KR20020055211A - apparatus and method for user access control by using HTTP proxy - Google Patents

apparatus and method for user access control by using HTTP proxy Download PDF

Info

Publication number
KR20020055211A
KR20020055211A KR1020000084617A KR20000084617A KR20020055211A KR 20020055211 A KR20020055211 A KR 20020055211A KR 1020000084617 A KR1020000084617 A KR 1020000084617A KR 20000084617 A KR20000084617 A KR 20000084617A KR 20020055211 A KR20020055211 A KR 20020055211A
Authority
KR
South Korea
Prior art keywords
information
access control
http
http proxy
proxy
Prior art date
Application number
KR1020000084617A
Other languages
Korean (ko)
Inventor
이상우
Original Assignee
구자홍
엘지전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구자홍, 엘지전자주식회사 filed Critical 구자홍
Priority to KR1020000084617A priority Critical patent/KR20020055211A/en
Publication of KR20020055211A publication Critical patent/KR20020055211A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A device and a method for controlling a user access using an HTTP proxy are provided to cut off an access from a specific host to a specific site at a specific time, date, and day of the week using an HTTP(Hyper Text Transfer Protocol) proxy and prevent an unnecessary network traffic using a web cache. CONSTITUTION: An HTTP client(30) requests resources for outputting to a web browser. An HTTP proxy(20) performs an access control, performs a cut-off with respect to an access violated to a rule, and transmits cut-off information when the resources of the HTTP client(30) are requested. A file system(60) receives a resources request information confirmation message from the HTTP proxy(20) and checks whether corresponding information is existed. A monitor(50) receives cut-off information from the HTTP proxy(20) and outputs the information on a screen. If corresponding information is not existed in the file system(60), a web server(40) transmits corresponding information to the HTTP proxy(20).

Description

에이치티티피 프락시를 이용한 사용자 접근제어 장치 및 방법{apparatus and method for user access control by using HTTP proxy}Apparatus and method for user access control by using HTTP proxy}

본 발명은 방화벽이 구축된 통신 네트워크 환경에서의 HTTP 서비스에 관한 것으로, 특히 HTTP 프락시를 이용하여 특정 시간, 날짜, 요일에 특정 호스트에서 특정 사이트로의 접근을 차단하도록 한 사용자 접근제어 장치 및 방법에 관한 것이다.The present invention relates to an HTTP service in a communication network environment in which a firewall is constructed. In particular, the present invention relates to a user access control apparatus and method for blocking access to a specific site from a specific host at a specific time, date, and day using an HTTP proxy. It is about.

일반적으로 방화벽(firewall)이 구축된 통신 네트워크 환경에서의 HTTP(Hyper Text Transfer Protocol) 프락시(proxy)의 경우 외부 사용자들이 내부로 접속하는 것을 제어하는 게이트웨이로써의 HTTP 프락시와 내부 사용자가 웹 캐쉬기능을 이용하기 위하여 사용하는 캐쉬 프락시로써의 HTTP 프락시가 있다.In general, in case of a HTTP (Hyper Text Transfer Protocol) proxy in a communication network environment where a firewall is constructed, an HTTP proxy as a gateway that controls external users from accessing internally and a web cache function by an internal user There is an HTTP proxy as a cache proxy to use.

상기 후자와 같은 캐쉬 프락시로써의 HTTP 프락시는 사용자가 접속한 사이트의 자원들을 저장하고 있다가 또다른 사용자로부터 같은 자원에 대한 요청이 있을 경우 프락시에 저장되어 있던 자원을 사용자에게 전송함으로써 이용속도나 네트워크 상의 전송 부하를 줄이기 위해 사용된다. 즉, 캐쉬기능이 주된 HTTP 프락시의 역할이 된다.As the latter, the HTTP proxy as a cache proxy stores resources of a site accessed by the user, and when there is a request for the same resource from another user, transmits the resource stored in the proxy to the user. It is used to reduce the transmission load on the image. In other words, the cache function is the main HTTP proxy.

그리고, 캐쉬 프락시로써의 HTTP 프락시는 논리적으로 하나의 연결을 가지지만 물리적으로 주체와 HTTP 프락시, HTTP 프락시와 객체로서의 두개의 연결을 형성하고, 사용자는 HTTP 서비스를 이용하기 위해 웹 브라우저의 옵션에서 프락시 설정을 한 후 접속하고자 하는 URL(Universal Resource Location)을 입력하면 우선 설정된 HTTP 프락시로 해당 자원을 요청하며, 프락시의 캐쉬 메모리에 해당 자원이 없을 경우 서버로 직접 연결하여 해당 자원을 가지고 온 후 사용자에게 전송함과 동시에 캐쉬 메모리에 저장한 후에 동일한 자원을 요청하는 사용자가 있다면 캐쉬 메모리에 존재하는 정보를 이용하여 사용자에게 전송한다.An HTTP proxy as a cache proxy logically has one connection, but physically forms two connections as a subject and an HTTP proxy, an HTTP proxy and an object, and the user can use the proxy in the web browser's options to use the HTTP service. After setting, if you input URL (Universal Resource Location) to connect, request the resource with the HTTP proxy that is set first.If there is no resource in the cache memory of the proxy, connect directly to the server and bring the resource to the user. If there is a user who requests the same resource after storing it in the cache memory at the same time, it transmits the information to the user using the information in the cache memory.

이와같이, 일반적으로 사용되는 HTTP 프락시는 요청한 자원에 대하여 캐쉬 메모리에 저장을 하고 있다고 동일한 요청이 있을시 캐쉬 메모리에 존재하는 정보를 이용하여 사용자에게 전송하는 캐쉬기능을 제공하므로 일부 내부 사용자들에 대한 외부로의 접근제어 등 보안관련 기능에 대해서는 취약한다.As such, the commonly used HTTP proxy stores the requested resource in the cache memory. When the same request is made, the HTTP proxy provides a cache function that transmits the information to the user by using the information in the cache memory. It is vulnerable to security related functions such as access control.

또한, 네트워크 서비스 중 이용률이 전체의 80% 이상이 된다고 하여도 과언이 아닐만큼 많은 이용자들이 사용하는 HTTP 서비스에 대하여 불필요한 정보전송을 제어할 수 있는 접근제어 기능을 갖춘 프락시가 필요하다.In addition, even if the utilization rate of the network service is more than 80% of the total, it is no exaggeration to require a proxy with an access control function that can control unnecessary information transmission for the HTTP service used by many users.

따라서, 본 발명은 상기와 같은 종래의 문제점을 해소하기 위해 창안된 것으로서, HTTP 프락시를 이용하여 특정 시간, 날짜, 요일에 특정 호스트에서 특정 사이트로의 접근을 차단하고, 웹 캐쉬를 이용하여 불필요한 네트워크 트래픽을 방지하도록 하는데 그 목적이 있다.Therefore, the present invention was devised to solve the above-mentioned conventional problems, and blocks access to a specific site from a specific host at a specific time, date and day by using an HTTP proxy, and uses an unnecessary network by using a web cache. The purpose is to prevent traffic.

도 1 은 본 발명에 적용되는 사용자 접근제어 장치의 개략도.1 is a schematic diagram of a user access control apparatus applied to the present invention.

도 2 는 본 발명에 적용되는 사용자 접근제어 장치의 상세 구성도.2 is a detailed configuration diagram of a user access control apparatus applied to the present invention.

도 3 은 본 발명에 적용되는 HTTP 프락시의 구현방법의 흐름도.3 is a flowchart of a method of implementing an HTTP proxy applied to the present invention.

도 4 는 본 발명에 적용되는 사용자 접근제어 방법의 흐름도.4 is a flowchart of a user access control method applied to the present invention.

도 5 는 본 발명에 적용되는 차단정보에 대한 메시지 포맷도.5 is a message format diagram for blocking information applied to the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

10 : 방화벽 20 : HTTP 프락시10: firewall 20: HTTP proxy

30 : HTTP 클라이언트 40 : 웹 서버30: HTTP Client 40: Web Server

50 : 모니터 60 : 파일 시스템50: monitor 60: file system

이하, 첨부도면을 참조하여 본 고안에 따른 바람직한 실시예에 대하여 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment according to the present invention.

본 발명에 의한 사용자 접근제어 장치의 실시예는,An embodiment of a user access control device according to the present invention,

웹 브라우저에 출력하기 위한 자원 요청하는 HTTP 클라이언트와,An HTTP client requesting resources for output to a web browser,

상기 HTTP 클라이언트의 자원 요청시 접근제어를 실시하여 규칙에 위반되는 접근에 대해서는 차단을 시행하는 동시에 차단정보를 전송하는 HTTP 프락시와,An HTTP proxy for performing access control when requesting the resource of the HTTP client to block access to the violation of rules and at the same time transmitting the blocking information;

상기 HTTP 프락시로부터 자원요청 정보 확인 메시지를 받아 해당 정보가 있는지를 확인하는 파일 시스템과,A file system that receives the resource request information confirmation message from the HTTP proxy and checks whether the information exists;

상기 HTTP 프락시로부터 차단정보를 전송받아 화면에 출력하는 모니터와,A monitor that receives the blocking information from the HTTP proxy and outputs it to the screen;

상기 파일 시스템에 해당 정보 부재시 상기 HTTP 프락시로 해당 정보를 전송하는 웹 서버로 구성함이 바람직하다.Preferably, the web server transmits the information to the HTTP proxy when the information is not present in the file system.

상기 HTTP 프락시는,The HTTP proxy is

상기 웹 서버로부터 전송된 데이터를 일시 저장하는 웹 캐쉬부와,A web cache unit for temporarily storing data transmitted from the web server;

IP 주소, 시간, 요일, 날짜를 이용하여 서비스 이용을 제한하는 접근제어부와,An access control unit that restricts the use of the service by using an IP address, time, day of the week, and date;

규칙위반시 차단정보를 관리자에게 실시간으로 알려주는 알람부으로 구성함이 바람직하다.It is preferable to configure the alarm unit to notify the administrator in real time the blocking information in case of violation.

본 발명에 의한 HTTP 프락시의 구현방법의 실시예는,An embodiment of the HTTP proxy implementation method according to the present invention,

사용자가 HTTP 프락시로 자원요청을 한 후 HTTP 프락시가 사용자가 어떤 네트워크 그룹에 속하는지 또는 어떠한 곳으로의 접속을 시도하는지를 파악하기 위하여 정보수집을 하는 과정과,After the user makes a resource request with an HTTP proxy, the HTTP proxy collects information to determine which network group the user belongs to or where to try to connect.

상기 수집된 정보를 이용하여 접근제어를 실시하여 규칙 위배시 관리자에게 차단정보를 전송하는 과정과,Performing access control using the collected information to transmit blocking information to the administrator in violation of the rule;

접근제어 통과시 요청한 자원이 HTTP 프락시의 파일 시스템에 존재하는가에 대한 캐쉬정보 비교를 실시하여 해당 정보가 존재하면 HTTP 클라이언트로 정보전송을 하는 과정과,A process of comparing cache information about whether the requested resource exists in the file system of the HTTP proxy when the access control passes, and transmitting the information to the HTTP client if the information exists;

상기 캐쉬정보 비교시 해당 정보를 찾지 못하면 HTTP 프락시가 웹 서버와 접속을 시도한 후 해당 자원을 요청하여 자신의 파일 시스템에 저장하는 과정과,If the cache information is not found when comparing the cache information, the HTTP proxy attempts to access the web server, requests the resource, and stores the resource in its file system.

상기 해당 자원 저장후 HTTP 클라이언트에게 그 자원을 전송하는 과정으로 이루어짐이 바람직하다.Preferably, the resource is stored and transmitted to the HTTP client.

사용자의 그룹화 및 URL의 카테고리화로 상기 접근제어의 규칙을 설정하여 특정한 날짜, 시간, 요일에 따라 접근제어를 실시함이 바람직하다.It is preferable to set the rules of the access control by grouping users and categorizing URLs to perform access control according to a specific date, time, and day of the week.

상기 접근제어 위배시 HTTP 프락시가 모니터로 UDP 형태의 패킷을 이용하여 실시간으로 차단정보를 전송함이 바람직하다.When the access control violations, it is preferable that the HTTP proxy transmits blocking information in real time using a packet of UDP type to the monitor.

상기 접근제어를 통하지 않고서는 웹 캐쉬 기능을 이용하지 못함이 바람직하다.It is preferable not to use the web cache function without the access control.

상기 접근제어는,The access control is,

사용자 IP 주소로 HTTP 클라이언트의 네트워크 그룹을 체크하여 소속된 네트워크 그룹이 존재하지 않을때 접근제어가 허용되는 과정과,Checks the network group of the HTTP client with the user IP address and allows access control when the network group does not exist;

상기 과정에서 네트워크 그룹을 구한후 HTTP 클라이언트가 요청한 URL정보가 속한 카테고리를 체크하여 소속된 카테고리가 존재하지 않을때 접근제어를 허용하는 과정과,Obtaining a network group in the above process and checking the category to which the URL information requested by the HTTP client belongs to allow access control when the category does not exist,

상기 네트워크 그룹과 URL 카테고리 정보를 가지고 해당 규칙이 존재하는가를 체크하여 규칙이 존재하지 않을때 접근제어를 허용하는 과정과,Allowing access control when the rule does not exist by checking whether the corresponding rule exists based on the network group and URL category information;

상기 해당 규칙 존재시 그 규칙에 적용되는 날짜, 시간, 요일 정보와 서비스를 요청한 현재 날짜, 시간, 요일 정보와 비교하여 그 범위안에 속하면 접근제어가 거부되고, 그 범위안에 속하지 않으면 접근제어가 허용되는 과정으로 이루어짐이 바람직하다.If the rule exists, access control is denied if it falls within the range compared to the date, time, day of the week information applied to the rule and the current date, time, and day of the day when the service is requested. It is preferable that the process is made.

도 1 은 본 발명에 적용되는 사용자 접근제어 장치의 개략도이고, 도 2 는본 발명에 적용되는 사용자 접근제어 장치의 상세 구성도이며, 도 3 은 본 발명에 적용되는 HTTP 프락시의 구현방법의 흐름도이고, 도 4 는 본 발명에 적용되는 사용자 접근제어 방법의 흐름도이며, 도 5 는 본 발명에 적용되는 차단정보에 대한 메시지 포맷도로서, 이를 참조하여 설명하면 다음과 같다.1 is a schematic diagram of a user access control apparatus applied to the present invention, FIG. 2 is a detailed configuration diagram of a user access control apparatus applied to the present invention, FIG. 3 is a flowchart of an HTTP proxy implementation method applied to the present invention. 4 is a flowchart illustrating a user access control method applied to the present invention, and FIG. 5 is a message format diagram for blocking information applied to the present invention.

제한된 네트워크 자원을 효율적으로 사용하기 위하여 내부 사용자의 서비스 이용을 제한하는 HTTP 프락시(20)는 기본적인 웹 캐쉬기능(21)와, IP(Internet Protocol) 주소와 이용시간, 요일, 날짜 등을 이용하여 서비스 이용을 제한하는 접근제어기능과(22), 규칙위반시 차단정보를 관리자에게 실시간으로 알려주는 알람기능(23)으로 구성된다.In order to efficiently use limited network resources, the HTTP proxy 20 that restricts the use of internal users' services uses the basic web cache function 21, IP (Internet Protocol) address, time of day, day of the week, and date. Access control function for limiting the use and 22, and alarm function 23 for informing the administrator of the blocking information in the event of a rule violation in real time.

도 1 에 도시된 바와같이 HTTP 프락시(20)에 의하여 내부 사용자의 HTTP 서비스 이용을 제한할 수 있으며, 관리자는 실시간으로 사용자의 규칙위반 사항을 감시할 수 있다.As shown in FIG. 1, the HTTP proxy 20 may limit the use of the internal user's HTTP service, and the administrator may monitor the user's violation of rules in real time.

상기와 같은 방식으로 HTTP 서비스를 제공하기 위해서는 HTTP 프락시(20)앞에 위치한 방화벽(10)의 패킷 필터링의 규칙설정에 주의하여야 접근제어가 명확하게 이루어진다.In order to provide the HTTP service in the above manner, the access control is clearly made by paying attention to the rule setting of packet filtering of the firewall 10 located in front of the HTTP proxy 20.

또한, 도 1 과 같이 방화벽(10)은 외부의 칩입자로부터 내부의 자원을 보호하기 위하여 내부망과 외부망 사이에 위치하며, HTTP 프락시(20)는 내부 사용자들을 대상으로 하기 때문에 보안상 내부망에 존재하게 된다.In addition, as shown in Figure 1, the firewall 10 is located between the internal network and the external network in order to protect the internal resources from external chip particles, the HTTP proxy 20 targets the internal users for security internal network Will be present in.

