WO2024177384A1 - 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 - Google Patents

Abstract

본 문서에 개시되는 실시예에 따르면, 게이트웨이는, 통신 회로, 메모리, 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 서비스 요청을 위한 데이터 패킷을 노드로부터 수신하고, 상기 데이터 패킷에 대응되는 채널이 존재하는지 여부를 확인하고, 상기 채널이 존재하는 것으로 확인되면, 상기 데이터 패킷의 목적지 네트워크로 상기 데이터 패킷을 포워딩하고, 상기 채널이 존재하지 않는 것으로 확인되면, 상기 데이터 패킷을 외부 서버로 포워딩하고, 상기 데이터 패킷을 상기 외부 서버로 포워딩한 후, 상기 노드에 대한 인증 결과에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하도록 구성될 수 있다.

Description

네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

관련출원과의 상호인용

본 발명은 2023.02.21.에 출원된 한국 특허 출원 제10-2023-0022775호에 기초한 우선권의 이익을 주장하며, 해당 한국 특허 출원의 문헌에 개시된 모든 내용을 본 명세서의 일부로 포함한다.

기술분야

본 문서에 개시되는 실시예들은 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법에 관한 것이다.

다수의 장치들은 네트워크를 통해서 데이터를 통신할 수 있다. 예를 들어, 단말은 인터넷을 통해 서버와 데이터를 송신하거나 수신할 수 있다. 네트워크는 인터넷과 같은 공용 네트워크(public network)뿐만 아니라 인트라넷과 같은 사설 네트워크(private network)를 포함할 수 있다.

터널링 또는 데이터 패킷에 포함된 인증 정보를 사용하여 노드의 네트워크 접속을 제어할 경우, 허용되지 않은 노드 또는 안전하지 않은 노드가 목적지 네트워크에 접속하는 것을 사전에 차단할 수 있게 된다.

종래에 위와 같은 방식으로 노드의 네트워크 접속을 제어하고자, 목적지 네트워크(대상 서비스)의 경계에 존재하는 게이트웨이가, 최소한의 접속 제어 단위인 터널링 또는 데이터 패킷에 포함된 인증 정보를 사용하여 노드의 인가 여부 등을 확인하기 위해서는, 인증 정보를 생성하는 접속 제어 애플리케이션(네트워크 접속 제어 애플리케이션)이 노드에 설치되어야 한다.

만약, 접속 제어 애플리케이션이 설치되지 않은 상태에서 노드가 대상 서비스에 접속하고자 시도하는 경우, 목적지 네트워크에 대한 접속이 차단되는데, 노드의 사용자 입장에서는 어떤 이유로 목적지 네트워크에 대한 접속이 차단되는지 전혀 알 수 없는 문제점이 존재한다.

또한, 접속 제어 애플리케이션을 설치할 수 없는 경우(예: 접속 제어 애플리케이션을 설치하기 위해 필요한 기술 지원이 종료된 구버전의 운영체제가 설치된 노드, 하드웨어의 절대적인 사양이 낮은 저전력 IoT, 접속 제어 애플리케이션이 지원하지 않는 운영체제가 설치된 노드 등), 해당 노드는 목적지 네트워크에 대한 접속이 불가능한 문제점이 존재한다.

본 문서에 개시되는 실시예에 따른 게이트웨이는, 통신 회로, 메모리, 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 서비스 요청을 위한 데이터 패킷을 노드로부터 수신하고, 상기 데이터 패킷에 대응되는 채널이 존재하는지 여부를 확인하고, 상기 채널이 존재하는 것으로 확인되면, 상기 데이터 패킷의 목적지 네트워크로 상기 데이터 패킷을 포워딩하고, 상기 채널이 존재하지 않는 것으로 확인되면, 상기 데이터 패킷을 외부 서버로 포워딩하고, 상기 데이터 패킷을 상기 외부 서버로 포워딩한 후, 상기 노드에 대한 인증 결과에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하도록 구성될 수 있다.

또한, 본 문서에 개시되는 실시예에 따른 외부 서버는, 통신 회로, 메모리, 및 상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는, 서비스 요청을 위한 데이터 패킷이 획득되면, 상기 데이터 패킷을 참조하여 인증 지원 정보를 상기 노드로 전송하고, 상기 인증 지원 정보에 기반하여 상기 노드로부터 출발지 IP(internet protocol)를 포함하는 네트워크 접속 요청을 획득하고, 상기 네트워크 접속 요청에 포함된 정보에 기반하여 상기 목적지 네트워크에 상기 노드가 접속 가능한지 확인하고, 접속이 가능한 것으로 확인되면, 채널에 대한 정보를 게이트웨이에 전송하도록 구성될 수 있다.

또한, 본 문서에 개시되는 실시예에 따른 게이트웨이의 동작 방법은, 서비스 요청을 위한 데이터 패킷을 노드로부터 수신하는 단계, 상기 데이터 패킷에 대응되는 데이터 플로우 및 보안 세션이 존재하는지 여부를 확인하는 단계 및 상기 데이터 플로우 및 상기 보안 세션이 존재하는 것으로 확인되면, 상기 데이터 패킷의 목적지 네트워크로 상기 데이터 패킷을 포워딩하고, 상기 데이터 플로우 및 상기 보안 세션이 존재하지 않는 것으로 확인되면, 상기 데이터 패킷을 외부 서버로 포워딩한 후, 상기 노드에 대한 인증 결과에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하는 단계를 포함할 수 있다.

본 문서에 개시되는 실시예들에 따르면, 노드에 접속 제어 애플리케이션이 설치되지 않은 경우에도, 노드가 대상 서비스에 접속할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따르면, 접속 제어 애플리케이션을 설치하는 노드에 제1 접근 권한이 부여되고, 인증 프로세스를 수행하는 노드에 제2 접근 권한이 부여됨으로써 노드가 대상 서비스에 효율적으로 접속할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따르면, 허용되지 않은 목적지 네트워크로 데이터 패킷이 무단으로 전송되는 것을 방지할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따르면, 노드에 설치된 대상 애플리케이션이 종료되었을 경우 또는 연동 시스템으로부터 수신한 보안 이벤트에 기반하여 터널 또는 데이터 플로우를 회수함으로써 목적지 네트워크의 보안성을 향상할 수 있다.

또한, 본 문서에 개시되는 실시예들에 따르면, 복수의 노드로부터 수신된 데이터 패킷들이 동일한 출발지 IP를 포함하는 경우에도, 채널에 기반하여 각각의 노드에 대해 독립적으로 네트워크 접속을 제어할 수 있다.

이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.

도 1은 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.

도 2는 다양한 실시예들에 따라 제어 서버에 저장된 데이터베이스를 나타내는 기능적 블록도이다.

도 3은 다양한 실시예들에 따른 게이트웨이의 기능적 블록도를 나타낸다.

도 4a 및 도 4b는 다양한 실시예들에 따라 데이터 패킷의 전송을 제어하는 동작을 설명한다.

도 5는 접속 제어 애플리케이션이 설치되지 않은 노드가 서비스 서버에 접속하고자 하는 경우에 게이트웨이의 동작을 설명하기 위한 도면이다.

도 6 내지 도 10은 접속 제어 애플리케이션이 설치되지 않은 노드에 관련된 동작을 설명하기 위한 도면이다.

도 11은 논리적 연결 생성에 필요한 인증 정보와 관련된 다양한 실시예들에 따른 데이터 패킷을 설명하기 위한 도면이다.

도 12 내지 도 16는 접속 제어 애플리케이션이 설치된 노드에 관련된 동작을 설명하기 위한 도면이다.

도 17은 프로토콜 검사 과정을 설명하기 위한 도면이다.

도 18은 게이트웨이가 보안 세션을 생성하는 과정을 개략적으로 도시한 흐름도이다.

도 19는 게이트웨이가 서비스 요청을 처리하는 과정을 설명하기 위한 도면이다.

도 20은 데이터 플로우 헤더가 삽입된 서비스 요청 정보의 구조를 설명하기 위한 도면이다.

도면의 설명과 관련하여, 동일 또는 유사한 구성요소에 대해서는 동일 또는 유사한 참조 부호가 사용될 수 있다.

이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.

본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나”, "A, B 또는 C", "A, B 및 C 중 적어도 하나” 및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.

본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.

본 문서에서 사용되는 용어 "모듈", 또는 “...부”는 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다.

본 문서의 다양한 실시 예들은 기기(machine)에 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서, '비일시적'은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다.

본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory(CD-ROM))의 형태로 배포되거나, 또는 애플리케이션 스토어를 통해 또는 두 개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품의 적어도 일부는 제조사의 서버, 애플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.

도 1은 다양한 실시예들에 따른 네트워크 환경 내의 아키텍처를 나타낸다.

도 1을 참조하면, 노드(103_1, 103_2)는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 다른 예를 들어, 노드(103_1, 103_2)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 노드(103_1, 103_2)는 '전자 장치' 또는 '단말'로도 참조될 수 있다.

게이트웨이(101)는 노드(103_1, 103_2)와 연결될 수 있다. 예를 들어, 게이트웨이(101)는, 제어 서버(102)에 의해서 인가된 데이터 플로우가 존재하여야 통신이 가능한 구조를 노드(103_1, 103_2)에 제공함으로써 노드(103_1, 103_2)가 서비스 서버(105_1, 105_2)에 접속하도록 지원할 수 있다. 또한, 게이트웨이(101)는, 데이터 플로우가 존재하지 않는 경우 통신을 수행할 수 없는 구조를 노드(103_1, 103_2)에 제공할 수 있다.

실시예에 따르면, 게이트웨이(101)는 목적지 네트워크로의 접속을 위한 데이터 패킷을 노드로부터 수신하고, 데이터 패킷에 대응되는 채널(가령, 터널 또는 보안 세션 등)이 존재하는지 여부를 확인하고, 채널이 존재하는 것으로 확인되면, 데이터 패킷을 목적지 네트워크로 포워딩함으로써 노드의 서비스 요청이 처리되도록 지원할 수 있다. 만약, 채널이 존재하지 않는 것으로 확인되면, 데이터 패킷을 외부 서버(가령, 인증 서버(104))로 포워딩하여 노드에 대한 인증이 이루어지도록 지원할 수 있다. 그리고, 노드에 대한 인증 결과에 따라 외부 서버로부터 채널에 대한 정보를 수신할 수 있다.

실시예에 따르면, 게이트웨이(101)는, 채널이 존재하는 것으로 확인되면, 데이터 패킷에 대응되는 데이터 플로우가 존재하는지 여부를 확인하고, 데이터 플로우가 존재하는 것으로 확인되면, 목적지 네트워크로 데이터 패킷을 포워딩할 수 있다. 데이터 플로우가 존재하지 않는 것으로 확인되면, 데이터 패킷이 인증 가능한 프로토콜의 데이터 패킷인지 여부를 확인하고, 데이터 패킷이 인증 가능한 프로토콜의 데이터 패킷으로 확인되면, 데이터 패킷의 도착지 IP 및 도착지 포트를 외부 서버(가령, 인증 서버(104))에 대응되는 외부 서버 IP 및 외부 서버 포트로 변환하는 네트워크 주소 변환(NAT) 프로세스를 수행함으로써 데이터 패킷을 포워딩 할 수 있다.

실시예에 따르면, 게이트웨이(101)는 접속 제어 애플리케이션이 설치되면 터널을 생성하기 위한 터널 생성 요청을 노드(103_1)로부터 수신하고, 터널 생성 요청에 기반하여 노드(103_1)와의 터널을 생성한 후, 터널을 통해 노드와 통신을 할 수 있다.

또한, 서비스 서버(105_1, 105_2)는 데이터 통신을 수행할 수 있는 다양한 형태의 장치일 수 있다. 다른 예를 들어, 서비스 서버(105_1, 105_2)는 스마트폰 또는 태블릿과 같은 휴대용 장치, 데스크탑(desktop) 또는 랩탑(laptop)과 같은 컴퓨터 장치, 멀티미디어 장치, 의료 기기, 카메라, 웨어러블 장치, VR(virtual reality) 장치, 또는 가전 장치를 포함할 수 있으며 전술한 기기들에 한정되지 않는다. 서비스 서버(105_1, 105_2)는 '전자 장치' 또는 '단말'로도 참조될 수 있다.

노드(103_1, 103_2)는 서비스 서버(105_1, 105_2)로 데이터 패킷을 전송하거나 서비스 서버(105_1, 105_2)로부터 데이터 패킷을 수신할 수 있다. 노드(103_1, 103_2)에 포함된 대상 애플리케이션 중 일부는 웹 브라우저 또는 비즈니스 애플리케이션과 같이 신뢰된 및/또는 보안된 애플리케이션인 반면에 다른 일부는 신뢰되지 않거나 보안되지 않은 악성 프로그램일 수 있으므로, 실시예들에 따른 네트워크 접속 제어 시스템은 인가되지 않은 프로그램(애플리케이션)의 서비스 서버(105_1, 105_2)에 대한 접속을 차단하고 해당 프로그램을 격리(가령, 블랙리스트 등록)할 수 있다.

제어 서버(102)는 게이트웨이(101) 및 서비스 서버(105_1, 105_2) 간 데이터 전송을 관리함으로써 네트워크 환경 내에서 신뢰되는 데이터 전송을 보장할 수 있다. 예를 들어, 제어 서버(102)는 정책 정보 또는 블랙리스트 정보를 통해 인가된 접속 제어 애플리케이션의 네트워크 접속을 허용할 수 있다. 제어 서버(102)는 게이트웨이(101) 및 서비스 서버(105_1, 105_2) 간 인증을 수행할 수 있는 인증 정보를 제공할 수 있다. 따라서, 접속 제어 애플리케이션은 허용되지 않은 노드가 허용되지 않은 목적지로 데이터 패킷을 전송하는 것을 방지할 수 있다.

실시예에 따르면, 노드의 네트워크 접속은 접속 제어 애플리케이션, 제어 서버(102) 또는 게이트웨이(101)에 의해 차단될 수 있다. 일 실시예에 따르면, 제어 서버(102)는 게이트웨이(101)의 네트워크 접속과 연관된 다양한 동작(예: 등록, 승인, 인증, 갱신, 종료)을 수행하기 위하여 게이트웨이(101)와 제어 데이터 패킷을 송수신할 수 있다. 제어 데이터 패킷이 전송되는 흐름은 '제어 플로우(control flow)'로 참조될 수 있다. 실시예에 따르면, 제어 서버(102)는 연동 시스템(예: 게이트웨이)으로부터 수신된 보안 이벤트에 따라 터널을 즉시 회수하거나, 대상 애플리케이션이 종료되는 경우 터널을 즉시 회수함으로써 안전한 네트워크 상태를 상시 유지할 수 있다. 또한 상기와 같은 구조는 접속 제어 애플리케이션 및 제어 서버(102) 사이의 관계에서도 실질적으로 동일하게 적용될 수 있다.

실시예에 따르면, 제어 서버(102)는 인증 서버(104)와 통신할 수 있다. 참고로, 도 1에서는 제어 서버(102) 및 인증 서버(104)가 분리된 경우를 도시하고 있으나, 본 발명이 이에 한정되는 것은 아니며, 제어 서버(102) 및 인증 서버(104)는 하나의 통합된 서버(가령, 외부 서버)로 구성될 수도 있다.

도 2는 다양한 실시예들에 따라 제어 서버(102)에 저장된 데이터베이스를 나타내는 기능적 블록도이다. 도 2는 메모리만 도시하고 있으나, 제어 서버(102)는 외부 전자 장치와 통신을 수행하기 위한 통신 회로 및 제어 서버(102)의 전반적인 동작을 제어하기 위한 프로세서를 더 포함할 수 있다.

관리자는 제어 서버(102)에 접속하여 접속 제어 애플리케이션, 게이트웨이(101) 및 서비스 서버 간 접속을 제어하기 위한 연결 중심의 정책을 설정할 수 있으므로, 서비스 단에서 세션을 관리하는 것 보다 세밀하고 안전하게 네트워크 접속을 제어할 수 있다.

접속 정책 데이터베이스(211)는 노드의 식별(노드 고유 식별 정보, 노드에 대응되는 사용자 정보, 노드의 대상 애플리케이션이 접속 가능한 서비스에 대한 정보 등) 및 인증(인증서 등)을 위한 정보 중 적어도 일부를 포함할 수 있다. 예를 들어, 제어 서버(102)는, 접속 제어 애플리케이션에 의해 제어되는 대상 애플리케이션으로부터 네트워크 접속 요청이 획득되면, 접속 정책 데이터베이스(211)의 정책에 기반하여 네트워크 접속 요청시 식별된 노드, 대상 애플리케이션 및/또는 사용자가 목적지(예: 서비스 서버 또는 게이트웨이(101))에 접속이 가능한지 여부를 결정할 수 있다. 또한, 접속 제어 애플리케이션이 설치되지 않은 경우에도, 제어 서버(102)는, 대상 애플리케이션으로부터 네트워크 접속 요청이 획득되면, 접속 정책 데이터베이스(211)의 정책에 기반하여 네트워크 접속 요청시 식별된 노드, 대상 애플리케이션 및/또는 사용자가 목적지(예: 서비스 서버 또는 게이트웨이)에 접속이 가능한지 여부를 결정할 수 있다.

실시예에 따르면, 제어 서버(102)는 접속 대상을 식별하기 위한 방법 및 식별 정보(예: 노드의 MAC 주소 기반 식별 방식, 노드가 네트워크 접속 요청시 전송한 인증 정보 기반 식별 방식, 라우터(201) 내에서 네트워크 접속 요청한 애플리케이션 식별 방식 및 이에 따라 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP, UDP 등), MAC 주소, 애플리케이션 식별 정보, 노드에 할당된 IP, 수신된 네트워크 인터페이스 식별 정보 등)에 기반하여 접속 가능 여부를 확인하고 데이터 플로우를 생성할 수 있다.

터널 정책 데이터베이스(212)는 접속 정책에 따라 접속 (Connection) 경로 상의 게이트웨이(101)에 연결할 터널을 생성하기 위해 필요한 일련의 정보(가령, 인증 정보, 암호화 알고리즘, 터널 엔드 포인트 IP 등)를 포함할 수 있다. 만약, 접속 경로 상의 타 게이트웨이(미도시)에 이미 연결된 터널이 존재하는 경우, 이를 사용하기 위한 일련의 정보(노드에 할당된 IP 정보 수집 및 대체 처리 여부 등)를 포함할 수 있다. 예를 들어, 제어 서버(102)는 게이트웨이(101)에 연결된 노드의 네트워크 접속 요청시 터널 정책을 기반으로 노드에 최적화된 터널 및 게이트웨이(101)를 제공할 수 있다.

인증 정책 데이터베이스(213)는 접속 정책(211)에 따라 게이트웨이(101)에 연결된 노드의 네트워크 접속 시 노드의 식별 정보를 기반으로 네트워크 접속을 인증할 것인지 여부 및 인증을 수행할 경우 인증 방식과 관련된 일련의 정보를 포함할 수 있다. 또한, 인증 정책 데이터베이스(213)는, 접속 대상(가령, 노드)에 사전에 발급한 인증서 정보(가령, Mutual-TLS)를 포함할 수 있으며, 게이트웨이(101)에 포함된 프록시에서 접속 대상(가령, 노드)으로 하여금 보안 세션 생성을 하도록 유도하기 위한 인증서 정보(가령, TLS)를 포함할 수 있다.

프로토콜 정책 데이터베이스(214)는 접속 대상 서비스와 통신할 수 있는 프로토콜 정보로서, 데이터 패킷 전송 및 수신 시 포함된 프로토콜 정보를 식별하기 위한 프로토콜 식별 시그니처 정보 및 프로토콜 버전 정보, 프로토콜 헤더 정보, 규약 정보를 포함할 수 있다. 또한, 프로토콜 정책 데이터베이스(214)는 어느 정도의 범위(길이)까지 데이터 패킷을 검사하여 프로토콜을 식별함으로써 정상적인 프로토콜로 처리할 것인지에 대한 정보, 네트워크 접속 시도 시점 또는 프로토콜을 검사 주기 정보, 프로토콜 검사 수행 주체에 관한 정보, 프로토콜을 준수하지 않았을 경우의 네트워크 접속 해제, 제어 플로우 해제 및 격리와 관련한 일련의 정보를 포함한다.

서비스 정책 데이터베이스(215)는 접속 정책(211)에 따라서 접속 대상(가령, 노드)이 프록시(예: 게이트웨이(101)에 포함된 프록시)를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예: HTTP, FTP, IoT 전용 프로토콜 등)를 포함할 수 있다. 또한, 서비스 정책 데이터베이스(215)는 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 서비스 요청 정보)를 포함하며, 프록시에서 사전에 불필요하거나 위험한 서비스 요청을 차단하기 위한 일련의 정보를 포함할 수 있다. 실시예에 따르면, 서비스 정책 데이터베이스(215)는 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보를 포함할 수 있다.

제어 플로우 테이블(216)은 접속 제어 애플리케이션 및 제어 서버(102) 사이에 생성된 제어 데이터 패킷의 흐름(예: 제어 플로우)을 관리하기 위한 세션(session) 테이블의 일 예이다. 성공적으로 제어 서버(102)에 접속하는 경우, 제어 플로우 정보는 제어 서버(102)에 의하여 생성될 수 있다. 제어 플로우 정보는 제어 플로우의 식별 정보, 제어 서버(102)에 대한 접속 및 인증 시 식별되는 IP 주소, 노드 식별 정보, 대상 애플리케이션 식별 정보, 서비스 서버와의 연계를 통해 추가적으로 식별된 정보 등을 포함할 수 있다. 예를 들어, 서비스 서버에 대한 접속이 요청되면, 제어 서버(102)는 제어 플로우 식별 정보를 통해 제어 플로우 정보를 검색할 수 있고, 검색된 제어 플로우 정보 내에 포함된 식별 정보를 접속 정책 데이터베이스(211)에 매핑함으로써 노드가 서비스 서버에 접속이 가능한지 여부, 데이터 패킷 전송을 위한 데이터 플로우 생성 여부 등을 판단(결정)할 수 있다.

일 실시예에 따르면, 제어 플로우는 만료 시각을 가질 수 있다. 접속 제어 애플리케이션은 제어 플로우의 만료 시각을 주기적/비주기적으로 갱신해야 하며, 일정 시간 동안에 만료 시각이 갱신되지 않으면 제어 플로우(또는, 제어 플로우 정보)는 제거될 수 있다. 또한, 대상 애플리케이션 및/또는 게이트웨이(101)로부터 수집된 보안 이벤트에 따라서 즉각적인 접속 차단이 필요하다고 결정되는 경우 또는 대상 애플리케이션의 접속 종료 요청이 획득되는 경우, 제어 서버(102)는 제어 플로우를 제거할 수 있다. 제어 플로우가 제거되면 기존에 생성된 데이터 플로우 또한 제거되기 때문에 해당 게이트웨이(101)를 통한 서비스 서버로의 접속이 차단될 수 있다.

데이터 플로우 테이블(217)은 노드 및 게이트웨이(101) 사이에서 세부적인 데이터 패킷이 전송되는 흐름(예: 데이터 플로우)을 관리하기 위한 테이블로서, 노드의 대상 애플리케이션, 게이트웨이(101), 서비스 서버에서의 터널 및/또는 세션을 관리하기 위한 데이터 플로우 정보를 포함할 수 있다.

데이터 플로우를 식별하기 위한 데이터 플로우 식별 정보(예: ID), 노드의 식별 정보(가령, MAC 주소 정보)는 서비스 서버와 하나 이상의 논리적 연결을 생성할 수 있기 때문에, 데이터 플로우 테이블(217)은 제어 플로우 ID에 기반하여 관리될 수 있다.

실시예에 따르면, 데이터 플로우 테이블(217)은 애플리케이션 및 애플리케이션의 최소 식별 단위, 게이트웨이(101)가 데이터 패킷의 출발지 IP, 도착지 IP, 서비스 포트 정보를 기반으로 네트워크 접속 가능 여부를 판단하기 위한 정보, 접속 경로 상에서 게이트웨이(101)와의 터널 생성에 필요로 한 일련의 정보(인증 정보, 암호화 알고리즘, Tunnel End Point IP 등), 데이터 플로우가 사용 가능한 상태인지 여부에 관한 데이터 플로우 상태 정보, 해당 데이터 플로우를 주기적으로 인증할 경우 필요로 한 인증 만료 시각 정보 중 적어도 일부를 포함할 수 있다.

실시예에 따르면, 데이터 플로우 테이블(217)은 인증 정보를 포함할 수 있다. 예를 들어, 인증 정보는 허용된 노드가 데이터 패킷을 전송하였는지 여부를 확인하기 위한 일련의 정보로서 프로토콜별로 인증 정보를 검사하는 방식(예: TCP의 경우, TCP SYN 패킷 검사, UDP의 경우 데이터 패킷별 인증 정보 검사 또는 일정 간격(또는 주기)으로 인증 정보 검사, 검사 방식 등), 인증 정보 복호화를 위한 정보, 인증 정보 생성 및 검증을 위한 알고리즘 정보 및 알고리즘에 포함되는 일련의 정보(예: HMAC OTP 생성시 Secret Key 등의 정보 등)를 포함할 수 있다.

실시예에 따르면, 데이터 플로우 테이블(217)은, 인가된 접속 대상(예: 노드)의 보안 세션 생성 요청을 처리하기 위해 사전에 발급한 인증서 정보를 포함할 수 있다.

또한, 데이터 플로우 테이블은, 보안 세션에 관한 정보를 포함할 수 있다.

실시예에 따르면, 데이터 플로우 테이블(217)은 서비스 정보를 포함할 수 있다. 예를 들어, 서비스 정보는 허용된 접속 대상이 프록시를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예: HTTP, FTP, IoT 전용 프로토콜 등) 및 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 서비스 요청 정보)를 포함할 수 있다. 또한, 서비스 정보는 프록시에서 사전에 불필요로 한 또는 위험한 서비스 요청을 차단하기 위한 일련의 정보와 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보를 포함할 수 있다. 실시예에 따르면, 서비스 정보는 서비스 정책(318)에 기반하여 생성될 수 있다.

실시예에 따르면, 데이터 플로우 테이블(217)은 접속 제어 애플리케이션이 설치된 노드 및/또는 게이트웨이(101)에 동일하게 저장될 수 있다.

터널 테이블(218)은 대상 애플리케이션 및 게이트웨이(101) 간 생성된 터널의 식별 정보 및 터널의 IP 등을 포함할 수 있다. 예를 들어, 제어 서버(102)는 터널 테이블(218)에 기반하여 대상 애플리케이션 및 게이트웨이(101) 간 터널이 생성되었는지 여부 등을 판단할 수 있다. 또한, 터널 테이블(218)은 대상 애플리케이션 및 게이트웨이(101) 사이에 연결된 터널을 관리하기 위한 테이블로서, 유효한 터널이 존재하는 경우 터널을 관리 및 식별하기 위한 터널 ID와 게이트웨이(101)와 제어 서버(102) 사이의 제어를 위한 제어 플로우 ID 그리고 TEP (터널 엔드 포인트), TSP (터널 스타트 포인트), 터널 알고리즘 및 종류, 암호화 수준 등을 관리하기 위한 부가 정보로 구성될 수 있다.

블랙리스트 데이터베이스(219)는 블랙리스트 정책 데이터베이스(220)에 의해서 차단된 대상에 대한 목록을 포함할 수 있다. 예를 들어, 네트워크 접속을 요청하는 대상 애플리케이션의 식별 정보가 블랙리스트 데이터베이스(219)에 포함된 경우, 제어 서버(102)는 네트워크 접속 요청을 거부함으로써 대상 애플리케이션을 격리시킬 수 있다.

블랙리스트 정책 데이터베이스(220)는 노드 또는 게이트웨이(101)에서 주기적으로 수집되는 보안 이벤트 중에서 보안 이벤트의 위험도, 발생 주기, 및/또는 행위 분석을 통해 식별된 대상(예: 노드 ID(identifier), IP 주소, MAC(media access control) 주소, 사용자 중 적어도 하나)의 접속을 차단하기 위한 블랙리스트 등록 정책을 나타낼 수 있다.

도 3는 다양한 실시예들에 따른 게이트웨이(101)의 기능적 블록도를 나타낸다. 도 3을 참조하면, 게이트웨이(101)는 프로세서(310), 메모리(320), 및 통신 회로(330)를 포함할 수 있다.

프로세서(310)는 게이트웨이(101)의 전반적인 동작을 제어할 수 있다. 다양한 실시 예들에서, 프로세서(310)는 하나의 프로세서 코어(single core)를 포함하거나, 복수의 프로세서 코어들을 포함할 수 있다. 예를 들면, 프로세서(310)는 듀얼 코어(dual-core), 쿼드 코어(quad-core), 헥사 코어(hexa-core) 등의 멀티 코어(multi-core)를 포함할 수 있다. 실시 예들에 따라, 프로세서(310)는 내부 또는 외부에 위치된 캐시 메모리(cache memory)를 더 포함할 수 있다. 실시 예들에 따라, 프로세서(310)는 하나 이상의 프로세서들로 구성될(configured with) 수 있다. 예를 들면, 프로세서(310)는, 애플리케이션 프로세서(application processor), 통신 프로세서(communication processor), 또는 GPU(graphical processing unit) 중 적어도 하나를 포함할 수 있다.

프로세서(310)의 전부 또는 일부는 제어 서버(102) 내의 다른 구성 요소(예를 들면, 메모리(320), 통신 회로(330))와 전기적으로(electrically) 또는 작동적으로(operatively) 결합(coupled with)되거나 연결될(connected to) 수 있다. 프로세서(310)는 게이트웨이(101)의 다른 구성 요소들의 명령을 수신할 수 있고, 수신된 명령을 해석할 수 있으며, 해석된 명령에 따라 계산을 수행하거나 데이터를 처리할 수 있다. 프로세서(310)는 메모리(320), 통신 회로(330)로부터 수신되는 메시지, 데이터, 명령어, 또는 신호를 해석할 수 있고, 가공할 수 있다. 프로세서(310)는 수신된 메시지, 데이터, 명령어, 또는 신호에 기반하여 새로운 메시지, 데이터, 명령어, 또는 신호를 생성할 수 있다. 프로세서(310)는 가공되거나 생성된 메시지, 데이터, 명령어, 또는 신호를 메모리(320), 통신 회로(330)에게 제공할 수 있다.

프로세서(310)는 프로그램에서 생성되거나 발생되는 데이터 또는 신호를 처리할 수 있다. 예를 들면, 프로세서(310)는 프로그램을 실행하거나 제어하기 위해 메모리(320)에게 명령어, 데이터 또는 신호를 요청할 수 있다. 프로세서(310)는 프로그램을 실행하거나 제어하기 위해 메모리(320)에게 명령어, 데이터, 또는 신호를 기록(또는 저장)하거나 갱신할 수 있다.

메모리(320)는 게이트웨이(101)를 제어하는 명령어, 제어 명령어 코드, 제어 데이터, 또는 사용자 데이터를 저장할 수 있다. 예를 들면, 메모리(320)는 애플리케이션(application) 프로그램, OS(operating system), 미들웨어(middleware), 또는 디바이스 드라이버(device driver) 중 적어도 하나를 포함할 수 있다.

메모리(320)는 휘발성 메모리(volatile memory) 또는 불휘발성 메모리(non-volatile memory) 중 하나 이상을 포함할 수 있다. 휘발성 메모리는 DRAM(dynamic random access memory), SRAM(static RAM), SDRAM(synchronous DRAM), PRAM(phase-change RAM), MRAM(magnetic RAM), RRAM(resistive RAM), FeRAM(ferroelectric RAM) 등을 포함할 수 있다. 불휘발성 메모리는 ROM(read only memory), PROM(programmable ROM), EPROM(electrically programmable ROM), EEPROM(electrically erasable programmable ROM), 플래시 메모리(flash memory) 등을 포함할 수 있다.

메모리(320)는 하드 디스크 드라이브(HDD, hard disk drive), 솔리드 스테이트 디스크(SSD, solid state disk), eMMC(embedded multi media card), UFS(universal flash storage)와 같은 불휘발성 매체(medium)를 더 포함할 수 있다.

통신 회로(330)는 게이트웨이(101) 및 외부 전자 장치(예: 도 1의 제어 서버, 서비스 서버 등) 간의 유선 또는 무선 통신 연결의 수립, 및 수립된 연결을 통한 통신 수행을 지원할 수 있다. 일 실시 예에 따르면, 통신 회로(330)는 무선 통신 회로(예: 셀룰러 통신 회로, 근거리 무선 통신 회로, 또는 GNSS(global navigation satellite system) 통신 회로) 또는 유선 통신 회로(예: LAN(local area network) 통신 회로, 또는 전력선 통신 회로)를 포함하고, 그 중 해당하는 통신 회로를 이용하여 블루투스, WiFi direct 또는 IrDA(infrared data association) 같은 근거리 통신 네트워크 또는 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크와 같은 원거리 통신 네트워크를 통하여 외부 전자 장치와 통신할 수 있다. 상술한 여러 종류의 통신 회로(330)는 하나의 칩으로 구현되거나 또는 각각 별도의 칩으로 구현될 수 있다.

참고로, 상기에서는, 게이트웨이(101)의 구조에 대해서 설명하였으나, 제어 서버(102), 노드(103_1, 103_2), 인증 서버(104) 및/또는 서비스 서버(105_1, 105_2)에 대해서도 동일/유사한 설명이 적용될 수 있다.

도 4a 및 도 4b는 다양한 실시예들에 따라 데이터 패킷의 전송을 제어하는 동작을 설명한다.

도 4a를 참조하면, 대상 애플리케이션(예: 멀웨어)으로부터 서비스 서버에 대한 네트워크 접속 요청이 접속 제어 애플리케이션에 의해 감지된 상태에서, 접속 제어 애플리케이션 또는 게이트웨이(101)가 제어 서버(102)와 접속된 상태가 아닌 경우, 접속 제어 애플리케이션은 운영체제가 포함되는 커널(kernel)이나 네트워크 드라이버에서 데이터 패킷의 전송을 차단할 수 있다. 접속 제어 애플리케이션을 통해, 제어 서버는 OSI 계층 중 응용 계층에서 악의적인 노드의 접속을 사전에 차단할 수 있다.

접속 제어 애플리케이션에 연결된 노드(103)는 반드시 외부 서버(가령, 제어 서버(102))에 접속하여 인증을 수행하여야 하며, 인증 수행 이후 서비스 서버(105)에 접속 시, 접속 네트워크 정보를 제어 서버(102)에 질의하여 접속 가능 여부를 확인하고, 접속이 가능한 경우 데이터 패킷을 서비스 서버(105)로 전송할 수 있다.

게이트웨이(101)는 대상 애플리케이션으로부터 수신된 데이터 패킷을 외부 서버(가령, 제어 서버(102))를 통해서 확인하고, 인가된 대상 애플리케이션이 전송한 데이터 패킷인 경우 이에 대한 응답 데이터 패킷을 대상 애플리케이션으로 전송하는 것을 허용할 수 있다. 예를 들어, 게이트웨이(101)는 데이터 패킷이 수신된 대상 애플리케이션과 터널이 생성되어 있는지 여부를 확인하여, 터널이 생성된 경우에만 데이터 패킷을 목적지로 포워딩할 수 있다. 결과적으로, 비인가 노드는 기본적으로 상호간에 통신을 할 수 없는 상태이고, 인가된 노드라고 하더라도 제어 서버(102)에서 결정된 터널이 생성되지 않으면 데이터 패킷을 전송 및 수신할 수 없다.

또한, 도 4b를 참조하면, 게이트웨이(101)는 대상 애플리케이션으로부터 데이터 패킷이 수신되면, 노드 및/또는 대상 애플리케이션이 인증되었는지 여부를 판단하고, 노드 및/또는 대상 애플리케이션이 인증되지 않은 경우, 해당 데이터 패킷을 드랍할 수 있다.

도 5는 게이트웨이(101)의 대상 애플리케이션 유형 별 동작을 설명하기 위한 도면이다.

도 5를 참조하면, 접속 제어 애플리케이션이 설치되지 않은 노드(103)가 서비스 서버(105_1, 105_2)에 접속을 시도하는 경우, 게이트웨이(101)는, 범용 프로토콜에 따른 서비스 요청인지 여부를 확인할 수 있다. 만약, 게이트웨이(101)의 프록시에서 처리할 수 있는 범용 프로토콜(가령, HTTP, FTP 등의 IETF RFC 표준 프로토콜 등)의 경우, 게이트웨이(101)는 데이터 플로우에 의한 상세한 서비스 접속 제어를 수행할 수 있다. 반면에, 프록시에서 처리할 수 없는 네이티브 프로토콜의 경우, 게이트웨이(101)는 데이터 플로우에 의한 접속 제어 및 데이터 패킷 검사를 수행할 수 있다.

도 6은 접속 제어 애플리케이션이 설치되지 않은 노드로부터의 데이터 패킷 포워딩 과정을 개략적으로 도시하고 있다.

도 6을 참조하면, 동작 605에서, 접속 제어 애플리케이션이 설치되어 있지 않은 노드(103)는 서비스 서버에 접속하기 위한 일련의 데이터 패킷을 전송할 수 있으며, 해당 데이터 패킷은 서비스 서버 및 노드 사이의 경계에 위치하는 게이트웨이(101)를 경유할 수 있다.

그리고, 동작 610에서, 게이트웨이(101)는, 제어 서버(102)로부터 획득한 데이터 플로우 정보를 참조하여 접속 제어 애플리케이션이 설치되지 않은 노드(103)로부터 전송된 데이터 패킷인지를 확인할 수 있다. 접속 제어 애플리케이션이 설치되지 않은 노드(103)로부터 전송된 것으로 확인되면, 게이트웨이(101)는, 출발지 IP(가령, 노드 IP)를 기준으로 서비스 서버 IP 및 포트에 접근 가능한 데이터 플로우가 존재하는지 여부를 확인할 수 있다.

동작 615에서, 접근 가능한 데이터 플로우가 존재하는 것으로 확인되면, 해당 노드(103)는 최소한의 인증 및 접근 권한을 제어 서버(102)로부터 이미 획득한 상태이므로, 게이트웨이(101)는 제어 서버(102)로부터 획득한 데이터 플로우에 기반하여 해당 데이터 패킷을 서비스 서버로 포워딩할 수 있다. 이때, 마지막 데이터 패킷 포워딩 시점에 해당하는 시각 또는 Timestamp 정보를 갱신함으로써, 게이트웨이(101) 및 제어 서버(102) 사이에 주기적인 데이터 플로우 동기화를 통해 해당 노드(103)가 지속적으로 네트워크 접속을 수행하고 있음을 제어 서버(102)가 알 수 있도록 할 수 있다.

반면, 데이터 플로우가 존재하지 않는 경우, 해당 노드(103)는 비인증 노드로 간주될 수 있다. 이와 같은 경우, 게이트웨이(101)는 해당 노드(103)에게 접속 제어 애플리케이션 설치를 유도하거나 별도 인증을 위한 인증 서버(104)와의 통신을 유도하기 위해, 노드(103)로부터 획득한 데이터 패킷이 인증 가능한 프로토콜의 데이터 패킷(가령, HTTP 프로토콜을 사용하는 데이터 패킷)인지 여부를 확인할 수 있다.

동작 625에서, 만약 인증 가능한 프로토콜의 데이터 패킷인 경우, 외부 서버 IP 및 외부 서버 포트 정보를 기반으로 하여, 데이터 패킷의 IP 헤더에 포함된 도착지 IP 및 포트를 NAT (Network Address Translation) 처리 함으로써 외부 서버(가령, 인증 서버(104))로 데이터 패킷을 포워딩하고, 동작 630에서, 인증 서버(104)는 데이터 패킷을 수신할 수 있다. 만약 인증 가능한 프로토콜의 데이터 패킷(가령, HTTP 프로토콜을 사용하는 데이터 패킷)이 아닌 경우, 게이트웨이(101)는 데이터 패킷을 드랍할 수 있으나, 이에 한정되는 것은 아니며, 인증 가능한 프로토콜의 데이터 패킷의 경우와 유사하게, NAT 처리 후 인증 서버(104)로 포워딩할 수도 있다.

도 7은 접속 제어 애플리케이션이 설치되지 않은 노드(103)가 서비스 요청을 전송하는 경우의 인증 처리 과정을 개략적으로 도시하고 있다.

도 7을 참조하면, 동작 705에서, 접속 제어 애플리케이션이 설치되지 않은 노드(103)가 애플리케이션을 실행하여 서비스 접속을 시도하고, 그에 따라 동작 710에서 서비스 요청을 전송할 수 있다. 동작 715에서, 노드(103)의 서비스 요청은 게이트웨이(101)를 통해 NAT 처리 후 외부 서버(가령, 인증 서버(104))로 포워딩될 수 있다. 다만, 이에 한정되는 것은 아니며, 노드(103)가 인증 서버(104)에 서비스 요청을 직접 전송할 수도 있다.

그리고, 동작 720에서, 인증 서버(104)는 서비스 요청을 수신하고, 동작 725에서, 접속 제어 애플리케이션 설치 또는 별도 인증을 수행하기 위한 인증 관련 서비스 정보를 노드(103)에 반환할 수 있다.

그리고, 동작 730에서, 노드(103)는 서비스 접속 결과를 수신하여, 수신된 서비스 접속 결과(가령, 인증 관련 서비스 정보)에 따라 접속 제어 애플리케이션을 설치하여 네트워크 접속 시도를 하거나, 인증 절차를 통해서 네트워크 접속을 수행할 수 있다. 이에 대해서는 도 8을 참조하여 설명하기로 한다.

도 8은 노드의 디스플레이를 통해 출력되는 인증 관련 서비스 정보를 개략적으로 도시하고 있다.

노드(사용자)는 도 8에 도시된 인증 관련 서비스 정보에 기반하여 (i) 접속 제어 애플리케이션(네트워크 접속 제어 애플리케이션)을 설치하거나 (ii) 인증 서버(104)에서 제공되는 별도의 인증 방식 (사용자 ID 기반 인증, QR 인증, Multi Factor Authentication 등)을 통해서 인증 절차를 수행할 수 있다. 노드에 대한 인증이 완료되면 제어 서버(102)는 해당 노드가 접속할 수 있는 서비스 서버 정보를 포함하는 데이터 플로우 정보를 생성하여 게이트웨이(101)로 전송하게 되며, 이후 노드는 서비스 서버로 접속이 가능하게 된다.

도 9는 노드(103)가 외부 서버(가령, 인증 서버(104))에서 제공되는 별도의 인증 방식에 따라 인증 절차를 수행하는 과정을 개략적으로 도시하고 있다.

도 9를 참조하면, 노드(103)가 인증 요청을 인증 서버(104)로 전송함에 있어서, 동작 905에서와 같이 게이트웨이(101)로 전송 후, 동작 910에서, 게이트웨이(101)를 통해 NAT 처리 후 인증 서버(104)로 포워딩될 수 있으나, 이에 한정되는 것은 아니며, 노드(103)가 인증 서버(104)에 인증 요청을 직접 전송할 수도 있다.

동작 915에서, 인증 요청이 수신되면, 인증 요청에 대한 처리는 인증 서버(104) 또는 인증 서버 기능을 포함하는 제어 서버(102)에 의해 수행될 수 있으며, 동작 920에서, 인증 서버(104)는 노드(103)로부터 수신된 인증 요청 또는 인증 서버(104)와 연결된 타 인증 시스템(예: Multi Factor Authentication 등) 등의 인증 요청 처리에 의해 인증 요청에 대한 처리를 수행할 수 있다.

인증 서버(104)는 노드(103)가 전송한 인증 요청 관련 정보를 확인하고, 인증에 실패한 경우, 인증 실패 정보를 노드(103)에 반환할 수 있다.

인증에 성공한 경우, 동작 925에서, 인증 서버(104)는 인증 과정에서 식별된 노드 식별 정보(인증 완료된 노드의 운영체제 정보, 단말 종류 정보 등), 출발지 IP 정보, 사용자 식별 정보 등을 기반으로 제어 서버(102)에 인증을 요청할 수 있다.

또한 게이트웨이(101)로부터 인증 서버 리다이렉션을 통해서 인증 요청을 진행하는 경우, 인증 서버는 인증 요청 정보에 포함된 데이터 플로우 식별 정보 및 보안 세션 식별 정보를 포함하여 제어 서버(102)에 인증 요청할 수 있다.

제어 서버(102)는, 노드가 최초 인증을 수행하는 경우, 인증 서버(104)로부터 수신된 인증 요청 정보(노드 식별 정보(인증 완료된 노드의 운영체제 정보, 단말 종류 정보 등), 출발지 IP 정보, 사용자 식별 정보 등)에 따라 제어 플로우를 생성하여 제어 플로우 테이블에 추가할 수 있다.

또한, 동작 930에서, 제어 서버(102)는, 접속 정책 데이터베이스를 조회하여 노드(103)가 접속 가능한 서비스 서버가 존재하는지 여부를 확인하고, 접속 가능한 서비스 서버가 존재하는 경우, 해당 노드(103)가 서비스 서버에 접속할 수 있도록 출발지 IP, 도착지 IP, 서비스 포트 정보, 해당 서비스 서버간에 송수신하는 데이터 패킷의 프로토콜을 검사하기 위한 정보로써 데이터 패킷 전송 및 수신시 포함된 프로토콜 정보를 식별하기 위한 프로토콜 식별 시그니처 및 버전 정보, 헤더 정보, 규약 정보 등 및 필요에 따라 어느 정도의 범위(길이)까지 데이터 패킷을 검사하여 프로토콜을 식별하고, 정상적인 프로토콜로 처리할 것인지에 대한 정보, 네트워크 접속 시도 시점 또는 주기적으로 프로토콜을 검사할 것인지에 대한 정보, 및 검사가 완료되었는지 또는 검사가 더 필요로 한지에 대한 상태 정보 등을 포함하는 프로토콜 정보 및 게이트웨이(101)에 포함된 프록시를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예: HTTP, FTP, IoT 전용 프로토콜 등) 및 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 서비스 요청 정보)를 포함하며, 프록시에서 사전에 불필요로 한 또는 위험한 서비스 요청을 차단하기 위한 일련의 정보와 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보, 접속 대상이 보안 세션 생성시 허용된 대상인지 확인하기 위해 인증서 정보, 해당 노드가 보안 세션을 생성하여 서비스 요청을 수행하는 경우 데이터 플로우와 보안 세션을 매칭할 수 있도록 식별 및 검사하기 위한 인증 정보 등을 포함하는 일련의 데이터 플로우 정보를 생성하고, 동작 935에서, 게이트웨이(101)에 데이터 플로우 정보를 전송할 수 있으며, 동작 940에서, 인증 서버(104)에 결과 정보를 반환할 수 있다.

여기서, 해당 노드가 보안 세션을 생성하여 서비스 요청을 수행하는 경우, 제어 서버(102)는 데이터 플로우와 보안 세션을 매칭할 수 있도록 식별 및 검사하기 위한 인증 정보를 포함하여 인증 서버에 반환할 수 있다.

한편, 제어 서버(102)는, 노드가 최초 인증이 아닌 게이트웨이(101)로부터 인증 서비스 리다이렉션에 의해 인증을 수행하는 경우, 수신된 데이터 플로우 식별 정보로 데이터 플로우를 탐색할 수 있다.

데이터 플로우가 존재하지 않는 경우, 제어 서버(102)는 인증 실패 정보를 반환할 수 있다.

데이터 플로우가 존재하는 경우, 제어 서버(102)는 인증 서버로부터 수신된 인증 요청 정보(노드 식별 정보(인증 완료된 노드의 운영체제 정보, 단말 종류 정보), 출발지 IP 정보, 사용자 식별 정보)와 식별된 데이터 플로우 정보 및 데이터 플로우 정보에 포함된 제어 플로우 정보와 일치하는지 여부를 확인할 수 있다.

일치하지 않는 경우, 제어 서버(102)는 인증 실패 정보를 반환할 수 있다.

일치하는 경우, 제어 서버(102)는 식별된 데이터 플로우에 보안 세션 식별 정보 및 보안 세션 매칭 여부(완료)를 갱신하여 이후 해당 보안 세션으로 접속하는 노드를 보안 세션 식별 정보 기반으로 데이터 플로우를 식별할 수 있도록 하며, 해당 데이터 플로우 정보를 게이트웨이(101)에 전송하고, 인증 서버에 인증 요청 결과 정보를 반환할 수 있다.

그리고, 동작 945에서, 인증 서버(104)가 인증 요청 처리 결과를 노드(103)에 반환하게 되면, 노드(103)는 접속 제어 애플리케이션 설치 없이도 제2 접근 권한(가령, 최소한의 접근 권한)으로 서비스 서버에 접속할 수 있다.

위와 같이 인증이 완료된 노드가 인증 해제를 요청하는 경우에 대해서는 도 10을 참조하여 설명하기로 한다.

도 10을 참조하면, 노드(103)는 인증 해제 요청 기능을 통해서 외부 서버(가령, 인증 서버(104))로 인증 해제 요청을 전송할 수 있는데, 이때, 동작 1005와 같이 게이트웨이로 인증 해제 요청을 전송한 후, 동작 1010과 같이 게이트웨이(101)에서 NAT 처리 후 관련 데이터 패킷이 인증 서버로 포워딩될 수 있으나, 이에 한정되는 것은 아니며, 노드(103)가 인증 서버(104)로 인증 해제 요청을 전송할 수도 있다.

동작 1015에서, 인증 서버(104)는 인증 해제 요청을 수신하고, 인증 해제 요청 처리는 인증 서버(104) 또는 인증 서버 기능을 포함하는 제어 서버(102)에 의해서 수행될 수 있으며, 동작 1020에서, 인증 서버(104)는 노드(103)로부터 수신된 인증 해제 요청 또는 인증 서버(104)와 연결된 타 인증 시스템(예: Multi Factor Authentication 등) 등의 인증 해제 요청 처리에 의해 인증 해제 요청을 처리할 수 있다.

인증 서버(104)는, 노드(103)가 전송한 인증 해제 요청 관련 정보를 확인하고, 인증 해제 요청에 실패한 경우, 인증 해제 실패 정보를 노드(103)에 반환할 수 있다.

동작 1025에서, 인증 해제를 위한 정보가 유효한 경우, 인증 서버(104)는, 식별된 노드 식별 정보(인증 완료된 노드의 운영체제 정보, 단말 종류 정보 등), 출발지 IP 정보, 사용자 식별 정보 등을 기반으로 제어 서버(102)에 노드(103)에 대한 인증 해제를 요청할 수 있다.

동작 1030에서, 제어 서버(102)는 인증 서버(104)로부터 수신된 인증 해제 요청 정보(노드 식별 정보(인증 완료된 노드의 운영체제 정보, 단말 종류 정보 등), 출발지 IP 정보, 사용자 식별 정보)에 따라 제어 플로우를 제거하며, 제어 플로우에 종속되어 있는 일련의 데이터 플로우 정보를 제거할 수 있다.

동작 1035에서, 제어 서버(102)가, 제거된 데이터 플로우 정보를 게이트웨이(101)로 전파하고, 동작 1040에서, 인증 해제 요청 처리 결과를 인증 서버(104)에 반환할 수 있다.

그리고, 동작 1045에서, 인증 서버(104)는 인증 해제 요청 처리 결과를 노드(103)에 반환하며, 인증 해제가 완료된 경우, 노드(103)는 이후 접속 제어 애플리케이션 설치 또는 별도의 인증 프로세스를 수행해야 서비스 서버에 접속할 수 있는 상태가 될 수 있다.

도 11은 논리적 연결 생성에 필요한 인증 정보와 관련된 다양한 실시예들에 따른 데이터 패킷을 도시한다.

도 11을 참조하면, 노드(단말) 헤더 정보가 포함된 UDP 데이터 패킷(1110)은 IP 헤더와 노드 헤더(Device Header), 페이로드(Payload)를 포함할 수 있다. 예를 들어, 노드 헤더(1130)는 노드 식별 정보와 노드 인증 정보를 포함할 수 있다.

또한, 노드 헤더 정보가 포함된 TCP 데이터 패킷(1120)은 IP 헤더, TCP 헤더, 노드 헤더 및 페이로드를 포함할 수 있다. 예를 들어, 노드 헤더(1130)는 노드 식별 정보와 노드 인증 정보를 포함할 수 있다.

실시예에 따르면, 노드 인증 정보는 노드(103)에서 전송되는 모든 네트워크 접속을 공통적으로 인증하거나, 네트워크 접속 단위(도착지 IP 및 포트)로 인증하기 위한 정보일 수 있다.

노드(103)는 사전에 제어 서버(102)로부터 부여 받은 노드 식별 정보 및 인증 정보를 삽입하는 방식(예: TCP의 경우, TCP SYN 패킷 삽입, UDP의 경우 데이터 패킷별 인증 정보 삽입 또는 일정 간격(또는 주기)으로 인증 정보 삽입, 삽입 방식 및 시점 등), 인증 정보 암호화를 위한 정보, 인증 정보 생성을 위한 알고리즘 정보 및 알고리즘에 포함되는 일련의 정보(예: HMAC OTP 생성시 Secret Key 등의 정보) 중 적어도 어느 하나)에 기반하여 노드 헤더를 생성하여 데이터 패킷에 포함시킬 수 있다. 데이터 패킷에 포함된 노드 헤더는 게이트웨이(101) 또는 제어 서버(102)에 의해 인증이 수행되어 정상적으로 전송된 데이터 패킷인지 여부가 검사될 수 있다.

도 12는, 접속 제어 애플리케이션이 설치된 노드(103)의 외부 서버(가령, 제어 서버(102)) 접속 단계를 개략적으로 도시하고 있다.

도 12를 참조하면, 동작 1205에서, 노드(103)에 설치된 접속 제어 애플리케이션이 제어 플로우(제어 데이터 패킷 흐름 및 일련의 세션)를 생성하기 위해 제어 서버(102)에 접속을 요청할 수 있다.

동작 1210에서, 제어 서버(102)는 접속 요청을 확인하고, 정책 데이터베이스(가령, 접속 정책 데이터베이스 및 터널 정책 데이터베이스, 블랙리스트 데이터베이스 등)에 기반하여, 접속 제어 애플리케이션이 접속 요청한 정보(노드의 종류, 위치 정보, 환경 및 노드가 포함되어 있는 네트워크, 접속 제어 애플리케이션 정보, 해당 노드가 인가된 노드인지를 식별하기 위한 사용자 또는 기기 인증 정보 등)를 참조하여 노드(103)가 접속 가능한 상태인지 여부를 확인할 수 있으며, 노드 및 네트워크 식별 정보 (노드 ID, IP, MAC 주소 등)가 블랙리스트에 포함되어 있는지 여부를 검사할 수 있다.

만약 노드(103)의 접속이 불가능하거나 블랙리스트에 포함된 경우 제어 서버(102)는 접속 불가 정보를 노드(103)에 전송하며, 노드(103)는, 접속 제어 애플리케이션의 실행을 중지하고 종료하거나, 관련 오류 정보를 출력할 수 있다.

반면, 동작 1215에서, 접속 가능한 노드로 판단되면, 제어 서버(102)는, 제어 플로우를 생성하고 난수 형태로 제어 플로우 ID를 생성하며, 노드 및 네트워크 식별 정보(노드 ID, IP, MAC 주소 등)를 제어 플로우 테이블에 추가할 수 있다.

동작 1220에서, 제어 서버(102)는 식별된 정보(노드, 출발지 네트워크 정보 등)와 매칭되는 접속 정책 데이터베이스 및 터널 정책 데이터베이스를 참조하여, 현재 접속된 노드(103)가 기본적으로 연결할 수 있는 목적지 네트워크 정보가 존재하는지 확인하고, 접속 가능한 애플리케이션 화이트리스트 정보를 생성할 수 있다.

제어 서버(102)는, 제어 플로우를 식별하기 위한 제어 플로우 ID 및 애플리케이션 화이트리스트 정보를 반환할 수 있다.

또한, 제어 서버(102)는, 노드(103)의 종류, 위치 정보, 환경 및 노드(103)가 포함되어 있는 네트워크 등의 정보, 노드(103)의 IP 등을 참조하여 노드(103)에 연결할 수 있는 터널 종류 및 게이트웨이(101)를 목록화하고, 목록화된 게이트웨이의 상태(처리량, 장애 여부)를 확인하여 최적의 터널 및 최적의 게이트웨이를 식별할 수 있다.

동작 1225에서, 노드(103)에 접속 가능한 터널 및 게이트웨이가 존재하는 경우, 제어 서버(102)는 터널을 생성하기 위한 게이트웨이 및 터널 인증 등의 일련의 정보를 노드(103)에 전송할 수 있다.

동작 1230에서, 새로운 터널 생성이 필요한 경우, 노드(103)는 제어 서버(102)로부터 수신한 터널 생성을 위한 게이트웨이 및 터널 인증 등 터널 생성이 필요로 한 일련의 정보를 기반으로 해당 게이트웨이(101)에 터널 생성을 요청함으로써 터널이 생성될 수 있다.

터널 생성이 완료된 경우, 제어 서버(102)는 터널 생성 완료 정보 및/또는 터널 생성에 따라 설정된 전용 IP 정보를 획득할 수 있으며, 터널 전용 IP 및 해당 터널 생성 정보를 터널 테이블에 등록하고 노드(103)가 전송한 일련의 정보를 제어 플로우에 갱신할 수 있다.

동작 1235에서, 만약 새로운 터널이 생성되지 않고, 노드(103)가 속한 네트워크에 존재하는 게이트웨이(101)와 목적지 네트워크 경계에 존재하는 게이트웨이(101) 사이에 사전에 연결된 터널을 통해서 접속하는 경우, 또는 노드(103)와 목적지 네트워크 경계 사이에 타 터널 기술을 통해서 접속하는 경우, 제어 서버(102)는 별도의 터널 생성 정보를 노드(103)에 전송하지 않을 수 있다. 만약 터널 생성이 필요로 하지 않은 경우, 애플리케이션 화이트리스트 검사가 수행될 수 있다.

동작 1240에서, 제어 서버(102)는, 노드(103)가 전송한 애플리케이션 설치 목록에 따라 해당 네트워크에 연결된 노드의 접속을 허용하기 위해 접속 정책 데이터베이스 및 서비스 정책 데이터베이스를 참조하여 해당 노드가 위치한 게이트웨이를 확인하고, 해당 노드가 네트워크 접속 요청 절차 없이 네트워크 접속을 허용 할 수 있도록 출발지 IP, 도착지 IP, 서비스 포트 정보, 해당 애플리케이션이 송수신하는 데이터 패킷의 프로토콜을 검사하기 위한 정보로서 데이터 패킷 전송 및 수신시 포함된 프로토콜 정보를 식별하기 위한 프로토콜 식별 시그니처 및 버전 정보, 헤더 정보, 규약 정보 등 및 필요에 따라 어느 정도의 범위(길이)까지 데이터 패킷을 검사하여 프로토콜을 식별하고, 정상적인 프로토콜로 처리할 것인지에 대한 정보, 프로토콜 검사를 네트워크 접속 제어 애플리케이션이 수행할 것인지 또는 데이터 패킷 정보를 컨트롤러로 전송하여 수행할 것인지 여부, 네트워크 접속 시도 시점 또는 주기적으로 프로토콜을 검사할 것인지에 대한 정보, 및 검사가 완료되었는지 또는 검사가 더 필요로 한지에 대한 상태 정보 등을 포함하는 프로토콜 정보 및 게이트웨이에 포함된 프록시를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예 : HTTP, FTP, IoT 전용 프로토콜 등) 및 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예 : 개인 정보, 유해 서비스 요청 정보)를 포함하며, 프록시에서 사전에 불필요로 한 또는 위험한 서비스 요청을 차단하기 위한 일련의 정보와 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보, 접속 대상이 보안 세션 생성시 허용된 대상인지 확인하기 위해 인증서 정보 등을 포함하는 데이터 플로우 정보를 생성/갱신/처리하고, 동작 1245 및 동작 1250에서, 노드(103) 및 게이트웨이에 해당 정보를 전송하고, 동작 1255에서, 게이트웨이(101)는 데이터 플로우 정보를 수신할 수 있다.

그리고, 노드(103) 및/또는 게이트웨이(101)는 제어 서버(102)로부터 갱신된 데이터 플로우 정보를 수신하면, 이를 참조하여 데이터 플로우 정보를 갱신할 수 있다.

도 13은, 접속 제어 애플리케이션이 설치된 노드(103)의 사용자 인증 단계를 개략적으로 도시하고 있다.

도 13을 참조하면, 동작 1305에서, 노드(103)의 접속 제어 애플리케이션은 외부 서버(가령, 제어 서버(102))와의 제어 플로우 생성 이후 사용자 ID 및 비밀번호 또는 강화된 인증 방법에 의한 인증 정보를 전송함으로써 사용자 인증을 요청할 수 있다.

동작 1310에서, 제어 서버(102)는 사용자 인증 요청을 수신하고, 접속 제어 애플리케이션이 인증 요청한 정보(사용자 ID 및 비밀번호, 강화된 인증 정보 등)를 기반으로 해당 노드(103)의 사용자가 접속 가능한 사용자인지 여부 및 해당 사용자가 블랙리스트에 포함되어 있는지 여부를 검사하여 해당 사용자가 차단되어 있는지 여부를 확인하며, 만약 접속이 불가능하거나 블랙리스트에 포함된 경우 노드(103)에 접속 불가 정보를 전송할 수 있다.

동작 1315에서, 접속 가능한 사용자인 것으로 확인되면, 제어 서버(102)는 제어 플로우 ID를 참조하여 제어 플로우 테이블에서 대응되는 제어 플로우를 검색하고, 제어 플로우의 식별 정보에 사용자 식별 정보(사용자 ID)를 추가할 수 있으며, 사용자 인증 결과로서 인증 완료 상태 및 인증된 사용자의 접속 정책 정보를 노드(103)에 반환할 수 있다.

동작 1320에서, 제어 서버(102)는 식별된 정보(노드, 출발지 네트워크 정보 등)와 매칭되는 접속 정책 데이터베이스 및 터널 정책 데이터베이스를 참조하여, 현재 접속된 노드(103)가 연결할 수 있는 목적지 네트워크 정보가 존재하는지 확인하고, 접속 가능한 애플리케이션 화이트리스트 정보를 생성할 수 있다.

접속이 가능한 경우, 해당 노드(103)가 목적지 네트워크에 접속하기 위해서 제어 플로우에 포함된 노드(103)의 종류, 위치 정보, 환경 및 노드가 포함되어 있는 네트워크 등의 정보와 제어 서버(102)를 통해서 식별된 노드의 IP 및 노드에서 식별된 노드의 IP 등을 통해서 노드(103)가 연결할 수 있는 터널 종류와 게이트웨이를 목록화하고, 목록화된 게이트웨이의 상태 (처리량, 장애 여부)를 확인하여 최적의 터널 및 최적의 게이트웨이를 식별할 수 있다.

동작 1325에서, 노드(103)에 접속 가능한 터널 및 게이트웨이가 존재하는 경우, 제어 서버(102)는 터널을 생성하기 위한 게이트웨이 및 터널 인증 등의 일련의 정보를 노드(103)에 전송할 수 있다.

노드(103)와 게이트웨이(101) 사이에 터널이 생성되는 구조가 아니고 노드(103)가 속한 네트워크에 존재하는 게이트웨이(101)와 목적지 네트워크 경계에 존재하는 게이트웨이(101) 사이에 사전에 연결된 터널을 통해서 접속하는 경우, 또는 노드(103)와 목적지 네트워크 경계 사이에 타 터널 기술을 통해서 접속하는 경우, 별도의 터널 생성 정보를 노드(103)에 전송하지 않을 수 있다.

동작 1330에서, 노드(103)는 제어 서버(102)로부터 수신된 사용자 인증 요청 처리 결과값을 처리하며, 터널 생성이 필요로 한 경우, 제어 서버(102)로부터 수신한 터널 생성을 위한 게이트웨이(101) 및 터널 인증 등 터널 생성이 필요로 한 일련의 정보를 기반으로 해당 게이트웨이(101)에 터널 생성을 요청함으로써 터널이 생성될 수 있다.

터널 생성이 완료되면, 노드(103)는 터널 생성 완료 정보 및 터널 생성에 따라 설정된 전용 IP가 있는 경우 IP 정보를 제어 서버(102)에 전송할 수 있다. 동작 1335에서, 제어 서버(102)로부터 애플리케이션 화이트리스트를 수신한 경우, 해당 애플리케이션이 노드(103)에 설치되어 있는지 여부를 확인한 결과를 제어 서버(102)로 전송할 수 있다.

동작 1340에서, 제어 서버(102)는 터널 생성 처리 결과에 따라 터널 생성이 완료된 경우 노드(103)에 할당된 터널 전용 IP 및 해당 터널 생성 정보를 터널 테이블에 등록하고 노드(103)가 전송한 일련의 정보를 식별된 제어 플로우에 갱신할 수 있다. 또한 노드(103)가 전송한 애플리케이션 설치 목록에 따라 해당 네트워크에 연결된 노드의 접속을 허용하기 위해 접속 및 서비스 정책에서 해당 노드가 위치한 게이트웨이를 확인하고, 해당 노드가 네트워크 접속 요청 절차 없이 네트워크 접속을 허용 할 수 있도록 출발지 IP, 도착지 IP, 서비스 포트 정보, 해당 애플리케이션이 송수신하는 데이터 패킷의 프로토콜을 검사하기 위한 정보로써 데이터 패킷 전송 및 수신시 포함된 프로토콜 정보를 식별하기 위한 프로토콜 식별 시그니처 및 버전 정보, 헤더 정보, 규약 정보 등 및 필요에 따라 어느 정도의 범위(길이)까지 데이터 패킷을 검사하여 프로토콜을 식별하고, 정상적인 프로토콜로 처리할 것인지에 대한 정보, 프로토콜 검사를 접속 제어 애플리케이션이 수행할 것인지 또는 데이터 패킷 정보를 컨트롤러로 전송하여 수행할 것인지 여부, 네트워크 접속 시도 시점 또는 주기적으로 프로토콜을 검사할 것인지에 대한 정보, 및 검사가 완료되었는지 또는 검사가 더 필요로 한지에 대한 상태 정보 등을 포함하는 프로토콜 정보 및 게이트웨이에 포함된 프록시를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예: HTTP, FTP, IoT 전용 프로토콜 등) 및 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예: 개인 정보, 유해 서비스 요청 정보)를 포함하며, 프록시에서 사전에 불필요로 한 또는 위험한 서비스 요청을 차단하기 위한 일련의 정보와 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보, 접속 대상이 보안 세션 생성시 허용된 대상인지 확인하기 위해 인증서 정보 등을 포함하는 데이터 플로우 정보를 생성할 수 있다. 동작 1345 및 동작 1350에서, 제어 서버(102)는 노드(103) 및 게이트웨이(101)에 해당 정보를 전송하고, 동작 1355에서, 게이트웨이(101)는 데이터 플로우 정보를 수신할 수 있다.

만약 제어 서버(102)에 의해서 터널 생성이 불필요로 한 경우 또는 터널 생성이 완료된 경우, 제어 서버(102)는 터널 생성 완료 정보 및/또는 터널 생성에 따라 설정된 전용 IP 정보를 획득할 수 있으며, 노드(103)에 할당된 터널 전용 IP 및 해당 터널 생성 정보를 터널 테이블에 등록하고 노드(103)가 전송한 일련의 정보를 식별된 제어 플로우에 갱신할 수 있다.

그리고, 제어 서버(102)로부터 갱신된 데이터 플로우 정보가 수신되면, 노드(103)는 이를 참조하여 노드(103)에 저장된 데이터 플로우 정보를 갱신할 수 있다.

도 14는, 접속 제어 애플리케이션이 설치된 노드(103)의 네트워크 접속 처리 단계를 개략적으로 도시하고 있다.

도 14를 참조하면, 동작 1405에서, 노드(103)의 접속 제어 애플리케이션은 대상 애플리케이션의 네트워크 접속을 탐지할 수 있다. 동작 1410에서, 목적지 네트워크와 통신하기 위해 대상 애플리케이션 식별 정보, 도착지 IP와 포트 정보를 기반으로 데이터 플로우 정보가 존재하는지 확인할 수 있다(1410). 유효한 데이터 플로우가 존재하는 경우, 접속 제어 애플리케이션은 게이트 웨이로 데이터 패킷을 전송할 수 있다. 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 전송 불가 상태 또는 과거에 제어 서버(102)에 의해 네트워크 접속이 거절된 경우), 데이터 패킷은 드랍될 수 있다.

동작 1415에서, 데이터 플로우가 존재하지 않는 경우, 인증 시각이 만료되는 등의 이유로 데이터 플로우 갱신이 필요한 경우, 네트워크 접속 요청을 전송할 수 있다.

동작 1420에서, 제어 서버(102)는 제어 플로우 상에 식별된 정보(노드, 애플리케이션, 출발지 네트워크 정보 등)와 매칭되는 접속 정책 데이터베이스를 참조하여, 접속 요청한 식별 정보(도착지 IP 및 서비스 포트 정보 등)가 포함되었는지 여부 및 해당 식별 정보로 매핑된 서비스 서버로의 접속 가능 여부를 확인할 수 있다.

매핑된 서비스 서버로의 접속이 불가능한 경우, 제어 서버(102)는 노드(103)에 접속 불가 결과를 전송할 수 있으며, 이에 따라 데이터 패킷이 드랍될 수 있다.

매핑된 서비스 서버로의 접속이 가능한 경우, 제어 서버(102)는 해당 네트워크에 접속하기 위해 터널 테이블에서 터널이 생성되었는지 여부를 확인할 수 있다.

동작 1425에서, 터널이 생성되어 있지 않은 경우, 제어 서버(102)는 터널 정책 데이터베이스 및 프로토콜 정책 데이터베이스 중 적어도 일부를 참조하여, 해당 서비스에 접속하기 위해서 반드시 터널이 생성되어 있어야 하는지 확인하고, 반드시 터널이 생성되어 있어야 하는 것으로 확인되면, 제어 서버(102)는 노드(103)에 접속 불가 결과를 전송할 수 있다.

터널이 이미 생성되어 있거나, 터널 생성이 불필요로 한 것으로 확인되면, 제어 서버(102)는, 데이터 플로우 테이블에서 노드(103)가 접속 요청한 정보(도착지 IP 및 서비스 포트 정보 등)에 대응되는 유효한 데이터 플로우가 존재하는지 여부를 확인할 수 있다.

유효한 데이터 플로우가 존재하는 경우 해당 정보(네트워크 접속 요청 결과값)를 노드(103) 및/또는 게이트웨이(101)에 전송할 수 있다.

동작 1430에서, 유효한 데이터 플로우가 존재하지 않는 경우, 제어 서버(102)는, 출발지 IP, 도착지 IP, 서비스 포트 정보, 해당 애플리케이션이 송수신하는 데이터 패킷의 프로토콜을 검사하기 위한 정보로써 데이터 패킷 전송 및 수신시 포함된 프로토콜 정보를 식별하기 위한 프로토콜 식별 시그니처 및 버전 정보, 헤더 정보, 규약 정보 등 및 필요에 따라 어느 정도의 범위(길이)까지 데이터 패킷을 검사하여 프로토콜을 식별하고, 정상적인 프로토콜로 처리할 것인지에 대한 정보, 프로토콜 검사를 네트워크 접속 제어 애플리케이션이 수행할 것인지 또는 데이터 패킷 정보를 컨트롤러로 전송하여 수행할 것인지 여부, 네트워크 접속 시도 시점 또는 주기적으로 프로토콜을 검사할 것인지에 대한 정보, 및 검사가 완료되었는지 또는 검사가 더 필요로 한지에 대한 상태 정보 등을 포함하는 프로토콜 정보 및 게이트웨이에 포함된 프록시를 통해서 접속할 수 있는 서비스 IP와 포트 정보, 프로토콜 정보(예 : HTTP, FTP, IoT 전용 프로토콜 등) 및 서비스 요청 필터링 필요 여부, 서비스 요청 필터링 처리 방식, 필터링 정보(예 : 개인 정보, 유해 서비스 요청 정보)를 포함하며, 프록시에서 사전에 불필요로 한 또는 위험한 서비스 요청을 차단하기 위한 일련의 정보와 서비스 요청에 대한 QoS (Quality of Service)가 필요로 한 경우 일정 시간 단위로 서비스 요청 가능 횟수를 설정하고 그에 따라 프록시에서 서비스 요청 횟수를 조절하기 위한 일련의 정보, 접속 대상이 보안 세션 생성시 허용된 대상인지 확인하기 위해 인증서 정보 등을 포함하는 데이터 플로우 정보를 생성하고, 동작 1440에서, 게이트웨이(101)에 해당 정보를 전송하고, 동작 1435에서, 노드(103)로 네트워크 접속 요청 처리 결과를 전송할 수 있다.

그리고, 접속 제어 애플리케이션은 제어 서버(102)로부터 수신된 접속 요청 결과값을 처리할 수 있다.

만약 제어 서버(102)로부터 데이터 플로우 정보를 수신한 경우, 접속 제어 애플리케이션은 노드(103)에 저장하고 있는 데이터 플로우 정보를 갱신할 수 있으며, 네트워크 접속 요청에 성공한 경우, 데이터 패킷을 게이트웨이(101)로 전송할 수 있다.

도 15는 접속 제어 애플리케이션이 설치된 노드(103)의 터널링 기반 데이터 패킷 포워딩 과정을 개략적으로 도시하고 있다.

도 15를 참조하면, 동작 1505에서, 터널 생성이 필요한 경우, 노드(103)는 외부 서버(가령, 제어 서버(102))로부터 수신한 터널 생성을 위한 게이트웨이(101) 및 터널 인증 등 터널 생성에 필요한 일련의 정보를 기반으로 게이트웨이(101)에 터널 생성을 요청할 수 있다.

동작 1505에서, 게이트웨이(101)는 데이터 플로우 검사를 할 수 있으며, 노드(103)로부터 수신된 데이터 패킷이 터널 생성 처리를 위한 데이터 패킷임을 확인하기 위해 게이트웨이(101) 내에 존재하는 터널링 관련 모듈이 수신하고 있는 포트인지 여부를 확인할 수 있으며, 터널링 관련 모듈이 수신하고 있는 포트인 것으로 확인되면, 데이터 패킷을 포워딩 처리하고, 동작 1515에서, 터널 생성 요청 관련 데이터 패킷을 참조하여 터널 생성을 처리하고, 동작 1520에서, 터널 생성 결과를 노드(103)로 전송할 수 있다.

만약 터널링 관련 모듈이 수신하고 있지 않는 포트이고, 허용되지 않은 출발지 IP 및 도착지 IP, 포트로 접속을 시도하는 데이터 패킷인 경우 게이트웨이(101)는, 데이터 패킷을 드랍 처리할 수 있다.

그리고, 동작 1525에서, 노드(103)는 터널 생성 결과를 수신하여, 터널 생성이 완료된 경우, 동작 1530에서, 터널링에 기반하여 서비스 서버에 접속을 수행(데이터 패킷 전송)할 수 있다.

동작 1535에서, 게이트웨이(101)는 데이터 플로우 검사를 수행할 수 있으며, 노드(103)에 할당된 터널링 IP를 기준으로 제어 서버(102)로부터 수신된 접속 가능한 데이터 플로우 정보를 참조하여, 해당 노드(103)가 서비스 서버에 접속이 가능한지 판단할 수 있다. 동작 1540에서, 접속이 가능한 경우, 데이터 패킷을 서비스 서버로 포워딩하고, 동작 1545에서, 서비스 서버는 데이터 패킷을 수신할 수 있다.

만약 허용되지 않은 출발지 IP 및 도착지 IP, 포트로 접속을 시도하는 데이터 패킷인 경우, 게이트웨이(101)는 데이터 패킷을 드랍 처리할 수 있다.

도 16은 접속 제어 애플리케이션이 설치된 노드(103)의 데이터 패킷 인증 기반 데이터 패킷 포워딩 과정을 개략적으로 도시하고 있다.

도 16을 참조하면, 동작 1605에서, 노드(103) 및 서비스 서버 사이에 논리적 연결(예: TCP 인증 기반 TCP Session 생성, UDP 인증 기반 UDP 관련 Session 또는 흐름 생성 등)이 필요한 경우, 노드(103)는 제어 서버(102)로부터 수신한 논리적 연결 인증을 위해 인증 정보 생성에 필요로 한 일련의 정보를 기반으로 서비스 서버로 논리적 연결 생성을 요청할 수 있다.

동작 1610에서, 게이트웨이(101)는 데이터 플로우 검사를 수행할 수 있으며, 노드(103)로부터 수신된 논리적 연결을 위한 일련의 데이터 패킷을 확인하기 위해서, 제어 서버(102)로부터 수신된 인증 정보를 기반으로 해당 논리적 연결을 위한 인증 정보가 유효한지 여부를 확인하고, 해당 인증 정보로 서비스 서버에 접속이 가능한지 여부를 확인할 수 있다.

동작 1615에서, 인증 정보가 유효한 경우, 게이트웨이(101)는, 데이터 패킷을 서비스 서버로 포워딩 처리하며, 인증 정보가 유효하지 않거나 해당 인증 정보로 접속할 수 없는 서비스 서버의 네트워크 접속 요청인 경우 데이터 패킷을 드랍 처리할 수 있다.

그리고, 동작 1620에서, 논리적 연결이 생성되고, 동작 1625에서, 논리적 연결 생성 결과가 노드(103)로 전송되어, 동작 1630에서, 노드(103)가 논리적 연결 생성 결과를 수신하면, 동작 1635에서, 노드(103)는 논리적 연결에 기반하여 서비스 서버에 데이터 패킷을 전송할 수 있다.

동작 1640에서, 게이트웨이(101)는 노드(103)에 할당된 논리적 연결 정보를 기준으로 하여 제어 서버(102)로부터 수신된 데이터 플로우 정보를 검사하고, 동작 1645에서, 해당 노드(103)가 서비스 서버에 접속이 가능한 경우 데이터 패킷을 서비스 서버로 포워딩하고, 동작 1650에서, 서비스 서버는 데이터 패킷을 수신할 수 있다.

만약 허용되지 않은 허용되지 않은 논리적 연결을 기반으로 서비스 접속을 시도하는 데이터 패킷인 경우, 게이트웨이(101)는 데이터 패킷을 드랍 처리할 수 있다.

본 과정을 통하여 게이트웨이(101)는 인증 기반 논리적 연결이 부여된 노드(103)에 한해서 네트워크 접속 및 데이터 패킷 전송 제어를 수행할 수 있다.

도 17은, 게이트웨이(101)가 프로토콜을 검사하는 과정을 개략적으로 도시한 흐름도이다.

도 17을 참조하면, 동작 1705에서, 게이트웨이(101)는 데이터 패킷 전송 이벤트를 운영체제의 네트워크 커널로부터 수신할 수 있으며, 동작 1710에서, 데이터 플로우 검사를 수행할 수 있다.

일례로, 게이트웨이(101)는, 수신된 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP, UDP 등) 및 출발지 IP 또는 논리적 연결 정보 중 하나 또는 하나 이상을 사용하여 데이터 플로우 정보가 존재하는지 확인할 수 있다.

유효한 데이터 플로우가 존재하지 않는 경우, 게이트웨이(101)는 데이터 패킷을 드랍할 수 있다.

동작 1715에서, 유효한 데이터 플로우가 존재하는 경우, 게이트웨이(101)는, 해당 데이터 플로우에 포함된 프로토콜 정보에 포함된 프로토콜 검사 상태(프로토콜 검사 필요 여부, 이전 데이터 패킷 전송 검사에 의해 프로토콜 검사 완료 여부, 주기적으로 프로토콜 검사 필요 여부 등)에 기반하여 프로토콜 검사가 필요한지 여부를 판단할 수 있다.

프로토콜 검사가 필요로 하지 않은 경우, 게이트웨이(101)는 서비스 서버로 데이터 패킷을 포워딩할 수 있다.

프로토콜 검사가 필요한 경우, 게이트웨이(101) 또는 외부 서버(가령, 제어 서버(102))에 의해 프로토콜 검사가 수행될 수 있다.

동작 1720에서, 게이트웨이(101)가 프로토콜 검사를 직접 수행하는 경우, 게이트웨이(101)는 데이터 플로우에 포함된 데이터 패킷의 프로토콜을 검사하기 위한 정보를 기반으로 데이터 패킷에서 허용된 프로토콜 여부를 식별하기 위한 시그니처 및 버전 정보, 헤더 정보, 규약 정보가 포함되어 있거나 준수하는지 여부를 확인하며, 필요에 따라 프로토콜 정보에 포함된 검사 범위(길이)까지 데이터 패킷을 검사할 수 있다.

프로토콜 검사에 성공한 경우, 프로토콜 검사 상태가 완료 상태로 변경되며, 데이터 패킷이 포워딩 될 수 있다.

동작 1725에서, 프로토콜 검사에 실패한 경우, 게이트 웨이는 해당 데이터 패킷을 드랍하고, 데이터 플로우를 제거하며, 동작 1730에서, 제어 플로우 식별 정보를 포함하는 프로토콜 검사 결과를 제어 서버(102)로 전송할 수 있다. 동작 1735에서, 제어 서버(102)는 프로토콜 검사 결과를 수신하고, 해당 프로토콜 정책 데이터베이스 및 블랙리스트 정책 데이터베이스를 참조하여 위험도를 판단할 수 있다.

동작 1740에서, 만약 위험도가 낮은 경우, 제어 서버(102)는 해당 데이터 플로우를 제거하고, 갱신된 데이터 플로우를 게이트웨이(101)에 전파할 수 있다. 반면에, 위험도가 높은 경우, 제어 서버(102)는 해당 노드(103)가 더이상 네트워크 접속을 유지할 수 없도록 제어 플로우 및 터널을 제거하고 갱신된 제어 플로우, 데이터 플로우, 터널 정보를 게이트웨이(101)에 전파할 수 있다. 만약 위험도가 심각한 경우, 제어 서버(102)는 상기의 제어 플로우 제거 절차를 수행한 이후 식별된 노드(103)가 더 이상 접속할 수 없도록 블랙리스트에 추가할 수 있다.

그리고 게이트웨이(101)는 제어 서버(102)로부터 프로토콜 검사 결과 전송 결과를 수신함에 따라 결과값을 처리할 수 있다.

한편, 도 17에 도시되지는 않았으나, 제어 서버(102)에 의해 프로토콜 검사가 수행되는 경우에도 동일/유사한 설명이 적용될 수 있다.

일례로, 게이트웨이(101)는 데이터 플로우에 포함된 데이터 패킷의 프로토콜을 검사하기 위한 정보를 기반으로 데이터 패킷에서 허용된 프로토콜 여부를 식별하기 위해 데이터 패킷 전부 또는 필요에 따라 프로토콜 정보에 포함된 검사 범위(길이)까지 데이터 패킷을 수집할 수 있다.

그리고, 게이트웨이(101)는 수집된 데이터 패킷 및 데이터 플로우 식별 정보를 포함하여 제어 서버(102)에 프로토콜 검사를 요청할 수 있다.

제어 서버(102)는 식별된 데이터 플로우 정보 및 데이터 플로우에 포함된 프로토콜 정보를 기반으로 하여, 데이터 패킷에서 시그니처 및 버전 정보, 헤더 정보, 규약 정보가 포함되어 있거나 준수하는지 여부를 검사할 수 있다.

만약 검사에 성공한 경우, 제어 서버(102)는 데이터 플로우의 수신 데이터 패킷 검사 상태를 완료로 변경하고 갱신된 데이터 플로우 정보를 게이트웨이(101)에 반환할 수 있다.

반면 검사에 실패한 경우, 제어 서버(102)는 프로토콜 검사 결과에 따라 해당 프로토콜 정책 및 블랙리스트 정책을 기반으로 위험 여부를 판단할 수 있다. 만약 위험도가 낮은 경우, 제어 서버(102)는 데이터 플로우를 제거하고, 갱신된 데이터 플로우 정보를 게이트웨이(101)에 전파할 수 있다. 반면에 위험도가 높은 경우, 제어 서버(102)는 해당 노드(103)가 더 이상 네트워크 접속을 유지할 수 없도록 제어 플로우 및 터널을 제거하고 갱신된 제어 플로우, 데이터 플로우, 터널 정보를 게이트웨이(101)에 전파할 수 있다. 만약 위험도가 심각한 경우, 제어 서버(102)는 상기의 제어 플로우 제거 절차를 수행한 이후 해당 노드(103)가 더 이상 접속할 수 없도록 블랙리스트에 추가할 수 있다.

도 18은 게이트웨이(101)가 보안 세션을 생성하는 과정을 개략적으로 도시한 흐름도이다.

도 18을 참조하면, 동작 1905에서, 게이트웨이(101)는 보안 세션(예: HTTP와 같은 프로토콜을 보호하기 위한 TLS, QUIC 등의 보안 세션) 생성 요청을 노드로부터 수신하고, 동작 1910에서, 데이터 플로우를 검사하여 IP 헤더에 포함된 출발지 IP를 식별하고, 보안 세션을 생성하기 위해 게이트웨이(101)에 포함된 프록시 포트에 대응하는 유효한 데이터 플로우가 존재하는지 여부를 확인할 수 있다.

동작 1925에서, 유효한 데이터 플로우가 존재하지 않는 경우, 게이트웨이(101)는 보안 세션 생성 요청을 거절할 수 있다.

동작 1915에서, 유효한 데이터 플로우가 존재하는 경우, 게이트웨이(101)는 프록시를 통해서 노드와 프록시 사이에 보안 세션을 생성하고, 그 결과를 노드에 반환할 수 있다.

동작 1920에서, 또한 보안 세션 생성이 완료된 경우, 게이트웨이(101)는 보안 세션 생성에 사용된 인증서 정보를 검사하고 데이터 플로우를 갱신할 수 있다.

해당 인증서가 특정 노드를 식별하기 위한 특정 인증서인 경우, 게이트웨이(101)는 특정 인증서 식별 정보를 기준으로 식별된 데이터 플로우에 보안 세션 식별 정보 및 보안 세션 매칭 여부(완료)를 갱신하고, 이후에 해당 보안 세션으로 접속하는 노드에 대해서는 보안 세션 식별 정보 기반으로 데이터 플로우를 식별할 수 있도록 한다.

해당 인증서가 모든 노드에서 사용할 수 있는 범용 인증서인 경우, 출발지 IP 기준으로 식별된 데이터 플로우의 보안 세션 정보에 보안 세션 식별 정보 및 보안 세션 매칭 여부(미완료)를 갱신하고, 이후에 인증 절차를 통해서 해당 보안 세션 식별 정보를 사용하는 노드 또는 사용자를 매칭할 수 있도록 한다.

도 19는 게이트웨이(101)가 서비스 요청을 처리하는 과정을 개략적으로 도시한 흐름도이다.

도 19를 참조하면, 동작 1805에서, 보안 세션 기반 서비스 요청 이벤트가 수신되면, 동작 1810에서, 게이트웨이(101)에 포함된 프록시는 데이터 플로우 검사를 수행하여 수신된 IP 헤더에 포함된 도착지 IP와 포트 정보, 프로토콜 정보(예: TCP, UDP 등)를 사용하여 데이터 플로우 정보가 존재하는지 확인할 수 있다.

동작 1840에서, 데이터 플로우가 존재하지만 유효하지 않은 경우(예: 데이터 패킷 전송 불가 상태 등) 또는 데이터 플로우가 존재하지 않는 경우, 게이트웨이(101)는 서비스 요청을 거절할 수 있다.

동작 1840에서, 인증 정보 검사가 필요한 데이터 플로우가 존재하는 경우, 게이트웨이(101)는 수신된 서비스 요청 헤더 또는 파라메터에 인증 정보가 존재하는지 여부를 확인한다.

참고로, 인증 정보는 인증 서버를 통해서 노드 및 사용자 인증이 완료된 후, 인증 정보를 헤더 또는 파라미터 형태로 반환하여 이후 노드가 보안 세션 기반 서비스 요청시 해당 인증 정보를 포함하여 전송함으로써 게이트웨이(101)가 해당 인증 정보와 보안 세션을 매칭하기 위한 정보로 사용되는 정보일 수 있다.

동작 1850에서, 인증 정보가 존재하지 않는 경우, 게이트웨이(101)는 데이터 플로우 식별 정보 및 보안 세션 식별 정보를 포함하여 인증 서버로 리다이렉션하고, 노드 및 사용자 인증이 완료되면, 해당 데이터 플로우와 보안 세션이 매칭 가능한 상태인지 여부를 확인하고 데이터 플로우를 갱신할 수 있다.

인증 정보가 존재하는 경우, 게이트웨이(101)는 데이터 플로우의 인증 정보에 기반하여 해당 인증 정보가 유효한지 여부를 검사할 수 있다.

동작 1845에서, 유효한 인증 정보인 경우, 게이트웨이(101)는 데이터 플로우의 보안 세션 정보에 보안 세션 식별 정보 및 보안 세션 매칭 여부(완료)를 갱신하고, 이후 해당 보안 세션 식별 정보에 기반하여 데이터 플로우를 검사할 수 있다. 반면에, 유효하지 않은 인증 정보인 경우, 게이트웨이(101)는 서비스 요청을 거절할 수 있다.

그리고, 유효한 데이터 플로우가 존재하는 경우, 게이트웨이(101)는 수신된 서비스 요청 헤더에 포함된 도착지 IP 또는 도메인 식별 정보와 포트 정보를 기반으로 데이터 플로우 정보 내에 서비스 요청을 허용하는 서비스 정보가 존재하는지 확인할 수 있다.

서비스 요청을 허용하는 서비스 정보가 존재하지 않는 경우, 게이트웨이(101)는 해당 서비스 요청을 거절할 수 있다.

서비스 요청을 허용하는 서비스 정보가 존재하는 경우, 게이트웨이(101)는 서비스 정보에 포함된 서비스 요청 QoS 정보를 통해서 QoS가 필요한지 여부를 확인할 수 있다.

동작 1815에서, 서비스 요청 QoS가 필요한 경우, 게이트웨이(101)는 서비스 요청 QoS 처리를 수행할 수 있다. 게이트웨이(101)는 서비스 요청 QoS 정보에 포함된 일정 시간당 서비스 요청 가능 횟수를 확인할 수 있으며, 서비스 요청 횟수가 일정 시간당 허용 가능한 횟수를 초과하는 것으로 확인되면, 서비스 요청 QoS 방식에 따라 해당 서비스 요청을 일정 시간 지연시킨 후 처리하거나 서비스 요청을 거절하여 서비스 재요청을 유도할 수 있다.

동작 1820에서, 서비스 요청 QoS가 필요하지 않은 경우, 게이트웨이(101)는 서비스 요청 정보를 필터링할 수 있으며, 서비스 정보에 포함된 서비스 필터링 정보를 통해서 해당 서비스 요청의 프로토콜(예: HTTP, FTP 또는 IoT 기기를 위한 전용 프로토콜 등)이 정상적인지 여부를 확인할 수 있다.

해당 서비스 요청의 프로토콜이 정상적이지 않은 경우, 게이트웨이(101)는 서비스 요청을 거절할 수 있다.

한편, 게이트웨이(101)는, 서비스 요청 정보를 필터링할 때, 정보에 대한 치환이 필요로 한 경우, 서비스 필터링 정보에 포함된 치환 정보 또는 규칙을 통해서 해당 요청 정보를 치환하고 해당 서비스 요청을 전송할 수 있다.

반면에, 서비스 요청에 대한 필터링이 필요로 하지 않은 경우 및/또는 서비스 요청 정보에 대한 치환이 필요로 하지 않은 경우, 게이트웨이(101)는 해당 서비스 요청을 전송할 수 있다.

만약 서비스 요청에 대해 차단이 필요로 한 경우, 게이트웨이(101)는 해당 서비스 요청 전송을 거절할 수 있다.

게이트웨이(101)는 데이터 플로우의 인증 정보에 포함된 인증 정보 생성 알고리즘 및 부가 정보를 사용하여 인증 정보를 생성할 수 있다. 이후 인증 정보에 포함된 암호화 알고리즘 및 암호화 키로 해당 인증 정보를 암호화할 수 있다. 그리고, 동작 1825에서, 게이트웨이(101)는 암호화된 인증 정보와 데이터 플로우 식별 정보를 결합한 데이터 플로우 헤더를 서비스 애플리케이션의 프로토콜 규격에 따라 서비스 요청 정보에 삽입하고, 동작 1830에서, 해당 서비스 요청을 전송할 수 있다.

동작 1835에서, 서비스 요청 전송 또는 서비스 요청 거절을 처리한 이후 게이트웨이(101)는 서비스 요청 처리 횟수를 데이터 플로우 내의 서비스 정보에 포함된 QoS 통계 정보에 반영할 수 있다.

한편, 게이트웨이(101)는 아래와 같은 과정을 통해 데이터 플로우를 갱신할 수 있다.

일례로, 게이트웨이(101)는 제어 서버(102)로부터 수신된 데이터 플로우에 기반하여, 노드(103)로부터의 데이터 패킷 또는 서비스 요청을 포워딩할 때 처리 시각 또는 Timestamp 정보를 갱신하며, 주기적으로 제어 서버(102)에 데이터 플로우 정보 갱신을 요청할 수 있다.

그리고, 제어 서버(102)는 수신된 데이터 플로우 식별 정보를 참조하여 데이터 플로우 정보가 존재하는지 확인할 수 있다.

데이터 플로우가 존재하지 않는 경우, 해당 노드(103)가 네트워크 접속을 종료한 것이므로, 제어 서버(102)는 해당 게이트웨이(101)를 통해 해당 데이터 플로우 정보로 더 이상 접속할 수 없도록 유효하지 않은 데이터 플로우 정보를 게이트웨이(101)로 반환할 수 있다.

또한 제어 서버(102)는, 데이터 플로우의 마지막 접속 처리 시각을 확인하고 인증 정책에 따라 최초 인증 이후 사용할 수 있는 시각이 만료되어 재인증이 필요로 하거나, 노드(103)의 접속이 해제된 경우 해당 노드(103)의 데이터 플로우 및 제어 플로우를 제거하고, 해당 노드(103)가 네트워크 접속을 종료한 것이므로 해당 게이트웨이(101)를 통해 더 이상 접속할 수 없도록 유효하지 않은 데이터 플로우 정보를 게이트웨이(101)로 반환할 수 있다.

그리고, 게이트웨이(101)는 수신된 데이터 플로우 정보를 기반으로 유효하지 않은 데이터 플로우를 삭제할 수 있다.

도 20을 참조하면, 게이트웨이(101)에 의해 데이터 플로우 헤더가 삽입된 서비스 요청 정보의 구조를 확인할 수 있다.

게이트웨이(101)에 포함된 프록시는, 데이터 플로우에 포함된 인증 정보에 기반하여, 서비스 서버에서 서비스 요청 대상을 식별할 수 있는 데이터 플로우 헤더 정보를 서비스 애플리케이션의 프로토콜에 적합한 부분(예: HTTP의 경우 헤더 영역)에 삽입하여 서비스 서버로 재전송하고, 서비스 요청에 대한 서비스 서버의 응답값을 노드(103)로 반환할 수 있다.

데이터 플로우 헤더는 노드(103), 게이트웨이(101), 서비스 서버 간 데이터 패킷 흐름에서 제어 서버(102)로부터 수신된 데이터 플로우를 기반으로 서비스 서버에서 인증된 데이터 패킷인지 여부를 확인하기 위해 삽입될 수 있다.

이러한 데이터 플로우 헤더는 데이터 플로우 식별 정보 및 암호화된 인증 정보를 포함할 수 있다.

IP 네트워크에서 데이터 패킷은 5 Tuples 정보 (프로토콜, 출발지 IP, 포트, 도착지 IP, 포트) 이외에는 식별할 수 있는 정보가 없기 때문에, 서비스 서버는, IP를 할당받은 노드(103)가 실질적으로 인증되었는지 여부 및 실질적 통신 주체인 애플리케이션이 허용된 대상에 의해서 전송되었는지 여부를 알 수 없다.

따라서, 서비스 요청 처리시, 서비스 서버는 데이터 플로우 헤더에 포함된 데이터 플로우 식별 정보로 제어 서버(102)에 질의하여 인증된 대상이 접속하였는지 여부를 확인하고, 제어 서버(102)가 저장하고 있는 인증된 대상에 대한 부가적인 정보를 수신하여 인증 처리할 수 있게 된다.

또한, 데이터 플로우 헤더에 포함된 데이터 플로우 식별 정보 이외에 암호화된 인증 정보는 인증된 게이트웨이(101)가 서비스 요청을 포워딩하였는지 여부를 확인하기 위해 사용될 수 있다.

이때, 암호화된 인증 정보는, 제어 서버(102)로부터 수신된 데이터 플로우의 인증 정보에 포함된 인증 정보 암호화/복호화 키를 통해서 인증된 대상(즉, 데이터 플로우가 존재하는 경우)만 암호화된 인증 정보를 복호화할 수 있다.

복호화된 인증 정보는 데이터 플로우 식별 정보와 같이 매 데이터 패킷 인증 시점마다 고정되어 있는 값이 아니라 인증 시점마다 변경되는 OTP (One-Time Password) 및 Random Generation 형태의 정보를 포함할 수 있다.

또한, 게이트웨이(101)는 데이터 플로우의 인증 정보에 포함된 OTP 생성 및 검증을 위한 정보를 기반으로 하여, 매 서비스 요청 포워딩 시점마다 변경되는 OTP 정보를 생성하고, 해당 값을 암호화하여 데이터 플로우 식별 정보를 삽입한 데이터 플로우 헤더 정보를 포함하는 서비스 요청 정보를 포워딩할 수 있다.

본 발명의 실시예에 따르면, HTTP와 같이 범용 프로토콜을 사용하는 노드의 서비스 접속을 식별하고 프록시를 통해서 보안 세션을 연결하도록 유도하며, 보안 세션 연결 이후 노드의 사용자 인증을 통해서 서비스 정보에 데이터 플로우 헤더를 삽입하여 노드에 반환하고, 노드로의 반환 과정 또는 노드의 서비스 재요청 과정에서 게이트웨이가 서비스 정보에 포함된 데이터 플로우 식별 정보를 기반으로 해당 데이터 플로우에 보안 세션 식별 정보를 매핑하는 절차를 수행함으로써, 이후에 서비스 접속하는 노드의 데이터 플로우를 노드 인증 정보 및/또는 보안 세션에 기반하여 검사하고, 이에 따라 복수의 노드로부터 수신된 데이터 패킷들이 동일한 출발지 IP를 포함하는 경우에도, 각각의 노드에 대해 독립적으로 네트워크 접속을 제어할 수 있다.

이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.

따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술 사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 문서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (12)

1. 게이트웨이에 있어서,

   통신 회로;

   메모리; 및

   상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,

   서비스 요청을 위한 데이터 패킷을 노드로부터 수신하고,

   상기 데이터 패킷에 대응되는 채널이 존재하는지 여부를 확인하고,

   상기 채널이 존재하는 것으로 확인되면, 상기 데이터 패킷의 목적지 네트워크로 상기 데이터 패킷을 포워딩하고,

   상기 채널이 존재하지 않는 것으로 확인되면, 상기 데이터 패킷을 외부 서버로 포워딩하고,

   상기 데이터 패킷을 상기 외부 서버로 포워딩한 후, 상기 노드에 대한 인증 결과에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하도록 구성된, 게이트웨이.
2. 제 1 항에 있어서,

   상기 채널은 터널 또는 보안 세션을 포함하는, 게이트웨이.
3. 제 1 항에 있어서,

   상기 프로세서는,

   상기 채널이 존재하는 것으로 확인되면, 상기 데이터 패킷에 대응되는 데이터 플로우가 존재하는지 여부를 확인하고,

   상기 데이터 플로우가 존재하는 것으로 확인되면, 상기 목적지 네트워크로 상기 데이터 패킷을 포워딩하도록 구성된, 게이트웨이.
4. 제 3 항에 있어서,

   상기 프로세서는,

   상기 데이터 플로우가 존재하는 것으로 확인되면, 상기 데이터 플로우에 포함된 QoS(Quality of Service) 정보에 기반하여 상기 서비스 요청에 대해 QoS가 필요한지 여부를 확인하고,

   상기 서비스 요청에 대해 상기 QoS가 필요한 것으로 확인되면, 상기 서비스 요청이 상기 QoS 정보에 대응되는 임계 서비스 요청 조건을 만족하는지 여부를 확인하고,

   상기 서비스 요청이 상기 임계 서비스 요청 조건을 만족하지 않는 것으로 확인되면, 기설정된 시간이 경과된 후 상기 서비스 요청이 전송되도록 하거나, 상기 노드로 하여금 상기 서비스 요청을 재전송하도록 구성된, 게이트웨이.
5. 제 4 항에 있어서,

   상기 프로세서는,

   상기 데이터 플로우가 존재하는 것으로 확인되면, 상기 데이터 패킷에 포함된 노드 인증 정보의 유효성을 판단하고,

   상기 노드 인증 정보가 유효한 것으로 판단되면, 상기 데이터 플로우를 갱신한 후, 상기 서비스 요청에 대해 상기 QoS가 필요한지 여부를 확인하도록 구성된, 게이트웨이.
6. 제 4 항에 있어서,

   상기 프로세서는,

   상기 서비스 요청이 상기 임계 서비스 요청 조건을 만족하는 것으로 확인되거나, 상기 서비스 요청에 대해 상기 QoS가 필요하지 않은 것으로 확인되면, 상기 데이터 플로우에 포함된 필터링 정보에 기반하여 상기 데이터 패킷의 프로토콜이 정상인지 여부를 확인하고,

   상기 데이터 패킷의 프로토콜이 정상으로 확인되면, 상기 필터링 정보에 기반하여 상기 데이터 패킷에 포함된 정보의 치환이 필요한지 여부를 판단하고,

   상기 치환이 필요한 것으로 판단되면, 상기 필터링 정보에 포함된 치환 정보 및 치환 규칙 중 적어도 일부에 기반하여 상기 데이터 패킷에 포함된 정보를 치환하여 상기 목적지 네트워크로 포워딩하도록 구성된, 게이트웨이.
7. 제 3 항에 있어서,

   상기 프로세서는,

   데이터 플로우 식별 정보에 기반하여 인가된 노드를 식별하기 위한 인가 노드 식별 정보를 생성하고,

   상기 인가 노드 식별 정보를 상기 서비스 요청을 위한 데이터 패킷에 삽입하여 상기 목적지 네트워크로 포워딩하도록 구성된, 게이트웨이.
8. 제 1 항에 있어서,

   상기 프로세서는,

   상기 데이터 패킷을 상기 외부 서버로 포워딩한 후, 상기 인증 결과가 인증 조건을 만족함에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하되,

   상기 인증 조건은 상기 노드의 접속 제어 애플리케이션의 설치 정보 및 상기 노드의 인증 프로세스 수행 정보 중 적어도 하나에 대응되는, 게이트웨이.
9. 외부 서버에 있어서,

   통신 회로;

   메모리; 및

   상기 통신 회로 및 상기 메모리와 작동적으로 연결되는 프로세서를 포함하고, 상기 프로세서는,

   서비스 요청을 위한 데이터 패킷이 획득되면, 상기 데이터 패킷을 참조하여 인증 지원 정보를 상기 노드로 전송하고,

   상기 인증 지원 정보에 기반하여 상기 노드로부터 출발지 IP(internet protocol)를 포함하는 네트워크 접속 요청을 획득하고,

   상기 네트워크 접속 요청에 포함된 정보에 기반하여 상기 목적지 네트워크에 상기 노드가 접속 가능한지 확인하고,

   접속이 가능한 것으로 확인되면, 채널에 대한 정보를 게이트웨이에 전송하도록 구성된, 외부 서버.
10. 제 9 항에 있어서,

    상기 프로세서는,

    상기 인증 지원 정보에 기반하여 상기 노드에 접속 제어 애플리케이션이 설치되면, 상기 목적지 네트워크에 대한 제1 접근 권한을 상기 노드에게 부여하고,

    상기 인증 지원 정보에 기반하여 노드 인증 프로세스가 수행되면, 상기 목적지 네트워크에 대한 제2 접근 권한을 상기 노드에게 부여하도록 구성된, 외부 서버.
11. 게이트웨이의 동작 방법에 있어서,

    서비스 요청을 위한 데이터 패킷을 노드로부터 수신하는 단계;

    상기 데이터 패킷에 대응되는 데이터 플로우 및 보안 세션이 존재하는지 여부를 확인하는 단계; 및

    상기 데이터 플로우 및 상기 보안 세션이 존재하는 것으로 확인되면, 상기 데이터 패킷의 목적지 네트워크로 상기 데이터 패킷을 포워딩하고, 상기 데이터 플로우 및 상기 보안 세션이 존재하지 않는 것으로 확인되면, 상기 데이터 패킷을 외부 서버로 포워딩한 후, 상기 노드에 대한 인증 결과에 따라 상기 외부 서버로부터 상기 채널에 대한 정보를 수신하는 단계를 포함하는, 방법.
12. 제 11 항에 있어서,

    상기 데이터 패킷을 상기 목적지 네트워크로 포워딩 하는 단계는,

    데이터 플로우 식별 정보에 기반하여 인가된 노드를 식별하기 위한 인가 노드 식별 정보를 생성하는 단계; 및

    상기 인가 노드 식별 정보를 상기 데이터 패킷에 삽입하여 상기 목적지 네트워크로 포워딩하는 단계를 포함하는, 방법.

Images