KR101387937B1 - A Method for Controlling the Usage of Network Resources Using User Authentication - Google Patents

A Method for Controlling the Usage of Network Resources Using User Authentication Download PDF

Info

Publication number
KR101387937B1
KR101387937B1 KR1020120084663A KR20120084663A KR101387937B1 KR 101387937 B1 KR101387937 B1 KR 101387937B1 KR 1020120084663 A KR1020120084663 A KR 1020120084663A KR 20120084663 A KR20120084663 A KR 20120084663A KR 101387937 B1 KR101387937 B1 KR 101387937B1
Authority
KR
South Korea
Prior art keywords
user
authentication
packet
address
source
Prior art date
Application number
KR1020120084663A
Other languages
Korean (ko)
Other versions
KR20140027610A (en
Inventor
이상우
Original Assignee
주식회사 엑스게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스게이트 filed Critical 주식회사 엑스게이트
Priority to KR1020120084663A priority Critical patent/KR101387937B1/en
Publication of KR20140027610A publication Critical patent/KR20140027610A/en
Application granted granted Critical
Publication of KR101387937B1 publication Critical patent/KR101387937B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IP(Internet Protocol) 패킷을 전송, 차단 또는 우회하도록 하는 등의 처리정책을 특정한 조건의 IP 패킷에 선택적으로 적용하여 네트워크 자원의 사용을 제어할 수 있도록 하는 기술에 관한 것으로, 특히 사용자 ID에 대하여 설정된 IP 패킷의 처리정책이 효율적으로 적용될 수 있도록 하는데 그 목적이 있으며, 이러한 본 발명은 경로정보에 따라 상기 경로정보에 해당되는 IP 패킷을 전송, 차단 또는 우회하는 처리를 포함한 처리정책을 설정하고, 사용자 인증을 위한 웹인증 화면을 통해 사용자 인증에 성공한 사용자의 사용자 ID, 출발지 IP 주소 및 MAC (Media Access Control) 주소를 대응시켜 인증 사용자 목록에 저장하며, 이 인증 사용자 목록을 통해 사용자 인증을 확인하고, 상기 사용자 ID에 대하여 설정된 IP 패킷에 대한 처리정책에 따라 해당 IP 패킷이 처리될 수 있도록 하는 것이 특징이며, 네트워크 자원 사용의 제어에 대한 효율성을 증대시키는 효과가 있다.The present invention relates to a technique for controlling the use of network resources by selectively applying a processing policy, such as sending, blocking, or bypassing an Internet Protocol (IP) packet, to an IP packet under a specific condition, and in particular, a user ID. It is an object of the present invention to efficiently apply an IP packet processing policy set with respect to the above, and the present invention sets a processing policy including a process of transmitting, blocking or bypassing an IP packet corresponding to the path information according to path information. Through the web authentication screen for user authentication, the user ID, source IP address, and MAC (Media Access Control) address of the successful user authentication are matched and stored in the authentication user list. Check the IP packet according to the processing policy for the IP packet set for the user ID. It is characterized by being able to be processed, and has the effect of increasing the efficiency of the control of the use of network resources.

Description

사용자 인증을 통한 네트워크 자원 사용 제어 방법{A Method for Controlling the Usage of Network Resources Using User Authentication}A method for controlling the usage of network resources using user authentication}

본 발명은 IP(Internet Protocol) 패킷을 전송, 차단 또는 우회하도록 하는 등의 처리정책을 특정한 조건의 IP 패킷에 선택적으로 적용하여 네트워크 자원의 사용을 제어할 수 있도록 하는 기술에 관한 것으로, 특히 사용자 ID에 대하여 설정된 IP 패킷의 처리정책이 효율적으로 적용될 수 있도록 하는 사용자 인증을 통한 네트워크 사용 제어 방법에 관한 것이다.
The present invention relates to a technique for controlling the use of network resources by selectively applying a processing policy, such as sending, blocking, or bypassing an Internet Protocol (IP) packet, to an IP packet under a specific condition, and in particular, a user ID. The present invention relates to a method for controlling network usage through user authentication that can effectively apply an IP packet processing policy.

또한, 본 발명은 네트워크 자원을 통하여 처리되는 IP 패킷의 경로정보에 대한 처리정책을 확인하는 기술에 관한 것으로, IP 패킷에 대한 사용자 인증 여부를 확인하여 사용자별 네트워크 자원에 대한 사용 정책이 적용될 수 있도록 하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 사용 제어 방법에 관한 것이다.
In addition, the present invention relates to a technology for confirming the processing policy for the path information of the IP packet processed through the network resource, so that the user policy for the network resource for each user can be applied by checking the user authentication of the IP packet The present invention relates to a method of controlling network use through user authentication.

종래 기술에 의해 IP 패킷을 처리하는 네트워크 시스템에 있어서의 사용자 인증은 단순히 사용자의 네트워크 자원 사용 권한을 확인하기 위해 사용자 인증을 수행하는 것일 뿐이고, 사용자의 인증 여부 이외의 네트워크 자원 사용을 위한 다양한 조건을 부가적으로 네트워크 자원 사용 제어에 적용하는 기능이 구비되지 않았다.In the network system processing the IP packet according to the prior art, the user authentication is merely to perform the user authentication to confirm the user's authority to use the network resource, and various conditions for the use of the network resource other than whether or not the user is authenticated. In addition, there is no function applied to network resource usage control.

그리고, 종래의 기술에 의한 사용자 인증은 사용자 ID와 비밀번호의 입력을 통해 해당 네트워크 자원에 대한 사용 권한을 가진 사용자를 확인하는데 그치는 것이고, 사용자별로 다양한 네트워크 자원 사용 정책을 적용하기에는 어려움이 있었다.In addition, the user authentication according to the related art is only to identify a user having a right to use a corresponding network resource through input of a user ID and password, and it is difficult to apply various network resource usage policies for each user.

종래 기술의 구체적인 사항과 문제점은, 후술한 도 1 및 그에 관한 설명 부분에서 다시 기술될 것이다.Details and problems of the prior art will be described again in FIG. 1 and the description thereof.

본 발명의 목적은, 이와 같이 종래 기술에 있어서 사용자의 특성에 따라 다양한 조건을 네트워크 자원 사용 제어에 적용하기에 어려움을 해결하여 사용자의 특성에 따라 다양한 조건을 네트워크 자원 사용 제어에 적용하는 방법을 제공하기 위한 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve a difficulty in applying various conditions to network resource usage control according to a user's characteristics in the prior art, thereby providing a method of applying various conditions to network resource usage control according to a user's characteristics. It is to.

또한 본 발명의 목적은, 사용자별로 다양한 네트워크 자원 사용 정책을 적용하는 방법을 제공하기 위한 것이다.
It is also an object of the present invention to provide a method for applying various network resource usage policies for each user.

따라서 본 발명의 일 양상은, 네트워크 자원을 사용하고자 하는 사용자의 사용자 ID에 대하여 IP(Internet Protocol) 패킷의 목적지 IP 주소, 출발지 IP 주소, 목적지 포트 번호, 출발지 포트 번호 및 프로토콜(Protocol) 값 중 적어도 하나 이상을 선택적으로 포함하는 경로정보에 따라 상기 경로정보에 해당되는 IP 패킷을 전송, 차단 또는 우회하는 처리를 포함한 처리정책을 설정하고, 사용자 인증을 위한 웹인증 화면을 통해 사용자 인증에 성공한 사용자의 사용자 ID, 상기 사용자 인증에 성공한 사용자 단말로부터의 IP 패킷에 대한 출발지 IP 주소 및 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC(Media Access Control) 주소를 대응시켜 인증 사용자 목록에 저장하며, IP 패킷의 해당 경로정보에 대한 처리정책이 사용자 인증을 수행하도록 설정된 경우, 상기 IP 패킷에 대한 출발지 IP 주소 및 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC 주소에 대응시켜 저장된 사용자 ID를 상기 인증 사용자 목록에서 확인하고, 상기 사용자 ID에 대하여 설정된 IP 패킷에 대한 처리정책에 따라 상기 사용자 ID와 대응되는 출발지 IP 주소의 IP 패킷이 처리될 수 있도록 하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법을 제공함에 있다.
Accordingly, an aspect of the present invention provides at least one of a destination IP address, a source IP address, a destination port number, a source port number, and a protocol value of an Internet Protocol (IP) packet with respect to a user ID of a user who wants to use network resources. Set a processing policy including a process of transmitting, blocking, or bypassing an IP packet corresponding to the route information according to route information including one or more selectively, and using the web authentication screen for user authentication, The user ID, the source IP address for the IP packet from the user terminal that successfully authenticates the user, and the MAC (Media Access Control) address of the terminal that generated the IP packet of the source IP address are stored in the authentication user list. If the processing policy for the corresponding route information of the packet is set to perform user authentication, the IP packet Confirm the stored user ID in the authentication user list corresponding to the source IP address and the MAC address of the terminal that generated the IP packet of the source IP address, and according to the processing policy for the IP packet set for the user ID. The present invention provides a method of controlling network resource usage through user authentication, wherein an IP packet of a source IP address corresponding to a user ID can be processed.

또한, 본 발명의 일 양상은, 사용자 인증을 위한 웹인증 화면을 통해 사용자 인증에 성공한 사용자의 사용자 ID, 상기 사용자 인증에 성공한 사용자 단말로부터의 IP 패킷에 대한 출발지 IP 주소 및 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC(Media Access Control) 주소를 대응시켜 인증 사용자 목록에 저장하고, IP 패킷의 해당 경로정보에 대한 처리정책이 사용자 인증을 수행하도록 설정된 경우, 상기 IP 패킷에 대한 출발지 IP 주소와 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC 주소에 대한 사용자 인증 여부를 인증 사용자 목록에서 확인할 수 있도록 하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법을 제공함에 있다.
In addition, an aspect of the present invention, a user ID of a user that successfully authenticates a user through a web authentication screen for user authentication, a source IP address for the IP packet from the user terminal that successfully authenticates the user, and an IP of the source IP address. When the MAC (Media Access Control) address of the terminal that generated the packet is corresponded and stored in the authentication user list, and the processing policy for the corresponding route information of the IP packet is set to perform user authentication, the source IP address of the IP packet. And it provides a method for controlling the use of network resources through user authentication, characterized in that it is possible to check whether the user authentication for the MAC address of the terminal that generated the IP packet of the source IP address in the authentication user list.

이상에서 상세히 설명한 바와 같이, 본 발명은 사용자의 인증 여부 이외의 네트워크 자원 사용을 위한 다양한 조건을 부가적으로 네트워크 자원 사용 제어에 적용할 수 있도록 함으로써 네트워크 자원을 사용하는 사용자의 특성에 따라 다양한 네트워크 서비스를 제공할 수 있도록 하는 효과가 있다.
As described in detail above, the present invention allows various conditions for the use of network resources other than whether the user is authenticated to be applied to the control of the use of the network resource, thereby providing various network services according to the characteristics of the user who uses the network resource. It is effective to provide.

또한, 본 발명은 사용자 인증 정책의 사용 여부를 네트워크 자원을 관리하는 관리자에 의해 쉽게 설정 또는 변경될 수 있도록 하여 네트워크 자원 관리의 효율 및 안전성을 증대시키는 효과가 있다.
In addition, the present invention has the effect of increasing the efficiency and safety of network resource management by allowing the user authentication policy to be easily set or changed by the administrator managing network resources.

또한, 본 발명은 네트워크 자원의 사용에 대한 사용자별 통계정보를 용이하게 추출할 수 있도록 하여 네트워크 자원 모니터링의 가독성을 향상시키고, 네트워크 자원 사용에 대한 서비스를 다양하게 제공할 수 있게 함으로써 서비스 이용 고객의 만족도를 향상시키는 효과가 있다.
In addition, the present invention can easily extract the user-specific statistical information on the use of network resources to improve the readability of network resource monitoring, and to provide a variety of services for the use of network resources to the service users This has the effect of improving satisfaction.

도 1은 IP(Internet Protocol) 패킷을 전송하는 일반적인 네트워크의 구성도.
도 2는 본 발명의 네트워크 자원 사용 제어 방법이 적용되는 IP 패킷 전송 시스템의 블록도.
도 3은 본 발명의 일실시예에 따른 네트워크 자원 사용 제어 방법에 대한 순서도.
도 4는 본 발명의 일실시예에 따른 인증 사용자 목록의 한 구성 예를 보인 도표.
도 5는 본 발명의 일실시예에 따른 IP 패킷 전송 시스템에서의 IP 패킷 처리를 위한 흐름도.
도 6는 본 발명의 일실시예에 따른 인증 사용자 등록을 위한 흐름도.
도 7은 본 발명의 일실시예에 따른 사용자 인증정책 목록의 한 구성 예를 보인 도표.
도 8은 본 발명의 일실시예에 따른 IP 패킷에 대한 처리정책 목록의 한 구성 예를 보인 도표.1 is a block diagram of a typical network for transmitting IP (Internet Protocol) packets.
2 is a block diagram of an IP packet transmission system to which the method for controlling network resource usage of the present invention is applied.
3 is a flowchart illustrating a method for controlling network resource usage according to an embodiment of the present invention.
Figure 4 is a diagram showing an example of the configuration of the authentication user list according to an embodiment of the present invention.
5 is a flowchart for processing an IP packet in an IP packet transmission system according to an embodiment of the present invention.
6 is a flowchart for authenticating user registration according to an embodiment of the present invention.
7 is a diagram illustrating an example of a configuration of a user authentication policy list according to an embodiment of the present invention.
8 is a diagram illustrating an example of a configuration of a processing policy list for an IP packet according to an embodiment of the present invention.

이하, 첨부한 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 IP(Internet Protocol) 패킷을 전송하는 일반적인 네트워크의 구성도이다. 네트워크 자원을 사용하는 사용자(3)는 네트워크에 연결된 사용자 단말을 이용하여 서버 또는 다른 단말과 IP 패킷을 주고 받는데, 라우터, 방화벽 등을 포함하는 다양한 IP 패킷 처리장치(12, 13)를 통해 LAN(Local Area Network), 서버팜(20) 등의 네트워크로 IP 패킷이 전달된다. 이 때, 전달되는 IP 패킷은 목적지 IP 주소, 출발지 IP 주소, 목적지 포트 번호, 출발지 포트 번호, 프로토콜 등의 경로정보를 포함하고 있는데, IP 패킷 처리장치(12, 13)는 이 경로정보를 이용하여 IP 패킷을 사용자 단말(31, 32, 33) 또는 서비스 제공 서버(21, 22, 23, 24)에 전달하게 된다. IP 패킷은 인터넷(10)을 통해 다른 네트워크로 전달되기도 하고, 경우에 따라 VPN, 전용선 등의 보안 네트워크를 이용하기도 하나 모두 IP 패킷을 전달하는 네트워크로 이해할 수 있다.
1 is a block diagram of a general network for transmitting an IP (Internet Protocol) packet. The user 3 using the network resource exchanges IP packets with a server or another terminal using a user terminal connected to the network. The user 3 uses a network (LAN) through various IP packet processing devices 12 and 13 including a router and a firewall. IP packets are delivered to a network such as a local area network, a server farm 20, and the like. At this time, the delivered IP packet includes route information such as a destination IP address, a source IP address, a destination port number, a source port number, a protocol, and the like. The IP packet processing apparatuses 12 and 13 use this route information. The IP packet is delivered to the user terminals 31, 32, and 33 or the service providing servers 21, 22, 23, and 24. The IP packet may be transferred to another network through the Internet 10, and in some cases, a security network such as a VPN or a leased line may be used.

이와 같은 과정에서, IP 패킷 처리장치(12, 13)는 특정한 경로정보의 IP 패킷을 선택적으로 우회, 차단, 전송하는 등의 처리를 수행하는데, IP 패킷 처리장치(12, 13)에 의해 제공되는 네트워크 자원을 사용하기 위해 사용자 인증 과정을 실시하게 하기도 한다. 그러나, 종래의 기술에 의한 이러한 사용자 인증은 사용자 ID와 비밀번호의 입력을 통해 해당 네트워크 자원에 대한 사용 권한을 가진 사용자를 확인하는데 그치는 것이고, 사용자별로 다양한 네트워크 자원 사용 정책을 적용하기에는 어려움이 있었다.
In this process, the IP packet processing apparatuses 12 and 13 selectively bypass, block, and transmit IP packets of specific route information, which are provided by the IP packet processing apparatuses 12 and 13. It also allows user authentication to be performed to use network resources. However, such a user authentication according to the related art is only to identify a user having a right to use a corresponding network resource through input of a user ID and password, and it is difficult to apply various network resource usage policies for each user.

또한, 네트워크 자원을 이용하여 사용자(3)에게 제공되는 서비스가 웹서비스의 형태로 많이 제공되고 있으며, 이러한 웹서비스 사용을 위한 사용자 인증은 해당 서비스 제공을 위한 인증일 뿐이어서, 웹서비스 이용을 위한 네트워크 자원의 사용 정도에 차이가 있음에도 다양한 네트워크 자원의 제어 정책을 사용자별로 적용하기에 어려움이 있었다.
In addition, a number of services provided to the user 3 using network resources are provided in the form of web services, and user authentication for using these web services is only authentication for providing the corresponding services, Although there are differences in the degree of use of network resources, it was difficult to apply various network resource control policies for each user.

도 2는 본 발명의 네트워크 자원 사용 제어 방법이 적용되는 IP 패킷 전송 시스템의 블록도를 도시한다.
2 is a block diagram of an IP packet transmission system to which the network resource usage control method of the present invention is applied.

IP 패킷 분석부(110)는 IP 패킷 처리장치(12, 13)를 경유하는 IP 패킷의 목적지 IP 주소, 출발지 IP 주소, 목적지 포트 번호, 출발지 포트 번호, 프로토콜 등을 포함하는 경로정보를 IP 패킷으로부터 추출하여 처리정책 검색부(120)로 전달한다. 또한, IP 패킷의 출발지 IP 주소 또는 목적지 IP 주소를 이용하여 해당 IP 주소를 가진 단말의 MAC 주소를 확인하는 기능도 수행한다.
The IP packet analysis unit 110 receives route information including the destination IP address, the source IP address, the destination port number, the source port number, the protocol, and the like of the IP packet via the IP packet processing apparatus 12 and 13 from the IP packet. Extracted and transferred to the processing policy search unit 120. In addition, it performs a function of checking the MAC address of the terminal having the IP address using the source IP address or the destination IP address of the IP packet.

처리정책 검색부(120)는 IP 패킷 분석부(110)로부터 전달받은 IP 패킷의 경로정보에 해당하는 기본 처리정책을 검색한다. IP 패킷의 처리를 위한 사용자 인증 정책의 사용 여부에 따라 인증 사용자 목록 저장부(100)로부터 사용자 인증 여부를 확인할 수 있으며, 이로 인해 확인된 사용자 ID를 통해 사용자 ID에 대하여 설정된 IP 패킷의 처리정책을 추가적으로 검색하여 기본 처리정책과 취합하는 기능도 수행한다.
The processing policy search unit 120 searches for a basic processing policy corresponding to the path information of the IP packet received from the IP packet analyzer 110. It is possible to check whether the user is authenticated from the authentication user list storage unit 100 according to whether the user authentication policy for the processing of the IP packet is used, and thus the processing of the IP packet set for the user ID through the confirmed user ID. In addition, it performs the function of searching and collecting the basic processing policy.

인증 사용자 목록 저장부(100)는 사용자 인증을 위한 웹인증 화면(150)을 통해 사용자 인증에 성공한 사용자의 사용자 ID, 상기 사용자 인증에 성공한 사용자 단말로부터의 IP 패킷에 대한 출발지 IP 주소 및 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC(Media Access Control) 주소를 대응시켜 인증 사용자 목록에 저장하고, 처리정책 검색부(120)의 인증 사용자 확인 요청에 응답한다. 인증 사용자 목록에 저장된 각 인증 사용자의 출발지 IP 주소에 대응시켜, 해당 출발지 IP 주소의 IP 패킷을 처리할 때마다 사용 시각이 갱신되도록 하는 기능도 수행한다. 경우에 따라 IP 패킷이 웹인증 화면(150)으로 우회되도록 하는 처리명령이 IP 패킷 처리부(140)로 직접 전달될 수도 있다.
The authentication user list storage unit 100 may include a user ID of a user who has successfully authenticated a user through a web authentication screen 150 for user authentication, a source IP address of the IP packet from the user terminal that has successfully authenticated the user, and the source IP. The MAC (Media Access Control) address of the terminal that generated the IP packet of the address is stored in the authentication user list and responds to the authentication user confirmation request of the processing policy search unit 120. It also functions to correspond to the source IP address of each authenticated user stored in the authenticated user list so that the usage time is updated every time the IP packet of the corresponding source IP address is processed. In some cases, a processing instruction for bypassing the IP packet to the web authentication screen 150 may be directly transmitted to the IP packet processing unit 140.

처리정책 적용부(130)는 처리정책 검색부(120)에 의해 취합된 해당 IP 패킷에 대한 처리정책에 따라 해당 IP 패킷을 전달, 차단 또는 우회하는 등의 처리명령을 결정하여 IP 패킷 처리부(140)에 전달한다. 처리정책 검색부(120)에서의 처리정책 확인만으로도 해당 IP 패킷에 대한 처리명령이 결정될 수 있으므로, 이 경우, 해당 처리명령은 처리정책 적용부(130)를 통하지 않고 직접 IP 패킷 처리부(140)로 전달될 수 있다.
The processing policy application unit 130 determines a processing command such as forwarding, blocking, or bypassing the corresponding IP packet according to the processing policy for the corresponding IP packet collected by the processing policy search unit 120, and then processing the IP packet processing unit 140. To pass). Since the processing instruction for the IP packet may be determined only by checking the processing policy in the processing policy searching unit 120, in this case, the processing command is not directly through the processing policy applying unit 130, but directly to the IP packet processing unit 140. Can be delivered.

IP 패킷 처리부(140)는 처리정책 적용부(130) 또는 경우에 따라 처리정책 검색부(120)로부터 IP 패킷의 처리명령을 전달받아 해당 IP 패킷을 전달, 차단 또는 우회하는 등의 처리를 수행한다.
The IP packet processing unit 140 receives the processing instruction of the IP packet from the processing policy applying unit 130 or, in some cases, the processing policy search unit 120 and performs processing such as forwarding, blocking, or bypassing the corresponding IP packet. .

웹인증 화면(150)은 IP 패킷 처리부(140)에 의해 우회된 웹 트래픽에 대응하여 웹서버에 의해 제공되는 사용자 인증을 위한 화면으로서, 사용자 ID 및 비밀번호를 입력받아 사용자 인증을 수행한다. 이 웹인증 화면(150)을 통한 사용자 인증은 웹인증 화면(150)을 제공하는 웹서버의 내부 또는 다른 인증서버를 통해 수행되는 것이며, 보안을 위해 사용자 단말(31, 32, 33)과 웹인증 화면(150)을 제공하는 웹서버와의 네트워크 연결은 TLS (Transport Layer Security)를 사용하여 암호화되도록 하는 것이 사용자 정보를 보호하기 위해 바람직하다.
The web authentication screen 150 is a screen for user authentication provided by a web server in response to web traffic bypassed by the IP packet processing unit 140. The web authentication screen 150 receives a user ID and a password and performs user authentication. The user authentication through the web authentication screen 150 is performed through the internal or other authentication server of the web server providing the web authentication screen 150, and the user terminal (31, 32, 33) and the web authentication for security It is desirable to protect the user information so that the network connection with the web server providing the screen 150 is encrypted using TLS (Transport Layer Security).

이상에서 설명한 바와 같이, 도 2에 도시된 모든 블록은 기능에 따라 부여된 명칭이며 IP 패킷 처리장치(12, 13)의 내부뿐만 아니라, 경우에 따라서는 외부에 별도로 구비되는 IP 패킷 처리장치(미도시)에서 전부 똔느 일부가 수행되어도 무방하다.
As described above, all of the blocks shown in FIG. 2 are given names according to functions, and are separately provided not only inside the IP packet processing apparatuses 12 and 13, but also externally in some cases. In some cases, all of them may be performed.

도 3은 본 발명의 일실시예에 따른 네트워크 자원 사용 제어 방법에 대한 순서도이다.
3 is a flowchart illustrating a method for controlling network resource usage according to an embodiment of the present invention.

먼저, IP 패킷이 IP 패킷 처리장치(12, 13)로 유입되면 해당 IP 패킷을 분석하여 경로정보를 확인(S10)한 후, IP 패킷의 경로정보에 해당되는 기본 처리정책을 검색(S20)한다. 본 발명에 의한 사용자 인증 정책을 사용하지 않는 경우 이 기본 처리정책에 따라 종래의 IP 패킷 처리장치(12, 13)와 같이 동작하는 것이며, 이 사용자 인증 정책의 사용 여부는 네트워크 자원을 관리하는 관리자에 의해 쉽게 설정 또는 변경될 수 있어 네트워크 자원 관리의 효율 및 안전성을 증대시키는 효과가 있다.
First, when the IP packet flows into the IP packet processing apparatus 12 and 13, the IP packet is analyzed and the route information is checked (S10), and then the basic processing policy corresponding to the route information of the IP packet is searched (S20). . If the user authentication policy according to the present invention is not used, it operates in the same manner as the conventional IP packet processing apparatus 12 and 13 according to this basic processing policy, and whether or not to use the user authentication policy depends on the administrator who manages network resources. It can be easily set or changed by this, thereby increasing the efficiency and safety of network resource management.

이어서, 네트워크 자원의 사용을 제어하기 위해 본 발명에 의한 사용자 인증 정책의 사용 여부를 확인(S30)하고, 그 결과, 사용자 인증 정책을 사용하도록 설정된 경우, 해당 IP 패킷의 출발지 IP 주소를 이용하여 인증 사용자 목록에서 사용자 인증 여부를 확인(S40)한다. 이 과정에서 출발지 IP 주소에 대응되어 인증 사용자 목록에 저장된 MAC 주소와 해당 IP 패킷을 발생시킨 단말의 MAC 주소를 비교하면, 사용자 인증을 수행한 때의 사용자 단말과 현재의 사용자 단말이 동일한 것인지 확인할 수도 있다.
Subsequently, it is checked whether the user authentication policy according to the present invention is used to control the use of network resources (S30). As a result, when the user authentication policy is set to use, authentication is performed using the source IP address of the corresponding IP packet. Check whether the user is authenticated in the user list (S40). In this process, if the MAC address stored in the authentication user list corresponding to the source IP address is compared with the MAC address of the terminal generating the corresponding IP packet, it may be checked whether the user terminal and the current user terminal are identical when the user authentication is performed. have.

이와 같이 인증 사용자 목록을 통해 확인한 사용자 인증 여부(S50)에 따라 사용자 인증이 이루어지지 않아 인증 사용자 목록에 해당 IP 패킷의 출발지 IP 주소가 없을 경우, IP 패킷을 우회하여 사용자에게 웹인증 화면(150)을 통해 사용자 인증을 수행(S60)하게 한다. 여기에서 사용자 단말(31, 32, 33)로부터 발생된 해당 IP 패킷이 웹 트래픽이 아닌 경우 차단하게 하거나 신뢰하는 서버 또는 서비스의 경로정보를 접근허가목록(Whitelist)에 등록하여 해당 IP 패킷을 전달하도록 할 수 있다.
As such, if the user authentication is not performed according to the user authentication confirmed through the authentication user list (S50) and there is no source IP address of the corresponding IP packet in the authentication user list, the IP authentication is bypassed to the user and the web authentication screen 150 is provided. Through the user authentication to perform (S60). In this case, if the corresponding IP packet generated from the user terminal 31, 32, or 33 is not web traffic, the IP packet is blocked, or the route information of the trusted server or service is registered in the whitelist to deliver the corresponding IP packet. can do.

