WO2014123347A1 - System for providing security network in company and method therefor - Google Patents

System for providing security network in company and method therefor Download PDF

Info

Publication number
WO2014123347A1
WO2014123347A1 PCT/KR2014/000968 KR2014000968W WO2014123347A1 WO 2014123347 A1 WO2014123347 A1 WO 2014123347A1 KR 2014000968 W KR2014000968 W KR 2014000968W WO 2014123347 A1 WO2014123347 A1 WO 2014123347A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
secure channel
network
server
gateway
Prior art date
Application number
PCT/KR2014/000968
Other languages
French (fr)
Korean (ko)
Inventor
김형정
배기덕
곽동원
김성배
Original Assignee
주식회사 엑스엔시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스엔시스템즈 filed Critical 주식회사 엑스엔시스템즈
Publication of WO2014123347A1 publication Critical patent/WO2014123347A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Definitions

  • the present invention relates to a system and a method for providing a security network in an enterprise, and more particularly, to provide a security network by forming a security channel between network devices (eg, a user terminal or a server) in an internal network in an enterprise.
  • the present invention relates to a system and a method for establishing a secure corporate internal network.
  • Such attempts have generally evolved to prevent intrusion from the external network to the internal network.
  • a predetermined secure channel eg, a virtual private network (VPN) channel.
  • VPN virtual private network
  • 1 is a view for explaining a method for protecting a conventional corporate internal network.
  • the external terminal 20 and the gateway 10 for the enterprise are provided.
  • Some security channels had to be established.
  • the secure channel (for example, a VPN channel) is formed between the VPN client and the gateway 10 installed in the external terminal 20 verified in advance. Therefore, only the verified or authenticated external terminal 20 could access the internal network 40 through the gateway 10.
  • the conventional method of using the secure channel has been mainly used for access control from the external network to the internal network, that is, it has been mainly used for providing security in the public network.
  • the actual communication in the internal network 40 did not pay much attention to security.
  • a network access control (NAC) solution for network access control of terminals existing in an internal network
  • a network separation solution for separating an external network from an internal network as necessary, and for blocking illegal Wi-Fi terminals, which are recently in question.
  • Various solutions such as the Wireless Intrusion Prevention System (WIPS), have to be installed separately for the stability of the internal network.
  • WIPS Wireless Intrusion Prevention System
  • a technical problem to be achieved by the present invention is to provide a system and method for performing communication between hosts in an enterprise through a secure channel through a gateway.
  • a system for providing a security network in an enterprise provides a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise.
  • a gateway server for establishing a first secure channel with the first terminal for communication between other devices in the internal network, and a manager for controlling the gateway server and the first terminal for setting the first secure channel. include a server.
  • the manager server generates an authentication unit for authenticating a user of the first terminal and channel setting information for the first secure channel when the user of the first terminal is authenticated and transmits the generated channel setting information to the first terminal and the gateway server. It may include a secure channel setting unit for.
  • the secure channel setting unit dynamically generates the channel setting information including at least one of a communication partner, an encryption algorithm, or an encryption key value of the first secure channel, and transmits the channel setting information to the first terminal and the gateway server. can do.
  • the secure channel setting unit is a gateway to form the first secure channel with the first terminal of the plurality of gateway devices based on a secure channel setting load of each of the plurality of gateway devices included in the gateway server. It may be characterized by selecting a device.
  • the manager server further includes an access control unit configured to set access right information for specifying information on the other device accessible through the first terminal, and the access control unit is configured to connect the gateway server to the first terminal.
  • the access authority information may be transmitted to control the gateway server to selectively allow the first terminal to access the other device so as to correspond to the access authority information.
  • the manager server further includes an application manager configured to set application management information for specifying information on an allowed application that can access the security network among applications installed in the first terminal, wherein the application manager comprises the application management information.
  • the application manager comprises the application management information.
  • the gateway server includes a secure channel forming unit for forming a secure channel with the first terminal under the control of the manager server, and the secure channel forming unit further forms an external secure channel with a predetermined external device existing in an external network. It may be characterized by.
  • the gateway server may include a firewall providing unit for providing a predetermined firewall between an external network and the internal network, an intrusion detection unit for detecting an intrusion into the internal network from the external network, or the external network or the internal network. It may further include at least one of the URL filtering unit for filtering the access URL of the.
  • the first terminal may include an agent system including a secure channel forming module for receiving channel setting information from the manager server and forming the first secure channel with the gateway server based on the received channel setting information. Can be.
  • the agent system further includes a control module for receiving predetermined application management information from the application manager, and controlling only an allowed application specified based on the received application management information to access the security network through the secure channel forming module. It may include.
  • the control module may transmit information about a blocked application to the manager server based on the application management information, or forcibly terminate the process of the blocked application.
  • the secure channel may be a VPN channel.
  • an enterprise security network providing method for providing a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise for solving the technical problem
  • the first terminal performs a user authentication through a manager server
  • the first terminal establishes a first secure channel with the gateway server according to an authentication result, and the first terminal is formed between the first secure channel, the gateway server, and another device connected to the secure network. Communicating with the other device via a second secure channel.
  • the method may further include receiving, by the first terminal, channel setting information for forming the first secure channel from the manager server if authentication is successful, based on the received channel setting information.
  • the first terminal may form the first secure channel with the gateway server.
  • the gateway server includes a plurality of gateway devices, and the forming of the first secure channel with the gateway server by the first terminal according to the authentication result may be performed in a secure channel configuration load of each of the plurality of gateway devices.
  • the predetermined gateway device selected based on the first terminal and the first terminal may include forming the first secure channel.
  • the communicating with the other device may be performed by communicating with the other device selectively permitted by the gateway server based on the access right information transmitted from the manager server to the gateway server.
  • the method for providing an enterprise security network may include receiving application management information for specifying information on an allowed application that can access the security network among applications installed in the first terminal by the first terminal; The method may further include controlling, by the first terminal, only the allowed application to selectively access the security network based on the received application management information.
  • the enterprise security network providing method may be stored in a computer-readable recording medium recording a program.
  • NAC network authentication
  • communication between internal hosts can also perform encrypted communication, thereby preventing attacks such as network mirroring in advance.
  • it can block illegal Wi-Fi networks through network mirroring, there is an effect of building a WIPS solution.
  • both internal and external networks can provide security through the same access method.
  • 1 is a view for explaining the approach to the internal network using a conventional security channel.
  • FIG. 2 schematically illustrates a system configuration for implementing a method for providing an enterprise security network according to an embodiment of the present invention.
  • FIG. 3 shows a schematic configuration of a manager server according to an embodiment of the present invention.
  • FIG. 4 shows a schematic configuration of a gateway server according to an embodiment of the present invention.
  • FIG. 5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.
  • FIG. 6 is a flowchart illustrating a data flow for explaining a method for providing a security network within an enterprise according to an embodiment of the present invention.
  • FIG. 7 is a diagram illustrating a data flow in which access control is performed according to a method for providing a security network within an enterprise according to an embodiment of the present invention.
  • the component when one component 'transmits' data to another component, the component may directly transmit the data to the other component, or through at least one other component. Means that the data may be transmitted to the other component.
  • FIG. 2 schematically illustrates a system configuration for implementing a method for providing an enterprise security network according to an embodiment of the present invention.
  • a manager server 100 and a gateway server 200 may be provided to implement a method for providing a security network within an enterprise according to an exemplary embodiment of the present invention.
  • an internal network and an external network in a predetermined company may be distinguished.
  • the internal network may be implemented as a physical network 40, and a plurality of hosts, that is, a plurality of terminals 300 and 310 may be connected through the physical network 40.
  • the plurality of hosts may include a predetermined wireless terminal 320.
  • a server farm including at least one server 410 or 420 may be connected to the physical network 40.
  • the manager server 100 may also be connected to a plurality of hosts and / or the gateway server 200 through the physical network 40.
  • the manager server 100 may implement the technical idea of the present invention by controlling the plurality of hosts connected to the gateway server 200 and the physical network 40.
  • Each of the plurality of hosts may be provided with a predetermined agent system for implementing the technical idea of the present invention.
  • the network devices included in the internal network are respectively secured with the gateway server 200 and the secure channel. It can form a communication with other devices included in the internal network through the secure channel. Therefore, the gateway server 200 may perform a role of relaying communication between two network devices existing in the internal network.
  • the manager server 100 may control the establishment of a secure channel between the gateway server 200 and a predetermined network device existing in the internal network.
  • the information necessary for forming the secure channel may be dynamically set, and the secure channel may be dynamically formed by transmitting the information to two devices participating in the secure channel.
  • the manager server 100 may control an object accessible through a secure network on a per user (per host) basis, and may also control an accessible application.
  • the security channel is indicated by a thick double-headed arrow. Since the security channel performs 1: 1 encrypted communication, there is an effect of establishing a security network (security network) even in an internal network of an enterprise.
  • the non-secure network communication may be performed using the physical network 40.
  • the first terminal 300 forms a first secure channel with the gateway server 200
  • the second The terminal 310 may also form a second secure channel with the gateway server 200. Then, the first terminal 300 and the second terminal 310 may be performed through the first secure channel and the second secure channel.
  • the secure channel formed by the first terminal 300 and the second terminal 310 with the gateway server 200 may be a virtual private network (VPN) channel.
  • the gateway server 200 may form a logical secure channel in the first terminal 300 and / or the second terminal 310 through VPN tunneling for forming the VPN channel.
  • the secure channel can perform encrypted communication between two network devices forming a secure channel, data leakage does not occur even if a packet is leaked or attacked by a physical device existing on the path of the secure channel. There is.
  • the Internet Key Exchange (IKE) authentication for encryption communication can be performed to provide a strong user authentication solution, which has the effect of introducing a NAC solution.
  • IKE Internet Key Exchange
  • the internal network may use only a security network to which the technical idea of the present invention is applied, but if the existing physical network is also allowed, the physical network operates as an insecure network and the solution according to the technical idea of the present invention Since it can be used as a security network that operates independently from the non-secure network, there is an effect of providing a degree of network redundancy solution. This may bring about network redundancy effect through user-specific application control and / or user-specific access authority control that can use the security network as described below. Of course, the security may be somewhat lower than that of the existing host or OS itself redundancy.
  • the hosts (terminals) existing in the internal network communicate with the gateway server 200 through a 1: 1 encryption channel, it is possible to block duplication of the wireless AP, that is, illegal Wi-Fi communication due to a network mirroring attack. It has an effect. This can also provide the effect of introducing existing WIPS solutions.
  • the access control of the application for each user and the access right control for each user can be performed, thereby introducing the next-generation firewall.
  • an external terminal 500 existing in a predetermined external network may also form a secure channel with the gateway server 200. Therefore, the external terminal 500 or the internal terminals 300, 310, and 320 may also be connected to the internal network through a unified communication scheme.
  • the external terminal 500 accesses the server group 400
  • only the external terminal communicates with the gateway server 200 through a secure channel and is connected to the internal network.
  • the communication between the gateway server 200 and the server group 400 also performs a secure network to the outside of a much more secure access environment There is an effect that can be provided.
  • Manager server 100 according to an embodiment of the present invention for implementing this technical idea may be implemented as shown in FIG.
  • FIG. 3 shows a schematic configuration of a manager server according to an embodiment of the present invention.
  • the manager server 100 includes an authentication unit 110 and a secure channel setting unit 120.
  • the manager server 100 may further include an access controller 130.
  • the manager server 100 may further include an application manager 140.
  • the manager server 100 may refer to a logical configuration having hardware resources and / or software necessary to implement the technical idea of the present invention, and necessarily means one physical component or one It does not mean a device. That is, the manager server 100 may mean a logical combination of hardware and / or software provided to implement the technical idea of the present invention. If necessary, the manager server 100 may be installed in devices spaced apart from each other to perform respective functions. As a result, it may be implemented as a set of logical configurations for implementing the technical idea of the present invention. In addition, the manager server 100 may refer to a set of components that are separately implemented for each function or role for implementing the technical idea of the present invention.
  • the term 'unit' or 'module' may refer to a functional and structural combination of hardware for performing the technical idea of the present invention and software for driving the hardware.
  • the ' ⁇ ' or ' ⁇ ' module may mean a logical unit of a predetermined code and a hardware resource for performing the predetermined code, and necessarily means a physically connected code, or It does not mean that kind of hardware can be easily deduced by the average expert in the art.
  • each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application manager 140 may be located on different physical devices, or on the same physical device. It may be located. In some implementations, the combination of software and / or hardware that constitutes each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application management unit 140. Also located in different physical devices, components located in different physical devices may be organically combined with each other to implement each of the modules.
  • the authentication unit 110 may authenticate a user of a first terminal (eg, 300) existing in an internal network in a predetermined company to which the technical idea of the present invention is applied.
  • the manager server 100 may further include a user DB (not shown).
  • the authentication of the user may be installed in the first terminal (eg, 300) and performed by a predetermined agent system and the authentication unit 110 to implement the technical idea of the present invention.
  • the agent system may allow a user to perform a login procedure when accessing a secure network provided by the technical idea of the present invention. Then, the authentication unit 110 may authenticate the user of the first terminal (eg, 300) based on the login information received from the agent system.
  • the first terminal When authentication is successful by the authenticator 110, the first terminal (eg, 300) may form a first secure channel (eg, a VPN channel) with the gateway server 200.
  • the formation of the first secure channel may be controlled by the secure channel setting unit 120.
  • the secure channel setting unit 120 generates channel setting information for forming the first secure channel, and transmits the channel setting information to the first terminal (eg, 300) and the gateway server 200, respectively. It is possible to control so that a secure channel is formed between the first terminal (eg, 300) 200 and the authentication is successful.
  • the formation of the first secure channel is not directly performed by communication between the gateway server 200 and the first terminal (eg, 300), but is dynamically controlled by the secure channel setting unit 120.
  • the first terminal (eg, 300) and / or the gateway server 200 are attacked, and thus parameters for forming the first secure channel, that is, channel setting information (eg, encryption key value, encryption algorithm, etc.) are leaked. There is an effect to reduce the risk of becoming.
  • channel setting information eg, encryption key value, encryption algorithm, etc.
  • the channel setting information may include at least one information to be defined for forming the first secure channel.
  • the channel setting information may include, for example, a counterpart device, an encryption algorithm, and / or an encryption key value (eg, a PSK key value, etc.) to communicate over a secure channel.
  • Some of the information included in the channel setting information may be fixed, and only a part of the information included in the channel setting information may be dynamically generated by the secure channel setting unit 120.
  • the generation of the channel setting information may be performed at any time before the first secure channel is formed.
  • the channel setting information transmitted to the first terminal (eg, 300) and the gateway server 200 may correspond to each other. That is, the first channel setting information transmitted to the first terminal (eg, 300) may specify the gateway server 200 as a counterpart device, and the second channel setting information transmitted to the gateway server 200 may be specified.
  • the first terminal (eg, 300) may be specified as a counterpart device.
  • the first channel setting information and the second channel setting information each include information on the same encryption algorithm, and the encryption key value preferably includes key values corresponding to each other.
  • the first terminal (eg, 300) and the gateway server 200 may authenticate each other through, for example, Internet Key Exchange (IKE) authentication of IPSec (Internet Protocol Security), and an encryption algorithm and a respective encryption algorithm for this purpose.
  • Encryption key values to be defined may be defined in the first channel configuration information and the second channel configuration information.
  • IKE authentication is used, authentication with each other through an encryption key is performed, and thus, it can be a powerful authentication tool for hosts (terminals) connected to the internal network.
  • the first channel setting information is transmitted to the first terminal (eg, 300) by the secure channel setting unit 120, and the second channel setting information is transmitted to the gateway server 200
  • the first channel setting information is transmitted to the gateway server 200.
  • the terminal (eg 300) and the gateway server 200 may perform VPN tunneling based on the information received from each other. And, the first secure channel can be formed.
  • each terminal eg, 300 to 320
  • a virtual (or logical) network is formed around the gateway server 200.
  • the network may be defined as a secure network in the present specification.
  • the gateway server 200 may not be implemented as any one server or device as described below, but may be implemented as a plurality of devices, that is, gateway devices. That is, the function of the gateway server 200 may be implemented by a plurality of gateway devices.
  • the communication performance of the entire security network may be determined according to which gateway device the first terminal (eg, 300) forms a secure channel with.
  • the secure channel setting unit 120 considers the load of each gateway device, that is, how many secure channels are currently formed, so that the load can be balanced among the plurality of gateway devices. You can select the gateway device.
  • the secure channel setting unit 120 may determine how many gateway devices are present. If the amount of traffic through the secure channel can be monitored as described below or if a secure channel is formed, the gateway device may be selected so that the total gateway devices may have similar loads as much as possible.
  • the hosts (terminals 300 to 320) existing in the internal network may form a secure channel with the gateway server 200, respectively.
  • communication between the first terminal (eg, 300) and the second terminal (eg, 310) may be performed by the first secure channel established by the first terminal (eg, 300) and the gateway server 200; It may be performed through a second secure channel formed by the second terminal (eg, 310) and the gateway server 200.
  • the gateway server 200 relays communication between the first terminal (eg, 300) and another device (eg, 310, 320, 400, etc.) with which the first terminal (eg, 300) will perform communication. Can play a role.
  • the gateway server 200 may relay access to all other devices requested by the first terminal (eg, 300), the gateway server 200 may access according to who the user of the first terminal (eg, 300) is. Control can also be performed. Such access control can be particularly useful in enterprise networks. Such access control may also be controlled by the manager server 100. In addition, the access control may be controlled by the access control unit 130 of the manager server 100.
  • the access control unit 130 may access information about a device accessible by the user, that is, the first terminal (eg, 300) may access.
  • Information about other devices can be specified.
  • the other device may be, for example, other hosts (for example, 310 to 320) existing in the internal network, or may be servers 410 and 420 included in the server group 400 existing in the internal network.
  • information about whether the external terminal 500 existing in the external network can be accessed through the gateway server 200 may be included.
  • Access right information Information about other devices that the user can access through the first terminal (eg, 300) may be specified by access right information.
  • the access control unit 130 may set access authority information for each user.
  • the access right information may vary according to the user's position or task.
  • the access right information may be a white list method, that is, a method of listing information on accessible devices, or a black list method, that is, a method of listing information on inaccessible devices. It may be.
  • the access control unit 130 receives access right information corresponding to the user from the gateway server 200 or the plurality of gateway devices. And (eg, 300) to the selected gateway device to form a secure channel. Then, when the gateway server 200 (or the selected gateway device) receives an access request from one of the devices (eg, 310, 320, 410, and 420) from the first terminal (eg, 300), Based on the access right information, the first terminal (eg, 300) may determine whether an access request is made to an accessible device, and selectively allow or disallow the access request according to a determination result.
  • the gateway server 200 (or the selected gateway device) to grant access to a predetermined other device in response to an access request from the first terminal (eg, 300), the other device and the gateway server 200 may be used.
  • the secure channel may need to be established.
  • each of the servers 410 and 420 and the gateway server 200 included in the server group 400 may have a secure channel formed at all times.
  • the servers 410 and 420 Separate authentication for or may not be performed.
  • the terminals (eg, 300 to 320) existing in the internal network may have a secure channel formed only after authentication is performed by the authenticator 110.
  • the first gateway device that forms the secure channel with the first terminal (eg, 300) and the second gateway device that forms the secure channel with the other device are different from each other, the first gateway device and the A security channel may also be formed between the second gateway devices.
  • the secure channel between the first gateway device and the second gateway device may also be controlled by the secure channel setting unit 120 of the manager server 100.
  • the manager server 100 may manage an application for each user. To this end, the manager server 100 may further include an application manager 140.
  • the application manager 140 may specify an application that can access the secure network, that is, an allowable application, for each user (by terminals (eg, 300 to 320)). That is, only the allowed application may control access to another device through a secure channel formed with the gateway server 200.
  • specifying the allowed application for each user means that the allowed application can be set differently for each user, but does not necessarily mean that the allowed application is different for every user.
  • the application manager 140 may access an allowed application that allows access to the secure network from the first terminal (eg, 300).
  • Application management information including information regarding the information may be transmitted to the first terminal (eg, 300).
  • the first terminal (eg, 300) may control an application connectable to the secure network based on the transmitted application management information. For example, when connected to the secure network, only allowed applications can be executed, otherwise applications can be blocked or the process of an application already running is forcibly terminated by the first terminal (eg, 300) or It may be killed. Alternatively, only an application that accesses another device through the secure network may be managed even if the secure network is connected. That is, the first terminal (eg, 300) may control so that only an allowed application may access another device through the secure network, and the first terminal (eg, 300) may be connected regardless of whether the secure network is connected. May be controlled by the application management information.
  • the application management information may also list up allowed applications in a whitelist manner, or may be implemented to list blocked applications in a blacklist manner.
  • the system for providing a security network in an enterprise by the manager server 100 performs encryption communication through a strong secure channel, while providing hosts (terminals (for example, 300 to 300 ⁇ ). 320)), control of user-specific access rights, and / or control of user-specific allowed applications. And this effect can provide the effect of building the NAC and next-generation firewall in the internal network of the enterprise as described above.
  • each terminal eg, 300 to 320
  • the internal network includes the secure network and the existing physical network 40 as described above. In the case of allowing communication through), there may be some effect of realizing network redundancy solution.
  • FIG. 1 the configuration of the gateway server 200 for implementing the technical spirit of the present invention as described above is shown in FIG.
  • the configuration of the terminal included in the internal network is shown in FIG.
  • FIG. 4 shows a schematic configuration of a gateway server according to an embodiment of the present invention.
  • 5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.
  • the gateway server 200 may form a plurality of gateway devices (eg, 210) to form a large number of secure channels and perform communication through the secure channel. , 220).
  • Each of the gateway devices may include a secure channel forming unit 211.
  • the secure channel forming unit 211 may form a secure channel with a predetermined first terminal (eg, 300) under the control of the secure channel setting unit 120 of the manager server 100.
  • the secure channel forming unit 211 may allow access only to other devices accessible to each terminal (eg, 300 to 320), that is, for each user.
  • the access right information may be received from the secure channel setting unit 120 for each user (by terminals (eg, 300 to 320)), and the access right may be controlled to correspond to the received access right information.
  • the secure channel forming unit 211 may form a secure channel with an external terminal 500 located in an external network.
  • access control of the external terminal 500 may be controlled in advance or in real time by receiving control from the secure channel setting unit 120.
  • the secure channel forming unit 211 may relay the communication between two devices (for example, 300 and 310) to which the access right is allowed, so that the two devices may communicate through different secure channels through themselves.
  • the secure channel forming unit 211 may use another gateway device ( For example, the secure channel forming unit included in 220 and the secure channel may be formed. In this case, the two devices (eg, 300 and 310) may communicate with each other through three different secure channels.
  • each of the gateway devices 210 and 220 may be implemented by Unified Threat Management (UTM). Therefore, not only a barrier function for protecting the internal network from the outside that the original gateway should perform, but also an intrusion prevention system (IPS, Intrusion Prevention System), URL filtering, and the like may be further performed.
  • IPS intrusion prevention system
  • URL filtering URL filtering
  • Each of the components for performing these functions, that is, the firewall providing unit 212, the intrusion detecting unit 213, and the URL filtering unit 214 may be further included in the respective gateway devices 210 and 220.
  • the configuration for the DDos detection function, the configuration for spam processing may be further included in each of the gateway devices (210, 220).
  • Components for example, 212 to 214, etc.
  • included in the gateway devices 210 and 220 except for the secure channel forming unit 211 are well known, so detailed description thereof will be omitted.
  • each of the terminals (eg, 300 to 320) included in the internal network may be provided with a predetermined agent system for implementing the technical idea of the present invention.
  • the agent system may be installed in the first terminal 300 as an example of the first terminal 300.
  • the agent system may refer to a system in which software installed in the first terminal 300 and hardware of the first terminal 300 are organically combined to implement the technical idea of the present invention.
  • the agent system may include a secure channel forming module 310.
  • the secure channel forming module 310 may form a secure channel with the secure channel forming unit 211 included in the gateway server 200 as described above.
  • the secure channel forming unit 211 and the secure channel forming module 310 may form a secure channel under the control of the secure channel setting unit 120 included in the manager server 100.
  • the secure channel forming unit 211 and the secure channel forming module 310 may communicate with each other to perform VPN tunneling and form a VPN channel.
  • agent system may further include a control module 320.
  • the control module 320 may perform a function of managing an allowed application under the control of the application manager 140 included in the manager server 100.
  • the control module 320 may control only an allowed application to access the secure network. According to an embodiment of the present disclosure, when the first terminal 300 is connected to the secure network, only the allowed application may be executed.
  • control module 320 transmits the amount of traffic, the usage time, the name of the application, and the like, through which the allowed application communicates through the secure network, to the application manager 140 so that the manager server 100 transmits the network of the secure network. Monitoring can also be performed. In addition, by transmitting the information (log information of the blocking application name, execution location, usage time, etc.) of the application blocked by the control module 320 to the manager server 100, the manager server 100 is You can also perform overall monitoring and management of applications that are requested to run on a secure network.
  • FIG. 6 is a flowchart illustrating a data flow for explaining a method for providing a security network within an enterprise according to an embodiment of the present invention.
  • a predetermined first terminal 300 existing in an internal network of an enterprise may request authentication from the manager server 100 (S100). Then, the manager server 100 may perform authentication (S110). Authentication result If the authentication is successful, the manager server 100 may select the gateway device for the first terminal 300 to form a secure channel in consideration of the load between the plurality of gateway devices (S120). Then, the manager server 100 dynamically generates channel setting information to be transmitted to the selected gateway device and the first terminal 300 (S130), and generates the generated channel setting information of the first terminal 300 and the selected terminal. It may transmit to the gateway device (or gateway server 200) (S140, S150).
  • the first terminal 300 and the selected gateway device (or gateway server 200), which have received the channel setting information, respectively, may form a secure channel based on the received channel setting information (S160).
  • FIG. 7 is a diagram illustrating a data flow in which access control is performed according to a method for providing a security network within an enterprise according to an embodiment of the present invention.
  • the manager server 100 may generate access right information corresponding to the first terminal 300 (S200).
  • another device that the gateway server 200 and the first terminal 300 communicate with may also be in a state in which a predetermined security channel is formed in a manner as shown in FIG. 6 (S200-1).
  • the manager server 100 may transmit the generated access right information to the gateway server 200 (or the selected gateway device) (S210).
  • the first terminal 300 is connected to the gateway server ( 200 (or the selected gateway device) may request an access to the other device (S230). Then, the gateway server 200 (or the selected gateway device) determines whether or not the first terminal 300 has permission to access the other device based on the access right information received in step S210. It may be determined whether the first terminal 300 is allowed to access the other device (S240). If it is determined that the determination is permitted, the gateway server 200 relays the communication between the first terminal 300 and the other device, and as a result, a secure channel is formed between the first terminal 300 and the other device. It may bring an effect (S250).
  • the method for providing a security network in an enterprise may be implemented as computer readable codes on a computer readable recording medium.
  • Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, optical data storage, and the like, and also in the form of carrier waves (e.g., transmission over the Internet). It also includes implementations.
  • the computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. And functional programs, codes and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.

Abstract

A system for providing a security network in a company and a method therefor are disclosed. The system for providing a security network in a company provides a plurality of terminals including a first terminal connected to an intranet in a company and provides: a gateway server for forming the first terminal and a first security channel for communication between the first terminal and another device present in the intranet; and a manager server for controlling the gateway server and the first terminal for configuring the first security channel.

Description

기업내 보안망 제공시스템 및 그 방법In-house security network providing system and method
본 발명은 기업 내 보안망 제공시스템 및 그 방법에 관한 것으로, 보다 상세하게는 기업내의 내부망에서도 네트워크 장치들(예컨대, 사용자 단말기 또는 서버 등)간의 보안채널을 형성하여 보안망을 제공할 수 있도록 함으로써 안전한 기업 내부망을 구축할 수 있는 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and a method for providing a security network in an enterprise, and more particularly, to provide a security network by forming a security channel between network devices (eg, a user terminal or a server) in an internal network in an enterprise. The present invention relates to a system and a method for establishing a secure corporate internal network.
기업 내부의 통신망 즉, 내부망의 보안성을 유지하기 위한 다양한 시도가 있어왔다. Various attempts have been made to maintain the security of internal communication networks, that is, internal networks.
이러한 시도는 일반적으로 외부망에서 내부망으로의 침입을 방지하는 방향으로 주로 발전해왔다. 예컨대, 기업 외부의 단말기에서 내부망에 접속하기 위해서는 소정의 보안채널(예컨대, VPN(Virtual Private Network) 채널 등)을 통하여야 하는 방식 등이 그러하다.Such attempts have generally evolved to prevent intrusion from the external network to the internal network. For example, in order to access the internal network from a terminal outside the enterprise, such a method must be performed through a predetermined secure channel (eg, a virtual private network (VPN) channel).
도 1은 종래의 기업 내부망을 보호하기 위한 방식을 설명하기 위한 도면이다.1 is a view for explaining a method for protecting a conventional corporate internal network.
도 1을 참조하면, 종래의 방식은 기업의 외부에 존재하는 소정의 외부 단말기(20)가 기업의 내부망(40)에 접속하기 위해서는 상기 외부 단말기(20)와 상기 기업을 위한 게이트웨이(10) 간에 소정의 보안채널을 형성하여야 했다. 그리고 이러한 보안채널(예컨대, VPN 채널)은 미리 검증된 외부 단말기(20)에 설치된 VPN 클라이언트와 상기 게이트웨이(10) 간에 형성되었다. 따라서, 검증 또는 인증된 외부 단말기(20)만이 상기 게이트웨이(10)를 통해 상기 내부망(40)에 접근할 수 있었다. Referring to FIG. 1, in the conventional method, in order for a predetermined external terminal 20 existing outside of an enterprise to access the internal network 40 of the enterprise, the external terminal 20 and the gateway 10 for the enterprise are provided. Some security channels had to be established. The secure channel (for example, a VPN channel) is formed between the VPN client and the gateway 10 installed in the external terminal 20 verified in advance. Therefore, only the verified or authenticated external terminal 20 could access the internal network 40 through the gateway 10.
하지만, 이러한 종래의 보안채널의 활용방식은 주로 외부망에서 내부망으로의 접근제어를 위해 사용되었을 뿐, 즉, 공개된 네트워크에서의 보안성 부여를 위해 주로 사용되어 왔을 뿐이다. 그리고 실제 내부망(40) 안에서의 통신은 크게 보안성에 신경을 쓰지 않고 있었다. However, the conventional method of using the secure channel has been mainly used for access control from the external network to the internal network, that is, it has been mainly used for providing security in the public network. And the actual communication in the internal network 40 did not pay much attention to security.
하지만, 최근의 내부망 자체에 대한 보안성 확보 필요가 급증하면서, 외부망과는 별도로 내부망을 위한 다양한 보안 솔루션들이 필요하게 되었다. 예컨대, 내부망에 존재하는 단말기들의 네트워크 접근 제어를 위한 NAC(Network Acess Control) 솔루션, 필요에 따라 외부망과 내부망을 분리하기 위한 망 분리 솔루션, 최근에 문제시되고 있는 불법 와이파이 단말기의 차단을 위한 WIPS(Wireless Intrusion Prevention System) 등 다양한 솔루션들이 모두 별도로 내부망의 안정성을 위해 설치되어야 하는 추세이다.However, as the need for securing the security of the internal network has recently increased, various security solutions for the internal network are needed separately from the external network. For example, a network access control (NAC) solution for network access control of terminals existing in an internal network, a network separation solution for separating an external network from an internal network as necessary, and for blocking illegal Wi-Fi terminals, which are recently in question. Various solutions, such as the Wireless Intrusion Prevention System (WIPS), have to be installed separately for the stability of the internal network.
따라서, 내부망 자체만을 위해서도 이처럼 다양한 보안 솔루션들이 존재하는데, 이러한 솔루션들을 모두 채용하여 개별적으로 구축하는데에 상당한 비용이 소모되는 문제점이 있다.Therefore, such various security solutions exist only for the internal network itself, and there is a problem in that a considerable cost is required to employ all of these solutions and build them individually.
또한, 개별적으로 다양한 솔루션들이 구축된다고 하더라도 각각의 솔루션들은 취약점이 존재한다. 예컨대, NAC의 경우 인증이 된 내부 호스트들에 대해서는 통제가 힘들다는 문제점이 있고, 망분리 솔루션의 경우 호스트 자체(또는 단말기 자체)의 이중화 또는 각 호스트마다 OS의 이중화를 해야하는 막대한 비용의 문제점이 있으며, WIPS의 경우에는 불법 AP(Access Point)의 탐지를 위해 계속 기업 내부에서 유통되는 무선신호를 모니터링하여야 하는 버든(burden)이 존재한다.In addition, even if a variety of solutions are individually implemented, each solution is vulnerable. For example, in the case of NAC, there is a problem that it is difficult to control the authenticated internal hosts, and in the case of a network separation solution, there is a problem of excessive cost of redundancy of the host itself (or the terminal itself) or OS duplication for each host. In the case of WIPS, there is a burden of continuously monitoring wireless signals distributed inside the enterprise to detect illegal access points (APs).
따라서, 내부망에 대한 보안성을 제공하면서도 개별적으로 구축되어야 하는 다양한 솔루션들을 통합하여 제공할 수 있으며, 내부망 및 외부망에 대해 동일한 방식의 접근제어를 수행할 수 있는 효과적인 기업 내부망을 위한 보안 솔루션이 절실히 요구된다.Therefore, while providing security for the internal network, it is possible to integrate and provide various solutions that must be built separately, and security for an effective corporate internal network that can perform the same type of access control for the internal and external networks. The solution is desperately needed.
따라서, 본 발명이 이루고자 하는 기술적인 과제는 기업 내부의 호스트들간의 통신을 게이트웨이를 매개로 하는 보안채널을 통해 수행할 수 있는 시스템 및 그 방법을 제공하는 것이다.Accordingly, a technical problem to be achieved by the present invention is to provide a system and method for performing communication between hosts in an enterprise through a secure channel through a gateway.
또한, 동적으로 호스트와 게이트웨이 사이의 보안채널을 설정함으로써 보안 채널의 형성에도 안정성을 제공할 수 있는 시스템 및 그 방법을 제공하는 것이다.In addition, by providing a secure channel between the host and the gateway dynamically to provide a system and method that can provide stability even in the formation of a secure channel.
또한, 보안채널을 통해 보안성이 높은 보안 망(secure network)를 제공하면서도 호스트의 내부망에서의 접근권한의 제어 및/또는 애플리케이션별 접근제어가 가능할 수 있는 시스템 및 그 방법을 제공하는 것이다.In addition, while providing a highly secure network (secure network) through a secure channel to provide a system and method that can control the access rights and / or application-specific access control in the host's internal network.
상기의 기술적 과제를 해결하기 위한 본 발명의 기술적 사상에 따른 기업 내 보안망 제공시스템은 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하며, 상기 제1단말기와 상기 내부 망에 존재하는 타장치 간의 통신을 위해 상기 제1단말기와 제1보안 채널을 형성하기 위한 게이트웨이 서버 및 상기 제1보안 채널의 설정을 위해 상기 게이트웨이 서버 및 상기 제1단말기를 제어하기 위한 매니저 서버를 포함한다.In order to solve the above technical problem, a system for providing a security network in an enterprise according to the present invention provides a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise. A gateway server for establishing a first secure channel with the first terminal for communication between other devices in the internal network, and a manager for controlling the gateway server and the first terminal for setting the first secure channel. Include a server.
상기 매니저 서버는 상기 제1단말기의 사용자를 인증하기 위한 인증부 및 상기 제1단말기의 사용자가 인증된 경우 상기 제1보안 채널을 위한 채널 설정 정보를 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하기 위한 보안채널 설정부를 포함할 수 있다.The manager server generates an authentication unit for authenticating a user of the first terminal and channel setting information for the first secure channel when the user of the first terminal is authenticated and transmits the generated channel setting information to the first terminal and the gateway server. It may include a secure channel setting unit for.
상기 보안채널 설정부는 상기 제1보안 채널의 통신상대, 암호화알고리즘, 또는 암호화 키 값 중 적어도 하나를 포함하는 상기 채널 설정정보를 동적으로 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하는 것을 특징으로 할 수 있다.The secure channel setting unit dynamically generates the channel setting information including at least one of a communication partner, an encryption algorithm, or an encryption key value of the first secure channel, and transmits the channel setting information to the first terminal and the gateway server. can do.
상기 보안채널 설정부는 상기 게이트웨이 서버에 포함된 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여, 상기 복수의 게이트웨이 장치들 중 상기 제1단말기와 상기 제1보안 채널을 형성할 게이트웨이 장치를 선택하는 것을 특징으로 할 수 있다.The secure channel setting unit is a gateway to form the first secure channel with the first terminal of the plurality of gateway devices based on a secure channel setting load of each of the plurality of gateway devices included in the gateway server. It may be characterized by selecting a device.
상기 매니저 서버는 상기 제1단말기를 통해 접근할 수 있는 상기 타장치에 대한 정보를 특정하기 위한 접근권한 정보를 설정하는 접근제어부를 더 포함하며, 상기 접근제어부는 상기 게이트웨이 서버로 상기 제1단말기에 상응하는 상기 접근권한 정보를 전송하여, 상기 게이트웨이 서버가 상기 제1단말기가 상기 접근권한정보에 상응하도록 상기 타장치로의 접근을 선택적으로 허용하도록 제어하는 것을 특징으로 할 수 있다.The manager server further includes an access control unit configured to set access right information for specifying information on the other device accessible through the first terminal, and the access control unit is configured to connect the gateway server to the first terminal. The access authority information may be transmitted to control the gateway server to selectively allow the first terminal to access the other device so as to correspond to the access authority information.
상기 매니저 서버는 상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 설정하는 애플리케이션 관리부를 더 포함하며, 상기 애플리케이션 관리부는 상기 애플리케이션 관리정보를 상기 제1단말기로 전송하여, 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 것을 특징으로 할 수 있다.The manager server further includes an application manager configured to set application management information for specifying information on an allowed application that can access the security network among applications installed in the first terminal, wherein the application manager comprises the application management information. By transmitting to the first terminal, it can be characterized in that the first terminal controls to allow only the allowed application selectively access to the security network.
상기 게이트웨이 서버는 상기 매니저 서버의 제어하에 상기 제1단말기와 보안 채널을 형성하기 위한 보안 채널 형성부를 포함하며, 상기 보안 채널 형성부는 외부망에 존재하는 소정의 외부장치와 외부 보안 채널을 더 형성하는 것을 특징으로 할 수 있다.The gateway server includes a secure channel forming unit for forming a secure channel with the first terminal under the control of the manager server, and the secure channel forming unit further forms an external secure channel with a predetermined external device existing in an external network. It may be characterized by.
상기 게이트웨이 서버는 외부망과 상기 내부망 사이에 소정의 방화벽을 제공하기 위한 방화벽 제공부, 상기 외부망으로부터 상기 내부망으로의 침입을 탐지하기 위한 침입탐지부, 또는 상기 외부망 또는 상기 내부망으로의 접근 URL을 필터링하기 위한 URL 필터링부 중 적어도 하나를 더 포함할 수 있다.The gateway server may include a firewall providing unit for providing a predetermined firewall between an external network and the internal network, an intrusion detection unit for detecting an intrusion into the internal network from the external network, or the external network or the internal network. It may further include at least one of the URL filtering unit for filtering the access URL of the.
상기 제1단말기는 상기 매니저 서버로부터 채널 설정정보를 수신하고, 수신된 상기 채널 설정정보에 기초하여 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하기 위한 보안 채널 형성모듈을 포함하는 에이전트 시스템을 포함할 수 있다.The first terminal may include an agent system including a secure channel forming module for receiving channel setting information from the manager server and forming the first secure channel with the gateway server based on the received channel setting information. Can be.
상기 에이전트 시스템은 상기 애플리케이션 관리부로부터 소정의 애플리케이션 관리정보를 수신하고, 수신된 애플리케이션 관리정보에 기초하여 특정되는 허용 애플리케이션만이 상기 보안 채널 형성모듈을 통해 상기 보안망에 접속하도록 제어하는 제어모듈을 더 포함할 수 있다.The agent system further includes a control module for receiving predetermined application management information from the application manager, and controlling only an allowed application specified based on the received application management information to access the security network through the secure channel forming module. It may include.
상기 제어모듈은 상기 애플리케이션 관리정보에 기초하여 차단되는 차단 애플리케이션에 대한 정보를 상기 매니저 서버로 전송하거나, 상기 차단 애플리케이션의 프로세스를 강제종료 하는 것을 특징으로 할 수 있다.The control module may transmit information about a blocked application to the manager server based on the application management information, or forcibly terminate the process of the blocked application.
상기 보안채널은 VPN 채널인 것을 특징으로 할 수 있다.The secure channel may be a VPN channel.
상기 기술적 과제를 해결하기 위한 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공방법은 상기 제1단말기가 매니저 서버를 통해 사용자 인증을 수행하는 단계, 인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계, 및 상기 제1단말기가 상기 제1보안 채널과 상기 게이트웨이 서버와 상기 보안망에 접속된 타장치 간에 형성된 제2보안 채널을 통해 상기 타장치와 통신을 수행하는 단계를 포함한다.In an enterprise security network providing method for providing a security network to a plurality of terminals including a first terminal connected to an internal network in an enterprise for solving the technical problem, the first terminal performs a user authentication through a manager server The first terminal establishes a first secure channel with the gateway server according to an authentication result, and the first terminal is formed between the first secure channel, the gateway server, and another device connected to the secure network. Communicating with the other device via a second secure channel.
상기 기업 내 보안망 제공방법은 인증이 성공되면 상기 제1단말기가 상기 매니저 서버로부터 상기 제1보안 채널을 형성하기 위한 채널 설정정보를 수신하는 단계를 더 포함하며, 수신된 상기 채널 설정정보에 기초하여 상기 제1단말기가 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하는 것을 특징으로 할 수 있다.The method may further include receiving, by the first terminal, channel setting information for forming the first secure channel from the manager server if authentication is successful, based on the received channel setting information. The first terminal may form the first secure channel with the gateway server.
상기 게이트웨이 서버는 복수의 게이트웨이 장치들을 포함하며, 인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계는, 상기 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여 선택된 소정의 게이트웨이 장치와 상기 제1단말기가 상기 제1보안 채널을 형성하는 단계를 포함할 수 있다.The gateway server includes a plurality of gateway devices, and the forming of the first secure channel with the gateway server by the first terminal according to the authentication result may be performed in a secure channel configuration load of each of the plurality of gateway devices. The predetermined gateway device selected based on the first terminal and the first terminal may include forming the first secure channel.
상기 타장치와 통신을 수행하는 단계는 상기 매니저 서버로부터 상기 게이트웨이 서버로 전송된 접근권한 정보에 기초하여 상기 게이트웨이 서버에 의해 선택적으로 허용되는 상기 타장치와 통신을 수행하는 것을 특징으로 할 수 있다.The communicating with the other device may be performed by communicating with the other device selectively permitted by the gateway server based on the access right information transmitted from the manager server to the gateway server.
상기 기업 내 보안망 제공방법은 상기 제1단말기가 상기 매니저 서버로부터 상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 수신하는 단계 및 수신된 상기 애플리케이션 관리정보에 기초하여 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 단계를 더 포함할 수 있다. The method for providing an enterprise security network may include receiving application management information for specifying information on an allowed application that can access the security network among applications installed in the first terminal by the first terminal; The method may further include controlling, by the first terminal, only the allowed application to selectively access the security network based on the received application management information.
상기 기업 내 보안망 제공방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 저장될 수 있다.The enterprise security network providing method may be stored in a computer-readable recording medium recording a program.
본 발명의 기술적 사상에 따르면, 기업 내부의 호스트들간의 통신을 게이트웨이를 매개로 하는 보안채널을 통해 수행할 수 있으므로, 내부망에서도 강력한 보안성이 부여되는 보안 네트워크를 구축할 수 있는 효과가 있다. According to the technical idea of the present invention, since communication between hosts in the enterprise can be performed through a secure channel through a gateway, there is an effect that a secure network can be provided with strong security even in an internal network.
또한, 동적으로 호스트와 게이트웨이 사이의 보안채널을 설정함으로써 보안 채널의 형성 자체에도 안정성을 제공할 수 있는 효과가 있다. In addition, by dynamically establishing a secure channel between the host and the gateway there is an effect that can provide stability to the formation of the secure channel itself.
또한, 보안채널을 통해 보안성이 높은 보안 망(secure network)를 제공하면서도 호스트의 내부망에서의 접근권한의 제어 및/또는 애플리케이션별 접근제어가 가능할 수 있다. 특히, 본 발명의 기술적 사상을 통해 단말단에서 애플리케이션로 접근제어가 가능하므로 차세대방화벽을 도입하는 효과가 있으며, 사용자별 접속권한 및 접속대상을 통제할 수 있는 효과가 있다.In addition, while providing a highly secure network (secure network) through a secure channel, it is possible to control access rights and / or application-specific access control in the host's internal network. In particular, since the access control is possible from the terminal end to the application through the technical idea of the present invention, there is an effect of introducing the next-generation firewall, it is possible to control the access rights and access target for each user.
또한, 보안망(보안 네트워크)와 비보안망을 논리적으로 분리함으로써 어느 정도의 망분리 솔루션을 도입한 효과를 가져올 수 있다.In addition, by logically separating the security network (secure network) and the non-secure network, the effect of introducing some degree of network separation solution can be obtained.
또한, 보안채널의 형성을 위해서는 강력한 인증이 수행되어야 하므로 NAC 도입효과를 얻을 수 있으며, 내부 호스트들 간의 통신도 암호화 통신을 수행할 수 있으므로 네트워크 미러링 등의 공격을 사전에 차단할 수 있는 효과가 있다. 또한, 이를 통해 네트워크 미러링 등을 통한 불법 와이파이 망을 차단할 수 있으므로 WIPS 솔루션을 구축하는 효과도 있다. In addition, since strong authentication must be performed to form a secure channel, NAC can be introduced, and communication between internal hosts can also perform encrypted communication, thereby preventing attacks such as network mirroring in advance. In addition, since it can block illegal Wi-Fi networks through network mirroring, there is an effect of building a WIPS solution.
또한, 내부망 및 외부망 모두 동일한 접속 방식을 통해 보안성을 제공할 수 있는 효과가 있다.In addition, both internal and external networks can provide security through the same access method.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings cited in the detailed description of the invention, a brief description of each drawing is provided.
도 1은 종래의 보안채널을 활용한 기업 내부망으로의 접근방식을 설명하기 위한 도면이다.1 is a view for explaining the approach to the internal network using a conventional security channel.
도 2는 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위한 시스템 구성을 개략적으로 나타낸다.2 schematically illustrates a system configuration for implementing a method for providing an enterprise security network according to an embodiment of the present invention.
도 3은 본 발명의 실시 예에 따른 매니저 서버의 개략적인 구성을 나타낸다.3 shows a schematic configuration of a manager server according to an embodiment of the present invention.
도 4는 본 발명의 실시 예에 따른 게이트웨이 서버의 개략적인 구성을 나타낸다.4 shows a schematic configuration of a gateway server according to an embodiment of the present invention.
도 5는 본 발명의 실시 예에 따른 내부 호스트에 설치되는 에이전트 시스템의 개략적인 구성을 나타낸다.5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.
도 6은 본 발명의 일 실시 예에 따른 기업 내 보안망 제공방법을 설명하기 위한 데이터 플로우를 나타낸다.6 is a flowchart illustrating a data flow for explaining a method for providing a security network within an enterprise according to an embodiment of the present invention.
도 7은 본 발명의 실시 예에 따른 기업 내 보안망 제공방법에 따라 접근제어가 수행되는 데이터 플로우를 나타낸다.7 is a diagram illustrating a data flow in which access control is performed according to a method for providing a security network within an enterprise according to an embodiment of the present invention.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the accompanying drawings.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. In addition, in the present specification, when one component 'transmits' data to another component, the component may directly transmit the data to the other component, or through at least one other component. Means that the data may be transmitted to the other component.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.On the contrary, when one component 'directly transmits' data to another component, it means that the data is transmitted from the component to the other component without passing through the other component.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Like reference numerals in the drawings denote like elements.
도 2는 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위한 시스템 구성을 개략적으로 나타낸다.2 schematically illustrates a system configuration for implementing a method for providing an enterprise security network according to an embodiment of the present invention.
도 2를 참조하면, 본 발명의 실시 예에 따른 기업 내 보안망 제공방법을 구현하기 위해서는 매니저 서버(100) 및 게이트웨이 서버(200)가 구비될 수 있다. Referring to FIG. 2, a manager server 100 and a gateway server 200 may be provided to implement a method for providing a security network within an enterprise according to an exemplary embodiment of the present invention.
상기 게이트웨이 서버(200)를 통해 소정의 기업내의 내부망과 외부망이 구분될 수 있다. Through the gateway server 200, an internal network and an external network in a predetermined company may be distinguished.
상기 내부망은 물리적인 망(40)으로 구현될 수 있으며, 상기 물리적인 망(40)을 통해 복수의 호스트들 즉 복수의 단말기들(300, 310)이 연결될 수 있다. 또한, 상기 복수의 호스트들에는 소정의 무선 단말기(320)가 포함될 수도 있다. 또한, 상기 물리적인 망(40)에는 적어도 하나의 서버들(410, 420)을 포함하는 서버팜(server farm)이 연결될 수 있다.The internal network may be implemented as a physical network 40, and a plurality of hosts, that is, a plurality of terminals 300 and 310 may be connected through the physical network 40. In addition, the plurality of hosts may include a predetermined wireless terminal 320. In addition, a server farm including at least one server 410 or 420 may be connected to the physical network 40.
상기 매니저 서버(100) 역시 상기 물리적인 망(40)을 통해 복수의 호스트들 및/또는 상기 게이트웨이 서버(200)와 연결될 수 있다. 상기 매니저 서버(100)는 상기 게이트웨이 서버(200) 및 상기 물리적인 망(40)에 연결된 복수의 호스트들을 제어함으로써 본 발명의 기술적 사상을 구현할 수 있다.The manager server 100 may also be connected to a plurality of hosts and / or the gateway server 200 through the physical network 40. The manager server 100 may implement the technical idea of the present invention by controlling the plurality of hosts connected to the gateway server 200 and the physical network 40.
상기 복수의 호스트들 각각에는 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템이 구비될 수 있다. Each of the plurality of hosts may be provided with a predetermined agent system for implementing the technical idea of the present invention.
본 발명의 기술적 사상에 의하면, 상기 내부 망에 포함된 네트워크 장치들(예컨대, 복수의 호스트들(300, 310, 320), 서버팜(400) 등)은 각각 상기 게이트웨이 서버(200)와 보안채널을 형성하여 상기 보안채널을 통해 상기 내부 망에 포함된 타장치와 통신을 수행할 수 있다. 따라서, 상기 게이트웨이 서버(200)는 내부 망에 존재하는 두 네트워크 장치간의 통신을 릴레이하는 역할을 수행할 수 있다.According to the spirit of the present invention, the network devices (eg, the plurality of hosts 300, 310, 320, server farm 400, etc.) included in the internal network are respectively secured with the gateway server 200 and the secure channel. It can form a communication with other devices included in the internal network through the secure channel. Therefore, the gateway server 200 may perform a role of relaying communication between two network devices existing in the internal network.
상기 매니저 서버(100)는 이러한 게이트웨이 서버(200)와 내부 망에 존재하는 소정의 네트워크 장치간의 보안채널 형성을 제어할 수 있다. 상기 보안채널 형성을 제어하기 위해 동적으로 상기 보안채널 형성에 필요한 정보를 설정하고, 이를 보안채널에 참여하는 두 장치로 전송함으로써 동적으로 보안채널을 형성하도록 할 수 있다. 또한, 상기 매니저 서버(100)는 사용자별(호스트별)로 보안 네트워크를 통해 접속가능한 대상을 제어할 수도 있고, 또한 접속가능한 애플리케이션의 제어도 수행할 수 있다.The manager server 100 may control the establishment of a secure channel between the gateway server 200 and a predetermined network device existing in the internal network. In order to control the formation of the secure channel, the information necessary for forming the secure channel may be dynamically set, and the secure channel may be dynamically formed by transmitting the information to two devices participating in the secure channel. In addition, the manager server 100 may control an object accessible through a secure network on a per user (per host) basis, and may also control an accessible application.
도 2에서 보안채널은 굵은 양방향 화살표로 표시되고 있는데, 이러한 보안채널은 1:1 암호화 통신을 수행하게 되므로 기업의 내부 망에서도 보안 네트워크(보안망)를 구축하는 효과가 있다. 예컨대, 제1단말기(300)와 제2단말기(310)가 통신을 하기 위해서는 물리적인 망(40)을 이용하여 비보안 네트워크 통신을 수행할 수도 있다. 하지만, 본 발명의 기술적 사상에 의한 보안 네트워크(보안망)를 통해 통신을 수행하는 경우에는, 상기 제1단말기(300)는 상기 게이트웨이 서버(200)와 제1보안채널을 형성하고, 상기 제2단말기(310) 역시 상기 게이트웨이 서버(200)와 제2보안채널을 형성할 수 있다. 그러면, 상기 제1단말기(300)와 상기 제2단말기(310)는 상기 제1보안채널 및 상기 제2보안채널을 통해 수행될 수 있다. In FIG. 2, the security channel is indicated by a thick double-headed arrow. Since the security channel performs 1: 1 encrypted communication, there is an effect of establishing a security network (security network) even in an internal network of an enterprise. For example, in order for the first terminal 300 and the second terminal 310 to communicate, the non-secure network communication may be performed using the physical network 40. However, when communicating through a secure network (security network) according to the technical idea of the present invention, the first terminal 300 forms a first secure channel with the gateway server 200, the second The terminal 310 may also form a second secure channel with the gateway server 200. Then, the first terminal 300 and the second terminal 310 may be performed through the first secure channel and the second secure channel.
상기 제1단말기(300) 및 상기 제2단말기(310)가 상기 게이트웨이 서버(200)와 형성하는 보안채널은 VPN(Virtual Private Network) 채널일 수 있다. 상기 VPN 채널을 형성하기 위한 VPN 터널링을 통해 상기 제1단말기(300) 및/또는 상기 제2단말기(310)는 상기 게이트웨이 서버(200)는 논리적인 보안채널을 형성할 수 있다. The secure channel formed by the first terminal 300 and the second terminal 310 with the gateway server 200 may be a virtual private network (VPN) channel. The gateway server 200 may form a logical secure channel in the first terminal 300 and / or the second terminal 310 through VPN tunneling for forming the VPN channel.
이러한 보안채널은 보안채널을 형성하는 두 네트워크 장치간에 암호화 통신을 수행할 수 있으므로, 상기 보안채널의 경로상에 존재하는 물리적인 장치에 의해 패킷이 유출되거나 공격되더라도 데이터의 유출이 일어나지 않을 수 있는 효과가 있다.Since the secure channel can perform encrypted communication between two network devices forming a secure channel, data leakage does not occur even if a packet is leaked or attacked by a physical device existing on the path of the secure channel. There is.
또한, 암호화 통신을 위한 IKE(Internet Key Exchange) 인증을 수행할 수 있어서 강력한 사용자 인증 솔루션을 제공할 수 있기 때문에 NAC 솔루션을 도입하는 효과가 있다. In addition, the Internet Key Exchange (IKE) authentication for encryption communication can be performed to provide a strong user authentication solution, which has the effect of introducing a NAC solution.
또한, 내부 망을 본 발명의 기술적 사상이 적용되는 보안 네트워크만 이용하도록 할 수도 있지만, 기존의 물리적인 망도 허용하는 경우에는 물리적인 망은 비보안 네트워크로 작동하고 본 발명의 기술적 사상에 따른 솔루션은 상기 비보안 네트워크와는 독립적으로 작용하는 보안 네트워크로 사용할 수 있으므로 어느 정도의 망 이중화 솔루션을 제공하는 효과도 있다. 이는 후술할 바와 같이 상기 보안 네트워크를 이용할 수 있는 사용자별 애플리케이션 제어 및/또는 사용자별 접근권한 제어를 통해 더욱 망 이중화 효과를 가져올 수도 있다. 물론, 기존의 호스트나 OS 자체의 이중화를 수행하는 경우에 비해서는 다소 보안성이 낮아질 수 있음은 별론으로 한다.In addition, the internal network may use only a security network to which the technical idea of the present invention is applied, but if the existing physical network is also allowed, the physical network operates as an insecure network and the solution according to the technical idea of the present invention Since it can be used as a security network that operates independently from the non-secure network, there is an effect of providing a degree of network redundancy solution. This may bring about network redundancy effect through user-specific application control and / or user-specific access authority control that can use the security network as described below. Of course, the security may be somewhat lower than that of the existing host or OS itself redundancy.
또한, 내부망에 존재하는 호스트들(단말기들)은 게이트웨이 서버(200)와 1:1 암호화 채널을 통해 통신을 수행하므로, 네트워크 미러링 공격에 의한 무선 AP의 복제 즉, 불법적인 와이파이 통신을 차단할 수 있는 효과가 있다. 이는 기존의 WIPS 솔루션을 도입하는 효과도 제공할 수 있다. In addition, since the hosts (terminals) existing in the internal network communicate with the gateway server 200 through a 1: 1 encryption channel, it is possible to block duplication of the wireless AP, that is, illegal Wi-Fi communication due to a network mirroring attack. It has an effect. This can also provide the effect of introducing existing WIPS solutions.
또한, 후술할 바와 같이 사용자별 애플리케이션의 접근제어, 사용자별 접속권한제어가 가능하므로 차세대방화벽을 도입하는 효과가 있다.Further, as will be described later, the access control of the application for each user and the access right control for each user can be performed, thereby introducing the next-generation firewall.
또한, 종래의 보안채널의 활용방식과 같이 소정의 외부망에 존재하는 외부 단말기(500) 역시 상기 게이트웨이 서버(200)와 보안채널을 형성할 수 있다. 따라서, 외부의 단말기(500) 또는 내부의 단말기들(300, 310, 320) 모두 통일된 통신방식을 통해 내부망에 접속할 수 있는 효과도 있다. In addition, as in the conventional method of utilizing a secure channel, an external terminal 500 existing in a predetermined external network may also form a secure channel with the gateway server 200. Therefore, the external terminal 500 or the internal terminals 300, 310, and 320 may also be connected to the internal network through a unified communication scheme.
또한, 종래에는 예컨대, 외부 단말기(500)에서 서버군(400)에 접속을 하는 경우, 외부 단말기에서 게이트웨이 서버(200)까지만 보안채널을 통해 통신을 하고 내부망에 접속되어서는 비보안 네트워크로 상기 서버군(400)에 접속을 하게 되지만, 본 발명의 기술적 사상에 의하면 게이트웨이 서버(200)와 상기 서버군(400) 사이도 보안 네트워크를 통해 통신을 수행하게 되므로 훨씬 보안성이 높은 접근환경을 외부에 제공할 수 있는 효과가 있다.In addition, in the related art, for example, when the external terminal 500 accesses the server group 400, only the external terminal communicates with the gateway server 200 through a secure channel and is connected to the internal network. Although it is connected to the group 400, according to the technical idea of the present invention because the communication between the gateway server 200 and the server group 400 also performs a secure network to the outside of a much more secure access environment There is an effect that can be provided.
이러한 기술적 사상을 구현하기 위한 본 발명의 실시 예에 따른 매니저 서버(100)는 도 3과 같이 구현될 수 있다. Manager server 100 according to an embodiment of the present invention for implementing this technical idea may be implemented as shown in FIG.
도 3은 본 발명의 실시 예에 따른 매니저 서버의 개략적인 구성을 나타낸다.3 shows a schematic configuration of a manager server according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 실시 예에 따른 매니저 서버(100)는 인증부(110) 및 보안채널 설정부(120)를 포함한다. 상기 매니저 서버(100)는 접근 제어부(130)를 더 포함할 수 있다. 또한, 상기 매니저 서버(100)는 애플리케이션 관리부(140)를 더 포함할 수 있다. Referring to FIG. 3, the manager server 100 according to an embodiment of the present invention includes an authentication unit 110 and a secure channel setting unit 120. The manager server 100 may further include an access controller 130. In addition, the manager server 100 may further include an application manager 140.
상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비한 논리적인 구성을 의미할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 매니저 서버(100)는 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다. The manager server 100 may refer to a logical configuration having hardware resources and / or software necessary to implement the technical idea of the present invention, and necessarily means one physical component or one It does not mean a device. That is, the manager server 100 may mean a logical combination of hardware and / or software provided to implement the technical idea of the present invention. If necessary, the manager server 100 may be installed in devices spaced apart from each other to perform respective functions. As a result, it may be implemented as a set of logical configurations for implementing the technical idea of the present invention. In addition, the manager server 100 may refer to a set of components that are separately implemented for each function or role for implementing the technical idea of the present invention.
또한, 본 명세서에서 '~부' 또는 '~모듈'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '~부' 또는 '~모듈'은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.In addition, the term 'unit' or 'module' may refer to a functional and structural combination of hardware for performing the technical idea of the present invention and software for driving the hardware. For example, the '~' or '~' module may mean a logical unit of a predetermined code and a hardware resource for performing the predetermined code, and necessarily means a physically connected code, or It does not mean that kind of hardware can be easily deduced by the average expert in the art.
예컨대, 상기 인증부(110), 상기 보안채널 설정부(120), 상기 접근 제어부(130), 및/또는 상기 애플리케이션 관리부(140) 각각은 서로 다른 물리적 장치에 위치할 수도 있고, 동일한 물리적 장치에 위치할 수도 있다. 또한, 구현 예에 따라서는 상기 인증부(110), 상기 보안채널 설정부(120), 상기 접근 제어부(130), 및/또는 상기 애플리케이션 관리부(140) 각각을 구성하는 소프트웨어 및/또는 하드웨어의 결합 역시 서로 다른 물리적 장치에 위치하고, 서로 다른 물리적 장치에 위치한 구성들이 서로 유기적으로 결합되어 각각의 상기 모듈들을 구현할 수도 있다.For example, each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application manager 140 may be located on different physical devices, or on the same physical device. It may be located. In some implementations, the combination of software and / or hardware that constitutes each of the authentication unit 110, the secure channel setting unit 120, the access control unit 130, and / or the application management unit 140. Also located in different physical devices, components located in different physical devices may be organically combined with each other to implement each of the modules.
상기 인증부(110)는 본 발명의 기술적 사상이 적용되는 소정의 기업 내의 내부망에 존재하는 제1단말기(예컨대, 300)의 사용자를 인증할 수 있다. 이를 위해 상기 매니저 서버(100)는 도 3에는 도시되지 않았지만, 사용자 DB(미도시)를 더 포함할 수 있음은 물론이다. 사용자의 인증은 예컨대, 상기 제1단말기(예컨대, 300)에 설치되어 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템과 상기 인증부(110)에 의해 수행될 수 있다. 상기 에이전트 시스템은 본 발명의 기술적 사상에 의해 제공되는 보안 네트워크에 접속하고자 할 때, 사용자에게 로그인 절차를 수행하도록 할 수 있다. 그러면, 상기 인증부(110)는 상기 에이전트 시스템으로부터 수신되는 로그인 정보에 기초하여 상기 제1단말기(예컨대, 300)의 사용자를 인증할 수 있다. The authentication unit 110 may authenticate a user of a first terminal (eg, 300) existing in an internal network in a predetermined company to which the technical idea of the present invention is applied. For this purpose, although not shown in FIG. 3, the manager server 100 may further include a user DB (not shown). For example, the authentication of the user may be installed in the first terminal (eg, 300) and performed by a predetermined agent system and the authentication unit 110 to implement the technical idea of the present invention. The agent system may allow a user to perform a login procedure when accessing a secure network provided by the technical idea of the present invention. Then, the authentication unit 110 may authenticate the user of the first terminal (eg, 300) based on the login information received from the agent system.
인증부(110)에 의해 인증이 성공되는 경우, 상기 제1단말기(예컨대, 300)는 상기 게이트웨이 서버(200)와 소정의 제1보안채널(예컨대, VPN 채널)을 형성할 수 있다. 이러한 제1보안채널의 형성은 상기 보안채널 설정부(120)에 의해 제어될 수 있다.When authentication is successful by the authenticator 110, the first terminal (eg, 300) may form a first secure channel (eg, a VPN channel) with the gateway server 200. The formation of the first secure channel may be controlled by the secure channel setting unit 120.
상기 보안채널 설정부(120)는 상기 제1보안채널을 형성하기 위한 채널 설정 정보를 생성하고, 이를 상기 제1단말기(예컨대, 300) 및 상기 게이트웨이 서버(200)로 각각 전송함으로써 상기 게이트웨이 서버(200)와 인증이 성공한 상기 제1단말기(예컨대, 300) 사이에 보안채널이 형성되도록 제어할 수 있다.The secure channel setting unit 120 generates channel setting information for forming the first secure channel, and transmits the channel setting information to the first terminal (eg, 300) and the gateway server 200, respectively. It is possible to control so that a secure channel is formed between the first terminal (eg, 300) 200 and the authentication is successful.
상기 제1보안채널의 형성이 상기 게이트웨이 서버(200)와 상기 제1단말기(예컨대, 300)간의 통신에 의해 직접 수행되는 것이 아니라, 상기 보안채널 설정부(120)에 의해 동적으로 제어됨으로써 설령 상기 제1단말기(예컨대, 300) 및/또는 상기 게이트웨이 서버(200)가 공격을 당하여 상기 제1보안채널의 형성을 위한 파라미터들즉, 채널 설정정보(예컨대, 암호화 키 값, 암호화 알고리즘 등)이 유출될 위험을 줄일 수 있는 효과가 있다. The formation of the first secure channel is not directly performed by communication between the gateway server 200 and the first terminal (eg, 300), but is dynamically controlled by the secure channel setting unit 120. The first terminal (eg, 300) and / or the gateway server 200 are attacked, and thus parameters for forming the first secure channel, that is, channel setting information (eg, encryption key value, encryption algorithm, etc.) are leaked. There is an effect to reduce the risk of becoming.
상기 채널 설정정보는 상기 제1보안채널의 형성을 위해 정의되어야 하는 정보를 적어도 하나 포함할 수 있다. 상기 채널 설정정보는 예컨대, 보안채널을 통해 통신을 수행할 상대장치, 암호화알고리즘, 및/또는 암호화 키값(예컨대, PSK 키 값 등)을 포함할 수 있다. 상기 채널 설정정보에 포함되는 정보들 중 일부는 고정될 수 있고, 일부만 동적으로 상기 보안채널 설정부(120)에 의해 생성될 수도 있다. The channel setting information may include at least one information to be defined for forming the first secure channel. The channel setting information may include, for example, a counterpart device, an encryption algorithm, and / or an encryption key value (eg, a PSK key value, etc.) to communicate over a secure channel. Some of the information included in the channel setting information may be fixed, and only a part of the information included in the channel setting information may be dynamically generated by the secure channel setting unit 120.
상기 채널 설정정보의 생성은 상기 제1보안채널이 형성되기 전이면 언제든지 수행될 수 있다. 또한, 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)로 전송되는 채널 설정정보는 서로 대응되는 것이 바람직하다. 즉, 상기 제1단말기(예컨대, 300)로 전송되는 제1채널 설정정보는 상기 게이트웨이 서버(200)를 상대장치로 특정할 수 있으며, 상기 게이트웨이 서버(200)로 전송되는 제2채널 설정정보는 상기 제1단말기(예컨대, 300)를 상대장치로 특정할 수 있다. 또한, 상기 제1채널 설정정보 및 상기 제2채널 설정정보는 각각 동일한 암호화 알고리즘에 대한 정보를 포함하고 있는 것이 바람직하며, 암호화 키 값으로는 서로 대응되는 키 값을 포함하고 있는 것이 바람직하다. 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)는 예컨대, IPSec(Internet Protocol Security)의 IKE(Internet Key Exchange) 인증을 통해 서로를 인증할 수 있으며, 이를 위한 암호화 알고리즘 및 각각이 가져야할 암호화 키 값들이 상기 제1채널 설정정보 및 상기 제2채널 설정정보에 정의될 수 있다. 또한, IKE 인증을 사용하는 경우, 암호화 키를 통한 서로간의 인증이 수행되므로, 내부망에 연결된 호스트들(단말기들)에 대한 강력한 인증도구가 될 수 있다.The generation of the channel setting information may be performed at any time before the first secure channel is formed. In addition, the channel setting information transmitted to the first terminal (eg, 300) and the gateway server 200 may correspond to each other. That is, the first channel setting information transmitted to the first terminal (eg, 300) may specify the gateway server 200 as a counterpart device, and the second channel setting information transmitted to the gateway server 200 may be specified. The first terminal (eg, 300) may be specified as a counterpart device. Preferably, the first channel setting information and the second channel setting information each include information on the same encryption algorithm, and the encryption key value preferably includes key values corresponding to each other. The first terminal (eg, 300) and the gateway server 200 may authenticate each other through, for example, Internet Key Exchange (IKE) authentication of IPSec (Internet Protocol Security), and an encryption algorithm and a respective encryption algorithm for this purpose. Encryption key values to be defined may be defined in the first channel configuration information and the second channel configuration information. In addition, when IKE authentication is used, authentication with each other through an encryption key is performed, and thus, it can be a powerful authentication tool for hosts (terminals) connected to the internal network.
상기 보안채널 설정부(120)에 의해 상기 제1채널 설정정보가 상기 제1단말기(예컨대, 300)로 전송되고, 상기 제2채널 설정정보가 상기 게이트웨이 서버(200)로 전송되면, 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)는 서로 수신된 정보에 기초하여 VPN 터널링을 수행할 수 있다. 그리고, 상기 제1보안채널을 형성할 수 있다. When the first channel setting information is transmitted to the first terminal (eg, 300) by the secure channel setting unit 120, and the second channel setting information is transmitted to the gateway server 200, the first channel setting information is transmitted to the gateway server 200. The terminal (eg 300) and the gateway server 200 may perform VPN tunneling based on the information received from each other. And, the first secure channel can be formed.
이와 같은 방식으로 각각의 단말기들(예컨대, 300~320)이 상기 게이트웨이 서버(200)와 보안채널을 형성하게 되면, 상기 게이트웨이 서버(200)를 중심으로 하나의 가상의(또는 논리적인) 네트워크가 형성되며, 이러한 네트워크를 본 명세서에서는 보안 네트워크로 정의할 수 있다.In this manner, when each terminal (eg, 300 to 320) forms a secure channel with the gateway server 200, a virtual (or logical) network is formed around the gateway server 200. The network may be defined as a secure network in the present specification.
한편, 상기 게이트웨이 서버(200)는 후술할 바와 같이 어느 하나의 서버 또는 장치로 구현되지 않고, 복수의 장치 즉, 게이트웨이 장치로 구현될 수 있다. 즉, 상기 게이트웨이 서버(200)의 기능은 복수의 게이트웨이 장치로 구현될 수 있다. 이러한 경우, 상기 제1단말기(예컨대, 300)가 어떠한 게이트웨이 장치와 보안채널을 형성할지에 따라 전체 보안 네트워크의 통신성능이 결정될 수도 있다. 따라서, 상기 보안채널 설정부(120)는 각각의 게이트웨이 장치의 로드(load) 즉, 현재 얼마나 많은 보안채널을 형성하고 있는지 여부를 고려하여, 로드를 밸런싱할 수 있도록 복수의 게이트웨이 장치들 중에서 어느 하나의 게이트웨이 장치를 선택할 수 있다. 상기 보안채널 설정부(120)가 소정의 단말기들(예컨대, 300~320)과 상기 게이트웨이 장치들 각각의 보안채널 형성을 제어하므로, 상기 보안채널 설정부(120)는 어떠한 게이트웨이 장치가 현재 몇개의 보안채널을 형성하고 있는지 또는 후술할 바와 같이 보안채널을 통한 트래픽 양이 모니터링될 수 있는 경우에는 이러한 트래픽 양까지 고려하여 전체 게이트웨이 장치들이 가급적 비슷한 로드를 가질 수 있도록 게이트웨이 장치를 선택할 수 있다.Meanwhile, the gateway server 200 may not be implemented as any one server or device as described below, but may be implemented as a plurality of devices, that is, gateway devices. That is, the function of the gateway server 200 may be implemented by a plurality of gateway devices. In this case, the communication performance of the entire security network may be determined according to which gateway device the first terminal (eg, 300) forms a secure channel with. Accordingly, the secure channel setting unit 120 considers the load of each gateway device, that is, how many secure channels are currently formed, so that the load can be balanced among the plurality of gateway devices. You can select the gateway device. Since the secure channel setting unit 120 controls the establishment of a secure channel of each of the predetermined terminals (eg, 300 to 320) and the gateway devices, the secure channel setting unit 120 may determine how many gateway devices are present. If the amount of traffic through the secure channel can be monitored as described below or if a secure channel is formed, the gateway device may be selected so that the total gateway devices may have similar loads as much as possible.
이와 같은 방식으로 본 발명의 기술적 사상에 따른 보안 네트워크에 접속하기 위해서는 내부망에 존재하는 호스트들(단말기들(300~320))은 각각 게이트웨이 서버(200)와 보안채널을 형성할 수 있다. 따라서, 예컨대, 상기 제1단말기(예컨대, 300)와 상기 제2단말기(예컨대, 310)간의 통신은 상기 제1단말기(예컨대, 300)와 상기 게이트웨이 서버(200)가 형성하는 제1보안채널 및 상기 제2단말기(예컨대, 310)와 상기 게이트웨이 서버(200)가 형성하는 제2보안채널을 통해 수행될 수 있다. In this manner, in order to access the security network according to the spirit of the present invention, the hosts (terminals 300 to 320) existing in the internal network may form a secure channel with the gateway server 200, respectively. Thus, for example, communication between the first terminal (eg, 300) and the second terminal (eg, 310) may be performed by the first secure channel established by the first terminal (eg, 300) and the gateway server 200; It may be performed through a second secure channel formed by the second terminal (eg, 310) and the gateway server 200.
그러므로, 상기 게이트웨이 서버(200)는 상기 제1단말기(예컨대, 300)와 상기 제1단말기(예컨대, 300)가 통신을 수행할 타장치(예컨대, 310, 320, 400 등)와의 통신을 중계하는 역할을 수행할 수 있다. Therefore, the gateway server 200 relays communication between the first terminal (eg, 300) and another device (eg, 310, 320, 400, etc.) with which the first terminal (eg, 300) will perform communication. Can play a role.
한편, 상기 게이트웨이 서버(200)는 상기 제1단말기(예컨대, 300)가 요청하는 모든 타장치로의 접근을 중계할 수도 있지만, 상기 제1단말기(예컨대, 300)의 사용자가 누구인지에 따라 접근제어를 수행할 수도 있다. 이러한 접근제어는 기업망에서 특히 유용할 수 있다. 이러한 접근제어 역시 상기 매니저 서버(100)에 의해 제어될 수 있다. 그리고, 이러한 접근제어는 상기 매니저 서버(100)의 접근 제어부(130)에 의해 통제될 수 있다. Meanwhile, although the gateway server 200 may relay access to all other devices requested by the first terminal (eg, 300), the gateway server 200 may access according to who the user of the first terminal (eg, 300) is. Control can also be performed. Such access control can be particularly useful in enterprise networks. Such access control may also be controlled by the manager server 100. In addition, the access control may be controlled by the access control unit 130 of the manager server 100.
상기 접근 제어부(130)는 상기 제1단말기(예컨대, 300)의 사용자 인증이 성공하면, 상기 사용자가 접근할 수 있는 장치에 대한 정보 즉, 상기 제1단말기(예컨대, 300)가 접근할 수 있는 타장치에 대한 정보를 특정할 수 있다. 상기 타장치는 예컨대, 내부망에 존재하는 타 호스트들(예컨대, 310~320)일 수도 있고, 상기 내부망에 존재하는 서버군(400)에 포함된 서버들(410, 420)일 수도 있다. 또는, 상기 게이트웨이 서버(200)를 통해 외부망에 존재하는 외부 단말기(500)에 접근할 수 있는지에 대한 정보도 포함될 수 있다. When the user authentication of the first terminal (eg, 300) is successful, the access control unit 130 may access information about a device accessible by the user, that is, the first terminal (eg, 300) may access. Information about other devices can be specified. The other device may be, for example, other hosts (for example, 310 to 320) existing in the internal network, or may be servers 410 and 420 included in the server group 400 existing in the internal network. Alternatively, information about whether the external terminal 500 existing in the external network can be accessed through the gateway server 200 may be included.
상기 사용자가 상기 제1단말기(예컨대, 300)를 통해 접근할 수 있는 타장치에 대한 정보는 접근권한 정보에 의해 특정될 수 있다. 상기 접근 제어부(130)는 사용자별로 접근권한 정보를 설정할 수 있다. 사용자의 직책 또는 업무에 따라 상기 접근권한 정보가 달라질 수 있음은 물론이다. Information about other devices that the user can access through the first terminal (eg, 300) may be specified by access right information. The access control unit 130 may set access authority information for each user. Of course, the access right information may vary according to the user's position or task.
상기 접근권한 정보는 화이트리스트 방식 즉, 접근할 수 있는 장치들에 대한 정보가 리스트업된 방식일 수도 있고, 블랙리스트 방식 즉, 접근할 수 없는 장치들에 대한 정보가 리스트업되는 방식으로 구현될 수도 있다.The access right information may be a white list method, that is, a method of listing information on accessible devices, or a black list method, that is, a method of listing information on inaccessible devices. It may be.
따라서, 상기 접근 제어부(130)는 상기 제1단말기(예컨대, 300)의 사용자가 인증되면, 상기 사용자에 상응하는 접근권한 정보를 상기 게이트웨이 서버(200) 또는 복수의 게이트웨이 장치들 중 상기 제1단말기(예컨대, 300)와 보안채널을 형성하도록 선택된 게이트웨이 장치로 전송할 수 있다. 그러면, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)는 상기 제1단말기(예컨대, 300)로부터 소정의 장치들(예컨대, 310, 320, 410, 420) 중 어느 하나로의 접근요청이 수신되면, 상기 접근권한 정보에 기초하여 상기 제1단말기(예컨대, 300)가 접속가능한 장치로의 접근요청인지를 판단하고 판단결과에 따라 선택적으로 상기 접근요청을 허용하거나 불허할 수 있다. 물론, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)가 상기 제1단말기(예컨대, 300)로부터의 접근요청에 응답하여 소정의 타장치로 접근을 허락하기 위해서는 해당 타장치와 상기 게이트웨이 서버(200)가 보안채널이 형성되어 있어야 할 수 있다. 일반적으로 상기 서버군(400)에 포함된 각각의 서버들(410, 420)과 상기 게이트웨이 서버(200)는 보안채널이 상시적으로 형성되어 있을 수 있으며, 이때에는 상기 서버들(410, 420)을 위한 별도의 인증은 수행되거나 또는 수행되지 않을 수도 있다. 하지만, 내부망에 존재하는 단말기들(예컨대, 300~320)은 전술한 바와 같이 상기 인증부(110)에 의해 인증이 수행되어야 보안채널이 형성될 수 있다.Therefore, when the user of the first terminal (eg, 300) is authenticated, the access control unit 130 receives access right information corresponding to the user from the gateway server 200 or the plurality of gateway devices. And (eg, 300) to the selected gateway device to form a secure channel. Then, when the gateway server 200 (or the selected gateway device) receives an access request from one of the devices (eg, 310, 320, 410, and 420) from the first terminal (eg, 300), Based on the access right information, the first terminal (eg, 300) may determine whether an access request is made to an accessible device, and selectively allow or disallow the access request according to a determination result. Of course, in order for the gateway server 200 (or the selected gateway device) to grant access to a predetermined other device in response to an access request from the first terminal (eg, 300), the other device and the gateway server 200 may be used. The secure channel may need to be established. In general, each of the servers 410 and 420 and the gateway server 200 included in the server group 400 may have a secure channel formed at all times. In this case, the servers 410 and 420 Separate authentication for or may not be performed. However, as described above, the terminals (eg, 300 to 320) existing in the internal network may have a secure channel formed only after authentication is performed by the authenticator 110.
만약, 상기 제1단말기(예컨대, 300)와 보안채널을 형성하고 있는 제1게이트웨이 장치와 상기 타장치와 보안채널을 형성하고 있는 제2게이트웨이 장치가 서로 다른 경우에는, 상기 제1게이트웨이 장치와 상기 제2게이트웨이 장치 간에도 보안채널이 형성될 수 있다. 물론, 이때에도 상기 제1게이트웨이 장치와 상기 제2게이트웨이 장치간의 보안채널 역시 상기 매니저 서버(100)의 보안채널 설정부(120)에 의해 제어될 수 있다. If the first gateway device that forms the secure channel with the first terminal (eg, 300) and the second gateway device that forms the secure channel with the other device are different from each other, the first gateway device and the A security channel may also be formed between the second gateway devices. Of course, in this case, the secure channel between the first gateway device and the second gateway device may also be controlled by the secure channel setting unit 120 of the manager server 100.
한편, 상기 매니저 서버(100)는 사용자별 애플리케이션을 관리할 수도 있다. 이를 위해 상기 매니저 서버(100)는 애플리케이션 관리부(140)를 더 포함할 수 있다. The manager server 100 may manage an application for each user. To this end, the manager server 100 may further include an application manager 140.
상기 애플리케이션 관리부(140)는 사용자별로(단말기들(예컨대, 300~320)별로) 상기 보안 네트워크에 접속할 수 있는 애플리케이션 즉, 허용 애플리케이션을 특정할 수 있다. 즉, 상기 허용 애플리케이션만이 상기 게이트웨이 서버(200)와 형성된 보안채널을 통해 타장치에 접근할 수 있도록 제어할 수 있다. 또한, 사용자별로 허용 애플리케이션을 특정한다고 함은, 사용자별로 허용 애플리케이션을 다르게 설정할 수 있음을 의미하는 것이지 반드시 모든 사용자별로 허용 애플리케이션이 달라야하는 것의 의미하는 것은 아니다.The application manager 140 may specify an application that can access the secure network, that is, an allowable application, for each user (by terminals (eg, 300 to 320)). That is, only the allowed application may control access to another device through a secure channel formed with the gateway server 200. In addition, specifying the allowed application for each user means that the allowed application can be set differently for each user, but does not necessarily mean that the allowed application is different for every user.
상기 애플리케이션 관리부(140)는 인증부(110)에 의해 상기 제1단말기(예컨대, 300)의 사용자가 인증되면, 상기 제1단말기(예컨대, 300)에서 상기 보안 네트워크에 접속이 허용되는 허용 애플리케이션에 대한 정보를 포함하는 애플리케이션 관리정보를 상기 제1단말기(예컨대, 300)로 전송할 수 있다. 그러면 상기 제1단말기(예컨대, 300)는 전송된 상기 애플리케이션 관리정보에 기초하여 상기 보안 네트워크에 접속가능한 애플리케이션을 제어할 수 있다. 예컨대, 상기 보안 네트워크에 접속되어 있는 경우에는, 허용 애플리케이션만이 실행될 수 있고, 그렇지 않은 애플리케이션은 실행이 차단되거나 이미 실행되고 있는 애플리케이션의 프로세스가 상기 제1단말기(예컨대, 300)에 의해 강제종료 또는 킬(kill)될 수도 있다. 또는, 상기 보안 네트워크에 접속해 있더라도 보안 네트워크를 통해 타장치에 접근하는 애플리케이션만이 관리될 수도 있다. 즉, 허용 애플리케이션만 상기 보안 네트워크를 통해 타 장치에 접근할 수 있도록 상기 제1단말기(예컨대, 300)가 제어할 수도 있고, 상기 보안 네트워크의 접속여부와는 관계없이 상기 제1단말기(예컨대, 300)가 보안 네트워크에 접속되어 있는 경우에 실행될 수 있는 애플리케이션이 상기 애플리케이션 관리정보에 의해 제어될 수도 있다. When the user of the first terminal (eg, 300) is authenticated by the authentication unit 110, the application manager 140 may access an allowed application that allows access to the secure network from the first terminal (eg, 300). Application management information including information regarding the information may be transmitted to the first terminal (eg, 300). Then, the first terminal (eg, 300) may control an application connectable to the secure network based on the transmitted application management information. For example, when connected to the secure network, only allowed applications can be executed, otherwise applications can be blocked or the process of an application already running is forcibly terminated by the first terminal (eg, 300) or It may be killed. Alternatively, only an application that accesses another device through the secure network may be managed even if the secure network is connected. That is, the first terminal (eg, 300) may control so that only an allowed application may access another device through the secure network, and the first terminal (eg, 300) may be connected regardless of whether the secure network is connected. May be controlled by the application management information.
상기 애플리케이션 관리정보 역시 화이트리스트 방식으로 허용 애플리케이션을 리스트업할 수도 있고, 블랙리스트 방식으로 차단 애플리케이션을 리스트업하도록 구현될 수도 있다. The application management information may also list up allowed applications in a whitelist manner, or may be implemented to list blocked applications in a blacklist manner.
따라서, 상기 매니저 서버(100)에 의해 본 발명의 기술적 사상에 따른 기업 내 보안망 제공시스템은 강력한 보안채널을 통한 암호화 통신을 수행하면서도, 내부망에 존재하는 호스트들(단말기들(예컨대, 300~320))의 인증, 사용자별 접근권한의 제어, 및/또는 사용자별 허용 애플리케이션의 제어가 가능한 효과가 있다. 그리고 이러한 효과는 전술한 바와 같이 상기 기업의 내부망에 NAC 및 차세대방화벽을 구축한 효과를 제공할 수 있다. 또한, 각각의 단말기들(예컨대, 300~320)은 보안 네트워크 상에서는 암호화 통신을 하여야 하므로, 네트워크 미러링에 대한 강력한 보안대책이 되고, 내부망을 전술한 바와 같은 보안 네트워크와 기존의 물리적인 망(40)을 통한 통신을 같이 허용하는 경우에는 망 이중화 솔루션을 어느 정도 실현하는 효과도 존재할 수 있다.Accordingly, the system for providing a security network in an enterprise according to the technical spirit of the present invention by the manager server 100 performs encryption communication through a strong secure channel, while providing hosts (terminals (for example, 300 to 300˜). 320)), control of user-specific access rights, and / or control of user-specific allowed applications. And this effect can provide the effect of building the NAC and next-generation firewall in the internal network of the enterprise as described above. In addition, since each terminal (eg, 300 to 320) must perform encrypted communication on a secure network, it becomes a strong security measure for network mirroring, and the internal network includes the secure network and the existing physical network 40 as described above. In the case of allowing communication through), there may be some effect of realizing network redundancy solution.
한편, 상술한 바와 같은 본 발명의 기술적 사상을 구현하기 위한 게이트웨이 서버(200)의 구성은 도 4에 도시된다. 또한, 내부망에 포함된 단말기의 구성은 도 5에 도시된다.On the other hand, the configuration of the gateway server 200 for implementing the technical spirit of the present invention as described above is shown in FIG. In addition, the configuration of the terminal included in the internal network is shown in FIG.
