KR100707805B1 - 사용자 및 인증자별로 제어할 수 있는 인증 시스템 - Google Patents

사용자 및 인증자별로 제어할 수 있는 인증 시스템 Download PDF

Info

Publication number
KR100707805B1
KR100707805B1 KR1020050023318A KR20050023318A KR100707805B1 KR 100707805 B1 KR100707805 B1 KR 100707805B1 KR 1020050023318 A KR1020050023318 A KR 1020050023318A KR 20050023318 A KR20050023318 A KR 20050023318A KR 100707805 B1 KR100707805 B1 KR 100707805B1
Authority
KR
South Korea
Prior art keywords
authentication
user
list
policy
authenticator
Prior art date
Application number
KR1020050023318A
Other languages
English (en)
Other versions
KR20060044493A (ko
Inventor
김기태
Original Assignee
엑서스케이알 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑서스케이알 주식회사 filed Critical 엑서스케이알 주식회사
Priority to PCT/KR2005/000841 priority Critical patent/WO2005091159A1/en
Publication of KR20060044493A publication Critical patent/KR20060044493A/ko
Application granted granted Critical
Publication of KR100707805B1 publication Critical patent/KR100707805B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Abstract

본 발명은 사용자 별 및 인증자 별로 네트워크 접근 권한 제어 및 사용 권한 제어를 할 수 있는 인증 시스템에 관한 것이다. 본 발명에 따른 인증 시스템은, 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하며, 상기 인증 서버는 각 사용자에게 적용될 적어도 하나 이상의 인증 정책으로 이루어지는 인증 정책 목록을 구비하고, 상기 인증 정책은 인증 정책 이름과, 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여, 사용자 및 인증자별 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것을 특징으로 한다.
인증 서버, 인증, IEEE 802.1x

Description

사용자 및 인증자별로 제어할 수 있는 인증 시스템{AUTHENTICATION SYSTEM BEING CAPABLE OF CONTROLLING AUTHORITY BASED OF USER AND AUTHENTICATOR}
도 1은 본 발명에 따른 인증 시스템의 전체적인 구성을 도시한 구성도.
도 2는 본 발명에 따른 인증 시스템에서의 인증 과정을 순차적으로 설명하기 위한 흐름도.
도 3은 본 발명에 따른 인증 시스템의 인증 서버의 목록을 도식화한 도면.
<도면의 주요 부분에 대한 부호의 설명>
100, 102 : 요구자
110, 112 : 인증자
120 : 인증 서버
본 발명은 사용자 또는/및 인증자 별로 네트워크의 접근 권한 및 사용 권한을 제어하거나 할당할 수 있는 인증 시스템 및 그 방법에 관한 것이다.
종래의 무선 랜 시스템에 있어서, 각 사용자에 해당하는 단말기에 대한 인증 방법은 액세스 포인트의 SSID, 공유 WEP(Wired Equipvalent Privacy) 키(Key), MAC(Media Access Control) 주소 등을 이용한다.
그런데, SSID는 단말기의 접근을 승인/부인하기 위한 핸들(handle)로서 잘 사용되지 않는다. 이는 액세스 포인트가 SSID를 전파 탐지기에서 브로드캐스팅(broadcasting)할 수 있도록 설정하기 때문에 보안에 관한 문제가 발생할 수 있으며, 단말기의 셀 사이의 이동성을 제공하고자 할 경우 액세스 포인트의 SSID를 모두 같은 것으로 설정하여야 하기 때문이다.
한편, WEP은 무선 랜의 데이터 스트림을 보호하기 위한 메카니즘으로, 동일한 키와 알고리즘을 사용하여 데이터를 암호화하고 해독하기 위해 사용된다. 그러므로, WEP을 사용하여 인증받기 위해서는 단말기와 액세스 포인트의 환경 설정에서 WEP 키를 동일하게 등록하여야 하는 문제점이 있다.
또한, 일부 무선 랜 공급업체들은 단말기의 MAC 주소에 기반하여 단말기의 무선 랜 접속을 인증하기도 한다. 그런데, 무선 랜 접속 인증은 액세스 포인트에 무선 랜 카드의 MAC 주소가 등록된 단말기에 한정되는 문제점을 갖고 있다.
이와 같이, 종래의 무선 랜 인증 방식은 보안 및 단말기의 이동성에 많은 문제점을 안고 있다. 즉, SSID와 공유 WEP키를 사용하여 단말기를 인증하는 방법은, 만약 특정한 단말 장비의 보안이 침해받게 되는 경우 나머지 단말 장비에 대한 암호를 변경해야 하는 문제점이 있다. 또한, 단말기의 이동성 측면에 있어서, 무선랜 시스템에서 셀 내의 모든 단말기들과 액세스 포인트는 모두 동일한 SSID 및 WEP 키를 설정하여야 하므로, 새로 들어온 단말을 서비스하기 위해서 액세스 포인트의 SSID와 WEP키를 공개하여야 하는 문제점이 있다.
그리고, MAC 주소를 이용하여 단말기를 인증하는 방법은 새로운 사용자가 들어올 때마다 단말기의 MAC 주소를 액세스 포인트에 등록하여야 하는 문제점이 있다. 따라서, 일시적으로 이동하는 단말을 서비스하거나, 빈번히 새로 들어오는 단말을 서비스하는 데 많은 어려움이 따른다.
이러한 문제점을 해결하기 위하여, 로그인 ID, 패스워드에 의한 무선 랜 단말기의 인증 방법이 제시되었다. 이 방법은 IEEE 802.1x에 기반한 EAP(Extensible Authentication Protocol)를 이용한 방식으로서, 사용자가 네트워크의 로그인 대화 상자 등을 통해 사용자 ID와 패스워드를 입력하면, 단말기 및 인증 서버는 제공된 사용자 ID 및 패스워드에 의한 단말기와의 상호 인증을 수행한다. 인증을 획득한 단말기는 액세스 포인트와 동일한 WEP 키를 액세스 포인트로부터 할당받음으로써 무선 랜 서비스를 받을 수 있게 된다.
이와 같은 종래의 인증 방식은 각 사용자별로만 네트워크 접근 권한 제어 및 사용 권한 제어가 획일적으로 수행하는 문제점을 안고 있다. 따라서, 종래의 획일적인 인증 방식에서 더 나아가, 본 발명은 IEEE 802.1x가 구현된 네트워크 상에서 사용자에 대한 네트워크 사용 권한을 구분하고, 구분된 권한을 사용자 별로 사용자가 접속한 인증자 별로 구분하여 할당함으로써 네트워크 상에서 사용자의 접속 위치에 따른 권한 제어를 가능케 하는 인증 시스템 및 그 방법을 제안하고자 한다.
도 1은 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100), 인증자(Authenticator;110), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다. 여기서, 요구자는 인증자에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다.
한편, 인증자는 요구자로부터 받은 인증 정보 및 인증 요청을 인증 서버에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다.
또한, 인증 서버는 인증자로부터 요구자에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버와 인증자 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 이 산업계 표준(De-Facto Standard)으로 자리잡고 있다.
RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute)들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다.
이에, 본 발명은 IEEE 802.1x 기반에서 데이터 링크 계층에서의 사용자 접근 권한 및 네트워크 사용 권한을 제어하고 이를 통하여 다양하고 세분화된 네트워크 관리를 구현할 수 있는 인증 서버를 제공하는 것을 목적으로 한다.
또한, 본 발명은 사용자에 대한 네트워크 접근 권한 제어 정책 및 사용 권한 제어 정책을 인증 서버에서 구현하여, 인증자별 접근 권한 제어 정책을 설정하고, 설정된 정책을 사용자 기반으로 할당함으로써, 사용자 및 인증자별 네트워크 접근 권한 제어 및 사용 권한 제어를 구현하는 방법을 제공하는 것을 다른 목적으로 한다.
전술한 기술적 과제를 달성하기 위한 본 발명의 제1 특징은, 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 관한 것으로서,
상기 인증 서버의 인증 정책 목록의 각 인증 정책은 하나의 인증 정책 이름 이 설정되며, 각 인증 정책은 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여,
상기 인증 서버는 사용자로부터 인증 요청이 발생하면, 각 사용자에게 적용되는 인증 정책 이름을 확인하고, 상기 인증 정책 이름에 해당하는 인증 정책을 인증 정책 목록으로부터 판독하고, 판독된 인증 정책에 따라 상기 사용자에 대한 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것이다.
본 발명의 제2 특징은, 상기 인증 서버는 각 사용자별로 적용되는 인증 정책 이름 및 각 인증 정책 이름에 대응하는 인증 정책으로 이루어지는 인증 정책 목록을 구비하고,
상기 인증 서버는 사용자로부터의 인증 요청이 발생하는 경우, 해당 사용자로부터 제공된 기본 인증 정보를 이용하여 사용자에 대한 기본 인증 절차를 수행하고,
만약, 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자에게 적용될 인증 정책 이름을 상기 인증 정책 목록으로부터 확인하고, 상기 인증 정책 이름에 대응하는 인증 정책을 판독하며, 판독된 인증 정책에 따라 상기 사용자에 대한 최종 인증 절차를 수행하는 것이다.
상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 인증자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속허용할 인증자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것이 바람직하다.
또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 인증자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속 차단할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것이 바람직하다.
또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 요구자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속허용할 요구자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것이 바람직하다.
또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 요구자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속 차단할 요구자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것이 바람직하다.
또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 허용할 시간/요일 목록을 구비하고, 상기 사용자가 상기 기본 인증 절 차에서 인증 성공되는 경우, 상기 인증 서버는 사용자가 네트워크에 접속한 시간 또는 요일이 상기 접속 허용할 시간/요일 목록에 등록된 시간 또는 요일에 해당하는 경우에는 해당 사용자가 네트워크에 접속할 수 있도록 하는 최종 인증 성공 메시지를 상기 인증자에게 전송하는 것이 바람직하다.
또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 네트워크 자원에 대한 인증자별 사용 권한 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자가 상기 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있는 권한을 설정하는 것이 바람직하다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 인증 시스템 및 그 방법을 구체적으로 설명한다.
도 3은 본 발명에 따른 인증 서버에 구비되는 인증 정책 목록을 도식화한 도면이다. 본 발명에 따른 인증 서버는 인증자로부터 특정 사용자에 대한 인증 정보를 제공받고 인증자로부터의 특정 사용자에 대한 인증 요청에 따라 인증 여부를 수행하는 것으로서, 상기 인증 서버는 적어도 하나 이상의 인증 정책들로 이루어지는 인증 정책 목록을 구비한다. 그리고, 인증 정책 목록의 각 인증 정책은 각각을 식별할 수 있는 인증 정책 이름과 접속 허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 및 요일 목록, 접속 차단할 시간 및 요일 목록, 인증자 별 사용권한 목록 중 적어도 하나 이상을 구비하여, 사용자 및 인증자 별 네트워크 접근 권한 제어 및 사용 권한 제어 정책을 구현할 수 있게 된다. 이하, 인증 정책 목록을 구비한 인증서버의 구성 및 작용을 구체적으로 설명한다.
먼저, 인증 정책 이름은 각 정책을 구분하는 구분자로서, 각 정책이 각 사용자에게 할당되며, 해당 사용자가 인증 서버에 의해 기본 인증 절차에서 성공되면, 사용자에게 할당된 인증 정책 이름에 해당하는 인증 정책을 적용받게 된다.
다음, 접속 허용할 인증자 목록은 해당 사용자가 인증받을 수 있는 인증자에 대한 목록으로서, 각 인증자에 대한 IP 주소 또는 MAC 주소를 설정함으로써 상기 목록에 등록될 수 있다. 이 경우, 상기 인증 서버는 인증 요청된 사용자로부터 전송받은 기본 인증 정보(예컨대, 사용자 ID, 비밀번호, 인증서 등)가 인증 서버에 등록된 그것과 일치하더라도, 사용자에 대한 인증 요청한 인증자가 상기 접속 허용할 인증자 목록에 등록된 경우에만 해당 사용자에 대해 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다.
한편, 접속 차단할 인증자 목록은 해당 사용자가 인증받을 수 없는 인증자에 대한 목록으로서, 각 인증자에 대한 IP 주소 또는 MAC 주소를 설정함으로써 상기 목록에 등록될 수 있다. 이 경우, 상기 인증 서버는 인증 요청된 사용자로부터 전송받은 기본 인증 정보(예컨대, 사용자 ID, 비밀번호, 인증서 등)가 인증 서버에 등록된 그것과 일치하더라도, 사용자에 대한 인증 요청한 인증자가 상기 접속 차단할 인증자 목록에 등록된 경우에는 해당 사용자에 대해 네트워크의 접근을 차단하게 된다.
전술한 접속 허용할 인증자와 접속 차단할 인증자에 대한 정보는 인증자에서 RADIUS Access Request를 보낼 때 RADIUS 속성 중 "Called-Station-Id" 속성을 이용하며, 이에 대한 형식은 IETF RFC3580에서 정의된 바를 따르는 것이 바람직하다. RFC3580에 따르면, 해당 인증자의 Called-Station-Id는 MAC 주소 또는 무선랜의 경우 MAC 주소와 SSID를 함께 전송하도록 규정되어 있다.
다음, 접속 허용할 요구자 목록은 요구자가 기본 인증 정보를 만족하더라도 사용자에 대한 MAC 주소 등이 다르면 인증을 거부하도록 하는 목록이며, 접속 허용할 사용자에 대한 MAC 주소를 등록하게 된다. 따라서, 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것과 일치하더라도, 해당 사용자의 MAC 주소가 접속 허용할 요구자 목록에 포함되어 있는 경우에만, 해당 사용자에 대하여 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다.
한편, 접속 차단할 요구자 목록은 접속 허용할 요구자 목록과 반대되는 개념의 목록이다. 따라서, 사용자에 대한 MAC 주소가 접속 차단할 목록에 포함되어 있는 경우, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것과 일치하더라도, 인증 서버는 해당 사용자에 대하여 인증하지 않게 된다.
전술한 접속 허용할 요구자 목록 및 접속 차단할 요구자 목록에 대한 정보는 인증자에서 RADIUS Access Request를 보낼 때 RADIUS 속성중 "Calling-Station-Id" 속성을 이용하며, 이에 대한 형식은 IETF RFC3580에서 정의된 바를 따르는 것이 바람직하다. RFC3580에 따르면, "Calling-Station-Id" 속성은 해당 요구자의 MAC 주소를 나타내도록 정의되어 있다.
다음, 접속 허용할 시간 및 요일 목록은 해당 사용자가 네트워크에 접속할 수 있는 시간 및 요일을 설정하는 것이다. 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것들과 일치하더라도, 접속된 시간 또는 요일이 상기 접속 허용할 시간 및 요일 목록에 등록된 내용과 일치하는 경우에만, 해당 사용자가 네트워크에 접속할 수 있도록 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다.
또한, 접속 차단할 시간 및 요일 목록은 해당 사용자가 네트워크에 접속할 수 없는 시간 및 요일을 설정하는 것으로서, 전술한 접속 허용할 시간 및 요일 목록과 반대되는 개념의 것이다. 따라서, 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것들과 일치하더라도, 접속된 시간 또는 요일이 상기 접속 차단할 시간 및 요일 목록에 포함되는 경우에는 해당 사용자에 대해 인증하지 않음으로써 네트워크에 접속할 수 없도록 한다.
여기서, 시간 및 요일은 인증 서버의 시간을 기준으로 접속 허용 여부를 결정하게 되며, 인증 서버의 시간은 내부 시스템 시간을 사용할 수도 있고, NTP 등을 통해서 네트워크 상에서 시간을 동기화할 수도 있을 것이다.
다음, 인증자별 사용 권한 목록은 인증성공된 사용자가 사용할 수 있는 네트워크 자원을 인증자별로 설정하기 위한 목록으로서, 인증 서버에 의해 기본 인증 성공된 사용자는 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있게 된다. 여기서, 인증자별 사용 권한 목록에 대한 정보는 가상 랜 식별자(VLAN ID) 또는 벤더별 사용 권한에 대한 속성을 이용하는 것이 바람직하다. 그리고, 각 인증자를 구분하는 기준은 IP 패킷의 Source IP Address Field와 RADIUS NAS-IP- Address 또는 NAS-IPv6-Address Field를 사용할 수 있다.
여기서, 상기 가상 랜 식별자는 IETF RFC3580에서 터널 속성을 통해 인증 성공 메시지에 포함해서 전송하도록 규정되어 있으며, RADIUS 속성중 "Tunnel-Type=13"은 VLAN을 나타내며, "Tunnel-Medium-Type=6"은 802 표준을 나타내며, 이때 "Tunnel-Private-Group-Id"는 VLAN ID를 나타낸다. 이 경우, 인증자가 연결되어 있는 네트워크 상에서 해당하는 가상 랜이 구성되어 있어야 하며, 3계층의 스위치(Layer 3 Switch)나 라우터에서 가상 랜 태그가 붙어서 전송되는 패킷을 처리할 수 있는 기능이 지원되어야 한다. 이에 따라 해당 사용자는 자신이 속한 가상 랜에서만 네트워크를 접근할 수 있으며 이외의 네트워크는 물리적으로 연결되어 있더라도 사용할 권한이 없다.
인증 서버는 사용자로부터 인증 요청을 받는 경우, 먼저 RADIUS NAS-IP-Address값이 접속허용할 인증자 목록에 등록된 인증자인지 여부를 판단하고, 만약 등록되어 있는 Shared Secret값을 이용한 메시지 무결성 검사를 수행하여 Shared Secret이 정확한지 여부를 판단한다. 만약, Shared Secret이 정확한 경우에는 해당 사용자에 대한 인증을 수행하고, 해당 사용자에게 적용될 인증 정책을 확인하여 인증자의 IP 주소, 즉 NAS-IP-Address Field값에 기재된 IP 주소에 대하여 인증자별 사용 권한 목록의 사용 권한 정책을 설정하고 최종 인증 성공 메시지를 인증자에게 전송하게 된다.
또한, 상기 벤더별 사용 권한 속성은 각 벤더별 고유한 사용 권한 속성을 이용하는 것이다. 그 예로서, 엔터라시스(Enterasys)사의 경우 UPN(User Personalized Network)이라는 정책 관리자(Policy Manager)를 통해 서비스 품질 관리(QoS), 포트별 속도 제한(Rate Limit), 접근 제한 목록(ACL:Access Control List) 등을 설정할 수 있으며, UPN 정책 이름은 RADIUS 속성중 "Filter-Id" 속성에 포함시켜 전송하게 되며, "Filter-Id" 속성의 형식은 엔터라시스사에서 정의한 형식을 따른다. 그리고, 시스코(Cisco)사의 경우, 사용자별 접근 제한 목록(ACL:Access Control List)을 별도로 설정할 수 있다. 사용자별 접근 제한 목록은 Cisco VSA(Vendor Specific Attributes)을 통해 인증자에게 전달하게 된다. 이와 같이 각 벤더별 속성은 벤더마다 다르기 때문에 표준화된 속성을 사용할 수는 없지만, 벤더별 속성 형식을 별도로 제공하고 있으므로 벤더에 따른 고유한 속성을 해당 인증자에 대해 가지게 되면 향상된 형태의 네트워크 접근 및 사용 권한 제어를 실시할 수 있게 된다.
이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들면, 접속허용할 인증자 및 요구자에 대한 정보, 이들을 전송할 속성의 종류 등은 인증 시스템의 효율을 증가시키기 위하여 또는 각 벤더 별 특성 등에 따라 최적화시키기 위하여 다양하게 변형하여 실시할 수 있을 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명에 의하여, IEEE 802.1x 기반에서 인증 서버는 사용자별 접근 권한 제어 및 네트워트 사용 권한을 제어할 수 있을 뿐만 아니라, 인증자별 접근 권한 제어 및 네트워크 사용 권한도 제어할 수 있게 된다. 그 결과, 종래의 획일적인 사용자 접근 권한 및 사용 권한 제어 메커니즘에 비해 훨씬 다양하고 세분화된 네트워크 관리를 구현할 수 있게 된다.

Claims (13)

  1. 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 있어서,
    상기 인증 서버는 적어도 하나 이상의 인증 정책들로 이루어지는 인증 정책 목록을 구비하고, 상기 인증 정책은 인증 정책 이름 및 해당 인증 관련된 정보들로 이루어지며, 상기 인증 정책은 사용자 또는 사용자 그룹별로 적용되는 것을 특징으로 하며,
    상기 인증 서버는 사용자로부터의 인증 요청이 발생하는 경우, 해당 사용자로부터 제공된 기본 인증 정보를 이용하여 사용자에 대한 기본 인증 절차를 수행하고,
    만약, 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자에게 적용될 인증 정책 이름을 상기 인증 정책 목록으로부터 확인하고, 상기 인증 정책 이름에 대응하는 인증 정책을 판독하며, 판독된 인증 정책에 따라 상기 사용자에 대한 최종 인증 절차를 수행하는 것을 특징으로 하는 인증 시스템.
  2. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 인증자 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서 버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속허용할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것을 특징으로 하는 인증 시스템.
  3. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 인증자 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속 차단할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것을 특징으로 하는 인증 시스템.
  4. 제2항 또는 제3항에 있어서, 인증 서버로 전송되는 인증자에 대한 정보는 RADIUS(Remote Authentication Dial-In User Service) 속성 중 "Called-Station-id" 속성을 이용하여 전송하는 것을 특징으로 하는 인증 시스템.
  5. 제2항 또는 제3항에 있어서, 상기 인증자 목록은 각 인증자에 대한 IP주소 또는 MAC 주소를 등록하는 것을 특징으로 하는 인증 시스템.
  6. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 요구자 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속허용할 요구자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것을 특징으로 하는 인증 시스템.
  7. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 요구자 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속 차단할 요구자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것을 특징으로 하는 인증 시스템.
  8. 제6항 또는 제7항에 있어서, 인증 서버로 전송되는 요구자에 대한 정보는 RADIUS(Remote Authentication Dial-In User Service) 속성 중 "Calling-Station-id" 속성을 이용하여 전송하는 것을 특징으로 하는 인증 시스템.
  9. 제6항 또는 제7항에 있어서, 상기 요구자 목록은 각 사용자에 대한 MAC 주소를 등록하는 것을 특징으로 하는 인증 시스템.
  10. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 허용할 시간/요일 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자가 네트워크에 접속한 시간 또는 요일이 상기 접속 허용할 시간/요일 목록에 등록된 시간 또는 요일에 해당하는 경우에는 해당 사용자가 네트워크에 접속할 수 있도록 하는 최종 인증 성공 메시지를 상기 인증자에게 전송하는 것을 특징으로 하는 인증 시스템.
  11. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 네트워크 자원에 대한 인증자별 사용 권한 목록을 구비하고,
    상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자가 상기 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있는 권한을 설정하는 것을 특징으로 하는 인증 시스템.
  12. 제11항에 있어서, 상기 인증자별 사용 권한 목록은 가상 랜 식별자(VLAN ID) 또는 벤더별 사용 권한 속성을 사용하는 것을 특징으로 하는 인증 시스템.
  13. 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 있어서,
    상기 인증 서버의 인증 정책 목록의 각 인증 정책은 하나의 인증 정책 이름 이 설정되며, 각 인증 정책은 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여,
    상기 인증 서버는 사용자로부터 인증 요청이 발생하면, 각 사용자에게 적용되는 인증 정책 이름을 확인하고, 상기 인증 정책 이름에 해당하는 인증 정책을 인증 정책 목록으로부터 판독하고, 판독된 인증 정책에 따라 상기 사용자에 대한 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것을 특징으로 하는 인증 시스템.
KR1020050023318A 2004-03-24 2005-03-21 사용자 및 인증자별로 제어할 수 있는 인증 시스템 KR100707805B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/000841 WO2005091159A1 (en) 2004-03-24 2005-03-23 Authentication system being capable of controlling authority based of user and authenticator.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040020015 2004-03-24
KR1020040020015 2004-03-24

Publications (2)

Publication Number Publication Date
KR20060044493A KR20060044493A (ko) 2006-05-16
KR100707805B1 true KR100707805B1 (ko) 2007-04-17

Family

ID=37149126

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050023318A KR100707805B1 (ko) 2004-03-24 2005-03-21 사용자 및 인증자별로 제어할 수 있는 인증 시스템

Country Status (1)

Country Link
KR (1) KR100707805B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949807B1 (ko) 2007-11-29 2010-03-30 한국전자통신연구원 서버와 클라이언트 간 인증 시스템 및 그 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100852145B1 (ko) * 2007-11-22 2008-08-13 한국정보보호진흥원 SIP 기반 VoIP 서비스를 위한 호 제어 메시지의보안 시스템 및 방법
KR100862050B1 (ko) * 2007-11-23 2008-10-09 한국정보보호진흥원 VoIP 보안 통신을 제공하는 사용자 에이전트 및 이를이용한 보안 통신 제공 방법
KR101068855B1 (ko) * 2009-08-11 2011-09-29 이화여자대학교 산학협력단 정보 데이터의 권한 변경을 방지하는 방법
KR101150299B1 (ko) * 2010-11-26 2012-06-12 한국과학기술정보연구원 사용자와 네트워킹 행위의 동시 공증 기반 다중 방화벽 동적 통과 기법 및 이에 적합한 장치
KR101394700B1 (ko) * 2012-04-18 2014-05-15 김정현 시간 제어를 이용한 사용자 인증 방법 및 시스템
KR101387937B1 (ko) * 2012-08-02 2014-04-22 주식회사 엑스게이트 사용자 인증을 통한 네트워크 자원 사용 제어 방법
KR101288034B1 (ko) * 2012-09-25 2013-07-22 대한민국 디지털 증거 분석 시스템 및 그 방법
KR102333028B1 (ko) * 2017-10-19 2021-11-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법
KR101962906B1 (ko) * 2018-10-23 2019-03-27 (주)넷맨 시스템 사용 시간 제한 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030091908A (ko) * 2003-11-14 2003-12-03 (주)메드 밴 스마트카드와 임시아이피를 이용한 사용자 접근이 허용된소속기관 데이터베이스 접근방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030091908A (ko) * 2003-11-14 2003-12-03 (주)메드 밴 스마트카드와 임시아이피를 이용한 사용자 접근이 허용된소속기관 데이터베이스 접근방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
1020030091908

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949807B1 (ko) 2007-11-29 2010-03-30 한국전자통신연구원 서버와 클라이언트 간 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20060044493A (ko) 2006-05-16

Similar Documents

Publication Publication Date Title
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7945777B2 (en) Identification information protection method in WLAN inter-working
US7650629B2 (en) Enhanced trust relationship in an IEEE 802.1×network
EP1997292B1 (en) Establishing communications
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
CA2792490C (en) Key generation in a communication system
US7788705B2 (en) Fine grained access control for wireless networks
US8094821B2 (en) Key generation in a communication system
US20080141360A1 (en) Wireless Linked Computer Communications
US20150249639A1 (en) Method and devices for registering a client to a server
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
WO2005091159A1 (en) Authentication system being capable of controlling authority based of user and authenticator.
Nagesha et al. A Survey on Wireless Security Standards and Future Scope.
Fout et al. Wireless 802.11 Security with Windows XP
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X
Bhootna et al. Advanced Identity Management System in 4G Wireless Networks
Pala How to Bootstrap Trust among Devices in Wireless Environments via EAP-STLS
KR20130062965A (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
O035 Opposition [patent]: request for opposition

Free format text: OPPOSITION NUMBER: 102007001803; OPPOSITION DATE: 20070703

O132 Decision on opposition [patent]
EXTG Ip right invalidated
O064 Revocation of registration by opposition: final registration of opposition [patent]