한편, 사용자 인증에 성공하여 인증 사용자 목록에서 해당 IP 패킷의 출발지 IP 주소를 확인할 수 있는 경우, 해당 출발지 IP 주소에 대응시켜 저장된 사용자 ID를 이용하여 이에 대한 처리정책을 검색(S70)한다. 사용자 ID에 대하여 설정된 처리정책은 빠른 처리를 위해 IP 패킷 처리장치(12, 13)와 동일한 시스템에 포함되는 것이 바람직하나, 다른 시스템으로부터 전달받아 이용될 수도 있음은 당연하다. 또한, 사용 시간대, 요일, 사용 제한 시간 등의 다양한 사용자별 네트워크 자원 사용 조건들을 사용자 ID와 대응시키고, 해당 조건을 IP 패킷의 경로정보에 대한 처리정책으로 치환하여 사용자 ID에 대한 처리정책으로 이용할 수 있으므로, 네트워크 자원 제공 서비스의 다양성을 증대시키는 효과가 있다.
On the other hand, if the user authentication is successful and the source IP address of the IP packet can be confirmed from the authentication user list, the processing policy for this is searched by using the stored user ID corresponding to the source IP address (S70). The processing policy set for the user ID is preferably included in the same system as the IP packet processing apparatuses 12 and 13 for fast processing, but it is natural that the processing policy may be received from other systems. In addition, various user-specific network resource usage conditions such as time of use, day of week, and usage time limit can be matched with the user ID, and the corresponding conditions can be replaced with the processing policy for the route information of the IP packet to be used as the processing policy for the user ID. Therefore, there is an effect of increasing the diversity of network resource providing services.

이어서, 상기한 S20의 과정을 통해 검색된 해당 IP 패킷에 대한 기본 처리정책 또는 상기한 S70의 과정을 통해 검색된 사용자 ID에 대한 처리정책이 취합되어 해당 IP 패킷에 적용(S80)된다.
Subsequently, the basic processing policy for the corresponding IP packet retrieved through the process of S20 or the processing policy for the user ID retrieved through the process of S70 is collected and applied to the corresponding IP packet (S80).

도 4는 본 발명의 일실시예에 따른 인증 사용자 목록의 한 구성 예를 보인 도표이다. 인증 사용자 목록에는 도 2를 통해 인증 사용자 목록 저장부(100)의 기능에 대해서 설명한 내용과 같이, 사용자 인증을 위한 웹인증 화면(150)을 통해 사용자 인증에 성공한 사용자의 사용자 ID, 상기 사용자 인증에 성공한 사용자 단말로부터의 IP 패킷에 대한 출발지 IP 주소 및 상기 출발지 IP 주소의 IP 패킷을 발생시킨 단말의 MAC(Media Access Control) 주소가 대응되어 저장된다.
4 is a diagram illustrating an example of a configuration of an authentication user list according to an embodiment of the present invention. The authentication user list includes the user ID of the user who has successfully authenticated the user through the web authentication screen 150 for user authentication as described above with respect to the function of the authentication user list storage unit 100 through FIG. The source IP address for the IP packet from the successful user terminal and the MAC (Media Access Control) address of the terminal that generated the IP packet of the source IP address are stored correspondingly.

또한, 네트워크 자원에 대한 사용 시각은 인증 사용자 목록에 저장된 각 인증 사용자의 출발지 IP 주소에 대응시켜, 해당 출발지 IP 주소의 IP 패킷을 처리할 때마다 갱신되도록 하는 것이 바람직하며, 이 외의 인증 사용자에 대한 정보도 추가로 대응시켜 저장될 수 있음은 당연하다. 인증 사용자 목록의 빠른 확인을 수행하기 위하여 IP 패킷 처리장치(12, 13)의 메모리에 상주하게 할 수도 있고, 그 처리 용량에 따라 별도로 데이터베이스 형태의 외부 시스템에 구비할 수도 있다.
In addition, the use time of the network resource is preferably corresponding to the source IP address of each authentication user stored in the authentication user list so that it is updated every time the IP packet of the corresponding source IP address is processed. Of course, the information can also be stored in correspondence further. In order to perform a quick check of the authentication user list, it may be resident in the memory of the IP packet processing apparatus 12, 13, or may be provided in an external system in the form of a database separately according to its processing capacity.

이에 더하여, 상기한 네트워크 자원에 대한 사용 시각이 일정한 인증 유효 시간이 지나도록 갱신되지 않는 경우, 인증 사용자 목록에서 제거되도록 하여 네트워크 자원이 타인에 의해 도용될 수 있는 가능성을 줄일 수 있으며, 이와 같이 인증 사용자 목록에서 해당 출발지 IP 주소가 이와 대응시켜 저장된 MAC 주소, 사용자 ID와 함께 제거될 때의 최종 사용 시각을 상기 사용자 ID와 대응시켜 별도로 기록함으로써, 사용자의 네트워크 사용 시간에 대한 통계정보를 확보하여 네트워크 자원 운용을 위한 데이터의 가독성을 증대시키는 효과를 얻을 수도 있다.
In addition, when the usage time for the network resource is not updated to pass a certain authentication validity time, it can be removed from the authentication user list to reduce the possibility that the network resource can be stolen by others. By recording the last use time when the corresponding source IP address is removed from the user list along with the stored MAC address and user ID in correspondence with the user ID, the statistical information on the user's network usage time is secured. It may also have the effect of increasing the readability of the data for resource management.

아울러, 이와 같이 확보된 통계정보를 바탕으로 사용자 ID에 대하여 네트워크 자원에 대한 월별 또는 일별 사용 가능 시간을 제한하는 서비스, 사용 가능 요일 또는 시간대를 지정하여 사용하는 서비스 등을 쉽게 제공할 수도 있어 네트워크 자원 사용에 대한 서비스를 다양하게 제공할 수 있게 함으로써 서비스 이용 고객의 만족도를 향상시키는 효과가 있다.
In addition, based on the obtained statistical information, it is possible to easily provide a service for limiting the monthly or daily available time for the network resource, a service for designating the available day or time zone for the user ID, and the like. By providing a variety of services for use, there is an effect of improving the satisfaction of the service users.

도 5는 본 발명의 일실시예에 따른 IP 패킷 전송 시스템에서의 IP 패킷 처리를 위한 흐름도이다. 주로 웹브라우저를 통해 웹서비스를 이용하는 웹트래픽에 관한 것이나, 웹브라우저를 사용하지 않는 서비스에 대해서도 본 발명에 의한 네트워크 자원 사용 제어 방법이 적용될 수 있음은 당연하다. 다만, 웹브라우저를 사용하지 않는 서비스에 대하여는 사용자 단말(31, 32, 33)에 인증을 위한 화면을 제공하는 별도의 방법이 필요할 수 있다.
5 is a flowchart for processing an IP packet in an IP packet transmission system according to an embodiment of the present invention. It mainly relates to web traffic using a web service through a web browser, or the network resource usage control method according to the present invention can be applied to a service not using a web browser. However, for a service that does not use a web browser, a separate method of providing a screen for authentication to the user terminals 31, 32, and 33 may be required.

우선, 사용자의 단말에서 네트워크 자원을 통해 제공되는 서비스를 이용하고자 할 때 발생되는 IP 패킷으로부터 IP 패킷 분석부(110)에 의해 그 경로정보를 확인하여 처리정책 검색부(120)로 전달(F110)한다. 전달되는 IP 패킷의 경로정보는 IP 패킷 처리장치(12, 13)의 목적에 따라 그 종류가 달라질 수 있으며, 목적지 IP 주소, 출발지 IP 주소, 목적지 포트 번호, 출발지 포트 번호, 프로토콜(Protocol) 등의 정보를 포함한다.
First, the path information is checked by the IP packet analyzer 110 from an IP packet generated when a user terminal attempts to use a service provided through a network resource (F110). do. The route information of the transmitted IP packet may vary depending on the purpose of the IP packet processing apparatus 12 and 13, and may include a destination IP address, a source IP address, a destination port number, a source port number, a protocol, and the like. Contains information.

F110을 통해 전달받은 IP 패킷의 경로정보에 해당하는 기본 처리정책을 처리정책 검색부(120)에서 확인하고, 해당 기본 처리정책에서 사용자 인증 정책을 사용하는지 여부를 확인하여 사용자 인증 정책을 사용하지 않는 경우 상기 검색된 기본 처리정책만을 처리정책 적용부(130)로 전달(F120)한다.
The processing policy search unit 120 checks the basic processing policy corresponding to the route information of the IP packet received through F110, and checks whether the user authentication policy is used in the basic processing policy and does not use the user authentication policy. In this case, only the found basic processing policy is transmitted to the processing policy application unit 130 (F120).

한편, 사용자 인증 정책을 사용하는 경우, 출발지 IP 주소를 인증 사용자 목록에서 사용자 ID와 함께 검색(F130)함으로써 인증 사용자 목록을 확인한다. 이 과정에서 출발지 IP 주소에 대하여 인증 사용자 목록에 등록된 MAC 주소와 해당 출발지 IP 주소를 가진 현재 단말의 MAC 주소를 비교하여 사용자 단말의 변경 여부를 확인할 수 있다. 이와 같이 확인된 사용자의 인증 여부에 따라 IP 패킷의 처리정책이 결정된다. 사용자 인증이 이루어지지 않은 IP 패킷에 대해서는 도 5의 "A"를 통해 연결되어 도시된 도 6을 통해 추후 상세히 설명하도록 한다.
On the other hand, if the user authentication policy is used, the authentication user list is checked by searching the source IP address with the user ID in the authentication user list (F130). In this process, the MAC address registered in the authentication user list with respect to the source IP address may be compared with the MAC address of the current terminal having the corresponding source IP address to check whether the user terminal has been changed. As described above, the processing policy of the IP packet is determined according to whether the user is authenticated. The IP packet, which has not been authenticated by the user, will be described in detail later with reference to FIG. 6, which is connected through “A” of FIG. 5.

F130을 통한 인증 사용자 목록 확인에서 사용자 인증이 이루어진 IP 패킷에 대해서는 해당 IP 패킷의 출발지 IP 주소와 함께 F130을 통해 검색된 사용자 ID를 이용하여 추가로 처리정책을 검색한다. 사용자 ID를 이용하여 검색되는 처리정책은 IP 패킷 처리장치(12, 13)의 내부에 저장되어 있을 수 있고, 별도의 서버에 구비하는 것도 가능함은 당연하다. 이와 같이 추가로 검색된 사용자 ID에 대한 처리정책을 기본 처리정책과 취합하여 처리정책 적용부(130)로 전달(F140)한다.
In the authentication user list check through F130, an additional processing policy is retrieved using the user ID retrieved through F130 together with the source IP address of the corresponding IP packet. The processing policy retrieved using the user ID may be stored in the IP packet processing apparatuses 12 and 13 and may be provided in a separate server. In this way, the processing policy for the additionally retrieved user ID is combined with the basic processing policy and transferred to the processing policy application unit 130 (F140).

이어서, 처리정책 적용부(130)는 상기 F110을 통해 전달받은 기본 처리정책 또는 상기 F140을 통해 전달받은 사용자 ID에 대한 처리정책이 취합된 처리정책에 따라 해당 IP 패킷에 대한 처리명령을 결정하고 IP 패킷 처리부(140)로 전달(F150)한다.
Subsequently, the processing policy application unit 130 determines a processing command for the corresponding IP packet according to a processing policy in which the processing policy for the user ID received through F140 or the basic processing policy received through F110 is collected. The packet is transmitted to the processor 140 (F150).

이와 같이 처리정책 적용부(130)로부터 전달받은 처리명령에 따라 IP 패킷 처리부(140)에서 해당 IP 패킷을 전달 또는 차단(Drop)함으로써, 사용자 인증을 통해 IP 패킷의 경로정보와 대응시켜 설정된 처리정책을 적용하여 네트워크 자원 사용을 제어하는 방법이 실시된다.
As described above, the IP packet processing unit 140 delivers or drops the corresponding IP packet according to the processing command received from the processing policy application unit 130, thereby processing the policy set to correspond to the path information of the IP packet through user authentication. A method of controlling network resource usage by implementing the method is implemented.

도 6는 본 발명의 일실시예에 따른 인증 사용자 등록을 위한 흐름도이다. 도 5를 통해 설명한 인증 사용자 목록 확인 결과, 사용자 인증이 이루어지지 않은 경우, "A"를 통해 연결된 처리정책 검색부(120)로부터 IP 패킷 처리부(140)로 해당 IP 패킷에 대한 우회 처리명령을 전달(F210)한다.
6 is a flowchart for authenticating user registration according to an embodiment of the present invention. As a result of confirming the authentication user list described with reference to FIG. 5, if the user authentication is not performed, a detour processing command for the corresponding IP packet is transmitted from the processing policy search unit 120 connected to the "A" to the IP packet processing unit 140. (F210).

F210을 통해 우회 처리명령을 전달받은 IP 패킷 분석부(110)가 해당 IP 패킷을 웹인증 화면(150)으로 우회 처리하면, 해당 IP 패킷이 웹트래픽인 경우 사용자는 사용자 단말(31, 32, 33)에서 실행한 웹브라우저를 통해 사용자 인증을 위한 웹인증 화면(150)에 접속하게 된다. 웹트래픽이 아닌 경우, 사용자의 단말에 인증 화면을 보이게 하는 별도의 절차가 필요할 수 있다. 이 과정에서 IP 패킷 분석부(110)는 단말의 MAC 주소를 사용자 단말(31, 32, 33)로부터 조회(F220)하여 해당 패킷의 출발지 IP 주소와 함께 웹인증 화면(150)을 실행하는 웹서버로 전달(F230)한다.
When the IP packet analyzer 110, which has received the bypass processing command through F210, bypasses the corresponding IP packet to the web authentication screen 150, when the corresponding IP packet is a web traffic, the user is a user terminal (31, 32, 33). The user accesses the web authentication screen 150 for user authentication through the web browser executed in step 1). In the case of non-web traffic, a separate procedure for displaying an authentication screen on a user terminal may be required. In this process, the IP packet analyzer 110 inquires (F220) the MAC address of the terminal from the user terminals 31, 32, and 33 and executes the web authentication screen 150 together with the source IP address of the corresponding packet. Forward (F230).

이와 같이 우회된 IP 패킷에 의해 웹인증 화면(150)이 사용자의 단말로 제공(F240)되고, 사용자가 이 화면에 사용자 ID와 비밀번호를 입력하여 전달(F250)하면 웹인증 화면(150)을 제공하는 웹서버의 내부 또는 다른 인증서버에서 사용자 인증을 수행하게 된다.
The web authentication screen 150 is provided to the user's terminal by the bypassed IP packet (F240), and when the user enters the user ID and password on the screen and delivers it (F250), the web authentication screen 150 is provided. User authentication is performed inside the web server or another authentication server.

사용자 인증에 실패한 경우, 인증 실패 알림 화면을 인증 실패 이유와 함께 사용자 단말(31, 32, 33)로 제공(F260)하고, 인증 재시도 또는 서비스 가입 등의 절차를 수행할 수 있도록 할 수 있다.
If the user authentication fails, an authentication failure notification screen may be provided to the user terminals 31, 32, and 33 together with the authentication failure reason (F260), and a procedure such as authentication retry or service subscription may be performed.

한편, 사용자 인증에 성공한 경우, 출발지 IP 주소, MAC 주소 및 사용자 ID를 인증 사용자 목록 저장부(100)에 전달(F270)하여 저장되도록 하고, 그 등록된 시각을 사용 시각으로 함께 저장되도록 한 후, 사용자에게 인증 성공 알림 화면을 제공(F280)하거나 별도로 지정한 웹서비스로 자동 연결되게 할 수 있다. 이 과정에서, 네트워크 자원 사용을 위한 복수의 단말 사용 허가 여부에 따라 인증 사용자 목록에 사용자 ID가 중복해서 등록될 수 있도록 하면, 사용자 단말의 사용 가능 수를 조건으로 하는 서비스를 제공할 수 있게 되어 네트워크 자원 제공 서비스의 다양성을 증대시키는 효과가 있다.
Meanwhile, if the user authentication is successful, the source IP address, the MAC address, and the user ID are transmitted to the authentication user list storage unit 100 to be stored (F270), and the registered time is stored together with the use time. An authentication success notification screen may be provided to the user (F280) or the user may be automatically connected to a designated web service. In this process, if the user ID can be repeatedly registered in the authentication user list according to whether to use the plurality of terminals for network resource usage, the service can be provided on the available number of user terminals. It has the effect of increasing the diversity of resource provision services.

도 7은 본 발명의 일실시예에 따른 사용자 인증정책 목록의 한 구성 예를 보인 도표이다. 일련번호에 의해 구분되는 각 사용자 인증정책은 정책이 적용될 IP 패킷의 경로정보에 대응하여 사용자 인증정책의 사용 여부를 "auth"(사용), "exclude"(예외) 등의 구문으로 입력한다. 또한, 각 정책의 활성화 여부를 설정하여 해당 사용자 인증정책을 목록에 유지하면서 간편하게 활성 또는 비활성으로 전환할 수 있도록 하며, 각 요소는 "|" 등의 특정 기호를 구분자로 이용하여 연속적으로 입력할 수 있게 할 수 있다.
7 is a diagram illustrating an example of a configuration of a user authentication policy list according to an embodiment of the present invention. Each user authentication policy distinguished by a serial number inputs whether the user authentication policy is used in a syntax such as "auth" or "exclude" according to the path information of the IP packet to which the policy is applied. You can also set whether each policy is active, allowing you to easily switch between active and inactive while keeping the corresponding user authentication policy in the list. It is possible to use a specific symbol such as a separator to input continuously.

도 8은 본 발명의 일실시예에 따른 IP 패킷에 대한 처리정책 목록의 한 구성 예를 보인 도표이다. 일련번호에 의해 구분되는 각 처리정책은 정책이 적용될 대상을 표현하는 구문에 대응하여 해당 정책이 적용될 IP 패킷에 대한 경로정보를 지정하고, 해당 경로정보의 IP 패킷에 대한 처리명령을 "allow"(전달), "deny"(차단) 등의 구문으로 설정하여 구성한다. 이 또한, 각 정책의 활성화 여부를 설정하여 해당 사용자 인증정책을 목록에 유지하면서 간편하게 활성 또는 비활성으로 전환할 수 있도록 하며, 각 요소는 "|" 등의 특정 기호를 구분자로 이용하여 연속적으로 입력할 수 있게 할 수 있다.
8 is a diagram illustrating an example of a configuration of a processing policy list for an IP packet according to an embodiment of the present invention. Each processing policy identified by the serial number specifies the route information for the IP packet to which the policy is applied according to the syntax representing the target to which the policy is to be applied. The processing instruction for the IP packet of the route information is set to "allow" ( Forwarding), and "deny" (blocking). In addition, each policy can be set to enable or disable it, making it easy to switch between active and inactive while keeping the corresponding user authentication policy in the list. It is possible to use a specific symbol such as a separator to input continuously.

본 발명의 권리범위는 상기한 본 발명에 따른 실시예에 한정되는 것은 아니며, 본 발명의 기술적 요지를 벗어나지 않는 범위 내에서 당해 기술분야에서 통상적인 지식을 가진 자에 의해 다양하게 변형 실시될 수 있다.
The scope of the present invention is not limited to the above-described embodiments of the present invention, and various modifications may be made by those skilled in the art without departing from the technical scope of the present invention .

아울러, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
In addition, since the embodiments described in the present specification and the configurations shown in the drawings are only the most preferred embodiments of the present invention and do not represent all the technical ideas of the present invention, It is to be understood that equivalents and modifications are possible.

<도면의 주요 부분에 대한 부호의 설명>
3: 사용자 10: 인터넷
12, 13: IP 패킷 처리장치 20: 서버팜
21, 22, 23, 24: 서비스 제공 서버
31, 32, 33: 사용자 단말 100: 인증 사용자 목록 저장부
110: IP 패킷 분석부 120: 처리정책 검색부
130: 처리정책 적용부 140: IP 패킷 처리부
150: 웹인증 화면Description of the Related Art
3: User 10: Internet
12, 13: IP packet processing device 20: server farm
21, 22, 23, 24: service provision server
31, 32, 33: user terminal 100: authentication user list storage unit
110: IP packet analyzer 120: processing policy search unit
130: processing policy application unit 140: IP packet processing unit
150: web authentication screen

Claims (10)

삭제delete IP 패킷의 목적지 IP 주소, 출발지 IP 주소, 목적지 포트 번호, 출발지 포트 번호 및 프로토콜 중 적어도 하나 이상을 포함하는 경로 정보에 따라 IP 패킷을 전송, 차단 또는 우회 처리하는 방화벽을 포함하는 IP 패킷 처리 장치에서 실행되는 네트워크 자원 사용 제어 방법으로서,
유입되는 IP 패킷의 경로 정보에 따라 사용자 인증 정책이 사용되는지 확인하는 제 1 단계;
상기 제 1 단계에서의 확인 결과 사용자 인증 정책이 사용되지 않는 경우, 기본 처리 정책을 적용하여 상기 유입되는 IP 패킷을 처리하는 제 2 단계;
상기 제 1 단계에서의 확인 결과 사용자 인증 정책이 사용되는 경우, 인증 사용자 목록 - 여기서, 상기 인증 사용자 목록에는 사용자 인증을 위한 웹인증 화면을 통해 사용자 인증에 성공한 사용자의 사용자 ID와, 상기 사용자 인증에 성공한 사용자 단말의 출발지 IP 주소 또는 MAC 주소가 대응되어 저장된다 - 에서 상기 유입되는 IP 패킷의 출발지 IP 주소 또는 상기 유입되는 IP 패킷을 발생시킨 사용자 단말의 MAC 주소로써 사용자 ID를 조회하는 제 3-1 단계; 상기 조회된 사용자 ID를 이용하여 사용자 ID에 설정된 처리 정책을 검색하는 제 3-2 단계; 적어도 상기 검색된 사용자 ID에 설정된 처리 정책을 적용하여 상기 유입되는 IP 패킷을 처리하는 제 3-3 단계;
를 포함하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법.
In an IP packet processing apparatus including a firewall for transmitting, blocking, or bypassing an IP packet according to route information including at least one of a destination IP address, a source IP address, a destination port number, a source port number, and a protocol of the IP packet. A method of controlling network resource usage that is executed.
A first step of checking whether a user authentication policy is used according to path information of an incoming IP packet;
A second step of processing the incoming IP packet by applying a basic processing policy when the user authentication policy is not used as a result of the checking in the first step;
When the user authentication policy is used as a result of the check in the first step, the authentication user list-Here, the authentication user list includes a user ID of a user who has successfully authenticated a user through a web authentication screen for user authentication, and the user authentication. The source IP address or MAC address of the successful user terminal is stored in correspondence with-3-1 for querying the user ID using the source IP address of the incoming IP packet or the MAC address of the user terminal that generated the incoming IP packet. step; Step 3-2 of searching for the processing policy set in the user ID by using the inquired user ID; Step 3-3 of processing the incoming IP packet by applying a processing policy set to at least the retrieved user ID;
Network resource usage control method through user authentication, comprising a.
청구항 2에 있어서,
상기 사용자 인증을 위한 웹인증 화면을 제공하는 웹서버와 사용자 단말 사이에서 전송되는 데이터를 암호화하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법.
The method according to claim 2,
And a method of encrypting data transmitted between a web server providing a web authentication screen for user authentication and a user terminal.
청구항 2에 있어서,
상기 사용자 인증을 위한 웹인증 화면을 제공하는 웹서버는,
상기 웹인증 화면을 통해 입력받은 사용자 ID와 비밀번호를 이용하여 상기 웹서버의 내부 또는 다른 인증서버에서 사용자 인증을 수행하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법.
The method according to claim 2,
The web server providing a web authentication screen for user authentication,
Method of controlling the use of network resources through user authentication, characterized in that the user authentication is performed in the web server or another authentication server using the user ID and password input through the web authentication screen.
삭제delete 청구항 2에 있어서,
상기 인증 사용자 목록은,
상기 인증 사용자 목록에 저장된 출발지 IP 주소를 포함한 IP 패킷이 처리되는 경우, 상기 처리되는 IP 패킷의 출발지 IP 주소에 대응시켜 저장된 사용 시각이 갱신되고,
일정한 인증 유효 시간이 지나도 사용 시각이 갱신되지 않는 출발지 IP 주소와 상기 갱신되지 않는 출발지 IP 주소에 대응시켜 저장된 사용자 ID 및 MAC 주소는 상기 인증 사용자 목록에서 제거되도록 하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법.
The method according to claim 2,
The list of authenticated users,
When the IP packet including the source IP address stored in the authentication user list is processed, the stored usage time is updated in correspondence with the source IP address of the processed IP packet,
The user ID and MAC address stored in correspondence with the source IP address that is not updated even after a certain authentication validity time and the source IP address that are not updated are removed from the authentication user list. How to control resource usage.
삭제delete 삭제delete 삭제delete 청구항 2에 있어서,
특정한 사용자 ID에 대하여 상기 인증 사용자 목록에 서로 다른 출발지 IP 주소 또는 MAC 주소와 대응시켜 저장하는 중복 인증의 허용 여부를 설정할 수 있도록 하는 것을 특징으로 하는 사용자 인증을 통한 네트워크 자원 사용 제어 방법.The method according to claim 2,
A method for controlling network resource usage through user authentication, characterized in that it is possible to set whether to allow duplicate authentication for storing a specific user ID in correspondence with different source IP addresses or MAC addresses in the authentication user list.
KR1020120084663A 2012-08-02 2012-08-02 A Method for Controlling the Usage of Network Resources Using User Authentication KR101387937B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120084663A KR101387937B1 (en) 2012-08-02 2012-08-02 A Method for Controlling the Usage of Network Resources Using User Authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120084663A KR101387937B1 (en) 2012-08-02 2012-08-02 A Method for Controlling the Usage of Network Resources Using User Authentication

Publications (2)

Publication Number Publication Date
KR20140027610A KR20140027610A (en) 2014-03-07
KR101387937B1 true KR101387937B1 (en) 2014-04-22

Family

ID=50641412

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120084663A KR101387937B1 (en) 2012-08-02 2012-08-02 A Method for Controlling the Usage of Network Resources Using User Authentication

Country Status (1)

Country Link
KR (1) KR101387937B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016153123A1 (en) * 2015-03-24 2016-09-29 손태식 System for performing authentication using mac address and method therefor
KR101841080B1 (en) 2017-11-13 2018-05-04 한국과학기술정보연구원 Method and system for data packet bypass transmission

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180049476A (en) * 2016-11-02 2018-05-11 주식회사 시큐아이 Network security method and apparatus thereof
KR102019284B1 (en) * 2017-11-17 2019-09-06 에스케이브로드밴드주식회사 Web notificatio service system, router apparatus and control method thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040035195A (en) * 2002-10-18 2004-04-29 한국과학기술정보연구원 Apparatus and method for resource allocation, and storage media having program thereof
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR20060044493A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Authentication system being capable of controlling authority based of user and authenticator
KR100996955B1 (en) * 2008-08-22 2010-11-26 (주)이스트소프트 Security method using virtual keyboard

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040035195A (en) * 2002-10-18 2004-04-29 한국과학기술정보연구원 Apparatus and method for resource allocation, and storage media having program thereof
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR20060044493A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Authentication system being capable of controlling authority based of user and authenticator
KR100996955B1 (en) * 2008-08-22 2010-11-26 (주)이스트소프트 Security method using virtual keyboard

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016153123A1 (en) * 2015-03-24 2016-09-29 손태식 System for performing authentication using mac address and method therefor
KR101841080B1 (en) 2017-11-13 2018-05-04 한국과학기술정보연구원 Method and system for data packet bypass transmission

Also Published As

Publication number Publication date
KR20140027610A (en) 2014-03-07

Similar Documents

Publication Publication Date Title
US11811731B2 (en) Packet classification for network routing
US10728246B2 (en) Service driven split tunneling of mobile network traffic
US10958624B2 (en) Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment
US10003616B2 (en) Destination domain extraction for secure protocols
US9413723B2 (en) Configuring and managing remote security devices
US8448238B1 (en) Network security as a service using virtual secure channels
US10432673B2 (en) In-channel event processing for network agnostic mobile applications in cloud based security systems
US11297058B2 (en) Systems and methods using a cloud proxy for mobile device management and policy
KR101387937B1 (en) A Method for Controlling the Usage of Network Resources Using User Authentication
JP2004242222A (en) Method and apparatus of network control
JP2013134711A (en) Medical cloud system
US20220337591A1 (en) Controlling command execution in a computer network
WO2018001042A1 (en) Packet transmission method, device and system
TW201721498A (en) Wired area network user management system and method with security and function scalability wherein a network controller is used to control a programmable network switch, and divert a non-authenticated terminal device to an authentication server
WO2014106028A1 (en) Network security as a service using virtual secure channels
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
Cisco Configuring Network Security
CN109347822A (en) A kind of user accesses the reminding method and device of unauthorized resource
JP2017188763A (en) Network communication confirmation system and network communication confirmation method
Jia Campus Network Security Program Based on Snort Network Security Intrusion Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190219

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200224

Year of fee payment: 7