JP2009523397A - Isp網における有害情報接続遮断システム及び方法 - Google Patents
Isp網における有害情報接続遮断システム及び方法 Download PDFInfo
- Publication number
- JP2009523397A JP2009523397A JP2008554129A JP2008554129A JP2009523397A JP 2009523397 A JP2009523397 A JP 2009523397A JP 2008554129 A JP2008554129 A JP 2008554129A JP 2008554129 A JP2008554129 A JP 2008554129A JP 2009523397 A JP2009523397 A JP 2009523397A
- Authority
- JP
- Japan
- Prior art keywords
- harmful information
- subscriber
- blocking
- pop
- harmful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 383
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012546 transfer Methods 0.000 claims abstract description 41
- 238000012806 monitoring device Methods 0.000 claims abstract description 29
- 238000000926 separation method Methods 0.000 claims abstract description 18
- 238000001914 filtration Methods 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 13
- 230000005641 tunneling Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 4
- 238000013459 approach Methods 0.000 claims description 2
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 231100000252 nontoxic Toxicity 0.000 description 2
- 230000003000 nontoxic effect Effects 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 241001522296 Erithacus rubecula Species 0.000 description 1
- -1 VDSL Proteins 0.000 description 1
- 230000004308 accommodation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000002542 deteriorative effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本発明は、全体システムの信頼度を向上できるISP網における有害情報接続遮断システム及び方法を提供するためのものである。本発明は、加入者アクセス装置を含んでなる加入者アクセス網を通じてインターネットサービス加入者のトラフィックをインターネットに連結するISP網において、ISPから有害情報遮断サービス加入者のトラフィックを分離して、多数個の有害情報遮断システムPoPの中から選択された一つの有害情報遮断システムPoPへ転送するように制御する加入者トラフィック分離転送制御部を含んでなる加入者制御装置と、上記多数個の有害情報遮断システムPoPの現在の状態をモニタリングして、各々の有害情報遮断システムPoPの定常動作の有無などの状態情報をチェックし、その結果を前記加入者制御装置へ転送する有害情報遮断システムPoP監視装置を含んでなるISP網における有害情報接続遮断システムを提供することで、有害情報遮断サービスの加入者が増加しても安定した有害情報遮断サービス提供が可能であり、延いては、多重化した有害情報遮断システムPoPに障害が発生する場合にも、有害情報遮断サービス加入者の基本インターネットサービスにも影響を及ぼせないようにする。
Description
〔技術分野〕
本発明は、加入者の要請により加入者コンピュータがHTTPプロトコルを用いて有害サイトURLを通じて有害情報に接続するか、P2P、ウェブハードなどのようなファイル共有サービス、またはメッセンジャーなどの専用アプリケーションを通じて提供される有害情報に対して接続することを遮断するためのISP網内における有害情報接続遮断装置及び遮断方法に関し、多重化したISPの有害情報遮断システムPoP(Point of Presence)から選択的に割り当てられた有害情報遮断システムPoPを通じて有害情報遮断サービス加入者のトラフィックで有害情報接続を遮断することに基づいたISP網における有害情報接続遮断システム及び遮断方法に関するものである。
本発明は、加入者の要請により加入者コンピュータがHTTPプロトコルを用いて有害サイトURLを通じて有害情報に接続するか、P2P、ウェブハードなどのようなファイル共有サービス、またはメッセンジャーなどの専用アプリケーションを通じて提供される有害情報に対して接続することを遮断するためのISP網内における有害情報接続遮断装置及び遮断方法に関し、多重化したISPの有害情報遮断システムPoP(Point of Presence)から選択的に割り当てられた有害情報遮断システムPoPを通じて有害情報遮断サービス加入者のトラフィックで有害情報接続を遮断することに基づいたISP網における有害情報接続遮断システム及び遮断方法に関するものである。
〔背景技術〕
現在のインターネットには数えられないくらい多くの有害情報が存在し、このような有害情報はポルノサイトのような特定のウェブサイトのみならず、P2P、ウェブハード、メッセンジャーなどのようなファイル共有手段を用いて広く流布されて青少年までも容易に接続が可能な状況となっている。
現在のインターネットには数えられないくらい多くの有害情報が存在し、このような有害情報はポルノサイトのような特定のウェブサイトのみならず、P2P、ウェブハード、メッセンジャーなどのようなファイル共有手段を用いて広く流布されて青少年までも容易に接続が可能な状況となっている。
今まで、このようなインターネットに存在する多様な有害情報に特定の使用者が使用するコンピュータが接続することを遮断するための多様な方法や装置が解決策として提案されているが、このような解決策の大部分は自体機能に制限が多いとか、このような解決策の採用が更に他の問題点を誘発する等の限界性を持っている。
現在使われている有害情報遮断方式は、3つの方式に大別できるが、第1の方式としては、使用者のクライアントPCに有害情報遮断可能を遂行するソフトウェアを設置するクライアント方式があり、第2の方式に、有害情報遮断サーバーを各学校や企業、団体のLANに設置して遮断する遮断サーバー方式があり、そしてこのような第1の方式と第2の方式を混合した第3の方式として、加入者のPCにソフトウェア的にプロキシ(Proxy)機能を設定し、加入者LANや公衆網にプロキシ(Proxy)型遮断サーバーを設置することにより、使用者コンピュータがインターネットに接続しようとする場合に、有害情報遮断機能を具備した遮断サーバーを通ずるようにすることで、有害情報への接近を遮断する方式からなっている。
前述した第1の方式の場合は、主に家庭用PCで使われる形態であって、青少年がインターネットを通じて有害サイト、P2P、ウェブハードなどのような有害情報に対して接続することを制限するためには、加入者PCに遮断ソフトウェアが必ず設置されていなければならない根本的な不便さがあり、また、このような方法は加入者PCの運営体制(OS)及びウェブブラウザ環境に依存的であり、仮に加入者PCに設置された遮断ソフトウェアが削除される場合には要求される遮断作用が遂行できないので、家庭で遮断ソフトウェアに対する父母の管理を持続的に必要とするという短所がある。
第2の方式の場合は、主に学校や団体でサーバー管理者が有害情報遮断サーバーを管理しなければならないので、時間と費用の浪費が多いし、別に専門担当管理者を置かなければならないという短所がある。
そして、第3の方式の場合は、正常な作動のために加入者PCにプロキシ(Proxy)を設定することで、加入者PC設定が先に変更される手続きを経なければならないので、加入者増加時には遮断サーバーに多い負荷が集中されて、パケット処理が遅延されることによって、加入者のインターネット速度が格段に減少して大規模加入者を受容するには適しないし、第1の場合と類似するように加入者PCでソフトウェアが削除されるか、またはプロキシ(Proxy)設定が異なるように変更される場合には、実質的な有害情報遮断がなされないという短所がある。
一方、有害サイトを遮断するその他の方式として、キャッシュサーバーで遮断するキャッシング方式、またはインターネットゲートウェイ装備に遮断するIPフィルタリストを指定して遮断するルータフィルタリング方式があるが、この場合、遮断成功率や安定性が低く、インターネット速度の低下の問題点を起こす。
前述した従来の一般的な技術が有する問題点を解決するために、ISP(Internet Service Provider)中央制御により加入者に有害サイト遮断サービスを提供するネックワーク遮断方式が紹介されたが、このようなネットワーク遮断方式は、ISP網に有害情報遮断システムPoPを置いて使用者が有害サイトに接続を試みる時、使用者の要請パケットを有害サイトDBと比較して接続を遮断する型式であって、遮断成功率が高いし、使用者任意にソフトウェアを削除する方法で回避することが不可であり、顧客(学校、企業など)が別途管理者を置く必要がないし、インターネット速度の低下もないし、有害サイトDBのアップデートもリアルタイムで可能であり、遮断安定性が優れて、そしてリルーティング(Rerouting)機能も保有することになるので、相当に有効な解決策となった。
しかしながら、このようなネットワーク遮断方式も初期モデルの場合には、図1に示すように、トラフィックが遮断システム内のL4(Layer 4)スイッチ30を経てルーティングされ、超高速インターネットトラフィックは有害情報接続遮断サービス加入者20と非加入者10の区分なしに遮断システム内のL4スイッチ30に入力されてサービス加入者20とサービス非加入者10を区分した後、非加入者10のトラフィックはインターネットに直接接続され、サービス加入者20のトラフィックはL4スイッチ30で決まったルール(rule)によって遮断サーバー40a、40bに印加され、フィルタリングされた後、インターネットに接続されるように構成されたが、これによって、遮断サービスに対するサービス加入者20及びサービス非加入者10の区分なしに、全てのトラフィックがL4スイッチ30に印加されてL4スイッチ30に多い負荷が掛かることになって、障害が生じる問題点が発生した。
このような初期モデルの問題点を解決し、ISP網における網の安定性をより高めるために、図2に示すようなシステム(本出願人の韓国登録特許第10−0478899号の登録公報B1参照)が提案されたが、遮断システム80に障害が発生しても非加入者10トラフィックのインターネット接続サービスにまでその影響が及ぼすことを防止するために、既存網50、60、70と独立して運用管理が容易な方式であって、有害情報遮断サービスを申請した加入者20のトラフィックをアクセス網から分離して別途に構築された有害情報遮断システム80(81、82)で処理するようにする方案が提示され、このために、トンネリングプロトコル(例えば、図2に示すようなL2TPトンネルを用いた方式等)及びパケットミラーリング(Mirroring)の技術の適用が共に提案された。
図2に図示された従来技術をより具体的に説明すれば、ISPは、xDSL、Cable、無線インターネット、ISDN、専用線などのような多様なアクセス網を通じてインターネットサービスを加入者に提供し、インターネットサービスを提供されるインターネットサービス加入者は、ISPが追加で提供する有害情報遮断サービスに加入申請をすることだけで、自分のPCに如何なる設定も変化させる必要なしに、有害情報遮断サービスを提供されることができる。加入者が有害情報遮断サービスを申請すれば、ISPは加入者制御装置に有害情報遮断サービス加入者の加入者情報(MAC Address、または、ID/Password)を入力し、加入者制御装置は有害情報遮断サービス加入者がインターネットに接続するか、またはインターネットを使用するためにパケットを転送する時、加入者20と非加入者10のトラフィックを区分し、各々の経路を分離して転送することになる。例えば、図2に示すようなL2TP(Layer 2 Tunneling Protocol)などのようなトンネリングプロトコル(Tunneling Protocol)を用いて有害情報遮断サービス加入者のトラフィックトは有害情報遮断サービス非加入者のトラフィックと分離されて、有害情報遮断システムPoP80まで転送されるが、ISP構造によってトンネリングプロトコル(Tunneling Protocol)でないPBR(Policy Based Routing)技術を用いて有害情報遮断サービス加入者と有害情報遮断サービス非加入者のトラフィックを分離転送することもできる。
有害情報遮断サービス加入者20のトラフィックをパケット形態で転送された有害情報遮断システムPoP80は、パケットミラーリングを遂行してミラーリングされた有害情報遮断サービス加入者のパケットと有害情報制御リストDBサーバーからリアルタイムで更新された有害情報DBを相互比較分析して、仮に該パケットが有害情報を要請している場合には有害情報遮断サービス加入者の端末には遮断メッセージを転送し、そして有害情報遮断サービス加入者が接続しようとした有害情報を提供するサーバーには接続終了メッセージを転送することによって、有害情報を含んだダウンロードトラフィックが有害情報遮断サービス加入者に転送されることを防止する。勿論、正常なパケットと判断される場合、ミラーリング方式で受信されたパケットを廃棄することによって、有害情報遮断サービス加入者でも正常にインターネットに接続できるようにする。
しかしながら、図2に図示された方式やはり、有害情報遮断サービス加入者が増加するによって、有害情報遮断システムPoPに集中するトラフィックが過多に集中されて瓶の首現象が生じて有害情報遮断サービス加入者のインターネット速度低下をもたらすことができ、また有害情報遮断システムPoPを全地域に亘って設置しなければならないので、構成上の困難性が存在する。
延いては、単一化した遮断システムPoPに障害が発生したりISPネットワークが不安な場合には別途の障害復旧方法がないので、有害情報遮断サービス加入者には基本インターネットサービスまで提供できない等、多様な問題点を導出しているが、インターネットサービス加入者に提供される有害情報遮断サービスは、ISPがインターネット加入者に提供する基本インターネットサービスに追加で提供される付加サービスであり、したがって、有害情報遮断サービス加入者といっても基本的なインターネットサービスが円滑に提供されることが優先的に一層重要であるのにもかかわらず、有害情報遮断サービスのような付加サービスと関連したシステムの障害によってインターネット速度が低下したり、延いては、インターネット接続が不可能になって、基本インターネットサービスに悪い影響を及ぼせば、これは深刻な副作用をもたらすはずである。
〔発明の開示〕
〔発明が解決しようとする課題〕
本発明は、前述した問題点を解決するために提案されたものであって、有害情報遮断システムPoPを多重化して構成することで、特定の有害情報遮断システムPoPの障害時にも正常に基本インターネットサービス及び有害情報遮断サービスを提供されることができるようにし、適当量のトラフィックを各々の有害情報遮断システムPoPに分散することで、特定の有害情報遮断システムPoPにトラフィックが過多に集中することを防止して、瓶の首現状の発生可能性を低めて、有害情報遮断加入者が増加してもインターネット速度の低下なしに円滑なサービスを提供されることができるようにし、また、特定の有害情報遮断システムPoPに障害が発生する場合にもこのような障害を探知し、障害を復旧するまで、他の有害情報遮断システムPoPを利用できるようにすることで、全体システムの信頼度を向上できるISP網における有害情報接続遮断システム及び方法を提供することをその目的とする。
〔発明が解決しようとする課題〕
本発明は、前述した問題点を解決するために提案されたものであって、有害情報遮断システムPoPを多重化して構成することで、特定の有害情報遮断システムPoPの障害時にも正常に基本インターネットサービス及び有害情報遮断サービスを提供されることができるようにし、適当量のトラフィックを各々の有害情報遮断システムPoPに分散することで、特定の有害情報遮断システムPoPにトラフィックが過多に集中することを防止して、瓶の首現状の発生可能性を低めて、有害情報遮断加入者が増加してもインターネット速度の低下なしに円滑なサービスを提供されることができるようにし、また、特定の有害情報遮断システムPoPに障害が発生する場合にもこのような障害を探知し、障害を復旧するまで、他の有害情報遮断システムPoPを利用できるようにすることで、全体システムの信頼度を向上できるISP網における有害情報接続遮断システム及び方法を提供することをその目的とする。
〔課題を解決するための手段〕
前述した本発明の目的を達成するために、本発明はISP網における有害情報の接続を遮断するための機能を提供する装置を含んだシステムに関するものであって、遮断対象となる有害情報に対する制御リストをリアルタイムに多数個の有害情報遮断システムPoPに転送する有害情報制御リストDBサーバーと、有害情報遮断サービス加入者のトラフィックを分離して、多数個の有害情報遮断システムPoPの中から選択された一つの有害情報遮断システムPoPへ転送するように制御する加入者トラフィック分離転送制御部を含んでなる加入者制御装置と、ISPのバックボーンに位置して上記加入者制御装置により分離された有害情報遮断サービス加入者のトラフィックをミラーリング装置を通じて収集し、有害情報制御リストDBサーバーからリアルタイムまたは周期的にアップデートされた有害情報DBと比較分析して、サービス加入者の要請パケットが有害情報に対する接続要請を含んでいるか否かを判断し、有害情報接続のための要請パケットと判断される場合、有害情報への接続を遮断する機能を遂行するように構成される多数個の有害情報遮断システムPoPと、上記多数個の有害情報遮断システムPoPの現在の状態をモニタリングして、各々の有害情報遮断システムPoPの定常動作有無などの状態情報をチェックし、その結果を上記加入者制御装置へ転送する有害情報遮断システムPoP監視装置を含んでなり、そして、上記加入者制御装置の加入者トラフィック分離転送制御部は、上記有害情報遮断システムPoP監視装置から受信した多数個の有害情報遮断システムPoPの状態情報に基づいて一つの有害情報遮断システムPoPを決定し、有害情報遮断サービス加入者のトラフィックを上記決定された有害情報遮断システムPoPに連結するように構成されることを特徴とするISP網における有害情報接続遮断システムを提供する。
前述した本発明の目的を達成するために、本発明はISP網における有害情報の接続を遮断するための機能を提供する装置を含んだシステムに関するものであって、遮断対象となる有害情報に対する制御リストをリアルタイムに多数個の有害情報遮断システムPoPに転送する有害情報制御リストDBサーバーと、有害情報遮断サービス加入者のトラフィックを分離して、多数個の有害情報遮断システムPoPの中から選択された一つの有害情報遮断システムPoPへ転送するように制御する加入者トラフィック分離転送制御部を含んでなる加入者制御装置と、ISPのバックボーンに位置して上記加入者制御装置により分離された有害情報遮断サービス加入者のトラフィックをミラーリング装置を通じて収集し、有害情報制御リストDBサーバーからリアルタイムまたは周期的にアップデートされた有害情報DBと比較分析して、サービス加入者の要請パケットが有害情報に対する接続要請を含んでいるか否かを判断し、有害情報接続のための要請パケットと判断される場合、有害情報への接続を遮断する機能を遂行するように構成される多数個の有害情報遮断システムPoPと、上記多数個の有害情報遮断システムPoPの現在の状態をモニタリングして、各々の有害情報遮断システムPoPの定常動作有無などの状態情報をチェックし、その結果を上記加入者制御装置へ転送する有害情報遮断システムPoP監視装置を含んでなり、そして、上記加入者制御装置の加入者トラフィック分離転送制御部は、上記有害情報遮断システムPoP監視装置から受信した多数個の有害情報遮断システムPoPの状態情報に基づいて一つの有害情報遮断システムPoPを決定し、有害情報遮断サービス加入者のトラフィックを上記決定された有害情報遮断システムPoPに連結するように構成されることを特徴とするISP網における有害情報接続遮断システムを提供する。
また、本発明は更に他の発明様態であるISP網における有害情報の接続を遮断するための方法に関するものであって、加入者がオンラインまたはオフラインを通じてISPに有害情報遮断サービス加入を要請すれば、該加入者の有害情報遮断サービス加入情報が加入者制御装置に登録される加入者情報登録ステップと、多数個の有害情報遮断システムPoPの現在の状態を監視する有害情報遮断システム監視装置が各々の有害情報遮断システムPoPの位置情報と状態情報をチェックし、その結果を上記加入者制御装置へ転送する有害情報遮断システムPoP監視情報転送ステップと、多数個の有害情報遮断システムPoPの位置情報と現在の状態に関する状態情報を転送された後、加入者制御装置が多数個の有害情報遮断システムPoPの中から一つの有害情報遮断システムPoPを選択して決定する有害情報遮断システムPoP決定ステップと、加入者インターネット接続時、あるいはパケット転送時、加入者制御装置は、該加入者が有害情報遮断サービス加入者であるか否かを確認し、トンネリングプロトコル、または政策基盤ルーティング(PBR;Policy Based Routing)技術を含むルーティング技術群から選択されるルーティング技術を用いて有害情報遮断サービス加入者のトラフィックを非加入者のトラフィックと分離して、上記有害情報遮断システムPoP決定ステップで決定された所定の有害情報遮断システムPoPへ上記加入者のトラフィックを転送する有害情報遮断サービス加入者トラフィック分離転送ステップと、上記有害情報遮断サービス加入者トラフィック分離転送ステップで、加入者制御装置により分離されて所定の有害情報遮断システムPoPに集中した加入者トラフィックをパケットミラーリング装置を用いてミラーリングし、ミラーリングされたパケットを分析し、有害情報制御リストDBサーバーからリアルタイムに更新された有害情報DBと比較して、加入者パケットが有害情報を要請するか否かを判断する有害情報遮断サービス加入者パケット分析ステップと、上記サービス加入者パケット分析ステップで、サービス加入者のパケットが有害情報を要請すると判断される場合、サービス加入者端末へ遮断メッセージを転送し、そしてサービス加入者が接続しようとしたサーバーには接続終了メッセージを転送し、サービス加入者のパケットが有害情報を要請しない正常なパケットである場合、上記ミラーリングされたパケットを廃棄することによって、正常なインターネットが可能であるようにする有害情報遮断ステップと、を含んでなることを特徴とするISP網における有害情報接続遮断方法を提供する。
ここで、上記有害情報遮断システムPoP決定ステップで、一つの有害情報遮断システムPoPが決定されない場合、加入者制御装置は、有害情報遮断サービス加入者トラフィックをサービス非加入者のトラフィック経路を通じてインターネットに転送するように経路を変更する基本インターネット接続維持ステップを更に含んでなることを特徴とするISP網における有害情報接続遮断方法を提供することができる。
〔発明の効果〕
本発明によると、ISP網において、加入者端末(PC、PDA等)に如何なる変更なしに加入者はISPに加入申請をすることだけで、ネットワーク遮断方式で有害情報遮断サービス加入者の有害サイト接続やP2P及びウェブハードなどを用いた有害ファイル接続のような有害情報接続を効果的に遮断できるのみならず、ISPのバックボーンに多数個の有害情報遮断システムPoPを配置し、これらを監視しながら効率よく運用することで、有害情報遮断サービスの加入者が増加しても安定した有害情報遮断サービス提供が可能であり、延いては、多重化した有害情報遮断システムPoPに障害が発生する場合にも有害情報遮断サービス加入者の基本インターネットサービスにも全く影響を及ぼさないことがあり、パケットフィルタリング装置のような遮断装置自体の二重化を通じたより安定した有害情報遮断サービス提供が可能であり、ISP立場では、中央制御により加入者を管理するので、有害情報遮断サービス提供にかかる引力、時間、費用を格段に減らすことができる。
本発明によると、ISP網において、加入者端末(PC、PDA等)に如何なる変更なしに加入者はISPに加入申請をすることだけで、ネットワーク遮断方式で有害情報遮断サービス加入者の有害サイト接続やP2P及びウェブハードなどを用いた有害ファイル接続のような有害情報接続を効果的に遮断できるのみならず、ISPのバックボーンに多数個の有害情報遮断システムPoPを配置し、これらを監視しながら効率よく運用することで、有害情報遮断サービスの加入者が増加しても安定した有害情報遮断サービス提供が可能であり、延いては、多重化した有害情報遮断システムPoPに障害が発生する場合にも有害情報遮断サービス加入者の基本インターネットサービスにも全く影響を及ぼさないことがあり、パケットフィルタリング装置のような遮断装置自体の二重化を通じたより安定した有害情報遮断サービス提供が可能であり、ISP立場では、中央制御により加入者を管理するので、有害情報遮断サービス提供にかかる引力、時間、費用を格段に減らすことができる。
〔発明を実施するための最良の形態〕
以下、添付図面を参照しつつ本発明によるISP網における有害情報接続を遮断するためのシステム発明及び方法発明の具体的な実施形態の構成及び作用について詳細に説明する。
以下、添付図面を参照しつつ本発明によるISP網における有害情報接続を遮断するためのシステム発明及び方法発明の具体的な実施形態の構成及び作用について詳細に説明する。
図3乃至図6を参照してISP網における有害情報接続を遮断するためのシステムの本発明に係る具体的な実施形態を説明する。
本発明に係る有害情報接続遮断システムの場合には、図3に図示された一実施形態でのように、加入者アクセス装置を含んでなる加入者アクセス網を通じてインターネットサービス加入者のトラフィックをインターネットに連結するISP網において、遮断対象となる有害情報に対する制御リストをリアルタイムに多数個の有害情報遮断システムPoPへ転送する有害情報制御リストDBサーバー200、加入者制御装置300、多数個(#1、#2、・・・、#N)の有害情報遮断システムPoP400(400a、400b、400c等)、及び有害情報遮断システムPoP監視装置500を含んでなる。より詳しくは、加入者制御装置300は、図4に示すように、有害情報遮断サービス加入者のトラフィックを分離して多数個の有害情報遮断システムPoPの中から選択された一つの有害情報遮断システムPoPへ転送するように制御する加入者トラフィック分離転送制御部320を含んでなり、そして、多数個の有害情報遮断システムPoP400(400a、400b、400c等)は、ISPのバックボーンに位置して加入者制御装置300により分離された有害情報遮断サービス加入者のトラフィックをパケットミラーリング装置を通じて収集し、有害情報制御リストDBサーバー200からリアルタイムまたは周期的にアップデートされた有害情報DBと比較分析して、サービス加入者の要請パケットが有害情報に対する接続要請を含んでいるか否かを判断し、有害情報接続のための要請パケットと判断される場合、有害情報への接続を遮断する機能を遂行するように構成される。
ここで、加入者制御装置300は、ISPで加入者の有害情報遮断サービス加入の有無を判断する認証機能を分離して担当する別途の認証サーバー310を含むように構成されることができる。一方、ISPが加入者にインターネット接続を提供する方法(例えば、ADSL、VDSL、LAN基盤、HFC等)によって、有害情報遮断サービス加入者のトラフィックを分離する多様な方法が選択的に使われることができるが、したがって、このような有害情報遮断サービス加入者のトラフィックを分離する機能を担当する加入者トラフィック分離転送制御部320は、図4の図示とは異なり、加入者アクセス網100内に統合設置されることもできるが、この場合、加入者トラフィック分離転送制御部320が加入者アクセス網100内の加入者アクセス装置110と別途に構成されることができるが、本発明の更に他の実施形態として図示された図6のように、加入者アクセス装置110に統合的に設置されることができ、延いては、認証サーバー310を除外した加入者制御装置300の全体、即ち、有害情報遮断システムPoP決定部320Aを含んだ加入者トラフィック分離転送制御部320が、図6に示すように、加入者アクセス網100内に統合的に設置されることもできる。
そして、有害情報遮断システムPoP監視装置500は、多数個の有害情報遮断システムPoPの現在の状態をモニタリングして、各々の有害情報遮断システムPoPの定常動作の有無などの状態情報をチェックし、その結果を加入者制御装置300へ転送するように構成される。
加入者制御装置300の加入者トラフィック分離転送制御部320は、図4及び図6に示すように、有害情報遮断システムPoP監視装置500から受信した多数個の有害情報遮断システムPoP400(400a、400b、400c等)の状態情報に基づいて、一つの有害情報遮断システムPoPを決定するために、有害情報遮断システムPoP決定部320Aを含んでなり、そして、延いては、有害情報遮断システムPoP決定部320Aは、有害情報遮断システムPoP監視装置500から転送された有害情報遮断システムPoPの状態情報を用いて、各々の有害情報遮断システムPoPに対する位置情報及び状態情報などを維持するデータベースと、有害情報遮断サービス加入者インターネット接続の度に、またはパケット転送の度に、データベースの各PoP別位置情報及び状態情報を用いて、一つの有害情報遮断システムPoPを選択するための負荷分割アルゴリズムを含んで構成されることが望ましくて、そうして有害情報遮断システムPoP監視装置500から受信した多数個の有害情報遮断システムPoP400(400a、400b、400c等)の状態情報に基づいて、有害情報遮断システムPoP決定部320Aで一つの有害情報遮断システムPoPを決定し、そして有害情報遮断サービス加入者20のトラフィックが加入者アクセス網100の加入者アクセス装置110(例えば、加入者アクセスサーバー)から上記決定された有害情報遮断システムPoP400へ転送される。
有害情報遮断システムPoP400は、加入者アクセス装置110が有害情報遮断サービス加入者のトラフィックをトンネリング、またはPBRなどを用いて転送する場合に、これを受信して処理する加入者接続装置410と、該有害情報遮断サービス加入者のトラフィックが有害情報に接近するか否かを判断する有害情報遮断装置420から構成されるが、図示したように、加入者接続トンネリング終端装置が一つのPoPで構成されることもでき、これとは異なり、このような加入者接続装置の多数が集まって一つのPoPを構成することもできる。
ここで、有害情報遮断装置420は、図5に示すように、加入者接続装置410へ転送された有害情報遮断サービス加入者のトラフィックがISPバックボーンへ転送されながら、これと共に、パケットミラーリングされるようにするパケットミラーリング装置421と、パケットミラーリング装置421によりミラーリングされたパケットをフィルタリングするためのものであって、2つ以上のパケットフィルタリングスイッチを含んで構成されるパケットフィルタリング装置422、423と、2つ以上のパケットフィルタリングスイッチを一つの活性(Active)スイッチ422と残りの待機(Standby)スイッチ423とに区分して決定するパケットフィルタリングスイッチ監視装置425とを含んでなることがより望ましい。
本発明に係る有害情報接続遮断システムで特徴的に具備している加入者制御装置300は、有害情報遮断システムPoP監視装置500から転送された有害情報遮断システムPoP400の状態情報を用いて、各々の有害情報遮断システムPoP(400a、400b、400c等)に対する位置情報及び現在のシステム状況などに対するDBを維持する。有害情報遮断システムPoP(400a、400b、400c等)の位置情報は、遮断システムPoPの代表IP住所などで表現されることができ、現在のシステム状況は、各PoP別現在の加入者接続量(収容率)、トラフィック処理量(収容率)、パケット処理遅延時間(Packet Latency)、システム障害の可否のようなPoPの詳細情報を含むことができる。加入者制御装置300は、加入者インターネット接続の度に、あるいはパケット転送の度に、上記PoPの状態情報を用いて、自体に構築された負荷分割(Load Sharing)アルゴリズムで最も適切な有害情報遮断システムPoPを決定し、これを加入者アクセス網100(アクセス装置110を含む)に知らせて有害情報遮断サービス加入者20のトラフィックが適切な有害情報遮断システムPoPに分散割り当てられるようにする。
上記負荷分割アルゴリズムは、有害情報遮断サービス加入者と有害情報遮断システムPoPまでのネットワーク上の距離(例えば、Hop Count)及び経路上のネットワーク(Network)状態、有害情報遮断システムの現在の加入者及びトラフィック収容率などを含んだ因子から一つの有害情報遮断システムPoPが選択され、そして管理者が手動で一つの有害情報遮断システムPoPを設定できるように構成されることができる。
仮に、全ての有害情報遮断システムPoPの加入者収容容量超過、システム障害などの問題により、これ以上サービスが可能なPoPが存在しない場合には、加入者制御装置300は、これ以上加入者と非加入者のトラフィック経路を分離せず、有害情報遮断サービス加入者に対しても非加入者と同様に、基本インターネット経路を使用するように設定することによって、加入者の基本インターネットサービスには全く影響を及ぼさないようにする。
一方、加入者制御装置300は、図3に図示された一実施形態のように加入者アクセス(Access)網100と別途に分離されて、既存のISP加入者認証システムに含まれて提供されることもできるが、本発明の更に他の実施形態を図示した、図6に示すように、有害情報遮断システムPoP決定部320Aを含んだ加入者トラフィック分離転送制御部320の形態で加入者アクセス網100内に統合設置されることができるが、この際、場合によって、PBRなどの機能として存在することもできる。また、最適の有害情報遮断システムPoPを決定する多様な方式が存在することができ、具体的な例を挙げれば、次の通りである。有害情報遮断システムPoPリストDBの中で、サービスが可能なPoPを順次に割り当てるラウンドロビン(Round Robin)方式、現在の接続加入者数、またはトラフィック量が最も小さいPoPへ転送する最少連結(Least Connection)方式、各々の有害情報遮断システムPoP別に異なる加重値を与えて特定の遮断システムPoPに加入者接続をより多く受容するようにするウェイト(Weight)方式などがあり、このようなアルゴリズムは管理者の設定によって選択または変更が可能であるように構成することが望ましい。
また、有害情報遮断システムPoP監視装置500は、各有害情報遮断システムPoPに対する正常な動作の可否を多様な因子(Parameter)を用いてリアルタイムにモニタリングするが、有害情報遮断システムのモニタリングに使われる因子(Parameter)としては、有害情報遮断システムを構成する各種装置等の定常動作の有無、該PoPの加入者及びトラフィック収容量(最大収容容量対比現在の収容率等)、加入者パケット処理遅延時間(Packet Latency)、及びその他、管理者が手動で設定する政策などのような多様なパラメータを有することができる。有害情報遮断システムPoP監視装置500は、このように測定された情報を加入者制御装置300へリアルタイムに転送し、加入者トラフィック分離転送制御部320が加入者トラフィック収容に適した最適の有害情報遮断システムPoPを選択するに利用できるようにする。また、管理者はこのような因子(Parameter)を変更することで、最適の遮断システムPoPを変更することができる。仮に、遮断システムPoPをモニタリングする中に、加入者収容容量超過、システム障害などの理由により該PoPがこれ以上加入者を受容し難いと判断される場合、有害情報遮断システムPoP監視装置500は、該PoPに対する障害を加入者制御装置300へリアルタイムに転送して、これ以上該当PoPに有害情報遮断サービス加入者のトラフィックを転送できないようにすることによって、安定した他のPoPを通じて続けて有害情報遮断サービスが提供されるか、全てのPoPに障害が発生する最悪の場合にも基本インターネットサービスは提供できるようにする。
ここで、図6に示すように、加入者制御装置300が有害情報遮断システムPoP決定部320Aを含んだ加入者トラフィック分離転送制御部320の形態で加入者アクセス網100内に統合設置される場合に、有害情報遮断システムPoP監視装置500も加入者制御装置300と共に加入者アクセス網100内に統合的に設置されるようにすることもできる。
図5は、加入者トラフィックを受信した有害情報遮断システムPoPにおいて、加入者の有害情報接続を遮断するための有害情報遮断装置の構成方式に対する望ましい実施形態を示している。本実施形態では、有害情報遮断に必要となる装置を二重化して構成することで、より安定したサービスを提供できるようにする。
前述したように、有害情報遮断サービス加入者20のトラフィックは、加入者制御装置300で設定された有害情報遮断システムPoP400の加入者接続装置410へアクセス網100により転送される。
加入者接続装置410へ転送されたトラフィックは、またISPバックボーンへ転送され、このトラフィックは有害情報遮断装置420のパケットミラーリング装置421を通じてパケットフィルタリング装置422、423へ転送される。この際、パケットフィルタリング装置422、423は、安定した有害情報遮断のために活性(Active)スイッチ422及び待機(Standby)スイッチ423で二重化構成され、パケットミラーリング装置421は、同一な加入者トラフィックを上記2つのパケットフィルタリング装置422、423へ転送する。その中で、活性(Active)と決定されたパケットフィルタリングスイッチ422は、加入者のパケットを処理して正常な有害情報遮断になるようにするが、待機(Standby)状態で動作するパケットフィルタリングスイッチ423は、受信した加入者のパケットを廃棄することによって、正常なサービスが可能であるようにする。仮に、活性(Active)スイッチ422に障害が発生すれば、待機(Standby)スイッチ423が活性(Active)スイッチとして動作して加入者パケットを処理することによって、パケットフィルタリング装置の障害時にも安定した有害情報遮断サービスが可能であるようにする。このような活性(Active)スイッチ422及び待機(Standby)スイッチ423を決定するシステムは、スイッチ監視装置425である。スイッチ監視装置425は予め宣言された活性(Active)スイッチ422及び待機(Standby)スイッチ423にSNMP、ICMPなどを用いて周期的にパケットフィルタリングスイッチの定常動作を確認する。このようなモニタリング中に、活性(Active)スイッチ422が障害と判断されれば、スイッチ監視装置425は、待機(Standby)スイッチ423を活性(Active)に設定変更することで、正常な有害情報遮断が可能であるようにする。
パケットフィルタリングスイッチ422、423は、パケットミラーリング装置421から受信した加入者パケットの中で、遮断サービスに必ず必要とするパケットのみを分離してフィルタリングし、これを多数の遮断サーバー424aに分配して転送する。この際、パケットフィルタリングスイッチ422、423は、遮断サーバー424aに対してTcp/UdP Port監視、SNMP、ICMP、Link状態モニタリングなどを通じて遮断サーバー424aの定常動作をリアルタイムに監視して、特定の遮断サーバーの動作が正常でない場合、加入者のパケットを該遮断サーバー424aにはこれ以上転送しないことによって、遮断サーバー424aの障害に柔軟に対処できるようにすることが望ましい。
そして、図7及び図8には、本発明に対するまた一つの発明様態である方法発明の実施形態が図示される。図7に示すように、本発明に係るISP網における有害情報接続遮断方法発明の第1実施形態では、加入者情報登録ステップ(S100)と、有害情報遮断システムPoP監視情報転送ステップ(S200)と、有害情報遮断システムPoP決定ステップ(S300)と、有害情報遮断サービス加入者トラフィック分離転送ステップ(S400)と、有害情報遮断サービス加入者パケット分析ステップ(S500)と、有害情報遮断ステップ(S600)とを含んでなることを特徴とするISP網における有害情報接続遮断方法を提供する。
ここで、加入者情報登録ステップ(S100)は、加入者がオンラインまたはオフラインを通じてISPに有害情報遮断サービス加入を要請すれば、該加入者の有害情報遮断サービス加入情報が加入者制御装置に登録されるステップであり、有害情報遮断システムPoP監視情報転送ステップ(S200)は、多数個の有害情報遮断システムPoPの現在の状態を監視する有害情報遮断システム監視装置が各々の有害情報遮断システムPoPの位置情報と状態情報をチェックし、その結果を上記加入者制御装置に転送するステップであり、有害情報遮断システムPoP決定ステップ(S300)は、多数個の有害情報遮断システムPoPの位置情報と現在の状態に関する状態情報を転送された後、加入者制御装置が多数個の有害情報遮断システムPoPの中から一つの有害情報遮断システムPoPを選択して決定するステップである。
上記有害情報遮断システムPoP決定ステップは、有害情報遮断システムPoP監視装置から転送された有害情報遮断システムPoPの状態情報を用いて、各々の有害情報遮断システムPoPに対する位置情報及び状態情報などをデータベースに維持し、有害情報遮断サービス加入者インターネット接続の度に、またはパケット転送の度に、上記データベースの各PoP別位置情報及び状態情報及び負荷分割アルゴリズムを用いて、一つの有害情報遮断システムPoPを選択することが望ましい。
ここで、上記有害情報遮断システムPoPの位置情報は、遮断システムPoPの代表IP住所であり、上記有害情報遮断システムPoPの状態情報は、各PoP別加入者接続量、トラフィック処理量、パケット処理遅延時間、障害の可否を含んでなる状態情報群から選択される一つ以上の状態情報であることができ、そして、上記負荷分割アルゴリズムは、有害情報遮断サービス加入者と有害情報遮断システムPoPまでのネットワーク上の距離及び経路上のネットワーク状態、有害情報遮断システムの現在加入者及びトラフィック収容率などを含んだ因子から一つの有害情報遮断システムPoPが選択されるように構成されることが望ましくて、また管理者が手動で一つの有害情報遮断システムPoPを設定できるように構成されることがより望ましい。
そして、有害情報遮断サービス加入者トラフィック分離転送ステップ(S400)は、加入者インターネット接続時、あるいはパケット転送時に加入者制御装置は該加入者が有害情報遮断サービス加入者であるか否かを確認し、トンネリングプロトコルまたは政策基盤ルーティング(PBR;Policy Based Routing)技術を含むルーティング技術群から選択されるルーティング技術を用いて、有害情報遮断サービス加入者のトラフィックを非加入者のトラフィックと分離して上記有害情報遮断システムPoP決定ステップで決定された所定の有害情報遮断システムPoPへ上記加入者のトラフィックを転送するステップであり、有害情報遮断サービス加入者パケット分析ステップ(S500)は、上記有害情報遮断サービス加入者トラフィック分離転送ステップで、加入者制御装置により分離されて所定の有害情報遮断システムPoPに集中された加入者トラフィックをパケットミラーリング装置を用いてミラーリングし、ミラーリングされたパケットを分析し、有害情報制御リストDBサーバーからリアルタイムに更新された有害情報DBと比較して、加入者パケットが有害情報を要請するか否かを判断するステップであり、有害情報遮断ステップ(S600)は、上記サービス加入者パケット分析ステップで、サービス加入者のパケットが有害情報を要請すると判断される場合、サービス加入者端末へ遮断メッセージを転送し、そしてサービス加入者が接続しようとしたサーバーには接続終了メッセージを転送し、サービス加入者のパケットが有害情報を要請しない正常なパケットである場合、上記ミラーリングされたパケットを廃棄することによって、正常なインターネットが可能であるようにするステップである。
本発明に係る方法発明は、図8に図示された、より望ましい第2実施形態であって、有害情報遮断システムPoP決定ステップ(S300)で、一つの有害情報遮断システムPoPが決定されない場合、加入者制御装置300は、有害情報遮断サービス加入者トラフィックをサービス非加入者のトラフィック経路を通じてインターネットへ転送するように経路を変更する基本インターネット接続維持ステップ(S700)を更に含んでなる方法を提供する。
以上、本発明を望ましい実施形態を参照して詳細に説明したが、本発明が属する技術分野の当業者は、本発明がその技術的思想や必須的な特徴を変更せず、他の具体的な形態で実施できるので、前述した実施形態は全ての点で例示的なものであり、限定的なものでないことと理解すべきである。
そして、本発明の範囲は、上記の詳細な説明よりは特許請求範囲により特定されるものであり、特許請求範囲の意味及び範囲、そしてその等価概念から導出される全ての変更または変形された形態が本発明の権利範囲に含まれることと解されるべきである。
100 加入者アクセス網
110 加入者アクセス装置
200 有害情報制御リストDBサーバー
300 加入者制御装置
310 認証サーバー
320 加入者トラフィック分離転送制御部
320A 有害情報遮断システムPoP決定部
400(400a、400b、400c) 有害情報遮断システムPoP
500 有害情報遮断システムPoP監視装置
110 加入者アクセス装置
200 有害情報制御リストDBサーバー
300 加入者制御装置
310 認証サーバー
320 加入者トラフィック分離転送制御部
320A 有害情報遮断システムPoP決定部
400(400a、400b、400c) 有害情報遮断システムPoP
500 有害情報遮断システムPoP監視装置
Claims (17)
- 加入者アクセス装置を含んでなる加入者アクセス網を通じてインターネットサービス加入者のトラフィックをインターネットに連結するISP網であって、
遮断対象となる有害情報に対する制御リストをリアルタイムに多数個の有害情報遮断システムPoPに転送する有害情報制御リストDBサーバーと、
有害情報遮断サービス加入者のトラフィックを分離して、多数個の有害情報遮断システムPoPの中から選択された一つの有害情報遮断システムPoPへ転送するように制御する加入者トラフィック分離転送制御部を含んでなる加入者制御装置と、
ISPのバックボーンに位置して前記加入者制御装置により分離された有害情報遮断サービス加入者のトラフィックをミラーリング装置を通じて収集し、有害情報制御リストDBサーバーからリアルタイムまたは周期的にアップデートされた有害情報DBと比較分析して、サービス加入者の要請パケットが有害情報に対する接続要請を含んでいるか否かを判断し、有害情報接続のための要請パケットと判断される場合、有害情報への接続を遮断する機能を遂行するように構成される多数個の有害情報遮断システムPoPと、
前記多数個の有害情報遮断システムPoPの現在の状態をモニタリングして、各々の有害情報遮断システムPoPの定常動作有無などの状態情報をチェックし、その結果を前記加入者制御装置へ転送する有害情報遮断システムPoP監視装置を含んでなり、そして、
前記加入者制御装置の加入者トラフィック分離転送制御部は、前記有害情報遮断システムPoP監視装置から受信した多数個の有害情報遮断システムPoPの状態情報に基づいて一つの有害情報遮断システムPoPを決定し、有害情報遮断サービス加入者のトラフィックが加入者アクセス網の加入者アクセス装置から前記決定された有害情報遮断システムPoPへ転送されるように構成されることを特徴とするISP網における有害情報接続遮断システム。 - ISPにおいて、加入者の有害情報遮断サービス加入の有無を判断する認証サーバーが前記加入者アクセス網に連結されて設置されることを特徴とする請求項1記載のISP網における有害情報接続遮断システム。
- 前記加入者制御装置は、ISPで加入者の有害情報遮断サービス加入の有無を判断する認証サーバーを含んでなることを特徴とする請求項1記載のISP網における有害情報接続遮断システム。
- 前記加入者制御装置が前記加入者アクセス網内に統合設置されることを特徴とする請求項1記載のISP網における有害情報接続遮断システム。
- 前記有害情報遮断システムPoP監視装置が前記加入者制御装置と共に前記加入者アクセス網内に統合設置されることを特徴とする請求項4記載のISP網における有害情報接続遮断システム。
- 前記有害情報遮断システムPoPは、前記加入者アクセス装置が有害情報遮断サービス加入者のトラフィックをトンネリングまたはPBRなどを用いて転送する場合に、これを受信して処理する加入者接続装置と、該有害情報遮断サービス加入者のトラフィックが有害情報に接近するか否かを判断する有害情報遮断装置から構成されることを特徴とする請求項1記載のISP網における有害情報接続遮断システム。
- 前記有害情報遮断装置は、
前記加入者接続装置へ転送された有害情報遮断サービス加入者のトラフィックがISPバックボーンへ転送され、これと共にパケットミラーリングされるようにするパケットミラーリング装置と、
前記パケットミラーリング装置によりミラーリングされたパケットをフィルタリングするためのものであって、2つ以上のパケットフィルタリングスイッチを含んでなるパケットフィルタリング装置と、
2つ以上のパケットフィルタリングスイッチを一つの活性(Active)スイッチと残りの待機(Standby)スイッチとに区分して決定するパケットフィルタリングスイッチ監視装置を含んでなることを特徴とする請求項6記載のISP網における有害情報接続遮断システム。 - 前記パケットフィルタリングスイッチ監視装置は、活性(Active)スイッチ及び待機(Standby)スイッチの定常動作の可否をSNMP、ICMPなどを用いて周期的に確認し、前記活性(Active)スイッチの障害時に前記待機(Standby)スイッチが活性(Active)スイッチに変更設定されるように構成されることを特徴とする請求項7記載のISP網における有害情報接続遮断システム。
- 前記加入者制御装置の加入者トラフィック分離転送制御部は、前記有害情報遮断システムPoP監視装置から受信した多数個の有害情報遮断システムPoPの状態情報に基づいて一つの有害情報遮断システムPoPを決定するために有害情報遮断システムPoP決定部を含んで構成され、そして、
前記有害情報遮断システムPoP決定部は、前記有害情報遮断システムPoP監視装置から転送された有害情報遮断システムPoPの状態情報を用いて各々の有害情報遮断システムPoPに対する位置情報及び状態情報などを維持するデータベースと、
有害情報遮断サービス加入者インターネット接続の度に、またはパケット転送の度に、前記データベースの各PoP別位置情報及び状態情報を用いて一つの有害情報遮断システムPoPを選択するための負荷分割アルゴリズムを含んでなることを特徴とする請求項1乃至8のうち、いずれか1項記載のISP網における有害情報接続遮断システム。 - 前記有害情報遮断システムPoPの位置情報は、遮断システムPoPの代表IP住所であり、そして前記有害情報遮断システムPoPの状態情報は、各PoP別加入者接続量、トラフィック処理量、パケット処理遅延時間、障害の可否を含んでなる状態情報群から選択される一つ以上の状態情報であることを特徴とする請求項9記載のISP網における有害情報接続遮断システム。
- 前記負荷分割アルゴリズムは、
有害情報遮断サービス加入者と有害情報遮断システムPoPまでのネットワーク上の距離及び経路上のネットワーク状態、有害情報遮断システムの現在加入者及びトラフィック収容率などを含んだ因子から一つの有害情報遮断システムPoPが選択され、そして、
管理者が手動で一つの有害情報遮断システムPoPを設定できるように構成されることを特徴とする請求項9記載のISP網における有害情報接続遮断システム。 - 前記加入者制御装置の加入者トラフィック分離転送制御部は、前記有害情報遮断システムPoP監視装置から受信した多数個の有害情報遮断システムPoPの位置情報及び状態情報に基づいて一つの有害情報遮断システムPoPを決定できない場合に有害情報遮断サービス加入者のトラフィックを有害情報遮断サービス非加入者のトラフィック経路を通じて転送するように構成されることを特徴とする請求項1乃至8のうち、いずれか1項記載のISP網における有害情報接続遮断システム。
- ISP網における有害情報の接続を遮断するための方法であって、
加入者がオンラインまたはオフラインを通じてISPに有害情報遮断サービス加入を要請すれば、該加入者の有害情報遮断サービス加入情報が加入者制御装置に登録される加入者情報登録ステップと、
多数個の有害情報遮断システムPoPの現在の状態を監視する有害情報遮断システム監視装置が各々の有害情報遮断システムPoPの位置情報と状態情報をチェックし、その結果を前記加入者制御装置へ転送する有害情報遮断システムPoP監視情報転送ステップと、
多数個の有害情報遮断システムPoPの位置情報と現在の状態に関する状態情報を転送された後、加入者制御装置が多数個の有害情報遮断システムPoPの中から一つの有害情報遮断システムPoPを選択して決定する有害情報遮断システムPoP決定ステップと、
加入者インターネット接続時、あるいはパケット転送時、加入者制御装置は、該加入者が有害情報遮断サービス加入者であるか否かを確認し、トンネリングプロトコル、または政策基盤ルーティング技術を含むルーティング技術群から選択されるルーティング技術を用いて有害情報遮断サービス加入者のトラフィックを非加入者のトラフィックと分離して、前記有害情報遮断システムPoP決定ステップで決定された所定の有害情報遮断システムPoPへ前記加入者のトラフィックを転送する有害情報遮断サービス加入者トラフィック分離転送ステップと、
前記有害情報遮断サービス加入者トラフィック分離転送ステップで、加入者制御装置により分離されて所定の有害情報遮断システムPoPに集中した加入者トラフィックをパケットミラーリング装置を用いてミラーリングし、ミラーリングされたパケットを分析し、有害情報制御リストDBサーバーからリアルタイムに更新された有害情報DBと比較して、加入者パケットが有害情報を要請するか否かを判断する有害情報遮断サービス加入者パケット分析ステップと、
前記サービス加入者パケット分析ステップで、サービス加入者のパケットが有害情報を要請すると判断される場合、サービス加入者端末へ遮断メッセージを転送し、そしてサービス加入者が接続しようとしたサーバーには接続終了メッセージを転送し、サービス加入者のパケットが有害情報を要請しない正常なパケットである場合、前記ミラーリングされたパケットを廃棄することによって、正常なインターネットが可能であるようにする有害情報遮断ステップと、
を含んでなることを特徴とするISP網における有害情報接続遮断方法。 - 前記有害情報遮断システムPoP決定ステップで、一つの有害情報遮断システムPoPが決定できない場合、加入者制御装置は、有害情報遮断サービス加入者トラフィックをサービス非加入者のトラフィック経路を通じてインターネットへ転送するように経路を変更する基本インターネット接続維持ステップを更に含んでなることを特徴とする請求項13記載のISP網における有害情報接続遮断方法。
- 前記有害情報遮断システムPoP決定ステップは、有害情報遮断システムPoP監視装置から転送された有害情報遮断システムPoPの状態情報を用いて、各々の有害情報遮断システムPoPに対する位置情報及び状態情報などをデータベースに維持し、有害情報遮断サービス加入者インターネット接続の度に、またはパケット転送の度に前記データベースの各PoP別位置情報及び状態情報及び負荷分割アルゴリズムを用いて、一つの有害情報遮断システムPoPを選択することを特徴とする請求項13または14記載のISP網における有害情報接続遮断方法。
- 前記有害情報遮断システムPoPの位置情報は、遮断システムPoPの代表IP住所であり、そして前記有害情報遮断システムPoPの状態情報は、各PoP別加入者接続量、トラフィック処理量、パケット処理遅延時間、障害の可否を含んでなる状態情報群から選択される一つ以上の状態情報であることを特徴とする請求項15記載のISP網における有害情報接続遮断方法。
- 前記負荷分割アルゴリズムは、
有害情報遮断サービス加入者と有害情報遮断システムPoPまでのネットワーク上の距離及び経路上のネットワーク状態、有害情報遮断システムの現在加入者及びトラフィック収容率などを含んだ因子から一つの有害情報遮断システムPoPが選択されるように構成され、そして管理者が手動で一つの有害情報遮断システムPoPを設定できるように構成されることを特徴とする請求項15記載のISP網における有害情報接続遮断方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070006265A KR100882339B1 (ko) | 2007-01-19 | 2007-01-19 | Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법 |
| PCT/KR2007/000649 WO2008088101A1 (en) | 2007-01-19 | 2007-02-07 | System and method for blocking the connection to the harmful information in a internet service provider network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009523397A true JP2009523397A (ja) | 2009-06-18 |
| JP4592798B2 JP4592798B2 (ja) | 2010-12-08 |
Family
ID=38090913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008554129A Expired - Fee Related JP4592798B2 (ja) | 2007-01-19 | 2007-02-07 | Isp網における有害情報接続遮断システム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP4592798B2 (ja) |
| KR (1) | KR100882339B1 (ja) |
| CN (1) | CN101611396B (ja) |
| GB (1) | GB2445805B (ja) |
| WO (1) | WO2008088101A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011071265A2 (en) * | 2009-12-08 | 2011-06-16 | Samsung Electronics Co., Ltd. | Method and apparatus for using service of plurality of internet service providers |
| CN102648603A (zh) * | 2009-12-08 | 2012-08-22 | 三星电子株式会社 | 使用多个互联网服务提供商的服务的方法及设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102025296B1 (ko) * | 2012-10-05 | 2019-09-25 | 주식회사 케이티 | 콘텐츠 경로 우회 서버 및 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000330897A (ja) * | 1999-05-17 | 2000-11-30 | Nec Corp | ファイアウォール負荷分散システム、ファイアウォール負荷分散方法および記録媒体 |
| JP2003532184A (ja) * | 2000-04-21 | 2003-10-28 | プランティー−ネット、リミテッド | インターネットにおける有害サイトヘの接続を遮断する装置および方法 |
| JP2005518762A (ja) * | 2002-02-26 | 2005-06-23 | ネットピア・ドット・コム・インコーポレイテッド | ネットワーク接続遮断システム及びその方法 |
| JP2006054770A (ja) * | 2004-08-16 | 2006-02-23 | Yokogawa Electric Corp | ファイアウォール装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6601084B1 (en) * | 1997-12-19 | 2003-07-29 | Avaya Technology Corp. | Dynamic load balancer for multiple network servers |
| KR100684986B1 (ko) * | 1999-12-31 | 2007-02-22 | 주식회사 잉카인터넷 | 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법 |
| KR100418446B1 (ko) * | 2001-03-20 | 2004-02-14 | (주) 세이프아이 | 유해사이트 접속 차단 방법과 장치 그리고 그를 위한 랜카드 |
| KR100457975B1 (ko) * | 2001-03-21 | 2004-11-18 | 주식회사 플랜티넷 | 사용자 아이디에 의한 유해 사이트의 접속 차단 서비스제공 장치 및방법 |
| KR100443461B1 (ko) * | 2002-02-26 | 2004-08-09 | 주식회사 플랜티넷 | 터널링 프로토콜을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 방법 |
| KR100472087B1 (ko) * | 2002-03-19 | 2005-03-09 | 주식회사 플랜티넷 | 패킷 미러링 방식을 이용한 유해사이트 접속차단 서비스시스템 및 그방법 |
| US20040177277A1 (en) * | 2002-12-24 | 2004-09-09 | Kt Corporation | Apparatus and method for blocking harmful internet site |
| KR100478899B1 (ko) | 2003-12-29 | 2005-03-24 | 주식회사 플랜티넷 | 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법 |
| KR100604604B1 (ko) * | 2004-06-21 | 2006-07-24 | 엘지엔시스(주) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 |
| KR100611933B1 (ko) * | 2004-11-05 | 2006-08-11 | 주식회사 플랜티넷 | 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법 |
-
2007
