KR101092596B1 - 네트워크 접근 제어 시스템 및 방법 - Google Patents

네트워크 접근 제어 시스템 및 방법 Download PDF

Info

Publication number
KR101092596B1
KR101092596B1 KR1020100090376A KR20100090376A KR101092596B1 KR 101092596 B1 KR101092596 B1 KR 101092596B1 KR 1020100090376 A KR1020100090376 A KR 1020100090376A KR 20100090376 A KR20100090376 A KR 20100090376A KR 101092596 B1 KR101092596 B1 KR 101092596B1
Authority
KR
South Korea
Prior art keywords
client
network
location
control server
access
Prior art date
Application number
KR1020100090376A
Other languages
English (en)
Inventor
송성대
신지선
김승국
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100090376A priority Critical patent/KR101092596B1/ko
Application granted granted Critical
Publication of KR101092596B1 publication Critical patent/KR101092596B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

네트워크 접근 제어 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법은, 네트워크 제어 서버가 클라이언트의 위치 및 접속 시간을 반영하여 네트워크 접근 정책을 설정하고, 위치 추적 시스템이 상기 클라이언트의 위치를 실시간으로 추적한다. 그 후, 클라이언트의 네트워크 접속 요청 시, 상기 네트워크 제어 서버가 상기 클라이언트의 위치 및 접속 시간을 확인하여 그에 대응하는 네트워크 접근 정책을 적용한다.

Description

네트워크 접근 제어 시스템 및 방법{NETWORK ACCESS CONTROL SYSTEM AND METHOD}
본 발명의 실시예는 네트워크 접근 제어에 관한 것으로, 보다 상세하게는 클라이언트가 접속한 장소 및 시간을 반영하여 클라이언트의 네트워크 접근을 제어하는 기술에 관한 것이다.
최근 정보 통신 기술이 빠르게 발전함에 따라 그에 따른 역기능도 동시에 대두되고 있다. 예를 들어, 네트워크의 확대 보급에 따른 정보 교환 및 공유로 인하여 정보의 불법적이고 무차별적인 접근이 증가하고 있어 네트워크 보안이 중요한 사회 문제로 떠오르고 있다.
기존의 웜 또는 바이러스 등의 침입을 막기 위한 네트워크 보안 방식은 내/외부 네트워크 경계에서 방화벽을 설치하고, 침입 탐지 시스템(IDS : Intrusion Detection System) 및 침입 방지 시스템(IPS : Intrusion Protection System)과 같은 솔루션을 설치하는 것이었다.
그러나, 유/무선 네트워크 기술의 빠른 발전, 접속 단말의 다양화, 모바일 환경의 일반화, 및 기업 비지니스 환경의 확대 등으로 인하여 인터넷 관문에서 네트워크 침해를 막는 것에는 한계가 있다.
예를 들어, 무방비 상태에 있는 취약한 노트북이나 집 또는 출장지 등의 원격지 컴퓨터를 이용해 기업 내부 네트워크에 접근하는 경우, 접속하는 단말(즉, 사용자단)의 어디에서 감염이 시작되어 확산되었는지 여부조차 파악하기 어렵다. 또한, 접속하는 단말에 안티 바이러스나 개인 방화벽과 같은 보안 체계를 마련한다 해도, 운영 체계(OS)에 적절한 보안 패치를 설치하지 않았거나 보안 제품을 업데이트하지 않는 등 보안 관리가 취약한 경우, 보안 공격에 이용당하는 상황이 빈번히 발생하고 있다.
이렇게 사용자단의 보안 관리가 취약하고 허술한 틈을 타서 사용자 PC를 이용해 서버 시스템이나 네트워크를 공격하는 방식이 두드러지고 있으며, 따라서 네트워크 보안 관리를 위해서는 사용자단이 네트워크 수준에서 관리되어져야 할 필요가 있게 된다.
이를 위해, 네트워크 접근 제어(NAC : Network Access Control) 기술이 개발되었다. 네트워크 접근 제어(NAC)는 클라이언트의 보안 기술과 네트워크 보안 체계를 결합하여 전체 네트워크에 통합 보안 체계를 구축한 기술로, 네트워크에 접근하는 모든 접속 단말에 일정 수준의 보안 정책을 부여하여 보안성을 강제화한다.
상기 네트워크 접근 제어 기술에 의하면, 네트워크에 접속하려는 접속 단말의 상태가 보안 정책에 일치할 때에만 네트워크 접근 권한을 부여하고, 그렇지 않은 경우 접속 단말의 접속을 차단하거나 격리 조치시킴으로써, 사용자단을 포괄한 네트워크 보안 체제를 구축할 수 있다.
그러나, 기존의 네트워크 접근 제어의 보안 정책은 한 번 보안 정책이 정하여지면, 해당 보안 정책이 모든 상황에 획일적으로 적용되어 운용의 묘를 살릴 수 없다는 문제점이 있다.
본 발명의 실시예는 클라이언트의 접속 위치 및 시간을 반영하여 다양한 보안 정책을 수립하고 적용할 수 있는 네트워크 접근 제어 시스템 및 방법을 제공하고자 한다.
본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템은, 네트워크에 접속을 요청하는 클라이언트; 상기 클라이언트의 위치를 추적하는 위치 추적 시스템; 상기 클라이언트의 위치 및 접속 시간 중 하나 이상을 반영하여 네트워크 접근 정책을 설정하며, 상기 클라이언트의 네트워크 접속 요청 시 상기 클라이언트의 위치 및 접속 시간 중 하나 이상을 확인하여 해당 네트워크 접근 정책을 적용하는 네트워크 제어 서버; 및 상기 클라이언트 및 상기 네트워크 제어 서버를 중계하는 네트워크 액세스 포인트를 포함한다.
본 발명의 일 실시예에 따른 네트워크 접근 제어 방법은, (A) 네트워크 제어 서버가 클라이언트의 위치 및 접속 시간 중 하나 이상을 반영하여 네트워크 접근 정책을 설정하는 단계; (B) 위치 추적 시스템이 상기 클라이언트의 위치를 추적하는 단계; 및 (C) 상기 클라이언트의 네트워크 접속 요청 시, 상기 네트워크 제어 서버가 상기 클라이언트의 위치 및 접속 시간 중 하나 이상을 확인하고, 상기 확인한 클라이언트의 위치 및 접속 시간에 대응하는 네트워크 접근 정책을 적용하는 단계를 포함한다.
본 발명의 실시예들에 의하면, 클라이언트(즉, 사용자)의 위치 및 접속 시간을 고려하여 네트워크 접근 정책을 적용함에 따라, 보안 관리에 있어 운용의 묘를 살릴 수 있으며, 회사 내의 내부 보안을 강화 할 수 있다.
이때, 회사 내에서 클라이언트의 위치를 실시간으로 추적하고, 클라이언트의 네트워크 접속 시 클라이언트의 위치 및 접속 시간에 따라 네트워크 접근 정책을 적용하기 때문에, 회사 내 출입 장비를 수동으로 점검할 필요가 없어 그에 따른 비용 소모를 줄일 수 있게 된다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템의 구성을 나타낸 도면.
도 2는 본 발명의 일 실시예에 따른 위치 추적 시스템의 구성을 나타낸 도면.
도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법을 나타낸 순서도.
이하, 도 1 내지 도 3을 참조하여 본 발명의 네트워크 접근 제어 시스템 및 방법의 구체적인 실시예를 설명하기로 한다. 그러나 이는 예시적 실시예에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
이하의 설명에 있어서, 신호 또는 정보의 "전송", "통신", "송신", "수신" 기타 이와 유사한 의미의 용어는 일 구성요소에서 다른 구성요소로 신호 또는 정보가 직접 전달되는 것뿐만이 아니라 다른 구성요소를 거쳐 전달되는 것도 포함한다. 특히, 신호 또는 정보를 일 구성요소로 "전송" 또는 "송신"한다는 것은 그 신호 또는 정보의 최종 목적지를 지시하는 것이고 직접적인 목적지를 의미하는 것이 아니다. 이는 신호 또는 정보의 "수신"에 있어서도 동일하다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 네트워크 접근 제어 시스템(100)은 클라이언트(102), 네트워크 액세스 포인트(Network Access Point : NAP)(104), 위치 추적 시스템(106), 및 네트워크 제어 서버(108)를 포함한다.
상기 클라이언트(102)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치로, 사용자가 네트워크에 접속하기 위해 사용하는 기기를 말한다.
상기 클라이언트(102)는 네트워크에 접속 시 사용자 인증을 위한 사용자 정보(예를 들어, 사용자 ID 또는 MAC 어드레스 등)를 상기 네트워크 제어 서버(108)로 전송한다.
또한, 상기 클라이언트(102)는 무결성 인증을 위한 보안 상태 정보 및 네트워크 상태 정보를 수집하여 상기 네트워크 제어 서버(108)로 전송한다. 이때, 상기 보안 상태 정보로는 안티 바이러스 제품의 사용 및 업 데이트 여부, 운영 체제의 보안 패치 적용 여부, 바이러스 및 악성 코드의 존재 여부 등이 있고, 상기 네트워크 상태 정보로는 상기 클라이언트(102)의 네트워크 트래픽 및 상기 클라이언트(102)에서 발생된 비정상적인 접속 요청 등이 있다.
상기 클라이언트(102)는 예를 들어, 상기 클라이언트(102)에 설치된 보안 어플리케이션을 통해 상기 보안 상태 정보를 수집하고, 상기 클라이언트(102)에 설치된 운영 체체를 통해 상기 네트워크 상태 정보를 수집하여 상기 네트워크 제어 서버(108)로 전송한다. 이때, 상기 네트워크 상태 정보는 상기 클라이언트(102)의 현재 네트워크 접속시의 네트워크 상태에 대해 수집할 수도 있고, 상기 클라이언트(102)의 이전 네트워크 접속시에 측정된 정보를 이용할 수도 있다.
상기 네트워크 액세스 포인트(NAP)(104)로는 예를 들어, 스위치(Switch), 라우터(Router), DHCP(Dynamic Host Configuration Protocol), VPN(Virtual Private Network) 등이 사용될 수 있다.
상기 네트워크 액세스 포인트(104)는 상기 클라이언트(102)가 접속 요청을 해오는 경우, 상기 클라이언트(102)로 인증 정보를 요청한다. 여기서, 인증 정보에는 상기 클라이언트(102)의 사용자 정보, 보안 상태 정보, 및 네트워크 상태 정보가 포함된다.
상기 네트워크 액세스 포인트(104)는 상기 클라이언트(102)가 전송하는 사용자 정보, 보안 상태 정보 및 네트워크 상태 정보를 상기 네트워크 제어 서버(108)로 전달해준다.
또한, 상기 네트워크 액세스 포인트(104)는 상기 네트워크 제어 서버(108)의 사용자 인증 및 보안 정책 검사 결과에 따라 상기 클라이언트(102)의 네트워크 접근을 허용하거나 차단한다.
상기 위치 추적 시스템(106)은 상기 클라이언트(102)의 위치를 실시간으로 추적한다. 여기서, 상기 클라이언트(102)의 위치는 상기 클라이언트(102)의 사용자가 소지한 출입증의 위치로 추적할 수 있다. 예를 들어, 일반적으로 회사 내에 출입하려는 사람들(직원 또는 방문자)에게는 개인 인증 수단으로 출입증을 부여하고 있다. 이때, 상기 출입증에 예를 들어, RFID 와 같은 무선 통신 수단을 설치하면, 해당 출입증의 위치(즉, 클라이언트의 위치)를 실시간으로 추적할 수 있게 된다.
그리고, 상기 위치 추적 시스템(106)은 상기 네트워크 제어 서버(108)의 요청에 따라 상기 클라이언트(102)의 위치 정보를 상기 네트워크 제어 서버(108)로 전송해준다. 상기 위치 추적 시스템(106)의 구성에 대한 상세한 설명은 후술하기로 한다.
한편, 여기서는 상기 클라이언트(102)의 위치를 상기 클라이언트(102)의 사용자가 소지한 출입증의 위치로 추적하는 것으로 설명하였으나, 반드시 이에 한정되는 것은 아니며, 상기 클라이언트(102)의 위치를 직접 추적할 수도 있다. 예를 들어, 상기 클라이언트(102)에 위치 추적용 통신 모듈을 설치하면, 상기 클라이언트(102)의 위치를 직접 추적할 수 있게 된다.
상기 위치 추적 시스템(106)에 의하면 상기 클라이언트(102)를 소지한 사용자가 회사 내에서 네트워크에 접속하려고 하는 경우, 상기 클라이언트(102)의 위치를 확인할 수 있으므로 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 위치에 따라 네트워크 접속 정책을 다르게 설정하여 적용할 수 있게 된다. 예를 들어, 사용자가 회사 내에 위치하고 있는지 아니면 회사 밖에 위치하고 있는지 또는 회사 내에 위치하고 있다면 극비 접속 구역에 위치하고 있는지 등에 따라 네트워크 접속 정책을 다르게 설정할 수 있다.
이때, 사용자의 위치에 따라 네트워크 접속 정책을 다르게 적용하려면, 상기 네트워크 제어 서버(108)가 상기 사용자의 출입증과 상기 사용자의 클라이언트(102)를 매칭시켜야 하는데, 이는 상기 출입증의 ID와 상기 클라이언트(102)의 MAC(Media Access Control) 어드레스를 이용하여 매칭시킬 수 있다.
예를 들어, 사용자가 회사 직원인 경우, 회사 직원이 사용하는 기기의 MAC어드레스를 등록한 후, 해당 기기의 MAC과 회사 직원 출입증의 ID를 매칭시켜 저장한다. 그리고, 사용자가 방문객인 경우, 방문객이 회사 내에서 사용할 기기의 MAC 어드레스를 미리 등록한 후, 해당 기기의 MAC과 방문객 출입증의 ID를 매칭시켜 저장한다.
이 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 네트워크 접속 시 상기 위치 추적 시스템(106)을 통해 상기 접속한 클라이언트(102)와 매칭된 출입증의 위치를 확인하여 상기 클라이언트(102)의 위치를 알 수 있게 된다.
상기 네트워크 제어 서버(108)는 상기 클라이언트(102)가 전송하는 사용자 정보, 보안 상태 정보, 네트워크 상태 정보와 상기 클라이언트(102)의 위치 및 접속 시간 등을 이용하여 사용자 인증 및 보안 정책 검사를 수행한다.
예를 들어, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)가 전송하는 사용자 정보를 이용하여 사용자 인증을 수행할 수 있다. 상기 사용자 인증을 수행한 결과 상기 클라이언트(102)가 인가된 장치가 아닌 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 네트워크 접근을 차단시킨다.
그리고, 상기 사용자 인증을 수행한 결과 상기 클라이언트(102)가 인가된 장치인 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 보안 상태 정보, 네트워크 상태 정보, 상기 클라이언트(102)의 위치 및 접속 시간을 이용하여 보안 정책 검사를 수행한다.
이때, 상기 네트워크 제어 서버(108)는 상기 사용자 인증 시 상기 출입증을 이용하여 복합 인증을 수행할 수도 있다. 앞에서 살펴본 바와 같이, 상기 클라이언트(102)의 사용자가 소지한 출입증 ID와 상기 클라이언트(102)의 MAC 주소는 서로 매칭되어 있고, 상기 위치 추적 시스템(106)을 통해 상기 사용자가 소지한 출입증의 위치를 실시간으로 확인할 수 있다.
여기서, 상기 네트워크 제어 서버(108)는 상기 출입증의 위치를 확인하는 과정에서 상기 출입증 ID가 현재 네트워크에 접속하려고 하는 클라이언트(102)의 MAC 주소와 일치하는지 여부를 확인할 수 있으며, 이를 통해 상기 클라이언트(102)가 타인에 의해 도용당하고 있는지 여부를 확인할 수 있게 된다.
예를 들어, 타인이 상기 클라이언트(102)를 이용하여 네트워크에 접속하려고 하는 경우, 타인은 상기 클라이언트(102)와 매칭되어 있는 출입증을 소지하고 있지 않을 것이므로, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)가 타인에 의해 도용당하고 있는지 여부를 확인할 수 있게 된다. 이 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)가 인가된 장치라 하더라도 상기 클라이언트(102)의 네트워크 접근을 차단시킨다.
상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 보안 상태 정보, 네트워크 상태 정보, 상기 클라이언트(102)의 위치 및 접속 시간을 이용하여 보안 정책 검사를 수행하는데, 상기 보안 정책 검사 결과에 따라 상기 클라이언트(102)의 네트워크 접근 여부를 결정한다.
예를 들어, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 보안 상태 정보 및 네트워크 상태 정보를 통해 상기 클라이언트(102)의 보안 상태 및 네트워크 상태가 기 설정된 네트워크 접근 정책에 일치하는 경우(즉, 네트워크 접근을 허용해도 무방한 경우), 상기 클라이언트(102)의 네트워크 접근을 허용한다.
그리고, 상기 클라이언트(102)의 보안 상태 및 네트워크 상태가 기 설정된 네트워크 접근 정책에 일치하지 않는 경우(즉, 네트워크 접근을 허용하면 위험한 경우 또는 경미한 보안 결함을 가진 경우), 상기 클라이언트(102)의 네트워크 접근을 차단하거나 상기 클라이언트(102)를 치료를 위한 특정 네트워크 영역으로 격리시킨다.
즉, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 보안 상태 정보 및 네트워크 상태 정보를 이용하여 상기 클라이언트(102)의 무결성 검사를 수행하며, 그 결과에 따라 상기 클라이언트(102)의 네트워크 접근 여부를 결정한다.
여기서, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 네트워크 접근을 허용한 이후에도 상기 클라이언트(102)의 보안 상태 및 네트워크 상태를 실시간으로 모니터링한다. 이때, 상기 클라이언트(102)의 보안 상태 및 네트워크 상태가 상기 기 설정된 네트워크 접근 정책에 일치하지 않는 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)를 해당 네트워크에서 분리하고 재접속을 허용하지 않도록 할 수 있다.
또한, 상기 네트워크 제어 서버(108)는 상기 위치 추적 시스템(106)을 통해 상기 클라이언트(102)의 위치(즉, 클라이언트의 물리적 위치)를 확인할 수 있다. 따라서, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 무결성이 검증된 경우, 상기 클라이언트(102)의 위치 및 접속 시간을 고려하여 그에 대응하는 네트워크 접근 정책을 적용한다.
구체적으로, 상기 네트워크 제어 서버(108)는 접속을 요청하는 클라이언트의 위치 및 시간에 따라 다양하게 네트워크 접근 정책을 설정한다. 이 후, 상기 위치 추적 시스템(106)을 통해 상기 클라이언트(102)의 위치를 확인하고, 상기 클라이언트(102)의 접속을 요청한 시간을 확인한 후, 상기 클라이언트(102)의 위치 및 접속 시간에 대응되는 네트워크 접근 정책을 적용한다.
예를 들어, 네트워크 접근 정책에 있어서, 접근 제어 목록(Access Control List)을 1) 인터넷 접속, 2) 사내 시스템 접속, 3) 대외비 시스템 접속, 및 4) 극비 시스템 접속으로 하고, 클라이언트의 위치 항목을 1) 사내, 2) 사외, 3) 극비 접속 구역으로 하며, 클라이언트의 접속 시간 항목을 1) 일과 시간 및 2) 일과외 시간으로 한다고 할 때, 네트워크 접근 정책은 다음의 표 1과 같이 나타낼 수 있다.
클라이언트 접속시간 클라이언트 위치 허용 리스트
일과 시간 사내 인터넷 접속, 사내 시스템 접속, 대외비 시스템 접속
일과 시간 극비접속구역 사내 시스템 접속, 대외비 시스템 접속, 극비 시스템 접속
일과 시간 사외 인터넷 접속, 사내 시스템 접속
일과외 시간 사내 인터넷 접속, 사내 시스템 접속
일과외 시간 극비접속구역
일과외 시간 사외 인터넷 접속
일반적으로, 접근 제어 목록(ACL)은 허용 리스트와 차단 리스트를 운용하나 여기서는 허용 리스트만을 운용하는 것으로 가정하였다. 그리고, 실제 시스템 운용 과정에서는 클라이언트의 위치 항목을 보다 세분화하여 접근 제어 목록(ACL)을 다양하게 설정할 수 있다.
이때, 사용자가 누구인지에 따라 접근 제어 목록(ACL)을 다르게 설정할 수 있다. 예를 들어, 사용자가 방문자인지 또는 사내 직원인지 여부에 따라 접근 제어 목록(ACL)을 다르게 설정할 수 있고, 사내 직원에서도 그 직위에 따라 접근 제어 목록(ACL)을 다르게 설정할 수 있다.
이와 같이, 클라이언트(102)의 위치 및 접속 시간을 고려하여 네트워크 접근 정책을 운용하면, 네트워크 접근 정책을 일괄적으로 적용하는 경우보다 회사 내부의 네트워크 보안을 강화할 수 있게 된다. 예를 들어, 클라이언트(102)의 위치 및 접속 시간에 대한 고려없이 네트워크 접근 정책을 일괄적으로 적용하면, 일과외 시간 또는 일과 시간이더라도 사외에 있는 경우에 '대외 시스템 접속'을 허용하게 되므로 보안적으로 취약해질 수 있으며, 그로 인해 대외비 정보의 유출 우려가 있게 된다. 즉, 본 발명의 실시예에 따르면, 회사 내부에서 네트워크 접근 정책을 강력하게 수립하여 내부 정보 유출을 방지할 수 있게 된다.
그리고, 회사 출입 시 출입객이 소지한 기기에 대해 별도로 수동 점검을 할 필요가 없기 때문에, 그에 따른 비용 소모를 줄일 수 있게 된다.
또한, 네트워크 접근 정책을 일괄적으로 적용하면, 극비 시스템 접속의 경우 별도의 승인 절차를 거쳐야 하나, 클라이언트(102)의 위치 및 접속 시간을 고려하여 네트워크 접근 정책을 운용하면, 일과 시간 및 극비 접속 구역이라는 항목의 설정을 통해 이러한 번거로움을 해소할 수 있게 된다.
이때, 극비 시스템 접속이 염려되는 경우, 극비 시스템 접속은 허용 리스트에서 삭제하고 항상 별도의 승인을 얻도록 할 수 있는 등 보안 관리자가 유연하게 네트워크 접근 정책을 적용하여 운용의 묘를 살릴 수 있게 된다.
도 2는 본 발명의 일 실시예에 따른 위치 추적 시스템의 구성을 나타낸 도면이다.
도 2를 참조하면, 위치 추적 시스템(106)은 출입증(202), 기준 모듈(204), 싱크 모듈(206), 및 위치 추적 장치(208)를 포함한다.
상기 출입증(202)은 클라이언트(102)의 사용자가 소지하는 것으로서, 회사 내로 출입할 때 개인 인증 수단으로 사용되는 것이다. 상기 출입증(202)은 무선 통신 수단을 구비하는데, 상기 출입증(202)은 이를 통해 일정 주기로 인근의 기준 모듈(204)들에게 위치 확인 요청 신호를 발생한다.
상기 기준 모듈(204)은 회사 내의 천정 또는 벽 등의 고정된 위치에 일정한 간격을 두고 복수 개가 설치되는 무선 통신 단말이다. 상기 기준 모듈(204)은 상기 위치 확인 요청 신호를 수신하고, 상기 수신한 위치 확인 요청 신호의 수신 전계 강도를 측정한다. 상기 기준 모듈(204)은 자신의 고유 ID와 상기 측정한 수신 전계 강도를 상기 싱크 모듈(206)로 전송한다.
상기 싱크 모듈(206)은 상기 기준 모듈(204)로부터 수신한 상기 기준 모듈(204)의 고유 ID 및 상기 측정한 수신 전계 강도를 상기 위치 추적 장치(208)로 전달한다.
상기 위치 추적 장치(208)는 상기 싱크 모듈(206)로부터 전송된 상기 기준 모듈(204)의 고유 ID 및 상기 측정한 수신 전계 강도를 이용하여 상기 출입증(202)의 위치를 확인한다. 이때, 상기 위치 추적 장치(208)에는 각 기준 모듈(204)의 위치 좌표가 저장된다.
따라서, 상기 위치 추적 장치(208)는 상기 기준 모듈(204)의 고유 ID를 통해 해당 기준 모듈(204)의 위치 좌표를 알 수 있고, 상기 측정한 수신 전계 강도를 통해 해당 기준 모듈(204)과 상기 출입증(202) 간의 거리를 알 수 있다. 여기서, 3개 이상의 기준 모듈(204)로부터 각 기준 모듈(204)의 고유 ID 및 수신 전계 강도가 전송되면, 상기 위치 추적 장치(208)는 삼각 측량법을 이용하여 상기 출입증(202)의 위치를 확인할 수 있게 된다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법을 나타낸 순서도이다.
도 3을 참조하면, 네트워크 제어 서버(108)가 클라이언트(102)의 위치 및 접속 시간에 따라 네트워크 접근 정책을 설정하여 저장한다(S 302).
다음으로, 상기 클라이언트(102)의 사용자가 회사 내로 출입하는 경우, 위치 추적 시스템(106)이 상기 클라이언트(102)의 사용자가 소지한 출입증(202)을 통해 상기 클라이언트(102)의 위치를 실시간으로 추적한다(S 304).
다음으로, 네트워크 액세스 포인트(104)는 상기 클라이언트(102)가 네트워크로의 접속을 요청하는지 여부를 확인한다(S 306).
상기 단계 S 306의 확인 결과, 상기 클라이언트(102)가 네트워크 접속 요청을 하는 경우, 상기 네트워크 액세스 포인트(104)는 상기 클라이언트(102)로 인증 정보를 요청한다(S 308).
다음으로, 상기 클라이언트(102)는 사용자 정보, 자신이 수집한 자신의 보안 상태 정보, 및 네트워크 상태 정보를 상기 네트워크 액세스 포인트(104)로 전송한다. 그러면, 상기 네트워크 액세스 포인트(104)가 이를 상기 네트워크 제어 서버(108)로 전달한다(S 310).
다음으로, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 사용자 정보를 통해 사용자 인증을 수행한다(S 312).
상기 단계 S 312의 사용자 인증 수행 결과, 상기 클라이언트(102)가 인가된 장치가 아니어서 사용자 인증이 이루어지지 않은 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 네트워크 접근을 차단시킨다(S 314).
상기 단계 S 312의 사용자 인증 수행 결과, 상기 클라이언트(102)가 인가된 장치이어서 사용자 인증이 이루어진 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 보안 상태 정보 및 네트워크 상태 정보를 이용하여 무결성 인증을 수행한다(S 316).
상기 단계 S 316의 무결성 인증 수행 결과, 상기 클라이언트(102)에 아무 결함이 없어 무결성 인증이 이루어진 경우, 상기 네트워크 제어 서버(108)는 상기 위치 추적 시스템(106)을 통해 상기 클라이언트(102)의 위치를 확인하고, 상기 클라이언트(102)의 접속 시간을 확인하여 상기 클라이언트(102)의 위치 및 접속 시간에 대응되는 네트워크 접근 정책을 적용한다(S 318).
상기 단계 S 316의 무결성 인증 수행 결과, 상기 클라이언트(102)에 결함이 있어 무결성 인증이 이루어지지 않은 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 결함이 경미한 보안 결함인지 여부를 확인한다(S 320).
상기 단계 S 320의 확인 결과, 상기 클라이언트(102)의 결함이 경미한 보안 결함이 아닌 경우 즉, 중대한 보안 결함이 있는 경우, 상기 네트워크 제어 서버(108)는 상기 클라이언트(102)의 네트워크 접근을 차단시킨다(S 322).
상기 단계 S 320의 확인 결과, 상기 클라이언트(102)의 결함이 경미한 보안 결함인 경우, 상기 네트워크 제어 서버(108)는 상기 보안 결함의 치료를 위해 상기 클라이언트(102)를 특정 네트영역으로 격리시켜 치료한다(S 324).
상기 네트워크 제어 서버(108)는 상기 격리된 클라이언트(102)의 보안 결함이 모두 치료되었는지 여부를 확인하여(S 326), 상기 격리된 클라이언트(102)의 보안 결함이 모두 치료된 경우, 상기 단계 S 318로 이동하여 상기 클라이언트(102)의 위치 및 접속 시간에 대응되는 네트워크 접근 정책을 적용한다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
102 : 클라이언트 104 : 네트워크 액세스 포인트
106 : 위치 추적 시스템 108 : 네트워크 제어 서버
202 : 출입증 204 : 기준 모듈
206 : 싱크 모듈 208 : 위치 추적 장치

Claims (15)

  1. 네트워크에 접속을 요청하는 클라이언트;
    상기 클라이언트의 물리적 위치를 추적하는 위치 추적 시스템;
    상기 클라이언트의 물리적 위치 및 접속 시간 중 하나 이상을 반영하여 네트워크 접근 정책을 설정하며, 상기 클라이언트의 네트워크 접속 요청 시 상기 클라이언트의 물리적 위치 및 접속 시간 중 하나 이상을 확인하여 해당 네트워크 접근 정책을 적용하는 네트워크 제어 서버; 및
    상기 클라이언트 및 상기 네트워크 제어 서버를 중계하는 네트워크 액세스 포인트를 포함하는, 네트워크 접근 제어 시스템.
  2. 제1항에 있어서,
    상기 네트워크 접근 제어 시스템은,
    상기 클라이언트의 사용자가 소지하며, 무선 통신 수단이 설치된 출입증을 더 포함하며,
    상기 위치 추적 시스템은 상기 출입증의 위치를 확인하여 상기 클라이언트의 물리적 위치를 추적하는, 네트워크 접근 제어 시스템.
  3. 제2항에 있어서,
    상기 네트워크 제어 서버는,
    상기 출입증의 출입증 ID와 상기 클라이언트의 MAC 어드레스를 매칭하여 저장하는, 네트워크 접근 제어 시스템.
  4. 제3항에 있어서,
    상기 클라이언트는,
    네트워크 접속 시 상기 네트워크 액세스 포인트의 인증 정보 요청에 따라 상기 클라이언트의 사용자 정보, 보안 상태 정보, 및 네트워크 상태 정보 중 하나 이상의 정보를 상기 네트워크 제어 서버로 전송하는, 네트워크 접근 제어 시스템.
  5. 제4항에 있어서,
    상기 네트워크 제어 서버는,
    상기 클라이언트의 사용자 정보를 이용하여 사용자 인증을 수행하고, 상기 클라이언트의 보안 상태 정보, 네트워크 상태 정보, 위치, 및 접속 시간을 이용하여 보안 정책 검사를 수행하는, 네트워크 접근 제어 시스템.
  6. 제5항에 있어서,
    상기 네트워크 제어 서버는,
    상기 사용자 인증 수행 시, 상기 출입증의 출입증 ID와 상기 클라이언트의 MAC 주소의 일치 여부를 확인하여 복합 인증을 수행하는, 네트워크 접근 제어 시스템.
  7. 제2항에 있어서,
    상기 네트워크 제어 서버는,
    상기 클라이언트의 사용자의 신분 또는 직위에 따라 상기 네트워크 접근 정책을 다르게 설정하는, 네트워크 접근 제어 시스템.
  8. 제2항에 있어서,
    상기 위치 추적 시스템은,
    상기 클라이언트의 사용자가 소지하고 무선 통신 수단이 설치되며, 일정 주기로 위치 확인 요청 신호를 발생하는 출입증;
    실내에 일정한 간격을 두고 복수 개가 설치되며, 상기 위치 확인 요청 신호를 수신하여 수신 전계 강도를 측정하고, 자신의 고유 ID와 상기 측정한 수신 전계 강도를 외부로 전송하는 기준 모듈;
    상기 기준 모듈이 전송하는 고유 ID 및 상기 측정한 수신 전계 강도를 수신하며, 상기 기준 모듈의 고유 ID 및 상기 측정한 수신 전계 강도를 이용하여 삼각 측량법을 통해 상기 출입증의 위치를 추적하는 위치 추적 장치; 및
    상기 기준 모듈이 전송하는 고유 ID 및 상기 측정한 수신 전계 강도를 상기 위치 추적 장치로 전달하는 싱크 모듈을 포함하는, 네트워크 접근 제어 시스템.
  9. (A) 네트워크 제어 서버가 클라이언트의 물리적 위치 및 접속 시간 중 하나 이상을 반영하여 네트워크 접근 정책을 설정하는 단계;
    (B) 위치 추적 시스템이 상기 클라이언트의 물리적 위치를 추적하는 단계; 및
    (C) 상기 클라이언트의 네트워크 접속 요청 시, 상기 네트워크 제어 서버가 상기 클라이언트의 물리적 위치 및 접속 시간 중 하나 이상을 확인하고, 상기 확인한 클라이언트의 물리적 위치 및 접속 시간에 대응하는 네트워크 접근 정책을 적용하는 단계를 포함하는, 네트워크 접근 제어 방법.
  10. 제9항에 있어서,
    (B) 단계에서,
    상기 위치 추적 시스템은 상기 클라이언트의 사용자가 소지하고 무선 통신 수단이 설치된 출입증의 위치를 확인하여 상기 클라이언트의 물리적 위치를 추적하는, 네트워크 접근 제어 방법.
  11. 제10항에 있어서,
    상기 (B) 단계는,
    (B-1) 상기 출입증이 일정 주기로 위치 확인 요청 신호를 발생시키는 단계;
    (B-2) 기준 모듈이 상기 위치 확인 요청 신호를 수신하여 수신 전계 강도를 측정한 후, 자신의 고유 ID와 상기 측정한 수신 전계 강도를 싱크 모듈을 통해 위치 추적 장치로 전송하는 단계; 및
    (B-3) 상기 위치 추적 장치가 상기 기준 모듈의 고유 ID 및 상기 측정한 수신 전계 강도를 이용하여 삼각 측량법을 통해 상기 출입증의 위치를 추적하는 단계를 포함하는, 네트워크 접근 제어 방법.
  12. 제9항에 있어서,
    상기 (C) 단계는,
    (C-1) 상기 클라이언트가 상기 네트워크 접속 요청에 따른 인증 정보 요청에 대한 응답으로 상기 클라이언트의 사용자 정보, 보안 상태 정보, 및 네트워크 상태 정보 중 하나 이상의 정보를 상기 네트워크 제어 서버로 전송하는 단계;
    (C-2) 상기 네트워크 제어 서버가 상기 클라이언트의 사용자 정보를 이용하여 사용자 인증을 수행하는 단계; 및
    (C-3) 상기 클라이언트의 사용자 인증이 이루어진 경우, 상기 네트워크 제어 서버가 상기 클라이언트의 보안 상태 정보, 네트워크 상태 정보, 위치, 및 접속 시간을 이용하여 보안 정책 검사를 수행하는 단계를 포함하는, 네트워크 접근 제어 방법.
  13. 제12항에 있어서,
    상기 (C-3) 단계는,
    (C-31) 상기 네트워크 제어 서버가 상기 클라이언트의 보안 상태 정보 및 상기 네트워크 상태 정보를 이용하여 상기 클라이언트의 무결성을 점검하는 단계; 및
    (C-32) 상기 클라이언트의 무결성이 인증된 경우, 상기 네트워크 제어 서버가 상기 위치 추적 시스템을 통해 상기 클라이언트의 물리적 위치를 확인하고, 상기 클라이언트의 접속 시간을 확인하여 상기 클라이언트의 물리적 위치 및 접속 시간에 대응되는 네트워크 접근 정책을 적용하는 단계를 포함하는, 네트워크 접근 제어 방법.
  14. 제13항에 있어서,
    (C-311) 상기 클라이언트의 무결성이 인증되지 않은 경우, 상기 네트워크 제어 서버가 상기 클라이언트의 결함이 경미한 보안 결함인지 여부를 확인하는 단계; 및
    (C-312) 상기 클라이언트의 결함이 경미한 보안 결함인 경우, 상기 네트워크 제어 서버가 치료를 위해 상기 클라이언트를 특정 네트워크 영역으로 격리시키는 단계를 포함하는, 네트워크 접근 제어 방법.
  15. 제14항에 있어서,
    상기 (C-312) 단계 이후에,
    (C-313) 상기 클라이언트의 치료가 완료된 경우, 상기 네트워크 제어 서버가 상기 클라이언트의 물리적 위치 및 접속 시간에 대응되는 네트워크 접근 정책을 적용하는 단계를 더 포함하는, 네트워크 접근 제어 방법.
KR1020100090376A 2010-09-15 2010-09-15 네트워크 접근 제어 시스템 및 방법 KR101092596B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100090376A KR101092596B1 (ko) 2010-09-15 2010-09-15 네트워크 접근 제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100090376A KR101092596B1 (ko) 2010-09-15 2010-09-15 네트워크 접근 제어 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101092596B1 true KR101092596B1 (ko) 2011-12-13

Family

ID=45506075

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100090376A KR101092596B1 (ko) 2010-09-15 2010-09-15 네트워크 접근 제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101092596B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170078316A (ko) * 2015-12-29 2017-07-07 주식회사 마크애니 사용자 모바일 단말을 이용한 보안 관리 시스템 및 그 방법
KR101775515B1 (ko) * 2016-06-28 2017-09-06 한국전자통신연구원 보안 점검 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170078316A (ko) * 2015-12-29 2017-07-07 주식회사 마크애니 사용자 모바일 단말을 이용한 보안 관리 시스템 및 그 방법
KR102351491B1 (ko) * 2015-12-29 2022-01-17 주식회사 마크애니 사용자 모바일 단말을 이용한 보안 관리 시스템 및 그 방법
KR101775515B1 (ko) * 2016-06-28 2017-09-06 한국전자통신연구원 보안 점검 장치 및 방법

Similar Documents

Publication Publication Date Title
CN102016938B (zh) 无线设备监测系统和监测设备以及关联的方法
US9071611B2 (en) Integration of network admission control functions in network access devices
US20170251365A1 (en) Cyber security
US11812261B2 (en) System and method for providing a secure VLAN within a wireless network
US11924643B2 (en) Point-controlled rogue AP avoidance + rogue AP detection using synchronized security
JP2008053808A (ja) 無線端末を認証する認証システム及び認証方法
US20200107197A1 (en) System and method for rogue access point detection
CN104717223A (zh) 数据访问方法及装置
CN104539598A (zh) 一种改进Tor的安全匿名网络通信系统及方法
WO2016206227A1 (zh) 一种接入控制方法和装置
Jha et al. Security considerations for Internet of Things
US20140150069A1 (en) Method for distinguishing and blocking off network node
KR101092596B1 (ko) 네트워크 접근 제어 시스템 및 방법
US20160205102A1 (en) Secure Remote Authentication of Local Machine Services Using a Self Discovery Network Protocol
US11805418B2 (en) System and method for location-based endpoint security
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
CN103491054A (zh) Sam准入系统
CN104104745A (zh) 一种电网终端安全准入方法
KR20190012304A (ko) 스마트폰을 이용한 교통신호제어기 접속 인증 보안 장치 및 방법
Iskhakov et al. The Internet of Things in the security industry
Rattanalerdnusorn et al. Security implementation for authentication in IoT environments
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
CN111869250A (zh) 用于授权网络节点的通信的方法和系统
CN111869252A (zh) 用于授权网络节点的通信的方法和系统
KR20180116878A (ko) 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140904

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160920

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191202

Year of fee payment: 9