KR20100097474A - A method for detecting prohibited terminals when using proxy server - Google Patents
A method for detecting prohibited terminals when using proxy server Download PDFInfo
- Publication number
- KR20100097474A KR20100097474A KR1020090016425A KR20090016425A KR20100097474A KR 20100097474 A KR20100097474 A KR 20100097474A KR 1020090016425 A KR1020090016425 A KR 1020090016425A KR 20090016425 A KR20090016425 A KR 20090016425A KR 20100097474 A KR20100097474 A KR 20100097474A
- Authority
- KR
- South Korea
- Prior art keywords
- user
- provider
- identification information
- data
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/08—Trunked mobile radio systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 네트워크(통신망)를 사용하는 서비스(인터넷 등)에 있어서 중개 시스템(프록시 서버)을 이용하여 비 인가된 네트워크나 비 인가된 장치의 접근을 탐지하거나, 인가된 네트워크라 하더라도, 여러 장치(주로 컴퓨터)가 동시에 한 개의 중개시스템을 사용하여, 서비스에 접근하는 것을 탐지하는 방법에 발명이다. 네트워크를 사용하는 금융 서비스나 컨텐츠 제공 시스템에서 허가된 범위의 네트워크 내에 중개 시스템을 구성하고 비 인가된 네트워크나 비 인가된 장치가 중개 시스템을 이용하여 금융 서비스나 컨텐츠 제공 시스템 등에 접근하는 것을 탐지한다. 또한, 여러 개의 허가된 장치가 마치 동일한 것처럼 가장 하기 위하여, 하나의 중개시스템을 거치는 것을 탐지할 수 있다. 여기서 중개 시스템이란, 프록시 서버(Proxy Server) 또는 캐시 서버(Cache Server)를 말한다. The present invention detects the access of an unauthorized network or an unauthorized device using an intermediary system (proxy server) in a service (Internet, etc.) using a network (communication network), or even if the network is an authorized network. The invention is primarily a method for detecting that a computer) simultaneously accesses a service using a single intermediary system. In a financial service or content providing system using a network, an intermediary system is configured in a network within an authorized range, and an unauthorized network or unauthorized device detects an access to a financial service or a content providing system using an intermediary system. It is also possible to detect that several authorized devices go through a single intermediary system in order to impersonate the same. The intermediary system herein refers to a proxy server or a cache server.
본 발명에 있어서 전체적인 탐지에 대한 구성이나 방법에 속하는 종래의 기술 및 배경 기술은 없다. 단, 이미 개발되어 공개된 여러 가지의 세부 기술을 혼합 하여, 전체의 발명을 이룬다. 이 전체의 발명을 이루고 있는 세부적인 기술은 다음과 같다.In the present invention, there is no prior art and background that belong to the construction or method for the overall detection. However, the whole invention is achieved by mixing various detailed techniques already developed and disclosed. Detailed description of the whole invention is as follows.
1. 공인 인증서를 사용한 사용자 인증 기술.1. User authentication technology using a public certificate.
2. 일회성 암호(One Time Password)를 사용한 암호화 기술 및 사용자 인증 기술.2. Encryption technology and user authentication technology using One Time Password.
3. 공개키 및 대칭키 암호 기술.3. Public and symmetric key cryptography.
4. 네트워크 통신에 있어서 일반적인 패킷 통신 기술(인터넷 프로토콜).4. General packet communication technology (Internet Protocol) in network communication.
본 발명은 허가된 범위의 네트워크에 중개 시스템(프록시)이 있을 경우, 비 인가된 범위의 네트워크, 혹은 비 인가된 장치에서 금융 서비스 및 컨텐츠 제공 서비스에 중개 시스템을 이용하여 접근하는 것을 탐지하는 방법에 관한 것이다. 즉, 현재는, 비 인가된 네트워크로부터 인가된 중개 시스템을 통해서 서비스에 접근할 때 탐지하는 방법은 없다. 따라서, 금융 서비스 또는 콘텐츠 제공 서비스에 있어서, 인가된 중개서비스를 통한 의도적인 보안 침해 사고를 막을 수 없다. 따라서, 근본적으로 비인가 기기로부터의 접근 자체를 막기 위해서는 이를 탐지 하는 기술이 필요하다. The present invention relates to a method for detecting access to a financial service and a content providing service using an intermediary system in an unauthorized range network or an unauthorized device when there is an intermediary system (proxy) in an authorized range network. It is about. In other words, there is currently no method for detecting when accessing a service through an authorized intermediary system from an unauthorized network. Therefore, in financial services or content providing services, intentional security breaches through authorized intermediary services cannot be prevented. Thus, in order to prevent access itself from unauthorized devices, it is necessary to detect the technology.
1. 공인 인증서를 사용한 사용자 인증1. Authenticating Users with a Public Certificate
2. 일회용 암호(One Time Password)를 이용한 데이터 암호화 키 생성2. Generation of data encryption keys using one time password
3. 2에서 생성된 키를 이용하여 전송 데이터의 암호화3. Encryption of transmitted data using key generated in 2
4. 대칭키 및 공개키를 이용한 전송 데이터의 암호화4. Encryption of Transmission Data Using Symmetric and Public Keys
각 단계의 방법들을 잘 조합하여, 새로운 프로토콜을 생성한다.By combining the methods of each step well, a new protocol is created.
본 발명에서 제시하는 방법을 사용하면,Using the method of the present invention,
단말 기기들이 프록시 서버(중개 시스템)를 사용하는지 여부를 탐지할 수 있 다. 따라서, 효과는,It is possible to detect whether the terminal devices use a proxy server (mediation system). Thus, the effect is
1. 비 인가된 네트워크 (예, 중국, 미국, 또는 다른 지역)에서 중개 시스템을 통한 간접적인 접근을 차단할 수 있다(금융 시스템, 또는 게임 서버에)1. Indirect access through intermediary systems in unauthorized networks (eg in China, the United States, or elsewhere) may be blocked (for financial systems or game servers).
2. 인가된 네트워크(예, 국내의 PC방)에서, 여러 명의 사용자(인가자, 비 인가자 모두)가 동시에 하나의 중개기를 통하여 접근하는 것을 차단할 수 있다(예, 게임방).2. In authorized networks (eg, domestic PC rooms), several users (both authorized and non-authorized) can be blocked from accessing simultaneously through a single intermediary (eg game room).
네트워크에서 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠 제공은 The provision of services or content on the network, such as financial services or online games,
모두 온라인에서 익명인 상황에서 이루어지기 때문에 실제 사용자 및 사용자가 사용하는 기기에 대한 인증이 필요하고, 또한 안전한 통신이 보장되어야 한다. 특히 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠 제공에 있어서 사용자의 명확한 인증 및 악의적인 접근의 방지(접근 제어, 기밀성, 무결성)가 정의되어야 한다.그러나 기존의 시스템 보안 환경에서는, 사용자들이 중개 시스템을 이용하는지 여부를 판단할 수 있는 방법이 없다. 즉, 현재의 보안 시스템은, 불법 사용자가, 합법 사용자의 정보를 도용하여, 외부의 비 인가 네트워크로부터, 중개 시스템을 통하여, 서비스에 접근할 경우, 시스템은 적법한 것으로 인정을 한다. 물론, 비인가 네트워크에서 직접 서비스에 접근할 경우는, 시스템이 서비스를 거부할 수는 있다. 그래서 금융 서비스의 경우 차단된 사용자 기기나 사용자의 네트워크에서 인가된 네트워크 경로에 있는 중개 시스템을 이용하여 접근하는 것을 탐지할 수 없기 때문에 침해 사고가 발생할 수 있다. 또한 유료 온라인 게임 서비스의 경우 결제 대상이 사용자의 특정 네트워크 주소(IP 주소) 한정된 경우 중개 시스템의 네트워크 주소를 통해 여러 비 인가된 사용자가 접속할 수도 있다.따라서 네트워크에서 금융 서비스, 온라인 게임과 같은 서비스 혹은 컨텐츠를 제공함에 있어서 중개 시스템(프록시)을 이용하여 허가된 사용자, 허가된 기기처럼 은닉하여 접근하는 비정상적인 접근은 반드시 탐지되고 차단되어야 한다. Since all of this is done anonymously online, real users and the devices they use must be authenticated and secure communication must be ensured. Especially in the provision of services or content such as financial services, online games, etc., clear authentication of users and prevention of malicious access (access control, confidentiality, integrity) should be defined. There is no way to determine whether to use it. That is, the current security system recognizes that the system is legitimate when an illegal user accesses a service from an external unauthorized network through an intermediary system by stealing the information of a legitimate user. Of course, if a service is accessed directly from an unauthorized network, the system can refuse the service. Therefore, in case of financial services, an infringement incident may occur because it is impossible to detect access by using an intermediary system in an authorized network path from a blocked user device or a user's network. In addition, for paid online game services, if the payment target is limited to a user's specific network address (IP address), a number of unauthorized users may access through the network address of the intermediary system, so that services such as financial services, online games, or In providing content, abnormal access, such as authorized users and authorized devices, using an intermediary system (proxy) must be detected and blocked.
본 발명에서 제시하는, 중개 시스템을 탐지하는 방법이 성립되기 되기 위하여, 다음의 방법들이 제공되어야 한다.In order to establish a method for detecting an intermediary system proposed in the present invention, the following methods should be provided.
1. 사용자 인증에 있어서 알려지고, 안전한 인증 방법(공인 인증서와 같이)1. Known and secure authentication methods (such as certified certificates) in user authentication
2. 통신에 있어서, 충분한 암호화 알고리즘 및 충분히 안전한 암호화 키(일2. In communication, sufficient encryption algorithm and sufficiently secure encryption key (work
회성 암호와 같이)As a password)
3. 충분히 안전한 압축 방법(다양한 소프트웨어 패킹 기법)3. Sufficiently secure compression method (various software packing techniques)
서비스, service, 컨텐츠contents 제공자(비 인가 접근을 탐지하는 주체)의 사용자 인증 및 비 인가 접근의 탐지 User authentication of the provider (subject detecting unauthorized access) and detection of unauthorized access
일반적으로 현재 네트워크를 이용한 서비스에 있어서 중개 시스템을 검색 하기는 불가능하다. 현재의 서비스 시스템은 도 1에 나타나 있다. 도 1은 현재 네트워크를 이용한 서비스를 설명한다. 실제 접근하는 네트워크(비인가) 식별 정보(도 1의 101)가 중개 시스템이 자신의 정보(인가된 네트워크, 도 1의 102)로 변경한다. 중 개시스템에 의해 변경된, 인가된 네트워크 식별 정보(예, IP 주소)를 수신한 서비스 제공자는 정상적인 서비스 제공을 중개 시스템을 대상으로 하게 된다(도 1의 103). 중개 시스템은 서비스로부터 받은 정보를 그대로 비 인가된 사용자에게 전달한다(도 1의 104), 서비스 제공자는 인가된 중계 시스템을 서비스 대상으로 인식하게 된다. 이 구조는, 추후 통신에 있어서 지속적인 연결을 보장받을 수 있는 구조이다.In general, it is not possible to search for an intermediary system in the current network service. The current service system is shown in FIG. 1 illustrates a service using a current network. The actual accessing network (unauthorized) identification information (101 in FIG. 1) is changed by the intermediary system to its own information (authorized network, 102 in FIG. 1). The service provider that receives the authorized network identification information (eg, IP address) changed by the intermediate system targets the normal system to provide the normal service (103 in FIG. 1). The intermediary system transmits the information received from the service to the unauthorized user as it is (104 of FIG. 1), and the service provider recognizes the authorized relay system as the service target. This structure is a structure that can guarantee a continuous connection in the future communication.
상세한 발명의 내용, 내용의 순서는 다음과 같다.Details of the invention and the order of the contents are as follows.
1. 사용자의 제공자에 대한 서비스, 데이터 요청 (도 3, 301) - 먼저 사용자는 일반적인 요청을 중개 시스템에 전송하며, 중개 시스템은 제공자에 그 정보를 전송한다. 이때 제공자는 중개 시스템의 사용을 판단할 수는 없지만 정보를 요청한 실제 네트워크 기기의 네트워크 식별 정보를 확인할 수 있다.(중개 시스템의 네트워크 정보 혹은 직접 접속할 경우 사용자 기기의 네트워크 식별 정보) 1. Service, data request to the provider of the user (FIG. 3, 301)-The user first sends a general request to the intermediary system, which transmits the information to the provider. In this case, the provider cannot determine the use of the intermediary system, but can check the network identification information of the actual network device that requested the information (network information of the intermediary system or network identification information of the user device in case of direct access).
Req(Req_Net_ID, Req_data, Req_time) : Req(요청), Req_Net_ID(네트워크 식별 정보), Req_data(요청에 대한 상세 정보), Req_time(사용자 기기, 혹은 중개 시스템의 시간)Req (Req_Net_ID, Req_data, Req_time): Req (Request), Req_Net_ID (Network Identification Information), Req_data (Detailed Information about the Request), Req_time (Time of User Device or Intermediate System)
2. 제공자는 데이터 제공 전 사전에 배분된 안전한 암호를 사용자에 요청 (도 3, 302) - 제공자는 안전한 데이터 통신 및 사용자 인증을 위해 특정 암호 키 값을 요청한다. 이때 암호 키는 사전에 충분히 안전한 방법으로 배분된다.2. The provider requests the user a secure password that has been distributed in advance before providing the data (FIG. 3, 302). The provider requests a specific cryptographic key value for secure data communication and user authentication. The encryption key is then distributed in a sufficiently secure manner in advance.
Req(Req_data) : Req(요청), Req_data(요청에 대한 상세 정보로서, 사용자 식별 정보, 사전에 배분된 사용자 인증을 위한 키 요청)Req (Req_data): Req (Request), Req_data (Detailed information about the request, user identification information, key request for pre-allocated user authentication)
3. 사용자는 요청에 따른 안전한 암호 제공(일회성 암호) (도 3, 303) - 사용자는 제공자의 요청에 의해 암호 키를 전송한다.3. The user provides a secure password upon request (one-time password) (FIG. 3, 303)-The user sends a cryptographic key at the provider's request.
Epk(User_auth_key, User_ID) : Epk(공개키 암호화), User_auth_key(제공자가 요청한 사용자 인증을 위한 키), User_ID(사용자 식별 정보)E pk (User_auth_key, User_ID): E pk (public key encryption), User_auth_key (key for user authentication requested by the provider), User_ID (user identification information)
4. 3에서 통신 된 정보에 의한 상호 인증 (도 3, 302, 303) - 제공자는 사용자가 전송한 키를 제공자가 사전에 갖고 있는 사용자의 정보와 비교하여 적합한 사용자인지 확인한다.4. Mutual authentication with information communicated in 3 (Fig. 3, 302, 303)-The provider checks if the user is a suitable user by comparing the key transmitted by the user with the information of the user previously possessed by the provider.
Dpk(User_auth_key, User_ID) : Dpk(사용자의 개인키로 복호화), User_auth_key(사용자 인증을 위한 키), User_ID(사용자 식별 정보) D pk (User_auth_key, User_ID): D pk (decrypted by user's private key), User_auth_key (key for user authentication), User_ID (user identification information)
5. 3에서 사용된 암호를 공개키로 사용하여 초기 데이터를 제공자는 패킹한 뒤 암호화에 사용 (도 4, 402) - 4 단계를 통해 적합한 사용자로 인증되면 제공자는 전송 받은 암호를 이용하여 해당 접속에 사용될 세션 키(제공자가 임의 생성), 사용자의 실제 사용 기기의 네트워크 식별 정보를 전달해 줄 소프트웨어(Active X 혹은 유사한 소프트웨어)를 암호화한다. 이때 소프트웨어는 임의의 방법(제공자의 시간 정보에 따른 여러가지 다른 패킹 방법)으로 패킹 된다.5. Using the password used in 3 as the public key, the provider packs the initial data for encryption and then uses it for encryption (Figure 4, 402). Encrypts the session key (provided by the provider) to be used and software (Active X or similar software) that conveys the network identification of the user's actual device. The software is then packed in any manner (various different packing methods depending on the provider's time information).
Pi(Data, Session_Key) : Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키)P i (Data, Session_Key): P i (packing of method i randomly chosen by the provider), Data (software to send the network identification information of the user device to the provider), Session_Key (session key to encrypt the network identification information of the user device)
6. 안전한 초기 데이터 전송 (도 3, 304) - 3, 4, 5단계에서 사용된 암호화 키를 이용하거나 혹은 일회성 암호를 생성하여 암호화 데이터 전송을 한다.6. Secure initial data transmission (FIG. 3, 304)-Use the encryption key used in steps 3, 4, and 5 or generate a one-time password to transmit encrypted data.
EUser _ auth _ key(Pi(Data, Session_Key)) : EUser _ auth _ key(4단계에서 확인된 사용자 인증키), Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키)E User _ auth _ key (P i (Data, Session_Key)): E User _ auth _ key (user authentication key identified in step 4), P i (packing of the i method chosen by the provider), Data (user device Software that will send its network identification to the provider), Session_Key (session key to encrypt the network identification of the user's device)
7. 수신된 초기 데이터를 사용자의 기기는 3에서 입력된 키(혹은 일회성 키)를 이용하여 압축 해제 (도5, 501, 502, 503) - 제공자로부터 수신된 데이터는 사용자가 적합한 암호화 키가 있는 경우 복호화된다.7. Decompress the initial data received by the user's device using the key (or one-time key) entered in Figure 3 (FIG. 5, 501, 502, 503). If it is decrypted.
DUser _ auth _ key(Pi(Data, Session_Key)) : DUser _ auth _ key(4단계에서 확인된 사용자 인증키), Pi(제공자가 임으로 선택된 i 방법의 패킹), Data(사용자 기기의 네트워크 식별 정보를 제공자에게 전송할 소프트웨어), Session_Key(사용자 기기의 네트워크 식별 정보를 암호화할 세션 키) D User _ auth _ key (P i (Data, Session_Key)): D User _ auth _ key ( the user authentication key found in step 4), P i (arbitrarily the provider packing of the selected i method), Data (user equipment Software that will send its network identification to the provider), Session_Key (session key to encrypt the network identification of the user's device)
8. 압축 해제된 초기 데이터는 해제와 동시에 패킹 된 소프트웨어의 설치 (도 5, 502) - 복호화된 데이터(패킹 된 소프트웨어)는 즉시 설치된다.8. Decompression initial data is installed as soon as it is released (Fig. 5, 502)-Decrypted data (packed software) is installed immediately.
9. 8의 설치와 동시에 사용자 기기에 대한 네트워크 식별 정보의 암호화 (암호화에는 패킹 된 소프트웨어에 포함된, 제공자가 임의로 구성한 일회성 암호(도 5, 504)를 사용한다.) (도 3, 305)(도 5, 505) - 설치와 동시에 현재 설치된 사용자 기기의 네트워크 식별 정보를 확인한다.9. Encryption of network identification information for the user device upon installation of 9. (Encryption uses a one-time password (FIGS. 5 and 504) arbitrarily configured by a provider, included in the packed software) (FIGS. 3 and 305) ( 5, 505)-At the same time of installation, the network identification information of the currently installed user equipment is checked.
ESession _ Key(Real_Net_ID) : ESession _ Key(5단계에서 제공자가 생성하여 전송한 세션 키로 암호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보)E Session _ Key (Real_Net_ID): E Session _ Key (encrypted with the session key generated and transmitted by the provider in step 5), Real_Net_ID (network identification information of the user device)
10. 3에서 사용한 것과 동일한 방법으로 구성된 안전한 암호를 이용한 암호화 통신으로 9의 데이터를 제공자에게 전송 (도 3, 302, 303, 304, 305) - 5단계에서 제공자로부터 수신된 세션 키를 이용해 사용자 기기의 실제 네트워크 식별 정보를 암호화하여 제공자에게 자동 송신된다.10. Send the data of 9 to the provider in an encrypted communication using a secure password configured in the same way as used in step 3 (FIG. 3, 302, 303, 304, 305)-the user device using the session key received from the provider in step 5. The actual network identification information of is encrypted and automatically sent to the provider.
EUser _ auth _ key(ESession _ Key(Real_Net_ID)) : EUser _ auth _ key(5단계의 사용자 인증 키 혹은 새로 생성된 일회성 암호화 키로 암호화), ESession _Key(5단계에서 제공자가 생성하여 전송한 세션 키로 암호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보) E User _ auth _ key (E Session _ Key (Real_Net_ID)): E User _ auth _ key (5 encryption level user authentication key or a one-time encryption newly created key of) the provider is created in E Session _Key (5 steps Encrypted with the sent session key), Real_Net_ID (network identification of the user's device)
11. 제공자는 10에서 수신된 정보를 복호화하여 1에서 수집된 사용자의 초기 접근에 사용된 네트워크 식별 정보와 비교 (도 4, 403) - 제공자는 10단계에서 수신된 정보와 1단계에서 사용자가 제공자에게 접근한 네트워크 식별 정보를 비교한다.11. The provider decrypts the information received in step 10 and compares it with the network identification information used for the initial access of the user collected in step 1 (FIG. 4, 403). Compare network identification information accessed by.
DUser _ auth _ key(DSession _ Key(Real_Net_ID)) : DUser _ auth _ key(5단계의 사용자 인증 키 혹은 새로 생성된 일회성 암호화 키로 복호화), DSession _ Key(세션 키로 복호화), Real_Net_ID(사용자 기기의 네트워크 식별 정보) D User _ auth _ key (D Session _ Key (Real_Net_ID)): D User _ auth _ key (5 decoding step user authentication key or a one-time encryption newly created key of), D Session _ Key (decrypt the session key), Real_Net_ID (Network identification of your device)
12. 동일할 경우 인가된 범위 내에 있는지 확인하고 수락 여부를 결정 (도 4, 403),12. If they are the same, check whether they are within the authorized range and decide whether to accept them (FIGS. 4, 403),
즉, 1단계의 Req_Net_ID와 11단계의 Real_Net_ID를 비교하여 확인한다.That is, check by comparing Req_Net_ID of
13. 동일하지 않을 경우 9에서 수집된 사용자 기기의 네트워크 식별 정보가 인가된 범위 내에 있는지 확인하고 수락 여부를 결정 (도 4, 403) - 1단계와 11단계의 네트워크 식별 정보를 비교하고 분석하여 중개 시스템의 유무를 판단한다.13. If it is not the same, check whether the network identification information of the user equipment collected in step 9 is within the authorized range and determine whether to accept it (FIG. 4, 403)-compare and analyze the network identification information of
악의적인 사용자의 공격 차단Blocking malicious user attacks
악의적인 사용자의 경우 다음과 같이 크게 두 가지의 방법으로 공격 시도할 수 있다.Malicious users can try to attack in two ways:
1. 전송된 초기 데이터의 사용자 기기 내의 도출 및 변경1. Derivation and modification of the initial data transmitted in the user equipment
2. 전송될 사용자 기기의 네트워크 식별 데이터의 도출 및 변경2. Derivation and change of network identification data of user equipment to be transmitted
1의 경우 일반적인 소프트웨어, 혹은 데이터일 경우 사용자가 악의적인 의도로 시스템 내부의 데이터를 도출할 수 있으나 본 특허의 방법은 패킹 된 소프트웨어(데이터)를 설치함으로써 공격에 효용이 있는 짧은 간격의 시간 내에는 도출이 불가능하다. 또한 2의 경우 1에 의해서 소프트웨어(데이터)가 사용자의 기기에 수신됨과 동시에 실행되고 암호화되어 전송되기 때문에 알려진 시스템 후킹(도출을 위한 수집) 방법을 실시간으로 시도하는 것은 현재의 시스템 수준에서 불가능하다. 그리고 고속 연산 시스템을 사용하여 데이터를 수집하거나 도출할 경우 제공자의 패킹 방법이 시간적 간격을 두고 변경되기 때문에 마찬가지 전송 정보를 변조하기 힘들다.In case of 1, the user can derive the data from inside the system with the intention of malicious software or data. However, the method of the present patent provides a short time interval that is useful for attack by installing the packed software (data). It is impossible to derive. In addition, in the case of 2, since the software (data) is executed by the user at the same time as the user is received, encrypted and transmitted at the same time, it is impossible at the current system level to attempt a known system hooking method. In addition, when the data is collected or derived using a high-speed computing system, it is difficult to modulate the transmission information because the provider's packing method is changed over time.
대표도. 대표도는 본 발명에서 이루고자 하는 내용을 설명하는 것으로서 사용자의 기기(개인 컴퓨터 혹은 모바일 기기)가 직접 접근을 하지 않고 중개 시스템을 이용하여 접근할 경우 서비스, 컨텐츠 제공자가 이를 탐지할 수 있는 방법에 관한 구조의 도안이다.Representative too. Representative diagram is to explain the contents to be achieved in the present invention, when the user's device (personal computer or mobile device) is accessed by using a mediation system without direct access to a service, a content provider how to detect this It is a design of the structure.
도 1. 현재의 네트워크에서 중개 시스템을 설명하는 것으로서 비 인가된 접근에 대해 인가된 네트워크 혹은 사용자 기기를 중개 시스템으로 하여 통신하는 경우 중개 시스템의 사용 유무를 판단할 수 없다. 설명하면, 비 인가된 사용자, 혹은 사용자 기기는 인가된 범위에 있는 중개 시스템에 사용자의 요청을 전송한다.(101) 이때, 중개 시스템은 실제 사용자의 네트워크 식별 정보가 아닌 자신의 네트워크 식별 정보를 이용하여 제공자에게 사용자의 요청을 전송한다.(102) 사용자의 요청이 수신되면 제공자는 중개 시스템이 인가된 네트워크 혹은 사용자 기기로 인식하고 정당한 응답을 전송하며(103), 중개 시스템은 해당 내용을 비 인가된 사용자, 사용자 기기에 전달하여(104) 통신이 가능하다. 따라서 현재의 네트워크 구조에서는 중개 시스템을 식별하고 탐지할 수 있는 방법이 없다.FIG. 1. As a description of an intermediary system in a current network, it is not possible to determine whether an intermediary system is used when communicating with an authorized network or a user device as an intermediary system for unauthorized access. In this case, an unauthorized user or a user device transmits a user's request to an intermediary system within an authorized range. (101) At this time, the intermediary system uses its own network identification information rather than the actual user's network identification information. (102) When the user's request is received, the provider recognizes the intermediary system as an authorized network or user device and sends a legitimate response (103). It is possible to communicate 104 to the user, the user device. Therefore, in the current network structure, there is no way to identify and detect intermediate systems.
도 2. 앞서 설명된 안전하지 않은 현재의 네트워크 상황과 동일하게 비 인가된 사용자, 사용자 기기는 중개 시스템에 사용자의 요청을 전송한다.(201) 해당 요청을 도 1의 101과 동일하게 중개 시스템은 제공자에게 전송하는데 이때 제공자는 초기의 접근(202)에 대한 네트워크 식별 정보를 수집한다.(중개 시스템의 네트워크 식별 정보) 이때, 안전한 통신을 위하여 본 발명에서는 사용자의 암호를 제공자, 사용자가 동일하게 갖도록 미리 배분되어 있으며,(일회성 암호 등) 해당 암호를 이용하여 비인가 사용자가 볼 수 없도록 패킹 된 데이터를 암호화하여 중개 시스템에 전송한다.(204) 해당 내용을 중개 시스템은 볼 수 없으며,(203에 의해 암호화 되었기 때문에) (204)의 내용을 그대로 비인가 사용자에게 전송한다. 이때, 비인가 사용자가 사용자 인증은 되었으나 네트워크가 비인가 지역일 경우라도, 전송된 데이터(205)를 복호화할 수 있다. 복호화된 패킹 데이터는 동시에 설치(혹은 실행)되며, 패킹 방법은 제공자의 충분히 안전한 범위 내에서 변경된다. 즉, 실시간으로 패킹 된 내용을 확인할 수 없다. 패킹 데이터는 설치(혹은 실행)됨과 동시에 비인가 네트워크의 네트워크 식별 정보를 패킹 데이터에 포함된 제공자가 발급한 임시 암호화 키를 이용해 암호화하여 제공자에게 전송한다.(206, 207) 전송된 네트워크 식별 정보(206)와 초기 접속에서 수집된 중개 시스템의 네트워크 식별 정보(202)를 비교하여 중개 시스템의 유무를 판단한다.In the same manner as the insecure current network situation described above, an unauthorized user and a user device transmit a request of a user to an intermediary system (201). In this case, the provider collects network identification information for the
도 3. 처음 사용자는 사용자 기기를 통해 제공자에게 서비스 제공을 요청하며 제공자는 동시에 네트워크 통신 데이터에서 수집할 수 있는 사용자 기기의 정보를 수집한다.(301) 제공자는 사용자의 정보에 따라(사용자를 식별할 수 있는 ID 정보등을 이용하여) 해당하는 안전한 암호(일회성 암호)를 요청한다.(302) 사용자는 제공자의 요청에 따라 안전한 암호를 제공한다.(303) 제공된 암호가 사전에 제공자에 저장된 사용자의 정보에 따라 적합한 인증 키 값일 경우 해당 키를 공개키로 하여 암호화 된 패킹 데이터를 사용자에게 제공한다.(304) 제공된 패킹 데이터는 복호와 동시에 사용자의 기기에서 실행되며, 실행과 동시에 사용자 기기 정보가 패킹 데이터에 사전 포함되어 전송된 제공자가 발행한 일회성 암호로 암호화되어 제공자에 전달된다.(305)First, a user requests a provider to provide a service through a user device, and the provider simultaneously collects information of the user device, which can be collected from network communication data. (301) The provider according to the user's information (identifies the user). Request a corresponding secure password (one-time password) using the available ID information, etc. (302) The user provides a secure password at the request of the provider. (303) A user whose password has been previously stored in the provider. If the authentication key value is appropriate according to the information, the encrypted keying data is provided to the user by using the key as a public key (304). The data is encrypted with a one-time password issued by the provider, which is included in the data, and transmitted to the provider. (305)
도 4. 사용자의 초기 접속에 따라 제공자는 미리 저장된 정보에서 사용자 정보를 확인하고 적합한 암호를 확인(확보)한다.(401) 또한 사용자에게 요청하여 수신된 암호가 제공자의 적합한 인증 방법에 의해 확인되면, 해당 암호를 공개키로 하여 패킹 데이터를 암호화한다.(402) 이때, 패킹 된 데이터에는 사용자 기기의 정보를 전송할 수 있는 메커니즘을 포함한 소프트웨어와 필요에 따라 설치되어야 할 소프트웨어, 제공자가 임의로 발급한 일회성 암호가 함께 포함된다. 패킹 된 데이터가 사용자 기기에 설치(실행) 됨과 동시에 사용자 기기의 네트워크 식별 정보를 수집하고, 수집된 정보는 사전 패킹 데이터에 포함된 일회성 암호로 암호화되어 제공자에게 제공된다. 제공받은 데이터를 이용하여 제공자는 초기에 사용자가 서비스 제공을 요청할 때에 사용자 기기의 네트워크 식별 정보와 비교하여 중개 시스템의 사용 유무를 판단한다.(403)According to the user's initial access, the provider verifies the user information from the pre-stored information and confirms (obtains) a suitable password. (401) Also, if the password received by the user is requested by the provider's proper authentication method, The packing data is encrypted using the corresponding cipher as a public key (402). The packed data includes software including a mechanism for transmitting information of the user equipment, software to be installed as needed, and a one-time password arbitrarily issued by the provider. Included together. As the packed data is installed (executed) on the user equipment, the network identification information of the user equipment is collected, and the collected information is encrypted and provided to the provider by a one-time password included in the prepacking data. Using the provided data, the provider initially determines whether the intermediary system is in use or not by comparing the network identification information of the user device when the user requests to provide a service.
도 5. 제공자의 사용자 인증을 위한 안전한 암호를 요청하면 사용자는 사전에 배분된 안전한 방법을 이용하여 키를 생성한다.(501) 생성된 암호는 이후 제공자의 패킹된 데이터의 암호화 데이터를 복호화(502) 할 때의 키 값으로 사용되며,(503) 이후 데이터가 실행(설치) 된다.(502)5. Upon requesting a secure password for the user authentication of the provider, the user generates a key using a secure method previously distributed (501). The generated password then decrypts the encrypted data of the provider's packed data (502). It is used as a key value when (), and data is executed (installed) after (503). (502)
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090016425A KR20100097474A (en) | 2009-02-26 | 2009-02-26 | A method for detecting prohibited terminals when using proxy server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090016425A KR20100097474A (en) | 2009-02-26 | 2009-02-26 | A method for detecting prohibited terminals when using proxy server |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20100097474A true KR20100097474A (en) | 2010-09-03 |
Family
ID=43004684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090016425A KR20100097474A (en) | 2009-02-26 | 2009-02-26 | A method for detecting prohibited terminals when using proxy server |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20100097474A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769999A (en) * | 2017-12-07 | 2018-03-06 | 锐捷网络股份有限公司 | A kind of method and apparatus for identifying user agent's online |
-
2009
- 2009-02-26 KR KR1020090016425A patent/KR20100097474A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107769999A (en) * | 2017-12-07 | 2018-03-06 | 锐捷网络股份有限公司 | A kind of method and apparatus for identifying user agent's online |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112260995B (en) | Access authentication method, device and server | |
US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
KR100680177B1 (en) | User authentication method and system being in home network | |
Sumitra et al. | A survey of cloud authentication attacks and solution approaches | |
CN103248479A (en) | Cloud storage safety system, data protection method and data sharing method | |
CN105553666B (en) | Intelligent power terminal safety authentication system and method | |
WO2008039582A2 (en) | System and method for securing software applications | |
CA2874132A1 (en) | System and method for grid based cyber security | |
CN111918284B (en) | Safe communication method and system based on safe communication module | |
KR101531662B1 (en) | Method and system for mutual authentication between client and server | |
CN103701792A (en) | Credibility authorization method, system, credibility security management center and server | |
JP2017525236A (en) | Ensuring communication safety with enhanced media platform | |
CN102185867A (en) | Method for realizing network security and star network | |
CN114553430A (en) | SDP-based novel power service terminal safe access system | |
KR20090054774A (en) | Method of integrated security management in distribution network | |
KR20130085473A (en) | Encryption system for intrusion detection system of cloud computing service | |
EP3143724B1 (en) | Three-tiered security and computational architecture | |
Kim et al. | Self-certifying id based trustworthy networking system for iot smart service domain | |
KR20100117338A (en) | Terminal authentication and security method via network | |
CN111669746B (en) | Protection system for information security of Internet of things | |
KR20100097474A (en) | A method for detecting prohibited terminals when using proxy server | |
Jeong et al. | Integrated OTP-based user authentication and access control scheme in home networks | |
CN117858079B (en) | Safety control method of building intercom system | |
AU2021106427A4 (en) | System and Method for achieving cyber security of Internet of Things (IoT) devices using embedded recognition token |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application | ||
E601 | Decision to refuse application |