- 2007-01-19 KR KR1020070006265A patent/KR100882339B1/ko active IP Right Grant
- 2007-02-07 JP JP2008554129A patent/JP4592798B2/ja not_active Expired - Fee Related
- 2007-02-07 WO PCT/KR2007/000649 patent/WO2008088101A1/en active Application Filing
- 2007-02-07 CN CN200780050122XA patent/CN101611396B/zh not_active Expired - Fee Related
- 2007-04-04 GB GB0706656A patent/GB2445805B/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000330897A (ja) * | 1999-05-17 | 2000-11-30 | Nec Corp | ファイアウォール負荷分散システム、ファイアウォール負荷分散方法および記録媒体 |
| JP2003532184A (ja) * | 2000-04-21 | 2003-10-28 | プランティー−ネット、リミテッド | インターネットにおける有害サイトヘの接続を遮断する装置および方法 |
| JP2005518762A (ja) * | 2002-02-26 | 2005-06-23 | ネットピア・ドット・コム・インコーポレイテッド | ネットワーク接続遮断システム及びその方法 |
| JP2006054770A (ja) * | 2004-08-16 | 2006-02-23 | Yokogawa Electric Corp | ファイアウォール装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011071265A2 (en) * | 2009-12-08 | 2011-06-16 | Samsung Electronics Co., Ltd. | Method and apparatus for using service of plurality of internet service providers |
| WO2011071265A3 (en) * | 2009-12-08 | 2011-11-10 | Samsung Electronics Co., Ltd. | Method and apparatus for using service of plurality of internet service providers |
| CN102648603A (zh) * | 2009-12-08 | 2012-08-22 | 三星电子株式会社 | 使用多个互联网服务提供商的服务的方法及设备 |
| CN102648603B (zh) * | 2009-12-08 | 2016-01-20 | 三星电子株式会社 | 使用多个互联网服务提供商的服务的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4592798B2 (ja) | 2010-12-08 |
| GB2445805B (en) | 2009-06-24 |
| GB0706656D0 (en) | 2007-05-16 |
| KR100882339B1 (ko) | 2009-02-17 |
| KR20090000158A (ko) | 2009-01-07 |
| WO2008088101A1 (en) | 2008-07-24 |
| CN101611396A (zh) | 2009-12-23 |
| CN101611396B (zh) | 2012-01-18 |
| GB2445805A (en) | 2008-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9380111B2 (en) | Feature peer network with scalable state information | |
| US9258323B1 (en) | Distributed filtering for networks | |
| US7694011B2 (en) | Techniques for load balancing over a cluster of subscriber-aware application servers | |
| US9001671B2 (en) | Feature peer network representations and scalable feature peer network management | |
| US6801503B1 (en) | Progressive and distributed regulation of selected network traffic destined for a network node | |
| EP2351330A2 (en) | Deterministic session load-balancing and redundancy of access servers in a computer network | |
| EP1260061A2 (en) | System and method for flow mirroring in a network switch | |
| WO2009082978A1 (fr) | Procédé de protection de réseau d'accès, système et nœud de bord d'accès | |
| EP2209267A1 (en) | A system and a method for routing data traffic | |
| KR100516917B1 (ko) | 네트워크 상에서 사용자 세션수 제어를 통한 서버 폭주제어시스템 및 그 방법 | |
| WO2014146541A1 (zh) | Cdn与网络融合系统、调度模块选定方法及计算机存储介质 | |
| JP4592798B2 (ja) | Isp網における有害情報接続遮断システム及び方法 | |
| JP4099108B2 (ja) | ネットワーク及びサーバの負荷低減ルータ | |
| Moubarak et al. | Design and implementation of BGP novel control mechanism (BGP-NCM) based on network performance parameters | |
| CN113676399A (zh) | 服务接入网关动态智选方法和基于云网融合的网络系统 | |
| CN111901428B (zh) | 一种基于广域医疗云的多租户接入系统 | |
| Cisco | Overview of Layer 3 Switching and Software Features | |
| Sudarshan et al. | Review of protocols used in enterprise networks | |
| Cisco | Configuring Data-Link Switching Plus+ | |
| Cisco | Overview of Layer 3 Switching and Software Features | |
| Cisco | Overview of LocalDirector | |
| Cisco | Server Load Balancing | |
| CN116170389B (zh) | 业务容器引流方法、系统及计算机集群 | |
| Cheng et al. | Constructing high-performance firewall load-balancing clusters: practical experience and novel ideas | |
| Abrar et al. | Reliability and Load Handling Problem in Internet Service Provider’s Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090908 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20091203 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20091210 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100204 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100308 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100914 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130924 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |