KR101690105B1 - 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법 - Google Patents

출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법 Download PDF

Info

Publication number
KR101690105B1
KR101690105B1 KR1020150144432A KR20150144432A KR101690105B1 KR 101690105 B1 KR101690105 B1 KR 101690105B1 KR 1020150144432 A KR1020150144432 A KR 1020150144432A KR 20150144432 A KR20150144432 A KR 20150144432A KR 101690105 B1 KR101690105 B1 KR 101690105B1
Authority
KR
South Korea
Prior art keywords
user
access
network
state
server
Prior art date
Application number
KR1020150144432A
Other languages
English (en)
Inventor
김정호
이민철
Original Assignee
한밭대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한밭대학교 산학협력단 filed Critical 한밭대학교 산학협력단
Priority to KR1020150144432A priority Critical patent/KR101690105B1/ko
Application granted granted Critical
Publication of KR101690105B1 publication Critical patent/KR101690105B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • G07C9/00166
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템 및 방법에 관한 것으로서, 출입상태정보에 대응하여 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트의 접근통제를 제어하는 네트워크 접근통제부와, 사용자의 출입을 관리하고, 출입상태의 변경에 따라 실시간으로 출입상태정보를 네트워크 접근통제부로 전달하는 출입관리부를 포함한다. 본 발명에 따르면, 802.1X 기반 네트워크 접근에 대하여 사용자의 출입상태에 대응하여 접근통제 대상 서버와 네트워크의 접근을 통제함으로써, 정보유출 사고 등을 방지할 수 있다.

Description

출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법{METHOD FOR CONTROLLING NETWORK ACCESS BASED ON IEEE 802.1X BY ENTRANCE AND EXIT STATE}
본 발명은 보안 기술에 관한 것으로, 더욱 상세하게는 사용자의 출입상태에 대응하여 접근통제 대상 서버와 네트워크의 접근을 통제하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템 및 방법에 관한 것이다.
사이버 위협의 증가와 내부자에 의한 기밀정보, 고객 개인정보 유출이 증가하면서, 내부자 관리와 접근통제 대상 서버, 네트워크에 대한 접근통제의 중요성이 증가하고 있다.
그런데, 일부 기업이나 회사에서는 접근통제 대상 서버에 대한 자신의 계정을 타인에게 알려주어, 자신도 모르는 사이에 타인이 자신의 계정으로 접근통제 대상 서버에 접근하여 원치 않는 정보유출 사고가 발생하기도 한다.
이는 대부분의 시스템이 사용자의 출퇴근 또는 사무실 근무 여부에 관계없이 접근통제 대상 서버의 계정 정보만 알고 있으면, 누구든지 해당 사용자의 계정으로 접근통제 대상 서버에 접속할 수 있기 때문이다.
대한민국 공개특허공보 제10-0419957호(공고일 2004.02.25.) 대한민국 등록특허공보 제10-1218409호(공고일 2013.01.03.)
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 계정 정보와 상관없이 사용자의 출입상태에 대응하여 접근통제 대상 서버와 네트워크의 접근을 통제할 수 있도록 하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템 및 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템은, 출입상태정보에 대응하여 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트의 접근통제를 제어하는 네트워크 접근통제부; 및 사용자의 출입을 관리하고, 출입상태의 변경에 따라 실시간으로 출입상태정보를 상기 네트워크 접근통제부로 전달하는 출입관리부를 포함하는 것을 특징으로 한다.
상기 네트워크 접근통제부는, 접근통제 대상 서버로 서비스를 요청하는 사용자 호스트; 상기 사용자 호스트에 대해 802.1X에 의해 사용자 인증 및 IP 할당을 수행하며, 인증 및 IP 할당 과정에서 사용자 호스트 정보에 대한 프로파일링을 수행하는 호스트 프로파일링 모듈; 및 상기 출입상태정보에 대응하여 프로파일링된 상기 사용자 호스트 정보를 이용하여 접근통제 정책을 확인하여 접근통제를 수행하는 제어 서버를 포함한다.
상기 출입관리부는, 게이트장치; 및 사용자 출입시 입(入), 출(出)의 상태를 관리하며, 상기 출입상태정보를 생성하여 제어 서버로 전송하는 출입관리 서버를 포함한다.
한편, 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법은, (a) 출입관리부에서, 사용자의 출입상태를 관리하는 단계; 및 (b-1) 사용자의 출입상태가 입(入)으로 변경되면, 네트워크 접근통제부는 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트의 접근통제를 수행하고, (b-2) 사용자의 출입상태가 출(出)로 변경되면, 등록된 상기 사용자 호스트 이외의 접속 요구에 대응하여 비정상 접속시 할당해야 하는 네트워크를 할당하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트의 접근통제를 제어하는 방법에 있어서, (a) 사용자의 게이트장치를 통과하여 사용자의 출입상태가 입(入) 상태로 변경되면, 출입관리서버에서 사용자의 출입증의 ID와 입(入) 상태를 제어서버로 전달하는 단계; (b) 상기 제어서버는 출입관리 서버로부터 전달받은 사용자의 출입증의 ID와 입(入) 상태 정보를 이용하여 접근통제 대상서버의 사용자 출입상태정보를 갱신하는 단계; (c) 사용자의 출입상태가 입(入) 상태로 변경되는 경우 사용자호스트가 접근통제 대상서버로 서비스를 요청하게 되고, 사용자호스트가 인증서버를 통해 802.1X에 의한 사용자 인증을 요청받아 인증이 완료되면 제어 서버는 사용자에게 정상적으로 할당해야 할 네트워크(VLAN)를 할당하는 단계; (d) 사용자의 출입상태가 입(入) 상태로 변경되는경우, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 재접속하도록 하는 사용자단말기의 네트워크 상태 리셋단계; (e) 사용자의 게이트장치를 통과하여 사용자의 출입상태가 출(出) 상태로 변경되면, 출입관리서버에서 사용자의 출입증의 ID와 출(出) 상태를 상기 제어서버로 전달하는 단계; (f) 상기 제어서버는 출입관리 서버로부터 전달받은 사용자의 출입증의 ID와 출(出) 상태 정보를 이용하여 접근통제 대상서버의 사용자 출입상태정보를 갱신하는 단계; (g) 사용자의 출입상태가 출(出) 상태로 변경되는 경우, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 재접속하도록 하는 사용자단말기의 네트워크 상태 리셋단계; 및 (h) 사용자의 출입상태가 출(出)상태인 경우에, 해당사용자의 계정으로 인증요청이 접수되면, 인증서버는 비정상 로그인으로 판단하고 인증이 완료된 후 제어서버는 비정상 접속시 할당해야 하는 네트워크(VLAN)를 할당하여 네트워크와 접근통제대상서버의 접속을 제한하는 단계;를 포함하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법을 제시한다.
또한, 본 발명은 (i) 사용자의 상태가 출(出) 상태임에도 타 사용자 계정으로 로그인이 필요한 경우, 현재 로그인하는 사용자의 신원정보를 확인하고, 타사용자 계정으로 로그인하는 사용자의 출입상태도 입(入) 상태가 확인되면 제어서버는 타사용자 계정을 이용한 로그인을 허용하는 단계;를 더 포함하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법을 제시한다.
상술한 바와 같이, 본 발명에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템 및 방법에 따르면, 802.1X 기반 네트워크 접근에 대하여 사용자의 출입상태에 대응하여 접근통제 대상 서버와 네트워크의 접근을 통제함으로써, 정보유출 사고 등을 방지할 수 있다.
도 1은 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법의 흐름도이다.
도 3은 본 발명의 일 실시예에 의한 사용자 호스트의 접근 허용 절차를 나타낸 흐름도이다.
도 4는 본 발명의 일 실시예에 의한 사용자 호스트의 접근 차단 절차를 나타낸 흐름도이다.
도 5는 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 절차의 개념도이다.
도 6은 본 발명의 일 실시예에 의한 출입상태정보 갱신과 네트워크 연결 및 재연결 절차이다.
도 7은 본 발명의 일 실시예에 의한 802.1X 인증과 IP 주소 할당 절차를 나타낸 흐름도이다.
이하, 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템 및 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템은, 출입상태정보에 대응하여 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트(사용자 단말기)의 접근통제를 제어하는 네트워크 접근통제부(1)와, 사용자의 출입을 관리하고, 출입상태의 변경에 따라 실시간으로 출입상태정보를 네트워크 접근통제부로 전달하는 출입관리부(2)로 구성될 수 있다.
네트워크 접근통제부(1)는, 접근통제 대상 서버로 서비스를 요청하는 사용자 호스트(11)와, 사용자 호스트(11)에 대해 802.1X에 의해 사용자 인증 및 IP 할당을 수행하며, 인증 및 IP 할당 과정에서 사용자 호스트 정보에 대한 프로파일링을 수행하는 호스트 프로파일링 모듈(12)과, 출입상태정보에 대응하여 프로파일링된 사용자 호스트 정보를 이용하여 접근통제 정책을 확인하여 접근통제를 수행하는 제어 서버(13)를 포함한다.
출입관리부(2)는, 카드리더기, 지문인식기 등을 포함한 게이트장치(Gate Device)(21)와, 사용자 출입시 입(入), 출(出)의 상태를 관리하며, 출입상태정보를 생성하여 제어 서버로 전송하는 출입관리 서버(22)를 포함한다.
여기서, 제어 서버(13)의 기능, 출입관리 서버의 기능에 대해 간략하게 설명한다.
1) 제어 서버(Control Server)의 기능
- 사용자 호스트와 접근통제 대상 서버간 접근통제 정책 관리
- 사용자 호스트 접속 및 접속종료 이벤트 정보 수집
> ARP(Address Resolution Protocol) 패킷 분석
> SNMP(Simple Network Management Protocol) Alert 패킷 분석
> 인증 서버 전송 메시지 분석
- 타 보안장비(방화벽, IDS/IPS, APT 방어시스템 등)로부터 호스트 접근통제 요청 수신
- 사용자 호스트 접속 및 접속종료 이벤트 확인 후 접근통제 에이전트에 접근 허용 또는 차단 요청
2) 출입관리 서버(22)의 기능
- 사용자의 출입에 따라 입(入), 출(出)의 상태를 각각 관리 및 제어 서버로 출입상태정보 실시간 제공
그러면, 여기서 상기와 같이 구성된 시스템을 이용한 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법에 대해 설명하기로 한다.
도 2는 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법의 흐름도이다.
도 2를 참조하면, 출입관리부는 사용자의 출입상태를 관리하고(S1), 사용자가 입(入)으로 변경되면, 출입관리 서버는 출입상태정보를 제어 서버로 전달한다.
그런데 이 때, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면(S2), 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고(S3), 다시 접속한다.
즉, 사용자 호스트가 네트워크에 연결되면(S4), 인증 서버는 사용자 인증을 요청한다(S5). 이 때, 802.1X에 의한 사용자 인증을 지원하지 않는 네트워크는 사용자 호스트에 사용자 인증용 에이전트를 설치하고, 사용자 인증용 에이전트를 이용하여 로그인한다.
사용자 인증이 완료되면, 네트워크에서 VLAN(Virtual Local Area Network)과 IP 주소를 사용자 호스트에 할당한다(S6). 이 때, 사용자 인증과 IP 주소 할당과정에서 사용자 호스트와 관련된 정보를 프로파일링한다. 프로파일링은 인증 서버, 네트워크 및 데이터베이스(Backend Database)가 연동되게 되며, 프로파일링된 사용자 호스트 정보는 호스트 액세스 스위치의 관리 IP 주소와 포트 식별자(ID), 사용자 호스트의 사용자 식별자(ID), Mac 주소 및 IP 주소, 운영체제 종류를 포함한다.
이어서, 제어 서버는 프로파일링된 사용자 호스트 정보를 이용하여 접근통제 정책을 확인하고, 접근통제 대상 서버에 설치되어 있는 접근통제 에이전트에 사용자 호스트 접속 사실을 통보한다(S7).
이에, 접근통제 에이전트는 제어 서버로부터 해당 사용자 호스트에 대한 접근통제 정책을 받아온다. 접근통제 정책 구성항목은 접근통제 대상 서버의 IP 주소와 목적지 서비스 포트, 사용자 호스트의 사용자 식별자(ID), 사용자 호스트의 IP 주소 및 Mac 주소와 출발지 서비스 포트를 포함한다.
이후, 접근통제 대상 서버의 접근통제 에이전트는 수신한 접근통제 정책에 따라 사용자 호스트의 접근을 허용하도록 방화벽의 접근통제 정책을 변경한다(S8).
이에 사용자 호스트는 접근통제 대상 서버에서 제공하는 서비스에 접속할 수 있게 된다(S9).
한편, 사용자가 출(出)로 변경되면, 출입관리 서버는 출입상태정보를 제어 서버로 전달한다.
그런데 이 때, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면(S10), 제어 서버는 해당 사용자 단말기의 네트워크 접속을 제어한다.
즉, 네트워크 접속시 인증 서버는 비정상 로그인으로 판단하고 인증이 완료된 후 비정상 접속시 할당해야 하는 네트워크(VLAN)를 할당한다(S11).
한편 여기서, 사용자 호스트에 대한 접근통제 절차에 대해 설명한다.
사용자 호스트의 접근통제는 두 단계로 수행된다. 첫 번째 단계는 서비스 접근이 허용된 사용자 단말기가 네트워크에 연결되었을 때 접근통제 대상 서버에서 접근을 허용하는 단계이다. 두 번째 단계는 서비스 사용 종료 또는 네트워크 접속이 종료된 사용자 단말기에 대해 접근통제 대상 서버에서 접근을 차단하는 단계이다.
도 3은 본 발명의 일 실시예에 의한 사용자 호스트의 접근 허용 절차를 나타낸 흐름도이다.
도 3을 참조하면, 사용자 호스트의 접근 허용 절차는 다음과 같다.
① 서비스를 이용하고자 하는 사용자 호스트(Initiating Host)가 네트워크에 연결한다. 네트워크에서 사용자 호스트 연결이 감지되면 802.1X에 의해 사용자를 인증한다.
* 802.1X에 의한 사용자 인증을 지원하지 않는 네트워크는 사용자 호스트(Initiating Host)에 사용자 인증용 에이전트를 설치하고 접근통제 대상 서버 접근이 필요할 때 에이전트로 로그인 하도록 한다.
② 사용자 인증이 완료된 사용자 호스트에 인증 서버(Radius Server)에서 VLAN(Virtual Local Area Network)과 IP 주소를 할당한다.
- 선택적으로 사용자 호스트가 연결된 포트에 접근통제 리스트(Access Control List, ACL)를 할당할 수 있다.
- 사용자 호스트의 IP 주소 할당은 DHCP로 할당하며, 고정 IP 주소도 적용가능하다.
- 사용자 인증과 IP 주소 할당과정에서 사용자 호스트와 관련된 정보를 프로파일링한다.
> 호스트 액세스 스위치(Access Switch 및 AP)의 관리 IP 주소와 포트 식별자(ID)
> 사용자 호스트의 사용자 식별자(ID), Mac 주소 및 IP 주소, 운영체제 종류
③ 사용자 호스트 접속을 인지한 제어 서버(Control Server)는 프로파일링된 사용자 호스트 정보를 이용하여 접근통제 정책을 확인하고, 접근통제 대상 서버(Accepting Host)에 설치되어 있는 접근통제 에이전트(Security Agent)에 사용자 호스트 접속 사실을 통보한다. 이후 접근통제 에이전트는 제어 서버로부터 해당 사용자 호스트에 대한 접근통제 정책을 받아온다.
- 제어 서버의 사용자 호스트 접속 인지 방법
> 인증 서버에서 사용자 인증 완료 후 제어 서버에 통보
> GARP(Gratuitous Address Resolution Protocol) 패킷 수신
> 스위치로부터 SNMP(Simple Network Management Protocol) 패킷 수신
- 접근통제 정책 구성항목
> 접근통제 대상 서버(Accepting Host)의 IP 주소와 목적지 서비스 포트
> 사용자 호스트의 사용자 식별자(ID)
> 사용자 호스트(Initiating Host)의 IP 주소 및 Mac 주소와 출발지 서비스 포트
④ 접근통제 대상 서버(Accepting Host)의 접근통제 에이전트는 수신한 접근통제 정책에 따라 사용자 호스트(Initiating Host)의 접근을 허용하도록 방화벽의 접근통제 정책을 변경한다.
⑤ 사용자 호스트는 접근통제 대상 서버(Accepting Host)에서 제공하는 서비스에 접속한다.
도 4는 본 발명의 일 실시예에 의한 사용자 호스트의 접근 차단 절차를 나타낸 흐름도이다.
도 4를 참조하면, 사용자 호스트의 접근 차단 절차는 다음과 같다.
① 사용자 호스트(Initiating Host)가 네트워크 연결을 종료한다.
- 서비스 이용 종료의 유형: 사용자 단말기 종료, 네트워크 연결차단 등
② 사용자 호스트의 연결이 종료된 것을 인지한 호스트 액세스 스위치는 사용자 호스트 접속종료 사실을 인증 서버(Radius Server)에 통보한다.
③ 사용자 호스트 접속종료를 인지한 제어 서버(Control Server)는 프로파일링된 사용자 호스트 정보를 이용하고, 접근통제 대상 서버(Accepting Host)에 설치되어 있는 접근통제 에이전트(Security Agent)에 사용자 호스트 접속종료 사실을 통보한다. 이후 접근통제 에이전트는 접속종료 호스트 정보를 받아온다.
- 제어 서버의 사용자 호스트 접속종료 인지 방법
> 인증 서버에서 사용자 호스트 접속종료 후 제어 서버에 통보
> 스위치로부터 SNMP 패킷 수신
- 접근통제 정책 구성항목
> 접근통제 대상 서버(Accepting Host)의 IP 주소와 목적지 서비스 포트
> 사용자 호스트의 사용자 식별자(ID)
> 사용자 호스트(Initiating Host)의 IP 주소 및 Mac 주소와 출발지 서비스 포트
- 제어 서버의 추가적인 사용자 호스트 접근 차단
> 제어 서버는 타 보안장비(방화벽, IDS/IPS, APT 방어시스템 등)로부터 사용자 호스트에 대한 차단요청 패킷을 접수하여 사용자 호스트 차단 명령을 접근통제 대상 서버에 설치된 접근통제 에이전트에 전송한다.
④ 접근통제 대상 서버(Accepting Host)의 접근통제 에이전트는 수신한 네트워크 접속종료 호스트 정보를 참조하여 방화벽에 등록되어 있는 해당 사용자 호스트의 접근통제 정책을 삭제하여 해당 사용자 호스트의 접근통제 대상 서버 접근을 차단한다.
⑤ 사용자 호스트는 접근통제 대상 서버에서 제공하는 서비스에 접속할 수 없다.
그러면, 여기서 사용자 호스트의 접근통제 정책 구성에 대해 설명한다.
(1) 접근통제 정책 구성에 사용되는 프로파일 항목
- 사용자 호스트의 사용자 식별자(ID)
- 사용자 호스트의 네트워크 접속 유형: 유선 또는 무선
- 사용자 호스트의 H/W 주소(Mac 주소)
- 사용자 단말기에 설치된 운영체제 종류
(2) 접근통제 구성 사례
[표 1]은 제어 서버에 등록되어 있는 접근통제 정책이며, 사용자 단말기가 네트워크에 연결되고 사용자 인증이 완료되면, 접근통제 정책에 등록된 사용자 ID에 따라 해당정책이 접근통제 대상 서버의 접근통제 에이전트에 전달되고, 접근통제 대상 서버에서 사용자 단말기에 대한 접근을 제어한다.
Figure 112015099991142-pat00001
각각의 정책의 의미는 다음과 같다.
① 사용자 ID가 '50013'이고, 운영체제가 MS-Windows이고, 유선 네트워크를 사용하는 경우 IP 주소가 '172.16.100.100' 접근통제 대상 서버의 HTTP(80) 서비스 접속을 허용한다.
② 사용자 ID가 '50020'이고, 관리 IP 주소가 '172.16.10.11'인 액세스 스위치의 18번 포트에 연결된 사용자 단말기는 '172.16.100.110' IP 주소의 접근통제 대상 서버에 SSH 접속을 허용한다.
③ 사용자 ID가 '50030'이고, 운영체제를 iOS 또는 Android를 사용하고, 무선으로 접속한 사용자 단말기는 '172.16.100.120' IP 주소의 접근통제 대상 서버에 HTTP(80) 서비스 접속을 허용한다.
④ 사용자 단말기의 Mac 주소가 '00:11:11:11:11:22'이면 사용자와 사용자 단말기 접속위치, 운영체제의 종류와 관계없이 '172.16.100.100' IP 주소의 접근통제 대상 서버에 HTTP(80) 서비스 접속을 허용한다.
[표 1]에서 정의된 정책은 [표 2]와 같은 형태의 정책으로 변환되어 접근통제 대상 서버의 접근통제 대상 에이전트에 전송되어 등록되고, 접근통제를 시행한다. 즉 [표 2]는 제어 서버에서 접근통제 대상 서버로 전송되는 정책을 나타낸 것이다.
Figure 112015099991142-pat00002
[표 2]의 사용자 단말기 IP 주소는 [도 2]의 사용자 인증과 IP 주소 할당, 프로파일링 과정에서 획득된 사용자 단말기의 IP 주소가 접근통제 정책 전달과정에서 자동으로 등록되는 것이다.
[실시예]
먼저, 본 발명에서 제안하는 출입상태와 연동하는 네트워크 접근통제의 구현을 위해서는 다음의 전제조건을 충족하여야 한다.
1) 802.1X가 적용된 네트워크
출입상태와 연동하는 네트워크 접근통제를 위해서는 네트워크에 접속하는 사용자 호스트(사용자 단말기)에 대한 프로파일링이 필수적이다. 이를 효과적으로 수행하기 위해서는 네트워크 접속 이전에 사용자 인증을 수행하는 802.1X 기반의 네트워크 접근통제가 적용되어야 한다. 이를 통해 사용자 인증과정에서 다음과 같은 정보를 프로파일링한다.
- 사용자 호스트의 사용자 식별자(ID)
- 호스트 액세스 스위치의 관리 IP 주소와 포트 식별자(ID)
- 사용자 호스트의 H/W 주소(Mac 주소)와 IP 주소
- 사용자 단말기에 설치된 운영체제 종류(DHCP(Dynamic Host Configuration Protocol)를 이용한 IP 주소 할당 방식을 선택했을 때)
2) 출입관리 서버에서 사용자 출입상태정보를 제어 서버에 전달
직원, 차량 등(이하, "사용자"로 통칭함)의 출입시 사용자 출입상태정보를 제어 서버에 전달하여, 접근통제 대상 서버의 사용자 식별자(ID) 정보와 출입관리 서버의 사용자 식별자(ID) 정보를 일치시키고, 사용자의 출입상태를 관리한다.
3) DHCP를 이용한 IP 주소 할당(선택사항)
유무선 네트워크에서 IP 주소 관리를 위해 DHCP를 적용할지 여부는 선택사항이다. 다만, DHCP를 이용할 경우 IP 주소 할당과 회수에 들어가는 노력을 최소화 할 수 있으며, DHCP 핑거프린팅을 이용해 사용자 단말기에 설치된 운영체제 식별에 유리하다.
이하, 출입상태와 연동하는 네트워크 접근통제 절차에 대해 설명한다.
도 5는 본 발명의 일 실시예에 의한 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 절차의 개념도이다.
도 5를 참조하면, 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템은, 크게 네트워크 접근통제부와 출입관리부로 구성될 수 있다.
1) 네트워크 접근통제부
네트워크 접근통제부는 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 단말기의 사용자를 인증하고, 접근을 허용할 네트워크를 결정하고, 결정된 네트워크에 따라 IP 주소를 할당하는 역할을 수행한다. 사용자에게 할당되는 네트워크는 VLAN(Virtual Local Area Network)으로 구분되고, 사용자의 출입상태에 따라 가변적으로 할당한다.
2) 출입관리부
출입관리부는 기업 등에서 운영하는 물리적인 출입관리 서버를 의미하며, 사용자의 출입을 관리하고, 출입상태의 변경에 따라 실시간으로 각각의 상태정보를 네트워크 접근통제부의 제어 서버에 전달하는 역할을 수행한다.
이와 같이 구성된 본 발명의 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 시스템에 있어, 출입관리 상태에 따른 네트워크 접근통제 절차는 다음과 같다.
1) 사용자의 출입상태가 입(入) 상태로 변경될 때
① 사용자가 출근 또는 외출 후 복귀로 인해 게이트장치를 통과하여 사용자의 출입상태가 입(入)으로 변경되면, 출입관리 서버는 출입증의 ID와 '입(入)' 상태를 제어 서버로 전달한다.
② 제어 서버는 출입관리 서버로부터 전달받은 사용자 출입상태정보를 이용하여 접근통제 대상 서버의 사용자 출입상태정보를 갱신한다. 이때, 접근통제 대상 서버의 사용자 식별자와 출입관리 서버의 사용자 식별자는 사전에 등록되어 있어야 한다.
Figure 112015099991142-pat00003
[표 3]은 사용자별 프로파일링 정보와 변경되는 출입상태정보를 나타낸 것이다.
③ 사용자의 출입상태에 따라 사용자 단말기의 네트워크 접근을 통제한다.
(1) 사용자 단말기 네트워크 상태 리셋
- 사용자의 출입상태가 '출(出)에서 '입(入)'으로 변경되었다면, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 다시 접속한다.
(2) 정상적인 네트워크(VLAN) 할당
- 사용자의 출입상태가 '입(入)'일 때는 사용자에게 정상적으로 할당해야 할 네트워크(VLAN)를 할당한다.
2) 사용자의 출입상태가 출(出) 상태로 변경될 때
① 사용자가 퇴근 또는 외출로 인해 게이트장치를 통과하여 사용자의 출입상태가 출(出)로 변경되면, 출입관리 서버는 출입증의 ID와 '출(出)' 상태를 제어 서버로 전달한다.
② 제어 서버는 출입관리 서버로부터 전달받은 사용자 출입상태정보를 이용하여 접근통제 시스템의 사용자 출입상태정보를 갱신한다.
Figure 112015099991142-pat00004
③ 사용자의 출입상태에 따라 사용자 단말기의 네트워크 접근을 통제한다.
(1) 사용자 단말기 네트워크 상태 리셋
- 사용자의 출입상태가 '입(入)에서 '출(出)'로 변경되었다면, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 다시 접속한다.
(2) 비정상 접속 네트워크(VLAN) 할당
- 사용자의 출입상태가 '출(出)'임에도 불구하고, 해당 사용자의 계정으로 인증 요청이 접수되면, 인증 서버는 비정상 로그인으로 판단하고 인증이 완료된 후 비정상 접속시 할당해야 하는 네트워크(VLAN)를 할당하여, 네트워크와 접근통제 대상 서버를 비정상적인 사용자 접근으로부터 보호한다.
도 6은 본 발명의 일 실시예에 의한 출입상태정보 갱신과 네트워크 연결 및 재연결 절차이다.
구체적으로, 사용자의 출입에 따라 출입관리 상태가 변경될 때 변경된 상태를 제어 서버에 전달하는 절차를 나타낸 것이다.
도 6을 참조하면, 사용자 출입상태정보를 갱신하는 절차는 다음과 같다.
①-1 게이트장치에서 사용자의 출입 이벤트가 발생하면, 해당 정보를 출입관리 서버에 전송한다.
①-2 출입관리 서버에 사용자 출입정보가 접수되면 이를 제어 서버에 사용자 식별자(ID), 출입상태정보 및 기타 정보를 제어 서버로 전달한다.
①-3 제어 서버는 출입관리 서버로부터 사용자 출입상태정보 접수하면, 사용자 프로파일 테이블에서 사용자 식별자를 검색하여 해당 사용자의 출입상태를 변경한다.
도 6을 참조하면, 출입상태 변경 사용자 단말기의 네트워크 재접속 절차는 다음과 같다.
②-1 제어 서버는 출입상태가 변경된 사용자의 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기의 네트워크 접속상태 변경을 위해 강제로 네트워크를 재접속하도록 한다.
이 때, 제어명령은 SNMP를 이용하여 유무선 네트워크에 접속된 모든 사용자 단말기의 네트워크 접속을 재접속하도록 한다.
도 7은 본 발명의 일 실시예에 의한 802.1X에 의한 사용자 인증과 IP 주소 할당 절차를 나타낸 흐름도이다.
도 7을 참조하면, 802.1X에 의한 사용자 인증절차는 다음과 같다.
①-1 사용자 호스트를 네트워크에 접속하고 인증을 요청한다.
- 호스트 액세스 스위치(Access Switch 및 AP)에서 호스트 접속을 인지하고 사용자 호스트에게 802.1X에 의한 사용자 인증에 필요한 사용자 ID와 PW를 요청하면, 사용자 호스트는 사용자 ID와 PW를 호스트 액세스 스위치로 전달한다.
①-2 호스트 액세스 스위치는 사용자 ID와 PW를 이용하여 인증 서버에 해당 사용자 호스트에 대한 인증을 요청한다.
①-3 인증 서버는 호스트 액세스 스위치로부터 제공받은 사용자 ID와 PW를 이용해 사용자를 인증한다. 사용자 인증에 성공하면 해당 사용자 호스트에 대한 정보를 프로파일링한다.
- 프로파일링 정보
> 사용자 호스트의 사용자 식별자(ID)
> 호스트 액세스 스위치의 관리 IP 주소와 포트 식별자(ID)
> 사용자 호스트의 H/W주소(Mac 주소)
①-4 사용자 호스트의 사용자에게 할당할 VLAN을 스위치에 할당한다. 선택적으로 접근통제 리스트(Access Control List)를 할당할 수 있다.
- VLAN을 할당할 때는 사용자의 출입상태에 따라 할당대상 VLAN을 결정한다.
- 출입상태가 '입(入)'일 때는 업무수행에 필요한 정상적인 VLAN을 할당한다.
- 출입상태가 '출(出)'일 때는 비정상 접속으로 판단하여, 네트워크와 접근통제 대상 서버 접속이 제한된 비정상 VLAN을 할당한다.
도 7을 참조하면, 802.1X에 의한 인증 후 IP 주소 할당 절차는 다음과 같다.
②-1 사용자 호스트는 DHCP 서버에 IP 주소 할당을 요청한다.
②-2 DHCP 서버는 사용자 호스트에 IP 주소를 할당한다.
②-3 IP 주소 할당 후 사용자 호스트에 할당된 IP 주소 정보를 프로파일링한다.
- 프로파일링 정보
> IP 주소 할당을 요청한 사용자 호스트의 H/W 주소(Mac 주소)와 할당한 IP 주소
상술한 바와 같이, 일반적인 접근통제 대상 서버는 사용자 인증시에 사용자의 출/퇴근 여부와 관계없이 사용자의 계정정보만으로 인증을 수행한다. 이 때문에, 일부 사용자의 경우 타인의 계정을 이용하여 불법적으로 시스템에 접근하여 업무기밀 또는 고객의 개인정보를 유출하는 경우가 빈번히 발생한다.
이를 방지하기 위해 본 발명에서는, 생성한 사용자 프로파일 정보를 접근통제 대상 서버의 사용자 인증에 사용하여, 사용자의 출입상태에 따라 인증절차를 달리 할 수 있다.
한편, 사용자의 상태가 '출(出)' 상태임에도 사용자 인증이 요청되면, 이는 비정상적인 로그인으로 판단하여, (1) 비정상적인 로그인임을 알리는 경고메시지를 띄우고 접속을 종료하거나, (2) 업무상 어쩔 수 없이 타 사용자 계정으로 로그인이 필요한 경우, 현재 로그인하는 사용자의 신원정보를 확인하고, 타 사용자 계정을 이용한 로그인을 허용할 수 있다. 이 때, 타사용자 계정으로 로그인하는 사용자의 출입상태도 확인('입(入)' 상태)하도록 한다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
1 : 네트워크 접근통제부
11 : 사용자 호스트
12 : 호스트 프로파일링 모듈
13 : 제어 서버
2 : 출입관리부
21 : 게이트장치
22 : 출입관리 서버

Claims (13)

  1. 802.1X 포트기반 네트워크 접근통제 표준을 이용하여 네트워크에 접속하고자 하는 사용자 호스트의 접근통제를 제어하는 방법에 있어서,
    (a) 사용자의 게이트장치를 통과하여 사용자의 출입상태가 입(入) 상태로 변경되면, 출입관리서버에서 사용자의 출입증의 ID와 입(入) 상태를 제어서버로 전달하는 단계;
    (b) 상기 제어서버는 출입관리 서버로부터 전달받은 사용자의 출입증의 ID와 입(入) 상태 정보를 이용하여 접근통제 대상서버의 사용자 출입상태정보를 갱신하는 단계;
    (c) 사용자의 출입상태가 입(入) 상태로 변경되는 경우 사용자호스트가 접근통제 대상서버로 서비스를 요청하게 되고, 사용자호스트가 인증서버를 통해 802.1X에 의한 사용자 인증을 요청받아 인증이 완료되면 제어 서버는 사용자에게 정상적으로 할당해야 할 네트워크(VLAN)를 할당하는 단계;
    (d) 사용자의 출입상태가 입(入) 상태로 변경되는경우, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 재접속하도록 하는 사용자단말기의 네트워크 상태 리셋단계;
    (e) 사용자의 게이트장치를 통과하여 사용자의 출입상태가 출(出) 상태로 변경되면, 출입관리서버에서 사용자의 출입증의 ID와 출(出) 상태를 상기 제어서버로 전달하는 단계;
    (f) 상기 제어서버는 출입관리 서버로부터 전달받은 사용자의 출입증의 ID와 출(出) 상태 정보를 이용하여 접근통제 대상서버의 사용자 출입상태정보를 갱신하는 단계;
    (g) 사용자의 출입상태가 출(出) 상태로 변경되는 경우, 해당 사용자가 사용하는 사용자 단말기 중 네트워크에 접속되어 있는 사용자 단말기가 존재한다면, 제어 서버는 해당 사용자 단말기의 네트워크 접속을 종료하고 재접속하도록 하는 사용자단말기의 네트워크 상태 리셋단계; 및
    (h) 사용자의 출입상태가 출(出)상태인 경우에, 해당사용자의 계정으로 인증요청이 접수되면, 인증서버는 비정상 로그인으로 판단하고 인증이 완료된 후 제어서버는 비정상 접속시 할당해야 하는 네트워크(VLAN)를 할당하여 네트워크와 접근통제대상서버의 접속을 제한하는 단계;를 포함하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법.
  2. 제 1항에 있어서,
    (i) 사용자의 상태가 출(出) 상태임에도 타 사용자 계정으로 로그인이 필요한 경우, 현재 로그인하는 사용자의 신원정보를 확인하고, 타사용자 계정으로 로그인하는 사용자의 출입상태도 입(入) 상태가 확인되면 제어서버는 타사용자 계정을 이용한 로그인을 허용하는 단계;를 더 포함하는 출입상태와 연동하는 802.1X 기반 네트워크 접근통제 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
KR1020150144432A 2015-10-16 2015-10-16 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법 KR101690105B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150144432A KR101690105B1 (ko) 2015-10-16 2015-10-16 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150144432A KR101690105B1 (ko) 2015-10-16 2015-10-16 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법

Publications (1)

Publication Number Publication Date
KR101690105B1 true KR101690105B1 (ko) 2016-12-27

Family

ID=57737010

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150144432A KR101690105B1 (ko) 2015-10-16 2015-10-16 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법

Country Status (1)

Country Link
KR (1) KR101690105B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200025242A (ko) * 2018-08-29 2020-03-10 주식회사 시큐아이 사용자 위치정보 및 인증정보를 이용한 네트워크 접근 통제 방법 및 이를 수행하는 네트워크 보안 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100419957B1 (ko) 2003-06-30 2004-02-25 주식회사 가드텍 출입 통제 시스템과 연동하는 정보 보안 시스템 및 그제어 방법
KR20120053197A (ko) * 2010-11-17 2012-05-25 삼성에스디에스 주식회사 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법
KR101218409B1 (ko) 2012-07-13 2013-01-03 주식회사 엔피코어 접근 통제 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100419957B1 (ko) 2003-06-30 2004-02-25 주식회사 가드텍 출입 통제 시스템과 연동하는 정보 보안 시스템 및 그제어 방법
KR20120053197A (ko) * 2010-11-17 2012-05-25 삼성에스디에스 주식회사 네트워크 시스템 및 이를 이용한 보안 정책 적용 방법
KR101218409B1 (ko) 2012-07-13 2013-01-03 주식회사 엔피코어 접근 통제 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200025242A (ko) * 2018-08-29 2020-03-10 주식회사 시큐아이 사용자 위치정보 및 인증정보를 이용한 네트워크 접근 통제 방법 및 이를 수행하는 네트워크 보안 장치
KR102131991B1 (ko) * 2018-08-29 2020-08-05 주식회사 시큐아이 사용자 위치정보 및 인증정보를 이용한 네트워크 접근 통제 방법 및 이를 수행하는 네트워크 보안 장치

Similar Documents

Publication Publication Date Title
JP4754964B2 (ja) 無線網制御装置及び無線網制御システム
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
US9774633B2 (en) Distributed application awareness
US9548982B1 (en) Secure controlled access to authentication servers
US10218712B2 (en) Access control using information on devices and access locations
US20210321253A1 (en) Virtual tenant for multiple dwelling unit
CN108156092B (zh) 报文传输控制方法和装置
US20080282331A1 (en) User Provisioning With Multi-Factor Authentication
CN102185867A (zh) 一种实现网络安全的方法和一种星形网络
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
KR101690105B1 (ko) 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
JP5715030B2 (ja) アクセス回線特定・認証システム
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
CN116566764A (zh) 一种接入虚拟专用网络的配置方法和装置
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
CN113556337A (zh) 终端地址识别方法、网络系统、电子设备及存储介质
KR20130124447A (ko) 지능형 로그인 인증 시스템 및 그 방법
KR20040014731A (ko) UPnP 네트워크 상의 사용자별 인터넷 접근 제어 방법및 시스템
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
KR20170044835A (ko) 802.1x 기반 동적 호스트 접근통제 시스템 및 방법
CN114710302A (zh) 互联网访问的控制方法及其控制装置
KR101910604B1 (ko) 네트워크 접근 제어 시스템 및 방법
JP2009267638A (ja) 端末認証・アクセス認証方法および認証システム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
R401 Registration of restoration