WO2023068553A1 - 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 - Google Patents

컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 Download PDF

Info

Publication number
WO2023068553A1
WO2023068553A1 PCT/KR2022/013584 KR2022013584W WO2023068553A1 WO 2023068553 A1 WO2023068553 A1 WO 2023068553A1 KR 2022013584 W KR2022013584 W KR 2022013584W WO 2023068553 A1 WO2023068553 A1 WO 2023068553A1
Authority
WO
WIPO (PCT)
Prior art keywords
node
application
data flow
identification information
network
Prior art date
Application number
PCT/KR2022/013584
Other languages
English (en)
French (fr)
Inventor
김영랑
Original Assignee
프라이빗테크놀로지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 프라이빗테크놀로지 주식회사 filed Critical 프라이빗테크놀로지 주식회사
Publication of WO2023068553A1 publication Critical patent/WO2023068553A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • Embodiments disclosed in this document relate to a system and method for controlling a controller-based network connection.
  • a smartphone may transmit or receive data with a server via the Internet.
  • the network may include a private network such as an intranet as well as a public network such as the Internet.
  • TCP transmission control protocol
  • IP Internet protocol
  • NAC network access controller
  • a firewall is a method of determining whether or not to allow data packet transmission based on source IP, destination IP, and port information included in IP header information and a policy.
  • a VPN virtual private network
  • a VPN is a method of guaranteeing integrity and confidentiality of data packets by using a tunnel to which encryption is applied on the TCP/IP protocol.
  • ARP spoofing puts a load on the network, and recently, a technique to bypass it is being developed. Since the firewall is for controlling the flow of data packets, it may not be directly involved in the process of creating a connection between two nodes. In addition, VPN is weak in managing the flow of data packets after the tunnel is created. In addition, since the above technologies are based on TCP/IP, security of other layers (eg, application layer) among open system interconnection (OSI) layers may be vulnerable.
  • OSI open system interconnection
  • a node includes communication circuitry, a processor operatively connected to the communication circuitry, and a memory operatively connected to the processor and storing a receive application and an access control application;
  • the memory when executed by the processor, causes the node to detect a network reception event from the source network through the access control application, and to access a destination service port included in a data packet from the source network through the access control application.
  • commands for requesting network reception to the external server may be stored.
  • a node includes communication circuitry, a processor operatively connected to the communication circuitry, and a memory operatively connected to the processor and storing a receive application and an access control application;
  • the memory when executed by the processor, causes the node to detect a network transmission event for a response to a data packet received and processed through the access control application, and to detect a network transmission event for the data packet received and processed through the access control application.
  • a server includes communication circuitry, a memory for storing a database, and a processor operatively coupled to the communication circuitry and the memory, the processor configured to: A first request requesting a controller connection to a server is received, the first request includes identification information of at least one of the node, the access control application, and a network to which the node belongs, and is included in the first request Determines whether the node is accessible based on the identification information and the database, generates a control flow if the node is an accessible device, and receives application information or a service port that can be received based on the identification information and transmit the identification information of the control flow, the receivable application information, or the receivable service port information to the node through the communication circuit.
  • a method of operating an access control application stored in a node includes an operation of detecting a network reception event from a source network, and a service port included in a data packet from the source network through the access control application. Operation of checking whether there is a data flow corresponding to and authorized from an external server, operation of dropping the data packet if the authorized data flow does not exist, existence of the authorized data flow and the authorized data
  • the network reception request includes identification information of the source network and identification information of the service port or the authorized data flow, and receiving an updated data flow from the external server, the updated data flow and receiving and processing the data packet based on the updated data flow and including the identification information of the source network.
  • a node may block reception of data packets by unauthorized applications.
  • tunnel-based access control can be performed compared to a VPN that only provides section protection.
  • a long round trip can be prevented by checking the reception state of the destination node and the reception state of the receiving application in advance.
  • a destination node may control network access upon receipt of a data packet and upon receipt response to the received data packet.
  • a destination node can control network access based on a service port even when it does not know identification information of a receiving application.
  • FIG. 1 shows an environment including a plurality of networks.
  • FIG. 2 illustrates an architecture within a network environment according to various embodiments.
  • FIG. 3 is a functional block diagram illustrating a database stored in a controller according to various embodiments.
  • FIG. 4 shows a functional block diagram of a node according to various embodiments.
  • FIG. 6 shows a signal flow diagram for controller access of a source node according to various embodiments.
  • FIG. 7 illustrates a user interface screen for accessing a controller of a source node according to various embodiments.
  • FIG. 8 shows a signal flow diagram for user authentication of a source node according to various embodiments.
  • FIG. 9 illustrates a signal flow diagram for controlling network access of a source node according to various embodiments.
  • FIG. 10 illustrates a signal flow diagram for controller connection of a destination node according to various embodiments.
  • FIG. 11 shows a signal flow diagram for user authentication of a destination node according to various embodiments.
  • FIG. 12 shows a signal flow diagram for controlling network reception of a destination node according to various embodiments.
  • FIG. 13 shows a signal flow diagram for controlling network transmission of a destination node according to various embodiments.
  • FIG. 14 illustrates a signal flow diagram for application execution at a destination node according to various embodiments.
  • 15 illustrates a signal flow diagram for application termination at a destination node according to various embodiments.
  • 16 illustrates an operational flow diagram for controlling network reception at a destination node according to various embodiments.
  • FIG. 17 illustrates a signal flow diagram for control flow update at a destination node according to various embodiments.
  • FIG. 18 illustrates a signal flow diagram for releasing a network connection from a source node according to various embodiments.
  • 19 illustrates a signal flow diagram for releasing a network connection at a destination node according to various embodiments.
  • FIG. 20 shows a user interface screen for releasing a network connection.
  • a (e.g., first) component is said to be “coupled” or “connected” to another (e.g., second) component, with or without the terms “functionally” or “communicatively.”
  • the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.
  • Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. .
  • operations performed by modules, programs, or other components are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the operations are executed in a different order, omitted, or , or one or more other operations may be added.
  • module used in this document may include a unit implemented in hardware, software, or firmware, and may be used interchangeably with terms such as logic, logic block, component, or circuit, for example.
  • a module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions.
  • the module may be implemented in the form of an application-specific integrated circuit (ASIC).
  • ASIC application-specific integrated circuit
  • Various embodiments of the present document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine.
  • the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked.
  • the one or more instructions may include code generated by a compiler or code executable by an interpreter.
  • the device-readable storage medium may be provided in the form of a non-transitory storage medium.
  • 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.
  • Computer program products may be traded between sellers and buyers as commodities.
  • a computer program product is distributed in the form of a device-readable storage medium (eg compact disc read only memory (CD-ROM)), or through an application store or between two user devices (eg smartphones). It can be distributed (e.g., downloaded or uploaded) directly or online.
  • a device-readable storage medium such as a manufacturer's server, an application store server, or a relay server's memory.
  • FIG. 1 shows an environment including a plurality of networks.
  • the first network 10 and the second network 20 may be different networks.
  • the first network 10 may be a public network such as the Internet
  • the second network 20 may be a private network such as an intranet or VPN.
  • the first network 10 may include a source node 101 .
  • the 'source node' may be various types of devices capable of performing data communication.
  • the source node 101 may be a portable device such as a smartphone or tablet, a computer device such as a desktop or laptop, a multimedia device, a medical device, a camera, a wearable device, or a virtual reality (VR) device. , or home appliances, but is not limited to the aforementioned devices.
  • source node 101 may include a server or gateway capable of transmitting data packets through an application.
  • the source node 101 may also be referred to as 'electronic device' or 'terminal'.
  • the destination node 102 may include the same or similar device as the above-described source node 101 .
  • the source node 101 may attempt access to the second network 20 and transmit data to the destination node 102 included in the second network 20 .
  • Source node 101 may transmit data to destination node 102 via gateway 103 and tunnel 105 .
  • the starting node 101 If access to the first network 10 of the starting node 101 is approved, since the starting node 101 can communicate with all servers included in the first network 10, the starting node 101 is malicious. ) can be exposed from program attacks. For example, the origin node 101 may be infected with malicious code 110c, as well as trusted and/or secure applications such as Internet web browser 110a and business application 110b. ) may receive data of an untrusted or unsecured application such as the business application 110d.
  • the starting node 101 infected by the malicious program may attempt access to the second network 20 and/or data transmission.
  • the second network 20 is formed based on IP, such as VPN, it may be difficult to individually monitor a plurality of devices included in the second network 20, and application in the OSI layer Security at the layer or transport layer may be vulnerable.
  • the source node 101 includes a malicious application after the tunnel has already been created, the data of the malicious application will be delivered to other electronic devices (eg, the destination node 102) within the second network 20.
  • FIG. 2 illustrates an architecture within a network environment according to various embodiments.
  • the number of source nodes 201 , gateways 203 and destination nodes 204 is not limited to the number shown in FIG. 2 .
  • the source node 201 may transmit data to a plurality of destination nodes through a plurality of gateways, and the controller 202 may manage the plurality of source nodes, gateways, and destination nodes.
  • the origin node 201 may perform the same or similar function as the origin node 101 shown in FIG. 1, and the gateway 203 may perform the same or similar function as the gateway 103 shown in FIG.
  • Destination node 204 may perform the same or similar functions as destination node 102 shown in FIG.
  • the controller 202 may be, for example, a server (or cloud server).
  • the controller 202 can ensure reliable data transmission within a network environment by managing data transmission between the source node 201, the gateway 203, and the destination node 204.
  • the controller 202 manages access of the source node 201 to the destination node 204 through policy information or blacklist information, or an authorized tunnel between the source node 201 and the gateway 203.
  • the creation of the tunnel 210 may be intermediary, or the tunnel 210 may be removed according to security events collected from the source node 201 or the gateway 203 .
  • the source node 201 can communicate with the destination node 204 only through the tunnel 210 authorized by the controller 202, and if the authorized tunnel 210 does not exist, the source node 201 is the destination node ( 204) may be blocked.
  • the controller 202 sends the source node 201 and control data packets to perform various operations (eg, registration, approval, authentication, renewal, termination) associated with network access of the source node 201. can transmit and receive.
  • the controller 202 transmits and receives control data packets to and from the destination node 204 in order to perform various operations (eg, registration, approval, authentication, update, and termination) associated with network access and network reception of the destination node 204. can do.
  • a flow through which the control data packet is transmitted (eg, 220 and 240) may be referred to as a control flow.
  • the gateway 203 may be located at a boundary of a network to which the source node 201 belongs or a boundary of a network to which the destination node 204 belongs.
  • the number of gateways 203 may be plural.
  • the gateway 203 may forward only data packets received through the authorized tunnel 210 among data packets received from the source node 201 to the destination node 204 .
  • a flow in which data packets are transmitted between the source node 201 and the gateway 203, the gateway 203 and the destination node 204, or the source node 201 and the destination node 204 (eg, 230) is referred to as a data flow. can be referenced.
  • the gateway 203 may be connected to the controller 202 based on a cloud.
  • the gateway 203 may create an authorized tunnel 210 with the source node 201 under the control of the controller 202 .
  • the source node 201 may include a first connection control application 211 and a network driver (not shown) for managing network access of applications stored in the source node 201 .
  • a first connection control application 211 for managing network access of applications stored in the source node 201 .
  • the control application 211 may determine whether the target application 221 is accessible or not. If the target application 221 is accessible, the first access control application 211 is directed to the gateway 203 through the tunnel 210.
  • a data packet may be transmitted
  • the first access control application 211 may control transmission of a data packet through a kernel including an operating system and a network driver in the source node 201 .
  • the destination node 204 may include a second connection control application 214 and a network driver (not shown) for managing network connections of applications stored in the destination node 204 .
  • the second access control application 214 determines whether the reception application 224 can receive reception. can decide If the receiving application 224 is able to receive, the second connection control application 214 can receive the data packet from the source node 201 or gateway 203 .
  • the second access control application 214 may control reception of data packets in the destination node 204 through a kernel including an operating system and a network driver.
  • FIG. 3 is a functional block diagram illustrating a database stored in a controller (eg, the controller 202 of FIG. 2 ) according to various embodiments.
  • the controller is a communication circuit (eg, the source node 201, the gateway 203, or the destination node 204 of FIG. 2) to communicate with an external electronic device.
  • the communication circuit 430 of FIG. 4 and a processor for controlling the overall operation of the controller (eg, the processor 410 of FIG. 4 ) may be further included.
  • the controller may store databases 311 to 317 for control of network access and data transmission in the memory 330 .
  • the access policy database 311 may include information on networks and/or services to which the identified network, source node, destination node, user, or application may access. For example, when access to a destination node is requested from a source node, the controller identifies a network (eg, a network to which the source node belongs), a source node, and a user (eg, a source node) identified based on the access policy database 311. user), and/or applications (eg, applications included in the source node) may determine whether access to the destination node is possible.
  • a network eg, a network to which the source node belongs
  • a source node e.g, a source node
  • a user eg, a source node
  • applications eg, applications included in the source node
  • the tunnel policy database 312 may include information on a type of tunnel to be connected to a gateway existing on a boundary between a source node (eg, terminal) and a network on a connection path, an encryption method, and an encryption level. For example, when an access to a destination node is requested from a source node, the controller may provide the optimum tunnel for accessing the destination node and related information to the source node based on the tunnel policy database 312 .
  • the blacklist policy database 313 may include a policy for permanently or temporarily blocking access of a specific node (eg, a source node or a destination node).
  • the blacklist policy database 313 includes information (e.g., source node ID (identifier ), at least one of an IP address, a media access control (MAC) address, or a user ID).
  • the blacklist database 314 may include a list of at least one of a source node, a destination node, an IP address, a MAC address, or a user blocked by the blacklist policy database 313 . For example, if the identification information of the source node requesting access to the destination node is included in the blacklist database 314, the controller may isolate the source node from the destination node by rejecting the request for access from the source node.
  • the control flow table 315 is an example of a session table for managing a flow (eg, control flow) of control data packets generated between a node (eg, a source node or a destination node) and a controller.
  • control flow information may be generated by the controller.
  • the control flow information may include at least one of control flow identification information, an IP address identified during access to and authentication of a controller, a node ID, and a user ID.
  • the controller searches for control flow information through control flow identification information received from the source node, and includes an IP address included in the searched control flow information, a source node ID, Alternatively, by mapping at least one of the user IDs to the access policy database 311, it is possible to determine whether the source node can access and whether to create a tunnel.
  • a control flow may have an expiration time.
  • a node eg, a source node or a destination node
  • the controller may remove the control flow according to the node's connection termination request. If the control flow is removed, the previously created tunnel and data flow are also removed, so node access may be blocked.
  • the tunnel table 316 is a table for managing tunnels connected between a source node and a gateway. Tunnel can be created, for example, per device or per IP. When a tunnel is created between the source node and the gateway, the tunnel table 316 includes tunnel identification information, control flow identification information when the tunnel is subordinate to the control flow, a tunnel end point (TEP), and a tunnel start point (tunnel start point (TSP), tunnel algorithm, tunnel type, and/or additional information for tunnel management.
  • TEP tunnel end point
  • TSP tunnel start point
  • the data flow table 317 is a table for managing a flow (eg, data flow) in which detailed data packets are transmitted between a source node and a destination node.
  • a data flow can be created in a TCP session, an application of a source node, or a more granular unit within a tunnel created by a source node or an IP unit.
  • the data flow table 317 includes data flow identification information, control flow identification information if the data flow is dependent on the control flow, an application ID for identifying whether the data packet transmitted from the source node is an authorized data packet, and a destination IP address , and/or a service port.
  • the data flow table 317 may include identification information of a tunnel through which a data flow is to be used.
  • the data flow table 317 may include a header (or header information) for determining whether the data packet is valid.
  • the data flow table 317 may further include whether or not a data flow header, which is authentication information, is inserted into the data packet, a header insertion method, whether or not authentication of the data flow is required, an authentication status, and/or an authentication expiration time.
  • the data flow table 317 may include source node information (eg, source IP) of a destination node, service port information, and receivable application information.
  • the data flow table 317 may include information about a service port being received by an application capable of receiving data packets.
  • FIG. 4 shows a functional block diagram of a node (eg, the source node 201 and the destination node 204 of FIG. 2 ) according to various embodiments.
  • a node may include a processor 410 , a memory 420 , and a communication circuit 430 .
  • the node may further include a display 440 to interface with a user.
  • the processor 410 may control the overall operation of the node.
  • the processor 410 may include a single processor core or may include a plurality of processor cores.
  • the processor 410 may include multi-cores such as dual-core, quad-core, and hexa-core.
  • the processor 410 may further include an internal or external cache memory.
  • the processor 410 may be configured with one or more processors.
  • the processor 410 may include at least one of an application processor, a communication processor, or a graphical processing unit (GPU).
  • GPU graphical processing unit
  • processor 410 is electrically or operatively coupled to other components within the node (e.g., memory 420, communication circuitry 430, or display 440). (coupled with) or connected to.
  • the processor 410 may receive commands from other components of the node, interpret the received commands, and perform calculations or process data according to the interpreted commands.
  • the processor 410 may interpret and process messages, data, commands, or signals received from the memory 420 , the communication circuit 430 , or the display 440 .
  • the processor 410 may generate a new message, data, command, or signal based on the received message, data, command, or signal.
  • Processor 410 may provide processed or generated messages, data, instructions, or signals to memory 420 , communication circuitry 430 , or display 440 .
  • the processor 410 may process data or signals generated or generated by a program. For example, the processor 410 may request instructions, data, or signals from the memory 420 to execute or control a program. The processor 410 may record (or store) or update instructions, data, or signals in the memory 420 to execute or control a program.
  • the memory 420 may store commands for controlling nodes, control command codes, control data, or user data.
  • the memory 420 may include at least one of an application program, an operating system (OS), middleware, or a device driver.
  • OS operating system
  • middleware middleware
  • device driver a device driver
  • the memory 420 may include one or more of volatile memory and non-volatile memory.
  • Volatile memory includes dynamic random access memory (DRAM), static RAM (SRAM), synchronous DRAM (SDRAM), phase-change RAM (PRAM), magnetic RAM (MRAM), resistive RAM (RRAM), and ferroelectric RAM (FeRAM).
  • DRAM dynamic random access memory
  • SRAM static RAM
  • SDRAM synchronous DRAM
  • PRAM phase-change RAM
  • MRAM magnetic RAM
  • RRAM resistive RAM
  • FeRAM ferroelectric RAM
  • the nonvolatile memory may include read only memory (ROM), programmable ROM (PROM), electrically programmable ROM (EPROM), electrically erasable programmable ROM (EEPROM), flash memory, and the like.
  • the memory 420 uses a nonvolatile medium such as a hard disk drive (HDD), a solid state disk (SSD), an embedded multi media card (eMMC), or a universal flash storage (UFS). can include more.
  • a nonvolatile medium such as a hard disk drive (HDD), a solid state disk (SSD), an embedded multi media card (eMMC), or a universal flash storage (UFS).
  • HDD hard disk drive
  • SSD solid state disk
  • eMMC embedded multi media card
  • UFS universal flash storage
  • the memory 420 may store some of the information included in the memory of the controller (eg, the memory 330 of FIG. 3 ).
  • the memory 420 may store the tunnel table 316 and the data flow table 317 described in FIG. 3 .
  • the communication circuit 430 may support establishment of a wired or wireless communication connection between a node and an external electronic device (eg, the controller 202 or gateway 203 of FIG. 2 ) and communication through the established connection.
  • the communication circuit 430 may be a wireless communication circuit (eg, cellular communication circuit, short-range wireless communication circuit, or global navigation satellite system (GNSS) communication circuit) or a wired communication circuit (eg, a local area network (LAN)).
  • GNSS global navigation satellite system
  • LAN local area network
  • communication circuit or power line communication circuit
  • a short-distance communication network such as Bluetooth, WiFi direct, or IrDA (infrared data association) or a cellular network
  • IrDA infrared data association
  • long-distance communication such as the Internet
  • computer network It may communicate with an external electronic device through a network.
  • the various types of communication circuits 430 described above may be implemented as a single chip or may be implemented as separate chips.
  • the display 440 may output content, data, or signals.
  • the display 440 may display image data processed by the processor 410 .
  • the display 440 may be configured as an integrated touch screen by being combined with a plurality of touch sensors (not shown) capable of receiving a touch input.
  • a plurality of touch sensors may be disposed above the display 440 or below the display 440 .
  • a server (eg, a controller) may include a processor 410 , a memory 420 , and a communication circuit 430 .
  • the processor 410, memory 420, and communication circuit 430 included in the server may be substantially the same as the processor 410, memory 420, and communication circuit 430 described above.
  • the second access control application 214 detects a network reception request for the destination application 224 from the origin network including the origin node 201, and the destination node 204 or the destination application ( 224 may determine whether or not the controller 202 is in a connected state.
  • the second access control application 214 blocks reception of data packets from a kernel including an operating system or a network driver. It may block (act 510).
  • the second access control application 214 may detect a network transmission request to transmit a data packet for a response to the data packet received from the source node 201, and receive the transmitted data packet for the response. It is possible to determine whether the application 224 is connected to the controller 202 . If the receiving application 224 that has transmitted the data packet for response is not connected to the controller 202, the second connection control application 214 may block transmission of the data packet, and thus the destination node 204 may control the connection of the source node 201 by not performing a response to the data packet received from the source node 201 (operation 510).
  • 6 and 7 describe an operation for accessing a controller of a source node according to various embodiments.
  • 6 shows a signal flow diagram for controller access of a source node
  • FIG. 7 shows a user interface screen for controller access of a source node.
  • the first access control application 211 of the source node 201 instructs the controller 202 to create a control flow. By making a request, a controller connection of the source node 201 may be attempted.
  • the source node 201 may detect a controller connection event.
  • the first access control application 211 is installed and executed in the source node 201, and access to the controller 202 is requested through the first access control application 211. can be detected.
  • the source node 201 may display a user interface screen 710 for receiving information necessary for controller access.
  • the user interface screen 710 includes an input window 711 for inputting the IP or domain of the controller 202, an input window 712 for inputting a user ID, and/or an input window 713 for inputting a password.
  • the source node 201 can detect a controller connection event by receiving a button 714 for controller access by an authenticated user. For another example, if user authentication of the source node 201 is not yet completed, the source node 201 receives a button 715 for controller access by an unauthorized user (ie, a guest), thereby triggering a controller connection event. can detect
  • the source node 201 may request a controller connection from the controller 202 in response to detecting a controller connection event.
  • the source node 201 may request controller access through the first access control application 211 .
  • the first access control application 211 includes identification information (eg, terminal ID, IP address, MAC address) of the source node 201, type, location, environment, network to which the source node 201 belongs.
  • the identification information of and/or the identification information of the first connection control application 211 may be transmitted to the controller 202 .
  • the controller 202 may identify whether the source node 201 is accessible in response to the received request. According to an embodiment, the controller 202 may check whether the source node 201 is accessible based on a database included in a memory (eg, the memory 330 of FIG. 3 ) of the controller 202 . For example, the controller 202 determines whether the information received from the first access control application 211 is included in the access policy database, and identifies the source node 201 and/or the network to which the source node 201 belongs. Based on whether the information is included in the blacklist database, it is possible to check whether the source node 201 is accessible.
  • a memory eg, the memory 330 of FIG. 3
  • the controller 202 may create a control flow between the source node 201 and the controller 202 .
  • the controller 202 may generate control flow identification information in the form of random numbers and store identification information of the source node 201 and/or a network to which the source node 201 belongs in a control flow table.
  • Information stored in the control flow table (eg, control flow identification information and/or control flow information) is a policy for user authentication of the source node 201, information update of the source node 201, and network access of the source node 201 It can be used for verification, and/or validation.
  • the controller 202 may transmit a response to the controller connection request to the source node 201.
  • the controller 202 may transmit the generated control flow identification information to the source node 201 .
  • the source node 201 may process the resulting value according to the received response.
  • the first connection control application 211 may store the received control flow identification information and display a user interface screen indicating completion of the controller connection to the user.
  • the controller connection is completed, the request for network access from the source node 201 to the destination network or the request for network reception from the source network of the source node 201 may be controlled by the controller 202 .
  • the controller 202 may determine that the source node 201 is unreachable. For example, if identification information of the source node 201 and/or a network to which the source node 201 belongs is included in the blacklist database, the controller 202 may determine that the source node 201 is inaccessible. In this case, the controller 202 may transmit a response indicating that access to the controller of the source node 201 is impossible in operation 620 without generating a control flow in operation 615 .
  • the source node 201 may output a user interface screen indicating that connection to the controller is impossible to the user.
  • the source node 201 may display a user interface screen 720 through the first connection control application 211 .
  • the user interface screen 720 may include a user interface 725 indicating that access to the source node 201 is blocked and guiding isolation release through an administrator (eg, the controller 202).
  • FIG. 8 shows a signal flow diagram for user authentication of a source node according to various embodiments.
  • the first access control application 211 of the source node 201 must authenticate the user of the source node 201 from the controller 202.
  • the source node 201 may receive an input for user authentication.
  • An input for user authentication may be, for example, a user input for inputting a user ID and password.
  • the input for user authentication may be a user input (eg, biometric information) for stronger authentication.
  • the source node 201 may request user authentication from the controller 202.
  • the first access control application 211 may transmit input information for user authentication to the controller 202 . If the control flow between the source node 201 and the controller 202 has already been created, the first connection control application 211 may transmit input information for user authentication together with control flow identification information.
  • the controller 202 may authenticate the user based on the information received from the originating node 201 .
  • the controller 202 may use the user ID, password, and/or enhanced authentication information included in the received information and a database included in the memory of the controller 202 (e.g., the access policy database of FIG. 3). 311 or the blacklist database 314), it is possible to determine whether the user can access according to the access policy and whether the user is included in the blacklist.
  • the controller 202 may add user identification information (eg, user ID) to identification information of the control flow.
  • user identification information eg, user ID
  • the added user identification information can be used for the authenticated user's controller access or network access.
  • the controller 202 may transmit information indicating that the user is authenticated to the source node 201 as a response to the user authentication request.
  • the source node 201 may process a result value for user authentication.
  • the starting node 201 may output a user interface screen indicating completion of user authentication to the user through a display.
  • the controller 202 may determine that user authentication is impossible. For example, if user identification information is included in the blacklist database, the controller 202 may determine that user authentication is impossible. In this case, in operation 820, the controller 202 transmits information indicating that user authentication is impossible to the source node 201, and in operation 825, the source node 201 displays a user interface screen indicating that user authentication has failed. can be output through
  • 9 illustrates an operation of controlling network access according to various embodiments. 9 shows a signal flow diagram for controlling network access.
  • the source node 201 After the source node 201 is authorized by the controller 202, the source node 201 connects the network of other applications stored in the source node 201 through the first connection control application 211 of the source node 201. By controlling, reliable data transmission can be guaranteed.
  • the first connection control application 211 may detect a network connection event.
  • the first access control application 211 can detect that a target application, such as a web browser, is attempting to connect to a destination network that includes the destination node 204, such as the Internet.
  • a target application such as a web browser
  • the destination node 204 such as the Internet.
  • a user may execute a web browser and input and call a web address to be accessed.
  • the first access control application 211 may request network access of the target application from the controller 202.
  • the first access control application 211 transmits identification information of the target application and identification information (eg, destination node 204 of FIG. 2 ) identification information (eg, destination node IP and service port information) to the source node. It can be transmitted to the controller 202 together with identification information of the control flow generated between the controller 201 and the controller 202 .
  • the controller 202 may check the access policy based on the request received from the first access control application 211 and the database of the controller 202 . For example, the controller 202 may determine whether a target application is accessible based on whether information received from the first access control application 211 satisfies an access policy included in a database of the controller 202. there is. If access to the target application is impossible, the controller 202 may transmit information indicating that access is impossible to the source node 201 in operation 935 . In this case, the first connection control application 211 may drop the data packet of the target application and output a user interface screen indicating that access to the network is impossible through the display.
  • the controller 202 determines the database included in the controller 202, identification information of the source node 201 (eg, source node IP), and destination node (eg, map). It is possible to check whether a data flow including identification information (eg, IP of the destination node, service port information) of the destination node 204 of 2 exists. Depending on the embodiment, the controller 202 may check whether a data flow including identification information of a receiving application of a destination node exists. In one embodiment, if the data flow does not exist, at operation 935, the controller 202 may notify the source node 201 that the connection is unavailable. In this case, the first connection control application 211 may drop the data packet of the target application and display a user interface screen indicating that network access is impossible.
  • identification information eg, IP of the destination node, service port information
  • the controller 202 may check whether an authorized tunnel exists between the target application and the gateway 203 of the destination node (eg, the destination node 204 of FIG. 2). For example, the controller 202 checks the tunnel end point (TEP) and/or tunnel type in the tunnel policy corresponding to the destination node 204, and the authorized tunnel corresponding to the checked TEP is the tunnel. You can determine if it exists in a table. If the authorized tunnel exists, the controller 202 may generate a tunnel ID of the previously created tunnel and information included in the data flow table, and transmit the generated information to the source node 201 in operation 935 .
  • TEP tunnel end point
  • the controller 202 updates information necessary for tunnel creation (eg, tunnel type, method, authentication information, and/or TEP IP and port) and data flow, and transmits the created information to the gateway 203 and can be transmitted to the source node 201 (operations 930 and 935).
  • information necessary for tunnel creation eg, tunnel type, method, authentication information, and/or TEP IP and port
  • the controller 202 disables network access to the source node 201 in operation 935. can be notified.
  • the first connection control application 211 may drop the data packet of the target application and display a user interface screen indicating that network access is impossible.
  • the first connection control application 211 may process the resulting value according to the response transmitted from the controller 202 . According to an embodiment, upon receiving information that the target application is unable to access the network or that there is no authorized tunnel from the controller 202, the first access control application 211 drops the data packet and cannot access the network. A user interface screen indicating that
  • the first access control application 211 when information necessary for tunnel creation is received from the controller 202, the first access control application 211 creates a tunnel with the gateway 203 in operation 940, and through the tunnel created in operation 945.
  • a data packet of the target application may be transmitted to the gateway 203 .
  • the gateway 203 may forward the received data packet to a destination (eg, a destination node).
  • the first access control application 211 upon receiving a tunnel ID of an existing tunnel from the controller 202, the first access control application 211 does not perform an additional tunnel creation procedure and transmits data packets of the target application to the tunnel in operation 945. It can be transmitted to the gateway 203 through the tunnel corresponding to the ID.
  • the first access control application 211 may drop the data packet of the target application and output a user interface screen indicating that network access is impossible.
  • the first connection control application 211 before performing operation 910, the data flow authorized by the controller 202 between the target application and the destination node (eg, the destination node 204 of FIG. 2) You can check if it exists first. For example, the first access control application 211 identifies identification information of the target application, identification information of the destination node (eg, destination IP), and service port information, and data flow table stored in the memory of the source node 201 It is possible to check whether an authorized data flow corresponding to the information identified in exists. If the authorized data flow exists, the first access control application 211 may transmit the data packet of the target application according to the authorized data flow policy in operation 945 without requesting network access.
  • the first access control application 211 may transmit the data packet of the target application according to the authorized data flow policy in operation 945 without requesting network access.
  • the first access control application 211 may request network access in operation 910 .
  • the first access control application 211 may drop the data packet of the target application. .
  • the first access control application 211 may further perform validation of the target application before requesting network access to ensure integrity and stability of the target application.
  • the first access control application 211 may perform forgery or tampering of the target application, code signing inspection, and/or fingerprint inspection.
  • the first access control application 211 may check whether the target application, the access target IP, and the service port are in an accessible state based on the access policy database received from the controller 202 .
  • the first access control application 211 may drop a data packet of the target application without requesting network access.
  • the first connection control application 211 may display a user interface screen indicating that connection is impossible.
  • the first access control application 211 may request network access in operation 910 .
  • FIG. 10 illustrates a signal flow diagram for controller connection of a destination node according to various embodiments.
  • the second connection control application 214 of the destination node 204 instructs the controller 202 to create a control flow. By making a request, an attempt can be made to connect to the controller of the destination node 204.
  • the destination node 204 connects to the controller 202 through the second access control application 214 so that the source node 201 of FIG. 6 accesses the controller 202 through the first access control application 211. It is possible to perform substantially the same operation as the operation. For example, operations 1005 and 1010 may be substantially the same as operations 605 and 610 of FIG. 6 , respectively. In addition, the controller 202 may perform operation 1015 substantially the same as operation 615 of FIG. 6 to create a control flow with the second connection control application 214 .
  • controller 202 may send a response to operation 1010 .
  • the controller 202 may transmit a response including identification information of the control flow generated in operation 1015, receivable application information, and receivable service port information.
  • the receivable application information and the receivable service port information may be a whitelist generated by the controller 202 based on an access policy.
  • the second connection control application 214 of the destination node 204 may perform a check on the application.
  • the second access control application 214 may perform an application inspection based on receivable application information and receivable service port information received from the controller 202 .
  • the second access control application 214 may check whether a receivable application exists and whether it is executed based on the receivable application information.
  • the second access control application 214 may check whether an application existing and running on the destination node 204 is receiving through a receivable service port.
  • the second connection control application 214 may perform a validation check on the receiving application.
  • the second access control application 214 may check integrity and stability of the received application (eg, whether the application is falsified or tampered with, code signing, or fingerprint).
  • the second connection control application 214 may send the application check result to the controller 202 .
  • the second access control application 214 may transmit to the controller 202 whether a receivable application exists, whether it is running, and whether a receivable application is being received through a receivable service port.
  • the second connection control application 214 may send the result of the validation of the receiving application to the controller 202 .
  • the controller 202 may generate a data flow according to the access policy stored in the database based on the identification information of the received application received from the destination node 204 and the application inspection result. For example, the controller 202 may generate a data flow including identification information of a source node 201 previously identified according to an access policy or a source network including the source node 201 . As another example, the controller 202 may send a data packet from the destination node 204 to the source node 201 if there is no source node 201 identified or a source network that includes the source node 201. Alternatively, a data flow including a flag that can be queried to the controller 202 to identify the source network including the source node 201 can be created. In one embodiment, the controller 202 may update the data flow generated based on the identification information of the received application and the application inspection result to the existing data flow table (eg, the data flow table 317 of FIG. 3 ).
  • the existing data flow table eg, the data flow table 317 of FIG. 3 .
  • controller 202 may transmit the generated data flow to destination node 204 .
  • the destination node 204 may process the resulting value according to the received response.
  • the second connection control application 214 may store the received control flow identification information and display a user interface screen indicating completion of the controller connection to the user.
  • the request to receive the network from the source network of the destination node 204 or the request to transmit the network to the source network of the destination node 204 may be controlled by the controller 202 .
  • the controller 202 may determine that the destination node 204 is unreachable. For example, if identification information of the destination node 204 and/or the network to which the destination node 204 belongs is included in the blacklist database, the controller 202 may determine that the destination node 204 is unreachable. In this case, the controller 202 may transmit a response indicating that access to the controller of the destination node 204 is impossible in operation 1020 without generating a control flow in operation 1015 .
  • the destination node 204 may output a user interface screen indicating that connection to the controller is impossible to the user.
  • the second connection control application 214 of the destination node 204 may not perform operations 1025 through 1040 if the controller connection is unavailable.
  • the second connection control application 214 of the destination node 204 may receive the data flow generated from the controller 202 via operation 1040 and store the data flow received in operation 1045 as previously. It can be updated or saved in the current data flow table.
  • the second access control application 214 and the controller 202 of the destination node 204 perform the operation shown in FIG. 10 before the data packet is received by the destination node 204.
  • a Long Round Trip can be prevented by checking whether an application installed on the destination node 204 is running and receiving through a designated service port.
  • FIG. 11 shows a signal flow diagram for user authentication of a destination node according to various embodiments.
  • the second access control application 214 of the destination node 204 must authenticate the user of the destination node 204 from the controller 202.
  • the source node 201 of FIG. 6 authenticates the user through the first access control application 211. and can perform substantially the same operation.
  • operations 1105 and 1110 may be substantially the same as operations 805 and 810 of FIG. 8 , respectively.
  • the controller 202 can perform operation 1115 substantially the same as operation 815 of FIG. 8 to authenticate the user of the second connection control application 214 or destination node 204 .
  • controller 202 may send a response to operation 1110 .
  • the controller 202 may transmit a response including identification information of a control flow to which user identification information is added, receivable application information, and receivable service port information.
  • the receivable application information and the receivable service port information may be a whitelist generated by the controller 202 based on an access policy.
  • the second connection control application 214 of the destination node 204 may perform a check on the application.
  • the second access control application 214 may perform an application inspection based on receivable application information and receivable service port information received from the controller 202 .
  • the second access control application 214 may check whether a receivable application exists and whether it is executed based on the receivable application information.
  • the second access control application 214 may check whether an application existing and running on the destination node 204 is receiving through a receivable service port.
  • the second connection control application 214 may perform a validation check on the receiving application.
  • the second access control application 214 may check integrity and stability of the received application (eg, whether the application is falsified or tampered with, code signing, or fingerprint).
  • the second connection control application 214 may send the application check result to the controller 202 .
  • the second access control application 214 may transmit to the controller 202 whether a receivable application exists, whether it is running, and whether a receivable application is being received through a receivable service port.
  • the second connection control application 214 may send the result of the validation of the receiving application to the controller 202 .
  • the controller 202 may generate a data flow according to the access policy stored in the database based on the identification information of the received application received from the destination node 204 and the application inspection result. For example, the controller 202 may generate a data flow including identification information of a source node 201 previously identified according to an access policy or a source network including the source node 201 . As another example, the controller 202 may send a data packet from the destination node 204 to the source node 201 if there is no source node 201 identified or a source network that includes the source node 201. Alternatively, a data flow including a flag that can be queried to the controller 202 to identify the source network including the source node 201 can be created. In one embodiment, the controller 202 may update the data flow generated based on the identification information of the received application and the application inspection result to the existing data flow table (eg, the data flow table 317 of FIG. 3 ).
  • the existing data flow table eg, the data flow table 317 of FIG. 3 .
  • the controller 202 may transmit the created or updated data flow to the destination node 204.
  • operations 1125 to 1140 may not be performed when performed in the controller connection step of FIG. 10 .
  • the second connection control application 214 of the destination node 204 may update or store the data flow generated by the controller 202 in an existing data flow table when it is received. Also, when user authentication in the controller 202 succeeds, the destination node 204 may output a user interface screen indicating completion of user authentication to the user through a display.
  • the controller 202 may determine that user authentication is impossible. For example, if user identification information is included in the blacklist database, the controller 202 may determine that user authentication is impossible. In this case, in operation 1120, the controller 202 transmits information indicating that user authentication is not possible to the destination node 204, and in operation 1145, the destination node 204 displays a user interface screen indicating that user authentication has failed. can be output via In this case, operations 1125 to 1140 may not be performed.
  • FIG. 12 shows a signal flow diagram for controlling network reception of a destination node according to various embodiments.
  • destination node 204 After destination node 204 is authorized by controller 202, destination node 204 receives network reception of other applications stored in destination node 204 via second connection control application 214 of destination node 204. By controlling, reliable data reception can be guaranteed.
  • the second connection control application 214 of the destination node 204 may detect a network received event from the source network.
  • the second connection control application 214 can detect a request to receive data packets from the originating network.
  • the second access control application 214 can identify the identification information of the service port and the source network included in the data packet from the source network.
  • the second connection control application 214 can check the data flow. For example, the second connection control application 214 can check whether there is a data flow authorized from the controller 202 and corresponding to the service port included in the data packet from the source network. In this case, the second access control application 214 may check whether a data flow corresponding to a service port included in a data packet from a source network exists in a data flow table stored in a memory.
  • the second connection control application 214 may drop the data packet if there is no data flow corresponding to the service port and authorized from the controller 202 . In this case, operations 1215 to 1230 may not be performed.
  • the second connection control application 214 receives a data packet if there is an authorized data flow corresponding to the service port and from the controller 202, and the authorized data flow includes identification information of the originating network. can be dealt with In this case, operations 1215 to 1230 may not be performed.
  • the second connection control application 214 may perform operation 1215 if there is an authorized data flow from the controller 202 that corresponds to the service port but does not include identification information of the originating network. .
  • second connection control application 214 may request network reception from controller 202 .
  • the network reception request may include control flow identification information, source network identification information, and a service port.
  • the network reception request may include control flow identification information, source network identification information, and identification information of the authorized data flow identified in operation 1210 .
  • the network reception request to the controller 202 may further include identification information of the receiving application.
  • the controller 202 may check whether the destination node 204 is accessible based on the database based on the identification information included in the network reception request from the destination node 204. For example, the controller 202 may check whether the access policy corresponding to the control flow identification information includes the identification information requested for reception. For another example, the controller 202 may check whether there is an access policy or data flow that matches the received identification information. If the destination node 204 is accessible, the controller 202 may create a data flow including the source network identification information and the received identification information, or update the source network identification information by adding it to the existing data flow.
  • controller 202 may send a response to operation 1215 to second connection control application 214 of destination node 204 .
  • the controller 202 transmits a data flow including destination node 204 destination application identification information, source network identification information, and destination node 204 service port information to the second connection control application 214. can transmit
  • the controller 202 may send an unreachable result to the destination node 204 if the destination node 204 is unreachable.
  • the second connection control application 214 of the destination node 204 may process the response received from the controller 202 . For example, when receiving an updated or generated data flow from the controller 202, the second access control application 214 may receive and process a data packet of the source network based on the updated or generated data flow. For another example, when the second connection control application 214 receives a connection failure result from the controller 202 , the data packet of the source network may be dropped.
  • FIG. 13 shows a signal flow diagram for controlling network transmission of a destination node according to various embodiments.
  • the destination node 204 After the destination node 204 has been authorized by the controller 202, the destination node 204, through the second connection control application 214 of the destination node 204, allows other applications stored in the destination node 204 to receive data packets. In the case of receiving and processing, reliable data reception can be guaranteed by controlling network transmission for transmitting a response data packet in response to the received and processed data packet. For example, other applications stored in the destination node 204 may provide a trusted network environment by not transmitting data packets for responses even when data packets from the source network are received and processed.
  • the second connection control application 214 of the destination node 204 may detect a response of the receiving application to the received and processed data packet from the source network.
  • the second access control application 214 may detect a transmission request of a response data packet of the receiving application for the data packet received and processed from the source network.
  • the second connection control application 214 can check the data flow.
  • the second access control application 214 can confirm existence of a data flow corresponding to the identification information of the destination node 204 and the identification information of the receiving application.
  • the second access control application 214 may drop the data packet when a data flow corresponding to the identification information and the identification information of the receiving application exists but is not valid. In this case, operations 1315 to 1330 may not be performed.
  • the second access control application 214 transmits a response data packet to the received processed data packet when a data flow corresponding to the identification information of the destination node 204 and the identification information of the receiving application exists. can do. In this case, operations 1315 to 1330 may not be performed.
  • the second connection control application 214 may perform operation 1315 when there is no data flow corresponding to the identification information of the destination node 204 and the identification information of the receiving application. In one embodiment, prior to performing operation 1315, the second connection control application 214 may perform a validity check on the application attempting to transmit the data packet. In this case, the second access control application 214 inspects the integrity and stability of the application to transmit the data packet (eg, whether the application is running or not, whether or not the application is falsified or tampered with, code signing inspection, fingerprint inspection) can be performed.
  • the second connection control application 214 may request a network transfer to the controller 202 .
  • the network transmission request may include control flow identification information, identification information of a source network (transmission target network of the response data packet), and a service port (service port of the source node 201 in FIG. 2).
  • the network transmission request may include control flow identification information, identification information of a source network (transmission destination network of the response data packet), and identification information of an authorized data flow identified in operation 1310 .
  • the network transmission request to the controller 202 may further include identification information of a receiving application (an application that wants to transmit the data packet).
  • the controller 202 may check whether the destination node 204 is accessible based on the database based on the identification information included in the network transmission request from the destination node 204. For example, the controller 202 may check whether the access policy corresponding to the control flow identification information includes the requested identification information. For another example, the controller 202 may check whether an access policy or data flow matching the identification information requested to be transmitted exists. If the destination node 204 is accessible, the controller 202 generates a data flow including source network (response data packet transmission destination network) identification information and transmission requested identification information, or ) can be updated by adding identification information to the existing data flow.
  • source network response data packet transmission destination network
  • controller 202 may send a response to operation 1315 to second connection control application 214 of destination node 204 .
  • the controller 202 may include identification information of a destination node 204 (an application that wants to transmit data packets) identification information, source network (response data packet transmission destination network) identification information, and a service port (source in FIG. 2).
  • a data flow including service port information of node 201 may be transmitted to second connection control application 214 .
  • the controller 202 may send an unreachable result to the destination node 204 if the destination node 204 is unreachable.
  • the second connection control application 214 of the destination node 204 may process the response received from the controller 202 . For example, when receiving an updated or created data flow from the controller 202, the second access control application 214 sends a data packet of an application that wants to transmit a response data packet based on the updated or created data flow. transfer can be processed. For another example, when the second connection control application 214 receives a connection failure result from the controller 202, it may drop a data packet of an application that wants to transmit a response data packet.
  • FIG. 14 shows a signal flow diagram for application execution of a destination node according to various embodiments
  • FIG. 15 illustrates a signal flow diagram for application termination of a destination node according to various embodiments.
  • the second connection control application 214 of the destination node 204 keeps track of network access or pending applications based on application start and end events. and transmits it to the controller 202, and the controller 202 can prevent a Long Round Trip by pre-saving a network connection or an application waiting for reception in the form of a data flow.
  • the second connection control application 214 of the destination node 204 may detect an application launch event. For example, when the execution of an application stored in the destination node 204 is detected, the second access control application 214 may check whether the executed application is receiving network reception.
  • the second access control application 214 may check whether there is an authorized data flow corresponding to the identification information of the executed application and the service port on which the executed application is receiving. .
  • the second connection control application 214 sends the controller 202 a data flow may be requested (act 1415).
  • the second access control application 214 if there is an authorized data flow corresponding to the identification information of the executed application and the service port on which the executed application is receiving, the second access control application 214
  • the controller 202 may generate a data flow according to the identification information of the executed application received from the second access control application 214 and the access policy corresponding to the service port on which the executed application is receiving.
  • the controller 202 may add or update the created data flow to the existing data flow table (317 in FIG. 3).
  • the generated data flow may further include identification information of a source network identified in advance.
  • the generated data flow may further include a flag for querying the controller 202 when a data packet is received by the data flow generated later when identification information of a source network identified in advance does not exist.
  • the controller 202 may transmit the generated data flow to the second connection control application 214 of the destination node 204 .
  • the second connection control application 214 may update an existing data flow table based on the generated data flow (operation 1430).
  • the second connection control application 214 of the destination node 204 may detect an application termination event.
  • the second connection control application 214 may detect that an application that was running is terminated.
  • the second connection control application 214 may check whether there is an authorized data flow corresponding to the identification information of the application that has been executed. Depending on the embodiment, when the authorized data flow corresponding to the identification information of the application that has been executed does not exist, the access control application 214 may not perform operations 1515 and 1520 . According to another embodiment, when there is an authorized data flow corresponding to the identification information of the application that has been executed, the second connection control application 214 may delete the data flow corresponding to the identification information of the application that has been executed. .
  • the second connection control application 214 may request the controller 202 to delete the data flow corresponding to the identification information of the application that has been executed.
  • the controller 202 may delete the data flow corresponding to the identification information of the terminated application (operation 1520). Accordingly, the application that has been executed on the destination node 204 is in a state in which it cannot access from the source network.
  • the controller 202 executes and/or terminates the application. It is shown as transmitting information about, but is not limited thereto, and the first access control application (eg, the first connection control application 211 in FIG. 2) of the source node (eg, the source node 201 in FIG. 2) is also shown. If there is an application that is executed and/or terminated in the source node, the controller 202 and information regarding the execution and/or termination of the application may be processed.
  • the first access control application eg, the first connection control application 211 in FIG. 2 of the source node
  • the controller 202 and information regarding the execution and/or termination of the application may be processed.
  • FIG. 16 illustrates an operational flow diagram for controlling network reception at a destination node according to various embodiments. The operations shown in FIG. 16 may be performed through the destination node 204 of FIG. 2 or the second connection control application 214 included in the destination node 204 .
  • the second connection control application 214 of the destination node 204 may detect a network received event.
  • the second connection control application 214 can detect a network reception event by sensing a request to receive data packets from the originating network.
  • the second connection control application 214 may verify that an authorized data flow exists. For example, the second access control application 214 may identify the service port included in the data packet from the source network and the identification information of the source network, and the data flow corresponding to the service port and authorized from the controller 202 You can check if exists. According to an embodiment, if there is no authorized data flow corresponding to the service port included in the data packet from the source network, the second connection control application 214 may drop the data packet (operation 1640).
  • the second connection control application 214 determines whether the authorized data flow includes identification information of the source network. can check whether According to an embodiment, when the authorized data flow includes identification information of the source network, the second access control application 214 may receive and process the data packet of the source network (operation 1635).
  • the second connection control application 214 may request the controller 202 to receive the network.
  • the network reception request may include source network identification information and service port information.
  • the network reception request may include identification information of the confirmed data flow and identification information of the source network.
  • the network reception request may include control flow identification information for identifying the destination node 204 or the second connection control application 214 .
  • the second connection control application 214 can receive the updated data flow from the controller 202 .
  • the updated data flow may include identification information of the source network.
  • the second connection control application 214 may receive and process a data packet of the source network based on the updated data flow received from the controller 202. Depending on the embodiment, if the updated data flow is not received in operation 1625, the second connection control application 214 may drop the data packet of the source network.
  • FIG. 17 illustrates a signal flow diagram for control flow update at a destination node according to various embodiments.
  • the destination node 204 may receive changed data flow information from the controller 202 by updating the control flow at each designated period.
  • FIG. 17 illustrates an operation of updating the control flow in the destination node 204, the present invention is not limited thereto, and the source node 201 of FIG. 2 may also perform the operations of FIG. 17.
  • the destination node 204 may detect a control flow update event.
  • the second connection control application 214 may detect a control flow update event at a designated period.
  • the destination node 601 may request a control flow update from the controller 202.
  • the requested information may include identification information of the control flow between the destination node 204 and the controller 202 .
  • the controller 202 may check whether the destination node 204 is reachable through a method similar to operation 1015 of FIG. 10 and update the control flow based on the checked result. Meanwhile, when the control flow identified based on the identification information of the control flow is not valid, the controller 202 may transmit control flow update failure information to the destination node 204 through operation 1725 .
  • the controller 202 checks the access policy that matches the identified information (eg, identification information of the destination node 204, the user, or the network to which the destination node 204 belongs) to determine access.
  • a data flow in which identification information of possible applications and connection targets is listed can be updated.
  • the controller 202 can update a data flow dependent on a control flow.
  • the controller 202 may transmit a response to the control flow update request to the destination node 204.
  • the controller 202 may transmit control flow identification information and updated data flow table information to the destination node 204 .
  • the destination node 204 may process the resulting value according to the received response. For example, based on the updated data flow state information, the destination node 204 may update the stored data flow table. For another example, the destination node 204 may terminate the second connection control application 214 upon receiving control flow update failure information.
  • 18 and 20 describe an operation for releasing a network connection according to various embodiments.
  • 18 is a signal flowchart for releasing network access from a source node according to various embodiments
  • FIG. 20 illustrates a user interface screen for releasing network access.
  • the source node 201 may request the controller 202 to release the network connection.
  • the source node 201 may transmit identification information of a control flow between the source node 201 and the controller 202 to the controller 202 together with information requesting network connection release.
  • the source node 201 may attempt to disconnect the network in response to a network disconnection event such as a user's request, a restart of the source node 201, or a request of the first access control application 211.
  • a network disconnection event such as a user's request, a restart of the source node 201, or a request of the first access control application 211.
  • the source node 201 may receive a user input for selecting a connection termination button 2015 on a user interface screen 2010 output through a display.
  • the starting node 201 may re-confirm the end of the connection to the user by outputting a user interface screen 2020 including a pop-up window 2025.
  • the source node 201 may directly perform operation 1805 without outputting the user interface screen 2020 .
  • the controller 202 may remove (or release) a control flow corresponding to the identification information received in response to the request of the source node 201.
  • the controller 202 may update (or release, remove) the data flow that is dependent on the removed control flow. For example, there may be multiple data flows subject to the control flow being removed. In this case, the controller 202 may update (or cancel or remove) all data flows dependent on the control flow to be removed.
  • the controller 202 may renew (or release, remove) the tunnel that is subject to the removed control flow. For example, there may be multiple tunnels subject to the control flow being removed. In this case, the controller 202 may renew (or release or remove) all tunnels that are subordinate to the control flow to be removed.
  • the controller 202 may request the gateway 203 to remove the tunnel dependent on the removed control flow.
  • the gateway 203 may remove the tunnel in response to a request of the controller 202 .
  • the controller 202 may send the updated data flow to the destination node 204.
  • the destination node 204 may receive information on the updated data flow and update the stored data flow table. If the data flow is removed, data packets that are transmitted to the destination network, including the destination node 204, corresponding to the removed data flow may be blocked by the second connection control application 214. Through the above operation, the system including the destination node 204 can provide complete blocking and isolation from which data packets transmitted from the source node 201 can no longer be received.
  • 19 illustrates a signal flow diagram for releasing a network connection at a destination node according to various embodiments.
  • the destination node 204 may request the controller 202 to release the network connection.
  • the destination node 204 may transmit identification information of a control flow between the destination node 204 and the controller 202 to the controller 202 together with information requesting disconnection from the network.
  • the destination node 204 may attempt to disconnect from the network in response to a network disconnection event, such as a user's request, a restart of the source node 204, or a request from the second connection control application 214.
  • a network disconnection event such as a user's request, a restart of the source node 204, or a request from the second connection control application 214.
  • the destination node 204 may receive a user input for selecting a connection termination button 2015 on a user interface screen 2010 output through a display.
  • the destination node 204 can confirm termination of the connection to the user again by outputting a user interface screen 2020 including a pop-up window 2025.
  • the destination node 204 may directly perform operation 1905 without outputting the user interface screen 2020 .
  • the controller 202 may remove (or release) the control flow corresponding to the identification information received in response to the request of the destination node 204.
  • the controller 202 may release (or update, remove) the data flow dependent on the removed control flow. For example, there may be multiple data flows subject to the control flow being removed. In this case, the controller 202 may release (or update or remove) all data flows dependent on the control flow to be removed. Accordingly, as the data flow is released, the source node 201 cannot transmit data packets to the destination node 204 any longer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 문서에 개시된 일 실시예에 따른 노드는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서 및 상기 프로세서와 작동적으로 연결되고, 수신 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가, 상기 접속 제어 애플리케이션을 통해 출발지 네트워크로부터의 네트워크 수신 이벤트를 감지하고, 상기 접속 제어 애플리케이션을 통해 상기 출발지 네트워크로부터의 데이터 패킷에 포함된 목적지 서비스 포트에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하고, 상기 접속 제어 애플리케이션을 통해, 상기 인가된 데이터 플로우의 존재 여부 및 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하고 있는지 여부에 기초하여 상기 외부 서버에 네트워크 수신을 요청하는, 명령어들을 저장할 수 있다.

Description

컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
관련출원과의 상호인용
본 발명은 2021.10.20.에 출원된 한국 특허 출원 제10-2021-0139944호에 기초한 우선권의 이익을 주장하며, 해당 한국 특허 출원의 문헌에 개시된 모든 내용을 본 명세서의 일부로 포함한다.
기술분야
본 문서에 개시된 실시예들은 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다.
다수의 장치들은 네트워크를 통해서 데이터를 통신할 수 있다. 예를 들어, 스마트폰은 인터넷을 통해 서버와 데이터를 송신하거나 수신할 수 있다. 네트워크는 인터넷과 같은 공용 네트워크(public network)뿐만 아니라 인트라넷과 같은 사설 네트워크(private network)를 포함할 수 있다.
네트워크에 대한 무분별한 접속을 통제하기 위하여 TCP(transmission control protocol)/IP(internet protocol)를 기반으로 네트워크로의 접속을 제한하는 기술이 적용되고 있다.
예를 들어, NAC(network access controller)는 인가된 단말이 인가된 IP 주소를 제공받음으로써 네트워크에 접속할 수 있도록 허용하고, 비인가된 단말이 비인가된 IP 주소를 사용하는 경우 ARP 스푸핑(address resolution protocol spoofing)을 이용하여 비인가된 단말을 차단하는 방식이다. 방화벽(firewall)은 IP 헤더 정보에 포함되는 출발지 IP, 목적지 IP, 및 포트 정보와, 정책에 기반하여 데이터 패킷의 전송을 허용할지 여부를 결정하는 방식이다. VPN(virtual private network)은 TCP/IP 프로토콜 상에서 암호화가 적용된 터널을 이용함으로써 데이터 패킷의 무결성 및 기밀성을 보장하는 방식이다.
그러나, ARP 스푸핑은 네트워크에 부하를 주며 최근에는 이를 우회하는 기술이 발달하고 있다. 방화벽은 데이터 패킷의 흐름을 제어하기 위한 것이므로 두 노드 간의 연결(connection) 생성 과정에서 직접적으로 관여하지 못할 수 있다. 또한, VPN은 터널이 생성된 이후 데이터 패킷의 흐름에 대한 관리에 취약하다. 뿐만 아니라, 상기 기술들은 TCP/IP에 기반하기 때문에 OSI(open system interconnection) 계층 중에서 다른 계층(예: 응용 계층)에 대한 보안에 취약할 수 있다.
본 문서에 개시되는 다양한 실시예들은 네트워크 환경에서 상술한 문제점을 해결하기 위한 시스템 및 그에 관한 방법을 제공하고자 한다.
본 문서에 개시된 일 실시예에 따른 노드는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서 및 상기 프로세서와 작동적으로 연결되고, 수신 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가, 상기 접속 제어 애플리케이션을 통해 출발지 네트워크로부터의 네트워크 수신 이벤트를 감지하고, 상기 접속 제어 애플리케이션을 통해 상기 출발지 네트워크로부터의 데이터 패킷에 포함된 목적지 서비스 포트에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하고, 상기 접속 제어 애플리케이션을 통해, 상기 인가된 데이터 플로우의 존재 여부 및 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하고 있는지 여부에 기초하여 상기 외부 서버에 네트워크 수신을 요청하는, 명령어들을 저장할 수 있다.
본 문서에 개시된 일 실시예에 따른 노드는, 통신 회로, 상기 통신 회로와 작동적으로 연결되는 프로세서 및 상기 프로세서와 작동적으로 연결되고, 수신 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가, 상기 접속 제어 애플리케이션을 통해 수신 처리된 데이터 패킷에 대한 응답을 위한 네트워크 전송 이벤트를 감지하고, 상기 접속 제어 애플리케이션을 통해 상기 수신 처리된 데이터 패킷에 대한 응답 데이터 패킷에 포함된 출발지 서비스 포트 및 상기 수신 애플리케이션에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하고, 상기 접속 제어 애플리케이션을 통해, 상기 인가된 데이터 플로우의 존재 여부 및 상기 인가된 데이터 플로우가 목적지 네트워크의 식별 정보를 포함하고 있는지 여부에 기초하여 상기 외부 서버에 네트워크 전송을 요청하는, 명령어들을 저장할 수 있다.
본 문서에 개시된 일 실시예에 따른 서버는, 통신 회로, 데이터 베이스를 저장하는 메모리 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 노드의 접속 제어 애플리케이션으로부터 상기 서버에 대한 컨트롤러 접속을 요청하는 제1 요청을 수신하고, 상기 제1 요청은 상기 노드, 상기 접속 제어 애플리케이션 및 상기 노드가 속하는 네트워크 중 적어도 어느 하나의 식별 정보를 포함하고, 상기 제1 요청에 포함되는 상기 식별 정보 및 상기 데이터 베이스에 기반하여 상기 노드가 접속 가능한지 여부를 결정하고, 상기 노드가 접속 가능한 장치인 경우 제어 플로우를 생성하고, 상기 식별 정보를 기초로 수신 가능한 애플리케이션 정보 또는 수신 가능한 서비스 포트 정보를 생성하고, 상기 통신 회로를 통해 상기 제어 플로우의 식별 정보, 상기 수신 가능한 애플리케이션 정보 또는 상기 수신 가능한 서비스 포트 정보를 상기 노드로 전송하도록 구성될 수 있다.
본 문서에 개시된 일 실시예에 따른 노드에 저장된 접속 제어 애플리케이션의 동작 방법은, 출발지 네트워크로부터의 네트워크 수신 이벤트를 감지하는 동작, 상기 접속 제어 애플리케이션을 통해 상기 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하는 동작, 상기 인가된 데이터 플로우가 존재하지 않는 경우 상기 데이터 패킷을 드롭(drop)하는 동작, 상기 인가된 데이터 플로우가 존재하고 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하는 경우, 상기 데이터 패킷을 수신 처리하는 동작, 상기 인가된 데이터 플로우가 존재하지만 상기 출발지 네트워크의 식별 정보를 포함하지 않는 경우, 상기 외부 서버에 네트워크 수신을 요청하는 동작, 상기 네트워크 수신 요청은 상기 출발지 네트워크의 식별 정보와, 상기 서비스 포트 또는 상기 인가된 데이터 플로우 식별 정보를 포함하고, 상기 외부 서버로부터 갱신된 데이터 플로우를 수신하는 동작, 상기 갱신된 데이터 플로우는 상기 출발지 네트워크의 식별 정보를 포함하고 및 상기 갱신된 데이터 플로우를 기초로 상기 데이터 패킷을 수신 처리하는 동작을 포함할 수 있다.
본 문서에 개시되는 실시예들에 따르면, 노드는 인가되지 않은 애플리케이션의 데이터 패킷 수신을 차단할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, NAC와 같은 광범위한 IP 주소 기반의 네트워크 보안 기술에 비하여 정책 설정 및 회수의 문제를 해결하고, 우회적인 공격을 방지할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, 제로 트러스트 네트워크 환경에서 MITM(man in the middle attack) 공격을 차단할 수 있으므로 구간 보호만 제공하는 VPN 대비 터널 기반의 접속 제어를 할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, TCP/IP 기반 네트워크 보안 기술이 내재하고 있는 문제점을 해소하고 안전한 네트워크 연결을 제공할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, 네트워크 제어 장비에 따라서 정책을 설정해야 하는 문제를 해소할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, 도착지 노드의 수신 상태 및 수신 애플리케이션의 수신 상태를 미리 확인하는 방식으로 Long Round Trip을 방지할 수 있다.
또한, 본 문서에 개시되는 실시예들에 따르면, 도착지 노드의 애플리케이션 실행 및 종료 이벤트를 중심으로 네트워크 수신 대기중인 애플리케이션의 상시 추적하여 애플리케이션이 수신할 수 있는지 여부를 상시로 수신할 수 있다.
또한, 본 문서에 개시된 실시예들에 따르면, 도착지 노드에서 수신 중인 애플리케이션 정보를 컨트롤러가 가지고 있으므로 보다 빠르게 데이터 패킷이 도착지 노드로 전송될 수 있다.
또한, 본 문서에 개시된 실시예들에 따르면, 도착지 노드는 데이터 패킷의 수신시 및 수신된 데이터 패킷에 대한 수신 응답시 네트워크 접속을 제어할 수 있다.
또한, 본 문서에 개시된 실시예들에 따르면, 도착지 노드는 수신 애플리케이션의 식별 정보를 모르는 경우에도 서비스 포트를 기준으로 네트워크 접속을 제어할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 복수의 네트워크를 포함하는 환경을 나타낸다.
도 2는 다양한 실시 예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 3은 다양한 실시 예들에 따라 컨트롤러에 저장된 데이터 베이스를 나타내는 기능적 블록도이다.
도 4는 다양한 실시 예들에 따른 노드의 기능적 블록도를 나타낸다.
도 5는 다양한 실시예들에 따라 데이터 패킷의 수신을 제어하는 동작을 설명한다.
도 6은 다양한 실시예들에 따른 출발지 노드의 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 7은 다양한 실시예들에 따른 출발지 노드의 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.
도 8은 다양한 실시예들에 따른 출발지 노드의 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 9는 다양한 실시예들에 따른 출발지 노드의 네트워크 접속을 제어하기 위한 신호 흐름도를 나타낸다.
도 10은 다양한 실시예들에 따른 도착지 노드의 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도 11은 다양한 실시예들에 따른 도착지 노드의 사용자 인증을 위한 신호 흐름도를 나타낸다.
도 12는 다양한 실시예들에 따른 도착지 노드의 네트워크 수신을 제어하기 위한 신호 흐름도를 나타낸다.
도 13은 다양한 실시예들에 따른 도착지 노드의 네트워크 전송을 제어하기 위한 신호 흐름도를 나타낸다.
도 14는 다양한 실시예들에 따른 도착지 노드의 애플리케이션 실행에 대한 신호 흐름도를 나타낸다.
도 15는 다양한 실시예들에 따른 도착지 노드의 애플리케이션 종료에 대한 신호 흐름도를 나타낸다.
도 16은 다양한 실시예들에 따른 도착지 노드에서 네트워크 수신을 제어하기 위한 동작 흐름도를 나타낸다.
도 17은 다양한 실시예들에 따른 도착지 노드에서 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.
도 18은 다양한 실시예들에 따른 출발지 노드에서 네트워크 접속을 해제하기 위한 신호 흐름도를 나타낸다.
도 19는 다양한 실시예들에 따른 도착지 노드에서 네트워크 접속을 해제하기 위한 신호 흐름도를 나타낸다.
도 20은 네트워크 접속을 해제하기 위한 사용자 인터페이스 화면을 나타낸다.
이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나","A 또는 B 중 적어도 하나", "A, B 또는 C", "A, B 및 C 중 적어도 하나" 및 "A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, "기능적으로" 또는 "통신적으로"라는 용어와 함께 또는 이런 용어 없이, "커플드" 또는 "커넥티드"라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.
본 문서에서 사용되는 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다.
본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.
본 문서에 개시된 다양한 실시 예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
도 1은 복수의 네트워크를 포함하는 환경을 나타낸다.
도 1을 참조하면, 제1 네트워크(10) 및 제2 네트워크(20)는 서로 다른 네트워크일 수 있다. 예를 들어, 제1 네트워크(10)는 인터넷과 같은 공용 네트워크이고, 제2 네트워크(20)는 인트라넷 또는 VPN과 같은 사설 네트워크일 수 있다.
제1 네트워크(10)는 출발지 노드(101)를 포함할 수 있다. 도 1 및 이하 서술되는 실시 예들에서, '출발지 노드'는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 예를 들어, 출발지 노드(101)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 예를 들어, 출발지 노드(101)는 애플리케이션을 통해 데이터 패킷을 전송할 수 있는 서버 또는 게이트웨이를 포함할 수 있다. 출발지 노드(101)는 '전자 장치' 또는 '단말'로도 참조될 수 있다. 한편, 도착지 노드(102)는 상술한 출발지 노드(101)와 동일 유사한 장치를 포함할 수 있다.
출발지 노드(101)는 제2 네트워크(20)로의 접속(access)을 시도하고 제2 네트워크(20)에 포함된 도착지 노드(102)로 데이터를 전송할 수 있다. 출발지 노드(101)는 게이트웨이(103) 및 터널(105)을 통해 데이터를 도착지 노드(102)로 전송할 수 있다.
출발지 노드(101)의 제1 네트워크(10)에 대한 접속이 승인되면 출발지 노드(101)는 제1 네트워크(10)에 포함된 모든 서버와 통신할 수 있으므로, 출발지 노드(101)는 악성(malicious) 프로그램의 공격으로부터 노출될 수 있다. 예를 들어, 출발지 노드(101)는 인터넷 웹 브라우저(110a), 비즈니스 애플리케이션(110b)과 같은 신뢰된(trusted) 및/또는 보안된(secure) 애플리케이션뿐만 아니라, 악성 코드(110c), 감염된(infected) 비즈니스 애플리케이션(110d)과 같이 신뢰되지 않거나 보안되지 않은 애플리케이션의 데이터를 수신할 수 있다.
악성 프로그램으로부터 감염된 출발지 노드(101)는 제2 네트워크(20)로의 접속 및/또는 데이터 전송을 시도할 수 있다. 제2 네트워크(20)가 VPN과 같이 IP에 기반하여 형성되는 경우, 제2 네트워크(20)는 제2 네트워크(20) 내에 포함되는 복수의 장치들을 개별적으로 모니터링하기 어려울 수 있으며, OSI 계층에서 응용 계층 또는 전송 계층에 대한 보안에 취약할 수 있다. 또한, 터널이 이미 생성된 이후에 출발지 노드(101)가 악성 애플리케이션을 포함하는 경우, 상기 악성 애플리케이션의 데이터는 제2 네트워크(20) 내의 다른 전자 장치(예: 도착지 노드(102))에게 전달될 수 있다.
도 2는 다양한 실시 예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.
도 2를 참조하면, 출발지 노드(201), 게이트웨이(203) 및 도착지 노드(204)의 개수는 도 2에 도시된 개수로 제한되는 것은 아니다. 예를 들어, 출발지 노드(201)는 복수의 게이트웨이를 통해 복수의 도착지 노드에게 데이터를 전송할 수 있고, 컨트롤러(202)는 복수의 출발지 노드, 게이트웨이 및 도착지 노드를 관리할 수 있다. 출발지 노드(201)는 도 1에 도시된 출발지 노드(101)와 동일 유사한 기능을 수행할 수 있고, 게이트웨이(203)는 도 1에 도시된 게이트웨이(103)와 동일 유사한 기능을 수행할 수 있고, 도착지 노드(204)는 도 1에 도시된 도착지 노드(102)와 동일 유사한 기능을 수행할 수 있다.
컨트롤러(202)는 예를 들어, 서버(또는 클라우드 서버)일 수 있다. 컨트롤러(202)는 출발지 노드(201), 게이트웨이(203), 및 도착지 노드(204) 간 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 예를 들어, 컨트롤러(202)는 정책 정보 또는 블랙리스트 정보를 통해 출발지 노드(201)의 도착지 노드(204)에 대한 접속을 관리하거나, 출발지 노드(201)와 게이트웨이(203) 사이의 인가된 터널(210)의 생성을 중개하거나, 출발지 노드(201) 또는 게이트웨이(203)로부터 수집된 보안 이벤트에 따라서 터널(210)을 제거할 수 있다. 출발지 노드(201)는 컨트롤러(202)에 의하여 인가된 터널(210)을 통해서만 도착지 노드(204)와 통신할 수 있으며, 인가된 터널(210)이 존재하지 않으면 출발지 노드(201)는 도착지 노드(204)로의 접속이 차단될 수 있다. 일 실시 예에 따르면, 컨트롤러(202)는 출발지 노드(201)의 네트워크 접속과 연관된 다양한 동작(예: 등록, 승인, 인증, 갱신, 종료)을 수행하기 위하여 출발지 노드(201)와 제어 데이터 패킷을 송수신할 수 있다. 또한, 컨트롤러(202)는 도착지 노드(204)의 네트워크 접속 및 네트워크 수신과 연관된 다양한 동작(예: 동록, 승인, 인증, 갱신, 종료)을 수행하기 위하여 도착지 노드(204)와 제어 데이터 패킷을 송수신할 수 있다. 제어 데이터 패킷이 전송되는 흐름(예: 220, 240)은 제어 플로우(control flow)로 참조될 수 있다.
게이트웨이(203)는 출발지 노드(201)가 속하는 네트워크의 경계 또는 도착지 노드(204)가 속하는 네트워크의 경계에 위치할 수 있다. 게이트웨이(203)는 복수일 수 있다. 게이트웨이(203)는 출발지 노드(201)로부터 수신된 데이터 패킷 중에서 인가된 터널(210)을 통해서 수신된 데이터 패킷만을 도착지 노드(204)로 포워딩 할 수 있다. 출발지 노드(201)와 게이트웨이(203), 게이트웨이(203)와 도착지 노드(204) 또는 출발지 노드(201)와 도착지 노드(204) 사이에서 데이터 패킷이 전송되는 흐름(예: 230)은 데이터 플로우로 참조될 수 있다. 단말 또는 IP 단위로 생성되는 터널(210)에 비하여 데이터 플로우는 보다 세부적인 단위(예: 애플리케이션)로 생성될 수 있다. 일 실시 예에 따르면, 게이트웨이(203)는 클라우드(cloud) 기반으로 컨트롤러(202)와 연결될 수 있다. 게이트웨이(203)는 컨트롤러(202)의 제어에 따라서 출발지 노드(201)와 인가된 터널(210)을 생성할 수 있다.
다양한 실시 예들에 따르면, 출발지 노드(201)는 출발지 노드(201) 내에 저장된 애플리케이션의 네트워크 접속을 관리하기 위한 제1 접속 제어 애플리케이션(211) 및 네트워크 드라이버(미도시)를 포함할 수 있다. 예를 들어, 출발지 노드(201)에 포함된 타겟 애플리케이션(221)(예: 도 1의 애플리케이션(110a 내지 110d 중 임의의 하나)의 도착지 노드(204)에 대한 접속 이벤트가 발생하면, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션(221)의 접속 가능 여부를 결정할 수 있다. 타겟 애플리케이션(221)이 접속 가능하면, 제1 접속 제어 애플리케이션(211)은 터널(210)을 통해 게이트웨이(203)로 데이터 패킷을 전송할 수 있다. 제1 접속 제어 애플리케이션(211)은 출발지 노드(201) 내에서 운영체제를 포함하는 커널(kernel) 및 네트워크 드라이버를 통해 데이터 패킷의 전송을 제어할 수 있다.
다양한 실시 예들에 따르면, 도착지 노드(204)는 도착지 노드(204) 내에 저장된 애플리케이션의 네트워크 접속을 관리하기 위한 제2 접속 제어 애플리케이션(214) 및 네트워크 드라이버(미도시)를 포함할 수 있다. 예를 들어, 도착지 노드(204)에 포함된 수신 애플리케이션(224)의 출발지 노드(201)로부터의 수신 이벤트가 발생하면, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션(224)의 수신 가능 여부를 결정할 수 있다. 수신 애플리케이션(224)이 수신 가능하면, 제2 접속 제어 애플리케이션(214)은 출발지 노드(201) 또는 게이트웨이(203)로부터 데이터 패킷을 수신할 수 있다. 제2 접속 제어 애플리케이션(214)은 도착지 노드(204) 내에서 운영체제를 포함하는 커널(kernel) 및 네트워크 드라이버를 통해 데이터 패킷의 수신을 제어할 수 있다.
도 3은 다양한 실시 예들에 따라 컨트롤러(예: 도 2의 컨트롤러(202))에 저장된 데이터 베이스를 나타내는 기능적 블록도이다. 도 3은 메모리(330)만을 도시하지만, 컨트롤러는 외부 전자 장치(예: 도 2의 출발지 노드(201), 게이트웨이(203) 또는 도착지 노드(204))와 통신을 수행하기 위한 통신 회로(예: 도 4의 통신 회로(430)) 및 컨트롤러의 전반적인 동작을 제어하기 위한 프로세서(예: 도 4의 프로세서(410))를 더 포함할 수 있다.
도 3을 참조하면, 컨트롤러는 네트워크 접속 및 데이터 전송의 제어를 위한 데이터 베이스(311 내지 317)를 메모리(330)에 저장할 수 있다.
접속 정책 데이터 베이스(311)는 식별된 네트워크, 출발지 노드, 도착지 노드, 사용자, 또는 애플리케이션이 접속 가능한 네트워크 및/또는 서비스에 대한 정보를 포함할 수 있다. 예를 들어, 출발지 노드로부터 도착지 노드에 대한 접속이 요청되면, 컨트롤러는 접속 정책 데이터 베이스(311)에 기반하여 식별된 네트워크(예: 출발지 노드가 속하는 네트워크), 출발지 노드, 사용자(예: 출발지 노드의 사용자), 및/또는 애플리케이션(예: 출발지 노드에 포함되는 애플리케이션)이 도착지 노드에 접속이 가능한지 여부를 결정할 수 있다.
터널 정책 데이터 베이스(312)는 연결(connection) 경로 상에서 출발지 노드(예: 단말)와 네트워크의 경계에 존재하는 게이트웨이에 연결될 터널의 종류, 암호화 방법, 및 암호화 수준 정보를 포함할 수 있다. 예를 들어, 출발지 노드로부터 도착지 노드에 대한 접속이 요청되면, 컨트롤러는 터널 정책 데이터 베이스(312)에 기반하여 도착지 노드에 접속하기 위한 최적의 터널 및 그에 관한 정보를 출발지 노드에게 제공할 수 있다.
블랙리스트 정책 데이터 베이스(313)는 특정 노드(예: 출발지 노드 또는 도착지 노드)의 접속을 영구적 또는 일시적으로 차단하기 위한 정책을 포함할 수 있다. 블랙리스트 정책 데이터 베이스(313)는 출발지 노드, 도착지 노드 또는 게이트웨이에서 주기적으로 수집되는 보안 이벤트 중에서 보안 이벤트의 위험도, 발생 주기, 및/또는 행위 분석을 통해 식별된 정보(예: 출발지 노드 ID(identifier), IP 주소, MAC(media access control) 주소, 또는 사용자 ID 중 적어도 하나)를 기반으로 생성될 수 있다.
블랙리스트 데이터 베이스(314)는 블랙리스트 정책 데이터 베이스(313)에 의해서 차단된 출발지 노드, 도착지 노드, IP 주소, MAC 주소, 또는 사용자 중 적어도 하나에 대한 목록을 포함할 수 있다. 예를 들어, 컨트롤러는 도착지 노드로의 접속을 요청하는 출발지 노드의 식별 정보가 블랙리스트 데이터 베이스(314)에 포함되면 출발지 노드의 접속 요청을 거부함으로써 도착지 노드로부터 출발지 노드를 격리시킬 수 있다.
제어 플로우 테이블(315)은 노드(예: 출발지 노드 또는 도착지 노드)와 컨트롤러 사이에 생성된 제어 데이터 패킷의 흐름(예: 제어 플로우)을 관리하기 위한 세션(session) 테이블의 일 예이다. 성공적으로 컨트롤러에 접속하는 경우, 제어 플로우 정보는 컨트롤러에 의하여 생성될 수 있다. 제어 플로우 정보는 제어 플로우의 식별 정보, 컨트롤러에 대한 접속 및 인증 시 식별되는 IP 주소, 노드 ID, 또는 사용자 ID 중 적어도 하나를 포함할 수 있다. 예를 들어, 출발지 노드로부터 도착지 노드에 대한 접속이 요청되면, 컨트롤러는 출발지 노드로부터 수신된 제어 플로우 식별 정보를 통해 제어 플로우 정보를 검색하고, 검색된 제어 플로우 정보 내에 포함된 IP 주소, 출발지 노드 ID, 또는 사용자 ID 중 적어도 하나를 접속 정책 데이터 베이스(311)에 매핑함으로써 출발지 노드가 접속이 가능한지 여부 및 터널 생성 여부를 결정할 수 있다.
일 실시 예에 따르면, 제어 플로우는 만료 시각을 가질 수 있다. 노드(예: 출발지 노드 또는 도착지 노드)는 제어 플로우의 만료 시각을 갱신해야 하며, 일정 시간 동안에 만료 시각이 갱신되지 않으면 제어 플로우(또는, 제어 플로우 정보)는 제거될 수 있다. 또한, 노드 또는 게이트웨이로부터 수집된 보안 이벤트에 따라서 즉각적인 접속 차단이 필요하다고 결정되는 경우, 컨트롤러는 노드의 접속 종료 요청에 따라서 제어 플로우를 제거할 수 있다. 제어 플로우가 제거되면 기존에 생성된 터널 및 데이터 플로우 또한 제거되기 때문에 노드의 접속이 차단될 수 있다.
터널 테이블(316)은 출발지 노드와 게이트웨이 사이에 연결된 터널을 관리하기 위한 테이블이다. 터널은 예를 들어, 장치 또는 IP 단위로 생성될 수 있다. 출발지 노드와 게이트웨이 사이에 터널이 생성되면 터널 테이블(316)은 터널 식별 정보, 터널이 제어 플로우에 종속된 경우에는 제어 플로우 식별 정보, 터널 엔드 포인트(tunnel end point, TEP), 터널 스타트 포인트(tunnel start point, TSP), 터널 알고리즘, 터널 종류, 및/또는 터널을 관리하기 위한 부가 정보를 포함할 수 있다.
데이터 플로우 테이블(317)은 출발지 노드와 도착지 노드 사이에 세부적인 데이터 패킷이 전송되는 흐름(예: 데이터 플로우)을 관리하기 위한 테이블이다. 데이터 플로우는 출발지 노드 또는 IP 단위로 생성되는 터널 내에서 TCP 세션, 출발지 노드의 애플리케이션, 또는 보다 세부적인 단위로 생성될 수 있다. 데이터 플로우 테이블(317)은 데이터 플로우 식별 정보, 데이터 플로우가 제어 플로우에 종속되는 경우에는 제어 플로우 식별 정보, 출발지 노드로부터 전송된 데이터 패킷이 인가된 데이터 패킷인지를 식별하기 위한 애플리케이션 ID, 도착지 IP 주소, 및/또는 서비스 포트를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 플로우가 이용될 터널의 식별 정보를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 패킷이 유효한지 여부를 판단하기 위한 헤더(또는 헤더 정보)를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 패킷에 인증 정보인 데이터 플로우 헤더가 삽입되었는지 여부, 헤더의 삽입 방식, 데이터 플로우의 인증 필요 여부, 인증 상태, 및/또는 인증 만료 시각을 더 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 도착지 노드의 출발지 노드 정보(예: 출발지 IP), 서비스 포트 정보 및 수신 가능한 애플리케이션 정보를 포함할 수 있다. 또한, 데이터 플로우 테이블(317)은 데이터 패킷의 수신이 가능한 애플리케이션이 수신 중인 서비스 포트에 관한 정보를 포함할 수 있다.
도 4는 다양한 실시 예들에 따른 노드(예: 도 2의 출발지 노드(201) 및 도착지 노드(204))의 기능적 블록도를 나타낸다.
도 4를 참조하면, 노드는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 일 실시 예에 따르면, 노드는 사용자와 인터페이스를 수행하기 위하여 디스플레이(440)를 더 포함할 수 있다.
프로세서(410)는 노드의 전반적인 동작을 제어할 수 있다. 다양한 실시 예들에서, 프로세서(410)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(410)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시 예들에 따라, 프로세서(410)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(410)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다.
프로세서(410)의 전부 또는 일부는 노드 내의 다른 구성 요소(예를 들면, 메모리(420), 통신 회로(430), 또는 디스플레이(440))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(410)는 노드의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(410)는 메모리(420), 통신 회로(430), 또는 디스플레이(440)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(410)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기반하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(410)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(420), 통신 회로(430), 또는 디스플레이(440)에게 제공할 수 있다.
프로세서(410)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(410)는 프로그램을 실행하거나 제어하기 위해 메모리(420)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다.
메모리(420)는 노드를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(420)는 애플리케이션(application) 프로그램, OS(operating system), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다.
메모리(420)는 휘발성 메모리(volatile memory) 또는 불휘발성(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다.
메모리(420)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다.
일 실시예에 따르면, 메모리(420)는 컨트롤러의 메모리(예: 도 3의 메모리(330))에 포함된 정보 중 일부를 저장할 수 있다. 예를 들어, 메모리(420)는 도 3에서 설명된 터널 테이블(316) 및 데이터 플로우 테이블(317)을 저장할 수 있다.
통신 회로(430)는 노드와 외부 전자 장치(예: 도 2의 컨트롤러(202) 또는 게이트웨이(203))간의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시 예에 따르면, 통신 회로(430)는 무선 통신 회로(예: 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예: LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(430)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.
디스플레이(440)는, 컨텐츠, 데이터, 또는 신호를 출력할 수 있다. 다양한 실시 예들에서, 디스플레이(440)는 프로세서(410)에 의해 가공된 이미지 데이터를 표시할 수 있다. 실시예들에 따라, 디스플레이(440)는 터치 입력 등을 수신할 수 있는 복수의 터치 센서들(미도시)과 결합됨으로써, 일체형의 터치 스크린(touch screen)으로 구성될(configured with) 수도 있다. 디스플레이(440)가 터치 스크린으로 구성되는 경우, 복수의 터치 센서들은, 디스플레이(440) 위에 배치되거나, 디스플레이(440) 아래에 배치될 수 있다.
한편, 일 실시예에 따른 서버(예: 컨트롤러)는 프로세서(410), 메모리(420), 및 통신 회로(430)를 포함할 수 있다. 서버에 포함되는 프로세서(410), 메모리(420) 및 통신 회로(430)는 상술한 프로세서(410), 메모리(420) 및 통신 회로(430)와 실질적으로 동일할 수 있다.
도 5는 다양한 실시예들에 따라 데이터 패킷의 수신을 제어하는 동작을 설명한다.
도 5를 참조하면, 제2 접속 제어 애플리케이션(214)은 출발지 노드(201)를 포함하는 출발지 네트워크로부터의 수신 애플리케이션(224)에 대한 네트워크 수신 요청을 감지하고, 도착지 노드(204) 또는 수신 애플리케이션(224)이 컨트롤러(202)와 접속된 상태인지 여부를 결정할 수 있다. 도착지 노드(204) 또는 수신 애플리케이션(224)이 컨트롤러(202)와 접속된 상태가 아닌 경우, 제2 접속 제어 애플리케이션(214)은 운영체제가 포함되는 커널(kernel)이나 네트워크 드라이버에서 데이터 패킷의 수신을 차단할 수 있다(동작 510).
또한, 제2 접속 제어 애플리케이션(214)은 출발지 노드(201)로부터 수신된 데이터 패킷에 대한 응답을 위한 데이터 패킷을 전송하고자 하는 네트워크 전송 요청을 감지할 수 있고, 응답을 위한 데이터 패킷을 전송한 수신 애플리케이션(224)이 컨트롤러(202)와 접속된 상태인지 여부를 결정할 수 있다. 응답을 위한 데이터 패킷을 전송한 수신 애플리케이션(224)이 컨트롤러(202)와 접속된 상태가 아닌 경우, 제2 접속 제어 애플리케이션(214)은 데이터 패킷의 전송을 차단할 수 있고, 따라서 도착지 노드(204)는 출발지 노드(201)로부터 수신된 데이터 패킷에 대한 응답을 수행하지 않음으로서 출발지 노드(201)의 접속을 제어할 수 있다(동작 510).
도 6 내지 도 7은 다양한 실시예들에 따른 출발지 노드의 컨트롤러 접속을 위한 동작을 설명한다. 도 6은 출발지 노드의 컨트롤러 접속을 위한 신호 흐름도를 나타내고, 도 7은 출발지 노드의 컨트롤러 접속을 위한 사용자 인터페이스 화면을 나타낸다.
출발지 노드(201)가 네트워크를 접속 또는 수신하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 출발지 노드(201)의 제1 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 제어 플로우의 생성을 요청함으로서 출발지 노드(201)의 컨트롤러 접속을 시도할 수 있다.
도 6을 참조하면, 동작 605에서, 출발지 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 예를 들어, 출발지 노드(201)는 출발지 노드(201) 내에서 제1 접속 제어 애플리케이션(211)이 설치 및 실행되고, 제1 접속 제어 애플리케이션(211)을 통해 컨트롤러(202)에 대한 접속이 요청됨을 감지할 수 있다.
일 예로, 도 7을 참조하면, 제1 접속 제어 애플리케이션(211)이 실행되면 출발지 노드(201)는 컨트롤러 접속을 위하여 필요한 정보를 수신하기 위한 사용자 인터페이스 화면(710)을 표시할 수 있다. 사용자 인터페이스 화면(710)은 컨트롤러(202)의 IP 또는 도메인을 입력하기 위한 입력 창(711), 사용자 ID를 입력하기 위한 입력 창(712), 및/또는 비밀번호를 입력하기 위한 입력 창(713)을 포함할 수 있다. 입력 창들(711 내지 713)에 대한 정보가 입력된 후 인증된 사용자의 컨트롤러 접속을 위한 버튼(714)을 수신함으로써 출발지 노드(201)는 컨트롤러 접속 이벤트를 감지할 수 있다. 다른 예를 들어, 출발지 노드(201)의 사용자 인증이 아직 완료되지 않은 상태라면, 출발지 노드(201)는 비인가된 사용자(즉, 게스트)의 컨트롤러 접속을 위한 버튼(715)을 수신함으로써 컨트롤러 접속 이벤트를 감지할 수 있다.
동작 610에서, 출발지 노드(201)는 컨트롤러 접속 이벤트를 감지한 것에 응답하여 컨트롤러(202)에게 컨트롤러 접속을 요청할 수 있다. 출발지 노드(201)는 제1 접속 제어 애플리케이션(211)을 통해 컨트롤러 접속을 요청할 수 있다. 일 실시예에 따르면, 제1 접속 제어 애플리케이션(211)은 출발지 노드(201)의 식별 정보(예: 단말 ID, IP 주소, MAC 주소), 종류, 위치, 환경, 출발지 노드(201)가 속하는 네트워크의 식별 정보, 및/또는 제1 접속 제어 애플리케이션(211)의 식별 정보를 컨트롤러(202)에게 전송할 수 있다.
동작 615에서, 컨트롤러(202)는 수신된 요청에 응답하여 출발지 노드(201)의 접속 가능 여부를 확인(identify)할 수 있다. 일 실시예에 따르면, 컨트롤러(202)는 컨트롤러(202)의 메모리(예: 도 3의 메모리(330))에 포함된 데이터 베이스에 기반하여 출발지 노드(201)의 접속 가능 여부를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 제1 접속 제어 애플리케이션(211)으로부터 수신된 정보가 접속 정책 데이터 베이스에 포함되는지 여부와, 출발지 노드(201) 및/또는 출발지 노드(201)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되는지 여부에 기반하여 출발지 노드(201)의 접속 가능 여부를 확인할 수 있다.
출발지 노드(201)가 접속 가능하다면, 컨트롤러(202)는 출발지 노드(201)와 컨트롤러(202) 간 제어 플로우를 생성할 수 있다. 이 경우, 컨트롤러(202)는 난수 형태로 제어 플로우 식별 정보를 생성하고, 출발지 노드(201) 및/또는 출발지 노드(201)가 속한 네트워크의 식별 정보를 제어 플로우 테이블에 저장할 수 있다. 제어 플로우 테이블에 저장된 정보(예: 제어 플로우 식별 정보 및/또는 제어 플로우 정보)는 출발지 노드(201)의 사용자 인증, 출발지 노드(201)의 정보 업데이트, 출발지 노드(201)의 네트워크 접속을 위한 정책 확인, 및/또는 유효성 검사에 이용될 수 있다.
제어 플로우가 생성되면, 동작 620에서, 컨트롤러(202)는 컨트롤러 접속 요청에 대한 응답을 출발지 노드(201)에게 전송할 수 있다. 이 경우, 컨트롤러(202)는 생성된 제어 플로우 식별 정보를 출발지 노드(201)에게 전송할 수 있다.
동작 625에서, 출발지 노드(201)는 수신된 응답에 따라서 결과값을 처리할 수 있다. 예를 들어, 제1 접속 제어 애플리케이션(211)은 수신된 제어 플로우 식별 정보를 저장하고, 컨트롤러 접속이 완료됨을 나타내는 사용자 인터페이스 화면을 사용자에게 표시할 수 있다. 컨트롤러 접속이 완료되면, 출발지 노드(201)의 목적지 네트워크에 대한 네트워크 접속 요청, 또는 출발지 노드(201)의 출발지 네트워크로부터의 네트워크 수신 요청은 컨트롤러(202)에 의하여 통제될 수 있다.
다른 실시예에 따라 컨트롤러(202)는 출발지 노드(201)가 접속 불가능한 것으로 결정할 수 있다. 예를 들어, 출발지 노드(201) 및/또는 출발지 노드(201)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 출발지 노드(201)가 접속 불가능한 것으로 결정할 수 있다. 이 경우, 컨트롤러(202)는 동작 615에서 제어 플로우를 생성하지 않고, 동작 620에서 출발지 노드(201)의 컨트롤러 접속이 불가능함을 나타내는 응답을 전송할 수 있다.
출발지 노드(201)의 접속이 불가능함을 나타내는 응답을 수신하면, 동작 625에서 출발지 노드(201)는 컨트롤러 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 사용자에게 출력할 수 있다. 예를 들어, 도 7을 참조하면, 출발지 노드(201)는 제1 접속 제어 애플리케이션(211)을 통해 사용자 인터페이스 화면(720)을 표시할 수 있다. 사용자 인터페이스 화면(720)은 출발지 노드(201)의 접속이 차단됨을 나타내고, 관리자(예: 컨트롤러(202))를 통한 격리 해제를 가이드 하는 사용자 인터페이스(725)를 포함할 수 있다.
도 8은 다양한 실시예들에 따른 출발지 노드의 사용자 인증을 위한 신호 흐름도를 나타낸다.
출발지 노드(201)가 목적지 네트워크에 대한 상세한 접속 권한을 부여 받기 위해서, 출발지 노드(201)의 제1 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 출발지 노드(201)의 사용자에 대한 인증을 받을 수 있다.
도 8을 참조하면, 동작 805에서, 출발지 노드(201)는 사용자 인증을 위한 입력을 수신할 수 있다. 사용자 인증을 위한 입력은 예를 들어, 사용자 ID 및 비밀번호를 입력하는 사용자 입력일 수 있다. 다른 예를 들어, 사용자 인증을 위한 입력은 보다 강화된 인증을 위한 사용자 입력(예: 생체 정보)일 수 있다.
동작 810에서, 출발지 노드(201)는 컨트롤러(202)에게 사용자 인증을 요청할 수 있다. 예를 들어, 제1 접속 제어 애플리케이션(211)은 사용자 인증을 위한 입력 정보를 컨트롤러(202)에게 전송할 수 있다. 출발지 노드(201)와 컨트롤러(202) 간 제어 플로우가 이미 생성된 상태이면, 제1 접속 제어 애플리케이션(211)은 사용자 인증을 위한 입력 정보를 제어 플로우 식별 정보와 함께 전송할 수 있다.
동작 815에서, 컨트롤러(202)는 출발지 노드(201)로부터 수신된 정보에 기반하여 사용자를 인증할 수 있다. 예를 들어, 컨트롤러(202)는 수신된 정보에 포함된 사용자 ID, 비밀번호, 및/또는 강화된 인증 정보와, 컨트롤러(202)의 메모리에 포함된 데이터 베이스(예: 도 3의 접속 정책 데이터 베이스(311) 또는 블랙리스트 데이터 베이스(314))에 기반하여 사용자가 접속 정책에 따라 접속 가능한지 여부 및 사용자가 블랙리스트에 포함되는지 여부를 결정할 수 있다.
사용자가 인증되면, 컨트롤러(202)는 제어 플로우의 식별 정보에 사용자의 식별 정보(예: 사용자 ID)를 추가할 수 있다. 추가된 사용자 식별 정보는 인증된 사용자의 컨트롤러 접속 또는 네트워크 접속에 이용될 수 있다.
동작 820에서, 컨트롤러(202)는 사용자 인증 요청에 대한 응답으로써 사용자가 인증됨을 나타내는 정보를 출발지 노드(201)에게 전송할 수 있다.
동작 825에서, 출발지 노드(201)는 사용자 인증에 대한 결과값을 처리할 수 있다. 예를 들어, 출발지 노드(201)는 사용자 인증이 완료됨을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 사용자에게 출력할 수 있다.
다른 실시예에 따라 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 예를 들어, 사용자의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 이 경우, 동작 820에서 컨트롤러(202)는 사용자 인증이 불가능함을 나타내는 정보를 출발지 노드(201)에게 전송하고, 동작 825에서 출발지 노드(201)는 사용자 인증이 실패함을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 출력할 수 있다.
도 9는 다양한 실시예들에 따라 네트워크 접속을 제어하는 동작을 설명한다. 도 9는 네트워크 접속을 제어하기 위한 신호 흐름도를 나타낸다.
출발지 노드(201)가 컨트롤러(202)로부터 인가된 이후에, 출발지 노드(201)는 출발지 노드(201)의 제1 접속 제어 애플리케이션(211)을 통해 출발지 노드(201) 내에 저장된 다른 애플리케이션들의 네트워크 접속을 제어함으로서 신뢰된 데이터 전송을 보장할 수 있다.
도 9를 참조하면, 동작 905에서, 제1 접속 제어 애플리케이션(211)은 네트워크 접속 이벤트를 감지할 수 있다. 예를 들어, 제1 접속 제어 애플리케이션(211)은 웹 브라우저와 같은 타겟 애플리케이션이 인터넷과 같은 도착지 노드(204)를 포함하는 목적지 네트워크로의 접속을 시도함을 감지할 수 있다. 예를 들어, 사용자는 웹 브라우저를 실행하고 접속하고자 하는 웹 주소를 입력 및 호출할 수 있다.
동작 910에서 제1 접속 제어 애플리케이션(211)은 컨트롤러(202)에게 타겟 애플리케이션의 네트워크 접속을 요청할 수 있다. 이 경우, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 식별 정보 및 도착지 노드(예: 도 2의 도착지 노드(204))의 식별 정보(예: 도착지 노드의 IP, 서비스 포트 정보)를 출발지 노드(201)와 컨트롤러(202) 사이에 생성된 제어 플로우의 식별 정보와 함께 컨트롤러(202)에게 전송할 수 있다.
동작 915에서, 컨트롤러(202)는 제1 접속 제어 애플리케이션(211)으로부터 수신된 요청 및 컨트롤러(202)의 데이터 베이스에 기반하여 접속 정책을 확인할 수 있다. 예를 들어, 컨트롤러(202)는 제1 접속 제어 애플리케이션(211)으로부터 수신된 정보가 컨트롤러(202)의 데이터 베이스에 포함된 접속 정책을 만족하는지 여부에 기반하여 타겟 애플리케이션의 접속 가능 여부를 결정할 수 있다. 타겟 애플리케이션의 접속이 불가능 하면, 컨트롤러(202)는 동작 935에서 출발지 노드(201)에게 접속이 불가능함을 나타내는 정보를 전송할 수 있다. 이 경우, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 데이터 패킷을 드롭하고, 네트워크에 대한 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 출력할 수 있다.
타겟 애플리케이션의 접속이 가능하면, 동작 920에서, 컨트롤러(202)는 컨트롤러(202)에 포함된 데이터 베이스, 출발지 노드(201)의 식별 정보(예: 출발지 노드의 IP) 및 도착지 노드(예: 도 2의 도착지 노드(204))의 식별 정보(예: 도착지 노드의 IP, 서비스 포트 정보)를 포함하는 데이터 플로우가 존재하는지 확인할 수 있다. 실시예에 따라서, 컨트롤러(202)는 도착지 노드의 수신 애플리케이션의 식별 정보를 포함하는 데이터 플로우의 존재 여부를 확인할 수도 있다. 일 실시예에서, 데이터 플로우가 존재하지 않는 경우에, 동작 935에서, 컨트롤러(202)는 출발지 노드(201)에게 접속이 불가능함을 통지할 수 있다. 이 경우, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 데이터 패킷을 드롭하고, 네트워크 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 표시할 수 있다.
데이터 플로우가 존재하는 경우, 동작 925에서, 컨트롤러(202)는 타겟 애플리케이션과 도착지 노드(예: 도 2의 도착지 노드(204))의 게이트웨이(203) 간 인가된 터널이 존재하는지를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 도착지 노드(204)에 대응하는 터널 정책에서 터널 엔드 포인트(tunnel end point, TEP) 및/또는 터널 종류를 확인하고, 확인된 TEP에 대응하는 인가된 터널이 터널 테이블 내에 존재하는지를 결정할 수 있다. 인가된 터널이 존재하면, 컨트롤러(202)는 기 생성된 터널의 터널 ID와 데이터 플로우 테이블 내에 포함된 정보를 생성하고, 동작 935에서, 생성된 정보를 출발지 노드(201)에게 전송할 수 있다. 인가된 터널이 존재하지 않는다면, 컨트롤러(202)는 터널 생성에 필요한 정보(예: 터널 종류, 방식, 인증 정보, 및/또는 TEP의 IP 및 포트)와 데이터 플로우를 갱신하고, 생성된 정보를 게이트웨이(203) 및 출발지 노드(201)에게 전송할 수 있다(동작 930 및 935).
다른 예를 들어, 출발지 노드(201)와 게이트웨이(203) 간 생성될 터널 중에서 터널 정책을 만족하는 터널이 존재하지 않는 경우, 컨트롤러(202)는 동작 935에서 출발지 노드(201)에게 네트워크 접속이 불가능함을 통지할 수 있다. 이 경우, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 데이터 패킷을 드롭하고 네트워크 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 표시할 수 있다.
일 실시예에서, 제1 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 전송된 응답에 따라서 결과값을 처리할 수 있다. 일 실시예에 따라 컨트롤러(202)로부터 타겟 애플리케이션의 네트워크 접속이 불가능하다는 정보 또는 인가된 터널이 존재하지 않는다는 정보를 수신하면, 제1 접속 제어 애플리케이션(211)은 데이터 패킷을 드롭하고 네트워크 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 출력할 수 있다.
다른 실시예에 따라, 컨트롤러(202)로부터 터널 생성에 필요한 정보가 수신되면, 제1 접속 제어 애플리케이션(211)은 동작 940에서 게이트웨이(203)와 터널을 생성하고, 동작 945에서 생성된 터널을 통해서 타겟 애플리케이션의 데이터 패킷을 게이트웨이(203)로 전송할 수 있다. 이 경우, 게이트 웨이(203)는 인가된 터널로 데이터 패킷이 수신된 경우, 수신된 데이터 패킷을 목적지(예: 도착지 노드)로 포워딩할 수 있다.
다른 실시예에 따라, 컨트롤러(202)로부터 기 존재하는 터널의 터널 ID를 수신하면, 제1 접속 제어 애플리케이션(211)은 추가적인 터널 생성 절차를 수행하지 않고, 동작 945에서 타겟 애플리케이션의 데이터 패킷을 터널 ID에 대응하는 터널을 통해 게이트웨이(203)로 전송할 수 있다.
다른 실시예에 따라, 제1 접속 제어 애플리케이션(211)은 터널 생성에 실패한 경우 타겟 애플리케이션의 데이터 패킷을 드롭하고 네트워크 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 출력할 수 있다.
일 실시예에 따르면, 제1 접속 제어 애플리케이션(211)은 동작 910을 수행하기 이전에 타겟 애플리케이션과 도착지 노드(예: 도 2의 도착지 노드(204)) 간의 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하는지 먼저 확인할 수 있다. 예를 들어, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 식별 정보, 도착지 노드의 식별 정보(예: 도착지 IP) 및 서비스 포트 정보를 식별하고, 출발지 노드(201)의 메모리에 저장된 데이터 플로우 테이블에서 식별된 정보에 대응되는 인가된 데이터 플로우가 존재하는지 확인할 수 있다. 인가된 데이터 플로우가 존재한다면 제1 접속 제어 애플리케이션(211)은 네트워크 접속을 요청하지 않고 동작 945에서 인가된 데이터 플로우 정책에 따라 타겟 애플리케이션의 데이터 패킷을 전송할 수 있다. 인가된 데이터 플로우가 존재하지 않는다면, 제1 접속 제어 애플리케이션(211)은 동작 910에서 네트워크 접속을 요청할 수 있다. 한편, 인가된 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 터널이 존재하지 않는 경우 또는 도착지 노드에 접속이 불가능한 경우) 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 데이터 패킷을 드롭할 수 있다.
일 실시예에 따르면, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 무결성 및 안정성을 보장하기 위하여 네트워크 접속을 요청하기 이전에 타겟 애플리케이션의 유효성 검사를 더 수행할 수 있다. 예를 들어, 제1 접속 제어 애플리케이션(211)은 타겟 애플리케이션의 위조, 변조 여부, 코드 사이닝 검사, 및/또는 핑거프린트 검사를 수행할 수 있다. 다른 예를 들어, 제1 접속 제어 애플리케이션(211)은 컨트롤러(202)로부터 수신된 접속 정책 데이터 베이스에 기반하여 타겟 애플리케이션, 접속 대상 IP, 및 서비스 포트가 접속이 가능한 상태인지를 확인할 수 있다. 예를 들어, 타겟 애플리케이션의 유효성 검사가 실패하면, 제1 접속 제어 애플리케이션(211)은 네트워크 접속을 요청하지 않고 타겟 애플리케이션의 데이터 패킷을 드롭(drop)할 수 있다. 이 경우, 제1 접속 제어 애플리케이션(211)은 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 표시할 수 있다. 다른 예를 들어, 타겟 애플리케이션의 유효성 검사가 성공하면, 제1 접속 제어 애플리케이션(211)은 동작 910에서 네트워크 접속을 요청할 수 있다.
도 10은 다양한 실시예들에 따른 도착지 노드의 컨트롤러 접속을 위한 신호 흐름도를 나타낸다.
도착지 노드(204)가 네트워크를 접속 또는 수신하기 위해서는 컨트롤러(202)에 의하여 인가될 필요가 있으므로, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에게 제어 플로우의 생성을 요청함으로서 도착지 노드(204)의 컨트롤러 접속을 시도할 수 있다.
도착지 노드(204)는 제2 접속 제어 애플리케이션(214)을 통해 컨트롤러(202)에 접속하기 위해서 도 6의 출발지 노드(201)가 제1 접속 제어 애플리케이션(211)을 통해 컨트롤러(202)에 접속하는 동작과 실질적으로 동일한 동작을 수행할 수 있다. 예를 들어, 동작 1005 및 동작 1010은 각각 도 6의 동작 605 및 동작 610과 실질적으로 동일할 수 있다. 또한, 컨트롤러(202)는 제2 접속 제어 애플리케이션(214)과 제어 플로우를 생성하기 위하여 도 6의 동작 615와 실질적으로 동일한 동작 1015를 수행할 수 있다.
동작 1020에서, 컨트롤러(202)는 동작 1010에 대한 응답을 전송할 수 있다. 예를 들어, 컨트롤러(202)는 동작 1015에서 생성된 제어 플로우의 식별 정보, 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보를 포함하는 응답을 전송할 수 있다. 예를 들어, 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보는 컨트롤러(202)에서 접속 정책을 기초로 생성된 화이트리스트일 수 있다.
동작 1025에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 애플리케이션에 대한 검사를 수행할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에서 수신된 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보를 기초로 애플리케이션에 대한 검사를 수행할 수 있다. 제2 접속 제어 애플리케이션(214)은 수신 가능한 애플리케이션 정보를 기초로 수신 가능한 애플리케이션의 존재 여부 및 실행 여부를 확인할 수 있다. 또한, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)에 존재하고 실행 중인 애플리케이션이 수신 가능한 서비스 포트를 통해 수신 중인지 여부를 확인할 수 있다. 일 실시예에서, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 유효성 검사를 수행할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 무결성 및 안정성 여부(예: 애플리케이션 위조 또는 변조 여부 검사, 코드 사이닝 검사, 핑거 프린트 검사)에 대한 검사를 수행할 수 있다.
동작 1030에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에게 애플리케이션 검사 결과를 전송할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 수신 가능한 애플리케이션의 존재 여부, 실행 여부, 및 수신 가능한 서비스 포트를 통해 수신 가능한 애플리케이션이 수신 중인지 여부를 컨트롤러(202)로 전송할 수 있다. 일 실시예에서, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 유효성 검사의 결과를 컨트롤러(202)로 전송할 수 있다.
동작 1035에서, 컨트롤러(202)는 도착지 노드(204)로부터 수신된 수신 애플리케이션의 식별 정보 및 애플리케이션 검사 결과를 기초로 데이터 베이스에 저장된 접속 정책에 따라 데이터 플로우를 생성할 수 있다. 예를 들어, 컨트롤러(202)는 접속 정책에 따라 사전에 식별된 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크의 식별 정보를 포함하는 데이터 플로우를 생성할 수 있다. 다른 예를 들어, 컨트롤러(202)는 식별된 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크가 없는 경우, 데이터 패킷을 수신하는 경우에 도착지 노드(204)에서 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크를 식별할 수 있도록 컨트롤러(202)에 질의할 수 있는 플래그를 포함하는 데이터 플로우를 생성할 수 있다. 일 실시예에서, 컨트롤러(202)는 수신 애플리케이션의 식별 정보 및 애플리케이션 검사 결과를 기초로 생성된 데이터 플로우를 기존 데이터 플로우 테이블(예: 도 3의 데이터 플로우 테이블 317)에 갱신할 수 있다.
동작 1040에서, 컨트롤러(202)는 생성된 데이터 플로우를 도착지 노드(204)에 전송할 수 있다.
동작 1045에서, 도착지 노드(204)는 수신된 응답에 따라서 결과값을 처리할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 수신된 제어 플로우 식별 정보를 저장하고, 컨트롤러 접속이 완료됨을 나타내는 사용자 인터페이스 화면을 사용자에게 표시할 수 있다. 컨트롤러 접속이 완료되면, 도착지 노드(204)의 출발지 네트워크로부터의 네트워크 수신 요청, 또는 도착지 노드(204)의 출발지 네트워크로의 네트워크 전송 요청은 컨트롤러(202)에 의하여 통제될 수 있다.
다른 실시예에 따라 컨트롤러(202)는 도착지 노드(204)가 접속 불가능한 것으로 결정할 수 있다. 예를 들어, 도착지 노드(204) 및/또는 도착지 노드(204)가 속한 네트워크의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 도착지 노드(204)가 접속 불가능한 것으로 결정할 수 있다. 이 경우, 컨트롤러(202)는 동작 1015에서 제어 플로우를 생성하지 않고, 동작 1020에서 도착지 노드(204)의 컨트롤러 접속이 불가능함을 나타내는 응답을 전송할 수 있다.
도착지 노드(204)의 접속이 불가능함을 나타내는 응답을 수신하면, 동작 1045에서 도착지 노드(204)는 컨트롤러 접속이 불가능함을 나타내는 사용자 인터페이스 화면을 사용자에게 출력할 수 있다. 일 실시예에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러 접속이 불가능한 경우 동작 1025 내지 동작 1040을 수행하지 않을 수 있다.
일 실시예에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 동작 1040을 통해 컨트롤러(202)로부터 생성된 데이터 플로우를 수신할 수 있고, 동작 1045에서 수신된 데이터 플로우를 기존에 저장하고 있던 데이터 플로우 테이블에 갱신하거나, 저장할 수 있다.
본 문서에 개시된 일 실시예에 다른 도착지 노드(204)의 제2 접속 제어 애플리케이션(214) 및 컨트롤러(202)는 도 10에 도시된 동작을 통해 도착지 노드(204)에 데이터 패킷이 수신되기 이전에 도착지 노드(204)에 설치된 애플리케이션이 실행 중인지, 지정된 서비스 포트로 수신 중인지 여부를 확인하여 Long Round Trip을 방지할 수 있다.
도 11은 다양한 실시예들에 따른 도착지 노드의 사용자 인증을 위한 신호 흐름도를 나타낸다.
도착지 노드(204)가 목적지 네트워크에 대한 상세한 접속 권한을 부여 받기 위해서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 도착지 노드(204)의 사용자에 대한 인증을 받을 수 있다.
도착지 노드(204)는 제2 접속 제어 애플리케이션(214)을 통해 컨트롤러(202)에 대하여 사용자를 인증하기 위하여 도 6의 출발지 노드(201)가 제1 접속 제어 애플리케이션(211)을 통해 사용자 인증하는 동작과 실질적으로 동일한 동작을 수행할 수 있다. 예를 들어, 동작 1105 및 동작 1110은 각각 도 8의 동작 805 및 동작 810과 실질적으로 동일할 수 있다. 또한, 컨트롤러(202)는 제2 접속 제어 애플리케이션(214) 또는 도착지 노드(204)의 사용자를 인증하기 위하여 도 8의 동작 815와 실질적으로 동일한 동작 1115를 수행할 수 있다.
동작 1120에서, 컨트롤러(202)는 동작 1110에 대한 응답을 전송할 수 있다. 예를 들어, 컨트롤러(202)는 동작 1115에서 사용자의 식별 정보가 추가된 제어 플로우의 식별 정보, 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보를 포함하는 응답을 전송할 수 있다. 예를 들어, 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보는 컨트롤러(202)에서 접속 정책을 기초로 생성된 화이트리스트일 수 있다.
동작 1125에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 애플리케이션에 대한 검사를 수행할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에서 수신된 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보를 기초로 애플리케이션에 대한 검사를 수행할 수 있다. 제2 접속 제어 애플리케이션(214)은 수신 가능한 애플리케이션 정보를 기초로 수신 가능한 애플리케이션의 존재 여부 및 실행 여부를 확인할 수 있다. 또한, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)에 존재하고 실행 중인 애플리케이션이 수신 가능한 서비스 포트를 통해 수신 중인지 여부를 확인할 수 있다. 일 실시예에서, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 유효성 검사를 수행할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 무결성 및 안정성 여부(예: 애플리케이션 위조 또는 변조 여부 검사, 코드 사이닝 검사, 핑거 프린트 검사)에 대한 검사를 수행할 수 있다.
동작 1130에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에게 애플리케이션 검사 결과를 전송할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 수신 가능한 애플리케이션의 존재 여부, 실행 여부, 및 수신 가능한 서비스 포트를 통해 수신 가능한 애플리케이션이 수신 중인지 여부를 컨트롤러(202)로 전송할 수 있다. 일 실시예에서, 제2 접속 제어 애플리케이션(214)은 수신 애플리케이션에 대한 유효성 검사의 결과를 컨트롤러(202)로 전송할 수 있다.
동작 1135에서, 컨트롤러(202)는 도착지 노드(204)로부터 수신된 수신 애플리케이션의 식별 정보 및 애플리케이션 검사 결과를 기초로 데이터 베이스에 저장된 접속 정책에 따라 데이터 플로우를 생성할 수 있다. 예를 들어, 컨트롤러(202)는 접속 정책에 따라 사전에 식별된 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크의 식별 정보를 포함하는 데이터 플로우를 생성할 수 있다. 다른 예를 들어, 컨트롤러(202)는 식별된 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크가 없는 경우, 데이터 패킷을 수신하는 경우에 도착지 노드(204)에서 출발지 노드(201) 또는 출발지 노드(201)가 포함된 출발지 네트워크를 식별할 수 있도록 컨트롤러(202)에 질의할 수 있는 플래그를 포함하는 데이터 플로우를 생성할 수 있다. 일 실시예에서, 컨트롤러(202)는 수신 애플리케이션의 식별 정보 및 애플리케이션 검사 결과를 기초로 생성된 데이터 플로우를 기존 데이터 플로우 테이블(예: 도 3의 데이터 플로우 테이블 317)에 갱신할 수 있다.
동작 1140에서 컨트롤러(202)는 생성되거나 갱신된 데이터 플로우를 도착지 노드(204)에 전송할 수 있다.
일 실시예에서, 동작 1125 내지 동작 1140은 도 10의 컨트롤러 접속 단계에서 수행된 경우에 수행되지 않을 수 있다.
동작 1145에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 생성된 데이터 플로우가 수신된 경우, 기존 데이터 플로우 테이블에 갱신하거나 저장할 수 있다. 또한, 도착지 노드(204)는 컨트롤러(202)에서 사용자 인증이 성공한 경우, 사용자 인증이 완료됨을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 사용자에게 출력할 수 있다.
다른 실시예에 따라 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 예를 들어, 사용자의 식별 정보가 블랙리스트 데이터 베이스에 포함되면 컨트롤러(202)는 사용자 인증이 불가능한 것으로 결정할 수 있다. 이 경우, 동작 1120에서 컨트롤러(202)는 사용자 인증이 불가능함을 나타내는 정보를 도착지 노드(204)에게 전송하고, 동작 1145에서 도착지 노드(204)는 사용자 인증이 실패함을 나타내는 사용자 인터페이스 화면을 디스플레이를 통해 출력할 수 있다. 이 경우, 동작 1125 내지 동작 1140은 수행되지 않을 수 있다.
도 12는 다양한 실시예들에 따른 도착지 노드의 네트워크 수신을 제어하기 위한 신호 흐름도를 나타낸다.
도착지 노드(204)가 컨트롤러(202)로부터 인가된 이후에, 도착지 노드(204)는 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)을 통해 도착지 노드(204) 내에 저장된 다른 애플리케이션들의 네트워크 수신을 제어함으로서 신뢰된 데이터 수신을 보장할 수 있다.
도 12을 참조하면, 동작 1205에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 네트워크 수신 이벤트를 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 데이터 패킷에 대한 수신 요청을 감지할 수 있다. 이 경우, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트 및 출발지 네트워크의 식별 정보를 식별할 수 있다.
동작 1210에서, 제2 접속 제어 애플리케이션(214)은 데이터 플로우를 검사할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응하고 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하는지 여부를 확인할 수 있다. 이 경우, 제2 접속 제어 애플리케이션(214)은 메모리에 저장된 데이터 플로우 테이블에서 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응되는 데이터 플로우의 존재 여부를 확인할 수 있다.
일 실시예에서, 제2 접속 제어 애플리케이션(214)은 서비스 포트에 대응하고 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하지 않는 경우 데이터 패킷을 드롭(drop)할 수 있다. 이 경우, 동작 1215 내지 동작 1230은 수행되지 않을 수 있다.
다른 실시예에서, 제2 접속 제어 애플리케이션(214)은 서비스 포트에 대응하고 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하며, 인가된 데이터 플로우가 출발지 네트워크의 식별 정보를 포함하는 경우 데이터 패킷을 수신 처리할 수 있다. 이 경우, 동작 1215 내지 동작 1230은 수행되지 않을 수 있다.
또 다른 실시예에서, 제2 접속 제어 애플리케이션(214)은 서비스 포트에 대응하고 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하지만 출발지 네트워크의 식별 정보를 포함하지 않는 경우, 동작 1215를 수행할 수 있다.
동작 1215에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에 네트워크 수신을 요청할 수 있다. 예를 들어, 네트워크 수신 요청은 제어 플로우 식별 정보, 출발지 네트워크의 식별 정보 및 서비스 포트를 포함할 수 있다. 다른 예를 들어, 네트워크 수신 요청은 제어 플로우 식별 정보, 출발지 네트워크의 식별 정보 및 동작 1210에서 확인된 인가된 데이터 플로우의 식별 정보를 포함할 수 있다. 실시예에 따라서, 컨트롤러(202)에 대한 네트워크 수신 요청은 수신 애플리케이션의 식별 정보를 더 포함할 수 있다.
동작 1220에서 컨트롤러(202)는 도착지 노드(204)로부터의 네트워크 수신 요청에 포함된 식별 정보를 기초로 데이터 베이스에 기반하여 도착지 노드(204)가 접속 가능한지 여부를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 제어 플로우 식별 정보에 대응되는 접속 정책에, 수신 요청된 식별 정보가 포함되어있는지 확인할 수 있다. 다른 예를 들어, 컨트롤러(202)는 수신 요청된 식별 정보에 매칭되는 접속 정책 또는 데이터 플로우의 존재 여부를 확인할 수 있다. 컨트롤러(202)는 도착지 노드(204)가 접속 가능한 경우 출발지 네트워크 식별 정보 및 수신 요청된 식별 정보를 포함하는 데이터 플로우를 생성하거나, 출발지 네트워크 식별 정보를 기존 데이터 플로우에 추가하여 갱신할 수 있다.
동작 1225에서, 컨트롤러(202)는 동작 1215에 대한 응답을 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)에 전송할 수 있다. 예를 들어, 컨트롤러(202)는 도착지 노드(204)의 수신 애플리케이션 식별 정보, 출발지 네트워크의 식별 정보 및 도착지 노드(204)의 서비스 포트 정보를 포함하는 데이터 플로우를 제2 접속 제어 애플리케이션(214)에 전송할 수 있다.
다른 실시예에서, 컨트롤러(202)는 도착지 노드(204)가 접속이 불가능한 경우 도착지 노드(204)에 접속 불가 결과를 전송할 수 있다.
동작 1230에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 수신된 응답을 처리할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 갱신되거나 생성된 데이터 플로우를 수신한 경우, 갱신되거나 생성된 데이터 플로우를 기초로 출발지 네트워크의 데이터 패킷을 수신 처리할 수 있다. 다른 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 접속 불가 결과를 수신한 경우, 출발지 네트워크의 데이터 패킷을 드롭할 수 있다.
도 13은 다양한 실시예들에 따른 도착지 노드의 네트워크 전송을 제어하기 위한 신호 흐름도를 나타낸다.
도착지 노드(204)가 컨트롤러(202)로부터 인가된 이후에, 도착지 노드(204)는 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)을 통해 도착지 노드(204) 내에 저장된 다른 애플리케이션들이 데이터 패킷을 수신 처리한 경우, 수신 처리된 데이터 패킷에 대한 응답으로 응답 데이터 패킷을 전송하는 네트워크 전송을 제어함으로서 신뢰된 데이터 수신을 보장할 수 있다. 예를 들어, 도착지 노드(204) 내에 저장된 다른 애플리케이션들은 출발지 네트워크로부터의 데이터 패킷을 수신 처리한 경우에도, 응답을 위한 데이터 패킷을 전송하지 않음으로서 신뢰된 네트워크 환경을 제공할 수 있다.
도 13을 참조하면, 동작 1305에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터 수신 처리된 데이터 패킷에 대한 수신 애플리케이션의 응답을 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터 수신 처리된 데이터 패킷에 대한 수신 애플리케이션의 응답 데이터 패킷의 전송 요청을 감지할 수 있다.
동작 1310에서, 제2 접속 제어 애플리케이션(214)은 데이터 플로우를 검사할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)의 식별 정보 및 수신 애플리케이션의 식별 정보에 대응되는 데이터 플로우의 존재를 확인할 수 있다.
일 실시예에서, 제2 접속 제어 애플리케이션(214)은 식별 정보 및 수신 애플리케이션의 식별 정보에 대응되는 데이터 플로우가 존재하지만 유효하지 않은 경우 데이터 패킷을 드롭(drop)할 수 있다. 이 경우, 동작 1315 내지 동작 1330은 수행되지 않을 수 있다.
다른 실시예에서, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)의 식별 정보 및 수신 애플리케이션의 식별 정보에 대응되는 데이터 플로우가 존재하는 경우 수신 처리된 데이터 패킷에 대한 응답 데이터 패킷을 전송 처리할 수 있다. 이 경우, 동작 1315 내지 동작 1330은 수행되지 않을 수 있다.
또 다른 실시예에서, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)의 식별 정보 및 수신 애플리케이션의 식별 정보에 대응되는 데이터 플로우가 존재하지 않는 경우, 동작 1315를 수행할 수 있다. 일 실시예에서, 동작 1315를 수행하기 전에 제2 접속 제어 애플리케이션(214)은 데이터 패킷을 전송하고자 하는 애플리케이션에 대한 유효성 검사를 수행할 수 있다. 이 경우, 제2 접속 제어 애플리케이션(214)은 데이터 패킷을 전송하고자 하는 애플리케이션의 무결성 및 안정성 여부 검사(예: 애플리케이션의 실행 여부 검사, 애플리케이션 위조 및 변조 여부 검사, 코드 사이닝 검사, 핑거 프린트 검사)를 수행할 수 있다.
동작 1315에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에 네트워크 전송을 요청할 수 있다. 예를 들어, 네트워크 전송 요청은 제어 플로우 식별 정보, 출발지 네트워크(응답 데이터 패킷의 전송 대상 네트워크)의 식별 정보 및 서비스 포트(도 2의 출발지 노드(201)의 서비스 포트)를 포함할 수 있다. 다른 예를 들어, 네트워크 전송 요청은 제어 플로우 식별 정보, 출발지 네트워크(응답 데이터 패킷의 전송 대상 네트워크)의 식별 정보 및 동작 1310에서 확인된 인가된 데이터 플로우의 식별 정보를 포함할 수 있다. 실시예에 따라서, 컨트롤러(202)에 대한 네트워크 전송 요청은 수신 애플리케이션(데이터 패킷을 전송하고자 하는 애플리케이션)의 식별 정보를 더 포함할 수 있다.
동작 1320에서 컨트롤러(202)는 도착지 노드(204)로부터의 네트워크 전송 요청에 포함된 식별 정보를 기초로 데이터 베이스에 기반하여 도착지 노드(204)가 접속 가능한지 여부를 확인할 수 있다. 예를 들어, 컨트롤러(202)는 제어 플로우 식별 정보에 대응되는 접속 정책에, 전송 요청된 식별 정보가 포함되어있는지 확인할 수 있다. 다른 예를 들어, 컨트롤러(202)는 전송 요청된 식별 정보에 매칭되는 접속 정책 또는 데이터 플로우의 존재 여부를 확인할 수 있다. 컨트롤러(202)는 도착지 노드(204)가 접속 가능한 경우 출발지 네트워크(응답 데이터 패킷 전송 대상 네트워크) 식별 정보 및 전송 요청된 식별 정보를 포함하는 데이터 플로우를 생성하거나, 출발지 네트워크(응답 데이터 패킷 전송 대상 네트워크) 식별 정보를 기존 데이터 플로우에 추가하여 갱신할 수 있다.
동작 1325에서, 컨트롤러(202)는 동작 1315에 대한 응답을 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)에 전송할 수 있다. 예를 들어, 컨트롤러(202)는 도착지 노드(204)의 수신 애플리케이션(데이터 패킷을 전송하고자 하는 애플리케이션) 식별 정보, 출발지 네트워크(응답 데이터 패킷 전송 대상 네트워크)의 식별 정보 및 서비스 포트(도 2의 출발지 노드(201)의 서비스 포트) 정보를 포함하는 데이터 플로우를 제2 접속 제어 애플리케이션(214)에 전송할 수 있다.
다른 실시예에서, 컨트롤러(202)는 도착지 노드(204)가 접속이 불가능한 경우 도착지 노드(204)에 접속 불가 결과를 전송할 수 있다.
동작 1330에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 수신된 응답을 처리할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 갱신되거나 생성된 데이터 플로우를 수신한 경우, 갱신되거나 생성된 데이터 플로우를 기초로 응답 데이터 패킷을 전송하고자 하는 애플리케이션의 데이터 패킷을 전송 처리할 수 있다. 다른 예를 들어, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 접속 불가 결과를 수신한 경우, 응답 데이터 패킷을 전송하고자 하는 애플리케이션의 데이터 패킷을 드롭할 수 있다.
도 14는 다양한 실시예들에 따른 도착지 노드의 애플리케이션 실행에 대한 신호 흐름도를 나타내고, 도 15는 다양한 실시예들에 따른 도착지 노드의 애플리케이션 종료에 대한 신호 흐름도를 나타낸다.
도착지 노드(204)가 컨트롤러(202)로부터 인가된 이후에, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 애플리케이션의 실행 및 종료 이벤트를 기초로 네트워크 접속 또는 수신 대기중인 애플리케이션을 상시 추적하여 컨트롤러(202)에게 전송할 수 있고, 컨트롤러(202)는 네트워크 접속 또는 수신 대기중인 애플리케이션을 미리 데이터 플로우 형태로 저장함으로서 Long Round Trip을 방지할 수 있다.
도 14를 참조하면, 동작 1405에서 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 애플리케이션 실행 이벤트를 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 도착지 노드(204)에 저장된 애플리케이션의 실행이 감지된 경우, 실행된 애플리케이션이 네트워크 수신 중인지 여부를 확인할 수 있다.
실행된 애플리케이션이 네트워크 수신 중인 경우, 동작 1410에서, 제2 접속 제어 애플리케이션(214)은 실행된 애플리케이션의 식별 정보 및 실행된 애플리케이션이 수신 중인 서비스 포트에 대응되는 인가된 데이터 플로우가 존재하는지 확인할 수 있다. 실시예에 따라서, 실행된 애플리케이션의 식별 정보 및 실행된 애플리케이션이 수신 중인 서비스 포트에 대응되는 인가된 데이터 플로우가 존재하지 않는 경우에, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에 데이터 플로우를 요청할 수 있다(동작 1415). 다른 실시예에 따라서, 실행된 애플리케이션의 식별 정보 및 실행된 애플리케이션이 수신 중인 서비스 포트에 대응되는 인가된 데이터 플로우가 존재하는 경우, 제2 접속 제어 애플리케이션(214)은
동작 1420에서, 컨트롤러(202)는 제2 접속 제어 애플리케이션(214)으로부터 수신된 실행된 애플리케이션의 식별 정보 및 실행된 애플리케이션이 수신 중인 서비스 포트에 대응되는 접속 정책에 따라서 데이터 플로우를 생성할 수 있다. 또한, 컨트롤러(202)는 생성된 데이터 플로우를 기존 데이터 플로우 테이블(도 3의 317)에 추가 또는 갱신할 수 있다. 실시예에 따라서, 생성된 데이터 플로우는 사전에 식별된 출발지 네트워크의 식별 정보를 더 포함할 수 있다. 다른 실시예에 따라서, 생성된 데이터 플로우는 사전에 식별된 출발지 네트워크의 식별 정보가 존재하지 않는 경우에는 이후 생성된 데이터 플로우로 데이터 패킷이 수신되는 경우 컨트롤러(202)에 질의하는 플래그를 더 포함할 수 있다.
동작 1425에서, 컨트롤러(202)는 생성된 데이터 플로우를 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)에게 전송할 수 있다. 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 수신된 응답에 생성된 데이터 플로우가 존재하는 경우 기존 데이터 플로우 테이블을 생성된 데이터 플로우를 기초로 갱신할 수 있다(동작 1430).
도 15를 참조하면, 동작 1505에서, 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 애플리케이션 종료 이벤트를 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 실행 중이었던 애플리케이션이 종료되었음을 감지할 수 있다.
동작 1510에서, 제2 접속 제어 애플리케이션(214)은 실행 종료된 애플리케이션의 식별 정보에 대응되는 인가된 데이터 플로우의 존재 여부를 확인할 수 있다. 실시예에 따라서, 실행 종료된 애플리케이션의 식별 정보에 대응되는 인가된 데이터 플로우가 존재하지 않는 경우, 접속 제어 애플리케이션(214)은 동작 1515 및 동작 1520을 수행하지 않을 수 있다. 다른 실시예에 따라서, 실행 종료된 애플리케이션의 식별 정보에 대응되는 인가된 데이터 플로우가 존재하는 경우, 제2 접속 제어 애플리케이션(214)은 실행 종료된 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 삭제할 수 있다.
동작 1515에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에게 실행 종료된 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 삭제 요청할 수 있다. 컨트롤러(202)는 제2 접속 제어 애플리케이션(214)의 요청에 응답하여, 실행 종료된 애플리케이션의 식별 정보에 대응되는 데이터 플로우를 삭제할 수 있다(동작 1520). 따라서, 도착지 노드(204)의 실행 종료된 애플리케이션은 출발지 네트워크로부터 접속할 수 없는 상태가 된다.
도 14 및 도 15에서는 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)이 도착지 노드(204)에 설치된 애플리케이션이 실행 및/또는 종료되는 경우에 컨트롤러(202)에게 애플리케이션의 실행 및/또는 종료에 관한 정보를 전송하는 것으로 도시되었지만 이에 한정되지 않고, 출발지 노드(예: 도 2의 출발지 노드(201))의 제1 접속 제어 애플리케이션(예: 도 2의 제1 접속 제어 애플리케이션(211))도 출발지 노드에서 실행 및/또는 종료되는 애플리케이션이 존재하는 경우 컨트롤러(202)와 애플리케이션의 실행 및/또는 종료에 관한 정보를 처리할 수 있다.
도 16은 다양한 실시예들에 따른 도착지 노드에서 네트워크 수신을 제어하기 위한 동작 흐름도를 나타낸다. 도 16에 도시된 동작들은 도 2의 도착지 노드(204) 또는 도착지 노드(204)에 포함된 제2 접속 제어 애플리케이션(214)을 통해 수행될 수 있다.
도 16을 참조하면, 동작 1605에서 도착지 노드(204)의 제2 접속 제어 애플리케이션(214)은 네트워크 수신 이벤트를 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 데이터 패킷의 수신 요청을 감지함으로서 네트워크 수신 이벤트를 감지할 수 있다.
동작 1610에서, 제2 접속 제어 애플리케이션(214)은 인가된 데이터 플로우가 존재하는지 확인할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트 및 출발지 네트워크의 식별 정보를 식별할 수 있고, 서비스 포트에 대응되고 컨트롤러(202)로부터 인가된 데이터 플로우가 존재하는지 확인할 수 있다. 실시예에 따라서, 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응되는 인가된 데이터 플로우가 존재하지 않는 경우 제2 접속 제어 애플리케이션(214)은 데이터 패킷을 드롭할 수 있다(동작 1640).
출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응되는 인가된 데이터 플로우가 존재하는 경우, 동작 1615에서, 제2 접속 제어 애플리케이션(214)은 인가된 데이터 플로우가 출발지 네트워크의 식별 정보를 포함하고 있는지 여부를 확인할 수 있다. 실시예에 따라서, 제2 접속 제어 애플리케이션(214)은 인가된 데이터 플로우가 출발지 네트워크의 식별 정보를 포함하고 있는 경우, 출발지 네트워크의 데이터 패킷을 수신 처리할 수 있다(동작 1635).
인가된 데이터 플로우가 출발지 네트워크의 식별 정보를 포함하고 있지 않은 경우, 동작 1620에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)에게 네트워크 수신을 요청할 수 있다. 예를 들어, 네트워크 수신 요청은 출발지 네트워크의 식별 정보 및 서비스 포트 정보를 포함할 수 있다. 다른 예를 들어, 네트워크 수신 요청은 확인된 데이터 플로우의 식별 정보 및 출발지 네트워크의 식별 정보를 포함할 수 있다. 실시예에 따라서, 네트워크 수신 요청은 도착지 노드(204) 또는 제2 접속 제어 애플리케이션(214)을 식별하기 위한 제어 플로우 식별 정보를 포함할 수 있다.
동작 1625에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 갱신된 데이터 플로우를 수신할 수 있다. 예를 들어, 갱신된 데이터 플로우는 출발지 네트워크의 식별 정보를 포함할 수 있다.
동작 1630에서, 제2 접속 제어 애플리케이션(214)은 컨트롤러(202)로부터 수신된 갱신된 데이터 플로우를 기초로 출발지 네트워크의 데이터 패킷을 수신 처리할 수 있다. 실시예에 따라서, 동작 1625에서 갱신된 데이터 플로우가 수신되지 않은 경우 제2 접속 제어 애플리케이션(214)은 출발지 네트워크의 데이터 패킷을 드롭할 수 있다.
도 17은 다양한 실시예들에 따른 도착지 노드에서 제어 플로우 갱신을 위한 신호 흐름도를 나타낸다.
도착지 노드(204)는 지정된 주기 마다 제어 플로우를 갱신함으로서 컨트롤러(202)로부터 변경된 데이터 플로우 정보를 수신할 수 있다. 도 17에서는 도착지 노드(204)에서 제어 플로우를 갱신하는 동작을 도시하였지만 이에 한정되지 않고, 도 2의 출발지 노드(201)도 도 17의 동작들을 수행할 수 있다.
도 17을 참조하면, 동작 1705에서, 도착지 노드(204)는 제어 플로우 갱신 이벤트를 감지할 수 있다. 예를 들어, 제2 접속 제어 애플리케이션(214)은 지정된 주기로 제어 플로우 갱신 이벤트를 감지할 수 있다.
동작 1710에서, 도착지 노드(601)는 컨트롤러(202)에게 제어 플로우 갱신을 요청할 수 있다. 요청된 정보는 도착지 노드(204)와 컨트롤러(202)간 제어 플로우의 식별 정보를 포함할 수 있다.
동작 1715에서, 컨트롤러(202)는 도 10의 동작 1015와 유사한 방식을 통해 도착지 노드(204)의 접속 가능 여부를 확인하고, 확인된 결과에 기반하여 제어 플로우를 갱신할 수 있다. 한편, 컨트롤러(202)는 제어 플로우의 식별 정보를 기반으로 식별된 제어 플로우가 유효하지 않은 경우에는 동작 1725를 통해 도착지 노드(204)에 제어 플로우 갱신 실패 정보를 전송할 수 있다.
제어 플로우가 갱신되면, 동작 1720에서 컨트롤러(202)는 식별된 정보(예: 도착지 노드(204), 사용자, 또는 도착지 노드(204)가 속한 네트워크의 식별 정보)와 매칭하는 접속 정책을 확인함으로서 접속 가능한 애플리케이션과 접속 대상의 식별 정보가 목록화 된 데이터 플로우를 갱신할 수 있다. 예를 들어, 컨트롤러(202)는 제어 플로우에 종속된 데이터 플로우를 갱신할 수 있다.
동작 1725에서 컨트롤러(202)는 제어 플로우 갱신 요청에 대한 응답을 도착지 노드(204)에 전송할 수 있다. 예를 들어, 컨트롤러(202)는 제어 플로우 식별 정보 및 갱신된 데이터 플로우 테이블 정보를 도착지 노드(204)에게 전송할 수 있다.
동작 1730에서, 도착지 노드(204)는 수신된 응답에 따라서 결과값을 처리할 수 있다. 예를 들어, 갱신된 데이터 플로우 상태 정보에 기초하여, 도착지 노드(204)는 저장되어 있던 데이터 플로우 테이블을 갱신할 수 있다. 다른 예를 들어, 도착지 노드(204)는 제어 플로우 갱신 실패 정보를 수신한 경우 제2 접속 제어 애플리케이션(214)을 종료할 수 있다.
도 18 및 도 20은 다양한 실시예들에 따라 네트워크 접속을 해제하기 위한 동작을 설명한다. 도 18은 다양한 실시예들에 따른 출발지 노드에서 네트워크 접속을 해제하기 위한 신호 흐름도를 나타내고, 도 20은 네트워크 접속을 해제하기 위한 사용자 인터페이스 화면을 나타낸다.
도 18을 참조하면, 동작 1805에서 출발지 노드(201)는 네트워크 접속 해제를 컨트롤러(202)에게 요청할 수 있다. 예를 들어, 출발지 노드(201)는 출발지 노드(201)와 컨트롤러(202) 간 제어 플로우의 식별 정보를 네트워크 접속 해제를 요청하는 정보와 함께 컨트롤러(202)에게 전송할 수 있다.
일 실시예에 따르면, 출발지 노드(201)는 사용자의 요청, 출발지 노드(201)의 재시작, 또는 제1 접속 제어 애플리케이션(211)의 요청과 같은 네트워크 접속 해제 이벤트에 응답하여 네트워크 접속 해제를 시도할 수 있다. 예를 들어, 도 20을 참조하면, 출발지 노드(201)는 디스플레이를 통해 출력된 사용자 인터페이스 화면(2010)에서 접속 종료 버튼(2015)을 선택하는 사용자 입력을 수신할 수 있다. 출발지 노드(201)는 팝업창(2025)을 포함하는 사용자 인터페이스 화면(2020)을 출력함으로써 사용자에게 접속 종료를 재차 확인할 수 있다. 다른 예를 들어, 출발지 노드(201)는 사용자 인터페이스 화면(2020)을 출력하지 않고 곧바로 동작 1805를 수행할 수 있다.
동작 1810에서, 컨트롤러(202)는 출발지 노드(201)의 요청에 응답하여 수신된 식별 정보에 대응하는 제어 플로우를 제거(또는 해제)할 수 있다.
동작 1815에서, 컨트롤러(202)는 제거된 제어 플로우에 종속되는 데이터 플로우를 갱신(또는 해제, 제거)할 수 있다. 예를 들어, 제거되는 제어 플로우에 종속되는 데이터 플로우는 다수일 수 있다. 이 경우, 컨트롤러(202)는 제거되는 제어 플로우에 종속되는 모든 데이터 플로우를 갱신(또는 해제, 제거)할 수 있다.
동작 1820에서, 컨트롤러(202)는 제거된 제어 플로우에 종속되는 터널을 갱신(또는 해제, 제거)할 수 있다. 예를 들어, 제거되는 제어 플로우에 종속되는 터널은 다수일 수 있다. 이 경우, 컨트롤러(202)는 제거되는 제어 플로우에 종속되는 모든 터널을 갱신(또는 해제, 제거)할 수 있다.
동작 1825에서, 컨트롤러(202)는 게이트웨이(203)에게 제거된 제어 플로우에 종속되는 터널의 제거를 요청할 수 있다. 게이트웨이(203)는 컨트롤러(202)의 요청에 응답하여 터널을 제거할 수 있다.
동작 1830에서, 컨트롤러(202)는 도착지 노드(204)에 갱신된 데이터 플로우를 전송할 수 있다. 도착지 노드(204)는 갱신된 데이터 플로우에 대한 정보를 수신하여 저장되어있는 데이터 플로우 테이블을 갱신할 수 있다. 데이터 플로우가 제거되면, 제거된 데이터 플로우에 대응하는, 도착지 노드(204)를 포함하는 목적지 네트워크로, 전송되는 데이터 패킷은 제2 접속 제어 애플리케이션(214)에 의하여 차단될 수 있다. 상술한 동작을 통해, 도착지 노드(204)를 포함하는 시스템은, 출발지 노드(201)에서 전송되는 데이터 패킷을 더 이상 수신할 수 없는 완전한 차단 및 격리를 제공할 수 있다.
도 19는 다양한 실시예들에 따른 도착지 노드에서 네트워크 접속을 해제하기 위한 신호 흐름도를 나타낸다.
도 19를 참조하면, 동작 1905에서, 도착지 노드(204)는 네트워크 접속 해제를 컨트롤러(202)에게 요청할 수 있다. 예를 들어, 도착지 노드(204)는 도착지 노드(204)와 컨트롤러(202)간 제어 플로우의 식별 정보를 네트워크 접속 해제를 요청하는 정보와 함께 컨트롤러(202)에게 전송할 수 있다.
일 실시예에 따르면, 도착지 노드(204)는 사용자의 요청, 출발지 노드(204)의 재시작, 또는 제2 접속 제어 애플리케이션(214)의 요청과 같은 네트워크 접속 해제 이벤트에 응답하여 네트워크 접속 해제를 시도할 수 있다. 예를 들어, 도 20을 참조하면, 도착지 노드(204)는 디스플레이를 통해 출력된 사용자 인터페이스 화면(2010)에서 접속 종료 버튼(2015)을 선택하는 사용자 입력을 수신할 수 있다. 도착지 노드(204)는 팝업창(2025)을 포함하는 사용자 인터페이스 화면(2020)을 출력함으로써 사용자에게 접속 종료를 재차 확인할 수 있다. 다른 예를 들어, 도착지 노드(204)는 사용자 인터페이스 화면(2020)을 출력하지 않고 곧바로 동작 1905를 수행할 수 있다.
동작 1910에서, 컨트롤러(202)는 도착지 노드(204)의 요청에 응답하여 수신된 식별 정보에 대응하는 제어 플로우를 제거(또는 해제)할 수 있다.
동작 1915에서, 컨트롤러(202)는 제거된 제어 플로우에 종속되는 데이터 플로우를 해제(또는 갱신, 제거)할 수 있다. 예를 들어, 제거되는 제어 플로우에 종속되는 데이터 플로우는 다수일 수 있다. 이 경우, 컨트롤러(202)는 제거되는 제어 플로우에 종속되는 모든 데이터 플로우를 해제(또는 갱신, 제거)할 수 있다. 따라서, 데이터 플로우가 해제됨에 따라서 출발지 노드(201)는 더 이상 도착지 노드(204)로 데이터 패킷을 전송할 수 없다.
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (17)

  1. 노드에 있어서,
    통신 회로;
    상기 통신 회로와 작동적으로 연결되는 프로세서; 및
    상기 프로세서와 작동적으로 연결되고, 수신 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 출발지 네트워크로부터의 네트워크 수신 이벤트를 감지하고,
    상기 접속 제어 애플리케이션을 통해 상기 출발지 네트워크로부터의 데이터 패킷에 포함된 목적지 서비스 포트에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하고,
    상기 접속 제어 애플리케이션을 통해, 상기 인가된 데이터 플로우의 존재 여부 및 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하고 있는지 여부에 기초하여 상기 외부 서버에 네트워크 수신을 요청하는, 명령어들을 저장하는, 노드.
  2. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 인가된 데이터 플로우가 존재하지 않는 경우 상기 데이터 패킷을 드롭(drop)하고,
    상기 인가된 데이터 플로우가 존재하고 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하는 경우, 상기 데이터 패킷을 수신 처리하고,
    상기 인가된 데이터 플로우가 존재하지만 상기 출발지 네트워크의 식별 정보를 포함하지 않는 경우, 상기 외부 서버에 제1 네트워크 수신을 요청하고, 상기 제1 네트워크 수신 요청은 상기 출발지 네트워크의 식별 정보와, 상기 목적지 서비스 포트 또는 상기 인가된 데이터 플로우 식별 정보를 포함하고,
    상기 외부 서버로부터 갱신된 데이터 플로우를 수신하고, 상기 갱신된 데이터 플로우는 상기 출발지 네트워크의 식별 정보를 포함하고 및
    상기 갱신된 데이터 플로우를 기초로 상기 데이터 패킷을 수신 처리하는, 노드.
  3. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 데이터 패킷에서 상기 수신 애플리케이션이 식별되는 경우, 상기 수신 애플리케이션의 식별 정보, 상기 목적지 서비스 포트를 포함하는 상기 인가된 데이터 플로우가 존재하는지 확인하고,
    상기 인가된 데이터 플로우가 존재하면 상기 데이터 패킷을 수신 처리하고,
    상기 인가된 데이터 플로우가 존재하지 않는 경우 상기 외부 서버에 제2 네트워크 수신을 요청하고, 상기 제2 네트워크 수신 요청은 상기 수신 애플리케이션의 식별 정보 및 상기 목적지 서비스 포트를 포함하고,
    상기 외부 서버로부터 상기 수신 애플리케이션 및 상기 목적지 서비스 포트를 포함하는 데이터 플로우를 수신하는, 노드.
  4. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 상기 수신 처리된 데이터 패킷에 대한 응답을 위한 네트워크 전송 이벤트를 감지하고,
    상기 노드의 식별 정보 및 상기 수신 애플리케이션의 식별 정보에 대응되는 데이터 플로우의 존재를 확인하고,
    상기 데이터 플로우가 존재하지 않으면 상기 접속 제어 애플리케이션을 통해 상기 외부 서버에 네트워크 전송을 요청하고, 상기 네트워크 전송 요청은 상기 제어 플로우 식별 정보, 목적지 네트워크 식별 정보 및 출발지 서비스 포트 정보를 포함하고,
    상기 수신 애플리케이션, 상기 목적지 네트워크 식별 정보 및 상기 출발지 서비스 포트를 포함하는 데이터 플로우를 상기 외부 서버로부터 수신하고,
    상기 수신된 데이터 플로우를 기초로 상기 수신된 데이터 패킷에 대한 응답 데이터 패킷을 전송하는, 노드.
  5. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 상기 외부 서버에 대한 컨트롤러 접속 이벤트를 감지하고, 상기 외부 서버에게 컨트롤러 접속을 요청하고,
    상기 외부 서버로부터 상기 컨트롤러 접속 요청에 대한 제1 응답을 수신하고,
    상기 제1 응답은 제어 플로우의 식별 정보, 수신 가능한 애플리케이션 정보 및 수신 가능한 서비스 포트 정보를 포함하는, 노드.
  6. 제 5 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 상기 수신 가능한 애플리케이션 정보를 기초로 상기 수신 가능한 애플리케이션의 존재 여부 및 실행 여부를 확인하고,
    상기 수신 가능한 애플리케이션 중 상기 노드에 존재하고 실행되는 애플리케이션이 상기 수신 가능한 서비스 포트를 통해 수신 중인지 여부를 확인하고,
    상기 수신 가능한 애플리케이션의 존재 여부, 실행 여부 및 상기 수신 가능한 서비스 포트를 통해 수신 중인지 여부를 상기 외부 서버로 전송하고,
    상기 외부 서버로부터 생성된 데이터 플로우를 수신하는, 노드.
  7. 제 5 항에 있어서, 상기 명령어들은 상기 노드가,
    사용자 인증을 요청하는 사용자 입력을 수신하고,
    상기 통신 회로를 이용하여, 상기 외부 서버에게 상기 노드의 사용자에 대한 사용자 인증을 요청하고, 상기 사용자 인증 요청은 상기 사용자 입력에 대응하는 정보를 포함하고,
    상기 외부 서버로부터, 상기 사용자 인증 요청에 대한 제2 응답을 수신하고, 상기 제2 응답은 상기 제어 플로우의 식별 정보, 상기 수신 가능한 애플리케이션 정보 및 상기 수신 가능한 서비스 포트 정보를 포함하는, 노드.
  8. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 노드와 상기 외부 서버간 생성된 제어 플로우의 갱신 이벤트를 감지하고,
    상기 감지된 이벤트에 응답하여, 상기 통신 회로를 이용하여 상기 외부 서버에게 상기 제어 플로우의 갱신을 요청하고,
    상기 외부 서버로부터, 상기 제어 플로우 갱신 요청에 대한 제3 응답을 수신하며,
    상기 제3 응답은 갱신된 상기 데이터 플로우를 포함하는, 노드.
  9. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 애플리케이션 실행 이벤트를 감지하고,
    상기 실행된 애플리케이션이 네트워크 수신 중인지 확인하고,
    상기 실행된 애플리케이션이 네트워크 수신 중인 경우 상기 실행된 애플리케이션의 식별 정보 및 상기 실행된 애플리케이션이 수신 중인 서비스 포트에 대응되는 상기 인가된 데이터 플로우가 존재하는지 확인하고,
    상기 인가된 데이터 플로우가 존재하지 않는 경우에 상기 외부 서버에 상기 인가된 데이터 플로우를 요청하고,
    상기 외부 서버로부터 생성되거나 갱신된 데이터 플로우를 수신하는, 노드.
  10. 제 1 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 애플리케이션 실행 종료 이벤트를 감지하고,
    상기 실행 종료된 애플리케이션의 식별 정보에 대응되는 상기 인가된 데이터 플로우의 존재 여부를 확인하고,
    상기 실행 종료된 애플리케이션의 식별 정보에 대응되는 상기 인가된 데이터 플로우가 존재하는 경우 상기 인가된 데이터 플로우를 삭제하고,
    상기 외부 서버에 상기 인가된 데이터 플로우를 삭제 요청하는, 노드.
  11. 노드에 있어서,
    통신 회로;
    상기 통신 회로와 작동적으로 연결되는 프로세서; 및
    상기 프로세서와 작동적으로 연결되고, 수신 애플리케이션 및 접속 제어 애플리케이션을 저장하는 메모리를 포함하고, 상기 메모리는, 상기 프로세서에 의해서 실행될 때 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 수신 처리된 데이터 패킷에 대한 응답을 위한 네트워크 전송 이벤트를 감지하고,
    상기 접속 제어 애플리케이션을 통해 상기 수신 처리된 데이터 패킷에 대한 응답 데이터 패킷에 포함된 출발지 서비스 포트 및 상기 수신 애플리케이션에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하고,
    상기 접속 제어 애플리케이션을 통해, 상기 인가된 데이터 플로우의 존재 여부 및 상기 인가된 데이터 플로우가 목적지 네트워크의 식별 정보를 포함하고 있는지 여부에 기초하여 상기 외부 서버에 네트워크 전송을 요청하는, 명령어들을 저장하는, 노드.
  12. 제 11 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 인가된 데이터 플로우가 존재하지 않는 경우 상기 응답 데이터 패킷을 드롭하고,
    상기 인가된 데이터 플로우가 존재하고 상기 인가된 데이터 플로우가 상기 목적지 네트워크의 식별 정보를 포함하는 경우, 상기 데이터 패킷을 전송 처리하고,
    상기 인가된 데이터 플로우가 존재하지만 상기 목적지 네트워크의 식별 정보를 포함하지 않는 경우, 상기 외부 서버에 상기 네트워크 전송을 요청하고, 상기 네트워크 전송 요청은 상기 목적지 네트워크의 식별 정보와, 상기 출발지 서비스 포트 또는 상기 데이터 플로우 식별 정보를 포함하고,
    상기 외부 서버로부터 갱신된 데이터 플로우를 수신하고, 상기 갱신된 데이터 플로우는 상기 목적지 네트워크의 식별 정보를 포함하고, 및
    상기 갱신된 데이터 플로우를 기초로 상기 응답 데이터 패킷을 전송 처리하는, 노드.
  13. 제 11 항에 있어서, 상기 명령어들은 상기 노드가,
    상기 접속 제어 애플리케이션을 통해 상기 출발지 서비스 포트, 상기 수신 애플리케이션의 식별 정보 및 상기 목적지 네트워크의 식별 정보를 포함하는 데이터 플로우가 존재하는지 확인하고,
    상기 데이터 플로우가 존재하지 않으면 상기 외부 서버에 제2 네트워크 전송을 요청하고, 상기 네트워크 전송 요청은 상기 상기 수신 애플리케이션의 식별 정보 및 상기 목적지 네트워크의 식별 정보를 포함하고,
    상기 수신 애플리케이션의 식별 정보 및 상기 목적지 네트워크의 식별 정보를 포함하는 상기 데이터 플로우를 상기 외부 서버로부터 수신하고, 및
    상기 수신된 데이터 플로우를 기초로 상기 응답 데이터 패킷을 전송 처리하는, 노드.
  14. 서버에 있어서,
    통신 회로;
    데이터 베이스를 저장하는 메모리; 및
    상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,
    노드의 접속 제어 애플리케이션으로부터 상기 서버에 대한 컨트롤러 접속을 요청하는 제1 요청을 수신하고, 상기 제1 요청은 상기 노드, 상기 접속 제어 애플리케이션 및 상기 노드가 속하는 네트워크 중 적어도 어느 하나의 식별 정보를 포함하고,
    상기 제1 요청에 포함되는 상기 식별 정보 및 상기 데이터 베이스에 기반하여 상기 노드가 접속 가능한지 여부를 결정하고,
    상기 노드가 접속 가능한 장치인 경우 제어 플로우를 생성하고,
    상기 식별 정보를 기초로 수신 가능한 애플리케이션 정보 또는 수신 가능한 서비스 포트 정보를 생성하고,
    상기 통신 회로를 통해 상기 제어 플로우의 식별 정보, 상기 수신 가능한 애플리케이션 정보 또는 상기 수신 가능한 서비스 포트 정보를 상기 노드로 전송하도록 구성된, 서버.
  15. 제 14 항에 있어서, 상기 프로세서는,
    상기 노드의 접속 제어 애플리케이션으로부터 네트워크 수신을 요청하는 제2 요청을 수신하고, 상기 제2 요청은 상기 제어 플로우 식별 정보, 상기 노드로 전송 요청한 네트워크의 식별 정보 및 상기 노드의 서비스 포트 정보를 포함하고,
    상기 제2 요청에 포함된 정보 및 상기 데이터 베이스를 기초로 상기 노드의 접속 가능 여부를 확인하고,
    상기 노드가 접속 가능한 경우 상기 노드의 수신 애플리케이션 식별 정보, 상기 노드로 전송 요청한 네트워크의 식별 정보 및 상기 노드의 서비스 포트 정보를 포함하는 데이터 플로우를 생성하거나 갱신하고,
    상기 생성되거나 갱신된 데이터 플로우를 상기 노드로 전송하는, 서버.
  16. 제 14 항에 있어서, 상기 프로세서는,
    상기 노드의 접속 제어 애플리케이션으로부터 네트워크 전송을 요청하는 제3 요청을 수신하고, 상기 제3 요청은 상기 제어 플로우 식별 정보, 상기 노드의 목적지 네트워크 식별 정보 및 상기 노드의 목적지 서비스 포트 정보를 포함하고,
    상기 제3 요청에 포함된 정보 및 상기 데이터 베이스를 기초로 상기 노드의 접속 가능 여부를 확인하고,
    상기 노드가 접속 가능한 경우 상기 노드의 전송 애플리케이션 식별 정보, 상기 목적지 네트워크의 식별 정보 및 상기 목적지 서비스 포트 정보를 포함하는 데이터 플로우를 생성하거나 갱신하고,
    상기 생성되거나 갱신된 데이터 플로우를 상기 노드로 전송하는, 서버.
  17. 노드에 저장된 접속 제어 애플리케이션의 동작 방법에 있어서,
    출발지 네트워크로부터의 네트워크 수신 이벤트를 감지하는 동작;
    상기 접속 제어 애플리케이션을 통해 상기 출발지 네트워크로부터의 데이터 패킷에 포함된 서비스 포트에 대응하고 외부 서버로부터 인가된 데이터 플로우가 존재하는지 확인하는 동작;
    상기 인가된 데이터 플로우가 존재하지 않는 경우 상기 데이터 패킷을 드롭(drop)하는 동작;
    상기 인가된 데이터 플로우가 존재하고 상기 인가된 데이터 플로우가 상기 출발지 네트워크의 식별 정보를 포함하는 경우, 상기 데이터 패킷을 수신 처리하는 동작;
    상기 인가된 데이터 플로우가 존재하지만 상기 출발지 네트워크의 식별 정보를 포함하지 않는 경우, 상기 외부 서버에 네트워크 수신을 요청하는 동작, 상기 네트워크 수신 요청은 상기 출발지 네트워크의 식별 정보와, 상기 서비스 포트 또는 상기 인가된 데이터 플로우 식별 정보를 포함하고;
    상기 외부 서버로부터 갱신된 데이터 플로우를 수신하는 동작, 상기 갱신된 데이터 플로우는 상기 출발지 네트워크의 식별 정보를 포함하고; 및
    상기 갱신된 데이터 플로우를 기초로 상기 데이터 패킷을 수신 처리하는 동작; 을 포함하는, 방법.
PCT/KR2022/013584 2021-10-20 2022-09-08 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 WO2023068553A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2021-0139944 2021-10-20
KR1020210139944A KR102407135B1 (ko) 2021-10-20 2021-10-20 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Publications (1)

Publication Number Publication Date
WO2023068553A1 true WO2023068553A1 (ko) 2023-04-27

Family

ID=81986237

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/013584 WO2023068553A1 (ko) 2021-10-20 2022-09-08 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Country Status (2)

Country Link
KR (1) KR102407135B1 (ko)
WO (1) WO2023068553A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102407135B1 (ko) * 2021-10-20 2022-06-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101712168B1 (ko) * 2015-08-24 2017-03-03 주식회사 케이티 패킷 입력 메시지 제어 방법, 이를 수행하는 스위치 및 컨트롤러
JP2017175462A (ja) * 2016-03-24 2017-09-28 学校法人東京電機大学 通信制御装置、通信制御方法、及びプログラム
KR20180019273A (ko) * 2016-08-16 2018-02-26 아토리서치(주) 소프트웨어 정의 네트워킹에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램
KR20210045917A (ko) * 2019-09-24 2021-04-27 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309115B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407135B1 (ko) * 2021-10-20 2022-06-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101712168B1 (ko) * 2015-08-24 2017-03-03 주식회사 케이티 패킷 입력 메시지 제어 방법, 이를 수행하는 스위치 및 컨트롤러
JP2017175462A (ja) * 2016-03-24 2017-09-28 学校法人東京電機大学 通信制御装置、通信制御方法、及びプログラム
KR20180019273A (ko) * 2016-08-16 2018-02-26 아토리서치(주) 소프트웨어 정의 네트워킹에서의 서버 은닉 방법, 시스템 및 컴퓨터 프로그램
KR20210045917A (ko) * 2019-09-24 2021-04-27 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309115B1 (ko) * 2021-09-07 2021-10-08 프라이빗테크놀로지 주식회사 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102407135B1 (ko) * 2021-10-20 2022-06-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Also Published As

Publication number Publication date
KR102407135B1 (ko) 2022-06-10

Similar Documents

Publication Publication Date Title
WO2021060856A1 (ko) 단말의 안전한 네트워크 접속을 위한 시스템 및 방법
WO2022231306A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023033586A1 (ko) Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023038387A1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023163509A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023085793A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023146308A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023211124A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023090755A1 (ko) 가상화 인스턴스의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023085791A1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023163514A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023136658A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023211122A1 (ko) 프록시에 기반하여 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023211104A1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2022231304A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023177238A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023146304A1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
WO2023033588A1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
WO2017047928A1 (en) Server and user terminal
WO2021261728A1 (ko) 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
WO2023068553A1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102333555B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2021060859A1 (ko) 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2020189800A1 (ko) 블록체인에서 생성된 데이터를 인증하는 방법 및 시스템
WO2023163504A1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22883778

Country of ref document: EP

Kind code of ref document: A1