KR20130018703A - 방법을 구현하는 디바이스를 통해 액세스 가능한 데이터 또는 서비스에 대한 액세스를 보안하기 위한 방법 및 해당 디바이스 - Google Patents

방법을 구현하는 디바이스를 통해 액세스 가능한 데이터 또는 서비스에 대한 액세스를 보안하기 위한 방법 및 해당 디바이스 Download PDF

Info

Publication number
KR20130018703A
KR20130018703A KR1020127024745A KR20127024745A KR20130018703A KR 20130018703 A KR20130018703 A KR 20130018703A KR 1020127024745 A KR1020127024745 A KR 1020127024745A KR 20127024745 A KR20127024745 A KR 20127024745A KR 20130018703 A KR20130018703 A KR 20130018703A
Authority
KR
South Korea
Prior art keywords
request
source
data
session
services
Prior art date
Application number
KR1020127024745A
Other languages
English (en)
Inventor
더크 페이톤스
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20130018703A publication Critical patent/KR20130018703A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 방법을 구현하는 디바이스를 통해 디바이스들 및 응용 프로그램들을 위해 이용 가능한 데이터 또는 서비스들에 대한 액세스를 보안하는 것을 허용한다. 네트워크 디바이스를 통해 액세스되는 데이터 또는 하나 이상의 서비스들에 대한 액세스를 보안하기 위해, 본 발명은 그 중에서도 특히, 데이터 또는 하나 이상의 서비스들에 대한 비공인 액세스를 피하는 방법, 및 해당 방법을 구현하는 디바이스를 제안한다.

Description

방법을 구현하는 디바이스를 통해 액세스 가능한 데이터 또는 서비스에 대한 액세스를 보안하기 위한 방법 및 해당 디바이스{METHOD OF SECURING ACCESS TO DATA OR SERVICES THAT ARE ACCESSIBLE VIA A DEVICE IMPLEMENTING THE METHOD AND CORRESPONDING DEVICE}
본 발명은 일반적으로 디지털 데이터 통신에 관한 것이며, 보다 상세하게는 한 네트워크 상에 연결된 디바이스로의 데이터 및 서비스에 대한 액세스를 보안하기 위한 방법 및 장치에 관한 것이다.
로컬 네트워크는 게이트웨이라고 불려지는 중앙 디바이스 주위에서 종종 구성된다. 이에 따라, 게이트웨이는 로컬 네트워크 또는 LAN(근거리 통신망 : Local Area Network), 및 외부 네트워크 또는 WAN(광역 통신망 : Wide Area Network)에서의 디바이스들 사이의 통신을 위한 명령의 통로(passage)이다. 현재의 개발은 가정 네트워크 환경 내의 게이트웨이가 특히 증가하는 집중된 역할을 하는 것을 보여준다. 게이트웨이의 만연된 전개 및 가정 네트워크 내에서 네트워크로 연결된 디바이스들의 개수에 따라, 게이트웨이는 해커들에 대한 관심있는 타깃이 되어가고 있다. 가정 네트워크는 일반적으로 USB(범용 시리얼 버스), 이더넷, 또는 와이파이(WiFi) 연결을 통해 게이트웨이에 상호 연결된 다음의 디바이스들 중 하나 이상을 포함한다: 개인용 컴퓨터(PCs), 무선 전화 세트, IPTV(Internet Television) 셋톱 박스(IPTV STBs), DLNA(Digital Living Network Alliance) 텔레비전 세트, 및 대용량 저장 디바이스. 공격으로부터 가정 네트워크 디바이스를 보호하기 위해, 게이트웨이의 보안 조치는 PC들 내의 개인의 안티바이러스 및/또는 방화벽 기능에 직면하여 종종 감소된다. 가정 네트워크의 보안은 게이트웨이 내의 네트워크 주소 변환(NAT : Network Address Translation) 특징으로 더 이득을 얻는데, 이 특징은 네트워크 주소들을 가정 네트워크 상의 디바이스들로 분배하는 것을 가능하게 하며, 이 주소들은 가정 네트워크 외부에서는 알려지지 않는다. NAT 특징의 사용은 외부 네트워크 상의 디바이스들에 대해 로컬 네트워크 상의 디바이스들의 개인적 주소들을 숨기는 것을 초래한다. 따라서, 이것은 게이트웨이 자체, 및 안티바이러스 및/또는 방화벽 소프트웨어가 설치되지 않은 다른 연결된 디바이스들을 위해, 제한된 보호만이 제공되는 것을 의미한다. 그 중에서도 특히, 가정 네트워크 관리 목적의 게이트웨이에 대한 액세스는, 게이트웨이 내의 웹 브라우저 응용 프로그램 상에서 동작하는 웹 기반의 응용 프로그램을 통해 수행되며, 웹 서버들은 보안 결함에 취약하다는 것이 잘 알려져 있다. 이에 따라, 가정 네트워크와 외부 네트워크 사이의, 및 이와 반대로의 모든 통신은 게이트웨이를 통하여 통과하기 때문에, 웹 브라우저에서의 취약점은 해커에게 가정 네트워크 상에 연결된 보안되지 않은 디바이스들에 대한 액세스를 제공할 수 있으며, 심지어 해커에게 가정 네트워크 및 외부 네트워크의 디바이스들 사이의 모든 통신에 대한 액세스를 제공할 수도 있다.
게이트웨이를 구성하는 것, 예를 들어 WPA(Wi-Fi Protected Access)와 같은 무선 액세스를 위한 보안 키를 변경하거나 입력하는 것, NAT 포트 매핑을 구성하는 것, 또는 게이트웨이에 연결된 디바이스들 사이에서 로컬 파일 공유를 구성하는 것을 희망하는 사용자들은 보통 게이트웨이의 웹 응용 프로그램에 로그인해야만 한다. 이러한 웹 응용 프로그램은, 예를 들어 애플리케이션 레이어(인터넷 프로토콜은 링크-레이어, 인터넷-레이어, 트랜스포트-레이어, 및 애플리케이션-레이어를 포함한다; 링크 레이어 프로토콜의 예는 ARP와 DSL이다; 인터넷 레이어 프로토콜의 예는 IP와 IGMP이다; 트랜스포트 레이어 프로토콜의 예는 TCP와 UDP이다; 애플리케이션 레이어 프로토콜의 예는 언급된 바와 같이 HTTP/HTTP이지만, 또한 DHCP, RTP, SOAP, 및 SSH도 해당한다)의 위치에 놓이는 인터넷 프로토콜 모음(suite)의 프로토콜 중 하나인, HTTPS 프로토콜의 HTTP를 통해 액세스 가능하다. 일단, 성공적으로 인증되면, 사용자들에게는 세션(session) 식별자 또는 세션 ID에 의해 식별되는 세션이 할당된다. 이에 따라, 세션 식별자를 사용하는 모든 요청들은 '세이프(safe)'로 간주될 것이며, 게이트웨이 상의 웹 서버에 의해 프로세싱되는데, 이를 통해 액세스 권리는 사용자와 관련된 권리로 제한된다. 그리하여, 악의 있는 해커는, 예를 들어 게이트웨이 및 이것에 연결된 디바이스들 사이의 통신상에서 감시(spy)함으로써, 또는 웹 브라우저에 의해 저장된 정보에 대한 액세스를 획득함으로써, 이러한 세션 ID를 보유하고, 임의의 저장된 세션 ID들을 추출하려고 노력할 것이며, 이에 따라 획득된 세션 ID들을 사용하여 디바이스, 데이터, 및/또는 서비스들에 대한 액세스를 획득할 것이다. 이러한 기술은 세션-스틸링(Session-stealing)으로 알려진다.
세션-스틸링을 막기 위한 다양한 메커니즘들이 적소에 놓여진다. 예를 들어, 세션 ID들은 무작위로 생성되어 이들을 예측할 수 없도록 하고, 웹 브라우저들은 세션 ID를 획득한 웹 사이트를 제외한 또 다른 웹 사이트의 환경에서 동작하는 코드로부터 세션 ID들이 저장되는 쿠키(cookies)에 대한 액세스를 거부하며, 세션 ID들은 아이들(idle) 타임-아웃 후에 삭제된다. 그럴지라도, 유효한 세션 ID들이 스틸링을 당할 가능성은 항상 남아있다. 이러한 경우에, 세션 ID의 유용성을 제한하는 별도의 보호 메커니즘을 갖는 것은 유익할 것이다.
잘 알려진 보호 메커니즘은 제1의 요청의 근원 IP 주소에 대한 세션을 잠글 것이다. 실제적으로, 이것은, 예를 들어 프록시 서버 팜(proxy server farms), 로드 밸런서(load balancers), 또는 NAT를 통해 웹 서버에 액세스하는 사용자에 대해 세션 손실(loss)을 초래한다. 이러한 사용자들을 위해, 이들의 IP 주소들은 몇 번의 요청들 사이에서 정당하게 변경될 수 있다.
따라서, 종래 기술의 결점을 가지지 않은 하나의 게이트웨이, 또는 해당 게이트웨이에 연결된 하나 이상의 디바이스들을 제어하는 것을 목표로 하는 악의 있는 공격들로부터 네트워크 디바이스들을 보안하기 위한 더 나은 방법에 대한 필요가 존재한다.
본 발명은 종래의 기술의 일부 불편 사항들을 경감시키는 것을 목표로 한다.
보다 명확하게, 본 발명은, 게이트웨이 디바이스와 같이 본 발명을 구현하는 디바이스를 통해 디바이스들과 응용프로그램들에 대해 액세스될 수 있는 데이터 또는 하나 이상의 서비스들(이하에서는 "데이터/서비스" 또는 "데이터/서비스들")에 대한 액세스를 보안하는 것을 허용한다.
데이터 및/또는 하나 이상의 서비스들에 대한 액세스를 보안하기 위해, 본 발명은 본 방법을 구현하는 네트워크 디바이스를 통해 액세스되는 데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법을 제안하는데, 본 방법은, 데이터 또는 적어도 하나의 서비스에 액세스하기 위한 요청으로, 요청의 소스를 식별하는 소스 식별자를 포함하는 요청을 수신하는 단계; 상기 요청이 제1의 요청 또는 차후의 요청인지의 여부를 결정하며, 상기 결정은 상기 요청이 차후의 요청일 때, 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 세션 식별자의 요청에 있어서의 존재에 대한 검증을 포함하는 결정 단계; 상기 요청이 제1의 요청일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하고, 소스 식별자 그룹이 결정될 수 있는 경우, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 순차적으로 액세스하기 위해 사용되는 세션 식별자를 생성하고, 제1의 요청을 프로세싱하며, 생성된 세션 식별자를 제1의 요청의 소스에 전송하는 단계; 그리고, 상기 요청이 차후의 요청일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하고, 소스 식별자 그룹이 결정될 수 있는 경우, 차후의 요청에 포함된 세션 식별자를, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자와 비교하고, 소스 식별자들이 대응할 경우, 차후의 요청을 프로세싱하는 단계;를 포함한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 요청의 전송의 소스를 식별한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 요청의 수신의 소스를 식별한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 물리적인 컨넥터(connector)의 번호를 지시한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 네트워크 인터페이스의 번호를 지시한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 네트워크 인터페이스 주소를 지시한다.
본 발명의 변형 실시예에 따라, 요청의 소스를 식별하는 정보는 소프트웨어 응용 프로그램의 식별자를 지시한다.
본 발명의 변형 실시예에 따라, 본 방법은 인터넷 프로토콜 모음의 애플리케이션 레이어에서 동작한다.
본 발명의 변형 실시예에 따라, 본 방법은 웹 응용 프로그램에서 구현된다.
본 발명은 또한 디바이스를 통해 액세스되는 데이터 및 서비스에 대한 액세스를 보안하기 위한 네트워크 디바이스를 포함하는데, 상기 디바이스는 데이터 또는 적어도 하나의 서비스에 액세스하기 위한 요청을 수신하기 위한 네트워크 인터페이스로서, 상기 요청은 요청의 소스를 식별하는 소스 식별자, 및 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 선택적인 세션 식별자를 포함하는 네트워크 인터페이스와; 상기 요청이 제1의 요청 또는 차후의 요청인지의 여부를 결정하기 위한 수단으로서, 상기 결정은, 상기 요청이 차후의 요청일 때, 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 세션 식별자의 요청에 있어서의 존재에 대한 검증을 포함하는, 결정을 위한 수단; 상기 요청이 제1의 요청일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하기 위한 수단, 소스 식별자 그룹이 결정될 수 있는 경우, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자를 생성하기 위한 수단, 제1의 요청을 프로세싱하기 위한 수단, 및 생성된 세션 식별자를 제1의 요청의 소스에 전송하기 위한 네트워크 인터페이스; 상기 요청이 차후의 요청일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하기 위한 수단, 소스 식별자 그룹이 결정될 수 있는 경우, 상기 세션 식별자를, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자와 비교하기 위한 수단, 소스 식별자들이 대응할 경우, 차후의 요청을 프로세싱하기 위한 수단을 포함한다.
본 발명의 더 많은 장점들은 본 발명의 특정한, 및 비 제한적인 실시예들의 설명을 통하여 나타날 것이다. 실시예들은 이어지는 도면들을 참조하여 설명될 것이다.
보다 명확하게, 본 발명은, 게이트웨이 디바이스와 같이 본 발명을 구현하는 디바이스를 통해 디바이스들과 응용프로그램들에 대해 액세스될 수 있는 데이터 또는 하나 이상의 서비스들(이하에서는 "데이터/서비스" 또는 "데이터/서비스들")에 대한 액세스를 보안하는 것을 허용한다.
도 1은 네트워크-상호 연결된 디바이스들의 수단에 의해 도시되는, 본 발명의 특정 실시예를 도시하는 도면.
도 2는 본 발명의 특정 실시예에 따라, 도 1의 게이트웨이(131)를 도시하는 도면.
도 3은 본 발명의 특정 실시예에 따라, 데이터/서비스를 위한 요청의 수신 시, 사건들의 시퀀스를 도시하는 시퀀스도를 도시하는 도면.
도 4는, 예를 들어 도 1의 게이트웨이에 의해 구현되는, 본 발명의 방법의 특정 실시예를 구현하는 알고리즘을 도시하는 도면.
도 1은 상이한 네트워크들을 상호 연결하는 게이트웨이 디바이스에서의 본 발명의 특정 실시예를 도시한다.
사용자 구내(130)는 게이트웨이(131), 게이트웨이(131)를 다중 매체 저장 디바이스(141)와 상호 연결하는 로컬 영역 네트워크(136), DLNA 텔레비전 세트(139), IPTV 셋톱 박스(143), 휴대용 PC(142), 및 전화기 세트(133)를 포함한다. 디바이스(133, 139, 141, 및 143)는 각각의 유선 연결(135, 140, 137, 및 146)을 통해 로컬 네트워크에 연결되지만, 휴대용 PC(142)는 132 및 138을 통한 무선 연결을 통해 게이트웨이에 연결된다.
게이트웨이(131)는 연결(121)을 통해 외부 네트워크(120)에 더 연결된다. 외부 네트워크(120)에는 두 개의 로컬 네트워크(106 및 116)가 연결된다. 3개의 디바이스들(100, 101, 및 102)은 로컬 네트워크(106)에 연결되지만, 두 개의 디바이스들(110 및 111)은 로컬 네트워크(116)에 연결된다. 이러한 디바이스들(100-102, 110-111, 131, 133, 139, 141-143) 모두는 데이터 또는 서비스들에 액세스하기 위한 요청들의 가능한 소스들이다.
도 2는 본 발명의 특정 실시예에 따라, 도 1의 게이트웨이(131)를 도시한다.
게이트웨이(131)는 다음의 요소들을 포함한다:
- 중앙 처리 장치(200) 또는 CPU;
- DSL(디지털 가입자 라인) 인터페이스(206);
- 이더넷 유형의 4개의 네트워크 인터페이스(201-202 및 204-205);
- 무선-LAN 유형의 제5 네트워크 인터페이스(203);
- 소스 식별자 그룹/소스 ID 저장소(2050), 세션 ID/소스 식별자 그룹 저장소(2051), 및 다용도 메모리 영역(2052)을 포함하는 메모리(205); 및
- 선택적인 타이밍 유닛(207).
CPU(200), 네트워크 인터페이스(201-205), 메모리(205), DSL 인터페이스(206), 및 타이밍 유닛(207)은 디지털 데이터 통신 버스(210)를 통해 상호 연결된다. 디바이스(131)는 다음의 입력/출력을 갖는다: 입력/출력(137)은 네트워크 인터페이스(201)에 연결되고, 입력/출력(140)은 네트워크 인터페이스(202)에 연결되고, 안테나(132)는 네트워크 인터페이스(203)에 연결되고, 입력/출력(135)은 네트워크 인터페이스(204)에 연결되며, 입력/출력(150)은 네트워크 인터페이스(205)에 연결되며, 입력/출력(121)은 DSL 인터페이스(206)에 연결된다.
메모리(205) 내부에서, 저장 영역(2050)은 소스 식별자 그룹과 소스 ID의 관계를 저장하고 검색(retrieving)하기 위한 역할을 하며, 저장 영역(2051)은 세션 ID와 소스 식별자 그룹의 관계를 저장하고 검색하기 위한 역할을 한다. 이러한 정보는, 예를 들어 앞서 설명된 표 1 및 표 2와 같은 표 형식으로 저장된다. 한 변형 실시예에 따라, 본 발명은 데이터베이스에 저장된다.
선택적인 타이밍 유닛(207)은 타임 아웃 지연을 세션 ID들에 추가하기 위한 역할을 하며, 세션 ID 보안을 더 증가시키기 위해 다양한 방법으로 사용될 수 있다. 예를 들어, 생성된 세션 ID가 특정 시간 동안 사용되지 않을 경우, 예컨대 특정 양의 시간 동안 데이터/서비스를 위한 어떤 요청도 없었을 경우, 세션 ID는 자동으로 무효화된다. 이에 따라, 무효화된 세션 ID를 사용하는 임의의 새로운 요청은 거부된다. 예를 들어, 세션 ID는 세션 ID가 사용되는지의 여부에 상관없이, 특정 타임 아웃 지연 후에 자동으로 무효화된다.
중앙 처리 장치(200)는 본 발명의 단계들을 구현하는 알고리즘을 프로세싱할 수 있다. 알고리즘은 다용도 메모리 영역(2052)에 저장된다. 다용도 메모리(2052)는 알고리즘의 실행을 위해 필요되는 변수들을 저장하는 역할을 더 수행한다.
처리 장치(200)는 하나 이상의 요청을 위해 사용되는 제1의 식별자(세션 식별자)의 메모리(205)를 결정하고 이곳에 저장할 수 있다. 처리 장치(200)는 데이터에 액세스하기 위한 또는 서비스에 액세스하기 위한 요청을 더 프로세싱할 수 있다. 처리 장치(200)는 세션 식별자에 대한 소스 식별자 그룹의 메모리(205)에 저장된 정보로부터 더 결정할 수 있다. 처리 장치(200)는, 이전 결정이 세션 식별자에 대한 적어도 하나의 소스 식별자 그룹이 존재한다는 것을 도시할 경우, 그리고 상기 요청에서 제공된 소스 식별자가 세션 식별자에 대한 적어도 하나의 소스 식별자 그룹 내에 포함되는 것이 결정될 경우, 데이터 또는 서비스에 액세스하기 위한 요청을 더 프로세싱할 수 있다.
세션 ID들은 무작위 수 생성을 기반으로 하는 것과 같은 알려진 방법에 따라 생성될 수 있다.
도 3은 본 발명의 한 특정 실시예에 따라, 데이터/서비스를 위한 요청의 수신 시, 사건들의 시퀀스를 도시하는 시퀀스도를 도시한다.
본 도면은 본 발명의 일부 양상들을 도시하며, 특히, 본 발명의 한 특정 실시예에 따라 로컬 네트워크 상의 디바이스, 본 발명을 구현하는 게이트웨이, 및 외부 네트워크 상의 디바이스 사이의 간단한 시나리오에 있어서 교환의 프로토콜을 도시한다.
시퀀스도는 PC(142), 게이트웨이(131), 및 LAN2(116)에서 제공되는 디바이스(111)의 상이한 네트워크 인터페이스들에 대한 두 개의 연결을 표현하는 4개의 수직 타임 라인들을 이용하여 도시된다.
시퀀스도는 게이트웨이(131)에 대한 데이터/서비스 "a"을 위한 요청(300)의 네트워크 인터페이스 "NI3"로부터 연결(132/138)을 통해 PC(142)에 의해 전송함으로써 시작된다. "NI3"은 요청(300)이 시작되는 소스를 식별하는 것을 허용하는 정보를 표현한다. 본 발명의 한 특정 실시예에 따라, 이 소스 ID는 요청이 전송된 소스의 네트워크 인터페이스의 IP 주소, 즉 이러한 경우에는 게이트웨이(131)의 인터페이스(3)의 IP 주소이며, 이에 따라 소스 ID는 요청의 수신의 소스를 식별한다. 본 발명의 한 변형 실시예에 따라, 소스 ID는 PC(142)의 네트워크 인터페이스(138)의 IP 주소이며, 이에 따라 소스 ID는 요청의 전송의 소스를 식별한다. 본 발명의 변형 실시예에 따라, 소스 ID는 요청이 전송된 또는 요청이 수신된 네트워크 인터페이스 보드 상의 특정한 물리적 컨넥터를 지시한다. 다른 변형에 따라, 소스 ID는 앞서 언급한, 예를 들어 요청이 전송된 소스의 네트워크 인터페이스의 IP 주소와, 요청이 수신된 네트워크 인터페이스의 IP 주소의 결합의 임의의 결합이다. 이러한 변형은 요청, 및 제한적인 액세스가 필요되는 경우에 유용한, 요청을 전송하기 위해 사용되는 네트워크 링크 사이의 단단한 연결(tight coupling)에 의해 데이터/서비스에 대한 액세스에 별도의 보안을 추가하는 장점을 갖는다. 개별적인 변형들은 보다 많은 이동성이 허용되는 환경에서 필수적일 수 있는 보다 느슨한 연결을 허용하는 장점을 갖는다.
본 발명의 변형 실시예에 따라, 이러한 소스 ID는 요청의 근원인 디바이스 PC(142)에서 동작하는 응용 프로그램일 경우에, 응용 프로그램 식별자이다. 예를 들어, 응용 프로그램은 터널링(tunneling)을 통해 회사 네트워크에 대한 보안의 액세스를 제공하는 VPN(가상의 사설 네트워크) 응용 프로그램이다. 요청(300)의 수신 시, 게이트웨이(131)는 화살표(301)에 의해 도시되는 세션 식별자 "z"를 생성한다. 이러한 세션 ID는 일련의 순차적인 요청들의 데이터/서비스를 위한 제1의 요청의 수신 시에만 생성된다. 본 발명의 한 특정 실시예에 따라, 제1의 요청 또는 차후의 요청이 수신되는지의 결정은, 세션 ID가 소스 ID를 위해 이미 생성되었든지 간에 게이트웨이(131)의 메모리에 저장된 정보에 수납되는 것을 기반으로 수행된다. 어떤 세션 ID도 소스 ID를 위해 제공되지 않을 경우, 요청은 제1의 요청이고, 그렇지 않을 경우, 요청은 차후의 요청이다. 본 발명의 한 변형 실시예에 따라, 제1의 또는 차후의 요청이 수신되는지의 결정은 요청에서의 세션 ID의 존재를 기반으로 한다; 요청이 세션 ID를 포함하고 있지 않을 경우, 이것은 제1의 요청이고, 그렇지 않을 경우, 이것은 차후의 요청이다. 이러한 변형은 구현되는 것이 간단하다는 장점을 갖고 있지만, 상기 설명된 특정 실시예에 비교되어, 해커가 생성된 ID들의 유형에 관한 정보를 획득하기 위해 사용될 수 있는 세션 ID들의 보다 쉬운 생성을 허용하고, 어떤 유효한 세션 ID들이 비슷하게 보이는지를 결정하는 단점을 갖고 있다. 설명된 특정 실시예에 따라, 해커가 동일한 소스 ID로부터 데이터 또는 서비스를 처음 요청할 때에 새로운 세션 ID를 단지 획득할 수 있기 때문에, 해커가 새로운 세션 ID들을 획득하는 것은 보다 어렵다. 도시된 예에서, 화살표(301)는 수신된 요청이 제1의 요청이라는 것을 도시하고, 이 때 세션 ID가 생성된다. 본 발명의 한 특정 실시예에 따라, 이 세션 ID는, 이에 따라 저장되고, 화살표(302)에 의해 도시되는 요청자에 전달된다. 본 발명의 한 변형 실시예에 따라, 세션 ID는 요청자에 직접 전달되기보다는, 오히려 요청된 데이터/서비스에 관한 정보를 포함하는 요청(300)에 대한 응답(305)에 포함된다. 요청자(여기서 PC(142))는 세션 ID를 저장하고, 세션 ID가 무효화될 때까지, 이것을 차후의 요청을 위해 사용한다. 게이트웨이(131)는 메모리 영역(2050)에 저장된 정보를 기반으로 하여, 소스 ID에 대한 하나 이상의 소스 식별자 그룹들을 결정한다. 본 발명의 한 특정 실시예에 따라, 메모리 영역(2050) 내의 소스 식별자 그룹/소스 ID 정보는 사용자, 예를 들어 네트워크 관리자에 의해 수동으로 입력된다. 본 발명의 한 변형 실시예에 따라, 메모리 영역(2050) 내의 소스 식별자 그룹/소스 ID 정보는, 예를 들어 게이트웨이(131)에 의해 알려지는 네트워크 위상(network topology)을 기반으로, 또는 게이트웨이(131)에 의해 알려지는 응용 프로그램들에 관한 정보를 기반으로 하여 자동으로 생성된다. 본 발명의 다른 변형 실시예에 따라, 메모리 영역(2050) 내의 소스 식별자 그룹/소스 ID 정보는 부분적으로 자동으로 생성되고, 사용자에 의해 부분적으로 수동으로 입력된다. 후자의 변형은 사용자가 대량의 데이터를 수동으로 입력하는 업무를 경감시키는 것을 허용하면서, 자동으로 생성된 정보를 수정하거나 개작하는 것을 허용하기 때문에, 특히 흥미롭다.
새로운 세션 ID의 생성 시에, 게이트웨이(131)는 세션 ID(여기서, z)를 소스 ID(여기서, "NI3")에 대한 유효한 소스 식별자 그룹(예컨데, LAN3)에 관련시키고, 이러한 정보(즉, 생성된 세션 ID, 및 소스 식별자 그룹에 대한 관련)를 메모리 영역(2051)에 저장한다.
주어진 순간에, 도 3에 도시된 시나리오는, 게이트웨이(131)에 의해 생성된 세션 ID들에 대한 해커 액세스를 제공하는, 악의 있는 해커로 인한 로컬 네트워크(136)로의 침입(303)을 도시한다. 다음으로 PC(142)는 제1의 요청(300 : "NI3")을 위해 사용된 것과는 상이한 네트워크 인터페이스("NI5") 상에서 데이터/서비스(b)를 위한 차후의 요청(306)을 발행한다. 차후의 요청(306)은 요청된 데이터/서비스(b)상의 정보, 요청("NI5")의 근원인 소스 식별의 정보, 및 그것이 차후의 요청들을 위해 게이트웨이(131)로부터 수신한 세션 ID(여기서, z)를 포함한다. 차후의 요청(306)의 수신 시에, 게이트웨이(131)는 메모리 영역(2050)에 저장된 정보(소스 ID 그룹/소스 ID들, 표 1을 확인)를 이용하여, 소스 ID가 속하는(LAN3) 소스 식별자 그룹을 결정한다(307). 본 발명의 한 특정 실시예에 따라, 어떤 소스 식별자 그룹도 소스 ID를 위해 발견되지 않을 경우(310), 게이트웨이(131)는 요청을 발행한 소스에 경고 메시지를 전송한다(311). 한 변형 실시예에 따라, 게이트웨이(131)는 요청자의 소스 ID를 블랙리스트 상에 집어넣는데, 이는 데이터/서비스를 위한 요청이 수신될 때마다 확인된다. 해당 소스 ID가 블랙리스트 상에 있을 경우, 이에 따라 요청은 추가적인 프로세싱 없이 거부될 수 있다. 또 다른 변형 실시예에 따라, 세션 ID는 손상된(compromised) 것으로 간주되어 무효화되는데, 이 때 새로운 세션 ID가 요청되어야 한다. 이러한 실시예들의 상이한 결합이 가능하며, 이들은 세션 보안을 증가시킨다. 하지만, 소스 식별자 그룹이 발견되는 경우(307), 게이트웨이(131)는 메모리 영역(2051)에 저장된 정보(세션 ID/소스 ID 그룹, 표 2 확인)를 이용하여, 요청(306)에 의해 제공된 세션 ID(z)가, 발견된(LAN3) 소스 식별자 그룹들 중 하나에 대하여 유효한지를 결정한다. 어떤 유효한 소스 식별자 그룹도 발견되지 않을 경우, 상기 설명된 것과 동일한 작용(functioning), 즉 경고 메시지, 블랙리스트, 또는 이들 모두가 본 발명의 상이한 변형 실시예들에 따라 적용될 수 있다. 설명된 예에 따라, 검증은 OK이고, 데이터/서비스(b)는 화살표(308)에 의해 도시되는 요청 디바이스(142)에 렌더링된다. 하지만, 해커가 스틸링 당한 세션 ID(z)를 포함하는 데이터/서비스(c)를 위한 요청(309)을 전송함으로써 스틸링 당한 세션 ID(z)를 사용하려 시도할 때, 소스 ID(n)가 결정된 소스 식별자 그룹(LAN3)에 있는지의 여부를 결정하는 단계를 수반하는 세션 식별자(z)에 대한 소스 식별자 그룹의 결정 단계는, 이후에 소스 ID(n)가 세션 ID(z)에 대한 임의의 소스 식별자 그룹에 속하지 않고, 이에 따라 요청이 거부되며, 따라서 세션 ID의 오용(misuse)은 회피된다는 것을 도시한다(310).
한 특정 실시예에 따라, 메모리 영역(2050 및 2051) 내의 정보는 적어도 암호화되며, 이에 따라 해커는 세션 ID들이 소스 식별자 그룹들에 어떻게 관련되며, 어떤 유효한 IP 주소들이 이러한 소스 식별자 그룹들을 위해 존재하는지, 그리고 해커가 가짜의 주소에 의해 데이터/서비스들에 대한 액세스를 획득하기 위해 어떤 정보를 사용할 수 있는지에 관한 정보를 획득하는 것을 피한다.
본 도면은 로컬 네트워크의 외부로부터 기인하는 침입을 도시한다. 물론, 침입은 네트워크의 내부로부터 기인할 수도 있는데, 예컨대 해커는 게이트웨이(131)에 대한 무선 또는 유선 연결을 통한 로컬 네트워크에 대한 액세스를 획득할 수 있다.
액세스가 요청되는 데이터/서비스는 게이트웨이를 통해 액세스된다. 이것은 게이트웨이가 데이터/서비스를 직접 제공할 수 있다는 것, 또는 게이트웨이가 단순한 중간 디바이스이며, 데이터/서비스가 게이트웨이를 통해 연결되는 또 다른 소스에 의해 제공되는 것을 의미한다.
본 발명에 따라, 논의된 도면에 의해 도시되는 바와 같이, 허용가능한 차후의 요청은 제1의 요청을 발행한 소스와 동일한 소스로부터 반드시 시작하는 것은 아니다. 본 발명은 이러한 점에 관해 상당한 유연성을 허용하며, 이에 따라, 요청의 소스 ID가 사용되는 세션 ID를 위해 정의되는 소스 식별자 그룹(들) 중 하나에 속하는 한, 예를 들어 요청들 사이에서 소스 ID의 변경을 허용한다.
게이트웨이는 소스 식별자 그룹들 및 소스 ID들 사이의 관계, 및 세션 ID들 및 소스 식별자 그룹들 사이의 관계를 저장한다. 저장된 정보에 따라, 하나 이상의 소스 식별자 그룹들이 요청에 포함된 세션 ID를 위해 존재한다고 결정되는 경우, 소스 ID는 세션 ID가 기인된 소스 ID의 소스 식별자 그룹에 속하는지의 여부가 검증된다. 그럴 경우, 요청된 데이터/서비스에 대한 액세스가 허가된다; 그렇지 않을 경우, 요청된 데이터/서비스에 대한 액세스가 거부된다. 이러한 게이트웨이에 대하여, 이것은 소스 ID를 블랙리스트에 집어넣는 것, 세션 ID를 무효화하는 것, 그리고 네트워크 관리자에게 경보를 보내는 것과 같은 추가적인 보안 조치를 취하는 기회이다.
한 특정 실시예에 따라, 이러한 메커니즘의 구현은 게이트웨이 디바이스에 저장된 표들을 사용한다. 이러한 구현의 예는 아래에 주어진다.
소스 식별자 그룹-소스 ID 관계
소스 식별자 그룹 소스 ID
LAN1 191.211.100.1-10
LAN2 191.211.100.11-20
WAN 211.203.196.100-255
local 127.0.0.1
tunnel SecureVPN
DMZ 100.205.191.1-5
guest 192.110.180.1-255
세션 ID -소스 식별자 그룹 관계
세션 ID 소스 식별자 그룹
34567123 DMZ
565675 local
28901 local
787544 guest
8743214457 LAN1
8445865 LAN2
상기 표 1은 네트워크 인터페이스 식별자 또는 사용에 따라, 소스 식별자 그룹들이 상이한 소스 ID들에 어떻게 관련되는지를 도시한다. 각 소스 식별자 그룹에 대하여, 하나 이상의 유효한 소스 ID들이 정의된다. LAN1의 부분인 디바이스들은, 예를 들어 IP 주소 191.211.100.1-10의 범위에 이르는 소스 ID들을 갖는다. LAN2에서의 디바이스들은 191.211.100.11로부터 191.211.100.20까지에 이르는 IP 주소에 해당하는 소스 ID들을 갖는다. 광역 네트워크 WAN에서의 디바이스들은, 예를 들어 소스 ID들이 IP 주소 211.203.196.100-255의 범위에 이르는 것으로 정의되는 인터넷 상의 디바이스들이다. Local은 게이트웨이 그 자체를 표현한다. Tunnel은 VPN(가상의 사설 네트워크) 인터페이스들을 표현한다; VPN 터널링 응용 프로그램의 식별자인 소스 ID가 이것으로 정의된다. 이것은 네트워크 인터페이스 주소보다는 오히려, 응용 프로그램의 식별자인 소스 ID의 예이다. DMZ(비무장지대)는 네트워크의 보호된 부분 내에 위치가 지정되는 디바이스들의 소스 ID들을 표현한다. 게스트는 시간 기반으로 네트워크에 연결되는 디바이스들을 표현한다. 이전에, 이러한 표안의 어떤 정보가 (자동으로, 수동으로, 또는 이들의 결합으로)입력되는지가 설명되었다.
상기 표 2는 세션 ID들이 소스 식별자 그룹들과 어떻게 관련되는지를 도시한다. 각 세션 ID에 대하여, 세션 ID가 연관되는 소스 식별자 그룹이 저장된다.
한 특정 실시예에 따라, 제1의 및 차후의 요청들에서 사용되는 소스 ID들은 이러한 요청들의 수신의 소스를 식별한다. 이러한 방법으로, 수신의 소스, 예를 들어 WAN(로컬 네트워크의 외부로부터 기인함), 또는 로컬(가정 게이트웨이로부터 기인함)에 따라, 소스 식별자 그룹들을 정의하는 것은 가능하다. 한 변형 실시예에 따라, 제1의 및 차후의 요청들에서 사용되는 소스 ID들은 이러한 요청들의 전송의 소스를 식별한다. 예를 들어, ISP(인터넷 서비스 제공자)에 의해 사용되는 IP 주소들의 서브넷(subnet)에 속하는 IP 주소이다. 또 다른 변형 실시예에 따라, 소스 ID들은 전송의 소스 및 수신의 소스 모두를 식별하는데, 예를 들어 이 소스 ID들은, 요청(=전송의 소스) 및 IP 인터페이스의 이름(=수신의 소스)에 더하여 요청이 수신될 포트 번호(=수신의 소스)를 전송하기 위해, ISP에 의해 사용되는 IP 주소들의 서브넷에 속하는 IP 주소에 의해 표현된다. 이것은, 이러한 변형을 통해 세션 ID가, 예를 들어 WAN 측으로부터의 ISP에서 기인하는 요청들로 제한될 수 있으며, 게이트웨이 상에 "인터넷"이란 이름을 가진 인터페이스, 즉 포트(443 : 보안된 HTTP를 의미하는 HTTPS)에 전송될 수 있기 때문에, 유익할 수 있다.
본 발명의 한 변형 실시예에 따라, 소스 ID들은 물리적 컨넥터, 예를 들어 컨넥터 1, 컨넥터 8의 번호를 식별한다. 이것은 세션을 물리적인 컨넥터와 연관시키는 것을 허용하며, 스틸링당한 세션 ID를 통하여 요청된 데이터/서비스들에 대한 액세스를 보안하지만, 요청은 실시예의 변형에 따라 상이한 물리적 컨넥터 번호로부터 전송되거나, 수신되거나, 또는 이들 모두가 행해진다.
본 발명의 다른 변형 실시예에 따라, 소스 ID들은 네트워크 인터페이스 주소를 식별한다. 어쩌면 네트워크 인터페이스가 몇몇의 네트워크 인터페이스 주소들을 가질 수 있기 때문에, 이에 따라, 소스 ID를 네트워크 인터페이스 주소에 연결하는 것은 세션 ID를 특정 서브넷에 묶는 것을 허용한다. 이 변형 실시예는 이전의 설명된 실시예 보다 덜 엄격하다.
본 발명의 또 다른 변형 실시예에 따라, 소스 ID들은 네트워크 인터페이스의 번호를 식별한다. 이 변형은 이전의 설명된 실시예 보다 덜 엄격한, 데이터/서비스들에 대한 액세스를 보안하는 방법을 제안하는 장점을 가지며, 예를 들어 세션 ID를 몇몇의 논리적인 컨넥터들을 갖는 네트워크 인터페이스에 연결하기에 적합하다.
본 발명의 또 다른 변형 실시예에 따라, 소스 ID들은 소프트웨어 응용 프로그램의 식별자를 식별한다. 이것은 소스 ID들을 소프트웨어 응용 프로그램들에 관련시키는 것을 허용하는데, 이는 상이한 디바이스들 상에서 동작하도록 허용되는 배회하는(roaming) 응용 프로그램에 대하여, 본 발명의 방법을 구현하는 디바이스를 통해 액세스 가능한 데이터/서비스에 대한 액세스를 차례대로 보안하는 것을 허용한다.
변형 실시예에 따라, 두 개 이상의 이전 변형들이 결합되는데, 이는 데이터/서비스에 대한 액세스를 보안하기 위한 특정의 정밀한 방법을 허용한다. 예를 들어, 소스 ID는 요청이 수신된 네트워크 인터페이스 주소(요청의 수신 소스), 요청이 수신된 컨넥터 번호, 결정의 포트 번호, 및 요청이 수신된 컨넥터 번호로부터 정의된다. 유선 및 무선 연결 모두가 이러한 (논리적인) 네트워크 인터페이스 하에서 브릿징될 때, 이것은 세션 ID가 이 네트워크 상의 디바이스들에 의해서만 사용가능하고, HTTPS가 사용되지 않을 경우, 상이한 컨넥터들 사이에서 이동할 수 없는 것을 확실히 하는 것을 허용한다. 이것은 암호화(WEP, WPA)가 무선 연결에서 사용되는지의 여부에 관계없이, 가급적 많은 세션 ID의 비밀을 보장한다. 유선급 보호(Wired Equivalent Privacy)인 WEP는 IEEE 802.11 무선 네트워크를 보안하기 위한 알고리즘이다. 와이파이 보호 액세스(WPA 및 WPA2)는 무선 컴퓨터 네트워크를 보안할 목적으로 와이파이 앨리언스(alliance)에 의해 생성된 보안 프로토콜에 준수를 지시하기 위해 와이파이 앨리언스에 의해 개발된 공인(certification) 프로그램이다.
도 4는, 예컨데 도 1의 게이트웨이(131)에 의해 구현되는, 본 발명의 방법에 대한 한 특정 실시예를 구현하는 알고리즘을 도시한다.
알고리즘은 이것의 실행을 위해 필요되는 변수들의 할당 및 초기화에 대한 단계(400)에서 시작한다. 그 후, 단계(401)에서, 도 3의 요청(300)과 같은 데이터/서비스를 위한 요청이 수신된다. 요청의 수신 시에, 테스트 단계(402)가 실행된다.
이것이 제1의 요청(이것이 어떻게 결정될 수 있는 지에 대하여 도 3의 설명을 확인)임을 결정될 경우, 알고리즘은 단계(403)로 계속되는데, 이 단계에서 세션 ID가 생성된다. 본 발명의 상이한 변형 실시예들에 따라, 세션 ID가 어떻게 생성되고, 저장되며, 요청자에 전달되는 지에 대하여, 도 3의 설명을 확인한다. 그 후, 단계(404)에 따라, 소스 식별자 그룹은 게이트웨이의 메모리 영역(2050)에 저장된 정보를 기반으로 하여 소스 ID를 위해 결정된다. 다음으로, 단계(405)에서, 생성된 세션 ID는 이전 단계(404)에서 결정된 소스 식별자 그룹에 연관되며, 세션 ID 및 이것의 소스 식별자 그룹과의 관계는 게이트웨이(131)의 메모리 영역(2051)에 저장된다. 마지막 단계에서, 요청은 프로세싱되는데, 즉 요청된 데이터/서비스는 전송/렌더링되고, 알고리즘은 데이터/서비스를 위한 요청을 기다리는 단계(401)를 반복한다. 이러한 요청이 수신되고, 이것이 제1의 요청이 아니라는 것이 결정될 경우, 단계(408)가 실행되는데, 이 단계에서, 요청자에 의해 제공된 세션 ID를 포함하는 게이트웨이(131)의 메모리 영역(2050) 내에 적어도 하나의 소스 식별자 그룹이 존재하는 지가 결정된다. 이러한 소스 식별자 그룹이 존재하지 않을 경우, 요청은 거부되고, 알고리즘은 요청을 기다리는 단계(401)를 반복한다. 어떤 소스 식별자 그룹도 세션 ID를 위해 존재하지 않다는 것은, 세션 ID가 유효하지 않다는 것, 즉 존재하지 않는 세션 ID 또는 무효화된 세션 ID를 의미하며, 다시 말하면, 세션 식별자가 임의의 소스 식별자 그룹에 연관된 세션 ID에 대응하지 않다는 것(즉, 동일하지 않다는 것)을 의미한다. 이에 따라, 단계(408)는 이것을 기반으로 하여 요청을 거부하는 것을 허용하고, 따라서 단계(408)는 데이터/서비스에 대한 액세스를 보안하는 것에 있어서의 추가적인 보안 조치를 구성한다. 본 발명의 상이한 변형 실시예들이 요청의 거부를 어떻게 다루는지에 대하여 도 3의 설명을 확인한다. 하지만, 이러한 소스 식별자 그룹이 존재할 경우, 요청의 소스 ID는, 게이트웨이(131)의 메모리 영역(2051) 내의 정보를 검증함으로써, 단계(409)에서 발견된 소스 식별자 그룹(들)의 소스 ID와 비교된다. 어떤 동일한 소스 ID가 존재하지 않을 경우, 요청은 거부되고, 알고리즘은 또 다른 요청의 수신을 기다리는 단계(401)를 반복한다. 본 발명의 상이한 변형 실시예들이 요청의 거부를 어떻게 다루는지에 대하여 도 3의 설명을 확인한다. 하지만, 이러한 동일한 소스 ID가 세션 ID를 위해 유효한 임의의 소스 식별자 그룹들 내에 존재할 경우, 즉 유효한은 요청으로부터의 세션 ID가 상기 논의된 임의의 소스 식별자 그룹들 중 적어도 하나에 연관된 세션 ID에 대응하는 것(해당 세션 ID와 동일하다는 것)을 의미하는데, 이 경우 요청은 허용되어 단계(406)에서 더 프로세싱된다.
이러한 방법으로, 유효한 세션 ID를 통한 임의의 요청의 근원은 검증되어서, 세션 ID가 생성된 요청의 소스 식별자 그룹들 중 하나가 아닌 소스 식별자 그룹으로부터 시작하는 요청들은 거부된다.
본 발명을 준수하기 위해, 도 4에 도시된 단계들을 설명된 순서에 따라 수행하는 것은 필수적이지 않다. 예를 들어, 단계(408)는 결과를 변경하지 않고 단계(409) 이전에 수행될 수 있다. 동일한 방법으로, 단계(403)는 단계(404) 이후에 수행될 수도 있다.
본 발명의 한 특정 실시예에 따라, 본 발명은 인터넷 프로토콜 모음의 OSI(Open Systems Interconnection) 기준 모델 애플리케이션 레이어 상에서 작동하는데, 즉 이것은 OSI 기준 모델 애플리케이션 레이어에 적용된다. 이것은 본 발명이, 이에 따라 방화벽과 같은 OSI 기준 모델의 보다 낮은 레이어들 상에서 동작하는 보호들에 보충적인 장점을 갖는다. 따라서, 본 발명은 추가적인 보안을 기존의 보호 방법들에 추가한다.
본 발명의 한 특정 실시예에 따라, 본 발명은 웹 응용 프로그램에서 구현되며, 이에 따라 그것이 가장 필요되는, 즉 액세스 포탈(portal)이 존재하는 곳에서 데이터 및/또는 서비스들에 대한 액세스를 집중화된 방법으로 직접 보호하는 장점을 제공한다.
도 1에서 설명된 네트워크는 본 발명이 사용될 수 있는 단지 예시적인 네트워크이다. 예를 들어, 각 하나 이상의 로컬 네트워크를 통해 하나의 사용자 구내 이상을 포함하며, 본 발명과 호환되는 상태를 유지하면서, 다른 네트워크 구성들이 가능하다. 도 1에서, 로컬 네트워크의 구성은, 또한 디바이스들의 개수, 사용된 디바이스들의 유형, 및/또는 사용된 응용 프로그램들에 따라, 상이하게 구성될 수 있다. 마찬가지로, 디바이스(131)의 예시된 인터페이스들은 DSL 및 이더넷 인터페이스들이지만, 본 발명은 DSL 및 이더넷의 사용으로 제한되지 않는다. 본 발명을 구현하는 게이트웨이(131)는 다른 디바이스들과는 다른 디바이스로서 도 1에서 도시되지만, 본 발명의 구현은 게이트웨이나 독립형 디바이스로 제한되지 않으며, 본 발명은, 예를 들어 개인용 컴퓨터(142)에 대한 네트워크 상의 임의의 디바이스에서 매우 잘 구현될 수 있다. 본 발명의 또 다른 변형 실시예에 따라, 본 발명은 로컬 네트워크 및 다른 네트워크들 사이의 모든 통신을 위한 액세스 포인트인 프록시 디바이스에서 구현된다.
도 2에 의해 도시되는 게이트웨이(131) 이외의 중간 디바이스들의 다른 유형들은 다수의 전용 처리 장치 및 다수의 디지털 데이터 통신 버스들을 갖는 디바이스와 같이, 본 발명과 호환되면서 가능하다. 본 발명의 변형 실시예에 따라, 디바이스(131)의 물리적인 연결들은 하나 이상의 네트워크 인터페이스들로 재그룹화되는데, 다시 말하면, 각각의 연결을 위해 하나의 인터페이스를 갖는 것 대신에, 네트워크 인터페이스는 다수의 연결들을 갖는다. 이에 따라, 특정의 네트워크 인터페이스는 특정의 서브 네트워크를 정의하기 위해 사용될 수 있고, 이에 따라 소스 ID들은 특정의 네트워크 인터페이스에 관련될 수 있다. 본 발명은 개인용 컴퓨터와 같은 일반용 디바이스에서 동작하는 소프트웨어 구성 요소들로부터 완전하게 구축될 수 있으며, 이에 따라 본 발명은 하드웨어 및 소프트웨어 구성 요소들의 결합을 사용하여 구현될 수 있다. 한 특정의 실시예에 따라, 본 발명은, 예를 들어 전용의 구성 요소(예컨데, ASIC, FPGA, 또는 VLSI) (각각 << Application Specific Integrated Circuit >>, << Field-Programmable Gate Array >> 및 << Very Large Scale Integration >>)로서, 또는 한 디바이스 내에 통합된 별도의 전자 구성 요소들 또는 하드웨어 및 소프트웨어의 결합의 형태로서 하드웨어에서 전체적으로 구현된다.
100 - 102, 110 - 111, 131, 133 : 디바이스
103 - 105, 107, 113 - 114, 117, 121, 135, 137, 145, 146 150 : 유선 연결
132, 138 : 무선 연결 106, 116, 136 : LAN
141 : 다중 매체 대용량 저장 디바이스 139 : DLNA TV
143 : IPTV 셋톱 박스 142 : 휴대용 PC
130 : 사용자 구내 131 : 게이트웨이
120 : 외부 네트워크 200 : 중앙 처리 장치
205 : 메모리 207 : 타이밍 유닛
201 - 202, 204 - 205 : 이더넷 유형 네트워크 인터페이스
203 : 무선 네트워크 인터페이스
210 : 디지털 데이터 통신 버스
2050, 2051 : 저장 영역 2052 : 다용도 메모리 영역
300, 306, 401 : 요청 302 : 전송 단계
307, 402, 409 : 결정 단계 403 : 생성 단계
305, 406 : 프로세싱 단계

Claims (10)

  1. 데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법으로서, 상기 데이터 및 서비스들은 상기 방법을 구현하는 네트워크 디바이스를 통해 액세스되고,
    상기 방법은,
    데이터 또는 적어도 하나의 서비스에 액세스하기 위한 요청(300, 306, 401)을 수신하는 단계로서, 상기 요청(300, 306, 401)은 상기 요청의 소스를 식별하는 소스 식별자를 포함하는, 수신하는 단계;
    상기 요청(300, 306, 401)이 제1의 요청(300) 또는 차후의 요청(306)인지를 결정하는 단계로서, 상기 결정은 상기 요청이 차후의 요청일 때, 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 세션 식별자의 요청에 있어서의 존재에 대한 검증을 포함하는, 결정하는 단계;
    상기 요청이 제1의 요청(300)일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하고(404), 소스 식별자 그룹이 결정될 수 있는 경우, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 순차적으로 액세스하기 위해 사용되는 세션 식별자를 생성하고(403), 제1의 요청을 프로세싱하며(305, 406), 생성된 세션 식별자를 제1의 요청의 소스에 전송하는(302) 단계; 그리고,
    상기 요청이 차후의 요청(306)일 경우, 소스 식별자에 대한 소스 식별자 그룹을 결정하고(307, 409), 소스 식별자 그룹이 결정될 수 있는 경우, 차후의 요청에 포함된 세션 식별자를, 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자와 비교하고, 소스 식별자들이 대응할 경우, 차후의 요청을 프로세싱하는(308, 406) 단계;를 포함하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  2. 제1항에 있어서, 상기 요청(300, 401)의 소스를 식별하는 정보는 상기 요청(300, 401)의 전송의 소스를 식별하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  3. 제1항 또는 제2항에 있어서, 상기 요청(300, 401)의 소스를 식별하는 정보는 상기 요청(300, 401)의 수신의 소스를 식별하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  4. 제2항 내지 제3항 중 어느 한 항에 있어서, 상기 요청의 소스를 식별하는 정보는 물리적인 컨넥터의 번호를 지시하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  5. 제2항 내지 제4항 중 어느 한 항에 있어서, 상기 요청의 소스를 식별하는 정보는 네트워크 인터페이스의 번호를 지시하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  6. 제2항 내지 제5항 중 어느 한 항에 있어서, 상기 요청의 소스를 식별하는 정보는 네트워크 인터페이스 주소를 지시하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  7. 제2항 내지 제6항 중 어느 한 항에 있어서, 상기 요청의 소스를 식별하는 정보는 소프트웨어 응용 프로그램의 식별자를 지시하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 방법은 인터넷 프로토콜 모음(suite)의 애플리케이션 레이어에서 동작하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  9. 제8항에 있어서, 상기 방법은 웹 응용 프로그램에서 구현되는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 방법.
  10. 데이터 및 서비스들에 대한 액세스를 보안하기 위한 네트워크 디바이스로서, 상기 데이터 및 서비스들은 상기 디바이스를 통해 액세스되고, 상기 디바이스는,
    데이터 또는 적어도 하나의 서비스에 액세스하기 위한 요청(300, 401)을 수신하기 위한 네트워크 인터페이스(201-206)로서, 상기 요청은 요청의 소스를 식별하는 소스 식별자, 및 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 선택적인 세션 식별자를 포함하는, 네트워크 인터페이스(201-206);
    상기 요청(300, 306, 401)이 제1의 요청(300) 또는 차후의 요청(306)인지를 결정(200, 205)하기 위한 수단으로서, 상기 결정은, 상기 요청이 차후의 요청일 때, 데이터 또는 서비스에 액세스하기 위한 세션을 식별하는 세션 식별자의 요청에 있어서의 존재에 대한 검증을 포함하는, 결정(200, 205)하기 위한 수단;
    상기 요청이 제1의 요청(300)일 경우, 상기 소스 식별자에 대한 소스 식별자 그룹을 결정하기 위한 수단(200, 205), 상기 소스 식별자 그룹이 결정될 수 있는 경우, 상기 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자를 생성하기 위한 수단(403), 제1의 요청을 프로세싱하기 위한 수단(305, 406), 상기 생성된 세션 식별자를 상기 제1의 요청의 소스에 전송하기 위한 네트워크 인터페이스(201-206)를 위한 수단;
    상기 요청이 차후의 요청(306)일 경우, 상기 소스 식별자에 대한 소스 식별자 그룹을 결정하기 위한 수단(200, 205), 상기 소스 식별자 그룹이 결정될 수 있는 경우, 상기 세션 식별자를, 상기 결정된 소스 식별자 그룹 내에 속하는 소스 식별자들을 갖는 소스들로부터 데이터 또는 적어도 하나의 서비스에 액세스하기 위해 사용되는 세션 식별자와 비교하며, 상기 소스 식별자들이 대응할 경우, 상기 차후의 요청을 프로세싱(308, 406)하기 위한 수단;을 포함하는 것을 특징으로 하는,
    데이터 및 서비스들에 대한 액세스를 보안하기 위한 네트워크 디바이스.
KR1020127024745A 2010-03-22 2011-03-21 방법을 구현하는 디바이스를 통해 액세스 가능한 데이터 또는 서비스에 대한 액세스를 보안하기 위한 방법 및 해당 디바이스 KR20130018703A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10447009.1 2010-03-22
EP10447009A EP2369808A1 (en) 2010-03-22 2010-03-22 Method of securing access to data or a service that is accessible via a device implementing the method and corresponding device
PCT/EP2011/054270 WO2011117205A1 (en) 2010-03-22 2011-03-21 Method of securing access to data or services that are accessible via a device implementing the method and corresponding device

Publications (1)

Publication Number Publication Date
KR20130018703A true KR20130018703A (ko) 2013-02-25

Family

ID=43012636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127024745A KR20130018703A (ko) 2010-03-22 2011-03-21 방법을 구현하는 디바이스를 통해 액세스 가능한 데이터 또는 서비스에 대한 액세스를 보안하기 위한 방법 및 해당 디바이스

Country Status (7)

Country Link
US (1) US9531717B2 (ko)
EP (2) EP2369808A1 (ko)
JP (1) JP5869552B2 (ko)
KR (1) KR20130018703A (ko)
CN (1) CN102823219B (ko)
BR (1) BR112012023977A2 (ko)
WO (1) WO2011117205A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571776A (zh) * 2011-12-28 2012-07-11 中兴通讯股份有限公司 数字生活网络联盟设备的接入控制方法及装置
US9537716B1 (en) * 2012-06-18 2017-01-03 Crimson Corporation Establishing a direct connection between remote devices
US9009546B2 (en) * 2012-09-27 2015-04-14 International Business Machines Heuristic failure prevention in software as a service (SAAS) systems
CN102938717B (zh) * 2012-10-11 2018-01-30 中兴通讯股份有限公司 一种对dlna设备进行播放控制的方法、设备和***
KR20140052703A (ko) * 2012-10-25 2014-05-07 삼성전자주식회사 프록시 서버를 이용한 웹 서비스 가속 방법 및 장치
US9590817B2 (en) * 2014-04-01 2017-03-07 Belkin International Inc. Logical network generation using primary gateway credentials
SE541314C2 (en) * 2017-10-31 2019-06-25 Telia Co Ab Methods and apparatuses for routing data packets in a network topology

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6141758A (en) * 1997-07-14 2000-10-31 International Business Machines Corporation Method and system for maintaining client server security associations in a distributed computing system
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
CA2422268C (en) 1998-08-06 2004-12-14 Cryptek, Inc. Multi-level security network system
US7174018B1 (en) 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
JP2002176432A (ja) * 2000-12-05 2002-06-21 Sony Corp 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
GB2367986B (en) 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
JP4759823B2 (ja) * 2001-03-19 2011-08-31 ソニー株式会社 ネットワークシステム、端末装置、サーバ、通信方法、プログラムおよび記録媒体
US7769845B2 (en) 2001-05-04 2010-08-03 Whale Communications Ltd Method and system for terminating an authentication session upon user sign-off
US8346951B2 (en) * 2002-03-05 2013-01-01 Blackridge Technology Holdings, Inc. Method for first packet authentication
CA2406565A1 (en) 2002-10-04 2004-04-04 Ibm Canada Limited-Ibm Canada Limitee Method and apparatus for using business rules or user roles for selecting portlets in a web portal
JPWO2004071015A1 (ja) * 2003-02-07 2006-06-01 富士通株式会社 セッション管理プログラム、セッション管理方法およびセッション管理装置
US20050162424A1 (en) 2003-02-07 2005-07-28 Yuko Imai Computer product, session management method, and session management apparatus
US7546630B2 (en) * 2003-07-17 2009-06-09 International Business Machines Corporation Methods, systems, and media to authenticate a user
JP3914193B2 (ja) * 2003-09-08 2007-05-16 株式会社野村総合研究所 認証を得て暗号通信を行う方法、認証システムおよび方法
US20050076369A1 (en) * 2003-10-06 2005-04-07 Zhijun Cai Method and apparatus for assigning temporary mobile group identity in a multimedia broadcast/multicast service
US7269146B2 (en) * 2003-10-20 2007-09-11 Motorola Inc. Method and apparatus for interchanging and processing mobile radio subsystem control information
US8578462B2 (en) 2003-12-12 2013-11-05 Avaya Inc. Method and system for secure session management in a web farm
JP4063220B2 (ja) * 2004-01-14 2008-03-19 日本電気株式会社 コンピュータシステム、サーバ計算機、コンピュータシステムのアプリケーション更新方法、プログラム
JP2005318121A (ja) * 2004-04-27 2005-11-10 Ntt Docomo Inc セッション管理装置
JP4873898B2 (ja) * 2004-08-02 2012-02-08 株式会社リコー ウェブ認証方法及びウェブ認証サーバー
JP4704000B2 (ja) * 2004-09-30 2011-06-15 フェリカネットワークス株式会社 通信システムおよび通信方法
US7492764B2 (en) * 2004-10-12 2009-02-17 Innomedia Pte Ltd System for management of equipment deployed behind firewalls
JP4527491B2 (ja) * 2004-10-19 2010-08-18 エヌ・ティ・ティ・コミュニケーションズ株式会社 コンテンツ提供システム
JP2006217096A (ja) 2005-02-02 2006-08-17 Nec Corp 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム
WO2007026511A1 (ja) * 2005-08-31 2007-03-08 Sony Corporation グループ登録装置,グループ登録解除装置,グループ登録方法,ライセンス取得装置及びライセンス取得方法,並びに,時刻設定装置及び時刻設定方法
JP4760233B2 (ja) * 2005-08-31 2011-08-31 ソニー株式会社 グループ登録装置,グループ登録方法,グループ登録解除装置,及びグループ登録解除方法
US20070162968A1 (en) * 2005-12-30 2007-07-12 Andrew Ferreira Rule-based network address translation
JP4823717B2 (ja) * 2006-02-28 2011-11-24 株式会社日立製作所 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法
US7930734B2 (en) 2006-04-28 2011-04-19 Cisco Technology, Inc. Method and system for creating and tracking network sessions
JP2008046875A (ja) * 2006-08-16 2008-02-28 Nec Corp 通信フィルタリングシステムおよび方法
US8108677B2 (en) 2006-10-19 2012-01-31 Alcatel Lucent Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
KR100944724B1 (ko) * 2007-08-21 2010-03-03 엔에이치엔비즈니스플랫폼 주식회사 Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
US8286225B2 (en) * 2009-08-07 2012-10-09 Palo Alto Research Center Incorporated Method and apparatus for detecting cyber threats

Also Published As

Publication number Publication date
US9531717B2 (en) 2016-12-27
JP5869552B2 (ja) 2016-02-24
EP2369808A1 (en) 2011-09-28
EP2550784B1 (en) 2014-12-31
BR112012023977A2 (pt) 2016-08-02
US20130198825A1 (en) 2013-08-01
CN102823219B (zh) 2015-11-25
EP2550784A1 (en) 2013-01-30
JP2013522786A (ja) 2013-06-13
WO2011117205A1 (en) 2011-09-29
CN102823219A (zh) 2012-12-12

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
US9680795B2 (en) Destination domain extraction for secure protocols
US20240121211A1 (en) Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks
US8448238B1 (en) Network security as a service using virtual secure channels
Ahmed et al. IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey
US8224988B2 (en) Network relay method, network relay apparatus, and network relay program
JP2018525935A (ja) インターネットに接続可能なデバイスを用いた安全な通信
EP2550784B1 (en) Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
Younes Securing ARP and DHCP for mitigating link layer attacks
Younes A secure DHCP protocol to mitigate LAN attacks
WO2023279782A1 (zh) 一种访问控制方法、访问控制***及相关设备
Samyuel et al. Securing IoT device communication against network flow attacks with Recursive Internetworking Architecture (RINA)
TW201739284A (zh) 網路級智慧型居家保全系統及方法
US11736516B2 (en) SSL/TLS spoofing using tags
Sathyadevan et al. Portguard-an authentication tool for securing ports in an IoT gateway
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
JP6527115B2 (ja) 機器リスト作成システムおよび機器リスト作成方法
Baugher et al. Home-network threats and access controls
Gao et al. Security tests and attack experimentations of ProtoGENI
WO2014073948A1 (en) System and method for managing public network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application