KR20040075613A - System for managing security policy in a wired and wireless integrated environment - Google Patents

System for managing security policy in a wired and wireless integrated environment Download PDF

Info

Publication number
KR20040075613A
KR20040075613A KR1020030011191A KR20030011191A KR20040075613A KR 20040075613 A KR20040075613 A KR 20040075613A KR 1020030011191 A KR1020030011191 A KR 1020030011191A KR 20030011191 A KR20030011191 A KR 20030011191A KR 20040075613 A KR20040075613 A KR 20040075613A
Authority
KR
South Korea
Prior art keywords
server
user
policy
policy server
terminal
Prior art date
Application number
KR1020030011191A
Other languages
Korean (ko)
Inventor
인소란
김우년
송영관
Original Assignee
주식회사 니츠
정보통신연구진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 니츠, 정보통신연구진흥원 filed Critical 주식회사 니츠
Priority to KR1020030011191A priority Critical patent/KR20040075613A/en
Publication of KR20040075613A publication Critical patent/KR20040075613A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A system and method for managing a security policy in a wired/wireless integrated environment are provided to easily transfer a security policy to a user even under a complicated security policy structure by easily recognizing the position of the user. CONSTITUTION: A central policy server(100) manages local policy servers(110-130). Each of local policy servers(110-130) manages user terminals(140-160) connected through a wired/wireless communication network. The local policy servers(110-130) can be selected on the basis of an area or on the basis of a department, policy and user class. The central policy server(100) does not directly process a security policy for the user terminals(140-160) but the local policy servers(110-130) connected through a communication network process the security policy process the security policy for the user terminals(140-160). Thus, the load of the central policy server(100) can be reduced.

Description

유무선 통합 환경에서의 보안정책 관리시스템 및 방법{System for managing security policy in a wired and wireless integrated environment}System for managing security policy in a wired and wireless integrated environment

본 발명은 유무선 통합 환경에서의 보안정책 관리시스템 및 방법에 관한 것으로, 보다 상세하게는, 관리자에 의해 결정된 보안정책을 유선이나 무선 통신망에 연결된 사용자에게 전송하기 위한 보안정책 관리시스템 및 방법에 관한 것이다.The present invention relates to a security policy management system and method in a wired / wireless integrated environment, and more particularly, to a security policy management system and method for transmitting a security policy determined by an administrator to a user connected to a wired or wireless communication network. .

인터넷의 급속한 보급 및 네트워크 기술의 발달은 정보의 공유 및 이동성의 보장이라는 긍정적인 효과를 가져왔다. 그러나, 이는 불법적인 해킹에 의한 정보유출이라는 부정적인 면도 내포하고 있다. 따라서 기업이 인터넷을 연결함에 있어 네트웍 보안은 가장 먼저 고려해야할 사항 중 하나이다. 이러한 보안의 문제는 인터넷을 자유롭게 이용하고 싶다는 사용의 측면과 상충되기 마련이다. 따라서 기업으로서는 자신들이 보호해야할 정보와 외부에 공개할 정보에 대한 명확한 구분이 필요하며, 이를 기본으로 자사의 적절한 보안정책(Security Policy)를 세워야 한다.The rapid dissemination of the Internet and the development of network technologies have had a positive effect of ensuring information sharing and mobility. However, this has a negative aspect of information leakage by illegal hacking. Therefore, network security is one of the first considerations when companies connect to the Internet. This security problem is often at odds with the use of the Internet. As a result, companies need a clear distinction between the information they need to protect and the information they want to disclose to the outside world.

네트워크 분야에서 보안정책은 정보자산의 전산망을 통한 무단유출, 파괴,불법변경으로부터 안전하게 보호하는 것을 목적으로 하고 있다. 보안정책 및 일련의 보안활동은 정보자산에 대하여 무결성(Integrity), 기밀성(Confidentiality), 식별 및 인증(Identification & Authentication), 접근제어(Access Control), 부인봉쇄(Non-Repudiation), 감사 및 책임 체계(Audibility & Accountability), 신뢰성 및 가용성(Reliability & Availability ) 등의 요구조건을 만족시켜야 한다.In the field of network, security policy aims to protect the information assets from unauthorized leakage, destruction and illegal changes through the computer network. Security policy and a series of security activities are based on Integrity, Confidentiality, Identification & Authentication, Access Control, Non-Repudiation, Audit and Accountability for Information Assets. (Audibility & Accountability), Reliability & Availability requirements.

이상과 같은 요구조건을 만족시키기 위해 보안관리는 일관성 및 기밀성 유지를 위해 전산 중앙 관리를 원칙으로 한다. 또한, 모든 자원(인적자원/정보자원)은 보안등급에 따라 분류하여 관리하며, 외부에서 내부로의 접근은 제한함을 원칙으로 한다. 또한, 프로세스 제어시스템 부분에 대해서는 별도로 보안을 강화하고, 사용자가 있는 모든 시스템에 대해서는 로그 관리를 한다. 또한, 내부에서 외부로의 정보조회는 제한 없이 허용하되 정보의 유출은 통제하며, 사용자 ID는 개인별로 유지함을 원칙으로 한다.In order to satisfy the above requirements, security management is based on computerized central management in order to maintain consistency and confidentiality. In addition, all resources (human resources / information resources) are classified and managed according to security level, and in principle, access from outside to inside is restricted. In addition, security is separately strengthened for the process control system part, and log management is performed for all systems in which the user is present. In addition, information inquiry from the inside to the outside is allowed without restriction, but the leakage of information is controlled and the user ID is maintained in principle.

이와 같이 보안정책은 정보의 무차별적인 유출을 방지하는 한편, 네트워크상에서 자유로운 정보유통을 위한 기본적인 정책이다. 현재, 각각의 네트워크에 대한 보안정책은 해당 네트워크의 관리주체가 수립하고 있으며, 보안성의 강화를 위해 중앙집중적인 보안정책을 적용하고 있다. 그러나, 네트워크의 규모가 커지면서 중앙집중적인 보안관리는 서버에 가해지는 부하를 지나치게 증가시켜 결과적으로 서버의 성능저하를 초래하는 원인으로 작용하고 있다. 또한, 특정한 서버에 의해 보안관리가 수행되고 있어, 유연한 보안정책의 수립 및 실행이 곤란하다는 문제가 있다.As such, the security policy prevents indiscriminate leakage of information and is a basic policy for free information distribution on the network. Currently, the security policy for each network is established by the management authority of the network and a centralized security policy is applied to enhance security. However, as the size of the network grows, centralized security management increases the load on the server excessively, resulting in a decrease in server performance. In addition, since security management is performed by a specific server, it is difficult to establish and execute a flexible security policy.

본 발명이 이루고자 하는 기술적 과제는 보안관리 서버에 가해지는 부하를 분산시키는 동시에 유연한 보안정책의 수립 및 실행이 가능한 유무선 통합 환경에서의 보안정책 관리시스템 및 방법을 제공하는 데 있다.The technical problem to be achieved by the present invention is to provide a security policy management system and method in a wired / wireless integrated environment that is capable of establishing and executing a flexible security policy while at the same time balancing the load on the security management server.

도 1은 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리시스템에 대한 일 실시예의 구성을 도시한 구성도,1 is a configuration diagram showing the configuration of an embodiment of a security policy management system in a wired / wireless integrated environment according to the present invention;

도 2는 네트워크운용센터(Network Operation Center : NOC)의 구성을 도시한 도면,2 is a diagram illustrating a configuration of a network operation center (NOC);

도 3은 지역센터(Regional Center : RC)의 상세한 구성을 도시한 도면,3 is a view showing a detailed configuration of a regional center (RC),

도 4는 도 1에 도시된 보안정책 관리시스템에서 유선 사용자의 등록과정을 도시한 흐름도,4 is a flowchart illustrating a registration process of a wired user in the security policy management system shown in FIG. 1;

도 5는 도 1에 도시된 보안정책 관리시스템에서 관리자에 의해 결정된 보안정책을 유선 사용자에게 전송하는 과정을 도시한 흐름도,5 is a flowchart illustrating a process of transmitting a security policy determined by an administrator to a wired user in the security policy management system illustrated in FIG. 1;

도 6은 도 1에 도시된 보안정책 관리시스템에서 무선 사용자의 등록과정을 도시한 흐름도,6 is a flowchart illustrating a registration process of a wireless user in the security policy management system shown in FIG. 1;

도 7은 도 1에 도시된 보안정책 관리시스템에서 등록을 마친 무선 사용자가 다른 지역으로 이동한 경우에 새로운 지역정책서버에 등록하는 과정을 도시한 흐름도,FIG. 7 is a flowchart illustrating a process of registering a new local policy server when a wireless user who has registered in the security policy management system shown in FIG. 1 moves to another region;

도 8은 도 1에 도시된 보안정책 관리시스템에서 관리자에 의해 결정된 보안정책을 무선 사용자에게 전송하는 과정을 도시한 흐름도,8 is a flowchart illustrating a process of transmitting a security policy determined by an administrator to a wireless user in the security policy management system illustrated in FIG. 1;

도 9는 도 1에 도시된 보안정책 관리시스템에서 보안정책의 전송을 위해 FQDN 방식이 적용된 장치식별방식을 도시한 도면, 그리고,FIG. 9 is a diagram illustrating a device identification method using an FQDN method for transmitting a security policy in the security policy management system shown in FIG. 1;

도 10은 도 1에 도시된 보안정책 관리시스템에서 FQDN 방식을 적용하여 관리자(admin@nitz)가 사용자 B(B@taejon.nitz)에게 보안정책을 전달하는 과정을 도시한 도면이다.FIG. 10 is a diagram illustrating a process in which an administrator (admin @ nitz) delivers a security policy to user B (B@taejon.nitz) by applying the FQDN scheme in the security policy management system shown in FIG. 1.

상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리시스템은, 네트워크 관리자에 의해 결정된 보안정책을 실행하고 네트워크 사용자의 정보를 보유하는 중앙정책서버와 상기 중앙정책서버에 연결되어 소정의 기준에 의해 그룹핑된 사용자의 정보와 상기 중앙정책서버로부터 수신된 상기 그룹핑된 사용자에 대한 보안정책을 유무선 통신망을 통해 상기 사용자에게 전달하는 복수의 지역정책서버로 구성된 네트워크에서 보안정책을 관리하는 시스템에 있어서, 상기 중앙정책서버는 관리자 단말기로부터 입력받은 사용자 ID에 대한 질의메시지에 응답하여 상기 보유하고 있는 사용자 정보로부터 파악된 상기 사용자 ID에 해당하는 사용자 단말기의 위치가 포함된 응답메시지를 상기 관리자 단말기로 제공하고, 상기 관리자 단말기는 상기 응답메시지로부터 파악된 상기 사용자 단말기가 속하는 상기 지역정책서버로부터 보안정책 및 상기 사용자 ID에 해당하는 사용자 단말기의 정보를 획득하고, 상기 획득된 보안정책을 적용하여 상기 사용자 ID에 해당하는 사용자 단말기에 보안정책을 적용하며, 상기 지역정책서버는 상기 지역정책서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 지역서버식별자에 의해 표현되고, 상기 관리자 단말기 및 상기 사용자 단말기는 각각단말기 명칭, 단말기 구분자, 상기 지역서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 단말기식별자에 의해 표현된다.In order to achieve the above technical problem, a security policy management system in a wired / wireless integrated environment according to the present invention includes a central policy server and a central policy server for executing a security policy determined by a network administrator and holding information of a network user. Security policy in a network consisting of a plurality of local policy server connected to transfer the information of the user grouped by a predetermined criterion and the security policy for the grouped user received from the central policy server to the user through a wired or wireless communication network. In the managing system, the central policy server responds to the inquiry message for the user ID input from the administrator terminal, the response message containing the location of the user terminal corresponding to the user ID identified from the user information held Provided to the administrator terminal, The administrator terminal obtains the security policy and information of the user terminal corresponding to the user ID from the local policy server to which the user terminal identified from the response message belongs, and applies the obtained security policy to the user ID. Apply a security policy to a user terminal, wherein the local policy server is represented by a local server identifier comprising a name of the local policy server, a server delimiter, and a name of the central policy server, and the administrator terminal and the user terminal. Are each represented by a terminal identifier, a terminal identifier, a name of the local server, a server separator, and a name of the central policy server.

바람직하게는, 상기 서버구분자는 '.'이며, 상기 지역서버식별자는 '지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되며, 상기 단말기 구분자는 '@'이며, 상기 단말기식별자는 '단말기의 명칭@지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성된다.Preferably, the server identifier is '.', The local server identifier is composed of 'name of the local policy server. Name of the central policy server', the terminal identifier is '@', the terminal identifier is 'terminal' Name @ name of local policy server.name of central policy server.

상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리방법은, 네트워크 관리자에 의해 결정된 보안정책을 실행하고 네트워크 사용자의 정보를 보유하는 중앙정책서버와 상기 중앙정책서버에 연결되어 소정의 기준에 의해 그룹핑된 사용자의 정보와 상기 중앙정책서버로부터 수신된 상기 그룹핑된 사용자에 대한 보안정책을 유무선 통신망을 통해 상기 사용자에게 전달하는 복수의 지역정책서버로 구성된 네트워크 시스템에서의 보안정책 관리방법에 있어서, 관리자 단말기가 상기 중앙정책서버로 사용자 ID에 대한 질의메시지를 전송하는 단계; 상기 중앙정책서버가 상기 보유하고 있는 사용자 정보로부터 파악된 상기 사용자 ID에 해당하는 사용자 단말기의 위치가 포함된 응답메시지를 상기 관리자 단말기로 제공하는 단계; 상기 관리자 단말기가 상기 응답메시지로부터 상기 사용자 단말기가 속하는 상기 지역정책서버를 파악하는 단계; 상기 관리자 단말기가 상기 파악된 지역정책서버로부터 보안정책 및 상기 사용자 ID에 해당하는 사용자 단말기의 정보를 획득하는 단계; 및 상기 관리자 단말기가 상기 획득된 보안정책을 적용하여 상기 사용자 ID에 해당하는 사용자 단말기에 보안정책을 적용하는 단계;를 포함하며, 상기 지역정책서버는 상기 지역정책서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 지역서버식별자에 의해 표현되고, 상기 관리자 단말기 및 상기 사용자 단말기는 각각 단말기 명칭, 단말기 구분자, 상기 지역서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 단말기식별자에 의해 표현된다.Security policy management method in a wired / wireless integrated environment according to the present invention for achieving the above technical problem, the central policy server and the central policy server for executing the security policy determined by the network administrator and holds the information of the network user In the network system comprising a plurality of local policy server connected to the user to transfer the information of the user grouped by a predetermined criterion and the security policy for the grouped user received from the central policy server to the user through a wired or wireless communication network A security policy management method, comprising: transmitting, by an administrator terminal, a query message for a user ID to the central policy server; Providing, by the central policy server, a response message including the location of the user terminal corresponding to the user ID identified from the user information held by the central policy server to the manager terminal; Identifying, by the administrator terminal, the local policy server to which the user terminal belongs from the response message; Obtaining, by the administrator terminal, information of a user terminal corresponding to a security policy and the user ID from the identified local policy server; And applying, by the administrator terminal, the security policy to the user terminal corresponding to the user ID by applying the obtained security policy, wherein the local policy server is a name of the local policy server, a server delimiter, and the Represented by a local server identifier composed of a name of the central policy server, the administrator terminal and the user terminal is composed of a terminal name, a terminal identifier, the name of the local server, a server separator, and the name of the central policy server, respectively. It is represented by a terminal identifier.

바람직하게는, 상기 서버구분자는 '.'이며, 상기 지역서버식별자는 '지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되고, 상기 단말기 구분자는 '@'이며, 상기 단말기식별자는 '단말기의 명칭@지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성된다.Preferably, the server identifier is '.', The local server identifier is composed of 'name of the local policy server. Name of the central policy server', the terminal identifier is '@', the terminal identifier is 'terminal' Name @ name of local policy server.name of central policy server.

이에 의해, 사용자의 통신환경과 관계없이 중앙의 정책을 사용자에게 전달하기 위한 전송메카니즘에 FQDN 방식을 적용하여 사용자의 위치를 용이하게 파악함으로써, 복잡한 보안 정책 구조하에서도 사용자까지 용이하게 보안정책을 전달할 수 있다.Thus, by applying the FQDN method to the transmission mechanism for delivering the central policy to the user regardless of the user's communication environment, the user's location can be easily identified. Can be.

이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리시스템 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of a security policy management system and method in a wired and wireless integrated environment according to the present invention.

도 1은 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리시스템에 대한 일 실시예의 구성을 도시한 구성도이다.1 is a block diagram showing the configuration of an embodiment of a security policy management system in a wired / wireless integrated environment according to the present invention.

도 1을 참조하면, 본 발명에 따른 유무선 통합 환경에서의 보안정책 관리시스템은 중앙정책서버(100), 복수의 지역정책서버(110, 120, 130), 및 복수의 사용자 단말기(140, 150, 160)로 구성된다.Referring to FIG. 1, a security policy management system in a wired / wireless integrated environment according to the present invention includes a central policy server 100, a plurality of local policy servers 110, 120, and 130, and a plurality of user terminals 140, 150, and the like. 160).

중앙정책서버(100)는 복수의 지역정책서버(110, 120, 130)를 관리한다. 각각의 지역정책서버(110, 120, 130)는 유무선 통신망을 통해 접속된 사용자 단말기(140, 150, 160)를 관리한다. 여기서, 지역정책서버(110, 120, 130)는 지역을 기준으로 선정될 수 있으며, 부서별, 정책별, 사용자계층별 등의 다양한 기준에 의해 선정될 수도 있다. 본 발명에 따른 보안정책 관리시스템은 보안정책 설정시 중앙정책서버(100)에서 사용자 단말기(140, 150, 160)에 대한 보안정책을 직접 처리하지 않고, 통신망을 통해 연결되어 있는 지역정책서버(110, 120, 130)에 의해 처리한다. 따라서, 중앙정책서버(100)의 부하를 감소시킬 수 있다.The central policy server 100 manages a plurality of local policy servers 110, 120, and 130. Each regional policy server 110, 120, 130 manages user terminals 140, 150, 160 connected through a wired or wireless communication network. Here, the regional policy servers 110, 120, and 130 may be selected based on the region, and may be selected by various criteria such as by department, policy, and user layer. The security policy management system according to the present invention does not directly process the security policy for the user terminals 140, 150, and 160 from the central policy server 100 when setting the security policy, and is connected to the local policy server 110 through a communication network. , 120, 130). Therefore, the load of the central policy server 100 can be reduced.

도 2에는 네트워크운용센터(Network Operation Center : NOC)의 구성이 도시되어 있다. 관리자는 네트워크운용센터(Network Operation Center : NOC)(200)내에서 모든 보안정책을 결정하고 결정된 보안정책은 중앙정책서버(220)에 의해 실행 된다. NOC(200)는 중앙보안정책 데이터베이스(210) 및 중앙정책서버(220)로 구성된다. 중앙보안정책 데이터베이스(210)에는 종합정책파일(230) 및 사용자 정보파일(240)이 저장된다. 종합정책파일(230)에는 지역 정책정보(232), 그룹별 정책정보(234), 및 사용자 계층별 정책정보(236)가 저장되다. 이러한 각각의 정책정보(232, 234, 236)는 우선순위에 의한 조합이 가능하며, 중앙정책서버(220)에 의해 각각의 지역정책서버로 전달된다. 이러한 중앙정책서버(220)의 정책파일내용은 관리자에 의해 여러 가지 형태를 가질 수 있다.2 illustrates a configuration of a network operation center (NOC). The administrator determines all security policies within the Network Operation Center (NOC) 200 and the determined security policies are executed by the central policy server 220. The NOC 200 is composed of a central security policy database 210 and a central policy server 220. The central security policy database 210 stores a comprehensive policy file 230 and a user information file 240. The comprehensive policy file 230 stores local policy information 232, group policy information 234, and user hierarchy policy information 236. Each of these policy information (232, 234, 236) can be combined by priority, and is transmitted to each local policy server by the central policy server 220. The policy file contents of the central policy server 220 may have various forms by an administrator.

사용자 정보파일(240)에는 중앙정책서버(220)가 담당하는 모든 지역의 유선 및 무선 사용자에 대한 정보(242, 244)가 저장된다. 무선 사용자는 유선 사용자와다르게 공유되어야 한다. 무선 사용자는 지역간 이동이 가능하므로 모든 지역정책서버들은 무선 사용자 정보를 공유하고 있어야 한다. 지역정책서버가 공유하고 있는 무선 사용자 정보에 의해 무선 사용자는 자신이 위치하고 있는 지역을 담당하는 지역정책서버에 로그인할 수 있게 된다.The user information file 240 stores information 242 and 244 about wired and wireless users in all regions that the central policy server 220 is in charge of. Wireless users should be shared differently with wired users. Since wireless users can move between regions, all local policy servers must share wireless user information. The wireless user information shared by the local policy server enables the wireless user to log in to the local policy server in charge of the area in which the local policy server is located.

도 3에는 지역센터(Regional Center : RC)의 상세한 구성이 도시되어 있다. RC(300)는 지역보안정책 데이터베이스(310) 및 지역정책서버(320)로 구성된다. 지역정책데이터베이스(310)에는 종합정책파일(330) 및 사용자 정보파일(340)이 저장된다. 종합정책파일(330)에는 중앙정책서버로부터 전달받은 지역 정책정보(332), 그룹별 정책정보(334), 및 사용자 계층별 정책정보(336)가 저장된다. 이러한 각각의 정책정보(332, 334, 336)는 우선순위에 의한 조합이 가능하며, 지역정책서버(320)에 의해 각각의 사용자에게 전달된다. 사용자 정보파일(340)에는 지역정책서버(320)가 담당하는 지역의 유선 및 무선 사용자에 대한 정보(342, 344)가 저장된다.3 shows a detailed configuration of a regional center (RC). RC 300 is composed of a regional security policy database 310 and a regional policy server 320. The regional policy database 310 stores a comprehensive policy file 330 and a user information file 340. The comprehensive policy file 330 stores regional policy information 332, group policy information 334, and user hierarchy policy information 336 received from the central policy server. Each of these policy information 332, 334, 336 can be combined by priority, and is transmitted to each user by the local policy server 320. The user information file 340 stores information 342 and 344 about wired and wireless users in the area in which the regional policy server 320 is in charge.

도 4는 도 1에 도시된 보안정책 관리시스템에서 유선 사용자의 등록과정을 도시한 흐름도이다.4 is a flowchart illustrating a registration process of a wired user in the security policy management system illustrated in FIG. 1.

도 4를 참조하면, 유선 사용자(140)는 먼저 지역정책서버(110)에 사용자 정보를 등록한다(S400). 지역정책서버(110)는 자신의 상위서버인 중앙정책서버(100)에게 등록을 원하는 유선 사용자 정보를 전달한다(S410). 중앙정책서버(100)는 수신된 사용자 정보를 기초로 정당한 사용자인지를 판단하고(S420), 정당한 사용자로 판단되면 지역정책서버(110)로 등록수용메시지를 전송한다(S430). 이와 달리, 해당사용자가 정당한 사용자가 아닌 것으로 판단되면 지역정책서버(110)로 등록거부메시지를 전송한다(S440). 지역정책서버(110)는 중앙정책서버(100)로부터 수신된 응답메시지에 따라 사용자의 등록 및 거부동작을 수행한다(S450).Referring to FIG. 4, the wired user 140 first registers user information with the local policy server 110 (S400). The regional policy server 110 transmits the wired user information desired to be registered to the central policy server 100 which is its upper server (S410). The central policy server 100 determines whether the user is a legitimate user based on the received user information (S420), and if it is determined that the user is a legitimate user, transmits a registration acceptance message to the local policy server 110 (S430). On the contrary, if it is determined that the user is not a legitimate user, the registration rejection message is transmitted to the local policy server 110 (S440). The local policy server 110 performs the registration and rejection of the user according to the response message received from the central policy server 100 (S450).

도 5는 도 1에 도시된 보안정책 관리시스템에서 관리자에 의해 결정된 보안정책을 유선 사용자에게 전송하는 과정을 도시한 흐름도이다.FIG. 5 is a flowchart illustrating a process of transmitting a security policy determined by an administrator to a wired user in the security policy management system illustrated in FIG. 1.

도 5를 참조하면, 관리자는 모든 지역정책서버(110, 120, 130)를 선택하고 지역정책서버(110, 120, 130)로 보안정책을 전송한다(S500). 각각의 지역 정책서버(110, 120, 130)는 도 4에 도시된 등록과정을 통해 등록된 모든 사용자에게 중앙정책서버(100)로부터 전송받은 보안정책을 전달한다(S510). 이 때, 로그 오프인 사용자에게는 해당 사용자가 추후 로그인하는 경우에 보안정책을 전달하게 된다. 보안정책의 전달 후 각각의 지역정책서버(110, 120, 130)는 보안정책이 전달된 사용자에 대한 통계를 작성하여 중앙정책서버(100)로 전송한다(S520). 여기에서, 지역정책서버(110, 120, 130)와 유무선 사용자에 대한 기록 방식은 FQDN(Fully qualified domain name)방식에 의해 수행된다.Referring to FIG. 5, the administrator selects all local policy servers 110, 120, and 130 and transmits a security policy to local policy servers 110, 120, and 130 (S500). Each local policy server (110, 120, 130) transfers the security policy received from the central policy server 100 to all registered users through the registration process shown in Figure 4 (S510). At this time, the user who logs off will deliver the security policy when the user logs in later. After delivery of the security policy, each of the local policy servers 110, 120, and 130 prepares statistics for the user to whom the security policy is delivered and transmits the statistics to the central policy server 100 (S520). Here, the recording method for the local policy servers 110, 120, and 130 and the wired / wireless user is performed by a fully qualified domain name (FQDN) method.

이하에서는 도 6 내지 도 8을 참조하여, 무선 사용자 또는 이동망 사용자가 지역을 이동한 경우에 등록과정, 지역간 이동후 처리과정에 대해 설명한다. 이동망의 경우, 지역정책서버는 FA(Foreign Agent)와 유사한 역할을 수행하며, 중앙정책서버는 HA(Home Agent)와 유사한 역할을 수행한다. 이동망 사용자의 보안정책전송은 무선 사용자와 유사하므로 여기서는 무선 사용자에 대해서만 언급한다.Hereinafter, with reference to FIGS. 6 to 8, a registration process and a post-regional processing process when a wireless user or a mobile network user moves a region will be described. In the case of mobile network, local policy server plays a role similar to FA (Foreign Agent) and central policy server plays a role similar to HA (Home Agent). Since the security policy transmission of the mobile network user is similar to the wireless user, only the wireless user is referred to here.

도 6은 도 1에 도시된 보안정책 관리시스템에서 무선 사용자의 등록과정을도시한 흐름도이다.6 is a flowchart illustrating a registration process of a wireless user in the security policy management system shown in FIG. 1.

도 6을 참조하면, 무선 사용자(140)는 먼저 지역정책서버(110)에 사용자 정보를 등록한다(S600). 지역정책서버(110)는 자신의 상위서버인 중앙정책서버(100)에게 등록을 원하는 무선 사용자 정보를 전달한다(S610). 중앙정책서버(100)는 수신된 사용자 정보를 기초로 정당한 사용자인지를 판단하고(S420), 정당한 사용자로 판단되면 등록을 요청한 지역정책서버(110)로 등록수용메시지를 전송하는 한편, 등록을 요청한 지역정책서버(110)를 제외한 나머지 지역정책서버(120, 130)로 수신된 사용자 정보를 전송한다(S630). 이와 달리, 해당 사용자가 정당한 사용자가 아닌 것으로 판단되면 지역정책서버(110)로 등록거부메시지를 전송한다(S640). 지역정책서버(110)는 중앙정책서버(100)로부터 수신된 응답메시지에 따라 사용자의 등록 및 거부동작을 수행한다(S650). 무선 사용자는 등록된 지역정책서버(110)로부터 수신한 정책파일에 따라 보안정책을 적용한다(S660).Referring to FIG. 6, the wireless user 140 first registers user information with the local policy server 110 (S600). The local policy server 110 transmits the wireless user information to be registered to the central policy server 100 which is its upper server (S610). The central policy server 100 determines whether the user is a legitimate user based on the received user information (S420), and if it is determined that the user is a legitimate user, transmits a registration acceptance message to the regional policy server 110 requesting registration, and requests registration. The received user information is transmitted to the remaining local policy servers 120 and 130 except for the local policy server 110 (S630). On the contrary, if it is determined that the user is not a legitimate user, the registration rejection message is transmitted to the local policy server 110 (S640). The regional policy server 110 performs the registration and rejection of the user according to the response message received from the central policy server 100 (S650). The wireless user applies the security policy according to the policy file received from the registered local policy server 110 (S660).

도 7은 도 1에 도시된 보안정책 관리시스템에서 등록을 마친 무선 사용자가 다른 지역으로 이동한 경우에 새로운 지역정책서버에 등록하는 과정을 도시한 흐름도이다.FIG. 7 is a flowchart illustrating a process of registering a new local policy server when a wireless user who has registered in the security policy management system shown in FIG. 1 moves to another region.

도 7을 참조하면, 지역을 이동한 무선 사용자는 중앙정책서버(100)에 접속하여 지역정책서버목록을 수령한다(S700). 다음으로, 수신된 지역서버목록에서 하나의 지역정책서버를 선택한다(S710). 지역정책서버의 선택은 다음의 방법에 의해 이루어진다.Referring to FIG. 7, a wireless user who moves a region accesses a central policy server 100 and receives a list of regional policy servers (S700). Next, one local policy server is selected from the received local server list (S710). The local policy server is selected by the following method.

A. 무선 사용자가 특정한 IP 블록내에 위치하는 경우에 특정한 지역정책서버를 자신의 지역정책서버로 선택하는 방법.A. A method for selecting a local policy server as its own local policy server if the wireless user is located within a specific IP block.

B. 무선 사용자측에서 지역정책서버중에서 Hop Count가 가장 적은 지역정책서버를 자신의 지역정책서버로 선택하는 방법.B. On the wireless user side, the local policy server with the smallest hop count among local policy servers is selected as its local policy server.

C. 무선 사용자측에서 지역정책서버중에서 Round Trip Time이 가장 적은 지역정책서버를 자신의 지역정책서버로 선택하는 방법.C. How to select local policy server that has the least round trip time among local policy servers as wireless policy.

D. 무선 사용자가 선택한 지역정책서버를 자신의 지역정책서버로 선택하는 방법.D. How to select local policy server selected by wireless user as its local policy server.

무선 사용자는 결정된 지역정책서버(예를 들면, 130)에 로그인하여 보안정책을 수신한다(S720). 이 때, 해당 보안정책이 이미 무선 사용자에 다운로드되어 있을 수 있으므로, 보안정책의 수신전에 버전을 확인하는 것이 바람직하다. 무선 사용자가 로그인한 지역정책서버(130)는 중앙정책서버(100)로 해당 사용자의 위치정보를 전송한다(S730). 중앙정책서버(100)의 관리자는 수신된 사용자의 위치정보에 의해 무선 사용자에게 보안정책에 관한 정보를 전송할 수 있게 된다. 무선 사용자가 로그오프하는 경우에 지역정책서버(130)는 중앙정책서버(100)로 로그오프사실을 통지한다. 이 때, 무선 사용자에 대한 위치정보는 변경되지 않는다.The wireless user logs in to the determined local policy server (eg, 130) and receives a security policy (S720). At this time, since the security policy may already be downloaded to the wireless user, it is preferable to check the version before receiving the security policy. The local policy server 130 logged in by the wireless user transmits the location information of the corresponding user to the central policy server 100 (S730). The administrator of the central policy server 100 may transmit the information on the security policy to the wireless user by the received location information of the user. When the wireless user logs off, the local policy server 130 notifies the central policy server 100 of the log off fact. At this time, the location information for the wireless user is not changed.

도 8은 도 1에 도시된 보안정책 관리시스템에서 관리자에 의해 결정된 보안정책을 무선 사용자에게 전송하는 과정을 도시한 흐름도이다.8 is a flowchart illustrating a process of transmitting a security policy determined by an administrator to a wireless user in the security policy management system illustrated in FIG. 1.

관리자는 중앙정책서버(100)를 통해 지역정책서버(110, 120, 130)가 관리하는 특정한 사용자 또는 모든 사용자들에게 보안정책을 전송할 수 있다. 관리자는 다음의 과정을 통해 특정한 지역정책서버(120)의 특정한 무선 사용자에게 보안정책을 전송한다. 먼저, 관리자는 해당 무선 사용자의 로그기록을 검색한 후(S800) 해당 무선 사용자에 대한 로그정책을 선택한다(S810). 중앙정책서버(100)는 무선 사용자의 ID를 기초로 해당 무선 사용자가 위치하고 있는 지역을 담당하는 지역정책서버(120)로 보안정책을 전송한다(S820). 지역정책서버(120)는 해당 무선사용자가 로그인 상태인가를 확인한다(S830). 지역정책서버(120)는 로그인 상태에 있는 무선 사용자에게 수신된 보안정책을 전달한다(S840). 만약, 무선 사용자가 로그오프 상태이면 보안정책은 지역정책서버(120)까지만 전송되고 일정한 기간이 경과하면 지역정책서버(120)는 수신된 보안정책을 삭제한다(S850).The administrator may transmit a security policy to a specific user or all users managed by the regional policy servers 110, 120, and 130 through the central policy server 100. The administrator transmits a security policy to a specific wireless user of a specific local policy server 120 through the following process. First, the administrator searches for a log record of the wireless user (S800) and then selects a log policy for the wireless user (S810). The central policy server 100 transmits a security policy to the regional policy server 120 in charge of the area where the wireless user is located based on the ID of the wireless user (S820). The local policy server 120 checks whether the corresponding wireless user is logged in (S830). The local policy server 120 transmits the received security policy to the wireless user in the login state (S840). If the wireless user is logged off, the security policy is transmitted only to the local policy server 120, and if a certain period of time passes, the local policy server 120 deletes the received security policy (S850).

도 9는 도 1에 도시된 보안정책 관리시스템에서 보안정책의 전송을 위해 FQDN 방식이 적용된 장치식별방식을 도시한 도면이다. FQDN은 도메인네임서버(Domain Name Server : DNS)에서 사용되며, 도메인네임에 dot를 부가하여 질의할 도메인네임의 끝을 표현하는 방식이다.FIG. 9 is a diagram illustrating a device identification method using an FQDN method for transmitting a security policy in the security policy management system shown in FIG. 1. FQDN is used in Domain Name Server (DNS), and it adds dot to domain name to express the end of domain name to query.

도 9를 참조하면, 보안정책 관리시스템을 구성하는 중앙정책서버(100), 지역정책서버(110, 120, 130), 및 사용자 단말기(140, 150, 160)는 트리구조로 연결된다. 이러한 트리구조의 시스템에서 최상위 레벨에 존재하는 중앙정책서버(100)를 루트(root)로 설정하고, 다음 레벨에 존재하는 지역정책서버(110, 120, 130)를 제1레벨로 설정하고, 하위 레벨에 존재하는 세부지역정책서버(미도시)를 제2레벨로 설정할 수 있다. 이와 같이 FQDN 방식으로 시스템의 구조를 표현하는 목적은 질의자가 중앙정책서버(100)에 특정 사용자의 ID를 질의하여 수신한 응답메시지를 읽는 것만으로 사용자의 위치를 파악하고 해당 사용자와 통신하기 위한 정책을 획득하기위함이다.Referring to FIG. 9, the central policy server 100, the local policy servers 110, 120, 130, and the user terminals 140, 150, and 160 constituting the security policy management system are connected in a tree structure. In the system of such a tree structure, the central policy server 100 existing at the top level is set as the root, and the local policy servers 110, 120, and 130 existing at the next level are set as the first level. Sub-regional policy server (not shown) existing in the level can be set to the second level. As such, the purpose of expressing the structure of the system by the FQDN method is to determine the location of the user and read the response message received by the queryer querying the central policy server 100 for a specific user's ID. To obtain.

이 때, 각 서버에 대해 장치명을 부여할 수 있으며, 이는 호스트네임에 해당된다. 예를 들면, 중앙정책서버(100)의 명칭이 'nitz'이고 지역정책서버(110, 120, 130)의 명칭이 각각 'seoul', 'taejon', 'taegu'이면, 각각의 지역정책서버(110, 120, 130)는 'seoul.nitz', 'taejon.nitz', 'taegu.nitz'로 표현된다. 사용자 단말기는 사용자가 속한 서버의 이름을 포함하며, '사용자 ID+@+서버명'으로 표현된다. 예를 들면, 'seoul.nitz'로 표현된 지역정책서버(110)에 연결된 사용자의 ID가 'a'라면 해당 사용자 단말기(140)는 'a@seoul.nitz'로 표현된다.In this case, a device name can be given to each server, which corresponds to a host name. For example, if the name of the central policy server 100 is 'nitz' and the names of the local policy servers 110, 120, and 130 are 'seoul', 'taejon', and 'taegu', respectively, each local policy server ( 110, 120, 130) are expressed as 'seoul.nitz', 'taejon.nitz', and 'taegu.nitz'. The user terminal includes the name of the server to which the user belongs, and is expressed as 'user ID + @ + server name'. For example, if the user ID connected to the local policy server 110 represented by 'seoul.nitz' is 'a', the corresponding user terminal 140 is represented by 'a@seoul.nitz'.

질의자는 최상위 루트 서버인 중앙정책서버(100)에 질의할 수 있으며, 질의 내용에 사용자 ID 정보가 포함된다. 이 때, 중앙정책서버(100)는 중앙보안정책 데이터베이스(210)에서 해당 사용자 ID에 해당하는 사용자 단말기(140)의 위치를 파악하여 FQDN 방식이 적용된 응답메시지를 지역정책서버(110)로 전송한다. 한편, 질의 및 응답메시지는 보안채널을 통해 송수신된다.The queryer can query the central policy server 100, which is the top root server, and includes the user ID information in the query contents. At this time, the central policy server 100 detects the location of the user terminal 140 corresponding to the user ID in the central security policy database 210 and transmits a response message to which the FQDN method is applied to the local policy server 110. . On the other hand, query and response messages are transmitted and received through the secure channel.

도 10은 도 1에 도시된 보안정책 관리시스템에서 FQDN 방식을 적용하여 관리자(admin@nitz)가 사용자 B(B@taejon.nitz)에게 보안정책을 전달하는 과정을 도시한 도면이다. 여기에서 모든 질의 및 응답메시지는 보안전송을 전제로 한다.FIG. 10 is a diagram illustrating a process in which an administrator (admin @ nitz) delivers a security policy to user B (B@taejon.nitz) by applying the FQDN scheme in the security policy management system shown in FIG. 1. All query and response messages are assumed to be secure.

도 10을 참조하면, 관리자는 중앙정책서버(100)에 사용자 B의 ID에 대한 질의 메시지를 전송한다(S1000). 중앙정책서버(100)는 중앙보안정책 데이터베이스로부터 사용자 B의 ID 위치를 파악하여 FQDN방식이 적용된 응답 메시지를 관리자에게 제공한다(S1010). 관리자는 사용자 B의 ID로부터 사용자 B가 속한지역정책서버(120)를 파악할 수 있다. 관리자는 지역정책서버(120)에 사용자 B가 해당 지역정책서버(120)를 통과하기 위한 보안정책과 사용자 B의 정보를 질의한다(S1020). 해당 지역정책서버(120)는 관리자에게 자신의 보안정책 및 사용자 B의 정보를 응답한다(S1030). 관리자는 해당 지역정책서버(120)로부터 제공받은 보안정책을 적용하여 사용자 B에게 보안정책을 전달한다(S1040).Referring to FIG. 10, the manager transmits a query message for the ID of user B to the central policy server 100 (S1000). The central policy server 100 grasps the location of the ID of the user B from the central security policy database, and provides the administrator with a response message to which the FQDN method is applied (S1010). The administrator can determine the local policy server 120 to which user B belongs from the user B's ID. The administrator queries the local policy server 120 for the security policy for the user B to pass through the local policy server 120 and the information of the user B (S1020). The local policy server 120 responds to the administrator of his security policy and user B information (S1030). The administrator applies the security policy provided from the local policy server 120 and delivers the security policy to the user B (S1040).

이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.Although the preferred embodiments of the present invention have been shown and described above, the present invention is not limited to the specific preferred embodiments described above, and the present invention belongs to the present invention without departing from the gist of the present invention as claimed in the claims. Various modifications can be made by those skilled in the art, and such changes are within the scope of the claims.

본 발명에 따른 보안정책 관리시스템 및 방법에 의하면, 중앙정책서버와 지역정책서버로 구성된 복잡한 보안정책 구조하에서 사용자의 통신환경과 관계없이 중앙의 정책을 사용자에게 전달하기 위한 전송메카니즘에 FQDN 방식을 적용하여 사용자의 위치를 용이하게 파악함으로써, 복잡한 보안 정책 구조하에서도 사용자까지 용이하게 보안정책을 전달할 수 있다.According to the security policy management system and method according to the present invention, the FQDN method is applied to a transmission mechanism for delivering a central policy to a user regardless of the user's communication environment under a complex security policy structure consisting of a central policy server and a local policy server. By easily identifying the location of the user, even a complex security policy structure can be easily delivered to the user.

Claims (6)

네트워크 관리자에 의해 결정된 보안정책을 실행하고 네트워크 사용자의 정보를 보유하는 중앙정책서버와 상기 중앙정책서버에 연결되어 소정의 기준에 의해그룹핑된 사용자의 정보와 상기 중앙정책서버로부터 수신된 상기 그룹핑된 사용자에 대한 보안정책을 유무선 통신망을 통해 상기 사용자에게 전달하는 복수의 지역정책서버로 구성된 네트워크에서 보안정책을 관리하는 시스템에 있어서,A central policy server that executes a security policy determined by a network administrator and holds information of a network user; information of users grouped by a predetermined criterion connected to the central policy server and the grouped users received from the central policy server In the system for managing the security policy in a network consisting of a plurality of local policy server for transmitting the security policy for the user through a wired or wireless communication network, 상기 중앙정책서버는 관리자 단말기로부터 입력받은 사용자 ID에 대한 질의메시지에 응답하여 상기 보유하고 있는 사용자 정보로부터 파악된 상기 사용자 ID에 해당하는 사용자 단말기의 위치가 포함된 응답메시지를 상기 관리자 단말기로 제공하고, 상기 관리자 단말기는 상기 응답메시지로부터 파악된 상기 사용자 단말기가 속하는 상기 지역정책서버로부터 보안정책 및 상기 사용자 ID에 해당하는 사용자 단말기의 정보를 획득하고, 상기 획득된 보안정책을 적용하여 상기 사용자 ID에 해당하는 사용자 단말기에 보안정책을 적용하며,The central policy server provides a response message including the location of the user terminal corresponding to the user ID identified from the user information in response to the query message for the user ID received from the administrator terminal. The manager terminal obtains a security policy and information of a user terminal corresponding to the user ID from the local policy server to which the user terminal identified from the response message belongs, and applies the obtained security policy to the user ID. Apply security policy to the corresponding user terminal, 상기 지역정책서버는 상기 지역정책서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 지역서버식별자에 의해 표현되고, 상기 관리자 단말기 및 상기 사용자 단말기는 각각 단말기 명칭, 단말기 구분자, 상기 지역서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 단말기식별자에 의해 표현되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리시스템.The regional policy server is represented by a local server identifier consisting of a name of the regional policy server, a server delimiter, and a name of the central policy server, and the administrator terminal and the user terminal are respectively a terminal name, a terminal identifier, and the region. A security policy management system in a wired / wireless integrated environment, characterized by a terminal identifier composed of a server name, a server delimiter, and a name of the central policy server. 제 1항에 있어서,The method of claim 1, 상기 서버구분자는 '.'이며, 상기 지역서버식별자는 '지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리시스템.The server separator is '.', And the local server identifier is configured as 'name of the local policy server. Name of the central policy server' security policy management system in a wired / wireless integrated environment. 제 1항에 있어서,The method of claim 1, 상기 단말기 구분자는 '@'이며, 상기 단말기식별자는 '단말기의 명칭@지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리시스템.The terminal identifier is '@', and the terminal identifier is configured as 'the name of the terminal @ the name of the regional policy server, the name of the central policy server' security policy management system in a wired / wireless integrated environment. 네트워크 관리자에 의해 결정된 보안정책을 실행하고 네트워크 사용자의 정보를 보유하는 중앙정책서버와 상기 중앙정책서버에 연결되어 소정의 기준에 의해 그룹핑된 사용자의 정보와 상기 중앙정책서버로부터 수신된 상기 그룹핑된 사용자에 대한 보안정책을 유무선 통신망을 통해 상기 사용자에게 전달하는 복수의 지역정책서버로 구성된 네트워크 시스템에서의 보안정책 관리방법에 있어서,A central policy server that executes a security policy determined by a network administrator and holds information of a network user and information of users grouped by a predetermined criterion connected to the central policy server and the grouped users received from the central policy server In the security policy management method in a network system consisting of a plurality of local policy server for delivering a security policy to the user through a wired or wireless communication network, 관리자 단말기가 상기 중앙정책서버로 사용자 ID에 대한 질의메시지를 전송하는 단계;Transmitting, by an administrator terminal, a query message about a user ID to the central policy server; 상기 중앙정책서버가 상기 보유하고 있는 사용자 정보로부터 파악된 상기 사용자 ID에 해당하는 사용자 단말기의 위치가 포함된 응답메시지를 상기 관리자 단말기로 제공하는 단계;Providing, by the central policy server, a response message including the location of the user terminal corresponding to the user ID identified from the user information held by the central policy server to the manager terminal; 상기 관리자 단말기가 상기 응답메시지로부터 상기 사용자 단말기가 속하는 상기 지역정책서버를 파악하는 단계;Identifying, by the administrator terminal, the local policy server to which the user terminal belongs from the response message; 상기 관리자 단말기가 상기 파악된 지역정책서버로부터 보안정책 및 상기 사용자 ID에 해당하는 사용자 단말기의 정보를 획득하는 단계; 및Obtaining, by the administrator terminal, information of a user terminal corresponding to a security policy and the user ID from the identified local policy server; And 상기 관리자 단말기가 상기 획득된 보안정책을 적용하여 상기 사용자 ID에 해당하는 사용자 단말기에 보안정책을 적용하는 단계;를 포함하며,And applying, by the administrator terminal, the security policy to a user terminal corresponding to the user ID by applying the obtained security policy. 상기 지역정책서버는 상기 지역정책서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 지역서버식별자에 의해 표현되고, 상기 관리자 단말기 및 상기 사용자 단말기는 각각 단말기 명칭, 단말기 구분자, 상기 지역서버의 명칭, 서버구분자, 및 상기 중앙정책서버의 명칭으로 구성되는 단말기식별자에 의해 표현되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리방법.The regional policy server is represented by a local server identifier consisting of a name of the regional policy server, a server delimiter, and a name of the central policy server, and the administrator terminal and the user terminal are respectively a terminal name, a terminal identifier, and the region. And a terminal identifier composed of a server name, a server delimiter, and a name of the central policy server. 제 3항에 있어서,The method of claim 3, wherein 상기 서버구분자는 '.'이며, 상기 지역서버식별자는 '지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리방법.The server separator is '.', And the local server identifier is configured as 'the name of the local policy server, the name of the central policy server' security policy management method in a wired / wireless integrated environment. 제 4항에 있어서,The method of claim 4, wherein 상기 단말기 구분자는 '@'이며, 상기 단말기식별자는 '단말기의 명칭@지역정책서버의 명칭.중앙정책서버의 명칭'으로 구성되는 것을 특징으로 하는 유무선 통합 환경에서의 보안정책 관리방법.The terminal identifier is '@', and the terminal identifier is 'name of terminal @ name of local policy server. Name of central policy server'.
KR1020030011191A 2003-02-22 2003-02-22 System for managing security policy in a wired and wireless integrated environment KR20040075613A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030011191A KR20040075613A (en) 2003-02-22 2003-02-22 System for managing security policy in a wired and wireless integrated environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030011191A KR20040075613A (en) 2003-02-22 2003-02-22 System for managing security policy in a wired and wireless integrated environment

Publications (1)

Publication Number Publication Date
KR20040075613A true KR20040075613A (en) 2004-08-30

Family

ID=37361872

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030011191A KR20040075613A (en) 2003-02-22 2003-02-22 System for managing security policy in a wired and wireless integrated environment

Country Status (1)

Country Link
KR (1) KR20040075613A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609700B1 (en) * 2004-07-20 2006-08-08 한국전자통신연구원 Apparatus and method for simplifying packet intrusion detection rule, and apparatus and method for detecting a intrusion packet using the simplified detection rule
KR101056268B1 (en) * 2010-01-25 2011-08-11 주식회사 반딧불소프트웨어 Security check system and method for a terminal device capable of computer communication
KR101218409B1 (en) * 2012-07-13 2013-01-03 주식회사 엔피코어 System and method for access control
US8724805B2 (en) 2010-12-23 2014-05-13 Electronics And Telecommunications Research Institute Security label generation method and apparatus for scalable content distribution
KR101450250B1 (en) * 2013-05-20 2014-10-22 넷큐브테크놀러지 주식회사 Method and apparatus for applying round policy to smart device
KR102586477B1 (en) * 2023-04-14 2023-10-10 주식회사 플렉스윌 Blockchain-based edge device security system in network environment

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609700B1 (en) * 2004-07-20 2006-08-08 한국전자통신연구원 Apparatus and method for simplifying packet intrusion detection rule, and apparatus and method for detecting a intrusion packet using the simplified detection rule
KR101056268B1 (en) * 2010-01-25 2011-08-11 주식회사 반딧불소프트웨어 Security check system and method for a terminal device capable of computer communication
US8724805B2 (en) 2010-12-23 2014-05-13 Electronics And Telecommunications Research Institute Security label generation method and apparatus for scalable content distribution
KR101218409B1 (en) * 2012-07-13 2013-01-03 주식회사 엔피코어 System and method for access control
KR101450250B1 (en) * 2013-05-20 2014-10-22 넷큐브테크놀러지 주식회사 Method and apparatus for applying round policy to smart device
KR102586477B1 (en) * 2023-04-14 2023-10-10 주식회사 플렉스윌 Blockchain-based edge device security system in network environment

Similar Documents

Publication Publication Date Title
US8935398B2 (en) Access control in client-server systems
US7349993B2 (en) Communication network system, gateway, data communication method and program providing medium
US6571287B1 (en) Distributed database system with authoritative node
US7805606B2 (en) Computer system for authenticating a computing device
US6088725A (en) Mobile computer supporting system, its administrative server, its terminal, and address conversion method
JP5042800B2 (en) Network data sharing system
US20050223008A1 (en) Access right management system and method
US20060075083A1 (en) System for distributing information using a secure peer-to-peer network
CA2228687A1 (en) Secured virtual private networks
JPH103420A (en) Access control system and method
KR20040048814A (en) Method for communication between nodes in peer-to-peer networks using common group label
JP2004187296A (en) Method of grouping technical devices as nodes of network and apparatus for implementing the method
CN105847853A (en) Video content distribution method and device
CN1820264B (en) System and method for name resolution
JP2002344475A (en) System and method for providing service to apparatus in home network and system and method being provided with service through home network
JPWO2005027006A1 (en) User location system
US20090113208A1 (en) Wireless network having multiple communication allowances
US5961607A (en) System for transmission of data flow in data communication networks
US20030196107A1 (en) Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks
KR20040075613A (en) System for managing security policy in a wired and wireless integrated environment
RU2370911C2 (en) Roaming system, mobile communication system and mobile communication control method
JP2009217522A (en) System and method for providing personal attribute information
CA2379677C (en) System and method for local policy enforcement for internet service providers
KR100697099B1 (en) A method for providing message transmission service among different type messengers and method thereof
JP3215882U (en) Cloud storage based file access control system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E601 Decision to refuse application