KR100513296B1 - Apparatus, system and method for controlling network access - Google Patents

Apparatus, system and method for controlling network access Download PDF

Info

Publication number
KR100513296B1
KR100513296B1 KR10-2003-0024475A KR20030024475A KR100513296B1 KR 100513296 B1 KR100513296 B1 KR 100513296B1 KR 20030024475 A KR20030024475 A KR 20030024475A KR 100513296 B1 KR100513296 B1 KR 100513296B1
Authority
KR
South Korea
Prior art keywords
network
network device
device information
receiving
access control
Prior art date
Application number
KR10-2003-0024475A
Other languages
Korean (ko)
Other versions
KR20040090336A (en
Inventor
육현규
이경훈
윤현식
고영구
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR10-2003-0024475A priority Critical patent/KR100513296B1/en
Publication of KR20040090336A publication Critical patent/KR20040090336A/en
Application granted granted Critical
Publication of KR100513296B1 publication Critical patent/KR100513296B1/en

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B21MECHANICAL METAL-WORKING WITHOUT ESSENTIALLY REMOVING MATERIAL; PUNCHING METAL
    • B21FWORKING OR PROCESSING OF METAL WIRE
    • B21F11/00Cutting wire
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B21MECHANICAL METAL-WORKING WITHOUT ESSENTIALLY REMOVING MATERIAL; PUNCHING METAL
    • B21FWORKING OR PROCESSING OF METAL WIRE
    • B21F1/00Bending wire other than coiling; Straightening wire
    • B21F1/04Undulating
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B21MECHANICAL METAL-WORKING WITHOUT ESSENTIALLY REMOVING MATERIAL; PUNCHING METAL
    • B21FWORKING OR PROCESSING OF METAL WIRE
    • B21F45/00Wire-working in the manufacture of other particular articles
    • B21F45/006Wire-working in the manufacture of other particular articles of concrete reinforcement fibres

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크 접근제어를 위한 네트워크 관리장치와 관리시스템 및 이를 이용한 네트워크 접근제어 방법에 관한 발명으로서, 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브(probe)메시지를 수신하여 제공하고, 상기 프로브(probe)메시지에 대응하는 슈도(Pseudo)응답 메시지를 제공받아 상기 네트워크로 전송하는 네트워크 인터페이스 모듈과, 상기 네트워크 인터페이스 모듈에서 제공하는 상기 프로브(probe)메시지를 수신하고, 상기 수신한 프로브(probe)메시지에 포함된 상기 네트워크 장치정보를 추출하여 제공하는 장치정보추출 모듈과, 상기 장치정보추출 모듈에서 제공하는 상기 네트워크 장치정보를 수신하고, 네트워크 장치정보가 등록된 저장부를 검색하여 상기 수신한 네트워크 장치정보의 존재 여부를 확인하고, 상기 저장부에 상기 수신한 네트워크 장치정보가 존재하지 않을 경우 상기 수신한 네트워크 장치정보를 제공하는 검색모듈과, 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 수신하고, 상기 수신한 장치정보를 이용하여 상기 네트워크 인터페이스 모듈에서 수신한 프로브(probe)메시지에 대응하는 슈도(Pseudo)응답 메시지를 생성하여 상기 네트워크 인터페이스 모듈에 제공하는 접근제어모듈을 포함하는 네트워크 접근제어를 위한 네트워크 관리장치를 특징으로 한다.The present invention relates to a network management apparatus and a management system for network access control, and a network access control method using the same, wherein a probe message including network device information of the network apparatus is received from a wired or wireless network to which the network apparatus is connected. And a network interface module receiving a pseudo response message corresponding to the probe message and transmitting the same to the network, and receiving the probe message provided by the network interface module. A device information extraction module for extracting and providing the network device information included in the received probe message, the network device information provided by the device information extraction module, and searching for a storage unit in which network device information is registered; The received network Checks the presence of the device information, and if the received network device information does not exist in the storage unit, receives a search module for providing the received network device information, and the network device information provided by the search module. And an access control module for generating a pseudo response message corresponding to a probe message received from the network interface module using the received device information and providing the pseudo message to the network interface module. It features a network management device for.

Description

네트워크 접근제어를 위한 네트워크 관리장치와 관리시스템 및 이를 이용한 네트워크 접근제어 방법{APPARATUS, SYSTEM AND METHOD FOR CONTROLLING NETWORK ACCESS}Network management device and management system for network access control and network access control method using same {APPARATUS, SYSTEM AND METHOD FOR CONTROLLING NETWORK ACCESS}

본 발명은 네트워크 장치의 인증에 관한 것으로, 보다 상세하게는 네트워크 장치의 네트워크 주소 할당 과정을 통한 인증을 수행함에 있어서, 네트워크 접근제어를 위한 네트워크 관리장치와 관리시스템 및 이를 이용한 네트워크 접근제어 방법에 관한 것이다.The present invention relates to authentication of a network device, and more particularly, to a network management apparatus and a management system for network access control and a network access control method using the same in performing authentication through a network address assignment process of a network device. will be.

종래의 기술에서는 IP기반의 네트워크 장치의 접근을 제어하기 위하여 도 1에서 도시한 바와 같이 라우터(Router)/스위치(Switch)(100), Dynamic Host Configuration Protocol(이하 'DHCP'라고 함)서버(120), 인증서버(130), 네트워크 장치(110)로 구성된다. DHCP클라이언트를 내장하고 있는 네트워크 장치(110)는 네트워크에 접속하려는 장치로서 DHCP서버로부터 IP주소를 할당받기 위하여 자신의 MAC주소와 호스트 이름이 포함된 DHCPDISCOVER메시지를 브로드캐스트한다. 라우터(Router)/스위치(Switch)(100)는 상기 DHCPDISCOVER메시지를 캡쳐하여 DHCP서버(120)에게 전송하고, 상기 DHCPDISCOVER메시지를 수신한 DHCP서버(120)는 자신의 IP Pool 범위 내에서 제공할 수 있는 IP주소가 포함된 DHCPOFFER메시지를 브로드캐스트한다. 상기 라우터(Router)/스위치(Switch)(100)를 통하여 DHCPOFFER메시지를 수신한 네트워크 장치(110)는 DHCP서버(120)의 IP주소와 네트워크 장치(110)의 IP주소를 포함하고 있는 DHCPREQUEST메시지를 브로드캐스트하고, 상기 라우터(Router)/스위치(Switch)(100)를 거쳐 DHCP서버(120)가 상기 DHCPREQUEST메시지를 수신하여 이로부터 네트워크 장치(110)의 MAC주소를 추출하게 된다. DHCP서버(120)는 상기 추출한 MAC주소를 인증서버(130)에게 전송하고, 상기 인증서버(130)는 이 MAC주소가 이미 인증서버(130)에 등록된 것인지를 조사한다. 만일 이미 상기 MAC주소가 등록되었다면 DHCP서버(120)는 상기 네트워크 장치(110)에게 할당하는 IP주소와 이와 관련된 파라미터가 포함된 DHCPACK메시지를 브로드캐스트하고, 상기 DHCPACK메시지를 수신한 상기 네트워크 장치(110)는 네트워크 접근이 허용된다. 만일 상기 MAC주소가 DHCP서버(120)에 등록되지 않았다면 DHCP서버(130)는 DHCPNACK메시지를 브로드캐스트함으로써 상기 네트워크 장치(110)의 네트워크 접근을 허용하지 않는다. 상기 인증서버(130)는 이미 등록된 네트워크 장치의 MAC주소와 IP주소를 관리하는 자료구조를 가지고 있고, DHCP서버(120)로부터 MAC주소를 받아서 상기 MAC주소가 자료구조에 등록되었는지 여부를 조사하여 DHCP서버(120)에게 전달하는 기능을 수행한다.In the related art, a router / switch 100 and a dynamic host configuration protocol (hereinafter, referred to as 'DHCP') server 120 as shown in FIG. 1 to control access of an IP-based network device. ), The authentication server 130, and the network device 110. The network device 110 incorporating the DHCP client broadcasts a DHCPDISCOVER message including its MAC address and host name to obtain an IP address from a DHCP server as a device to access a network. The router / switch 100 captures the DHCPDISCOVER message and transmits the DHCPDISCOVER message to the DHCP server 120. The DHCP server 120 receiving the DHCPDISCOVER message can provide the DHCPDISCOVER message within its IP pool range. Broadcast a DHCPOFFER message with an existing IP address. The network device 110 receiving the DHCPOFFER message through the router / switch 100 receives a DHCPREQUEST message including the IP address of the DHCP server 120 and the IP address of the network device 110. By broadcasting, the DHCP server 120 receives the DHCPREQUEST message via the router / switch 100 and extracts the MAC address of the network device 110 therefrom. The DHCP server 120 transmits the extracted MAC address to the authentication server 130, and the authentication server 130 checks whether the MAC address is already registered in the authentication server 130. If the MAC address is already registered, the DHCP server 120 broadcasts a DHCPACK message including an IP address and associated parameters assigned to the network device 110, and receives the DHCPACK message. ) Allows network access. If the MAC address is not registered in the DHCP server 120, the DHCP server 130 does not allow network access of the network device 110 by broadcasting a DHCPNACK message. The authentication server 130 has a data structure for managing the MAC address and IP address of the network device already registered, and receives the MAC address from the DHCP server 120 to investigate whether the MAC address is registered in the data structure It performs the function of delivering to the DHCP server (120).

도 2는 DHCP서버를 이용한 종래의 네트워크 장치의 인증방법을 나타내는 일실시예 처리 흐름도로서, 네트워크 장치가 네트워크에 연결되면 IP주소를 할당받기 위하여 DHCP 서버에게 브로드캐스트를 이용하여 IP주소를 요청한다(S200). 라우터(Router)/스위치(Switch)는 이 패킷을 DHCP서버에게 전달한다(S210). DHCP서버는 이 메시지를 수신하여 메시지 내에 포함된 네트워크 접근을 요청한 네트워크 장치의 MAC주소를 추출한다(S220). 이 MAC주소를 인증서버에게 전달하여 이 MAC주소가 등록된 것인지 아닌지 조사하도록 한다(S230,S240). 인증서버에 해당 MAC주소가 등록되어 있을 경우, DHCP 서버는 IP주소를 요청한 네트워크 장치에게 IP주소와 관련 c파라미터를 전송한다(S250). 또한 할당한 IP주소와 MAC주소를 인증서버에게 전송하여 자료구조에 등록하도록 한다(S260). 만일 IP주소를 요청한 네트워크 장치의 MAC주소가 인증서버에 등록되지 않았을 경우, IP주소할당을 거부한다(S70).FIG. 2 is a flowchart illustrating a method of authenticating a conventional network device using a DHCP server. When a network device is connected to a network, the network device requests an IP address by using a broadcast from a DHCP server in order to receive an IP address. S200). The router / switch forwards this packet to the DHCP server (S210). The DHCP server receives this message and extracts the MAC address of the network device requesting the network access included in the message (S220). The MAC address is transmitted to the authentication server to check whether the MAC address is registered (S230, S240). If the corresponding MAC address is registered in the authentication server, the DHCP server transmits the IP address and the associated c parameter to the network device requesting the IP address (S250). In addition, the assigned IP address and MAC address are transmitted to the authentication server to be registered in the data structure (S260). If the MAC address of the network device requesting the IP address is not registered in the authentication server, the IP address assignment is rejected (S70).

그러나, 상기 도 1 또는 도 2와 같은 종래의 방법을 사용하면 다음과 같은 문제가 발생한다.However, using the conventional method as shown in FIG. 1 or FIG. 2, the following problem occurs.

종래의 기술은 인증서버에 이미 등록되어 있는 MAC주소를 비교하여 DHCP 서버에게 IP주소를 요청하는 네트워크 장치에게 IP주소를 할당할 것인지 말 것인지를 결정하도록 동작한다. 따라서, 만일 MAC주소가 등록되지 않은 장치를 사용하기 위해서는 네트워크 장치의 MAC주소를 미리 인증서버에 직접 등록해야 하는 불편함이 있다. 즉, 컴퓨터 사용에 익숙하지 못한 사람들, 예컨대 홈네트워크에 있어서 일반 가정주부또는 인증서버와 떨어진 장소에서 미처 등록하지 못한 네트워크 장치에 대한 인증을 할 필요가 있는 경우 네트워크 장치를 네트워크에 쉽게 접근시킬 수 없다. 또한 기존의 방법은 DHCP서버가 네트워크 내에 존재할 경우에만 적용되는 방법이다. DHCP서버가 네트워크에 없을 때, IPv4의 경우, IP주소를 자동으로 생성하는 AutoIP방법이 있고, IPv6의 경우에도 IP주소를 자동으로 생성하는 Autoconfiguration 방법이 있는데, AutoIP방법 또는 Autoconfiguration 방법으로는 네트워크 접근을 막을 수 없다.The prior art operates by comparing MAC addresses already registered in the authentication server to determine whether or not to assign an IP address to a network device requesting an IP address from a DHCP server. Therefore, in order to use a device whose MAC address is not registered, it is inconvenient to register the MAC address of the network device directly to the authentication server in advance. That is, if a user who is unfamiliar with computer use, such as a home network, needs to authenticate a network device that is not registered at a place away from a general housewife or authentication server, the network device cannot be easily accessed. . In addition, the existing method is applied only when a DHCP server exists in the network. When there is no DHCP server in the network, there is an AutoIP method for automatically generating an IP address in the case of IPv4, and an Autoconfiguration method for automatically generating an IP address in the case of IPv6. Can't stop

이러한 문제들로 인하여 종래의 기술은 다른 기술적 해결 방안이 필요하게 되었다.Due to these problems, the prior art requires another technical solution.

본 발명은 상기한 문제점을 해결하기 위해 안출된 것으로, 본 발명에서는 인증되지 않은 네트워크 장치가 임의의 네트워크에 접속된 경우, 프로브(probe)메시지를 이용하여 네트워크 관리자가 상기 네트워크 장치의 연결을 허락할 것인지 여부를 결정하는 방법을 제공함으로써 인증되지 않은 네트워크 장치의 접근을 효과적으로 제어하도록 하고, 네트워크 장치를 인증하기 위하여 네트워크 장치정보를등록하는 과정을 단순화함으로써 네트워크 관리자의 편의를 향상시킬 수 있는 방법을 제안한 것이다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems. In the present invention, when an unauthorized network device is connected to an arbitrary network, a network administrator may allow connection of the network device using a probe message. By providing a method of determining whether or not to determine whether or not to effectively control the access of unauthorized network devices, and simplifying the process of registering network device information to authenticate the network device, we propose a method that can improve the convenience of network administrators will be.

상기 목적을 달성하기 위하여, 본 발명에 따른 네트워크 접근제어를 위한 네트워크 관리장치는 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브(probe)메시지를 수신하여 제공하고, 상기 프로브(probe)메시지에 대응하는 슈도(Pseudo)응답 메시지를 제공받아 상기 네트워크로 전송하는 네트워크 인터페이스 모듈과, 상기 네트워크 인터페이스 모듈에서 제공하는 상기 프로브(probe)메시지를 이용하여 상기 네트워크 장치정보를 추출하여 제공하는 장치정보추출 모듈과, 네트워크 장치정보를 저장하는 저장부와, 상기 장치정보추출 모듈에서 제공하는 상기 네트워크 장치정보가 상기 저장부에 등록되었는지 조사하여 등록되지 않은 경우 상기 수신한 네트워크 장치정보를 제공하고, 상기 네트워크 장치정보를 상기 저장부에 등록하도록 하는 명령을 수신하여 상기 저장부에 등록하는 검색모듈과, 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 수신하여 제어터미널로 전송하고, 상기 제어터미널로부터 상기 네트워크 장치의 접근제어명령 신호를 수신하여 제공하는 제어터미널 인터페이스 모듈과, 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 이용하여 상기 네트워크 인터페이스 모듈에서 수신한 프로브(probe)메시지에 대응하는 슈도(Pseudo)응답 메시지를 생성하여 상기 네트워크 인터페이스 모듈에 제공하고, 상기 제어터미널 인터페이스 모듈로부터 접근제어명령 신호를 수신하여 제공하는 접근제어 모듈을 포함한다.In order to achieve the above object, a network management apparatus for network access control according to the present invention receives and provides a probe message including network device information of the network device from a wired or wireless network to which the network device is connected, and the probe Providing the network device information by using a network interface module receiving a pseudo response message corresponding to a probe message and transmitting it to the network, and the probe message provided by the network interface module. The device information extracting module, a storage unit storing network device information, and whether the network device information provided by the device information extracting module is registered in the storage unit and providing the received network device information if not registered. And the network Receives a command to register the value information to the storage unit to register the storage unit, and receives the network device information provided by the search module to the control terminal, and transmits to the control terminal, the network device from the control terminal Pseudo response message corresponding to a probe message received by the network interface module using the control terminal interface module for receiving and providing an access control command signal of the network and the network device information provided by the search module. It generates and provides to the network interface module, the access control module for receiving and providing an access control command signal from the control terminal interface module.

또한, 본 발명에 따른 네트워크 접근제어 방법은 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브(probe)메시지를 수신하여 제공하는 제1단계와, 상기 제1단계에서 제공하는 프로브(probe)메시지를 수신하고, 상기 수신한 프로브(probe)메시지에 포함된 상기 네트워크 장치정보를 추출하여 제공하는 제2단계와, 상기 제2단계에서 제공하는 상기 네트워크 장치정보를 수신하고, 네트워크 장치정보가 등록된 저장부를 검색하여 상기 수신한 네트워크 장치정보의 존재 여부를 확인하고, 상기 저장부에 상기 수신한 네트워크 장치정보가 존재하지 않을 경우 상기 수신한 네트워크 장치정보를 제공하는 제3단계와, 상기 제3단계에서 제공하는 상기 장치정보를 수신하여 제공하고, 상기 네트워크 장치의 접근제어명령 신호를 수신하여 슈도(Pseudo)응답 메시지의 생성을 제어하는 제4단계를 포함한다.In addition, the network access control method according to the present invention comprises a first step of receiving and providing a probe (probe) message containing the network device information of the network device from a wired or wireless network to which the network device is connected, and provided in the first step Receiving a probe message, extracting and providing the network device information included in the received probe message; receiving the network device information provided by the second step, and receiving a network A third step of searching for a storage unit in which device information is registered, checking whether the received network device information exists, and providing the received network device information when the received network device information does not exist in the storage unit; Receiving and providing the device information provided in the third step; Receiving and muscle control command signal and a fourth step of controlling the pseudo (Pseudo) generation of a response message.

한편, 본 발명에 따른 상세한 설명을 하기에 앞서, 본 발명이 제공하는 각 용어들에 대한 정의를 살펴보면 다음과 같다.On the other hand, before the detailed description according to the present invention, look at the definition of each term provided by the present invention.

1. DHCP(Dynamic Host Configuration Protocol) : 네트워크 관리자들이 조직 내의 네트워크 상에서 IP주소를 중앙에서 관리하고 할당해줄 수 있도록 해주는 프로토콜이다.1. DHCP (Dynamic Host Configuration Protocol): A protocol that allows network administrators to centrally manage and assign IP addresses on networks within an organization.

2. IP(Internet Protocol) : 인터넷상의 한 컴퓨터에서 다른 컴퓨터로 데이터를 보내는데 사용되는 프로토콜로서, IP의 버전으로 버전4인 IPv4와 버전6인 IPv6이 있다.2. Internet Protocol (IP): A protocol used to send data from one computer to another on the Internet. There are two versions of IP: version 4, IPv4 and version 6, IPv6.

3. AutoIP : IPv4에서 IP주소를 자동으로 할당하는 방법으로서, 주어진 IP주소 범위 내에서 IP주소를 자동으로 생성하여 생성된 IP주소가 네트워크 내에서 유일한 것일 경우 그 주소를 사용하고, 네트워크 내에 다른 네트워크 장치가 동일한 주소를 사용할 경우 새로 생성한 IP주소의 사용을 포기하고, 다른 주소를 생성하여 사용하는 방법이다. 3. AutoIP: Automatically assigns an IP address in IPv4. If the IP address generated by automatically generating an IP address within a given IP address range is unique in the network, the IP address is used. If the device uses the same address, it gives up using the newly created IP address and creates and uses another address.

4. Autoconfiguration : IPv6에서 IP주소를 자동으로 할당하는 방법이다.4. Autoconfiguration: Automatically assigns IP addresses in IPv6.

5. 프로브(probe)메시지 : 할당받은 네트워크 주소를 사용하기 전에 네트워크 내에서 그 주소가 유일한지 검사하기 위해 브로드캐스트 방법으로 전송되는 메시지.5. probe message: A message sent by the broadcast method to check that the address is unique within the network before using the assigned network address.

6. ARP 프로브(probe)(Address Resolution Protocol 프로브(probe)) : 할당받은 IP주소를 사용하기 전에 네트워크 내에서 그 주소가 유일한지 검사하는 과정.6. ARP probe (Address Resolution Protocol probe): The process of checking whether an address is unique in the network before using it.

7. MAC주소 : 근거리통신망에 있어서 데이터 링크 계층의 MAC계층에 의해 사용되는 주소로서 네트워크 카드의 48 비트 하드웨어 주소를 말한다.7. MAC Address: The address used by the MAC layer of the data link layer in a local area network, the 48-bit hardware address of the network card.

이하, 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 네트워크 접근제어를 위한 네트워크 관리장치와 관리시스템 및 이를 이용한 네트워크 접근제어 방법을 설명하면 다음과 같다.Hereinafter, a network management apparatus and a management system for a network access control and a network access control method using the same according to an embodiment of the present invention will be described with reference to the accompanying drawings.

참고로, 본 발명의 일실시예에 따른 네트워크 주소는 IP주소를 예를 들고, 프로브(probe)메시지는 ARP 프로브(probe)를 예를 들어 설명하기로 한다.For reference, a network address according to an embodiment of the present invention takes an IP address as an example, and a probe message will be described using an ARP probe as an example.

도 3은 본 발명에 따른 전체 구성을 나타내는 예시도로서, 크게 게이트웨이(300), 네트워크 접근을 요청하는 네트워크 장치(330), DHCP서버(320), 장치접근제어 관리장치(350)로 구성된다. 게이트웨이(300)는 네트워크에 연결된 각 장치들 간의 패킷을 전달하는 역할을 하고 내부망(Private network)과 외부망(Public network)간의 패킷을 전달하는 역할을 수행한다. 네트워크 접근을 요청하는 네트워크 장치(330)는 IP주소를 할당받기 위하여 DHCP 클라이언트 모듈이 내장되어 있거나 망 내에서 DHCP서버를 사용할 수 없을 경우에 IP주소를 자동으로 생성하기 위하여 AutoIP(또는 Autoconfiguration)모듈이 내장되어 있다. DHCP서버(320)는 네트워크 장치(330)로부터 IP주소 요청 메시지를 수신하여 할당 가능한 IP주소가 있을 경우 네트워크 장치(330)에게 IP주소를 할당하고 관리하는 역할을 수행한다. 장치접근제어 관리장치(350)는 네트워크에 새로 접속한 네트워크 장치(330)를 감지하여 이 장치가 네트워크에 연결되도록 인증된 장치인지 아닌지를 검사하고, 인증되지 않은 장치일 경우에 이 장치를 인증할 것인지를 네트워크 관리자(미도시)에게 묻고, 상기 관리자가 결정을 내리는 동안 이 장치가 IP주소를 확보할 수 없도록 하는 역할을 수행한다. 이 장치가 네트워크에 연결되도록 결정되면 이 장치의 MAC주소를 등록하는 역할을 수행한다.3 is an exemplary view showing the overall configuration according to the present invention, and is largely composed of a gateway 300, a network device 330 for requesting network access, a DHCP server 320, and a device access control management device 350. The gateway 300 transfers packets between the devices connected to the network and transfers the packets between the private network and the public network. The network device 330 requesting network access includes an AutoIP module (or Autoconfiguration) module for automatically generating an IP address when a DHCP client module is built in to obtain an IP address or a DHCP server is not available in the network. It is built in. The DHCP server 320 receives an IP address request message from the network device 330 and allocates and manages an IP address to the network device 330 when there is an assignable IP address. The device access control management device 350 detects the network device 330 newly connected to the network, checks whether the device is authorized to connect to the network, and authenticates the device if the device is not authenticated. It asks the network administrator (not shown) whether the device can obtain an IP address while the administrator makes a decision. When this device is determined to be connected to the network, it registers the MAC address of the device.

도 4a와 도 4b는 본 발명에 따른 네트워크 장치 내에 있는 IP 주소 할당을 위한 모듈의 구성을 나타내는 예시도로서, 도 4a에서 도시한 네트워크 장치(400)는 DHCP 클라이언트 모듈(410)과 IPv4가 구현된 AutoIP모듈(420)로 구성되어 있고, 도 4b에서 도시한 네트워크 장치(430)는 DHCP 클라이언트 모듈(440)과 IPv6가 구현된 Autoconfiguration 모듈(450)로 구성되어 있다. 네트워크 장치는 도 4a와 도 4b에서 도시한 바와 같이, 두 모듈이 동시에 구현될 경우도 있고, 각각의 모듈이 하나씩만 구성될 수도 있다. 도 4c는 본 발명에 따른 ARP 패킷 구성을 나타내는 예시도로서, Hardware type은 네트워크 계층에서 사용되는 하드웨어 형식을 나타내며 이더넷인 경우 FF로 설정된다. Sender HA는 네트워크 접근을 요청하는 네트워크 장치의 하드웨어 주소가 되고, Sender IP는 네트워크 접근을 요청하는 네트워크 장치의 인터넷 주소로서 모두 0으로 설정된다. Target HA는 ARP요구가 발생했을 때, 도착지의 하드웨어 주소가 되고, Target IP는 ARP요구가 발생했을 때, 도착지의 인터넷 주소가 된다. 4A and 4B are exemplary diagrams showing the configuration of a module for IP address allocation in a network device according to the present invention. The network device 400 shown in FIG. 4A includes a DHCP client module 410 and an IPv4 implementation. It is composed of an AutoIP module 420, the network device 430 shown in Figure 4b is composed of a DHCP client module 440 and an Autoconfiguration module 450 implemented IPv6. As shown in FIGS. 4A and 4B, two network modules may be implemented at the same time, and only one module may be configured. 4C is an exemplary diagram illustrating an ARP packet configuration according to the present invention, in which a hardware type indicates a hardware type used in a network layer and is set to FF in the case of Ethernet. Sender HA is the hardware address of the network device requesting network access, and Sender IP is the Internet address of the network device requesting network access. Target HA is the hardware address of the destination when an ARP request occurs, and Target IP is the Internet address of the destination when an ARP request occurs.

도 5는 본 발명에 따른 장치접근제어 관리장치의 구성을 나타내는 예시도로서, 장치접근제어 관리장치(350)는 네트워크 장치(330)가 네트워크(570) 접속 시 IP주소 설정을 위하여 전송한 ARP 프로브(probe)를 수신하여 이 장치의 MAC주소를 추출하여 이 주소가 이미 인증된 주소인지 아닌지를 검사한다. 인증되지 않은 주소일 경우 네트워크 관리자가 제어터미널(560)을 통하여 상기 네트워크 장치(330)의 인증여부를 결정할 수 있도록 하고, 만일 이 때 상기 관리자에 의하여 네트워크(570)에 접속되도록 결정된다면 상기 네트워크 관리장치(350)의 저장부(550)에 상기 네트워크 장치(330)의 MAC주소를 등록하고 IP주소를 설정할 수 있도록 한다. 그러나, 상기 네트워크 장치(330)가 네트워크(570)에 접속할 수 없도록 결정된다면 접근제어 모듈(530)은 상기 네트워크 장치(330)가 상기 네트워크(570)에 접속할 수 없도록 한다.5 is an exemplary view showing the configuration of a device access control management apparatus according to the present invention, the device access control management apparatus 350 is an ARP probe transmitted by the network device 330 to set the IP address when connecting to the network 570 Receive (probe) to extract the MAC address of this device and check whether this address is already authenticated. If the address is not authenticated, the network manager may determine whether the network device 330 is authenticated through the control terminal 560, and if the network manager 570 is determined to be connected to the network 570 by the manager at this time, the network management may be performed. The storage unit 550 of the device 350 registers the MAC address of the network device 330 and sets an IP address. However, if it is determined that the network device 330 cannot access the network 570, the access control module 530 does not allow the network device 330 to access the network 570.

네트워크 인터페이스 모듈(500)은 네트워크 장치(330)가 전송한 ARP 프로브(probe)를 수신하는 역할과 이 장치가 인증되지 않은 것일 경우 IP설정을 할 수 없도록 ARP 프로브(probe)에 대한 슈도(Pseudo) 응답 메시지를 전송하는 역할을 한다. 장치정보추출 모듈(510)은 수신된 ARP 프로브(probe)로부터 장치의 MAC주소를 추출한다. 검색모듈(520)은 추출된 MAC 주소를 전달받아 저장부(550)에 등록된 MAC 주소 리스트와 비교하여 MAC 주소가 인증된 것인지 아닌지를 판단하고, 인증되지 않은 것일 경우에는 접근제어 모듈(530)로 상기 MAC주소를 전달하여 상기 접근제어 모듈(530)이 슈도(Pseudo)응답 메시지를 생성하여 네트워크 인터페이스 모듈(500)을 통해 네트워크(570)로 전송하도록 하고, 제어터미널 인터페이스 모듈(540)을 통하여 제어터미널(560)로 인증여부 메시지를 전송한다. 제어터미널 인터페이스 모듈(540)은 인증되지 않은 장치에 대하여 네트워크 관리자(미도시)가 네트워크 장치(330)의 네트워크 접속을 허락 또는 거부 하도록 결정하기 위하여 제어터미널(560)과 접근제어명령 신호를 송수신한다. 네트워크 장치(330)가 네트워크(570)에 접근하도록 인증될 경우 접근제어 모듈(530)은 검색 모듈(520)에게 상기 네트워크 장치(330)의 MAC주소를 저장부(550)에 등록하도록 하고, 슈도(Pseudo)응답 메시지 생성을 정지시킨다. 상기 저장부(550)는 도 5에서 도시한 바와 같이 장치접근제어 관리장치(350) 내부에 존재할 수 있고, 또다른 실시예로서 상기 장치접근제어 관리장치(350) 외부에 또다른 저장부가 존재할 수도 있다. 만일 네트워크 장치(330)가 네트워크(570)에 접근하는 것이 거부된다면 접근제어 모듈(530)은 상기 네트워크 인터페이스 모듈(500)이 수신한 프로브(probe)메시지에 대응하는 슈도(Pseudo) 응답 메시지를 생성하여 네트워크 인터페이스 모듈(500)을 통하여 전송하게 된다. The network interface module 500 serves to receive the ARP probe transmitted by the network device 330 and pseudo-seed for the ARP probe so that IP setting cannot be performed when the device is not authenticated. It sends a response message. The device information extraction module 510 extracts the MAC address of the device from the received ARP probe. The search module 520 receives the extracted MAC address and compares it with the list of MAC addresses registered in the storage unit 550 to determine whether or not the MAC address is authenticated, and if not, the access control module 530. By transmitting the MAC address to the access control module 530 generates a pseudo response message to be transmitted to the network 570 through the network interface module 500, and through the control terminal interface module 540 The authentication terminal transmits an authentication message to the control terminal 560. The control terminal interface module 540 transmits and receives an access control command signal with the control terminal 560 to determine whether to allow or deny the network connection of the network device 330 to the unauthorized device. . When the network device 330 is authorized to access the network 570, the access control module 530 causes the search module 520 to register the MAC address of the network device 330 in the storage unit 550, and the pseudo (Pseudo) Stops generating response messages. The storage unit 550 may exist inside the device access control management apparatus 350 as shown in FIG. 5, and as another embodiment, another storage unit may exist outside the device access control management apparatus 350. have. If the network device 330 is denied access to the network 570, the access control module 530 generates a pseudo response message corresponding to the probe message received by the network interface module 500. To be transmitted through the network interface module 500.

도 6은 본 발명에 따른 ARP 프로브(probe)의 수행 동작을 나타내는 예시도로서, 네트워크 장치(610)는 자신의 내부에 있는 DHCP 클라이언트 모듈(620)에 의해 DHCP서버(650)로부터 IP주소를 할당받거나, DHCP서버가 네트워크 상에 존재하지 않는 경우 AutoIP 모듈 또는 Autoconfiguration 모듈에 의해 자동으로 IP주소를 할당받는다. 도 6에서 도시한 실시예는 AutoIP모듈(630)을 나타내고 있다. 네트워크 장치(610)는 IP주소를 사용하기 전에 네트워크 내에서 그 주소가 유일한지 검사하는 ARP(Address Resolution Protocol - RFC 826 참조) 프로브(probe) 과정을 수행한다(625,635). 다른 네트워크 장치가 이 IP주소를 사용한다는 응답을 보내면 네트워크 장치(610)는 DHCP서버(650)에게 다른 IP주소를 요청하거나, AutoIP 모듈(630)에 의해 자동으로 다른 IP주소를 할당받는다. 만일 상기 네트워크 장치(610)가 인증되었다면 상기 네트워크 장치(610)는 아무런 응답을 받지 않는다. DHCP 서버(650)로부터 IP주소를 할당 받는 과정과 ARP 프로브(probe)과정은 네트워크 내에서 유일한 주소가 할당될 때까지 반복된다. 이러한 과정을 반복하는 횟수를 지정할 수 있다. AutoIP 모듈(630)은 DHCP서버(650)가 없을 경우 사용 가능한 IP주소 범위 내에서 자동으로 IP주소를 생성한다. 생성한 IP주소가 네트워크 내에서 유일한지를 ARP 프로브(probe)를 통하여 검사하고 유일한 주소가 생성될 때까지 이 동작을 반복한다.이러한 과정을 반복하는 횟수를 지정할 수 있다. 6 is an exemplary diagram illustrating an operation of performing an ARP probe according to the present invention, in which a network device 610 allocates an IP address from a DHCP server 650 by a DHCP client module 620 therein. If the DHCP server does not exist on the network, the IP address is automatically assigned by the AutoIP module or Autoconfiguration module. 6 illustrates the AutoIP module 630. The network device 610 performs an ARP (Address Resolution Protocol-RFC 826) probe procedure to check whether the address is unique in the network before using the IP address (625, 635). When the other network device sends a response indicating that the IP address is used, the network device 610 requests another IP address from the DHCP server 650 or is automatically assigned another IP address by the AutoIP module 630. If the network device 610 is authenticated, the network device 610 does not receive any response. The process of receiving an IP address from the DHCP server 650 and the process of ARP probe are repeated until a unique address is allocated in the network. You can specify the number of times to repeat this process. The AutoIP module 630 automatically generates an IP address within a range of available IP addresses when there is no DHCP server 650. The ARP probe checks whether the generated IP address is unique in the network and repeats this operation until a unique address is created. You can specify the number of times to repeat this process.

도 7은 본 발명에 따른 MAC주소 등록 검사 및 인증 과정을 나타내는 예시도로서, 장치정보추출 모듈(510)이 네트워크 인터페이스 모듈(500)로부터 수신한 ARP 프로브(probe)메시지에서 네트워크 접근을 요청한 네트워크 장치(미도시)의 MAC주소를 추출하고, 상기 추출된 MAC주소를 검색모듈(520)로 전송하면 검색모듈(520)은 전송된 MAC주소를 저장부(550)에 있는 자료구조에 등록되었는지 여부를 검사한다. 만약 등록되어 있지 않다면 네트워크 관리자(미도시)가 등록여부를 결정할 수 있도록 제어터미널 인터페이스 모듈(540)이 동작하여 제어터미널(560)과 접근제어명령을 포함하는 메시지를 송수신하게 된다. 접근제어명령에는 상기 저장부(550)에 상기 MAC주소를 등록하라는 명령 또는 슈도(Pseudo)응답 메시지를 생성하라는 명령을 포함한다. 한편, 제어터미널(560)은 무선이동단말기, 또는 웹어플리케이션이나 그래픽 유저 인터페이스(GUI)를 동작시킬 수 있는 디스플레이 장치, 네트워크에 새로운 장치가 접속되었음을 시각적 또는 청각적으로 알려주는 장치 등을 포함하고, 제어터미널 인터페이스 모듈(540)은 상기 제어터미널(540)과 접근제어명령을 포함하는 메시지를 송수신하기 위한 무선송수신 모듈, 어플리케이션 생성 프로그램모듈 등을 포함한다. 제어터미널(560)에서 네트워크 관리자에게 제공하는 네트워크 장치정보는 MAC주소가 될 수 있고, 네트워크에 접근을 요청하는 네트워크 장치의 사용자 정보를 수집하는 별도의 모듈로부터 상기 사용자 정보를 수신하여 제공할 수 있고, 제어터미널 인터페이스 모듈(540)에 사용자 정보 수집을 위한 기능을 추가할 수도 있다. 네트워크 관리자가 등록을 허락한 경우 그 장치가 영구적으로 등록되도록 할 것인지, 임시적으로 등록되도록 할 것인지, 특정 주기에만 등록되도록 할 것인지를 결정할 수 있다. 이 결정사항은 접근제어모듈(530)과 검색모듈(520)을 거쳐 저장부(550)에 등록되고, 나중에 그 네트워크 장치가 동일한 네트워크에 접속을 시도할 경우, 별도의 인증절차 없이 네트워크에 접근이 가능하게 된다.FIG. 7 is a diagram illustrating a MAC address registration checking and authentication process according to the present invention, wherein the device information extraction module 510 requests network access from an ARP probe message received from the network interface module 500. After extracting the MAC address (not shown) and transmitting the extracted MAC address to the search module 520, the search module 520 determines whether the transmitted MAC address is registered in the data structure in the storage unit 550. Check it. If it is not registered, the control terminal interface module 540 operates to allow the network administrator (not shown) to determine whether to register or not, and transmits and receives a message including an access control command to the control terminal 560. The access control command includes a command to register the MAC address or a pseudo response message to the storage unit 550. The control terminal 560 may include a wireless mobile terminal, a display device capable of operating a web application or a graphical user interface (GUI), a device visually or audibly indicating that a new device is connected to a network, and the like. The control terminal interface module 540 includes a wireless transmission / reception module for transmitting and receiving a message including an access control command with the control terminal 540, an application generation program module, and the like. The network device information provided to the network administrator in the control terminal 560 may be a MAC address, and may receive and provide the user information from a separate module for collecting user information of the network device requesting access to the network. In addition, a function for collecting user information may be added to the control terminal interface module 540. If your network administrator allows you to register, you can decide whether to register the device permanently, temporarily, or only during a specific period. This decision is registered in the storage unit 550 via the access control module 530 and the retrieval module 520, and when the network device attempts to access the same network later, access to the network is not performed without an additional authentication procedure. It becomes possible.

도 8a와 도 8b는 본 발명에 따른 MAC주소 저장부의 자료구조를 나타내는 예시도로서, 네트워크에 접근을 요청하는 네트워크 장치가 접근이 허용되도록 설정될 경우, 네트워크 관리자가 상기 네트워크 장치에 대하여 인증형태를 지정할 수 있도록 하기 위한 자료구조이다. 자료구조는 크게 Member Device(800 - 영구히 접근이 가능하도록 인증된 장치), Current Guest Devices(810 - 현재 일시적으로 접근이 허용되도록 인증된 장치), Peroidic Guest Devices(820 - 현재는 접근할 수 없으나 해당하는 주기가 될 경우 접근이 가능하도록 인증되는 장치)로 구성된다. Current Guest Devices(810)에 지정된 장치는 각 장치별 지정된 시간이 경과하면 자동으로 삭제된다. 8A and 8B are diagrams illustrating a data structure of the MAC address storage unit according to the present invention. When the network device requesting access to the network is configured to allow access, the network administrator may authenticate the network device with an authentication form. Data structure to be able to specify. The data structures are largely member devices (800-devices authorized for permanent access), current guest devices (810-devices currently authorized to access temporarily), and peroidic guest devices (820-not currently accessible. Device is authenticated so that it can be accessed. Devices specified in the Current Guest Devices 810 are automatically deleted after a specified time for each device elapses.

도 9은 본 발명에 따른 네트워크 접근이 허용되지 않는 네트워크 장치에 대한 장치접근제어 관리장치의 동작 과정을 나타내는 예시도로서, 장치가 등록되지 않아서 네트워크 관리자로부터 인증을 기다리는 동안 또는 장치의 네트워크 접속이 거부될 경우 이 장치가 IP주소를 설정할 수 없도록 ARP 프로브(probe)에 대한 응답을 보내는 동작을 나타낸다. 접근제어 모듈(530)은 네트워크 인터페이스 모듈(500)이 수신한 ARP 프로브(probe) 형식에 따라 이에 대한 슈도(Pseudo)응답 메시지를 생성한다. 네트워크 인터페이스 모듈(500)은 생성된 슈도(Pseudo)응답 메시지를 ARP 프로브(probe)를 전송한 네트워크 장치에게 전송한다. 이 슈도(Pseudo)응답 메시지를 수신한 네트워크 장치는 할당받은 IP주소를 포기하고, 다른 IP주소를 할당받거나 다른 IP주소를 생성한 후 이에 대한 ARP 프로브(probe)를 전송한다. 이 장치의 인증이 결정되는 동안 이 과정을 정해진 횟수만큼 반복할 수 있다.9 is an exemplary view illustrating an operation process of a device access control management device for a network device that is not allowed to access the network according to the present invention. While the device is not registered, the device access is denied while waiting for authentication from the network administrator. If so, it indicates that the device sends a response to the ARP probe so that it cannot set an IP address. The access control module 530 generates a pseudo response message according to the ARP probe type received by the network interface module 500. The network interface module 500 transmits the generated pseudo response message to the network device that transmits the ARP probe. The network device receiving the pseudo response message gives up the assigned IP address, receives another IP address or generates another IP address, and then sends an ARP probe to it. This process may be repeated a predetermined number of times while authentication of the device is determined.

도 10a는 본 발명에 따른 DHCP클라이언트 - DHCP서버 시스템에서의 ARP 프로브(probe)의 동작 중 MAC주소 추출 과정을 나타내는 일실시예 처리 흐름도로서, DHCP클라이언트가 DHCP서버에게 IP할당을 요청하면(S1000), DHCP서버가 DHCP클라이언트에게 IP주소 및 관련 파라미터를 전송한다(S1010). DHCP클라이언트는 할당받은 IP가 네트워크 상에서 유일한 것인지 검사하기 위하여 ARP Request메시지를 브로드캐스트함으로써 ARP 프로브(probe)과정을 수행한다(S1020). 장치접근제어 관리장치의 네트워크 인터페이스 모듈이 상기 ARP Request메시지를 수신하고(S1030), 상기 수신한 ARP Request메시지에서 MAC주소를 추출한다(S1040).FIG. 10A is a flowchart illustrating a process of extracting a MAC address during operation of an ARP probe in a DHCP client-DHCP server system according to the present invention. When the DHCP client requests IP allocation from a DHCP server (S1000). The DHCP server transmits the IP address and related parameters to the DHCP client (S1010). The DHCP client performs an ARP probe process by broadcasting an ARP Request message to check whether the allocated IP is unique on the network (S1020). The network interface module of the device access control management device receives the ARP Request message (S1030), and extracts a MAC address from the received ARP Request message (S1040).

도 10b는 본 발명에 따른 IPv4의 ARP 프로브(probe)의 동작 중 MAC주소 추출 과정을 나타내는 일실시예 처리 흐름도로서, AutoIP모듈이 자동으로 자신의 IP주소를 생성하면(S1050), AutoIP모듈이 ARP Request메시지를 브로드캐스트함으로써 ARP 프로브(probe)과정을 수행한다(S1060). 장치접근제어 관리장치의 네트워크 인터페이스 모듈이 상기 ARP Request메시지를 수신하고(S1070), 상기 수신한 ARP Request메시지에서 MAC주소를 추출한다(S1080).FIG. 10B is a flowchart illustrating a process of extracting a MAC address during operation of an ARP probe of IPv4 according to the present invention. When the AutoIP module automatically generates its own IP address (S1050), the AutoIP module generates ARP. The ARP probe process is performed by broadcasting a request message (S1060). The network interface module of the device access control management device receives the ARP Request message (S1070), and extracts the MAC address from the received ARP Request message (S1080).

도 11은 본 발명에 따른 MAC주소 등록 검사 및 인증 과정을 나타내는 일실시예 처리 흐름도로서, 검색모듈이 장치정보추출 모듈로부터 추출된 MAC주소를 전달받으면(S1100), 상기 전달받은 MAC주소가 저장부에 등록된 것인지 여부를 조사한다(S1110). 만일 저장부에 등록되었다면 종료가 되지만, 등록되지 않았다면 네트워크 접근을 요청한 네트워크 장치를 등록할 것인지 여부를 네트워크 관리자가 알려주기 위해 제어터미널 인터페이스 모듈을 실행하고(S1120), 접근제어 모듈은 슈도(Pseudo) 응답 메시지를 생성한다(S1130). 만일 네트워크 관리자가 접근을 허용하지 않으면 계속해서 슈도(Pseudo) 응답 메시지를 생성하고, 접근을 허용하면 접근제어 모듈은 슈도(Pseudo) 응답 메시지의 생성을 정지하고(S1150), 저장부에 MAC주소를 등록한다(S1160).11 is a flowchart illustrating an embodiment of a MAC address registration checking and authentication process according to the present invention. When the search module receives the MAC address extracted from the device information extraction module (S1100), the received MAC address is stored. It is checked whether or not registered in (S1110). If it is registered in the storage unit, it is terminated, but if it is not registered, the network manager executes the control terminal interface module to inform the network administrator whether to register the network device requesting network access (S1120), and the access control module is pseudo. A response message is generated (S1130). If the network administrator does not allow the access, the controller continuously generates a pseudo response message. If the network administrator permits the access, the access control module stops generating the pseudo response message (S1150) and sends the MAC address to the storage. Register (S1160).

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정하는 것은 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited to drawing.

상기한 바와 같이 이루어진 본 발명에 따르면, 인증되지 않은 장치가 네트워크에 접속을 시도할 경우 이를 감지하여 효율적으로 네트워크 관리자가 이 장치의 접근을 허용하거나 거부하도록 설정할 수 있고, 장치의 접근을 허용할 경우 추가적인 작업을 하지 않고, 장치정보를 쉽게 등록할 수 있다. 특히 본 발명의 실시예와 같이 IP기반의 네트워크 상에서 DHCP서버가 존재하지 않더라도 IPv4 또는 IPv6에 의해 네트워크 접근제어가 가능하다.According to the present invention made as described above, if an unauthorized device attempts to connect to the network, it can detect and efficiently set the network administrator to allow or deny access to the device, and if the device is allowed to access Device information can be easily registered without any additional work. In particular, even if there is no DHCP server on the IP-based network as in the embodiment of the present invention, network access control is possible by IPv4 or IPv6.

도 1은 DHCP서버를 이용한 종래의 네트워크 장치 인증을 위한 구성을 나타내는 예시도1 is an exemplary view showing a configuration for a conventional network device authentication using a DHCP server

도 2는 DHCP서버를 이용한 종래의 네트워크 장치의 인증방법을 나타내는 일실시예 처리 흐름도2 is a flowchart illustrating an exemplary method for authenticating a conventional network device using a DHCP server.

도 3은 본 발명에 따른 전체 구성을 나타내는 예시도Figure 3 is an exemplary view showing the overall configuration according to the present invention

도 4a와 도 4b는 본 발명에 따른 네트워크 장치 내에 있는 IP 주소 할당을 위한 모듈의 구성을 나타내는 예시도4A and 4B are exemplary views showing the configuration of a module for IP address allocation in a network device according to the present invention.

도 4c는 본 발명에 따른 ARP 프로브(probe) 패킷 구성을 나타내는 예시도Figure 4c is an illustration showing an ARP probe packet configuration according to the present invention

도 5는 본 발명에 따른 장치접근제어 관리장치의 구성을 나타내는 예시도5 is an exemplary view showing the configuration of a device access control management apparatus according to the present invention;

도 6은 본 발명에 따른 ARP 프로브(probe)의 수행 동작을 나타내는 예시도6 is an exemplary view showing an operation of performing an ARP probe according to the present invention.

도 7은 본 발명에 따른 MAC주소 등록 검사 및 인증 과정을 나타내는 예시도7 is an exemplary diagram illustrating a MAC address registration checking and authentication process according to the present invention.

도 8a와 도 8b는 본 발명에 따른 저장부의 자료구조를 나타내는 예시도8A and 8B are exemplary views illustrating a data structure of a storage unit according to the present invention.

도 9은 본 발명에 따른 네트워크 접근이 허용되지 않는 네트워크 장치에 대한 장치접근제어 관리장치의 동작 과정을 나타내는 예시도9 is an exemplary view showing an operation process of a device access control management device for a network device that is not allowed to access the network according to the present invention.

도 10a는 본 발명에 따른 DHCP클라이언트 - DHCP서버 시스템에서의 ARP 프로브(probe)의 동작 중 MAC주소 추출 과정을 나타내는 일실시예 처리 흐름도10A is a flowchart illustrating a process of extracting a MAC address during operation of an ARP probe in a DHCP client-DHCP server system according to the present invention.

도 10b는 본 발명에 따른 IPv4의 ARP 프로브(probe)의 동작 중 MAC주소 추출 과정을 나타내는 일실시예 처리 흐름도10B is a flowchart illustrating an embodiment of MAC address extraction during operation of an ARP probe in IPv4 according to the present invention.

도 11은 본 발명에 따른 MAC주소 등록 검사 및 인증 과정을 나타내는 일실시예 처리 흐름도11 is a flowchart illustrating an embodiment of a MAC address registration checking and authentication process according to the present invention.

* 도면의 주요부분에 대한 부호의 설명 *Explanation of symbols on main parts of drawing

330 : 네트워크 장치330: network device

350 : 장치접근제어 관리장치350: device access control management device

500 : 네트워크 인터페이스 모듈500: network interface module

510 : 장치정보추출 모듈510: device information extraction module

520 : 검색 모듈520: search module

530 : 접근제어 모듈530: access control module

540 : 제어터미널 인터페이스 모듈540 control terminal interface module

550 : 저장부550: storage unit

560 : 제어터미널560: control terminal

Claims (19)

유무선 네트워크로부터 새로 접속한 네트워크 장치를 감지하여 상기 감지된 네트워크 장치가 상기 유무선 네트워크에 연결되도록 인증되었는지 여부를 확인하고, 인증되지 않은 장치일 경우 상기 네트워크 장치의 인증여부 메시지를 전송하고, 상기 전송한 메시지에 대응하는 신호를 수신하는 동안 상기 네트워크 장치가 상기 네트워크에 접근할 수 없도록 상기 네트워크 장치로 슈도응답 메시지를 전송하는 네트워크 접근제어를 위한 네트워크 관리장치.Detects a newly connected network device from a wired / wireless network to check whether the detected network device is authenticated to connect to the wired or wireless network, and if the device is not authenticated, transmits an authentication message of the network device and transmits the message. And transmitting a pseudo response message to the network device such that the network device cannot access the network while receiving a signal corresponding to the message. 제1항에 있어서,The method of claim 1, 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브메시지를 수신하여 제공하고, 상기 프로브메시지에 대응하는 슈도응답 메시지를 제공받아 상기 네트워크로 전송하는 네트워크 인터페이스 모듈;A network interface module for receiving and providing a probe message including network device information of the network device from a wired / wireless network to which a network device is connected, and receiving and sending a pseudo response message corresponding to the probe message to the network; 상기 네트워크 인터페이스 모듈에서 제공하는 상기 프로브메시지를 이용하여 상기 네트워크 장치정보를 추출하여 제공하는 장치정보추출 모듈;A device information extraction module for extracting and providing the network device information by using the probe message provided by the network interface module; 네트워크 장치정보를 저장하는 저장부;A storage unit for storing network device information; 상기 장치정보추출 모듈에서 제공하는 상기 네트워크 장치정보가 상기 저장부에 등록되었는지 조사하여 등록되지 않은 경우 상기 수신한 네트워크 장치정보를 제공하고, 상기 네트워크 장치정보를 상기 저장부에 등록하도록 하는 명령을 수신하여 상기 저장부에 등록하는 검색모듈;Investigate whether the network device information provided by the device information extraction module is registered in the storage unit, and if not registered, provide the received network device information and receive a command to register the network device information in the storage unit. A search module to register with the storage unit; 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 수신하여 제어터미널로 전송하고, 상기 제어터미널로부터 상기 네트워크 장치의 접근제어명령 신호를 수신하여 제공하는 제어터미널 인터페이스 모듈;A control terminal interface module for receiving and transmitting the network device information provided by the search module to a control terminal and receiving and providing an access control command signal of the network device from the control terminal; 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 이용하여 상기 네트워크 인터페이스 모듈에서 수신한 프로브메시지에 대응하는 슈도응답 메시지를 생성하여 상기 네트워크 인터페이스 모듈에 제공하고, 상기 제어터미널 인터페이스 모듈로부터 접근제어명령 신호를 수신하여 제공하는 접근제어 모듈;Using the network device information provided by the search module, a pseudo response message corresponding to a probe message received by the network interface module is generated and provided to the network interface module, and an access control command signal is received from the control terminal interface module. An access control module for receiving and providing; 을 포함하는 네트워크 접근제어를 위한 네트워크 관리장치.Network management device for network access control comprising a. 제2항에 있어서, The method of claim 2, 상기 네트워크 장치정보는 MAC주소를 포함하는 네트워크 접근제어를 위한 네트워크 관리장치.The network device information is a network management device for network access control including a MAC address. 제2항에 있어서,The method of claim 2, 상기 제어터미널 인터페이스 모듈은 무선장치와 무선 송수신이 가능한 무선 송수신 인터페이스 모듈을 포함하는 네트워크 접근제어를 위한 네트워크 관리장치.The control terminal interface module is a network management device for a network access control including a wireless transmission and reception interface module capable of wireless transmission and reception with a wireless device. 제2항에 있어서,The method of claim 2, 상기 제어터미널 인터페이스 모듈은 웹어플리케이션을 생성하는 모듈을 포함하는 네트워크 접근제어를 위한 네트워크 관리장치.The control terminal interface module includes a module for generating a web application network management apparatus for network access control. 네트워크 장치가 자신의 네트워크 장치정보를 포함하는 프로브메시지를 송신하고, 네트워크 장치정보를 갖고 있는 네트워크 관리장치가 상기 메시지를 수신하여 상기 메시지에 포함된 상기 네트워크 장치정보의 등록 여부를 확인하고 등록이 되지 않은 경우 상기 네트워크 장치의 인증여부 메시지를 전송하고, 상기 전송한 메시지에 대응하는 신호를 수신하는 동안 상기 네트워크 장치가 상기 네트워크에 접근할 수 없도록 상기 네트워크 장치로 슈도응답 메시지를 전송하는 네트워크 접근제어를 위한 네트워크 관리시스템.The network device transmits a probe message including its network device information, and the network management device having the network device information receives the message to check whether the network device information included in the message is registered and not registered. Network access control for transmitting the authentication response message of the network device and transmitting a pseudo response message to the network device so that the network device cannot access the network while receiving a signal corresponding to the transmitted message. Network management system. 제6항에 있어서,The method of claim 6, 자신의 네트워크 장치정보를 포함하는 프로브메시지를 송신하고, 상기 송신한 프로브메시지에 대응하는 응답 메시지를 수신하는 네트워크 장치와,A network device which transmits a probe message including network device information of its own, and receives a response message corresponding to the transmitted probe message; 상기 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 상기 네트워크 장치정보를 포함하는 프로브메시지를 수신하여 제공하고, 상기 프로브메시지에 대응하는 슈도응답 메시지를 제공받아 상기 네트워크로 전송하는 네트워크 인터페이스 모듈;A network interface module for receiving and providing a probe message including the network device information of the network device from a wired / wireless network to which the network device is connected, and receiving and sending a pseudo response message corresponding to the probe message to the network; 상기 네트워크 인터페이스 모듈에서 제공하는 상기 프로브메시지를 이용하여 상기 네트워크 장치정보를 추출하여 제공하는 장치정보추출 모듈;A device information extraction module for extracting and providing the network device information by using the probe message provided by the network interface module; 네트워크 장치정보를 저장하는 저장부;A storage unit for storing network device information; 상기 장치정보추출 모듈에서 제공하는 상기 네트워크 장치정보가 상기 저장부에 등록되었는지 조사하여 등록되지 않은 경우 상기 수신한 네트워크 장치정보를 제공하고, 상기 네트워크 장치정보를 상기 저장부에 등록하도록 하는 명령을 수신하여 상기 저장부에 등록하는 검색모듈;Investigate whether the network device information provided by the device information extraction module is registered in the storage unit, and if not registered, provide the received network device information and receive a command to register the network device information in the storage unit. A search module to register with the storage unit; 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 수신하여 제어터미널로 전송하고, 상기 제어터미널로부터 상기 네트워크 장치의 접근제어명령 신호를 수신하여 제공하는 제어터미널 인터페이스 모듈;A control terminal interface module for receiving and transmitting the network device information provided by the search module to a control terminal and receiving and providing an access control command signal of the network device from the control terminal; 상기 검색모듈에서 제공하는 상기 네트워크 장치정보를 이용하여 상기 네트워크 인터페이스 모듈에서 수신한 프로브메시지에 대응하는 슈도응답 메시지를 생성하여 상기 네트워크 인터페이스 모듈에 제공하고, 상기 제어터미널 인터페이스 모듈로부터 접근제어명령 신호를 수신하여 제공하는 접근제어 모듈을 포함하는 네트워크 관리장치를 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.Using the network device information provided by the search module, a pseudo response message corresponding to a probe message received by the network interface module is generated and provided to the network interface module, and an access control command signal is received from the control terminal interface module. Network management system for a network access control comprising a network management device including an access control module for receiving and providing. 제7항에 있어서,The method of claim 7, wherein 상기 네트워크 관리장치의 제어터미널 인터페이스 모듈로부터 송신된 네트워크 장치정보를 수신하여 제공하고, 상기 제공된 정보에 대응하는 상기 네트워크 장치의 접근제어명령을 입력받아 상기 제어터미널 인터페이스 모듈로 전송하는 제어터미널을 더 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.And a control terminal for receiving and providing network device information transmitted from the control terminal interface module of the network management device, receiving an access control command of the network device corresponding to the provided information, and transmitting the received access control command to the control terminal interface module. Network management system for network access control. 제7항 또는 제8항에 있어서,The method according to claim 7 or 8, 상기 네트워크 장치정보는 MAC주소를 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.And said network device information comprises a MAC address. 제7항 또는 제8항에 있어서,The method according to claim 7 or 8, 상기 제어터미널 인터페이스 모듈은 무선장치와 무선 송수신이 가능한 무선 송수신 인터페이스 모듈을 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.The control terminal interface module includes a wireless transmission and reception interface module capable of wireless transmission and reception with a wireless device. 제7항 또는 제8항에 있어서,The method according to claim 7 or 8, 상기 제어터미널 인터페이스 모듈은 웹어플리케이션을 생성하는 모듈을 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.The control terminal interface module includes a module for generating a web application network management system for network access control. 제8항에 있어서,The method of claim 8, 상기 제어터미널은 무선이동단말기를 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.The control terminal is a network management system for a network access control including a wireless mobile terminal. 제8항에 있어서,The method of claim 8, 상기 제어터미널은 네트워크 장치정보를 웹페이지의 형태로 제공하는 장치를 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.The control terminal is a network management system for network access control comprising a device for providing network device information in the form of a web page. 제8항에 있어서,The method of claim 8, 상기 제어터미널은 네트워크 장치정보를 그래픽 유저 인터페이스(GUI)의 형태로 제공하는 장치를 포함하는 네트워크 접근제어를 위한 네트워크 관리시스템.The control terminal is a network management system for network access control comprising a device for providing network device information in the form of a graphical user interface (GUI). 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브메시지를 수신하여 제공하는 제1단계;A first step of receiving and providing a probe message including network device information of the network device from a wired or wireless network to which a network device is connected; 상기 제1단계에서 제공하는 프로브메시지를 이용하여 상기 네트워크 장치정보를 추출하여 제공하는 제2단계;A second step of extracting and providing the network device information using the probe message provided in the first step; 상기 제2단계에서 제공하는 상기 네트워크 장치정보를 수신하고, 네트워크 장치정보가 등록된 저장부를 조사하여 상기 수신한 네트워크 장치정보의 존재 여부를 확인한 후, 상기 수신한 네트워크 장치정보가 존재하지 않을 경우 상기 수신한 네트워크 장치정보를 제공하는 제3단계;After receiving the network device information provided in the second step, checking the storage unit in which the network device information is registered, checking whether the received network device information exists, and if the received network device information does not exist, A third step of providing the received network device information; 상기 제3단계에서 제공하는 네트워크 장치정보를 이용하여 상기 제1단계에서 수신한 프로브메시지에 대응하는 슈도응답 메시지를 생성하여 제공하는 제4단계; 및A fourth step of generating and providing a pseudo response message corresponding to the probe message received in the first step by using the network device information provided in the third step; And 상기 제4단계에서 제공하는 슈도응답 메시지를 수신하여 상기 제1단계에서의 유무선 네트워크로 전송하는 제5단계를 포함하는 네트워크 접근제어 방법.And a fifth step of receiving the pseudo response message provided in the fourth step and transmitting the pseudo response message to the wired / wireless network in the first step. 네트워크 장치가 연결된 유무선 네트워크로부터 상기 네트워크 장치의 네트워크 장치정보를 포함하는 프로브메시지를 수신하여 제공하는 제1단계;A first step of receiving and providing a probe message including network device information of the network device from a wired or wireless network to which a network device is connected; 상기 제1단계에서 제공하는 프로브메시지를 수신하고, 상기 수신한 프로브메시지에 포함된 상기 네트워크 장치정보를 추출하여 제공하는 제2단계;A second step of receiving a probe message provided in the first step and extracting and providing the network device information included in the received probe message; 상기 제2단계에서 제공하는 상기 네트워크 장치정보를 수신하고, 네트워크 장치정보가 등록된 저장부를 검색하여 상기 수신한 네트워크 장치정보의 존재 여부를 확인하고, 상기 저장부에 상기 수신한 네트워크 장치정보가 존재하지 않을 경우 상기 수신한 네트워크 장치정보를 제공하는 제3단계;및Receiving the network device information provided in the second step, to search for a storage unit registered with the network device information to confirm the existence of the received network device information, the network device information received in the storage unit If not, a third step of providing the received network device information; and 상기 제3단계에서 제공하는 상기 장치정보를 수신하여 제공하고, 상기 네트워크 장치의 접근제어명령 신호를 수신하여 슈도응답 메시지의 생성을 제어하는 제4단계를 포함하는 네트워크 접근제어 방법.And a fourth step of receiving and providing the device information provided in the third step, and controlling generation of a pseudo response message by receiving an access control command signal of the network device. 제16항에 있어서,The method of claim 16, 상기 제4단계는 상기 제3단계에서 제공하는 상기 장치정보를 수신하여 무선장치와 송수신이 가능한 무선 송수신 모듈을 통하여 제공하고, 상기 네트워크 장치의 접근제어명령 신호를 수신하여 슈도응답 메시지의 생성을 제어하는 단계를 포함하는 네트워크 접근제어 방법.In the fourth step, the device information provided in the third step is received and provided through a wireless transmission / reception module capable of transmitting and receiving with a wireless device, and the access control command signal of the network device is received to control generation of a pseudo response message. Network access control method comprising the step of. 제16항에 있어서,The method of claim 16, 상기 제4단계는 상기 제3단계에서 제공하는 상기 장치정보를 수신하여 웹어플리케이션을 통하여 제공하고, 상기 네트워크 장치의 접근제어명령 신호를 수신하여 슈도응답 메시지의 생성을 제어하는 단계를 포함하는 네트워크 접근제어 방법.The fourth step includes receiving the device information provided in the third step and providing the same through a web application, and receiving an access control command signal of the network device to control generation of a pseudo response message. Control method. 제15항 내지 제18항 중 어느 한 항에 있어서,The method according to any one of claims 15 to 18, 상기 네트워크 장치정보는 MAC주소를 포함하는 네트워크 접근제어 방법.The network device information includes a MAC address.
KR10-2003-0024475A 2003-04-17 2003-04-17 Apparatus, system and method for controlling network access KR100513296B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0024475A KR100513296B1 (en) 2003-04-17 2003-04-17 Apparatus, system and method for controlling network access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0024475A KR100513296B1 (en) 2003-04-17 2003-04-17 Apparatus, system and method for controlling network access

Publications (2)

Publication Number Publication Date
KR20040090336A KR20040090336A (en) 2004-10-22
KR100513296B1 true KR100513296B1 (en) 2005-09-09

Family

ID=37371485

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0024475A KR100513296B1 (en) 2003-04-17 2003-04-17 Apparatus, system and method for controlling network access

Country Status (1)

Country Link
KR (1) KR100513296B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1718094A1 (en) * 2005-04-28 2006-11-02 Research In Motion Limited System and method for providing network advertisement information via a network advertisement broker
US8428584B2 (en) 2005-07-01 2013-04-23 Research In Motion Limited System and method for accelerating network selection by a wireless user equipment (UE) device
KR100692918B1 (en) * 2006-03-07 2007-03-12 한국표준과학연구원 Management method of ubiquitous sensor network system
EP1858278B1 (en) 2006-05-19 2013-05-15 Research In Motion Limited System and method for facilitating accelerated network selection in a radio network enviroment

Also Published As

Publication number Publication date
KR20040090336A (en) 2004-10-22

Similar Documents

Publication Publication Date Title
US6195706B1 (en) Methods and apparatus for determining, verifying, and rediscovering network IP addresses
US7752653B1 (en) Method and apparatus for registering auto-configured network addresses based on connection authentication
US7010585B2 (en) DNS server, DHCP server, terminal and communication system
JP2003348116A (en) Address automatic setting system for in-home network
WO2009079895A1 (en) Method for allocating a secondary ip address based on dhcp access authentication
JP2001326696A (en) Method for controlling access
JP3994412B2 (en) Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium
WO2009079896A1 (en) User access authentication method based on dynamic host configuration protocol
KR20070024116A (en) System for managing network service connection based on terminal aucthentication
JP2002084306A (en) Packet communication apparatus and network system
KR100513296B1 (en) Apparatus, system and method for controlling network access
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands
Cisco AppleTalk Remote Access Commands

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140730

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150730

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee