KR20230159110A - Data transmitting method via gateway relaying - Google Patents
Data transmitting method via gateway relaying Download PDFInfo
- Publication number
- KR20230159110A KR20230159110A KR1020220059068A KR20220059068A KR20230159110A KR 20230159110 A KR20230159110 A KR 20230159110A KR 1020220059068 A KR1020220059068 A KR 1020220059068A KR 20220059068 A KR20220059068 A KR 20220059068A KR 20230159110 A KR20230159110 A KR 20230159110A
- Authority
- KR
- South Korea
- Prior art keywords
- gateway
- data
- service
- user
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000005540 biological transmission Effects 0.000 claims abstract description 41
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 (A) 사용자 단말이 서비스 요청 데이터를 전방 게이트웨이로 전송하여 서비스 서버에 대한 서비스를 요청하는 단계; (B) 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계; (C) 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계; (D) 전방 게이트웨이가 인코딩된 데이터를 후방 게이트웨이로 전송하는 단계; (E) 후방 게이트웨이가 인코딩된 데이터를 디코딩(decoding)하여 서비스 서버로 서비스를 요청하는 단계; 및 (F) 서비스 서버에서 제공되는 서비스 제공 데이터를 후방 게이트웨이가 중계하여 전방 게이트웨이를 통해 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것으로, 본 발명은 서비스 서버의 주소를 노출하지 않고 데이터를 전송할 수 있는 효과가 있다.The present invention includes the steps of (A) a user terminal transmitting service request data to a forward gateway to request a service from a service server; (B) a user authentication step to determine whether the user is eligible to use the service; (C) encoding the service request data to correspond to a dedicated protocol; (D) the forward gateway transmitting encoded data to the rear gateway; (E) the rear gateway decoding the encoded data and requesting a service from the service server; and (F) the rear gateway relaying the service provision data provided from the service server and providing the service provision data to the user terminal through the forward gateway. The present invention relates to a data transmission method through gateway relay, comprising: has the effect of transmitting data without exposing the address of the service server.
Description
본 발명은 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것으로, 보다 상세하게는 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 데이터 전송 방법에 관한 것이다.The present invention relates to a data transmission method through gateway relay, and more specifically, by relaying data between a user and a server through an intermediate gateway (GateWay) and processing the data by separating the data channel and the control channel, It concerns a data transmission method that prevents information exposure and transmits data safely.
최근 정보통신기술의 발달로 말미암아 데이터 통신망을 매개로 하여 다양한 분야에 대한 정보를 적어도 하나 이상의 서비스 제공 서버를 통하여 다수의 가입자 측으로 실시간 제공하는 정보제공기술의 개발이 활발하게 진행중이다. Due to the recent development of information and communication technology, the development of information provision technology that provides information on various fields in real time to a large number of subscribers through at least one service provision server through a data communication network is actively underway.
한편, 사용자가 컴퓨터 단말기를 이용하여 상기 서비스 제공 서버에 접속해 통신을 주고받고자 할 때에 상기 서비스 제공 서버는 보호대상 서버로서 보안서버를 통해 보호되는 보안시스템이 적용되는 정보보안기술의 개발 또한 활발하게 진행 중이다. Meanwhile, when a user accesses the service providing server using a computer terminal and wishes to exchange communications, the service providing server is a server to be protected, and information security technology is actively being developed to which a security system protected by a security server is applied. Is in progress.
또한, 기업 또는 금융기관에서 사용되는 사내 정보 서버 등에 대한 안전한 접근을 위해서는 사용자별, 업무 또는 역할별로 세세하게 권한을 제한하고 우회접속(loop around connection)이 차단되어야 한다. Additionally, for safe access to in-house information servers used by companies or financial institutions, permissions must be restricted in detail by user, task, or role, and loop around connections must be blocked.
일반적으로 사용자가 SSH(secure shell), TELNET, RDP(remote desktop protocol)와 같은 특정 프로토콜로 접속 요청을 하는 경우에는 통상 그러한 프로토콜의 접속 포트가 정적으로 정해져 있고, 그러한 접속 포트로 접속이 이루어진다. In general, when a user requests a connection using a specific protocol such as SSH (secure shell), TELNET, or RDP (remote desktop protocol), the connection port for that protocol is usually statically determined, and the connection is made through that connection port.
그런데 이러한 통상의 디폴트 포트로 접속하는 경우에는 포트스캐닝이나 핑(PING)을 이용하는 스캐닝을 통한 해킹에 취약하다는 문제점을 가지고 있다. However, when connecting to this normal default port, there is a problem in that it is vulnerable to hacking through port scanning or scanning using PING.
특히, 복수의 서비스 서버 중 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 가능하다는 문제점도 발생하고 있었다. In particular, after connecting to a predetermined service server among a plurality of service servers, there has been a problem that a bypass connection is possible from the predetermined service server to another service server.
본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 내부 서버에 대한 외부로부터의 접근을 차단하고, 서버의 정보 노출을 방지하면서 안전하게 데이터를 전송할 수 있는 데이터 전송 방법을 제공하고자 하는 것이다.The present invention is intended to solve the problems of the prior art as described above. The purpose of the present invention is to provide a data transmission method that can safely transmit data while blocking access to the internal server from the outside and preventing information exposure of the server. This is what we want to provide.
본 발명의 또 하나의 목적은 기존의 방화벽(FireWall), VPN 등 보안장비들과 관계없이 작동하며, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 불가능한 데이터 전송 방법을 제공하고자 하는 것이다.Another purpose of the present invention is to provide a data transmission method that operates regardless of security equipment such as existing firewalls and VPNs and that does not allow bypass access from a given service server to another service server. .
상기와 같은 목적을 달성하기 위한 본 발명의 하나의 양상은, 사용자 단말과의 접속 및 인증 기능을 수행하는 전방 게이트웨이(Front Access Gateway)와 서비스 서버와의 접속 기능을 수행하는 후방 게이트웨이(Back Access Gateway)를 포함하는 게이트웨이(Gateway)의 중계를 통해 사용자 단말과 서비스 서버 사이의 데이터를 전송하는 방법으로서, (A) 상기 사용자 단말이 서비스 요청 데이터를 상기 전방 게이트웨이로 전송하여 상기 서비스 서버에 대한 서비스를 요청하는 단계; (B) 상기 전방 게이트웨이가 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계; (C) 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계; (D) 상기 전방 게이트웨이가 상기 인코딩된 데이터를 상기 후방 게이트웨이로 전송하는 단계; (E) 상기 후방 게이트웨이가 상기 인코딩된 데이터를 디코딩(decoding)하여 상기 서비스 서버로 서비스를 요청하는 단계; 및 (F) 상기 서비스 서버에서 제공되는 서비스 제공 데이터를 상기 후방 게이트웨이가 중계하여 상기 전방 게이트웨이를 통해 상기 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것이다.One aspect of the present invention for achieving the above object is a front gateway that performs a connection and authentication function with a user terminal and a back gateway that performs a connection function with a service server. ) A method of transmitting data between a user terminal and a service server through the relay of a gateway including (A) the user terminal transmits service request data to the forward gateway to provide a service to the service server requesting step; (B) a user authentication step in which the forward gateway determines whether the user who requested the service is eligible to use the service; (C) When the user's service use eligibility is verified, encoding the service request data at the forward gateway to correspond to a dedicated protocol; (D) the forward gateway transmitting the encoded data to the rear gateway; (E) the rear gateway decoding the encoded data and requesting a service from the service server; and (F) the rear gateway relaying the service provision data provided by the service server and providing the service provision data to the user terminal through the forward gateway. will be.
본 발명의 일 구현예에 따른 게이트웨이 중계를 통한 데이터 전송 방법에 있어서, 상기 서비스 요청 데이터 및 상기 서비스 제공 데이터는 각각, 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분되며, 상기 컨트롤 데이터는 컨트롤 채널를 통하여 전송되고, 상기 정보 데이터는 정보 채널을 통하여 각각 분리되어 전송되는 것일 수 있다.In the data transmission method through gateway relay according to an embodiment of the present invention, the service request data and the service provision data are respectively divided into control data and information data according to the execution function of the data, and the control data is controlled It is transmitted through a channel, and the information data may be transmitted separately through the information channel.
또한, 상기 컨트롤 데이터는 사용자 단말과 서비스 서버의 연결 상태 설정에 대한 데이터, 서비스 서버 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성되는 것일 수 있다.Additionally, the control data may include data on connection state settings between the user terminal and the service server, data including service server operating state information, and data on data transmission blocking and data inspection.
그리고, 상기 정보 데이터는 사용자 단말의 서비스 요청 내용이 포함된 데이터와, 서비스 서버가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성되는 것일 수 있다.In addition, the information data may be composed of data containing the contents of the service request of the user terminal and data containing the contents of the service provided by the service server.
또한, 상기 전방 게이트웨이는 송신 데이터의 암호화를 위한 인코더를 포함하여 구성되고, 상기 후방 게이트웨이는 수신 데이터의 복호화를 위한 디코더와, 상기 컨트롤 채널을 생성하고 상기 컨트롤 채널을 통해 상기 컨트롤 데이터를 송수신하는 서킷 브레이커(Circuit Breaker)를 포함하여 구성되는 것일 수 있다.In addition, the forward gateway includes an encoder for encryption of transmitted data, and the rear gateway includes a decoder for decoding received data, and a circuit for generating the control channel and transmitting and receiving the control data through the control channel. It may be comprised of a circuit breaker.
그리고, 상기 서킷 브레이커는, 상기 후방 게이트웨이를 통해 상기 전방 게이트웨이에 접속되는 상기 컨트롤 채널을 생성하고, 상기 컨트롤 채널에 대한 접근을 제어하는 것일 수 있다.Additionally, the circuit breaker may create the control channel connected to the front gateway through the rear gateway and control access to the control channel.
또한, 상기 서킷 브레이커는, 상기 서비스 서버의 상태를 점검하여, 상기 컨트롤 채널을 통해 상기 전방 게이트웨이로 상기 서비스 서버의 상태 정보를 전송하는 것일 수 있다.Additionally, the circuit breaker may check the status of the service server and transmit status information of the service server to the forward gateway through the control channel.
그리고, 상기 전방 게이트웨이와 후방 게이트웨이 사이의 데이터 전송은, 사용자 별로 생성된 고유의 채널을 통하여 수행되는 것일 수 있다.Additionally, data transmission between the forward gateway and the rear gateway may be performed through a unique channel created for each user.
또한, 상기 서비스 요청 데이터는, 상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와; 상기 사용자 단말 자체의 고유 정보인 디바이스 정보와; 상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성되는 것일 수 있다.Additionally, the service request data includes user information, which is information about a user using the user terminal; Device information that is unique information of the user terminal itself; It may be configured to include server connection information, which is information about connection to the service server.
그리고, 상기 사용자 인증은 사용자 네트워크 프로파일을 기반으로 수행되고, 상기 사용자 네트워크 프로파일은, 상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와; 상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와; 상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성되는 것일 수 있다.Additionally, the user authentication is performed based on a user network profile, and the user network profile includes user authentication information (AuthToken) that proves that the user is an authenticated user; Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device; It may be configured to include server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.
또한, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the user authentication information (AuthToken) may be generated by coding using the user ID, access time, and unique value for each user.
그리고, 상기 디바이스 인증정보(DeviceToken)는, 기기 고유의 아이디를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the device authentication information (DeviceToken) may be generated by coding using the device's unique ID.
또한, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the server access authentication information (AccessToken) may be generated by coding using the service ID, user information, authentication time, and unique key for each service server.
그리고, 상기 서버접속 인증정보는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되는 것일 수 있다.In addition, the server connection authentication information may include an expiration time (ExpireDate), which is information about the effective time of server connection.
또한, 상기 만료 시간은, 상기 서비스 서버의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정되는 것일 수 있다.Additionally, the expiration time may be set to be shorter depending on the security level of the service server, as the security level increases.
그리고, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되는 것일 수 있다.Additionally, the user network profile may include validity information indicating whether the user network profile is valid.
또한, 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보인 것일 수 있다.Additionally, the validity information may be session information indicating a connection session.
그리고, 상기 유효성 정보는, 상기 게이트 웨이가 상기 사용자 단말로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성되는 것일 수 있다.In addition, the validity information includes a limited data amount so that the access control server can discard the user network profile when a preset data capacity is provided according to the amount of data provided by the gateway to the user terminal. It may be composed.
또한, 상기 후방 게이트웨이의 서버 접속 포트는 동적 포트로 생성되어, 상기 후방 게이트웨이에서 상기 서버로 접속할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the server connection port of the rear gateway may be created as a dynamic port and updated and set each time the rear gateway connects to the server.
그리고, 상기 전방 게이트웨이의 사용자 단말 접속 포트는 동적 포트로 생성되어, 상기 전방 게이트웨이에서 사용자 단말로 접속할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the user terminal connection port of the forward gateway may be created as a dynamic port and updated and set each time the forward gateway connects to the user terminal.
본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법은, 서비스를 이용하는 사용자와 서비스를 제공하는 서버 사이에 게이트웨이를 통하여 데이터를 서로 교환함으로써, 게이트웨이 정보만이 사용자에게 제공되기 때문에, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 보호할 수 있는 효과가 있다.The data transmission method through gateway relay according to the present invention exchanges data through a gateway between a user using the service and a server providing the service. Since only gateway information is provided to the user, server information about the service being used This is effective in protecting against hacking as they are not exposed to users.
또한, 본 발명에 따르면 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리하고, 전용 프로토콜을 사용하여 정보를 암호화함으로써 외부로부터 서비스 서버로의 접근을 완벽하게 차단할 수 있는 효과가 있다. In addition, according to the present invention, data is processed by separating data channels and control channels, and information is encrypted using a dedicated protocol, thereby completely blocking access to the service server from the outside.
특히, 본 발명에 따르면 서킷 브레이크에서 서버들에 대한 상태를 체크하여 서버에 문제가 발생하면 문제가 발생한 서버 정보를 컨트롤 채널을 통해 전방 게이트웨이로 제공함으로써, 보다 효과적으로 서버의 정보 노출을 방지할 수 있는 효과가 있다. In particular, according to the present invention, by checking the status of servers during a circuit break and when a problem occurs in the server, information on the server in question is provided to the forward gateway through a control channel, thereby more effectively preventing exposure of server information. It works.
또한, 본 발명에 따르면 사용자의 서비스 이용 권한을 인증하는 기반이 되는 사용자 네트워크 프로파일을 동적으로 구성하고, 실시간으로 반영함으로써 실시간 보안 정책을 반영하여 더욱 효과적으로 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, the user network profile, which is the basis for authenticating the user's service use authority, is dynamically configured and reflected in real time, thereby reflecting the real-time security policy, which has the effect of more effectively protecting server information.
그리고, 본 발명에 따르면 조건(시간, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일의 사용을 통해서, 정보가 노출되더라도 기간이 지나면 사용이 불가능해 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, through the use of user network profiles that are differently created depending on conditions (time, session), even if information is exposed, it cannot be used after a period of time, which has the effect of safely protecting server information.
도 1은 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법을 실행하는 시스템의 블록도이다.
도 2는 본 발명의 시스템에 의하여 데이터를 전송하는 방법에 대한 순서를 각 장치별로 도시한 블록도이다.
도 3은 본 발명에 따른 사용자 네트워크 프로파일의 구성도이다.
도 4는 본 발명에 따른 컨트롤 채널을 통한 데이터의 흐름을 도시한 블록도이다.1 is a block diagram of a system implementing a data transmission method through gateway relay according to the present invention.
Figure 2 is a block diagram showing the procedure for transmitting data by the system of the present invention for each device.
Figure 3 is a configuration diagram of a user network profile according to the present invention.
Figure 4 is a block diagram showing the flow of data through a control channel according to the present invention.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 구현예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can be modified in various ways and have various implementation examples, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all transformations, equivalents, and substitutes included in the spirit and technical scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.
본 발명은 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 게이트웨이 중계를 통한 데이터 전송 방법에 관한 것이다.The present invention relays data between a user and a server through an intermediate gateway (GateWay), and processes the data by separating the data channel and the control channel, thereby preventing information exposure of the server and safely transmitting data through the gateway relay. It is about data transmission method.
이하에서는 본 발명의 동적 포트를 이용한 역방향 네트워크 접속 시스템에 대하여, 바람직한 구현예 및 첨부 도면을 참조하여 더욱 상세하게 설명한다. 이와 관련하여, 도 1은 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법을 실행하는 시스템의 블록도이고, 도 2는 본 발명의 시스템에 의하여 데이터를 전송하는 방법에 대한 순서를 각 장치별로 도시한 블록도이며, 도 3은 본 발명에 따른 사용자 네트워크 프로파일의 구성도이고, 도 4는 발명에 따른 컨트롤 채널을 통한 데이터의 흐름을 도시한 블록도이다.Hereinafter, the reverse network access system using a dynamic port of the present invention will be described in more detail with reference to a preferred implementation example and the accompanying drawings. In this regard, Figure 1 is a block diagram of a system executing the data transmission method through gateway relay according to the present invention, and Figure 2 shows the sequence of the data transmission method by the system of the present invention for each device. It is a block diagram, Figure 3 is a configuration diagram of a user network profile according to the present invention, and Figure 4 is a block diagram showing the flow of data through a control channel according to the invention.
