KR100737518B1 - Network access control using end point integrity, and building method - Google Patents

Network access control using end point integrity, and building method Download PDF

Info

Publication number
KR100737518B1
KR100737518B1 KR1020060083610A KR20060083610A KR100737518B1 KR 100737518 B1 KR100737518 B1 KR 100737518B1 KR 1020060083610 A KR1020060083610 A KR 1020060083610A KR 20060083610 A KR20060083610 A KR 20060083610A KR 100737518 B1 KR100737518 B1 KR 100737518B1
Authority
KR
South Korea
Prior art keywords
client
network
security
access control
information
Prior art date
Application number
KR1020060083610A
Other languages
Korean (ko)
Inventor
한유석
Original Assignee
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에어큐브 filed Critical 주식회사 에어큐브
Priority to KR1020060083610A priority Critical patent/KR100737518B1/en
Application granted granted Critical
Publication of KR100737518B1 publication Critical patent/KR100737518B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

A method for controlling network access using end point integrity and an inspection-based network construction method are provided to prevent integrity of an internal network from being damaged by a client having a security-threatening factor. A client(100) includes a connection control module(101) for monitoring network state of the client(100). An interface module(130) interfaces with an operating system and a security application. An information collecting module(120) collects network state information and security information from the operating system and the security application. A connection request module(140) provides the network state information and the security information to a connection control server(300) to perform a connection request with respect to the client(100).

Description

종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법{Network access control using End point integrity, and Building method}Network access control using End point integrity, and Building method

도 1은 본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 개념적으로 나타내는 도면,1 is a diagram conceptually illustrating a method for establishing an end integrity access control and a quarantine-based network according to the present invention;

도 2는 보안 어플리케이션 중 악성코드를 검역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타내는 도면,2 is a diagram illustrating an example of a quarantine log of a security application that quarantines malicious code among security applications;

도 3은 보안 어플리케이션 중 바이러스를 방역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타내는 도면,3 is a diagram illustrating an example of a quarantine log of a security application that prevents viruses among security applications;

도 4는 접속제어 모듈에 대한 블록개념도,4 is a block conceptual diagram of a connection control module;

도 5는 클라이언트와 접속제어 서버 사이의 종단 무결성 체크 방법, 및 인증과정에 대한 흐름도, 그리고5 is a flowchart illustrating a method for checking the termination integrity between the client and the access control server, and an authentication process;

도 6은 접속제어 서버와 클라이언트 사이에 전송되는 EAP-TLS 패킷의 구조도를 나타낸다.6 shows a structure diagram of an EAP-TLS packet transmitted between a connection control server and a client.

한국 공개특허 10-2005-0090640Korea Patent Publication 10-2005-0090640

한국 공개특허 10-2006-0019240Korea Patent Publication 10-2006-0019240

본 발명은 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 관한 것으로, 특히 네트워크 및 보안상 결함을 가지는 클라이언트가 접속제어 서버를 통해 인증 후, 내부 네트워크에 진입하기 전, 클라이언트의 네트워크 상태와 보안상태를 접속제어 서버로 통보하며, 그 결과에 따라 보안 위험요소를 구비하는 클라이언트가 내부 네트워크에 접속하기 전 네트워크 접속을 차단하거나 검역, 및 치료를 하도록 함으로써 내부 네트워크의 보안성을 향상시키는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 관한 것이다.The present invention relates to a terminal integrity access control and a quarantine-based network construction method. In particular, a client having a network and security deficiency authenticates through a connection control server and before entering an internal network, the network state and security state of the client. To the access control server, and according to the result, end integrity access control that improves the security of the internal network by blocking or quarantining and treating network access before the client with security risks accesses the internal network. , And quarantine-based networks.

통상 외부 네트워크와 내부 네트워크 사이에서 외부 네트워크로부터 침입하는 바이러스, 웜, 및 악성코드를 차단하는 방식의 관문 방어 방식의 보안체계는 무선단말기의 확산, 내부 네트워크에서 비 인가 접속되는 USB 저장장치, 및 제로 데이 웜(Zero day worm) 등에 의해 심각히 위협받고 있다. 종래의 관문 방어 방식의 경우, 알려진 바이러스나 웜에 대한 정보를 참조하여 외부 네트워크에서 유입되는 바이러스나 웜을 차단하고 있으나, 알려지지 않은 웜(제로 데이 웜)에 대해서는 효과적으로 대응할 수 없으며, 내부 네트워크에서 발생되는 문제점에 대해서는 손쓸 방법이 없는 실정이다. 더욱이, 무선단말기가 널리 확산됨에 따라 불특정 다수의 무선단말기가 내부 네트워크에서 접속 가능하게 되었으며 이들 무선단말기에 의해 내부 네트워크의 보안이 위협받고 있다. 이러한 문제점들에 대해 한국 공개특허 10-2005-0090640에서는 외부 네트워크와 내부 네트워크 사이에 마련되는 보안장비 를 통해 외부 네트워크와 내부 네트워크 사이의 트래픽이 기준량을 초과 시, 관리자가 조치할 수 있도록 하는 유해 트래픽 분석 시스템을 제안한 바 있다. 또한, 한국 공개특허 10-2006-0019240에서는 사용자 단말을 통해 네트워크 접속을 시도하는 사용자를 인증하는 인증 시스템을 통해 인증된 사용자에게 네트워크 접속을 허용하며, 인증된 사용자에 대한 정보를 DB화 하고, 사용자가 타 서버로 이동 시, 이전에 접속된 서버와 타 서버간에 인증절차를 처리함으로써 인증에 따른 트래픽을 감소시키는 통합인증시스템이 제안된 바 있다. 그러나, 상기한 공개문헌에서는 내부 네트워크를 통해 접속되는 무선단말기가 악의적인 의도를 가지는 경우 아이디와 패스워드 기반의 인증방법이 무력화될 수 있으며, 업무관계상 외부인의 네트워크 접속을 허여해야 하는 경우에는 외부인에 의해 내부 네트워크의 무결성을 보장받기 어렵다.In general, the defense system of a gateway defense method that blocks viruses, worms, and malware from external networks between the external network and the internal network includes the proliferation of wireless terminals, USB storage devices that are unauthorized access to the internal network, and zero. It is seriously threatened by day worms. In the conventional defense method, it blocks viruses or worms from external networks by referring to information about known viruses or worms, but cannot respond effectively to unknown worms (zero day worms). There is no way to deal with the problem. Moreover, as the wireless terminals have been widely spread, many unspecified wireless terminals are accessible in the internal network, and the security of the internal network is threatened by these wireless terminals. Korean Patent Laid-Open Publication No. 10-2005-0090640 addresses the above problems by using a security device provided between the external network and the internal network. An analysis system has been proposed. In addition, Korean Patent Laid-Open Publication No. 10-2006-0019240 allows network access to an authenticated user through an authentication system for authenticating a user attempting to access a network through a user terminal, and makes a DB of information on the authenticated user. When moving to another server, an integrated authentication system has been proposed to reduce the traffic due to authentication by processing the authentication procedure between the previously connected server and another server. However, in the above-mentioned publication, when a wireless terminal connected through an internal network has malicious intentions, an authentication method based on ID and password may be incapacitated. It is difficult to guarantee the integrity of the internal network.

상기한 바와 같이, 본 발명의 목적은 클라이언트가 접속제어 서버를 통해 인증되어 내부 네트워크로 진입하기 전, 클라이언트의 네트워크 상태와 보안상태를 판단하고, 판단 결과에 따라 클라이언트의 네트워크 접속 여부를 결정함으로써 보안위험 요소를 구비하는 클라이언트에 의해 내부 네트워크의 보안이 위협받지 않도록 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 제공함에 있다. As described above, an object of the present invention is to secure the client by determining the network state and the security state of the client and determining whether the client is connected to the network according to the determination result before the client is authenticated through the access control server and entering the internal network. The present invention provides a method of establishing a terminal integrity access control and a quarantine-based network to prevent the security of an internal network from being threatened by a client having a risk factor.

상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접 속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태를 모니터링하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 보안상태정보를 획득하여 상기 접속제어 서버로 제공하고, 상기 접속제어 서버는, 상기 접속제어 모듈을 통해 제공되는 상기 네트워크 상태정보와 보안상태정보를 참조하여 상기 클라이언트의 네트워크 접속 여부를 판단하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 의해 달성된다.The above object is an access control method for a network system, comprising a client, a connection control server, and a connection device for relaying the client and the connection control server, according to the present invention, wherein the client is provided with a network status of the client. A connection control module for monitoring is provided, wherein the connection control module obtains security state information through the network state information and a security application installed in the client, and provides the connection state to the connection control server. It is achieved by a terminal integrity access control and a quarantine-based network establishment method for determining whether the client is connected to the network by referring to the network state information and security state information provided through the access control module.

상기 접속제어 모듈은, 상기 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈, 및 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈을 포함하는 것이 바람직하다.The access control module is an interface module for interfacing with the operating system and the security application, the information collection module for collecting the network state information and the security information from the operating system, and the security application, and the information collection module. Preferably it includes a connection request module for providing the network state information and security information to the access control server to perform a connection request to the client.

바람직하게는, 상기 접속제어 모듈은, 상기 정보수집 모듈에서 획득된 상기 네트워크 상태정보, 및 상기 보안상태정보를 저장하는 저장모듈을 더 포함하며, 상기 접속요청 모듈은, 상기 클라이언트가 재 부팅 시, 상기 저장모듈로부터 상기 네트워크 상태정보, 및 보안정보를 획득하고 이를 상기 접속제어 서버로 제공할 수 있다.Preferably, the access control module further comprises a storage module for storing the network state information obtained from the information collection module and the security state information, wherein the connection request module, when the client reboots, The network state information and the security information may be obtained from the storage module and provided to the access control server.

상기 저장모듈은, 상기 정보수집 모듈, 및 상기 접속요청 모듈에 상호 공유되는 것이 바람직하다.The storage module is preferably shared between the information collection module and the connection request module.

상기 네트워크 상태정보, 및 상기 보안정보는, 상기 접속제어 모듈에서 상기 접속제어 서버로 전송되는 EAP 메시지에 삽입되는 것이 바람직하다.The network state information and the security information are preferably inserted into an EAP message transmitted from the access control module to the access control server.

상기 EAP 메시지는, EAP-TLS, EAP-FAST, EAP-TTLS, 및 PEAP 인증 프로토콜 중 어느 하나에 따른 메시지일 수 있다.The EAP message may be a message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, and PEAP authentication protocol.

상기 접속제어 서버는, 상기 네트워크 상태정보와 상기 보안정보를 참조하여 상기 클라이언트의 접속 레벨을 설정하며, 상기 접속레벨은, 상기 클라이언트가 무결성인 경우, 상기 클라이언트를 상기 접속제어 서버가 관할하는 내부 네트워크에 접속시키는 제1레벨, 상기 클라이언트에 대한 조사 및 치료가 요구되는 경우, 상기 클라이언트를 VLAN(Virtual LAN)에 할당하는 제2레벨, 및 인증되지 않는 클라이언트와 비 인가된 외부 클라이언트에 대한 네트워크 접속을 차단하는 제3레벨 중 어느 하나인 것이 바람직하다.The access control server sets an access level of the client with reference to the network state information and the security information. The access level is an internal network controlled by the access control server when the client is integrity. A first level of accessing the client, a second level of assigning the client to a virtual LAN (VLAN) if required, and a network connection to unauthenticated and unauthorized external clients. It is preferable that it is any one of the 3rd level which interrupts.

상기 접속제어 서버는, 상기 클라이언트에 대한 접속레벨이 상기 제2레벨인 경우, 상기 클라이언트를 상기 VLAN 영역에 격리 후, 상기 클라이언트에 네트워크 접속하며, 상기 클라이언트에 대한 조사, 및 치료 후, 상기 클라이언트에 대한 접속레벨을 상기 제1레벨로 전환하는 것이 바람직하다.When the access level for the client is the second level, the access control server isolates the client to the VLAN area and then network-connects to the client, and after the investigation and treatment of the client, the client It is preferable to switch the connection level with respect to the first level.

상기 보안 어플리케이션은, 바이러스 방역 어플리케이션 및 악성코드 방역 어플리케이션 중 어느 하나일 수 있다.The security application may be any one of a virus protection application and a malware protection application.

상기한 목적은 본 발명에 따라, 프로세서, 및 메모리를 구비하는 컴퓨터에서 수행 가능하며, 상기 컴퓨터의 네트워크 상태정보, 상기 컴퓨터에 설치된 보안 어플리케이션을 통해 획득되는 보안정보, 및 상기 컴퓨터를 인증하기 위한 인증정보 중 어느 하나를 수집하는 단계, 및 상기 수집된 정보를 EAP 인증 프로토콜에 따른 EAP 메시지(challange message) 포멧으로 변환하고 이를 네트워크 접속된 접속제어 서버로 전송하여 상기 컴퓨터의 인증을 요청하는 단계를 수행하는 프로그램을 포함하는 기록매체에 의해 달성된다.According to the present invention, the above object can be performed in a computer having a processor and a memory, and network status information of the computer, security information obtained through a security application installed in the computer, and authentication for authenticating the computer. Collecting any one of the information, and converting the collected information into an EAP message (challange message) format according to the EAP authentication protocol and transmitting the information to a network access connection server to request authentication of the computer. Is achieved by a recording medium comprising a program.

상기 EAP 메시지는, EAP-Notification, EAP-TLV, 및 EAP-TNC 메시지 중 어느 하나일 수 있다.The EAP message may be any one of an EAP-Notification, an EAP-TLV, and an EAP-TNC message.

상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정보를 획득하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 보안상태정보를 통해 상기 클라이언트에 대한 바이러스, 및 악성코드 중 어느 하나에 의한 감염 여부, 상기 네트워크 상태정보를 통해 비 정상적인 트래픽의 유발 여부, 및 상기 보안 어플리케이션에서 제공하는 상기 클라이언트의 보안취약성 유무를 판단하며, 판단 결과, 상기 클라이언트가 무결성인 경우, 상기 접속제어 서버로 상기 클라이언트에 대한 인증을 요청하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 의해 달성된다.According to an aspect of the present invention, there is provided a connection control method for a network system including a client, a connection control server, and a connection device relaying the client and the connection control server, wherein the client includes network state information of the client, And a connection control module for acquiring security state information obtained through a security application installed in the client, wherein the connection control module is configured by any one of a virus and a malicious code for the client through the security state information. It is determined whether an infection is generated, whether abnormal traffic is generated through the network state information, and whether there is security vulnerability of the client provided by the security application. When the determination result is that the client is integrity, the client accesses the client to the access control server. Certification for Is achieved by means of end-integrity access control, and quarantine-based network establishment.

상기 접속제어 모듈은, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보 수집 모듈, 상기 네트워크 상태정보, 상기 보안정보, 및 상기 접속제어 서버와 미리 약정된 접속정책 정보를 구비하는 보안정보 저장모듈, 및 상기 접속정책 정보를 참조하여 상기 네트워크 상태정보와 상기 보안정보에 따른 상기 클라이언트에 대한 접속레벨을 설정하며, 상기 접속레벨에 따라 상기 클라이언트에 대해 네트워크 접속차단, 검역, 및 치료를 위한 VLAN 네트워크 할당, 및 네트워크 접속 허용 중 어느 하나에 대응시키는 종단 무결성 체크 모듈을 포함한다.The access control module includes an operating system installed in the client, an interface module for interfacing with the security application, an information collection module for collecting the network state information and the security information from the operating system, and the security application, and the network state information. A security information storage module including the security information and access policy information previously agreed with the access control server, and the access policy information to determine a connection level for the client according to the network state information and the security information. And a termination integrity check module that corresponds to any one of network access blocking, quarantine, and VLAN network allocation, and network access permission for the client according to the connection level.

상기 종단 무결성 체크 모듈은, 상기 클라이언트가 무결성인 경우, 상기 접속제어 서버로 상기 클라이언트에 할당된 아이디, 및 패스워드가 포함되는 EAP 메시지를 전송하여 인증을 요청하는 것이 바람직하다.When the client is integrity, the terminal integrity check module preferably requests authentication by transmitting an EAP message including an ID and a password assigned to the client to the access control server.

상기 접속제어 모듈은, 상기 클라이언트에 대한 무결성을 판단 후, 상기 접속제어 서버로 상기 클라이언트에 할당된 고유정보를 포함하는 EAP 메시지를 전송하며, 상기 접속제어 서버는, 상기 EAP 메시지에 포함되는 상기 클라이언트의 고유정보를 통해 상기 클라이언트를 인증하고, 상기 클라이언트의 네트워크 접속을 허여하는 것이 바람직하다.After determining the integrity of the client, the access control module transmits an EAP message including the unique information assigned to the client to the access control server, and the access control server includes the client included in the EAP message. It is preferable to authenticate the client through the unique information of and to allow the client to access the network.

상기 EAP 메시지는, EAP-TLS, EAP-FAST, EAP-TTLS, PEAP 인증 프로토콜 중 어느 하나에 따른 메시지인 것이 바람직하다.The EAP message is preferably a message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, and PEAP authentication protocol.

상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정 보를 획득하는 단계, 상기 클라이언트에서 상기 획득된 네트워크 상태정보, 및 보안상태정보를 상기 접속제어 서버로 제공하는 단계, 상기 클라이언트에서 제공된 상기 네트워크 상태정보, 및 보안상태정보를 참조하여 상기 접속제어 서버가 상기 클라이언트에 대한 접속제어 정책을 적용하는 단계, 및 상기 클라이언트와 인증을 진행하는 단계에 의해 달성된다.According to an aspect of the present invention, there is provided a connection control method for a network system including a client, a connection control server, and a connection device relaying the client and the connection control server, wherein the client includes network state information of the client, And obtaining security state information obtained through a security application installed in the client, providing the obtained network state information, and security state information to the access control server, the network state provided by the client. By the connection control server applying a connection control policy to the client with reference to the information and the security status information, and authenticating with the client.

