KR20110060859A - Unified security gateway device - Google Patents

Unified security gateway device Download PDF

Info

Publication number
KR20110060859A
KR20110060859A KR1020100120524A KR20100120524A KR20110060859A KR 20110060859 A KR20110060859 A KR 20110060859A KR 1020100120524 A KR1020100120524 A KR 1020100120524A KR 20100120524 A KR20100120524 A KR 20100120524A KR 20110060859 A KR20110060859 A KR 20110060859A
Authority
KR
South Korea
Prior art keywords
content
unit
data packet
host
security gateway
Prior art date
Application number
KR1020100120524A
Other languages
Korean (ko)
Inventor
김대우
김범호
부도영
손정일
Original Assignee
(주)대성정보기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)대성정보기술 filed Critical (주)대성정보기술
Publication of KR20110060859A publication Critical patent/KR20110060859A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An integrated security gateway apparatus is provided to perform security functions access control, packet filtering, or hacking interception on the basis of a kernel area. CONSTITUTION: A data detection unit(130) decides the interception of intrusion for a data packet. A traffic measuring unit(140) measures network traffic. A VPN(Virtual Private Network) providing unit(150) offers a VPN. A web caching unit(160) offers stored contents to a corresponding terminal. An embedded OS(Operating System) administration unit(170) manages the source of application for control. A multi-language providing unit(190) supports multi-language for the OS of an integrated security gateway apparatus(100).

Description

통합 보안 게이트웨이 장치{UNIFIED SECURITY GATEWAY DEVICE}Unified Security Gateway Device {UNIFIED SECURITY GATEWAY DEVICE}

 본 발명은 통합 보안 게이트웨이 장치에 관한 것이다.The present invention relates to an integrated security gateway device.

최근 안전한 네트워크의 중요성이 더욱 부각되면서 네트워크 구조에 있어서 보안기능이 일반화되고 있다. 그리고 침입차단(firewall)기능과 가상 사설망(VPN)기능을 접목시킨 보안장치와 웜(Worm) 및 DOS(Denial-Of-service)공격, 데이터 패킷 필터링(Packet Filtering) 등 기본적인 차단기능과 IPS 기능을 포함한 통합 보안장치들이 출시되고 있다.Recently, as the importance of a secure network becomes more important, security functions have become common in network structures. It also provides basic blocking and IPS functions such as security devices, worms, and DOS (Denial-Of-service) attacks, and packet packet filtering that combines firewall and virtual private network (VPN) functions. Integrated security devices, including ones, are being released.

그러나, 중소규모의 시장은 ADSL 등 저속의 회선에 의존하고 있으며, 현재 보급된 보안제품 중에서 속도를 개선시킬 수 있는 제품은 주로 국내의 소프트웨어 제품뿐이나 해당 제품들의 보안기능은 미흡한 상황이다. However, the small and medium sized market relies on low speed circuits such as ADSL, and among the current security products, the only ones that can improve speed are domestic software products, but the security functions of these products are insufficient.

보안 위협 중 하나는 금전적인 이득을 노리고 특정한 대상을 목표로 한 공격이다. 기존의 바이러스나 스파이웨어 등은 불특정다수를 대상으로 배포하고 확산시키며, 네트워크의 트래픽을 증가시켜서 업무를 방해하는 형태였으나, 최근 문제시되는 보안 위협은 특정 기업의 정보를 노리는 해킹 시도, 금융거래나 온라인게임의 이용에 필요한 개인정보, 인증서, 계정정보 등의 유출을 목적으로 하는 해킹 등 피해가 구체적으로 드러나는 방향으로 발전하고 있다.One of the security threats is an attack that targets a specific target for financial gain. Existing viruses and spyware have been distributed and spread to many unspecified targets, increasing the traffic of the network and disrupting business.However, the latest security threats are hacking attempts at specific company information, financial transactions or online. In the direction of damage, such as hacking aimed at leaking personal information, certificates, account information, etc. necessary for the use of the game, it is developing.

특히, 취약한 보안 문제로 인하여 유출된 개인 정보를 이용하여 금융기관을 사칭하는 피싱, 스푸핑 등에 의한 피해가 발생했으며, 메모리를 해킹하여 정보를 변조하거나 아이템거래 사이트를 대상으로 디도스(DDoS) 공격을 감행하는 일이 발생했다.In particular, due to vulnerable security problems, damages were caused by phishing and spoofing, using the leaked personal information, to impersonate financial institutions, hacking memory, tampering with information, or conducting DDoS attacks on item trading sites. There was something going on.

이러한 문제로 인하여, 점차 외부에서 내부로 들어오는 공격을 모니터링하고 차단하기 위한 게이트웨이 레벨의 보안 이슈 또는 엔드포인트 솔루션인 개인 단말과 서버, 그리고 이들의 운영체제가 가지고 있는 취약점들을 공격하는 애플리케이션 레벨에서의 보안 이슈 등 보안에 관련한 이슈가 점차 다변화하고 있다.Due to these problems, security issues at the application level that attack gateway-level security issues or endpoint solutions, such as individual terminals and servers, and their operating systems, to gradually monitor and block attacks from outside. Security issues are gradually diversifying.

또한, 인터넷 사용의 급증으로 보안 상의 문제뿐만 아니라, 네트워크 상에서 트래픽 증가에 따른 문제가 대두되고 있다. 즉, 인터넷의 사용이 증가하고, 인터넷에서 제공하는 콘텐츠의 용량이 증가함에 따라 점차 증가하는 트래픽으로 인해 네트워크의 성능이 악화되는 문제가 발생하고 있다.In addition, due to the surge in the use of the Internet, not only security problems, but also problems caused by increased traffic on the network are emerging. In other words, as the use of the Internet increases and the capacity of the content provided by the Internet increases, the performance of the network is deteriorated due to gradually increasing traffic.

따라서, 본 발명은 네트워크의 성능 향상 및 외부로부터의 불필요한 침입을 차단할 수 있도록 하는 통합 보안 게이트웨이 장치를 제공하고자 한다.Accordingly, an aspect of the present invention is to provide an integrated security gateway device capable of improving network performance and preventing unnecessary intrusion from the outside.

본 발명의 일 실시예는 인터넷 서비스 형태의 내부 또는 외부 네트워크를 통한 부당한 접속, 침입, 공격을 차단하거나, 접근통제, 패킷 필터링, 해킹차단 등의 보안 기능을 커널 영역을 기반으로 수행하는 통합 보안 게이트웨이 장치를 제공하는 데에 그 목적이 있다.An embodiment of the present invention is an integrated security gateway that blocks illegal access, intrusion, attack through an internal or external network in the form of Internet service, or performs security functions such as access control, packet filtering, and hacking blocking based on the kernel area. The object is to provide a device.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예에 따른 통합 보안 게이트웨이 장치는 호스트와 호스트 또는 호스트와 클라이언트 간에 설정된 인증키 및 IP(Internet Protocol) 주소 인증을 이용하여 가상 사설망(VPN, virtual private network)을 제공하는 VPN 제공부, 가상 사설망을 통해 연결된 웹 서버로부터 수신한 콘텐츠를 저장하여, 콘텐츠를 제공받고자 웹 서버에 접속을 요청한 단말로 저장된 콘텐츠를 제공하여 단말의 웹 서버로의 접속에 따른 네트워크 트래픽을 감소시키는 웹 캐싱부, 가상 사설망을 통해 수신된 데이터 패킷을 검사하여 해당 데이터 패킷에 대한 차단 여부를 판단하는 데이터 탐지부, 데이터 패킷의 송수신에 따른 네트워크 트래픽을 측정하는 트래픽 측정부, 운영체제(OS, Operating System) 커널(kernel), VPN 제공부, 웹 캐싱부, 데이터 탐지부 및 트래픽 측정부의 제어를 위한 어플리케이션의 소스 관리를 수행하는 임베디드 OS 관리부 및 어플리케이션을 구동시켜 통합 보안 게이트웨이 장치 내의 각각의 모듈에 대한 동작 제어를 수행하는 구동부를 포함하되, 데이터 탐지부는 데이터 패킷의 로깅(logging) 정보에 대한 검사를 수행하여 운영체제 커널의 영역에 포함된 아이피테이블을 기초로 인가되지 않은 IP 주소를 가진 단말의 데이터 패킷을 차단한다.As a technical means for achieving the above technical problem, an integrated security gateway device according to an embodiment of the present invention is a virtual private network (IP) using an authentication key and IP (Internet Protocol) address authentication set between the host and the host or the host and the client. VPN provider that provides VPN, virtual private network, and stores the content received from the web server connected through the virtual private network, and provides the stored content to the terminal requesting access to the web server to provide the content to the web server of the terminal. Web caching unit to reduce the network traffic according to the connection of the network, Data detection unit for determining whether to block the data packet received through the virtual private network, Traffic measuring the network traffic according to the transmission and reception of the data packet Measurement unit, operating system (OS) kernel, VPN provider, An embedded OS management unit that performs source management of an application for controlling the web caching unit, the data detector, and the traffic measuring unit, and a driving unit which controls the operation of each module in the integrated security gateway device by driving the application, The detection unit checks the logging information of the data packet and blocks a data packet of a terminal having an unauthorized IP address based on an IP table included in an operating system kernel area.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 인터넷 서비스 형태의 내부 또는 외부 네트워크를 통한 부당한 접속, 침입, 공격을 차단하거나, 접근통제, 패킷 필터링, 해킹차단 등의 보안 기능을 커널 영역을 기반으로 수행할 수 있다.According to any one of the above-described means for solving the problems of the present invention, it is possible to prevent unauthorized access, intrusion, attack through the internal or external network in the form of Internet service, or to provide security functions such as access control, packet filtering, and hacking blocking. Can be done on a

또한, 전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 한글, 영어, 중국어 등의 다양한 언어로 통합 보안 게이트웨이 장치의 운영체제에 대한 언어가 제공되어, 시스템 운영 및 관리상의 편리성과 제품의 시장 확대를 높일 수 있다.In addition, according to any one of the above-described problem solving means of the present invention, the language for the operating system of the integrated security gateway device in a variety of languages, such as Korean, English, Chinese, etc. is provided, so that the convenience of system operation and management and the market expansion of the product Can increase.

도 1은 본 발명의 일 실시예에 따른 통합 보안 게이트웨이 장치를 도시한다.
도 2는 본 발명의 일 실시예에 따른 웹 캐싱부의 상세 블록도이다.
도 3은 본 발명의 일 실시예에 따른 웹 캐싱(caching) 모듈의 웹 캐싱 제공 방법의 흐름을 도시한 도면이다.
도 4는 종래의 단말에서의 캐시 사용에 따른 프로세스를 도시한다.1 illustrates an integrated security gateway device according to an embodiment of the present invention.
2 is a detailed block diagram of a web caching unit according to an exemplary embodiment of the present invention.
3 is a flowchart illustrating a web caching providing method of a web caching module according to an embodiment of the present invention.
4 shows a process according to the use of a cache in a conventional terminal.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is "connected" to another part, this includes not only "directly connected" but also "electrically connected" with another element in between. . In addition, when a part is said to "include" a certain component, which means that it may further include other components, except to exclude other components unless otherwise stated.

도 1은 본 발명의 일 실시예에 따른 통합 보안 게이트웨이 장치를 도시한다.1 illustrates an integrated security gateway device according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 통합 보안 게이트웨이 장치(100)는 통신 인터페이스(110), 필터링부(120), 데이터 탐지부(130), 트래픽 측정부(140), VPN 제공부(150), 웹 캐싱부(160), 임베디드 OS 관리부(170), 구동부(180) 및 다국어 제공부(190)를 포함한다.As shown in FIG. 1, the integrated security gateway device 100 of the present invention includes a communication interface 110, a filtering unit 120, a data detector 130, a traffic measuring unit 140, and a VPN providing unit 150. ), A web caching unit 160, an embedded OS management unit 170, a driver 180, and a multilingual provider 190.

통신 인터페이스(110)는 네트워크 접속 환경을 제공한다. 예컨대 통신 인터페이스(110)는 내부 및 외부 회선을 포함하는 이더넷 포트를 통해 내부 네트워크 망에 포함된 단말과 외부 네트워크 망에 포함된 단말간의 네트워크 접속 환경을 제공할 수 있다. 이때, 통신 인터페이스(110)는 가상 사설망을 통한 내부 및 외부 인터넷 통신 환경을 제공할 수 있다.The communication interface 110 provides a network connection environment. For example, the communication interface 110 may provide a network connection environment between a terminal included in an internal network and a terminal included in an external network through an Ethernet port including internal and external lines. In this case, the communication interface 110 may provide internal and external Internet communication environments through the virtual private network.

필터링부(120)는 통신 인터페이스(110)를 통해 수신된 데이터 패킷을 필터링하여 데이터 탐지부(130)로 제공한다. 이때, 필터링부(120)는 다른 실시예에서 데이터 탐지부(130)에 포함될 수 있다. 그리고, 데이터 패킷에는 상대방에 대한 정보와 접속하려는 컴퓨터의 정보를 포함할 수 있다.The filtering unit 120 filters the data packet received through the communication interface 110 and provides the filtered data packet to the data detector 130. In this case, the filtering unit 120 may be included in the data detector 130 in another embodiment. The data packet may include information about the other party and information of a computer to be connected.

데이터 탐지부(130)는 가상 사설망을 통해 수신된 데이터 패킷을 검사하여 해당 데이터 패킷에 대한 침입 차단 여부를 판단한다. 이때, 데이터 탐지부(130)는 비인가된 사용자의 데이터 패킷인 경우, 해당 데이터 패킷을 전송한 단말과의 네트워크 접속을 차단시킬 수 있다. 예컨대, 데이터 탐지부(130)는 데이터 패킷의 패턴과 미리 정의된 침입 패턴을 상호 비교하여, 데이터 패킷의 패턴이 침입 패턴에 포함된 경우 해당 데이터 패킷을 차단할 수 있다.The data detector 130 examines the data packet received through the virtual private network to determine whether the intrusion of the data packet is blocked. In this case, if the data detector 130 is a data packet of an unauthorized user, the data detector 130 may block the network connection with the terminal that transmitted the data packet. For example, the data detector 130 may compare the pattern of the data packet with a predefined intrusion pattern, and block the data packet when the pattern of the data packet is included in the intrusion pattern.

또한, 데이터 탐지부(130)는 데이터 패킷의 로깅(logging) 정보에 대한 검사를 수행하여 로깅 정보에 포함된 IP 주소가 운영체제 커널 영역에 포함된 아이피테이블(iptable)에 포함되지 않은 경우, 해당 비인가된 IP 주소를 가진 단말의 데이터 패킷을 차단할 수 있다. 여기서, 데이터 탐지부(130)는 오픈 소스인 넷필터(netfilter)를 이용하여 방화벽 기능을 함께 수행할 수 있으며, 특히 넷필터의 아이피테이블을 활용하여 방화벽을 수행할 수 있다. In addition, the data detector 130 checks the logging information of the data packet, and if the IP address included in the logging information is not included in the IPtable included in the operating system kernel region, the data is not authorized. It can block the data packet of the terminal having the IP address. Here, the data detector 130 may perform a firewall function using a netfilter, which is an open source, and in particular, may perform a firewall using an IP table of the netfilter.

넷필터에서 프로토콜은 후크(hook)를 정의하며, 후크는 패킷 프로토콜 스택에 있는 포인터이다. 포인터에서, 각각의 프로토콜은 패킷과 후크 넘버(hook number)를 이용하여 넷필터 프레임 워크를 호출한다. 넷필터는 프로토콜 스택의 다양한 포인트에 존재하여 연속하는 후크의 집합이다.In netfilter, a protocol defines a hook, which is a pointer in the packet protocol stack. At the pointer, each protocol invokes the netfilter framework using packets and hook numbers. A netfilter is a collection of contiguous hooks that exist at various points in the protocol stack.

본 발명의 일 실시예에서 패킷의 진행은 넷필터 프레임 워크가 호출한 후크에 의해 수행되며, 후크가 호출되면 패킷 선택을 위하여 아이피테이블이 호출되어 데이터 탐지부(130)에 패킷 선택, 즉 패킷 필터링을 위한 규칙을 제공한다.In one embodiment of the present invention, the packet is processed by a hook called by the netfilter framework. When the hook is called, an IP table is called to select a packet, so that packet selection, that is, packet filtering, is performed on the data detector 130. Provide rules for:

아이피 테이블을 호출하는 패킷 선택 시스템은 넷필터 프레임워크를 기반으로 구성된다. 커널 모듈은 새로운 테이블을 등록할 수 있으며, 임의의 패킷이 주어진 테이블을 통과하도록 요청할 수 있다. 이러한 패킷 선택 방법은 패킷 필터링(즉 '필터' 테이블), 네트워크 주소 변환('nat' 테이블) 그리고 종합적인 프리 라우트(pre-route) 패킷 맹글링('mangling' 테이블)에 사용된다.The packet selection system calling the IP table is based on the netfilter framework. The kernel module can register a new table and request that any packet go through the given table. This packet selection method is used for packet filtering (ie 'filter' table), network address translation ('nat' table), and comprehensive pre-route packet mangling ('mangling' table).

상술한 아이피테이블은 메모리 내에 있는 규칙의 명명된 배열 및 각각의 후크로부터 패킷이 전달되는 정보를 제공한다. 아이피테이블은 어떠한 넷필터 후크에도 등록되지 않는다. 즉, 하나의 모듈은 넷필터 후크 및 아이피테이블을 별도로 등록해야 하고, 후크의 호출에 응답하여 아이피테이블이 호출된다.The IP table described above provides a named arrangement of rules in memory and information from which packets are delivered from each hook. The IP table is not registered with any netfilter hook. That is, one module must separately register the netfilter hook and the IP table, and the IP table is called in response to the hook call.

본 발명의 일 실시예에 따른 아이피테이블은 편리성을 위하여 동일한 데이터 구조를 사용하여 사용자 공간에 의한 규칙 및 커널 내부의 규칙을 표현한다. 각각의 규칙은 'struct ipt_entry' 구조, 'struct ipt_entry_match' 구조 및 'struct ipt_entry_target' 구조를 포함할 수 있다.The IP table according to an embodiment of the present invention uses the same data structure to express rules based on user space and rules within the kernel for convenience. Each rule may include a 'struct ipt_entry' structure, a 'struct ipt_entry_match' structure, and a 'struct ipt_entry_target' structure.

여기서 'struct ipt_entry'는 'struct ipt_ip', 'nf_cache', 'target_offset', 'next_offset', 'comefrom', 'struct ipt_counters'의 필드를 포함할 수 있다.Here, 'struct ipt_entry' may include fields of 'struct ipt_ip', 'nf_cache', 'target_offset', 'next_offset', 'comefrom', and 'struct ipt_counters'.

'struct ipt_ip' 필드는 아이피 헤더(IP header)에 대한 세부항목을 포함하고, 'nf_cache' 필드는 현재의 규칙을 검사해야 하는 패킷의 부분을 알려주며, 'target_offset' 필드는 ipt_entry_target 구조가 시작하는 현재 규칙의 시작점으로부터의 오프셋(offset)을 알려주고, 'next_offset' 필드는 현재 규칙의 최대 크기를 알려주는 필드이며, 'comefrom' 필드는 패킷의 경로를 추적하기 위해 커널이 사용하는 필드이고, 'struct ipt_counters' 필드는 현재 규칙에 일치하는 패킷에 대한 바이트 카운터와 패킷을 포함하는 필드이다.The 'struct ipt_ip' field contains details about the IP header, the 'nf_cache' field indicates which part of the packet should be examined for the current rule, and the 'target_offset' field indicates the current rule where the ipt_entry_target structure begins. 'Next_offset' field indicates the maximum size of the current rule, 'comefrom' field is used by the kernel to trace the path of the packet, and 'struct ipt_counters' Field is a field containing a byte counter and a packet for a packet matching the current rule.

또한, 데이터 탐지부(130)는 데이터 패킷의 URL(Uniform Resource Locator) 및 키워드 정보 중 하나 이상을 이용하여 데이터 패킷의 차단 여부를 판단할 수 있다. 즉, 데이터 탐지부(130)는 인가되지 않은 URL 또는 키워드 정보를 포함하고 있는 데이터 패킷에 대해서 비정상 데이터로 판단하여 네트워크 접속을 강제종료 시키거나, 해당 데이터 패킷을 별도로 분류하여 관리할 수 있다.In addition, the data detector 130 may determine whether the data packet is blocked using at least one of a Uniform Resource Locator (URL) and keyword information of the data packet. That is, the data detector 130 may determine that the data packet including the unauthorized URL or keyword information is abnormal data to force the network connection or terminate the data packet separately and manage the data packet separately.

또한, 데이터 탐지부(130)는 많은 공격 탐지에 대해 소스 IP나 목적지 IP가 동일한 양상을 보인다면 해당 IP 정보를 확인함으로써 신뢰 IP를 지정할 수 있다. 예컨대 SNMP를 통해 인터페이스 정보를 수집했다는 공격이 특정 소스 IP로부터 많은 탐지를 보였는데, 해당 소스 IP가 SNMP를 통한 정보 수집 기능을 하는 장비였다면, 이것은 정상적인 네트워크 활동에 대해 탐지된 것으로 볼 수 있다.In addition, the data detector 130 may designate a trusted IP by checking the corresponding IP information if the source IP or the destination IP shows the same pattern for many attack detections. For example, if an attack collecting interface information via SNMP showed a lot of detections from a specific source IP, and the source IP was a device that collects information via SNMP, it could be detected as normal network activity.

트래픽 측정부(140)는 외부 단말과의 데이터 패킷 송수신에 따른 네트워크 트래픽을 측정한다. 예컨대, 트래픽 측정부(140)는 소스 IP의 트래픽 양을 검사하고, 네트워크 트래픽이 기준치를 초과한 경우 해당 외부 단말과의 네트워크 접속을 차단할 수 있다. 이를 통해, 내부 네트워크로 다량의 트래픽을 발생시켜 회사 네트워크를 마비시키는 외부 공격을 사전에 차단하여, 기업내 중요 서버와 사용자 PC를 보호할 수 있게 된다. The traffic measuring unit 140 measures network traffic according to data packet transmission and reception with an external terminal. For example, the traffic measuring unit 140 may check the traffic amount of the source IP, and block the network connection with the corresponding external terminal when the network traffic exceeds the reference value. Through this, it is possible to protect the important server and user PC in the enterprise by proactively blocking the external attack that causes the company network to paralyze by generating a lot of traffic to the internal network.

이와 같이, 상술한 필터링부(120), 데이터 탐지부(130) 및 트래픽 측정부(140)를 통해 본 발명의 통합 보안 게이트웨이 장치(100)는 인터넷 서비스 형태의 내부 또는 외부 네트워크를 통한 부당한 접속, 침입, 공격을 차단하거나, 접근통제, 패킷 필터링, 해킹차단, 및 네트워크 변환 기능 수행을 제공할 수 있게 된다.In this way, the integrated security gateway device 100 of the present invention through the above-described filtering unit 120, data detection unit 130 and traffic measurement unit 140 is an illegal connection through an internal or external network in the form of Internet service, Block intrusions, attacks, or provide access control, packet filtering, hacking blocks, and network transformations.

VPN 제공부(150)는 호스트와 호스트 또는 호스트와 클라이언트 간에 설정된 인증키 및 IP(Internet Protocol) 주소 인증을 이용하여 가상 사설망(VPN, Virtual Private Network)을 제공한다. 가상사설망(VPN)은 인터넷과 같은 공중망을 이용하여 사설 전용망의 효과를 얻는 기술이며, 가상사설망(VPN)의 수행을 위해, 키 교환 알고리즘 및 데이터 교환 알고리즘이 요구된다. 키 교환 알고리즘으로 ISAKMP(IPSec Key Exchange and Management Protocols)이 있으며, 데이터 교환 알고리즘으로 인증 헤더(AH, Authentication Header)를 이용한 인증 알고리즘 및 보안 페이로드 캡슐화(ESP, Encapsulating Security Payload)를 이용한 암호화 알고리즘이 있다.The VPN provider 150 provides a virtual private network (VPN) using an authentication key and IP (Internet Protocol) address authentication set between the host and the host or the host and the client. Virtual private network (VPN) is a technology that obtains the effect of a private network using a public network, such as the Internet, and for performing the virtual private network (VPN), a key exchange algorithm and a data exchange algorithm are required. The key exchange algorithm is ISAKMP (IPSec Key Exchange and Management Protocols), and the data exchange algorithm is an authentication algorithm using an authentication header (AH) and an encryption algorithm using an encapsulating security payload (ESP). .

ISAKMP(IPSec Key Exchange and Management Protocols)는 보안협상(Security Association) 및 키 교환(Key Exchange) 관리 등을 병합하기 위한 프로토콜이다. IPSec이 이용되는 경우, 통신을 시도하는 피어(Peer) 사이에 보안 협상이 수행되며, 이 경우 SA을 서로 교환하고 결정하는 과정에서 ISAKMP 가 이용될 수 있다.IPSec Key Exchange and Management Protocols (ISAKMP) are protocols for merging security associations and key exchange management. When IPSec is used, security negotiation is performed between peers attempting communication. In this case, ISAKMP may be used in the process of exchanging and determining SAs.

ISAKMP에 의해 SA를 개설, 변경, 삭제하는 작업이 수행될 수 있으며, 각종 보안 알고리즘을 지원하여 원활한 상위계층 통신이 지원되고 보안 알고리즘 변경이 용이하게 수행될 수 있다. 현재 IPSec에서 키 교환(Key Exchange) 및 SA를 개설하는 경우 ISAKMP가 사용되며, 실제 프로토콜은 IKE을 이용하고 패킷 포맷은 ISAKMP의 패킷 포맷을 따른다.The operation of opening, changing, and deleting SAs may be performed by ISAKMP, and various security algorithms may be supported to support higher layer communication and to easily change security algorithms. Currently, ISAKMP is used to establish Key Exchange and SA in IPSec. The actual protocol uses IKE and the packet format follows the packet format of ISAKMP.

인증 헤더(AH)는 수신한 데이터의 근원지를 인증하며 데이터의 무결성을 보장한다. 이를 위해 MMAC-MD5. HMAC-SHA1과 같은 인증 알고리즘이 사용될 수 있다. 인증 헤더(AH)는 IP 패킷 각각에 대한 무결성을 확인할 수 있으며, 인증 헤더(AH)에 일련번호가 부여되어 재전송공격(Replay Attack)이 방지될 수 있다.The authentication header (AH) authenticates the source of the received data and ensures the integrity of the data. MMA-MD5. An authentication algorithm such as HMAC-SHA1 can be used. The authentication header (AH) can confirm the integrity of each IP packet, a serial number is assigned to the authentication header (AH) can be prevented from a replay attack (Replay Attack).

보안 페이로드 캡슐화(ESP)는 IP 네트워크에 대한 비밀성과 무결성을 제공한다. 즉, 보안 페이로드 캡슐화(ESP)는 IP 패킷을 암호화하여 데이터를 전송할 때 비밀성을 보장한다. 보안 페이로드 캡슐화(ESP)는 인증 헤더(AH)와 달리 패킷 자체를 DES(56bit) 암호화 또는 3DES(168bit) 암호화하는 방식을 통해 암호화하여, 데이터의 기밀성을 제공할 수 있다. 보안 페이로드 캡슐화(ESP)는 데이터의 근원지를 인증하고 재전송 공격(Replay attack)을 방지할 수 있다.Secure payload encapsulation (ESP) provides confidentiality and integrity for IP networks. That is, Secure Payload Encapsulation (ESP) encrypts IP packets to ensure confidentiality when transmitting data. Unlike the authentication header (AH), the secure payload encapsulation (ESP) encrypts the packet itself through DES (56 bit) encryption or 3DES (168 bit) encryption, thereby providing confidentiality of data. Secure payload encapsulation (ESP) can authenticate the source of data and prevent replay attacks.

본 발명의 일 실시예에 따른 VPN 제공 모듈(130)은 오픈 소스인 오픈스완(openswan) 소스를 이용하여 인증키의 생성, VPN 장치의 IP 설정, 인증 키 적용 등의 설정 작업이 수행될 수 있다.The VPN providing module 130 according to an embodiment of the present invention may be configured to generate an authentication key, set an IP of a VPN device, and apply an authentication key using an open source openswan source. .

오픈스완 소스를 이용한 설정 예시는 아래의 표1과 같다.An example of configuration using OpenSwan source is shown in Table 1 below.


ipsec showhostkey --left # Local VPN장비의 인증키 생성작업
# RSA 2048 bits xy.example.com Wed Aug 26 15:01:41 2009
leftrsasigkey=0sAQOnwiBPt...

ssh2 ab.example.com # Remote VPN장비로 ssh 접속

ipsec showhostkey --right # Remote VPN장비의 인증키 생성작업
# RSA 2192 bits ab.example.com Wed Aug 26 15:26:20 2009
rightrsasigkey=0sAQOqH55O...

vi /etc/ipsec.conf # Local VPN에서 설정값 적용
conn net-to-net
left=192.0.2.2 # Local VPN장비 ip
leftsubnet=192.0.2.128/29
[email protected]
leftrsasigkey=0sAQOnwiBPt... # 생성한 인증키값 적용
leftnexthop=%defaultroute
right=192.0.2.9 # Remote VPN장비 ip
rightsubnet=10.0.0.0/24
[email protected]
rightrsasigkey=0sAQOqH55O... # 생성한 인증키값 적용
rightnexthop=%defaultroute
auto=add

scp2 ipsec.conf [email protected]:/etc/ipsec.conf #Local VPN에 설정한 환경파일을 Remote VPN 장비로 복사

ipsec auto --up net-to-net # LAN-to-LAN VPN 구동 및 테스트
ipsec showhostkey --left # Create authentication key of local VPN device
# RSA 2048 bits xy.example.com Wed Aug 26 15:01:41 2009
leftrsasigkey = 0sAQOnwiBPt ...

ssh2 ab.example.com # ssh to remote VPN device

ipsec showhostkey --right # Generate authentication key of remote VPN device
# RSA 2192 bits ab.example.com Wed Aug 26 15:26:20 2009
rightrsasigkey = 0sAQOqH55O ...

vi /etc/ipsec.conf # Apply Settings from Local VPN
conn net-to-net
left = 192.0.2.2 # Local VPN device ip
leftsubnet = 192.0.2.128 / 29
[email protected]
leftrsasigkey = 0sAQOnwiBPt ... # Apply generated authentication key value
leftnexthop =% defaultroute
right = 192.0.2.9 # Remote VPN Device ip
rightsubnet = 10.0.0.0 / 24
[email protected]
rightrsasigkey = 0sAQOqH55O ... # Apply created key value
rightnexthop =% defaultroute
auto = add

scp2 ipsec.conf [email protected]: /etc/ipsec.conf #Copy the environment file set in Local VPN to Remote VPN device.

ipsec auto --up net-to-net # Run and test LAN-to-LAN VPN

웹 캐싱부(160)는 가상 사설망을 통해 연결된 웹 서버로부터 수신한 콘텐츠를 저장하여, 콘텐츠를 제공받고자 웹 서버에 접속을 요청한 네트워크 상의 단말에 대해서 저장된 콘텐츠를 해당 단말로 제공하여 단말의 웹 서버로의 접속에 따른 네트워크 트래픽을 감소시킨다. 이하, 도 2를 통해 보다 상세히 설명하기로 한다.The web caching unit 160 stores the content received from the web server connected through the virtual private network, provides the terminal with the stored content for the terminal on the network requesting access to the web server to provide the content to the terminal's web server. Reduces network traffic due to access. Hereinafter, it will be described in more detail with reference to FIG.

도 2는 본 발명의 일 실시예에 따른 웹 캐싱부의 상세 블록도이다.2 is a detailed block diagram of a web caching unit according to an exemplary embodiment of the present invention.

도 2에 도시된 바와 같이, 웹 캐싱부(160)는 콘텐츠 저장부(161), 신뢰성 판단부(162), 웹 서버 요청부(163), 콘텐츠 관리부(164) 및 콘텐츠 전송부(165)를 포함한다.As illustrated in FIG. 2, the web caching unit 160 may include a content storage unit 161, a reliability determination unit 162, a web server request unit 163, a content management unit 164, and a content transmission unit 165. Include.

콘텐츠 저장부(161)는 웹 서버(미도시)로부터 수신한 콘텐츠를 저장한다. 웹 서버로부터 수신한 콘텐츠는 웹 서버에 의해 제공되는 웹 사이트에 포함되는 이미지, 텍스트, 동영상 등을 포함한다.The content storage unit 161 stores the content received from the web server (not shown). The content received from the web server includes images, texts, videos, and the like included in the web site provided by the web server.

콘텐츠 저장부(161)는 이후에 네트워크 상의 임의의 단말로부터 동일한 콘텐츠의 요청을 수신한 경우, 예를 들어 동일한 웹 사이트에 대한 접속을 임의의 단말이 요청한 경우, 이전에 저장된 콘텐츠를 해당 단말로 제공할 수 있다.When the content storage unit 161 subsequently receives a request for the same content from any terminal on the network, for example, when any terminal requests access to the same website, the content storage unit 161 provides the previously stored content to the terminal. can do.

신뢰성 판단부(162)는 콘텐츠 저장부(161)에 저장된 콘텐츠의 신선도, 즉 신뢰성에 대한 판단을 수행한다. 전술한 바와 같이, 콘텐츠 저장부(161)에 저장된 콘텐츠의 저장 기간이 일정 수준 이상이 되는 경우, 콘텐츠 저장부(161)에 저장된 콘텐츠는 웹 서버에 의해 제공되는 콘텐츠와 상이할 수 있다.The reliability determination unit 162 determines the freshness of the content stored in the content storage unit 161, that is, the reliability. As described above, when the storage period of the content stored in the content storage unit 161 is more than a predetermined level, the content stored in the content storage unit 161 may be different from the content provided by the web server.

따라서, 신뢰성 판단부(162)는 저장된 콘텐츠의 저장 기간, 갱신 여부 등의 정보를 이용하여 저장된 콘텐츠의 신뢰성을 판단한다.Therefore, the reliability determination unit 162 determines the reliability of the stored content using information such as the storage period of the stored content, whether or not to update the stored content.

웹 서버 요청부(163)는 저장된 콘텐츠의 신뢰성이 일정 수준 미만인 경우 콘텐츠의 재사용 여부를 웹 서버에 요청하고, 저장된 콘텐츠가 재사용될 수 없는 경우 해당 콘텐츠의 전송을 웹 서버에 요청한다.The web server request unit 163 requests the web server to reuse the content if the reliability of the stored content is less than a certain level, and requests the web server to transmit the corresponding content if the stored content cannot be reused.

콘텐츠 관리부(164)는 웹 서버로부터 재사용 가능한 것으로 판단된 콘텐츠의 헤더 정보를 변경하고, 헤더 정보를 변경한 콘텐츠를 콘텐츠 저장부(161)에 저장한다.The content manager 164 changes the header information of the content determined to be reusable from the web server, and stores the changed content of the header information in the content storage unit 161.

콘텐츠 전송부(165)는 콘텐츠 저장부(161)에 저장된 콘텐츠를 해당 단말로 전송한다.The content transmitter 165 transmits the content stored in the content storage unit 161 to the corresponding terminal.

도 3은 본 발명의 일 실시예에 따른 웹 캐싱(caching) 모듈의 웹 캐싱 제공 방법의 흐름을 도시한 도면이다.3 is a flowchart illustrating a web caching providing method of a web caching module according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 웹 캐싱부(160)의 웹 캐싱 제공 방법은 도 4에 도시된 종래의 단말에서의 캐시 사용에 따른 프로세스와 비교될 수 있다. 즉, 종래의 단말에서의 캐시 사용 프로세스는 임의의 애플리케이션 등에서 저장 명령이 발생하면(S210), 저장 명령 처리를 위하여 캐시에 접근하고(S220), 운영 체제(OS)의 메모리 맵핑 테이블을 검색하여(S230) 맵핑 테이블에서 실제 메모리에 있는지 가상 메모리에 있는지 여부를 판단한다(S240). 판단 결과, 가상 메모리에 있으면 페이지 교환(page change) 즉, 실제 메모리에서 쓰지 않는 페이지를 폐기하고 히트(hit) 명령을 삽입한 후 캐시(cache)의 맵핑 테이블을 갱신하고, 실제 메모리에 있으면 캐시에 저장을 실행하여 저장 명령을 처리한다.Web caching providing method of the web caching unit 160 according to an embodiment of the present invention can be compared with the process of using the cache in the conventional terminal shown in FIG. That is, in a conventional cache use process, when a storage command occurs in an application or the like (S210), the cache is accessed for processing the storage command (S220), and the memory mapping table of the operating system (OS) is searched ( In operation S240, the mapping table determines whether the memory exists in the real memory or the virtual memory. Judgment shows that if it is in virtual memory, page change, that is, discarding pages that are not being written to in physical memory, inserting a hit instruction, then updating the cache's mapping table, and if in physical memory, Run the save to process the save command.

이러한 종래의 캐시 사용 프로세스에서의 단말의 구성과 웹 캐싱을 수행하는 경우에 사용되는 구성은 아래의 표2와 같이 비교될 수 있다.The configuration of the terminal and the configuration used when performing the web caching in the conventional cache use process can be compared as shown in Table 2 below.

대상object 대응 구성 요소Response component PC(단말)PC (terminal) CPUCPU 캐시(cache)Cache 메모리(RAM)Memory Web 클라이언트(PC)Client (PC) 웹 캐시 서버Web cache server 웹 사이트Website

위의 구성에서 웹 캐시 서버는 본 발명의 일 실시예에 따른 웹 캐싱부(160)이 될In the above configuration, the web cache server may be the web caching unit 160 according to an embodiment of the present invention.

수 있다..

이하에서 웹 캐싱부(160)에서 웹 캐싱이 제공되는 방법에 대하여 설명한다.Hereinafter, a method of providing web caching in the web caching unit 160 will be described.

단계(S205)에서, 웹 캐싱부(160)은 본 발명의 일 실시예에 따른 네트워크 통합 관리 게이트웨이에 연결된 네트워크 상의 단말로부터 컨텐츠 요청을 수신한다. 이 경우 웹 캐싱부(160)은 컨텐츠 요청과 함께 컨텐츠 정보를 수신할 수 있다. 컨텐츠 정보는 컨텐츠의 주소, 즉 컨텐츠를 제공하는 웹 서버의 주소 등을 포함할 수 있다.In step S205, the web caching unit 160 receives a content request from the terminal on the network connected to the network integrated management gateway according to an embodiment of the present invention. In this case, the web caching unit 160 may receive content information together with the content request. The content information may include an address of the content, that is, an address of a web server providing the content.

단계(S210)에서, 웹 캐싱부(160)에 단계(S205)에서 요청된 컨텐츠가 존재하는지 여부를 판단한다. 전술한 바와 같이, 웹 캐싱에서 네트워크 상의 임의의 단말이 수신한 컨텐츠는 웹 캐시 서버, 즉 웹 캐싱부(160)에 저장된다.In step S210, it is determined whether the content requested in step S205 exists in the web caching unit 160. As described above, the content received by any terminal on the network in the web caching is stored in the web cache server, that is, the web caching unit 160.

따라서, 단계(S205)에서 요청된 컨텐츠가 이미 웹 캐싱부(160)에 저장되었는지 여부를 단계(S205)에서 수신한 컨텐츠 정보를 이용하여 판단한다. 예를 들어 웹 캐싱부(160)은 저장된 컨텐츠 중에서 단말로부터 요청된 컨텐츠의 주소에 대응하는 컨텐츠를 검색하여 요청된 컨텐츠의 존재 여부를 판단할 수 있다.Therefore, whether the content requested in step S205 is already stored in the web caching unit 160 is determined using the content information received in step S205. For example, the web caching unit 160 may determine whether the requested content exists by searching for the content corresponding to the address of the content requested from the terminal among the stored content.

단계(S215)에서는, 단계(S210)에서 요청된 컨텐츠가 웹 캐싱부(160)에 존재하지 않는 것으로 판단되는 경우, 웹 캐싱부(160)은 요청된 컨텐츠를 제공하는 웹 서버로부터 컨텐츠를 수신하고, 수신한 컨텐츠를 해당 단말로 전송한다.In step S215, when it is determined that the content requested in step S210 does not exist in the web caching unit 160, the web caching unit 160 receives the content from a web server that provides the requested content. The received content is transmitted to the corresponding terminal.

단계(S220)에서, 단계(S210)에서 요청된 컨텐츠가 웹 캐싱부(160)에 존재하는 것으로 판단되는 경우, 웹 캐싱부(160)은 저장된 컨텐츠의 신선도를 판단한다. 웹 캐싱부(160)에 컨텐츠가 저장된 후 상당한 시간이 흐른 경우, 웹 캐싱부(160)에 저장된 컨텐츠는 현재 웹 서버에서 제공하는 컨텐츠와 주소는 동일할지라도 내용은 상이할 수 있다. 따라서, 웹 캐싱부(160)은 저장된 컨텐츠의 신선도, 즉 컨텐츠의 신뢰도를 판단하여야 한다.In step S220, when it is determined that the content requested in step S210 exists in the web caching unit 160, the web caching unit 160 determines the freshness of the stored content. If a considerable time passes after the content is stored in the web caching unit 160, the content stored in the web caching unit 160 may be different from the content provided by the web server even though the address is the same. Accordingly, the web caching unit 160 should determine the freshness of the stored content, that is, the reliability of the content.

단계(S225)에서는, 단계(S220)에서 웹 캐싱부(160)에 저장된 컨텐츠의 신선도, 즉 신뢰도가 일정 수준 이상이라고 판단되는 경우, 웹 캐싱부(160)은 저장된 컨텐츠를 해당 단말로 전송한다.In step S225, when it is determined in step S220 that the freshness, that is, the reliability, of the content stored in the web caching unit 160 is greater than or equal to a certain level, the web caching unit 160 transmits the stored content to the corresponding terminal.

단계(S230)에서, 단계(S220)에서 웹 캐싱부(160)에 저장된 컨텐츠의 신선도, 즉 신뢰도가 일정 수준 미만이라고 판단되는 경우, 요청된 컨텐츠를 제공하는 웹 서버로 저장된 컨텐츠가 사용 가능하지 여부에 대한 판단을 요청한다. 즉, 웹 캐싱부(160)은 저장된 컨텐츠가 현재 웹 서버에 의해 제공되는 컨텐츠와 동일한지 여부의 확인을 웹 서버에 요청한다.In step S230, if it is determined in step S220 that the freshness, that is, the reliability, of the content stored in the web caching unit 160 is less than a predetermined level, whether the content stored in the web server providing the requested content is available. Request a judgment on. That is, the web caching unit 160 requests the web server to confirm whether the stored content is the same as the content currently provided by the web server.

단계(S235)에서, 단계(S230)에서 요청한 판단 결과를 수신하고, 단계(S240)에서, 수신한 판단 결과를 기초로 웹 캐싱부(160)에 저장된 컨텐츠가 재사용 가능한지 여부를 판단한다.In step S235, the determination result requested in step S230 is received, and in step S240, it is determined whether the content stored in the web caching unit 160 is reusable based on the received determination result.

단계(S245)에서는, 단계(S240)에서 웹 캐싱부(160)에 저장된 컨텐츠가 재사용될 수 있는 것으로 판단된 경우, 웹 캐싱부(160)에 저장된 컨텐츠의 헤더 정보를 변경하여, 이 후에 해당 컨텐츠의 신선도를 판단하는 경우 이용될 수 있도록 한다.In step S245, when it is determined in step S240 that the content stored in the web caching unit 160 may be reused, the header information of the content stored in the web caching unit 160 is changed, and then the corresponding content is changed. It can be used to determine the freshness of the.

단계(S250)에서, 웹 캐싱부(160)은 저장된 컨텐츠를 해당 단말로 전송한다.In step S250, the web caching unit 160 transmits the stored content to the terminal.

단계(S255)에서는, 단계(S240)에서 웹 캐싱부(160)에 저장된 컨텐츠가 재사용될 수 없는 것으로 판단된 경우, 해당 컨텐츠를 웹 서버로부터 수신하여 웹 캐싱부(160)에 저장하여 업데이트한다.In step S255, if it is determined in step S240 that the content stored in the web caching unit 160 cannot be reused, the content is received from the web server and stored in the web caching unit 160 to be updated.

단계(S260)에서, 웹 캐싱부(160)은 새롭게 수신하여 저장한 컨텐츠를 해당 단말로 전송한다.In step S260, the web caching unit 160 transmits the newly received and stored content to the terminal.

다시 도 1로 돌아가서 설명하면, 임베디드 OS 관리부(170)는 OS(Operating System) 커널(kernel), 필터링부(120), 데이터 탐지부(130), 트래픽 측정부(140), VPN 제공부(150) 및 웹 캐싱부(160)에 대한 제어를 위한 어플리케이션의 소스를 관리한다. 여기서, 임베디드 OS 관리부(170)는 오픈 소스 기반의 어플리케이션 소스 및 임베디드 운영체제(OS) 소스를 관리할 수 있으며, OS는 리눅스 기반으로 이루어질 수 있다. 이때 운영체제의 보안을 위해, 운영체제의 커널 소스 코드에 보안 기능이 추가되거나, 적재가능 커널 모듈로서 LKM(Loadable Kernel Module) 방식으로 운영체제 커널에 보안 기능이 추가될 수 있다.Referring back to FIG. 1, the embedded OS manager 170 may include an operating system (OS) kernel, a filter 120, a data detector 130, a traffic measurer 140, and a VPN provider 150. And the source of the application for controlling the web caching unit 160. Here, the embedded OS manager 170 may manage an open source based application source and an embedded operating system (OS) source, and the OS may be based on Linux. At this time, for the security of the operating system, a security function may be added to the kernel source code of the operating system, or a security function may be added to the operating system kernel in a loadable kernel module (LKM) manner as a loadable kernel module.

이때, 상술한 바와 같이 OS 커널에 아이피테이블이 포함될 수 있으며, 이를 통한 침입 탐지가 수행될 수 있다.In this case, as described above, the IP kernel may be included in the OS kernel, and intrusion detection may be performed through this.

본 발명의 일 실시예에 따른 임베디드 OS 관리부(170)에 대해 uClibc 컴파일러를 이용한 커널컴파일이 수행될 수 있다. 즉, 본 발명의 일 실시예에서, OS 커널 및 어플리케이션 소스는 플래시(Flash) DOM(Disk On Module)에 설치되며, uClibc 컴파일러를 이용한 커널컴파일이 수행되며, 커널컴파일 진행의 예시는 아래표3과 같다.Kernel compilation using the uClibc compiler may be performed on the embedded OS management unit 170 according to an embodiment of the present invention. That is, in one embodiment of the present invention, the OS kernel and the application source is installed in a Flash (Disk On Module), the kernel compilation using the uClibc compiler is performed, examples of kernel compilation progress is shown in Table 3 below. same.

cd /usr/src/linux
make menuconfig
make clean
# .config 파일 분석
make dep
cp /usr/src/makebz.sh /usr/src/linux/makebz.sh

######## makebz.sh 내용 시작########
nohup make bzImage >> /tmp/compile.log 2>&1
######## makebz.sh 내용 끝########

./makebz.sh
#make bzImage

# upx 를 이용하여 bzImage 압축
cd /usr/src
cd /usr/src/upx-1.90-linux/
./upx --best -f -o linux.upx /usr/src/linux/arch/i386/boot/bzImage

# Modules Make
cd /usr/src/linux
make modulescd / usr / src / linux
make menuconfig
make clean
# .config file analysis
make dep
cp /usr/src/makebz.sh /usr/src/linux/makebz.sh

######## start makebz.sh content ########
nohup make bzImage >> /tmp/compile.log 2>& 1
######## makebz.sh End of content ########

./makebz.sh
#make bzImage

# Compress bzImage using upx
cd / usr / src
cd /usr/src/upx-1.90-linux/
./upx --best -f -o linux.upx / usr / src / linux / arch / i386 / boot / bzImage

# Modules Make
cd / usr / src / linux
make modules

위의 예시에서, 'make menuconfig' 명령이 수행된 후, 커널컴파일의 옵션이 설정된다.In the above example, after the 'make menuconfig' command is executed, the options for kernel compilation are set.

'make clean' 명령에 의해 커널컴파일을 실행하기 전에 기존에 설정된 값이 초기화되며, 'make dep' 명령에 의해 menuconfig에서 설정된 설정 값의 의존성 부분이 체크될 수 있다. 'make bzImag' 명령에 의해 실제 커널이 컴파일될 수 있다.Before the kernel compile is executed by the 'make clean' command, the previously set values are initialized and the dependencies of the configuration values set in the menuconfig can be checked by the 'make dep' command. The actual kernel can be compiled with the command 'make bzImag'.

'make menuconfig'에서 선택한 커널컴파일 옵션의 예시는 아래의 표 4와 같다.An example of kernel compilation options selected in 'make menuconfig' is shown in Table 4 below.

#
# Automatically generated by make menuconfig: don't edit
#
CONFIG_X86=y
# CONFIG_SBUS is not set
CONFIG_UID16=y

#
# Code maturity level options
#
CONFIG_EXPERIMENTAL=y

#
# Loadable module support
#
CONFIG_MODULES=y
# CONFIG_MODVERSIONS is not set
# CONFIG_KMOD is not set

#
# Processor type and features
#
# CONFIG_M386 is not set
CONFIG_M486=y
# CONFIG_M586 is not set
# CONFIG_M586TSC is not set
# CONFIG_M586MMX is not set
# CONFIG_M686 is not set
# CONFIG_MPENTIUMIII is not set
# CONFIG_MPENTIUM4 is not set
# CONFIG_MK6 is not set
# CONFIG_MK7 is not set



########## 중 략 ############

#
# Network Protections
#
CONFIG_GRKERNSEC_RANDNET=y
CONFIG_GRKERNSEC_RANDISN=y
CONFIG_GRKERNSEC_RANDID=y
CONFIG_GRKERNSEC_RANDSRC=y
CONFIG_GRKERNSEC_RANDRPC=y
# CONFIG_GRKERNSEC_SOCKET is not set

#
# Sysctl support
#
# CONFIG_GRKERNSEC_SYSCTL is not set

#
# Logging options
#
CONFIG_GRKERNSEC_FLOODTIME=10
CONFIG_GRKERNSEC_FLOODBURST=4#
# Automatically generated by make menuconfig: don't edit
#
CONFIG_X86 = y
# CONFIG_SBUS is not set
CONFIG_UID16 = y

#
# Code maturity level options
#
CONFIG_EXPERIMENTAL = y

#
# Loadable module support
#
CONFIG_MODULES = y
# CONFIG_MODVERSIONS is not set
# CONFIG_KMOD is not set

#
# Processor type and features
#
# CONFIG_M386 is not set
CONFIG_M486 = y
# CONFIG_M586 is not set
# CONFIG_M586TSC is not set
# CONFIG_M586MMX is not set
# CONFIG_M686 is not set
# CONFIG_MPENTIUMIII is not set
# CONFIG_MPENTIUM4 is not set
# CONFIG_MK6 is not set
# CONFIG_MK7 is not set



########## Omit ############

#
# Network Protections
#
CONFIG_GRKERNSEC_RANDNET = y
CONFIG_GRKERNSEC_RANDISN = y
CONFIG_GRKERNSEC_RANDID = y
CONFIG_GRKERNSEC_RANDSRC = y
CONFIG_GRKERNSEC_RANDRPC = y
# CONFIG_GRKERNSEC_SOCKET is not set

#
# Sysctl support
#
# CONFIG_GRKERNSEC_SYSCTL is not set

#
# Logging options
#
CONFIG_GRKERNSEC_FLOODTIME = 10
CONFIG_GRKERNSEC_FLOODBURST = 4

커널컴파일 옵션 설정은 커널컴파일에서 중요하며, 커널에 설정될 값들이 수정될 수 있다. 즉, 권고(recommend) 값 및 임베디드 OS 관리부(170)에서 필요한 부분을 설정하고, 필요하지 않은 부분을 커널에서 제외시켜 임베디드 OS 관리부(170)의 처리 속도 등이 개선될 수 있다.Kernel compilation option settings are important in kernel compilation, and the values that are set in the kernel can be modified. That is, the processing speed of the embedded OS management unit 170 may be improved by setting a recommended value and a necessary part in the embedded OS manager 170 and excluding unnecessary parts from the kernel.

위의 예시에서, 'Y'는 커널에 해당 설정을 포함을 시키는 것을 나타내며, 'N'는 커널에서 해당 설정을 제외시키는 것을 나타낸다. 'M'은 해당 설정을 모듈(Module)화시키고, 이후에 필요한 경우 활성화하여 사용할 수 있는 상태로 설정하는 것을 나타낸다. 이처럼 모듈로 설정된 부분에 대한 컴파일은 커널컴파일이 수행된 후 별도로 "make module" 명령에 의해 수행될 수 있다.In the example above, 'Y' indicates the kernel includes the configuration, and 'N' indicates the kernel excludes the configuration. 'M' indicates that the setting is modularized and then activated and used if necessary. Thus, the compilation for the module set part can be executed by "make module" command after kernel compilation is executed.

구동부(180)는 어플리케이션을 구동시켜 통합 보안 게이트웨이 장치 내의 각각의 모듈에 대한 동작 제어를 수행한다.The driver 180 drives an application to perform operation control on each module in the integrated security gateway device.

다국어 제공부(190)는 통합 보안 게이트웨이 장치(100)의 운영체제에 대한 다국어를 지원한다. 이때, 한글, 영어, 중국어 등의 다양한 언어로 통합 보안 게이트웨이 장치(100)의 운영체제에 대한 언어가 제공되어, 시스템 운영 및 관리상의 편리성과 제품의 시장 확대를 높일 수 있다.The multilanguage provider 190 supports multiple languages for the operating system of the integrated security gateway device 100. At this time, the language for the operating system of the integrated security gateway device 100 is provided in various languages such as Korean, English, Chinese, etc., thereby increasing the convenience of system operation and management and expanding the market of the product.

상술된 도 2의 콘텐츠 저장부(161)는 캐쉬, ROM(Read Only Memory), PROM(Programmable ROM), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 및 플래쉬 메모리(Flash memory)와 같은 비휘발성 메모리 소자 또는 RAM(Random Access Memory)과 같은 휘발성 메모리 소자 또는 하드디스크 드라이브(HDD, Hard Disk Drive), CD-ROM과 같은 저장 매체 중 적어도 하나로 구현될 수 있으나 이에 한정되지는 않는다. The above-described content storage unit 161 of FIG. 2 may include a cache, a read only memory (ROM), a programmable ROM (PROM), an erasable programmable ROM (EPROM), an electrically erasable programmable ROM (EEPROM), and a flash memory. A nonvolatile memory device or a volatile memory device such as a random access memory (RAM), or a storage medium such as a hard disk drive (HDD) or a CD-ROM may be implemented as at least one, but is not limited thereto.

도 1 및 도 2에서 도시된 각각의 구성요소는 일종의 '모듈'로 구성될 수 있다. 상기 '모듈'은 소프트웨어 또는 Field Programmable Gate Array(FPGA) 또는 주문형 반도체(ASIC, Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, 모듈은 어떤 역할들을 수행한다. 그렇지만 모듈은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. 모듈은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다. 구성요소들과 모듈들에서 제공되는 기능은 더 작은 수의 구성요소들 및 모듈들로 결합되거나 추가적인 구성요소들과 모듈들로 더 분리될 수 있다.Each component illustrated in FIGS. 1 and 2 may be configured as a kind of 'module'. The 'module' refers to a hardware component such as software or a field programmable gate array (FPGA) or an application specific integrated circuit (ASIC), and the module plays a role. However, modules are not meant to be limited to software or hardware. A module may be configured to reside on an addressable storage medium and may be configured to execute one or more processors. The functionality provided by the components and modules may be combined into a smaller number of components and modules or further separated into additional components and modules.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The foregoing description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.

110: 통신 인터페이스 120: 필터링부
130: 데이터 탐지부 140: 트래픽 측정부
150: VPN 제공부 160: 웹 캐싱부
161: 콘텐츠 저장부 162: 신뢰성 판단부
163: 웹 서버 요청부 164: 콘텐츠 관리부
165: 콘텐츠 전송부 170: 임베디드 OS 관리부
180: 구동부 190: 다국어 제공부110: communication interface 120: filtering unit
130: data detection unit 140: traffic measurement unit
150: VPN provider 160: Web caching unit
161: content storage unit 162: reliability determination unit
163: web server request unit 164: content management unit
165: content transmission unit 170: embedded OS management unit
180: driving unit 190: multi-language providing unit

Claims (6)

통합 보안 게이트웨이 장치에 있어서,
호스트와 호스트 또는 호스트와 클라이언트 간에 설정된 인증키 및 IP(Internet Protocol) 주소 인증을 이용하여 가상 사설망(VPN, virtual private network)을 제공하는 VPN 제공부,
상기 가상 사설망을 통해 연결된 웹 서버로부터 수신한 콘텐츠를 저장하여, 상기 콘텐츠를 제공받고자 상기 웹 서버에 접속을 요청한 단말로 상기 저장된 콘텐츠를 제공하여 상기 단말의 상기 웹 서버로의 접속에 따른 네트워크 트래픽을 감소시키는 웹 캐싱부,
상기 가상 사설망을 통해 수신된 데이터 패킷을 검사하여 해당 데이터 패킷에 대한 차단 여부를 판단하는 데이터 탐지부,
상기 데이터 패킷의 송수신에 따른 네트워크 트래픽을 측정하는 트래픽 측정부,
운영체제(OS, Operating System) 커널(kernel), 상기 VPN 제공부, 웹 캐싱부, 데이터 탐지부 및 트래픽 측정부의 제어를 위한 어플리케이션의 소스 관리를 수행하는 임베디드 OS 관리부 및
상기 어플리케이션을 구동시켜 상기 통합 보안 게이트웨이 장치 내의 각각의 모듈에 대한 동작 제어를 수행하는 구동부를 포함하되,
상기 데이터 탐지부는 상기 데이터 패킷의 로깅(logging) 정보에 대한 검사를 수행하여 상기 운영체제 커널의 영역에 포함된 아이피테이블을 기초로 인가되지 않은 IP 주소를 가진 단말의 데이터 패킷을 차단하는 것인
통합 보안 게이트웨이 장치.
An integrated security gateway device,
VPN provider that provides a virtual private network (VPN) using an authentication key and IP (Internet Protocol) address authentication set between the host and the host or the host and the client,
Stores content received from a web server connected through the virtual private network, provides the stored content to a terminal requesting access to the web server to receive the content, and provides network traffic according to the access of the terminal to the web server. Reducing web caching unit,
A data detector for inspecting a data packet received through the virtual private network to determine whether to block the corresponding data packet;
Traffic measuring unit for measuring the network traffic according to the transmission and reception of the data packet,
An operating system (OS) kernel, an embedded OS management unit that performs source management of an application for controlling the VPN provider, the web caching unit, the data detector, and the traffic measurement unit;
A driving unit for driving the application to perform the operation control for each module in the integrated security gateway device,
The data detector blocks the data packet of a terminal having an unauthorized IP address based on an IP table included in an area of the operating system kernel by performing a check on logging information of the data packet.
Integrated security gateway device.
제 1 항에 있어서,
상기 데이터 탐지부는 상기 데이터 패킷의 패턴과 미리 정의된 침입 패턴을 상호 비교하여, 상기 데이터 패킷의 패턴이 상기 침입 패턴에 포함된 경우 상기 데이터 패킷을 차단하는 것인 통합 보안 게이트웨이 장치.
The method of claim 1,
And the data detector compares the pattern of the data packet with a predefined intrusion pattern to block the data packet when the pattern of the data packet is included in the intrusion pattern.
제 1 항에 있어서,
상기 데이터 탐지부는
상기 데이터 패킷에 포함된 URL(Uniform Resource Locator) 및 키워드 정보 중 하나 이상을 이용하여, 인가되지 않은 URL 또는 키워드 정보를 포함하고 있을 경우 상기 데이터 패킷을 차단하는 것인 통합 보안 게이트웨이 장치.
The method of claim 1,
The data detector is
And block the data packet when the URL or the keyword information is not included by using at least one of Uniform Resource Locator (URL) and keyword information included in the data packet.
제 1 항에 있어서,
상기 VPN 제공부는
ISAKMP(IPSec Key Exchange and Management Protocols)을 이용하여 상기 호스트와 호스트 또는 호스트와 클라이언트 간에 상기 인증키를 교환하고, 상기 데이터 패킷에 대하여 인증 헤더(authentication header)를 이용하여 무결성을 확인하고, 보안 페이로드 캡슐화(ESP, Encapsulating Security Payload)를 이용하여 상기 호스트와 호스트 또는 호스트와 클라이언트 간에 교환되는 데이터 패킷을 암호화하되,
상기 VPN 제공부에 설정된 인증키 및 IP 주소는 오픈스완(openswan) 소스를 통해 설정되는 것인 통합 보안 게이트웨이 장치.
The method of claim 1,
The VPN provider
Exchange the authentication key between the host and host or host and client using IPSec Key Exchange and Management Protocols (ISAKMP), verify integrity using an authentication header for the data packet, and secure payload Encapsulating Security Payload (ESP) is used to encrypt data packets exchanged between the host and the host or host and client,
The authentication key and the IP address set in the VPN provider unit is configured through an openswan (openswan) source.
제 1 항에 있어서,
상기 웹 캐싱부는
상기 가상 사설망을 통해 연결된 제 1 단말이 요청한 제 1 콘텐츠를 저장하는 콘텐츠 저장부,
상기 가상 사설망을 통해 연결된 제 2 단말에 의해 상기 제 1 콘텐츠의 주소와 동일한 주소의 제 2 콘텐츠가 요청된 경우, 상기 제 1 콘텐츠의 신뢰성을 판단하는 신뢰성 판단부,
상기 제 1 콘텐츠의 신뢰성이 일정 수준 미만인 경우, 상기 제 1 콘텐츠의 재사용 여부를 상기 제 2 콘텐츠의 주소에 대응하는 상기 웹 서버에 요청하는 웹 서버 요청부,
상기 웹 서버로부터 상기 제 1 콘텐츠의 재사용이 가능하다는 응답을 수신한 경우, 상기 제 1 콘텐츠의 헤더 정보를 변경하고 상기 헤더 정보가 변경된 제 1 콘텐츠를 상기 콘텐츠 저장부에 저장하는 콘텐츠 관리부 및
상기 헤더 정보가 변경된 콘텐츠를 상기 제 2 단말로 전송하는 콘텐츠 전송부를 포함하는 것인 통합 보안 게이트웨이 장치.
The method of claim 1,
The web caching unit
A content storage unit storing first content requested by a first terminal connected through the virtual private network;
A reliability determination unit for determining the reliability of the first content when the second content having the same address as the address of the first content is requested by a second terminal connected through the virtual private network;
If the reliability of the first content is less than a predetermined level, the web server request unit for requesting whether or not to reuse the first content to the web server corresponding to the address of the second content,
A content management unit for changing the header information of the first content and storing the first content whose header information has been changed in the content storage unit when receiving a response indicating that the first content can be reused from the web server;
And a content transmitter for transmitting the changed content of the header information to the second terminal.
제 1 항에 있어서,
상기 통합 보안 게이트웨이 장치의 운영체제에 대한 다국어를 지원하는 다국어 제공부를 더 포함하는 통합 보안 게이트웨이 장치.The method of claim 1,
Integrated security gateway device further comprising a multi-language providing unit for supporting the multi-language for the operating system of the integrated security gateway device.
KR1020100120524A 2009-11-30 2010-11-30 Unified security gateway device KR20110060859A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090116583 2009-11-30
KR20090116583 2009-11-30

Publications (1)

Publication Number Publication Date
KR20110060859A true KR20110060859A (en) 2011-06-08

Family

ID=44395509

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100120524A KR20110060859A (en) 2009-11-30 2010-11-30 Unified security gateway device

Country Status (1)

Country Link
KR (1) KR20110060859A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220072659A (en) 2020-11-25 2022-06-02 주식회사 푸시풀시스템 SECURITY CONSTRUCTION METHOD OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN
KR20230112819A (en) 2022-01-21 2023-07-28 주식회사 푸시풀 SECURITY CONSTRUCTION SYSTEM OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN AND ITS METHOD

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220072659A (en) 2020-11-25 2022-06-02 주식회사 푸시풀시스템 SECURITY CONSTRUCTION METHOD OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN
KR20230112819A (en) 2022-01-21 2023-07-28 주식회사 푸시풀 SECURITY CONSTRUCTION SYSTEM OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN AND ITS METHOD

Similar Documents

Publication Publication Date Title
US9491142B2 (en) Malware analysis system
US11695800B2 (en) Deceiving attackers accessing network data
EP3295359B1 (en) Detection of sql injection attacks
JP2020095753A (en) Automated runtime detection of malware
AU2012259113A1 (en) Malware analysis system
JP2010079901A (en) Method for graduated enforcement of restriction according to application reputation and computer program thereof
US20090193503A1 (en) Network access control
KR20050120875A (en) Method for securing system using server security solution and network security solution, and security system implementing the same
CN109688153B (en) Zero-day threat detection using host application/program to user agent mapping
US11374946B2 (en) Inline malware detection
US11729134B2 (en) In-line detection of algorithmically generated domains
US11636208B2 (en) Generating models for performing inline malware detection
JP2024023875A (en) Inline malware detection
US9705898B2 (en) Applying group policies
KR20110060859A (en) Unified security gateway device
TWI764618B (en) Cyber security protection system and related proactive suspicious domain alert system
US11451584B2 (en) Detecting a remote exploitation attack
KR101124634B1 (en) integrated management system of network based on embedded operating gateway
US20230247062A1 (en) Systems and methods for automated neutralization of ids detected malware threats
Liakopoulos Malware analysis & C2 covert channels
GB2489936A (en) Preventing cyber attack damage by reloading a copy of a master copy of an operating system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee