KR100904215B1 - System and method for managing access to network based on user authentication - Google Patents

System and method for managing access to network based on user authentication Download PDF

Info

Publication number
KR100904215B1
KR100904215B1 KR1020080115080A KR20080115080A KR100904215B1 KR 100904215 B1 KR100904215 B1 KR 100904215B1 KR 1020080115080 A KR1020080115080 A KR 1020080115080A KR 20080115080 A KR20080115080 A KR 20080115080A KR 100904215 B1 KR100904215 B1 KR 100904215B1
Authority
KR
South Korea
Prior art keywords
data
mac address
authentication
user
eap
Prior art date
Application number
KR1020080115080A
Other languages
Korean (ko)
Inventor
허재영
유동호
Original Assignee
넷큐브테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 넷큐브테크놀러지 주식회사 filed Critical 넷큐브테크놀러지 주식회사
Priority to KR1020080115080A priority Critical patent/KR100904215B1/en
Application granted granted Critical
Publication of KR100904215B1 publication Critical patent/KR100904215B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Abstract

A system and a method for managing an access to a network based on user authentication are provided to manage the access without an excessive cost by adding an enforcer with an authenticator to a network system using a LAN access device without the authenticator. A data filtering part(320) stores a MAC address table including the MAC address in which the user authentication succeeds. The data filter part determines whether the MAC address of the device to transmit the data is included in the MAC address table or the data is an EAP(Extensible Authentication Protocol) data or not. If the MAC address is included in the MAC address table, a data passing unit(350) transmits the data to a destination. An EAPOL(EAP Over LAN)/RADIUS(Remote Authentication Dial IN User Service) unit(330) converts the EAP data according to the RADIUS protocol and transmits the converted data to an authentication server if the data is the EAP data. An authentication management unit(370) adds the MAC address of a client requesting the user authentication to the MAC address table if the authentication is succeeded by the authentication server.

Description

사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING ACCESS TO NETWORK BASED ON USER AUTHENTICATION}Network access management system and method based on user authentication {SYSTEM AND METHOD FOR MANAGING ACCESS TO NETWORK BASED ON USER AUTHENTICATION}

본 발명은 사용자 인증에 기반하여 네트워크에 대한 접속을 관리하고 차단하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는, 사용자 인증에 기반하여 2 계층(layer 2)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for managing and blocking access to a network based on user authentication, and more particularly, to managing and blocking access to a network at a layer 2 based on user authentication. System and method.

구내 정보 통신망(local area nework, LAN)을 통해 네트워크를 사용하는 단말의 이동성이 향상되고 LAN 네트워크에 접속하는 통신 방식이 발전함에 따라, 네트워크를 보호하기 위한 보안 기술이 발전하고 있다.As the mobility of terminals using a network through a local area network (LAN) improves and a communication method for accessing a LAN network has been developed, security technologies for protecting a network have been developed.

즉, LAN 네트워크에 접속하는 단말이 노트북 등 이동 단말의 형태로 이동성을 획득하고 LAN 접속 방식이 무선 방식으로 발전되어 무선 LAN의 사용이 증가됨에 따라 LAN에 접속하는 클라이언트를 제어하고 관리하는 것이 어려워졌다.In other words, as a terminal connecting to a LAN network acquires mobility in the form of a mobile terminal such as a laptop and the LAN connection method is developed into a wireless method, it is difficult to control and manage a client connecting to a LAN as the use of a wireless LAN increases. .

따라서, LAN에 접속하는 클라이언트에 대한 네트워크 사용 권한을 선별적으 로 허가하고 관리할 수 있는 방법의 필요성이 제기되었으며, 그 대표적인 기술은 IEEE802.1X 표준 프레임을 따르는 포트 기반 사용자 인증 기술이다.Therefore, the necessity of a method for selectively granting and managing network usage rights for a client connecting to a LAN has been raised. The representative technology is a port-based user authentication technology that conforms to the IEEE802.1X standard frame.

도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면이다.1 is a diagram illustrating a configuration of a local area network (LAN) system according to the prior art.

종래 기술에 따른 구내 정보 통신망(LAN) 시스템은 LAN에 대한 사용자의 접근을 제어하기 위하여 IEEE802.1X 프레임을 사용할 수 있다.A local area network (LAN) system according to the prior art may use IEEE802.1X frames to control a user's access to the LAN.

IEEE802.1X 프레임을 사용하는 LAN 시스템은, 사용자가 LAN에 물리적인 접속을 하는 경우, 예를 들어 스위치 허브에 LAN 케이블을 연결하거나 또는 무선 LAN에 접속하는 경우, 사용자를 인증하여 허가된 사용자에 한하여 접속을 허용할 수 있다.LAN systems using the IEEE802.1X frame are only for authorized users who authenticate users when they make a physical connection to the LAN, for example, by connecting a LAN cable to a switch hub or when connecting to a wireless LAN. You can allow the connection.

제 1 사용자(10) 및 제 2 사용자 (20)은 스위치 허브(11) 및 무선 LAN AP(access point)(21)를 통하여 LAN 네트워크에 접속한다.The first user 10 and the second user 20 connect to a LAN network through a switch hub 11 and a wireless LAN access point (AP) 21.

스위치 허브(11) 또는 무선 LAN AP(21)는 각각 제 1 사용자(10) 또는 제 2 사용자(20)이 LAN 네트워크에 접속하는 과정에서 IEEE802.1X 표준에 따르는 인증자(authenticator) 역할을 수행한다.The switch hub 11 or the wireless LAN AP 21 serves as an authenticator according to the IEEE802.1X standard in the process of connecting the first user 10 or the second user 20 to the LAN network, respectively. .

즉, 제 1 사용자(10) 또는 제 2 사용자(20)로부터 LAN 네트워크에 대한 접속 요청이 있는 경우, 스위치 허브(11) 또는 무선 LAN AP(21)는 인증 서버(30)로부터 제 1 사용자(10) 또는 제 2 사용자(20)의 권한을 확인하고, 권한이 인증된 사용자에 대하여 LAN으로의 접속을 허가하고, 인증에 실패한 사용자의 통신 패킷은 거부하여 LAN으로의 접속을 차단한다.That is, when there is a request for connection to the LAN network from the first user 10 or the second user 20, the switch hub 11 or the wireless LAN AP 21 receives the first user 10 from the authentication server 30. Or confirms the authority of the second user 20, permits the authenticated user to connect to the LAN, and rejects the communication packet of the user who fails authentication to access the LAN.

인증된 제 1 사용자(10) 또는 제 2 사용자(20)는 LAN 네트워크에 접속할 수 있으며, 인터넷 라우터(40)를 통하여 인터넷에 접속할 수 있다.The authenticated first user 10 or second user 20 can access a LAN network and can access the Internet through an internet router 40.

이러한 종래 기술에 따른 LAN 접속을 제어하는 IEEE802.1X 기술은 사용자를 정확히 인증한 후 LAN 네트워크로의 접속을 허가하는 기능을 제공하고 있으나, 사용자의 물리적인 접속에 사용되는 네트워크 장비, 예를 들어 스위치 허브 또는 무선 LAN AP가 IEEE802.1X 인증자의 기능이 탑재되어야 한다.The IEEE802.1X technology for controlling a LAN connection according to the prior art provides a function for allowing a connection to a LAN network after authenticating a user correctly, but a network device, for example, a switch, used for a user's physical connection. The hub or wireless LAN AP must be equipped with the capabilities of the IEEE802.1X authenticator.

이 경우 스위치 허브를 통한 유선 접속 방식과 무선 LAN AP를 통한 무선 접속 방식 간에 IEEE802.1X를 적용하는 과정은 근본적으로 동일하다.In this case, the process of applying IEEE802.1X is basically the same between the wired connection through the switch hub and the wireless connection through the wireless LAN AP.

또한, IEEE802.1X는 일단 사용자가 인증을 받아 LAN 네트워크에 접속한 후 특정한 LAN 상의 구간에 대한 추가적인 접근을 제어할 수 없다. In addition, IEEE802.1X cannot control additional access to a section on a particular LAN once the user has been authenticated and connected to the LAN network.

또한, IEEE802.1X 인증자가 탑재된 LAN 접속 장비와 지원되지 않는 장비가 혼용되어 있는 경우, 전체적으로 사용자 인증을 통한 접속 관리를 수행할 수 없다. 왜냐하면, IEEE802.1X는 LAN에 대한 접근을 2 계층에서 통제하여 전체 LAN을 보호하기 위한 것이므로, 모든 LAN 접속 장치를 IEEE 802.1X 인증자가 지원되는 LAN 접속 장치로 교체해야 하기 때문이다. 즉, LAN 네트워크 시스템 상의 LAN 접속 장치를 통하여 접속하는 모든 사용자 클라이언트가 아닌 일부의 사용자 클라이언트만을 관리하는 경우, 전체 LAN 시스템이 위험에 노출된다.In addition, when a LAN connection device equipped with an IEEE802.1X authenticator and an unsupported device are mixed, it is not possible to perform connection management through user authentication as a whole. This is because IEEE802.1X is intended to protect the entire LAN by controlling access to the LAN at the second layer. Therefore, all LAN access devices must be replaced with LAN access devices supported by the IEEE 802.1X authenticator. In other words, when only some user clients are managed, not all user clients connected through the LAN connection device on the LAN network system, the entire LAN system is exposed to risk.

따라서, 종래의 LAN 시스템은 모든 LAN 접속 장치가 동시에 IEEE802.1X 인증자 기능을 지원하도록 구축되어야 한다. 그리고 일부의 LAN 접속 장치라도 IEEE802.1X 인증자 기능을 지원하지 않는다면, 이러한 LAN 접속 장치는 IEEE802.1X 인증자 기능을 지원하는 장치로 교체되어야 하며, 이로 인한 비용이 증가하게 된다.Therefore, the conventional LAN system must be constructed such that all LAN connection devices simultaneously support the IEEE802.1X authenticator function. And even if some LAN access devices do not support the IEEE802.1X authenticator function, such LAN access devices must be replaced with devices that support the IEEE802.1X authenticator function, thereby increasing the cost.

또한, 사용자 인증이 실패하여 네트워크에 접속할 수 없는 경우, 실패한 사용자는 LAN 네트워크 자체에 어떠한 형태로도 접속할 수 없으므로, 네트워크를 통한 온라인으로 예외 처리 관리를 할 수 없다.In addition, when the user authentication fails and cannot be connected to the network, the failed user cannot access the LAN network itself in any form, and thus cannot manage exception processing online via the network.

또한, 기존의 IEEE802.1X 프레임을 지원하는 사용자 클라이언트는 LAN 접속 장치가 IEEE802.1X 인증자를 지원할 경우에만 동작한다. 따라서, LAN 접속 장치가 IEEE802.1X 인증자 기능을 수행하지 않을 때에도 사용자에 대한 인증을 수행할 수 있는 보조 기능이 필요하다.In addition, the user client supporting the existing IEEE802.1X frame operates only when the LAN access device supports the IEEE802.1X authenticator. Therefore, there is a need for an auxiliary function capable of authenticating a user even when the LAN access device does not perform the IEEE802.1X authenticator function.

또한, 종래의 기술에 따라 LAN 접속 장치를 통해 LAN 네트워크 시스템에 접속하는 경우, 물리적인 포트(port), 예를 들어 스위치 허브 포트의 수에 따른 물리적인 제약이 발생하여 LAN 네트워크 시스템에 접속할 수 있는 클라이언트의 수가 제한된다.In addition, when accessing a LAN network system through a LAN access device according to the related art, physical limitations may occur due to the number of physical ports, for example, a switch hub port, to connect to a LAN network system. The number of clients is limited.

도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면이다.2 is a diagram illustrating a protocol connection of a local area network (LAN) system according to the prior art.

사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 OSI 모델의 데이터 링크 계층에 대응하는 2 계층(layer 2)에 해당하며, 사용자 클라이언트(12)와 LAN 접속 장치(13)는 EAP(extensible authentication protocol) 데이터를 EAPOL(EAP over LAN) 규격에 따라 서로 송신하고 수신한다.The interval between the user client 12 and the LAN access device 13 corresponds to a layer 2 corresponding to the data link layer of the OSI model. The user client 12 and the LAN access device 13 correspond to an EAP ( Send and receive extensible authentication protocol (EAPOL) data from each other according to EAPOL (EAP over LAN) standard.

또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(layer 3)에 해당하며, LAN 접속 장치(13)와 인증 서버(30)는 TCP/IP에 기반하는 RADIUS(remote authentication dial in user service) 프로토콜 규격에 따라 RADIUS 패킷 속에 EAP 데이터를 캡슐화(encapsulation)하여 서로 송신 및 수신한다.In addition, a section between the LAN access device 13 and the authentication server 30 corresponds to layer 3, and the LAN access device 13 and the authentication server 30 are based on TCP / IP RADIUS (remote). authentication dial in user service) Encapsulates EAP data in RADIUS packets according to protocol specifications and transmits and receives each other.

사용자 클라이언트(12)는 네트워크 터미널, 예를 들어 데스크탑, 노트북 등을 포함할 수 있다. 사용자 클라이언트(12)는 탑재된 인증 에이전트를 통해 사용자로부터 제공받은 인증 정보를 이용하여 LAN 접속 장치에 탑재된 LAN 접속 장치(13)와 2계층(layer 2)상에서 통신을 수행할 수 있다.User client 12 may include a network terminal, such as a desktop, a notebook, or the like. The user client 12 may communicate with the LAN access device 13 mounted in the LAN access device 13 on the layer 2 using the authentication information provided from the user through the mounted authentication agent.

LAN 접속 장치(13)는 사용자 클라이언트(12)와 인증 서버(30) 사이에서 EAP 규격의 데이터를 전송 및 수신한다. 인증 서버(30)는 해당 사용자를 인증하여 그 결과를 LAN 접속 장치(13)에게 전달하고, LAN 접속 장치(13)가 사용자 에이전트(12)의 접속을 허가 혹은 차단할 수 있다.The LAN connection device 13 transmits and receives data of the EAP standard between the user client 12 and the authentication server 30. The authentication server 30 authenticates the user and transmits the result to the LAN connection device 13, and the LAN connection device 13 may permit or block the connection of the user agent 12.

이 경우, 사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 전술한 바와 같이 2 계층에서 동작하며 EAPOL(EAP Over LAN) 규격에 따라 EAP 데이터를 직접 전송한다.In this case, the section between the user client 12 and the LAN connection device 13 operates in the second layer as described above and directly transmits EAP data according to the EAPOL (EAP Over LAN) standard.

또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(TCP/IP) 상에서 동작하는 RADIUS 프로토콜 규격을 따르며, RADIUS 패킷 속에 EAP 데이터를 캡슐화하여 전송을 수행할 수 있다.In addition, the interval between the LAN access device 13 and the authentication server 30 conforms to the RADIUS protocol standard operating on the third layer (TCP / IP), and can transmit by encapsulating EAP data in the RADIUS packet.

본 발명의 일 실시예는 인증자 기능이 없는 LAN 접속 장치를 사용하거나, 인증자 기능이 있는 LAN 접속 장치 및 인증자 기능이 없는 LAN 접속 장치를 혼용하여 사용하는 네트워크 시스템에도 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있는 시스템 및 방법을 제공하고자 한다.An embodiment of the present invention is a connection management based on user authentication in a network system using a LAN access device without an authenticator function or using a LAN access device with an authenticator function and a LAN access device without an authenticator function. It is intended to provide a system and method that can provide functionality.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면은 사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부를 포함하고, 상기 EAP 데이터는 2 계층(layer 2)의 프로토콜을 사용하여 전송되는 사용자 인증에 기반한 네트워크 접속을 관리하는 인 포서(enforcer)를 제공할 수 있다.As a technical means for achieving the above-described technical problem, a first aspect of the present invention stores a MAC address table including a MAC address of the user authentication is successful, the MAC address of the device that transmitted the data is stored in the MAC address table A data filtering unit that determines at least one of whether the data is included and whether the data is extensible authentication protocol (EAP) data, and when the MAC address is included in the MAC address table, a destination of the data. EAPOL / RADIUS conversion unit and the authentication unit for transmitting the data passing through the transmission, if the data is EAP data for user authentication, converts the EAP data according to the RADIUS protocol (remote authentication dial in user service) If authentication is successful by the server, the MAC address of the client that requested the user authentication is changed. An authentication unit that added to the MAC address table, the EAP data may provide a Four Thirds (enforcer) to manage a network connection based on the user authentication is transmitted using a protocol of the second layer (layer 2).

또한, 본 발명의 제 2 측면은 사용자 클라이언트로부터 데이터를 수신하는 단계, 상기 데이터가 2계층의 EAP 데이터인 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계, 상기 인증 서버를 이용하여 사용자 인증이 성공한 경우, 상기 사용자 클라이언트의 MAC 주소를 MAC 주소 테이블에 저장하는 단계 및 상기 데이터가 상기 MAC 주소 테이블에 저장된 MAC 주소를 가진 사용자 클라이언트로부터 수신된 경우, 상기 데이터를 통과시키는 단계를 포함하는 사용자 인증에 기반한 네트워크 접속을 관리하는 방법을 제공할 수 있다.In addition, the second aspect of the present invention is the step of receiving data from a user client, if the data is layer 2 EAP data, converting the data into data according to the remote authentication dial in user service (RADIUS) protocol, Transmitting the converted data to an authentication server for performing user authentication, if user authentication is successful using the authentication server, storing the MAC address of the user client in a MAC address table, and the data is stored in the MAC address table When received from the user client having a MAC address stored in the, it may provide a method for managing a network connection based on user authentication comprising passing the data.

또한, 본 발명의 제 3 측면은 사용자 클라이언트로부터 2 계층(layer 2)의 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서, 상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버를 포함하고, 상기 인포서는 사용자 인증이 성공한 클라이언트의 MAC 주소를 저장하여 네트워크 접속을 관리하는 것인 사용자 인증에 기반한 네트워크 접속 관리 시스템을 제공할 수 있다.In addition, a third aspect of the present invention is an InfoSAP that receives layer 2 EAP data from a user client and converts the received EAP data according to the RADIUS protocol. And an authentication server configured to receive data and authenticate the user client using the received EAP data, wherein the information agent manages a network connection by storing a MAC address of a client for which user authentication is successful. A network connection management system based on authentication can be provided.

전술한 본 발명의 과제 해결 수단에 의하면, 인증자 기능이 없는 LAN 접속 장치를 사용하는 네트워크 시스템에 인증자 기능을 제공하는 인포서를 추가하여, 과다한 추가 비용이 없이도 기존의 네트워크 시스템을 이용하여 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있다.According to the problem solving means of the present invention described above, by adding an information sheet providing the authenticator function to a network system using a LAN connection device without the authenticator function, user authentication using an existing network system without excessive additional costs It can provide access management based on.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is "connected" to another part, this includes not only "directly connected" but also "electrically connected" with another element in between. . In addition, when a part is said to "include" a certain component, which means that it may further include other components, except to exclude other components unless otherwise stated.

이하에서 설명하는 본 발명의 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템에서 2 계층(layer 2)의 프로토콜로서 EAPOL(EAP over LAN)이 사용되고, 3 계층(layer 3)의 프로토콜로서 RADIUS(remote authentication dial in user service) 프로토콜이 사용되었으나, 이에 한정되지 않으며 또 다른 2 계층의 프로토콜 및 3 계층의 프로토콜이 사용될 수도 있다.In a network access management system based on user authentication according to an embodiment of the present invention described below, EAPOL (EAP over LAN) is used as a protocol of layer 2, and RADIUS (remote) as a protocol of layer 3 authentication dial in user service) protocol is used, but is not limited thereto, and another two-layer protocol and a three-layer protocol may be used.

도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면이다.3 is a diagram illustrating a configuration of a network access management system based on user authentication according to an embodiment of the present invention.

제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 LAN 네트워크에 접속한다. 제 1 LAN 접속 장치(110)는 IEEE802.1X 인증자 기능을 제공한다. 따라서, 제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.The first user client 100 connects to the LAN network through the first LAN access device 110. The first LAN connection device 110 provides the IEEE802.1X authenticator function. Accordingly, the first user client 100 may be authenticated by the authentication server 400 through the first LAN access device 110 and access the LAN network or the Internet.

제 2 사용자 클라이언트(200)는 제 2 LAN 접속 장치(110) 및 인포서(300)를 통하여 LAN 네트워크에 접속한다. 제 2 LAN 접속 장치(210)는 IEEE802.1X 인증자 기능을 제공하지 않는다. 따라서, 제 2 사용자 클라이언트(200)는 인포서(300)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.The second user client 200 connects to the LAN network through the second LAN access device 110 and the infoser 300. The second LAN access point 210 does not provide the IEEE802.1X authenticator function. Accordingly, the second user client 200 may be authenticated by the authentication server 400 through the informationr 300 and connected to the LAN network or the Internet.

여기서, 제 2 사용자 클라이언트(200)와 인포서(300)는 2계층(layer 2)에서 서로 통신을 수행하며, EAP 데이터는 2 계층의 프로토콜(protol)을 사용하여 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있으며, 예를 들어 EAPOL(EAP over LAN)의 형태로 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있다.Here, the second user client 200 and the informationr 300 communicate with each other in the second layer (layer 2), and the EAP data uses the second layer protocol (protol) for the second LAN access point 210. It may be transmitted to the informationr 300 through, for example, may be transmitted to the informationr 300 through the second LAN connection device 210 in the form of EAPOL (EAP over LAN).

다만, 제 2 사용자 클라이언트(200) 및 제 2 LAN 접속 장치(210)는 인포서(300)의 존재를 인식하지 못하며, EAPOL 형태의 EAP 데이터는 제 2 사용자 클라이언트(200)에 의해 전송되어, 제 2 사용자 클라이언트(200)와 LAN 네트워크 사이 에 위치한 인포서(300)로 전송된다.However, the second user client 200 and the second LAN access point 210 do not recognize the existence of the informationr 300, and the EAPOL data in the EAPOL form is transmitted by the second user client 200, and 2 is sent to the informationr 300 located between the user client 200 and the LAN network.

인포서(300)는 제 2 LAN 접속 장치(210)를 통해 연결된 제 2 사용자 클라이언트(200)에 대한 인증을 대행한다. 인포서(300)는 EAPOL 프로토콜을 이용하여 제 2 LAN 접속 장치(210)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 인증 프로토콜로서 3 계층(layer 3)의 프로토콜, 예를 들어 RADIUS 프로토콜을 이용하여 인증 서버(400)으로 전송한다. 이처럼 인포서(300)는 EAPOL을 이용하여 EAP 데이터를 수신하고, RADIUS 프로토콜을 이용하여 EAP 데이터를 인증 서버(400)로 전송할 수 있다.The informationr 300 substitutes for authentication of the second user client 200 connected through the second LAN access device 210. The informationr 300 receives the EAP data from the second LAN access point 210 using the EAPOL protocol, and uses the received EAP data as an authentication protocol using a layer 3 protocol, for example, a RADIUS protocol. To transmit to the authentication server (400). As such, the informationr 300 may receive the EAP data using the EAPOL and transmit the EAP data to the authentication server 400 using the RADIUS protocol.

또한, 인포서(300)는 인증 서버(400)로부터 제 2 사용자 클라이언트(200)에 대한 인증 결과를 수신하고, 적합한 사용자로 인증된 경우 제 2 사용자 클라이언트(200)의 MAC 주소(media access control address)를 저장한다.In addition, the informationr 300 receives an authentication result for the second user client 200 from the authentication server 400 and, when authenticated as a suitable user, the MAC address (media access control address) of the second user client 200. Save).

인포서(300)는 제 2 사용자 클라이언트(200)로부터 LAN 네트워크 접속 요청을 수신하고, 제 2 사용자 클라이언트(200)에 대한 인증 여부를 판단하여 그 결과에 따라 제 2 사용자 클라이언트(200)에 대한 인증을 수행하거나, 제 2 사용자 클라이언트(200)의 접속을 허용 또는 차단하거나, 또는 제 2 사용자 클라이언트(200)를 예외처리서버(500)로 접속시킨다.The informationr 300 receives a LAN network connection request from the second user client 200, determines whether to authenticate the second user client 200, and authenticates the second user client 200 according to the result. 2 or allow or block the connection of the second user client 200, or connect the second user client 200 to the exception processing server 500.

인포서(300)는 EAPOL에 따라 제 2 사용자 클라이언트(200) 또는 제 2 LAN 접속 장치(210)와 EAP 데이터를 송수신하고, RADIUS 프로토콜에 따라 인증 서버(400)와 EAP 데이터를 송수신한다.The informationr 300 transmits and receives EAP data with the second user client 200 or the second LAN access point 210 according to the EAPOL, and transmits and receives the EAP data with the authentication server 400 according to the RADIUS protocol.

인증 서버(400)는 인포서(300)로부터 제 2 사용자 클라이언트(200)에 대한 인증 요청을 수신하고, 수신한 인증 요청에 응답하여 제 2 사용자 클라이언트(200)에 대한 인증을 수행하고, 인증 결과를 인포서(300)로 전송한다.The authentication server 400 receives an authentication request for the second user client 200 from the informationr 300, performs authentication for the second user client 200 in response to the received authentication request, and authenticates the result. To transmit to the information book (300).

인증 서버(400)에 의해 인증을 성공한 경우, 인증 결과가 인포서(300)로 전송되고, 인증이 성공한 사용자 클라이언트의 MAC 주소는 인포서(300)의 데이터베이스에 저장된 MAC 주소 테이블에 저장될 수 있다.When the authentication is successful by the authentication server 400, the authentication result is transmitted to the infoser 300, and the MAC address of the user client which has been successfully authenticated may be stored in the MAC address table stored in the database of the infoser 300. .

예외처리서버(500)는 인증을 위해 필요한 에이전트(agent)를 제 2 사용자 클라이언트(200)에 제공하고, 인증을 위한 가이드를 제공할 수 있다. 또한, 권한이 없는 사용자 클라이언트가 접속을 시도하거나, 사용자 클라이언트가 차단을 요하는 웹 사이트 등에 접속을 시도하는 경우, 인포서(300)는 사용자 클라이언트를 예외처리서버(500)로 강제로 리라우팅(re-routing)시킨다.The exception processing server 500 may provide an agent necessary for authentication to the second user client 200 and provide a guide for authentication. In addition, when an unauthorized user client attempts to connect, or when the user client attempts to access a web site that requires blocking, the informationr 300 forcibly reroutes the user client to the exception handling server 500. re-routing).

도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도이다.4 is a block diagram showing the configuration of an informationr according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 인포서(300)는 데이터 수신부(310), 데이터 필터링부(320), EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350), 리라우팅부(360) 및 인증 관리부(370)를 포함한다.The information sheet 300 according to an exemplary embodiment of the present invention includes a data receiver 310, a data filter 320, an EAPOL / RADIUS converter 330, a RADIUS / EAPOL converter 340, and a data passer 350. ), The rerouting unit 360 and the authentication management unit 370.

데이터 수신부(310)는 외부 장치, 예를 들어 사용자 클라이언트(도시 생략), LAN 접속 장치(도시 생략) 또는 인증 서버(도시 생략)로부터 데이터를 수신하고, 수신한 데이터를 데이터 필터링부(320)로 전송한다. 데이터 수신부(310)는 EAPOL 또는 RADIUS 프로토콜뿐만 아니라 네크워크에 접속된 장치에서 전송된 다양한 프로토콜의 데이터를 수신할 수 있다.The data receiver 310 receives data from an external device, for example, a user client (not shown), a LAN connection device (not shown), or an authentication server (not shown), and sends the received data to the data filtering unit 320. send. The data receiver 310 may receive data of various protocols transmitted from a device connected to a network as well as an EAPOL or RADIUS protocol.

데이터 필터링부(320)는 데이터 수신부(310)로부터 수신한 데이터를 분석하 고, 분석된 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350) 또는 리라우팅부(360)로 스위칭하거나, 사용자 인증이 되지 않은 클라이언트의 데이터를 드롭(drop)시킨다.The data filtering unit 320 analyzes the data received from the data receiving unit 310 and converts the analyzed data into the EAPOL / RADIUS conversion unit 330, the RADIUS / EAPOL conversion unit 340, the data passing unit 350, or the like. Switch to the rerouting unit 360, or drop the data of the client that is not authenticated (drop).

데이터 필터링부(320)는 사용자 인증이 성공된 클라이언트의 MAC 주소를 포함하는 MAC 주소 테이블, 예외처리서버(500)로 전송되도록 설정된 특정 포트, 예를 들어 논리적인 포트인 TCP/IP 포트 등을 포함하는 포트(port) 테이블 및 트래픽을 관리하도록 설정된 MAC 주소를 포함하는 관리 MAC 주소 테이블을 저장할 수 있다.The data filtering unit 320 includes a MAC address table including a MAC address of a client for which user authentication is successful, a specific port set to be transmitted to the exception processing server 500, for example, a logical port, a TCP / IP port, and the like. A management MAC address table including a port table and a MAC address configured to manage traffic may be stored.

수신한 데이터가 사용자 인증이 수행된 사용자 클라이언트로부터 수신된 경우, 데이터 필터링부(320)는 수신한 데이터를 데이터 통과부(350)로 전달(forward)한다.When the received data is received from the user client on which the user authentication is performed, the data filtering unit 320 forwards the received data to the data passing unit 350.

예를 들어, 데이터를 전송한 사용자 클라이언트의 MAC 주소가 MAC 주소 테이블에 포함되어 있는 경우, 수신한 데이터를 데이터 통과부(350)로 바이패스시킬 수 있다.For example, when the MAC address of the user client that transmits the data is included in the MAC address table, the received data may be bypassed to the data passing unit 350.

또한, 데이터 필터링부(320)는, 수신한 데이터가 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신된 경우, 수신한 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340) 또는 리라우팅(re-routing)부(360) 중 하나로 스위칭하거나, 해당 데이터를 드롭시킬 수 있다.In addition, when the received data is received from a user client on which user authentication has not been performed, the data filtering unit 320 transmits the received data to the EAPOL / RADIUS converter 330, the RADIUS / EAPOL converter 340, or the receiver. Switching to one of the re-routing unit 360, or drop the corresponding data.

만약, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 데이터를 수신한 경우, 데이터 필터링부(320)는 수신한 데이터가 EAP 데이터인지 여부를 판단할 수 있다.If data is received from a user client on which user authentication has not been performed, the data filtering unit 320 may determine whether the received data is EAP data.

수신한 데이터가 EAP 데이터인 경우, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330) 또는 RADIUS/EAPOL 변환부(340)로 전송한다.If the received data is EAP data, the data filtering unit 320 transmits the received EAP data to the EAPOL / RADIUS converter 330 or the RADIUS / EAPOL converter 340.

IEEE802.1X 표준에 의해 정의된 것처럼, EAPOL(EAP over LAN)을 통해 데이터가 수신된 경우, EAP 데이터인지 여부의 식별은 수신한 데이터의 멀티캐스트(Multicast) 또는 유니캐스트(Unicast) 데이터 프레임 및 이더넷 유형(Ethernet Type)을 분석하여 결정될 수 있다.As defined by the IEEE802.1X standard, when data is received via EAPOL (EAP over LAN), the identification of whether it is EAP data is a multicast or unicast data frame and Ethernet of the received data. This can be determined by analyzing the Ethernet Type.

예를 들어, 수신한 데이터의 수신지(destination) 주소가 0x0180c2000003 이거나 인포서(300)의 주소이고, 이더넷 유형(Ethernet type)이 0x888e, 즉 EAPOL 이거나 정의된 다른 값, 예를 들어 0x88c7, 즉 사전 인증(Pre Authentication)일 경우, 수신한 EAP 데이터는 EAPOL 값으로 간주되며, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330)로 전송한다.For example, the destination address of the received data is 0x0180c2000003 or the address of the InfoSpherer 300, and the Ethernet type is 0x888e, ie EAPOL, or another value defined, for example 0x88c7, i.e. a dictionary. In case of authentication, the received EAP data is regarded as an EAPOL value, and the data filtering unit 320 transmits the received EAP data to the EAPOL / RADIUS converter 330.

또한, RADIUS를 통해 데이터가 수신된 경우, 수신한 데이터의 수신지가 인포서(300)이고, 수신한 데이터가 인증서버(400)로부터 수신된 경우, 데이터 필터링부(320)은 수신한 데이터를 EAP 데이터로 판단하고, 수신한 데이터를 RADIUS/EAPOL 변환부(340)로 전송한다.In addition, when data is received through RADIUS, when the destination of the received data is the informationr 300 and the received data is received from the authentication server 400, the data filtering unit 320 EAP the received data. The data is determined to be transmitted, and the received data is transmitted to the RADIUS / EAPOL converter 340.

데이터 필터링부(320)는, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신한 데이터가 포트(port) 테이블에 포함된 포트(port)로부터 수신되거나 특정 서비스를 요청하는 내용을 포함하는 경우, 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 전술한 바와 같이, 포트(port) 테이블은 TCP/IP 포트와 같은 논리적인 포트를 포함한다.The data filtering unit 320 receives the data received from a user client that has not performed user authentication when the data is received from a port included in a port table or requests a specific service. May be transmitted to the rerouting unit 360. As mentioned above, the port table contains logical ports such as TCP / IP ports.

예를 들어, 수신한 데이터가 임의의 웹 페이지에 접속하기 위한 데이터인 경우, 데이터 필터링부(320)는 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 리라우팅부(360)의 구체적인 기술은 후술한다.For example, when the received data is data for accessing an arbitrary web page, the data filtering unit 320 may transmit the received data to the rerouting unit 360. The detailed description of the rerouting unit 360 will be described later.

이처럼 데이터 필터링부(320)는 물리적인 포트(port)가 아니라 MAC 주소 테이블, 포트 테이블 및 관리 MAC 주소 테이블 등을 이용하여 수신한 데이터를 바이패스시키거나 스위칭시키거나 또는 드롭시키므로, 스위치 허브 포트의 수가 무제한인 것과 동일한 기능을 수행할 수 있다.As such, the data filtering unit 320 bypasses, switches, or drops the received data using a MAC address table, a port table, and a management MAC address table, not a physical port. You can do the same thing with an unlimited number.

EAPOL/RADIUS 변환부(330)는 2 계층(layer 2)의 EAPOL을 통해 전송된 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 인증 서버(400)로 전송한다. 즉, EAPOL/RADIUS 변환부(330)는 EAPOL에 따라 수신된 EAP 데이터를 RADIUS 프로토콜에 따르도록 변환하고, 변환한 EAP 데이터를 인증 서버로 전송한다.The EAPOL / RADIUS converter 330 receives the EAP data transmitted through the EAPOL of the layer 2, converts the received EAP data, and transmits the received EAP data to the authentication server 400. That is, the EAPOL / RADIUS conversion unit 330 converts the received EAP data according to the EAPOL to comply with the RADIUS protocol, and transmits the converted EAP data to the authentication server.

이처럼 사용자 클라이언트 또는 LAN 접속 장치에 의해 전송된 EAP 데이터는 EAPOL/RADIUS 변환부(330)에 의해 인증 서버(400)로 전송되어, 인증되지 않은 사용자 클라이언트에 대한 인증 또는 인증된 사용자에 대한 재인증이 수행될 수 있다.As such, the EAP data transmitted by the user client or the LAN access device is transmitted to the authentication server 400 by the EAPOL / RADIUS conversion unit 330, so that authentication of an unauthenticated user client or reauthentication of an authenticated user is performed. Can be performed.

인증 서버(400)에 의해 인증을 성공한 사용자 클라이언트의 MAC 주소는 전술한 MAC 주소 테이블에 저장될 수 있다.The MAC address of the user client which has been authenticated by the authentication server 400 may be stored in the aforementioned MAC address table.

RADIUS/EAPOL 변환부(340)는 인증 서버(400)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 사용자 클라이언트 또는 LAN 접속 장치로 전송한다. 즉, RADIUS/EAPOL 변환부(340)는 RADIUS 프로토콜에 따라 수신된 EAP 데이터를 EAPOL 에 따르도록 변환하고, 변환한 EAP 데이터를 사용자 클라이언트로 전송한다.The RADIUS / EAPOL converter 340 receives the EAP data from the authentication server 400, converts the received EAP data, and transmits the received EAP data to a user client or a LAN access device. That is, the RADIUS / EAPOL conversion unit 340 converts the received EAP data according to the RADIUS protocol to conform to the EAPOL, and transmits the converted EAP data to the user client.

데이터 통과부(350)는 데이터 필터링부(320)에 의해 인증된 클라이언트의 MAC 주소로부터 수신된 것으로 판단된 데이터를 데이터의 수신지로 전송되도록 통과시킨다.The data passing unit 350 passes the data determined to be received from the MAC address of the client authenticated by the data filtering unit 320 to be transmitted to the destination of the data.

리라우팅부(360)는 데이터 필터링부(320)로부터 수신한 데이터를 전송한 사용자 클라이언트(200)의 네트워크 트래픽(traffic)을 예외처리서버(500)로 전송한다. 예외처리서버(500)에 의해 사용자 클라이언트(200)는 EAPOL을 이용하기 위한 에이전트를 설치할 수 있고, 그 외의 경고나 가이드 메시지 등을 수신할 수 있다.The rerouting unit 360 transmits the network traffic of the user client 200 that has transmitted the data received from the data filtering unit 320 to the exception processing server 500. By the exception processing server 500, the user client 200 may install an agent for using EAPOL, and may receive other warnings or guide messages.

인증 관리부(370)는, 인증 서버(400)에 의해 사용자 클라이언트에 대한 인증이 성공한 경우, 인증된 사용자 클라이언트의 MAC 주소를 데이터 필터링부(320)에 저장된 MAC주소 테이블에 추가시킨다.The authentication manager 370 adds the MAC address of the authenticated user client to the MAC address table stored in the data filtering unit 320 when the authentication server 400 successfully authenticates the user client.

이처럼 인증 관리부(370)에 의해 사용자 인증이 성공한 MAC 주소가 MAC 주소 테이블에 추가되므로, 사용자 인증이 성공한 사용자 클라이언트는 이후에 별도의 인증 절차 없이도 네트워크에 접속할 수 있다.As described above, since the authentication management unit 370 adds the successful MAC address to the MAC address table, the successful user authentication can access the network without a separate authentication procedure.

도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도이다.FIG. 5 is a flowchart illustrating a flow of EAP data processing in an informationr in a network access management method based on user authentication according to an embodiment of the present invention.

단계(S105)에서, 인포서는 사용자 클라이언트로부터 데이터를 수신한다. 인포서는 EAPOL을 포함하는 다양한 프로토콜의 데이터를 수신할 수 있다.In step S105, the informer receives data from the user client. The InfoSphere can receive data from various protocols, including EAPOL.

단계(S110)에서, 단계(S105)에서 수신한 데이터가 IP 주소의 할당을 요청하는 패킷인지 여부를 판단한다. 사용자 클라이언트의 IP 주소는 유동적으로 변경되는 유동 IP 주소일 수도 있으며, 이 경우 사용자 클라이언트는 IP 주소의 할당을 위하여 IP 주소 할당 요청 패킷을 DHCP(dynamic host configuration protocol, DHCP) 서버로 전송한다. 따라서, 단계(S105)에서 수신한 데이터가 이러한 IP 주소 할당 요청 패킷인지 여부를 판단한다.In step S110, it is determined whether the data received in step S105 is a packet for requesting allocation of an IP address. The IP address of the user client may be a dynamic IP address that is dynamically changed. In this case, the user client transmits an IP address allocation request packet to a DHCP (dynamic host configuration protocol) server for IP address assignment. Therefore, it is determined whether the data received in step S105 is such an IP address assignment request packet.

단계(S115)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷인 것으로 판단된 경우, 수신한 IP 주소 할당 요청 패킷을 인포서에 포함된 DHCP 서버 또는 미리 설정된 DHCP 서버로 전송하거나, IP 주소 할당 요청 패킷에 설정된 수신지로 전송한다. 예를 들어, IP 주소 할당 요청 패킷이 BootP 패킷인 경우, BootP 패킷를 통과시켜 BootP 패킷의 수신지로 전송할 수 있다.In step S115, if it is determined in step S110 that the data received from the user client is an IP address assignment request packet, the received IP address assignment request packet is sent to a DHCP server or a preset DHCP server included in the information sheet. Or to the destination set in the IP address assignment request packet. For example, when the IP address allocation request packet is a BootP packet, the IP address allocation request packet may be transmitted to the destination of the BootP packet by passing the BootP packet.

단계(S111)에서는, 단계(S105)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 획득하기 위한 DNS 요청 패킷인지 여부를 판단한다.In step S111, it is determined whether the data received from the user client in step S105 is a DNS request packet for obtaining an IP address of a domain name.

단계(S116)에서는, 단계(S111)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 얻기 위한 DNS 요청 패킷인 것으로 판단된 경우, 수신한 DNS 요청 패킷을 통과시켜 DNS 서버로 전송한다. 이를 통해 사용자 클라이언트는 해당 DNS의 IP 주소를 획득할 수 있다.In step S116, if it is determined in step S111 that the data received from the user client is a DNS request packet for obtaining an IP address of the domain name, the received DNS request packet is passed through to the DNS server. send. This allows the user client to obtain the IP address of the DNS.

단계(S120)에서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주소가 인포서에 저장된 MAC 주소 테이블에 존재하는지 여부를 판단한다. MAC 주소 테이블은 사용자 인증에 성공한 사용자 클라이언트의 MAC 주소를 포함한다. 따라서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주 소가 MAC 주소 테이블에 포함되었는지 판단하여 단계(S105)에서 수신한 데이터가 사용자 인증된 MAC 주소를 갖는 사용자 클라이언트로부터 전송되었는지, 여부를 판단할 수 있다.In step S120, it is determined whether the MAC address of the user client that has transmitted the data received in step S105 exists in the MAC address table stored in the informationr. The MAC address table includes MAC addresses of user clients that have successfully authenticated users. Accordingly, it is determined whether the MAC address of the user client that has transmitted the data received in step S105 is included in the MAC address table, and whether the data received in step S105 is transmitted from the user client having the user authenticated MAC address. It can be determined.

단계(S125)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷이 아닌 것으로 판단된 경우, 수신한 데이터가 관리 MAC 주소로부터 전송되었는지 여부를 판단한다.In step S125, if it is determined in step S110 that the data received from the user client is not an IP address allocation request packet, it is determined whether the received data is transmitted from the management MAC address.

인포서는 사용자 인증에 성공했더라도 트래픽을 차단하거나 예외처리서버나 검역소로 리라우팅되도록 설정된 관리 MAC 주소 테이블을 포함할 수 있으며, 이러한 관리 MAC 주소 테이블과 데이터를 전송한 MAC주소를 비교하여 수신한 데이터에 대한 차단 등의 여부를 판단할 수 있다.The InfoSphere may include a management MAC address table configured to block traffic or reroute to an exception handling server or quarantine even if the user authentication is successful. Data received by comparing the management MAC address table with the MAC address that transmitted the data It can be determined whether or not to block.

단계(S130)에서는, 단계(S125)에서 관리 MAC 주소 테이블에 포함된 MAC주소로부터 데이터가 수신되지 않은 것으로 판단되는 경우, 인포서는 단계(S105)에서 수신한 데이터를 통과시켜, 데이터의 수신지(destination)로 전송한다.In step S130, when it is determined in step S125 that data is not received from the MAC address included in the management MAC address table, the information sheet passes the data received in step S105, and the destination of the data ( destination).

전술한 바와 같이, MAC 주소 테이블에 포함된 MAC 주소는 사용자 인증이 성공한 MAC 주소이므로, 인포서는 수신한 데이터에 대하여 별도로 사용자 인증을 수행하지 않고, 데이터의 수신지로 전송한다.As described above, since the MAC address included in the MAC address table is a MAC address for which user authentication is successful, the informationr transmits to the destination of the data without performing user authentication on the received data.

단계(S135)에서는, 단계(S120)에서 MAC 주소 테이블에 포함되지 않은 MAC 주소로부터 데이터가 수신된 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신되었는지 여부를 판단한다.In step S135, when it is determined in step S120 that data is received from a MAC address not included in the MAC address table, it is determined whether the data received in step S105 is received through EAPOL.

사용자 클라이언트의 인증을 위한 EAP 데이터는 EAPOL을 통해 사용자 클라이 언트로부터 인포서로 수신된다. 따라서, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신된 경우, 수신한 데이터는 사용자 클라이언트의 인증을 위한 EAP 데이터인 것으로 판단될 수 있다.EAP data for authentication of the user client is received from the user client through the EAPOL to the InfoSphere. Therefore, when the data received in step S105 is received through the EAPOL, it may be determined that the received data is EAP data for authentication of the user client.

단계(S140)에서는, 단계(S135)에서 EAPOL을 통해 데이터가 수신된 것으로 판단된 경우, 인포서는 단계(S105)에서 수신한 데이터가 RADIUS 프로토콜에 따라 인증 서버로 전송될 수 있도록 데이터를 변환하고, 변환한 데이터를 인증 서버로 전송한다.In step S140, when it is determined in step S135 that data has been received through EAPOL, the information convertor converts the data so that the data received in step S105 can be transmitted to the authentication server according to the RADIUS protocol. Send the converted data to the authentication server.

인증 서버는 인포서로부터 EAPOL/RADIUS 변환된 데이터를 수신하여 사용자 클라이언트에 대한 인증을 수행하고, 그 인증 결과를 인포서로 전송한다. 인증 서버에 의한 사용자 클라이언트의 인증이 성공한 경우, 인증을 성공한 사용자 클라이언트의 MAC 주소는 MAC 주소 테이블에 저장될 수 있다.The authentication server receives the EAPOL / RADIUS converted data from the informationr, performs authentication on the user client, and transmits the authentication result to the informationr. If the authentication of the user client by the authentication server is successful, the MAC address of the user client which has been successfully authenticated may be stored in the MAC address table.

단계(S145)에서는, 단계(S135)에서 데이터가 EAPOL을 통해 수신되지 않은 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스, 예를 들어 웹 페이지에의 접속 등을 요청하는 내용을 포함하는지 여부를 판단한다.In step S145, if it is determined in step S135 that the data is not received via EAPOL, the data received in step S105 is transmitted from a specific protocol or a specific port or a specific service, for example It is determined whether or not to include contents requesting access to a web page.

단계(S150)에서는, 단계(S125)에서 데이터가 관리 MAC 주소로부터 전송된 것으로 판단된 경우 또는 단계(S145)에서 데이터가 특정 포트로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하는 것으로 판단된 경우 또는, 단계(S105)에서 수신한 데이터를 예외처리서버(도시 생략)로 리라우팅(re-routing)한다.In step S150, when it is determined in step S125 that the data is transmitted from the management MAC address or when it is determined in step S145 that the data includes a content transmitted from a specific port or request a specific service or Re-routing the data received in step S105 to an exception processing server (not shown).

전술한 바와 같이, 리라우팅된 예외처리서버는 아직 사용자 인증을 수행하지 않은 클라이언트에 인증을 위해 필요한 에이전트(agent)를 설치하고, 인증을 위한 가이드를 제공할 수 있다.As described above, the rerouted exception handling server may install an agent necessary for authentication on a client which has not yet performed user authentication, and provide a guide for authentication.

또한, 사용자 인증이 되었더라도 소정의 이유, 예를 들어 불법 프로그램 설치 또는 바이러스 보유 등의 이유로 인해 차단 MAC 주소로 설정된 사용자 클라이언트에 대하여 경고 메시지 등을 전송하거나, 예외처리서버 혹은 검역소로 리라우팅시킬 수 있다.In addition, even if the user is authenticated, a warning message or the like can be transmitted to the user client set to the blocking MAC address or rerouted to an exception processing server or quarantine due to a predetermined reason, for example, illegal program installation or virus retention. .

단계(S155)에서는, 단계(S145)에서 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하지 않는 것으로 판단된 경우, 단계(S105)에서 수신한 데이터를 드롭(drop)시켜 차단한다.In step S155, when it is determined in step S145 that the data does not include a content transmitted from a specific protocol or a specific port or request a specific service, the data received in step S105 is dropped ( drop) to block.

전술한 바와 같이 본 발명의 일 실시예는 사용자 클라이언트의 IP 주소가 고정된 IP 주소인 경우뿐만 아니라, 유동적으로 변경되는 유동 IP 주소인 경우도 적용될 수 있다.As described above, the embodiment of the present invention may be applied not only to the case where the IP address of the user client is a fixed IP address but also to a floating IP address that is dynamically changed.

사용자 클라이언트의 IP 주소가 유동 IP 주소인 경우, 인포서는 동적 호스트 설정 통신 규약(dynamic host configuration protocol, DHCP) 서버를 포함하거나, 특정 DHCP 서버로 해당 데이터를 전송하도록 미리 설정될 수 있다.If the IP address of the user client is a dynamic IP address, the informationr may include a dynamic host configuration protocol (DHCP) server or may be preset to transmit the data to a specific DHCP server.

한편, 전술한 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 2계층에서 동작하지만, LAN 연동 장치와 같이 사용자 클라이언트에 직접 연동되지 않으므로, 해당 사용자 클라이언트에 접속된 네트워크 케이블의 탈착 또는 실착을 판단할 수 없다.On the other hand, the network connection management system according to an embodiment of the present invention described above operates in the second layer, but does not directly interwork with a user client like a LAN interworking device, so that the network cable connected to the user client is determined to be attached or detached. Can not.

따라서, 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 세션 타 임아웃(session timeout) 또는 아이들 타임아웃(idle timeout)을 통해 사용자 클라이언트에 대한 재인증을 수행하고, 재인증에 대한 응답이 없는 경우 사용자 클라이언트의 MAC 주소를 인포서의 데이터베이스에 저장된 MAC 주소 테이블로부터 삭제할 수 있다. 그리고 단계(S155)에 의해 드롭된 사용자 클라이언트나 단계(S150)에 의해 리라우팅된 사용자 클라이언트는 인포서가 해당 클라이언트의 MAC주소로 인증요청 하여 인증을 시도할 수 있다Accordingly, the network access management system according to an embodiment of the present invention performs reauthentication for a user client through a session timeout or idle timeout, and has no response to reauthentication. In this case, the MAC address of the user client can be deleted from the MAC address table stored in the informationr's database. In addition, the user client dropped by step S155 or the user client rerouted by step S150 may attempt to authenticate by requesting the infoser to the MAC address of the corresponding client.

전술한 본 발명의 일 실시예에서, EAP 데이터는 EAPOL(EAP over LAN)을 이용할 수 있으나, 다른 2 계층의 프로토콜이 사용될 수도 있다.In the above-described embodiment of the present invention, EAP data may use EAPOL (EAP over LAN), but another two-layer protocol may be used.

본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.One embodiment of the present invention can also be implemented in the form of a recording medium containing instructions executable by a computer, such as a program module executed by the computer. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. In addition, computer readable media may include both computer storage media and communication media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. Communication media typically includes computer readable instructions, data structures, program modules, or other data in a modulated data signal such as a carrier wave, or other transmission mechanism, and includes any information delivery media.

본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들 의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.Although the methods and systems of the present invention have been described in connection with specific embodiments, some or all of their components or operations may be implemented using a computer system having a general purpose hardware architecture.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The foregoing description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.

도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면,1 is a view showing the configuration of a local area network (LAN) system according to the prior art,

도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면,2 illustrates a protocol connection of a local area network (LAN) system according to the prior art;

도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면,3 is a diagram illustrating a configuration of a network access management system based on user authentication according to an embodiment of the present invention;

도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도,4 is a block diagram showing the configuration of an informationr according to an embodiment of the present invention;

도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도.FIG. 5 is a flowchart illustrating a flow of EAP data processing in an informationr in a network access management method based on user authentication according to an embodiment of the present invention. FIG.

Claims (10)

사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)에 있어서,In the Enforcer, which manages network access based on user authentication, 사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부,A MAC address table including a MAC address for which user authentication is successful, and at least one of whether the MAC address of the device that transmits the data is included in the MAC address table and whether the data is extensible authentication protocol (EAP) data Data filtering unit for determining the, 상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부,A data passing unit for transmitting the data to a destination of the data when the MAC address is included in the MAC address table; 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및An EAPOL / RADIUS conversion unit for converting the EAP data according to a remote authentication dial in user service (RADIUS) protocol and transmitting the EAP data to an authentication server when the data is EAP data for user authentication; 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부Authentication management unit for adding the MAC address of the client requesting the user authentication to the MAC address table when the authentication is successful by the authentication server 를 포함하고,Including, 상기 EAP 데이터는 2 계층(layer 2)의 프로토콜을 사용하여 전송되는 네트워크 접속을 관리하는 인포서.The EAP data is an information server for managing a network connection is transmitted using a layer 2 protocol. 제 1 항에 있어서,The method of claim 1, 상기 데이터 필터링부는 미리 설정된 포트(port)를 포함하는 포트 테이블을 저장하고, 상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신하는지 여부를 판단하며,The data filtering unit stores a port table including a preset port, determines whether to receive the data from a port included in the port table, 상기 인포서는,The information book, 상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 리라우팅부A rerouting unit for rerouting the client to an exception handling server when receiving the data from a port included in the port table. 를 더 포함하고,More, 상기 데이터는 상기 MAC 주소 테이블에 저장되지 않은 MAC 주소로부터 수신하는 네트워크 접속을 관리하는 인포서.And the data manages a network connection that is received from a MAC address not stored in the MAC address table. 제 1 항에 있어서,The method of claim 1, 상기 데이터 필터링부는 사용자 인증된 MAC 주소 중 관리 대상이 되는 관리 MAC 주소를 저장하고, 상기 관리 MAC 주소 테이블에 포함되는 MAC 주소로부터 상기 데이터를 수신하는지 여부를 판단하며,The data filtering unit stores a management MAC address to be managed among user authenticated MAC addresses, and determines whether to receive the data from a MAC address included in the management MAC address table. 상기 인포서는,The information book, 상기 관리 MAC 주소로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅하는 리라우팅(re-routing)부A re-routing unit for rerouting the client to an exception handling server when the data is received from the management MAC address 를 더 포함하는 네트워크 접속을 관리하는 인포서.Infoser to manage the network connection further comprising. 제 2 항 또는 제 3 항에 있어서,The method of claim 2 or 3, 상기 예외처리서버는 상기 사용자 클라이언트에 사용자 인증을 위한 에이전트(agent)의 설치를 제공하는 것인 네트워크 접속을 관리하는 인포서.The exception processing server is an information server for managing a network connection to provide an installation of an agent (agent) for user authentication to the user client. 사용자 클라이언트와 LAN 접속 장치 사이에 배치된 인포서를 이용하여 사용자 인증에 기반한 네트워크 접속을 관리하는 방법에 있어서,In the method for managing a network connection based on user authentication using an information sheet disposed between the user client and the LAN connection device, 사용자 인증에 성공한 사용자 클라이언트의 MAC 주소 테이블을 상기 인포서에 저장하는 단계,Storing the MAC address table of the user client that has successfully authenticated the user in the information sheet; 사용자 클라이언트로부터 데이터를 수신하는 단계,Receiving data from a user client, 상기 데이터가 2계층의 EAP 데이터인 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계,Converting the data into data according to a remote authentication dial in user service (RADIUS) protocol, and transmitting the converted data to an authentication server performing user authentication when the data is EAP data of two layers; 상기 인증 서버를 이용하여 사용자 인증이 성공한 경우, 상기 사용자 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 단계 및Adding a MAC address of the user client to the MAC address table when user authentication is successful using the authentication server; and 상기 데이터가 상기 MAC 주소 테이블에 저장된 MAC 주소를 가진 사용자 클라이언트로부터 수신된 경우, 상기 데이터를 통과시켜 상기 LAN 접속 장치에 제공하는 단계Passing the data to the LAN access device when the data is received from a user client having a MAC address stored in the MAC address table. 를 포함하는 네트워크 접속 관리 방법.Network connection management method comprising a. 제 5 항에 있어서,The method of claim 5, wherein 상기 데이터가 미리 설정된 포트(port)로부터 수신된 경우, 상기 사용자 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 단계Re-routing the user client to an exception handling server when the data is received from a preset port 를 더 포함하고,More, 상기 예외처리서버는 상기 사용자 클라이언트에 인증을 위한 에이전트(agent)의 설치를 제공하는 네트워크 접속 관리 방법.The exception processing server is a network connection management method for providing an installation of the agent (agent) for authentication to the user client. 제 5 항에 있어서,The method of claim 5, wherein 상기 사용자 클라이언트로부터 IP 주소 할당과 관련된 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계Passing a packet associated with an IP address assignment from the user client; 를 더 포함하는 네트워크 접속 관리 방법.Network access management method further comprising. 제 5 항에 있어서,The method of claim 5, wherein 상기 사용자 클라이언트로부터 도메인 네임에 대응하는 IP 주소를 요청하는 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계When the packet is received from the user client requesting an IP address corresponding to a domain name, passing the packet. 를 더 포함하는 네트워크 접속 관리 방법.Network access management method further comprising. 사용자 인증에 기반한 네트워크 접속 관리 시스템에 있어서,In the network access management system based on user authentication, 사용자 클라이언트와 LAN 접속 장치 사이에 배치되며, 상기 사용자 클라이언트로부터 수신한 데이터 중 2 계층(layer 2)의 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서,An information sheet disposed between the user client and the LAN access device and receiving EAP data of a layer 2 of data received from the user client, and converting the received EAP data according to a RADIUS protocol; 상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버An authentication server that receives EAP data according to the RADIUS protocol from the informationr and authenticates the user client using the received EAP data. 를 포함하고,Including, 상기 인포서는 상기 인증 서버에 의해 사용자 인증이 성공한 클라이언트의 MAC 주소를 MAC 주소 테이블에 저장하고, 상기 MAC 주소 테이블에 기초하여 상기 LAN 접속 장치로의 데이터 통과 여부를 결정하는 것인 네트워크 접속 관리 시스템.And the information sheet stores a MAC address of a client that has successfully authenticated a user by the authentication server in a MAC address table, and determines whether to pass data to the LAN access device based on the MAC address table. 제 9 항에 있어서,The method of claim 9, 상기 인포서에 의해 라우팅되며, 사용자 클라이언트에 설치되는 사용자 인증용 에이전트를 제공하는 예외처리서버An exception handling server that is routed by the infoser and provides an agent for user authentication installed in a user client. 를 더 포함하는 네트워크 접속 관리 시스템.Network access management system further comprising.
KR1020080115080A 2008-11-19 2008-11-19 System and method for managing access to network based on user authentication KR100904215B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080115080A KR100904215B1 (en) 2008-11-19 2008-11-19 System and method for managing access to network based on user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080115080A KR100904215B1 (en) 2008-11-19 2008-11-19 System and method for managing access to network based on user authentication

Publications (1)

Publication Number Publication Date
KR100904215B1 true KR100904215B1 (en) 2009-06-25

Family

ID=40983074

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080115080A KR100904215B1 (en) 2008-11-19 2008-11-19 System and method for managing access to network based on user authentication

Country Status (1)

Country Link
KR (1) KR100904215B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592037A (en) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 MAC address authentication method and device
KR20160059825A (en) * 2014-11-19 2016-05-27 닉스테크 주식회사 VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
KR20190030714A (en) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 Communication system, subscriber information management device, information acquisition method, non-temporary computer readable medium and communication terminal

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
KR20070076327A (en) * 2006-01-18 2007-07-24 삼성전자주식회사 Movement system for furnish wireless lan service for using wibro system and control method thereof
KR20070078212A (en) * 2006-01-26 2007-07-31 주식회사 케이티 Multimode access authentication method for public wireless lan service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
KR20070076327A (en) * 2006-01-18 2007-07-24 삼성전자주식회사 Movement system for furnish wireless lan service for using wibro system and control method thereof
KR20070078212A (en) * 2006-01-26 2007-07-31 주식회사 케이티 Multimode access authentication method for public wireless lan service

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160059825A (en) * 2014-11-19 2016-05-27 닉스테크 주식회사 VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
KR101628534B1 (en) * 2014-11-19 2016-06-08 닉스테크 주식회사 VIRTUAL 802.1x METHOD AND DEVICE FOR NETWORK ACCESS CONTROL
CN105592037A (en) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 MAC address authentication method and device
CN105592037B (en) * 2015-07-10 2019-03-15 新华三技术有限公司 A kind of MAC address authentication method and apparatus
KR20190030714A (en) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 Communication system, subscriber information management device, information acquisition method, non-temporary computer readable medium and communication terminal
KR102140521B1 (en) 2016-07-15 2020-08-03 닛본 덴끼 가부시끼가이샤 Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium and communication terminal
KR20200093086A (en) * 2016-07-15 2020-08-04 닛본 덴끼 가부시끼가이샤 Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium, and communication terminal
KR102193511B1 (en) 2016-07-15 2020-12-21 닛본 덴끼 가부시끼가이샤 Communication system, subscriber information management device, information acquisition method, non-transitory computer readable medium, and communication terminal
US11153751B2 (en) 2016-07-15 2021-10-19 Nec Corporation Communication system, subscriber-information management apparatus, information acquisition method, non-transitory computer-readable medium, and communication terminal

Similar Documents

Publication Publication Date Title
US10630725B2 (en) Identity-based internet protocol networking
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US8650610B2 (en) Systems and methods of controlling network access
US9112909B2 (en) User and device authentication in broadband networks
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US7389534B1 (en) Method and apparatus for establishing virtual private network tunnels in a wireless network
US7735114B2 (en) Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US8117639B2 (en) System and method for providing access control
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2009538478A5 (en)
US20160352731A1 (en) Network access control at controller
WO2010003354A1 (en) An authentication server and a control method for the mobile communication terminal accessing the virtual private network
US8627423B2 (en) Authorizing remote access points
KR100904215B1 (en) System and method for managing access to network based on user authentication
CN101867579B (en) Method and device for switching user network access authorities
WO2010040309A1 (en) Access method, network system and device
JP2012070225A (en) Network relay device and transfer control system
KR100888979B1 (en) System and method for managing access to network based on user authentication
JP2012060357A (en) Remote access control method for mobile body system
CN101170566A (en) A multi-domain authentication method and system
Cisco Configuring Network Security
Cisco Configuring Network Security
JP5622088B2 (en) Authentication system, authentication method
He-Hua et al. Study of Network Access Control System Featuring Collaboratively Interacting Network Security Components

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130410

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140626

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150616

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170310

Year of fee payment: 8

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20170411

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180420

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190507

Year of fee payment: 11