KR100478899B1 - 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법 - Google Patents

터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법 Download PDF

Info

Publication number
KR100478899B1
KR100478899B1 KR1020030099029A KR20030099029A KR100478899B1 KR 100478899 B1 KR100478899 B1 KR 100478899B1 KR 1020030099029 A KR1020030099029 A KR 1020030099029A KR 20030099029 A KR20030099029 A KR 20030099029A KR 100478899 B1 KR100478899 B1 KR 100478899B1
Authority
KR
South Korea
Prior art keywords
blocking
subscriber
access
service
harmful site
Prior art date
Application number
KR1020030099029A
Other languages
English (en)
Inventor
김성국
오채형
Original Assignee
주식회사 플랜티넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 플랜티넷 filed Critical 주식회사 플랜티넷
Priority to KR1020030099029A priority Critical patent/KR100478899B1/ko
Priority to TW093104048A priority patent/TWI262002B/zh
Priority to CNA2004100031928A priority patent/CN1638330A/zh
Application granted granted Critical
Publication of KR100478899B1 publication Critical patent/KR100478899B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 터널링 프로토콜 및 패킷 미러링 모드을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법에 관한 것으로서, 보다 상세하게는 인터넷 가입자에 대하여 선택적으로 유해사이트 접속차단 서비스를 제공시, 가입자들의 요청에 의해 음란, 도박 사이트 등을 포함하는 유해사이트에 대한 접속을 효율적으로 차단하기 위해서 인터넷 트래픽에 대하여 L2TP(Layer2 Tunneling Protocol), GRE(Generic Routing Encapsulation), MPLS(Multi Protocol Label Switching), IPSec(IP Security Protocol)의 터널링 프로토콜을 이용하여 유해차단 서비스 가입자와 비가입자를 분류해서 유해사이트 접속차단 기능을 제공하고, 시스템의 과부하로 유해차단시스템의 장애가 발생시 네트워크 부하에 영향을 주지않는 패킷 미러링 모드(Packet Mirroring Mode)가 구동되어 유해사이트 차단서비스를 제공하는데 그 목적이 있다.

Description

터널링 프로토콜 및 패킷 미러링 모드을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법{The system and service providing method for harmful site connection interception service by using tunneling protocol and packet mirroring mode}
본 발명은 터널링 프로토콜 및 패킷 미러링 모드와 ACL 구성을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법에 관한 것으로, 특히 터널링 프로토콜(Tunneling Protocol) 및 패킷 미러링 모드를 이용하여 유해차단서비스 가입자로 인증된 사용자들에게는 유해사이트 접속차단 서비스를 제공하고 그렇지 않은 사용자에게는 일반적인 인터넷 서비스를 제공하도록 한 유해사이트 접속차단 서비스 시스템 및 그 서비스 방법에 관한 것이다.
도 1 은 종래의 유해사이트 접속차단 시스템의 구성도로서, 이를 참조하여 설명하면 다음과 같다.
모든 트래픽이 차단시스템 내의 L4(Layer4) 스위치(30)를 거쳐 라우팅 되고, 초고속 인터넷 트래픽은 유해사이트 접속차단 가입자(20)와 비가입자(10)의 구분없이 차단 시스템내의 L4 스위치(30)로 입력되어 가입자(20)와 비가입자(10) 구분 후 비가입자(10)의 트래픽은 인터넷으로 직접 접속되고, 가입자(20)의 트래픽은 L4 스위치(30)에서 정해진 룰(rule)에 따라서 차단서버(40a)(40b)로 인가되고 필터링된 후 인터넷에 접속된다.
이로 인하여 차단서비스에 대한 가입자(20) 및 비가입자(10) 구분없이 L4 스위치(30)로 많은 부하가 걸리게 되어 장애가 발생될 수 있다.
이와같이, 종래에는 차단서비스에 대한 가입자와 비가입자 구분없이 모든 트래픽이 L4 스위치로 집중되어 L4 스위치에 많은 부담을 주는 문제점이 발생하였다.
본 발명은 상기한 바와 같은 종래의 문제점들을 개선시키기 위하여 창안된 것으로서, 터널링 프로토콜을 이용하여 차단서비스에 대한 가입자와 비가입자의 트래픽을 별도로 분리함으로써 비가입자의 트래픽은 인터넷으로 연결시키고 가입자의 트래픽만을 한 곳으로 모아서 차단시스템으로 통과하도록 하고 또한 인터넷 사용자의 트래픽에 전혀 영향을 주지 않고 차단서비스를 제공하고 차단시스템에 장애가 발생하더라도 인터넷을 사용하는 데는 아무런 지장이 없도록 하는데 그 목적이 있다.
상기 목적을 달성하기 위한 기술적인 구성으로서,
본 발명 유해사이트 접속차단 서비스 시스템은,
유해사이트 접속차단 서비스에 대한 사용자 ID를 체크하여 서비스 가입자 ID와 비가입자 ID를 분류하여 라우팅을 수행하는 액세스서버(NAS)와, 초고속 인터넷 사용자와 유해사이트 접속차단 서비스 가입자 ID에 대해 인증 기능을 수행하는 인증서버와, L2TP(Layer2 Tunneling Protocol)와 GRE(Generic Routing Encapsulation) 및 MPLS(Multi Protocol Label Switching) 그리고 IPSec(IP Security Protocol)의 터널링 프로토콜을 이용하여 인터넷 트래픽의 라우팅 기능을 수행하는 라우터와, 유해사이트 접속차단 기능을 수행하는 차단시스템을 포함하여 구성된 것을 특징으로 한다.
본 발명 유해사이트 접속차단 서비스 방법은,
유해사이트 접속차단 서비스 가입 후 서비스 가입자 ID 를 부여하여 접속을 시도하는 단계와, 인터넷 사용자 ID 가 인증되면 인증서버에 의해 유해사이트 접속차단 서비스 가입자와 비가입자 ID를 체크하고 인증되지 않으면 인터넷 접속이 허용되지 않는 단계와, 차단 대상 ID 인 경우 터널링 프로토콜을 이용하여 유해사이트가 접속되면 사용자에게 차단 메시지를 전송하고 접속되지 않으면 인터넷 서핑(surfing)을 한 후 종료하거나 상기 유해사이트 접속시도 단계로 되돌아가는 단계와, 터널링 이용시 시스템의 과부하가 발생하여 정상적인 구동이 어려울 경우 패킷 미러링 모드가 구동되는 단계와, 비차단 대상 ID 인 경우 인터넷 서핑을 한 후 종료하는 단계를 포함하여 이루어지는 것을 특징으로 한다.
이하, 본 발명의 바람직한 일실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.
먼저, 본 발명에 따른 터널링 프로토콜에 개략적인 내용을 살펴보면 다음과 같다.
터널링 기술은 송신자와 수신자 사이에 터널을 뚫어서 제3자의 접근을 막는 비밀통로를 만드는 데, 이때 송신자가 보내는 데이터를 캡슐화해서 수신자외에는 알아 볼수 없도록 데이터를 전송하는 기술을 말한다.
특히, 터널링은 어떠한 페이로드(Payload)라도 수용할 수 있고, 여러 사용자가 동시에 여러 형태의 페이로드를 액세스할 수 있으며, 다중 프로토콜처리, 확실한 인증, 무결성등의 보안서비스가 우수한 장점을 가진다.
그래서 본 발명에서는 이러한 L2TP(Layer2 Tunneling Protocol), GRE(Generic Routing Encapsulation), MPLS(Multi Protocol Label Switching), IPSec(IP Security Protocol)의 터널링 프로토콜을 이용하여 유해사이트 접속차단 서비스 시스템을 구성하기로 한다.
도 2는 본 발명에 따른 L2TP 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템의 구성도를 도시한 것으로, 이는 유해사이트 접속차단 서비스에 대한 사용자 ID를 체크하여 서비스 가입자 ID(110)와 비가입자 ID(100)를 분류하여 라우팅을 수행하는 액세스서버(NAS)(120)와, 초고속 인터넷 사용자와 유해사이트 접속차단 서비스 가입자 ID에 대해 인증 기능을 수행하는 인증서버(130)와, 인터넷 트래픽의 라우팅 기능을 수행하는 라우터(LNS)(140,140-1)와, 유해사이트 접속차단 기능을 수행하는 차단시스템(150)으로 구성된 것으로, 이를 참조하여 설명하면 다음과 같다.
각각의 NAS(Network Access Server)(120)는 L2TP(Layer2 Tunneling Protocol)터널을 통하여 차단 대상 ID의 트래픽을 LNS(Layer2 tunneling protocol Network Server)(140-1)로 보내주고, 상기 LNS(140-1)에서는 차단시스템(150)으로 라우팅을 수행한다.
인터넷 접속 가입자가 유해사이트에 대한 차단 요청시, 가입자가 인터넷 접속을 시도하면 액세스 서버(NAS)(120)에서는 인증서버(130)에 의해 서비스 가입자 인증을 받고 LNS(140-1)를 거쳐 차단시스템(150)으로 라우팅 하는데, 이 과정에서 NAS(120)와 LNS(140-1)사이에서는 L2TP터널이 생성되고 이것을 통해 가입자의 트래픽을 라우팅한다.
유해차단서비스 비가입자인 경우에는 가입자가 인터넷에 접속을 시도하면 액세스 서버(NAS)(120)에서는 인증서버에 의해 서비스 비가입자임을 인증 후, 다른 라우터를 통해 인터넷이나 일반 서비스를 이용한다.
부연하여, POP(Point of Presence)에 위치하여 가입자의 트래픽을 받아서 라우팅하고 인터넷으로부터 입력된 트래픽을 가입자에게 Point-to-Point 형식으로 집선하는 액세스 서버(NAS)에 L2TP(Layer2 Tunneling Protocol)가 구동되어 LAC(Layer2 tunneling protocol Access Concentrator)로 동작하고, 상기 LAC로 동작하는 NAS(Network Access Server)로부터 터널을 통하여 연결되는 LNS용 라우터가 있으며 이것은 LAC의 종단 장치가 된다. 이 종단 장치는 LNS이다.
인증서버(RADIUS)(130)는 인터넷 서비스 사용과 유해사이트 접속차단 서비스의 사용자 ID에 대한 인증 기능을 제공하고, 유해사이트 접속차단 시스템(150)은 L4 스위치(151)와 차단서버(152)로 구성되어 차단 기능을 수행한다.
이상 설명한 것처럼 L2TP 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은 NAS에 LAC를 적용하고 라우터를 LNS로서 구동하여 LNS에 유해 차단 서비스 시스템을 적용하고, 유해사이트 접속차단 대상 ID는 인증을 거친 후 NAS와 LNS 사이의 L2TP 터널을 이용하여 데이터를 전송하여 차단시스템으로 라우팅하는 방식을 채택한다.
다음으로, 도 3은 본 발명에 따른 GRE 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템의 구성도를 도시한 것으로, 이는 유해사이트 접속차단 서비스에 대한 사용자 ID를 체크하여 서비스 가입자 ID(110)와 비가입자 ID(100)를 분류하여 라우팅을 수행하는 액세스서버(NAS)(120a)와, 초고속 인터넷 사용자와 유해사이트 접속차단 서비스 가입자 ID에 대해 인증 기능을 수행하는 인증서버(130)와, 인터넷 트래픽의 라우팅 기능을 수행하는 라우터(GRE End Point)(140,140-1)와, 유해사이트 접속차단 기능을 수행하는 차단시스템(150)으로 구성된 것으로, 이를 참조하여 설명하면 다음과 같다.
각각의 NAS(Network Access Server)(120a)는 GRE Start Point로 동작하여 GRE(Generic Routing Encapsulation)터널을 통하여 차단 대상 ID의 트래픽을 GRE packet으로 encapsulation하여 GRE End Point로 보내주고, 상기 GRE End Point에서는 GRE packet을 해석하여 차단시스템으로 라우팅을 수행한다.
인터넷 접속 가입자가 유해사이트에 대한 차단 요청시, 가입자가 인터넷 접속을 시도하면 네트워크 액세스 서버(NAS)(120a)에서는 인증서버(130)에 의해 서비스 가입자 인증을 받고 GRE End Point를 거쳐 차단시스템(150)으로 라우팅 하는데, 이 과정에서 GRE Start Point로 동작하는 NAS(120a)와 GRE End Point로 동작하는 라우터 사이에서는 GRE터널이 생성되고 이것을 통해 가입자의 트래픽을 라우팅한다. 이 때 GRE터널에는 차단서비스를 위해 가입자의 업트래픽만이 통과하게 되며 다운 트래픽은 차단서비스 비가입자와 동일한 경로를 사용하기 때문에 차단시스템과 GRE터널을 통과하지 않는다.
유해차단서비스 비가입자인 경우에는 가입자가 인터넷에 접속을 시도하면 액세스 서버(NAS)(120a)에서는 인증서버(130)에 의해 서비스 비가입자임을 인증 후, 라우터(140)를 통해 인터넷이나 일반 서비스를 이용한다.
이상 설명한 것처럼 GRE 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은 NAS(120a)에 GRE Start Point를 적용하고 라우터(140)를 GRE End Point로서 구동하여 GRE End Point에 유해 차단 서비스 시스템(150)을 적용하고, 유해사이트 접속차단 대상 ID는 인증을 거친 후 GRE Start Point(액세스 서버)(120a)와 GRE End Point 사이의 GRE 터널을 이용하여 데이터를 전송하여 차단시스템(150)으로 라우팅하는 방식을 채택한다.
다음으로, 도 4는 본 발명에 따른 MPLS 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템의 구성도를 도시한 것으로, 이는 유해사이트 접속차단 서비스에 대한 사용자 ID를 체크하여 서비스 가입자 ID(110)와 비가입자 ID(100)를 분류하여 라우팅을 수행하는 액세스서버(NAS)(120b)와, 초고속 인터넷 사용자와 유해사이트 접속차단 서비스 가입자 ID에 대해 인증 기능을 수행하는 인증서버(130)와, 인터넷 트래픽의 라우팅 기능을 수행하는 라우터(MPLS End Point)(140-2)와, 유해사이트 접속차단 기능을 수행하는 차단시스템(150)으로 구성된 것으로, 이를 참조하여 설명하면 다음과 같다.
각각의 NAS(Network Access Server)(120b)는 MPLS Start Point로 동작하여 MPLS(Multi Protocol Label Switching)터널을 통하여 차단 대상 ID의 트래픽을 MPLS packet으로 encapsulation하여 MPLS End Point로 보내주고, 그 MPLS End Point에서는 MPLS packet을 해석하여 차단시스템으로 라우팅을 수행한다.
인터넷 접속 가입자가 유해사이트에 대한 차단 요청시, 가입자가 인터넷 접속을 시도하면 네트워크 액세스 서버(NAS)(120b)에서는 인증서버(130)에 의해 서비스 가입자 인증을 받고 MPLS End Point를 거쳐 차단시스템(150)으로 라우팅 하는데, 이 과정에서 MPLS Start Point로 동작하는 NAS(120b)와 MPLS End Point로 동작하는 라우터 사이에서는 MPLS터널이 생성되고 이것을 통해 가입자의 트래픽을 라우팅한다. 이 때 MPLS터널에는 차단서비스를 위해 가입자의 업트래픽만이 통과하게 되며 다운 트래픽은 차단서비스 비가입자와 동일한 경로를 사용하기 때문에 차단시스템과 MPLS터널을 통과하지 않는다.
유해차단서비스 비가입자인 경우에는 가입자가 인터넷에 접속을 시도하면 액세스 서버(NAS)(120b)에서는 인증서버(130)에 의해 서비스 비가입자임을 인증 후, 라우터(140)를 통해 인터넷이나 일반 서비스를 이용한다.
이상 설명한 것처럼 MPLS 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은 NAS(120b)에 MPLS Start Point를 적용하고 라우터(140-2)를 MPLS End Point로서 구동하여 MPLS End Point에 유해 차단 서비스 시스템(150)을 적용하고, 유해사이트 접속차단 대상 ID는 인증을 거친 후 MPLS Start Point(액세스 서버)(120b)와 MPLS End Point 사이의 MPLS 터널을 이용하여 데이터를 전송하여 차단시스템(150)으로 라우팅하는 방식을 채택한다.
다음으로, 도 5은 본 발명에 따른 IPSec(IP Security Protocol) 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템의 구성도를 나타낸다.
IPSec은 터널모드(Tunnel mode)와 전송모드(Transport mode)의 두 가지로 구성되는데, 그 터널모드는 한 차단시스템에서 다른 차단시스템으로 안전한 정보를 전송하기 위하여 IPv4 패킷을 안전한 IP 프레임으로 캡슐화 하고, 그 전송모드에서는 끝점에서 끝점(차단시스템이 보호하는 내부망내의 한 지점)으로 안전하게 전송될 수 있도록 정보를 캡슐화 한다.
이러한 특징을 이용하여 본 발명에 따른 IPSec(IP Security Protocol) 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은,
유해사이트 접속차단 서비스에 대한 사용자 ID를 체크하여 서비스 가입자 ID(110)와 비가입자 ID(100)를 분류하여 라우팅을 수행하는 액세스서버(NAS)(120c)와, 초고속 인터넷 사용자와 유해사이트 접속차단 서비스 가입자 ID에 대해 인증 기능을 수행하는 인증서버(130)와, 인터넷 트래픽의 라우팅 기능을 수행하는 라우터(End to End Point)(140,140-3)와, 유해사이트 접속차단 기능을 수행하는 차단시스템(150)으로 구성된 것으로, 이를 참조하여 설명하면 다음과 같다.
각각의 NAS(Network Access Server)(120c)는 먼저, 터널모드로 동작하여 차단 대상 ID의 트래픽을 IPv4 패킷을 통해 안전한 IP 프레임으로 캡슐화하고, 다음으로 전송모드가 동작하여 끝점(차단시스템이 보호하는 내부망내의 한 지점)으로 보내주고, 다른 일측의 끝점에서는 IPv4 패킷을 해석하여 차단시스템(150)으로 전송을 수행한다.
즉, 인터넷 접속 가입자가 유해사이트에 대한 차단 요청시, 가입자가 인터넷 접속을 시도하면 네트워크 액세스 서버(NAS)(120c)에서는 인증서버에 의해 서비스 가입자 인증을 받고 끝점에서 끝점(End to End Point)을 거쳐 차단시스템(150)으로 전송하는데, 이 과정에서 끝점(End Point)으로 동작하는 NAS(120c)와 끝점(End Point)으로 동작하는 라우터(140-3) 사이에서는 터널모드에서 생성된 IPv4 패킷을 통해 가입자의 트래픽을 전송한다. 이 때 터널모드에는 차단서비스를 위해 가입자의 업트래픽만이 통과하게 되며 다운 트래픽은 차단서비스 비가입자와 동일한 경로를 사용하기 때문에 차단시스템과 터널모드를 통과시키지 못하게 된다.
그리고, 유해차단서비스 비가입자인 경우에는 가입자가 인터넷에 접속을 시도하면 액세스 서버(NAS)(120c)에서는 인증서버(130)에 의해 서비스 비가입자임을 인증 후, 라우터(140)를 통해 인터넷이나 일반 서비스를 이용한다.
이상 설명한 것처럼 IPSec 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은 NAS(120c)에 끝점(End Point)를 적용하고 라우터(140-3)에 NAS의 끝점과 상응하는 끝점(End Point)를 구동하여 유해 차단 서비스 시스템(150)을 적용하고, 유해사이트 접속차단 대상 ID는 인증을 거친 후 끝점(액세스 서버)과 끝점 사이의 IPSec 터널을 이용하여 데이터를 전송하여 차단시스템(150)으로 전송하는 방식을 채택한다.
하지만, 이러한 IPSec(IP Security Protocol) 터널링 프로토콜을 이용한 유해사이트 접속차단 시스템은 터널모드 작동시 IPv4 패킷에 기반하기 때문에 시스템의 과부하를 가져올 수가 있다.
이러한 시스템의 과부하로 유해차단시스템의 장애가 발생할 경우, 네트워크 부하에 영향을 주지않고 차단서비스를 제공하기 위한 패킷 미러링 모드(Packet Mirroring Mode)가 구동되도록 한다.
패킷 미러링 모드(Packet Mirroring Mode)는 유해사이트 접속차단을 수행하는 백본스위치(230)와, 그 백본스위치(230)와 라우터(210)사이에 광케이블로 전송되는 트래픽을 미러링(mirroring) 하기위한 미러링장비(220)와, 미러링 된 트래픽을 전송받아 차단기능을 수행하는 차단시스템(240)을 포함하여 이루어진 것을 특징으로 한다. 또한, 미러링장비(220)는 미러링 탭(Mirroring Tab) 또는 허브(Hub)로 구성된 것을 특징으로 한다.
한 실시예로 도 6 은 본 발명에 따른 패킷 미러링 모드(Packet Mirroring Mode)를 이용한 유해사이트 접속차단 시스템의 구성도를 나타낸다. 이는 백본스위치장비(230)와 라우터(210)사이에 광케이블로 전송되는 트래픽을 미러링(mirroring) 하기위한 허브(HUB) 또는 미러링 탭(Mirroring Tab)등의 미러링장비(220)로 구성되고, 그 허브(HUB) 또는 미러링(Mirroring Tab)에서 미러링 된 트래픽을 전송받아 차단기능을 수행할 유해차단스위치(241)와 차단서버(242)로 구성된 유해사이트 차단 시스템(240)으로 이루어진다.
상기 라우터(GSR)(210)는 유해사이트 접속차단 서비스에 대한  인터넷 트래픽의 라우팅 기능을 수행하고, 미러링장비(220)는 광케이블로 전송되는 트래픽을 중간에서 mirroring하며, 차단 시스템(240)은 유해사이트 접속차단 기능을 수행한다.
상기 미러링 탭(Mirroring Tab)은 광케이블을 통해 전송되는 모든 트래픽을 미러링(mirroring)하여 차단시스템으로 전송한다. 차단시스템내의 유해차단 스위치에서는 차단 대상 IP를 ACL(access control list)를 이용하여 구분하고 차단서버로 전송하며 차단서버에서는 유해사이트 접속의 경우 유해사이트차단 패킷을 스위치로 전송하여 유해사이트 접속차단을 수행한다.
본 발명에 따른 IPSec(IP Security Protocol) 터널링 프로토콜 작동시 시스템의 과부하가 발생되면 초고속 인터넷 망에서 미러링 탭(Mirroring Tab)이나 허브(Hub)등의 미러링장비를 이용한 미러링 모드가 구동되어 모든 인터넷 사용자의 트래픽을 미러링(mirroring)하여 소스 IP에 의해 유해사이트 접속 차단 가입자인지 비가입자인지 구분 한 후, 비가입자의 트래픽은 폐기하고, 가입자의 트래픽은 차단시스템을 통과시켜 유해사이트 접속차단 서비스를 제공한다.
또다른 실시예로 도7은 도 6에서 설명한 패킷 미러링 모드(Packet Mirroring Mode)를 이용한 유해사이트 접속차단 서비스를 L3 스위치를 이용하는 방식의 네트워크 구성도로서, 이에 도시된 바와같이 백본스위치장비(230)와 라우터(210)사이에 광케이블로 전송되는 트래픽을 미러링(mirroring) 하기위한 허브(HUB) 또는 미러링 탭(Mirroring Tab) 등의 미러링장비(220)로 구성되고, 상기 허브(HUB) 또는 미러링 탭(Mirroring Tab)에서 미러링 된 트래픽을 전송받아 가입자의 트래픽을 구분하는 집선라우터(250)와 IP필터링 라우터(260)로 구성되고, 상기 집선라우터(250)와 IP필터링 라우터(260)에서 트래픽을 전송받아 차단기능을 수행할 스위치와 차단서버로 구성된 유해사이트 차단 시스템(240)으로 이루어진다.
상기 라우터(GSR)(210)는 유해사이트 접속차단 서비스에 대한  인터넷 트래픽의 라우팅 기능을 수행하고, 미러링 장비(220)는 광케이블로 전송되는 트래픽을 중간에서 미러링(mirroring)하며, 차단 시스템(230)은 유해사이트 접속차단 기능을 수행한다.
상기 미러링 탭(Mirroring Tab)은 광케이블을 통해 전송되는 모든 트래픽을 미러링(mirroring) 하여 복사된 트래픽의 MA을 집선라우터의 포트에 설정하고 유입된 트래픽에 PBR을 적용하여 라우팅하고 라우팅 경로를 따라 집선라우터와 IP필터링 라우터를 거쳐서 가입자의 웹 트래픽만 차단시스템으로 전송한다. 차단시스템내의 유해차단 스위치에서는 전달 받은 트래픽을 차단서버로 전송하며 차단서버에서는 유해사이트 접속의 경우 유해사이트 차단 패킷을 스위치로 전송하여 유해사이트 접속차단을 수행한다.
즉, 초고속 인터넷 망에서 Giga Tab이나 Hub등의 미러링장비를 이용하여 모든 인터넷 사용자의 트래픽을 mirroring하여 IP를 참조하여 트래픽을 라우팅하고 집선라우터와 IP필터링 라우터를 이용하여 가입자의 웹 트래픽만을 차단시스템에 통과시켜 유해사이트 접속차단 서비스를 제공한다.
도 8 은 본 발명에 따른 유해사이트 접속차단 서비스의 흐름도로서, 이의 진행과정을 설명하면 다음과 같다.
인증서버에 의해 유해차단 접속서비스에 대한 가입자 ID와 비가입자 ID를 체크하게 된다(S300~S310).
유해사이트 접속차단 서비스 가입자로 인증되는 경우에는 차단 서비스 가입자로 인증 후(S320~S330), 터널링을 이용하여 차단시스템에 접속하게 되고(S340) 그렇지 않은 경우에는 일반 또는 별도의 특정 서비스 가입자로 인식되어 NAS에 의해 다른 트래픽 경로를 따른다(S335).
이때 터널링 이용시 시스템의 과부하로 인해 유해차단시스템이 제대로 구동되지 않을 경우, 패킷 미러링 모드가 구동된다(S350).
이러한 차단시스템을 거치게 된 서비스 가입자는 접속하려는 사이트가 유해사이트일 경우 접속차단 메시지를 사용자에게 전송한다(S360~S370).
또한, 유해사이트 접속차단 서비스 가입자가 아닌 것으로 인증되는 경우에는 인터넷 즉시 인터넷 접속이 허용된다(S380).
부연하여, 차단 대상 ID의 사용자가 접속하고자 하는 사이트의 콘텐츠가 유해한 경우에는 그 접속을 차단하여 가입자에게 접속차단 메시지를 전달하고 유해하지 않은 경우에는 사이트 접속을 허용한다(S380).
이와같이 본 발명은 터널링 프로토콜을 이용하여 차단서비스에 대한 가입자와 비가입자의 트래픽을 별도로 분리함으로써 비가입자의 트래픽은 인터넷으로 바로 연결시키고, 가입자의 트래픽만을 한 곳으로 모아서 차단시스템으로 통과하도록 한다.
도 9는 도8에서 터널링 이용시 시스템의 과부하로 인해 유해차단시스템이 제대로 구동되지 않을 경우, 본 발명에 따른 패킷 미러링 모드를 이용한 유해사이트 접속차단 서비스의 흐름도를 나타낸다.
먼저, 모든 트래픽은 백본스위치를 통하여 광케이블로 전송이 되고 중간에 mirroring장비로 모든 트래픽을 mirroring 하게 된다(S351).
그리고, mirroring 패킷은 차단시스템에서 차단대상IP와 비차단대상IP의 분류에 따라 비차단대상의 IP 패킷은 버리고 차단대상의 IP 패킷만을 차단서버로 전송한다(S351∼S355).
그리고, 차단대상 IP가 유해사이트 접속을 시도하였다면 접속 차단 메시지를 사용자에게 전송하고, 그렇지 않은 경우에는 IP 패킷을 버린다.(S355~357)
한편, 가입자가 접속하려는 사이트가 유해 사이트이면 차단가입자 IP인지를 확인한뒤 차단 가입자 IP면 차단메세지를 전송하고 종료시키고, 그렇지 않으면 인터넷 접속을 허용한다.(S358∼S360-1).
이처럼 패킷 미러링 모드를 이용한 본 발명은 Mirroring된 패킷의 IP를 체크하여 차단 대상 IP인지 비차단 대상 IP 인지를 결정하여 차단 대상 IP의 패킷만을 차단서버로 전송하는 스위치장비의 ACL(Access control list)을 적용하여 차단서비스를 제공할 수가 있다.
또한, 본 발명은 차단시스템에서 스위치장비로 차단 패킷을 보내어 차단 대상 IP 의 사용자가 접속하고자 하는 사이트의 컨텐츠에 따라 그 접속을 차단하거나 연결하는 기능을 수행하는 packet의 목적지 IP 주소에 따른 인증별 다른 트래픽 처리를 할 수가 있다.
이상에서 설명한 바와 같이 본 발명은, 터널링 프로토콜을 이용하여 유해사이트 접속차단 서비스 가입자들만의 트래픽을 집중시킬 수 있으므로 서비스 가입자들에게는 유해사이트 접속차단 서비스를 제공하고 그렇지 않은 사용자에게는 일반적인 인터넷 서비스를 제공하여 비가입자의 트래픽에 전혀 영향을 주지 않으며 가입자의 트래픽 처리 효율을 향상시킬수 있고, 또한 IPSec(IP Security Protocol) 터널링 프로토콜의 작동시 과부하가 발생되어도 패킷 미러링 모드가 구동되어 사용자로 하여금 보다 안전한 유해사이트 접속차단 서비스를 제공할 수가 있다.
도 1 은 종래의 유해사이트 접속차단 시스템의 구성도.
도 2 는 본 발명에 따른 L2TP를 이용한 유해사이트 접속차단 서비스의 네트워크 구성도.
도 3 은 본 발명에 따른 GRE를 이용한 유해사이트 접속차단 서비스의 네트워크 구성도.
도 4 는 본 발명에 따른 MPLS를 이용한 유해사이트 접속차단 서비스의 네트워크 구성도.
도 5 는 본 발명에 따른 IPSec를 이용한 유해사이트 접속차단 서비스의 네트워크 구성도,
도 6 은 본 발명에 따른 유해사이트 접속차단 방법중 패킷 미러링 모드를 이용하여 차단 시스템에 보내는 구성도,
도 7 는 본 발명에 따른 패킷 미러링 모드(Packet Mirroring Mode)를 이용한유해사이트 접속차단 서비스를 L3 스위치를 이용하는 방식의 네트워크 구성도
도 8 은 본 발명에 따른 유해사이트 접속차단 방법중에 가입자의 인증부터 가입자 트래픽이 차단시스템에 보내어져 처리되는 흐름도,
도 9 는 본 발명에 따른 패킷 미러링 모드를 통한 유해사이트 접속차단
<도면의 주요부호의 설명>
100 : 가입자 110 : 비가입자
120,120a,120b,120c : NAS 130 : 인증서버
140-1,140-2,140-2 : 라우터 150 : 차단시스템
151 : L4스위치 52 : 차단서버
210 : 가입자 라우터 220 : 미러링 장비
230 : 백본스위치 240 : 유해차단시스템
241 : 유해차단스위치 242 : 차단서버

Claims (10)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 유해사이트 접속차단 서비스 가입 후 서비스 가입자 ID 를 부여하여 접속을 시도하는 단계(S300~S310)와,
    초고속 인터넷 사용자 ID 가 인증되면 인증서버에 의해 유해사이트 접속차단 서비스 가입자와 비가입자 ID 를 체크하고 인증되지 않으면 인터넷 접속이 허용되지 않는 단계(S320~S330)와,
    차단 대상 ID 인 경우 터널링을 이용하여 유해사이트가 접속되면 사용자에게 차단 메시지를 전송하고 접속되지 않으면 인터넷 서핑(surfing)을 한 후 종료하거나 상기 유해사이트 접속시도 단계로 되돌아가는 단계(S340,S360,S370,S380)와,
    터널링 이용시 시스템의 과부하로 인한 장애가 발생하여 정상적인 구동이 어려울 경우 패킷 미러링 모드가 구동되는 단계(S350)와,
    비차단 대상 ID 인 경우 인터넷 서핑을 한 후 종료하는 단계(S335)를 포함하여 이루어지는 것에 있어서,
    상기 터널링 이용시 시스템의 과부하로 인한 장애가 발생하여 정상적인 구동이 어려울 경우 패킷 미러링 모드의 구동은,
    모든 트래픽이 백본스위치를 통하여 광케이블로 전송이 되고 중간에 mirroring장비로 모든 트래픽이 mirroring 되도록 하는 단계(S351)와,
    mirroring 패킷을 통해 차단시스템에서 차단대상IP와 비차단대상IP의 분류에 따라 비차단대상의 IP 패킷은 버리고 차단대상의 IP 패킷만을 차단서버로 전송하는 단계(S351∼S355)와,
    그 차단대상 IP가 유해사이트 접속을 시도하였다면 접속 차단 메시지를 사용자에게 전송하고, 그렇지 않은 경우에는 IP 패킷을 버리는(S355~357)단계와,
    상기 S351단계에서 가입자가 접속하려는 사이트가 유해 사이트이면 차단가입자 IP인지를 확인한뒤, 차단 가입자 IP면 차단메세지를 전송하고 종료시키고, 그렇지 않으면 인터넷 접속을 허용하는 단계(S358∼S360-1)로 이루어지는 것을 특징으로 하는 터널링 프로토콜 및 패킷 미러링 모드을 이용한 유해사이트 접속차단 서비스 방법.
  10. 삭제
KR1020030099029A 2003-12-29 2003-12-29 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법 KR100478899B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020030099029A KR100478899B1 (ko) 2003-12-29 2003-12-29 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법
TW093104048A TWI262002B (en) 2003-12-29 2004-02-19 System and method for providing service of blocking connection to harmful sites by using tunneling protocol and packet mirroring scheme
CNA2004100031928A CN1638330A (zh) 2003-12-29 2004-02-26 用于提供有害站点连接阻拦服务的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030099029A KR100478899B1 (ko) 2003-12-29 2003-12-29 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법

Publications (1)

Publication Number Publication Date
KR100478899B1 true KR100478899B1 (ko) 2005-03-24

Family

ID=34858636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030099029A KR100478899B1 (ko) 2003-12-29 2003-12-29 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법

Country Status (3)

Country Link
KR (1) KR100478899B1 (ko)
CN (1) CN1638330A (ko)
TW (1) TWI262002B (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2445805A (en) * 2007-01-19 2008-07-23 Planty Net Co Ltd Blocking connection to harmful information in an internet service provider network
CN103123731A (zh) * 2011-11-21 2013-05-29 青海省电力公司信息通信公司 基于3g通信无线网络进行流动售电系统

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI326417B (en) 2006-06-01 2010-06-21 Ind Tech Res Inst System and method for recognizing offloaded packet
TW201006175A (en) 2008-07-31 2010-02-01 Ibm Method, apparatus, and computer program product for testing a network system
US20240048506A1 (en) * 2022-08-08 2024-02-08 Bank Of America Corporation System and method for autonomous conversion of a resource format using machine learning

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2445805A (en) * 2007-01-19 2008-07-23 Planty Net Co Ltd Blocking connection to harmful information in an internet service provider network
KR100882339B1 (ko) 2007-01-19 2009-02-17 주식회사 플랜티넷 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법
GB2445805B (en) * 2007-01-19 2009-06-24 Planty Net Co Ltd System and method for blocking connection to harmful information in an internet service provider network
CN103123731A (zh) * 2011-11-21 2013-05-29 青海省电力公司信息通信公司 基于3g通信无线网络进行流动售电系统

Also Published As

Publication number Publication date
CN1638330A (zh) 2005-07-13
TW200522612A (en) 2005-07-01
TWI262002B (en) 2006-09-11

Similar Documents

Publication Publication Date Title
US7467408B1 (en) Method and apparatus for capturing and filtering datagrams for network security monitoring
EP1463239B1 (en) Method and apparatus for protection of network infrastructure and for secure communication of control information
US9258323B1 (en) Distributed filtering for networks
US8819213B2 (en) System, method and apparatus for traffic mirror setup, service and security in communication networks
US8339959B1 (en) Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane
US7499395B2 (en) BFD rate-limiting and automatic session activation
US7765309B2 (en) Wireless provisioning device
US7356596B2 (en) Protecting networks from access link flooding attacks
EP1465368B1 (en) Traffic monitoring system in a packet switched network with wireless connected data aggregation node
US7756022B1 (en) Secure hidden route in a data network
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US10887212B2 (en) System, method and apparatus for traffic mirror setup, service and security in communication networks
CA2511997A1 (en) Mitigating denial of service attacks
WO2008080314A1 (fr) Procédé, moteur de retransmission et dispositif de communication pour la commande d&#39;accès aux messages
US8964766B2 (en) Session relay equipment and session relay method
US7761508B2 (en) Access device-based fragmentation and interleaving support for tunneled communication sessions
KR100478899B1 (ko) 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법
CN113726729A (zh) 一种基于双向引流的网站安全防护方法及系统
KR200201184Y1 (ko) 네트워크 모니터링을 위한 네트워크 시스템
CN113556273A (zh) 一种三网云互通系统的数据传输方法
US20050237946A1 (en) Suppression of router advertisement
KR100443461B1 (ko) 터널링 프로토콜을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 방법
CN110071905A (zh) 用于提供连接的方法、边界网络以及ip服务器
Cisco Configuring Unicast Reverse Path Forwarding

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130315

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140310

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150306

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190318

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20200309

Year of fee payment: 16