KR100882339B1 - Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법 - Google Patents

Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법 Download PDF

Info

Publication number
KR100882339B1
KR100882339B1 KR1020070006265A KR20070006265A KR100882339B1 KR 100882339 B1 KR100882339 B1 KR 100882339B1 KR 1020070006265 A KR1020070006265 A KR 1020070006265A KR 20070006265 A KR20070006265 A KR 20070006265A KR 100882339 B1 KR100882339 B1 KR 100882339B1
Authority
KR
South Korea
Prior art keywords
harmful information
subscriber
blocking system
harmful
pop
Prior art date
Application number
KR1020070006265A
Other languages
English (en)
Other versions
KR20090000158A (ko
Inventor
오채형
강덕호
Original Assignee
주식회사 플랜티넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 플랜티넷 filed Critical 주식회사 플랜티넷
Priority to KR1020070006265A priority Critical patent/KR100882339B1/ko
Priority to PCT/KR2007/000649 priority patent/WO2008088101A1/en
Priority to CN200780050122XA priority patent/CN101611396B/zh
Priority to JP2008554129A priority patent/JP4592798B2/ja
Priority to GB0706656A priority patent/GB2445805B/en
Publication of KR20090000158A publication Critical patent/KR20090000158A/ko
Application granted granted Critical
Publication of KR100882339B1 publication Critical patent/KR100882339B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Abstract

본 발명은 가입자 억세스 장치를 포함하여 이루어지는 가입자 억세스 망을 통하여 인터넷 서비스 가입자의 트래픽을 인터넷으로 연결하는 ISP 망에서, ISP에서 유해정보 차단서비스 가입자의 트래픽을 분리하여 다수개의 유해정보 차단 시스템 PoP들 중에서 선택된 하나의 유해정보 차단 시스템 PoP으로 전송하도록 제어하는 가입자 트래픽 분리 전송 제어부를 포함하여 이루어지는 가입자 제어장치와, 상기 다수개의 유해정보 차단 시스템 PoP의 현재 상태를 모니터링하여 각각의 유해정보 차단 시스템 PoP의 정상 동작 유무 등의 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 유해정보 차단 시스템 PoP 감시 장치를 포함하여 이루어지는 ISP 망에서의 유해정보 접속 차단 시스템을 제공함으로써, 유해정보 차단 서비스의 가입자가 증가하여도 안정적인 유해정보 차단 서비스 제공이 가능하며, 나아가 다중화된 유해정보 차단 시스템 PoP에 장애가 발생하는 경우에도 유해정보 차단 서비스 가입자의 기본 인터넷 서비스에도 전혀 영향을 미치지 않을 수 있도록 한다.
유해정보 차단 서비스, 유해사이트, 음란사이트, 네트워크 차단

Description

ISP 망에서 유해정보 접속 차단 시스템 및 차단 방법{SYSTEM AND METHOD FOR BLOCKING THE CONNECTION TO THE HARMFUL INFORMATION IN A INTERNET SERVICE PROVIDER NETWORK}
도 1은 ISP 망의 L4 스위치에 서비스 가입자의 트래픽과 서비스 비가입자의 트래픽이 모두 처리되는 유형의 유해정보 차단 서비스를 제공하는 종래기술의 구성도이다.
도 2는 ISP 망에서 서비스 가입자의 트래픽을 서비스 비가입자의 트래픽으로부터 분리하여 유해정보 차단 서비스를 제공하는 종래기술의 구성도이다.
도 3은 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 시스템의 전체 구성의 일 실시예를 도시한 도면이다.
도 4는 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 시스템을 구성하는 가입자 제어장치의 상세 구성도이다.
도 5는 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 시스템을 구성하는 유해정보 차단 시스템 PoP의 상세 구성도이다.
도 6은 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 시스템의 전체 구성의 다른 실시예를 도시한 도면이다.
도 7은 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 방법의 전체적인 흐름을 도시한 흐름도이다.
도 8은 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 방법의 보다 바람직한 실시예를 도시한 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
100 : 가입자 억세스 망 110 : 가입자 억세스 장치
200 : 유해정보 제어목록 DB 서버 300 : 가입자 제어 장치
310 : 인증 서버 320 : 가입자 트래픽 분리 전송 제어부
320A : 유해정보 차단 시스템 PoP 결정부
400; 400a, 400b, 400c : 유해정보 차단 시스템 PoP
500 : 유해정보 차단 시스템 PoP 감시장치
본 발명은 가입자의 요청에 의해 가입자 컴퓨터가 HTTP 프로토콜을 이용하여 유해사이트 URL을 통하여 유해정보에 접속하거나 P2P, 웹 하드 등과 같은 파일 공유 서비스 또는 메신저 등의 전용 어플리케이션을 통하여 제공되는 유해정보에 대하여 접속하는 것을 차단하기 위한 ISP 망 내에서의 유해정보 접속 차단 장치 및 차단 방법에 관한 것이며, 다중화된 ISP의 유해정보 차단 시스템 PoP(Point of Presence)에서 선택적으로 할당된 유해정보 차단 시스템 PoP을 통하여 유해정보 차단 서비스 가입자의 트래픽에서 유해정보 접속을 차단하는 것에 기초한 ISP 망에서 유해정보 접속 차단 시스템 및 차단 방법에 관한 것이다.
현재 인터넷에는 수를 헤아릴 수 없을 정도로 엄청나게 많은 유해정보들이 존재하며, 이러한 유해정보들은 포르노 사이트와 같은 특정의 웹 사이트 뿐만 아니라 P2P, 웹 하드, 메신저 등과 같을 파일 공유 수단을 이용하여 널리 유포되어서 청소년들까지도 쉽게 접속하는 것이 가능한 상황이 되고 있다.
지금까지 이러한 인터넷에 존재하는 다양한 유해정보에 특정 사용자가 사용하는 컴퓨터가 접속하는 것을 차단하기 위한 다양한 방법이나 장치들이 해결책으로 제안되고 있으나 이러한 해결책들 대부분은 자체 기능에 제한이 많거나 이러한 해결책을 채용하는 것이 또 다른 문제점을 유발하는 등의 한계성을 가지고 있다.
현재 사용되고 있는 유해정보 차단 방식을 살펴보면 크게 세가지 방식으로 분류할 수 있는데, 첫 번째 방식으로는 사용자의 클라이언트 PC에 유해정보 차단 가능을 수행하는 소프트웨어를 설치하는 클라이언트 방식이 있으며, 두 번째 방식으로 유해정보 차단 서버를 각 학교나 기업, 단체의 LAN에 설치하여 차단하는 차단 서버 방식이 있으며, 그리고 이러한 첫 번째 방식과 두 번째 방식을 혼합한 세 번째 방식으로서 가입자의 PC에 소프트웨어적으로 프록시(Proxy) 기능을 설정하고 가입자 LAN이나 공중망에 프록시(Proxy)형 차단 서버를 설치함으로써 사용자 컴퓨터가 인터넷에 접속하고자 하는 경우에 유해정보 차단을 기능을 구비한 차단 서버를 통하도록 함으로써 유해정보에 접근하는 것을 차단하는 방식으로 이루어지고 있다.
전술한 첫 번째 방식의 경우는 주로 가정용 PC에서 사용되는 형태로서 청소년들이 인터넷을 통하여 유해 사이트, P2P, 웹 하드 등과 같은 유해정보에 대하여 접속하는 것을 제한하기 위해서는 가입자 PC에 차단 소프트웨어가 반드시 설치되어 있어야 하는 근본적인 불편함이 있으며, 또한 이러한 방법은 가입자 PC의 운영체제(OS) 및 웹 브라우져 환경에 의존적이며, 만일 가입자 PC에 설치된 차단 소프트웨어가 삭제되는 경우에는 요구되는 차단 작용이 수행되지 않기에 가정에서 차단 소프트웨어에 대한 부모의 관리가 지속적으로 필요하다는 단점이 있다.
두 번째 방식의 경우는 주로 학교나 단체에서 서버 관리자가 유해정보 차단 서버를 관리해야 하므로, 시간과 비용의 낭비가 많으며 따로 전담 관리자를 두어야 한다는 단점이 있다.
그리고 세번째 방식의 경우는 정상적인 작동을 위하여 가입자 PC에 프록시(Proxy)를 설정함으로써 가입자 PC 설정이 먼저 변경되는 절차를 거쳐야 하며, 가입자 증가시에는 차단 서버에 많은 부하가 집중되어서 패킷 처리가 지연됨으로써 가입자의 인터넷 속도가 현저히 감소하여 대규모 가입자를 수용하기에는 부적합하며, 첫 번째 경우와 유사하게 가입자 PC에서 소프트웨어가 삭제되거나 또는 프록시(Proxy) 설정이 다르게 변경될 경우에는 실질적인 유해정보 차단이 이루어지지 않는다는 단점이 있다.
한편, 유해 사이트를 차단하는 기타 방식으로 캐시 서버에서 차단하는 캐싱 방식 또는 인터넷 게이트웨이 장비에 차단할 IP 필터 목록을 지정하여 차단하는 라우터 필터링 방식이 있는데 이 경우 차단 성공율이나 안정성이 낮고 인터넷 속도 저하의 문제점을 일으킨다.
상기한 종래의 일반적인 기술들이 가지는 문제점들을 해결하기 위해 ISP(Internet Service Provider) 중앙 제어에 의해 가입자에게 유해사이트 차단 서비스를 제공하는 네크워크 차단 방식이 소개되었는데, 이러한 네트워크 차단 방식은 ISP 망에 유해정보 차단 시스템 PoP을 두어서 사용자가 유해 사이트에 접속을 시도할 때 사용자의 요청 패킷을 유해 사이트 DB와 비교하여 접속을 차단하는 형식으로 차단 성공율이 높으며, 사용자 임의로 소프트웨어를 삭제하는 방법으로 회피하는 것이 불가하며, 고객(학교, 기업 등)이 별도 관리자를 둘 필요가 없으며, 인터넷 속도의 저하도 없고, 유해 사이트 DB의 업데이트도 실시간으로 가능하며, 차단 안정성이 우수하고, 그리고 리라우팅(Rerouting) 기능도 보유하게 되므로 상당히 유효한 해결책이 되었다.
그러나, 이러한 네트워크 차단 방식도 초기 모델의 경우에는 도 1에 도시된 바와 같이 트래픽이 차단 시스템 내의 L4(Layer4) 스위치(30)를 거쳐 라우팅 되고, 초고속 인터넷 트래픽은 유해정보 접속 차단 서비스 가입자(20)와 비가입자(10)의 구분없이 차단 시스템 내의 L4 스위치(30)로 입력되어 서비스 가입자(20)와 서비스 비가입자(10)를 구분한 후에 비가입자(10)의 트래픽은 인터넷으로 직접 접속되고, 서비스 가입자(20)의 트래픽은 L4 스위치(30)에서 정해진 룰(rule)에 따라서 차단서버(40a)(40b)로 인가되고 필터링된 후 인터넷에 접속되도록 구성되었는데, 이로 인하여 차단서비스에 대한 서비스 가입자(20) 및 서비스 비가입자(10)의 구분없이 모든 트래픽이 L4 스위치(30)로 인가되어서 L4 스위치(30)에 많은 부하가 걸리게 되어 장애가 발생되는 문제점이 발생하였다.
이러한 초기 모델의 문제점을 해결하고 ISP 망에서 망의 안정성을 보다 높 이기 위하여 도 2에 도시된 바와 같은 시스템이 제안되었는데, 차단 시스템(80)에 장애가 발생하여도 비가입자(10) 트래픽의 인터넷 접속 서비스에까지 그 영향이 미치는 것을 방지하기 위하여, 기존망(50, 60, 70)과 독립되어 운용관리가 용이한 방식으로서 유해정보 차단 서비스를 신청한 가입자(20)의 트래픽을 억세스 망에서부터 분리하여 별도로 구축된 유해정보 차단 시스템(80; 81, 82)에서 처리하도록하는 방안이 제시되었으며, 이를 위하여 터널링 프로토콜(예컨대, 도 2에 도시된 바와 같은 L2TP 터널을 이용한 방식 등) 및 패킷 미러링(Mirroring)의 기술의 적용이 함께 제안되었다.
도 2에 도시된 종래 기술을 보다 구체적으로 살펴보면, ISP는 xDSL, Cable, 무선 인터넷, ISDN, 전용선 등과 같은 다양한 억세스 망을 통하여 인터넷 서비스를 가입자에게 제공하며, 인터넷 서비스를 제공받는 인터넷 서비스 가입자는 ISP가 추가적으로 제공하는 유해정보 차단 서비스에 가입신청만 함으로써 자신의 PC에 어떠한 설정도 변화시킬 필요없이 유해정보 차단 서비스를 제공받을 수 있다. 가입자가 유해정보 차단 서비스를 신청하면 ISP는 가입자 제어장치에 유해정보 차단 서비스 가입자의 가입자 정보(MAC Address 또는 ID/Password)를 입력하고, 가입자 제어장치는 유해정보 차단 서비스 가입자가 인터넷에 접속하거나 또는 인터넷을 사용하기 위해 패킷을 전송할 때 가입자(20)와 비가입자(10)의 트래픽을 구분하고 각각의 경로를 분리하여 전송하게 된다. 예컨대 도 2에 도시된 바와 같은 L2TP(Layer 2 Tunneling Protocol) 등과 같은 터널링 프로토콜(Tunneling Protocol)을 이용하여 유해정보 차단 서비스 가입자의 트래픽(트래픽)은 유해정보 차단 서비스 비가입자 의 트래픽과 분리되어서 유해정보 차단 시스템 PoP(80)까지 전송되는데, ISP 구조에 따라 터널링 프로토콜(Tunneling Protocol)이 아닌 PBR(Policy Based Routing) 기술을 이용하여 유해정보 차단 서비스 가입자와 유해정보 차단 서비스 비가입자의 트래픽을 분리 전송할 수도 있다.
유해정보 차단 서비스 가입자(20) 트래픽을 패킷 형태로 전송받은 유해정보 차단시스템 PoP(80)은 패킷 미러링을 수행하여 미러링된 유해정보 차단 서비스 가입자의 패킷과 유해정보 제어목록 DB 서버로부터 실시간으로 갱신된 유해정보 DB를 상호 비교 분석하여 만약 해당 패킷이 유해정보를 요청하고 있는 경우에는 유해정보 차단 서비스 가입자의 단말에는 차단 메시지를 전송하고, 그리고 유해정보 차단 서비스 가입자가 접속하고자 했던 유해정보를 제공하는 서버로는 접속 종료 메시지를 전송함으로써 유해정보를 포함한 다운로드 트래픽이 유해정보 차단 서비스 가입자에게 전송되는 것을 방지한다. 물론, 정상적인 패킷으로 판단될 경우 미러링 방식으로 수신된 패킷을 폐기함으로써 유해정보 차단 서비스 가입자라도 정상적으로 인터넷에 접속할 수 있도록 한다.
그러나, 도 2에 도시된 방식 역시 유해정보 차단 서비스 가입자가 증가함에 따라 유해정보 차단 시스템 PoP에 집중되는 트래픽이 과다하게 집중되어 병목 현상이 발생되어서 유해정보 차단 서비스 가입자의 인터넷 속도 저하를 초래할 수 있으며, 또한 유해정보 차단 시스템 PoP을 전 지역에 걸쳐 설치해야 함으로써 구성상의 곤란한 문제점이 존재한다.
나아가, 단일화된 차단 시스템 PoP에 장애가 발생하거나 ISP 네트워크가 불 안한 경우에는 별도의 장애 복구 방법이 없어서 유해정보 차단 서비스 가입자에게는 기본 인터넷 서비스까지 제공하지 못하는 등 다양한 문제점을 도출하고 있는데, 인터넷 서비스 가입자에게 제공되는 유해정보 차단 서비스는 ISP가 인터넷 가입자에게 제공하는 기본 인터넷 서비스에 추가적으로 제공되는 부가 서비스이며, 따라서 유해정보 차단 서비스 가입자라고 하더라도 기본적인 인터넷 서비스가 원활하게 제공되는 것이 우선적으로 더욱 중요한 것임에도 불구하고, 유해정보 차단 서비스와 같은 부가 서비스와 관련된 시스템의 장애로 인하여 인터넷 속도가 저하되거나 더 나아가 인터넷 접속이 불가능하게 되어서 기본 인터넷 서비스에 나쁜 영향을 미친다면 이는 심각한 부작용을 초래할 것이다.
본 발명은 상술한 기존의 문제점을 해결하기 위하여 제안된 것으로서, 유해정보 차단 시스템 PoP을 다중화하여 구성함으로써 특정 유해정보 차단 시스템 PoP의 장애시에도 정상적으로 기본 인터넷 서비스 및 유해정보 차단 서비스를 제공받을 수 있도록 하고, 적당량의 트래픽을 각각의 유해정보 차단 시스템 PoP으로 분산함으로써 특정의 유해정보 차단 시스템 PoP에 트래픽이 과다하게 집중되는 것을 방지하여 병목 현상의 발생 가능성 낮추어서 유해정보 차단 가입자가 증가하더라도 인터넷 속도의 저하 없이 원활한 서비스를 제공받을 수 있도록 하며, 또한 특정 유해정보 차단 시스템 PoP에 장애가 발생하는 경우에도 이러한 장애를 탐지하고 장애를 복구할 때까지 다른 유해정보 차단 시스템 PoP을 이용할 수 있도록 함으로써 전체 시스템의 신뢰도를 제고할 수 있는 ISP 망에서의 유해정보 접속 차단 시스템 및 방법을 제공하는 것을 목적으로 하고 있다.
상술한 본 발명의 목적을 달성하기 위하여, 본 발명은 ISP 망에서 유해정보의 접속을 차단하기 위한 기능을 제공하는 장치들을 포함한 시스템에 관한 것으로서,
차단대상이 되는 유해정보에 대한 제어목록을 실시간으로 다수개의 유해정보 차단 시스템 PoP들로 전송하는 유해정보 제어목록 DB 서버;
유해정보 차단서비스 가입자의 트래픽을 분리하여 다수개의 유해정보 차단 시스템 PoP들 중에서 선택된 하나의 유해정보 차단 시스템 PoP으로 전송하도록 제어하는 가입자 트래픽 분리 전송 제어부를 포함하여 이루어지는 가입자 제어장치;
ISP의 백본에 위치하여 상기 가입자 제어장치에 의해 분리된 유해정보 차단서비스 가입자의 트래픽을 미러링 장치를 통하여 수집하고 유해정보 제어목록 DB 서버로부터 실시간 또는 주기적으로 업데이트된 유해정보 DB와 비교 분석하여 서비스 가입자의 요청 패킷이 유해사이트, P2P, 웹하드 등과 같은 유해정보에 접속 요청을 포함하고 있는 여부를 판단하고 유해정보 접속을 위한 요청 패킷으로 판단되는 경우 유해정보로의 접속을 차단하는 기능을 수행하도록 구성되는 다수개의 유해정보 차단 시스템 PoP; 및
상기 다수개의 유해정보 차단 시스템 PoP들의 현재 상태를 모니터링하여 각각의 유해정보 차단 시스템 PoP의 정상 동작 유무를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 유해정보 차단 시스템 PoP 감시 장치를 포함하여 이루어지 고; 그리고
상기 가입자 제어장치의 가입자 트래픽 분리 전송 제어부는 상기 유해정보 차단 시스템 PoP 감시장치로부터 수신한 다수개의 유해정보 차단 시스템 PoP의 상태 정보에 기초하여 하나의 유해정보 차단 시스템 PoP을 결정하고 유해정보 차단서비스 가입자의 트래픽을 상기 결정된 유해정보 차단 시스템 PoP으로 연결하도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템을 제공한다.
또한, 본 발명은 또 다른 발명 양태인 ISP 망에서 유해정보의 접속을 차단하기 위한 방법에 관한 것으로서,
가입자가 온라인 또는 오프라인을 통하여 ISP에게 유해정보 차단 서비스 가입을 요청하면 해당 가입자의 유해정보 차단 서비스 가입 정보가 가입자 제어장치에 등록되는 가입자 정보 등록 단계;
다수개의 유해정보 차단 시스템 PoP의 현재 상태를 감시하는 유해정보 차단 시스템 감시장치가 각각의 유해정보 차단 시스템 PoP의 위치 정보와 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 유해정보 차단 시스템 PoP 감시정보 전송 단계;
다수개의 유해정보 차단 시스템 PoP의 위치 정보와 현재 상태에 관한 상태 정보를 전송받은 후, 가입자 제어장치가 다수개의 유해정보 차단 시스템 PoP 중에서 하나의 유해정보 차단 시스템 PoP을 선택하여 결정하는 유해정보 차단 시스템 PoP 결정 단계;
가입자 인터넷 접속 시 혹은 패킷 전송 시 가입자 제어장치가 해당 가입자가 유해정보 차단 서비스 가입자인지 여부를 확인하고, 터널링 프로토콜 또는 정책기반 라우팅(PBR; Policy Based Routing) 기술을 포함하는 라우팅 기술 군으로부터 선택되는 라우팅 기술을 이용하여 유해정보 차단 서비스 가입자의 트래픽을 비가입자의 트래픽과 분리하여 상기 유해정보 차단 시스템 PoP 결정 단계에서 결정된 소정의 유해정보 차단 시스템 PoP으로 상기 가입자의 트래픽을 전송하는 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계;
상기 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계에서 가입자 제어장치에 의해 분리되어 소정의 유해정보 차단 시스템 PoP으로 집중된 가입자 트래픽을 패킷 미러링 장치를 이용하여 미러링하고, 미러링된 패킷을 분석하고 유해정보 제어목록 DB 서버로부터 실시간으로 갱신된 유해정보 DB와 비교하여 가입자 패킷이 유해정보를 요청하는지 여부를 판단하는 유해정보 차단 서비스 가입자 패킷 분석 단계; 및
상기 서비스 가입자 패킷 분석 단계에서 서비스 가입자의 패킷이 유해정보를 요청한다고 판단될 경우 서비스 가입자 단말로 차단 메세지를 전송하고 그리고 서비스 가입자가 접속하고자 했던 서버로는 접속 종료 메시지를 전송하며, 서비스 가입자의 패킷이 유해정보를 요청하지 않는 정상적인 패킷인 경우 상기 미러링된 패킷을 폐기함으로써 정상적인 인터넷이 가능하도록 하는 유해정보 차단 단계를 포함하여 이루어지는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법을 제공한다.
여기에서, 상기 유해정보 차단 시스템 PoP 결정 단계에서 하나의 유해정보 차단 시스템 PoP이 결정되지 않는 경우, 가입자 제어장치는 유해정보 차단 서비스 가입자 트래픽을 서비스 비가입자의 트래픽 경로를 통하여 인터넷으로 전송하도록 경로를 변경하는 기본 인터넷 접속 유지 단계를 추가적으로 포함하여 이루어지는 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법을 제공할 수 있다.
이하, 첨부한 도면을 참조하여 본 발명에 따른 ISP 망에서의 유해정보 접속을 차단하기 위한 시스템 발명 및 방법 발명의 구체적인 실시예들의 구성 및 작용에 대해 상세하게 설명한다.
도 3 내지 도 6을 참조하여 ISP 망에서의 유해정보 접속을 차단하기 위한 시스템의 본 발명에 따른 구체적인 실시예들을 살펴보기로 한다.
본 발명에 따른 유해정보 접속 차단 시스템의 경우에는 도 3에 도시된 일 실시예에서와 같이, 가입자 억세스 장치를 포함하여 이루어지는 가입자 억세스 망을 통하여 인터넷 서비스 가입자의 트래픽을 인터넷으로 연결하는 ISP 망에서, 차단대상이 되는 유해정보에 대한 제어목록을 실시간으로 다수개의 유해정보 차단 시스템 PoP들로 전송하는 유해정보 제어목록 DB 서버(200); 가입자 제어장치(300); 다수개(#1, #2, ...., #N)의 유해정보 차단 시스템 PoP(400; 400a, 400b, 400c 등); 및 유해정보 차단 시스템 PoP 감시 장치(500)를 포함하여 이루어진다. 보다 구체적으로 살펴보면, 상기 가입자 제어장치(300)는 도 4에 도시된 바와 같이 유해정보 차단서비스 가입자의 트래픽을 분리하여 다수개의 유해정보 차단 시스템 PoP들 중에서 선택된 하나의 유해정보 차단 시스템 PoP으로 전송하도록 제어하는 가입자 트래픽 분리 전송 제어부(320)를 포함하여 이루어지고, 그리고 다수개의 유해정보 차 단 시스템 PoP(400; 400a, 400b, 400c 등)은 ISP의 백본에 위치하여 상기 가입자 제어장치(300)에 의해 분리된 유해정보 차단서비스 가입자의 트래픽을 패킷 미러링 장치를 통하여 수집하고 유해정보 제어목록 DB 서버(200)로부터 실시간 또는 주기적으로 업데이트된 유해정보 DB와 비교 분석하여 서비스 가입자의 요청 패킷이 유해정보에 대한 접속 요청을 포함하고 있는 여부를 판단하고 유해정보 접속을 위한 요청 패킷으로 판단되는 경우 유해정보로의 접속을 차단하는 기능을 수행하도록 구성된다.
여기에서, 상기 가입자 제어장치(300)는 ISP에서 가입자의 유해정보 차단서비스 가입 유무를 판단하는 인증 기능을 분리하여 담당하는 별도의 인증 서버(310)를 포함하도록 구성될 수 있다. 한편, ISP가 가입자에게 인터넷 접속을 제공하는 방법(예컨대, ADSL, VDSL, LAN 기반, HFC 등)에 따라서 유해정보 차단서비스 가입자의 트래픽을 분리하는 다양한 방법이 선택적으로 사용될 수 있는데, 따라서 이러한 유해정보 차단서비스 가입자의 트래픽을 분리하는 가능을 담당하는 가입자 트래픽 분리 전송 제어부(320)는 도 4에 도시된 바와는 달리 가입자 억세스 망(100) 내에 통합 설치될 수도 있는데, 이 경우 가입자 트래픽 분리 전송 제어부(320)가 가입자 억세스 망(100)내의 가입자 억세스 장치(110)와 별도로 구성될 수도 있지만 본 발명의 또 다른 실시예로서 도시된 도 6과 같이 가입자 억세스 장치(110)에 통합적으로 설치될 수 있으며, 나아가 인증 서버(310)를 제외한 상기 가입자 제어장치(300) 전체, 즉 유해정보 차단 시스템 PoP 결정부(320A)를 포함한 가입자 트래픽 분리 전송 제어부(320)가 도 6에 도시된 바와 같이 가입자 억세스 망(100) 내에 통 합적으로 설치될 수도 있다.
그리고, 상기 유해정보 차단 시스템 PoP 감시 장치(500)는 다수개의 유해정보 차단 시스템 PoP의 현재 상태를 모니터링하여 각각의 유해정보 차단 시스템 PoP의 정상 동작 유무 등의 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치(300)로 전송하도록 구성된다.
상기 가입자 제어장치(300)의 가입자 트래픽 분리 전송 제어부(320)는 도 4및 도 6에 도시된 바와 같이 상기 유해정보 차단 시스템 PoP 감시장치(500)로부터 수신한 다수개의 유해정보 차단 시스템 PoP(400; 400a, 400b, 400c 등)의 상태 정보에 기초하여 하나의 유해정보 차단 시스템 PoP을 결정하기 위하여 유해정보 차단 시스템 PoP 결정부(320A)를 포함하여 구성되고, 그리고 나아가 상기 유해정보 차단 시스템 PoP 결정부(320A)는 상기 유해정보 차단 시스템 PoP 감시장치(500)로부터 전송받은 유해정보 차단 시스템 PoP의 상태 정보를 이용하여 각각의 유해정보 차단 시스템 PoP에 대한 위치 정보 및 상태 정보 등을 유지하는 데이터베이스; 및 유해정보 차단 서비스 가입자 인터넷 접속시 마다 또는 패킷 전송시 마다 상기 데이터베이스의 각 PoP별 위치 정보 및 상태 정보를 이용하여 하나의 유해정보 차단 시스템 PoP을 선택하기 위한 부하 분할 알고리즘을 포함하여 구성되는 것이 바람직하며, 그리하여 상기 유해정보 차단 시스템 PoP 감시장치(500)로부터 수신한 다수개의 유해정보 차단 시스템 PoP(400; 400a, 400b, 400c 등)의 상태 정보에 기초하여 유해정보 차단 시스템 PoP 결정부(320A)에서 하나의 유해정보 차단 시스템 PoP을 결정하고, 그리고 유해정보 차단서비스 가입자(20)의 트래픽이 가입자 억세스 망(100)의 가입자 억세스 장치(110, 예컨대 가입자 엑세스 서버)로부터 상기 결정된 유해정보 차단 시스템 PoP(400)으로 전송된다.
상기 유해정보 차단 시스템 PoP(400)은 상기 가입자 억세스 장치(110)가 유해정보 차단 서비스 가입자의 트래픽을 터널링 또는 PBR 등을 이용하여 전송할 경우에 이를 수신하여 처리하는 가입자 접속 장치(410)와, 해당 유해정보 차단 서비스 가입자의 트래픽이 유해정보에 접근하는지 여부를 판단하는 유해정보 차단 장치(420)로 구성되는데, 도면에 도시된 바와 같이 가입자 접속 터널링 종단장치가 한 개의 PoP으로 구성될 수도 있고, 이와 달리 이러한 가입자 접속장치 다수가 모여 하나의 PoP을 구성할 수도 있다.
여기에서, 상기 유해정보 차단 장치(420)는 도 5에 도시된 바와 같이, 상기 가입자 접속 장치(410)로 전송된 유해정보 차단 서비스 가입자의 트래픽이 ISP 백본으로 전송되면서 이와 동시에 패킷 미러링되도록 하는 패킷 미러링 장치(421); 상기 패킷 미러링 장치(421)에 의해 미러링된 패킷을 필터링하기 위한 것으로서 2개 이상의 패킷 필터링 스위치를 포함하여 구성되는 패킷 필터링 장치(422, 423); 및 2개 이상의 패킷 필터링 스위치들을 1개의 활성(Active) 스위치(422)와 나머지 대기(Standby) 스위치(423)로 구분하여 결정하는 패킷 필터링 스위치 감시장치(425)를 포함하여 이루어지는 것이 더욱 바람직하다.
본 발명에 따른 유해정보 접속 차단 시스템에서 특징적으로 구비하고 있는 가입자 제어장치(300)는 유해정보 차단 시스템 PoP 감시장치(500)로부터 전송받은 유해정보 차단 시스템 PoP(400)의 상태정보를 이용하여 각각의 유해정보 차단 시스 템 PoP(400a, 400b, 400c 등)에 대한 위치정보 및 현재 시스템 상황 등에 대한 DB를 유지한다. 유해정보 차단시스템 PoP(400a, 400b, 400c 등)의 위치정보는 차단시스템 PoP의 대표 IP 주소 등으로 표현될 수 있고, 현재 시스템 상황은 각 PoP별 현재 가입자 접속량(수용률), 트래픽 처리량(수용률), 패킷 처리 지연시간(Packet Latency), 시스템 장애 여부와 같은 PoP의 상세 정보를 포함할 수 있다. 가입자 제어장치(300)는 가입자 인터넷 접속시 마다 혹은 패킷 전송시 마다 상기 PoP의 상태 정보를 이용하여 자체에 구축된 부하 분할(Load Sharing) 알고리즘으로 가장 적절한 유해정보 차단 시스템 PoP을 결정하고, 이를 가입자 억세스 망(100)(억세스 장치(110)를 포함)에 알려주어서 유해정보 차단 서비스 가입자(20)의 트래픽들이 적절한 유해정보 차단 시스템 PoP으로 분산 할당될 수 있도록 한다.
상기 부하 분할 알고리즘은, 유해정보 차단 서비스 가입자와 유해정보 차단 시스템 PoP까지의 네트워크상의 거리(예컨대, Hop Count) 및 경로상의 네트워크(Network) 상태, 유해정보 차단 시스템의 현재 가입자 및 트래픽 수용율 등을 포함한 인자들로부터 하나의 유해정보 차단 시스템 PoP이 선택되고, 그리고 관리자가 수동으로 하나의 유해정보 차단 시스템 PoP을 설정할 수 있도록 구성될 수 있다.
만약 모든 유해정보 차단 시스템 PoP의 가입자 수용 용량 초과, 시스템 장애 등의 문제로 더 이상 서비스 가능한 PoP이 존재하지 않을 경우에는 가입자 제어장치(300)는 더 이상 가입자와 비가입자의 트래픽 경로를 분리하지 않고 유해정보 차단 서비스 가입자에 대해서도 비가입자와 동일하게 기본 인터넷 경로를 사용하도록 설정함으로써 가입자의 기본 인터넷 서비스에는 전혀 영향을 미치지 않도록 한다.
한편, 상기 가입자 제어장치(300)는 도 3에 도시된 일 실시예와 같이 가입자 억세스(Access) 망(100)과 별도로 분리되어 기존 ISP 가입자 인증시스템에 포함되어 제공될 수도 있지만, 본 발명의 또 다른 실시예를 도시한 도 6에 도시된 바와 같이 유해정보 차단 시스템 PoP 결정부(320A)를 포함한 가입자 트래픽 분리 전송 제어부(320)의 형태로 가입자 억세스 망(100) 내에 통합 설치될 수 있는데 이 때 경우에 따라 PBR 등의 기능으로 존재할 수도 있다. 또한 가장 적절한 유해정보 차단 시스템 PoP을 결정하는 다양한 방식이 존재할 수 있으며, 구체적인 예를 들면 다음과 같다. 유해정보 차단 시스템 PoP List DB 중에서 서비스 가능한 PoP을 순차적으로 할당하는 Round Robin 방식, 현재 접속 가입자수 또는 트래픽 량이 가장 작은 PoP으로 전송하는 Least Connection 방식, 각각의 유해정보 차단 시스템 PoP 별로 가중치를 틀리게 부여하여 특정 차단 시스템 PoP으로 가입자 접속을 더 많이 수용하게 하는 Weight 방식 등이 있으며 이러한 알고리즘은 관리자의 설정에 따라 선택 또는 변경이 가능하도록 구성하는 것이 바람직하다.
또한, 상기 유해정보 차단시스템 PoP 감시장치(500)는 각 유해정보 차단시스템 PoP에 대한 정상적인 동작 여부를 다양한 인자(Parameter)를 이용하여 실시간으로 모니터링하는데, 유해정보 차단 시스템의 모니터링에 사용되는 인자(Parameter)로는 유해정보 차단 시스템을 구성하는 각종 장치들의 정상 동작 유무, 해당 PoP의 가입자 및 트래픽 수용량(최대 수용 용량 대비 현재 수용률 등), 가입자 패킷 처리 지연시간 (Packet Latency), 및 기타 관리자가 수동으로 설정하는 정책 등과 같은 다양한 변수들을 가질 수 있다. 유해정보 차단시스템 PoP 감시장치(500)는 이렇게 측정된 정보를 가입자 제어장치(300)로 실시간으로 전송하여, 가입자 트래픽 분리 전송 제어부(320)가 가입자 트래픽 수용에 적합한 최적의 유해정보 차단 시스템 PoP을 선택하는데 이용할 수 있도록 한다. 또한 관리자는 이러한 인자(Parameter)를 변경함으로써 최적의 차단 시스템 PoP을 변경할 수도 있다. 만약 차단 시스템 PoP을 모니터링하는 중에 가입자 수용 용량 초과, 시스템 장애 등의 이유로 해당 PoP이 더 이상 가입자를 수용하는 것이 어렵다고 판단될 경우 유해정보 차단시스템 PoP 감시장치(500)는 해당 PoP에 대한 장애를 가입자 제어장치(300)로 실시간으로 전송하여 더 이상 해당 PoP으로 유해정보 차단 서비스 가입자의 트래픽을 전송하지 못하도록 함으로써 안정적인 다른 PoP을 통하여 계속적으로 유해정보 차단 서비스가 제공되거나, 모든 PoP에 장애가 발생하는 최악의 경우에도 기본 인터넷 서비스는 제공될 수 있도록 한다.
여기에서, 도 6에 도시된 바와 같이 상기 가입자 제어장치(300)가 유해정보 차단 시스템 PoP 결정부(320A)를 포함한 가입자 트래픽 분리 전송 제어부(320)의 형태로 가입자 억세스 망(100) 내에 통합 설치되는 경우에, 상기 유해정보 차단시스템 PoP 감시장치(500)도 상기 가입자 제어장치(300)와 함께 가입자 억세스 망(100) 내에 통합적으로 설치되도록 하는 것도 가능할 것이다.
도 5는 가입자 트래픽을 수신한 유해정보 차단 시스템 PoP에서 가입자의 유해정보 접속을 차단하기 위한 유해정보 차단 장치의 구성 방식에 대한 바람직한 실시예를 도시하고 있다. 본 실시예에서는 유해정보 차단에 필요한 장치를 이중화하여 구성함으로써 보다 안정적인 서비스를 제공할 수 있도록 한다.
상기 기술한 바와 같이 유해정보 차단 서비스 가입자(20)의 트래픽은 가입자 제어장치(300)에서 설정된 유해정보 차단 시스템 PoP(400)의 가입자 접속 장치(410)로 억세스 망(100)에 의해 전송된다.
가입자 접속 장치(410)로 전송된 트래픽은 다시 ISP 백본으로 전송되고 이 트래픽은 유해정보 차단 장치(420)의 패킷 미러링 장치(421)를 통하여 패킷 필터링 장치(422, 423)로 전송된다. 이때 패킷 필터링 장치(422, 423)는 안정적인 유해정보 차단을 위해 활성(Active) 스위치(422) 및 대기(Standby) 스위치(423)로 이중화 구성되고, 패킷 미러링 장치(421)는 동일한 가입자 트래픽을 상기 두개의 패킷 필터링 장치(422, 423)로 전송한다. 이중 활성(Active)으로 결정된 패킷 필터링 스위치(422)는 가입자의 패킷을 처리하여 정상적인 유해정보 차단이 되도록 하지만 대기(andby) 상태로 동작하는 패킷 필터링 스위치(423)는 수신한 가입자의 패킷을 폐기함으로써 정상적인 서비스가 가능하도록 한다. 만약 활성(Active) 스위치(422)에 장애가 발생하면 대기(Standby) 스위치(423)가 활성(Active) 스위치로 동작하여 가입자 패킷을 처리함으로써 패킷 필터링 장치 장애시에도 안정적인 유해정보 차단서비스가 가능하도록 한다. 이러한 활성(Active) 스위치(422) 및 대기(Standby) 스위치(423)를 결정하는 시스템은 스위치 감시장치(425)이다. 스위치 감시장치(425)는 미리 선언된 활성(Active) 스위치(422) 및 대기(Standby) 스위치(423)에 SNMP(Simple Network Management Protocol; 단순 네트워크 관리 프로토콜), ICMP(Internet Control Message Protocol; 인터넷 제어 메시지 프로토콜) 등을 이용하여 주기적으로 패킷 필터링 스위치의 정상동작을 확인한다. 이와 같은 모니터링 중에 활성(Active) 스위치(422)가 장애로 판단되면 스위치 감시장치(425)는 대기(Standby) 스위치(423)를 활성(Active)으로 설정 변경함으로써 정상적인 유해정보 차단이 가능하도록 한다.
패킷 필터링 스위치(422, 423)는 패킷 미러링 장치(421)로부터 수신한 가입자 패킷중 차단 서비스에 반드시 필요한 패킷들만을 분리하여 필터링하고 이를 여러 대의 차단서버(424a)들로 분배하여 전송한다. 이때 패킷 필터링 스위치(422, 423)는 차단서버(424a)에 대해 Tcp/Udp Port 감시, SNMP, ICMP, Link 상태 모니터링 등을 통하여 차단서버(424a)의 정상 동작을 실시간으로 감시하여, 특정 차단서버의 동작이 정상적이지 않을 경우 가입자의 패킷을 해당 차단서버(424a)로는 더 이상 전송하지 않음으로써 차단서버(424a)의 장애에 유연하게 대처할 수 있도록 하는 것이 바람직하다.
그리고, 도 7 및 도 8에는 본 발명에 대한 또 하나의 발명 양태인 방법 발명의 실시예들이 도시된다. 도 7에 도시된 바와 같이, 본 발명에 따른 ISP 망에서의 유해정보 접속 차단 방법 발명의 제 1실시예에서는, 가입자 정보 등록 단계(S100); 유해정보 차단 시스템 PoP 감시정보 전송 단계(S200); 유해정보 차단 시스템 PoP 결정 단계(S300); 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계(S400); 유해정보 차단 서비스 가입자 패킷 분석 단계(S500); 및 유해정보 차단 단계(S600)를 포함하여 이루어지는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법을 제공한다.
여기에서, 상기 가입자 정보 등록 단계(S100)는 가입자가 온라인 또는 오프라인을 통하여 ISP에게 유해정보 차단 서비스 가입을 요청하면 해당 가입자의 유해정보 차단 서비스 가입 정보가 가입자 제어장치에 등록되는 단계이고, 상기 유해정 보 차단 시스템 PoP 감시정보 전송 단계(S200)는 다수개의 유해정보 차단 시스템 PoP의 현재 상태를 감시하는 유해정보 차단 시스템 감시장치가 각각의 유해정보 차단 시스템 PoP의 위치 정보와 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 단계이며, 상기 유해정보 차단 시스템 PoP 결정 단계(S300)는 다수개의 유해정보 차단 시스템 PoP의 위치 정보와 현재 상태에 관한 상태 정보를 전송받은 후, 가입자 제어장치가 다수개의 유해정보 차단 시스템 PoP 중에서 하나의 유해정보 차단 시스템 PoP을 선택하여 결정하는 단계이다.
상기 유해정보 차단 시스템 PoP 결정 단계는, 유해정보 차단 시스템 PoP 감시장치로부터 전송받은 유해정보 차단 시스템 PoP의 상태 정보를 이용하여 각각의 유해정보 차단 시스템 PoP에 대한 위치 정보 및 상태 정보 등을 데이터베이스로 유지하고, 유해정보 차단 서비스 가입자 인터넷 접속시 마다 또는 패킷 전송시 마다 상기 데이터베이스의 각 PoP별 위치 정보 및 상태 정보 및 부하 분할 알고리즘을 이용하여 하나의 유해정보 차단 시스템 PoP을 선택하는 것이 바람직하다.
여기에서, 상기 유해정보 차단 시스템 PoP의 위치 정보는 차단시스템 PoP의 대표 IP 주소이고, 상기 유해정보 차단 시스템 PoP의 상태 정보는 각 PoP별 가입자 접속량, 트래픽 처리량, 패킷 처리 지연시간, 장애 여부를 포함하여 이루어지는 상태 정보군으로부터 선택되는 하나 이상의 상태 정보일 수 있으며, 그리고, 상기 부하 분할 알고리즘은 유해정보 차단 서비스 가입자와 유해정보 차단 시스템 PoP까지의 네트워크상의 거리 및 경로상의 네트워크 상태, 유해정보 차단 시스템의 현재 가입자 및 트래픽 수용율 등을 포함한 인자들로부터 하나의 유해정보 차단 시스템 PoP이 선택되도록 구성되는 것이 바람직하며, 또한 관리자가 수동으로 하나의 유해정보 차단 시스템 PoP을 설정할 수 있도록 구성되는 것이 더욱 바람직하다.
그리고, 상기 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계(S400)는 가입자 인터넷 접속 시 혹은 패킷 전송 시 가입자 제어장치가 해당 가입자가 유해정보 차단 서비스 가입자인지 여부를 확인하고, 터널링 프로토콜 또는 정책기반 라우팅(PBR; Policy Based Routing) 기술을 포함하는 라우팅 기술 군으로부터 선택되는 라우팅 기술을 이용하여 유해정보 차단 서비스 가입자의 트래픽을 비가입자의 트래픽과 분리하여 상기 유해정보 차단 시스템 PoP 결정 단계에서 결정된 소정의 유해정보 차단 시스템 PoP으로 상기 가입자의 트래픽을 전송하는 단계이고, 상기 유해정보 차단 서비스 가입자 패킷 분석 단계(S500)는 상기 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계에서 가입자 제어장치에 의해 분리되어 소정의 유해정보 차단 시스템 PoP으로 집중된 가입자 트래픽을 패킷 미러링 장치를 이용하여 미러링하고, 미러링된 패킷을 분석하고 유해정보 제어목록 DB 서버로부터 실시간으로 갱신된 유해정보 DB와 비교하여 가입자 패킷이 유해정보를 요청하는지 여부를 판단하는 단계이며, 상기 유해정보 차단 단계(S600)는 상기 서비스 가입자 패킷 분석 단계에서 서비스 가입자의 패킷이 유해정보를 요청한다고 판단될 경우 서비스 가입자 단말로 차단 메세지를 전송하고 그리고 서비스 가입자가 접속하고자 했던 서버로는 접속 종료 메시지를 전송하며, 서비스 가입자의 패킷이 유해정보를 요청하지 않는 정상적인 패킷인 경우 상기 미러링된 패킷을 폐기함으로써 정상적인 인터넷이 가능하도록 하는 단계이다.
본 발명에 따른 방법 발명은 도 8에 도시된 보다 바람직한 제 2실시예로서, 상기 유해정보 차단 시스템 PoP 결정 단계(S300)에서 하나의 유해정보 차단 시스템 PoP이 결정되지 않는 경우, 가입자 제어장치(300)는 유해정보 차단 서비스 가입자 트래픽을 서비스 비가입자의 트래픽 경로를 통하여 인터넷으로 전송하도록 경로를 변경하는 기본 인터넷 접속 유지 단계(S700)를 추가적으로 포함하여 이루어지는 방법을 제공한다.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다.
그리고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 특정되는 것이며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
상술한 바와 같이, 본 발명을 이용하면 ISP 망에서 가입자 단말(PC, PDA등)에 어떠한 변경 없이 가입자는 ISP에 가입 신청만 하는 것으로 네트워크 차단 방식으로 유해정보 차단 서비스 가입자의 유해사이트 접속이나 P2P 및 웹 하드등을 이용한 유해 파일 접속 같은 유해정보 접속을 효과적으로 차단할 수 있을 뿐만 아니 라, ISP의 백본에 여러 개의 유해정보 차단시스템 PoP을 배치하고 이들을 감시하면서 효율적으로 운용함으로써 유해정보 차단 서비스의 가입자가 증가하여도 안정적인 유해정보 차단 서비스 제공이 가능하며, 나아가 다중화된 유해정보 차단 시스템 PoP에 장애가 발생하는 경우에도 유해정보 차단 서비스 가입자의 기본 인터넷 서비스에도 전혀 영향을 미치지 않을 수 있으며, 패킷 필터링 장치와 같은 차단 장치 자체의 이중화를 통한 보다 안정적인 유해정보 차단 서비스 제공이 가능하며, ISP 입장에서는 중앙 제어에 의해 가입자를 관리하므로 유해정보 차단 서비스 제공에 따른 인력, 시간, 비용을 획기적으로 줄일 수 있다.

Claims (17)

  1. 가입자 억세스 장치를 포함하여 이루어지는 가입자 억세스 망을 통하여 인터넷 서비스 가입자의 트래픽을 인터넷으로 연결하는 ISP 망(INTERNET SERVICE PROVIDER NETWORK)에서,
    차단대상이 되는 유해정보에 대한 제어목록을 실시간으로 다수개의 유해정보 차단 시스템 PoP(Point of Presence; 상호 접속 위치)들로 전송하는 유해정보 제어목록 DB 서버;
    유해정보 차단서비스 가입자의 트래픽을 분리하여 다수개의 유해정보 차단 시스템 PoP들 중에서 선택된 하나의 유해정보 차단 시스템 PoP으로 전송하도록 제어하는 가입자 트래픽 분리 전송 제어부를 포함하여 이루어지는 가입자 제어장치;
    ISP의 백본에 위치하여 상기 가입자 제어장치에 의해 분리된 유해정보 차단서비스 가입자의 트래픽을 미러링 장치를 통하여 수집하고 유해정보 제어목록 DB 서버로부터 실시간 또는 주기적으로 업데이트된 유해정보 DB와 비교 분석하여 서비스 가입자의 요청 패킷이 유해정보에 대한 접속 요청을 포함하고 있는 여부를 판단하고 유해정보 접속을 위한 요청 패킷으로 판단되는 경우 유해정보로의 접속을 차단하는 기능을 수행하도록 구성되는 다수개의 유해정보 차단 시스템 PoP; 및
    상기 다수개의 유해정보 차단 시스템 PoP의 현재 상태를 모니터링하여 각각의 유해정보 차단 시스템 PoP의 정상 동작 유무를 포함한 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 유해정보 차단 시스템 PoP 감시 장치를 포함하여 이루어지고; 그리고
    상기 가입자 제어장치의 가입자 트래픽 분리 전송 제어부는 상기 유해정보 차단 시스템 PoP 감시장치로부터 수신한 다수개의 유해정보 차단 시스템 PoP의 상태 정보에 기초하여 하나의 유해정보 차단 시스템 PoP을 결정하고, 유해정보 차단서비스 가입자의 트래픽이 가입자 억세스 망의 가입자 억세스 장치로부터 상기 결정된 유해정보 차단 시스템 PoP으로 전송되도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  2. 제 1항에 있어서, ISP에서 가입자의 유해정보 차단서비스 가입 유무를 판단하는 인증 서버가 상기 가입자 억세스 망에 연결되어 설치되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  3. 제 1항에 있어서, 상기 가입자 제어장치는 ISP에서 가입자의 유해정보 차단서비스 가입 유무를 판단하는 인증 서버를 포함하여 이루어지는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  4. 제 1항에 있어서, 상기 가입자 제어장치가 상기 가입자 억세스 망 내에 통합 설치되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  5. 제 4항에 있어서, 상기 유해정보 차단 시스템 PoP 감시 장치가 상기 가입자 제어장치와 함께 상기 가입자 억세스 망 내에 통합 설치되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  6. 제 1항에 있어서, 상기 유해정보 차단 시스템 PoP는 상기 가입자 억세스 장치가 유해정보 차단 서비스 가입자의 트래픽을 터널링 프로토콜 또는 PBR(Policy Based Routing; 정책 기반 라우팅) 등을 이용하여 전송할 경우에 이를 수신하여 처리하는 가입자 접속 장치와, 해당 유해정보 차단 서비스 가입자의 트래픽이 유해정보에 접근하는지 여부를 판단하는 유해정보 차단 장치로 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  7. 제 6항에 있어서, 상기 유해정보 차단 장치는,
    상기 가입자 접속 장치로 전송된 유해정보 차단 서비스 가입자의 트래픽이 ISP 백본으로 전송되면서 이와 동시에 패킷 미러링되도록 하는 패킷 미러링 장치;
    상기 패킷 미러링 장치에 의해 미러링된 패킷을 필터링하기 위한 것으로서 2개 이상의 패킷 필터링 스위치를 포함하여 구성되는 패킷 필터링 장치; 및
    2개 이상의 패킷 필터링 스위치들을 1개의 활성(Active) 스위치와 나머지 대기(Standby) 스위치로 구분하여 결정하는 패킷 필터링 스위치 감시장치를 포함하여 이루어지는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  8. 제 7항에 있어서, 상기 패킷 필터링 스위치 감시장치는 활성(Active) 스위치 및 대기(Standby) 스위치의 정상 동작 여부를 주기적으로 확인하여, 상기 활성(Active) 스위치의 장애시에 상기 대기(Standby) 스위치가 활성(Active) 스위치로 변경 설정되도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  9. 제 1항 내지 제 8항 중 어느 하나의 항에 있어서, 상기 가입자 제어장치의 가입자 트래픽 분리 전송 제어부는 상기 유해정보 차단 시스템 PoP 감시장치로부터 수신한 다수개의 유해정보 차단 시스템 PoP의 상태 정보에 기초하여 하나의 유해정보 차단 시스템 PoP을 결정하기 위하여 유해정보 차단 시스템 PoP 결정부를 포함하여 구성되고, 그리고
    상기 유해정보 차단 시스템 PoP 결정부는 상기 유해정보 차단 시스템 PoP 감시장치로부터 전송받은 유해정보 차단 시스템 PoP의 상태 정보를 이용하여 각각의 유해정보 차단 시스템 PoP에 대한 위치 정보 및 상태 정보를 유지하는 데이터베이스; 및 유해정보 차단 서비스 가입자 인터넷 접속시 마다 또는 패킷 전송시 마다 상기 데이터베이스의 각 PoP별 위치 정보 및 상태 정보를 이용하여 하나의 유해정보 차단 시스템 PoP을 선택하기 위한 부하 분할 알고리즘을 포함하여 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  10. 제 9항에 있어서, 상기 유해정보 차단 시스템 PoP의 위치 정보는 차단시스템 PoP의 대표 IP 주소이고, 그리고 상기 유해정보 차단 시스템 PoP의 상태 정보는 각 PoP별 가입자 접속량, 트래픽 처리량, 패킷 처리 지연시간, 장애 여부를 포함하여 이루어지는 상태 정보군으로부터 선택되는 하나 이상의 상태 정보인 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  11. 제 9항에 있어서, 상기 부하 분할 알고리즘은,
    유해정보 차단 서비스 가입자와 유해정보 차단 시스템 PoP까지의 네트워크상의 거리 및 경로상의 네트워크 상태, 유해정보 차단 시스템의 현재 가입자 및 트래픽 수용율을 포함한 인자들에 기초하여 하나의 유해정보 차단 시스템 PoP이 선택되도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  12. 제 1항 내지 제 8항 중 어느 하나의 항에 있어서, 상기 가입자 제어장치의 가입자 트래픽 분리 전송 제어부는 상기 유해정보 차단 시스템 PoP 감시장치로부터 수신한 다수개의 유해정보 차단 시스템 PoP의 위치 정보 및 상태 정보에 기초하여 하나의 유해정보 차단 시스템 PoP을 결정할 수 없는 경우에 유해정보 차단 서비스 가입자의 트래픽을 유해정보 차단 서비스 비가입자의 트래픽 경로로 통하여 전송하도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 시스템.
  13. ISP 망에서 유해정보의 접속을 차단하기 위한 방법에 있어서,
    가입자가 온라인 또는 오프라인을 통하여 ISP에게 유해정보 차단 서비스 가입을 요청하면 해당 가입자의 유해정보 차단 서비스 가입 정보가 가입자 제어장치에 등록되는 가입자 정보 등록 단계;
    다수개의 유해정보 차단 시스템 PoP의 현재 상태를 감시하는 유해정보 차단 시스템 감시장치가 각각의 유해정보 차단 시스템 PoP의 위치 정보와 상태 정보를 체크하고 그 결과를 상기 가입자 제어장치로 전송하는 유해정보 차단 시스템 PoP 감시정보 전송 단계;
    다수개의 유해정보 차단 시스템 PoP의 위치 정보와 현재 상태에 관한 상태 정보를 전송받은 후, 가입자 제어장치가 다수개의 유해정보 차단 시스템 PoP 중에서 하나의 유해정보 차단 시스템 PoP을 선택하여 결정하는 유해정보 차단 시스템 PoP 결정 단계;
    가입자 인터넷 접속 시 혹은 패킷 전송 시 가입자 제어장치가 해당 가입자가 유해정보 차단 서비스 가입자인지 여부를 확인하고, 터널링 프로토콜 또는 정책기반 라우팅 기술을 포함하는 라우팅 기술 군으로부터 선택되는 라우팅 기술을 이용하여 유해정보 차단 서비스 가입자의 트래픽을 비가입자의 트래픽과 분리하여 상기 유해정보 차단 시스템 PoP 결정 단계에서 결정된 소정의 유해정보 차단 시스템 PoP으로 상기 가입자의 트래픽을 전송하는 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계;
    상기 유해정보 차단 서비스 가입자 트래픽 분리 전송 단계에서 가입자 제어장치에 의해 분리되어 소정의 유해정보 차단 시스템 PoP으로 집중된 가입자 트래픽을 패킷 미러링 장치를 이용하여 미러링하고, 미러링된 패킷을 분석하고 유해정보 제어목록 DB 서버로부터 실시간으로 갱신된 유해정보 DB와 비교하여 가입자 패킷이 유해정보를 요청하는지 여부를 판단하는 유해정보 차단 서비스 가입자 패킷 분석 단계; 및
    상기 서비스 가입자 패킷 분석 단계에서 서비스 가입자의 패킷이 유해정보를 요청한다고 판단될 경우 서비스 가입자 단말로 차단 메세지를 전송하고 그리고 서비스 가입자가 접속하고자 했던 서버로는 접속 종료 메시지를 전송하며, 서비스 가입자의 패킷이 유해정보를 요청하지 않는 정상적인 패킷인 경우 상기 미러링된 패킷을 폐기함으로써 정상적인 인터넷이 가능하도록 하는 유해정보 차단 단계를 포함하여 이루어지는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법.
  14. 제 13항에 있어서, 상기 유해정보 차단 시스템 PoP 결정 단계에서 하나의 유해정보 차단 시스템 PoP이 결정되지 않는 경우, 가입자 제어장치는 유해정보 차단 서비스 가입자 트래픽을 서비스 비가입자의 트래픽 경로를 통하여 인터넷으로 전송하도록 경로를 변경하는 기본 인터넷 접속 유지 단계를 추가적으로 포함하여 이루어지는 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법.
  15. 제 13항 또는 제 14항에 있어서, 상기 유해정보 차단 시스템 PoP 결정 단계는, 유해정보 차단 시스템 PoP 감시장치로부터 전송받은 유해정보 차단 시스템 PoP의 상태 정보를 이용하여 각각의 유해정보 차단 시스템 PoP에 대한 위치 정보 및 상태 정보를 데이터베이스로 유지하고, 유해정보 차단 서비스 가입자 인터넷 접속시 마다 또는 패킷 전송시 마다 상기 데이터베이스의 각 PoP별 위치 정보 및 상태 정보 및 부하 분할 알고리즘을 이용하여 하나의 유해정보 차단 시스템 PoP을 선택하는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법.
  16. 제 15항에 있어서, 상기 유해정보 차단 시스템 PoP의 위치 정보는 차단시스템 PoP의 대표 IP 주소이고, 그리고 상기 유해정보 차단 시스템 PoP의 상태 정보는 각 PoP별 가입자 접속량, 트래픽 처리량, 패킷 처리 지연시간, 장애 여부를 포함하여 이루어지는 상태 정보군으로부터 선택되는 하나 이상의 상태 정보인 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법.
  17. 제 15항에 있어서, 상기 부하 분할 알고리즘은,
    유해정보 차단 서비스 가입자와 유해정보 차단 시스템 PoP까지의 네트워크상의 거리 및 경로상의 네트워크 상태, 유해정보 차단 시스템의 현재 가입자 및 트래픽 수용율을 포함한 인자들에 기초하여 하나의 유해정보 차단 시스템 PoP이 선택되도록 구성되는 것을 특징으로 하는 ISP 망에서의 유해정보 접속 차단 방법.
KR1020070006265A 2007-01-19 2007-01-19 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법 KR100882339B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020070006265A KR100882339B1 (ko) 2007-01-19 2007-01-19 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법
PCT/KR2007/000649 WO2008088101A1 (en) 2007-01-19 2007-02-07 System and method for blocking the connection to the harmful information in a internet service provider network
CN200780050122XA CN101611396B (zh) 2007-01-19 2007-02-07 用于阻止连接至因特网服务提供商网络中的有害信息的系统和方法
JP2008554129A JP4592798B2 (ja) 2007-01-19 2007-02-07 Isp網における有害情報接続遮断システム及び方法
GB0706656A GB2445805B (en) 2007-01-19 2007-04-04 System and method for blocking connection to harmful information in an internet service provider network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070006265A KR100882339B1 (ko) 2007-01-19 2007-01-19 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법

Publications (2)

Publication Number Publication Date
KR20090000158A KR20090000158A (ko) 2009-01-07
KR100882339B1 true KR100882339B1 (ko) 2009-02-17

Family

ID=38090913

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070006265A KR100882339B1 (ko) 2007-01-19 2007-01-19 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법

Country Status (5)

Country Link
JP (1) JP4592798B2 (ko)
KR (1) KR100882339B1 (ko)
CN (1) CN101611396B (ko)
GB (1) GB2445805B (ko)
WO (1) WO2008088101A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110137980A1 (en) * 2009-12-08 2011-06-09 Samsung Electronics Co., Ltd. Method and apparatus for using service of plurality of internet service providers
KR20110065247A (ko) * 2009-12-08 2011-06-15 삼성전자주식회사 복수의 인터넷 서비스 제공자의 서비스를 이용하는 방법 및 장치
KR102025296B1 (ko) * 2012-10-05 2019-09-25 주식회사 케이티 콘텐츠 경로 우회 서버 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097250A (ko) * 2000-04-21 2001-11-08 김태주 유해사이트의 접속차단 서비스 제공장치 및 방법
KR20020074662A (ko) * 2001-03-21 2002-10-04 주식회사 플랜티넷 사용자 아이디에 의한 유해 사이트의 접속 차단 서비스제공 장치 및방법
KR20030075475A (ko) * 2002-03-19 2003-09-26 주식회사 플랜티넷 패킷 미러링 방식을 이용한 유해사이트 접속차단 서비스시스템 및 그방법
KR100478899B1 (ko) 2003-12-29 2005-03-24 주식회사 플랜티넷 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6601084B1 (en) * 1997-12-19 2003-07-29 Avaya Technology Corp. Dynamic load balancer for multiple network servers
KR100684986B1 (ko) * 1999-12-31 2007-02-22 주식회사 잉카인터넷 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법
JP2000330897A (ja) * 1999-05-17 2000-11-30 Nec Corp ファイアウォール負荷分散システム、ファイアウォール負荷分散方法および記録媒体
KR100418446B1 (ko) * 2001-03-20 2004-02-14 (주) 세이프아이 유해사이트 접속 차단 방법과 장치 그리고 그를 위한 랜카드
KR100527794B1 (ko) * 2002-02-26 2005-11-09 (주)넷피아닷컴 네트워크 접속 차단 시스템 및 그 방법
KR100443461B1 (ko) * 2002-02-26 2004-08-09 주식회사 플랜티넷 터널링 프로토콜을 이용한 유해사이트 접속차단 서비스 시스템 및 그 서비스 방법
US20040177277A1 (en) * 2002-12-24 2004-09-09 Kt Corporation Apparatus and method for blocking harmful internet site
KR100604604B1 (ko) * 2004-06-21 2006-07-24 엘지엔시스(주) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
KR100611933B1 (ko) * 2004-11-05 2006-08-11 주식회사 플랜티넷 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097250A (ko) * 2000-04-21 2001-11-08 김태주 유해사이트의 접속차단 서비스 제공장치 및 방법
KR20020074662A (ko) * 2001-03-21 2002-10-04 주식회사 플랜티넷 사용자 아이디에 의한 유해 사이트의 접속 차단 서비스제공 장치 및방법
KR20030075475A (ko) * 2002-03-19 2003-09-26 주식회사 플랜티넷 패킷 미러링 방식을 이용한 유해사이트 접속차단 서비스시스템 및 그방법
KR100478899B1 (ko) 2003-12-29 2005-03-24 주식회사 플랜티넷 터널링 프로토콜 및 패킷 미러링 모드을 이용한유해사이트 접속차단 서비스 시스템 및 그 서비스 제공 방법

Also Published As

Publication number Publication date
KR20090000158A (ko) 2009-01-07
GB0706656D0 (en) 2007-05-16
GB2445805B (en) 2009-06-24
CN101611396B (zh) 2012-01-18
CN101611396A (zh) 2009-12-23
GB2445805A (en) 2008-07-23
JP2009523397A (ja) 2009-06-18
WO2008088101A1 (en) 2008-07-24
JP4592798B2 (ja) 2010-12-08

Similar Documents

Publication Publication Date Title
US8189468B2 (en) System and method for regulating messages between networks
US6832249B2 (en) Globally accessible computer network-based broadband communication system with user-controllable quality of information delivery and flow priority
EP2391092B1 (en) Application-layer traffic optimization enhancements for content delivery networks
US9380111B2 (en) Feature peer network with scalable state information
EP1624644B1 (en) Privileged network routing
US9001671B2 (en) Feature peer network representations and scalable feature peer network management
US6801503B1 (en) Progressive and distributed regulation of selected network traffic destined for a network node
CA2511997A1 (en) Mitigating denial of service attacks
US11570107B2 (en) Method and system for triggering augmented data collection on a network device based on traffic patterns
JP2005080297A (ja) ルーティングポリシーを検出する非侵入的方法
US20040199664A1 (en) Method and system for improving a route along which data is sent using an ip protocol in a data communications network
US20080285559A1 (en) Method, Device And System For Implementing Multicast Connection Admission Control
JP4120415B2 (ja) トラフィック制御計算装置
KR100882339B1 (ko) Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법
JP4099108B2 (ja) ネットワーク及びサーバの負荷低減ルータ
Yao et al. Toward live inter-domain network services on the exogeni testbed
CN116170389B (zh) 业务容器引流方法、系统及计算机集群
EP1993229A1 (en) Method, device and system for implementing multicast connection admission control
Abrar et al. Reliability and Load Handling Problem in Internet Service Provider’s Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130225

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150129

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160201

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170125

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 12