WO2017204566A1 - Line control device and method - Google Patents
Line control device and method Download PDFInfo
- Publication number
- WO2017204566A1 WO2017204566A1 PCT/KR2017/005428 KR2017005428W WO2017204566A1 WO 2017204566 A1 WO2017204566 A1 WO 2017204566A1 KR 2017005428 W KR2017005428 W KR 2017005428W WO 2017204566 A1 WO2017204566 A1 WO 2017204566A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- secure communication
- communication device
- control server
- line
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Definitions
- the present invention relates to a circuit control apparatus and method, and more particularly, to a rotation control apparatus and method for managing a secure communication device for controlling the Internet network access of the user terminal between the user terminal and the network connection device.
- a user terminal capable of internet communication, for example, a computer
- the user terminal In order to access the Internet through a user terminal capable of internet communication, for example, a computer, the user terminal must be connected to a network access device connected to an internet network such as an L2 switch.
- a network connection device is a network device of a telecommunication company, and when a customer joins the Internet, the network connection device is opened to enable the Internet connection.
- the Internet subscription customer is a business
- a large number of users generally use the Internet through one network access device, and thus, an enterprise attempts to control the range of Internet use for security.
- software or separate hardware equipment is used to control the scope of the Internet.
- the software may be forcibly terminated by the user, or there may be a possibility of illegal Internet use by formatting the storage medium in which the software is stored and removing the software.
- a separate secure communication device is connected to the network connection device, and the user terminal is connected to the secure communication device to be connected to the Internet, and the secure communication device limits the range of Internet use of the user terminal.
- the user may not prevent the user from attempting to connect the user terminal directly to the network connection device by removing the secure communication device, or after modulating the user terminal as if it is a secure communication device by software, the secure communication device If you connect directly to a network connection device to access the Internet, you cannot block it.
- the present invention has been proposed to solve the above problems, and in controlling the Internet access through a secure communication device, removes the secure communication device or modulates the user terminal as if it is the secure communication device. It is an object of the present invention to provide a circuit control apparatus and method for blocking the operation.
- a line control device for managing a secure communication device for controlling the Internet network connection of the user terminal between the user terminal and the network connection device, the line from the network connection device
- a line information collecting unit for collecting information
- a status checker for identifying a device connected to a network access device from the collected line information, and checking a status of the identified device in a secure communication device control server
- a circuit breaker for selectively blocking a circuit of the network access device according to a result of the status check of the identified device.
- the line blocking unit may maintain the line of the network connection device when the state of the identified device identified by the secure communication device control server is in a normal state and block the line when it is in an abnormal state.
- the secure communication device periodically transmits status information to the secure communication device control server when connected to the user terminal, and transmits a disconnection message to the secure communication device control server when the connection with the user terminal is released. Periodic transmission of status information can be stopped.
- the status check unit includes an abnormal flag from the secure communication device control server when the connection release message is not received from the identified device to the secure communication device control server and the status information is not received during the transmission period of the status information. A status information response can be received.
- the status check unit may receive a status information response including an abnormal flag from the secure communication device control server when there is no periodic transmission record of the status information from the identified device to the secure communication device control server.
- the line blocking unit may periodically check the state of the identified device in the secure communication device control server.
- the line information includes a port number of the network connection device and identification information of a device connected to the port number, and the status checking unit is configured to identify the device using the identification information of the device included in the line information.
- the line blocking unit may check a state and transmit a block command of the port number to the network connection device.
- the blocking may include maintaining the line of the network access device when the state of the identified device identified in the secure communication device control server is in a normal state and cutting off the line in an abnormal state.
- the secure communication device periodically transmits status information to the secure communication device control server when connected to the user terminal, and transmits a disconnection message to the secure communication device control server when the connection with the user terminal is released. Periodic transmission of status information can be stopped.
- the checking may include, when the connection release message is not received from the identified device to the secure communication device control server and the status information is not received during the transmission period of the status information, the abnormal flag from the secure communication device control server. It may receive a status information response including.
- the checking may include receiving a status information response including an abnormal flag from the secure communication device control server when there is no periodic transmission record of the status information from the identified device to the secure communication device control server.
- the present invention can reinforce security of a group in which security of an enterprise, a military unit, etc. is important by removing a secure communication device or modulating a user terminal as if it is the secure communication device to block direct Internet access to the user terminal.
- FIG. 1 is a diagram illustrating a system for controlling Internet access according to an embodiment of the present invention.
- FIG. 2 is a diagram showing the configuration of a circuit control server according to an embodiment of the present invention.
- FIG. 3 is a flowchart illustrating a line control method according to an embodiment of the present invention.
- FIG. 4 is a flowchart illustrating a line control method according to another embodiment of the present invention.
- FIG. 1 is a diagram illustrating a system for controlling Internet access according to an embodiment of the present invention.
- the system includes a secure communication device 110, a network connection device 120, a DHCP server 130, a line control server 140, a secure communication device control server 150, The communication network 160 and the user terminal 170 is included.
- the user terminal 170 is a terminal capable of internet communication, and includes, for example, a notebook computer, a desktop computer, a tablet PC, and the like.
- the user terminal 170 may not communicate through a general mobile communication network, but may be a terminal capable of internet communication through a wireless LAN or a wired interface.
- the present invention is not limited thereto, and when the area in which the secure communication device 110 is installed is not a service area of the mobile communication network, the user terminal 170 may also include a smartphone that can be connected to the secure communication device 110. .
- the secure communication device 110 is connected to the network connection device 120 through a LAN cable and wirelessly or wiredly connected to the user terminal 170 to control the connection of the user terminal 170 to the network connection device 120.
- the secure communication device 110 is a hardware security device having a processor (CPU), an operating system (OS), and a memory.
- CPU central processing unit
- OS operating system
- the secure communication device 110 receives power and boots, and is a system independent of the user terminal 170. It works.
- some functions of the user terminal 170 may be disabled. For example, the communication function of the user terminal 170 may be deactivated.
- the secure communication device 110 When the user terminal 170 is connected and booted with power, the secure communication device 110 periodically transmits status information to the secure communication device control server 150. When the secure communication device 110 is normally disconnected from the user terminal 170, the secure communication device 110 transmits a disconnection message to the secure communication device control server 140, and the secure communication device 110 no longer supplies power. Do not send status information.
- the status information includes a transmission time, a unique identification code, a MAC address of the secure communication device 110, and the like.
- the secure communication device 110 may be connected to the user terminal 170 through a communication interface.
- the communication interface may be selected from various wired and wireless interfaces.
- the communication interface may be a USB interface, but other communication interfaces that may be connected to the user terminal 170 are possible.
- the secure communication device 110 may further include a communication interface connectable with the network connection device 120, and may include, for example, a wired communication interface capable of connecting to a communication network using a wired cable.
- the secure communication device 110 stores a white list, which is a list of access allowable Internet addresses, in a memory, and controls the user terminal 170 to access only the Internet addresses in the white list.
- the secure communication device 110 may receive and update a white list from the secure communication device control server 150.
- the security communication device 110 may include a sensor for recognizing biometric information, and may recognize the biometric information of the user, and may use the same when comparing and matching the biometric information stored in advance.
- the network connection device 120 is a device for connecting the secure communication device 110 and the communication network 160, and includes an L2 switch, an L3 switch, and the like.
- the L2 switch plays the role of the data link layer in the Open System Interconnection (OSI) 7-layer model. Specifically, the L2 switch is responsible for data transmission between physical networks, physical addressing, error detection, frame forwarding, and data flow. Manage control One Internet line may be connected to one port of the L2 switch.
- the L2 switch obtains the MAC addresses of the devices connected to each port and stores them in the MAC table. Therefore, in the present embodiment, the MAC address and the port number of the secure communication device 110 are matched and stored in the MAC table.
- the L2 switch determines which port to send the frame to by referring to the MAC table.
- the L3 switch performs the role of a network layer in the OSI 7 layer model, and uses an ARP (Address Resolution Protocol) protocol to map IP addresses of the secure communication device 110 and the user terminal 170 to MAC addresses. Is stored in the ARP table. In other words, if you look up the ARP table, you can check the IP addresses of the devices and their corresponding MAC addresses.
- ARP Address Resolution Protocol
- the Dynamic Host Configuration Protocol (DHCP) server 130 manages a pool of IP addresses and, upon receiving an IP address assignment request, retrieves and assigns an IP address from the pool.
- the user terminal 170 when the user terminal 170 is connected to the secure communication device 110 and receives an IP address assignment request, the user terminal 170 allocates an IP address to the secure communication device 110 and the user terminal 170.
- the IP address allocation request may include MAC addresses of the user terminal 170 and the secure communication device 110.
- the DHCP server 130 may request the authentication by transmitting the MAC addresses of the user terminal 170 and the secure communication device 110 to the circuit control server 140 and may assign an IP address when an authentication success response is received. Alternatively, the DHCP server 130 may request authentication by transmitting only the MAC address of the secure communication device 110 to the line control server 140.
- the secure communication device control server 150 controls the secure communication device 110.
- the secure communication device control server 150 stores and manages a white list, which is a list of allowed Internet addresses for each secure communication device, and transmits and updates the white list to the secure communication device 110 when the secure communication device 110 is connected. can do.
- identification information eg, MAC address
- the white list may be different for each user terminal.
- the secure communication device control server 150 periodically receives and stores state information from the secured communication device 110.
- the state information stored includes a reception time, a unique identification code of the secure communication device 110, a MAC address, and the like.
- the secure communication device control server 150 retrieves the state information of the corresponding specific secure communication device 110, and retrieves the retrieved state information.
- a status information response including a flag is returned.
- the flag here includes a normal flag or an abnormal flag. The normal flag indicates that the secure communication device 110 is normally connected to the network connection device 120, and the abnormal flag indicates that the secure communication device 110 is not normally connected to the network connection device 120.
- the abnormal flag is, for example, a case where the secured communication device 110, which is powered on, is normally connected to the network connection device 120 and is forcibly removed from the network connection device 120.
- the secure communication device control server 150 sets an abnormal flag when no status information is received and no connection release message is received even when the state information receiving period of the secure communication device 110 has arrived.
- the secure communication device control server 150 returns a status information response including an abnormal flag even when a status information request for the secure communication device 110 for which the status information is not received is received.
- the secure communication device control server 150 When the secure communication device control server 150 receives the state information request for the specific secure communication device 110 from the line control server 140, the secure communication device control server 150 retrieves the state information of the corresponding specific secure communication device 110 and displays a normal flag. Or transmits a status information response including an abnormal flag to the circuit control server 140.
- the status information request may include the MAC address or IP address of the secure communication device 110.
- the circuit control server 140 stores information of a subscriber who has subscribed to an internet access control service using the secure communication device 110.
- the subscriber's information may include, for example, a company name, information (IP address, MAC address, port number, etc.) of the network connection device 120, identification information (eg, MAC address) of the secure communication device 110, the Internet in the enterprise. It may include identification information (eg, MAC address) of the licensed user terminals.
- the circuit control server 140 upon receiving an authentication request for IP address assignment from the DHCP server 130, returns an authentication response based on the subscriber information.
- the authentication request may include identification information of the secure communication device 110, and the line control server 140 may authenticate successful response when the identification information of the secure communication device 110 included in the authentication request matches the subscriber information. Reply.
- the authentication request may further include identification information of the user terminal 170, the circuit control server 140, both the identification information of the secure communication device 110 and the identification information of the user terminal 170 is consistent with the subscriber information. In this case, the authentication success response can be returned.
- the line control server 140 periodically collects line information of the network connection device 120.
- the line information includes the IP address, port number, and identification information (eg, MAC address, IP address) of the secure communication device 110 connected for each port number.
- the line control server 140 identifies the secure communication device 110 connected to the network connection device 120 from the collected line information, and transmits status information about the identified secure communication device 110 to the secure communication device control server. Request 150 to receive a status information response.
- the circuit control server 140 selectively blocks the circuit of the network connection device 120 based on the status information response.
- the circuit control server 140 transmits a status information request including identification information (eg, MAC address, IP address) of the identified secure communication device 110 to the secure communication device control server 150. .
- the circuit control server 140 receives the status information response from the secure communication device control server 150 and selectively blocks the circuit of the network access device 120 according to a flag included in the status information response. If there is a normal flag, the line control server 140 maintains the line of the network connection device 120, and if there is an abnormal flag, transmits a block command for a specific port to the network connection device 120.
- the line control server 140 determines that it is a fraudulent use and thus corresponds to the plurality of network connection devices.
- a block command for the port where the corresponding MAC address is found may be transmitted. For example, after connecting the first user terminal to the secure communication device 110 connected to the first network connection device 120, the second user terminal that modulates the MAC address to the other second network connection device 120. In this case, the corresponding port of the first and second network connection devices 120 is blocked.
- FIG. 2 is a diagram showing the configuration of a circuit control server according to an embodiment of the present invention.
- the circuit control server 140 shown in FIG. 2 may include a memory, a memory controller, one or more processors (CPUs), peripheral interfaces, input / output (I / O) subsystems, display devices, input devices, and communication circuits. . These components communicate via one or more communication buses or signal lines. These various components may be implemented in hardware, software or a combination of both hardware and software, including one or more signal processing and / or application specific integrated circuits.
- the memory may include fast random access memory, and may also include one or more magnetic disk storage devices, nonvolatile memory such as flash memory devices, or other nonvolatile semiconductor memory devices. Access to memory by other components of the server, such as processors and peripheral interfaces, may be controlled by the memory controller.
- information of a subscriber who has subscribed to the Internet access control service using the secure communication device 110 is stored. Subscriber information may be input by the input device.
- the subscriber's information may include, for example, a company name, information (IP address, MAC address, port number, etc.) of the network connection device 120, identification information (eg, MAC address) of the secure communication device 110, the Internet in the enterprise. It may include identification information (eg, MAC address) of the licensed user terminals.
- the peripheral interface connects the server's input and output peripherals with the processor and memory.
- One or more processors execute a set of instructions stored in various software programs and / or memories to perform various functions for the system and process the data.
- the software component is loaded (installed) with an operating system, a graphics module (instruction set), and a program for performing operations for the present invention.
- the operating system may be, for example, a built-in operating system such as Darwin, RTXC, LINUX, UNIX, OS X, WINDOWS or VxWorks, Android, iOS, etc., and may be a general system task (e.g., memory management , Various software components and / or devices that control and manage storage devices, power management, and the like, and facilitate communication between various hardware and software components.
- the graphics module includes several well known software components for presenting and displaying graphics on the display device.
- graphics includes all objects that can be displayed, including, without limitation, text, web pages, icons (eg, user interface objects including soft keys), digital images, videos, animations, and the like.
- peripheral interfaces, processors and memory controllers may be implemented on a single chip such as a chip. In some other embodiments, they may be implemented in separate chips.
- the I / O subsystem provides an interface between the input and output peripherals of peripheral devices such as display devices and input devices.
- the display device may use a liquid crystal display (LCD) technology or a light emitting polymer display (LPD) technology, and the display device may be a touch display such as a capacitive type, a resistive type, or an infrared type.
- the touch display provides an output interface and an input interface between the system and the user.
- the touch display presents visual output to the user.
- the visual output may include text, graphics, video, and combinations thereof. Some or all of the visual output may correspond to user interface objects.
- the touch display forms a touch sensitive surface that accepts user input.
- a processor is a processor configured to perform operations associated with a system and to perform instructions, for example, using instructions retrieved from memory to control the reception and manipulation of input and output data between components of the system.
- the communication circuit may include an Ethernet communication circuit and an RF circuit.
- the Ethernet communication circuit performs wired communication, and the RF circuit transmits and receives electromagnetic waves.
- RF circuitry converts electrical signals into electromagnetic waves and vice versa and communicates with communications networks, other mobile gateways, and communications devices through the electromagnetic waves.
- the line control server 140 may include an authenticator 210, a line information collecting unit 220, a state checking unit 230, and a line blocking unit 240.
- Such components may be manufactured as a program, stored in a memory and operated by a processor, or may be manufactured by a combination of software and hardware.
- the authenticator 210 determines whether to assign an IP address to a device connected to the network connection device 120. Specifically, when the authentication unit 210 receives an authentication request for IP address assignment from the DHCP server 130, the authentication unit 210 returns an authentication response based on the subscriber information stored in the memory.
- the authentication request may include identification information of the secure communication device 110, and the authenticator 210 may generate an authentication success response when the identification information of the secure communication device 110 included in the authentication request matches the subscriber information.
- the authentication request may further include identification information of the user terminal 170, the authentication unit 210, the identification information of the secure communication device 110 and the identification information of the user terminal 170, both match the subscriber information In this case, the authentication success response can be returned.
- the line information collection unit 220 periodically collects line information of the network connection device 120.
- the line information includes the IP address, port number, and identification information (eg, MAC address, IP address) of the secure communication device 110 connected for each port number.
- the status checker 230 identifies the secure communication device 110 connected to the network connection device 120 from the collected line information, and transmits the status information on the identified secure communication device 110 to the secure communication device control server. Check at 150.
- the status checker 230 transmits a status information request including identification information (eg, MAC address, IP address) of the identified secure communication device 110 to the secure communication device control server 150, and Receive a status information response.
- identification information eg, MAC address, IP address
- the line blocking unit 240 selectively blocks the line of the network connection device 120 according to a flag included in the status information response. If there is a normal flag, the line blocking unit 240 maintains the line of the network connection device 120, and if there is an abnormal flag, transmits a block command for a specific port to the network connection device 120.
- the line blocking unit 240 determines that the network connection device is a fraudulent use.
- a block command for the port where the corresponding MAC address is found may be transmitted. For example, after connecting the first user terminal to the secure communication device 110 connected to the first network connection device 120, the second user terminal that modulates the MAC address to the other second network connection device 120. In this case, the corresponding port of the first and second network connection devices 120 is blocked.
- FIG. 3 is a flowchart illustrating a line control method according to an embodiment of the present invention.
- the user connects the secure communication device 110, which is connected to the network connection device 120 with a wired cable, to the user terminal 170 (S301).
- the secure communication device 110 may be connected to a USB port of the user terminal 170 by supporting USB communication.
- the user terminal 170 supplies power to the secure communication device 110, and the secure communication device 110 boots and transmits an IP address allocation request to the DHCP server 130 (S303).
- the IP address allocation request includes the MAC addresses of the user terminal 170 and the secure communication device 110.
- the DHCP server 130 may transmit an authentication request including a MAC address of the user terminal 170 and the secure communication device 110 included in the IP address allocation request.
- an authentication request including a MAC address of the user terminal 170 and the secure communication device 110 included in the IP address allocation request.
- the circuit control server 140 Since the circuit control server 140 stores the MAC addresses of the user terminal 170 and the secure communication device 110 as information of a subscriber subscribed to the service, the user terminal 170 and the security included in the authentication request are stored. Authentication is performed by comparing the MAC address of the communication device 110 with the information of the subscriber.
- the circuit control server 140 returns an authentication success response to the DHCP server 130 when the authentication is successful, and returns an authentication failure response to the DHCP server 130 when the authentication fails (S307).
- the MAC address of the user terminal 170 may not be included in the authentication request in step S305.
- the line control server 140 may perform authentication by comparing only the MAC address of the secure communication device 110 with the information of the subscriber. This embodiment is an example in which no user terminal 170 that can use the Internet is designated.
- step S305 and step S307 it is possible to prevent using the Internet by using an unspecified user terminal 170 or by using an unspecified secure communication device 110.
- the DHCP server 130 Upon receiving the authentication success response, the DHCP server 130 assigns an IP address to the secure communication device 110 and the user terminal 170 (S309, S311).
- the secure communication device 110 assigned the IP address periodically transmits state information to the secure communication device control server 140 (S313).
- the status information includes the time of transmission, the unique identification code, the MAC address of the secure communication device 110, and the like.
- the line control server 140 periodically collects line information from the network connection device 120 (S315).
- the line information includes the IP address, port number, and identification information (eg, MAC address, IP address) of the secure communication device 110 connected for each port number.
- the line control server 140 identifies the secure communication device 110 connected to the network connection device 120 from the collected line information, and controls the secure communication device for requesting status information for the identified secure communication device 110.
- the server 150 transmits the data to the server 150 (S317).
- the status information request includes identification information (eg, MAC address, IP address) of the identified secure communication device 110.
- the secure communication device control server 150 retrieves corresponding state information by using the identification information of the identified secure communication device 110 and sends a state information response including the retrieved state information to the line control server 140. It transmits (S319).
- the status information response may include a normal flag indicating that the identified secure communication device 110 is normally connected. Therefore, the rotation control server 140 maintains the line of the network connection device 120 without blocking.
- the secure communication device 110 may not be normally terminated and may be forcibly disconnected from the network connection device 120.
- the user may remove the secure communication device 110 for malicious purposes (S323).
- S323 the secure communication device 110 for malicious purposes
- the secure communication device control server 150 determines that the connection has been abnormally disconnected and includes an abnormal flag therefor.
- the status information response is transmitted to the line control server 140 (S325).
- the rotation control server 140 transmits a command to block the line, that is, the port to which the secure communication device 110 is connected, to the network access device 120 (S327). Therefore, the connection is no longer possible with the line where the secure communication device 110 is forcibly removed, so that the user terminal 170 cannot be directly connected to the network connection device 120 without the secure communication device 110 to use the Internet. .
- FIG. 4 is a flowchart illustrating a line control method according to another embodiment of the present invention.
- the user may modulate the MAC address of the user terminal 170 to have the same MAC address as the secure communication device 110 (S401).
- the user directly connects the user terminal 170 to the network access device 120.
- the user terminal 170 transmits an IP address allocation request to the DHCP server 130 (S405).
- the IP address allocation request includes the MAC address of the user terminal 170.
- the DHCP server 130 Before allocating the IP address, the DHCP server 130 transmits an authentication request including the MAC address of the user terminal 170 included in the IP address allocation request to the line control server 140 (S407).
- the circuit control server 140 stores MAC addresses of the user terminal 170 and the secure communication device 110 as information of a subscriber subscribed to the service, and includes the MAC of the user terminal 170 included in the authentication request. Since the address is the same as the MAC address of the secure communication device 110, the line control server 140 transmits an authentication success response to the DHCP server 130 (S409).
- the DHCP server 130 Upon receiving the authentication success response, the DHCP server 130 assigns an IP address to the user terminal 170 (S411). Since the user terminal 170 is directly connected to the network connection device 120, the secure communication device 110 does not transmit status information to the secure communication device control server 140.
- the line control server 140 periodically collects line information from the network connection device 120 (S413).
- the line information includes the IP address of the network connection device 120, the port number, and identification information (eg, MAC address, IP address) of the connected device for each port number.
- identification information of the user terminal 170 is included as identification information of a device connected to a specific port.
- the line control server 140 identifies the secure communication device 110 connected to the network connection device 120 from the collected line information.
- the MAC address of the user terminal 170 is the same as the MAC address of the secure communication device 110.
- the user terminal 170 is identified as being the secure communication device 110.
- the rotation control server 140 transmits a state information request for the secure communication device 110, that is, the user terminal 170, to the secure communication device control server 150 (S415).
- the status information request includes identification information (eg, MAC address, IP address) of the user terminal 170.
- the secure communication device control server 150 Since the secure communication device 110 does not transmit the state information to the secure communication device control server 140, the secure communication device control server 150 includes identification information (eg, MAC address and IP address) of the user terminal 170. There is no status information corresponding to). Therefore, the secure communication device control server 150 transmits a status information response including an abnormal flag to the line control server 140 (S417). Since the abnormal flag is received, the rotation control server 140 transmits a command to block the line, that is, the port, to which the user terminal 170 is connected, to the network access device 120 (S419). Therefore, the user terminal 170 modulated by the MAC address can no longer use the Internet.
- identification information eg, MAC address and IP address
- the embodiment described with reference to FIGS. 3 and 4 describes an example of fraudulent use in one network connection device 120.
- the second user terminal after connecting the first user terminal to the secure communication device 110 connected to the first network access device 120, the second user terminal modulating the MAC address to the other second network access device 120. You can connect to the internet.
- the circuit control server 140 does not check the status information as in the embodiment of FIG. 4, and when the same MAC address is found in a plurality of different network access devices 120 when collecting the line information, the corresponding plurality
- the network access device 120 may transmit a block command for the port where the corresponding MAC address is found.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 출원은 2016년 05월 24일에 출원된 한국 특허출원 제10-2016-0063629호를 기초로 한 우선권 주장을 수반하며, 해당 특허출원의 명세서 및 도면에 개시된 모든 내용은 본 출원에 원용된다.This application entails a priority claim based on Korean Patent Application No. 10-2016-0063629, filed May 24, 2016, and all the contents disclosed in the specification and drawings of that patent application are incorporated in this application.
본 발명은 회선 제어 장치 및 방법에 관한 것으로, 보다 구체적으로 사용자 단말과 네트워크 접속 장치 사이에서 상기 사용자 단말의 인터넷 네트워크 접속을 통제하는 보안 통신 장치를 관리하기 위한 회전 제어 장치 및 방법에 관한 것이다.The present invention relates to a circuit control apparatus and method, and more particularly, to a rotation control apparatus and method for managing a secure communication device for controlling the Internet network access of the user terminal between the user terminal and the network connection device.
인터넷 통신이 가능한 사용자 단말, 예를 들어 컴퓨터로 인터넷을 접속하기 위해서는 사용자 단말을 L2 스위치 등과 같은 인터넷망에 연결된 네트워크 접속 장치에 연결해야 한다. 이러한 네트워크 접속 장치는 통신 회사의 네트워크 장비로서 고객이 인터넷 가입을 하면 네트워크 접속 장치의 회선을 개방하여 인터넷 연결이 가능하도록 한다.In order to access the Internet through a user terminal capable of internet communication, for example, a computer, the user terminal must be connected to a network access device connected to an internet network such as an L2 switch. Such a network connection device is a network device of a telecommunication company, and when a customer joins the Internet, the network connection device is opened to enable the Internet connection.
인터넷 가입 고객이 기업인 경우, 일반적으로 하나의 네트워크 접속 장치를 통해 다수의 사용자들이 인터넷을 이용하게 되고, 따라서 기업은 보안을 위해 인터넷 사용 범위를 통제하려는 시도를 한다. 일반적으로 인터넷 사용 범위를 통제하는 방식으로 소프트웨어 또는 별도의 하드웨어 장비를 이용한다. 그런데 소프트웨어 방식의 경우 사용자에 의해 강제로 소프트웨어가 종료될 수 있고, 또는 소프트웨어가 저장된 저장 매체를 포맷하여 소프트웨어를 제거하여 불법적인 인터넷 사용을 할 가능성이 있다.If the Internet subscription customer is a business, a large number of users generally use the Internet through one network access device, and thus, an enterprise attempts to control the range of Internet use for security. Generally, software or separate hardware equipment is used to control the scope of the Internet. However, in the case of the software method, the software may be forcibly terminated by the user, or there may be a possibility of illegal Internet use by formatting the storage medium in which the software is stored and removing the software.
따라서 이러한 소프트웨어 방식의 한계를 극복하기 위해 별도의 하드웨어 장비, 즉 보안 통신 장치를 이용하여 인터넷 사용 범위를 통제하는 시도가 있다. 즉, 네트워크 접속 장치에 별도의 보안 통신 장치를 연결하고, 사용자 단말은 그 보안 통신 장치에 연결해야만 인터넷 접속이 되고, 보안 통신 장치는 사용자 단말의 인터넷 사용 범위를 제한한다. 그런데 이러한 보안 통신 장치를 이용하더라도 사용자가 보안 통신 장치를 제거하여 네트워크 접속 장치에 직접 사용자 단말을 연결하는 시도를 막을 수 없고, 또는 사용자 단말을 소프트웨어적으로 보안 통신 장치인 것처럼 변조한 후 보안 통신 장치 없이 네트워크 접속 장치에 직접 연결하여 인터넷에 접속하는 경우 차단을 할 수 없다. Therefore, there is an attempt to control the range of Internet use by using a separate hardware device, that is, a secure communication device, in order to overcome the limitation of this software method. That is, a separate secure communication device is connected to the network connection device, and the user terminal is connected to the secure communication device to be connected to the Internet, and the secure communication device limits the range of Internet use of the user terminal. However, even when such a secure communication device is used, the user may not prevent the user from attempting to connect the user terminal directly to the network connection device by removing the secure communication device, or after modulating the user terminal as if it is a secure communication device by software, the secure communication device If you connect directly to a network connection device to access the Internet, you cannot block it.
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로, 보안 통신 장치를 통해 인터넷 접속을 통제하는데 있어서 상기 보안 통신 장치를 제거하거나 사용자 단말을 상기 보안 통신 장치인 것처럼 변조하여 직접 사용자 단말로 인터넷 접속을 하는 것을 차단하기 위한 회선 제어 장치 및 방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and in controlling the Internet access through a secure communication device, removes the secure communication device or modulates the user terminal as if it is the secure communication device. It is an object of the present invention to provide a circuit control apparatus and method for blocking the operation.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른, 사용자 단말과 네트워크 접속 장치 사이에서 상기 사용자 단말의 인터넷 네트워크 접속을 통제하는 보안 통신 장치를 관리하기 위한 회선 제어 장치는, 상기 네트워크 접속 장치로부터 회선 정보를 수집하는 회선 정보 수집부; 상기 수집된 회선 정보에서 네트워크 접속 장치에 연결된 장치를 식별하고, 식별된 장치의 상태를 보안 통신 장치 제어 서버에서 확인하는 상태 확인부; 및 상기 식별된 장치의 상태 확인 결과에 따라 상기 네트워크 접속 장치의 회선을 선택적으로 차단하는 회선 차단부를 포함한다.According to an aspect of the present invention for achieving the above object, a line control device for managing a secure communication device for controlling the Internet network connection of the user terminal between the user terminal and the network connection device, the line from the network connection device A line information collecting unit for collecting information; A status checker for identifying a device connected to a network access device from the collected line information, and checking a status of the identified device in a secure communication device control server; And a circuit breaker for selectively blocking a circuit of the network access device according to a result of the status check of the identified device.
상기 회선 차단부는, 상기 보안 통신 장치 제어 서버에서 확인된 상기 식별된 장치의 상태가 정상 상태인 경우, 상기 네트워크 접속 장치의 회선을 유지하고 비정상 상태인 경우 회선을 차단할 수 있다.The line blocking unit may maintain the line of the network connection device when the state of the identified device identified by the secure communication device control server is in a normal state and block the line when it is in an abnormal state.
상기 보안 통신 장치는, 상기 사용자 단말과 연결될 경우 상기 보안 통신 장치 제어 서버로 주기적으로 상태 정보를 전송하고, 상기 사용자 단말과의 연결이 해제되는 경우 연결 해제 메시지를 상기 보안 통신 장치 제어 서버로 전송하고 상태 정보의 주기적 전송을 중단할 수 있다.The secure communication device periodically transmits status information to the secure communication device control server when connected to the user terminal, and transmits a disconnection message to the secure communication device control server when the connection with the user terminal is released. Periodic transmission of status information can be stopped.
상기 상태 확인부는, 상기 식별된 장치로부터 상기 보안 통신 장치 제어 서버로 상기 연결 해제 메시지가 수신되지 않고 상태 정보의 전송 주기 동안 상태 정보가 수신되지 않은 경우, 상기 보안 통신 장치 제어 서버로부터 비정상 플래그를 포함하는 상태 정보 응답을 수신할 수 있다.The status check unit includes an abnormal flag from the secure communication device control server when the connection release message is not received from the identified device to the secure communication device control server and the status information is not received during the transmission period of the status information. A status information response can be received.
상기 상태 확인부는, 상기 식별된 장치로부터 상기 보안 통신 장치 제어 서버로의 상태 정보의 주기적 전송 기록이 없는 경우, 상기 보안 통신 장치 제어 서버로부터 비정상 플래그를 포함하는 상태 정보 응답을 수신할 수 있다.The status check unit may receive a status information response including an abnormal flag from the secure communication device control server when there is no periodic transmission record of the status information from the identified device to the secure communication device control server.
상기 회선 차단부는, 주기적으로 상기 보안 통신 장치 제어 서버에서 상기 식별된 장치의 상태를 확인할 수 있다.The line blocking unit may periodically check the state of the identified device in the secure communication device control server.
상기 회선 정보는, 상기 네트워크 접속 장치의 포트 번호 및 해당 포트 번호에 연결된 장치의 식별정보를 포함하고, 상기 상태 확인부는, 상기 회선 정보에 포함된 상기 장치의 식별정보를 이용하여 상기 식별된 장치의 상태를 확인하며, 상기 회선 차단부는, 상기 네트워크 접속 장치로 상기 포트 번호의 차단 명령을 전송할 수 있다.The line information includes a port number of the network connection device and identification information of a device connected to the port number, and the status checking unit is configured to identify the device using the identification information of the device included in the line information. The line blocking unit may check a state and transmit a block command of the port number to the network connection device.
상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른, 사용자 단말과 네트워크 접속 장치 사이에서 상기 사용자 단말의 인터넷 네트워크 접속을 통제하는 보안 통신 장치를 회선 제어 서버에서 관리하는 방법은, 상기 네트워크 접속 장치로부터 회선 정보를 수집하는 단계; 상기 수집된 회선 정보에서 네트워크 접속 장치에 연결된 장치를 식별하고, 식별된 장치의 상태를 보안 통신 장치 제어 서버에서 확인하는 단계; 및 상기 식별된 장치의 상태 확인 결과에 따라 상기 네트워크 접속 장치의 회선을 선택적으로 차단하는 단계를 포함한다.According to another aspect of the present invention for achieving the above object, a method for managing a secure communication device in the circuit control server for controlling the Internet network connection of the user terminal between the user terminal and the network connection device, from the network connection device Collecting circuit information; Identifying a device connected to a network connection device from the collected line information, and confirming a state of the identified device in a secure communication device control server; And selectively blocking a line of the network access device according to a result of checking the status of the identified device.
상기 차단하는 단계는, 상기 보안 통신 장치 제어 서버에서 확인된 상기 식별된 장치의 상태가 정상 상태인 경우, 상기 네트워크 접속 장치의 회선을 유지하고 비정상 상태인 경우 회선을 차단할 수 있다.The blocking may include maintaining the line of the network access device when the state of the identified device identified in the secure communication device control server is in a normal state and cutting off the line in an abnormal state.
상기 보안 통신 장치는, 상기 사용자 단말과 연결될 경우 상기 보안 통신 장치 제어 서버로 주기적으로 상태 정보를 전송하고, 상기 사용자 단말과의 연결이 해제되는 경우 연결 해제 메시지를 상기 보안 통신 장치 제어 서버로 전송하고 상태 정보의 주기적 전송을 중단할 수 있다.The secure communication device periodically transmits status information to the secure communication device control server when connected to the user terminal, and transmits a disconnection message to the secure communication device control server when the connection with the user terminal is released. Periodic transmission of status information can be stopped.
상기 확인하는 단계는, 상기 식별된 장치로부터 상기 보안 통신 장치 제어 서버로 상기 연결 해제 메시지가 수신되지 않고 상태 정보의 전송 주기 동안 상태 정보가 수신되지 않은 경우, 상기 보안 통신 장치 제어 서버로부터 비정상 플래그를 포함하는 상태 정보 응답을 수신할 수 있다.The checking may include, when the connection release message is not received from the identified device to the secure communication device control server and the status information is not received during the transmission period of the status information, the abnormal flag from the secure communication device control server. It may receive a status information response including.
상기 확인하는 단계는, 상기 식별된 장치로부터 상기 보안 통신 장치 제어 서버로의 상태 정보의 주기적 전송 기록이 없는 경우, 상기 보안 통신 장치 제어 서버로부터 비정상 플래그를 포함하는 상태 정보 응답을 수신할 수 있다.The checking may include receiving a status information response including an abnormal flag from the secure communication device control server when there is no periodic transmission record of the status information from the identified device to the secure communication device control server.
본 발명은, 보안 통신 장치를 제거하거나 사용자 단말을 상기 보안 통신 장치인 것처럼 변조하여 직접 사용자 단말로 인터넷 접속을 하는 것을 차단하여 기업, 군부대 등의 보안이 중요한 그룹의 보안을 강화할 수 있다. The present invention can reinforce security of a group in which security of an enterprise, a military unit, etc. is important by removing a secure communication device or modulating a user terminal as if it is the secure communication device to block direct Internet access to the user terminal.
도 1은 본 발명의 일 실시예에 따른 인터넷 접속을 통제하는 시스템을 나타낸 도면이다.1 is a diagram illustrating a system for controlling Internet access according to an embodiment of the present invention.
도 2는 본 발명의 일 실시예에 따른 회선 제어 서버의 구성을 나타낸 도면이다.2 is a diagram showing the configuration of a circuit control server according to an embodiment of the present invention.
도 3은 본 발명의 일 실시예에 따른 회선 제어 방법을 설명하는 흐름도이다.3 is a flowchart illustrating a line control method according to an embodiment of the present invention.
도 4는 본 발명의 다른 실시예에 따른 회선 제어 방법을 설명하는 흐름도이다.4 is a flowchart illustrating a line control method according to another embodiment of the present invention.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 인터넷 접속을 통제하는 시스템을 나타낸 도면이다.1 is a diagram illustrating a system for controlling Internet access according to an embodiment of the present invention.
도 1을 참조하면, 본 실시예에 따른 시스템은, 보안 통신 장치(110), 네트워크 접속 장치(120), DHCP 서버(130), 회선 제어 서버(140), 보안 통신 장치 제어 서버(150), 통신망(160) 및 사용자 단말(170)을 포함한다.Referring to FIG. 1, the system according to the present embodiment includes a
사용자 단말(170)은, 인터넷 통신이 가능한 단말로서, 예를 들어, 노트북, 데스크톱 컴퓨터, 태블릿 PC 등을 포함한다. 바람직하게, 본 실시예에서 사용자 단말(170)은 일반적인 이동통신망을 통해서는 통신을 할 수 없고, 무선랜, 또는 유선 인터페이스를 통한 인터넷 통신이 가능한 단말인 것이 바람직하다. 그러나 여기에 제한된 것은 아니며, 보안 통신 장치(110)가 설치되는 지역이 이동통신망의 서비스 지역이 아닌 경우, 사용자 단말(170)은 보안 통신 장치(110)와 연결될 수 있는 스마트폰 등도 포함할 수 있다.The
보안 통신 장치(110)는 LAN 케이블을 통해 네트워크 접속 장치(120)와 연결되고 사용자 단말(170)과는 무선 또는 유선으로 연결되어 사용자 단말(170)의 네트워크 접속 장치(120)로의 접속을 통제한다. 보안 통신 장치(110)는 프로세서(CPU), 운영체제(OS) 및 메모리를 구비한 하드웨어 보안 장치로서, 사용자 단말(170)에 연결되면 전력을 공급받아 부팅하고, 사용자 단말(170)과 독립적인 시스템으로 동작한다. 또한 보안 통신 장치(110)는 사용자 단말(170)에 연결되면 사용자 단말(170)의 일부 기능을 비활성화(disable)시킬 수 있다. 예를 들어, 사용자 단말(170)의 통신 기능을 비활성화시킬 수 있다. The
보안 통신 장치(110)는 사용자 단말(170)이 연결되어 전력을 공급받아 부팅되면, 상태 정보를 주기적으로 보안 통신 장치 제어 서버(150)로 전송한다. 그리고 보안 통신 장치(110)는 사용자 단말(170)과 정상적으로 연결이 해제되면, 연결 해제 메시지를 보안 통신 장치 제어 서버(140)로 전송하고, 보안 통신 장치(110)는 더 이상 전력 공급이 중단되므로 상태 정보를 전송하지 않는다. 상태 정보에는, 전송 시간, 고유 식별코드, 보안 통신 장치(110)의 MAC 주소 등을 포함한다. When the
보안 통신 장치(110)는 통신 인터페이스를 통해 사용자 단말(170)과 연결될 수 있다. 통신 인터페이스는 다양한 유무선 인터페이스 중에서 선택될 수 있다. 예를 들면, 통신 인터페이스는 USB 인터페이스일 수 있으나, 사용자 단말(170)과 연결될 수 있는 다른 통신 인터페이스도 가능하다. 또한, 보안 통신 장치(110)는 네트워크 접속 장치(120)와 연결이 가능한 통신 인터페이스를 더 포함하고, 예를 들어 유선 케이블로 통신망에 접속할 수 있는 유선 통신 인터페이스를 포함할 수 있다. The
보안 통신 장치(110)는 접속 허용 인터넷 주소의 리스트인 화이트 리스트를 메모리에 저장하고, 사용자 단말(170)이 상기 화이트 리스트에 있는 인터넷 주소로만 접속할 수 있도록 통제한다. 보안 통신 장치(110)는 보안 통신 장치 제어 서버(150)로부터 화이트 리스트를 수신하여 업데이트할 수 있다. 또한 보안 통신 장치(110)는 생체 정보를 인식하는 센서를 포함하여 사용자의 생체 정보를 인식하고, 미리 저장된 생체 정보와 비교하여 일치할 경우에 사용을 가능하게 할 수 있다. The
네트워크 접속 장치(120)는 보안 통신 장치(110)와 통신망(160)을 연결하는 장비로서, L2 스위치, L3 스위치 등을 포함한다. L2 스위치는, OSI(Open System Interconnection) 7 레이어 모델 중 데이터 링크 레이어의 역할을 수행하며, 구체적으로, 물리적인 네트워크 사이의 데이터 전송을 담당하고, 물리적 어드레싱, 오류 검출, 프레임의 전달 및 데이터의 흐름 제어를 관리한다. L2 스위치의 하나의 포트에는 하나의 인터넷 회선이 연결될 수 있다. L2 스위치는 각 포트에 연결된 장치들의 MAC 주소를 획득하고, 이를 MAC 테이블에 저장한다. 따라서 본 실시예에서는 MAC 테이블에 보안 통신 장치(110)의 MAC 주소 및 포트 번호가 매칭되어 저장된다. L2 스위치는 통신망(160)을 통해 프레임이 수신되면, MAC 테이블을 참조하여, 어떤 포트로 해당 프레임을 보낼 것인지를 결정한다. L3 스위치는 OSI 7 레이어 모델 중 네트워크 레이어의 역할을 수행하며, 보안 통신 장치(110) 및 사용자 단말(170)의 IP 주소를 MAC 주소에 대응시키기 위해 ARP(Address Resolution Protocol) 프로토콜을 사용하고 이러한 내용을 ARP 테이블에 저장한다. 즉, ARP 테이블을 조회해보면 장치들의 IP 주소와 그에 대응하는 MAC 주소를 확인할 수 있다.The
DHCP(Dynamic Host Configuration Protocol) 서버(130)는 IP 주소들의 풀(POOL)을 관리하고 IP 주소 할당 요청을 수신하면 상기 풀에서 IP 주소를 검색하여 할당한다. 본 실시예에서 사용자 단말(170)이 보안 통신 장치(110)에 연결되어 IP 주소 할당 요청이 수신되면 상기 보안 통신 장치(110) 및 상기 사용자 단말(170)로 IP 주소를 할당한다. IP 주소 할당 요청에는 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소가 포함될 수 있다. DHCP 서버(130)는 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소를 회선 제어 서버(140)로 전송하여 인증을 요청하고 인증 성공 응답이 수신될 때 IP 주소를 할당할 수 있다. 또는 DHCP 서버(130)는 보안 통신 장치(110)의 MAC 주소만을 회선 제어 서버(140)로 전송하여 인증을 요청할 수도 있다.The Dynamic Host Configuration Protocol (DHCP)
보안 통신 장치 제어 서버(150)는 상기 보안 통신 장치(110)를 제어한다. 보안 통신 장치 제어 서버(150)는, 보안 통신 장치별로 접속 허용 인터넷 주소의 리스트인 화이트 리스트를 저장 관리하고, 보안 통신 장치(110)의 접속시 화이트 리스트를 보안 통신 장치(110)로 전송하고 업데이트할 수 있다. 실시 형태에 따라, 보안 통신 장치별로 복수의 사용자 단말의 식별정보(예, MAC 주소)를 저장하고, 각 사용자 단말마다 화이트 리스트를 다르게 할 수 있다. The secure communication
보안 통신 장치 제어 서버(150)는 전력이 공급된 보안 통신 장치(110)로부터 주기적으로 상태 정보를 수신하여 저장한다. 저장되는 상태 정보에는 수신 시간, 보안 통신 장치(110)의 고유 식별코드, MAC 주소 등을 포함한다. 보안 통신 장치 제어 서버(150)는, 회선 제어 서버(140)로부터 특정 보안 통신 장치(110)에 대한 상태 정보 요청을 수신하면, 해당하는 특정 보안 통신 장치(110)의 상태 정보를 검색하고, 검색 결과에 따라 플래그를 포함하는 상태 정보 응답을 회신한다. 여기서 플래그는 정상 플래그 또는 비정상 플래그를 포함한다. 정상 플래그는, 보안 통신 장치(110)가 정상적으로 네트워크 접속 장치(120)에 연결되어 있음을 나타내고, 비정상 플래그는 보안 통신 장치(110)가 네트워크 접속 장치(120)에 정상적으로 연결되어 있지 않음을 나타낸다. 비정상 플래그의 경우는, 예를 들어 전력이 공급된 보안 통신 장치(110)가 네트워크 접속 장치(120)에 정상적으로 연결되어 있다가 강제로 네트워크 접속 장치(120)로부터 제거되는 경우이다. 보안 통신 장치 제어 서버(150)는, 보안 통신 장치(110)의 상태 정보 수신 주기가 도래했음에도 더 이상 상태 정보가 수신되지 않고 연결 해제 메시지도 수신되지 않은 경우, 비정상 플래그를 설정한다. 또는, 보안 통신 장치 제어 서버(150)는, 상태 정보가 수신되지 않은 보안 통신 장치(110)에 대한 상태 정보 요청이 수신되는 경우에도 비정상 플래그를 포함하는 상태 정보 응답을 회신한다.The secure communication
보안 통신 장치 제어 서버(150)는, 회선 제어 서버(140)로부터 특정 보안 통신 장치(110)에 대한 상태 정보 요청을 수신하면, 해당하는 특정 보안 통신 장치(110)의 상태 정보를 검색하고 정상 플래그 또는 비정상 플래그를 포함하는 상태 정보 응답을 회선 제어 서버(140)로 전송한다. 상태 정보 요청에는 보안 통신 장치(110)의 MAC 주소 또는 IP 주소가 포함될 수 있다.When the secure communication
회선 제어 서버(140)는, 보안 통신 장치(110)를 이용한 인터넷 접속 통제 서비스에 가입한 가입자의 정보를 저장한다. 가입자의 정보는, 예를 들어, 기업명, 네트워크 접속 장치(120)의 정보(IP 주소, MAC 주소, 포트 번호 등), 보안 통신 장치(110)의 식별정보(예, MAC 주소), 기업 내 인터넷 사용이 허가된 사용자 단말들의 식별정보(예, MAC 주소)를 포함할 수 있다. The
회선 제어 서버(140)는, DHCP 서버(130)로부터 IP 주소 할당을 위한 인증 요청이 수신되면, 상기 가입자 정보를 기초로 인증 응답을 회신한다. 인증 요청에는, 보안 통신 장치(110)의 식별정보가 포함될 수 있고, 회선 제어 서버(140)는 인증 요청에 포함된 보안 통신 장치(110)의 식별정보가 가입자 정보와 일치하는 경우에 인증 성공 응답을 회신한다. 또한 인증 요청에는, 사용자 단말(170)의 식별정보가 더 포함될 수 있고, 회선 제어 서버(140)는 보안 통신 장치(110)의 식별정보 및 사용자 단말(170)의 식별정보가 모두 가입자 정보와 일치하는 경우에 인증 성공 응답을 회신할 수 있다. The
회선 제어 서버(140)는, 주기적으로 네트워크 접속 장치(120)의 회선 정보를 수집한다. 여기서 회선 정보는, 네트워크 접속 장치(120)의 IP 주소, 포트 번호, 그리고 각 포트 번호별 접속되어 있는 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함한다. The
회선 제어 서버(140)는, 상기 수집된 회선 정보에서 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)를 식별하고, 식별된 보안 통신 장치(110)에 대한 상태 정보를 보안 통신 장치 제어 서버(150)로 요청하여 상태 정보 응답을 수신한다. 회선 제어 서버(140)는, 상기 상태 정보 응답에 기초하여 상기 네트워크 접속 장치(120)의 회선을 선택적으로 차단한다.The
구체적으로, 회선 제어 서버(140)는, 상기 식별된 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함하는 상태 정보 요청을 보안 통신 장치 제어 서버(150)로 전송한다. 그리고 회선 제어 서버(140)는 보안 통신 장치 제어 서버(150)로부터 상태 정보 응답을 수신하고, 상태 정보 응답에 포함된 플래그에 따라 상기 네트워크 접속 장치(120)의 회선을 선택적으로 차단한다. 정상 플래그가 있는 경우, 회선 제어 서버(140)는 네트워크 접속 장치(120)의 회선을 유지하고, 비정상 플래그가 있는 경우, 네트워크 접속 장치(120)로 특정 포트에 대한 차단 명령을 전송한다.Specifically, the
또한, 회선 제어 서버(140)는, 복수의 네트워크 접속 장치(120)로부터 수집된 회선 정보에서 동일한 보안 통신 장치(110)의 MAC 주소가 발견되는 경우 부정 사용이라 판단하여 해당하는 복수의 네트워크 접속 장치(120)로 해당 MAC 주소가 발견된 포트에 대한 차단 명령을 전송할 수 있다. 예를 들어, 제 1 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)에 제 1 사용자 단말을 연결한 후에, 다른 제 2 네트워크 접속 장치(120)에 MAC 주소를 변조한 제 2 사용자 단말을 연결하여 인터넷을 이용할 수 있는데, 이러한 경우에 제 1, 2 네트워크 접속 장치(120)의 해당하는 포트는 접속이 차단된다.In addition, when the MAC address of the same
도 2는 본 발명의 일 실시예에 따른 회선 제어 서버의 구성을 나타낸 도면이다.2 is a diagram showing the configuration of a circuit control server according to an embodiment of the present invention.
도 2에 도시된 회선 제어 서버(140)는, 메모리, 메모리 제어기, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 통하여 통신한다. 이러한 여러 구성요소는 하나 이상의 신호 처리 및/또는 애플리케이션 전용 집적 회로(application specific integrated circuit)를 포함하여, 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어 둘의 조합으로 구현될 수 있다.The
메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 프로세서 및 주변 인터페이스와 같은 서버의 다른 구성요소에 의한 메모리로의 액세스는 메모리 제어기에 의하여 제어될 수 있다. 메모리에는, 보안 통신 장치(110)를 이용한 인터넷 접속 통제 서비스에 가입한 가입자의 정보가 저장된다. 가입자 정보는, 입력 장치에 의해 입력될 수 있다. 가입자의 정보는, 예를 들어, 기업명, 네트워크 접속 장치(120)의 정보(IP 주소, MAC 주소, 포트 번호 등), 보안 통신 장치(110)의 식별정보(예, MAC 주소), 기업 내 인터넷 사용이 허가된 사용자 단말들의 식별정보(예, MAC 주소)를 포함할 수 있다. The memory may include fast random access memory, and may also include one or more magnetic disk storage devices, nonvolatile memory such as flash memory devices, or other nonvolatile semiconductor memory devices. Access to memory by other components of the server, such as processors and peripheral interfaces, may be controlled by the memory controller. In the memory, information of a subscriber who has subscribed to the Internet access control service using the
주변 인터페이스는 서버의 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 시스템을 위한 여러 기능을 수행하고 데이터를 처리한다. 일부 실시예에서, 소프트웨어 구성요소는 운영 체제, 그래픽 모듈(명령어 세트), 본 발명을 위한 동작을 수행하기 위한 프로그램이 탑재(설치)된다. 운영 체제는, 예를 들어, 다윈(Darwin), RTXC, LINUX, UNIX, OS X, WINDOWS 또는 VxWorks, 안드로이드, iOS 등과 같은 내장 운영체제일 수 있고, 일반적인 시스템 태스크(task)(예를 들어, 메모리 관리, 저장 장치 제어, 전력 관리 등)를 제어 및 관리하는 다양한 소프트웨어 구성요소 및/또는 장치를 포함하고, 다양한 하드웨어와 소프트웨어 구성요소 사이의 통신을 촉진시킨다. 그래픽 모듈은 디스플레이 장치 상에 그래픽을 제공하고 표시하기 위한 주지의 여러 소프트웨어 구성요소를 포함한다. "그래픽(graphics)"이란 용어는 텍스트, 웹 페이지, 아이콘(예컨대, 소프트 키를 포함하는 사용자 인터페이스 대상), 디지털 이미지, 비디오, 애니메이션 등을 제한 없이 포함하여, 표시될 수 있는 모든 대상을 포함한다. 일부 실시예에서, 주변 인터페이스, 프로세서 및 메모리 제어기는 칩과 같은 단일 칩 상에서 구현될 수 있다. 일부 다른 실시예에서, 이들은 별개의 칩으로 구현될 수 있다.The peripheral interface connects the server's input and output peripherals with the processor and memory. One or more processors execute a set of instructions stored in various software programs and / or memories to perform various functions for the system and process the data. In some embodiments, the software component is loaded (installed) with an operating system, a graphics module (instruction set), and a program for performing operations for the present invention. The operating system may be, for example, a built-in operating system such as Darwin, RTXC, LINUX, UNIX, OS X, WINDOWS or VxWorks, Android, iOS, etc., and may be a general system task (e.g., memory management , Various software components and / or devices that control and manage storage devices, power management, and the like, and facilitate communication between various hardware and software components. The graphics module includes several well known software components for presenting and displaying graphics on the display device. The term "graphics" includes all objects that can be displayed, including, without limitation, text, web pages, icons (eg, user interface objects including soft keys), digital images, videos, animations, and the like. . In some embodiments, peripheral interfaces, processors and memory controllers may be implemented on a single chip such as a chip. In some other embodiments, they may be implemented in separate chips.
I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 장치의 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 디스플레이 장치는 LCD(liquid crystal display) 기술 또는 LPD(light emitting polymer display) 기술을 사용할 수 있고, 이러한 디스플레이 장치는 용량형, 저항형, 적외선형 등의 터치 디스플레이일 수 있다. 터치 디스플레이는 시스템과 사용자 사이에 출력 인터페이스 및 입력 인터페이스를 제공한다. 터치 디스플레이는 사용자에게 시각적인 출력을 표시한다. 시각적 출력은 텍스트, 그래픽, 비디오와 이들의 조합을 포함할 수 있다. 시각적 출력의 일부 또는 전부는 사용자 인터페이스 대상에 대응할 수 있다. 터치 디스플레이는 사용자 입력을 수용하는 터치 감지면을 형성한다. 프로세서는 시스템에 연관된 동작을 수행하고 명령어들을 수행하도록 구성된 프로세서로서, 예를 들어, 메모리로부터 검색된 명령어들을 이용하여, 시스템의 컴포넌트 간의 입력 및 출력 데이터의 수신과 조작을 제어할 수 있다. The I / O subsystem provides an interface between the input and output peripherals of peripheral devices such as display devices and input devices. The display device may use a liquid crystal display (LCD) technology or a light emitting polymer display (LPD) technology, and the display device may be a touch display such as a capacitive type, a resistive type, or an infrared type. The touch display provides an output interface and an input interface between the system and the user. The touch display presents visual output to the user. The visual output may include text, graphics, video, and combinations thereof. Some or all of the visual output may correspond to user interface objects. The touch display forms a touch sensitive surface that accepts user input. A processor is a processor configured to perform operations associated with a system and to perform instructions, for example, using instructions retrieved from memory to control the reception and manipulation of input and output data between components of the system.
통신 회로는 이더넷 통신 회로 및 RF 회로를 포함할 수 있다. 이더넷 통신 회로는 유선 통신을 수행하고, RF 회로는 전자파를 송수신한다. RF 회로는 전기 신호를 전자파로 또는 그 반대로 변환하며 이 전자파를 통하여 통신 네트워크, 다른 이동형 게이트웨이 및 통신 장치와 통신한다. The communication circuit may include an Ethernet communication circuit and an RF circuit. The Ethernet communication circuit performs wired communication, and the RF circuit transmits and receives electromagnetic waves. RF circuitry converts electrical signals into electromagnetic waves and vice versa and communicates with communications networks, other mobile gateways, and communications devices through the electromagnetic waves.
도 2를 참조하면, 회선 제어 서버(140)는, 인증부(210), 회선 정보 수집부(220), 상태 확인부(230) 및 회선 차단부(240)를 포함할 수 있다. 이러한 구성요소는 프로그램으로 제작되어 메모리에 저장되어 프로세서에 의해 동작될 수 있고, 또는 소프트웨어 및 하드웨어의 조합으로 제작될 수도 있다.Referring to FIG. 2, the
인증부(210)는, 네트워크 접속 장치(120)에 연결된 장치에 대한 IP 주소 할당 여부를 결정한다. 구체적으로, 인증부(210)는, DHCP 서버(130)로부터 IP 주소 할당을 위한 인증 요청이 수신되면, 메모리에 저장된 가입자 정보를 기초로 인증 응답을 회신한다. 인증 요청에는, 보안 통신 장치(110)의 식별정보가 포함될 수 있고, 인증부(210)는 인증 요청에 포함된 보안 통신 장치(110)의 식별정보가 가입자 정보와 일치하는 경우에 인증 성공 응답을 회신한다. 또한 인증 요청에는, 사용자 단말(170)의 식별정보가 더 포함될 수 있고, 인증부(210)는 보안 통신 장치(110)의 식별정보 및 사용자 단말(170)의 식별정보가 모두 가입자 정보와 일치하는 경우에 인증 성공 응답을 회신할 수 있다. The
회선 정보 수집부(220)는, 주기적으로 네트워크 접속 장치(120)의 회선 정보를 수집한다. 여기서 회선 정보는, 네트워크 접속 장치(120)의 IP 주소, 포트 번호, 그리고 각 포트 번호별 접속되어 있는 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함한다. The line information collection unit 220 periodically collects line information of the
상태 확인부(230)는, 상기 수집된 회선 정보에서 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)를 식별하고, 식별된 보안 통신 장치(110)에 대한 상태 정보를 보안 통신 장치 제어 서버(150)에서 확인한다. 상태 확인부(230)는, 상기 식별된 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함하는 상태 정보 요청을 보안 통신 장치 제어 서버(150)로 전송하고, 이에 대한 상태 정보 응답을 수신한다.The
회선 차단부(240)는, 상기 상태 정보 응답에 포함된 플래그에 따라 상기 네트워크 접속 장치(120)의 회선을 선택적으로 차단한다. 정상 플래그가 있는 경우, 회선 차단부(240)는 네트워크 접속 장치(120)의 회선을 유지하고, 비정상 플래그가 있는 경우, 네트워크 접속 장치(120)로 특정 포트에 대한 차단 명령을 전송한다.The
또한, 회선 차단부(240)는, 복수의 네트워크 접속 장치(120)로부터 수집된 회선 정보에서 동일한 보안 통신 장치(110)의 MAC 주소가 발견되는 경우 부정 사용이라 판단하여 해당하는 복수의 네트워크 접속 장치(120)로 해당 MAC 주소가 발견된 포트에 대한 차단 명령을 전송할 수 있다. 예를 들어, 제 1 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)에 제 1 사용자 단말을 연결한 후에, 다른 제 2 네트워크 접속 장치(120)에 MAC 주소를 변조한 제 2 사용자 단말을 연결하여 인터넷을 이용할 수 있는데, 이러한 경우에 제 1, 2 네트워크 접속 장치(120)의 해당하는 포트는 접속이 차단된다.In addition, when the MAC address of the same
도 3은 본 발명의 일 실시예에 따른 회선 제어 방법을 설명하는 흐름도이다.3 is a flowchart illustrating a line control method according to an embodiment of the present invention.
도 3을 참조하면, 사용자는 네트워크 접속 장치(120)와 유선 케이블로 연결되어 있는 보안 통신 장치(110)를 사용자 단말(170)에 연결한다(S301). 예를 들어, 보안 통신 장치(110)는 USB 통신을 지원하여 사용자 단말(170)의 USB 포트에 연결될 수 있다. Referring to FIG. 3, the user connects the
사용자 단말(170)은 보안 통신 장치(110)로 전력을 공급하고, 보안 통신 장치(110)는 부팅되어 IP 주소 할당 요청을 DHCP 서버(130)로 전송한다(S303). IP 주소 할당 요청에는 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소가 포함된다.The
DHCP 서버(130)는, IP 주소를 할당하기에 앞서, 상기 IP 주소 할당 요청에 포함된 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소를 포함하는 인증 요청을 회선 제어 서버(140)로 전송한다(S305). 회선 제어 서버(140)는, 서비스에 가입된 가입자의 정보로서, 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소를 저장하고 있으므로, 상기 인증 요청에 포함된 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소와 상기 가입자의 정보를 비교하여 인증을 수행한다.Before allocating an IP address, the
회선 제어 서버(140)는 인증에 성공하는 경우 인증 성공 응답을 DHCP 서버(130)로 회신하고, 인증에 실패하는 경우 인증 실패 응답을 DHCP 서버(130)로 회신한다(S307). 본 실시예에서는 인증에 성공한 것으로 설명한다. 실시 형태에 따라, 단계 S305에서 인증 요청에 사용자 단말(170)의 MAC 주소가 포함되어 있지 않을 수 있다. 이 경우, 회선 제어 서버(140)는, 보안 통신 장치(110)의 MAC 주소만을 상기 가입자의 정보와 비교하여 인증을 수행할 수 있다. 이 실시 형태는, 인터넷을 이용할 수 있는 사용자 단말(170)을 지정하지 않은 실시예이다.The
단계 S305 및 단계 S307을 통해, 지정되지 않은 사용자 단말(170)을 이용하거나, 또는 지정되지 않은 보안 통신 장치(110)를 이용하여 인터넷을 이용하는 것을 방지할 수 있다. In step S305 and step S307, it is possible to prevent using the Internet by using an
인증 성공 응답을 수신한 DHCP 서버(130)는, 보안 통신 장치(110) 및 사용자 단말(170)로 IP 주소를 할당한다(S309, S311). IP 주소를 할당받은 보안 통신 장치(110)는 주기적으로 상태 정보를 보안 통신 장치 제어 서버(140)로 전송한다(S313). 상태 정보는, 전송하는 시간, 고유 식별코드, 보안 통신 장치(110)의 MAC 주소 등을 포함한다. Upon receiving the authentication success response, the
한편, 회선 제어 서버(140)는 주기적으로 네트워크 접속 장치(120)로부터 회선 정보를 수집한다(S315). 여기서 회선 정보는, 네트워크 접속 장치(120)의 IP 주소, 포트 번호, 그리고 각 포트 번호별 접속되어 있는 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함한다. On the other hand, the
회선 제어 서버(140)는, 상기 수집된 회선 정보에서 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)를 식별하고, 식별된 보안 통신 장치(110)에 대한 상태 정보 요청을 보안 통신 장치 제어 서버(150)로 전송한다(S317). 이때 상태 정보 요청에는 상기 식별된 보안 통신 장치(110)의 식별정보(예, MAC 주소, IP 주소)를 포함한다.The
보안 통신 장치 제어 서버(150)는, 상기 식별된 보안 통신 장치(110)의 식별정보를 이용하여 대응하는 상태 정보를 검색하고 그 검색된 상태 정보를 포함하는 상태 정보 응답을 회선 제어 서버(140)로 전송한다(S319). 상태 정보 응답에는 상기 식별된 보안 통신 장치(110)가 정상적으로 접속되어 있음을 나타내는 정상 플래그가 포함될 수 있다. 따라서 회전 제어 서버(140)는 네트워크 접속 장치(120)의 회선을 차단하지 않고 유지한다.The secure communication
보안 통신 장치(110)가 정상적으로 종료되지 않고 강제로 네트워크 접속 장치(120)와의 연결이 해제될 수 있다. 예컨대, 사용자가 악의적인 목적으로 보안 통신 장치(110)를 제거할 수 있다(S323). 이와 같이 보안 통신 장치(110)가 제거되면, 정상적인 연결 해제 메시지가 보안 통신 장치 제어 서버(150)로 전송되지 않는다. The
따라서, 보안 통신 장치 제어 서버(150)에는 상태 정보 수신 주기가 도래함에도 더 이상 상태 정보가 수신되지 않고 연결 해제 메시지도 수신되지 않았으므로 비정상적으로 연결이 해제된 것으로 판단하여 이에 대한 비정상 플래그를 포함하는 상태 정보 응답을 회선 제어 서버(140)로 전송한다(S325). 그리고 회전 제어 서버(140)는 네트워크 접속 장치(120)로 보안 통신 장치(110)가 연결되어 있던 회선, 즉 포트를 차단하는 명령을 전송한다(S327). 따라서 보안 통신 장치(110)가 강제로 제거된 회선으로는 더 이상의 접속이 불가능해져, 보안 통신 장치(110) 없이 사용자 단말(170)을 직접 네트워크 접속 장치(120)에 연결하여 인터넷을 이용할 수 없다.Accordingly, since the security communication
도 4는 본 발명의 다른 실시예에 따른 회선 제어 방법을 설명하는 흐름도이다.4 is a flowchart illustrating a line control method according to another embodiment of the present invention.
도 4를 참조하면, 사용자는 보안 통신 장치(110)와 동일한 MAC 주소를 갖도록 사용자 단말(170)의 MAC 주소를 변조할 수 있다(S401). 그리고 사용자는 사용자 단말(170)을 직접 네트워크 접속 장치(120)에 연결한다(S403). 사용자 단말(170)은, IP 주소 할당 요청을 DHCP 서버(130)로 전송한다(S405). IP 주소 할당 요청에는 사용자 단말(170)의 MAC 주소가 포함된다.Referring to FIG. 4, the user may modulate the MAC address of the
DHCP 서버(130)는, IP 주소를 할당하기에 앞서, 상기 IP 주소 할당 요청에 포함된 사용자 단말(170)의 MAC 주소를 포함하는 인증 요청을 회선 제어 서버(140)로 전송한다(S407). 회선 제어 서버(140)는, 서비스에 가입된 가입자의 정보로서, 사용자 단말(170) 및 보안 통신 장치(110)의 MAC 주소를 저장하고 있고, 상기 인증 요청에 포함된 사용자 단말(170)의 MAC 주소는 보안 통신 장치(110)의 MAC 주소와 동일하므로, 회선 제어 서버(140)는 인증 성공 응답을 DHCP 서버(130)로 전송한다(S409).Before allocating the IP address, the
인증 성공 응답을 수신한 DHCP 서버(130)는, 사용자 단말(170)로 IP 주소를 할당한다(S411). 사용자 단말(170)이 직접 네트워크 접속 장치(120)에 연결하였으므로, 보안 통신 장치(110)는 상태 정보를 보안 통신 장치 제어 서버(140)로 전송하지 않는다. Upon receiving the authentication success response, the
한편, 회선 제어 서버(140)는 주기적으로 네트워크 접속 장치(120)로부터 회선 정보를 수집한다(S413). 여기서 회선 정보는, 네트워크 접속 장치(120)의 IP 주소, 포트 번호, 그리고 각 포트 번호별 접속되어 있는 장치의 식별정보(예, MAC 주소, IP 주소)를 포함한다. 본 실시예에서는 특정 포트에 접속되어 있는 장치의 식별정보로서 사용자 단말(170)의 식별정보가 포함된다.On the other hand, the
회선 제어 서버(140)는, 상기 수집된 회선 정보에서 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)를 식별한다. 본 실시예에서는 보안 통신 장치(110) 없이 사용자 단말(170)이 직접 네트워크 접속 장치(120)에 연결되어 있고, 사용자 단말(170)의 MAC 주소는 보안 통신 장치(110)의 MAC 주소와 동일하므로, 사용자 단말(170)을 보안 통신 장치(110)인 것으로 식별한다. 회전 제어 서버(140)는 보안 통신 장치(110), 즉 사용자 단말(170)에 대한 상태 정보 요청을 보안 통신 장치 제어 서버(150)로 전송한다(S415). 이때 상태 정보 요청에는 사용자 단말(170)의 식별정보(예, MAC 주소, IP 주소)를 포함한다.The
보안 통신 장치(110)는 상태 정보를 보안 통신 장치 제어 서버(140)로 전송하지 않았으므로, 보안 통신 장치 제어 서버(150)에는, 사용자 단말(170)의 식별정보(예, MAC 주소, IP 주소)에 대응하는 상태 정보가 없다. 따라서 보안 통신 장치 제어 서버(150)는 비정상 플래그를 포함하는 상태 정보 응답을 회선 제어 서버(140)로 전송한다(S417). 비정상 플래그를 수신하였으므로, 회전 제어 서버(140)는 네트워크 접속 장치(120)로 사용자 단말(170)이 연결되어 있는 회선, 즉 포트를 차단하는 명령을 전송한다(S419). 따라서 MAC 주소를 변조하여 접속한 사용자 단말(170)은 더 이상 인터넷을 이용할 수 없다. Since the
도 3 및 도 4를 참조하여 설명한 실시예는, 하나의 네트워크 접속 장치(120)에서의 부정 사용의 예를 설명한다. 다른 실시예로서, 제 1 네트워크 접속 장치(120)에 연결된 보안 통신 장치(110)에 제 1 사용자 단말을 연결한 후에, 다른 제 2 네트워크 접속 장치(120)에 MAC 주소를 변조한 제 2 사용자 단말을 연결하여 인터넷을 이용할 수 있다. 이 경우, 회선 제어 서버(140)는 도 4의 실시예에서와 같이 상태 정보 확인을 하지 않고, 회선 정보 수집을 할 때 서로 다른 복수의 네트워크 접속 장치(120)에서 동일한 MAC 주소가 발견되면 해당 복수의 네트워크 접속 장치(120)로 해당 MAC 주소가 발견된 포트에 대한 차단 명령을 전송할 수 있다. The embodiment described with reference to FIGS. 3 and 4 describes an example of fraudulent use in one
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, the features described in the individual embodiments herein can be implemented in combination in a single embodiment. Conversely, various features described in a single embodiment herein can be implemented individually in various embodiments or in combination appropriately.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations are described in a particular order in the drawings, they should not be understood as being performed in a particular order as shown, or in a sequence of successive orders, or all described actions being performed to obtain a desired result. . Multitasking and parallel processing may be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be packaged in a single software product or multiple software products.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.
Claims (12)
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2016-0063629 | 2016-05-24 | ||
| KR1020160063629A KR101853544B1 (en) | 2016-05-24 | 2016-05-24 | Apparatus and method for controlling the line |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2017204566A1 true WO2017204566A1 (en) | 2017-11-30 |
Family
ID=60412440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/KR2017/005428 Ceased WO2017204566A1 (en) | 2016-05-24 | 2017-05-24 | Line control device and method |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR101853544B1 (en) |
| WO (1) | WO2017204566A1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI728901B (en) * | 2020-08-20 | 2021-05-21 | 台眾電腦股份有限公司 | Network connection blocking method with dual-mode switching |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006251851A (en) * | 2005-03-08 | 2006-09-21 | Quality Kk | Network connection control system, program for network connection object terminal and network connection control program |
| KR20100007109A (en) * | 2008-07-11 | 2010-01-22 | 삼성네트웍스 주식회사 | Method and apparatus for security management in internet protocol version 6 network |
| US7861081B2 (en) * | 2004-03-26 | 2010-12-28 | Bce Inc. | Security system and method |
| KR20110008855A (en) * | 2009-07-21 | 2011-01-27 | (주) 세인트 시큐리티 | Method and system for network security using packet marking, and recording medium recording program for realizing the same |
| KR101486307B1 (en) * | 2013-11-18 | 2015-01-29 | 한국전자통신연구원 | Apparatus and method for security monitoring |
-
2016
- 2016-05-24 KR KR1020160063629A patent/KR101853544B1/en active Active
-
2017
- 2017-05-24 WO PCT/KR2017/005428 patent/WO2017204566A1/en not_active Ceased
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7861081B2 (en) * | 2004-03-26 | 2010-12-28 | Bce Inc. | Security system and method |
| JP2006251851A (en) * | 2005-03-08 | 2006-09-21 | Quality Kk | Network connection control system, program for network connection object terminal and network connection control program |
| KR20100007109A (en) * | 2008-07-11 | 2010-01-22 | 삼성네트웍스 주식회사 | Method and apparatus for security management in internet protocol version 6 network |
| KR20110008855A (en) * | 2009-07-21 | 2011-01-27 | (주) 세인트 시큐리티 | Method and system for network security using packet marking, and recording medium recording program for realizing the same |
| KR101486307B1 (en) * | 2013-11-18 | 2015-01-29 | 한국전자통신연구원 | Apparatus and method for security monitoring |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI728901B (en) * | 2020-08-20 | 2021-05-21 | 台眾電腦股份有限公司 | Network connection blocking method with dual-mode switching |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101853544B1 (en) | 2018-04-30 |
| KR20170132578A (en) | 2017-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2019198885A1 (en) | Decentralized service platform using multiple blockchain-based service nodes | |
| WO2012108613A1 (en) | Method and apparatus for controlling connection between devices | |
| WO2013100419A1 (en) | System and method for controlling applet access | |
| WO2016047931A1 (en) | Product information management device | |
| WO2015030511A1 (en) | Terminal device for terminal protection, terminal protecting method for same, and terminal managing server device | |
| WO2023085791A1 (en) | Controller-based system for controlling network access, and method therefor | |
| WO2016148483A1 (en) | Apparatus and method for managing home energy using beacon in home energy management system | |
| WO2018169150A1 (en) | Locked screen-based user authentication system and method | |
| WO2014175704A1 (en) | Iris certification system for website login and personal information security and method therefor | |
| WO2014181970A1 (en) | Method and apparatus for managing application data of portable terminal | |
| WO2022010136A1 (en) | Cloud server and method for controlling cloud server | |
| WO2017204566A1 (en) | Line control device and method | |
| WO2009128634A2 (en) | Apparatus and method for securing data of usb devices | |
| WO2015182873A1 (en) | Dns server selective block and dns address modification method using proxy | |
| WO2013100636A1 (en) | Master tsm | |
| WO2014084603A1 (en) | Method for managing se applet in connection with application deletion, and mobile device and service management server using same | |
| WO2018074691A1 (en) | Stand-alone multiple video surveillance system | |
| WO2021033868A1 (en) | Data storage apparatus with variable computer file system | |
| WO2020085787A2 (en) | Usb-type cloud drive and data management system using same | |
| WO2020009347A1 (en) | Usim management apparatus and industrial communication terminal | |
| WO2019117404A1 (en) | Server and method for controlling packet transmission | |
| US20090119753A1 (en) | Connector and method for providing access to a data-processing network for a data-processing device | |
| WO2023120841A1 (en) | Edge cloud operating system for provisioning massive multi-cluster | |
| JP2009225374A (en) | Setting supporting system, setting supporting method, and program | |
| WO2014051223A1 (en) | Apparatus and method for providing product code, and computer-readable recording medium for said method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 17803085 Country of ref document: EP Kind code of ref document: A1 |
|
| 32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 25/03/2019) |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 17803085 Country of ref document: EP Kind code of ref document: A1 |