KR20150127511A - Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템 - Google Patents

Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템 Download PDF

Info

Publication number
KR20150127511A
KR20150127511A KR1020140054479A KR20140054479A KR20150127511A KR 20150127511 A KR20150127511 A KR 20150127511A KR 1020140054479 A KR1020140054479 A KR 1020140054479A KR 20140054479 A KR20140054479 A KR 20140054479A KR 20150127511 A KR20150127511 A KR 20150127511A
Authority
KR
South Korea
Prior art keywords
dns query
http
dns
identification value
line
Prior art date
Application number
KR1020140054479A
Other languages
English (en)
Inventor
곽정곤
박준희
Original Assignee
곽정곤
박준희
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 곽정곤, 박준희 filed Critical 곽정곤
Priority to KR1020140054479A priority Critical patent/KR20150127511A/ko
Publication of KR20150127511A publication Critical patent/KR20150127511A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 시스템 및 그 방법이 개시된다. 본 발명에 따르면 HTTP프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템은, 특정도메인, 가입자ID와 최대허용단말대수를 설정하는 정책인증서버, 상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사하는 미러탭, 상기 복사된 트래픽으로부터 웹 트래픽 또는 DNS 트래픽을 필터링하는 필터링장치, 상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송하는 간섭서버; 상기 단말로부터 상기 DNS질의발생기요청 및 식별코드를 전달받아 상기 특정도메인이 포함된 신규식별값을 생성하고, 상기 단말에게 상기 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송하는 신호결정서버, 및 상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하고, 상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하되, 상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하고, 상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정하는 인증선정서버를 포함한다.

Description

HTTP 프로토콜 간섭과 DNS질의를 이용한 인증대상회선 선정방법 및 그 시스템{Method and System for detecting of internet request traffics sharing the public IP address using DNS query and HTTP protocol}
본 발명은 HTTP 프로토콜 간섭과 DNS질의를 이용한 인증대상회선 선정방법 및 그 시스템에 관한 것으로, 보다 상세하게는 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드를 이용한 DNS질의 여부와 로컬 DNS 캐시를 이용하여 하나의 공인 IP(인터넷회선)를 공유하는 웹 사용자를 산정하고, 산정된 웹 사용자가 최대허용대수를 초과하는 경우 인증대상회선으로 선정하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인증대상회선 선정방법 및 그 시스템에 관한 것이다.
대용량 멀티미디어 콘텐츠 수요가 급증하면서 인터넷 트래픽은 기하급수적으로 증가하고 있다. 이로 인해 국내외 인터넷 서비스 사업자(ISP: Internet Service Provider)는 지속적으로 망에 투자하고 있다. 그 결과 기업 인터넷회선뿐만 아니라 중소기업 및 소호(SOHO) 사업자 및 각 가정에서 사용하는 개인 인터넷회선도 100M급으로 발전되어 콘텐츠를 불편 없이 즐길 수 있는 환경이 되었다.
이와 같이 개인 인터넷회선이 빠르게 발전함에 따라 인터넷회선에 PC와 같은 장치를 다수 연결하여 사용할 수 있는 공유기(IP주소 공유기)가 출시되어 기업 및 가정에서 빠르게 보급되고 보편화되었다.
한편, 이러한 현상은 "트래픽 급증에 따른 망 투자 비용 부담을 어떻게 배분할 것인가?"라는 문제를 발생시켰고, 인터넷 서비스 사업자는 공유기를 통해 과도하게 공유되는 인터넷회선을 파악하고자 하였다. 그러나 공유기는 NAT(Network Address Translation)를 활용하여 다수 내부 사설 IP주소를 하나의 공인 IP주소로, 또는 그 반대로 변환해주는데, 이러한 공유기 특성으로 공인 IP주소로 특정되는 인터넷 망에서 그 내부에 존재하는 다수 PC와 같은 장치를 정확하게 계산하고 처리하는데 어려움이 있다.
이와 같은 문제를 해결하기 위해 종래 기술은 모든 TCP/IP 패킷을 분석하여 계산하거나, 사용자의 인가 없이 프로그램을 구동시켜 내부 사설 IP정보를 파악하여 계산하거나, HTTP 요청을 분석하여 계산하는데 상기 문제를 해결하는데 한계가 있다.
또한 종래기술은 HTTP Cookie나 FSO(Flash Shared Object) 형태의 식별코드를 부여하여 해결하고자 하였으나, 개인정보보호가 강화되고 다수 웹 브라우저를 동시에 사용하는 인터넷 환경하에서 그 유효성을 보장하기 어려운 문제점이 있다.
대한민국 등록특허 제 10-1002421호는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 사용자 단말 대수를 검출하고 할당된 허용 대수와 비교하여 접속 요청을 하는 단말의 인터넷 접속 요청 트래픽을 선별적으로 허용 및 차단하는 방법 및 장치 시스템에 있어서, 공유기 과다 사용 의심자를 미리 검출한 후에 해당 공인 IP를 사용하는 가입자에 대하여서만 실제 공유기 과다 사용 상태를 검출하고 그 웹 트래픽을 차단하는 작업을 수행하므로 공유기 사용과 관련없는 가입자는 공유기 검출 시스템에 거의 영향을 받지 않으며, 또한 공유기 과다 사용 의심자를 검출하는 과정에서는 인터넷 속도의 감소가 거의 없으며, 만약 검출 시스템에 에러나 고장이 발생하더라도 가입자의 인터넷에 아무런 영향을 주지 않으며, 또한, 정확한 공유기 과다 사용 상태를 검출하고 차단하는 단계에서는 사용자에 의해 쉽게 삭제될 수 있는 쿠키(Cookie)가 아닌 Flash Shared Object를 이용함으로써 오검출이나 오차단 확률을 낮출 수 있는 공인 IP를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 IP 공유 상태 검출 및 차단 시스템을 제공한다
즉, 웹 브라우저의 HTTP Cookie형태의 식별코드를 부여하고, 인터넷회선에서 상기의 식별코드가 일정 기간 동안 몇 회 발행되는지를 기준으로 인터넷회선을 공유하는 내부 PC와 같은 장치(이하 회선공유PC)의 총 대수를 계산하여 사전 약정된 회선공유PC 대수를 초과하여 사용하는 회선을 검출한다.
그러나, 상기 등록특허는 하나의 PC에서 MS Explorer, Google Chrome, Mozilla Firefox, Apple Safari 등 다수 웹 브라우저가 동시에 사용될때, 각 웹 브라우저마다 Cookie 형태의 식별코드가 중복 발행되어 회선공유PC 총 대수의 계산이 부정확한 문제가 있다.
또한 HTTP Cookie는 요청 도메인 별로 관리되므로, 각 요청 사이트 도메인 기준으로 계산되어 그 중 가장 높은 값을 회선공유PC 총 대수로 계산하고 있다. 즉, N개의 회선공유PC가 모두 동일 사이트(예, www.google.com)를 방문해야만 N개의 동일 도메인 Cookie 식별코드가 발행되므로, 정확한 계산을 위해서 시간이 과다하게 소요되는 문제점이 있다.
또한, 사용자는 최근 웹 브라우저의 창을 닫을 때마다 자동으로 Cookie를 삭제하도록 설정하거나 개인정보 보호를 위해 수동으로 Cookie를 삭제한다. 따라서 Cookie의 유지가 어려워 Cookie 형태의 식별코드를 활용한 계산의 정확도가 현저히 떨어지는 문제점이 있다.
또한, 종래기술은 약정위반회선의 "사전 약정된 회선공유PC 대수를 초과한 회선공유PC" 여부를 판단하기 위해 HTTP간섭패킷에 웹 브라우저에 표시되지 않는 HTML 프레임을 사용한다. 예를 들면, HTML 프레임을 나누어 하나는 전체를 표시하고, 다른 하나는 표시되지 않도록 하여 전체로 표시되는 프레임에는 원래 방문하려는 웹 사이트를 정의하고, 표시되지 않는 프레임에는 차단 판단을 위한 웹 서버로 연결을 유도한다. 하지만 google.com과 같은 사이트는 임으로 만들어진 프레임 내에는 표시되지 않아 인터넷 사용자의 웹 브라우저에 에러가 발생하는 문제점이 있다.
또한, 종래기술은 판단을 위한 웹 서버로 연결을 유도하는 코드를 삽입하고 있는데, 판단을 위한 웹 서버에 장애가 발생하면 약정위반회선의 모든 회선공유PC의 웹 사이트 방문에 에러가 발생하는 문제점이 있다.
또한, 특정도메인에 관하여 DNS질의를 유도하고, 그 특정도메인에 대한 DNS질의 개수를 계산하여 문제를 해결하고자 하였으나, DNS질의 상태가 별도로 저장되지 않아 단말이 다시 시작되는 경우 로컬 DNS 캐시가 삭제되어 DNS질의가 중복되는 문제가 있다.
한편, 종래기술은 약정위반회선의 초과사용PC를 무작위로 지정하고 웹 사용을 제한하고 있다. 이때, 약정위반회선의 약정 범위 내의 회선공유PC의 사용을 제한하여 심한 불편을 초래하는 문제점이 있다.
본 발명의 목적은 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드를 이용하여 새로운 DNS질의 유도를 판단하고, 로컬 DNS 캐시를 이용하여 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 인증대상회선을 선정하는 방법 및 그 시스템을 제공함에 있다.
본 발명의 일 측면에 따르면, HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템은 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 시스템에 있어서, 특정도메인, 가입자ID와 최대허용단말대수를 설정하는 정책인증서버; 상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사하는 미러탭; 상기 복사된 트래픽으로부터 웹 트래픽 또는 DNS 트래픽을 필터링하는 필터링장치; 상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송하는 간섭서버; 상기 단말로부터 상기 DNS질의발생기요청 및 식별코드를 전달받아 상기 특정도메인이 포함된 신규식별값을 생성하고, 상기 단말에게 상기 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송하는 신호결정서버; 및 상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하고, 상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하되, 상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하고, 상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정하는 인증선정서버;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 간섭서버는, 상기 웹 트래픽이 GET 요청이고, 출발지 IP가 처리대상이며, Referer 헤더값이 Host 및 GET URI 아닌 경우에 HTTP간섭패킷을 전송하는 것을 특징으로 한다.
그리고, 상기 간섭서버는, 상기 웹 트래픽의 GET URI가 '/' 또는 '/?' 인 경우에 HTTP간섭패킷을 전송하는 것을 특징으로 한다.
또한, 상기 정책인증서버는, 인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 상기 특정도메인의 주소구분방법을 설정하고, 상기 신규식별값은, 상기 주소구분방법에 따른 주소구분 및 상기 특정도메인을 포함한다.
바람직하게는, 상기 정책인증서버는 보안기준을 설정하고, 상기 신규식별값은 상기 보안기준에 따른 암호 및 상기 특정도메인을 포함하되, 상기 인증선정서버는, 상기 DNS질의에 상기 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하는 것을 특징으로 한다.
그리고, 상기 식별코드의 유형은, HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나이다.
또한, 상기 신호결정서버는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 것을 특징으로 한다.
바람직하게는, 상기 신호결정서버는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일한 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송한다.
그리고, 상기 신호결정서버는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 것을 특징으로 한다.
또한, 상기 신호결정서버는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것을 특징으로 한다.
바람직하게는, 상기 인증선정서버는, ID, DNS주소 및 Count를 포함하는 DNS질의정보를 가지며, 상기 DNS질의정보에서 상기 DNS질의정보의 ID 및 DNS주소가 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신하되, 상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count를 상기 사용단말대수로 하는 것을 특징으로 한다.
또한, 상기 인증선정서버는, ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 상기 사용자ID, 상기 DNS질의주소, 시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입하되, 상기 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하고, 상기 정보의 개수를 상기 사용단말대수로 검출하는 것을 특징으로 한다.
그리고, 상기 인증선정서버는, 상기 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단하는 것을 특징으로 한다.
한편, 본 발명의 다른 측면에 따르면, 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, 특정도메인, 가입자ID와 최대허용단말대수를 설정하는 단계; 상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사하는 단계; 상기 복사된 트래픽으로부터 웹 트래픽 또는 DNS 트래픽을 필터링하는 단계; 상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송하는 단계; 상기 단말로부터 상기 DNS질의발생기요청 및 식별코드를 전달받아 상기 특정도메인이 포함된 신규식별값을 생성하고, 상기 단말에게 상기 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송하는 단계; 상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하는 단계; 상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하는 단계; 상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하는 단계; 및 상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정하는 단계;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 HTTP간섭패킷을 전송하는 단계는, 상기 웹 트래픽이 GET 요청이고, 출발지 IP가 처리대상이며, Referer 헤더값이 Host 및 GET URI 아닌 경우에 HTTP간섭패킷을 전송한다.
또한, 상기 HTTP간섭패킷을 전송하는 단계는, 상기 웹 트래픽의 GET URI가 '/' 또는 '/?' 인 경우에 HTTP간섭패킷을 전송한다.
그리고, 인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 상기 특정도메인의 주소구분방법을 설정하는 단계;를 포함하되, 상기 신규식별값은, 상기 주소구분방법에 따른 주소구분 및 상기 특정도메인을 포함한다.
또한, 보안기준을 설정하는 단계; 및 상기 DNS질의에 상기 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하는 단계;를 포함하되, 상기 신규식별값은 상기 보안기준에 따른 암호 및 상기 특정도메인을 포함한다.
바람직하게는, 상기 식별코드의 유형은, HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나이다.
그리고, HTTP응답헤더를 전송하는 단계는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것이고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 단계;를 포함하는 것을 특징으로 한다.
또한, HTTP응답헤더를 전송하는 단계는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일한 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송한다.
그리고, HTTP응답헤더를 전송하는 단계는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하는 전송하는 것이고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 단계;를 포함하는 것을 특징으로 한다.
바람직하게는 HTTP응답헤더를 전송하는 단계는, 상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송한다.
그리고, ID, DNS주소 및 Count를 포함하는 DNS질의정보를 가지며, 상기 DNS질의정보에서 상기 DNS질의정보의 ID 및 DNS주소가 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신하는 단계;를 포함하되, 상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count를 상기 사용단말대수로 한다.
또한, ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 상기 사용자ID, 상기 DNS질의주소, 시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입하는 단계; 및 상기 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하는 단계;를 포함하되, 상기 정보의 개수를 상기 사용단말대수로 검출한다.
바람직하게는, 상기 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단하는 단계;를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 운영체제(OS : Operating System)가 제공하는 DNS질의 서비스를 이용하여 인터넷회선을 공유하는 단말의 대수를 계산함으로써 정확성과 효율성이 증대되는 효과가 있다.
또한, 동일한 DNS질의가 로컬 DNS 캐시에 존재하는 경우 로컬 DNS 캐시를 이용하는 특성을 이용하여, 일정기간 내에는 동일한 DNS질의를 발생하도록 함으로써 서로 다른 종류의 웹 브라우저를 사용하는 경우에도 DNS질의가 중복되지 않아 인터넷회선을 공유하는 단말의 대수를 보다 정확하게 계산할 수 있는 효과가 있다.
또한, 단말의 웹브라우저 캐시파일 저장소에 저장된 식별코드를 이용하여 새로운 DNS질의를 유도할지 여부를 판단함으로써, 로컬 DNS 캐시가 삭제된 경우에도 DNS질의가 중복되는 것을 방지하여 인터넷회선을 공유하는 단말의 대수를 보다 정확하게 계산할 수 있는 효과가 있다.
