KR101540023B1 - Security device and method for managing authenticated user device - Google Patents
Security device and method for managing authenticated user device Download PDFInfo
- Publication number
- KR101540023B1 KR101540023B1 KR1020130136964A KR20130136964A KR101540023B1 KR 101540023 B1 KR101540023 B1 KR 101540023B1 KR 1020130136964 A KR1020130136964 A KR 1020130136964A KR 20130136964 A KR20130136964 A KR 20130136964A KR 101540023 B1 KR101540023 B1 KR 101540023B1
- Authority
- KR
- South Korea
- Prior art keywords
- user equipment
- address
- authenticated
- user
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 보안 장치의 인증된 사용자 기기 관리 방법에 관한 것이다. 본 발명의 인증된 사용자 기기 관리 방법은 네트워크에 접속 요청된 사용자 기기가 인증된 사용자 기기인지를 확인하는 단계, 및 사용자 기기가 인증된 사용자 기기인 경우, 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고, 인증된 사용자 기기인지 확인하는 단계는 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지와, 사용자 기기로부터 획득된 매체 접근 제어 주소 중 하나를 이용하여 인증된 사용자 기기인지를 확인하는 단계를 포함하고, 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.The present invention relates to a method for managing an authenticated user equipment of a security device. A method of managing an authenticated user equipment according to the present invention includes the steps of: confirming whether a user equipment requested to be connected to a network is an authenticated user equipment; and, when the user equipment is an authenticated user equipment, Wherein the step of verifying whether the device is an authenticated user equipment comprises verifying whether the device is an authenticated user device using one of an address determination protocol request / response message transmitted and received with the user device and a medium access control address acquired from the user device Wherein the user equipment is assigned an IP through a dynamic host configuration protocol.
Description
본 발명은 네트워크 시스템의 보안 장치에 관한 것으로서, 특히 인증된 사용자 기기를 관리할 수 있는 보안 장치 및 그것의 인증된 사용자 기기 관리 방법에 관한 것이다.The present invention relates to a security apparatus of a network system, and more particularly, to a security apparatus capable of managing an authenticated user apparatus and a method for managing the authenticated user apparatus.
일반적으로 네트워크 접속을 제어하는 보안 장치는 사용자 인증 기능을 갖는다. 이때, 보안 장치는 인터넷 프로토콜(Internet Protocol, 이하 'IP'라 칭하기로 함) 주소를 이용하여 사용자 기기의 네트워크 접근에 대한 허용 여부를 결정한다.Generally, the security device that controls the network connection has a user authentication function. At this time, the security device determines whether the user device is allowed to access the network by using an Internet Protocol (IP) address.
한편, 네트워크에 접속되는 사용자 기기는 IP 주소를 동적으로 할당받아 사용된다. IP 주소를 동적으로 할당하는 통신 규약의 하나로 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol, 이하 'DHCP'라 칭하기로 함)이 있다. 이러한, DHCP를 이용하면, 사용자 기기는 인터넷에 접속될 때, DHCP 기능을 갖는 네트워크 장비로부터 자동으로 IP 주소를 할당받을 수 있다.On the other hand, a user equipment connected to a network is used by dynamically allocating an IP address. One of protocols for dynamically allocating an IP address is a Dynamic Host Configuration Protocol (DHCP). When the DHCP is used, the user device can be automatically assigned an IP address from a network device having a DHCP function when the user device is connected to the Internet.
보안 장치가 관리하는 네트워크 상에 DHCP를 통해 IP 주소를 할당받는 사용자 기기들이 존재할 경우, 서로 다른 사용자 기기에게 동일한 IP 주소가 할당될 수 있다. 이러한 경우, 보안 장치가 관리하는 네트워크는 보안에 취약성이 존재한다. 예를 들면, 보안 장치가 관리하는 네트워크에 제 1 사용자 기기와 제 2 사용자 기기가 존재한다고 가정한다. 인증된 제 1 사용자 기기와 인증되지 않은 제 2 사용자 기기가 존재할 때, 제 1 사용자 기기만이 네트워크에 접속되어야 한다. 하지만, 제 1 사용자 기기가 인증을 받아서 네트워크를 사용하다가 전원이 오프된 후에, 제 2 사용자 기기의 전원이 켜질 수 있다. 이때, 제 2 사용자 기기는 DHCP를 통해 IP 주소를 할당받기 때문에, 제 2 사용자 기기에 제 1 사용자 기기에 할당되어 있던 IP 주소와 동일한 IP 주소가 할당될 수 있다.If there are user devices that are assigned an IP address through DHCP on a network managed by the security device, the same IP address can be assigned to different user devices. In such a case, a network managed by the security apparatus is vulnerable to security. For example, it is assumed that a first user device and a second user device exist in a network managed by the security device. When there is an authenticated first user device and an unauthenticated second user device, only the first user device has to be connected to the network. However, after the first user equipment is authenticated and the network is used, the power of the second user equipment may be turned on after the power is turned off. At this time, since the second user equipment is allocated an IP address through DHCP, the second user equipment can be assigned the same IP address as the IP address allocated to the first user equipment.
이와 같이, DHCP를 통해 IP 주소를 할당받는 사용자 기기들은 서로 다른 사용자 기기들에게 동일한 IP 주소를 할당받을 수 있다. 따라서, 기존의 보안 장치는 동일한 IP 주소를 갖는 사용자 기기들을 구분하여 인증되지 않은 사용자 기기에 대한 네트워크 접속을 차단하기 어렵다는 문제점이 있었다.In this manner, user devices that are assigned an IP address through DHCP can be assigned the same IP address to different user devices. Therefore, the existing security device has a problem in that it is difficult to distinguish the user devices having the same IP address and to block the network connection to the unauthenticated user device.
본 발명의 목적은 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있도록 하는 보안 장치 및 그것의 인증된 사용자 기기 관리 방법을 제공함에 있다.It is an object of the present invention to provide a security device and a method for managing the authenticated user device so as to allow a network connection only to an authenticated user device.
본 발명의 다른 목적은 동일한 아이피(IP)를 갖는 사용자 기기들 중에서 인증된 사용자 기기를 구분하여 네트워크 접속을 허용할 수 있도록 하는 보안 장치 및 그것의 사용자 기기 관리 방법을 제공함에 있다.It is another object of the present invention to provide a security device and a method of managing a user device of the same that allow authentication of an authorized user device among the user devices having the same IP.
본 발명에 따른 보안 장치의 인증된 사용자 기기 관리 방법에 있어서, 네트워크에 접속 요청된 사용자 기기가 상기 인증된 사용자 기기인지를 확인하는 단계, 및 상기 사용자 기기가 인증된 사용자 기기인 경우, 상기 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고, 상기 인증된 사용자 기기인지 확인하는 단계는 상기 사용자 기기로부터 획득된 매체 접근 제어 주소와 상기 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지 중 하나를 이용하여 상기 인증된 사용자 기기인지를 확인하는 단계를 포함하고, 상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.The method comprising the steps of: confirming whether the user equipment requested to be connected to the network is the authenticated user equipment; and if the user equipment is an authenticated user equipment, Wherein the step of verifying whether the authenticated user equipment is a connection to the network server comprises the steps of: receiving a MAC address obtained from the user equipment and an address determination protocol request / response message transmitted / received with the user equipment And determining whether the user equipment is the authenticated user equipment using one of the plurality of user equipments, wherein the user equipment is allocated an IP through a dynamic host configuration protocol.
이 실시예에 있어서, 상기 인증된 사용자 기기인지를 확인하는 단계는 상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 단계, 및 상기 추출된 매체 접근 주소가 인증된 매체 접근 주소에 대응되면, 상기 사용자 기기를 상기 인증된 사용자 기기로 확인하는 단계를 포함한다.In this embodiment, the step of verifying whether the authenticated user equipment is a step of parsing a packet transmitted from the user equipment and extracting a MAC address of the user equipment, And if the address corresponds to the media access address, confirming the user equipment with the authenticated user equipment.
이 실시예에 있어서, 상기 매체 접근 제어 주소를 추출하는 단계는 상기 매체 접근 제어 주소는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 추출하는 단계를 포함한다.In this embodiment, the step of extracting the medium access control address includes extracting the medium access control address from the source address included in the Ethernet header through the packet parsing.
이 실시예에 있어서, 상기 인증된 사용자 기기인지 확인하는 단계는 상기 주소 결정 프로토콜 요청 메시지를 상기 인증된 사용자 기기로 전송하는 단계, 및 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신을 통해 상기 인증된 사용자 기기의 상태가 얼라이브 상태임을 확인하는 단계를 포함한다.In this embodiment, the step of verifying whether the user equipment is authenticated may comprise: transmitting the address determination protocol request message to the authenticated user equipment; and transmitting the address determination protocol response message to the address determination protocol request message And confirming that the authenticated user equipment is in an alive state through reception from the authenticated user equipment.
이 실시예에 있어서, 상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 한다.In this embodiment, the address determination protocol request message is transmitted at intervals of a predetermined time period.
본 발명에 따른 보안 장치는 네트워크에 접속 요청된 사용자 기기로부터 사용자 상태 정보를 추출하는 사용자 상태 정보 추출부, 상기 사용자 상태 정보에 근거하여 상기 사용자 기기가 인증된 사용자 기기임을 확인하는 사용자 기기 인증부, 및 상기 사용자 기기가 인증된 사용자 기기이면 네트워크 서버로의 접속을 허용하는 네트워크 연결부를 포함하고, 상기 사용자 상태 정보는 상기 사용자 기기의 매체 접근 제어 주소 정보와 상기 사용자 기기와의 주소 결정 프로토콜 요청/응답 메시지의 송수신 동작에 대한 정보인 것을 특징으로 하고, 상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.A security device according to the present invention includes a user state information extracting unit for extracting user state information from a user device requested to be connected to a network, a user device authentication unit for verifying that the user device is an authenticated user device based on the user state information, And a network connection unit for allowing connection to a network server if the user equipment is an authenticated user equipment, wherein the user status information includes at least one of media access control address information of the user equipment and an address determination protocol request / response And information about a transmission / reception operation of a message, wherein the user equipment is allocated an IP through a dynamic host configuration protocol.
이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 것을 특징으로 한다.In this embodiment, the user state information extracting unit extracts a medium access control address of the user equipment by parsing a packet transmitted from the user equipment.
이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 상기 매체 접근 제어 주소를 추출하는 것을 특징으로 한다.In this embodiment, the user state information extracting unit extracts the MAC address from the source address included in the Ethernet header through the packet parsing.
이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 추출된 매체 접근 제어 주소가 인증되어 있는 매체 접근 제어 주소에 대응되면, 상기 사용자 기기를 인증된 사용자 기기로 확인하는 것을 특징으로 한다.In this embodiment, if the extracted MAC access control address corresponds to an authenticated MAC access control address, the user equipment authentication unit identifies the user equipment as an authenticated user equipment.
이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 인증된 매체 접근 제어 주소를 갖는 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit controls the network connection unit to allow the user equipment having the authenticated MAC access control address to access the network.
이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 주소 결정 프로토콜 요청 메시지를 인증된 사용자 기기로 전송하고, 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신하여 상기 인증된 사용자 기기의 얼라이브 상태를 확인하는 것을 특징으로 한다.In this embodiment, the user state information extraction unit transmits the address determination protocol request message to the authenticated user equipment, receives the address determination protocol response message for the address determination protocol request message from the authenticated user equipment And an alive state of the authenticated user equipment is confirmed.
이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 한다.In this embodiment, the user state information extracting unit is characterized in that the address determination protocol request message is transmitted at intervals of a predetermined time period.
이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit controls the network connection unit to allow network connection of the authenticated user equipment in the alive state.
이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 사용자 기기를 외부의 인증 서버를 통해 인증하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit authenticates the user equipment through an external authentication server.
본 발명의 보안 장치는 사용자 기기의 매체 접근 제어 주소 또는 주소 결정 프로토콜 요청/응답 메시지의 송수신을 이용하여 인증된 사용자 기기를 구분함으로써, 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있다. 또한, 동적 호스트 설정 프로토콜 등을 사용하는 네트워크 환경에서 동일한 아이피를 갖는 사용자 기기들이 존재할 때, 인증된 사용자 기기를 구분하여 네트워크 접속을 허용할 수 있다.The security device of the present invention can allow network access only to authenticated user devices by distinguishing authenticated user devices using the media access control address of the user device or sending / receiving of the address determination protocol request / response message. Also, when there are user equipments having the same IP in a network environment using a dynamic host setting protocol or the like, the authenticated user equipments can be discriminated to allow network access.
도 1은 본 발명의 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도,
도 2는 도 1에서 사용자 기기로부터 전송되는 패킷 구조를 예시적으로 도시한 도면,
도 3은 본 발명의 다른 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도, 및
도 4는 본 발명의 실시예에 따른 보안 장치를 도시한 도면이다.1 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to an embodiment of the present invention;
FIG. 2 is an exemplary diagram illustrating a packet structure transmitted from a user equipment in FIG. 1;
3 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to another embodiment of the present invention, and Fig.
4 is a diagram illustrating a security device according to an embodiment of the present invention.
이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, only parts necessary for understanding the operation according to the present invention will be described, and descriptions of other parts will be omitted in order to avoid obscuring the gist of the present invention.
본 발명은 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있도록 하는 보안 장치를 제공한다.The present invention provides a security device that allows network access only to authenticated user devices.
하기에서, 보안 장치에 의해 관리되는 사용자 기기들은 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol, 이하 'DHCP'라 칭하기로 함)을 통해 인터넷 프로토콜(Internet Protocol, 이하 'IP'라 칭하기로 함) 주소를 할당받는 것을 기준으로 설명한다. 이는 설명의 편의를 위한 것으로, 본 발명에서 제안된 보안 장치는 DHCP뿐만 아니라 하나의 네트워크 시스템에서 동일 IP들을 서로 다른 사용자 기기에서 할당받아 사용하는 경우에도 이용될 수 있다.Hereinafter, the user equipment managed by the security device transmits an Internet Protocol (IP) address through a Dynamic Host Configuration Protocol (DHCP) It is based on the allocation. This is for convenience of explanation, and the security apparatus proposed in the present invention can be used not only in DHCP but also in the case where the same IPs are allocated to different user equipments in one network system and used.
도 1은 본 발명의 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도이다.1 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to an embodiment of the present invention.
도 1을 참조하면, 네트워크 시스템은 보안 장치(110), 사용자 기기들(120, 130), 및 네트워크 서버(140)를 포함한다.Referring to FIG. 1, a network system includes a
사용자 기기들(120, 130)은 네트워크 서버(140)를 통해 네트워크에 접속된다. 이때, 보안 장치(110)는 네트워크 서버(140)로 인증된 사용자 기기에 대해서만 접속을 허용한다. 이를 위해, 보안 장치(110)는 네트워크 서버(140)로의 접속을 요청하는 사용자 기기들에 대한 인증 절차를 수행하거나 인증 여부를 확인한다.The
한편, 네트워크 시스템은 인증 서버(150)를 추가로 포함할 수 있다. 인증 서버(150)는 보안 장치(110)에서 사용자 기기의 인증 절차 또는 인증 여부 확인 등을 위한 인증 기능을 갖는다. 이를 위해, 인증 서버(150)는 인증된 사용자 기기들에 대한 정보를 저장할 수 있다. 만약, 보안 장치(110)가 인증 서버(150)의 기능을 포함할 경우, 인증 서버(150)는 존재하지 않을 수도 있다.Meanwhile, the network system may further include an
다음으로, 네트워크 시스템의 보안 장치(110)에서 인증된 사용자 기기의 관리 동작을 설명하기로 한다.Next, the management operation of the authenticated user equipment in the
네트워크 서버(140)는 네트워크에 접속되는 제 1 사용자 기기(120)에 IP 주소를 할당한다(101단계). 여기서, 할당되는 IP 주소는 설명의 편의를 위하여 '1.2.3.4'라 가정한다.The
제 1 사용자 기기(120)는 보안 장치(110)로 인증을 받기 위해 인증 요청을 한다(103단계). 즉, 제 1 사용자 기기(120)는 네트워크(네트워크 서버(140))에 접속 권한을 획득하기 위해 인증 요청을 한다.The
보안 장치(110)는 제 1 사용자 기기(120)로부터의 인증 요청에 따라 제 1 사용자 기기(120)의 인증 절차를 수행한다(105단계). 보안 장치(110)는 내부에 인증 기능을 가지고 있는 경우, 보안 장치(110)의 내부에서 인증 절차를 수행한다. 하지만, 보안 장치(110)의 외부에 위치한 인증 서버(150)에 접속하여 제 1 사용자 기기(120)의 인증을 할 수도 있다. 이와 같은, 인증 절차에서 보안 장치(110)는 제 1 사용자 기기(120)의 매체 접근 제어(MAC: Medium Access Control) 주소를 획득하고, 매체 접근 주소를 이용하여 제 1 사용자 기기(120)를 인증한다.The
보안 장치(110)는 제 1 사용자 기기(120)에 대한 인증이 완료되면, 제 1 사용자 기기(120)에게 인증 허가를 할 수 있다(107단계).When the authentication of the
제 1 사용자 기기(120)는 인증 허가를 받으면, 패킷(109)을 전송한다(109단계). 여기서, 패킷에는 제 1 사용자 기기(120)의 매체 접근 제어 주소가 포함되어 있다. 예를 들어, 매체 접근 제어 주소는 'aaaa'라 가정한다.When the
보안 장치(110)는 전송된 패킷을 파싱하여 인증된 사용자 기기의 패킷인지 확인한다. 보안 장치(110)는 제 1 사용자 기기(120)의 매체 접근 제어 주소를 이용하여 인증 절차를 완료하였다. 따라서, 보안 장치(110)는 파싱된 패킷으로부터 매체 접근 제어 주소를 추출한다. 보안 장치(110)는 추출된 매체 접근 제어 주소를 이용하여 인증된 사용자 기기들의 매체 접근 주소들과 비교한다.The
이를 통해, 보안 장치(110)는 추출된 제 1 사용자 기기(120)의 매체 접근 제어 주소를 이용하여 인증된 사용자 기기인지 확인할 수 있다(111단계). 이때, 보안 장치(110)는 제 1 사용자 기기(120)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the
보안 장치(110)는 패킷 파싱을 통해 추출된 매체 접근 제어 주소가 인증 완료된 제 1 사용자 기기(120)의 매체 접근 제어 주소를 포함한 패킷임을 확인하면, 네트워크 서버(140)로의 접속을 허용한다(113단계). 즉, 인증된 제 1 사용자 기기(120)의 네트워크 접속은 허용된다.When the
다음으로, 인증된 제 1 사용자 기기(120)가 네트워크 사용 중에 전원이 오프(OFF)될 수 있다. 이때, 제 2 사용자 기기(130)가 전원이 온(ON) 동작하게 되면, 제 1 사용자 기기(120)와 동일한 IP 주소(일예로, '1.2.3.4')가 할당될 수 있다. 이와 같이, 제 2 사용자 기기(130)가 제 1 사용자 기기(120)와 동일한 IP 주소가 할당되는 경우를 기준으로 살펴보기로 한다.Next, the authenticated
네트워크 서버(140)는 네트워크에 접속되는 제 2 사용자 기기(130)로 IP 주소(일예로, '1.2.3.4')를 할당한다(115단계).The
제 2 사용자 기기(130)는 IP 주소를 할당받고, 패킷을 전송한다(117단계). 여기서, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기로써, 제 1 사용자 기기(120)와 동일한 IP 주소인 '1.2.3.4'를 할당받는다. 또한, 패킷에는 제 2 사용자 기기(130)의 매체 접근 제어 주소가 포함되어 있다. 예를 들어, 매체 접근 제어 주소는 'bbbb'라 가정한다.The
보안 장치(110)는 전송된 패킷을 파싱(parsing)하여 인증된 사용자 기기의 패킷인지 확인한다. 이를 위해, 보안 장치(110)는 파싱된 패킷으로부터 매체 접근 제어 주소를 추출한다. 보안 장치(110)는 추출된 매체 접근 제어 주소를 이용하여 인증된 사용자 기기들의 매체 접근 주소들과 비교한다. 하지만, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기이므로, 제 2 사용자 기기(130)의 매체 접근 제어 주소는 인증된 사용자 기기들의 매체 접근 제어 주소들에 포함되지 않는다.The
이를 통해, 보안 장치(110)는 제 2 사용자 기기(130)에 대해 인증된 사용자 기기 확인을 실패한다(119단계). 이때, 보안 장치(110)는 제 2 사용자 기기(130)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the
보안 장치(110)는 패킷 파싱을 통해 추출된 매체 접근 제어 주소가 인증되지 않은 제 2 사용자 기기(130)의 패킷임을 확인하면, 네트워크 서버(140)로의 접속을 차단한다(121단계). 즉, 인증되지 않은 제 2 사용자 기기(130)의 네트워크 접속이 차단된다.When the
이를 통해, 본 발명에서 제안된 보안 장치(110)는 매체 접근 주소를 이용하여 인증된 사용자 기기를 구분한다. 이를 통해, 동일한 IP 주소를 갖는 사용자 기기들이 네트워크에 접속되더라도, 보안 장치(110)는 매체 접근 제어 주소를 이용하여 사용자 기기들을 구분할 수 있다. 이를 통해, 보안 장치(110)는 인증된 사용자 기기(일예로, 제 1 사용자 기기(120))에 대해서만 네트워크 접속을 허용할 수 있다. 이를 통해, 동일하지 않은 시점에 동일한 IP가 서로 다른 사용자 기기에 할당되더라도, 보안 장치(110)는 의도하지 않은 사용자에 의한 네트워크 접근이 가능할 수 있는 보안 취약성을 해결할 수 있다.Accordingly, the
하기에서는 패킷 파싱에 따른 매체 접근 제어 주소의 추출 위치를 설명하기 위한 프레임을 설명한다.A frame for explaining the extraction position of the MAC address according to the packet parsing will be described below.
도 2는 도 1에서 사용자 기기로부터 전송되는 프레임을 예시적으로 도시한 도면이다.2 is a diagram exemplarily showing a frame transmitted from a user equipment in FIG.
프레임(200)은 프리앰블(Preamble)(201), 에스에프디(Start of Frame Delimiter, 이하 'SFD'라 칭하기로 함)(203), 목적지 주소(Destination Address)(205), 소스 주소(Source Address)(207), 타입(이하 'Type'라 칭하기로 함)(209), 데이터(Data)(211), 및 프레임 체크 시퀀스(Frame Check Sequence, 이하 'FCS'라 칭하기로 함)(213)를 포함한다.The
프리앰블(201)은 송신측과 수신측의 송수신 속도를 일치시키기 위해 전송되는 정보이다. 일예로, 프리앰블(201)은 '10101010'이 7번 연속하여 반복되며, 56비트(bit), 즉 7바이트(byte)로 구성될 수 있다.The
에스에프디(203)는 프레임의 비트열에서 바이트 단위를 식별하는 바이트 동기이다. 에스에프디(203)는 정상적인 프레임이 시작되는 것을 나타내는 프레임 동기로서 '10101011'의 8비트, 즉 1바이트로 구성될 수 있다.The S /
목적지 주소(205)는 목적지의 주소를 나타내며 6바이트로 구성될 수 있다. 예를 들어, 목적지 주소의 첫 번째 비트가 '0'이면 하나의 목적지를 나타내고, 첫 번째 비트가 '1'이면 멀티캐스트를 나타내고, 모든 비트가 '1'이면 브로드캐스트를 나타낸다.The
소스 주소(207)는 출발지의 주소를 나타내며 6바이트로 구성될 수 있다.The
타입(209)은 길이(Length)로 표현되기도 하며, 데이터(211)가 포함된 영역의 길이를 나타낸다. 타입(209)은 2바이트로 구성될 수 있다.The
데이터(211)는 전송하고자 하는 데이터가 포함되며, 최소 길이인 46바이트보다 작으면, 나머지 영역은 패드(pad), 즉 '0'으로 채워진다. 데이터(211)는 46바이트부터 1500바이트로 구성될 수 있다.The
프레임 체크 시퀀스(213)는 프레임의 에러를 검출하기 위한 것으로, 일예로 4바이트로 구성될 수 있다.The
여기서, 목적지 어드레스(205), 소스 어드레스(207), 및 타입(209)은 이더넷 헤더(Ethernet Header)에 해당한다.Here, the
본 발명의 보안 장치(110)는 패킷 파싱을 통해, 프레임(200)에 표기된 위치(210)에서 소스 어드레스(207)를 통해 사용자 기기의 매체 접근 제어(MAC) 주소를 획득할 수 있다. 여기서, 매체 접근 제어 주소는 제 2 계층(L2)의 주소이다.The
도 3은 본 발명의 다른 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도이다.3 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to another embodiment of the present invention.
도 3을 참조하면, 네트워크 시스템은 보안 장치(110), 사용자 기기들(120, 130), 및 네트워크 서버(140)를 포함한다.Referring to FIG. 3, the network system includes a
사용자 기기들(120, 130)은 네트워크 서버(140)를 통해 네트워크에 접속된다. 이때, 보안 장치(110)는 네트워크 서버(140)로 인증된 사용자 기기에 대해서만 접속을 허용한다. 이를 위해, 보안 장치(110)는 네트워크 서버(140)로의 접속을 요청하는 사용자 기기들에 대한 인증 절차를 수행하거나 인증 여부를 확인한다.The
한편, 네트워크 시스템은 인증 서버(150)를 추가로 포함할 수 있다. 인증 서버(150)는 보안 장치(110)에서 사용자 기기의 인증 절차 또는 인증 여부 확인 등을 위한 인증 기능을 갖는다. 이를 위해, 인증 서버(150)는 인증된 사용자 기기들에 대한 정보를 저장할 수 있다. 만약, 보안 장치(110)가 인증 서버(150)의 기능을 포함할 경우, 인증 서버(150)는 존재하지 않을 수도 있다.Meanwhile, the network system may further include an
다음으로, 네트워크 시스템의 보안 장치(110)에서 인증된 사용자 기기의 관리 동작을 설명하기로 한다.Next, the management operation of the authenticated user equipment in the
네트워크 서버(140)는 네트워크에 접속되는 제 1 사용자 기기(120)에 IP 주소를 할당한다(301단계). 여기서, 할당되는 IP 주소는 설명의 편의를 위하여 '1.2.3.4'라 가정한다.The
제 1 사용자 기기(120)는 보안 장치(110)로 인증을 받기 위해 인증 요청을 한다(303단계). 즉, 제 1 사용자 기기(120)는 네트워크(네트워크 서버(140))에 접속 권한을 획득하기 위해 인증 요청을 한다.The
보안 장치(110)는 제 1 사용자 기기(120)로부터의 인증 요청에 따라 제 1 사용자 기기(120)의 인증 절차를 수행한다(305단계). 보안 장치(110)는 내부에 인증 기능을 가지고 있는 경우, 보안 장치(110)의 내부에서 인증 절차를 수행한다. 하지만, 보안 장치(110)의 외부에 위치한 인증 서버(150)에 접속하여 제 1 사용자 기기(120)의 인증을 할 수도 있다.The
보안 장치(110)는 제 1 사용자 기기(120)에 대한 인증이 완료되면, 제 1 사용자 기기(120)에게 인증 허가를 할 수 있다(307단계). When the authentication of the
보안 장치(110)는 제 1 사용자 기기(120)의 상태 정보, 일예로, 얼라이브(일예로, 전원 온) 상태 정보 또는 데드(일예로, 전원 오프) 상태 정보를 이용하여 네트워크 사용을 제어할 수 있다.The
이를 위해, 보안 장치(110)는 제 1 사용자 기기(120)의 상태 정보를 확인하기 위하여 주소 결정 프로토콜(Address Resolution Protocol, 이하 'ARP'라 칭하기로 함) 요청 메시지를 제 1 사용자 기기(120)로 전송한다(309단계).To this end, the
제 1 사용자 기기(120)는 ARP 요청 메시지를 수신하면, ARP 요청 메시지에 대응되는 ARP 응답 메시지를 보안 장치(110)로 전송한다(311단계).Upon receiving the ARP request message, the
이와 같이, 보안 장치(110)는 ARP 요청 메시지의 송신과 ARP 응답 메시지의 수신에 의해 제 1 사용자 기기(120)의 인증된 상태를 확인할 수 있다(313단계). 보안 장치(110)는 ARP 응답 메시지를 수신하면, 인증된 제 1 사용자 기기(120)의 상태를 얼라이브(Alive) 상태로 판단할 수 있다. 이때, 보안 장치(110)는 제 1 사용자 기기(120)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.In this manner, the
또한, 309단계의 ARP 요청 메시지는 제 1 사용자 기기(120)의 상태 정보 확인을 위해 보안 장치(110)에서 일정 주기를 간격으로 전송될 수 있다. 여기서, ARP 메시지의 전송 주기는 시스템 상황에 따라 가변되어 설정될 수 있으며, 예를 들어 10초~10분의 범위 내에서 설정될 수 있다. 보안 장치(110)는 ARP 요청 메시지에 대한 ARP 응답 메시지가 수신되면, 제 1 사용자 기기(120)는 얼라이브 상태에 있음을 판단할 수 있다.In addition, the ARP request message in step 309 may be transmitted at intervals of a predetermined period in the
보안 장치(110)는 ARP 메시지(일예로, ARP 요청 메시지와 ARP 응답 메시지)의 송수신을 통해 얼라이브 상태의 제 1 사용자 기기(120)에 대해 네트워크 서버(140)로의 접속을 허용한다(113단계). 즉, 인증된 제 1 사용자 기기(120)의 네트워크 접속은 허용된다.The
이와 같이, 보안 장치(110)는 일정 주기를 간격으로 ARP 요청 메시지를 제 1 사용자 기기(120)로 전송한다(317단계).In this manner, the
다음으로, 제 1 사용자 기기(120)가 인증을 받은 이후, 네트워크 사용 중에 얼라이브 상태에서 데드 상태로 전환될 수 있다(319단계). 이때, 보안 장치(110)는 319단계의 ARP 요청 메시지에 대응되는 ARP 응답 메시지를 수신하지 못한다. 보안 장치(110)는 ARP 응답 메시지의 미수신에 따라 제 1 사용자 기기(120)의 상태 정보를 데드 상태로 전환한다.Next, after the
한편, 네트워크 서버(140)는 제 2 사용자 기기(130)로 제 1 사용자 기기(120)와 동일한 IP 주소(일예로, '1.2.3.4')를 할당할 수 있다. 이와 같이, 제 2 사용자 기기(130)가 제 1 사용자 기기(120)와 동일한 IP 주소가 할당되는 경우를 기준으로 살펴보기로 한다.Meanwhile, the
네트워크 서버(140)는 네트워크에 접속되는 제 2 사용자 기기(130)로 IP 주소(일예로, '1.2.3.4')를 할당한다(321단계).The
제 2 사용자 기기(130)는 IP 주소를 할당받고, 네트워크 사용을 요청(일예로, 패킷 등을 전송)한다(323단계). 여기서, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기로써, 제 1 사용자 기기(120)와 동일한 IP 주소인 '1.2.3.4'를 할당받은 상태이다.The
보안 장치(110)는 기존에 할당된 IP주소인 '1.2.3.4'에 대응되는 인증된 제 1 사용자 기기(120)의 상태 정보를 데드 상태로 관리한다. 따라서, 보안 장치(110)는 제 1 사용자 기기(120)의 IP 주소와 동일한 제 2 사용자 기기(130)의 IP 주소를 인증되지 않은 사용자 기기의 네트워크 접근 요청으로 판단한다.The
이를 통해, 보안 장치(110)는 제 2 사용자 기기(130)에 대해 인증된 사용자 기기 확인을 실패한다(325단계). 이때, 보안 장치(110)는 제 2 사용자 기기(130)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the
보안 장치(110)는 데드 상태에 있는 IP 주소(1.2.3.4)를 갖는 제 2 사용자 기기(130)의 접속 요청에 대해 네트워크 서버(140)로의 접속을 차단한다(327단계). 즉, 인증되지 않은 제 2 사용자 기기(130)의 네트워크 접속이 차단된다.The
기존의 ARP는 동일한 네트워크 내에 연결된 기기의 IP 주소를 획득하는데 사용되는 통신 규약이다. 따라서, ARP는 IP 주소를 실제 네트워크 어댑터의 물리적 주소와 연관시킬 때 사용된다. 이와 같이, ARP에 사용되는 메시지(ARP 메시지)를 본 발명의 보안 장치(110)는 인증된 사용자 기기의 상태 확인을 위해 활용한다.Conventional ARP is a communication protocol used to obtain the IP address of a device connected in the same network. Therefore, ARP is used to associate the IP address with the physical address of the actual network adapter. As described above, the
이를 통해, 본 발명에서 제안된 보안 장치(110)는 인증된 사용자 기기에 대한 상태를 ARP 메시지(ARP 요청/응답 메시지)를 이용하여 주기적으로 확인한다. 즉, 동일한 IP 주소를 갖는 사용자 기기들이 네트워크에 접속되더라도, 보안 장치(110)는 인증된 사용자 기기들의 상태 정보 확인을 통해 네트워크 접속을 제어할 수 있다. 즉, 보안 장치(110)는 ARP 메시지를 통해 인증된 사용자 기기의 상태 정보가 얼라이브인 것을 확인하면 네트워크 접속을 허용할 수 있다. 따라서, 동일하지 않은 시점에 동일한 IP가 서로 다른 사용자 기기에 할당되더라도, 보안 장치(110)는 의도하지 않은 사용자에 의한 네트워크 접근이 가능할 수 있는 보안 취약성을 해결할 수 있다.Accordingly, the
도 4는 본 발명의 실시예에 따른 보안 장치를 도시한 도면이다.4 is a diagram illustrating a security device according to an embodiment of the present invention.
도 4를 참조하면, 보안 장치(110)는 사용자 상태 정보 추출부(111), 사용자 기기 인증부(113), 및 네트워크 연결부(115)를 포함한다.4, the
사용자 상태 정보 추출부(111)는 사용자 기기들에 연결된다. 일예로, 제 1 사용자 기기(120) 또는 제 2 사용자 기기(130)에 연결될 수 있다.The user state
사용자 상태 정보 추출부(111)는 인증 요청 또는 패킷 파싱에 따른 사용자 기기들의 매체 접근 제어 주소를 추출할 수 있다. 사용자 상태 정보 추출부(111)는 추출된 매체 접근 제어 주소를 사용자 기기 인증부(113)로 출력한다.The user state
또한, 사용자 상태 정보 추출부(111)는 인증된 사용자의 상태 정보를 확인하기 위한 ARP 메시지, 즉 ARP 요청 메시지를 생성할 수 있다. 이때, 사용자 상태 정보 추출부(111)는 ARP 응답 메시지가 수신되면, 일정 주기를 간격으로 ARP 요청 메시지를 인증된 사용자 기기로 전송한다. 이를 통해, 사용자 상태 정보 추출부(111)는 인증된 사용자 기기의 상태 정보를 확인할 수 있다.In addition, the user state
사용자 상태 정보 추출부(111)는 ARP 요청/응답 메시지를 송수신하면, 해당 사용자 기기의 상태를 얼라이브 상태로 판단한다. 하지만, 사용자 상태 정보 추출부(111)는 ARP 요청 메시지에 대응되는 ARP 응답 메시지가 수신되지 않으면, 해당 사용자 기기의 상태를 데드 상태로 판단한다. 사용자 상태 정보 추출부(111)는 사용자 기기의 얼라이브 상태 또는 데드 상태에 대한 상태 정보를 사용자 기기 인증부(113)로 출력한다.When the user state
사용자 상태 정보 추출부(111)는 인증된 사용자 기기의 확인을 위해 사용자 기기의 매체 접근 제어 주소와 상태 정보 중 하나를 사용자 기기 인증부(113)로 출력한다.The user state
사용자 기기 인증부(113)는 인증 기능을 포함할 경우, 인증 절차 수행을 위한 데이터를 저장하기 위한 메모리(미도시) 등을 이용할 수 있다. 사용자 기기 인증부(113)는 사용자 상태 정보 추출부(111)로부터 매체 접근 주소와 상태 정보 중 하나를 수신한다.When the user
첫 번째로, 매체 접근 제어 주소를 수신한 경우, 사용자 기기 인증부(113)는 매체 접근 제어 주소를 사용하여 사용자 인증을 수행할 수 있다. 이때, 사용자 기기 인증부(113)는 인증 완료된 사용자 기기의 매체 접근 제어 주소를 관리한다.First, when receiving the medium access control address, the user
이후, 사용자 기기 인증부(113)는 패킷 파싱에 의해 사용자 상태 정보 추출부(111)로부터 매체 접근 제어 주소를 수신하면, 인증 완료된 사용자 기기의 매체 접근 제어 주소들과 비교한다. 수신된 매체 접근 제어 주소가 인증 완료된 사용자 기기의 매체 접근 제어 주소들에 대응되면, 사용자 기기 인증부(113)는 해당 패킷을 전송한 사용자 기기의 네트워크 접속을 허용하도록 네트워크 연결부(115)를 제어한다.After receiving the MAC address from the user state
두 번째로, 상태 정보를 수신한 경우, 사용자 기기 인증부(113)는 인증된 사용자 기기의 상태를 확인할 수 있다. 즉, 사용자 기기 인증부(113)는 ARP 메시지를 통해 인증된 사용자 기기의 얼라이브 상태 또는 데드 상태의 정보를 확인할 수 있다. 이를 통해, 사용자 기기 인증부(113)는 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 네트워크 연결부(115)를 제어한다.Secondly, when the status information is received, the user
한편, 도 1과 도 3에서 설명된 바와 같이, 사용자 기기 인증부(113)는 인증 서버(150)를 이용하여 인증 절차를 수행할 수도 있다. 이를 위해, 사용자 기기 인증부(113)는 외부의 인증 서버(150)와 연결될 수 있다.1 and 3, the user
네트워크 연결부(115)는 사용자 기기 인증부(113)의 제어를 통해 인증된 사용자 기기를 확인할 수 있다. 또한, 네트워크 연결부(115)는 사용자 기기 인증부(113)의 제어에 의해 인증된 사용자 기기를 네트워크 서버(140)와 연결한다.The
이를 통해, 네트워크 연결부(115)는 인증된 사용자 기기들에 대해서만 네트워크 접속을 허용하고, 인증되지 않은 사용자 기기들의 네트워크 접속을 차단할 수 있다.In this way, the
본 발명에서 제안된 보안 장치는 IP 주소뿐만 아니라 매체 접근 제어 주소와 ARP 응답/요청 메시지를 이용하여 인증된 사용자 기기를 확인한다. 이를 통해, 동일한 IP가 서로 다른 사용자 기기에 할당되는 네트워크 환경에서도 보안 장치는 인증된 사용자 기기에 대해서만 네트워크에 접속되도록 할 수 있다.The security device proposed in the present invention identifies an authenticated user device using an IP address, a MAC address and an ARP response / request message. Thus, even in a network environment in which the same IP is allocated to different user equipments, the security device can be connected to the network only for authenticated user equipments.
한편, 본 발명의 사용자 기기는 일예로 개인 컴퓨터(PC: Personal), 노트북(notebook), 프린터(printer), 가전 제품 등과 같이 네트워크에 접속될 수 있는 모든 사용자 기기들을 포함할 수 있다.Meanwhile, the user device of the present invention may include all user devices that can be connected to a network, such as a personal computer (PC), a notebook, a printer, a home appliance, and the like.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made therein without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the equivalents of the claims of the present invention as well as the claims of the following.
110: 보안 장치 120, 130: 사용자 기기들
140: 네트워크 서버 150: 인증 서버
111: 사용자 상태 정보 추출부 113: 사용자 기기 인증부
115: 네트워크 연결부110:
140: network server 150: authentication server
111: User state information extracting unit 113: User device authentication unit
115: Network connection
Claims (14)
네트워크에 접속 요청된 사용자 기기가 상기 인증된 사용자 기기인지를 확인하는 단계; 및
상기 사용자 기기가 인증된 사용자 기기인 경우, 상기 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고,
상기 인증된 사용자 기기인지 확인하는 단계는
상기 사용자 기기로부터 획득된 매체 접근 제어 주소 및 상기 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지를 이용하여 상기 인증된 사용자 기기인지를 확인하는 단계를 포함하고,
상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받으며,
상기 인증된 사용자 기기인지 확인하는 단계는,
상기 주소 결정 프로토콜 요청 메시지를 상기 인증된 사용자 기기로 전송하는 단계; 및
상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신을 통해 상기 인증된 사용자 기기의 상태가 얼라이브 상태임을 확인하는 단계를 포함하고,
상기 사용자 기기에 대한 네트워크 서버로의 접속을 허용하는 단계는,
상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하는 단계를 포함하는 것을 특징으로 하는 인증된 사용자 기기 관리 방법.A method of managing an authenticated user device of a security device,
Confirming whether the user device requested to be connected to the network is the authenticated user device; And
Allowing access to a network server for the user equipment if the user equipment is an authenticated user equipment,
The step of verifying that the authenticated user equipment
Confirming whether the authenticated user equipment is the authenticated user equipment using the medium access control address obtained from the user equipment and the address determination protocol request / response message transmitted / received with the user equipment,
Wherein the user equipment is assigned an IP through a dynamic host configuration protocol,
Wherein authenticating the authenticated user equipment comprises:
Sending the address resolution protocol request message to the authenticated user equipment; And
And confirming that the status of the authenticated user equipment is in an alive state through receiving the address resolution protocol response message for the address resolution protocol request message from the authenticated user equipment,
Wherein allowing the user device to connect to a network server comprises:
Allowing the network connection of the authenticated user equipment in the alive state.
상기 인증된 사용자 기기인지를 확인하는 단계는
상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 단계; 및
상기 추출된 매체 접근 주소가 인증된 매체 접근 주소에 대응되면, 상기 사용자 기기를 상기 인증된 사용자 기기로 확인하는 단계를 포함하는 인증된 사용자 기기 관리 방법.The method according to claim 1,
The step of verifying that the authenticated user equipment is
Extracting a medium access control address of the user equipment by parsing a packet transmitted from the user equipment; And
And verifying the user device with the authenticated user device if the extracted media access address corresponds to the authenticated media access address.
상기 매체 접근 제어 주소를 추출하는 단계는
상기 매체 접근 제어 주소는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 추출하는 단계를 포함하는 인증된 사용자 기기 관리 방법.3. The method of claim 2,
The step of extracting the medium access control address
And extracting the MAC address from a source address included in an Ethernet header through the packet parsing.
상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 하는 인증된 사용자 기기 관리 방법.The method according to claim 1,
Wherein the address resolution protocol request message is transmitted at intervals of a predetermined time period.
상기 사용자 상태 정보에 근거하여 상기 사용자 기기가 인증된 사용자 기기임을 확인하는 사용자 기기 인증부; 및
상기 사용자 기기가 인증된 사용자 기기이면 네트워크 서버로의 접속을 허용하는 네트워크 연결부를 포함하고,
상기 사용자 상태 정보는 상기 사용자 기기의 매체 접근 제어 주소 정보 및 상기 사용자 기기와의 주소 결정 프로토콜 요청/응답 메시지의 송수신 동작에 대한 정보이고,
상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받으며,
상기 사용자 상태 정보 추출부는,
상기 주소 결정 프로토콜 요청 메시지를 인증된 사용자 기기로 전송하고, 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신하여 상기 인증된 사용자 기기의 얼라이브 상태를 확인하고,
상기 사용자 기기 인증부는,
상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 하는 보안 장치.A user state information extracting unit for extracting user state information from a user device requested to access the network;
A user device authentication unit for verifying that the user equipment is an authenticated user equipment based on the user state information; And
And a network connection unit for allowing connection to a network server if the user equipment is an authenticated user equipment,
Wherein the user state information is information on a medium access control address information of the user equipment and transmission / reception operations of an address determination protocol request / response message with the user equipment,
Wherein the user equipment is assigned an IP through a dynamic host configuration protocol,
The user state information extracting unit,
Transmitting the address determination protocol response message to the authenticated user equipment, receiving the address resolution protocol response message for the address resolution protocol request message from the authenticated user equipment and checking the alive status of the authenticated user equipment,
Wherein the user-
And controls the network connection unit to allow network connection of the authenticated user equipment in the alive state.
상기 사용자 상태 정보 추출부는
상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user state information extracting unit
And extracts a medium access control address of the user equipment by parsing a packet transmitted from the user equipment.
상기 사용자 상태 정보 추출부는
상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 상기 매체 접근 제어 주소를 추출하는 것을 특징으로 하는 보안 장치.8. The method of claim 7,
The user state information extracting unit
And extracts the medium access control address from the source address included in the Ethernet header through the packet parsing.
상기 사용자 기기 인증부는
상기 추출된 매체 접근 제어 주소가 인증되어 있는 매체 접근 제어 주소에 대응되면, 상기 사용자 기기를 인증된 사용자 기기로 확인하는 것을 특징으로 하는 보안 장치.8. The method of claim 7,
The user device authentication unit
And verifies the user equipment as an authenticated user equipment if the extracted MAC access control address corresponds to an authenticated MAC access control address.
상기 사용자 기기 인증부는
상기 인증된 매체 접근 제어 주소를 갖는 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 하는 보안 장치.10. The method of claim 9,
The user device authentication unit
And controls the network connection unit to allow the network connection of the user equipment having the authenticated MAC address.
상기 사용자 상태 정보 추출부는
상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user state information extracting unit
Wherein the address determination protocol request message is transmitted at intervals of a predetermined time period.
상기 사용자 기기 인증부는
상기 사용자 기기를 외부의 인증 서버를 통해 인증하는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user device authentication unit
And authenticates the user device via an external authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130136964A KR101540023B1 (en) | 2013-11-12 | 2013-11-12 | Security device and method for managing authenticated user device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130136964A KR101540023B1 (en) | 2013-11-12 | 2013-11-12 | Security device and method for managing authenticated user device |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150054485A KR20150054485A (en) | 2015-05-20 |
KR101540023B1 true KR101540023B1 (en) | 2015-07-29 |
Family
ID=53390626
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130136964A KR101540023B1 (en) | 2013-11-12 | 2013-11-12 | Security device and method for managing authenticated user device |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101540023B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592459B (en) * | 2015-07-09 | 2019-06-18 | 中国银联股份有限公司 | Safety certification device based on wireless communication |
WO2018160863A1 (en) | 2017-03-01 | 2018-09-07 | Apple Inc. | System access using a mobile device |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060024204A (en) * | 2004-09-13 | 2006-03-16 | 주식회사 케이티 | System and method for controlling internet service providing |
-
2013
- 2013-11-12 KR KR1020130136964A patent/KR101540023B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060024204A (en) * | 2004-09-13 | 2006-03-16 | 주식회사 케이티 | System and method for controlling internet service providing |
Also Published As
Publication number | Publication date |
---|---|
KR20150054485A (en) | 2015-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100906119B1 (en) | Distributed filesystem network security extension | |
KR101704569B1 (en) | Method, Apparatus and System For Controlling Dynamic Vehicle Security Communication Based on Ignition | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
WO2016180202A1 (en) | Method and device for secure communication | |
KR20120017070A (en) | Method and apparatus for authentication in passive optical network and passive optical network thereof | |
CN106464654B (en) | Method, device and system for acquiring configuration file | |
US8515996B2 (en) | Secure configuration of authentication servers | |
CN1585334A (en) | Server apparatus, and method of distributing a security policy in communication system | |
CN102571729A (en) | Internet protocol version (IPV)6 network access authentication method, device and system | |
US9438583B2 (en) | Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device | |
US20040196977A1 (en) | Conveying wireless encryption keys upon client device connecting to network in non-wireless manner | |
CN102624744B (en) | Authentication method, device and system of network device and network device | |
US20140161121A1 (en) | Method, System and Device for Authenticating IP Phone and Negotiating Voice Domain | |
KR20080071208A (en) | Software execution management device and method thereof | |
US9491625B2 (en) | Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof | |
CN116708416A (en) | Data transmission control method, system, control device and readable storage medium | |
CN115250203A (en) | Method and device for controlling equipment access and related products | |
KR101540023B1 (en) | Security device and method for managing authenticated user device | |
KR20190003256A (en) | Method and apparatus for vpn manegenment for ip camera | |
CN102075567B (en) | Authentication method, client, server, feedthrough server and authentication system | |
CN109120738B (en) | DHCP server and method for managing network internal equipment | |
CN105610667B (en) | The method and apparatus for establishing Virtual Private Network channel | |
CN111628960B (en) | Method and apparatus for connecting to network services on a private network | |
KR100670781B1 (en) | Method for assigning dynamic IP address in EPON-based Optical Access Network | |
JP2006197094A (en) | Communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |