해, 이더넷(예컨대, 이더넷 RJ45 등), 범용 직렬 버스(USB), 컨트롤러 영역 네트워크(CAN), 직렬 주변장치 인터페이스(SPI), 집적 회로(I2C), 범용 비동기 송/수신(UART), 파이어와이어 등과 같은 유선, 데이터 포트 프로토콜을 구현할 수 있다. 통신 회로(120)는, 추가적으로 또는 대안적으로, 송신기, 수신기 또는 트랜시버를 사용하여 블루투스®, 와이파이, 또는 롱텀에볼루션(LTE), 5세대(5G), 전기전자기술자협회(IEEE) 802.11) 등과 같은 셀룰러 데이터 통신 채널과 같은 무선 통신 프로토콜을 구현할 수 있다.
OS(114)는 URL에 대응하는 데이터에 대한 요청의 통신을 야기하는(cause) 명령(command)을 네트워크 인터페이스(116)에 발행(issue)할 수 있다. 네트워크(106)는 URL의 데이터를 검색하기(retrieve) 위해 웹 서버(108)와 통신할 수 있다. 웹 서버(108)는 네트워크(106)를 통해 컴퓨트 장치(104)에 URL에 대응하는 데이터를 반환할 수 있다. 사용자(102)는 웹 애플리케이션(118)을 통해 URL에 대응하는 데이터를 볼(view) 수 있다.
URL에 대응하는 데이터에 접근하는 이러한 과정에는 보안 위험이 내포되어 있다. 공격자(adversary)는 컴퓨트 장치(104)와 네트워크(106) 사이의 통신을 가로챌(intercept) 수 있다. 공격자는 네트워크(106)와 웹 서버(108) 사이의 통신을 가로챌 수 있다. 공격자는 가로채진(intercepted) 통신의 데이터를 변경할(alter) 수 있다. 변경된 데이터는 컴퓨트 장치(104), 네트워크(106) 또는 웹 서버(108) 중 하나 이상을 손상시킬(harm) 수 있다. 변경된 데이터는 URL을 인터넷 프로토콜(IP) 주소로 변환하는(conversion) 도메인 이름 서비스(DNS)를 스푸핑(spoof)하거나, DDOS(Distributed Denial of Service) 공격의 일부가 될 수 있으며, 크리덴셜 스터핑(credential stuffing) 등을 포함할 수 있다. OS(114) 및 웹 애플리케이션(118)은 이러한 취약성(vulnerabilities)을 완화하는(mitigate) 것을 돕도록 구성된 소프트웨어 또는 하드웨어를 포함할 수 있지만, 이러한 취약성의 완화를 위한 진정한 해결책은 현재 알려져 있지 않다. 일반적인 URL 데이터 액세스의 이러한 취약점은 ZTENS 장치(110)를 사용하여 완화될 수 있다.
도시된 ZTENS 장치(110)는 웹 USB/웹 블루투스® 애플리케이션(154)을 포함한다. WebUSB 및 WebBluetooth는, 웹 브라우저에서(웹 페이지를 통해) USB 또는 Bluetooth® 장치에 대한 액세스를 안전하게 제공하기 위한, 애플리케이션 프로그래밍 인터페이스(API) 표준(standard)이다. 예를 들어 WebUSB 표준은 Web Platform Incubator Community Group에 의해 공개(publish)되었다.
애플리케이션(154)은 사용자(102)가 컴퓨트 장치(104)를 통해 ZTENS 장치(110)에 통신적으로 연결할 때 시작할(launch) 수 있다. 애플리케이션(154)은 웹 브라우저(118)가 ZTENS 장치(110)의 홈페이지를 보여주게(show) 야기할(cause) 수 있다. ZTENS 장치(110)의 홈 페이지는 ZTENS 장치에서 사용 가능한 서비스를 나타낼(present) 수 있다. 사용자(102)는 이용 가능한 서비스를 선택하는 것과 같이, 웹 애플리케이션(118)을 통해 ZTENS 장치(110)와 상호 작용(interact)할 수 있다. 서비스는 ZTENS 장치(110)를 통해(예를 들어, ZTENS 장치를 통해서만) 액세스할 수 있는 웹사이트에 대한 URL을 포함할 수 있다.
ZTENS 장치(110)는 보안 회로(122), 통신 회로(124)(통신 회로(120)와 유사) 및 메모리(126)를 더 포함한다. 보안 회로(122)는 통신 가로채기, 스푸핑 또는 다른 공격의 가능성(likelihood)을 줄이는 데 도움이 되는 것과 같은, 침입 탐지(intrusion detection) 및/또는 방지(prevention)를 제공한다. 통신 회로(124)는 ZTENS 장치(110)에 유선 및/또는 무선 통신 기능을 제공한다. 통신 회로(124)는 컴퓨트 장치(104) 또는 네트워크(106)와 통신할 수 있다. 컴퓨트 장치(104)는 ZTENS 장치(110)를 통해 네트워크(106)와 통신할 수 있다.
OS(114), 웹 애플리케이션(118) 또는 컴퓨트 장치(104)의 다른 구성요소에 의해 제공되는 보안에 의존하는 대신에, 사용자(102)는 ZTENS 장치(110)를 사용하여 웹 보안을 향상시킬 수 있다.
애플리케이션(154)은 (통신 회로(124)를 통해) 웹 애플리케이션(118)이 하나 이상의 허용 가능한 URL(132)(또는 허용 가능한 URL(132)에 대한 링크)의 리스트를 제공하도록 할 수 있으며, 이 리스트는 선택되면, ZTENS 장치(110)를 통해 선택된 URL에 대응하는 웹사이트로 이동시킨다(navigate). ZTENS 장치(110)에 대한 통신은, 보안 회로(122)에 의해 보호될 수 있다.
도시된 보안 회로(122)는 지오-펜스 애플리케이션(138), 멀티-팩터(multi-factor) 인증 애플리케이션(140), 개인 식별 번호(PIN)(142), 암호화(144) 하드웨어 및/또는 소프트웨어, 생체 인식(146) 하드웨어 및/또는 소프트웨어, 전송 계층 보안(TLS)(150), 인증 기관(148) 및 난수 생성기(RNG)(152)를 포함한다. 보안 회로(122)는 일반적으로 ZTENS 장치(110)와의 통신을 위한 침입 탐지 및/또는 방지를 제공한다.
지오-펜스(138)는 GPS(global positioning system), 갈릴레오(Galileo), 또는 ZTENS 장치(110)의 위치를 결정하도록 구성된 다른 지리적 위치 회로를 포함할 수 있다. 지오-펜스(138)는 ZTENS 장치(110)의 기능이 액세스 가능한(accessible) 및/또는 액세스 불가능한(inaccessible) 위치를 정의하는 규칙을 포함할 수 있다. 지오-펜스(138)는 사용자(102)가 지정된 지리적 위치에서만 ZTENS 장치(110)를 사용하도록 강제할(force) 수 있다.
멀티-팩터 인증(140)은 사용자(102)가 여러 형태의 인증을 제공할 수 없는 한, ZTENS 장치(110)의 기능에 대한 액세스를 금지할(prohibit) 수 있다. 인증의 예로는 암호, PIN(예: PIN(142)), 생체 인식(예: 생체 인식(146)을 통한 지문, 홍채 또는 얼굴 스캔 등), 개인 전자 메일(이메일)로 전송되는 인증 코드, 전화 등이 있다.
PIN(142)은, 사용자(102)의 PIN이 입력될 수 있는 키패드(예를 들어, 터치 스크린 상의)와 같은 하드웨어 인터페이스를 포함할 수 있다. PIN(142) 입력(entry)은 사용자(102)가 ZTENS 장치(110)의 기능에 액세스할 수 있는 권한이 있는지 확인하는 데(ensure) 도움이 될 수 있다.
암호화(144)는 대칭(symmetric), 비대칭(asymmetric) 또는 다른 암호화 기술을 구현할 수 있다. 암호화(144)는 하드웨어 또는 소프트웨어 암호화 기술을 포함할 수 있다. 대칭 암호화는 일반적으로 비대칭 암호화보다 더 안전하고, 선호될 수 있다. 대칭 암호화에서는 싱글 키(single key)를 사용하여 데이터를 암호화(encrypt)하고 복호화(decrypt)한다. 비대칭 암호에서는 개인 키(private key)가 암호화에 사용되고 공개 키(public key)가 복호화에 사용된다. 공개 키를 기반으로 개인 키를 결정하는 것이 가능하므로, 비대칭 암호화의 안전성이 떨어진다. 대칭 암호화는 보안 RNG(152), 암호 또는 코드를 사용하여 구현할 수 있다. 대칭 암호화의 예로는 고급 암호화 표준(AES), 데이터 암호화 표준(DES), 국제 데이터 암호화 알고리즘(IDEA) 또는 Rivest 암호(RC)(예: RC4, RC5 또는 RC6)를 포함한다. SSL(Secure Socket Layer) 및 TLS(Transport Layer Security)(150)는, 비대칭 암호화 프로토콜을 구현하는 예시적인 프로토콜(HTTPS(Hypertext Transport Protocol Secure)에 의해 사용됨)이다. RSA(Rivest-Shamir-Adleman), Diffie-Helman, Elliptic-Curve Cryptography(ECC), El Gamal 및 DSA(Digital Signature Algorithm)는 비대칭 암호화 프로토콜의 예이다.
생체 인식(146) 하드웨어 및/또는 소프트웨어는 사용자(102)가 생체 인식 데이터를 제공하는, 사용자 인터페이스(160)를 통해 액세스될 수 있다. 생체 인식(146) 하드웨어 및/또는 소프트웨어는 사용자(102)의 홍채 스캔, 얼굴 스캔, 지문 스캔 등을 수행할 수 있다. 메모리(126)는 이전의 생체 인식 스캔으로부터 사용자(102)의 예상 생체 인식(156) 데이터를 포함할 수 있다. 생체 인식(146) 하드웨어 및/또는 소프트웨어는 인증된 사용자만 ZTENS 장치(110)의 기능에 액세스하도록 보장(guarantee)하는 데 도움이 되도록 사용될 수 있다.
인증 기관(148)은 암호화 키(cryptography key)(136)의 소유권을 인증하는 디지털 인증서를 발행한다. 인증 기관(148)은 암호화 키(136)의 소유권을 인증하기 위해, 허용 가능한 URL(132)에서 웹사이트를 호스팅하는 웹 서버(108)의 관리를 허용한다. 인증 기관(148)은 TLS/SSL(150)과 함께, 컴퓨트 장치(104)와 ZTENS 장치(110) 간의 HTTPS 통신을 가능하게 할 수 있다.
메모리(126)는 ZTENS 장치(110)를 통해 액세스할 수 있는 하나 이상의 웹사이트(URL 형태)의 허용 가능한 URL(132)을 포함할 수 있다. 허용 가능한 URL(132)은 평소보다 더 민감한 정보를 포함하는 웹사이트를 포함할 수 있다. 이러한 웹사이트의 예로는 개인 또는 비즈니스 뱅킹 웹사이트, 의료 기록 웹사이트, 유틸리티 서비스 웹사이트, 보험 웹사이트, 정부 웹사이트, 국세청(IRS) 세금 파일링(filing), 비밀 커뮤니케이션(covert communications) 등이 있다. ZTENS 장치(110)는 가상 사설망(VPN)을 대체할 수 있다. 메모리(126)는 컴퓨트 장치(104) 또는 ZTENS 장치(110)의 실제 IP 주소를 숨기기 위해 사용될 수 있는 프록시 데이터(158)를 포함할 수 있다.
DNS 데이터(134)는, 허용 가능한 URL(132)의 각 웹사이트에 대해, URL을 IP 주소와 관련시킬 수 있다. DNS 데이터(134)는 정상적인(normal) DNS 서버 액세스를 대신할 수 있으며, 따라서 이러한 정상적인 DNS 서버 액세스와 관련된 모든 취약성을 제거한다.
암호화 키(136)는 하나 이상의 대칭 또는 비대칭 암호화 키를 포함한다. 암호화 키(136)는 통신의 데이터를 암호화 또는 복호화하기 위해 암호화(144) 하드웨어 및/또는 소프트웨어에 의해 사용될 수 있다.
통신 회로(124)는 하나 이상의 서로 다른 통신 프로토콜(128, 130)을 구현한다. 통신 프로토콜은 통신 회로(120)에 관해 논의된(discussed) 프로토콜을 포함할 수 있다. 통신 회로(124)는 제1 통신 프로토콜(128)을 사용하여 컴퓨트 장치(104)와 통신하고, 제2 통신 프로토콜(130)을 사용하여 네트워크(106)와 통신하도록, 구성될 수 있다. 애플리케이션(154)은, 웹 애플리케이션(118)을 통해, 사용자(102)가 Bluetooth®, USB 또는 다른 통신 프로토콜을 통해 ZTENS 장치(110)와 상호 작용(interact)하도록 허용할 수 있다.
일부 실시예에서, 통신 회로(124)는 싱글 엔드포인트(endpoint)(예를 들어, 웹 서버(108))에 대한 통신을, 2개 이상의 분리된(disjoint) 패킷으로 파싱(parse)할 수 있다. 통신 회로(124)는 2개 이상의 각각의 통신 프로토콜을 사용하여, 다중 패킷의 분리된 패킷을 전송할 수 있다. 따라서, 통신 회로(124)는 와이-파이(WiFi), 이더넷, 또는 셀룰러 데이터 통신 채널(예를 들어, LTE, 5G 등)을 사용하는 통신의 제1 일부(portion) 및 와이-파이, 이더넷, 또는 셀룰러 데이터 통신 채널 중 서로 다른 것을 사용하는 통신의 제2, 다른 일부를 전송한다. 더 많은 일부와 더 많은 통신 프로토콜을 사용할 수 있다.
ZTENS 장치(110)는, 웹 서버(108)를 통해, 액세스 가능한 웹사이트의 호스트에 의해, 발행될 수 있다. 호스트는, ZTENS 장치(110)의 보안 조치(security measures)를 통과할 수 있는 사용자에게만, 웹 사이트에 대한 액세스를 제한할 수 있다. 이는 웹사이트의 호스트가 웹사이트에 액세스하는 데 필요한 보안을 관리하도록 허용(allow)한다. 일반적으로 사용자(102)는 웹 애플리케이션(118) 또는 OS(114)의 보안만으로 웹사이트에 액세스한다. 웹사이트에 액세스하기 위해 ZTENS 장치(110)의 프로토콜을 요구하는 것은, 웹사이트의 보안을 웹사이트 호스트의 손에 맡긴다.
임시(ephemeral) IPv6(또는 이와 유사한 것), 네트 조작(net maneuver), 포트 노킹(port knocking, 채널 호핑(channel hopping) 등 중 하나 이상을 구현함으로써, ZTENS 장치(110)에 의해 추가적인 보안이 제공될 수 있다. ZTENS 장치(110)는 물리적 보안 조치(예를 들어, 위조 증거(tamper evidence), 위조 방지(tamper resistance) 등)를 사용하는 추가 향상(further enhancement)을 포함할 수 있다. ZTENS 장치(110)는 PKI(Public Key Infrastructure) 카드, Yubikey 카드 등과 같은 CAC(Common Access Card)에 대한 교체(replacement)를 제공할 수 있다.
사용 시, 사용자(102)는 ZTENS 장치(110)를 컴퓨트 장치(110)에 연결할 수 있다. 사용자는 자신을 인증하고 ZTENS 장치(110)에 액세스하기 위해, PIN(142)을 사용하는 PIN, 생체인식(146) 하드웨어 및/또는 소프트웨어를 통한 생체인식 데이터, 사용자명(username), 비밀번호, 멀티-팩터 인증(140)을 사용하는 인증 코드, 또는 이들의 조합을 입력할 수 있다. 인증은 사용자(102)의 신원을 확인하는 과정이다. 인증을 통과하는 것은, 웹 애플리케이션(118)을 통해 사용자(102)가 ZTENS 장치(110)의 추가 기능에 액세스하도록 허용한다. 사용자(102)는 웹 애플리케이션(118)을 통해 ZTENS 장치(110)에 통신을 발행할 수 있다. 통신은 ZTENS 장치(110) 기능(예를 들어, 하드웨어, 소프트웨어 또는 이들의 조합)을 개시(initiate)할 수 있다. ZTENS 장치(110)는, 악의적인(malicious) 행동(behavior) 또는 데이터의 유출(exfiltration)을 탐지(detect)하는 것과 같이, 컴퓨트 장치(104)로부터 콘텐츠를 검사할(inspect) 수 있다. ZTENS 장치(110)는, (DNS 데이터(134)를 사용하여) IP 주소로의 URL 변환을 수행한 후와 같이, 통신 회로(124)를 사용하여 네트워크(106)와 거래할(transact) 수 있다. 네트워크(106) 또는 컴퓨트 장치(104)와의 통신은, TSL/SSL 프로토콜(150), 인증 기관(148) 등을 사용하여 보안될 수 있다. ZTENS 장치(110)는 네트워크(106)로부터 콘텐츠를 수신하고, (예를 들어, 순환 신경망(RNN) 등을 사용하여) 악의적인 행동 또는 데이터의 유출을 탐지할 수 있다. ZTENS 장치(110)는, 통신 회로(124)를 통해 웹 애플리케이션(118)에, (예를 들어, RNN에 의한) 검사를 통과한 콘텐츠를 제공할 수 있다. 그런 다음, 사용자(102)는 ZTENS 장치(110)를 통해 웹사이트의 콘텐츠에 액세스한다.
도 2는 ZTENS를 위한 방법(200)의 실시예의 다이어그램을 예로서 도시한다. 도시된 방법(200)은, 동작(202)에서, (컴퓨트 장치에 통신적으로 결합된 ZTENS 장치에 의해, 유선 또는 무선 제1 통신 채널을 통해, 및 컴퓨트 장치의 웹 애플리케이션을 통해) ZTENS 장치가 컴퓨트 장치에 통신적으로 결합되었음을 나타내는 제1 데이터를 제공하는 동작; 동작(204)에서, (ZTENS 장치에 의해, 컴퓨트 장치의 웹 애플리케이션을 통해 제1 통신 채널을 통해) 하나 이상의 URL(Uniform Resource Locator)을 제공하는 동작; 동작(206)에서, (ZTENS 장치에 의해, 및 제1 통신 채널을 통해) 웹 애플리케이션을 통해, 컴퓨트 장치의 사용자에 의해, 선택된 하나 이상의 URL의 URL을 나타내는 데이터를 수신하는 동작; 동작(208)에서, (ZTENS 장치에 의해, 및 유선 또는 무선 제2 통신 채널을 통해, 제1 통신 채널과는 서로 다른 제2 통신 채널을 통해) 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하는 동작; 및 (ZTENS 장치에 의해, 및 제2 통신 채널을 통해) 웹사이트 데이터를 수신하고, 컴퓨트 장치에 웹사이트 데이터를 제공하는 동작을 포함한다.
방법(200)은, 웹사이트 데이터에 대한 요청을 통신하는 동작 전에, ZTENS 장치에 의해, 사용자의 신원을 인증하는 동작을 더 포함할 수 있다. 방법(200)은, 여기서 사용자의 신원을 인증하는 동작은, ZTENS 장치에 의해, ZTENS 장치의 사용자 인터페이스를 통해, 사용자로부터 개인 식별 번호(PIN) 또는 생체 인식 스캔 데이터를 수신하는 동작을 더 포함할 수 있다. 방법(200)은, 여기서 사용자의 신원을 인증하는 동작은, 웹 애플리케이션을 통해 멀티-팩터 인증을 사용하는 동작을 더 포함할 수 있다.
방법(200)은, 웹사이트 데이터에 대한 요청을 통신하는 동작 전에, 악의적인 행동 또는 데이터의 유출에 대해 컴퓨트 장치로부터의 데이터를 분석하는 동작을 더 포함할 수 있다. 방법(200)은, ZTENS 장치에 의해, ZTENS 장치의 메모리에 있는 도메인 이름 서비스(DNS) 데이터를 사용하여 URL을 인터넷 프로토콜(IP) 주소로 변환하는 동작을 더 포함할 수 있다. 방법(200)은, 웹사이트 데이터에 대한 요청을 다수의 패킷(packet)으로 파싱하는(parsing) 동작 -다수의 패킷은 웹사이트 데이터에 대한 요청의 서로 다른 일부(portion)를 포함함-을 더 포함할 수 있고, 여기서 웹사이트 데이터에 대한 요청을 통신하는 동작은, 제2 통신 채널 및 제3 통신 채널을 포함하는 서로 다른 통신 채널을 통해 다수의 패킷의 서로 다른 패킷을 통신하는 동작을 포함한다.
방법(200)은, 셀룰러 데이터 통신 채널, 와이-파이 통신 채널 및 이더넷 통신 채널 중 서로 다른 통신 채널들을 포함하는 제2 및 제3 통신 채널을, 더 포함할 수 있다. 방법(200)은, webUSB 또는 webBluetooth 통신 프로토콜을 사용하여 동작하는 범용 직렬 버스(USB) 및 Bluetooth 중 하나를 포함하는 제1 통신 채널을, 더 포함할 수 있다. 방법(200)은, 컴퓨트 장치에 웹사이트 데이터를 제공하는 동작 전에, ZTENS 장치에 의해, 웹사이트 데이터에 대한 악의적인 행동 및 데이터의 유출 분석을 수행하는 동작을, 더 포함할 수 있다.
도 3은, 컴퓨터 시스템(300)의 예시적인 형태의 기계 실시예의 블록 다이어그램을 예시적으로 도시한 것으로서, 본 명세서에서 논의되는 방법론(methodology) 중 어느 하나 이상을 기계가 수행하도록 하기 위한 인스트럭션들이 실행될 수 있다. 네트워크 배치에서 기계는, 서버-클라이언트 네트워크 환경에서, 서버 또는 클라이언트 기계의 용량으로 작동하거나, 피어-투-피어(peer-to-peer)(또는 분산) 네트워크 환경의 피어 기계(peer machine)로 작동할 수 있다. 기계는 개인용 컴퓨터(PC), 태블릿 PC, 셋톱 박스(STB), 개인 휴대 정보 단말기(PDA), 휴대 전화, 웹 기기, 네트워크 라우터(network router), 스위치 또는 브리지(bridge), 또는 해당 기계에서 수행할 액션(action)을 지정하는(specify) 인스트럭션(순차적 또는 기타)을 실행할 수 있는 모든 기계일 수 있다. 또한 단일 기계만이 예시되어 있지만, "기계"라는 용어는 여기에서 논의된 방법론 중 하나 이상을 수행하기 위해, 개별적으로(individually) 또는 공동으로(jointly) 인스트럭션 세트(또는 여러 세트)를 실행하는 기계 집합(collection)을 포함하는 것으로 간주되어야 한다.
예시적인 컴퓨터 시스템(300)은, 버스(308)를 통해 서로 통신하는, 프로세서(302)(예를 들어, 중앙 처리 장치(CPU), 그래픽 처리 장치(GPU) 또는 둘 다), 메인 메모리(304) 및 스테틱 메모리(306)를 포함한다. 컴퓨터 시스템(300)은 비디오 디스플레이 유닛(310)(예를 들어, 액정 디스플레이(LCD) 또는 음극선관(CRT))을 더 포함할 수 있다. 컴퓨터 시스템(300)은 또한 영숫자 입력 장치(312)(예: 키보드), 사용자 인터페이스(UI) 내비게이션 장치(314)(예: 마우스), 대용량 저장 장치(316), 신호 발생 장치(318)(예: 스피커), 네트워크 인터페이스 장치(320) 및 Bluetooth, WWAN, WLAN 및 NFC와 같은 라디오(330)를 포함하여, 이러한 프로토콜에 대한 보안 컨트롤의 적용을 허용한다.
대용량 저장 유닛(316)은, 여기에서 설명된 방법론 또는 기능 중 임의의 하나 이상에 의해 구현되거나(embodying) 이용되는(utilized) 하나 이상의 인스트럭션 세트 및 데이터 구조(예를 들어, 소프트웨어)(324)가 저장되는, 기계-판독 가능 매체(machine-readable medium)(322)를 포함한다. 인스트럭션(324)은 또한 컴퓨터 시스템(300)에 의해 실행되는 동안, 메인 메모리(304) 및/또는 프로세서(302) 내에 완전히 또는 적어도 부분적으로 상주할(reside) 수 있으며, 메인 메모리(304) 및 프로세서(302)는 또한 기계-판독 가능 매체를 구성한다.
기계-판독 가능 매체(322)는 예시적인 실시예에서 단일 매체인 것으로 도시되어 있지만, "기계-판독 가능 매체"라는 용어는, 하나 이상의 인스트럭션 또는 데이터 구조를 저장하는 단일 매체 또는 다중 매체(예를 들어, 중앙 집중식(centralized) 또는 분산형(distributed 데이터베이스, 및/또는 관련 캐시 및 서버)를 포함할 수 있다. "기계-판독 가능 매체"라는 용어는 또한, 기계에 의한 실행을 위한 인스트럭션을 저장, 인코딩 또는 전달할 수 있는 모든 유형의(tangible) 매체를 포함하는 것으로 간주되고, 이는 기계로 하여금 본 발명의 방법론 중 임의의 하나 이상을 수행하게 하거나, 그러한 인스트럭션에 의해 이용되거나 이와 관련된 데이터 구조를 저장, 인코딩 또는 전달할 수 있게 한다. 따라서 "기계-판독 가능 매체"라는 용어는 솔리드-스테이트 메모리, 광학 및 자기 매체를 포함하지만 이에 제한되지 않는 것으로 간주된다. 기계-판독 가능 매체의 특정 예는, 예를 들어 반도체 메모리 장치 -예를 들어 EPROM(Erasable Programmable Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory) 및 플래시 메모리 장치-를 포함하는 비-휘발성 메모리; 내장 하드 디스크 및 이동식 디스크와 같은 자기 디스크; 광자기(magneto-optical) 디스크; 및 CD-ROM 및 DVD-ROM 디스크를 포함한다.
인스트럭션(324)은 또한 전송 매체를 사용하여 통신 네트워크(326)를 통해 전송되거나 수신될 수 있다. 인스트럭션(324)은 네트워크 인터페이스 장치(320) 및 여러 잘 알려진 전송 프로토콜(예를 들어, HTTP) 중 임의의 하나를 사용하여 전송될 수 있다. 통신 네트워크의 예는, LAN(Local Area Network), WAN(Wide Area Network), 인터넷, 이동 전화 네트워크, POTS(Plain Old Telephone) 네트워크 및 무선 데이터 네트워크(예: WiFi 및 WiMax 네트워크)를 포함한다. "전송 매체"라는 용어는, 기계에 의한 실행을 위한 인스트럭션을 저장, 인코딩 또는 전달할 수 있는 모든 무형 매체를 포함하는 것으로 간주되며, 디지털 또는 아날로그 통신 신호 또는 그러한 소프트웨어의 통신을 용이하게 하는 기타 무형 매체를 포함한다.
특정한 예시적인 실시예를 참조하여 실시예가 설명되었지만, 본 발명의 더 넓은 사상(spirit) 및 범위(scope)를 벗어나지 않고 이러한 실시예에 대한 다양한 수정 및 변경이 이루어질 수 있음은 명백할 것이다. 따라서 본 명세서 및 도면은 한정적인 의미가 아닌 예시적인 것으로 간주되어야 한다. 본 문서의 일부를 구성하는 첨부 도면은, 주제가 실행될 수 있는 특정한 실시예를 제한이 아닌 예시를 통해 보여준다. 예시된 실시예는, 당업자가 본 명세서에 개시된 교시(teaching)를 실시할 수 있도록 충분히 상세하게 설명된다. 본 개시의 범위를 벗어나지 않고, 구조적 및 논리적 대체 및 변경이 이루어질 수 있도록, 다른 실시예가 활용되고 그로부터 도출될 수 있다. 따라서, 이 상세한 설명은 제한적인 의미로 받아들여져서는 안 되며, 다양한 실시예의 범위는 첨부된 청구범위와 이러한 청구범위에 부여된 등가물(equivalent)의 전체 범위에 의해서만 정의된다.

Claims (20)

  1. 제로 트러스트 엔드포인트 네트워크 보안(ZTENS)을 위한 컴퓨터-구현 방법에 있어서:
    컴퓨트 장치(compute device)에 통신적으로(communicatively) 결합된(coupled) ZTENS 장치에 의해, 유선 또는 무선 제1 통신 채널을 통해, 및 상기 컴퓨트 장치의 웹 애플리케이션을 통해, 상기 ZTENS 장치가 상기 컴퓨트 장치에 통신적으로 결합되었음을(communicatively coupled) 나타내는 제1 데이터를 제공하는 동작;
    상기 ZTENS 장치에 의해, 및 상기 컴퓨트 장치의 웹 애플리케이션을 통한 상기 제1 통신 채널을 통해, 하나 이상의 URL(Uniform Resource Locator)을 제공하는 동작;
    상기 ZTENS 장치에 의해, 및 상기 제1 통신 채널을 통해, 상기 웹 애플리케이션을 통한 상기 컴퓨트 장치의 사용자에 의해 선택된 상기 하나 이상의 URL의 URL을 나타내는 데이터를 수신하는 동작;
    상기 ZTENS 장치에 의해, 및 상기 제1 통신 채널과는 서로 다른 유선 또는 무선 제2 통신 채널을 통해, 상기 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하는 동작; 및
    상기 ZTENS 장치에 의해, 및 상기 제2 통신 채널을 통해, 상기 웹사이트 데이터를 수신하고, 상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하는 동작
    을 포함하는,
    방법.
  2. 제1항에 있어서,
    웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에,
    상기 ZTENS 장치에 의해, 상기 사용자의 신원을 인증하는 동작
    을 더 포함하는,
    방법.
  3. 제2항에 있어서,
    상기 사용자의 상기 신원을 인증하는 동작은,
    상기 ZTENS 장치에 의해, 상기 ZTENS 장치의 사용자 인터페이스를 통해 상기 사용자로부터 개인 식별 번호(PIN) 또는 생체 스캔 데이터(biometric scan data)를 수신하는 동작
    을 포함하는,
    방법.
  4. 제2항에 있어서,
    상기 사용자의 상기 신원을 인증하는 동작은,
    상기 웹 애플리케이션을 통해 멀티-팩터 인증(multi-factor authentication)을 사용하는 동작
    을 포함하는,
    방법.
  5. 제2항에 있어서,
    웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에,
    악의적인(malicious) 행동(behavior) 또는 상기 데이터의 유출(exfiltration)에 대해 상기 컴퓨트 장치로부터의 데이터를 분석하는 동작
    을 더 포함하는,
    방법.
  6. 제2항에 있어서,
    상기 ZTENS 장치에 의해, 상기 ZTENS 장치의 메모리에 있는 DNS(Domain Name Service) 데이터를 사용하여 상기 URL을 인터넷 프로토콜(IP) 주소로 변환하는 동작
    을 더 포함하는,
    방법.
  7. 제2항에 있어서,
    웹사이트 데이터에 대한 상기 요청을 다수의 패킷(packet)으로 파싱하는(parsing) 동작 -상기 다수의 패킷은 웹사이트 데이터에 대한 상기 요청의 서로 다른 일부(portion)를 포함함-
    을 더 포함하고,
    웹사이트 데이터에 대한 상기 요청을 통신하는 동작은,
    상기 제2 통신 채널 및 제3 통신 채널을 포함하는 서로 다른 통신 채널을 통해 상기 다수의 패킷의 서로 다른 패킷을 통신하는 동작
    을 포함하는,
    방법.
  8. 제7항에 있어서,
    상기 제2 통신 채널 및 상기 제3 통신 채널은,
    셀룰러 데이터 통신 채널, 와이-파이 통신 채널 및 이더넷 통신 채널 중 서로 다른 채널들을 포함하는,
    방법.
  9. 제8항에 있어서,
    상기 제1 통신 채널은,
    webUSB 또는 webBluetooth 통신 프로토콜을 사용하여 동작하는 USB 및 블루투스 중 하나를 포함하는,
    방법.
  10. 제2항에 있어서,
    상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하는 동작 전에,
    상기 ZTENS 장치에 의해, 상기 웹 사이트 데이터에 대한 악의적인 행동 및 데이터의 유출 분석(analysis)을 수행하는(performing) 동작
    을 더 포함하는,
    방법.
  11. 제로 트러스트 엔드포인트 네트워크 보안(ZTENS) 장치에 의해 실행될 때, 상기 ZTENS 장치가 ZTENS에 대한 동작(operation)을 수행하게 하는 인스트럭션(instruction)을 포함하는 비일시적 기계-판독가능(machine-readable) 매체에 있어서:
    컴퓨트 장치에 통신적으로 결합된 상기 ZTENS 장치에 의해, 유선 또는 무선 제1 통신 채널을 통해, 상기 ZTENS 장치가 상기 컴퓨팅 장치에 통신적으로 결합되었음을 나타내는 제1 데이터를 제공하는 동작;
    상기 제1 통신 채널을 통해 및 상기 컴퓨트 장치의 웹 애플리케이션에, 하나 이상의 URL(Uniform Resource Locator)을 제공하는 동작;
    상기 제1 통신 채널을 통해, 상기 웹 애플리케이션을 통한 상기 컴퓨트 장치의 사용자에 의해 선택된 상기 하나 이상의 URL의 URL을 나타내는 데이터를 수신하는 동작;
    상기 제1 통신 채널과는 서로 다른 유선 또는 무선 제2 통신 채널을 통해, 상기 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하는 동작; 및
    상기 제2 통신 채널을 통해, 상기 웹사이트 데이터를 수신하고, 상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하는 동작
    을 포함하는,
    비일시적 기계-판독가능 매체.
  12. 제11항에 있어서,
    웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에,
    상기 사용자의 신원을 인증하는 동작
    을 더 포함하는,
    비일시적 기계-판독가능 매체.
  13. 제12항에 있어서,
    상기 사용자의 상기 신원을 인증하는 동작은,
    상기 ZTENS 장치에 의해, 상기 ZTENS 장치의 사용자 인터페이스를 통해 상기 사용자로부터 개인 식별 번호(PIN) 또는 생체 스캔 데이터를 수신하는 동작
    을 포함하는,
    비일시적 기계-판독가능 매체.
  14. 제12항에 있어서,
    상기 사용자의 상기 신원을 인증하는 동작은,
    상기 웹 애플리케이션을 통해 멀티-팩터 인증을 사용하는 동작
    을 포함하는,
    비일시적 기계-판독가능 매체.
  15. 제12항에 있어서,
    웹사이트 데이터에 대한 상기 요청을 통신하는 동작 전에,
    악의적인 행동 또는 상기 데이터의 유출에 대해 상기 컴퓨트 장치로부터의 데이터를 분석하는 동작
    을 더 포함하는,
    비일시적 기계-판독가능 매체.
  16. 제로 트러스트 엔드포인트 네트워크 보안(ZTENS)을 위한 시스템에 있어서:
    웹 애플리케이션을 포함하는 컴퓨트 장치; 및
    제1 및 제2 유선 또는 무선 통신 채널을 통해 및 상기 웹 애플리케이션을 통해, 컴퓨트 장치에 통신적으로 결합되는 ZTENS 장치
    를 포함하고,
    상기 ZTENS 장치는:
    상기 ZTENS 장치가 상기 컴퓨트 장치에 통신적으로 결합되었음을 나타내는 제1 데이터를 제공하고;
    웹 애플리케이션을 통한 상기 제1 통신 채널을 통해, 하나 이상의 URL(Uniform Resource Locator)을 제공하며;
    상기 제1 통신 채널을 통해, 상기 웹 애플리케이션을 통한 상기 컴퓨트 장치의 사용자에 의해 선택된 상기 하나 이상의 URL의 URL을 나타내는 데이터를 수신하고;
    상기 제2 통신 채널을 통해, 상기 선택된 URL과 관련된 웹사이트의 웹사이트 데이터에 대한 요청을 통신하고; 및
    상기 제2 통신 채널을 통해, 상기 웹사이트 데이터를 수신하고 상기 컴퓨트 장치에 상기 웹사이트 데이터를 제공하도록
    구성되는,
    시스템.
  17. 제16항에 있어서,
    상기 ZTENS 장치는,
    상기 ZTENS 장치의 메모리에 있는 DNS(Domain Name Service) 데이터를 사용하여 상기 URL을 인터넷 프로토콜(IP) 주소로 번역(translate)하도록
    더 구성되는,
    시스템.
