KR20030070669A - 네트워크 접속 차단 시스템 및 그 방법 - Google Patents

네트워크 접속 차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR20030070669A
KR20030070669A KR1020020010156A KR20020010156A KR20030070669A KR 20030070669 A KR20030070669 A KR 20030070669A KR 1020020010156 A KR1020020010156 A KR 1020020010156A KR 20020010156 A KR20020010156 A KR 20020010156A KR 20030070669 A KR20030070669 A KR 20030070669A
Authority
KR
South Korea
Prior art keywords
blocking
connection
host
packet
network
Prior art date
Application number
KR1020020010156A
Other languages
English (en)
Other versions
KR100527794B1 (ko
Inventor
이판정
배진현
조병철
Original Assignee
(주)넷피아닷컴
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR10-2002-0010156A priority Critical patent/KR100527794B1/ko
Application filed by (주)넷피아닷컴 filed Critical (주)넷피아닷컴
Priority to AU2002304185A priority patent/AU2002304185A1/en
Priority to EP02730949A priority patent/EP1479191B1/en
Priority to CNB028260481A priority patent/CN100481771C/zh
Priority to AT02730949T priority patent/ATE404927T1/de
Priority to ES02730949T priority patent/ES2312573T3/es
Priority to PCT/KR2002/000955 priority patent/WO2003073696A1/en
Priority to DE60228331T priority patent/DE60228331D1/de
Priority to JP2003572248A priority patent/JP2005518762A/ja
Publication of KR20030070669A publication Critical patent/KR20030070669A/ko
Application granted granted Critical
Publication of KR100527794B1 publication Critical patent/KR100527794B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크 접속 차단 시스템 및 그 방법에 관한 것이다.
본 발명에서는 네트워크를 통하여 다수의 제1 호스트 및 제2 호스트 사이의 접속 차단을 제어하기 위하여, 네트워크 상에서 제1 호스트로부터의 전송 패킷 발생 여부를 모니터링하고, 전송 패킷이 생성되면 생성된 전송 패킷을 수신한다. 수신된 전송 패킷에 포함되어 있는 목적지가 접속 차단 대상인지를 판단한 다음에, 상기 판단 결과에 따라 상기 전송 패킷의 목적지가 접속 차단 대상인 경우에 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하여, 상기 제1 호스트가 네트워크 접속 시도를 중지하도록 한다.
이러한 본 발명에 따르면, 기존의 네트워크 구성의 변화 없이도 특정 호스트로의 접속을 용이하게 차단할 수 있다. 그 결과, 네트워크상의 불필요한 접속 요청을 차단하여 대역폭의 과부하를 감소시킬 수 있다.

Description

네트워크 접속 차단 시스템 및 그 방법{system for interceptting an acces of a network and method thereof}
본 발명은 네트워크 접속 차단 시스템 및 그 방법에 관한 것으로, 더욱 상세하게 말하자면, 인터넷 등의 네트워크 상의 특정 사이트로의 접속을 선택적으로 차단하는 시스템 및 그 방법에 관한 것이다.
최근에는 네트워크 기술 발전에 따라 전 세계의 다양한 정보들을 인터넷 (internet)이라는 거대한 연결망을 통하여 공유할 수 있게 되었으며, 이에 따라 인터넷을 통하여 다양한 서비스를 제공하는 싸이트들이 증가되고 있다.
이러한 과정에서 좋지 않은 정보를 제공하는 유해 사이트들 또한 활성화되고 있다. 이와 관련하여 일각에서는 청소년을 보호해야 한다는 목소리가 높아지고 있으며, 이에 따라 청소년들이 유해 사이트로 접속하지 못하도록 하는 솔루션들의 개발이 이루어지고 있다.
유해 사이트 등의 특정 사이트 접속을 차단하는 방식은 일반적으로 크게 클라이언트 중심 방식과 서버 중심 방식으로 나뉘어진다.
클라이언트 중심 방식은 각 PC에 예를 들어 음란 차단 소프트웨어를 설치하고 미리 데이터베이스에 등록되어 있는 특정 사이트로의 접속 요청이 있을 경우, 이를 차단하는 방식으로, 초기에 많이 사용되었다.
그러나, 이러한 방식은 프로그램 배포가 원활하게 이루어지지 않으며, OS(operating system)를 재설치할때마다 해당 소프트웨어를 다시 설치해야 하는 번거로움이 있다.
서버 중심 방식은 프록시(proxy) 서버 방식이라고도 하며, 프록시 서버에서 이미 등록되어 있는 특정 사이트로의 접속 요청이 있으면 해당 사이트로의 접속을 차단시키는 방식이다. 이 방식은 클라이언트마다 프로그램을 설치할 필요는 없지만, 네트워크내의 모든 사용자가 해당 프록시 서버를 반드시 사용하도록 네트워크를 재구성해야 하며, 사용자 그룹마다 차등을 두기 위해서는 각 그룹별로 다른 네트워크를 구성해야 하는 단점이 있다.
그러므로 본 발명이 이루고자 하는 기술적 과제는 종래의 단점을 해결하기위한 것으로, 접속 차단을 원하는 사용자에게만 특정 사이트로의 접속을 차단시키고자 하는데 있다.
특히, 클라이언트마다 사이트 접속 차단을 위한 별도의 프로그램을 설치할 필요가 없으며, 네트워크를 재구성할 필요 없이 특정 사이트로의 접속을 차단하고자 하는데 있다.
도 1은 일반적인 TCP/IP 프로토콜의 계층 구조를 나타낸 도이다.
도 2는 본 발명의 실시예에 따른 네트워크 접속 차단 시스템의 구조를 나타낸 도이다.
도 3은 본 발명의 실시예에 따른 접속 차단 패킷의 구조도이다.
도 4는 본 발명의 실시예에 따른 네트워크 접속 차단 과정을 순차적으로 나타낸 순서도이다.
이러한 기술적 과제를 달성하기 위한, 본 발명의 특징에 따른 네트워크 접속 차단 시스템은, 네트워크를 통하여 다수의 제1 호스트 및 제2 호스트에 연결되어 있는 접속 차단 시스템으로서, 접속 차단 대상이 되는 제2 호스트들의 정보와 차단 설정 관련 정보가 저장되어 있는 차단 정보 데이터베이스; 상기 네트워크 상에서 제1 호스트로부터의 전송 패킷 발생 여부를 모니터링하며, 발생된 전송 패킷을 수신하는 네트워크 모니터링부; 상기 수신된 전송 패킷에 포함되어 있는 목적지가 상기 차단 정보 데이터 베이스에 저장된 정보를 토대로 접속 차단 대상인지를 판단하는 접속 처리부; 및 상기 판단 결과에 따라 상기 전송 패킷의 목적지가 접속 차단 대상인 경우에 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하여, 상기 제1 호스트가 네트워크 접속 시도를 중지하도록 하는 패킷 생성부를 포함한다.
여기서, 접속 차단 패킷은 "네트워크 연결 불능" 코드를 가지는 ICMP (internet control message protocol) 메시지 형태로 이루어진다. 이 때, 상기 제1 호스트는 상기 접속 차단 패킷이 수신되면 네트워크 연결 상태가 불능인 것으로 판단하여 제2 호스트로의 접속 시도를 중지한다.
또한, 상기 접속 차단 시스템은 ISP(internet service provider)로부터 접속 차단을 요청한 제1 호스트들의 IP 주소를 제공받으며, 상기 접속 처리부는 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하는 경우에, 전송 패킷의 목적지가 접속 차단 대상인지를 판단하여 접속 차단 처리를 선택적으로 수행한다.
한편, 상기 차단 정보 데이터베이스에 저장되는 차단 설정 관련 정보는 접속 차단대상인 제2 호스트로의 차단을 원하는 날짜, 기간, 시간을 포함하며, 접속 처리부는 전송 패킷의 목적지가 접속 차단 대상인 경우에, 상기 차단 설정 관련 정보를 토대로 상기 접속 차단 대상이 현재 날짜나 시간에 차단되도록 설정되어 있으면 상기 패킷 생성부가 접속 차단 처리를 수행하도록 할 수 있다.
또한, 상기 차단 설정 관련 정보는 접속 차단을 요청한 사용자의 인증 정보를 포함할 수 있으며, 상기 접속 처리부는 인증된 사용자의 요청에 따라 상기 날짜나 시간의 변경 및 차단 해지를 수행한다.
이러한 구조로 이루어지는 접속 차단 시스템에서, 상기 다수의 제1 호스트들은 스위칭 허브에 연결되어 있으며, 상기 접속 차단 시스템은 상기 스위칭 허브에 연결된 더미 허브를 통하여 제1 호스트들로부터 생성되는 패킷을 모니터링하고 송수신한다.
본 발명의 다른 특징에 따른 접속 차단 방법은, 네트워크를 통하여 다수의 제1 호스트 및 제2 호스트 사이의 접속 차단을 제어하는 방법으로, a) 네트워크 상에서 제1 호스트로부터의 전송 패킷 발생 여부를 모니터링하는 단계; b) 상기 네트워크상에서 제1 호스트로부터 생성된 전송 패킷을 수신하는 단계; c) 상기 수신된 전송 패킷에 포함되어 있는 목적지인 제2 호스트가 접속 차단 대상인지를 판단하는 단계; 및 d) 상기 판단 결과에 따라 상기 전송 패킷의 목적지인 제2 호스트가 접속 차단 대상인 경우에 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하여, 상기 제1 호스트가 네트워크 접속 시도를 중지하도록 하는 단계를 포함한다.
여기서, 접속 차단 대상 판단 단계는, ISP(internet service provider)로부터 접속 차단을 요청한 제1 호스트들의 IP 주소를 제공받는 단계; 상기 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하지를 판단하는 단계; 상기 판단 결과 상기 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하는 경우에, 상기 전송 패킷의 목적지가 접속 차단 대상인지를 판단하는 단계를 포함할 수 있다.
또한, 제1 호스트 사용자로부터 접속 차단 대상이 되는 제2 호스트에 대하여 접속 차단을 원하는 날짜나, 시간을 제공받아 설정하는 단계; 및 인증된 사용자에 대하여 상기 날짜나 시간의 변경 및 차단 해지를 수행하는 단계를 더 포함할 수 있으며, 이 경우에 상기 d) 단계는, 상기 전송 패킷의 목적지인 제2 호스트가 접속 차단 대상이면서 현재 날짜나 시간에 접속이 차단되도록 설정되어 있는 경우에, 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송한다.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 가장 바람직한 실시예를 첨부된 도면을 참조로 하여 상세히 설명한다.
초기의 네트워크는 몇 몇 사용자들에 의하여 독립적인 형태로 존재하였다. 이에 따라 사용자들은 통신을 위해서는 하드웨어 사용을 자신들이 속해 있는 네트워크 사양에 맞춰서 설정해야 했으며, 더욱이 모든 네트워크 사양을 지원하는 단일 네트워크가 존재하지 않기 때문에 하나의 하드웨어 사양을 이용한 광범위한 네트워크를 만드는 것이 불가능했다.
이를 해결하기 위하여 서로 다른 기종간의 통신을 위하여 TCP/IP ((Transmission Control Protocol/Internet Protocol)가 개발되었으며, 이것은 패킷 스위칭 네트워크 ARPANET(Advanced Research Projects Agency Network) 의 기반이 되었다. TCP/IP 기술은 가정과 대학 캠퍼스, 학교, 기업 그리고 정부 연구 기관 등이 서로 연결된 전세계적인 규모의 인터넷을 구성하는 기반을 만들었다.
도 1에 TCP/IP 프로토콜의 일반적인 구조가 도시되어 있다.
이러한 TCP/IP 프로토콜은 도 1에서와 같이, 어플리케이션 레이어 (application layer), 호스트간 전송 레이어(host-to-host transport layer), 인터넷 레이어(internet layer), 및 네트워크 인터페이스 레이어(network interface layer)로 이루어진다.
인터넷 레이어는 송신측 호스트에서 목적지인 수신측 호스트로 가는 데이터의 경로를 설정하는데 관여하며, IP(internet protocol), ICMP(internet control message protocol), IGMP(internet group management protocol), ARP(address resolution protocol) 등이 포함된다
IP는 네트워크 내부 및 네트워크간의 데이터 패킷(데이터그램)의 송수신을제어하는 프로토콜로서, OSI 모델에서 네트워크층(network layer)에 해당한다. ICMP는 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 에러를 알려주는 프로토콜이다. ICMP의 제어 메시지는 IP 데이터그램의 데이터부에 실려서 송신되고, 전송 에러의 제어, 최종 목적지에 도달가능한가의 테스트와 원래 호스트로의 보고, 호스트나 게이트웨이가 처리할 수 없는 전송 속도시의 속도 조정, 게이트웨이로부터의 통신 경로 변경 요구 등의 기능을 가지고 있다.
본 발명의 실시예에서는 이러한 기능을 가지는 ICMP를 이용하여 마치 네트워크의 연결 상태가 물리적으로 불량인 것으로 인식하도록 하여, 특정 호스트로부터 송신되는 패킷을 수신하지 않도록 한다.
도 2에 본 발명의 실시예에 따른 접속 차단 시스템의 구조가 도시되어 있다.
본 발명의 실시예에 따른 접속 차단 시스템(10)은, 인터넷(20)을 통하여 제1 호스트(31∼3n)와 제2 호스트(41∼4m)와 연결되어 있다. 구체적으로, 다수의 제1 호스트(31∼3n)를 연결하는 스위칭 허브(50)에 연결된 더미 허브(60)에 접속 차단 시스템(10)이 연결되어 있으며, 더미 허브(60)는 라우터(70)를 통하여 인터넷(20)에 연결되어 있고, 다수의 제2 호스트(41∼4m)들이 인터넷(20)에 연결되어 있다. 따라서 접속 차단 시스템(10)은 더미 허브(60), 스위칭 허브(50)를 통하여 제1 호스트(31∼3n)와 패킷을 송수신할 수 있으며, 더미 허브(60), 라우터(70), 인터넷 (20)을 통하여 제2 호스트(41∼4m)와 패킷을 송수신할 수 있다.
여기서는, 설명의 편의상 접속을 하고자 하는 호스트 즉, 인터넷을 통해 다른 컴퓨터들과 쌍방향 통신이 가능한 컴퓨터를 "제1 호스트"라고 명명하고, 접속대상이 되는 호스트들 예를 들어 사이트 등을 "제2 호스트"라고 명명하였으나, 반드시 이에 한정되지는 않는다.
스위칭 허브(50)의 다수의 포트에 각 제1 호스트(31∼3n)가 연결되어 있으므로, 각 포트에 연결된 제1 호스트(31∼3n)로부터 생성된 데이터들은 스위칭 허브 (50)로 입력되어 송신되며, 스위칭 허브(50)는 데이터를 해석하여 보낼 곳을 선별하여 보내거나 포트미러링(port mirroring) 설정이 되어 있을 경우 브로드캐스팅 (broadcasting)을 한다. 여기서, 네트워크 속도를 향상시키기 위하여 사용되었으나, 대신에 일반적인 허브가 사용될 수도 있다.
더미 허브(60)는 브로드캐스팅 방식으로만 동작하기 때문에 스위칭 허브(50)에서 포트미러링을 지원하지 않을 경우에 스위칭 허브(50)와 접속 차단 시스템을 연결시키는 기능을 수행한다.
라우터(70)는 동일한 전송 프로토콜을 사용하는 분리된 네트워크를 연결하는 장치로서, 네트워크 계층간을 서로 연결하여 데이터 전송이 이루어지도록 한다. 즉, 경로 배정표에 따라 다른 네트워크 또는 자신의 네트워크 내의 노드를 결정한다. 그리고 여러 경로 중 가장 효율적인 경로를 선택하여 데이터를 보낸다.
더미 허브(60)에 연결되어 특정 호스트로의 접속 차단을 수행하는 접속 차단 시스템(10)은, 차단 정보 데이터베이스(11), 네트워크 모니터링부(12), 접속 처리부(13) 및 패킷 생성부(14)를 포함한다.
차단 정보 데이터베이스(11)는 접속 차단 대상이 되는 제2 호스트의 정보와 차단 설정 관련 정보(예를 들어, 차단을 원하는 날짜, 기간, 시간, 차단 신청자의인증 정보 등)가 저장되어 있다. 예를 들어, 음란 사이트 등에 해당하는 제2 호스트의 IP 주소, URL(Uniform Resource Locator) 등의 정보가 저장되어 있다. 이외에도 접속 차단을 요청한 제1 호스트에 대해서만 접속 차단을 수행하기 위하여, ISP(internet service provider)로부터 제공받은 접속 차단 요청자들의 정보(IP 주소 등)가 저장될 수도 있다.
네트워크 모니터링부(12)는 더미 허브(60)를 통하여 네트워크 상에 패킷 송신이 이루어지고 있는가를 모니터링하여, 브로드캐스팅되는 패킷을 수신한다.
접속 처리부(13)는 네트워크 모니터링부(12)에 의하여 수신된 패킷이 송신되어야 하는 목적지 주소가 차단 정보 데이터베이스(11)에 저장되어 있는지의 여부에 따라, 해당 목적지로의 접속 여부를 판단한다.
패킷 생성부(14)는 접속 처리부(13)로부터의 판단 결과에 따라 해당 패킷(이하, "전송 패킷"이라고 명명함)이 송신될 목적지가 접속 차단 대상인 호스트에 해당하는 경우에, 접속 차단 패킷을 생성하여 전송 패킷을 송신한 제1 호스트로 전송하여, 제1 호스트가 현재 네트워크 연결 상태가 불능 상태인 것으로 인지하도록 한다.
본 발명의 실시예에 따른 접속 차단 패팃은 ICMP 메시지 형태로 생성된다. 도 3에 ICMP 메시지의 구조가 간략하게 도시되어 있다.
접속 차단 패킷은 64비트 헤더를 가지는 ICMP 메시지로서, 첨부한 도 3에 도시되어 있듯이, 다수의 타입으로 이루어지며, 각 타입별로 다수의 코드를 가진다. 또한, 수신측에서 같은 수의 비트가 도착했는지를 확인 할 수 있도록 전송단위 내의 비트 수를 나타내는 체크섬(checksum)을 포함하여 수신 에러 등이 검증되도록 한다.
여기서는 코드에 "네트워크 연결 불능(network unreachable)" 코드가 기록되어 전송되어, 제1 호스트가 네트워크 연결 상태가 불능 상태인 것으로 인식하도록 한다. 따라서, 제1 호스트는 네트워크 연결 불능인지에 따라 접속 시도를 중지함으로써, 이후에 패킷의 목적지인 제2 호스트로부터 응답 패킷이 송신되어도 제1 호스트는 수신하지 않게 된다.
다음에는 이러한 구조로 이루어지는 접속 차단 시스템을 토대로 하여 본 발명의 실시예에서 특정 호스트로의 접속 차단이 이루어지는 방법에 대한 보다 구체적으로 설명한다.
도 4에 본 발명의 실시예에 따른 접속 차단 과정이 순차적으로 도시되어 있다.
본 발명의 실시예에 따른 접속 차단 시스템(10)은 네트워크 상에서의 패킷 발생 여부를 모니터링하기 위한 모드로 동작하며, 예를 들어, 프로미스코스 (promiscous) 모드로 동작가능하다.
이러한 상태에서, 첨부한 도 4a에 도시되어 있듯이, 인터넷(20)에 연결되어 있는 특정 사이트인 제2 호스트(이하, "41"을 부여함)로 접속하고자 하는 제1 호스트(이하, "31"을 부여함)가, 목적지가 접속하고자 하는 제2 호스트의 주소로 이루어진 전송 패킷을 생성한다(S100).
이와 같이, 각각의 제1 호스트에서 생성된 전송 패킷은 해당 포트를 통하여스위칭 허브(50)로 전송되며, 스위칭 허브(50)는 전송 패킷을 브로드캐스팅한다 (S110). 따라서, 전송 패킷은 LAN(80)에 연결되어 있는 다른 제1 호스트로 전송되며, 뿐만 아니라 더미 허브(60)에 연결되어 있는 접속 차단 시스템(10)에도 전송된다. 또한, 전송 패킷은 라우터(70)를 통하여 해당 목적지인 제2 호스트(41)로도 전송된다.
접속 차단 시스템(10)의 네트워크 모니터링부(12)는 프로미스코스 모드로 동작하면서 "포트 미러링(port mirroring)" 기능을 이용하여 네트워크를 감시하고 있다가(S120), 제1 호스트로부터의 전송 패킷 송신이 발생되면, 브로드캐스팅 되는 전송 패킷을 수신하여 접속 처리부(13)로 제공한다(S130).
접속 처리부(13)는 먼저, 전송 패킷을 송신한 제1 호스트가 접속 차단 서비스를 요청한 사용자인지를 판단한다(S140∼S150).
본 실시예에서는 ISP 가입자 전체를 대상으로 하여 일괄적으로 차단하지 않고, ISP로 인터넷 차단 신청을 한 사용자에 대해서만 차단이 이루어질 수도 있도록하기 위하여, ISP 가입자가 특정 사이트(제2호스트)로의 접속 차단을 요청하면 ISP는 해당 가입자를 접속 차단 요청자로 등록하고, 이러한 정보를 접속 차단 시스템으로 제공할 수 있다.
이 경우 접속 차단 요청자 정보(IP 주소 등)는 차단 정보 데이터베이스(11)에 저장되며, 접속 처리부(13)는 차단 정보 데이터베이스(11)에 저장된 정보를 토대로 전송 패킷을 생성한 제1 호스트(31)의 IP가 ISP로부터 제공된 접속 차단 요청자에 해당하는지를 판단하고, 접속 차단 요청자인 경우에 해당 전송 패킷의 목적지가 차단 대상인지를 판단한다.
접속 처리부(13)는 네트워크 모니터링부(12)로부터 제공된 전송 패킷을 분석하여 전송 패킷이 송신되어야 할 목적지 주소를 찾은 다음에, 목적지 주소가 차단 정보 데이터베이스(11)에 저장되어 있는지를 판단한다(S160).
전송 패킷의 목적지 주소가 차단 정보 데이터베이스(11)에 저장되어 있는 경우에는, 전송 패킷의 목적지가 접속 차단 대상 예를 들어, 음란 사이트 등인 것으로 판단하여, 패킷 생성부(14)를 제어하여 접속을 요청한 제1 호스트와 접속 대상인 제2 호스트간에 패킷 송수신이 이루어지지 않도록, 접속을 요청한 제1 호스트를 목적지로 하는 접속 차단 패킷을 위에 기술된 바와 같이, "네트워크 연결 불능" 코드를 가지는 ICMP 메시지 형태로 생성하도록 한다(S170∼S180).
이와 같이 패킷 생성부(14)에서 생성된 접속 차단 패킷은 더미 허브(60)를 통하여 스위칭 허브(50)로 전송되며, 스위칭 허브(50)는 전송된 접속 차단 패킷의 목적지 주소에 따라 접속 차단 패킷을 해당 제1 호스트(31)로 전송한다(S190).
제1 호스트(31)는 접속 요청에 이후에 접속 차단 패킷이 송신되고, 접속 차단 패킷의 코드가 "네트워크 연결 불능" 코드인 경우에는 현재 제2 호스트로의 접속이 물리적으로 불가능한 상태인 것으로 판단하여 접속 시도를 중단한다 (S200∼S210). 이것은 랜선이 빠져 있거나 라우터에 장애가 있어서 해당 사이트로의 접속이 불가능한 것과 같은 현상이다.
따라서, 이후에 라우터(70)를 통하여 전송 패킷을 수신한 제2 호스트(예를 들어, 음란 사이트)가 목적지로 전송 패킷을 전송한 제1 호스트가 기재되어 있는응답 패킷을 생성하여 제1 호스트로 전송하여도, 이미 제1 호스트는 네트워크의 물리적 접속 불능에 따라 접속 시도를 중지한 상태임으로, 응답 패킷이 제1 호스트로 수신되지 않는다.
그 결과, 각 제1 호스트마다 접속 차단 프로그램을 설치하지 않았어도, 또한 모든 제1 호스트가 특정 프록시 서버를 반드시 사용하도록 네트워크를 구성하지 않아도, 특정 사이트로의 접속 차단이 용이하게 이루어진다.
한편, 전송 패킷의 목적지 주소가 차단 정보 데이터베이스(11)에 저장되어 있지 않은 경우에는, 전송 패킷의 목적지가 접속 차단 대상이 아닌 것으로 판단하여 접속 차단 처리를 수행하지 않는다. 따라서, 이 경우에는 네트워크상에 브로드캐스팅된 전송 패킷은 라우터(70)를 통하여 해당 목적지인 제2 호스트(41)로 전송되면, 제2 호스트(41)는 전송 패킷에 해당하는 응답 패킷을 생성하여 다시 제1 호스트(31)로 전송한다. 그 결과, 제1 호스트(31)와 제2 호스트(41)간에 패킷 송수신이 이루어지게 되어, 제1 호스트(31)는 제2 호스트(41)로부터 원하는 정보를 얻게 된다(S220).
이러한 접속 차단은 ISP 규모에 적용가능하며, 이외에도 LAN 등의 작은 규모의 네트워크에도 적용 가능하다.
한편, 위의 접속 차단 과정에서 접속 차단을 요청한 사용자인지를 판단하는 단계(S1140∼S150)가 생략 가능하다. 즉, 전송 패킷을 생성한 제1 호스트가 접속 차단을 요청한 사용자인지를 확인하지 않고 단지 전송 패킷의 목적지가 접속 차단 대상에 해당하는지의 여부만을 판단하여 위에 기술된 바와 같이 특정 호스트로의접속 차단이 이루어지도록 할 수 있다.
또한, 각 제1 호스트별로 접속 차단을 하고자 하는 제2 호스트들을 설정하여, 각각의 제1 호스트별로 특정 호스트로의 접속 차단이 이루어지도록 할 수 있다.
또한, 이러한 접속 차단을 년별, 월별, 일별로 구분하여 접속 차단 요청자에 한하여 수행할 수 있다. 즉, 접속 차단 요청자는 특정 날짜나 시간에 특정 주소로의 접속 차단을 요청할 수 있으며, 이에 따라 전송 패킷이 송신되어야 할 목적지 주소가 접속 차단 대상이면서, 현재 날짜나 시간에 접속 차단되도록 설정되어 있는 경우에만 위에 기술된 바와 같이 접속 차단을 수행할 수 있다. 이 경우에는 해당 요청자만이 접속 차단이나 해지를 설정할 수 있도록, 요청자의 인증 정보를 차단 정보 데이터베이스 등에 저장하여야 하며, 접속 차단 시스템은 이러한 인증 정보를 토대로 하여 요청자 인증 과정을 수행한 다음에 접속 차단이나 해지를 수행한다. 이 때, 차단 정보 데이터베이스에 저장되는 차단 설정 관련 정보는 제1 호스트별로 특정한 제2호스트로의 차단을 원하는 날짜, 기간, 시간, 차단 신청자의 인증 정보를 포함한다.
비록, 본 발명이 가장 실제적이며 바람직한 실시예를 참조하여 설명되었지만, 본 발명은 상기 개시된 실시예에 한정되지 않으며, 후술되는 특허청구범위 내에 속하는 다양한 변형 및 등가물들도 포함한다.
이상에서와 같이, 본 발명의 실시예에 따르면 클라이언트마다 접속 차단 프로그램을 설치하지 않았어도, 또한 모든 클라이언트가 특정 프록시 서버를 반드시 사용하도록 네트워크를 구성하지 않아도, 특정 사이트로의 접속 차단이 용이하게 이루어진다.
또한, 기존의 네트워크 구성의 변화 없이도 특정 사이트 접속을 용이하게 차단할 수 있다.
또한, 차단을 원하는 특정 IP에 대해서만 접속 차단을 수행할 수 있다.
따라서, 네트워크상의 불필요한 접속 요청을 차단함으로써, 대역폭의 과부하를 감소시킬 수 있다.

Claims (9)

  1. 네트워크를 통하여 다수의 제1 호스트 및 제2 호스트에 연결되어 있는 접속 차단 시스템에 있어서,
    접속 차단 대상이 되는 제2 호스트들의 정보와 차단 설정 관련 정보가 저장되어 있는 차단 정보 데이터베이스;
    상기 네트워크 상에서 제1 호스트로부터의 전송 패킷 발생 여부를 모니터링하며, 발생된 전송 패킷을 수신하는 네트워크 모니터링부;
    상기 수신된 전송 패킷에 포함되어 있는 목적지가 상기 차단 정보 데이터 베이스에 저장된 정보를 토대로 접속 차단 대상인지를 판단하는 접속 처리부; 및
    상기 판단 결과에 따라 상기 전송 패킷의 목적지가 접속 차단 대상인 경우에 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하여, 상기 제1 호스트가 네트워크 접속 시도를 중지하도록 하는 패킷 생성부
    를 포함하는 접속 차단 시스템.
  2. 제1항에 있어서,
    상기 접속 차단 패킷은 "네트워크 연결 불능" 코드를 가지는 ICMP(internet control message protocol) 메시지 형태로 이루어지며,
    상기 제1 호스트는 상기 접속 차단 패킷이 수신되면 네트워크 연결 상태가 불능인 것으로 판단하여 제2 호스트로의 접속 시도를 중지하는 것을 특징으로 접속차단 시스템.
  3. 제1항에 있어서,
    상기 접속 차단 시스템은 ISP(internet service provider)로부터 접속 차단을 요청한 제1 호스트들의 IP 주소를 제공받으며,
    상기 접속 처리부는 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하는 경우에, 전송 패킷의 목적지가 접속 차단 대상인지를 판단하여 접속 차단 처리를 선택적으로 수행하도록 하는 접속 차단 시스템.
  4. 제1항에 있어서,
    상기 차단 정보 데이터베이스에 저장되는 차단 설정 관련 정보는 접속 차단대상인 제2 호스트로의 차단을 원하는 날짜, 시간을 포함하며,
    상기 접속 처리부는 전송 패킷의 목적지가 접속 차단 대상인 경우에, 상기 차단 설정 관련 정보를 토대로 상기 접속 차단 대상이 현재 날짜나 시간에 차단되도록 설정되어 있으면 상기 패킷 생성부가 접속 차단 처리를 수행하도록 하는 접속 차단 시스템.
  5. 제1항에 있어서,
    상기 차단 설정 관련 정보는 접속 차단을 요청한 사용자의 인증 정보를 포함하며,
    상기 접속 처리부는 인증된 사용자의 요청에 따라 상기 날짜나 시간의 변경 및 차단 해지를 수행하는 접속 차단 시스템.
  6. 제1항에 있어서,
    상기 다수의 제1 호스트들은 스위칭 허브에 연결되어 있으며, 상기 접속 차단 시스템은 상기 스위칭 허브에 연결된 더미 허브를 통하여 제1 호스트들로부터 생성되는 패킷을 모니터링하고 송수신하는 것을 특징으로 하는 접속 차단 시스템.
  7. 네트워크를 통하여 다수의 제1 호스트 및 제2 호스트 사이의 접속 차단을 제어하는 방법에 있어서,
    a) 네트워크 상에서 제1 호스트로부터의 전송 패킷 발생 여부를 모니터링하는 단계;
    b) 상기 네트워크상에서 제1 호스트로부터 생성된 전송 패킷을 수신하는 단계;
    c) 상기 수신된 전송 패킷에 포함되어 있는 목적지인 제2 호스트가 접속 차단 대상인지를 판단하는 단계; 및
    d) 상기 판단 결과에 따라 상기 전송 패킷의 목적지인 제2 호스트가 접속 차단 대상인 경우에 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하여, 상기 제1 호스트가 네트워크 접속 시도를 중지하도록 하는 단계
    를 포함하는 접속 차단 방법.
  8. 제7항에 있어서,
    상기 a) 단계는,
    ISP(internet service provider)로부터 접속 차단을 요청한 제1 호스트들의 IP 주소를 제공받는 단계;
    상기 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하지를 판단하는 단계; 및
    상기 판단 결과 상기 전송 패킷을 생성한 제1 호스트의 IP가 상기 ISP로부터 제공된 IP에 해당하는 경우에, 상기 전송 패킷의 목적지인 제2 호스트가 접속 차단 대상인지를 판단하는 단계
    를 포함하는 접속 차단 방법.
  9. 제7항에 있어서,
    제1 호스트 사용자로부터 접속 차단 대상이 되는 제2 호스트에 대하여 접속 차단을 원하는 날짜나, 시간을 제공받아 설정하는 단계; 및
    인증된 사용자에 대하여 상기 날짜나 시간의 변경 및 차단 해지를 수행하는 단계를
    더 포함하고,
    상기 d) 단계는,
    상기 전송 패킷의 목적지인 제2 호스트가 접속 차단 대상이면서 현재 날짜나시간에 접속이 차단되도록 설정되어 있는 경우에, 접속 차단 패킷을 생성하여 상기 제1 호스트로 전송하는 접속 차단 방법.
KR10-2002-0010156A 2002-02-26 2002-02-26 네트워크 접속 차단 시스템 및 그 방법 KR100527794B1 (ko)

Priority Applications (9)

Application Number Priority Date Filing Date Title
KR10-2002-0010156A KR100527794B1 (ko) 2002-02-26 2002-02-26 네트워크 접속 차단 시스템 및 그 방법
EP02730949A EP1479191B1 (en) 2002-02-26 2002-05-21 System and method for intercepting network access
CNB028260481A CN100481771C (zh) 2002-02-26 2002-05-21 用于拦截网络访问的系统及其方法
AT02730949T ATE404927T1 (de) 2002-02-26 2002-05-21 System und verfahren zum abfangen eines netzwerkzugriffs
AU2002304185A AU2002304185A1 (en) 2002-02-26 2002-05-21 System for intercepting network access and method thereof
ES02730949T ES2312573T3 (es) 2002-02-26 2002-05-21 Sistema y procedimiento para interceptar un acceso de red.
PCT/KR2002/000955 WO2003073696A1 (en) 2002-02-26 2002-05-21 System for intercepting network access and method thereof
DE60228331T DE60228331D1 (de) 2002-02-26 2002-05-21 System und verfahren zum abfangen eines netzwerkzugriffs
JP2003572248A JP2005518762A (ja) 2002-02-26 2002-05-21 ネットワーク接続遮断システム及びその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0010156A KR100527794B1 (ko) 2002-02-26 2002-02-26 네트워크 접속 차단 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20030070669A true KR20030070669A (ko) 2003-09-02
KR100527794B1 KR100527794B1 (ko) 2005-11-09

Family

ID=27764618

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0010156A KR100527794B1 (ko) 2002-02-26 2002-02-26 네트워크 접속 차단 시스템 및 그 방법

Country Status (9)

Country Link
EP (1) EP1479191B1 (ko)
JP (1) JP2005518762A (ko)
KR (1) KR100527794B1 (ko)
CN (1) CN100481771C (ko)
AT (1) ATE404927T1 (ko)
AU (1) AU2002304185A1 (ko)
DE (1) DE60228331D1 (ko)
ES (1) ES2312573T3 (ko)
WO (1) WO2003073696A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100725910B1 (ko) * 2005-12-08 2007-06-11 홍상선 네트워크 안전접속방법
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
KR100986729B1 (ko) * 2008-03-18 2010-10-08 김만규 강관말뚝의 두부 보강장치
KR101065800B1 (ko) * 2008-10-30 2011-09-19 주식회사 케이티 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4628204B2 (ja) * 2005-07-05 2011-02-09 シャープ株式会社 画像形成装置
KR100882339B1 (ko) * 2007-01-19 2009-02-17 주식회사 플랜티넷 Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법
CN104702424A (zh) * 2013-12-05 2015-06-10 中国联合网络通信集团有限公司 一种网络行为监控的方法及装置
JP2019201364A (ja) * 2018-05-17 2019-11-21 日本電信電話株式会社 通信装置及び通信方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835722A (en) * 1996-06-27 1998-11-10 Logon Data Corporation System to control content and prohibit certain interactive attempts by a person using a personal computer
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
KR20010002535A (ko) * 1999-06-15 2001-01-15 홍창표 인터넷 유해 사이트 접속방지 시스템 및 그 방법
CA2397757C (en) * 2000-01-28 2009-09-08 Websense, Inc. System and method for controlling access to internet sites
KR100329545B1 (ko) * 2000-04-21 2002-04-01 김태주 유해사이트의 접속차단 서비스 제공장치 및 방법
KR20010105960A (ko) * 2000-05-19 2001-11-29 이동진 인터넷 유해정보 차단시스템
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
WO2001098934A2 (en) * 2000-06-20 2001-12-27 Privo, Inc. Method and apparatus for granting access to internet content
KR20020027702A (ko) * 2000-10-04 2002-04-15 김형준 인터넷상에서 유해 사이트 접속을 차단하는 방법
KR20020074334A (ko) * 2001-03-20 2002-09-30 송두환 조립식 수장구
KR20010103131A (ko) * 2001-10-29 2001-11-23 이돈원 유해 사이트 차단 방법
KR20030061143A (ko) * 2002-01-10 2003-07-18 (주)퀴스코 컨텐츠 필터링 기법 및 시스템

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
KR100725910B1 (ko) * 2005-12-08 2007-06-11 홍상선 네트워크 안전접속방법
KR100986729B1 (ko) * 2008-03-18 2010-10-08 김만규 강관말뚝의 두부 보강장치
KR101065800B1 (ko) * 2008-10-30 2011-09-19 주식회사 케이티 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체

Also Published As

Publication number Publication date
KR100527794B1 (ko) 2005-11-09
EP1479191B1 (en) 2008-08-13
WO2003073696A1 (en) 2003-09-04
ES2312573T3 (es) 2009-03-01
DE60228331D1 (de) 2008-09-25
EP1479191A4 (en) 2006-09-20
AU2002304185A1 (en) 2003-09-09
JP2005518762A (ja) 2005-06-23
CN100481771C (zh) 2009-04-22
ATE404927T1 (de) 2008-08-15
CN1608363A (zh) 2005-04-20
EP1479191A1 (en) 2004-11-24

Similar Documents

Publication Publication Date Title
US7894359B2 (en) System and method for distributing information in a network environment
CA2480496C (en) Monitoring of information in a network environment
KR100527794B1 (ko) 네트워크 접속 차단 시스템 및 그 방법
Cisco AppleTalk Commands
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco Routing AppleTalk
Cisco AppleTalk Commands
Cisco AppleTalk Routing Commands
Cisco AppleTalk Routing Commands
Cisco AppleTalk Commands
Cisco AppleTalk Routing Commands

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121203

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140507

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141202

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160113

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170803

Year of fee payment: 12

R401 Registration of restoration
LAPS Lapse due to unpaid annual fee