KR100819942B1 - Method for access control in wire and wireless network - Google Patents

Method for access control in wire and wireless network Download PDF

Info

Publication number
KR100819942B1
KR100819942B1 KR20060034531A KR20060034531A KR100819942B1 KR 100819942 B1 KR100819942 B1 KR 100819942B1 KR 20060034531 A KR20060034531 A KR 20060034531A KR 20060034531 A KR20060034531 A KR 20060034531A KR 100819942 B1 KR100819942 B1 KR 100819942B1
Authority
KR
South Korea
Prior art keywords
authentication
authentication server
terminal device
quarantine
network
Prior art date
Application number
KR20060034531A
Other languages
Korean (ko)
Other versions
KR20070102830A (en
Inventor
한유석
Original Assignee
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에어큐브 filed Critical 주식회사 에어큐브
Priority to KR20060034531A priority Critical patent/KR100819942B1/en
Publication of KR20070102830A publication Critical patent/KR20070102830A/en
Application granted granted Critical
Publication of KR100819942B1 publication Critical patent/KR100819942B1/en

Links

Images

Abstract

본 발명은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것이다. The present invention that do not support the 802.1x about existing connection device or the terminal device to implement the security features on a wired or wireless network 802.1.x possible quarantine and policy-based access control method without replacement. 이를 위해 본 발명은 단말장치의 상태정보, 인증정보를 웹 인증서버, 및 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며, 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계, 전송 규약이 802.1X를 준수하는 경우, 상태정보, 및 인증정보를 라디우스 인증서버로 제공하여 인증을 처리하는 단계, 및 전송 규약이 802.1X를 준수하지 않는 경우, 단말장치의 접속 경로를 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계를 포함하며, 웹 인증서버, 및 라디우스 인증서버 중 어느 하나는 단말장치의 상태정보를 참조하여 단말장치가 비정상적인 트래픽을 유발하는 경우, 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당하고, VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역 The present invention for this purpose is performed by the transmission control program for transmitting status information, authentication information of a terminal device of one of the Web authentication server, and the RADIUS authentication server, the method comprising: determining a transmission protocol of the wireless network of the terminal device, the transmission If the protocol is compliant with 802.1X, status information, and authentication information, the RADIUS authentication server, if available in the step of processing the authentication, and a transfer protocol does not comply with the 802.1X, Web authentication server connected to the path of the terminal device to re-die collection (Redirection) and comprises the step of processing the authentication, any one of the Web authentication server, and the RADIUS authentication server if the reference to the status information of the terminal device, the terminal device is caused an abnormal traffic, the terminal assigning the device to a quarantine area network consisting of a VLAN (Virtual Loacal area network), and the quarantine area network consisting of a VLAN (Virtual Loacal area network) 에는, 비정상적인 트래픽을 유발하는 단말장치를 검역하기 위한 검역 서버가 마련된다. There, the quarantine server is provided to quarantine the terminal equipment to cause the abnormal traffic.
802.1x, VLAN, 보안, 리다이렉션(Redirection), 라디우스 인증서버 802.1x, VLAN, security, and redirection (Redirection), RADIUS authentication server

Description

유무선 네트워크의 검역 및 정책기반 접속제어 방법{Method for access control in wire and wireless network} Quarantine and policy-based access control method of a wired or wireless network {Method for access control in wire and wireless network}

도 1은 802.1x 규격에 따른 무선 네트워크의 개념도, 1 is a conceptual diagram of a wireless network in accordance with the 802.1x standard,

도 2는 EAPoL 패킷의 일 예에 대한 구조도, Figure 2 is a structure of an embodiment of a packet EAPoL,

도 3은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하는 경우에 대한 접속제어 방법을 나타내는 도면, Figure 3 is a diagram showing a connection control method for the case where the network connection device according to the invention complies with the specifications 802.1.x,

도 4는 EAP-TLS 방식에 따른 상호 인증방법을 개념적으로 나타내는 도면, Figure 4 is a view showing a mutual authentication process according to the EAP-TLS method is conceptually,

도 5는 VLAN(Virtual Local Area Network)의 개념을 설명하기 위한 개념도, 5 is a conceptual diagram illustrating the concept of a VLAN (Virtual Local Area Network),

도 6은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하지 않는 경우에 대한 접속제어 방법을 나타내는 도면, 그리고 Figure 6 is a diagram showing a connection control method for when the network connection apparatus according to the present invention does not comply with the specifications 802.1.x, and

도 7은 802.1x 규격이 지원되지 않는 네트워크에서 웹 인증서버를 이용한 사용자 단말장치의 인증 과정을 개념적으로 나타낸다. Figure 7 shows an authentication process of a user terminal device using a Web authentication server on the network that are conceptually the 802.1x standard are supported.

**도면의 주요부에 대한 부호의 설명** ** Description of the main part of the figure **

10 : 단말장치 100: 접속장치 10: terminal apparatus 100: access

200 : 라디우스 인증서버 300 : 정책제어 서버 200: RADIUS authentication server 300: Policy Control Server

400 : 검역 서버 500 : 웹 인증서버 400: 500 Quarantine Server and Web Server Authentication

본 발명은 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것으로, 특히 802.1x 규격을 준수하지 않는 네트워크 접속장비가 포함되는 무선 네트워크 환경에서도 정책기반 접속제어가 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것이다. The present invention, in particular, in the 802.1x standard wireless network environment that includes the network-connected devices that do not comply with the available policy-based access control of the wired and wireless network quarantine and policy-based access control on the quarantine and policy-based access control method of a wired and wireless network It relates to a method.

일반적으로 무선랜은 컴퓨터와 컴퓨터간 또는 컴퓨터와 기타 통신 장치간에 데이터 송수신을 전파나 빛을 이용하여 무선으로 수행하는 랜을 의미한다. In general, the WLAN refers to the LAN to perform data transmission and reception over the air using radio waves or light between computers and between computers or computers and other communication devices. 무선 랜은 최근 인터넷 서비스와 무선 통신 기술의 급격한 발전에 따라 대형 사무실, 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에서 설치되고 있으며, 유지 보수의 간편함으로 인하여 그 이용이 증가하고 있다. Wireless LAN according to the recent rapid development of Internet services and wireless communication technology and wired networks are not easy to install in places such as large offices, logistics centers, and its use is increasing due to the ease of maintenance.

유선망을 이용한 유선랜은 유선망 자체가 가지는 보안성이 무선랜에 비해 더 나은 면이 있으나 유선망 내에 웜(worm)이나 바이러스(virus)가 침입하고 이들에 의해 유해 트래픽이 유발되는 경우 유선랜에 접속된 타 컴퓨터에도 악영향을 끼치게 된다. If a wired LAN using a wired network is however better if security is compared with the WLAN having a wired network itself a worm (worm) and viruses (virus) infiltrating into the wire network and the malicious traffic caused by these the other connected to the wired LAN computer kkichige is also adversely affected. 유선망이나 무선망 모두 내부 네트워크에 유해 코드가 침입하고, 유해코드에 의해 네트워크에 유해 트래픽을 유발 시, 유해 트래픽을 차단하는 일이 용이하지 않으며, 네트워크에 접속된 컴퓨터에서 유해코드를 제거할 때까지 유해 트래픽의 영향을 받게 된다. When both the wired or wireless network malicious code within the network intrusion and cause harmful traffic to the network by malicious code, it is not easy thing harmful traffic from a computer connected to the network until the remove harmful code It is affected by adverse traffic.

한편, 유선랜이 케이블(또는 전화선이나 전용선)을 통한 물리적인 접속을 통해 사용자를 한정하는데 비하여 무선랜은 억세스 포인트(AP : Access Point)와 같 은 접속장비를 통해 네트워크 접속되는 구조를 가지므로 허용되지 않은 사용자라 하더라도 억세스 포인트(AP)의 커버리지(coverage) 내에서는 네트워크 접속이 가능하다. On the other hand, the wired LAN cable through a physical connection through (or telephone line or dedicated line) compared to define the user wireless LAN access points (AP: Access Point) and is not allowed because of a structure in which a network connection via the access equipment, such even if not referred to in the user within the coverage (coverage) of the access point (AP) it may be the network connection. 이를 방지하기 위해 802.11 규격에서는 랜카드를 장착한 무선 단말기와 억세스 포인트간에 WEP 키라고 하는 공유 비밀키를 이용하여 단말장치의 인증 및 무선 구간 데이터를 암호화하는 무선랜 보안 방식을 적용하고 있다. In order to prevent this and apply the WLAN security by encrypting the authentication data, and the wireless section of the terminal apparatus using the shared secret key, called WEP 802.11 standard between the wireless terminal and the access point equipped with a network card key. WEP(Wired Equivalent Privacy)키를 이용한 보안 인증 방식은 사용자의 수가 한정되어 있고 억세스 포인트의 MAC 주소 리스트 관리나 WEP 키 설정 등이 용이한 공간 내에서는 적용이 가능하나, 불특정 다수의 사용자들이 공공 장소에 사용하는공중 무선랜인 경우에, 사용자들이 동일한 WEP을 사용하게 되면 인증 및 보안의 의미가 없어지며, MAC 주소 리스트 관리를 통한 인증인 경우에도 AP 마다 모든 사용자의 MAC 주소를 등록해야 하는 어려움이 있다. WEP (Wired Equivalent Privacy) security authentication scheme using the key in the number of users is limited and within easy space, such as the access point's MAC address list management and the WEP key settings apply to one available, unspecified multiple users are public places in the case of public wireless LAN use, users may have difficulty if you use the same WEP authentication, and becomes no security implications, even if the authentication through MAC address list management to register all users of the MAC address for each AP . 따라서, 무선 네트워크에서 억세스 포인트(AP)에 접속하는 사용자를 인증하기 위하여 모든 사용자의 인증 정보가 저장된 중앙 인증 서버를 통한 인증 방식을 사용함이 바람직하다. Therefore, it is preferred to use the authentication method via a central authentication server, all user's authentication information is stored in order to authenticate a user in a wireless network connected to the access point (AP). IEEE 802 랜의 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x는 EAP(Extensible Authentication Protocol) 인증 프로토콜을 이용하여 모든 사용자 인증 정보가 저장된 라디우스(RADIUS) 인증 서버에서 중앙 집중형 사용자 인증을 가능하게 해주며, 보안이 강화된 무선 네트워크를 구축하고자 하는 기업에서도 사용될 수 있다. In the standard IEEE 802.1x EAP (Extensible Authentication Protocol) RADIUS referred by any user authentication information using an authentication protocol are stored (RADIUS) authentication server for authentication and security of the IEEE 802 LAN port by enabling centralized user authentication assists, can be used in companies seeking to establish a secure wireless network.

802.1x 규격에 따른 무선 네트워크는 도 1을 참조하여 설명하도록 한다. The wireless network according to the 802.1x standard will be described with reference to FIG.

도 1은 802.1x 규격에 따른 무선 네트워크의 개념도를 나타낸다. 1 shows a conceptual diagram of a wireless network in accordance with the 802.1x standard.

도시된 바와 같이, 무선 네트워크는 단말장치(10), 접속장치(100), 라디우스 인증서버(200), 및 정책제어 서버(300)로 구성된다. As shown, the wireless network consists of a terminal device 10, the access point 100, RADIUS authentication server 200, and the policy control server 300. 먼저, 단말장치(10)는 접속장치(100)로 EAPoL(EAP over LAN) 패킷을 전송하여 접속장치(예컨대 무선 억세스 포인트)의 물리적인 포트의 사용권을 요청한다. First, the terminal device 10 sends an EAPoL (EAP over LAN) packets to the access point 100 to request the right to use the physical port of the access point (e. G. The wireless access point). 접속장치(100)는 단말장치(10)로부터 전송되는 EAPoL 패킷을 수신하면 이를 라디우스 인증서버(200)로 중계하고 라디우스 인증서버(200)는 단말장치(10)를 인증하여 그 결과를 접속장치(100)로 통보하게 된다. Access point 100 receives the EAPoL packet transmitted from the terminal device 10 it RADIUS authentication server 200, the relay and RADIUS authentication server 200 to the connection the result to authenticate the terminal device 10 is notified to the device 100. the 접속장치(100)는 라디우스 인증서버(200)의 통보결과에 따라 접속제어를 수행하여 단말장치(10)를 내부 네트워크에 접속시키거나 네트워크 접속을 차단하게 된다. Connected device 100 is connected to the terminal device 10 to perform the access control in accordance with the notified result of the RADIUS authentication server 200 to the internal network or the network connection off. 여기서, 단말장치(10)가 접속장치(100)로 전송하는 EAPoL 패킷의 구조는 도 2에 도시된 바와 같다. Here, the same structure is shown in Fig. 2 of the EAPoL packet to the terminal device 10 is transmitted to the access point 100. 도 2에 도시된 EAPoL 패킷은 단말장치(10)의 맥 어드레스(MAC)가 포함되며, 패킷 타입을 아래와 같이 정의하여 인증 요청, 전송 시작, 로그 오프등을 나타낸다. FIG EAPoL the packet shown in Figure 2 represents the will contain the MAC address (MAC) of the terminal device 10, defined by: a packet type to the authentication request, the transmission start, Log Off or the like.

1) 0X00 : EAP 패킷 1) 0X00: EAP packet

2) 0X01 : EAPoL_start 2) 0X01: EAPoL_start

3) 0X02 : EAPoL_log off 3) 0X02: EAPoL_log off

4) 0X03 : EAPoL key 4) 0X03: EAPoL key

5) 0X04 : ASF Aalert 5) 0X04: ASF Aalert

한편, 상기한 802.1x 규격에 따른 네트워크를 구성하기 위해서는 단말장치(10), 및 억세스 포인트와 같은 접속장치(100) 모두가 802.1x 규격을 만족하여야 하며, 802.1x의 보안 기능을 지원해야 한다. On the other hand, and in order to configure the network according to the above standard 802.1x access point 100, such as a terminal device 10, and the access point both to comply with the 802.1x standard, required to support the security function of the 802.1x. 그러나, 현실적으로 기업 또는 가정에 이미 구축된 네트워크 접속장치(100)(예컨대 억세스 포인트, NAS(Network Access Server))와 단말장치는 802.1.x 규격에 부합하지 않는 경우가 대다수이며, 이들 접속장치에 802.1x 규격에 따른 단말장치나 접속장치를 부가하여 연동시키기도 어렵다. However, the reality is the vast majority, if the network connection device (100) is already built into the corporate or home (for example, access points, NAS (Network Access Server)) and terminal equipment that does not meet the standards 802.1.x, 802.1 to these connected devices adding an end device or connection apparatus according to the standard, it is difficult x sikigido interlock.

따라서, 본 발명의 목적은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다. It is therefore an object of the present invention that do not support the 802.1x has an existing connection device or terminal equipment inspection and policy-based access control for implementing security in 802.1.x available wired or wireless network without having to replace the method to provide. 또한, 본 발명의 다른 목적은 웹 리다이렉션 기능을 통해 802.1x 규격에 부합하지 않는 기존의 단말장치에 대해서도 보안 기능을 구현하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다. It is another object of the present invention is to provide a wired or wireless network quarantine and policy-based access control method of embedding security functionality for the existing terminal apparatus does not meet the standard 802.1x over the web redirection. 또한, 본 발명의 또다른 목적은 VLAN(Virtual Loacal Area Network)이 지원되지 않는 무선 네트워크 환경에서의 정책기반 접속제어가 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다. Further, another object of the present invention is to provide a VLAN (Virtual Loacal Area Network) is a wireless network environment that policy-based access control policies for the inspection and possible wired or wireless network based on the access control method is not supported.

상기한 목적은 본 발명에 따라, 단말장치, 접속장치, 웹 인증서버, 및 라디우스 인증서버를 구비하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 있어서, 상기 단말장치의 상태정보, 인증정보를 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며, 상기 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계, 상기 전송 규약이 802.1x를 준수하는 경우, 상기 상태정보, 및 인증정보를 상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계, 및 상기 전송 규약이 802.1x를 준수하지 않는 경우, 상기 단말장치의 접속 경로를 상기 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계;를 포함하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는 상기 단말장치의 The above object is a terminal device, connection, web authentication server, and La in the RADIUS authentication server quarantine and policies of the wired and wireless network including a base connected to the control method, the status information, authentication information of the terminal apparatus according to the invention when the Web authentication server, and the step, the transfer protocol in which the La is performed by a transmission control program for transmitting any one of a RADIUS authentication server, determining a transmission protocol of the wireless network of the terminal device is in compliance with the 802.1x, the status information, and authentication information to the RADIUS authentication server provided in the step of processing the authentication, and if the transport protocol does not comply with the 802.1x, re-route the connection to the Web server, the authentication of the terminal device -di collection (Redirection) by processing the authentication; includes any one of the Web authentication server, and the RADIUS authentication server of the terminal device 상태정보를 참조하여 상기 단말장치가 비 정상적인 트래픽을 유발하는 경우, 상기 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당하고, 상기 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에는, 상기 비정상적인 트래픽을 유발하는 상기 단말장치를 검역하기 위한 검역 서버가 마련되는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 의해 달성된다. When referring to the status information causing the terminal device abnormal traffic, assigned to the inspection area of ​​the network configured to the terminal by VLAN (Virtual Loacal Area Network), and the quarantine area of ​​the network consisting of the VLAN (Virtual Loacal Area Network) There is achieved by inspection and policy-based access control method of a wired or wireless network that the server is arranged to quarantine inspection for the terminal to cause the abnormal traffic.

상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, 상기 단말장치의 접속 URL을 상기 웹 인증서버의 URL로 설정하는 단계, 및 상기 단말장치가 상기 웹 인증서버 이외의 서버와 송수신하는 트래픽을 차단하는 단계를 포함하는 것이 바람직하다. The re-die collection (Redirection) by processing the authentication, the method comprising: establishing a connection URL of the terminal device to the URL of the Web authentication server, and traffic to the server and the transmission and reception of other than the terminal device that the web authentication server it is preferable that a step that block.

상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, 상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계, 및 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계를 포함하는 것이 바람직하다. The re-processing the authentication by the die collection (Redirection), the method comprising the control and the IP block assigned to the wireless network (IP block) the IP information of the terminal device, and that the IP IP information of the terminal device If not included in the block, it is preferred to include the step of connecting the terminal equipment to the foreign network.

상기 웹 인증서버는, 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치의 인증 요청을 거절할 수 있다. The Web authentication server, when the IP information of the terminal equipment that is not included in the IP block, it is possible to reject the authentication request of the terminal.

상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계는, 상기 라디우스 인증서버가 상기 단말장치로부터 인증정보를 제공받는 단계, 및 상기 라디우스 인증서버에 마련되는 인증정보와 상기 단말장치로부터 제공되는 인증정보를 대조하여 인증 여부를 판단하는 단계를 포함하는 것이 바람직하다. The La processing authentication by providing a RADIUS authentication server, and the RADIUS authentication server, the step receiving the authentication information from the terminal device, and the LA provided by the authentication information and the terminal provided in the RADIUS Authentication Server It collates the authentication information preferably includes the step of determining whether the authentication.

상기 인증 여부를 판단하는 단계는, 상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계, 및 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계를 포함하는 것이 바람직하다. If IP information of the steps of the control method comprising: determining the authentication is checked, and wherein the IP block is assigned the IP information of the terminal device to the wireless network (IP block), and the terminal apparatus is not included in the IP block, it comprises the step of connecting the terminal equipment to the foreign network is preferred.

상기 라디우스 인증서버는, 상기 단말장치의 아이피 정보가 상기 무선네트워크에 할당된 아이피 블록(IP block)에 포함되지 않는 경우, 상기 단말장치로부터의 인증 요청을 거절할 수 있다. The RADIUS authentication server, if it is not included in the IP block (IP block) assigned to the IP information of the terminal device to the wireless network, it is possible to reject the authentication request from the terminal apparatus.

상기 상태정보는, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 제공되는 EAP 메시지에 포함되며, 상기 EAP 메시지, 및 상기 EAP 메시지에 마련되는 유저 아이디 항목에 Prefix 첨부되어 형성되는 것이 바람직하다. The status information, it is preferable that the Web authentication server and the La are included in the EAP message provided by any one of RADIUS authentication server, formed Prefix attached to a user ID entry is provided in the EAP message, and the EAP message.

상기 단말장치는, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나를 통해 인증되며, PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, EAP-SIM 및 EAP-AKA 중 어느 하나에 따른 상호 인증방식에 의해 인증될 수 있다. The terminal apparatus, the Web authentication server, and the La and authentication through any one of RADIUS authentication server, PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, any one of EAP-SIM and EAP-AKA to be authenticated by the mutual authentication method in accordance.

상기 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에는, 상기 비정상적인 트래픽을 유발하는 상기 단말장치를 검역하기 위한 검역 서버가 마련될 수 있다. There quarantine area network consisting of the VLAN (Virtual Loacal Area Network), a quarantine server to quarantine the terminal equipment to cause the abnormal traffic may be provided.

상기 검역서버는, 상기 단말장치에 대한 검역이 처리된 후, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 이를 통보하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는, 상기 검역이 처리된 상기 단말장치에 대해 할당된 검역 네트워크 영역을 해제한다. Any one of the quarantine server, after the inspection for the terminal are processed, the web authentication server, and the RADIUS authentication server of any one, and notify the Web authentication server, and the RADIUS authentication server, the releases the quarantine area of ​​the network is allocated for the terminal apparatus to process the quarantined.

상기 웹 인증서버, 및 상기 라디우스 인증서버는, 상기 인증정보에 포함되는 상기 단말장치의 아이디, 및 패스워드가 유효하지 않은 경우, 이를 상기 사용자 단말기로 통보하며, 상기 접속제어 프로그램은, 상기 단말장치에 마련되는 디스플레이장치를 통해 이를 경고할 수 있다. If the ID and password of the terminal device included in the Web authentication server, and the RADIUS authentication server, the authentication information is invalid, and notifies to the user terminal, wherein the access control program, the terminal device via a display device provided in the can warn them.

상기 인증정보는, 상기 단말장치 사용자의 아이디, 아이피, 패스워드, MAC 어드레스, 스마트 카드 키, SIM(SIM), 및 인증서 중 어느 하나일 수 있다. The credentials may be a user of the terminal device ID, IP, password, MAC address, the smart card key, SIM (SIM), and any of the certificates.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. With reference to the drawings in detail to illustrate the invention.

도 3은 본 발명에 따른 네트워크 접속장치가 802.1x 규격을 준수하는 경우에 대한 접속제어 방법을 나타낸다. Figure 3 shows a connection control method for the case where the network connection device according to the invention complies with the 802.1x standard.

먼저, 단말장치(10)가 네트워크 접속 요청을 위한 EAPoL 패킷을 접속장치(100)로 전송한다. First, the transmission terminal device 10 the EAPoL packet for the network connection request to the access point 100. 이때, 단말장치(10)에는 접속제어를 위한 접속제어 프로그램이 설치되며, 설치되는 프로그램은 단말장치(10)의 아이디, 패스워드와 같은 인증정보, 및 단말장치(10)에 대한 상태정보를 라디우스 인증서버(200)로 전송하는 기능을 구비한다. At this time, the terminal device 10 is provided with the access control program for the access control, which is installed the program referred to the status information for the authentication information, and the terminal device 10, such as ID, password, the terminal device 10 RADIUS It has the function of transmitting to the authentication server (200). 단말장치(10)가 802.1x 규격에 따른 접속제어를 수행하는 네트워크에서 접속장치(100)로 EPAoL 패킷을 보내어 접속허가를 요청하면, 단말장치(10)와 라디우스 인증서버(200)는 EAP-MD5, EAP-TLS, EAP-TTLS, 및 PEAP와 같은 상호 인증방법에 따른 핸드쉐이킹(handshaking) 과정을 수행(이하, 핸드쉐이킹에 의한 인증방식을 EAPoH( EAP o ver H TTP)라 한다.)하게 된다. Terminal device 10 is sent when a packet EPAoL to access point 100 in the network to perform the access control in accordance with the 802.1x standard request a connection approval, the terminal device 10 and the RADIUS authentication server 200 EAP- MD5, (hereinafter referred to, EAPoH (EAP o ver H TTP an authentication method according to handshaking).) EAP-TLS, EAP -TTLS, and performs a handshaking (handshaking) process in accordance with the mutual authentication means, such as PEAP to do. 상호 인증방법은 단말장치(10)와 라디우스 인증서버(200) 양자가 서로를 확인할 인증정보를 교환함으로써 허용된 사용자의 단말장치(10)만이 네트워크에 출입할 수 있도록 한다. Mutual authentication method to only the terminal device 10 and the RADIUS authentication server 200, both the user of the terminal device 10 is allowed by exchanging authentication information with each other to check the access to the network. 마찬가지로, 단말장치(10)는 자신이 접속해야 할 라디우스 인증서버(200)를 확인함으로써 소속된 네트워크에 접속할 수 있게된다. Similarly, the terminal device 10 is able to connect to the network belongs by verifying the RADIUS authentication server 200 to it is connected. 이와 같은 상호 인증방법은 도 4를 함께 참조하여 설명하도록 한다. Such mutual authentication method will be described with reference to Figure 4 together.

도 4는 EAP-TLS 방식에 따른 상호 인증방법을 개념적으로 나타낸다. 4 shows a mutual authentication method according to the EAP-TLS method is conceptually.

도시된 상호 인증방식은 사용자의 단말장치(10)와 라디우스 인증서버(200)가 각각 자신을 증명하기 위한 인증정보를 구비하며, 이를 상호 교차 제공함으로써 상대편을 확인한다. A mutual authentication method shown is provided with a certification information to verify the user's own terminal apparatus 10 and the RADIUS authentication server 200, respectively, confirms that the other side by providing them intersect. 도면에서, 사용자의 단말장치(10)가 접속장치(100)를 통해 라디우스 인증서버(200)로 단말장치(10)의 인증정보를 전송하고, 라디우스 인증서버(200)를 이를 통해 단말장치(10)를 인증하며, 인증된 단말장치(10)로 자신의 인증정보를 전송하도록 구성된다. In the drawing, the user of the terminal device 10 is connected to device 100, RADIUS authentication server 200 to the terminal device 10 the authentication information transferred, and the RADIUS authentication server 200 to this terminal equipment through the through authenticate (10) and is configured to transmit its authentication information to the authentication terminal device 10. 이와 같은 상호 인증방법은 억세스 포인트(AP)와 같은 접속장치의 커버리지 (coverage)내에 위치하는 타 접속장치의 부당한 접속을 차단할 수 있으며, 사용자의 단말장치(10)가 타 네트워크에 접속되는 문제를 방지하게 된다. Such mutual authentication method can prevent the improper connection to another access point which is located in the coverage (coverage) of the connection device, such as access point (AP), avoid this problem terminal device 10 of the user and which is connected to the other network, It is. 반대로, 802.1x 규격에 따른 접속제어가 지원되지 않는 네트워크 환경에서는 접속장치(100)에서 단말장치(10)에 대해 IP 설정을 수행 후, 최초 HTTP Request message를 단말장치(10)로 발송 시, 해당 HTTP Get messgae를 통해 웹 리-다이렉션(web redirection)을 요청함으로써 단말장치(10)가 웹 인증서버(미도시)로 강제 접속되도록 한다. In contrast, in a network environment that is connected to the control according to the 802.1x standard is not supported then perform the IP setting for the terminal device 10 from the access point 100, when sending the first HTTP Request message to the terminal device 10, the through HTTP Get messgae web re-connected in force such that the die collection (web redirection), the terminal device 10 a web authentication server (not shown) by request. 이 경우, 웹 인증서버(미도시)는 라디우스 인증서버(200)의 클라이언트로 기능하게 되므로 라디우스 인증서버(200)와 단말장치(10)간에 마련되는 접속장치의 역할을 수행하게 된다. In this case, it functions as a connection device is provided between the Web authentication server (not shown), so functioning as a client of RADIUS authentication server 200, RADIUS authentication server 200 and the terminal device 10. 이는 추후 상세히 설명하기로 한다. This will be described in detail later.

도 3에서, 접속장치(100)는 단말장치(10)로부터 제공된 인증정보를 라디우스 인증서버(200)로 제공한다. In Figure 3, the access point 100 provides the authentication information provided from the terminal apparatus 10 to the RADIUS authentication server 200. 본 발명에 따른 실시예에서는 접속장치(100)로써 억세스 포인트(AP : Access Point)가 도시, 및 설명되고 있으나 이 외에 유선 공유기, 및 유무선 공유기(유선 및 무선 공유기 겸용) 중 하나가 적용될 수 있다. Embodiment, the access point as the access point 100 according to the present invention: is shown the (AP Access Point), and described, but this addition is either wired router, and the router (wired and wireless router combination) can be applied. 이는 본 발명 전반에 걸쳐 공히 적용되며, 본 발명은 접속장치(100)로써 유선 공유기, 유무선 공유기, 홈 게이트웨이(Home gateway), 네트워크 스위치(network switch), 웹 서버(web server), 및 억세스 포인트(AP)가 사용될 수 있다. Which are both applied across the present invention, the present invention is wired router, wireless router, a home gateway (Home gateway), a network switch (network switch), a web server (web server), and the access point by access point 100 ( the AP) may be used. 라디우스 인증서버(200)는 접속장치(100)를 통해 제공되는 단말장치(10)의 인증정보와 데이터베이스의 형태로 구축된 인증정보를 대조하여 단말장치(10)에 대한 접속 허가 여부를 판단한다. RADIUS authentication server 200 collates the authentication information built in the form of authentication information with the database of the terminal device 10 is provided through the access point 100 determines the connection permission if for a terminal device 10 . 만일 네트워크 접속을 원하는 단말장치(10)의 인증정보가 유효하지 않다고 판단되면 접속장치(100)로 이를 통보하게 되며, 접속장치(100)는 단말장치(10)의 네트워크 접속을 차단하게 된다. If the authentication information of the terminal device 10 to the desired network connection is not valid, and determines to notify it to the access point 100, the access point 100 is cut off the network connection of the terminal device 10. 또한, 라디우스 인증서버(200)는 단말장치(10)로부터 제공되는 단말장치(10)의 상태정보를 참조하여 단말장치(10)에 부여할 네트워크를 판단한다. In addition, the RADIUS authentication server 200 refers to the status information of the terminal device 10 is provided from the terminal device 10 judges the network to grant to the terminal device 10. 상태정보는 단말장치(10)의 네트워크 트래픽 정보를 포함하며, 단말장치(10)의 네트워크 트래픽이 비 정상적인 경우 라디우스 인증서버(200)는 단말장치(10)의 접속 네트워크를 VLAN(Virtual Local Area Nerwork)이 설정된 검역 네트워크에 할당하게 된다. Status information includes the network traffic information of the terminal device 10, when a normal network traffic of the terminal device 10 is a non-RADIUS authentication server 200 Virtual Local (VLAN access network of the terminal device 10 Area Nerwork) is assigned to the set quarantine network.

여기서, 상태정보는 EAP 메시지에 마련되는 유저 아이디(user ID) 항목에 Prefix를 첨부하여 형성하거나 EAP 메시지에 상태정보가 첨부되어 형성될 수 있다. Here, the state information may be formed is formed by attaching a Prefix to the user ID (user ID) entry provided in the EAP message or accompanying the status information to the EAP message. 802.1x 규격을 지원하는 네트워크 에서는 단말장치(10)에서 라디우스 인증서 버(200)로 EAP 메시지, 및 상태정보(posture)를 전송할 수 있으나, 단말장치(10)가 802.1x 규격을 지원하지 않는 접속장치(100)와 연결되는 경우 단말장치(10)에서 라디우스 인증서버(200)로 상태정보를 전송하지 못할 수 있다. The access networks supporting 802.1x standard, but can transmit the terminal device 10 RADIUS server certificates (200) EAP messages, and status information (posture) as in the terminal apparatus 10 does not support the 802.1x standard when connected to the apparatus 100 may not transmit the status information to the RADIUS authentication server 200 in the terminal device 10. 이를 고려하여 본 발명에서는 EAP 메시지에 포함되는 사용자 아이디 항목에, 사용자 아이디 대신 검역 요청을 위한 Prefix를 첨부 함으로써 검역 네트워크로의 접속을 요청할 수 있도록 한다. In considering this invention the user identity entry included in the EAP message, by appending a Prefix for the inspection request on behalf of the user ID is to request a connection to the quarantine network. 예컨대, 사용자 아이디가 홍길동 인 경우, EAP 메시지의 유저 아이디 항목에는 사용자 아이디(예컨대 홍길동@auth.com) 대신 " Quarantine /홍길동@auth.com" 과 같은 형태를 가지는 Prefix( Quarantine )가 첨부되도록 할 수 있다. For example, the user ID is the case of Hong Gil Dong, a user ID entry in the EAP message to that instead of a Prefix (Quarantine) having a form such as "Quarantine / @ auth.com John Smith" user ID attached (e.g. John Smith @ auth.com) have. 라디우스 인증서버(200)는 유저 아이디 항목에 "Quarantine/ID@auth.com" 와 같은 형태를 가지는 Prefix가 첨부되는 경우 Prefix가 첨부된 단말장치(10)를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크에 접속되도록 한다. La consisting of a RADIUS authentication server 200 is "Quarantine/ID@auth.com" with VLAN (Virtual Loacal Area Network) to a terminal device (10) is attached when the Prefix Prefix is ​​attached has the form of a user ID entry It is to be connected to a quarantine network. 이때, 유저 아이디 항목에 기재되는 Prefix의 일 예로서 "Quarantine/ID@auth.com"를 예시하였으나, 이 외에 사용자 단말장치(10)에 설치되는 접속제어 프로그램과 라디우스 인증서버(200)간에 다양한 형태를 약정하여 사용할 수 있음은 물론이다. At this time, the connection between the various control programs and the RADIUS authentication server 200, but illustrates an "Quarantine/ID@auth.com" As an example of the Prefix, the addition being installed on the user terminal device 10 to be described in the user ID entry It can be used to shape the arrangements as a matter of course.

VLAN(Virtual Loacal Area Network)은 단말장치(10)의 물리적 위치와는 상관없이 단말장치(10)에 논리적인 네트워크를 부여할 수 있도록 한다. VLAN (Virtual Loacal Area Network) is to give the logical network to the terminal device 10 regardless of the physical location of the terminal device 10. 이는 도 5를 함께 참조하여 설명하도록 한다. This will be described with reference to Figure 5 together.

도 5는 VLAN(Virtual Loacal Area Network)의 개념을 설명하기 위한 개념도를 나타낸다. 5 shows a conceptual diagram illustrating the concept of a VLAN (Virtual Loacal Area Network).

도시된 바와 같이, A 네트워크와 B 네트워크는 물리적으로 구획되어 있으며, A 네트워크에 속한 단말장치(11 ∼ 13)는 B 네트워크에 접속할 수 없다. As illustrated, network A and network B may be physically partitioned into a terminal device (11-13) belonging to the network A can not access the network B. 이때, B 네트워크에 속한 단말장치(16)가 A 네트워크에 접속해야 하는 경우, 단말장치(16)는 A 네트워크에 등록되어 있지 않으므로 A 네트워크에서 사용될 수 없다. At this time, if the terminal apparatus 16 belongs to the network B must be connected to the network A, the terminal device 16 has not been registered in network A can not be used in the A network. 또한, 단말장치(16)가 B 네트워크의 리소스(또는 데이터)를 참조하고자 할 때, A 네트워크에서 단말장치(16)를 등록해준다 하더라도 A 네트워크와 B 네트워크는 물리적으로 구획되어 있으므로 단말장치(16)는 B 네트워크에 접속하여 원하는 리소스를 획득할 수 없게 된다. Also, when you want to terminal device 16 refers to the resource (or data) of the B network, makes registration of the terminal device 16 in the A network, even if it A network as B networks are physically divided by the terminal apparatus 16 B is connected to the network is unable to obtain the desired resource. VLAN은 접속장치(100)로 하여금 A 네트워크에 임시로 접속된 단말장치(16)의 네트워크 입출력 포트를 B 네트워크의 입출력 포트에 속하도록 설정함으로써 물리적으로 구획된 네트워크에 위치하는 다수의 단말장치를 필요에 따라 논리적으로 구획할 수 있게된다. VLAN require a large number of terminal equipment which is located in the physical blocks to the network, by setting so that in a network input and output ports of causing access device 100, the terminal device 16 connected temporarily to A network input and output port of the B network it is possible to logical partitions based on. 즉, 원래 B 네트워크에 속해있던 단말장치(16)가 임시로 A 네트워크에 위치하더라도 단말장치(16)는 A 네트워크의 접속장치를 통해 B 네트워크의 네트워크 포트를 할당받아 B 네트워크의 일원으로서 기능하게 된다. That is, even if the terminal device 16 that belongs to the original B network location to temporarily A network terminal device 16 is caused to function as a member of the B network allocated to the network port of the B network via the access point of A network .

다음으로, 라디우스 인증서버(200)는 단말장치(10)로부터 제공되는 상태정보를 통해 단말장치(10)가 비정상적인 네트워크 트래픽을 유발한다고 판단되면 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역으로 접속을 유도한다. Next, a RADIUS authentication server 200 to the quarantine network area consisting of when the terminal device 10 is determined to cause the abnormal network traffic, VLAN (Virtual Loacal Area Network), the status information provided from the terminal apparatus 10 It induces a connection. 이는 라디우스 인증서버(200)가 접속장치(100)를 통해 단말장치(10)에 검역 네트워크의 포트를 할당함으로써 이루어진다. This is accomplished by assigning a port of the quarantine network, the RADIUS Authentication Server 200, the terminal device 10 via the access point 100. 검역서버(400)는 단말장치(10)에 대한 바이러스, 유해 코드 검사와 같은 검역을 수행하며, 검역 결과를 라디우스 인증서버(200)로 통보하여 단말장치(10)에 대한 포트 재 설정을 요청할 수 있다. Quarantine server 400 performs the inspection, such as viruses, malicious code check on the terminal device 10, and notifies the inspection results to the RADIUS authentication server 200 to request the port reset for the terminal device 10 can. 한 편, 상기한 바와 같이, 라디우스 인증서버(200)에서 VLAN 할당, 검역 네트워크 생성 및 할당, 및 단말장치(10)의 네트워크 접속 권한에 대한 네트워크 정책은 정책서버(300)에 의해 설정되며, 라디우스 인증서버(200)는 이와 같은 네트워크 정책을 적용하기 전(예컨대, 단말장치(10)를 VLAN 으로 형성되는 검역 네트워크로 할당하기 전) 정책서버(300)에 설정된 네트워크 정책을 조회하여 이를 처리하게 된다. On the other hand, the network policy, the RADIUS Authentication Server (200), VLAN assignments, quarantine network creation and assignment, and a network access authorization of the terminal device 10 in as described above is set by the policy server 300, RADIUS authentication server 200 in applying such a network policy before processing them by looking up a network policy that is set (for example, prior to assignment to the quarantine network which forms the terminal apparatus 10 in a VLAN) Policy server 300 It is.

도 6은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하지 않는 경우에 대한 접속제어 방법을 나타낸다. 6 shows a connection control method for when the network connection apparatus according to the present invention does not comply with the specifications 802.1.x.

먼저, 단말장치(10)에 설치되는 접속제어 프로그램은 웹 인증 기능을 구비하여야 한다. First, the access control program to be installed in the terminal device 10 is to be provided with a web authentication. 접속제어 프로그램은 단말장치(10)가 802.1X 규격에 따라 인증 및 접속을 수행하지 못하는 경우, 단말장치(10)를 웹 인증서버(500)의 URL(Uniform Resource Locator)로 자동 접속하는 기능, 및 웹 인증서버(500)의 URL 이외의 타 URL에 의한 트래픽을 차단하는 기능을 구비한다. Access control program that automatically connected to the terminal device 10 is not performed when the authentication and 802.1X connection according to the standard, (Uniform Resource Locator) URL of a terminal device 10 the web authentication server 500, and It includes a feature that blocks traffic based on a URL other than the URL of the Web authentication server (500). 이는 상기 설명된 접속제어 프로그램의 기능에 부가되는 기능이며, 접속제어 프로그램은 접속장치(100)의 아이디, 패스워드, 아이피, MAC 어드레스, 스마트 카드 키, SIM(Subscriber Indetification Module), 및 인증서 중 어느 하나와 상태정보를 웹 인증서버(500)로 전송하게 된다. This is a function added to the function of the above-described connection control program, the connection control program ID of the access point 100, a password, IP, MAC address, which of the smart card key, SIM (Subscriber Indetification Module), and the single certificate and the status information is sent to the Web authentication server 500. 스마트 카드 키나 SIM은 단말장치(10)가 휴대폰, 또는 PDA일 경우 사용될 수 있다. SIM smart card key can be used when the terminal device 10 work phone, or PDA.

웹 인증서버(500)는 단말장치(10)의 아이피를 통해 단말장치(10)가 유효한 내부 네트워크에 할당된 아이피인지의 여부를 판단한다. Web authentication server 500 determines whether or not the IP is assigned to a valid internal network terminal device 10 through the IP of the terminal device 10. 만일 상태정보에 포함된 아이피 정보가 내부 네트워크에 할당된 아이피 블록(IP Block)에 포함되지 않는 경 우, 외부 단말장치가 내부 네트워크에 접속하고자 하는 것이므로 해당 단말장치에 대한 트래픽 차단을 해제하고 외부 네트워크(예컨대 인터넷)에 접속되도록 허용한다. Ten thousand and one status information, the IP block (IP Block) that suggests that the case, the external terminal apparatus is not included in to connect to the internal network releasing a traffic blocked on the terminal device and the external network comprises an IP information is allocated to the internal network on It allows to be connected to (e.g. the Internet). 이 외에, 접속제어 프로그램은 다음과 같은 기능을 구비한다. In addition, access control program comprising the following functions:

1) 접속제어 프로그램은 단말장치(10)가 웹 인증서버(500)에서 인증되기 전, 외부 서버가 단말장치(10)를 호출하는 경우, 웹 리다이렉션 기능을 통해 단말장치(10)가 웹 인증서버(500)의 URL로 접속되도록 한다. 1) connected to the control program the terminal device 10 a web authentication before the authentication server 500, if an external server calls the terminal device 10, the terminal device 10 through the web redirection web authentication server It should be connected to the URL (500).

2) 접속제어 프로그램은 웹 인증서버(500)에서의 인증 결과에 따라 트래픽 차단정책을 달리 설정한다. 2) access control program sets different traffic blocking policy based on the authentication result of the authentication in the Web server 500.

- 단말장치(10)의 사용자가 등록된 사용자가 아닌 경우, 인증을 거부하고 단말장치(10)를 네트워크에서 고립시킨다. - then if it is not the user is a registered user of the terminal device 10, refuse to authenticate and isolate the terminal device 10 in the network.

- 단말장치(10)에서 웹 인증서버(500)로 제공된 인증정보가 웹 인증서버(500)에 등록되지 않은 경우, 웹 인증서버(500)로부터 이를 통보받고 단말장치(10)에 마련되는 디스플레이장치(예컨대 LCD, CRT)에 부적절한 인증정보 사용을 경고한다. - a display device which is notified of it from the terminal device 10 a web authentication server if the authentication information provided in 500 is not registered in the Web authentication server 500, the Web authentication server 500 in provided in the terminal device 10 It warns the improper authentication information used for (e.g. LCD, CRT).

- 웹 인증서버(500)가 단말장치(10)에서 웹 인증서버(500)로 제공된 상태정보에 따라 단말장치(10)를 검역 네트워크에 할당하는 경우, 검역 네트워크 이외의 네트워크 접속을 차단하며, 단말장치(10)가 검역 네트워크 이외의 네트워크와 송수신하는 모든 패킷을 차단한다. - when assigning a terminal device 10 according to the status information, the Web authentication server 500 is provided in the terminal device 10 as a web authentication server 500 to the quarantine network, and to block the network connection other than the quarantine network, the terminal device 10 has to block all of the packets to the network and transmission and reception of other than quarantine network.

여기서, 1)에 기재된 바에 따라 단말장치(10)가 웹 인증서버(500)로 웹 리다이렉션 되는 경우, 웹 인증서버(500)는 라디우스 인증서버(200)의 클라이언트로써 동작되며 접속장치(100)는 단순한 스위치의 기능만을 가지게 된다. Here, 1) if the terminal device 10 as described in the the web redirect to a Web authentication server 500, the Web authentication server 500 is operating as a client of RADIUS authentication server 200, access point 100 It will have only a function of a simple switch. 이는 도 7을 함께 참조하여 설명하도록 한다. This will be described with reference with FIG.

도 7은 802.1x 규격이 지원되지 않는 네트워크에서 웹 인증서버(500)를 이용한 사용자 단말장치(10)의 인증 과정을 개념적으로 나타낸다. Figure 7 shows an authentication process of the user terminal device 10 using the Web authentication server 500 conceptually in a network that does not support the 802.1x standard.

도시된 바와 같이, 단말장치(10)는 접속장치(100)를 통해 웹 인증서버(500)로 HTTP Request message를 전송한다. As shown, the terminal device 10 transmits an HTTP Request message to the Web authentication server 500 via the access point 100. 단말장치(10)로부터 제공되는 아이덴티티(identity) 메시지(아이디, 및 패스워드 정보 포함)는 EAPoH 방식에 따라 웹 인증서버(500)로 제공되며, 웹 인증서버(500)는 이를 라디우스 인증서버(200)로 제공하여 단말장치(10)가 인증받도록 한다. Identity provided from the terminal apparatus (10) (identity) message (including the ID, and password information), is provided as a web authentication server 500 according to EAPoH manner, web authentication server 500 this RADIUS authentication server (200 ) it will be provided to accept the terminal device 10 is authenticated. 따라서, 도시된 웹 인증서버(500)는 라디우스 인증서버(200)의 클라이언트로서 기능하며, 단말장치(10)와 라디우스 인증서버(200)를 중계하는 접속장치의 역할을 수행하게 된다. Thus, the illustrated web authentication server 500 functions as a client of RADIUS authentication server 200, and performs the role of the access point relaying the terminal apparatus 10 and the RADIUS authentication server 200. 웹 인증서버(500)는 라디우스 인증서버(200)의 인증 결과에 따라 사용자의 단말장치(10)를 웹 리다이렉션 처리하여 웹 인증서버(500)로 강제 접속되도록 한다. Web authentication server 500 to be forced up to the web authentication server 500 to the user of the terminal device 10 processes the web redirection according to the authentication result of the RADIUS authentication server 200. 단말장치(10)가 인증된 경우, 단말장치(10)는 접속장치(100)와 연결되는 내부 네트워크로 접속되어 사용되며, 반대의 경우 단말장치(10)는 내부 네트워크에 접속할 수 없다. If the terminal device 10 is authenticated, the terminal device 10 is used is connected to the internal network that is connected to the access point 100, in the case of the opposite terminal device 10 can not be connected to the internal network. 이때, 웹 인증서버(500)에 의해 단말장치(10)가 내부 네트워크 대신 외부 네트워크에는 접속할 수 있도록 제어 정책을 할당할 수 있다. At this time, the terminal apparatus 10 by a web authentication server 500 can assign a control policy to access external networks, instead of the internal network.

한편, 1), 2)에 기재된 기능, 즉 보안, 및 접속 정책에 따라 단말장치(10)를 특정 URL로 접속시키거나, 단말장치(10)의 트래픽을 인증 위치(예컨대, 웹 인증서버(500)의 URL)로 접속되도록 하는 기능은 단말장치(10)에 설치되는 접속제어 프로 그램에 의해 수행될 수 있으나, 반대로, 접속제어 프로그램이 인증정보와 상태정보만을 웹 인증서버(500)로 전송하고, 웹 인증서버(500)가 이러한 기능을 대신하여 처리하도록 구성될 수 있음은 물론이다. On the other hand, 1), 2) function, that is, security, and authentication where the traffic according to the access policy to connect the terminal device 10 to a specific URL or the terminal device 10 (e.g., Web authentication server (500 disclosed in ) the ability to be connected to the URL) of the can, but can be performed by the access control program installed in the terminal device 10, on the contrary, the connection control program, and transmits only the authentication information and the state information to the Web authentication server 500 , that the Web authentication server 500 can be configured to handle on behalf of these functions it is a matter of course. 이 경우, 웹 인증서버(500)가 접속장치(100)를 제어하여 단말장치(10)의 접속 제어를 수행하게 되며, 단말장치(10)가 정상 사용도중 유해 트래픽을 유발하는 경우, 앞서 1), 2)에 기재된 접속 정책에 대한 접속 프로파일 정보를 초기화 할 수 있다. If the case, the Web authentication server (500) serves to perform the access control of the terminal device 10 controls the access point 100, the terminal device 10 to cause a harmful traffic during normal use, prior to 1) , it may initiate a connection profile information for a contact policy described in 2). 이때, 접속 프로파일은 웹 인증서버(500)에 마련되며, 단말장치(10)로부터 제공되는 상태정보를 참조하여 접속 정책을 유지 또는 초기화 할 수 있다. At this time, the connection profile may maintain or initiate a connection policy is provided to the Web authentication server 500, with reference to the state information provided from the terminal device 10.

한편, 도 6은 단말장치(10)에 설치되는 접속제어 프로그램을 통해 웹 리다이렉션을 구현하고 있으나, 접속장치(100)를 통해 이를 구현하거나 단말장치(10)와 웹 인증서버(500) 사이에 별도의 네트워크 장치를 삽입하여 이를 구현할 수 있다. On the other hand, separately between 6 it is a terminal device 10 connected via a control program, but implements a web redirection, and implement it via the access point 100 or the terminal device 10 and the Web authentication server 500 is provided in the by inserting a network device may implement this.

접속장치(100)를 통해 웹 리다이렉션을 처리하는 경우, 접속장치(100)는 단말장치(10)에 앞서 설명된 접속 제어 프로그램의 기능을 구비하여야 하며, 단말장치(10)에 의해 발생되는 트래픽을 검출하는 기능을 구비함이 바람직하다. When through the access point 100 processes the web redirection, access point 100 is the traffic generated by the should be provided with the function of the connection control program described above to the terminal apparatus 10, terminal apparatus 10 this is preferable also has the function of detecting. 접속장치(100)는 검출된 트래픽 정보를 웹 인증서버(500)로 제공하고, 웹 인증서버(500)는 접속장치(100)로 부터 제공되는 트래픽 정보(또는 상태정보)에 따라 트래픽을 유발하는 단말장치(10)를 VLAN이 설정된 검역 네트워크로 접속 시킬수도 있다. Connected device 100 to cause the traffic according to the traffic information (or state information) that is available from the service on the detected traffic information to a web authentication server 500, and Web authentication server 500 access point 100 there is also sikilsu connecting the terminal device 10 to the quarantine network, VLAN is set.

상기한 바와 같이, 본 발명은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 무선 네트워크의 보 안 인증방법을 구현할 수 있으며, VLAN이 지원되지 않는 무선 네트워크 환경에서도 정책기반 접속제어를 수행할 수 있도록 한다. As described above, the present invention may implement an existing connection device or a terminal device without having to replace the implementation of the security features of 802.1.x possible security authentication method for a wireless network that does not support the 802.1x, VLAN is not supported, It does not allow you to perform policy-based access control in a wireless network environment.

Claims (13)

  1. 단말장치, 접속장치, 웹 인증서버, 및 라디우스 인증서버를 구비하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 있어서, In the terminal apparatus, access, Web authentication server, and the RADIUS authentication server quarantine and policies of the wired and wireless network including a base connected to the control method,
    상기 단말장치의 상태정보, 인증정보를 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며, Is performed by the status information, the authentication information of the terminal apparatus to the Web server, the authentication, and the transmission control program for transmitting the LA of any one of a RADIUS authentication server,
    상기 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계; Determining a transmission protocol of the wireless network of the terminal device;
    상기 전송 규약이 802.1x를 준수하는 경우, 상기 상태정보, 및 인증정보를 상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계; When the transmission protocol compliant 802.1x, processing the authentication, and providing the RADIUS authentication server of the status information, and authentication information; And
    상기 전송 규약이 802.1x를 준수하지 않는 경우, 상기 단말장치의 접속 경로를 상기 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계;를 포함하며, When the transport protocol does not comply with the 802.1x, re-route the connection to the web server of the authentication terminal device comprising: - a collection and die (Redirection) handles authentication; includes,
    상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는 상기 단말장치의 상태정보를 참조하여 상기 단말장치가 비 정상적인 트래픽을 유발하는 경우, 상기 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당하고, Any one of the Web authentication server, and the RADIUS authentication server quarantine configured, VLAN (Virtual Loacal Area Network) to the terminal if the result in the terminal device abnormal traffic with reference to the status information of the terminal device assigned to the network region,
    상기 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에는, 상기 비정상적인 트래픽을 유발하는 상기 단말장치를 검역하기 위한 검역 서버가 마련되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. The VLAN (Virtual Loacal Area Network) configured to quarantine network area, quarantine, and policy-based access control method of a wired or wireless network, it characterized in that the server provided a quarantine inspection for the terminal equipment to cause the abnormal traffic.
  2. 제1항에 있어서, According to claim 1,
    상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, The re-processing the authentication, the collection die (Redirection) is
    상기 단말장치의 접속 URL을 상기 웹 인증서버의 URL로 설정하는 단계; Establishing a connection to the URL of the terminal URL of the Web authentication server; And
    상기 단말장치가 상기 웹 인증서버 이외의 서버와 송수신하는 트래픽을 차단하는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. The terminal device that the authentication web server other than the server and the transmitting and receiving step to block the traffic; quarantine and policies of the wired and wireless network comprising a connection-based control method.
  3. 제2항에 있어서, 3. The method of claim 2,
    상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, The re-processing the authentication, the collection die (Redirection) is
    상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계; The method comprising the control and the IP block (IP block) assigned to the wireless network, the IP information of the terminal apparatus; And
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. If the IP information of the terminal equipment that is not included in the IP block, the method comprising connecting the terminal equipment to the foreign network; quarantine and policy-based access control method of a wired or wireless network, comprising: a.
  4. 제2항에 있어서, 3. The method of claim 2,
    상기 웹 인증서버는, The Web authentication server,
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치의 인증 요청을 거절하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. If the IP information of the terminal equipment that is not included in the IP block, quarantine, and policy-based access control method of a wired or wireless network, characterized in that rejecting the authentication request of the terminal device.
  5. 제1항에 있어서, According to claim 1,
    상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계는, The La processing authentication by providing a RADIUS authentication server,
    상기 라디우스 인증서버가 상기 단말장치로부터 인증정보를 제공받는 단계; Step the RADIUS authentication server receives the authentication information from the terminal device; And
    상기 라디우스 인증서버에 마련되는 인증정보와 상기 단말장치로부터 제공되는 인증정보를 대조하여 인증 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. The RADIUS authentication information and determining whether the authentication by collating the authentication information provided from the terminal apparatus is provided to the authentication server; quarantine and policy-based access control method of a wired or wireless network, comprising: a.
  6. 제5항에 있어서, 6. The method of claim 5,
    상기 인증 여부를 판단하는 단계는, Determining whether the authentication is
    상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계; The method comprising the control and the IP block (IP block) assigned to the wireless network, the IP information of the terminal apparatus; And
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. If the IP information of the terminal equipment that is not included in the IP block, the method comprising connecting the terminal equipment to the foreign network; quarantine and policy-based access control method of a wired or wireless network, comprising: a.
  7. 제4항에 있어서, 5. The method of claim 4,
    상기 라디우스 인증서버는, The RADIUS authentication server,
    상기 단말장치의 아이피 정보가 상기 무선네트워크에 할당된 아이피 블록(IP block)에 포함되지 않는 경우, 상기 단말장치로부터의 인증 요청을 거절하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. If that is not included in the IP block (IP block) assigned to the IP information of the terminal device to the wireless network, quarantine, and policy-based access control method of a wired or wireless network, characterized in that to reject the authentication request from the terminal apparatus.
  8. 제1항에 있어서, According to claim 1,
    상기 상태정보는, Said status information,
    상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 제공되는 EAP 메시지에 포함되며, The Web authentication server and is included in the LA EAP messages provided by any one of RADIUS authentication server,
    상기 EAP 메시지, 및 상기 EAP 메시지에 마련되는 유저 아이디 항목에 Prefix 첨부되어 형성되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. The EAP message, and quarantine and policy-based access control method of a wired or wireless network, characterized in that formed Prefix is ​​attached to the user ID entry is provided in the EAP messages.
  9. 제1항에 있어서, According to claim 1,
    상기 단말장치는, The terminal device comprises:
    상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나를 통해 인증되며, The Web authentication server, and the authentication is called through any of the RADIUS authentication server,
    PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, EAP-SIM 및 EAP-AKA 중 어느 하나에 따른 상호 인증방식에 의해 인증되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, EAP-SIM and EAP-AKA method of any one quarantine of wired and wireless networks, characterized in that the authentication by the mutual authentication method in accordance with and policy-based access control.
  10. 삭제 delete
  11. 제1항에 있어서, According to claim 1,
    상기 검역서버는, The quarantine server,
    상기 단말장치에 대한 검역이 처리된 후, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 이를 통보하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는, 상기 검역이 처리된 상기 단말장치에 대해 할당된 검역 네트워크 영역을 해제하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. After the quarantine on the terminal are processed, the web authentication server and the La by any one, and notifies of the RADIUS authentication server, any one of the Web authentication server, and the RADIUS authentication server, wherein said inspection is processed quarantined and policy-based access control method of a wired or wireless network, characterized in that for releasing the quarantine network area allocated for the terminal apparatus.
  12. 제1항에 있어서, According to claim 1,
    상기 웹 인증서버, 및 상기 라디우스 인증서버는, The Web authentication server, and the RADIUS authentication server,
    상기 인증정보에 포함되는 상기 단말장치의 아이디, 및 패스워드가 유효하지 않은 경우, 이를 상기 사용자 단말기로 통보하며, If ID and password are not valid for the mobile station apparatus included in the authentication information, and notifies to the user terminal,
    상기 접속제어 프로그램은, The access control program comprising:
    상기 단말장치에 마련되는 디스플레이장치를 통해 이를 경고하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. Quarantine and policy-based access control method of a wired or wireless network, characterized in that the warning them through a display device provided in the terminal device.
  13. 제1항에 있어서, According to claim 1,
    상기 인증정보는, Wherein the authentication information,
    상기 단말장치 사용자의 아이디, 아이피, 패스워드, MAC 어드레스, 스마트 카드 키, SIM(SIM), 및 인증서 중 어느 하나인 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법. The terminal apparatus of the user identity, IP, password, MAC address, the smart card key, SIM (SIM), and inspection and policy-based access control method of a wired or wireless network, characterized in that any one of a certificate.
KR20060034531A 2006-04-17 2006-04-17 Method for access control in wire and wireless network KR100819942B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20060034531A KR100819942B1 (en) 2006-04-17 2006-04-17 Method for access control in wire and wireless network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20060034531A KR100819942B1 (en) 2006-04-17 2006-04-17 Method for access control in wire and wireless network

Publications (2)

Publication Number Publication Date
KR20070102830A KR20070102830A (en) 2007-10-22
KR100819942B1 true KR100819942B1 (en) 2008-04-10

Family

ID=38817528

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20060034531A KR100819942B1 (en) 2006-04-17 2006-04-17 Method for access control in wire and wireless network

Country Status (1)

Country Link
KR (1) KR100819942B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101108233B1 (en) 2011-07-27 2012-02-20 아이엠소프트(주) Radius system for control and certification unlicensed wireless lan having web-based interface and method thereof
KR101197182B1 (en) * 2008-12-23 2012-11-02 한국전자통신연구원 Method and apparatus for protecting a hacking in computer system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101720043B1 (en) * 2010-11-25 2017-03-28 에스케이텔레콤 주식회사 System and method for authentication in wireless lan
KR101627614B1 (en) * 2016-02-17 2016-06-07 (주)넷맨 Method for comprising Network of User Definition

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050041864A (en) * 2003-10-31 2005-05-04 한국전자통신연구원 Method for authenticating subscriber station in wireless portable internet system and protocol configuration method thereof, and apparatus thereof
KR20050054817A (en) * 2003-12-05 2005-06-10 마이크로소프트 코포레이션 Automatic detection of wireless network type
KR20050060633A (en) * 2003-12-17 2005-06-22 한국전자통신연구원 Data security and apply device in wireless local area network system and method thereof
KR20050116144A (en) * 2003-03-14 2005-12-09 톰슨 라이센싱 A flexible wlan access point architecture capable of accommodating different user devices
KR20050116820A (en) * 2003-03-14 2005-12-13 톰슨 라이센싱 Automatic configuration of client terminal in public hot spot

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050116144A (en) * 2003-03-14 2005-12-09 톰슨 라이센싱 A flexible wlan access point architecture capable of accommodating different user devices
KR20050116820A (en) * 2003-03-14 2005-12-13 톰슨 라이센싱 Automatic configuration of client terminal in public hot spot
KR20050041864A (en) * 2003-10-31 2005-05-04 한국전자통신연구원 Method for authenticating subscriber station in wireless portable internet system and protocol configuration method thereof, and apparatus thereof
KR20050054817A (en) * 2003-12-05 2005-06-10 마이크로소프트 코포레이션 Automatic detection of wireless network type
KR20050060633A (en) * 2003-12-17 2005-06-22 한국전자통신연구원 Data security and apply device in wireless local area network system and method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101197182B1 (en) * 2008-12-23 2012-11-02 한국전자통신연구원 Method and apparatus for protecting a hacking in computer system
US8555387B2 (en) 2008-12-23 2013-10-08 Electronics And Telecommunications Research Institute Apparatus and method for protecting asset in computer system
KR101108233B1 (en) 2011-07-27 2012-02-20 아이엠소프트(주) Radius system for control and certification unlicensed wireless lan having web-based interface and method thereof

Also Published As

Publication number Publication date
KR20070102830A (en) 2007-10-22

Similar Documents

Publication Publication Date Title
Arbaugh et al. Your 80211 wireless network has no clothes
EP1707024B1 (en) Improvements in authentication and authorization in heterogeneous networks
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
JP4071966B2 (en) Wired network and method for providing authenticated access to wireless network clients
US7316031B2 (en) System and method for remotely monitoring wireless networks
CA2413944C (en) A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks
JP4575679B2 (en) Wireless network handoff encryption key
DK2547134T3 (en) Improved subscription authentication for unauthorized mobile access signals
ES2379074T3 (en) Method and system for establishing a "peer-to-peer" communication channel.
EP2553898B1 (en) Method and system for authenticating a point of access
US7574202B1 (en) System and methods for a secure and segregated computer network
CA2792490C (en) Key generation in a communication system
KR100645512B1 (en) Apparatus and method for authenticating user for network access in communication
US9112909B2 (en) User and device authentication in broadband networks
US7653200B2 (en) Accessing cellular networks from non-native local networks
CN100399840C (en) Seamless public wireless local area network user authentication
ES2281599T3 (en) Apparatus and method for unique identification authentication through a non-reliable access network
US7039021B1 (en) Authentication method and apparatus for a wireless LAN system
CN101133618B (en) Connecting VPN users in a public network
KR101202671B1 (en) Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal
JP4555235B2 (en) Network device, method of using wireless network, and method of wireless network security
CN101578828B (en) Roaming wi-fi access in fixed network architectures
EP1500223B1 (en) Transitive authentication authorization accounting in interworking between access networks
EP1330073B1 (en) Method and apparatus for access control of a wireless terminal device in a communications network
DE60021496T2 (en) Secured wireless local area network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130329

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190329

Year of fee payment: 12