KR20100097474A - A method for detecting prohibited terminals when using proxy server - Google Patents

A method for detecting prohibited terminals when using proxy server Download PDF

Info

Publication number
KR20100097474A
KR20100097474A KR1020090016425A KR20090016425A KR20100097474A KR 20100097474 A KR20100097474 A KR 20100097474A KR 1020090016425 A KR1020090016425 A KR 1020090016425A KR 20090016425 A KR20090016425 A KR 20090016425A KR 20100097474 A KR20100097474 A KR 20100097474A
Authority
KR
South Korea
Prior art keywords
user
provider
identification information
data
network
Prior art date
Application number
KR1020090016425A
Other languages
Korean (ko)
Inventor
조재익
문종섭
Original Assignee
조재익
문종섭
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 조재익, 문종섭 filed Critical 조재익
Priority to KR1020090016425A priority Critical patent/KR20100097474A/en
Publication of KR20100097474A publication Critical patent/KR20100097474A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/08Trunked mobile radio systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A detection method of access using relay system(proxy) is provided to detect whether terminal devices use a proxy server(relay system), thereby secluding indirect access through a relay system in not applied network. CONSTITUTION: According to an initial access of a user, a provider confirms user information from pre-stored information. The provider confirms proper password(401). If received password is confirmed by proper authentication method of the provider, packing data is encrypted by using the password(402). When a user requests a service at the beginning, the provider determines whether to use relay system by comparison with network identification information of a user device(403).

Description

중개 시스템(프록시)을 이용한 접근의 탐지 방법 { A method for detecting prohibited terminals when using proxy server }A method for detecting prohibited terminals when using proxy server}

본 발명은 네트워크(통신망)를 사용하는 서비스(인터넷 등)에 있어서 중개 시스템(프록시 서버)을 이용하여 비 인가된 네트워크나 비 인가된 장치의 접근을 탐지하거나, 인가된 네트워크라 하더라도, 여러 장치(주로 컴퓨터)가 동시에 한 개의 중개시스템을 사용하여, 서비스에 접근하는 것을 탐지하는 방법에 발명이다. 네트워크를 사용하는 금융 서비스나 컨텐츠 제공 시스템에서 허가된 범위의 네트워크 내에 중개 시스템을 구성하고 비 인가된 네트워크나 비 인가된 장치가 중개 시스템을 이용하여 금융 서비스나 컨텐츠 제공 시스템 등에 접근하는 것을 탐지한다. 또한, 여러 개의 허가된 장치가 마치 동일한 것처럼 가장 하기 위하여, 하나의 중개시스템을 거치는 것을 탐지할 수 있다. 여기서 중개 시스템이란, 프록시 서버(Proxy Server) 또는 캐시 서버(Cache Server)를 말한다. The present invention detects the access of an unauthorized network or an unauthorized device using an intermediary system (proxy server) in a service (Internet, etc.) using a network (communication network), or even if the network is an authorized network. The invention is primarily a method for detecting that a computer) simultaneously accesses a service using a single intermediary system. In a financial service or content providing system using a network, an intermediary system is configured in a network within an authorized range, and an unauthorized network or unauthorized device detects an access to a financial service or a content providing system using an intermediary system. It is also possible to detect that several authorized devices go through a single intermediary system in order to impersonate the same. The intermediary system herein refers to a proxy server or a cache server.

본 발명에 있어서 전체적인 탐지에 대한 구성이나 방법에 속하는 종래의 기술 및 배경 기술은 없다. 단, 이미 개발되어 공개된 여러 가지의 세부 기술을 혼합 하여, 전체의 발명을 이룬다. 이 전체의 발명을 이루고 있는 세부적인 기술은 다음과 같다.In the present invention, there is no prior art and background that belong to the construction or method for the overall detection. However, the whole invention is achieved by mixing various detailed techniques already developed and disclosed. Detailed description of the whole invention is as follows.

1. 공인 인증서를 사용한 사용자 인증 기술.1. User authentication technology using a public certificate.

2. 일회성 암호(One Time Password)를 사용한 암호화 기술 및 사용자 인증 기술.2. Encryption technology and user authentication technology using One Time Password.

3. 공개키 및 대칭키 암호 기술.3. Public and symmetric key cryptography.

4. 네트워크 통신에 있어서 일반적인 패킷 통신 기술(인터넷 프로토콜).4. General packet communication technology (Internet Protocol) in network communication.

본 발명은 허가된 범위의 네트워크에 중개 시스템(프록시)이 있을 경우, 비 인가된 범위의 네트워크, 혹은 비 인가된 장치에서 금융 서비스 및 컨텐츠 제공 서비스에 중개 시스템을 이용하여 접근하는 것을 탐지하는 방법에 관한 것이다. 즉, 현재는, 비 인가된 네트워크로부터 인가된 중개 시스템을 통해서 서비스에 접근할 때 탐지하는 방법은 없다. 따라서, 금융 서비스 또는 콘텐츠 제공 서비스에 있어서, 인가된 중개서비스를 통한 의도적인 보안 침해 사고를 막을 수 없다. 따라서, 근본적으로 비인가 기기로부터의 접근 자체를 막기 위해서는 이를 탐지 하는 기술이 필요하다. The present invention relates to a method for detecting access to a financial service and a content providing service using an intermediary system in an unauthorized range network or an unauthorized device when there is an intermediary system (proxy) in an authorized range network. It is about. In other words, there is currently no method for detecting when accessing a service through an authorized intermediary system from an unauthorized network. Therefore, in financial services or content providing services, intentional security breaches through authorized intermediary services cannot be prevented. Thus, in order to prevent access itself from unauthorized devices, it is necessary to detect the technology.

1. 공인 인증서를 사용한 사용자 인증1. Authenticating Users with a Public Certificate

2. 일회용 암호(One Time Password)를 이용한 데이터 암호화 키 생성2. Generation of data encryption keys using one time password

3. 2에서 생성된 키를 이용하여 전송 데이터의 암호화3. Encryption of transmitted data using key generated in 2

4. 대칭키 및 공개키를 이용한 전송 데이터의 암호화4. Encryption of Transmission Data Using Symmetric and Public Keys

각 단계의 방법들을 잘 조합하여, 새로운 프로토콜을 생성한다.By combining the methods of each step well, a new protocol is created.

본 발명에서 제시하는 방법을 사용하면,Using the method of the present invention,

단말 기기들이 프록시 서버(중개 시스템)를 사용하는지 여부를 탐지할 수 있 다. 따라서, 효과는,It is possible to detect whether the terminal devices use a proxy server (mediation system). Thus, the effect is

1. 비 인가된 네트워크 (예, 중국, 미국, 또는 다른 지역)에서 중개 시스템을 통한 간접적인 접근을 차단할 수 있다(금융 시스템, 또는 게임 서버에)1. Indirect access through intermediary systems in unauthorized networks (eg in China, the United States, or elsewhere) may be blocked (for financial systems or game servers).

2. 인가된 네트워크(예, 국내의 PC방)에서, 여러 명의 사용자(인가자, 비 인가자 모두)가 동시에 하나의 중개기를 통하여 접근하는 것을 차단할 수 있다(예, 게임방).2. In authorized networks (eg, domestic PC rooms), several users (both authorized and non-authorized) can be blocked from accessing simultaneously through a single intermediary (eg game room).

네트워크에서 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠 제공은 The provision of services or content on the network, such as financial services or online games,

모두 온라인에서 익명인 상황에서 이루어지기 때문에 실제 사용자 및 사용자가 사용하는 기기에 대한 인증이 필요하고, 또한 안전한 통신이 보장되어야 한다. 특히 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠 제공에 있어서 사용자의 명확한 인증 및 악의적인 접근의 방지(접근 제어, 기밀성, 무결성)가 정의되어야 한다.그러나 기존의 시스템 보안 환경에서는, 사용자들이 중개 시스템을 이용하는지 여부를 판단할 수 있는 방법이 없다. 즉, 현재의 보안 시스템은, 불법 사용자가, 합법 사용자의 정보를 도용하여, 외부의 비 인가 네트워크로부터, 중개 시스템을 통하여, 서비스에 접근할 경우, 시스템은 적법한 것으로 인정을 한다. 물론, 비인가 네트워크에서 직접 서비스에 접근할 경우는, 시스템이 서비스를 거부할 수는 있다. 그래서 금융 서비스의 경우 차단된 사용자 기기나 사용자의 네트워크에서 인가된 네트워크 경로에 있는 중개 시스템을 이용하여 접근하는 것을 탐지할 수 없기 때문에 침해 사고가 발생할 수 있다. 또한 유료 온라인 게임 서비스의 경우 결제 대상이 사용자의 특정 네트워크 주소(IP 주소) 한정된 경우 중개 시스템의 네트워크 주소를 통해 여러 비 인가된 사용자가 접속할 수도 있다.따라서 네트워크에서 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠를 제공함에 있어서 중개 시스템(프록시)을 이용하여 허가된 사용자, 허가된 기기처럼 은닉하여 접근하는 비정상적인 접근은 반드시 탐지되고 차단되어야 한다. Since all of this is done anonymously online, real users and the devices they use must be authenticated and secure communication must be ensured. Especially in the provision of services or content such as financial services, online games, etc., clear authentication of users and prevention of malicious access (access control, confidentiality, integrity) should be defined. There is no way to determine whether to use it. That is, the current security system recognizes that the system is legitimate when an illegal user accesses a service from an external unauthorized network through an intermediary system by stealing the information of a legitimate user. Of course, if a service is accessed directly from an unauthorized network, the system can refuse the service. Therefore, in case of financial services, an infringement incident may occur because it is impossible to detect access by using an intermediary system in an authorized network path from a blocked user device or a user's network. In addition, for paid online game services, if the payment target is limited to a user's specific network address (IP address), a number of unauthorized users may access through the network address of the intermediary system, so that services such as financial services, online games, or In providing content, abnormal access, such as authorized users and authorized devices, using an intermediary system (proxy) must be detected and blocked.

본 발명에서 제시하는, 중개 시스템을 탐지하는 방법이 성립되기 되기 위하여, 다음의 방법들이 제공되어야 한다.In order to establish a method for detecting an intermediary system proposed in the present invention, the following methods should be provided.

1. 사용자 인증에 있어서 알려지고, 안전한 인증 방법(공인 인증서와 같이)1. Known and secure authentication methods (such as certified certificates) in user authentication

2. 통신에 있어서, 충분한 암호화 알고리즘 및 충분히 안전한 암호화 키(일2. In communication, sufficient encryption algorithm and sufficiently secure encryption key (work

회성 암호와 같이)As a password)

3. 충분히 안전한 압축 방법(다양한 소프트웨어 패킹 기법)3. Sufficiently secure compression method (various software packing techniques)

서비스, service, 컨텐츠contents 제공자(비 인가 접근을 탐지하는 주체)의 사용자 인증 및 비 인가 접근의 탐지 User authentication of the provider (subject detecting unauthorized access) and detection of unauthorized access

일반적으로 현재 네트워크를 이용한 서비스에 있어서 중개 시스템을 검색 하기는 불가능하다. 현재의 서비스 시스템은 도 1에 나타나 있다. 도 1은 현재 네트워크를 이용한 서비스를 설명한다. 실제 접근하는 네트워크(비인가) 식별 정보(도 1의 101)가 중개 시스템이 자신의 정보(인가된 네트워크, 도 1의 102)로 변경한다. 중 개시스템에 의해 변경된, 인가된 네트워크 식별 정보(예, IP 주소)를 수신한 서비스 제공자는 정상적인 서비스 제공을 중개 시스템을 대상으로 하게 된다(도 1의 103). 중개 시스템은 서비스로부터 받은 정보를 그대로 비 인가된 사용자에게 전달한다(도 1의 104), 서비스 제공자는 인가된 중계 시스템을 서비스 대상으로 인식하게 된다. 이 구조는, 추후 통신에 있어서 지속적인 연결을 보장받을 수 있는 구조이다.In general, it is not possible to search for an intermediary system in the current network service. The current service system is shown in FIG. 1 illustrates a service using a current network. The actual accessing network (unauthorized) identification information (101 in FIG. 1) is changed by the intermediary system to its own information (authorized network, 102 in FIG. 1). The service provider that receives the authorized network identification information (eg, IP address) changed by the intermediate system targets the normal system to provide the normal service (103 in FIG. 1). The intermediary system transmits the information received from the service to the unauthorized user as it is (104 of FIG. 1), and the service provider recognizes the authorized relay system as the service target. This structure is a structure that can guarantee a continuous connection in the future communication.

상세한 발명의 내용, 내용의 순서는 다음과 같다.Details of the invention and the order of the contents are as follows.

1. 사용자의 제공자에 대한 서비스, 데이터 요청 (도 3, 301) - 먼저 사용자는 일반적인 요청을 중개 시스템에 전송하며, 중개 시스템은 제공자에 그 정보를 전송한다. 이때 제공자는 중개 시스템의 사용을 판단할 수는 없지만 정보를 요청한 실제 네트워크 기기의 네트워크 식별 정보를 확인할 수 있다.(중개 시스템의 네트워크 정보 혹은 직접 접속할 경우 사용자 기기의 네트워크 식별 정보) 1. Service, data request to the provider of the user (FIG. 3, 301)-The user first sends a general request to the intermediary system, which transmits the information to the provider. In this case, the provider cannot determine the use of the intermediary system, but can check the network identification information of the actual network device that requested the information (network information of the intermediary system or network identification information of the user device in case of direct access).

Req(Req_Net_ID, Req_data, Req_time) : Req(요청), Req_Net_ID(네트워크 식별 정보), Req_data(요청에 대한 상세 정보), Req_time(사용자 기기, 혹은 중개 시스템의 시간)Req (Req_Net_ID, Req_data, Req_time): Req (Request), Req_Net_ID (Network Identification Information), Req_data (Detailed Information about the Request), Req_time (Time of User Device or Intermediate System)

2. 제공자는 데이터 제공 전 사전에 배분된 안전한 암호를 사용자에 요청 (도 3, 302) - 제공자는 안전한 데이터 통신 및 사용자 인증을 위해 특정 암호 키 값을 요청한다. 이때 암호 키는 사전에 충분히 안전한 방법으로 배분된다.2. The provider requests the user a secure password that has been distributed in advance before providing the data (FIG. 3, 302). The provider requests a specific cryptographic key value for secure data communication and user authentication. The encryption key is then distributed in a sufficiently secure manner in advance.

Req(Req_data) : Req(요청), Req_data(요청에 대한 상세 정보로서, 사용자 식별 정보, 사전에 배분된 사용자 인증을 위한 키 요청)Req (Req_data): Req (Request), Req_data (Detailed information about the request, user identification information, key request for pre-allocated user authentication)

3. 사용자는 요청에 따른 안전한 암호 제공(일회성 암호) (도 3, 303) - 사용자는 제공자의 요청에 의해 암호 키를 전송한다.3. The user provides a secure password upon request (one-time password) (FIG. 3, 303)-The user sends a cryptographic key at the provider's request.

Epk(User_auth_key, User_ID) : Epk(공개키 암호화), User_auth_key(제공자가 요청한 사용자 인증을 위한 키), User_ID(사용자 식별 정보)E pk (User_auth_key, User_ID): E pk (public key encryption), User_auth_key (key for user authentication requested by the provider), User_ID (user identification information)

4. 3에서 통신 된 정보에 의한 상호 인증 (도 3, 302, 303) - 제공자는 사용자가 전송한 키를 제공자가 사전에 갖고 있는 사용자의 정보와 비교하여 적합한 사용자인지 확인한다.4. Mutual authentication with information communicated in 3 (Fig. 3, 302, 303)-The provider checks if the user is a suitable user by comparing the key transmitted by the user with the information of the user previously possessed by the provider.

Dpk(User_auth_key, User_ID) : Dpk(사용자의 개인키로 복호화), User_auth_key(사용자 인증을 위한 키), User_ID(사용자 식별 정보) D pk (User_auth_key, User_ID): D pk (decrypted by user's private key), User_auth_key (key for user authentication), User_ID (user identification information)

5. 3에서 사용된 암호를 공개키로 사용하여 초기 데이터를 제공자는 패킹한 뒤 암호화에 사용 (도 4, 402) - 4 단계를 통해 적합한 사용자로 인증되면 제공자는 전송 받은 암호를 이용하여 해당 접속에 사용될 세션 키(제공자가 임의 생성), 사용자의 실제 사용 기기의 네트워크 식별 정보를 전달해 줄 소프트웨어(Active X 혹은 유사한 소프트웨어)를 암호화한다. 이때 소프트웨어는 임의의 방법(제공자의 시간 정보에 따른 여러가지 다른 패킹 방법)으로 패킹 된다.5. Using the password used in 3 as the public key, the provider packs the initial data for encryption and then uses it for encryption (Figure 4, 402). Encrypts the session key (provided by the provider) to be used and software (Active X or similar software) that conveys the network identification of the user's actual device. The software is then packed in any manner (various different packing methods depending on the provider's time information).

Pi(Data, Session_Key) : Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키)P i (Data, Session_Key): P i (packing of method i randomly chosen by the provider), Data (software to send the network identification information of the user device to the provider), Session_Key (session key to encrypt the network identification information of the user device)

6. 안전한 초기 데이터 전송 (도 3, 304) - 3, 4, 5단계에서 사용된 암호화 키를 이용하거나 혹은 일회성 암호를 생성하여 암호화 데이터 전송을 한다.6. Secure initial data transmission (FIG. 3, 304)-Use the encryption key used in steps 3, 4, and 5 or generate a one-time password to transmit encrypted data.

EUser _ auth _ key(Pi(Data, Session_Key)) : EUser _ auth _ key(4단계에서 확인된 사용자 인증키), Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키)E User _ auth _ key (P i (Data, Session_Key)): E User _ auth _ key (user authentication key identified in step 4), P i (packing of the i method chosen by the provider), Data (user device Software that will send its network identification to the provider), Session_Key (session key to encrypt the network identification of the user's device)

7. 수신된 초기 데이터를 사용자의 기기는 3에서 입력된 키(혹은 일회성 키)를 이용하여 압축 해제 (도5, 501, 502, 503) - 제공자로부터 수신된 데이터는 사용자가 적합한 암호화 키가 있는 경우 복호화된다.7. Decompress the initial data received by the user's device using the key (or one-time key) entered in Figure 3 (FIG. 5, 501, 502, 503). If it is decrypted.

DUser _ auth _ key(Pi(Data, Session_Key)) : DUser _ auth _ key(4단계에서 확인된 사용자 인증키), Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키) D User _ auth _ key (P i (Data, Session_Key)): D User _ auth _ key ( the user authentication key found in step 4), P i (arbitrarily the provider packing of the selected i method), Data (user equipment Software that will send its network identification to the provider), Session_Key (session key to encrypt the network identification of the user's device)

8. 압축 해제된 초기 데이터는 해제와 동시에 패킹 된 소프트웨어의 설치 (도 5, 502) - 복호화된 데이터(패킹 된 소프트웨어)는 즉시 설치된다.8. Decompression initial data is installed as soon as it is released (Fig. 5, 502)-Decrypted data (packed software) is installed immediately.

9. 8의 설치와 동시에 사용자 기기에 대한 네트워크 식별 정보의 암호화 (암호화에는 패킹 된 소프트웨어에 포함된, 제공자가 임의로 구성한 일회성 암호(도 5, 504)를 사용한다.) (도 3, 305)(도 5, 505) - 설치와 동시에 현재 설치된 사용자 기기의 네트워크 식별 정보를 확인한다.9. Encryption of network identification information for the user device upon installation of 9. (Encryption uses a one-time password (FIGS. 5 and 504) arbitrarily configured by a provider, included in the packed software) (FIGS. 3 and 305) ( 5, 505)-At the same time of installation, the network identification information of the currently installed user equipment is checked.

ESession _ Key(Real_Net_ID) : ESession _ Key(5단계에서 제공자가 생성하여 전송한 세션 키로 암호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보)E Session _ Key (Real_Net_ID): E Session _ Key (encrypted with the session key generated and transmitted by the provider in step 5), Real_Net_ID (network identification information of the user device)

10. 3에서 사용한 것과 동일한 방법으로 구성된 안전한 암호를 이용한 암호화 통신으로 9의 데이터를 제공자에게 전송 (도 3, 302, 303, 304, 305) - 5단계에서 제공자로부터 수신된 세션 키를 이용해 사용자 기기의 실제 네트워크 식별 정보를 암호화하여 제공자에게 자동 송신된다.10. Send the data of 9 to the provider in an encrypted communication using a secure password configured in the same way as used in step 3 (FIG. 3, 302, 303, 304, 305)-the user device using the session key received from the provider in step 5. The actual network identification information of is encrypted and automatically sent to the provider.

EUser _ auth _ key(ESession _ Key(Real_Net_ID)) : EUser _ auth _ key(5단계의 사용자 인증 키 혹은 새로 생성된 일회성 암호화 키로 암호화), ESession _Key(5단계에서 제공자가 생성하여 전송한 세션 키로 암호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보) E User _ auth _ key (E Session _ Key (Real_Net_ID)): E User _ auth _ key (5 encryption level user authentication key or a one-time encryption newly created key of) the provider is created in E Session _Key (5 steps Encrypted with the sent session key), Real_Net_ID (network identification of the user's device)

11. 제공자는 10에서 수신된 정보를 복호화하여 1에서 수집된 사용자의 초기 접근에 사용된 네트워크 식별 정보와 비교 (도 4, 403) - 제공자는 10단계에서 수신된 정보와 1단계에서 사용자가 제공자에게 접근한 네트워크 식별 정보를 비교한다.11. The provider decrypts the information received in step 10 and compares it with the network identification information used for the initial access of the user collected in step 1 (FIG. 4, 403). Compare network identification information accessed by.

DUser _ auth _ key(DSession _ Key(Real_Net_ID)) : DUser _ auth _ key(5단계의 사용자 인증 키 혹은 새로 생성된 일회성 암호화 키로 복호화), DSession _ Key(세션 키로 복호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보) D User _ auth _ key (D Session _ Key (Real_Net_ID)): D User _ auth _ key (5 decoding step user authentication key or a one-time encryption newly created key of), D Session _ Key (decrypt the session key), Real_Net_ID (Network identification of your device)

12. 동일할 경우 인가된 범위 내에 있는지 확인하고 수락 여부를 결정 (도 4, 403),12. If they are the same, check whether they are within the authorized range and decide whether to accept them (FIGS. 4, 403),

즉, 1단계의 Req_Net_ID와 11단계의 Real_Net_ID를 비교하여 확인한다.That is, check by comparing Req_Net_ID of step 1 and Real_Net_ID of step 11.

13. 동일하지 않을 경우 9에서 수집된 사용자 기기의 네트워크 식별 정보가 인가된 범위 내에 있는지 확인하고 수락 여부를 결정 (도 4, 403) - 1단계와 11단계의 네트워크 식별 정보를 비교하고 분석하여 중개 시스템의 유무를 판단한다.13. If it is not the same, check whether the network identification information of the user equipment collected in step 9 is within the authorized range and determine whether to accept it (FIG. 4, 403)-compare and analyze the network identification information of steps 1 and 11 to mediate Determine the presence of a system.

악의적인 사용자의 공격 차단Blocking malicious user attacks

악의적인 사용자의 경우 다음과 같이 크게 두 가지의 방법으로 공격 시도할 수 있다.Malicious users can try to attack in two ways:

1. 전송된 초기 데이터의 사용자 기기 내의 도출 및 변경1. Derivation and modification of the initial data transmitted in the user equipment

2. 전송될 사용자 기기의 네트워크 식별 데이터의 도출 및 변경2. Derivation and change of network identification data of user equipment to be transmitted

1의 경우 일반적인 소프트웨어, 혹은 데이터일 경우 사용자가 악의적인 의도로 시스템 내부의 데이터를 도출할 수 있으나 본 특허의 방법은 패킹 된 소프트웨어(데이터)를 설치함으로써 공격에 효용이 있는 짧은 간격의 시간 내에는 도출이 불가능하다. 또한 2의 경우 1에 의해서 소프트웨어(데이터)가 사용자의 기기에 수신됨과 동시에 실행되고 암호화되어 전송되기 때문에 알려진 시스템 후킹(도출을 위한 수집) 방법을 실시간으로 시도하는 것은 현재의 시스템 수준에서 불가능하다. 그리고 고속 연산 시스템을 사용하여 데이터를 수집하거나 도출할 경우 제공자의 패킹 방법이 시간적 간격을 두고 변경되기 때문에 마찬가지 전송 정보를 변조하기 힘들다.In case of 1, the user can derive the data from inside the system with the intention of malicious software or data. However, the method of the present patent provides a short time interval that is useful for attack by installing the packed software (data). It is impossible to derive. In addition, in the case of 2, since the software (data) is executed by the user at the same time as the user is received, encrypted and transmitted at the same time, it is impossible at the current system level to attempt a known system hooking method. In addition, when the data is collected or derived using a high-speed computing system, it is difficult to modulate the transmission information because the provider's packing method is changed over time.

대표도. 대표도는 본 발명에서 이루고자 하는 내용을 설명하는 것으로서 사용자의 기기(개인 컴퓨터 혹은 모바일 기기)가 직접 접근을 하지 않고 중개 시스템을 이용하여 접근할 경우 서비스, 컨텐츠 제공자가 이를 탐지할 수 있는 방법에 관한 구조의 도안이다.Representative too. Representative diagram is to explain the contents to be achieved in the present invention, when the user's device (personal computer or mobile device) is accessed by using a mediation system without direct access to a service, a content provider how to detect this It is a design of the structure.

도 1. 현재의 네트워크에서 중개 시스템을 설명하는 것으로서 비 인가된 접근에 대해 인가된 네트워크 혹은 사용자 기기를 중개 시스템으로 하여 통신하는 경우 중개 시스템의 사용 유무를 판단할 수 없다. 설명하면, 비 인가된 사용자, 혹은 사용자 기기는 인가된 범위에 있는 중개 시스템에 사용자의 요청을 전송한다.(101) 이때, 중개 시스템은 실제 사용자의 네트워크 식별 정보가 아닌 자신의 네트워크 식별 정보를 이용하여 제공자에게 사용자의 요청을 전송한다.(102) 사용자의 요청이 수신되면 제공자는 중개 시스템이 인가된 네트워크 혹은 사용자 기기로 인식하고 정당한 응답을 전송하며(103), 중개 시스템은 해당 내용을 비 인가된 사용자, 사용자 기기에 전달하여(104) 통신이 가능하다. 따라서 현재의 네트워크 구조에서는 중개 시스템을 식별하고 탐지할 수 있는 방법이 없다.FIG. 1. As a description of an intermediary system in a current network, it is not possible to determine whether an intermediary system is used when communicating with an authorized network or a user device as an intermediary system for unauthorized access. In this case, an unauthorized user or a user device transmits a user's request to an intermediary system within an authorized range. (101) At this time, the intermediary system uses its own network identification information rather than the actual user's network identification information. (102) When the user's request is received, the provider recognizes the intermediary system as an authorized network or user device and sends a legitimate response (103). It is possible to communicate 104 to the user, the user device. Therefore, in the current network structure, there is no way to identify and detect intermediate systems.

도 2. 앞서 설명된 안전하지 않은 현재의 네트워크 상황과 동일하게 비 인가된 사용자, 사용자 기기는 중개 시스템에 사용자의 요청을 전송한다.(201) 해당 요청을 도 1의 101과 동일하게 중개 시스템은 제공자에게 전송하는데 이때 제공자는 초기의 접근(202)에 대한 네트워크 식별 정보를 수집한다.(중개 시스템의 네트워크 식별 정보) 이때, 안전한 통신을 위하여 본 발명에서는 사용자의 암호를 제공자, 사용자가 동일하게 갖도록 미리 배분되어 있으며,(일회성 암호 등) 해당 암호를 이용하여 비인가 사용자가 볼 수 없도록 패킹 된 데이터를 암호화하여 중개 시스템에 전송한다.(204) 해당 내용을 중개 시스템은 볼 수 없으며,(203에 의해 암호화 되었기 때문에) (204)의 내용을 그대로 비인가 사용자에게 전송한다. 이때, 비인가 사용자가 사용자 인증은 되었으나 네트워크가 비인가 지역일 경우라도, 전송된 데이터(205)를 복호화할 수 있다. 복호화된 패킹 데이터는 동시에 설치(혹은 실행)되며, 패킹 방법은 제공자의 충분히 안전한 범위 내에서 변경된다. 즉, 실시간으로 패킹 된 내용을 확인할 수 없다. 패킹 데이터는 설치(혹은 실행)됨과 동시에 비인가 네트워크의 네트워크 식별 정보를 패킹 데이터에 포함된 제공자가 발급한 임시 암호화 키를 이용해 암호화하여 제공자에게 전송한다.(206, 207) 전송된 네트워크 식별 정보(206)와 초기 접속에서 수집된 중개 시스템의 네트워크 식별 정보(202)를 비교하여 중개 시스템의 유무를 판단한다.In the same manner as the insecure current network situation described above, an unauthorized user and a user device transmit a request of a user to an intermediary system (201). In this case, the provider collects network identification information for the initial access 202. (Network identification information of the intermediary system) In this case, in order to secure communication, in the present invention, the provider and the user have the same password. The data is pre-allocated and the packed data is encrypted and transmitted to the intermediary system so that unauthorized users cannot see it using the corresponding password (such as one-time passwords). The content of 204 is transmitted as is to the unauthorized user as it is encrypted. In this case, even if the unauthorized user is authenticated but the network is an unauthorized region, the transmitted data 205 may be decrypted. The decrypted packing data is installed (or executed) at the same time, and the packing method is changed within a sufficiently safe range of the provider. In other words, the contents packed in real time cannot be confirmed. The packing data is installed (or executed) and the network identification information of the unauthorized network is encrypted using a temporary encryption key issued by the provider included in the packing data and transmitted to the provider. (206, 207) The transmitted network identification information 206 ) And the network identification information 202 of the intermediate system collected in the initial connection to determine the presence of the intermediate system.

도 3. 처음 사용자는 사용자 기기를 통해 제공자에게 서비스 제공을 요청하며 제공자는 동시에 네트워크 통신 데이터에서 수집할 수 있는 사용자 기기의 정보를 수집한다.(301) 제공자는 사용자의 정보에 따라(사용자를 식별할 수 있는 ID 정보등을 이용하여) 해당하는 안전한 암호(일회성 암호)를 요청한다.(302) 사용자는 제공자의 요청에 따라 안전한 암호를 제공한다.(303) 제공된 암호가 사전에 제공자에 저장된 사용자의 정보에 따라 적합한 인증 키 값일 경우 해당 키를 공개키로 하여 암호화 된 패킹 데이터를 사용자에게 제공한다.(304) 제공된 패킹 데이터는 복호와 동시에 사용자의 기기에서 실행되며, 실행과 동시에 사용자 기기 정보가 패킹 데이터에 사전 포함되어 전송된 제공자가 발행한 일회성 암호로 암호화되어 제공자에 전달된다.(305)First, a user requests a provider to provide a service through a user device, and the provider simultaneously collects information of the user device, which can be collected from network communication data. (301) The provider according to the user's information (identifies the user). Request a corresponding secure password (one-time password) using the available ID information, etc. (302) The user provides a secure password at the request of the provider. (303) A user whose password has been previously stored in the provider. If the authentication key value is appropriate according to the information, the encrypted keying data is provided to the user by using the key as a public key (304). The data is encrypted with a one-time password issued by the provider, which is included in the data, and transmitted to the provider. (305)

도 4. 사용자의 초기 접속에 따라 제공자는 미리 저장된 정보에서 사용자 정보를 확인하고 적합한 암호를 확인(확보)한다.(401) 또한 사용자에게 요청하여 수신된 암호가 제공자의 적합한 인증 방법에 의해 확인되면, 해당 암호를 공개키로 하여 패킹 데이터를 암호화한다.(402) 이때, 패킹 된 데이터에는 사용자 기기의 정보를 전송할 수 있는 메커니즘을 포함한 소프트웨어와 필요에 따라 설치되어야 할 소프트웨어, 제공자가 임의로 발급한 일회성 암호가 함께 포함된다. 패킹 된 데이터가 사용자 기기에 설치(실행) 됨과 동시에 사용자 기기의 네트워크 식별 정보를 수집하고, 수집된 정보는 사전 패킹 데이터에 포함된 일회성 암호로 암호화되어 제공자에게 제공된다. 제공받은 데이터를 이용하여 제공자는 초기에 사용자가 서비스 제공을 요청할 때에 사용자 기기의 네트워크 식별 정보와 비교하여 중개 시스템의 사용 유무를 판단한다.(403)According to the user's initial access, the provider verifies the user information from the pre-stored information and confirms (obtains) a suitable password. (401) Also, if the password received by the user is requested by the provider's proper authentication method, The packing data is encrypted using the corresponding cipher as a public key (402). The packed data includes software including a mechanism for transmitting information of the user equipment, software to be installed as needed, and a one-time password arbitrarily issued by the provider. Included together. As the packed data is installed (executed) on the user equipment, the network identification information of the user equipment is collected, and the collected information is encrypted and provided to the provider by a one-time password included in the prepacking data. Using the provided data, the provider initially determines whether the intermediary system is in use or not by comparing the network identification information of the user device when the user requests to provide a service.

도 5. 제공자의 사용자 인증을 위한 안전한 암호를 요청하면 사용자는 사전에 배분된 안전한 방법을 이용하여 키를 생성한다.(501) 생성된 암호는 이후 제공자의 패킹된 데이터의 암호화 데이터를 복호화(502) 할 때의 키 값으로 사용되며,(503) 이후 데이터가 실행(설치) 된다.(502)5. Upon requesting a secure password for the user authentication of the provider, the user generates a key using a secure method previously distributed (501). The generated password then decrypts the encrypted data of the provider's packed data (502). It is used as a key value when (), and data is executed (installed) after (503). (502)

Claims (10)

중개 시스템의 식별을 위해서 네트워크 식별 정보가 초기 접근, 인증에 따른 이후 접근을 확인하여 상이할 경우 중개 시스템 사용의 유무를 판단하는 구조. 즉, 사용자의 인증 단계, 사용자의 인증 후 제공자와 통신을 하는 단계에 있어서 네트워크 식별 정보를 비교하여 중개 시스템을 이용하고 있는지 혹은 직접 접근인지 확인하는 구조 및 다음의 각 단계In order to identify the intermediary system, the network identification information checks the initial access and the subsequent access according to the authentication to determine whether the intermediary system is used or not. In other words, in the authentication phase of the user and in the step of communicating with the provider after the authentication of the user, a structure for checking whether the intermediary system is used or directly accessed by comparing network identification information and each of the following steps 1. 사용자의 안전한 인증 후 중개 시스템의 식별을 위해 제공자가 사용자, 혹은 사용자의 기기에 식별을 위한 데이터 및 데이터 전송 단계1. The data and data transmission step for the provider to the user or the user's device for identification of the intermediary system after the user's secure authentication 2. 1에서 제공하는 데이터의 기밀성 및 무결성을 제공하기 위해 여러 가지 방법으로 제공자가 인증에 사용한 키를 공개키로 사용하여 암호화하는 단계2. Encrypt the key used by the provider as the public key in a number of ways to provide confidentiality and integrity of the data provided in 1. 3. 2에서 암호화될 데이터의 사용자 기기 내부에서의 기밀성 및 무결성을 제공하기 위하여 제공자 임의로 여러 가지 패킹 방법을 사용하는 단계3. Using the provider's various packing methods arbitrarily to provide confidentiality and integrity inside the user equipment of the data to be encrypted in 2 4. 패킹 된 데이터가 해제되어 사용자의 기기에 설치될 때에 사용자 기기의 네트워크 식별 정보를 동시에 제공자에게 전송하는 단계4. Sending network identification information of the user equipment to the provider at the same time when the packed data is released and installed in the user equipment 5. 4에서 전송되는 정보의 기밀성 및 무결성을 보장하기 위하여 2와 동일한 방법으로 공개키 암호화하는 단계5. Public key encryption in the same manner as 2 to ensure the confidentiality and integrity of the information transmitted in 4. 6. 사용자의 인증 당시(초기 접근)의 사용자 기기의 네트워크 식별 정보와 4에서 수집된 네트워크 식별 정보를 비교하여 중개 시스템의 유무를 제공자가 판단하는 단계6. A step in which a provider determines the presence of an intermediary system by comparing the network identification information of the user equipment at the time of user authentication (initial access) with the network identification information collected in step 4. 네트워크 식별 정보의 구성 내용Configuration Contents of Network Identification Information 1. 접속한 사용자의 고유 식별 정보(ID)1. Unique identification information (ID) of access user 2. 접속한 사용자 기기의 네트워크 주소(IP 주소)2. Network address (IP address) of the connected user device 3. 접속한 사용자 기기의 네트워크 연결 장치의 고유 주소(Mac 주소)3. Unique address (Mac address) of network connected device of connected user equipment 4. 접속한 사용자 기기의 운영 체제 정보(운영 체제의 고유 정보, 등록 정보)4. Operating system information of the connected user device (Operating system specific information, registration information) 5. 접속한 사용자 기기가 제공자에 연결될 때에 사용하는 중간 경로(라우터)의 고유 정보(라우터의 IP 주소)5. Unique information of the intermediate route (router) used when the connected user equipment is connected to the provider (router's IP address) 네트워크 식별 정보를 초기 접속과 이후 접속에 따라 비교할 때의 다음과 같은 사항들The following points when network identification information is compared between initial connection and subsequent connection 1. 초기 접속과 이후 접속에 있어서 네트워크 식별 정보가 동일할 경우 인가 범위 내의 사용자, 사용자 기기를 직접 접근으로 인정하는 것1. When the network identification information is the same in the initial connection and the subsequent connection, the user and the user equipment within the authorized range are recognized as direct access. 2. 초기 접속과 이후 접속에 있어서 네트워크 식별 정보가 상이할 경우 중개 시스템을 이용한 접근으로 인정하는 것2. When network identification information differs between initial access and subsequent access, it is recognized as access using an intermediary system. 3. 사용자가 동시에 동일한 네트워크 식별 정보로 접근할 경우 중개 시스템을 이용한 접근으로 인정하는 것3. If a user accesses the same network identification information at the same time, it is recognized as access using an intermediary system. 4. 초기 접속과 이후 접속에 있어서 네트워크 정보가 상이할 때 이후 접속의 네트워크 식별 정보 중 사용자 기기의 IP 주소가 Virtual Private Network(VPN) 주소 혹은 일반 사용자가 배정받을 수 없는 IP 주소일 경우, 그리고 중간 경로(라우터)의 최종 고유 식별 주소(라우터의 IP 주소)가 초기 접속 때 제공자에게 수집된 네트워크 식별 정보와 동일할 경우 네트워크 공유 기기의 사용을 확인하는 것4. When the network information is different in the initial connection and the subsequent connection. If the IP address of the user device is one of a virtual private network (VPN) address or an IP address that is not assigned to the general user, among the network identification information of the subsequent connection, and intermediate. Confirming the use of a network sharing device if the final unique identification address of the route (router) is the same as the network identification information collected from the provider at initial connection 청구항 1의 구조에서 일회성 암호를 공개키로 사용하여 데이터를 암호화하는 단계Encrypting the data using the one-time cipher as a public key in the structure of claim 1 청구항 1의 구조에서 기기 내부에서 기밀성을 보장하기 위하여 제공자가 실시간 패킹하는 단계Real time packing by the provider to ensure confidentiality inside the device in the structure of claim 1 패킹 된 데이터의 기밀성을 유지하기 위해서 시간 간격을 기준으로 패킹 방법을 다양화하는 것Varying packing methods based on time intervals to maintain the confidentiality of the packed data 청구항 1의 구조에서 패킹 된 데이터(소프트웨어)가 설치와 동시에 여러 가 지 정보를 수집하는 단계In the structure of claim 1, the packed data (software) collects various information at the same time as the installation. 청구항 1의 구조에서 금융 서비스일 경우 기존의 금융 서비스를 위한 보안 소프트웨어에 네트워크 식별 데이터를 수집할 수 있는 소프트웨어가 포함되어 패킹 되는 구조 및 단계In the structure of claim 1, in the case of a financial service, the security software for the existing financial service includes a software for collecting network identification data and packing 청구항 1의 구조에서 온라인 게임 서비스일 경우 기존의 온라인 게임 소프트웨어 및 온라인 게임을 위한 보안 소프트웨어에 네트워크 식별 데이터를 수집할 수 있는 소프트웨어가 포함되어 패킹 되는 구조 및 단계In the structure of claim 1, in the case of an online game service, a structure and a step of packing and including software for collecting network identification data into existing online game software and security software for online games 청구항 1의 구조에서 패킹 데이터에 암호화 키를 포함하여 이후 전송되는 데이터의 암호화 키로 사용하는 구조 및 단계The structure and step of including the encryption key in the packing data in the structure of claim 1 to use as an encryption key of the data subsequently transmitted
KR1020090016425A 2009-02-26 2009-02-26 A method for detecting prohibited terminals when using proxy server KR20100097474A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090016425A KR20100097474A (en) 2009-02-26 2009-02-26 A method for detecting prohibited terminals when using proxy server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090016425A KR20100097474A (en) 2009-02-26 2009-02-26 A method for detecting prohibited terminals when using proxy server

Publications (1)

Publication Number Publication Date
KR20100097474A true KR20100097474A (en) 2010-09-03

Family

ID=43004684

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090016425A KR20100097474A (en) 2009-02-26 2009-02-26 A method for detecting prohibited terminals when using proxy server

Country Status (1)

Country Link
KR (1) KR20100097474A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107769999A (en) * 2017-12-07 2018-03-06 锐捷网络股份有限公司 A kind of method and apparatus for identifying user agent's online

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107769999A (en) * 2017-12-07 2018-03-06 锐捷网络股份有限公司 A kind of method and apparatus for identifying user agent's online

Similar Documents

Publication Publication Date Title
CN112260995B (en) Access authentication method, device and server
US8407462B2 (en) Method, system and server for implementing security access control by enforcing security policies
US10594479B2 (en) Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device
KR100680177B1 (en) User authentication method and system being in home network
Sumitra et al. A survey of cloud authentication attacks and solution approaches
CN103248479A (en) Cloud storage safety system, data protection method and data sharing method
CN105553666B (en) Intelligent power terminal safety authentication system and method
WO2008039582A2 (en) System and method for securing software applications
CA2874132A1 (en) System and method for grid based cyber security
CN111918284B (en) Safe communication method and system based on safe communication module
KR101531662B1 (en) Method and system for mutual authentication between client and server
CN103701792A (en) Credibility authorization method, system, credibility security management center and server
JP2017525236A (en) Ensuring communication safety with enhanced media platform
CN102185867A (en) Method for realizing network security and star network
CN114553430A (en) SDP-based novel power service terminal safe access system
KR20090054774A (en) Method of integrated security management in distribution network
KR20130085473A (en) Encryption system for intrusion detection system of cloud computing service
EP3143724B1 (en) Three-tiered security and computational architecture
Kim et al. Self-certifying id based trustworthy networking system for iot smart service domain
KR20100117338A (en) Terminal authentication and security method via network
CN111669746B (en) Protection system for information security of Internet of things
KR20100097474A (en) A method for detecting prohibited terminals when using proxy server
Jeong et al. Integrated OTP-based user authentication and access control scheme in home networks
CN117858079B (en) Safety control method of building intercom system
AU2021106427A4 (en) System and Method for achieving cyber security of Internet of Things (IoT) devices using embedded recognition token

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
E601 Decision to refuse application