[go: up one dir, main page]

KR100958438B1 - Connection relay system and method, user terminal for managing packet transmission and recording medium thereof - Google Patents

Connection relay system and method, user terminal for managing packet transmission and recording medium thereof Download PDF

Info

Publication number
KR100958438B1
KR100958438B1 KR1020080018396A KR20080018396A KR100958438B1 KR 100958438 B1 KR100958438 B1 KR 100958438B1 KR 1020080018396 A KR1020080018396 A KR 1020080018396A KR 20080018396 A KR20080018396 A KR 20080018396A KR 100958438 B1 KR100958438 B1 KR 100958438B1
Authority
KR
South Korea
Prior art keywords
private
private access
connection
user terminal
access devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020080018396A
Other languages
Korean (ko)
Other versions
KR20090072911A (en
Inventor
하영섭
Original Assignee
(주)아이엠아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)아이엠아이 filed Critical (주)아이엠아이
Publication of KR20090072911A publication Critical patent/KR20090072911A/en
Application granted granted Critical
Publication of KR100958438B1 publication Critical patent/KR100958438B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 접속 중계 시스템 및 그 방법에 관한 것이다.The present invention relates to a connection relay system and a method thereof.

본 발명의 접속 중계 시스템은 다수의 제1 사설 접속 장치와 각각 서로 매칭되어 연결된 다수의 제2 사설 접속 장치를 포함하는 사설망의 제1 사설 접속 장치들에 대한 세션 형성 정보를 수신하여 저장한다. 그리고 사용자 단말기로부터 컨텐츠 제공 장치로의 접속을 요청받고, 상기 세션 형성 정보를 기초로 다수의 제1 사설 접속 장치 중 최저 세션을 형성한 하나 이상의 제1 사설 접속 장치를 선택한다. 그 후에 제2 사설 접속 장치를 통해 컨텐츠 제공 장치로 접속하도록 선택된 제1 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공한다.The access relay system of the present invention receives and stores session establishment information for first private access devices of a private network including a plurality of first private access devices and a plurality of second private access devices that are matched to each other. In response to a request for access to a content providing device from a user terminal, one or more first private access devices that form the lowest session among a plurality of first private access devices are selected based on the session establishment information. Thereafter, a public IP address corresponding to the first private access device selected to access the content providing device through the second private access device is provided to the user terminal.

본 발명에 따르면, 사설망을 이용하여 사용자 단말기의 컨텐츠 제공장치 우회 접속을 제공함으로써, 사용자 단말기에 비밀리에 설치된 서버 공격형 클라이언트들의 컨텐츠 제공 장치에 대한 공격을 효율적으로 차단할 수 있는 효과를 기대할 수 있다.According to the present invention, by providing a bypass to the content providing device of the user terminal using a private network, it can be expected to effectively block the attack on the content providing device of the server attack type clients secretly installed in the user terminal.

사설망, 접속, 중계, 공격, DDos, 트래픽, TCP, UDP Private network, access, relay, attack, DDos, traffic, TCP, UDP

Description

접속 중계 시스템 및 그 방법과, 패킷 전송을 관리하는 사용자 단말기 및 그의 기록 매체{ACCESS RELAY SYSTEM AND METHOD THEREOF, TERMINAL MANAGING PACKET TRANSMISSION AND RECODING MEDIUM THEREOF}A connection relay system and method thereof, and a user terminal for managing packet transmission and a recording medium thereof {ACCESS RELAY SYSTEM AND METHOD THEREOF, TERMINAL MANAGING PACKET TRANSMISSION AND RECODING MEDIUM THEREOF}

본 발명은 접속 중계 시스템 및 그 방법에 관한 것이다. 특히 본 발명은 사설망을 통해 사용자 단말기들에 대한 컨텐츠 제공 장치로의 접속을 중계하는 접속 중계 시스템 및 그 방법에 관한 것이다.The present invention relates to a connection relay system and a method thereof. In particular, the present invention relates to a connection relay system and a method for relaying a connection to a content providing device for user terminals through a private network.

종래에는 컨텐츠를 제공하는 컨텐츠 서버(또는, 컨텐츠 제공 장치)가 D-Dos(Distributes Denial of Service; 이하, "D-Dos"라고도 함) 등과 같은 서버 공격을 받는 경우, 접속 수용 자원이 고갈되어 더 이상 클라이언트들로부터 접속을 받지 못하는 현상이 발생한다. 이러한, 서버 기능의 상실이 발생하는 경우, 컨텐츠 서버의 네트워크 이용 대역폭이 풀(Full) 상태가 되어 컨텐츠를 이용하고자 하는 많은 사용자가 해당 컨텐츠 서버로 접속을 할 수 없게 된다.Conventionally, when a content server (or a content providing device) providing content is subjected to a server attack such as D-Dos (Distributes Denial of Service; hereinafter referred to as "D-Dos"), access acceptance resources are exhausted and further. There is a phenomenon that no connection is received from the above clients. When such a loss of server function occurs, the network bandwidth of the content server becomes full and many users who want to use the content cannot access the corresponding content server.

D-Dos공격은 대량의 불량 트래픽을 보내는 원시적인 방법으로, 현재 궁극적인 해결책이 없다. D-Dos 공격을 차단하기 위해서는 가장 많은 공격을 받는 UDP포트(현재, 70%정도의 공격이 UDP 포트를 통해 발생함)를 차단하여야 하지만, 현실적 으로 ISP(Internet Service Provider) 또는 IDC(Internet Data Center) 차원에서 UDP 포트 차단은 이루어질 수 없다.D-Dos attacks are a primitive way of sending large amounts of bad traffic, and there is currently no ultimate solution. In order to block D-Dos attack, the most attacking UDP port (currently, 70% of attacks occur through UDP port) should be blocked, but in reality, Internet Service Provider (ISP) or Internet Data Center (IDC) ), UDP port blocking cannot be done.

이러한 D-Dos 공격이 발생하면, 공개된 공인 IP로의 접속이 가능한 컨텐츠 서버에 대한 기능을 차단하고, 동일한 컨텐츠 서버로 접속할 수 있는 다른 경로를 통한 사용자의 접속을 유도하여야 한다. 그러나, 사용자 단말기에 D-Dos 공격을 위한 에이전트(Agent)가 설치되어 있는 경우, 공인 IP를 통한 경로 제공은 사실상 큰 의미가 없게 된다.When such a D-Dos attack occurs, the function for the content server that can access the public IP should be blocked, and the user should be instructed to access the same content server through another path. However, if an agent for a D-Dos attack is installed in the user terminal, providing a route through the public IP has little meaning.

따라서, 사용자 단말기에 설치되어 있는 서버 공격용 에이전트들을 관리하기 위한 기술과, D-Dos 공격을 차단하면서, 컨텐츠 서비스를 제공할 수 있는 새로운 접속 중계 기술이 필요하다.Accordingly, there is a need for a technology for managing server attack agents installed in a user terminal and a new access relay technology capable of providing a content service while blocking a D-Dos attack.

본 발명이 이루고자 하는 기술적 과제는 사설망을 통해 사용자 단말기들에 대한 컨텐츠 제공 장치로의 접속을 중계하는 접속 중계 시스템 및 그 방법을 제공하는 것이다.An object of the present invention is to provide a connection relay system and method for relaying a connection to a content providing device for user terminals through a private network.

전술한 과제를 해결하기 위한 본 발명의 특징에 따라서, 컨텐츠를 제공하는 컨텐츠 제공 장치와 사용자 단말기간의 데이터 송수신을 제어하는 접속 중계 시스템은,In accordance with an aspect of the present invention for solving the above problems, a connection relay system for controlling data transmission and reception between a content providing device for providing content and a user terminal,

사용자 단말기로부터 상기 컨텐츠 제공 장치로 전송하기 위한 메시지를 수신 하는 다수의 제1 사설 접속 장치-상기 제1 접속장치는 공인 IP 주소와 이에 매칭되는 사설 IP 주소를 가짐-들을 포함하는 제1 접속단; 상기 다수의 제1 사설 접속 장치에 대응되는 다수의 제2 사설 접속 장치-상기 제2 사설 접속 장치는 대응하는 제1 사설 접속 장치와 동일한 사설 IP 주소로 연결됨-들을 포함하는 제2 접속단; 각 제1 사설 접속 장치들에 해당하는 공인 IP 주소를 저장하고 있으며, 상기 사용자 단말기로 상기 다수의 제1 사설 접속 장치 중 하나 이상의 제1 사설 접속 장치를 선택하여, 선택된 제1 사설 접속 장치에 해당하는 공인 IP 주소를 제공하는 접속 중계 장치; 및 상기 선택된 제1 사설 접속 장치에 대응하는 제2 사설 접속 장치로부터 상기 메시지를 수신하여 상기 컨텐츠 제공 장치로 전달하는 중계 장치를 포함한다A first access terminal including a plurality of first private access devices for receiving a message for transmission from a user terminal to the content providing device, the first access device having a public IP address and a private IP address corresponding thereto; A second connection end including a plurality of second private access devices corresponding to the plurality of first private access devices, the second private access devices being connected to the same private IP address as the corresponding first private access device; A public IP address corresponding to each of the first private access devices is stored, and the user terminal selects one or more first private access devices from among the plurality of first private access devices, and corresponds to the selected first private access device. An access relay device providing a public IP address; And a relay device that receives the message from the second private access device corresponding to the selected first private access device and delivers the message to the content providing device.

여기서, 상기 접속 중계 장치는,Here, the connection relay device,

상기 다수의 제1 사설 접속 장치들의 세션 형성 정보를 각각 수신하여 저장하고, 상기 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션을 형성하는 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공한다.Receive and store session formation information of each of the plurality of first private access devices, and store a public IP address corresponding to a private access device that forms a lowest session among the plurality of first private access devices based on the session formation information. Provided to the user terminal.

여기서, 상기 접속 중계 장치는,Here, the connection relay device,

상기 다수의 제1 사설 접속 장치 각각에 대한 세션 형성 정보를 저장하는 저장부; 상기 다수의 제1 사설 접속 장치로 세션 형성 정보를 주기적으로 요청하고, 그에 대한 응답을 수신하여 상기 저장부에 저장하는 정보 수집부; 및 상기 저장부에 저장된 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션 을 형성하는 제1 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공하는 클라이언트 접속 처리부를 포함한다.A storage unit which stores session establishment information for each of the plurality of first private access devices; An information collector configured to periodically request session establishment information from the plurality of first private access devices, receive a response thereto, and store the response in the storage; And a client access processor configured to provide a public IP address corresponding to a first private access device that forms a lowest session among the plurality of first private access devices to the user terminal based on the session establishment information stored in the storage unit. .

본 발명의 특징에 따라서, 컨텐츠를 제공하는 컨텐츠 제공 장치와 사용자 단말기간의 데이터 송수신을 제어하는 접속 중계 시스템의 접속 중계 방법은,According to an aspect of the present invention, a connection relay method of a connection relay system for controlling data transmission and reception between a content providing device for providing content and a user terminal,

다수의 제1 사설 접속 장치와 각각 서로 매칭되어 연결된 다수의 제2 사설 접속 장치를 포함하는 사설망의 상기 제1 사설 접속 장치들에 대한 세션 형성 정보를 수신하여 저장하는 단계; 상기 사용자 단말기로부터 상기 컨텐츠 제공 장치로의 접속을 요청받는 단계; 상기 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션을 형성한 하나 이상의 제1 사설 접속 장치를 선택하는 단계; 및 상기 제2 사설 접속 장치를 통해 상기 컨텐츠 제공 장치로 접속하도록 상기 선택된 제1 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공하는 단계를 포함한다.Receiving and storing session establishment information for the first private access devices of a private network including a plurality of first private access devices and a plurality of second private access devices that are matched with each other; Receiving a request for access to the content providing device from the user terminal; Selecting at least one first private access device that has formed a lowest session among the plurality of first private access devices based on the session establishment information; And providing the user terminal with a public IP address corresponding to the selected first private access device to access the content providing device through the second private access device.

여기서, 상기 세션 형성 정보를 수신하여 저장하는 단계는,Here, receiving and storing the session establishment information,

상기 다수의 제1 사설 접속 장치들에 대한 상기 세션 형성 정보를 주기적으로 요청하는 단계; 및 상기 다수의 제1 사설 접속 장치들로부터 상기 세션 형성 정보를 각각 수신하여 저장하는 단계를 포함한다.Periodically requesting the session establishment information for the plurality of first private access devices; And receiving and storing the session establishment information from the plurality of first private access devices, respectively.

본 발명의 특징에 따라서, 사설 접속 장치와 연결되며, 상기 사설 접속 장치를 통해 컨텐츠를 제공하는 장치와 데이터 송수신을 하는 사용자 단말기는, According to a feature of the present invention, a user terminal connected to a private access device and performing data transmission / reception with a device providing content through the private access device,

통신 인터페이스를 포함하며, 상기 통신 인터페이스를 이용하여 상기 사설 접속 장치와 데이터 송수신을 하는 통신부; 상기 통신부로부터 상기 사설 접속 장 치로 송신되는 패킷을 감시하고, 설정된 시간 동안에 송신되는 패킷들에 대한 패킷 전송량을 측정하는 트래픽 모니터링부; 및 상기 트래픽 모니터링부로부터 수신된 패킷 전송량이 기 설정된 기준치보다 많은지 여부를 판단하고, 상기 기 설정된 기준치보다 많은 경우에 상기 통신부를 통해 송신되는 패킷 전송을 차단하는 접속 관리부를 포함한다.A communication unit including a communication interface and transmitting and receiving data to and from the private access device using the communication interface; A traffic monitoring unit for monitoring a packet transmitted from the communication unit to the private access device and measuring a packet transmission amount for packets transmitted during a set time; And a connection manager to determine whether the packet transmission amount received from the traffic monitoring unit is greater than a preset reference value, and block packet transmission transmitted through the communication unit when the packet transmission amount is greater than the preset reference value.

여기서, 상기 통신부는 TCP(Transmission Control Protocol) 및 UDP(User Datagram Protocol) 패킷을 전송하며, 상기 접속 관리부는 상기 패킷 전송량이 TCP 패킷인지, UDP 패킷인지 확인하고, 각각 설정된 기준치를 기초로 상기 통신 인터페이스를 통해 송신되는 패킷 전송을 차단한다.Here, the communication unit transmits a Transmission Control Protocol (TCP) and a User Datagram Protocol (UDP) packet, and the connection manager determines whether the packet transmission amount is a TCP packet or a UDP packet, and based on the set reference values, respectively, the communication interface. Block the transmission of packets sent through

본 발명의 특징에 따라서, 사설 접속 장치와 연결되며, 상기 사설 접속 장치를 통해 컨텐츠를 제공하는 장치와 데이터 송수신을 하는 사용자 단말기의 전송 패킷 관리를 위한 기록 매체는,According to a feature of the present invention, a recording medium for transport packet management of a user terminal connected to a private access device and transmitting and receiving data to and from a device providing content through the private access device,

기 설정된 시간 동안에 상기 사설 접속 장치로 전송되는 패킷을 실시간 감시하여 패킷 전송량을 측정하는 기능; 상기 패킷 전송량이 기 설정된 전송 기준치를 초과하는지 여부를 판단하는 기능; 및 상기 패킷 전송량이 상기 기준치를 초과하는 경우에, 상기 패킷 전송을 차단하는 기능을 포함한다.Monitoring a packet transmitted to the private access device in real time for a preset time and measuring a packet transmission amount; Determining whether the packet transmission amount exceeds a preset transmission reference value; And blocking the packet transmission when the packet transmission amount exceeds the reference value.

여기서, 상기 패킷 전송량을 측정하는 기능은,Here, the function of measuring the packet transmission amount,

상기 사설 접속 장치로 전송되는 TCP(Transmission Control Protocol) 패킷 또는 UDP(User Datagram Protocol) 패킷을 실시간 감시하여 패킷 전송량을 측정하는 기능을 포함한다.And a function of measuring a packet transmission amount by monitoring in real time a Transmission Control Protocol (TCP) packet or a User Datagram Protocol (UDP) packet transmitted to the private access device.

본 발명에 따르면, 사설망을 이용하여 사용자 단말기의 컨텐츠 제공장치 우회 접속을 제공함으로써, 사용자 단말기에 비밀리에 설치된 서버 공격형 클라이언트들의 컨텐츠 제공 장치에 대한 공격을 효율적으로 차단할 수 있는 효과를 기대할 수 있으며, 이를 통해 사용자들에게 원활한 서비스를 항시 제공할 수 있는 효과를 기대할 수 있다.According to the present invention, by providing a bypass to the content providing device of the user terminal using a private network, it can be expected to effectively block the attack on the content providing device of the server attack type clients secretly installed in the user terminal, Through this, it is possible to expect an effect that can always provide a smooth service to users.

또한, 접속 중계 장치가 사설 접속 장치의 상태를 주기적으로 확인하여 사용자 단말기의 접속을 제어함으로써, 컨텐츠 제공 장치로의 빠른 접속을 제공할 수 있는 효과를 기대할 수 있다.In addition, the connection relay device periodically checks the state of the private connection device to control the connection of the user terminal, thereby providing an effect of providing a fast connection to the content providing device.

또한, 사용자 단말기가 자체의 폭주 트래픽을 감시하여 D-DoS와 같은 서버 공격형 클라이언트들의 폭주 트래픽을 사전 차단함으로써, 컨텐츠 제공 장치의 공격을 원천 차단할 수 있는 효과를 기대할 수 있다.In addition, by monitoring the congestion traffic of the user terminal in advance to block the congestion traffic of the server attack type clients, such as D-DoS, it is possible to expect the effect of blocking the attack of the content providing device.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. In addition, the terms “… unit”, “… unit”, “module”, etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. have.

이제 도면을 통해 본 발명의 실시 예에 따른 접속 중계 시스템 및 그 방법에 대하여 설명한다.A connection relay system and a method thereof according to an embodiment of the present invention will now be described with reference to the drawings.

도 1은 본 발명의 실시 예에 따른 접속 중계 시스템을 도시한 블록도이다.1 is a block diagram illustrating a connection relay system according to an exemplary embodiment of the present invention.

도 1에 나타낸 바와 같이, 본 발명의 접속 중계 시스템은 접속 중계 장치(200), 제1 접속단(300), 제2 접속단(400) 및 L4(Layer 4) 장치(500)(이하, "중계 장치"라고도 함) 컨텐츠 제공 장치(600)를 포함한다. 그리고 네트워크를 통해 연결된 사용자 단말기(100)와 데이터 송수신을 한다.As shown in Fig. 1, the connection relay system of the present invention includes a connection relay device 200, a first connection end 300, a second connection end 400, and an L4 (Layer 4) device 500 (hereinafter, “ Relay device), the content providing device 600. Then, data is transmitted and received with the user terminal 100 connected through the network.

컨텐츠 제공 장치(600)는 컨텐츠를 제공하는 장치로, 다수의 컨텐츠 제공 장치(600-1, 600-2, 600-3, 600-n)를 포함한다.The content providing device 600 is a device for providing content and includes a plurality of content providing devices 600-1, 600-2, 600-3, and 600-n.

다수의 컨텐츠 제공 장치(600-1, 600-2, 600-3, 600-n)는 동일한 컨텐츠를 제공하는 기능을 수행하지만, 각각 서로 다른 공인 IP(Internet Protocol; 이하, "IP"라 함.)를 갖는다.The plurality of content providing apparatuses 600-1, 600-2, 600-3, and 600-n perform the function of providing the same content, but are different from the public IP (hereinafter referred to as "IP"). Has

여기서, 각각의 컨텐츠 제공 장치(600-1, 600-2, 600-3, 600-n)는 서로 연계되어 동작하며, 하나의 데이터 베이스(생략)를 통해 저장되어 있는 컨텐츠 및 사용자 정보 등을 공유한다.Here, each of the content providing apparatuses 600-1, 600-2, 600-3, and 600-n operate in association with each other and share content and user information stored through one database (omitted). do.

제2 접속단(400)은 다수의 사설 접속 장치(Virtual Private Network)(400-1,400-2, 400-n)들을 포함하며, 다수의 사설 접속 장치들(400-1, 400-2, 400-n)은 공인 IP를 이용하여 L4 장치(500)를 통해 컨텐츠 제공 장치(600)와 연결된다.The second access terminal 400 includes a plurality of virtual private networks 400-1, 400-2, 400-n, and a plurality of private access devices 400-1, 400-2, 400-n. n) is connected to the content providing device 600 through the L4 device 500 using the public IP.

제2 접속단(400)의 사설 접속 장치들(400-1, 400-2, 400-n)은 제1 접속단(300)에 포함된 다수의 사설 접속 장치들(300-1, 300-2, 300-n)과 각각 서로 매칭되어 연결된다. 그리고 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)로부터 수신된 사용자 단말기(100)로부터의 컨텐츠 제공 장치(600) 접속 요청을 수신하여 L4 장치(500)를 통해 컨텐츠 제공 장치(600)로 접속한다. The private connection devices 400-1, 400-2, and 400-n of the second connection terminal 400 may include a plurality of private connection devices 300-1 and 300-2 included in the first connection terminal 300. And 300-n) are matched to each other. In addition, the L4 device (receiving a request for accessing the content providing device 600 from the user terminal 100 received from the private access devices 300-1, 300-2, and 300-n of the first access terminal 300). The content providing device 600 is accessed through the 500.

또한, 제2 접속단(400)의 사설 접속 장치들(400-1, 400-2, 400-n)은 각각 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)로부터 컨텐츠 제공 장치(600)로 전송하기 위한 사용자 단말기(100)의 메시지를 수신한다. 그리고 메시지를 전송하도록 설정된 L4 장치(500)에 해당하는 공인 IP 주소로 수신된 메시지를 전송한다. 이때, 제2 접속단의 사설 접속 장치들(400-1, 400-2, 400-n)은 L4 장치에 대한 접속 주소를 각각 저장한다In addition, the private connection devices 400-1, 400-2, and 400-n of the second connection terminal 400 are respectively the private connection devices 300-1, 300-2, of the first connection terminal 300. 300-n), a message from the user terminal 100 for transmission to the content providing device 600 is received. Then, the received message is transmitted to the public IP address corresponding to the L4 device 500 configured to transmit the message. At this time, the private access devices 400-1, 400-2, and 400-n of the second access terminal respectively store access addresses for the L4 device.

L4 장치(500)는 다수의 컨텐츠 제공 장치(600)의 공인 IP 주소를 저장하며, 저장하고 있는 다수의 컨텐츠 제공 장치(600)의 공인 IP 주소 중 임의로 하나의 공인 IP 주소를 선택하여 해당 컨텐츠 제공 장치로 수신된 메시지를 전송한다.The L4 device 500 stores the public IP addresses of the plurality of content providing devices 600, and selects one public IP address arbitrarily from among the public IP addresses of the plurality of content providing devices 600 to store the contents. Send the received message to the device.

제1 접속단(300)은 다수의 사설 접속 장치들(300-1, 300-2, 300-n)을 포함하며, 다수의 사설 접속 장치들(300-1, 300-2, 300-n)은 제2 접속단(400)에 포함된 다수의 사설 접속 장치들(400-1, 400-2, 400-n)과 사설 IP 주소를 통해 각각 연결 된다.The first connection terminal 300 includes a plurality of private access devices 300-1, 300-2, and 300-n, and a plurality of private access devices 300-1, 300-2, and 300-n. Are connected to a plurality of private access devices 400-1, 400-2, and 400-n included in the second access terminal 400 through private IP addresses, respectively.

여기서, 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n) 각각은 공인 IP를 통해 사용자 단말기(100)가 접속하는 경우에, 공인 IP에 매칭되는 사설 IP를 통해 제2 접속단(400)의 사설 접속 장치들(400-1, 400-2, 400-n)로 각각 접속하여 사용자 단말기(100)로부터 수신되는 메시지를 전송한다.Here, each of the private access devices 300-1, 300-2, and 300-n of the first access terminal 300 is connected to the private IP when the user terminal 100 accesses through the public IP. It connects to the private access devices 400-1, 400-2, and 400-n of the second access terminal 400 via IP to transmit a message received from the user terminal 100.

또한, 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)은 접속 중계 장치(200)의 요청에 의해 상태 정보(세션 형성 정보 등)를 전송한다.In addition, the private connection devices 300-1, 300-2, and 300-n of the first connection terminal 300 transmit state information (session formation information, etc.) at the request of the connection relay device 200.

한편, 본 발명의 실시 예에 따른 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)과 제2 접속단(400)의 사설 접속 장치들(400-1, 400-2, 400-n)은 각각 송수신하는 데이터에 대해 암호화/복호화하는 기능을 포함한다. 그리고 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)과 제2 접속단(300)의 사설 접속 장치들(400-1, 400-2, 400-n)은 데이터 송수신을 통해 일정 시간 동안 터널링(Tunneling)을 유지한다.Meanwhile, the private connection devices 300-1, 300-2, and 300-n of the first connection terminal 300 and the private connection devices 400-of the second connection terminal 400 according to the embodiment of the present invention. 1, 400-2, and 400-n each include a function of encrypting / decrypting data to be transmitted and received. The private connection devices 300-1, 300-2, and 300-n of the first connection terminal 300 and the private connection devices 400-1, 400-2, and 400-of the second connection terminal 300 are provided. n) maintains tunneling for a predetermined time through data transmission and reception.

접속 중계 장치(200)는 사용자 단말기(100)가 컨텐츠 제공 장치(600)에 접속할 수 있도록 접속 중계를 하는 장치로, 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n) 각각에 대한 네트워크 사용 상태 정보(세션 형성에 대한 사용 상태 정보)를 수신하여 저장한다. 그리고 저장된 사용 상태 정보를 기초로 사용자 단말기(100)로 공인 IP 주소를 제공하여 컨텐츠 제공 장치(600)로 접속할 수 있도록 한다. 이때, 접속 중계 장치(200)는 다수의 사설 접속 장치들(300-1, 300-2, 300-n) 중에 최저 세션을 형성 중인 하나 이상의 사설 접속 장치를 선택하고, 선택된 사설 접속 장치의 공인 IP 주소를 사용자 단말기(100)로 제공한다.The connection relay device 200 is a device that performs connection relay so that the user terminal 100 can access the content providing device 600. The private connection devices 300-1 and 300-2 of the first connection terminal 300 are provided. , 300-n) receives and stores network usage state information (use state information on session establishment) for each. In addition, the public IP address is provided to the user terminal 100 based on the stored use state information so that the user can access the content providing apparatus 600. In this case, the connection relay device 200 selects one or more private access devices forming the lowest session among the plurality of private access devices 300-1, 300-2, and 300-n, and public IP of the selected private access device. The address is provided to the user terminal 100.

이러한, 본 발명의 실시 예에 따른 접속 중계 장치(200)에 대하여 하기의 도 2를 통해 후술한다.Such a connection relay device 200 according to an embodiment of the present invention will be described later with reference to FIG. 2.

한편, 접속 중계 장치(200)는 D-DoS((Distributes Denial of Service; 이하, "D-Dos"라고도 함)와 같은 트래픽(Traffic) 공격이나 서버다운(Server Down) 공격 등을 방어하기 위해 서로 다른 공인 IP 주소를 갖는 다수의 접속 중계 장치(200)를 포함할 수도 있다.On the other hand, the access relays 200 to each other in order to defend against traffic (Server-down) attacks, such as traffic (D-DoS) (D-DoS) (D-DoS) (D-DoS) It may also include multiple access relays 200 having different public IP addresses.

사용자 단말기(100)는 컨텐츠 제공 장치(600)와 동일한 컨텐츠를 제공하는 장치(생략)로 공인 IP 주소를 통해 직접 접속하여 컨텐츠를 제공받을 수 있다.The user terminal 100 is a device that provides the same content as the content providing device 600 (omitted) and can be directly provided through a public IP address to receive the content.

구체적으로 사용자 단말기(100)는 공인 IP 주소를 통해 접속한 장치(생략)가 D-Dos등의 공격을 받아, 접속할 수 없는 경우에 컨텐츠 제공 장치(600)로 접속하기 위한 공인 IP 주소를 접속 중계 장치(200)로 요청하고, 그에 대응하여 수신된 공인 IP 주소를 통해 컨텐츠 제공 장치(600)로 접속하여 컨텐츠 제공 장치(600)의 컨텐츠 서비스를 제공받는다.Specifically, the user terminal 100 relays a public IP address for accessing the content providing device 600 when the device (omitted) connected through the public IP address is not attacked by the D-Dos or the like. A request is made to the device 200, and the content service device 600 is provided with a content service by accessing the content providing device 600 through a public IP address.

또한, 사용자 단말기(100)는 접속 관리 에이전트(110)를 포함하여 컨텐츠 제공 장치(600)에 대한 서버 공격을 사전 차단하는 기능을 한다.In addition, the user terminal 100 may include a connection management agent 110 to block a server attack on the content providing device 600 in advance.

여기서, 사용자 단말기(100)는 PC(Personal Computer) 등과 같이, IP기반으로 데이터 송수신이 가능한 모든 유무선 단말기를 포함한다.Here, the user terminal 100 includes all wired and wireless terminals capable of transmitting and receiving data based on IP, such as a personal computer (PC).

이러한, 본 발명의 실시 예에 따른 사용자 단말기에 대하여 하기의 도3을 통해 후술한다.This, a user terminal according to an embodiment of the present invention will be described later with reference to FIG.

도 2는 본 발명의 실시 예에 따른 접속 중계 장치를 도시한 상세히 도시한 블록도이다.2 is a detailed block diagram illustrating a connection relay apparatus according to an exemplary embodiment of the present invention.

도 2에 나타낸 바와 같이, 본 발명의 실시 예에 따른 접속 중계 장치(200)는 통신부(210), 제1 접속단 정보 수집부(220), 클라이언트 접속 처리부(240) 및 상태 정보 저장부(230)를 포함한다.As shown in FIG. 2, the connection relay apparatus 200 according to an exemplary embodiment of the present invention may include a communication unit 210, a first connection end information collection unit 220, a client connection processing unit 240, and a state information storage unit 230. ).

통신부(210)는 네트워크를 통해 제1 접속단(300)의 각 사설 접속 장치(300-1,300-2, 300-n)와 데이터 송수신을 수행한다.The communication unit 210 performs data transmission / reception with each private access device 300-1, 300-2, 300-n of the first access terminal 300 through a network.

제1 접속단 정보 수집부(220)는 제1 접속단(300)의 각 사설 접속 장치(300-1,300-2, 300-n)로부터 사설 접속 장치의 상태 정보를 수신하고, 수신된 상태 정보를 상태 정보 저장부(230)에 저장한다.The first access point information collecting unit 220 receives the state information of the private access device from each of the private access devices 300-1, 300-2, and 300-n of the first access point 300, and receives the received state information. The state information storage unit 230 stores.

이때, 제1 접속단 정보 수집부(220)는 주기적으로 각각의 사설 접속 장치(300-1, 300-2, 300-n)로 상태 정보를 요청하고, 그에 대한 응답을 수신하여 상태 정보 저장부(230)에 저장한다.In this case, the first access point information collecting unit 220 periodically requests the state information to each of the private access devices 300-1, 300-2, and 300-n, and receives a response to the state information storage unit. Save to 230.

여기서, 제1 접속단 정보 수집부(220)는 각각의 사설 접속 장치(300-1, 300-2, 300-n)가 주기적으로 상태 정보를 송신하는 경우에, 상태 정보를 요청하지 않고, 주기적으로 각각의 사설 접속 장치(300-1, 300-2 300-n)로부터 수신된 상태 정보를 상태 정보 저장부(230)에 저장할 수도 있다.Here, when each private access device 300-1, 300-2, or 300-n periodically transmits state information, the first access point information collecting unit 220 does not request the state information, but periodically As a result, the state information received from each of the private access devices 300-1 and 300-2 300-n may be stored in the state information storage unit 230.

클라이언트 접속 처리부(240)는 사용자 단말기(100)로부터 컨텐츠 제공 장치(600)의 접속을 요청받는 경우에, 상태 정보 저장부(230)에 저장된 상태 정보들을 기초로 컨텐츠 제공 장치(600)로의 접속을 위한 제1 접속단(300)의 사설 접속 장치를 선택하고, 선택된 사설 접속 장치의 공인 IP 주소를 사용자 단말기(100)로 제공한다. 이때, 클라이언트 접속 처리부(240)는 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n) 중에 세션 형성이 가장 적은 사설 접속 장치를 선택한다.When the client connection processing unit 240 is requested to access the content providing apparatus 600 from the user terminal 100, the client connection processing unit 240 connects to the content providing apparatus 600 based on the state information stored in the state information storage unit 230. The private access device of the first access terminal 300 is selected and the public IP address of the selected private access device is provided to the user terminal 100. In this case, the client access processor 240 selects the private access device having the smallest session establishment among the private access devices 300-1, 300-2, and 300-n of the first access terminal 300.

상태 정보 저장부(230)는 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)에 대한 상태 정보를 제1 접속단 정보 수집부(220)로부터 수신하여 저장한다.The state information storage unit 230 receives the state information on the private access devices 300-1, 300-2, and 300-n of the first access terminal 300 from the first access terminal information collection unit 220. Save it.

도 3은 본 발명의 실시 예에 따른 사용자 단말기를 상세히 도시한 블록도이다.3 is a block diagram illustrating in detail a user terminal according to an exemplary embodiment of the present invention.

도 3에 나타낸 바와 같이, 본 발명의 실시 예에 따른 사용자 단말기(100)는 접속 관리 에이전트(110) 및 통신부(120)를 포함한다.As shown in FIG. 3, the user terminal 100 according to an embodiment of the present invention includes a connection management agent 110 and a communication unit 120.

접속 관리 에이전트(110)는 접속 관리부(112)와 트래픽 모니터링부(114)를 포함한다.The connection management agent 110 includes a connection management unit 112 and a traffic monitoring unit 114.

접속 관리부(112)는 트래픽 모니터링부(114)로부터 통신부(120)의 패킷 전송량을 수신하고, 패킷 전송량이 기 설정된 기준치보다 많은지 여부를 판단하여 통신부(120)의 패킷 전송을 차단하는 기능을 수행한다.The connection manager 112 receives the packet transmission amount of the communication unit 120 from the traffic monitoring unit 114, determines whether the packet transmission amount is greater than a preset reference value, and blocks the packet transmission of the communication unit 120. .

이때, 접속 관리부(112)는 수신된 패킷 전송량이 TCP(Transmission Control Protocol; 이하, "TCP"라 함) 패킷인지, UDP(User Datagram Protocol; 이하, "UDP"라 함) 패킷인지 확인하고, 각각 기 설정된 기준치를 기초로 패킷 전송량이 많은지 여부를 판단할 수도 있다.At this time, the connection manager 112 checks whether the received packet transmission amount is a Transmission Control Protocol (TCP) packet or a User Datagram Protocol (UDP) packet, respectively. It may be determined whether the packet transmission amount is large based on the preset reference value.

또한, 접속 관리부(112)는 컨텐츠 제공 장치(600)로 접속하기 위한 공인 IP 주소를 접속 중계 장치(200)로 요청하고, 그에 대응하여 수신된 공인 IP 주소를 통해 컨텐츠 제공 장치(600)로 접속한다.In addition, the connection management unit 112 requests the access relay device 200 a public IP address for accessing the content providing device 600, and accesses the content providing device 600 through the received public IP address corresponding thereto. do.

트래픽 모니터링부(114)는 통신부(120)에서 제1 접속단(300)의 사설 접속 장치로 송신되는 TCP(Transmission Control Protocol; 이하, "TCP"라 함) 및 UDP(User Datagram Protocol; 이하, "UDP"라 함)에 대한 패킷 전송량을 실시간 감시하고, 감시된 패킷 전송량을 접속 관리부(112)로 제공한다. The traffic monitoring unit 114 transmits a communication control protocol (TCP) and a user datagram protocol (UDP) hereinafter transmitted from the communication unit 120 to a private access device of the first access terminal 300. The packet transmission amount for " UDP " in real time, and provides the monitored packet transmission amount to the connection management unit 112.

구체적으로, 트래픽 모니터링부(114)는 통신부(120)의 네트워크 인터페이스 카드(Network Interface Card; 이하, "NIC"라 함)를 통해 전송되는 TCP 및 UDP 패킷을 감시하고, TCP 및 UDP 패킷을 카운터하여 기 설정된 시간동안의 패킷 전송량을 측정하여 접속 관리부(112)로 제공한다. Specifically, the traffic monitoring unit 114 monitors the TCP and UDP packets transmitted through the network interface card (hereinafter referred to as "NIC") of the communication unit 120, and counts the TCP and UDP packets by The amount of packet transmission for a preset time is measured and provided to the connection manager 112.

통신부(120)는 NIC를 포함하며, 상위 응용 서비스부(생략)로부터 수신되는 TCP 혹은 UDP 패킷을 네트워크를 통해 전송한다. The communication unit 120 includes a NIC and transmits a TCP or UDP packet received from an upper application service unit (omitted) through a network.

이러한, 본 발명의 실시 예에 따른 사용자 단말기는 공인 IP 주소를 통해 컨텐츠 제공 장치(600)와 동일한 컨텐츠를 제공하는 장치(생략)로의 직접 접속 시에, 공인 IP 주소의 장치로 접속이 이루어지지 않으면, 사용자의 요청에 따라 컨텐츠 제공 장치(600)로 접속하기 위한 공인 IP 주소를 접속 중계 장치(200)로 요청하고, 그에 대응하여 수신된 공인 IP 주소를 통해 컨텐츠 제공 장치(600)로 접속할 수 있다. 이를 통해 사용자는 사설망을 통해 컨텐츠 제공 장치로의 접속을 우회함으로써, 컨텐츠를 제공받을 수 있는 장점이 있다.Such a user terminal according to an embodiment of the present invention, when a direct connection to a device (omitted) that provides the same content as the content providing device 600 through the public IP address, if the connection is not made to the device of the public IP address In response to the user's request, the access relay apparatus 200 may request a public IP address for accessing the content providing apparatus 600, and may access the content providing apparatus 600 through the received public IP address. . Through this, the user can bypass the connection to the content providing device through the private network, thereby providing the content.

또한, 본 발명의 실시 예에 따른 사용자 단말기 내에 트래픽 감시를 위한 트래픽 모니터링부를 별도로 포함하여, 서버 공격형 클라이언트에 의해 발생되는 트래픽을 최소화할 수 있는 큰 장점이 있다.In addition, by separately including a traffic monitoring unit for monitoring traffic in the user terminal according to an embodiment of the present invention, there is a great advantage that can minimize the traffic generated by the server attack type client.

다음은 도 4를 통해 본 발명의 실시 예에 따른 사용자 단말기의 동작 방법을 설명한다. Next, a method of operating a user terminal according to an exemplary embodiment of the present invention will be described with reference to FIG. 4.

도 4는 본 발명의 실시 예에 따른 사용자 단말기의 동작 방법을 도시한 순서도이다.4 is a flowchart illustrating a method of operating a user terminal according to an exemplary embodiment of the present invention.

도 4에 나타낸 바와 같이, 본 발명의 실시 예에 따른 사용자 단말기(100)의 동작 방법은 사용자 단말기(100)의 접속 관리 에어전트(110)가 통신부(120)의 NIC를 감시하여 이루어진다.As shown in FIG. 4, the method for operating the user terminal 100 according to an exemplary embodiment of the present invention is performed by the connection management agent 110 of the user terminal 100 monitoring the NIC of the communication unit 120.

사용자 단말기(100)의 접속 관리 에이전트(110)는 실시간으로 통신부(120)의 NIC에서 전송되는 패킷을 감시한다(S100).The connection management agent 110 of the user terminal 100 monitors a packet transmitted from the NIC of the communication unit 120 in real time (S100).

접속 관리 에이전트(110)는 제1 접속단(300)의 사설 접속 장치로 전송되는 패킷을 기초로 TCP 및 UDP 패킷들에 대한 카운터를 하고(S102), 설정된 시간 동안의 시간당 패킷 전송량이 각각의 기준치를 초과하는지 여부를 판단한다(104).The connection management agent 110 counters TCP and UDP packets based on the packets transmitted to the private access device of the first access terminal 300 (S102), and the amount of packet transmission per hour during the set time is set to each reference value. It is determined whether to exceed (104).

상기 S106단계의 판단 결과, 시간당 패킷 전송량이 기준치를 초과하는 경우에, 접속 관리 에이전트(110)는 NIC의 해당 패킷 전송을 차단한다(S106).As a result of the determination in step S106, when the packet transmission amount per hour exceeds the reference value, the access management agent 110 blocks the transmission of the corresponding packet of the NIC (S106).

상기 S106 단계의 판단 결과, 시간당 패킷 전송량이 기준치를 초과하지 않는 경우에, 접속 관리 에이전트(110)는 다음 주기에 NIC를 통해 전송되는 패킷을 감시한다.As a result of the determination in step S106, when the packet transmission amount per hour does not exceed the reference value, the connection management agent 110 monitors the packet transmitted through the NIC in the next period.

이러한, 사용자 단말기는 접속 관리 에이전트를 통해, D-Dos 등의 서버 공격을 위한 클라이언트 프로그램에 의해 발생되는 폭주 패킷들을 효율적으로 차단할 수 있는 효과를 기대할 수 있다.Such a user terminal can be expected to effectively block congestion packets generated by a client program for a server attack such as D-Dos through a connection management agent.

도 5는 본 발명의 실시 예에 따른 접속 중계 시스템의 접속 중계 방법을 도시한 데이터 흐름도이다.5 is a data flowchart illustrating a connection relay method of a connection relay system according to an exemplary embodiment of the present invention.

도 5에 나타낸 바와 같이, 본 발명의 실시 예에 따른 접속 중계 시스템의 접속 중계 방법은 접속 중계 장치(200)가 주기적으로 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)로부터 상태 정보를 수신하여 이루어진다.As shown in FIG. 5, in the connection relaying method of the connection relay system according to the embodiment of the present invention, the connection relay device 200 periodically connects the private connection devices 300-1 and 300-of the first connection terminal 300. 2, 300-n).

먼저, 접속 중계 장치(200)는 주기적으로 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)로 상태 정보를 요청하고, 그에 대한 상태 정보를 수신하여 저장한다(S200, S202).First, the connection relay device 200 periodically requests status information from the private access devices 300-1, 300-2, and 300-n of the first access terminal 300, and receives the status information. Store it (S200, S202).

사용자 단말기(100)는 사용자의 요청에 따라, 컨텐츠 제공 장치(600)로 접속하기 위한 공인 IP 주소를 수신하기 위해 접속 중계 장치(200)에 접속한다(S204).The user terminal 100 connects to the access relay device 200 in order to receive a public IP address for accessing the content providing device 600 at the user's request (S204).

이때, 사용자 단말기(100)는 공인 IP 주소를 통해 컨텐츠 제공 장치(600)와 동일한 컨텐츠를 제공하는 장치(생략)로 직접 접속 시에, 공인 IP 주소의 장치로의 접속이 이루어지지 않으면, 사용자의 요청에 따라 컨텐츠 제공 장치(600)로 접속 하기 위한 공인 IP 주소를 수신하기 위해 접속 중계 장치(200)로 접속한다.At this time, when the user terminal 100 directly accesses a device (not shown) that provides the same content as the content providing device 600 through a public IP address, if the connection to the device of the public IP address is not made, In order to receive a public IP address for accessing the content providing device 600, the access relay device 200 is connected.

그리고, 사용자 단말기(100)는 컨텐츠 제공 장치(600)로 접속하기 위한 공인 IP 요청 메시지를 생성하여 접속 중계 장치(200)로 전송한다(S206).In addition, the user terminal 100 generates a public IP request message for accessing the content providing device 600 and transmits it to the access relay device 200 (S206).

접속 중계 장치(200)는 사용자 단말기(100)로부터 공인 IP 요청 메시지를 수 신하고, 접속 중계 장치(200)에 저장된 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n)에 대한 상태 정보를 확인한다(S208).The access relay device 200 receives a public IP request message from the user terminal 100 and private access devices 300-1 and 300-2 of the first access terminal 300 stored in the access relay device 200. , Status information for the (300-n) is checked (S208).

그리고, 접속 중계 장치(200)는 상태 정보를 기초로 제1 접속단(300)의 사설 접속 장치들(300-1, 300-2, 300-n) 중에 세션 형성이 가장 적은 하나의 사설 접속 장치(300-1)를 선택하고(S210), 선택된 사설 접속 장치의 공인 IP 주소를 사용자 단말기(100)로 전송한다(S212).In addition, the connection relay device 200 is one private access device having the least session establishment among the private access devices 300-1, 300-2, and 300-n of the first access terminal 300 based on the state information. Select 300-1 (S210), and transmits the public IP address of the selected private access device to the user terminal 100 (S212).

이때, 접속 중계 장치(200)는 제1 접속단(300)의 다수의 사설 접속 장치들(300-1, 300-2, 300-n) 중 세션 형성이 적은 하나 이상의 사설 접속 장치를 선택하고, 선택된 사설 접속 장치의 공인 IP 주소를 사용자 단말기(100)로 전송할 수도 있다. In this case, the connection relay device 200 selects one or more private access devices with less session formation among the plurality of private access devices 300-1, 300-2, and 300-n of the first access terminal 300, The public IP address of the selected private access device may be transmitted to the user terminal 100.

사용자 단말기(100)는 접속 중계 장치(200)로부터 공인 IP 주소를 수신하고, 수신된 공인 IP 주소의 사설 접속 장치(300-1)로 접속 요청 메시지를 전송한다(S214).The user terminal 100 receives a public IP address from the access relay device 200 and transmits a connection request message to the private access device 300-1 of the received public IP address (S214).

제1 접속단(300)의 사설 접속 장치(300-1)는 사용자 단말기(100)로부터 접속 요청 메시지를 수신하고(S216), 제1 접속단(300)의 사설 접속 장치(300-1)에 매칭되어 있는 사설 IP 주소의 제2 접속단(400)의 사설 접속 장치(400-1)로 접속 요청 메시지를 전송한다(S218). 이때 제1 사설 접속 장치(300-1)와 제2 사설 접속 장치(400-1)는 동일한 사설IP 주소로 연결된다.The private access device 300-1 of the first access terminal 300 receives a connection request message from the user terminal 100 (S216), and connects to the private access device 300-1 of the first access terminal 300. The access request message is transmitted to the private access device 400-1 of the second access terminal 400 of the matched private IP address (S218). At this time, the first private access device 300-1 and the second private access device 400-1 are connected to the same private IP address.

제2 접속단(400)의 사설 접속 장치(400-1)는 제1 접속단(300)의 사설 접속 장치(300-1)로부터 접속 요청 메시지를 수신하고(S220), 제1 접속단(300)의 사설 접속 장치(300-1)로부터 수신된 메시지를 L4 장치(500)에 해당하는 공인 IP 주소로전송한다(S222). 여기서, 제1 접속단(300)의 사설 접속 장치(300-1)와 제2 접속단(400)의 사설 접속 장치(400-1)는 데이터 송수신을 통해 일정 시간 동안 터널링(Tunneling)을 형성하게 된다.The private connection device 400-1 of the second connection terminal 400 receives a connection request message from the private connection device 300-1 of the first connection terminal 300 (S220) and the first connection terminal 300. In step S222, the message received from the private access device 300-1 is transmitted to a public IP address corresponding to the L4 device 500. Here, the private connection device 300-1 of the first connection terminal 300 and the private connection device 400-1 of the second connection terminal 400 form tunneling for a predetermined time through data transmission and reception. do.

L4 장치(500)는 사설 접속 장치(400-1)로부터 접속 요청 메시지를 수신하여 다수의 컨텐츠 제공 장치(600) 중 하나의 컨텐츠 제공 장치로 전송한다. 이때, L4 장치(500)는 컨텐츠 제공 장치(600)의 개수만큼 공인 IP 주소를 저장하고 있으며, 임의로 하나의 공인 IP 주소를 선택하여 메시지를 전송한다.The L4 device 500 receives a connection request message from the private access device 400-1 and transmits it to one of the plurality of content providing devices 600. At this time, the L4 device 500 stores public IP addresses as many as the number of content providing devices 600, and arbitrarily selects one public IP address to transmit a message.

컨텐츠 제공 장치(600)는 제2 접속단(400)의 사설 접속 장치(400-1)로부터 사용자 단말기(100)의 접속 요청 메시지를 수신하고, 사용자 단말기(100)로 제공할 컨텐츠 정보(웹 페이지 정보)를 제2 접속단(400)의 사설 접속 장치(400-1)로 전송한다(S224).The content providing device 600 receives a connection request message of the user terminal 100 from the private access device 400-1 of the second access terminal 400, and provides content information (web page) to be provided to the user terminal 100. Information) is transmitted to the private access device 400-1 of the second connection terminal 400 (S224).

제2 접속단(400)의 사설 접속 장치(400-1)는 매칭되어 있는 제1 접속단(300)의 사설 접속 장치(300-1)를 통해 사용자 단말기(100)로 컨텐츠 정보를 전송한다(S226).The private access device 400-1 of the second access terminal 400 transmits content information to the user terminal 100 through the private access device 300-1 of the matched first access terminal 300 ( S226).

사용자 단말기(100)는 컨텐츠 정보를 수신하고, 수신된 컨텐츠 정보를 사용자에게 제공한다(S228).The user terminal 100 receives the content information, and provides the received content information to the user (S228).

이후, 사용자 단말기(100)는 제1 접속단(300)의 사설 접속 장치(300-1)와 제2 접속단(400)의 사설 접속 장치(400-1)간에 형성된 터널링을 통해 컨텐츠 제공 장치(600)와 데이터 송수신을 한다(S230).Thereafter, the user terminal 100 may provide a content providing device through tunneling formed between the private access device 300-1 of the first access terminal 300 and the private access device 400-1 of the second access terminal 400. 600) and transmits and receives data (S230).

이러한, 접속 중계 방법을 통해 사용자 단말기는 D-Dos 공격 혹은 서버 다운 등의 서버 이상이 발생하여 컨텐츠 제공 장치로 접속할 수 없는 경우에, 사설망을 통해 동일한 컨텐츠를 제공하는 다른 컨텐츠 제공 장치로 접속하여 컨텐츠를 제공받을 수 있는 장점이 있다.When the user terminal cannot access the content providing device due to a server error such as a D-Dos attack or a server down through the connection relay method, the user terminal accesses the content through another private content providing device that provides the same content through a private network. There is an advantage that can be provided.

특히, 사설망을 이용한 접속 중계 방법을 통해 사용자 단말기의 컨텐츠 제공장치 우회 접속을 제공함으로써, 사용자 단말기에 비밀리에 설치된 서버 공격형 클라이언트들의 컨텐츠 제공 장치에 대한 공격을 효율적으로 차단할 수 있는 큰 장점이 있다.In particular, by providing a bypass of the content providing device of the user terminal through a connection relay method using a private network, there is a great advantage that can effectively block attacks on the content providing device of server attack clients secretly installed in the user terminal.

이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented through the apparatus and the method, but may also be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded. Implementation may be easily implemented by those skilled in the art from the description of the above-described embodiments.

이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 본 발명의 실시 예에 따른 접속 중계 시스템을 도시한 블록도이다.1 is a block diagram illustrating a connection relay system according to an exemplary embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 접속 중계 장치를 도시한 상세히 도시한 블록도이다.2 is a detailed block diagram illustrating a connection relay apparatus according to an exemplary embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 사용자 단말기를 상세히 도시한 블록도이다.3 is a block diagram illustrating in detail a user terminal according to an exemplary embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 사용자 단말기의 동작 방법을 도시한 순서도이다.4 is a flowchart illustrating a method of operating a user terminal according to an exemplary embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 접속 중계 시스템의 접속 중계 방법을 도시한 데이터 흐름도이다.5 is a data flowchart illustrating a connection relay method of a connection relay system according to an exemplary embodiment of the present invention.

Claims (13)

컨텐츠를 제공하는 컨텐츠 제공 장치와 사용자 단말기간의 데이터 송수신을 제어하는 접속 중계 시스템에 있어서,A connection relay system for controlling data transmission and reception between a content providing device providing content and a user terminal, 사용자 단말기로부터 상기 컨텐츠 제공 장치로 전송하기 위한 메시지를 수신하는 다수의 제1 사설 접속 장치-상기 제1 사설 접속장치는 공인 IP 주소와 이에 매칭되는 사설 IP 주소를 가짐-들을 포함하는 제1 접속단;A first access terminal comprising a plurality of first private access devices for receiving a message for transmission from a user terminal to the content providing device, the first private access device having a public IP address and a private IP address corresponding thereto; ; 상기 다수의 제1 사설 접속 장치에 대응되는 다수의 제2 사설 접속 장치-상기 제2 사설 접속 장치는 대응하는 제1 사설 접속 장치와 동일한 사설 IP 주소로 연결됨-들을 포함하는 제2 접속단;A second connection end including a plurality of second private access devices corresponding to the plurality of first private access devices, the second private access devices being connected to the same private IP address as the corresponding first private access device; 각 제1 사설 접속 장치들에 해당하는 공인 IP 주소를 저장하고 있으며, 상기 다수의 제1 사설 접속 장치들의 세션 형성 정보를 각각 수신하여 저장하고, 상기 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션을 형성하는 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공하는 접속 중계 장치; 및A public IP address corresponding to each of the first private access devices, and receives and stores session formation information of the plurality of first private access devices, respectively, based on the session establishment information; An access relay device providing a public IP address corresponding to a private access device forming a lowest session among the access devices to the user terminal; And 상기 선택된 제1 사설 접속 장치에 대응하는 제2 사설 접속 장치로부터 상기 메시지를 수신하여 상기 컨텐츠 제공 장치로 전달하는 중계 장치A relay device which receives the message from the second private access device corresponding to the selected first private access device and delivers the message to the content providing device. 를 포함하는 접속 중계 시스템.Connection relay system comprising a. 삭제delete 제1항에 있어서,The method of claim 1, 상기 접속 중계 장치는,The connection relay device, 상기 다수의 제1 사설 접속 장치 각각에 대한 세션 형성 정보를 저장하는 저장부;A storage unit which stores session establishment information for each of the plurality of first private access devices; 상기 다수의 제1 사설 접속 장치로 세션 형성 정보를 주기적으로 요청하고, 그에 대한 응답을 수신하여 상기 저장부에 저장하는 정보 수집부; 및An information collector configured to periodically request session establishment information from the plurality of first private access devices, receive a response thereto, and store the response in the storage; And 상기 저장부에 저장된 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션을 형성하는 제1 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공하는 클라이언트 접속 처리부A client connection processor configured to provide a public IP address corresponding to a first private access device that forms the lowest session among the plurality of first private access devices to the user terminal based on the session establishment information stored in the storage unit; 를 포함하는 접속 중계 시스템.Connection relay system comprising a. 제1항 또는 제3항에 있어서,The method according to claim 1 or 3, 상기 제2 사설 접속 장치는,The second private connection device, 상기 메시지를 송신한 제1 사설 접속 장치와 설정된 시간 동안 메시지 송수신을 위한 터널링(Tunneling)을 형성하는 접속 중계 시스템.And a tunneling (Tunneling) for transmitting and receiving a message for a predetermined time with the first private access device that transmitted the message. 제1항 또는 제3항에 있어서,The method according to claim 1 or 3, 상기 제1 사설 접속 장치 및 상기 제2 사설 접속 장치는,The first private connection device and the second private connection device, 각각 상호 메시지 송수신 시에, 암호화/복호화를 수행하는 접속 중계 시스템.A connection relay system that performs encryption / decryption when transmitting and receiving messages to each other. 컨텐츠를 제공하는 컨텐츠 제공 장치와 사용자 단말기간의 데이터 송수신을 제어하는 접속 중계 시스템의 접속 중계 방법에 있어서,In the connection relay method of a connection relay system for controlling data transmission and reception between a content providing device for providing content and a user terminal, 다수의 제1 사설 접속 장치와 각각 서로 매칭되어 연결된 다수의 제2 사설 접속 장치를 포함하는 사설망의 상기 제1 사설 접속 장치들에 대한 세션 형성 정보를 수신하여 저장하는 단계;Receiving and storing session establishment information for the first private access devices of a private network including a plurality of first private access devices and a plurality of second private access devices that are matched with each other; 상기 사용자 단말기로부터 상기 컨텐츠 제공 장치로의 접속을 요청받는 단계;Receiving a request for access to the content providing device from the user terminal; 상기 세션 형성 정보를 기초로 상기 다수의 제1 사설 접속 장치 중 최저 세션을 형성한 하나 이상의 제1 사설 접속 장치를 선택하는 단계; 및Selecting at least one first private access device that has formed a lowest session among the plurality of first private access devices based on the session establishment information; And 상기 제2 사설 접속 장치를 통해 상기 컨텐츠 제공 장치로 접속하도록 상기 선택된 제1 사설 접속 장치에 해당하는 공인 IP 주소를 상기 사용자 단말기로 제공하는 단계Providing a public IP address corresponding to the selected first private access device to the user terminal to access the content providing device through the second private access device; 를 포함하는 접속 중계 방법.Connection relay method comprising a. 제6항에 있어서,The method of claim 6, 상기 세션 형성 정보를 수신하여 저장하는 단계는,Receiving and storing the session establishment information, 상기 다수의 제1 사설 접속 장치들에 대한 상기 세션 형성 정보를 주기적으로 요청하는 단계; 및Periodically requesting the session establishment information for the plurality of first private access devices; And 상기 다수의 제1 사설 접속 장치들로부터 상기 세션 형성 정보를 각각 수신하여 저장하는 단계Receiving and storing the session establishment information from the plurality of first private access devices, respectively. 를 포함하는 접속 중계 방법.Connection relay method comprising a. 제6항 또는 제7항에 있어서,The method according to claim 6 or 7, 상기 제1 사설 접속 장치는 상기 제2 사설 접속 장치의 사설 IP주소를 이용하여 상기 제2 사설 접속 장치와 연결하는 접속 중계 방법.And the first private access device connects with the second private access device using the private IP address of the second private access device. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020080018396A 2007-12-28 2008-02-28 Connection relay system and method, user terminal for managing packet transmission and recording medium thereof Active KR100958438B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070140581 2007-12-28
KR1020070140581 2007-12-28

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020100004036A Division KR101025604B1 (en) 2007-12-28 2010-01-15 Access relay system and method thereof, terminal managing packet transmission and recoding medium thereof

Publications (2)

Publication Number Publication Date
KR20090072911A KR20090072911A (en) 2009-07-02
KR100958438B1 true KR100958438B1 (en) 2010-05-18

Family

ID=41330079

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020080018396A Active KR100958438B1 (en) 2007-12-28 2008-02-28 Connection relay system and method, user terminal for managing packet transmission and recording medium thereof
KR1020100004036A Active KR101025604B1 (en) 2007-12-28 2010-01-15 Access relay system and method thereof, terminal managing packet transmission and recoding medium thereof

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020100004036A Active KR101025604B1 (en) 2007-12-28 2010-01-15 Access relay system and method thereof, terminal managing packet transmission and recoding medium thereof

Country Status (1)

Country Link
KR (2) KR100958438B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020078609A (en) * 2001-04-06 2002-10-19 영역개발(주) System and method for controlling connection of internet using arm
KR20050042581A (en) * 2003-11-03 2005-05-10 주식회사 이머텍 Udp packet communication method and system for private ip terminals
KR20050107891A (en) * 2004-05-10 2005-11-16 주식회사 모비스 Method for communicating between network devices
WO2007066738A1 (en) * 2005-12-07 2007-06-14 Ntt Docomo, Inc. Proxy terminal, server device, proxy terminal communication path setting method, and server device communication path setting method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100523483B1 (en) * 2002-10-24 2005-10-24 한국전자통신연구원 The system and method of malicious traffic detection and response in network
KR100736054B1 (en) * 2004-08-03 2007-07-06 주식회사 엘지데이콤 PC traffic analysis and monitoring method based on Ethernet packet analysis
KR100773416B1 (en) * 2007-03-21 2007-11-05 (주)소만사 Method and system for controlling network traffic of P2P and instant messenger

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020078609A (en) * 2001-04-06 2002-10-19 영역개발(주) System and method for controlling connection of internet using arm
KR20050042581A (en) * 2003-11-03 2005-05-10 주식회사 이머텍 Udp packet communication method and system for private ip terminals
KR20050107891A (en) * 2004-05-10 2005-11-16 주식회사 모비스 Method for communicating between network devices
WO2007066738A1 (en) * 2005-12-07 2007-06-14 Ntt Docomo, Inc. Proxy terminal, server device, proxy terminal communication path setting method, and server device communication path setting method

Also Published As

Publication number Publication date
KR20100037065A (en) 2010-04-08
KR20090072911A (en) 2009-07-02
KR101025604B1 (en) 2011-03-28

Similar Documents

Publication Publication Date Title
US10972437B2 (en) Applications and integrated firewall design in an adaptive private network (APN)
KR101680955B1 (en) Multi-tunnel virtual private network
Floyd et al. Quick-Start for TCP and IP
US6044402A (en) Network connection blocker, method, and computer readable memory for monitoring connections in a computer network and blocking the unwanted connections
US8230091B2 (en) System and method for real-time bidirectional communication through firewalls
Ballani et al. Off by default!
EP2241058B1 (en) Method for configuring acls on network device based on flow information
US10171424B2 (en) Privacy enhancing networks
US20060045011A1 (en) Methods and apparatus for use in packet-switched data communication networks
Conrad et al. A Survey on Tor and I2P
Jansen et al. KISt: Kernel-informed socket transport for ToR
François et al. Network security through software defined networking: a survey
Hsiao et al. STRIDE: sanctuary trail--refuge from internet DDoS entrapment
Custura et al. Reducing the acknowledgement frequency in IETF QUIC
KR100958438B1 (en) Connection relay system and method, user terminal for managing packet transmission and recording medium thereof
Feng et al. Using adaptive router throttles against distributed denial-of-service attacks
Freet et al. An overview of architectural and security considerations for named data networking (ndn)
Hettwer Evaluation of QUIC-Tunneling
Pappas et al. Network transparency for better internet security
Calvert et al. On information hiding and network management
CN118740549A (en) VPN message transmission method and device
JP2004147029A (en) Data transfer method and device
Floyd et al. RFC 4782: Quick-Start for TCP and IP
Terai et al. Design and implementation experiments of scalable socket buffer tuning
Sarolahti Quick-Start for TCP and IP

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20080228

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20091120

Patent event code: PE09021S01D

A107 Divisional application of patent
PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20100115

Patent event code: PA01071R01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20100315

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20100510

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20100510

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20130403

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20130403

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20140326

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20150309

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20150309

Start annual number: 6

End annual number: 6

FPAY Annual fee payment

Payment date: 20160310

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20160310

Start annual number: 7

End annual number: 7

FPAY Annual fee payment

Payment date: 20170502

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20170502

Start annual number: 8

End annual number: 8

FPAY Annual fee payment

Payment date: 20200225

Year of fee payment: 11

PR1001 Payment of annual fee

Payment date: 20200225

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20210223

Start annual number: 12

End annual number: 12

PR1001 Payment of annual fee

Payment date: 20220224

Start annual number: 13

End annual number: 13

PR1001 Payment of annual fee

Payment date: 20230228

Start annual number: 14

End annual number: 14

PR1001 Payment of annual fee

Payment date: 20240227

Start annual number: 15

End annual number: 15

PR1001 Payment of annual fee

Payment date: 20250226

Start annual number: 16

End annual number: 16