HTTP 클라이언트(30)들은 HTTP 프락시(20)를 통해서만 외부의 웹 서버(40)에 접속할 수 있으며, 프락시 모니터(50)는 HTTP 클라이언트(30)가 규칙상 위배되는접근 시도시 차단정보를 HTTP 프락시(20)에서 받아 화면에 출력하여 관리자가 실시간으로 확인할 수 있다.The HTTP clients 30 may access the external web server 40 only through the HTTP proxy 20, and the proxy monitor 50 may block the HTTP proxy (blocking information) when the HTTP client 30 attempts to access the rule. Received at 20) and displayed on the screen, the administrator can check in real time.

도 2 에 도시된 바와같이 HTTP 클라이언트(30)는 웹 브라우저에 출력하기 위한 자원 요청을 HTTP 프락시(20)에게 하게 되고, 요청시 HTTP 프락시(20)에서는 접근제어를 실시하며, 규칙에 위반되는 접근에 대해서는 차단을 시행하고 동시에 UDP (User Datagram Protocol)형태로 프락시 모니터(50)에게 차단정보를 전송하게 된다.As shown in FIG. 2, the HTTP client 30 makes a resource request for output to a web browser to the HTTP proxy 20, and upon request, the HTTP proxy 20 performs access control and accesses that violate the rules. Blocking is performed at the same time and the blocking information is transmitted to the proxy monitor 50 in the form of UDP (User Datagram Protocol).

상기 HTTP 클라이언트(30)로부터 요청이 들어오면 HTTP 프락시(20)는 자신의 파일 시스템(60)으로부터 해당 정보가 있는지를 확인하게 되고, 존재시 자신이 가지고 있던 해당 정보를 HTTP 클라이언트(30)에게 전송하며, 부재시 웹 서버(40)에 접속하여 해당 정보를 가져온 후 자신의 파일 시스템(60)에 저장하고 HTTP 클라이언트(30)에게 해당 자원을 전송한다.When the request is received from the HTTP client 30, the HTTP proxy 20 checks whether there is the corresponding information from its file system 60, and transmits the corresponding information that it had to the HTTP client 30 when it exists. And, in the absence of access to the web server 40 retrieves the information and stores in its own file system 60 and transmits the resource to the HTTP client (30).

도 3 에 도시된 바와같이 사용자는 접속을 하여 HTTP 프락시(20)에게 자원요청을 수행한다(s10). 이때, HTTP 프락시(20)는 사용자가 어떤 네트워크 그룹에 속해는지 또는 어떠한 곳으로의 접속을 시도하는지를 파악하기 위하여 정보수집을 한다(s11).As shown in FIG. 3, the user accesses and performs a resource request to the HTTP proxy 20 (S10). At this time, the HTTP proxy 20 collects information in order to determine which network group the user belongs to or which connection attempt is attempted (s11).

이러한 정보를 이용하여 접근제어를 실시하며(s12), 규칙 위배시 관리자에게 차단정보를 전송하게 된다(s19).Access control is performed using this information (s12), and when the rule is violated, blocking information is transmitted to the administrator (s19).

만약, 접근제어를 통과하였다면 요청한 자원이 HTTP 프락시(20)의 파일 시스템(60)에 존재하는가에 대한 캐쉬정보 비교를 실시하며(s13), 해당 정보가 존재하면 정보전송이 HTTP 클라이언트(30)에게 이루어진다(s14).If the access control passes, the cache information is compared whether the requested resource exists in the file system 60 of the HTTP proxy 20 (s13). If the information exists, the information transmission is transmitted to the HTTP client 30. (S14).

상기 캐쉬정보 비교에서(s13) 해당 정보를 찾지 못하면 HTTP 프락시(20)는 웹 서버(40)와 접속을 시도한 후 해당 자원을 요청하여(s16) 자신의 파일 시스템(60)에 저장하는 과정을 거친 후 HTTP 클라이언트(30)에게 그 자원을 전송하는 과정을 실행한다(s18).In the cache information comparison (s13), if the corresponding information is not found, the HTTP proxy 20 attempts to access the web server 40, requests the corresponding resource (s16), and stores the information in its file system 60. After that, the process of transmitting the resource to the HTTP client 30 is executed (s18).

도 4 에 도시된 바와같이 사용자 IP(Internet Protocol) 주소로 HTTP 클라이언트(30)의 네트워크 그룹을 체크하며(s20), 소속된 네트워크 그룹이 존재하지 않는다면 접근제어는 허용이 된다.As shown in FIG. 4, the network group of the HTTP client 30 is checked by the user IP (Internet Protocol) address (s20), and access control is allowed if the network group does not exist.

상기 과정에서 네트워크 그룹을 구했다면 HTTP 클라이언트(30)가 요청한 URL정보가 속한 카테고리를 체크하며(s21), 소속된 카테고리가 존재하지 않는다면 접근제어는 허용이 된다.If the network group is obtained in the above process, the HTTP client 30 checks the category to which the requested URL information belongs (s21). If the category does not exist, access control is allowed.

상기 과정(s20,s21)에서 얻은 네트워크 그룹과 URL 카테고리 정보를 가지고 상기 과정(s22)에서 해당 규칙이 존재하는가를 체크하게 되며, 규칙이 존재하지 않는다면 접근제어는 허용된다.The network group and the URL category information obtained in the process (s20, s21) is checked whether the rule exists in the process (s22), and if the rule does not exist, access control is allowed.

만약, 해당 규칙 존재시 그 규칙에 적용되는 날짜, 시간, 요일 정보와 서비스를 요청한 현재 날짜, 시간, 요일 정보와 비교하여 그 범위안에 속한다면 접근제어는 거부되며, 그 범위안에 속하지 않는다면 접근제어는 허용된다.If the rule exists in the range compared to the date, time, day of the week information applied to the rule and the current date, time, day of the week for which the service is requested, access control is denied. If not within the range, access control is denied. Is allowed.

도 5 는 접근제어 규칙에 의해 접근차단이 이루어진후 관리자에게 전송되는 차단정보 메시지 포맷에 관한 것으로, 첫번째 항목은 서비스를 요청한 날짜 및 시간에 관련된 정보이고, 두번째 항목은 서비스를 요청한 HTTP 클라이언트(30)의 IP주소 정보이며, 세번째 항목은 사용자가 자원을 요청한 목적지 IP 주소 혹은 URL 정보이며, 네번째 항목은 접속 차단이 이루어진 이유에 관한 것이다.5 is a block information message format transmitted to an administrator after an access is blocked by an access control rule. The first item is information related to a date and time of requesting a service, and the second item is an HTTP client 30 requesting a service. The third item is the destination IP address or URL information for which the user requested the resource, and the fourth item is about the reason why the connection was blocked.

그리고, HTTP 서비스 제공시 관리자는 업무시간 등의 사용이 많은 시간대에 접근제한 관련 URL을 접근제어 규칙에 등록하여 사용을 제한 할 수 있으며, 실시간 모니터링도 가능하기 때문에 내부 사용자들에 대한 불법 사용도 감시할 수 있다.In addition, when providing HTTP service, the administrator can restrict access by registering access restriction related URL in access control rule during busy hours such as business hours, and monitor illegal use for internal users because real-time monitoring is also possible. can do.

이와같이, 본 발명은 사용자로부터 요청된 자원에 대해서는 캐쉬기능(21)을 이용하여 제공하며, 모든 요구들에 대해서는 네트워크 그룹과 URL 카테고리의 경우 편리성을 높이기 위하여 내부 사용자들과 URL을 그룹단위로 관리하며, 네트워크 그룹에서 URL 카테고리로의 규칙에 설정된 시간, 날짜, 요일 정보를 이용하여 특정 호스트에서 특정 사이트로의 접근을 차단하여 네트워크 트래픽을 방지할 수 있다.As such, the present invention provides a resource requested by a user using a cache function 21, and manages internal users and URLs in group units for all requests in order to increase convenience in case of a network group and a URL category. In addition, network traffic can be prevented by blocking access from a specific host to a specific site by using the time, date, and day of the week information set in the rule from the network group to the URL category.

이상에서 설명한 바와 같이 본 발명에 의하면, 방화벽이 구축된 환경에서 사용량이 많은 HTTP 서비스에 대하여 HTTP 프락시를 이용하여 특정시간, 날짜, 요일에 특정 호스트에서 특정 사이트로의 접근을 차단하고, 웹 캐쉬기능을 제공하여 불필요한 네트워크 트래픽을 방지할 수 있으므로 제한된 네트워크 자원을 효율적으로 사용할 수 있다.As described above, according to the present invention, an HTTP proxy is used to block access to a specific site from a specific host at a specific time, date, and day of the week using an HTTP proxy for a heavily used HTTP service in a firewalled environment, and a web cache function. This can prevent unnecessary network traffic, so that limited network resources can be used efficiently.

Claims (7)

웹 브라우저에 출력하기 위한 자원 요청하는 HTTP 클라이언트와,An HTTP client requesting resources for output to a web browser, 상기 HTTP 클라이언트의 자원 요청시 접근제어를 실시하여 규칙에 위반되는 접근에 대해서는 차단을 시행하는 동시에 차단정보를 전송하는 HTTP 프락시와,An HTTP proxy for performing access control when requesting the resource of the HTTP client to block access to the violation of rules and at the same time transmitting the blocking information; 상기 HTTP 프락시로부터 자원요청 정보 확인 메시지를 받아 해당 정보가 있는지를 확인하는 파일 시스템과,A file system that receives the resource request information confirmation message from the HTTP proxy and checks whether the information exists; 상기 HTTP 프락시로부터 차단정보를 전송받아 화면에 출력하는 모니터와,A monitor that receives the blocking information from the HTTP proxy and outputs it to the screen; 상기 파일 시스템에 해당 정보 부재시 상기 HTTP 프락시로 해당 정보를 전송하는 웹 서버를 포함하여 구성된 것을 특징으로 하는 사용자 접근제어 장치.And a web server for transmitting the information to the HTTP proxy when the information is not present in the file system. 제 1 항에 있어서, 상기 HTTP 프락시는,The method of claim 1, wherein the HTTP proxy, 상기 웹 서버로부터 전송된 데이터를 일시 저장하는 웹 캐쉬부와,A web cache unit for temporarily storing data transmitted from the web server; IP 주소, 시간, 요일, 날짜를 이용하여 서비스 이용을 제한하는 접근제어부와,An access control unit that restricts the use of the service by using an IP address, time, day of the week, and date; 규칙위반시 차단정보를 관리자에게 실시간으로 알려주는 알람부으로 구성된 것을 특징으로 하는 사용자 접근제어 장치.User access control device, characterized in that consisting of an alarm unit for notifying the administrator of the blocking information in real time in case of violation. 사용자가 HTTP 프락시로 자원요청을 한 후 HTTP 프락시가 사용자가 어떤 네트워크 그룹에 속하는지 또는 어떠한 곳으로의 접속을 시도하는지를 파악하기 위하여 정보수집을 하는 과정과,After the user makes a resource request with an HTTP proxy, the HTTP proxy collects information to determine which network group the user belongs to or where to try to connect. 상기 수집된 정보를 이용하여 접근제어를 실시하여 규칙 위배시 관리자에게 차단정보를 전송하는 과정과,Performing access control using the collected information to transmit blocking information to the administrator in violation of the rule; 접근제어 통과시 요청한 자원이 HTTP 프락시의 파일 시스템에 존재하는가에 대한 캐쉬정보 비교를 실시하여 해당 정보가 존재하면 HTTP 클라이언트로 정보전송을 하는 과정과,A process of comparing cache information about whether the requested resource exists in the file system of the HTTP proxy when the access control passes, and transmitting the information to the HTTP client if the information exists; 상기 캐쉬정보 비교시 해당 정보를 찾지 못하면 HTTP 프락시가 웹 서버와 접속을 시도한 후 해당 자원을 요청하여 자신의 파일 시스템에 저장하는 과정과,If the cache information is not found when comparing the cache information, the HTTP proxy attempts to access the web server, requests the resource, and stores the resource in its file system. 상기 해당 자원 저장후 HTTP 클라이언트에게 그 자원을 전송하는 과정을 포함하여 이루어지는 것을 특징으로 하는 HTTP 프락시의 구현방법.And storing the resource and transmitting the resource to the HTTP client. 제 3 항에 있어서, 사용자의 그룹화 및 URL의 카테고리화로 상기 접근제어의 규칙을 설정하여 특정한 날짜, 시간, 요일에 따라 접근제어를 실시함을 특징으로 하는 HTTP 프락시의 구현방법.4. The method of claim 3, wherein the access control rule is set according to a grouping of users and categorization of URLs, and access control is performed according to a specific date, time, and day of the week. 제 3 항 또는 제 4 항에 있어서, 상기 접근제어 위배시 HTTP 프락시가 모니터로 UDP 형태의 패킷을 이용하여 실시간으로 차단정보를 전송함을 특징으로 하는 HTTP 프락시의 구현방법.The method of claim 3 or 4, wherein, when the access control violation occurs, the HTTP proxy transmits blocking information in real time using a packet of UDP type to the monitor. 제 3 항에 있어서, 상기 접근제어를 통하지 않고서는 웹 캐쉬 기능을 이용하지 못함을 특징으로 하는 HTTP 프락시의 구현방법.4. The method of claim 3, wherein the web cache function cannot be used without access control. 제 3 항에 있어서, 상기 접근제어는,The method of claim 3, wherein the access control, 사용자 IP 주소로 HTTP 클라이언트의 네트워크 그룹을 체크하여 소속된 네트워크 그룹이 존재하지 않을때 접근제어가 허용되는 과정과,Checks the network group of the HTTP client with the user IP address and allows access control when the network group does not exist; 상기 과정에서 네트워크 그룹을 구한후 HTTP 클라이언트가 요청한 URL정보가 속한 카테고리를 체크하여 소속된 카테고리가 존재하지 않을때 접근제어를 허용하는 과정과,Obtaining a network group in the above process and checking the category to which the URL information requested by the HTTP client belongs to allow access control when the category does not exist, 상기 네트워크 그룹과 URL 카테고리 정보를 가지고 해당 규칙이 존재하는가를 체크하여 규칙이 존재하지 않을때 접근제어를 허용하는 과정과,Allowing access control when the rule does not exist by checking whether the corresponding rule exists based on the network group and URL category information; 상기 해당 규칙 존재시 그 규칙에 적용되는 날짜, 시간, 요일 정보와 서비스를 요청한 현재 날짜, 시간, 요일 정보와 비교하여 그 범위안에 속하면 접근제어가 거부되고, 그 범위안에 속하지 않으면 접근제어가 허용되는 과정을 포함하여 이루어지는 것을 특징으로 하는 HTTP 프락시의 구현방법.If the rule exists, access control is denied if it falls within the range compared to the date, time, day of the week information applied to the rule and the current date, time, and day of the day when the service is requested. Implementation method of the HTTP proxy, characterized in that comprises a process.
KR1020000084617A 2000-12-28 2000-12-28 apparatus and method for user access control by using HTTP proxy KR20020055211A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000084617A KR20020055211A (en) 2000-12-28 2000-12-28 apparatus and method for user access control by using HTTP proxy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000084617A KR20020055211A (en) 2000-12-28 2000-12-28 apparatus and method for user access control by using HTTP proxy

Publications (1)

Publication Number Publication Date
KR20020055211A true KR20020055211A (en) 2002-07-08

Family

ID=27687970

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000084617A KR20020055211A (en) 2000-12-28 2000-12-28 apparatus and method for user access control by using HTTP proxy

Country Status (1)

Country Link
KR (1) KR20020055211A (en)

Similar Documents

Publication Publication Date Title
US6981143B2 (en) System and method for providing connection orientation based access authentication
US6292900B1 (en) Multilevel security attribute passing methods, apparatuses, and computer program products in a stream
US20080178278A1 (en) Providing A Generic Gateway For Accessing Protected Resources
JP4630896B2 (en) Access control method, access control system, and packet communication apparatus
US7890642B2 (en) Device internet resource access filtering system and method
US20090083413A1 (en) Distributed frequency data collection via DNS
US20070156898A1 (en) Method, apparatus and computer program for access control
US20070199064A1 (en) Method and system for quality of service based web filtering
CN100438427C (en) Network control method and equipment
US20050021526A1 (en) Method for ensuring the availability of a service proposed by a service provider
CN107645543B (en) Method and system applied to cache server HTTP non-80 cache port service
EP4250660A2 (en) Content policy discovery
US20110099621A1 (en) Process for monitoring, filtering and caching internet connections
EP1952604B1 (en) Method, apparatus and computer program for access control
US20030084317A1 (en) Reverse firewall packet transmission control system
JP2002232451A (en) Communication management method, communication monitoring system, and computer system
EP3971748A1 (en) Network connection request method and apparatus
KR20060113952A (en) Internet listener/publisher
CN112398796A (en) Information processing method, device, equipment and computer readable storage medium
KR20020055211A (en) apparatus and method for user access control by using HTTP proxy
CN101345646A (en) Method for estimating network side safety state and safety authentication system
CA2510633C (en) Access control list checking
JP2001077857A (en) Filtering processing device, network provided with it and its storage medium
Lind et al. Privacy surviving data retention in Europe
JP2006165867A (en) Proxy server apparatus

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination