KR102371181B1 - Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices - Google Patents
Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices Download PDFInfo
- Publication number
- KR102371181B1 KR102371181B1 KR1020210113510A KR20210113510A KR102371181B1 KR 102371181 B1 KR102371181 B1 KR 102371181B1 KR 1020210113510 A KR1020210113510 A KR 1020210113510A KR 20210113510 A KR20210113510 A KR 20210113510A KR 102371181 B1 KR102371181 B1 KR 102371181B1
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- authentication
- information
- routing
- server system
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법에 관한 것으로서, 더욱 상세하게는 사용자단말에서 에이전트어플리케이션을 실행하여, 사용자단말의 화면제어를 시작한 뒤, 사용자단말의 접속 위치를 판독하여, 판독 결과에 따라 사용자단말의 네트워크 연결을 제어할 수 있고, 화면제어가 종료된 후, 상기 에이전트어플리케이션과 상기 서버시스템과의 인증절차를 통해, 인증된 단말만 상기 서버시스템 내부의 서비스서버와 통신을 수립할 수 있도록 하는, 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법에 관한 것이다.The present invention relates to a communication security method performed in a user terminal in which an agent application is installed and a server system that communicates with the user terminal, and more particularly, after executing the agent application in the user terminal and starting screen control of the user terminal , by reading the connection location of the user terminal, it is possible to control the network connection of the user terminal according to the reading result, and after screen control is finished, through the authentication procedure between the agent application and the server system, only the authenticated terminal It relates to a communication security method performed in a user terminal having an agent application installed therein, and a server system communicating with the user terminal so that communication can be established with the service server inside the server system.
최근 스마트폰과 같이 모바일 통신의 발달과 이에 따라 어디서든 컴퓨팅자원을 활용할 수 있는 클라우드 환경의 저변이 확대되고 있다. 그러나, 클라우드 환경의 저변이 확대됨에 따라 가상인프라 및 자원 공유 등의 클라우드 환경에 따라 발생할 수 있는 보안 문제들이 수면으로 떠오르고 있는 상황이다.Recently, with the development of mobile communication such as smartphones, the basis of a cloud environment in which computing resources can be utilized anywhere is expanding. However, as the base of the cloud environment expands, security problems that may occur depending on the cloud environment, such as virtual infrastructure and resource sharing, are rising to the surface.
종래의 네트워크 시스템의 경우 네트워크 망을 외부와 분리하여 내부 네트워크의 보안을 수립하고 있는 상황이다. 이를 위해 방화벽이나, 가상사설망(Virtual Private Network, VPN) 장치와 같이 다양한 보안 요소들을 사용하고 있다.In the case of the conventional network system, the security of the internal network is established by separating the network from the outside. For this purpose, various security elements such as firewalls and virtual private network (VPN) devices are used.
그러나 네트워크의 규모가 커지게 되면 보안 장치들을 네트워크의 구성요소 별로 구비해야 하므로 보안에 따른 비용이 증가하게 되는 문제점이 존재하며, 또한 외부 단말이 방화벽을 통과하거나 가상사설망에 접속한 후에는 직접적으로 서비스를 제공하는 서버와 통신을 수행할 수 있고, 내부 네트워크의 요소들을 쉽게 파악할 수 있으므로, 가상사설망에 접속할 수 있는 ID/PW가 탈취되는 경우에 해당 내부망에 존재하는 서버 및 단말에 쉽게 접근할 수 있는 보안 취약점이 존재한다. 더불어 VPN이나 방화벽의 경우 IP를 기반으로 하기 때문에, 다른 계층에 대해서는 보안에 취약할 수 있는 부가적인 문제가 발생할 수 있다.However, as the size of the network increases, security devices must be provided for each component of the network, so there is a problem in that the security cost increases. Since it is possible to communicate with a server that provides A security vulnerability exists. In addition, since VPNs and firewalls are IP-based, additional problems that may be vulnerable to security for other layers may occur.
따라서, 네트워크에 대한 보안을 효율적으로 수행하기 위하여, 네트워크에 접속하는 단말을 인증 또는 제어하는 통신 채널과, 단말과 실질적인 데이터를 주고받는 서버에 대한 통신 채널을 이원화하여 종래의 네트워크에 대한 보안의 문제점을 개선할 수 있는 새로운 보안방법의 개발이 필요한 상황이다.Therefore, in order to efficiently perform network security, a communication channel for authenticating or controlling a terminal accessing the network and a communication channel for a server that exchanges actual data with the terminal are dualized to provide security for the conventional network. There is a need to develop a new security method to improve
본 발명은 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법에 관한 것으로서, 더욱 상세하게는 사용자단말에서 에이전트어플리케이션을 실행하여, 사용자단말의 화면제어를 시작한 뒤, 사용자단말의 접속 위치를 판독하고, 판독 결과에 따라 사용자단말의 네트워크 연결을 제어할 수 있고, 화면제어가 종료된 후, 상기 에이전트어플리케이션과 상기 서버시스템과의 인증절차를 통해, 인증된 단말만 상기 서버시스템 내부의 서비스서버와 통신을 수립할 수 있도록 하는, 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법을 제공하는 것을 목적으로 한다.The present invention relates to a communication security method performed in a user terminal in which an agent application is installed and a server system that communicates with the user terminal, and more particularly, after executing the agent application in the user terminal and starting screen control of the user terminal , can read the connection location of the user terminal, control the network connection of the user terminal according to the reading result, and after screen control is finished, through the authentication procedure between the agent application and the server system, only the authenticated terminal An object of the present invention is to provide a communication security method performed in a user terminal in which an agent application is installed and a server system communicating with the user terminal, enabling communication to be established with the service server inside the server system.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 에이전트어플리케이션이 설치된 사용자단말 및 사용자단말과 통신을 수행하는 서버시스템에서 수행되는 통신 보안방법으로서, 상기 서버시스템은 인증검증부 및 인증제어부를 포함하고, 상기 사용자단말에서는 네트워크제어모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고, 상기 네트워크제어모듈은, 사용자에게 외부네트워크에서의 접속인지 혹은 내부네트워크에서의 접속인지를 선택하는 인터페이스를 제공하고, 사용자단말의 화면제어를 시작하는 초기화면표시단계; 상기 초기화면표시단계에서 외부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부를 제외한 외부의 네트워크로의 접속을 모두 차단하는 외부네트워크모드설정단계; 상기 초기화면표시단계에서 내부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부 및 외부의 네트워크로의 접속을 모두 허용하는 내부네트워크모드설정단계; 및 상기 외부네트워크모드설정단계 혹은 상기 내부네트워크모드설정단계 이후, 상기 화면제어를 종료하는 화면제어종료단계;를 수행하고, 상기 경로설정모듈은 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하는, 통신 보안방법을 제공한다. In order to solve the above problems, in one embodiment of the present invention, as a communication security method performed in a user terminal in which an agent application is installed and a server system that communicates with the user terminal, the server system includes an authentication verification unit and authentication and a control unit, wherein an agent application including a network control module and a route setting module is installed in the user terminal, and the network control module selects whether the user is connected from an external network or an internal network. an initial screen display step of providing an interface and starting screen control of the user terminal; an external network mode setting step in which the user terminal blocks all connections to an external network except for the authentication verification unit when the user selects a connection from an external network in the initial screen display step; an internal network mode setting step of allowing the user terminal to access both the authentication verification unit and the external network when the user selects the connection from the internal network in the initial screen display step; and a screen control termination step of terminating the screen control after the external network mode setting step or the internal network mode setting step; and the route setting module includes a service application installed in the user terminal and a service inside the server system A method of requesting the authentication verification unit for routing for establishing communication of the server, and performing a path setting step of setting routing path information of the corresponding service application based on the routing path information received from the authentication verification unit, communication security method provides
본 발명의 일 실시예에서는, 상기 초기화면단계에서는, 사용자단말에 대한 모든 네트워크 연결을 차단하고, 상기 초기화면단계에서 수행되는 상기 화면제어는,사용자단말에 표시되는 인터페이스에 대한 동작 외에 어떠한 동작도 허용하지 않을 수 있다.In one embodiment of the present invention, in the initial screen step, all network connections to the user terminal are blocked, and the screen control performed in the initial screen step does not include any operation other than the operation on the interface displayed on the user terminal. may not allow
본 발명의 일 실시예에서는, 상기 내부네트워크모드설정단계에서, 사용자단말이 상기 인증제어부와 상기 내부네트워크로의 접속 가능 여부를 판단함으로써, 내부네트워크에서 접속되었는지 여부를 판단하는 단계; 및 상기 사용자단말에 대해 상기 인증검증부 및 외부 네트워크로의 접속을 모두 허용할 수 있다.In an embodiment of the present invention, in the internal network mode setting step, the user terminal determines whether access to the internal network with the authentication control unit is possible by determining whether the connection is possible in the internal network; and access to both the authentication verification unit and the external network for the user terminal may be permitted.
본 발명의 일 실시예에서는, 상기 경로설정단계는, 상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계; 상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계; 상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및 상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함할 수 있다.In an embodiment of the present invention, in the path setting step, the authentication verification unit verifies the authentication information received from the user terminal in which the agent application is installed, and transmits the validated authentication information to the authentication control unit. authentication verification step; an authentication token providing step of generating, by the authentication control unit, an authentication token based on the authentication information received through the authentication verification step and providing it to the user terminal; By the authentication verification unit, the routing request information for requesting routing to establish communication between the service application installed in the user terminal and the service server received from the user terminal receiving the authentication token is verified, and routing verified as valid a routing request information verification step of transmitting the request information to the authentication control unit; and providing, by the authentication control unit, routing information for establishing communication between the service application and the service server based on the routing request information received through the routing request information verification step, and providing it to the user terminal ; may be included.
본 발명의 일 실시예에서는, 상기 인증정보는, 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말의 사용자에 대한 사용자정보를 포함하고, 상기 인증검증단계는, 상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부로 송신하고, 상기 인증토큰제공단계는, 상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말에 제공할 수 있다.In an embodiment of the present invention, the authentication information includes identification information of the server system, identification information of the user terminal, and user information about the user of the user terminal, and the authentication verification step includes: Verifies the identification information of the included server system, transmits the authentication information to the authentication control unit when verified as valid, and the authentication token providing step includes the user included in the authentication information received from the authentication verification step It is determined whether the identification information of the terminal and the user information are included in the database stored in the server system, and when it is determined that it is included, an authentication token can be generated and provided to the user terminal.
본 발명의 일 실시예에서는, 상기 통신 보안방법은, 상기 인증검증부에 의하여, 상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부로 송신하는 정책요청정보검증단계; 및 상기 인증제어부에 의하여, 상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말 및 상기 사용자단말의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말에 상기 정책정보를 제공하는 정책정보제공단계;를 포함할 수 있다.In an embodiment of the present invention, in the communication security method, after the authentication token providing step is performed by the authentication verification unit, a policy including identification information of the server system and the authentication token from the user terminal a policy request information verification step of receiving request information, verifying the identification information and the authentication token of the server system included in the policy request information, and transmitting the policy request information to the authentication control unit when validated; And by the authentication control unit, based on the policy request information received through the policy request information verification step to derive the policy information corresponding to the user terminal and the user of the user terminal to provide the policy information to the user terminal policy information providing step; may include.
본 발명의 일 실시예에서는, 상기 라우팅요청정보검증단계는, 상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말의 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말로부터 상기 라우팅요청정보를 수신할 수 있다.In an embodiment of the present invention, in the routing request information verification step, when the agent application of the user terminal provided with the policy information through the policy information providing step determines that the user terminal conforms to the policy information, The routing request information may be received from the user terminal.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예에서는, 에이전트어플리케이션이 설치된 사용자단말 및 상기 사용자단말과 통신을 수행하는 서버시스템을 포함하는 통신 보안 시스템으로서, 상기 서버시스템은 인증검증부 및 인증제어부를 포함하고, 상기 사용자단말에서는 네트워크제어모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고, 상기 네트워크제어모듈은, 사용자에게 외부네트워크에서의 접속인지 혹은 내부네트워크에서의 접속인지를 선택하는 인터페이스를 제공하고, 사용자단말의 화면제어를 시작하는 초기화면표시단계; 상기 초기화면표시단계에서 외부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부를 제외한 외부의 네트워크로의 접속을 모두 차단하는 외부네트워크모드설정단계; 상기 초기화면표시단계에서 내부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부 및 외부의 네트워크로의 접속을 모두 허용하는 내부네트워크모드설정단계; 및 상기 외부네트워크모드설정단계 혹은 상기 내부네트워크모드설정단계 이후, 상기 화면제어를 종료하는 화면제어종료단계;를 수행하고, 상기 경로설정모듈은 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하는, 통신 보안시스템을 제공한다.In order to solve the above problems, in one embodiment of the present invention, as a communication security system comprising a user terminal in which an agent application is installed and a server system for communicating with the user terminal, the server system includes an authentication verification unit and An authentication control unit is included, and an agent application including a network control module and a route setting module is installed in the user terminal, and the network control module selects whether the user is connected from an external network or an internal network. an initial screen display step of providing an interface and starting screen control of the user terminal; an external network mode setting step in which the user terminal blocks all connections to an external network except for the authentication verification unit when the user selects a connection from an external network in the initial screen display step; an internal network mode setting step of allowing the user terminal to access both the authentication verification unit and the external network when the user selects the connection from the internal network in the initial screen display step; and after the external network mode setting step or the internal network mode setting step, a screen control termination step of terminating the screen control; the path setting module establishes communication between the service application installed in the user terminal and the service server To provide a communication security system, requesting the routing to be performed by the authentication verification unit, and performing a path setting step of setting the routing path information of the corresponding service application based on the routing path information received from the authentication verification unit.
본 발명의 일 실시예에 따르면, 외부에서 접속하는 사용자단말에 대해, 상기 사용자단말에 설치된 에이전트어플리케이션을 통해 외부 네트워크와의 연결을 완전히 차단할 수 있으므로, 외부에서의 접속으로 인해 발생할 수 있는 서버시스템 공격에 대해 원천적으로 차단할 수 있는 효과를 발휘할 수 있다. According to an embodiment of the present invention, for a user terminal accessing from the outside, the connection to the external network can be completely blocked through the agent application installed in the user terminal, so a server system attack that may occur due to an external connection It can exert an effect that can fundamentally block
본 발명의 일 실시예에 따르면, 에이전트어플리케이션에 의해 실행되는 사용자단말의 화면제어를 통해 사용자단말에 설치된 에이전트어플리케이션 및 서비스 어플리케이션 외의 제3 어플리케이션의 실행을 제한함으로써, 제3 어플리케이션을 통한 서버시스템으로의 공격을 방지하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, by limiting the execution of a third application other than the agent application and the service application installed in the user terminal through the screen control of the user terminal executed by the agent application, to the server system through the third application It can be effective in preventing attacks.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션이 설치된 사용자단말을 서버시스템의 인증검증부 및 인증제어부와의 통신을 수행하여 서버시스템에 대한 접근이 허가된 후에 서비스서버와의 통신이 수립될 수 있으므로, 접근이 허가되기 전까지 서비스서버의 접근을 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, communication with the service server can be established after the user terminal in which the agent application is installed communicates with the authentication verification unit and the authentication control unit of the server system and access to the server system is permitted. , it can have the effect of fundamentally blocking access to the service server until access is permitted.
본 발명의 일 실시예에 따르면, 인증토큰제공단계는, 인증정보에 포함된 사용자단말의 식별정보 및 사용자단말의 사용자에 대한 사용자정보를 확인한 후에, 서비스서버와 통신을 수립할 수 있는 인증토큰을 사용자단말에 제공하므로, ID/PW와 같이 사용자정보 뿐만 아니라, 사용자단말까지 확인하므로 인증되지 않은 사용자단말의 접속을 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, in the authentication token providing step, after confirming the identification information of the user terminal and the user information about the user of the user terminal included in the authentication information, an authentication token capable of establishing communication with the service server is provided. Since it is provided to the user terminal, not only user information such as ID/PW, but also the user terminal is checked, so it is possible to exhibit the effect of blocking access to the user terminal that is not authenticated.
본 발명의 일 실시예에 따르면, 정책정보제공단계는 사용자단말에 상응하는 정책정보를 제공하여, 사용자단말에 설치된 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판단한 경우에 서비스서버와 통신을 수립할 수 있도록 하므로, 서버시스템의 관리자가 설정한 정책에 부합하는 사용자단말만 서버시스템에 접근할 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the policy information providing step provides policy information corresponding to the user terminal, and communicates with the service server when the agent application installed in the user terminal determines that the user terminal conforms to the policy information. can be established, so that only user terminals that meet the policy set by the administrator of the server system can access the server system.
본 발명의 일 실시예에 따르면, 라우팅정보제공단계에서 제공하는 라우팅정보는, 사용자단말의 서비스어플리케이션과 통신이 수립되는 게이트웨이의 주소정보 및 서비스서버의 주소정보만을 포함하므로, 사용자단말이 서버시스템의 타 구성요소에 접근하는 것을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the routing information provided in the routing information providing step includes only the address information of the gateway through which communication with the service application of the user terminal is established and the address information of the service server, the user terminal is It can have the effect of preventing access to other components.
본 발명의 일 실시예에 따르면, 상기 인증검증부에서 사용자단말로부터 수신한 정보들을 검증하여, 유효한 것으로 검증된 경우에 인증제어부로 송신하므로, 인증제어부의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the authentication verification unit verifies the information received from the user terminal and transmits it to the authentication control unit when verified as valid, it is possible to reduce the load on the authentication control unit.
도 1은 본 발명의 일 실시예에 따른 사용자단말에 대한 통신 보안방법을 수행하기 위한 서버시스템을 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 인증검증단계 및 인증토큰제공단계의 수행과정들을 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 정책요청정보검증단계 및 정책정보제공단계의 수행과정들을 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따른 사용자단말에 제공하는 정책정보를 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따른 라우팅요청정보검증단계 및 라우팅정보제공단계를 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 사용자단말에서 라우팅정보에 따라 서비스어플리케이션의 통신을 수립하는 과정을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 에이전트어플리케이션의 내부구성을 개략적으로 도시한다.
도 8은 본 발명의 일 실시예에 따른 네트워크제어모듈의 수행단계를 개략적으로 도시한다.
도 9는 본 발명의 일 실시예에 따른 외부에서 접속한 사용자단말이 연결가능한 네트워크를 개략적으로 도시한다.
도 10은 본 발명의 일 실시예에 따른 내부에서 접속한 사용자단말이 접속가능한 네트워크를 개략적으로 도시한다.
도 11은 사용자단말의 접속위치를 판단하고 인증하는 단계를 개략적으로 도시한다.
도 12는 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.1 schematically shows a server system for performing a communication security method for a user terminal according to an embodiment of the present invention.
2 schematically shows the steps of performing an authentication verification step and an authentication token providing step according to an embodiment of the present invention.
FIG. 3 schematically illustrates the execution processes of the policy request information verification step and the policy information providing step according to an embodiment of the present invention.
4 schematically illustrates policy information provided to a user terminal according to an embodiment of the present invention.
5 schematically shows a routing request information verification step and a routing information providing step according to an embodiment of the present invention.
6 schematically illustrates a process of establishing communication of a service application according to routing information in a user terminal according to an embodiment of the present invention.
7 schematically shows the internal configuration of an agent application according to an embodiment of the present invention.
8 schematically shows the steps of performing a network control module according to an embodiment of the present invention.
9 schematically illustrates a network connectable to a user terminal accessed from the outside according to an embodiment of the present invention.
10 schematically shows a network to which a user terminal accessed from the inside according to an embodiment of the present invention is accessible.
11 schematically illustrates a step of determining and authenticating an access location of a user terminal.
12 schematically illustrates an internal configuration of a computing device according to an embodiment of the present invention.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.Hereinafter, various embodiments and/or aspects are disclosed with reference to the drawings. In the following description, for purposes of explanation, numerous specific details are set forth to provide a thorough understanding of one or more aspects. However, it will also be recognized by one of ordinary skill in the art that such aspect(s) may be practiced without these specific details. The following description and accompanying drawings set forth in detail certain illustrative aspects of one or more aspects. These aspects are illustrative, however, and some of various methods may be employed in the principles of the various aspects, and the descriptions set forth are intended to include all such aspects and their equivalents.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.Further, various aspects and features will be presented by a system that may include a number of devices, components and/or modules, and the like. It is also noted that various systems may include additional apparatuses, components, and/or modules, etc. and/or may not include all of the apparatuses, components, modules, etc. discussed with respect to the drawings. must be understood and recognized.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.As used herein, “embodiment”, “example”, “aspect”, “exemplary”, etc. may not be construed as an advantage or advantage in any aspect or design being described over other aspects or designs. . The terms '~part', 'component', 'module', 'system', 'interface', etc. used below generally mean a computer-related entity, for example, hardware, hardware A combination of and software may mean software.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.Also, the terms "comprises" and/or "comprising" mean that the feature and/or element is present, but excludes the presence or addition of one or more other features, elements, and/or groups thereof. should be understood as not
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Also, terms including an ordinal number, such as first, second, etc., may be used to describe various elements, but the elements are not limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, a first component may be referred to as a second component, and similarly, a second component may also be referred to as a first component. and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.In addition, in the embodiments of the present invention, unless otherwise defined, all terms used herein, including technical or scientific terms, are generally understood by those of ordinary skill in the art to which the present invention belongs. have the same meaning as Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and unless explicitly defined in an embodiment of the present invention, an ideal or excessively formal meaning is not interpreted as
도 1은 본 발명의 일 실시예에 따른 사용자단말(1000)에 대한 통신 보안방법을 수행하기 위한 서버시스템(2000)을 개략적으로 도시한다.1 schematically shows a
도 1에 도시된 바와 같이, 서버시스템(2000)은 사용자단말(1000)과 유선 또는 무선 방식의 통신을 수행하기 위한 복수의 구성요소들을 포함하고, 상기 복수의 구성요소에는 인증검증부(2100), 인증제어부(2200), 게이트웨이(2300) 및 서비스서버(2400)가 해당될 수 있다.1, the
상기 인증검증부(2100) 및 상기 인증제어부(2200)는 사용자단말(1000)과 통신을 수행하여, 사용자단말(1000)을 검증하고, 상기 사용자단말(1000)이 정상적으로 검증된 경우에 상기 사용자단말(1000)이 상기 서버시스템(2000), 구체적으로는 상기 서비스서버(2400)와 통신을 수립할 수 있도록 제어한다. 즉, 상기 인증검증부(2100) 및 상기 인증제어부(2200)는 상기 사용자단말(1000)이 서버시스템(2000)과 서비스에 대한 데이터들을 주고받을 수 있도록 통신 채널을 수립할 수 있도록 사용자단말(1000)을 제어하는 역할을 수행한다.The
상기 서비스서버(2400)는 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 통신을 수행하여 상기 사용자단말(1000)의 사용자가 제공받고자 하는 서비스와 관련된 데이터들을 주고받을 수 있다. 한편, 상기 서버시스템(2000)은 복수의 서비스서버(2400.1 내지 2400.N)를 포함할 수 있고, 각각의 서비스서버(2400.1 내지 2400.N)는 사용자단말(1000)에 설치된 1 이상의 서비스어플리케이션(1200.1 내지 1200.N)과 통신을 수행하여 사용자에게 소정의 서비스를 제공할 수 있다.The service server 2400 may communicate with the
상기 게이트웨이(2300)는 사용자단말(1000)과 서비스서버(2400)의 통신을 중계하는 역할을 수행한다. 상기 게이트웨이(2300)는 복수의 서비스서버(2400.1 내지 2400.N)와 접속하여, 상기 사용자단말(1000)로부터 수신한 데이터에 따라 해당 데이터에 상응하는 서비스서버(2400)로 사용자단말(1000)의 데이터를 제공할 수 있다. 또한 상기 게이트웨이(2300)는 사용자단말(1000)이 서버시스템(2000)에 최초로 접속을 시도하는 경우에는 노출되지 않고, 사용자단말(1000)이 상기 인증검증부(2100) 및 상기 인증제어부(2200)를 통해 서비스서버(2400)와의 통신이 수립되는 경우에, 사용자단말(1000)은 상기 게이트웨이(2300)로 서비스서버(2400)와 통신하기 위한 데이터를 송신할 수 있다.The
한편, 본 발명의 다른 실시예에서 상기 서버시스템(2000)은 복수의 게이트웨이를 포함할 수 있고, 복수의 게이트웨이 각각은 1 이상의 서비스서버(2400)와 통신을 수행할 수 있다. 따라서, 사용자단말(1000)이 특정 서비스서버(2400)와 통신하고자 하는 경우에, 해당 서비스서버(2400)에 상응하는 게이트웨이로 데이터를 송신할 수 있다. 또한, 복수의 게이트웨이 가운데 특정 게이트웨이는 상기 사용자단말(1000)과 인증검증부(2100)와의 통신을 중계하여, 사용자단말(1000)과 서비스서버(2400)의 통신이 수립되기 위한 정보들을 중계할 수도 있다.Meanwhile, in another embodiment of the present invention, the
한편, 사용자단말(1000)은 에이전트어플리케이션(1100) 및 1 이상의 서비스어플리케이션(1200.1 내지 1200.N)을 포함한다.Meanwhile, the
상기 에이전트어플리케이션(1100)은, 상기 인증검증부(2100) 및 상기 인증제어부(2200)에 사용자단말(1000)의 서비스서버(2400)에 대한 접속 허가를 요청하기 위한 정보들을 도출하거나, 인증제어부(2200)에서 생성된 정책정보에 따라 해당 사용자단말(1000)이 정책정보에 부합하는지 판별할 수 있으며, 사용자단말(1000)에 설치된 운영체제(Operating System, OS)(1300)를 제어하여 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 서비스서버(2400)의 통신이 수립될 수 있도록 한다. 한편, 상기 에이전트어플리케이션(1100)은 도 1에서는 도시되지 않았으나, 상기 서버시스템(2000)에 포함되는 배포서버(미도시)를 통해 상기 사용자단말(1000)에 설치될 수도 있다.The
상기 서비스어플리케이션(1200)은 상응하는 서비스서버(2400)와 통신을 수행하여, 사용자에게 소정의 서비스를 제공할 수 있다. 한편, 상기 사용자단말(1000)이 서버시스템(2000)에 최초 접속하는 경우에 상기 서비스어플리케이션(1200)은 서비스서버(2400)와 통신을 수행할 수 없고, 상기 인증검증부(2100) 및 상기 인증제어부(2200)를 통해 사용자단말(1000)이 서비스서버(2400)에 접근할 수 있도록 허가되는 경우에, 상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)을 통해 상기 서비스어플리케이션(1200)은 상기 서비스서버(2400)와 통신을 수행할 수 있다.The
한편, 상기 서버시스템(2000)은 상기 서버시스템(2000)을 관리하는 관리자가 사용하는 관리자단말(3000)과 통신을 수행할 수 있고, 상기 관리자단말(3000)로부터 사용자단말(1000)의 서비스서버(2400)에 대한 접속을 허가 하기위한 1 이상의 정보들을 수신하고, 상기 1 이상의 정보들을 저장할 수 있다. 또한 상기 서버시스템(2000)은 접속이 허가된 1 이상의 사용자단말(1000)에 대한 정보와 같이, 상기 서버시스템(2000)의 상태에 대한 정보들을 상기 관리자단말(3000)로 송신할 수 있다.Meanwhile, the
즉, 본 발명에서 사용자단말(1000) 및 서버시스템(2000)은 두 가지 채널을 통해 통신을 수행할 수 있다. 구체적으로, 사용자단말(1000)이 에이전트어플리케이션(1100)을 통해 서버시스템(2000)에 최초로 접속하는 경우에, 상기 사용자단말(1000)은 인증검증부(2100)와의 통신 채널(도 1에서 점선으로 도시)을 통해 상기 사용자단말(1000)이 서비스서버(2400)에 접속할 수 있는 권한을 부여 받기 위한 일련의 통신을 수행할 수 있다. 그리고, 사용자단말(1000)이 권한을 부여받는 경우에, 사용자단말(1000)은 서비스서버(2400)와의 통신 채널(도 1에서 실선으로 도시)을 수립할 수 있고, 상기 통신 채널을 통해 서비스어플리케이션(1200)과 서비스서버(2400)는 사용자에게 서비스를 제공하기 위한 일련의 통신을 수행할 수 있다.That is, in the present invention, the
따라서, 사용자단말(1000)은 서비스서버(2400)와의 접속이 허가된 경우에만 해당 서비스서버(2400)와 통신을 수립할 수 있으므로, 본 발명의 서버시스템(2000)은 서비스서버(2400)에 대한 접근 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.Therefore, since the
도 2는 본 발명의 일 실시예에 따른 인증검증단계 및 인증토큰제공단계의 수행과정들을 개략적으로 도시한다.2 schematically shows the steps of performing an authentication verification step and an authentication token providing step according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)과 통신을 수행하는 서버시스템(2000)에서 수행되는 사용자단말(1000)에 대한 통신 보안방법으로서, 상기 서버시스템(2000)은 인증검증부(2100) 및 인증제어부(2200)를 포함하고, 상기 인증검증부(2100)에 의하여, 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부(2200)로 송신하는 인증검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말(1000)에 제공하는 인증토큰제공단계;를 포함할 수 있고, 상기 인증정보는, 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말(1000)의 사용자에 대한 사용자정보를 포함하고, 상기 인증검증단계는, 상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(2200)로 송신하고, 상기 인증토큰제공단계는, 상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템(2000)에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말(1000)에 제공할 수 있다.As shown in FIG. 2, as a communication security method for a
구체적으로, 상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)을 사용자가 실행하여, 사용자는 상기 에이전트어플리케이션(1100)을 통해 사용자정보를 입력하고, 사용자단말(1000)은 사용자의 사용자정보 입력을 수신(S10)할 수 있다. 한편, 상기 사용자정보는 상기 사용자단말(1000)을 사용하는 사용자를 식별할 수 있는 다양한 정보 가운데 하나에 해당할 수 있다. 예를 들어 상기 사용자정보는 ID/PW 정보에 해당하거나, 지문정보와 같이 사용자 고유의 생체정보에 해당할 수 있다.Specifically, the user executes the
한편, 상기 에이전트어플리케이션(1100)은 입력받은 사용자정보를 포함하는 인증정보를 도출(S11)한다. 구체적으로 상기 인증정보는 상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자정보를 포함한다.Meanwhile, the
상기 서버시스템의 식별정보는 서버시스템(2000)의 내부에서 구현되는 네트워크에 대한 식별정보에 해당할 수 있다. 예를 들어, 상기 서버시스템(2000)이 기업 내의 네트워크를 구현하는 경우에, 상기 서버시스템의 식별정보는 해당 기업에 대한 ID와 같이, 해당 기업에 대한 식별정보에 해당할 수도 있다. 상기 사용자단말의 식별정보는 사용자가 사용하는 사용자단말(1000)을 식별하기 위한 고유정보에 해당할 수 있고, 상기 사용자단말의 식별정보는 해당 사용자단말(1000)의 MAC주소(Media Access Control Address) 또는 iOS에서 제공하는 Unique Device Identifier(UDID)와 같이, 사용자단말(1000)에 대한 고유정보에 해당할 수 있다. 한편, 상기 서버시스템의 식별정보 및 상기 사용자단말의 식별정보는 상기 사용자단말(1000)의 메모리에 기 저장될 수 있다.The identification information of the server system may correspond to identification information on a network implemented inside the
한편, 상기 인증정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 상기 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 사용자단말의 식별정보 및 상기 사용자정보를 포함할 수 있다. 이와 같이 상기 에이전트어플리케이션(1100)은 생성한 인증정보를 상기 인증검증부(2100)로 송신(S12)한다.Meanwhile, the authentication information may be generated in the form of packet data including a header and a body, the header may include identification information of the server system, and the body may include identification information of the user terminal and the user information. . In this way, the
상기 인증검증부(2100)는 인증검증단계를 수행하여 사용자단말(1000)로부터 수신한 인증정보를 검증(S13)한다. 구체적으로 인증검증단계는, 상기 인증정보의 헤더에 포함된 상기 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증(S13)한다. 상기 인증검증부(2100)는 수신한 인증정보를 검증하기 위하여 자신이 포함된 서버시스템의 식별정보를 저장할 수 있다.The
한편, 상기 인증검증단계에서 수신한 인증정보가 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부(2200)로 송신(S14)하고, 만약 상기 인증정보가 유효한 것으로 검증되지 않는 경우, 즉, 상기 인증정보에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하지 않는 경우, 수신한 인증정보를 버리거나(drop), 상기 인증정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 인증정보의 검증결과를 송신할 수 있다.On the other hand, when the authentication information received in the authentication verification step is verified as valid, the authentication information is transmitted to the authentication control unit 2200 (S14), and if the authentication information is not verified as valid, that is, the When the identification information of the server system included in the authentication information does not match the identification information of the server system including the
한편, 상기 인증제어부(2200)는 인증토큰제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 인증정보의 바디를 검증(S15)하고, 검증결과에 따라 상기 사용자단말(1000)의 서비스어플리케이션(1200)과 서비스서버(2400)의 통신을 수립할 수 있는 인증토큰을 생성(S16)할 수 있다.On the other hand, the
구체적으로, 상기 인증토큰제공단계는 수신한 상기 인증정보의 바디에 포함된 사용자단말의 식별정보 및 사용자정보를 검증한다. 이를 위하여, 상기 인증토큰제공단계는 상기 인증제어부(2200) 또는 상기 서버시스템(2000)에 포함된 데이터베이스에 상기 사용자단말의 식별정보 및 상기 사용자정보가 저장되어 있는지 판별한다. 본 발명의 일 실시예에서 상기 데이터베이스에 저장되는 사용자단말의 식별정보 및 사용자정보는 상술한 관리자단말(3000)을 통해 수신할 수 있다. 또한 본 발명의 다른 실시예에서는 상기 에이전트어플리케이션(1100)을 통해 사용자단말(1000)의 사용자가 사용자등록과 같은 절차를 수행함에 따라 상기 데이터베이스에 상기 사용자단말의 식별정보 및 상기 사용자정보가 자동적으로 저장될 수도 있다.Specifically, the authentication token providing step verifies identification information and user information of the user terminal included in the body of the received authentication information. To this end, the authentication token providing step determines whether the identification information of the user terminal and the user information are stored in the database included in the
한편, 상기 인증토큰제공단계는 인증정보를 검증(S15)하여, 해당 인증정보가 유효한 것으로 검증된 경우에 인증토큰을 생성(S16)하고, 생성한 인증토큰을 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S17 및 S18)한다. 상기 인증토큰제공단계를 통해 생성된 인증토큰은 사용자단말(1000)이 인증되었음을 의미하며, 이후 사용자단말(1000)은 상기 인증검증부(2100)로 데이터를 송신하는 경우에 인증토큰을 포함하여 송신하며, 상기 인증검증부(2100)는 인증토큰을 확인하는 것으로 해당 데이터를 상기 인증제어부(2200)에 제공하게 된다.On the other hand, the authentication token providing step verifies the authentication information (S15), generates an authentication token (S16) when the corresponding authentication information is verified as valid, and uses the generated authentication token through the
또한 상기 인증토큰을 수신한 인증검증부(2100)는 상기 인증토큰을 저장하여, 이후에 상기 에이전트어플리케이션(1100)으로부터 수신하는 데이터에 포함된 인증토큰을 검증할 수 있고, 상기 사용자단말(1000) 또한 제공받은 인증토큰을 저장(S19)하고, 이후에 상기 인증검증부(2100)로 데이터를 송신함에 있어서, 상기 데이터에 저장된 인증토큰을 포함시킬 수 있다.In addition, the
이와 같이, 인증검증부(2100)는 사용자단말(1000)에서 인증제어부(2200)로 송신하고자 하는 데이터들의 유효성을 검증하여, 유효한 것으로 검증된 데이터만을 상기 인증제어부(2200)로 제공하므로, 상기 인증제어부(2200)에 대한 보안이 향상될 수 있고, 상기 인증제어부(2200)의 부하를 줄일 수 있다.In this way, the
한편, 상기 인증토큰제공단계에서 생성된 인증토큰을 사용자단말(1000)이 수신하는 것으로 상기 사용자단말(1000)의 에이전트어플리케이션(1100)에서 인증정보가 정상적으로 검증된 것으로 판단할 수 있으나, 본 발명의 다른 실시예에서 상기 인증토큰제공단계는 인증토큰과 함께 인증정보에 대한 검증이 정상적으로 이루어졌음을 의미하는 인증결과정보를 상기 사용자단말(1000)에 제공할 수도 있다.On the other hand, when the
도 3은 본 발명의 일 실시예에 따른 정책요청정보검증단계 및 정책정보제공단계의 수행과정들을 개략적으로 도시한다.FIG. 3 schematically illustrates the execution processes of the policy request information verification step and the policy information providing step according to an embodiment of the present invention.
도 3에 도시된 바와 같이, 상기 통신 보안방법은, 상기 인증검증부(2100)에 의하여, 상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말(1000)로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부(2200)로 송신하는 정책요청정보검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말(1000) 및 상기 사용자단말(1000)의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말(1000)에 상기 정책정보를 제공하는 정책정보제공단계;를 포함할 수 있다.As shown in FIG. 3 , in the communication security method, after the authentication token providing step is performed by the
구체적으로, 상기 인증토큰을 제공받은 사용자단말(1000)은, 곧바로 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 상기 서버시스템(2000)에 포함된 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 상기 인증검증부(2100)로 송신할 수 있으나, 바람직하게는 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)이 상기 서비스서버(2400)와 접속할 수 있는 상태인지를 판별하기 위한 정책요청정보를 상기 인증검증부(2100)로 송신하고, 상기 인증검증부(2100) 및 상기 인증제어부(2200)는 정책요청정보검증단계 및 정책정보제공단계를 통해 상기 사용자단말(1000)에 상응하는 정책정보를 도출하여 상기 사용자단말(1000)에 제공한다.Specifically, the
이를 위해, 상기 에이전트어플리케이션(1100)은 인증토큰을 제공받은 후에 상기 인증토큰을 포함하는 정책요청정보를 생성(S20)하고, 상기 정책요청정보를 상기 인증검증부(2100)로 송신(S21)한다. 한편, 상기 정책요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.To this end, the
한편, 상기 인증검증부(2100)는 정책요청정보검증단계를 수행하여 상기 사용자단말(1000)로부터 수신한 정책요청정보를 검증(S22)한다. 구체적으로 정책요청정보검증단계는, 상기 정책요청정보의 헤더에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 정책요청정보의 바디에 포함된 인증토큰이 상기 서버시스템(2000)에 포함된 인증제어부(2200)에서 생성한 인증토큰에 해당하는지 여부를 검증(S22)한다.Meanwhile, the
이어서, 상기 정책요청정보검증단계에서 수신한 정책요청정보가 유효한 것으로 검증된 경우에 상기 정책요청정보검증단계는 상기 정책요청정보를 상기 인증제어부(2200)로 송신(S23)하고, 만약 상기 정책요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 정책요청정보를 버리거나(drop), 상기 정책요청정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 정책요청정보에 대한 검증결과를 송신할 수 있다.Next, when the policy request information received in the policy request information verification step is verified as valid, the policy request information verification step transmits the policy request information to the authentication control unit 2200 (S23), and if the policy request If the information is not verified as valid, the received policy request information is dropped, or the verification result for the policy request information can be transmitted to the
한편, 상기 인증제어부(2200)는 정책정보제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 정책요청정보에 상응하는 정책정보를 도출(S24)한다. 구체적으로, 상기 정책정보제공단계는 서버시스템(2000)에 포함된 데이터베이스에 저장된 1 이상의 정책정보 가운데 상기 정책요청정보에 상응하는 정책정보를 도출(S24)한다. 이를 위해 관리자는 상기 관리자단말(3000)을 통해 사용자단말(1000)의 유형 및/또는 사용자의 유형에 따른 1 이상의 정책정보를 입력할 수 있고, 상기 서버시스템(2000)은 관리자가 입력한 1 이상의 정책정보를 데이터베이스에 저장할 수 있다.Meanwhile, the
본 발명의 다른 실시예에서 상기 사용자단말(1000)의 유형은 데스크탑, 스마트폰 및 태블릿 PC와 같은 사용자단말(1000)의 종류에 해당할 수 있고, 상기 사용자의 유형은 상기 서버시스템(2000)이 기업에서 운영하는 경우에, 사용자의 직급 및/또는 부서에 해당할 수도 있다.In another embodiment of the present invention, the type of the
이어서, 상기 정책정보제공단계는 도출한 정책정보를 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S25 및 S26)한다. 상기 에이전트어플리케이션(1100)은 수신한 정책정보에 따라 상기 사용자단말(1000)의 상태를 판단(S27)하며, 상기 정책정보에 부합하는 것으로 판단하는 경우에 상기 인증검증부(2100)에 상기 사용자단말(1000)의 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 요청하게 된다.Next, in the policy information providing step, the derived policy information is transmitted (S25 and S26) to the
도 4는 본 발명의 일 실시예에 따른 사용자단말(1000)에 제공하는 정책정보를 개략적으로 도시한다.4 schematically shows policy information provided to the
도 4에 도시된 바와 같이, 정책정보는 1 이상의 정책들을 포함하고, 상기 라우팅요청정보검증단계는, 상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말(1000)의 에이전트어플리케이션(1100)에서 해당 사용자단말(1000)이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말(1000)로부터 상기 라우팅요청정보를 수신할 수 있다.As shown in FIG. 4 , the policy information includes one or more policies, and the routing request information verification step is performed in the
구체적으로, 도 4에 도시된 바와 같이 정책정보는 1 이상의 정책들을 포함하고, 상기 정책정보는 사용자단말(1000)의 유형 및/또는 사용자의 유형에 따라 상이한 정책들을 포함할 수 있으며, 상기 정책정보는 관리자가 설정할 수 있다.Specifically, as shown in FIG. 4 , the policy information includes one or more policies, and the policy information may include different policies according to the type of the
상기 정책정보는 사용자단말(1000)이 서버시스템(2000), 구체적으로는 서비스서버(2400)에 접속하는 데 있어서 사용자단말(1000)의 상태를 확인하기 위한 정보에 해당할 수 있다. 예를 들어, 상기 정책정보는 사용자단말에 1 이상의 백신소프트웨어의 설치여부에 대한 정책, 사용자단말에 방화벽의 설정여부에 대한 정책, 사용자단말의 운영체제의 최신 업데이트 여부에 대한 정책, 사용자단말에 블랙리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 및 사용자단말에 화이트리스트에 포함된 1 이상의 소프트웨어의 설치여부에 대한 정책 등을 포함할 수 있다.The policy information may correspond to information for confirming the state of the
한편, 상기 에이전트어플리케이션(1100)은 상기 인증제어부(2200)로부터 제공받은 정책정보에 기초하여 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)이 상기 정책정보에 포함된 1 이상의 정책에 부합하는지 여부를 판단할 수 있다. 이를 위하여 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)의 운영체제(1300)의 내부에 접근할 수 있는 권한이 부여될 수 있다.On the other hand, the
이에 따라, 상기 에이전트어플리케이션(1100)이 제공받은 정책정보에 해당 사용자단말(1000)이 부합하는 것으로 판별한 경우에, 상기 에이전트어플리케이션(1100)은 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 상기 서비스어플리케이션(1200)에 상응하는 서비스서버(2400)와의 통신을 수립하기 위한 라우팅정보를 상기 인증검증부(2100)에 요청할 수 있다.Accordingly, when it is determined that the
반면에, 상기 에이전트어플리케이션(1100)이 해당 사용자단말(1000)이 제공받은 정책정보에 부합하지 않는 것으로 판별한 경우에, 상기 에이전트어플리케이션(1100)은 상기 라우팅정보를 상기 인증검증부(2100)에 요청하지 않는다. 또한, 부가적으로 상기 에이전트어플리케이션(1100)은 정책정보에 부합하지 않음을 해당 사용자단말(1000)에 디스플레이 하거나, 상기 서버시스템(2000)에 포함된 배포서버(미도시)와 통신을 수행하여 상기 정책정보에 부합하기 위한 1 이상의 소프트웨어를 사용자단말(1000)에 설치하거나, 사용자단말(1000)에 설치된 블랙리스트에 포함된 소프트웨어를 제거하는 등의 동작을 수행하여 상기 사용자단말(1000)이 제공받은 정책정보에 부합되도록 하는 일련의 과정을 수행할 수도 있다.On the other hand, when it is determined that the
이와 같이, 본 발명의 일 실시예에서 서버시스템(2000)은 사용자단말(1000)이 인증토큰을 제공받는 경우에, 즉시 서비스어플리케이션(1200)과 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 제공하는 것이 아니라, 사용자단말(1000) 및 사용자에 상응하는 정책정보를 에이전트어플리케이션(1100)에 제공하고, 에이전트어플리케이션(1100)에서 사용자단말(1000)이 정책정보에 부합하는 것으로 판별한 경우에만 라우팅정보를 요청할 수 있도록 하므로, 보안에 위협이 되는 요소들을 포함하는 사용자단말(1000)이 서비스서버(2400)에 접속하는 것을 미연에 방지할 수 있는 효과를 발휘할 수 있다.As such, in an embodiment of the present invention, the
한편, 본 발명의 다른 실시예에서 상기 정책정보에 따라 상기 에이전트어플리케이션(1100)이 해당 사용자단말(1000)이 상기 정책정보에 부합하는지 판별하는 과정은 상기 에이전트어플리케이션(1100)에서 라우팅정보를 요청하기 위하여 수행되는 것뿐만 아니라, 라우팅정보에 따라 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신이 수립된 후에도 상기 과정이 수행될 수 있고, 해당 사용자단말(1000)이 상기 정책정보에 부합하지 않는 것으로 판별되는 경우에 수립된 통신 채널은 끊어질 수 있다.On the other hand, in another embodiment of the present invention, the process of determining whether the
도 5는 본 발명의 일 실시예에 따른 라우팅요청정보검증단계 및 라우팅정보제공단계를 개략적으로 도시한다.5 schematically shows a routing request information verification step and a routing information providing step according to an embodiment of the present invention.
도 5에 도시된 바와 같이, 상기 통신 보안방법은, 상기 인증검증부(2100)에 의하여, 상기 인증토큰을 제공받은 사용자단말(1000)로부터 수신한 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부(2200)로 송신하는 라우팅요청정보검증단계; 및 상기 인증제어부(2200)에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말(1000)에 제공하는 라우팅정보제공단계;를 포함하고, 상기 라우팅요청정보는, 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하고, 상기 라우팅요청정보검증단계는, 상기 라우팅요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하고, 유효한 것으로 검증된 경우에 상기 라우팅요청정보를 상기 인증제어부(2200)로 송신하고, 상기 라우팅정보제공단계는, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스서버의 주소정보 및 상기 서비스어플리케이션(1200)과 상기 서비스서버(2400)의 통신을 중계하는 게이트웨이의 주소정보를 포함하는 라우팅정보를 도출하여 상기 사용자단말(1000)에 상기 라우팅정보를 제공할 수 있다.As shown in FIG. 5 , in the communication security method, the
구체적으로, 상술한 바와 같이 상기 에이전트어플리케이션(1100)에서 사용자단말(1000)이 정책정보에 부합하는 것으로 판별한 경우에, 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 이에 상응하는 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 요청하는 라우팅요청정보를 생성(S30)하고, 상기 라우팅요청정보를 상기 인증검증부(2100)로 송신(S31)한다. 한편, 상기 라우팅요청정보는 헤더 및 바디를 포함하는 패킷데이터 형태로 생성되며, 상기 헤더는 서버시스템의 식별정보를 포함하고, 상기 바디는 상기 인증토큰을 포함할 수 있다.Specifically, when it is determined that the
한편, 상기 인증검증부(2100)는 라우팅요청정보검증단계를 수행하여 상기 사용자단말(1000)로부터 수신한 라우팅요청정보를 검증(S32)한다. 구체적으로, 상기 라우팅요청정보검증단계는, 상기 라우팅요청정보의 헤더에 포함된 서버시스템의 식별정보가 상기 인증검증부(2100)가 포함된 서버시스템의 식별정보와 일치하는지 여부를 검증하고, 상기 라우팅요청정보의 바디에 포함된 인증토큰이 상기 서버시스템(2000)에 포함된 인증제어부(2200)에서 생성한 인증토큰에 해당하는지 여부를 검증(S32)한다.On the other hand, the
이어서, 상기 라우팅요청정보검증단계에서 수신한 라우팅요청정보가 유효한 것으로 검증된 경우에 상기 라우팅요청정보검증단계는 상기 라우팅요청정보를 상기 인증제어부(2200)로 송신(S33)하고, 만약 상기 라우팅요청정보가 유효한 것으로 검증되지 않은 경우에는 수신한 라우팅요청정보를 버리거나(drop), 상기 라우팅요청정보를 송신한 사용자단말(1000)의 에이전트어플리케이션(1100)으로 라우팅요청정보에 대한 검증결과를 송신할 수 있다.Subsequently, when the routing request information received in the routing request information verification step is verified as valid, the routing request information verification step transmits the routing request information to the authentication control unit 2200 (S33), and if the routing request If the information is not verified as valid, the received routing request information is dropped, or the verification result for the routing request information can be transmitted to the
한편, 상기 인증제어부(2200)는 라우팅정보제공단계를 수행하여 상기 인증검증부(2100)로부터 수신한 라우팅요청정보에 기초하여 사용자단말(1000)에 설치된 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 라우팅정보를 도출(S34)한다. 구체적으로, 상기 라우팅정보제공단계에서 도출하는 라우팅정보는 통신을 수립하고자 하는 서비스서버의 주소정보 및 통신을 수립하고자 하는 서비스서버(2400) 및 서비스어플리케이션(1200)의 통신을 중계하는 게이트웨이의 주소정보를 포함할 수 있다.On the other hand, the
이어서, 상기 라우팅정보제공단계는 도출한 라우팅정보를 상기 인증검증부(2100)를 통해 상기 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)로 송신(S35 및 S36)한다. 한편, 상기 에이전트어플리케이션(1100)은 수신한 라우팅정보에 기초하여 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 해당하는 게이트웨이(2300)를 경유하는 서비스어플리케이션(1200) 및 서비스서버(2400)의 통신을 수립하기 위한 경로(라우팅)를 설정(S37)할 수 있다.Next, the routing information providing step transmits the derived routing information to the
도 6은 본 발명의 일 실시예에 따른 사용자단말(1000)에서 라우팅정보에 따라 서비스어플리케이션(1200)의 통신을 수립하는 과정을 개략적으로 도시한다.6 schematically illustrates a process of establishing communication of a
도 6에 도시된 바와 같이, 상기 라우팅정보제공단계를 통해 상기 사용자단말(1000)에 제공되는 라우팅정보는, 상기 에이전트어플리케이션(1100)에서 상기 사용자단말(1000)에 설치된 운영체제(Operating System)(1300)로 하여금 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)가 상기 게이트웨이(2300)를 통해 통신을 수행하도록 상기 운영체제(1300)의 커널(kernel)을 제어하도록 할 수 있다.As shown in FIG. 6 , the routing information provided to the
구체적으로, 상기 에이전트어플리케이션(1100)은 상기 라우팅정보제공단계를 통해 제공받은 라우팅정보에 기초하여, 상기 사용자단말(1000)에 설치된 운영체제(1300)에 포함되는 커널을 제어함으로써, 서비스어플리케이션(1200) 및 서비스서버(2400)가 게이트웨이(2300)를 통해 통신을 수행할 수 있도록 라우팅 될 수 있다.Specifically, the
상기 커널은 서비스어플리케이션(1200)의 수행에 필요한 다양한 서비스를 제공하고, 사용자단말(1000)의 하드웨어를 제어하여 타 사용자단말과의 네트워킹을 제공할 수 있으며, 이에 따라 상기 에이전트어플리케이션(1100)은 상기 운영체제(1300)의 커널을 제어할 수 있는 권한이 부여될 수 있다.The kernel provides a variety of services required to perform the
따라서, 상기 에이전트어플리케이션(1100)은, 서비스어플리케이션(1200)이 상기 라우팅정보에 포함된 게이트웨이의 주소정보에 상응하는 게이트웨이(2300)를 통해 상기 라우팅정보에 포함된 서비스서버의 주소정보에 상응하는 서비스서버(2400)와 통신이 수립되도록 상기 커널을 제어한다.Accordingly, the
이와 같이, 라우팅정보에 따라 통신이 수립된 채널을 통해서만 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)가 통신을 수행할 수 있으며, 상기 서비스어플리케이션(1200)은 상기 채널을 통해 특정 서비스서버(2400)에 대해서만 통신을 할 수 있으므로, 상기 서버시스템(2000)에 포함된 타 구성요소와의 불필요한 통신을 미연에 차단할 수 있으므로 상기 서버시스템(2000)의 보안을 향상시킬 수 있는 효과를 발휘할 수 있다.In this way, the
한편, 본 발명의 다른 실시예에서 상기 서비스어플리케이션(1200) 및 상기 서비스서버(2400)의 통신이 수립되는 경우에 해당 통신 채널은 암호화되어, 해당 채널을 통해 송수신하는 데이터의 보안을 향상시킬 수 있으며, 암호화 방식은 전송 계층 보안(Transport Layer Security, TLS) 프로토콜 등과 같이 다양한 암호화 방식을 사용할 수 있다. 또한, 상기 통신 채널에서 암호화되는 구간은 상기 서비스어플리케이션(1200) 및 상기 게이트웨이(2300) 사이의 구간에만 해당할 수도 있다.On the other hand, in another embodiment of the present invention, when communication between the
도 7은 본 발명의 일 실시예에 따른 에이전트어플리케이션(1100)의 내부구성을 개략적으로 도시한다.7 schematically shows the internal configuration of an
도 7에 도시된 바와 같이 상기 에이전트어플리케이션(1100)은 네트워크제어모듈(1110)과 경로설정모듈(1120)을 포함할 수 있다. 한편, 본 발명의 설명을 위해 도 7에서 상기 네트워크제어모듈(1110)과 상기 경로설정모듈(1120)만 도시했을 뿐, 도 7에 도시된 것만이 상기 에이전트어플리케이션(1100)의 모든 내부구성을 도시하지는 않는다.As shown in FIG. 7 , the
또한, 상술한 도 1 내지 도 6에 대한 설명은 상기 통신 보안방법에서의, 경로설정단계(미도시)에서의 서술이다. 상기 경로설정단계는 후술할 네트워크제어모듈(1110)에서의 수행단계 이후에 에이전트어플리케이션(1100)이 설치된 사용자단말(1000) 및 사용자단말(1000)과 통신을 수행하는 서버시스템(2000)에서 수행되는 통신 보안방법에서 수행되는 단계이다.In addition, the description of the above-described FIGS. 1 to 6 is a description in the path setting step (not shown) in the communication security method. The path setting step is performed in the
구체적으로, 상기 에이전트어플리케이션(1100)은 사용자단말(1000)에 설치되어 가장 우선적으로 실행될 수 있으며, 상기 에이전트어플리케이션(1100)의 실행여부는 상기 사용자단말(1000)을 사용하는 사용자의 의사와 상관없이 사용자단말(1000)의 부팅이 완료됨과 동시에 실행될 수 있다. Specifically, the
상기 에이전트어플리케이션(1100)은 네트워크제어모듈(1110)과 경로설정모듈(1120)을 포함하며, 상기 에이전트어플리케이션(1100)이 실행될 때 네트워크제어모듈(1110)이 경로설정모듈(1120)보다 먼저 실행될 수 있다. 상기 네트워크제어모듈(1110)에서는 사용자단말(1000)의 화면을 제어하고, 접속한 위치를 파악하여, 사용자단말(1000)의 네트워크연결을 제어할 수 있다. 이를 통해, 예를 들어, 공격자가 사용자단말(1000)과 연결된 외부네트워크 혹은 상기 사용자단말(1000)에 설치된 제3 어플리케이션(미도시)을 통해 서버시스템(2000)으로 침입하려는 경우, 상기 네트워크제어모듈(1110)에서 수행되는 사용자단말(1000)제어로 상기 침입과 같은 공격을 미리 방어할 수 있다. 상기 제3 어플리케이션이란 상기 사용자단말(1000)에 설치된 어플리케이션 중 에이전트어플리케이션(1100)과 서비스어플리케이션(1200)을 제외한 어플리케이션을 말한다.The
상기 경로설정모듈(1120)에서는 상술한 바와 같이, 상기 서버시스템(2000) 내부에 있는 인증검증부(2100) 및 인증제어부(2200)와의 통신을 통해, 상기 사용자단말(1000)에 대한 서버시스템(2000)의 인증을 검증하고, 게이트웨이주소를 포함하는 라우팅정보를 송수신하여, 상기 서비스서버(2400)와 상기 사용자단말(1000)의 서비스어플리케이션(1200)과의 연결을 가능하게 할 수 있다. 상기 경로설정모듈(1120)에서의 수행을 통해, 상기 서버시스템(2000)에서 승인되어 라우팅정보를 받은 사용자단말(1000)에 대해서만 상기 서버시스템(2000)으로의 접속을 허용하기 때문에, 종래의 보안방식에 비해 더 향상된 보안을 기대할 수 있다.In the
도 8은 본 발명의 일 실시예에 따른 네트워크제어모듈(1110)의 수행단계를 개략적으로 도시한다.8 schematically shows the execution steps of the
도 8에 도시된 바와 같이, 에이전트어플리케이션(1100)이 설치된 사용자단말(1000) 및 사용자단말(1000)과 통신을 수행하는 서버시스템(2000)에서 수행되는 통신 보안방법으로서, 상기 서버시스템(2000)은 인증검증부(2100) 및 인증제어부(2200)를 포함하고, 상기 사용자단말(1000)에서는 네트워크제어모듈(1110) 및 경로설정모듈(1120)을 포함하는 에이전트어플리케이션(1100)이 설치되어 있고, 상기 네트워크제어모듈(1110)은, 사용자에게 외부네트워크에서의 접속인지 혹은 내부네트워크에서의 접속인지를 선택하는 인터페이스를 제공하고, 사용자단말(1000)의 화면제어를 시작하는 초기화면표시단계(S40); 상기 초기화면표시단계(S40)에서 외부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말(1000)은 상기 인증검증부(2100)를 제외한 외부의 네트워크로의 접속을 모두 차단하는 외부네트워크모드설정단계(S41); 상기 초기화면표시단계(S40)에서 내부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말(1000)은 상기 인증검증부(2100) 및 외부의 네트워크로의 접속을 모두 허용하는 내부네트워크모드설정단계(S42); 및 상기 외부네트워크모드설정단계(S41) 혹은 상기 내부네트워크모드설정단계(S42) 이후, 상기 화면제어를 종료하는 화면제어종료단계(S43);를 수행하고, 상기 경로설정모듈(1120)은 상기 사용자단말(1000)에 설치된 서비스어플리케이션(1200)과 상기 서버시스템(2000) 내부의 서비스서버(2400)의 통신이 수립되기 위한 라우팅을 상기 인증검증부(2100)에 요청하고, 상기 인증검증부(2100)로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션(1200)의 라우팅경로정보를 설정하는 경로설정단계를 수행할 수 있으며, 상기 화면표시단계(S40)에서는,사용자단말(1000)에 대한 모든 네트워크 연결을 차단하고, 상기 초기화면표시단계(S40)에서 수행되는 상기 화면제어는, 사용자단말(1000)에 표시되는 인터페이스에 대한 동작 외에 어떠한 동작도 허용하지 않을 수 있다.As shown in FIG. 8, as a communication security method performed in a
개략적으로, 도 8에 도시된 바와 같이, 네트워크제어모듈(1110)에서의 수행단계는 상기 사용자단말(1000)의 부팅이 완료된 후, 에이전트어플리케이션(1100)이 실행되었을 때부터 상기 사용자단말(1000)에 대한 화면제어종료까지의 수행과정을 도시한다. Schematically, as shown in FIG. 8 , the performing step in the
구체적으로, 처음 에이전트어플리케이션(1100)이 실행되면, 상기 네트워크제어모듈(1110)은 사용자단말(1000)의 디스플레이를 통해, 내부네트워크에서의 접속인지, 외부네트워크에서의 접속인지 선택할 수 있는 인터페이스를 표시하고, 사용자단말(1000)의 화면을 제어할 수 있는 초기화면표시단계(S40)가 수행된다. Specifically, when the
상기 초기화면표시단계(S40)에서는 상기 사용자단말(1000)에 대한 모든 네트워크연결을 허용하지 않고, 상기 사용자단말(1000)에 설치된 제3 어플리케이션 또한 실행할 수 없으며, 상기 에이전트어플리케이션(1100)을 강제로 종료하는 것도 불가능하다. 상기 네트워크모듈에서는, 상기 인터페이스를 통해 외부네트워크에서의 접속을 선택하면 외부네트워크모드설정단계(S41)를 수행할 수 있고, 혹은 상기 인터페이스를 통해 내부네트워크에서의 접속을 선택하면 내부네트워크모드설정단계(S42)를 수행할 수 있다. In the initial screen display step (S40), all network connections to the
상기 외부네트워크모드설정단계(S41)에서는, 사용자단말(1000)이 서버시스템(2000) 외부에서 접속하려고 할 때 수행되는 단계로서, 상기 서버시스템(2000) 내부의 인증검증부(2100) 및 인증제어부(2200)를 통해 상기 사용자단말(1000)이 외부에서 접속되었는지 판단할 수 있다. 외부네트워크모드설정단계(S41)에 진입하면, 화면제어를 통해 차단되었던 모든 네트워크 중에 상기 인증검증부(2100)와의 연결만을 허용하여, 상기 사용자단말(1000)의 접속위치를 판단할 수 있다. The external network mode setting step (S41) is a step performed when the
상기 내부네트워크모드설정단계(S42)에서는, 사용자단말(1000)이 서버시스템(2000) 내부에서 접속하려고 할 때 수행되는 단계로서, 상기 서버시스템(2000) 내부의 인증제어부(2200)를 통해 상기 사용자단말(1000)이 내부에서 접속되었는지 판단할 수 있다. 상기 인증제어부(2200)는 외부네트워크와는 완전히 분리된 부분으로서, 상기 서버시스템(2000) 내부에서만 접속할 수 있다. 만약 상기 사용자단말(1000)이 외부에서 접속한 경우, 외부시스템과 완전히 분리된 상기 인증제어부(2200)와 직접적인 통신이 불가능하므로, 이와 같은 방식을 통해 상기 사용자단말(1000)의 접속위치를 판단할 수 있다. 한편, 상기 사용자단말(1000)의 접속위치가 내부임이 확인된 경우, 상기 초기화면표시단계(S40)에서 수행된 네트워크 차단이 해제되고, 상기 사용자단말(1000)은 외부네트워크와의 통신이 가능하다. The internal network mode setting step (S42) is a step performed when the
상기 화면제어종료단계(S43)에서는, 상기 외부네트워크모드설정단계(S41) 또는 내부네트워크모드설정단계(S42)에서 상기 사용자단말(1000)의 접속위치가 파악된 후 화면제어를 종료하는 단계이다. 상기 화면제어종료단계(S43)에서는 상기 사용자단말(1000)에 대한 화면제어를 종료하고, 상기 인증검증부(2100)와의 통신을 통해 사용자단말(1000)에 대한 검증 후, 상기 서버시스템(2000)내부의 서비스서버(2400)와 통신할 수 있다. 한편, 상기 사용자단말(1000)기가 외부에서 접속한 경우에는, 화면제어가 종료되더라도, 상기 사용자단말(1000)에 대한 외부네트워크와의 차단은 유지된 채, 상기 인증검증부(2100) 및 게이트웨이(2300)와의 통신만을 허용할 수 있고, 도 9에서는 도시되지 않은, 상기 사용자단말(1000)에 설치된 어플리케이션 중 에이전트어플리케이션(1100)과 서비스어플리케이션(1200)을 제외한 어플리케이션인 제3 어플리케이션의 실행도 제한될 수 있다. In the screen control termination step (S43), the screen control is terminated after the connection location of the
도 9는 본 발명의 일 실시예에 따른 외부에서 접속한 사용자단말(1000)이 연결가능한 네트워크를 개략적으로 도시한다.9 schematically shows a network connectable to a
개략적으로, 도 9의 (a)에서는 상기 초기화면단계(S40)에서 화면제어가 시작된 후, 상기 외부네트워크모드설정단계(S41)에서의 사용자단말(1000)과 서버시스템(2000) 및 외부네트워크(4000)와의 연결상태를 도시하고, 도 9의 (b)에서는 화면제어종료단계(S43) 이후의, 사용자단말(1000)과 서버시스템(2000) 및 외부네트워크(4000)와의 연결상태를 도시한다. Schematically, in Fig. 9(a), after the screen control is started in the initial screen step S40, the
구체적으로, 도 9의 (a)에서는, 상기 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)과 상기 서버시스템(2000) 내의 인증검증부(2100)와만 연결이 허용되고, 외부네트워크(4000)를 비롯한 모든 네트워크와의 연결은 허용되지 않을 수 있다. 이 때 도 9의 (a)는 상기 에이전트어플리케이션(1100)의 네트워크모듈과 상기 인증검증부(2100)와 연결되는 것으로, 상기 에이전트어플리케이션(1100)의 경로설정모듈(1120)을 통한 상기 인증검증부(2100)와의 통신은 연결되지 않을 수 있다. 상기 경로설정모듈(1120)과 상기 인증검증부(2100)와의 통신이 이루어지지 않았기 때문에, 상기 사용자단말(1000)은 라우팅경로정보를 수신 받지 않아 상기 사용자단말(1000) 내의 서비스어플리케이션(1200)과 상기 서버시스템(2000) 내의 서비스서버(2400)와의 통신은 불가능하다. 도 9의 (a)가 보여지는 단계에서 상기 서버시스템(2000)은 상기 사용자단말(1000)이 외부에서 접속한 지를 판단할 수 있다.Specifically, in FIG. 9 (a), connection is permitted only with the
도 9의 (b)에서는, 외부네트워크모드설정단계(S41) 및 화면제어종료단계(S43) 이후에, 상기 경로설정모듈(1120)에서는 상기 인증검증부(2100) 및 인증제어부(2200)와의 통신을 통해 라우팅경로정보를 수신하였고, 상기 라우팅경로정보를 통해 상기 서버시스템(2000) 내의 게이트웨이(2300)를 통해 상기 서비스서버(2400)와 통신할 수 있다. 한편, 도 9의 (b)는 상기 사용자단말(1000)이 상기 서버시스템(2000) 외부에서 접속한 경우이기 때문에, 상기 화면제어종료단계(S43)에서 화면제어가 종료되었어도, 상기 사용자단말(1000)은 상기 인증검증부(2100)와 상기 게이트웨이(2300)와의 통신만 허용되고, 외부네트워크(4000)와의 연결은 계속 차단될 수 있다. In FIG. 9 (b), after the external network mode setting step (S41) and the screen control termination step (S43), the
도 10은 본 발명의 일 실시예에 따른 내부에서 접속한 사용자단말(1000)이 접속가능한 네트워크를 개략적으로 도시한다.10 schematically shows a network to which the
개략적으로, 도 10의 (a)에서는 상기 초기화면단계(S40)에서 화면제어가 시작된 후, 상기 내부네트워크모드설정단계(S42)에서의 사용자단말(1000)과 서버시스템(2000) 및 외부네트워크(4000)와의 연결상태를 도시하고, 도 10의 (b)에서는 화면제어종료단계(S43) 이후의, 사용자단말(1000)과 서버시스템(2000) 및 외부네트워크(4000)와의 연결상태를 도시한다. 한편, 상기 사용자단말(1000)은 도 10에 도시된 바와 같이 상기 서버시스템(2000) 외부에 도시되어 있지만, 이는 본 발명의 설명을 위해 상기 사용자단말(1000)과 상기 서버시스템(2000)을 분리하여 도시한 것이지, 상기 사용자단말(1000)이 물리적으로 상기 서버시스템(2000) 외부에 있다는 것을 의미하지는 않으며, 상기 서버시스템(2000) 내부에 위치할 수도 있다.Schematically, in Fig. 10 (a), after the screen control is started in the initial screen step (S40), the
구체적으로, 도 10의 (a)에서는, 내부네트워크모드설정단계(S42)에서의 연결상태를 도시한 것으로, 상기 사용자단말(1000)은 상기 서버시스템(2000) 내의 인증제어부(2200)와의 통신을 통해, 상기 사용자단말(1000)의 접속위치가 상기 서버시스템(2000) 내부임이 확인되었고, 이에 따라 상기 초기화면단계(S40)에서 수행된 상기 사용자단말(1000)과 모든 네트워크와의 연결차단이 종료되고, 상기 사용자단말(1000)은 외부네트워크(4000)에 접속할 수 있다. 이 때 도 10의 (a)는 상기 에이전트어플리케이션(1100)의 네트워크제어모듈(1110)과 상기 인증검증부(2100)와 연결되는 것으로, 상기 에이전트어플리케이션(1100)의 경로설정모듈(1120)을 통한 상기 인증검증부(2100)와의 통신은 연결되지 않을 수 있다. 상기 경로설정모듈(1120)과 상기 인증검증부(2100)와의 통신이 이루어지지 않았기 때문에, 상기 사용자단말(1000)은 라우팅경로정보를 수신 받지 않아 상기 사용자단말(1000) 내의 서비스어플리케이션(1200)과 상기 서버시스템(2000) 내의 서비스서버(2400)와의 통신은 불가능하다.Specifically, in FIG. 10 ( a ), the connection state in the internal network mode setting step S42 is shown, and the
도 10의 (b)에서는, 화면제어종료단계(S43) 이후에, 상기 경로설정모듈(1120)에서는 상기 인증검증부(2100) 및 인증제어부(2200)와의 통신을 통해 라우팅경로정보를 수신하였고, 상기 라우팅경로정보를 통해 상기 서버시스템(2000) 내의 게이트웨이(2300)를 통해 상기 서비스서버(2400)와 통신할 수 있다. In Fig. 10 (b), after the screen control end step (S43), the
도 11은 사용자단말(1000)의 접속위치를 판단하고 인증하는 단계를 개략적으로 도시한다.11 schematically illustrates a step of determining and authenticating the access location of the
개략적으로, 도 11의 (a)에서는 상기 사용자단말(1000)과 상기 인증제어부(2200)와의 통신을 통해 서버시스템(2000) 내부에서 접속한 사용자단말(1000)에 대한 접속위치를 판단하는 과정을 도시하고, 도 11의 (b)에서는 상기 사용자단말(1000)과 상기 인증제어부(2200)와의 통신을 통해 서버시스템(2000) 외부에서 접속한 사용자단말(1000)에 대한 접속위치를 판단하는 과정을 도시한다.Schematically, in (a) of FIG. 11 , the process of determining the access location for the
도 11의 (a)에 도시된 바와 같이, 상기 내부네트워크모드설정단계(S42)에서, 사용자단말(1000)이 상기 인증제어부(2200)와 상기 내부네트워크(5000)로의 접속 가능 여부를 판단함으로써, 내부네트워크(5000)에서 접속되었는지 여부를 판단하는 단계; 및 상기 사용자단말(1000)에 대해 상기 인증검증부(2100) 및 외부 네트워크로의 접속을 모두 허용하는 단계;를 포함할 수 있다.11 (a), in the internal network mode setting step (S42), by determining whether the
구체적으로, 도 11의 (a)는 상기 서버시스템(2000) 내부에서 접속한 상기 사용자단말(1000)에 설치된 상기 네트워크제어모듈(1110)에서 상기 서버시스템(2000)의 내부네트워크(5000)를 통해 해당 서버시스템(2000)의 인증제어부(2200)와 상기 사용자단말(1000)이 연결되는 것을 도시한 것이다. 상기 인증제어부(2200)는 서버시스템(2000)의 외부와 완전히 분리되어 있으므로, 만약 상기 사용자단말(1000)이 상기 서버시스템(2000) 외부에서 접속한 경우, 상기 인증제어부(2200)와 직접적인 통신이 불가능하고, 상기 서버시스템(2000)은 상기 사용자단말(1000)이 내부에서 접속한 것이 아니라고 판단할 수 있다. 도 11의 (a)와 같이 상기 사용자단말(1000)이 상기 서버시스템(2000) 내부에서 접속한 것이 확인되면, 상기 네트워크제어모듈(1110)은 내부네트워크모드설정단계(S42)에서 화면제어종료단계(S43)로 넘어갈 수 있다.Specifically, in FIG. 11( a ), the
도 11의 (b)는 상기 서버시스템(2000) 외부에서 접속한 상기 사용자단말(1000)에 설치된 상기 네트워크제어모듈(1110)에서 상기 서버시스템(2000)의 외부네트워크(4000)를 통해 해당 서버시스템(2000)의 인증제어부(2200)와 상기 사용자단말(1000)이 연결되는 상기 외부네트워크모드설정단계(S41)를 도시한 것이다. 상기 사용자단말(1000)은 상기 서버시스템(2000) 외부에 있기 때문에, 상기 인증제어부(2200)와 직접적인 통신이 불가능하다. 따라서, 상기 네트워크제어모듈(1110)은 상기 외부네트워크(4000)를 통해 상기 서버시스템(2000)의 인증검증부(2100)를 경유하여 인증제어부(2200)와 통신이 가능하고, 상기 인증제어부(2200)에서 상기 인증검증부(2100)를 경유한 이력을 확인하면, 상기 사용자단말(1000)의 접속위치가 상기 서버시스템(2000) 외부인 것을 확인할 수 있다. 도 11의 (b)와 같이 상기 사용자단말(1000)이 상기 서버시스템(2000) 외부에서 접속한 것이 확인되면, 상기 네트워크제어모듈(1110)은 상기 외부네트워크모드설정단계(S41)에서 화면제어종료단계(S43)로 넘어갈 수 있다.11B shows the
도 12는 본 발명의 일 실시예에 따른 컴퓨팅장치의 내부 구성을 개략적으로 도시한다.12 schematically illustrates an internal configuration of a computing device according to an embodiment of the present invention.
상술한 도 1에 도시된 서버시스템(2000)(2000)에 포함되는 구성요소들은 상기 도 12에 도시된 컴퓨팅장치(11000)의 구성요소들을 포함할 수 있다.Components included in the
도 12에 도시된 바와 같이, 컴퓨팅장치(11000)는 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅장치(11000)는 도 1에 도시된 서버시스템(2000)(2000)에 포함되는 구성요소에 해당될 수 있다.12, the
메모리(11200)는 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그 밖에 다양한 데이터를 포함할 수 있다.The
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.In this case, access to the
주변장치 인터페이스(11300)는 컴퓨팅장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리(11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.The input/output subsystem may couple various input/output peripherals to the
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.The
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅장치와 통신을 가능하게 할 수 있다.The
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅장치와 통신을 가능하게 할 수도 있다.Alternatively, as described above, if necessary, the
이러한 도 12의 실시예는, 컴퓨팅장치(11000)의 일례일 뿐이고, 컴퓨팅장치(11000)는 도 12에 도시된 일부 컴포넌트가 생략되거나, 도 12에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅장치는 도 12에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(11600)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.This embodiment of FIG. 12 is only an example of the
본 발명의 실시예에 따른 방법들은 별도의 다양한 컴퓨팅장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 어플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 사용자단말(1000)을 포함하는 별도의 컴퓨팅장치에 설치될 수 있다. 일 예로, 파일 배포 시스템은 별도의 컴퓨팅장치의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.Methods according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various separate computing devices and recorded in a computer-readable medium. In particular, the program according to the present embodiment may be configured as a PC-based program or an application dedicated to a mobile terminal. The application to which the present invention is applied may be installed in a separate computing device including the
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented as a hardware component, a software component, and/or a combination of the hardware component and the software component. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA). , a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications executed on the operating system. A processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computing devices, and may be stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
본 발명의 일 실시예에 따르면, 에이전트어플리케이션(1100)이 설치된 사용자단말(1000)은 서버시스템(2000)의 인증검증부(2100) 및 인증제어부(2200)와의 통신을 수행하여 서버시스템(2000)에 대한 접근이 허가된 후에 서비스서버(2400)와의 통신이 수립될 수 있으므로, 접근이 허가되기 전까지 서비스서버(2400)의 접근을 원천적으로 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the
본 발명의 일 실시예에 따르면, 인증토큰제공단계는, 인증정보에 포함된 사용자단말(1000)의 식별정보 및 사용자단말(1000)의 사용자에 대한 사용자정보를 확인한 후에, 서비스서버(2400)와 통신을 수립할 수 있는 인증토큰을 사용자단말(1000)에 제공하므로, ID/PW와 같이 사용자정보 뿐만 아니라, 사용자단말(1000)까지 확인하므로 인증되지 않은 사용자단말(1000)의 접속을 차단할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, in the step of providing the authentication token, after checking the identification information of the
본 발명의 일 실시예에 따르면, 정책정보제공단계는 사용자단말(1000)에 상응하는 정책정보를 제공하여, 사용자단말(1000)에 설치된 에이전트어플리케이션(1100)에서 해당 사용자단말(1000)이 상기 정책정보에 부합하는 것으로 판단한 경우에 서비스서버(2400)와 통신을 수립할 수 있도록 하므로, 서버시스템(2000)의 관리자가 설정한 정책에 부합하는 사용자단말(1000)만 서버시스템(2000)에 접근할 수 있도록 하는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the policy information providing step provides policy information corresponding to the
본 발명의 일 실시예에 따르면, 라우팅정보제공단계는, 사용자단말(1000)의 서비스어플리케이션(1200)과 통신이 수립되는 게이트웨이(2300)의 주소정보 및 서비스서버(2400)의 주소정보만을 포함하므로, 사용자단말(1000)이 서버시스템(2000)의 타 구성요소에 접근하는 것을 방지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the routing information providing step includes only the address information of the
본 발명의 일 실시예에 따르면, 상기 인증검증부(2100)에서 사용자단말(1000)로부터 수신한 정보들을 검증하여, 유효한 것으로 검증된 경우에 인증제어부(2200)로 송신하므로, 인증제어부(2200)의 부하를 줄일 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, since the
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible from the above description by those skilled in the art. For example, the described techniques are performed in an order different from the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (8)
상기 서버시스템은 인증검증부 및 인증제어부를 포함하고,
상기 사용자단말에서는 네트워크제어모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고,
상기 네트워크제어모듈은,
사용자에게 외부네트워크에서의 접속인지 혹은 내부네트워크에서의 접속인지를 선택하는 인터페이스를 제공하고, 사용자단말의 화면제어를 시작하는 초기화면표시단계;
상기 초기화면표시단계에서 외부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부를 제외한 외부의 네트워크로의 접속을 모두 차단하는 외부네트워크모드설정단계;
상기 초기화면표시단계에서 내부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부 및 외부의 네트워크로의 접속을 모두 허용하는 내부네트워크모드설정단계; 및
상기 외부네트워크모드설정단계 혹은 상기 내부네트워크모드설정단계 이후, 상기 화면제어를 종료하는 화면제어종료단계;를 수행하고,
상기 경로설정모듈은 상기 사용자단말에 설치된 서비스어플리케이션과 상기 서버시스템 내부의 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고,
상기 경로설정단계는,
상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계;
상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계;
상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및
상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함하는, 통신 보안방법.
As a communication security method performed in a user terminal in which an agent application is installed and a server system that communicates with the user terminal,
The server system includes an authentication verification unit and an authentication control unit,
In the user terminal, an agent application including a network control module and a route setting module is installed,
The network control module,
an initial screen display step of providing a user with an interface for selecting whether the connection is from an external network or an internal network, and starting screen control of the user terminal;
an external network mode setting step in which the user terminal blocks all connections to an external network except for the authentication verification unit when the user selects a connection from an external network in the initial screen display step;
an internal network mode setting step of allowing the user terminal to access both the authentication verification unit and the external network when the user selects to access the internal network in the initial screen display step; and
After the external network mode setting step or the internal network mode setting step, a screen control termination step of terminating the screen control; performing;
The route setting module requests the authentication verification unit for routing for establishing communication between the service application installed in the user terminal and the service server inside the server system, and based on the routing path information received from the authentication verification unit, corresponding Performs the route setting step of setting the routing route information of the service application,
The path setting step is
an authentication verification step of verifying, by the authentication verification unit, the authentication information received from the user terminal in which the agent application is installed, and transmitting the validated authentication information to the authentication control unit;
an authentication token providing step of generating, by the authentication control unit, an authentication token based on the authentication information received through the authentication verification step and providing it to the user terminal;
Routing verified as valid by verifying, by the authentication verification unit, routing request information for requesting routing for establishing communication between a service application and a service server installed in the user terminal received from the user terminal provided with the authentication token a routing request information verification step of transmitting the request information to the authentication control unit; and
a routing information providing step of deriving, by the authentication control unit, routing information for establishing communication between the service application and the service server based on the routing request information received through the routing request information verification step and providing it to the user terminal; Including, communication security method.
상기 초기화면단계에서는,
사용자단말에 대한 모든 네트워크 연결을 차단하고,
상기 초기화면단계에서 수행되는 상기 화면제어는,
사용자단말에 표시되는 인터페이스에 대한 동작 외에 어떠한 동작도 허용하지 않는, 통신 보안방법.
The method according to claim 1,
In the initial screen step,
Block all network connections to the user terminal,
The screen control performed in the initial screen step is,
A communication security method that does not allow any operation other than the operation on the interface displayed on the user terminal.
상기 내부네트워크모드설정단계에서,
사용자단말이 상기 인증제어부와 상기 내부네트워크로의 접속 가능 여부를 판단함으로써, 내부네트워크에서 접속되었는지 여부를 판단하는 단계; 및
상기 사용자단말에 대해 상기 인증검증부 및 외부 네트워크로의 접속을 모두 허용하는 단계;를 포함하는 통신 보안방법.
The method according to claim 1,
In the internal network mode setting step,
determining whether the user terminal is connected in the internal network by determining whether the user terminal can connect to the authentication control unit and the internal network; and
Communication security method comprising a; allowing access to both the authentication verification unit and the external network for the user terminal.
상기 인증정보는,
상기 서버시스템의 식별정보, 상기 사용자단말의 식별정보 및 상기 사용자단말의 사용자에 대한 사용자정보를 포함하고,
상기 인증검증단계는,
상기 인증정보에 포함된 상기 서버시스템의 식별정보를 검증하고, 유효한 것으로 검증된 경우에 상기 인증정보를 상기 인증제어부로 송신하고,
상기 인증토큰제공단계는,
상기 인증검증단계로부터 수신한 인증정보에 포함된 상기 사용자단말의 식별정보 및 상기 사용자정보가 상기 서버시스템에 저장된 데이터베이스에 포함되어 있는지 판별하고, 포함되어 있는 것으로 판별된 경우에 인증토큰을 생성하여 상기 사용자단말에 제공하는, 통신 보안방법.
The method according to claim 1,
The authentication information is
Including identification information of the server system, identification information of the user terminal, and user information about the user of the user terminal,
The authentication verification step is,
Verifies the identification information of the server system included in the authentication information, and transmits the authentication information to the authentication control unit when verified as valid;
The authentication token providing step is
It is determined whether the identification information of the user terminal and the user information included in the authentication information received from the authentication verification step are included in the database stored in the server system, and when it is determined that it is included, an authentication token is generated and the A communication security method provided to a user terminal.
상기 통신 보안방법은,
상기 인증검증부에 의하여,
상기 인증토큰제공단계가 수행된 이후에, 상기 사용자단말로부터 상기 서버시스템의 식별정보 및 상기 인증토큰을 포함하는 정책요청정보를 수신하고, 상기 정책요청정보에 포함된 상기 서버시스템의 식별정보 및 상기 인증토큰을 검증하여, 유효한 것으로 검증된 경우에 상기 정책요청정보를 상기 인증제어부로 송신하는 정책요청정보검증단계; 및
상기 인증제어부에 의하여,
상기 정책요청정보검증단계를 통해 수신한 정책요청정보에 기초하여 상기 사용자단말 및 상기 사용자단말의 사용자에 상응하는 정책정보를 도출하여 상기 사용자단말에 상기 정책정보를 제공하는 정책정보제공단계;를 포함하는, 통신 보안방법.
The method according to claim 1,
The communication security method,
By the authentication verification unit,
After the authentication token providing step is performed, policy request information including identification information of the server system and the authentication token is received from the user terminal, and identification information of the server system included in the policy request information and the a policy request information verification step of verifying an authentication token and transmitting the policy request information to the authentication control unit if validated; and
By the authentication control unit,
A policy information providing step of providing the policy information to the user terminal by deriving the user terminal and policy information corresponding to the user of the user terminal based on the policy request information received through the policy request information verification step; A communication security method.
상기 라우팅요청정보검증단계는,
상기 정책정보제공단계를 통해 정책정보를 제공받은 사용자단말의 에이전트어플리케이션에서 해당 사용자단말이 상기 정책정보에 부합하는 것으로 판별한 경우에 상기 사용자단말로부터 상기 라우팅요청정보를 수신하는, 통신 보안방법.
7. The method of claim 6,
The routing request information verification step,
A communication security method for receiving the routing request information from the user terminal when the agent application of the user terminal provided with the policy information through the policy information providing step determines that the corresponding user terminal conforms to the policy information.
상기 서버시스템은 인증검증부 및 인증제어부를 포함하고,
상기 사용자단말에서는 네트워크제어모듈 및 경로설정모듈을 포함하는 에이전트어플리케이션이 설치되어 있고,
상기 네트워크제어모듈은,
사용자에게 외부네트워크에서의 접속인지 혹은 내부네트워크에서의 접속인지를 선택하는 인터페이스를 제공하고, 사용자단말의 화면제어를 시작하는 초기화면표시단계;
상기 초기화면표시단계에서 외부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부를 제외한 외부의 네트워크로의 접속을 모두 차단하는 외부네트워크모드설정단계;
상기 초기화면표시단계에서 내부네트워크에서의 접속으로 사용자가 선택한 경우, 상기 사용자단말은 상기 인증검증부 및 외부의 네트워크로의 접속을 모두 허용하는 내부네트워크모드설정단계; 및
상기 외부네트워크모드설정단계 혹은 상기 내부네트워크모드설정단계 이후, 상기 화면제어를 종료하는 화면제어종료단계;를 수행하고,
상기 경로설정모듈은 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 상기 인증검증부에 요청하고, 상기 인증검증부로부터 수신한 라우팅경로정보에 기초하여 해당 서비스어플리케이션의 라우팅경로정보를 설정하는 경로설정단계를 수행하고,
상기 경로설정단계는,
상기 인증검증부에 의하여, 상기 에이전트어플리케이션이 설치된 사용자단말로부터 수신한 인증정보를 검증하고, 유효한 것으로 검증된 인증정보를 상기 인증제어부로 송신하는 인증검증단계;
상기 인증제어부에 의하여, 상기 인증검증단계를 통해 수신한 인증정보에 기초하여 인증토큰을 생성하여 상기 사용자단말에 제공하는 인증토큰제공단계;
상기 인증검증부에 의하여, 상기 인증토큰을 제공받은 사용자단말로부터 수신한 상기 사용자단말에 설치된 서비스어플리케이션 및 서비스서버의 통신이 수립되기 위한 라우팅을 요청하는 라우팅요청정보를 검증하고, 유효한 것으로 검증된 라우팅요청정보를 상기 인증제어부로 송신하는 라우팅요청정보검증단계; 및
상기 인증제어부에 의하여, 상기 라우팅요청정보검증단계를 통해 수신한 라우팅요청정보에 기초하여 상기 서비스어플리케이션 및 서비스서버의 통신을 수립하기 위한 라우팅정보를 도출하여 상기 사용자단말에 제공하는 라우팅정보제공단계;를 포함하는, 통신 보안 시스템.
A communication security system comprising a user terminal on which an agent application is installed and a server system for communicating with the user terminal,
The server system includes an authentication verification unit and an authentication control unit,
In the user terminal, an agent application including a network control module and a route setting module is installed,
The network control module,
an initial screen display step of providing a user with an interface for selecting whether the connection is from an external network or an internal network, and starting screen control of the user terminal;
an external network mode setting step in which the user terminal blocks all connections to an external network except for the authentication verification unit when the user selects a connection from an external network in the initial screen display step;
an internal network mode setting step of allowing the user terminal to access both the authentication verification unit and the external network when the user selects to access the internal network in the initial screen display step; and
After the external network mode setting step or the internal network mode setting step, a screen control termination step of terminating the screen control; performing;
The route setting module requests the authentication verification unit for routing for establishing communication between the service application installed in the user terminal and the service server, and based on the routing path information received from the authentication verification unit, the routing path of the corresponding service application Perform the path setting step to set information,
The path setting step is
an authentication verification step of verifying, by the authentication verification unit, the authentication information received from the user terminal in which the agent application is installed, and transmitting the validated authentication information to the authentication control unit;
an authentication token providing step of generating, by the authentication control unit, an authentication token based on the authentication information received through the authentication verification step and providing it to the user terminal;
Routing verified as valid by verifying, by the authentication verification unit, routing request information for requesting routing for establishing communication between a service application and a service server installed in the user terminal received from the user terminal provided with the authentication token a routing request information verification step of transmitting the request information to the authentication control unit; and
a routing information providing step of deriving, by the authentication control unit, routing information for establishing communication between the service application and the service server based on the routing request information received through the routing request information verification step and providing it to the user terminal; Including, a communication security system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210113510A KR102371181B1 (en) | 2021-08-26 | 2021-08-26 | Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210113510A KR102371181B1 (en) | 2021-08-26 | 2021-08-26 | Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102371181B1 true KR102371181B1 (en) | 2022-03-07 |
Family
ID=80817433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210113510A KR102371181B1 (en) | 2021-08-26 | 2021-08-26 | Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102371181B1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060101800A (en) * | 2005-03-21 | 2006-09-26 | 김영숙 | Communication service system and method for managing security of a service server and communication equipment |
| KR102223827B1 (en) * | 2019-09-24 | 2021-03-08 | 프라이빗테크놀로지 주식회사 | System for authenticating and controlling network access of terminal and method thereof |
-
2021
- 2021-08-26 KR KR1020210113510A patent/KR102371181B1/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060101800A (en) * | 2005-03-21 | 2006-09-26 | 김영숙 | Communication service system and method for managing security of a service server and communication equipment |
| KR102223827B1 (en) * | 2019-09-24 | 2021-03-08 | 프라이빗테크놀로지 주식회사 | System for authenticating and controlling network access of terminal and method thereof |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11245687B2 (en) | Hardware-based device authentication | |
| US10757094B2 (en) | Trusted container | |
| US10083290B2 (en) | Hardware-based device authentication | |
| US20200004946A1 (en) | Secretless and secure authentication of network resources | |
| KR102036758B1 (en) | Fast smart card logon and federated full domain logon | |
| JP6222592B2 (en) | Mobile application identity verification for mobile application management | |
| US10992642B2 (en) | Document isolation | |
| US20050132229A1 (en) | Virtual private network based on root-trust module computing platforms | |
| US9589130B2 (en) | Application trust-listing security service | |
| US10348799B2 (en) | Unique device authentication via a browser | |
| EP3674938B1 (en) | Identifying computing processes on automation servers | |
| KR102345866B1 (en) | Server System and Communication Security Method for User Devices Performed in the Server System | |
| KR20230110287A (en) | Remote management of hardware security modules | |
| KR102345261B1 (en) | Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System | |
| KR102371181B1 (en) | Communication Security Method Performed in the User Devices installed Agent-Application and the Server-System that Communicated with the User Devices | |
| KR102381575B1 (en) | Communication Security Method including Optional Anti-Capture Function Performed in the User Devices and the Server-System that Communicated with the User Devices | |
| US10412097B1 (en) | Method and system for providing distributed authentication | |
| KR20230081110A (en) | Server System and Communication Security Method for User Devices Performed in the Server System | |
| JP2024022320A (en) | Route control system, device management device, route control method, and program | |
| CN115967623A (en) | Device management method, device, electronic device and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |