KR101310631B1 - System and method for controlling access to network - Google Patents

System and method for controlling access to network Download PDF

Info

Publication number
KR101310631B1
KR101310631B1 KR1020110091798A KR20110091798A KR101310631B1 KR 101310631 B1 KR101310631 B1 KR 101310631B1 KR 1020110091798 A KR1020110091798 A KR 1020110091798A KR 20110091798 A KR20110091798 A KR 20110091798A KR 101310631 B1 KR101310631 B1 KR 101310631B1
Authority
KR
South Korea
Prior art keywords
access control
terminal
server
network
network access
Prior art date
Application number
KR1020110091798A
Other languages
Korean (ko)
Other versions
KR20130028323A (en
Inventor
송성대
신지선
김승국
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020110091798A priority Critical patent/KR101310631B1/en
Publication of KR20130028323A publication Critical patent/KR20130028323A/en
Application granted granted Critical
Publication of KR101310631B1 publication Critical patent/KR101310631B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 접근 제어 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템은, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 수신된 것으로 판단된 패킷을 수신하고, 기 저장된 접근 제어 리스트(Access Control List)를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함한다.A network access control system and method are disclosed. A network access control system according to an embodiment of the present invention includes a network access server that receives a packet from a terminal and determines whether the received packet is a packet received from an individual access control target terminal; And receiving the packet determined to be received from the individual access control target terminal from the network access server, and allowing or blocking the packet received from the network access server using a previously stored access control list. Includes an access control server.

Description

네트워크 접근 제어 시스템 및 방법{System and method for controlling access to network}System and method for controlling access to network

본 발명의 실시예들은 네트워크상에서 네트워크 개체들의 접근을 제어하기 위한 기술과 관련된다.
Embodiments of the present invention relate to techniques for controlling access of network entities on a network.

네트워크 접근 제어(NAC; Network Access Control)란 네트워크의 보안을 강화하기 위한 방식의 하나로서, 미리 정의된 보안 정책에 부합되는 네트워크 개체에만 네트워크 자원의 이용을 허가하는 방식이다.Network Access Control (NAC) is a method for enhancing the security of a network, and is a method of allowing the use of network resources only to network entities that meet a predefined security policy.

네트워크 접근 제어를 위하여 일반적으로 네트워크 액세스 콘트롤 리스트(Network ACL; 또는 네트워크 접근 제어 리스트)가 사용된다. 네트워크 액세스 콘트롤 리스트란 네트워크 내 자원을 이용하도록 허가된 네트워크 개체의 IP 및 URL 등을 기록한 목록을 의미한다. 예를 들어, 네트워크에 접속된 단말 등의 개체들은 기 설정된 네트워크 액세스 콘트롤 리스트에 따라 네트워크 내 모든 자원을 사용 가능하거나, 또는 한정된 네트워크 내 공간으로 격리되거나, 또는 모든 네트워크 내 자원에 대한 접속이 차단될 수 있다.Network access control lists (Network ACLs) or network access control lists are generally used for network access control. The network access control list is a list of IPs and URLs of network entities authorized to use resources in the network. For example, entities such as terminals connected to a network may use all resources in the network according to a preset network access control list, or may be isolated to a limited network space, or access to all network resources may be blocked. Can be.

네트워크상에서 네트워크 접근 제어를 구현하기 위한 방법으로는 크게 다음의 두 가지 방법이 있을 수 있다. 첫 번째는, 네트워크 개체들이 접속하는 네트워크 접속 시스템(NAS; Network Access System)에서 네트워크 ACL을 처리하는 방법이다. 이 방법의 경우 ACL 처리를 위한 모듈이 NAS 내부에 포함되므로, 네트워크 개체들에 해당 모듈이 노출될 가능성이 낮아 보안 측면에서 유리한 장점이 있다. 그러나 NAS는 ACL 처리 외에도 수 많은 네트워크 개체들의 네트워크 접속 및 데이터 송수신을 중계하여야 하므로, 그룹 단위의 ACL이 아닌 개인별 ACL을 처리하기에는 무리가 있다.There are two ways to implement network access control on a network. The first is to handle network ACLs in a network access system (NAS) to which network entities access. In this method, since a module for ACL processing is included in the NAS, the module is not exposed to network entities, which is advantageous in terms of security. However, since NAS must relay network access and data transmission and reception of numerous network entities in addition to ACL processing, it is difficult to process individual ACLs rather than group-level ACLs.

두 번째 방법으로는, NAS에 접속하는 네트워크 개체, 즉 네트워크 접속 단말에서 네트워크 ACL을 처리하는 방법이 있다. 이 경우 NAS에서 네트워크 ACL을 처리할 필요가 없으므로, 결과적으로 NAS의 부하를 각 단말들에 분산하는 효과가 있다. 그러나 이 경우 ACL 처리 알고리즘이 단말에 직접 탑재되므로 해킹 등에 의하여 노출될 가능성이 있어 보안 측면에서 불리하다. 또한 다양한 운영체제를 이용하는 각각의 단말들 별로 ACL 처리 모듈을 별개로 개발하여야 하므로 첫 번째 방법에 비해 비효율적이며, 특히 컴퓨팅 파워가 제한된 스마트폰 등의 모바일 단말의 경우 네트워크 ACL을 단말 내부에서 처리하는 데 많은 무리가 따르게 된다.
The second method is a network entity that accesses the NAS, that is, a network ACL at the network access terminal. In this case, since the NAS does not need to process the network ACL, as a result, the load of the NAS is distributed to each terminal. In this case, however, the ACL processing algorithm is directly mounted on the terminal, which may be exposed by hacking and the like, which is disadvantageous in terms of security. In addition, the ACL processing module must be developed separately for each terminal using various operating systems, which is inefficient compared to the first method, and in particular, mobile terminals such as smartphones with limited computing power are required to process network ACLs inside the terminal. The crowd will follow.

본 발명은 네트워크 접속 시스템의 부하를 최소화하는 동시에 그룹별 및 개인별 접근 제어를 효과적으로 처리하기 위한 수단을 제공하기 위한 것이다.
The present invention aims to provide a means for effectively handling group and individual access control while minimizing the load on a network access system.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템은, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함한다.Network access control system according to an embodiment of the present invention for solving the above problems, a network access server for receiving a packet from a terminal, and determines whether the received packet is a packet transmitted from the individual access control target terminal ; And a personal access control server for receiving a packet determined to be transmitted from the personal access control target terminal from the network access server, and allowing or blocking a packet received from the network access server using a previously stored personal access control list. Include.

한편, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법은, 네트워크 접속 서버에서, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 단계; 개인별 접근 제어 서버에서, 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하는 단계; 및 상기 개인별 접근 제어 서버에서, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 단계를 포함한다.
On the other hand, the network access control method according to an embodiment of the present invention for solving the above problems, in the network access server, the packet is received from the terminal, and whether the received packet is a packet transmitted from the individual access control target terminal Determining whether or not; Receiving, at the individual access control server, a packet determined to be transmitted from the personal access control target terminal from the network access server; And allowing or blocking the packet received from the network access server by using the previously stored personal access control list in the personal access control server.

본 발명의 실시예들에 따를 경우, 그룹별 접근 제어는 네트워크 접속 서버에서 수행하고 개인별 접근 제어가 필요한 경우 이를 개인별 접근 제어 서버에서 수행하므로, 네트워크 접속 서버의 부하를 최소화하는 동시에 효율적으로 개인별 접근 제어를 제공할 수 있는 장점이 있다.
According to the embodiments of the present invention, the access control for each group is performed by the network access server, and if the individual access control is required by the individual access control server, so that the individual access control efficiently while minimizing the load of the network access server. There is an advantage to provide.

도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법을 도시한 순서도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법에서의 단말 인증 과정을 상세히 설명하기 위한 순서도이다.1 is a block diagram illustrating a network access control system according to an embodiment of the present invention.
2 is a flowchart illustrating a network access control method according to an embodiment of the present invention.
3 is a flowchart illustrating a terminal authentication process in detail in a network access control method according to an embodiment of the present invention.

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. However, this is merely an example and the present invention is not limited thereto.

본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intention or custom of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.

본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
The technical idea of the present invention is determined by the claims, and the following embodiments are merely a means for effectively explaining the technical idea of the present invention to a person having ordinary skill in the art to which the present invention belongs.

도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템(100)을 나타낸 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템(100)은 네트워크 접속 단말(102), 네트워크 접속 서버(104), 개인별 접근 제어 서버(106), 인증 서버(108) 및 관리자 단말(110)을 포함한다.1 is a block diagram illustrating a network access control system 100 according to an embodiment of the present invention. As shown, the network access control system 100 according to an embodiment of the present invention includes a network access terminal 102, a network access server 104, a personal access control server 106, an authentication server 108, and an administrator. It includes a terminal 110.

네트워크 접속 단말(102; 이하 "단말"로 지칭함)은 네트워크 접속 서버(104)를 통하여 네트워크(112)에 접근하기 위한 장치이다. 본 발명의 실시예에서, 단말(102)은 패킷 기반의 네트워크(112)에 유선 또는 무선 통신 수단을 이용하여 접속을 수행하여 데이터를 송수신할 수 있는 기기를 통칭하는 의미로서, 예를 들어 데스크탑 컴퓨터, 노트북 컴퓨터, 휴대 전화, 스마트폰, PDA, 태블릿 PC 등이 될 수 있다.Network access terminal 102 (hereinafter referred to as "terminal") is a device for accessing network 112 via network access server 104. In an embodiment of the present invention, the terminal 102 refers to a device that can transmit and receive data by performing a connection to the packet-based network 112 by using wired or wireless communication means, for example, a desktop computer. , Notebook computer, mobile phone, smartphone, PDA, tablet PC.

네트워크 접속 서버(104)는 단말(102)의 네트워크(112) 접속을 처리하기 위한 서버이다. 즉, 단말(102)이 네트워크(112)에 접속하기 위해서는 반드시 네트워크 접속 서버(104)를 거쳐야 하며, 단말(102)이 네트워크(112) 내 다른 구성요소(예를 들어, 인터넷상의 웹 서버 또는 기업 네트워크에서의 파일 서버 등)들과 송수신하는 패킷은 반드시 네트워크 접속 서버(104)를 경유하도록 구성된다.The network connection server 104 is a server for processing the network 112 connection of the terminal 102. That is, in order for the terminal 102 to access the network 112, the terminal 102 must go through the network access server 104, and the terminal 102 is connected to other components in the network 112 (eg, a web server or an enterprise on the Internet). Packets transmitted and received with file servers, etc. in the network are necessarily configured to pass through the network connection server 104.

네트워크 접속 서버(104)는 후술할 인증 서버(108)와 연결되어 접속한 단말(102)을 인증한다. 또한, 네트워크 접속 서버(104)는 자체적으로 접근 제어 리스트(ACL; Access Control List)를 구비하며, 단말(102)로부터 패킷이 수신되면 상기 접근 제어 리스트를 참조하여 수신된 패킷을 차단하거나 또는 허용한다. 네트워크 접속 서버(104)에 구비된 접근 제어 리스트는 그룹별 접근 제어 리스트로서, 예를 들어 특정 범위 내의 IP를 가진 단말(102)들에 대해서는 네트워크(112) 접근을 허용하고, 나머지 단말(102)들에 대해서는 네트워크(112) 접근을 차단하도록 구성될 수 있다.The network access server 104 authenticates the terminal 102 connected to the authentication server 108 to be described later. In addition, the network access server 104 itself has an access control list (ACL), and when a packet is received from the terminal 102, referring to the access control list to block or allow the received packet. . The access control list provided in the network access server 104 is a group-specific access control list, for example, allows access to the network 112 to terminals 102 having IP within a specific range, and the remaining terminals 102. Can be configured to block network 112 access.

또한, 네트워크 접속 서버(104)는 상기 그룹별 접근 제어 리스트와 별도로 개인별 접근 제어가 필요한 단말의 식별 정보를 포함하는 개인별 접근 제어 대상 단말 리스트를 포함한다. 만약 네트워크 접속 서버(104)로 수신되는 패킷의 송신 주소가 상기 개인별 접근 제어 대상 단말 리스트에 속한 것일 경우, 네트워크 접속 서버(104)는 상기 패킷을 직접 처리하는 것이 아니라 후술할 개인별 접근 제어 서버(106)로 송신한다. 다시 말해, 본 발명의 실시예에서, 그룹별 접근 제어는 네트워크 접속 서버(104)에서 이루어지며, 개별 단말 단위의 접근 제어는 개인별 접근 제어 서버(106)에서 수행된다. 상기 개인별 접근 제어 대상 단말 리스트는 인증 서버(108)로부터 수신되는 정보에 따라 업데이트되며, 이에 대한 상세한 설명은 후술하기로 한다.In addition, the network access server 104 includes a personal access control target terminal list including identification information of a terminal requiring individual access control separately from the group-specific access control list. If the transmission address of the packet received by the network access server 104 belongs to the individual access control target terminal list, the network access server 104 does not process the packet directly but rather the individual access control server 106 to be described later. To send). In other words, in the embodiment of the present invention, group-specific access control is performed in the network access server 104, and individual terminal-based access control is performed in the individual access control server 106. The personal access control target terminal list is updated according to the information received from the authentication server 108, a detailed description thereof will be described later.

본 발명에서 이와 같이 접근 제어를 네트워크 접속 서버(104) 및 개인별 접근 제어 서버(106)에 분담하는 이유는, 그룹별 접근 제어의 경우 패킷의 송신 IP 주소 또는 포트(Port) 만으로 판단이 가능하므로 네트워크 접속 서버(104)에서 충분히 적용이 가능하나, 개인별 접근 제어의 경우 송신 IP 및 포트(Port)뿐만 아니라, 수신 IP/Port, 프로토콜 타입, 전송 시간 등 필요에 따라 다양한 변수들이 고려되어야 하므로 빠른 시간 내에 다량의 패킷을 처리하여야 하는 네트워크 접속 서버(104)에 과중한 부하를 줄 우려가 있기 때문이다. 즉, 본 발명의 실시예의 경우, 개인별 접근 제어가 필요하지 않은 패킷은 개인별 접근 제어 서버(106)를 경유하지 않고 네트워크 접속 서버(104)에서 접근 제어를 수행한 뒤 바로 네트워크(112)로 전송되고, 개인별 접근 제어가 필요한 패킷에 대해서는 이를 전담하는 별도의 개인별 접근 제어 서버(106)에서 해당 패킷의 접근 제어를 수행함으로써 네트워크 접속 서버(104)에 불필요한 부담을 주지 않으면서 효과적으로 개인별 접근 제어를 수행할 수 있도록 구성된다.In the present invention, the reason for allocating the access control to the network access server 104 and the individual access control server 106 in this way is that in the case of group-specific access control, only the transmission IP address or port (Port) of the packet can be determined. Applicable enough in the access server 104, but in the case of individual access control, not only the sending IP and port, but also various parameters, such as receiving IP / Port, protocol type, transmission time, etc. should be considered as soon as possible. This is because there is a risk of overloading the network connection server 104 that must process a large amount of packets. That is, in the embodiment of the present invention, a packet that does not need individual access control is transmitted to the network 112 immediately after performing the access control in the network access server 104 without passing through the individual access control server 106. For a packet requiring individual access control, a separate individual access control server 106 dedicated to the individual access control server 106 performs the access control of the corresponding packet to effectively perform the individual access control without unnecessary burden on the network access server 104. It is configured to be.

개인별 접근 제어 서버(106)는 개인별 접근 제어 리스트를 이용하여 단말(102)의 네트워크 내 특정 구성요소에 대한 접근을 허용 또는 제한하기 위한 서버로서, 네트워크 접속 서버(104)로부터 개인별 접근 제어가 필요한 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 네트워크 접속 서버(104)로부터 수신된 패킷을 허용 또는 차단한다. 개인별 접근 제어 서버(106)에 포함된 개인별 접근 제어 리스트는 네트워크 접속 서버(104)에 저장된 그룹별 접근 제어 리스트보다 훨씬 정교한 접근 제어가 가능하다. 즉, 개인별 접근 제어 서버(106)에 저장된 상기 개인별 액세스 콘트를 리스트에는 수신된 패킷의 송신 네트워크 주소(IP/Port 또는 맥어드레스), 수신 네트워크 주소(IP/Port 또는 맥어드레스), 프로토콜 타입, 송신 시간 등에 따른 패킷의 허용 또는 차단 여부 정보가 저장되며, 개인별 접근 제어 서버(106)는 이와 같은 개인별 접근 제어 리스트 및 수신된 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 등의 정보를 참조하여 해당 패킷의 허용, 차단 또는 특정 네트워크 내 공간으로의 리다이렉션 여부를 결정할 수 있다.The individual access control server 106 is a server for allowing or restricting access to a specific component in the network of the terminal 102 by using a personal access control list, and requires individual access control from the network access server 104. The packet is determined, and the packet received from the network access server 104 is allowed or blocked by using a pre-stored personal access control list. The personal access control list included in the personal access control server 106 may be more sophisticated than the group access control list stored in the network access server 104. That is, the personal access control stored in the personal access control server 106 includes a transmission network address (IP / Port or Mac address), a reception network address (IP / Port or Mac address), a protocol type, and transmission of the received packet. Information on whether to allow or block a packet according to time is stored, and the individual access control server 106 stores information such as a personal access control list and a transmission network address, a reception network address, a protocol type, and a transmission time of the received packet. With reference, it is possible to determine whether to allow, block, or redirect the packet to a specific network space.

인증 서버(108)는 네트워크 접속 서버(104)에 접속한 단말을 인증한다. 단말(102)이 최초 네트워크 접속 서버(104)에 접속을 수행할 경우, 단말(102)은 먼저 네트워크 접속 서버(104)에 인증 요청을 전송한다. 상기 인증 요청은 예를 들어, 단말(102) 사용자의 아이디/패스워드 정보를 포함하여 구성될 수 있으나, 이와 달리 일반적으로 네트워크 보안 및 사용자 식별을 위하여 사용되는 다양한 인증 방식 또한 본 발명에서 제한 없이 사용 가능하다. 상기 인증 요청을 수신한 네트워크 접속 서버(104)는 이를 인증 서버(108)로 전송하고, 인증 서버(108)는 이를 수신한 뒤 사전에 설정된 인증 프로토콜을 이용하여 단말(102)을 인증한다. 만약 상기 인증에 성공한 경우 인증 서버(108)는 인증 성공 메시지를 네트워크 접속 서버(104)에 전송하고, 인증에 실패한 경우에는 인증 실패 메시지를 전송한다. 네트워크 접속 서버(104)는 상기 인증 성공 또는 인증 실패 메시지를 수신하고, 인증에 성공한 경우에만 단말(102)로부터 패킷을 수신하게 된다.The authentication server 108 authenticates the terminal connected to the network connection server 104. When the terminal 102 connects to the initial network connection server 104, the terminal 102 first transmits an authentication request to the network connection server 104. For example, the authentication request may be configured to include ID / password information of the user of the terminal 102. Alternatively, various authentication methods generally used for network security and user identification may also be used without limitation in the present invention. Do. The network access server 104 receiving the authentication request transmits it to the authentication server 108, and the authentication server 108 authenticates the terminal 102 using the authentication protocol set in advance after receiving it. If the authentication is successful, the authentication server 108 transmits an authentication success message to the network access server 104, and if authentication fails, transmits an authentication failure message. The network access server 104 receives the authentication success or authentication failure message and receives a packet from the terminal 102 only when authentication is successful.

또한, 인증 서버(108)는 각 단말(102)들이 속한 그룹 정보를 저장한다. 상기 그룹은 예를 들어 특정 기업 또는 단체의 내부 사용자 그룹, 외부 사용자 그룹 등으로 나눌 수 있으며, 내부 사용자 그룹은 필요한 경우 각 부서 별 그룹으로 세분화될 수 있다. 그리고 네트워크 접속 서버(104)는 상기와 같이 구분된 그룹 별 접근 제어 리스트를 저장한다. 예를 들어, 내부 사용자 그룹에는 기업 내 네트워크의 모든 구성요소에 대한 액세스가 가능하도록 설정하거나, 또는 특정 부서별 그룹의 경우 타 부서의 네트워크 구성요소에 대해서는 액세스가 제한되도록 설정할 수 있다. 또한 외부 사용자 그룹의 경우 외부 사용자용으로 허가된 네트워크 내 구성요소에만 접근 가능하도록 그룹 별 접근 제어 리스트를 구성할 수 있다. 이에 따라 단말(102)의 인증 시 인증 서버(108)는 인증된 단말(102)이 속한 그룹 정보를 인증 결과 메시지와 함께 네트워크 접속 서버(104)로 전송하며, 이를 수신한 네트워크 접속 서버(104)는 해당 그룹에 맞는 그룹별 접근 제어를 수행할 수 있다.In addition, the authentication server 108 stores the group information to which each terminal 102 belongs. The group may be divided into, for example, an internal user group, an external user group, etc. of a specific company or organization, and the internal user group may be divided into groups for each department if necessary. The network access server 104 stores the access control list for each group divided as described above. For example, internal user groups can be set up to allow access to all components of the corporate network, or certain departmental groups can be set to restrict access to network components of other departments. In addition, in the case of external user groups, access control lists for each group can be configured to allow access only to components in the network authorized for external users. Accordingly, when authenticating the terminal 102, the authentication server 108 transmits the group information to which the authenticated terminal 102 belongs to the network access server 104 together with the authentication result message, and receives the network access server 104. Can perform group-specific access control for the group.

또한, 인증 서버(108)는 자체적으로 개인별 접근 제어 대상 단말 리스트(개인별 접근 제어가 필요한 단말의 목록)를 저장 및 관리하며, 단말(102)의 인증이 성공한 경우, 상기 리스트를 이용하여 해당 단말(102)이 개인별 접근 제어가 필요한 단말인지의 여부를 결정한다. 예를 들어, 특정한 업무를 맡거나 한 사용자의 경우 그룹별 접근 제어와 별도로 해당 업무 수행을 위한 개인별 접근 제어를 수행할 필요가 있으며, 이와 같은 사용자가 사용하는 단말의 경우 상기 개인별 접근 제어 대상 단말 리스트에서 별도로 관리된다. 상기 개인별 접근 제어 대상 단말 리스트는 개인별 접근 제어가 필요한 단말의 네트워크상의 주소 또는 기타 식별 정보를 포함하는 목록 또는 리스트로서, 후술할 관리자 단말(110)에 의하여 관리된다. 인증 서버(108)는 수신된 인증 요청의 송신 어드레스 또는 송신자의 식별 정보가 상기 리스트에 포함되어 있는지의 여부를 판단함으로써 개인별 접근 제어가 필요한 단말인지의 여부를 결정할 수 있다. 만약 네트워크 접속 서버(104)로부터 인증 요청이 수신된 단말이 개인별 접근 제어가 필요한 단말일 경우, 인증 서버(108)는 인증 성공 메시지와 함께 해당 단말이 개인별 접근 제어가 필요한 단말임을 알리는 메시지를 함께 전송할 수 있다. 즉, 네트워크에 접속 서버(104)에 접속된 단말의 개인별 접근 제어 필요 여부는 해당 단말(102)의 인증 시 인증 서버(108)에서 결정되며, 네트워크 접속 서버(104)는 인증 서버(108)로부터 결정된 개인별 접근 제어 여부 정보를 제공받고 이를 이용하여 수신된 패킷을 개인별 접근 제어 서버(106)로 보낼지의 여부를 결정하게 된다.In addition, the authentication server 108 stores and manages a list of individual access control target terminals (list of terminals requiring individual access control) by itself, and, if the authentication of the terminal 102 is successful, the corresponding terminal ( 102 determines whether or not the terminal is required for individual access control. For example, in the case of a specific task or a user, it is necessary to perform individual access control for performing the task separately from the access control for each group. In the case of a terminal used by such a user, the terminal list for the individual access control target Managed separately from The individual access control target terminal list is a list or list including addresses or other identification information on a network of a terminal requiring individual access control, and is managed by the manager terminal 110 to be described later. The authentication server 108 may determine whether the terminal requires personal access control by determining whether the transmission address of the received authentication request or the identification information of the sender is included in the list. If the terminal receiving the authentication request from the network access server 104 is a terminal requiring individual access control, the authentication server 108 transmits a message indicating that the terminal is a terminal requiring individual access control together with the authentication success message. Can be. That is, whether the individual access control of the terminal connected to the network access server 104 needs to be determined by the authentication server 108 at the time of authentication of the terminal 102, the network access server 104 from the authentication server 108 The determined individual access control information is provided and it is determined whether to send the received packet to the individual access control server 106 by using the information.

네트워크 접속 서버(104)는 인증 서버(108)로부터 수신된 정보로부터 인증 요청을 송신한 단말(102)이 개인별 접근 제어가 필요한 단말임을 인지한 경우, 해당 단말의 정보를 네트워크 접속 서버(104) 내부의 개인별 접근 제어 대상 단말 리스트에 추가하고, 해당 단말의 정보를 개인별 접근 제어 서버(106)로 등록하여 인증된 단말의 접속을 통보한다. 또한 네트워크 접속 서버(104)는 단말(102)의 접속이 종료되는 경우, 접속이 종료된 단말의 정보를 상기 개인별 접근 제어 대상 단말 리스트에서 삭제하고, 개인별 접근 제어 서버(106)로 상기 인증된 단말(102)의 접속 종료를 통보한다. 즉, 네트워크 접속 서버(104)는 인증 서버(108)로부터 수신되는 단말의 개인별 접근 제어 필요 여부 정보를 이용하여 자신의 개인별 접근 제어 대상 단말 리스트를 업데이트하고, 이를 이용하여 수신 패킷을 개인별 접근 제어 서버(106)로 송신할지의 여부를 결정하게 된다.When the network access server 104 recognizes that the terminal 102 that transmits the authentication request from the information received from the authentication server 108 is a terminal that requires individual access control, the network access server 104 stores the information of the terminal in the network access server 104. In addition to the individual access control target terminal list of the individual, and registers the information of the terminal to the individual access control server 106 to notify the connection of the authenticated terminal. In addition, when the connection of the terminal 102 is terminated, the network access server 104 deletes the information of the terminated terminal from the individual access control target terminal list, and authenticates the terminal to the individual access control server 106. The end of the connection of the 102 is notified. That is, the network access server 104 updates its own individual access control target terminal list by using the individual access control need information of the terminal received from the authentication server 108, and uses the received access packet to the individual access control server. It is determined whether or not to transmit to 106.

한편, 단말(102)의 접속 종료 여부는 네트워크 접속 서버(104)에서 단말(102)로부터 명시적인 접속 종료 요청 메시지를 수신함으로써 인지될 수 있다. 또한, 네트워크 접속 서버(104)는 접속 유지 및 보안 강화를 위하여 단말(102)로부터 주기적으로 재인증 요청을 수신하여 단말(102)을 재인증하도록 구성될 수 있으며, 만약 상기 재인증 요청이 기 설정된 시간 동안 수신되지 않는 경우 해당 단말(102)의 접속이 종료된 것으로 판단할 수 있다.Meanwhile, whether the terminal 102 terminates the connection may be recognized by receiving an explicit connection termination request message from the terminal 102 in the network connection server 104. In addition, the network access server 104 may be configured to receive a reauthentication request periodically from the terminal 102 to re-authenticate the terminal 102 in order to maintain the connection and enhance security, and if the reauthentication request is preset If it is not received during the time it can be determined that the connection of the terminal 102 is terminated.

네트워크 접속 서버(104)에서 단말(102)의 접속 및 접속 종료 여부를 개인별 접근 제어 서버(106)로 통보하는 이유는, 개인별 접근 제어 서버(106)의 경우 수신된 단말에 대한 개인별 접근 제어만을 수행할 뿐 해당 단말이 실제로 네트워크 접속 서버(104)에 접속되어 있는지의 여부는 알 수 없기 때문이다. 따라서 이와 같은 점을 악용한 네트워크상의 비정상적 접속 등을 방지하기 위하여, 본 발명의 개인별 접근 제어 서버(106)에서는 네트워크 접속 서버(104)로부터 접속이 통보된 단말(102)에 한하여 접근 제어를 수행하게 된다.The reason why the network access server 104 notifies the individual access control server 106 of whether the terminal 102 is connected and whether the connection is terminated is because the individual access control server 106 performs only individual access control on the received terminal. This is because it is unknown whether the terminal is actually connected to the network access server 104. Therefore, in order to prevent abnormal access or the like on the network which exploits this point, the individual access control server 106 of the present invention performs the access control only for the terminal 102 notified of the connection from the network access server 104. do.

관리자 단말(110)은 본 발명에 따른 네트워크 접근 제어 시스템(100)의 관리자가 사용하는 단말이다. 상기 관리자는 관리자 단말(110)을 이용하여 인증 서버(108)에 저장되는 개인별 접근 제어 대상 단말 리스트를 업데이트할 수 있다. 즉, 개인별 접근 제어가 필요한 단말의 네트워크 주소를 상기 개인별 접근 제어 대상 단말 리스트에 추가하거나, 또는 더 이상 개인별 접근 제어가 필요치 않은 단말의 네트워크 주소를 상기 리스트로부터 삭제할 수 있다. 또한, 관리자 단말(110)은 개인별 접근 제어 서버(106)에 저장된 개인별 접근 제어 리스트를 업데이트할 수 있으며, 이를 위한 적절한 사용자 인터페이스 및 입출력 수단을 구비하여 구성될 수 있다.The manager terminal 110 is a terminal used by an administrator of the network access control system 100 according to the present invention. The manager may update the list of individual access control target terminals stored in the authentication server 108 using the manager terminal 110. That is, the network address of the terminal requiring individual access control may be added to the individual access control target terminal list, or the network address of the terminal that no longer needs individual access control may be deleted from the list. In addition, the manager terminal 110 may update the individual access control list stored in the individual access control server 106, and may be configured with an appropriate user interface and input / output means for this purpose.

관리자 단말(110)은 예를 들어, 별도의 인사 관리 시스템(미도시)으로부터 수신한 인사 관리 데이터를 이용하여 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트를 업데이트할 수 있다. 예를 들어, 관리자 단말(110)은 상기 인사 관리 데이터를 이용하여 특정 단말(102)의 사용자가 사내에 있는 경우에만 개인별 접근 제어를 수행하도록 하거나, 또는 시간대별로 접속 가능한 네트워크 내 구성요소를 각각 다르게 설정할 수 있다. 또는, 그밖에 인사 관리 데이터에 포함된 각 임직원의 출퇴근 상황 정보, 현재 위치 정보, 부서 정보 등을 이용하여 각 사용자별로 그룹의 설정하거나 개인별 접근 제어 여부를 결정할 수도 있다. 또한, 부서 또는 사업부의 개편, 진급, 퇴사 등의 사유로 인사 관리 시스템에 변동이 발생한 경우 관리자 단말(110)은 이를 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트에 반영할 수 있다.
For example, the manager terminal 110 may update the individual access control target terminal list and the individual access control list by using the personnel management data received from a separate personnel management system (not shown). For example, the manager terminal 110 performs individual access control only when the user of the specific terminal 102 is in-house using the human resource management data, or different elements in the network accessible by time zones. Can be set. Alternatively, the group may be set for each user or the individual access control may be determined using the commute status information, current location information, and department information of each employee included in the personnel management data. In addition, when a change occurs in the personnel management system due to reorganization, promotion, or resignation of a department or a business unit, the manager terminal 110 may reflect the same in the individual access control target terminal list and the individual access control list.

도 2는 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법(200)을 도시한 순서도이다. 2 is a flowchart illustrating a network access control method 200 according to an embodiment of the present invention.

먼저, 단말(102)이 네트워크 접속 서버(104)에 접속하면(202), 네트워크 접속 서버(104)는 인증 서버(108)와의 통신을 통하여 단말(102)을 인증한다(204). 전술한 바와 같이, 인증 서버(108)는 단말(102)이 인증된 경우 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 해당 단말(102)이 개인별 접근 제어가 필요한지의 여부를 함께 판단하게 되며, 이는 단말(102)의 인증 결과와 함께 네트워크 접속 서버(104)로 전송된다.First, when terminal 102 connects to network connection server 104 (202), network connection server 104 authenticates terminal 102 through communication with authentication server 108 (204). As described above, when the terminal 102 is authenticated, the authentication server 108 determines whether the corresponding terminal 102 requires individual access control using the pre-stored personal access control target terminal list, which is The authentication result of the terminal 102 is transmitted to the network connection server 104.

단말(102)의 인증이 완료되면, 다음으로 네트워크 접속 서버(104)는 단말(102)로부터 패킷을 수신하고(206), 수신된 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단한다(208). 상기 개인별 접근 제어 대상인지 여부는 인증 서버(108)로부터 수신된 개인별 접근 제어 필요 여부 정보로부터 판단됨은 전술하였다.After the authentication of the terminal 102 is completed, the network access server 104 next receives a packet from the terminal 102 (206), and determines whether the received packet is a packet received from a personal access control target terminal. (208). Whether or not the individual access control object is determined from the individual access control need information received from the authentication server 108 has been described above.

만약, 수신된 패킷이 개인별 접근 제어가 필요한 경우, 네트워크 접속 서버(104)는 해당 패킷을 개인별 접근 제어 서버(106)로 송신하고(210), 개인별 접근 제어 서버(106)는 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하게 된다. 그러나 만약 수신된 패킷이 개인별 접근 제어가 필요하지 않은 경우, 네트워크 접속 서버(104)는 자신에 포함된 그룹별 접근 제어 리스트를 이용하여 상기 패킷을 자체적으로 허용 또는 차단한다(212).If the received packet requires individual access control, the network access server 104 transmits the packet to the individual access control server 106 (210), and the individual access control server 106 stores the individual access control previously stored. The list is used to allow or block packets received from the network access server. However, if the received packet does not need individual access control, the network access server 104 allows or blocks the packet by itself using the group-specific access control list included therein (212).

한편, 기 접속된 단말(102)의 접속이 종료되는 경우, 네트워크 접속 서버(104)는 개인별 접근 제어 서버(106)로 단말(102)의 접속 종료를 통보한다. 전술한 바와 같이, 네트워크 접속 서버(104)는, 단말(102)로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 단말(102)로부터 명시적으로 접속 종료 요청이 수신되는 경우 단말(102)의 접속이 종료된 것으로 판단하게 된다.On the other hand, when the connection of the previously connected terminal 102 is terminated, the network connection server 104 notifies the individual access control server 106 of the termination of the connection of the terminal 102. As described above, the network connection server 104, when the re-authentication request is not received from the terminal 102 for a predetermined time, or when the connection termination request is explicitly received from the terminal 102, the terminal 102 It is determined that the connection of is terminated.

도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법(200)에서의 단말 인증 과정(204)을 상세히 설명하기 위한 순서도이다. 3 is a flowchart illustrating a terminal authentication process 204 in the network access control method 200 according to an embodiment of the present invention in detail.

먼저, 단말(102)은 네트워크 접속 서버(104)에 인증 요청을 전송한다(300). 상기 인증 요청을 수신한 네트워크 접속 서버(104)는 이를 인증 서버(108)로 전송하고(302), 인증 서버(108)는 이를 수신한 뒤 사전에 설정된 인증 프로토콜을 이용하여 단말(102)을 인증한다(304). 만약 상기 인증에 성공한 경우 인증 서버(108)는 인증 성공 메시지를 네트워크 접속 서버(104)에 전송하고, 인증에 실패한 경우에는 인증 실패 메시지를 전송한다. 또한 이 과정에서 인증 서버(108)는 인증된 단말이 속한 그룹에 대한 정보를 네트워크 접속 서버(104)로 전송할 수 있으며, 네트워크 접속 서버(104)는 상기 그룹 정보를 이용하여 그룹별 접근 제어를 수행할 수 있다.First, the terminal 102 transmits an authentication request to the network access server 104 (300). The network access server 104 receiving the authentication request transmits it to the authentication server 108 (302), and the authentication server 108 receives the authentication and authenticates the terminal 102 using a preset authentication protocol. (304) If the authentication is successful, the authentication server 108 transmits an authentication success message to the network access server 104, and if authentication fails, transmits an authentication failure message. Also, in this process, the authentication server 108 may transmit information about the group to which the authenticated terminal belongs to the network access server 104, and the network access server 104 performs access control for each group by using the group information. can do.

한편, 인증된 단말(102)이 개인별 접근 제어가 필요한 경우, 인증 서버(108)는 상기 인증 성공 메시지와 함께 해당 단말이 개인별 접근 제어가 필요함을 네트워크 접속 서버(104)로 알리게 된다. 네트워크 접속 서버(104)는 상기 인증 성공 또는 인증 실패 메시지와 함께 개인별 접근 제어 여부 정보를 수신하고(304), 인증에 성공한 경우에만 단말(102)로부터 패킷을 수신하며, 인증에 실패한 경우 해당 단말(102)의 접속을 차단한다(306).On the other hand, when the authenticated terminal 102 needs individual access control, the authentication server 108 notifies the network access server 104 that the terminal needs individual access control together with the authentication success message. The network access server 104 receives the individual access control information together with the authentication success or authentication failure message (304), receives a packet from the terminal 102 only when authentication is successful, and when the authentication fails, the corresponding terminal ( 102 is disconnected (306).

또한, 네트워크 접속 서버(104)에서 상기 인증된 단말(102)이 개인별 접근 제어가 필요함을 인증 서버(108)로부터 통보 받은 경우, 네트워크 접속 서버(104)는 개인별 접근 제어 서버(106)로 상기 인증된 단말의 접속 사실을 통보하게 된다.
In addition, when the authenticated terminal 102 is notified from the authentication server 108 that the personalized access control is required at the network access server 104, the network access server 104 is authenticated with the personal access control server 106. The connection of the terminal is notified.

한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야에서 통상의 지식을 가진 자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
On the other hand, an embodiment of the present invention may include a computer-readable recording medium including a program for performing the methods described herein on a computer. The computer-readable recording medium may include a program command, a local data file, a local data structure, or the like, alone or in combination. The media may be those specially designed and constructed for the present invention or may be known and available to those of ordinary skill in the computer software arts. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floppy disks, and magnetic media such as ROMs, And hardware devices specifically configured to store and execute program instructions. Examples of program instructions may include machine language code such as those generated by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like.

이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be construed as limiting the scope of the present invention. I will understand.

그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by equivalents to the appended claims, as well as the appended claims.

100: 네트워크 접근 제어 시스템
102: 네트워크 접속 단말
104: 네트워크 접속 서버
106: 개인별 접근 제어 서버
108: 인증 서버
110: 관리자 단말
112: 네트워크100: network access control system
102: network connection terminal
104: network connection server
106: personal access control server
108: authentication server
110: manager terminal
112: Network

Claims (23)

단말로부터 패킷을 수신하고, 수신된 상기 패킷에 포함된 송신자 주소를 이용하여 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및
상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함하는 네트워크 접근 제어 시스템.
A network access server which receives a packet from a terminal and determines whether the received packet is a packet received from an individual access control target terminal using a sender address included in the received packet; And
A personal access control server for receiving a packet determined to be transmitted from the personal access control target terminal from the network access server and allowing or blocking a packet received from the network access server using a previously stored personal access control list; Network access control system.
삭제delete 청구항 1에 있어서,
상기 네트워크 접속 서버에 접속한 단말을 인증하는 인증 서버를 더 포함하는 네트워크 접근 제어 시스템.
The method according to claim 1,
The network access control system further comprises an authentication server for authenticating a terminal connected to the network access server.
청구항 3에 있어서,
상기 인증 서버는 상기 단말의 인증시 상기 단말이 속한 그룹을 결정하고, 상기 단말의 인증 결과 및 상기 단말이 속한 그룹 정보를 상기 네트워크 접속 서버로 전송하며,
상기 네트워크 접속 서버는 상기 인증 서버로부터 수신한 상기 단말의 그룹 정보 및 기 저장된 그룹별 접근 제어 리스트를 이용하여 상기 단말로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 시스템.
The method according to claim 3,
The authentication server determines the group to which the terminal belongs when authenticating the terminal, and transmits the authentication result of the terminal and group information to which the terminal belongs to the network access server.
The network access server allows or blocks the packet received from the terminal by using the group information of the terminal received from the authentication server and a previously stored group-specific access control list.
청구항 3에 있어서,
상기 인증 서버는 상기 단말의 인증시 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 상기 단말의 개인별 접근 제어 여부를 결정하고, 상기 단말의 개인별 접근 제어 여부 정보를 상기 네트워크 접속 서버로 송신하며,
상기 네트워크 접속 서버는 상기 인증 서버로부터 상기 단말의 개인별 접근 제어 여부 정보를 수신하고, 수신된 상기 개인별 접근 제어 여부 정보에 따라 수신된 상기 패킷이 상기 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 시스템.
The method according to claim 3,
The authentication server determines whether or not the individual access control of the terminal by using the individual access control target terminal list stored at the time of authentication of the terminal, and transmits the individual access control information of the terminal to the network access server,
The network access server receives the individual access control information of the terminal from the authentication server, and whether the received packet is a packet transmitted from the individual access control target terminal according to the received individual access control information. Judging, network access control system.
청구항 5에 있어서,
상기 네트워크 접속 서버는 상기 단말이 개인별 접근 제어 대상인 경우, 상기 개인별 접근 제어 서버로 상기 단말의 접속을 통보하는, 네트워크 접근 제어 시스템.
The method according to claim 5,
The network access server notifies the access of the terminal to the individual access control server, if the terminal is the individual access control target, the network access control system.
청구항 5에 있어서,
상기 네트워크 접속 서버는 상기 단말의 접속이 종료되는 경우, 상기 개인별 접근 제어 서버로 상기 단말의 접속 종료를 통보하는, 네트워크 접근 제어 시스템.
The method according to claim 5,
The network access server notifies the termination of access of the terminal to the individual access control server when the access of the terminal is terminated.
청구항 7에 있어서,
상기 네트워크 접속 서버는, 상기 단말로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 상기 단말로부터 접속 종료 요청이 수신되는 경우, 상기 단말의 접속이 종료된 것으로 판단하는, 네트워크 접근 제어 시스템.
The method of claim 7,
The network access server, if the re-authentication request is not received from the terminal for a predetermined time, or when the connection termination request is received from the terminal, the network access control system.
청구항 5에 있어서,
상기 인증 서버에 저장된 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 서버에 저장된 개인별 접근 제어 리스트를 관리하는 관리자 단말을 더 포함하는 네트워크 접근 제어 시스템.
The method according to claim 5,
And a manager terminal for managing an individual access control target terminal list stored in the authentication server and an individual access control list stored in the individual access control server.
청구항 9에 있어서,
상기 관리자 단말은, 인사 관리 시스템으로부터 수신한 상기 단말 사용자의 인사 관리 데이터를 이용하여 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트를 업데이트하는, 네트워크 접근 제어 시스템.
The method of claim 9,
The manager terminal updates the personal access control target terminal list and the individual access control list by using the human resource management data of the terminal user received from the human resource management system.
청구항 1에 있어서,
상기 개인별 접근 제어 서버는, 상기 개인별 접근 제어 리스트를 이용하여 네트워크 내 특정 구성요소에 대한 접근을 제한하는, 네트워크 접근 제어 시스템.
The method according to claim 1,
The personal access control server is configured to restrict access to specific components in a network using the personal access control list.
청구항 11에 있어서,
상기 개인별 접근 제어 서버는, 수신된 상기 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 중 하나 이상의 정보와 상기 개인별 접근 제어 리스트를 비교하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 시스템.
The method of claim 11,
The individual access control server may allow or block the packet received from the network access server by comparing the personal access control list with one or more information of the transmission network address, the reception network address, the protocol type, and the transmission time of the received packet. Network access control system.
네트워크 접속 서버에서, 단말로부터 패킷을 수신하고, 수신된 상기 패킷에 포함된 송신자 주소를 이용하여 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 단계;
개인별 접근 제어 서버에서, 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하는 단계; 및
상기 개인별 접근 제어 서버에서, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 단계를 포함하는 네트워크 접근 제어 방법.
Receiving, at the network access server, a packet from a terminal, and determining whether the received packet is a packet transmitted from an individual access control target terminal using a sender address included in the received packet;
Receiving, at the individual access control server, a packet determined to be transmitted from the personal access control target terminal from the network access server; And
And allowing or blocking the packet received from the network access server by using the previously stored personal access control list in the personal access control server.
삭제delete 청구항 13에 있어서,
상기 판단 단계의 수행 전,
인증 서버에서, 상기 네트워크 접속 서버에 접속한 상기 단말을 인증하는 단계를 더 포함하는, 네트워크 접근 제어 방법.
The method according to claim 13,
Before performing the determination step,
And authenticating, by the authentication server, the terminal accessing the network access server.
청구항 15에 있어서,
상기 인증 단계는, 상기 단말의 인증시 상기 단말이 속한 그룹을 결정하고, 상기 단말의 인증 결과 및 상기 단말이 속한 그룹 정보를 상기 네트워크 접속 서버로 전송하는 단계를 더 포함하며,
상기 네트워크 접속 서버는 상기 인증 서버로부터 수신한 상기 단말의 그룹 정보 및 기 저장된 그룹별 접근 제어 리스트를 이용하여 상기 단말로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 방법.
16. The method of claim 15,
The authenticating step may further include determining a group to which the terminal belongs when authenticating the terminal, and transmitting the authentication result of the terminal and group information to which the terminal belongs to the network access server.
The network access server may allow or block a packet received from the terminal by using the group information of the terminal received from the authentication server and a previously stored group-specific access control list.
청구항 15에 있어서,
상기 인증 단계는, 상기 네트워크 접속 서버에서, 상기 단말로부터 인증 요청을 수신하고, 수신된 상기 인증 요청을 인증 서버로 송신하는 단계;
상기 인증 서버에서, 수신된 상기 인증 요청에 따라 상기 단말을 인증하고, 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 상기 단말의 개인별 접근 제어 여부를 결정하는 단계; 및
상기 네트워크 접속 서버에서, 상기 인증 서버로부터 상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계를 더 포함하며,
상기 네트워크 접속 서버는, 수신된 상기 개인별 접근 제어 여부 정보에 따라 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 방법.
16. The method of claim 15,
The authentication step may include: receiving, at the network access server, an authentication request from the terminal and transmitting the received authentication request to an authentication server;
Authenticating, at the authentication server, the terminal according to the received authentication request, and determining whether the terminal has individual access control using a previously stored individual access control target terminal list; And
Receiving, at the network access server, individual access control information of the terminal from the authentication server;
And the network access server determines whether the received packet is a packet transmitted from an individual access control target terminal according to the received individual access control information.
청구항 17에 있어서,
상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계의 수행 이후,
상기 단말이 개인별 접근 제어 대상인 경우, 상기 네트워크 접속 서버에서 상기 개인별 접근 제어 서버로 상기 단말의 접속을 통보하는 단계를 더 포함하는 네트워크 접근 제어 방법.
18. The method of claim 17,
After performing the step of receiving the individual access control information of the terminal,
If the terminal is an individual access control object, further comprising the step of notifying the access of the terminal to the individual access control server from the network access server.
청구항 17에 있어서,
상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계의 수행 이후,
상기 단말의 접속이 종료되는 경우, 상기 네트워크 접속 서버에서 상기 개인별 접근 제어 서버로 상기 단말의 접속 종료를 통보하는 단계를 더 포함하는 네트워크 접근 제어 방법.
18. The method of claim 17,
After performing the step of receiving the individual access control information of the terminal,
If the connection of the terminal is terminated, the network access server further comprising the step of notifying the individual access control server of the connection termination of the terminal.
청구항 19에 있어서,
상기 네트워크 접속 서버는, 상기 단말로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 상기 단말로부터 접속 종료 요청이 수신되는 경우, 상기 단말의 접속이 종료된 것으로 판단하는, 네트워크 접근 제어 방법.
The method of claim 19,
The network access server, if the re-authentication request is not received from the terminal for a predetermined time, or when the connection termination request is received from the terminal, the network access control method.
청구항 13에 있어서,
상기 개인별 접근 제어 서버는, 상기 개인별 접근 제어 리스트를 이용하여 네트워크 내 특정 구성요소에 대한 접근을 제한하는, 네트워크 접근 제어 방법.
The method according to claim 13,
The personal access control server, the network access control method for restricting access to a specific component in the network using the personal access control list.
청구항 21에 있어서,
수신된 패킷을 허용 또는 차단하는 단계는, 수신된 상기 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 중 하나 이상의 정보와 상기 개인별 접근 제어 리스트를 비교하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 방법.
23. The method of claim 21,
The step of allowing or blocking the received packet may include comparing the personal access control list with one or more information of a transmission network address, a reception network address, a protocol type, and a transmission time of the received packet to receive the packet received from the network access server. Network access control method, allowing or blocking.
청구항 13 또는 청구항 15 내지 청구항 22 중 어느 한 청구항에 기재된 방법을 컴퓨터상에서 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
A computer-readable recording medium having recorded thereon a program for performing the method according to claim 13 or claim 15 on a computer.
KR1020110091798A 2011-09-09 2011-09-09 System and method for controlling access to network KR101310631B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110091798A KR101310631B1 (en) 2011-09-09 2011-09-09 System and method for controlling access to network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110091798A KR101310631B1 (en) 2011-09-09 2011-09-09 System and method for controlling access to network

Publications (2)

Publication Number Publication Date
KR20130028323A KR20130028323A (en) 2013-03-19
KR101310631B1 true KR101310631B1 (en) 2013-11-21

Family

ID=48178875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110091798A KR101310631B1 (en) 2011-09-09 2011-09-09 System and method for controlling access to network

Country Status (1)

Country Link
KR (1) KR101310631B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628960B1 (en) * 2014-12-23 2016-06-09 엘아이지넥스원 주식회사 Network security system and method
CN107968763A (en) * 2016-10-19 2018-04-27 巽风数位工程有限公司 Group's archive management system and method

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9912704B2 (en) 2015-06-09 2018-03-06 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
WO2021020918A1 (en) * 2019-07-30 2021-02-04 스콥정보통신 주식회사 Method for providing logical internal network, and mobile terminal and application for implementing same
KR102345265B1 (en) * 2021-05-13 2021-12-29 이수희 Network System and Network Control Method Performed in the Network System
KR102345261B1 (en) * 2021-05-13 2021-12-29 이수희 Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System
KR102540094B1 (en) * 2022-11-17 2023-06-05 에스지에이솔루션즈 주식회사 User access control and access blocking apparatus using web application proxy

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100130276A (en) * 2009-06-03 2010-12-13 주식회사 엘지유플러스 Integrated manage system for adjusting access control simultaneously of a plurality of server through web based interface and control method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100130276A (en) * 2009-06-03 2010-12-13 주식회사 엘지유플러스 Integrated manage system for adjusting access control simultaneously of a plurality of server through web based interface and control method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628960B1 (en) * 2014-12-23 2016-06-09 엘아이지넥스원 주식회사 Network security system and method
CN107968763A (en) * 2016-10-19 2018-04-27 巽风数位工程有限公司 Group's archive management system and method
CN107968763B (en) * 2016-10-19 2020-10-23 巽风数位工程有限公司 Group file management system and method

Also Published As

Publication number Publication date
KR20130028323A (en) 2013-03-19

Similar Documents

Publication Publication Date Title
US11936619B2 (en) Combined security and QOS coordination among devices
US9973489B2 (en) Providing virtualized private network tunnels
US9531758B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
EP3633954B1 (en) Providing virtualized private network tunnels
US8914845B2 (en) Providing virtualized private network tunnels
US11115417B2 (en) Secured access control to cloud-based applications
US9065800B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
KR101310631B1 (en) System and method for controlling access to network
US9240977B2 (en) Techniques for protecting mobile applications
US20150326615A1 (en) Cloud based mobile device security and policy enforcement
US11134056B2 (en) Portal for managing admission of unrecognized devices to an enterprise network
US12022296B2 (en) Network cyber-security platform
US20200267146A1 (en) Network analytics for network security enforcement
CN104918248A (en) Enterprise mobile safety gateway method of application flow management, application acceleration and safety
KR102472556B1 (en) Network System and a Method for Blocking Attacks through Lateral Movement between Clients Performed in the Network System
JP6920614B2 (en) Personal authentication device, personal authentication system, personal authentication program, and personal authentication method
KR101596097B1 (en) Mobile device having the function of authentificating user in virtual environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 7