KR101009261B1 - Certificate-based network access control system using network filtering device - Google Patents

Certificate-based network access control system using network filtering device Download PDF

Info

Publication number
KR101009261B1
KR101009261B1 KR1020090039563A KR20090039563A KR101009261B1 KR 101009261 B1 KR101009261 B1 KR 101009261B1 KR 1020090039563 A KR1020090039563 A KR 1020090039563A KR 20090039563 A KR20090039563 A KR 20090039563A KR 101009261 B1 KR101009261 B1 KR 101009261B1
Authority
KR
South Korea
Prior art keywords
unit
network
certificate
client
authentication
Prior art date
Application number
KR1020090039563A
Other languages
Korean (ko)
Other versions
KR20100120758A (en
Inventor
윤경희
김승광
Original Assignee
(주)위즈앤테크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)위즈앤테크 filed Critical (주)위즈앤테크
Priority to KR1020090039563A priority Critical patent/KR101009261B1/en
Publication of KR20100120758A publication Critical patent/KR20100120758A/en
Application granted granted Critical
Publication of KR101009261B1 publication Critical patent/KR101009261B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 필터링수단을 하드웨어적으로 구현하여 운영서버에 접속하기 전에 IP 필터링을 통한 접근 제어가 이루어지도록 함으로써, 인증서버를 통해 PKI 인증서와 헬스 체크정보를 확인하여 1차적으로 인증절차를 거친 클라이언트부에 대해 네트워크 필터링수단을 통해 실시간으로 IP 및 포트 기반으로 임의 IP 사용자 여부를 확인하여 운영서버의 접근을 허용 또는 차단할 수 있도록 하여 네트워크 보안을 강화시키도록 한 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention implements the network filtering means in hardware so that access control through IP filtering is performed before accessing the operation server, thereby verifying the PKI certificate and health check information through the authentication server, and firstly undergoing the authentication procedure. Certificate-based network access control using a network filtering device that enhances network security by allowing users to allow or block access to the operation server by checking the IP and port based on IP and port in real time through network filtering means. It's about the system.

본 발명은 유·무선 인터넷으로 연결되어 사내 네트워크망의 특정 애플리케이션 서버에 접근 허가를 요청하는 클라이언트부와, 상기 클라이언트부에 대해 IP 필터링을 통한 네트워크 접근 제어를 통해 접근을 허용 또는 차단하는 애플리케이션 서버로 이루어지는 네트워크 접근 제어시스템에 있어서, 상기 클라이언트부에 설치되어 네트워크 필터링수단에 사용자 계정과 PKI에 기반을 둔 인증서 및 클라이언트부의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 소프트웨어적으로 구현된 클라이언트 에이전트; 애플리케이션 서버에 접속하기 위한 전 단계에 설치되어 인증서버부와 연동하여 수신된 사용자 인증정보를 토대로 하여 클라이언트부의 애플리케이션 서버에 접근을 허용 또는 차단하여 네트워크 접근 제어를 담당하는 네트워크 필터링수단; 상기 클라이언트부에 인증서의 발급과 조회 및 폐기작업을 웹상에서 용이하게 제공하기 위한 GUI 환경으로 제공하는 인증 인터페이스부 와, 네트워크 필터링수단과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버에 접근 요청을 하는 클라이언트부에 대한 사용자 인증절차를 수행하고, 인증기관부와 연동하여 인증서 발급을 요청하는 클라이언트부에 인증서가 발급되도록 관리하는 인증서버부와, 상기 인증서버부와 연동하여 Open SSL 기반으로 인증서의 발급 또는 폐기를 담당하는 인증기관부로 이루어지는 인증시스템부;의 구성으로 이루어지는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention provides a client unit for requesting access to a specific application server of an internal network connected to a wired / wireless internet, and an application server for allowing or blocking access through network access control through IP filtering for the client unit. A network access control system comprising: a client agent installed in the client unit and configured to perform a user authentication process by providing a user account and a PKI-based certificate and health check information of the client unit to a network filtering unit; Network filtering means installed in a previous step for accessing an application server and controlling network access by allowing or blocking access to an application server of a client unit based on user authentication information received in association with an authentication server unit; An authentication interface unit for providing a GUI environment for easily issuing, inquiring and revocation of a certificate to the client unit on a web, and requesting an access to an application server to provide user authentication information in association with a network filtering unit. A certificate server unit for performing a user authentication procedure for a client unit and managing a certificate to be issued to a client unit requesting a certificate issuance by interworking with a certification authority unit, and issuing a certificate based on Open SSL in conjunction with the certificate server unit. Or it relates to a certificate-based network access control system using a network filtering device consisting of a; authentication system unit consisting of a certification authority responsible for revocation.

네트워크, 필터링, 접근 제어, 인증서, 헬스 체크 Network, filtering, access control, certificate, health check

Description

네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템{Certificate-based network access control system using network filtering device}Certificate-based network access control system using network filtering device

본 발명은 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것으로, 네트워크 필터링수단을 하드웨어적으로 구현하여 애플리케이션 서버에 접속하기 전에 IP 필터링을 통한 접근 제어가 이루어지도록 함으로써, 인증서버를 통해 PKI 인증서와 헬스 체크정보를 확인하여 1차적으로 인증절차를 거친 클라이언트부에 대해 네트워크 필터링수단을 통해 실시간으로 IP 및 포트 기반으로 임의 IP 사용자 여부를 확인하여 애플리케이션 서버의 접근을 허용 또는 차단할 수 있도록 하여 네트워크 보안을 강화시키도록 한 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention relates to a certificate-based network access control system using a network filtering device. By implementing the network filtering means in hardware, access control through IP filtering is performed before accessing an application server. Network health by checking the health check information and checking the random IP user on the basis of IP and port in real time through the network filtering means for the client part that has undergone the authentication procedure. Certificate-based network access control system using a network filtering device to enhance the.

근래에 인터넷의 폭발적인 성장과 함께 발달해 온 전자상거래는 새로운 실생활 문화로 정착되어 있으며, 전자상거래는 인터넷이 보급되기 전인 1960년대 전용 네트워크를 이용한 전자 데이터 교환(EDI) 또는 은행 간 전자송금의 형태로 대기업간에 주로 행하여져 왔으며, 최근 들어 인터넷이 일반에게 보급된 이후에는 대기업 뿐 아니라 중소기업 및 일반 소비자들까지도 급속하게 확산되고 있다.E-commerce, which has developed with the explosive growth of the Internet in recent years, has become a new real-life culture, and e-commerce has been in the form of electronic data exchange (EDI) or inter-bank electronic transfer using dedicated networks in the 1960s before the Internet spread. It has been mainly carried out between large companies, and since the Internet has recently been spread to the general public, it is rapidly spreading to not only large enterprises but also small and medium-sized enterprises and general consumers.

정보통신과 인터넷의 발전으로 인해 작게는 LAN(Local Area Network) 환경으로 사무실이나 회사 등의 많은 컴퓨터가 네트워크으로 연결되어 있으며, 크게는 WAN(Wide Area Network) 환경으로 지역, 국가 및 전 세계의 많은 컴퓨터가 인터넷으로 연결되어 있는데, 이러한 인터넷을 통한 전자상거래는 시간과 공간의 제약을 극복해 준다는 장점이 있는 반면에 인터넷 가상공간 자체가 모든 사용자에게 공개되어 있어 보안성이 취약하여 상거래 정보의 불법유출, 부당거래, 웹서버에 대한 불법 접근 및 서비스 거부 등의 보안관련 침해가 빈번하게 발생하게 되어 개인이나 기업에 심각한 손해를 유발할 수 있다는 문제점이 제기되어 있다.Due to the development of information and communication and the Internet, many computers such as offices or companies are connected to the network by a small LAN (Local Area Network) environment, and largely by a wide area network (WAN) environment. Computers are connected to the Internet, and e-commerce through the Internet has the advantage of overcoming the limitations of time and space, while the Internet virtual space itself is open to all users, so it is weak in security and illegally leaking commerce information. There is a problem that security breaches such as unfair transaction, illegal access to web server and denial of service occur frequently, which can cause serious damage to individuals or companies.

이러한 인터넷 통신상의 취약한 보안문제로 인해 가상공간에서 이루어지는 전자상거래를 수행할 때, 상대방의 신분 확인이나 거래내역에 대한 상호간의 부인방지대책 등이 커다란 문제점으로 등장하고 있으며, 이에 대한 해결책으로 인터넷을 이용하는 개인과 기업의 중요한 정보를 보호하기 위해 보안관련 솔루션인 공개키 기반구조(PKI)에 기반을 둔 공개키 인증기술, SSL(Secure Socket Layer) 등이 사용되고 있다.Due to the weak security problem in the Internet communication, when conducting electronic commerce in the virtual space, the identification of the other party and mutual non-repudiation measures on the transaction history have emerged as a big problem. In order to protect important information of individuals and companies, public key authentication technology based on public key infrastructure (PKI), a security-related solution, and Secure Socket Layer (SSL) are used.

상기의 PKI에 기반을 둔 공개키 인증기술에 의한 종래의 인증시스템의 경우 클라이언트는 인증서를 서버에서 발부받고, 이를 인증하기 위해 많은 절차를 거치게 되며, 이로 인해 많은 시간을 소비하게 된다. 또한 이러한 인증처리 절차는 소프트웨어적인 신호로만 이루어져 있어 추후 동일한 신호를 입력하게 되는 경우 권한 없는 제3자에 의해 해킹을 당할 수 있는 문제점이 있다.In the conventional authentication system based on the PKI-based public key authentication technology, the client receives a certificate from the server and goes through a lot of procedures to authenticate it, thereby consuming a lot of time. In addition, the authentication process is made only of a software signal, there is a problem that can be hacked by an unauthorized third party when the same signal is input later.

SSL(Secure Socket Layer)은 네트워크 내에서 메시지 전송의 안전을 관리하기 위해 넷스케이프에 의해 만들어진 프로그램 계층으로, HTTP, TELNET 등과 같은 응용계층과 TCP 또는 UDP 등과 같은 전송계층에서 클라이언트와 서버간의 안전한 채널을 형성해 주는 보안프로토콜의 역활을 수행함으로써, 서버 인증, 클라이언트 인증 및 기밀성 보장의 세 가지 서비스를 제공하여 보안성을 향상시키도록 한 것이다.SSL (Secure Socket Layer) is a program layer created by Netscape to manage the safety of message transmission in the network. It forms a secure channel between client and server in the application layer such as HTTP, TELNET and the transport layer such as TCP or UDP. By acting as a security protocol, the state improves security by providing three services: server authentication, client authentication, and confidentiality guarantee.

한편, 사용자 환경이 엄밀하게 통제될 수 있는 기업이나 기관에 설치된 네트워크의 보안을 강화하기 위한 보안 인프라로 네트워크 접근 제어(NAC; Network Access Control)가 많이 사용되고 있는데, 최근의 네트워크 접근 제어는 상기 네트워크 접근 제어와 같은 전통적인 방식으로 로그온 정보를 검증함으로써 잠재적인 사용자들에게 인증 및 권한 부여 기능을 수행하게 하고, 여기에에 덧붙여, 방화벽, 안티바이러스 소프트웨어, 스파이웨어 적발 프로그램 등의 애플리케이션을 실행할 뿐 아니라 각 개별 사용자가 접근할 수 있는 데이터를 제한할 수 있도록 통제하여 보안성을 향상시키고 있다.Meanwhile, network access control (NAC) is widely used as a security infrastructure for reinforcing the security of a network installed in an enterprise or an institution in which a user environment can be tightly controlled. By verifying logon information in a traditional manner, such as control, it allows potential users to authenticate and authorize. In addition to running applications such as firewalls, antivirus software, and spyware detection programs, It improves security by controlling to restrict the data that users can access.

특히, 근무자가 이동하면서 업무를 수행하는 경우 모바일 단말기를 이용해 원격에서 기업 내부의 네트워크로 접속하는 경우가 늘어나고 있는데, 외근자의 접속 단말기가 제대로 관리가 되지 않아 외부에서 웜 또는 바이러스에 감염된 상태로 기업 네트워크에 접속하게 되면, 기업 네트워크에 웜 또는 바이러스를 감염시키는 경우 심각한 네트워크 장애를 발생시키게 되어 상기 네트워크 접근 제어방식을 이용한 기업 네트워크의 보안에 대한 필요성이 대두되고 있다.In particular, when a worker moves while performing work, more and more people are accessing the internal network from a remote location by using a mobile terminal. When connected to the network, if a worm or a virus infects the corporate network, a serious network failure occurs, and a necessity for security of the corporate network using the network access control method is emerging.

본 발명은 상기의 종래 문제점을 해결하기 위해 안출한 것으로, 원격지 클라이언트부의 사내 네트워크 접근 시 PKI에 기반을 둔 인증서와 헬스 체크정보를 확인하여 인증절차를 거치고, 인증과정을 거친 클라이언트부의 애플리케이션 서버 접근 시 실시간으로 이루어지는 IP 및 포트 기반의 필터링 기법으로 사용자의 접근에 대한 차단 또는 허용여부를 판단하여 비 인증된 IP 사용자의 접속을 차단하는 네트워크 필터링수단을 하드웨어적으로 구현함으로써 네트워크의 보안을 강화하는데 목적이 있다.The present invention has been made in order to solve the above-mentioned conventional problems, when accessing the in-house network of the remote client unit checks the certificate and health check information based on the PKI through the authentication process, when accessing the application server through the authentication process Real-time IP and port-based filtering technique is used to determine the blocking or permitting of user's access and to implement the network filtering means to block the unauthorized IP user's access in hardware. have.

상기의 목적을 달성하기 위하여 유·무선 인터넷으로 연결되어 사내 네트워크망의 특정 애플리케이션 서버에 접근 허가를 요청하는 클라이언트부와, 상기 클라이언트부에 대해 IP 필터링을 통한 네트워크 접근 제어를 통해 접근을 허용 또는 차단하는 애플리케이션 서버로 이루어지는 네트워크 접근 제어시스템에 있어서, 상기 클라이언트부에 설치되어 네트워크 필터링수단에 사용자 계정과 PKI에 기반을 둔 인증서 및 클라이언트부의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 소프트웨어적으로 구현된 클라이언트 에이전트; 애플리케이션 서버에 접속하기 위한 전 단계에 설치되어 인증서버부와 연동하여 수신된 사용자 인증정보를 토대로 하여 클라이언트부의 애플리케이션 서버에 접근을 허용 또는 차단하여 네트워크 접근 제어를 담당하는 네트워크 필터링수단; 상기 클라이언트부에 인증서의 발 급과 조회 및 폐기작업을 웹상에서 용이하게 제공하기 위한 GUI 환경으로 제공하는 인증 인터페이스부와, 네트워크 필터링수단과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버에 접근 요청을 하는 클라이언트부에 대한 사용자 인증절차를 수행하고, 인증기관부와 연동하여 인증서 발급을 요청하는 클라이언트부에 인증서가 발급되도록 관리하는 인증서버부와, 상기 인증서버부와 연동하여 Open SSL 기반으로 인증서의 발급 또는 폐기를 담당하는 인증기관부로 이루어지는 인증시스템부;의 구성으로 이루어지는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 구현하고자 한 것이다.In order to achieve the above object, the client unit is connected to the wired / wireless Internet and requests access to a specific application server of the company network, and the client unit is allowed or blocked through network access control through IP filtering. In the network access control system consisting of an application server, which is installed in the client unit and implemented in software to perform a user authentication procedure by providing a network filtering means based on the user account and PKI-based certificate and the client health check information Client agent; Network filtering means installed in a previous step for accessing an application server and controlling network access by allowing or blocking access to an application server of a client unit based on user authentication information received in association with an authentication server unit; An authentication interface unit for providing a GUI environment for easily issuing, inquiring and revocation of a certificate to the client unit on a web, and requesting an access request to an application server to provide user authentication information in association with a network filtering unit. A certificate server unit for performing a user authentication procedure for the client unit, and a certificate unit for managing the certificate is issued to the client unit requesting the certificate issuance in conjunction with the certification authority unit, and a certificate of the certificate based on the Open SSL in conjunction with the certificate server unit It is intended to implement a certificate-based network access control system using a network filtering device consisting of a configuration; the authentication system unit consisting of a certification authority responsible for issuance or revocation.

상기 클라이언트 에이전트는 포팅이 용이하도록 플랫폼 종속적인 코드를 가지지 않아 네트워크 필터링수단에 사용자 계정과 인증서 및 헬스 체크정보를 전송하여 인증을 담당하는 인증수행부; 윈도우즈에 종속적으로 구현되어 인증수행부에 구현된 함수를 호출하여 사용자 인증을 위해 사용자 계정을 입력할 수 있는 GUI 환경으로 제공되는 사용자 인터페이스부; 네트워크 환경에 악영향을 미칠 수 있는 클라이언트부의 웜 또는 바이러스 등의 감염 여부를 감시하는 헬스 체크부;의 구성으로 이루어진다.The client agent does not have a platform-dependent code to facilitate porting; an authentication performing unit configured to perform authentication by transmitting a user account, a certificate, and health check information to a network filtering unit; A user interface unit implemented as a dependency of Windows and provided as a GUI environment for inputting a user account for user authentication by calling a function implemented in the authentication execution unit; It consists of a health check unit for monitoring the infection of a worm or virus, such as a client portion that may adversely affect the network environment.

상기 네트워크 필터링수단은 유·무선 인터넷으로 세션을 형성해 연결되어 있는 클라이언트부의 클라이언트 에이전트와 사용자 인증절차에 관련된 데이터를 송·수신하는 접속부; 인증서버부의 필터링수단 관리부와 연동하여 접속부를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부로 전송하여 사용자 인증절차를 거치도록 하고, 상기 필터링수단 관리부를 통해 전송된 사용자 인증정 보를 수신하는 인증서버 연동부; 상기 인증서버 연동부를 통해 수신된 사용자 인증정보를 토대로 하여 필터링 수행부에 제어신호를 인가하여 그에 따라 해당 스크립트가 실행되어 애플리케이션 서버에 접근 제어에 따른 IP 필터링작업이 수행되게 제어하는 필터링 제어부; 상기 필터링 제어부의 제어신호를 인가받아 실행되는 브리지 적재 관리 스크립트, 필터링 관리 스크립트, NAT(Network Address Translation) 관리 스크립트, 접근 허가/차단 스크립트로 이루어져 인가된 클라이언트부에 한 해 접속 요청한 애플리케이션 서버로 접속될 수 있도록 하는 필터링 수행부;의 구성으로 이루어진다.The network filtering means includes: a connection unit for transmitting and receiving data related to a client agent and a user authentication procedure of a client unit connected to form a session through a wired or wireless Internet; In connection with the filtering means management unit of the authentication server unit transmits the user account, certificate and health check information received through the connection unit to the authentication server unit to undergo a user authentication procedure, and receives the user authentication information transmitted through the filtering means management unit Authentication server linkage unit; A filtering control unit which applies a control signal to a filtering execution unit based on user authentication information received through the authentication server interworking unit, and executes a corresponding script to perform an IP filtering operation according to access control to an application server; Bridge loading management script, filtering management script, network address translation (NAT) management script, and access permission / blocking script which are executed by receiving the control signal of the filtering control unit to be connected to the application server requesting access to the authorized client unit only. It is made of a configuration;

상기 인증서버부는 네트워크 필터링수단에 처음 접속한 클라이언트부에 공지된 회원 가입절차를 거쳐 사용자 등록하여 클라이언트 에이전트를 제공하고, 상기 클라이언트 에이전트와 네트워크 필터링수단 상호간에 연동되게 지원하는 에이전트 제공부; 상기 클라이언트 에이전트로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 네트워크 필터링수단을 통해 수신하여 인증서의 유효성을 판단하고, 헬스 체크정보를 통해 애플리케이션 서버에 피해를 줄 염려가 없는지를 판단한 후, 상기 클라이언트부에 대한 사용자 인증절차를 수행하는 인증 확인부; 인증기관부와 연동하여 클라이언트부의 인증서의 발급 및 폐기 요청 시, 인증기관부에 제어신호를 인가하여 그에 따른 인증서의 발급 및 폐기되도록 하는 인증기관 연동부; 상기 인증 확인부를 통해 수행된 사용자 인증정보를 네트워크 필터링수단으로 전송하여 애플리케이션 서버에 접속 요청한 클라이어언트부에 대한 IP 필터링작업을 수행할 수 있도록 하는 필터링수단 관리부; 네트워크 필터링수단에 처음 접속한 클라이언트부 의 사용자 정보를 소정의 분류체계에 따른 카테고리별로 분류하여 저장한 사용자 정보 데이터베이스부와, 인증기관부에서 발급된 인증서를 사용자 정보에 따른 카테고리별로 분류하여 저장한 인증서 데이터베이스부로 이루어진 데이터베이스 저장부;의 구성으로 이루어진다.The authentication server unit may provide a client agent through a user registration procedure known to a client unit that is first connected to a network filtering unit to provide a client agent, and provide an agent interworking with the client agent and the network filtering unit; After receiving the user account, certificate and health check information transmitted from the client agent through the network filtering means to determine the validity of the certificate, and after determining whether there is no risk of damage to the application server through the health check information, the client unit Authentication verification unit for performing a user authentication procedure for; An authentication authority interworking unit configured to apply a control signal to the certification authority to issue and revoke a certificate according to a control signal to the certification authority when requesting for issuance and revocation of a certificate of the client unit by interworking with the certification authority unit; A filtering means management unit which transmits user authentication information performed through the authentication confirmation unit to a network filtering unit so as to perform an IP filtering operation for a client unit requesting access to an application server; The user information database unit which classifies and stores the user information of the client unit first connected to the network filtering unit by category according to a predetermined classification system, and the certificate issued by the certification authority unit by classifying and storing the certificate issued by the certification unit by category. It consists of a database storage; consisting of a database unit.

본 발명은 클라이언트부가 사내 네트워크의 특정 애플리케이션 서버에 접근할 때, 상기 애플리케이션 서버의 전 단계에 설치되어 있는 네트워크 필터링수단을 통한 IP 필터링과정을 거쳐 접근 권한이 부여된 클라이언트부에 한 해 해당 애플리케이션 서버에 접근할 수 있도록 하되, 인증서버부와 연동하여 사용자 계정과 인증서 및 헬스 체크정보를 토대로 사용자 인증절차를 거친 후, 상기 네트워크 필터링수단을 통해 애플리케이션 서버에 접속 허가될 수 있도록 함으로써, 권한 없는 자의 침입 및 웜 또는 바이러스에 의한 감염을 미연에 방지하여 네트워크의 보안성을 향상시키도록 하는 효과가 있다.According to the present invention, when a client accesses a specific application server of an in-house network, the client server is granted an access right through an IP filtering process through a network filtering means installed in a previous step of the application server. In order to access, but through the user authentication process based on the user account, certificate and health check information by interworking with the authentication server unit, by allowing access to the application server through the network filtering means, intrusion of unauthorized persons and It is effective to prevent the infection by worm or virus in advance to improve the security of the network.

이하, 도면을 참조하여 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 대하여 상세히 설명한다.Hereinafter, a certificate-based network access control system using the network filtering device 30 applied to the present invention will be described in detail with reference to the accompanying drawings.

도1은 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템의 전체 구성도이고, 도2는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워트 접근 제어시스템의 클라이언트부(10)를 도시한 내부 구성도이고, 도3은 본 발명에 적용되는 네트워크 필터링장 치(30)를 이용한 인증서 기반 네트워트 접근 제어시스템의 인증시스템부(40)를 도시한 내부 구성도이고, 도4는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 처음 인증서를 발급받는 사용자의 인증과정을 도시한 흐름도이고, 도5는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 클라이언트부(10)에 인증서가 있는 사용자의 인증과정을 도시한 흐름도이고, 도6은 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 변경된 클라이언트부(10)에 인증서가 있는 사용자의 인증과정을 도시한 흐름도이다.1 is an overall configuration diagram of a certificate-based network access control system using the network filtering device 30 applied to the present invention, and FIG. 2 is a certificate-based network access control system using the network filtering device 30 applied to the present invention. 3 is an internal configuration diagram of the client unit 10, and FIG. 3 is an internal configuration diagram of the authentication system unit 40 of the certificate-based network access control system using the network filtering device 30 applied to the present invention. 4 is a flowchart illustrating an authentication process of a user who is issued a certificate for the first time using a certificate-based network access control system using the network filtering apparatus 30 applied to the present invention, and FIG. 5 is a network applied to the present invention. The user with a certificate in the client unit 10 using the certificate-based network access control system using the filtering device 30 6 is a flowchart illustrating an increase process, and FIG. 6 is a flowchart illustrating an authentication process of a user having a certificate in a changed client unit 10 using a certificate-based network access control system using the network filtering device 30 applied to the present invention. to be.

도시된 바와 같이 원격지에 있는 클라이언트부(10)가 클라이언트 에이전트(20)를 통해 네트워크상의 특정 애플리케이션 서버(80)에 접속하려고 할 때, 네트워크 필터링수단(30)을 통해 사용자 계정과 인증서를 이용한 인증절차를 거쳐 접근 권한을 부여받은 후, 해당 애플리케이션 서버(80)에 접속할 수 있도록 하고, 상기 네트워크 필터링수단(30)에 처음 접속하는 클라이언트부(10)는 인증시스템부(40)를 통해 사용자 정보를 등록하여 인증서를 발급받은 후, 상기 인증서를 이용해 인증절차를 거쳐 해당 애플리케이션 서버(80)에 접속할 수 있도록 구성한다.As illustrated, when the client unit 10 located at a remote site attempts to access a specific application server 80 on the network through the client agent 20, an authentication procedure using a user account and a certificate through the network filtering unit 30 is performed. After the access authority is granted, the client unit 10 to access the application server 80 and access the network filtering means 30 for the first time registers the user information through the authentication system unit 40. After receiving the certificate, the certificate is configured to be connected to the application server 80 through the authentication procedure.

본 발명은 전체적으로 Open SSL(Secure Socket Layer) 기반으로 실행되게 구성하는데, Open SSL 자체는 윈도우와 리눅스에 모두 동작하므로 서버나 클라이언트부의 포팅이 비교적 용이하고, 상기 클라이언트 에이젼트(20)는 윈도우에서 동작되게 형성하되, 사용자 인터페이스부(21)는 윈도우즈 종속적이지만 인증수행부(22)는 플랫폼 비종속적인 코드로 구성하여 분리 가능한 형태로 이루어지고, 인증시스템부(40)와 네트워크 필터링수단(30)은 리눅스 기반으로 동작되게 구성한다.The present invention is configured to be executed based on Open SSL (Secure Socket Layer) as a whole. Since Open SSL itself operates on both Windows and Linux, porting of a server or a client part is relatively easy, and the client agent 20 is operated on Windows. Although the user interface 21 is Windows-dependent, but the authentication performing unit 22 is composed of platform-independent code, it is formed in a separable form, and the authentication system unit 40 and the network filtering means 30 are Linux Configured to operate based on.

상기 클라이언트부(10)는 클라이언트 에이전트(20)를 설치하여 원격지에서 사내 네트워크망의 애플리케이션 서버(80)에 접속하기 위한 클라이언트용 단말기, 즉 유선 인터넷에 연결되어 있는 노트북 또는 데스크탑과 같은 클라이언트용 컴퓨터와 무선 인터넷에 연결 가능한 이동통신 단말기로 이루어진다.The client unit 10 includes a client terminal for installing a client agent 20 to access an application server 80 of an in-house network from a remote site, that is, a client computer such as a laptop or a desktop connected to the wired Internet. It consists of a mobile communication terminal capable of connecting to the wireless Internet.

상기 클라이언트 에이전트(20)는 네트워크 필터링수단(30)에 사용자 계정과 PKI에 기반을 둔 인증서와 클라이언트부(10)의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 원격지에 있는 클라이언트부(10)에 소프트웨어적으로 구현된 것으로, 사용자 인터페이스부(21)와 인증수행부(22) 및 헬스 체크(Health Check)부(23)로 이루어진다.The client agent 20 provides the network filtering means 30 with a certificate based on a user account and PKI and health check information of the client unit 10 to perform a user authentication procedure. Implemented in software, it consists of a user interface unit 21, the authentication performing unit 22 and the health check unit (23).

상기 사용자 인터페이스부(21)는 윈도우즈 폼즈(Windows Form)로 제작하여 윈도우즈에 종속적으로 구현되며, 인증을 위한 인증수행부(22)에 구현된 함수를 호출하여 네트워크 필터링수단(30)을 통해 인증받기 위해 사용자 이름과 패스워드 또는 암호화된 사용자 개인 열쇠를 읽기 위한 암호문을 입력할 수 있는 GUI(Graphical User Interface)환경으로 이루어지고, 상기 인증수행부(22)는 포팅이 용이하도록 플랫폼 종속적인 코드를 가지지 않아 네트워크 필터링수단(30)에 사용자 계정과 인증서 디렉토리에 저장된 PKI에 기반을 둔 인증서 및 헬스 체크정보를 전송하여 인증을 담당하게 되고, DLL(dynamic link library)파일로 빌드되어 인증서 실행파일과 같이 실행되게 구성하고, 상기 헬스 체크부(23)는 사내 네트워크 망에 접속하려는 클라이언트부(10)의 건강 상태, 즉 네트워크 환경에 악영향을 미칠 수 있는 웜 또는 바이러스 등에 감염 여부를 감시하여 그에 따른 헬스 체크정보를 네트워크 필터링수단(30)으로 전송할 수 있도록 한다.The user interface 21 is implemented in Windows Forms and is dependent on Windows. The user interface 21 calls a function implemented in the authentication performing unit 22 for authentication to be authenticated through the network filtering means 30. It consists of a GUI (Graphical User Interface) environment that can enter a user name and password or a cipher text for reading the encrypted user private key, the authentication unit 22 does not have a platform-dependent code to facilitate porting It is responsible for authentication by transmitting the certificate and health check information based on the PKI stored in the user account and certificate directory to the network filtering means 30, and is built as a DLL (dynamic link library) file to be executed as a certificate executable file The health check unit 23 configures the state of health of the client unit 10 to access the corporate network, that is, the network. It allows to monitor the infection or the like worm or virus that could have an adverse effect on the environment to transmit a health check information over the network filtering means (30).

상기 네트워크 필터링수단(30)은 애플리케이션 서버(80)에 접속하기 위한 전 단계에 설치되어 인증서버부(60)와 연동하여 클라이언트부(10)의 접근 권한을 부여하기 위한 인증절차를 수행하여 실제 접근 제어를 담당하는 것으로, 접속부(31), 인증서버 연동부(32), 필터링 제어부(33), 필터링 수행부(34)로 이루어진다.The network filtering means 30 is installed in the previous step for accessing the application server 80 and performs an authentication procedure for granting the access right of the client unit 10 in conjunction with the authentication server unit 60 to actually access. It is in charge of the control, and comprises a connection unit 31, authentication server interworking unit 32, filtering control unit 33, filtering performing unit 34.

상기 접속부(31)는 유·무선 인터넷으로 세션을 형성해 연결되어 있는 클라이언트부(10)의 클라이언트 에이전트(20)와 사용자 인증절차에 관련된 데이트를 송·수신할 수 있도록 하되, 상기 클라이언트부(10)에 인증서를 가지고 있지 않은 경우 인증서버부(60)에 접속하여 클라이언트 에이전트(20)를 다운로드 받은 후, 인증서를 발급받을 수 있도록 하고, 상기 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 애플리케이션 서버(80)에 접근하기 위한 인증절차가 수행될 수 있도록 한다.The connection unit 31 may transmit and receive data related to a user authentication procedure with the client agent 20 of the client unit 10 connected by establishing a session through a wired / wireless internet, wherein the client unit 10 If you do not have a certificate in the certificate server unit 60 to download the client agent 20, after receiving a certificate, and the user account and certificate and health check sent from the client agent 20 check The authentication procedure for receiving the information and accessing the application server 80 can be performed.

상기 인증서버 연동부(32)는 인증서버부(60)의 필터링수단 관리부(64)와 연동하여 필터링작업에 대한 명령어를 인가받을 수 있도록 하는데, 상기 접속부(31)를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 사용자 인증절차를 거치도록 한 후, 상기 필터링수단 관리부(64)를 통해 제공된 사용자 인증정보를 수신한다.The authentication server interworking unit 32 may be authorized in connection with the filtering means management unit 64 of the authentication server unit 60 to receive a command for the filtering operation, and the user account and the certificate received through the connection unit 31. And after transmitting the health check information to the authentication server unit 60 to go through the user authentication procedure, and receives the user authentication information provided through the filtering means manager 64.

상기 필터링 제어부(33)는 인증서버 연동부(32)를 통해 인가받은 명령어, 사 용자 인증정보를 토대로 하여 브리지(bridge)와 넷필터(netfilter)의 기능을 수행하기 위한 래퍼(wrapper)로 이루어져 실제 IP 필터링작업이 구현될 수 있도록 하는데, 상기 인증서버 연동부(32)를 통해 수신된 사용자 인증정보를 토대로 하여 필터링 수행부(34)에 제어신호를 인가하여 그에 따른 각 스크립트가 실행되어 애플리케이션 서버(80)에 접근 허가에 따른 IP 필터링작업이 수행될 수 있도록 한다.The filtering control unit 33 consists of a wrapper for performing a bridge and a netfilter function based on a command authorized through the authentication server interworking unit 32 and user authentication information. The IP filtering operation can be implemented, and each script is executed by applying a control signal to the filtering performing unit 34 based on the user authentication information received through the authentication server interworking unit 32 to execute an application server ( 80), IP filtering can be performed according to the access permission.

상기 필터링 수행부(34)는 리눅스 커널(Linux kernel)에 있는 넷필터(netfilter)와 브리지(bridge)의 유틸리티(utility)를 사용하는 스크립트, 즉 브리지 적재 관리 스크립트, 필터링 관리 스크립트, NAT(Network Address Translation) 관리 스크립트, 접근 허가/차단 스크립트로 이루어져 특정 IP 및 포트에 대한 접근 권한 부여, 네트워크 주소 변환, 포트 포워딩 등의 기능을 수행하여 인가된 클라이언트부(10)에 한 해 접근하기 원하는 애플리케이션 서버(80)로 접속될 수 있도록 한다.The filtering execution unit 34 is a script that uses the utility of the netfilter (bridge) and bridge (Linux) in the Linux kernel, that is, bridge loading management script, filtering management script, NAT (Network Address) Application server that wants to access only authorized client part 10 by performing management functions, access authorization / blocking script, and granting access rights to specific IP and port, network address translation, port forwarding, etc. 80).

상기 브리지 적재 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 때 동작되어 브리지의 기능을 정상적으로 수행할 수 있도록 하는데, 이더넷 디바이스(ethernet device)의 이름이 바뀌는 것과 같이 하드웨어나 운영체제에 변경이 있는 경우 그에 따라 수정이 이루어지도록 하고, 상기 필터링 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 때 동작되어 필터링 제어부(33)에서 전송된 제어신호를 인가받아 기 설정된 조건에 따른 IP 필터링 작업을 수행할 수 있도록 하고, 상기 NAT 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 대 동작되어 필터링 제어부(33)에서 전송된 제어신호를 인가받아 기 설정된 조건에 따른 주 소 변환작업을 수행할 수 있도록 하고, 상기 접근 허가/차단 스크립트는 필터링 제어부(33)에서 전송된 제어신호를 인가받아 애플리케이션 서버(80)에 접근 요청하는 클라이언트부(10)에 대해 접근 허가 또는 접근 차단될 수 있도록 한다.The bridge loading management script is operated when the network filtering means 30 is executed for the first time so as to perform a bridge function normally. If there is a change in hardware or an operating system such as an Ethernet device being renamed, Modification is made according to the above, and the filtering management script is operated when the network filtering means 30 is first executed to receive the control signal transmitted from the filtering control unit 33 so as to perform an IP filtering operation according to a preset condition. In addition, the NAT management script is operated when the network filtering means 30 is first executed to receive the control signal transmitted from the filtering control unit 33 so as to perform an address conversion operation according to a preset condition. The permit / block script may control the control signal transmitted from the filtering control unit 33. Access to the client unit 10 requesting access to the application server 80 is authorized or can be blocked.

상기 인증시스템부(40)는 네트워크 필터링수단(30)과 연동하여 클라이언트부(10)에서 전송된 사용자 계정 및 인증서의 무결성과 유효성을 검사하여 인증절차를 수행할 수 있도록 인증에 관련된 정보를 제공해 주고, 인증서의 발급 및 파기작업을 수행하는 수단으로, 인증 인터페이스부(50), 인증서버부(60) 및 인증기관부(70)로 이루어진다.The authentication system unit 40 interoperates with the network filtering unit 30 and provides information related to authentication so that the authentication procedure can be performed by checking the integrity and validity of the user account and certificate transmitted from the client unit 10. In addition, as a means for performing a certificate issuance and destruction operation, the authentication interface unit 50, the authentication server unit 60 and the certification authority unit 70.

상기 인증 인터페이스부(50)는 사내 네트워크망의 애플리케이션 서버(80)에 처음 접속하려는 클라이언트부(10)에게 웹상에서 용이하게 인증서를 발급하기 위한 GUI 환경으로 이루어지고, 상기 클라이언트부(10)의 인증서에 대한 조회 및 폐기 요청도 용이하게 이루어지도록 제공한다.The authentication interface unit 50 is a GUI environment for easily issuing a certificate to the client unit 10 attempting to access the application server 80 of the company network on the web, and the certificate of the client unit 10 Inquiry and disposal request for easy to provide.

상기 인증서버부(60)는 네트워크 필터링수단(30)과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버(80)에 접근 요청을 하는 클라이언트부(10)에 대한 사용자 인증절차를 수행하고, 인증기관부(70)와 연동하여 인증서 발급을 요청하는 클라이언트부(10)에 인증서를 발급할 수 있도록 관리하는 것으로, 이를 구현하기 위한 내부적 구성은 에이전트 제공부(61), 인증 확인부(62), 인증기관 연동부(63), 필터링수단 관리부(64) 및 데이터베이스 저장부(65)로 이루어진다.The authentication server unit 60 performs a user authentication procedure for the client unit 10 requesting access to the application server 80 to provide user authentication information in association with the network filtering means 30, the authentication authority It manages to issue a certificate to the client unit 10 requesting the certificate issuance in conjunction with the unit 70, the internal configuration for implementing this is the agent providing unit 61, authentication verification unit 62, authentication The engine interlocking unit 63, the filtering unit management unit 64 and the database storage unit 65.

상기 에이전트 제공부(61)는 네트워크 필터링수단(30)을 통해 애플리케이션 서버(80)에 접근하기 원하는 클라이언트부(10)가 처음 접속한 경우 공지된 회원가 입절차를 거쳐 사용자 정보를 데이터베이스부에 등록시킨 후, 본 발명에 의한 네트워크 접근 제어서비스가 제공될 수 있는 기본적인 환경인 클라이언트 에이전트(20)를 다운로드시켜 클라이언트부(10), 즉 클라이언트용 컴퓨터의 모니터상이 디스플레이될 수 있도록 함으로써, 상기 클라이언트 에이전트(20)와 네트워크 필터링수단(30) 상호간에 연동되게 지원한다.The agent providing unit 61 registers user information to a database through a procedure for a known member when the client unit 10 that wants to access the application server 80 through the network filtering unit 30 first accesses. Thereafter, the client agent 20, which is a basic environment in which the network access control service according to the present invention can be downloaded, is downloaded so that the monitor portion of the client unit 10, that is, the client computer, can be displayed. ) And network filtering means 30 are interworked with each other.

상기 인증 확인부(62)는 클라이언트부(10)가 클라이언트 에이전트(20)를 통해 인증서 발급을 요청하는 경우 사용자 계정을 확인하여 인증기관부(70)를 통해 PKI에 기반을 둔 인증서 발급이 이루어지게 하고, 상기 클라이언트부(10)가 네트워크 필터링수단(30)을 통해 애플리케이션 서버(80)에 접속을 원하는 경우 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 네트워크 필터링수단(30)을 통해 수신하여 인증서의 유효성을 판단하고, 헬스 체크된 정보를 이용하여 애플리케이션 서버(80)에 피해를 줄 염려가 없는지를 판단하여 상기 클라이언트부(10)에 대한 접근 허가 여부에 따른 인증절차를 수행할 수 있도록 한다.When the client unit 10 requests for issuance of a certificate through the client agent 20, the authentication checker 62 checks a user account and issues a PKI based certificate through the certification authority unit 70. If the client unit 10 wants to access the application server 80 through the network filtering means 30, the network filtering means 30 checks the user account, certificate, and health check information transmitted from the client agent 20. Received through to determine the validity of the certificate, using the health-checked information to determine whether there is no risk of damage to the application server 80 to perform the authentication procedure according to the access permission to the client unit 10 Do it.

상기 인증기관 연동부(63)는 인증기관부(70)와 연동하여 클라이언트부(10)로부터 인증서의 발급 및 폐기 요청 시, 인증기관부(70)에 제어신호를 인가하여 그에 따른 인증서의 발급 및 폐기작업이 수행될 수 있도록 한다.The certification authority interworking unit 63 interoperates with the certification authority unit 70 and, upon requesting issuance and revocation of the certificate from the client unit 10, applies a control signal to the certification authority unit 70 to issue and issue a certificate accordingly. Allow disposal to be performed.

상기 필터링수단 관리부(64)는 인증 확인부(62)를 통해 수행된 사용자 인증정보, 즉 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 가진 클라이언트부(10)가 애플리케이션 서버(80)에 접근 권한이 부여된 유효한 사용자인지에 대한 정보를 네트워크 필터링수단(30)으로 전송하여 클라이언 트부(10)에 대한 IP 필터링작업을 수행할 수 있도록 한다.The filtering means manager 64 is a client server 10 having user authentication information performed through the authentication checker 62, that is, a user account, a certificate, and health check information transmitted from the client agent 20. Information about whether the user has been granted access right is transmitted to the network filtering means 30 so as to perform IP filtering on the client unit 10.

상기 데이터베이스 저장부(65)는 사용자 정보 데이터베이스부(65a)와 인증서 데이터베이스부(65b)로 이루어지는데, 상기 사용자 정보 데이터베이스부(65a)는 처음 접속한 클라이언트부(10)에 대한 회원 가입절차를 거쳐 사용자의 개인정보를 소정의 분류체계에 따른 카테고리별로 분류하여 저장하고, 상기 인증서 데이터베이스부(65b)는 인증기관부(70)에서 발급된 인증서를 사용자 정보에 따른 카테고리별로 분류하여 저장한다.The database storage unit 65 includes a user information database unit 65a and a certificate database unit 65b. The user information database unit 65a undergoes a membership registration procedure for the client unit 10 that is first connected. The user's personal information is classified and stored by category according to a predetermined classification system, and the certificate database unit 65b classifies and stores the certificate issued by the certification authority unit 70 by category according to the user information.

상기 인증기관부(70)는 Open SSL 기반으로 인증서의 발급 또는 파기를 담당하는 것으로, 클라이언트 에이전트(20)를 통한 인증서 발급 요청 시, 사용자정보 데이터베이스부(65a)에 등록되어 있는 사용자인지를 확인한 후, 그에 따른 인증서를 발급한 후, 발급된 인증서를 저장하여 관리할 수 있도록 한다.The certification authority unit 70 is responsible for issuing or destroying a certificate based on Open SSL, and when checking a certificate issuance through the client agent 20, after confirming whether the user is registered in the user information database unit 65a After issuing a certificate accordingly, the issued certificate can be stored and managed.

이상과 같이 본 발명의 일실시예에 의해 구성된 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템의 작용에 대하여 설명한다.The operation of the certificate-based network access control system using the network filtering device 30 configured by the embodiment of the present invention as described above will be described.

[실시예 1(클라이언트부의 최초 접속)]Example 1 (First Connection of Client Part)

본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 최초 접속하는 클라이언트부(30)의 사용자 인증과정을 살펴보면, 도4에 도시된 바와 같이 사용자가 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)가 존재하는지를 확인한 후, 상기 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 접속시킨다.Looking at the user authentication process of the client unit 30 for the first access to the certificate-based network access control system using the network filtering device 30 according to the present invention, as shown in Figure 4 the user through the client unit 10 When the connection request signal is transmitted to access a specific application server 80 of the company network network connected to the wired / wireless internet, the connection unit of the network filtering means 30 installed at the previous stage of the application server 80. In operation 31, the client 10 receives the connection request signal, and the connection unit 31 confirms that the client agent 20 for performing the authentication procedure exists in the client unit 10. ) Does not exist, it is connected to the authentication system unit (40).

상기 인증시스템부(40)는 인증 인터페이스부(50)를 통해 클라이언트 에이전트(20)의 다운로드 및 인증서의 발급을 웹상에서 용이하게 구현될 수 있도록 클라이언트부(10)에 제공하는데, 상기 클라이언트부(10)는 인증서버부(60)를 통해 공지된 회원가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한다.The authentication system unit 40 provides the client unit 10 to be easily implemented on the web to download and issue the certificate of the client agent 20 through the authentication interface unit 50, the client unit 10 ) Registers the user information to the database through a known registration procedure through the authentication server unit 60, downloads the client agent 20 through the agent providing unit 61 and installs it in the client unit 10 .

상기 클라이언트부(10)는 클라이언트 에이전트(20)를 통해 사용자 계정을 입력하여 인증서의 발급을 요청하면, 상기 인증서버부(60)의 인증확인부(62)는 사용자 정보 데이터베이스부(65a)에 등록된 클라이언트부(10)의 사용자 계정을 확인한 후, 인증기관부(70)를 통해 PKI에 기반을 둔 클라이언트부(10)의 고유 식별코드가 부여된 인증서를 발급하여 클라이언트부(10)에 제공한다.When the client unit 10 requests for issuance of a certificate by inputting a user account through the client agent 20, the authentication confirmation unit 62 of the certificate server unit 60 is registered in the user information database unit 65a. After checking the user account of the client unit 10, the certificate authority unit 70 issues a certificate to which the unique identification code of the client unit 10 based on the PKI is provided to the client unit 10. .

상기 클라이언트부(10)는 클라이언트 에이전트(20)를 통해 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송하는데, 이 때 상기 클라이언트 에이전트(20)는 사용자 계정과 인증서 정보 및 웜 또는 바이러스 등을 체크한 헬스 체크정보를 동시에 전송할 수 있도록 하고, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하되, 상기 접속부(31)는 클라이언트 에이전트(20)에서 전송된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버 연동부(32)로 전송한다.The client unit 10 transmits a connection request signal for accessing a specific application server 80 of an in-house network through the client agent 20. At this time, the client agent 20 may transmit user account and certificate information. Request for connection of the client unit 10 from the connection unit 31 of the network filtering means 30 installed at the previous stage of the application server 80 so that health check information checked for worms or viruses can be simultaneously transmitted. While receiving a signal, the connection unit 31 transmits the user account, certificate and health check information transmitted from the client agent 20 to the authentication server interworking unit 32.

상기 인증서버 연동부(32)는 접속부(31)를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하고, 상기 인증서버부(60)의 인증확인부(62)는 인증서버 연동부(32)를 통해 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신한 후, 사용자 정보 데이터베이스부(65a) 및 인증서 데이터베이스부(65b)와 연동하여 사용자 계정에 따른 인증서의 유효성을 판단하고, 헬스 체크된 정보를 통해 애플리케이션 서버(80)에 웜 또는 바이러스의 감염에 따른 피해를 줄 염려가 없는지를 판단한 후, 상기 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가 또는 차단할지에 대한 사용자 인증절차를 수행할 수 있도록 한다.The authentication server interworking unit 32 transmits the user account, certificate, and health check information received through the connection unit 31 to the authentication server unit 60 so as to undergo a user authentication procedure for accessing the application server 80. The authentication check unit 62 of the authentication server unit 60 receives the user account, the certificate, and the health check information transmitted through the authentication server linkage unit 32, and then the user information database unit 65a and the certificate. After determining the validity of the certificate according to the user account in conjunction with the database unit 65b, and after determining whether there is no risk of damage to the application server 80 due to the infection of the worm or the virus through the health check information, the client It is possible to perform a user authentication procedure to access or block the application server 80 of the unit (10).

상기 인증서버부(60)의 필터링수단 관리부(64)는 인증 확인부(62)를 통해 수행된 사용자 인증정보를 토대로 하여 클라이언트부(10)가 애플리케이션 서버(80)에 접근 권한이 부여된 사용자인지 유효 여부에 따른 접근 허가 또는 차단의 제어신호를 네트워크 필터링수단(30)으로 전송하여 클라이언트부(10)에 대한 IP 필터링작업을 통한 네트워크 접근 제어가 이루어질 수 있도록 한다.The filtering means management unit 64 of the authentication server unit 60 is whether the client unit 10 is a user authorized to access the application server 80 based on the user authentication information performed through the authentication confirmation unit 62. By transmitting the control signal of the access permission or blocking according to the validity to the network filtering means 30 so that the network access control through the IP filtering operation for the client unit 10 can be made.

상기 네트워크 필터링수단(30)의 인증서버 연동부(32)는 인증서버부(60)의 필터링수단 관리부(64)에서 전송된 사용자 인증정보에 따른 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가 또는 차단의 명령어신호를 수신하고, 필터링 제어부(33)는 인증서버 연동부(32)에서 수신된 사용자 인증정보에 따른 접근 허가 또 는 차단의 명령어신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.The authentication server interworking unit 32 of the network filtering unit 30 approaches the application server 80 of the client unit 10 according to the user authentication information transmitted from the filtering unit management unit 64 of the authentication server unit 60. Receiving the command signal of the permission or blocking, the filtering control unit 33 analyzes the command signal of the access permission or blocking according to the user authentication information received from the authentication server interlocking unit 32, filtering filtering unit 34 Each of the scripts can be driven to allow or block access to the application server 80 of the client unit 10 according to user authentication information.

즉, 상기 인증서버 연동부(32)에서 수신된 사용자 인증정보가 클라이언트부(10)의 애플리케이션 서버(80)에 접근을 차단하는 명령어신호인 경우, 상기 필터링 제어부(33)는 필터링 수행부(34)의 접근 차단 스크립트를 구동하여 애플리케이션 서버(80)의 접근을 차단될 수 있도록 하되, 필터링 관리 스크립트를 구동하여 기설정된 조건에 따라 클라이언트부(10)의 IP 필터링 작업이 수행되거나 상기 클라이언트부(10)가 접속된 포트 80을 차단시켜 애플리케이션 서버(80)에 접근을 제한할 수 있도록 한다.That is, when the user authentication information received from the authentication server interworking unit 32 is a command signal for blocking access to the application server 80 of the client unit 10, the filtering control unit 33 may perform the filtering unit 34. By operating the access blocking script of the) to block the access of the application server 80, by running the filtering management script to perform the IP filtering of the client unit 10 in accordance with a predetermined condition or the client unit 10 ) To restrict access to the application server 80 by blocking the connected port 80.

또한, 상기 인증서버 연동부(32)에서 수신된 사용자 인증정보가 클라이언트부(10)의 애플리케이션 서버(80)에 접근을 허가하는 명령어신호인 경우, 상기 필터링 제어부(33)는 필터링 수행부(34)의 접근 허가 스크립트를 구동하여 애플리케이션 서버(80)의 접근을 허가할 수 있도록 하되, NAT 관리 스크립트를 구동하여 기 설정된 조건에 따라 주소 변환작업을 수행하여 상기 클라이언트부(10)가 애플리케이션 서버(80)에 접속이 될 수 있도록 한다.In addition, when the user authentication information received from the authentication server interworking unit 32 is a command signal for allowing access to the application server 80 of the client unit 10, the filtering control unit 33 may perform the filtering unit 34. By allowing the access of the application server 80 by driving the access permission script of the), by running the NAT management script to perform an address translation operation according to a predetermined condition, the client unit 10 is the application server (80) ) To be connected.

[실시예 2(클라이언트부에 인증서 존재)]Example 2 (Certificate Exists in Client Part)

본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 인증서를 가진 클라이언트부(10), 즉 클라이언트용 컴퓨터 또는 이동통신 단말기에 인증서버부를 통해 발급된 인증서가 존재하는 경우의 사용자 인 증과정을 살펴보면, 도5에 도시된 바와 같이 사용자자 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)의 존재여부를 확인한다.A user in a certificate-based network access control system using the network filtering device 30 according to the present invention has a client part 10 having a certificate, that is, a certificate issued through a certificate server in a client computer or a mobile communication terminal. Referring to the authentication process, as shown in FIG. 5, when the user transmits an access request signal to access a specific application server 80 of an in-house network network connected to the wired / wireless Internet through the client unit 10. The connection unit 31 of the network filtering unit 30 installed at the previous stage of the application server 80 receives a connection request signal from the client unit 10, and the connection unit 31 is connected to the client unit 10. Check the existence of the client agent 20 to perform the authentication procedure.

상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 연결되어 인증 인터페이스부(50)를 통해 공지된 회원 가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한 후, 다시 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송한다.If the client agent 20 does not exist in the client unit 10, the user agent is connected to the authentication system unit 40, and the user information is registered in the database unit through a known member registration procedure through the authentication interface unit 50. After the client agent 20 is downloaded and installed in the client unit 10 through the agent providing unit 61, the connection request signal for accessing the application server 80 is transmitted again.

상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하는 경우 상기 네트워크 필터링수단(30)의 접속부(31)는 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 인증서버 연동부(32)로 전송하고, 상기 인증서버 연동부(32)는 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하는데, 상기 인증서버부(60)의 사용자 인증을 위한 프로세스의 진행과정은 도3에서 설명한 방식과 동일하여 더 이상의 설명은 생략하기로 한다.If the client agent 20 is present in the client unit 10, the connection unit 31 of the network filtering means 30 receives the user account, certificate and health check information transmitted from the client agent 20 to the authentication server Sending to the interlocking unit 32, the authentication server interlocking unit 32 is a user authentication procedure for accessing the application server 80 by transmitting the user account, certificate and health check information to the authentication server unit 60 The process of the process for authenticating the user of the authentication server unit 60 is the same as the method described with reference to FIG. 3, and further description thereof will be omitted.

상기 인증서버부(60)를 통한 사용자 인증정보는 네트워크 필터링수단(30)의 인증서버 연동부(32)에서 수신한 후, 필터링 제어부(33)는 인증서버 연동부(32)에 서 수신한 사용자 인증정보에 따른 접근 허가 또는 차단의 명령어 신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.After the user authentication information through the authentication server unit 60 is received by the authentication server linkage unit 32 of the network filtering means 30, the filtering control unit 33 is received by the authentication server linkage unit 32 After analyzing the command signal of access permission or blocking according to the authentication information, each script of the filtering performing unit 34 may be driven to allow or block access to the application server 80 of the client unit 10 according to the user authentication information. Make sure

[실시예 3(클라이언트부의 변경)Example 3 (Change of Client Part)

본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 변경된 클라이언트부(10), 즉 인증서버부(60)를 통해 발급된 인증서를 가진 사용자가 최초 인증서가 발급된 클라이언트부(10)가 아닌 변경된 클라이언트부(10)를 이용한 사용자 인증과정을 살펴보면, 도6에 도시된 바와 같이 사용자가 변경된 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 변경된 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)의 존재여부를 확인한다.In the certificate-based network access control system using the network filtering device 30 according to the present invention, a user having a certificate issued through the client unit 10, that is, the certificate server unit 60, has a client unit in which an initial certificate has been issued ( Referring to the user authentication process using the changed client unit 10 instead of 10), as shown in FIG. 6, a specific application server of an in-house network network in which a user is connected to the wired / wireless Internet through the changed client unit 10 is illustrated. When the connection request signal is transmitted to access the 80, the connection request signal of the changed client unit 10 is transmitted by the connection unit 31 of the network filtering unit 30 installed in the previous step of the application server 80. Upon reception, the connection unit 31 confirms the existence of the client agent 20 for performing the authentication procedure to the client unit 10.

상기 변경된 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 연결되어 인증 인터페이스부(50)를 통해 공지된 회원 가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한 후, 다시 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송한다.If the client agent 20 does not exist in the changed client unit 10, the user agent is connected to the authentication system unit 40, and the user information is registered through the authentication interface unit 50 through a known member registration procedure. After downloading and installing the client agent 20 through the agent providing unit 61, the client agent 20 is installed in the client unit 10, and then transmits a connection request signal for accessing the application server 80 again.

상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하는 경우 상기 네 트워크 필터링수단(30)의 접속부(31)는 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 인증서버 연동부(32)로 전송하고, 상기 인증서버 연동부(32)는 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하는데, 상기 인증서버부(60)의 사용자 인증을 위한 프로세스의 진행과정은 도3에서 설명한 방식과 동일하여 더 이상의 설명은 생략하기로 한다.When the client agent 20 exists in the client unit 10, the connection unit 31 of the network filtering unit 30 receives and authenticates a user account, a certificate, and health check information transmitted from the client agent 20. The server interworking unit 32 is transmitted, and the authentication server interworking unit 32 transmits a user account, certificate, and health check information to the authentication server unit 60 to perform a user authentication procedure for accessing the application server 80. The process of the process for authenticating the user of the authentication server unit 60 is the same as the method described with reference to FIG. 3, and further description thereof will be omitted.

상기 인증서버부(60)를 통한 사용자 인증정보, 즉 인증서의 유효성이 확인되어 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가된 경우 사용자의 동일성을 한 번 더 확인하는 절차인 사용자 계정, 즉 사용자 ID와 패스워드를 입력을 요구하여 사용자 정보 데이터베이스부(65a)에 등록된 사용자인지를 확인하고, 사용자의 동일성이 확인되면, 필터링 제어부(33)는 인증서버 연동부(32)에서 수신한 사용자 인증정보에 따른 접근 허가 또는 차단의 명령어 신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.User authentication information through the authentication server unit 60, that is, a user account that is a procedure of confirming the identity of the user once more when the validity of the certificate is confirmed and access is granted to the application server 80 of the client unit 10, That is, the user ID and password are requested to check whether the user is registered in the user information database 65a, and if the user's identity is confirmed, the filtering control unit 33 receives the user received from the authentication server interlocking unit 32. After analyzing the command signal of access permission or blocking according to the authentication information, each script of the filtering performing unit 34 may be driven to allow or block access to the application server 80 of the client unit 10 according to the user authentication information. Make sure

이상과 같이 본 발명은 원격지에 있는 클라이언트부(10)가 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해서는 상기 애플리케이션 서버(80)의 전 단계에 설치된 네트워크 필터링장치(30)를 통한 사용자 인증절차를 통과한 후, 애플리케이션 서버(80)에 접속할 수 있도록 하여 사내 네트워크망의 보안성과 안정성을 향상시키도록 한 것으로, 이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니다.As described above, in order to access the specific application server 80 of the in-house network, the client unit 10 located at a remote location may authenticate the user through the network filtering device 30 installed at the previous stage of the application server 80. After passing through the procedure, the application server 80 can be accessed to improve the security and stability of the in-house network. The present invention described above can be applied to those skilled in the art. In the range without departing from the spirit of the present invention various substitutions, modifications and changes are possible to the above embodiments and the accompanying drawings are not limited.

도1은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템의 전체 구성도1 is an overall configuration of a certificate-based network access control system using a network filtering device applied to the present invention

도2는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워트 접근 제어시스템의 클라이언트부를 도시한 내부 구성도2 is a diagram illustrating an internal configuration of a client unit of a certificate-based network access control system using a network filtering device according to the present invention.

도3은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워트 접근 제어시스템의 인증시스템부를 도시한 내부 구성도3 is an internal configuration diagram illustrating an authentication system unit of a certificate-based network access control system using a network filtering device according to the present invention.

도4는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 처음 인증서를 발급받는 사용자의 인증과정을 도시한 흐름도Figure 4 is a flow chart showing the authentication process of the user issuing the first certificate using the certificate-based network access control system using a network filtering apparatus applied to the present invention

도5는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 클라이언트부에 인증서가 있는 사용자의 인증과정을 도시한 흐름도5 is a flowchart illustrating an authentication process of a user having a certificate in a client unit using a certificate-based network access control system using a network filtering device according to the present invention.

도6은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 변경된 클라이언트부에 인증서가 있는 사용자의 인증과정을 도시한 흐름도6 is a flowchart illustrating an authentication process of a user with a certificate in a changed client unit using a certificate-based network access control system using a network filtering apparatus applied to the present invention.

*도면의 주요부분에 대한 부호설명** Description of Signs of Main Parts of Drawings *

10. 클라이언트부 20. 클라이언트 에이전트10. Client Part 20. Client Agent

21. 사용자 인터페이스부 22. 인증 수행부21. User interface 22. Authentication section

23. 헬스 체크부 30. 네트워크 필터링수단23. Health check unit 30. Network filtering means

31. 접속부 32. 인증서버 연동부31. Connection part 32. Authentication server connection part

33. 필터링 제어부 34. 필터링 수행부33. Filtering unit 34. Filtering unit

40. 인증시스템부 50. 인증 인터페이스부40. Authentication system part 50. Authentication interface part

60. 인증서버부 61. 에이전트 제공부60. Certificate Server 61. Agent Provider

62. 인증 확인부 63. 인증기관 연동부62. Certification Confirmation Unit 63. Certification Authority Interworking Unit

64. 필터링수단 관리부 65. 데이터베이스 저장부64. Filtering means management unit 65. Database storage unit

65a. 사용자 정보 데이터베이스부 65b. 인증서 데이터베이스부65a. User Information Database Section 65b. Certificate database section

70. 인증기관부 80. 애플리케이션 서버70. Certification Authority 80. Application Server

Claims (4)

삭제delete 삭제delete 유·무선 인터넷으로 연결되어 사내 네트워크망의 특정 애플리케이션 서버에 접근 허가를 요청하는 클라이언트부,A client unit that requests access to a specific application server of an internal network by connecting to a wired or wireless Internet, 상기 클라이언트부에 대해 IP 필터링을 통한 네트워크 접근 제어를 통해 접근을 허용 또는 차단하는 애플리케이션 서버,Application server for allowing or blocking access through the network access control through IP filtering for the client unit, 상기 클라이언트부에 설치되어 사용자 인증절차를 수행하도록 소프트웨어적으로 구현된 클라이언트 에이전트;A client agent installed in the client unit and implemented in software to perform a user authentication procedure; 클라이언트부의 애플리케이션 서버에 대한 접근을 허용 또는 차단하여 네트워크 접근 제어를 담당하는 네트워크 필터링수단;Network filtering means for controlling network access by allowing or blocking access to an application server of a client unit; 인증 인터페이스부, 인증서버부, 인증기관부로 이루어지는 인증시스템부;를 포함하는 네트워크 접근 제어시스템에 있어서,In the network access control system comprising an authentication system unit consisting of an authentication interface unit, the authentication server unit, the certification authority unit, 상기 네트워크 필터링수단은 유·무선 인터넷으로 세션을 형성해 연결되어 있는 클라이언트부의 클라이언트 에이전트와 사용자 인증절차에 관련된 데이터를 송·수신하는 접속부;The network filtering means includes: a connection unit for transmitting and receiving data related to a client agent and a user authentication procedure of a client unit connected to form a session through a wired or wireless Internet; 상기 인증서버부의 필터링수단 관리부와 연동하여 상기 접속부를 통해 수신된 사용자 계정과 인증서 및 클라이언트부의 웜 또는 바이러스에 대한 감염 여부를 감시한 결과인 헬스 체크정보를 인증서버부로 전송하여 사용자 인증절차를 거치도록 하고, 상기 필터링수단 관리부를 통해 전송된 사용자 인증정보를 수신하는 인증서버 연동부;The health check information, which is a result of monitoring the user account and certificate received through the connection unit and whether the client unit is infected with a worm or a virus, is linked with the filtering means managing unit of the authentication server unit to perform the user authentication procedure. And, the authentication server interworking unit for receiving the user authentication information transmitted through the filtering means management unit; 상기 인증서버 연동부를 통해 수신된 사용자 인증정보를 토대로 하여 필터링 수행부에 제어신호를 인가하여 그에 따라 해당 스크립트가 실행되어 애플리케이션 서버에 접근 제어에 따른 IP 필터링작업이 수행되게 제어하는 필터링 제어부;A filtering control unit which applies a control signal to a filtering execution unit based on user authentication information received through the authentication server interworking unit, and executes a corresponding script to perform an IP filtering operation according to access control to an application server; 상기 필터링 제어부의 제어신호를 인가받아 실행되는 브리지 적재 관리 스크립트, 필터링 관리 스크립트, NAT(Network Address Translation) 관리 스크립트, 접근 허가/차단 스크립트로 이루어져 인가된 클라이언트부에 한 해 접속 요청한 애플리케이션 서버로 접속될 수 있도록 하는 필터링 수행부;로 이루어짐을 특징을 하는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템.Bridge loading management script, filtering management script, network address translation (NAT) management script, and access permission / blocking script which are executed by receiving the control signal of the filtering control unit to be connected to the application server requesting access to the authorized client unit only. Certificate-based network access control system using a network filtering device characterized in that consisting of; 제3항에 있어서,The method of claim 3, 상기 인증서버부는 네트워크 필터링수단에 처음 접속한 클라이언트부에 회원 가입절차를 거쳐 사용자 등록하여 클라이언트 에이전트를 제공하고, 상기 클라이언트 에이전트와 네트워크 필터링수단 상호간에 연동되게 지원하는 에이전트 제공부;The authentication server unit may provide a client agent by registering a user through a membership registration procedure to a client unit that is first connected to a network filtering unit, and providing an agent agent to support interworking between the client agent and the network filtering unit; 상기 클라이언트 에이전트로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 네트워크 필터링수단을 통해 수신하여 애플리케이션 서버에 접근 가능한 인증서인지를 판단하고, 헬스 체크정보를 통해 애플리케이션 서버에 피해를 줄 수 있는지 여부를 판단한 후, 상기 클라이언트부에 대한 사용자 인증절차를 수행하는 인증 확인부;After receiving the user account, certificate and health check information transmitted from the client agent through a network filtering means to determine whether the certificate is accessible to the application server, and after determining whether or not damage to the application server through the health check information An authentication confirmation unit performing a user authentication procedure with respect to the client unit; 인증기관부와 연동하여 클라이언트부의 인증서의 발급 및 폐기 요청 시, 인증기관부에 제어신호를 인가하여 그에 따른 인증서의 발급 및 폐기되도록 하는 인증기관 연동부;An authentication authority interworking unit configured to apply a control signal to the certification authority to issue and revoke a certificate according to a control signal to the certification authority when requesting for issuance and revocation of a certificate of the client unit by interworking with the certification authority unit; 상기 인증 확인부를 통해 수행된 사용자 인증정보를 네트워크 필터링수단으로 전송하여 애플리케이션 서버에 접속 요청한 클라이어언트부에 대한 IP 필터링작업을 수행할 수 있도록 하는 필터링수단 관리부;A filtering means management unit which transmits user authentication information performed through the authentication confirmation unit to a network filtering unit so as to perform an IP filtering operation for a client unit requesting access to an application server; 상기 네트워크 필터링수단에 처음 접속한 클라이언트부의 사용자 정보를 소정의 분류체계에 따른 카테고리별로 분류하여 저장한 사용자 정보 데이터베이스부와, 인증기관부에서 발급된 인증서를 사용자 정보에 따른 카테고리별로 분류하여 저장한 인증서 데이터베이스부로 이루어진 데이터베이스 저장부;로 이루어짐을 특징으로 하는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템.A user information database unit which stores and classifies user information of a client unit initially connected to the network filtering unit by a category according to a predetermined classification scheme, and a certificate, which is classified and stored by a certificate issued by a certification authority unit by category according to user information. Certificate-based network access control system using a network filtering device, characterized in that consisting of;
KR1020090039563A 2009-05-07 2009-05-07 Certificate-based network access control system using network filtering device KR101009261B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090039563A KR101009261B1 (en) 2009-05-07 2009-05-07 Certificate-based network access control system using network filtering device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090039563A KR101009261B1 (en) 2009-05-07 2009-05-07 Certificate-based network access control system using network filtering device

Publications (2)

Publication Number Publication Date
KR20100120758A KR20100120758A (en) 2010-11-17
KR101009261B1 true KR101009261B1 (en) 2011-01-25

Family

ID=43406201

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090039563A KR101009261B1 (en) 2009-05-07 2009-05-07 Certificate-based network access control system using network filtering device

Country Status (1)

Country Link
KR (1) KR101009261B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137234B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on granted permissions
KR102040227B1 (en) * 2018-02-02 2019-11-04 박승필 Method and system for evaluating security effectiveness between device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001268075A (en) * 2000-03-17 2001-09-28 Kyocera Communication Systems Co Ltd User authentication system
KR100432103B1 (en) * 2001-08-31 2004-05-17 주식회사 안랩유비웨어 An authentication and authorization service system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001268075A (en) * 2000-03-17 2001-09-28 Kyocera Communication Systems Co Ltd User authentication system
KR100432103B1 (en) * 2001-08-31 2004-05-17 주식회사 안랩유비웨어 An authentication and authorization service system

Also Published As

Publication number Publication date
KR20100120758A (en) 2010-11-17

Similar Documents

Publication Publication Date Title
US7627896B2 (en) Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US9485254B2 (en) Method and system for authenticating a security device
US7836493B2 (en) Proxy server security token authorization
US8359464B2 (en) Quarantine method and system
EP2404428B1 (en) A system and method for providing security in browser-based access to smart cards
Navas et al. Understanding and mitigating OpenID Connect threats
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
JP2019536157A (en) System and method for transparent multi-factor authentication and security approach posture check
CN100512107C (en) Security identification method
KR102020178B1 (en) Fire wall system for dynamic control of security policy
CN116032533A (en) Remote office access method and system based on zero trust
US9021253B2 (en) Quarantine method and system
CN112016073B (en) Construction method of server zero trust connection architecture
KR101009261B1 (en) Certificate-based network access control system using network filtering device
KR102148452B1 (en) System for security network Using blockchain and Driving method thereof
WO2020002870A1 (en) Methods for delivering an authenticatable management activity to remote devices
Kim et al. Secure user authentication based on the trusted platform for mobile devices
KR102284183B1 (en) Access control system and method using SQL tool based on web
WO2015078500A1 (en) Method and system for secure execution of web applications for mobile devices
Cordis et al. Considerations in Mitigating Kerberos Vulnerabilities for Active Directory
GB2474036A (en) Providing secure access to a computer network
Tank et al. Security analysis of OpenStack keystone
RU2722393C2 (en) Telecommunication system for secure transmission of data in it and a device associated with said system
CN118074985A (en) Browser file management and control method, system, device and readable storage medium

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140113

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee