KR101156479B1 - System and method for assigning IP address based on user authentication - Google Patents

System and method for assigning IP address based on user authentication Download PDF

Info

Publication number
KR101156479B1
KR101156479B1 KR1020100109137A KR20100109137A KR101156479B1 KR 101156479 B1 KR101156479 B1 KR 101156479B1 KR 1020100109137 A KR1020100109137 A KR 1020100109137A KR 20100109137 A KR20100109137 A KR 20100109137A KR 101156479 B1 KR101156479 B1 KR 101156479B1
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
server
address
access
Prior art date
Application number
KR1020100109137A
Other languages
Korean (ko)
Other versions
KR20120047527A (en
Inventor
황원준
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100109137A priority Critical patent/KR101156479B1/en
Publication of KR20120047527A publication Critical patent/KR20120047527A/en
Application granted granted Critical
Publication of KR101156479B1 publication Critical patent/KR101156479B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

사용자 인증 기반의 접속 주소 할당 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 방법은, 인증 서버에서, 사용자 단말로부터 인증 요청을 수신하는 단계; 상기 인증 서버에서, 상기 인증 요청을 기반으로 상기 사용자 단말의 인증을 수행하는 단계, 상기 인증 서버에서, DHCP 서버로 인증된 상기 사용자 단말의 접속 주소 할당을 요청하는 단계, 상기 인증 서버에서, DHCP 서버로부터 인증된 상기 사용자 단말의 접속 주소를 포함하는 접속 정보를 전송 받는 단계, 및 상기 인증 서버에서, 전송 받은 상기 접속 정보를 상기 사용자 단말로 전송하는 단계를 포함한다.A system and method for access address assignment based on user authentication are disclosed. In accordance with an aspect of the present invention, there is provided a method for allocating an access address based on user authentication, comprising: receiving, at an authentication server, an authentication request from a user terminal; At the authentication server, performing authentication of the user terminal based on the authentication request, requesting allocation of an access address of the user terminal authenticated by a DHCP server at the authentication server, at the authentication server, a DHCP server And receiving the access information including the access address of the user terminal authenticated from the terminal, and transmitting the received access information to the user terminal at the authentication server.

Description

사용자 인증 기반의 접속 주소 할당 시스템 및 방법{System and method for assigning IP address based on user authentication}System and method for assigning IP address based on user authentication}

본 발명은 보안이 적용된 네트워크 환경에서의 접속 주소를 할당하기 위한 기술과 관련된다.
The present invention relates to a technique for assigning access addresses in a secured network environment.

최근, 통신 시스템을 이용한 네트워크 서비스가 다양해지고, 그 규모가 증가하면서 네트워크 보안 사고의 빈도 또한 증가하고 있다. 이에 따라, 네트워크의 보안에 대한 인식이 높아지고 있으며, 이에 대한 연구도 활발히 이루어지고 있다.In recent years, network services using a communication system are diversified, and as the size thereof increases, the frequency of network security incidents also increases. Accordingly, the security awareness of the network is increasing, and research on this is being actively conducted.

일반적으로, 널리 사용되는 네트워크 보안 방법들 중 하나는 클라이언트가 서버 접속을 요청하는 경우 인증 서버가 네트워크에 접속하려는 사용자 단말의 사용자 ID와 비밀번호에 의해 인증 여부를 판단하여 클라이언트의 네트워크 접속을 허용하거나 차단하는 것이다. 즉, 네트워크 서비스를 제공받을 자격이 있는 클라이언트에게만 네트워크 접속을 허용하는 것이다. 이와 같은 네트워크 보안 방법의 일례로서, IEEE 802.1X 인증 프로토콜을 들 수 있다.In general, one of the widely used network security methods is to allow or block the client's network access by determining whether the authentication server authenticates based on the user ID and password of the user terminal attempting to access the network when the client requests server access. It is. That is, network access is allowed only to clients who are entitled to receive network service. An example of such a network security method is the IEEE 802.1X authentication protocol.

한편, 상기와 같이 사용자 단말의 인증이 완료되면, 사용자 단말은 네트워크 상에서의 통신을 위하여 IP를 할당받게 된다. 특히, 최근에는 IP 주소의 효율적인 사용을 위하여 DHCP(Dynamic Host Configuration Protocol)를 이용하여 동적으로 IP를 할당받는 경우가 일반적이다.On the other hand, when the authentication of the user terminal is completed as described above, the user terminal is assigned an IP for communication on the network. In particular, recently, in order to efficiently use an IP address, an IP is dynamically allocated using a Dynamic Host Configuration Protocol (DHCP).

일반적으로 DHCP 프로토콜을 이용하여 단말에 IP를 할당하는 방식은 다음과 같다. 먼저, IP를 할당 받으려는 단말이 DHCP request를 로컬 네트워크로 브로드캐스팅하면, 이를 수신한 DHCP 서버는 자신이 할당 가능한 IP 하나를 상기 단말에 제공하겠다는 의사를 담은 메시지 (DHCP offer)를 상기 단말로 전송하게 된다. 이때, 만약 상기 로컬 네트워크 내에 복수 개의 DHCP 서버가 존재하는 경우 상기 단말은 복수 개의 DHCP offer를 받게 되며, 이 중 먼저 도착한 DHCP offer를 송신한 DHCP 서버로부터 IP를 제공받고 나머지 DHCP offer는 버려지게 된다. 즉, DHCP 프로토콜의 특성 상 단말에 IP를 할당하게 되는 DHCP 서버를 선택하는 것이 불가능하므로, 만약 네트워크 내에 인가된 DHCP 서버와 함께 비인가 DHCP 서버가 존재하는 경우, 상기 단말은 DHCP offer의 응답 시간에 따라 비인가 DHCP 서버로부터 IP를 할당받게 되어 네트워크 설정에 장애가 생기거나 또는 외부로부터의 침입을 받을 우려가 발생한다.In general, a method of allocating IP to a terminal using a DHCP protocol is as follows. First, when a terminal to be assigned an IP broadcasts a DHCP request to a local network, the DHCP server receiving the IP message transmits a message (DHCP offer) containing the intention to provide the terminal with an assignable IP. do. In this case, if there are a plurality of DHCP servers in the local network, the terminal receives a plurality of DHCP offers. Among them, the terminal receives an IP from a DHCP server transmitting a DHCP offer that arrives first, and the remaining DHCP offers are discarded. That is, since it is impossible to select a DHCP server that allocates an IP to the terminal due to the nature of the DHCP protocol, if there is an unauthorized DHCP server together with an authorized DHCP server in the network, the terminal may respond according to the response time of the DHCP offer. The IP address is assigned from an unauthorized DHCP server, which may cause a problem in network configuration or an external intrusion.

특히 기업 등에서 DHCP를 적용하여 사용할 경우, 사용자가 사용하는 단말 등에서 사용자 본인도 인지하지 못한 악성 프로그램이 DHCP 서버를 구동시키는 경우도 있으며, 네트워크상에서는 미인가 DHCP 서버가 구동되고 있더라도 이를 인지하는 것이 매우 어려우므로, 네트워크의 보안성 강화를 위하여 인가된 DHCP 서버만이 IP를 할당할 수 있도록 하는 기술이 필요하게 되었다.
In particular, when using DHCP in the enterprise, malicious programs that are not even recognized by the user, etc., may cause the DHCP server to run. Even though an unauthorized DHCP server is running on the network, it is very difficult to recognize the DHCP server. In order to enhance the security of the network, a technology that allows only an authorized DHCP server to allocate IP is required.

본 발명의 실시예들은 네트워크에 인가되지 않은 DHCP 서버가 존재하더라도, 네트워크에 접속한 단말이 미인가 DHCP 서버로부터 IP를 할당받는 것을 완전히 차단하는 데 그 목적이 있다.
Embodiments of the present invention, even if there is a DHCP server that is not authorized in the network, the purpose is to completely block the terminal connected to the network from being assigned an IP from the unauthorized DHCP server.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 방법은, 인증 서버에서, 사용자 단말로부터 인증 요청을 수신하는 단계; 상기 인증 서버에서, 상기 인증 요청을 기반으로 상기 사용자 단말의 인증을 수행하는 단계; 상기 인증 서버에서, DHCP 서버로 인증된 상기 사용자 단말의 접속 주소 할당을 요청하는 단계; 상기 인증 서버에서, DHCP 서버로부터 인증된 상기 사용자 단말의 접속 주소를 포함하는 접속 정보를 전송 받는 단계; 및 상기 인증 서버에서, 전송 받은 상기 접속 정보를 상기 사용자 단말로 전송하는 단계를 포함한다.In accordance with an aspect of the present invention, there is provided a method for allocating an access address based on user authentication, the method including: receiving an authentication request from a user terminal in an authentication server; At the authentication server, performing authentication of the user terminal based on the authentication request; Requesting, at the authentication server, an access address assignment of the user terminal authenticated with a DHCP server; Receiving, at the authentication server, access information including an access address of the user terminal authenticated from a DHCP server; And transmitting, from the authentication server, the received access information to the user terminal.

또한 본 발명의 다른 실시예에 따른 사용자 인증 기반의 접속 주소 할당 방법은, 사용자 단말에서, 인증 서버로 인증 요청을 송신하는 단계; 상기 사용자 단말에서, 상기 인증 서버로부터 인증 성공 패킷(EAP success packet)을 수신하는 단계; 및 상기 사용자 단말에서, 상기 인증 성공 패킷에 포함된 접속 정보를 추출하고, 추출된 상기 접속 정보를 이용하여 네트워크 접속을 수행하는 단계;를 포함한다.In addition, a user authentication-based access address allocation method according to another embodiment of the present invention, the step of transmitting an authentication request from the user terminal to the authentication server; Receiving, at the user terminal, an EAP success packet from the authentication server; And extracting, from the user terminal, access information included in the authentication success packet and performing network access using the extracted access information.

또한, 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 시스템은, 사용자 단말로부터 수신된 인증 요청에 기초하여 상기 사용자 단말의 인증을 수행하고, 인증된 상기 사용자 단말의 접속 주소 할당을 요청하는 인증 서버; 상기 인증 서버로부터의 접속 주소 할당 요청에 대응하여 상기 사용자 단말에 접속 주소를 할당하고, 상기 할당된 접속 주소를 포함하는 접속 정보를 상기 인증 서버로 전송하는 DHCP 서버;를 포함하며, 상기 인증 서버는 수신된 상기 접속 정보를 상기 사용자 단말로 전송하도록 구성된다.
In addition, the user authentication-based access address assignment system according to an embodiment of the present invention, performs the authentication of the user terminal based on the authentication request received from the user terminal, and requests the access address allocation of the authenticated user terminal An authentication server; And a DHCP server for allocating a connection address to the user terminal in response to a request for allocating a connection address from the authentication server, and transmitting the connection information including the assigned access address to the authentication server. And transmit the received connection information to the user terminal.

본 발명의 실시예들에 따를 경우 네트워크에 신규 접속한 단말의 인증 과정에서 인증 서버가 단말을 대신하여 DHCP 서버로부터 IP를 할당받고, 이를 상기 단말에 대한 인증 결과 메시지에 포함시켜 전송하므로, 미인가 DHCP 서버로터 단말이 IP를 할당받는 것을 원천적으로 차단할 수 있다.According to the embodiments of the present invention, since the authentication server is assigned an IP from the DHCP server on behalf of the terminal in the authentication process of the terminal newly connected to the network, it is included in the authentication result message for the terminal and transmitted. The server rotor terminal can be blocked from being assigned an IP source.

또한, 본 발명의 실시예들에 따를 경우 단말이 DHCP discovery 를 브로드캐스팅할 필요가 없으므로 네트워크 트래픽을 감소시킬 수 있는 장점이 있다.
In addition, according to the embodiments of the present invention, since the UE does not need to broadcast DHCP discovery, there is an advantage of reducing network traffic.

도 1은 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 시스템(100)을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 인증 성공 패킷(EAP Success packet)을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 방법을 나타낸 순서도이다.1 is a diagram illustrating a user authentication based access address allocation system 100 according to an exemplary embodiment of the present invention.
2 illustrates an EAP Success packet according to an embodiment of the present invention.
3 is a flowchart illustrating a method for allocating a connection address based on user authentication according to an embodiment of the present invention.

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. However, this is only an example and the present invention is not limited thereto.

본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intention or custom of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.

본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
The technical spirit of the present invention is determined by the claims, and the following embodiments are merely means for efficiently explaining the technical spirit of the present invention to those skilled in the art.

도 1은 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 시스템(100)을 나타낸 도면이다.1 is a diagram illustrating a user authentication based access address allocation system 100 according to an exemplary embodiment of the present invention.

도시된 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 시스템(100)은 사용자 단말(102), 인증 서버(104) 및 DHCP 서버(106)를 포함하며, 각각의 구성요소들은 스위치(108)를 통하여 네트워크상에서 직, 간접적으로 연결된다. 본 발명에서 “연결된다”는 의미는 각 구성요소들이 유선 또는 무선 통신망을 통하여 연결되어 데이터 또는 패킷을 주고받을 수 있는 상태에 있음을 의미한다.As shown, the user authentication-based access address assignment system 100 according to an embodiment of the present invention includes a user terminal 102, an authentication server 104 and a DHCP server 106, each component Are connected directly or indirectly on the network via the switch 108. In the present invention, "connected" means that each component is in a state capable of transmitting and receiving data or packets by being connected through a wired or wireless communication network.

사용자 단말(102)은 스위치(108)를 통하여 네트워크에 접속하여 서비스를 이용하려는 사용자가 사용하는 단말이다. 이와 같은 사용자 단말(102)이 네트워크에 접속하기 위해서는 먼저 인증 서버(104)를 통하여 인증을 받아야 할 필요가 있다. 이를 위하여, 사용자 단말(102)은 인증 서버(104)로 인증 요청을 전송하며, 상기 인증 요청은 스위치(108)를 경유하여 인증 서버(104)로 전송된다. 일반적으로 사용자 단말(102)의 인증을 위한 방법은 네트워크의 종류 또는 보안 레벨에 따라 여러 가지가 존재한다. 본 발명의 실시예에서는 이러한 인증 방법의 한 예로서 IEEE 802.1X 인증 프로토콜을 사용하는 것을 가정하여 설명하기로 한다. 그러나 본 발명의 권리범위는 특정 인증 프로토콜에 종속되는 것은 아님을 유의한다. The user terminal 102 is a terminal used by a user who wants to use a service by accessing a network through a switch 108. In order for the user terminal 102 to access the network, it is necessary to first authenticate through the authentication server 104. To this end, the user terminal 102 sends an authentication request to the authentication server 104, which is sent to the authentication server 104 via the switch 108. In general, there are various methods for authenticating the user terminal 102 according to the type or security level of the network. In the embodiment of the present invention, it is assumed that the IEEE 802.1X authentication protocol is used as an example of the authentication method. However, it should be noted that the scope of the present invention is not dependent on a specific authentication protocol.

인증 서버(104)는 사용자 단말(102)로부터 상기 인증 요청을 수신하고, 수신된 상기 인증 요청에 기초하여 사용자 단말(102)의 인증을 수행한다. 만약 상기 인증 수행 결과 사용자 단말(102)의 인증에 실패한 경우, 인증 서버(104)는 사용자 단말(102)의 네트워크 접속을 차단한다. 그러나 만약 상기 인증 수행 결과 사용자 단말(102)의 인증에 성공한 경우, 인증 서버(104)는 DHCP 서버(106)에 DHCP IP를 요청한다. 즉, 본 발명에서 DHCP IP의 요청은 사용자 단말(102)이 DHCP request 메시지를 브로드캐스팅함으로써 이루어지는 것이 아니라, 인증 서버(104)에서 사용자 단말(102)을 대신하여 DHCP 서버(106)에 DHCP IP를 요청함으로써 이루어진다. The authentication server 104 receives the authentication request from the user terminal 102 and performs authentication of the user terminal 102 based on the received authentication request. If the authentication of the user terminal 102 fails as a result of performing the authentication, the authentication server 104 blocks the network connection of the user terminal 102. However, if the authentication of the user terminal 102 is successful as a result of the authentication, the authentication server 104 requests a DHCP IP from the DHCP server 106. That is, in the present invention, the request of the DHCP IP is not made by the user terminal 102 broadcasting a DHCP request message, but the authentication server 104 sends the DHCP IP to the DHCP server 106 on behalf of the user terminal 102. By request.

일반적으로 DHCP 프로토콜을 이용하여 단말에 IP를 할당하는 방식은 다음과 같다. 먼저, IP를 할당 받으려는 단말이 DHCP request를 로컬 네트워크로 브로드캐스팅하면, 이를 수신한 DHCP 서버는 자신이 할당 가능한 IP 하나를 상기 단말에 제공하겠다는 의사를 담은 메시지 (DHCP offer)를 상기 단말로 전송하게 된다. 이때, 만약 상기 로컬 네트워크 내에 복수 개의 DHCP 서버가 존재하는 경우 상기 단말은 복수 개의 DHCP offer를 받게 되며, 이 중 먼저 도착한 DHCP offer를 송신한 DHCP 서버로부터 IP를 제공받고 나머지 DHCP offer는 버려지게 된다. 즉, DHCP 프로토콜의 특성 상 단말에 IP를 할당하게 되는 DHCP 서버를 선택하는 것이 불가능하므로, 만약 네트워크 내에 인가된 DHCP 서버와 함께 비인가 DHCP 서버가 존재하는 경우, 상기 단말은 DHCP offer의 응답 시간에 따라 비인가 DHCP 서버로부터 IP를 할당받게 되어 네트워크 설정에 장애가 생기거나 또는 외부로부터의 침입을 받을 우려가 발생한다.In general, a method of allocating IP to a terminal using a DHCP protocol is as follows. First, when a terminal to be assigned an IP broadcasts a DHCP request to a local network, the DHCP server receiving the IP message transmits a message (DHCP offer) containing the intention to provide the terminal with an assignable IP. do. In this case, if there are a plurality of DHCP servers in the local network, the terminal receives a plurality of DHCP offers. Among them, the terminal receives an IP from a DHCP server transmitting a DHCP offer that arrives first, and the remaining DHCP offers are discarded. That is, since it is impossible to select a DHCP server that allocates an IP to the terminal due to the nature of the DHCP protocol, if there is an unauthorized DHCP server together with an authorized DHCP server in the network, the terminal may respond according to the response time of the DHCP offer. The IP address is assigned from an unauthorized DHCP server, which may cause a problem in network configuration or an external intrusion.

이와 같은 문제점을 해결하기 위하여, 본 발명의 실시예에서는 인증이 완료된 사용자 단말(102)이 DHCP discover 메시지를 브로드캐스팅하는 것이 아니라, 인증 서버(104)가 사용자 단말(102)을 대신하여 인가된 DHCP 서버(106)로부터 IP를 할당 받도록 함으로써, 도 1에 도시된 바와 같이 비인가 DHCP 서버(110)가 네트워크 상에 존재하더라도 이로부터 사용자 단말(102)이 IP를 할당받는 것을 원천적으로 차단할 수 있다.In order to solve this problem, in the embodiment of the present invention, the authenticated user terminal 102 does not broadcast a DHCP discover message, but the authentication server 104 is authorized DHCP on behalf of the user terminal 102. By having an IP assigned from the server 106, even if the unauthorized DHCP server 110 is present in the network as shown in FIG. 1, the user terminal 102 can be blocked from being assigned an IP therefrom.

DHCP 서버(106)는 인증 서버(104)로부터 접속 주소 할당을 요청받으면, 상기 접속 주소 할당 요청에 대응하여 사용자 단말에 접속 주소를 할당하고, 상기 할당된 접속 주소를 포함하는 접속 정보를 인증 서버(104)로 전송한다. 상기 접속 주소는, 예를 들어 상기 네트워크가 IP 기반 네트워크인 경우 사용자 단말(102)의 아이피 주소(IP Address)일 수 있다. 또한 상기 접속 정보는 사용자 단말(102)에 할당할 아이피 주소, 서브넷 마스크(subnet mask), 임대 기간(lease duration) 및 DHCP 서버(106)의 아이피 주소 등을 포함할 수 있다.When the DHCP server 106 receives a request for access address assignment from the authentication server 104, the DHCP server 106 allocates a access address to a user terminal in response to the access address assignment request, and transmits access information including the assigned access address to the authentication server ( 104). The access address may be, for example, an IP address of the user terminal 102 when the network is an IP-based network. In addition, the access information may include an IP address, a subnet mask, a lease duration and an IP address of the DHCP server 106 to be allocated to the user terminal 102.

인증 서버(104)는 DHCP 서버(106)로부터 상기 접속 정보가 수신되는 경우, 이를 스위치(108)를 경유하여 사용자 단말(102)로 전송한다. 이때, 인증 서버(104)는 상기 접속 정보를 상기 인증 요청에 대한 인증 성공 패킷에 포함시켜 전송할 수 있다. 예를 들어, 상기 네트워크가 IEEE 802.1X 인증 프로토콜을 사용할 경우 상기 접속 정보는 802.1X EAP Success packet에 부가되어 전송될 수 있다.When the connection information is received from the DHCP server 106, the authentication server 104 transmits it to the user terminal 102 via the switch 108. At this time, the authentication server 104 may include the access information in the authentication success packet for the authentication request and transmit. For example, when the network uses the IEEE 802.1X authentication protocol, the access information may be transmitted in addition to an 802.1X EAP Success packet.

도 2는 본 발명의 일 실시예에 따른 인증 성공 패킷(EAP Success packet)을 나타낸 도면이다. 도시된 바와 같이, IEEE 802.1X EAP Success packet은 내부에 DATA 영역을 포함하며, 상기 접속 정보는 이와 같은 DATA 영역에 포함되여 전송될 수 있다.2 illustrates an EAP Success packet according to an embodiment of the present invention. As shown, the IEEE 802.1X EAP Success packet includes a DATA area therein, and the access information may be included in the DATA area and transmitted.

인증 서버(104)가 사용자 단말로 접속 정보를 포함하는 인증 성공 패킷을 전송하면, 사용자 단말(102)은 이를 수신하고, 상기 인증 성공 패킷에 포함된 상기 접속 정보를 추출하여 DHCP IP를 설정하게 된다.
When the authentication server 104 transmits an authentication success packet including access information to the user terminal, the user terminal 102 receives this, extracts the access information included in the authentication success packet, and sets a DHCP IP. .

도 3은 본 발명의 일 실시예에 따른 사용자 인증 기반의 접속 주소 할당 방법을 나타낸 순서도이다.3 is a flowchart illustrating a method for allocating a connection address based on user authentication according to an embodiment of the present invention.

먼저, 사용자 단말(102)이 인증 서버(104)로 인증 요청을 전송한다. 이때 상기 인증 요청은 전술한 바와 같이, 802.1X 인증 프로토콜에 따른 인증 요청일 수 있다.First, the user terminal 102 transmits an authentication request to the authentication server 104. In this case, as described above, the authentication request may be an authentication request based on the 802.1X authentication protocol.

상기 인증 요청을 수신한 인증 서버(104)는 상기 인증 요청을 기반으로 상기 사용자 단말의 인증을 수행한다. 이때 인증 서버(104)가 사용자 단말(102)의 인증에 실패한 경우, 인증 서버(104)는 사용자 단말(102)의 네트워크 접속을 차단한다. 그러나 이와 반대로 인증 서버(104)가 사용자 단말(102)의 인증에 성공한 경우, 인증 서버(104)는 DHCP 서버(106)로 인증된 상기 사용자 단말의 접속 주소 할당을 요청한다. 이때 상기 접속 주소는 사용자 단말(102)에 할당될 아이피 주소(IP Address)임은 전술하였다.The authentication server 104 receiving the authentication request performs authentication of the user terminal based on the authentication request. In this case, when the authentication server 104 fails to authenticate the user terminal 102, the authentication server 104 blocks the network connection of the user terminal 102. However, on the contrary, when the authentication server 104 succeeds in authenticating the user terminal 102, the authentication server 104 requests allocation of the access address of the user terminal authenticated with the DHCP server 106. In this case, the access address is an IP address to be allocated to the user terminal 102.

이후, DHCP 서버(106)는 인증 서버(104)로 사용자 단말(102)의 접속 주소를 포함하는 접속 정보(DHCP 설정 정보)를 전송하고, 인증 서버(104)는 수신한 접속 정보를 상기 인증 요청에 대응되는 인증 성공 패킷(EAP Success packet)에 부가하여 사용자 단말(102)로 전송한다. 전술한 바와 같이, 상기 접속 정보는 상기 인증 성공 패킷의 DATA 영역에 부가되어 저장될 수 있다.Thereafter, the DHCP server 106 transmits the access information (DHCP setting information) including the access address of the user terminal 102 to the authentication server 104, and the authentication server 104 transmits the received access information to the authentication request. In addition to the EAP Success packet corresponding to the transmission to the user terminal 102. As described above, the access information may be added to and stored in the DATA area of the authentication success packet.

마지막으로, 사용자 단말(102)은 상기 인증 성공 패킷을 수신하고, 이로부터 상기 접속 주소를 추출하여 DHCP IP를 설정하게 된다.
Finally, the user terminal 102 receives the authentication success packet, and extracts the access address from this to set up a DHCP IP.

이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be construed as limiting the scope of the present invention. I will understand.

그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined by the claims below and equivalents thereof.

100 : 사용자 인증 기반의 접속 주소 할당 시스템
102 : 사용자 단말 104 : 인증 서버
106 : DHCP 서버 108 : 스위치
110 : 미인가 DHCP 서버100: access address allocation system based on user authentication
102: user terminal 104: authentication server
106: DHCP server 108: switch
110: unauthorized DHCP server

Claims (11)

인증 서버에서, 사용자 단말로부터 인증 요청을 수신하는 단계;
상기 인증 서버에서, 상기 인증 요청을 기반으로 상기 사용자 단말의 인증을 수행하는 단계;
상기 인증 서버에서, 인가된 DHCP 서버로 인증된 상기 사용자 단말의 접속 주소 할당을 요청하는 단계;
상기 인증 서버에서, 상기 인가된 DHCP 서버로부터 인증된 상기 사용자 단말의 접속 주소를 포함하는 접속 정보를 전송 받는 단계; 및
상기 인증 서버에서, 전송 받은 상기 접속 정보를 상기 사용자 단말로 전송하는 단계를 포함하는 사용자 인증 기반의 접속 주소 할당 방법.
Receiving, at the authentication server, an authentication request from a user terminal;
At the authentication server, performing authentication of the user terminal based on the authentication request;
Requesting, at the authentication server, an access address assignment of the user terminal authenticated with an authorized DHCP server;
Receiving, at the authentication server, access information including an access address of the authenticated user terminal from the authorized DHCP server; And
And transmitting, from the authentication server, the received access information to the user terminal.
청구항 1에 있어서,
상기 접속 주소는 아이피 주소(IP Address)인, 사용자 인증 기반의 접속 주소 할당 방법.
The method according to claim 1,
The access address is an IP address (IP address), user authentication based access address allocation method.
청구항 1에 있어서,
상기 접속 정보를 상기 사용자 단말로 전송하는 단계는,
상기 인증 요청에 대응되는 인증 성공 패킷(EAP success packet)에 상기 접속 정보를 부가하여 상기 사용자 단말로 전송하도록 구성되는, 사용자 인증 기반의 접속 주소 할당 방법.
The method according to claim 1,
The step of transmitting the access information to the user terminal,
And adding the access information to an EAP success packet corresponding to the authentication request and transmitting the access information to the user terminal.
청구항 3에 있어서,
상기 접속 정보는 상기 인증 성공 패킷(EAP success packet)의 데이터 영역에 저장되는, 사용자 인증 기반의 접속 주소 할당 방법.
The method according to claim 3,
The access information is stored in the data area of the EAP success packet (EAP success packet), user authentication based access address allocation method.
삭제delete 삭제delete 삭제delete 사용자 단말로부터 수신된 인증 요청에 기초하여 상기 사용자 단말의 인증을 수행하고, 인증된 상기 사용자 단말의 접속 주소 할당 요청을 인가된 DHCP 서버로 송신하는 인증 서버를 포함하며,
상기 인가된 DHCP 서버는 상기 인증 서버로부터의 접속 주소 할당 요청에 대응하여 상기 사용자 단말에 접속 주소를 할당하고, 상기 할당된 접속 주소를 포함하는 접속 정보를 상기 인증 서버로 전송하고,
상기 인증 서버는 수신된 상기 접속 정보를 상기 사용자 단말로 전송하는, 사용자 인증 기반의 접속 주소 할당 시스템.
An authentication server configured to perform authentication of the user terminal based on an authentication request received from the user terminal, and transmit an access address allocation request of the authenticated user terminal to an authorized DHCP server;
The authorized DHCP server allocates a connection address to the user terminal in response to a request for assigning a connection address from the authentication server, and transmits connection information including the assigned connection address to the authentication server.
And the authentication server transmits the received access information to the user terminal.
청구항 8에 있어서,
상기 접속 주소는 아이피 주소(IP Address)인, 사용자 인증 기반의 접속 주소 할당 시스템.
The method according to claim 8,
The access address is an IP address (IP address), user authentication based access address assignment system.
청구항 8에 있어서,
상기 인증 서버는, 상기 인증 요청에 대응되는 인증 성공 패킷(EAP success packet)에 상기 접속 정보를 부가하여 상기 사용자 단말로 전송하는, 사용자 인증 기반의 접속 주소 할당 시스템.
The method according to claim 8,
And the authentication server adds the access information to an EAP success packet corresponding to the authentication request and transmits the access information to the user terminal.
청구항 10에 있어서,
상기 접속 정보는 상기 인증 성공 패킷(EAP success packet)의 데이터 영역에 저장되는, 사용자 인증 기반의 접속 주소 할당 시스템.The method according to claim 10,
The access information is stored in the data area of the EAP success packet (EAP success packet), user authentication based access address allocation system.
KR1020100109137A 2010-11-04 2010-11-04 System and method for assigning IP address based on user authentication KR101156479B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100109137A KR101156479B1 (en) 2010-11-04 2010-11-04 System and method for assigning IP address based on user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100109137A KR101156479B1 (en) 2010-11-04 2010-11-04 System and method for assigning IP address based on user authentication

Publications (2)

Publication Number Publication Date
KR20120047527A KR20120047527A (en) 2012-05-14
KR101156479B1 true KR101156479B1 (en) 2012-06-18

Family

ID=46266251

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100109137A KR101156479B1 (en) 2010-11-04 2010-11-04 System and method for assigning IP address based on user authentication

Country Status (1)

Country Link
KR (1) KR101156479B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055848A (en) * 2000-12-29 2002-07-10 박종섭 Dynamic ip address management method using radius server
KR20040046523A (en) * 2002-11-27 2004-06-05 한국전자통신연구원 Method of Dynamic IP Address allocation/release on Diameter Server
KR20050053145A (en) * 2003-12-02 2005-06-08 삼성전자주식회사 Wireless packet data system and method for dynamically updating domain name system for roaming users in the same
KR20050060638A (en) * 2003-12-17 2005-06-22 삼성전자주식회사 Apparatus and method of internet protocol address management in high speed portable internet

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055848A (en) * 2000-12-29 2002-07-10 박종섭 Dynamic ip address management method using radius server
KR20040046523A (en) * 2002-11-27 2004-06-05 한국전자통신연구원 Method of Dynamic IP Address allocation/release on Diameter Server
KR20050053145A (en) * 2003-12-02 2005-06-08 삼성전자주식회사 Wireless packet data system and method for dynamically updating domain name system for roaming users in the same
KR20050060638A (en) * 2003-12-17 2005-06-22 삼성전자주식회사 Apparatus and method of internet protocol address management in high speed portable internet

Also Published As

Publication number Publication date
KR20120047527A (en) 2012-05-14

Similar Documents

Publication Publication Date Title
CN110800331B (en) Network verification method, related equipment and system
EP2553950B1 (en) System and method for wlan roaming traffic authentication
EP2234343B1 (en) Method, device and system for selecting service network
US20160352751A1 (en) Method for controlling access to a service
CN100591013C (en) Implementing authentication method and system
US20140052860A1 (en) Ip address allocation
US20080134315A1 (en) Gateway, Network Configuration, And Method For Conrtolling Access To Web Server
JP2010118752A (en) Network system, dhcp server apparatus and dhcp client apparatus
KR20040042247A (en) The method and system for performing authentification to obtain access to public wireless LAN
WO2015174903A1 (en) Device authentication to capillary gateway
KR20070024116A (en) System for managing network service connection based on terminal aucthentication
KR100819942B1 (en) Method for access control in wire and wireless network
JP2002084306A (en) Packet communication apparatus and network system
WO2014201783A1 (en) Encryption and authentication method, system and terminal for ad hoc network
WO2011134134A1 (en) METHOD, DEVICE AND SYSTEM FOR INTERWORKING BETWEEN WiFi NETWORK AND WiMAX NETWORK
KR101156479B1 (en) System and method for assigning IP address based on user authentication
KR101584986B1 (en) A method for network access authentication
CN113556337A (en) Terminal address identification method, network system, electronic device and storage medium
KR101787404B1 (en) Method for allocating network address with security based on dhcp
KR100513296B1 (en) Apparatus, system and method for controlling network access
JP2009267638A (en) Terminal authentication/access authentication method, and authentication system
WO2006075823A1 (en) Internet protocol address management system co-operated with authentication server
US20180287995A1 (en) Technique for managing an address in a local area network
KR100668654B1 (en) Apparatus for dhcp sever of portable internet system and method for providing the service and packet access router having the apparatus
KR100856642B1 (en) Method of Providing Satellite Internet Service using DHCP and IP/MAC and System using the Same

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150305

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170309

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 8