  18. 제16항에 있어서,
    상기 ZTENS 장치는,
    웹사이트 데이터에 대한 상기 요청을 다수의 패킷 -상기 다수의 패킷은 웹사이트 데이터에 대한 상기 요청의 서로 다른 일부를 포함함- 으로 파싱(parse)하도록 더 구성되고,
    웹사이트 데이터에 대한 상기 요청을 전달하는 동작은,
    상기 제2 통신 채널 및 제3 통신 채널을 포함하는 서로 다른 통신 채널을 통해 상기 다수의 패킷의 서로 다른 패킷을 통신하는 동작
    을 포함하는,
    시스템.
  19. 제18항에 있어서,
    상기 제2 통신 채널 및 제3 통신 채널은,
    셀룰러 데이터 통신 채널, 와이-파이 통신 채널 및 이더넷 통신 채널 중 서로 다른 채널을 포함하는,
    시스템.
  20. 제19항에 있어서,
    상기 제1 통신 채널은,
    각각 webUSB 또는 webBluetooth 통신 프로토콜을 사용하여 동작하는 USB 및 블루투스 중 하나를 포함하는,
    시스템.
KR1020237019586A 2021-01-26 2022-01-24 제로 트러스트 엔드 포인트 네트워크 보안 장치 KR20230100745A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/158,345 US11848964B2 (en) 2021-01-26 2021-01-26 Zero trust end point network security device
US17/158,345 2021-01-26
PCT/US2022/013519 WO2022164751A1 (en) 2021-01-26 2022-01-24 Zero trust end point network security device

Publications (1)

Publication Number Publication Date
KR20230100745A true KR20230100745A (ko) 2023-07-05

Family

ID=80446896

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020237019586A KR20230100745A (ko) 2021-01-26 2022-01-24 제로 트러스트 엔드 포인트 네트워크 보안 장치

Country Status (5)

Country Link
US (1) US11848964B2 (ko)
EP (1) EP4285551A1 (ko)
JP (1) JP2024504719A (ko)
KR (1) KR20230100745A (ko)
WO (1) WO2022164751A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11848964B2 (en) 2021-01-26 2023-12-19 Raytheon Company Zero trust end point network security device

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039037B2 (en) * 2001-08-20 2006-05-02 Wang Jiwei R Method and apparatus for providing service selection, redirection and managing of subscriber access to multiple WAP (Wireless Application Protocol) gateways simultaneously
US20070294457A1 (en) 2006-06-16 2007-12-20 Alexander Gantman USB wireless network drive
US20080052245A1 (en) * 2006-08-23 2008-02-28 Richard Love Advanced multi-factor authentication methods
US20100250761A1 (en) 2009-03-26 2010-09-30 Dale Kyle Hird Method for streaming shared media files with USB connected wireless media device
US8973108B1 (en) * 2011-05-31 2015-03-03 Amazon Technologies, Inc. Use of metadata for computing resource access
US20140189799A1 (en) * 2012-12-28 2014-07-03 Gemalto Sa Multi-factor authorization for authorizing a third-party application to use a resource
US10491587B2 (en) * 2013-10-28 2019-11-26 Singou Technology Ltd. Method and device for information system access authentication
US9949127B1 (en) * 2014-04-21 2018-04-17 Google Llc Web-based wireless hotspot creation and management
US9602468B2 (en) * 2014-11-19 2017-03-21 Facebook, Inc. Techniques to authenticate a client to a proxy through a domain name server intermediary
US10009773B2 (en) * 2016-03-31 2018-06-26 Appbrilliance, Inc. Secured data access from a mobile device executing a native mobile application and a headless browser
US11411958B2 (en) 2019-01-18 2022-08-09 Cisco Technology, Inc. Machine learning-based application posture for zero trust networking
US11756097B2 (en) * 2021-01-05 2023-09-12 Walmart Apollo, Llc Methods and apparatus for automatically detecting data attacks using machine learning processes
US11848964B2 (en) 2021-01-26 2023-12-19 Raytheon Company Zero trust end point network security device

Also Published As

Publication number Publication date
JP2024504719A (ja) 2024-02-01
US20220239697A1 (en) 2022-07-28
EP4285551A1 (en) 2023-12-06
US11848964B2 (en) 2023-12-19
WO2022164751A1 (en) 2022-08-04

Similar Documents

Publication Publication Date Title
CN107666383B (zh) 基于https协议的报文处理方法以及装置
US9237168B2 (en) Transport layer security traffic control using service name identification
EP2632108B1 (en) Method and system for secure communication
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
CN109413201B (zh) Ssl通信方法、装置及存储介质
US20130061310A1 (en) Security server for cloud computing
US10834131B2 (en) Proactive transport layer security identity verification
US11297038B1 (en) Rotating internet protocol addresses in a virtual private network
US11489808B1 (en) Providing a split-configuration virtual private network
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
US11539670B1 (en) Providing substitute domain information in a virtual private network
US20230412568A1 (en) Header-based authentication in a virtual private network
KR20230100745A (ko) 제로 트러스트 엔드 포인트 네트워크 보안 장치
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
US11418504B1 (en) Optimized authentication mechanism
US11652800B1 (en) Secure connections between servers in a virtual private network
Azizul et al. Authentication and Authorization Design in Honeybee Computing