먼저 도 1을 참조하면, 본 발명의 게이트웨이 중계를 통한 데이터 전송 방법은, 사용자 단말(100)과, 게이트웨이(200)와, 서비스 서버(300)와, 사용자 관리서버(400)와, 데이터 베이스(500)를 포함하는 데이터 전송 시스템에 의하여 실행될 수 있다.First, referring to Figure 1, the data transmission method through gateway relay of the present invention includes a
상기 사용자 단말(100)은, 사용자가 상기 게이트웨이(200)에 서비스를 요청하여 서버로부터 제공되는 서비스를 이용하기 위한 기기이다. 사용자 단말(100)의 예로는 PC(Personal Computer)나 모바일 폰 등을 예로 들 수 있으나, 이에 한정되는 것은 아니며 유/무선 통신망을 통하여 서비스 운영자의 서버와 접속 가능한 다양한 통신 기기들을 포함할 수 있다.The
상기 게이트웨이(200)는 사용자 단말(100)과 서버(300)의 직접 연결을 배제하여 서버(300)에 대한 정보가 사용자에게 직접 노출되는 것을 방지하면서, 서버(300)에서 제공되는 데이터를 사용자 단말(100)로 중계하는 기능을 수행하기 위한 것이다. The gateway 200 excludes direct connection between the
본 발명에 있어서, 상기 게이트웨이(200)는, 상기 사용자 단말(100)과의 접속 및 인증 기능을 수행하는 전방 게이트웨이(210, Front Access Gateway)와 서버와의 접속 기능을 수행하는 후방 게이트웨이(220, Back Access Gateway)를 포함하여 구성되고, 이때 상기 전방 게이트웨이(210)는 인코더(211)를 포함하여 구성되고, 상기 후방 게이트웨이(220)는 디코더(221) 및 서킷 브레이커(700)를 포함하여 구성되게 되는데, 이들의 세부 기능에 대하여는 뒤에서 보다 상세하게 설명한다.In the present invention, the gateway 200 includes a front gateway 210 (Front Access Gateway) that performs a connection and authentication function with the
상기 서비스 서버(300)는 사용자가 이용하고자 하는 서비스를 제공하기 위한 서버로서, 보안성이 요구되는 다수의 서버들이 사용자가 이용하는 서비스 종류에 따라 집합적으로 포함하여 구성될 수 있다.The
상기 사용자 관리서버(400, API/Management Server)는 상기 게이트웨이(200) 및 데이터 베이스(500)와 연결되어 사용자에 대한 정보를 관리하기 위한 서버로서, 후술할 사용자 네트워크 프로파일(600)의 생성 및 변경 기능을 수행하고 이에 필요한 데이터를 관리한다. The user management server 400 (API/Management Server) is a server connected to the gateway 200 and the database 500 to manage information about users, and creates and changes a
상기 데이터 베이스(500)는 본 발명의 서비스를 제공하는데 필요한 다양한 데이터를 저장 및 업데이트하여 상기 사용자 관리서버(400)에 제공하는 기능을 수행한다.The database 500 performs the function of storing and updating various data necessary to provide the service of the present invention and providing the information to the user management server 400.
본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법은, 데이터를 처리함에 있어서 데이터의 전송 채널을 컨트롤 채널(B)과 정보 채널(A)의 2개의 채널로 분리하여 데이터를 처리함으로써, 외부에서 컨트롤 채널(B)에 대한 접근을 제한하고 서버에 대한 보안을 더욱 강화할 수 있게 되는 것을 발명의 기술적 특징의 하나로 한다.The data transmission method through gateway relay according to the present invention separates the data transmission channel into two channels, a control channel (B) and an information channel (A), in processing data, thereby processing the data from the outside through the control channel. One of the technical features of the invention is that access to (B) can be restricted and server security can be further strengthened.
즉, 본 발명에 따르면 본 발명에서 처리되는 데이터에 대하여 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분하고, 컨트롤 데이터는 컨트롤 채널(B)를 통하여 전송되고, 정보 데이터는 정보 채널(A)을 통하여 각각 분리되어 전송되게 된다.That is, according to the present invention, the data processed in the present invention is divided into control data and information data according to the execution function of the data, and the control data is transmitted through the control channel (B), and the information data is transmitted through the information channel (A). Each is transmitted separately.
이때, 상기 컨트롤 데이터는, 사용자 단말(100)과 서비스 서버(300)의 연결 상태 설정에 대한 데이터, 서비스 서버(300) 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성될 수 있다.At this time, the control data includes data on the connection state settings between the
그리고, 정보 데이터는, 사용자 단말(100)의 서비스 요청 내용이 포함된 데이터와, 서비스 서버(300)가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성될 수 있다.Additionally, the information data may include data containing the service request contents of the
이에 의하여 본 발명에 따르면, 사용자 단말(100)과 서비스 서버(300) 사이의 일반적인 정보 내용에 대한 데이터는 정보 채널(A)을 통하여 전송하고, 사용자 단말(100)과 서비스 서버(300) 사이의 접속과 관련되는 데이터는 컨트롤 채널(B)을 통하여 전송함으로써, 서비스 서버(300)에 대한 정보가 외부로 누출되는 것을 방지할 수 있게 된다.Accordingly, according to the present invention, data on general information contents between the
이하에서는 도 2 내지 도 4를 참조하여 본 발명에 따른 게이트웨이 중계를 통한 데이터 전송 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, the data transmission method through gateway relay according to the present invention will be described in more detail with reference to FIGS. 2 to 4.
먼저 사용자가 사용자 단말(100)을 이용하여 전방 게이트웨이(210)로 서비스 요청 데이터를 전송하여 서비스 서버(300)에 대한 서비스를 요청한다(S110). 이어서 전방 게이트웨이(210)는 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증(S211, S212)을 실행한다.First, the user requests a service from the
여기에서, 상기 서비스 요청 데이터에는, 사용자 단말(100)을 사용하는 사용자 개인에 관한 인적 정보인 사용자 정보와, 사용자 단말(100) 기기 자체의 고유 정보인 디바이스 정보와, 서비스 서버와의 접속에 관한 정보인 서버접속 정보를 포함할 수 있다. Here, the service request data includes user information, which is personal information about the individual user using the
상기 사용자 정보로는 예를 들어 사용자의 이름, 소속, 직급 등의 정보를 포함할 수 있다. 상기 디바이스 정보로는 기기 고유 아이디를 포함할 수 있다. 또한 상기 서버접속 정보로는 사용자가 이용하고자 하는 서비스의 내용 등을 포함할 수 있다.The user information may include, for example, information such as the user's name, affiliation, and position. The device information may include a device unique ID. Additionally, the server connection information may include the contents of the service the user wishes to use.
상기와 같은 서비스 요청 데이터를 수신한 전방 게이트웨이(210)는, 사용자 네트워크 프로파일(600)을 시반으로 사용자가 서비스를 이용할 정당한 자격이 있는지 여부에 대한 인증을 실행한다.The
여기에서 상기 사용자 네트워크 프로파일(600)은, 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken, 610)와, 사용자 단말(100)이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken, 620)와, 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken, 630)를 포함하여 구성될 수 있다.Here, the
이때, 상기 사용자 인증정보(AuthToken, 610)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 암호화된 형태로 생성하게 된다. At this time, the user authentication information (AuthToken, 610) is coded using the user ID, access time, and unique value for each user and is generated in an encrypted form.
또한, 상기 디바이스 인증정보(DeviceToken, 620)는, PC의 경우 CPU Id, HDD Id, MAC Address 등을 이용하여 암호화된 형태로 생성하게 되며, 기타 기기의 경우 기기 고유의 아이디를 이용하여 암호화된 형태로 생성하게 된다. In addition, the device authentication information (DeviceToken, 620) is created in an encrypted form using CPU Id, HDD Id, MAC Address, etc. for PCs, and in encrypted form using the device's unique ID for other devices. It is created with
또한, 상기 서버접속 인증정보(AccessToken, 630)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 암호화된 형태로 생성하게 된다.In addition, the server access authentication information (AccessToken, 630) is coded using the service ID, user information, authentication time, and unique key for each service server and is generated in an encrypted form.
이에 의하여 본 발명에 따르면, 사용자, 서버, 단말들에 대한 정보를 암호화한 형태로 송수신하고, 인증된 사용자(AuthToken)가 인증된 디바이스(DeviceToken)에서 서버에 대한 접근 권한(AccessToken)을 가지고 있어야만 접속이 가능하기 때문에, 서비스 이용자격이 없는 이용하는 사용자가 서버에 접근하는 것을 원천적으로 차단할 수 있게 된다.Accordingly, according to the present invention, information about users, servers, and terminals is transmitted and received in encrypted form, and access is only possible when an authenticated user (AuthToken) has access rights (AccessToken) to the server from an authenticated device (DeviceToken). Because this is possible, it is possible to fundamentally block users who are not eligible to use the service from accessing the server.
상기와 같이 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이(210)의 인코더(211)에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하고(S213), 전방 게이트웨이(210)는 인코딩된 데이터를 후방 게이트웨이(220)로 전송하게 된다(S214).When the user's service use eligibility is verified as described above, the encoder 211 of the
이어서, 후방 게이트웨이(220)는 상기 인코딩된 데이터를 디코더(221)에 의해 디코딩(decoding)하여(S221, S222) 서비스 서버(300)로 서비스를 요청하고(S223), 서비스 서버(300)에서 제공되는 서비스 제공 데이터를 후방 게이트웨이(220)가 중계하여 전방 게이트웨이(210)를 통해 사용자 단말(100)로 제공하게 된다. Subsequently, the
이때, 본 발명에 따르면 상기 전방 게이트웨이(210)와 후방 게이트웨이(220) 사이의 데이터 전송은, 사용자 별로 생성된 고유의 채널을 통하여 수행되게 된다. At this time, according to the present invention, data transmission between the
이에 의하여 발명은, 전용 프로토콜을 사용하여 정보를 암호화하고, 사용자 별로 독립된 채널을 생성하여 사용자와 관련된 모든 데이터를 전송함으로써, 외부로부터 서비스 서버로의 접근을 완벽하게 차단할 수 있는 효과가 있다.Accordingly, the invention has the effect of completely blocking access to the service server from the outside by encrypting information using a dedicated protocol and creating an independent channel for each user to transmit all data related to the user.
또한, 후방 게이트웨이(220)의 서킷 브레이커(700)는, 후방 게이트웨이(220)를 통해 전방 게이트웨이(210)에 접속되는 컨트롤 채널(B)을 생성하고, 상기 컨트롤 채널(B)에 대한 접근을 제어할 수 있다.In addition, the circuit breaker 700 of the
그리고, 상기 서킷 브레이커(700)는, 서비스 서버(300)의 상태를 점검하여, 컨트롤 채널(B)을 통해 전방 게이트웨이(210)로 서비스 서버(300)의 상태 정보를 전송할 수 있다. Additionally, the circuit breaker 700 may check the status of the
즉, 서킷 브레이커(700)에서 서버들에 대한 상태를 체크하여 서버에 문제가 발생하면, 문제가 발생한 서버에 대한 정보를 컨트롤 채널(B)을 통해 전방 게이트웨이(210)로 상태 정보를 제공하고, 전방 게이트웨이(210)는 사용자 단말(100)의 요청시 서버의 상태를 확인하여 응답을 생성하게 된다.That is, the circuit breaker 700 checks the status of the servers and, if a problem occurs with the server, provides status information about the problem server to the
여기에서, 서버의 상태 정보에는 서버의 운용상태 예를 들어 접속불가 등의 장애 발생 유무, 데이터 양의 과도로 서버에 과부하 발생 우려에 대한 정보 등을 포함할 수 있다.Here, the status information of the server may include the operating status of the server, for example, whether a failure such as inability to connect has occurred, and information about the risk of overloading the server due to an excessive amount of data.
이를 도 4를 참조하여 설명하면, 서비스 서버(300)로부터 서버 상태 정보와 송수신 데이터를 수신한(S220a, S220c) 서킷 브레이커(700)는, 상기 정보가 접속 제한 요건(S220b) 및 데이터 제한 요건(S220d)을 만족하는 경우, 접속 제한 대상을 선별한 후(S220e), 접속 제한 명령을 전방 게이트웨이(210)로 전송하며(S220f), 접속 제한 명령을 수신한(S210a) 전방 게이트웨이(210)는 접속 제한을 실행하게 된다(S210b). If this is explained with reference to FIG. 4, the circuit breaker 700, which has received server status information and transmission/reception data from the service server 300 (S220a, S220c), determines that the information is the access restriction requirement (S220b) and the data restriction requirement (S220b). If S220d) is satisfied, the access restriction target is selected (S220e), a connection restriction command is transmitted to the forward gateway 210 (S220f), and the
한편, 본 발명에 따르면 상기 전방 게이트웨이(210)는 사용자 단말(100)과 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 전방 게이트웨이(210)에서 사용자 단말(100)로 연결할 때마다 갱신되어 설정될 수 있다. Meanwhile, according to the present invention, the
또한, 상기 후방 게이트웨이(220)는 서비스 서버(300)와 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 후방 게이트웨이(220)에서 서비스 서버(300)로 연결할 때마다 갱신되어 설정될 수 있다.Additionally, the
이에 의하여 본 발명에 따르면, 전방 게이트웨이(210)와 사용자 단말(100) 및 후방 게이트웨이(220)와 서비스 서버(300)를 연결할 때마다 별도의 동적 포트가 사용되기 때문에, 게이트웨이(200)에 대한 해킹 및 정보 유출을 차단하여 안전하게 보호할 수 있게 된다.Accordingly, according to the present invention, a separate dynamic port is used each time the
본 발명의 일 구현예에 따르면, 상기 사용자 네트워크 프로파일(600)의 서버접속 인증정보(630)는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되어 구성될 수 있다.According to one implementation of the present invention, the server
이에 의하여, 서비스 이용시 만료 시간에 대한 통제를 통하여 허용된 시간만큼 서비스를 이용하며 지속적으로 변경되기 때문에 정보가 노출되더라도 일시적인 이용만이 가능하게 된다.As a result, the service is used for the allowed time through control of the expiration time and is continuously changed, so even if the information is exposed, only temporary use is possible.
특히 본 구현예에 따르면 상기 만료 시간은, 상기 서비스 서버의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정될 수 있다. 예를 들어 기밀이 중요시되는 서버에 접속하여 서비스를 이용하는 경우에는 서비스 이용 시간을 짧게 설정하여 수시로 사용자 인증절차를 진행함으로써, 보안이 중요시 되는 서비스 서버에 대한 정보 유출을 최소화할 수 있게 된다.In particular, according to this implementation, the expiration time may be set to be shorter according to the security level of the service server, as the security level is higher. For example, when using a service by connecting to a server where confidentiality is important, the service usage time is set short and the user authentication process is performed frequently, thereby minimizing information leakage to the service server where security is important.
본 발명의 또 다른 구현예에 따르면, 상기 사용자 네트워크 프로파일(600)은, 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되어 구성될 수 있다.According to another implementation of the present invention, the
이때 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보일 수 있다. 상기 세션 정보는 예를 들어 사용자가 게이트웨이(200)에 접속할 때마다 새로이 설정되어 갱신될 수 있다.At this time, the validity information may be session information indicating a connection session. For example, the session information may be newly set and updated each time the user accesses the gateway 200.
또한 상기 유효성 정보는, 게이트웨이(200)가 상기 사용자 단말(100)로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 게이트웨이(200)가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성될 수 있다. 즉, 사용자가 소정의 데이터를 제공받은 후에는 접속이 중단되고 새로이 사용자가 인증요청 정보를 입력하여야 접속이 계속 연결될 수 있다. In addition, the validity information is limited data so that the gateway 200 can discard the corresponding user network profile when a preset data capacity is provided according to the amount of data provided by the gateway 200 to the
이에 의하여, 본 발명에 따르면 조건(시간, 데이터량, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일을 이용하여 서버에의 접속을 통제하기 때문에, 서버 정보가 노출되더라도 설정된 조건 즉, 설정된 시간이나 데이터량 또는 세션이 경과하면 서버에의 접속이 불가능하게 되므로, 서버 정보가 일시적으로 노출되더라도 지속적인 사용이 불가능하게 된다.Accordingly, according to the present invention, access to the server is controlled using a user network profile that is created differently depending on conditions (time, data amount, session), so even if the server information is exposed, the set conditions, that is, the set time or data amount, are controlled. Alternatively, when the session elapses, access to the server becomes impossible, so continuous use becomes impossible even if server information is temporarily exposed.
이상에서 본 발명의 바람직한 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다. Although the preferred embodiments of the present invention have been described above, those skilled in the art can add, change, delete or add components without departing from the spirit of the present invention as set forth in the patent claims. The present invention may be modified and changed in various ways, and this will also be included within the scope of rights of the present invention.
예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.For example, each component described as unitary may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form. The scope of the present invention is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present invention. do.
본 발명은 사용자와 서버 간의 데이터를 중간의 게이트웨이(GateWay)를 통하여 중계하고, 데이터 채널과 컨트롤 채널을 분리하여 데이터를 처리함으로써, 서버의 정보 노출을 방지하고 안전하게 데이터를 전송할 수 있는 데이터 전송 방법에 관한 것으로, 본 발명에 따르면, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 보호할 수 있는 효과가 있다.The present invention provides a data transmission method that prevents information exposure of the server and transmits data safely by relaying data between the user and the server through an intermediate gateway and processing the data by separating the data channel and the control channel. Regarding this, according to the present invention, server information about the service being used is not exposed to the user, which has the effect of protecting against hacking.
100 : 사용자 단말
200 : 게이트웨이
210 : 전방 게이트웨이
211 : 안코더
220 : 후방 게이트웨이
300 : 서비스 서버
400 : 사용자 관리서버
500 : 데이터베이스
600 : 사용자 네트워크 프로파일 610 : 사용자 인증정보
620 : 디바이스 인증정보
630 : 서버접속 인증정보
700 : 서킷 브레이커
A : 정보 채널
B : 컨트롤 채널
100: user terminal 200: gateway
210: Front gateway 211: Encoder
220: rear gateway 300: service server
400: User management server 500: Database
600: User network profile 610: User authentication information
620: Device authentication information 630: Server connection authentication information
700: Circuit Breaker
A: Information channel
B: control channel
Claims (18)
(A) 상기 사용자 단말이 서비스 요청 데이터를 상기 전방 게이트웨이로 전송하여 상기 서비스 서버에 대한 서비스를 요청하는 단계;
(B) 상기 전방 게이트웨이가 상기 서비스를 요청한 사용자가 서비스를 이용할 자격이 있는지 여부를 판단하는 사용자 인증 단계;
(C) 사용자의 서비스 이용자격이 인증되면 상기 전방 게이트웨이에서 상기 서비스 요청 데이터를 전용 프로토콜에 상응하도록 인코딩(encoding)하는 단계;
(D) 상기 전방 게이트웨이가 상기 인코딩된 데이터를 상기 후방 게이트웨이로 전송하는 단계;
(E) 상기 후방 게이트웨이가 상기 인코딩된 데이터를 디코딩(decoding)하여 상기 서비스 서버로 서비스를 요청하는 단계; 및
(F) 상기 서비스 서버에서 제공되는 서비스 제공 데이터를 상기 후방 게이트웨이가 중계하여 상기 전방 게이트웨이를 통해 상기 사용자 단말로 제공하는 단계;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
The user terminal and the service through the relay of the gateway, which includes the front access gateway that performs the connection and authentication function with the user terminal and the back access gateway that performs the connection function with the service server. As a method of transmitting data between servers,
(A) the user terminal transmitting service request data to the forward gateway to request a service from the service server;
(B) a user authentication step in which the forward gateway determines whether the user who requested the service is eligible to use the service;
(C) when the user's service usage eligibility is verified, encoding the service request data at the forward gateway to correspond to a dedicated protocol;
(D) the forward gateway transmitting the encoded data to the rear gateway;
(E) the rear gateway decoding the encoded data and requesting a service from the service server; and
(F) a step of the rear gateway relaying the service provision data provided by the service server and providing the service provision data to the user terminal through the forward gateway.
상기 서비스 요청 데이터 및 상기 서비스 제공 데이터는 각각, 데이터의 실행 기능에 따라 컨트롤 데이터와 정보 데이터로 구분되며,
상기 컨트롤 데이터는 컨트롤 채널를 통하여 전송되고, 상기 정보 데이터는 정보 채널을 통하여 각각 분리되어 전송됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 1,
The service request data and the service provision data are respectively divided into control data and information data depending on the execution function of the data,
A data transmission method through a gateway relay, characterized in that the control data is transmitted through a control channel, and the information data is transmitted separately through an information channel.
상기 컨트롤 데이터는,
사용자 단말과 서비스 서버의 연결 상태 설정에 대한 데이터, 서비스 서버 운영 상태 정보를 포함하는 데이터, 데이터 전송 차단 및 데이터 검사에 관한 데이터를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 2,
The control data is,
A data transmission method through a gateway relay, characterized in that it includes data on connection state settings between a user terminal and a service server, data including service server operation state information, and data on data transmission blocking and data inspection.
상기 정보 데이터는,
사용자 단말의 서비스 요청 내용이 포함된 데이터와, 서비스 서버가 제공하는 서비스 내용이 포함된 데이터를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to paragraph 3,
The information data is,
A data transmission method through a gateway relay, characterized in that it includes data containing the service request contents of the user terminal and data containing the service contents provided by the service server.
상기 전방 게이트웨이는 송신 데이터의 암호화를 위한 인코더를 포함하여 구성되고,
상기 후방 게이트웨이는 수신 데이터의 복호화를 위한 디코더와, 상기 컨트롤 채널을 생성하고 상기 컨트롤 채널을 통해 상기 컨트롤 데이터를 송수신하는 서킷 브레이커(Circuit Breaker)를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 3 or 4,
The forward gateway is configured to include an encoder for encryption of transmission data,
The rear gateway is configured to include a decoder for decoding received data, and a circuit breaker for generating the control channel and transmitting and receiving the control data through the control channel. method.
상기 서킷 브레이커는,
상기 후방 게이트웨이를 통해 상기 전방 게이트웨이에 접속되는 상기 컨트롤 채널을 생성하고, 상기 컨트롤 채널에 대한 접근을 제어함을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 5,
The circuit breaker is,
A data transmission method through gateway relay, characterized in that the control channel connected to the front gateway is created through the rear gateway, and access to the control channel is controlled.
상기 서킷 브레이커는,
상기 서비스 서버의 상태를 점검하여, 상기 컨트롤 채널을 통해 상기 전방 게이트웨이로 상기 서비스 서버의 상태 정보를 전송함을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 6,
The circuit breaker is,
A data transmission method through gateway relay, characterized in that the status of the service server is checked and the status information of the service server is transmitted to the forward gateway through the control channel.
상기 전방 게이트웨이와 후방 게이트웨이 사이의 데이터 전송은,
사용자 별로 생성된 고유의 채널을 통하여 수행됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
In clause 7,
Data transmission between the front gateway and the rear gateway is,
A data transmission method through gateway relay, characterized in that it is performed through a unique channel created for each user.
상기 서비스 요청 데이터는,
상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와;
상기 사용자 단말 자체의 고유 정보인 디바이스 정보와;
상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The service request data is,
User information, which is information about the user using the user terminal;
Device information that is unique information of the user terminal itself;
A data transmission method through a gateway relay, comprising: server connection information, which is information regarding connection to the service server.
상기 사용자 인증은 사용자 네트워크 프로파일을 기반으로 수행되고,
상기 사용자 네트워크 프로파일은,
상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와;
상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와;
상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The user authentication is performed based on the user network profile,
The user network profile is,
User authentication information (AuthToken) that proves that the user is an authenticated user;
Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device;
A data transmission method through a gateway relay, comprising: server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.
상기 사용자 인증정보(AuthToken)는,
사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The user authentication information (AuthToken) is,
A method of transmitting data through a gateway relay, characterized in that it is coded and generated using user ID, access time, and unique values for each user.
상기 디바이스 인증정보(DeviceToken)는,
기기 고유의 아이디를 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The device authentication information (DeviceToken) is,
A data transmission method through gateway relay, characterized in that it is coded and generated using the device's unique ID.
상기 서버접속 인증정보(AccessToken)는,
서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The server access authentication information (AccessToken) is,
A data transmission method through gateway relay, characterized in that it is coded and generated using service ID, user information, authentication time, and unique key for each service server.
상기 서버접속 인증정보는,
서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 13,
The server connection authentication information is,
A data transmission method through a gateway relay, characterized in that it includes an expiration time (ExpireDate), which is information about the effective time of server connection.
상기 사용자 네트워크 프로파일은,
상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 10,
The user network profile is,
A data transmission method through a gateway relay, characterized in that validity information indicating whether the user network profile is valid is included.
상기 유효성 정보는,
접속 세션을 표시하는 세션 정보임을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 15,
The validity information is,
A data transmission method through a gateway relay, characterized as session information indicating an access session.
상기 후방 게이트웨이의 서버 접속 포트는 동적 포트로 생성되어,
상기 후방 게이트웨이에서 상기 서버로 접속할 때마다 갱신되어 설정됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The server connection port of the rear gateway is created as a dynamic port,
A data transmission method through a gateway relay, characterized in that the setting is updated each time the rear gateway connects to the server.
상기 전방 게이트웨이의 사용자 단말 접속 포트는 동적 포트로 생성되어,
상기 전방 게이트웨이에서 사용자 단말로 접속할 때마다 갱신되어 설정됨을 특징으로 하는 게이트웨이 중계를 통한 데이터 전송 방법.
According to clause 8,
The user terminal access port of the forward gateway is created as a dynamic port,
A data transmission method through a gateway relay, characterized in that the data transmission method is updated and set every time the forward gateway connects to the user terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220059068A KR20230159110A (en) | 2022-05-13 | 2022-05-13 | Data transmitting method via gateway relaying |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220059068A KR20230159110A (en) | 2022-05-13 | 2022-05-13 | Data transmitting method via gateway relaying |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230159110A true KR20230159110A (en) | 2023-11-21 |
Family
ID=88982161
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220059068A KR20230159110A (en) | 2022-05-13 | 2022-05-13 | Data transmitting method via gateway relaying |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230159110A (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100951716B1 (en) | 2007-11-28 | 2010-04-09 | 남기원 | Auto security system using of comparing data and method of the same |
KR101513195B1 (en) | 2014-07-15 | 2015-04-17 | (주) 엠앤와이즈 | Mail forwarding method for enhancing security using gateway sever |
-
2022
- 2022-05-13 KR KR1020220059068A patent/KR20230159110A/en not_active Application Discontinuation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100951716B1 (en) | 2007-11-28 | 2010-04-09 | 남기원 | Auto security system using of comparing data and method of the same |
KR101513195B1 (en) | 2014-07-15 | 2015-04-17 | (주) 엠앤와이즈 | Mail forwarding method for enhancing security using gateway sever |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9781114B2 (en) | Computer security system | |
Ertaul et al. | Security Challenges in Cloud Computing. | |
US8776208B2 (en) | Incorporating network connection security levels into firewall rules | |
US7644434B2 (en) | Computer security system | |
US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
US20070143408A1 (en) | Enterprise to enterprise instant messaging | |
US20160294808A1 (en) | Authentication of remote host via closed ports | |
US20240171576A1 (en) | Identity proxy and access gateway | |
KR101858207B1 (en) | System for security network | |
CN117081790A (en) | File access and uploading method, system and related equipment based on zero trust gateway | |
CN114915427B (en) | Access control method, device, equipment and storage medium | |
KR101404537B1 (en) | A server access control system by automatically changing user passwords and the method thereof | |
US8132245B2 (en) | Local area network certification system and method | |
KR20230159110A (en) | Data transmitting method via gateway relaying | |
KR102627397B1 (en) | Reverse access system for network using dynamic port | |
CN114254352A (en) | Data security transmission system, method and device | |
KR102664208B1 (en) | Service providing method based on user network profile | |
KR20240108010A (en) | Service providing system using one time user access token | |
KR20240108011A (en) | Service providing system based on user network profile | |
KR20230155197A (en) | Service providing method of the server via gateway | |
WO2009005698A1 (en) | Computer security system | |
KR20240076874A (en) | Server connection control method based on user network profile | |
KR20240076873A (en) | Approved contents providing method based on user network profile | |
KR102167575B1 (en) | Method for blocking loop around connection between servers utilizing imaginary accoun | |
CN117395014A (en) | Secure data exchange system, secure data exchange method, electronic device, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal |