KR100737518B1 - Network access control using end point integrity, and building method - Google Patents
Network access control using end point integrity, and building method Download PDFInfo
- Publication number
- KR100737518B1 KR100737518B1 KR1020060083610A KR20060083610A KR100737518B1 KR 100737518 B1 KR100737518 B1 KR 100737518B1 KR 1020060083610 A KR1020060083610 A KR 1020060083610A KR 20060083610 A KR20060083610 A KR 20060083610A KR 100737518 B1 KR100737518 B1 KR 100737518B1
- Authority
- KR
- South Korea
- Prior art keywords
- client
- network
- security
- access control
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
Description
도 1은 본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 개념적으로 나타내는 도면,1 is a diagram conceptually illustrating a method for establishing an end integrity access control and a quarantine-based network according to the present invention;
도 2는 보안 어플리케이션 중 악성코드를 검역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타내는 도면,2 is a diagram illustrating an example of a quarantine log of a security application that quarantines malicious code among security applications;
도 3은 보안 어플리케이션 중 바이러스를 방역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타내는 도면,3 is a diagram illustrating an example of a quarantine log of a security application that prevents viruses among security applications;
도 4는 접속제어 모듈에 대한 블록개념도,4 is a block conceptual diagram of a connection control module;
도 5는 클라이언트와 접속제어 서버 사이의 종단 무결성 체크 방법, 및 인증과정에 대한 흐름도, 그리고5 is a flowchart illustrating a method for checking the termination integrity between the client and the access control server, and an authentication process;
도 6은 접속제어 서버와 클라이언트 사이에 전송되는 EAP-TLS 패킷의 구조도를 나타낸다.6 shows a structure diagram of an EAP-TLS packet transmitted between a connection control server and a client.
한국 공개특허 10-2005-0090640Korea Patent Publication 10-2005-0090640
한국 공개특허 10-2006-0019240Korea Patent Publication 10-2006-0019240
본 발명은 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 관한 것으로, 특히 네트워크 및 보안상 결함을 가지는 클라이언트가 접속제어 서버를 통해 인증 후, 내부 네트워크에 진입하기 전, 클라이언트의 네트워크 상태와 보안상태를 접속제어 서버로 통보하며, 그 결과에 따라 보안 위험요소를 구비하는 클라이언트가 내부 네트워크에 접속하기 전 네트워크 접속을 차단하거나 검역, 및 치료를 하도록 함으로써 내부 네트워크의 보안성을 향상시키는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 관한 것이다.The present invention relates to a terminal integrity access control and a quarantine-based network construction method. In particular, a client having a network and security deficiency authenticates through a connection control server and before entering an internal network, the network state and security state of the client. To the access control server, and according to the result, end integrity access control that improves the security of the internal network by blocking or quarantining and treating network access before the client with security risks accesses the internal network. , And quarantine-based networks.
통상 외부 네트워크와 내부 네트워크 사이에서 외부 네트워크로부터 침입하는 바이러스, 웜, 및 악성코드를 차단하는 방식의 관문 방어 방식의 보안체계는 무선단말기의 확산, 내부 네트워크에서 비 인가 접속되는 USB 저장장치, 및 제로 데이 웜(Zero day worm) 등에 의해 심각히 위협받고 있다. 종래의 관문 방어 방식의 경우, 알려진 바이러스나 웜에 대한 정보를 참조하여 외부 네트워크에서 유입되는 바이러스나 웜을 차단하고 있으나, 알려지지 않은 웜(제로 데이 웜)에 대해서는 효과적으로 대응할 수 없으며, 내부 네트워크에서 발생되는 문제점에 대해서는 손쓸 방법이 없는 실정이다. 더욱이, 무선단말기가 널리 확산됨에 따라 불특정 다수의 무선단말기가 내부 네트워크에서 접속 가능하게 되었으며 이들 무선단말기에 의해 내부 네트워크의 보안이 위협받고 있다. 이러한 문제점들에 대해 한국 공개특허 10-2005-0090640에서는 외부 네트워크와 내부 네트워크 사이에 마련되는 보안장비 를 통해 외부 네트워크와 내부 네트워크 사이의 트래픽이 기준량을 초과 시, 관리자가 조치할 수 있도록 하는 유해 트래픽 분석 시스템을 제안한 바 있다. 또한, 한국 공개특허 10-2006-0019240에서는 사용자 단말을 통해 네트워크 접속을 시도하는 사용자를 인증하는 인증 시스템을 통해 인증된 사용자에게 네트워크 접속을 허용하며, 인증된 사용자에 대한 정보를 DB화 하고, 사용자가 타 서버로 이동 시, 이전에 접속된 서버와 타 서버간에 인증절차를 처리함으로써 인증에 따른 트래픽을 감소시키는 통합인증시스템이 제안된 바 있다. 그러나, 상기한 공개문헌에서는 내부 네트워크를 통해 접속되는 무선단말기가 악의적인 의도를 가지는 경우 아이디와 패스워드 기반의 인증방법이 무력화될 수 있으며, 업무관계상 외부인의 네트워크 접속을 허여해야 하는 경우에는 외부인에 의해 내부 네트워크의 무결성을 보장받기 어렵다.In general, the defense system of a gateway defense method that blocks viruses, worms, and malware from external networks between the external network and the internal network includes the proliferation of wireless terminals, USB storage devices that are unauthorized access to the internal network, and zero. It is seriously threatened by day worms. In the conventional defense method, it blocks viruses or worms from external networks by referring to information about known viruses or worms, but cannot respond effectively to unknown worms (zero day worms). There is no way to deal with the problem. Moreover, as the wireless terminals have been widely spread, many unspecified wireless terminals are accessible in the internal network, and the security of the internal network is threatened by these wireless terminals. Korean Patent Laid-Open Publication No. 10-2005-0090640 addresses the above problems by using a security device provided between the external network and the internal network. An analysis system has been proposed. In addition, Korean Patent Laid-Open Publication No. 10-2006-0019240 allows network access to an authenticated user through an authentication system for authenticating a user attempting to access a network through a user terminal, and makes a DB of information on the authenticated user. When moving to another server, an integrated authentication system has been proposed to reduce the traffic due to authentication by processing the authentication procedure between the previously connected server and another server. However, in the above-mentioned publication, when a wireless terminal connected through an internal network has malicious intentions, an authentication method based on ID and password may be incapacitated. It is difficult to guarantee the integrity of the internal network.
상기한 바와 같이, 본 발명의 목적은 클라이언트가 접속제어 서버를 통해 인증되어 내부 네트워크로 진입하기 전, 클라이언트의 네트워크 상태와 보안상태를 판단하고, 판단 결과에 따라 클라이언트의 네트워크 접속 여부를 결정함으로써 보안위험 요소를 구비하는 클라이언트에 의해 내부 네트워크의 보안이 위협받지 않도록 하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 제공함에 있다. As described above, an object of the present invention is to secure the client by determining the network state and the security state of the client and determining whether the client is connected to the network according to the determination result before the client is authenticated through the access control server and entering the internal network. The present invention provides a method of establishing a terminal integrity access control and a quarantine-based network to prevent the security of an internal network from being threatened by a client having a risk factor.
상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접 속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태를 모니터링하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 보안상태정보를 획득하여 상기 접속제어 서버로 제공하고, 상기 접속제어 서버는, 상기 접속제어 모듈을 통해 제공되는 상기 네트워크 상태정보와 보안상태정보를 참조하여 상기 클라이언트의 네트워크 접속 여부를 판단하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 의해 달성된다.The above object is an access control method for a network system, comprising a client, a connection control server, and a connection device for relaying the client and the connection control server, according to the present invention, wherein the client is provided with a network status of the client. A connection control module for monitoring is provided, wherein the connection control module obtains security state information through the network state information and a security application installed in the client, and provides the connection state to the connection control server. It is achieved by a terminal integrity access control and a quarantine-based network establishment method for determining whether the client is connected to the network by referring to the network state information and security state information provided through the access control module.
상기 접속제어 모듈은, 상기 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈, 및 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈을 포함하는 것이 바람직하다.The access control module is an interface module for interfacing with the operating system and the security application, the information collection module for collecting the network state information and the security information from the operating system, and the security application, and the information collection module. Preferably it includes a connection request module for providing the network state information and security information to the access control server to perform a connection request to the client.
바람직하게는, 상기 접속제어 모듈은, 상기 정보수집 모듈에서 획득된 상기 네트워크 상태정보, 및 상기 보안상태정보를 저장하는 저장모듈을 더 포함하며, 상기 접속요청 모듈은, 상기 클라이언트가 재 부팅 시, 상기 저장모듈로부터 상기 네트워크 상태정보, 및 보안정보를 획득하고 이를 상기 접속제어 서버로 제공할 수 있다.Preferably, the access control module further comprises a storage module for storing the network state information obtained from the information collection module and the security state information, wherein the connection request module, when the client reboots, The network state information and the security information may be obtained from the storage module and provided to the access control server.
상기 저장모듈은, 상기 정보수집 모듈, 및 상기 접속요청 모듈에 상호 공유되는 것이 바람직하다.The storage module is preferably shared between the information collection module and the connection request module.
상기 네트워크 상태정보, 및 상기 보안정보는, 상기 접속제어 모듈에서 상기 접속제어 서버로 전송되는 EAP 메시지에 삽입되는 것이 바람직하다.The network state information and the security information are preferably inserted into an EAP message transmitted from the access control module to the access control server.
상기 EAP 메시지는, EAP-TLS, EAP-FAST, EAP-TTLS, 및 PEAP 인증 프로토콜 중 어느 하나에 따른 메시지일 수 있다.The EAP message may be a message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, and PEAP authentication protocol.
상기 접속제어 서버는, 상기 네트워크 상태정보와 상기 보안정보를 참조하여 상기 클라이언트의 접속 레벨을 설정하며, 상기 접속레벨은, 상기 클라이언트가 무결성인 경우, 상기 클라이언트를 상기 접속제어 서버가 관할하는 내부 네트워크에 접속시키는 제1레벨, 상기 클라이언트에 대한 조사 및 치료가 요구되는 경우, 상기 클라이언트를 VLAN(Virtual LAN)에 할당하는 제2레벨, 및 인증되지 않는 클라이언트와 비 인가된 외부 클라이언트에 대한 네트워크 접속을 차단하는 제3레벨 중 어느 하나인 것이 바람직하다.The access control server sets an access level of the client with reference to the network state information and the security information. The access level is an internal network controlled by the access control server when the client is integrity. A first level of accessing the client, a second level of assigning the client to a virtual LAN (VLAN) if required, and a network connection to unauthenticated and unauthorized external clients. It is preferable that it is any one of the 3rd level which interrupts.
상기 접속제어 서버는, 상기 클라이언트에 대한 접속레벨이 상기 제2레벨인 경우, 상기 클라이언트를 상기 VLAN 영역에 격리 후, 상기 클라이언트에 네트워크 접속하며, 상기 클라이언트에 대한 조사, 및 치료 후, 상기 클라이언트에 대한 접속레벨을 상기 제1레벨로 전환하는 것이 바람직하다.When the access level for the client is the second level, the access control server isolates the client to the VLAN area and then network-connects to the client, and after the investigation and treatment of the client, the client It is preferable to switch the connection level with respect to the first level.
상기 보안 어플리케이션은, 바이러스 방역 어플리케이션 및 악성코드 방역 어플리케이션 중 어느 하나일 수 있다.The security application may be any one of a virus protection application and a malware protection application.
상기한 목적은 본 발명에 따라, 프로세서, 및 메모리를 구비하는 컴퓨터에서 수행 가능하며, 상기 컴퓨터의 네트워크 상태정보, 상기 컴퓨터에 설치된 보안 어플리케이션을 통해 획득되는 보안정보, 및 상기 컴퓨터를 인증하기 위한 인증정보 중 어느 하나를 수집하는 단계, 및 상기 수집된 정보를 EAP 인증 프로토콜에 따른 EAP 메시지(challange message) 포멧으로 변환하고 이를 네트워크 접속된 접속제어 서버로 전송하여 상기 컴퓨터의 인증을 요청하는 단계를 수행하는 프로그램을 포함하는 기록매체에 의해 달성된다.According to the present invention, the above object can be performed in a computer having a processor and a memory, and network status information of the computer, security information obtained through a security application installed in the computer, and authentication for authenticating the computer. Collecting any one of the information, and converting the collected information into an EAP message (challange message) format according to the EAP authentication protocol and transmitting the information to a network access connection server to request authentication of the computer. Is achieved by a recording medium comprising a program.
상기 EAP 메시지는, EAP-Notification, EAP-TLV, 및 EAP-TNC 메시지 중 어느 하나일 수 있다.The EAP message may be any one of an EAP-Notification, an EAP-TLV, and an EAP-TNC message.
상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정보를 획득하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 보안상태정보를 통해 상기 클라이언트에 대한 바이러스, 및 악성코드 중 어느 하나에 의한 감염 여부, 상기 네트워크 상태정보를 통해 비 정상적인 트래픽의 유발 여부, 및 상기 보안 어플리케이션에서 제공하는 상기 클라이언트의 보안취약성 유무를 판단하며, 판단 결과, 상기 클라이언트가 무결성인 경우, 상기 접속제어 서버로 상기 클라이언트에 대한 인증을 요청하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법에 의해 달성된다.According to an aspect of the present invention, there is provided a connection control method for a network system including a client, a connection control server, and a connection device relaying the client and the connection control server, wherein the client includes network state information of the client, And a connection control module for acquiring security state information obtained through a security application installed in the client, wherein the connection control module is configured by any one of a virus and a malicious code for the client through the security state information. It is determined whether an infection is generated, whether abnormal traffic is generated through the network state information, and whether there is security vulnerability of the client provided by the security application. When the determination result is that the client is integrity, the client accesses the client to the access control server. Certification for Is achieved by means of end-integrity access control, and quarantine-based network establishment.
상기 접속제어 모듈은, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보 수집 모듈, 상기 네트워크 상태정보, 상기 보안정보, 및 상기 접속제어 서버와 미리 약정된 접속정책 정보를 구비하는 보안정보 저장모듈, 및 상기 접속정책 정보를 참조하여 상기 네트워크 상태정보와 상기 보안정보에 따른 상기 클라이언트에 대한 접속레벨을 설정하며, 상기 접속레벨에 따라 상기 클라이언트에 대해 네트워크 접속차단, 검역, 및 치료를 위한 VLAN 네트워크 할당, 및 네트워크 접속 허용 중 어느 하나에 대응시키는 종단 무결성 체크 모듈을 포함한다.The access control module includes an operating system installed in the client, an interface module for interfacing with the security application, an information collection module for collecting the network state information and the security information from the operating system, and the security application, and the network state information. A security information storage module including the security information and access policy information previously agreed with the access control server, and the access policy information to determine a connection level for the client according to the network state information and the security information. And a termination integrity check module that corresponds to any one of network access blocking, quarantine, and VLAN network allocation, and network access permission for the client according to the connection level.
상기 종단 무결성 체크 모듈은, 상기 클라이언트가 무결성인 경우, 상기 접속제어 서버로 상기 클라이언트에 할당된 아이디, 및 패스워드가 포함되는 EAP 메시지를 전송하여 인증을 요청하는 것이 바람직하다.When the client is integrity, the terminal integrity check module preferably requests authentication by transmitting an EAP message including an ID and a password assigned to the client to the access control server.
상기 접속제어 모듈은, 상기 클라이언트에 대한 무결성을 판단 후, 상기 접속제어 서버로 상기 클라이언트에 할당된 고유정보를 포함하는 EAP 메시지를 전송하며, 상기 접속제어 서버는, 상기 EAP 메시지에 포함되는 상기 클라이언트의 고유정보를 통해 상기 클라이언트를 인증하고, 상기 클라이언트의 네트워크 접속을 허여하는 것이 바람직하다.After determining the integrity of the client, the access control module transmits an EAP message including the unique information assigned to the client to the access control server, and the access control server includes the client included in the EAP message. It is preferable to authenticate the client through the unique information of and to allow the client to access the network.
상기 EAP 메시지는, EAP-TLS, EAP-FAST, EAP-TTLS, PEAP 인증 프로토콜 중 어느 하나에 따른 메시지인 것이 바람직하다.The EAP message is preferably a message according to any one of EAP-TLS, EAP-FAST, EAP-TTLS, and PEAP authentication protocol.
상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 획득되는 보안상태정 보를 획득하는 단계, 상기 클라이언트에서 상기 획득된 네트워크 상태정보, 및 보안상태정보를 상기 접속제어 서버로 제공하는 단계, 상기 클라이언트에서 제공된 상기 네트워크 상태정보, 및 보안상태정보를 참조하여 상기 접속제어 서버가 상기 클라이언트에 대한 접속제어 정책을 적용하는 단계, 및 상기 클라이언트와 인증을 진행하는 단계에 의해 달성된다.According to an aspect of the present invention, there is provided a connection control method for a network system including a client, a connection control server, and a connection device relaying the client and the connection control server, wherein the client includes network state information of the client, And obtaining security state information obtained through a security application installed in the client, providing the obtained network state information, and security state information to the access control server, the network state provided by the client. By the connection control server applying a connection control policy to the client with reference to the information and the security status information, and authenticating with the client.
상기 접속제어 정책은, 상기 클라이언트에 심각한 보안 위협이 존재하는 경우, 상기 클라이언트의 네트워크 접속을 차단하는 정책, 상기 클라이언트가 무결성인 경우, 상기 클라이언트의 네트워크 접속을 허용하는 정책, 및 상기 클라이언트를 검역, 및 치료하기 위해 상기 클라이언트를 가상 네트워크에 접속시키는 정책 중 어느 하나일 수 있다.The access control policy includes a policy of blocking a client's network access when a serious security threat exists in the client, a policy of allowing the client's network access when the client is integrity, and quarantining the client. And a policy of connecting the client to the virtual network for treatment.
상기 보안상태정보를 획득하는 단계는, 상기 클라이언트에 접속제어 모듈을 설치하는 단계, 상기 접속제어 모듈이 상기 클라이언트에 설치된 운영체제의 네트워크 모니터링 모듈과 접속하는 단계, 상기 접속제어 모듈이 상기 클라이언트에 설치된 보안 어플리케이션과 접속하는 단계, 및 상기 접속제어 모듈이 상기 네트워크 모니터링 모듈과 보안 어플리케이션으로부터 상기 클라이언트에 대한 네트워크 상태정보와 보안상태정보를 획득하는 단계를 포함하는 것이 바람직하다.The acquiring of the security state information may include installing a connection control module in the client, connecting the connection control module with a network monitoring module of an operating system installed in the client, and securing the security installed in the client. And connecting with an application, and obtaining, by the connection control module, network status information and security status information of the client from the network monitoring module and a security application.
상기 접속제어 모듈은, 상기 클라이언트에 설치된 운영체제, 및 상기 보안 어플리케이션과 인터페이스 하는 인터페이스 모듈, 상기 운영체제, 및 상기 보안 어플리케이션으로부터 상기 네트워크 상태정보, 및 상기 보안정보를 수집하는 정보수집 모듈, 및 상기 정보수집 모듈에서 수집된 상기 네트워크 상태정보와 보안정보 를 상기 접속제어 서버로 제공하여 상기 클라이언트에 대한 접속요청을 수행하는 접속요청 모듈을 포함하는 것이 바람직하다.The access control module includes an operating system installed on the client, an interface module for interfacing with the security application, an information collection module for collecting the network state information, and the security information from the operating system, and the security application, and the information collection. It is preferable to include a connection request module for providing the network state information and security information collected by the module to the access control server to perform a connection request to the client.
상기 클라이언트와 인증을 진행하는 단계는, 상기 클라이언트가 상기 접속제어 서버로 인증을 요청하는 단계, 상기 접속제어 서버에서 상기 클라이언트로 인증서를 제공하는 단계, 상기 클라이언트에서 상기 인증서에 의한 암호화 인증서를 생성하고 이를 상기 접속제어 서버로 제공하는 단계, 상기 접속제어 서버에서 상기 암호화 인증서에 기반한 암호화 키를 생성 후, 이를 상기 클라이언트에게 제공하는 단계, 및 상기 클라이언트가 상기 암호화 키를 이용하여 상기 접속제어 서버에 인증을 요청하는 단계를 포함하는 것이 바람직하다.The authenticating with the client may include: requesting authentication from the client to the access control server; providing a certificate from the access control server to the client; generating an encryption certificate based on the certificate at the client; Providing it to the access control server, generating an encryption key based on the encryption certificate in the access control server, providing the same to the client, and authenticating the client to the access control server using the encryption key. It is preferable to include the step of requesting.
상기한 목적은 본 발명에 따라, 클라이언트, 접속제어 서버, 및 상기 클라이언트와 상기 접속제어 서버를 중계하며, DHCP, 및 HTTP 접속을 지원하는 접속장치로 구성되는 네트워크 시스템의 접속제어 방법에 있어서, 상기 클라이언트에는 상기 클라이언트의 네트워크 상태를 모니터링하는 접속제어 모듈이 마련되며, 상기 접속제어 모듈은, 상기 네트워크 상태정보, 및 상기 클라이언트에 설치된 보안 어플리케이션을 통해 보안상태정보를 획득하여 상기 접속제어 서버로 제공하고, 상기 접속제어 서버는, 상기 접속제어 모듈을 통해 제공되는 상기 네트워크 상태정보와 보안상태정보를 참조하여 상기 클라이언트의 네트워크 접속 여부를 판단하되, 상기 접속제어 모듈은 상기 DHCP, 및 HTTP 접속 기능을 통해 상기 네트워크 상태정보와 상기 보안정보를 상기 접속제어 서버로 제공하는 종단 무결성 접속제어, 및 검역기반 네트워크 구축방법에 의해 달성된다.The above object is a connection control method for a network system, comprising a client, a connection control server, and a connection device for relaying the client and the connection control server and supporting DHCP and HTTP connections. The client is provided with a connection control module for monitoring the network status of the client, the connection control module obtains the security status information through the network status information, and the security application installed on the client to provide to the connection control server The access control server determines whether the client accesses the network by referring to the network state information and the security state information provided through the access control module, and the access control module uses the DHCP and HTTP access functions. The network status information and the security information It is achieved by the terminal integrity connection control provided by the access control server, and the quarantine-based network construction method.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법을 개념적으로 나타낸다.1 conceptually illustrates a termination integrity access control and a quarantine-based network construction method according to the present invention.
본 발명에 따른 종단 무결성 접속제어, 및 검역기반 네트워크 구축 방법은 클라이언트(100)에 접속제어 모듈(101)을 설치하며, 클라이언트(100)에 설치된 접속제어 모듈(101)이 클라이언트(100)에 설치되어 있는 보안 어플리케이션(110)을 통해 클라이언트(100)에 침입한 바이러스, 및 악성코드의 존재 여부, 클라이언트(100)에 설치된 운영체제를 통해 클라이언트(100)의 네트워크 트래픽, 및 클라이언트(100)에서 비 정상적(또는 미확인 사이트를 향하는)으로 요청되는 네트워크 접속 요구에 대한 정보를 수집한다. 접속제어 모듈(101)은 클라이언트(100), 접속장치(200), 및 접속제어 서버(300)로 구성되는 네트워크의 종단(클라이언트)에서 네트워크, 및 보안관련 정보를 수집 후, 이를 EAP 메시지 패킷에 포함시켜 접속제어 서버(300)로 제공하며, 접속제어 서버(300)는 접속제어 모듈(101)로부터 제공되는 정보를 참조하여 클라이언트(100)에 대한 네트워크 접속제어 정책을 적용하게 된다.In the terminal integrity connection control and quarantine-based network construction method according to the present invention, the
네트워크 접속제어 정책은 크게,Network access control policy is largely
1) 클라이언트(100)를 네트워크에 접속하는 것을 허용하는 정책.1) A policy that allows the
2) 심각한 보안위협을 가지는(또는 비정상적인 대량의 트래픽이 의심되는) 클라이언트의 네트워크 접속을 차단하는 정책.2) A policy that blocks a client from accessing the network with a serious threat (or suspected unusually large volume of traffic).
3) 경미한 보안위협을 가지는 클라이언트를 검역, 및 치료를 위한 VLAN(Virtual LAN)에 할당 후, 클라이언트를 방역하는 정책.3) A policy that prevents a client after assigning a client with a minor security threat to a virtual LAN (VLAN) for quarantine and treatment.
4) 클라이언트(100)와 접속제어 서버(300) 사이에 EAP 메시지 전송이 곤란한 경우, 클라이언트(100)는 접속장치(200)에 마련되는 DHCP, 또는 HTTP 접속 기능을 통해 접속제어 서버(300)로 접속하고, 접속제어 서버(300)의 제어에 의해 1) ∼ 3)의 네트워크 접속제어 정책을 수행하는 정책. 이때, 접속장치(200)는 DHCP, HTTP 접속 기능을 구비하여야 한다.4) When it is difficult to transmit the EAP message between the
통상, RADIUS 인증 기능을 구비하는 인증서버, 클라이언트, 및 접속장치로 이루어지는 네트워크 시스템에서는 인증서버가 클라이언트를 인증 후, 클라이언트의 네트워크 접속을 허여하게 된다. 이후, 인증서버(또는 별도의 네트워크 감시 서버)는 네트워크의 트래픽을 유발하는 클라이언트를 발견 시, 해당 클라이언트를 네트워크에서 격리하거나 검역을 수행하게 된다. 이는 네트워크에 문제가 발생된 후에 조치를 취하는 방법으로써 네트워크 내에 웜(Worm), 바이러스, 및 악성코드가 퍼지는 경우 네트워크에 접속된 각 클라이언트를 모두 방역해야 하는 문제점이 있다. 이에 비해, 본 발명은 클라이언트(100)가 접속제어 서버(300)에 인증을 요청하기 위한 EAP 메시지 패킷을 전송 시, 클라이언트(100)의 보안상태정보, 및 네트워크 상태정보를 EAP 메시지 패킷에 포함시켜 접속제어 서버(300)로 전송하며, 접속제어 서버(300)는 클라이언트(100)가 전송한 보안상태정보와 네트워크 상태정보를 분석하여 클라이언트(100)가 네트워크 접속에 적합한지를 판단하고 그 결과에 따라 1) ∼ 3)에 기재된 접속제어 정책을 클라이언트(100)에 반영하게 된다. Generally, in a network system including an authentication server, a client, and a connection device having a RADIUS authentication function, the authentication server authenticates the client and then allows the client to connect to the network. After that, when the authentication server (or a separate network monitoring server) detects a client causing traffic in the network, the authentication server (or separate network monitoring server) isolates the client from the network or performs quarantine. This is a method of taking action after a network problem occurs, and when a worm, virus, or malicious code spreads in the network, each client connected to the network should be prevented. On the contrary, in the present invention, when the
도면에서, 클라이언트(100)에 설치되는 접속제어 모듈(101)은 정보수집 모 듈(120), 인터페이스 모듈(130), 접속요청 모듈(140), 및 무결성 체크 모듈(150)을 구비한다.In the drawing, the
인터페이스 모듈(130)은 클라이언트(100)에 설치된 운영체제, 및 보안 어플리케이션과 인터페이스를 형성한다. 인터페이스 모듈(130)은 운영체제에 설치된 보안 어플리케이션의 실시간 검역 상태, 및 보안 어플리케이션의 검역 로그를 획득한다. 검역 로그의 일 예는 도 2와 도 3을 함께 참조하여 설명하도록 한다. The
도 2는 보안 어플리케이션 중 악성코드를 검역하는 보안 어플리케이션의 검역 결과에 대한 검역 로그를 나타낸다. 도시된 검역 로그는 클라이언트(100)에 13개의 크리티컬(critical) 악성코드가 존재함을 나타내고 있다. 이와 같은 검역 로그는 일정 주기마다 수행되거나 클라이언트(100)가 접속제어 서버(300)로 네트워크 접속을 요청 시 수행될 수 있다. 2 shows a quarantine log of a quarantine result of a security application that quarantines malicious code among security applications. The quarantine log shown indicates that there are 13 � critical malware on the
도 3은 보안 어플리케이션 중 바이러스를 방역하는 보안 어플리케이션의 검역 로그에 대한 일 예를 나타낸다. 도시된 검역 로그는 실시간, 또는 클라이언트(100)에서 기 실행된 검역 결과에 대한 로그를 나타낸다. 도시된 검역 로그에서는 보안 어플리케이션이 클라이언트(100)의 시스템, 메신저, 인터넷, 및 시작 프로그램에 대한 감시 결과가 나타나 있으며, 클라이언트(100)에는 보안상 문제점이 없다는 것을 나타내고 있다. 이와 같은 검역 결과는 보안상태정보에 포함되어 접속제어 서버(300)로 제공된다. 3 illustrates an example of a quarantine log of a security application that prevents viruses among security applications. The quarantine log shown represents a log of quarantine results executed in real time or in the
정보수집 모듈(120)은 인터페이스 모듈(130)을 통해 클라이언트(100)에 설치된 각종 보안 어플리케이션으로부터 보안상태정보를 획득하며, 운영체제에 마련되 는 네트워크 모니터링 모듈(미도시)을 통해 클라이언트(100)에서 발생되는 비 정상적인 접속 요청(예컨대 Trojan 바이러스에 의해 특정 ip를 향해 발생되는 접속요청), 클라이언트(100)가 네트워크에 마지막 접속한 시점의 네트워크 트래픽 정보등을 수집하고 이를 종단 무결성 체크 모듈(150)로 제공한다. 종단 무결성 체크 모듈(150)은 정보수집 모듈(120)을 통해 수집된 클라이언트(100)의 네트워크 상태정보, 및 보안상태정보를 접속요청 모듈(140)을 통해 접속제어 서버(300)로 제공하거나, 네트워크 상태정보와 보안상태정보를 토대로 접속 등급을 판단하여, 이를 EAP 챌린지 패킷에 담아 접속제어 서버(300)로 전송할 수 있다. 이때, 클라이언트(100)에서 접속제어 서버(300)로 EAP 메시지 패킷을 전송하고 있으나, 클라이언트(100)가 네트워크에 접속된 상태는 아니며, 클라이언트(100)는 접속제어 서버(300)를 통해 인증되어야 접속장치(200)를 통해 네트워크에 접근할 수 있게 된다. 종단 무결성 체크 모듈(150)은 보안상태정보, 및 네트워크 상태정보에 따라서 클라이언트(100)가 네트워크에 접속해도 무방한 무결성 등급, 네트워크에 접속해서는 안되는 위험 등급, 및 경미한 보안결함을 가지는 치료 등급을 부여할 수 있다. 종단 무결성 체크 모듈(150)은 각 등급을 하나의 코드로 변환하고 이를 접속요청 모듈(140)로 제공한다. 접속요청 모듈(140)은 클라이언트(100)의 고유정보(아이디, 패스워드, mac 어드레스, 및 클라이언트(100)에 부여된 인증서등)들 접속제어 서버(300)로 제공하여 인증을 요청하며, 인증을 요청하기 전, 종단 무결성 체크 모듈(150)이 판단한 보안등급을 EAP 메시지 패킷에 담아 접속제어 서버(300)로 제공한다. 접속제어 서버(300)는 접속요청 모듈(140)에서 제공된 보안등급에 따라 클 라이언트(100)를 1) ∼ 3)에 기재된 접속제어 정책들 중 하나에 적용한다. 만일 클라이언트(100)에서 다수의 바이러스, 및 악성코드가 발견되었거나, 과도한 트래픽을 유발한 전력이 있다면 접속제어 서버(300)는 해당 클라이언트(100)의 접속요청을 거부할 수 있다. 여기서, 네트워크 상태정보는 클라이언트(100)가 네트워크 접속상태일 때 측정됨이 가장 바람직하나, 클라이언트(100)가 보안 위험요소(예컨대 웜 이나 바이러스)를 구비하는 경우 전체 네트워크에 악영향을 끼칠 수 있는 바, 이전에 클라이언트(100)가 네트워크에 접속 시 측정된 네트워크의 트래픽 정보, 및 접속정보를 참조하여야 한다. 이는 도 3을 함께 참조하여 설명하도록 한다.The
도 4는 접속제어 모듈에 대한 블록개념도를 나타낸다.4 is a block diagram of a connection control module.
도시된 접속제어 모듈(101)은 클라이언트(100)에 마련되는 저장장치(예컨대 하드디스크 드라이브)에 마련되며, 클라이언트(100)의 최종 네트워크 상태정보, 또는 보안상태정보를 저장하기 위한 별도의 공유 저장영역(160)을 구비한다. 공유 저장영역(160)은 클라이언트(100)에 대한 인증을 요청하기 위한 접속요청 모듈(140), 및 정보수집 모듈(120)과 접속되며, 정보수집 모듈(120)에 의해 가장 최근에 수집된 네트워크 상태정보와 보안상태 정보를 저장하게 된다. 공유저장영역(160)은 운영체제의 특정 디렉토리(예컨대 C:\sys_info)에 마련될 수 있으며, 접속요청 모듈(140)은 클라이언트(100)가 리 부트(re-boot) 되는 경우, 또는 접속제어 서버(300)로 네트워크 접속을 요청하는 경우에 공유 저장공간(160)에 마련되는 네트워크 상태정보와 보안상태정보를 접속제어 서버(300)로 전송하게 된다. 이후, 정책제어 서버(300)는 네트워크 상태정보와 보안상태정보를 참조하여 클라이언트(100)에 대해 1) ∼ 3)에 기재된 접속제어 정책을 결정하며, 이를 클라이언트(100)로 통보하게 된다. 이때, 종단 무결성 체크 모듈(150)은 접속제어 서버(300)에서 통보된 접속제어 정책에 따라 클라이언트(100)의 네트워크 접속을 허용, 차단할 수 있다. 물론, 본 발명은 종단 무결성 체크 모듈(150)이 판단한 보안등급을 접속제어 서버(300)로 통보하고, 접속제어 서버(300)가 그에 상응한 접속제어 정책을 적용할 수도 있음은 물론이다. 본 발명의 요지는 종단(클라이언트(100))이 내부 네트워크에 접속하기 전, 종단의 네트워크 상태와 보안상태를 참조하여 클라이언트(100) 측에 마련되는 접속제어 모듈(101)이 클라이언트(100)의 보안상태를 판단하여 그 결과를 접속제어 서버(300)로 제공하거나 클라이언트가 네트워크 상태정보와 보안상태정보를 접속제어 서버(300)로 제공하면 접속제어 서버(300)가 클라이언트(100)의 네트워크 접속여부를 판단하여 그 결과에 따라 접속장치(200)를 제어하여 클라이언트(100)의 네트워크 접속의 허용, 차단, 및 검역 및 치료를 위한 VLAN 영역에 할당하는 접속제어 정책을 수행할 수 있다는 것이다. 이는 종래의 관문 방어 방식에 따른 접속제어 방법이 클라이언트(100)가 네트워크 접속 후, 문제를 유발하는 경우에 조치를 취하는데 비하여 본 발명에서는 문제발생 소지가 있는 클라이언트를 미리 판별하고 판별 결과에 따라 네트워크 접속을 혀여 하도록 하는데 근본적인 차이점을 갖게 되는 것이다. 일 예로, 클라이언트(100)에서 소수의 악성코드가 발견되었으며, 전체 네트워크에 치명적인 결함을 유발하지 않는다고 판단되면 접속제어 서버(300)는 클라이언트(100)를 전체 네트워크와 분리 된 VLAN 영역에 할당하며, VLAN 영역에 할당된 클라이언트(100)에 접속하여 바이러스, 및 악성코드를 방역하게 된다. 이후 접속제어 서버(300)는 클라이언트(100)에 대한 방역이 처리되면 클라이언트(100)가 내부 네트워크에 접속할 수 있도록 한다. 이를 위해, 접속제어 서버(300)는 접속장치(200)가 클라이언트(100)에게 새로운 IP를 부여하도록 할 수 있다. 바람직하게는, 접속장치(200)에는 DHCP 서버 또는 그에 준하는 기능을 구비하는 소프트웨어, 및 하드웨어 로직이 구비될 수 있으며, 접속장치가 유선 또는 무선 공유기의 역할을 수행하는 경우, 접속장치(200)는 1차적인 방화벽의 역할을 수행할 수 있다. 여기서, 클라이언트(100)가 접속되는 네트워크가 EAP 메시지 전송에 적합하지 않은 경우에는 네트워크 상태정보와 보안상태정보는 접속장치(200)에 마련되는 DHCP, 및 HTTP 접속 기능에 의해 우회적으로 접속제어 서버(300)로 제공될 수 있다. 물론 접속장치(200)는 HTTP, 또는 DHCP 접속 기능을 구비하여야 함은 물론이다.The illustrated
도 5는 클라이언트와 접속제어 서버 사이의 종단 무결성 체크 방법, 및 인증과정에 대한 흐름도를 나타낸다.5 is a flowchart illustrating a method of checking the terminal integrity between the client and the access control server, and an authentication process.
먼저, 네트워크에 접속하고자 하는 클라이언트(100)는 접속장치(200)로 접속을 요청하며, 접속장치(200)는 이에 응답하여 클라이언트(100)에 고유정보(Identity)를 요청한다. 클라이언트(100)는 자신의 고유정보를 포함하는 패킷을 접속제어 서버(300)로 전송하며, 접속제어 서버(300)는 클라이언트(100)로 인증 프로토콜 타입을 정의할 패킷을 전송한다. 도면에는 접속제어 서버(300)에서 클라이언트(100)로 EAP_TLS 전송 타입을 정의한 패킷을 전송하고 있다(TLS_start). 클라 이언트(100)는 정책제어 서버(300)로부터 전송 타입을 정의한 패킷의 수신 여부를 통보(EAP_response(Cleint hello))하며, 클라이언트(100)는 접속제어 서버(300)로 인증서(certificat)를 제공한다. EAP-TLS 인증방법은 접속제어 서버(300)에서 클라이언트로 접속제어 서버(300)의 인증서(certificate)를 제공하며, 클라이언트(100)는 접속제어 서버(300)에서 제공한 인증서를 이용하여 자신의 인증서를 인크립트 하고 이를 접속제어 서버(300)로 제공하여 인증한다. EAP_TLS 인증 방법에 따라, 접속제어 서버(300)와 클라이언트(100) 사이에 전송되는 EAP_TLS 패킷은 도 6에 도시된 바와 같은 구조를 가지며, 클라이언트(100)와 접속제어 서버(300)를 인증하기 위한 정보 이외에 벤더(VENDOR) 정보를 더 포함할 수 있다. 본 발명에서는 벤더 정보를 입력하는 위치에 네트워크 상태정보, 및 보안상태정보를 삽입 후, 클라이언트(100)에서 접속제어 서버(300)로 전송하도록 하며, 접속제어 서버(300)는 이를 참조하여 클라이언트(100)에 적정한 접속정책을 적용할 수 있도록 하는데 이용할 수 있다. 다음으로, 클라이언트(100)에서 접속제어 서버(300)로 인증서가 제공되면(Acess Request(hello) client chipher suite), 접속제어 서버(300)는 클라이언트(100)에게 자신의 인증서(certificate)를 제공하며(Challange (server hello with certificate cipher suite)), 클라이언트(100)는 인증서의 수신 여부를 응답하게 된다. 이어서, 접속제어 서버(300)는 클라이언트(100)로 재차 챌린지 패킷을 전송하며, 클라이언트(100)는 이에 응답하여 접속제어 서버(300)에서 제공한 인증서를 통해 자신의 인증서를 암호화한 암호화 인증서(ciphered certificate)를 생성하고 이를 접속제어 서버(300)로 제공한다. 접속제어 서버(300)는 클라이언 트(100)에서 제공된 암호화 인증서(ciphered certificate)를 기반으로 암호키를 생성하고, 생성된 암호키를 클라이언트(100)에게 제공한다. 이와 같은 과정에 의해 클라이언트(100)에 대한 인증 과정이 처리되면, 접속제어 서버(300)는 클라이언트(100)에게 챌린지 패킷을 전송하고, 클라이언트(100)는 챌린지 패킷에 응답하여 접속을 요청하게 된다. 다음으로, 접속제어 서버(300)는 종단 무결성 정보(네트워크 상태정보, 및 보안상태정보)를 요청하는 챌린지 패킷을 클라이언트(100)로 전송한다. 클라이언트(100)는 종단 무결성 정보(네트워크 상태정보, 및 보안상태정보)가 포함된 EAP 챌린지 패킷을 접속제어 서버(300)로 제공하며, 접속제어 서버(300)는 종단 무결성 정보를 확인 후, 종단(클라이언트(100))가 네트워크 접속에 적합하다고 판단되면 이를 단말장치(200)로 통보하며, 단말장치(200)는 클라이언트(100)의 네트워크 접속을 허용하게 된다.First, the
한편, 도 4는 EAP-TLS 인증방법을 중심으로 접속제어 서버(300)와 클라이언트 사이의 종단 무결성 정보를 교환하는 과정, 및 클라이언트(100)의 네트워크 접속과정을 도시하고 있으나, 이 외에 클라이언트(100)와 접속제어 서버(300)는 EAP-FAST 인증방법에 의해서도 동일한 과정을 수행할 수 있다. EAP-FAST 인증방법은 접속제어 서버(300)에서 32 바이트의 크기를 가지며, 랜덤한 값을 갖는 PAC을 생성 후, 이를 클라이언트(100)에게 제공하며, 클라이언트는 네트워크에 접속하고자 할 때, PAC에 포함되는 PAC 키를 추출하고 이를 접속제어 서버(300)로 통보함으로써 접속제어 서버(300)로부터 인증을 받는 인증방법이다. EAP-FAST 인증방법은 EAP 인증방법의 변형으로 미국의 시스코(CISCO)社 에서 제안되었으며, 널리 사용되는 인증방법 중 하나인 바, 상세한 설명은 생략하도록 한다. 이 외에 클라이언트(100)와 접속제어 서버(300)는 PEAP, 및 EAP-TTLS 인증방법에 의해서도 상호 인증을 진행 가능하며, 인증과정이 처리된 후, 클라이언트(100)의 종단 무결성 정보를 접속제어 서버(300)로 제공하고, 접속제어 서버(300)가 이를 참조하여 1) ∼ 4)에 기재된 접속정책을 수행할 수도 있다. 상기, 언급된 인증 방법(인증 프로토콜)은 클라이언트(100)와 라디우스 인증방법에 따른 접속제어 서버(300) 사이의 인증 방법을 설명하고 있으며, 이들 인증 프로토콜은 EAP 메시지에 추가적인 정보를 더 포함시켜 인캡슐레이션(encapsulation) 가능한 EAP-TLV, 및 EAP-TNC 포멧의 EAP 메시지를 이용함이 바람직하다. 또한, 현재 널리 알려진 인증방법(EAP-TLS, EAP-TTLS, PEAP, EAP-FAST 등) 이외에도 다양한 변형 인증방법이 더 있을 수 있으며, 이러한 변형 인증 방법은 클라이언트(100)에서 접속제어 서버(300)로 본원발명에 따른 종단 무결성 정보(네트워크 상태정보, 보안상태정보)를 전송하기 전 진행되는 과정에 불과한 것으로서 변형된 차이점에 의해 본원발명의 기술적 사상이 훼손되어서는 안 될 것이다.Meanwhile, FIG. 4 illustrates a process of exchanging terminal integrity information between the
상기한 바와 같이, 본 발명은 클라이언트가 접속제어 서버에서 인증 후, 네트워크에 접속되기 전에 클라이언트의 네트워크 상태와 보안상태를 판단하고, 그 결과에 따라 클라이언트의 네트워크 접속 여부를 결정함으로써 보안위험 요소를 구비하는 클라이언트에 의해 내부 네트워크의 무결성이 손상되지 않도록 할 수 있다.As described above, the present invention includes a security risk factor by determining the client's network state and security state after the client authenticates at the access control server and before accessing the network, and determining whether the client is connected to the network. This ensures that the integrity of the internal network is not compromised by the client.
Claims (22)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060083610A KR100737518B1 (en) | 2006-08-31 | 2006-08-31 | Network access control using end point integrity, and building method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060083610A KR100737518B1 (en) | 2006-08-31 | 2006-08-31 | Network access control using end point integrity, and building method |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100737518B1 true KR100737518B1 (en) | 2007-07-10 |
Family
ID=38503795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060083610A KR100737518B1 (en) | 2006-08-31 | 2006-08-31 | Network access control using end point integrity, and building method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100737518B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101078383B1 (en) | 2009-07-01 | 2011-10-31 | (주)넷맨 | Method and system for network access control of unauthorized system using SNMP |
KR101152782B1 (en) | 2007-08-16 | 2012-06-12 | 삼성전자주식회사 | Method and apparatus for communication relaying and method and apparatus for communication relaying control |
WO2013101000A1 (en) * | 2011-12-28 | 2013-07-04 | Intel Corporation | Sharing wireless connection profiles between multiple operating systems |
US9185104B2 (en) | 2007-08-16 | 2015-11-10 | Samsung Electronics Co., Ltd. | Method and apparatus for communication, and method and apparatus for controlling communication |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040001347A (en) * | 2002-06-27 | 2004-01-07 | 주식회사 케이티 | User information encrypted access method for public wireless LAN service |
KR20060046704A (en) * | 2004-04-26 | 2006-05-17 | 아바야 테크놀러지 엘엘씨 | Method and apparatus for network security based on device security status |
-
2006
- 2006-08-31 KR KR1020060083610A patent/KR100737518B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040001347A (en) * | 2002-06-27 | 2004-01-07 | 주식회사 케이티 | User information encrypted access method for public wireless LAN service |
KR20060046704A (en) * | 2004-04-26 | 2006-05-17 | 아바야 테크놀러지 엘엘씨 | Method and apparatus for network security based on device security status |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101152782B1 (en) | 2007-08-16 | 2012-06-12 | 삼성전자주식회사 | Method and apparatus for communication relaying and method and apparatus for communication relaying control |
US9185104B2 (en) | 2007-08-16 | 2015-11-10 | Samsung Electronics Co., Ltd. | Method and apparatus for communication, and method and apparatus for controlling communication |
KR101078383B1 (en) | 2009-07-01 | 2011-10-31 | (주)넷맨 | Method and system for network access control of unauthorized system using SNMP |
WO2013101000A1 (en) * | 2011-12-28 | 2013-07-04 | Intel Corporation | Sharing wireless connection profiles between multiple operating systems |
US9516680B2 (en) | 2011-12-28 | 2016-12-06 | Intel Corporation | Sharing wireless connection profiles between multiple operating systems |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6175520B2 (en) | Computer program, processing method, and network gateway | |
US11245687B2 (en) | Hardware-based device authentication | |
US7703126B2 (en) | Hierarchical trust based posture reporting and policy enforcement | |
US9210126B2 (en) | Method for secure single-packet authorization within cloud computing networks | |
ES2556245T3 (en) | System and procedure for secure network connectivity | |
US10764264B2 (en) | Technique for authenticating network users | |
US7526792B2 (en) | Integration of policy compliance enforcement and device authentication | |
US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
US20070294759A1 (en) | Wireless network control and protection system | |
US20060085850A1 (en) | System and methods for providing network quarantine using IPsec | |
US20070271360A1 (en) | Network vulnerability assessment of a host platform from an isolated partition in the host platform | |
US11595385B2 (en) | Secure controlled access to protected resources | |
US7594268B1 (en) | Preventing network discovery of a system services configuration | |
KR100737518B1 (en) | Network access control using end point integrity, and building method | |
Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
US20210306300A1 (en) | Portable, hardware-based authentication client to enforce user-to-site network access control restrictions | |
US9239915B2 (en) | Synchronizing between host and management co-processor for network access control | |
CN114422167A (en) | Network access control method, device, electronic equipment and storage medium | |
Izhar et al. | Network security issues in context of rsna and firewall | |
Gajjar et al. | Internet Downloaded (Fareit) Malwares in Memory | |
CN116846614A (en) | Trusted computing-based MQTT protocol message security processing method and system | |
WO2005094174A2 (en) | Managing traffic within an internal communication network | |
Nandi | 8 Cyber Security Trends | |
GB2468799A (en) | Security policy enforcement using posture information and a manageability engine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130628 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160630 Year of fee payment: 10 |