도 1은 본 발명에 따른 인증대상회선 선정시스템의 전체 구성도,
도 2는 본 발명에 따른 인증대상회선 선정이 수행되는 과정을 도시한 작동 상태도,
도 3은 본 발명에 따른 인증대상회선 선정 순서도,
도 4는 본 발명에 따른 HTTP간섭패킷 전송 순서도,
도 5는 본 발명에 따른 시스템 처리대상 HTTP GET 요청 패킷의 실시예,
도 6은 본 발명에 따른 DNS질의발생기요청을 포함하는 HTTP간섭패킷의 실시예,
도 7은 본 발명의 실시예에 따른 DNS질의발생기요청에 대한 응답 전송 순서도,
도 8은 본 발명의 또 다른 실시예에 따른 DNS질의발생기 요청에 대한 응답 전송 순서도,
도 9는 본 발명에 따른 단말의 DNS질의발생기요청의 실시예,
도 10은 본 발명에 따른 신규식별값 생성 규칙 실시예,
도 11은 본 발명에 따른 DNS서버의 설정의 실시예,
도 12는 본 발명에 따른 HTTP응답헤더 및 요청헤더 실시예,
도 13은 본 발명에 따른 DNS질의발생기 형식 실시예,
도 14는 본 발명에 따른 신호결정서버의 DNS질의발생기 요청에 대한 응답 실시예,
도 15는 본 발명에 따른 최초사이트 전환 HTTP 요청 형식 실시예,
도 16은 본 발명에 따른 단말의 DNS질의 및 응답 패킷 실시예,
도 17은 본 발명의 일 실시예에 따른 인증대상회선 선정 순서도,
도 18은 본 발명의 일 실시예에 따른 정책정보 및 DNS질의정보 예시도,
도 19는 본 발명의 다른 실시예에 따른 인증대상회선 선정 순서도,
도 20은 본 발명의 다른 실시예에 따른 정책정보 및 DNS질의정보 예시도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명에 따른 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템의 실시예를 첨부도면을 참조하여 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어, 동일하거나 대응하는 구성 요소는 동일한 도면 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명에 따른 인증대상회선 선정시스템의 전체 구성도, 도 2는 본 발명에 따른 인증대상회선 선정이 수행되는 과정을 도시한 작동 상태도, 도 3은 본 발명에 따른 인증대상회선 선정 순서도, 도 4는 본 발명에 따른 HTTP간섭패킷 전송 순서도, 도 5는 본 발명에 따른 시스템 처리대상 HTTP GET 요청 패킷의 실시예, 도 6은 본 발명에 따른 DNS질의발생기요청을 포함하는 HTTP간섭패킷의 실시예, 도 7은 본 발명의 실시예에 따른 DNS질의발생기요청에 대한 응답 전송 순서도, 도 8은 본 발명의 또 다른 실시예에 따른 DNS질의발생기 요청에 대한 응답 전송 순서도, 도 9는 본 발명에 따른 단말의 DNS질의발생기요청의 실시예, 도 10은 본 발명에 따른 신규식별값 생성 규칙 실시예, 도 11은 본 발명에 따른 DNS서버의 설정의 실시예, 도 12는 본 발명에 따른 HTTP응답헤더 및 요청헤더 실시예, 도 13은 본 발명에 따른 DNS질의발생기 형식 실시예, 도 14는 본 발명에 따른 신호결정서버의 DNS질의발생기 요청에 대한 응답 실시예, 도 15는 본 발명에 따른 최초사이트 전환 HTTP 요청 형식 실시예, 도 16은 본 발명에 따른 단말의 DNS질의 및 응답 패킷 실시예, 도 17은 본 발명의 일 실시예에 따른 인증대상회선 선정 순서도, 도 18은 본 발명의 일 실시예에 따른 정책정보 및 DNS질의정보 예시도, 도 19는 본 발명의 다른 실시예에 따른 인증대상회선 선정 순서도, 도 20은 본 발명의 다른 실시예에 따른 정책정보 및 DNS질의정보 예시도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템은, 미러탭(210), 필터링장치(220), 정책인증서버(230), 간섭서버(240), 신호결정서버(250) 및 인증선정서버(260)를 포함한다.
정책인증서버(230)는 특정도메인, 가입자ID와 상기 가입자ID의 최대허용단말대수를 설정한다. 정책인증서버(230)는 인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법을 설정한다. 또한 정책인증서버(230)는 보안기준을 설정한다. 정책인증서버(230)는 인터넷 서비스 사업자(ISP: Internet Service Provider)로부터 사용자ID, 공인 IP, 접속시간 등을 포함하는 사용자인증정보를 실시간으로 수신하고, 간섭서버(240), 인증선정서버(260) 및 인증결정서버(260)로 전달한다.
미러탭(210)은 상기 단말에서 웹 사이트를 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사한다.
필터링장치(220)는 상기 복사된 트래픽으로부터 웹 트래픽과 DNS 트래픽을 필터링한다.
웹 트래픽은 HTTP 프로토콜에 의해 발생되는 IP 패킷이다. 또는 웹 트래픽은 웹사이트 방문자에 의해 발생되는 IP 패킷이다. 또는 웹 트래픽은 웹사이트에 의해 발생되는 IP 패킷이다.
DNS 트래픽은 DNS 프로토콜에 의해 발생되는 IP 패킷이다.
간섭서버(240)는 상기 필터링장치(220)로부터 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송한다.
간섭서버(240)는 상기 웹 트래픽을 검사하여 GET 요청인 여부를 판단하여 GET 요청인 경우에 HTTP간섭패킷을 전송한다.
또한 간섭서버(240)는 웹 트래픽의 출발지 IP를 검사하여 처리대상인지 여부를 판단하여, 출발지 IP가 처리대상인 경우에 HTTP간섭패킷을 전송한다.
간섭서버(240)는 웹 트래픽의 HTTP GET 요청 헤더를 검사하여 Referer값이 HTTP 요청 URL, 즉 Host + GET URI인지 여부를 판단하여 Referer값이 Host + GET URI가 아닌 경우에 HTTP간섭패킷을 전송한다. Referer값을 검사하는 이유는 무한반복 처리를 방지하기 위함이다.
간섭서버(240)는 웹 트래픽의 URI 헤더값이 '/' 또는 '/?'인지 여부를 판단하여, URI 헤더값이 '/' 또는 '/?'인 경우에 HTTP간섭패킷을 전송한다.
또한 간섭서버(240)는 웹 트래픽의 Referer값이 존재하는지 여부를 판단하며, Referer값이 존재하는 경우 HTTP간섭패킷을 전송한다. 즉, 이는 리다이렉션된 트래픽인지 여부를 확인할 수 있어 무한 루프를 방지하는 조건이 된다
또한 간섭서버(240)는 웹 트래픽의 Host가 처리대상인지 여부를 판단하며 Host가 처리대상인 경우에 HTTP간섭패킷을 전송한다. 예를 들면, Host가 'www.google.com'인 경우를 처리대상으로 설정할 수 있는데, 이는 처리 부하를 낮출 수 있는 효과가 있다.
간섭서버(240)는 상기 필터링장치(220)로부터 웹 트래픽을 전송받아, 웹 트래픽으로부터 HTTP요청을 추출하고, 추출된 HTTP요청이 상술한 조건에 해당하는지 여부에 따라 HTTP간섭패킷을 전송한다.
도 5는 본 발명에 따른 시스템의 처리대상 HTTP GET요청 패킷의 실시예이다.
도 6은 본 발명에 따른 DNS질의발생기요청을 포함하는 HTTP간섭패킷의 실시예이다.
신호결정서버(250)는 단말로부터 DNS질의발생기요청과 식별코드를 전달받는다. 신호결정서버(250)는 특정도메인이 포함된 신규식별값을 생성하고, 단말에게 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송한다.
도 9는 본 발명에 따른 단말의 DNS질의발생기요청의 실시예이다.
도 10은 본 발명에 따른 신규식별값 생성 규칙에 관한 실시예이다. 신규식별값은 정책인증서버(230)에서 설정된 인증대상회선 선정을 위한 회선공유 단말계산시간, 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법 및 보안기준에 따라 생성된다.
신규식별값은 시간(time), 암호(security), 특정도메인(domain) 순으로 설정된다.
특정도메인에 해당하는 모든 하위 도메인과 호스트의 TTL(Time To Live)값은 인증대상회선 선정을 위한 회선공유 단말계산시간 이상으로 설정된다. 예를 들어 인증대상회선 선정을 위한 회선공유 단말계산시간이 1시간이고 특정도메인이 time.com으로 설정되면, time.com의 모든 하위 도메인과 호스트의 TTL 값을 1시간 이상으로 설정한다.
도 11은 회선공유 단말계산시간이 1시간인 경우 DNS 서버의 설정 실시예이다.
암호(security)는 정책인증서버(230)에서 설정된 보안기준에 따라 신호결정서버(250)에서 생성된다. 암호는 패킷발생기를 동원하여 DNS 질의 패킷을 대량 발송하는 등 악의적인 계산방해를 방지하기 위해 설정된다.
시간(time)은 정책인증서버(230)에서 설정된 회선공유 단말계산시간과 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법에 따라 생성된다.
예를 들면, 회선공유 단말계산시간은 1시간이고, 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법은 회선공유 단말계산시간 단위를 기준으로 신규식별값을 생성하는 시각이 속하는 최선의 범위시각을 hhmm 형식으로 설정한다. 즉, 회선공유 단말계산시간이 1시간이고 현재 시각이 09시 31분인 경우 1시간 기준으로 09시 31분이 속하는 최선의 범위시각은 09시 00분이므로 0900으로 표시하고, 회선공유 단말계산시간이 30분이고 현재 시각이 09시 31분인 경우 30분을 기준으로 09시 31분이 속하는 최선의 시각은 09시 30분이므로 0930으로 표시한다. 본 실시예에서는 시간을 예로 하였으나, 회선공유 단말계산시간 범위에 동일한 값을 유지하는 다양한 형태로 생성될 수 있다.
바람직하게는 식별코드의 유형은, HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나이다.
도 12는 본 발명에 따른 HTTP응답헤더 및 요청헤더의 실시예이다.
도 13은 본 발명에 따른 신호결정서버(250)의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하지 않는 응답 실시예를 참조하면, 바람직하게는 신호결정서버(250)는, 식별코드에서 최종식별값을 추출하여, 최종식별값이 존재하지 않는 경우 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송한다.
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 신호결정서버(250)에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
즉, 신호결정서버(250)는 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출할 수 없는 경우는, 웹 브라우저 캐시파일 저장소가 초기화된 상태로 판단하고, 새로운 DNS질의를 유도하지 않는다.
따라서, 단말의 웹 브라우저 캐시파일 저장소가 초기화된 경우 해당하는 회선공유 단말계산시간에는 DNS질의를 유도하지 않음으로써, 인터넷회선을 공유하는 단말의 대수가 과다하게 산정되는 것을 방지할 수 있는 효과가 있다.
도 13은 본 발명에 따른 신호결정서버(250)의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하는 응답 실시예를 참조하면, 바람직하게는, 신호결정서버(250)는 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송하고, 상기 신규식별값을 포함하는 DNS질의발생기를 단말에 전송한다.
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 신호결정서버(250)에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
즉, 신호결정서버(250)는 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출할 수 없는 경우는, 웹 브라우저 캐시파일 저장소가 초기화된 상태로 판단하고, 신규식별값을 포함하는 DNS질의를 유도한다.
따라서, 단말의 웹 브라우저 캐시파일 저장소가 초기화된 경우 해당하는 회선공유 단말계산시간에 DNS질의를 유도함으로써, 인터넷회선을 공유하는 단말의 대수가 과소하게 산정되는 것을 방지할 수 있는 효과가 있다.
도 14는 본 발명에 따른 DNS질의발생기 형식의 실시예이다.
도 13은 본 발명에 따른 신호결정서버(250)의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하지 않는 응답 실시예를 참조하면, 신호결정서버(250)는, 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일한 경우 최종식별값 또는 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송한다.
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 신호결정서버(250)에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
본 발명에 따른 신규식별값은 전술한 바와 같이 생성되므로 신규식별값과 최종식별값이 동일한 경우는, 회선공유 단말계산시간이 동일한 경우이다.
즉, 신호결정서버(250)는 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출하여 신규식별값과 동일한지 여부를 판단하여 동일한 경우 최종식별값 또는 신규식별값을 HTTP응답헤더에 설정하여 전송하고, 별도의 DNS질의를 전송하지 않는다.
따라서, 로컬 DNS 캐시가 삭제된 경우라도 단말의 웹 브라우저 캐시파일 저장소가 삭제되지 않은 경우, 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 추출된 최종식별값을 이용하여 DNS질의 발생여부를 결정함으로써 DNS질의가 중복 발행되는 것을 방지하여 인터넷회선을 공유하는 단말의 대수를 보다 정확하게 계산할 수 있는 효과가 있다.
도 13은 본 발명에 따른 신호결정서버(250)의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하는 응답 실시예를 참조하면, 신호결정서버(250)는, 식별코드에서 최종식별값을 추출하여, 최종식별값과 신규식별값이 동일한지 여부를 판단하되, 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송하고, 상기 신규식별값을 포함하는 DNS질의발생기를 단말에 전송한다.
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 신호결정서버(250)에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
본 발명에 따른 신규식별값은 전술한 바와 같이 생성되므로 신규식별값과 최종식별값이 동일하지 않은 경우는, 회선공유 단말계산시간이 동일하지 않은 경우이다.
즉, 신호결정서버(250)는 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출하여 신규식별값과 동일한지 여부를 판단하여 동일하지 않은 경우 신규식별값을 HTTP응답헤더에 설정하여 전송하고, 신규식별값을 포함하는 DNS질의를 전송한다.
도 14는 본 발명에 따른 DNS질의발생기 형식의 실시예이다.
도 15는 본 발명에 따른 최초사이트 전환 HTTP 요청 형식 실시예이다.
도 16은 본 발명에 따른 단말 DNS질의 패킷 및 DNS응답 패킷의 실시예이다.
신규식별값을 포함하는 DNS질의는 DNS의 TTL 특성을 고려하여 설정된다. 모든 DNS질의 결과는 TTL에서 지정한 시간값 만큼 로컬 DNS 캐시에 유지되고, 이후 같은 질의에 대해서는 DNS질의를 하는 대신 로컬 DNS 캐시에 유지되어 있는 결과를 참조한다. 따라서 신규식별값을 포함하는 DNS질의를 이용하여 특정도메인이 포함된 DNS질의 수를 계산하여, 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출할 수 있다.
인증선정서버(260)은 상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하고, 상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하되, 상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하고, 상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선을 선정한다.
인증선정서버(260)은 DNS 트래픽에서 DNS 패킷을 추출하고, 추출된 DNS 패킷에서 DNS질의를 추출한다.
인증선정서버(260)은 인터넷 서비스 사업자(ISP: Internet Service Provider) 또는 정책인증서버(230)로부터 사용자ID, 공인 IP, 접속시간 등을 포함하는 사용자인증정보를 수신하고, 사용자인증정보를 이용하여 공인 IP를 사용자ID로 변환한다.
인증선정서버(260)은 사용단말대수가 최대허용단말대수를 초과하는 경우 인증대상회선으로 선정한다.
도 18은 가입자ID 및 최대허용단말대수를 보유한 정책정보 예시도와 DNS질의정보 예시도이다. 도 18을 참조하면, 인증선정서버(260)은 ID, DNS주소, Count 및 질의시각을 포함하는 DNS질의정보를 가지며, DNS질의시 상기 DNS질의정보에서 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신한다. 예를 들어, DNS질의정보에 ID가 heavyUser, DNS주소가 1200.sescurity.time.com, Count가 3일때, 사용자ID가 heavyUser이고 DNS질의주소가 1200.security.time.com인 질의를 한 경우, DNS질의정보에서 사용자ID가 heavyUser이고 DNS질의주소가 1200.security.time.com인 Count를 1 증가하여 4로 한다.
상기 사용자ID 사용단말대수는 상기 DNS질의정보에서 상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count이고, 사용단말대수가 최대허용단말대수를 초과하는 경우 인증대상회선으로 선정한다. 예를 들면, heavyUser의 최대허용단말대수가 3이고, heavyUser의 사용단말대수가 4이므로 heavyUser를 인증대상회선으로 선정한다.
인증선정서버(260)은 DNS질의정보 ID 및 DNS질의가 사용자ID 및 DNS질의주소에 해당하는 값이 없는 경우 ID, DNS주소, 1, DNS질의 전송받은 시각 또는 DNS질의 처리시각을 DNS질의정보에 삽입한다. 예를 들면, DNS질의정보에 heavyUser, 0900.security.time.com에 해당하는 값이 없을 때, 사용자ID가 heavyUser, DNS질의주소가 0900.security.time.com, DNS질의 전송받은 시각 또는 DNS질의 처리시각이 2014년 2월 24일 09시 43분 11초인 경우, 도 18과 같이 위의 값을 DNS질의정보에 새로 삽입한다.
또한 인증선정서버(260)은 DNS질의에 정책인증서버(230)에서 설정된 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하여, 포함되지 않은 경우 더 이상 처리하지 않는다. 예를 들면 암호를 security로 설정하고, 추출한 DNS질의주소가 0900.nonsecurity.time.com인 경우, 인증선정서버(260)은 추출한 DNS질의주소에 암호 즉, security가 없으므로 유효하지 않는 DNS질의로 판단하고 더 이상 처리하지 않는다.
또한 인증선정서버(260)은 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단한다. 망 혼잡 등으로 인한 DNS 중복질의 즉, DNS질의 순서번호(Transaction ID)가 일정시간 범위에서 동일한지 여부를 파악하여 DNS 중복질의의 경우 처리하지 않는다. 즉, 중복 계산을 방지하는 효과가 있다.
도 20은 본 발명에 따른 DNS질의정보 실시예이다. 도 20을 참조하면, 인증선정서버(260)은 ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 질의시 상기 사용자ID, 상기 DNS질의주소, DNS질의를 전송받은 시각 또는 DNS질의 처리시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입한다.
인증선정서버(260)은 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하고, 상기 조회된 정보의 개수를 상기 사용단말대수로 검출한다. 예를 들면, 도 20에서 ID가 heavyUser이고 질의시각이 12시에서 13시 사이인 정보를 조회하면 모두 4건이므로 사용단말대수는 4이고, 최대허용단말대수는 3이므로 인증대상회선으로 선정한다.
도 3은 본 발명에 따른 인증대상회선 선정 순서도이다. 도 3을 참조하면, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, 특정도메인, 가입자ID와 최대허용단말대수를 설정하고, 인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법을 설정한다(S100).
인증대상회선 선정시스템이, 상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사한다(S200).
인증대상회선 선정시스템이, 복사된 트래픽으로부터 웹 트래픽과 DNS 트래픽을 필터링한다(S300). 웹 트래픽은 HTTP 프로토콜에 의해 발생되는 IP 패킷이다. 또는 웹 트래픽은 웹사이트 방문자에 의해 발생되는 IP 패킷이다. 또는 웹 트래픽은 웹사이트에 의해 발생되는 IP 패킷이다. DNS 트래픽은 DNS 프로토콜에 의해 발생되는 IP 패킷이다.
인증대상회선 선정시스템이, DNS 트래픽 또는 웹 트래픽인지 여부를 판단한다(S400).
인증대상회선 선정시스템이, 상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송한다(S500).
인증대상회선 선정시스템이, 상기 단말로부터 DNS질의발생기요청 및 식별코드를 전달받아 특정도메인이 포함된 신규식별값을 생성하고, 단말에게 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송한다(S600).
인증대상회선 선정시스템이, 상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하고, 상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하며, 상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하여 과다사용 여부를 판단한다(S700).
인증대상회선 선정시스템이 상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정한다(S800).
도 4는 본 발명에 따른 HTTP간섭패킷 전송 순서도이다. 도 4를 참조하면, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, HTTP 요청이 유입되고(S510), 상기 트래픽이 GET 요청인지 여부를 판단하여 GET 요청인 경우이고(S520), 출발지 IP가 처리대상인지 여부를 판단하여 출발지 IP가 처리대상이며(S530), Referer값이 HTTP 요청 URL, 즉 Host + GET URI인지 여부를 판단하여 Referer값이 Host + GET URI가 아닌 경우에 HTTP간섭패킷을 전송한다(S540). Referer값을 검사하는 이유는 무한반복 처리를 방지하기 위함이다.
바람직하게는 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, 상기 트래픽의 GET URI가 '/' 또는 '/?' 인지 여부를 판단하여 URI 헤더값이 '/' 또는 '/?'인 경우에 HTTP간섭패킷을 전송한다(S550).
또한, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, 인증대상선정 시스템이 웹 트래픽의 Host가 처리대상인지 여부를 판단하며 Host가 처리대상인 경우에 HTTP간섭패킷을 전송한다(S560).
예를 들면, Host가 'www.google.com'인 경우를 처리대상으로 설정할 수 있는데, 이는 처리 부하를 낮출 수 있는 효과가 있다.
인증대상회선 선정시스템이, 웹 트래픽의 Referer값이 존재하는지 여부를 판단하며, Referer값이 존재하는 경우 HTTP간섭패킷을 전송한다(S570). 즉, 이는 리다이렉션된 트래픽인지 여부를 확인할 수 있어 무한 루프를 방지하는 조건이 된다
인증대상회선 선정시스템이, 단말에 HTTP간섭패킷을 전송한다(S580).
도 5는 본 발명에 따른 시스템의 처리대상 HTTP GET요청 패킷의 실시예이다.
도 6은 본 발명에 따른 DNS질의발생기요청을 포함하는 HTTP간섭패킷의 실시예이다.
도 7 및 도 8은 본 발명의 실시예에 따른 DNS질의발생기요청에 대한 응답 전송 순서도이다. 도 7 및 도 8을 참조하면, 인증대상회선 선정시스템이 단말로부터 DNS질의발생기요청과 식별코드를 전달받는다(S610). 도 9는 본 발명에 따른 단말의 DNS질의발생기요청의 실시예이다.
인증대상회선 선정시스템은 특정도메인이 포함된 신규식별값을 생성한다(S620).
도 10은 본 발명에 따른 신규식별값 생성 규칙에 관한 실시예이다. 신규식별값은 인증대상회선 선정시스템에서 설정된 인증대상회선 선정을 위한 회선공유 단말계산시간, 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법 및 보안기준에 따라 생성된다.
신규식별값은 시간(time), 암호(security), 특정도메인(domain) 순으로 설정된다. 특정도메인에 해당하는 모든 하위 도메인과 호스트의 TTL(Time To Live)값은 인증대상회선 선정을 위한 회선공유 단말계산시간 이상으로 설정된다. 예를 들어 인증대상회선 선정을 위한 회선공유 단말계산시간이 1시간이고 특정도메인이 time.com으로 설정되면, time.com의 모든 하위 도메인과 호스트의 TTL 값을 1시간 이상으로 설정한다.
도 11은 회선공유 단말계산시간이 1시간인 경우 DNS 서버의 설정 실시예이다.
암호(security)는 인증대상회선 선정시스템에서 설정된 보안기준에 따라 생성된다. 암호는 패킷발생기를 동원하여 DNS 질의 패킷을 대량 발송하는 등 악의적인 계산방해를 방지하기 위해 설정된다.
시간(time)은 인증대상회선 선정시스템에서 설정된 회선공유 단말계산시간과 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법에 따라 생성된다.
예를 들면, 회선공유 단말계산시간은 1시간이고, 회선공유 단말계산시간에 따른 특정도메인의 주소구분방법은 회선공유 단말계산시간 단위를 기준으로 신규식별값을 생성하는 시각이 속하는 최선의 범위시각을 hhmm 형식으로 설정한다. 즉, 회선공유 단말계산시간이 1시간이고 현재 시각이 09시 31분인 경우 1시간 기준으로 09시 31분이 속하는 최선의 범위시각은 09시 00분이므로 0900으로 표시하고, 회선공유 단말계산시간이 30분이고 현재 시각이 09시 31분인 경우 30분을 기준으로 09시 31분이 속하는 최선의 시각은 09시 30분이므로 0930으로 표시한다. 본 실시예에서는 시간을 예로 하였으나, 회선공유 단말계산시간 범위에 동일한 값을 유지하는 다양한 형태로 생성될 수 있다.
바람직하게는 식별코드의 유형은, HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나이다.
도 12는 본 발명에 따른 HTTP응답헤더 및 요청헤더의 실시예이다.
도 13은 본 발명에 따른 인증대상회선 선정시스템의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하지 않는 응답 실시예를 참조하면, 바람직하게는 인증대상회선 선정시스템은, 식별코드에서 최종식별값을 추출하여(S630), 최종식별값이 존재하는지 여부를 판단하며(S640), 최종식별값이 존재하지 않는 경우 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송한다(S690).
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 인증대상회선 선정시스템에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
즉, 인증대상회선 선정시스템은 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출할 수 없는 경우는, 웹 브라우저 캐시파일 저장소가 초기화된 상태로 판단하고, 새로운 DNS질의를 유도하지 않는다.
따라서, 단말의 웹 브라우저 캐시파일 저장소가 초기화된 경우 해당하는 회선공유 단말계산시간에는 DNS질의를 유도하지 않음으로써, 인터넷회선을 공유하는 단말의 대수가 과다하게 산정되는 것을 방지할 수 있는 효과가 있다.
도 13은 본 발명에 따른 인증대상회선 선정시스템의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하는 응답 실시예를 참조하면, 바람직하게는, 인증대상회선 선정시스템은 식별코드에서 최종식별값을 추출하여(S630), 상기 최종식별값이 존재하는지 여부를 판단하고(S640), 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송하고(S660), 상기 신규식별값을 포함하는 DNS질의발생기를 단말에 전송한다(S680).
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 신호결정서버(250)에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
즉, 인증대상회선 선정시스템은 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출할 수 없는 경우는, 웹 브라우저 캐시파일 저장소가 초기화된 상태로 판단하고, 신규식별값을 포함하는 DNS질의를 유도한다.
따라서, 단말의 웹 브라우저 캐시파일 저장소가 초기화된 경우 해당하는 회선공유 단말계산시간에 DNS질의를 유도함으로써, 인터넷회선을 공유하는 단말의 대수가 과소하게 산정되는 것을 방지할 수 있는 효과가 있다.
도 14는 본 발명에 따른 DNS질의발생기 형식의 실시예이다.
도 13은 본 발명에 따른 인증대상회선 선정시스템의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하지 않는 응답 실시예를 참조하면, 인증대상회선 선정시스템은, 식별코드에서 최종식별값을 추출하여(S630), 최종식별값이 존재하는지 여부를 판단하되(S640), 존재하는 경우 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하고(S650), 동일한 경우 최종식별값 또는 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송한다(S670).
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 인증대상회선 선정시스템에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
본 발명에 따른 신규식별값은 전술한 바와 같이 생성되므로 신규식별값과 최종식별값이 동일한 경우는, 회선공유 단말계산시간이 동일한 경우이다.
즉, 인증대상회선 선정시스템은 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출하여 신규식별값과 동일한지 여부를 판단하여 동일한 경우 최종식별값 또는 신규식별값을 HTTP응답헤더에 설정하여 전송하고, 별도의 DNS질의를 전송하지 않는다.
따라서, 로컬 DNS 캐시가 삭제된 경우라도 단말의 웹 브라우저 캐시파일 저장소가 삭제되지 않은 경우, 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 추출된 최종식별값을 이용하여 DNS질의 발생여부를 결정함으로써 DNS질의가 중복 발행되는 것을 방지하여 인터넷회선을 공유하는 단말의 대수를 보다 정확하게 계산할 수 있는 효과가 있다.
도 13은 본 발명에 따른 인증대상회선 선정시스템의 DNS질의발생기 요청에 대한 응답 실시예이다. 도 13의 DNS질의발생기를 포함하는 응답 실시예를 참조하면, 인증대상회선 선정시스템은, 식별코드에서 최종식별값을 추출하여(S630), 최종식별값이 존재하는지 여부를 판단하되(S640), 존재하는 경우 최종식별값과 신규식별값이 동일한지 여부를 판단하고(S650), 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 단말에 전송하고(S660), 상기 신규식별값을 포함하는 DNS질의발생기를 단말에 전송한다(S680).
단말은 HTTP응답헤더에 설정된 식별값을 웹 브라우저 캐시파일 저장소에 저장하고, 추후 인증대상회선 선정시스템에 DNS질의발생기요청을 전송할 때 웹 브라우저 캐시파일 저장소에 저장된 식별값을 식별코드로 추출한다.
본 발명에 따른 신규식별값은 전술한 바와 같이 생성되므로 신규식별값과 최종식별값이 동일하지 않은 경우는, 회선공유 단말계산시간이 동일하지 않은 경우이다.
즉, 인증대상회선 선정시스템은 단말의 웹 브라우저 캐시파일 저장소에 저장된 식별코드로부터 최종식별값을 추출하여 신규식별값과 동일한지 여부를 판단하여 동일하지 않은 경우 신규식별값을 HTTP응답헤더에 설정하여 전송하고, 신규식별값을 포함하는 DNS질의를 전송한다.
도 14는 본 발명에 따른 DNS질의발생기 형식의 실시예이다.
도 15는 본 발명에 따른 최초사이트 전환 HTTP 요청 형식 실시예이다.
도 16은 본 발명에 따른 단말 DNS질의 패킷 및 DNS응답 패킷의 실시예이다. 신규식별값을 포함하는 DNS질의는 DNS의 TTL 특성을 고려하여 설정된다. 모든 DNS질의 결과는 TTL에서 지정한 시간값 만큼 로컬 DNS 캐시에 유지되고, 이후 같은 질의에 대해서는 DNS질의를 하는 대신 로컬 DNS 캐시에 유지되어 있는 결과를 참조한다. 따라서 신규식별값을 포함하는 DNS질의를 이용하여 특정도메인이 포함된 DNS질의 수를 계산하여, 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출할 수 있다.
도 17은 본 발명에 따른 인증대상회선 선정 순서도이다. 도 17를 참조하면, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, ID, DNS주소, 질의시각 및 Count를 포함하는 DNS질의정보를 가지고, DNS 트래픽을 전송받아(S810), 유효한 암호인지 판단하여 유효한 암호이고(S820), 타임아웃에 의한 중복질의 여부를 판단하여 타임아웃에 의한 중복질의가 아닐 때(S830), 출발지 IP를 ID로 변환하고 DNS질의를 추출하고(S840), DNS질의정보에서 ID와 질의를 기준으로 Count하며(S850), Count가 최대허용단말대수를 초과하는지 여부를 판단하여(S870), 초과하는 경우 인증대상회선으로 선정한다
.
도 18은 가입자ID 및 최대허용단말대수를 보유한 정책정보 예시도와 DNS질의정보 예시도이다. 도 18을 참조하면, 인증대상회선 선정시스템은, ID, DNS주소, Count 및 질의시각을 포함하는 DNS질의정보를 가지며, DNS질의시 상기 DNS질의정보에서 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신한다. 예를 들어, DNS질의정보에 ID가 heavyUser, DNS주소가 1200.sescurity.time.com, Count가 3일때, 사용자ID가 heavyUser이고 DNS질의주소가 1200.security.time.com인 질의를 한 경우, DNS질의정보에서 사용자ID가 heavyUser이고 DNS질의주소가 1200.security.time.com인 Count를 1 증가하여 4로 한다.
인증대상회선 선정시스템은 상기 사용자ID 사용단말대수는 상기 DNS질의정보에서 상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count이고, 사용단말대수가 최대허용단말대수를 초과하는 경우 인증대상회선으로 선정한다. 예를 들면, heavyUser의 최대허용단말대수가 3이고, heavyUser의 사용단말대수가 4이므로 heavyUser를 인증대상회선으로 선정한다.
인증대상회선 선정시스템은 DNS질의정보 ID 및 DNS질의가 사용자ID 및 DNS질의주소에 해당하는 값이 없는 경우 ID, DNS주소, 1, DNS질의 전송받은 시각 또는 DNS질의 처리시각을 DNS질의정보에 삽입한다. 예를 들면, DNS질의정보에 heavyUser, 0900.security.time.com에 해당하는 값이 없을 때, 사용자ID가 heavyUser, DNS질의주소가 0900.security.time.com, DNS질의 전송받은 시각 또는 DNS질의 처리시각이 2014년 2월 24일 09시 43분 11초인 경우, 도 18과 같이 위의 값을 DNS질의정보에 새로 삽입한다.
또한 인증대상회선 선정시스템은 DNS질의에 정책인증서버(230)에서 설정된 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하여, 포함되지 않은 경우 더 이상 처리하지 않는다. 예를 들면 암호를 security로 설정하고, 추출한 DNS질의주소가 0900.nonsecurity.time.com인 경우, 인증대상회선 선정시스템은 추출한 DNS질의주소에 암호 즉, security가 없으므로 유효하지 않는 DNS질의로 판단하고 더 이상 처리하지 않는다.
또한 인증대상회선 선정시스템은 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단한다. 망 혼잡 등으로 인한 DNS 중복질의 즉, DNS질의 순서번호(Transaction ID)가 일정시간 범위에서 동일한지 여부를 파악하여 DNS 중복질의의 경우 처리하지 않는다. 즉, 중복 계산을 방지하는 효과가 있다.
도 19는 본 발명의 실시예에 따른 인증대상회선 선정 순서도이다. 도 19를 참조하면, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, DNS질의 패킷을 전송받아 ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 상기 사용자ID, 상기 DNS질의주소 및 DNS질의 전송받은 시각 또는 DNS질의 처리시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입하고(S910), 유효한 암호인지 판단하여 유효한 암호이고(S920), 타임아웃에 의한 중복질의인지 여부를 판단하여 타임아웃에 의한 중복질의가 아니며(S930), 출발지 IP를 사용자ID로 변환하고 DNS질의를 추출하고(S940), 상기 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하여(S950), 상기 정보의 개수를 상기 사용단말대수로 검출하여 최대허용단말대수를 초과하는지 여부를 판단하여(S960), 초과하는 경우 해당 사용자ID를 인증대상회선으로 선정한다(970).
도 20은 본 발명에 따른 DNS질의정보 실시예이다. 도 20을 참조하면, 인증대상회선 선정시스템이 ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 질의시 상기 사용자ID, 상기 DNS질의주소, DNS질의를 전송받은 시각 또는 DNS질의 처리시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입한다.
인증대상회선 선정시스템은 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하고, 상기 조회된 정보의 개수를 상기 사용단말대수로 검출한다. 예를 들면, 도 20에서 ID가 heavyUser이고 질의시각이 12시에서 13시 사이인 정보를 조회하면 모두 4건이므로 사용단말대수는 4이고, 최대허용단말대수는 3이므로 인증대상회선으로 선정한다.
바람직하게는, 본 발명에 따른 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서, 인증대상회선 선정시스템이, 인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 상기 특정도메인의 주소구분방법을 설정하고, 신규식별값은 주소구분방법에 따른 주소구분 및 특정도메인을 포함한다.
이상, 본 발명의 일 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다.
100 : IP공유기 210 : 미러탭
220 : 필터링장치 230 : 정책인증서버
240 : 간섭서버 250 : 신호결정서버
260 : 인증선정서버 270 : 인증결정서버

Claims (26)

  1. 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 시스템에 있어서,
    특정도메인, 가입자ID와 최대허용단말대수를 설정하는 정책인증서버;
    상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사하는 미러탭;
    상기 복사된 트래픽으로부터 웹 트래픽 또는 DNS 트래픽을 필터링하는 필터링장치;
    상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송하는 간섭서버;
    상기 단말로부터 상기 DNS질의발생기요청 및 식별코드를 전달받아 상기 특정도메인이 포함된 신규식별값을 생성하고, 상기 단말에게 상기 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송하는 신호결정서버; 및
    상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하고,
    상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하되,
    상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하고,
    상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정하는 인증선정서버;를 포함하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  2. 제1항에 있어서,
    상기 간섭서버는,
    상기 웹 트래픽이 GET 요청이고, 출발지 IP가 처리대상이며, Referer 헤더값이 Host 및 GET URI 아닌 경우에 HTTP간섭패킷을 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  3. 제2항에 있어서,
    상기 간섭서버는,
    상기 웹 트래픽의 GET URI가 '/' 또는 '/?' 인 경우에 HTTP간섭패킷을 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  4. 제1항에 있어서,
    상기 정책인증서버는,
    인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 상기 특정도메인의 주소구분방법을 설정하고,
    상기 신규식별값은,
    상기 주소구분방법에 따른 주소구분 및 상기 특정도메인을 포함하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  5. 제1항에 있어서,
    상기 정책인증서버는 보안기준을 설정하고,
    상기 신규식별값은 상기 보안기준에 따른 암호 및 상기 특정도메인을 포함하되,
    상기 인증선정서버는,
    상기 DNS질의에 상기 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  6. 제1항에 있어서,
    상기 식별코드의 유형은,
    HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나인 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  7. 제1항에 있어서,
    상기 신호결정서버는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  8. 제1항에 있어서,
    상기 신호결정서버는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일한 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  9. 제1항에 있어서,
    상기 신호결정서버는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하고, 상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  10. 제1항에 있어서,
    상기 신호결정서버는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  11. 제1항에 있어서,
    상기 인증선정서버는,
    ID, DNS주소 및 Count를 포함하는 DNS질의정보를 가지며, 상기 DNS질의정보에서 상기 DNS질의정보의 ID 및 DNS주소가 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신하되,
    상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count를 상기 사용단말대수로 하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  12. 제1항에 있어서,
    상기 인증선정서버는,
    ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 상기 사용자ID, 상기 DNS질의주소, 시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입하되,
    상기 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하고,
    상기 정보의 개수를 상기 사용단말대수로 검출하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  13. 제1항 내지 제12항 중 어느 하나의 항에 있어서,
    상기 인증선정서버는,
    상기 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정시스템.
  14. 인터넷회선을 공유하는 네트워크상의 단말의 대수를 검출하고 할당된 허용대수와 비교하여 인증대상회선을 선정하는 방법에 있어서,
    특정도메인, 가입자ID와 최대허용단말대수를 설정하는 단계;
    상기 단말에서 웹 사이트로 접속을 요청하는 경우에 인터넷회선 트래픽이 경과하는 특정한 인터넷 망 구간에서 트래픽을 복사하는 단계;
    상기 복사된 트래픽으로부터 웹 트래픽 또는 DNS 트래픽을 필터링하는 단계;
    상기 웹 트래픽을 전송받아, 상기 단말에게 DNS질의발생기요청을 포함하는 HTTP간섭패킷을 전송하는 단계;
    상기 단말로부터 상기 DNS질의발생기요청 및 식별코드를 전달받아 상기 특정도메인이 포함된 신규식별값을 생성하고, 상기 단말에게 상기 신규식별값을 이용하여 설정한 HTTP응답헤더를 전송하는 단계;
    상기 DNS 트래픽을 전송받아, 상기 DNS 트래픽에서 상기 특정도메인을 포함하는 DNS질의를 추출하는 단계;
    상기 추출된 DNS질의를 요청한 공인 IP를 사용자ID로 변환하여, 상기 DNS질의에서 DNS질의주소를 추출하는 단계;
    상기 사용자ID 및 상기 DNS질의주소를 이용하여 상기 사용자ID가 사용하는 사용단말대수를 계산하는 단계; 및
    상기 사용단말대수 및 상기 최대허용단말대수를 비교하여 인증대상회선으로 선정하는 단계;를 포함하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  15. 제14항에 있어서,
    상기 HTTP간섭패킷을 전송하는 단계는,
    상기 웹 트래픽이 GET 요청이고, 출발지 IP가 처리대상이며, Referer 헤더값이 Host 및 GET URI 아닌 경우에 HTTP간섭패킷을 전송하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  16. 제15항에 있어서,
    상기 HTTP간섭패킷을 전송하는 단계는,
    상기 웹 트래픽의 GET URI가 '/' 또는 '/?' 인 경우에 HTTP간섭패킷을 전송하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  17. 제14항에 있어서,
    인증대상회선 선정을 위한 회선공유 단말계산시간 및 상기 회선공유 단말계산시간에 따른 상기 특정도메인의 주소구분방법을 설정하는 단계;를 포함하되,
    상기 신규식별값은,
    상기 주소구분방법에 따른 주소구분 및 상기 특정도메인을 포함하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  18. 제14항에 있어서,
    보안기준을 설정하는 단계; 및
    상기 DNS질의에 상기 보안기준에 따른 암호가 포함되어 있는지 여부를 판단하는 단계;를 포함하되,
    상기 신규식별값은 상기 보안기준에 따른 암호 및 상기 특정도메인을 포함하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  19. 제14항에 있어서,
    상기 식별코드의 유형은,
    HTTP 헤더 ETag와 HTTP 헤더 If-None-Match, HTTP 헤더 Set-Cookie 와 HTTP 헤더 Cookie 및 HTTP 헤더 Last-Modified와 HTTP 헤더 If-Modified-Since 중 어느 하나인 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  20. 제14항에 있어서,
    HTTP응답헤더를 전송하는 단계는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것이고,
    상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 단계;를 포함하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  21. 제14항에 있어서,
    HTTP응답헤더를 전송하는 단계는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일한 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  22. 제14항에 있어서,
    HTTP응답헤더를 전송하는 단계는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값과 상기 신규식별값이 동일한지 여부를 판단하되, 동일하지 않은 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하는 전송하는 것이고,
    상기 신규식별값을 포함하는 DNS질의발생기를 전송하는 단계;를 포함하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  23. 제14항에 있어서,
    HTTP응답헤더를 전송하는 단계는,
    상기 식별코드에서 최종식별값을 추출하여, 상기 최종식별값이 존재하지 않는 경우 상기 신규식별값을 상기 HTTP응답헤더에 설정하여 전송하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  24. 제14항에 있어서,
    ID, DNS주소 및 Count를 포함하는 DNS질의정보를 가지며, 상기 DNS질의정보에서 상기 DNS질의정보의 ID 및 DNS주소가 상기 사용자ID 및 상기 DNS질의주소에 해당하는 Count를 갱신하는 단계;를 포함하되,
    상기 DNS질의정보의 ID가 상기 사용자ID에 해당하는 Count를 상기 사용단말대수로 하는 것
    인 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
  25. 제14항에 있어서,
    ID, DNS주소 및 질의시각을 포함하는 DNS질의정보를 가지며, 상기 사용자ID, 상기 DNS질의주소, 시각을 상기 DNS질의정보의 ID, DNS주소, 질의시각에 삽입하는 단계; 및
    상기 DNS질의정보에서 상기 사용자ID와 상기 DNS질의주소를 기준으로 상기 질의시각이 특정시간 범위에 있는 정보를 조회하는 단계;를 포함하되,
    상기 정보의 개수를 상기 사용단말대수로 검출하는 것
  26. 제14항 내지 제25항 중 어느 하나의 항에 있어서,
    상기 트래픽이 타임아웃에 의한 중복질의인지 여부를 판단하는 단계;를 포함하는 것
    을 특징으로 하는 HTTP 프로토콜 간섭과 DNS질의를 이용한 인터넷회선을 공유하는 인증대상회선 선정방법.
KR1020140054479A 2014-05-07 2014-05-07 Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템 KR20150127511A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140054479A KR20150127511A (ko) 2014-05-07 2014-05-07 Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140054479A KR20150127511A (ko) 2014-05-07 2014-05-07 Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR20150127511A true KR20150127511A (ko) 2015-11-17

Family

ID=54786109

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140054479A KR20150127511A (ko) 2014-05-07 2014-05-07 Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR20150127511A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018088680A1 (ko) * 2016-11-09 2018-05-17 주식회사 수산아이앤티 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018088680A1 (ko) * 2016-11-09 2018-05-17 주식회사 수산아이앤티 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법

Similar Documents

Publication Publication Date Title
US8122493B2 (en) Firewall based on domain names
KR100994076B1 (ko) 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
US20120297478A1 (en) Method and system for preventing dns cache poisoning
US9860272B2 (en) System and method for detection of targeted attack based on information from multiple sources
JP2014519751A (ja) ドメイン名をフィルタリングするためのdns通信の使用
EP3306900B1 (en) Dns routing for improved network security
US10594706B2 (en) Systems and methods for IP source address spoof detection
Maksutov et al. Detection and prevention of DNS spoofing attacks
US10397225B2 (en) System and method for network access control
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
KR20180032864A (ko) 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법
KR20070079781A (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
KR101518470B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
US11979374B2 (en) Local network device connection control
KR20200109875A (ko) 유해 ip 판단 방법
KR101518468B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템
KR20150127511A (ko) Http 프로토콜 간섭과 dns질의를 이용한 인증대상회선 선정방법 및 그 시스템
KR101603694B1 (ko) 공유 단말 식별 방법 및 그 시스템
KR101603692B1 (ko) 공유 단말 식별 방법 및 그 시스템
KR101231966B1 (ko) 장애 방지 서버 및 방법
KR101518469B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
KR20180051806A (ko) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법
KR20150061350A (ko) 공유 단말 식별 방법 및 그 시스템
CN115001845B (zh) 一种家庭网关中的dns安全防护方法和系统
CN112491909B (zh) 基于doh协议的流量标识方法、装置、设备及存储介质

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid