KR20240076874A - Server connection control method based on user network profile - Google Patents

Server connection control method based on user network profile Download PDF

Info

Publication number
KR20240076874A
KR20240076874A KR1020220158187A KR20220158187A KR20240076874A KR 20240076874 A KR20240076874 A KR 20240076874A KR 1020220158187 A KR1020220158187 A KR 1020220158187A KR 20220158187 A KR20220158187 A KR 20220158187A KR 20240076874 A KR20240076874 A KR 20240076874A
Authority
KR
South Korea
Prior art keywords
user
server
network profile
access control
information
Prior art date
Application number
KR1020220158187A
Other languages
Korean (ko)
Inventor
김경식
배문환
전원배
Original Assignee
주식회사 어썸블리
Filing date
Publication date
Application filed by 주식회사 어썸블리 filed Critical 주식회사 어썸블리
Publication of KR20240076874A publication Critical patent/KR20240076874A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

본 발명은 (A) 사용자 단말에서 게이트웨이(Gateway)로 서비스를 요청하는 단계; (B) 상기 게이트웨이에서 접속제어 서버(Management Server)로 사용자가 서비스를 이용하는데 요구되는 인증인 사용자 네트워크 프로파일을 요청하는 단계; (C) 상기 접속제어 서버에서 사용자 네트워크 프로파일을 생성하여 상기 게이트웨이로 전송하는 단계; (D) 상기 게이트웨이에서 서비스 서버에 접속하는 단계; (E) 상기 서비스 서버에서 게이트웨이로 콘텐츠를 제공하는 단계; 및 (F) 상기 게이트웨이에서 상기 사용자 단말로 콘텐츠를 전송하는 단계;를 포함하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것으로, 본 발명은 서비스 서버의 주소를 노출하지 않고 서비스를 제공할 수 있는 효과가 있다.The present invention includes the steps of (A) requesting a service from a user terminal to a gateway; (B) requesting a user network profile, which is authentication required for the user to use the service, from the gateway to the access control server (Management Server); (C) creating a user network profile in the access control server and transmitting it to the gateway; (D) connecting to a service server from the gateway; (E) providing content from the service server to the gateway; and (F) transmitting content from the gateway to the user terminal. The present invention relates to a server access control method based on a user network profile, which has the effect of providing a service without exposing the address of the service server. There is.

Description

사용자 네트워크 프로파일 기반 서버접속 제어 방법{SERVER CONNECTION CONTROL METHOD BASED ON USER NETWORK PROFILE} Server access control method based on user network profile {SERVER CONNECTION CONTROL METHOD BASED ON USER NETWORK PROFILE}

본 발명은 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것으로, 보다 상세하게는 사용자 네트워크 프로파일을 기반으로 인증된 사용자에 대해서만 게이트웨이(Gate Way)를 이용하여 서비스를 제공함으로써, 사용자에게 직접 서비스 서버의 주소를 노출하지 않고 서비스를 제공할 수 있는 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것이다.The present invention relates to a method of controlling server access based on a user network profile. More specifically, the present invention relates to a method of controlling server access based on a user network profile, by providing a service using a gateway only to users authenticated based on the user network profile, thereby providing the address of the service server directly to the user. This relates to a server access control method based on user network profiles that can provide services without exposing the server.

최근 정보통신기술의 발달로 말미암아 데이터 통신망을 매개로 하여 다양한 분야에 대한 정보를 적어도 하나 이상의 서비스 제공 서버를 통하여 다수의 가입자 측으로 실시간 제공하는 정보제공기술의 개발이 활발하게 진행중이다. Due to the recent development of information and communication technology, the development of information provision technology that provides information on various fields in real time to a large number of subscribers through at least one service provision server through a data communication network is actively underway.

한편, 사용자가 컴퓨터 단말기를 이용하여 상기 서비스 제공 서버에 접속해 통신을 주고받고자 할 때에 상기 서비스 제공 서버는 보호대상 서버로서 보안서버를 통해 보호되는 보안시스템이 적용되는 정보보안기술의 개발 또한 활발하게 진행 중이다. Meanwhile, when a user accesses the service providing server using a computer terminal and wishes to exchange communications, the service providing server is a server to be protected, and information security technology is actively being developed to which a security system protected by a security server is applied. Is in progress.

또한, 기업 또는 금융기관에서 사용되는 사내 정보 서버 등에 대한 안전한 접근을 위해서는 사용자별, 업무 또는 역할별로 세세하게 권한을 제한하고 우회접속(loop around connection)이 차단되어야 한다. Additionally, for safe access to in-house information servers used by companies or financial institutions, permissions must be restricted in detail by user, task, or role, and loop around connections must be blocked.

일반적으로 사용자가 SSH(secure shell), TELNET, RDP(remote desktop protocol)와 같은 특정 프로토콜로 접속 요청을 하는 경우에는 통상 그러한 프로토콜의 접속 포트가 정적으로 정해져 있고, 그러한 접속 포트로 접속이 이루어진다. In general, when a user requests a connection using a specific protocol such as SSH (secure shell), TELNET, or RDP (remote desktop protocol), the connection port for that protocol is usually statically determined, and the connection is made through that connection port.

그런데 이러한 통상의 디폴트 포트로 접속하는 경우에는 포트스캐닝이나 핑(PING)을 이용하는 스캐닝을 통한 해킹에 취약하다는 문제점을 가지고 있다. However, when connecting to this normal default port, there is a problem in that it is vulnerable to hacking through port scanning or scanning using PING.

특히, 복수의 서비스 서버 중 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 가능하다는 문제점도 발생하고 있었다. In particular, after connecting to a predetermined service server among a plurality of service servers, there has been a problem that a bypass connection is possible from the predetermined service server to another service server.

특허문헌 1 : 대한민국 등록특허공보 제10-0951716호(2010.03.31)Patent Document 1: Republic of Korea Patent Publication No. 10-0951716 (2010.03.31) 특허문헌 2 : 대한민국 등록특허공보 제10-1513195호(2015.04.17)Patent Document 2: Republic of Korea Patent Publication No. 10-1513195 (2015.04.17)

본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 서비스를 이용하는 사용자에 대한 네트워크 프로파일과 게이트웨이를 이용하여 서비스 서버의 주소를 노출하지 않고 정보통신 서비스를 제공할 수 있는 서버접속 제어 방법을 제공하고자 하는 것이다.The present invention is intended to solve the problems of the prior art as described above. The purpose of the present invention is to provide information and communication services without exposing the address of the service server by using the network profile and gateway for users using the service. The goal is to provide a server access control method.

본 발명의 또 하나의 목적은 기존의 방화벽(FireWall), VPN 등 보안장비들과 관계없이 작동하며, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 불가능한 서버접속 제어 방법을 제공하고자 하는 것이다.Another purpose of the present invention is to provide a server access control method that operates regardless of security equipment such as existing firewalls and VPNs and does not allow bypass access from a given service server to another service server. will be.

상기와 같은 목적을 달성하기 위한 본 발명의 하나의 양상은, (A) 사용자 단말에서 게이트웨이(Gateway)로 서비스를 요청하는 단계; (B) 상기 게이트웨이에서 접속제어 서버(Management Server)로 사용자가 서비스를 이용하는데 요구되는 인증인 사용자 네트워크 프로파일을 요청하는 단계; (C) 상기 접속제어 서버에서 사용자 네트워크 프로파일을 생성하여 상기 게이트웨이로 전송하는 단계; (D) 상기 게이트웨이에서 서비스 서버에 접속하는 단계; (E) 상기 서비스 서버에서 게이트웨이로 콘텐츠를 제공하는 단계; 및 (F) 상기 게이트웨이에서 상기 사용자 단말로 콘텐츠를 전송하는 단계;를 포함하고, 상기 단계 (D)는, 보안등급별로 구분된 복수의 보안등급 채널 중 사용자 네트워크 프로파일에 따른 사용자 보안등급에 대응하는 보안등급 채널을 할당하여 해당 보안등급 채널을 통해 접속이 수행됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것이다.One aspect of the present invention for achieving the above object is (A) requesting a service from a user terminal to a gateway; (B) requesting a user network profile, which is authentication required for the user to use the service, from the gateway to the access control server (Management Server); (C) creating a user network profile in the access control server and transmitting it to the gateway; (D) connecting to a service server from the gateway; (E) providing content from the service server to the gateway; and (F) transmitting content from the gateway to the user terminal, wherein step (D) includes transmitting content corresponding to the user security level according to the user network profile among a plurality of security level channels divided by security level. This relates to a server access control method based on a user network profile, characterized in that a security level channel is assigned and connection is performed through the corresponding security level channel.

본 발명의 일 구현예에 따른 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 있어서, 상기 단계 (B)는, 상기 게이트웨이가 상기 사용자 단말로부터 전송된 서비스 요청 정보를 상기 접속제어 서버로 전송하여 사용자 네트워크 프로파일 제공을 요청함으로써 수행되는 것일 수 있다.In the user network profile-based server access control method according to an embodiment of the present invention, the step (B) involves the gateway transmitting service request information transmitted from the user terminal to the access control server to provide a user network profile. It may be performed by requesting .

또한, 상기 서비스 요청 정보는, 상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와; 상기 사용자 단말 자체의 고유 정보인 디바이스 정보와; 상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성되는 것일 수 있다.Additionally, the service request information includes user information, which is information about a user using the user terminal; Device information that is unique information of the user terminal itself; It may be configured to include server connection information, which is information about connection to the service server.

그리고, 상기 단계 (C)는, 상기 접속제어 서버가 상기 서비스 요청 정보에 포함된 정보를 데이터 베이스에 저장된 정보와 비교하여 사용자 네트워크 프로파일을 생성하는 것일 수 있다.And, in step (C), the access control server may compare information included in the service request information with information stored in a database to create a user network profile.

또한, 상기 사용자 네트워크 프로파일은, 상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와; 상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와; 상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성되는 것일 수 있다.Additionally, the user network profile includes user authentication information (AuthToken) that proves that the user is an authenticated user; Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device; It may be configured to include server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.

그리고, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the user authentication information (AuthToken) may be generated by coding using the user ID, access time, and unique value for each user.

또한, 상기 디바이스 인증정보(DeviceToken)는, 기기 고유의 아이디를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the device authentication information (DeviceToken) may be generated by coding using the device's unique ID.

그리고, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성되는 것일 수 있다.In addition, the server access authentication information (AccessToken) may be generated by coding using the service ID, user information, authentication time, and unique key for each service server.

또한, 상기 보안등급 채널은, 보안등급에 따라 대역폭을 달리 설정하여, 보안등급이 높을수록 최대 데이터 송신량이 크게 확보되도록 하는 것일 수 있다.Additionally, the security level channel may have a different bandwidth depending on the security level, so that the higher the security level, the larger the maximum data transmission amount can be secured.

그리고, 상기 보안등급 채널은, 보안등급에 따라 채널별 통신 우선순위를 달리 설정하여, 보안등급이 높을수록 통신 안정성이 확보되도록 하는 것일 수 있다.In addition, the security level channel may set different communication priorities for each channel depending on the security level, so that communication stability is ensured as the security level is higher.

또한, 상기 사용자 보안등급은, 사용자 인증정보 및 디바이스 인증정보에 대하여 각각 별도의 보안등급이 설정되는 것일 수 있다.Additionally, the user security level may be a separate security level set for user authentication information and device authentication information.

그리고, 상기 사용자 보안등급에 대응하는 보안등급 채널을 할당은, 상기 사용자 인증정보 및 디바이스 인증정보의 보안등급 중 하위 보안등급에 대응하는 보안등급 채널에 할당되는 것일 수 있다.In addition, the allocation of the security level channel corresponding to the user security level may be assigned to a security level channel corresponding to a lower security level among the security levels of the user authentication information and device authentication information.

또한, 상기 게이트웨이의 상기 사용자 단말 접속 포트는 동적 포트로 생성되어, 상기 게이트웨이에서 사용자 단말로 연결할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the user terminal connection port of the gateway may be created as a dynamic port and updated and set each time the gateway connects to the user terminal.

그리고, 상기 게이트웨이의 상기 서비스 서버 접속 포트는 동적 포트로 생성되어, 상기 게이트웨이에서 상기 서비스 서버로 연결할 때마다 갱신되어 설정되는 것일 수 있다.Additionally, the service server connection port of the gateway may be created as a dynamic port and updated and set each time the gateway connects to the service server.

또한, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되는 것일 수 있다.Additionally, the user network profile may include an expiration time (ExpireDate), which is information about the validity time of the user network profile.

그리고, 상기 만료 시간은, 상기 서비스 서버의 보안등급에 따라, 상기 보안등급이 높을수록 상기 만료 시간이 짧게 설정되는 것일 수 있다.Additionally, the expiration time may be set to be shorter depending on the security level of the service server, as the security level increases.

또한, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되는 것일 수 있다.Additionally, the user network profile may include validity information indicating whether the user network profile is valid.

그리고, 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보인 것일 수 있다.And, the validity information may be session information indicating a connection session.

또한, 상기 유효성 정보는, 상기 게이트웨이가 상기 사용자 단말로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성되는 것일 수 있다.In addition, the validity information includes a limited data amount so that the access control server can discard the user network profile when a preset data capacity is provided according to the amount of data provided by the gateway to the user terminal. It may be possible.

본 발명에 따른 사용자 네트워크 프로파일 기반 서버접속 제어 방법은, 사용자 인증정보((AuthToken), 서버접속 인증정보(AccessToken) 및 디바이스 인증정보(DeviceToken)를 통해서 사용자, 서버, 단말들에 대한 정보를 암호화한 형태로 송수신하고, 게이트웨이 정보만이 사용자에게 제공되기 때문에, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 완전하게 차단할 수 있는 효과가 있다.The user network profile-based server access control method according to the present invention encrypts information about users, servers, and terminals through user authentication information (AuthToken), server access authentication information (AccessToken), and device authentication information (DeviceToken). Since only the gateway information is provided to the user, server information about the service being used is not exposed to the user, which has the effect of completely blocking hacking.

또한, 본 발명에 따르면 조건(시간, 세션)에 따라 다르게 생성되는 사용자 인증정보와 서버접속 인증정보의 사용을 통해서 정보가 노출되더라도 기간이 지나면 사용이 불가능해 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, even if information is exposed through the use of user authentication information and server access authentication information generated differently depending on conditions (time, session), it cannot be used after a period of time, which has the effect of safely protecting server information. there is.

그리고, 본 발명에 따르면 게이트웨이와 사용자 및 게이트웨이와 서비스 서버를 연결할 때마다 별도의 동적 포트가 사용되기 때문에, 게이트웨이에 대한 해킹 및 정보 유출이 안전하게 보호할 수 있는 효과가 있다.Additionally, according to the present invention, a separate dynamic port is used each time a gateway and a user or a gateway and a service server are connected, thereby effectively protecting the gateway from hacking and information leakage.

특히, 본 발명에 따르면 서비스 서버와의 접속 채널을 보안등급에 따라 복수개 설정하고, 사용자의 보안등급에 따라 채널을 할당하여 서비스를 제공함으로써 사용자 및 콘텐츠의 내용에 따라 차별화된 서비스를 제공할 수 있는 효과가 있다.In particular, according to the present invention, a plurality of connection channels with the service server are set according to the security level, and channels are allocated according to the user's security level to provide services, thereby providing differentiated services depending on the user and content. It works.

도 1은 본 발명의 서버접속 제어 방법에 따라 서비스를 제공하기 위한 서비스 제공 시스템의 블록도이다.
도 2는 본 발명의 서버접속 제어 방법에 따라 서비스를 제공하는 순서를 각 장치별로 도시한 블록도이다.
도 3은 본 발명에 따른 사용자 보안등급과 채널 할당의 관계를 도시한 블록도이다.1 is a block diagram of a service provision system for providing services according to the server access control method of the present invention.
Figure 2 is a block diagram showing the order of providing services for each device according to the server access control method of the present invention.
Figure 3 is a block diagram showing the relationship between user security level and channel allocation according to the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 구현예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can be modified in various ways and have various implementation examples, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all transformations, equivalents, and substitutes included in the spirit and technical scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

본 발명은 사용자 네트워크 프로파일을 기반으로 인증된 사용자에 대해서만 게이트웨이(Gate Way)를 이용하여 서비스를 제공함으로써, 사용자에게 직접 서비스 서버의 주소를 노출하지 않고 서비스를 제공할 수 있는 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것이다.The present invention provides a user network profile-based server connection that can provide services without directly exposing the address of the service server to the user by providing services using a gateway only for users authenticated based on the user network profile. It's about control methods.

이하에서는 본 발명의 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 대하여, 바람직한 구현예 및 첨부 도면을 참조하여 더욱 상세하게 설명한다. 이와 관련하여, 도 1은 본 발명의 서버접속 제어 방법에 따라 서비스를 제공하기 위한 서비스 제공 시스템의 블록도이고, 도 2는 본 발명의 서버접속 제어 방법에 따라 서비스를 제공하는 순서를 각 장치별로 도시한 블록도이며, 도 3은 본 발명에 따른 사용자 보안등급과 채널 할당의 관계를 도시한 블록도이다.Hereinafter, the user network profile-based server access control method of the present invention will be described in more detail with reference to a preferred implementation example and the attached drawings. In this regard, Figure 1 is a block diagram of a service provision system for providing services according to the server access control method of the present invention, and Figure 2 shows the order of providing services according to the server access control method of the present invention for each device. This is a block diagram, and Figure 3 is a block diagram showing the relationship between user security level and channel allocation according to the present invention.

먼저 도 1을 참조하면, 본 발명의 사용자 네트워크 프로파일 기반 서버접속 제어 방법은, 사용자 단말(100)과, 게이트웨이(200)와, 접속제어 서버(300)와, 서비스 서버(400) 및 데이터 베이스(500)를 포함하는 서비스 제공 시스템을 포함하여 구성될 수 있다.First, referring to FIG. 1, the user network profile-based server access control method of the present invention includes a user terminal 100, a gateway 200, an access control server 300, a service server 400, and a database ( It may be configured to include a service provision system including 500).

상기 사용자 단말(100)은, 사용자가 상기 게이트웨이(200)에 서비스를 요청하고, 서비스 서버(400)로부터 제공되는 서비스를 이용하기 위한 기기이다. 사용자 단말(100)의 예로는 PC(Personal Computer)나 모바일 폰 등을 예로 들 수 있으나, 이에 한정되는 것은 아니며 유/무선 통신망을 통하여 서비스 운영자의 서버와 접속 가능한 다양한 통신 기기들을 포함할 수 있다.The user terminal 100 is a device for a user to request a service from the gateway 200 and use the service provided by the service server 400. Examples of the user terminal 100 include, but are not limited to, a personal computer (PC) or a mobile phone, and may include various communication devices that can be connected to the service operator's server through a wired/wireless communication network.

상기 게이트웨이(200)는 사용자 단말(100)과 서비스 서버(400)의 직접 연결을 배제하여 서비스 서버(400)에 대한 정보가 사용자에게 직접 노출되는 것을 방지하면서, 서비스 서버(400)에서 제공되는 콘텐츠를 사용자 단말(100)로 중계하는 기능을 수행하기 위한 것이다. 상기 게이트웨이(200)의 세부 기능에 대하여는 뒤에서 보다 상세하게 설명한다.The gateway 200 excludes direct connection between the user terminal 100 and the service server 400, preventing information about the service server 400 from being directly exposed to the user, and content provided from the service server 400. This is to perform the function of relaying to the user terminal 100. Detailed functions of the gateway 200 will be described in more detail later.

상기 접속제어 서버(300)는 서비스 운영자의 메인 서버로서, 사용자 및 서비스에 대한 정보를 관리하고, 상기 게이트웨이(200)에서 요청된 서비스 이용 자격에 관한 정보인 사용자 네트워크 프로파일을 생성하여 게이트웨이(200)로 제공하는 기능을 수행한다. 이에 의하여, 보안이 필요한 서비스 서버(400)로의 사용자의 접근을 제어하고, 게이트 웨이의 연결 요청 및 연결 종료 등 게이트웨이(200) 접근을 제어하게 된다. The access control server 300 is the main server of the service operator, manages information about users and services, and creates a user network profile, which is information about service use qualifications requested by the gateway 200, to connect the gateway 200 to the gateway 200. It performs the functions provided by . By this, the user's access to the service server 400 that requires security is controlled, and access to the gateway 200, such as gateway connection request and connection termination, is controlled.

상기 데이터 베이스(500)는 본 발명의 서비스를 제공하는데 필요한 다양한 데이터를 저장 및 업데이트하여 상기 접속제어 서버(300)에 제공하는 기능을 수행한다.The database 500 performs the function of storing and updating various data necessary to provide the service of the present invention and providing the information to the access control server 300.

상기 서비스 서버(400)는 사용자가 이용하고자 하는 서비스를 제공하기 위한 서버로서, 보안성이 요구되는 다수의 서버들이 사용자가 이용하는 서비스 종류에 따라 집합적으로 포함하여 구성될 수 있다.The service server 400 is a server for providing services that users want to use, and may be configured to collectively include a number of servers requiring security according to the type of service used by the user.

이하에서는 도 2 내지 도 3을 참조하여 본 발명에 따른 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 대하여 더욱 상세하게 설명한다.Hereinafter, the user network profile-based server access control method according to the present invention will be described in more detail with reference to FIGS. 2 and 3.

본 발명의 사용자 네트워크 프로파일 기반 서버접속 제어 방법은 기본적으로, (A) 사용자 단말(100)에서 게이트웨이(200)(Gateway)로 서비스를 요청하는 단계와, (B) 상기 게이트웨이(200)에서 접속제어 서버(300)(Management Server)로 사용자가 서비스를 이용하는데 요구되는 인증인 사용자 네트워크 프로파일을 요청하는 단계와, (C) 상기 접속제어 서버(300)에서 사용자 네트워크 프로파일을 생성하여 상기 게이트웨이(200)로 전송하는 단계와, (D) 상기 게이트웨이(200)에서 서비스 서버(400)에 접속하는 단계와, (E) 상기 서비스 서버(400)에서 게이트웨이(200)로 콘텐츠를 제공하는 단계 및 (F) 상기 게이트웨이(200)에서 상기 사용자 단말(100)로 콘텐츠를 전송하는 단계를 포함하여 구성될 수 있다.The user network profile-based server access control method of the present invention basically includes the steps of (A) requesting a service from the user terminal 100 to the gateway 200, and (B) controlling access at the gateway 200. requesting a user network profile, which is authentication required for the user to use the service, from the server 300 (Management Server); (C) generating a user network profile in the access control server 300 and connecting the gateway 200 to the server 300; (D) connecting to the service server 400 from the gateway 200, (E) providing content from the service server 400 to the gateway 200, and (F) It may include transmitting content from the gateway 200 to the user terminal 100.

먼저 사용자는 사용자 단말(100)을 이용하여 게이트웨이(200)로 인증요청 정보를 전송하여 서비스 이용을 요청한다(S110). First, the user requests use of the service by transmitting authentication request information to the gateway 200 using the user terminal 100 (S110).

여기에서, 상기 사용자가 서비스를 이용할 정당한 자격이 있는지 여부에 대하여 인증을 요청하기 위하여 필요한 인증요청 정보에는, 사용자 단말(100)을 사용하는 사용자 개인에 관한 인적 정보인 사용자 정보와, 사용자 단말(100) 기기 자체의 고유 정보인 디바이스 정보와, 서비스 서버(400)와의 접속에 관한 정보인 서버접속 정보를 포함하여 구성될 수 있다. Here, the authentication request information required to request authentication as to whether the user is legitimately qualified to use the service includes user information, which is personal information about the individual user using the user terminal 100, and user terminal 100 ) It may be configured to include device information, which is unique information about the device itself, and server connection information, which is information about connection to the service server 400.

상기 사용자 정보로는 예를 들어 사용자의 이름, 소속, 직급 등의 정보를 포함할 수 있다. 상기 디바이스 정보로는 기기 고유 아이디를 포함할 수 있다. 또한 상기 서버접속 정보로는 사용자가 이용하고자 하는 서비스의 내용 등을 포함할 수 있다.The user information may include, for example, information such as the user's name, affiliation, and position. The device information may include a device unique ID. Additionally, the server connection information may include the contents of the service the user wishes to use.

이어서, 인증요청 정보를 수신한(S210) 게이트웨이(200)는 접속제어 서버(300)로 상기 수신된 인증요청 정보를 전송하여 사용자 네트워크 프로파일의 생성을 요청한다(S220). 이에 따라 접속제어 서버(300)는 데이터 베이스(500)의 정보를 기초로 상기 인증요청 정보에 포함된 정보들이 정당한 자격을 가진 정보임을 인증하여 사용자 네트워크 프로파일을 생성한 후(S310), 이를 다시 상기 게이트웨이(200)로 전송한다(S320).Next, the gateway 200, which has received the authentication request information (S210), transmits the received authentication request information to the access control server 300 and requests creation of a user network profile (S220). Accordingly, the access control server 300 authenticates that the information included in the authentication request information is information with legitimate qualifications based on the information in the database 500, creates a user network profile (S310), and then reminds the user again. Transmit to the gateway 200 (S320).

여기에서 상기 사용자 네트워크 프로파일은, 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와, 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와, 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken)를 포함하여 구성될 수 있다.Here, the user network profile includes user authentication information (AuthToken) that proves that the user is an authenticated user, device authentication information (DeviceToken) that proves that the user terminal is an authenticated device, and whether the user is permitted to access the server. It may be configured to include server access authentication information (AccessToken) that proves the user.

이때, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 암호화된 형태로 생성하게 된다. At this time, the user authentication information (AuthToken) is coded using the user ID, access time, and unique value for each user and is generated in an encrypted form.

또한, 상기 디바이스 인증정보(DeviceToken)는, PC의 경우 CPU Id, HDD Id, MAC Address 등을 이용하여 암호화된 형태로 생성하게 되며, 기타 기기의 경우 기기 고유의 아이디를 이용하여 암호화된 형태로 생성하게 된다. In addition, the device authentication information (DeviceToken) is generated in an encrypted form using CPU Id, HDD Id, MAC Address, etc. for PCs, and in encrypted form using the device's unique ID for other devices. I do it.

또한, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 암호화된 형태로 생성하게 된다.In addition, the server access authentication information (AccessToken) is coded using the service ID, user information, authentication time, and unique key for each service server and is generated in an encrypted form.

이에 의하여 본 발명에 따르면, 사용자, 서버, 단말들에 대한 정보를 암호화한 형태로 송수신하고, 인증된 사용자(AuthToken)가 인증된 디바이스(DeviceToken)에서 서버에 대한 접근 권한(AccessToken)을 가지고 있어야만 접속이 가능하기 때문에, 서비스 이용자격이 없는 이용하는 사용자가 서버에 접근하는 것을 원천적으로 차단할 수 있게 된다.Accordingly, according to the present invention, information about users, servers, and terminals is transmitted and received in encrypted form, and access is only possible when an authenticated user (AuthToken) has access rights (AccessToken) to the server from an authenticated device (DeviceToken). Because this is possible, it is possible to fundamentally block users who are not eligible to use the service from accessing the server.

본 발명의 일 구현예에 따르면, 상기 게이트웨이(200)와 서비스 서버(400)와의 접속은보안등급별로 구분된 복수의 보안등급 채널 중 사용자 네트워크 프로파일에 따른 사용자 보안등급에 대응하는 보안등급 채널을 할당하여 해당 보안등급 채널을 통해 서비스 서버(400)와의 접속이 수행되는 것을 발명의 특징으로 한다.According to one implementation of the present invention, the connection between the gateway 200 and the service server 400 allocates a security level channel corresponding to the user security level according to the user network profile among a plurality of security level channels divided by security level. According to the invention, connection to the service server 400 is performed through the corresponding security level channel. It is characterized by

본 발명에 있어서, 상기 보안등급 채널은 보안등급에 따라 대역폭을 달리 설정하여, 보안등급이 높을수록 최대 데이터 송신량이 크게 확보되도록 하는 것일 수 있다. In the present invention, the security level channel may have a different bandwidth depending on the security level, so that the higher the security level, the larger the maximum data transmission amount can be secured.

또한 상기 보안등급 채널은, 보안등급에 따라 채널별 통신 우선순위를 달리 설정하여, 보안등급이 높을수록 통신 안정성이 확보되도록 하는 것일 수 있다.In addition, the security level channel may set different communication priorities for each channel depending on the security level, so that communication stability is ensured as the security level is higher.

상기와 같이 보안등급 채널을 할당하기 위하여, 게이트웨이(200)는 사용자 네트워크 프로파일을 접속제어 서버(300)로 전송하여 사용자에 대한 보안등급을 요청하고(S240), 접속제어 서버(300)는 사용자 네트워크 프로파일의 정보를 기초로 사용자에 대한 보안등급을 생성하여(S330) 게이트웨이(200)로 전송하게 된다(S340).In order to assign a security level channel as described above, the gateway 200 transmits the user network profile to the access control server 300 to request a security level for the user (S240), and the access control server 300 sends the user network profile to the user network profile. A security level for the user is created based on the profile information (S330) and transmitted to the gateway 200 (S340).

이어서 사용자에 대한 보안등급을 수신한(S250) 게이트웨이(200)는, 사용자 보안등급에 대응하여 보안등급 채널을 할당하게 된다(S260).Subsequently, the gateway 200, which has received the security level for the user (S250), allocates a security level channel in response to the user's security level (S260).

여기에서, 상기 사용자 보안등급은 도 3에 도시된 바와 같이 사용자 인증정보 및 디바이스 인증정보에 대하여 각각 별도의 보안등급이 설정되게 되며, 상기 사용자 인증정보 및 디바이스 인증정보의 보안등급 중 하위 보안등급에 대응하는 보안등급 채널이 사용자에게 할당되게 된다.Here, the user security level is set as a separate security level for user authentication information and device authentication information, as shown in FIG. 3, and is set to a lower security level among the security levels of the user authentication information and device authentication information. The corresponding security level channel is assigned to the user.

예를 들어, 도 3에 도시된 바와 같이, 사용자 인증정보의 보안등급이 1등급이고 디바이스 인증정보의 보안등급이 3등급인 경우, 보안등급 3에 해당하는 채널이 사용자에게 할당되게 된다.For example, as shown in FIG. 3, when the security level of the user authentication information is level 1 and the security level of the device authentication information is level 3, a channel corresponding to security level 3 is assigned to the user.

상기와 같이 보안등급 채널이 할당되게 되면, 게이트웨이(200)는 상기 할당된 보안등급 채널을 통하여 서비스 서버(400)로 접속하여 콘텐츠를 요청하게 된다(S270). 상기 보안등급 채널로 서비스 서버(400)와 접속이 이루어지면, 서비스 서버(400)는 요청된 콘텐츠를 생성하여(S410) 게이트웨이(200)로 전송하게 된다(S420).When a security level channel is assigned as described above, the gateway 200 connects to the service server 400 through the allocated security level channel and requests content (S270). When connection is made with the service server 400 through the security level channel, the service server 400 creates the requested content (S410) and transmits it to the gateway 200 (S420).

이어서, 서비스 서버(400)에서 전송된 콘텐츠를 수신한(S280) 게이트웨이(200)는 이를 사용자 단말(100)로 중계하여 전달함으로써, 서비스를 제공하게 된다.Subsequently, the gateway 200, which receives the content transmitted from the service server 400 (S280), relays and delivers the content to the user terminal 100, thereby providing a service.

이와 같이 본 발명에 따르면, 게이트웨이와 서비스 서버와의 접속 채널을 보안등급에 따라 복수개 설정하고, 사용자의 보안등급에 따라 채널을 할당하여 서비스를 제공함으로써 사용자의 보안등급에 따라 차별화된 서비스를 제공할 수 있는 효과가 있다According to the present invention, a plurality of connection channels between the gateway and the service server are set according to the security level, and channels are allocated according to the user's security level to provide services, thereby providing differentiated services according to the user's security level. There is an effect that can be achieved

본 발명에 있어서, 상기 게이트웨이(200)는 사용자 단말(100)과 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 게이트웨이(200)에서 사용자 단말(100)로 연결할 때마다 갱신되어 설정될 수 있다. In the present invention, the gateway 200 can create a connection port for connecting to the user terminal 100 as a dynamic port. Here, the dynamic port may be updated and set each time the gateway 200 connects to the user terminal 100.

또한, 상기 게이트웨이(200)는 서비스 서버(400)와 접속하기 위한 접속 포트를 동적 포트로 생성할 수 있다. 여기에서 상기 동적 포트는, 게이트웨이(200)에서 서비스 서버(400)로 연결할 때마다 갱신되어 설정될 수 있다.Additionally, the gateway 200 may create a connection port for connecting to the service server 400 as a dynamic port. Here, the dynamic port may be updated and set each time the gateway 200 connects to the service server 400.

이에 의하여 본 발명에 따르면, 게이트웨이(200)와 사용자 단말(100) 및 게이트웨이(200)와 서비스 서버(400)를 연결할 때마다 별도의 동적 포트가 사용되기 때문에, 게이트웨이(200)에 대한 해킹 및 정보 유출을 차단하여 안전하게 보호할 수 있게 된다.Accordingly, according to the present invention, a separate dynamic port is used each time the gateway 200 and the user terminal 100 and the gateway 200 and the service server 400 are connected, so hacking and information about the gateway 200 It can be safely protected by blocking leaks.

특히, 서비스 서버(400)에서 제공되는 서비스가 직접 사용자 단말(100)로 전송되지 아니하고 게이트웨이(200)를 통해서만 전송되기 때문에, 게이트웨이(200) 정보만이 사용자에게 제공되게 된다. 이에 의하여 본 발명에 따르면, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 완전하게 차단할 수 있게 된다.In particular, since the service provided by the service server 400 is not transmitted directly to the user terminal 100 but is transmitted only through the gateway 200, only the gateway 200 information is provided to the user. Accordingly, according to the present invention, server information about the service being used is not exposed to the user, making it possible to completely prevent hacking.

여기에서 본 발명의 일 구현예에 따르면, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되어 구성될 수 있다.Here, according to one implementation of the present invention, the user network profile may be configured to include an expiration time (ExpireDate), which is information about the validity time of the user network profile.

이에 의하여, 서비스 이용시 만료 시간에 대한 통제를 통하여 허용된 시간만큼 서비스를 이용하며 지속적으로 변경되기 때문에, 상기 사용자 네트워크 프로파일이 누출되더라도, 비인가된 단말기(사용자)가 향후 유출된 사용자 네트워크 프로파일을 통해 게이트웨이(200)에 접속하는 경우, 상기 만료시간의 만료를 통해 이의 접근을 차단할 수 있는 효과가 있다.As a result, since the service is continuously changed by using the service for the time allowed through control of the expiration time when using the service, even if the user network profile is leaked, unauthorized terminals (users) can access the gateway through the leaked user network profile in the future. When accessing (200), there is an effect of blocking access through expiration of the expiration time.

특히 본 구현예에 따르면 상기 만료 시간은, 상기 서비스 서버(400)의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정될 수 있다. 예를 들어 기밀이 중요시되는 서버에 접속하여 서비스를 이용하는 경우에는 서비스 이용 시간을 짧게 설정하여 수시로 사용자 인증절차를 진행함으로써, 보안이 중요시되는 서비스 서버(400)일수록, 서버에 대한 접근성을 최대한 제한할 수 있다. In particular, according to this implementation, the expiration time may be set to be shorter according to the security level of the service server 400, as the security level is higher. For example, when accessing a server where confidentiality is important and using the service, the service use time is set short and the user authentication process is performed frequently. The service server 400, where security is more important, limits accessibility to the server as much as possible. You can.

본 발명의 또 다른 구현예에 따르면, 상기 사용자 네트워크 프로파일은, 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되어 구성될 수 있다.According to another implementation of the present invention, the user network profile may be configured to include validity information indicating whether the user network profile is valid.

이때 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보일 수 있다. 상기 세션 정보는 예를 들어 사용자가 접속제어 서버(300)에 접속할 때마다 새로이 설정되어 갱신될 수 있다.At this time, the validity information may be session information indicating a connection session. For example, the session information may be newly set and updated each time the user accesses the access control server 300.

여기에서, 상기 세션은 사용자 단말(100)의 접속대상 서비스 서버(400)별로 설정될 수도 있고, 상기 사용자 단말(100)의 접속/접속해제 단위로 설정될 수도 있으며, 기설정된 업무단위로 설정되는 것도 가능하다,Here, the session may be set for each service server 400 to which the user terminal 100 is connected, may be set for the connection/disconnection unit of the user terminal 100, and may be set as a preset work unit. It is also possible,

또한 상기 유효성 정보는, 게이트웨이(200)가 상기 사용자 단말(100)로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버(300)가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성될 수 있다. 즉, 사용자가 소정의 데이터를 제공받은 후에는 접속이 중단되고 새로이 사용자가 인증요청 정보를 입력하여야 접속이 계속 연결될 수 있다. In addition, the validity information allows the access control server 300 to discard the user network profile when a preset data capacity is provided according to the amount of data provided by the gateway 200 to the user terminal 100. It can be configured to include a limited amount of data. In other words, after the user receives certain data, the connection is interrupted and the connection can be continued only when the user newly enters authentication request information.

즉, 비인가된 단말기(사용자)가 향후 유출된 사용자 네트워크 프로파일을 통해 게이트 웨이에 접속하는 경우에도, 대량의 데이터를 수신하는 경우, 제한 데이터량에 따라 재인가 과정이 수행되도록 하여, 대량의 데이터 유출을 방지할 수 있다.In other words, even if an unauthorized terminal (user) accesses the gateway through a leaked user network profile in the future, if a large amount of data is received, a re-authorization process is performed according to the limited data amount, thereby preventing a large amount of data from being leaked. can be prevented.

나아가, 상기 기설정되는 데이터 용량은 사용자의 보안등급 및/또는 업무 클래스에 따라 다르게 설정될 수도 있다. Furthermore, the preset data capacity may be set differently depending on the user's security level and/or job class.

예를 들어, 해당 서비스 서버(400)로부터 데이터를 제공받아 이를 처리하는 업무 클래스(보안등급)의 사용자는 설정되는 데이터 용량을 크게 하여 업무 수행의 불편함을 최소화하고, 해당 서비스 서버(400)로부터 데이터를 열람하는 것을 주로 하는 업무 클래스(보안등급)의 대다수 사용자는 설정되는 데이터 용량을 최소화하여 보안성을 최대화 할 수 있다.For example, a user in a business class (security level) who receives data from the service server 400 and processes it can minimize inconvenience in performing work by increasing the data capacity set, and receives data from the service server 400. Most users in the business class (security level) who mainly view data can maximize security by minimizing the data volume set.

이에 의하여, 본 발명에 따르면 조건(시간, 데이터량, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일을 이용하여 서버에의 접속을 통제하기 때문에, 사용자 네트워크 프로파일이 노출되더라도 설정된 조건 즉, 설정된 시간이나 데이터량 또는 세션이 경과하면 이를 통하여 서버에 접속하는 것이 불가능하게 되므로, 이를 통해 지속적으로 서비스 서버(400)에 접속하는 것이 불가능하게 된다.Accordingly, according to the present invention, access to the server is controlled using a user network profile that is created differently depending on conditions (time, data amount, session), so even if the user network profile is exposed, the set conditions, that is, the set time or data, are controlled. When the amount or session elapses, it becomes impossible to connect to the server through this, and thus it becomes impossible to continuously connect to the service server 400.

이상에서 본 발명의 바람직한 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다. Although the preferred embodiments of the present invention have been described above, those skilled in the art can add, change, delete or add components without departing from the spirit of the present invention as set forth in the patent claims. The present invention may be modified and changed in various ways, and this will also be included within the scope of rights of the present invention.

예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.For example, each component described as single may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form. The scope of the present invention is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present invention. do.

본 발명은 사용자 네트워크 프로파일을 기반으로 인증된 사용자에 대해서만 게이트웨이(Gate Way)를 이용하여 서비스를 제공하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법에 관한 것으로, 본 발명에 따르면 인증된 사용자만이 인증된 디바이스를 통하여 인증된 서버로 접속이 가능하기 때문에 서비스 서버에 대한 정보를 최대한 노출하지 않고 서비스를 제공할 수 있는 효과가 있다.The present invention relates to a server access control method based on a user network profile that provides services using a gateway only to users authenticated based on the user network profile. According to the present invention, only authenticated users can use the authenticated device. Because it is possible to access an authenticated server through , there is an effect of providing services without exposing information about the service server as much as possible.

100 : 사용자 단말
200 : 게이트웨이
300 : 접속제어 서버
400 : 서비스 서버
500 : 데이터 베이스
 100: user terminal
200: gateway
300: Access control server
400: service server
500: database

Claims (16)

(A) 사용자 단말에서 게이트웨이(Gateway)로 서비스를 요청하는 단계;
(B) 상기 게이트웨이에서 접속제어 서버(Management Server)로 사용자가 서비스를 이용하는데 요구되는 인증인 사용자 네트워크 프로파일을 요청하는 단계;
(C) 상기 접속제어 서버에서 사용자 네트워크 프로파일을 생성하여 상기 게이트웨이로 전송하는 단계;
(D) 상기 게이트웨이에서 서비스 서버에 접속하는 단계;
(E) 상기 서비스 서버에서 게이트웨이로 콘텐츠를 제공하는 단계; 및
(F) 상기 게이트웨이에서 상기 사용자 단말로 콘텐츠를 전송하는 단계;를 포함하고,
상기 단계 (D)는,
보안등급별로 구분된 복수의 보안등급 채널 중 사용자 네트워크 프로파일에 따른 사용자 보안등급에 대응하는 보안등급 채널을 할당하여 해당 보안등급 채널을 통해 접속이 수행됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
(A) requesting a service from a user terminal to a gateway;
(B) requesting a user network profile, which is authentication required for the user to use the service, from the gateway to the access control server (Management Server);
(C) creating a user network profile in the access control server and transmitting it to the gateway;
(D) connecting to a service server from the gateway;
(E) providing content from the service server to the gateway; and
(F) transmitting content from the gateway to the user terminal;
The step (D) is,
A server access control method based on a user network profile, characterized in that among a plurality of security level channels classified by security level, a security level channel corresponding to the user security level according to the user network profile is assigned and access is performed through the corresponding security level channel.
 제1항에 있어서,
상기 단계 (B)는,
상기 게이트웨이가 상기 사용자 단말로부터 전송된 서비스 요청 정보를 상기 접속제어 서버로 전송하여 사용자 네트워크 프로파일 제공을 요청함으로써 수행됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to paragraph 1,
The step (B) is,
A server access control method based on a user network profile, characterized in that the gateway transmits service request information transmitted from the user terminal to the access control server and requests provision of a user network profile.
 제2항에 있어서,
상기 서비스 요청 정보는,
상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와;
상기 사용자 단말 자체의 고유 정보인 디바이스 정보와;
상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to paragraph 2,
The above service request information is,
User information, which is information about the user using the user terminal;
device information that is unique information of the user terminal itself;
A user network profile-based server access control method comprising: server connection information, which is information regarding connection to the service server.
 제1항에 있어서,
상기 단계 (C)는,
상기 접속제어 서버가 상기 서비스 요청 정보에 포함된 정보를 데이터 베이스에 저장된 정보와 비교하여 사용자 네트워크 프로파일을 생성함을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to paragraph 1,
The step (C) is,
A server access control method based on a user network profile, characterized in that the access control server compares information included in the service request information with information stored in a database to create a user network profile.
 제4항에 있어서,
상기 사용자 네트워크 프로파일은,
상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와;
상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와;
상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to paragraph 4,
The user network profile is,
User authentication information (AuthToken) that proves that the user is an authenticated user;
Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device;
A server access control method based on a user network profile, comprising: server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.
 제5항에 있어서,
상기 사용자 인증정보(AuthToken)는,
사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법..
According to clause 5,
The user authentication information (AuthToken) is,
A user network profile-based server access control method characterized by being coded and created using user ID, access time, and unique values for each user.
 제5항에 있어서,
상기 디바이스 인증정보(DeviceToken)는,
기기 고유의 아이디를 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 5,
The device authentication information (DeviceToken) is,
A user network profile-based server access control method characterized by being coded and generated using the device's unique ID.
 제5항에 있어서,
상기 서버접속 인증정보(AccessToken)는,
서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 5,
The server access authentication information (AccessToken) is,
A user network profile-based server access control method characterized by being coded and generated using service ID, user information, authentication time, and unique key for each service server.
 제5항에 있어서,
상기 보안등급 채널은,
보안등급에 따라 대역폭을 달리 설정하여, 보안등급이 높을수록 최대 데이터 송신량이 크게 확보되도록 함을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 5,
The security level channel is,
A user network profile-based server access control method that sets the bandwidth differently depending on the security level, so that the higher the security level, the larger the maximum data transmission amount is secured.
 제5항에 있어서,
상기 보안등급 채널은,
보안등급에 따라 채널별 통신 우선순위를 달리 설정하여, 보안등급이 높을수록 통신 안정성이 확보되도록 함을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 5,
The security level channel is,
A user network profile-based server access control method that sets different communication priorities for each channel depending on the security level, ensuring communication stability as the security level increases.
 제5항에 있어서,
상기 사용자 보안등급은,
사용자 인증정보 및 디바이스 인증정보에 대하여 각각 별도의 보안등급이 설정됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 5,
The user security level is,
A user network profile-based server access control method, characterized in that separate security levels are set for user authentication information and device authentication information.
 제11항에 있어서,
상기 사용자 보안등급에 대응하는 보안등급 채널을 할당은,
상기 사용자 인증정보 및 디바이스 인증정보의 보안등급 중 하위 보안등급에 대응하는 보안등급 채널에 할당됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 11,
Assigning a security level channel corresponding to the user security level,
A server access control method based on a user network profile, characterized in that the server access control method is assigned to a security level channel corresponding to a lower security level among the security levels of the user authentication information and device authentication information.
 제5항 내지 제12항 중 어느 한 항에 있어서,
상기 게이트웨이의 상기 사용자 단말 접속 포트는 동적 포트로 생성되어,
상기 게이트웨이에서 사용자 단말로 연결할 때마다 갱신되어 설정됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to any one of claims 5 to 12,
The user terminal access port of the gateway is created as a dynamic port,
A server access control method based on a user network profile, characterized in that the setting is updated each time the gateway connects to the user terminal.
 제13항에 있어서,
상기 게이트웨이의 상기 서비스 서버 접속 포트는 동적 포트로 생성되어,
상기 게이트웨이에서 상기 서비스 서버로 연결할 때마다 갱신되어 설정됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 13,
The service server connection port of the gateway is created as a dynamic port,
A server access control method based on a user network profile, characterized in that the setting is updated each time the gateway connects to the service server.
 제14항에 있어서,
상기 사용자 네트워크 프로파일은,
상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 14,
The user network profile is,
A server access control method based on a user network profile, characterized in that it includes validity information indicating whether the user network profile is valid.
 제15항에 있어서,
상기 유효성 정보는,
접속 세션을 표시하는 세션 정보임을 특징으로 하는 사용자 네트워크 프로파일 기반 서버접속 제어 방법.
According to clause 15,
The validity information is,
A server access control method based on a user network profile, characterized in that session information indicates an access session.
KR1020220158187A 2022-11-23 Server connection control method based on user network profile KR20240076874A (en)

Publications (1)

Publication Number Publication Date
KR20240076874A true KR20240076874A (en) 2024-05-31

Family

ID=

Similar Documents

Publication Publication Date Title
US11388158B2 (en) System and method for authenticating clients
US9087189B1 (en) Network access control for cloud services
US8776208B2 (en) Incorporating network connection security levels into firewall rules
US20140282821A1 (en) Systems and methods for identifying a secure application when connecting to a network
US11361101B2 (en) Multi-party authentication and authorization
US11032280B1 (en) Proxy for controlling access to services
US20170034216A1 (en) Authorizing application access to virtual private network resource
US11362827B2 (en) IOT security mechanisms for industrial applications
US20120266239A1 (en) Authorized data access based on the rights of a user and a location
US20240171576A1 (en) Identity proxy and access gateway
US11463429B2 (en) Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
US8132245B2 (en) Local area network certification system and method
KR20240076874A (en) Server connection control method based on user network profile
KR102664208B1 (en) Service providing method based on user network profile
KR102627397B1 (en) Reverse access system for network using dynamic port
Seneviratne et al. Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy
US11233784B2 (en) Systems and methods for managing access to shared network resources
KR20180131765A (en) access management systems for management-mode and accessing methods
KR20240076873A (en) Approved contents providing method based on user network profile
KR20220121045A (en) Edge computing system and method for controlling network access thereof
KR20230155197A (en) Service providing method of the server via gateway
KR20210144327A (en) Blockchain disk sharing system and method
KR20230159110A (en) Data transmitting method via gateway relaying
KR102167575B1 (en) Method for blocking loop around connection between servers utilizing imaginary accoun