KR100714367B1 - 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법 - Google Patents

인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR100714367B1
KR100714367B1 KR1020050024389A KR20050024389A KR100714367B1 KR 100714367 B1 KR100714367 B1 KR 100714367B1 KR 1020050024389 A KR1020050024389 A KR 1020050024389A KR 20050024389 A KR20050024389 A KR 20050024389A KR 100714367 B1 KR100714367 B1 KR 100714367B1
Authority
KR
South Korea
Prior art keywords
security
user
information
terminal
network
Prior art date
Application number
KR1020050024389A
Other languages
English (en)
Other versions
KR20060044665A (ko
Inventor
김기태
Original Assignee
최성원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최성원 filed Critical 최성원
Priority to PCT/KR2005/000857 priority Critical patent/WO2006001590A1/en
Publication of KR20060044665A publication Critical patent/KR20060044665A/ko
Application granted granted Critical
Publication of KR100714367B1 publication Critical patent/KR100714367B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행하고 네트워크에 대한 보안 정책을 함께 수행하는 네트워크 보안 시스템 및 그 방법에 관한 것이다. 상기 네트워크 보안 시스템은, 사용자별로 설정되는 개인 보안 정책(Personal Security Policy)과 각 개인 보안 정책에 따라 적용될 보안 정보들을 저장 관리하는 보안 서버, 및 상기 보안 서버와 연동하여 인증요청하는 사용자에 대하여 해당 개인 보안 정책을 적용하고, 해당 개인 보안 정책을 만족하는 사용자의 단말에 대해서만이 네트워크로의 접속을 허용하는 인증 서버 등을 구비한다.
본 발명에 의하여, 내부 네트워크에 접속하고자 하는 사용자들에 대해 인증을 수행함과 동시에, 각 사용자에게 적용되는 보안 정보에 따른 특정 소프트웨어의 설치 상태에 따라 사용자의 단말에 대하여 네트워크로의 접속 허용을 결정함으로써, 네트워크에 대한 최상의 보안 정책을 구현할 수 있게 된다.
인증서버, IEEE 802.1x, 보안, 백신프로그램

Description

인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법{NETWORK SECURITY SYSTEM CO-OPERATED WITH AN AUTHENTICATION SERVER AND METHOD THEREOF}
도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 개략적으로 도시한 구성도.
도 2는 도 1의 인증 시스템의 각 개체간의 동작 내용을 도시한 흐름도.
도 3 및 도 4는 중앙 집중 인증 방식 및 분산 인증 방식을 설명하기 위하여 각각 도시한 구성도.
도 5는 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템을 전체적으로 도시한 구성도.
도 6은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 각 사용자에 대한 동작을 설명하기 위하여 도시한 구성도.
도 7은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 인증 서버의 동작을 순차적으로 나타내는 흐름도.
도 8은 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템에 있어서 사용자 단말의 동작을 순차적으로 나타내는 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 요구자
110 : 인증자
120 : 인증 서버
500, 502, 504, 506, 508 : 사용자 단말
510 : 액세스 포인트
520 : 스위치
530 : 인증 서버
540 : 보안 서버
550 : 백신 서버
552 : O/S 패치 서버
554 : PC 보안 프로그램 서버
본 발명은 네트워크에 대하여 강화된 보안 정책을 수행할 수 있는 네트워크 보안 시스템 및 그 방법에 관한 것으로서, 더욱 구체적으로는, 네트워크에 접속하고자 하는 사용자에 대하여 인증 절차를 수행함과 동시에, 각 사용자에 대해 설정된 개인 보안 정책에 따라 상기 사용자 단말내의 특정 소프트웨어들의 설치 상태를 확인하고, 그 결과에 따라 사용자의 단말에 대한 네트워크 접속 허용 여부를 결정함으로써, 네트워크에 대한 최상의 보안 상태를 제공할 수 있도록 하는 네트워크 보안 시스템 및 그 방법에 관한 것이다.
도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100), 인증자(Authenticator;110), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다.
여기서, 요구자(100)는 인증자(110)에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다.
한편, 인증자(110)는 요구자(100)로부터 받은 인증 정보 및 인증 요청을 인증 서버(120)에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다.
또한, 인증 서버(120)는 인증자(110)로부터 요구자(100)에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버(120)와 인증자(110) 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜이 산업계 표준(De-Facto Standard)으로 자리잡고 있다.
RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute)들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다.
한편, 다수 개의 장비가 접속되는 네트워크에서의 인증 방식은 중앙 집중 인증 방식과 분산 인증 방식으로 크게 분류할 수 있다. 도 3은 중앙 집중 인증 방식에 따른 네트워크 구성을 도시한 구성도이며, 도 4는 분산 인증 방식에 따른 네트워크 구성을 도시한 구성도이다.
도 3에 도시된 바와 같은 중앙 집중 인증 방식에 따라 네트워크를 구성한 경우, 중앙에 인증 서버를 설치하여 사용자 인증 관리를 집중하게 되어 관리상의 장점을 가지게 된다. 하지만, 인증을 시도하는 장소가 여러 곳으로 분산되어 있는 경우에는 네트워크의 속도상에 제약이 따르며, 또한 서버 부하의 증가로 인하여 성능의 저하가 발생하게 된다.
그리고, 도 4에 도시된 바와 같은 분산 인증 방식은, 중앙에 주 인증 서버를 설치하고, 이를 네트워크로 연결하여 자원 및 데이터베이스를 집중 관리하고, 중앙 의 인증 서버의 부하를 경감시키기 위하여 인증을 요구하는 로컬(local)에서 TLS 세션과 키 관리를 처리하게 된다. 이와 같이 분산 인증 방식으로 처리할 경우, 네트워크의 효율은 중앙 집중 인증 방식에 비해 약 5배 정도 증대하게 되며, 지역 사용자의 인증 수행시에도 안정성이 증가하게 된다.
한편, 2000년대에 들어 컴퓨터 바이러스와 웜을 비롯한 악성 코드들은 날로 그 기법이 다양해지고 있으며, 심지어 해킹 툴로도 이용되고 있는 실정이다. 그 결과, 그 파괴력과 피해 규모는 이전과는 비교할 수 없을 정도로 심각해지고 있다. 이에 따라, 다양한 안티-바이러스 백신 프로그램(Anti-Virus Vaccine Program)이 많이 등장하게 되었다. 그런데, 사용자들의 이동성이 증가하게 됨에 따라, 백신 프로그램에 대한 업데이트(update)가 제대로 이루어지지 않게 되며, 또한 그러한 상태에서 네트워크에 접속하는 경우가 자주 발생하게 된다.
특히, 외부의 공중망에서 내부망으로 진입하는 것은 방화벽(Firewall), 또는 고가의 IDS/IPS, 또는 안티-바이러스 시스템(Anti-Virus Systrm)을 이용하여 어느 정도 제어함으로써, 내부망의 보안을 안전하게 유지할 수 있게 된다.
그런데, 최근 들어 무선 통신 기술이 발전하게 됨에 따라, 사용자들은 노트북, 개인휴대단말기(PDA) 등과 같이 이동성이 좋은 단말들을 이용하여 네트워크에 접속하게 된다. 그 결과, 이와 같은 이동성이 좋은 단말들에 의하여 네트워크의 내부에서 전파될 수 있는 내부 감염 경로에 대한 대책은 사용자의 백신 업데이트 및 자발적인 스캔(SCAN)에 의존할 수 밖에 없는 것이 현재의 실정이다.
따라서, 이와 같은 개인의 PC 보안 상태를 사전에 점검하여 예상되는 사고를 사전에 차단할 수 있는 전문적이면서 강제적인 종합 보안 솔루션에 대한 요구가 점차 증가하고 있다. 이에 본 출원인은 이와 같은 종합 보안 솔루션을 제공할 수 있는 방안을 제안하고자 한다.
전술한 문제점을 해결하기 위한 본 발명의 목적은 네트워크에 접속하고자 하는 각 단말들에 대한 보안 상태를 최적화시킴으로써 네트워크에 대한 안전한 보안을 제공할 수 있는 네트워크 보안 시스템을 제공하는 것이다.
또한, 본 발명의 다른 목적은 인증 서버와 연동되어 사용자에 대한 인증 수행시 각 사용자의 단말에 대한 보안 상태를 확인할 수 있는 네트워크 보안 서버를 제공하는 것이다.
전술한 기술적 과제를 달성하기 위한 본 발명의 제1 특징은, 네트워크에 접속하고자 하는 사용자에 대한 인증 및 네트워크에 대한 보안을 수행하는 네트워크 보안 시스템에 관한 것으로서,
등록된 사용자들에게 적용될 개인 보안 정책들 및 각 개인 보안 정책들에 대한 보안 정보를 저장 및 관리하는 보안 서버와,
사용자로부터 입력된 기본 인증 정보를 외부로 전송하고 인증을 요청하는 단말과,
상기 단말로부터 전송받은 기본 인증 정보를 이용하여 상기 사용자에 대한 인증 절차를 수행하고, 상기 사용자에 대해 적용될 개인 보안 정책 및 해당 보안 정보를 상기 보안 서버로부터 제공받는 인증 서버를 구비하고,
상기 인증 서버는 사용자에 대한 인증 성공한 후, 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보에 따라 상기 단말에 대한 네트워크 접속 허용 여부를 결정한다.
상기 네트워크 보안 시스템에 있어서, 상기 개인 보안 정책에 대한 보안 정보는 보안 정책이 적용되는 S/W 목록, 상기 목록의 S/W에 대한 등록 정보, 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하는 것이 바람직하다.
또한, 상기 네트워크 보안 시스템의 상기 인증 서버는, 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속한 사용자가 기등록된 사용자가 아닌 경우에는, 사용자에 대하여 인증하지 아니하고 네트워크로의 접속을 허용하지 않는 것이 바람직하다.
또한, 상기 네트워크 보안 시스템의 상기 인증 서버는, 단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고,
상기 보안 정보와 상기 단말의 대응되는 정보를 비교한 결과 정보를 상기 단말로부터 전송받고,
만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하는 것이 확인되는 경우, 상기 단말에 대한 네트워크 접속을 허용하며, 만약 그렇지 않는 경우에는 상기 단말의 VLAN ID를 상기 특정 S/W를 관리하는 관리서버의 VLAN ID와 동일하게 설정 하고, 상기 단말로 상기 관리 서버에 대한 URL을 제공하는 것이 바람직하다.
그리고, 상기 네트워크 보안 시스템은 상기 단말이 네트워크에 접속할 수 있도록 하는 액세스 포인트 또는 스위치 중 적어도 하나 이상을 더 구비하고, 상기 액세스 포인트 또는 스위치는 상기 단말로부터의 인증 요청 정보를 상기 인증 서버로 전송하거나 인증서버로부터 전송되는 정보를 해당 단말로 전송하는 것이 바람직하다.
본 발명의 다른 특징에 따른 네트워크 보안 서버는,
사용자별로 설정되어 적용될 개인 보안 정책(Personal Security Policy), 각 개인 보안 정책을 구성하는 보안 정보를 저장ㆍ관리하는 정책 데이터베이스를 구비하고,
상기 보안 정보는 보안 정책을 적용할 S/W 목록, 상기 목록의 S/W에 대한 등록 정보 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하며,
상기 소프트웨어를 관리하는 관리 서버와 연동되어 상기 데이터베이스의 내용을 소정의 시간 간격으로 갱신시키고, 인증 서버로부터의 요청에 따라 특정 사용자에게 적용될 개인 보안 정책 및 해당 보안 정보를 인증 서버로 전송한다.
본 발명의 또 다른 특징에 따른 네트워크 보안 방법은,
(a) 사용자의 단말로부터 기본인증정보를 전송받고 사용자에 대한 인증을 요청받는 단계와,
(b) 전송받은 기본인증정보를 이용하여, 접속한 사용자가 등록된 사용자인지 여부를 판단하는 단계와,
(c) 만약 접속한 사용자가 등록된 사용자인 경우, 사용자에게 설정된 개인 보안 정책 및 해당 보안 정보를 보안 서버로부터 제공받고, 제공받은 상기 보안 정보를 사용자의 단말로 전송하는 단계와,
(d) 사용자의 단말로부터 상기 보안 정보와 상기 단말내의 대응되는 등록 정보를 비교한 비교 결과 정보를 전송받는 단계와,
(e) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치함이 확인되는 경우, 사용자의 단말에 대해 네트워크로의 접속을 허용하는 단계와,
(f) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치하지 않음이 확인되는 경우, 상기 사용자의 단말의 VLAN ID를 상기 S/W에 대한 관리 서버의 VLAN ID와 동일하게 설정하고, 상기 관리 서버에 대한 URL을 사용자의 단말로 제공하는 단계를 구비한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템의 전체적인 구성 및 그 동작을 구체적으로 설명한다.
도 5는 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템을 전체적으로 도시한 구성도이다. 도 5를 참조하면, 본 발명에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자 단말(500, 502, 504, 506, 508), 액세스 포인트(510), 스위치(520), 인증 서버(530), 보안 서버(540), 특정 소프트웨어에 대한 관리 서버들(550, 552, 554)을 포함한다. 이하, 각 구성 요소들의 구성 및 동작을 구체적으로 설명한다.
네트워크에 접속하고자 하는 사용자는 자신의 단말을 이용하여 액세스 포인 트(510) 또는/및 스위치(520)에 접속하여, 기본 인증 정보를 입력한다. 여기서, 기본 인증 정보는 사용자 ID 및 패스워드 등이 될 수 있다. 사용자 단말은 사용자로부터 입력된 기본 인증 정보를 액세스 포인트(510) 또는/및 스위치(520)로 전송하고 사용자에 대한 인증을 요청하게 된다. 유ㆍ무선 단말로부터 인증을 요청받은 액세스 포인트 또는/및 스위치는 해당 정보를 인증 서버(530)에 전송하고, 인증 서버로 해당 사용자에 대한 인증 여부를 요청하게 된다. 이때, 네트워크의 규모에 따라 적어도 하나 이상의 액세스 포인트와 적어도 하나 이상의 스위치를 구비하기도 하는데, 이 경우 적어도 하나 이상의 스위치들을 통합 관리하기 위하여 코어 스위치(522)를 사용할 수도 있다.
상기 인증 서버(530)는 스위치 등과 같은 인증자를 통해 사용자에 대한 기본 인증 정보를 전송받고, 사용자에 대한 인증 절차를 수행한다. 여기서, 기본 인증 정보라 함은 사용자에 대한 식별 정보(ID), 및 암호(Password) 등을 포함하며, 네트워크이나 통신 프로토콜 등에 따라 기본 인증 정보의 내용은 변화될 수도 있다. 사용자에 대한 인증이 성공되면, 상기 인증 서버는 보안 서버와 연동하여 상기 사용자에 대해 적용되는 개인 보안 정책을 확인하고, 확인된 개인 보안 정책의 보안 정보에 따라 사용자의 단말의 S/W 설치 상태를 확인한다. 만약 상기 사용자의 단말에 대한 S/W 설치 상태가 상기 개인 보안 정책의 보안 정보와 부합되는 경우, 상기 인증 서버는 상기 사용자의 단말에 대하여 네트워크로의 접속을 허용하게 된다. 그리고, 인증 서버의 구체적인 동작에 대한 설명은 후술한다.
다음, 보안 서버(540)는 각 사용자에 대하여 개인 보안 정책(Personal Security Policy)을 설정하고, 각 개인 보안 정책에 적용될 보안 정보들을 구비하며, 상기 보안 정보들은 보안 정책에 사용될 S/W의 목록, 각 소프트웨어에 대한 등록 정보 및 각 S/W를 관리하는 관리서버에 대한 정보를 내부의 데이터베이스에 저장 및 관리한다. 또한 보안 서버는, 목록에 등록된 각 소프트웨어를 관리하는 관리서버(550, 552, 554)와 연동되어, 상기 데이터베이스내의 해당 소프트웨어에 대한 최신의 등록 정보를 저장 및 관리하며, 인증 서버의 요청에 따라 해당 정보를 인증 서버로 전송한다.
여기서, 보안 서버에 등록되는 소프트웨어는, 예를 들면, 바이러스 백신 프로그램, O/S 패치 프로그램 또는 기타의 보안 관련 프로그램 등이며, 이들을 각각 관리ㆍ운영하는 관리 서버는 백신 서버(550), O/S 패치 서버(552), 기타의 PC 보안 서버(554) 등이 된다. 하지만, 보안 서버에 등록되는 소프트웨어의 종류는 시스템 관리자 또는 시스템의 요구 사항에 따라 다양하게 설정될 수 있음은 당연하다.
이하, 도 6 및 도 7을 참조하여, 전술한 네트워크 보안 시스템의 인증 서버가 보안 서버와 연동하여 사용자에 대한 인증 수행 과정 및 사용자에 대한 개인 보안 정책을 적용하는 과정을 구체적으로 설명한다. 도 6은 본 실시예에 따른 네트워크 보안 시스템의 동작을 알기 쉽게 구성한 도면이며, 도 7은 인증 서버의 전체 동작을 순차적으로 도시한 흐름도이다. 도 6에 도시된 바와 같이, 사용자는 미등록 사용자(508), 등록되었으나 특정 프로그램이 업데이트되지 않은 사용자(506), VLAN ID=20인 등록된 사용자(502), VLAN ID=30인 등록된 사용자(500) 등을 상정할 수 있다. 이하, 도6 및 도 7을 참조하여, 도 6에 상정된 각각의 사용자들에 대하여 인증 서버의 동작 과정을 순차적으로 설명하도록 하겠다.
먼저, 도 7에 도시된 바와 같이, 인증서버는 사용자 단말들(500, 502, 506, 508)중의 하나로부터 기본인증정보를 전송받는다(단계 700). 다음, 사용자단말로부터 전송받은 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고(단계 710), 만약 등록된 사용자가 아닌 경우(도 6의 미등록 사용자(508)에 해당함)에는 사용자에 대하여 인증하지 않으며 내부 네트워크에 대한 접속을 허용하지 않으며(단계 725), 인증 절차를 종료한다.
만약 단계 720에서 등록된 사용자로 판단되는 경우(도 6의 등록된 사용자(502, 504, 506)에 해당함), 상기 기본인증정보 중 사용자 ID를 보안 서버로 전송하여, 상기 보안 서버로부터 상기 사용자 ID에 해당하는 개인 보안 정책(Personal Security Policy) 및 상기 개인 보안 정책에 따른 보안 정보를 제공받는다(단계 730). 여기서 상기 개인 보안 정책은 각 사용자별로 설정되어 적용되는 보안 정책이며, 해당 보안 정보는 각 사용자에 대해 설정된 특정 S/W 목록 및 각 S/W에 대한 등록 정보 등을 포함하게 된다.
다음, 인증 서버는 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보를 상기 보안 서버로부터 제공받고, 상기 보안 정보를 상기 사용자 단말기로 전송한다(단계 740). 한편, 인증서버로부터 보안 정보를 전송받은 사용자 단말기는 상기 보안 정보에 등록된 S/W 정보를 판독하고, 판독된 S/W가 사용자 단말기에 설치되었는지 여부를 확인하고, 설치된 경우 사용자 단말기의 상기 특정 S/W에 대한 등록정보를 파악한다. 그리고, 사용자 단말기는 상기 인증서버로부터 제공받은 보 안 정보와 사용자 단말기의 S/W에 대한 등록 정보를 비교하고, 비교 결과 정보를 인증 서버로 전송한다.
따라서, 인증 서버는 사용자 단말기로부터 비교 결과 정보를 전송받게 되며(단계 750), 상기 비교 결과 정보를 판독한다(단계 760). 만약 상기 비교 결과 정보로부터 상기 보안 정보와 상기 사용자 단말의 S/W 등록 정보가 서로 일치함이 확인되는 경우, 사용자 단말기(도 6의 등록된 사용자(502, 504)에 해당함)에게 사용자에게 할당된 네트워크로의 접속을 허용한 후(단계 780) 절차를 종료한다.
만약, 상기 비교 결과 정보로부터 상기 보안 정보와 상기 사용자 단말의 S/W 등록 정보가 서로 일치하지 않음이 확인된 경우(도 6의 등록된 사용자(506)에 해당함), 사용자 단말의 VLAN ID를 상기 S/W 관리 서버에 대한 VLAN ID와 동일하게 설정하고, 사용자 단말기로 상기 S/W 관리 서버에 대한 URL을 전송한다(단계 770). 즉, 상기 인증 서버는 상기 사용자단말기의 VLAN ID를 특정 S/W의 관리서버가 포함되는 VLAN ID와 동일하게 설정하고 해당 IP를 할당함으로써, 다른 네트워크로의 접속은 제한시키되 상기 특정 S/W의 관리 서버로의 접속만 허용하게 되는 것이다.
한편, 상기 S/W 관리서버에 대한 URL을 제공받은 사용자 단말기는 상기 S/W 관리 서버에 접속하여 해당 S/W를 다운로드받아 단말기내에 설치하거나 최신 버전으로 갱신(up-date)한다. 다음. 상기 사용자 단말기는 상기 인증 서버로부터 제공받은 보안 정보와 사용자 단말기의 상기 S/W 등록 정보를 다시 비교하고, 그 비교 결과 정보를 인증 서버로 전송한다.
다음, 인증 서버는 사용자 단말기로부터 전송받은 비교 결과 정보를 판독한 다. 만약 상기 비교 결과 정보로부터 상기 보안 정보와 사용자 단말기의 S/W 등록 정보가 일치함이 확인된 경우, 사용자에게 할당된 네트워크로의 접속을 허용한 후, 절차를 종료하게 된다.
이하, 도 8을 참조하여, 본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템에서의 사용자 단말기에 설치되는 단말 프로그램의 동작에 대하여 구체적으로 설명한다.
먼저, 네트워크로 접속하고자 하는 사용자로부터 입력된 기본 인증 정보를 인증 서버로 전송한다(단계 800). 다음, 인증 서버로부터 인증성공메시지 및 특정 보안 정보도 함께 전송받게 되는데, 여기서 특정 보안 정보는 특정 S/W에 대한 목록 및 각 S/W에 대한 등록 정보 또는 버전에 관한 정보를 포함한다(단계 810). 다음, 상기 사용자 단말기는 상기 보안 정보로부터 특정 S/W에 대한 등록 정보를 판독하고, 상기 사용자 단말기의 상기 S/W 등록정보를 판독한다(단계 820). 다음, 상기 보안 정보와 상기 사용자 단말기의 상기 S/W 등록 정보를 비교하고, 비교 결과 정보를 인증 서버로 전송한다(단계 830).
만약 인증 서버로부터 네트워크 접속이 허용되는 경우에는, 절차를 종료한다(단계 840).
만약 인증서버로부터 네트워크 접속이 허용되지 않고 특정 S/W 관리서버에 대한 URL 정보를 제공받는 경우(단계 850), 상기 S/W 관리 서버에 접속하여 해당 S/W를 다운로드받아 설치한다(단계 860). 다음, 사용자 단말기의 해당 S/W 등록 정보를 다시 판독하고, 상기 보안 정보와 상기 판독된 등록 정보를 비교한 후, 그 비 교 결과 정보를 인증 서버로 다시 전송함으로써(단계 830), 인증 서버로부터 네트워크 접속을 허용받게 된다.
본 발명의 바람직한 실시예에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행함과 동시에, 사용자의 단말에 저장된 특정 소프트웨어, O/S패치 프로그램, 바이러스 백신 프로그램 등의 설치 및 버젼 확인한 후, 사용자 단말기에 대한 네트워크 접속을 허용하게 된다. 또한, 본 발명에 따른 인증 서버는 보안 서버와 연동하여 사용자 단말의 특정 소프트웨어가 설치되지 않았거나 최신 버전이 아닌 경우에는 사용자 단말기에 대한 네트워크로의 접속을 제한시킨 후 사용자로 하여금 해당 소프트웨어를 설치하거나 이를 갱신시키도록 후에 네트워크로의 접속을 허용한다.
이때, 사용되는 특정 소프트웨어는 바이러스 백신 프로그램, O/S 패치 프로그램, 그 외의 PC 보안 관련 프로그램 등 다양하게 사용할 수 있다. 특히, 사용자 단말기에 대한 보안을 위하여 바이러스 백신 프로그램에 대한 등록 정보를 사용하는 경우, 인증 수행과 동시에 사용자 단말의 바이러스 백신 프로그램을 항상 최신의 버전으로 갱신할 수 있게 되어, 사용자 단말인 PC들뿐만 아니라 네트워크에 대한 안전한 보안을 도모할 수 있게 된다.
한편, 본 발명의 다른 실시예에 따른 네트워크 보안 시스템은, 상기 보안 서버의 기능을 수행하는 모듈을 상기 인증 서버내에 장착시킴으로써, 상기 보안 서버와 상기 인증 서버를 일체로 형성할 수 있다.
또한, 본 발명의 다른 실시예에 따른 네트워크 보안 시스템은, 네트워크에 접속하고자 하는 사용자 단말은 보안 정보와 단말의 S/W 등록 정보와의 비교 결과 정보뿐만 아니라, 상기 S/W에 대한 실행 결과 정보까지 함께 인증 서버로 전송하고, 인증 서버는 단말로부터 전송된 정보를 분석하여 상기 단말에 대하여 네트워크에 접속허용할 지 여부에 대하여 판단한다.
이때, S/W는 바이러스 백신 프로그램으로 설정하고, 만약 단말에서의 실행 결과 정보가 "단말이 바이러스에 감염되었음"을 나타내면, 인증 서버는 상기 단말의 네트워크에 대한 접속을 차단함과 동시에 안전한 네트워크 경로를 정하여 백신 관리 서버에 접속하여 바이러스를 치유할 수 있도록 한다.
이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에서, 사용자 단말기의 보안을 위하여 사용되는 S/W의 종류, 인증 서버 및 보안 서버에 저장ㆍ관리되는 데이터베이스의 항목 등은 네트워크의 성능 향상이나 네트워크 장비들의 규모 등을 고려하여 다양하게 변형하여 실시할 수 있는 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명에 따른 네트워크 보안 시스템에 의하여, 사용자별로 개인 보안 정책을 설정하고, 설정된 개인 보안 정책을 사용자별로 적용하고, 상기 개인 보안 정책 에 따라 사용자의 단말에 대한 네트워크 접속 허용 여부를 결정할 수 있게 됨으로써, 네트워크의 보안을 강화시킬 수 있게 된다.
본 발명에 의하여, IEEE 802.1x 의 기반에서 인증 서버에 등록된 사용자의 단말은 보안 관련 프로그램이나 바이러스 백신 프로그램 등을 설치하고 항상 최신의 버전으로 갱신시킬 수 있게 된다.
또한, 사용자 단말이 바이러스에 감염된 경우에는 자동으로 네트워크로부터 격리되어 바이러스를 치료하게 되며, 필요한 경우 보호된 경로를 통해 바이러스 백신 관리 서버와 연동하여 원격 방역 작업을 할 수 있게 된다.
또한, 본 발명에 따른 네트워크 보안 시스템은 최신의 보안 관련 프로그램이나 바이러스 백신 프로그램을 설치하지 않는 단말에 대해서는 네트워크로의 접속을 허용하지 않음으로써, 바이러스 감염이나 보안이 우려되는 단말의 네트워크 접속을 원천적으로 차단시킬 수 있게 된다.

Claims (12)

  1. 네트워크에 접속하고자 하는 사용자에 대한 인증 및 네트워크에 대한 보안을 수행하는 네트워크 보안 시스템에 있어서,
    등록된 사용자들에게 적용될 개인 보안 정책들 및 각 개인 보안 정책에 적용될 보안 정보들을 저장 및 관리하는 보안 서버;
    사용자로부터 입력된 기본 인증 정보를 외부로 전송하고 인증을 요청하는 단말; 및
    상기 단말로부터 전송된 기본 인증 정보를 이용하여 상기 사용자에 대한 인증 절차를 수행하고, 상기 사용자에 대해 적용될 개인 보안 정책 및 해당 보안 정보를 상기 보안 서버로부터 제공받는 인증 서버;
    를 구비하고, 상기 인증 서버는 사용자에 대한 인증 성공한 후, 상기 보안 서버로부터 제공받은 개인 보안 정책 및 보안 정보에 따라 상기 단말에 대한 네트워크 접속 허용 여부를 결정하며,
    상기 개인 보안 정책의 보안 정보는 사용자별로 해당 단말에 설치되어야 하는 특정 S/W에 대한 목록 및 각 S/W에 대한 등록정보를 포함하고, 상기 보안 서버의 각 보안 정보는 보안 정책을 적용할 특정 S/W에 대한 목록 및 각 S/W에 대한 등록 정보 및 상기 S/W를 관리하는 관리 서버에 대한 정보를 포함하며,
    만약 상기 단말이 상기 인증 서버로부터 특정 S/W의 관리 서버에 대한 URL을 제공받는 경우, 상기 관리 서버에 접속하여 상기 단말로 해당 S/W를 다운로드받거나 최신의 버전으로 갱신하는 것을 특징으로 하는 네트워크 보안 시스템.
  2. 삭제
  3. 제1항에 있어서, 상기 특정 S/W는 바이러스 백신 프로그램, O/S 패치 프로그램, PC 보안 프로그램 중의 하나인 것을 특징으로 하는 네트워크 보안 시스템.
  4. 제1항 및 제3항 중 어느 한 항에 있어서, 상기 인증 서버는
    단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속한 사용자가 기등록된 사용자가 아닌 경우에는, 사용자에 대하여 인증하지 아니하고 네트워크로의 접속을 허용하지 않는 것을 특징으로 하는 네트워크 보안 시스템.
  5. 제1항 및 제3항 중 어느 한 항에 있어서, 상기 인증 서버는
    단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고,
    상기 보안 정보와 상기 단말내의 대응되는 등록 정보를 비교한 비교 결과 정보를 상기 단말로부터 전송받고,
    만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하는 것이 확인되는 경우, 상기 단말에 대한 네트워크 접속을 허용하는 것을 특징으로 하는 네트워크 보안 시스템.
  6. 제1항 및 제3항 중 어느 한 항에 있어서, 상기 인증 서버는
    단말로부터 전송된 기본인증정보를 이용하여 등록된 사용자인지 여부를 판단하고, 만약 접속된 사용자가 기등록된 사용자인 경우에는, 상기 보안 서버로부터 제공받은 보안 정보를 상기 단말로 전송하고,
    상기 보안 정보와 상기 단말의 대응되는 정보를 비교한 비교 결과 정보를 상기 단말로부터 전송받고,
    만약 비교 결과 정보로부터 두 개의 정보가 서로 일치하지 않는 것이 확인되는 경우, 상기 단말의 VLAN ID를 상기 특정 S/W를 관리하는 관리서버의 VLAN ID와 동일하게 설정하고, 상기 단말로 상기 관리 서버에 대한 URL을 제공하는 것을 특징으로 하는 네트워크 보안 시스템.
  7. 제1항 및 제3항 중 어느 한 항에 있어서, 상기 네트워크 보안 시스템은 상기 단말이 네트워크에 접속할 수 있도록 하는 액세스 포인트 또는 스위치 중 적어도 하나 이상을 더 구비하고, 상기 액세스 포인트 또는 스위치는 상기 단말로부터의 인증 요청 정보를 상기 인증 서버로 전송하거나 인증서버로부터 전송되는 정보를 해당 단말로 전송하는 것을 특징으로 하는 네트워크 보안 시스템.
  8. 제1항 및 제3항 중 어느 한 항에 있어서, 상기 단말은 상기 인증서버로부터 제공받은 보안 정보로부터 S/W 목록을 판독하고, 상기 단말내에 설치된 상기 S/W에 대한 등록 정보를 판독하고, 상기 보안 정보와 상기 판독된 등록정보를 비교하여 비교 결과 정보를 상기 인증 서버로 전송하는 것을 특징으로 하는 네트워크 보안 시스템.
  9. 삭제
  10. 삭제
  11. 네트워크에 접속하고자 하는 사용자의 단말 및 상기 네트워크에 대한 보안을 수행하는 네트워크 보안 방법에 있어서,
    (a) 사용자의 단말로부터 기본인증정보를 전송받고 사용자에 대한 인증을 요청받는 단계;
    (b) 전송받은 기본인증정보를 이용하여, 접속한 사용자가 등록된 사용자인지 여부를 판단하는 단계;
    (c) 만약 접속한 사용자가 등록된 사용자인 경우, 상기 사용자에게 적용될 개인 보안 정책 및 보안 정보를 보안 서버로부터 제공받고, 제공받은 상기 보안 정보를 사용자의 단말로 전송하는 단계;
    (d) 사용자의 단말로부터 상기 보안 정보와 상기 단말내의 대응 정보를 비교한 비교 결과 정보를 전송받는 단계;
    (e) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치함이 확인되는 경우, 사용자의 단말에 대해 네트워크로의 접속을 허용하는 단계; 및
    (f) 만약 상기 비교 결과 정보로부터 상기 정보들이 서로 일치하지 않음이 확인되는 경우, 상기 사용자의 단말의 VLAN ID를 상기 S/W에 대한 관리 서버의 VLAN ID와 동일하게 설정하고, 상기 관리 서버에 대한 URL을 사용자의 단말로 제공하는 단계
    를 구비하는 것을 특징으로 하는 네트워크 보안 방법.
  12. 삭제
KR1020050024389A 2004-03-24 2005-03-24 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법 KR100714367B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/000857 WO2006001590A1 (en) 2004-03-24 2005-03-24 Netwok security system co-operated with an authentification server and method thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040020027 2004-03-24
KR1020040020027 2004-03-24

Publications (2)

Publication Number Publication Date
KR20060044665A KR20060044665A (ko) 2006-05-16
KR100714367B1 true KR100714367B1 (ko) 2007-05-08

Family

ID=37149141

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050024389A KR100714367B1 (ko) 2004-03-24 2005-03-24 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100714367B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101421086B1 (ko) 2007-10-05 2014-07-24 에스케이플래닛 주식회사 침입차단시스템 통합 관리 장치 및 방법
KR101475988B1 (ko) * 2008-07-01 2014-12-23 인터내셔널 비지네스 머신즈 코포레이션 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8290162B2 (en) 2006-12-15 2012-10-16 Qualcomm Incorporated Combinational combiner cryptographic method and apparatus
US8571188B2 (en) 2006-12-15 2013-10-29 Qualcomm Incorporated Method and device for secure phone banking
KR100850362B1 (ko) * 2007-04-12 2008-08-04 한국전자통신연구원 개인 휴대 임베디드 단말에 대한 보안성 강화 방법 및 그시스템
KR100914676B1 (ko) * 2007-09-04 2009-09-02 유넷시스템주식회사 IEEE 802.1x 기반의 네트워크 보안시스템 및 네트워크보안방법
KR101018435B1 (ko) * 2008-08-14 2011-02-28 한국전자통신연구원 사용자 단말기의 보안 관리 장치 및 방법
KR101520191B1 (ko) * 2013-11-27 2015-05-14 포항공과대학교 산학협력단 컴퓨터 시스템 보안을 강화하는 장치 및 방법
KR20220139638A (ko) * 2021-04-08 2022-10-17 삼성전자주식회사 전자 장치의 네트워크 보안 정책 처리 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050003587A (ko) * 2003-06-27 2005-01-12 주식회사 케이티 보안 시스템 및 그의 접근 제어 방법
KR20050026624A (ko) * 2003-09-09 2005-03-15 이상준 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050003587A (ko) * 2003-06-27 2005-01-12 주식회사 케이티 보안 시스템 및 그의 접근 제어 방법
KR20050026624A (ko) * 2003-09-09 2005-03-15 이상준 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
1020050003587 *
1020050026624 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101421086B1 (ko) 2007-10-05 2014-07-24 에스케이플래닛 주식회사 침입차단시스템 통합 관리 장치 및 방법
KR101475988B1 (ko) * 2008-07-01 2014-12-23 인터내셔널 비지네스 머신즈 코포레이션 새로운 네트워크 자원이 서비스 랜드스케이프 인스턴스에 제공되는 경우 동적으로 네트워크 보안 정책 규칙을 갱신하는 방법

Also Published As

Publication number Publication date
KR20060044665A (ko) 2006-05-16

Similar Documents

Publication Publication Date Title
KR100714367B1 (ko) 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법
US10764264B2 (en) Technique for authenticating network users
US8539544B2 (en) Method of optimizing policy conformance check for a device with a large set of posture attribute combinations
KR101047641B1 (ko) 보안 장치용 보안 및 프라이버시 강화
US8555348B2 (en) Hierarchical trust based posture reporting and policy enforcement
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US20160366183A1 (en) System, Apparatus And Method For Access Control List Processing In A Constrained Environment
US20140068724A1 (en) Dynamic authentication in secured wireless networks
CN113553558A (zh) 经由内部网络监视来检测使用泄漏证书的攻击
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US10171504B2 (en) Network access with dynamic authorization
WO2006001647A1 (en) Network integrated management system
EP3876497A1 (en) Updated compliance evaluation of endpoints
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
Echeverria et al. Authentication and authorization for IoT devices in disadvantaged environments
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
JP5110082B2 (ja) 通信制御システム、通信制御方法および通信端末
JP5397380B2 (ja) アクセス制御システム、アクセス制御方法および通信端末
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
WO2006001590A1 (en) Netwok security system co-operated with an authentification server and method thereof
CN101454767B (zh) 安全无线网络中的动态认证
WO2008027653A1 (en) Method and apparatus for conforming integrity of a client device
KR102536855B1 (ko) 무선랜 보안채널 구성방법
WO2010038726A1 (ja) 情報通知システム、情報通知方法、通信端末およびプログラム
KR100914676B1 (ko) IEEE 802.1x 기반의 네트워크 보안시스템 및 네트워크보안방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
N231 Notification of change of applicant
GRNT Written decision to grant
N231 Notification of change of applicant
LAPS Lapse due to unpaid annual fee