特表2024-520974内部ネットワーク分離セキュリティネットワークにおける内部ネットワーク内の大容量ファイルが添付されたメールを外部ネットワークに安全に転送するためのメール変換処理装置及びその動作方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-05-28
(54)【発明の名称】内部ネットワーク分離セキュリティネットワークにおける内部ネットワーク内の大容量ファイルが添付されたメールを外部ネットワークに安全に転送するためのメール変換処理装置及びその動作方法
(51)【国際特許分類】
H04L 51/08 20220101AFI20240521BHJP
H04L 51/21 20220101ALI20240521BHJP
【FI】
H04L51/08
H04L51/21
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023555124
(86)(22)【出願日】2022-11-25
(85)【翻訳文提出日】2023-09-07
(86)【国際出願番号】 KR2022018797
(87)【国際公開番号】W WO2023210901
(87)【国際公開日】2023-11-02
(31)【優先権主張番号】10-2022-0052826
(32)【優先日】2022-04-28
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
【住所又は居所原語表記】509-Ho, 53, Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(72)【発明者】
【氏名】キム ソンヒョン
(72)【発明者】
【氏名】イ ドンヒョン
(57)【要約】
本発明の実施形態による電子メール処理装置の動作方法は、外部ネットワークと分離されたセキュリティネットワークの内部ネットワークに位置する電子メール処理装置の動作方法であって、前記内部ネットワークに位置する発信者装置から転送要求がされた転送メールを取得する段階と、前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する段階と、前記リンク情報に基づいて、前記内部ネットワークに位置する大容量ファイルを取得する段階と、前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成する段階と、前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送する段階と、を含む。
【特許請求の範囲】
【請求項1】
外部ネットワークと分離されたセキュリティネットワークの内部ネットワークに位置する電子メール処理装置の動作方法であって、前記内部ネットワークに位置する発信者装置から転送要求がされた転送メールを取得する段階と、
前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する段階と、
前記リンク情報に基づいて、前記内部ネットワークに位置する大容量ファイルを取得する段階と、
前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成する段階と、
前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送する段階と、
を含む、電子メール処理装置の動作方法。
【請求項2】
前記ネットワーク連携承認装置は、予め設定されたメール転送ポリシーに従って、前記一般の添付ファイルに仕分けされるように挿入された前記大容量ファイルのセキュリティリスクを検査し、前記変換メールの送信を承認処理する装置である、請求項1に記載の電子メール処理装置の動作方法。
【請求項3】
前記変換メールを生成する段階は、前記大容量ファイルのリンク情報を前記転送メールから削除する段階を含む、請求項1に記載の電子メール処理装置の動作方法。
【請求項4】
前記変換メールを生成する段階は、前記転送メールと同じヘッダー及び認証情報を含み、前記大容量ファイルが内容情報に付加された電子メール(EML:Electronic Mail)形式のデータに基づいて前記変換メールを生成する段階を含む、請求項1に記載の電子メール処理装置の動作方法。
【請求項5】
前記変換メールは、前記転送メールに代えて前記ネットワーク連携承認装置に転送されることを特徴とする、請求項1に記載の電子メール処理装置の動作方法。
【請求項6】
前記変換メールの大容量ファイルは、前記メール復元処理装置から分離され、暗号化された任意の外部ネットワークの経路にアップロード処理されることを特徴とする、請求項1に記載の電子メール処理装置の動作方法。
【請求項7】
前記メール復元処理装置は、前記大容量ファイルが分離された前記変換メールに、前記アップロード処理された大容量ファイルの外部ネットワーク経路情報の添付された復元メールを生成し、前記復元メールを受信者端末に伝達する装置である、請求項6に記載の電子メール処理装置の動作方法。
【請求項8】
外部ネットワークから分離されたセキュリティネットワークの内部ネットワークに位置する電子メール処理装置であって、前記内部ネットワークに位置する発信者装置から転送要請された転送メールを取得すると、前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する内部ネットワークリンク識別部と、
前記リンク情報に基づいて前記内部ネットワークに位置する大容量ファイルを取得する対象ファイルダウンロード処理部と、
前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メール変換部処理部と、
前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送する変換メール転送部と、
を含む、電子メール処理装置。
【請求項9】
前記ネットワーク連携承認装置は、予め設定されたメール転送ポリシーに従って、前記一般の添付ファイルに仕分けされるように挿入された前記大容量ファイルのセキュリティリスクを検査し、前記変換メールの転送を承認処理する装置である、請求項8に記載の電子メール処理装置。
【請求項10】
前記一般の添付メールの変換処理部は、前記大容量ファイルのリンク情報が前記転送メールから削除された前記変換メールを生成する、請求項8に記載の電子メール処理装置。
【請求項11】
前記一般の添付メールの変換処理部は、前記転送メールと同じヘッダー及び認証情報を含み、前記大容量ファイルが内容情報に付加された電子メール(EML:Electronic Mail)形式のデータに基づいて前記変換メールを生成する、請求項8に記載の電子メール処理装置。
【請求項12】
前記変換メールは、前記転送メールに代えて前記ネットワーク連携承認装置に転送されることを特徴とする、請求項8に記載の電子メール処理装置。
【請求項13】
前記変換メールの大容量ファイルは、前記メール復元処理装置から分離され、暗号化された任意の外部ネットワークの経路にアップロード処理されることを特徴とする、請求項8に記載の電子メール処理装置。
【請求項14】
前記メール復元処理装置は、前記大容量ファイルが分離された前記変換メールに、前記アップロード処理された大容量ファイルの外部ネットワーク経路情報の添付された復元メールを生成し、前記復元メールを受信者端末に伝達する装置である、請求項13に記載の電子メール処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メール変換処理装置およびその動作方法に関する。より具体的には、本発明は、内部ネットワーク分離セキュリティネットワークにおける内の大容量ファイルが添付されたメールを外部ネットワークに安全に転送するためのメール変換処理装置およびその動作方法に関する。
【背景技術】
【0002】
今日の社会は、全世界的にコンピュータおよび情報通信技術の発展につれ、社会生活におけるあらゆる分野に亘ってサイバーへの依存度が高まっており、これはより一層加速化される趨勢にある。近年は、超高速、超低遅延、多数同時接続を有する5G移動通信が商用化され、これを基盤とした新しいサービスが登場しながらサイバーセキュリティシステムはさらに重要となっている。
【0003】
サイバーセキュリティシステムの構築に伴い、モノのインターネット(IoT)、クラウドシステム、ビッグデータ、人工知能(AI)などの技術分野は、情報通信技術と結合して新しいサービス環境を提供している。このようなサービスを提供するシステムは、インターネット網、無線網などを通じてPCまたは携帯用端末装置などと連結されて実生活で用いられることができる。
【0004】
とりわけ、情報通信技術で活用されている電子メールシステムは、コンピュータ端末を通じて利用者間の通信回線を利用してメッセージをやりとりすることができるように本文内容を含む電子郵便物サービスを提供することができる。この時、電子メールは共有しようとする内容を含む電子ファイルを添付することができ、あるいは、ユニフォームリソースロケーター(URL;Uniform Resource Locator)を本文に記載するか、または添付ファイル内に挿入することができる。
【0005】
特に、このようなユニフォームリソースロケーターは、大容量ファイルの転送にも有用に用いられている。通常、メールサービスサーバでは大容量ファイルの一時保存を支援し、前記一時保存された大容量ファイルのダウンロードのための任意の暗号化されたURLを生成してメールに割り当てることができるよう支援し、そのメールを受けた受信者は、メールに記載の前記URLに接続すれば大容量ファイルを容易にダウンロードすることができる。
【0006】
しかし、最近は電子メールおよび資料のやり取りに対するセキュリティのリスクが増大し、これに伴い、資料の受け渡し体系が内部ネットワークと外部ネットワーク(外部ネットワーク)とに分離されて構築されるセキュリティシステムが多くなっており、このような大容量ファイルの伝達は原則的に遮断設定とされている。例えば、内部ネットワークへのアクセスが許可された装置は、内部装置間のみで大容量ファイルのような対外秘資料を送受信でき、外部ネットワークへの大容量ファイルなどの資料伝達は遮断される。
【0007】
これにより、内部ネットワークに接続したユーザーが外部ネットワークに位置する端末宛てにメールを送る時には、メールのデータ内に含まれることができる一般のファイルだけを添付することができ、大容量ファイルがリンクされた内部ネットワークのリソース情報はその伝達が遮断されるだけでなく、外部ネットワークのユーザーが内部ネットワークのURLを取得するとしても、ネットワーク遮断によってアクセスそれ自体が不可であるので、ファイルをダウンロードできない。
【0008】
すなわち、メールサーバシステムは、現在まで多様なセキュリティ標準技術の開発、迷惑メールのフィルタリングに対する研究および暗号化方式が高度化されセキュリティが強化されている状態であるが、内部ネットワーク分離セキュリティネットワークに位置する大容量ファイルを外部ネットワークに伝達できる方法は全然ない実情である。
【0009】
このような現在のシステムは、内部ネットワークと外部ネットワークとを分離して資料伝達それ自体を遮断することでネットワークそのものを保護する効果はあるものの、実使用での多くの不便さを引き起こすという問題点がある。
【0010】
これにより、通常のメール転送方式では、内部ネットワークに位置する大容量ファイルを経路として指定し、メールを通じて外部ネットワークに伝達できる方法がなく、ユーザーはこれを回避するためにクラウドファイル共有サービスのような新規なサービスを利用して大容量ファイルを外部ネットワークに共有する方式を活用する場合も発生する。
【0011】
しかし、クラウドファイル共有サービスは、データの共有および伝播にその目的があり、これにより、対外秘である大容量ファイルなどが実際の共有対象のユーザーではなく第三者に一度でも誤って露出する場合、その対外秘データが公然と伝播することを防ぐ方法がないという致命的なセキュリティの問題点がある。
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明は、前記のような問題点を解決するために案出されたもので、内部ネットワーク分離セキュリティネットワークにおける内部ネットワーク内の大容量ファイルが添付されたメールを、外部ネットワークに安全に転送するためのメール変換処理装置及びその動作方法を提供することで、内部ネットワークに位置する大容量ファイルを含むメールが、暗号化されたメールシステムを通じて安全に外部ネットワークのユーザーに伝達されることができ、したがって、クラウドファイル共有サービスのような迂回プロセスを利用しなくても内部ネットワーク内の大容量ファイルデータの外部ネットワークへの安全な搬出を可能にするネットワーク連携メールサービスを具現することにその目的がある。
【課題を解決するための手段】
【0013】
前記した課題を解決するための本発明の外部ネットワークと分離されたセキュリティネットワークの内部ネットワークに位置する電子メール処理装置の動作方法は、前記内部ネットワークに位置する発信者装置から転送要求がされた転送メールを取得する段階と、前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する段階と、前記リンク情報に基づいて、前記内部ネットワークに位置する大容量ファイルを取得する段階と、前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成する段階と、前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送する段階と、を含む。
【0014】
前記した課題を解決するための本発明の実施形態による装置は、外部ネットワークと分離されたセキュリティネットワークの内部ネットワークに位置する電子メール処理装置において、前記内部ネットワークに位置する発信者装置から転送要請された転送メールを取得すると、前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する内部ネットワークリンク識別部と、前記リンク情報に基づいて前記内部ネットワークに位置する大容量ファイルを取得する対象ファイルダウンロード処理部と、前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成する一般添付メール変換処理部と、前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送する変換メール転送部と、を含む。
【発明の効果】
【0015】
本発明の実施形態によれば、前記内部ネットワークに位置する発信者装置から転送要請された転送メールから前記内部ネットワークに位置する大容量ファイルを取得し、前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成して、前記変換メールを、ネットワーク連携承認装置を経由して前記外部ネットワークに位置するメール復元処理装置に転送するよう処理できる。
【0016】
これにより、本発明の実施形態によれば、内部ネットワーク分離セキュリティネットワークにおける内部ネットワーク内の大容量ファイルが添付されたメールを、外部ネットワークに安全に転送するためのメール変換処理を行うことができ、これは内部ネットワークに位置する大容量ファイルを含むメールが、セキュリティメールシステムを通じて外部ネットワークのユーザーに安全に伝達されて復元し得るように処理する。
【0017】
したがって、本発明の実施形態によれば、クラウドファイル共有サービスのような迂回プロセスを利用しなくても内部ネットワーク内の大容量ファイルデータの安全な外部ネットワークへの搬出を可能にするネットワーク連携メールサービスを具現することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施形態による全体システムを概略的に示した概念図である。
【図2】本発明の実施形態によるメール変換処理装置をより具体的に説明するためのブロック図である。
【図3】本発明の実施形態によるメール復元処理装置をより具体的に説明するためのブロック図である。
【図4】本発明の実施形態による全体システム動作を説明するためのラダー図である。
【図5】本発明の実施形態によるメール変換処理装置の動作を説明するためのフローチャートである。
【図6】本発明の実施形態によるメール復元処理装置のメールを受信した受信者端末の動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0019】
以下の内容は、単に本発明の原理を例示する。したがって、当業者はたとえ本明細書で明確に説明又は図示されなかったとしても、本発明の原理を具現し、本発明の概念と範囲に含まれた多様な装置と方法を発明することができる。また、本明細書に列挙されたすべての条件付き用語および実施形態は、原則として、本発明の概念を理解させるための目的にのみ明確に意図され、このように特に列挙された実施形態および状態に限定するものと理解してはならない。
【0020】
また、本発明の原理、観点及び実施形態だけでなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的および機能的な均等物を含むように意図されるものと理解されなければならない。また、これらの均等物は、現在公知とされている均等物のみならず、将来開発される均等物、すなわち構造と関係なく同じ機能を遂行するように発明されたすべての素子を含むものと理解されなければならない。
【0021】
したがって、例えば、本明細書のブロック図は、本発明の原理を具体化する例示的な回路の概念的な観点を示すものと理解すべきである。これと同じく、すべてのフローチャート、状態変化図、擬似コードなどは、コンピュータで読み取り可能な媒体で実質的に表わすことができ、コンピュータまたはプロセッサが明確に図示されているかどうかを問わず、コンピュータまたはプロセッサによって遂行される多様なプロセスを表わすものと理解されなければならない。
【0022】
また、プロセッサ、制御またはそれに類似する概念として提示される用語の明確な使用は、ソフトウェアを実行する能力を持つハードウェアを排他的に引用して解釈してはならず、制限なくデジタル信号プロセッサ(DSP)のハードウェア、ソフトウェアを保存するためのROM、RAMおよび不揮発性メモリを暗示的に含むものと理解されなければならない。周知慣用の他のハードウェアも含まれることができる。
【0023】
前述した目的、特徴および長所は、添付の図面に関する次の詳細な説明を通じてより明確になるはずであり、これによって、本発明の属する技術分野における通常の知識を持つ者が本発明の技術的思想を容易に実施できる。また、本発明を実施するにあたり、本発明に関連する公知の技術に対する具体的な説明が、本発明の要旨を無駄に濁らす恐れがあると判断される場合に、その詳細な説明を省略することにする。
【0024】
本出願で使用した用語は、単に特定の実施形態を説明するために使用されたものであり、本発明を限定しようとする意図ではない。単数の表現は、文脈上明らかに異なるものを意味しない限り、複数の表現を含む。本出願において、「含む」又は「持つ」等の用語は、明細書上に記載された特徴、数字、段階、動作、構成要素、部品又はこれらの組み合わせが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品又はこれらの組み合わせの存在又は付加可能性を予め排除しないものと理解しなければならない。
【0025】
以下、添付の図面を参照して、本発明の望ましい実施形態をより詳しく説明する。本発明を説明するにあたり、全般的な理解を容易にするため、図面上の同じ構成要素に対しては同じ符号を付し、同一の構成要素に対する重複する説明は省略する。
【0026】
本明細書で使われる「メール(mail)」は、ユーザーが端末装置とそれに設置されるクライアントプログラム又はウェブサイトを通じてコンピュータ通信網を利用して授受するEメール(Electronic mail)、ウェブメール(Web mail)、電子メール、電子郵便物などの用語を通称して使うことができる。
【0027】
図1は、本発明の実施形態による全体システムを概略的に図示した概念図である。
【0028】
図1を参照すると、本発明の一実施形態によるシステムは、発信者端末10、第1のメール管理サーバ装置300、メール変換処理装置100、ネットワーク連携メール承認装置500、メール復元処理装置200、第2のメール管理サーバ装置400、及び受信者端末20を含む。
【0029】
より具体的には、発信者端末10、第1のメール管理サーバ装置300、及びメール変換処理装置100は、内部ネットワークとして分離されたセキュリティネットワークを構成することができる。ネットワークが分離されたセキュリティネットワークは、ネットワーク連携メール承認装置500を経由しなければ、外部ネットワークへのメール転送ができないネットワークであり、そのための多様なネットワークインターフェース環境基盤の暗号化された内部ネットワークおよびセキュリティ装置を構築することができる。
【0030】
このために、ネットワーク連携メール承認装置500は、内部ネットワークでメールサーバを構築する第1のメール管理サーバ装置300から、外部ネットワークに転送すべき電子メールデータの承認要請を受けて、予め設定された承認ポリシーと比較して承認およびセキュリティ検証済みのメールのみを外部ネットワークを介して第2のメール管理サーバ装置400などに搬出処理することができる。
【0031】
ここで、予め設定された承認ポリシーは、管理者認証情報を確認したり、発信者に対応する組織上の上級者の承認を確認したり、電子メールデータにセキュリティの脆弱性があるかどうかを検査したりするなど、多様なポリシーが複合的に適用され、承認を確認し得る。
【0032】
逆に、ネットワーク連携メール承認装置500は、外部ネットワークの第2のメール管理サーバ装置400を通じて外部ユーザーの外部メールが内部ネットワークに受信された場合には、前記外部メールの添付ファイル及びURLのセキュリティ検査などを行い、検証済みのメールだけを内部ネットワークに搬入する処理を行うこともできる。
【0033】
このような内部ネットワークシステム及びネットワーク連携メール承認装置500の動作とは異なり、外部ネットワークに位置するメール復元処理装置200、第2のメール管理サーバ装置400及び受信者端末20は、パブリックネットワーク(Public network)との接続を通じて有線及び無線のうち少なくとも一つに接続されてデータを送受信することができる。前記パブリックネットワークは、国または通信基幹事業者が構築および管理する通信網であって、一般的に、電話網、データ網、CATV網、および移動通信網などを含み、不特定多数の一般人が他の通信網やインターネットに接続できるように連結サービスを提供することができる。
【0034】
一方、前記転送者端末10、第1のメール管理サーバ装置300、メール変換処理装置100、及びネットワーク連携メール承認装置500は、内部ネットワークに相応する第1のプロトコルで通信するための各々の通信モジュールを含むことができる。
【0035】
また、前記ネットワーク連携メール承認装置500、メール復元処理装置200、第2のメール管理サーバ装置400、及び受信者端末20は、外部ネットワークに相応する第2のプロトコルで通信するためのそれぞれの通信モジュールを含むことができる。
【0036】
このように、各内部ネットワーク分離セキュリティネットワークと、外部ネットワークを構成する各装置とは、互いに有・無線ネットワークを通じて接続されることができ、各ネットワークに接続された装置または端末は、相互暗号化されたネットワークチャンネルを通じて相互間通信を行うことができる。
【0037】
ここで、前記各ネットワークは、ローカルエリアネットワーク(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価置通信網(Value Added Network;VAN)、パーソナルエリアネットワーク(Personal Area Network;PAN)、移動無線通信網(Mobile radio communication network)または衛星通信網などのような種々の有・無線ネットワークで具現されることができる。
【0038】
また、本明細書で説明する発信者端末10及び受信者端末20は、パソコン(personal Computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレット型パソコン(Tablet PC)、PDA(Personal Digital Assistants)、PMP(Portable Multimedia Player)等を含むことができるが、本発明はこれらに限定されるものではなく、内部ネットワーク、パブリックネットワーク又はプライベートネットワークなどを通じて第1のメール管理サーバ装置300又は第2のメール管理サーバ装置400に接続可能な色々な装置が挙げられる。これに加えて、発信者端末10および受信者端末20のそれぞれは、アプリケーション駆動またはウェブブラウジングを通じた情報の入出力が可能な多様な装置であってもよい。
【0039】
なお、各々の第1のメール管理サーバ装置300及び第2のメール管理サーバ装置400は、ユーザーが作成したメールを送信したり、相手方が作成したメールを受信したりできるように電子メールの内容を中継及び保管するシステムを含み、メールの受信及び送信処理という使用目的に応じて予め設定されたメールプロトコルを活用してデバイス間通信を行うことができる。
【0040】
通常、前記メールプロトコルは、メールの受信処理時に、POP3(Post Office Protocol3)、IMAP(Internet Message Access Protocol)を用いることができる。また、前記プロトコルは、メールの送信処理時、SMTP(Simple Mail Transfer Protocol)またはEML(Electronic mail)プロトコルを用いることができる。このように、各々の第1のメール管理サーバ装置300および第2のメール管理サーバ装置400は、それぞれの分離されたネットワーク内部でメール送受信処理のためのサーバシステムで構成され、それぞれ作動することができる。
【0041】
このようなシステム構成において、本発明の実施形態によるメール変換処理装置100は、外部ネットワークと分離されたセキュリティネットワークの内部ネットワークに位置することができ、前記隔離された内部ネットワークに位置する大容量ファイルのリンク情報を含む電子メールを変換して、ネットワーク連携メール承認装置500の承認を得て外部ネットワークのメール復元処理装置200に伝達する機能を処理することができる。
【0042】
このために、まず、メール変換処理装置100は、前記内部ネットワークに位置する発信者端末10から転送要請された転送メールを、第1のメール管理サーバ装置300を通じて取得することができ、前記転送メールから前記隔離された内部ネットワークに位置する大容量ファイルのリンク情報を識別し、前記リンク情報に基づいて前記隔離された内部ネットワークに位置する大容量ファイルを取得することができる。
【0043】
そして、メール変換処理装置100は、前記大容量ファイルが前記転送メールの一般の添付ファイルに仕分けされるように挿入された変換メールを生成することができるので、このような変換メールは、ネットワーク連携メール承認装置500を経由して前記外部ネットワークに位置するメール復元処理装置200に転送され得るようになる。
【0044】
この場合、ネットワーク連携メール承認装置500は、予め設定されたメール送信ポリシーに従って、前記一般の添付ファイルに仕分けされるように挿入された大容量ファイルのセキュリティリスクを検査し、前記変換メールの送信を承認処理することができ、承認処理済みの変換メールは、第2のメール管理サーバ装置400への伝達に先立って、本発明の実施形態によるメール復元処理装置200へ受信されることができる。
【0045】
メール復元処理装置200は、セキュリティネットワークの内部ネットワークと分離された外部ネットワークに位置することができ、ネットワーク連携メール承認装置500を通じて、前記内部ネットワークから変換転送された変換メールを受信すると、前記変換メールから隔離された内部ネットワーク内の大容量ファイルが復元された復元メールを構成し、構成された復元メールを第2のメール管理サーバ装置400を経由して受信者端末20に伝達する復元及び伝達プロセスを行うことができる。
【0046】
より具体的に、メール復元処理装置200は、前記変換メールに含まれた一般の添付ファイルデータから、隔離された内部ネットワーク内の大容量ファイルを取得することができ、前記隔離された内部ネットワークの大容量ファイルを前記変換メールから分離して、暗号化された任意の外部ネットワークの経路にアップロード処理する。
【0047】
そして、メール復元処理装置200は、前記大容量ファイルが分離された前記変換メールに、前記アップロードされた外部ネットワーク経路情報を含ませて前記変換メールの復元メールを構成し、構成された復元メールは、第2のメール管理サーバ装置400に伝達されて受信者端末へ送信処理されることができる。
【0048】
このようなシステム構成によって、外部ネットワークへのメール搬出ができなかった内部ネットワーク内の大容量ファイルが、セキュリティメールシステムを通じて搬出可能に処理され、このようなプロセスによってメールシステムのセキュリティ体系をそのまま活用しながらも、外部ネットワークのメール受信側でも内部ネットワーク内の大容量ファイルを容易に確認し得るようにするメールサービスが具現されることができる。
【0049】
例えば、内部ネットワークの発信者端末10のユーザーが、メールにて搬出すべきファイルを一般の電子メールの大容量ファイルの添付として入力することだけで、受信者端末20では発信メールの大容量ファイルの添付と同様に復元されてアップロードされた大容量ファイルを、受信メールに含まれた外部ネットワークの経路情報から取得することができるようになるので、実質的な大容量ファイルの搬出が処理されることができる。
【0050】
また、このような隔離された内部ネットワーク内の大容量ファイルへのアクセス権限及び接続情報は、メール復元処理装置200で管理されることができるので、従来のクルラウド共有サービスなどを不可避的に利用するしかなかった脆弱なセキュリティ環境を補完し、隔離された内部ネットワーク内の大容量ファイルの外部ネットワークへの一層便利かつ安全なメール転送を可能にする。
【0051】
図2は、本発明の実施形態によるメール変換処理装置をより具体的に説明するためのブロック図である。
【0052】
図2を参照すると、本発明の実施形態によるメール変換処理装置100は、内部ネットワークリンク識別部110、対象ファイルダウンロード処理部120、一般の添付メールの変換処理部130、及び変換メール転送部140を含む。
【0053】
まず、内部ネットワークリンク識別部110は、前記内部ネットワークに位置する発信者装置10から、第1のメール管理サーバ装置300を通じて転送要請された転送メールを取得すると、前記転送メールから前記内部ネットワークに位置する大容量ファイルのリンク情報を識別する。
【0054】
そして、対象ファイルダウンロード処理部120は、前記リンク情報に基づいて前記内部ネットワークに位置する大容量ファイルを取得するためのダウンロード処理を行う。
【0055】
ここで、前記対象ファイルダウンロード処理部120は、前記大容量ファイルを一時保存するための別途のコンピュータで読み取り可能な格納媒体を備えることができる。
【0056】
そして、一般の添付メールの変換処理部130は、前記大容量ファイルが前記転送メールの一般の添付ファイルとして仕分けされるように挿入された変換メールを生成する。
【0057】
ここで、前記一般の添付メールの変換処理部130は、前記大容量ファイルのリンク情報が前記転送メールから削除または無効化処理された前記変換メールを生成することができる。これにより、前記変換メールは、大容量ファイルのリンク情報が前記転送メールから削除または無効化処理されたメール内容を含むことができる。
【0058】
また、一般の添付メールの変換処理部130は、前記転送メールと同じ電子メールヘッダー及び認証情報を含み、前記大容量ファイルが内容情報に付加されたEML(Electronic Mail)形式のデータに基づいて前記変換メールを生成することができる。
【0059】
より具体的には、前記メールヘッダー情報には、メール発信サーバのIPアドレス、メール発信サーバのホスト名情報、発信者メールのドメイン情報、発信者メールアドレス、メール受信サーバのIPアドレス、メール受信サーバのホスト名情報、受信者メールのドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時刻情報、メール送信時刻情報などを含むことができる。
【0060】
また、前記電子メールヘッダーは、メールが送受信される過程において必要なネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などを含むことができる。
【0061】
そして、前記電子メール認証情報はSPF、DKIM、DMARCのような電子メールセキュリティ標準のためのドメイン登録情報、認証トークン情報などの多様な認証情報を含むことができる。
【0062】
また、変換メールの内容情報は、前記大容量ファイルが一般の添付ファイルとして添付されることによる一般の添付ファイルの拡張子、ハッシュ情報、添付ファイル名、添付ファイルの本文内容などを含むことができる。ここで、前記添付ファイルのハッシュ情報は、情報の偽変造を確認して情報の完全性を保障することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を通じて任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされることができる。
【0063】
また、通常は、前記添付ファイルは、発信者が受信者に伝達したいメールの本文内容に加えて追加的な情報を伝達したり、または情報返信を要求したりするための追加的なコンテンツをさらに含むことができ、本発明の実施形態による変換メールには、前記追加的なコンテンツに前記大容量ファイルのファイル情報が一般の添付ファイルとして仕分けされて付加処理されることである。この他にメールの本文内容が前記変換メールの内容情報にさらに含まれることができる。
【0064】
そして、変換メール転送部140は、前記変換メールを、ネットワーク連携承認装置500を経由して前記外部ネットワークに位置するメール復元処理装置200に転送処理する。すなわち、このように伝達された前記変換メールは、発信者端末10の前記転送メールに代えて、前記ネットワーク連携承認装置500に送信承認要請されることができる。
【0065】
そして、前述のように、前記ネットワーク連携メール承認装置500は、予め設定されたメール送信ポリシーに従って、前記一般の添付ファイルに仕分けされるように挿入された前記大容量ファイルのセキュリティリスクを検査し、前記変換メールの送信を承認処理することができる。
【0066】
ここで、ネットワーク連携メール承認装置500は、前述のように、予め設定された承認ポリシーを利用することができ、例えば、管理者認証情報を確認したり、発信者に対応する組織上の上級者の承認を確認したり、電子メールデータにセキュリティの脆弱性があるかどうかを検査したりするなど、多様なポリシーを複合的に適用して前記承認処理を行うことができる。
【0067】
その後、メール復元処理装置200では、前記変換メールの大容量ファイルを前記メール復元処理装置から分離して、暗号化された任意の外部ネットワークの経路にアップロード処理し、前記大容量ファイルが分離された前記変換メールに、前記アップロード処理された大容量ファイルの外部ネットワーク経路情報の添付された復元メールを生成し、前記復元メールを、第2のメール管理サーバ装置400を通じて受信者端末20に伝達することができる。これについては、図3を参照してより具体的に説明する。
【0068】
図3は、本発明の実施形態によるメール復元処理装置をより具体的に説明するためのブロック図である。
【0069】
図3を参照すると、本発明の実施形態によるメール復元処理装置200は、変換メール受信部210、大容量ファイル再構成部220、リンク情報生成部230、復元メール構成部240、及びログ情報管理部250を含む。
【0070】
前述したように、本発明の実施形態によるメール復元処理装置200は、セキュリティネットワークの内部ネットワークと分離された外部ネットワークに位置することができる。
【0071】
そして、変換メール受信部210は、ネットワーク連携メール承認装置500から前記内部ネットワークから変換転送された変換メールを受信処理する。
【0072】
ここで、大容量ファイル再構成部220は、前記変換メールに含まれた一般の添付ファイルデータから内部ネットワーク内の大容量ファイルを取得し、前記内部ネットワークの大容量ファイルを前記変換メールから分離して暗号化された任意の外部ネットワークの経路にアップロード処理することができる。
【0073】
ここで、前記大容量ファイル再構成部220は、メール復元処理装置200が管理するセキュリティ共有データベース上に前記大容量ファイルをアップロード処理でき、前記アップロードされた大容量ファイルに対応する暗号化された任意の外部ネットワーク経路情報を保存及び管理できる。このために、前記大容量ファイル再構成部220は、大容量ファイルをセキュリティ共有データベース上に保存および管理するための1つ以上の格納媒体を備えることができる。
【0074】
そして、復元メール構成部240は、前記大容量ファイルが分離された前記変換メールに、前記アップロードされた外部ネットワーク経路情報を含ませて前記変換メールの復元メールを構成する。
【0075】
そして、復元メール構成部240は、前記復元メールを第2のメール管理サーバ装置400に伝達し、受信者端末20に転送処理させる。
【0076】
ここで、前記復元メール構成部240は、前記アップロード処理された大容量ファイルの暗号化された外部ネットワーク経路情報を多様な方式で前記復元メールに添付することができる。
【0077】
より具体的には、例えば、復元メール構成部240は、前記復元メールに、前記アップロード処理された大容量ファイルの暗号化された外部ネットワーク経路情報がリンク情報として添付されるように前記復元メールを構成することができる。
【0078】
また、例えば、復元メール構成部240は、前記復元メールに、前記アップロード処理された大容量ファイルの暗号化された外部ネットワーク経路情報にアクセス可能なウェブページファイルが一般の添付ファイルとして添付されるように前記復元メールを構成することができる。
【0079】
ここで、前記ウェブページファイルは、受信者認証情報が確認された場合に限って、前記暗号化された外部ネットワーク経路情報が提供されるセキュリティページを含むこともできる。
【0080】
これにより、受信者端末20では、受信メールに含まれた外部ネットワーク経路情報をリンク情報またはウェブページなどを通じて確認し、外部ネットワーク経路情報に接続することによって前記セキュリティ共有データベース上にアップロードされた大容量ファイルをダウンロードできるようになる。
【0081】
一方、ログ情報管理部250は、前記暗号化された外部ネットワーク経路情報にアップロードされた前記大容量ファイルに対応して、受信者端末のログ情報を管理することができる。
【0082】
そして、ログ情報管理部250は、前記ログ情報を、前記ネットワーク連携メール承認装置500を通じて、前記内部ネットワークに位置するセキュリティ装置に提供することができる。ここで、前記セキュリティ装置は、第1のメール管理サーバ装置300またはメール変換処理装置100などが挙げられ、その他の内部ネットワークを監視および保護する多様なセキュリティ装置が挙げられることができる。
【0083】
図4は、本発明の実施形態による全体システム動作を説明するためのラダー図である。
【0084】
図4を参照すると、まず、第1のメール管理サーバ装置300は、発信者端末10のメール転送要請を受信し、メール変換処理装置100に伝達する(S1001)。
【0085】
その以降、メール変換処理装置100は、転送要請されたメールから、隔離された内部ネットワーク内の大容量添付ファイルに対応する内部ネットワークリンク情報を識別する(S1003)。
【0086】
内部ネットワークリンク情報識別のために、本発明の実施形態によるメール変換処理装置100は、内部ネットワークリンク識別部110を通じて、まず転送要請されたメールに含まれたリンク情報(URLまたはURI)を抽出し、リンク情報の追跡検査を行うことができる。
【0087】
より具体的には、メール変換処理装置100は、内部ネットワーク識別部110を通じて、前記転送要請されたメールに含まれたすべてのリンク情報または予め設定された内部ネットワークの経路として指定された指定リンク情報(例えば、IPアドレスが内部ネットワークとして設定された私設IPアドレスから始まるリンク情報)を抽出し、抽出されたリンク情報に接続してファイルをダウンロードできるか否か、および、ファイルのサイズを確認することができる。
【0088】
これにより、メール変換処理装置100の内部ネットワークリンク識別部110は、ファイルダウンロード可能なものと検査されたリンク情報のうちダウンロードすべきファイルのサイズ情報を識別し、そのサイズ情報が所定サイズ以上の場合、前記内部ネットワーク内の大容量添付ファイルに対応するリンク情報として識別できる。
【0089】
例えば、前記所定サイズは、2メガバイトであることが挙げられ、内部ネットワークリンク識別部110は、すべてのリンク情報または指定リンク情報の中で前記2メガバイトを超える内部ネットワーク上のファイルをダウンロードするリンク情報を抽出し、前記内部ネットワーク内の大容量添付ファイルに対応する内部ネットワークリンク情報として識別できる。
【0090】
そして、メール変換処理装置100は、内部ネットワークリンクから対象ファイルをダウンロード処理し、転送メールでは内部ネットワーク内の大容量リンクを削除処理する(S1005)。
【0091】
以後、メール変換処理装置100は、前記大容量リンクが削除処理された前記転送メールに、対象ファイルを一般の添付メール形式の添付ファイルとして含め、EMLデータを構成する(S1007)。
【0092】
そして、メール変換処理装置100は、ネットワーク連携メール承認装置500に前記EMLデータ基盤変換メールの転送承認を要請する(S1009)。
【0093】
ネットワーク連携メール承認装置500は、予め設定されたポリシーに基づいてメールを承認するか否かを判断することができ(S1011)、承認が拒否される場合には拒絶メッセージを第1のメール管理サーバ装置300を介して転送者端末10に伝達し(S1013)、承認が確認された場合には、変換メールを外部ネットワークの第2のメール管理サーバ装置400に接続されたメール復元処理装置200に転送する。
【0094】
その後、メール復元処理装置200では、前記変換メールの一般の添付ファイルから対象ファイルを分離し、一般メールに復元構成する(S1017)。
【0095】
そして、メール復元処理装置200は、前記分離された対象ファイルを任意経路にアップロード処理し(S1019)、アップロード経路情報にアクセス可能なウェブページを構成する(S1021)。
【0096】
その後、メール復元処理装置200は、前記復元された一般メールの添付ファイルにウェブページを付加し(S1023)、前記復元された一般メールを第2のメール管理サーバ装置400を通じて受信者端末20に伝達する(S1025、S1027)。
【0097】
本発明の実施形態では、前記アップロード経路情報がウェブページとして付加されることが例示されているが、本発明はこれに限らず、前記アップロード経路情報はリンク情報、URLテキストなど多様な方式で前記復元された一般メールに添付できる。
【0098】
図5は、本発明の実施形態によるメール変換処理装置の動作を説明するためのフローチャートである。
【0099】
図5を参照すると、本発明の実施形態によるメール変換処理装置100は、発信者端末10の転送要請されたメールから内部ネットワークリンク情報が識別された場合、識別されたリンク情報に基づく対象ファイルのダウンロードを試みることができる(S101)。
【0100】
対象ファイルのダウンロードに成功し、データの脆弱性検査などの有効性が確認された場合(S103)、メール変換処理装置100は、転送要求されたメールから内部ネットワークリンク情報を削除処理し(S105)、転送メールデータ及びダウンロードされたファイルを利用してEMLデータを構成することができる(S107)。
【0101】
これに対し、対象ファイルのダウンロードに失敗するか、またはデータの脆弱性検査などの有効性が確認されない場合、メール変換処理装置100は、対象ファイルの添付なしに一般メールの転送をネットワーク連携メール承認装置500として承認要請することができる(S109)。
【0102】
図6は、本発明の実施形態によるメール復元処理装置のメールを受信した受信者端末の動作を説明するためのフローチャートである。
【0103】
図6を参照すると、受信者端末20では、メール復元処理装置200から第2のメール管理サーバ装置400を経由して受信された復元メールの一般の添付ファイルとして含まれるHTMLファイルのようなウェブページを、ウェブアプリケーションなどを通じてロードする(S201)。
【0104】
そして、受信者端末20では、ロードされた前記ウェブページを通じて有効な経路情報および対象ファイルが確認されるかどうかを判断する(S203)。
【0105】
有効な経路および対象ファイルが確認された場合、受信者端末20ではメール復元処理装置200によりアップロードした内部ネットワーク内の大容量ファイルの復元ファイルをダウンロード処理することができる(S205)。
【0106】
もし、有効な経路が確認できなったり、対象ファイルのダウンロードに失敗したりした場合、受信者端末20は内部ネットワークファイルの復元ファイルのダウンロード失敗案内を出力できる(S207)。
【0107】
前述した本発明による方法は、コンピュータで実行されるためのプログラムとして製作され、コンピュータで読み取り可能な記録媒体に格納でき、コンピュータで読み取り可能な記録媒体の例としては、ROM、RAM、CD-ROM、磁気テープ、フロッピー(登録商標)ディスク、光データ記憶装置などが挙げられる。
【0108】
コンピュータで読み取り可能な記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式によりコンピュータ可読コードを保存および実行することができる。そして、前記方法を具現するための機能的な(function)プログラム、コード及びコードセグメントは、本発明の属する技術分野におけるプログラマーによって容易に推論できる。
【0109】
また、以上では本発明の望ましい実施形態について図示して説明したが、本発明は前述した特定の実施形態に限らず、請求範囲で請求する本発明の要旨から逸脱することなく当該発明の属する技術分野における通常の知識を持つ者によって多様な変形実施が可能であることはもちろん、これらの変形実施は本発明の技術的思想や展望から個別的に理解されてはならない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【国際調査報告】