[go: up one dir, main page]

KR101440154B1 - Apparatus and method for authenticating a user of a network security system - Google Patents

Apparatus and method for authenticating a user of a network security system Download PDF

Info

Publication number
KR101440154B1
KR101440154B1 KR1020070092228A KR20070092228A KR101440154B1 KR 101440154 B1 KR101440154 B1 KR 101440154B1 KR 1020070092228 A KR1020070092228 A KR 1020070092228A KR 20070092228 A KR20070092228 A KR 20070092228A KR 101440154 B1 KR101440154 B1 KR 101440154B1
Authority
KR
South Korea
Prior art keywords
network
user
traffic data
input
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020070092228A
Other languages
Korean (ko)
Other versions
KR20090027050A (en
Inventor
윤여원
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070092228A priority Critical patent/KR101440154B1/en
Publication of KR20090027050A publication Critical patent/KR20090027050A/en
Application granted granted Critical
Publication of KR101440154B1 publication Critical patent/KR101440154B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안시스템의 방화벽 룰 최적화를 위해 사용자를 인증하는 장치 및 방법에 관한 것이다. 본 발명의 바람직한 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치에서, 사용자 인증서버(200)는 소정의 사용자 정보 예를 들면, 사용자 ID에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장부(201)를 포함한다. 또한, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 내부의 단말기에 사용자 ID의 입력을 요청하고, 상기 요청에 따라 입력된 사용자 ID에 대응하여 기 저장된 방화벽 룰 예를 들면, 목적 ip 및 목적 port에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단한다. 그리고, 상기 판단결과 허용된 트래픽 데이터이면, 방화벽(120)은 해당 단말기로부터 스위칭 허브(140) 및 침입차단모듈(130)을 거쳐 입력되는 상기 허용된 트래픽 데이터를 라우터(110) 및 인터넷망을 통해 네트워크 외부로 전송한다. 이에 따라, 본 발명은 사용자에 부여된 단말기의 변경에 관계없이 각 사용자에 소정의 방화벽 룰을 할당 적용하여 불필요하게 열린 포트로 인해 공격에 노출되지 않도록 한 매우 유용한 발명인 것이다.The present invention relates to an apparatus and method for authenticating a user for firewall rule optimization of a network security system. In the user authentication apparatus of the network security system according to the first preferred embodiment of the present invention, the user authentication server 200 includes a storage unit 210 for storing at least one firewall rule corresponding to a predetermined user information, (201). Also, the user authentication server 200 requests the terminal inside the network initially connected to the network to input the user ID, and stores the pre-stored firewall rule, for example, the destination ip and the destination port of the mobile station, whether or not traffic data of a packet unit input from a terminal inside the network is allowed after the user information is input. If the traffic data is the allowed traffic data, the firewall 120 transmits the allowed traffic data input from the corresponding terminal through the switching hub 140 and the intrusion blocking module 130 to the router 110 and the Internet network To the outside of the network. Accordingly, the present invention is a very useful invention in which a predetermined firewall rule is assigned to each user irrespective of a change of a terminal assigned to a user, thereby preventing exposure to an attack due to an unnecessarily opened port.

침입탐지, 방화벽, 룰 Intrusion Detection, Firewall, Rule

Description

네트워크 보안시스템의 사용자 인증 장치 및 방법{Apparatus and method for user authentication of network security system}[0001] Apparatus and method for user authentication of a network security system [

본 발명은 네트워크 보안시스템의 방화벽 룰 최적화를 위해 사용자를 인증하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for authenticating a user for firewall rule optimization of a network security system.

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

종래의 네트워크 보안시스템에서 라우터(router)(10)는, 랜을 연결하여 정보를 주고 받을 때 송신정보 즉, 패킷(packet)에 담긴 수신 단말기의 주소를 읽고 가장 적절한 통신통로를 이용하여 다른 통신망으로 전송한다.In the conventional network security system, the router 10 reads the address of the receiving terminal contained in the transmission information, that is, the packet, when the LAN 10 is connected to the LAN, and transmits the information to the other communication network send.

또한, 방화벽(20)은 입력되는 네트워크 패킷을 임시저장한다. In addition, the firewall 20 temporarily stores incoming network packets.

또한, 침입탐지모듈(30)은 방화벽(20)에 임시저장된 네트워크 패킷을 독출한 후 상기 독출된 네트워크 패킷의 헤더(header) 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만을 방화벽(20)으로 다시 송신한다.The intrusion detection module 30 reads out a network packet temporarily stored in the firewall 20 and then transmits only the remaining portion of the read network packet, i.e., the payload portion, to the firewall 20 And transmits it again.

상기 방화벽(20)은, 침입탐지모듈(30)로부터 수신된 네트워크 패킷{페이로 드(payload) 부분}을, 기 저장된 소정 개수의 침입 패턴(pattern) 즉 룰과 순차적으로 비교한 후, 상기 침입 패턴 비교결과를 침입탐지모듈(30)로 송신한다.The firewall 20 sequentially compares the network packet (payload portion) received from the intrusion detection module 30 with a pre-stored predetermined number of intrusion patterns or rules, And transmits the pattern comparison result to the intrusion detection module 30.

또한 상기 침입탐지모듈(30)은, 방화벽(20)으로부터 전송된 상기 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In addition, the intrusion detection module 30 receives the comparison result of the intrusion pattern transmitted from the firewall 20, stores the comparison result, that is, a log, and selectively inputs a corresponding network packet according to the comparison result Network intrusion prevention function, NAT function, and QoS function.

그리고, 스위칭 허브(switching hub)(40)는, 네트워크 내부의 단말기(PC1, PC2, PC3, ...)의 집선 장치로 이용되는 스위칭 기능을 가진 통신장비로써, 여러 개의 포트 입력을 동시에 받을 수 있으며, 데이터 수신시 단말기의 주소 번지를 파악하여 특정 포트로만 데이터를 보내기도 한다.The switching hub 40 is a communication device having a switching function that is used as a concentrator of terminals PC1, PC2, PC3, ... in the network. When data is received, the address of the terminal is identified and the data is transmitted only to a specific port.

상기와 같이 구성되는 종래의 네트워크 보안시스템에서 방화벽(20)은, 화이트리스트(white list)(주:기본적으로 모든 트래픽을 차단하며 허용되는 트래픽에 대한 룰을 추가 및 관리함) 형태가 기본이며, 이후 업무상 필요한 경우에 한해 소스 ip(고정부여된 경우에 한해) 각각에 대응하여 룰을 추가하는 방식으로 관리되었었다(도 2 참조).In the conventional network security system configured as described above, the firewall 20 is based on a white list (note: basically, all traffic is blocked and rules for allowed traffic are added and managed) And was managed in such a manner that a rule was added in correspondence with each source ip (only when fixed) when it was necessary for the business (see FIG. 2).

그런데, 네트워크 내부 단말기(PC1, PC2, PC3, ...)의 신청에 의한 방화벽(20)의 룰 추가 및 삭제시, 기존의 룰에 대한 고려 없이 필요한 룰을 추가하기만 하고, 수백~수만의 사용자 대비 현저히 적은 관리인원으로 인하여 정확한 룰의 히스토리 관리에 한계가 있어 적정한 룰의 삭제가 이루어지지 않았다. However, when adding and deleting rules of the firewall 20 by application of the network internal terminals PC1, PC2, PC3, ..., only necessary rules are added without consideration of the existing rules, Due to the very small number of management personnel, there is a limit to the management of the history of accurate rules.

이에 따라, 일정 시간이 경과하면 불필요한 룰이 쌓이게 되고 이렇게 적체된 불필요한 룰에 의해 허용된 포트는 외부 공격자의 사전 침입시도의 위험에 노출되어 네트워크 보안망을 위협하는 심각한 문제점을 초래하였다.As a result, unnecessary rules are accumulated when a certain period of time elapses, and the ports allowed by the redundant rules are exposed to the risk of attempted intrusion by an external attacker, thereby posing a serious threat to the network security network.

따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모한 네트워크 보안시스템의 사용자 인증 장치 및 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to provide an apparatus and method for authenticating a user of a network security system that is optimized for firewall rules using user authentication.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증장치는, 소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 전송수단을 포함한다.According to another aspect of the present invention, there is provided an apparatus for authenticating a user of a network security system, comprising: storage means for storing at least one firewall rule corresponding to predetermined user information; Determining means for determining whether to permit traffic data for each packet input from a terminal in the network after the user information is input based on a pre-stored firewall rule corresponding to user information input at the time of first network connection; And transmission means for transmitting the allowed traffic data outside the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification (ID) number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증장치는, 소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 전송수단을 포함한다.In addition, the apparatus for authenticating a user of a network security system according to a second embodiment of the present invention includes: storage means for storing at least one firewall rule corresponding to predetermined user information; Determining means for determining whether to permit traffic data for each packet input from a terminal outside the network after the user information is input, based on a pre-stored firewall rule corresponding to user information input at the time of initial network connection; And transmission means for transmitting the allowed traffic data to the inside of the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification (ID) number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증방법은, 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 제 3 단계를 포함한다.In addition, a method for authenticating a user of a network security system according to a first embodiment of the present invention includes: a first step of requesting input of user information when a network is first accessed; A second step of determining whether to permit traffic data for each packet input from a terminal in the network after the user information is input based on a pre-stored firewall rule corresponding to the inputted user information; And a third step of transmitting the allowed traffic data outside the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification (ID) number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증방 법은, 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 제 3 단계를 포함한다.In addition, a method for authenticating a user of a network security system according to a second embodiment of the present invention includes: a first step of requesting input of user information at the first connection to a network; A second step of determining whether to permit traffic data for each packet input from a terminal outside the network after the user information is input based on a pre-stored firewall rule corresponding to the inputted user information; And transmitting the allowed traffic data to the inside of the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification (ID) number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

이상과 같은 구성과 흐름에 의해, 본 발명에 따른 네트워크 보안시스템의 사용자 인증 장치 및 방법은, 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모하는 것이다.According to the above-described configuration and flow, the apparatus and method for authenticating a user of a network security system according to the present invention are intended to optimize a firewall rule using user authentication.

상술한 바와 같이, 본 발명에 따른 네트워크 보안시스템의 사용자 인증 장치 및 방법은 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모함으로써, 사용자에 부여된 단말기의 변경에 관계없이 각 사용자에 소정의 방화벽 룰을 할당 적용하여 불필요하게 열린 포트로 인해 공격에 노출되지 않도록 한 매우 유용한 발명인 것이다.As described above, the apparatus and method for authenticating a user of a network security system according to the present invention can optimize a firewall rule by using user authentication, so that a predetermined firewall rule is given to each user regardless of a change of a terminal assigned to the user It is a very useful invention that prevents unauthorized open ports from being exposed to attacks.

상기한 바와 같은 본 발명의 목적들 외에, 본 발명의 다른 목적들, 다른 이점들 및 다른 특징들은 첨부된 도면을 참조한 바람직한 실시예의 상세한 설명을 통하여 명백하게 드러날 것이다.Other objects, other advantages and other features of the present invention will become apparent from the detailed description of the preferred embodiments with reference to the accompanying drawings, in addition to the objects of the present invention as described above.

이하, 첨부된 도면과 결부되어 본 발명의 바람직한 실시예들이 상세히 설명될 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 3은 본 발명의 바람직한 제 1 및 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치의 구성블럭도이고, 도 4는 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 사용자 ID에 대응되는 방화벽 룰을 예시한 표이다.FIG. 3 is a block diagram of a user authentication apparatus of a network security system applied to first and second preferred embodiments of the present invention. FIG. 4 is a block diagram of a user authentication apparatus according to the first and second embodiments of the present invention. It is a table illustrating a corresponding firewall rule.

본 발명의 바람직한 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치에서, 사용자 인증서버(200)는 소정의 사용자 정보 예를 들면, 사용자 ID(identification number)에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장부(201)를 포함한다.In the user authentication apparatus of the network security system according to the first preferred embodiment of the present invention, the user authentication server 200 may include at least one firewall rule corresponding to a predetermined user information, for example, a user identification number And a storage unit 201 for storing the data.

또한, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 내부의 단말기(PC1, PC2, PC3, ...)에 사용자 ID의 입력을 요청하고, 상기 요청에 따라 입력된 사용자 ID에 대응하여 기 저장된 방화벽 룰 예를 들면, 목적 ip 및 목적 port에 근거하여(도 4 참조), 상기 사용자 정보 입력 이후 네트워크 내부의 단말기(PC1, PC2, PC3, ...)로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단한다.Also, the user authentication server 200 requests input of a user ID to terminals (PC1, PC2, PC3, ...) in the network that are initially connected to the network, and responds to the input user ID (See FIG. 4), traffic data of packet units input from terminals (PC1, PC2, PC3, ...) in the network after inputting the user information are stored It is determined whether or not to permit the operation.

상기 사용자 인증서버(200)에 의해 수행되는 트래픽 데이터의 허용 여부 판단동작에 대해, 도 4를 참조하여, 보다 상세히 설명하면 다음과 같다.The operation of determining whether or not to permit the traffic data performed by the user authentication server 200 will be described in more detail with reference to FIG.

상기 요청에 따라 네트워크에 최초 접속된 네트워크 단말기(PC1, PC2, PC3, ...)를 통해 사용자 ID, 즉 'user1'이 입력된 후, 해당 단말기(PC1, PC2, PC3, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면, 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다.PC1, PC2, PC3,...) Through the network terminal PC1, PC2, PC3, When the packet data is input, the user authentication server 200 extracts the destination ip and the destination port from the header of the input traffic data.

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되는지 여부를 확인하고, 상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면, 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다.Then, the user authentication server 200 extracts the destination ip and the destination port '10.1.1.100 'stored in the storage unit 201 corresponding to the previously input user ID' user1 'and the destination port '10.1.1.100 and 7000,. .. ', and the destination ip and the destination port extracted from the traffic data as a result of the confirmation are stored in the destination ip' and the destination port '10.1.1.100 and 7000, respectively, corresponding to the user ID 'user1'. , The user authentication server 200 determines the corresponding traffic data as the allowed traffic data.

이어, 방화벽(120)은 해당 단말기(PC1, PC2, PC3, ...)로부터 스위칭 허브(140) 및 침입차단모듈(130)을 거쳐 입력되는 허용된 패킷 단위의 트래픽 데이터를 라우터(110) 및 인터넷망을 통해 네트워크 외부로 전송한다.The firewall 120 transmits traffic data of allowed packets input from the corresponding terminals PC1, PC2, PC3, ... via the switching hub 140 and the intrusion blocking module 130 to the routers 110 and 120, And transmits it out of the network through the Internet network.

도 5는 본 발명에 따른 바람직한 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도로서, 이하에서는 상기와 같이 구성되는 본 발명의 바람직한 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증장치의 동작에 대 해, 도 5의 흐름도와 병행하여 상세히 설명하기로 한다.FIG. 5 is a flowchart illustrating a method of authenticating a user of a network security system according to a first exemplary embodiment of the present invention. Referring to FIG. 5, there is shown a user authentication method of a network security system according to a first exemplary embodiment of the present invention, Will be described in detail with reference to the flow chart of Fig.

먼저, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 내부의 단말기(PC1, PC2, PC3, ...)에 사용자 ID의 입력을 요청한다(S501).First, the user authentication server 200 requests input of a user ID to terminals (PC1, PC2, PC3, ...) in the network initially connected to the network (S501).

상기 요청에 따라 사용자 ID 'user1'이 입력된 후(S502의 "예"), 해당 단말기(PC1, PC2, PC3, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면(S503의 "예"), 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다(S504).(Yes in S502) after the user ID 'user1' is inputted in response to the request, if traffic data of a packet unit is input from the terminals PC1, PC2, PC3, , The user authentication server 200 extracts the destination ip and the destination port from the header portion of the input traffic data (S504).

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' (도 4 참조)내에 포함되는지 여부를 확인한다.Then, the user authentication server 200 extracts the destination ip and the destination port '10.1.1.100 'stored in the storage unit 201 corresponding to the previously input user ID' user1 'and the destination port '10.1.1.100 and 7000,. ... '(see FIG. 4).

상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면(S505의 "예"), 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다(S506).If the destination ip and the destination port extracted from the traffic data are included in the destination ip and destination port '10.1.1.100 and 7000, ... 'corresponding to the user ID' user1 '(Yes in S505) , The user authentication server 200 determines the corresponding traffic data as permitted traffic data (S506).

이어, 방화벽(120)은 해당 단말기(PC1, PC2, PC3, ...)로부터 스위칭 허브(140) 및 침입차단모듈(130)을 거쳐 입력되는 허용된 패킷 단위의 트래픽 데이터를 라우터(110) 및 인터넷망을 통해 네트워크 외부로 전송한다(S507).The firewall 120 transmits traffic data of allowed packets input from the corresponding terminals PC1, PC2, PC3, ... via the switching hub 140 and the intrusion blocking module 130 to the routers 110 and 120, And transmits it to the outside of the network through the Internet network (S507).

또한, 본 발명의 바람직한 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치에서도, 도 3에 도시된 바와 같이, 사용자 인증서버(200)는 소정의 사용자 정보 예를 들면, 사용자 ID(identification number)에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장부(201)를 포함한다.Also, in the user authentication apparatus of the network security system according to the second preferred embodiment of the present invention, as shown in FIG. 3, the user authentication server 200 includes predetermined user information, for example, And a storage unit 201 for storing at least one or more firewall rules corresponding to the at least one firewall rule.

그리고, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 외부의 단말기(PC4, ...)에 사용자 ID의 입력을 요청하고, 상기 요청에 따라 입력된 사용자 ID에 대응하여 기 저장된 방화벽 룰 즉, 목적 ip 및 목적 port에 근거하여(도 4 참조), 상기 사용자 정보 입력 이후 네트워크 외부의 단말기(PC4, ...)로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단한다.The user authentication server 200 requests input of a user ID to a terminal (PC4, ...) external to the network that is initially connected to the network, and stores the pre-stored firewall rule corresponding to the inputted user ID , The destination ip, and the destination port (refer to FIG. 4), it is determined whether or not traffic data in units of packets input from terminals (PC4, ...) outside the network after the user information input is permitted.

이 경우에도, 방화벽(120)은 해당 단말기(PC4, ...)로부터 인터넷망 및 라우터(110)를 통해 입력되는 허용된 패킷 단위의 트래픽 데이터를 침입차단모듈(130) 및 스위칭 허브(140)를 통해 네트워크 내부로 전송한다.Even in this case, the firewall 120 transmits the traffic data of the allowed packets input from the terminals PC4, ... through the Internet network and the router 110 to the intrusion blocking module 130 and the switching hub 140, To the inside of the network.

도 6은 본 발명에 따른 바람직한 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도로서, 이하에서는 상기와 같이 구성되는 본 발명의 바람직한 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증장치의 동작에 대해, 도 6의 흐름도와 병행하여 상세히 설명하기로 한다.FIG. 6 is a flowchart illustrating a method of authenticating a user of a network security system according to a second exemplary embodiment of the present invention. Referring to FIG. 6, a method for authenticating a user of a network security system according to a second exemplary embodiment of the present invention, Will be described in detail in parallel with the flow chart of Fig.

먼저, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 외부의 단말기(PC4, ...)에 사용자 ID의 입력을 요청한다(S601).First, the user authentication server 200 requests input of a user ID to a terminal (PC4, ...) outside the network that is initially connected to the network (S601).

상기 요청에 따라 사용자 ID 'user1'이 입력된 후(S602의 "예"), 해당 단말기(PC4, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면(S603의 "예"), 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다(S604).(Yes in S602) after the user ID 'user1' is input in response to the request, if traffic data of a packet unit is inputted from the terminal PC4, The terminal 200 extracts the destination ip and the destination port from the header portion of the input traffic data (S604).

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' (도 4 참조)내에 포함되는지 여부를 확인한다.Then, the user authentication server 200 extracts the destination ip and the destination port '10.1.1.100 'stored in the storage unit 201 corresponding to the previously input user ID' user1 'and the destination port '10.1.1.100 and 7000,. ... '(see FIG. 4).

상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면(S605의 "예"), 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다(S606).If the destination ip and the destination port extracted from the traffic data are included in the destination ip and destination port '10.1.1.100 and 7000, ... 'corresponding to the user ID' user1 '(Yes in S605) , The user authentication server 200 determines the corresponding traffic data as the allowed traffic data (S606).

이어, 방화벽(120)은 해당 단말기(PC4, ...)로부터 인터넷망 및 라우터(110)를 통해 입력되는 허용된 패킷 단위의 트래픽 데이터를 침입차단모듈(130) 및 스위칭 허브(140)를 통해 네트워크 내부로 전송한다(S507).The firewall 120 then transmits the traffic data of the allowed packets input from the corresponding terminals PC4 to the Internet network and the router 110 through the intrusion blocking module 130 and the switching hub 140 To the inside of the network (S507).

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be apparent that various modifications, alterations, and other equivalent embodiments are possible without departing from the scope of the invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

도 2는 종래의 네트워크 보안시스템에 적용되는 소스ip에 대응되는 방화벽 룰을 예시한 표이다.2 is a table illustrating a firewall rule corresponding to a source ip applied to a conventional network security system.

도 3은 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치의 구성블럭도이다.3 is a block diagram of a user authentication apparatus of a network security system applied to the first and second embodiments of the present invention.

도 4는 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 사용자 ID에 대응되는 방화벽 룰을 예시한 표이다.4 is a table illustrating a firewall rule corresponding to a user ID applied to the first and second embodiments of the present invention.

도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도이다.5 is a flowchart illustrating a method of authenticating a user of a network security system according to a first embodiment of the present invention.

도 6은 본 발명에 따른 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도이다.6 is a flowchart illustrating a method of authenticating a user of a network security system according to a second embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명>          Description of the Related Art

110 : 라우터 120 : 방화벽110: Router 120: Firewall

130 : 침입차단모듈 140 : 스위칭 허브130: Intrusion blocking module 140: Switching hub

200 : 사용자 인증서버 201 : 저장부200: user authentication server 201: storage unit

Claims (12)

소정의 사용자 정보에 대응되고 목적 ip 및 목적 port를 포함하는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단;Storage means for storing at least one firewall rule corresponding to predetermined user information and including a destination ip and a destination port; 네트워크 최초 접속시 입력된 특정 사용자 정보에 대응하는 목적 ip 및 목적 port가 상기 방화벽 룰에 저장되어 있는지 체크하여 네트워크 내부 또는 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 및Determining means for determining whether or not traffic data for each packet input from a terminal inside or outside the network is allowed by checking whether the destination ip and the destination port corresponding to the specific user information input at the time of initial network connection are stored in the firewall rule; And 상기 판단결과 상기 특정 사용자 정보에 대응하는 목적 ip 및 목적 port가 상기 방화벽 룰에 저장되어 있으면 상기 트래픽 데이터를 네트워크 외부 또는 내부로 전송하는 전송수단을 포함하는 네트워크 보안시스템의 사용자 인증장치.And transmission means for transmitting the traffic data to outside or inside the network if the destination ip and the destination port corresponding to the specific user information are stored in the firewall rule. 제 1항에 있어서, 상기 사용자 정보는,The method according to claim 1, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.And a user identification (ID) number. 삭제delete 삭제delete 제 1항에 있어서, 상기 사용자 정보는,The method according to claim 1, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.And a user identification (ID) number. 삭제delete 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계;A first step of requesting input of user information at the first connection to the network; 상기 요청 결과 입력된 사용자 정보에 대응하는 목적 ip 및 목적 port가 기 저장된 방화벽 룰에 저장되어 있는지 체크하여 네트워크 내부 또는 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 및A second step of determining whether or not to permit traffic data for each packet input from a terminal inside or outside the network by checking whether the destination ip and the destination port corresponding to the inputted user information are stored in the pre-stored firewall rule; And 상기 판단결과 상기 사용자 정보에 대응하는 목적 ip 및 목적 port가 상기 방화벽 룰에 저장되어 있으면 상기 트래픽 데이터를 네트워크 외부 또는 내부로 전송하는 제 3 단계를 포함하는 네트워크 보안시스템의 사용자 인증방법.And transmitting the traffic data to outside or inside the network if the destination ip and the destination port corresponding to the user information are stored in the firewall rule as a result of the determination. 제 7항에 있어서, 상기 사용자 정보는,8. The method according to claim 7, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.And a user identification (ID) number. 삭제delete 삭제delete 제 7항에 있어서, 상기 사용자 정보는,8. The method according to claim 7, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.And a user identification (ID) number. 삭제delete
KR1020070092228A 2007-09-11 2007-09-11 Apparatus and method for authenticating a user of a network security system Active KR101440154B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070092228A KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for authenticating a user of a network security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070092228A KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for authenticating a user of a network security system

Publications (2)

Publication Number Publication Date
KR20090027050A KR20090027050A (en) 2009-03-16
KR101440154B1 true KR101440154B1 (en) 2014-09-12

Family

ID=40694810

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070092228A Active KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for authenticating a user of a network security system

Country Status (1)

Country Link
KR (1) KR101440154B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102005376B1 (en) 2019-02-19 2019-07-30 유비웨어 주식회사 A network monitoring, access control and intrusion prevention system based on the virtual network overlays

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101278656B1 (en) * 2013-04-22 2013-06-25 전은희 System and method for distinguishing minor
KR20180049476A (en) * 2016-11-02 2018-05-11 주식회사 시큐아이 Network security method and apparatus thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110981A (en) * 2003-06-06 2004-12-31 마이크로소프트 코포레이션 A method and framework for integrating a plurality of network policies
KR20060044049A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Authentication method for secure router system and users accessing the system
KR20060096986A (en) * 2006-02-27 2006-09-13 노키아 코포레이션 Personal remote firewall
KR20070087198A (en) * 2004-12-21 2007-08-27 미슬토우 테크놀로지즈, 인코포레이티드 Network Interfaces and Firewall Devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040110981A (en) * 2003-06-06 2004-12-31 마이크로소프트 코포레이션 A method and framework for integrating a plurality of network policies
KR20060044049A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Authentication method for secure router system and users accessing the system
KR20070087198A (en) * 2004-12-21 2007-08-27 미슬토우 테크놀로지즈, 인코포레이티드 Network Interfaces and Firewall Devices
KR20060096986A (en) * 2006-02-27 2006-09-13 노키아 코포레이션 Personal remote firewall

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102005376B1 (en) 2019-02-19 2019-07-30 유비웨어 주식회사 A network monitoring, access control and intrusion prevention system based on the virtual network overlays

Also Published As

Publication number Publication date
KR20090027050A (en) 2009-03-16

Similar Documents

Publication Publication Date Title
US8990573B2 (en) System and method for using variable security tag location in network communications
RU2507702C2 (en) Authentication method without duplication of credentials of users belonging to different organisations
US7716729B2 (en) Method for responding to denial of service attacks at the session layer or above
US9369434B2 (en) Whitelist-based network switch
CN101416172B (en) Method and system for eliminating redundant actions in a network
KR100459569B1 (en) Secure communicating method using media access control address
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
CN104967609A (en) Intranet development server access method, intranet development server access device and intranet development server access system
US12418507B2 (en) Network security device
KR101252787B1 (en) Security management system with multiple gateway servers and method thereof
CN101945117A (en) Method and equipment for preventing source address spoofing attack
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
KR102156206B1 (en) Apparatus and method for providing security to an end-to-end communication
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
KR101440154B1 (en) Apparatus and method for authenticating a user of a network security system
KR102510093B1 (en) Acess control system and method in network system of apartment complex
KR100723864B1 (en) Method and apparatus for preventing network attack using information contained in packet
RU2509425C1 (en) Method and apparatus for controlling distributed information system data streams
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
KR102174507B1 (en) A appratus and method for auto setting firewall of the gateway in network
US20210377220A1 (en) Open sesame
RU2445692C1 (en) Method to provide information security during user access to external information resources via internet
KR101871146B1 (en) Network switch apparatus for blocking an unauthorized terminal and Blocking method for the unauthorized terminal
KR102046612B1 (en) The system for defending dns amplification attacks in software-defined networks and the method thereof
KR101871147B1 (en) Network switch apparatus for managing an unauthorized terminal and Managing method for the unauthorized terminal

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20070911

N231 Notification of change of applicant
PN2301 Change of applicant

Patent event date: 20071213

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20120109

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20070911

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130626

Patent event code: PE09021S01D

AMND Amendment
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20140428

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20130626

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

PJ0201 Trial against decision of rejection

Patent event date: 20140630

Comment text: Request for Trial against Decision on Refusal

Patent event code: PJ02012R01D

Patent event date: 20140428

Comment text: Decision to Refuse Application

Patent event code: PJ02011S01I

Appeal kind category: Appeal against decision to decline refusal

Decision date: 20140811

Appeal identifier: 2014101004086

Request date: 20140630

AMND Amendment
E701 Decision to grant or registration of patent right
PB0901 Examination by re-examination before a trial

Comment text: Amendment to Specification, etc.

Patent event date: 20140730

Patent event code: PB09011R02I

Comment text: Request for Trial against Decision on Refusal

Patent event date: 20140630

Patent event code: PB09011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20131126

Patent event code: PB09011R02I

PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140811

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140903

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140903

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170703

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180703

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190708

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20200629

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210706

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20220622

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230627

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20250623

Start annual number: 12

End annual number: 12