KR20060044493A - Authentication system being capable of controlling authority based of user and authenticator - Google Patents

Authentication system being capable of controlling authority based of user and authenticator Download PDF

Info

Publication number
KR20060044493A
KR20060044493A KR1020050023318A KR20050023318A KR20060044493A KR 20060044493 A KR20060044493 A KR 20060044493A KR 1020050023318 A KR1020050023318 A KR 1020050023318A KR 20050023318 A KR20050023318 A KR 20050023318A KR 20060044493 A KR20060044493 A KR 20060044493A
Authority
KR
South Korea
Prior art keywords
authentication
user
list
policy
authenticator
Prior art date
Application number
KR1020050023318A
Other languages
Korean (ko)
Other versions
KR100707805B1 (en
Inventor
김기태
Original Assignee
엑서스테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑서스테크놀러지 주식회사 filed Critical 엑서스테크놀러지 주식회사
Priority to PCT/KR2005/000841 priority Critical patent/WO2005091159A1/en
Publication of KR20060044493A publication Critical patent/KR20060044493A/en
Application granted granted Critical
Publication of KR100707805B1 publication Critical patent/KR100707805B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Abstract

본 발명은 사용자 별 및 인증자 별로 네트워크 접근 권한 제어 및 사용 권한 제어를 할 수 있는 인증 시스템에 관한 것이다. 본 발명에 따른 인증 시스템은, 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하며, 상기 인증 서버는 각 사용자에게 적용될 적어도 하나 이상의 인증 정책으로 이루어지는 인증 정책 목록을 구비하고, 상기 인증 정책은 인증 정책 이름과, 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여, 사용자 및 인증자별 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것을 특징으로 한다.The present invention relates to an authentication system capable of network access right control and use right control per user and per authenticator. The authentication system according to the present invention includes an authenticator receiving basic authentication information from a user and requesting authentication, and an authentication server receiving authentication information for the corresponding user from the authenticator and performing authentication. The authentication policy list includes at least one authentication policy to be applied to each user, and the authentication policy includes an authentication policy name, a list of authenticators to allow access, a list of authenticators to block access, a list of requestors to allow access, and a requestor to block access. At least one or more of a list, a time or day of the week to allow access, a list of authority for use by the authenticator for the network resources, characterized in that the network access authority control and user authority control by user and authenticator is executed.

인증 서버, 인증, IEEE 802.1x Authentication Server, Authentication, IEEE 802.1x

Description

사용자 및 인증자별로 제어할 수 있는 인증 시스템{AUTHENTICATION SYSTEM BEING CAPABLE OF CONTROLLING AUTHORITY BASED OF USER AND AUTHENTICATOR}AUTHENTICATION SYSTEM BEING CAPABLE OF CONTROLLING AUTHORITY BASED OF USER AND AUTHENTICATOR}

도 1은 본 발명에 따른 인증 시스템의 전체적인 구성을 도시한 구성도.1 is a block diagram showing the overall configuration of the authentication system according to the present invention.

도 2는 본 발명에 따른 인증 시스템에서의 인증 과정을 순차적으로 설명하기 위한 흐름도.2 is a flow chart for sequentially explaining the authentication process in the authentication system according to the present invention.

도 3은 본 발명에 따른 인증 시스템의 인증 서버의 목록을 도식화한 도면. 3 is a diagram illustrating a list of authentication servers of the authentication system according to the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100, 102 : 요구자100, 102: requestor

110, 112 : 인증자110, 112: Certifier

120 : 인증 서버 120: authentication server

본 발명은 사용자 또는/및 인증자 별로 네트워크의 접근 권한 및 사용 권한을 제어하거나 할당할 수 있는 인증 시스템 및 그 방법에 관한 것이다. The present invention relates to an authentication system and method for controlling or assigning access rights and usage rights of a network for each user or / and authenticator.

종래의 무선 랜 시스템에 있어서, 각 사용자에 해당하는 단말기에 대한 인증 방법은 액세스 포인트의 SSID, 공유 WEP(Wired Equipvalent Privacy) 키(Key), MAC(Media Access Control) 주소 등을 이용한다. In a conventional WLAN system, an authentication method for a terminal corresponding to each user uses an SSID, a shared WEP (Wired Equipvalent Privacy) key, a MAC (Media Access Control) address, and the like of an access point.

그런데, SSID는 단말기의 접근을 승인/부인하기 위한 핸들(handle)로서 잘 사용되지 않는다. 이는 액세스 포인트가 SSID를 전파 탐지기에서 브로드캐스팅(broadcasting)할 수 있도록 설정하기 때문에 보안에 관한 문제가 발생할 수 있으며, 단말기의 셀 사이의 이동성을 제공하고자 할 경우 액세스 포인트의 SSID를 모두 같은 것으로 설정하여야 하기 때문이다. However, the SSID is not well used as a handle for granting / denying access of the terminal. This may cause a security problem because the access point sets the SSID to be broadcast by the radio detector, and in order to provide mobility between cells of the terminal, all SSIDs of the access point must be set to the same. Because.

한편, WEP은 무선 랜의 데이터 스트림을 보호하기 위한 메카니즘으로, 동일한 키와 알고리즘을 사용하여 데이터를 암호화하고 해독하기 위해 사용된다. 그러므로, WEP을 사용하여 인증받기 위해서는 단말기와 액세스 포인트의 환경 설정에서 WEP 키를 동일하게 등록하여야 하는 문제점이 있다. On the other hand, WEP is a mechanism for protecting the data stream of the WLAN, and is used to encrypt and decrypt data using the same key and algorithm. Therefore, in order to be authenticated using WEP, there is a problem in that the WEP key must be registered identically in the configuration of the terminal and the access point.

또한, 일부 무선 랜 공급업체들은 단말기의 MAC 주소에 기반하여 단말기의 무선 랜 접속을 인증하기도 한다. 그런데, 무선 랜 접속 인증은 액세스 포인트에 무선 랜 카드의 MAC 주소가 등록된 단말기에 한정되는 문제점을 갖고 있다. In addition, some wireless LAN providers may authenticate the wireless LAN connection of the terminal based on the MAC address of the terminal. However, wireless LAN access authentication has a problem of being limited to a terminal whose MAC address of the wireless LAN card is registered in the access point.

이와 같이, 종래의 무선 랜 인증 방식은 보안 및 단말기의 이동성에 많은 문제점을 안고 있다. 즉, SSID와 공유 WEP키를 사용하여 단말기를 인증하는 방법은, 만약 특정한 단말 장비의 보안이 침해받게 되는 경우 나머지 단말 장비에 대한 암호를 변경해야 하는 문제점이 있다. 또한, 단말기의 이동성 측면에 있어서, 무선랜 시스템에서 셀 내의 모든 단말기들과 액세스 포인트는 모두 동일한 SSID 및 WEP 키를 설정하여야 하므로, 새로 들어온 단말을 서비스하기 위해서 액세스 포인트의 SSID와 WEP키를 공개하여야 하는 문제점이 있다. As such, the conventional WLAN authentication method has many problems in security and portability of a terminal. That is, the method of authenticating the terminal using the SSID and the shared WEP key has a problem in that if the security of a specific terminal device is breached, the password for the remaining terminal device must be changed. In addition, in terms of mobility of the terminal, in the WLAN system, all the terminals and the access point in the cell must set the same SSID and WEP key, so in order to service a new terminal, the SSID and the WEP key of the access point must be disclosed. There is a problem.

그리고, MAC 주소를 이용하여 단말기를 인증하는 방법은 새로운 사용자가 들어올 때마다 단말기의 MAC 주소를 액세스 포인트에 등록하여야 하는 문제점이 있다. 따라서, 일시적으로 이동하는 단말을 서비스하거나, 빈번히 새로 들어오는 단말을 서비스하는 데 많은 어려움이 따른다. In addition, a method of authenticating a terminal using a MAC address has a problem in that the MAC address of the terminal must be registered in the access point every time a new user enters. Therefore, it is difficult to service a mobile terminal that is temporarily moving or to service a new terminal frequently.

이러한 문제점을 해결하기 위하여, 로그인 ID, 패스워드에 의한 무선 랜 단말기의 인증 방법이 제시되었다. 이 방법은 IEEE 802.1x에 기반한 EAP(Extensible Authentication Protocol)를 이용한 방식으로서, 사용자가 네트워크의 로그인 대화 상자 등을 통해 사용자 ID와 패스워드를 입력하면, 단말기 및 인증 서버는 제공된 사용자 ID 및 패스워드에 의한 단말기와의 상호 인증을 수행한다. 인증을 획득한 단말기는 액세스 포인트와 동일한 WEP 키를 액세스 포인트로부터 할당받음으로써 무선 랜 서비스를 받을 수 있게 된다. In order to solve this problem, a method of authenticating a wireless LAN terminal using a login ID and a password has been proposed. This method uses the EAP (Extensible Authentication Protocol) based on IEEE 802.1x. When a user enters a user ID and password through a network login dialog box, the terminal and the authentication server use a terminal provided by the provided user ID and password. Perform mutual authentication with. The terminal that has obtained the authentication can receive the wireless LAN service by receiving the same WEP key as the access point from the access point.

이와 같은 종래의 인증 방식은 각 사용자별로만 네트워크 접근 권한 제어 및 사용 권한 제어가 획일적으로 수행하는 문제점을 안고 있다. 따라서, 종래의 획일적인 인증 방식에서 더 나아가, 본 발명은 IEEE 802.1x가 구현된 네트워크 상에서 사용자에 대한 네트워크 사용 권한을 구분하고, 구분된 권한을 사용자 별로 사용자가 접속한 인증자 별로 구분하여 할당함으로써 네트워크 상에서 사용자의 접속 위치에 따른 권한 제어를 가능케 하는 인증 시스템 및 그 방법을 제안하고자 한다. Such a conventional authentication method has a problem that the network access control and the use control control uniformly performed only for each user. Therefore, in addition to the conventional monolithic authentication method, the present invention distinguishes network usage rights for a user on a network in which IEEE 802.1x is implemented, and allocates the divided rights for each user authenticated by the user. An authentication system and method for enabling authority control according to a user's access location on a network are proposed.

도 1은 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하 여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100, 102), 인증자(Authenticator;110,112), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다. 여기서, 요구자는 인증자에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다. FIG. 1 is a diagram schematically illustrating an authentication system as a whole, and FIG. 2 is a diagram sequentially illustrating an authentication process. Referring to FIG. 1 and FIG. 2, at present, the IEEE 802.1x standard standard defines three entities of a supplicant (100, 102), an authenticator (110, 112), and an authentication server (Authentication Server; 120). Doing. Here, the requestor is an entity that provides the authentication information of the user to the authenticator and makes an authentication request, and examples thereof include wired and wireless terminals to be connected to a network. The authenticator's initial port status when the requestor requests authentication from the authenticator is set to uncontrolled port status, where the requestor and authenticator communicate only as an Extensible Authentication Protocol (EAP). This is possible.

한편, 인증자는 요구자로부터 받은 인증 정보 및 인증 요청을 인증 서버에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다. Meanwhile, the authenticator transmits the authentication information and the authentication request received from the requestor to the authentication server. When the authentication is successful from the authentication server, the authenticator transmits an authentication success message to the requestor and switches the authenticator's port to a controlled port status. An example of such an authenticator may be one of an access point, a router, a switch, and the like.

또한, 인증 서버는 인증자로부터 요구자에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버와 인증자 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 이 산업계 표준(De-Facto Standard)으로 자리잡고 있다. In addition, the authentication server is an entity that receives an authentication request for the requestor from the authenticator and determines whether to be authenticated. The authentication server stores and manages the authentication information of the user in an internal database, or communicates with an external entity to authenticate the user. It is determined whether to receive the authentication. At this time, the protocol used between the authentication server and the authenticator is not defined in IEEE 802.1x, but it is recommended to use the protocol used in the general AAA (Authentication, Authorization, Accounting) server. Accordingly, the Remote Authentication Dial-In User Service (RADIUS) protocol is becoming an industry standard (De-Facto Standard).

RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute)들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다. In case of communication between authenticator and authentication server using RADIUS protocol, network access authority control for user is determined by authentication server's internal authentication algorithm and RADIUS attributes that can be transmitted in authentication success message. This can be implemented by using vendor and vendor specific RADIUS attributes (VSA).

이에, 본 발명은 IEEE 802.1x 기반에서 데이터 링크 계층에서의 사용자 접근 권한 및 네트워크 사용 권한을 제어하고 이를 통하여 다양하고 세분화된 네트워크 관리를 구현할 수 있는 인증 서버를 제공하는 것을 목적으로 한다. Accordingly, an object of the present invention is to provide an authentication server capable of controlling user access rights and network usage rights in a data link layer based on IEEE 802.1x and implementing various and detailed network management.

또한, 본 발명은 사용자에 대한 네트워크 접근 권한 제어 정책 및 사용 권한 제어 정책을 인증 서버에서 구현하여, 인증자별 접근 권한 제어 정책을 설정하고, 설정된 정책을 사용자 기반으로 할당함으로써, 사용자 및 인증자별 네트워크 접근 권한 제어 및 사용 권한 제어를 구현하는 방법을 제공하는 것을 다른 목적으로 한다. In addition, the present invention implements a network access control policy and a permission control policy for the user in the authentication server, by setting the access authority control policy for each authenticator, by assigning the set policy on a user basis, network access by user and authenticator Another object is to provide a way to implement permission control and permission control.

전술한 기술적 과제를 달성하기 위한 본 발명의 제1 특징은, 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 관한 것으로서, A first aspect of the present invention for achieving the above-described technical problem, the authentication that is provided with the basic authentication information from the user to request authentication, and the authentication information for receiving the authentication information for the user from the authenticator to perform authentication An authentication system having a server,

상기 인증 서버의 인증 정책 목록의 각 인증 정책은 하나의 인증 정책 이름 이 설정되며, 각 인증 정책은 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여, Each authentication policy of the authentication policy list of the authentication server is set to one authentication policy name, each authentication policy is a list of authenticators to allow access, a list of authenticators to block access, a list of requestors to allow access, a list of requestors to block access, access With at least one of a list of times or days to allow, a list of permissions per certifier for network resources,

상기 인증 서버는 사용자로부터 인증 요청이 발생하면, 각 사용자에게 적용되는 인증 정책 이름을 확인하고, 상기 인증 정책 이름에 해당하는 인증 정책을 인증 정책 목록으로부터 판독하고, 판독된 인증 정책에 따라 상기 사용자에 대한 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것이다. When an authentication request is generated from a user, the authentication server checks an authentication policy name applied to each user, reads an authentication policy corresponding to the authentication policy name from an authentication policy list, and provides the user with the read authentication policy. It is to execute network access control and permission control.

본 발명의 제2 특징은, 상기 인증 서버는 각 사용자별로 적용되는 인증 정책 이름 및 각 인증 정책 이름에 대응하는 인증 정책으로 이루어지는 인증 정책 목록을 구비하고, According to a second aspect of the present invention, the authentication server includes an authentication policy list including an authentication policy name applied to each user and an authentication policy corresponding to each authentication policy name,

상기 인증 서버는 사용자로부터의 인증 요청이 발생하는 경우, 해당 사용자로부터 제공된 기본 인증 정보를 이용하여 사용자에 대한 기본 인증 절차를 수행하고, When an authentication request from a user occurs, the authentication server performs a basic authentication procedure for the user using basic authentication information provided from the user.

만약, 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자에게 적용될 인증 정책 이름을 상기 인증 정책 목록으로부터 확인하고, 상기 인증 정책 이름에 대응하는 인증 정책을 판독하며, 판독된 인증 정책에 따라 상기 사용자에 대한 최종 인증 절차를 수행하는 것이다. If authentication is successful in the basic authentication procedure, the authentication server checks the authentication policy name to be applied to the user from the authentication policy list, reads an authentication policy corresponding to the authentication policy name, and reads the authentication policy. Accordingly, the final authentication procedure for the user is performed.

상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 인증자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속허용할 인증자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것이 바람직하다. In the authentication system, each authentication policy stored in the authentication policy list includes a list of authenticators to allow access, and when the user is authenticated in the basic authentication procedure, the authentication server requests the authentication of the user. It is preferable to send the final authentication success message for the user to the authenticator only when the user confirms that the user is registered in the list of authenticators to be allowed to access.

또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 인증자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속 차단할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것이 바람직하다. In addition, in the authentication system, each authentication policy stored in the authentication policy list includes a list of authenticators to block access, and when the user is authenticated in the basic authentication procedure, the authentication server requests the authentication of the user. If it is confirmed that the authenticator is registered in the list of authenticators to block access, it is preferable not to send a final authentication success message for the user to the authenticator.

또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 요구자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속허용할 요구자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것이 바람직하다.   In addition, in the authentication system, each authentication policy stored in the authentication policy list includes a requestor list to allow access, and when the user is authenticated in the basic authentication procedure, the authentication server has a MAC address for the user. It is preferable to transmit the final authentication success message for the user to the authenticator only when it is confirmed that it is registered in the requestor list to be allowed to access.

또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 요구자 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속 차단할 요구자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것이 바람직하다.In addition, in the authentication system, each authentication policy stored in the authentication policy list includes a requestor list to block access, and when the user is authenticated in the basic authentication procedure, the authentication server is configured to generate a MAC address for the user. If it is confirmed that it is registered in the requestor list to block access, it is preferable not to send the final authentication success message for the user to the authenticator.

또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 허용할 시간/요일 목록을 구비하고, 상기 사용자가 상기 기본 인증 절 차에서 인증 성공되는 경우, 상기 인증 서버는 사용자가 네트워크에 접속한 시간 또는 요일이 상기 접속 허용할 시간/요일 목록에 등록된 시간 또는 요일에 해당하는 경우에는 해당 사용자가 네트워크에 접속할 수 있도록 하는 최종 인증 성공 메시지를 상기 인증자에게 전송하는 것이 바람직하다. In addition, in the authentication system, each authentication policy stored in the authentication policy list includes a time / day list to allow access, and when the user is authenticated in the basic authentication procedure, the authentication server is configured to connect the user to the network. If the time or day of access corresponds to the time or day of the week registered on the time / day list to allow the access, it is preferable to send a final authentication success message to the authenticator so that the user can access the network.

또한, 상기 인증 시스템에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 네트워크 자원에 대한 인증자별 사용 권한 목록을 구비하고, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자가 상기 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있는 권한을 설정하는 것이 바람직하다.In addition, in the authentication system, each authentication policy stored in the authentication policy list includes a list of authority for each authenticator for a network resource, and when the user is authenticated in the basic authentication procedure, the authentication server is a corresponding user. It is preferable to set the right to use only the network resources registered in the authorization authority list for each authenticator.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 인증 시스템 및 그 방법을 구체적으로 설명한다. Hereinafter, an authentication system and a method thereof according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 3은 본 발명에 따른 인증 서버에 구비되는 인증 정책 목록을 도식화한 도면이다. 본 발명에 따른 인증 서버는 인증자로부터 특정 사용자에 대한 인증 정보를 제공받고 인증자로부터의 특정 사용자에 대한 인증 요청에 따라 인증 여부를 수행하는 것으로서, 상기 인증 서버는 적어도 하나 이상의 인증 정책들로 이루어지는 인증 정책 목록을 구비한다. 그리고, 인증 정책 목록의 각 인증 정책은 각각을 식별할 수 있는 인증 정책 이름과 접속 허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 및 요일 목록, 접속 차단할 시간 및 요일 목록, 인증자 별 사용권한 목록 중 적어도 하나 이상을 구비하여, 사용자 및 인증자 별 네트워크 접근 권한 제어 및 사용 권한 제어 정책을 구현할 수 있게 된다. 이하, 인증 정책 목록을 구비한 인증서버의 구성 및 작용을 구체적으로 설명한다. 3 is a diagram illustrating a list of authentication policies provided in the authentication server according to the present invention. The authentication server according to the present invention receives authentication information for a specific user from an authenticator and performs authentication according to an authentication request for a specific user from the authenticator. The authentication server includes at least one authentication policy. Have a list of authentication policies. In addition, each authentication policy of the authentication policy list includes an authentication policy name that can identify each, a list of authenticators to allow access, a list of authenticators to block access, a list of requestors to allow access, a list of requestors to block access, a time and days to allow access. At least one or more of a list, a list of time and days to block access, and a list of permissions for each authenticator may be used to implement a network access authority control and a permission control policy for each user and authenticator. Hereinafter, the configuration and operation of the authentication server having the authentication policy list will be described in detail.

먼저, 인증 정책 이름은 각 정책을 구분하는 구분자로서, 각 정책이 각 사용자에게 할당되며, 해당 사용자가 인증 서버에 의해 기본 인증 절차에서 성공되면, 사용자에게 할당된 인증 정책 이름에 해당하는 인증 정책을 적용받게 된다. First, the authentication policy name is a delimiter that separates each policy. Each policy is assigned to each user. If the user succeeds in the basic authentication process by the authentication server, the authentication policy that corresponds to the authentication policy name assigned to the user is created. Will be applied.

다음, 접속 허용할 인증자 목록은 해당 사용자가 인증받을 수 있는 인증자에 대한 목록으로서, 각 인증자에 대한 IP 주소 또는 MAC 주소를 설정함으로써 상기 목록에 등록될 수 있다. 이 경우, 상기 인증 서버는 인증 요청된 사용자로부터 전송받은 기본 인증 정보(예컨대, 사용자 ID, 비밀번호, 인증서 등)가 인증 서버에 등록된 그것과 일치하더라도, 사용자에 대한 인증 요청한 인증자가 상기 접속 허용할 인증자 목록에 등록된 경우에만 해당 사용자에 대해 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다. Next, the list of authenticators to allow access is a list of authenticators that a corresponding user can authenticate, and may be registered in the list by setting an IP address or a MAC address for each authenticator. In this case, even if the basic authentication information (for example, user ID, password, certificate, etc.) received from the user who requested the authentication matches that registered in the authentication server, the authentication server may allow the user to request the authentication. Only when registered in the list of authenticators, the user is authenticated and the final authentication success message is sent to the authenticator.

한편, 접속 차단할 인증자 목록은 해당 사용자가 인증받을 수 없는 인증자에 대한 목록으로서, 각 인증자에 대한 IP 주소 또는 MAC 주소를 설정함으로써 상기 목록에 등록될 수 있다. 이 경우, 상기 인증 서버는 인증 요청된 사용자로부터 전송받은 기본 인증 정보(예컨대, 사용자 ID, 비밀번호, 인증서 등)가 인증 서버에 등록된 그것과 일치하더라도, 사용자에 대한 인증 요청한 인증자가 상기 접속 차단할 인증자 목록에 등록된 경우에는 해당 사용자에 대해 네트워크의 접근을 차단하게 된다. On the other hand, the list of authenticators to block access is a list of authenticators that the user can not be authenticated, it can be registered in the list by setting the IP address or MAC address for each authenticator. In this case, the authentication server authenticates the authentication requestor for the user to block access even if the basic authentication information (eg, user ID, password, certificate, etc.) received from the user who requested the authentication matches that registered in the authentication server. If the user is registered in the list, the user will be blocked from accessing the network.

전술한 접속 허용할 인증자와 접속 차단할 인증자에 대한 정보는 인증자에서 RADIUS Access Request를 보낼 때 RADIUS 속성 중 "Called-Station-Id" 속성을 이용하며, 이에 대한 형식은 IETF RFC3580에서 정의된 바를 따르는 것이 바람직하다. RFC3580에 따르면, 해당 인증자의 Called-Station-Id는 MAC 주소 또는 무선랜의 경우 MAC 주소와 SSID를 함께 전송하도록 규정되어 있다.The information on the authenticator to allow access and the authenticator to block access use the "Called-Station-Id" attribute of the RADIUS attribute when sending the RADIUS Access Request from the authenticator. It is preferable to follow. According to RFC3580, the Called-Station-Id of the authenticator is defined to transmit the MAC address or SSID together with the MAC address or in the case of WLAN.

다음, 접속 허용할 요구자 목록은 요구자가 기본 인증 정보를 만족하더라도 사용자에 대한 MAC 주소 등이 다르면 인증을 거부하도록 하는 목록이며, 접속 허용할 사용자에 대한 MAC 주소를 등록하게 된다. 따라서, 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것과 일치하더라도, 해당 사용자의 MAC 주소가 접속 허용할 요구자 목록에 포함되어 있는 경우에만, 해당 사용자에 대하여 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다. Next, the requestor list to allow access is a list that denies authentication if the requestor satisfies basic authentication information and the MAC address of the user is different, and registers the MAC address of the user to allow access. Therefore, even if the basic authentication information sent from the user matches that of the authentication server, the authentication server authenticates with the user only if the MAC address of the user is included in the list of requestors to allow access, and the final authentication. A success message will be sent to the authenticator.

한편, 접속 차단할 요구자 목록은 접속 허용할 요구자 목록과 반대되는 개념의 목록이다. 따라서, 사용자에 대한 MAC 주소가 접속 차단할 목록에 포함되어 있는 경우, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것과 일치하더라도, 인증 서버는 해당 사용자에 대하여 인증하지 않게 된다.Meanwhile, the requestor list to block access is a list of concepts opposite to the requestor list to allow access. Therefore, if the MAC address for the user is included in the list to block access, even if the basic authentication information sent from the user matches that of the authentication server, the authentication server does not authenticate the user.

전술한 접속 허용할 요구자 목록 및 접속 차단할 요구자 목록에 대한 정보는 인증자에서 RADIUS Access Request를 보낼 때 RADIUS 속성중 "Calling-Station-Id" 속성을 이용하며, 이에 대한 형식은 IETF RFC3580에서 정의된 바를 따르는 것이 바람직하다. RFC3580에 따르면, "Calling-Station-Id" 속성은 해당 요구자의 MAC 주소를 나타내도록 정의되어 있다. The information on the requestor list to allow access and the requestor list to block access described above uses the "Calling-Station-Id" attribute of the RADIUS attribute when the RADIUS Access Request is sent from the authenticator. The format of this request is defined in IETF RFC3580. It is preferable to follow. According to RFC3580, the "Calling-Station-Id" attribute is defined to indicate the MAC address of the requestor.

다음, 접속 허용할 시간 및 요일 목록은 해당 사용자가 네트워크에 접속할 수 있는 시간 및 요일을 설정하는 것이다. 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것들과 일치하더라도, 접속된 시간 또는 요일이 상기 접속 허용할 시간 및 요일 목록에 등록된 내용과 일치하는 경우에만, 해당 사용자가 네트워크에 접속할 수 있도록 인증하고, 최종 인증 성공 메시지를 인증자에게 전송하게 된다. Next, the time and day list to allow access is to set the time and day of the week that the user can access the network. Even if the basic authentication information sent from the user matches those of the authentication server, the authentication server is connected to the network only if the connected time or day matches the contents registered in the access time and day list. It authenticates to connect and sends the final authentication success message to the authenticator.

또한, 접속 차단할 시간 및 요일 목록은 해당 사용자가 네트워크에 접속할 수 없는 시간 및 요일을 설정하는 것으로서, 전술한 접속 허용할 시간 및 요일 목록과 반대되는 개념의 것이다. 따라서, 인증 서버는, 해당 사용자로부터 전송된 기본 인증 정보가 인증 서버의 그것들과 일치하더라도, 접속된 시간 또는 요일이 상기 접속 차단할 시간 및 요일 목록에 포함되는 경우에는 해당 사용자에 대해 인증하지 않음으로써 네트워크에 접속할 수 없도록 한다.In addition, the list of time and day of the week to be blocked is to set the time and day of the week when the user cannot access the network, and the concept is opposite to the list of time and day of the day to be allowed to access. Therefore, even if the basic authentication information transmitted from the user matches those of the authentication server, the authentication server does not authenticate the user if the connected time or day is included in the list of time and day of the access to be blocked. Disable access to

여기서, 시간 및 요일은 인증 서버의 시간을 기준으로 접속 허용 여부를 결정하게 되며, 인증 서버의 시간은 내부 시스템 시간을 사용할 수도 있고, NTP 등을 통해서 네트워크 상에서 시간을 동기화할 수도 있을 것이다. Here, the time and the day of the week determine whether to allow access based on the time of the authentication server, the time of the authentication server may use the internal system time, it may be synchronized time on the network through NTP.

다음, 인증자별 사용 권한 목록은 인증성공된 사용자가 사용할 수 있는 네트워크 자원을 인증자별로 설정하기 위한 목록으로서, 인증 서버에 의해 기본 인증 성공된 사용자는 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있게 된다. 여기서, 인증자별 사용 권한 목록에 대한 정보는 가상 랜 식별자(VLAN ID) 또는 벤더별 사용 권한에 대한 속성을 이용하는 것이 바람직하다. 그리고, 각 인증자를 구분하는 기준은 IP 패킷의 Source IP Address Field와 RADIUS NAS-IP- Address 또는 NAS-IPv6-Address Field를 사용할 수 있다. Next, the list of permissions by certifier is a list for setting the network resources available to the authenticated user by each authenticator. The user who has successfully authenticated by the authentication server can use only the network resources registered in the permissions list by each authenticator. It becomes possible. In this case, it is preferable to use a property of a virtual LAN identifier (VLAN ID) or a vendor-specific usage right as information on the authorization right list for each authenticator. As a criterion for distinguishing each authenticator, a source IP address field and a RADIUS NAS-IP-Address or a NAS-IPv6-Address Field of an IP packet may be used.

여기서, 상기 가상 랜 식별자는 IETF RFC3580에서 터널 속성을 통해 인증 성공 메시지에 포함해서 전송하도록 규정되어 있으며, RADIUS 속성중 "Tunnel-Type=13"은 VLAN을 나타내며, "Tunnel-Medium-Type=6"은 802 표준을 나타내며, 이때 "Tunnel-Private-Group-Id"는 VLAN ID를 나타낸다. 이 경우, 인증자가 연결되어 있는 네트워크 상에서 해당하는 가상 랜이 구성되어 있어야 하며, 3계층의 스위치(Layer 3 Switch)나 라우터에서 가상 랜 태그가 붙어서 전송되는 패킷을 처리할 수 있는 기능이 지원되어야 한다. 이에 따라 해당 사용자는 자신이 속한 가상 랜에서만 네트워크를 접근할 수 있으며 이외의 네트워크는 물리적으로 연결되어 있더라도 사용할 권한이 없다. Here, the virtual LAN identifier is defined to be included in the authentication success message through the tunnel attribute in IETF RFC3580, and "Tunnel-Type = 13" in the RADIUS attribute represents a VLAN and "Tunnel-Medium-Type = 6" Represents the 802 standard, where "Tunnel-Private-Group-Id" represents a VLAN ID. In this case, the corresponding virtual LAN must be configured on the network to which the authenticator is connected, and the function to process packets transmitted with a virtual LAN tag in Layer 3 switch or router must be supported. . Accordingly, the user can access the network only in the virtual LAN to which the user belongs, and other networks are not authorized to use even though they are physically connected.

인증 서버는 사용자로부터 인증 요청을 받는 경우, 먼저 RADIUS NAS-IP-Address값이 접속허용할 인증자 목록에 등록된 인증자인지 여부를 판단하고, 만약 등록되어 있는 Shared Secret값을 이용한 메시지 무결성 검사를 수행하여 Shared Secret이 정확한지 여부를 판단한다. 만약, Shared Secret이 정확한 경우에는 해당 사용자에 대한 인증을 수행하고, 해당 사용자에게 적용될 인증 정책을 확인하여 인증자의 IP 주소, 즉 NAS-IP-Address Field값에 기재된 IP 주소에 대하여 인증자별 사용 권한 목록의 사용 권한 정책을 설정하고 최종 인증 성공 메시지를 인증자에게 전송하게 된다. When the authentication server receives an authentication request from the user, the authentication server first determines whether the RADIUS NAS-IP-Address value is an authenticator registered in the list of authenticators to allow access, and then checks the message integrity using the registered shared secret value. Determine if the Shared Secret is correct by doing so. If the shared secret is correct, authentication is performed for the user, and the authentication policy to be applied to the user is checked to verify the authorization policy applied to the user, and the list of permissions for each authenticator for the IP address listed in the NAS-IP-Address Field value. It sets the permission policy of and sends the final authentication success message to the authenticator.

또한, 상기 벤더별 사용 권한 속성은 각 벤더별 고유한 사용 권한 속성을 이용하는 것이다. 그 예로서, 엔터라시스(Enterasys)사의 경우 UPN(User Personalized Network)이라는 정책 관리자(Policy Manager)를 통해 서비스 품질 관리(QoS), 포트별 속도 제한(Rate Limit), 접근 제한 목록(ACL:Access Control List) 등을 설정할 수 있으며, UPN 정책 이름은 RADIUS 속성중 "Filter-Id" 속성에 포함시켜 전송하게 되며, "Filter-Id" 속성의 형식은 엔터라시스사에서 정의한 형식을 따른다. 그리고, 시스코(Cisco)사의 경우, 사용자별 접근 제한 목록(ACL:Access Control List)을 별도로 설정할 수 있다. 사용자별 접근 제한 목록은 Cisco VSA(Vendor Specific Attributes)을 통해 인증자에게 전달하게 된다. 이와 같이 각 벤더별 속성은 벤더마다 다르기 때문에 표준화된 속성을 사용할 수는 없지만, 벤더별 속성 형식을 별도로 제공하고 있으므로 벤더에 따른 고유한 속성을 해당 인증자에 대해 가지게 되면 향상된 형태의 네트워크 접근 및 사용 권한 제어를 실시할 수 있게 된다. In addition, the vendor-specific usage rights attribute uses a vendor-specific usage right attribute. For example, Enterasys, Inc., uses a Policy Manager called User Personalized Network (UPN), Quality of Service (QoS), Rate Limit, and Access Control List (ACL). ), And the UPN policy name is transmitted by being included in the "Filter-Id" attribute among the RADIUS attributes. The format of the "Filter-Id" attribute follows the format defined by Enterasys Corporation. In addition, in the case of Cisco, an access control list (ACL) for each user may be separately set. User-specific access control lists are communicated to authenticators through Cisco Vendor Specific Attributes (VSA). As each vendor-specific attribute is different from vendor to vendor, standardized attributes cannot be used. However, since vendor-specific attribute types are provided separately, if a vendor-specific attribute is provided to the authenticator, an improved form of network access and permission control is provided. Can be performed.

이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들면, 접속허용할 인증자 및 요구자에 대한 정보, 이들을 전송할 속성의 종류 등은 인증 시스템의 효율을 증가시키기 위하여 또는 각 벤더 별 특성 등에 따라 최적화시키기 위하여 다양하게 변형하여 실시할 수 있을 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구 범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다. Although the present invention has been described above with reference to preferred embodiments thereof, this is merely an example and is not intended to limit the present invention, and those skilled in the art do not depart from the essential characteristics of the present invention. It will be appreciated that various modifications and applications which are not illustrated above in the scope are possible. For example, information on authenticators and requestors to be allowed to access, types of attributes to transmit them, and the like may be variously modified to increase the efficiency of the authentication system or to optimize according to characteristics of each vendor. And differences relating to such modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.

본 발명에 의하여, IEEE 802.1x 기반에서 인증 서버는 사용자별 접근 권한 제어 및 네트워트 사용 권한을 제어할 수 있을 뿐만 아니라, 인증자별 접근 권한 제어 및 네트워크 사용 권한도 제어할 수 있게 된다. 그 결과, 종래의 획일적인 사용자 접근 권한 및 사용 권한 제어 메커니즘에 비해 훨씬 다양하고 세분화된 네트워크 관리를 구현할 수 있게 된다. According to the present invention, the authentication server based on IEEE 802.1x can not only control user-specific access rights and network usage rights, but also control access rights control and network usage rights by authenticators. As a result, much more diverse and granular network management can be implemented compared to the conventional uniform user access and permission control mechanism.

Claims (13)

사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 있어서,  An authentication system comprising: an authenticator receiving basic authentication information from a user and requesting authentication; and an authentication server receiving authentication information about the user from the authenticator and performing authentication or not; 상기 인증 서버는 적어도 하나 이상의 인증 정책들로 이루어지는 인증 정책 목록을 구비하고, 상기 인증 정책은 인증 정책 이름 및 해당 인증 관련된 정보들로 이루어지며, 상기 인증 정책은 사용자 또는 사용자 그룹별로 적용되는 것을 특징으로 하며, The authentication server includes an authentication policy list including at least one authentication policy, and the authentication policy includes an authentication policy name and corresponding authentication related information, and the authentication policy is applied for each user or user group. , 상기 인증 서버는 사용자로부터의 인증 요청이 발생하는 경우, 해당 사용자로부터 제공된 기본 인증 정보를 이용하여 사용자에 대한 기본 인증 절차를 수행하고, When an authentication request from a user occurs, the authentication server performs a basic authentication procedure for the user using basic authentication information provided from the user. 만약, 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자에게 적용될 인증 정책 이름을 상기 인증 정책 목록으로부터 확인하고, 상기 인증 정책 이름에 대응하는 인증 정책을 판독하며, 판독된 인증 정책에 따라 상기 사용자에 대한 최종 인증 절차를 수행하는 것을 특징으로 하는 인증 시스템. If authentication is successful in the basic authentication procedure, the authentication server checks the authentication policy name to be applied to the user from the authentication policy list, reads an authentication policy corresponding to the authentication policy name, and reads the authentication policy. And performing a final authentication procedure for the user. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 인증자 목록을 구비하고,The method of claim 1, wherein each authentication policy stored in the authentication policy list includes a list of authenticators to be allowed to access. 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서 버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속허용할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것을 특징으로 하는 인증 시스템. If the user authenticates successfully in the basic authentication procedure, the authentication server authenticates the final authentication success message for the user when the authenticator who has requested the authentication for the user is registered in the list of authorized authenticators. Authentication system, characterized in that for transmitting to the party. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 인증자 목록을 구비하고, The method of claim 1, wherein each authentication policy stored in the authentication policy list has a list of authenticators to block access. 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 인증 요청한 상기 인증자가 상기 접속 차단할 인증자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것을 특징으로 하는 인증 시스템. If the user authenticates successfully in the basic authentication procedure, the authentication server verifies the final authentication success message for the user if the authenticator who has requested the authentication for the user is registered in the list of authenticators to block access. Authentication system, characterized in that not transmitted to. 제2항 또는 제3항에 있어서, 인증 서버로 전송되는 인증자에 대한 정보는 RADIUS(Remote Authentication Dial-In User Service) 속성 중 "Called-Station-id" 속성을 이용하여 전송하는 것을 특징으로 하는 인증 시스템.The method of claim 2 or 3, wherein the information on the authenticator transmitted to the authentication server is transmitted using a "Called-Station-id" attribute of the RADIUS (Remote Authentication Dial-In User Service) attribute. Authentication system. 제2항 또는 제3항에 있어서, 상기 인증자 목록은 각 인증자에 대한 IP주소 또는 MAC 주소를 등록하는 것을 특징으로 하는 인증 시스템. The authentication system according to claim 2 or 3, wherein the list of authenticators registers an IP address or a MAC address for each authenticator. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속허용할 요구자 목록을 구비하고, The method of claim 1, wherein each authentication policy stored in the authentication policy list has a requestor list to allow access. 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속허용할 요구자 목록에 등록된 것을 확인한 경우에만 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하는 것을 특징으로 하는 인증 시스템.When the user authenticates successfully in the basic authentication procedure, the authentication server sends a final authentication success message for the user to the authenticator only when it is confirmed that the MAC address of the user is registered in the requestor list to allow access. Authentication system, characterized in that. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 차단할 요구자 목록을 구비하고, The method of claim 1, wherein each authentication policy stored in the authentication policy list has a requestor list to block access. 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자에 대한 MAC 주소가 상기 접속 차단할 요구자 목록에 등록된 것을 확인한 경우에는 해당 사용자에 대한 최종 인증 성공 메지시를 인증자에게 전송하지 않는 것을 특징으로 하는 인증 시스템. If the user authenticates successfully in the basic authentication procedure, the authentication server does not send a final authentication success message for the user to the authenticator when it is confirmed that the MAC address of the user is registered in the requestor list to block access. Characterized in that the authentication system. 제6항 또는 제7항에 있어서, 인증 서버로 전송되는 요구자에 대한 정보는 RADIUS(Remote Authentication Dial-In User Service) 속성 중 "Calling-Station-id" 속성을 이용하여 전송하는 것을 특징으로 하는 인증 시스템.The authentication method according to claim 6 or 7, wherein the information on the requestor transmitted to the authentication server is transmitted using a "Calling-Station-id" attribute of the RADIUS (Remote Authentication Dial-In User Service) attribute. system. 제6항 또는 제7항에 있어서, 상기 요구자 목록은 각 사용자에 대한 MAC 주소를 등록하는 것을 특징으로 하는 인증 시스템. 8. The authentication system according to claim 6 or 7, wherein the requestor list registers a MAC address for each user. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 접속 허용할 시간/요일 목록을 구비하고,The method of claim 1, wherein each authentication policy stored in the authentication policy list has a time / day list to allow access, 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 사용자가 네트워크에 접속한 시간 또는 요일이 상기 접속 허용할 시간/요일 목록에 등록된 시간 또는 요일에 해당하는 경우에는 해당 사용자가 네트워크에 접속할 수 있도록 하는 최종 인증 성공 메시지를 상기 인증자에게 전송하는 것을 특징으로 하는 인증 시스템.  If the user is authenticated in the basic authentication procedure, the authentication server is the network if the time or day when the user connected to the network corresponds to the time or day registered in the time / day list to allow the connection And send a final authentication success message to the authenticator for access to the authenticator. 제1항에 있어서, 상기 인증 정책 목록에 저장된 각 인증 정책은 네트워크 자원에 대한 인증자별 사용 권한 목록을 구비하고, The method of claim 1, wherein each authentication policy stored in the authentication policy list includes a list of authority for each authenticator of a network resource. 상기 사용자가 상기 기본 인증 절차에서 인증 성공되는 경우, 상기 인증 서버는 해당 사용자가 상기 인증자별 사용 권한 목록에 등록된 네트워크 자원만을 사용할 수 있는 권한을 설정하는 것을 특징으로 하는 인증 시스템.  And when the user authenticates successfully in the basic authentication procedure, the authentication server sets a right for the user to use only network resources registered in the user authority list for each authenticator. 제11항에 있어서, 상기 인증자별 사용 권한 목록은 가상 랜 식별자(VLAN ID) 또는 벤더별 사용 권한 속성을 사용하는 것을 특징으로 하는 인증 시스템. The authentication system according to claim 11, wherein the authorization authority list uses a virtual LAN identifier (VLAN ID) or a vendor authorization attribute. 사용자로부터 기본 인증 정보를 제공받고 인증을 요청하는 인증자, 및 인증자로부터 해당 사용자에 대한 인증 정보를 전송받고 인증 여부를 수행하는 인증 서버를 구비하는 인증 시스템에 있어서, An authentication system comprising: an authenticator receiving basic authentication information from a user and requesting authentication; and an authentication server receiving authentication information about the user from the authenticator and performing authentication or not; 상기 인증 서버의 인증 정책 목록의 각 인증 정책은 하나의 인증 정책 이름 이 설정되며, 각 인증 정책은 접속허용할 인증자 목록, 접속 차단할 인증자 목록, 접속 허용할 요구자 목록, 접속 차단할 요구자 목록, 접속 허용할 시간 또는 요일 목록, 네트워크 자원에 대한 인증자별 사용 권한 목록 중 적어도 하나 이상을 구비하여, Each authentication policy of the authentication policy list of the authentication server is set to one authentication policy name, each authentication policy is a list of authenticators to allow access, a list of authenticators to block access, a list of requestors to allow access, a list of requestors to block access, access With at least one of a list of times or days to allow, a list of permissions per certifier for network resources, 상기 인증 서버는 사용자로부터 인증 요청이 발생하면, 각 사용자에게 적용되는 인증 정책 이름을 확인하고, 상기 인증 정책 이름에 해당하는 인증 정책을 인증 정책 목록으로부터 판독하고, 판독된 인증 정책에 따라 상기 사용자에 대한 네트워크 접근 권한 제어 및 사용 권한 제어를 실행하는 것을 특징으로 하는 인증 시스템.When an authentication request is generated from a user, the authentication server checks an authentication policy name applied to each user, reads an authentication policy corresponding to the authentication policy name from an authentication policy list, and provides the user with the read authentication policy. Authentication system, characterized in that for executing the network access control and permission control.
KR1020050023318A 2004-03-24 2005-03-21 Authentication system being capable of controlling authority based of user and authenticator KR100707805B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/000841 WO2005091159A1 (en) 2004-03-24 2005-03-23 Authentication system being capable of controlling authority based of user and authenticator.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040020015 2004-03-24
KR1020040020015 2004-03-24

Publications (2)

Publication Number Publication Date
KR20060044493A true KR20060044493A (en) 2006-05-16
KR100707805B1 KR100707805B1 (en) 2007-04-17

Family

ID=37149126

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050023318A KR100707805B1 (en) 2004-03-24 2005-03-21 Authentication system being capable of controlling authority based of user and authenticator

Country Status (1)

Country Link
KR (1) KR100707805B1 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100852145B1 (en) * 2007-11-22 2008-08-13 한국정보보호진흥원 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
KR100862050B1 (en) * 2007-11-23 2008-10-09 한국정보보호진흥원 Secure voip communication method and user agent using the same
WO2009069889A1 (en) * 2007-11-29 2009-06-04 Electronics And Telecommunications Research Institute Authentication system and method between server and client
KR101068855B1 (en) * 2009-08-11 2011-09-29 이화여자대학교 산학협력단 The method for preventing changing the authority of information data
WO2012070912A2 (en) * 2010-11-26 2012-05-31 한국과학기술정보연구원 Method for dynamically traversing multiple firewalls by means of the simultaneous authentication of a user and network behavior, and apparatus therefor
KR101288034B1 (en) * 2012-09-25 2013-07-22 대한민국 Digital evidence analysis system and a method for executing the system
KR101387937B1 (en) * 2012-08-02 2014-04-22 주식회사 엑스게이트 A Method for Controlling the Usage of Network Resources Using User Authentication
KR101394700B1 (en) * 2012-04-18 2014-05-15 김정현 User authentication method using time control and system therefor
KR101962906B1 (en) * 2018-10-23 2019-03-27 (주)넷맨 Method for restricting use time of system
KR20190043921A (en) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 Apparatus and method for controling firewall policy

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030091908A (en) * 2003-11-14 2003-12-03 (주)메드 밴 A method for getting access to database permitting user's access using smart card and temporary IP

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100852145B1 (en) * 2007-11-22 2008-08-13 한국정보보호진흥원 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
KR100862050B1 (en) * 2007-11-23 2008-10-09 한국정보보호진흥원 Secure voip communication method and user agent using the same
WO2009069889A1 (en) * 2007-11-29 2009-06-04 Electronics And Telecommunications Research Institute Authentication system and method between server and client
KR101068855B1 (en) * 2009-08-11 2011-09-29 이화여자대학교 산학협력단 The method for preventing changing the authority of information data
WO2012070912A2 (en) * 2010-11-26 2012-05-31 한국과학기술정보연구원 Method for dynamically traversing multiple firewalls by means of the simultaneous authentication of a user and network behavior, and apparatus therefor
WO2012070912A3 (en) * 2010-11-26 2012-09-27 한국과학기술정보연구원 Method for dynamically traversing multiple firewalls by means of the simultaneous authentication of a user and network behavior, and apparatus therefor
KR101394700B1 (en) * 2012-04-18 2014-05-15 김정현 User authentication method using time control and system therefor
KR101387937B1 (en) * 2012-08-02 2014-04-22 주식회사 엑스게이트 A Method for Controlling the Usage of Network Resources Using User Authentication
KR101288034B1 (en) * 2012-09-25 2013-07-22 대한민국 Digital evidence analysis system and a method for executing the system
KR20190043921A (en) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 Apparatus and method for controling firewall policy
KR101962906B1 (en) * 2018-10-23 2019-03-27 (주)넷맨 Method for restricting use time of system

Also Published As

Publication number Publication date
KR100707805B1 (en) 2007-04-17

Similar Documents

Publication Publication Date Title
KR100707805B1 (en) Authentication system being capable of controlling authority based of user and authenticator
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7945777B2 (en) Identification information protection method in WLAN inter-working
US7650629B2 (en) Enhanced trust relationship in an IEEE 802.1×network
EP1997292B1 (en) Establishing communications
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
CA2792490C (en) Key generation in a communication system
US7788705B2 (en) Fine grained access control for wireless networks
US8094821B2 (en) Key generation in a communication system
US20080141360A1 (en) Wireless Linked Computer Communications
US20150249639A1 (en) Method and devices for registering a client to a server
JP4584776B2 (en) Gateway device and program
KR101451163B1 (en) System and method for access authentication for wireless network
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
WO2005091159A1 (en) Authentication system being capable of controlling authority based of user and authenticator.
Nagesha et al. A Survey on Wireless Security Standards and Future Scope.
Fout et al. Wireless 802.11 Security with Windows XP
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X
Bhootna et al. Advanced Identity Management System in 4G Wireless Networks
KR20130062965A (en) System and method for access authentication for wireless network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
O035 Opposition [patent]: request for opposition

Free format text: OPPOSITION NUMBER: 102007001803; OPPOSITION DATE: 20070703

O132 Decision on opposition [patent]
EXTG Ip right invalidated
O064 Revocation of registration by opposition: final registration of opposition [patent]