KR20060044665A - Network security system co-operated with an authentication server and method thereof - Google Patents

Network security system co-operated with an authentication server and method thereof Download PDF

Info

Publication number
KR20060044665A
KR20060044665A KR1020050024389A KR20050024389A KR20060044665A KR 20060044665 A KR20060044665 A KR 20060044665A KR 1020050024389 A KR1020050024389 A KR 1020050024389A KR 20050024389 A KR20050024389 A KR 20050024389A KR 20060044665 A KR20060044665 A KR 20060044665A
Authority
KR
South Korea
Prior art keywords
security
information
user
terminal
network
Prior art date
Application number
KR1020050024389A
Other languages
Korean (ko)
Other versions
KR100714367B1 (en
Inventor
김기태
Original Assignee
엑서스테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑서스테크놀러지 주식회사 filed Critical 엑서스테크놀러지 주식회사
Priority to PCT/KR2005/000857 priority Critical patent/WO2006001590A1/en
Publication of KR20060044665A publication Critical patent/KR20060044665A/en
Application granted granted Critical
Publication of KR100714367B1 publication Critical patent/KR100714367B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Abstract

본 발명은 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행하고 네트워크에 대한 보안 정책을 함께 수행하는 네트워크 보안 시스템 및 그 방법에 관한 것이다. 상기 네트워크 보안 시스템은, 사용자별로 설정되는 개인 보안 정책(Personal Security Policy)과 각 개인 보안 정책에 따라 적용될 보안 정보들을 저장 관리하는 보안 서버, 및 상기 보안 서버와 연동하여 인증요청하는 사용자에 대하여 해당 개인 보안 정책을 적용하고, 해당 개인 보안 정책을 만족하는 사용자의 단말에 대해서만이 네트워크로의 접속을 허용하는 인증 서버 등을 구비한다. The present invention relates to a network security system and a method for performing authentication for a user who wants to access a network and performing a security policy for the network together. The network security system includes a personal security policy set for each user, a security server for storing and managing security information to be applied according to each personal security policy, and a user requesting authentication in connection with the security server. An authentication server for applying a security policy and allowing access to a network only to a terminal of a user who satisfies the personal security policy is provided.

본 발명에 의하여, 내부 네트워크에 접속하고자 하는 사용자들에 대해 인증을 수행함과 동시에, 각 사용자에게 적용되는 보안 정보에 따른 특정 소프트웨어의 설치 상태에 따라 사용자의 단말에 대하여 네트워크로의 접속 허용을 결정함으로써, 네트워크에 대한 최상의 보안 정책을 구현할 수 있게 된다. According to the present invention, by performing authentication for users who want to access the internal network, and determining the user's terminal access to the network according to the installation state of the specific software according to the security information applied to each user by As a result, the best security policy for the network can be implemented.

인증서버, IEEE 802.1x, 보안, 백신프로그램 Authentication Server, IEEE 802.1x, Security, Vaccine Program

Description

인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법{NETWORK SECURITY SYSTEM CO-OPERATED WITH AN AUTHENTICATION SERVER AND METHOD THEREOF}NETWORK SECURITY SYSTEM CO-OPERATED WITH AN AUTHENTICATION SERVER AND METHOD THEREOF}

도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 개략적으로 도시한 구성도. 1 is a configuration diagram schematically showing an authentication system according to the IEEE 802.1x standard.

도 2는 도 1의 인증 시스템의 각 개체간의 동작 내용을 도시한 흐름도.FIG. 2 is a flow chart showing the operation contents between the entities of the authentication system of FIG.

도 3 및 도 4는 중앙 집중 인증 방식 및 분산 인증 방식을 설명하기 위하여 각각 도시한 구성도.3 and 4 are each a configuration diagram illustrating a centralized authentication method and a distributed authentication method.

도 5는 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템을 전체적으로 도시한 구성도.5 is a block diagram showing the overall network security system according to a preferred embodiment of the present invention.

도 6은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 각 사용자에 대한 동작을 설명하기 위하여 도시한 구성도.6 is a block diagram illustrating the operation of each user of the network security system according to an embodiment of the present invention.

도 7은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 인증 서버의 동작을 순차적으로 나타내는 흐름도. 7 is a flowchart sequentially showing the operation of an authentication server of a network security system according to a preferred embodiment of the present invention.

도 8은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템에 있어서 사용자 단말의 동작을 순차적으로 나타내는 흐름도. 8 is a flowchart sequentially illustrating operations of a user terminal in a network security system according to a preferred embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100 : 요구자100: requestor

110 : 인증자110: certifier

120 : 인증 서버120: authentication server

500, 502, 504, 506, 508 : 사용자 단말500, 502, 504, 506, 508: user terminal

510 : 액세스 포인트510: access point

520 : 스위치520: switch

530 : 인증 서버530: authentication server

540 : 보안 서버540: security server

550 : 백신 서버550: antivirus server

552 : O/S 패치 서버552: O / S Patch Server

554 : PC 보안 프로그램 서버554: PC Security Program Server

본 발명은 네트워크에 대하여 강화된 보안 정책을 수행할 수 있는 네트워크 보안 시스템 및 그 방법에 관한 것으로서, 더욱 구체적으로는, 네트워크에 접속하고자 하는 사용자에 대하여 인증 절차를 수행함과 동시에, 각 사용자에 대해 설정된 개인 보안 정책에 따라 상기 사용자 단말내의 특정 소프트웨어들의 설치 상태를 확인하고, 그 결과에 따라 사용자의 단말에 대한 네트워크 접속 허용 여부를 결정함으로써, 네트워크에 대한 최상의 보안 상태를 제공할 수 있도록 하는 네트워크 보안 시스템 및 그 방법에 관한 것이다. The present invention relates to a network security system and a method for executing an enhanced security policy for a network. More particularly, the present invention relates to a user configured to perform an authentication procedure for a user who wants to access a network, and to be configured for each user. A network security system that checks the installation status of specific software in the user terminal according to a personal security policy and determines whether to allow the user to access the network according to the result, thereby providing the best security state for the network. And to a method thereof.

도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100), 인증자(Authenticator;110), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다. 1 is a diagram schematically illustrating an authentication system according to the IEEE 802.1x standard as a whole, and FIG. 2 is a diagram sequentially illustrating an authentication process. Referring to FIGS. 1 and 2, at present, the IEEE 802.1x standard standard defines three entities: a supplicant 100, an authenticator 110, and an authentication server 120.

여기서, 요구자(100)는 인증자(110)에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다. Here, the requestor 100 is an entity for providing authentication information of the user to the authenticator 110 and requesting authentication, and examples thereof include wired and wireless terminals to be connected to a network. The authenticator's initial port status when the requestor requests authentication from the authenticator is set to uncontrolled port status, where the requestor and authenticator communicate only as an Extensible Authentication Protocol (EAP). This is possible.

한편, 인증자(110)는 요구자(100)로부터 받은 인증 정보 및 인증 요청을 인증 서버(120)에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다. Meanwhile, the authenticator 110 transmits the authentication information and the authentication request received from the requestor 100 to the authentication server 120. When the authentication is successful from the authentication server, the authenticator 110 transmits an authentication success message to the requestor and uses the port of the authenticator. Switch to Controlled port status. An example of such an authenticator may be one of an access point, a router, a switch, and the like.

또한, 인증 서버(120)는 인증자(110)로부터 요구자(100)에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버(120)와 인증자(110) 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜이 산업계 표준(De-Facto Standard)으로 자리잡고 있다. In addition, the authentication server 120 is an entity that receives an authentication request for the requestor 100 from the authenticator 110 and determines whether to authenticate. The authentication server 120 stores and manages authentication information about the user in an internal database, or an external entity. It communicates with and receives authentication information about the user to determine whether to authenticate. At this time, the protocol used between the authentication server 120 and the authenticator 110 is not defined in IEEE 802.1x, but it is recommended to use the protocol used in the general AAA (Authentication, Authorization, Accounting) server. . Accordingly, the RADIUS (Remote Authentication Dial-In User Service) protocol is becoming an industry standard (De-Facto Standard).

RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute)들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다. In case of communication between authenticator and authentication server using RADIUS protocol, network access authority control for user is determined by authentication server's internal authentication algorithm and RADIUS attributes that can be transmitted in authentication success message. This can be implemented by using vendor and vendor specific RADIUS attributes (VSA).

한편, 다수 개의 장비가 접속되는 네트워크에서의 인증 방식은 중앙 집중 인증 방식과 분산 인증 방식으로 크게 분류할 수 있다. 도 3은 중앙 집중 인증 방식에 따른 네트워크 구성을 도시한 구성도이며, 도 4는 분산 인증 방식에 따른 네트워크 구성을 도시한 구성도이다. Meanwhile, authentication methods in a network to which a plurality of devices are connected may be broadly classified into a central authentication method and a distributed authentication method. 3 is a diagram illustrating a network configuration according to a centralized authentication scheme, and FIG. 4 is a diagram illustrating a network configuration according to a distributed authentication scheme.

도 3에 도시된 바와 같은 중앙 집중 인증 방식에 따라 네트워크를 구성한 경우, 중앙에 인증 서버를 설치하여 사용자 인증 관리를 집중하게 되어 관리상의 장점을 가지게 된다. 하지만, 인증을 시도하는 장소가 여러 곳으로 분산되어 있는 경우에는 네트워크의 속도상에 제약이 따르며, 또한 서버 부하의 증가로 인하여 성능의 저하가 발생하게 된다. When the network is configured in accordance with the centralized authentication method as shown in FIG. 3, the authentication server is centrally installed to centralize user authentication management and thus have administrative advantages. However, if the authentication attempts are distributed to several places, there are restrictions on the speed of the network, and performance decreases due to an increase in server load.

그리고, 도 4에 도시된 바와 같은 분산 인증 방식은, 중앙에 주 인증 서버를 설치하고, 이를 네트워크로 연결하여 자원 및 데이터베이스를 집중 관리하고, 중앙 의 인증 서버의 부하를 경감시키기 위하여 인증을 요구하는 로컬(local)에서 TLS 세션과 키 관리를 처리하게 된다. 이와 같이 분산 인증 방식으로 처리할 경우, 네트워크의 효율은 중앙 집중 인증 방식에 비해 약 5배 정도 증대하게 되며, 지역 사용자의 인증 수행시에도 안정성이 증가하게 된다. In addition, in the distributed authentication method as shown in FIG. 4, a main authentication server is installed at a central location, connected to a network to centrally manage resources and databases, and require authentication to reduce the load of the central authentication server. You will handle TLS sessions and key management locally. In this way, when the distributed authentication method is used, the efficiency of the network is increased about 5 times compared to the centralized authentication method, and stability is increased even when the local user is authenticated.

한편, 2000년대에 들어 컴퓨터 바이러스와 웜을 비롯한 악성 코드들은 날로 그 기법이 다양해지고 있으며, 심지어 해킹 툴로도 이용되고 있는 실정이다. 그 결과, 그 파괴력과 피해 규모는 이전과는 비교할 수 없을 정도로 심각해지고 있다. 이에 따라, 다양한 안티-바이러스 백신 프로그램(Anti-Virus Vaccine Program)이 많이 등장하게 되었다. 그런데, 사용자들의 이동성이 증가하게 됨에 따라, 백신 프로그램에 대한 업데이트(update)가 제대로 이루어지지 않게 되며, 또한 그러한 상태에서 네트워크에 접속하는 경우가 자주 발생하게 된다. Meanwhile, in the 2000s, computer viruses, worms and other malicious codes have been diversifying their techniques, and even as hacking tools. As a result, its destructive power and damage scale are becoming more serious than ever before. Accordingly, a variety of anti-virus vaccine program (Anti-Virus Vaccine Program) has emerged. However, as the mobility of users increases, an update on an antivirus program is not performed properly, and a network connection is frequently performed in such a state.

특히, 외부의 공중망에서 내부망으로 진입하는 것은 방화벽(Firewall), 또는 고가의 IDS/IPS, 또는 안티-바이러스 시스템(Anti-Virus Systrm)을 이용하여 어느 정도 제어함으로써, 내부망의 보안을 안전하게 유지할 수 있게 된다. In particular, access to the internal network from the external public network is controlled to some extent using a firewall, an expensive IDS / IPS, or an anti-virus system, thereby keeping the internal network secure. It becomes possible.

그런데, 최근 들어 무선 통신 기술이 발전하게 됨에 따라, 사용자들은 노트북, 개인휴대단말기(PDA) 등과 같이 이동성이 좋은 단말들을 이용하여 네트워크에 접속하게 된다. 그 결과, 이와 같은 이동성이 좋은 단말들에 의하여 네트워크의 내부에서 전파될 수 있는 내부 감염 경로에 대한 대책은 사용자의 백신 업데이트 및 자발적인 스캔(SCAN)에 의존할 수 밖에 없는 것이 현재의 실정이다. However, with the recent development of wireless communication technology, users are connected to a network by using mobile terminals such as laptops and personal digital assistants (PDAs). As a result, the current situation that the countermeasures against the internal infection path that can be propagated inside the network by such a mobile terminal can only rely on the user's vaccine update and voluntary scan (SCAN).

따라서, 이와 같은 개인의 PC 보안 상태를 사전에 점검하여 예상되는 사고를 사전에 차단할 수 있는 전문적이면서 강제적인 종합 보안 솔루션에 대한 요구가 점차 증가하고 있다. 이에 본 출원인은 이와 같은 종합 보안 솔루션을 제공할 수 있는 방안을 제안하고자 한다. Therefore, there is a growing demand for a professional and compulsory comprehensive security solution that can proactively check the status of such an individual's PC and prevent potential incidents. In this regard, the present applicant intends to propose a method for providing such a comprehensive security solution.

전술한 문제점을 해결하기 위한 본 발명의 목적은 네트워크에 접속하고자 하는 각 단말들에 대한 보안 상태를 최적화시킴으로써 네트워크에 대한 안전한 보안을 제공할 수 있는 네트워크 보안 시스템을 제공하는 것이다.An object of the present invention for solving the above problems is to provide a network security system that can provide a secure security for the network by optimizing the security state for each terminal to access the network.

또한, 본 발명의 다른 목적은 인증 서버와 연동되어 사용자에 대한 인증 수행시 각 사용자의 단말에 대한 보안 상태를 확인할 수 있는 네트워크 보안 서버를 제공하는 것이다. In addition, another object of the present invention is to provide a network security server that can check the security status of the terminal of each user when performing authentication for the user in conjunction with the authentication server.

전술한 기술적 과제를 달성하기 위한 본 발명의 제1 특징은, 네트워크에 접속하고자 하는 사용자에 대한 인증 및 네트워크에 대한 보안을 수행하는 네트워크 보안 시스템에 관한 것으로서,  A first aspect of the present invention for achieving the above-described technical problem, relates to a network security system for performing authentication for a user who wants to access the network and security for the network,

등록된 사용자들에게 적용될 개인 보안 정책들 및 각 개인 보안 정책들에 대한 보안 정보를 저장 및 관리하는 보안 서버와,A security server for storing and managing personal security policies to be applied to registered users and security information for each personal security policy,

사용자로부터 입력된 기본 인증 정보를 외부로 전송하고 인증을 요청하는 단말과,A terminal for transmitting basic authentication information input from a user to the outside and requesting authentication;

상기 단말로부터 전송받은 기본 인증 정보를 이용하여 상기 사용자에 대한 인증 절차를 수행하고, 상기 사용자에 대해 적용될 개인 보안 정책 및 해당 보안 정보를 상기 보안 서버로부터 제공받는 인증 서버를 구비하고, An authentication server configured to perform an authentication procedure for the user using basic authentication information received from the terminal, and receive a personal security policy and corresponding security information to be applied to the user from the security server;

상기 인증 서버는 사용자에 대한 인증 성공한 후, 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보에 따라 상기 단말에 대한 네트워크 접속 허용 여부를 결정한다. After the authentication server succeeds in authenticating the user, the authentication server determines whether to allow network access to the terminal according to a personal security policy and security information provided from the security server.

상기 네트워크 보안 시스템에 있어서, 상기 개인 보안 정책에 대한 보안 정보는 보안 정책이 적용되는 S/W 목록, 상기 목록의 S/W에 대한 등록 정보, 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하는 것이 바람직하다. In the network security system, the security information for the personal security policy is a list of the S / W to which the security policy is applied, the registration information for the S / W of the list, and the information on the management server managing the S / W It is preferable to include.

또한, 상기 네트워크 보안 시스템의 상기 인증 서버는, 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속한 사용자가 기등록된 사용자가 아닌 경우에는, 사용자에 대하여 인증하지 아니하고 네트워크로의 접속을 허용하지 않는 것이 바람직하다. Also, the authentication server of the network security system determines whether the user is a registered user using basic authentication information transmitted from the terminal. If the connected user is not a registered user, the authentication server does not authenticate the user. No, it is desirable not to allow access to the network.

또한, 상기 네트워크 보안 시스템의 상기 인증 서버는, 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고, The authentication server of the network security system may determine whether the user is a registered user by using the basic authentication information transmitted from the terminal. If the connected user is a registered user, the authentication server may be provided from the security server. Transmit security information to the terminal,

상기 보안 정보와 상기 단말의 대응되는 정보를 비교한 결과 정보를 상기 단말로부터 전송받고, Receiving the information from the terminal as a result of comparing the security information with the corresponding information of the terminal,

만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하는 것이 확인되는 경우, 상기 단말에 대한 네트워크 접속을 허용하며, 만약 그렇지 않는 경우에는 상기 단말의 VLAN ID를 상기 특정 S/W를 관리하는 관리서버의 VLAN ID와 동일하게 설정 하고, 상기 단말로 상기 관리 서버에 대한 URL을 제공하는 것이 바람직하다. If it is confirmed that the two pieces of information match each other from the comparison result information, the network access to the terminal is allowed. If not, the VLAN ID of the management server managing the specific S / W is determined. It is preferable to set the same as the ID, and provide a URL for the management server to the terminal.

그리고, 상기 네트워크 보안 시스템은 상기 단말이 네트워크에 접속할 수 있도록 하는 액세스 포인트 또는 스위치 중 적어도 하나 이상을 더 구비하고, 상기 액세스 포인트 또는 스위치는 상기 단말로부터의 인증 요청 정보를 상기 인증 서버로 전송하거나 인증서버로부터 전송되는 정보를 해당 단말로 전송하는 것이 바람직하다. The network security system further includes at least one or more of an access point or a switch for allowing the terminal to access a network, and the access point or switch transmits or authenticates authentication request information from the terminal to the authentication server. It is preferable to transmit the information transmitted from the server to the terminal.

본 발명의 다른 특징에 따른 네트워크 보안 서버는,Network security server according to another aspect of the present invention,

사용자별로 설정되어 적용될 개인 보안 정책(Personal Security Policy), 각 개인 보안 정책을 구성하는 보안 정보를 저장ㆍ관리하는 정책 데이터베이스를 구비하고, A personal security policy to be set and applied for each user, a policy database for storing and managing security information constituting each personal security policy, and

상기 보안 정보는 보안 정책을 적용할 S/W 목록, 상기 목록의 S/W에 대한 등록 정보 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하며, The security information includes a S / W list to which a security policy is to be applied, registration information about the S / W of the list, and information about a management server managing the S / W.

상기 소프트웨어를 관리하는 관리 서버와 연동되어 상기 데이터베이스의 내용을 소정의 시간 간격으로 갱신시키고, 인증 서버로부터의 요청에 따라 특정 사용자에게 적용될 개인 보안 정책 및 해당 보안 정보를 인증 서버로 전송한다. It is linked with a management server managing the software to update the contents of the database at predetermined time intervals, and transmits a personal security policy and corresponding security information to be applied to a specific user according to a request from the authentication server to the authentication server.

본 발명의 또 다른 특징에 따른 네트워크 보안 방법은, Network security method according to another aspect of the present invention,

(a) 사용자의 단말로부터 기본인증정보를 전송받고 사용자에 대한 인증을 요청받는 단계와,(a) receiving basic authentication information from a user's terminal and requesting authentication for the user;

(b) 전송받은 기본인증정보를 이용하여, 접속한 사용자가 등록된 사용자인지 여부를 판단하는 단계와,(b) using the received basic authentication information, determining whether the connected user is a registered user;

(c) 만약 접속한 사용자가 등록된 사용자인 경우, 사용자에게 설정된 개인 보안 정책 및 해당 보안 정보를 보안 서버로부터 제공받고, 제공받은 상기 보안 정보를 사용자의 단말로 전송하는 단계와,(c) if the connected user is a registered user, receiving a personal security policy and corresponding security information set for the user from a security server, and transmitting the provided security information to the user's terminal;

(d) 사용자의 단말로부터 상기 보안 정보와 상기 단말내의 대응되는 등록 정보를 비교한 비교 결과 정보를 전송받는 단계와,(d) receiving comparison result information comparing the security information with corresponding registration information in the terminal from a user's terminal;

(e) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치함이 확인되는 경우, 사용자의 단말에 대해 네트워크로의 접속을 허용하는 단계와,(e) allowing the user's terminal to access the network if it is confirmed that the information matches each other from the comparison result information;

(f) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치하지 않음이 확인되는 경우, 상기 사용자의 단말의 VLAN ID를 상기 S/W에 대한 관리 서버의 VLAN ID와 동일하게 설정하고, 상기 관리 서버에 대한 URL을 사용자의 단말로 제공하는 단계를 구비한다. (f) If it is confirmed that the information does not coincide with each other from the comparison result information, set the VLAN ID of the terminal of the user equal to the VLAN ID of the management server for the S / W, and to the management server Providing a URL to a user terminal.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 전체적인 구성 및 그 동작을 구체적으로 설명한다. Hereinafter, with reference to the accompanying drawings will be described in detail the overall configuration and operation of the network security system according to an embodiment of the present invention.

도 5는 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템을 전체적으로 도시한 구성도이다. 도 5를 참조하면, 본 발명에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자 단말(500, 502, 504, 506, 508), 액세스 포인트(510), 스위치(520), 인증 서버(530), 보안 서버(540), 특정 소프트웨어에 대한 관리 서버들(550, 552, 554)을 포함한다. 이하, 각 구성 요소들의 구성 및 동작을 구체적으로 설명한다. 5 is a block diagram showing the overall network security system according to an embodiment of the present invention. Referring to FIG. 5, the network security system according to the present invention includes a user terminal 500, 502, 504, 506, and 508, an access point 510, a switch 520, and an authentication server 530 that want to access a network. Security server 540, management servers 550, 552, 554 for specific software. Hereinafter, the configuration and operation of each component will be described in detail.

네트워크에 접속하고자 하는 사용자는 자신의 단말을 이용하여 액세스 포인 트(510) 또는/및 스위치(520)에 접속하여, 기본 인증 정보를 입력한다. 여기서, 기본 인증 정보는 사용자 ID 및 패스워드 등이 될 수 있다. 사용자 단말은 사용자로부터 입력된 기본 인증 정보를 액세스 포인트(510) 또는/및 스위치(520)로 전송하고 사용자에 대한 인증을 요청하게 된다. 유ㆍ무선 단말로부터 인증을 요청받은 액세스 포인트 또는/및 스위치는 해당 정보를 인증 서버(530)에 전송하고, 인증 서버로 해당 사용자에 대한 인증 여부를 요청하게 된다. 이때, 네트워크의 규모에 따라 적어도 하나 이상의 액세스 포인트와 적어도 하나 이상의 스위치를 구비하기도 하는데, 이 경우 적어도 하나 이상의 스위치들을 통합 관리하기 위하여 코어 스위치(522)를 사용할 수도 있다. A user who wants to access the network accesses the access point 510 or / and switch 520 using his terminal and inputs basic authentication information. Here, the basic authentication information may be a user ID and a password. The user terminal transmits basic authentication information input from the user to the access point 510 and / or the switch 520 and requests authentication of the user. The access point or / and switch, which has been authenticated by the wired / wireless terminal, transmits the information to the authentication server 530, and requests the authentication server to authenticate the user. In this case, at least one access point and at least one switch may be provided according to the size of the network. In this case, the core switch 522 may be used to collectively manage the at least one switch.

상기 인증 서버(530)는 스위치 등과 같은 인증자를 통해 사용자에 대한 기본 인증 정보를 전송받고, 사용자에 대한 인증 절차를 수행한다. 여기서, 기본 인증 정보라 함은 사용자에 대한 식별 정보(ID), 및 암호(Password) 등을 포함하며, 네트워크이나 통신 프로토콜 등에 따라 기본 인증 정보의 내용은 변화될 수도 있다. 사용자에 대한 인증이 성공되면, 상기 인증 서버는 보안 서버와 연동하여 상기 사용자에 대해 적용되는 개인 보안 정책을 확인하고, 확인된 개인 보안 정책의 보안 정보에 따라 사용자의 단말의 S/W 설치 상태를 확인한다. 만약 상기 사용자의 단말에 대한 S/W 설치 상태가 상기 개인 보안 정책의 보안 정보와 부합되는 경우, 상기 인증 서버는 상기 사용자의 단말에 대하여 네트워크로의 접속을 허용하게 된다. 그리고, 인증 서버의 구체적인 동작에 대한 설명은 후술한다. The authentication server 530 receives basic authentication information for a user through an authenticator such as a switch and performs an authentication procedure for the user. Here, the basic authentication information includes identification information (ID), password, etc. for the user, and the contents of the basic authentication information may be changed according to a network or a communication protocol. If authentication of the user is successful, the authentication server checks the personal security policy applied to the user in association with the security server, and checks the S / W installation state of the user's terminal according to the security information of the confirmed personal security policy. Check it. If the S / W installation state of the user's terminal is consistent with the security information of the personal security policy, the authentication server allows the user's terminal to access the network. A detailed operation of the authentication server will be described later.

다음, 보안 서버(540)는 각 사용자에 대하여 개인 보안 정책(Personal Security Policy)을 설정하고, 각 개인 보안 정책에 적용될 보안 정보들을 구비하며, 상기 보안 정보들은 보안 정책에 사용될 S/W의 목록, 각 소프트웨어에 대한 등록 정보 및 각 S/W를 관리하는 관리서버에 대한 정보를 내부의 데이터베이스에 저장 및 관리한다. 또한 보안 서버는, 목록에 등록된 각 소프트웨어를 관리하는 관리서버(550, 552, 554)와 연동되어, 상기 데이터베이스내의 해당 소프트웨어에 대한 최신의 등록 정보를 저장 및 관리하며, 인증 서버의 요청에 따라 해당 정보를 인증 서버로 전송한다. Next, the security server 540 sets a personal security policy for each user, and has security information to be applied to each personal security policy, the security information being a list of software to be used in the security policy, The registration information for each software and the information about the management server managing each software are stored and managed in an internal database. In addition, the security server is linked with the management server (550, 552, 554) for managing each software registered in the list, and stores the latest registration information for the software in the database, and at the request of the authentication server Send the information to the authentication server.

여기서, 보안 서버에 등록되는 소프트웨어는, 예를 들면, 바이러스 백신 프로그램, O/S 패치 프로그램 또는 기타의 보안 관련 프로그램 등이며, 이들을 각각 관리ㆍ운영하는 관리 서버는 백신 서버(550), O/S 패치 서버(552), 기타의 PC 보안 서버(554) 등이 된다. 하지만, 보안 서버에 등록되는 소프트웨어의 종류는 시스템 관리자 또는 시스템의 요구 사항에 따라 다양하게 설정될 수 있음은 당연하다. Here, the software registered in the security server is, for example, an antivirus program, an O / S patch program or other security related programs, and the management server managing and operating each of them is an antivirus server 550 and an O / S. Patch server 552, other PC security server 554, and the like. However, it is natural that the type of software registered in the security server can be variously set according to the requirements of the system administrator or the system.

이하, 도 6 및 도 7을 참조하여, 전술한 네트워크 보안 시스템의 인증 서버가 보안 서버와 연동하여 사용자에 대한 인증 수행 과정 및 사용자에 대한 개인 보안 정책을 적용하는 과정을 구체적으로 설명한다. 도 6은 본 실시예에 따른 네트워크 보안 시스템의 동작을 알기 쉽게 구성한 도면이며, 도 7은 인증 서버의 전체 동작을 순차적으로 도시한 흐름도이다. 도 6에 도시된 바와 같이, 사용자는 미등록 사용자(508), 등록되었으나 특정 프로그램이 업데이트되지 않은 사용자(506), VLAN ID=20인 등록된 사용자(502), VLAN ID=30인 등록된 사용자(500) 등을 상정할 수 있다. 이하, 도6 및 도 7을 참조하여, 도 6에 상정된 각각의 사용자들에 대하여 인증 서버의 동작 과정을 순차적으로 설명하도록 하겠다.6 and 7, a process of performing authentication for a user and applying a personal security policy to a user by interworking with the security server will be described in detail with reference to FIG. 6 and FIG. 7. FIG. 6 is a block diagram illustrating the operation of the network security system according to the present embodiment. FIG. 7 is a flowchart sequentially illustrating the entire operation of the authentication server. As shown in FIG. 6, a user is an unregistered user 508, a registered user 506 whose registered program is not updated, a registered user 502 whose VLAN ID = 20, or a registered user whose VLAN ID = 30 ( 500) can be assumed. 6 and 7, the operation of the authentication server will be described sequentially for each user assumed in FIG.

먼저, 도 7에 도시된 바와 같이, 인증서버는 사용자 단말들(500, 502, 506, 508)중의 하나로부터 기본인증정보를 전송받는다(단계 700). 다음, 사용자단말로부터 전송받은 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고(단계 710), 만약 등록된 사용자가 아닌 경우(도 6의 미등록 사용자(508)에 해당함)에는 사용자에 대하여 인증하지 않으며 내부 네트워크에 대한 접속을 허용하지 않으며(단계 725), 인증 절차를 종료한다. First, as shown in FIG. 7, the authentication server receives basic authentication information from one of user terminals 500, 502, 506, and 508 (700). Next, it is determined whether the user is a registered user using the basic authentication information received from the user terminal (step 710). If the user is not a registered user (corresponding to the unregistered user 508 of FIG. 6), the user is authenticated. Do not allow access to the internal network (step 725) and terminate the authentication procedure.

만약 단계 720에서 등록된 사용자로 판단되는 경우(도 6의 등록된 사용자(502, 504, 506)에 해당함), 상기 기본인증정보 중 사용자 ID를 보안 서버로 전송하여, 상기 보안 서버로부터 상기 사용자 ID에 해당하는 개인 보안 정책(Personal Security Policy) 및 상기 개인 보안 정책에 따른 보안 정보를 제공받는다(단계 730). 여기서 상기 개인 보안 정책은 각 사용자별로 설정되어 적용되는 보안 정책이며, 해당 보안 정보는 각 사용자에 대해 설정된 특정 S/W 목록 및 각 S/W에 대한 등록 정보 등을 포함하게 된다. If it is determined in step 720 that the user is registered (corresponding to the registered users 502, 504, 506 of FIG. 6), the user ID of the basic authentication information is transmitted to a security server, and the user ID is transmitted from the security server. A personal security policy corresponding to the security information and security information according to the personal security policy are provided (step 730). Here, the personal security policy is a security policy set and applied for each user, and the corresponding security information includes a specific S / W list set for each user and registration information for each S / W.

다음, 인증 서버는 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보를 상기 보안 서버로부터 제공받고, 상기 보안 정보를 상기 사용자 단말기로 전송한다(단계 740). 한편, 인증서버로부터 보안 정보를 전송받은 사용자 단말기는 상기 보안 정보에 등록된 S/W 정보를 판독하고, 판독된 S/W가 사용자 단말기에 설치되었는지 여부를 확인하고, 설치된 경우 사용자 단말기의 상기 특정 S/W에 대한 등록정보를 파악한다. 그리고, 사용자 단말기는 상기 인증서버로부터 제공받은 보 안 정보와 사용자 단말기의 S/W에 대한 등록 정보를 비교하고, 비교 결과 정보를 인증 서버로 전송한다. Next, the authentication server receives the personal security policy and security information provided from the security server from the security server, and transmits the security information to the user terminal (step 740). Meanwhile, the user terminal receiving the security information from the authentication server reads the S / W information registered in the security information, checks whether the read S / W is installed in the user terminal, and if so, the user terminal of the user terminal. Get registration information about S / W. The user terminal compares the security information provided from the authentication server with registration information for the S / W of the user terminal and transmits the comparison result information to the authentication server.

따라서, 인증 서버는 사용자 단말기로부터 비교 결과 정보를 전송받게 되며(단계 750), 상기 비교 결과 정보를 판독한다(단계 760). 만약 상기 비교 결과 정보로부터 상기 보안 정보와 상기 사용자 단말의 S/W 등록 정보가 서로 일치함이 확인되는 경우, 사용자 단말기(도 6의 등록된 사용자(502, 504)에 해당함)에게 사용자에게 할당된 네트워크로의 접속을 허용한 후(단계 780) 절차를 종료한다. Accordingly, the authentication server receives the comparison result information from the user terminal (step 750), and reads the comparison result information (step 760). If it is confirmed from the comparison result information that the security information and the S / W registration information of the user terminal coincide with each other, it is assigned to the user terminal (corresponding to the registered users (502, 504) of Figure 6) After allowing the connection to the network (step 780), the procedure ends.

만약, 상기 비교 결과 정보로부터 상기 보안 정보와 상기 사용자 단말의 S/W 등록 정보가 서로 일치하지 않음이 확인된 경우(도 6의 등록된 사용자(506)에 해당함), 사용자 단말의 VLAN ID를 상기 S/W 관리 서버에 대한 VLAN ID와 동일하게 설정하고, 사용자 단말기로 상기 S/W 관리 서버에 대한 URL을 전송한다(단계 770). 즉, 상기 인증 서버는 상기 사용자단말기의 VLAN ID를 특정 S/W의 관리서버가 포함되는 VLAN ID와 동일하게 설정하고 해당 IP를 할당함으로써, 다른 네트워크로의 접속은 제한시키되 상기 특정 S/W의 관리 서버로의 접속만 허용하게 되는 것이다. If it is confirmed from the comparison result information that the security information and the S / W registration information of the user terminal does not match each other (corresponding to the registered user 506 of Figure 6), the VLAN ID of the user terminal Set the same as the VLAN ID for the S / W management server, and transmits the URL for the S / W management server to the user terminal (step 770). That is, the authentication server sets the VLAN ID of the user terminal to be the same as the VLAN ID including the management server of a specific S / W and allocates the corresponding IP, thereby restricting access to another network, Only connections to the management server will be allowed.

한편, 상기 S/W 관리서버에 대한 URL을 제공받은 사용자 단말기는 상기 S/W 관리 서버에 접속하여 해당 S/W를 다운로드받아 단말기내에 설치하거나 최신 버전으로 갱신(up-date)한다. 다음. 상기 사용자 단말기는 상기 인증 서버로부터 제공받은 보안 정보와 사용자 단말기의 상기 S/W 등록 정보를 다시 비교하고, 그 비교 결과 정보를 인증 서버로 전송한다. Meanwhile, the user terminal provided with the URL for the S / W management server accesses the S / W management server, downloads the corresponding S / W, installs it in the terminal, or updates to the latest version (up-date). next. The user terminal compares the security information provided from the authentication server with the S / W registration information of the user terminal again, and transmits the comparison result information to the authentication server.

다음, 인증 서버는 사용자 단말기로부터 전송받은 비교 결과 정보를 판독한 다. 만약 상기 비교 결과 정보로부터 상기 보안 정보와 사용자 단말기의 S/W 등록 정보가 일치함이 확인된 경우, 사용자에게 할당된 네트워크로의 접속을 허용한 후, 절차를 종료하게 된다. Next, the authentication server reads the comparison result information received from the user terminal. If it is confirmed from the comparison result information that the security information and the S / W registration information of the user terminal is the same, after allowing the user access to the network assigned to the user, the procedure is terminated.

이하, 도 8을 참조하여, 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템에서의 사용자 단말기에 설치되는 단말 프로그램의 동작에 대하여 구체적으로 설명한다. Hereinafter, an operation of a terminal program installed in a user terminal in a network security system according to an exemplary embodiment of the present invention will be described in detail.

먼저, 네트워크로 접속하고자 하는 사용자로부터 입력된 기본 인증 정보를 인증 서버로 전송한다(단계 800). 다음, 인증 서버로부터 인증성공메시지 및 특정 보안 정보도 함께 전송받게 되는데, 여기서 특정 보안 정보는 특정 S/W에 대한 목록 및 각 S/W에 대한 등록 정보 또는 버전에 관한 정보를 포함한다(단계 810). 다음, 상기 사용자 단말기는 상기 보안 정보로부터 특정 S/W에 대한 등록 정보를 판독하고, 상기 사용자 단말기의 상기 S/W 등록정보를 판독한다(단계 820). 다음, 상기 보안 정보와 상기 사용자 단말기의 상기 S/W 등록 정보를 비교하고, 비교 결과 정보를 인증 서버로 전송한다(단계 830). First, the basic authentication information input from the user who wants to access the network is transmitted to the authentication server (step 800). Next, an authentication success message and specific security information are also received from the authentication server, where the specific security information includes a list of specific software and information on registration information or version for each software (step 810). ). Next, the user terminal reads registration information for a specific S / W from the security information, and reads the S / W registration information of the user terminal (step 820). Next, the security information is compared with the S / W registration information of the user terminal, and the comparison result information is transmitted to the authentication server (step 830).

만약 인증 서버로부터 네트워크 접속이 허용되는 경우에는, 절차를 종료한다(단계 840). If network access is allowed from the authentication server, the procedure ends (step 840).

만약 인증서버로부터 네트워크 접속이 허용되지 않고 특정 S/W 관리서버에 대한 URL 정보를 제공받는 경우(단계 850), 상기 S/W 관리 서버에 접속하여 해당 S/W를 다운로드받아 설치한다(단계 860). 다음, 사용자 단말기의 해당 S/W 등록 정보를 다시 판독하고, 상기 보안 정보와 상기 판독된 등록 정보를 비교한 후, 그 비 교 결과 정보를 인증 서버로 다시 전송함으로써(단계 830), 인증 서버로부터 네트워크 접속을 허용받게 된다. If network access is not allowed from the authentication server and URL information about a specific S / W management server is provided (step 850), the S / W management server is accessed and downloaded and installed (step 860). ). Next, the corresponding S / W registration information of the user terminal is read again, the security information is compared with the read registration information, and then the comparison result information is transmitted back to the authentication server (step 830), from the authentication server. Network access is allowed.

본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행함과 동시에, 사용자의 단말에 저장된 특정 소프트웨어, O/S패치 프로그램, 바이러스 백신 프로그램 등의 설치 및 버젼 확인한 후, 사용자 단말기에 대한 네트워크 접속을 허용하게 된다. 또한, 본 발명에 따른 인증 서버는 보안 서버와 연동하여 사용자 단말의 특정 소프트웨어가 설치되지 않았거나 최신 버전이 아닌 경우에는 사용자 단말기에 대한 네트워크로의 접속을 제한시킨 후 사용자로 하여금 해당 소프트웨어를 설치하거나 이를 갱신시키도록 후에 네트워크로의 접속을 허용한다. The network security system according to the preferred embodiment of the present invention performs authentication of a user who wants to access a network, and checks the installation and version of specific software, an O / S patch program, an antivirus program, and the like stored in the user's terminal. After that, the network connection to the user terminal is allowed. In addition, the authentication server according to the present invention, in connection with the security server, if the specific software of the user terminal is not installed or is not the latest version, after restricting access to the network for the user terminal, Allow access to the network later to update it.

이때, 사용되는 특정 소프트웨어는 바이러스 백신 프로그램, O/S 패치 프로그램, 그 외의 PC 보안 관련 프로그램 등 다양하게 사용할 수 있다. 특히, 사용자 단말기에 대한 보안을 위하여 바이러스 백신 프로그램에 대한 등록 정보를 사용하는 경우, 인증 수행과 동시에 사용자 단말의 바이러스 백신 프로그램을 항상 최신의 버전으로 갱신할 수 있게 되어, 사용자 단말인 PC들뿐만 아니라 네트워크에 대한 안전한 보안을 도모할 수 있게 된다. In this case, the specific software used may be variously used, such as an antivirus program, an O / S patch program, and other PC security related programs. In particular, when the registration information on the antivirus program is used for security of the user terminal, the antivirus program of the user terminal can always be updated to the latest version at the same time as authentication is performed, It is possible to secure the security of the network.

한편, 본 발명의 다른 실시예에 따른 네트워크 보안 시스템은, 상기 보안 서버의 기능을 수행하는 모듈을 상기 인증 서버내에 장착시킴으로써, 상기 보안 서버와 상기 인증 서버를 일체로 형성할 수 있다. On the other hand, the network security system according to another embodiment of the present invention, by mounting a module that performs the function of the security server in the authentication server, it is possible to integrally form the security server and the authentication server.

또한, 본 발명의 다른 실시예에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자 단말은 보안 정보와 단말의 S/W 등록 정보와의 비교 결과 정보뿐만 아니라, 상기 S/W에 대한 실행 결과 정보까지 함께 인증 서버로 전송하고, 인증 서버는 단말로부터 전송된 정보를 분석하여 상기 단말에 대하여 네트워크에 접속허용할 지 여부에 대하여 판단한다. In addition, the network security system according to another embodiment of the present invention, the user terminal to be connected to the network, as well as the comparison result information between the security information and the S / W registration information of the terminal, the execution result information for the S / W The server is transmitted together to the authentication server, and the authentication server analyzes the information transmitted from the terminal to determine whether to allow the terminal to access the network.

이때, S/W는 바이러스 백신 프로그램으로 설정하고, 만약 단말에서의 실행 결과 정보가 "단말이 바이러스에 감염되었음"을 나타내면, 인증 서버는 상기 단말의 네트워크에 대한 접속을 차단함과 동시에 안전한 네트워크 경로를 정하여 백신 관리 서버에 접속하여 바이러스를 치유할 수 있도록 한다. In this case, S / W is set as an antivirus program, and if the execution result information on the terminal indicates "the terminal is infected with a virus", the authentication server blocks the access to the network of the terminal and at the same time a safe network path. You can connect to the vaccine management server to heal the virus.

이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에서, 사용자 단말기의 보안을 위하여 사용되는 S/W의 종류, 인증 서버 및 보안 서버에 저장ㆍ관리되는 데이터베이스의 항목 등은 네트워크의 성능 향상이나 네트워크 장비들의 규모 등을 고려하여 다양하게 변형하여 실시할 수 있는 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다. Although the present invention has been described above with reference to preferred embodiments thereof, this is merely an example and is not intended to limit the present invention, and those skilled in the art do not depart from the essential characteristics of the present invention. It will be appreciated that various modifications and applications which are not illustrated above in the scope are possible. For example, in the embodiment of the present invention, the type of S / W used for the security of the user terminal, the authentication server, and the items of the database stored and managed in the security server may be used to improve network performance or the size of network equipment. In consideration of the various modifications can be carried out. And differences related to such modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.

본 발명에 따른 네트워크 보안 시스템에 의하여, 사용자별로 개인 보안 정책을 설정하고, 설정된 개인 보안 정책을 사용자별로 적용하고, 상기 개인 보안 정책 에 따라 사용자의 단말에 대한 네트워크 접속 허용 여부를 결정할 수 있게 됨으로써, 네트워크의 보안을 강화시킬 수 있게 된다. By the network security system according to the present invention, it is possible to set a personal security policy for each user, apply the set personal security policy for each user, and determine whether to allow the user's access to the network according to the personal security policy, This will make your network more secure.

본 발명에 의하여, IEEE 802.1x 의 기반에서 인증 서버에 등록된 사용자의 단말은 보안 관련 프로그램이나 바이러스 백신 프로그램 등을 설치하고 항상 최신의 버전으로 갱신시킬 수 있게 된다. According to the present invention, a terminal of a user registered in an authentication server based on IEEE 802.1x can install a security related program or an antivirus program and always update to the latest version.

또한, 사용자 단말이 바이러스에 감염된 경우에는 자동으로 네트워크로부터 격리되어 바이러스를 치료하게 되며, 필요한 경우 보호된 경로를 통해 바이러스 백신 관리 서버와 연동하여 원격 방역 작업을 할 수 있게 된다. In addition, when a user terminal is infected with a virus, the virus is automatically isolated from the network to heal the virus, and if necessary, remote defense work can be performed by interworking with an antivirus management server through a protected path.

또한, 본 발명에 따른 네트워크 보안 시스템은 최신의 보안 관련 프로그램이나 바이러스 백신 프로그램을 설치하지 않는 단말에 대해서는 네트워크로의 접속을 허용하지 않음으로써, 바이러스 감염이나 보안이 우려되는 단말의 네트워크 접속을 원천적으로 차단시킬 수 있게 된다. In addition, the network security system according to the present invention does not allow access to the network for terminals that do not have the latest security-related programs or antivirus programs, thereby inherently providing network access for terminals that are concerned about virus infection or security. It can be blocked.

Claims (12)

네트워크에 접속하고자 하는 사용자에 대한 인증 및 네트워크에 대한 보안을 수행하는 네트워크 보안 시스템에 있어서,In the network security system that performs the authentication and security of the network for the user who wants to access the network, 등록된 사용자들에게 적용될 개인 보안 정책들 및 각 개인 보안 정책에 적용될 보안 정보들을 저장 및 관리하는 보안 서버;A security server for storing and managing personal security policies to be applied to registered users and security information to be applied to each personal security policy; 사용자로부터 입력된 기본 인증 정보를 외부로 전송하고 인증을 요청하는 단말; 및A terminal for transmitting basic authentication information input from a user to the outside and requesting authentication; And 상기 단말로부터 전송된 기본 인증 정보를 이용하여 상기 사용자에 대한 인증 절차를 수행하고, 상기 사용자에 대해 적용될 개인 보안 정책 및 해당 보안 정보를 상기 보안 서버로부터 제공받는 인증 서버;An authentication server for performing an authentication procedure for the user using basic authentication information transmitted from the terminal and receiving a personal security policy and corresponding security information to be applied to the user from the security server; 를 구비하고, 상기 인증 서버는 사용자에 대한 인증 성공한 후, 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보에 따라 상기 단말에 대한 네트워크 접속 허용 여부를 결정하는 것을 특징으로 하는 네트워크 보안 시스템. And the authentication server determines whether to allow network access to the terminal according to a personal security policy and security information provided from the security server after successful authentication of the user. 제1항에 있어서, 상기 개인 보안 정책의 보안 정보는 사용자별로 해당 단말에 설치되어야 하는 특정 S/W에 대한 목록 및 각 S/W에 대한 등록정보를 포함하고,The method of claim 1, wherein the security information of the personal security policy includes a list of specific S / Ws to be installed in a corresponding terminal for each user and registration information for each S / W. 상기 보안 서버의 각 보안 정보는 보안 정책을 적용할 특정 S/W에 대한 목록 및 각 S/W에 대한 등록 정보 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하는 것을 특징으로 하는 네트워크 보안 시스템. Each security information of the security server includes a list of specific software to which a security policy is to be applied, registration information for each software, and information about a management server managing the software. Security system. 제2항에 있어서, 상기 특정 S/W는 바이러스 백신 프로그램, O/S 패치 프로그램, PC 보안 프로그램 중의 하나인 것을 특징으로 하는 네트워크 보안 시스템.The network security system of claim 2, wherein the specific S / W is one of an antivirus program, an O / S patch program, and a PC security program. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 인증 서버는 The method according to any one of claims 1 to 3, wherein the authentication server 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속한 사용자가 기등록된 사용자가 아닌 경우에는, 사용자에 대하여 인증하지 아니하고 네트워크로의 접속을 허용하지 않는 것을 특징으로 하는 네트워크 보안 시스템.It is determined whether the user is a registered user using the basic authentication information transmitted from the terminal. If the connected user is not a registered user, the user is not authenticated and not allowed to access the network. Network security system. 제2항 내지 제3항 중 어느 한 항에 있어서, 상기 인증 서버는 The method according to any one of claims 2 to 3, wherein the authentication server 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고, It is determined whether the user is a registered user using the basic authentication information transmitted from the terminal. If the connected user is a registered user, the security information provided from the security server is transmitted to the terminal. 상기 보안 정보와 상기 단말내의 대응되는 등록 정보를 비교한 비교 결과 정보를 상기 단말로부터 전송받고, Receiving comparison result information comparing the security information with corresponding registration information in the terminal from the terminal, 만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하는 것이 확인되는 경우, 상기 단말에 대한 네트워크 접속을 허용하는 것을 특징으로 하는 네트워크 보안 시스템. If it is confirmed that the two pieces of information match each other from the comparison result information, the network security system, characterized in that to allow the network access to the terminal. 제2항 내지 제3항 중 어느 한 항에 있어서, 상기 인증 서버는 The method according to any one of claims 2 to 3, wherein the authentication server 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고, It is determined whether the user is a registered user using the basic authentication information transmitted from the terminal. If the connected user is a registered user, the security information provided from the security server is transmitted to the terminal. 상기 보안 정보와 상기 단말의 대응되는 정보를 비교한 비교 결과 정보를 상기 단말로부터 전송받고, Receiving the comparison result information from the terminal comparing the security information with the corresponding information of the terminal, 만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하지 않는 것이 확인되는 경우, 상기 단말의 VLAN ID를 상기 특정 S/W를 관리하는 관리서버의 VLAN ID와 동일하게 설정하고, 상기 단말로 상기 관리 서버에 대한 URL을 제공하는 것을 특징으로 하는 네트워크 보안 시스템. If it is confirmed that the two pieces of information do not coincide with each other from the comparison result information, the VLAN ID of the terminal is set equal to the VLAN ID of the management server managing the specific S / W, and the terminal is connected to the management server. Network security system, characterized in that providing a URL for. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 네트워크 보안 시스템은 상기 단말이 네트워크에 접속할 수 있도록 하는 액세스 포인트 또는 스위치 중 적어도 하나 이상을 더 구비하고, 상기 액세스 포인트 또는 스위치는 상기 단말로부터의 인증 요청 정보를 상기 인증 서버로 전송하거나 인증서버로부터 전송되는 정보를 해당 단말로 전송하는 것을 특징으로 하는 네트워크 보안 시스템.The network security system according to any one of claims 1 to 3, wherein the network security system further comprises at least one or more of an access point or a switch for allowing the terminal to connect to the network. The network security system, characterized in that for transmitting the authentication request information of the authentication server or information transmitted from the authentication server to the terminal. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 단말은 상기 인증서버로부터 제공받은 보안 정보로부터 S/W 목록을 판독하고, 상기 단말내에 설치된 상기 S/W에 대한 등록 정보를 판독하고, 상기 보안 정보와 상기 판독된 등록정보를 비교 하여 비교 결과 정보를 상기 인증 서버로 전송하는 것을 특징으로 하는 네트워크 보안 시스템. According to any one of claims 1 to 3, The terminal reads the list of S / W from the security information provided from the authentication server, the registration information for the S / W installed in the terminal, And comparing the security information with the read registration information and transmitting the comparison result information to the authentication server. 제1항 내지 제3항 중 어느 한 항에 있어서, 만약 상기 단말이 상기 인증 서버로부터 특정 S/W의 관리 서버에 대한 URL을 제공받는 경우, 상기 관리 서버에 접속하여 상기 단말로 해당 S/W를 다운로드받거나 최신의 버전으로 갱신하는 것을 특징으로 하는 네트워크 보안 시스템. According to any one of claims 1 to 3, If the terminal is provided with a URL for the management server of a specific S / W from the authentication server, connected to the management server to the terminal to the corresponding S / W Network security system, characterized in that to download or update to the latest version. 사용자별로 설정되어 적용될 개인 보안 정책(Personal Security Policy), 각 개인 보안 정책에 대한 보안 정보를 저장ㆍ관리하는 데이터베이스를 구비하고, A personal security policy to be set and applied for each user and a database for storing and managing security information for each personal security policy; 상기 보안 정보는 보안 정책을 적용한 S/W 목록, 상기 목록의 S/W들에 대한 등록 정보 및 상기 S/W들을 관리하는 관리 서버에 대한 정보들로 이루어지며, The security information is composed of the S / W list to which the security policy is applied, the registration information for the S / W of the list, and the information about the management server for managing the S / W, 상기 소프트웨어를 관리하는 관리 서버와 연동되어 상기 데이터베이스의 내용을 소정의 시간 간격으로 갱신시키고, 인증 서버로부터의 요청에 따라 특정 사용자에게 적용될 개인 보안 정책 및 보안 정보를 인증 서버로 전송하는 것을 특징으로 하는 네트워크 보안 서버.It is linked with the management server for managing the software to update the contents of the database at predetermined time intervals, and transmits the personal security policy and security information to be applied to a specific user to the authentication server in response to a request from the authentication server. Network security server. 네트워크에 접속하고자 하는 사용자의 단말 및 상기 네트워크에 대한 보안을 수행하는 네트워크 보안 방법에 있어서,In the network security method for performing a security for the user terminal and the network to access the network, (a) 사용자의 단말로부터 기본인증정보를 전송받고 사용자에 대한 인증을 요 청받는 단계;(a) receiving basic authentication information from a user's terminal and requesting authentication for the user; (b) 전송받은 기본인증정보를 이용하여, 접속한 사용자가 등록된 사용자인지 여부를 판단하는 단계;(b) determining whether the connected user is a registered user by using the received basic authentication information; (c) 만약 접속한 사용자가 등록된 사용자인 경우, 상기 사용자에게 적용될 개인 보안 정책 및 보안 정보를 보안 서버로부터 제공받고, 제공받은 상기 보안 정보를 사용자의 단말로 전송하는 단계;(c) if the connected user is a registered user, receiving a personal security policy and security information to be applied to the user from a security server and transmitting the received security information to a user's terminal; (d) 사용자의 단말로부터 상기 보안 정보와 상기 단말내의 대응 정보를 비교한 비교 결과 정보를 전송받는 단계;(d) receiving comparison result information comparing the security information with corresponding information in the terminal from a user terminal; (e) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치함이 확인되는 경우, 사용자의 단말에 대해 네트워크로의 접속을 허용하는 단계(e) allowing the user's terminal to access the network if it is confirmed that the information matches each other from the comparison result information; 를 구비하는 것을 특징으로 하는 네트워크 보안 방법. Network security method comprising the. 제11항에 있어서, 상기 네트워크 보안 방법은, (f) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치하지 않음이 확인되는 경우, 상기 사용자의 단말의 VLAN ID를 상기 S/W에 대한 관리 서버의 VLAN ID와 동일하게 설정하고, 상기 관리 서버에 대한 URL을 사용자의 단말로 제공하는 단계를 더 구비하는 것을 특징으로 하는 네트워크 보안 방법.12. The method of claim 11, wherein the network security method further comprises: (f) if it is determined from the comparison result information that the information does not match each other, the VLAN ID of the terminal of the user is determined by the management server for the S / W. And setting the same as the VLAN ID and providing a URL for the management server to the user's terminal.
KR1020050024389A 2004-03-24 2005-03-24 Network security system co-operated with an authentication server and method thereof KR100714367B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/000857 WO2006001590A1 (en) 2004-03-24 2005-03-24 Netwok security system co-operated with an authentification server and method thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040020027 2004-03-24
KR20040020027 2004-03-24

Publications (2)

Publication Number Publication Date
KR20060044665A true KR20060044665A (en) 2006-05-16
KR100714367B1 KR100714367B1 (en) 2007-05-08

Family

ID=37149141

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050024389A KR100714367B1 (en) 2004-03-24 2005-03-24 Network security system co-operated with an authentication server and method thereof

Country Status (1)

Country Link
KR (1) KR100714367B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100850362B1 (en) * 2007-04-12 2008-08-04 한국전자통신연구원 System and method for enhancing security of personal embedded terminal
KR100914676B1 (en) * 2007-09-04 2009-09-02 유넷시스템주식회사 A NETWORK SECURITY SYSTEM AND A NETWORK SECURITY METHOD BASED ON IEEE 802.1x
KR101018435B1 (en) * 2008-08-14 2011-02-28 한국전자통신연구원 Apparatus and method for security management of user terminal
US8290162B2 (en) 2006-12-15 2012-10-16 Qualcomm Incorporated Combinational combiner cryptographic method and apparatus
US8571188B2 (en) 2006-12-15 2013-10-29 Qualcomm Incorporated Method and device for secure phone banking
KR101520191B1 (en) * 2013-11-27 2015-05-14 포항공과대학교 산학협력단 Apparatus and method for enhancing computer system security
WO2022215941A1 (en) * 2021-04-08 2022-10-13 삼성전자주식회사 Network security policy processing method of electronic device

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101421086B1 (en) 2007-10-05 2014-07-24 에스케이플래닛 주식회사 Apparatus and Method for Firewall System Integrated Management
US8424053B2 (en) * 2008-07-01 2013-04-16 International Business Machines Corporation Method of dynamically updating network security policy rules when new network resources are provisioned in a service landscape

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050003587A (en) * 2003-06-27 2005-01-12 주식회사 케이티 Secure system and method for controlling access thereof
KR20050026624A (en) * 2003-09-09 2005-03-15 이상준 Integration security system and method of pc using secure policy network

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8290162B2 (en) 2006-12-15 2012-10-16 Qualcomm Incorporated Combinational combiner cryptographic method and apparatus
US8571188B2 (en) 2006-12-15 2013-10-29 Qualcomm Incorporated Method and device for secure phone banking
KR100850362B1 (en) * 2007-04-12 2008-08-04 한국전자통신연구원 System and method for enhancing security of personal embedded terminal
KR100914676B1 (en) * 2007-09-04 2009-09-02 유넷시스템주식회사 A NETWORK SECURITY SYSTEM AND A NETWORK SECURITY METHOD BASED ON IEEE 802.1x
KR101018435B1 (en) * 2008-08-14 2011-02-28 한국전자통신연구원 Apparatus and method for security management of user terminal
KR101520191B1 (en) * 2013-11-27 2015-05-14 포항공과대학교 산학협력단 Apparatus and method for enhancing computer system security
WO2022215941A1 (en) * 2021-04-08 2022-10-13 삼성전자주식회사 Network security policy processing method of electronic device

Also Published As

Publication number Publication date
KR100714367B1 (en) 2007-05-08

Similar Documents

Publication Publication Date Title
KR100714367B1 (en) Network security system co-operated with an authentication server and method thereof
US11477625B2 (en) System, apparatus and method for scalable internet of things (IoT) device on-boarding with quarantine capabilities
US10764264B2 (en) Technique for authenticating network users
US8539544B2 (en) Method of optimizing policy conformance check for a device with a large set of posture attribute combinations
US8555348B2 (en) Hierarchical trust based posture reporting and policy enforcement
KR101047641B1 (en) Enhance security and privacy for security devices
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US20160366183A1 (en) System, Apparatus And Method For Access Control List Processing In A Constrained Environment
CN113553558A (en) Detecting attacks using leaked credentials via internal network monitoring
US20140068724A1 (en) Dynamic authentication in secured wireless networks
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
WO2007094369A1 (en) Distributed authentication system and distributed authentication method
US10171504B2 (en) Network access with dynamic authorization
WO2006001647A1 (en) Network integrated management system
EP3876497A1 (en) Updated compliance evaluation of endpoints
KR101310631B1 (en) System and method for controlling access to network
KR20060044494A (en) Network management system and network management server of co-operating with authentication server
JP5397380B2 (en) Access control system, access control method, and communication terminal
KR20070009490A (en) System and method for authenticating a user based on the internet protocol address
JPWO2008153069A1 (en) Communication control system, communication control method, and communication terminal
WO2006001590A1 (en) Netwok security system co-operated with an authentification server and method thereof
WO2008027653A1 (en) Method and apparatus for conforming integrity of a client device
KR102536855B1 (en) Method for configuring wireless lan secure channel
WO2010038726A1 (en) Information report system, information report method, communication terminal, and program
KR100914676B1 (en) A NETWORK SECURITY SYSTEM AND A NETWORK SECURITY METHOD BASED ON IEEE 802.1x

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
N231 Notification of change of applicant
GRNT Written decision to grant
N231 Notification of change of applicant
LAPS Lapse due to unpaid annual fee