KR100875669B1 - 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 - Google Patents

인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 Download PDF

Info

Publication number
KR100875669B1
KR100875669B1 KR1020080046179A KR20080046179A KR100875669B1 KR 100875669 B1 KR100875669 B1 KR 100875669B1 KR 1020080046179 A KR1020080046179 A KR 1020080046179A KR 20080046179 A KR20080046179 A KR 20080046179A KR 100875669 B1 KR100875669 B1 KR 100875669B1
Authority
KR
South Korea
Prior art keywords
authentication
wired network
network access
mac
authenticator
Prior art date
Application number
KR1020080046179A
Other languages
English (en)
Inventor
서승호
문해은
박재명
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020080046179A priority Critical patent/KR100875669B1/ko
Application granted granted Critical
Publication of KR100875669B1 publication Critical patent/KR100875669B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 기존의 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 802.1X 인증요청자(Supplicant)와 동일한 엔드-포인트(End-Point) 레벨에 위치하며 802.1X를 지원하지 않는 L2 계층 스위치에 연결된 서버 타입의 인증자(Authenticator)를 사용한 네트워크 접근 제어 방법 및 그 시스템에 관한 것으로, 802.1X를 지원하지 않는 기존 유선 네트워크 인프라에 대한 하드웨어 교체(예: L2 스위치 교체) 작업 없이 네트워크 접근을 제어한다.
802.1X, 네트워크, 접근, 제어

Description

인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법 및 그 시스템{Method for controlling access to network using authenticator located in a supplicant level and system thereof}
본 발명은 802.1X 기반 유선 네트워크 환경에서 802.1X 인증요청자와 동일 레벨에 위치하며, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 연결된 서버로 된 인증자를 사용해 인증 성공된 시스템에 대해 유선 네트워크 접근을 선택적으로 허용하는 802.1X 기반 유선 네트워크의 접근 제어 방법 및 그 시스템에 관한 것이다.
종래의 유무선 네트워크 환경은 시스템이 해당 네트워크에 연결되면 제한 없이 해당 네트워크 사용이 가능한 환경으로, 해당 네트워크의 중요 자원에 대한 접근이 용이하여 보안 및 관리차원에서 여러 가지 문제점들이 발생하였다.
이를 해결하기 위해 802.1X 기반의 유무선 네트워크 접근 제어 방식이 제안되었다.
도 1은 일반적인 802.1X 기반 유무선 네트워크의 구성을 나타내며 인증요청자, 인증자, 인증서버를 포함하고, 802.1X 지원 스위치가 인증자 역할을 담당하며, 일반적으로 이러한 802.1X 기반 유무선 네트워크에서 유무선 네트워크 접근 제어를 위한 인증자 역할을 하는 L2 계층 스위치는 액세스(Access) 레벨에 위치한다.
도 1에 나타낸 인증자인 L2 계층 스위치는 액세스(Access) 레벨에 위치한 상태에서, 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템의 인증요청에 대한 유무선 네트워크 접근 제어를 수행한다.
상기 802.1X 기반의 유무선 네트워크 접근 제어에 있어서, 인증자는 기본적으로 인증을 받지 않은 시스템의 유무선 네트워크 접근을 제한하고, 인증요청에 대한 처리를 인증서버와 연계하여 처리한 후, 인증 성공된 시스템의 유무선 네트워크 접근을 선택적으로 허가해 주는 기능을 수행한다.
이러한 802.1X는 포트 기반 인증 프로토콜로, 무선 네트워크에 있어서는 무선 네트워크 접근 제어 적용이 용이한 반면에, 유선 네트워크 환경에서는 이미 구축된 유선 네트워크 접속장치와 단말장치가 802.1X 규격에 부합하지 않는 경우가 대다수이다.
그래서, 유선 환경에서 네트워크 접근 제어를 사용하기 위해서는 기존 유선 네트워크 인프라의 하드웨어를 교체하거나, 예를 들어, 인증자 역할을 하는 L2계층 스위치를 802.1X를 지원하는 L2 계층 스위치로 교체하거나, 802.1X 규격에 따른 단말장치나 접속장치를 추가해 연동시켜야 하므로 많은 시간과 비용이 든다.
본 발명은 상기한 문제점을 해결하기 위해 개발된 것으로, 802.1X 기반 유선 네트워크 환경에서 기존 유선 네트워크 인프라에 대한 하드웨어 교체 없이, 인증요청자와 인증서버간의 인증정보를 처리하고 미인증 시스템에 대한 유선 네트워크 접근을 제어하기 위해, 기존의 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용한 네트워크 접근 제어 방법 및 그 시스템을 제공하는데 목적이 있다.
이러한 목적에 따른 인증요청자와 동일한 레벨에 위치한 본 발명의 인증자를 이용한 네트워크 접근 제어 방법은, 802.1X 기반 유선 네트워크에 있어서, 기존의 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용하여, 인증요청자의 인증요청을 처리하고, 인증 요청자로부터 수신한 인증정보를 인증서버로 전송해 주며, 인증서버로부터 수신한 인증정보와 결과를 인증 요청자에게 전달하여 인증을 처리하고, 미인증된 시스템에 대한 유선 네트워크 접근을 차단하는 것을 특징으로 한다.
또한, 상기와 같이 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용하여, 미인증된 시스템에 대한 유선 네트워크 접근을 차단할 때, 802.1X 기반 유선 네트워크상으로 출력되는 메시지 내의 맥(MAC) 정보가 인증 맥 테이블에 등록되어 있는 시스템의 유선 네트워크 접근을 허용하고, 등록되어 있지 않은 시스템의 유선 네트워크 접근을 차단하는 단계, 유선 네트워크 접근 차단 대상 시스템 중, 인증 서버에 의해 인증 성공된 시스템의 맥 정보를 인증 맥 테이블에 등록해 유선 네트워크 접근을 선택적으로 허용하고, 인증 로그오프시 삭제해 유선 네트워크 접근을 차단하는 단계를 포함하여 이루어진 것을 특징으로 한다.
상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 특정 시스템의 맥 정보를 관리자로부터 입력받아 상기 인증 맥 테이블에 등록하는 단계를 더 포함하여 이루어지며, 바람직하게는 상기 인증 맥 테이블에 802.1X를 지원하지 않거나 혹은 사용자 인증이 불가능하거나 사용자 인증에서 제외할 특정 시스템의 맥 정보를 등록하는 것을 특징으로 한다.
참고로, 802.1X를 지원하지 않는 유선 네트워크 프린터나 스캐너의 맥 정보를 상기 인증 맥 테이블에 등록하여 상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 수 있으며, 상황에 따라서 특정 사용자의 PC를 인증에서 제외하기 위해 그 맥 정보를 상기 인증 맥 테이블에 등록하여 상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 수 있다.
상기 유선 네트워크 접근을 차단하는 단계는 유선 네트워크로 출력되는 메시지가 브로드캐스트된 GARP(Gratuitous Address Resolution Protocol)메시지인 경우, ARP(Address Resolution Protocol) 응답 패킷에 의한 IP 차단으로 유선 네트워크 접근을 차단하는 것을 특징으로 한다.
상기 유선 네트워크 접근을 차단하는 단계는 유선 네트워크로 출력되는 메시지가 IP 할당을 요청하는 메시지인 경우, IP 미할당으로 유선 네트워크 접근을 차단하는 것을 특징으로 한다.
상기 IP 미할당은 자체 DHCP서버 또는 맥 정보를 제공받아 연동하는 외부 DHCP서버를 사용한 것을 특징으로 한다.
상기 목적에 따른 본 발명의 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템은
기존의 802.1X 기반 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하면서 802.1X 기반 유선 네트워크의 소정 시스템의 인증을 요청하는 인증요청자, 상기 인증요청자의 인증을 처리하는 인증서버, 상기 인증요청자와 동일한 엔드-포인트(End-Point) 레벨에 위치하여 상기 인증서버와의 통신으로 인증 성공된 시스템의 유선 네트워크 접근을 허용하도록 802.1X를 지원하지 않는 L2 계층 스위치에 연결된 서버 타입의 인증자를 포함하여 이루어진 것을 특징으로 한다.
상기 인증자는 시스템의 맥(MAC) 정보가 등록된 인증 맥 테이블, 상기 인증요청자가 인증요청한 시스템의 인증정보를 인증서버로 전달하고, 인증서버로부터 인증성공된 시스템의 맥 정보를 상기 인증 맥 테이블에 등록한 후, 인증 로그오프시 삭제하며, 인증결과를 인증요청자에게 전달하는 인증처리모듈, 상기 인증 맥 테이블에 등록되어 있지 않은 맥으로 된 GARP 메시지를 브로드 캐스트한 시스템의 유선 네트워크 접근을 ARP(Address Resolution Protocol) 응답 패킷으로 차단하는 차단모듈, 상기 차단모듈에 부가하여 상기 인증 맥 테이블에 등록되어 있지 않은 맥으로 IP할당을 요청한 시스템의 유선 네트워크 접근을 IP미할당으로 차단하는 DHCP서버를 포함하여 이루어진 것을 특징으로 한다.
상기 인증 맥 테이블은 인증서버에 의해 인증성공된 시스템의 맥 정보가 등록된 동적 인증 맥 테이블, 인증서버의 인증결과와 관계없이 유선 네트워크 접근을 허용할 특정 시스템의 맥 정보가 등록된 정적 인증 맥 테이블로 된 것을 특징으로 한다.
상기 정적 인증 맥 테이블에는 802.1X를 지원하지 않거나 혹은 사용자 인증이 불가능하거나 사용자 인증에서 제외할 특정 시스템의 맥 정보가 등록된다.
참고로, 802.1X를 지원하지 않는 유선 네트워크 프린터나 스캐너의 맥 정보를 상기 정적 인증 맥 테이블에 등록하여 상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 수 있으며, 상황에 따라서 특정 사용자의 PC를 인증에서 제외하기 위해 그 맥 정보를 상기 정적 인증 맥 테이블에 등록하여 상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 수 있다.
상기 인증처리모듈은 인증요청자로부터 인증 정보와 로그오프 정보를 수신하고, 인증응답 처리모듈이 수신한 인증결과를 인증요청자에게 전달하며, 인증 로그오프 정보 수신시엔 인증 맥 테이블 내 해당 시스템의 맥 정보를 삭제하는 인증요청 처리모듈, 상기 인증요청 처리모듈이 수신한 인증 정보를 인증서버로 전달하고, 인증서버에 의해 인증 성공된 시스템의 맥 정보를 상기 인증 맥 테이블에 등록하고 인증결과를 인증요청 처리모듈로 전달하는 인증응답 처리모듈로 된 것을 특징으로 한다.
본 발명은 802.1X를 지원하지 않는 기존의 접속장치나 단말장치에 대한 하드웨어의 교체 없이 802.1X 기반 유선 네트워크를 구성하여 유선 네트워크 접근을 제어할 수 있다. 특히, 다양한 유선 네트워크 환경(예: 고정IP 주소환경, 유동IP 주소환경)에 적응적으로 802.1X 기반 유선 네트워크 접근을 제어할 수 있다.
아울러, 802.1X를 지원하지 않는 특정 단말 시스템(예: 네트워크 프린터, 네트워크 스캐너)에 대해서는 인증 없이 802.1X 기반 유선 네트워크 사용이 가능하다.
상황에 따라서 특정 사용자의 PC를 인증에서 제외하여 인증 없이 802.1X 기반 네트워크 사용을 허용할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 2는 도 1에 나타낸 바와 같이, 기존의 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용한 본 발명의 네트워크 접근 제어 시스템을 나타낸다.
이 시스템은 인증요청자, 인증서버, 인증자로 된 것으로, 인증자가 인증요청자와 인증서버간 인증정보를 처리하고 인증요청자에 대한 유선 네트워크 접근을 제어하는 구조이다.
특히, 인증자가 인증요청자와 동일한 엔드-포인드(End-Point) 레벨에 위치하며, L2 계층 스위치가 아닌 L2 계층 스위치에 연결된 서버로 된 것이다.
그리고, 상기 L2 계층 스위치는 기존의 802.1X를 지원하지 않는 L2 계층 스위치를 그대로 사용하여 된 것이다.
그래서 802.1X 기반 유선 네트워크에서 유선 네트워크 접근 제어를 위해 일반적으로 액세스(Access) 레벨에 위치하는 L2 계층 스위치가 인증자 역할을 하였지만, 본 발명의 인증자는 액세스(Access) 레벨이 아닌 엔드-포인트(End-Point) 레벨에 위치하여 인증자로서의 역할을 동일하게 담당하게 된다.
상기 인증자는 일반적인 서버로는 인증 전에 인증요청자의 IP할당 차단에 대한 제어가 힘들기 때문에, 다음의 설계 사양이 고려된 새로운 서버로 된 것이다.
* 설계 사양 *
①인증자로부터 인증을 받지 않은 시스템은 유선 네트워크의 접근을 제한하는 기능을 수행해야 한다. ②IP할당이 제한된 상태에서 인증을 위한 인증자와의 통신은 가능해야 한다. ③인증서버와 통신하여 인증정보를 인증요청자에게 전송해 줄 수 있어야 한다. ④인증된 사용자의 유선 네트워크 접근을 선택적으로 허가해 줄 수 있어야 한다.
도 3의 인증자는 상기한 설계 사양에 따른 본 발명의 인증자의 실시예로, 인증요청 처리모듈, 인증응답 처리모듈, 차단모듈, DHCP서버, 동적 인증 맥 테이블, 정적 인증 맥 테이블로 된 것이다.
상기 인증요청 처리모듈은 상기 인증요청자로부터 인증정보와 인증 로그오프 정보를 받고, 인증 로그오프 정보 수신시엔 상기 인증 맥 테이블 내 해당 시스템의 맥 정보를 삭제한다. 또한, 인증요청자의 인증정보를 인증 응답 처리 모듈로 전달하여 인증서버로 전송되게 하며 인증응답 처리모듈로 전달받은 인증정보와 인증결과를 인증요청자에게 전송한다.
인증응답 처리모듈은 인증요청 처리모듈이 받은 인증정보를 인증서버로 전달하고, 인증서버의 인증결과가 인증성공인 시스템의 맥 정보를 상기 인증 맥 테이블에 등록한다. 또한, 인증서버로부터 수신한 인증정보와 인증결과를 인증요청 처리 모듈로 전달하여 인증요청자에게 전송되게 한다.
차단모듈은 유선 네트워크 트래픽 캡쳐를 통한 GARP(Gratuitous Address Resolution Protoco)의 근원지 맥이 인증 맥 테이블에 등록되지 않은 시스템에 ARP(Address Resolution Protocol) 응답 패킷을 구성하고, 전송해 유선 네트워크 접근을 차단한다.
DHCP서버 차단모듈의 ARP응답 패킷에 의한 유선 네트워크 접근 차단에 부가하여 인증 맥 테이블에 등록되어 있지 않은 맥으로 IP할당을 요청한 시스템에 IP 미할당으로 유선 네트워크 접근을 차단한다.
동적 인증 맥 테이블은 인증서버의 인증결과가 인증성공인 시스템의 맥 정보가 등록된다.
정적 인증 맥 테이블은 인증서버의 인증 결과와 관계없이 유선 네트워크 접근이 허용되는 관리자 입력 시스템의 맥 정보가 등록된다.
상기 관리자 입력 시스템의 맥 정보 즉, 관리자가 직접 입력한 시스템의 맥 정보는 802.1X를 지원하지 않는 유선 네트워크 프린터의 맥 정보와, 유선 네트워크 스캐너의 맥 정보, 특정 PC의 맥 정보 등이 될 수 있다.
도 4, 도 5를 참조해 본 발명에 따른 인증 동작을 유선 네트워크 환경 접근 차단 동작 별로 설명한다.
802.1X 기반 유선 네트워크에서, 유선 네트워크 트래픽 캡쳐를 통한 GARP 브로드캐스트 메시지 분석시 근원지 맥(MAC)이 인증 맥 테이블에 등록되어 있는 경우 IP 할당을 허용하고, 등록되어 있지 않은 경우엔 ARP 응답 패킷을 구성하고 해당 시스템으로 전송해, IP 미획득으로 해당 시스템의 유선 네트워크 접근을 차단한다.
그런 후, 인증서버로부터 인증 성공된 경우, 해당 시스템의 맥 정보를 인증 맥 테이블에 등록해 유선 네트워크 접근을 허용하고, 인증 로그오프 정보 수신시 삭제해 다시 유선 네트워크 접근을 차단한다.
또한, 상기 ARP를 이용한 인증 동작에 부가하여 유선 네트워크에서 IP 할당요청 대상 시스템의 맥(MAC) 정보가 인증 맥 테이블에 등록되어 있는 경우 IP 할당을 허용하고, 등록되어 있지 않은 경우엔 자체 DHCP 서버에서 IP를 미할당해 유선 네트워크 접근을 차단한다.
그런 후, 인증서버로부터 인증 성공된 경우, 해당 시스템의 맥 정보를 인증 맥 테이블에 등록해 유선 네트워크 접근을 허용하고, 인증 로그오프 정보 수신시 삭제해 다시 유선 네트워크 접근을 차단한다.
추가로, DHCP서버가 인증요청자가 속한 유선 네트워크 내 없는 경우엔, 인증 맥 테이블 내의 맥 정보를 외부의 DHCP서버에 제공하고, 그와 공유하여 IP할당 동작을 처리한다.
도 6 ~ 도 9를 참조해 본 발명에 따른 인증 동작을 인증 요청, 인증 응답, 유선 네트워크 차단 등으로 나누어 좀 더 상세히 설명한다.
상기 설명에는 도 3의 인증자의 각 구성 요소(인증요청 처리모듈, 인증응답 처리모듈, 차단모듈, DHCP서버)를 사용한다.
먼저, 도 6의 본 발명의 인증요청 처리모듈에 의한 인증 요청 동작을 설명하면 다음과 같다.
인증요청 처리모듈은 인증요청자의 인증요청을 지속적으로 수신 대기하여 수신한 경우, 사용자 인증 정보를 인증요청자에게 요청하여 응답받고 인증응답 처리모듈로 전달해 인증 서버로 전송될 수 있게 한다(S600~S605).
그리고, 인증요청자로부터 인증 로그오프 정보를 전송받은 경우, 즉시 인증 맥 테이블에서 해당 시스템의 맥 정보를 삭제하여, 유선 네트워크 접근을 차단한다(S606~S607).
도 7의 본 발명의 인증응답 처리모듈에 의한 인증 응답 동작은 다음과 같다.
인증응답 처리모듈은 인증요청자로부터 인증을 요청받은 사용자 인증 정보를 인증서버로 전달하고, 인증서버의 인증정보와 인증결과(예: 성공 또는 실패)를 인증요청 처리모듈로 전달하여 인증요청자에게 전송될 수 있게 한다(S700~S703).
그리고, 응답 결과가 인증 성공인 경우, 인증 성공된 해당 시스템의 맥 정보를 인증 맥 테이블에 등록해, 유선 네트워크 접근을 허용한다(S704~S705).
다음, 도 8의 본 발명의 차단모듈에 의한 유선 네트워크 접근 차단 동작은 다음과 같다.
차단모듈은 먼저, 802.1X 기반 유선 네트워크로 전달되는 패킷을 캡쳐하여 모니터링한다.
모니터링한 결과, GARP 메시지가 브로드 캐스트된 경우, 해당 GARP 메시지 내의 맥(MAC) 정보가 인증 맥 테이블에 등록되어 있는지 확인한다.
확인한 결과, 등록되어 있는 경우 해당 시스템의 IP 사용을 허용한다.
반면, 등록되어 있지 않은 경우 ARP(Address Resolution Protocol) 응답 패킷을 구성해 전송한다(S800 ~ S805).
그렇게 하여, 해당 시스템의 유선 네트워크 접근을 차단한다.
마지막으로, 도 9의 본 발명의 DHCP서버에 의한 유선 네트워크 접근 차단 동작은 다음과 같다.
DHCP서버는 실행 즉시, DHCP 클라이언트 시스템들의 IP 할당 요청에 대해 대기한다.
그래서, IP 할당 요청시, 해당 시스템의 맥 정보가 인증 맥 테이블에 등록되어 있는지 확인한다.
확인 결과, 등록되어 있는 경우, DHCP 서버가 IP를 해당 시스템에 할당한다.
반면, 등록되어 있지 않은 경우 IP 주소를 할당하지 않는다(S900~S905).
그렇게 하여, 해당 시스템의 유선 네트워크 접근을 차단하게 된다.
도 1은 일반적인 802.1X 기반 네트워크 구성도
도 2는 본 발명의 802.1X 기반 네트워크 구성도
도 3은 본 발명의 네트워크 접근 제어 시스템도
도 4는 본 발명의 네트워크 접근 제어 프로세스도
도 5는 본 발명의 인증 절차도
도 6은 본 발명의 인증 요청 동작도
도 7은 본 발명의 인증 응답 동작도
도 8은 본 발명의 차단모듈에 의한 네트워크 접근 차단 절차도
도 9는 본 발명의 DHCP서버에 의한 네트워크 접근 차단 절차도

Claims (13)

  1. 802.1X 기반 유선 네트워크에 있어서,
    802.1X 기반 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용하여, 인증요청자의 인증요청을 처리하고, 인증 요청자로부터 수신한 인증정보를 인증서버로 전송해 주며, 인증서버로부터 수신한 인증정보와 결과를 인증 요청자에게 전달하여 인증을 처리하고, 미인증된 시스템에 대한 유선 네트워크 접근을 차단하며,
    802.1X 기반 유선 네트워크 접근을 차단할 때, 유선 네트워크 트래픽 캡쳐를 통한 GARP의 근원지 맥이 인증 맥 테이블에 존재하지 않은 경우, ARP 응답 패킷에 의한 IP 차단으로 802.1X 기반 유선 네트워크 접근을 차단하는 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법
  2. 제 1 항에 있어서, 802.1X 기반 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하는 인증요청자 혹은 미인증 시스템과 동일한 엔드-포인트(End-Point) 레벨에 위치한 서버 타입의 인증자를 이용하여, 미인증된 시스템에 대한 유선 네트워크 접근을 차단할 때,
    802.1X 기반 유선 네트워크로 출력되는 메시지 내의 맥(MAC) 정보가 인증 맥 테이블에 등록되어 있으면 해당 시스템의 유선 네트워크 접근을 허용하고, 등록되어 있지 않으면 해당 시스템의 유선 네트워크 접근을 차단하는 단계; 및
    상기 유선 네트워크 접근 차단 대상 시스템 중, 인증 서버에 의해 인증 성공된 시스템의 맥 정보를 인증 맥 테이블에 등록해 유선 네트워크 접근을 선택적으로 허용하고, 인증 로그오프시 삭제해 유선 네트워크 접근을 차단하는 단계;
    를 포함하여 이루어진 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법.
  3. 제 2 항에 있어서,
    상기 인증 서버의 인증 결과와 관계없이 유선 네트워크 접근을 허용할 특정 시스템의 맥 정보를 관리자로부터 입력받아 상기 인증 맥 테이블에 등록하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법.
  4. 삭제
  5. 제 2 항에 있어서,
    상기 802.1X 기반 유선 네트워크 접근을 차단하는 단계는
    상기 ARP 응답 패킷에 의한 IP차단에 부가하여 IP 할당을 요청하는 시스템의 맥이 상기 인증 맥테이블에 등록되지 않은 경우, IP 미할당으로 유선 네트워크 접근을 차단하는 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법.
  6. 제 5 항에 있어서,
    상기 IP 미할당으로 유선 네트워크 접근을 차단할 때 자체 DHCP서버를 사용한 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법.
  7. 제 5 항에 있어서,
    상기 IP 미할당으로 유선 네트워크 접근을 차단할 때 맥 정보를 제공받아 연동하는 외부 DHCP서버를 사용하는 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 방법.
  8. 802.1X 기반 유선 네트워크 환경에서 액세스(Access) 레벨에 위치한 상태로 인증자 역할을 하는 L2 계층 스위치와 달리, 액세스(Access) 레벨에 위치하면서 802.1X를 지원하지 않는 L2 계층 스위치에 대해 하위의 엔드-포인트(End-Point) 레벨에 위치하면서 802.1X 기반 유선 네트워크의 소정 시스템의 인증을 요청하는 인증요청자;
    상기 인증요청자의 인증을 처리하는 인증서버;
    상기 인증요청자와 동일한 엔드-포인트(End-Point) 레벨에 위치하여 상기 인증서버와의 통신으로 인증 성공된 시스템의 유선 네트워크 접근을 허용하도록 802.1X를 지원하지 않는 L2 계층 스위치에 연결된 서버 타입의 인증자;
    를 포함하는 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
  9. 제 8 항에 있어서,
    상기 인증자는
    시스템의 맥(MAC) 정보가 등록된 인증 맥 테이블;
    상기 인증요청자가 인증요청한 시스템의 인증정보를 인증서버로 전달하고, 인증서버로부터 인증성공된 시스템의 맥 정보를 상기 인증 맥 테이블에 등록한 후, 인증 로그오프시 삭제하는 인증처리모듈;
    상기 인증 맥 테이블에 등록되어 있지 않은 맥으로 된 GARP 메시지를 브로드 캐스트한 시스템의 유선 네트워크 접근을 ARP 응답 패킷으로 차단하는 차단모듈;
    을 포함하여 이루어진 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
  10. 제 9 항에 있어서,
    상기 인증자는
    상기 차단모듈의 ARP 응답 패킷에 의한 유선 네트워크 접근 차단 방법에 부가하여 상기 인증 맥 테이블에 등록되어 있지 않은 맥으로 IP할당을 요청한 시스템의 802.1X 기반 유선 네트워크 접근을 IP미할당으로 차단하는 DHCP서버;
    를 더 포함하여 이루어진 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
  11. 제 9 항에 있어서,
    상기 인증 맥 테이블은
    인증서버에 의해 인증성공된 시스템의 맥 정보가 등록된 동적 인증 맥 테이블;
    인증서버의 인증결과와 관계없이 802.1X 기반 유선 네트워크 접근을 허용할 특정 시스템의 맥 정보가 등록된 정적 인증 맥 테이블;
    로 된 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
  12. 제 11 항에 있어서,
    상기 정적 인증 맥 테이블에는 802.1X를 지원하지 않거나 혹은 사용자 인증이 불가능하거나 사용자 인증에서 제외할 특정 시스템의 맥 정보가 등록되는 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
  13. 제 9 항에 있어서,
    상기 인증처리모듈은
    상기 인증요청자로부터 인증 정보와 인증 로그오프 정보를 수신하고, 인증요청자로부터 수신된 인증정보를 인증응답 처리모듈로 전달하여 인증서버에게 전송되게 하며, 인증응답 처리모듈이 수신한 인증정보와 인증결과를 인증요청자에게 전송하고, 인증 로그오프 정보 수신시 인증 맥 테이블 내 해당 시스템의 맥 정보를 삭 제하는 인증요청 처리모듈;
    상기 인증요청 처리모듈이 수신한 인증 정보를 인증서버로 전송하고, 인증서버에 의해 인증 성공된 시스템의 맥 정보를 상기 인증 맥 테이블에 등록하고, 인증서버로부터 수신된 인증정보와 인증결과를 인증요청 처리모듈로 전달하여 인증요청자에게 전송되게 하는 인증응답 처리모듈;
    로 된 것을 특징으로 하는 인증요청자와 동일한 레벨에 위치한 인증자를 이용한 네트워크 접근 제어 시스템.
KR1020080046179A 2008-05-19 2008-05-19 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 KR100875669B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080046179A KR100875669B1 (ko) 2008-05-19 2008-05-19 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080046179A KR100875669B1 (ko) 2008-05-19 2008-05-19 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR100875669B1 true KR100875669B1 (ko) 2008-12-26

Family

ID=40373104

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080046179A KR100875669B1 (ko) 2008-05-19 2008-05-19 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR100875669B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104009999A (zh) * 2014-06-10 2014-08-27 北京星网锐捷网络技术有限公司 防止arp欺骗的方法、装置及网络接入服务器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1724974A1 (en) 2005-05-16 2006-11-22 Alcatel Apparatus and associated method, for providing communication access to a communication device at a network access port
JP2006339933A (ja) 2005-06-01 2006-12-14 Alaxala Networks Corp ネットワークアクセス制御方法、およびシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1724974A1 (en) 2005-05-16 2006-11-22 Alcatel Apparatus and associated method, for providing communication access to a communication device at a network access port
JP2006339933A (ja) 2005-06-01 2006-12-14 Alaxala Networks Corp ネットワークアクセス制御方法、およびシステム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104009999A (zh) * 2014-06-10 2014-08-27 北京星网锐捷网络技术有限公司 防止arp欺骗的方法、装置及网络接入服务器
CN104009999B (zh) * 2014-06-10 2017-06-23 北京星网锐捷网络技术有限公司 防止arp欺骗的方法、装置及网络接入服务器

Similar Documents

Publication Publication Date Title
US7342906B1 (en) Distributed wireless network security system
JP4754964B2 (ja) 無線網制御装置及び無線網制御システム
US7360086B1 (en) Communications control method and information relaying device for communications network system
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
JP2008500607A (ja) デバイス組分け及び組分けデバイス同士の会話を実現する方法
US20090122798A1 (en) Ip network system and its access control method, ip address distributing device, and ip address distributing method
US20060161770A1 (en) Network apparatus and program
CN108990062B (zh) 智能安全Wi-Fi管理方法和系统
US20030167411A1 (en) Communication monitoring apparatus and monitoring method
CN107534664B (zh) 针对使能ieee 802.1x的网络的多因素授权
JP2007094548A (ja) アクセス制御システム
JP2004185498A (ja) アクセス制御装置
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
WO2017000443A1 (zh) 管理专线用户的方法、宽带接入服务器及管理服务器
JP6616733B2 (ja) ネットワークシステムおよびサーバ装置
JP5487116B2 (ja) 企業内内線アイデンティティをネットワークローミングする方法及び装置
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
CN112335215B (zh) 用于将终端设备联接到可联网的计算机基础设施中的方法
KR100875669B1 (ko) 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템
JP4881672B2 (ja) 通信装置及び通信制御プログラム
CN103188662B (zh) 一种验证无线接入点的方法以及装置
CN113556337A (zh) 终端地址识别方法、网络系统、电子设备及存储介质
KR101690105B1 (ko) 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법
CN114710302A (zh) 互联网访问的控制方法及其控制装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121023

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131017

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141006

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151016

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161028

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171114

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191107

Year of fee payment: 12