KR100904215B1 - System and method for managing access to network based on user authentication - Google Patents
System and method for managing access to network based on user authentication Download PDFInfo
- Publication number
- KR100904215B1 KR100904215B1 KR1020080115080A KR20080115080A KR100904215B1 KR 100904215 B1 KR100904215 B1 KR 100904215B1 KR 1020080115080 A KR1020080115080 A KR 1020080115080A KR 20080115080 A KR20080115080 A KR 20080115080A KR 100904215 B1 KR100904215 B1 KR 100904215B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- mac address
- authentication
- user
- eap
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
Description
본 발명은 사용자 인증에 기반하여 네트워크에 대한 접속을 관리하고 차단하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는, 사용자 인증에 기반하여 2 계층(layer 2)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for managing and blocking access to a network based on user authentication, and more particularly, to managing and blocking access to a network at a layer 2 based on user authentication. System and method.
구내 정보 통신망(local area nework, LAN)을 통해 네트워크를 사용하는 단말의 이동성이 향상되고 LAN 네트워크에 접속하는 통신 방식이 발전함에 따라, 네트워크를 보호하기 위한 보안 기술이 발전하고 있다.As the mobility of terminals using a network through a local area network (LAN) improves and a communication method for accessing a LAN network has been developed, security technologies for protecting a network have been developed.
즉, LAN 네트워크에 접속하는 단말이 노트북 등 이동 단말의 형태로 이동성을 획득하고 LAN 접속 방식이 무선 방식으로 발전되어 무선 LAN의 사용이 증가됨에 따라 LAN에 접속하는 클라이언트를 제어하고 관리하는 것이 어려워졌다.In other words, as a terminal connecting to a LAN network acquires mobility in the form of a mobile terminal such as a laptop and the LAN connection method is developed into a wireless method, it is difficult to control and manage a client connecting to a LAN as the use of a wireless LAN increases. .
따라서, LAN에 접속하는 클라이언트에 대한 네트워크 사용 권한을 선별적으 로 허가하고 관리할 수 있는 방법의 필요성이 제기되었으며, 그 대표적인 기술은 IEEE802.1X 표준 프레임을 따르는 포트 기반 사용자 인증 기술이다.Therefore, the necessity of a method for selectively granting and managing network usage rights for a client connecting to a LAN has been raised. The representative technology is a port-based user authentication technology that conforms to the IEEE802.1X standard frame.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면이다.1 is a diagram illustrating a configuration of a local area network (LAN) system according to the prior art.
종래 기술에 따른 구내 정보 통신망(LAN) 시스템은 LAN에 대한 사용자의 접근을 제어하기 위하여 IEEE802.1X 프레임을 사용할 수 있다.A local area network (LAN) system according to the prior art may use IEEE802.1X frames to control a user's access to the LAN.
IEEE802.1X 프레임을 사용하는 LAN 시스템은, 사용자가 LAN에 물리적인 접속을 하는 경우, 예를 들어 스위치 허브에 LAN 케이블을 연결하거나 또는 무선 LAN에 접속하는 경우, 사용자를 인증하여 허가된 사용자에 한하여 접속을 허용할 수 있다.LAN systems using the IEEE802.1X frame are only for authorized users who authenticate users when they make a physical connection to the LAN, for example, by connecting a LAN cable to a switch hub or when connecting to a wireless LAN. You can allow the connection.
제 1 사용자(10) 및 제 2 사용자 (20)은 스위치 허브(11) 및 무선 LAN AP(access point)(21)를 통하여 LAN 네트워크에 접속한다.The first user 10 and the second user 20 connect to a LAN network through a
스위치 허브(11) 또는 무선 LAN AP(21)는 각각 제 1 사용자(10) 또는 제 2 사용자(20)이 LAN 네트워크에 접속하는 과정에서 IEEE802.1X 표준에 따르는 인증자(authenticator) 역할을 수행한다.The
즉, 제 1 사용자(10) 또는 제 2 사용자(20)로부터 LAN 네트워크에 대한 접속 요청이 있는 경우, 스위치 허브(11) 또는 무선 LAN AP(21)는 인증 서버(30)로부터 제 1 사용자(10) 또는 제 2 사용자(20)의 권한을 확인하고, 권한이 인증된 사용자에 대하여 LAN으로의 접속을 허가하고, 인증에 실패한 사용자의 통신 패킷은 거부하여 LAN으로의 접속을 차단한다.That is, when there is a request for connection to the LAN network from the first user 10 or the second user 20, the
인증된 제 1 사용자(10) 또는 제 2 사용자(20)는 LAN 네트워크에 접속할 수 있으며, 인터넷 라우터(40)를 통하여 인터넷에 접속할 수 있다.The authenticated first user 10 or second user 20 can access a LAN network and can access the Internet through an
이러한 종래 기술에 따른 LAN 접속을 제어하는 IEEE802.1X 기술은 사용자를 정확히 인증한 후 LAN 네트워크로의 접속을 허가하는 기능을 제공하고 있으나, 사용자의 물리적인 접속에 사용되는 네트워크 장비, 예를 들어 스위치 허브 또는 무선 LAN AP가 IEEE802.1X 인증자의 기능이 탑재되어야 한다.The IEEE802.1X technology for controlling a LAN connection according to the prior art provides a function for allowing a connection to a LAN network after authenticating a user correctly, but a network device, for example, a switch, used for a user's physical connection. The hub or wireless LAN AP must be equipped with the capabilities of the IEEE802.1X authenticator.
이 경우 스위치 허브를 통한 유선 접속 방식과 무선 LAN AP를 통한 무선 접속 방식 간에 IEEE802.1X를 적용하는 과정은 근본적으로 동일하다.In this case, the process of applying IEEE802.1X is basically the same between the wired connection through the switch hub and the wireless connection through the wireless LAN AP.
또한, IEEE802.1X는 일단 사용자가 인증을 받아 LAN 네트워크에 접속한 후 특정한 LAN 상의 구간에 대한 추가적인 접근을 제어할 수 없다. In addition, IEEE802.1X cannot control additional access to a section on a particular LAN once the user has been authenticated and connected to the LAN network.
또한, IEEE802.1X 인증자가 탑재된 LAN 접속 장비와 지원되지 않는 장비가 혼용되어 있는 경우, 전체적으로 사용자 인증을 통한 접속 관리를 수행할 수 없다. 왜냐하면, IEEE802.1X는 LAN에 대한 접근을 2 계층에서 통제하여 전체 LAN을 보호하기 위한 것이므로, 모든 LAN 접속 장치를 IEEE 802.1X 인증자가 지원되는 LAN 접속 장치로 교체해야 하기 때문이다. 즉, LAN 네트워크 시스템 상의 LAN 접속 장치를 통하여 접속하는 모든 사용자 클라이언트가 아닌 일부의 사용자 클라이언트만을 관리하는 경우, 전체 LAN 시스템이 위험에 노출된다.In addition, when a LAN connection device equipped with an IEEE802.1X authenticator and an unsupported device are mixed, it is not possible to perform connection management through user authentication as a whole. This is because IEEE802.1X is intended to protect the entire LAN by controlling access to the LAN at the second layer. Therefore, all LAN access devices must be replaced with LAN access devices supported by the IEEE 802.1X authenticator. In other words, when only some user clients are managed, not all user clients connected through the LAN connection device on the LAN network system, the entire LAN system is exposed to risk.
따라서, 종래의 LAN 시스템은 모든 LAN 접속 장치가 동시에 IEEE802.1X 인증자 기능을 지원하도록 구축되어야 한다. 그리고 일부의 LAN 접속 장치라도 IEEE802.1X 인증자 기능을 지원하지 않는다면, 이러한 LAN 접속 장치는 IEEE802.1X 인증자 기능을 지원하는 장치로 교체되어야 하며, 이로 인한 비용이 증가하게 된다.Therefore, the conventional LAN system must be constructed such that all LAN connection devices simultaneously support the IEEE802.1X authenticator function. And even if some LAN access devices do not support the IEEE802.1X authenticator function, such LAN access devices must be replaced with devices that support the IEEE802.1X authenticator function, thereby increasing the cost.
또한, 사용자 인증이 실패하여 네트워크에 접속할 수 없는 경우, 실패한 사용자는 LAN 네트워크 자체에 어떠한 형태로도 접속할 수 없으므로, 네트워크를 통한 온라인으로 예외 처리 관리를 할 수 없다.In addition, when the user authentication fails and cannot be connected to the network, the failed user cannot access the LAN network itself in any form, and thus cannot manage exception processing online via the network.
또한, 기존의 IEEE802.1X 프레임을 지원하는 사용자 클라이언트는 LAN 접속 장치가 IEEE802.1X 인증자를 지원할 경우에만 동작한다. 따라서, LAN 접속 장치가 IEEE802.1X 인증자 기능을 수행하지 않을 때에도 사용자에 대한 인증을 수행할 수 있는 보조 기능이 필요하다.In addition, the user client supporting the existing IEEE802.1X frame operates only when the LAN access device supports the IEEE802.1X authenticator. Therefore, there is a need for an auxiliary function capable of authenticating a user even when the LAN access device does not perform the IEEE802.1X authenticator function.
또한, 종래의 기술에 따라 LAN 접속 장치를 통해 LAN 네트워크 시스템에 접속하는 경우, 물리적인 포트(port), 예를 들어 스위치 허브 포트의 수에 따른 물리적인 제약이 발생하여 LAN 네트워크 시스템에 접속할 수 있는 클라이언트의 수가 제한된다.In addition, when accessing a LAN network system through a LAN access device according to the related art, physical limitations may occur due to the number of physical ports, for example, a switch hub port, to connect to a LAN network system. The number of clients is limited.
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면이다.2 is a diagram illustrating a protocol connection of a local area network (LAN) system according to the prior art.
사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 OSI 모델의 데이터 링크 계층에 대응하는 2 계층(layer 2)에 해당하며, 사용자 클라이언트(12)와 LAN 접속 장치(13)는 EAP(extensible authentication protocol) 데이터를 EAPOL(EAP over LAN) 규격에 따라 서로 송신하고 수신한다.The interval between the
또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(layer 3)에 해당하며, LAN 접속 장치(13)와 인증 서버(30)는 TCP/IP에 기반하는 RADIUS(remote authentication dial in user service) 프로토콜 규격에 따라 RADIUS 패킷 속에 EAP 데이터를 캡슐화(encapsulation)하여 서로 송신 및 수신한다.In addition, a section between the
사용자 클라이언트(12)는 네트워크 터미널, 예를 들어 데스크탑, 노트북 등을 포함할 수 있다. 사용자 클라이언트(12)는 탑재된 인증 에이전트를 통해 사용자로부터 제공받은 인증 정보를 이용하여 LAN 접속 장치에 탑재된 LAN 접속 장치(13)와 2계층(layer 2)상에서 통신을 수행할 수 있다.
LAN 접속 장치(13)는 사용자 클라이언트(12)와 인증 서버(30) 사이에서 EAP 규격의 데이터를 전송 및 수신한다. 인증 서버(30)는 해당 사용자를 인증하여 그 결과를 LAN 접속 장치(13)에게 전달하고, LAN 접속 장치(13)가 사용자 에이전트(12)의 접속을 허가 혹은 차단할 수 있다.The
이 경우, 사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 전술한 바와 같이 2 계층에서 동작하며 EAPOL(EAP Over LAN) 규격에 따라 EAP 데이터를 직접 전송한다.In this case, the section between the
또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(TCP/IP) 상에서 동작하는 RADIUS 프로토콜 규격을 따르며, RADIUS 패킷 속에 EAP 데이터를 캡슐화하여 전송을 수행할 수 있다.In addition, the interval between the
본 발명의 일 실시예는 인증자 기능이 없는 LAN 접속 장치를 사용하거나, 인증자 기능이 있는 LAN 접속 장치 및 인증자 기능이 없는 LAN 접속 장치를 혼용하여 사용하는 네트워크 시스템에도 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있는 시스템 및 방법을 제공하고자 한다.An embodiment of the present invention is a connection management based on user authentication in a network system using a LAN access device without an authenticator function or using a LAN access device with an authenticator function and a LAN access device without an authenticator function. It is intended to provide a system and method that can provide functionality.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면은 사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부를 포함하고, 상기 EAP 데이터는 2 계층(layer 2)의 프로토콜을 사용하여 전송되는 사용자 인증에 기반한 네트워크 접속을 관리하는 인 포서(enforcer)를 제공할 수 있다.As a technical means for achieving the above-described technical problem, a first aspect of the present invention stores a MAC address table including a MAC address of the user authentication is successful, the MAC address of the device that transmitted the data is stored in the MAC address table A data filtering unit that determines at least one of whether the data is included and whether the data is extensible authentication protocol (EAP) data, and when the MAC address is included in the MAC address table, a destination of the data. EAPOL / RADIUS conversion unit and the authentication unit for transmitting the data passing through the transmission, if the data is EAP data for user authentication, converts the EAP data according to the RADIUS protocol (remote authentication dial in user service) If authentication is successful by the server, the MAC address of the client that requested the user authentication is changed. An authentication unit that added to the MAC address table, the EAP data may provide a Four Thirds (enforcer) to manage a network connection based on the user authentication is transmitted using a protocol of the second layer (layer 2).
또한, 본 발명의 제 2 측면은 사용자 클라이언트로부터 데이터를 수신하는 단계, 상기 데이터가 2계층의 EAP 데이터인 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계, 상기 인증 서버를 이용하여 사용자 인증이 성공한 경우, 상기 사용자 클라이언트의 MAC 주소를 MAC 주소 테이블에 저장하는 단계 및 상기 데이터가 상기 MAC 주소 테이블에 저장된 MAC 주소를 가진 사용자 클라이언트로부터 수신된 경우, 상기 데이터를 통과시키는 단계를 포함하는 사용자 인증에 기반한 네트워크 접속을 관리하는 방법을 제공할 수 있다.In addition, the second aspect of the present invention is the step of receiving data from a user client, if the data is layer 2 EAP data, converting the data into data according to the remote authentication dial in user service (RADIUS) protocol, Transmitting the converted data to an authentication server for performing user authentication, if user authentication is successful using the authentication server, storing the MAC address of the user client in a MAC address table, and the data is stored in the MAC address table When received from the user client having a MAC address stored in the, it may provide a method for managing a network connection based on user authentication comprising passing the data.
또한, 본 발명의 제 3 측면은 사용자 클라이언트로부터 2 계층(layer 2)의 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서, 상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버를 포함하고, 상기 인포서는 사용자 인증이 성공한 클라이언트의 MAC 주소를 저장하여 네트워크 접속을 관리하는 것인 사용자 인증에 기반한 네트워크 접속 관리 시스템을 제공할 수 있다.In addition, a third aspect of the present invention is an InfoSAP that receives layer 2 EAP data from a user client and converts the received EAP data according to the RADIUS protocol. And an authentication server configured to receive data and authenticate the user client using the received EAP data, wherein the information agent manages a network connection by storing a MAC address of a client for which user authentication is successful. A network connection management system based on authentication can be provided.
전술한 본 발명의 과제 해결 수단에 의하면, 인증자 기능이 없는 LAN 접속 장치를 사용하는 네트워크 시스템에 인증자 기능을 제공하는 인포서를 추가하여, 과다한 추가 비용이 없이도 기존의 네트워크 시스템을 이용하여 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있다.According to the problem solving means of the present invention described above, by adding an information sheet providing the authenticator function to a network system using a LAN connection device without the authenticator function, user authentication using an existing network system without excessive additional costs It can provide access management based on.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is "connected" to another part, this includes not only "directly connected" but also "electrically connected" with another element in between. . In addition, when a part is said to "include" a certain component, which means that it may further include other components, except to exclude other components unless otherwise stated.
이하에서 설명하는 본 발명의 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템에서 2 계층(layer 2)의 프로토콜로서 EAPOL(EAP over LAN)이 사용되고, 3 계층(layer 3)의 프로토콜로서 RADIUS(remote authentication dial in user service) 프로토콜이 사용되었으나, 이에 한정되지 않으며 또 다른 2 계층의 프로토콜 및 3 계층의 프로토콜이 사용될 수도 있다.In a network access management system based on user authentication according to an embodiment of the present invention described below, EAPOL (EAP over LAN) is used as a protocol of layer 2, and RADIUS (remote) as a protocol of layer 3 authentication dial in user service) protocol is used, but is not limited thereto, and another two-layer protocol and a three-layer protocol may be used.
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면이다.3 is a diagram illustrating a configuration of a network access management system based on user authentication according to an embodiment of the present invention.
제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 LAN 네트워크에 접속한다. 제 1 LAN 접속 장치(110)는 IEEE802.1X 인증자 기능을 제공한다. 따라서, 제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.The first user client 100 connects to the LAN network through the first
제 2 사용자 클라이언트(200)는 제 2 LAN 접속 장치(110) 및 인포서(300)를 통하여 LAN 네트워크에 접속한다. 제 2 LAN 접속 장치(210)는 IEEE802.1X 인증자 기능을 제공하지 않는다. 따라서, 제 2 사용자 클라이언트(200)는 인포서(300)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.The second user client 200 connects to the LAN network through the second
여기서, 제 2 사용자 클라이언트(200)와 인포서(300)는 2계층(layer 2)에서 서로 통신을 수행하며, EAP 데이터는 2 계층의 프로토콜(protol)을 사용하여 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있으며, 예를 들어 EAPOL(EAP over LAN)의 형태로 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있다.Here, the second user client 200 and the
다만, 제 2 사용자 클라이언트(200) 및 제 2 LAN 접속 장치(210)는 인포서(300)의 존재를 인식하지 못하며, EAPOL 형태의 EAP 데이터는 제 2 사용자 클라이언트(200)에 의해 전송되어, 제 2 사용자 클라이언트(200)와 LAN 네트워크 사이 에 위치한 인포서(300)로 전송된다.However, the second user client 200 and the second
인포서(300)는 제 2 LAN 접속 장치(210)를 통해 연결된 제 2 사용자 클라이언트(200)에 대한 인증을 대행한다. 인포서(300)는 EAPOL 프로토콜을 이용하여 제 2 LAN 접속 장치(210)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 인증 프로토콜로서 3 계층(layer 3)의 프로토콜, 예를 들어 RADIUS 프로토콜을 이용하여 인증 서버(400)으로 전송한다. 이처럼 인포서(300)는 EAPOL을 이용하여 EAP 데이터를 수신하고, RADIUS 프로토콜을 이용하여 EAP 데이터를 인증 서버(400)로 전송할 수 있다.The
또한, 인포서(300)는 인증 서버(400)로부터 제 2 사용자 클라이언트(200)에 대한 인증 결과를 수신하고, 적합한 사용자로 인증된 경우 제 2 사용자 클라이언트(200)의 MAC 주소(media access control address)를 저장한다.In addition, the
인포서(300)는 제 2 사용자 클라이언트(200)로부터 LAN 네트워크 접속 요청을 수신하고, 제 2 사용자 클라이언트(200)에 대한 인증 여부를 판단하여 그 결과에 따라 제 2 사용자 클라이언트(200)에 대한 인증을 수행하거나, 제 2 사용자 클라이언트(200)의 접속을 허용 또는 차단하거나, 또는 제 2 사용자 클라이언트(200)를 예외처리서버(500)로 접속시킨다.The
인포서(300)는 EAPOL에 따라 제 2 사용자 클라이언트(200) 또는 제 2 LAN 접속 장치(210)와 EAP 데이터를 송수신하고, RADIUS 프로토콜에 따라 인증 서버(400)와 EAP 데이터를 송수신한다.The
인증 서버(400)는 인포서(300)로부터 제 2 사용자 클라이언트(200)에 대한 인증 요청을 수신하고, 수신한 인증 요청에 응답하여 제 2 사용자 클라이언트(200)에 대한 인증을 수행하고, 인증 결과를 인포서(300)로 전송한다.The
인증 서버(400)에 의해 인증을 성공한 경우, 인증 결과가 인포서(300)로 전송되고, 인증이 성공한 사용자 클라이언트의 MAC 주소는 인포서(300)의 데이터베이스에 저장된 MAC 주소 테이블에 저장될 수 있다.When the authentication is successful by the
예외처리서버(500)는 인증을 위해 필요한 에이전트(agent)를 제 2 사용자 클라이언트(200)에 제공하고, 인증을 위한 가이드를 제공할 수 있다. 또한, 권한이 없는 사용자 클라이언트가 접속을 시도하거나, 사용자 클라이언트가 차단을 요하는 웹 사이트 등에 접속을 시도하는 경우, 인포서(300)는 사용자 클라이언트를 예외처리서버(500)로 강제로 리라우팅(re-routing)시킨다.The
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도이다.4 is a block diagram showing the configuration of an informationr according to an embodiment of the present invention.
본 발명의 일 실시예에 따른 인포서(300)는 데이터 수신부(310), 데이터 필터링부(320), EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350), 리라우팅부(360) 및 인증 관리부(370)를 포함한다.The
데이터 수신부(310)는 외부 장치, 예를 들어 사용자 클라이언트(도시 생략), LAN 접속 장치(도시 생략) 또는 인증 서버(도시 생략)로부터 데이터를 수신하고, 수신한 데이터를 데이터 필터링부(320)로 전송한다. 데이터 수신부(310)는 EAPOL 또는 RADIUS 프로토콜뿐만 아니라 네크워크에 접속된 장치에서 전송된 다양한 프로토콜의 데이터를 수신할 수 있다.The
데이터 필터링부(320)는 데이터 수신부(310)로부터 수신한 데이터를 분석하 고, 분석된 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350) 또는 리라우팅부(360)로 스위칭하거나, 사용자 인증이 되지 않은 클라이언트의 데이터를 드롭(drop)시킨다.The
데이터 필터링부(320)는 사용자 인증이 성공된 클라이언트의 MAC 주소를 포함하는 MAC 주소 테이블, 예외처리서버(500)로 전송되도록 설정된 특정 포트, 예를 들어 논리적인 포트인 TCP/IP 포트 등을 포함하는 포트(port) 테이블 및 트래픽을 관리하도록 설정된 MAC 주소를 포함하는 관리 MAC 주소 테이블을 저장할 수 있다.The
수신한 데이터가 사용자 인증이 수행된 사용자 클라이언트로부터 수신된 경우, 데이터 필터링부(320)는 수신한 데이터를 데이터 통과부(350)로 전달(forward)한다.When the received data is received from the user client on which the user authentication is performed, the
예를 들어, 데이터를 전송한 사용자 클라이언트의 MAC 주소가 MAC 주소 테이블에 포함되어 있는 경우, 수신한 데이터를 데이터 통과부(350)로 바이패스시킬 수 있다.For example, when the MAC address of the user client that transmits the data is included in the MAC address table, the received data may be bypassed to the
또한, 데이터 필터링부(320)는, 수신한 데이터가 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신된 경우, 수신한 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340) 또는 리라우팅(re-routing)부(360) 중 하나로 스위칭하거나, 해당 데이터를 드롭시킬 수 있다.In addition, when the received data is received from a user client on which user authentication has not been performed, the
만약, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 데이터를 수신한 경우, 데이터 필터링부(320)는 수신한 데이터가 EAP 데이터인지 여부를 판단할 수 있다.If data is received from a user client on which user authentication has not been performed, the
수신한 데이터가 EAP 데이터인 경우, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330) 또는 RADIUS/EAPOL 변환부(340)로 전송한다.If the received data is EAP data, the
IEEE802.1X 표준에 의해 정의된 것처럼, EAPOL(EAP over LAN)을 통해 데이터가 수신된 경우, EAP 데이터인지 여부의 식별은 수신한 데이터의 멀티캐스트(Multicast) 또는 유니캐스트(Unicast) 데이터 프레임 및 이더넷 유형(Ethernet Type)을 분석하여 결정될 수 있다.As defined by the IEEE802.1X standard, when data is received via EAPOL (EAP over LAN), the identification of whether it is EAP data is a multicast or unicast data frame and Ethernet of the received data. This can be determined by analyzing the Ethernet Type.
예를 들어, 수신한 데이터의 수신지(destination) 주소가 0x0180c2000003 이거나 인포서(300)의 주소이고, 이더넷 유형(Ethernet type)이 0x888e, 즉 EAPOL 이거나 정의된 다른 값, 예를 들어 0x88c7, 즉 사전 인증(Pre Authentication)일 경우, 수신한 EAP 데이터는 EAPOL 값으로 간주되며, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330)로 전송한다.For example, the destination address of the received data is 0x0180c2000003 or the address of the
또한, RADIUS를 통해 데이터가 수신된 경우, 수신한 데이터의 수신지가 인포서(300)이고, 수신한 데이터가 인증서버(400)로부터 수신된 경우, 데이터 필터링부(320)은 수신한 데이터를 EAP 데이터로 판단하고, 수신한 데이터를 RADIUS/EAPOL 변환부(340)로 전송한다.In addition, when data is received through RADIUS, when the destination of the received data is the
데이터 필터링부(320)는, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신한 데이터가 포트(port) 테이블에 포함된 포트(port)로부터 수신되거나 특정 서비스를 요청하는 내용을 포함하는 경우, 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 전술한 바와 같이, 포트(port) 테이블은 TCP/IP 포트와 같은 논리적인 포트를 포함한다.The
예를 들어, 수신한 데이터가 임의의 웹 페이지에 접속하기 위한 데이터인 경우, 데이터 필터링부(320)는 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 리라우팅부(360)의 구체적인 기술은 후술한다.For example, when the received data is data for accessing an arbitrary web page, the
이처럼 데이터 필터링부(320)는 물리적인 포트(port)가 아니라 MAC 주소 테이블, 포트 테이블 및 관리 MAC 주소 테이블 등을 이용하여 수신한 데이터를 바이패스시키거나 스위칭시키거나 또는 드롭시키므로, 스위치 허브 포트의 수가 무제한인 것과 동일한 기능을 수행할 수 있다.As such, the
EAPOL/RADIUS 변환부(330)는 2 계층(layer 2)의 EAPOL을 통해 전송된 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 인증 서버(400)로 전송한다. 즉, EAPOL/RADIUS 변환부(330)는 EAPOL에 따라 수신된 EAP 데이터를 RADIUS 프로토콜에 따르도록 변환하고, 변환한 EAP 데이터를 인증 서버로 전송한다.The EAPOL /
이처럼 사용자 클라이언트 또는 LAN 접속 장치에 의해 전송된 EAP 데이터는 EAPOL/RADIUS 변환부(330)에 의해 인증 서버(400)로 전송되어, 인증되지 않은 사용자 클라이언트에 대한 인증 또는 인증된 사용자에 대한 재인증이 수행될 수 있다.As such, the EAP data transmitted by the user client or the LAN access device is transmitted to the
인증 서버(400)에 의해 인증을 성공한 사용자 클라이언트의 MAC 주소는 전술한 MAC 주소 테이블에 저장될 수 있다.The MAC address of the user client which has been authenticated by the
RADIUS/EAPOL 변환부(340)는 인증 서버(400)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 사용자 클라이언트 또는 LAN 접속 장치로 전송한다. 즉, RADIUS/EAPOL 변환부(340)는 RADIUS 프로토콜에 따라 수신된 EAP 데이터를 EAPOL 에 따르도록 변환하고, 변환한 EAP 데이터를 사용자 클라이언트로 전송한다.The RADIUS /
데이터 통과부(350)는 데이터 필터링부(320)에 의해 인증된 클라이언트의 MAC 주소로부터 수신된 것으로 판단된 데이터를 데이터의 수신지로 전송되도록 통과시킨다.The
리라우팅부(360)는 데이터 필터링부(320)로부터 수신한 데이터를 전송한 사용자 클라이언트(200)의 네트워크 트래픽(traffic)을 예외처리서버(500)로 전송한다. 예외처리서버(500)에 의해 사용자 클라이언트(200)는 EAPOL을 이용하기 위한 에이전트를 설치할 수 있고, 그 외의 경고나 가이드 메시지 등을 수신할 수 있다.The rerouting
인증 관리부(370)는, 인증 서버(400)에 의해 사용자 클라이언트에 대한 인증이 성공한 경우, 인증된 사용자 클라이언트의 MAC 주소를 데이터 필터링부(320)에 저장된 MAC주소 테이블에 추가시킨다.The
이처럼 인증 관리부(370)에 의해 사용자 인증이 성공한 MAC 주소가 MAC 주소 테이블에 추가되므로, 사용자 인증이 성공한 사용자 클라이언트는 이후에 별도의 인증 절차 없이도 네트워크에 접속할 수 있다.As described above, since the
도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도이다.FIG. 5 is a flowchart illustrating a flow of EAP data processing in an informationr in a network access management method based on user authentication according to an embodiment of the present invention.
단계(S105)에서, 인포서는 사용자 클라이언트로부터 데이터를 수신한다. 인포서는 EAPOL을 포함하는 다양한 프로토콜의 데이터를 수신할 수 있다.In step S105, the informer receives data from the user client. The InfoSphere can receive data from various protocols, including EAPOL.
단계(S110)에서, 단계(S105)에서 수신한 데이터가 IP 주소의 할당을 요청하는 패킷인지 여부를 판단한다. 사용자 클라이언트의 IP 주소는 유동적으로 변경되는 유동 IP 주소일 수도 있으며, 이 경우 사용자 클라이언트는 IP 주소의 할당을 위하여 IP 주소 할당 요청 패킷을 DHCP(dynamic host configuration protocol, DHCP) 서버로 전송한다. 따라서, 단계(S105)에서 수신한 데이터가 이러한 IP 주소 할당 요청 패킷인지 여부를 판단한다.In step S110, it is determined whether the data received in step S105 is a packet for requesting allocation of an IP address. The IP address of the user client may be a dynamic IP address that is dynamically changed. In this case, the user client transmits an IP address allocation request packet to a DHCP (dynamic host configuration protocol) server for IP address assignment. Therefore, it is determined whether the data received in step S105 is such an IP address assignment request packet.
단계(S115)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷인 것으로 판단된 경우, 수신한 IP 주소 할당 요청 패킷을 인포서에 포함된 DHCP 서버 또는 미리 설정된 DHCP 서버로 전송하거나, IP 주소 할당 요청 패킷에 설정된 수신지로 전송한다. 예를 들어, IP 주소 할당 요청 패킷이 BootP 패킷인 경우, BootP 패킷를 통과시켜 BootP 패킷의 수신지로 전송할 수 있다.In step S115, if it is determined in step S110 that the data received from the user client is an IP address assignment request packet, the received IP address assignment request packet is sent to a DHCP server or a preset DHCP server included in the information sheet. Or to the destination set in the IP address assignment request packet. For example, when the IP address allocation request packet is a BootP packet, the IP address allocation request packet may be transmitted to the destination of the BootP packet by passing the BootP packet.
단계(S111)에서는, 단계(S105)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 획득하기 위한 DNS 요청 패킷인지 여부를 판단한다.In step S111, it is determined whether the data received from the user client in step S105 is a DNS request packet for obtaining an IP address of a domain name.
단계(S116)에서는, 단계(S111)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 얻기 위한 DNS 요청 패킷인 것으로 판단된 경우, 수신한 DNS 요청 패킷을 통과시켜 DNS 서버로 전송한다. 이를 통해 사용자 클라이언트는 해당 DNS의 IP 주소를 획득할 수 있다.In step S116, if it is determined in step S111 that the data received from the user client is a DNS request packet for obtaining an IP address of the domain name, the received DNS request packet is passed through to the DNS server. send. This allows the user client to obtain the IP address of the DNS.
단계(S120)에서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주소가 인포서에 저장된 MAC 주소 테이블에 존재하는지 여부를 판단한다. MAC 주소 테이블은 사용자 인증에 성공한 사용자 클라이언트의 MAC 주소를 포함한다. 따라서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주 소가 MAC 주소 테이블에 포함되었는지 판단하여 단계(S105)에서 수신한 데이터가 사용자 인증된 MAC 주소를 갖는 사용자 클라이언트로부터 전송되었는지, 여부를 판단할 수 있다.In step S120, it is determined whether the MAC address of the user client that has transmitted the data received in step S105 exists in the MAC address table stored in the informationr. The MAC address table includes MAC addresses of user clients that have successfully authenticated users. Accordingly, it is determined whether the MAC address of the user client that has transmitted the data received in step S105 is included in the MAC address table, and whether the data received in step S105 is transmitted from the user client having the user authenticated MAC address. It can be determined.
단계(S125)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷이 아닌 것으로 판단된 경우, 수신한 데이터가 관리 MAC 주소로부터 전송되었는지 여부를 판단한다.In step S125, if it is determined in step S110 that the data received from the user client is not an IP address allocation request packet, it is determined whether the received data is transmitted from the management MAC address.
인포서는 사용자 인증에 성공했더라도 트래픽을 차단하거나 예외처리서버나 검역소로 리라우팅되도록 설정된 관리 MAC 주소 테이블을 포함할 수 있으며, 이러한 관리 MAC 주소 테이블과 데이터를 전송한 MAC주소를 비교하여 수신한 데이터에 대한 차단 등의 여부를 판단할 수 있다.The InfoSphere may include a management MAC address table configured to block traffic or reroute to an exception handling server or quarantine even if the user authentication is successful. Data received by comparing the management MAC address table with the MAC address that transmitted the data It can be determined whether or not to block.
단계(S130)에서는, 단계(S125)에서 관리 MAC 주소 테이블에 포함된 MAC주소로부터 데이터가 수신되지 않은 것으로 판단되는 경우, 인포서는 단계(S105)에서 수신한 데이터를 통과시켜, 데이터의 수신지(destination)로 전송한다.In step S130, when it is determined in step S125 that data is not received from the MAC address included in the management MAC address table, the information sheet passes the data received in step S105, and the destination of the data ( destination).
전술한 바와 같이, MAC 주소 테이블에 포함된 MAC 주소는 사용자 인증이 성공한 MAC 주소이므로, 인포서는 수신한 데이터에 대하여 별도로 사용자 인증을 수행하지 않고, 데이터의 수신지로 전송한다.As described above, since the MAC address included in the MAC address table is a MAC address for which user authentication is successful, the informationr transmits to the destination of the data without performing user authentication on the received data.
단계(S135)에서는, 단계(S120)에서 MAC 주소 테이블에 포함되지 않은 MAC 주소로부터 데이터가 수신된 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신되었는지 여부를 판단한다.In step S135, when it is determined in step S120 that data is received from a MAC address not included in the MAC address table, it is determined whether the data received in step S105 is received through EAPOL.
사용자 클라이언트의 인증을 위한 EAP 데이터는 EAPOL을 통해 사용자 클라이 언트로부터 인포서로 수신된다. 따라서, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신된 경우, 수신한 데이터는 사용자 클라이언트의 인증을 위한 EAP 데이터인 것으로 판단될 수 있다.EAP data for authentication of the user client is received from the user client through the EAPOL to the InfoSphere. Therefore, when the data received in step S105 is received through the EAPOL, it may be determined that the received data is EAP data for authentication of the user client.
단계(S140)에서는, 단계(S135)에서 EAPOL을 통해 데이터가 수신된 것으로 판단된 경우, 인포서는 단계(S105)에서 수신한 데이터가 RADIUS 프로토콜에 따라 인증 서버로 전송될 수 있도록 데이터를 변환하고, 변환한 데이터를 인증 서버로 전송한다.In step S140, when it is determined in step S135 that data has been received through EAPOL, the information convertor converts the data so that the data received in step S105 can be transmitted to the authentication server according to the RADIUS protocol. Send the converted data to the authentication server.
인증 서버는 인포서로부터 EAPOL/RADIUS 변환된 데이터를 수신하여 사용자 클라이언트에 대한 인증을 수행하고, 그 인증 결과를 인포서로 전송한다. 인증 서버에 의한 사용자 클라이언트의 인증이 성공한 경우, 인증을 성공한 사용자 클라이언트의 MAC 주소는 MAC 주소 테이블에 저장될 수 있다.The authentication server receives the EAPOL / RADIUS converted data from the informationr, performs authentication on the user client, and transmits the authentication result to the informationr. If the authentication of the user client by the authentication server is successful, the MAC address of the user client which has been successfully authenticated may be stored in the MAC address table.
단계(S145)에서는, 단계(S135)에서 데이터가 EAPOL을 통해 수신되지 않은 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스, 예를 들어 웹 페이지에의 접속 등을 요청하는 내용을 포함하는지 여부를 판단한다.In step S145, if it is determined in step S135 that the data is not received via EAPOL, the data received in step S105 is transmitted from a specific protocol or a specific port or a specific service, for example It is determined whether or not to include contents requesting access to a web page.
단계(S150)에서는, 단계(S125)에서 데이터가 관리 MAC 주소로부터 전송된 것으로 판단된 경우 또는 단계(S145)에서 데이터가 특정 포트로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하는 것으로 판단된 경우 또는, 단계(S105)에서 수신한 데이터를 예외처리서버(도시 생략)로 리라우팅(re-routing)한다.In step S150, when it is determined in step S125 that the data is transmitted from the management MAC address or when it is determined in step S145 that the data includes a content transmitted from a specific port or request a specific service or Re-routing the data received in step S105 to an exception processing server (not shown).
전술한 바와 같이, 리라우팅된 예외처리서버는 아직 사용자 인증을 수행하지 않은 클라이언트에 인증을 위해 필요한 에이전트(agent)를 설치하고, 인증을 위한 가이드를 제공할 수 있다.As described above, the rerouted exception handling server may install an agent necessary for authentication on a client which has not yet performed user authentication, and provide a guide for authentication.
또한, 사용자 인증이 되었더라도 소정의 이유, 예를 들어 불법 프로그램 설치 또는 바이러스 보유 등의 이유로 인해 차단 MAC 주소로 설정된 사용자 클라이언트에 대하여 경고 메시지 등을 전송하거나, 예외처리서버 혹은 검역소로 리라우팅시킬 수 있다.In addition, even if the user is authenticated, a warning message or the like can be transmitted to the user client set to the blocking MAC address or rerouted to an exception processing server or quarantine due to a predetermined reason, for example, illegal program installation or virus retention. .
단계(S155)에서는, 단계(S145)에서 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하지 않는 것으로 판단된 경우, 단계(S105)에서 수신한 데이터를 드롭(drop)시켜 차단한다.In step S155, when it is determined in step S145 that the data does not include a content transmitted from a specific protocol or a specific port or request a specific service, the data received in step S105 is dropped ( drop) to block.
전술한 바와 같이 본 발명의 일 실시예는 사용자 클라이언트의 IP 주소가 고정된 IP 주소인 경우뿐만 아니라, 유동적으로 변경되는 유동 IP 주소인 경우도 적용될 수 있다.As described above, the embodiment of the present invention may be applied not only to the case where the IP address of the user client is a fixed IP address but also to a floating IP address that is dynamically changed.
사용자 클라이언트의 IP 주소가 유동 IP 주소인 경우, 인포서는 동적 호스트 설정 통신 규약(dynamic host configuration protocol, DHCP) 서버를 포함하거나, 특정 DHCP 서버로 해당 데이터를 전송하도록 미리 설정될 수 있다.If the IP address of the user client is a dynamic IP address, the informationr may include a dynamic host configuration protocol (DHCP) server or may be preset to transmit the data to a specific DHCP server.
한편, 전술한 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 2계층에서 동작하지만, LAN 연동 장치와 같이 사용자 클라이언트에 직접 연동되지 않으므로, 해당 사용자 클라이언트에 접속된 네트워크 케이블의 탈착 또는 실착을 판단할 수 없다.On the other hand, the network connection management system according to an embodiment of the present invention described above operates in the second layer, but does not directly interwork with a user client like a LAN interworking device, so that the network cable connected to the user client is determined to be attached or detached. Can not.
따라서, 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 세션 타 임아웃(session timeout) 또는 아이들 타임아웃(idle timeout)을 통해 사용자 클라이언트에 대한 재인증을 수행하고, 재인증에 대한 응답이 없는 경우 사용자 클라이언트의 MAC 주소를 인포서의 데이터베이스에 저장된 MAC 주소 테이블로부터 삭제할 수 있다. 그리고 단계(S155)에 의해 드롭된 사용자 클라이언트나 단계(S150)에 의해 리라우팅된 사용자 클라이언트는 인포서가 해당 클라이언트의 MAC주소로 인증요청 하여 인증을 시도할 수 있다Accordingly, the network access management system according to an embodiment of the present invention performs reauthentication for a user client through a session timeout or idle timeout, and has no response to reauthentication. In this case, the MAC address of the user client can be deleted from the MAC address table stored in the informationr's database. In addition, the user client dropped by step S155 or the user client rerouted by step S150 may attempt to authenticate by requesting the infoser to the MAC address of the corresponding client.
전술한 본 발명의 일 실시예에서, EAP 데이터는 EAPOL(EAP over LAN)을 이용할 수 있으나, 다른 2 계층의 프로토콜이 사용될 수도 있다.In the above-described embodiment of the present invention, EAP data may use EAPOL (EAP over LAN), but another two-layer protocol may be used.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.One embodiment of the present invention can also be implemented in the form of a recording medium containing instructions executable by a computer, such as a program module executed by the computer. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. In addition, computer readable media may include both computer storage media and communication media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. Communication media typically includes computer readable instructions, data structures, program modules, or other data in a modulated data signal such as a carrier wave, or other transmission mechanism, and includes any information delivery media.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들 의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.Although the methods and systems of the present invention have been described in connection with specific embodiments, some or all of their components or operations may be implemented using a computer system having a general purpose hardware architecture.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The foregoing description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면,1 is a view showing the configuration of a local area network (LAN) system according to the prior art,
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면,2 illustrates a protocol connection of a local area network (LAN) system according to the prior art;
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면,3 is a diagram illustrating a configuration of a network access management system based on user authentication according to an embodiment of the present invention;
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도,4 is a block diagram showing the configuration of an informationr according to an embodiment of the present invention;
도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도.FIG. 5 is a flowchart illustrating a flow of EAP data processing in an informationr in a network access management method based on user authentication according to an embodiment of the present invention. FIG.
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080115080A KR100904215B1 (en) | 2008-11-19 | 2008-11-19 | System and method for managing access to network based on user authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080115080A KR100904215B1 (en) | 2008-11-19 | 2008-11-19 | System and method for managing access to network based on user authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100904215B1 true KR100904215B1 (en) | 2009-06-25 |
Family
ID=40983074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080115080A KR100904215B1 (en) | 2008-11-19 | 2008-11-19 | System and method for managing access to network based on user authentication |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100904215B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592037A (en) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | MAC address authentication method and device |
KR20160059825A (en) * | 2014-11-19 | 2016-05-27 | 닉스테크 주식회사 | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL |
KR20190030714A (en) * | 2016-07-15 | 2019-03-22 | 닛본 덴끼 가부시끼가이샤 | Communication system, subscriber information management device, information acquisition method, non-temporary computer readable medium and communication terminal |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030053280A (en) * | 2001-12-22 | 2003-06-28 | 주식회사 케이티 | Access and Registration Method for Public Wireless LAN Service |
KR20070076327A (en) * | 2006-01-18 | 2007-07-24 | 삼성전자주식회사 | Movement system for furnish wireless lan service for using wibro system and control method thereof |
KR20070078212A (en) * | 2006-01-26 | 2007-07-31 | 주식회사 케이티 | Multimode access authentication method for public wireless lan service |
-
2008
- 2008-11-19 KR KR1020080115080A patent/KR100904215B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030053280A (en) * | 2001-12-22 | 2003-06-28 | 주식회사 케이티 | Access and Registration Method for Public Wireless LAN Service |
KR20070076327A (en) * | 2006-01-18 | 2007-07-24 | 삼성전자주식회사 | Movement system for furnish wireless lan service for using wibro system and control method thereof |
KR20070078212A (en) * | 2006-01-26 | 2007-07-31 | 주식회사 케이티 | Multimode access authentication method for public wireless lan service |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160059825A (en) * | 2014-11-19 | 2016-05-27 | 닉스테크 주식회사 | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL |
KR101628534B1 (en) * | 2014-11-19 | 2016-06-08 | 닉스테크 주식회사 | VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL |
CN105592037A (en) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | MAC address authentication method and device |
CN105592037B (en) * | 2015-07-10 | 2019-03-15 | 新华三技术有限公司 | A kind of MAC address authentication method and apparatus |
KR20190030714A (en) * | 2016-07-15 | 2019-03-22 | 닛본 덴끼 가부시끼가이샤 | Communication system, subscriber information management device, information acquisition method, non-temporary computer readable medium and communication terminal |
KR102140521B1 (en) | 2016-07-15 | 2020-08-03 | 닛본 덴끼 가부시끼가이샤 | Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium and communication terminal |
KR20200093086A (en) * | 2016-07-15 | 2020-08-04 | 닛본 덴끼 가부시끼가이샤 | Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium, and communication terminal |
KR102193511B1 (en) | 2016-07-15 | 2020-12-21 | 닛본 덴끼 가부시끼가이샤 | Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium, and communication terminal |
US11153751B2 (en) | 2016-07-15 | 2021-10-19 | Nec Corporation | Communication system, subscriber-information management apparatus, information acquisition method, non-transitory computer-readable medium, and communication terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10630725B2 (en) | Identity-based internet protocol networking | |
US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
US8650610B2 (en) | Systems and methods of controlling network access | |
US9112909B2 (en) | User and device authentication in broadband networks | |
US8966075B1 (en) | Accessing a policy server from multiple layer two networks | |
US7389534B1 (en) | Method and apparatus for establishing virtual private network tunnels in a wireless network | |
US7735114B2 (en) | Multiple tiered network security system, method and apparatus using dynamic user policy assignment | |
US8117639B2 (en) | System and method for providing access control | |
US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
JP2009538478A5 (en) | ||
US20160352731A1 (en) | Network access control at controller | |
WO2010003354A1 (en) | An authentication server and a control method for the mobile communication terminal accessing the virtual private network | |
US8627423B2 (en) | Authorizing remote access points | |
KR100904215B1 (en) | System and method for managing access to network based on user authentication | |
CN101867579B (en) | Method and device for switching user network access authorities | |
WO2010040309A1 (en) | Access method, network system and device | |
JP2012070225A (en) | Network relay device and transfer control system | |
KR100888979B1 (en) | System and method for managing access to network based on user authentication | |
JP2012060357A (en) | Remote access control method for mobile body system | |
CN101170566A (en) | A multi-domain authentication method and system | |
Cisco | Configuring Network Security | |
Cisco | Configuring Network Security | |
JP5622088B2 (en) | Authentication system, authentication method | |
He-Hua et al. | Study of Network Access Control System Featuring Collaboratively Interacting Network Security Components |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130410 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140626 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150616 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170310 Year of fee payment: 8 |
|
R401 | Registration of restoration | ||
FPAY | Annual fee payment |
Payment date: 20170411 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20180420 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20190507 Year of fee payment: 11 |