KR20240108011A - Service providing system based on user network profile - Google Patents

Service providing system based on user network profile

Info

Publication number
KR20240108011A
KR20240108011A KR1020220191195A KR20220191195A KR20240108011A KR 20240108011 A KR20240108011 A KR 20240108011A KR 1020220191195 A KR1020220191195 A KR 1020220191195A KR 20220191195 A KR20220191195 A KR 20220191195A KR 20240108011 A KR20240108011 A KR 20240108011A
Authority
KR
South Korea
Prior art keywords
user
service
gateway
network profile
server
Prior art date
Application number
KR1020220191195A
Other languages
Korean (ko)
Inventor
김경식
배문환
Original Assignee
주식회사 어썸블리
Filing date
Publication date
Application filed by 주식회사 어썸블리 filed Critical 주식회사 어썸블리
Publication of KR20240108011A publication Critical patent/KR20240108011A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명은 사용자가 서비스를 요청하고, 서비스 서버로부터 제공되는 서비스를 이용하기 위한 사용자 단말(Device)과; 상기 사용자에게 서비스를 이용하는데 필요한 정보인 사용자 네트워크 프로파일을 제공하고, 사용자의 서비스 서버 접속을 제어하는 접속제어 서버(Access Control Server)와; 상기 사용자 단말과 상기 서비스 서버 사이에서, 상기 서비스 서버로부터 제공되는 데이터를 상기 사용자 단말로 중계하는 게이트 웨이(Gate Way)를 포함하여 구성되는 사용자 네트워크 프로파일 기반 서비스 제공 시스템에 관한 것으로, 본 발명은 서비스 서버의 주소를 노출하지 않고 서비스를 제공할 수 있는 효과가 있다.The present invention includes a user terminal (Device) for a user to request a service and use a service provided from a service server; an access control server that provides the user with a user network profile, which is information necessary to use the service, and controls the user's access to the service server; The present invention relates to a user network profile-based service provision system configured to include a gateway that relays data provided from the service server to the user terminal between the user terminal and the service server. The present invention relates to a service provision system based on a user network profile. This has the effect of providing services without exposing the server address.

Description

사용자 네트워크 프로파일 기반 서비스 제공 시스템{SERVICE PROVIDING SYSTEM BASED ON USER NETWORK PROFILE}Service provision system based on user network profile {SERVICE PROVIDING SYSTEM BASED ON USER NETWORK PROFILE}

본 발명은 사용자 네트워크 프로파일을 이용한 서비스 제공 시스템에 관한 것으로, 보다 상세하게는 사용자와 서버 간의 데이터를 중계하는 게이트 웨이(Gate Way)에서 사용자 네트워크 프로파일을 기반으로 동적 포트와 역(Reverse) 접속을 통하여 서버의 정보 노출을 방지할 수 있는 서비스 제공 시스템에 관한 것이다.The present invention relates to a service provision system using a user network profile, and more specifically, through a dynamic port and reverse connection based on the user network profile at the gateway that relays data between the user and the server. It is about a service provision system that can prevent server information exposure.

최근 정보통신기술의 발달로 말미암아 데이터 통신망을 매개로 하여 다양한 분야에 대한 정보를 적어도 하나 이상의 서비스 제공 서버를 통하여 다수의 가입자 측으로 실시간 제공하는 정보제공기술의 개발이 활발하게 진행중이다.Due to the recent development of information and communication technology, the development of information provision technology that provides information on various fields in real time to a large number of subscribers through at least one service provision server through a data communication network is actively underway.

한편, 사용자가 컴퓨터 단말기를 이용하여 상기 서비스 제공 서버에 접속해 통신을 주고받고자 할 때에 상기 서비스 제공 서버는 보호대상 서버로서 보안서버를 통해 보호되는 보안시스템이 적용되는 정보보안기술의 개발 또한 활발하게 진행 중이다.Meanwhile, when a user accesses the service providing server using a computer terminal and wishes to exchange communications, the service providing server is a server to be protected, and information security technology is actively being developed to which a security system protected by a security server is applied. Is in progress.

또한, 기업 또는 금융기관에서 사용되는 사내 정보 서버 등에 대한 안전한 접근을 위해서는 사용자별, 업무 또는 역할별로 세세하게 권한을 제한하고 우회접속(loop around connection)이 차단되어야 한다.Additionally, for safe access to in-house information servers used by companies or financial institutions, permissions must be restricted in detail by user, task, or role, and loop around connections must be blocked.

일반적으로 사용자가 SSH(secure shell), TELNET, RDP(remote desktop protocol)와 같은 특정 프로토콜로 접속 요청을 하는 경우에는 통상 그러한 프로토콜의 접속 포트가 정적으로 정해져 있고, 그러한 접속 포트로 접속이 이루어진다.In general, when a user requests a connection using a specific protocol such as SSH (secure shell), TELNET, or RDP (remote desktop protocol), the connection port for that protocol is usually statically determined, and the connection is made through that connection port.

그런데 이러한 통상의 디폴트 포트로 접속하는 경우에는 포트스캐닝이나 핑(PING)을 이용하는 스캐닝을 통한 해킹에 취약하다는 문제점을 가지고 있다.However, when connecting to this normal default port, there is a problem in that it is vulnerable to hacking through port scanning or scanning using PING.

특히, 복수의 서비스 서버 중 소정의 서비스 서버에 접속한 이후, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 가능하다는 문제점도 발생하고 있었다.In particular, after connecting to a predetermined service server among a plurality of service servers, there has been a problem that a bypass connection is possible from the predetermined service server to another service server.

특허문헌 1 : 대한민국 등록특허공보 제10-0951716호(2010.03.31)Patent Document 1: Republic of Korea Patent Publication No. 10-0951716 (2010.03.31) 특허문헌 2 : 대한민국 등록특허공보 제10-1513195호(2015.04.17)Patent Document 2: Republic of Korea Patent Publication No. 10-1513195 (2015.04.17)

본 발명은 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 서비스를 이용하는 사용자에 대한 사용자 네트워크 프로파일과 동적 포트를 이용한 역접속을 통하여, 사용자에게 서비스 서버의 주소를 노출하지 않고 정보통신 서비스를 제공할 수 있는 정보통신 서비스 제공 시스템을 제공하고자 하는 것이다.The present invention is to solve the problems of the prior art as described above. The purpose of the present invention is to reverse connect using the user network profile and dynamic port for the user using the service, without exposing the address of the service server to the user. The goal is to provide an information and communication service provision system that can provide information and communication services.

본 발명의 또 하나의 목적은 기존의 방화벽(FireWall), VPN 등 보안장비들과 관계없이 작동하며, 소정의 서비스 서버로부터 그 이외의 다른 서비스 서버로 우회접속이 불가능한 정보통신 서비스 제공 시스템을 제공하고자 하는 것이다.Another purpose of the present invention is to provide an information and communication service provision system that operates regardless of security equipment such as existing firewalls and VPNs, and that does not allow bypass access from a given service server to another service server. It is done.

상기와 같은 목적을 달성하기 위한 본 발명의 하나의 양상은, 사용자가 서비스를 요청하고, 서비스 서버로부터 제공되는 서비스를 이용하기 위한 사용자 단말(Device)과; 상기 사용자에게 서비스를 이용하는데 필요한 정보인 사용자 네트워크 프로파일을 제공하고, 사용자의 서비스 서버 접속을 제어하는 접속제어 서버(Access Control Server)와; 상기 사용자 단말과 상기 서비스 서버 사이에서, 상기 서비스 서버로부터 제공되는 데이터를 상기 사용자 단말로 중계하는 게이트 웨이(Gate Way)를 포함하여 구성되고, 상기 게이트 웨이는, 상기 사용자 단말과 서비스 서버의 구동 상태 및 접속 상태를 실시간으로 점검하여 선택적으로 서비스 제공을 제한하는 점검부;를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템에 관한 것이다.One aspect of the present invention for achieving the above object includes a user terminal (Device) for a user to request a service and use a service provided from a service server; an access control server that provides the user with a user network profile, which is information necessary to use the service, and controls the user's access to the service server; Between the user terminal and the service server, it is configured to include a gateway that relays data provided from the service server to the user terminal, and the gateway is configured to operate the user terminal and the service server. and an inspection unit that checks the connection status in real time and selectively limits service provision.

본 발명의 일 구현예에 따른 사용자 네트워크 프로파일 기반 서비스 제공 시스템에 있어서, 상기 게이트 웨이는, 상기 사용자 단말과 접속하기 위한 제1 게이트 웨이와; 상기 서비스 서버와 접속하기 위한 제2 게이트 웨이;를 포함하여 구성되어, 상기 제2 게이트 웨이에 의해, 상기 제2 게이트 웨이로부터 상기 제1 게이트 웨이로 된 통신 채널에 의하여, 상기 서비스 서버로부터 제공되는 데이터가 상기 사용자 단말로 전송되는 것일 수 있다.In the user network profile-based service providing system according to an embodiment of the present invention, the gateway includes: a first gateway for connecting to the user terminal; a second gateway for connecting to the service server; provided from the service server by the second gateway, by a communication channel from the second gateway to the first gateway Data may be transmitted to the user terminal.

또한, 상기 제1 게이트 웨이와 제2 게이트 웨이 사이의 데이터 전송은, 서비스 서버측 제2 게이트 웨이로부터 사용자 단말측 제1 게이트 웨이의 역방향으로만 전송되는 것일 수 있다.Additionally, data transmission between the first gateway and the second gateway may be transmitted only in the reverse direction from the second gateway on the service server side to the first gateway on the user terminal side.

그리고, 상기 사용자 단말은, 인증요청 정보를 상기 접속제어 서버로 전송하여 사용자 네트워크 프로파일 제공을 요청하고, 상기 접속제어 서버는, 상기 인증요청 정보를 기반으로 사용자 네트워크 프로파일을 생성하여 상기 사용자 단말로 전송하는 것일 수 있다.Then, the user terminal transmits authentication request information to the access control server to request provision of a user network profile, and the access control server creates a user network profile based on the authentication request information and transmits it to the user terminal. It may be.

또한, 상기 인증요청 정보는, 상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와; 상기 사용자 단말 자체의 고유 정보인 디바이스 정보와; 상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성되는 것일 수 있다.Additionally, the authentication request information includes user information, which is information about a user using the user terminal; Device information that is unique information of the user terminal itself; It may be configured to include server connection information, which is information about connection to the service server.

그리고, 상기 사용자 네트워크 프로파일은, 상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와; 상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와; 상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성되는 것일 수 있다.Additionally, the user network profile includes user authentication information (AuthToken) that proves that the user is an authenticated user; Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device; It may be configured to include server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.

또한, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the user authentication information (AuthToken) may be generated by coding using the user ID, access time, and unique value for each user.

그리고, 상기 디바이스 인증정보(DeviceToken)는, 기기 고유의 아이디를 이용해 코드화하여 생성되는 것일 수 있다.In addition, the device authentication information (DeviceToken) may be generated by coding using the device's unique ID.

또한, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성되는 것일 수 있다.Additionally, the server access authentication information (AccessToken) may be generated by coding using the service ID, user information, authentication time, and unique key for each service server.

그리고, 상기 사용자 단말은, 상기 접속제어 서버로부터 전송된 사용자 네트워크 프로파일을 기반으로 상기 제1 게이트 웨이에 서비스 이용을 요청하고, 상기 제1 게이트 웨이는, 상기 접속제어 서버로 상기 사용자 단말로부터 수신된 사용자 네트워크 프로파일에 대한 인증을 요청하는 것일 수 있다.And, the user terminal requests the first gateway to use the service based on the user network profile transmitted from the access control server, and the first gateway receives the service from the user terminal to the access control server. This may be requesting authentication for the user's network profile.

또한, 상기 점검부는, 네트워크 점검부, 디바이스 점검부 및 서비스 점검부;를 포함하여 구성되는 것일 수 있다.In addition, the inspection unit may be configured to include a network inspection unit, a device inspection unit, and a service inspection unit.

그리고, 상기 네트워크 점검부는, 상기 사용자 단말이 접속한 네트워크가, 기설정된 허용 네트워크에 포함되는지 여부를 판별하여 네트워크 정상 여부를 판별하는 것일 수 있다.Additionally, the network inspection unit may determine whether the network is normal by determining whether the network connected to the user terminal is included in a preset allowable network.

또한, 상기 디바이스 점검부는, 상기 디바이스에 설치된 검사 프로그램의 디바이스 검사 결과를 수신받아 상기 디바이스의 정상 구동 여부를 판별하는 것일 수 있다.Additionally, the device inspection unit may receive a device test result of a test program installed on the device and determine whether the device is operating normally.

그리고, 상기 서비스 점검부는, 상기 서비스 서버의 점검 프로그램에 의한 서비스 서버 검사 결과를 수신받아 상기 서비스 서버의 정상 구동 여부를 판별하는 것일 수 있다.In addition, the service inspection unit may receive a service server inspection result by an inspection program of the service server and determine whether the service server is operating normally.

또한, 상기 접속제어 서버는, 상기 제1 게이트 웨이로부터 전송된 사용자 네트워크 프로파일이 상기 사용자 단말로 기전송한 사용자 네트워크 프로파일과 일치하는 경우, 상기 제1 게이트 웨이와 제2 게이트 웨이 사이에 채널을 형성할 제1 동적 포트 및 제2 동적 포트를 상기 제1 게이트 웨이와 제2 게이트 웨이에 각각 설정하고, 상기 제2 게이트 웨이로, 상기 서비스 이용을 요청받은 서비스 서버의 주소 및 포트를 전송하는 것일 수 있다.In addition, the access control server forms a channel between the first gateway and the second gateway when the user network profile transmitted from the first gateway matches the user network profile previously transmitted to the user terminal. A first dynamic port and a second dynamic port may be set in the first gateway and the second gateway, respectively, and the address and port of the service server requested to use the service may be transmitted to the second gateway. there is.

그리고, 상기 접속제어 서버는, 상기 제1 동적 포트 및 제2 동적 포트의 설정 내용을 상기 제2 게이트 웨이로 제공하는 것일 수 있다.Additionally, the access control server may provide settings of the first dynamic port and the second dynamic port to the second gateway.

또한, 상기 제2 게이트 웨이는, 상기 접속제어 서버로부터 제공된 상기 서비스 서버의 주소 및 포트로 서비스 서버에 접속을 요청하는 것일 수 있다.Additionally, the second gateway may request access to the service server using the address and port of the service server provided by the access control server.

그리고, 상기 제2 게이트 웨이는, 상기 제2 동적 포트를 이용하여 상기 제1 게이트 웨이의 상기 제1 동적 포트로 접속하는 것일 수 있다.And, the second gateway may connect to the first dynamic port of the first gateway using the second dynamic port.

또한, 상기 접속제어 서버는, 상기 제1 동적 포트 또는 상기 제2 동적 포트를 기설정된 조건을 주기로 갱신하여 생성하는 것일 수 있다.Additionally, the access control server may generate the first dynamic port or the second dynamic port by periodically updating preset conditions.

그리고, 상기 기설정된 조건은, 상기 사용자 단말의 신규 접속시인 것일 수 있다.And, the preset condition may be when the user terminal is newly connected.

또한, 상기 기설정된 조건은, 상기 제2 동적 포트에서 상기 제1 동적 포트로 전송되는 데이터의 용량이 설정된 데이터량을 초과시인 것일 수 있다.Additionally, the preset condition may be when the capacity of data transmitted from the second dynamic port to the first dynamic port exceeds the set data amount.

그리고, 상기 접속제어 서버는, 특정 사용자가 이용하는 서비스에 대한 차단이 필요한 경우, 상기 제2 게이트 웨이의 동적 포트 설정을 해제하는 것일 수 있다.Additionally, the access control server may cancel the dynamic port settings of the second gateway when it is necessary to block a service used by a specific user.

또한, 상기 서버접속 인증정보(AccessToken)는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되는 것일 수 있다.Additionally, the server access authentication information (AccessToken) may include an expiration time (ExpireDate), which is information about the effective time of server access.

그리고, 상기 만료 시간은, 상기 서비스 서버의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정되는 것일 수 있다.Additionally, the expiration time may be set to be shorter depending on the security level of the service server, as the security level increases.

또한, 상기 사용자 네트워크 프로파일은, 상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되는 것일 수 있다.Additionally, the user network profile may include validity information indicating whether the user network profile is valid.

그리고, 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보인 것일 수 있다.And, the validity information may be session information indicating a connection session.

또한, 상기 유효성 정보는, 상기 게이트 웨이가 상기 사용자 단말로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성되는 것일 수 있다.In addition, the validity information includes a limited data amount so that the access control server can discard the corresponding user network profile when a preset data capacity is provided according to the amount of data provided by the gateway to the user terminal. It may be composed.

본 발명에 따른 사용자 네트워크 프로파일 기반 서비스 제공 시스템은, 사용자와 서버 간의 데이터를 중계하는 게이트 웨이(Gate Way)에서 사용자 네트워크 프로파일을 기반으로 동적 포트와 역(Reverse) 접속을 통하여 게이트 웨이 정보만이 사용자에게 제공되기 때문에, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 완전하게 차단할 수 있는 효과가 있다.The user network profile-based service provision system according to the present invention provides only gateway information to the user through dynamic ports and reverse connections based on the user network profile at the gateway that relays data between the user and the server. Since it is provided to users, server information about the service being used is not exposed to the user, which has the effect of completely blocking hacking.

또한, 본 발명에 따르면 사용자 단말측 제1 게이트 웨이의 동적 포트와 서비스 서버측 제2 게이트 웨이의 동적 포트를, 사용자가 서비스 서버에 접속할 때마다 갱신하여 생성하기 때문에, 게이트 웨이에 대한 해킹 및 정보 유출이 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, since the dynamic port of the first gateway on the user terminal side and the dynamic port of the second gateway on the service server side are updated and created every time the user accesses the service server, hacking and information about the gateway are generated. It has the effect of safely protecting against leaks.

특히, 본 발명에 따르면 제1 게이트 웨이와 제2 게이트 웨이 사이의 데이터 전송은, 서비스 서버측 제2 게이트 웨이로부터 사용자 단말측 제1 게이트 웨이의 역방향으로만 전송됨으로써, 외부의 침입으로부터 원천적으로 봉쇄할 수 있는 효과가 있다. In particular, according to the present invention, data transmission between the first gateway and the second gateway is transmitted only in the reverse direction from the second gateway on the service server side to the first gateway on the user terminal side, thereby fundamentally blocking external intrusion. There is an effect that can be done.

그리고, 본 발명에 따르면 조건(시간, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일의 사용을 통해서, 정보가 노출되더라도 기간이 지나면 사용이 불가능해 서버 정보를 안전하게 보호할 수 있는 효과가 있다.In addition, according to the present invention, through the use of user network profiles that are created differently depending on conditions (time, session), even if information is exposed, it cannot be used after a period of time, which has the effect of safely protecting server information.

또한, 점검부를 통하여 사용자 단말과 서비스 서버의 구동 상태 및 접속 상태를 실시간으로 점검하여 선택적으로 서비스 제공을 제한하는 효과가 있다.In addition, there is an effect of selectively restricting service provision by checking the operating status and connection status of the user terminal and the service server in real time through the inspection unit.

도 1은 본 발명에 따른 사용자 네트워크 프로파일 기반 서비스 제공 시스템의 블록도이다.
도 2는 본 발명의 시스템에 의하여 서비스를 제공하는 순서를 도시한 블록도이다.
도 3은 본 발명에 따른 인증요청 정보와 사용자 네트워크 프로파일의 구성도이다.
도 4는 본 발명에 따른 서비스를 제공하기 위한 각 장치별 정보의 흐름을 도시한 블록도이다.1 is a block diagram of a user network profile-based service provision system according to the present invention.
Figure 2 is a block diagram showing the procedure for providing services by the system of the present invention.
Figure 3 is a configuration diagram of authentication request information and user network profile according to the present invention.
Figure 4 is a block diagram showing the flow of information for each device for providing services according to the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 구현예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Since the present invention can be modified in various ways and have various implementation examples, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all transformations, equivalents, and substitutes included in the spirit and technical scope of the present invention. In describing the present invention, if it is determined that a detailed description of related known technologies may obscure the gist of the present invention, the detailed description will be omitted.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. The terms used in this application are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

본 발명은 사용자와 서버 간의 데이터를 중계하는 게이트 웨이(Gate Way)에서 사용자 네트워크 프로파일을 기반으로 동적 포트와 역(Reverse) 접속을 통하여 서버의 정보 노출을 방지할 수 있는 사용자 네트워크 프로파일을 이용한 서비스 제공 시스템에 관한 것이다.The present invention provides a service using a user network profile that can prevent information exposure of the server through dynamic ports and reverse connections based on the user network profile at the gateway that relays data between the user and the server. It's about the system.

이하에서는 본 발명의 사용자 네트워크 프로파일 기반 서비스 제공 시스템에 대하여, 바람직한 구현예 및 첨부 도면을 참조하여 더욱 상세하게 설명한다. 이와 관련하여, 도 1은 본 발명에 따른 사용자 네트워크 프로파일을 이용한 서비스 제공 시스템의 블록도이고, 도 2는 본 발명에 따른 서비스를 제공하는 순서를 도시한 블록도이며, 도 3은 본 발명에 사용되는 인증요청 정보와 사용자 네트워크 프로파일의 구성도이고, 도 4는 본 발명에 따른 서비스를 제공하기 위한 각 장치별 정보의 흐름을 도시한 블록도이다.Hereinafter, the user network profile-based service provision system of the present invention will be described in more detail with reference to preferred implementation examples and attached drawings. In this regard, Figure 1 is a block diagram of a service provision system using a user network profile according to the present invention, Figure 2 is a block diagram showing the procedure for providing services according to the present invention, and Figure 3 is a block diagram used in the present invention. This is a configuration diagram of the authentication request information and user network profile, and Figure 4 is a block diagram showing the flow of information for each device for providing the service according to the present invention.

먼저 도 1을 참조하면, 본 발명의 사용자 네트워크 프로파일을 이용한 서비스 제공 시스템은, 크게 사용자 단말(100)과, 접속제어 서버(200)와, 게이트 웨이(300) 및 서비스 서버(400)를 포함하여 구성될 수 있다.First, referring to FIG. 1, the service provision system using the user network profile of the present invention largely includes a user terminal 100, an access control server 200, a gateway 300, and a service server 400. It can be configured.

상기 사용자 단말(100)은, 사용자가 상기 접속제어 서버(200)에 인증요청 정보를 전송하여 서비스 이용 자격에 대한 인증정보인 사용자 네트워크 프로파일을 요청하고, 서비스 이용 자격이 인증된 경우 게이트 웨이(300)에 서비스를 요청하여 서비스 서버(400)로부터 제공되는 서비스를 이용하기 위한 기기이다. 사용자 단말(100)의 예로는 PC(Personal Computer)나 모바일 폰 등을 예로 들 수 있으나, 이에 한정되는 것은 아니며 유/무선 통신망을 통하여 서비스 운영자의 서버와 접속 가능한 다양한 정보통신 기기들을 포함할 수 있다.The user terminal 100 transmits authentication request information to the access control server 200 to request a user network profile, which is authentication information for service use qualifications, and when the service use qualifications are authenticated, the gateway 300 ) is a device for using the service provided by the service server 400 by requesting a service from the service server 400. Examples of the user terminal 100 include, but are not limited to, a PC (Personal Computer) or a mobile phone, and may include various information and communication devices that can be connected to the service operator's server through a wired/wireless communication network. .

상기 접속제어 서버(200)는 서비스 운영자의 메인 서버로서, 상기 게이트 웨이(300)에 서비스를 요청하기 위하여 필요한 서비스 이용 자격에 관한 정보인 사용자 네트워크 프로파일을 생성하여 사용자 단말(100)로 제공하는 기능을 수행한다. 이에 의하여, 보안이 필요한 서비스 서버(400)로의 사용자의 접근을 제어하고, 게이트 웨이(300)의 연결 요청 및 연결 종료 등 게이트 웨이(300) 접근을 제어하게 된다.The access control server 200 is the main server of the service operator, and has the function of creating a user network profile, which is information on service use qualifications necessary to request a service from the gateway 300, and providing it to the user terminal 100. Perform. By this, the user's access to the service server 400 that requires security is controlled, and access to the gateway 300, such as connection request and connection termination of the gateway 300, is controlled.

상기 접속제어 서버(200)는 데이터 베이스(미도시)를 포함하여 구성될 수 있는데, 상기 데이터 베이스는 본 발명의 시스템이 정보통신 서비스를 제공하는데 필요한 다양한 데이터를 저장 및 업데이트하여 상기 접속제어 서버에 제공하는 기능을 수행한다.The access control server 200 may be configured to include a database (not shown), which stores and updates various data necessary for the system of the present invention to provide information and communication services to the access control server. Performs the functions provided.

상기 게이트 웨이(300)는 사용자 단말(100)과 접속하기 위한 제1 게이트 웨이(310)와, 서비스 서버(400)와 접속하기 위한 제2 게이트 웨이(320)를 포함하여 구성될 수 있다. The gateway 300 may be configured to include a first gateway 310 for connecting to the user terminal 100 and a second gateway 320 for connecting to the service server 400.

여기에서, 본 발명의 시스템은 상기 제1 게이트 웨이(310)와 제2 게이트 웨이(320) 사이의 데이터 전송을, 서비스 서버(400) 측 제2 게이트 웨이(320)로부터 사용자 단말(100) 측 제1 게이트 웨이(310)의 역방향으로만 전송되도록 시스템을 구성하는 것을 발명의 하나의 특징으로 한다.Here, the system of the present invention transmits data between the first gateway 310 and the second gateway 320, from the second gateway 320 on the service server 400 side to the user terminal 100 side. One feature of the invention is to configure the system to transmit only in the reverse direction of the first gateway 310.

즉, 제2 게이트 웨이(320)로부터 상기 제1 게이트 웨이(310)로 형성된 통신 채널에 의하여, 서비스 서버(400)로부터 제공되는 데이터가 사용자 단말(100)로 전송되게 된다. That is, data provided from the service server 400 is transmitted to the user terminal 100 through a communication channel formed from the second gateway 320 to the first gateway 310.

이에 의하여 본 발명에 따르면, 상기 게이트 웨이(300)가 사용자 단말(100)과 서비스 서버(400)의 직접 연결을 배제하여 서비스 서버(400)에 대한 정보가 사용자에게 직접 노출되는 것을 방지하면서, 서비스 서버(400)에서 제공되는 데이터를 사용자 단말(100)로 중계하게 된다. 게이트 웨이(300)의 세부 기능에 대하여는 뒤에서 보다 상세하게 설명한다.Accordingly, according to the present invention, the gateway 300 excludes direct connection between the user terminal 100 and the service server 400, preventing information about the service server 400 from being directly exposed to the user, and providing the service. Data provided from the server 400 is relayed to the user terminal 100. Detailed functions of the gateway 300 will be described in more detail later.

상기 서비스 서버(400)는 사용자가 이용하고자 하는 서비스를 제공하기 위한 서버로서, 보안성이 요구되는 다수의 서버들이 사용자가 이용하는 서비스 종류에 따라 집합적으로 포함하여 구성될 수 있다.The service server 400 is a server for providing services that users want to use, and may be configured to collectively include a number of servers requiring security according to the type of service used by the user.

이하에서는 도 2 내지 도 4를 참조하여 본 발명에 따른 사용자 네트워크 프로파일 기반 서비스 제공 시스템에서 서비스를 제공하는 방법에 대하여 더욱 상세하게 설명한다.Hereinafter, a method of providing a service in the user network profile-based service provision system according to the present invention will be described in more detail with reference to FIGS. 2 to 4.

본 발명의 서비스를 이용하기 위하여는, 먼저 사용자가 사용자 단말(100)을 이용하여 접속제어 서버(200)(Access Control Server)로 인증요청 정보를 전송하여 서비스 이용자격에 대한 인증정보인 사용자 네트워크 프로파일을 요청한다(S100). In order to use the service of the present invention, the user first transmits authentication request information to the access control server 200 using the user terminal 100, and then transmits the user network profile, which is authentication information for service use qualifications. Request (S100).

이어서, 인증요청 정보를 수신한 접속제어 서버(200)는 데이터 베이스의 정보를 기초로 상기 인증요청 정보에 포함된 정보들이 정당한 자격을 가진 정보임을 인증하여 사용자 네트워크 프로파일을 생성한 후, 이를 사용자 단말로 전송한다(S110).Subsequently, the access control server 200, which has received the authentication request information, authenticates that the information included in the authentication request information is information with legitimate qualifications based on the information in the database, creates a user network profile, and then sends it to the user terminal. Transmit to (S110).

여기에서, 상기 사용자가 서비스를 이용할 정당한 자격이 있는지 여부에 대하여 인증을 요청하기 위하여 필요한 인증요청 정보에는, 사용자 단말(100)을 사용하는 사용자 개인에 관한 인적 정보인 사용자 정보(A)와, 사용자 단말(100) 기기 자체의 고유 정보인 디바이스 정보(B)와, 서비스 서버(400)와의 접속에 관한 정보인 서버접속 정보(C)를 포함하여 구성될 수 있다. Here, the authentication request information required to request authentication as to whether the user is legitimately qualified to use the service includes user information (A), which is personal information about the individual user using the user terminal 100, and user information (A). The terminal 100 may be configured to include device information (B), which is unique information about the device itself, and server connection information (C), which is information about connection to the service server 400.

상기 사용자 정보(A)로는 예를 들어 사용자의 이름, 소속, 직급 등의 정보를 포함할 수 있다. 상기 디바이스 정보(B)로는 기기 고유 아이디를 포함할 수 있다. 또한 상기 서버접속 정보(C)로는 사용자가 이용하고자 하는 서비스의 내용 등을 포함할 수 있다.The user information (A) may include, for example, information such as the user's name, affiliation, and position. The device information (B) may include a device unique ID. Additionally, the server connection information (C) may include the contents of the service that the user wishes to use.

본 발명에 있어서, 사용자가 서비스를 이용할 정당한 자격이 있는 경우 제공되는 상기 사용자 네트워크 프로파일은, 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와, 사용자 단말(100)이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와, 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken)를 포함하여 구성될 수 있다.In the present invention, the user network profile provided when the user has legitimate qualifications to use the service includes user authentication information (AuthToken) that proves that the user is an authenticated user, and proof that the user terminal 100 is an authenticated device. It may be configured to include device authentication information (DeviceToken) and server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.

이때, 상기 사용자 인증정보(AuthToken)는, 사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 암호화된 형태로 생성하게 된다. At this time, the user authentication information (AuthToken) is coded using the user ID, access time, and unique value for each user and is generated in an encrypted form.

또한, 상기 디바이스 인증정보(DeviceToken)는, PC의 경우 CPU Id, HDD Id, MAC Address 등을 이용하여 암호화된 형태로 생성하게 되며, 기타 기기의 경우 기기 고유의 아이디를 이용하여 암호화된 형태로 생성하게 된다. In addition, the device authentication information (DeviceToken) is generated in an encrypted form using CPU Id, HDD Id, MAC Address, etc. for PCs, and in encrypted form using the device's unique ID for other devices. I do it.

또한, 상기 서버접속 인증정보(AccessToken)는, 서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 암호화된 형태로 생성하게 된다.In addition, the server access authentication information (AccessToken) is coded using the service ID, user information, authentication time, and unique key for each service server and is generated in an encrypted form.

이에 의하여 본 발명에 따르면, 사용자, 서버, 단말들에 대한 정보를 암호화한 형태로 송수신하고, 인증된 사용자(AuthToken)가 인증된 디바이스(DeviceToken)에서 서버에 대한 접근 권한(AccessToken)을 가지고 있어야만 접속이 가능하기 때문에, 서비스 이용자격이 없는 이용하는 사용자가 서버에 접근하는 것을 원천적으로 차단할 수 있게 된다.Accordingly, according to the present invention, information about users, servers, and terminals is transmitted and received in encrypted form, and access is only possible when an authenticated user (AuthToken) has access rights (AccessToken) to the server from an authenticated device (DeviceToken). Because this is possible, it is possible to fundamentally block users who are not eligible to use the service from accessing the server.

이하에서는 상기와 같이 서비스 이용자격이 인증된 사용자가 서비스를 요청하고, 데이터를 수신하여 서비스를 이용하는 단계에 대하여 설명한다.Hereinafter, the steps taken by a user whose service usage qualifications have been verified as described above will request a service, receive data, and use the service will be described.

먼저 상기와 같이 사용자 네트워크 프로파일을 수신한 사용자는 사용자 단말(100)을 이용하여 사용자 네트워크 프로파일을 제1 게이트 웨이(310)로 전송하여 서비스를 요청하게 된다(S120). First, the user who has received the user network profile as described above transmits the user network profile to the first gateway 310 using the user terminal 100 to request a service (S120).

상기와 같이 사용자가 사용자 단말(100)을 이용하여 제1 게이트 웨이(310)로 서비스를 요청하게 되면, 우선 제1 게이트 웨이(310)가 사용자 단말(100)로부터 수신된 사용자 네트워크 프로파일을 상기 접속제어 서버(200)에 전송하여 사용자 네트워크 프로파일에 대한 인증을 요청하게 된다(S130).As described above, when a user requests a service from the first gateway 310 using the user terminal 100, the first gateway 310 first connects the user network profile received from the user terminal 100. It is sent to the control server 200 to request authentication for the user network profile (S130).

상기와 같이 사용자 네트워크 프로파일을 수신한 접속제어 서버(200)는 이에 대한 인증을 수행한다. 즉, 수신된 사용자 네트워크 프로파일이 사용자 단말(100)로 기 전송한 사용자 네트워크 프로파일과 일치하는 경우, 접속제어 서버(200)는 제1 게이트 웨이(310)에 제1 동적 포트(311)를 설정하고, 제2 게이트 웨이(320)에 제2 동적 포트(321)를 설정하게 된다(S140).The access control server 200, which has received the user network profile as described above, performs authentication thereon. That is, if the received user network profile matches the user network profile previously transmitted to the user terminal 100, the access control server 200 sets the first dynamic port 311 in the first gateway 310 and , the second dynamic port 321 is set in the second gateway 320 (S140).

이때, 상기 접속제어 서버(200)는, 상기 제1 동적 포트(311) 및 제2 동적 포트(321)의 설정 내용을 상기 제2 게이트 웨이(320)로 제공하여, 제2 게이트 웨이(320)의 제2 동적 포트(321)에서 제1 게이트 웨이(310)의 제1 동적 포트(311)로 접속이 이루어지도록 하게 된다. 이와 동시에 접속제어 서버(200)는, 제2 게이트 웨이(320)로 상기 서비스 이용을 요청받은 서비스 서버의 주소 및 포트를 전송한다(S150). At this time, the access control server 200 provides the settings of the first dynamic port 311 and the second dynamic port 321 to the second gateway 320, A connection is made from the second dynamic port 321 of to the first dynamic port 311 of the first gateway 310. At the same time, the access control server 200 transmits the address and port of the service server requested to use the service to the second gateway 320 (S150).

여기에서, 상기 제1 동적 포트(311)란 사용자 단말(100) 측과 접속하기 위한 가변적인 포트를 의미하며, 제2 동적 포트(321)란 서비스 서버(400) 측과 접속하기 위한 가변적인 포트를 의미한다.Here, the first dynamic port 311 refers to a variable port for connecting to the user terminal 100, and the second dynamic port 321 refers to a variable port for connecting to the service server 400. means.

이어서, 제2 게이트 웨이(320)는 상기 접속제어 서버(200)로부터 전송된 서비스 서버의 주소로 서비스 서버(400)에 연결을 요청하게 된다(S160). 이후 상기 서버 주소로 서비스 서버(400)와 접속이 이루어지면, 서비스 서버(400)에서 데이터를 제2 게이트 웨이(320)로 전송하게 된다(S170).Next, the second gateway 320 requests a connection to the service server 400 using the service server address transmitted from the access control server 200 (S160). Afterwards, when connection is made with the service server 400 using the server address, data is transmitted from the service server 400 to the second gateway 320 (S170).

이때, 제2 게이트 웨이(320)는 제2 동적 포트(321)를 통하여 데이터를 수신하게 되며, 수신된 데이터를 제1 게이트 웨이(310)의 제1 동적 포트(311)로 중계하게 된다(S180). 또한 제1 게이트 웨이(310)는 제1 동적 포트(311)를 통하여 수신된 데이터를 사용자 단말(100)로 전송함으로써(S190), 서비스를 제공하게 된다.At this time, the second gateway 320 receives data through the second dynamic port 321, and relays the received data to the first dynamic port 311 of the first gateway 310 (S180) ). Additionally, the first gateway 310 provides a service by transmitting data received through the first dynamic port 311 to the user terminal 100 (S190).

본 발명의 일 구현예에 따르면, 상기 접속제어 서버(200)는, 상기 제1 동적 포트(311) 또는 상기 제2 동적 포트(321)를 기설정된 조건을 주기로 갱신하여 생성할 수 있다.According to one implementation of the present invention, the access control server 200 may generate the first dynamic port 311 or the second dynamic port 321 by periodically updating preset conditions.

예를 들어, 접속제어 서버(200)는 사용자 단말(100)이 접속제어 서버(200)에 접속할 때마다 제1 동적 포트(311) 또는 상기 제2 동적 포트(321)를 새로이 생성할 수 있다. 따라서 사용자 단말(100)이 서버에 접속할 때마다 별도의 동적 포트가 사용되기 때문에, 게이트 웨이(300)에 대한 해킹 및 정보 유출을 차단하여 안전하게 보호할 수 있게 된다.For example, the access control server 200 may newly create the first dynamic port 311 or the second dynamic port 321 each time the user terminal 100 accesses the access control server 200. Therefore, since a separate dynamic port is used every time the user terminal 100 connects to the server, hacking and information leakage of the gateway 300 can be blocked and safely protected.

또한, 상기 기설정된 조건은, 상기 제2 동적 포트(321)에서 상기 제1 동적 포트(311)로 전송되는 데이터의 용량이 설정된 데이터량을 초과하는 경우일 있다. 즉, 사용자가 소정 분량의 데이터를 제공받은 후에는 새로운 동적 포트가 생성되어 데이터가 전송되기 때문에, 기존의 포트 정보가 누출되어도 이를 지속적으로 사용할 수 없게 된다.Additionally, the preset condition may be a case where the capacity of data transmitted from the second dynamic port 321 to the first dynamic port 311 exceeds the set data amount. In other words, after the user receives a certain amount of data, a new dynamic port is created and the data is transmitted, so even if the existing port information is leaked, it cannot be used continuously.

이때 상기 접속제어 서버(200)는, 특정 사용자가 이용하는 서비스에 대한 차단이 필요한 경우, 상기 제2 게이트 웨이(320)의 동적 포트 설정을 해제하여 데이터 전송을 중단할 수도 있다. 이에 의하여 비정상적인 접속에 대한 제어를 수행하는 것이 가능하게 된다.At this time, if it is necessary to block a service used by a specific user, the access control server 200 may cancel the dynamic port setting of the second gateway 320 to stop data transmission. This makes it possible to control abnormal connections.

이에 의하여 본 발명에 따르면, 서비스 서버(400)에서 제공되는 데이터가 직접 사용자 단말(100)로 전송되지 아니하고 게이트 웨이(300)를 통해서만 전송되기 때문에, 게이트 웨이(300) 정보만이 사용자에게 제공되게 되므로, 이용하는 서비스에 대한 서버 정보들이 사용자에게 노출되지 않아 해킹으로부터 완전하게 차단할 수 있게 된다.Accordingly, according to the present invention, since the data provided from the service server 400 is not directly transmitted to the user terminal 100 but is transmitted only through the gateway 300, only the gateway 300 information is provided to the user. Therefore, server information about the service being used is not exposed to the user, making it possible to completely block hacking.

특히 본 발명은, 제1 게이트 웨이(310)의 제1 동적 포트(311)와 제2 게이트 웨이(320)의 제2 동적 포트(321)를, 기설정된 조건에 따라 갱신하여 생성하기 때문에, 게이트 웨이에 대한 해킹 및 정보 유출이 안전하게 보호할 수 있게 된다. 또한 포트 정보가 유출되더라도 이를 지속적으로 사용할 수 없게 된다.In particular, since the present invention generates the first dynamic port 311 of the first gateway 310 and the second dynamic port 321 of the second gateway 320 according to preset conditions, the gate Hacking and information leaks on Way can be safely protected. Additionally, even if port information is leaked, it cannot be used continuously.

이때, 제1 게이트 웨이(310)와 제2 게이트 웨이(320) 사이의 데이터 전송은, 서비스 서버측 제2 게이트 웨이(320)로부터 사용자 단말측 제1 게이트 웨이(310)의 역방향으로만 전송되기 때문에, 외부의 침입으로부터 원천적으로 봉쇄하는 것이 가능하게 된다. At this time, data transmission between the first gateway 310 and the second gateway 320 is transmitted only in the reverse direction from the second gateway 320 on the service server side to the first gateway 310 on the user terminal side. Therefore, it becomes possible to fundamentally block external intrusion.

본 발명의 일 구현예에 따르면, 상기 게이트 웨이(300)는 사용자 단말과 서비스 서버의 구동 상태 및 접속 상태를 실시간으로 점검하여 선택적으로 서비스 제공을 제한하는 점검부(330)를 포함하여 구성될 수 있다. According to one implementation of the present invention, the gateway 300 may be configured to include an inspection unit 330 that checks the operating status and connection status of the user terminal and the service server in real time and selectively limits service provision. there is.

이때, 상기 점검부(330)는, 네트워크 점검부, 디바이스 점검부 및 서비스 점검부를 포함하여 구성될 수 있는데, 상기 네트워크 점검부는, 사용자 단말이 접속한 네트워크가 기설정된 허용 네트워크에 포함되는지 여부를 판별하여 네트워크 정상 여부를 판별하는 것일 수 있다.At this time, the inspection unit 330 may be configured to include a network inspection unit, a device inspection unit, and a service inspection unit. The network inspection unit determines whether the network connected to the user terminal is included in the preset allowable network. This may be used to determine whether the network is normal.

또한, 상기 디바이스 점검부는, 상기 디바이스에 설치된 검사 프로그램의 디바이스 검사 결과를 수신받아 상기 디바이스의 정상 구동 여부를 판별하는 것일 수 있다. 그리고, 상기 서비스 점검부는, 상기 서비스 서버의 점검 프로그램에 의한 서비스 서버 검사 결과를 수신받아 상기 서비스 서버의 정상 구동 여부를 판별하는 것일 수 있다.Additionally, the device inspection unit may receive a device test result of a test program installed on the device and determine whether the device is operating normally. In addition, the service inspection unit may receive a service server inspection result by an inspection program of the service server and determine whether the service server is operating normally.

이에 의하여 본 발명에 따르면, 상기 점검부(330)를 통하여 사용자 단말과 서비스 서버의 구동 상태 및 접속 상태를 실시간으로 점검하여 선택적으로 서비스 제공을 제한할 수 있게 된다. Accordingly, according to the present invention, it is possible to selectively limit service provision by checking the operating status and connection status of the user terminal and the service server in real time through the inspection unit 330.

본 발명의 또 다른 구현예에 따르면, 상기 사용자 네트워크 프로파일의 서버접속 인증정보는, 서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함되어 구성될 수 있다.According to another implementation of the present invention, the server connection authentication information of the user network profile may be configured to include an expiration time (ExpireDate), which is information about the effective time of server connection.

이에 의하여, 서비스 이용시 만료 시간에 대한 통제를 통하여 허용된 시간만큼 서비스를 이용하며 지속적으로 변경되기 때문에 정보가 노출되더라도 일시적인 이용만이 가능하게 된다.As a result, the expiration time is controlled when using the service, so the service is used for the allowed time and is continuously changed, so even if the information is exposed, only temporary use is possible.

특히 본 구현예에 따르면 상기 만료 시간은, 상기 서비스 서버(400)의 보안 등급에 따라, 상기 보안 등급이 높을수록 상기 만료 시간이 짧게 설정될 수 있다. 예를 들어 기밀이 중요시되는 서버에 접속하여 서비스를 이용하는 경우에는 서비스 이용 시간을 짧게 설정하여 수시로 사용자 인증절차를 진행함으로써, 보안이 중요시 되는 서비스 서버(400)에 대한 정보 유출을 최소화할 수 있게 된다.In particular, according to this implementation, the expiration time may be set to be shorter according to the security level of the service server 400, as the security level is higher. For example, when using a service by connecting to a server where confidentiality is important, the service use time is set short and the user authentication process is performed frequently, thereby minimizing information leakage to the service server 400 where security is important. .

본 발명의 또 다른 구현예에 따르면, 상기 사용자 네트워크 프로파일은, 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함되어 구성될 수 있다.According to another implementation of the present invention, the user network profile may be configured to include validity information indicating whether the user network profile is valid.

이때 상기 유효성 정보는, 접속 세션을 표시하는 세션 정보일 수 있다. 상기 세션 정보는 예를 들어 사용자가 접속제어 서버(200)에 접속할 때마다 새로이 설정되어 갱신될 수 있다.At this time, the validity information may be session information indicating a connection session. For example, the session information may be newly set and updated each time the user accesses the access control server 200.

또한 상기 유효성 정보는, 게이트 웨이(300)가 상기 사용자 단말(100)로 제공하는 데이터량에 따라 기설정된 데이터 용량이 제공되는 경우, 상기 접속제어 서버(200)가 해당 사용자 네트워크 프로파일을 폐기할 수 있도록 제한 데이터량을 포함하여 구성될 수 있다. 즉, 사용자가 소정의 데이터를 제공받은 후에는 접속이 중단되고 새로이 사용자가 인증요청 정보를 입력하여야 접속이 계속 연결될 수 있다. In addition, the validity information allows the access control server 200 to discard the user network profile when a preset data capacity is provided according to the amount of data provided by the gateway 300 to the user terminal 100. It can be configured to include a limited amount of data. In other words, after the user receives certain data, the connection is interrupted and the connection can be continued only when the user newly enters authentication request information.

이에 의하여, 본 발명에 따르면 조건(시간, 데이터량, 세션)에 따라 다르게 생성되는 사용자 네트워크 프로파일을 이용하여 서버에의 접속을 통제하기 때문에, 서버 정보가 노출되더라도 설정된 조건 즉, 설정된 시간이나 데이터량 또는 세션이 경과하면 서버에의 접속이 불가능하게 되므로, 서버 정보가 일시적으로 노출되더라도 지속적인 사용이 불가능하게 된다.Accordingly, according to the present invention, access to the server is controlled using a user network profile that is differently created depending on conditions (time, data amount, session), so even if the server information is exposed, the set conditions, that is, the set time or data amount, are controlled. Alternatively, when the session elapses, access to the server becomes impossible, so continuous use becomes impossible even if server information is temporarily exposed.

이상에서 본 발명의 바람직한 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다. Although the preferred embodiments of the present invention have been described above, those skilled in the art can add, change, delete or add components without departing from the spirit of the present invention as set forth in the patent claims. The present invention may be modified and changed in various ways, and this will also be included within the scope of rights of the present invention.

예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.For example, each component described as single may be implemented in a distributed manner, and similarly, components described as distributed may also be implemented in a combined form. The scope of the present invention is indicated by the claims described below rather than the detailed description above, and all changes or modified forms derived from the meaning and scope of the claims and their equivalent concepts should be construed as being included in the scope of the present invention. do.

본 발명은 사용자와 서버 간의 데이터를 중계하는 게이트 웨이(Gate Way)에서 사용자 네트워크 프로파일을 기반으로 동적 포트와 역(Reverse) 접속을 통하여 서비스 서버의 주소를 노출하지 않고 서비스를 제공할 수 있는 사용자 네트워크 프로파일 기반 서비스 제공 시스템에 관한 것으로, 본 발명에 따르면, 제1 게이트 웨이와 제2 게이트 웨이 사이의 데이터 전송은, 서비스 서버측 제2 게이트 웨이로부터 사용자 단말측 제1 게이트 웨이의 역방향으로만 전송됨으로써, 외부의 침입으로부터 원천적으로 봉쇄할 수 있는 효과가 있다. The present invention is a user network that can provide services without exposing the address of the service server through dynamic ports and reverse connections based on the user network profile at the gateway that relays data between the user and the server. Regarding a profile-based service provision system, according to the present invention, data transmission between a first gateway and a second gateway is transmitted only in the reverse direction from the second gateway on the service server side to the first gateway on the user terminal side. , has the effect of fundamentally blocking external invasion.

100 : 사용자 단말 200 : 접속제어 서버
300 : 게이트 웨이 310 : 제1 게이트 웨이
311 : 제1 동적 포트 320 : 제2 게이트 웨이
321 : 제2 동적 포트 330 : 점검부
400 : 서비스 서버
A : 사용자 정보 B : 디바이스 정보
C : 서버접속 정보 a : 사용자 인증정보
b : 디바이스 인증정보 c : 서버접속 인증정보100: User terminal 200: Access control server
300: gateway 310: first gateway
311: first dynamic port 320: second gateway
321: second dynamic port 330: inspection unit
400: service server
A: User information B: Device information
C: Server connection information a: User authentication information
b: Device authentication information c: Server connection authentication information

Claims (22)

사용자가 서비스를 요청하고, 서비스 서버로부터 제공되는 서비스를 이용하기 위한 사용자 단말(Device)과;
상기 사용자에게 서비스를 이용하는데 필요한 정보인 사용자 네트워크 프로파일을 제공하고, 사용자의 서비스 서버 접속을 제어하는 접속제어 서버(Access Control Server)와;
상기 사용자 단말과 상기 서비스 서버 사이에서, 상기 서비스 서버로부터 제공되는 데이터를 상기 사용자 단말로 중계하는 게이트 웨이(Gate Way)를 포함하여 구성되고,
상기 게이트 웨이는,
상기 사용자 단말과 서비스 서버의 구동 상태 및 접속 상태를 실시간으로 점검하여 선택적으로 서비스 제공을 제한하는 점검부;를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
A user terminal (Device) for the user to request a service and use the service provided by the service server;
an access control server that provides the user with a user network profile, which is information necessary to use the service, and controls the user's access to the service server;
Between the user terminal and the service server, it is configured to include a gateway that relays data provided from the service server to the user terminal,
The gateway is,
A user network profile-based service provision system comprising: an inspection unit that checks the operating status and connection status of the user terminal and the service server in real time and selectively limits service provision.
 제1항에 있어서,
상기 게이트 웨이는,
상기 사용자 단말과 접속하기 위한 제1 게이트 웨이와;
상기 서비스 서버와 접속하기 위한 제2 게이트 웨이;를 포함하여 구성되어,
상기 제2 게이트 웨이에 의해, 상기 제2 게이트 웨이로부터 상기 제1 게이트 웨이로 된 통신 채널에 의하여, 상기 서비스 서버로부터 제공되는 데이터가 상기 사용자 단말로 전송됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to paragraph 1,
The gateway is,
a first gateway for connecting to the user terminal;
It is configured to include a second gateway for connecting to the service server,
A service providing system based on a user network profile, characterized in that data provided from the service server is transmitted to the user terminal by the second gateway through a communication channel from the second gateway to the first gateway. .
 제2항에 있어서,
상기 제1 게이트 웨이와 제2 게이트 웨이 사이의 데이터 전송은,
서비스 서버측 제2 게이트 웨이로부터 사용자 단말측 제1 게이트 웨이의 역방향으로만 전송됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to paragraph 2,
Data transmission between the first gateway and the second gateway,
A service providing system based on a user network profile, characterized in that transmission is transmitted only in the reverse direction from the second gateway on the service server side to the first gateway on the user terminal side.
 제3항에 있어서,
상기 사용자 단말은,
인증요청 정보를 상기 접속제어 서버로 전송하여 사용자 네트워크 프로파일 제공을 요청하고,
상기 접속제어 서버는,
상기 인증요청 정보를 기반으로 사용자 네트워크 프로파일을 생성하여 상기 사용자 단말로 전송함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 3,
The user terminal is,
Send authentication request information to the access control server to request provision of a user network profile,
The access control server,
A user network profile-based service providing system, characterized in that a user network profile is created based on the authentication request information and transmitted to the user terminal.
 제4항에 있어서,
상기 인증요청 정보는,
상기 사용자 단말을 사용하는 사용자에 관한 정보인 사용자 정보와;
상기 사용자 단말 자체의 고유 정보인 디바이스 정보와;
상기 서비스 서버와의 접속에 관한 정보인 서버접속 정보;를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to paragraph 4,
The above authentication request information is:
User information, which is information about the user using the user terminal;
device information that is unique information of the user terminal itself;
A user network profile-based service providing system comprising: server connection information, which is information regarding connection to the service server.
 제4항에 있어서,
상기 사용자 네트워크 프로파일은,
상기 사용자가 인증된 사용자임을 증명하는 사용자 인증정보(AuthToken)와;
상기 사용자 단말이 인증된 기기임을 증명하는 디바이스 인증정보(DeviceToken)와;
상기 사용자가 해당 서버에 접속이 허가된 사용자임을 증명하는 서버접속 인증정보(AccessToken);를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to paragraph 4,
The user network profile is,
User authentication information (AuthToken) that proves that the user is an authenticated user;
Device authentication information (DeviceToken) that proves that the user terminal is an authenticated device;
A user network profile-based service providing system comprising: server access authentication information (AccessToken) that proves that the user is a user authorized to access the server.
 제6항에 있어서,
상기 사용자 인증정보(AuthToken)는,
사용자 아이디, 접속 시각 및 사용자별 고유값을 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 6,
The user authentication information (AuthToken) is,
A user network profile-based service provision system characterized by being coded and created using user ID, access time, and unique values for each user.
 제6항에 있어서,
상기 디바이스 인증정보(DeviceToken)는,
기기 고유의 아이디를 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 6,
The device authentication information (DeviceToken) is,
A user network profile-based service provision system characterized by being coded and created using the device's unique ID.
 제6항에 있어서,
상기 서버접속 인증정보(AccessToken)는,
서비스 아이디, 사용자 정보, 인증시각 및 서비스 서버별 고유키를 이용해 코드화하여 생성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 6,
The server access authentication information (AccessToken) is,
A user network profile-based service provision system characterized by being coded and created using service ID, user information, authentication time, and unique key for each service server.
 제2항 내지 제9항 중 어느 한 항에 있어서,
상기 사용자 단말은,
상기 접속제어 서버로부터 전송된 사용자 네트워크 프로파일을 기반으로 상기 제1 게이트 웨이에 서비스 이용을 요청하고,
상기 제1 게이트 웨이는,
상기 접속제어 서버로 상기 사용자 단말로부터 수신된 사용자 네트워크 프로파일에 대한 인증을 요청함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to any one of claims 2 to 9,
The user terminal is,
Requesting service use from the first gateway based on the user network profile transmitted from the access control server,
The first gateway is,
A user network profile-based service providing system, characterized in that it requests authentication for the user network profile received from the user terminal to the access control server.
 제10항에 있어서,
상기 점검부는,
네트워크 점검부;
디바이스 점검부; 및
서비스 점검부;를 포함하여 구성됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 10,
The inspection department,
Network inspection department;
Device inspection unit; and
A user network profile-based service provision system comprising a service inspection unit.
 제11항에 있어서,
상기 네트워크 점검부는,
상기 사용자 단말이 접속한 네트워크가, 기설정된 허용 네트워크에 포함되는지 여부를 판별하여 네트워크 정상 여부를 판별함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 11,
The network inspection department,
A service providing system based on a user network profile, characterized in that it determines whether the network is normal by determining whether the network connected to the user terminal is included in a preset allowable network.
 제11항에 있어서,
상기 디바이스 점검부는,
상기 디바이스에 설치된 검사 프로그램의 디바이스 검사 결과를 수신받아 상기 디바이스의 정상 구동 여부를 판별함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 11,
The device inspection unit,
A service providing system based on a user network profile, characterized in that it receives a device test result of a test program installed on the device and determines whether the device is operating normally.
 제11항에 있어서,
상기 서비스 점검부는,
상기 서비스 서버의 점검 프로그램에 의한 서비스 서버 검사 결과를 수신받아 상기 서비스 서버의 정상 구동 여부를 판별함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 11,
The service inspection department,
A user network profile-based service providing system characterized by receiving a service server inspection result by an inspection program of the service server and determining whether the service server is operating normally.
 제10항에 있어서,
상기 접속제어 서버는,
상기 제1 게이트 웨이로부터 전송된 사용자 네트워크 프로파일이 상기 사용자 단말로 기전송한 사용자 네트워크 프로파일과 일치하는 경우,
상기 제1 게이트 웨이와 제2 게이트 웨이 사이에 채널을 형성할 제1 동적 포트 및 제2 동적 포트를 상기 제1 게이트 웨이와 제2 게이트 웨이에 각각 설정하고,
상기 제2 게이트 웨이로, 상기 서비스 이용을 요청받은 서비스 서버의 주소 및 포트를 전송함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 10,
The access control server,
When the user network profile transmitted from the first gateway matches the user network profile previously transmitted to the user terminal,
Setting a first dynamic port and a second dynamic port to form a channel between the first gateway and the second gateway, respectively, in the first gateway and the second gateway,
A service providing system based on a user network profile, characterized in that the address and port of the service server requested to use the service are transmitted to the second gateway.
 제15항에 있어서,
상기 접속제어 서버는,
상기 제1 동적 포트 및 제2 동적 포트의 설정 내용을 상기 제2 게이트 웨이로 제공함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 15,
The access control server,
A service providing system based on a user network profile, characterized in that the settings of the first dynamic port and the second dynamic port are provided to the second gateway.
 제16항에 있어서,
상기 제2 게이트 웨이는,
상기 접속제어 서버로부터 제공된 상기 서비스 서버의 주소 및 포트로 서비스 서버에 접속을 요청함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 16,
The second gateway is,
A service providing system based on a user network profile, characterized in that it requests access to a service server using the address and port of the service server provided by the access control server.
 제17항에 있어서,
상기 제2 게이트 웨이는,
상기 제2 동적 포트를 이용하여 상기 제1 게이트 웨이의 상기 제1 동적 포트로 접속함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 17,
The second gateway is,
A service providing system based on a user network profile, characterized in that it connects to the first dynamic port of the first gateway using the second dynamic port.
 제18항에 있어서,
상기 접속제어 서버는,
상기 제1 동적 포트 또는 상기 제2 동적 포트를 기설정된 조건을 주기로 갱신하여 생성함을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 18,
The access control server,
A service providing system based on a user network profile, characterized in that the first dynamic port or the second dynamic port is periodically updated according to preset conditions.
 제19항에 있어서,
상기 서버접속 인증정보(AccessToken)는,
서버접속 유효시간에 관한 정보인 만료 시간(ExpireDate)이 포함됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 19,
The server access authentication information (AccessToken) is,
A user network profile-based service provision system characterized by including an expiration time (ExpireDate), which is information about the effective time of server connection.
 제10항에 있어서,
상기 사용자 네트워크 프로파일은,
상기 사용자 네트워크 프로파일의 유효성 여부를 나타내는 유효성 정보가 포함됨을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 10,
The user network profile is,
A service providing system based on a user network profile, characterized in that it includes validity information indicating whether the user network profile is valid.
 제21항에 있어서,
상기 유효성 정보는,
접속 세션을 표시하는 세션 정보임을 특징으로 하는 사용자 네트워크 프로파일 기반 서비스 제공 시스템.
According to clause 21,
The validity information is,
A user network profile-based service provision system characterized by session information indicating an access session.
KR1020220191195A 2022-12-30 Service providing system based on user network profile KR20240108011A (en)

Publications (1)

Publication Number Publication Date
KR20240108011A true KR20240108011A (en) 2024-07-09

Family

ID=

Similar Documents

Publication Publication Date Title
CN113572738B (en) Zero trust network architecture and construction method
US11647003B2 (en) Concealing internal applications that are accessed over a network
US7254833B1 (en) Electronic security system and scheme for a communications network
US8776208B2 (en) Incorporating network connection security levels into firewall rules
EP1782265B1 (en) System and method for secure network connectivity
US7707628B2 (en) Network system, internal server, terminal device, storage medium and packet relay method
US20060168654A1 (en) Authentication of remote host via closed ports
US20240171576A1 (en) Identity proxy and access gateway
Oniga et al. A secure LoRaWAN sensor network architecture
US11876796B2 (en) Systems, methods, and storage media for abstraction and enforcement in an identity infrastructure
CN114915427B (en) Access control method, device, equipment and storage medium
KR102627397B1 (en) Reverse access system for network using dynamic port
KR20240108011A (en) Service providing system based on user network profile
KR102664208B1 (en) Service providing method based on user network profile
KR20240108010A (en) Service providing system using one time user access token
US20070266254A1 (en) Local Area Network Certification System and Method
CN114254352A (en) Data security transmission system, method and device
KR20230159110A (en) Data transmitting method via gateway relaying
KR20240076874A (en) Server connection control method based on user network profile
EP1340338B1 (en) Electronic security system and scheme for a communications network
KR20230155197A (en) Service providing method of the server via gateway
KR102167575B1 (en) Method for blocking loop around connection between servers utilizing imaginary accoun
KR20240076873A (en) Approved contents providing method based on user network profile
CN117395014A (en) Secure data exchange system, secure data exchange method, electronic device, and storage medium
AU2001245048A1 (en) Electronic security system and scheme for a communications network