KR101540023B1 - Security device and method for managing authenticated user device - Google Patents

Security device and method for managing authenticated user device Download PDF

Info

Publication number
KR101540023B1
KR101540023B1 KR1020130136964A KR20130136964A KR101540023B1 KR 101540023 B1 KR101540023 B1 KR 101540023B1 KR 1020130136964 A KR1020130136964 A KR 1020130136964A KR 20130136964 A KR20130136964 A KR 20130136964A KR 101540023 B1 KR101540023 B1 KR 101540023B1
Authority
KR
South Korea
Prior art keywords
user equipment
address
authenticated
user
network
Prior art date
Application number
KR1020130136964A
Other languages
Korean (ko)
Other versions
KR20150054485A (en
Inventor
임진우
어진철
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130136964A priority Critical patent/KR101540023B1/en
Publication of KR20150054485A publication Critical patent/KR20150054485A/en
Application granted granted Critical
Publication of KR101540023B1 publication Critical patent/KR101540023B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안 장치의 인증된 사용자 기기 관리 방법에 관한 것이다. 본 발명의 인증된 사용자 기기 관리 방법은 네트워크에 접속 요청된 사용자 기기가 인증된 사용자 기기인지를 확인하는 단계, 및 사용자 기기가 인증된 사용자 기기인 경우, 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고, 인증된 사용자 기기인지 확인하는 단계는 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지와, 사용자 기기로부터 획득된 매체 접근 제어 주소 중 하나를 이용하여 인증된 사용자 기기인지를 확인하는 단계를 포함하고, 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.The present invention relates to a method for managing an authenticated user equipment of a security device. A method of managing an authenticated user equipment according to the present invention includes the steps of: confirming whether a user equipment requested to be connected to a network is an authenticated user equipment; and, when the user equipment is an authenticated user equipment, Wherein the step of verifying whether the device is an authenticated user equipment comprises verifying whether the device is an authenticated user device using one of an address determination protocol request / response message transmitted and received with the user device and a medium access control address acquired from the user device Wherein the user equipment is assigned an IP through a dynamic host configuration protocol.

Description

보안 장치 및 그것의 인증된 사용자 기기 관리 방법{SECURITY DEVICE AND METHOD FOR MANAGING AUTHENTICATED USER DEVICE}[0001] DESCRIPTION [0002] SECURITY DEVICE AND METHOD FOR MANAGING AUTHENTICATED USER DEVICE [0002]

본 발명은 네트워크 시스템의 보안 장치에 관한 것으로서, 특히 인증된 사용자 기기를 관리할 수 있는 보안 장치 및 그것의 인증된 사용자 기기 관리 방법에 관한 것이다.The present invention relates to a security apparatus of a network system, and more particularly, to a security apparatus capable of managing an authenticated user apparatus and a method for managing the authenticated user apparatus.

일반적으로 네트워크 접속을 제어하는 보안 장치는 사용자 인증 기능을 갖는다. 이때, 보안 장치는 인터넷 프로토콜(Internet Protocol, 이하 'IP'라 칭하기로 함) 주소를 이용하여 사용자 기기의 네트워크 접근에 대한 허용 여부를 결정한다.Generally, the security device that controls the network connection has a user authentication function. At this time, the security device determines whether the user device is allowed to access the network by using an Internet Protocol (IP) address.

한편, 네트워크에 접속되는 사용자 기기는 IP 주소를 동적으로 할당받아 사용된다. IP 주소를 동적으로 할당하는 통신 규약의 하나로 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol, 이하 'DHCP'라 칭하기로 함)이 있다. 이러한, DHCP를 이용하면, 사용자 기기는 인터넷에 접속될 때, DHCP 기능을 갖는 네트워크 장비로부터 자동으로 IP 주소를 할당받을 수 있다.On the other hand, a user equipment connected to a network is used by dynamically allocating an IP address. One of protocols for dynamically allocating an IP address is a Dynamic Host Configuration Protocol (DHCP). When the DHCP is used, the user device can be automatically assigned an IP address from a network device having a DHCP function when the user device is connected to the Internet.

보안 장치가 관리하는 네트워크 상에 DHCP를 통해 IP 주소를 할당받는 사용자 기기들이 존재할 경우, 서로 다른 사용자 기기에게 동일한 IP 주소가 할당될 수 있다. 이러한 경우, 보안 장치가 관리하는 네트워크는 보안에 취약성이 존재한다. 예를 들면, 보안 장치가 관리하는 네트워크에 제 1 사용자 기기와 제 2 사용자 기기가 존재한다고 가정한다. 인증된 제 1 사용자 기기와 인증되지 않은 제 2 사용자 기기가 존재할 때, 제 1 사용자 기기만이 네트워크에 접속되어야 한다. 하지만, 제 1 사용자 기기가 인증을 받아서 네트워크를 사용하다가 전원이 오프된 후에, 제 2 사용자 기기의 전원이 켜질 수 있다. 이때, 제 2 사용자 기기는 DHCP를 통해 IP 주소를 할당받기 때문에, 제 2 사용자 기기에 제 1 사용자 기기에 할당되어 있던 IP 주소와 동일한 IP 주소가 할당될 수 있다.If there are user devices that are assigned an IP address through DHCP on a network managed by the security device, the same IP address can be assigned to different user devices. In such a case, a network managed by the security apparatus is vulnerable to security. For example, it is assumed that a first user device and a second user device exist in a network managed by the security device. When there is an authenticated first user device and an unauthenticated second user device, only the first user device has to be connected to the network. However, after the first user equipment is authenticated and the network is used, the power of the second user equipment may be turned on after the power is turned off. At this time, since the second user equipment is allocated an IP address through DHCP, the second user equipment can be assigned the same IP address as the IP address allocated to the first user equipment.

이와 같이, DHCP를 통해 IP 주소를 할당받는 사용자 기기들은 서로 다른 사용자 기기들에게 동일한 IP 주소를 할당받을 수 있다. 따라서, 기존의 보안 장치는 동일한 IP 주소를 갖는 사용자 기기들을 구분하여 인증되지 않은 사용자 기기에 대한 네트워크 접속을 차단하기 어렵다는 문제점이 있었다.In this manner, user devices that are assigned an IP address through DHCP can be assigned the same IP address to different user devices. Therefore, the existing security device has a problem in that it is difficult to distinguish the user devices having the same IP address and to block the network connection to the unauthenticated user device.

본 발명의 목적은 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있도록 하는 보안 장치 및 그것의 인증된 사용자 기기 관리 방법을 제공함에 있다.It is an object of the present invention to provide a security device and a method for managing the authenticated user device so as to allow a network connection only to an authenticated user device.

본 발명의 다른 목적은 동일한 아이피(IP)를 갖는 사용자 기기들 중에서 인증된 사용자 기기를 구분하여 네트워크 접속을 허용할 수 있도록 하는 보안 장치 및 그것의 사용자 기기 관리 방법을 제공함에 있다.It is another object of the present invention to provide a security device and a method of managing a user device of the same that allow authentication of an authorized user device among the user devices having the same IP.

본 발명에 따른 보안 장치의 인증된 사용자 기기 관리 방법에 있어서, 네트워크에 접속 요청된 사용자 기기가 상기 인증된 사용자 기기인지를 확인하는 단계, 및 상기 사용자 기기가 인증된 사용자 기기인 경우, 상기 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고, 상기 인증된 사용자 기기인지 확인하는 단계는 상기 사용자 기기로부터 획득된 매체 접근 제어 주소와 상기 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지 중 하나를 이용하여 상기 인증된 사용자 기기인지를 확인하는 단계를 포함하고, 상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.The method comprising the steps of: confirming whether the user equipment requested to be connected to the network is the authenticated user equipment; and if the user equipment is an authenticated user equipment, Wherein the step of verifying whether the authenticated user equipment is a connection to the network server comprises the steps of: receiving a MAC address obtained from the user equipment and an address determination protocol request / response message transmitted / received with the user equipment And determining whether the user equipment is the authenticated user equipment using one of the plurality of user equipments, wherein the user equipment is allocated an IP through a dynamic host configuration protocol.

이 실시예에 있어서, 상기 인증된 사용자 기기인지를 확인하는 단계는 상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 단계, 및 상기 추출된 매체 접근 주소가 인증된 매체 접근 주소에 대응되면, 상기 사용자 기기를 상기 인증된 사용자 기기로 확인하는 단계를 포함한다.In this embodiment, the step of verifying whether the authenticated user equipment is a step of parsing a packet transmitted from the user equipment and extracting a MAC address of the user equipment, And if the address corresponds to the media access address, confirming the user equipment with the authenticated user equipment.

이 실시예에 있어서, 상기 매체 접근 제어 주소를 추출하는 단계는 상기 매체 접근 제어 주소는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 추출하는 단계를 포함한다.In this embodiment, the step of extracting the medium access control address includes extracting the medium access control address from the source address included in the Ethernet header through the packet parsing.

이 실시예에 있어서, 상기 인증된 사용자 기기인지 확인하는 단계는 상기 주소 결정 프로토콜 요청 메시지를 상기 인증된 사용자 기기로 전송하는 단계, 및 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신을 통해 상기 인증된 사용자 기기의 상태가 얼라이브 상태임을 확인하는 단계를 포함한다.In this embodiment, the step of verifying whether the user equipment is authenticated may comprise: transmitting the address determination protocol request message to the authenticated user equipment; and transmitting the address determination protocol response message to the address determination protocol request message And confirming that the authenticated user equipment is in an alive state through reception from the authenticated user equipment.

이 실시예에 있어서, 상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 한다.In this embodiment, the address determination protocol request message is transmitted at intervals of a predetermined time period.

본 발명에 따른 보안 장치는 네트워크에 접속 요청된 사용자 기기로부터 사용자 상태 정보를 추출하는 사용자 상태 정보 추출부, 상기 사용자 상태 정보에 근거하여 상기 사용자 기기가 인증된 사용자 기기임을 확인하는 사용자 기기 인증부, 및 상기 사용자 기기가 인증된 사용자 기기이면 네트워크 서버로의 접속을 허용하는 네트워크 연결부를 포함하고, 상기 사용자 상태 정보는 상기 사용자 기기의 매체 접근 제어 주소 정보와 상기 사용자 기기와의 주소 결정 프로토콜 요청/응답 메시지의 송수신 동작에 대한 정보인 것을 특징으로 하고, 상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받는 것을 특징으로 한다.A security device according to the present invention includes a user state information extracting unit for extracting user state information from a user device requested to be connected to a network, a user device authentication unit for verifying that the user device is an authenticated user device based on the user state information, And a network connection unit for allowing connection to a network server if the user equipment is an authenticated user equipment, wherein the user status information includes at least one of media access control address information of the user equipment and an address determination protocol request / response And information about a transmission / reception operation of a message, wherein the user equipment is allocated an IP through a dynamic host configuration protocol.

이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 것을 특징으로 한다.In this embodiment, the user state information extracting unit extracts a medium access control address of the user equipment by parsing a packet transmitted from the user equipment.

이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 상기 매체 접근 제어 주소를 추출하는 것을 특징으로 한다.In this embodiment, the user state information extracting unit extracts the MAC address from the source address included in the Ethernet header through the packet parsing.

이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 추출된 매체 접근 제어 주소가 인증되어 있는 매체 접근 제어 주소에 대응되면, 상기 사용자 기기를 인증된 사용자 기기로 확인하는 것을 특징으로 한다.In this embodiment, if the extracted MAC access control address corresponds to an authenticated MAC access control address, the user equipment authentication unit identifies the user equipment as an authenticated user equipment.

이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 인증된 매체 접근 제어 주소를 갖는 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit controls the network connection unit to allow the user equipment having the authenticated MAC access control address to access the network.

이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 주소 결정 프로토콜 요청 메시지를 인증된 사용자 기기로 전송하고, 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신하여 상기 인증된 사용자 기기의 얼라이브 상태를 확인하는 것을 특징으로 한다.In this embodiment, the user state information extraction unit transmits the address determination protocol request message to the authenticated user equipment, receives the address determination protocol response message for the address determination protocol request message from the authenticated user equipment And an alive state of the authenticated user equipment is confirmed.

이 실시예에 있어서, 상기 사용자 상태 정보 추출부는 상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 한다.In this embodiment, the user state information extracting unit is characterized in that the address determination protocol request message is transmitted at intervals of a predetermined time period.

이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit controls the network connection unit to allow network connection of the authenticated user equipment in the alive state.

이 실시예에 있어서, 상기 사용자 기기 인증부는 상기 사용자 기기를 외부의 인증 서버를 통해 인증하는 것을 특징으로 한다.In this embodiment, the user equipment authentication unit authenticates the user equipment through an external authentication server.

본 발명의 보안 장치는 사용자 기기의 매체 접근 제어 주소 또는 주소 결정 프로토콜 요청/응답 메시지의 송수신을 이용하여 인증된 사용자 기기를 구분함으로써, 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있다. 또한, 동적 호스트 설정 프로토콜 등을 사용하는 네트워크 환경에서 동일한 아이피를 갖는 사용자 기기들이 존재할 때, 인증된 사용자 기기를 구분하여 네트워크 접속을 허용할 수 있다.The security device of the present invention can allow network access only to authenticated user devices by distinguishing authenticated user devices using the media access control address of the user device or sending / receiving of the address determination protocol request / response message. Also, when there are user equipments having the same IP in a network environment using a dynamic host setting protocol or the like, the authenticated user equipments can be discriminated to allow network access.

도 1은 본 발명의 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도,
도 2는 도 1에서 사용자 기기로부터 전송되는 패킷 구조를 예시적으로 도시한 도면,
도 3은 본 발명의 다른 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도, 및
도 4는 본 발명의 실시예에 따른 보안 장치를 도시한 도면이다.1 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to an embodiment of the present invention;
FIG. 2 is an exemplary diagram illustrating a packet structure transmitted from a user equipment in FIG. 1;
3 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to another embodiment of the present invention, and Fig.
4 is a diagram illustrating a security device according to an embodiment of the present invention.

이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, only parts necessary for understanding the operation according to the present invention will be described, and descriptions of other parts will be omitted in order to avoid obscuring the gist of the present invention.

본 발명은 인증된 사용자 기기에 대해서만 네트워크 접속을 허용할 수 있도록 하는 보안 장치를 제공한다.The present invention provides a security device that allows network access only to authenticated user devices.

하기에서, 보안 장치에 의해 관리되는 사용자 기기들은 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol, 이하 'DHCP'라 칭하기로 함)을 통해 인터넷 프로토콜(Internet Protocol, 이하 'IP'라 칭하기로 함) 주소를 할당받는 것을 기준으로 설명한다. 이는 설명의 편의를 위한 것으로, 본 발명에서 제안된 보안 장치는 DHCP뿐만 아니라 하나의 네트워크 시스템에서 동일 IP들을 서로 다른 사용자 기기에서 할당받아 사용하는 경우에도 이용될 수 있다.Hereinafter, the user equipment managed by the security device transmits an Internet Protocol (IP) address through a Dynamic Host Configuration Protocol (DHCP) It is based on the allocation. This is for convenience of explanation, and the security apparatus proposed in the present invention can be used not only in DHCP but also in the case where the same IPs are allocated to different user equipments in one network system and used.

도 1은 본 발명의 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도이다.1 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to an embodiment of the present invention.

도 1을 참조하면, 네트워크 시스템은 보안 장치(110), 사용자 기기들(120, 130), 및 네트워크 서버(140)를 포함한다.Referring to FIG. 1, a network system includes a security device 110, user devices 120 and 130, and a network server 140.

사용자 기기들(120, 130)은 네트워크 서버(140)를 통해 네트워크에 접속된다. 이때, 보안 장치(110)는 네트워크 서버(140)로 인증된 사용자 기기에 대해서만 접속을 허용한다. 이를 위해, 보안 장치(110)는 네트워크 서버(140)로의 접속을 요청하는 사용자 기기들에 대한 인증 절차를 수행하거나 인증 여부를 확인한다.The user devices 120 and 130 are connected to the network through the network server 140. [ At this time, the security device 110 permits the connection only to the user equipment authenticated to the network server 140. To this end, the security device 110 performs an authentication process for user devices requesting connection to the network server 140, or confirms whether or not the user device is authenticated.

한편, 네트워크 시스템은 인증 서버(150)를 추가로 포함할 수 있다. 인증 서버(150)는 보안 장치(110)에서 사용자 기기의 인증 절차 또는 인증 여부 확인 등을 위한 인증 기능을 갖는다. 이를 위해, 인증 서버(150)는 인증된 사용자 기기들에 대한 정보를 저장할 수 있다. 만약, 보안 장치(110)가 인증 서버(150)의 기능을 포함할 경우, 인증 서버(150)는 존재하지 않을 수도 있다.Meanwhile, the network system may further include an authentication server 150. The authentication server 150 has an authentication function for confirming whether the user device is authenticated or authenticated in the security device 110. [ To this end, the authentication server 150 may store information about authenticated user devices. If the security device 110 includes the function of the authentication server 150, the authentication server 150 may not exist.

다음으로, 네트워크 시스템의 보안 장치(110)에서 인증된 사용자 기기의 관리 동작을 설명하기로 한다.Next, the management operation of the authenticated user equipment in the security device 110 of the network system will be described.

네트워크 서버(140)는 네트워크에 접속되는 제 1 사용자 기기(120)에 IP 주소를 할당한다(101단계). 여기서, 할당되는 IP 주소는 설명의 편의를 위하여 '1.2.3.4'라 가정한다.The network server 140 assigns an IP address to the first user equipment 120 connected to the network (step 101). Here, the allocated IP address is assumed to be '1.2.3.4' for convenience of explanation.

제 1 사용자 기기(120)는 보안 장치(110)로 인증을 받기 위해 인증 요청을 한다(103단계). 즉, 제 1 사용자 기기(120)는 네트워크(네트워크 서버(140))에 접속 권한을 획득하기 위해 인증 요청을 한다.The first user device 120 makes an authentication request to authenticate with the security device 110 (step 103). That is, the first user device 120 makes an authentication request to acquire a connection right to the network (network server 140).

보안 장치(110)는 제 1 사용자 기기(120)로부터의 인증 요청에 따라 제 1 사용자 기기(120)의 인증 절차를 수행한다(105단계). 보안 장치(110)는 내부에 인증 기능을 가지고 있는 경우, 보안 장치(110)의 내부에서 인증 절차를 수행한다. 하지만, 보안 장치(110)의 외부에 위치한 인증 서버(150)에 접속하여 제 1 사용자 기기(120)의 인증을 할 수도 있다. 이와 같은, 인증 절차에서 보안 장치(110)는 제 1 사용자 기기(120)의 매체 접근 제어(MAC: Medium Access Control) 주소를 획득하고, 매체 접근 주소를 이용하여 제 1 사용자 기기(120)를 인증한다.The security device 110 performs the authentication procedure of the first user device 120 according to the authentication request from the first user device 120 (step 105). When the security device 110 has an authentication function in the inside, the security device 110 performs the authentication process inside the security device 110. However, the first user device 120 may be authenticated by accessing the authentication server 150 located outside the security device 110. In this authentication procedure, the secure device 110 obtains a medium access control (MAC) address of the first user device 120 and authenticates the first user device 120 using the medium access address do.

보안 장치(110)는 제 1 사용자 기기(120)에 대한 인증이 완료되면, 제 1 사용자 기기(120)에게 인증 허가를 할 수 있다(107단계).When the authentication of the first user device 120 is completed, the security device 110 may permit authentication of the first user device 120 (step 107).

제 1 사용자 기기(120)는 인증 허가를 받으면, 패킷(109)을 전송한다(109단계). 여기서, 패킷에는 제 1 사용자 기기(120)의 매체 접근 제어 주소가 포함되어 있다. 예를 들어, 매체 접근 제어 주소는 'aaaa'라 가정한다.When the first user device 120 receives the authentication permission, it transmits the packet 109 (step 109). Here, the packet includes the medium access control address of the first user equipment 120. For example, the MAC address is assumed to be 'aaaa'.

보안 장치(110)는 전송된 패킷을 파싱하여 인증된 사용자 기기의 패킷인지 확인한다. 보안 장치(110)는 제 1 사용자 기기(120)의 매체 접근 제어 주소를 이용하여 인증 절차를 완료하였다. 따라서, 보안 장치(110)는 파싱된 패킷으로부터 매체 접근 제어 주소를 추출한다. 보안 장치(110)는 추출된 매체 접근 제어 주소를 이용하여 인증된 사용자 기기들의 매체 접근 주소들과 비교한다.The security device 110 parses the transmitted packet to confirm that it is a packet of the authenticated user equipment. The security device 110 has completed the authentication procedure using the MAC address of the first user equipment 120. [ Thus, the security device 110 extracts the MAC address from the parsed packet. The security device 110 compares the extracted media access control addresses with media access addresses of authenticated user devices.

이를 통해, 보안 장치(110)는 추출된 제 1 사용자 기기(120)의 매체 접근 제어 주소를 이용하여 인증된 사용자 기기인지 확인할 수 있다(111단계). 이때, 보안 장치(110)는 제 1 사용자 기기(120)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the security device 110 can confirm whether the user device is the authenticated user device using the extracted MAC address of the first user device 120 (Step 111). At this time, the security device 110 may use an external authentication server 150 to confirm the authentication of the first user device 120. [

보안 장치(110)는 패킷 파싱을 통해 추출된 매체 접근 제어 주소가 인증 완료된 제 1 사용자 기기(120)의 매체 접근 제어 주소를 포함한 패킷임을 확인하면, 네트워크 서버(140)로의 접속을 허용한다(113단계). 즉, 인증된 제 1 사용자 기기(120)의 네트워크 접속은 허용된다.When the security device 110 confirms that the MAC access control address extracted through the packet parsing is a packet including the MAC address of the authenticated first user equipment 120, the security device 110 permits access to the network server 140 step). That is, the network connection of the authenticated first user equipment 120 is allowed.

다음으로, 인증된 제 1 사용자 기기(120)가 네트워크 사용 중에 전원이 오프(OFF)될 수 있다. 이때, 제 2 사용자 기기(130)가 전원이 온(ON) 동작하게 되면, 제 1 사용자 기기(120)와 동일한 IP 주소(일예로, '1.2.3.4')가 할당될 수 있다. 이와 같이, 제 2 사용자 기기(130)가 제 1 사용자 기기(120)와 동일한 IP 주소가 할당되는 경우를 기준으로 살펴보기로 한다.Next, the authenticated first user equipment 120 may be powered off during network use. At this time, if the second user equipment 130 is turned on, the same IP address (for example, '1.2.3.4') as that of the first user equipment 120 can be allocated. Hereinafter, a case where the second user equipment 130 is assigned the same IP address as the first user equipment 120 will be described.

네트워크 서버(140)는 네트워크에 접속되는 제 2 사용자 기기(130)로 IP 주소(일예로, '1.2.3.4')를 할당한다(115단계).The network server 140 allocates an IP address (for example, '1.2.3.4') to the second user equipment 130 connected to the network (step 115).

제 2 사용자 기기(130)는 IP 주소를 할당받고, 패킷을 전송한다(117단계). 여기서, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기로써, 제 1 사용자 기기(120)와 동일한 IP 주소인 '1.2.3.4'를 할당받는다. 또한, 패킷에는 제 2 사용자 기기(130)의 매체 접근 제어 주소가 포함되어 있다. 예를 들어, 매체 접근 제어 주소는 'bbbb'라 가정한다.The second user equipment 130 receives the IP address and transmits the packet (Step 117). Here, the second user equipment 130 is an unauthenticated user equipment and is assigned the same IP address '1.2.3.4' as the first user equipment 120. [ Also, the packet includes the medium access control address of the second user equipment 130. For example, the MAC address is assumed to be 'bbbb'.

보안 장치(110)는 전송된 패킷을 파싱(parsing)하여 인증된 사용자 기기의 패킷인지 확인한다. 이를 위해, 보안 장치(110)는 파싱된 패킷으로부터 매체 접근 제어 주소를 추출한다. 보안 장치(110)는 추출된 매체 접근 제어 주소를 이용하여 인증된 사용자 기기들의 매체 접근 주소들과 비교한다. 하지만, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기이므로, 제 2 사용자 기기(130)의 매체 접근 제어 주소는 인증된 사용자 기기들의 매체 접근 제어 주소들에 포함되지 않는다.The security device 110 parses the transmitted packet to confirm that it is a packet of the authenticated user equipment. To this end, the security device 110 extracts the MAC address from the parsed packet. The security device 110 compares the extracted media access control addresses with media access addresses of authenticated user devices. However, since the second user equipment 130 is an unauthenticated user equipment, the MAC address of the second user equipment 130 is not included in the MAC addresses of the authorized user equipment.

이를 통해, 보안 장치(110)는 제 2 사용자 기기(130)에 대해 인증된 사용자 기기 확인을 실패한다(119단계). 이때, 보안 장치(110)는 제 2 사용자 기기(130)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the security device 110 fails to authenticate the authenticated user device to the second user device 130 (step 119). At this time, the security device 110 may use an external authentication server 150 for authentication confirmation of the second user equipment 130. [

보안 장치(110)는 패킷 파싱을 통해 추출된 매체 접근 제어 주소가 인증되지 않은 제 2 사용자 기기(130)의 패킷임을 확인하면, 네트워크 서버(140)로의 접속을 차단한다(121단계). 즉, 인증되지 않은 제 2 사용자 기기(130)의 네트워크 접속이 차단된다.When the security device 110 confirms that the MAC address extracted through the packet parsing is a packet of the unauthenticated second user equipment 130, the security device 110 disconnects the connection to the network server 140 (step 121). That is, the network connection of the unauthenticated second user equipment 130 is blocked.

이를 통해, 본 발명에서 제안된 보안 장치(110)는 매체 접근 주소를 이용하여 인증된 사용자 기기를 구분한다. 이를 통해, 동일한 IP 주소를 갖는 사용자 기기들이 네트워크에 접속되더라도, 보안 장치(110)는 매체 접근 제어 주소를 이용하여 사용자 기기들을 구분할 수 있다. 이를 통해, 보안 장치(110)는 인증된 사용자 기기(일예로, 제 1 사용자 기기(120))에 대해서만 네트워크 접속을 허용할 수 있다. 이를 통해, 동일하지 않은 시점에 동일한 IP가 서로 다른 사용자 기기에 할당되더라도, 보안 장치(110)는 의도하지 않은 사용자에 의한 네트워크 접근이 가능할 수 있는 보안 취약성을 해결할 수 있다.Accordingly, the security device 110 proposed in the present invention distinguishes authenticated user devices using the medium access address. Accordingly, even if the user devices having the same IP address are connected to the network, the security device 110 can identify the user devices using the MAC address. This allows the security device 110 to allow network access only to an authenticated user device (e.g., the first user device 120). Accordingly, even if the same IP is allocated to different user equipments at the same time, the security device 110 can solve the security vulnerability that can be accessed by an unintended user.

하기에서는 패킷 파싱에 따른 매체 접근 제어 주소의 추출 위치를 설명하기 위한 프레임을 설명한다.A frame for explaining the extraction position of the MAC address according to the packet parsing will be described below.

도 2는 도 1에서 사용자 기기로부터 전송되는 프레임을 예시적으로 도시한 도면이다.2 is a diagram exemplarily showing a frame transmitted from a user equipment in FIG.

프레임(200)은 프리앰블(Preamble)(201), 에스에프디(Start of Frame Delimiter, 이하 'SFD'라 칭하기로 함)(203), 목적지 주소(Destination Address)(205), 소스 주소(Source Address)(207), 타입(이하 'Type'라 칭하기로 함)(209), 데이터(Data)(211), 및 프레임 체크 시퀀스(Frame Check Sequence, 이하 'FCS'라 칭하기로 함)(213)를 포함한다.The frame 200 includes a preamble 201, a start of frame delimiter (SFD) 203, a destination address 205, a source address, (Hereinafter referred to as 'Type') 209, a Data 211 and a Frame Check Sequence (hereinafter referred to as 'FCS') 213 do.

프리앰블(201)은 송신측과 수신측의 송수신 속도를 일치시키기 위해 전송되는 정보이다. 일예로, 프리앰블(201)은 '10101010'이 7번 연속하여 반복되며, 56비트(bit), 즉 7바이트(byte)로 구성될 수 있다.The preamble 201 is information transmitted so as to match the transmission / reception speed between the transmission side and the reception side. For example, the preamble 201 may be composed of 56 bits (i.e., 7 bytes) in which '10101010' is repeated seven times in a row.

에스에프디(203)는 프레임의 비트열에서 바이트 단위를 식별하는 바이트 동기이다. 에스에프디(203)는 정상적인 프레임이 시작되는 것을 나타내는 프레임 동기로서 '10101011'의 8비트, 즉 1바이트로 구성될 수 있다.The S / D DIV 203 is byte synchronous that identifies a byte unit in a bit string of a frame. The S / D DIV 203 may be composed of 8 bits of '10101011', that is, 1 byte as frame synchronization indicating that a normal frame starts.

목적지 주소(205)는 목적지의 주소를 나타내며 6바이트로 구성될 수 있다. 예를 들어, 목적지 주소의 첫 번째 비트가 '0'이면 하나의 목적지를 나타내고, 첫 번째 비트가 '1'이면 멀티캐스트를 나타내고, 모든 비트가 '1'이면 브로드캐스트를 나타낸다.The destination address 205 indicates the address of the destination and may be composed of 6 bytes. For example, if the first bit of the destination address is '0', it indicates one destination. If the first bit is '1', it indicates multicast. If all bits are '1', it indicates a broadcast.

소스 주소(207)는 출발지의 주소를 나타내며 6바이트로 구성될 수 있다.The source address 207 indicates the address of the source and may be composed of 6 bytes.

타입(209)은 길이(Length)로 표현되기도 하며, 데이터(211)가 포함된 영역의 길이를 나타낸다. 타입(209)은 2바이트로 구성될 수 있다.The type 209 is also expressed as a length, and indicates the length of the area including the data 211. The type 209 may be composed of two bytes.

데이터(211)는 전송하고자 하는 데이터가 포함되며, 최소 길이인 46바이트보다 작으면, 나머지 영역은 패드(pad), 즉 '0'으로 채워진다. 데이터(211)는 46바이트부터 1500바이트로 구성될 수 있다.The data 211 includes data to be transmitted. If the data length is smaller than the minimum length of 46 bytes, the remaining area is filled with a pad, i.e., '0'. The data 211 may consist of 46 bytes to 1500 bytes.

프레임 체크 시퀀스(213)는 프레임의 에러를 검출하기 위한 것으로, 일예로 4바이트로 구성될 수 있다.The frame check sequence 213 is for detecting an error in a frame, and may be composed of 4 bytes, for example.

여기서, 목적지 어드레스(205), 소스 어드레스(207), 및 타입(209)은 이더넷 헤더(Ethernet Header)에 해당한다.Here, the destination address 205, the source address 207, and the type 209 correspond to an Ethernet header.

본 발명의 보안 장치(110)는 패킷 파싱을 통해, 프레임(200)에 표기된 위치(210)에서 소스 어드레스(207)를 통해 사용자 기기의 매체 접근 제어(MAC) 주소를 획득할 수 있다. 여기서, 매체 접근 제어 주소는 제 2 계층(L2)의 주소이다.The security device 110 of the present invention can obtain the media access control (MAC) address of the user equipment through the source address 207 at the location 210 indicated in the frame 200 through packet parsing. Here, the medium access control address is the address of the second layer (L2).

도 3은 본 발명의 다른 실시예에 따른 보안 장치에서 인증된 사용자 기기의 관리 동작을 설명하기 위한 신호 흐름도이다.3 is a signal flow diagram illustrating a management operation of an authenticated user equipment in a security device according to another embodiment of the present invention.

도 3을 참조하면, 네트워크 시스템은 보안 장치(110), 사용자 기기들(120, 130), 및 네트워크 서버(140)를 포함한다.Referring to FIG. 3, the network system includes a security device 110, user devices 120 and 130, and a network server 140.

사용자 기기들(120, 130)은 네트워크 서버(140)를 통해 네트워크에 접속된다. 이때, 보안 장치(110)는 네트워크 서버(140)로 인증된 사용자 기기에 대해서만 접속을 허용한다. 이를 위해, 보안 장치(110)는 네트워크 서버(140)로의 접속을 요청하는 사용자 기기들에 대한 인증 절차를 수행하거나 인증 여부를 확인한다.The user devices 120 and 130 are connected to the network through the network server 140. [ At this time, the security device 110 permits the connection only to the user equipment authenticated to the network server 140. To this end, the security device 110 performs an authentication process for user devices requesting connection to the network server 140, or confirms whether or not the user device is authenticated.

한편, 네트워크 시스템은 인증 서버(150)를 추가로 포함할 수 있다. 인증 서버(150)는 보안 장치(110)에서 사용자 기기의 인증 절차 또는 인증 여부 확인 등을 위한 인증 기능을 갖는다. 이를 위해, 인증 서버(150)는 인증된 사용자 기기들에 대한 정보를 저장할 수 있다. 만약, 보안 장치(110)가 인증 서버(150)의 기능을 포함할 경우, 인증 서버(150)는 존재하지 않을 수도 있다.Meanwhile, the network system may further include an authentication server 150. The authentication server 150 has an authentication function for confirming whether the user device is authenticated or authenticated in the security device 110. [ To this end, the authentication server 150 may store information about authenticated user devices. If the security device 110 includes the function of the authentication server 150, the authentication server 150 may not exist.

다음으로, 네트워크 시스템의 보안 장치(110)에서 인증된 사용자 기기의 관리 동작을 설명하기로 한다.Next, the management operation of the authenticated user equipment in the security device 110 of the network system will be described.

네트워크 서버(140)는 네트워크에 접속되는 제 1 사용자 기기(120)에 IP 주소를 할당한다(301단계). 여기서, 할당되는 IP 주소는 설명의 편의를 위하여 '1.2.3.4'라 가정한다.The network server 140 assigns an IP address to the first user equipment 120 connected to the network (step 301). Here, the allocated IP address is assumed to be '1.2.3.4' for convenience of explanation.

제 1 사용자 기기(120)는 보안 장치(110)로 인증을 받기 위해 인증 요청을 한다(303단계). 즉, 제 1 사용자 기기(120)는 네트워크(네트워크 서버(140))에 접속 권한을 획득하기 위해 인증 요청을 한다.The first user device 120 makes an authentication request to authenticate with the security device 110 (step 303). That is, the first user device 120 makes an authentication request to acquire a connection right to the network (network server 140).

보안 장치(110)는 제 1 사용자 기기(120)로부터의 인증 요청에 따라 제 1 사용자 기기(120)의 인증 절차를 수행한다(305단계). 보안 장치(110)는 내부에 인증 기능을 가지고 있는 경우, 보안 장치(110)의 내부에서 인증 절차를 수행한다. 하지만, 보안 장치(110)의 외부에 위치한 인증 서버(150)에 접속하여 제 1 사용자 기기(120)의 인증을 할 수도 있다.The security device 110 performs the authentication procedure of the first user device 120 according to the authentication request from the first user device 120 (step 305). When the security device 110 has an authentication function in the inside, the security device 110 performs the authentication process inside the security device 110. However, the first user device 120 may be authenticated by accessing the authentication server 150 located outside the security device 110.

보안 장치(110)는 제 1 사용자 기기(120)에 대한 인증이 완료되면, 제 1 사용자 기기(120)에게 인증 허가를 할 수 있다(307단계). When the authentication of the first user device 120 is completed, the security device 110 may permit authentication of the first user device 120 (step 307).

보안 장치(110)는 제 1 사용자 기기(120)의 상태 정보, 일예로, 얼라이브(일예로, 전원 온) 상태 정보 또는 데드(일예로, 전원 오프) 상태 정보를 이용하여 네트워크 사용을 제어할 수 있다.The security device 110 may control the use of the network using state information of the first user device 120, for example, alive (e.g., power on) state information or dead (e.g., power off) have.

이를 위해, 보안 장치(110)는 제 1 사용자 기기(120)의 상태 정보를 확인하기 위하여 주소 결정 프로토콜(Address Resolution Protocol, 이하 'ARP'라 칭하기로 함) 요청 메시지를 제 1 사용자 기기(120)로 전송한다(309단계).To this end, the security device 110 transmits an Address Resolution Protocol (ARP) request message to the first user equipment 120 to confirm the status information of the first user equipment 120, (Step 309).

제 1 사용자 기기(120)는 ARP 요청 메시지를 수신하면, ARP 요청 메시지에 대응되는 ARP 응답 메시지를 보안 장치(110)로 전송한다(311단계).Upon receiving the ARP request message, the first user equipment 120 transmits an ARP response message corresponding to the ARP request message to the security device 110 (step 311).

이와 같이, 보안 장치(110)는 ARP 요청 메시지의 송신과 ARP 응답 메시지의 수신에 의해 제 1 사용자 기기(120)의 인증된 상태를 확인할 수 있다(313단계). 보안 장치(110)는 ARP 응답 메시지를 수신하면, 인증된 제 1 사용자 기기(120)의 상태를 얼라이브(Alive) 상태로 판단할 수 있다. 이때, 보안 장치(110)는 제 1 사용자 기기(120)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.In this manner, the security device 110 can confirm the authenticated state of the first user equipment 120 by transmitting the ARP request message and receiving the ARP response message (step 313). Upon receiving the ARP response message, the security device 110 may determine that the authenticated first user equipment 120 is in an Alive state. At this time, the security device 110 may use an external authentication server 150 to confirm the authentication of the first user device 120. [

또한, 309단계의 ARP 요청 메시지는 제 1 사용자 기기(120)의 상태 정보 확인을 위해 보안 장치(110)에서 일정 주기를 간격으로 전송될 수 있다. 여기서, ARP 메시지의 전송 주기는 시스템 상황에 따라 가변되어 설정될 수 있으며, 예를 들어 10초~10분의 범위 내에서 설정될 수 있다. 보안 장치(110)는 ARP 요청 메시지에 대한 ARP 응답 메시지가 수신되면, 제 1 사용자 기기(120)는 얼라이브 상태에 있음을 판단할 수 있다.In addition, the ARP request message in step 309 may be transmitted at intervals of a predetermined period in the security device 110 to check the status information of the first user equipment 120. [ Here, the transmission period of the ARP message may be variable depending on system conditions, and may be set within a range of 10 seconds to 10 minutes, for example. When the ARP response message for the ARP request message is received, the security device 110 may determine that the first user equipment 120 is in the alive state.

보안 장치(110)는 ARP 메시지(일예로, ARP 요청 메시지와 ARP 응답 메시지)의 송수신을 통해 얼라이브 상태의 제 1 사용자 기기(120)에 대해 네트워크 서버(140)로의 접속을 허용한다(113단계). 즉, 인증된 제 1 사용자 기기(120)의 네트워크 접속은 허용된다.The security device 110 permits the first user equipment 120 in the alive state to access the network server 140 through the transmission and reception of an ARP message (for example, an ARP request message and an ARP response message) (step 113) . That is, the network connection of the authenticated first user equipment 120 is allowed.

이와 같이, 보안 장치(110)는 일정 주기를 간격으로 ARP 요청 메시지를 제 1 사용자 기기(120)로 전송한다(317단계).In this manner, the security device 110 transmits an ARP request message to the first user equipment 120 at intervals of a predetermined period (step 317).

다음으로, 제 1 사용자 기기(120)가 인증을 받은 이후, 네트워크 사용 중에 얼라이브 상태에서 데드 상태로 전환될 수 있다(319단계). 이때, 보안 장치(110)는 319단계의 ARP 요청 메시지에 대응되는 ARP 응답 메시지를 수신하지 못한다. 보안 장치(110)는 ARP 응답 메시지의 미수신에 따라 제 1 사용자 기기(120)의 상태 정보를 데드 상태로 전환한다.Next, after the first user device 120 is authenticated, the network state may be changed from the alive state to the dead state during operation of the network (Step 319). At this time, the security device 110 fails to receive the ARP response message corresponding to the ARP request message in step 319. The security device 110 changes the state information of the first user equipment 120 to the dead state according to the non-receipt of the ARP response message.

한편, 네트워크 서버(140)는 제 2 사용자 기기(130)로 제 1 사용자 기기(120)와 동일한 IP 주소(일예로, '1.2.3.4')를 할당할 수 있다. 이와 같이, 제 2 사용자 기기(130)가 제 1 사용자 기기(120)와 동일한 IP 주소가 할당되는 경우를 기준으로 살펴보기로 한다.Meanwhile, the network server 140 may assign the same IP address (for example, '1.2.3.4') to the second user equipment 130 as the first user equipment 120. Hereinafter, a case where the second user equipment 130 is assigned the same IP address as the first user equipment 120 will be described.

네트워크 서버(140)는 네트워크에 접속되는 제 2 사용자 기기(130)로 IP 주소(일예로, '1.2.3.4')를 할당한다(321단계).The network server 140 allocates an IP address (e.g., '1.2.3.4') to the second user equipment 130 connected to the network (step 321).

제 2 사용자 기기(130)는 IP 주소를 할당받고, 네트워크 사용을 요청(일예로, 패킷 등을 전송)한다(323단계). 여기서, 제 2 사용자 기기(130)는 인증되지 않은 사용자 기기로써, 제 1 사용자 기기(120)와 동일한 IP 주소인 '1.2.3.4'를 할당받은 상태이다.The second user equipment 130 is allocated an IP address and requests a network use (for example, transmitting a packet or the like) (step 323). Herein, the second user equipment 130 is an unauthenticated user equipment, and is assigned the same IP address '1.2.3.4' as the first user equipment 120.

보안 장치(110)는 기존에 할당된 IP주소인 '1.2.3.4'에 대응되는 인증된 제 1 사용자 기기(120)의 상태 정보를 데드 상태로 관리한다. 따라서, 보안 장치(110)는 제 1 사용자 기기(120)의 IP 주소와 동일한 제 2 사용자 기기(130)의 IP 주소를 인증되지 않은 사용자 기기의 네트워크 접근 요청으로 판단한다.The security device 110 manages the status information of the authenticated first user equipment 120 corresponding to the previously assigned IP address '1.2.3.4' in a dead state. Accordingly, the security device 110 determines that the IP address of the second user equipment 130, which is the same as the IP address of the first user equipment 120, is a network access request of the unauthenticated user equipment.

이를 통해, 보안 장치(110)는 제 2 사용자 기기(130)에 대해 인증된 사용자 기기 확인을 실패한다(325단계). 이때, 보안 장치(110)는 제 2 사용자 기기(130)의 인증 확인을 위해, 외부의 인증 서버(150)를 이용할 수도 있다.Accordingly, the security device 110 fails to authenticate the authenticated user device to the second user device 130 (step 325). At this time, the security device 110 may use an external authentication server 150 for authentication confirmation of the second user equipment 130. [

보안 장치(110)는 데드 상태에 있는 IP 주소(1.2.3.4)를 갖는 제 2 사용자 기기(130)의 접속 요청에 대해 네트워크 서버(140)로의 접속을 차단한다(327단계). 즉, 인증되지 않은 제 2 사용자 기기(130)의 네트워크 접속이 차단된다.The security device 110 blocks the connection to the network server 140 for the connection request of the second user equipment 130 having the IP address (1.2.3.4) in the dead state (step 327). That is, the network connection of the unauthenticated second user equipment 130 is blocked.

기존의 ARP는 동일한 네트워크 내에 연결된 기기의 IP 주소를 획득하는데 사용되는 통신 규약이다. 따라서, ARP는 IP 주소를 실제 네트워크 어댑터의 물리적 주소와 연관시킬 때 사용된다. 이와 같이, ARP에 사용되는 메시지(ARP 메시지)를 본 발명의 보안 장치(110)는 인증된 사용자 기기의 상태 확인을 위해 활용한다.Conventional ARP is a communication protocol used to obtain the IP address of a device connected in the same network. Therefore, ARP is used to associate the IP address with the physical address of the actual network adapter. As described above, the security device 110 of the present invention utilizes a message (ARP message) used in the ARP to check the status of the authenticated user equipment.

이를 통해, 본 발명에서 제안된 보안 장치(110)는 인증된 사용자 기기에 대한 상태를 ARP 메시지(ARP 요청/응답 메시지)를 이용하여 주기적으로 확인한다. 즉, 동일한 IP 주소를 갖는 사용자 기기들이 네트워크에 접속되더라도, 보안 장치(110)는 인증된 사용자 기기들의 상태 정보 확인을 통해 네트워크 접속을 제어할 수 있다. 즉, 보안 장치(110)는 ARP 메시지를 통해 인증된 사용자 기기의 상태 정보가 얼라이브인 것을 확인하면 네트워크 접속을 허용할 수 있다. 따라서, 동일하지 않은 시점에 동일한 IP가 서로 다른 사용자 기기에 할당되더라도, 보안 장치(110)는 의도하지 않은 사용자에 의한 네트워크 접근이 가능할 수 있는 보안 취약성을 해결할 수 있다.Accordingly, the security device 110 proposed in the present invention periodically checks the status of the authenticated user equipment using an ARP message (ARP request / response message). That is, even if the user equipments having the same IP address are connected to the network, the security device 110 can control the network connection by checking the status information of the authenticated user equipments. That is, when the security device 110 confirms that the status information of the user equipment authenticated through the ARP message is alive, the security device 110 can allow the network connection. Therefore, even if the same IP is assigned to different user equipments at the same time, the security device 110 can solve the security vulnerability that can be accessed by an unintended user.

도 4는 본 발명의 실시예에 따른 보안 장치를 도시한 도면이다.4 is a diagram illustrating a security device according to an embodiment of the present invention.

도 4를 참조하면, 보안 장치(110)는 사용자 상태 정보 추출부(111), 사용자 기기 인증부(113), 및 네트워크 연결부(115)를 포함한다.4, the security device 110 includes a user state information extraction unit 111, a user equipment authentication unit 113, and a network connection unit 115. [

사용자 상태 정보 추출부(111)는 사용자 기기들에 연결된다. 일예로, 제 1 사용자 기기(120) 또는 제 2 사용자 기기(130)에 연결될 수 있다.The user state information extracting unit 111 is connected to user devices. For example, it may be connected to the first user equipment 120 or the second user equipment 130.

사용자 상태 정보 추출부(111)는 인증 요청 또는 패킷 파싱에 따른 사용자 기기들의 매체 접근 제어 주소를 추출할 수 있다. 사용자 상태 정보 추출부(111)는 추출된 매체 접근 제어 주소를 사용자 기기 인증부(113)로 출력한다.The user state information extracting unit 111 may extract a media access control address of user equipments according to an authentication request or packet parsing. The user state information extraction unit 111 outputs the extracted medium access control address to the user equipment authentication unit 113.

또한, 사용자 상태 정보 추출부(111)는 인증된 사용자의 상태 정보를 확인하기 위한 ARP 메시지, 즉 ARP 요청 메시지를 생성할 수 있다. 이때, 사용자 상태 정보 추출부(111)는 ARP 응답 메시지가 수신되면, 일정 주기를 간격으로 ARP 요청 메시지를 인증된 사용자 기기로 전송한다. 이를 통해, 사용자 상태 정보 추출부(111)는 인증된 사용자 기기의 상태 정보를 확인할 수 있다.In addition, the user state information extracting unit 111 may generate an ARP message for confirming the status information of the authenticated user, that is, an ARP request message. At this time, when the ARP response message is received, the user state information extraction unit 111 transmits an ARP request message to the authenticated user equipment at regular intervals. Accordingly, the user state information extracting unit 111 can check the status information of the authenticated user equipment.

사용자 상태 정보 추출부(111)는 ARP 요청/응답 메시지를 송수신하면, 해당 사용자 기기의 상태를 얼라이브 상태로 판단한다. 하지만, 사용자 상태 정보 추출부(111)는 ARP 요청 메시지에 대응되는 ARP 응답 메시지가 수신되지 않으면, 해당 사용자 기기의 상태를 데드 상태로 판단한다. 사용자 상태 정보 추출부(111)는 사용자 기기의 얼라이브 상태 또는 데드 상태에 대한 상태 정보를 사용자 기기 인증부(113)로 출력한다.When the user state information extracting unit 111 transmits and receives an ARP request / response message, the user state information extracting unit 111 determines the state of the user equipment as an alive state. However, if the ARP response message corresponding to the ARP request message is not received, the user state information extraction unit 111 determines the state of the user equipment as a dead state. The user state information extracting section 111 outputs state information on the user state of the user device to the user device authentication section 113. [

사용자 상태 정보 추출부(111)는 인증된 사용자 기기의 확인을 위해 사용자 기기의 매체 접근 제어 주소와 상태 정보 중 하나를 사용자 기기 인증부(113)로 출력한다.The user state information extraction unit 111 outputs one of the media access control address and state information of the user equipment to the user equipment authentication unit 113 in order to confirm the authenticated user equipment.

사용자 기기 인증부(113)는 인증 기능을 포함할 경우, 인증 절차 수행을 위한 데이터를 저장하기 위한 메모리(미도시) 등을 이용할 수 있다. 사용자 기기 인증부(113)는 사용자 상태 정보 추출부(111)로부터 매체 접근 주소와 상태 정보 중 하나를 수신한다.When the user device authentication unit 113 includes an authentication function, the user device authentication unit 113 may use a memory (not shown) or the like for storing data for performing an authentication procedure. The user device authentication unit 113 receives one of the media access address and status information from the user status information extraction unit 111. [

첫 번째로, 매체 접근 제어 주소를 수신한 경우, 사용자 기기 인증부(113)는 매체 접근 제어 주소를 사용하여 사용자 인증을 수행할 수 있다. 이때, 사용자 기기 인증부(113)는 인증 완료된 사용자 기기의 매체 접근 제어 주소를 관리한다.First, when receiving the medium access control address, the user equipment authentication unit 113 can perform user authentication using the medium access control address. At this time, the user device authentication unit 113 manages the medium access control address of the authenticated user equipment.

이후, 사용자 기기 인증부(113)는 패킷 파싱에 의해 사용자 상태 정보 추출부(111)로부터 매체 접근 제어 주소를 수신하면, 인증 완료된 사용자 기기의 매체 접근 제어 주소들과 비교한다. 수신된 매체 접근 제어 주소가 인증 완료된 사용자 기기의 매체 접근 제어 주소들에 대응되면, 사용자 기기 인증부(113)는 해당 패킷을 전송한 사용자 기기의 네트워크 접속을 허용하도록 네트워크 연결부(115)를 제어한다.After receiving the MAC address from the user state information extraction unit 111 by packet parsing, the user equipment authentication unit 113 compares the MAC address with the MAC address of the authenticated user equipment. If the received media access control address corresponds to the media access control addresses of the user equipment whose authentication has been completed, the user equipment authentication unit 113 controls the network connection unit 115 to allow the network connection of the user equipment that has transmitted the packet .

두 번째로, 상태 정보를 수신한 경우, 사용자 기기 인증부(113)는 인증된 사용자 기기의 상태를 확인할 수 있다. 즉, 사용자 기기 인증부(113)는 ARP 메시지를 통해 인증된 사용자 기기의 얼라이브 상태 또는 데드 상태의 정보를 확인할 수 있다. 이를 통해, 사용자 기기 인증부(113)는 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 네트워크 연결부(115)를 제어한다.Secondly, when the status information is received, the user device authentication unit 113 can check the status of the authenticated user device. That is, the user device authentication unit 113 can confirm the information of the alive state or the dead state of the authenticated user equipment through the ARP message. Through this, the user device authentication unit 113 controls the network connection unit 115 to allow the network connection of the authenticated user equipment in the alive state.

한편, 도 1과 도 3에서 설명된 바와 같이, 사용자 기기 인증부(113)는 인증 서버(150)를 이용하여 인증 절차를 수행할 수도 있다. 이를 위해, 사용자 기기 인증부(113)는 외부의 인증 서버(150)와 연결될 수 있다.1 and 3, the user equipment authentication unit 113 may perform an authentication procedure using the authentication server 150. [ To this end, the user equipment authentication unit 113 may be connected to an external authentication server 150.

네트워크 연결부(115)는 사용자 기기 인증부(113)의 제어를 통해 인증된 사용자 기기를 확인할 수 있다. 또한, 네트워크 연결부(115)는 사용자 기기 인증부(113)의 제어에 의해 인증된 사용자 기기를 네트워크 서버(140)와 연결한다.The network connection unit 115 can confirm the authenticated user equipment through the control of the user equipment authentication unit 113. The network connection unit 115 connects the user equipment authenticated by the user equipment authentication unit 113 to the network server 140.

이를 통해, 네트워크 연결부(115)는 인증된 사용자 기기들에 대해서만 네트워크 접속을 허용하고, 인증되지 않은 사용자 기기들의 네트워크 접속을 차단할 수 있다.In this way, the network connection unit 115 allows network access only to authenticated user devices, and can block network connection of unauthorized user devices.

본 발명에서 제안된 보안 장치는 IP 주소뿐만 아니라 매체 접근 제어 주소와 ARP 응답/요청 메시지를 이용하여 인증된 사용자 기기를 확인한다. 이를 통해, 동일한 IP가 서로 다른 사용자 기기에 할당되는 네트워크 환경에서도 보안 장치는 인증된 사용자 기기에 대해서만 네트워크에 접속되도록 할 수 있다.The security device proposed in the present invention identifies an authenticated user device using an IP address, a MAC address and an ARP response / request message. Thus, even in a network environment in which the same IP is allocated to different user equipments, the security device can be connected to the network only for authenticated user equipments.

한편, 본 발명의 사용자 기기는 일예로 개인 컴퓨터(PC: Personal), 노트북(notebook), 프린터(printer), 가전 제품 등과 같이 네트워크에 접속될 수 있는 모든 사용자 기기들을 포함할 수 있다.Meanwhile, the user device of the present invention may include all user devices that can be connected to a network, such as a personal computer (PC), a notebook, a printer, a home appliance, and the like.

한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made therein without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the equivalents of the claims of the present invention as well as the claims of the following.

110: 보안 장치 120, 130: 사용자 기기들
140: 네트워크 서버 150: 인증 서버
111: 사용자 상태 정보 추출부 113: 사용자 기기 인증부
115: 네트워크 연결부110: security device 120, 130: user devices
140: network server 150: authentication server
111: User state information extracting unit 113: User device authentication unit
115: Network connection

Claims (14)

보안 장치의 인증된 사용자 기기 관리 방법에 있어서,
네트워크에 접속 요청된 사용자 기기가 상기 인증된 사용자 기기인지를 확인하는 단계; 및
상기 사용자 기기가 인증된 사용자 기기인 경우, 상기 사용자 기기에 대해 네트워크 서버로의 접속을 허용하는 단계를 포함하고,
상기 인증된 사용자 기기인지 확인하는 단계는
상기 사용자 기기로부터 획득된 매체 접근 제어 주소 및 상기 사용자 기기와 송수신되는 주소 결정 프로토콜 요청/응답 메시지를 이용하여 상기 인증된 사용자 기기인지를 확인하는 단계를 포함하고,
상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받으며,
상기 인증된 사용자 기기인지 확인하는 단계는,
상기 주소 결정 프로토콜 요청 메시지를 상기 인증된 사용자 기기로 전송하는 단계; 및
상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신을 통해 상기 인증된 사용자 기기의 상태가 얼라이브 상태임을 확인하는 단계를 포함하고,
상기 사용자 기기에 대한 네트워크 서버로의 접속을 허용하는 단계는,
상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하는 단계를 포함하는 것을 특징으로 하는 인증된 사용자 기기 관리 방법.A method of managing an authenticated user device of a security device,
Confirming whether the user device requested to be connected to the network is the authenticated user device; And
Allowing access to a network server for the user equipment if the user equipment is an authenticated user equipment,
The step of verifying that the authenticated user equipment
Confirming whether the authenticated user equipment is the authenticated user equipment using the medium access control address obtained from the user equipment and the address determination protocol request / response message transmitted / received with the user equipment,
Wherein the user equipment is assigned an IP through a dynamic host configuration protocol,
Wherein authenticating the authenticated user equipment comprises:
Sending the address resolution protocol request message to the authenticated user equipment; And
And confirming that the status of the authenticated user equipment is in an alive state through receiving the address resolution protocol response message for the address resolution protocol request message from the authenticated user equipment,
Wherein allowing the user device to connect to a network server comprises:
Allowing the network connection of the authenticated user equipment in the alive state. 제 1 항에 있어서,
상기 인증된 사용자 기기인지를 확인하는 단계는
상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 단계; 및
상기 추출된 매체 접근 주소가 인증된 매체 접근 주소에 대응되면, 상기 사용자 기기를 상기 인증된 사용자 기기로 확인하는 단계를 포함하는 인증된 사용자 기기 관리 방법.The method according to claim 1,
The step of verifying that the authenticated user equipment is
Extracting a medium access control address of the user equipment by parsing a packet transmitted from the user equipment; And
And verifying the user device with the authenticated user device if the extracted media access address corresponds to the authenticated media access address. 제 2 항에 있어서,
상기 매체 접근 제어 주소를 추출하는 단계는
상기 매체 접근 제어 주소는 상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 추출하는 단계를 포함하는 인증된 사용자 기기 관리 방법.3. The method of claim 2,
The step of extracting the medium access control address
And extracting the MAC address from a source address included in an Ethernet header through the packet parsing. 삭제delete 제 1 항에 있어서,
상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 하는 인증된 사용자 기기 관리 방법.The method according to claim 1,
Wherein the address resolution protocol request message is transmitted at intervals of a predetermined time period. 네트워크에 접속 요청된 사용자 기기로부터 사용자 상태 정보를 추출하는 사용자 상태 정보 추출부;
상기 사용자 상태 정보에 근거하여 상기 사용자 기기가 인증된 사용자 기기임을 확인하는 사용자 기기 인증부; 및
상기 사용자 기기가 인증된 사용자 기기이면 네트워크 서버로의 접속을 허용하는 네트워크 연결부를 포함하고,
상기 사용자 상태 정보는 상기 사용자 기기의 매체 접근 제어 주소 정보 및 상기 사용자 기기와의 주소 결정 프로토콜 요청/응답 메시지의 송수신 동작에 대한 정보이고,
상기 사용자 기기는 동적 호스트 설정 프로토콜을 통해 아이피를 할당받으며,
상기 사용자 상태 정보 추출부는,
상기 주소 결정 프로토콜 요청 메시지를 인증된 사용자 기기로 전송하고, 상기 주소 결정 프로토콜 요청 메시지에 대한 상기 주소 결정 프로토콜 응답 메시지를 상기 인증된 사용자 기기로부터 수신하여 상기 인증된 사용자 기기의 얼라이브 상태를 확인하고,
상기 사용자 기기 인증부는,
상기 얼라이브 상태의 인증된 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 하는 보안 장치.A user state information extracting unit for extracting user state information from a user device requested to access the network;
A user device authentication unit for verifying that the user equipment is an authenticated user equipment based on the user state information; And
And a network connection unit for allowing connection to a network server if the user equipment is an authenticated user equipment,
Wherein the user state information is information on a medium access control address information of the user equipment and transmission / reception operations of an address determination protocol request / response message with the user equipment,
Wherein the user equipment is assigned an IP through a dynamic host configuration protocol,
The user state information extracting unit,
Transmitting the address determination protocol response message to the authenticated user equipment, receiving the address resolution protocol response message for the address resolution protocol request message from the authenticated user equipment and checking the alive status of the authenticated user equipment,
Wherein the user-
And controls the network connection unit to allow network connection of the authenticated user equipment in the alive state. 제 6 항에 있어서,
상기 사용자 상태 정보 추출부는
상기 사용자 기기로부터 전송된 패킷을 파싱하여 상기 사용자 기기의 매체 접근 제어 주소를 추출하는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user state information extracting unit
And extracts a medium access control address of the user equipment by parsing a packet transmitted from the user equipment. 제 7 항에 있어서,
상기 사용자 상태 정보 추출부는
상기 패킷 파싱을 통해 이더넷 헤더에 포함된 소스 주소로부터 상기 매체 접근 제어 주소를 추출하는 것을 특징으로 하는 보안 장치.8. The method of claim 7,
The user state information extracting unit
And extracts the medium access control address from the source address included in the Ethernet header through the packet parsing. 제 7 항에 있어서,
상기 사용자 기기 인증부는
상기 추출된 매체 접근 제어 주소가 인증되어 있는 매체 접근 제어 주소에 대응되면, 상기 사용자 기기를 인증된 사용자 기기로 확인하는 것을 특징으로 하는 보안 장치.8. The method of claim 7,
The user device authentication unit
And verifies the user equipment as an authenticated user equipment if the extracted MAC access control address corresponds to an authenticated MAC access control address. 제 9 항에 있어서,
상기 사용자 기기 인증부는
상기 인증된 매체 접근 제어 주소를 갖는 사용자 기기의 네트워크 접속을 허용하도록 상기 네트워크 연결부를 제어하는 것을 특징으로 하는 보안 장치.10. The method of claim 9,
The user device authentication unit
And controls the network connection unit to allow the network connection of the user equipment having the authenticated MAC address. 삭제delete 제 6 항에 있어서,
상기 사용자 상태 정보 추출부는
상기 주소 결정 프로토콜 요청 메시지는 미리 결정된 시간 주기를 간격으로 송신되는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user state information extracting unit
Wherein the address determination protocol request message is transmitted at intervals of a predetermined time period. 삭제delete 제 6 항에 있어서,
상기 사용자 기기 인증부는
상기 사용자 기기를 외부의 인증 서버를 통해 인증하는 것을 특징으로 하는 보안 장치.The method according to claim 6,
The user device authentication unit
And authenticates the user device via an external authentication server.
KR1020130136964A 2013-11-12 2013-11-12 Security device and method for managing authenticated user device KR101540023B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130136964A KR101540023B1 (en) 2013-11-12 2013-11-12 Security device and method for managing authenticated user device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130136964A KR101540023B1 (en) 2013-11-12 2013-11-12 Security device and method for managing authenticated user device

Publications (2)

Publication Number Publication Date
KR20150054485A KR20150054485A (en) 2015-05-20
KR101540023B1 true KR101540023B1 (en) 2015-07-29

Family

ID=53390626

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130136964A KR101540023B1 (en) 2013-11-12 2013-11-12 Security device and method for managing authenticated user device

Country Status (1)

Country Link
KR (1) KR101540023B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592459B (en) * 2015-07-09 2019-06-18 中国银联股份有限公司 Safety certification device based on wireless communication
WO2018160863A1 (en) 2017-03-01 2018-09-07 Apple Inc. System access using a mobile device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060024204A (en) * 2004-09-13 2006-03-16 주식회사 케이티 System and method for controlling internet service providing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060024204A (en) * 2004-09-13 2006-03-16 주식회사 케이티 System and method for controlling internet service providing

Also Published As

Publication number Publication date
KR20150054485A (en) 2015-05-20

Similar Documents

Publication Publication Date Title
KR100906119B1 (en) Distributed filesystem network security extension
KR101704569B1 (en) Method, Apparatus and System For Controlling Dynamic Vehicle Security Communication Based on Ignition
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
WO2016180202A1 (en) Method and device for secure communication
KR20120017070A (en) Method and apparatus for authentication in passive optical network and passive optical network thereof
CN106464654B (en) Method, device and system for acquiring configuration file
US8515996B2 (en) Secure configuration of authentication servers
CN1585334A (en) Server apparatus, and method of distributing a security policy in communication system
CN102571729A (en) Internet protocol version (IPV)6 network access authentication method, device and system
US9438583B2 (en) Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device
US20040196977A1 (en) Conveying wireless encryption keys upon client device connecting to network in non-wireless manner
CN102624744B (en) Authentication method, device and system of network device and network device
US20140161121A1 (en) Method, System and Device for Authenticating IP Phone and Negotiating Voice Domain
KR20080071208A (en) Software execution management device and method thereof
US9491625B2 (en) Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof
CN116708416A (en) Data transmission control method, system, control device and readable storage medium
CN115250203A (en) Method and device for controlling equipment access and related products
KR101540023B1 (en) Security device and method for managing authenticated user device
KR20190003256A (en) Method and apparatus for vpn manegenment for ip camera
CN102075567B (en) Authentication method, client, server, feedthrough server and authentication system
CN109120738B (en) DHCP server and method for managing network internal equipment
CN105610667B (en) The method and apparatus for establishing Virtual Private Network channel
CN111628960B (en) Method and apparatus for connecting to network services on a private network
KR100670781B1 (en) Method for assigning dynamic IP address in EPON-based Optical Access Network
JP2006197094A (en) Communication system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant