KR101769222B1 - 서비스 불법 액세스를 예방하는 방법 및 장치 - Google Patents

서비스 불법 액세스를 예방하는 방법 및 장치 Download PDF

Info

Publication number
KR101769222B1
KR101769222B1 KR1020157020217A KR20157020217A KR101769222B1 KR 101769222 B1 KR101769222 B1 KR 101769222B1 KR 1020157020217 A KR1020157020217 A KR 1020157020217A KR 20157020217 A KR20157020217 A KR 20157020217A KR 101769222 B1 KR101769222 B1 KR 101769222B1
Authority
KR
South Korea
Prior art keywords
address
server
access
requested
domain name
Prior art date
Application number
KR1020157020217A
Other languages
English (en)
Other versions
KR20150100887A (ko
Inventor
지안쳉 구오
유셍 후
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20150100887A publication Critical patent/KR20150100887A/ko
Application granted granted Critical
Publication of KR101769222B1 publication Critical patent/KR101769222B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 액세스 제어의 분야에 적용될 수 있고, 비인가 서비스 액세스를 예방하는 방법 및 장치를 제공한다. 본 발명의 실시예들에 따르면, 그 패킷이 위조된 서비스 액세스 요청을 효과적으로 판정하여, 해당 서비스 액세스 요청을 종료하도록, 발견된 IP 어드레스는 패킷에 있는 액세스가 요청되는 서버의 IP 어드레스와 비교된다. 이는, 사용자에 의한 패킷에 있는 도메인 명칭의 위조로 인해 과금형 서비스에 대해 게이트웨이 디바이스가 과금할 수 없는 문제점을 효과적으로 해결한다.

Description

서비스 불법 액세스를 예방하는 방법 및 장치{METHOD AND DEVICE FOR PREVENTING SERVICE ILLEGAL ACCESS}
<상호 참조>
본 출원은 2012년 12월 26일자 출원된 국제 출원 PCT/CN2012/087581호의 후속으로, 그 전부가 참조로써 본 명세서에 의해 원용된다.
본 발명은, 네트워크 액세스 제어 분야에 관한 것으로, 특히, 비인가 서비스 액세스를 예방하는 방법 및 장치에 관한 것이다.
이동 통신의 인기 및 IP 네트워크의 발달은, 이동 전화와 같은 이동국(MS: Mobile Station)에 의한 네트워크 데이터 액세스의 성장을 이끌었고, URL(Uniform Resource Locator)에 의해 네트워크 데이터를 액세스한다. 이동국이 서비스 데이터를 액세스할 때는, 유료 웹사이트들 및 무료 웹사이트들에 대해 차별화된 과금 관리를 제공하기 위해, 상이한 도메인 명칭들 사이를 구분할 필요가 있다.
도 1은 종래 기술의 과금 아키텍처의 개략도이다. 이동국 MS는 게이트웨이 디바이스 GGSN(Gateway GPRS Support Node)을 통해 HTTP(HyperText Transfer Protocol) 서버 상의 콘텐츠를 액세스하고, 상이한 URL들에 대한 상이한 과금 정책들이 게이트웨이 디바이스 GGSN 상에 구성되는데, 예를 들어, 도메인 명칭이 www.google.com인 모든 웹사이트들은 과금되어야 하고, 도메인 명칭이 www.huawei.com인 모든 웹사이트들은 무료로 방문될 수 있다는 점을 명시하는 정책을 구성한다.
그러나, GGSN이 HTTP 서버들에게 패킷들을 송신할 때, 대부분의 HTTP 서버들은 해당 패킷들에 있는 도메인 명칭 필드들을 체크하지 않는다. 예를 들어, Sina 서버가 www.sina.com/news와 유사한 URL 요청을 수신하고 나서, Sina 서버는, 해당 도메인 명칭이 올바른지를 판정하는 것이 아니라, 해당 도메인 명칭을 뒤따르는 경로 부분에 따라 대응 페이지를 리턴한다. 따라서, Sina HTTP 서버에 대해, www.sina.com/news와 www.abc.com/news는 동일하고, 이들 양자 모두가 뉴스에 대응하는 페이지로 피어 엔드를 리다이렉트한다. 따라서, www.google.com과 같은 실제 액세스될 도메인 명칭을 www.huawei.com과 같은 무료 도메인 명칭으로 변경하는 것에 의해 사용자가 게이트웨이 디바이스에 송신될 패킷을 위조하면, 게이트웨이 디바이스는, 위조된 패킷을 분해하여, 해당 URL이 서비스 무료 정책에 부합하는 것으로 여기고, 결과적으로, 게이트웨이 디바이스는 해당 패킷에 유효한 과금을 수행할 수 없으며, 사용자는 불법으로 유료 서비스를 무료로 액세스할 수 있다.
본 발명의 실시예들의 목적은, 사용자에 의한 패킷에 있는 도메인 명칭의 위조로 인해 게이트웨이 디바이스가 유료 서비스에 대해 과금할 수 없는 종래 기술에서의 문제점을 해결하고, 이에 의해 사용자에 의한 서비스에 대한 비인가 액세스를 효과적으로 예방하도록, 비인가 서비스 액세스를 예방하는 방법 및 장치를 제공하는 것이다.
제1 양상에 따르면, 비인가 서비스 액세스를 예방하는 방법이 제공되며, 이러한 방법은: 서비스 액세스 요청 패킷을 수신하는 단계- 이러한 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함함 -; 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하는 단계; 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하는 단계; 및 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하면, 서비스 액세스 요청을 종료하는 단계; 또는 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색하는 단계; 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하는지를 판정하는 단계; 및 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료하는 단계를 포함한다.
제1 양상의 제1 가능한 구현에서, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하는 단계 이전에, 본 방법은: 이러한 패킷에 포함되는, 도메인 명칭에 따라 도메인 명칭 분해 요청을 송신하는 단계; 및 도메인 명칭 분해 후 리턴되며, 이러한 패킷에 포함되는, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 수신 및 저장하는 단계를 더 포함한다.
제1 양상의 제2 가능한 구현에서, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하는 단계는 구체적으로: 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하는 단계를 포함한다.
제1 양상의 제2 가능한 구현을 참조하여, 제3 가능한 구현에서, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색하는 단계 이전에, 본 방법은: 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신 및 저장하는 단계를 더 포함한다.
제1 양상의 제2 가능한 구현을 참조하여, 제4 구현에서, 서비스 액세스 요청 패킷을 수신하는 단계 이후에, 본 방법은: 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색하는 단계를 더 포함한다.
제1 양상의 제5 가능한 구현에서, 서비스 액세스 요청을 종료하는 단계는 구체적으로: 서비스 액세스 요청 패킷을 폐기하는 단계를 포함한다.
제2 양상에 따르면, 비인가 서비스 액세스를 예방하는 장치가 제공되며, 이러한 장치는, 수신 모듈, IP 어드레스 검색 모듈, 제1 판정 모듈 및 제1 서비스 액세스 요청 종료 모듈을 포함하거나, 또는 수신 모듈, 서버 도메인 명칭 검색 모듈, 제2 판정 모듈 및 제2 서비스 액세스 요청 종료 모듈을 포함하고: 수신 모듈은 서비스 액세스 요청 패킷을 수신하도록 구성되고, 이러한 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함하고; IP 어드레스 검색 모듈은 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하도록 구성되고; 제1 판정 모듈은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하도록 구성되고; 제1 서비스 액세스 요청 종료 모듈은: 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료하도록 구성되고; 서버 도메인 명칭 검색 모듈은 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색하도록 구성되고; 제2 판정 모듈은, 액세스가 요청되는 서버 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하는지를 판정하도록 구성되며; 제2 서비스 액세스 요청 종료 모듈은, 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료하도록 구성된다.
제2 양상의 제1 가능한 구현에서, 이러한 장치는: 패킷에 포함되는, 액세스가 요청되는 서버의 도메인 명칭에 따라 도메인 명칭 분해 요청을 송신하도록 구성되는 도메인 명칭 분해 요청 송신 모듈; 및 도메인 명칭 분해 후 리턴되며, 패킷에 포함되는, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 수신 및 저장하도록 구성되는 IP 어드레스 수신 모듈을 더 포함한다.
제2 양상의 제2 가능한 구현에서, IP 어드레스 검색 모듈은 구체적으로, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블들에 따라, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하도록 구성된다.
제2 양상의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 이러한 장치는, 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신 및 저장하도록 구성되는 수신 및 저장 모듈을 더 포함한다.
제2 양상의 제3 가능한 구현에서, 이러한 장치는: 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색하도록 구성되는 서비스 타입 검색 모듈을 더 포함한다.
제2 양상의 제4 가능한 구현에서, 제1 서비스 요청 종료 모듈 또는 제2 서비스 요청 종료 모듈은 구체적으로 서비스 액세스 요청 패킷을 폐기하도록 구성된다.
제3 양상에 따르면, 비인가 서비스 액세스를 예방하는 시스템이 제공되며, 이러한 시스템은: 서비스 액세스 요청 패킷을 수신하도록 구성되는 데이터 수신 인터페이스- 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함함 -; 및 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하고, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하여, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료하거나; 또는 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색한 다음, 액세스가 요청되는 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하는지를 판정하여; 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료하도록 구성되는 프로세서를 포함한다.
제3 양상의 제2 가능한 구현에서, 이러한 시스템은, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 테이블을 저장하도록 구성되거나 또는 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 저장하도록 구성되는 메모리; 및 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하거나, 또는 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하면, 데이터 액세스를 요청하는 서비스 액세스 패킷을 송신하도록 구성되는 데이터 송신 인터페이스를 더 포함한다.
본 발명의 실시예들에서는, 서비스 액세스 요청 패킷이 수신된 이후, 이러한 요청 패킷에 포함되는 서버의 도메인 명칭에 대응하는 IP 어드레스가 검색되고, 발견된 IP 어드레스는 해당 패킷에 있는 IP 어드레스와 비교된다. 사용자가 해당 패킷에 있는 도메인 명칭 정보를 위조하면, 발견된 IP 어드레스는, 변경된 도메인 명칭에 대응하는 IP 어드레스이고, 해당 패킷에 포함되는, 액세스가 요청되는 서버의 IP 어드레스와 다르다. 이러한 방식으로, 해당 서비스 액세스가 비인가라고 판정되고, 해당 서비스 액세스 요청은 종료되는 것으로 판정된다. 이는 사용자에 의한 패킷에 있는 도메인 명칭의 위조로 인해 게이트웨이 디바이스가 유료 서비스에 대해 과금할 수 없는 문제점을 효과적으로 해결한다.
도 1은 종래 기술에서의 과금 아키텍처의 개략도이다.
도 2는 본 발명의 실시예 1에 따라 비인가 서비스 액세스를 예방하는 방법의 구현을 도시하는 흐름도이다.
도 3은 본 발명의 실시예 2에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다.
도 4는 본 발명의 실시예 3에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다.
도 5는 본 발명의 실시예 4에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다.
도 6은 본 발명의 실시예 5에 따라 비인가 서비스 액세스를 예방하는 시스템의 개략 구조도이다.
도 7은 본 발명의 실시예 6에 따라 비인가 서비스 액세스를 예방하는 장치의 구조 블럭도이다.
도 8은 본 발명의 실시예 7에 따라 비인가 서비스 액세스를 예방하는 장치의 구조 블럭도이다.
도 9는 본 발명의 실시예들에 따른 시스템의 개략 구조도이다.
본 발명의 실시예들의 목적들, 기술적 해결책들 및 이점들을 보다 명확하게 하기 위해서, 이하에서는 첨부 도면들 및 실시예들을 참조하여 본 발명의 실시예들에서의 기술적 해결책들을 상세히 더욱 설명한다. 설명되는 특정 실시예들은 본 발명을 제한하기 보다는 오히려 단지 본 발명을 설명하려는 것임이 이해되어야 한다.
본 발명의 실시예들에서는, 서비스 액세스 요청 패킷이 수신되고, 이러한 패킷은, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함하며, 이러한 IP 어드레스는, 클라이언트에 의해 액세스 요청이 착수될 때, 착수된 요청에 있는 도메인 명칭에 따라 도메인 명칭 서버에 의해 수행되는 분해를 통해 취득되고; 그리고 나서, 해당 요청 패킷에 있는 서버의 도메인 명칭에 따른 IP 어드레스가 검색되고, 발견된 IP 어드레스는 해당 패킷에 있는 IP 어드레스와 비교된다. 사용자가 해당 패킷에 있는 도메인 명칭 정보를 위조하면, 발견된 IP 어드레스는, 변경된 도메인 명칭에 대응하는 IP 어드레스이고, 해당 패킷에 포함되는, 액세스가 요청되는 서버의 IP 어드레스와 다르다. 이러한 방식으로, 해당 서비스가 비인가라고 판정되고, 해당 서비스 액세스 요청은 종료된다. 이는 사용자에 의한 패킷에 있는 도메인 명칭의 위조로 인해 게이트웨이 디바이스가 유료 서비스에 대해 과금할 수 없는 문제점을 효과적으로 해결한다.
<실시예 1>
도 2는 본 발명의 실시예 1에 따라 비인가 서비스 액세스를 예방하는 구현 프로세스를 도시한다. 그 상세사항들이 이하와 같이 설명된다:
단계 S201에서는, 서비스 액세스 요청 패킷을 수신하며, 이러한 패킷은, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함한다.
구체적으로, 수신된 서비스 액세스 요청 패킷은, 이동 전화 및 모바일 컴퓨터와 같은 디바이스인, 이동국에 의해 송신된 액세스 요청일 수 있다. 해당 요청을 수신하는 디바이스는 GGSN과 같은 DPI(Deep Packet Inspection) 디바이스일 수 있다. 해당 패킷에 있는, 액세스가 요청되는 해당 서버의 도메인 명칭 및 액세스가 요청되는 해당 서버의 IP 어드레스는, 이동국 디바이스가 해당 액세스 요청을 송신할 때 해당 요청에 대한 링크에 있는 도메인 명칭 어드레스인, 요청에 대한 링크에 따라 도메인 명칭 서버에 의한 분해에 의해 취득되는 도메인 명칭에 대응하는 IP 어드레스를 참조한다. 해당 액세스 요청에 있는 도메인 명칭으로부터 분해되는 IP 어드레스는, 본 명세서에 설명되는, 액세스가 요청되는 서버의 IP 어드레스이다.
단계 S202에서는, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색한다.
액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하기 이전에, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 테이블이 게이트웨이 디바이스 상에 프리셋될 수 있거나, 또는, 도메인 명칭 서버가 도메인 명칭을 분해하여 대응 IP 어드레스를 취득하도록, 패킷에서 액세스가 요청되는 서버의 도메인 명칭을 분해하는 요청을 시스템이 미리 송신할 수 있다.
서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에서, 고정 IP 어드레스에 대응하는 서버들의 일부 공통 도메인 명칭들이 미리 저장될 수 있거나, 또는 시스템이 도메인 명칭 분해를 수행할 때마다 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들이 다이나믹하게 저장될 수 있다. 명백히, 각 패킷에 포함되는 서버 도메인 명칭에 대해 시스템이 도메인 명칭 분해를 수행할 때 시스템에 의해 리턴되는 IP 어드레스는 미리 저장된 IP 어드레스들보다 더 최근의 것이고, 따라서 IP 어드레스가 변경되는 서버에는 다이나믹 저장이 적합하다.
단계 S203에서는, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정한다.
단계 S202에서 발견된 IP 어드레스를, 패킷에 포함되는, 액세스가 요청되는 서버의 IP 어드레스와 비교하여, 2개 IP 어드레스들이 동일한지 판정한다.
단계 S204에서는, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료한다.
구체적으로, 패킷에 포함되며 액세스가 요청되는 서버의 IP 어드레스가, 단계 S202에서 발견된 IP 어드레스와 상이하면, 이는 패킷이 업로드될 때 패킷의 도메인 명칭이 위조되었고, 해당 패킷의 액세스 요청은 비인가 요청이라는 것을 나타낸다. 그러면, 시스템은 이러한 요청을 거절하고 해당 서비스 요청을 종료한다.
액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하면, 정상 서비스 액세스를 계속하는 단계 S205를 수행한다.
본 발명의 이러한 실시예에 따르면, 도메인 명칭 분해는, 해당 패킷에 있는 서버의 도메인 명칭에 대응하는 IP 어드레스를 취득하도록, 패킷에 있는, 액세스가 요청되는 서버의 도메인 명칭에 대해 수행되고, 취득된 IP 어드레스는 해당 패킷에 있는 IP 어드레스와 비교된다. IP 어드레스들이 다르면, 이는 현재 패킷이 위조되었다는 것을 나타낸다. 그러면, 관련 서비스 데이터에 대한 액세스가 예방된다.
<실시예 2>
도 3은 본 발명의 실시예 2에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다. 그 상세사항들이 이하와 같이 설명된다:
단계 S301에서는, 서비스 액세스 요청 패킷을 수신하며, 이러한 패킷은, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함한다.
단계 S302에서는, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색한다.
실시예 1과는 상이하게, 해당 패킷에 있는 IP 어드레스에 따라 대응 도메인 명칭이 검색된다. 이러한 검색은, 시스템에 저장되는, 서버들의 IP 어드레스들과 도메인 명칭들 사이의 대응관계들의 테이블을 사용함으로써 수행될 수 있거나, 또는 IP 어드레스에 대응하는 서버에 접속하도록 패킷에 있는 IP 어드레스를 액세스하여, 해당 서버의 도메인 명칭 정보를 취득함으로써 수행될 수 있다. 그 상세사항들은 여기에 다시 설명되지 않는다.
단계 S303에서는, 액세스가 요청되는 서버의 도메인 명칭이, 발견된 도메인 명칭과 일치하는지를 판정한다.
이에 대응하여, 해당 패킷에 있는 IP 어드레스에 따라 발견되는 서버 도메인 명칭을 해당 패킷에 있는 서버의 도메인 명칭과 비교한다. 도메인 명칭들이 일치하면, 이는 현재 패킷이 위조되지 않은 것을 나타낸다.
단계 S304에서는, 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료한다.
액세스가 요청되는 서버의 도메인 명칭이, 발견된 도메인 명칭과 다르면, 업로드된 패킷이 아마 사용자에 의해 위조된 것이다. 그러면, 시스템은 이러한 비인가 액세스를 예방하도록 액세스 종료 요청을 송신하고, 해당 패킷을 폐기한다.
액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하면, 정상 서비스 액세스를 계속하는 단계 S305를 수행한다.
본 실시예와 실시예 1 사이의 차이점은 쿼리 방식에 있다. 실시예 1에서는, IP 어드레스들의 비교를 수행하도록, 패킷에 있는 서버의 도메인 명칭에 따라 IP 어드레스가 검색된다. 본 실시예에서는, 서버들의 도메인 명칭들의 비교를 수행하도록, 패킷에 있는 IP 어드레스에 따라 서버의 도메인 명칭이 검색된다.
<실시예 3>
도 4는 본 발명의 실시예 3에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다. 그 상세사항들이 이하와 같이 설명된다:
단계 S401에서는, 서비스 액세스 요청 패킷을 수신하며, 이러한 패킷은, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함한다.
단계 S402에서는, 해당 패킷에 있는 액세스가 요청되는 서버의 도메인 명칭에 따라 도메인 명칭 분해 요청을 송신한다.
단계 S403에서는, 도메인 명칭 분해 후 리턴되며 해당 패킷에 있는 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 수신하여 저장한다.
구체적으로, 해당 패킷에 있는 서버의 도메인 명칭이 분해되며, IP 어드레스를 리턴하는 것과 서비스 액세스 요청을 송신할 때 도메인 명칭을 분해하는 것 사이에 매우 짧은 시간이 존재한다. 따라서, 이러한 시간에, IP 어드레스 변경의 확률은 매우 낮으며, 이는, 서버의 IP 어드레스의 변경으로 인해 IP 어드레스들의 2개의 연속적인 비교들이 다를 때 발생하는 의도하지 않은 패킷 손실을, 가능한 많이, 회피할 수 있다.
단계 S405에서는, 해당 패킷에 있는 액세스가 요청되는 서버의 IP 어드레스가, 리턴된 IP 어드레스와 일치하는지를 판정한다.
단계 S406에서는, 해당 패킷에 있는 액세스가 요청되는 서버의 IP 어드레스가, 리턴된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료한다.
액세스가 요청되는 서버의 IP 어드레스가, 리턴된 IP 어드레스와 일치하면, 정상 서비스 액세스를 계속하는 단계 S407을 수행한다.
본 발명의 이러한 실시예에서 단계들 S401 및 S404-S406은 실시예 1에서의 단계들 S101-S104와 상당히 유사하다. 상세사항들이 여기에 다시 설명되지는 않는다. 차이점은, 시스템에 의해 패킷에 있는 서버의 도메인 명칭을 분해함으로써 취득되는 대응 IP 어드레스가 더 최근의 것이고 오류 판정율이 더 낮다는 점이다.
<실시예 4>
도 5는 본 발명의 실시예 4에 따라 비인가 서비스 액세스를 예방하는 개략 흐름도이다. 그 상세사항들이 이하와 같이 설명된다:
단계 S501에서는, 서비스 액세스 요청 패킷을 수신하며, 이러한 패킷은, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함한다.
단계 S502에서는, 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신 및 저장한다.
단계 S503에서는, 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 저장된 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색한다.
구체적으로, 종래 기술의, Gmail과 같은, 일부 암호화된 애플리케이션들에서, 서비스 타입은, URL과 같은 특징을 분해함으로써 취득될 수 없을 수 있거나, 또는 이러한 애플리케이션들에 의해 송신된 데이터인, P2P 서비스 Xunlei 같은 것은 분명한 특징들이 없기 때문에, 서버들의 도메인 명칭들의 IP 어드레스들과 매칭될 수 있다. 일부 공통 애플리케이션들의 서버들과 IP 어드레스들 사이의 매칭 정보를 저장하면, 서비스 타입의 판정 동안 패킷에 저장된 매칭 정보 및 IP 어드레스에 따라 서비스 타입이 편리하게 판정될 수 있다.
단계 S504에서는, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색한다.
단계 S505에서는, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정한다.
단계 S506에서는, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료한다.
액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하면, 정상 서비스 액세스를 계속하는 단계 S507을 수행한다.
본 발명의 이러한 실시예에서는, IP 어드레스들과 서비스 타입들 사이의 대응 관계들의 저장된 테이블을 사용하는 것에 의해, 업로드된 패킷으로부터 IP 어드레스를 분해한 직후에 서비스 액세스의 타입이 판정될 수 있다. 종래의 DPI(Deep Packet Inspection) 기술에 비하여, 본 발명의 이러한 실시예에서의 해결책들은 비교적 간단하고 편리하다. 또한, Gmail과 같은 일부 암호화된 애플리케이션들 및 분명한 특징들이 없는 일부 데이터 스트림들에 대해, DPI(Deep Packet Inspection) 기술을 사용함으로써 서비스 타입이 판정될 수 없을 때, 본 발명의 이러한 실시예는 서비스 타입을 효과적으로 판정하는데 사용될 수 있다.
<실시예 5>
도 6은 본 발명의 실시예 5에 따라 비인가 서비스 액세스를 예방하는 시스템의 개략 구조도이다. 그 상세사항들은 이하와 같이 설명된다:
본 발명의 이러한 실시예에 설명되는 비인가 서비스 액세스를 예방하는 시스템은, 데이터 수신 인터페이스(601), 프로세서(602), 메모리(603) 및 데이터 송신 인터페이스(604)를 포함하며:
데이터 수신 인터페이스(601)는 서비스 액세스 요청 패킷을 수신하도록 구성되고, 이러한 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함하고;
프로세서(602)는, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하고, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하여; 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료하도록 구성되거나; 또는
액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색하고; 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하는지를 판정하여; 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료하도록 구성된다.
본 발명의 이러한 실시예의 가능한 구현으로서, 본 발명의 이러한 실시예에 설명되는 장치는, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 테이블 또는 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 저장하도록 구성되는, 메모리(603)를 더 포함한다. 메모리에 저장된 대응관계들을 직접 판독함으로써, 프로세서는, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스 또는 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색할 수 있다.
본 발명의 이러한 실시예는, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하거나, 또는 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하면, 데이터 송신 인터페이스에 의해, 데이터 액세스를 요청하는 서비스 액세스 패킷을 송신하도록 구성되는, 데이터 송신 인터페이스(604)를 더 포함한다.
<실시예 6>
도 7은 본 발명의 실시예 6에 따라 비인가 서비스 액세스를 예방하는 장치의 구조 블럭도이다. 그 상세사항들은 이하와 같이 설명된다:
본 발명의 이러한 실시예에 설명되는 비인가 서비스 액세스를 예방하는 장치는, 수신 모듈(701), IP 어드레스 검색 모듈(702), 제1 판정 모듈(703) 및 제1 서비스 액세스 요청 종료 모듈(704)을 포함하거나, 또는 수신 모듈(701), 서버 도메인 명칭 검색 모듈(705), 제2 판정 모듈(706) 및 제2 서비스 액세스 요청 종료 모듈(707)을 포함하며:
수신 모듈(701)은 서비스 액세스 요청 패킷을 수신하도록 구성되고, 이러한 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함하고;
IP 어드레스 검색 모듈(702)은 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하도록 구성되고;
제1 판정 모듈(703)은 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하도록 구성되고;
제1 서비스 액세스 요청 종료 모듈(704)은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료하도록 구성되고;
서버 도메인 명칭 검색 모듈(705)은 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서버 도메인 명칭을 검색하도록 구성되고;
제2 판정 모듈(706)은, 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 일치하는지를 판정하도록 구성되며;
제2 서비스 액세스 요청 종료 모듈(707)은, 액세스가 요청되는 서버의 도메인 명칭이, 발견된 서버 도메인 명칭과 다르면, 서비스 액세스 요청을 종료하도록 구성된다.
수신 모듈(701)이, 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함하는 서비스 액세스 요청 패킷을 수신한 후, IP 어드레스 검색 모듈(702)이, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색한다. 제1 판정 모듈(703)은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정한다. IP 어드레스들이 다르면, 제1 액세스 요청 종료 모듈(704)은 서버 액세스 요청을 종료한다. 특정 내용은 실시예 1 및 실시예 2에서 설명된 방법 실시예들에 대응한다. 그 상세사항들은 여기에 다시 설명되지 않는다.
<실시예 7>
도 8은 본 발명의 실시예 7에 따라 비인가 서비스 액세스를 예방하는 장치의 구조 블럭도이다. 그 상세사항들이 이하와 같이 설명된다.
본 발명의 이러한 실시예에 설명되는 비인가 서비스 액세스를 예방하는 장치는, 수신 모듈(801), IP 어드레스 검색 모듈(802), 제1 판정 모듈(803) 및 제1 서비스 액세스 요청 종료 모듈(804), 도메인 명칭 분해 요청 송신 모듈(805), IP 어드레스 수신 모듈(806), 서비스 타입 검색 모듈(807) 및 수신 및 검색 모듈(808)을 포함한다.
수신 모듈(801)은 서비스 액세스 요청 패킷을 수신하도록 구성되고, 이러한 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 서버의 IP 어드레스를 포함한다.
IP 어드레스 검색 모듈(802)은, 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색하도록 구성된다.
제1 판정 모듈(803)은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하도록 구성된다.
제1 서비스 액세스 요청 종료 모듈(804)은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 다르면, 서비스 액세스 요청을 종료하도록 구성된다.
도메인 명칭 분해 요청 송신 모듈(805)은 해당 패킷에서 액세스가 요청되는 서버의 도메인 명칭에 따라 도메인 명칭 분해 요청을 송신하도록 구성된다.
IP 어드레스 수신 모듈(806)은, 도메인 명칭 분석 후 리턴되며, 해당 패킷에서 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 수신하여 저장하도록 구성된다.
서비스 타입 검색 모듈(807)은, 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색하도록 구성된다.
수신 및 저장 모듈(808)은 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신하여 저장하도록 구성된다.
수신 모듈(801)이 서비스 액세스 요청 패킷을 수신할 때, IP 어드레스 검색 모듈(802)은, 해당 패킷에 있는 서버의 도메인 명칭 및 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 검색한다. 제1 판정 모듈(803)은, 액세스가 요청되는 서버의 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정한다. IP 어드레스들이 다르면, 제1 서비스 액세스 요청 종료 모듈(805)은 서비스 액세스 요청을 종료한다. 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블은 도메인 명칭 분해 요청 송신 모듈(805) 및 IP 어드레스 수신 모듈(806)에 의해 취득될 수 있다. 도메인 명칭 분해 요청 송신 모듈(805)은 해당 패킷에서 액세스가 요청되는 서버의 도메인 명칭에 따라 도메인 명칭 분해 요청을 송신하고, IP 어드레스 수신 모듈(806)은, 도메인 명칭 분해 후 리턴되며, 해당 패킷에서 액세스가 요청되는 서버의 도메인 명칭에 대응하는 IP 어드레스를 수신하여 저장한다. 또한, 수신 및 저장 모듈(808)은 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신하여 저장할 수 있고, 서비스 타입 검색 모듈(807)은, 서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 서버의 IP 어드레스에 대응하는 서비스 타입을 검색하고, 이에 의해 서비스 타입을 취득하기 위해 특징 정보를 검색하는데 심층 패킷 검사 기술을 사용하는 것을 회피한다. 본 발명의 이러한 실시예는 실시예 3에 설명된 방법 실시예에 대응한다. 그 상세사항들은 여기에 다시 설명되지 않는다.
도 9는 본 발명의 실시예들에 따른 시스템의 개략 구조도이다. 도 9에 도시된 바와 같이, 이동국 MS는 www.google.com에 방문하는 요청을 도메인 명칭 서버에 송신하고; 도메인 명칭 서버는, 액세스 요청된 링크에 있는 도메인 명칭에 따라 분해를 수행하여, 해당 도메인 명칭에 대응하는 IP 어드레스 1.1.1.1을 리턴하고; 이동국은, 액세스 요청에 있는 도메인 명칭 및 리턴된 IP 어드레스에 따라 패킷을 구성하여, 해당 패킷을 게이트웨이 디바이스 GGSN에 송신하며; GGSN은, PCRF 정책 및 과금 규칙들 기능 구성들에 따라, 해당 요청에 있는 도메인이 유료인지 알아본다. 정책 서버에 의해 구성되는 도메인 명칭 www.google.com은 유료이지만, 일부 사용자들은 해당 도메인에 있는 도메인 명칭을 www.huawei.com과 같은 무료 도메인 네임으로 불법으로 변경한다. 이러한 서비스가 과금 중 무료 서비스로서 고려되는 것을 예방하기 위해, 시스템은 해당 패킷에 있는 도메인 명칭에 대응하는 IP 어드레스를 취득하도록 해당 패킷에 있는 도메인 명칭을 다시 분해하고, 이들 2개의 IP 어드레스들을 비교하여, 이들 2개가 다르면, 액세스 요청을 폐기하고, 이에 의해 사용자에 의한 수신된 패킷의 위조로 인한 부족한 과금(undercharge)을 효과적으로 예방한다.
전술한 장치 및 시스템들에 포함되는 모듈들은 기능적 로직에 따라 구분된 것이지만, 대응 기능들이 구현된다면, 이러한 구분에 제한되는 것은 아니라는 점이 주목되어야 한다. 또한, 각 기능적 로직의 특정 명칭은 단지 하나의 기능적 유닛을 다른 것으로부터 구별하는데 사용되는 것으로, 본 발명의 보호 범위를 제한하려는 의도는 아니다.
더욱이, 기술분야의 숙련자는 실시예들에서의 방법들의 단계들 전부 또는 일부가 관련 하드웨어를 명령하는 프로그램에 의해 구현될 수 있다는 점을 이해할 것이다. 이러한 프로그램은, ROM/RAM, 자기 디스크 또는 광 디스크와 같은, 컴퓨터 판독가능 스토리지 매체에 저장될 수 있다.
전술한 설명들은 본 발명의 단지 예시적인 실시예들이지만, 본 발명을 제한하려는 의도는 아니다. 본 발명의 사상 및 원리를 벗어나지 않고 이루어지는 임의의 수정, 등가적 대체 및 개선은 본 발명의 보호 범위에 들어가야 한다.

Claims (14)

  1. 비인가 서비스 액세스를 예방하는 방법으로서,
    게이트웨이 디바이스에 의하여, 이동국에 의해 송신된 서비스 액세스 요청 패킷을 수신하는 단계- 상기 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 상기 서버의 IP 어드레스를 포함함 -;
    상기 게이트웨이 디바이스에 의하여, 상기 게이트웨이 디바이스 상의 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 상기 서버의 상기 도메인 명칭에 대응하는 IP 어드레스를 검색하는 단계;
    상기 게이트웨이 디바이스에 의하여, 액세스가 요청되는 상기 서버의 상기 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하는 단계; 및
    상기 게이트웨이 디바이스에 의하여, 액세스가 요청되는 상기 서버의 상기 IP 어드레스가, 상기 발견된 IP 어드레스와 다르면, 상기 서비스 액세스 요청을 종료하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    서비스 액세스 요청 패킷을 수신하는 상기 단계 이후에,
    서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 상기 서버의 상기 IP 어드레스에 대응하는 서비스 타입을 검색하는 단계를 더 포함하는 방법.
  3. 제1항에 있어서,
    액세스가 요청되는 상기 서버의 상기 IP 어드레스에 대응하는 서비스 타입을 검색하는 상기 단계 이전에,
    서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신 및 저장하는 단계를 더 포함하는 방법.
  4. 제1항에 있어서,
    서비스 액세스 요청을 종료하는 상기 단계는 구체적으로,
    상기 서비스 액세스 요청 패킷을 폐기하는 단계를 포함하는 방법.
  5. 비인가 서비스 액세스를 예방하는 장치로서,
    상기 장치는 게이트웨이 디바이스이며, 수신 모듈, IP 어드레스 검색 모듈, 제1 판정 모듈 및 제1 서비스 액세스 요청 종료 모듈을 포함하고,
    상기 수신 모듈은 서비스 액세스 요청 패킷을 수신하도록 구성되고, 상기 패킷은 액세스가 요청되는 서버의 도메인 명칭 및 액세스가 요청되는 상기 서버의 IP 어드레스를 포함하고;
    상기 IP 어드레스 검색 모듈은, 상기 게이트웨이 디바이스 상의 서버들의 도메인 명칭들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 상기 서버의 상기 도메인 명칭에 대응하는 IP 어드레스를 검색하도록 구성되고;
    상기 제1 판정 모듈은, 액세스가 요청되는 상기 서버의 상기 IP 어드레스가, 발견된 IP 어드레스와 일치하는지를 판정하도록 구성되고;
    상기 제1 서비스 액세스 요청 종료 모듈은: 액세스가 요청되는 상기 서버의 상기 IP 어드레스가, 상기 발견된 IP 어드레스와 다르면, 상기 서비스 액세스 요청을 종료하도록 구성되는, 장치.
  6. 제5항에 있어서,
    서비스 타입들과 IP 어드레스들 사이의 대응관계들의 프리셋 테이블에 따라, 액세스가 요청되는 상기 서버의 상기 IP 어드레스에 대응하는 서비스 타입을 검색하도록 구성되는 서비스 타입 검색 모듈을 더 포함하는 장치.
  7. 제5항에 있어서,
    서비스 타입들과 IP 어드레스들 사이의 대응관계들의 테이블을 수신 및 저장하도록 구성되는 수신 및 저장 모듈을 더 포함하는 장치.
  8. 제5항에 있어서,
    상기 제1 서비스 액세스 요청 종료 모듈은 구체적으로 상기 서비스 액세스 요청 패킷을 폐기하도록 구성되는 장치.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
KR1020157020217A 2012-12-26 2012-12-26 서비스 불법 액세스를 예방하는 방법 및 장치 KR101769222B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/087581 WO2014101023A1 (zh) 2012-12-26 2012-12-26 一种防止业务非法访问的方法和装置

Publications (2)

Publication Number Publication Date
KR20150100887A KR20150100887A (ko) 2015-09-02
KR101769222B1 true KR101769222B1 (ko) 2017-08-17

Family

ID=49565868

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157020217A KR101769222B1 (ko) 2012-12-26 2012-12-26 서비스 불법 액세스를 예방하는 방법 및 장치

Country Status (6)

Country Link
US (1) US20150295938A1 (ko)
EP (1) EP2924941B1 (ko)
JP (1) JP6074781B2 (ko)
KR (1) KR101769222B1 (ko)
CN (1) CN103404182A (ko)
WO (1) WO2014101023A1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685601A (zh) * 2013-12-10 2014-03-26 华为技术有限公司 应用识别方法及装置
US9571452B2 (en) * 2014-07-01 2017-02-14 Sophos Limited Deploying a security policy based on domain names
CN104822140B (zh) * 2015-04-03 2018-09-25 中国联合网络通信集团有限公司 一种数据查询的方法及网络通信系统
CN106612239B (zh) * 2015-10-22 2020-03-20 中国电信股份有限公司 Dns查询流量控制方法、设备和系统
CN105872119A (zh) * 2015-12-10 2016-08-17 乐视云计算有限公司 域名解析系统的实现方法及装置
CN107231241A (zh) * 2016-03-24 2017-10-03 中国移动通信有限公司研究院 信息处理方法、网关及验证平台
CN106878249B (zh) * 2016-08-12 2020-12-22 创新先进技术有限公司 非法用途资源的识别方法和装置
CN106452940A (zh) * 2016-08-22 2017-02-22 中国联合网络通信有限公司重庆市分公司 一种互联网业务流量归属的识别方法和装置
CN106778250A (zh) * 2016-12-16 2017-05-31 四川长虹电器股份有限公司 判定接口是否被非法调用的方法
CN106453436B (zh) * 2016-12-21 2019-05-31 北京奇虎科技有限公司 一种网络安全的检测方法和装置
CN108322418A (zh) * 2017-01-16 2018-07-24 深圳兆日科技股份有限公司 非法访问的检测方法和装置
CN106789124A (zh) * 2017-02-21 2017-05-31 中国联合网络通信集团有限公司 Wap流量检测方法及其系统、ggsn服务器和wap网关
JP7148947B2 (ja) 2017-06-07 2022-10-06 コネクトフリー株式会社 ネットワークシステムおよび情報処理装置
CN109388710A (zh) * 2018-08-24 2019-02-26 国家计算机网络与信息安全管理中心 一种ip地址业务属性标定方法及装置
US10992671B2 (en) 2018-10-31 2021-04-27 Bank Of America Corporation Device spoofing detection using MAC authentication bypass endpoint database access control
CN112311722B (zh) * 2019-07-26 2023-05-09 中国移动通信有限公司研究院 一种访问控制方法、装置、设备及计算机可读存储介质
CN111132162B (zh) * 2019-12-26 2022-11-22 新华三技术有限公司成都分公司 一种终端信息的获取方法及装置
US20230026121A1 (en) * 2021-07-22 2023-01-26 Stripe, Inc. Systems and methods for privacy preserving fraud detection during electronic transactions

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695924B1 (ko) 1998-01-29 2007-03-20 아이피 다이내믹스 인코포레이티드 네트워크 상에서 목적지로 전송되는 데이터를 라우팅하기 위하여 도메인명을 이용하는 시스템 및 방법
JP2007122692A (ja) 2005-09-30 2007-05-17 Trend Micro Inc セキュリティ管理装置、通信システムおよびアクセス制御方法
US20080147837A1 (en) 2005-02-24 2008-06-19 Amit Klein System and Method for Detecting and Mitigating Dns Spoofing Trojans

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3642004B2 (ja) * 2000-05-22 2005-04-27 日本電気株式会社 中継装置、移動体無線通信システム、その障害通知方法、及びその障害通知プログラムを記録した記録媒体
US7673336B2 (en) * 2005-11-17 2010-03-02 Cisco Technology, Inc. Method and system for controlling access to data communication applications
CN101212387B (zh) * 2006-12-30 2011-04-20 中兴通讯股份有限公司 一种电路交换网络与ip多媒体子系统的互通方法
US7706267B2 (en) * 2007-03-06 2010-04-27 Hewlett-Packard Development Company, L.P. Network service monitoring
CN101272407B (zh) * 2008-04-28 2010-07-21 杭州华三通信技术有限公司 域名系统的缓存探测方法、缓存探测装置和探测响应装置
US7930428B2 (en) * 2008-11-11 2011-04-19 Barracuda Networks Inc Verification of DNS accuracy in cache poisoning
CN101420433B (zh) * 2008-12-01 2013-03-13 成都市华为赛门铁克科技有限公司 防御域名系统欺骗攻击的方法及装置
CN102801716B (zh) * 2012-08-01 2015-04-08 杭州迪普科技有限公司 一种dhcp防攻击方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100695924B1 (ko) 1998-01-29 2007-03-20 아이피 다이내믹스 인코포레이티드 네트워크 상에서 목적지로 전송되는 데이터를 라우팅하기 위하여 도메인명을 이용하는 시스템 및 방법
US20080147837A1 (en) 2005-02-24 2008-06-19 Amit Klein System and Method for Detecting and Mitigating Dns Spoofing Trojans
JP2007122692A (ja) 2005-09-30 2007-05-17 Trend Micro Inc セキュリティ管理装置、通信システムおよびアクセス制御方法

Also Published As

Publication number Publication date
US20150295938A1 (en) 2015-10-15
EP2924941B1 (en) 2019-09-11
KR20150100887A (ko) 2015-09-02
WO2014101023A1 (zh) 2014-07-03
JP6074781B2 (ja) 2017-02-08
EP2924941A1 (en) 2015-09-30
JP2016506677A (ja) 2016-03-03
CN103404182A (zh) 2013-11-20
EP2924941A4 (en) 2015-12-09

Similar Documents

Publication Publication Date Title
KR101769222B1 (ko) 서비스 불법 액세스를 예방하는 방법 및 장치
US7958258B2 (en) Mobile communication device domain name system redirection
JP6007458B2 (ja) パケット受信方法、ディープ・パケット・インスペクション装置及びシステム
JP5624973B2 (ja) フィルタリング装置
US9954737B2 (en) Policy formulating method, policy server, and gateway
CN107888605B (zh) 一种物联网云平台流量安全分析方法和系统
EP2456246A1 (en) Network selection method based on multi-link and apparatus thereof
CN101400109B (zh) 通用业务开放接口系统和通用业务开放方法
KR101272670B1 (ko) 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN102695167B (zh) 移动用户身份标识管理方法和装置
CN102025793A (zh) 一种ip网络中的域名解析方法、系统及dns服务器
CN101056185A (zh) 订购业务处理方法和系统、及网关设备
US7886043B1 (en) Hybrid method and apparatus for URL filtering
CN107959576A (zh) 流量计费方法和系统以及缓存装置
CN105208553A (zh) Ccmanet请求节点检索隐私的保护方法及系统
US8699482B2 (en) Communication system and communication method
CN109309907B (zh) 用于流量计费的方法、装置及其相关设备
US20130268662A1 (en) Hypertext transfer protocol http stream association method and device
CN101159924B (zh) 用户信息的提供方法及装置
JP2009296494A (ja) 情報通信ネットワーク、ゲートウェイ、課金サーバ、情報通信ネットワークの課金方法、及び課金プログラム
KR20040064991A (ko) 인터넷 연동 게이트웨이의 이동 통신 단말기 접속 차단시스템 및 방법
CN115460270B (zh) 一种5g upf违规业务阻断方法及相关设备
EP3322124A1 (en) Control method for application feature rules and application feature server
US20230141028A1 (en) Traffic control server and method
KR20160075655A (ko) 데이터 처리 방법, 디바이스 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant