KR100703567B1 - 온라인 컨텐츠 접근 제어 시스템 및 방법 - Google Patents

온라인 컨텐츠 접근 제어 시스템 및 방법 Download PDF

Info

Publication number
KR100703567B1
KR100703567B1 KR1020060050352A KR20060050352A KR100703567B1 KR 100703567 B1 KR100703567 B1 KR 100703567B1 KR 1020060050352 A KR1020060050352 A KR 1020060050352A KR 20060050352 A KR20060050352 A KR 20060050352A KR 100703567 B1 KR100703567 B1 KR 100703567B1
Authority
KR
South Korea
Prior art keywords
user
information
user terminal
control
content
Prior art date
Application number
KR1020060050352A
Other languages
English (en)
Inventor
정성철
김대용
김정민
Original Assignee
주식회사인티마햅
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사인티마햅 filed Critical 주식회사인티마햅
Priority to KR1020060050352A priority Critical patent/KR100703567B1/ko
Application granted granted Critical
Publication of KR100703567B1 publication Critical patent/KR100703567B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 온라인 컨텐츠 접근 제어 시스템 및 방법에 관한 것이다.
본 발명에 따른 온라인 컨텐츠 접근 제어 시스템은 인터넷 망; 상기 인터넷 망에 접속되는 사용자 단말기; 상기 사용자 단말기의 인터넷 망 접속시 망 접속정보를 인증하는 인증 시스템; 상기 인터넷 망으로부터 상기 사용자 단말기에 송수신되는 패킷을 제어하는 에지 라우터; 상기 사용자 단말기에 컨텐츠를 제공하는 컨텐츠 제공 서버; 상기 사용자 단말기의 상기 컨텐츠 제공 서버 또는 상기 인터넷 망 접속을 제어하는 접속제어시스템; 및 상기 사용자 단말기가 상기 인터넷 망에 접속하기 위한 망 접속정보를 획득하여, 상기 망 접속정보에 포함된 상기 컨텐츠들과 기 설정된 차단조건을 비교하고, 상기 패킷의 공급을 선별함으로써 상기 컨텐츠의 공급을 컨텐츠가 제공되는 프로토콜별로 제어하는 제어서버;를 포함하는 것을 특징으로 한다.
중독성, 선별적 제어, 통신사업자 접점, Edge, TCP 세션차단, UDP 포트차단

Description

온라인 컨텐츠 접근 제어 시스템 및 방법{Online Contents Access Control System And Method thereof}
도 1은 본 발명의 실시예에 따른 온라인 컨텐츠 접근 제어 시스템을 나타낸 구성도.
도 2는 도 1의 제어 서버의 각 프로세스를 나타낸 블럭도.
도 3은 본 발명의 실시예에 따른 온라인 컨텐츠 접근 제어 방법을 나타낸 순서도.
도 4는 본 발명에 실시예에 따른 망 접속 정보 수집 방법을 나타낸 순서도.
도 5는 본 발명에 다른 실시예에 따른 망 접속 정보 수집 방법을 나타낸 순서도.
도 6은 본 발명의 실시예에 따른 트래픽 정보 수집 방법을 나타낸 순서도.
도 7은 본 발명의 다른 실시예에 따른 트래픽 정보 수집 방법을 나타낸 순서도.
도 8은 본 발명의 또 다른 실시예에 따른 트래픽 정보 수집 방법을 나타낸 순서도.
도 9는 본 발명의 실시예에 따른 트래픽 정보 처리 방법을 나타낸 순서도.
도 10은 본 발명의 실시예에 따른 컨텐츠 분류 및 차단 조건을 판단하는 방법을 나타낸 순서도.
도 11은 본 발명의 실시예에 따른 사용자 단말기의 컨텐츠에 대한 선별적 접근제어 방법을 나타낸 순서도.
도 12는 본 발명의 실시예에 따른 IP 통신 차단 방법을 나타낸 순서도.
도 13은 본 발명의 실시예에 따른 TCP 통신 차단 방법을 나타낸 순서도.
도 14는 본 발명의 다른 실시예에 따른 TCP 통신 차단 방법을 나타낸 순서도.
도 15는 본 발명의 실시예에 따른 UDP 통신 차단 방법을 나타낸 순서도.
도 16은 본 발명의 실시예에 따른 제어 프로세스에 의한 선별적 접근제어에 따른 데이터 처리를 상세히 나타낸 순서도.
도 17은 본 발명에 따른 OSI 레이어 3계층(IP) 프로토콜 제어에 의한 TCP 통신차단을 위한 조합된 패킷을 나타낸 도면.
도 18은 본 발명에 따른 OSI 레이어 3계층(IP) 프로토콜 제어에 의한 UDP 통신차단을 위한 조합된 패킷을 나타낸 도면.
도 19는 본 발명의 TCP 세션제어를 위해 생성되는 RST, FIN 제어패킷을 나타낸 도면.
< 도면의 주요 부분에 대한 부호의 설명 >
10 : 인터넷 망 20 : 사용자 단말기
30 : 인증 시스템 40 : 에지 라우터
50 : 컨텐츠 제공 서버 60 : 접속제어시스템
70 : 제어서버 80 : LNS
본 발명은 온라인 컨텐츠 접근 제어 시스템 및 방법에 관한 것으로, 특히 인터넷 망 중 컨텐츠를 이용하는 사용자 에지영역에서 상기 컨텐츠의 선별적 공급을 제어할 수 있는 온라인 컨텐츠 접근 제어 시스템 및 방법에 관한 것이다.
컴퓨터 네트워크의 발전에 따라, 많은 컴퓨터 사용자들이 다양한 데이터를 공유받아 이용하고 있으며, 더 나아가, 특정 컨텐츠를 제공하는 서버와 서버에 접속하여 특정 컨텐츠를 이용하는 사용자들이 폭발적으로 늘어나고 있다. 이러한 서버-클라이언트 구조는 서버에 접속할 수 있는 URL 주소만 있으면, 사용자의 특성 즉, 이용자의 나이, 환경, 지식수준에 관계없이 서버에 접속하여 서버가 제공하는 컨텐츠를 이용할 수 있다. 이러한 특징은 다양한 데이터를 손쉽게 공유할 수 있다는 측면에서는 매우 강력한 효과를 제공하지만, 특정 컨텐츠는 사용자에 따라 유해한 환경을 제공하기도 한다. 이에 따라, 사용자가 어린이나 청소년일 경우에는 게임 또는 성인 사이트의 접속이 선태적으로 차단되어야 하는 등의 요구에 부흥하여 사이트 접속을 효과적으로 차단하는 네트워크 기반의 제어기술이 대두되고 있다.
종래의 네트워크 기반의 제어기술은 TCP 차단을 위한 세션차단 기술과, 망 접속 차단기술, 인트라넷 제어를 위한 방화벽 기술 등이 있다.
TCP 세션차단 기술은 사용자가 서버에 접속하기 위하여 경로를 형성하는 동안 이용되는 TCP 프로토콜을 제어하여 서버 접속을 차단하는 기술이다. 이 TCP 세션차단 기술은 기타 다른 프로토콜 예를 들면, UDP 및 RTP 기반으로 송수신되는 패킷의 차단이 불가능하며, 이에 따라, TCP 기반 서비스의 제어만 가능하다는 단점이 있다.
한편, 망 접속 차단기술은 사용자가 접속하는 망 자체를 차단하는 기술이다. 이러한 망 접속 차단기술은 사용자가 접속하고자 하는 망 전체를 통합적으로 차단하게 됨으로, 특정 컨텐츠의 선별적 제어가 불가능하다는 단점이 있다.
그리고, 방화벽 기술은 인트라넷을 구성하는 다수의 컴퓨터 에지 영역에서 인트라넷으로 유입되는 데이터를 차단하는 기술이다. 이 방화벽 기술은 제어 대상자의 범위가 인트라넷으로 한정적이고, 인트라넷을 구성하는 사용자 각각의 제어기준을 적용하고자 하는 경우에는 별도로 사용자 목록을 관리해야 하는 불편함이 있다.
결과적으로, 종래의 네트워크 기반의 제어기술은 온라인 컨텐츠의 다양화와 서비스 제공기술의 발전으로 ①제어 가능한 컨텐츠의 범위가 제한적인 단점과, ②제어 대상자의 범위가 인트라넷으로 한정되는 단점 및 ③다양한 사용자 계층에 따른 제어방식 요구를 효과적으로 수용하기 어려운 기술적/구조적 한계점을 가지고 있다.
따라서, 본 발명의 목적은 통신사업자 접점시스템 연계를 통해 사용자 망 접속 정보 및 패킷을 수집/분석/처리하는 방법을 제공하는데 있다.
본 발명의 다른 목적은, 사용자가 지정한 제어조건에 따라 컨텐츠를 분류하고 차단조건을 판단하여 온라인 컨텐츠의 사용자별 맞춤식 선별제어가 가능한 온라인 컨텐츠 접근 제어 시스템 및 방법방법을 제공하는데 있다.
본 발명의 다른 목적은 사용자가 요청한 온라인 컨텐츠에 적용되는 통신 프로토콜에 관계없이 온라인 컨텐츠의 선별적 접근제어가 가능한 온라인 컨텐츠 접근 제어 시스템 및 방법을 제공하는데 있다.
본 발명의 다른 목적은 IP 계층과, TCP/UDP 계층을 이용하는 데이터의 송수신에 있어서, 상기 프로토콜 제어를 통하여 컨텐츠의 선별적 접근제어가 가능한 온라인 컨텐츠 접근 제어 시스템 및 방법을 제공하는데 있다.
상기한 목적을 달성하기 위해, 본 발명에 따른 온라인 컨텐츠 접근 제어 시스템은 인터넷 망; 상기 인터넷 망에 접속되는 사용자 단말기; 상기 사용자 단말기의 인터넷 망 접속시 망 접속정보를 인증하는 인증 시스템; 상기 인터넷 망으로부터 상기 사용자 단말기에 송수신되는 패킷을 제어하는 에지 라우터; 상기 사용자 단말기에 컨텐츠를 제공하는 컨텐츠 제공 서버; 상기 사용자 단말기의 상기 컨텐츠 제공 서버 또는 상기 인터넷 망 접속을 제어하는 접속제어시스템; 및 상기 사용자 단말기가 상기 인터넷 망에 접속하기 위한 망 접속정보를 획득하여, 상기 망 접속정보에 포함된 상기 컨텐츠들과 기 설정된 차단조건을 비교하고, 상기 패킷의 공급을 선별함으로써 상기 컨텐츠의 공급을 컨텐츠가 제공되는 프로토콜별로 제어하는 제어서버;를 포함하는 것을 특징으로 한다.
상기 시스템은 상기 에지 라우터와 가상 터널을 형성하는 L2TP 네트웍 서버; 및 상기 사용자 단말기에 송수신되는 패킷을 복사하여 상기 제어서버에 공급하는 탭을 더 포함하는 것을 특징으로 한다.
상기 프로토콜은 TCP, UDP, RTP, IP 중 적어도 하나 인 것을 특징으로 한다.
상기 제어서버는 상기 TCP 프로토콜 제어시 상기 사용자 단말기 또는 상기 컨텐츠 제공 서버에 공급하기 위한 FIN 패킷; 및 상기 사용자 단말기 또는 상기 컨텐츠 제공 서버에 공급하기 위한 RST 패킷; 중 적어도 하나를 생성하는 것을 특징으로 한다.
상기 제어서버는 상기 UDP 프로토콜 제어시, 상기 접속제어시스템에 해당 패킷에 대한 차단을 요청하는 메시지를 생성하는 것을 특징으로 한다.
상기 제어서버는 상기 사용자 단말기에 송수신되는 상기 사용자 패킷을 수신하는 캡쳐 프로세스; 상기 사용자 패킷을 분석하여 소스 IP/PORT, 목적지 IP/PORT 및 프로토콜 정보를 추출하는 세션관리 프로세스; 상기 망 접속정보에 따른 사용자 접속정보 로그를 생성하여 보관하는 로그처리 프로세스; 상기 인증시스템으로부터 제공되는 망 접속정보를 수신하는 인증정보 연동 프로세스; 상기 컨텐 츠 제공 서버가 제공하는 컨텐츠들 중 차단하고자 하는 컨텐츠들의 리스트를 분류하는 컨텐츠 분류 프로세스; 상기 인증 시스템과의 정보 송수신을 위한 인터페이스를 제공하는 웹기반 프로세스; 관리대상 URL 정보를 수집관리하는 정보구축 프로세스; 접근제어 판별에 따른 컨텐츠 접근을 명령하는 접근제어 프로세스; 상기 망 접속정보, 상기 분석된 사용자 패킷 정보 및 상기 컨텐츠 리스트들을 이용하여, 컨텐츠 차단 명령을 지시하는 제어 프로세스;를 포함하는 것을 특징으로 한다.
상기 차단 조건은 상기 사용자의 연령; 상기 사용자 연령에 따라 분류된 컨텐츠들; 상기 컨텐츠를 분류에 따라 계층화한 리스트; 상기 사용자에 따른 접속가능 시간; 및 상기 사용자에 따른 접속가능 시각;을 포함하는 것을 특징으로 한다.
본 발명의 실시예에 따른 온라인 컨텐츠 접근 제어 방법은 사용자 단말기의 인터넷 망 접속시, 사용자 망 접속 정보를 수집하는 단계; 컨텐츠와 상기 사용자 단말기에 송수신되는 사용자 트래픽을 수집하는 단계; 상기 망 접속 정보를 상기 사용자 트래픽에 포함된 사용자 정보와 비교하는 단계; 분류된 컨텐츠 및 차단조건과 상기 트래픽 정보를 비교하는 단계; 상기 차단조건과 상기 트래픽 정보 비교결과에 따라 상기 컨텐츠를 프로토콜 별로 분류하고, 분류된 프로토콜별로 상기 사용자 단말기의 접근제어를 실시하는 단계; 및 상기 접근제어 실시에 따라 상기 사용자 단말기의 망 접속을 차단하는 단계;를 포함하는 것을 특징으로 한다.
상기 망 접속을 차단 방법은 IP 통신 차단, TCP 통신 차단 및 UDP 통신 차단을 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명하 면 다음과 같다.
설명에 앞서, 이하 본 발명에서 사용되는 용어를 정의한다. 에지 라우터(Edge Router)는 통신사업자 망과 인터넷의 경계에 위치한 라우터이며, TAB 장비는 입력 패킷을 동일한 2개의 패킷으로 복제하는 네트워크 장비이며, 트래픽은 사용자에 의해 발생한 패킷의 연속적 흐름이며, OSI(open system interconnect)는 개방형 상호 시스템 접속의 약어이다.
도 1은 본 발명의 실시예에 따른 온라인 컨텐츠 접근제어 시스템을 나타낸 구성도이다.
도 1을 참조하면, 본 발명에 따른 온라인 컨텐츠 접근제어 시스템은 인터넷 망(10), 인터넷 망(10)에 각각 접속되는 사용자 단말기(20), 인증 시스템(30), 에지 라우터(Edge Router)(40), 컨텐츠 제공 서버(50), 접속제어시스템(60) 및 제어서버(70)를 포함하여 구성되며, 에지 라우터(40)와 가상 터널을 형성하는 L2TP 네트웍 서버(LNS)(80) 및 사용자 단말기(20)에 송수신되는 패킷을 복사하는 탭(TAB)(도시하지 않음)을 더 구비한다.
인터넷 망(10)은 통신망과 통신망을 연동해 놓은 망의 집합을 의하며, 랜 등의 소규모 통신망을 상호 접속하는 형태 뿐만 아니라, 전세계를 망라하는 거대한 통신망의 집합체이다. 본 발명에서 인터넷 망(10)은 논리적으로 컨텐츠 제공 서버(50)와 사용자 단말기(20) 등을 포함하는 각 구성간의 신호흐름이 이루어지는 상호접속통로 역할을 의미하며, 물리적으로는 수많은 케이블을 포함하는 유선 및 무선 등으로 형성된 네트워크를 의미한다.
사용자 단말기(20)는 컨텐츠 제공 서버(50)에 접속하여 컨텐츠 제공 서버(50)에서 제공하는 다양한 서비스를 이용하는 단말기이다. 이러한 사용자 단말기(20)는 퍼스널 컴퓨터 뿐만아니라, 이동형 노트북, 휴대용 단말기 등, IP(Internet Protocol)를 이용하는 모든 단말기를 통칭한다. 이러한 사용자 단말기(20)는 인터넷 망(10)에 접속되는 선로 등의 특성에 따라 ATM 계열, IP계열 등이 있다. 한편, 사용자 단말기(20)는 온라인 컨텐츠 접근 제어 서비스에 가입한 사용자가 사용 시간대, 사용 시간량 및 이에 따른 복합적인 제어기준의 설정을 작성하고, 사용자가 설정한 제어정보를 기준으로 컨텐츠의 프로토콜별 선별적 제어기능과 연동하게 한다.
인증 시스템(30)은 인터넷 망(10)에 접속된 사용자 단말기(20)가 본 발명이 제공하는 컨텐츠 접근제어 서비스를 이용하기 위해 등록되어 있는지 여부를 확인하며, 상기 사용자 단말기(20)의 사용자 정보 예를 들면, IP 주소 값을 확인하고, IP 주소값에 해당하는 인증 ID(Identification)를 부여한다. 이러한 인증 시스템(30)은 일반적으로 KT, 파워콤 등의 통신 사업자(Internet Service Provider)가 자신의 인터넷 서비스에 가입한 사용자 단말기(20)를 인증하기 위해 구축하는 시스템이 될 수 있다. 인증 시스템(30)은 사용자 단말기(20)가 인터넷 망(10)에 접속하고자 하는 경우, 사용자 단말기 망 접속정보를 접속제어시스템(60)을 거쳐 제어서버(70)에 전송한다.
에지 라우터(40)는 인터넷 망(10)의 물리적 구성인 네트워크의 종말단에서 다수의 사용자 단말기(20) 중 특정 사용자 단말기(20)가 접속하고자 하는 컨텐츠 제공 서버(50)와 통신선로 개설하기 위해 필요한 주소값 설정을 관리한다. 즉, 에지 라우터(40)는 사용자 단말기(20)가 접속하고자 하는 컨텐츠 제공 서버(50)의 주소값을 인터넷 망(10)을 구성하는 다른 라우터로부터 수신하여, 사용자 단말기(20)와 컨텐츠 제공 서버(50)간의 데이터 통신을 위한 통신선로를 개설한다. 이 에지 라우터(40)는 IP 계열의 사용자 단말기(20)를 라우팅하는 SER(Service Edge Router)와, ATM 계열의 사용자 단말기(20)를 라우팅 하는 NAS(Network Access Server) 또는 LAC(L2TP Access Concentrator) 등이 있다. 이때, 인증 시스템(30)이 부여하는 가상의 IP 주소 값에 해당하는 상기 SER과 네트웍 서버(80)간에는 GRE(General Routing Encapsulation) 터널이 형성되며, NAS와 네트웍 서버(80) 간에는 L2TP(Layer 2 Tunneling Protocol) 터널이 형성된다.
컨텐츠 제공 서버(50)는 사용자 단말기(20)가 접속할 경우 사용자 단말기(20)에 다양한 컨텐츠를 제공하며, 사용자 단말기(20)에 의해 설정되는 설정정보를 관리하고, 사용자 단말기(20) 변경사항에 대하여 실시간으로 제어서버(70)에 전달한다.
접속제어시스템(60)은 제어서버(70)의 제어에 따라, 사용자 단말기(20)에 전송되는 컨텐츠의 공급을 선별적으로 제어하게 된다. 즉, 접속제어시스템(60)은 사용자 단말기(20)의 컨텐츠 접근을 선별적으로 제어하는 역할을 수행하며, 이를 위하여, 접속제어시스템(60)은 사용자 단말기(20)의 TCP, UDP, RTP 및 IP 등의 프로토콜을 제어하여 사용자 단말기(20)에 전송되는 컨텐츠 접근을 제어하게 된다. 이러한 접속제어시스템(60)은 앞서 기술한 통신 사업자가 이미 구축하고 있는 것으 로 통신 사업자의 연계를 통하여 각 사용자 단말기(20)의 컨텐츠 접근제어를 실시하는 것이 바람직하다.
제어서버(70)는 사용자 단말기(20)가 접속하고자 하는 컨텐츠 제공 서버(50) 및 컨텐츠 제공 서버(50)가 제공하는 컨텐츠가 접근제어 목록에 있는지 여부를 확인하고, 등록여부에 따라, 사용자 단말기(20)의 접근을 제어하는 제어신호를 접속제어시스템(60)에 전송하게 된다. 이러한 제어서버(70)는 탭으로부터 전송되는 사용자 패킷을 분석하고, 차단조건에 부합하는 접속정보일 경우에는 프로토콜 별로 TCP 패킷 차단을 위해 로우(Raw) 패킷을 에지 라우터(40)를 통해 사용자에게 전달하거나, UDP 패킷차단을 위해 접속제어시스템(60)에 차단을 요청하게 된다. 이러한 제어서버(70)에 관하여 도 2를 참조하여 상세히 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 제어서버(70)의 각 프로세스 구성을 상세히 나타낸 도면이다.
도 2를 참조하면, 본 발명의 제어서버(70)는 캡쳐 프로세스(71), 세션관리 프로세스(72), 로그처리 프로세스(73), 제어 프로세스(74), 인증정보 연동 프로세스(75), 컨텐츠 분류 프로세스(76), 외부 프로세스(77), 접근제어 프로세스(78)를 포함하여 구성된다.
캡쳐 프로세스(71)는 TAB 장비에 의해 복사된 사용자 패킷을 수신하는 프로세스로서, 사용자 패킷을 분산하여 세션관리 프로세스(72)로 전달한다.
세션관리 프로세스(72)는 상기 사용자 패킷을 분석하여 소스 IP/PORT, 목적지 IP/PORT 및 프로토콜 정보를 추출하여 로그처리 프로세스(73)와 제어 프로세 스(74)에 전달한다.
로그처리 프로세스(73)는 사용자 패킷에 따른 사용자 접속정보 로그를 생성하여 보관한다.
제어 프로세스(74)는 사용자 단말기(20)가 미리 정한 사용자 제어조건과 상기 사용자 패킷정보를 비교하여 차단여부를 결정하여 처리하게 된다. 이를 상세히 살명하면, 제어 프로세스(74)는 컨텐츠의 IP 및 미리 지정된 컨텐츠 리스트 정보, 망 접속 정보 및 세션 별 접속시간을 관리하여 패킷 별 세션정보와 비교하고 차단조건에 부합하는 사용자의 TCP 세션차단을 위해 Raw 패킷을 생성하여 사용자에게 전송하고, UDP 패킷 제어를 위해 접속제어시스템(60)에 UDP 패킷의 차단을 요청하게 된다. 제어 프로세스(74)는 차단조건의 변경이 발생되면 접속제어시스템(60)에 차단설정된 UDP PORT 차단해제를 요청한다. 이를 위하여 제어 프로세스(74)는 접근제어 프로세스(78)와, 통신차단에 관련된 프로세스를 호출한다.
컨텐츠 리스트 정보는 제어 서비스별로 구분된 제어대상 목록, 예를 들면, 게임 접속 허용 또는 이용시간 제어 서비스를 위한 게임서버 목록, 사용자 그룹별로 정의된 화이트 리스트 정보 및 블랙 리스트 정보를 포함한다. 여기서, 화이트 리스트 정보는 제어대상 목록에는 포함되나, 사용자 그룹별에 제어대상에서는 제외되는 리스트 정보를 나타내는 것으로, 18세 미만의 청소년이 접속할 수 없는 사이트 또는 사이트가 제공하는 컨텐츠의 경우에는 사용자 단말기(20)의 그룹에 따라 제어 서비스를 선별적으로 차단하게 된다. 그리고, 블랙 리스트 정보는 사용자 단말기(20)의 접속을 원천적으로 차단하는 사이트 리스트로서, 사이버 수사대의 추적 을 받는 사이트, 예를 들면, 자살 사이트, 폭탄제조 사이트 등이 될 수 있다. 이러한, 화이트 리스트 정보 및 블랙 리스트 정보에 따라 컨텐츠 리스트 정보의 상기 차단조건 및 사용자 단말기(20) 제어조건을 개별적으로 조절할 수 있다. 즉, 차단조건 및 제어조건은 사용자 단말기(20) 사용자의 기호에 따라 차단 시간, 차단 사이트 및 차단된 사이트에 접속하기 위한 인증처리 등을 등록 당시 또는 등록 후, 지정하여 다양한 사용자 단말기(20) 개개의 사정 및 환경에 따라 적절하게 조절할 수 있다.
인증정보 연동 프로세스(75)는 사용자 단말기(20)가 인터넷 망(10)에 접속하고자 할 경우, 인증 시스템(30)과 연동하여 인증 시스템(30)이 생성하는 망 접속정보를 수신하여 제어 프로세스(74)에 전송한다.
컨텐츠 분류 프로세스(76)는 사용자 단말기(20)가 컨텐츠 제공 서버(50)에 설정한 사용자 단말기 설정 정보 및 컨텐츠 제공 서버(50)가 제공하는 다양한 컨텐츠의 분류에 관련된 정보를 생성하여 제어 프로세스(74)에 제공한다. 이러한 컨텐츠 분류 프로세스(76)는 분류되는 컨텐츠의 접속 허용 기준 예를 들면, 접속가능한 연령대 및 접속 가능한 시간 등에 따른 분류를 포함한다. 상세히 하면, 컨텐츠 분류 프로세스(76)는 선별적 제어기능의 선별 기준 즉 차단 조건을 적용하기 위하여 사용자를 특정 기준에 의해 등급별로 분류하고, 각각의 사용자 등급에 대응되는 컨텐츠들을 계층화 하여 화이트 리스트 정보 및 블랙 리스트 정보를 작성한 후, 제어 프로세스(74)에 제공한다.
외부 프로세스(77)는 웹기반 프로세스(77a)와 정보구축 프로세스(77b)를 포 함하여 구성된다. 웹기반 프로세스(77a)는 본 발명의 제어처리를 위해 필요한 정보를 제공하는 통신사업자의 인증 시스템(30)과 연계하여 인증 시스템(30)으로부터 정보를 수신하기 위한 인터페이스를 제공하고, 컨텐츠 제공 서버(50)의 사용자의 설정변경 사항을 관리한다. 정보구축 프로세스(77b)는 관리대상 URL 정보를 수집/관리하며, 사이트 및 컨텐츠 분류를 위하여 컨텐츠 분류 프로세스(76)에 제공할 수 있다.
접근제어 프로세스(78)는 제어 프로세스(74)에 의해 접근제어 판별이 정해진 경우, 접속제어시스템(60)이 사용자 단말기(20)의 실질적인 컨텐츠 접속을 제어하도록 명령한다. 즉, 접근제어 프로세스(78)는 TCP, UDP, RTP, IP 등의 프로토콜을 제어하도록 접속제어시스템(60)에 명령하여 컨텐츠 접속을 제어하게 된다.
이상에서는 본 발명의 온라인 컨텐츠 접근제어 시스템의 각 구성에 대하여 살펴보았으며, 이하에서는 본 발명의 온라인 컨텐츠 접근제어 시스템을 이용한 컨텐츠 접근제어 방법에 관하여 도 4를 참조하여 살펴보기로 한다.
도 3은 본 발명의 실시예에 따른 온라인 컨텐츠 접근제어 방법을 나타낸 순서도이다.
도 3을 참조하면, 본 발명의 온라인 컨텐츠 접근제어 방법은 먼저, 사용자 단말기(20)의 망 접속정보를 수집한다(S100).
S100 단계에서, 망 접속 정보 수집 방법은 도 4에 도시된 바와 같이 사용자 단말기(20)가 망 접속 시 부여 받은 IP Address와 인증 ID 쌍과 망 접속/해제 정보를 통신사업자의 인증시스템(30)에서 전달받는 단계(S111), 인증 ID에 따른 사용자 의 현재 제어방법을 포함한 설정정보를 통신 사업자의 저장매체에서 읽어 들이는 단계(S112), 인증 ID, IP Address와 사용자 부가정보를 제어 프로세스(74)로 전달하는 단계(S113)를 포함하여 수집할 수 있다.
한편으로, S100 단계에서, 사용자 단말기(20)가 접근제어 서비스를 개설하고 접속을 시도하는 경우에는 도 5에 도시된 바와 같이 사용자 단말기(20)로부터 송수신되는 사용자 패킷에서 수집된 MAC Address를 통신 사업자의 저장매체에 저장된 목록과 비교하여 등록여부를 판단하는 단계(S121), 미등록 MAC Address일 경우 사용자 단말기(20)에 서비스를 제공하는 통신사업자의 사용자 관리 시스템과 연동하여 사용자 정보를 수집하는 단계(S122), 수집된 MAC Address, IP Address 쌍과 부가정보를 통신 사업자의 저장매체에 저장하는 단계(S123), MAC Address에 따른 사용자 ID와 현재 제어방법을 포함한 설정정보를 저장매체에서 읽어 들이는 단계(S124), 사용자 ID, IP Address와 사용자 부가정보를 제어 프로세스(74)로 전달하는 단계(S125)를 포함할 수 있다.
다음으로, 사용자 단말기(20)에 송수신되는 사용자 트래픽을 수집한다(S200).
S200 단계에서, 사용자 트래픽을 수집하는 방법은 통신사업자 에지 라우터(40)와 인터넷 망(10) 사이에 TAB 장비를 설치하여 도 6에 도시된 바와 같이 사용자 패킷을 복사하는 단계(S211), 로드분산 필요 시(S212) 스위치(L4 Switch) 장비에서 사용자 IP에 따른 해쉬키 값에 의해 패킷을 배분하는 단계(S213), 제어서버(70)에 설치된 랜카드를 통해 패킷을 캡쳐 프로세스(71)에서 읽어 들이는 단 계(S214)를 포함할 수 있다.
한편으로, S200 단계에서, 사용자 트래픽을 수집하는 다른 방법은 도 7에 도시된 바와 같이 통신사업자의 업링크(UPLINK)가 연결된 스위치 장비의 미러링 포트(Mirroring Port)를 통해 사용자 패킷을 미러링하는 단계(S221), 로드분산 필요 시(S222) 스위치(L4 Switch) 장비에서 사용자 IP에 따른 해쉬키 값에 의해 패킷을 배분하는 단계(S223), 제어서버(70)에 설치된 랜카드를 통해 패킷을 캡쳐 프로세스(71)에서 읽어 들이는 단계(S224)를 포함할 수 있다.
또 한편으로, S200 단계에서, 사용자 트래픽을 수집하는 또 다른 방법은 도 8에 도시된 바와 같이 프로토콜 헤드 분석을 통해 MAC Address와 세션정보(IP Address 쌍과 포트 쌍)와 L4(OSI 레이어 4계층) 프로토콜 구분 및 부가정보를 수집하는 단계(S231), 세션별 트래픽 수와 세션유지 시간을 계산하는 단계(S232), 세션정보와 부가정보를 저장매체에 기록하고 제어 프로세스에 전달하는 단계(S233)를 포함할 수 있다.
다음으로, 상기 S100 단계 및 상기 S200 단계에서 수집한 트래픽 정보를 망 접속정보에 따라 처리한다(S300).
S300 단계에서, 트래픽 정보를 처리하는 방법은 도 9에 도시된 바와 같이, 제어 프로세스(74)에 전달된 사용자 망 접속 정보의 망 접속/해제 구분에 따라(S311), 망 접속 정보일 경우 전달된 정보를 제어 서버(70)의 메모리에 로드하는 단계(S312), 망 접속 해제일 경우 사용자 부가정보를 저장매체에 저장(S313) 후, 메모리에서 제거하는 단계(S314), 제어 프로세스(74)에 전달된 트래픽 분석 정보에 서 사용자 정보를 구분하여 해당 망 접속 정보와 비교하는 단계(S315)를 포함한다.
다음으로, 분류된 컨텐츠 및 차단조건과 상기 트래픽 정보를 비교한다(S400).
S400 단계에서, 컨텐츠를 분류하고 차단조건을 판단하는 방법은 도 10에 도시된 바와 같이, 사용자 그룹별 화이트 리스트 정보/블랙 리스트 정보 목록에 의해 사용자 그룹별로 컨텐츠 목록을 분류하는 단계(S411), 제어서버(70)에 전달된 사용자 IP, 목적지 IP/PORT와, 컨텐츠의 사용시간 및 사용자 그룹별로 분류된 목록과, 사용자가 지정한 제어방식에 차단조건 판별 규칙을 적용하는 단계(S412), 그에 따라 해당 트래픽의 차단 또는 시간 누적여부를 판단하는 단계(S413), S413 단계에 따라 사용자별/컨텐츠별 사용시간을 누적하는 단계(S414), 접근제어 대상 트래픽일 경우 L4(OSI 레이어 4계층) 프로토콜(TCP, UDP)에 따라 접근제어 프로세스(78)를 호출하는 단계(S415)를 포함한다.
상기 사용자 단말기(20)가 지정한 제어방식 판별을 위한 단계에서 사용자의 제어방식 변경이 발생할 경우에는, 접근제어 프로세스(78) 호출 이전에 사용자를 위한 입력 도구를 제공하고 입력을 읽어 들이는 단계, 설정정보를 저장매체에 기록하고 제어프로세스에 전달하는 단계, 망 접속 사용자인 경우 현재 적용중인 제어방식의 변경을 판단하는 단계를 더 포함할 수 있다.
S400 단계의 결과에 따라, 사용자 단말기(20)의 선별적 접근제어를 실시한다(S500).
S500 단계에서, 선별적 접근제어 방법은 도 11에 도시된 바와 같이 앞서 기 술한 트래픽의 수집/분석에 의해 생성된 사용자 IP/PORT, 목적지 IP/PORT, 프로토콜을 포함하는 세션정보를 제어 서버(70)의 메모리에서 검색이 가능하도록 저장하는 단계(S511), 세션정보를 제어 프로세스(74)에 전달하는 단계(S512), 제어 프로세스(74)의 차단조건 판단 결과를 읽어서 세션정보에 기록하는 단계(S513), 동일 세션으로 분류되는 트래픽이 발생하여 차단조건에 따른 차단이 필요한 경우에 프로토콜 별로 구분하고 다음에 기술하는 통신차단을 위한 프로세스를 호출하는 단계(S514)를 포함한다.
마지막으로, 상기 선별적 접근제어에 따른 사용자 단말기(20)의 통신차단을 실시한다(S600).
S600 단계에서, 통신 차단 방법은 IP 통신 차단, TCP 통신 차단, UDP 통신 차단을 포함하며 이하에서 각 차단 방법에 대하여 상세히 살펴보기로 한다. 먼저, IP 통신차단 방법은 도 12에 도시된 바와 같이 OSI 레이어 3계층(IP) 프로토콜 제어를 통한 통신차단을 위해, 패킷의 IP 헤더와 TCP 또는 UDP 헤더를 읽어서 저장하는 단계(S611), ICMP(인터넷 제어 메시지 프로토콜) 목적지 도착불능(ICMP UNREACH) 패킷을 생성하는 단계(S612), ICMP의 데이터 부분에 저장된 헤더정보를 매핑후 IP 패킷을 생성하는 단계(S613), 저장된 IP 헤더의 소스 IP로 패킷을 전송하는 단계(S614)를 포함한다. 여기서, 전송된 패킷은 소스 IP의 단말에서 해석되어 자신이 전송한 패킷과 ICMP의 데이터 부분의 패킷을 비교하고 해당 패킷을 전송오류로 인식하게 함으로써 IP 프로토콜을 포함하여 IP 프로토콜 기반의 상위 프로토콜을 제어할 수 있다.
한편으로, S600 단계에서, TCP 통신차단의 다른 방법은 도 13에 도시된 바와 같이 OSI 레이어 4계층(TCP) 프로토콜 제어를 통한 통신차단을 위해, 사용자 패킷에서 TCP 세션정보 및 시퀀스 번호(Sequence Number)를 읽어서 저장하는 단계(S621), TCP 제어 RST(Reset) 패킷을 생성하는 단계(S622), 사용자 단말기(20) 및 켄텐츠 서비스를 제공하는 서버 즉 컨텐츠 제공 서버(50)에 전송하는 단계(S623)를 포함한다. 여기서, 전송된 패킷은 소스 IP의 단말에서 해석되어 통신 상대방의 응용 프로그램이나 단말의 문제로 해당 TCP 세션을 Reset한 것으로 인식하게 함으로써 통신 종료를 유도하여 TCP 세션을 제어할 수 있다.
또 한편으로, S600 단계에서, TCP 통신차단의 또 다른 방법은 도 14에 도시된 바와 같이 OSI 레이어 4계층(TCP) 프로토콜 제어를 통한 통신차단을 위해, 사용자 패킷에서 TCP 세션정보 및 시퀀스 번호를 읽어서 저장하는 단계(S631), TCP 제어 FIN(Finish) 패킷을 생성하는 단계(S632), 사용자 단말 및 켄텐츠 서비스를 제공하는 서버에 전송하는 단계(S633)를 포함한다. 여기서, 전송된 패킷은 소스 IP의 단말에서 해석되어 통신 상대방의 응용 프로그램에서 해당 TCP 세션 종료를 요청한 것으로 인식하게 함으로써 통신 종료를 유도하여 TCP 세션을 제어할 수 있다.
마지막으로, S600 단계에서, UDP 통신차단 방법은 도 15에 도시된 바와 같이 SI 레이어 4계층(UDP) 프로토콜 제어를 통한 통신차단을 위해, 사용자 패킷에서 IP/PORT 정보를 읽어서 저장하는 단계(S641), 사용자 별 차단 대상 UDP 포트의 라우터의 필터링 기능에 의한 차단 및 차단상태의 해제 요청을 통신 사업자의 접속 제어시스템(60)에 전송하는 단계(S642), 접속제어시스템(60)에 의해 UDP 패킷이 차 단되는 단계(S643)를 포함한다.
도 16은 본 발명의 실시예에 따른 온라인 컨텐츠 접근제어 방법에 해당하는 각 순서를 상세히 나타낸 순서도이다.
도 16을 참조하면, 본 발명에 따른 온라인 컨텐츠 접근제어 방법을 살펴보면 다음과 같다.
ⓐ 통신사업자가 터널링 기술로 전달한 패킷을 수집한다.
ⓑ 사용자 망 접속시 통신사업자의 인증시스템과 접속정보(사용자 ID, IP Address)를 연동하여 획득한다.
ⓒ TAB과 L4 Switch 장비로 사용자 패킷 복사를 실시하고, 복사된 패킷을 분석한다.
ⓓ 상기 분석된 정보로 사용자 세션정보(Source IP/PORT, Target IP/PORT, Protocol)를 구성한다.
ⓔ 활성화된 사용자의 현재 설정정보를 데몬의 프로세스 영역에 구축한다.
ⓕ 웹을 통한 사용자 설정정보의 변경이 발생하는 경우, ⓖ 사용자 망 접속 여부에 따라 ⓗ 변경사항을 DB에 저장하거나 ⓘ DB 변경후 데몬의 프로세스 영역정보를 수정한다.
ⓙ 차단설정 사항을 검사하여 차단대상이 아닐 경우 로깅을 재 실시하고, 반복한다.
ⓚ 목적지 정보가 화이트 리스트 정보에 포함될 경우 로깅 후 반복한다.
ⓛⓟ 목적지 정보가 차단대상이 아니고 블랙 리스트 정보에 포함되지 않을 경우 로깅 후 반복한다.
ⓜ 목적지 정보가 차단대상일 경우 사용가능 설정시간을 검사한다.
ⓝ 사용 가능 시간이 설정시간 전이면 메시지통보 여부를 확인하고 로깅 후 반복한다.
ⓞ 메시지통보일 경우 사용자 단말에 게임 등 컨텐츠 사용가능 잔여시간을 통보한다.
ⓠ 사용가능 시간이 시간초과일 경우나 목적지 정보가 블랙 리스트 정보에 포함될 경우 프로토콜을 검사한다.
ⓡ 검사된 프로토콜이 TCP일 경우 Raw Packet을 생성하여 사용자에게 전송한다.
ⓢ 검사된 프로토콜이 UDP일 경우 통신사업자의 Router 제어 시스템과 연동하여 사용자의 UDP 패킷차단 요청한다.
ⓣ Router에서 사용자의 LC(Logical Circuit)에 Filter rule 적용하여 UDP 패킷을 드롭(Drop)한다.
ⓤ 차단처리에 의한 게임 등 컨텐츠 서비스의 종료한다.
ⓥ 처리결과 로그처리 및 반복한다.
한편, 이하에서는 컨텐츠 접근제어에 따른 결과로, 통신 차단을 실시할 경우 각 계층에서 프로토콜을 제어하기 위한 패킷 조합과정에 대하여 도 17 내지 도 19를 참조하여 상세히 살펴보기로 한다.
도 17은, 본 발명에 따른 통신차단 방법의 실시 예의 OSI 레이어 3계층(IP) 프로토콜 제어를 위한 TCP 패킷 조합 과정을 기술한다.
이를 상세히 살펴보면, IP 프로토콜 제어를 위한 TCP 제어 패킷에서 S311과 S312는 사용자가 발생한 TCP 기반 패킷을 의미하며, 차단제어를 위한 ICMP 패킷의 조합을 위해 S313-data는 IP, TCP (S311, S312) 프로토콜 헤더를 변경없이 ICMP data 부분에 매핑한다. 또한, S313-type은 목적지 도착 불능(ICMP_UNREACH:3)으로 설정하며, S313-code는 프로토콜 미도달 또는 포트 미도달 (ICMP_UNREACH_PROTOCOL:2 or ICMP_UNREACH_PORT:3)로 설정한다. 그리고, S314는 차단제어를 위한 조합된 IP헤더를 나타내며, S314-Source IP는 S311-Destination IP로 매핑하며, S314-Destination IP는 S311-Source IP로 변경하여 매핑하도록 설정한다.
도18은, 본 발명에 따른 통신차단 방법의 실시 예의 OSI 레이어 3계층(IP) 프로토콜 제어를 위한 UDP 패킷 조합 과정을 기술한다.
이를 상세히 설명하면, UDP 제어 패킷에서 S321과 S322는 사용자가 발생한 UDP 기반 패킷을 의미하며, 차단제어를 위한 ICMP 패킷의 조합을 위해 S323-data는 IP, UDP (S321, S322) 프로토콜 헤더를 변경없이 ICMP data 부분에 매핑하고, S323-type은 목적지 도착 불능(ICMP_UNREACH:3)으로 설정되며, S323-code는 프로토콜 미도달 또는 포트 미도달 (ICMP_UNREACH_PROTOCOL:2 or ICMP_UNREACH_PORT:3)로 설정한다. 그리고, S324는 조합된 IP헤더를 나타내며, S324-Source IP는 S321-Destination IP로 매핑설정하며, 324-Destination IP는 S311-Source IP로 변경 매핑한다.
상술한 OSI 레이어 3계층(IP) 프로토콜 제어에 의한 TCP 및 UDP 통신차단 방법은 ICMP 프로토콜을 이용한 온라인 컨텐츠의 능동적 제어를 위한 적용으로서, TCP 세션제어 방법에 있어서 FIN 제어 패킷에 의한 차단이 이전 RST 제어 패킷을 이용한 차단보다 신호 송수신 및 처리에 있어서 보다 효율적으로 적용될 수 있다.
도19는 본 발명에 따른 통신차단 방법의 실시 예의 OSI 레이어 4계층 중 TCP프로토콜 제어를 위한 패킷 조합 과정을 기술한다.
이를 상세히 설명하면, S411과 S412는 사용자가 발생한 TCP 기반 패킷을 의미하며, 차단제어를 위해 S411과 S412를 기반으로 S412-F(Flags)의 ACK 필드가 set된 패킷에 대해 S422-F(Flags)의 RST 또는 FIN 필드를 설정하고, S324-Sequence number는 S412-Acknowledgment number와 동일하게 설정하며, S421-Source IP는 S411-Destination IP로 매핑함과 아울러 S421-Destination IP는 S411-Source IP로 변경하여 매핑 설정한다. 그리고, S422-Source Port는 S412-Destination Port로 매핑하며, S422-Destination Port는 S412-Source Port로 변경하여 매핑한다.
이와 같은 본 발명의 실시예에 다른 온라인 컨텐츠 접근 제어 시스템 및 방법은 유선통신 가입자를 대상으로 통신사업자 초고속인터넷 Edge 기반의 온라인 컨텐츠 제어에 관한 것으로, 사용자가 설정한 조건에 따라 컨텐츠 서비스를 제공하는 TCP, UDP, RTP 등의 통신 프로토콜을 제어함으로써 기존의 TCP기반의 URL차단이나 IP기반의 통신에 비하여 보다 진보한 효과를 가진다.
또한, 본 발명은 통신사업자의 인증시스템 연동 및 사용자 별 트래픽 분석/관리를 위한 방법과, 사용자를 인위적인 그룹별로 나누어 컨텐츠 접근을 구분하여 제어하는 방법과, 사용자 또는 보호자가 지정한 사용가능 시간에 따라 실시간 반영 및 제어하는 방법과, 컨텐츠의 기반 프로토콜과 관련 없이 TCP, UDP, RTP 통신의 차단/해제를 위한 다양한 제어방법과, 통신사업자의 네트워크 Edge기반에서 사용자 트래픽을 복사하고, 사용자 별로 라우터 필터링 기능을 적용하기 위해 시스템간 연동하는 방법을 기술함으로써 통신사업자의 설정에 의한 기존 제어방식에서 사용자가 능동적으로 초고속인터넷 통신사업자의 부가서비스에 대해 자신의 서비스를 선별적으로 제어할 수 있다.
그리고, 본 발명은 통신사업자 인증 시스템 연동을 통해 사용자 망 접속 정보를 수집/관리하고, 통신사업자 에지 라우터에서 사용자 트래픽을 수집/분석하고, 제어서버(70)에서 사용자 별 차단조건을 판별하여 컨텐츠의 OSI 레이어 3계층(IP), 4계층(TCP,UDP) 프로토콜을 제어하고, 사용자 별 라우터 필터링 기능의 적용을 위해 통신사업자의 접속 제어 시스템에 요청함으로써 에지 라우터와 연계하여 보다 효율적인 사용자 단말기 제어가 가능하다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 대해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능하고, 입력을 받아 본 발명에서 설명한 기능의 일부를 처리하여 출력을 생성하는 기계적 장치로 구현 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시 예에 국한되지 않으며, 후술되는 특허청구 범위 뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명의 실시예에 따른 온라인 컨텐츠 접근 제어 시스템 및 방법은, 통신사업자 접점시스템 연계를 통해 사용자 망 접속 정보 및 트래픽을 수집/분석/처리할 수 있다.
본 발명의 다른 실시예에 따른 온라인 컨텐츠 접근 제어 시스템 및 방법은, 사용자가 지정한 제어조건에 따라 컨텐츠를 분류하고 차단조건을 판단하여 온라인 컨텐츠의 사용자별 맞춤식 선별제어가 가능하다.
본 발명의 다른 실시예에 따른 온라인 컨텐츠 접근 제어 시스템 및 방법은, 사용자가 요청한 온라인 컨텐츠에 적용되는 통신 프로토콜에 관계없이 온라인 컨텐츠의 선별적 접근제어가 가능하다.
마지막으로, 본 발명의 다른 실시예에 따른 온라인 컨텐츠 접근 제어 시스템 및 방법은, IP 계층과, TCP/UDP 계층을 이용하는 데이터의 송수신에 있어서, 상기 프로토콜 제어를 통하여 컨텐츠의 선별적 접근제어가 가능하다.

Claims (22)

  1. 인터넷 망;
    상기 인터넷 망에 접속되는 사용자 단말기;
    상기 사용자 단말기의 인터넷 망 접속시 망 접속정보를 인증하는 인증 시스템;
    상기 인터넷 망으로부터 상기 사용자 단말기에 송수신되는 패킷을 제어하는 에지 라우터;
    상기 사용자 단말기에 컨텐츠를 제공하는 컨텐츠 제공 서버;
    상기 사용자 단말기의 상기 컨텐츠 제공 서버 또는 상기 인터넷 망 접속을 제어하는 접속제어시스템; 및
    상기 사용자 단말기가 상기 인터넷 망에 접속하기 위한 망 접속정보를 획득하여, 상기 망 접속정보에 포함된 상기 컨텐츠들과 기 설정된 차단조건을 비교하고, 상기 패킷의 공급을 선별함으로써 상기 컨텐츠의 공급을 컨텐츠가 제공되는 프로토콜별로 제어하는 제어서버;를 포함하되 상기 제어서버는,
    상기 사용자 단말기에 송수신되는 상기 사용자 패킷을 수신하는 캡쳐 프로세스, 와
    상기 사용자 패킷을 분석하여 소스 IP/PORT, 목적지 IP/PORT 및 프로토콜 정보를 추출하는 세션관리 프로세스, 와
    상기 인증시스템으로부터 제공되는 망 접속정보를 수신하는 인증정보 연동 프로세스, 와
    상기 컨텐츠 제공 서버가 제공하는 컨텐츠들 중 차단하고자 하는 컨텐츠들의 리스트를 분류하는 컨텐츠 분류 프로세스, 와
    접근제어 판별에 따른 컨텐츠 접근을 제어하는 접근제어 프로세스 및
    상기 망 접속정보, 상기 분석된 사용자 패킷 정보 및 상기 컨텐츠 리스트들을 이용하여 컨텐츠 차단 명령을 지시하는 제어 프로세스를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  2. 제 1 항에 있어서,
    상기 에지 라우터와 가상 터널을 형성하는 L2TP 네트웍 서버; 및
    상기 사용자 단말기에 송수신되는 패킷을 복사하여 상기 제어서버에 공급하 는 탭을 더 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  3. 제 1 항 또는 제 2 항 중 어느 한 항에 있어서,
    상기 프로토콜은,
    TCP, UDP, RTP, IP 중 적어도 하나 인 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  4. 제 3 항에 있어서,
    상기 제어서버는,
    상기 TCP 프로토콜 제어시
    상기 사용자 단말기 또는 상기 컨텐츠 제공 서버에 공급하기 위한 FIN 패킷; 및
    상기 사용자 단말기 또는 상기 컨텐츠 제공 서버에 공급하기 위한 RST 패킷; 중 적어도 하나를 생성하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  5. 제 3 항에 있어서,
    상기 제어서버는,
    상기 UDP 프로토콜 제어시,
    상기 접속제어시스템에 해당 패킷에 대한 차단을 요청하는 메시지를 생성하 는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  6. 제 1 항 또는 제 2 항 중 어느 한 항에 있어서,
    상기 제어서버는,
    상기 망 접속정보에 따른 사용자 접속정보 로그를 생성하여 보관하는 로그처리 프로세스;
    상기 인증 시스템과의 정보 송수신을 위한 인터페이스를 제공하는 웹기반 프로세스;
    관리대상 URL 정보를 수집관리하는 정보구축 프로세스를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  7. 제 1 항 또는 제 2 항 중 어느 한 항에 있어서,
    상기 차단 조건은,
    상기 사용자의 연령;
    상기 사용자 연령에 따라 분류된 컨텐츠들;
    상기 컨텐츠를 분류에 따라 계층화한 리스트;
    상기 사용자에 따른 접속가능 시간; 및
    상기 사용자에 따른 접속가능 시각;을 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 시스템.
  8. 사용자 단말기의 인터넷 망 접속시, 상기 사용자 단말기가 망 접속 시 부여 받은 IP Address와 인증 ID 쌍과 망 접속/해제 정보를 통신사업자의 인증시스템에서 전달받는 단계;
    상기 인증 ID에 따른 사용자의 현재 제어방법을 포함한 설정정보를 통신 사업자의 저장매체에서 읽어 들이는 단계;
    상기 인증 ID, 상기 IP Address와 사용자 부가정보를 제어 프로세스로 전달하는 단계;
    상기한 각 단계를 통해 망 접속정보를 수집함과 아울러 사용자 단말기에 송수신되는 사용자 트래픽을 수집하는 단계;
    상기 망 접속 정보를 상기 사용자 트래픽에 포함된 사용자 정보와 비교하는 단계;
    미리 분류된 컨텐츠 및 미리 설정된 차단조건과 트래픽 정보를 비교하는 단계;
    상기 차단조건과 상기 트래픽 정보 비교결과에 따라 상기 컨텐츠를 프로토콜 별로 분류하고, 분류된 프로토콜별로 상기 사용자 단말기의 접근제어를 실시하는 단계; 및
    상기 접근제어 실시에 따라 상기 사용자 단말기의 망 접속을 차단하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  9. 삭제
  10. 제 8 항에 있어서,
    상기 망 접속 정보 수집 방법에서 상기 사용자 단말기가 접근제어 서비스를 개설하고 접속을 시도하는 경우,
    상기 사용자 단말기에 송수신되는 사용자 패킷에서 수집된 MAC Address를 통신 사업자의 저장매체에 저장된 목록과 비교하여 상기 서비스 등록여부를 판단하는 단계;
    상기 MAC Address가 미등록 MAC Address일 경우 상기 사용자 단말기에 상기 서비스를 제공하는 통신사업자의 사용자 관리 시스템과 연동하여 사용자 정보를 수 집하는 단계;
    상기 수집된 MAC Address, IP Address 쌍과 부가정보를 통신 사업자의 저장매체에 저장하는 단계;
    상기 MAC Address에 따른 사용자 ID와 현재 제어방법을 포함한 설정정보를 저장매체에서 읽어 들이는 단계; 및
    상기 사용자 ID, 상기 IP Address와 사용자 부가정보를 제어 프로세스로 전달하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  11. 제 8 항에 있어서,
    상기 사용자 트래픽을 수집하는 방법은,
    탭 장비를 이용하여 상기 사용자 단말기에 송수신되는 사용자 패킷을 복사하는 단계;
    상기 사용자 패킷에 대한 로드분산 필요 시 스위치 장비에서 사용자 IP에 따른 해쉬키 값에 의해 패킷을 배분하는 단계; 및
    상기 패킷을 읽어 들이는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  12. 제 8 항에 있어서,
    상기 사용자 트래픽을 수집하는 다른 방법은,
    통신사업자의 업링크가 연결된 스위치 장비의 미러링 포트를 통해 상기 사 용자 단말기에 송수신되는 사용자 패킷을 미러링하는 단계;
    상기 사용자 패킷에 대한 로드분산 필요 시 스위치 장비에서 사용자 IP에 따른 해쉬키 값에 의해 패킷을 배분하는 단계; 및
    상기 패킷을 읽어 들이는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  13. 제 8 항에 있어서,
    상기 사용자 트래픽을 수집하는 다른 방법은,
    상기 프로토콜 헤드 분석을 통해 MAC Address와 세션정보와 OSI 레이어 4계층 프로토콜 구분 및 부가정보를 수집하는 단계;
    세션별 트래픽 수와 세션유지 시간을 계산하는 단계; 및
    세션정보와 부가정보를 저장매체에 기록하고 제어 프로세스에 전달하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  14. 제 8 항에 있어서,
    상기 트래픽 정보를 처리하는 방법은,
    제어 프로세스에 전달된 상기 사용자 망 접속 정보의 망 접속 및 해제를 구분하는 단계;
    상기 망 접속 및 해제 구분 단계에서, 망 접속 정보일 경우 전달된 정보를 제어 서버의 메모리에 로드하는 단계;
    상기 망 접속 및 해제 구분 단계에서, 망 접속 해제일 경우 사용자 부가정보를 저장매체에 저장 후, 메모리에서 제거하는 단계; 및
    상기 제어 프로세스에 전달된 트래픽 분석 정보에서 사용자 정보를 구분하여 해당 망 접속 정보와 비교하는 단계를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  15. 제 8 항에 있어서,
    상기 컨텐츠를 분류하고 차단조건을 판단하는 방법은,
    상기 사용자 단말기 그룹별로 컨텐츠 목록을 분류하는 단계;
    제어서버에 전달된 상기 사용자 단말기의 IP, 목적지 IP/PORT와, 컨텐츠의 사용시간 및 상기 사용자 단말기 그룹별로 분류된 목록과, 사용자가 지정한 제어방식에 차단조건 판별 규칙을 적용하는 단계;
    상기 적용 단계에 따라 해당 트래픽의 차단 또는 시간 누적여부를 판단하는 단계;
    상기 누적여부 판단일 경우, 상기 사용자별/컨텐츠별 사용시간을 누적하는 단계; 및
    상기 차단 트래픽 대상일 경우, OSI 레이어 4계층 프로토콜에 따라 접근제어 프로세스를 호출하는 단계를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  16. 제 15 항에 있어서,
    상기 사용자 단말기가 지정한 제어방식 판별을 위한 단계에서 사용자의 제어방식 변경이 발생할 경우,
    접근제어 프로세스 호출 이전에 사용자를 위한 입력 도구를 제공하고 입력을 읽어 들이는 단계;
    상기 사용자 입력에 따른 설정정보를 저장매체에 기록하고 제어프로세스에 전달하는 단계; 및
    상기 망 접속 사용자인 경우 현재 적용중인 제어방식의 변경을 판단하는 단계를 더 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  17. 제 8 항에 있어서,
    상기 접근제어 방법은,
    상기 트래픽의 수집/분석에 의해 생성된 사용자 IP/PORT, 목적지 IP/PORT, 프로토콜을 포함하는 세션정보를 제어 서버의 메모리에서 검색이 가능하도록 저장하는 단계;
    상기 세션정보를 제어 프로세스에 전달하는 단계;
    상기 제어 프로세스의 차단조건 판단 결과를 읽어서 상기 세션정보에 기록하는 단계; 및
    동일 세션으로 분류되는 트래픽이 발생하여 차단조건에 따른 차단이 필요한 경우에 상기 프로토콜 별로 구분하고 통신차단을 위한 프로세스를 호출하는 단계를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  18. 제 8 항에 있어서,
    상기 망 접속 차단 방법은,
    IP 통신 차단, TCP 통신 차단 및 UDP 통신 차단을 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  19. 제 18 항에 있어서,
    상기 IP 통신차단 방법은,
    상기 사용자 단말기에 송수신되는 패킷의 IP 헤더와 TCP 또는 UDP 헤더를 읽어서 저장하는 단계;
    인터넷 제어 메시지 프로토콜 목적지 도착불능 패킷을 생성하는 단계;
    상기 인터넷 제어 메시지 프로토콜의 데이터 부분에 저장된 헤더정보를 매핑후 IP 패킷을 생성하는 단계; 및
    상기 저장된 IP 헤더의 소스 IP로 상기 생성된 패킷을 전송하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  20. 제 18 항에 있어서,
    상기 TCP 통신차단의 다른 방법은,
    상기 사용자 단말기에 송수신되는 사용자 패킷에서 TCP 세션정보 및 시퀀스 번호를 읽어서 저장하는 단계;
    TCP 제어 RST 패킷을 생성하는 단계; 및
    상기 사용자 단말기 및 켄텐츠 서비스를 제공하는 서버에 전송하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  21. 제 18 항에 있어서,
    상기 TCP 통신차단의 다른 방법은,
    상기 사용자 단말기에 송수신되는 사용자 패킷에서 TCP 세션정보 및 시퀀스 번호를 읽어서 저장하는 단계;
    TCP 제어 FIN 패킷을 생성하는 단계; 및
    상기 사용자 단말기 및 켄텐츠 서비스를 제공하는 서버에 전송하는 단계;를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
  22. 제 18 항에 있어서,
    상기 UDP 통신차단 방법은,
    상기 사용자 단말기에 송수신되는 사용자 패킷에서 IP/PORT 정보를 읽어서 저장하는 단계;
    사용자 별 차단 대상 UDP 포트의 라우터의 필터링 기능에 의한 차단 및 차단상태의 해제 요청을 통신 사업자의 접속 제어시스템에 전송하는 단계; 및
    상기 접속 제어시스템에 의해 UDP 패킷이 차단되는 단계를 포함하는 것을 특징으로 하는 온라인 컨텐츠 접근 제어 방법.
KR1020060050352A 2006-06-05 2006-06-05 온라인 컨텐츠 접근 제어 시스템 및 방법 KR100703567B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060050352A KR100703567B1 (ko) 2006-06-05 2006-06-05 온라인 컨텐츠 접근 제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060050352A KR100703567B1 (ko) 2006-06-05 2006-06-05 온라인 컨텐츠 접근 제어 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100703567B1 true KR100703567B1 (ko) 2007-04-09

Family

ID=38160835

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060050352A KR100703567B1 (ko) 2006-06-05 2006-06-05 온라인 컨텐츠 접근 제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100703567B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100849888B1 (ko) 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
WO2009085479A1 (en) * 2007-12-21 2009-07-09 Yahoo! Inc. Mobile click fraud prevention
WO2009108425A3 (en) * 2008-02-26 2009-10-29 Microsoft Corporation Content management that addresses levels of functionality
US8301618B2 (en) 2008-02-26 2012-10-30 Microsoft Corporation Techniques to consume content and metadata
US8358909B2 (en) 2008-02-26 2013-01-22 Microsoft Corporation Coordinated output of messages and content
KR101393910B1 (ko) * 2007-10-15 2014-05-12 엘지이노텍 주식회사 개인용 컴퓨터 네트워크 시스템 및 개인용 컴퓨터 네트워크시스템의 관리 방법
CN113196250A (zh) * 2018-12-10 2021-07-30 飞比特网络股份有限公司 信息通信设备用的互联网连接管理***及其方法、安装于信息通信设备的互联网连接管理程序

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040101616A (ko) * 2003-05-26 2004-12-03 박동규 무선 인터넷상에서의 사용자 컨텐츠 접근권한 관리시스템및 그 방법과, 사용자 컨텐츠 접근권한 관리 소프트웨어를기록한 컴퓨터가 읽을 수 있는 기록매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040101616A (ko) * 2003-05-26 2004-12-03 박동규 무선 인터넷상에서의 사용자 컨텐츠 접근권한 관리시스템및 그 방법과, 사용자 컨텐츠 접근권한 관리 소프트웨어를기록한 컴퓨터가 읽을 수 있는 기록매체

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101393910B1 (ko) * 2007-10-15 2014-05-12 엘지이노텍 주식회사 개인용 컴퓨터 네트워크 시스템 및 개인용 컴퓨터 네트워크시스템의 관리 방법
KR100849888B1 (ko) 2007-11-22 2008-08-04 한국정보보호진흥원 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법
WO2009085479A1 (en) * 2007-12-21 2009-07-09 Yahoo! Inc. Mobile click fraud prevention
US8799069B2 (en) 2007-12-21 2014-08-05 Yahoo! Inc. Mobile click fraud prevention
WO2009108425A3 (en) * 2008-02-26 2009-10-29 Microsoft Corporation Content management that addresses levels of functionality
US8301618B2 (en) 2008-02-26 2012-10-30 Microsoft Corporation Techniques to consume content and metadata
US8358909B2 (en) 2008-02-26 2013-01-22 Microsoft Corporation Coordinated output of messages and content
US8805817B2 (en) 2008-02-26 2014-08-12 Microsoft Corporation Techniques to consume content and metadata
US9264669B2 (en) 2008-02-26 2016-02-16 Microsoft Technology Licensing, Llc Content management that addresses levels of functionality
CN113196250A (zh) * 2018-12-10 2021-07-30 飞比特网络股份有限公司 信息通信设备用的互联网连接管理***及其方法、安装于信息通信设备的互联网连接管理程序
US11979377B2 (en) 2018-12-10 2024-05-07 Freebit Co., Ltd. Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device

Similar Documents

Publication Publication Date Title
KR100703567B1 (ko) 온라인 컨텐츠 접근 제어 시스템 및 방법
US11659385B2 (en) Method and system for peer-to-peer enforcement
EP1437020B1 (en) System and method for enabling mobile edge services
CA2207456C (en) Improved client-server architecture using internet and guaranteed quality of service networks for accessing distributed media sources
JP3662080B2 (ja) ファイアウォール動的制御方法
US20040177158A1 (en) Network address translation techniques for selective network traffic diversion
CN108600376A (zh) 基于LoRa的数据传输方法、装置、LoRa网关、***及存储介质
CN101390369B (zh) 点对点通信的检测和控制
CN104994079B (zh) 访问请求的处理方法和装置、加速服务器
JP2006523412A (ja) 公共のホット・スポットにおけるクライアント端末の自動設定
KR20040102045A (ko) 자동 구성 특성을 지닌 정보 라우팅 장치
RU2121761C1 (ru) Система для передачи информационного потока в сетях передачи данных
CN1521993A (zh) 网络控制方法和设备
KR100595493B1 (ko) P2p 유해 정보 차단 시스템 및 방법
KR102147669B1 (ko) 콘텐츠 전송 방법, 이를 위한 장치 및 시스템
JP2004078507A (ja) アクセス制御装置及びアクセス制御方法、並びにコンピュータ・プログラム
RU2008109223A (ru) Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении
CN111416815B (zh) 报文处理方法、电子设备和存储介质
KR100882339B1 (ko) Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법
JP2006025211A (ja) ピアツーピア端末装置並びにピアツーピア通信システム、ピアツーピア通信方法、ピアツーピア端末プログラム
WO2011134495A1 (en) Management of traffic in a communication network and traffic optimization
CN112769670B (zh) 一种vpn数据安全访问控制方法及***
CN115883256B (zh) 基于加密隧道的数据传输方法、装置及存储介质
KR20060040405A (ko) 홈 네트워크에서 홈 게이트웨이를 이용한 유해트래픽 차단장치 및 방법
KR102055912B1 (ko) 공유기 환경에서 공유 단말을 관리하는 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee