KR102001996B1 - System for managing access control based on agent - Google Patents

System for managing access control based on agent Download PDF

Info

Publication number
KR102001996B1
KR102001996B1 KR1020170103357A KR20170103357A KR102001996B1 KR 102001996 B1 KR102001996 B1 KR 102001996B1 KR 1020170103357 A KR1020170103357 A KR 1020170103357A KR 20170103357 A KR20170103357 A KR 20170103357A KR 102001996 B1 KR102001996 B1 KR 102001996B1
Authority
KR
South Korea
Prior art keywords
application
server
command
access
authentication key
Prior art date
Application number
KR1020170103357A
Other languages
Korean (ko)
Other versions
KR20190018799A (en
Inventor
안병현
Original Assignee
주식회사 좋을
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 좋을 filed Critical 주식회사 좋을
Priority to KR1020170103357A priority Critical patent/KR102001996B1/en
Publication of KR20190018799A publication Critical patent/KR20190018799A/en
Application granted granted Critical
Publication of KR102001996B1 publication Critical patent/KR102001996B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

에이전트 기반 접근제어 관리 시스템이 개시된다. 본 발명의 시스템은, 복수의 단말에 대한 보안정책을 설정하고 분배하는 관리서버와, 상기 보안정책에 따라 인증을 수행하여, 인증된 서버접근을 위한 어플리케이션을 통해 인증된 명령어를 메인서버로 전송하는 단말을 포함한다.An agent based access control management system is disclosed. The system of the present invention, the management server for setting and distributing the security policy for a plurality of terminals, and performs authentication according to the security policy, and transmits the command to the main server through the application for the authenticated server access It includes a terminal.

Description

에이전트 기반 접근제어 관리 시스템{SYSTEM FOR MANAGING ACCESS CONTROL BASED ON AGENT}Agent-based access control management system {SYSTEM FOR MANAGING ACCESS CONTROL BASED ON AGENT}

본 발명은 에이전트 기반 접근제어 관리 시스템에 대한 것이다.The present invention relates to an agent-based access control management system.

최근, 인터넷과 모바일 기술의 발전과 더불어 네트워크의 보안사고 또한 급격하게 증가하고 있다. Recently, with the development of the Internet and mobile technologies, network security accidents are also rapidly increasing.

네트워크에서의 보안사고를 방지하기 위해, 서버 접근제어 시스템(server access control, SAC), 네트워크 접근제어 시스템(network access control, NAC), 데이터 유출방지 시스템(data loss proptection, DLP) 등이 개시되어 있다. 이중, NAC는 네트워크를 통해 유입되는 비정상 트래픽을 탐지 및 차단하는 방식이고, SAC는 중앙의 서버를 통해 시스템에 접근하게 하여, 중앙에서 일괄적으로 시스템에 대한 접근권한을 관리하는 방식이다. 또한 DLP는 외부전송 발생시 파일내부를 스캔하여 주요 정보가 포함되는 경우 전송을 차단하고 로깅하는 방식이다.In order to prevent security incidents in a network, server access control system (SAC), network access control system (NAC), data loss proptection (DLP), etc. are disclosed. . Among them, NAC detects and blocks abnormal traffic flowing through the network, and SAC manages access rights to the system collectively by allowing the system to be accessed through a central server. In addition, DLP scans the file when an external transmission occurs and blocks and logs the transmission when key information is included.

그러나, 이러한 네트워크 보안 시스템은 주로 서버기반으로서, 시스템 내부단말을 제외하고 외부단말에 대해서만 제한적으로 적용할 수 없으므로, 내부 및 외부의 모든 접근단말에 대해 동일한 솔루션을 제공함으로써 비용이 증가하게 되는 문제점이 있다. However, such a network security system is mainly server-based and cannot be limitedly applied to external terminals except for system internal terminals. Therefore, the cost of providing the same solution for all internal and external access terminals is increased. have.

본 발명이 해결하고자 하는 기술적 과제는, 에이전트를 기반으로 개별적인 접근을 제어함으로써, 네트워크를 통해 접근하는 단말에 대하여 개별적으로 보안을 관리하는, 에이전트 기반 접근제어 관리 시스템을 제공하는 것이다. The technical problem to be solved by the present invention is to provide an agent-based access control management system that individually manages security for the terminal accessing through the network by controlling the individual access based on the agent.

상기와 같은 기술적 과제를 해결하기 위해, 본 발명의 일실시예의 접근제어 관리 시스템은, 복수의 단말에 대한 보안정책을 설정하고 분배하는 관리서버; 및 상기 보안정책에 따라 인증을 수행하여, 인증된 서버접근을 위한 어플리케이션을 통해 인증된 명령어를 메인서버로 전송하는 단말을 포함하고, 상기 단말은, 서버접근을 위한 어플리케이션을 실행하고, 인증된 명령어를 상기 어플리케이션을 통해 상기 메인서버로 전송하는 어플리케이션부; 및 상기 보안정책을 수신하여 저장하고, 상기 어플리케이션이 인증된 경우에 한하여 상기 어플리케이션부가 상기 어플리케이션을 실행하도록 하고, 사용자로부터 입력된 명령어가 차단된 명령어가 아닌 경우, 상기 어플리케이션을 통해 명령어를 상기 메인서버로 전송하도록 하는 에이전트부를 포함할 수 있다.In order to solve the above technical problem, an access control management system of an embodiment of the present invention, the management server for setting and distributing security policies for a plurality of terminals; And a terminal performing authentication according to the security policy, and transmitting an authenticated command to a main server through an application for an authenticated server access, wherein the terminal executes an application for server access and authenticates the command. Application unit for transmitting to the main server through the application; And receiving and storing the security policy, causing the application unit to execute the application only when the application is authenticated, and if the command input from the user is not a blocked command, the command is transmitted through the main server through the application. It may include an agent for transmitting to.

본 발명의 일실시예에서, 상기 보안정책은, 상기 어플리케이션의 인증키와 차단 명령어 리스트를 포함할 수 있다.In one embodiment of the present invention, the security policy may include an authentication key and a blocking command list of the application.

본 발명의 일실시예에서, 상기 에이전트부는, 상기 어플리케이션부에 상기 어플리케이션에 대한 인증키를 요청하여 이를 수신하고, 상기 관리서버로부터 수신한 인증키와 동일한지를 판단하여 상기 어플리케이션을 인증할 수 있다.In an embodiment of the present disclosure, the agent unit may request the authentication key for the application from the application unit, receive the authentication key, and determine whether it is the same as the authentication key received from the management server to authenticate the application.

본 발명의 일실시예에서, 상기 에이전트부는, 상기 어플리케이션부로부터 수신한 인증키와 상기 관리서버로부터 수신한 인증키가 동일하지 않은 경우, 상기 어플리케이션의 강제종료를 상기 어플리케이션부에 요청할 수 있다.In one embodiment of the present invention, when the authentication key received from the application unit and the authentication key received from the management server is not the same, the agent unit may request the forced termination of the application to the application unit.

본 발명의 일실시예에서, 상기 에이전트부는, 상기 어플리케이션부로부터 수신한 인증키와 상기 관리서버로부터 수신한 인증키가 동일한 경우, 상기 어플리케이션이 상기 서버에 접속하도록 상기 어플리케이션에 요청할 수 있다.In one embodiment of the present invention, if the authentication key received from the application unit and the authentication key received from the management server, the agent unit may request the application to access the server.

본 발명의 일실시예에서, 상기 에이전트부는, 사용자로부터 입력된 명령어가 차단된 명령어인 경우, 해당 명령어를 차단할 수 있다.In one embodiment of the present invention, when the command input from the user is a blocked command, the agent may block the corresponding command.

본 발명의 일실시예에서, 상기 단말은, 상기 단말이 접근가능한 네트워크 장치의 IP 주소와 관련한 정보를 저장하는 ARP 테이블을 저장하는 저장부를 더 포함할 수 있고, 상기 에이전트부는, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 ARP 테이블에 존재하는 경우에 한하여, 상기 네트워크 장치에 접속할 수 있다.In one embodiment of the present invention, the terminal may further include a storage unit for storing the ARP table for storing information relating to the IP address of the network device accessible by the terminal, the agent unit, the network input from the user Only when the IP address of the device exists in the ARP table, the network device can be accessed.

본 발명의 일실시예에서, 상기 보안정책은, 접근가능 IP 주소 리스트 및 숨김 IP 주소 리스트를 포함할 수 있다.In one embodiment of the present invention, the security policy may include a list of accessible IP addresses and a list of hidden IP addresses.

본 발명의 일실시예에서, 상기 에이전트부는, 상기 관리서버로부터 보안정책을 수신하는 경우, 상기 ARP 테이블을 초기화하고 재설정할 수 있다.In one embodiment of the present invention, when receiving the security policy from the management server, the agent unit may initialize and reset the ARP table.

본 발명의 일실시예에서, 상기 에이전트부는, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 ARP 테이블에 존재하지 않는 경우, 존재하지 않는 IP 주소로 인식할 수 있다.In one embodiment of the present invention, if the IP address of the network device input from the user does not exist in the ARP table, the agent may recognize as an IP address that does not exist.

또한, 상기와 같은 기술적 과제를 해결하기 위해, 본 발명의 일실시예의 접근제어 관리 시스템은, 복수의 단말에 대한 보안정책을 설정하고 분배하는 관리서버; 및 상기 보안정책에 따라, 네트워크 장치로의 접근을 제어하는 단말을 포함하고, 상기 단말은, 상기 단말이 접근가능한 네트워크 장치의 IP 주소와 관련한 정보를 저장하는 ARP 테이블을 저장하는 저장부; 및 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 ARP 테이블에 존재하는 경우에 한하여, 상기 네트워크 장치에 접속을 수행하는 에이전트부를 포함할 수 있다. In addition, in order to solve the above technical problem, the access control management system of an embodiment of the present invention, the management server for setting and distributing the security policy for a plurality of terminals; And a terminal for controlling access to a network device according to the security policy, wherein the terminal comprises: a storage unit for storing an ARP table for storing information related to an IP address of a network device accessible by the terminal; And an agent unit for accessing the network device only when the IP address of the network device input from the user exists in the ARP table.

본 발명의 일실시예에서, 상기 보안정책은, 접근가능 IP 주소 리스트 및 숨김 IP 주소 리스트를 포함할 수 있다. In one embodiment of the present invention, the security policy may include a list of accessible IP addresses and a list of hidden IP addresses.

본 발명의 일실시예에서, 상기 에이전트부는, 상기 관리서버로부터 보안정책을 수신하는 경우, 상기 ARP 테이블을 초기화하고 재설정할 수 있다.In one embodiment of the present invention, when receiving the security policy from the management server, the agent unit may initialize and reset the ARP table.

본 발명의 일실시예에서, 상기 에이전트부는, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 ARP 테이블에 존재하지 않는 경우, 존재하지 않는 IP 주소로 인식할 수 있다. In one embodiment of the present invention, if the IP address of the network device input from the user does not exist in the ARP table, the agent may recognize as an IP address that does not exist.

상기와 같은 본 발명은, 단말의 에이전트부가 서버접근을 위한 어플리케이션에 해당하는 것임을 1차적으로 인증하여 해당 어플리케이션을 실행시키고, 이후 에이전트부가 입력되는 명령어를 차단할 것인지의 여부를 2차적으로 인증하는 2 팩터 인증을 수행함으로써, 네트워크로 명령어가 전송되기 이전에 단말의 에이전트에서 차단함하여, 네트워크상의 부하를 가장 적게 발생하게 하는 효과가 있으며, 또한, 단말에 장애가 발생하는 경우에도 네트워크의 중단없이 다른 단말이 메인서버와 통신하게 하는 효과가 있다. According to the present invention as described above, the agent part of the terminal first authenticates that it corresponds to an application for accessing the server to execute the application, and thereafter, the second factor for secondly authenticating whether to block the command inputted by the agent part. By performing authentication, the agent of the terminal blocks before the command is transmitted to the network, thereby causing the least load on the network. Also, even when a terminal fails, another terminal can be connected without interruption of the network. It has the effect of communicating with the main server.

또한, 본 발명은, 단말을 통해 네트워크에 접근하는 경우, 존재하는 네트워크 장치와 존재하지만 접근할 수 없는 네트워크 장치를 구분할 수 있으며, 존재하지만 접근할 수 없는 네트워크 장치에 대해서는 접근 자체를 시도하지 않게 되므로, 강력하게 접근제어하게 하는 효과가 있다. In addition, in the present invention, when accessing a network through a terminal, it is possible to distinguish between existing network devices that exist but are inaccessible, and thus does not attempt to access the existing network devices that exist but are not accessible. This has the effect of strong access control.

도 1은 본 발명의 일실시예의 접근제어 관리 시스템을 설명하기 위한 구성도이다.
도 2는 본 발명의 일실시예의 단말의 상세 구성도이다.
도 3은 본 발명의 일실시예에 따라 수행되는 접근제어를 설명하기 위한 상호동작 흐름도이다.
도 4는 본 발명의 다른 실시예의 단말의 상세 구성도이다.
도 5는 본 발명의 다른 실시예에 따라 수행되는 접근제어를 설명하기 위한 상호동작 흐름도이다.1 is a block diagram illustrating an access control management system according to an embodiment of the present invention.
2 is a detailed block diagram of a terminal of an embodiment of the present invention.
3 is a flowchart illustrating an operation of access control performed according to an embodiment of the present invention.
4 is a detailed block diagram of a terminal of another embodiment of the present invention.
5 is a flowchart illustrating an operation for explaining access control performed according to another embodiment of the present invention.

본 발명의 구성 및 효과를 충분히 이해하기 위하여, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예들을 설명한다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라, 여러가지 형태로 구현될 수 있고 다양한 변경을 가할 수 있다. 단지, 본 실시예에 대한 설명은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위하여 제공되는 것이다. 첨부된 도면에서 구성요소는 설명의 편의를 위하여 그 크기를 실제보다 확대하여 도시한 것이며, 각 구성요소의 비율은 과장되거나 축소될 수 있다.In order to fully understand the constitution and effects of the present invention, preferred embodiments of the present invention will be described with reference to the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be embodied in various forms and various changes may be made. However, the description of the present embodiment is provided to make the disclosure of the present invention complete, and to fully inform the person of ordinary skill in the art the scope of the present invention. In the accompanying drawings, for convenience of description, the size of the components is larger than the actual drawings, and the ratio of each component may be exaggerated or reduced.

어떤 구성요소가 다른 구성요소의 '상에' 있다거나 '접하여' 있다고 기재된 경우, 다른 구성요소에 상에 직접 맞닿아 있거나 또는 연결되어 있을 수 있지만, 중간에 또 다른 구성요소가 존재할 수 있다고 이해되어야 할 것이다. 반면, 어떤 구성요소가 다른 구성요소의 '바로 위에' 있다거나 '직접 접하여' 있다고 기재된 경우에는, 중간에 또 다른 구성요소가 존재하지 않은 것으로 이해될 수 있다. 구성요소간의 관계를 설명하는 다른 표현들, 예를 들면, '~사이에'와 '직접 ~사이에' 등도 마찬가지로 해석될 수 있다.Where a component is said to be 'on' or 'facing' another component, it may be directly in contact with or connected to another component, but it should be understood that there may be another component in between. something to do. On the other hand, if a component is said to be 'directly' or 'directly' to another component, it may be understood that there is no other component in between. Other expressions describing the relationship between the components, such as 'between' and 'directly between', may be interpreted as well.

'제1', '제2' 등의 용어는 다양한 구성요소를 설명하는데 사용될 수 있지만, 상기 구성요소는 위 용어에 의해 한정되어서는 안 된다. 위 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 수 있다. 예를 들어, 본 발명의 권리범위를 벗어나지 않으면서 '제1구성요소'는 '제2구성요소'로 명명될 수 있고, 유사하게 '제2구성요소'도 '제1구성요소'로 명명될 수 있다.Terms such as 'first' and 'second' may be used to describe various components, but the components should not be limited by the above terms. The term may only be used to distinguish one component from another. For example, a 'first component' may be referred to as a 'second component' without departing from the scope of the present invention, and similarly, a 'second component' may also be referred to as a 'first component'. Can be.

단수의 표현은 문맥상 명백하게 다르게 표현하지 않는 한, 복수의 표현을 포함한다. '포함한다' 또는 '가진다' 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하기 위한 것으로, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 부가될 수 있는 것으로 해석될 수 있다. Singular expressions include plural expressions unless the context clearly indicates otherwise. The terms "comprises" or "having" are intended to indicate that there are features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, one or more other features or numbers, It may be interpreted that steps, actions, components, parts or combinations thereof may be added.

본 발명의 실시예에서 사용되는 용어는 다르게 정의되지 않는 한, 해당 기술분야에서 통상의 지식을 가진 자에게 통상적으로 알려진 의미로 해석될 수 있다.Unless otherwise defined, terms used in the embodiments of the present invention may be interpreted as meanings commonly known to those skilled in the art.

본 발명의 시스템은, 단말(예를 들어, PC)에 제공되는 에이전트를 기반으로 하는 것으로서, 어플리케이션을 실행하기 위한 보안정책과 어플리케이션에서 실행되는 명령어를 차단함으로써, 어플리케이션 레이어에서의 어플리케이션에 대한 접근을 제어한다. 또한, 본 발명의 시스템은, IP(Internet Protocol) 레이어에서 단말에서 네트워크에 접근하기 위한 보안정책과 정책에 따른 접근권한을 제어할 수 있다. The system of the present invention is based on an agent provided to a terminal (for example, a PC), and blocks access to an application in an application layer by blocking a security policy for executing an application and instructions executed in the application. To control. In addition, the system of the present invention, in the IP (Internet Protocol) layer can control the access policy according to the security policy and policy for accessing the network from the terminal.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써 본 발명을 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예의 접근제어 관리 시스템을 설명하기 위한 구성도이다.1 is a block diagram illustrating an access control management system according to an embodiment of the present invention.

도면에 도시된 바와 같이, 본 발명의 일실시예의 시스템은, 복수의 단말(10)과, 네트워크를 통해 복수의 단말(10)과 연결되는 관리서버(20) 및 메인서버(30)로 구성될 수 있다. As shown in the figure, the system of one embodiment of the present invention, a plurality of terminals 10, the management server 20 and the main server 30 connected to the plurality of terminals 10 via a network to be configured Can be.

단말(10)은 네트워크 장비(도시되지 않음)를 통해 관리서버(20)에 접속할 수 있으며, 단말(10) 내부의 에이전트(추후 설명)에 의해 인증을 거친 어플리케이션의 명령어를 관리서버(20)로 전송함으로써, 네트워크상 부하를 줄일 수 있다.The terminal 10 may access the management server 20 through network equipment (not shown), and the command of the application authenticated by the agent (described later) inside the terminal 10 to the management server 20. By transmitting, the load on the network can be reduced.

종래의 경우, 명령어 차단을 위해 네트워크 장비로써 게이트웨이 기능을 수행하는 서버를 구성하고, 모든 단말에서 발생하는 서버접근 요청 및 명령어가 게이트웨이 서버로 전송되며, 게이트웨이 서버가 메인서버와 통신을 수행하게 된다.In the related art, a server that performs a gateway function as a network device is blocked for command blocking, server access requests and commands generated from all terminals are transmitted to the gateway server, and the gateway server communicates with the main server.

이러한 경우, 모든 명령어가 게이트웨이 서버를 통과하기 때문에 개발범위가 전체 대상서버에 비해 최소화되므로, 개발비용을 최소화할 수 있지만, 모든 메인서버에 대한 접근제어가 게이트웨이 서버를 통과하게 되므로, 게이트웨이 서버가 과부화되거나 또는 게이트웨이 서버에 장애가 발생하는 경우 전체 단말의 네트워크 사용이 중단되는 문제가 있었다. 또한, 게이트웨이 서버를 거치지 않고 메인서버에 접근하는 다양한 우회경로가 생성될 수 있으므로, 게이트웨이 서버의 존재가치가 퇴색되는 문제점이 있다. In this case, the development scope is minimized compared to the entire target server because all the commands pass through the gateway server, so the development cost can be minimized. However, since the access control for all main servers passes through the gateway server, the gateway server becomes overloaded. Or if a failure occurs in the gateway server, there is a problem that the network use of the entire terminal is stopped. In addition, since various bypass paths for accessing the main server may be generated without passing through the gateway server, there is a problem that the existing value of the gateway server is faded.

본 발명은 이와 같은 문제점을 해결하기 위한 것으로서, 단말(10) 자체에서 서버접근을 위한 어플리케이션을 제어하여 1차적으로 접근권한을 검증하고, 실행 명령어가 차단된 명령어인지 2차적으로 검증함으로써, 네트워크상 부하를 줄이는 것이다.The present invention is to solve such a problem, by controlling the application for accessing the server in the terminal 10 itself to verify the access authority first, and secondly verify whether the execution command is a blocked command, on the network To reduce the load.

관리서버(20)는 각 단말(10)의 에이전트에 대한 보안정책을 설정하고 이를 분배할 수 있다. The management server 20 may set a security policy for the agent of each terminal 10 and distribute it.

또한, 메인서버(30)는 단말(10)이 요청하는 서비스를 제공할 수 있다. 이때 단말(10)은 인증된 명령어를 메인서버(30)에 전송할 수 있으며, 인증되지 않은 명령어는 메인서버(30)로 전송되지 않을 수 있다. In addition, the main server 30 may provide a service requested by the terminal 10. In this case, the terminal 10 may transmit an authenticated command to the main server 30, and an unauthenticated command may not be transmitted to the main server 30.

한편, 본 발명의 다른 실시예에 의하면, 단말(10)은 관리서버(20)의 정책에 따라, 네트워크를 통해 메인서버(30)에 접근하기 위한 보안정책과 정책에 따른 접근권한을 제어할 수 있다.Meanwhile, according to another exemplary embodiment of the present invention, the terminal 10 may control access rights according to the security policy and the policy for accessing the main server 30 through the network according to the policy of the management server 20. have.

본 발명의 일실시예에서는, 관리서버(20)와 메인서버(30)가 각각 별도로 구성되어 있는 것을 예를 들어 설명하고 있으나, 관리서버(20)와 메인서버(30)가 통합하여 구성될 수도 있을 것이다. In one embodiment of the present invention, for example, the management server 20 and the main server 30 are described separately, for example, but the management server 20 and the main server 30 may be configured to be integrated. There will be.

도 2는 본 발명의 일실시예의 단말의 상세 구성도이다.2 is a detailed block diagram of a terminal of an embodiment of the present invention.

도면에 도시된 바와 같이, 본 발명의 일실시예의 단말(10)은, 에이전트부(11), 서버접근 어플리케이션부(12), 저장부(13) 및 사용자 입력부(14)를 포함할 수 있다.As shown in the figure, the terminal 10 according to an embodiment of the present invention may include an agent unit 11, a server access application unit 12, a storage unit 13, and a user input unit 14.

에이전트부(11)는 관리서버(20)에서 설정된 보안정책을 수신하여 이를 저장부(13)에 저장하고, 해당 보안정책에 따라 접근제어를 수행할 수 있다. The agent unit 11 may receive the security policy set in the management server 20, store it in the storage unit 13, and perform access control according to the security policy.

서버접근 어플리케이션부(12)는 서버접근을 위한 어플리케이션을 구동하며, 사용자 입력부(14)를 통해 입력되는 명령어에 대한 인증을 에이전트부(11)가 수행하는 경우, 이를 메인서버(30)로 전송할 수 있을 것이다.The server access application unit 12 drives an application for server access, and when the agent unit 11 performs authentication for a command input through the user input unit 14, the server access application unit 12 may transmit it to the main server 30. There will be.

본 발명의 일실시예에서, 단말(10)의 구성으로서, 위 도 2의 구성요소가 도시되어 있으나, 단말(10)의 구성이 이에 한정되는 것은 아니다. In one embodiment of the present invention, as the configuration of the terminal 10, the components of FIG. 2 are shown, but the configuration of the terminal 10 is not limited thereto.

이러한 단말(10)의 에이전트부(11)와 서버접근 어플리케이션부(12)는 관리서버(20)와의 통신을 통해 관리서버(20)로부터 단말(10)로 제공될 수 있을 것이다. The agent unit 11 and the server access application unit 12 of the terminal 10 may be provided to the terminal 10 from the management server 20 through communication with the management server 20.

도 3은 본 발명의 일실시예에 따라 수행되는 접근제어를 설명하기 위한 상호동작 흐름도이다.3 is a flowchart illustrating an operation of access control performed according to an embodiment of the present invention.

도면에 도시된 바와 같이, 본 발명의 일실시예의 접근제어에서, 에이전트부(11)는 관리서버(20)로부터 보안정책을 수신할 수 있다(S31). 이때, 도시되지는 않았으나, 관리서버(20)는 에이전트부(11)와 통신하여, 사용자에 대한 인증을 수행할 수 있다. 즉, 예를 들어, 단말(10)을 사용하는 사용자는, 관리서버(20)가 제공하는 웹페이지에 접속하여, 사용자 인증을 위한 일련의 과정을 수행할 수 있을 것이다. 보안정책의 수신(S31)은, 이러한 사용자 인증이 완료된 경우에 한하여 수행될 수 있다. 이때 보안정책은, 서버접근용 어플리케이션의 인증키와, 차단 명령어 리스트를 포함할 수 있다.As shown in the figure, in the access control of an embodiment of the present invention, the agent unit 11 may receive a security policy from the management server 20 (S31). At this time, although not shown, the management server 20 may communicate with the agent unit 11 to perform authentication for the user. That is, for example, a user using the terminal 10 may access a web page provided by the management server 20 and perform a series of processes for user authentication. Reception of the security policy (S31) can be performed only when such user authentication is completed. In this case, the security policy may include an authentication key of a server access application and a list of blocking commands.

이후, 에이전트부(11)는 서버접근 어플리케이션부(12)에 어플리케이션에 대한 인증키를 요청할 수 있고(S32), 서버접근 어플리케이션부(12)로부터 인증키를 수신할 수 있다(S33). Thereafter, the agent unit 11 may request an authentication key for the application from the server access application unit 12 (S32), and receive an authentication key from the server access application unit 12 (S33).

에이전트부(11)는 서버접근 어플리케이션부(12)로부터 수신한 인증키에 대한 검증을 수행할 수 있다(S34). 이때, 관리서버(20)로부터 수신된 인증키와 동일한지 여부에 따라 인증을 수행할 수 있을 것이다. 이는, 단말(10)에서 특정 어플리케이션이 실행되었는지를 판단하기 위한 것으로서, 인증이 완료되지 않은 경우에는(S35), 서버접근 어플리케이션부(12)에 해당 어플리케이션에 대한 강제종료를 요청할 수 있다(S36). 또는 에이전트부(11)가 직접 해당 어플리케이션을 강제종료할 수도 있을 것이다. The agent unit 11 may perform verification on the authentication key received from the server access application unit 12 (S34). At this time, authentication may be performed depending on whether the authentication key received from the management server 20 is the same. This is for determining whether a specific application is executed in the terminal 10. If authentication is not completed (S35), the server access application unit 12 may request a forced termination of the corresponding application (S36). . Alternatively, the agent unit 11 may directly terminate the application.

S35에서 인증이 완료된 경우에는, 서버접근 어플리케이션부(12)가 서버에 접속하도록 IP 접속목록을 오픈하여, 메인서버(30)에 대한 접속을 요청할 수 있을 것이다(S37). 메인서버(30)에 대한 접속요청을 수신한 서버접근 어플리케이션부(12)는, 어플리케이션을 실행하여 메인서버(30)에 접속할 수 있을 것이다.When the authentication is completed in S35, the server access application unit 12 may open the IP connection list to access the server and request a connection to the main server 30 (S37). The server access application unit 12 that receives the connection request to the main server 30 may execute the application and connect to the main server 30.

이후, 사용자는 단말(10)의 사용자 입력부(14)를 통해, 명령어가 입력되면(S38), 관리서버(20)로부터 수신된 보안정책에서 차단된 명령어에 해당하는지 여부를 확인할 수 있다(S39). Thereafter, when the command is input through the user input unit 14 of the terminal 10 (S38), the user may check whether the command corresponds to a command blocked in the security policy received from the management server 20 (S39). .

단말(10)는 명령어를 전송함으로써 메인서버(30)를 제어할 수 있으며, 종래의 경우 서버에서 해당 명령어가 차단되었는지 또는 허가되었는지를 판단하였으나, 본 발명의 일실시예에 의하면 단말(10)의 에이전트부(11)에서 허가된 명령어만을 전송함으로써, 메인서버(30)의 네트워크 부하를 경감할 수 있다. 또한, 권한이 없는 사용자의 명령어 사용을 원천적으로 차단함으로써 안정적으로 메인서버(30)를 운용할 수 있다. The terminal 10 may control the main server 30 by transmitting a command, and in the related art, it is determined whether the command is blocked or permitted in the server, but according to an embodiment of the present invention, The network load of the main server 30 can be reduced by transmitting only the commands permitted by the agent unit 11. In addition, the main server 30 can be stably operated by blocking the use of commands by unauthorized users.

즉, 에이전트부(11)는, 차단된 명령어가 아닌 경우, 해당 명령어를 서버접근 어플리케이션부(12)에 전달하여, 서버접근 어플리케이션이 해당 명령어를 메인서버(30)에 전송할 수 있게 한다. 그러나 에이전트부(11)는 해당 명령어가 차단된 명령어인 경우 해당 명령어를 차단하여 서버접근 어플리케이션을 통해 메인서버(30)에 전송되지 않도록 할 수 있다.That is, the agent unit 11 transmits the command to the server access application unit 12 when the command is not blocked, so that the server access application transmits the command to the main server 30. However, the agent unit 11 may prevent the command from being transmitted to the main server 30 through the server access application when the command is blocked.

이와 같은 본 발명에 의하면, 에이전트부(11)가 서버접근을 위한 어플리케이션에 해당하는 것임을 1차적으로 인증하여 해당 어플리케이션을 실행시키고, 이후 에이전트부(11)가 입력되는 명령어를 차단할 것인지의 여부를 2차적으로 인증하는 2 팩터 인증을 수행하게 된다.According to the present invention as described above, the agent unit 11 executes the application by first authenticating that it corresponds to an application for accessing the server, and then determines whether the agent unit 11 blocks the input command. Second factor authentication is then performed.

즉, 본 발명에 의하면, 네트워크로 명령어가 전송되기 이전에 단말의 에이전트에서 차단함으로써, 네트워크상의 부하가 가장 적게 발생하게 되는 효과가 있으며, 단말(10)에 장애가 발생하는 경우에도 개별 에이전트부(11) 상의 장애만이 발생되므로 네트워크의 중단없이 다른 단말(10)이 메인서버(30)와 통신할 수 있다. 또한, 권한이 없는 사용자의 명령어 사용을 원천적으로 차단함으로써 안정적으로 메인서버(30)를 운용할 수 있다. That is, according to the present invention, by blocking the agent of the terminal before the command is transmitted to the network, there is an effect that the least load on the network occurs, even if a failure occurs in the terminal 10, the individual agent unit 11 Since only a failure on the network is generated, another terminal 10 may communicate with the main server 30 without interruption of the network. In addition, the main server 30 can be stably operated by blocking the use of commands by unauthorized users.

한편, 본 발명의 접근제어 시스템에 의하면, 도 1과 같은 본 발명의 일실시예의 단말(10)은 네트워크에 접근하기 위한 보안정책과 정책에 따른 접근권한을 제어할 수 있다. 이를 이하에서 도면을 참조로 설명하기로 한다. On the other hand, according to the access control system of the present invention, the terminal 10 of one embodiment of the present invention as shown in FIG. 1 can control the access policy according to the security policy and policy for accessing the network. This will be described below with reference to the drawings.

도 4는 본 발명의 다른 실시예의 단말의 상세 구성도이다.4 is a detailed block diagram of a terminal of another embodiment of the present invention.

도면에 도시된 바와 같이, 본 발명의 일실시예의 단말(10)은, 에이전트부(11), ARP(address resolution protocol) 테이블 저장부(15) 및 사용자 입력부(14)를 포함할 수 있다. 도 2의 구성과 별개의 도면으로 작성되어 있지만, 도 4의 구성과 도 2의 구성은 동시에 구성될 수도 있다.As shown in the figure, the terminal 10 according to an embodiment of the present invention may include an agent unit 11, an address resolution protocol (ARP) table storage unit 15, and a user input unit 14. Although it is created in a figure separate from the structure of FIG. 2, the structure of FIG. 4 and the structure of FIG. 2 may be comprised simultaneously.

보통 네트워크 접근제어는, 네트워크상에 존재하는 각종 디바이스에 대한 접근을 제어하는 기술로서, 종래의 네트워크 접근제어는 보통 게이트웨이 방식으로 구성된다. 따라서, 모든 단말에서 발생되는 네트워크 접근을 게이트웨이가 처리하게 되므로, 접근 자체는 처리하기 쉽지만 과부하의 문제점이 있으며, 게이트웨이 장애시 네트워크 자체가 중단되며, 우회경로의 발생가능성으로 인해 보안이 취약해지는 문제점이 있었다.In general, network access control is a technology for controlling access to various devices existing on a network, and conventional network access control is usually configured in a gateway manner. Therefore, since the gateway processes the network access generated from all terminals, the access itself is easy to handle, but there is a problem of overload, and when the gateway fails, the network itself is interrupted and the security is weak due to the possibility of the bypass path. there was.

본 발명은 이와 같은 문제점을 해결하기 위한 것으로서, 단말(10) 자체에서 네트워크에 접근하기 위한 접근제어를 수행하는 것이다.The present invention is to solve such a problem, it is to perform the access control to access the network in the terminal 10 itself.

에이전트부(11)는 관리서버(20)에서 설정된 보안정책을 수신하고, 해당 보안정책에 따라 네트워크 접근제어를 수행할 수 있다.The agent unit 11 may receive a security policy set in the management server 20 and perform network access control according to the security policy.

ARP 테이블 저장부(15)는 단말(10)의 제어부(도시되지 않음) 또는 에이전트부(11)가 관리할 수 있으며, 단말(10)에서 접근가능한 네트워크상의 장치에 대한 IP 주소와 MAC(media access control) 주소와 관련한 정보를 저장할 수 있다. 통상 ARP 테이블을 IP 주소를 MAC 주소로 변환하기 위하여 사용되는 테이블을 말하는 것으로서, 단말(10)이 IP 주소정보를 통해 모든 네트워크 장치에 접근하고자 할 때 MAC 주소를 반드시 ARP 테이블로부터 조회하여 해당 MAC 주소로 전송을 수행하게 된다. ARP 테이블에 IP 주소가 포함되지 않는 장치는 MAC 주소를 조회할 수 없으므로 네트워크상에 존재하지 않은 장치로 인식하고, 이에 의해 네트워크 접근시도를 하지 않게 된다.The ARP table storage unit 15 may be managed by a controller (not shown) or an agent unit 11 of the terminal 10, and may include an IP address and a media access (MAC) for a device on a network accessible from the terminal 10. control) can store information about the address. Normally, ARP table refers to a table used for converting an IP address into a MAC address. When the terminal 10 wants to access all network devices through IP address information, the MAC address must be inquired from the ARP table and the corresponding MAC address. Will be sent. A device that does not include an IP address in the ARP table cannot recognize the MAC address, so it is recognized as a device that does not exist on the network, and thus does not attempt to access the network.

도 5는 본 발명의 다른 실시예에 따라 수행되는 접근제어를 설명하기 위한 상호동작 흐름도이다.5 is a flowchart illustrating an operation for explaining access control performed according to another embodiment of the present invention.

도면에 도시된 바와 같이, 본 발명의 다른 실시예의 접근제어에서, 에이전트부(11)는 관리서버(20)로부터 보안정책을 수신할 수 있다(S51). 이때, 도시되지는 않았으나, 관리서버(20)는 에이전트부(11)와 통신하여, 사용자에 대한 인증을 수행할 수 있다. 즉, 예를 들어, 단말(10)을 사용하는 사용자는, 관리서버(20)가 제공하는 웹페이지에 접속하여, 사용자 인증을 위한 일련의 과정을 수행할 수 있을 것이다. As shown in the figure, in the access control of another embodiment of the present invention, the agent unit 11 may receive a security policy from the management server 20 (S51). At this time, although not shown, the management server 20 may communicate with the agent unit 11 to perform authentication for the user. That is, for example, a user using the terminal 10 may access a web page provided by the management server 20 and perform a series of processes for user authentication.

보안정책의 수신(S51)은, 이러한 일련의 사용자 인증이 완료된 경우에 한하여 수행될 수 있다. 이때 보안정책은, 네트워크상 접근가능 IP 주소 리스트와 숨김 IP 주소 리스트를 포함할 수 있다. 접근가능 IP 주소는 단말(10)이 접근할 수 있는 IP 주소를 말하는 것이고, 숨김 IP 주소는 단말(10)이 접근할 수 없도록 ARP 테이블에서 삭제하는 IP 주소를 말한다. 접근가능 IP 주소와 숨김 IP 주소 이외의 모든 IP 주소는 접근불가 IP 주소로써, 존재하지만 접근이 불가능한 IP 주소를 말하는 것이다. Reception of the security policy (S51) can be performed only when such a series of user authentication is completed. In this case, the security policy may include a list of accessible IP addresses and a list of hidden IP addresses on the network. The accessible IP address refers to an IP address accessible by the terminal 10, and the hidden IP address refers to an IP address deleted from the ARP table so that the terminal 10 cannot access it. All IP addresses other than the accessible IP address and the hidden IP address are inaccessible IP addresses, which are existing but inaccessible IP addresses.

S51에서 보안정책을 수신한 에이전트부(11)는, 해당 보안정책을 ARP 테이블 저장부(15)에 제공할 수 있다(S52). 보안정책을 수신한 ARP 테이블 저장부(15)는 해당 보안정책을 이용하여 ARP 테이블을 업데이트할 수 있다(S53). 즉, 보안정책에 포함되어 있는 접근가능 IP 주소 리스트와 숨김 IP 주소 리스트를 이용하여, ARP 테이블을 초기화하고 해당 보안정책으로 ARP 테이블을 재설정할 수 있다. 이후, 도시되지는 않았지만, 에이전트부(11)는 관리서버(20)로부터 보안정책이 수신되는지 여부 및 ARP 테이블에 변경이 있는지를 지속적으로 모니터링하여, 보안정책이 수신되는 경우 ARP 테이블을 초기화하고 재설정하거나, 또는 ARP 테이블에 대한 변경을 차단할 수 있을 것이다.The agent unit 11 receiving the security policy in S51 may provide the security policy to the ARP table storage unit 15 (S52). The ARP table storage unit 15 having received the security policy may update the ARP table using the corresponding security policy (S53). That is, by using the accessible IP address list and the hidden IP address list included in the security policy, the ARP table can be initialized and the ARP table can be reset with the corresponding security policy. Subsequently, although not shown, the agent unit 11 continuously monitors whether the security policy is received from the management server 20 and whether there is a change in the ARP table, and initializes and resets the ARP table when the security policy is received. Or block changes to the ARP table.

이후, 단말(10)의 사용자가 사용자 입력부(14)를 통해 접속하고자 하는 네트워크 장치의 IP 주소를 입력하는 경우(S54), 에이전트부(11)는 ARP 테이블 저장부(15)로부터 해당 IP 주소에 대한 ARP 테이블을 확인할 수 있다(S55).Then, when the user of the terminal 10 inputs the IP address of the network device to be connected through the user input unit 14 (S54), the agent unit 11 to the corresponding IP address from the ARP table storage unit 15 The ARP table may be checked (S55).

ARP 테이블의 확인결과 접근가능한 IP 주소인 경우(S56), 해당 IP 주소에 대응하는 네트워크 장치에 접속하도록 서버접근 어플리케이션부(12)에 요청할 수 있다(S57). 그러나, ARP 테이블의 확인결과 접근가능한 IP 주소가 아닌 경우에는(S56), 존재하지 않는 IP 주소로 인식하여 해당 네트워크 장치로의 접근시도가 차단될 수 있다(S58). If the check result of the ARP table is an accessible IP address (S56), the server access application unit 12 may request to access the network device corresponding to the IP address (S57). However, when it is determined that the ARP table is not an accessible IP address (S56), the access attempt to the corresponding network device may be blocked by recognizing the non-existent IP address (S58).

본 발명의 다른 실시예의 네트워크 접근제어는, IP 주소 자체를 차단하여 네트워크상에서 존재하지 않는 장치로 설정하는 것으로서, 네트워크 레이어 중 IP 레이어에서 이루어질 수 있다. Network access control according to another embodiment of the present invention is to block the IP address itself and set it as a device that does not exist on the network, and may be performed at the IP layer among the network layers.

본 발명의 다른 실시예에 의하면, 단말을 통해 네트워크에 접근하는 경우, 존재하는 네트워크 장치와 존재하지만 접근할 수 없는 네트워크 장치를 구분할 수 있으므로, 존재하지만 접근할 수 없는 네트워크 장치에 대해서는 접근 자체를 시도하지 않게 되므로, 강력한 접근제어 효과를 얻을 수 있다. According to another embodiment of the present invention, when accessing a network through a terminal, it is possible to distinguish an existing network device from an existing but inaccessible network device, and thus attempts to access the existing network device. Since it does not, it is possible to obtain a strong access control effect.

한편, 본 발명의 일실시예에서 어플리케이션 실행제어 및 명령어 제어를 수행하는 도 2의 구성과, IP 제어를 수행하는 도 4의 구성은 별개로 도시되어 있지만, 하나의 구성으로 동시에 접근제어가 수행될 수도 있음은 이미 설명한 바와 같다. Meanwhile, although the configuration of FIG. 2 performing application execution control and command control and the configuration of FIG. 4 performing IP control are separately shown in one embodiment of the present invention, access control may be simultaneously performed in one configuration. May be as already described.

이상에서 본 발명에 따른 실시예들이 설명되었으나, 이는 예시적인 것에 불과하며, 당해 분야에서 통상적 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 다음의 청구범위에 의해서 정해져야 할 것이다.Although embodiments according to the present invention have been described above, these are merely exemplary, and it will be understood by those skilled in the art that various modifications and equivalent embodiments of the present invention are possible therefrom. Therefore, the true technical protection scope of the present invention will be defined by the following claims.

10: 단말 20: 관리서버
30: 메인서버 11: 에이전트부
12: 서버접근 어플리케이션부 13: 저장부
14: 사용자 입력부 15: ARP 테이블 저장부10: terminal 20: management server
30: main server 11: agent unit
12: server access application unit 13: storage unit
14: user input unit 15: ARP table storage unit

Claims (14)

어플리케이션 인증키, 차단 명령어 리스트 및 단말에서 네트워크상 접근가능 IP 주소 리스트를 포함하는 보안정책을 설정하고, 설정된 보안정책을 단말로 분배하는 관리서버; 및
상기 어플리케이션 인증키 및 상기 차단 명령어 리스트를 이용하여 인증을 수행하여 메인서버로의 접근을 제어하되, 인증된 서버접근을 위한 어플리케이션을 통해 인증된 명령어를 메인서버로 전송하며, 상기 접근가능 IP 주소 리스트를 이용하여 네트워크 장치로의 접근을 제어하는 단말을 포함하고,
상기 단말은,
서버접근을 위한 어플리케이션을 실행하고, 인증된 명령어를 상기 어플리케이션을 통해 상기 메인서버로 전송하는 어플리케이션부;
상기 접근가능 IP 주소 리스트를 저장하는 저장부; 및
상기 보안정책을 수신하여 저장하고, 상기 어플리케이션 인증키를 이용하여 상기 어플리케이션이 인증된 경우에 한하여 상기 어플리케이션부가 상기 어플리케이션을 실행하도록 하면서 미인증된 어플리케이션에 대한 강제 종료를 상기 어플리케이션부에 요청하고, 사용자로부터 입력된 명령어가 상기 차단 명령어에 따른 차단된 명령어가 아닌 경우, 상기 어플리케이션을 통해 명령어를 상기 메인서버로 전송하도록 하며, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 접근 가능 IP 주소 리스트 내에 존재하는 경우에 한하여 상기 네트워크 장치에 접속하는 에이전트부를 포함하고,
상기 에이전트부는, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 접근가능 IP 주소 리스트에 존재하는 경우 상기 네트워크 장치에 접속하게 하고, 사용자로부터 입력된 네트워크 장치의 IP 주소가 상기 접근가능 IP 주소 리스트에 존재하지 않는 경우 존재하지 않는 IP 주소로 인식하여 해당 네트워크 장치로의 접근시도를 차단하는 접근제어 관리 시스템.
A management server for setting a security policy including an application authentication key, a block command list, and a list of accessible IP addresses on the network in the terminal, and distributing the set security policy to the terminal; And
Controls access to the main server by performing authentication using the application authentication key and the blocking command list, and transmits an authenticated command to the main server through an application for accessing the authenticated server, and the accessible IP address list. It includes a terminal for controlling the access to the network device using,
The terminal,
An application unit for executing an application for server access and transmitting an authenticated command to the main server through the application;
A storage unit for storing the accessible IP address list; And
Receives and stores the security policy, requests the application to force the termination of the unauthenticated application while the application executes the application only when the application is authenticated using the application authentication key. If the command inputted from the user is not a blocked command according to the blocking command, the command is transmitted to the main server through the application, and the IP address of the network device input from the user is present in the accessible IP address list. Only in case it includes an agent for connecting to the network device,
The agent unit may be connected to the network device when the IP address of the network device input from the user exists in the accessible IP address list, and the IP address of the network device input from the user exists in the accessible IP address list. If not, the access control management system recognizes the non-existent IP address and blocks the attempt to access the network device.
삭제delete 제1항에 있어서, 상기 에이전트부는,
상기 어플리케이션부에 상기 어플리케이션에 대한 인증키를 요청하여 이를 수신하고, 상기 관리서버로부터 수신한 인증키와 동일한지를 판단하여 상기 어플리케이션을 인증하는 접근제어 관리 시스템.
The method of claim 1, wherein the agent unit,
Requesting an authentication key for the application from the application unit, receiving the authentication key, and determining whether the authentication key is the same as the authentication key received from the management server to authenticate the application.
제3항에 있어서, 상기 에이전트부는,
상기 어플리케이션부로부터 수신한 인증키와 상기 관리서버로부터 수신한 인증키가 동일하지 않은 경우, 상기 어플리케이션의 강제종료를 상기 어플리케이션부에 요청하는 접근제어 관리 시스템.
The method of claim 3, wherein the agent unit,
And if the authentication key received from the application unit and the authentication key received from the management server are not the same, requesting forcible termination of the application from the application unit.
제3항에 있어서, 상기 에이전트부는,
상기 어플리케이션부로부터 수신한 인증키와 상기 관리서버로부터 수신한 인증키가 동일한 경우, 상기 어플리케이션이 상기 서버에 접속하도록 상기 어플리케이션에 요청하는 접근제어 관리 시스템.
The method of claim 3, wherein the agent unit,
And requesting the application to access the server when the authentication key received from the application unit and the authentication key received from the management server are the same.
제1항에 있어서, 상기 에이전트부는,
사용자로부터 입력된 명령어가 차단된 명령어인 경우, 해당 명령어를 차단하는 접근제어 관리 시스템.
The method of claim 1, wherein the agent unit,
If the command input from the user is a blocked command, the access control management system to block the command.
삭제delete 삭제delete 제1항에 있어서, 상기 에이전트부는,
상기 관리서버로부터 보안정책을 수신하는 경우, ARP 테이블을 초기화하고 재설정하는 접근제어 관리 시스템.
The method of claim 1, wherein the agent unit,
When receiving a security policy from the management server, the access control management system to initialize and reset the ARP table.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020170103357A 2017-08-16 2017-08-16 System for managing access control based on agent KR102001996B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170103357A KR102001996B1 (en) 2017-08-16 2017-08-16 System for managing access control based on agent

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170103357A KR102001996B1 (en) 2017-08-16 2017-08-16 System for managing access control based on agent

Publications (2)

Publication Number Publication Date
KR20190018799A KR20190018799A (en) 2019-02-26
KR102001996B1 true KR102001996B1 (en) 2019-10-01

Family

ID=65562438

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170103357A KR102001996B1 (en) 2017-08-16 2017-08-16 System for managing access control based on agent

Country Status (1)

Country Link
KR (1) KR102001996B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102165000B1 (en) * 2019-07-19 2020-10-13 지엘디앤아이에프 주식회사 Apparatus for video management having use environment setting system of camera with enhanced security

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473607B1 (en) * 2014-03-07 2014-12-16 (주) 퓨전데이타 Apparatus and Method for Access Control in a Virtual Private Network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101670496B1 (en) * 2014-08-27 2016-10-28 주식회사 파수닷컴 Data management method, Computer program for the same, Recording medium storing computer program for the same, and User Client for the same
KR102175745B1 (en) * 2015-01-07 2020-11-06 주식회사 케이티 Apparatus and system for providing security solution platform corresponding to security object and method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473607B1 (en) * 2014-03-07 2014-12-16 (주) 퓨전데이타 Apparatus and Method for Access Control in a Virtual Private Network

Also Published As

Publication number Publication date
KR20190018799A (en) 2019-02-26

Similar Documents

Publication Publication Date Title
US8516569B2 (en) Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US8510803B2 (en) Dynamic network access control method and apparatus
US10425419B2 (en) Systems and methods for providing software defined network based dynamic access control in a cloud
JP4168052B2 (en) Management server
CN108092988B (en) Non-perception authentication and authorization network system and method based on dynamic temporary password creation
CN107122674B (en) Access method of oracle database applied to operation and maintenance auditing system
US9344417B2 (en) Authentication method and system
CN101277308A (en) Method for insulating inside and outside networks, authentication server and access switch
CN103404103A (en) System and method for combining an access control system with a traffic management system
US20180198616A1 (en) Host-storage authentication
CN101986598B (en) Authentication method, server and system
US20180115552A1 (en) Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment
CN102571873B (en) Bidirectional security audit method and device in distributed system
US20190289490A1 (en) Controlled connection of a wireless device to a network
US20070157308A1 (en) Fail-safe network authentication
US8272043B2 (en) Firewall control system
EP1760988A1 (en) Multi-level and multi-factor security credentials management for network element authentication
CN111966459A (en) Virtual cloud desktop system
KR102001996B1 (en) System for managing access control based on agent
Prasanalakshmi et al. Secure credential federation for hybrid cloud environment with SAML enabled multifactor authentication using biometrics
Tang et al. Policy-based network access and behavior control management
CN116488868A (en) Server security access method, device and storage medium
KR20180028742A (en) 2-way communication apparatus capable of changing communication mode and method thereof
CN105451225A (en) An access authentication method and an access authentication device
JP2023095286A (en) Network system and access control method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant