WO2024091017A1 - Client asset management system and client asset management method - Google Patents

Client asset management system and client asset management method Download PDF

Info

Publication number
WO2024091017A1
WO2024091017A1 PCT/KR2023/016736 KR2023016736W WO2024091017A1 WO 2024091017 A1 WO2024091017 A1 WO 2024091017A1 KR 2023016736 W KR2023016736 W KR 2023016736W WO 2024091017 A1 WO2024091017 A1 WO 2024091017A1
Authority
WO
WIPO (PCT)
Prior art keywords
client
asset management
network
clients
management server
Prior art date
Application number
PCT/KR2023/016736
Other languages
French (fr)
Korean (ko)
Inventor
김태훈
김동주
나완규
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Publication of WO2024091017A1 publication Critical patent/WO2024091017A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/06Asset management; Financial planning or analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a technology that enables server-based client asset management outside the network even for clients in a network whose connection to the outside of the network is limited.
  • Operational Technology refers to a method of monitoring/controlling industrial equipment/facilities, processes, and events using hardware and software, in various industries and environments such as manufacturing, energy, healthcare, building management, smart cities, and smart factories. It is a system that is in operation.
  • assets can refer to each equipment/facility that makes up the system
  • asset management refers to the status of each equipment/facility that makes up the system (e.g. IP, operating system, host name, NIC card information, patch information, usage port/communication node information, etc.) and visualize each equipment/facility by visualizing interconnectivity or network connection information based on the status, etc., defined for the operational efficiency of each equipment/facility. It refers to all management functions.
  • each asset is managed by the asset management server based on the connection between the asset management server and the client (asset), that is, a server-based client asset management method.
  • the present invention proposes a technical solution that enables server-based client asset management outside the closed network, even for clients belonging to a closed network.
  • the problem to be solved by the present invention is to provide a client asset management system and a client asset management method that enable server-based client asset management outside the network even for network clients with limited connectivity to the outside of the network. .
  • a client asset management method includes a confirmation step of identifying a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connectivity to the outside of the network. ;
  • a port forwarding setting step of configuring port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client;
  • An address change setting step of setting an address change in clients other than the specific client among the plurality of clients so that a data packet transmitted to the asset management server is transmitted through the specific client;
  • an incoming port number is set to distinguish data packets to be forwarded among data packets received from the first network, and a destination IP address is selected from the data packets received through the set incoming port number. and port, can be set to use the IP address and port number of the asset management server.
  • the address change setting step can be set to change the destination IP and port in the data packet transmitted to the asset management server to the first network address and the incoming port number of the specific client.
  • the data packet of the remaining clients transmitted from the specific client to the asset management server may include a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
  • data packets transmitted from the specific client are classified for each client of the first network according to a unique value included in the data packet, and based on the data packets classified for each client, , It is possible to manage each client asset of the first network.
  • a client asset management system includes a confirmation unit that verifies a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connectivity to the outside of the network. ; a port forwarding setting unit that sets port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client; An address change setting unit that sets an address change so that a data packet transmitted to the asset management server is transmitted through the specific client in the clients other than the specific client among the plurality of clients; and, in the asset management server, an asset management unit that manages each client asset of the first network based on the data packets of the remaining clients transmitted through the specific client.
  • the port forwarding setting unit sets an incoming port number to distinguish data packets to be forwarded among data packets received from the first network, and sets the destination IP and In Port, you can set to use the IP address and port number of the asset management server.
  • the address change setting unit may be configured to change the destination IP and port in the data packet transmitted to the asset management server to the first network address and the incoming port number of the specific client.
  • the data packet of the remaining clients transmitted from the specific client to the asset management server may include a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
  • the asset management unit classifies data packets transmitted from the specific client for each client of the first network according to a unique value included in the data packet, and based on the data packets classified for each client, Each client asset of the first network can be managed.
  • a closed network a network with limited external connectivity
  • server-based client asset management becomes possible without building additional equipment for a closed network
  • FIG. 1 is a configuration diagram showing the configuration of a client asset management system according to an embodiment of the present invention.
  • Figure 2 is an example diagram showing a server-based client asset management structure to which the proposed technology of the present invention is applied.
  • 3 and 4 are flow charts showing the operational flow of a client asset management method according to an embodiment of the present invention.
  • the present invention relates to a technology that enables server-based client asset management outside the network even for clients in a network whose connection to the outside of the network is limited.
  • Operational Technology refers to a method of monitoring/controlling industrial equipment/facilities, processes, and events using hardware and software, in various industries and environments such as manufacturing, energy, healthcare, building management, smart cities, and smart factories. It is a system that is in operation.
  • assets can refer to each equipment/facility that makes up the system.
  • Asset management in an OT environment means identifying the status of each equipment/facility that makes up the system (e.g. IP, operating system, host name, NIC card information, patch information, port used/communication node information, etc.) Based on this, it refers to all management functions defined for the operational efficiency of each equipment/facility, such as visualizing each equipment/facility by visualizing interconnectivity or network connection information.
  • each asset is managed by the asset management server based on the connection between the asset management server and the client (asset), that is, a server-based client asset management method.
  • the client (asset) to be managed by the asset management server installed on an external network belongs to the closed network, so the connection between the asset management server and the client This is impossible and therefore server-based client asset management is impossible.
  • client asset management is impossible due to environmental problems such as OT assets being comprised of a closed network, it is difficult to determine the status of client assets belonging to the closed network, and it is especially difficult to secure asset visibility, which is most necessary for security, which can lead to a major problem situation. You can.
  • the present invention proposes a technical solution that enables server-based client asset management even for clients belonging to a closed network.
  • the key to the present invention is to realize a technical configuration that enables server-based client asset management for clients without building additional management equipment in a closed network.
  • Figure 1 shows the configuration of a client asset management system 100, which implements the asset management technology proposed in the present invention.
  • each component within the client asset management system 100 that implements the asset management technology of the present invention is conceptually diagrammed, and in actual implementation, each component can be distributed and implemented across clients and asset management servers.
  • the client asset management system 100 includes a confirmation unit 110, a port forwarding setting unit 120, an address change setting unit 130, and an asset management unit ( 140) may be included.
  • the client asset management system 100 through the above-described configuration, enables server-based client asset management for clients belonging to the technical method proposed by the present invention, that is, a closed network. A new way of asset management technology can be realized.
  • each component in the client asset management system 100 of the present invention is installed in the form of a program or application on a terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. It can be distributed and implemented across installed/operated clients and asset management servers.
  • a terminal e.g., PC, equipment/facility, etc.
  • an "asset” consisting of a confirmation unit 110, a port forwarding setting unit 120, and an address change setting unit 130.
  • the “management function 150” may be implemented in the client.
  • the “asset management function 150” that realizes the asset management technology of the present invention is in the form of a program or application, and is a terminal (e.g. PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. It may be a client installed/operated on .
  • the client on which the asset management function 150 is implemented will be referred to as reference number 150, and the asset management function 150, which is a component of the present invention, and the client 150 are assumed and explained to be the same. would.
  • the asset management unit 140 may be implemented in an asset management server.
  • the asset management server on which the asset management unit 140 is implemented will be referred to as reference number 140, and it will be assumed and explained that the asset management unit 140 and the management asset server 140, which are components of the present invention, are the same. .
  • the confirmation unit 110 is in charge of the function of confirming a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connection to the outside of the network.
  • the first network with limited connection to the outside of the network can be expressed as a network with various names such as a closed network, a private network, and a private network, and will be referred to as a “closed network” in the following description.
  • the second network outside the first network is a network in which the asset management server 140, described later, is located, and is a network of various names such as open network, open network, public network, etc., where external (e.g., Internet) connection is not limited. It can be expressed as, and in the following description, it will be referred to as an “open network”.
  • the confirmation unit 110 can confirm a specific client (eg, client A) that can also connect to an open network among a plurality of clients connected to a closed network.
  • client A a specific client that can also connect to an open network among a plurality of clients connected to a closed network.
  • a specific client that is connected to a closed network but can also connect to an open network can be said to be a client in this role.
  • one network adapter is connected to an open network, and one network adapter is connected to a closed network.
  • a client e.g., client A
  • client A that is installed/operated in can be selected as a specific client.
  • a specific client that satisfies the above-mentioned selection conditions may be selected by the operator.
  • each client 150 whether or not it is selected as a specific client can be manipulated by the operator.
  • the confirmation unit 110 of the client selected as a specific client among the plurality of clients can recognize/confirm that the client to which it belongs (e.g., client A) is in charge of the role of the specific client. there is.
  • the confirmation unit 110 of the remaining clients e.g., clients B, C, D,..., H
  • the confirmation unit 110 of the remaining clients is selected through closed network-based communication.
  • a specific client that satisfies the above-mentioned selection conditions among multiple clients connected to the closed network will be automatically selected through consultation between clients through the closed network. It may be possible.
  • each client 150 determines whether the terminal it is installing/operating satisfies the selection conditions described above and shares the judgment result with other clients to satisfy the selection conditions through a sharing-based consultation process.
  • One client can be selected as a specific client.
  • the confirmation unit 110 of the client selected as a specific client among the plurality of clients can recognize/confirm that the client to which it belongs (e.g., client A) is in charge of the role of the specific client. there is.
  • the confirmation unit 110 of the remaining clients determines which client (e.g., client A) in the above-described negotiation process. ) can be recognized/checked to see if it is acting as a specific client.
  • client A is selected as a specific client.
  • the port forwarding setting unit 120 is responsible for setting up port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client.
  • the port forwarding setting function of the port forwarding setting unit 120 can be operated only on a specific client, that is, client A 150 serving as a specific client among multiple clients.
  • the port forwarding setting unit 120 of client A (150), which serves as a specific client, is configured to transfer data packets between the asset management server 140 connected to the second network, that is, an open network, and the first network, that is, a closed network. You can set up port forwarding.
  • the port forwarding setting unit 120 may set an incoming port number to distinguish data packets to be forwarded among data packets received in the first network, that is, a closed network.
  • the port forwarding setting unit 120 can set any port number among the available port numbers assigned to the closed network as the incoming port number, and in the following embodiment, “36500” is set as the incoming port number. Let's assume one case.
  • the port forwarding setting unit 120 can be set to use the IP address and port number of the asset management server 140 as the destination IP and port in the data packet received through the previously set incoming port number.
  • IP address and port number of the asset management server 140 are 10.2.1.39 and 443.
  • Port forwarding settings of the port forwarding setting unit 120 may be performed according to the terminal operating system of client A (150).
  • the port forwarding setting unit 120 may perform/configure the port forwarding settings described above through the netsh command included in the operating system.
  • the port forwarding setting unit 120 may perform/configure the port forwarding settings described above through iptables included in the operating system.
  • the address change setting unit 130 is responsible for setting an address change so that data packets transmitted to the asset management server from the remaining clients other than the specific client among the plurality of clients are delivered through the specific client.
  • the address change setting function of the address change setting unit 130 can be operated only on the remaining clients B, C, D,...H 150, excluding a specific client among the plurality of clients.
  • the address change setting unit 130 of each of the remaining clients B, C, D,...H (150) allows the data packet transmitted to the asset management server 140 to be transmitted through a specific client, that is, client A (150). You can set up an address change to allow it to be forwarded.
  • the address change setting unit 130 is set to change the destination IP and port in the data packet transmitted to the asset management server 140 to the first network address and the above-described incoming port number of a specific client, that is, client A (150). You can.
  • the related information (including the incoming port number (e.g., 36500)) is used for closed network-based communication. It can be delivered/shared to each remaining client B, C, D,...H (150).
  • the address change setting unit 130 of each of the remaining clients B, C, D,...H (150) sets the destination IP and port in the data packet transmitted to the asset management server 140, and sets the destination IP and port to client A (150). )'s closed network address (e.g., 192.168.0.1) and the aforementioned incoming port number (e.g., 36500).
  • the data packet transmitted to the asset management server 140 may refer to all types of data packets transmitted from each client 150 to the asset management server 140 for server-based client asset management. .
  • client D (150) is mentioned as an example, and the data packet of client D (150) is sent to the asset management server 140 through client A (150). I will explain the delivery process.
  • Various data transmission events predefined for server-based client asset management may occur in the client D (150), such as when an information transmission request is received from the asset management server 140 or an information reporting cycle arrives.
  • client D (150) may generate and transmit a data packet to be transmitted to the asset management server (140).
  • the IP address and port number of the asset management server (140) included in the destination IP and port (e.g., 10.2.1.39: 443) will be changed to the first network address and incoming port number of client A (150) (e.g., 192.168.0.1:36500) and then transmitted.
  • the data packet transmitted from the remaining clients (e.g., client D (150)) to the asset management server (140) is a specific client (e.g., changed according to the previously set address change settings) as the destination IP and port. It will include the closed network address of client A (150) and the incoming port number (e.g. 36500).
  • the data packet transmitted from the remaining clients (e.g., client D (150)) to the asset management server 140 may include the client (e.g., client D (150))'s own unique value within the data (payload). there is.
  • MAC Media Access Control Address
  • the data packet generated and transmitted by client D (150) will be delivered to client A (150) through a closed network and received through an incoming port number (e.g., 36500).
  • an incoming port number e.g., 36500
  • data packets received through the incoming port number can be classified as objects to be forwarded to the asset management server (140), according to the previously set port forwarding settings.
  • client A (150) uses the IP address and port number of the asset management server 140 as the destination IP and port according to the previously set port forwarding settings for the corresponding data packet classified as a delivery target. It can be transmitted to the management server 140.
  • the data packet generated and transmitted by the client D (150) may be delivered to the asset management server 140 of the open network through the client A (150) of the closed network.
  • Client A which acts as a specific client, can also generate and transmit data packets for transmission to the asset management server (140) when various data transmission events predefined for server-based client asset management occur. there is.
  • client A (150) since client A (150) is also connected to the open network, it can directly transmit the generated data packet to the asset management server (140) through the open network.
  • the asset management unit 140 in the asset management server, is responsible for managing each client asset of the first network based on the data packets of the remaining clients transmitted through the specific client.
  • the asset management unit 140 may be implemented in the management asset server 140.
  • the asset management server 140 can manage each client asset in a closed network based on a data packet transmitted from a specific client, for example, client A (150).
  • client assets belonging to a closed network must be able to be distinguished through unique information of each client asset.
  • the closed network data packet transmitted to the asset management server 140 through a specific client includes the transmitting entity (e.g., the remaining clients B, C) that transmitted the data packet. ,D,...H)'s unique values (e.g. MAC address) are included.
  • the asset management server 140 can distinguish data packets transmitted from a specific client, that is, client A (150), for each remaining client of the closed network according to a unique value (e.g., MAC address) included in the data packet. .
  • the asset management server 140 uses the unique value (e.g., MAC address) in the received data packet to connect the data packet delivered from client A 150 to the remaining clients B, C, and D of the closed network. Among ..H, you can distinguish which client it was transmitted from.
  • unique value e.g., MAC address
  • asset management server 140 since the asset management server 140 is connected to client A (150) through an open network, it will be able to distinguish between data packets generated and transmitted by client A (150).
  • the asset management server 140 can manage each client asset of the closed network based on data packets classified for each client A, B, C,...,H.
  • the scenario in which data packets are delivered from the asset management server 140 to each client A, B, C,..., H in the closed network is through the port proxy program of the operating system (e.g., netsh for Windows, and netsh for Linux). This can be performed through the relay function by iptables).
  • the port proxy program of the operating system e.g., netsh for Windows, and netsh for Linux. This can be performed through the relay function by iptables).
  • the data packets of each client in the closed network are stored in a distinguishable form through one of the clients (specific client) belonging to a network with limited external connectivity (hereinafter referred to as a closed network). It presents a structure and specific technical configuration that allows it to be transmitted to an external asset management server.
  • server-based client asset management becomes possible without building additional equipment for a closed network, regardless of the burden of changing the network environment and configuration, the problem of increased costs, or the environment in which it is difficult to build additional equipment.
  • This has the effect of transparently managing client assets belonging to a closed network.
  • a component within the client asset management system 100 of the present invention is sent to a terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset configured in a first network (hereinafter referred to as a closed network) with limited connection to the outside.
  • a terminal e.g., PC, equipment/facility, etc.
  • a closed network a first network
  • a client of the asset management function 150 for server-based asset management is installed in the terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. Can be installed/operated.
  • the terminal e.g., PC, equipment/facility, etc.
  • asset management function 150 and the client 150 which are components of the present invention, are the same.
  • the asset management unit 140 which is a component of the client asset management system 100 of the present invention, is implemented in an asset management server existing in a second network (hereinafter referred to as an open network) where connection to the outside is not restricted.
  • asset management unit 140 and the management asset server 140 which are components of the present invention, are the same.
  • a specific client that can also connect to the open network is identified (S20).
  • a specific client that is connected to a closed network but can also connect to an open network can be said to be a client in this role.
  • one network adapter is connected to an open network, and one network adapter is connected to a closed network.
  • a client e.g., client A
  • client A that is installed/operated in can be selected as a specific client.
  • a specific client that satisfies the above-mentioned selection conditions may be selected by the operator.
  • a specific client that satisfies the above-mentioned selection conditions among multiple clients connected to the closed network will be automatically selected through consultation between clients through the closed network. It may be possible.
  • a client selected as a specific client among multiple clients may recognize/confirm that the client to which it belongs (e.g., client A) takes on the role of the specific client (S20).
  • the remaining clients e.g., clients B, C, D,..., H
  • a specific client e.g., client A
  • client A is selected as a specific client.
  • a specific client that is, client A (150) can set port forwarding for data packet transfer between the asset management server 140 connected to an open network and a closed network (S30). .
  • client A can set an incoming port number to distinguish data packets to be delivered among data packets received in a closed network.
  • client A can set any port number among the available port numbers assigned to the closed network as the incoming port number, and in the following embodiment, "36500" is set as the incoming port number.
  • client A (150) can be set to use the IP address and port number of the asset management server 140 as the destination IP and port in the data packet received through the previously set incoming port number.
  • IP address and port number of the asset management server 140 are 10.2.1.39 and 443.
  • each of the remaining clients B, C, D,...H (150), except for a specific client among the plurality of clients, has a data packet transmitted to the asset management server (140).
  • the address change can be set to be delivered through a specific client, that is, client A (150) (S40).
  • each of the remaining clients B, C, D,...H (150) enters the destination IP and port in the data packet transmitted to the asset management server (140) and the closed network of client A (150).
  • client D (150) among the remaining clients B, C, D,...H will be mentioned as an example.
  • various predefined data transmission events may occur for server-based client asset management, such as when an information transmission request is received from the asset management server 140 or an information reporting cycle arrives.
  • client D (150) can generate and transmit a data packet for transmission to the asset management server (140) when a data transmission event occurs (S100).
  • the IP address and port number of the asset management server (140) included in the destination IP and port (e.g., 10.2.1.39: 443) will be changed to the first network address and incoming port number of client A (150) (e.g., 192.168.0.1:36500) and then transmitted.
  • the data packet transmitted from the client D (150) to the asset management server 140 may include the client's (e.g., client D (150)) own unique value (e.g., MAC address) within the data (payload). there is.
  • client's e.g., client D (150)
  • own unique value e.g., MAC address
  • the data packet generated and transmitted by client D (150) will be delivered to client A (150) through a closed network and received through an incoming port number (e.g., 36500) (S110).
  • an incoming port number e.g., 36500
  • the data packet received through the incoming port number (e.g., 36500) is forwarded to the asset management server (140).
  • Can be distinguished (S120).
  • the asset management server (140) in the client A (150), for the data packets classified as delivery targets, the asset management server (140) is sent to the destination IP and port according to the previously set port forwarding settings. It can be transmitted to the asset management server 140 using the IP address and port number (S130).
  • the data packet generated and transmitted by client D (150) may be delivered to the asset management server 140 of the open network through client A (150) of the closed network (S140).
  • the asset management server 140 delivers/receives all data packets from the closed network from client A (150).
  • the asset management server 140 divides data packets transmitted from client A 150 into each remaining client of the closed network according to a unique value (e.g. MAC address) within the data packet. Can be distinguished (S150).
  • a unique value e.g. MAC address
  • the asset management server 140 uses the unique value (e.g., MAC address) in the received data packet to determine which client (e.g., client D) the data packet delivered from client A (150) was transmitted from. Can be distinguished (S150).
  • unique value e.g., MAC address
  • client A (150) since the asset management server 140 is connected to client A (150) through an open network, client A (150) will be able to distinguish the data packets generated and transmitted by client A (150).
  • the asset management server 140 can manage each client asset of the closed network based on data packets classified for each client A, B, C,...,H.
  • the structure and specific technology allow data packets of each client belonging to a network with limited external connectivity (hereinafter referred to as a closed network) to be delivered to an asset management server outside the closed network in a distinguishable form.
  • a closed network a network with limited external connectivity
  • server-based client asset management becomes possible without building additional equipment for a closed network, regardless of the burden of changing the network environment and configuration, the problem of increased costs, or the environment in which it is difficult to build additional equipment.
  • This has the effect of transparently managing client assets belonging to a closed network.
  • the client asset management method may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium.
  • the computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination.
  • Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks.
  • program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc.
  • the hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Marketing (AREA)
  • Physics & Mathematics (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer And Data Communications (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

The present invention presents a technology for enabling server-based client asset management without additional equipment construction even for clients, belonging to a network (hereinafter, a closed network) having limited connectivity with the outside, through a particular technical configuration by which a data packet of each client belonging to the closed network is delivered to an asset management server outside the closed network in a distinguishable form.

Description

클라이언트 자산 관리 시스템 및 클라이언트 자산 관리 방법Client Asset Management System and Client Asset Management Method
본 발명은, 네트워크 외부와 연결이 제한되는 네트워크의 클라이언트들에 대해서도 네트워크 외부에 있는 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 기술에 관한 것이다.The present invention relates to a technology that enables server-based client asset management outside the network even for clients in a network whose connection to the outside of the network is limited.
본원 출원은 2022년 10월 28일자로 출원된 한국 출원 제10-2022- 0141233호의 우선권을 주장하고, 이러한 출원의 내용 전체가 모든 목적들을 위해서 참조로서 본원에 포함된다.This application claims priority from Korean Application No. 10-2022-0141233, filed on October 28, 2022, and the entire contents of this application are incorporated herein by reference for all purposes.
운영 기술(OT, Operational Technology)은 하드웨어 및 소프트웨어를 사용해 산업 장비/설비, 프로세스 및 이벤트를 모니터링/제어하는 방식을 말하며, 제조, 에너지, 의료, 건물 관리, 스마트 시티, 스마트 팩토리 다양한 업종 및 환경에서 운영되고 있는 시스템이다.Operational Technology (OT) refers to a method of monitoring/controlling industrial equipment/facilities, processes, and events using hardware and software, in various industries and environments such as manufacturing, energy, healthcare, building management, smart cities, and smart factories. It is a system that is in operation.
그리고, 이러한 OT 환경에서는 효율적인 자산 관리가 매우 중요한 기본이 된다.And, in this OT environment, efficient asset management becomes a very important basis.
즉, OT 환경에서 자산이란 시스템을 구성하는 각 장비/설비를 의미할 수 있으며, 자산 관리란, 시스템을 구성하는 각 장비/설비에 대한 현황(예: IP, 운영체제, 호스트명, NIC카드 정보, 패치정보, 사용포트/통신노드 정보 등)을 파악하고, 파악 현황을 근거로 상호 연결성 또는 네트워크 연결 정보 등을 가시화하여 각 장비/설비를 시각화하는 등, 각 장비/설비의 운영 효율을 위해 정의되는 제반의 관리 기능들을 의미한다.In other words, in an OT environment, assets can refer to each equipment/facility that makes up the system, and asset management refers to the status of each equipment/facility that makes up the system (e.g. IP, operating system, host name, NIC card information, patch information, usage port/communication node information, etc.) and visualize each equipment/facility by visualizing interconnectivity or network connection information based on the status, etc., defined for the operational efficiency of each equipment/facility. It refers to all management functions.
한편, 전술의 OT 자산을 관리하는 기존의 자산 관리 기술 중에는, 자산 관리 서버 및 클라이언트(자산) 간 연결을 기반으로 자산 관리 서버에서 각 자산을 관리하는 방식, 즉 서버 기반의 클라이언트 자산 관리 방식이 있다.Meanwhile, among the existing asset management technologies for managing OT assets, there is a method in which each asset is managed by the asset management server based on the connection between the asset management server and the client (asset), that is, a server-based client asset management method. .
이러한 서버 기반의 클라이언트 자산 관리는, 자산 관리 서버와 클라이언트 간의 네트워크 연결이 필수적으로 이루어져야 한다.For this server-based client asset management, a network connection between the asset management server and the client is essential.
한편 OT 환경에서는, 보안 등 다양한 이슈로 인해, 필요에 따라 자산들을 네트워크 외부와 연결이 제한되는 독립적인 네트워크(이하, 폐쇄 망이라 함)로 구성하는 경우가 있다.Meanwhile, in the OT environment, due to various issues such as security, there are cases where assets are configured into an independent network (hereinafter referred to as a closed network) where connectivity to the outside of the network is restricted.
따라서, OT 자산이 폐쇄 망으로 구성되는 OT 환경에서는, 외부 네트워크(이하, 오픈 망이라 함)에 설치된 자산 관리 서버가 관리해야 할 클라이언트(자산)가 폐쇄 망에 속해 있기 때문에, 자산 관리 서버 및 클라이언트 간 연결이 불가능하고 따라서 서버 기반의 클라이언트 자산 관리가 불가능하다.Therefore, in an OT environment in which OT assets are composed of a closed network, since the clients (assets) to be managed by the asset management server installed in the external network (hereinafter referred to as open network) belong to the closed network, the asset management server and client Interconnection is impossible, and therefore server-based client asset management is impossible.
본 발명에서는, 폐쇄 망에 속해 있는 클라이언트들에 대해서도, 폐쇄 망 외부에 있는 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 기술 방안을 제안한다.The present invention proposes a technical solution that enables server-based client asset management outside the closed network, even for clients belonging to a closed network.
본 발명에서 해결하고자 하는 과제는, 네트워크 외부와 연결이 제한되는 네트워크의 클라이언트들에 대해서도, 네트워크 외부에 있는 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 클라이언트 자산 관리 시스템 및 클라이언트 자산 관리 방법을 제공하는데 있다.The problem to be solved by the present invention is to provide a client asset management system and a client asset management method that enable server-based client asset management outside the network even for network clients with limited connectivity to the outside of the network. .
본 발명의 일 실시 예에 따른 클라이언트 자산 관리 방법은, 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 확인단계; 상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 포트 포워딩 설정단계; 상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 주소 변경 설정단계; 및 상기 자산 관리 서버에서, 상기 특정 클라이언트로부터 전달되는 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 자산 관리단계를 포함한다.A client asset management method according to an embodiment of the present invention includes a confirmation step of identifying a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connectivity to the outside of the network. ; A port forwarding setting step of configuring port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client; An address change setting step of setting an address change in clients other than the specific client among the plurality of clients so that a data packet transmitted to the asset management server is transmitted through the specific client; And an asset management step of managing, in the asset management server, each client asset of the first network based on a data packet transmitted from the specific client.
구체적으로, 상기 포트 포워딩 설정단계는, 상기 제1 네트워크에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정하고, 상기 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 상기 자산 관리 서버의 IP 주소 및 포트 번호를 사용하도록 설정할 수 있다.Specifically, in the port forwarding setting step, an incoming port number is set to distinguish data packets to be forwarded among data packets received from the first network, and a destination IP address is selected from the data packets received through the set incoming port number. and port, can be set to use the IP address and port number of the asset management server.
구체적으로, 상기 주소 변경 설정단계는, 상기 자산 관리 서버로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 상기 특정 클라이언트의 제1 네트워크 주소 및 상기 인입 포트 번호로 변경하도록 설정할 수 있다.Specifically, the address change setting step can be set to change the destination IP and port in the data packet transmitted to the asset management server to the first network address and the incoming port number of the specific client.
구체적으로, 상기 특정 클라이언트로부터 상기 자산 관리 서버에 전달되는 상기 나머지 클라이언트의 데이터 패킷은, 상기 제1 네트워크에 접속되는 다수의 클라이언트 중 상기 나머지 클라이언트를 특정하는 고유값을 포함할 수 있다.Specifically, the data packet of the remaining clients transmitted from the specific client to the asset management server may include a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
구체적으로, 상기 자산 관리단계는, 상기 특정 클라이언트로부터 전달되는 데이터 패킷을, 데이터 패킷 내 포함된 고유값에 따라 상기 제1 네트워크의 각 클라이언트 별로 구분하고, 상기 각 클라이언트 별로 구분한 데이터 패킷을 근거로, 상기 제1 네트워크의 각 클라이언트 자산을 관리할 수 있다.Specifically, in the asset management step, data packets transmitted from the specific client are classified for each client of the first network according to a unique value included in the data packet, and based on the data packets classified for each client, , It is possible to manage each client asset of the first network.
본 발명의 일 실시 예에 따른 클라이언트 자산 관리 시스템은, 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 확인부; 상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 포트 포워딩 설정부; 상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 주소 변경 설정부; 및 상기 자산 관리 서버에서, 상기 특정 클라이언트를 통해 전달되는 상기 나머지 클라이언트의 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 자산 관리부를 포함한다.A client asset management system according to an embodiment of the present invention includes a confirmation unit that verifies a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connectivity to the outside of the network. ; a port forwarding setting unit that sets port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client; An address change setting unit that sets an address change so that a data packet transmitted to the asset management server is transmitted through the specific client in the clients other than the specific client among the plurality of clients; and, in the asset management server, an asset management unit that manages each client asset of the first network based on the data packets of the remaining clients transmitted through the specific client.
구체적으로, 상기 포트 포워딩 설정부는, 상기 제1 네트워크에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정하고, 상기 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 상기 자산 관리 서버의 IP 주소 및 포트 번호를 사용하도록 설정할 수 있다.Specifically, the port forwarding setting unit sets an incoming port number to distinguish data packets to be forwarded among data packets received from the first network, and sets the destination IP and In Port, you can set to use the IP address and port number of the asset management server.
구체적으로, 상기 주소 변경 설정부는, 상기 자산 관리 서버로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 상기 특정 클라이언트의 제1 네트워크 주소 및 상기 인입 포트 번호로 변경하도록 설정할 수 있다.Specifically, the address change setting unit may be configured to change the destination IP and port in the data packet transmitted to the asset management server to the first network address and the incoming port number of the specific client.
구체적으로, 상기 특정 클라이언트로부터 상기 자산 관리 서버에 전달되는 상기 나머지 클라이언트의 데이터 패킷은, 상기 제1 네트워크에 접속되는 다수의 클라이언트 중 상기 나머지 클라이언트를 특정하는 고유값을 포함할 수 있다.Specifically, the data packet of the remaining clients transmitted from the specific client to the asset management server may include a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
구체적으로, 상기 자산 관리부는, 상기 특정 클라이언트로부터 전달되는 데이터 패킷을, 데이터 패킷 내 포함된 고유값에 따라 상기 제1 네트워크의 각 클라이언트 별로 구분하고, 상기 각 클라이언트 별로 구분한 데이터 패킷을 근거로, 상기 제1 네트워크의 각 클라이언트 자산을 관리할 수 있다.Specifically, the asset management unit classifies data packets transmitted from the specific client for each client of the first network according to a unique value included in the data packet, and based on the data packets classified for each client, Each client asset of the first network can be managed.
본 발명의 실시 예들에 따르면, 외부와 연결이 제한된 네트워크(이하, 폐쇄 망)에 속해 있는 각 클라이언트의 데이터 패킷이 구분 가능한 형태로 폐쇄 망 외부에 있는 자산 관리 서버에 전달되도록 하는 구체적인 기술 구성을 통해, 폐쇄 망에 속해 있는 클라이언트들에 대해서도 서버 기반의 클라이언트 자산 관리가 가능해지도록 한다.According to embodiments of the present invention, through a specific technical configuration that ensures that the data packets of each client belonging to a network with limited external connectivity (hereinafter referred to as a closed network) are delivered to an asset management server outside the closed network in a distinguishable form. , It enables server-based client asset management even for clients belonging to a closed network.
특히, 본 발명의 실시 예들에 따르면, 폐쇄 망에 대해 추가적인 장비 구축 없이도 서버 기반의 클라이언트 자산 관리가 가능해지도록 함에 따라, 네트워크 환경 및 구성 변경의 부담, 비용 상승의 문제, 추가 장비 구축 자체가 어려운 환경 여부와 무관하게, 폐쇄 망에 속한 클라이언트 자산들을 투명하게 관리할 수 있는 효과를 도출한다.In particular, according to embodiments of the present invention, as server-based client asset management becomes possible without building additional equipment for a closed network, the burden of changing the network environment and configuration, problems of rising costs, and an environment in which it is difficult to build additional equipment Regardless, it has the effect of transparently managing client assets belonging to a closed network.
도 1은 본 발명의 일 실시 예에 따른 클라이언트 자산 관리 시스템의 구성을 보여주는 구성도이다.1 is a configuration diagram showing the configuration of a client asset management system according to an embodiment of the present invention.
도 2는 본 발명의 제안 기술이 적용된 서버 기반의 클라이언트 자산 관리 구조를 보여주는 일 예시 도이다.Figure 2 is an example diagram showing a server-based client asset management structure to which the proposed technology of the present invention is applied.
도 3 및 도 4는 본 발명의 일 실시 예에 따른 클라이언트 자산 관리 방법에 따른 동작 흐름을 보여주는 흐름 도이다.3 and 4 are flow charts showing the operational flow of a client asset management method according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.Since the present invention can make various changes and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all changes, equivalents, and substitutes included in the spirit and technical scope of the present invention. While describing each drawing, similar reference numerals are used for similar components.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 중간에 다른 구성요소가 존재하는 형태로 접속되어 있을 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is said to be “connected” or “connected” to another component, it should be understood that it may be directly connected to the other component or may be connected to the other component with another component in the middle. something to do. On the other hand, when it is mentioned that a component is “directly connected” or “directly connected” to another component, it should be understood that there are no other components in between.
본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as generally understood by a person of ordinary skill in the technical field to which the present invention pertains. Terms defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and unless explicitly defined in the present application, should not be interpreted in an ideal or excessively formal sense. No.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.Hereinafter, the present invention will be described with reference to the attached drawings.
본 발명은, 네트워크 외부와 연결이 제한되는 네트워크의 클라이언트들에 대해서도 네트워크 외부에 있는 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 기술에 관한 것이다.The present invention relates to a technology that enables server-based client asset management outside the network even for clients in a network whose connection to the outside of the network is limited.
운영 기술(OT, Operational Technology)은 하드웨어 및 소프트웨어를 사용해 산업 장비/설비, 프로세스 및 이벤트를 모니터링/제어하는 방식을 말하며, 제조, 에너지, 의료, 건물 관리, 스마트 시티, 스마트 팩토리 다양한 업종 및 환경에서 운영되고 있는 시스템이다.Operational Technology (OT) refers to a method of monitoring/controlling industrial equipment/facilities, processes, and events using hardware and software, in various industries and environments such as manufacturing, energy, healthcare, building management, smart cities, and smart factories. It is a system that is in operation.
그리고, 이러한 OT 환경에서는 효율적인 자산 관리가 매우 중요한 기본이 된다.And, in this OT environment, efficient asset management becomes a very important basis.
즉, OT 환경에서 자산이란 시스템을 구성하는 각 장비/설비를 의미할 수 있다.In other words, in an OT environment, assets can refer to each equipment/facility that makes up the system.
OT 환경에서 자산 관리란, 시스템을 구성하는 각 장비/설비에 대한 현황(예: IP, 운영체제, 호스트명, NIC카드 정보, 패치정보, 사용포트/통신노드 정보 등)을 파악하고, 파악 현황을 근거로 상호 연결성 또는 네트워크 연결 정보 등을 가시화하여 각 장비/설비를 시각화하는 등, 각 장비/설비의 운영 효율을 위해 정의되는 제반의 관리 기능들을 의미한다.Asset management in an OT environment means identifying the status of each equipment/facility that makes up the system (e.g. IP, operating system, host name, NIC card information, patch information, port used/communication node information, etc.) Based on this, it refers to all management functions defined for the operational efficiency of each equipment/facility, such as visualizing each equipment/facility by visualizing interconnectivity or network connection information.
한편, 전술의 OT 자산을 관리하는 기존의 자산 관리 기술 중에는, 자산 관리 서버 및 클라이언트(자산) 간 연결을 기반으로 자산 관리 서버에서 각 자산을 관리하는 방식, 즉 서버 기반의 클라이언트 자산 관리 방식이 있다.Meanwhile, among the existing asset management technologies for managing OT assets, there is a method in which each asset is managed by the asset management server based on the connection between the asset management server and the client (asset), that is, a server-based client asset management method. .
이러한 서버 기반의 클라이언트 자산 관리는, 자산 관리 서버와 클라이언트 간의 네트워크 연결이 필수적으로 이루어져야 한다.For this server-based client asset management, a network connection between the asset management server and the client is essential.
한편 OT 환경에서는, 보안 등 다양한 이슈로 인해, 필요에 따라 자산들을 네트워크 외부와 연결이 제한되는 독립적인 네트워크(이하, 폐쇄 망이라 함)로 구성하는 경우가 있다.Meanwhile, in the OT environment, due to various issues such as security, there are cases where assets are configured into an independent network (hereinafter referred to as a closed network) where connectivity to the outside of the network is restricted.
OT 자산이 폐쇄 망으로 구성되는 OT 환경에서는, 외부 네트워크(이하, 오픈 망이라 함)에 설치된 자산 관리 서버가 관리해야 할 클라이언트(자산)가 폐쇄 망에 속해 있기 때문에, 자산 관리 서버 및 클라이언트 간 연결이 불가능하고 따라서 서버 기반의 클라이언트 자산 관리가 불가능한 문제가 있다.In an OT environment where OT assets are composed of a closed network, the client (asset) to be managed by the asset management server installed on an external network (hereinafter referred to as an open network) belongs to the closed network, so the connection between the asset management server and the client This is impossible and therefore server-based client asset management is impossible.
이렇게 OT 자산이 폐쇄 망으로 구성되는 환경적 문제로 인해 클라이언트 자산 관리가 불가능한 경우, 폐쇄 망에 속한 클라이언트 자산에 대한 현황 파악이 어렵고 특히 보안에 가장 필요한 자산 가시성 확보가 어렵기 때문에 큰 문제 상황으로 이어질 수 있다.If client asset management is impossible due to environmental problems such as OT assets being comprised of a closed network, it is difficult to determine the status of client assets belonging to the closed network, and it is especially difficult to secure asset visibility, which is most necessary for security, which can lead to a major problem situation. You can.
이에 기존에는, 전술의 환경적 문제를 해결하기 위해, 자산 관리 서버와 연결이 가능한 관리 장비를, 폐쇄 망에 추가적으로 구축하는 해결 방안이 이용되어 왔다.Accordingly, in order to solve the tactical environmental problem, a solution has been used to build additional management equipment that can be connected to the asset management server in a closed network.
하지만, 이러한 기존 해결 방안의 경우, 기존 구성된 네트워크 환경 및 물리적인 구성을 변경해야 하는 부담 및 이에 따른 비용 상승의 문제가 있다.However, in the case of these existing solutions, there is a problem of the burden of changing the existing network environment and physical configuration and the resulting cost increase.
이 뿐 아니라, 대형 장비/설비의 시스템인 경우 이미 구조가 확정(fix)되어 있어, 내부에 관리 장비를 추가적으로 구축하는 것 자체가 불가능할 수 있으며, 이 경우에는 기존 해결 방안이 이용될 수 없는 한계를 갖는다.In addition, in the case of a large equipment/facility system, the structure is already fixed, so it may be impossible to build additional management equipment internally, and in this case, there are limitations in which existing solutions cannot be used. have
이 점에 기인하여, 본 발명에서는, 폐쇄 망에 속해 있는 클라이언트들에 대해서도, 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 기술 방안을 제안한다.Due to this point, the present invention proposes a technical solution that enables server-based client asset management even for clients belonging to a closed network.
특히, 본 발명에서는, 폐쇄 망에 추가적인 관리 장비를 구축하지 않고도, 클라이언트들에 대해 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 기술 구성을 실현하는데 핵심이 있다.In particular, the key to the present invention is to realize a technical configuration that enables server-based client asset management for clients without building additional management equipment in a closed network.
이하에서는, 본 발명에서 제안하는 기술 방안 즉 새로운 방식의 자산 관리 기술을 실현하는 구체적인 구성들에 대하여 설명하겠다.In the following, specific configurations for realizing the technical solution proposed by the present invention, that is, a new type of asset management technology, will be described.
먼저, 도 1은 본 발명에서 제안하는 자산 관리 기술을 실현하는, 클라이언트 자산 관리 시스템(100)의 구성을 보여주는 있다.First, Figure 1 shows the configuration of a client asset management system 100, which implements the asset management technology proposed in the present invention.
도 1에서는, 본 발명의 자산 관리 기술을 실현하는 클라이언트 자산 관리 시스템(100) 내 각 구성들을 개념적으로 도식화하고 있으며, 실제 구현 시에는 각 구성들이 클라이언트 및 자산 관리 서버에 분산 구현될 수 있다.In Figure 1, each component within the client asset management system 100 that implements the asset management technology of the present invention is conceptually diagrammed, and in actual implementation, each component can be distributed and implemented across clients and asset management servers.
도 1을 참조하여 설명하며, 본 발명의 일 실시 예에 따른 클라이언트 자산 관리 시스템(100)은, 확인부(110), 포트 포워딩 설정부(120), 주소 변경 설정부(130), 자산 관리부(140)를 포함할 수 있다.Described with reference to FIG. 1, the client asset management system 100 according to an embodiment of the present invention includes a confirmation unit 110, a port forwarding setting unit 120, an address change setting unit 130, and an asset management unit ( 140) may be included.
결국, 본 발명의 일 실시 예에 따른 클라이언트 자산 관리 시스템(100)은, 전술한 구성을 통해, 본 발명에서 제안하는 기술 방안 즉 폐쇄 망에 속해 있는 클라이언트들에 대해 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 새로운 방식의 자산 관리 기술을 실현할 수 있다.Ultimately, the client asset management system 100 according to an embodiment of the present invention, through the above-described configuration, enables server-based client asset management for clients belonging to the technical method proposed by the present invention, that is, a closed network. A new way of asset management technology can be realized.
이하에서는, 본 발명의 제안 기술을 실현하기 위한 클라이언트 자산 관리 시스템(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.Below, each component in the client asset management system 100 for realizing the proposed technology of the present invention will be described in more detail.
구체적인 설명에 앞서, 본 발명의 클라이언트 자산 관리 시스템(100) 내 각 구성들은, OT 환경을 구성하는 각 자산에 대응되는 단말(예: PC, 장비/설비 등)에 프로그램, 또는 어플리케이션 등의 형태로 설치/동작되는 클라이언트와, 자산 관리 서버에 분산 구현될 수 있다.Prior to detailed description, each component in the client asset management system 100 of the present invention is installed in the form of a program or application on a terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. It can be distributed and implemented across installed/operated clients and asset management servers.
일 예를 들면, 도 2에 도시된 바와 같이, 본 발명의 클라이언트 자산 관리 시스템(100)에서, 확인부(110), 포트 포워딩 설정부(120), 주소 변경 설정부(130)로 이루어진 "자산 관리 기능(150)"은 클라이언트에 구현될 수 있다.For example, as shown in Figure 2, in the client asset management system 100 of the present invention, an "asset" consisting of a confirmation unit 110, a port forwarding setting unit 120, and an address change setting unit 130. The “management function 150” may be implemented in the client.
즉, 본 발명의 자산 관리 기술을 실현하는 "자산 관리 기능(150)"은, 프로그램 또는 어플리케이션 등의 형태로, OT 환경을 구성하는 각 자산에 대응되는 단말(예: PC, 장비/설비 등)에 설치/동작되는 클라이언트일 수 있다.In other words, the “asset management function 150” that realizes the asset management technology of the present invention is in the form of a program or application, and is a terminal (e.g. PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. It may be a client installed/operated on .
이에, 이하에서는 설명의 편의 상, 자산 관리 기능(150)이 구현된 클라이언트를 참조번호 150으로 언급하여, 본 발명의 일 구성인 자산 관리 기능(150)과 클라이언트(150)를 동일한 것으로 가정 및 설명하겠다.Accordingly, hereinafter, for convenience of explanation, the client on which the asset management function 150 is implemented will be referred to as reference number 150, and the asset management function 150, which is a component of the present invention, and the client 150 are assumed and explained to be the same. would.
또한, 도 2에 도시된 바와 같이, 본 발명의 클라이언트 자산 관리 시스템(100)에서, 자산 관리부(140)는 자산 관리 서버에 구현될 수 있다.Additionally, as shown in FIG. 2, in the client asset management system 100 of the present invention, the asset management unit 140 may be implemented in an asset management server.
이하에서는 설명의 편의 상, 자산 관리부(140)가 구현된 자산 관리 서버를 참조번호 140으로 언급하여 본 발명의 일 구성인 자산 관리부(140)와 관리 자산 서버(140)를 동일한 것으로 가정 및 설명하겠다.Hereinafter, for convenience of explanation, the asset management server on which the asset management unit 140 is implemented will be referred to as reference number 140, and it will be assumed and explained that the asset management unit 140 and the management asset server 140, which are components of the present invention, are the same. .
확인부(110)는, 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 기능을 담당한다.The confirmation unit 110 is in charge of the function of confirming a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connection to the outside of the network.
이때, 네트워크 외부와 연결이 제한된 제1 네트워크는, 폐쇄 망, 개인 망, 사설 망 등 외부 연결이 제한된 다양한 명칭의 망으로 표현될 수 있으며, 이하 설명에서는 "폐쇄 망"으로 언급하여 설명하겠다. At this time, the first network with limited connection to the outside of the network can be expressed as a network with various names such as a closed network, a private network, and a private network, and will be referred to as a “closed network” in the following description.
아울러, 제1 네트워크 외부의 제2 네트워크는, 후술의 자산 관리 서버(140)가 위치하는 네트워크로서, 오픈 망, 개방 망, 공용 망 등 외부(예: 인터넷) 연결이 제한되지 않는 다양한 명칭의 망으로 표현될 수 있으며, 이하 설명에서는 "오픈 망"으로 언급하여 설명하겠다.In addition, the second network outside the first network is a network in which the asset management server 140, described later, is located, and is a network of various names such as open network, open network, public network, etc., where external (e.g., Internet) connection is not limited. It can be expressed as, and in the following description, it will be referred to as an “open network”.
즉, 도 2를 참조하여 설명하면, 확인부(110)는, 폐쇄 망에 접속되는 다수의 클라이언트 중, 오픈 망에도 접속 가능한 특정 클라이언트(예: 클라이언트 A)를 확인할 수 있다.That is, if explained with reference to FIG. 2, the confirmation unit 110 can confirm a specific client (eg, client A) that can also connect to an open network among a plurality of clients connected to a closed network.
본 발명에서는, 폐쇄 망에 속하면서 자산 관리 서버(140)와도 연결 가능하여, 폐쇄 망에 속해 있는 클라이언트 자산을 자산 관리 서버(140)와 간접적으로 연결해 주는 역할의 클라이언트가 존재해야 한다.In the present invention, there must be a client that belongs to a closed network and can also be connected to the asset management server 140, thereby indirectly connecting the client assets belonging to the closed network with the asset management server 140.
즉, 폐쇄 망에 접속되면서 오픈 망에도 접속 가능한 특정 클라이언트가, 바로 이러한 역할의 클라이언트라 할 수 있다.In other words, a specific client that is connected to a closed network but can also connect to an open network can be said to be a client in this role.
이에, 본 발명에서는, 폐쇄 망에 접속되는 다수의 클라이언트 중, 네트워크 어댑터가 2개 이상 존재하며 1개의 네트워크 어댑터는 오픈 망과 연결되며 1개의 네트워크 어댑터는 폐쇄 망과 연결되는 선정 조건을 만족하는 단말에서 설치/동작하는 클라이언트(예: 클라이언트 A)를, 특정 클라이언트로서 선정할 수 있다.Accordingly, in the present invention, among a plurality of clients connected to a closed network, there are two or more network adapters, one network adapter is connected to an open network, and one network adapter is connected to a closed network. A client (e.g., client A) that is installed/operated in can be selected as a specific client.
특정 클라이언트가 선정되는 방식에 대하여, 일 예를 설명하면, 폐쇄 망에 접속되는 다수의 클라이언트 중에서 전술의 선정 조건을 만족하는 특정 클라이언트는, 운영자에 의해 선정될 수 있다.Regarding the method in which a specific client is selected, an example will be described. Among the multiple clients connected to the closed network, a specific client that satisfies the above-mentioned selection conditions may be selected by the operator.
즉, 각 클라이언트(150)에서는, 운영자에 의해 특정 클라이언트로서의 선정 여부가 조작될 수 있다.That is, in each client 150, whether or not it is selected as a specific client can be manipulated by the operator.
이에, 다수의 클라이언트 중 특정 클라이언트로 선정된 클라이언트(예: 클라이언트 A)의 확인부(110)는, 자신이 속한 클라이언트(예: 클라이언트 A)가 특정 클라이언트의 역할을 담당하게 되는 것으로 인지/확인할 수 있다.Accordingly, the confirmation unit 110 of the client (e.g., client A) selected as a specific client among the plurality of clients can recognize/confirm that the client to which it belongs (e.g., client A) is in charge of the role of the specific client. there is.
그리고, 다수의 클라이언트 중 특정 클라이언트(예: 클라이언트 A)가 선정되면, 폐쇄 망 기반의 통신을 통해 나머지 클라이언트(예: 클라이언트 B,C,D,...,H)의 확인부(110)는, 어떤 클라이언트(예: 클라이언트 A)가 특정 클라이언트로 역할을 하는지 인지/확인할 수 있다.And, when a specific client (e.g., client A) is selected among the plurality of clients, the confirmation unit 110 of the remaining clients (e.g., clients B, C, D,..., H) is selected through closed network-based communication. , it is possible to recognize/check which client (e.g., client A) is acting as a specific client.
한편, 특정 클라이언트가 선정되는 방식에 대하여, 다른 일 예를 설명하면, 폐쇄 망에 접속되는 다수의 클라이언트 중에서 전술의 선정 조건을 만족하는 특정 클라이언트는, 폐쇄 망을 통한 클라이언트 간 협의에 의해 자동 선정될 수도 있다.Meanwhile, to explain another example of how a specific client is selected, a specific client that satisfies the above-mentioned selection conditions among multiple clients connected to the closed network will be automatically selected through consultation between clients through the closed network. It may be possible.
즉, 각 클라이언트(150)는, 자신이 설치/동작하고 있는 단말이 전술의 선정 조건을 만족하는지 여부를 판단하고 판단 결과를 다른 클라이언트와 공유하여, 공유 기반의 협의 과정을 통해 선정 조건을 만족하는 하나의 클라이언트를 특정 클라이언트로서 선정할 수 있다.That is, each client 150 determines whether the terminal it is installing/operating satisfies the selection conditions described above and shares the judgment result with other clients to satisfy the selection conditions through a sharing-based consultation process. One client can be selected as a specific client.
이에, 다수의 클라이언트 중 특정 클라이언트로 선정된 클라이언트(예: 클라이언트 A)의 확인부(110)는, 자신이 속한 클라이언트(예: 클라이언트 A)가 특정 클라이언트의 역할을 담당하게 되는 것으로 인지/확인할 수 있다.Accordingly, the confirmation unit 110 of the client (e.g., client A) selected as a specific client among the plurality of clients can recognize/confirm that the client to which it belongs (e.g., client A) is in charge of the role of the specific client. there is.
그리고, 다수의 클라이언트 중 특정 클라이언트로 선정되지 않은 나머지 클라이언트(예: 클라이언트 B,C,D,...,H)의 확인부(110)는, 전술의 협의 과정에서 어떤 클라이언트(예: 클라이언트 A)가 특정 클라이언트로 역할을 하는지 인지/확인할 수 있다.In addition, the confirmation unit 110 of the remaining clients (e.g., clients B, C, D,..., H) that were not selected as a specific client among the plurality of clients determines which client (e.g., client A) in the above-described negotiation process. ) can be recognized/checked to see if it is acting as a specific client.
이하 설명에서는, 설명의 편의 상 클라이언트 A가 특정 클라이언트로서 선정된 경우로 가정하여 설명하겠다. In the following description, for convenience of explanation, it will be assumed that client A is selected as a specific client.
포트 포워딩 설정부(120)는, 상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 기능을 담당한다.The port forwarding setting unit 120 is responsible for setting up port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client.
보다 구체적으로 설명하면, 포트 포워딩 설정부(120)의 포트 포워딩 설정 기능은, 특정 클라이언트 즉 다수의 클라이언트 중 특정 클라이언트로 역할하는 클라이언트 A(150)에서만 동작될 수 있다.To be more specific, the port forwarding setting function of the port forwarding setting unit 120 can be operated only on a specific client, that is, client A 150 serving as a specific client among multiple clients.
이에, 특정 클라이언트로 역할하는 클라이언트 A(150)의 포트 포워딩 설정부(120)는, 제2 네트워크 즉 오픈 망에 접속된 자산 관리 서버(140) 및 제1 네트워크 즉 폐쇄 망 간 데이터 패킷 전달을 위한 포트 포워딩을 설정할 수 있다.Accordingly, the port forwarding setting unit 120 of client A (150), which serves as a specific client, is configured to transfer data packets between the asset management server 140 connected to the second network, that is, an open network, and the first network, that is, a closed network. You can set up port forwarding.
이하에서는, 포트 포워딩 설정에 대한 실시 예를 설명하겠다. Below, an embodiment of port forwarding settings will be described.
포트 포워딩 설정부(120)는, 제1 네트워크 즉 폐쇄 망에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정할 수 있다.The port forwarding setting unit 120 may set an incoming port number to distinguish data packets to be forwarded among data packets received in the first network, that is, a closed network.
예를 들면, 포트 포워딩 설정부(120)는, 폐쇄 망에 부여된 사용 가능의 포트 번호 중 임의의 포트 번호를 인입 포트 번호로 설정할 수 있으며, 이하 실시 예에서는 "36500"를 인입 포트 번호로 설정한 경우로 가정하겠다.For example, the port forwarding setting unit 120 can set any port number among the available port numbers assigned to the closed network as the incoming port number, and in the following embodiment, “36500” is set as the incoming port number. Let's assume one case.
그리고, 포트 포워딩 설정부(120)는, 앞서 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 자산 관리 서버(140)의 IP 주소 및 포트 번호를 사용하도록 설정할 수 있다.And, the port forwarding setting unit 120 can be set to use the IP address and port number of the asset management server 140 as the destination IP and port in the data packet received through the previously set incoming port number.
이하 실시 예에서는, 자산 관리 서버(140)의 IP 주소 및 포트 번호가 10.2.1.39 및 443인 경우로 가정하여 설명하겠다.In the following embodiment, it will be explained assuming that the IP address and port number of the asset management server 140 are 10.2.1.39 and 443.
이와 같은 포트 포워딩 설정부(120)의 포트 포워딩 설정은, 클라이언트 A(150)의 단말 운영체제에 따라 수행될 수 있다Port forwarding settings of the port forwarding setting unit 120 may be performed according to the terminal operating system of client A (150).
예를 들어, 포트 포워딩 설정부(120)는, 클라이언트 A(150)의 단말 운영체제가 윈도우 운영체제의 경우 운영체제에 포함되어 있는 netsh 명령어를 통해 전술의 포트 포워딩 설정을 수행/구성할 수 있다.For example, if the terminal operating system of client A (150) is a Windows operating system, the port forwarding setting unit 120 may perform/configure the port forwarding settings described above through the netsh command included in the operating system.
또는, 포트 포워딩 설정부(120)는, 클라이언트 A(150)의 단말 운영체제가 리눅스 계열의 운영체제의 경우 운영체제에 포함되어 있는 iptables를 통해 전술의 포트 포워딩 설정을 수행/구성할 수 있다.Alternatively, if the terminal operating system of client A 150 is a Linux-based operating system, the port forwarding setting unit 120 may perform/configure the port forwarding settings described above through iptables included in the operating system.
주소 변경 설정부(130)는, 상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 기능을 담당한다.The address change setting unit 130 is responsible for setting an address change so that data packets transmitted to the asset management server from the remaining clients other than the specific client among the plurality of clients are delivered through the specific client.
보다 구체적으로 설명하면, 주소 변경 설정부(130)의 주소 변경 설정 기능은, 다수의 클라이언트 중 특정 클라이언트를 제외한 나머지 클라이언트 B,C,D,...H(150)에서만 동작될 수 있다.To be more specific, the address change setting function of the address change setting unit 130 can be operated only on the remaining clients B, C, D,...H 150, excluding a specific client among the plurality of clients.
이에, 나머지 각 클라이언트 B,C,D,...H(150)의 주소 변경 설정부(130)는, 자산 관리 서버(140)로 전송하는 데이터 패킷이 특정 클라이언트 즉 클라이언트 A(150)를 통해서 전달되도록 하는 주소 변경을 설정할 수 있다.Accordingly, the address change setting unit 130 of each of the remaining clients B, C, D,...H (150) allows the data packet transmitted to the asset management server 140 to be transmitted through a specific client, that is, client A (150). You can set up an address change to allow it to be forwarded.
이하에서는, 주소 변경 설정에 대한 실시 예를 설명하겠다. Below, an embodiment of address change settings will be described.
주소 변경 설정부(130)는, 자산 관리 서버(140)로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 특정 클라이언트 즉 클라이언트 A(150)의 제1 네트워크 주소 및 전술한 인입 포트 번호로 변경하도록 설정할 수 있다.The address change setting unit 130 is set to change the destination IP and port in the data packet transmitted to the asset management server 140 to the first network address and the above-described incoming port number of a specific client, that is, client A (150). You can.
예를 들면, 앞서 설명한 바와 같이 클라이언트 A(150)의 포트 포워딩 설정부(120)에서 포트 포워딩 설정을 수행하면, 이와 관련된 정보(인입 포트 번호(예: 36500) 포함)가 폐쇄 망 기반의 통신을 통해 나머지 각 클라이언트 B,C,D,...H(150)로 전달/공유될 수 있다.For example, as described above, when port forwarding settings are performed in the port forwarding setting unit 120 of client A (150), the related information (including the incoming port number (e.g., 36500)) is used for closed network-based communication. It can be delivered/shared to each remaining client B, C, D,...H (150).
이에, 나머지 각 클라이언트 B,C,D,...H(150)의 주소 변경 설정부(130)는, 자산 관리 서버(140)로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 클라이언트 A(150)의 폐쇄 망 주소(예: 192.168.0.1) 및 전술한 인입 포트 번호(예: 36500)로 변경하도록 설정하는 주소 변경 설정을 수행할 수 있다.Accordingly, the address change setting unit 130 of each of the remaining clients B, C, D,...H (150) sets the destination IP and port in the data packet transmitted to the asset management server 140, and sets the destination IP and port to client A (150). )'s closed network address (e.g., 192.168.0.1) and the aforementioned incoming port number (e.g., 36500).
여기서, 자산 관리 서버(140)로 전송하는 데이터 패킷이란, 서버 기반의 클라이언트 자산 관리를 위해, 각 클라이언트(150)에서 자산 관리 서버(140)로 전송하게 되는 모든 종류의 데이터 패킷을 의미할 수 있다. Here, the data packet transmitted to the asset management server 140 may refer to all types of data packets transmitted from each client 150 to the asset management server 140 for server-based client asset management. .
이하에서는, 나머지 클라이언트 B,C,D,...H 중 클라이언트 D(150)를 일 예로 언급하여, 클라이언트 D(150)의 데이터 패킷이 클라이언트 A(150)를 통해서 자산 관리 서버(140)에 전달되는 과정을 설명하겠다.Hereinafter, among the remaining clients B, C, D,...H, client D (150) is mentioned as an example, and the data packet of client D (150) is sent to the asset management server 140 through client A (150). I will explain the delivery process.
자산 관리 서버(140)로부터의 정보 전달 요청이 수신되거나 또는 정보 보고 주기가 도래하는 등, 클라이언트 D(150)에서는 서버 기반의 클라이언트 자산 관리를 위해 기 정의된 다양한 데이터 전송 이벤트가 발생할 수 있다.Various data transmission events predefined for server-based client asset management may occur in the client D (150), such as when an information transmission request is received from the asset management server 140 or an information reporting cycle arrives.
이 경우 클라이언트 D(150)에서는, 자산 관리 서버(140)로 전송하기 위한 데이터 패킷을 생성하고 전송할 수 있다.In this case, client D (150) may generate and transmit a data packet to be transmitted to the asset management server (140).
이때, 클라이언트 D(150)에서 생성한 데이터 패킷의 경우, 앞서 기 설정된 주소 변경 설정에 따라서, 목적지 IP 및 포트에 포함되던 자산 관리 서버(140)의 IP 주소 및 포트 번호(예: 10.2.1.39:443)가 클라이언트 A(150)의 제1 네트워크 주소 및 인입 포트 번호(예: 192.168.0.1:36500)로 변경된 후 전송될 것이다.At this time, in the case of a data packet generated by client D (150), the IP address and port number of the asset management server (140) included in the destination IP and port (e.g., 10.2.1.39: 443) will be changed to the first network address and incoming port number of client A (150) (e.g., 192.168.0.1:36500) and then transmitted.
보다 구체적으로 설명하면, 나머지 클라이언트(예: 클라이언트 D(150))에서 자산 관리 서버(140)로 전송하는 데이터 패킷은, 목적지 IP 및 포트로서 앞서 기 설정된 주소 변경 설정에 따라 변경된 특정 클라이언트(예: 클라이언트 A(150))의 폐쇄 망 주소 및 인입 포트 번호(예: 36500)를 포함할 것이다.To be more specific, the data packet transmitted from the remaining clients (e.g., client D (150)) to the asset management server (140) is a specific client (e.g., changed according to the previously set address change settings) as the destination IP and port. It will include the closed network address of client A (150) and the incoming port number (e.g. 36500).
특히, 나머지 클라이언트(예: 클라이언트 D(150))에서 자산 관리 서버(140)로 전송하는 데이터 패킷은, 데이터(payload) 내에 클라이언트(예: 클라이언트 D(150)) 자신의 고유값을 포함할 수 있다.In particular, the data packet transmitted from the remaining clients (e.g., client D (150)) to the asset management server 140 may include the client (e.g., client D (150))'s own unique value within the data (payload). there is.
이는, 자산 관리 서버(140)가 제1 네트워크 즉 폐쇄 망의 데이터 패킷을 수신하였을 때, 해당 데이터 패킷을 전송한 폐쇄 망 내 클라이언트가 누구인지를 구별하는데 활용된다.This is used to distinguish which client in the closed network transmitted the data packet when the asset management server 140 receives a data packet from the first network, that is, a closed network.
본 발명에서는, 이러한 고유값으로서, MAC(Media Access Control Address) 주소를 활용할 수 있다. In the present invention, a MAC (Media Access Control Address) address can be used as this unique value.
물론, 본 발명에서는, 고유값으로서, 제1 네트워크 즉 폐쇄 망에 접속되는 다수의 클라이언트 각각을 특정할 수 있는 고유한 정보라면, MAC 주소 외의 다른 다양한 형태의 정보를 활용하는 것도 가능할 것이다.Of course, in the present invention, it would be possible to utilize various types of information other than the MAC address as a unique value, as long as it is unique information that can specify each of a plurality of clients connected to the first network, that is, a closed network.
다만 이하 설명에서는, 고유값으로 MAC 주소를 활용하는 실시 예를 언급하여 설명을 이어 가겠다.However, in the following explanation, we will continue the explanation by mentioning an example of using the MAC address as a unique value.
다시 설명을 이어 가면, 클라이언트 D(150)에서 생성 및 전송한 데이터 패킷은, 폐쇄 망을 통해서 클라이언트 A(150)로 전달 및 인입 포트 번호(예: 36500)로 수신될 것이다.Continuing the explanation again, the data packet generated and transmitted by client D (150) will be delivered to client A (150) through a closed network and received through an incoming port number (e.g., 36500).
클라이언트 A(150)에서는, 앞서 기 설정된 포트 포워딩 설정에 따라, 인입 포트 번호(예: 36500)로 수신되는 데이터 패킷을 자산 관리 서버(140)로 전달할 대상으로 구분할 수 있다.In client A (150), data packets received through the incoming port number (e.g., 36500) can be classified as objects to be forwarded to the asset management server (140), according to the previously set port forwarding settings.
그리고, 클라이언트 A(150)에서는, 전달 대상으로 구분한 해당 데이터 패킷에 대해서, 앞서 기 설정된 포트 포워딩 설정에 따라, 목적지 IP 및 포트에 자산 관리 서버(140)의 IP 주소 및 포트 번호를 사용하여 자산 관리 서버(140)로 전달할 수 있다.In addition, client A (150) uses the IP address and port number of the asset management server 140 as the destination IP and port according to the previously set port forwarding settings for the corresponding data packet classified as a delivery target. It can be transmitted to the management server 140.
이렇듯, 클라이언트 D(150)에서 생성 및 전송한 데이터 패킷은, 폐쇄 망의 클라이언트 A(150)를 통해 오픈 망의 자산 관리 서버(140)에 전달될 수 있다.In this way, the data packet generated and transmitted by the client D (150) may be delivered to the asset management server 140 of the open network through the client A (150) of the closed network.
한편, 특정 클라이언트 역할을 하는 클라이언트 A(150) 역시, 서버 기반의 클라이언트 자산 관리를 위해 기 정의된 다양한 데이터 전송 이벤트가 발생할 경우, 자산 관리 서버(140)로 전송하기 위한 데이터 패킷을 생성하고 전송할 수 있다.Meanwhile, Client A (150), which acts as a specific client, can also generate and transmit data packets for transmission to the asset management server (140) when various data transmission events predefined for server-based client asset management occur. there is.
이때, 클라이언트 A(150)는, 오픈 망과도 접속되어 있으므로, 생성한 데이터 패킷을 오픈 망을 통해 자산 관리 서버(140)로 직접 전송할 수 있다.At this time, since client A (150) is also connected to the open network, it can directly transmit the generated data packet to the asset management server (140) through the open network.
자산 관리부(140)는, 상기 자산 관리 서버에서, 상기 특정 클라이언트를 통해 전달되는 상기 나머지 클라이언트의 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 기능을 담당한다.The asset management unit 140, in the asset management server, is responsible for managing each client asset of the first network based on the data packets of the remaining clients transmitted through the specific client.
보다 구체적으로 설명하면, 앞서 언급하였듯이 자산 관리부(140)는 관리 자산 서버(140)에 구현될 수 있다.To be more specific, as mentioned above, the asset management unit 140 may be implemented in the management asset server 140.
이에, 관리 자산 서버(140)를 언급하여 설명하면, 자산 관리 서버(140)는, 특정 클라이언트 예컨대 클라이언트 A(150)로부터 전달되는 데이터 패킷을 근거로, 폐쇄 망 각 클라이언트 자산을 관리할 수 있다. Accordingly, referring to the management asset server 140, the asset management server 140 can manage each client asset in a closed network based on a data packet transmitted from a specific client, for example, client A (150).
전술과 같이 본 발명의 경우, 폐쇄 망에 속해 있는 클라이언트들 중 하나(특정 클라이언트)를 통해 각 클라이언트의 데이터 패킷이 자산 관리 서버(140)에 전달되는 구조를 제시하므로, 자산 관리 서버(140) 관점에서는 폐쇄 망에 속한 클라이언트들의 접속이 모두 하나(특정 클라이언트)의 IP로 나타나게 된다. As described above, in the case of the present invention, a structure is proposed in which the data packets of each client are delivered to the asset management server 140 through one of the clients (specific client) belonging to the closed network, so from the perspective of the asset management server 140 In , all connections from clients belonging to a closed network appear as one IP (a specific client).
이에, 본 발명에서는, 폐쇄 망에 속한 클라이언트 자산을, 클라이언트 자산 개별의 고유 정보를 통해 구별할 수 있어야 한다. Accordingly, in the present invention, client assets belonging to a closed network must be able to be distinguished through unique information of each client asset.
이를 위해, 전술한 바와 같이, 특정 클라이언트 즉 클라이언트 A(150)를 통해서 자산 관리 서버(140)로 전송되는 폐쇄 망의 데이터 패킷에는, 해당 데이터 패킷을 전송한 전송 주체(예: 나머지 클라이언트 B,C,D,...H)의 고유값(예: MAC 주소)이 포함되고 있다.To this end, as described above, the closed network data packet transmitted to the asset management server 140 through a specific client, that is, client A (150), includes the transmitting entity (e.g., the remaining clients B, C) that transmitted the data packet. ,D,...H)'s unique values (e.g. MAC address) are included.
이에, 자산 관리 서버(140)는, 특정 클라이언트 즉 클라이언트 A(150)로부터 전달되는 데이터 패킷을, 해당 데이터 패킷 내 포함된 고유값(예: MAC 주소)에 따라 폐쇄 망의 나머지 클라이언트 별로 구분할 수 있다.Accordingly, the asset management server 140 can distinguish data packets transmitted from a specific client, that is, client A (150), for each remaining client of the closed network according to a unique value (e.g., MAC address) included in the data packet. .
즉, 자산 관리 서버(140)는, 전달받은 데이터 패킷 내 고유값(예: MAC 주소)을 이용하여, 클라이언트 A(150)로부터 전달되는 데이터 패킷이 폐쇄 망의 나머지 클라이언트 B,C,D,...H 중 어떤 클라이언트로부터 전송된 것인지를 구분할 수 있다.That is, the asset management server 140 uses the unique value (e.g., MAC address) in the received data packet to connect the data packet delivered from client A 150 to the remaining clients B, C, and D of the closed network. Among ..H, you can distinguish which client it was transmitted from.
물론, 자산 관리 서버(140)는, 클라이언트 A(150)와는 오픈 망을 통해 접속되어 있으므로, 클라이언트 A(150)가 생성 및 전송한 데이터 패킷을 구분할 수 있을 것이다. Of course, since the asset management server 140 is connected to client A (150) through an open network, it will be able to distinguish between data packets generated and transmitted by client A (150).
이에, 자산 관리 서버(140)는, 각 클라이언트 A,B,C,...,H 별로 구분한 데이터 패킷을 근거로, 폐쇄 망의 각 클라이언트 자산을 관리할 수 있다.Accordingly, the asset management server 140 can manage each client asset of the closed network based on data packets classified for each client A, B, C,...,H.
한편, 자산 관리 서버(140)에서 데이터 패킷이 폐쇄 망 내 각 클라이언트 A,B,C,...,H 로 전달되는 시나리오는, 운영체제의 포트 프록시 프로그램(예: 윈도우의 경우 netsh, 리눅스의 경우 iptables)에 의한 중계 기능을 통해 수행될 수 있다.Meanwhile, the scenario in which data packets are delivered from the asset management server 140 to each client A, B, C,..., H in the closed network is through the port proxy program of the operating system (e.g., netsh for Windows, and netsh for Linux). This can be performed through the relay function by iptables).
이상 설명한 바와 같이, 본 발명에서는, 외부와 연결이 제한된 네트워크(이하, 폐쇄 망)에 속해 있는 클라이언트들 중 하나(특정 클라이언트)를 통해, 폐쇄 망 내 각 클라이언트의 데이터 패킷이 구분 가능한 형태로 폐쇄 망 외부에 있는 자산 관리 서버에 전달되도록 하는 구조 및 구체적인 기술 구성을 제시하고 있다.As described above, in the present invention, the data packets of each client in the closed network are stored in a distinguishable form through one of the clients (specific client) belonging to a network with limited external connectivity (hereinafter referred to as a closed network). It presents a structure and specific technical configuration that allows it to be transmitted to an external asset management server.
이로 인해, 본 발명에 따르면, 추가적인 장비 구축 없이도, 폐쇄 망에 속해 있는 클라이언트들에 대하여 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 새로운 방식의 자산 관리 기술을 실현할 수 있다.Because of this, according to the present invention, it is possible to realize a new type of asset management technology that enables server-based client asset management for clients belonging to a closed network without building additional equipment.
이에, 본 발명에 따르면, 폐쇄 망에 대해 추가적인 장비 구축 없이도 서버 기반의 클라이언트 자산 관리가 가능해지도록 함에 따라, 네트워크 환경 및 구성 변경의 부담, 비용 상승의 문제, 추가 장비 구축 자체가 어려운 환경 여부와 무관하게, 폐쇄 망에 속한 클라이언트 자산들을 투명하게 관리할 수 있는 효과를 도출한다.Accordingly, according to the present invention, server-based client asset management becomes possible without building additional equipment for a closed network, regardless of the burden of changing the network environment and configuration, the problem of increased costs, or the environment in which it is difficult to build additional equipment. This has the effect of transparently managing client assets belonging to a closed network.
도 3 및 도 4를 참조하여, 본 발명의 일 실시 예에 따른 클라이언트 자산 관리 방법의 동작 흐름을 구체적으로 설명하겠다.With reference to Figures 3 and 4, the operational flow of the client asset management method according to an embodiment of the present invention will be described in detail.
도 3을 참조하여, 본 발명에서 제안하는 자산 관리 기술을 위한 준비 과정에 대하여 설명하겠다.With reference to FIG. 3, the preparation process for the asset management technology proposed in the present invention will be described.
먼저, 외부와 연결이 제한된 제1 네트워크(이하, 폐쇄 망)에 구성된 각 자산에 대응되는 단말(예: PC, 장비/설비 등)에, 본 발명의 클라이언트 자산 관리 시스템(100) 내 일 구성인 자산 관리 기능(150)을 설치한다(S10).First, a component within the client asset management system 100 of the present invention is sent to a terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset configured in a first network (hereinafter referred to as a closed network) with limited connection to the outside. Install the asset management function (150) (S10).
이렇게 되면, 도 2에 도시된 바와 같이, OT 환경을 구성하는 각 자산에 대응되는 단말(예: PC, 장비/설비 등)에는, 서버 기반의 자산 관리를 위한 자산 관리 기능(150)의 클라이언트가 설치/동작될 수 있다. In this case, as shown in FIG. 2, a client of the asset management function 150 for server-based asset management is installed in the terminal (e.g., PC, equipment/facility, etc.) corresponding to each asset constituting the OT environment. Can be installed/operated.
이하 설명에서는, 본 발명의 일 구성인 자산 관리 기능(150)과 클라이언트(150)를 동일한 것으로 가정 및 설명하겠다.In the following description, it will be assumed and explained that the asset management function 150 and the client 150, which are components of the present invention, are the same.
한편, 외부와 연결이 제한되지 않는 제2 네트워크(이하, 오픈 망)에 존재하는 자산 관리 서버에, 본 발명의 클라이언트 자산 관리 시스템(100) 내 일 구성인 자산 관리부(140)가 구현된다.Meanwhile, the asset management unit 140, which is a component of the client asset management system 100 of the present invention, is implemented in an asset management server existing in a second network (hereinafter referred to as an open network) where connection to the outside is not restricted.
이하 설명에서는, 본 발명의 일 구성인 자산 관리부(140)와 관리 자산 서버(140)를 동일한 것으로 가정 및 설명하겠다.In the following description, it will be assumed and explained that the asset management unit 140 and the management asset server 140, which are components of the present invention, are the same.
본 발명의 클라이언트 자산 관리 방법에 따르면, 폐쇄 망에 접속되는 다수의 클라이언트 중, 오픈 망에도 접속 가능한 특정 클라이언트를 확인한다(S20).According to the client asset management method of the present invention, among the multiple clients connected to the closed network, a specific client that can also connect to the open network is identified (S20).
본 발명에서는, 폐쇄 망에 속하면서 자산 관리 서버(140)와도 연결 가능하여, 폐쇄 망에 속해 있는 클라이언트 자산을 자산 관리 서버(140)와 간접적으로 연결해 주는 역할의 클라이언트가 존재해야 한다.In the present invention, there must be a client that belongs to a closed network and can also be connected to the asset management server 140, thereby indirectly connecting the client assets belonging to the closed network with the asset management server 140.
즉, 폐쇄 망에 접속되면서 오픈 망에도 접속 가능한 특정 클라이언트가, 바로 이러한 역할의 클라이언트라 할 수 있다.In other words, a specific client that is connected to a closed network but can also connect to an open network can be said to be a client in this role.
이에, 본 발명에서는, 폐쇄 망에 접속되는 다수의 클라이언트 중, 네트워크 어댑터가 2개 이상 존재하며 1개의 네트워크 어댑터는 오픈 망과 연결되며 1개의 네트워크 어댑터는 폐쇄 망과 연결되는 선정 조건을 만족하는 단말에서 설치/동작하는 클라이언트(예: 클라이언트 A)를, 특정 클라이언트로서 선정할 수 있다.Accordingly, in the present invention, among a plurality of clients connected to a closed network, there are two or more network adapters, one network adapter is connected to an open network, and one network adapter is connected to a closed network. A client (e.g., client A) that is installed/operated in can be selected as a specific client.
특정 클라이언트가 선정되는 방식에 대하여, 일 예를 설명하면, 폐쇄 망에 접속되는 다수의 클라이언트 중에서 전술의 선정 조건을 만족하는 특정 클라이언트는, 운영자에 의해 선정될 수 있다.Regarding the method in which a specific client is selected, an example will be described. Among the multiple clients connected to the closed network, a specific client that satisfies the above-mentioned selection conditions may be selected by the operator.
한편, 특정 클라이언트가 선정되는 방식에 대하여, 다른 일 예를 설명하면, 폐쇄 망에 접속되는 다수의 클라이언트 중에서 전술의 선정 조건을 만족하는 특정 클라이언트는, 폐쇄 망을 통한 클라이언트 간 협의에 의해 자동 선정될 수도 있다.Meanwhile, to explain another example of how a specific client is selected, a specific client that satisfies the above-mentioned selection conditions among multiple clients connected to the closed network will be automatically selected through consultation between clients through the closed network. It may be possible.
이에, 다수의 클라이언트 중 특정 클라이언트로 선정된 클라이언트(예: 클라이언트 A)는, 자신이 속한 클라이언트(예: 클라이언트 A)가 특정 클라이언트의 역할을 담당하게 되는 것으로 인지/확인할 수 있다(S20).Accordingly, a client (e.g., client A) selected as a specific client among multiple clients may recognize/confirm that the client to which it belongs (e.g., client A) takes on the role of the specific client (S20).
그리고, 다수의 클라이언트 중 특정 클라이언트로 선정되지 않은 나머지 클라이언트(예: 클라이언트 B,C,D,...,H)는, 폐쇄 망 기반의 통신을 통해 어떤 클라이언트(예: 클라이언트 A)가 특정 클라이언트로 역할을 하는지 인지/확인할 수 있다(S20).And, among the multiple clients, the remaining clients (e.g., clients B, C, D,..., H) that have not been selected as specific clients are connected to a specific client (e.g., client A) through closed network-based communication. You can recognize/check whether it is playing a role (S20).
이하 설명에서는, 설명의 편의 상 클라이언트 A가 특정 클라이언트로서 선정된 경우로 가정하여 설명하겠다. In the following description, for convenience of explanation, it will be assumed that client A is selected as a specific client.
본 발명의 클라이언트 자산 관리 방법에 따르면, 특정 클라이언트 즉 클라이언트 A(150)는, 오픈 망에 접속된 자산 관리 서버(140) 및 제 폐쇄 망 간 데이터 패킷 전달을 위한 포트 포워딩을 설정할 수 있다(S30).According to the client asset management method of the present invention, a specific client, that is, client A (150), can set port forwarding for data packet transfer between the asset management server 140 connected to an open network and a closed network (S30). .
구체적으로 설명하면, 클라이언트 A(150)는, 폐쇄 망에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정할 수 있다.Specifically, client A (150) can set an incoming port number to distinguish data packets to be delivered among data packets received in a closed network.
예를 들면, 클라이언트 A(150)는, 폐쇄 망에 부여된 사용 가능의 포트 번호 중 임의의 포트 번호를 인입 포트 번호로 설정할 수 있으며, 이하 실시 예에서는 "36500"를 인입 포트 번호로 설정한 경우로 가정하겠다.For example, client A (150) can set any port number among the available port numbers assigned to the closed network as the incoming port number, and in the following embodiment, "36500" is set as the incoming port number. Let's assume that
그리고, 클라이언트 A(150)는, 앞서 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 자산 관리 서버(140)의 IP 주소 및 포트 번호를 사용하도록 설정할 수 있다.And, client A (150) can be set to use the IP address and port number of the asset management server 140 as the destination IP and port in the data packet received through the previously set incoming port number.
이하 실시 예에서는, 자산 관리 서버(140)의 IP 주소 및 포트 번호가 10.2.1.39 및 443인 경우로 가정하여 설명하겠다.In the following embodiment, it will be explained assuming that the IP address and port number of the asset management server 140 are 10.2.1.39 and 443.
한편, 본 발명의 클라이언트 자산 관리 방법에 따르면, 다수의 클라이언트 중 특정 클라이언트를 제외한 나머지 클라이언트 B,C,D,...H(150) 각각은, 자산 관리 서버(140)로 전송하는 데이터 패킷이 특정 클라이언트 즉 클라이언트 A(150)를 통해서 전달되도록 하는 주소 변경을 설정할 수 있다(S40).Meanwhile, according to the client asset management method of the present invention, each of the remaining clients B, C, D,...H (150), except for a specific client among the plurality of clients, has a data packet transmitted to the asset management server (140). The address change can be set to be delivered through a specific client, that is, client A (150) (S40).
구체적으로 설명하면, 나머지 각 클라이언트 B,C,D,...H(150) 각각은, 자산 관리 서버(140)로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 클라이언트 A(150)의 폐쇄 망 주소(예: 192.168.0.1) 및 전술한 인입 포트 번호(예: 36500)로 변경하도록 설정하는 주소 변경 설정을 수행할 수 있다.Specifically, each of the remaining clients B, C, D,...H (150) enters the destination IP and port in the data packet transmitted to the asset management server (140) and the closed network of client A (150). You can perform address change settings to change the address (e.g., 192.168.0.1) and the aforementioned incoming port number (e.g., 36500).
이하에서는, 도 4를 참조하여, 본 발명에서 제안하는 자산 관리 기술에 의해, 폐쇄 망의 클라이언트가 전송하는 데이터 패킷이 오픈 망의 자산 관리 서버에 전달되는 과정에 대하여 설명하겠다.Below, with reference to FIG. 4, the process by which a data packet transmitted by a client of a closed network is delivered to an asset management server of an open network by the asset management technology proposed in the present invention will be described.
설명의 편의 상, 나머지 클라이언트 B,C,D,...H 중 클라이언트 D(150)를 일 예로 언급하여 설명하겠다. For convenience of explanation, client D (150) among the remaining clients B, C, D,...H will be mentioned as an example.
자산 관리 서버(140)로부터의 정보 전달 요청이 수신되거나 또는 정보 보고 주기가 도래하는 등, 클라이언트 D(150)에서는, 서버 기반의 클라이언트 자산 관리를 위해 기 정의된 다양한 데이터 전송 이벤트가 발생할 수 있다.In the client D (150), various predefined data transmission events may occur for server-based client asset management, such as when an information transmission request is received from the asset management server 140 or an information reporting cycle arrives.
이에, 본 발명의 클라이언트 자산 관리 방법에 따르면, 클라이언트 D(150)에서는, 데이터 전송 이벤트 발생 시 자산 관리 서버(140)로 전송하기 위한 데이터 패킷을 생성하고 전송할 수 있다(S100).Accordingly, according to the client asset management method of the present invention, client D (150) can generate and transmit a data packet for transmission to the asset management server (140) when a data transmission event occurs (S100).
이때, 클라이언트 D(150)에서 생성한 데이터 패킷의 경우, 앞서 기 설정된 주소 변경 설정에 따라서, 목적지 IP 및 포트에 포함되던 자산 관리 서버(140)의 IP 주소 및 포트 번호(예: 10.2.1.39:443)가 클라이언트 A(150)의 제1 네트워크 주소 및 인입 포트 번호(예: 192.168.0.1:36500)로 변경된 후 전송될 것이다.At this time, in the case of a data packet generated by client D (150), the IP address and port number of the asset management server (140) included in the destination IP and port (e.g., 10.2.1.39: 443) will be changed to the first network address and incoming port number of client A (150) (e.g., 192.168.0.1:36500) and then transmitted.
특히, 클라이언트 D(150)에서 자산 관리 서버(140)로 전송하는 데이터 패킷은, 데이터(payload) 내에 클라이언트(예: 클라이언트 D(150)) 자신의 고유값(예: MAC 주소)를 포함할 수 있다.In particular, the data packet transmitted from the client D (150) to the asset management server 140 may include the client's (e.g., client D (150)) own unique value (e.g., MAC address) within the data (payload). there is.
이에, 클라이언트 D(150)에서 생성 및 전송한 데이터 패킷은, 폐쇄 망을 통해서 클라이언트 A(150)로 전달 및 인입 포트 번호(예: 36500)로 수신될 것이다(S110).Accordingly, the data packet generated and transmitted by client D (150) will be delivered to client A (150) through a closed network and received through an incoming port number (e.g., 36500) (S110).
본 발명의 클라이언트 자산 관리 방법에 따르면, 클라이언트 A(150)에서는, 앞서 기 설정된 포트 포워딩 설정에 따라, 인입 포트 번호(예: 36500)로 수신되는 데이터 패킷을 자산 관리 서버(140)로 전달할 대상으로 구분할 수 있다(S120).According to the client asset management method of the present invention, in client A (150), according to the previously set port forwarding settings, the data packet received through the incoming port number (e.g., 36500) is forwarded to the asset management server (140). Can be distinguished (S120).
그리고, 본 발명의 클라이언트 자산 관리 방법에 따르면, 클라이언트 A(150)에서는, 전달 대상으로 구분한 해당 데이터 패킷에 대해서, 앞서 기 설정된 포트 포워딩 설정에 따라, 목적지 IP 및 포트에 자산 관리 서버(140)의 IP 주소 및 포트 번호를 사용하여 자산 관리 서버(140)로 전송할 수 있다(S130).And, according to the client asset management method of the present invention, in the client A (150), for the data packets classified as delivery targets, the asset management server (140) is sent to the destination IP and port according to the previously set port forwarding settings. It can be transmitted to the asset management server 140 using the IP address and port number (S130).
이렇듯, 클라이언트 D(150)에서 생성 및 전송한 데이터 패킷은, 폐쇄 망의 클라이언트 A(150)를 통해 오픈 망의 자산 관리 서버(140)에 전달될 수 있다(S140).In this way, the data packet generated and transmitted by client D (150) may be delivered to the asset management server 140 of the open network through client A (150) of the closed network (S140).
이에 본 발명의 클라이언트 자산 관리 방법에 따르면, 자산 관리 서버(140)에서는, 폐쇄 망으로부터의 데이터 패킷을 모두 클라이언트 A(150)로부터 전달/전송 받게 된다.Accordingly, according to the client asset management method of the present invention, the asset management server 140 delivers/receives all data packets from the closed network from client A (150).
본 발명의 클라이언트 자산 관리 방법에 따르면, 자산 관리 서버(140)에서는, 클라이언트 A(150)로부터 전달되는 데이터 패킷을, 해당 데이터 패킷 내 고유값(예: MAC 주소)에 따라 폐쇄 망의 나머지 클라이언트 별로 구분할 수 있다(S150).According to the client asset management method of the present invention, the asset management server 140 divides data packets transmitted from client A 150 into each remaining client of the closed network according to a unique value (e.g. MAC address) within the data packet. Can be distinguished (S150).
즉, 자산 관리 서버(140)는, 전달받은 데이터 패킷 내 고유값(예: MAC 주소)을 이용하여 클라이언트 A(150)로부터 전달되는 데이터 패킷이 어떤 클라이언트(예: 클라이언트 D)로부터 전송된 것인지를 구분할 수 있다(S150).That is, the asset management server 140 uses the unique value (e.g., MAC address) in the received data packet to determine which client (e.g., client D) the data packet delivered from client A (150) was transmitted from. Can be distinguished (S150).
물론, 자산 관리 서버(140)는, 클라이언트 A(150)와는 오픈 망을 통해 접속되어 있으므로, 클라이언트 A(150)가 클라이언트 A(150)가 생성 및 전송한 데이터 패킷을 구분할 수 있을 것이다. Of course, since the asset management server 140 is connected to client A (150) through an open network, client A (150) will be able to distinguish the data packets generated and transmitted by client A (150).
이에, 자산 관리 서버(140)는, 각 클라이언트 A,B,C,...,H 별로 구분한 데이터 패킷을 근거로, 폐쇄 망의 각 클라이언트 자산을 관리할 수 있다.Accordingly, the asset management server 140 can manage each client asset of the closed network based on data packets classified for each client A, B, C,...,H.
이상 설명한 바와 같이, 본 발명에서는, 외부와 연결이 제한된 네트워크(이하, 폐쇄 망)에 속해 있는 각 클라이언트의 데이터 패킷이 구분 가능한 형태로 폐쇄 망 외부에 있는 자산 관리 서버에 전달되도록 하는 구조 및 구체적인 기술 구성을 제시함으로써, 폐쇄 망에 속해 있는 클라이언트들에 대하여 서버 기반의 클라이언트 자산 관리가 가능해지도록 하는 새로운 방식의 자산 관리 기술을 실현하고 있다.As described above, in the present invention, the structure and specific technology allow data packets of each client belonging to a network with limited external connectivity (hereinafter referred to as a closed network) to be delivered to an asset management server outside the closed network in a distinguishable form. By presenting the configuration, we are realizing a new type of asset management technology that enables server-based client asset management for clients belonging to a closed network.
이에, 본 발명에 따르면, 폐쇄 망에 대해 추가적인 장비 구축 없이도 서버 기반의 클라이언트 자산 관리가 가능해지도록 함에 따라, 네트워크 환경 및 구성 변경의 부담, 비용 상승의 문제, 추가 장비 구축 자체가 어려운 환경 여부와 무관하게, 폐쇄 망에 속한 클라이언트 자산들을 투명하게 관리할 수 있는 효과를 도출한다.Accordingly, according to the present invention, server-based client asset management becomes possible without building additional equipment for a closed network, regardless of the burden of changing the network environment and configuration, the problem of increased costs, or the environment in which it is difficult to build additional equipment. This has the effect of transparently managing client assets belonging to a closed network.
본 발명의 실시 예에 따르는 클라이언트 자산 관리 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The client asset management method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나 이는 본 발명에 대한 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with specific details such as specific components and limited embodiments and drawings, but this is only provided to aid understanding of the present invention, and the present invention is not limited to the above embodiments. Various modifications and variations can be made from this description by those skilled in the art to which the present invention pertains.
따라서, 본 발명의 사상은 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be limited to the described embodiments, and the scope of the patent claims described later as well as all modifications equivalent to or equivalent to the scope of the claims will be considered to fall within the scope of the spirit of the present invention.

Claims (11)

  1. 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 확인단계;A confirmation step of identifying a specific client that can also connect to a second network outside the first network among a plurality of clients connected to a first network with limited connectivity to the outside of the network;
    상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 포트 포워딩 설정단계; A port forwarding setting step of configuring port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client;
    상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 주소 변경 설정단계; 및An address change setting step of setting an address change in clients other than the specific client among the plurality of clients so that a data packet transmitted to the asset management server is transmitted through the specific client; and
    상기 자산 관리 서버에서, 상기 특정 클라이언트로부터 전달되는 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 자산 관리단계를 포함하는 것을 특징으로 하는 클라이언트 자산 관리 방법.A client asset management method comprising an asset management step of managing, in the asset management server, each client asset of the first network based on a data packet transmitted from the specific client.
  2. 제 1 항에 있어서,According to claim 1,
    상기 포트 포워딩 설정단계는,The port forwarding setting step is,
    상기 제1 네트워크에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정하고,Setting an incoming port number to distinguish data packets to be delivered among data packets received from the first network,
    상기 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 상기 자산 관리 서버의 IP 주소 및 포트 번호를 사용하도록 설정하는 것을 특징으로 하는 클라이언트 자산 관리 방법.A client asset management method, characterized in that setting the IP address and port number of the asset management server to be used as the destination IP and port in the data packet received through the set incoming port number.
  3. 제 2 항에 있어서,According to claim 2,
    상기 주소 변경 설정단계는,The address change setting step is,
    상기 자산 관리 서버로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 상기 특정 클라이언트의 제1 네트워크 주소 및 상기 인입 포트 번호로 변경하도록 설정하는 것을 특징으로 하는 클라이언트 자산 관리 방법.A client asset management method, characterized in that setting the destination IP and port in the data packet transmitted to the asset management server to be changed to the first network address and the incoming port number of the specific client.
  4. 제 1 항에 있어서,According to claim 1,
    상기 특정 클라이언트로부터 상기 자산 관리 서버에 전달되는 상기 나머지 클라이언트의 데이터 패킷은,The data packets of the remaining clients transmitted from the specific client to the asset management server are,
    상기 제1 네트워크에 접속되는 다수의 클라이언트 중 상기 나머지 클라이언트를 특정하는 고유값을 포함하는 것을 특징으로 하는 클라이언트 자산 관리 방법.A client asset management method comprising a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
  5. 제 4 항에 있어서,According to claim 4,
    상기 자산 관리단계는,The asset management step is,
    상기 특정 클라이언트로부터 전달되는 데이터 패킷을, 데이터 패킷 내 포함된 고유값에 따라 상기 제1 네트워크의 각 클라이언트 별로 구분하고, Classifying data packets transmitted from the specific client for each client of the first network according to a unique value included in the data packet,
    상기 각 클라이언트 별로 구분한 데이터 패킷을 근거로, 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 것을 특징으로 하는 클라이언트 자산 관리 방법.A client asset management method, characterized in that managing each client asset of the first network based on data packets classified for each client.
  6. 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 확인부;a confirmation unit that identifies a specific client that can also connect to a second network outside the first network, among a plurality of clients connected to a first network with limited connectivity to the outside of the network;
    상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 포트 포워딩 설정부; a port forwarding setting unit that sets port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client;
    상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 주소 변경 설정부; 및An address change setting unit that sets an address change so that a data packet transmitted to the asset management server is transmitted through the specific client in the clients other than the specific client among the plurality of clients; and
    상기 자산 관리 서버에서, 상기 특정 클라이언트를 통해 전달되는 상기 나머지 클라이언트의 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 자산 관리부를 포함하는 것을 특징으로 하는 클라이언트 자산 관리 시스템.In the asset management server, a client asset management system comprising an asset management unit that manages each client asset of the first network based on data packets of the remaining clients transmitted through the specific client.
  7. 제 6 항에 있어서,According to claim 6,
    상기 포트 포워딩 설정부는,The port forwarding setting unit,
    상기 제1 네트워크에서 수신되는 데이터 패킷 중 전달 대상의 데이터 패킷을 구분하기 위한 인입 포트 번호를 설정하고,Setting an incoming port number to distinguish data packets to be delivered among data packets received from the first network,
    상기 설정한 인입 포트 번호로 수신되는 데이터 패킷에서 목적지 IP 및 포트에, 상기 자산 관리 서버의 IP 주소 및 포트 번호를 사용하도록 설정하는 것을 특징으로 하는 클라이언트 자산 관리 시스템.A client asset management system, characterized in that setting the IP address and port number of the asset management server to be used as the destination IP and port in the data packet received through the set incoming port number.
  8. 제 7 항에 있어서,According to claim 7,
    상기 주소 변경 설정부는,The address change setting unit,
    상기 자산 관리 서버로 전송하는 데이터 패킷에서 목적지 IP 및 포트를, 상기 특정 클라이언트의 제1 네트워크 주소 및 상기 인입 포트 번호로 변경하도록 설정하는 것을 특징으로 하는 클라이언트 자산 관리 시스템.A client asset management system, characterized in that setting the destination IP and port in the data packet transmitted to the asset management server to be changed to the first network address and the incoming port number of the specific client.
  9. 제 6 항에 있어서,According to claim 6,
    상기 특정 클라이언트로부터 상기 자산 관리 서버에 전달되는 상기 나머지 클라이언트의 데이터 패킷은,The data packets of the remaining clients transmitted from the specific client to the asset management server are,
    상기 제1 네트워크에 접속되는 다수의 클라이언트 중 상기 나머지 클라이언트를 특정하는 고유값을 포함하는 것을 특징으로 하는 클라이언트 자산 관리 시스템.A client asset management system comprising a unique value that specifies the remaining clients among the plurality of clients connected to the first network.
  10. 제 9 항에 있어서,According to clause 9,
    상기 자산 관리부는,The asset management department,
    상기 특정 클라이언트로부터 전달되는 데이터 패킷을, 데이터 패킷 내 포함된 고유값에 따라 상기 제1 네트워크의 각 클라이언트 별로 구분하고, Classifying data packets transmitted from the specific client for each client of the first network according to a unique value included in the data packet,
    상기 각 클라이언트 별로 구분한 데이터 패킷을 근거로, 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 것을 특징으로 하는 클라이언트 자산 관리 시스템.A client asset management system, characterized in that it manages each client asset of the first network based on data packets classified for each client.
  11. 하드웨어와 결합되어, 네트워크 외부와 연결이 제한된 제1 네트워크에 접속되는 다수의 클라이언트 중, 상기 제1 네트워크 외부의 제2 네트워크에도 접속 가능한 특정 클라이언트를 확인하는 확인단계;A confirmation step of identifying a specific client that is capable of connecting to a second network outside the first network among a plurality of clients connected to a first network that is coupled with hardware and has limited connectivity to the outside of the network;
    상기 특정 클라이언트에서, 상기 제2 네트워크에 접속된 자산 관리 서버 및 상기 제1 네트워크 간 데이터 패킷 전달을 위한 포트 포워딩을 설정하는 포트 포워딩 설정단계; A port forwarding setting step of configuring port forwarding for data packet transfer between the asset management server connected to the second network and the first network in the specific client;
    상기 다수의 클라이언트 중 상기 특정 클라이언트 외 나머지 클라이언트에서, 상기 자산 관리 서버로 전송하는 데이터 패킷이 상기 특정 클라이언트를 통해서 전달되도록 하는 주소 변경을 설정하는 주소 변경 설정단계; 및An address change setting step of setting an address change in clients other than the specific client among the plurality of clients so that a data packet transmitted to the asset management server is transmitted through the specific client; and
    상기 자산 관리 서버에서, 상기 특정 클라이언트로부터 전달되는 데이터 패킷을 근거로 상기 제1 네트워크의 각 클라이언트 자산을 관리하는 자산 관리단계를 실행시키기 위해 매체에 저장된 컴퓨터 프로그램.A computer program stored in a medium for executing, in the asset management server, an asset management step of managing each client asset of the first network based on a data packet transmitted from the specific client.
PCT/KR2023/016736 2022-10-28 2023-10-26 Client asset management system and client asset management method WO2024091017A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020220141233A KR102618291B1 (en) 2022-10-28 2022-10-28 Client asset management system and client asset management method
KR10-2022-0141233 2022-10-28

Publications (1)

Publication Number Publication Date
WO2024091017A1 true WO2024091017A1 (en) 2024-05-02

Family

ID=89377784

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2023/016736 WO2024091017A1 (en) 2022-10-28 2023-10-26 Client asset management system and client asset management method

Country Status (2)

Country Link
KR (1) KR102618291B1 (en)
WO (1) WO2024091017A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030055766A (en) * 2001-12-27 2003-07-04 한국전자통신연구원 Apparatus and method for controlling devices in private network from public network
KR20070113823A (en) * 2006-05-26 2007-11-29 휴미트 주식회사 System and method for device management using oma master device management client
KR20110084133A (en) * 2011-06-10 2011-07-21 정해란 Packet communication method in client/server system
KR20120082302A (en) * 2011-01-13 2012-07-23 주식회사 아이디스 Server side relay apparatus and client side relay apparatus for configurating direct communication environment between server and client
KR20170131028A (en) * 2016-05-20 2017-11-29 인프라닉스 주식회사 Management system of private network using public cloud server & management method using the same

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030055766A (en) * 2001-12-27 2003-07-04 한국전자통신연구원 Apparatus and method for controlling devices in private network from public network
KR20070113823A (en) * 2006-05-26 2007-11-29 휴미트 주식회사 System and method for device management using oma master device management client
KR20120082302A (en) * 2011-01-13 2012-07-23 주식회사 아이디스 Server side relay apparatus and client side relay apparatus for configurating direct communication environment between server and client
KR20110084133A (en) * 2011-06-10 2011-07-21 정해란 Packet communication method in client/server system
KR20170131028A (en) * 2016-05-20 2017-11-29 인프라닉스 주식회사 Management system of private network using public cloud server & management method using the same

Also Published As

Publication number Publication date
KR102618291B1 (en) 2023-12-27

Similar Documents

Publication Publication Date Title
WO2023033585A1 (en) Tunneling and gateway access system optimized for distributed gateway environment, and method related thereto
WO2014112771A1 (en) Relay system for transmitting ip address of client to server and method therefor
WO2023033586A1 (en) System for controlling network access of application on basis of tcp session control, and method related thereto
WO2021107256A1 (en) Method for providing interface for interoperation between different types of iot platform devices and system for providing interface for interoperation between different types of iot platform devices
WO2015030270A1 (en) Domain name system and domain name service method based on user information
WO2017122849A1 (en) Internet of things network system
WO2011144126A2 (en) Method, apparatus and system for network device configuration
WO2011019144A2 (en) Electronic patch apparatus, network system, and operating method in a network system
WO2018221783A1 (en) System and method for transferring data in physical network separation environment
WO2023085791A1 (en) Controller-based system for controlling network access, and method therefor
WO2018101565A1 (en) Structure for managing security in network virtualization environment
WO2022235007A1 (en) Controller-based network access control system, and method thereof
WO2017140080A1 (en) Addressing communication method and apparatus based on media access control address
WO2023090755A1 (en) System for controlling network access of virtualization instance, and method therefor
WO2010068018A2 (en) Method for configuring closed user network using ip tunneling mechanism and closed user network system
EP2777240A1 (en) Method and apparatus for provisioning network address translator traversal methods
WO2020130158A1 (en) Open fronthaul network system
WO2015194885A1 (en) Method and system for detecting failure-inducing client by using client route control system
WO2022231304A1 (en) System for controlling controller-based network access, and method therefor
WO2017131285A1 (en) Container network management system and container networking method
WO2015080525A1 (en) Method and apparatus for dynamic traffic control in sdn environment
WO2024091017A1 (en) Client asset management system and client asset management method
WO2020027378A1 (en) Software defined network based sdn controller, and traffic engineering system and traffic engineering method using same
WO2019088671A1 (en) Method for providing network security service and apparatus therefor
WO2021020918A1 (en) Method for providing logical internal network, and mobile terminal and application for implementing same

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23883122

Country of ref document: EP

Kind code of ref document: A1