KR100939300B1 - 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법 - Google Patents

마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법 Download PDF

Info

Publication number
KR100939300B1
KR100939300B1 KR1020070118823A KR20070118823A KR100939300B1 KR 100939300 B1 KR100939300 B1 KR 100939300B1 KR 1020070118823 A KR1020070118823 A KR 1020070118823A KR 20070118823 A KR20070118823 A KR 20070118823A KR 100939300 B1 KR100939300 B1 KR 100939300B1
Authority
KR
South Korea
Prior art keywords
policy
client terminal
user
server
authentication server
Prior art date
Application number
KR1020070118823A
Other languages
English (en)
Other versions
KR20090052225A (ko
Inventor
이상준
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020070118823A priority Critical patent/KR100939300B1/ko
Publication of KR20090052225A publication Critical patent/KR20090052225A/ko
Application granted granted Critical
Publication of KR100939300B1 publication Critical patent/KR100939300B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 마이크로소프트 NAP(Network access protection) 기반용 네트워크 접속 통제 방법에 관한 것으로, 네트워크에 접속하고자 하는 클라이언트단말기에서는 정책을 수행하고, 인증서버에서는 인증된 사용자의 정책을 확인한 후 클라이언트단말기에서 받은 정책 수행 결과 및 수행된 정책 정보와 정책서버로부터 받은 해당 사용자에 대한 정책 정보를 비교 검사하여 클라이언트단말기의 네트워크 접속을 통제하며, 정책서버는 인증서버에 연결되어 사용자별로 정책을 제공하거나 관리함으로써 MS(마이크로소프트) NAP의 정책 확장을 꾀할 수 있어서 한층 강화된 네트워크 보안을 도모할 수 있으며, 더 나아가 MS NAP의 규격화된 패킷 사이즈의 제한보다 더 큰 사이즈의 정책까지도 확장 가능하게 하여 MS NAP의 정책 확장을 용이하게 도모할 수 있도록 한다.
NAP, 인증, 정책, 네트워크 보안

Description

마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속 통제 방법{NETWORK ACCESS CONTROL METHOD BASED ON MICROSOFT NETWORK ACCESS PROTECTION}
본 발명은 네트워크 접속 통제 방법에 관한 것으로, 특히 MS(Microsoft, 마이크로소프트) NAP(Network access protection, 네트워크 접근 보호)의 정책 확장에 관한 것이다.
인터넷의 발달은 정보의 교환을 쉽게 달성할 수 있도록 하였지만, 그 만큼 정보의 유출과 같은 보안사고의 개연성을 높이고 있다. 특히 근자에 들어서는 무선인터넷의 발달로 인하여 네트워크로 신분이 불분명한 자에 의한 접속 가능성이 더욱 쉬워져 보안사고의 개연성을 한층 더 높이고 있다.
따라서 네트워크 보안과 관련된 업체들은 보안사고를 방지하기 위해 다양한 기술들을 개발하고 있는 데, 그 중 마이크로소프트사는 NAP라는 기술을 개발 및 제안하였다.
NAP기술은 네트워크에 접속하기 위한 클라이언트에 대한 보안정책에 따라 해 당 네트워크 접속 혹은 통신 시 그 보안상태(또는 건강상태. 이하 동일함)를 점검하여 정책적인 요구사항이 부합되기 전까지는 클라이언트의 네트워크 접속을 제한하는 것을 근간으로 한다.
위와 같은 NAP기술을 도입하게 되면 다음과 같은 기능 및 이점이 있다.
우선 사용자 관점에서는, 네트워크 자원을 이용하기 위해서 최초 네트워크 접속 시, 자신의 컴퓨터에 설치된 NAP 클라이언트가 시스템의 보안상태를 자동적으로 점검하여 기 설정된 보안상태 정책에 부합하는지 여부를 판별하게 된다. 그리고 자신의 컴퓨터가 정책에 부합한다면 자신에게 부여된 네트워크 사용권한 만큼 허가된 네트워크 자원을 사용할 수 있게 되지만, 그렇지 않을 경우, 쿼런틴존(Quarantine zone)으로 만의 접근만 허용되는 NAP client with limited access 상태가 된다. 따라서 자신의 컴퓨터에 바이러스 엔진이 업데이트가 되지 않아 네트워크로의 접속이 제한된 경우 사용자는 바이러스 엔진을 업데이트시켜야 하는 데, 이 때 제한 접속된 쿼런틴존에서 바이러스 엔진을 수동 또는 자동으로 업데이트시킬 수 있도록 구현할 수도 있다. 또한, 네트워크 접속이 허가된 이후라도 NAP 클라이언트에 의한 보안상태 점검으로 지속적인 보안관리를 받게 된다. 이러한 점은 사용자 본인의 의지와는 무관하게 보안정책을 준수해야만 네트워크 접속이 허용되게 하여 네트워크 보안을 강화할 수 있게 한다.
다음으로 보안관리자 관점에서는 네트워크 운영 혹은 보안관점의 분석 레포트를 손쉽게 출력하여 차기 네트워크 보안 계획에 근거자료로써 활용할 수 있게 된다. 그리고 과거 사용자에게 일임하여 온 네트워크 접속 단말기에 대한 보안을 총 체적으로 강제할 수 있게 되어, 사용자의 무관심 혹은 실수 등에 의한 내부 네트워크에 대한 보안위협을 효과적으로 통제할 수 있게 된다.
그러나 MS NAP에서 기본적으로 제공되는 정책은 사용자 구분 없이 획일적으로 모든 클라이언트단말기에 적용되기 때문에 사용자에 따라서는 보안구멍(예를 들어 설계직사원이 인사과의 인사정책 자료를 훔쳐볼 수 있는 등의 것)이 발생할 소지가 매우 높다.
또한, MS NAP에서는 패킷에 포함된 필드 중에 정책 데이터를 넣을 수 있는 필드의 사이즈가 4Kbyte로 제한되어 있어서, 정책 사이즈가 4Kbyte를 넘으면 정책으로 적용할 수 없는 곤란함이 있는데, 이러한 점은 다양한 정책 적용의 제한을 가져와 보안구멍의 발생을 방지하는데 제한요소로 작용한다.
본 발명은, 상술한 문제점을 해결하기 위해 안출된 것으로, MS NAP 기반에서 사용자별로 보안정책을 구분하여 적용할 수 있게 하고, 제한된 사이즈보다 큰 사이즈의 정책 적용을 가능하게 하는 기술을 제공하는 것을 목적으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법은, 인증서버를 매개로 정책서버에서 사용자가 인증된 클라이언트단말기로 해당 사용자에 대한 정책을 제공하는 A단계; 상기 클라이언트단말기에서 정책을 수행한 후 정책 수행 결과 및 수행한 정책 정보를 상기 인증서 버로 보내면, 상기 인증서버에서 해당 사용자에 대한 정책 정보를 상기 정책서버를 통해 확인한 후 상기 클라이언트단말기에서 수행한 정책 정보와 상기 정책서버에서 확인한 정책 정보가 일치하는지를 검사하여 상기 클라이언트단말기의 네트워크 접속 여부를 판단하는 B단계; 및 상기 B단계에서의 판단 결과에 따라 상기 인증서버에서 상기 클라이언트단말기의 네트워크 접속을 통제하는 C단계; 를 포함하는 것을 특징으로 한다.
상기 클라이언트단말기에 정책이 존재하지 않으면 상기 A단계 및 B단계를 수행하고, 상기 클라이언트단말기에 정책이 존재하면 상기 B단계를 수행하는 것을 또 하나의 특징으로 한다.
상기 A단계는, 상기 클라이언트단말기에서 상기 인증서버로 해당 사용자에 대한 인증정보를 전송하는 A1단계; 상기 인증서버에서 해당 사용자를 인증한 후 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 A2단계; 상기 정책서버에서 해당 사용자에 대한 정책이 존재하면 상기 인증서버로 해당 정책을 전송하는 A3단계; 및 상기 인증서버에서 상기 클라이언트단말기로 해당 정책을 전송하는 A4단계; 를 포함하는 것을 더 구체적인 특징으로 한다.
상기 클라이언트단말기로 전송되는 정책은 다수개의 패킷으로 나뉘어져 순차적으로 전송되는 것을 또 하나의 특징으로 한다.
상기 다수개의 패킷이 상기 클라이언트단말기로 모두 전송될 때까지 상기 A단계를 반복하는 것을 또 하나의 특징으로 한다.
상기 B단계는, 상기 클라이언트단말기에서 해당 정책을 수행하는 B1단계; 상 기 클라이언트단말에서 정책을 수행한 결과와 적용된 정책 정보를 상기 인증서버로 전송하는 B2단계; 상기 인증서버에서 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 B3단계; 상기 정책서버는 해당 정책이 존재하면 해당 정책을 상기 인증서버로 전송하는 B4단계; 및 상기 인증서버가 상기 B2단계에서 받은 정책 정보와 상기 B3단계에서 받은 정책 정보가 일치하는지를 검사하는 B5단계; 를 포함하는 것을 더 구체적인 특징으로 한다.
위와 같은 본 발명에 따르면, MS NAP 기반에서도 사용자별로 차별화된 다양한 보안정책이 적용될 수 있으며, 규격화된 사이즈보다 큰 사이즈의 보안정책도 적용할 수 있어서 네트워크 보안을 한층 더 강화시킬 수 있는 효과가 있다.
이하에서는 상술한 바와 같은 본 발명에 따른 마이크로소프트 네트워크 접속 보호(이하 MS NAP) 기반용 네트워크 접속 통제 방법에 대한 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.
<기본 보안시스템 구조에 대한 설명>
본 발명에 따른 MS NAP 기반용 네트워크(140) 접속 통제 방법은 도1에 도시된 기본 보안시스템 구조에서 이루어진다.
도1의 블록도에 도시된 보안시스템은, 네트워크(140)에 접속하고자 하는 클라이언트단말기(110), 사용자를 인증하는 인증서버(120), 보안정책을 관리 및 지원 하는 정책서버(130) 등으로 구성된다.
클라이언트단말기(110)에는 MS NAP 기반용 SHA(111)가 탑재되어 있으며, 윈도우 로그인 ID, IP, MAC 등과 같은 사용자 인증 정보를 인증서버(120)로 전송하고, 보안정책 을 수행하여 보안정책의 수행 결과 및 수행한 정책 정보를 인증서버(120)로 전송한다. 그리고 보안정책의 준수여부에 따라서 네트워크(140)에 접속하거나 격리존(141)으로만 접속되게 된다.
인증서버(120)에는 MS NAP 기반용 SHV(121)가 탑재되어 있으며, 클라이언트단말기(110)로부터 수신한 사용자 인증 정보로 사용자를 인증한 후 정책서버(130)를 통해 사용자에 대한 정책이 존재하는지를 확인한 다음 정책서버(130)로부터 사용자에 대한 정책을 수신하여 클라이언트단말기(110)로 보내는 역할을 수행한다. 그리고 클라이언트단말기(110)로부터 받은 보안정책의 수행 결과 및 수행한 정책 정보를 정책서버(130)로부터 받은 정책 정보와 비교 검사하여 클라이언트단말기(110)의 네트워크(140) 접속 여부를 판단 및 통제한다.
정책서버(130)는 사용자별 또는 그룹별(인사그룹, 설계그룹, 영업그룹 등)로 차별화되어 적용될 보안정책을 가지고 있으며, 인증서버(120)의 요구에 의해 해당 보안정책을 인증서버(120)로 제공하는 역할을 수행한다.
<클라이언트단말기(110)에서 이루어지는 과정>
도2 및 도3의 흐름도를 참조하여 클라이언트단말기(110)에서 이루어지는 과정에 대하여 설명한다.
1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도2 참조)
1-1. 보안정책 수행<S201>
클라이언트단말기(110)는 현재 적용되어 있는 보안정책을 수행한다. 즉, 특정 바이러스 엔진이 업데이트되어 있는지, 시스템 보안 패치가 설치되어 있는지와 같은 보안정책에 따라 해당 사안들을 확인하는 것이다.
1-2. 보안정책 수행 결과 전송<S202>
그리고 네트워크(140)에 접속하기 위하여 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송한다.
1-3. 네트워크(140) 접속/제한<S203>
단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 허용되면 사용자에게 허용된만큼의 네트워크(140) 자원에 접근할 수 있는 범위 내에서 네트워크(140)에 접속된다. 물론 후술하겠지만 클라이언트단말기(110)가 네트워크(140)에 유효하게 접속될 수 있으려면 클라이언트단말기(110)에 존재하는 보안정책과 정책서버(130)에서 사용자에 대해 가지고 있는 보안정책이 동일할 것이 필요하다. 그리고 만일 단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 제한되면 격리존(141)으로만 접속된다.
2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도3 참조)
2-1. 사용자 인증 정보 전송<S301>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송한다.
2-2. 보안정책 수신<S302>
단계 S301 후 인증서버(120)를 경유하여 정책서버(130)로부터 오는 스크립트(script)화된 보안정책을 수신한다.
그 후 전술한 단계S201 내지 단계 S203을 수행한다.
<인증서버(120)에서 이루어지는 과정>
도4 및 도5의 흐름도를 참조하여 인증서버(120)에서 이루어지는 과정에 대하여 설명한다.
1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도4 참조)
1-1. 정보 수신<S401>
네트워크(140)에 접속하고자 하는 클라이언트단말기(110)로부터 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 수신한다.
1-2. 결과 판단 및 보안정책 유효성 검토<S402>
보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하는데, 이 때 클라이언트단말기(110)로부터 수신한 보안정책 정보의 유효성을 검토하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책 정보를 요구하여 수신한 다음 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안 정책 정보를 비교한다.
1-3. 네트워크(140) 접속 통제<S403>
단계 S402에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다.
2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도5 참조)
2-1. 사용자 인증 정보 수신<S501>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)로부터 사용자 인증 정보를 수신한다.
2-2. 사용자 인증<S502>
단계S501에 의해 수신된 사용자 인증 정보로 사용자를 인증한다.
2-3. 보안정책 요구 및 수신<S503>
인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자에 대한 보안정책을 요구한다. 이 때 사용자를 구분할 수 있는 사용자 정보를 함께 보낸다.
2-4. 보안정책 전송<S504>
단계 S503에 의해 정책서버(130)로부터 보안정책을 수신하면 클라이언트단말 기(110)로 해당 보안정책을 보낸다.
이후 전술한 단계 S401 내지 S403을 수행한다.
<정책서버(130)에서 이루어지는 과정>
도6의 흐름도를 참조하여 정책서버(130)에서 이루어지는 과정에 대하여 설명한다.
1. 요구수신<S601>
인증서버(120)로부터 사용자를 구분할 수 있는 사용자 정보 및 사용자에게 적용될 보안정책의 요구를 수신한다.
2. 검색<S602>
단계S601에서 수신한 요구에 따라 사용자에게 적용될 보안정책을 검색한다.
3. 보안정책 전송<S603>
단계 S602에서 검색이 완료되어 사용자에게 적용될 보안정책을 찾으면, 해당 보안정책을 인증서버(120)로 전송한다.
<전체적인 과정>
계속하여 도7의 흐름도를 참조하여 상기한 개별 구성에서 이루어지는 각 과정들이 전체적으로 결합된 상태의 과정을 설명하되, 설명의 편의를 위해 각 단계에 대한 부호는 전술하였던 동일 단계와 다르게 표기한다.
1. 클라이언트단말기(110)에 보안정책이 존재하지 않는 경우
1-1. 사용자 인증 정보 전송 및 수신<S701>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송하고, 인증서버(120)는 클라이언트단말기(110)로부터 보내져 온 사용자 인증 정보를 수신한다.
1-2. 사용자 인증<S702>
인증서버(120)는 단계 S701에서 수신된 사용자 인증 정보로 사용자를 인증한다.
1-3. 보안정책 요구 및 수신1<S703>
인증서버(120)는 인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.
1-4. 보안정책 전송 및 수신1<S704>
정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화된 형태로 인증서버(120)로 전성하고, 인증서버(120)는 해당 보안정책을 수신한다.
1-5. 보안정책 전송 및 접수<S705>
인증서버(120)는 정책서버(130)로부터 수신한 보안정책을 클라이언트단말기(110)로 전송하고, 클라이언트단말기(110)는 수신한 보안정책을 접수한다. 여기서 MS NAP에 의하면 클라이언트단말기(110)로 보내질 패킷의 사이즈는 최대 4Kbyte를 넘어설 수 없게 되어 있다. 따라서 보안정책의 사이즈가 4Kbyte를 넘게 되면 보 안정책을 4Kbyte보다 작은 다수의 패킷으로 분리한 후 순서적으로 보내게 되고, 클라이언트단말기(110)에서는 인증서버(120)로부터 순서적으로 보내어져 오는 다수의 패킷들을 순차적으로 수신하게 된다. 따라서 클라이언트단말기(110)가 분리되어 오는 다수의 패킷들이 모두 수신될 때까지 상기한 단계 S701 내지 S705가 반복된다. 1-6. 보안정책 수행<S706>
클라이언트단말기(110)는 접수된 보안정책을 수행한다.
1-7. 보안정책 수행 결과 전송 및 수신<S707>
클라이언트단말기(110)는 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송하고, 인증서버(120)는 이를 수신한다. 이 때, 보내어지는 정보는 해시(Hash)값으로 변환되어 보내어지게 된다.
1-8. 보안정책 요구 및 수신2<S708>
인증서버(120)는 인증된 사용자에게 적용된 보안정책을 확인하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.
1-9. 보안정책 전송 및 수신2<S709>
정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화 형태로 인증서버(120)로 전송하고, 인증서버(120)는 해당 보안정책을 수신한다.
1-10. 보안정책 결과 판단 및 보안정책 유효성 검토<S710>
인증서버(120)는 보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하고, 이에 더불어, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보를 비교하여 클라이언트단말기(110)에서 수행한 보안정책의 유효성을 검토한다.
1-11. 네트워크(140) 접속 통제<S711>
단계 S710에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다. 만일 보안정책 정보가 일치하지 않는 경우에는 상기한 단계 S701 내지 S711을 반복한다.
2. 클라이언트단말기(110)에 보안정책이 존재하는 경우
클라이언트단말기(110)에 보안정책이 존재하는 경우에는 상기한 단계 S707 내지 S711만을 수행하게 된다.
위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.
도1은 본 발명의 실시예에 따른 MS NAP 기반용 네트워크 접속 통제 방법이 적용되는 보안시스템에 대한 블록도이다.
도2 및 도3은 도1의 보안시스템에 적용된 클라이언트단말기에서 이루어지는 과정에 대한 흐름도이다.
도4 및 도5는 도1의 보안시스템에 적용된 인증서버에서 이루어지는 과정에 대한 흐름도이다.
도6은 도1의 보안시스템에 적용된 정책서버에서 이루어지는 과정에 대한 흐름도이다.
도7은 본 발명에 따른 MS NAP 기반용 네트워크 접속 통제 방법을 설명하기 위한 흐름도이다.

Claims (6)

  1. 인증서버를 매개로 정책서버에서 사용자가 인증된 클라이언트단말기로 해당 사용자에 대한 정책을 제공하는 A단계;
    상기 클라이언트단말기에서 정책을 수행한 후 정책 수행 결과 및 수행한 정책 정보를 상기 인증서버로 보내면, 상기 인증서버에서 해당 사용자에 대한 정책 정보를 상기 정책서버를 통해 확인한 후 상기 클라이언트단말기에서 수행한 정책 정보와 상기 정책서버에서 확인한 정책 정보가 일치하는지를 검사하여 상기 클라이언트단말기의 네트워크 접속 여부를 판단하는 B단계; 및
    상기 B단계에서의 판단 결과에 따라 상기 인증서버에서 상기 클라이언트단말기의 네트워크 접속을 통제하는 C단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP(네트워크 접속 보호) 기반용 네트워크 접속 통제 방법.
  2. 제1항에 있어서,
    상기 클라이언트단말기에 정책이 존재하지 않으면 상기 A단계 및 B단계를 수행하고, 상기 클라이언트단말기에 정책이 존재하면 상기 B단계를 수행하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.
  3. 제1항에 있어서,
    상기 A단계는,
    상기 클라이언트단말기에서 상기 인증서버로 해당 사용자에 대한 인증정보를 전송하는 A1단계;
    상기 인증서버에서 해당 사용자를 인증한 후 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 A2단계;
    상기 정책서버에서 해당 사용자에 대한 정책이 존재하면 상기 인증서버로 해당 정책을 전송하는 A3단계; 및
    상기 인증서버에서 상기 클라이언트단말기로 해당 정책을 전송하는 A4단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.
  4. 제3항에 있어서,
    상기 클라이언트단말기로 전송되는 정책은 다수개의 패킷으로 나뉘어져 순차적으로 전송되는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.
  5. 제4항에 있어서,
    상기 다수개의 패킷이 상기 클라이언트단말기로 모두 전송될 때까지 상기 A단계를 반복하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.
  6. 제1항에 있어서,
    상기 B단계는,
    상기 클라이언트단말기에서 해당 정책을 수행하는 B1단계;
    상기 클라이언트단말에서 정책을 수행한 결과와 적용된 정책 정보를 상기 인증서버로 전송하는 B2단계;
    상기 인증서버에서 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 B3단계;
    상기 정책서버는 해당 정책이 존재하면 해당 정책을 상기 인증서버로 전송하는 B4단계; 및
    상기 인증서버가 상기 B2단계에서 받은 정책 정보와 상기 B3단계에서 받은 정책 정보가 일치하는지를 검사하는 B5단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.
KR1020070118823A 2007-11-20 2007-11-20 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법 KR100939300B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070118823A KR100939300B1 (ko) 2007-11-20 2007-11-20 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070118823A KR100939300B1 (ko) 2007-11-20 2007-11-20 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법

Publications (2)

Publication Number Publication Date
KR20090052225A KR20090052225A (ko) 2009-05-25
KR100939300B1 true KR100939300B1 (ko) 2010-01-28

Family

ID=40860086

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070118823A KR100939300B1 (ko) 2007-11-20 2007-11-20 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법

Country Status (1)

Country Link
KR (1) KR100939300B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447226B1 (ko) * 2012-11-30 2014-10-08 한국전자통신연구원 스마트 단말기 내 장치 통제 방법 및 이를 이용한 스마트 단말기

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060250968A1 (en) 2005-05-03 2006-11-09 Microsoft Corporation Network access protection
US20070234040A1 (en) 2006-03-31 2007-10-04 Microsoft Corporation Network access protection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060250968A1 (en) 2005-05-03 2006-11-09 Microsoft Corporation Network access protection
US20070234040A1 (en) 2006-03-31 2007-10-04 Microsoft Corporation Network access protection

Also Published As

Publication number Publication date
KR20090052225A (ko) 2009-05-25

Similar Documents

Publication Publication Date Title
US11070591B2 (en) Distributed network application security policy enforcement
US7592906B1 (en) Network policy evaluation
US7774824B2 (en) Multifactor device authentication
US9774633B2 (en) Distributed application awareness
JP3742056B2 (ja) 無線ネットワークのアクセス認証技術
KR101361161B1 (ko) 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법
US20060161770A1 (en) Network apparatus and program
EP2352323A1 (en) Method and system for controlling context-based wireless access to secured network resources
WO2018148058A1 (en) Network application security policy enforcement
KR100882354B1 (ko) 플랫폼 무결성 정보를 이용한 네트워크 인증 장치 및 방법
US7496949B2 (en) Network system, proxy server, session management method, and program
CN102104592A (zh) 网络策略服务器之间的会话迁移
US11330435B2 (en) Distributed ledger systems for authenticating LTE communications
WO2023065969A1 (zh) 访问控制方法、装置及系统
JP2022519433A (ja) 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法
KR20030053280A (ko) 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
CN103069767A (zh) 交付认证方法
KR100939300B1 (ko) 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법
US20190289014A1 (en) Methods and Apparatus for Controlling Application-Specific Access to a Secure Network
CN116390096A (zh) 移动热点接入方法、装置、设备及存储介质
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
RU2008109223A (ru) Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении
CN115623013A (zh) 一种策略信息同步方法、系统及相关产品
CN106533688A (zh) 安全认证的方法及装置
CN116527291B (zh) 认证客户端设备

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160111

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180111

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190104

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 11