KR101207320B1 - 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법 - Google Patents

네트워크 시스템 및 이를 이용한 보안 정책 적용 방법 Download PDF

Info

Publication number
KR101207320B1
KR101207320B1 KR1020100114345A KR20100114345A KR101207320B1 KR 101207320 B1 KR101207320 B1 KR 101207320B1 KR 1020100114345 A KR1020100114345 A KR 1020100114345A KR 20100114345 A KR20100114345 A KR 20100114345A KR 101207320 B1 KR101207320 B1 KR 101207320B1
Authority
KR
South Korea
Prior art keywords
security
server
client
acl
dhcp
Prior art date
Application number
KR1020100114345A
Other languages
English (en)
Other versions
KR20120053197A (ko
Inventor
모영범
홍광희
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100114345A priority Critical patent/KR101207320B1/ko
Publication of KR20120053197A publication Critical patent/KR20120053197A/ko
Application granted granted Critical
Publication of KR101207320B1 publication Critical patent/KR101207320B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 시스템 및 이를 이용한 보안 정책 적용 방법이 개시된다. 상기 네트워크 시스템을 이용한 보안 정책 적용 방법은 네트워크 시스템을 이용한 보안 정책 적용 방법은 DHCP 서버가 인증된 클라이언트의 DHCP IP 요청에 응답하여 상기 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하는 (A)단계, 보안 서버가 상기 인증된 클라이언트에 네트워크 접속을 위해 요구되는 보안 정책을 제공하고, 상기 인증된 클라이언트가 상기 보안 정책에 따라 수행한 보안 점검 결과를 수신하는 (B)단계 및 웹 서버가 상기 인증된 클라이언트의 보안 점검 결과에 대응하는 사용자 ACL을 상기 인증된 클라이언트에 전송하는 (C)단계를 포함한다. 상기 네트워크 시스템을 이용한 보안 정책 적용 방법은 클라이언트에 보안 정책을 제공하는 보안 서버에 대한 정보도 보안 정책의 일부로 포함시켜 보안성을 강화함과 동시에 IEEE 802.1X 기반의 표준 기술을 이용하므로 향후 확장성과 호환성도 제공한다.

Description

네트워크 시스템 및 이를 이용한 보안 정책 적용 방법{NETWORK SYSTEM AND METHOD FOR APPLYING SECURITY POLICY USING THE SAME}
본 발명은 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법에 관한 것으로, 특히, 네트워크 보안성을 강화할 수 있는 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법에 관한 것이다.
최근, 통신 시스템을 이용한 네트워크 서비스가 다양해지고, 그 규모가 커지면서 네트워크 보안 사고의 빈도와 규모도 증가하고 있다. 이에 따라, 네트워크 보안에 대한 인식이 높아지고 있으며, 이에 대한 연구도 활발히 이루어지고 있다.
일반적으로, 널리 사용되는 네트워크 보안 방법들 중 하나는 인증 서버가 클라이언트의 사용자 ID와 암호로부터 인증 여부를 판단한 후 접속 권한이 있는 사용자일 경우에만 클라이언트의 네트워크 접속을 허용하는 방법이다. 그러나, 이러한 방법도 최근 바이러스, 악성 코드 등에 의한 네트워크 공격이 점차 정교해짐에 따라 한계를 드러내고 있다. 이러한 이유로, 인증 여부와는 별도로 보안 정책을 이용하여 좀 더 높은 신뢰성을 갖는 클라이언트에만 네트워크 접근을 허용하기 위한 다양한 네트워크 접근 제어(Network Access Control, NAC) 기술들이 연구되고 있다.
본 발명의 실시 예들은 네트워크에 대한 접속 보안성을 강화하기 위해 클라이언트의 인증과 함께 보안 정책을 적용할 수 있는 수단을 제공하고자 한다.
또한, 본 발명의 실시 예들은 향후 확장성과 호환성을 고려하여 IEEE 802.1X 기반에서 보안 정책을 적용하여 네트워크 보안을 강화할 수 있는 수단을 제공하고자 한다.
상기 과제를 해결하기 위한 본 발명의 실시 예에 따른 네트워크 시스템은 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하는 DHCP 서버, 인증된 상기 클라이언트에게 네트워크 접속을 위해 요구되는 보안 정책을 제공하고, 상기 클라이언트가 상기 보안 정책에 따라 수행한 보안 점검 결과를 수신하는 보안 서버 및 상기 클라이언트의 보안 점검 결과에 따라 네트워크 접근 권한을 부여하기 위한 사용자 ACL을 상기 클라이언트로 전송하는 웹 서버를 포함한다.
또한, 상기 과제를 해결하기 위한 본 발명의 실시 예에 따른 네트워크 시스템을 이용한 보안 정책 적용 방법은 DHCP 서버가 인증된 클라이언트의 DHCP IP 요청에 응답하여 상기 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하는 (A)단계, 보안 서버가 상기 인증된 클라이언트에 네트워크 접속을 위해 요구되는 보안 정책을 제공하고, 상기 인증된 클라이언트가 상기 보안 정책에 따라 수행한 보안 점검 결과를 수신하는 (B)단계 및 웹 서버가 상기 인증된 클라이언트의 보안 점검 결과에 대응하는 사용자 ACL을 상기 인증된 클라이언트에 전송하는 (C)단계를 포함한다.
또한, 상기 과제를 해결하기 위한 본 발명의 실시 예에 따른 네트워크 시스템을 이용한 보안 정책 적용 방법은 DHCP 서버가, 보안 정책을 저장하고 있는 보안 서버의 접속 주소를 포함하는 기본 ACL 및 DHCP IP를 인증된 클라이언트에 제공하는 1단계 보안 정책을 수행하는 (A)단계 및 웹 서버는, 상기 인증된 클라이언트가 상기 기본 ACL를 이용하여 접속한 상기 보안 서버로부터 수신한 보안 정책에 따라 수행한 보안 점검 결과에 따라, 제한적인 네트워크 접속 권한을 부여하기 위한 사용자 ACL를 상기 인증된 클라이언트에게 제공하는 2단계 보안 정책을 수행하는 (B)단계를 포함한다.
본 발명의 실시 예는 사용자 인증과 기 설정된 보안 정책까지 만족하는 경우에만 클라이언트에게 정상적인 네트워크 접속을 허용함으로써, 네트워크에 대한 접속 보안성을 강화할 수 있다.
또한, 본 발명의 실시 예는 클라이언트에 보안 정책을 제공하는 보안 서버에 대한 정보도 보안 정책의 일부로 포함시킴으로써, 인증된 클라이언트가 보안 정보를 수신하기 전까지 노출되는 보안 위협에 대응할 수 있게 되어 네트워크 보안을 강화할 수 있다.
또한, 본 발명의 실시 예는 IEEE 802.1X 기반의 표준 기술을 이용하여 보안 정책을 수행하기 때문에 향후 확장성 및 호환성을 제공할 수 있다.
도1은 본 발명의 실시 예에 따른 네트워크 시스템의 구성을 도시한 도면이다.
도2는 도1의 네트워크 시스템을 이용하여 보안 정책을 적용하는 방법을 도시한 동작 절차도이다.
이하, 도1 내지 도2를 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시 예들에 따른 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법을 설명하면 다음과 같다.
도1은 본 발명의 실시 예에 따른 네트워크 시스템의 구성을 도시한 도면이다.
본 발명의 실시 예에 따른 네트워크 시스템(100)은 도1에 도시된 바와 같이, 클라이언트(client)(102), 스위치(104), 인증 프록시 서버(106), 인증 서버(108), DHCP(Dynamic Host Configuration Protocol) 서버(110), 보안 서버(112), DB(Database) 서버(114) 및 웹(Web) 서버(116)를 포함한다.
이와 같이 구성된 본 발명의 네트워크 시스템(100)의 각 블럭들의 기능을 살펴보면 다음과 같다.
먼저, 클라이언트(102)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치일 수 있다. 여기서, 클라이언트(102)는 유/무선을 통해 네트워크와 접속할 수 있는 기능을 포함하는 단말기를 가리킨다.
스위치(104)는 클라이언트(102)를 유선 네트워크에 접속시키기 위한 유선 스위치일 수도 있고, 무선 네트워크에 접속시키기 위한 무선 엑세스 포인트(Access Point, AP)일 수도 있다.
인증 프록시 서버(106)는 인증 대상에 대한 IEEE 802.1x 인증을 인증 서버(108)에 요청한다. 즉, 클라이언트(102)가 네트워크 접속을 위해 IEEE 802.1X 인증을 요청하는 경우 인증 프록시 서버(106)는 인증 서버(108)와 인증 과정을 수행하여 인증 결과를 클라이언트(102)로 전송한다.
한편, IEEE 802.1x는 포트 기반(port-based)의 네트워크 접속 제어(Network Access Control: NAC)를 위한 표준 프로토콜로서, 랜(Local Area Network: LAN)에서 인증과 암호화 키 관리를 위한 기본 구조 및 메커니즘을 규정한다. 여기서, IEEE 802.1x는 유/무선 근거리 네트워크 망에 모두 사용될 수 있다.
다음, 인증 서버(108)는 네트워크 접속을 시도하는 클라이언트(102)에 대한 IEEE 802.1X 인증을 수행한다. 즉, 인증 서버(108)는 클라이언트(102)의 사용자 ID와 암호를 기초로 클라이언트(102)가 네트워크에 접속할 자격이 있는지 여부를 판단하여 인증 결과를 인증 프록시 서버(106)를 통해 클라이언트(102)로 전달한다.
DHCP 서버(110)는 인증된 클라이언트(102)가 DHCP IP를 요청하는 경우 해당 클라이언트(102)에 DHCP IP 및 기본 접근 제어 리스트(Access Control List, 이하, ACL로 칭함)를 할당한다. 이때, DHCP 서버(110)는 DHCP IP 할당 패킷에 기본 ACL를 포함하여 클라이언트(102)로 전송한다. 여기서, ACL은 클라이언트(102)가 접근할 수 있는 네트워크와 접근할 수 없는 네트워크를 기 설정해 놓은 리스트(list)를 가리킨다.
DHCP 서버(110)는 기본 ACL에 의해 클라이언트(102)가 다른 네트워크에 접근하는 것을 차단하고, 보안 서버(112)에 접속하여 보안 정책을 수행하도록 유도한다. 즉, DHCP 서버(110)는 인증된 클라이언트(102)가 네트워크에 접속하기 전에 보안 정책을 수행하도록 하여 네트워크의 보안성을 높일 수 있다.
다음, 보안 서버(112)는 인증된 클라이언트(102)가 네트워크에 접속하기 위해 요구되는 현재의 보안 정책을 저장하고 있으며, 보안 정책을 포함하는 보안 정보를 해당 클라이언트(102)에 전송하는 역할을 수행한다. 여기서, 보안 정책에는 클라이언트(102)의 백신 프로그램(vaccine program) 설치 여부에 따른 네트워크 접속 허용 여부, 클라이언트(102)의 최신 패치 프로그램(patch program) 설치 여부에 따른 네트워크 접속 허용 여부 등이 포함될 수 있다.
보안 서버(112)는 네트워크에 최소 접속을 시도하는 클라이언트(102)로 현재의 보안 정책을 보내기도 하지만, 네트워크에 이미 연결되어 있는 클라이언트(102)에 최신 보안 정책을 주기적으로 보내기도 한다.
DB 서버(114)는 보안 정책에 따라 보안 점검을 한 클라이언트(102)의 보안 점검 결과를 저장한다. 예를 들어, DB 서버(114)에는 해당 클라이언트(102)의 패치 프로그램 설치 여부, 백신 프로그램 설치 여부 등이 저장될 수 있다.
다음, 웹 서버(116)는 클라이언트(102)의 보안 점검 결과에 따라 해당 클라이언트(102)에 사용자별 네트워크 접근 권한을 부여하기 위한 사용자 ACL를 전송한다. 클라이언트(102)는 사용자 ACL에 따라 정상적으로 네트워크에 접속하거나 보안 위반 처리 서버로 접속하게 된다. 여기서, 보안 위반 처리 서버는 패치 프로그램 서버, 백신 프로그램 서버 등을 포함한다.
도2는 도1의 네트워크 시스템을 이용하여 보안 정책을 적용하는 방법을 도시한 동작 절차도이다.
도1 및 도2를 참조하면, 먼저, 클라이언트(102)는 네트워크 접속을 위해 에이전트(Agent) 프로그램을 실행하고(S201), IEEE 802.1X 인증을 요청한다(S202). 이때, 클라이언트(102)는 IEEE 802.1X 인증을 위해 사용자 ID 및 암호를 전송한다.
다음, 스위치(104)는 IEEE 802.1X 인증 요청을 인증 프록시 서버(106)로 전달하고(S203), 인증 프록시 서버(106)는 IEEE 802.1X 인증 요청에 응답하여 인증 서버(108)에 해당 클라이언트(102)에 대한 IEEE 802.1X 인증을 요청한다(S204). 이때, 인증 프록시 서버(106)는 IEEE 802.1X 인증 요청을 인증 서버(108)와 통신 가능한 프로토콜로 변환한다. 예를 들어, 인증 프록시 서버(106)는 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 사용할 수도 있다.
인증 서버(108)는 해당 클라이언트(102)의 사용자 ID 및 암호를 검색하여 네트워크 접속 자격 여부를 판단한 후 인증 결과를 인증 프록시 서버(106)로 전송한다(S205). 인증 프록시 서버(106)는 인증 서버(108)의 인증 결과를 스위치(104)로 전달하고(S206), 스위치(104)는 이를 다시 클라이언트(102)로 전달한다(S207).
다음, 인증된 클라이언트(102)는 네트워크 접속을 위한 DHCP IP를 요청하며(S208), 스위치(104)는 클라이언트(102)의 DHCP IP 요청을 DHCP 서버(110)로 전달한다(S209).
DHCP 서버(110)는 인증된 클라이언트(102)의 DHCP IP 요청에 응답하여 DHCP IP및 기본 ACL를 할당한다(S210). 좀 더 구체적으로, DHCP 서버(110)는 클라이언트(102)가 DHCP IP를 요청하면, 인증 서버(108)로부터 해당 클라이언트(102)의 인증 여부를 확인한다. 그리고, DHCP 서버(110)는 해당 클라이언트(102)의 인증 결과에 따라 DHCP IP를 할당하며, DHCP IP 할당 패킷에 기본 ACL를 포함하여 전송한다. 여기서, 기본 ACL는 보안 서버(112)에 대한 접속 주소(또는, IP주소)와 접속 정책을 포함하며, 접속 정책은 상기 클라이언트(102)에 대해 보안 서버(112)에 대한 접속만 허용하고, 그 외에 모든 네트워크에 대한 접속은 차단하는 것으로 설정된다.
한편, DHCP IP 할당 패킷에는 표준 DHCP 규약(IETF RFC 3925)에 의거하여 Vendor-Specific Option이 제공된다. 상기 Vendor-Specific Option은 각 제조사에서 사적인 용도로 사용할 수 있도록 제공되는 필드이다. DHCP 서버(110)는 DHCP 규약에 따라 제공되는 옵션 필드(option field)들 중 125번 필드에 기본 ACL를 포함하여 전송할 수 있다. 즉, DHCP 서버(110)는 DHCP IP 할당 패킷에 기본 ACL를 포함하여 해당 클라이언트(102)로 전송한다.
다음, 스위치(104)는 DHCP IP 및 기본 ACL을 해당 클라이언트(102)에 전달한다(S211).
DHCP IP와 기본 ACL를 수신한 클라이언트(102)는 기본 ACL를 이용하여 보안 서버(112)에 보안 정보를 요청한다(S212). 기본 ACL에 포함된 접속 정책은 클라이언트(102)가 보안 서버(112)로만 접속하도록 허용하고 있으므로, 클라이언트(102)는 기본 ACL에 포함된 보안 서버(112)의 IP주소를 이용하여 보안 서버(112)에 접속한다.
보안 서버(112)는 클라이언트(102)의 요청에 응답하여 클라이언트(102)에 보안 정보를 전송한다(S213). 여기서, 보안 정보는 네트워크 접속을 위해 클라이언트(102)에 요구되는 현재의 보안 정책을 포함한다. 예를 들어, 보안 정책에는 클라이언트(102)가 네트워크에 접속하기 위해 최신 버전의 패치 프로그램 설치 여부, 백신 프로그램 설치 여부 등이 포함될 수 있다.
한편, 보안 서버(112)는 인증된 클라이언트(102)가 네트워크에 최소 접속을 시도할 때 보안 정보를 보낼 수도 있지만, 네트워크에 이미 연결되어 있는 클라이언트(102)에 보안 정보를 주기적으로 보낼 수도 있다.
다음, 클라이언트(102)는 수신된 보안 정보에 따라 보안 점검을 실시하고, 그 결과를 보안 서버(112)에 전송한다(S214). 예를 들어, 클라이언트(102)는 백신 프로그램, 패치 프로그램 설치 여부 등을 자체적으로 점검한 다음 그 결과를 보안 서버(11)에 보고한다. 그리고, 보안 서버(112)는 해당 클라이언트(102)의 보안 점검 결과를 DB 서버(114)에 기록한다(S215).
이후, 클라이언트(102)가 사용자 ACL를 요청하면, 웹 서버(116)는 인증 서버(108)에 사용자 ACL를 요청한다. 인증 서버(108)는 사용자 ACL을 저장하고 있으며, 해당 클라이언트(102)의 보안 점검 결과를 DB 서버(114)에서 검색하여 이 보안 점검 결과에 대응하는 사용자 ACL을 웹 서버(116)로 전달한다(S219). 그리고, 웹 서버(116)는 사용자 ACL를 클라이언트(102)로 전달한다(S220). 이때, 클라이언트(102)는 표준 HTTP/HTTPS(IETF RFC 2616/2818)에 기반한 웹을 통하여 사용자 ACL을 다운로드 받게 된다.
여기서, 사용자 ACL은 클라이언트(102)의 보안 점검 결과에 따라 접속 가능한 네트워크에 대한 접속 권한을 부여하기 위한 것으로, 접속을 허용하는 네트워크에 대한 IP주소를 포함한다. 예를 들어, 사용자 ACL는 접근을 허용할 네트워크를 정해놓고, 그 외의 네트워크에 대한 접근은 모두 거부(deny)로 설정될 수 있다.
좀 더 구체적으로 살펴보면, 클라이언트(102)가 보안 정책에 따라 자체적으로 보안 점검한 결과 보안 정책을 만족시키는 경우 클라이언트(102)에 정상적인 네트워크 접속 권한을 부여하기 위해 사용자 ACL에는 정상적인 네트워크 접속을 위한 IP 주소가 포함된다. 반면, 클라이언트(102)가 보안 정책을 만족시키지 못하는 경우 사용자 ACL에는 보안 정책을 만족시키기 위해 필요한 서버에 접속하기 위한 IP주소가 포함된다. 예를 들어, 클라이언트(102)에 백신 프로그램이 설치되어 있지 않은 경우 사용자 ACL에는 보안 정책에서 요구하는 백신 프로그램을 저장하고 있는 백신 프로그램 서버의 IP주소가 포함될 수 있다. 또한, 클라이언트(102)에 설치된 패치 프로그램이 최신 버전이 아닌 경우 사용자 ACL에는 보안 정책이 요구하는 패치 프로그램을 저장하고 있는 패치 프로그램 서버의 IP주소가 포함될 수 있다.
상기한 바와 같이, 웹 서버(116)는 클라이언트(102)의 보안 점검 결과에 따라 그에 상응하는 네트워크 접속 권한을 해당 클라이언트(102)에 부여하게 된다.
다음, 클라이언트(102)는 웹 서버(116)로부터 수신한 사용자 ACL을 적용한다(S221). 즉, 사용자 ACL에 포함되는 IP주소에 의해 정상적으로 네트워크에 접속하거나 백신 프로그램 서버, 패치 프로그램 서버 등에 접속하게 된다.
상술한 바와 같이, 본 발명의 실시 예에 따른 네트워크 시스템은 인증된 클라이언트(102)에 2단계 보안 정책을 적용한다. 먼저, 1단계 보안 정책은 인증된 클라이언트(102)에 DHCP IP를 할당하는 경우 이와 함께 보안 서버에 대한 정보를 포함하는 기본 ACL를 제공함으로써, 클라이언트의 보안 서버 접속만 허용하고, 그 외의 네트워크 접속을 제한하는 것이다. 즉, 보안 서버에 대한 정보 자체를 보안 정책에 포함된다. 다음, 2단계 보안 정책은 보안 서버로부터 수신한 보안 정보에 따른 보안 점검 결과에 따라 웹 서버가 해당 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 사용자 ACL을 제공함으로써, 해당 클라이언트가 정상적인 네트워크, 백신 프로그램 서버, 패치 프로그램 서버 등에서 어느 하나에 접속하도록 네트워크 접속을 제한하는 것이다.
이를 정리하면, 본 발명의 실시 예에 따른 네트워크 시스템은 보안 정책을 클라이언트에 제공하는 보안 서버에 대한 정보까지도 보안 정책으로 확장하며, 기본 ACL와 사용자 ACL에 따른 2단계 보안 정책에 의해 네트워크의 보안성을 강화시킬 수 있게 된다. 또한, 이러한 보안 정책들은 IEEE 802.1X 기반의 표준 기술을 이용하여 이루어지므로, 향후 보안 정책의 확장이 용이하다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 네트워크 시스템 102: 클라이언트
104: 스위치 106: 인증 프록시 서버
108: 인증 서버 110: DHCP 서버
112: 보안 서버 114: DB 서버
116: 웹 서버

Claims (22)

  1. 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하는 DHCP 서버;
    인증된 상기 클라이언트에게 네트워크 접속을 위해 요구되는 보안 정책을 제공하고, 상기 클라이언트가 상기 보안 정책에 따라 수행한 보안 점검 결과를 수신하는 보안 서버; 및
    상기 클라이언트의 보안 점검 결과에 따른 네트워크 접근 권한을 부여하기 위한 사용자 ACL을 상기 클라이언트로 전송하는 웹 서버;
    를 포함하는 네트워크 시스템.
  2. 제 1 항에 있어서, 상기 클라이언트는
    상기 기본 ACL을 기초로 상기 보안 서버에 접속하여 상기 보안 정책을 요청하는, 네트워크 시스템.
  3. 제 1 항 또는 제 2 항에 있어서, 상기 기본 ACL은
    상기 보안 서버의 접속 주소 및 접속 정책을 포함하는, 네트워크 시스템.
  4. 제 3 항에 있어서, 상기 접속 정책은
    상기 클라이언트에 대해 상기 보안 서버에 대한 접속만 허용하고, 그 외의 네트워크에 대한 접속은 제한하는, 네트워크 시스템.
  5. 제 1 항에 있어서, 상기 DHCP 서버는
    상기 인증된 클라이언트의 DHCP IP요청에 따른 DHCP IP 할당 패킷에 상기 기본 ACL을 포함하여 상기 인증된 클라이언트로 전송하는, 네트워크 시스템.
  6. 제 5 항에 있어서, 상기 기본 ACL은
    상기 DHCP IP 할당 패킷의 옵션 필드(option field)에 포함되는, 네트워크 시스템.
  7. 제 1 항에 있어서, 상기 클라이언트는
    상기 사용자 ACL를 기초로 정상적인 네트워크 또는 보안 위반 처리 서버에 접속하는, 네트워크 시스템.
  8. 제 7 항에 있어서, 상기 보안 위반 처리 서버는
    백신 프로그램 서버 및 패치 프로그램 서버를 포함하는, 네트워크 시스템.
  9. 제 1 항에 있어서,
    상기 클라이언트의 인증 여부를 판단하여 상기 클라이언트에 인증 결과를 전송하며, 인증된 상기 클라이언트의 보안 점검 결과에 대응하는 사용자 ACL을 상기 웹 서버에 제공하는 인증 서버를 더 포함하는, 네트워크 시스템.
  10. DHCP 서버가 인증된 클라이언트의 DHCP IP 요청에 응답하여 상기 인증된 클라이언트에 제한적인 네트워크 접속 권한을 부여하기 위한 기본 ACL 및 DHCP IP를 할당하는 (A)단계;
    보안 서버가 상기 인증된 클라이언트에 네트워크 접속을 위해 요구되는 보안 정책을 제공하고, 상기 인증된 클라이언트가 상기 보안 정책에 따라 수행한 보안 점검 결과를 수신하는 (B)단계; 및
    웹 서버가 상기 인증된 클라이언트의 보안 점검 결과에 대응하는 사용자 ACL을 상기 인증된 클라이언트에 전송하는 (C)단계;
    를 포함하는 네트워크 시스템을 이용한 보안 정책 적용 방법.
  11. 제 10 항에 있어서, 상기 (A)단계에서,
    상기 DHCP 서버는 DHCP IP 할당 패킷에 상기 기본 ACL을 포함하여 상기 인증된 클라이언트로 전송하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  12. 제 11 항에 있어서, 상기 기본 ACL은
    상기 DHCP IP 할당 패킷의 옵션 필드(option field)에 포함되는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  13. 제 10 항 또는 제 11 항에 있어서, 상기 기본 ACL는
    상기 인증된 클라이언트에 대해 상기 보안 서버로의 접속만 허용하는 접속 정책과 상기 보안 서버의 접속 주소를 포함하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  14. 제 10 항에 있어서, 상기 (C)단계에서,
    상기 웹 서버는
    상기 인증된 클라이언트가 상기 보안 정책을 만족시키는 경우 상기 사용자 ACL에 의해 상기 인증된 클라이언트가 정상적인 네트워크에 접속할 수 있도록 하고,
    상기 인증된 클라이언트가 상기 보안 정책을 만족시키지 못하는 경우 상기 사용자 ACL에 의해 상기 인증 클라이언트가 보안 위반 처리 서버로 접속할 수 있도록 하는,
    네트워크 시스템을 이용한 보안 정책 적용 방법.
  15. 제 14 항에 있어서, 상기 보안 위반 처리 서버는
    백신 프로그램 서버 및 패치 프로그램 서버를 포함하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  16. 제 10 항에 있어서, 상기 (C)단계는,
    인증 서버가 상기 인증된 클라이언트의 보안 점검 결과에 대응하는 사용자 ACL를 상기 웹 서버에 제공하는 단계를 더 포함하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  17. DHCP 서버가, 보안 정책을 저장하고 있는 보안 서버의 접속 주소를 포함하는 기본 ACL 및 DHCP IP를 인증된 클라이언트에 제공하는 1단계 보안 정책을 수행하는 (A)단계; 및
    웹 서버는, 상기 인증된 클라이언트가 상기 기본 ACL을 이용하여 보안 서버에 접속하고 접속된 상기 보안 서버로부터 수신한 보안 정책에 따라 보안 점검을 수행한 경우, 상기 인증된 클라이언트로부터 보안 점검 결과를 수신하고, 수신된 상기 보안 점검 결과에 따라 네트워크 접속 권한을 부여하기 위한 사용자 ACL를 상기 인증된 클라이언트에게 제공하는 2단계 보안 정책을 수행하는 (B)단계;
    를 포함하는 네트워크 시스템을 이용한 보안 정책 적용 방법.
  18. 제 17 항에 있어서, 상기 (A)단계에서,
    상기 기본 ACL은 상기 클라이언트에 대해 상기 보안 서버에 대한 접속만 허용하고, 다른 네트워크에 대한 접속을 차단하는 접속 정책을 더 포함하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  19. 제 17 항에 있어서, 상기 (A)단계에서,
    상기 DHCP 서버는 DHCP IP 할당 패킷에 상기 기본 ACL를 포함하여 상기 인증된 클라이언트에게 제공하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  20. 제 19 항에 있어서, 상기 기본 ACL은
    상기 DHCP IP 할당 패킷의 옵션 필드(option field)에 포함되는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  21. 제 17 항에 있어서, 상기 (B)단계에서,
    상기 웹 서버는 상기 사용자 ACL에 의해 상기 인증된 클라이언트가 정상적인 네트워크 또는 보안 위반 처리 서버에 접속하도록 하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
  22. 제 21 항에 있어서, 상기 보안 위반 처리 서버는
    백신 프로그램 서버 및 패치 프로그램 서버를 포함하는, 네트워크 시스템을 이용한 보안 정책 적용 방법.
KR1020100114345A 2010-11-17 2010-11-17 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법 KR101207320B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100114345A KR101207320B1 (ko) 2010-11-17 2010-11-17 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100114345A KR101207320B1 (ko) 2010-11-17 2010-11-17 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법

Publications (2)

Publication Number Publication Date
KR20120053197A KR20120053197A (ko) 2012-05-25
KR101207320B1 true KR101207320B1 (ko) 2012-12-03

Family

ID=46269467

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100114345A KR101207320B1 (ko) 2010-11-17 2010-11-17 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법

Country Status (1)

Country Link
KR (1) KR101207320B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690105B1 (ko) * 2015-10-16 2016-12-27 한밭대학교 산학협력단 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법

Also Published As

Publication number Publication date
KR20120053197A (ko) 2012-05-25

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
US7966650B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US10764264B2 (en) Technique for authenticating network users
US8898459B2 (en) Policy configuration for mobile device applications
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US8918841B2 (en) Hardware interface access control for mobile applications
US10932129B2 (en) Network access control
US7703126B2 (en) Hierarchical trust based posture reporting and policy enforcement
US20120159578A1 (en) Methods and apparatus to control privileges of mobile device applications
US11812261B2 (en) System and method for providing a secure VLAN within a wireless network
CN103944890A (zh) 基于客户端/服务器模式的虚拟交互系统及方法
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
US11706628B2 (en) Network cyber-security platform
JP2022519433A (ja) 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法
CN115664693A (zh) 资源访问系统、方法、电子设备和存储介质
KR101207320B1 (ko) 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법
KR200427501Y1 (ko) 사용자 기반의 네트워크 보안 시스템
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP2014230158A (ja) アクセス制御方法、無線通信システム、管理装置、無線端末及びアクセス制御プログラム
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
KR20180124817A (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 ip 주소 할당 방법
WO2006001590A1 (en) Netwok security system co-operated with an authentification server and method thereof
KR20170044835A (ko) 802.1x 기반 동적 호스트 접근통제 시스템 및 방법
WO2005062233A2 (en) Computer security system
Sarean et al. Larbac: enforcement of location constraints for location-aware RBAC system in mobile environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160920

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 7