도 4는 본 발명의 실시 예에 따른 게이트웨이 서버의 개략적인 구성을 나타낸다. 또한, 도 5는 본 발명의 실시 예에 따른 내부 호스트에 설치되는 에이전트 시스템의 개략적인 구성을 나타낸다.4 shows a schematic configuration of a gateway server according to an embodiment of the present invention. 5 shows a schematic configuration of an agent system installed in an internal host according to an embodiment of the present invention.
먼저 도 4를 참조하면, 본 발명의 실시 예에 따른 게이트웨이 서버(200)는 전술한 바와 같이 대량의 보안채널의 형성 및 형성된 보안채널을 통한 통신을 수행하기 위해 복수의 게이트웨이 장치들(예컨대, 210, 220)을 포함할 수 있다. First, referring to FIG. 4, the gateway server 200 according to an embodiment of the present invention may form a plurality of gateway devices (eg, 210) to form a large number of secure channels and perform communication through the secure channel. , 220).
상기 게이트웨이 장치들(예컨대, 210, 220) 각각은 보안채널 형성부(211)를 포함할 수 있다. 상기 보안채널 형성부(211)는 전술한 바와 같이 상기 매니저 서버(100)의 보안채널 설정부(120)의 제어 하에 소정의 제1단말기(예컨대, 300)와 보안채널을 형성할 수 있다. 또한, 전술한 바와 같이 상기 보안채널 형성부(211)는 각각의 단말기들(예컨대, 300~320)별로 즉, 사용자별로 접속가능한 타장치들로만 접근을 허용할 수도 있다. 이를 위해 사용자별(단말기들(예컨대, 300~320)별)로 접근권한 정보를 상기 보안채널 설정부(120)로부터 수신하고, 수신된 접근권한 정보에 상응하도록 접근권한을 제어할 수 있다. Each of the gateway devices (eg, 210 and 220) may include a secure channel forming unit 211. As described above, the secure channel forming unit 211 may form a secure channel with a predetermined first terminal (eg, 300) under the control of the secure channel setting unit 120 of the manager server 100. In addition, as described above, the secure channel forming unit 211 may allow access only to other devices accessible to each terminal (eg, 300 to 320), that is, for each user. To this end, the access right information may be received from the secure channel setting unit 120 for each user (by terminals (eg, 300 to 320)), and the access right may be controlled to correspond to the received access right information.
또한, 상기 보안채널 형성부(211)는 외부망에 위치한 외부 단말기(500)와도 보안채널을 형성할 수 있다. 그리고 상기 외부 단말기(500)의 접근권한에 대해서도 미리 또는 실시간으로 상기 보안채널 설정부(120)로부터 제어를 받아서 접근제어를 수행할 수도 있다. In addition, the secure channel forming unit 211 may form a secure channel with an external terminal 500 located in an external network. In addition, access control of the external terminal 500 may be controlled in advance or in real time by receiving control from the secure channel setting unit 120.
상기 보안채널 형성부(211)는 접근권한이 있는 두 장치들(예컨대, 300 및 310)간의 통신을 중계함으로써 상기 두 장치들이 자신을 통해 서로 다른 보안채널을 통한 통신을 수행하도록 할 수 있다. The secure channel forming unit 211 may relay the communication between two devices (for example, 300 and 310) to which the access right is allowed, so that the two devices may communicate through different secure channels through themselves.
또한, 전술한 바와 같이 두 장치들(예컨대, 300 및 310)이 보안채널을 형성하는 게이트웨이 장치들(예컨대, 210, 220)이 서로 다른 경우에는 상기 보안채널 형성부(211)는 다른 게이트웨이 장치(예컨대, 220)에 포함된 보안채널 형성부와 보안채널을 형성할 수도 있다. 이러한 경우에는 3 개의 서로 다른 보안채널을 통해 상기 두 장치들(예컨대, 300 및 310)이 통신을 수행할 수도 있다.In addition, as described above, when the gateway devices (eg, 210 and 220) in which the two devices (eg, 300 and 310) form a secure channel are different from each other, the secure channel forming unit 211 may use another gateway device ( For example, the secure channel forming unit included in 220 and the secure channel may be formed. In this case, the two devices (eg, 300 and 310) may communicate with each other through three different secure channels.
또한, 각각의 게이트웨이 장치들(210, 220)은 각각 UTM(Unified Threat Management)으로 구현될 수 있다. 따라서, 원래의 게이트웨이가 수행하여야 할 외부로부터 내부망을 보호하기 위한 방확벽 기능 뿐만 아니라, 침입탐지(또는 방지)(IPS, Intrusion Prevention System), URL 필터링 등의 기능을 더 수행할 수 있다. 그리고 이러한 기능들을 수행하기 위한 각각의 구성들 즉, 방화벽 제공부(212), 침입탐지부(213), URL 필터링부(214) 들이 상기 각각의 게이트웨이 장치들(210, 220)에 더 포함될 수 있다. 이외에도 구현 예에 따라, DDos 탐지기능을 위한 구성, 스팸 처리를 위한 구성 들이 상기 각각의 게이트웨이 장치들(210, 220)에 더 포함될 수 있음은 물론이다. 상기 보안채널 형성부(211)를 제외한 상기 게이트웨이 장치들(210, 220)에 포함되는 구성들(예컨대, 212~214 등)은 널리 공지된 구성이므로 본 명세서에서는 상세한 설명은 생략하도록 한다.In addition, each of the gateway devices 210 and 220 may be implemented by Unified Threat Management (UTM). Therefore, not only a barrier function for protecting the internal network from the outside that the original gateway should perform, but also an intrusion prevention system (IPS, Intrusion Prevention System), URL filtering, and the like may be further performed. Each of the components for performing these functions, that is, the firewall providing unit 212, the intrusion detecting unit 213, and the URL filtering unit 214 may be further included in the respective gateway devices 210 and 220. . In addition, according to the embodiment, the configuration for the DDos detection function, the configuration for spam processing may be further included in each of the gateway devices (210, 220). Components (for example, 212 to 214, etc.) included in the gateway devices 210 and 220 except for the secure channel forming unit 211 are well known, so detailed description thereof will be omitted.
도 5를 참조하면, 내부망에 포함되는 단말기들(예컨대, 300~320) 각각에는 본 발명의 기술적 사상을 구현하기 위한 소정의 에이전트 시스템이 설치될 수 있다. 제1단말기(예컨대, 300)를 일 예로 들면, 상기 제1단말기(300)에는 상기 에이전트 시스템이 설치될 수 있다. 상기 에이전트 시스템은 본 발명의 기술적 사상을 구현하기 위해 상기 제1단말기(300)에 설치되는 소프트웨어 및 상기 제1단말기(300)의 하드웨어가 유기적으로 결합되어 구현되는 시스템을 의미할 수 있다.Referring to FIG. 5, each of the terminals (eg, 300 to 320) included in the internal network may be provided with a predetermined agent system for implementing the technical idea of the present invention. For example, the agent system may be installed in the first terminal 300 as an example of the first terminal 300. The agent system may refer to a system in which software installed in the first terminal 300 and hardware of the first terminal 300 are organically combined to implement the technical idea of the present invention.
상기 에이전트 시스템은 보안채널 형성모듈(310)을 포함할 수 있다. The agent system may include a secure channel forming module 310.
상기 보안채널 형성모듈(310)은 전술한 바와 같이 상기 게이트웨이 서버(200)에 포함되는 보안채널 형성부(211)와 보안채널을 형성할 수 있다. 전술한 상기 보안채널 형성부(211) 및 상기 보안채널 형성모듈(310)은 상기 매니저 서버(100)에 포함된 보안채널 설정부(120)의 제어하에 보안채널을 형성할 수 있다. 예컨대, 상기 보안채널 형성부(211) 및 상기 보안채널 형성모듈(310)은 서로 통신을 수행하여 VPN 터널링을 수행하고 VPN 채널을 형성할 수 있다.The secure channel forming module 310 may form a secure channel with the secure channel forming unit 211 included in the gateway server 200 as described above. The secure channel forming unit 211 and the secure channel forming module 310 may form a secure channel under the control of the secure channel setting unit 120 included in the manager server 100. For example, the secure channel forming unit 211 and the secure channel forming module 310 may communicate with each other to perform VPN tunneling and form a VPN channel.
또한, 상기 에이전트 시스템은 제어모듈(320)을 더 포함할 수 있다. In addition, the agent system may further include a control module 320.
상기 제어모듈(320)은 상기 매니저 서버(100)에 포함된 애플리케이션 관리부(140)의 제어하에 허용 애플리케이션을 관리하는 기능을 수행할 수 있다. 상기 제어모듈(320)은 허용 애플리케이션만이 상기 보안 네트워크에 접속하도록 제어할 수 있다. 구현 예에 따라서는, 상기 제1단말기(300)가 상기 보안 네트워크에 접속된 경우에는 상기 허용 애플리케이션만이 실행되도록 제어할 수도 있다. The control module 320 may perform a function of managing an allowed application under the control of the application manager 140 included in the manager server 100. The control module 320 may control only an allowed application to access the secure network. According to an embodiment of the present disclosure, when the first terminal 300 is connected to the secure network, only the allowed application may be executed.
또한, 상기 제어모듈(320)은 허용 애플리케이션이 상기 보안 네트워크를 통해 통신하는 트래픽량, 사용시간, 애플리케이션의 이름 등을 상기 애플리케이션 관리부(140)로 전송하여 상기 매니저 서버(100)가 보안 네트워크의 네트워크 모니터링을 수행하도록 할 수도 있다. 또한 상기 제어모듈(320)에 의해 차단되는 애플리케이션에 대한 정보(차단 애플리케이션의 이름, 실행위치, 사용시간 등의 로그정보)를 상기 매니저 서버(100)로 전송함으로써, 상기 매니저 서버(100)가 상기 보안 네트워크에서 실행요청되는 애플리케이션에 대한 전반적인 모니터링 및 관리를 수행하도록 할 수도 있다.In addition, the control module 320 transmits the amount of traffic, the usage time, the name of the application, and the like, through which the allowed application communicates through the secure network, to the application manager 140 so that the manager server 100 transmits the network of the secure network. Monitoring can also be performed. In addition, by transmitting the information (log information of the blocking application name, execution location, usage time, etc.) of the application blocked by the control module 320 to the manager server 100, the manager server 100 is You can also perform overall monitoring and management of applications that are requested to run on a secure network.
도 6은 본 발명의 일 실시 예에 따른 기업 내 보안망 제공방법을 설명하기 위한 데이터 플로우를 나타낸다.6 is a flowchart illustrating a data flow for explaining a method for providing a security network within an enterprise according to an embodiment of the present invention.
도 6을 참조하면, 기업의 내부망에 존재하는 소정의 제1단말기(300)는 매니저 서버(100)로 인증을 요청할 수 있다(S100). 그러면, 상기 매니저 서버(100)는 인증을 수행할 수 있다(S110). 인증결과 인증이 성공하면, 상기 매니저 서버(100)는 상기 제1단말기(300)가 보안채널을 형성할 게이트웨이 장치를 복수의 게이트웨이 장치들간의 로드를 고려하여 선택할 수도 있다(S120). 그러면, 선택된 게이트웨이 장치와 상기 제1단말기(300)로 전송할 채널 설정정보를 상기 매니저 서버(100)는 동적으로 생성하고(S130), 생성된 채널 설정정보를 상기 제1단말기(300) 및 상기 선택된 게이트웨이 장치(또는 게이트웨이 서버(200))로 전송할 수 있다(S140, S150). Referring to FIG. 6, a predetermined first terminal 300 existing in an internal network of an enterprise may request authentication from the manager server 100 (S100). Then, the manager server 100 may perform authentication (S110). Authentication result If the authentication is successful, the manager server 100 may select the gateway device for the first terminal 300 to form a secure channel in consideration of the load between the plurality of gateway devices (S120). Then, the manager server 100 dynamically generates channel setting information to be transmitted to the selected gateway device and the first terminal 300 (S130), and generates the generated channel setting information of the first terminal 300 and the selected terminal. It may transmit to the gateway device (or gateway server 200) (S140, S150).
그러면, 채널 설정정보를 각각 수신한 상기 제1단말기(300)와 상기 선택된 게이트웨이 장치(또는 게이트웨이 서버(200))는 수신된 채널 설정정보에 기초하여 보안채널을 형성할 수 있다(S160).Then, the first terminal 300 and the selected gateway device (or gateway server 200), which have received the channel setting information, respectively, may form a secure channel based on the received channel setting information (S160).
도 7은 본 발명의 실시 예에 따른 기업 내 보안망 제공방법에 따라 접근제어가 수행되는 데이터 플로우를 나타낸다.7 is a diagram illustrating a data flow in which access control is performed according to a method for providing a security network within an enterprise according to an embodiment of the present invention.
도 7을 참조하면, 상기 제1단말기(300)의 인증이 성공하면, 상기 매니저 서버(100)는 상기 제1단말기(300)에 상응하는 접근권한 정보를 생성할 수 있다(S200). 또한 상기 게이트웨이 서버(200)와 상기 제1단말기(300)가 통신을 수행할 타장치 역시 미리 도 6에 도시된 바와 같은 방식으로 소정의 보안채널이 형성된 상태일 수 있다(S200-1).Referring to FIG. 7, if authentication of the first terminal 300 succeeds, the manager server 100 may generate access right information corresponding to the first terminal 300 (S200). In addition, another device that the gateway server 200 and the first terminal 300 communicate with may also be in a state in which a predetermined security channel is formed in a manner as shown in FIG. 6 (S200-1).
그러면, 상기 매니저 서버(100)는 생성한 상기 접근권한 정보를 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)로 전송할 수 있다(S210).Then, the manager server 100 may transmit the generated access right information to the gateway server 200 (or the selected gateway device) (S210).
그리고, 도 6에서 설명한 바와 같이 상기 제1단말기(300)와 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)가 보안채널이 형성된 후(S220), 상기 제1단말기(300)는 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)로 상기 타장치에 대한 접근요청을 할 수 있다(S230). 그러면, 상기 게이트웨이 서버(200)(또는 선택된 게이트웨이 장치)는 과정(S210)을 통해 수신한 상기 접근권한 정보에 기초하여 상기 제1단말기(300)가 상기 타장치에 접근할 권한이 있는지 여부 즉, 상기 제1단말기(300)의 상기 타장치로의 접근의 허용여부를 판단한 수 있다(S240). 판단결과 허용된다고 판단되면, 상기 게이트웨이 서버(200)는 상기 제1단말기(300)와 상기 타장치간의 통신을 중계함으로써, 결과적으로는 상기 제1단말기(300)와 상기 타장치간에 보안채널이 형성되는 효과를 가져올 수 있다(S250).6, after the first terminal 300 and the gateway server 200 (or the selected gateway device) form a secure channel (S220), the first terminal 300 is connected to the gateway server ( 200 (or the selected gateway device) may request an access to the other device (S230). Then, the gateway server 200 (or the selected gateway device) determines whether or not the first terminal 300 has permission to access the other device based on the access right information received in step S210. It may be determined whether the first terminal 300 is allowed to access the other device (S240). If it is determined that the determination is permitted, the gateway server 200 relays the communication between the first terminal 300 and the other device, and as a result, a secure channel is formed between the first terminal 300 and the other device. It may bring an effect (S250).
본 발명의 실시 예에 따른 기업 내 보안망 제공방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The method for providing a security network in an enterprise according to an exemplary embodiment of the present invention may be implemented as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, optical data storage, and the like, and also in the form of carrier waves (e.g., transmission over the Internet). It also includes implementations. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. And functional programs, codes and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to one embodiment shown in the drawings, this is merely exemplary, and those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
본 발명의 기업내 보안 솔루션에 이용될 수 있다.It can be used in the enterprise security solution of the present invention.

Claims (18)

  1. 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공시스템에 있어서,In the enterprise security network providing system for providing a security network to a plurality of terminals including a first terminal connected to the internal network in the enterprise,
    상기 제1단말기와 상기 내부 망에 존재하는 타장치 간의 통신을 위해 상기 제1단말기와 제1보안 채널을 형성하기 위한 게이트웨이 서버; 및A gateway server for establishing a first secure channel with the first terminal for communication between the first terminal and another device existing in the internal network; And
    상기 제1보안 채널의 설정을 위해 상기 게이트웨이 서버 및 상기 제1단말기를 제어하기 위한 매니저 서버를 포함하는 기업 내 보안망 제공시스템.And a manager server for controlling the gateway server and the first terminal to establish the first secure channel.
  2. 제1항에 있어서, 상기 매니저 서버는,The method of claim 1, wherein the manager server,
    상기 제1단말기의 사용자를 인증하기 위한 인증부; 및An authentication unit for authenticating a user of the first terminal; And
    상기 제1단말기의 사용자가 인증된 경우 상기 제1보안 채널을 위한 채널 설정 정보를 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하기 위한 보안채널 설정부를 포함하는 기업 내 보안망 제공시스템.And a secure channel setting unit for generating channel setting information for the first secure channel and transmitting the generated channel setting information to the first terminal and the gateway server when the user of the first terminal is authenticated.
  3. 제2항에 있어서, 상기 보안채널 설정부는,The method of claim 2, wherein the secure channel setting unit,
    상기 제1보안 채널의 통신상대, 암호화알고리즘, 또는 암호화 키 값 중 적어도 하나를 포함하는 상기 채널 설정정보를 동적으로 생성하여 상기 제1단말기 및 상기 게이트웨이 서버로 전송하는 것을 특징으로 하는 기업 내 보안망 제공시스템.The enterprise security network, characterized in that for dynamically generating the channel setting information including at least one of a communication partner, an encryption algorithm, or an encryption key value of the first secure channel to the first terminal and the gateway server. Providing system.
  4. 제2항에 있어서, 상기 보안채널 설정부는,The method of claim 2, wherein the secure channel setting unit,
    상기 게이트웨이 서버에 포함된 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여, 상기 복수의 게이트웨이 장치들 중 상기 제1단말기와 상기 제1보안 채널을 형성할 게이트웨이 장치를 선택하는 것을 특징으로 하는 기업 내 보안망 제공시스템. Selecting a gateway device to form the first secure channel with the first terminal among the plurality of gateway devices based on a secure channel setting load of each of the plurality of gateway devices included in the gateway server. In-house security network providing system.
  5. 제2항에 있어서, 상기 매니저 서버는,The method of claim 2, wherein the manager server,
    상기 제1단말기를 통해 접근할 수 있는 상기 타장치에 대한 정보를 특정하기 위한 접근권한 정보를 설정하는 접근제어부를 더 포함하며,And an access control unit for setting access right information for specifying information on the other device accessible through the first terminal.
    상기 접근제어부는,The access control unit,
    상기 게이트웨이 서버로 상기 제1단말기에 상응하는 상기 접근권한 정보를 전송하여, 상기 게이트웨이 서버가 상기 제1단말기가 상기 접근권한정보에 상응하도록 상기 타장치로의 접근을 선택적으로 허용하도록 제어하는 것을 특징으로 하는 기업 내 보안망 제공시스템.Transmitting the access right information corresponding to the first terminal to the gateway server, and controlling the gateway server to selectively allow access to the other device so that the first terminal corresponds to the access right information. In-house security network providing system.
  6. 제2항에 있어서, 상기 매니저 서버는,The method of claim 2, wherein the manager server,
    상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 설정하는 애플리케이션 관리부를 더 포함하며,And an application manager configured to set application management information for specifying information on an allowed application that can access the security network among the applications installed in the first terminal.
    상기 애플리케이션 관리부는,The application manager,
    상기 애플리케이션 관리정보를 상기 제1단말기로 전송하여, 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 것을 특징으로 하는 기업 내 보안망 제공시스템. And transmitting the application management information to the first terminal, thereby controlling the first terminal to allow only the allowed application to selectively access the security network.
  7. 제1항에 있어서, 상기 게이트웨이 서버는,The method of claim 1, wherein the gateway server,
    상기 매니저 서버의 제어하에 상기 제1단말기와 보안 채널을 형성하기 위한 보안 채널 형성부를 포함하며,A secure channel forming unit for forming a secure channel with the first terminal under control of the manager server,
    상기 보안 채널 형성부는,The secure channel forming unit,
    외부망에 존재하는 소정의 외부장치와 외부 보안 채널을 더 형성하는 것을 특징으로 하는 기업 내 보안망 제공시스템.An internal security network providing system, characterized in that to form an external security channel with a predetermined external device existing in the external network.
  8. 제1항에 있어서, 상기 게이트웨이 서버는,The method of claim 1, wherein the gateway server,
    외부망과 상기 내부망 사이에 소정의 방화벽을 제공하기 위한 방화벽 제공부;A firewall providing unit for providing a predetermined firewall between an external network and the internal network;
    상기 외부망으로부터 상기 내부망으로의 침입을 탐지하기 위한 침입탐지부; 또는An intrusion detector for detecting an intrusion into the inner network from the outer network; or
    상기 외부망 또는 상기 내부망으로의 접근 URL을 필터링하기 위한 URL 필터링부 중 적어도 하나를 더 포함하는 기업 내 보안망 제공시스템.And at least one of a URL filtering unit for filtering the access URL to the external network or the internal network.
  9. 제1항에 있어서, 상기 제1단말기는,The method of claim 1, wherein the first terminal,
    상기 매니저 서버로부터 채널 설정정보를 수신하고, 수신된 상기 채널 설정정보에 기초하여 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하기 위한 보안 채널 형성모듈을 포함하는 에이전트 시스템을 포함하는 기업 내 보안망 제공시스템.Receiving the channel setting information from the manager server, on the basis of the received channel setting information provided in the enterprise security network including an agent system including a secure channel forming module for forming the first secure channel with the gateway server. system.
  10. 제9항에 있어서, 상기 에이전트 시스템은,The method of claim 9, wherein the agent system,
    상기 애플리케이션 관리부로부터 소정의 애플리케이션 관리정보를 수신하고, 수신된 애플리케이션 관리정보에 기초하여 특정되는 허용 애플리케이션만이 상기 보안 채널 형성모듈을 통해 상기 보안망에 접속하도록 제어하는 제어모듈을 더 포함하는 기업 내 보안망 제공시스템.And a control module for receiving predetermined application management information from the application manager and controlling only allowed applications specified based on the received application management information to access the security network through the secure channel forming module. Security network providing system.
  11. 제10항에 있어서, 상기 제어모듈은,The method of claim 10, wherein the control module,
    상기 애플리케이션 관리정보에 기초하여 차단되는 차단 애플리케이션에 대한 정보를 상기 매니저 서버로 전송하거나, 상기 차단 애플리케이션의 프로세스를 강제종료 하는 것을 특징으로 하는 기업 내 보안망 제공시스템.And transmitting information on the blocked application to the manager server based on the application management information or forcibly terminating the process of the blocked application.
  12. 제1항에 있어서, 상기 보안채널은,The method of claim 1, wherein the secure channel,
    VPN 채널인 것을 특징으로 하는 기업 내 보안망 제공시스템.Security network providing system in the enterprise, characterized in that the VPN channel.
  13. 기업 내의 내부망에 연결된 제1단말기를 포함하는 복수의 단말기들에 보안망을 제공하기 위한 기업 내 보안망 제공방법에 있어서,In the enterprise security network providing method for providing a security network to a plurality of terminals including a first terminal connected to the internal network in the enterprise,
    상기 제1단말기가 매니저 서버를 통해 사용자 인증을 수행하는 단계;Performing, by the first terminal, user authentication through a manager server;
    인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계; 및Establishing, by the first terminal, a first secure channel with the gateway server according to the authentication result; And
    상기 제1단말기가 상기 제1보안 채널과 상기 게이트웨이 서버와 상기 보안망에 접속된 타장치 간에 형성된 제2보안 채널을 통해 상기 타장치와 통신을 수행하는 단계를 포함하는 기업 내 보안망 제공방법.And providing, by the first terminal, communication with the other device through a second secure channel formed between the first secure channel, the gateway server, and another device connected to the secure network.
  14. 제13항에 있어서, 상기 기업 내 보안망 제공방법은,The method of claim 13, wherein
    인증이 성공되면 상기 제1단말기가 상기 매니저 서버로부터 상기 제1보안 채널을 형성하기 위한 채널 설정정보를 수신하는 단계를 더 포함하며, 및If the authentication is successful, the first terminal receiving channel setting information for forming the first secure channel from the manager server, and
    수신된 상기 채널 설정정보에 기초하여 상기 제1단말기가 상기 게이트웨이 서버와 상기 제1보안 채널을 형성하는 것을 특징으로 하는 기업 내 보안망 제공방법.And the first terminal establishes the first secure channel with the gateway server based on the received channel setting information.
  15. 제13항에 있어서, 상기 게이트웨이 서버는,The method of claim 13, wherein the gateway server,
    복수의 게이트웨이 장치들을 포함하며,It includes a plurality of gateway devices,
    인증결과에 따라 상기 제1단말기가 게이트웨이 서버와 제1보안 채널을 형성하는 단계는,The step of forming the first secure channel with the gateway server by the first terminal according to the authentication result,
    상기 복수의 게이트웨이 장치들 각각의 보안 채널설정 로드(load)에 기초하여 선택된 소정의 게이트웨이 장치와 상기 제1단말기가 상기 제1보안 채널을 형성하는 단계를 포함하는 기업 내 보안망 제공방법. And establishing a first secure channel by a predetermined gateway device and the first terminal selected based on a secure channel setup load of each of the plurality of gateway devices.
  16. 제13항에 있어서, 상기 타장치와 통신을 수행하는 단계는,The method of claim 13, wherein the communicating with the other device comprises:
    상기 매니저 서버로부터 상기 게이트웨이 서버로 전송된 접근권한 정보에 기초하여 상기 게이트웨이 서버에 의해 선택적으로 허용되는 상기 타장치와 통신을 수행하는 것을 특징으로 하는 기업 내 보안망 제공방법.And communicating with the other device selectively permitted by the gateway server based on the access right information transmitted from the manager server to the gateway server.
  17. 제13항에 있어서, 상기 기업 내 보안망 제공방법은,The method of claim 13, wherein
    상기 제1단말기가 상기 매니저 서버로부터 상기 제1단말기에 설치되는 애플리케이션 중 상기 보안망에 접속할 수 있는 허용 애플리케이션에 대한 정보를 특정하기 위한 애플리케이션 관리정보를 수신하는 단계; 및 Receiving, by the first terminal, application management information for specifying information about an allowed application that can access the security network among the applications installed in the first terminal from the manager server; And
    수신된 상기 애플리케이션 관리정보에 기초하여 상기 제1단말기가 상기 허용 애플리케이션만 상기 보안망에 선택적으로 접근을 허용하도록 제어하는 단계를 더 포함하는 기업 내 보안망 제공방법. And controlling the first terminal to selectively allow only the allowed application to access the security network based on the received application management information.
  18. 제13항 내지 제17항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독가능한 기록매체.A computer-readable recording medium having recorded thereon a program for performing the method according to any one of claims 13 to 17.
PCT/KR2014/000968 2013-02-05 2014-02-05 System for providing security network in company and method therefor WO2014123347A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2013-0012922 2013-02-05
KR1020130012922A KR20140100101A (en) 2013-02-05 2013-02-05 System and method for providing secure network in enterprise

Publications (1)

Publication Number Publication Date
WO2014123347A1 true WO2014123347A1 (en) 2014-08-14

Family

ID=51299897

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/000968 WO2014123347A1 (en) 2013-02-05 2014-02-05 System for providing security network in company and method therefor

Country Status (2)

Country Link
KR (1) KR20140100101A (en)
WO (1) WO2014123347A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100085424A (en) * 2009-01-20 2010-07-29 성균관대학교산학협력단 Group key distribution method and server and client for implementing the same
KR20120092791A (en) * 2011-02-14 2012-08-22 삼성전자주식회사 Method and system for remote controlling of mobile terminal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100085424A (en) * 2009-01-20 2010-07-29 성균관대학교산학협력단 Group key distribution method and server and client for implementing the same
KR20120092791A (en) * 2011-02-14 2012-08-22 삼성전자주식회사 Method and system for remote controlling of mobile terminal

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
V. GUPTA ET AL.: "KSSL: Experiments in Wireless Internet Security", SUN MICROSYSTEMS, SMLI TR-2001-103, 1 November 2001 (2001-11-01) *

Also Published As

Publication number Publication date
KR20140100101A (en) 2014-08-14

Similar Documents

Publication Publication Date Title
US8959334B2 (en) Secure network architecture
WO2013055091A1 (en) Method and system for storing information by using tcp communication
KR101143847B1 (en) Network security apparatus and method thereof
US20070169171A1 (en) Technique for authenticating network users
Islam et al. An analysis of cybersecurity attacks against internet of things and security solutions
KR101992976B1 (en) A remote access system using the SSH protocol and managing SSH authentication key securely
WO2013085217A1 (en) Security management system having multiple relay servers, and security management method
WO2022235007A1 (en) Controller-based network access control system, and method thereof
WO2021112494A1 (en) Endpoint-based managing-type detection and response system and method
US7594268B1 (en) Preventing network discovery of a system services configuration
WO2016190663A1 (en) Security management device and security management method in home network system
WO2016200232A1 (en) System and method for remote server recovery in case of server failure
KR20150114921A (en) System and method for providing secure network in enterprise
WO2024029658A1 (en) Access control system in network and method therefor
WO2019182219A1 (en) Blockchain-based trusted network system
KR101818508B1 (en) System, method and computer readable recording medium for providing secure network in enterprise
WO2019045424A1 (en) Security socket layer decryption method for security
WO2018056582A1 (en) Method for inspecting packet using secure sockets layer communication
WO2014123347A1 (en) System for providing security network in company and method therefor
WO2021107493A1 (en) Image monitoring system having security-reinforced camera use environment configuration capability
KR102132490B1 (en) Method and apparatus for trust network configurations of mobile devices in software-defined network
JP2005515700A (en) Methods and devices for providing secure connections in mobile computing environments and other intermittent computing environments
EP2090073B1 (en) Secure network architecture
WO2014107028A1 (en) System for preventing malware invasion, and method for operating said system for preventing malware invasion
Buriachok et al. Using 2.4 GHz Wireless Botnets to Implement Denial-of-Service Attacks

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14749507

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14749507

Country of ref document: EP

Kind code of ref document: A1