KR101009261B1 - Certificate-based network access control system using network filtering device - Google Patents
Certificate-based network access control system using network filtering device Download PDFInfo
- Publication number
- KR101009261B1 KR101009261B1 KR1020090039563A KR20090039563A KR101009261B1 KR 101009261 B1 KR101009261 B1 KR 101009261B1 KR 1020090039563 A KR1020090039563 A KR 1020090039563A KR 20090039563 A KR20090039563 A KR 20090039563A KR 101009261 B1 KR101009261 B1 KR 101009261B1
- Authority
- KR
- South Korea
- Prior art keywords
- unit
- network
- certificate
- client
- authentication
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 네트워크 필터링수단을 하드웨어적으로 구현하여 운영서버에 접속하기 전에 IP 필터링을 통한 접근 제어가 이루어지도록 함으로써, 인증서버를 통해 PKI 인증서와 헬스 체크정보를 확인하여 1차적으로 인증절차를 거친 클라이언트부에 대해 네트워크 필터링수단을 통해 실시간으로 IP 및 포트 기반으로 임의 IP 사용자 여부를 확인하여 운영서버의 접근을 허용 또는 차단할 수 있도록 하여 네트워크 보안을 강화시키도록 한 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention implements the network filtering means in hardware so that access control through IP filtering is performed before accessing the operation server, thereby verifying the PKI certificate and health check information through the authentication server, and firstly undergoing the authentication procedure. Certificate-based network access control using a network filtering device that enhances network security by allowing users to allow or block access to the operation server by checking the IP and port based on IP and port in real time through network filtering means. It's about the system.
본 발명은 유·무선 인터넷으로 연결되어 사내 네트워크망의 특정 애플리케이션 서버에 접근 허가를 요청하는 클라이언트부와, 상기 클라이언트부에 대해 IP 필터링을 통한 네트워크 접근 제어를 통해 접근을 허용 또는 차단하는 애플리케이션 서버로 이루어지는 네트워크 접근 제어시스템에 있어서, 상기 클라이언트부에 설치되어 네트워크 필터링수단에 사용자 계정과 PKI에 기반을 둔 인증서 및 클라이언트부의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 소프트웨어적으로 구현된 클라이언트 에이전트; 애플리케이션 서버에 접속하기 위한 전 단계에 설치되어 인증서버부와 연동하여 수신된 사용자 인증정보를 토대로 하여 클라이언트부의 애플리케이션 서버에 접근을 허용 또는 차단하여 네트워크 접근 제어를 담당하는 네트워크 필터링수단; 상기 클라이언트부에 인증서의 발급과 조회 및 폐기작업을 웹상에서 용이하게 제공하기 위한 GUI 환경으로 제공하는 인증 인터페이스부 와, 네트워크 필터링수단과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버에 접근 요청을 하는 클라이언트부에 대한 사용자 인증절차를 수행하고, 인증기관부와 연동하여 인증서 발급을 요청하는 클라이언트부에 인증서가 발급되도록 관리하는 인증서버부와, 상기 인증서버부와 연동하여 Open SSL 기반으로 인증서의 발급 또는 폐기를 담당하는 인증기관부로 이루어지는 인증시스템부;의 구성으로 이루어지는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention provides a client unit for requesting access to a specific application server of an internal network connected to a wired / wireless internet, and an application server for allowing or blocking access through network access control through IP filtering for the client unit. A network access control system comprising: a client agent installed in the client unit and configured to perform a user authentication process by providing a user account and a PKI-based certificate and health check information of the client unit to a network filtering unit; Network filtering means installed in a previous step for accessing an application server and controlling network access by allowing or blocking access to an application server of a client unit based on user authentication information received in association with an authentication server unit; An authentication interface unit for providing a GUI environment for easily issuing, inquiring and revocation of a certificate to the client unit on a web, and requesting an access to an application server to provide user authentication information in association with a network filtering unit. A certificate server unit for performing a user authentication procedure for a client unit and managing a certificate to be issued to a client unit requesting a certificate issuance by interworking with a certification authority unit, and issuing a certificate based on Open SSL in conjunction with the certificate server unit. Or it relates to a certificate-based network access control system using a network filtering device consisting of a; authentication system unit consisting of a certification authority responsible for revocation.
네트워크, 필터링, 접근 제어, 인증서, 헬스 체크 Network, filtering, access control, certificate, health check
Description
본 발명은 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것으로, 네트워크 필터링수단을 하드웨어적으로 구현하여 애플리케이션 서버에 접속하기 전에 IP 필터링을 통한 접근 제어가 이루어지도록 함으로써, 인증서버를 통해 PKI 인증서와 헬스 체크정보를 확인하여 1차적으로 인증절차를 거친 클라이언트부에 대해 네트워크 필터링수단을 통해 실시간으로 IP 및 포트 기반으로 임의 IP 사용자 여부를 확인하여 애플리케이션 서버의 접근을 허용 또는 차단할 수 있도록 하여 네트워크 보안을 강화시키도록 한 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템에 관한 것이다.The present invention relates to a certificate-based network access control system using a network filtering device. By implementing the network filtering means in hardware, access control through IP filtering is performed before accessing an application server. Network health by checking the health check information and checking the random IP user on the basis of IP and port in real time through the network filtering means for the client part that has undergone the authentication procedure. Certificate-based network access control system using a network filtering device to enhance the.
근래에 인터넷의 폭발적인 성장과 함께 발달해 온 전자상거래는 새로운 실생활 문화로 정착되어 있으며, 전자상거래는 인터넷이 보급되기 전인 1960년대 전용 네트워크를 이용한 전자 데이터 교환(EDI) 또는 은행 간 전자송금의 형태로 대기업간에 주로 행하여져 왔으며, 최근 들어 인터넷이 일반에게 보급된 이후에는 대기업 뿐 아니라 중소기업 및 일반 소비자들까지도 급속하게 확산되고 있다.E-commerce, which has developed with the explosive growth of the Internet in recent years, has become a new real-life culture, and e-commerce has been in the form of electronic data exchange (EDI) or inter-bank electronic transfer using dedicated networks in the 1960s before the Internet spread. It has been mainly carried out between large companies, and since the Internet has recently been spread to the general public, it is rapidly spreading to not only large enterprises but also small and medium-sized enterprises and general consumers.
정보통신과 인터넷의 발전으로 인해 작게는 LAN(Local Area Network) 환경으로 사무실이나 회사 등의 많은 컴퓨터가 네트워크으로 연결되어 있으며, 크게는 WAN(Wide Area Network) 환경으로 지역, 국가 및 전 세계의 많은 컴퓨터가 인터넷으로 연결되어 있는데, 이러한 인터넷을 통한 전자상거래는 시간과 공간의 제약을 극복해 준다는 장점이 있는 반면에 인터넷 가상공간 자체가 모든 사용자에게 공개되어 있어 보안성이 취약하여 상거래 정보의 불법유출, 부당거래, 웹서버에 대한 불법 접근 및 서비스 거부 등의 보안관련 침해가 빈번하게 발생하게 되어 개인이나 기업에 심각한 손해를 유발할 수 있다는 문제점이 제기되어 있다.Due to the development of information and communication and the Internet, many computers such as offices or companies are connected to the network by a small LAN (Local Area Network) environment, and largely by a wide area network (WAN) environment. Computers are connected to the Internet, and e-commerce through the Internet has the advantage of overcoming the limitations of time and space, while the Internet virtual space itself is open to all users, so it is weak in security and illegally leaking commerce information. There is a problem that security breaches such as unfair transaction, illegal access to web server and denial of service occur frequently, which can cause serious damage to individuals or companies.
이러한 인터넷 통신상의 취약한 보안문제로 인해 가상공간에서 이루어지는 전자상거래를 수행할 때, 상대방의 신분 확인이나 거래내역에 대한 상호간의 부인방지대책 등이 커다란 문제점으로 등장하고 있으며, 이에 대한 해결책으로 인터넷을 이용하는 개인과 기업의 중요한 정보를 보호하기 위해 보안관련 솔루션인 공개키 기반구조(PKI)에 기반을 둔 공개키 인증기술, SSL(Secure Socket Layer) 등이 사용되고 있다.Due to the weak security problem in the Internet communication, when conducting electronic commerce in the virtual space, the identification of the other party and mutual non-repudiation measures on the transaction history have emerged as a big problem. In order to protect important information of individuals and companies, public key authentication technology based on public key infrastructure (PKI), a security-related solution, and Secure Socket Layer (SSL) are used.
상기의 PKI에 기반을 둔 공개키 인증기술에 의한 종래의 인증시스템의 경우 클라이언트는 인증서를 서버에서 발부받고, 이를 인증하기 위해 많은 절차를 거치게 되며, 이로 인해 많은 시간을 소비하게 된다. 또한 이러한 인증처리 절차는 소프트웨어적인 신호로만 이루어져 있어 추후 동일한 신호를 입력하게 되는 경우 권한 없는 제3자에 의해 해킹을 당할 수 있는 문제점이 있다.In the conventional authentication system based on the PKI-based public key authentication technology, the client receives a certificate from the server and goes through a lot of procedures to authenticate it, thereby consuming a lot of time. In addition, the authentication process is made only of a software signal, there is a problem that can be hacked by an unauthorized third party when the same signal is input later.
SSL(Secure Socket Layer)은 네트워크 내에서 메시지 전송의 안전을 관리하기 위해 넷스케이프에 의해 만들어진 프로그램 계층으로, HTTP, TELNET 등과 같은 응용계층과 TCP 또는 UDP 등과 같은 전송계층에서 클라이언트와 서버간의 안전한 채널을 형성해 주는 보안프로토콜의 역활을 수행함으로써, 서버 인증, 클라이언트 인증 및 기밀성 보장의 세 가지 서비스를 제공하여 보안성을 향상시키도록 한 것이다.SSL (Secure Socket Layer) is a program layer created by Netscape to manage the safety of message transmission in the network. It forms a secure channel between client and server in the application layer such as HTTP, TELNET and the transport layer such as TCP or UDP. By acting as a security protocol, the state improves security by providing three services: server authentication, client authentication, and confidentiality guarantee.
한편, 사용자 환경이 엄밀하게 통제될 수 있는 기업이나 기관에 설치된 네트워크의 보안을 강화하기 위한 보안 인프라로 네트워크 접근 제어(NAC; Network Access Control)가 많이 사용되고 있는데, 최근의 네트워크 접근 제어는 상기 네트워크 접근 제어와 같은 전통적인 방식으로 로그온 정보를 검증함으로써 잠재적인 사용자들에게 인증 및 권한 부여 기능을 수행하게 하고, 여기에에 덧붙여, 방화벽, 안티바이러스 소프트웨어, 스파이웨어 적발 프로그램 등의 애플리케이션을 실행할 뿐 아니라 각 개별 사용자가 접근할 수 있는 데이터를 제한할 수 있도록 통제하여 보안성을 향상시키고 있다.Meanwhile, network access control (NAC) is widely used as a security infrastructure for reinforcing the security of a network installed in an enterprise or an institution in which a user environment can be tightly controlled. By verifying logon information in a traditional manner, such as control, it allows potential users to authenticate and authorize. In addition to running applications such as firewalls, antivirus software, and spyware detection programs, It improves security by controlling to restrict the data that users can access.
특히, 근무자가 이동하면서 업무를 수행하는 경우 모바일 단말기를 이용해 원격에서 기업 내부의 네트워크로 접속하는 경우가 늘어나고 있는데, 외근자의 접속 단말기가 제대로 관리가 되지 않아 외부에서 웜 또는 바이러스에 감염된 상태로 기업 네트워크에 접속하게 되면, 기업 네트워크에 웜 또는 바이러스를 감염시키는 경우 심각한 네트워크 장애를 발생시키게 되어 상기 네트워크 접근 제어방식을 이용한 기업 네트워크의 보안에 대한 필요성이 대두되고 있다.In particular, when a worker moves while performing work, more and more people are accessing the internal network from a remote location by using a mobile terminal. When connected to the network, if a worm or a virus infects the corporate network, a serious network failure occurs, and a necessity for security of the corporate network using the network access control method is emerging.
본 발명은 상기의 종래 문제점을 해결하기 위해 안출한 것으로, 원격지 클라이언트부의 사내 네트워크 접근 시 PKI에 기반을 둔 인증서와 헬스 체크정보를 확인하여 인증절차를 거치고, 인증과정을 거친 클라이언트부의 애플리케이션 서버 접근 시 실시간으로 이루어지는 IP 및 포트 기반의 필터링 기법으로 사용자의 접근에 대한 차단 또는 허용여부를 판단하여 비 인증된 IP 사용자의 접속을 차단하는 네트워크 필터링수단을 하드웨어적으로 구현함으로써 네트워크의 보안을 강화하는데 목적이 있다.The present invention has been made in order to solve the above-mentioned conventional problems, when accessing the in-house network of the remote client unit checks the certificate and health check information based on the PKI through the authentication process, when accessing the application server through the authentication process Real-time IP and port-based filtering technique is used to determine the blocking or permitting of user's access and to implement the network filtering means to block the unauthorized IP user's access in hardware. have.
상기의 목적을 달성하기 위하여 유·무선 인터넷으로 연결되어 사내 네트워크망의 특정 애플리케이션 서버에 접근 허가를 요청하는 클라이언트부와, 상기 클라이언트부에 대해 IP 필터링을 통한 네트워크 접근 제어를 통해 접근을 허용 또는 차단하는 애플리케이션 서버로 이루어지는 네트워크 접근 제어시스템에 있어서, 상기 클라이언트부에 설치되어 네트워크 필터링수단에 사용자 계정과 PKI에 기반을 둔 인증서 및 클라이언트부의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 소프트웨어적으로 구현된 클라이언트 에이전트; 애플리케이션 서버에 접속하기 위한 전 단계에 설치되어 인증서버부와 연동하여 수신된 사용자 인증정보를 토대로 하여 클라이언트부의 애플리케이션 서버에 접근을 허용 또는 차단하여 네트워크 접근 제어를 담당하는 네트워크 필터링수단; 상기 클라이언트부에 인증서의 발 급과 조회 및 폐기작업을 웹상에서 용이하게 제공하기 위한 GUI 환경으로 제공하는 인증 인터페이스부와, 네트워크 필터링수단과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버에 접근 요청을 하는 클라이언트부에 대한 사용자 인증절차를 수행하고, 인증기관부와 연동하여 인증서 발급을 요청하는 클라이언트부에 인증서가 발급되도록 관리하는 인증서버부와, 상기 인증서버부와 연동하여 Open SSL 기반으로 인증서의 발급 또는 폐기를 담당하는 인증기관부로 이루어지는 인증시스템부;의 구성으로 이루어지는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 구현하고자 한 것이다.In order to achieve the above object, the client unit is connected to the wired / wireless Internet and requests access to a specific application server of the company network, and the client unit is allowed or blocked through network access control through IP filtering. In the network access control system consisting of an application server, which is installed in the client unit and implemented in software to perform a user authentication procedure by providing a network filtering means based on the user account and PKI-based certificate and the client health check information Client agent; Network filtering means installed in a previous step for accessing an application server and controlling network access by allowing or blocking access to an application server of a client unit based on user authentication information received in association with an authentication server unit; An authentication interface unit for providing a GUI environment for easily issuing, inquiring and revocation of a certificate to the client unit on a web, and requesting an access request to an application server to provide user authentication information in association with a network filtering unit. A certificate server unit for performing a user authentication procedure for the client unit, and a certificate unit for managing the certificate is issued to the client unit requesting the certificate issuance in conjunction with the certification authority unit, and a certificate of the certificate based on the Open SSL in conjunction with the certificate server unit It is intended to implement a certificate-based network access control system using a network filtering device consisting of a configuration; the authentication system unit consisting of a certification authority responsible for issuance or revocation.
상기 클라이언트 에이전트는 포팅이 용이하도록 플랫폼 종속적인 코드를 가지지 않아 네트워크 필터링수단에 사용자 계정과 인증서 및 헬스 체크정보를 전송하여 인증을 담당하는 인증수행부; 윈도우즈에 종속적으로 구현되어 인증수행부에 구현된 함수를 호출하여 사용자 인증을 위해 사용자 계정을 입력할 수 있는 GUI 환경으로 제공되는 사용자 인터페이스부; 네트워크 환경에 악영향을 미칠 수 있는 클라이언트부의 웜 또는 바이러스 등의 감염 여부를 감시하는 헬스 체크부;의 구성으로 이루어진다.The client agent does not have a platform-dependent code to facilitate porting; an authentication performing unit configured to perform authentication by transmitting a user account, a certificate, and health check information to a network filtering unit; A user interface unit implemented as a dependency of Windows and provided as a GUI environment for inputting a user account for user authentication by calling a function implemented in the authentication execution unit; It consists of a health check unit for monitoring the infection of a worm or virus, such as a client portion that may adversely affect the network environment.
상기 네트워크 필터링수단은 유·무선 인터넷으로 세션을 형성해 연결되어 있는 클라이언트부의 클라이언트 에이전트와 사용자 인증절차에 관련된 데이터를 송·수신하는 접속부; 인증서버부의 필터링수단 관리부와 연동하여 접속부를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부로 전송하여 사용자 인증절차를 거치도록 하고, 상기 필터링수단 관리부를 통해 전송된 사용자 인증정 보를 수신하는 인증서버 연동부; 상기 인증서버 연동부를 통해 수신된 사용자 인증정보를 토대로 하여 필터링 수행부에 제어신호를 인가하여 그에 따라 해당 스크립트가 실행되어 애플리케이션 서버에 접근 제어에 따른 IP 필터링작업이 수행되게 제어하는 필터링 제어부; 상기 필터링 제어부의 제어신호를 인가받아 실행되는 브리지 적재 관리 스크립트, 필터링 관리 스크립트, NAT(Network Address Translation) 관리 스크립트, 접근 허가/차단 스크립트로 이루어져 인가된 클라이언트부에 한 해 접속 요청한 애플리케이션 서버로 접속될 수 있도록 하는 필터링 수행부;의 구성으로 이루어진다.The network filtering means includes: a connection unit for transmitting and receiving data related to a client agent and a user authentication procedure of a client unit connected to form a session through a wired or wireless Internet; In connection with the filtering means management unit of the authentication server unit transmits the user account, certificate and health check information received through the connection unit to the authentication server unit to undergo a user authentication procedure, and receives the user authentication information transmitted through the filtering means management unit Authentication server linkage unit; A filtering control unit which applies a control signal to a filtering execution unit based on user authentication information received through the authentication server interworking unit, and executes a corresponding script to perform an IP filtering operation according to access control to an application server; Bridge loading management script, filtering management script, network address translation (NAT) management script, and access permission / blocking script which are executed by receiving the control signal of the filtering control unit to be connected to the application server requesting access to the authorized client unit only. It is made of a configuration;
상기 인증서버부는 네트워크 필터링수단에 처음 접속한 클라이언트부에 공지된 회원 가입절차를 거쳐 사용자 등록하여 클라이언트 에이전트를 제공하고, 상기 클라이언트 에이전트와 네트워크 필터링수단 상호간에 연동되게 지원하는 에이전트 제공부; 상기 클라이언트 에이전트로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 네트워크 필터링수단을 통해 수신하여 인증서의 유효성을 판단하고, 헬스 체크정보를 통해 애플리케이션 서버에 피해를 줄 염려가 없는지를 판단한 후, 상기 클라이언트부에 대한 사용자 인증절차를 수행하는 인증 확인부; 인증기관부와 연동하여 클라이언트부의 인증서의 발급 및 폐기 요청 시, 인증기관부에 제어신호를 인가하여 그에 따른 인증서의 발급 및 폐기되도록 하는 인증기관 연동부; 상기 인증 확인부를 통해 수행된 사용자 인증정보를 네트워크 필터링수단으로 전송하여 애플리케이션 서버에 접속 요청한 클라이어언트부에 대한 IP 필터링작업을 수행할 수 있도록 하는 필터링수단 관리부; 네트워크 필터링수단에 처음 접속한 클라이언트부 의 사용자 정보를 소정의 분류체계에 따른 카테고리별로 분류하여 저장한 사용자 정보 데이터베이스부와, 인증기관부에서 발급된 인증서를 사용자 정보에 따른 카테고리별로 분류하여 저장한 인증서 데이터베이스부로 이루어진 데이터베이스 저장부;의 구성으로 이루어진다.The authentication server unit may provide a client agent through a user registration procedure known to a client unit that is first connected to a network filtering unit to provide a client agent, and provide an agent interworking with the client agent and the network filtering unit; After receiving the user account, certificate and health check information transmitted from the client agent through the network filtering means to determine the validity of the certificate, and after determining whether there is no risk of damage to the application server through the health check information, the client unit Authentication verification unit for performing a user authentication procedure for; An authentication authority interworking unit configured to apply a control signal to the certification authority to issue and revoke a certificate according to a control signal to the certification authority when requesting for issuance and revocation of a certificate of the client unit by interworking with the certification authority unit; A filtering means management unit which transmits user authentication information performed through the authentication confirmation unit to a network filtering unit so as to perform an IP filtering operation for a client unit requesting access to an application server; The user information database unit which classifies and stores the user information of the client unit first connected to the network filtering unit by category according to a predetermined classification system, and the certificate issued by the certification authority unit by classifying and storing the certificate issued by the certification unit by category. It consists of a database storage; consisting of a database unit.
본 발명은 클라이언트부가 사내 네트워크의 특정 애플리케이션 서버에 접근할 때, 상기 애플리케이션 서버의 전 단계에 설치되어 있는 네트워크 필터링수단을 통한 IP 필터링과정을 거쳐 접근 권한이 부여된 클라이언트부에 한 해 해당 애플리케이션 서버에 접근할 수 있도록 하되, 인증서버부와 연동하여 사용자 계정과 인증서 및 헬스 체크정보를 토대로 사용자 인증절차를 거친 후, 상기 네트워크 필터링수단을 통해 애플리케이션 서버에 접속 허가될 수 있도록 함으로써, 권한 없는 자의 침입 및 웜 또는 바이러스에 의한 감염을 미연에 방지하여 네트워크의 보안성을 향상시키도록 하는 효과가 있다.According to the present invention, when a client accesses a specific application server of an in-house network, the client server is granted an access right through an IP filtering process through a network filtering means installed in a previous step of the application server. In order to access, but through the user authentication process based on the user account, certificate and health check information by interworking with the authentication server unit, by allowing access to the application server through the network filtering means, intrusion of unauthorized persons and It is effective to prevent the infection by worm or virus in advance to improve the security of the network.
이하, 도면을 참조하여 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 대하여 상세히 설명한다.Hereinafter, a certificate-based network access control system using the
도1은 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템의 전체 구성도이고, 도2는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워트 접근 제어시스템의 클라이언트부(10)를 도시한 내부 구성도이고, 도3은 본 발명에 적용되는 네트워크 필터링장 치(30)를 이용한 인증서 기반 네트워트 접근 제어시스템의 인증시스템부(40)를 도시한 내부 구성도이고, 도4는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 처음 인증서를 발급받는 사용자의 인증과정을 도시한 흐름도이고, 도5는 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 클라이언트부(10)에 인증서가 있는 사용자의 인증과정을 도시한 흐름도이고, 도6은 본 발명에 적용되는 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 변경된 클라이언트부(10)에 인증서가 있는 사용자의 인증과정을 도시한 흐름도이다.1 is an overall configuration diagram of a certificate-based network access control system using the
도시된 바와 같이 원격지에 있는 클라이언트부(10)가 클라이언트 에이전트(20)를 통해 네트워크상의 특정 애플리케이션 서버(80)에 접속하려고 할 때, 네트워크 필터링수단(30)을 통해 사용자 계정과 인증서를 이용한 인증절차를 거쳐 접근 권한을 부여받은 후, 해당 애플리케이션 서버(80)에 접속할 수 있도록 하고, 상기 네트워크 필터링수단(30)에 처음 접속하는 클라이언트부(10)는 인증시스템부(40)를 통해 사용자 정보를 등록하여 인증서를 발급받은 후, 상기 인증서를 이용해 인증절차를 거쳐 해당 애플리케이션 서버(80)에 접속할 수 있도록 구성한다.As illustrated, when the
본 발명은 전체적으로 Open SSL(Secure Socket Layer) 기반으로 실행되게 구성하는데, Open SSL 자체는 윈도우와 리눅스에 모두 동작하므로 서버나 클라이언트부의 포팅이 비교적 용이하고, 상기 클라이언트 에이젼트(20)는 윈도우에서 동작되게 형성하되, 사용자 인터페이스부(21)는 윈도우즈 종속적이지만 인증수행부(22)는 플랫폼 비종속적인 코드로 구성하여 분리 가능한 형태로 이루어지고, 인증시스템부(40)와 네트워크 필터링수단(30)은 리눅스 기반으로 동작되게 구성한다.The present invention is configured to be executed based on Open SSL (Secure Socket Layer) as a whole. Since Open SSL itself operates on both Windows and Linux, porting of a server or a client part is relatively easy, and the
상기 클라이언트부(10)는 클라이언트 에이전트(20)를 설치하여 원격지에서 사내 네트워크망의 애플리케이션 서버(80)에 접속하기 위한 클라이언트용 단말기, 즉 유선 인터넷에 연결되어 있는 노트북 또는 데스크탑과 같은 클라이언트용 컴퓨터와 무선 인터넷에 연결 가능한 이동통신 단말기로 이루어진다.The
상기 클라이언트 에이전트(20)는 네트워크 필터링수단(30)에 사용자 계정과 PKI에 기반을 둔 인증서와 클라이언트부(10)의 헬스 체크정보를 제공하여 사용자 인증절차를 수행하도록 원격지에 있는 클라이언트부(10)에 소프트웨어적으로 구현된 것으로, 사용자 인터페이스부(21)와 인증수행부(22) 및 헬스 체크(Health Check)부(23)로 이루어진다.The
상기 사용자 인터페이스부(21)는 윈도우즈 폼즈(Windows Form)로 제작하여 윈도우즈에 종속적으로 구현되며, 인증을 위한 인증수행부(22)에 구현된 함수를 호출하여 네트워크 필터링수단(30)을 통해 인증받기 위해 사용자 이름과 패스워드 또는 암호화된 사용자 개인 열쇠를 읽기 위한 암호문을 입력할 수 있는 GUI(Graphical User Interface)환경으로 이루어지고, 상기 인증수행부(22)는 포팅이 용이하도록 플랫폼 종속적인 코드를 가지지 않아 네트워크 필터링수단(30)에 사용자 계정과 인증서 디렉토리에 저장된 PKI에 기반을 둔 인증서 및 헬스 체크정보를 전송하여 인증을 담당하게 되고, DLL(dynamic link library)파일로 빌드되어 인증서 실행파일과 같이 실행되게 구성하고, 상기 헬스 체크부(23)는 사내 네트워크 망에 접속하려는 클라이언트부(10)의 건강 상태, 즉 네트워크 환경에 악영향을 미칠 수 있는 웜 또는 바이러스 등에 감염 여부를 감시하여 그에 따른 헬스 체크정보를 네트워크 필터링수단(30)으로 전송할 수 있도록 한다.The
상기 네트워크 필터링수단(30)은 애플리케이션 서버(80)에 접속하기 위한 전 단계에 설치되어 인증서버부(60)와 연동하여 클라이언트부(10)의 접근 권한을 부여하기 위한 인증절차를 수행하여 실제 접근 제어를 담당하는 것으로, 접속부(31), 인증서버 연동부(32), 필터링 제어부(33), 필터링 수행부(34)로 이루어진다.The network filtering means 30 is installed in the previous step for accessing the
상기 접속부(31)는 유·무선 인터넷으로 세션을 형성해 연결되어 있는 클라이언트부(10)의 클라이언트 에이전트(20)와 사용자 인증절차에 관련된 데이트를 송·수신할 수 있도록 하되, 상기 클라이언트부(10)에 인증서를 가지고 있지 않은 경우 인증서버부(60)에 접속하여 클라이언트 에이전트(20)를 다운로드 받은 후, 인증서를 발급받을 수 있도록 하고, 상기 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 애플리케이션 서버(80)에 접근하기 위한 인증절차가 수행될 수 있도록 한다.The
상기 인증서버 연동부(32)는 인증서버부(60)의 필터링수단 관리부(64)와 연동하여 필터링작업에 대한 명령어를 인가받을 수 있도록 하는데, 상기 접속부(31)를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 사용자 인증절차를 거치도록 한 후, 상기 필터링수단 관리부(64)를 통해 제공된 사용자 인증정보를 수신한다.The authentication
상기 필터링 제어부(33)는 인증서버 연동부(32)를 통해 인가받은 명령어, 사 용자 인증정보를 토대로 하여 브리지(bridge)와 넷필터(netfilter)의 기능을 수행하기 위한 래퍼(wrapper)로 이루어져 실제 IP 필터링작업이 구현될 수 있도록 하는데, 상기 인증서버 연동부(32)를 통해 수신된 사용자 인증정보를 토대로 하여 필터링 수행부(34)에 제어신호를 인가하여 그에 따른 각 스크립트가 실행되어 애플리케이션 서버(80)에 접근 허가에 따른 IP 필터링작업이 수행될 수 있도록 한다.The
상기 필터링 수행부(34)는 리눅스 커널(Linux kernel)에 있는 넷필터(netfilter)와 브리지(bridge)의 유틸리티(utility)를 사용하는 스크립트, 즉 브리지 적재 관리 스크립트, 필터링 관리 스크립트, NAT(Network Address Translation) 관리 스크립트, 접근 허가/차단 스크립트로 이루어져 특정 IP 및 포트에 대한 접근 권한 부여, 네트워크 주소 변환, 포트 포워딩 등의 기능을 수행하여 인가된 클라이언트부(10)에 한 해 접근하기 원하는 애플리케이션 서버(80)로 접속될 수 있도록 한다.The
상기 브리지 적재 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 때 동작되어 브리지의 기능을 정상적으로 수행할 수 있도록 하는데, 이더넷 디바이스(ethernet device)의 이름이 바뀌는 것과 같이 하드웨어나 운영체제에 변경이 있는 경우 그에 따라 수정이 이루어지도록 하고, 상기 필터링 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 때 동작되어 필터링 제어부(33)에서 전송된 제어신호를 인가받아 기 설정된 조건에 따른 IP 필터링 작업을 수행할 수 있도록 하고, 상기 NAT 관리 스크립트는 네트워크 필터링수단(30)이 처음 실행될 대 동작되어 필터링 제어부(33)에서 전송된 제어신호를 인가받아 기 설정된 조건에 따른 주 소 변환작업을 수행할 수 있도록 하고, 상기 접근 허가/차단 스크립트는 필터링 제어부(33)에서 전송된 제어신호를 인가받아 애플리케이션 서버(80)에 접근 요청하는 클라이언트부(10)에 대해 접근 허가 또는 접근 차단될 수 있도록 한다.The bridge loading management script is operated when the network filtering means 30 is executed for the first time so as to perform a bridge function normally. If there is a change in hardware or an operating system such as an Ethernet device being renamed, Modification is made according to the above, and the filtering management script is operated when the network filtering means 30 is first executed to receive the control signal transmitted from the
상기 인증시스템부(40)는 네트워크 필터링수단(30)과 연동하여 클라이언트부(10)에서 전송된 사용자 계정 및 인증서의 무결성과 유효성을 검사하여 인증절차를 수행할 수 있도록 인증에 관련된 정보를 제공해 주고, 인증서의 발급 및 파기작업을 수행하는 수단으로, 인증 인터페이스부(50), 인증서버부(60) 및 인증기관부(70)로 이루어진다.The
상기 인증 인터페이스부(50)는 사내 네트워크망의 애플리케이션 서버(80)에 처음 접속하려는 클라이언트부(10)에게 웹상에서 용이하게 인증서를 발급하기 위한 GUI 환경으로 이루어지고, 상기 클라이언트부(10)의 인증서에 대한 조회 및 폐기 요청도 용이하게 이루어지도록 제공한다.The
상기 인증서버부(60)는 네트워크 필터링수단(30)과 연동하여 사용자 인증정보를 제공하기 위해 애플리케이션 서버(80)에 접근 요청을 하는 클라이언트부(10)에 대한 사용자 인증절차를 수행하고, 인증기관부(70)와 연동하여 인증서 발급을 요청하는 클라이언트부(10)에 인증서를 발급할 수 있도록 관리하는 것으로, 이를 구현하기 위한 내부적 구성은 에이전트 제공부(61), 인증 확인부(62), 인증기관 연동부(63), 필터링수단 관리부(64) 및 데이터베이스 저장부(65)로 이루어진다.The
상기 에이전트 제공부(61)는 네트워크 필터링수단(30)을 통해 애플리케이션 서버(80)에 접근하기 원하는 클라이언트부(10)가 처음 접속한 경우 공지된 회원가 입절차를 거쳐 사용자 정보를 데이터베이스부에 등록시킨 후, 본 발명에 의한 네트워크 접근 제어서비스가 제공될 수 있는 기본적인 환경인 클라이언트 에이전트(20)를 다운로드시켜 클라이언트부(10), 즉 클라이언트용 컴퓨터의 모니터상이 디스플레이될 수 있도록 함으로써, 상기 클라이언트 에이전트(20)와 네트워크 필터링수단(30) 상호간에 연동되게 지원한다.The
상기 인증 확인부(62)는 클라이언트부(10)가 클라이언트 에이전트(20)를 통해 인증서 발급을 요청하는 경우 사용자 계정을 확인하여 인증기관부(70)를 통해 PKI에 기반을 둔 인증서 발급이 이루어지게 하고, 상기 클라이언트부(10)가 네트워크 필터링수단(30)을 통해 애플리케이션 서버(80)에 접속을 원하는 경우 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 네트워크 필터링수단(30)을 통해 수신하여 인증서의 유효성을 판단하고, 헬스 체크된 정보를 이용하여 애플리케이션 서버(80)에 피해를 줄 염려가 없는지를 판단하여 상기 클라이언트부(10)에 대한 접근 허가 여부에 따른 인증절차를 수행할 수 있도록 한다.When the
상기 인증기관 연동부(63)는 인증기관부(70)와 연동하여 클라이언트부(10)로부터 인증서의 발급 및 폐기 요청 시, 인증기관부(70)에 제어신호를 인가하여 그에 따른 인증서의 발급 및 폐기작업이 수행될 수 있도록 한다.The certification
상기 필터링수단 관리부(64)는 인증 확인부(62)를 통해 수행된 사용자 인증정보, 즉 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 가진 클라이언트부(10)가 애플리케이션 서버(80)에 접근 권한이 부여된 유효한 사용자인지에 대한 정보를 네트워크 필터링수단(30)으로 전송하여 클라이언 트부(10)에 대한 IP 필터링작업을 수행할 수 있도록 한다.The filtering means
상기 데이터베이스 저장부(65)는 사용자 정보 데이터베이스부(65a)와 인증서 데이터베이스부(65b)로 이루어지는데, 상기 사용자 정보 데이터베이스부(65a)는 처음 접속한 클라이언트부(10)에 대한 회원 가입절차를 거쳐 사용자의 개인정보를 소정의 분류체계에 따른 카테고리별로 분류하여 저장하고, 상기 인증서 데이터베이스부(65b)는 인증기관부(70)에서 발급된 인증서를 사용자 정보에 따른 카테고리별로 분류하여 저장한다.The
상기 인증기관부(70)는 Open SSL 기반으로 인증서의 발급 또는 파기를 담당하는 것으로, 클라이언트 에이전트(20)를 통한 인증서 발급 요청 시, 사용자정보 데이터베이스부(65a)에 등록되어 있는 사용자인지를 확인한 후, 그에 따른 인증서를 발급한 후, 발급된 인증서를 저장하여 관리할 수 있도록 한다.The
이상과 같이 본 발명의 일실시예에 의해 구성된 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템의 작용에 대하여 설명한다.The operation of the certificate-based network access control system using the
[실시예 1(클라이언트부의 최초 접속)]Example 1 (First Connection of Client Part)
본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 최초 접속하는 클라이언트부(30)의 사용자 인증과정을 살펴보면, 도4에 도시된 바와 같이 사용자가 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)가 존재하는지를 확인한 후, 상기 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 접속시킨다.Looking at the user authentication process of the
상기 인증시스템부(40)는 인증 인터페이스부(50)를 통해 클라이언트 에이전트(20)의 다운로드 및 인증서의 발급을 웹상에서 용이하게 구현될 수 있도록 클라이언트부(10)에 제공하는데, 상기 클라이언트부(10)는 인증서버부(60)를 통해 공지된 회원가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한다.The
상기 클라이언트부(10)는 클라이언트 에이전트(20)를 통해 사용자 계정을 입력하여 인증서의 발급을 요청하면, 상기 인증서버부(60)의 인증확인부(62)는 사용자 정보 데이터베이스부(65a)에 등록된 클라이언트부(10)의 사용자 계정을 확인한 후, 인증기관부(70)를 통해 PKI에 기반을 둔 클라이언트부(10)의 고유 식별코드가 부여된 인증서를 발급하여 클라이언트부(10)에 제공한다.When the
상기 클라이언트부(10)는 클라이언트 에이전트(20)를 통해 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송하는데, 이 때 상기 클라이언트 에이전트(20)는 사용자 계정과 인증서 정보 및 웜 또는 바이러스 등을 체크한 헬스 체크정보를 동시에 전송할 수 있도록 하고, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하되, 상기 접속부(31)는 클라이언트 에이전트(20)에서 전송된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버 연동부(32)로 전송한다.The
상기 인증서버 연동부(32)는 접속부(31)를 통해 수신된 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하고, 상기 인증서버부(60)의 인증확인부(62)는 인증서버 연동부(32)를 통해 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신한 후, 사용자 정보 데이터베이스부(65a) 및 인증서 데이터베이스부(65b)와 연동하여 사용자 계정에 따른 인증서의 유효성을 판단하고, 헬스 체크된 정보를 통해 애플리케이션 서버(80)에 웜 또는 바이러스의 감염에 따른 피해를 줄 염려가 없는지를 판단한 후, 상기 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가 또는 차단할지에 대한 사용자 인증절차를 수행할 수 있도록 한다.The authentication
상기 인증서버부(60)의 필터링수단 관리부(64)는 인증 확인부(62)를 통해 수행된 사용자 인증정보를 토대로 하여 클라이언트부(10)가 애플리케이션 서버(80)에 접근 권한이 부여된 사용자인지 유효 여부에 따른 접근 허가 또는 차단의 제어신호를 네트워크 필터링수단(30)으로 전송하여 클라이언트부(10)에 대한 IP 필터링작업을 통한 네트워크 접근 제어가 이루어질 수 있도록 한다.The filtering means
상기 네트워크 필터링수단(30)의 인증서버 연동부(32)는 인증서버부(60)의 필터링수단 관리부(64)에서 전송된 사용자 인증정보에 따른 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가 또는 차단의 명령어신호를 수신하고, 필터링 제어부(33)는 인증서버 연동부(32)에서 수신된 사용자 인증정보에 따른 접근 허가 또 는 차단의 명령어신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.The authentication
즉, 상기 인증서버 연동부(32)에서 수신된 사용자 인증정보가 클라이언트부(10)의 애플리케이션 서버(80)에 접근을 차단하는 명령어신호인 경우, 상기 필터링 제어부(33)는 필터링 수행부(34)의 접근 차단 스크립트를 구동하여 애플리케이션 서버(80)의 접근을 차단될 수 있도록 하되, 필터링 관리 스크립트를 구동하여 기설정된 조건에 따라 클라이언트부(10)의 IP 필터링 작업이 수행되거나 상기 클라이언트부(10)가 접속된 포트 80을 차단시켜 애플리케이션 서버(80)에 접근을 제한할 수 있도록 한다.That is, when the user authentication information received from the authentication
또한, 상기 인증서버 연동부(32)에서 수신된 사용자 인증정보가 클라이언트부(10)의 애플리케이션 서버(80)에 접근을 허가하는 명령어신호인 경우, 상기 필터링 제어부(33)는 필터링 수행부(34)의 접근 허가 스크립트를 구동하여 애플리케이션 서버(80)의 접근을 허가할 수 있도록 하되, NAT 관리 스크립트를 구동하여 기 설정된 조건에 따라 주소 변환작업을 수행하여 상기 클라이언트부(10)가 애플리케이션 서버(80)에 접속이 될 수 있도록 한다.In addition, when the user authentication information received from the authentication
[실시예 2(클라이언트부에 인증서 존재)]Example 2 (Certificate Exists in Client Part)
본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 인증서를 가진 클라이언트부(10), 즉 클라이언트용 컴퓨터 또는 이동통신 단말기에 인증서버부를 통해 발급된 인증서가 존재하는 경우의 사용자 인 증과정을 살펴보면, 도5에 도시된 바와 같이 사용자자 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)의 존재여부를 확인한다.A user in a certificate-based network access control system using the
상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 연결되어 인증 인터페이스부(50)를 통해 공지된 회원 가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한 후, 다시 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송한다.If the
상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하는 경우 상기 네트워크 필터링수단(30)의 접속부(31)는 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 인증서버 연동부(32)로 전송하고, 상기 인증서버 연동부(32)는 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하는데, 상기 인증서버부(60)의 사용자 인증을 위한 프로세스의 진행과정은 도3에서 설명한 방식과 동일하여 더 이상의 설명은 생략하기로 한다.If the
상기 인증서버부(60)를 통한 사용자 인증정보는 네트워크 필터링수단(30)의 인증서버 연동부(32)에서 수신한 후, 필터링 제어부(33)는 인증서버 연동부(32)에 서 수신한 사용자 인증정보에 따른 접근 허가 또는 차단의 명령어 신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.After the user authentication information through the
[실시예 3(클라이언트부의 변경)Example 3 (Change of Client Part)
본 발명에 의한 네트워크 필터링장치(30)를 이용한 인증서 기반 네트워크 접근 제어시스템에 변경된 클라이언트부(10), 즉 인증서버부(60)를 통해 발급된 인증서를 가진 사용자가 최초 인증서가 발급된 클라이언트부(10)가 아닌 변경된 클라이언트부(10)를 이용한 사용자 인증과정을 살펴보면, 도6에 도시된 바와 같이 사용자가 변경된 클라이언트부(10)를 통해 유·무선 인터넷으로 연결되어 있는 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해 접속 요청신호를 전송하면, 상기 애플리케이션 서버(80)의 전 단계에 설치되어 있는 네트워크 필터링수단(30)의 접속부(31)에서 변경된 클라이언트부(10)의 접속 요청신호를 수신하고, 상기 접속부(31)는 클라이언트부(10)에 인증절차 수행하기 위한 클라이언트 에이전트(20)의 존재여부를 확인한다.In the certificate-based network access control system using the
상기 변경된 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하지 않는 경우 인증시스템부(40)로 연결되어 인증 인터페이스부(50)를 통해 공지된 회원 가입절차를 거쳐 사용자 정보를 데이터베이스부에 등록한 후, 에이전트 제공부(61)를 통해 클라이언트 에이전트(20)를 다운로드 받아 클라이언트부(10)에 설치한 후, 다시 애플리케이션 서버(80)에 접속하기 위한 접속 요청신호를 전송한다.If the
상기 클라이언트부(10)에 클라이언트 에이전트(20)가 존재하는 경우 상기 네 트워크 필터링수단(30)의 접속부(31)는 클라이언트 에이전트(20)로부터 전송된 사용자 계정과 인증서 및 헬스 체크정보를 수신하여 인증서버 연동부(32)로 전송하고, 상기 인증서버 연동부(32)는 사용자 계정과 인증서 및 헬스 체크정보를 인증서버부(60)로 전송하여 애플리케이션 서버(80)에 접근하기 위한 사용자 인증절차를 거치도록 하는데, 상기 인증서버부(60)의 사용자 인증을 위한 프로세스의 진행과정은 도3에서 설명한 방식과 동일하여 더 이상의 설명은 생략하기로 한다.When the
상기 인증서버부(60)를 통한 사용자 인증정보, 즉 인증서의 유효성이 확인되어 클라이언트부(10)의 애플리케이션 서버(80)에 접근 허가된 경우 사용자의 동일성을 한 번 더 확인하는 절차인 사용자 계정, 즉 사용자 ID와 패스워드를 입력을 요구하여 사용자 정보 데이터베이스부(65a)에 등록된 사용자인지를 확인하고, 사용자의 동일성이 확인되면, 필터링 제어부(33)는 인증서버 연동부(32)에서 수신한 사용자 인증정보에 따른 접근 허가 또는 차단의 명령어 신호를 분석한 후, 필터링 수행부(34)의 각 스크립트를 구동하여 사용자 인증정보에 따라 클라이언트부(10)의 애플리케이션 서버(80)의 접근 허가 또는 차단할 수 있도록 한다.User authentication information through the
이상과 같이 본 발명은 원격지에 있는 클라이언트부(10)가 사내 네트워크망의 특정 애플리케이션 서버(80)에 접속하기 위해서는 상기 애플리케이션 서버(80)의 전 단계에 설치된 네트워크 필터링장치(30)를 통한 사용자 인증절차를 통과한 후, 애플리케이션 서버(80)에 접속할 수 있도록 하여 사내 네트워크망의 보안성과 안정성을 향상시키도록 한 것으로, 이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니다.As described above, in order to access the
도1은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템의 전체 구성도1 is an overall configuration of a certificate-based network access control system using a network filtering device applied to the present invention
도2는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워트 접근 제어시스템의 클라이언트부를 도시한 내부 구성도2 is a diagram illustrating an internal configuration of a client unit of a certificate-based network access control system using a network filtering device according to the present invention.
도3은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워트 접근 제어시스템의 인증시스템부를 도시한 내부 구성도3 is an internal configuration diagram illustrating an authentication system unit of a certificate-based network access control system using a network filtering device according to the present invention.
도4는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 처음 인증서를 발급받는 사용자의 인증과정을 도시한 흐름도Figure 4 is a flow chart showing the authentication process of the user issuing the first certificate using the certificate-based network access control system using a network filtering apparatus applied to the present invention
도5는 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 클라이언트부에 인증서가 있는 사용자의 인증과정을 도시한 흐름도5 is a flowchart illustrating an authentication process of a user having a certificate in a client unit using a certificate-based network access control system using a network filtering device according to the present invention.
도6은 본 발명에 적용되는 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템을 이용한 변경된 클라이언트부에 인증서가 있는 사용자의 인증과정을 도시한 흐름도6 is a flowchart illustrating an authentication process of a user with a certificate in a changed client unit using a certificate-based network access control system using a network filtering apparatus applied to the present invention.
*도면의 주요부분에 대한 부호설명** Description of Signs of Main Parts of Drawings *
10. 클라이언트부 20. 클라이언트 에이전트10.
21. 사용자 인터페이스부 22. 인증 수행부21.
23. 헬스 체크부 30. 네트워크 필터링수단23.
31. 접속부 32. 인증서버 연동부31.
33. 필터링 제어부 34. 필터링 수행부33.
40. 인증시스템부 50. 인증 인터페이스부40.
60. 인증서버부 61. 에이전트 제공부60.
62. 인증 확인부 63. 인증기관 연동부62.
64. 필터링수단 관리부 65. 데이터베이스 저장부64. Filtering means
65a. 사용자 정보 데이터베이스부 65b. 인증서 데이터베이스부65a. User Information Database Section 65b. Certificate database section
70. 인증기관부 80. 애플리케이션 서버70.
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039563A KR101009261B1 (en) | 2009-05-07 | 2009-05-07 | Certificate-based network access control system using network filtering device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090039563A KR101009261B1 (en) | 2009-05-07 | 2009-05-07 | Certificate-based network access control system using network filtering device |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100120758A KR20100120758A (en) | 2010-11-17 |
KR101009261B1 true KR101009261B1 (en) | 2011-01-25 |
Family
ID=43406201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090039563A KR101009261B1 (en) | 2009-05-07 | 2009-05-07 | Certificate-based network access control system using network filtering device |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101009261B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9137234B2 (en) * | 2012-03-23 | 2015-09-15 | Cloudpath Networks, Inc. | System and method for providing a certificate based on granted permissions |
KR102040227B1 (en) * | 2018-02-02 | 2019-11-04 | 박승필 | Method and system for evaluating security effectiveness between device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001268075A (en) * | 2000-03-17 | 2001-09-28 | Kyocera Communication Systems Co Ltd | User authentication system |
KR100432103B1 (en) * | 2001-08-31 | 2004-05-17 | 주식회사 안랩유비웨어 | An authentication and authorization service system |
-
2009
- 2009-05-07 KR KR1020090039563A patent/KR101009261B1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001268075A (en) * | 2000-03-17 | 2001-09-28 | Kyocera Communication Systems Co Ltd | User authentication system |
KR100432103B1 (en) * | 2001-08-31 | 2004-05-17 | 주식회사 안랩유비웨어 | An authentication and authorization service system |
Also Published As
Publication number | Publication date |
---|---|
KR20100120758A (en) | 2010-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7627896B2 (en) | Security system providing methodology for cooperative enforcement of security policies during SSL sessions | |
US9485254B2 (en) | Method and system for authenticating a security device | |
US7836493B2 (en) | Proxy server security token authorization | |
US8359464B2 (en) | Quarantine method and system | |
EP2404428B1 (en) | A system and method for providing security in browser-based access to smart cards | |
Navas et al. | Understanding and mitigating OpenID Connect threats | |
US20050132229A1 (en) | Virtual private network based on root-trust module computing platforms | |
US20090199009A1 (en) | Systems, methods and computer program products for authorising ad-hoc access | |
JP2019536157A (en) | System and method for transparent multi-factor authentication and security approach posture check | |
CN100512107C (en) | Security identification method | |
KR102020178B1 (en) | Fire wall system for dynamic control of security policy | |
CN116032533A (en) | Remote office access method and system based on zero trust | |
US9021253B2 (en) | Quarantine method and system | |
CN112016073B (en) | Construction method of server zero trust connection architecture | |
KR101009261B1 (en) | Certificate-based network access control system using network filtering device | |
KR102148452B1 (en) | System for security network Using blockchain and Driving method thereof | |
WO2020002870A1 (en) | Methods for delivering an authenticatable management activity to remote devices | |
Kim et al. | Secure user authentication based on the trusted platform for mobile devices | |
KR102284183B1 (en) | Access control system and method using SQL tool based on web | |
WO2015078500A1 (en) | Method and system for secure execution of web applications for mobile devices | |
Cordis et al. | Considerations in Mitigating Kerberos Vulnerabilities for Active Directory | |
GB2474036A (en) | Providing secure access to a computer network | |
Tank et al. | Security analysis of OpenStack keystone | |
RU2722393C2 (en) | Telecommunication system for secure transmission of data in it and a device associated with said system | |
CN118074985A (en) | Browser file management and control method, system, device and readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140113 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |