[go: up one dir, main page]

KR101400709B1 - System and method for the terminal service access control in a cloud computing environment - Google Patents

System and method for the terminal service access control in a cloud computing environment Download PDF

Info

Publication number
KR101400709B1
KR101400709B1 KR1020120069970A KR20120069970A KR101400709B1 KR 101400709 B1 KR101400709 B1 KR 101400709B1 KR 1020120069970 A KR1020120069970 A KR 1020120069970A KR 20120069970 A KR20120069970 A KR 20120069970A KR 101400709 B1 KR101400709 B1 KR 101400709B1
Authority
KR
South Korea
Prior art keywords
information
user
terminal
access control
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020120069970A
Other languages
Korean (ko)
Other versions
KR20140011524A (en
Inventor
김민수
Original Assignee
엘에스웨어(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스웨어(주) filed Critical 엘에스웨어(주)
Priority to KR1020120069970A priority Critical patent/KR101400709B1/en
Publication of KR20140011524A publication Critical patent/KR20140011524A/en
Application granted granted Critical
Publication of KR101400709B1 publication Critical patent/KR101400709B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 서버 기반 컴퓨팅 및 데스크톱 컴퓨팅 환경에서 터미널 서버 접근을 제어하는 방법에 관한 것이다. 터미널 서비스의 접근을 제어하는 시스템에 있어서, 사용자가 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 세션 연결 동작부; 터미널 서비스에 접근하는 사용자의 정보를 추출하는 정보 추출부; 사용자의 상태 정보와 정보 추출부에서 추출한 정보를 연결하여 관리하는 세션 관리부, 그리고 정보 추출부 및 세션 관리부로부터 얻은 정보에 기반하여 사용자의 로그인 허가를 결정하는 정책 확인부를 포함하는 터미널 서비스 접근 제어 시스템이 제공될 수 있다.The present invention relates to a method for controlling terminal server access in server based computing and desktop computing environments. A system for controlling access to a terminal service, the system comprising: a session connection operation unit for controlling a flow occurring after a user accesses a terminal service; An information extraction unit for extracting information of a user accessing the terminal service; A terminal service access control system including a session management unit for managing and managing the user's state information and information extracted by the information extraction unit, and a policy checking unit for determining a login permission of the user based on the information obtained from the information extraction unit and the session management unit Can be provided.

Figure R1020120069970
Figure R1020120069970

Description

클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법{SYSTEM AND METHOD FOR THE TERMINAL SERVICE ACCESS CONTROL IN A CLOUD COMPUTING ENVIRONMENT}TECHNICAL FIELD [0001] The present invention relates to a terminal service access control system and a terminal service access control system in a cloud computing environment,

본 발명은 서버 기반 컴퓨팅 및 데스크톱 컴퓨팅 환경에서 터미널 서버 접근을 제어하는 방법에 관한 것이다.The present invention relates to a method for controlling terminal server access in server based computing and desktop computing environments.

터미널 서버를 이용하는 클라우드 컴퓨팅(서버 기반 컴퓨팅 또는 데스크톱(Desktop) 컴퓨팅)환경이란, 모든 애플리케이션 및 정보를 원격 서버 또는 원격 데스크톱에 두고 100% 원격 장비(원격 서버 또는 원격 데스크톱)에서 실행되도록 하며, 클라이언트는 단지 원격에서 실행된 결과만을 보여 주는 컴퓨팅 환경으로 즉, 모든 정보를 원격 서버나 원격 데스크톱에 올려 두기 때문에 사용자가 언제나 어디서나, 어떤 기기나 네트워크를 통해 필요한 정보를 이용할 수 있는 환경이다. 또한, 도 1에서와 같이, 클라이언트는 키보드, 마우스 작동에 대한 정보만을 주고 변경된 화면의 정보를 받게 되는 서비스 환경을 말하며, 그 특징으로는 인증 과정을 거친 허가자만 원격 정보에 접근할 수 있도록 함으로써 사내 직원에 의한 보안 사고 및 정보 유출을 막을 수 있다는 것이다.A cloud computing (server-based computing or desktop computing) environment using a terminal server allows all applications and information to be run on 100% remote equipment (remote server or remote desktop) on a remote server or remote desktop, It is a computing environment that shows only results that are executed remotely, that is, all information is put on a remote server or a remote desktop so that users can use the necessary information anytime anywhere, any device or network. Also, as shown in FIG. 1, the client refers to a service environment in which only the information on the keyboard and mouse operations is given and information on the changed screen is received. In the feature, the authorized user has access to the remote information through the authentication process, It can prevent security accidents and information leakage by employees.

기존의 원격 터미널 서버 접근을 제어하는 방법으로 도 2와 같이 접근하는 IP 주소를 기반으로 접속을 허가하거나 또는 접속을 거부할 수 있다. 도 2와 같은 방식은 네트워크 망 영역에서 처리하는 방식이며, 또한 원격 터미널 서버, 원격 데스크톱 운영 체제 내부에서 접근을 제어하는 방법으로, 운영 체제에서 동작하는 S/W 방화벽 및 S/W IPS(Intrusion Prevention System, 침입 방지 시스템)를 설치하여 IP 주소를 기반으로 터미널 서비스에 대한 접근 제어를 처리하고 있다. As a method of controlling an existing remote terminal server access, a connection can be granted or denied based on an accessing IP address as shown in FIG. The method shown in FIG. 2 is a method for processing in the network network area, and also a method for controlling access within the remote terminal server and the remote desktop operating system. The method includes a S / W firewall and an Intrusion Prevention System, Intrusion Prevention System) to handle access control to terminal service based on IP address.

원격 서버 터미널 서비스의 접근 제어의 방식은 IP 주소, Port의 한계를 넘지 못하는 실정에 있는데, 기존 원격 서버 터미널 서비스의 접근 제어 설정을 할 경우엔 IP 주소, 또는 IP 대역, 접근 Port(Source Port, Destination Port)에 대해 모두 등록 설정을 해야 한다. 접근 거부 혹은 접근 허가로만 처리되기 때문에 불편함이 존재할 수 있다.The access control method of remote server terminal service does not exceed the limit of IP address and port. When setting access control of existing remote server terminal service, IP address, IP band, access port (Source Port, Destination Port) must be registered. There may be inconvenience because it is treated only as access denial or access permission.

더 나아가서는 원격 서버의 터미널 서비스에 접근한 후, 시스템에 로그인하기 전에 접근 제어를 해야 하는데, 이때 대부분의 접근 제어 방식은 IP 주소를 기반으로 하기 때문에 로그인하는 사용자의 접근 여부를 알 수 없다. 시스템에 로그인한 후에 접근을 제어하는 것은 시스템에 이미 로그인한 상태이기 때문에 보안상 취약점이 나타날 수 있다.Further, after accessing the terminal server of the remote server, access control must be performed before logging in to the system. Most of the access control methods are based on the IP address, so it is impossible to know whether the user who is logged in is accessing the terminal. Controlling access after logging in to the system can be a security vulnerability because you are already logged in to the system.

기존의 제한적인 기준, 즉 IP 주소, Port만을 기준으로 원격 서버의 터미널 서비스 접근 제어를 한다고 했을 때 보안적인 문제가 발생할 수 있는 구조를 가지고 있다. It has a structure that can cause a security problem when the terminal server access control of the remote server is performed based on the existing limited standard, that is, only the IP address and the port.

이에 대한 일례를 들어, 원격 서버의 터미널 서비스에 접속 로그인할 수 있는 사용자가 Tank, M16이 있고 접속 단말 IP에 대해 접속 거부 정책으로 동작되고 있다고 가정하면, 실제 사용자 A가 사용하는 단말(클라이언트, PC)에서 원격 접속을 했을 경우에 Tank 및 M16으로 원격 터미널 서비스에 접속할 경우 Tank 및 M16은 모두 접속 거부를 당하게 된다. 사용자 A가 사용하는 단말(클라이언트, PC)에서 Tank ID만 접속 거부를 당하게 되도록 하며, M16은 접속 가능해야 한다면 기존의 방식으로는 불가능하고, 또한 유동성이나 확장성에 대해 고려되어 있지 않다.For example, if it is assumed that the users who can access and log in to the terminal server of the remote server are Tank and M16 and the connection terminal IP is operated with the connection denial policy, the terminal (client, PC ), When connecting to remote terminal service by Tank and M16, both Tank and M16 will be denied access. In the terminal (client, PC) used by the user A, only the tank ID is allowed to be denied. If the M16 is connectable, it is not possible in the existing method, and fluidity and scalability are not considered.

위와 같은 문제는 원격 서버에 접속하는 원격 서버 사용자(Tank, M16)에 대한 정보를 정확하게 추출하지 못하고 있고, 사용자가 접속하는 단말(클라이언트, PC)의 호스트(컴퓨터) 이름 또한 얻어내지 못한다. 만약 위에서 언급한 사용자 정보를 추출하고 단말의 정보를 추출할 수 있다고 가정하면 IP 주소와 Port만으로 제어하던 기준을 더 확장할 수 있게 된다.The above problem does not accurately extract information about the remote server users (Tank, M16) connecting to the remote server, nor does it obtain the host (computer) name of the terminal (client, PC) to which the user connects. Assuming that the above-mentioned user information can be extracted and information of the terminal can be extracted, it is possible to further expand the standard that was controlled by only the IP address and the port.

또 다른 예를 들면, A라는 사용자가 시스템에 로그인한 후에 접근 제어를 하는 것은 보안상 취약점이 존재하게 된다. 로그인한 후에 접근 제어를 하기 때문에 시간적 간격(Interval)이 발생함으로 인해 보안상 문제점이 발생할 수 있기 때문이다. 또한, 이러한 이유로 접근된 IP 주소와 로그인 정보를 취득하여 로그인하기 이전에 접근 제어 정책에 의해 허가 여부를 판단하는 메커니즘이 필요하게 된다.As another example, there is a security vulnerability in that access control is performed after a user A logs in to the system. Since access control is performed after logging in, a security problem may occur due to the occurrence of a time interval (Interval). For this reason, there is a need for a mechanism to determine whether or not the access is permitted by the access control policy before obtaining the accessed IP address and login information and logging in.

본 발명은 상기 기준이 되는 네 가지, 즉 IP 주소, Port정보, 사용자 정보, Host 정보에 대한 정보 취득을 기반으로 원격 서버의 터미널 서비스 접근 제어에 대한 기준을 더 구체화하여 예를 들어 설명한 보안상의 문제에 대해 접근 제어를 더욱 강화할 수 있는 시스템 및 방법을 제안하고자 한다.The present invention further specifies the criteria for terminal service access control of the remote server based on the information acquisition on the four criteria, namely, the IP address, the port information, the user information, and the Host information, And a system and a method for enhancing access control to the user.

터미널 서비스의 접근을 제어하는 시스템에 있어서, 사용자가 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 세션 연결 동작부; 터미널 서비스에 접근하는 사용자의 정보를 추출하는 정보 추출부; 및 사용자의 상태 정보와 정보 추출부에서 추출한 정보를 연결하여 관리하는 세션 관리부; 정보 추출부 및 세션 관리부로부터 얻은 정보에 기반하여 사용자의 로그인 허가를 결정하는 정책 확인부를 포함하는 터미널 서비스 접근 제어 시스템이 제공될 수 있다. A system for controlling access to a terminal service, the system comprising: a session connection operation unit for controlling a flow occurring after a user accesses a terminal service; An information extraction unit for extracting information of a user accessing the terminal service; And a session management unit for managing and managing the state information of the user and information extracted by the information extraction unit; And a policy checking unit for determining a login permission of the user based on the information obtained from the information extracting unit and the session managing unit.

일측에 있어서, 터미널 서비스의 네트워크 통신 프로토콜은 RDP(Remote Desktop Protocol)을 사용하여 암호화된 데이터를 송수신할 수 있다. On one side, the network communication protocol of Terminal Services can transmit and receive encrypted data using RDP (Remote Desktop Protocol).

또 다른 측면에 있어서 세션 연결 동작부에서 제어는 연결 제어, 연결 해제 제어, 재연결 제어, 로그온(Log on) 제어, 로그오프(Log off) 제어에 해당될 수 있다.In another aspect, the control in the session connection operation unit may correspond to connection control, disconnection control, reconnection control, log on control, and log off control.

또 다른 측면에 있어서 정보 추출부는 커널 디바이스 드라이버에 특정 정보를 요청함으로써 사용자의 정보를 추출할 수 있다. In another aspect, the information extraction unit can extract user information by requesting specific information to the kernel device driver.

또 다른 측면에 있어서, 정보 추출부에서 추출하는 정보는 각 세션에서 사용하는 정책 요소들로서, 사용자 정보, IP 정보, Domain 정보, Host 정보에 해당될 수 있다. In another aspect, the information extracted by the information extraction unit may correspond to user information, IP information, Domain information, and Host information, which are policy elements used in each session.

또 다른 측면에 있어서, 세션 관리부는 정보 추출부에서 추출한 정보를 저장하고, 정책 확인부에서 정책을 검사하는 경우에 정보를 제공할 수 있다. In another aspect, the session management unit stores information extracted by the information extraction unit, and can provide information when the policy checking unit examines the policy.

또 다른 측면에 있어서, 터미널 서비스 접근 제어 시스템은 외부에 정책 결정부를 포함하고, 정책 확인부는 정보 추출부 및 세션 관리부로부터 얻은 정보를 정책 결정부로 전송하여 결정된 정책을 회신하고, 결정된 정책에 기반하여 사용자의 로그인 허가를 결정할 수 있다. In another aspect, the terminal service access control system includes an external policy decision unit. The policy check unit transmits information obtained from the information extraction unit and the session management unit to the policy decision unit, returns the determined policy, Can be determined.

또 다른 측면에 있어서, 정책 결정부에서 결정된 정책은 사용자 계정을 기반으로 IP를 검증하는 방식이 될 수 있다. In another aspect, the policy determined by the policy decision unit may be a method of verifying IP based on a user account.

또 다른 측면에 있어서, 터미널 서비스 접근 제어 시스템은 후킹(Hooking) 기술을 사용하며, 시스템에 접근하는 단말의 IP 주소, 로그인하는 사용자의 정보, 호스트 정보 및 도메인 정보 중 하나 이상을 추출할 수 있다. In another aspect, a terminal service access control system uses a hooking technique, and can extract at least one of an IP address of a terminal accessing the system, information of a user who logs in, host information, and domain information.

터미널 서비스의 접근을 제어하는 방법에 있어서, 사용자가 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 단계; 터미널 서비스에 접근하는 사용자의 정보를 추출하는 단계; 사용자의 상태 정보와 추출한 정보를 연결하여 관리하는 단계, 그리고 터미널 서비스에 접근하는 사용자의 정보를 추출하는 단계에서 추출한 정보 및 사용자의 상태 정보와 추출한 정보를 연결하여 관리하는 단계에서 관리하는 정보에 기반하여 사용자의 로그인 허가를 결정하는 단계를 포함하는 터미널 서비스 접근 제어 방법이 제공될 수 있다.CLAIMS What is claimed is: 1. A method of controlling access to a terminal service, comprising: controlling a flow that occurs after a terminal service connection; Extracting information of a user accessing the terminal service; A step of connecting and managing the user's state information and extracted information, and a step of connecting information extracted from the step of extracting the information of the user accessing the terminal service and the state information of the user and the extracted information, And determining a login permission of the user.

기존 원격 서버의 터미널 서비스 접근 제어에서 사용하고 있는 IP 주소와 더불어 원격 서버에 접근(속)한 후 로그인하기 전 사용자 정보와 단말의 정보를 취득하게 되면 접근 제어에 대한 불편함을 줄이고 확장을 용이하게 할 수 있다. 또한, 사용자 Level까지 접근 제어 방식을 적용할 수 있다.In addition to the IP address used in the terminal service access control of the existing remote server, if the user information and the terminal information are acquired after accessing (speeding) the remote server and logging in, the inconvenience of access control can be reduced and the expansion can be facilitated can do. Also, access control method can be applied up to user level.

IP 주소를 기반으로 하는 제한적인 접근 제어에 반하여 원격 서버의 사용자와 단말 정보까지 접근 제어의 기준으로 적용하게 됨으로 인해 접근 제어 정책을 세분화하여 적용할 수 있다. In contrast to the limited access control based on the IP address, the access control policy is applied to the user and the terminal information of the remote server as a reference of the access control.

본 발명에 대한 적용은 접근 제어 분야에 있어서 다양한 시스템에 적용을 할 수 있다. 예를 들면, 데이터베이스 서버의 접근 제어, 웹 서버의 접근 제어 등 IP 주소와 사용자 정보를 취득할 수 있는 응용 프로그램 서버라면 다양하게 적용될 수 있다.The application to the present invention can be applied to various systems in the field of access control. For example, the present invention can be applied to any application server capable of obtaining IP address and user information such as a database server access control and a web server access control.

도 1은 기존 방식의 터미널 서비스 제어 시스템을 도시한 것이다.
도 2는 기존 터미널 서비스 접근 제어 방식으로 접근 IP 주소를 기반의 시스템을 도시하고 있다.
도 3은 기존 원격 터미널 서비스 접근 제어 방법을 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 있어서, 발명이 제안하는 원격 터미널 서비스 접근 제어 방법을 개략적으로 나타낸 것이다.
도 5는 본 발명의 일실시예에 있어서, 터미널 서비스 접근 제어 시스템의 구조와 동작을 도시한 것이다.
도 6은 본 발명의 일실시예에 있어서, 본 발명이 적용된 원격 서버 터미널 서비스 시스템의 구조를 도시한 것이다.
도 7은 본 발명의 일실시예에 있어서, 터미널 서비스 접근 제어 방법의 각 단계를 도시한 흐름도이다.Figure 1 shows a conventional terminal service control system.
FIG. 2 shows a system based on an access IP address as an existing terminal service access control method.
3 is a flowchart illustrating an existing remote terminal service access control method.
FIG. 4 schematically illustrates a remote terminal service access control method proposed by the present invention, in an embodiment of the present invention.
5 illustrates the structure and operation of a terminal service access control system in an embodiment of the present invention.
FIG. 6 illustrates a structure of a remote server terminal service system to which the present invention is applied, in an embodiment of the present invention.
7 is a flow chart illustrating each step of a terminal service access control method in an embodiment of the present invention.

이하, 터미널 서비스 접근 제어 시스템 및 그 방법에 대해서 첨부된 도면을 참조하여 자세히 설명한다.Hereinafter, a terminal service access control system and a method thereof will be described in detail with reference to the accompanying drawings.

기존 원격 서버의 터미널 서비스 접근 제어는 도 3에 도시된 바와 같이 이루어진다. 해당 원격 서버에 연결할 때 H/W 방화벽(310)이 1차로 접근 제어를 수행하는데, 이때 정책 기준은 IP 주소로 처리하게 된다. 이후 접속 연결이 허가되면 원격 서버에 접속한 후, OS 내부에서 동작하고 있는 S/W 방화벽이나 H/W 방화벽(320)이 IP 주소를 기준으로 접근을 제어할 수 있으며, 접속 연결이 허가되면 터미널 서비스(330)에 연결되는 과정으로 이루어진다. Terminal service access control of the existing remote server is performed as shown in FIG. When connecting to the remote server, the H / W firewall 310 performs access control primarily, and the policy reference is handled as an IP address. If the connection is allowed, the S / W firewall or the H / W firewall 320 operating in the OS can control the access based on the IP address after accessing the remote server. If the connection is permitted, And a service 330 are connected.

여기서, 기존의 원격 서버의 터미널 서비스에 접근을 제어하는 방법은 IP 주소를 기준으로 하는 방식뿐이고, 터미널 서비스 내부적으로 세션 연결을 차단하는 기능은 존재하지만 개별적으로 차단하는 것이 아닌 모든 세션을 차단하는 방법이 제공되고 있다. Here, the method of controlling access to the terminal service of the existing remote server is based on the IP address only. There is a function of blocking the session connection internally in the terminal service, but a method of blocking all the sessions Are provided.

이에, H/W 방화벽, 또는 S/W 방화벽에서 접근이 허용된 연결에 대해, 기존의 접근 제어 제품들도 터미널 서비스 외부에서 접근을 제어하는 방식이나 또는 터미널 서비스를 통해서 원격 서버에 로그인한 후에 접근을 제어하는 방식이 존재하지만, 이러한 방식은 IP 주소 정보만을 기준으로 접근을 제어하기 때문에 사용자 정보와 연결되는 호스트(Host)정보를 취득하는 데에는 어려움이 존재할 수 있다.Therefore, existing access control products also control the access from outside the terminal service for the connection which is allowed to access from the H / W firewall or the S / W firewall, or after accessing the remote server through the terminal service However, since this method controls access based only on the IP address information, there may be a difficulty in acquiring the host information connected with the user information.

따라서, 본 발명에서는 터미널 서비스 접근 제어 시스템 및 방법을 제안하여 기존 접근 제어 방식의 보안상 문제를 해결할 수 있다.Accordingly, the present invention can solve the security problem of the conventional access control method by proposing a terminal service access control system and method.

본 발명의 실시예에 있어서, 도 4는 발명에서 제안하는 원격 서버의 터미널 서비스 접근 제어 방법을 나타낸 것이다. 기존의 발명과 같이, 원격 서버에 연결할 때 H/W 방화벽(410)이 1차로 접근 제어를 수행하는데, 이때 정책 기준은 IP 주소로 처리하게 되며, 접속 연결이 허가되면 원격 서버에 접속한 후, OS 내부에서 동작되고 있는 S/W나 H/W 방화벽(420)이 IP 주소를 기준으로 접근을 제어할 수 있고, 접속 연결이 허가되면 터미널 서비스(330)에 연결되는 과정으로 이루어진다. In the embodiment of the present invention, FIG. 4 shows a terminal service access control method of a remote server proposed by the present invention. As in the conventional invention, when connecting to a remote server, the H / W firewall 410 performs access control as a primary access. At this time, the policy reference is handled as an IP address. After connection to the remote server is permitted, The S / W or H / W firewall 420 operating in the OS can control the access based on the IP address and is connected to the terminal service 330 when the connection connection is permitted.

도 4의 방법이 기존 발명과 다른 부분은 터미널 서비스 내부에서 연결 이후에 흐름을 제어하는 시스템(430)이 존재할 수 있는 것이다. The method of FIG. 4 differs from the prior art in that there may be a system 430 for controlling the flow after connection in the terminal service.

상기 시스템(430)을 통해서 사용자 정보, IP 정보, 호스트(Host) 정보 및 도메인(Domain) 정보 등을 획득할 수 있으며, 획득한 정보를 기준으로 접근 제어 정책에 따라 터미널 서비스를 통한 원격 서버에 로그인하는 것이 허가되거나 거부될 수 있다.IP information, host information, domain information, and the like can be obtained through the system 430. The user can access the remote server through the terminal service according to the access control policy based on the acquired information. May be permitted or denied.

터미널 서비스의 접근을 제어하는 시스템에 있어서, 도 5는 그 구조와 동작을 자세히 도시한 것이다. In a system for controlling access to terminal services, FIG. 5 shows in detail the structure and operation thereof.

터미널 서비스의 접근을 제어하는 시스템(500)에 있어서, 사용자가 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 세션 연결 동작부(510); 터미널 서비스에 접근하는 사용자의 정보를 추출하는 정보 추출부(520); 사용자의 상태 정보와 정보 추출부(520)에서 추출한 정보를 연결하여 관리하는 세션 관리부(530), 그리고 정보 추출부(520) 및 세션 관리부(530)로부터 얻은 정보에 기반하여 사용자의 로그인 허가를 결정하는 정책 확인부(540)를 포함할 수 있다. A system (500) for controlling access to a terminal service, comprising: a session connection operation unit (510) for controlling a flow that occurs after a user accesses a terminal service; An information extraction unit 520 for extracting information of a user accessing the terminal service; The session management unit 530 that manages and manages the state information of the user and the information extracted by the information extraction unit 520 and determines the user's login permission based on the information obtained from the information extraction unit 520 and the session management unit 530 And a policy checking unit 540 for checking the policy.

터미널 서비스의 네트워크 통신 프로토콜은 RDP(Remote Desktop Protocol)를 사용한다. RDP 프로토콜은 암호화된 데이터를 송수신하기 때문에 네트워크 상에서 패킷 캡쳐(Packet Capture)를 한다고 해도 필요한 정보를 취득하기 힘들다. 따라서, 이에 착안하여 터미널 서비스 내부에서 제어할 수 있는 시스템(500)을 탑재함으로써 필요한 정보를 얻을 수 있도록 설계하여 서버 접근의 제어를 더 효율적으로 수행할 수 있도록 한다. Terminal Services's network communication protocol uses RDP (Remote Desktop Protocol). Since the RDP protocol transmits and receives encrypted data, it is difficult to obtain necessary information even if packet capture is performed on the network. Accordingly, it is possible to design a system 500 capable of controlling within the terminal service by installing the system 500 so that necessary information can be obtained so that control of the server access can be performed more efficiently.

세션 연결 동작부(510)는 원격 사용자가 서버의 터미널 서비스에 접속을 하면서 발생되는 단계적 흐름을 제어하기 위한 영역이다. 세부적으로 설명하면, 원격 사용자가 원격 서버의 터미널 서비스에 접근 및 로그인 시도를 하게 되면, 세션 연결 동작부(510)가 동작할 수 있다. 세션 연결 동작부(510)에서 각 해당되는 제어의 흐름에 따라 세션에 대한 정보를 추출하기 위해 정보 추출부(520)로 동작이 넘어가게 된다. 여기서, 세션 연결 동작부에서의 제어는 연결(Connect) 제어, 연결 해제(Disconnect) 제어, 재연결(Reconnect) 제어, 로그온(Log on) 제어, 로그오프(Log off) 제어가 해당될 수 있다. The session connection operation unit 510 is an area for controlling a stepwise flow generated when a remote user accesses a terminal service of the server. In detail, when the remote user makes an attempt to access and log in the terminal server of the remote server, the session connection operation unit 510 may operate. The session connection operation unit 510 proceeds to the information extraction unit 520 to extract information on the session according to the flow of the corresponding control. Here, the control in the session connection operation unit may be a connection control, a disconnection control, a reconnect control, a log on control, and a log off control.

또한, 정보 추출부(520)는 본 발명의 중추적인 역할을 하는 영역으로서, 터미널 서비스 커널 디바이스 드라이버(Kernel Device Driver)에 요청하여 사용자의 특정 정보를 추출할 수 있다. 정보 추출부(520)에서 얻는 정보는 각 세션에서 사용하는 정책 요소들로, 사용자 정보, IP 정보, Domain 정보, Host 정보에 해당될 수 있다. In addition, the information extracting unit 520 may be a core of the present invention, and may request a terminal device kernel driver to extract specific information of a user. The information obtained by the information extraction unit 520 may correspond to user information, IP information, Domain information, and Host information, which are policy elements used in each session.

이때 정보 추출부(520)에서 얻을 수 있는 정보에 대한 구체적인 내용은 두 가지 형태로 나눌 수 있는데, 첫째 형태는 로컬 서버 유저(Local Server User)에 대한 정보이다. 로컬 서버 유저에 대한 정보는 각 OS에 등록되어 있는 사용자 계정(즉, Administrator 계정), 서버에 접속하는 단말의 IP 주소(192.168.100.128), 도메인 정보, 즉 서버의 도메인 정보(Workgroup 또는 Domain Name), 서버에 접속하는 단말 호스트 정보(HSLEE64-Machine)로 상세화 될 수 있다.At this time, the detailed information on the information obtained by the information extracting unit 520 can be divided into two types. The first type is information on the local server user. The information about the local server users includes the user account (ie, Administrator account) registered in each OS, the IP address (192.168.100.128) of the terminal accessing the server, domain information (workgroup or domain name) , And terminal host information (HSLEE64-Machine) connecting to the server.

둘째 형태는 액티브 디렉토리 서버 사용자(Active Directory Server User)에 대한 정보이다. 이 액티브 디렉토리 서버 사용자에 대한 정보는 액티브 디렉토리 즉, 도메인에 등록되어 있는 Domain User Account(즉, Domain의 Administrator 계정), 서버에 접속하는 단말의 IP 주소(192.168.100.128), 도메인 정보(서버의 도메인 정보(Active Directory Domain Name), 서버에 접속하는 단말 호스트 정보(HSLEE64-Machine)로 상세화될 수 있다.The second form is information about the Active Directory Server User. The information about this Active Directory server user is stored in the Active Directory, that is, the Domain User Account (ie, the Administrator account of the Domain) registered in the domain, the IP address (192.168.100.128) of the terminal accessing the server, Information (Active Directory Domain Name), and terminal host information (HSLEE64-Machine) connected to the server.

서버의 터미널 서비스는 OS 커널 내부 메모리에 정보 추출부(520)에서 필요로 하는 정보를 다이나믹(Dynamic)하게 가지게 되며, 이렇게 가지고 있는 정보를 터미널 서비스 커널 디바이스 드라이버에 요청하여 취득하도록 할 수 있다. 기존 발명에 의하면, 이 정보를 취득하고자 하면 터미널 서버에 로그인한 후에 정보를 취득할 수 있으나, 본 발명에서는 터미널 서버에 로그인하기 이전에 정보 취득을 할 수 있도록 하기 위해서 정보 추출부(520)가 필요할 수 있다. 이렇게 추출된 정보는 세션 관리부(530)에서 저장 및 관리될 수 있다.The terminal service of the server dynamically has the information required by the information extracting unit 520 in the OS kernel internal memory, and it can request the terminal service kernel device driver to obtain the requested information. According to the present invention, if it is desired to acquire this information, information can be acquired after logging into the terminal server. However, in the present invention, the information extraction unit 520 is required to acquire information before logging in the terminal server . The extracted information can be stored and managed in the session management unit 530. [

세션 관리부(530)는 정보 추출부(520)에서 추출한 정보를 저장하고, 정책 확인부(540)에서 정책을 검사하는 경우에 정보 추출부(520)에서 추출된 정보를 제공할 수 있다. 자세하게는, 세션 관리부(530)는 터미널 서비스가 생성시키는 각 세션에 대해 어떤 사용자가 로그인 시도를 하려고 하는가? 어떤 사용자가 이미 존재하는 세션에 재 연결을 시도하는가? 연결 해지를 하는가? 로그인 되었는가? 로그 아웃이 되는가? 등에 대해 판단할 수 있으며, 각 원격 서버 사용자의 상태 및 정보 추출부(520)에서 획득한 정보를 각 세션과 연결하여 관리할 수 있다.The session management unit 530 stores the information extracted by the information extraction unit 520 and may provide information extracted by the information extraction unit 520 when the policy verification unit 540 inspects the policy. Specifically, the session management unit 530 determines which user attempts to log in for each session that the terminal service generates. Which user attempts to reconnect to an already existing session? Do you disconnect? Is it logged in? Is it logged out? And the information acquired by the status and information extracting unit 520 of each remote server user can be managed by connecting the session with each session.

발명의 실시예에 있어서, 도 5와 함께 도 6을 참조하면, 정책 확인부(540)는 세션 연결 동작부(510)의 제어 흐름에 의해 정보 추출부(520), 세션 관리부(530)에서 얻어진 정보를 기반으로 정책을 확인하는데, 터미널 서비스 접근 제어 시스템(610)의 외부에 존재하는 정책 결정부(620)에 전달하여 결정된 정책에 대해 회신을 받을 수 있으며, 정책 확인부(540)는 정책을 확인하여 직접적으로 최종적인 사용자 세션을 로그인 허가하거나 불가로 판단하는 역할을 수행할 수 있다. 터미널 서비스 접근 제어 시스템(610)은 단독적으로 수행되는 것이 아닌 기존 터미널 서비스 실행 모듈(630)과의 상호 작용으로 동작할 수 있다. 5, the policy verifying unit 540 determines whether the policy obtained by the information extracting unit 520 or the session managing unit 530 by the control flow of the session connection operating unit 510 The policy checking unit 540 can receive a reply to the determined policy by transmitting the policy to the policy determining unit 620 existing outside the terminal service access control system 610. In addition, And directly or indirectly determines whether the final user session is permitted or not. The terminal service access control system 610 may operate in interaction with an existing terminal service execution module 630 that is not performed solely.

일례에 있어서, 세션 연결 동작부(510)에서 만약 재연결(Reconnect)에 대해 정책을 검사하는 경우엔 세션 관리부(530)에 저장되어있는 정보를 요청하고 저장된 각 정보를 수신하여 정책 검사를 할 수 있다. 정책 확인부(540)의 정책 검사 결과에 따라 강제 연결 해제 또는 정상 로그인 성공을 하도록 할 수 있고, 이와 다른 제어에 있어서도 같은 흐름을 가질 수 있다.In an example, if the session connection operation unit 510 inspects the policy for reconnection, the session connection operation unit 510 requests the information stored in the session management unit 530, receives the stored information, have. It is possible to make the forced connection release or the normal login success according to the policy check result of the policy verification unit 540 and to have the same flow in the other control.

추가적으로, 정책 확인부(540)에서 실행하는 정책 검사에 대해 설명하면 하기와 같이 설명할 수 있다. In addition, the policy checking performed by the policy checking unit 540 will be described as follows.

정책은 기본적으로 Deny(비허가, 불허) 기반으로 구성되고, 허가 IP를 등록하여 이에 대응하는 IP는 요청을 허가할 수 있다. 이러한 정책 기반은 보안 제품에서 가장 흔하게 사용되고 있는 형태이다. 그러나, 여기서 기존 정책과 다른 점은 사용자 그룹 정책이 존재한다는 부분이다. 사용자 그룹 정책이 존재함으로써, 터미널 서버에 사용자별 접근을 제어할 수 있기 때문인데, 이에 관한 일례를 들어 설명하면, 사용자 그룹 정책이 존재하고, HSLEE-Machine에 등록되어 있는 사용자인 HSLEE에 대해서 터미널 서비스를 불허하고, HSLEE의 접근을 허가하고 싶은 허가 IP(192.168.100.100)를 등록했다고 하면, 사용자인 HSLEE는 192.168.100.100을 제외한 모든 IP에서 접근을 할 수 없게 된다. 또한, HSLEE만을 허가 사용자로 등록했다면, HSLEE를 제외한 모든 사용자는 192.168.100.100에서 접속을 하여도 모두 접근 거부를 당할 수 있다.The policy is basically configured on the basis of Deny (unauthorized, unauthorized), and the authorized IP can register the authorized IP and grant the request. These policy bases are the most commonly used form of security products. However, the difference from the existing policy is that the user group policy exists. For example, if a user group policy exists and HSLEE, which is a user registered in the HSLEE-Machine, is connected to a terminal service And you have registered a permit IP (192.168.100.100) that you want to allow HSLEE access, your HSLEE user will not be able to access any IP except 192.168.100.100. Also, if only HSLEE is registered as an authorized user, all users except HSLEE can access denied access even if they connect at 192.168.100.100.

기존의 정책과 비교한다면, 사용자 그룹 정책이 존재하므로 인해 접근 제어를 한 단계 더 추가하여 세밀하게 사용자 필터링(Filtering)이 가능하다는 장점이 있는 것이다. Compared with existing policies, there is an advantage that user filtering can be finely added by adding one more step to access control because of existence of user group policy.

이 정책의 특성을 이용하여 터미널 서비스의 접근 제어 방식에 대한 경우를 예를 들어 설명을 하면 다음과 같다. The following is an example of the access control method of terminal service using the characteristic of this policy.

설명에 앞서 각 정보에 대해 기준을 세우면, 터미널 서버를 S-HSLEE, 터미널 서버 사용자를 UL-HSLEE, 사용자 그룹 정책을 Deny 기반으로 하며, S-HSLEE의 UL-HSLEE에 대해 허가 IP를 지정한다고 하면, 터미널 서버의 경우, 기존 IP로만 접근 제어를 하는 방식에서 더 나아가 IP와 사용자 계정으로 접근 제어를 할 수 있다. S-HSLEE에 접근하는 UL-HSLEE를 제외한 모든 사용자는 IP 기준으로 접근 거부를 하는 것이 아니라 사용자 기준으로 접근 거부를 하기 때문이다. 접근하는 모든 사용자를 확인하여 정책(U-Policy)에 위반되면 모두 거부하는 것이다. UL-HSLEE가 접근하게 되면 사용자 계정에 대한 정책 검사를 한 후 등록된 허가 IP가 허가 조건에 맞으면 UL-HSLEE가 서버에 접근할 수 있도록 한다.If you set the criteria for each information prior to the description, it is assumed that the terminal server is S-HSLEE, the terminal server user is UL-HSLEE, the user group policy is Deny-based, and the authorized IP is assigned to the UL-HSLEE of the S-HSLEE In the case of terminal server, access control can be done by IP and user account in addition to access control only with existing IP. All users except UL-HSLEE accessing S-HSLEE do not deny access based on IP but deny access based on user. Check all users who are accessing and deny them if they violate the policy (U-Policy). When UL-HSLEE approaches, after checking the policy on the user account, UL-HSLEE can access the server if the registered authorized IP satisfies the permission condition.

따라서, 기존 터미널 서비스 접근 제어 방식은 IP를 기반으로 하지만, 본 발명의 접근 제어 조건은 사용자 계정을 기반으로 IP를 검증하는 방식으로 설명할 수 있다.Accordingly, although the existing terminal service access control method is based on IP, the access control condition of the present invention can be explained by a method of verifying IP based on the user account.

터미널 서비스 접근 제어 시스템은, 소프트웨어 개발 기법 중에 후킹(Hooking) 기술을 사용할 수 있는데, Hooking 기술을 사용하여 터미널 서비스 내부에 시스템을 장착할 수 있다. Hooking 기술을 통해 시스템이 탑재된 후에 터미널 서비스를 통해 원격 서버에 접근하게 될 경우, 시스템과 접속되는 단말의 IP 주소, 로그인하는 사용자의 정보, 호스트(Host) 정보 및 도메인(Domain) 정보를 추출할 수 있다.The terminal service access control system can use hooking technology during the software development technique, and the system can be installed inside the terminal service by using the hooking technology. When the system is accessed through the Hooking technology and the remote server is accessed through the terminal service, the IP address of the terminal connected to the system, the information of the logged-in user, the host information and the domain information are extracted .

또한, 연결되는 상태에 따라서 새로운 연결 판단(connect), 재접속 판단(reconnect), 로그 아웃(Log out), 로그인(log in) 및 연결 해제(Disconnect) 등의 상태를 시스템에서 점검하고 판단할 수 있다.Also, depending on the connected state, the system can check and determine the state of a new connection decision, reconnect, log out, log in, and disconnect. .

초기 로그인하는 사용자의 정보와 실제 로그인하는 사용자의 정보가 윈도우 로그인 화면에서 변경될 수 있는 경우를 대비하여, 최종적으로 로그인 시도를 하는 사용자의 정보를 취득할 필요가 있다. 이렇게, 최종적으로 시스템에서 취득한 사용자의 정보를 기준으로 원격 서버의 터미널 서비스 접근 제어를 효율적으로 수행할 수 있도록 한다.It is necessary to acquire the information of the user who finally makes a login attempt in case the information of the user who initially logs in and the information of the user who actually logs in can be changed in the window login screen. In this way, terminal server access control of the remote server can be performed efficiently based on the information of the user finally obtained from the system.

본 발명의 실시예에 있어서, 도 7은 터미널 서비스 접근 제어 방법의 각 단계를 도시한 흐름도이다. 터미널 서비스 접근 제어 방법은 상기에 설명한 터미널 서비스 접근 제어 시스템(500)의 수행 단계가 될 수 있으며, 그 단계는 하기에 설명에 준한다. In the embodiment of the present invention, Fig. 7 is a flowchart showing each step of the terminal service access control method. The terminal service access control method may be the execution step of the above-described terminal service access control system 500, and the steps follow the description below.

도 7을 참조하면, 터미널 서비스의 접근을 제어하는 방법에 있어서, 사용자가 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 단계(710); 터미널 서비스에 접근하는 사용자의 정보를 추출하는 단계(720); 사용자의 상태 정보와 추출한 정보를 연결하여 관리하는 단계(730), 그리고 터미널 서비스에 접근하는 사용자의 정보를 추출하는 단계(720)에서 추출한 정보 및 사용자의 상태 정보와 추출한 정보를 연결하여 관리하는 단계(730)에서 관리하는 정보에 기반하여 사용자의 로그인 허가를 결정하는 단계(740)를 포함하는 터미널 서비스 접근 제어 방법이 제공될 수 있다. Referring to FIG. 7, a method of controlling access to a terminal service, comprising: controlling (710) a flow that occurs after a user accesses a terminal service; Extracting information of a user accessing the terminal service (720); A step 730 of connecting and managing the status information of the user and the extracted information, and a step of connecting and extracting the extracted information and the user's status information and the extracted information in the step 720 of extracting information of the user accessing the terminal service (740) of determining a login permission of the user based on information managed by the terminal management server (730).

터미널 서비스 접근 제어 방법은 사용자 정보, IP 정보, 호스트(Host) 정보, 도메인(Domain) 정보 등의 정보를 획득하여, 이 획득한 정보를 기준으로 접근 제어 정책에 따라 사용자가 터미널 서비스를 통해 원격 서버에 로그인할 수 있게 허가하거나 불허할 수 있다. The terminal service access control method acquires information such as user information, IP information, host information, domain information, and the like. Based on the acquired information, You can either allow or deny login to.

여기서, 본 발명의 접근 제어 정책은 기존 가장 흔하게 사용되는 정책과 달리하여 허가 IP를 기준으로 하는 것이 아닌, 사용자의 계정 기반의 IP를 기준으로 하는 사용자 그룹 정책을 채택함으로써, 접근 제어를 한 단계 세밀하게 할 수 있다는 장점을 지닐 수 있다. The access control policy of the present invention differs from the existing most commonly used policies by adopting a user group policy based on the user's account based IP rather than based on the authorized IP, It is possible to have the advantage of being able to do.

기술적으로 터미널 서비스 접근 제어 방법은 Hooking 기술을 도입하여 해당 방법을 실시할 수 있으며, 최종적으로 취득한 사용자의 정보를 기준으로 원격 서버의 터미널 서비스 접근 제어를 효율적으로 실시할 수 있다.Technically, the terminal service access control method can implement the method by introducing the hooking technology, and the terminal server access control of the remote server can be efficiently performed based on the information of the finally obtained user.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic media), CD-ROM, DVD와 같은 광기록 매체(Optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(Magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as a hard disk, a floppy disk and a magnetic tape, optical media such as CD-ROM and DVD, magnetic disks such as a floppy disk, - Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등한 것들에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents thereof, the appropriate results may be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

500, 610: 터미널 서비스 접근 제어 시스템
510: 세션 연결 동작부
520: 정보 추출부
530: 세션 관리부
540: 정책 확인부
620: 정책 결정부500, 610: Terminal Services Access Control System
510: Session connection operation unit
520: Information Extraction Unit
530:
540:
620:

Claims (10)

터미널 서비스의 접근을 제어하는 시스템에 있어서,
사용자가 상기 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 세션 연결 동작부;
각 세션에서 사용하는 정책 요소들에 대한 정보인 상기 터미널 서비스에 접근하는 사용자 정보, IP 정보, Domain 정보, Host 정보를 추출하는 정보 추출부;
미리 구축된 세션 상태 정보와 상기 정보 추출부에서 추출한 정보를 연결하여 관리하는 세션 관리부; 및
상기 정보 추출부 및 세션 관리부로부터 얻은 정보에 기반하여 사용자의 로그인 허가를 결정하는 정책 확인부
를 포함하는 터미널 서비스 접근 제어 시스템.A system for controlling access to a terminal service,
A session connection operation unit for controlling a flow occurring after a user accesses the terminal service;
An information extraction unit for extracting user information, IP information, Domain information, and Host information for accessing the terminal service, which is information on policy elements used in each session;
A session management unit for connecting and managing the session state information constructed in advance and the information extracted by the information extraction unit; And
A policy checking unit for determining a login permission of the user based on the information obtained from the information extracting unit and the session managing unit,
The terminal access control system comprising: 제1항에 있어서,
상기 터미널 서비스의 네트워크 통신 프로토콜은 RDP(Remote Desktop Protocol)을 사용하여 암호화된 데이터를 송수신하는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
The network communication protocol of the terminal service includes transmitting and receiving encrypted data using RDP (Remote Desktop Protocol)
The terminal access control system comprising: 제1항에 있어서,
상기 세션 연결 동작부에서 제어는
연결 제어, 연결 해제 제어, 재연결 제어, 로그온(Log on) 제어, 로그오프(Log off) 제어에 해당되는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
In the session connection operation unit,
Connection control, disconnection control, reconnection control, log on control, and log off control
The terminal access control system comprising: 제1항에 있어서,
상기 정보 추출부는 커널 디바이스 드라이버에 요청함으로써 사용자의 정보를 추출하는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
The information extracting unit extracts user information by requesting the kernel device driver
The terminal access control system comprising: 삭제delete 제1항에 있어서,
상기 세션 관리부는 상기 정보 추출부에서 추출한 정보를 저장하고, 상기 정책 확인부에서 정책을 검사하는 경우에 상기 정보를 제공하는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
The session management unit stores the information extracted by the information extraction unit and provides the information when the policy checking unit inspects the policy
The terminal access control system comprising: 제1항에 있어서,
상기 터미널 서비스 접근 제어 시스템은
외부에 정책 결정부를 포함하고,
상기 정책 확인부는,
상기 정보 추출부 및 세션 관리부로부터 얻은 정보를 상기 정책 결정부로 전송하여 결정된 정책을 회신하고, 상기 결정된 정책에 기반하여 사용자의 로그인 허가를 결정하는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
The terminal service access control system
And includes a policy decision part outside,
The policy checking unit,
Sending the information obtained from the information extracting unit and the session managing unit to the policy deciding unit, returning the determined policy, and determining the user's login permission based on the determined policy
The terminal access control system comprising: 제7항에 있어서,
상기 정책 결정부에서 결정된 정책은 사용자 계정을 기반으로 IP를 검증하는 방식인 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.8. The method of claim 7,
The policy determined by the policy decision unit is a method of verifying IP based on the user account
The terminal access control system comprising: 제1항에 있어서,
상기 터미널 서비스 접근 제어 시스템은,
후킹(Hooking) 기술을 사용하며,
상기 시스템에 접근하는 단말의 IP 주소, 로그인하는 사용자의 정보, 호스트 정보 및 도메인 정보 중 하나 이상을 추출하는 것
을 특징으로 하는 터미널 서비스 접근 제어 시스템.The method according to claim 1,
The terminal service access control system comprises:
Hooking technology is used,
Extracting at least one of an IP address of a terminal accessing the system, information of a user who logs in, host information, and domain information
The terminal access control system comprising: 터미널 서비스의 접근을 제어하는 방법에 있어서,
사용자가 상기 터미널 서비스 접속 이후 발생하는 흐름을 제어하는 단계;
각 세션에서 사용하는 정책 요소들에 대한 정보인 상기 터미널 서비스에 접근하는 사용자의 정보, IP 정보, Domain 정보, Host 정보를 추출하는 단계;
미리 구축된 세션 상태 정보와 상기 추출한 정보를 연결하여 관리하는 단계; 및
상기 터미널 서비스에 접근하는 사용자의 정보를 추출하는 단계에서 추출한 정보 및 사용자의 상태 정보와 상기 추출한 정보를 연결하여 관리하는 단계에서 관리하는 정보에 기반하여 사용자의 로그인 허가를 결정하는 단계
를 포함하는 터미널 서비스 접근 제어 방법.A method for controlling access to a terminal service,
Controlling a flow that occurs after a user accesses the terminal service;
Extracting information of a user accessing the terminal service, IP information, Domain information, and Host information, which are information on policy elements used in each session;
Connecting and managing the pre-established session state information and the extracted information; And
Determining a user's login permission based on the information managed in the step of connecting and managing the extracted information and the user's state information and the extracted information in the step of extracting information of a user accessing the terminal service
/ RTI >
KR1020120069970A 2012-06-28 2012-06-28 System and method for the terminal service access control in a cloud computing environment Active KR101400709B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120069970A KR101400709B1 (en) 2012-06-28 2012-06-28 System and method for the terminal service access control in a cloud computing environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120069970A KR101400709B1 (en) 2012-06-28 2012-06-28 System and method for the terminal service access control in a cloud computing environment

Publications (2)

Publication Number Publication Date
KR20140011524A KR20140011524A (en) 2014-01-29
KR101400709B1 true KR101400709B1 (en) 2014-05-29

Family

ID=50143670

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120069970A Active KR101400709B1 (en) 2012-06-28 2012-06-28 System and method for the terminal service access control in a cloud computing environment

Country Status (1)

Country Link
KR (1) KR101400709B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101702650B1 (en) * 2016-08-04 2017-02-03 주식회사 넷츠 Login control method and apparatus for active directory domain

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015786A (en) 2006-07-06 2008-01-24 Hitachi Ltd Access control system and access control server
JP2008181310A (en) 2007-01-24 2008-08-07 Toshiba Corp Authentication server and authentication program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015786A (en) 2006-07-06 2008-01-24 Hitachi Ltd Access control system and access control server
JP2008181310A (en) 2007-01-24 2008-08-07 Toshiba Corp Authentication server and authentication program

Also Published As

Publication number Publication date
KR20140011524A (en) 2014-01-29

Similar Documents

Publication Publication Date Title
US12199971B2 (en) System and method for transferring device identifying information
JP5714078B2 (en) Authentication for distributed secure content management systems
US11240242B1 (en) System and method for providing a zero trust network
US9240977B2 (en) Techniques for protecting mobile applications
US9635029B2 (en) Role-based access control permissions
EP2973158B1 (en) Delegating authorization to applications on a client device in a networked environment
CN107122674B (en) Access method of oracle database applied to operation and maintenance auditing system
CN104168304B (en) Single-node login system and method under VDI environment
US9871778B1 (en) Secure authentication to provide mobile access to shared network resources
CN116319024B (en) Access control method and device of zero trust system and zero trust system
US20200267146A1 (en) Network analytics for network security enforcement
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
KR102058283B1 (en) Secure Interoperability Framework between diverse IoT Service Platforms and Apparatus
KR101143847B1 (en) Network security apparatus and method thereof
CN105704094B (en) Application access authority control method and device
CN106685955B (en) A security authentication method for video surveillance platform based on Radius
US7072969B2 (en) Information processing system
KR101400709B1 (en) System and method for the terminal service access control in a cloud computing environment
WO2003034687A1 (en) Method and system for securing computer networks using a dhcp server with firewall technology
Prasanalakshmi et al. Secure credential federation for hybrid cloud environment with SAML enabled multifactor authentication using biometrics
CN118056380A (en) Limiting lateral traversal within a computer network
KR101521804B1 (en) Apparatus and method for controlling access to local resource
KR101078383B1 (en) Method and system for network access control of unauthorized system using SNMP
CN114143092A (en) A centralized management platform for operation and maintenance functions, user terminal, system and construction method
KR20240048158A (en) Method and system for controlling federation policy based on zta for enterprise wireless network infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20120628

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130729

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140223

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140522

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140523

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170619

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170619

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180518

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180518

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190521

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190521

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20220411

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230517

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20240502

Start annual number: 11

End annual number: 11