상기 접속제어 정책은, 상기 클라이언트에 심각한 보안 위협이 존재하는 경우, 상기 클라이언트의 네트워크 접속을 차단하는 정책, 상기 클라이언트가 무결성인 경우, 상기 클라이언트의 네트워크 접속을 허용하는 정책, 및 상기 클라이언트를 검역, 및 치료하기 위해 상기 클라이언트를 가상 네트워크에 접속시키는 정책 중 어느 하나일 수 있다.The access control policy includes a policy of blocking a client's network access when a serious security threat exists in the client, a policy of allowing the client's network access when the client is integrity, and quarantining the client. And a policy of connecting the client to the virtual network for treatment.

상기 보안상태정보를 획득하는 단계는, 상기 클라이언트에 접속제어 모듈을 설치하는 단계, 상기 접속제어 모듈이 상기 클라이언트에 설치된 운영체제의 네트워크 모니터링 모듈과 접속하는 단계, 상기 접속제어 모듈이 상기 클라이언트에 설치된 보안 어플리케이션과 접속하는 단계, 및 상기 접속제어 모듈이 상기 네트워크 모니터링 모듈과 보안 어플리케이션으로부터 상기 클라이언트에 대한 네트워크 상태정보와 보안상태정보를 획득하는 단계를 포함하는 것이 바람직하다.The acquiring of the security state information may include installing a connection control module in the client, connecting the connection control module with a network monitoring module of an operating system installed in the client, and securing the security installed in the client. And connecting with an application, and obtaining, by the connection control module, network status information and security status information of the client from the network monitoring module and a security application.

상기 접속제어 모듈은, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈, 및 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보 를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈을 포함하는 것이 바람직하다.The access control module includes an operating system installed on the client, an interface module for interfacing with the security application, an information collection module for collecting the network state information, and the security information from the operating system, and the security application, and the information collection. It is preferable to include a connection request module for providing the network state information and security information collected by the module to the access control server to perform a connection request to the client.

상기 클라이언트와 인증을 진행하는 단계는, 상기 클라이언트가 상기 접속제어 서버로 인증을 요청하는 단계, 상기 접속제어 서버에서 상기 클라이언트로 인증서를 제공하는 단계, 상기 클라이언트에서 상기 인증서에 의한 암호화 인증서를 생성하고 이를 상기 접속제어 서버로 제공하는 단계, 상기 접속제어 서버에서 상기 암호화 인증서에 기반한 암호화 키를 생성 후, 이를 상기 클라이언트에게 제공하는 단계, 및 상기 클라이언트가 상기 암호화 키를 이용하여 상기 접속제어 서버에 인증을 요청하는 단계를 포함하는 것이 바람직하다.The authenticating with the client may include: requesting authentication from the client to the access control server; providing a certificate from the access control server to the client; generating an encryption certificate based on the certificate at the client; Providing it to the access control server, generating an encryption key based on the encryption certificate in the access control server, providing the same to the client, and authenticating the client to the access control server using the encryption key. It is preferable to include the step of requesting.

상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하며, DHCP, 및 HTTP 접속을 지원하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태를 모니터링하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 보안상태정보를 획득하여 상기 접속제어 서버로 제공하고, 상기 접속제어 서버는, 상기 접속제어 모듈을 통해 제공되는 상기 네트워크 상태정보와 보안상태정보를 참조하여 상기 클라이언트의 네트워크 접속 여부를 판단하되, 상기 접속제어 모듈은 상기 DHCP, 및 HTTP 접속 기능을 통해 상기 네트워크 상태정보와 상기 보안정보를 상기 접속제어 서버로 제공하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축방법에 의해 달성된다.The above object is a connection control method for a network system, comprising a client, a connection control server, and a connection device for relaying the client and the connection control server and supporting DHCP and HTTP connections. The client is provided with a connection control module for monitoring the network status of the client, the connection control module obtains the security status information through the network status information, and the security application installed on the client to provide to the connection control server The access control server determines whether the client accesses the network by referring to the network state information and the security state information provided through the access control module, and the access control module uses the DHCP and HTTP access functions. The network status information and the security information It is achieved by the terminal integrity connection control provided by the access control server, and the quarantine-based network construction method.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 개념적으로 나타낸다.1 conceptually illustrates a termination integrity access control and a quarantine-based network construction method according to the present invention.

본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법은 클라이언트(100)에 접속제어 모듈(101)을 설치하며, 클라이언트(100)에 설치된 접속제어 모듈(101)이 클라이언트(100)에 설치되어 있는 보안 어플리케이션(110)을 통해 클라이언트(100)에 침입한 바이러스, 및 악성코드의 존재 여부, 클라이언트(100)에 설치된 운영체제를 통해 클라이언트(100)의 네트워크 트래픽, 및 클라이언트(100)에서 비 정상적(또는 미확인 사이트를 향하는)으로 요청되는 네트워크 접속 요구에 대한 정보를 수집한다. 접속제어 모듈(101)은 클라이언트(100), 접속장치(200), 및 접속제어 서버(300)로 구성되는 네트워크의 종단(클라이언트)에서 네트워크, 및 보안관련 정보를 수집 후, 이를 EAP 메시지 패킷에 포함시켜 접속제어 서버(300)로 제공하며, 접속제어 서버(300)는 접속제어 모듈(101)로부터 제공되는 정보를 참조하여 클라이언트(100)에 대한 네트워크 접속제어 정책을 적용하게 된다.In the terminal integrity connection control and quarantine-based network construction method according to the present invention, the access control module 101 is installed in the client 100, and the access control module 101 installed in the client 100 is installed in the client 100. The presence of viruses and malware invading the client 100 through the secure application 110, the network traffic of the client 100 through the operating system installed in the client 100, and abnormal occurrences in the client 100. Gathers information about network connection requests that are requested (or towards unidentified sites). The access control module 101 collects the network and security-related information from the end (client) of the network composed of the client 100, the access device 200, and the access control server 300, and then stores the information in the EAP message packet. It includes and provides to the access control server 300, the connection control server 300 applies a network access control policy for the client 100 with reference to the information provided from the connection control module 101.

네트워크 접속제어 정책은 크게,Network access control policy is largely

1) 클라이언트(100)를 네트워크에 접속하는 것을 허용하는 정책.1) A policy that allows the client 100 to connect to the network.

2) 심각한 보안위협을 가지는(또는 비정상적인 대량의 트래픽이 의심되는) 클라이언트의 네트워크 접속을 차단하는 정책.2) A policy that blocks a client from accessing the network with a serious threat (or suspected unusually large volume of traffic).

3) 경미한 보안위협을 가지는 클라이언트를 검역, 및 치료를 위한 VLAN(Virtual LAN)에 할당 후, 클라이언트를 방역하는 정책.3) A policy that prevents a client after assigning a client with a minor security threat to a virtual LAN (VLAN) for quarantine and treatment.

4) 클라이언트(100)와 접속제어 서버(300) 사이에 EAP 메시지 전송이 곤란한 경우, 클라이언트(100)는 접속장치(200)에 마련되는 DHCP, 또는 HTTP 접속 기능을 통해 접속제어 서버(300)로 접속하고, 접속제어 서버(300)의 제어에 의해 1) ∼ 3)의 네트워크 접속제어 정책을 수행하는 정책. 이때, 접속장치(200)는 DHCP, HTTP 접속 기능을 구비하여야 한다.4) When it is difficult to transmit the EAP message between the client 100 and the access control server 300, the client 100 to the access control server 300 through the DHCP or HTTP access function provided in the access device 200. And a network connection control policy of 1) to 3) under the control of the connection control server 300. FIG. At this time, the connection device 200 should be provided with a DHCP, HTTP connection function.

통상, RADIUS 인증 기능을 구비하는 인증서버, 클라이언트, 및 접속장치로 이루어지는 네트워크 시스템에서는 인증서버가 클라이언트를 인증 후, 클라이언트의 네트워크 접속을 허여하게 된다. 이후, 인증서버(또는 별도의 네트워크 감시 서버)는 네트워크의 트래픽을 유발하는 클라이언트를 발견 시, 해당 클라이언트를 네트워크에서 격리하거나 검역을 수행하게 된다. 이는 네트워크에 문제가 발생된 후에 조치를 취하는 방법으로써 네트워크 내에 웜(Worm), 바이러스, 및 악성코드가 퍼지는 경우 네트워크에 접속된 각 클라이언트를 모두 방역해야 하는 문제점이 있다. 이에 비해, 본 발명은 클라이언트(100)가 접속제어 서버(300)에 인증을 요청하기 위한 EAP 메시지 패킷을 전송 시, 클라이언트(100)의 보안상태정보, 및 네트워크 상태정보를 EAP 메시지 패킷에 포함시켜 접속제어 서버(300)로 전송하며, 접속제어 서버(300)는 클라이언트(100)가 전송한 보안상태정보와 네트워크 상태정보를 분석하여 클라이언트(100)가 네트워크 접속에 적합한지를 판단하고 그 결과에 따라 1) ∼ 3)에 기재된 접속제어 정책을 클라이언트(100)에 반영하게 된다. Generally, in a network system including an authentication server, a client, and a connection device having a RADIUS authentication function, the authentication server authenticates the client and then allows the client to connect to the network. After that, when the authentication server (or a separate network monitoring server) detects a client causing traffic in the network, the authentication server (or separate network monitoring server) isolates the client from the network or performs quarantine. This is a method of taking action after a network problem occurs, and when a worm, virus, or malicious code spreads in the network, each client connected to the network should be prevented. On the contrary, in the present invention, when the client 100 transmits an EAP message packet for requesting authentication to the access control server 300, the client 100 includes security state information and network state information in the EAP message packet. And transmits to the connection control server 300, and the connection control server 300 analyzes the security state information and the network state information transmitted by the client 100 to determine whether the client 100 is suitable for network connection and according to the result. The connection control policies described in 1) to 3) are reflected in the client 100.

도면에서, 클라이언트(100)에 설치되는 접속제어 모듈(101)은 정보수집 모 듈(120), 인터페이스 모듈(130), 접속요청 모듈(140), 및 무결성 체크 모듈(150)을 구비한다.In the drawing, the connection control module 101 installed in the client 100 includes an information collection module 120, an interface module 130, a connection request module 140, and an integrity check module 150.

인터페이스 모듈(130)은 클라이언트(100)에 설치된 운영체제, 및 보안 어플리케이션과 인터페이스를 형성한다. 인터페이스 모듈(130)은 운영체제에 설치된 보안 어플리케이션의 실시간 검역 상태, 및 보안 어플리케이션의 검역 로그를 획득한다. 검역 로그의 일 예는 도 2와 도 3을 함께 참조하여 설명하도록 한다. The interface module 130 forms an interface with an operating system installed on the client 100 and a security application. The interface module 130 obtains a real-time quarantine state of a security application installed in an operating system and a quarantine log of the security application. An example of the quarantine log will be described with reference to FIGS. 2 and 3.

도 2는 보안 어플리케이션 중 악성코드를 검역하는 보안 어플리케이션의 검역 결과에 대한 검역 로그를 나타낸다. 도시된 검역 로그는 클라이언트(100)에 13개의 크리티컬(critical) 악성코드가 존재함을 나타내고 있다. 이와 같은 검역 로그는 일정 주기마다 수행되거나 클라이언트(100)가 접속제어 서버(300)로 네트워크 접속을 요청 시 수행될 수 있다. 2 shows a quarantine log of a quarantine result of a security application that quarantines malicious code among security applications. The quarantine log shown indicates that there are 13 � critical malware on the client 100. Such a quarantine log may be performed at regular intervals or when the client 100 requests a network connection to the access control server 300.

도 3은 보안 어플리케이션 중 바이러스를 방역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타낸다. 도시된 검역 로그는 실시간, 또는 클라이언트(100)에서 기 실행된 검역 결과에 대한 로그를 나타낸다. 도시된 검역 로그에서는 보안 어플리케이션이 클라이언트(100)의 시스템, 메신저, 인터넷, 및 시작 프로그램에 대한 감시 결과가 나타나 있으며, 클라이언트(100)에는 보안상 문제점이 없다는 것을 나타내고 있다. 이와 같은 검역 결과는 보안상태정보에 포함되어 접속제어 서버(300)로 제공된다. 3 illustrates an example of a quarantine log of a security application that prevents viruses among security applications. The quarantine log shown represents a log of quarantine results executed in real time or in the client 100. The quarantine log shown shows the security application monitoring results for the client 100's system, messenger, Internet, and startup programs, and shows that the client 100 has no security problems. The quarantine result is included in the security status information and provided to the access control server 300.

정보수집 모듈(120)은 인터페이스 모듈(130)을 통해 클라이언트(100)에 설치된 각종 보안 어플리케이션으로부터 보안상태정보를 획득하며, 운영체제에 마련되 는 네트워크 모니터링 모듈(미도시)을 통해 클라이언트(100)에서 발생되는 비 정상적인 접속 요청(예컨대 Trojan 바이러스에 의해 특정 ip를 향해 발생되는 접속요청), 클라이언트(100)가 네트워크에 마지막 접속한 시점의 네트워크 트래픽 정보등을 수집하고 이를 종단 무결성 체크 모듈(150)로 제공한다. 종단 무결성 체크 모듈(150)은 정보수집 모듈(120)을 통해 수집된 클라이언트(100)의 네트워크 상태정보, 및 보안상태정보를 접속요청 모듈(140)을 통해 접속제어 서버(300)로 제공하거나, 네트워크 상태정보와 보안상태정보를 토대로 접속 등급을 판단하여, 이를 EAP 챌린지 패킷에 담아 접속제어 서버(300)로 전송할 수 있다. 이때, 클라이언트(100)에서 접속제어 서버(300)로 EAP 메시지 패킷을 전송하고 있으나, 클라이언트(100)가 네트워크에 접속된 상태는 아니며, 클라이언트(100)는 접속제어 서버(300)를 통해 인증되어야 접속장치(200)를 통해 네트워크에 접근할 수 있게 된다. 종단 무결성 체크 모듈(150)은 보안상태정보, 및 네트워크 상태정보에 따라서 클라이언트(100)가 네트워크에 접속해도 무방한 무결성 등급, 네트워크에 접속해서는 안되는 위험 등급, 및 경미한 보안결함을 가지는 치료 등급을 부여할 수 있다. 종단 무결성 체크 모듈(150)은 각 등급을 하나의 코드로 변환하고 이를 접속요청 모듈(140)로 제공한다. 접속요청 모듈(140)은 클라이언트(100)의 고유정보(아이디, 패스워드, mac 어드레스, 및 클라이언트(100)에 부여된 인증서등)들 접속제어 서버(300)로 제공하여 인증을 요청하며, 인증을 요청하기 전, 종단 무결성 체크 모듈(150)이 판단한 보안등급을 EAP 메시지 패킷에 담아 접속제어 서버(300)로 제공한다. 접속제어 서버(300)는 접속요청 모듈(140)에서 제공된 보안등급에 따라 클 라이언트(100)를 1) ∼ 3)에 기재된 접속제어 정책들 중 하나에 적용한다. 만일 클라이언트(100)에서 다수의 바이러스, 및 악성코드가 발견되었거나, 과도한 트래픽을 유발한 전력이 있다면 접속제어 서버(300)는 해당 클라이언트(100)의 접속요청을 거부할 수 있다. 여기서, 네트워크 상태정보는 클라이언트(100)가 네트워크 접속상태일 때 측정됨이 가장 바람직하나, 클라이언트(100)가 보안 위험요소(예컨대 웜 이나 바이러스)를 구비하는 경우 전체 네트워크에 악영향을 끼칠 수 있는 바, 이전에 클라이언트(100)가 네트워크에 접속 시 측정된 네트워크의 트래픽 정보, 및 접속정보를 참조하여야 한다. 이는 도 3을 함께 참조하여 설명하도록 한다.The information collection module 120 obtains security status information from various security applications installed on the client 100 through the interface module 130, and at the client 100 through a network monitoring module (not shown) provided in the operating system. Collects abnormal connection requests (eg, connection requests generated by a Trojan virus toward a specific ip), network traffic information when the client 100 last accesses the network, and sends them to the terminal integrity check module 150. to provide. The terminal integrity check module 150 provides the network status information and the security status information of the client 100 collected through the information collection module 120 to the access control server 300 through the access request module 140, The access level may be determined based on the network state information and the security state information, and may be transmitted to the access control server 300 in the EAP challenge packet. At this time, the E100 message packet is transmitted from the client 100 to the access control server 300, but the client 100 is not connected to the network, and the client 100 must be authenticated through the access control server 300. Access to the network through the access device 200. The terminal integrity check module 150 grants a treatment level having an integrity level that the client 100 may access the network, a risk level that should not be connected to the network, and a minor security defect according to the security status information and the network status information. can do. The termination integrity check module 150 converts each class into one code and provides it to the connection request module 140. The connection request module 140 provides the unique information of the client 100 (ID, password, mac address, certificate, etc. granted to the client 100) to the connection control server 300 to request authentication and to authenticate. Before the request, the terminal integrity check module 150 provides the security level determined by the EAP message packet to the access control server 300. The access control server 300 applies the client 100 to one of the access control policies described in 1) to 3) according to the security level provided by the access request module 140. If a plurality of viruses and malicious codes are found in the client 100 or there is power that causes excessive traffic, the access control server 300 may reject the access request of the client 100. Here, the network state information is most preferably measured when the client 100 is in a network connection state, but if the client 100 has a security risk (for example, a worm or a virus), it may adversely affect the entire network. Before, the client 100 should refer to the network traffic information and the access information measured when the client 100 accesses the network. This will be described with reference to FIG. 3 together.

도 4는 접속제어 모듈에 대한 블록개념도를 나타낸다.4 is a block diagram of a connection control module.

도시된 접속제어 모듈(101)은 클라이언트(100)에 마련되는 저장장치(예컨대 하드디스크 드라이브)에 마련되며, 클라이언트(100)의 최종 네트워크 상태정보, 또는 보안상태정보를 저장하기 위한 별도의 공유 저장영역(160)을 구비한다. 공유 저장영역(160)은 클라이언트(100)에 대한 인증을 요청하기 위한 접속요청 모듈(140), 및 정보수집 모듈(120)과 접속되며, 정보수집 모듈(120)에 의해 가장 최근에 수집된 네트워크 상태정보와 보안상태 정보를 저장하게 된다. 공유저장영역(160)은 운영체제의 특정 디렉토리(예컨대 C:\sys_info)에 마련될 수 있으며, 접속요청 모듈(140)은 클라이언트(100)가 리 부트(re-boot) 되는 경우, 또는 접속제어 서버(300)로 네트워크 접속을 요청하는 경우에 공유 저장공간(160)에 마련되는 네트워크 상태정보와 보안상태정보를 접속제어 서버(300)로 전송하게 된다. 이후, 정책제어 서버(300)는 네트워크 상태정보와 보안상태정보를 참조하여 클라이언트(100)에 대해 1) ∼ 3)에 기재된 접속제어 정책을 결정하며, 이를 클라이언트(100)로 통보하게 된다. 이때, 종단 무결성 체크 모듈(150)은 접속제어 서버(300)에서 통보된 접속제어 정책에 따라 클라이언트(100)의 네트워크 접속을 허용, 차단할 수 있다. 물론, 본 발명은 종단 무결성 체크 모듈(150)이 판단한 보안등급을 접속제어 서버(300)로 통보하고, 접속제어 서버(300)가 그에 상응한 접속제어 정책을 적용할 수도 있음은 물론이다. 본 발명의 요지는 종단(클라이언트(100))이 내부 네트워크에 접속하기 전, 종단의 네트워크 상태와 보안상태를 참조하여 클라이언트(100) 측에 마련되는 접속제어 모듈(101)이 클라이언트(100)의 보안상태를 판단하여 그 결과를 접속제어 서버(300)로 제공하거나 클라이언트가 네트워크 상태정보와 보안상태정보를 접속제어 서버(300)로 제공하면 접속제어 서버(300)가 클라이언트(100)의 네트워크 접속여부를 판단하여 그 결과에 따라 접속장치(200)를 제어하여 클라이언트(100)의 네트워크 접속의 허용, 차단, 및 검역 및 치료를 위한 VLAN 영역에 할당하는 접속제어 정책을 수행할 수 있다는 것이다. 이는 종래의 관문 방어 방식에 따른 접속제어 방법이 클라이언트(100)가 네트워크 접속 후, 문제를 유발하는 경우에 조치를 취하는데 비하여 본 발명에서는 문제발생 소지가 있는 클라이언트를 미리 판별하고 판별 결과에 따라 네트워크 접속을 혀여 하도록 하는데 근본적인 차이점을 갖게 되는 것이다. 일 예로, 클라이언트(100)에서 소수의 악성코드가 발견되었으며, 전체 네트워크에 치명적인 결함을 유발하지 않는다고 판단되면 접속제어 서버(300)는 클라이언트(100)를 전체 네트워크와 분리 된 VLAN 영역에 할당하며, VLAN 영역에 할당된 클라이언트(100)에 접속하여 바이러스, 및 악성코드를 방역하게 된다. 이후 접속제어 서버(300)는 클라이언트(100)에 대한 방역이 처리되면 클라이언트(100)가 내부 네트워크에 접속할 수 있도록 한다. 이를 위해, 접속제어 서버(300)는 접속장치(200)가 클라이언트(100)에게 새로운 IP를 부여하도록 할 수 있다. 바람직하게는, 접속장치(200)에는 DHCP 서버 또는 그에 준하는 기능을 구비하는 소프트웨어, 및 하드웨어 로직이 구비될 수 있으며, 접속장치가 유선 또는 무선 공유기의 역할을 수행하는 경우, 접속장치(200)는 1차적인 방화벽의 역할을 수행할 수 있다. 여기서, 클라이언트(100)가 접속되는 네트워크가 EAP 메시지 전송에 적합하지 않은 경우에는 네트워크 상태정보와 보안상태정보는 접속장치(200)에 마련되는 DHCP, 및 HTTP 접속 기능에 의해 우회적으로 접속제어 서버(300)로 제공될 수 있다. 물론 접속장치(200)는 HTTP, 또는 DHCP 접속 기능을 구비하여야 함은 물론이다.The illustrated connection control module 101 is provided in a storage device (for example, a hard disk drive) provided in the client 100, and stores a separate share for storing final network state information or security state information of the client 100. Region 160 is provided. The shared storage area 160 is connected to the connection request module 140 and the information collection module 120 for requesting authentication of the client 100, and the network most recently collected by the information collection module 120. It saves status information and security status information. The shared storage 160 may be provided in a specific directory of the operating system (for example, C: \ sys_info), and the connection request module 140 may be used when the client 100 is rebooted or the access control server. When requesting a network connection to the 300, network state information and security state information provided in the shared storage space 160 are transmitted to the access control server 300. Thereafter, the policy control server 300 determines the access control policy described in 1) to 3) for the client 100 with reference to the network state information and the security state information, and notifies the client 100 of this. In this case, the terminal integrity check module 150 may allow or block network access of the client 100 according to the access control policy notified by the access control server 300. Of course, the present invention may notify the access control server 300 of the security level determined by the terminal integrity check module 150, and the access control server 300 may apply the corresponding access control policy. The gist of the present invention is that the connection control module 101 provided on the client 100 side by referring to the network state and the security state of the terminal before the end (the client 100) connects to the internal network is connected to the client 100. When the security state is determined and the result is provided to the access control server 300 or the client provides the network state information and the security state information to the access control server 300, the access control server 300 is connected to the network of the client 100 It is possible to determine whether or not to control the access device 200 according to the result to perform the access control policy to assign to the VLAN region for allowing, blocking, quarantine and treatment of the network connection of the client 100. This is because the access control method according to the conventional gateway defense method takes action when the client 100 causes a problem after accessing the network. There is a fundamental difference in allowing connections. As an example, if a few malicious codes are found in the client 100 and it is determined that they do not cause a fatal defect in the entire network, the access control server 300 assigns the client 100 to a VLAN area separate from the entire network. The client 100 allocated to the VLAN area is connected to prevent viruses and malware. Thereafter, the access control server 300 allows the client 100 to access the internal network when the protection against the client 100 is processed. To this end, the access control server 300 may allow the access device 200 to assign a new IP to the client 100. Preferably, the connection device 200 may be provided with a DHCP server or software having a corresponding function, and hardware logic. When the connection device serves as a wired or wireless router, the connection device 200 may be Can act as a primary firewall. Here, when the network to which the client 100 is connected is not suitable for the EAP message transmission, the network state information and the security state information are bypassed by the DHCP and HTTP access functions provided in the access device 200 and the access control server ( 300). Of course, the connection device 200 should be provided with an HTTP or DHCP connection function.

도 5는 클라이언트와 접속제어 서버 사이의 종단 무결성 체크 방법, 및 인증과정에 대한 흐름도를 나타낸다.5 is a flowchart illustrating a method of checking the terminal integrity between the client and the access control server, and an authentication process.

먼저, 네트워크에 접속하고자 하는 클라이언트(100)는 접속장치(200)로 접속을 요청하며, 접속장치(200)는 이에 응답하여 클라이언트(100)에 고유정보(Identity)를 요청한다. 클라이언트(100)는 자신의 고유정보를 포함하는 패킷을 접속제어 서버(300)로 전송하며, 접속제어 서버(300)는 클라이언트(100)로 인증 프로토콜 타입을 정의할 패킷을 전송한다. 도면에는 접속제어 서버(300)에서 클라이언트(100)로 EAP_TLS 전송 타입을 정의한 패킷을 전송하고 있다(TLS_start). 클라 이언트(100)는 정책제어 서버(300)로부터 전송 타입을 정의한 패킷의 수신 여부를 통보(EAP_response(Cleint hello))하며, 클라이언트(100)는 접속제어 서버(300)로 인증서(certificat)를 제공한다. EAP-TLS 인증방법은 접속제어 서버(300)에서 클라이언트로 접속제어 서버(300)의 인증서(certificate)를 제공하며, 클라이언트(100)는 접속제어 서버(300)에서 제공한 인증서를 이용하여 자신의 인증서를 인크립트 하고 이를 접속제어 서버(300)로 제공하여 인증한다. EAP_TLS 인증 방법에 따라, 접속제어 서버(300)와 클라이언트(100) 사이에 전송되는 EAP_TLS 패킷은 도 6에 도시된 바와 같은 구조를 가지며, 클라이언트(100)와 접속제어 서버(300)를 인증하기 위한 정보 이외에 벤더(VENDOR) 정보를 더 포함할 수 있다. 본 발명에서는 벤더 정보를 입력하는 위치에 네트워크 상태정보, 및 보안상태정보를 삽입 후, 클라이언트(100)에서 접속제어 서버(300)로 전송하도록 하며, 접속제어 서버(300)는 이를 참조하여 클라이언트(100)에 적정한 접속정책을 적용할 수 있도록 하는데 이용할 수 있다. 다음으로, 클라이언트(100)에서 접속제어 서버(300)로 인증서가 제공되면(Acess Request(hello) client chipher suite), 접속제어 서버(300)는 클라이언트(100)에게 자신의 인증서(certificate)를 제공하며(Challange (server hello with certificate cipher suite)), 클라이언트(100)는 인증서의 수신 여부를 응답하게 된다. 이어서, 접속제어 서버(300)는 클라이언트(100)로 재차 챌린지 패킷을 전송하며, 클라이언트(100)는 이에 응답하여 접속제어 서버(300)에서 제공한 인증서를 통해 자신의 인증서를 암호화한 암호화 인증서(ciphered certificate)를 생성하고 이를 접속제어 서버(300)로 제공한다. 접속제어 서버(300)는 클라이언 트(100)에서 제공된 암호화 인증서(ciphered certificate)를 기반으로 암호키를 생성하고, 생성된 암호키를 클라이언트(100)에게 제공한다. 이와 같은 과정에 의해 클라이언트(100)에 대한 인증 과정이 처리되면, 접속제어 서버(300)는 클라이언트(100)에게 챌린지 패킷을 전송하고, 클라이언트(100)는 챌린지 패킷에 응답하여 접속을 요청하게 된다. 다음으로, 접속제어 서버(300)는 종단 무결성 정보(네트워크 상태정보, 및 보안상태정보)를 요청하는 챌린지 패킷을 클라이언트(100)로 전송한다. 클라이언트(100)는 종단 무결성 정보(네트워크 상태정보, 및 보안상태정보)가 포함된 EAP 챌린지 패킷을 접속제어 서버(300)로 제공하며, 접속제어 서버(300)는 종단 무결성 정보를 확인 후, 종단(클라이언트(100))가 네트워크 접속에 적합하다고 판단되면 이를 단말장치(200)로 통보하며, 단말장치(200)는 클라이언트(100)의 네트워크 접속을 허용하게 된다.First, the client 100 wishing to access the network requests a connection to the access device 200, and the access device 200 requests unique information from the client 100 in response thereto. The client 100 transmits a packet including its own information to the access control server 300, and the access control server 300 transmits a packet to define the authentication protocol type to the client 100. In the figure, the packet defining the EAP_TLS transmission type is transmitted from the access control server 300 to the client 100 (TLS_start). The client 100 notifies (EAP_response (Cleint hello)) whether or not to receive a packet defining a transmission type from the policy control server 300, and the client 100 provides a certificate to the access control server 300. do. The EAP-TLS authentication method provides a certificate of the access control server 300 from the access control server 300 to the client, and the client 100 uses its own certificate provided by the access control server 300. Encrypt the certificate and provide it to the access control server 300 to authenticate. According to the EAP_TLS authentication method, the EAP_TLS packet transmitted between the access control server 300 and the client 100 has a structure as shown in FIG. 6, for authenticating the client 100 and the access control server 300. In addition to the information, vendor information may be further included. In the present invention, after inserting the network state information and security state information in the position for entering the vendor information, and transmits from the client 100 to the access control server 300, the access control server 300 refers to the client ( It can be used to make it possible to apply an appropriate access policy to 100). Next, when a certificate is provided from the client 100 to the access control server 300 (Acess Request (hello) client chipher suite), the access control server 300 provides the client 100 with its own certificate (certificate). (Challange (server hello with certificate cipher suite)), the client 100 will respond whether or not to receive a certificate. Subsequently, the access control server 300 transmits the challenge packet to the client 100 again, and in response, the client 100 encrypts its own certificate by using the certificate provided by the access control server 300. Create a ciphered certificate and provide it to the access control server (300). The access control server 300 generates an encryption key based on a ciphered certificate provided by the client 100, and provides the generated encryption key to the client 100. When the authentication process for the client 100 is processed by the above process, the access control server 300 transmits a challenge packet to the client 100, and the client 100 requests a connection in response to the challenge packet. . Next, the access control server 300 transmits a challenge packet to the client 100 requesting termination integrity information (network state information and security state information). The client 100 provides the EAP challenge packet including the terminal integrity information (network status information and security status information) to the access control server 300. The access control server 300 checks the terminal integrity information and then terminates the terminal integrity information. If it is determined that the client 100 is suitable for the network connection, the client device 100 notifies the terminal device 200 of this, and the terminal device 200 allows the client 100 to access the network.

한편, 도 4는 EAP-TLS 인증방법을 중심으로 접속제어 서버(300)와 클라이언트 사이의 종단 무결성 정보를 교환하는 과정, 및 클라이언트(100)의 네트워크 접속과정을 도시하고 있으나, 이 외에 클라이언트(100)와 접속제어 서버(300)는 EAP-FAST 인증방법에 의해서도 동일한 과정을 수행할 수 있다. EAP-FAST 인증방법은 접속제어 서버(300)에서 32 바이트의 크기를 가지며, 랜덤한 값을 갖는 PAC을 생성 후, 이를 클라이언트(100)에게 제공하며, 클라이언트는 네트워크에 접속하고자 할 때, PAC에 포함되는 PAC 키를 추출하고 이를 접속제어 서버(300)로 통보함으로써 접속제어 서버(300)로부터 인증을 받는 인증방법이다. EAP-FAST 인증방법은 EAP 인증방법의 변형으로 미국의 시스코(CISCO)社 에서 제안되었으며, 널리 사용되는 인증방법 중 하나인 바, 상세한 설명은 생략하도록 한다. 이 외에 클라이언트(100)와 접속제어 서버(300)는 PEAP, 및 EAP-TTLS 인증방법에 의해서도 상호 인증을 진행 가능하며, 인증과정이 처리된 후, 클라이언트(100)의 종단 무결성 정보를 접속제어 서버(300)로 제공하고, 접속제어 서버(300)가 이를 참조하여 1) ∼ 4)에 기재된 접속정책을 수행할 수도 있다. 상기, 언급된 인증 방법(인증 프로토콜)은 클라이언트(100)와 라디우스 인증방법에 따른 접속제어 서버(300) 사이의 인증 방법을 설명하고 있으며, 이들 인증 프로토콜은 EAP 메시지에 추가적인 정보를 더 포함시켜 인캡슐레이션(encapsulation) 가능한 EAP-TLV, 및 EAP-TNC 포멧의 EAP 메시지를 이용함이 바람직하다. 또한, 현재 널리 알려진 인증방법(EAP-TLS, EAP-TTLS, PEAP, EAP-FAST 등) 이외에도 다양한 변형 인증방법이 더 있을 수 있으며, 이러한 변형 인증 방법은 클라이언트(100)에서 접속제어 서버(300)로 본원발명에 따른 종단 무결성 정보(네트워크 상태정보, 보안상태정보)를 전송하기 전 진행되는 과정에 불과한 것으로서 변형된 차이점에 의해 본원발명의 기술적 사상이 훼손되어서는 안 될 것이다.Meanwhile, FIG. 4 illustrates a process of exchanging terminal integrity information between the access control server 300 and the client and a network connection process of the client 100 based on the EAP-TLS authentication method. ) And the access control server 300 may perform the same process by the EAP-FAST authentication method. The EAP-FAST authentication method has a size of 32 bytes in the access control server 300, generates a PAC having a random value, and provides the same to the client 100. When the client wants to access the network, Extracting the included PAC key and notifying it to the access control server 300 is an authentication method to be authenticated by the access control server 300. The EAP-FAST authentication method is a modification of the EAP authentication method proposed by Cisco in the United States (CISCO), and is one of the widely used authentication methods, so detailed description thereof will be omitted. In addition, the client 100 and the access control server 300 may mutually authenticate each other by PEAP and EAP-TTLS authentication methods, and after the authentication process is processed, the terminal integrity information of the client 100 is connected to the access control server. And the access control server 300 may perform the access policy described in 1) to 4) with reference thereto. The above-mentioned authentication method (authentication protocol) describes an authentication method between the client 100 and the access control server 300 according to the Radius authentication method, and these authentication protocols further include additional information in the EAP message. It is preferable to use an encapsulation-enabled EAP-TLV, and an EAP message in EAP-TNC format. In addition, in addition to the currently well-known authentication methods (EAP-TLS, EAP-TTLS, PEAP, EAP-FAST, etc.), there may be further various modification authentication methods, such a modification authentication method in the client 100, the access control server 300 Therefore, the technical spirit of the present invention should not be impaired by the modified difference as it is only a process before transmitting the terminal integrity information (network state information and security state information) according to the present invention.

상기한 바와 같이, 본 발명은 클라이언트가 접속제어 서버에서 인증 후, 네트워크에 접속되기 전에 클라이언트의 네트워크 상태와 보안상태를 판단하고, 그 결과에 따라 클라이언트의 네트워크 접속 여부를 결정함으로써 보안위험 요소를 구비하는 클라이언트에 의해 내부 네트워크의 무결성이 손상되지 않도록 할 수 있다.As described above, the present invention includes a security risk factor by determining the client's network state and security state after the client authenticates at the access control server and before accessing the network, and determining whether the client is connected to the network. This ensures that the integrity of the internal network is not compromised by the client.

Claims (22)

클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서,A connection control method for a network system comprising a client, a connection control server, and a connection device for relaying the client and the connection control server, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태를 모니터링하는 접속제어 모듈이 마련되며,The client is provided with a connection control module for monitoring the network status of the client, 상기 접속제어 모듈은,The connection control module, 상기 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈;An interface module for interfacing with the operating system and the security application; 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈; 및An information collection module for collecting the network state information and the security information from the operating system and the security application; And 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈;을 포함하고,And a connection request module for providing the network state information and the security information collected by the information collection module to the access control server to perform a connection request to the client. 상기 접속제어 모듈은, 상기 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 보안상태정보를 획득하여 상기 접속제어 서버로 제공하고, The access control module obtains security state information through the network state information and a security application installed in the client, and provides it to the access control server. 상기 접속제어 서버는, 상기 접속제어 모듈을 통해 제공되는 상기 네트워크 상태정보와 보안상태정보를 참조하여 상기 클라이언트의 네트워크 접속 여부를 판단하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And the access control server determines whether the client accesses the network by referring to the network state information and the security state information provided through the access control module. 삭제delete 제1항에 있어서,The method of claim 1, 상기 접속제어 모듈은,The connection control module, 상기 정보수집 모듈에서 획득된 상기 네트워크 상태정보, 및 상기 보안상태정보를 저장하는 저장모듈;을 더 포함하며,And a storage module for storing the network state information obtained from the information collecting module and the security state information. 상기 접속요청 모듈은,The connection request module, 상기 클라이언트가 재 부팅 시, 상기 저장모듈로부터 상기 네트워크 상태정보, 및 보안정보를 획득하고 이를 상기 접속제어 서버로 제공하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And, upon the client rebooting, obtain the network state information and security information from the storage module and provide the network state information and security information to the access control server. 제3항에 있어서,The method of claim 3, 상기 저장모듈은,The storage module, 상기 정보수집 모듈, 및 상기 접속요청 모듈에 상호 공유되는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And a terminal integrity access control, and a quarantine-based network, characterized in that shared between the information collection module and the connection request module. 제1항에 있어서,The method of claim 1, 상기 네트워크 상태정보, 및 상기 보안정보는,The network state information, and the security information, 상기 접속제어 모듈에서 상기 접속제어 서버로 전송되는 EAP 메시지에 삽입되는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And an EAP message inserted into the EAP message transmitted from the access control module to the access control server. 제5항에 있어서,The method of claim 5, 상기 EAP 메시지는,The EAP message is, EAP-TLS, EAP-FAST, EAP-TTLS, 및 PEAP 인증 프로토콜 중 어느 하나에 따른 메시지인 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.A method for establishing an end-to-end integrity access control and quarantine-based network, characterized in that the message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, and PEAP authentication protocol. 제1항에 있어서,The method of claim 1, 상기 접속제어 서버는,The connection control server, 상기 네트워크 상태정보와 상기 보안정보를 참조하여 상기 클라이언트의 접속 레벨을 설정하며,Setting a connection level of the client with reference to the network state information and the security information, 상기 접속레벨은,The connection level is 상기 클라이언트가 무결성인 경우, 상기 클라이언트를 상기 접속제어 서버가 관할하는 내부 네트워크에 접속시키는 제1레벨;A first level of connecting the client to an internal network controlled by the access control server when the client is integrity; 상기 클라이언트에 대한 조사 및 치료가 요구되는 경우, 상기 클라이언트를 VLAN(Virtual LAN)에 할당하는 제2레벨; 및A second level of allocating the client to a virtual LAN (VLAN) when investigation and treatment of the client is required; And 인증되지 않는 클라이언트와 비 인가된 외부 클라이언트에 대한 네트워크 접속을 차단하는 제3레벨 중 어느 하나인 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And at least one of a third level that blocks network access to unauthenticated clients and unauthorized external clients. 제7항에 있어서,The method of claim 7, wherein 상기 접속제어 서버는,The connection control server, 상기 클라이언트에 대한 접속레벨이 상기 제2레벨인 경우,If the connection level to the client is the second level, 상기 클라이언트를 상기 VLAN 영역에 격리 후, 상기 클라이언트에 네트워크 접속하며,After quarantining the client in the VLAN region, network connection to the client is performed. 상기 클라이언트에 대한 조사, 및 치료 후, 상기 클라이언트에 대한 접속레벨을 상기 제1레벨로 전환하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And, after the investigation and the treatment of the client, switch the access level to the first level to the first level. 제1항에 있어서,The method of claim 1, 상기 보안 어플리케이션은,The security application, 바이러스 방역 어플리케이션 및 악성코드 방역 어플리케이션 중 어느 하나인 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.End integrity access control, and quarantine-based network construction method, characterized in that any one of the anti-virus application and malware protection application. 삭제delete 삭제delete 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서,A connection control method for a network system comprising a client, a connection control server, and a connection device for relaying the client and the connection control server, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정보를 획득하는 접속제어 모듈이 마련되며,The client is provided with a connection control module for obtaining network status information of the client, and security status information obtained through a security application installed on the client. 상기 접속제어 모듈은,The connection control module, 상기 보안상태정보를 통해 상기 클라이언트에 대한 바이러스, 및 악성코드 중 어느 하나에 의한 감염 여부, 상기 네트워크 상태정보를 통해 비 정상적인 트래픽의 유발 여부, 및 상기 보안 어플리케이션에서 제공하는 상기 클라이언트의 보안취약성 유무를 판단하며, 판단 결과, 상기 클라이언트가 무결성인 경우, 상기 접속제어 서버로 상기 클라이언트에 대한 인증을 요청하는 것을 특징으로 하는 종단 무 결성 접속제어, 및 검역기반 네트워크 구축 방법.Whether the infection of any one of the virus and malicious code for the client through the security status information, whether or not caused abnormal traffic through the network status information, and whether there is security vulnerability of the client provided by the security application And determining, if the client is integrity, requesting authentication of the client from the access control server. 제12항에 있어서,The method of claim 12, 상기 접속제어 모듈은,The connection control module, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈;An interface module that interfaces with an operating system installed on the client and the security application; 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈;An information collection module for collecting the network state information and the security information from the operating system and the security application; 상기 네트워크 상태정보, 상기 보안정보, 및 상기 접속제어 서버와 미리 약정된 접속정책 정보를 구비하는 보안정보 저장모듈; 및A security information storage module including the network state information, the security information, and access policy information previously agreed with the access control server; And 상기 접속정책 정보를 참조하여 상기 네트워크 상태정보와 상기 보안정보에 따른 상기 클라이언트에 대한 접속레벨을 설정하며, 상기 접속레벨에 따라 상기 클라이언트에 대해 네트워크 접속차단, 검역, 및 치료를 위한 VLAN 네트워크 할당, 및 네트워크 접속 허용 중 어느 하나에 대응시키는 종단 무결성 체크 모듈;을 포함하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.Setting a connection level for the client according to the network state information and the security information with reference to the access policy information, and assigning a VLAN network for network access blocking, quarantine, and treatment for the client according to the access level; And an end integrity check module corresponding to any one of the network access allowance. 제13항에 있어서,The method of claim 13, 상기 종단 무결성 체크 모듈은,The termination integrity check module, 상기 클라이언트가 무결성인 경우,If the client is integrity, 상기 접속제어 서버로 상기 클라이언트에 할당된 아이디, 및 패스워드가 포 함되는 EAP 메시지를 전송하여 인증을 요청하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And requesting authentication by transmitting an EAP message including an ID and a password assigned to the client to the access control server. 제12항에 있어서,The method of claim 12, 상기 접속제어 모듈은,The connection control module, 상기 클라이언트에 대한 무결성을 판단 후, 상기 접속제어 서버로 상기 클라이언트에 할당된 고유정보를 포함하는 EAP 메시지를 전송하며,After determining the integrity of the client, and transmits the EAP message including the unique information assigned to the client to the access control server, 상기 접속제어 서버는,The connection control server, 상기 EAP 메시지에 포함되는 상기 클라이언트의 고유정보를 통해 상기 클라이언트를 인증하고, 상기 클라이언트의 네트워크 접속을 허여하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And a method for authenticating the client through the unique information of the client included in the EAP message and allowing the client to access the network. 제14항에 있어서,The method of claim 14, 상기 EAP 메시지는,The EAP message is, EAP-TLS, EAP-FAST, EAP-TTLS, PEAP 인증 프로토콜 중 어느 하나에 따른 메시지인 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.End integrity access control, and quarantine-based network construction method characterized in that the message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, PEAP authentication protocol. 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서,A connection control method for a network system comprising a client, a connection control server, and a connection device for relaying the client and the connection control server, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정보를 획득하는 단계;Acquiring, by the client, network state information of the client and security state information obtained through a security application installed in the client; 상기 클라이언트에서 상기 획득된 네트워크 상태정보, 및 보안상태정보를 상기 접속제어 서버로 제공하는 단계;Providing, by the client, the obtained network state information and security state information to the access control server; 상기 클라이언트에서 제공된 상기 네트워크 상태정보, 및 보안상태정보를 참조하여 상기 접속제어 서버가 상기 클라이언트에 대한 접속제어 정책을 적용하는 단계; 및Applying, by the access control server, an access control policy for the client with reference to the network state information and the security state information provided from the client; And 상기 클라이언트와 인증을 진행하는 단계;를 포함하며,Including the step of authenticating with the client; 상기 보안상태정보를 획득하는 단계는,Acquiring the security status information, 상기 클라이언트에 접속제어 모듈을 설치하는 단계; Installing a connection control module on the client; 상기 접속제어 모듈이 상기 클라이언트에 설치된 운영체제의 네트워크 모니터링 모듈과 접속하는 단계;Accessing, by the connection control module, a network monitoring module of an operating system installed in the client; 상기 접속제어 모듈이 상기 클라이언트에 설치된 보안 어플리케이션과 접속하는 단계; 및Accessing, by the connection control module, a security application installed in the client; And 상기 접속제어 모듈이 상기 네트워크 모니터링 모듈과 보안 어플리케이션으로부터 상기 클라이언트에 대한 네트워크 상태정보와 보안상태정보를 획득하는 단계;를 포함하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.Obtaining, by the access control module, network state information and security state information for the client from the network monitoring module and a security application. 제17항에 있어서,The method of claim 17, 상기 접속제어 정책은,The access control policy, 상기 클라이언트에 심각한 보안 위협이 존재하는 경우, 상기 클라이언트의 네트워크 접속을 차단하는 정책, 상기 클라이언트가 무결성인 경우, 상기 클라이언트의 네트워크 접속을 허용하는 정책, 및 상기 클라이언트를 검역, 및 치료하기 위해 상기 클라이언트를 가상 네트워크에 접속시키는 정책 중 어느 하나인 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.A policy to block the client's network access if there is a serious security threat to the client, a policy to allow the client's network connection if the client is integrity, and the client to quarantine and treat the client End integrity access control, and quarantine-based network construction method, characterized in that any one of the policies to connect to the virtual network. 삭제delete 제17항에 있어서,The method of claim 17, 상기 접속제어 모듈은,The connection control module, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈;An interface module that interfaces with an operating system installed on the client and the security application; 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈; 및An information collection module for collecting the network state information and the security information from the operating system and the security application; And 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈;을 포함하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And a connection request module for providing the network state information and the security information collected by the information collection module to the access control server to perform an access request for the client. How to build a network. 제17항에 있어서,The method of claim 17, 상기 클라이언트와 인증을 진행하는 단계는,The step of authenticating with the client, 상기 클라이언트가 상기 접속제어 서버로 인증을 요청하는 단계;The client requesting authentication to the access control server; 상기 접속제어 서버에서 상기 클라이언트로 인증서를 제공하는 단계;Providing a certificate from the access control server to the client; 상기 클라이언트에서 상기 인증서에 의한 암호화 인증서를 생성하고 이를 상기 접속제어 서버로 제공하는 단계; Generating an encryption certificate based on the certificate at the client and providing the encrypted certificate to the access control server; 상기 접속제어 서버에서 상기 암호화 인증서에 기반한 암호화 키를 생성 후, 이를 상기 클라이언트에게 제공하는 단계; 및Generating, by the access control server, an encryption key based on the encryption certificate, and providing the encryption key to the client; And 상기 클라이언트가 상기 암호화 키를 이용하여 상기 접속제어 서버에 인증을 요청하는 단계;를 포함하는 것을 특징으로 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법.And requesting, by the client, the authentication from the access control server by using the encryption key. 삭제delete
KR1020060083610A 2006-08-31 2006-08-31 Network access control using end point integrity, and building method KR100737518B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060083610A KR100737518B1 (en) 2006-08-31 2006-08-31 Network access control using end point integrity, and building method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060083610A KR100737518B1 (en) 2006-08-31 2006-08-31 Network access control using end point integrity, and building method

Publications (1)

Publication Number Publication Date
KR100737518B1 true KR100737518B1 (en) 2007-07-10

Family

ID=38503795

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060083610A KR100737518B1 (en) 2006-08-31 2006-08-31 Network access control using end point integrity, and building method

Country Status (1)

Country Link
KR (1) KR100737518B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101078383B1 (en) 2009-07-01 2011-10-31 (주)넷맨 Method and system for network access control of unauthorized system using SNMP
KR101152782B1 (en) 2007-08-16 2012-06-12 삼성전자주식회사 Method and apparatus for communication relaying and method and apparatus for communication relaying control
WO2013101000A1 (en) * 2011-12-28 2013-07-04 Intel Corporation Sharing wireless connection profiles between multiple operating systems
US9185104B2 (en) 2007-08-16 2015-11-10 Samsung Electronics Co., Ltd. Method and apparatus for communication, and method and apparatus for controlling communication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040001347A (en) * 2002-06-27 2004-01-07 주식회사 케이티 User information encrypted access method for public wireless LAN service
KR20060046704A (en) * 2004-04-26 2006-05-17 아바야 테크놀러지 엘엘씨 Method and apparatus for network security based on device security status

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040001347A (en) * 2002-06-27 2004-01-07 주식회사 케이티 User information encrypted access method for public wireless LAN service
KR20060046704A (en) * 2004-04-26 2006-05-17 아바야 테크놀러지 엘엘씨 Method and apparatus for network security based on device security status

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101152782B1 (en) 2007-08-16 2012-06-12 삼성전자주식회사 Method and apparatus for communication relaying and method and apparatus for communication relaying control
US9185104B2 (en) 2007-08-16 2015-11-10 Samsung Electronics Co., Ltd. Method and apparatus for communication, and method and apparatus for controlling communication
KR101078383B1 (en) 2009-07-01 2011-10-31 (주)넷맨 Method and system for network access control of unauthorized system using SNMP
WO2013101000A1 (en) * 2011-12-28 2013-07-04 Intel Corporation Sharing wireless connection profiles between multiple operating systems
US9516680B2 (en) 2011-12-28 2016-12-06 Intel Corporation Sharing wireless connection profiles between multiple operating systems

Similar Documents

Publication Publication Date Title
JP6175520B2 (en) Computer program, processing method, and network gateway
US11245687B2 (en) Hardware-based device authentication
US7703126B2 (en) Hierarchical trust based posture reporting and policy enforcement
US9210126B2 (en) Method for secure single-packet authorization within cloud computing networks
ES2556245T3 (en) System and procedure for secure network connectivity
US10764264B2 (en) Technique for authenticating network users
US7526792B2 (en) Integration of policy compliance enforcement and device authentication
US7752320B2 (en) Method and apparatus for content based authentication for network access
US20070294759A1 (en) Wireless network control and protection system
US20060085850A1 (en) System and methods for providing network quarantine using IPsec
US20070271360A1 (en) Network vulnerability assessment of a host platform from an isolated partition in the host platform
US11595385B2 (en) Secure controlled access to protected resources
US7594268B1 (en) Preventing network discovery of a system services configuration
KR100737518B1 (en) Network access control using end point integrity, and building method
Sathyadevan et al. Portguard-an authentication tool for securing ports in an IoT gateway
US20210306300A1 (en) Portable, hardware-based authentication client to enforce user-to-site network access control restrictions
US9239915B2 (en) Synchronizing between host and management co-processor for network access control
CN114422167A (en) Network access control method, device, electronic equipment and storage medium
Izhar et al. Network security issues in context of rsna and firewall
Gajjar et al. Internet Downloaded (Fareit) Malwares in Memory
CN116846614A (en) Trusted computing-based MQTT protocol message security processing method and system
WO2005094174A2 (en) Managing traffic within an internal communication network
Nandi 8 Cyber Security Trends
GB2468799A (en) Security policy enforcement using posture information and a manageability engine

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130628

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160630

Year of fee payment: 10