KR100888979B1 - 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 - Google Patents

사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 Download PDF

Info

Publication number
KR100888979B1
KR100888979B1 KR1020080094903A KR20080094903A KR100888979B1 KR 100888979 B1 KR100888979 B1 KR 100888979B1 KR 1020080094903 A KR1020080094903 A KR 1020080094903A KR 20080094903 A KR20080094903 A KR 20080094903A KR 100888979 B1 KR100888979 B1 KR 100888979B1
Authority
KR
South Korea
Prior art keywords
data
eap
authentication
user
address
Prior art date
Application number
KR1020080094903A
Other languages
English (en)
Inventor
허재영
유동호
Original Assignee
넷큐브테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 넷큐브테크놀러지 주식회사 filed Critical 넷큐브테크놀러지 주식회사
Priority to KR1020080094903A priority Critical patent/KR100888979B1/ko
Application granted granted Critical
Publication of KR100888979B1 publication Critical patent/KR100888979B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사용자 인증에 기반하여 3 계층(layer 3)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법이 제공된다.
사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)는 사용자 인증이 성공된 IP 주소를 포함하는 IP 주소 테이블을 저장하고, 데이터를 전송한 장치의 IP 주소가 상기 IP 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 IP 주소가 상기 IP 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 IP기반EAP/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 IP 주소를 상기 IP 주소 테이블에 추가하는 인증 관리부를 포함한다.
3 계층, 사용자 인증, 인포서

Description

사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING ACCESS TO NETWORK BASED ON USER AUTHENTICATION}
본 발명은 사용자 인증에 기반하여 네트워크에 대한 접속을 관리하고 차단하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는, 사용자 인증에 기반하여 3 계층(layer 3)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법에 관한 것이다.
종래의 구내 정보 통신망(local area network, LAN)은 동일한 네트워크 구간에 있는 사용자의 클라이언트 및 서버 등 모든 네트워크에 접속되어 있는 기기들이 상호 동등한 권한을 갖고 통신을 한다. 따라서, 일단 네트워크에 접속을 한 기기는 인터넷 접속 라우터 등을 통하여 외부 망에 접속하거나 동일 네트워크 내에 있는 다른 네트워크 장치들과 상호 규정된 통신 프로토콜에 의하여 통신이 가능하다. 이 경우 대표적으로 사용되는 통신 프로토콜은 TCP/IP(Transmission Control Protocol/Internet Protocol)이다.
TCP/IP 네트워크는 사용하는 주체에 따라 매우 다양한 구성이 가능하며, 그 규모도 무제한적인 확장이 가능하다. 가령 네트워크를 사용하는 주체가 매우 다양한 조직과 기능을 갖고 있다면, 원활한 업무를 위해서는 네트워크도 이에 따라 다양한 구성이 가능하여야 한다.
네트워크 사용자가 특정 그룹에 따라 특정 영역의 네트워크에 접근하는 것을 제어해야 할 필요가 있다면, 기존의 TCP/IP 통신 네트워크 상에서 상호 접속을 해주는 장치 이외에 상호 접속을 방지해주는 장치가 별도로 필요하다.
종래의 기술에 따른 사용자 접근 제어 기술로 방화벽(firewall)이 있다. 방화벽(firewall)은 일반적으로 외부에서 접속하는 네트워크 트래픽을 제어하기 위하여 사용되며, 사용자 백본(backbone)과 외부 접속 라우터(router) 사이에 위치할 수 있다.
이처럼 방화벽은 두 개의 네트워크 요소 사이에 위치하며, 정해진 규칙에 해당하는 트래픽만 해당 방화벽을 통과시키고 나머지 트래픽을 드롭(drop)시킬 수 있다.
방화벽에 설정되는 규칙은 일반적으로 관리자가 설정하며, 동적으로 변화되는 일은 거의 발생하지 않는다.
따라서, 방화벽은 외부의 공격자로부터 내부 사용자의 네트워크를 보호할 수 있으며, 이로 인해 내부 네트워크의 품질이 향상될 수 있다.
3 계층(layer 3)에 적용되는 방화벽은 네트워크에 대한 접속을 제어하기 위해 사용될 수 있다. 즉, 네트워크 상의 두 특정 영역 사이에 방화벽을 설치하여, 특정 TCP 혹은 UDP 포트 및 IP 주소 간 통신을 하지 못하도록 설정하면 양 영역 사이에 접속을 물리적으로 제한할 수 있다.
그러나 종래 기술에 따른 방화벽은 사전에 정의된 특정한 IP 주소 사이 또는 특정 서비스에 대한 접근의 차단만을 수행할 수 있다. 즉, 특정 사용자를 구분하여 인증된 사용자에게만 접근을 차단하거나 허가할 수 없다.
LAN 기반 네트워크에 접근하는 사용자를 제어하기 위한 기술로, IEEE802.1X 인증 시스템이 사용될 수 있다.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면이다.
종래 기술에 따른 구내 정보 통신망(LAN) 시스템은 구내 정보 통신망(LAN)에 대한 사용자의 접근을 제어하기 위하여 IEEE802.1X 프레임을 사용할 수 있다.
IEEE802.1X 프레임을 사용하는 LAN 시스템은, 사용자가 LAN에 물리적인 접속을 하는 경우, 예를 들어 스위치 허브에 LAN 케이블을 연결하거나 또는 무선 LAN에 접속하는 경우, 사용자를 인증하여 허가된 사용자에 한하여 접속을 허용할 수 있다.
제 1 사용자(10) 및 제 2 사용자 (20)은 스위치 허브(11) 및 무선 LAN AP(access point)(21)를 통하여 LAN 네트워크에 접속하며, 스위치 허브(11)는 및 무선 LAN AP(21)는 IEEE802.1X 인증자 기능을 제공한다.
스위치 허브(11) 또는 무선 LAN AP(21)는 각각 제 1 사용자(10) 또는 제 2 사용자(20)이 LAN 네트워크에 접속하는 과정에서 IEEE802.1X 표준에 따르는 인증 자(authenticator) 역할을 수행한다.
즉, 제 1 사용자(10) 또는 제 2 사용자(20)로부터 LAN 네트워크에 대한 접속 요청이 있는 경우, 스위치 허브(11) 또는 무선 LAN AP(21)는 인증 서버(30)로부터 제 1 사용자(10) 또는 제 2 사용자(20)의 권한을 확인하고, 권한이 인증된 사용자에 대하여 LAN으로의 접속을 허가하고, 인증에 실패한 사용자의 통신 패킷은 거부하여 LAN으로의 접속을 차단한다.
인증된 제 1 사용자(10) 또는 제 2 사용자(20)는 LAN 네트워크에 접속할 수 있으며, 인터넷 라우터(40)를 통하여 인터넷에 접속할 수 있다.
이러한 종래 기술에 따른 네트워크는 방화벽(firewall)을 이용하여 네트워크 구간의 특정 영역을 차단하였으나, 개별 사용자에 대한 인증을 수행하지 못하고, TCP 포트나 IP 주소를 이용하여 단편적인 형태의 차단만을 수행하였다.
또한, LAN 접속을 제어하는 IEEE802.1X 기술은 사용자를 정확히 인증한 후 LAN 네트워크로의 접속을 허가하는 기능을 제공하고 있으나, 사용자의 물리적인 접속에 사용되는 네트워크 장비, 예를 들어 스위치 허브 또는 무선 LAN AP가 IEEE802.1X 인증자의 기능이 탑재되어야 한다.
또한, IEEE802.1X는 일단 사용자가 인증을 받아 LAN 네트워크에 접속한 후 특정한 LAN 상의 구간에 대한 추가적인 접근을 제어할 수 없다. 즉, 종래 기술에 따른 구내 정보 통신망(LAN) 시스템은 제 1 사용자(10)가 제 2 사용자(20)에 접근하는 것을 별도로 차단하거나 허용할 수 없었다.
또한, IEEE802.1X 인증자가 탑재된 LAN 접속 장비와 지원되지 않는 장비가 혼용되어 있는 경우, 전체적으로 사용자 인증을 통한 접속 관리를 수행할 수 없다. 왜냐하면, IEEE802.1X는 LAN에 대한 접근을 2 계층에서 통제하여 전체 LAN을 보호하기 위한 것이므로, 일반 허브에 인증자 기능을 탑재시키기 위해서는 접속된 클라이언트 수만큼의 물리적인 스위치가 필요하거나, 모든 LAN 접속 장치를 IEEE 802.1X 인증자가 지원되는 LAN 접속 장치로 교체해야 하기 때문이다.
또한, 사용자 인증이 실패하여 네트워크에 접속할 수 없는 경우, 실패한 사용자는 LAN 네트워크 자체에 어떠한 형태로도 접속할 수 없으므로, 네트워크를 통한 온라인으로 예외 처리 관리를 할 수 없다.
또한, 기존의 IEEE802.1X 프레임을 지원하는 사용자 클라이언트는 LAN 접속 장치가 IEEE802.1X 인증자를 지원할 경우에만 동작한다. 따라서, LAN 접속 장치가 IEEE802.1X 인증자 기능을 수행하지 않을 때에도 사용자에 대한 인증을 수행할 수 있는 보조 기능이 필요하다.
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면이다.
사용자 클라이언트(12)와 인증자(13) 사이의 구간은 OSI 모델의 데이터 링크 계층에 대응하는 2 계층(layer 2)에 해당하며, 사용자 클라이언트(12)와 인증자(13)는 EAP(extensible authentication protocol) 데이터를 EAPOL(EAP over LAN) 규격에 따라 서로 송신하고 수신한다.
또한, 인증자(13)와 인증 서버(30) 사이의 구간은 3 계층(layer 3)에 해당하며, 인증자(13)와 인증 서버(30)는 RADIUS(remote authentication dial in user service) 프로토콜 규격에 따라 RADIUS 패킷 속에 EAP 데이터를 캡슐화(encapsulation)하여 서로 송신 및 수신한다.
인증자(13)는 사용자 에이전트(12)와 인증 서버(30) 사이에서 EAP 규격의 데이터를 전송 및 수신한다. 인증 서버(30)는 해당 사용자를 인증하여 그 결과를 인증자(13)에게 전달하고, 인증자(13)가 사용자 에이전트(12)의 접속을 허가 혹은 차단할 수 있다.
즉, 사용자 클라이언트(12)는 사용자 클라이언트의 네트워크 터미널, 예를 들어 데스크탑(desktop)이 해당될 수 있으며, 사용자 클라이언트(12)로부터 제공받은 인증 정보를 이용하여 LAN 접속 장치와 EAP 규격에 의한 통신을 수행한다.
이 경우, 사용자 에이전트(12)와 인증자(13) 사이의 구간은 전술한 바와 같이 2 계층에서 동작하며 EAPOL(EAP Over LAN) 규격에 따라 EAP 데이터를 직접 전송한다.
또한, 인증자(13)와 인증 서버(30) 사이의 구간은 3 계층 상에서 동작하는 RADIUS 프로토콜 규격을 따르며, RADIUS 패킷 속에 EAP 데이터를 캡슐화하여 전송을 수행할 수 있다.
그러나, 도 2에 도시된 인증 방법이 LAN 접속 장치에 탑재되는 경우에는 LAN 내의 특정 그룹 간의 접속 관리를 지원할 수 없으며, 2 계층에서만 사용자 인증이 수행되므로, 인증자 기능이 없는 스위치나 허브와 혼용하여 사용자 인증 기반 접속 관리 시스템을 구현할 수 없다.
본 발명의 일 실시예는 인증자 기능이 없는 LAN 접속 장치를 사용하거나, 인증자 기능이 있는 LAN 접속 장치 및 인증자 기능이 없는 LAN 접속 장치를 혼용하여 사용하는 네트워크 시스템에도 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있는 시스템 및 방법을 제공하고자 한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면은 사용자 인증이 성공된 IP 주소를 포함하는 IP 주소 테이블을 저장하고, 데이터를 전송한 장치의 IP 주소가 상기 IP 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 IP 주소가 상기 IP 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 IP기반EAP/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 IP 주소를 상기 IP 주소 테이블에 추가하는 인증 관리부를 포함하고, 상기 EAP 데이터는 IP 기반 EAP를 통해 상기 인포서로 전송되고, 상기 인증 서버는 상기 사용자 클라이언트에 대한 인 증을 수행하는 것인 사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)를 제공할 수 있다.
또한, 본 발명의 제 2 측면은 (a) EAP(extensible authentication protocol)에 따라 처리될 데이터를 가공하여 EAP 데이터를 생성하는 기능, (b) 2 계층(layer 2) 또는 3 계층(layer 3) 중 상기 EAP 데이터를 전송할 계층(layer)을 판단하는 기능 및 (c) 상기 EAP 데이터를 3 계층을 통해 전송할 것으로 판단한 경우, 상기 EAP 데이터를 IP 기반 EAP에 따라 가공하는 기능을 포함하는 사용자 인증에 기반한 네트워크 접속을 관리하는 에이전트 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체를 제공할 수 있다.
또한, 본 발명의 제 3 측면은 사용자 클라이언트로부터 데이터를 수신하는 단계, 상기 사용자 클라이언트의 IP 주소가 사용자 인증이 성공한 IP 주소에 해당하는 경우, 상기 데이터를 통과시키는 단계 및 상기 데이터가 IP 기반 EAP를 통해 수신된 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계를 포함하는 사용자 인증에 기반한 네트워크 접속을 관리하는 방법을 제공할 수 있다.
또한, 본 발명의 제 4 측면은 사용자 클라이언트로부터 IP 기반 EAP를 통해 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서, 상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수 행하는 인증 서버를 포함하고, 상기 사용자 클라이언트는 상기 에이전트를 이용하여 상기 IP 기반 EAP를 생성하는 에이전트가 설치되며, 상기 인포서는 사용자 인증이 성공한 클라이언트의 IP 주소를 저장하여 네트워크 접속을 관리하는 것인 사용자 인증에 기반한 네트워크 접속 관리 시스템을 제공할 수 있다.
전술한 본 발명의 과제 해결 수단에 의하면, 인증자 기능이 없는 LAN 접속 장치를 사용하는 네트워크 시스템에 인증자 기능을 제공하는 인포서를 추가하여, 과다한 추가 비용이 없이도 기존의 네트워크 시스템을 이용하여 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 " 전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면이다.
제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 LAN 네트워크에 접속한다. 제 1 LAN 접속 장치(110)는 IEEE802.1X 인증자 기능을 제공한다. 따라서, 제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.
제 2 사용자 클라이언트(200)는 제 2 LAN 접속 장치(110) 및 인포서(300)를 통하여 LAN 네트워크에 접속한다. 제 2 LAN 접속 장치(210)는 IEEE802.1X 인증자 기능을 제공하지 않는다. 따라서, 제 2 사용자 클라이언트(200)는 인포서(300)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.
여기서, 제 2 사용자 클라이언트(200)는 사용자 인증을 위한 EAP 데이터를 IP 기반의 형태(IP 기반 EAP)로 변환하여 인증 요청을 수행한다. 한편, EAP 데이터는 EAPOL(EAP over LAN)을 포함하며 IP 기반 EAP를 이용하여 제 2 LAN 접속 장치(210)를 거쳐 인포서(300)로 전송될 것이다.
본 명세서에서 인포서(enforcer)(300)는 인증자 기능이 없는 스위치 허브 등과 함께 사용되어 사용자의 인증을 수행하고 사용자 인증 기반의 방화벽 기능을 제 공하는 장치를 지칭한다.
즉, 인포서(300)는 제 2 LAN 접속 장치(210)를 통해 연결된 제 2 사용자 클라이언트(200)에 대한 인증을 수행한다. 인포서(300)는 IP 기반 EAP를 이용하여 제 2 LAN 접속 장치(210)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 RADIUS 프로토콜을 이용하여 인증 서버(400)으로 전송한다. 이처럼 인포서(300)는 IP 기반 EAP를 이용하여 EAP 데이터를 수신하고, RADIUS 프로토콜을 이용하여 EAP 데이터를 인증 서버(400)로 전송한다.
또한, 인포서(300)는 인증 서버(400)로부터 제 2 사용자 클라이언트(200)에 대한 인증 결과를 수신하고, 적합한 사용자로 인증된 경우 제 2 사용자 클라이언트(200)의 IP(internet protocol) 주소를 저장한다.
인포서(300)는 제 2 사용자 클라이언트(200)로부터 LAN 네트워크 접속 요청을 수신하고, 제 2 사용자 클라이언트(200)에 대한 인증 여부를 판단하여 그 결과에 따라 제 2 사용자 클라이언트(200)에 대한 인증을 수행하거나, 제 2 사용자 클라이언트(200)의 접속을 허용 또는 차단하거나, 또는 제 2 사용자 클라이언트(200)를 예외처리서버(500)로 접속시킨다.
인포서(300)는 제 2 사용자 클라이언트(200) 또는 제 2 LAN 접속 장치(210)와 IP 기반 EAP에 따라 EAP 데이터를 송수신하고, 인증 서버(400)와 RADIUS 프로토콜에 따라 EAP 데이터를 송수신한다.
인증 서버(400)는 인포서(300)로부터 제 2 사용자 클라이언트(200)에 대한 인증 요청을 수신하고, 수신한 인증 요청에 응답하여 제 2 사용자 클라이언트(200) 에 대한 인증을 수행하고, 인증 결과를 인포서(300)로 전송한다.
예외처리서버(500)는 인증을 위해 필요한 에이전트(agent)를 제 2 사용자 클라이언트(200)에 제공하고, 인증을 위한 가이드를 제공한다. 또한, 권한이 없는 사용자 클라이언트가 접속을 시도하거나, 사용자 클라이언트가 차단을 요하는 웹 사이트 등에 접속을 시도하는 경우, 인포서(300)는 사용자 클라이언트를 예외처리서버(500)의 특정 웹 페이지로 강제로 리라우팅(re-routing)시킨다.
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도이다.
본 발명의 일 실시예에 따른 인포서(300)는 데이터 수신부(310), 데이터 필터링부(320), IP 기반 EAP/RADIUS 변환부(330), RADIUS/IP기반EAP 변환부(340), 데이터 통과부(350), 리라우팅부(360) 및 인증 관리부(370)를 포함한다.
데이터 수신부(310)는 외부 장치, 예를 들어 사용자 클라이언트(도시 생략), LAN 접속 장치(도시 생략) 또는 인증 서버(도시 생략)로부터 데이터를 수신하고, 수신한 데이터를 데이터 필터링부(320)로 전송한다. 데이터 수신부(310)는 IP 기반 EAP 또는 RADIUS 프로토콜뿐만 아니라 네크워크에 접속된 장치에서 전송된 다양한 프로토콜의 데이터를 수신할 수 있다.
데이터 필터링부(320)는 데이터 수신부(310)로부터 수신한 데이터를 분석하고, 분석된 데이터를 IP기반EAP/RADIUS 변환부(330), RADIUS/IP기반EAP 변환부(340), 데이터 통과부(350) 또는 리라우팅부(360)로 스위칭하거나, 사용자 인증이 되지 않은 클라이언트의 데이터를 드롭(drop)시킨다.
데이터 필터링부(320)는 사용자 인증이 성공된 IP 주소를 포함하는 IP 주소 테이블, 예외처리서버(500)로 전송되도록 설정된 특정 포트를 포함하는 포트 테이블 및 트래픽을 관리하도록 설정된 IP 주소를 포함하는 관리 IP 주소 테이블을 저장할 수 있다.
수신한 데이터가 사용자 인증이 수행된 사용자 클라이언트로부터 수신된 경우, 데이터 필터링부(320)는 수신한 데이터를 데이터 통과부(350)로 전달한다.
예를 들어, 데이터를 전송한 사용자 클라이언트의 IP 주소가 IP 주소 테이블에 포함되어 있는 경우, 수신한 데이터를 데이터 통과부(350)로 바이패스시킬 수 있다.
또한, 데이터 필터링부(320)는, 수신한 데이터가 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신된 경우, 수신한 데이터를 IP기반EAP/RADIUS 변환부(330), RADIUS/IP기반EAP 변환부(340) 또는 리라우팅(re-routing)부(360) 중 하나로 스위칭하거나, 해당 데이터를 드롭시킬 수 있다.
만약, 사용자 클라이언트로부터 수신한 데이터가 EAP 데이터인 경우, 데이터 필터링부(320)는 수신한 EAP 데이터를 IP기반EAP/RADIUS 변환부(330) 또는 RADIUS/IP기반EAP 변환부(340)로 전송한다.
EAP 데이터인지의 식별은 수신한 데이터의 수신지(destination)을 이용하여 판단될 수 있다. 따라서, 수신한 데이터가 인포서(300)를 수신지로 하고, 사용자 클라이언트 또는 인증 서버(400)로부터 수신된 경우, 데이터 필터링부(320)는 데이터를 IP기반EAP/RADIUS 변환부(330) 또는 RADIUS/IP기반EAP 변환부(340)로 전송한다.
데이터 필터링부(320)는, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신한 데이터가 포트(port) 테이블에 포함된 특정한 포트(port)로부터 수신되거나 특정 서비스를 요청하는 내용을 포함하는 경우, 수신한 데이터를 리라우팅부(360)로 전송할 수 있다.
예를 들어, 수신한 데이터가 임의의 웹 페이지에 접속하기 위한 데이터인 경우, 데이터 필터링부(320)는 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 리라우팅부(360)의 구체적인 기술은 후술한다.
IP기반EAP/RADIUS 변환부(330)는 IP 프로토콜의 패킷 형태로 전송된 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 인증 서버(400)로 전송한다. 즉, IP기반EAP/RADIUS 변환부(330)는 IP 기반 EAP 에 따라 수신된 EAP 데이터를 RADIUS 프로토콜에 따르도록 변환하고, 변환한 EAP 데이터를 인증 서버로 전송한다.
이처럼 사용자 클라이언트 또는 LAN 접속 장치에 의해 전송된 EAP 데이터는IP기반EAP/RADIUS 변환부(330)에 의해 인증 서버로 전송되어, 인증되지 않은 사용자 클라이언트에 대한 인증 또는 인증된 사용자에 대한 재인증이 수행될 수 있다.
RADIUS/IP기반EAP 변환부(340)는 인증 서버(400)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 사용자 클라이언트 또는 LAN 접속 장치로 전송한다. 즉, RADIUS/IP기반EAP 변환부(340)는 RADIUS 프로토콜에 따라 수신된 EAP 데이터를 IP 기반 EAP 에 따르도록 변환하고, 변환한 EAP 데이터를 사용자 클라이언트로 전송한다.
데이터 통과부(350)는 데이터 필터링부(320)에 의해 인증된 IP 주소로부터 수신된 것으로 판단된 데이터를 데이터의 수신지로 전송되도록 통과시킨다.
리라우팅부(360)는 데이터 필터링부(320)로부터 수신한 데이터를 전송한 사용자 클라이언트(200)의 네트워크 트래픽(traffic)을 예외처리서버(500)로 전송한다. 예외처리서버(500)에 의해 사용자 클라이언트(200)는IP 기반 EAP를 이용하기 위한 에이전트를 설치할 수 있고, 그 외의 경고나 가이드 메시지 등을 수신할 수 있다.
인증 관리부(370)는, 인증 서버(400)에 의해 사용자 클라이언트에 대한 인증이 성공한 경우, 사용자 인증을 요청한 사용자 클라이언트의 IP 주소를 데이터 필터링부(320)에 저장된 IP 주소 테이블에 추가시킨다.
이처럼 인증 관리부(370)에 의해 사용자 인증이 성공한 IP 주소가 IP 테이블에 추가되므로, 사용자 인증이 성공한 사용자 클라이언트는 이후에 별도의 인증 절차 없이도 네트워크에 접속할 수 있다.
도 5는 본 발명의 일 실시예에 따른 에이전트의 구성을 도시한 블록도이다.
본 발명의 일 실시예에 따른 에이전트(700)는 EAP 처리부(710), 데이터 판단부(720), EAPOL 처리부(730), 인포서 적용부(740) 및 데이터 송수신부(750)를 포함한다.
에이전트(700)는 사용자 클라이언트(100, 200)에 설치되어 인증자 기능이 탑재된 LAN 접속 장치와 인포서(300)를 모두 사용할 수 있도록 지원한다.
EAP 처리부(710)는 EAP(extensible authentication protocol)에 따라 처리될 데이터를 가공한다. 즉, EAP 처리부(710)는 2 계층(layer 2) 또는 3 계층(layer 3) 를 통해 전송될 전송될 접근 인증용 데이터를 EAP에 적용하기 위하여 EAP 세션 처리를 하여 EAP 데이터로 변환한다. EAP 처리부(710)는 변환된 EAP 데이터를 판단부(720)로 전송한다.
판단부(720)는 EAP 데이터를 2 계층(layer 2)를 통하여 전송할지 또는 3 계층(layer 3)를 통하여 전송할지 여부를 판단한다.
예를 들어, 사용자가 2 계층 또는 3 계층으로 전송할 것으로 미리 설정한 경우, 판단부(720)는 사용자에 의한 설정에 따라 EAP 데이터를 EAPOL 처리부(730) 또는 인포서 적용부(740) 중 하나로 전송한다. 즉, EAP 데이터를 2 계층으로 전송할 것으로 설정된 경우, 판단부(720)는 EAP 데이터를 EAPOL 처리부(730)로 전송한다. 또한, EAP 데이터를 3 계층으로 전송할 것으로 설정된 경우, 판단부(720)는 EAP 데이터를 인포서 적용부(740)로 전송한다.
사용자에 의한 설정이 없는 경우, 판단부(720)는 EAP 데이터의 전송을 순차적으로 시도할 수 있다. 예를 들어, 판단부(720)는 우선 EAP 데이터를 EAPOL 처리부(730)로 전송하여 2 계층을 통해 인증 서버(400)로 전송하고, 2 계층을 통한 EAP 데이터의 전송에 실패한 경우, EAP 데이터를 인포서 적용부(740)로 전송하여 3 계층을 통해 인증 서버(400)로 전송한다.
또한, 사용자에 의한 설정이 없는 경우, 전술한 순차적인 방법과 달리 2 계층 및 3 계층을 통해 동시에 EAP 데이터를 인증 서버(400)로 전송할 수 있다. 이 경우, 판단부(720)는 EAP 데이터를 EAPOL 처리부(730) 및 인포서 적용부(740)로 전송한다. 이 경우, 에이전트(700)는 먼저 인증이 성공한 임의의 방식에 따라 인증을 수행한다.
EAPOL 처리부(730)는 판단부(720)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 2 계층 LAN에 싣기 위하여 가공한다. EAPOL 처리부(730)는 기존의 사용자 인증용 프로그램 모듈이나 운영 체제에서 제공하는 사용자 인증 모듈을 이용할 수 있다.
인포서 적용부(740)는 판단부(720)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 IP 기반 EAP를 통해 인포서(도시 생략)로 전송하기 위하여, EAP 데이터를 IP 프로토콜의 패킷에 적용되도록 가공한다. 이처럼 인포서 적용부(720)에 의해IP 기반 EAP로 가공된 EAP 데이터는 3계층(layer 3)를 통해 인포서(300)로 전송될 수 있다.
데이터 송수신부(750)는 EAPOL 처리부(730) 또는 인포서 적용부(740)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 2 계층 또는 3 계층을 통하여 인증 서버(400)로 전송한다.
에이전트(700)는 기존의 운영 체제에서 제공되는 모듈을 활용하는 프로그램의 형태로 컴퓨터가 읽기 가능한 저장매체에 저장될 수 있다.
도 6은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도이다.
단계(S105)에서, 인포서는 사용자 클라이언트로부터 데이터를 수신한다. 인포서는 IP 기반 EAP를 포함하는 다양한 프로토콜의 데이터를 수신할 수 있다.
단계(S110)에서, 단계(S105)에서 수신한 데이터가 IP 주소의 할당을 요청하 는 패킷인지 여부를 판단한다. 사용자 클라이언트의 IP 주소는 유동적으로 변경되는 유동 IP 주소일 수도 있으며, 이 경우 사용자 클라이언트는 IP 주소의 할당을 위하여 IP 주소 할당 요청 패킷을 DHCP(dynamic host configuration protocol, DHCP) 서버로 전송한다. 따라서, 단계(S105)에서 수신한 데이터가 이러한 IP 주소 할당 요청 패킷인지 여부를 판단한다.
단계(S115)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷인 것으로 판단된 경우, 수신한 IP 주소 할당 요청 패킷을 인포서에 포함된 DHCP 서버 또는 미리 설정된 DHCP 서버로 전송하거나, IP 주소 할당 요청 패킷에 설정된 수신지로 전송한다. 예를 들어, IP 주소 할당 요청 패킷이 BootP 패킷인 경우, BootP 패킷를 통과시켜 BootP 패킷의 수신지로 전송할 수 있다.
단계(S111)에서는, 단계(S105)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 획득하기 위한 DNS 요청 패킷인지 여부를 판단한다.
단계(S116)에서는, 단계(S111)에서 사용자 클라이언트로부터 수신한 데이터가 DNS 요청 패킷인 것으로 판단된 경우, 수신한 DNS 패킷을 통과시켜 DNS 서버로 전송한다. 이를 통해 사용자 클라이언트는 해당 DNS의 IP 주소를 획득할 수 있다.
단계(S120)에서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 IP 주소가 인포서에 저장된 IP 주소 테이블에 존재하는지 여부를 판단한다. IP 주소 테이블은 사용자 인증에 성공한 사용자 클라이언트의 IP 주소를 포함한다. 따 라서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 IP 주소가 IP 주소 테이블에 포함되었는지 판단하여 단계(S105)에서 수신한 데이터가 사용자 인증된 IP 주소를 갖는 사용자 클라이언트로부터 전송되었는지, 여부를 판단할 수 있다.
단계(S125)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷이 아닌 것으로 판단된 경우, 수신한 데이터가 관리 IP 주소로부터 전송되었는지 여부를 판단한다.
인포서는 사용자 인증에 성공했더라도 트래픽을 차단하거나 예외처리서버나 검역소로 리라우팅되도록 설정된 관리 IP 주소 테이블을 포함할 수 있으며, 이러한 관리 IP 주소 테이블과 데이터를 전송한 IP 주소를 비교하여 수신한 데이터에 대한 차단 등의 여부를 판단할 수 있다.
단계(S130)에서는, 단계(S125)에서 관리 IP 주소 테이블에 포함된 IP 주소로부터 데이터가 수신되지 않은 것으로 판단되는 경우, 인포서는 단계(S105)에서 수신한 데이터를 통과시켜, 데이터의 수신지(destination)로 전송한다.
전술한 바와 같이, IP 주소 테이블에 포함된 IP 주소는 사용자 인증이 성공한 IP 주소이므로, 인포서는 수신한 데이터에 대하여 별도로 사용자 인증을 수행하지 않고, 데이터의 수신지로 전송한다.
단계(S135)에서는, 단계(S120)에서 IP 주소 테이블에 포함되지 않은 IP 주소로부터 데이터가 수신된 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 IP 기반 EAP를 통해 수신되었는지 여부를 판단한다.
사용자 클라이언트의 인증을 위한 EAP 데이터는 IP 패킷을 통해 사용자 클라이언트로부터 인포서로 수신된다. 따라서, 단계(S105)에서 수신한 데이터가 IP 기반 EAP를 통해 수신된 경우, 수신한 데이터는 사용자 클라이언트의 인증을 위한 EAP 데이터인 것으로 판단될 수 있다.
단계(S140)에서는, 단계(S135)에서 IP 기반 EAP를 통해 데이터가 수신된 것으로 판단된 경우, 인포서는 단계(S105)에서 수신한 데이터가 RADIUS 프로토콜에 따라 인증 서버로 전송될 수 있도록 데이터를 변환하고, 변환한 데이터를 인증 서버로 전송한다.
단계(S145)에서는, 단계(S135)에서 데이터가 IP 기반 EAP를 통해 수신되지 않은 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 특정한 포트(port)로부터 전송되거나 특정 서비스, 예를 들어 웹 페이지에의 접속 등을 요청하는 내용을 포함하는지 여부를 판단한다.
단계(S150)에서는, 단계(S125)에서 데이터가 관리 IP 주소로부터 전송된 것으로 판단된 경우 또는 단계(S145)에서 데이터가 특정 포트로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하는 것으로 판단된 경우 또는, 단계(S105)에서 수신한 데이터를 예외처리서버(도시 생략)로 리라우팅(re-routing)한다.
전술한 바와 같이, 리라우팅된 예외처리서버는 아직 사용자 인증을 수행하지 않은 클라이언트에 인증을 위해 필요한 에이전트(agent)를 설치하고, 인증을 위한 가이드를 제공할 수 있다.
또한, 사용자 인증이 되었더라도 소정의 이유, 예를 들어 불법 프로그램 설 치 또는 바이러스 보유 등의 이유로 인해 차단 IP 주소로 설정된 사용자 클라이언트에 대하여 경고 메시지 등을 전송하거나, 예외처리서버 혹은 검역소로 리라우팅시킬 수 있다.
단계(S155)에서는, 단계(S145)에서 데이터가 특정한 포트(port)로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하지 않는 것으로 판단된 경우, 단계(S105)에서 수신한 데이터를 드롭(drop)시켜 차단한다.
전술한 바와 같이 본 발명의 일 실시예는 사용자 클라이언트의 IP 주소가 고정된 IP 주소인 경우뿐만 아니라, 유동적으로 변경되는 유동 IP 주소인 경우도 적용될 수 있다.
사용자 클라이언트의 IP 주소가 유동 IP 주소인 경우, 인포서는 동적 호스트 설정 통신 규약(dynamic host configuration protocol, DHCP) 서버를 포함하거나, 특정 DHCP 서버로 해당 데이터를 전송하도록 미리 설정될 수 있다.
한편, 전술한 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 3 계층에서 동작하므로, 해당 사용자 클라이언트에 접속된 네트워크 케이블의 탈착 또는 실착을 판단할 수 없다.
따라서, 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 세션 타임아웃(session timeout) 또는 아이들 타임아웃(idle timeout)을 통해 사용자 클라이언트에 대한 재인증을 수행하고, 재인증에 대한 응답이 없는 경우 사용자 클라이언트의 IP를 인포서의 데이터베이스에 저장된 IP 주소 테이블로부터 삭제할 수 있다. 그리고 단계(S155)에 의해 드롭된 사용자 클라이언트나 단계(S150)에 의해 리 라우팅된 사용자 클라이언트는 인포서가 해당 클라이언트의 IP주소로 인증요청 하여 인증을 시도할 수 있다
전술한 본 발명의 일 실시예에서, EAP 데이터는 TCP/IP의 대표적인 프로토콜인 TCP 혹은 UDP(user datagram protocol)를 이용할 수 있으나, TCP 및 UDP 이외의 다른 4 계층 이상의 프로토콜이 사용될 수도 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면,
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면,
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면,
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도,
도 5는 본 발명의 일 실시예에 따른 에이전트의 구성을 도시한 블록도,
도 6은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도.

Claims (15)

  1. 사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)에 있어서,
    사용자 인증이 성공된 IP 주소를 포함하는 IP 주소 테이블을 저장하고, 데이터를 전송한 장치의 IP 주소가 상기 IP 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부,
    상기 IP 주소가 상기 IP 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부,
    상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 IP기반EAP/RADIUS 변환부 및
    상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 IP 주소를 상기 IP 주소 테이블에 추가하는 인증 관리부
    를 포함하고,
    상기 EAP 데이터는 IP 기반 EAP를 통해 상기 인포서로 전송되고, 상기 인증 서버는 상기 사용자 클라이언트에 대한 인증을 수행하는 것인 네트워크 접속을 관리하는 인포서.
  2. 제 1 항에 있어서,
    상기 데이터 필터링부는 미리 설정된 포트(port)를 포함하는 포트 테이블을 저장하고, 상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신하는지 여부를 판단하며,
    상기 인포서는,
    상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 리라우팅부
    를 더 포함하고,
    상기 데이터는 상기 IP 주소 테이블에 저장되지 않은 IP 주소로부터 수신하는 것인 네트워크 접속을 관리하는 인포서.
  3. 제 1 항에 있어서,
    상기 데이터 필터링부는 사용자 인증된 IP 주소 중 관리 대상이 되는 관리 IP 주소를 저장하고, 상기 관리 IP 주소 테이블에 포함되는 IP 주소로부터 상기 데이터를 수신하는지 여부를 판단하며,
    상기 인포서는,
    상기 관리 IP 주소로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅하는 리라우팅(re-routing)부
    를 더 포함하는 네트워크 접속을 관리하는 인포서.
  4. 제 2 항 또는 제 3 항에 있어서,
    상기 예외처리서버는 상기 사용자 클라이언트에 사용자 인증을 위한 에이전트(agent)의 설치를 제공하는 것인 네트워크 접속을 관리하는 인포서.
  5. 사용자 인증에 기반한 네트워크 접속을 관리하는 에이전트 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체에 있어서,
    (a) EAP(extensible authentication protocol)에 따라 처리될 데이터를 가공하여 EAP 데이터를 생성하는 기능,
    (b) 2 계층(layer 2) 또는 3 계층(layer 3) 중 상기 EAP 데이터를 전송할 계층(layer)을 판단하는 기능 및
    (c) 상기 EAP 데이터를 3 계층을 통해 전송할 것으로 판단한 경우, 상기 EAP 데이터를 IP 기반 EAP에 따라 가공하는 기능
    을 포함하는 에이전트 프로그램이 기록된 기록매체.
  6. 제 5 항에 있어서,
    (d) 상기 EAP 데이터를 2 계층을 통해 전송할 것으로 판단한 경우, 상기 EAP 데이터를 EAPOL(EAP over LAN)에 따라 가공하는 기능
    을 더 포함하는 에이전트 프로그램이 기록된 기록매체.
  7. 제 5 항에 있어서,
    상기 기능 (b)는 사용자에 의한 설정에 기초하여 상기 EAP 데이터를 전송할 계층을 판단하는 것인 에이전트 프로그램이 기록된 기록매체.
  8. 제 5 항에 있어서,
    상기 기능 (b)는 상기 2 계층 및 상기 3 계층 중 어느 하나에 순차적으로 상기 EAP 데이터를 전송하는 것인 에이전트 프로그램이 기록된 기록매체.
  9. 제 5 항에 있어서,
    상기 기능 (b)는 상기 2 계층 및 상기 3 계층을 통해 동시에 상기 EAP 데이터를 전송하는 것인 에이전트 프로그램이 기록된 기록매체.
  10. 사용자 인증에 기반한 네트워크 접속을 관리하는 방법에 있어서,
    사용자 인증에 성공한 사용자 클라이언트의 IP 주소 테이블을 저장하는 단계,
    접속을 요청한 사용자 클라이언트의 IP 주소가 상기 IP 주소 테이블에 포함되어 있는 경우, 상기 데이터를 통과시키는 단계 및
    접속을 요청한 사용자 클라이언트의 IP 주소가 상기 IP 주소 테이블에 포함되어 있지 않고, 상기 데이터가 IP 기반으로 가공된 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계 및
    사용자 인증이 성공한 경우, 상기 IP 기반으로 가공된 EAP 데이터를 전송한 사용자 클라이언트의 IP 주소를 상기 IP 주소 테이블에 추가하는 단계
    를 포함하는 네트워크 접속 관리 방법.
  11. 제 10 항에 있어서,
    상기 데이터가 미리 설정된 포트(port)로부터 수신된 경우, 상기 사용자 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 단계
    를 더 포함하고,
    상기 예외처리서버는 상기 사용자 클라이언트에 인증을 위한 에이전트(agent)의 설치를 제공하는 것인 네트워크 접속 관리 방법.
  12. 제 10 항에 있어서,
    상기 사용자 클라이언트로부터 IP 주소 할당과 관련된 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계
    를 더 포함하는 네트워크 접속 관리 방법.
  13. 제 10 항에 있어서,
    상기 사용자 클라이언트로부터 도메인 네임에 대응하는 IP 주소를 요청하는 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계
    를 더 포함하는 네트워크 접속 관리 방법.
  14. 사용자 인증에 기반한 네트워크 접속 관리 시스템에 있어서,
    사용자 클라이언트로부터 IP 기반으로 가공된 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서,
    상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버
    를 포함하고,
    상기 사용자 클라이언트에는 EAP 데이터를 IP 기반으로 가공하는 에이전트가 설치되며, 상기 인포서는 상기 IP 기반으로 가공된 EAP 데이터를 이용하여 사용자 인증이 성공한 클라이언트의 IP 주소를 저장하여 네트워크 접속을 관리하는 것인 네트워크 접속 관리 시스템.
  15. 제 14 항에 있어서,
    상기 인포서에 의해 라우팅되며, 사용자 클라이언트에 설치되는 사용자 인증용 에이전트를 제공하는 예외처리서버
    를 더 포함하는 네트워크 접속 관리 시스템.
KR1020080094903A 2008-09-26 2008-09-26 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 KR100888979B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080094903A KR100888979B1 (ko) 2008-09-26 2008-09-26 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080094903A KR100888979B1 (ko) 2008-09-26 2008-09-26 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100888979B1 true KR100888979B1 (ko) 2009-03-19

Family

ID=40698316

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080094903A KR100888979B1 (ko) 2008-09-26 2008-09-26 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100888979B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220041706A (ko) * 2020-09-25 2022-04-01 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. 인증 방법 및 장치, 컴퓨팅 장치 및 매체
CN115022071A (zh) * 2022-06-22 2022-09-06 湖北天融信网络安全技术有限公司 一种认证服务器的网络接入控制方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (ko) * 2001-12-22 2003-06-28 주식회사 케이티 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
WO2006081237A2 (en) 2005-01-26 2006-08-03 Lockdown Networks, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US7325346B2 (en) 2000-12-21 2008-02-05 Munroe Chirnomas Method and apparatus for quick change display graphics on a merchandiser

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7325346B2 (en) 2000-12-21 2008-02-05 Munroe Chirnomas Method and apparatus for quick change display graphics on a merchandiser
KR20030053280A (ko) * 2001-12-22 2003-06-28 주식회사 케이티 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
WO2006081237A2 (en) 2005-01-26 2006-08-03 Lockdown Networks, Inc. Enabling dynamic authentication with different protocols on the same port for a switch

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Symantec Sygate Enterprise Protection Enforcer Installation and Administration Guide Release 5.1 (2005.12.19.)*

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220041706A (ko) * 2020-09-25 2022-04-01 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. 인증 방법 및 장치, 컴퓨팅 장치 및 매체
KR102520809B1 (ko) 2020-09-25 2023-04-11 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. 인증 방법 및 장치, 컴퓨팅 장치 및 매체
CN115022071A (zh) * 2022-06-22 2022-09-06 湖北天融信网络安全技术有限公司 一种认证服务器的网络接入控制方法及系统

Similar Documents

Publication Publication Date Title
US8484695B2 (en) System and method for providing access control
US9083753B1 (en) Secure network access control
US8132233B2 (en) Dynamic network access control method and apparatus
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US8230480B2 (en) Method and apparatus for network security based on device security status
US7945945B2 (en) System and method for address block enhanced dynamic network policy management
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2009538478A5 (ko)
US20160352731A1 (en) Network access control at controller
WO2005024567A2 (en) Network communication security system, monitoring system and methods
JP3746782B2 (ja) ネットワークシステム
KR100904215B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
KR100888979B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
US20180220477A1 (en) Mobile communication system and pre-authentication filters
KR100811831B1 (ko) 사설 네트워크의 인증장치 및 인증방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130110

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140224

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150302

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160310

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170223

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180306

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190311

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20200228

Year of fee payment: 12