KR20230159110A - Data transmitting method via gateway relaying - Google Patents

Data transmitting method via gateway relaying Download PDF

Info

Publication number
KR20230159110A
KR20230159110A KR1020220059068A KR20220059068A KR20230159110A KR 20230159110 A KR20230159110 A KR 20230159110A KR 1020220059068 A KR1020220059068 A KR 1020220059068A KR 20220059068 A KR20220059068 A KR 20220059068A KR 20230159110 A KR20230159110 A KR 20230159110A
Authority
KR
South Korea
Prior art keywords
gateway
data
service
user
information
Prior art date
Application number
KR1020220059068A
Other languages
Korean (ko)
Inventor
김경식
배문환
Original Assignee
주식회사 어썸블리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 어썸블리 filed Critical 주식회사 어썸블리
Priority to KR1020220059068A priority Critical patent/KR20230159110A/en
Publication of KR20230159110A publication Critical patent/KR20230159110A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 (A) 사용자 단말이 서비스 요청 데이터를 전방 게이트웨이로 전송하여 서비스 서버에 대한 서비스를 요청하는 단계; (B) 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계; (C) 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계; (D) 전방 게이트웨이가 인코딩된 데이터를 후방 게이트웨이로 전송하는 단계; (E) 후방 게이트웨이가 인코딩된 데이터를 디코딩(decoding)하여 서비스 서버로 서비스를 요청하는 단계; 및 (F) 서비스 서버에서 제공되는 서비스 제공 데이터를 후방 게이트웨이가 중계하여 전방 게이트웨이를 통해 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것으로, 본 발명은 서비스 서버의 주소를 노출하지 않고 데이터를 전송할 수 있는 효과가 있다.The present invention includes the steps of (A) a user terminal transmitting service request data to a forward gateway to request a service from a service server; (B) a user authentication step to determine whether the user is eligible to use the service; (C) encoding the service request data to correspond to a dedicated protocol; (D) the forward gateway transmitting encoded data to the rear gateway; (E) the rear gateway decoding the encoded data and requesting a service from the service server; and (F) the rear gateway relaying the service provision data provided from the service server and providing the service provision data to the user terminal through the forward gateway. The present invention relates to a data transmission method through gateway relay, comprising: has the effect of transmitting data without exposing the address of the service server.

Description

게이트웨이 중계를 통한 데이터 전송 방법{DATA TRANSMITTING METHOD VIA GATEWAY RELAYING} Data transmission method through gateway relay{DATA TRANSMITTING METHOD VIA GATEWAY RELAYING}

본 발명은 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것으로, 보다 상세하게는 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 데이터 전송 방법에 관한 것이다.The present invention relates to a data transmission method through gateway relay, and more specifically, by relaying data between a user and a server through an intermediate gateway (GateWay) and processing the data by separating the data channel and the control channel, It concerns a data transmission method that prevents information exposure and transmits data safely.

최근 정보통신기술의 발달로 말미암아 데이터 통신망을 매개로 하여 다양한 분야에 대한 정보를 적어도 하나 이상의 서비스 제공 서버를 통하여 다수의 가입자 측으로 실시간 제공하는 정보제공기술의 개발이 활발하게 진행중이다. Due to the recent development of information and communication technology, the development of information provision technology that provides information on various fields in real time to a large number of subscribers through at least one service provision server through a data communication network is actively underway.

한편, 사용자가 컴퓨터 단말기를 이용하여 상기 서비스 제공 서버에 접속해 통신을 주고받고자 할 때에 상기 서비스 제공 서버는 보호대상 서버로서 보안서버를 통해 보호되는 보안시스템이 적용되는 정보보안기술의 개발 또한 활발하게 진행 중이다. Meanwhile, when a user accesses the service providing server using a computer terminal and wishes to exchange communications, the service providing server is a server to be protected, and information security technology is actively being developed to which a security system protected by a security server is applied. Is in progress.

또한, 기업 또는 금융기관에서 사용되는 사내 정보 서버 등에 대한 안전한 접근을 위해서는 사용자별, 업무 또는 역할별로 세세하게 권한을 제한하고 우회접속(loop around connection)이 차단되어야 한다. Additionally, for safe access to in-house information servers used by companies or financial institutions, permissions must be restricted in detail by user, task, or role, and loop around connections must be blocked.

일반적으로 사용자가 SSH(secure shell), TELNET, RDP(remote desktop protocol)와 같은 특정 프로토콜로 접속 요청을 하는 경우에는 통상 그러한 프로토콜의 접속 포트가 정적으로 정해져 있고, 그러한 접속 포트로 접속이 이루어진다. In general, when a user requests a connection using a specific protocol such as SSH (secure shell), TELNET, or RDP (remote desktop protocol), the connection port for that protocol is usually statically determined, and the connection is made through that connection port.

그런데 이러한 통상의 디폴트 포트로 접속하는 경우에는 포트스캐닝이나 핑(PING)을 이용하는 스캐닝을 통한 해킹에 취약하다는 문제점을 가지고 있다. However, when connecting to this normal default port, there is a problem in that it is vulnerable to hacking through port scanning or scanning using PING.

특히, 복수의 서비스 서버 중 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 가능하다는 문제점도 발생하고 있었다. In particular, after connecting to a predetermined service server among a plurality of service servers, there has been a problem that a bypass connection is possible from the predetermined service server to another service server.

특허문헌 1 : 대한민국 등록특허공보 제10-0951716호(2010.03.31)Patent Document 1: Republic of Korea Patent Publication No. 10-0951716 (2010.03.31) 특허문헌 2 : 대한민국 등록특허공보 제10-1513195호(2015.04.17)Patent Document 2: Republic of Korea Patent Publication No. 10-1513195 (2015.04.17)

본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 내부 서버에 대한 외부로부터의 접근을 차단하고, 서버의 정보 노출을 방지하면서 안전하게 데이터를 전송할 수 있는 데이터 전송 방법을 제공하고자 하는 것이다.The present invention is intended to solve the problems of the prior art as described above. The purpose of the present invention is to provide a data transmission method that can safely transmit data while blocking access to the internal server from the outside and preventing information exposure of the server. This is what we want to provide.

본 발명의 또 하나의 목적은 기존의 방화벽(FireWall), VPN 등 보안장비들과 관계없이 작동하며, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 불가능한 데이터 전송 방법을 제공하고자 하는 것이다.Another purpose of the present invention is to provide a data transmission method that operates regardless of security equipment such as existing firewalls and VPNs and that does not allow bypass access from a given service server to another service server. .

상기와 같은 목적을 달성하기 위한 본 발명의 하나의 양상은, 사용자 단말과의 접속 및 인증 기능을 수행하는 전방 게이트웨이(Front Access Gateway)와 서비스 서버와의 접속 기능을 수행하는 후방 게이트웨이(Back Access Gateway)를 포함하는 게이트웨이(Gateway)의 중계를 통해 사용자 단말과 서비스 서버 사이의 데이터를 전송하는 방법으로서, (A) 상기 사용자 단말이 서비스 요청 데이터를 상기 전방 게이트웨이로 전송하여 상기 서비스 서버에 대한 서비스를 요청하는 단계; (B) 상기 전방 게이트웨이가 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계; (C) 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계; (D) 상기 전방 게이트웨이가 상기 인코딩된 데이터를 상기 후방 게이트웨이로 전송하는 단계; (E) 상기 후방 게이트웨이가 상기 인코딩된 데이터를 디코딩(decoding)하여 상기 서비스 서버로 서비스를 요청하는 단계; 및 (F) 상기 서비스 서버에서 제공되는 서비스 제공 데이터를 상기 후방 게이트웨이가 중계하여 상기 전방 게이트웨이를 통해 상기 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것이다.One aspect of the present invention for achieving the above object is a front gateway that performs a connection and authentication function with a user terminal and a back gateway that performs a connection function with a service server. ) A method of transmitting data between a user terminal and a service server through the relay of a gateway including (A) the user terminal transmits service request data to the forward gateway to provide a service to the service server requesting step; (B) a user authentication step in which the forward gateway determines whether the user who requested the service is eligible to use the service; (C) When the user's service use eligibility is verified, encoding the service request data at the forward gateway to correspond to a dedicated protocol; (D) the forward gateway transmitting the encoded data to the rear gateway; (E) the rear gateway decoding the encoded data and requesting a service from the service server; and (F) the rear gateway relaying the service provision data provided by the service server and providing the service provision data to the user terminal through the forward gateway. will be.

본 발명의 일 구현예에 따른 게이트웨이 중계를 통한 데이터 전송 방법에 있어서, 상기 서비스 요청 데이터 및 상기 서비스 제공 데이터는 각각, 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분되며, 상기 컨트롤 데이터는 컨트롤 채널를 통하여 전송되고, 상기 정보 데이터는 정보 채널을 통하여 각각 분리되어 전송되는 것일 수 있다.In the data transmission method through gateway relay according to an embodiment of the present invention, the service request data and the service provision data are respectively divided into control data and information data according to the execution function of the data, and the control data is controlled It is transmitted through a channel, and the information data may be transmitted separately through the information channel.

또한, 상기 컨트롤 데이터는 사용자 단말과 서비스 서버의 연결 상태 설정에 대한 데이터, 서비스 서버 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성되는 것일 수 있다.Additionally, the control data may include data on connection state settings between the user terminal and the service server, data including service server operating state information, and data on data transmission blocking and data inspection.

그리고, 상기 정보 데이터는 사용자 단말의 서비스 요청 내용이 포함된 데이터와, 서비스 서버가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성되는 것일 수 있다.In addition, the information data may be composed of data containing the contents of the service request of the user terminal and data containing the contents of the service provided by the service server.

또한, 상기 전방 게이트웨이는 송신 데이터의 암호화를 위한 인코더를 포함하여 구성되고, 상기 후방 게이트웨이는 수신 데이터의 복호화를 위한 디코더와, 상기 컨트롤 채널을 생성하고 상기 컨트롤 채널을 통해 상기 컨트롤 데이터를 송수신하는 서킷 브레이커(Circuit Breaker)를 포함하여 구성되는 것일 수 있다.In addition, the forward gateway includes an encoder for encryption of transmitted data, and the rear gateway includes a decoder for decoding received data, and a circuit for generating the control channel and transmitting and receiving the control data through the control channel. It may be comprised of a circuit breaker.

그리고, 상기 서킷 브레이커는, 상기 후방 게이트웨이를 통해 상기 전방 게이트웨이에 접속되는 상기 컨트롤 채널을 생성하고, 상기 컨트롤 채널에 대한 접근을 제어하는 것일 수 있다.Additionally, the circuit breaker may create the control channel connected to the front gateway through the rear gateway and control access to the control channel.

또한, 상기 서킷 브레이커는, 상기 서비스 서버의 상태를 점검하여, 상기 컨트롤 채널을 통해 상기 전방 게이트웨이로 상기 서비스 서버의 상태 정보를 전송하는 것일 수 있다.Additionally, the circuit breaker may check the status of the service server and transmit status information of the service server to the forward gateway through the control channel.

그리고, 상기 전방 게이트웨이와 후방 게이트웨이 사이의 데이터 전송은, 사용자 별로 생성된 고유의 채널을 통하여 수행되는 것일 수 있다.Additionally, data transmission between the forward gateway and the rear gateway may be performed through a unique channel created for each user.

또한, 상기 서비스 요청 데이터는, 상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와; 상기 사용자 단말 자체의 고유 정보인 디바이스 정보와; 상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성되는 것일 수 있다.Additionally, the service request data includes user information, which is information about a user using the user terminal; Device information that is unique information of the user terminal itself; It may be configured to include server connection information, which is information about connection to the service server.

그리고, 상기 사용자 인증은 사용자 네트워크 프로파일을 기반으로 수행되고, 상기 사용자 네트워크 프로파일은, 상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와; 상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와; 상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성되는 것일 수 있다.Additionally, the user authentication is performed based on a user network profile, and the user network profile includes user authentication information (AuthToken) that proves that the user is an authenticated user; Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device; It may be configured to include server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.

또한, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the user authentication information (AuthToken) may be generated by coding using the user ID, access time, and unique value for each user.

그리고, 상기 디바이스 인증정보(DeviceToken)는, 기기 고유의 아이디를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the device authentication information (DeviceToken) may be generated by coding using the device's unique ID.

또한, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the server access authentication information (AccessToken) may be generated by coding using the service ID, user information, authentication time, and unique key for each service server.

그리고, 상기 서버접속 인증정보는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되는 것일 수 있다.In addition, the server connection authentication information may include an expiration time (ExpireDate), which is information about the effective time of server connection.

또한, 상기 만료 시간은, 상기 서비스 서버의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정되는 것일 수 있다.Additionally, the expiration time may be set to be shorter depending on the security level of the service server, as the security level increases.

그리고, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되는 것일 수 있다.Additionally, the user network profile may include validity information indicating whether the user network profile is valid.

또한, 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보인 것일 수 있다.Additionally, the validity information may be session information indicating a connection session.

그리고, 상기 유효성 정보는, 상기 게이트 웨이가 상기 사용자 단말로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성되는 것일 수 있다.In addition, the validity information includes a limited data amount so that the access control server can discard the user network profile when a preset data capacity is provided according to the amount of data provided by the gateway to the user terminal. It may be composed.

또한, 상기 후방 게이트웨이의 서버 접속 포트는 동적 포트로 생성되어, 상기 후방 게이트웨이에서 상기 서버로 접속할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the server connection port of the rear gateway may be created as a dynamic port and updated and set each time the rear gateway connects to the server.

그리고, 상기 전방 게이트웨이의 사용자 단말 접속 포트는 동적 포트로 생성되어, 상기 전방 게이트웨이에서 사용자 단말로 접속할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the user terminal connection port of the forward gateway may be created as a dynamic port and updated and set each time the forward gateway connects to the user terminal.

본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법은, 서비스를 이용하는 사용자와 서비스를 제공하는 서버 사이에 게이트웨이를 통하여 데이터를 서로 교환함으로써, 게이트웨이 정보만이 사용자에게 제공되기 때문에, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 보호할 수 있는 효과가 있다.The data transmission method through gateway relay according to the present invention exchanges data through a gateway between a user using the service and a server providing the service. Since only gateway information is provided to the user, server information about the service being used This is effective in protecting against hacking as they are not exposed to users.

또한, 본 발명에 따르면 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리하고, 전용 프로토콜을 사용하여 정보를 암호화함으로써 외부로부터 서비스 서버로의 접근을 완벽하게 차단할 수 있는 효과가 있다. In addition, according to the present invention, data is processed by separating data channels and control channels, and information is encrypted using a dedicated protocol, thereby completely blocking access to the service server from the outside.

특히, 본 발명에 따르면 서킷 브레이크에서 서버들에 대한 상태를 체크하여 서버에 문제가 발생하면 문제가 발생한 서버 정보를 컨트롤 채널을 통해 전방 게이트웨이로 제공함으로써, 보다 효과적으로 서버의 정보 노출을 방지할 수 있는 효과가 있다. In particular, according to the present invention, by checking the status of servers during a circuit break and when a problem occurs in the server, information on the server in question is provided to the forward gateway through a control channel, thereby more effectively preventing exposure of server information. It works.

또한, 본 발명에 따르면 사용자의 서비스 이용 권한을 인증하는 기반이 되는 사용자 네트워크 프로파일을 동적으로 구성하고, 실시간으로 반영함으로써 실시간 보안 정책을 반영하여 더욱 효과적으로 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, the user network profile, which is the basis for authenticating the user's service use authority, is dynamically configured and reflected in real time, thereby reflecting the real-time security policy, which has the effect of more effectively protecting server information.

그리고, 본 발명에 따르면 조건(시간, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일의 사용을 통해서, 정보가 노출되더라도 기간이 지나면 사용이 불가능해 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, through the use of user network profiles that are differently created depending on conditions (time, session), even if information is exposed, it cannot be used after a period of time, which has the effect of safely protecting server information.

도 1은 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법을 실행하는 시스템의 블록도이다.
도 2는 본 발명의 시스템에 의하여 데이터를 전송하는 방법에 대한 순서를 각 장치별로 도시한 블록도이다.
도 3은 본 발명에 따른 사용자 네트워크 프로파일의 구성도이다.
도 4는 본 발명에 따른 컨트롤 채널을 통한 데이터의 흐름을 도시한 블록도이다.1 is a block diagram of a system implementing a data transmission method through gateway relay according to the present invention.
Figure 2 is a block diagram showing the procedure for transmitting data by the system of the present invention for each device.
Figure 3 is a configuration diagram of a user network profile according to the present invention.
Figure 4 is a block diagram showing the flow of data through a control channel according to the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 구현예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can be modified in various ways and have various implementation examples, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all transformations, equivalents, and substitutes included in the spirit and technical scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

본 발명은 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것이다.The present invention relays data between a user and a server through an intermediate gateway (GateWay), and processes the data by separating the data channel and the control channel, thereby preventing information exposure of the server and safely transmitting data through the gateway relay. It is about data transmission method.

이하에서는 본 발명의 동적 포트를 이용한 역방향 네트워크 접속 시스템에 대하여, 바람직한 구현예 및 첨부 도면을 참조하여 더욱 상세하게 설명한다. 이와 관련하여, 도 1은 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법을 실행하는 시스템의 블록도이고, 도 2는 본 발명의 시스템에 의하여 데이터를 전송하는 방법에 대한 순서를 각 장치별로 도시한 블록도이며, 도 3은 본 발명에 따른 사용자 네트워크 프로파일의 구성도이고, 도 4는 발명에 따른 컨트롤 채널을 통한 데이터의 흐름을 도시한 블록도이다.Hereinafter, the reverse network access system using a dynamic port of the present invention will be described in more detail with reference to a preferred implementation example and the accompanying drawings. In this regard, Figure 1 is a block diagram of a system executing the data transmission method through gateway relay according to the present invention, and Figure 2 shows the sequence of the data transmission method by the system of the present invention for each device. It is a block diagram, Figure 3 is a configuration diagram of a user network profile according to the present invention, and Figure 4 is a block diagram showing the flow of data through a control channel according to the invention.

먼저 도 1을 참조하면, 본 발명의 게이트웨이 중계를 통한 데이터 전송 방법은, 사용자 단말(100)과, 게이트웨이(200)와, 서비스 서버(300)와, 사용자 관리서버(400)와, 데이터 베이스(500)를 포함하는 데이터 전송 시스템에 의하여 실행될 수 있다.First, referring to Figure 1, the data transmission method through gateway relay of the present invention includes a user terminal 100, a gateway 200, a service server 300, a user management server 400, and a database ( It can be executed by a data transmission system including 500).

상기 사용자 단말(100)은, 사용자가 상기 게이트웨이(200)에 서비스를 요청하여 서버로부터 제공되는 서비스를 이용하기 위한 기기이다. 사용자 단말(100)의 예로는 PC(Personal Computer)나 모바일 폰 등을 예로 들 수 있으나, 이에 한정되는 것은 아니며 유/무선 통신망을 통하여 서비스 운영자의 서버와 접속 가능한 다양한 통신 기기들을 포함할 수 있다.The user terminal 100 is a device for a user to use a service provided from a server by requesting a service from the gateway 200. Examples of the user terminal 100 include, but are not limited to, a personal computer (PC) or a mobile phone, and may include various communication devices that can be connected to the service operator's server through a wired/wireless communication network.

상기 게이트웨이(200)는 사용자 단말(100)과 서버(300)의 직접 연결을 배제하여 서버(300)에 대한 정보가 사용자에게 직접 노출되는 것을 방지하면서, 서버(300)에서 제공되는 데이터를 사용자 단말(100)로 중계하는 기능을 수행하기 위한 것이다. The gateway 200 excludes direct connection between the user terminal 100 and the server 300, preventing information about the server 300 from being directly exposed to the user, and transmits data provided from the server 300 to the user terminal. This is to perform the function of relaying to (100).

본 발명에 있어서, 상기 게이트웨이(200)는, 상기 사용자 단말(100)과의 접속 및 인증 기능을 수행하는 전방 게이트웨이(210, Front Access Gateway)와 서버와의 접속 기능을 수행하는 후방 게이트웨이(220, Back Access Gateway)를 포함하여 구성되고, 이때 상기 전방 게이트웨이(210)는 인코더(211)를 포함하여 구성되고, 상기 후방 게이트웨이(220)는 디코더(221) 및 서킷 브레이커(700)를 포함하여 구성되게 되는데, 이들의 세부 기능에 대하여는 뒤에서 보다 상세하게 설명한다.In the present invention, the gateway 200 includes a front gateway 210 (Front Access Gateway) that performs a connection and authentication function with the user terminal 100 and a rear gateway 220 that performs a connection function with the server. Back Access Gateway), where the front gateway 210 is configured to include an encoder 211, and the rear gateway 220 is configured to include a decoder 221 and a circuit breaker 700. However, their detailed functions will be explained in more detail later.

상기 서비스 서버(300)는 사용자가 이용하고자 하는 서비스를 제공하기 위한 서버로서, 보안성이 요구되는 다수의 서버들이 사용자가 이용하는 서비스 종류에 따라 집합적으로 포함하여 구성될 수 있다.The service server 300 is a server for providing services that users want to use, and may be configured to collectively include a number of servers requiring security according to the type of service used by the user.

상기 사용자 관리서버(400, API/Management Server)는 상기 게이트웨이(200) 및 데이터 베이스(500)와 연결되어 사용자에 대한 정보를 관리하기 위한 서버로서, 후술할 사용자 네트워크 프로파일(600)의 생성 및 변경 기능을 수행하고 이에 필요한 데이터를 관리한다. The user management server 400 (API/Management Server) is a server connected to the gateway 200 and the database 500 to manage information about users, and creates and changes a user network profile 600, which will be described later. It performs functions and manages the data required for them.

상기 데이터 베이스(500)는 본 발명의 서비스를 제공하는데 필요한 다양한 데이터를 저장 및 업데이트하여 상기 사용자 관리서버(400)에 제공하는 기능을 수행한다.The database 500 performs the function of storing and updating various data necessary to provide the service of the present invention and providing the information to the user management server 400.

본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법은, 데이터를 처리함에 있어서 데이터의 전송 채널을 컨트롤 채널(B)과 정보 채널(A)의 2개의 채널로 분리하여 데이터를 처리함으로써, 외부에서 컨트롤 채널(B)에 대한 접근을 제한하고 서버에 대한 보안을 더욱 강화할 수 있게 되는 것을 발명의 기술적 특징의 하나로 한다.The data transmission method through gateway relay according to the present invention separates the data transmission channel into two channels, a control channel (B) and an information channel (A), in processing data, thereby processing the data from the outside through the control channel. One of the technical features of the invention is that access to (B) can be restricted and server security can be further strengthened.

즉, 본 발명에 따르면 본 발명에서 처리되는 데이터에 대하여 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분하고, 컨트롤 데이터는 컨트롤 채널(B)를 통하여 전송되고, 정보 데이터는 정보 채널(A)을 통하여 각각 분리되어 전송되게 된다.That is, according to the present invention, the data processed in the present invention is divided into control data and information data according to the execution function of the data, and the control data is transmitted through the control channel (B), and the information data is transmitted through the information channel (A). Each is transmitted separately.

이때, 상기 컨트롤 데이터는, 사용자 단말(100)과 서비스 서버(300)의 연결 상태 설정에 대한 데이터, 서비스 서버(300) 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성될 수 있다.At this time, the control data includes data on the connection state settings between the user terminal 100 and the service server 300, data including information on the operation status of the service server 300, and data on data transmission blocking and data inspection. It can be configured as follows.

그리고, 정보 데이터는, 사용자 단말(100)의 서비스 요청 내용이 포함된 데이터와, 서비스 서버(300)가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성될 수 있다.Additionally, the information data may include data containing the service request contents of the user terminal 100 and data containing the service contents provided by the service server 300.

이에 의하여 본 발명에 따르면, 사용자 단말(100)과 서비스 서버(300) 사이의 일반적인 정보 내용에 대한 데이터는 정보 채널(A)을 통하여 전송하고, 사용자 단말(100)과 서비스 서버(300) 사이의 접속과 관련되는 데이터는 컨트롤 채널(B)을 통하여 전송함으로써, 서비스 서버(300)에 대한 정보가 외부로 누출되는 것을 방지할 수 있게 된다.Accordingly, according to the present invention, data on general information contents between the user terminal 100 and the service server 300 are transmitted through the information channel (A), and the data between the user terminal 100 and the service server 300 are transmitted through the information channel (A). By transmitting data related to connection through the control channel (B), it is possible to prevent information about the service server 300 from being leaked to the outside.

이하에서는 도 2 내지 도 4를 참조하여 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, the data transmission method through gateway relay according to the present invention will be described in more detail with reference to FIGS. 2 to 4.

먼저 사용자가 사용자 단말(100)을 이용하여 전방 게이트웨이(210)로 서비스 요청 데이터를 전송하여 서비스 서버(300)에 대한 서비스를 요청한다(S110). 이어서 전방 게이트웨이(210)는 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증(S211, S212)을 실행한다.First, the user requests a service from the service server 300 by transmitting service request data to the forward gateway 210 using the user terminal 100 (S110). Next, the forward gateway 210 performs user authentication (S211, S212) to determine whether the user who requested the service is eligible to use the service.

여기에서, 상기 서비스 요청 데이터에는, 사용자 단말(100)을 사용하는 사용자 개인에 관한 인적 정보인 사용자 정보와, 사용자 단말(100) 기기 자체의 고유 정보인 디바이스 정보와, 서비스 서버와의 접속에 관한 정보인 서버접속 정보를 포함할 수 있다. Here, the service request data includes user information, which is personal information about the individual user using the user terminal 100, device information, which is unique information about the user terminal 100 device itself, and information about connection to the service server. Information may include server connection information.

상기 사용자 정보로는 예를 들어 사용자의 이름, 소속, 직급 등의 정보를 포함할 수 있다. 상기 디바이스 정보로는 기기 고유 아이디를 포함할 수 있다. 또한 상기 서버접속 정보로는 사용자가 이용하고자 하는 서비스의 내용 등을 포함할 수 있다.The user information may include, for example, information such as the user's name, affiliation, and position. The device information may include a device unique ID. Additionally, the server connection information may include the contents of the service the user wishes to use.

상기와 같은 서비스 요청 데이터를 수신한 전방 게이트웨이(210)는, 사용자 네트워크 프로파일(600)을 시반으로 사용자가 서비스를 이용할 정당한 자격이 있는지 여부에 대한 인증을 실행한다.The forward gateway 210, which has received the service request data as described above, authenticates whether the user is legitimately entitled to use the service based on the user network profile 600.

여기에서 상기 사용자 네트워크 프로파일(600)은, 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken, 610)와, 사용자 단말(100)이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken, 620)와, 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken, 630)를 포함하여 구성될 수 있다.Here, the user network profile 600 includes user authentication information (AuthToken, 610) that proves that the user is an authenticated user, and device authentication information (DeviceToken, 620) that proves that the user terminal 100 is an authenticated device. , It may be configured to include server access authentication information (AccessToken, 630) that proves that the user is a user authorized to access the server.

이때, 상기 사용자 인증정보(AuthToken, 610)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 암호화된 형태로 생성하게 된다. At this time, the user authentication information (AuthToken, 610) is coded using the user ID, access time, and unique value for each user and is generated in an encrypted form.

또한, 상기 디바이스 인증정보(DeviceToken, 620)는, PC의 경우 CPU Id, HDD Id, MAC Address 등을 이용하여 암호화된 형태로 생성하게 되며, 기타 기기의 경우 기기 고유의 아이디를 이용하여 암호화된 형태로 생성하게 된다. In addition, the device authentication information (DeviceToken, 620) is created in an encrypted form using CPU Id, HDD Id, MAC Address, etc. for PCs, and in encrypted form using the device's unique ID for other devices. It is created with

또한, 상기 서버접속 인증정보(AccessToken, 630)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 암호화된 형태로 생성하게 된다.In addition, the server access authentication information (AccessToken, 630) is coded using the service ID, user information, authentication time, and unique key for each service server and is generated in an encrypted form.

이에 의하여 본 발명에 따르면, 사용자, 서버, 단말들에 대한 정보를 암호화한 형태로 송수신하고, 인증된 사용자(AuthToken)가 인증된 디바이스(DeviceToken)에서 서버에 대한 접근 권한(AccessToken)을 가지고 있어야만 접속이 가능하기 때문에, 서비스 이용자격이 없는 이용하는 사용자가 서버에 접근하는 것을 원천적으로 차단할 수 있게 된다.Accordingly, according to the present invention, information about users, servers, and terminals is transmitted and received in encrypted form, and access is only possible when an authenticated user (AuthToken) has access rights (AccessToken) to the server from an authenticated device (DeviceToken). Because this is possible, it is possible to fundamentally block users who are not eligible to use the service from accessing the server.

상기와 같이 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이(210)의 인코더(211)에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하고(S213), 전방 게이트웨이(210)는 인코딩된 데이터를 후방 게이트웨이(220)로 전송하게 된다(S214).When the user's service use eligibility is verified as described above, the encoder 211 of the forward gateway 210 encodes the service request data to correspond to the dedicated protocol (S213), and the forward gateway 210 encodes the encoded data. Data is transmitted to the rear gateway 220 (S214).

이어서, 후방 게이트웨이(220)는 상기 인코딩된 데이터를 디코더(221)에 의해 디코딩(decoding)하여(S221, S222) 서비스 서버(300)로 서비스를 요청하고(S223), 서비스 서버(300)에서 제공되는 서비스 제공 데이터를 후방 게이트웨이(220)가 중계하여 전방 게이트웨이(210)를 통해 사용자 단말(100)로 제공하게 된다. Subsequently, the rear gateway 220 decodes the encoded data by the decoder 221 (S221, S222) and requests a service from the service server 300 (S223), which is provided by the service server 300. The rear gateway 220 relays the service provision data and provides it to the user terminal 100 through the front gateway 210.

이때, 본 발명에 따르면 상기 전방 게이트웨이(210)와 후방 게이트웨이(220) 사이의 데이터 전송은, 사용자 별로 생성된 고유의 채널을 통하여 수행되게 된다. At this time, according to the present invention, data transmission between the front gateway 210 and the rear gateway 220 is performed through a unique channel created for each user.

이에 의하여 발명은, 전용 프로토콜을 사용하여 정보를 암호화하고, 사용자 별로 독립된 채널을 생성하여 사용자와 관련된 모든 데이터를 전송함으로써, 외부로부터 서비스 서버로의 접근을 완벽하게 차단할 수 있는 효과가 있다.Accordingly, the invention has the effect of completely blocking access to the service server from the outside by encrypting information using a dedicated protocol and creating an independent channel for each user to transmit all data related to the user.

또한, 후방 게이트웨이(220)의 서킷 브레이커(700)는, 후방 게이트웨이(220)를 통해 전방 게이트웨이(210)에 접속되는 컨트롤 채널(B)을 생성하고, 상기 컨트롤 채널(B)에 대한 접근을 제어할 수 있다.In addition, the circuit breaker 700 of the rear gateway 220 creates a control channel (B) connected to the front gateway 210 through the rear gateway 220 and controls access to the control channel (B). can do.

그리고, 상기 서킷 브레이커(700)는, 서비스 서버(300)의 상태를 점검하여, 컨트롤 채널(B)을 통해 전방 게이트웨이(210)로 서비스 서버(300)의 상태 정보를 전송할 수 있다. Additionally, the circuit breaker 700 may check the status of the service server 300 and transmit status information of the service server 300 to the forward gateway 210 through the control channel (B).

즉, 서킷 브레이커(700)에서 서버들에 대한 상태를 체크하여 서버에 문제가 발생하면, 문제가 발생한 서버에 대한 정보를 컨트롤 채널(B)을 통해 전방 게이트웨이(210)로 상태 정보를 제공하고, 전방 게이트웨이(210)는 사용자 단말(100)의 요청시 서버의 상태를 확인하여 응답을 생성하게 된다.That is, the circuit breaker 700 checks the status of the servers and, if a problem occurs with the server, provides status information about the problem server to the forward gateway 210 through the control channel (B), When a request is made by the user terminal 100, the forward gateway 210 checks the status of the server and generates a response.

여기에서, 서버의 상태 정보에는 서버의 운용상태 예를 들어 접속불가 등의 장애 발생 유무, 데이터 양의 과도로 서버에 과부하 발생 우려에 대한 정보 등을 포함할 수 있다.Here, the status information of the server may include the operating status of the server, for example, whether a failure such as inability to connect has occurred, and information about the risk of overloading the server due to an excessive amount of data.

이를 도 4를 참조하여 설명하면, 서비스 서버(300)로부터 서버 상태 정보와 송수신 데이터를 수신한(S220a, S220c) 서킷 브레이커(700)는, 상기 정보가 접속 제한 요건(S220b) 및 데이터 제한 요건(S220d)을 만족하는 경우, 접속 제한 대상을 선별한 후(S220e), 접속 제한 명령을 전방 게이트웨이(210)로 전송하며(S220f), 접속 제한 명령을 수신한(S210a) 전방 게이트웨이(210)는 접속 제한을 실행하게 된다(S210b). If this is explained with reference to FIG. 4, the circuit breaker 700, which has received server status information and transmission/reception data from the service server 300 (S220a, S220c), determines that the information is the access restriction requirement (S220b) and the data restriction requirement (S220b). If S220d) is satisfied, the access restriction target is selected (S220e), a connection restriction command is transmitted to the forward gateway 210 (S220f), and the forward gateway 210, which has received the access restriction command (S210a), is connected. The restriction is implemented (S210b).

한편, 본 발명에 따르면 상기 전방 게이트웨이(210)는 사용자 단말(100)과 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 전방 게이트웨이(210)에서 사용자 단말(100)로 연결할 때마다 갱신되어 설정될 수 있다. Meanwhile, according to the present invention, the forward gateway 210 can create a connection port for connecting to the user terminal 100 as a dynamic port. Here, the dynamic port may be updated and set each time the forward gateway 210 connects to the user terminal 100.

또한, 상기 후방 게이트웨이(220)는 서비스 서버(300)와 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 후방 게이트웨이(220)에서 서비스 서버(300)로 연결할 때마다 갱신되어 설정될 수 있다.Additionally, the rear gateway 220 can create a connection port for connecting to the service server 300 as a dynamic port. Here, the dynamic port may be updated and set each time the rear gateway 220 connects to the service server 300.

이에 의하여 본 발명에 따르면, 전방 게이트웨이(210)와 사용자 단말(100) 및 후방 게이트웨이(220)와 서비스 서버(300)를 연결할 때마다 별도의 동적 포트가 사용되기 때문에, 게이트웨이(200)에 대한 해킹 및 정보 유출을 차단하여 안전하게 보호할 수 있게 된다.Accordingly, according to the present invention, a separate dynamic port is used each time the front gateway 210 and the user terminal 100 and the rear gateway 220 and the service server 300 are connected, preventing hacking of the gateway 200. and information leakage can be blocked and safely protected.

본 발명의 일 구현예에 따르면, 상기 사용자 네트워크 프로파일(600)의 서버접속 인증정보(630)는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되어 구성될 수 있다.According to one implementation of the present invention, the server connection authentication information 630 of the user network profile 600 may be configured to include an expiration time (ExpireDate), which is information about the effective time of server connection.

이에 의하여, 서비스 이용시 만료 시간에 대한 통제를 통하여 허용된 시간만큼 서비스를 이용하며 지속적으로 변경되기 때문에 정보가 노출되더라도 일시적인 이용만이 가능하게 된다.As a result, the service is used for the allowed time through control of the expiration time and is continuously changed, so even if the information is exposed, only temporary use is possible.

특히 본 구현예에 따르면 상기 만료 시간은, 상기 서비스 서버의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정될 수 있다. 예를 들어 기밀이 중요시되는 서버에 접속하여 서비스를 이용하는 경우에는 서비스 이용 시간을 짧게 설정하여 수시로 사용자 인증절차를 진행함으로써, 보안이 중요시 되는 서비스 서버에 대한 정보 유출을 최소화할 수 있게 된다.In particular, according to this implementation, the expiration time may be set to be shorter according to the security level of the service server, as the security level is higher. For example, when using a service by connecting to a server where confidentiality is important, the service usage time is set short and the user authentication process is performed frequently, thereby minimizing information leakage to the service server where security is important.

본 발명의 또 다른 구현예에 따르면, 상기 사용자 네트워크 프로파일(600)은, 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되어 구성될 수 있다.According to another implementation of the present invention, the user network profile 600 may be configured to include validity information indicating whether the user network profile is valid.

이때 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보일 수 있다. 상기 세션 정보는 예를 들어 사용자가 게이트웨이(200)에 접속할 때마다 새로이 설정되어 갱신될 수 있다.At this time, the validity information may be session information indicating a connection session. For example, the session information may be newly set and updated each time the user accesses the gateway 200.

또한 상기 유효성 정보는, 게이트웨이(200)가 상기 사용자 단말(100)로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 게이트웨이(200)가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성될 수 있다. 즉, 사용자가 소정의 데이터를 제공받은 후에는 접속이 중단되고 새로이 사용자가 인증요청 정보를 입력하여야 접속이 계속 연결될 수 있다. In addition, the validity information is limited data so that the gateway 200 can discard the corresponding user network profile when a preset data capacity is provided according to the amount of data provided by the gateway 200 to the user terminal 100. It can be configured including quantity. In other words, after the user receives certain data, the connection is interrupted and the connection can be continued only when the user newly enters authentication request information.

이에 의하여, 본 발명에 따르면 조건(시간, 데이터량, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일을 이용하여 서버에의 접속을 통제하기 때문에, 서버 정보가 노출되더라도 설정된 조건 즉, 설정된 시간이나 데이터량 또는 세션이 경과하면 서버에의 접속이 불가능하게 되므로, 서버 정보가 일시적으로 노출되더라도 지속적인 사용이 불가능하게 된다.Accordingly, according to the present invention, access to the server is controlled using a user network profile that is created differently depending on conditions (time, data amount, session), so even if the server information is exposed, the set conditions, that is, the set time or data amount, are controlled. Alternatively, when the session elapses, access to the server becomes impossible, so continuous use becomes impossible even if server information is temporarily exposed.

이상에서 본 발명의 바람직한 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다. Although the preferred embodiments of the present invention have been described above, those skilled in the art can add, change, delete or add components without departing from the spirit of the present invention as set forth in the patent claims. The present invention may be modified and changed in various ways, and this will also be included within the scope of rights of the present invention.

예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.For example, each component described as unitary may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form. The scope of the present invention is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present invention. do.

본 발명은 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 데이터 전송 방법에 관한 것으로, 본 발명에 따르면, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 보호할 수 있는 효과가 있다.The present invention provides a data transmission method that prevents information exposure of the server and transmits data safely by relaying data between the user and the server through an intermediate gateway and processing the data by separating the data channel and the control channel. Regarding this, according to the present invention, server information about the service being used is not exposed to the user, which has the effect of protecting against hacking.

100 : 사용자 단말 200 : 게이트웨이
210 : 전방 게이트웨이 211 : 안코더
220 : 후방 게이트웨이 300 : 서비스 서버
400 : 사용자 관리서버 500 : 데이터베이스
600 : 사용자 네트워크 프로파일 610 : 사용자 인증정보
620 : 디바이스 인증정보 630 : 서버접속 인증정보
700 : 서킷 브레이커
A : 정보 채널
B : 컨트롤 채널
100: user terminal 200: gateway
210: Front gateway 211: Encoder
220: rear gateway 300: service server
400: User management server 500: Database
600: User network profile 610: User authentication information
620: Device authentication information 630: Server connection authentication information
700: Circuit Breaker
A: Information channel
B: control channel

Claims (18)

사용자 단말과의 접속 및 인증 기능을 수행하는 전방 게이트웨이(Front Access Gateway)와 서비스 서버와의 접속 기능을 수행하는 후방 게이트웨이(Back Access Gateway)를 포함하는 게이트웨이(Gateway)의 중계를 통해 사용자 단말과 서비스 서버 사이의 데이터를 전송하는 방법으로서,
(A) 상기 사용자 단말이 서비스 요청 데이터를 상기 전방 게이트웨이로 전송하여 상기 서비스 서버에 대한 서비스를 요청하는 단계;
(B) 상기 전방 게이트웨이가 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계;
(C) 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계;
(D) 상기 전방 게이트웨이가 상기 인코딩된 데이터를 상기 후방 게이트웨이로 전송하는 단계;
(E) 상기 후방 게이트웨이가 상기 인코딩된 데이터를 디코딩(decoding)하여 상기 서비스 서버로 서비스를 요청하는 단계; 및
(F) 상기 서비스 서버에서 제공되는 서비스 제공 데이터를 상기 후방 게이트웨이가 중계하여 상기 전방 게이트웨이를 통해 상기 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
The user terminal and the service through the relay of the gateway, which includes the front access gateway that performs the connection and authentication function with the user terminal and the back access gateway that performs the connection function with the service server. As a method of transmitting data between servers,
(A) the user terminal transmitting service request data to the forward gateway to request a service from the service server;
(B) a user authentication step in which the forward gateway determines whether the user who requested the service is eligible to use the service;
(C) when the user's service usage eligibility is verified, encoding the service request data at the forward gateway to correspond to a dedicated protocol;
(D) the forward gateway transmitting the encoded data to the rear gateway;
(E) the rear gateway decoding the encoded data and requesting a service from the service server; and
(F) a step of the rear gateway relaying the service provision data provided by the service server and providing the service provision data to the user terminal through the forward gateway.
 제1항에 있어서,
상기 서비스 요청 데이터 및 상기 서비스 제공 데이터는 각각, 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분되며,
상기 컨트롤 데이터는 컨트롤 채널를 통하여 전송되고, 상기 정보 데이터는 정보 채널을 통하여 각각 분리되어 전송됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 1,
The service request data and the service provision data are respectively divided into control data and information data depending on the execution function of the data,
A data transmission method through a gateway relay, characterized in that the control data is transmitted through a control channel, and the information data is transmitted separately through an information channel.
 제2항에 있어서,
상기 컨트롤 데이터는,
사용자 단말과 서비스 서버의 연결 상태 설정에 대한 데이터, 서비스 서버 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 2,
The control data is,
A data transmission method through a gateway relay, characterized in that it includes data on connection state settings between a user terminal and a service server, data including service server operation state information, and data on data transmission blocking and data inspection.
 제3항에 있어서,
상기 정보 데이터는,
사용자 단말의 서비스 요청 내용이 포함된 데이터와, 서비스 서버가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 3,
The information data is,
A data transmission method through a gateway relay, characterized in that it includes data containing the service request contents of the user terminal and data containing the service contents provided by the service server.
 제3항 또는 제4항에 있어서,
상기 전방 게이트웨이는 송신 데이터의 암호화를 위한 인코더를 포함하여 구성되고,
상기 후방 게이트웨이는 수신 데이터의 복호화를 위한 디코더와, 상기 컨트롤 채널을 생성하고 상기 컨트롤 채널을 통해 상기 컨트롤 데이터를 송수신하는 서킷 브레이커(Circuit Breaker)를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 3 or 4,
The forward gateway is configured to include an encoder for encryption of transmission data,
The rear gateway is configured to include a decoder for decoding received data, and a circuit breaker for generating the control channel and transmitting and receiving the control data through the control channel. method.
 제5항에 있어서,
상기 서킷 브레이커는,
상기 후방 게이트웨이를 통해 상기 전방 게이트웨이에 접속되는 상기 컨트롤 채널을 생성하고, 상기 컨트롤 채널에 대한 접근을 제어함을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 5,
The circuit breaker is,
A data transmission method through gateway relay, characterized in that the control channel connected to the front gateway is created through the rear gateway, and access to the control channel is controlled.
 제6항에 있어서,
상기 서킷 브레이커는,
상기 서비스 서버의 상태를 점검하여, 상기 컨트롤 채널을 통해 상기 전방 게이트웨이로 상기 서비스 서버의 상태 정보를 전송함을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 6,
The circuit breaker is,
A data transmission method through gateway relay, characterized in that the status of the service server is checked and the status information of the service server is transmitted to the forward gateway through the control channel.
 제7항에 있어서,
상기 전방 게이트웨이와 후방 게이트웨이 사이의 데이터 전송은,
사용자 별로 생성된 고유의 채널을 통하여 수행됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
In clause 7,
Data transmission between the front gateway and the rear gateway is,
A data transmission method through gateway relay, characterized in that it is performed through a unique channel created for each user.
 제8항에 있어서,
상기 서비스 요청 데이터는,
상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와;
상기 사용자 단말 자체의 고유 정보인 디바이스 정보와;
상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The service request data is,
User information, which is information about the user using the user terminal;
Device information that is unique information of the user terminal itself;
A data transmission method through a gateway relay, comprising: server connection information, which is information regarding connection to the service server.
 제8항에 있어서,
상기 사용자 인증은 사용자 네트워크 프로파일을 기반으로 수행되고,
상기 사용자 네트워크 프로파일은,
상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와;
상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와;
상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The user authentication is performed based on the user network profile,
The user network profile is,
User authentication information (AuthToken) that proves that the user is an authenticated user;
Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device;
A data transmission method through a gateway relay, comprising: server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.
 제10항에 있어서,
상기 사용자 인증정보(AuthToken)는,
사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The user authentication information (AuthToken) is,
A method of transmitting data through a gateway relay, characterized in that it is coded and generated using user ID, access time, and unique values for each user.
 제10항에 있어서,
상기 디바이스 인증정보(DeviceToken)는,
기기 고유의 아이디를 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The device authentication information (DeviceToken) is,
A data transmission method through gateway relay, characterized in that it is coded and generated using the device's unique ID.
 제10항에 있어서,
상기 서버접속 인증정보(AccessToken)는,
서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The server access authentication information (AccessToken) is,
A data transmission method through gateway relay, characterized in that it is coded and generated using service ID, user information, authentication time, and unique key for each service server.
 제13항에 있어서,
상기 서버접속 인증정보는,
서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 13,
The server connection authentication information is,
A data transmission method through a gateway relay, characterized in that it includes an expiration time (ExpireDate), which is information about the effective time of server connection.
 제10항에 있어서,
상기 사용자 네트워크 프로파일은,
상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The user network profile is,
A data transmission method through a gateway relay, characterized in that validity information indicating whether the user network profile is valid is included.
 제15항에 있어서,
상기 유효성 정보는,
접속 세션을 표시하는 세션 정보임을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 15,
The validity information is,
A data transmission method through a gateway relay, characterized as session information indicating an access session.
 제8항에 있어서,
상기 후방 게이트웨이의 서버 접속 포트는 동적 포트로 생성되어,
상기 후방 게이트웨이에서 상기 서버로 접속할 때마다 갱신되어 설정됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The server connection port of the rear gateway is created as a dynamic port,
A data transmission method through a gateway relay, characterized in that the setting is updated each time the rear gateway connects to the server.
 제8항에 있어서,
상기 전방 게이트웨이의 사용자 단말 접속 포트는 동적 포트로 생성되어,
상기 전방 게이트웨이에서 사용자 단말로 접속할 때마다 갱신되어 설정됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The user terminal access port of the forward gateway is created as a dynamic port,
A data transmission method through a gateway relay, characterized in that the data transmission method is updated and set every time the forward gateway connects to the user terminal.
KR1020220059068A 2022-05-13 2022-05-13 Data transmitting method via gateway relaying KR20230159110A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220059068A KR20230159110A (en) 2022-05-13 2022-05-13 Data transmitting method via gateway relaying

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220059068A KR20230159110A (en) 2022-05-13 2022-05-13 Data transmitting method via gateway relaying

Publications (1)

Publication Number Publication Date
KR20230159110A true KR20230159110A (en) 2023-11-21

Family

ID=88982161

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220059068A KR20230159110A (en) 2022-05-13 2022-05-13 Data transmitting method via gateway relaying

Country Status (1)

Country Link
KR (1) KR20230159110A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100951716B1 (en) 2007-11-28 2010-04-09 남기원 Auto security system using of comparing data and method of the same
KR101513195B1 (en) 2014-07-15 2015-04-17 (주) 엠앤와이즈 Mail forwarding method for enhancing security using gateway sever

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100951716B1 (en) 2007-11-28 2010-04-09 남기원 Auto security system using of comparing data and method of the same
KR101513195B1 (en) 2014-07-15 2015-04-17 (주) 엠앤와이즈 Mail forwarding method for enhancing security using gateway sever

Similar Documents

Publication Publication Date Title
US9781114B2 (en) Computer security system
Ertaul et al. Security Challenges in Cloud Computing.
US8776208B2 (en) Incorporating network connection security levels into firewall rules
US7644434B2 (en) Computer security system
US8443190B2 (en) Method for securing a two-way communications channel and device for implementing said method
US20070143408A1 (en) Enterprise to enterprise instant messaging
US20160294808A1 (en) Authentication of remote host via closed ports
US20240171576A1 (en) Identity proxy and access gateway
KR101858207B1 (en) System for security network
CN117081790A (en) File access and uploading method, system and related equipment based on zero trust gateway
CN114915427B (en) Access control method, device, equipment and storage medium
KR101404537B1 (en) A server access control system by automatically changing user passwords and the method thereof
US8132245B2 (en) Local area network certification system and method
KR20230159110A (en) Data transmitting method via gateway relaying
KR102627397B1 (en) Reverse access system for network using dynamic port
CN114254352A (en) Data security transmission system, method and device
KR102664208B1 (en) Service providing method based on user network profile
KR20240108010A (en) Service providing system using one time user access token
KR20240108011A (en) Service providing system based on user network profile
KR20230155197A (en) Service providing method of the server via gateway
WO2009005698A1 (en) Computer security system
KR20240076874A (en) Server connection control method based on user network profile
KR20240076873A (en) Approved contents providing method based on user network profile
KR102167575B1 (en) Method for blocking loop around connection between servers utilizing imaginary accoun
CN117395014A (en) Secure data exchange system, secure data exchange method, electronic device, and storage medium

Legal Events

Date Code Title Description
E902 Notification of reason for refusal