KR20060044494A - Network management system and network management server of co-operating with authentication server - Google Patents

Network management system and network management server of co-operating with authentication server Download PDF

Info

Publication number
KR20060044494A
KR20060044494A KR1020050023327A KR20050023327A KR20060044494A KR 20060044494 A KR20060044494 A KR 20060044494A KR 1020050023327 A KR1020050023327 A KR 1020050023327A KR 20050023327 A KR20050023327 A KR 20050023327A KR 20060044494 A KR20060044494 A KR 20060044494A
Authority
KR
South Korea
Prior art keywords
network
server
registration information
authentication
user
Prior art date
Application number
KR1020050023327A
Other languages
Korean (ko)
Inventor
김기태
Original Assignee
엑서스테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑서스테크놀러지 주식회사 filed Critical 엑서스테크놀러지 주식회사
Priority to PCT/KR2005/000840 priority Critical patent/WO2006001587A1/en
Publication of KR20060044494A publication Critical patent/KR20060044494A/en

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G25/00Household implements used in connection with wearing apparel; Dress, hat or umbrella holders
    • A47G25/14Clothing hangers, e.g. suit hangers
    • A47G25/1407Clothing hangers, e.g. suit hangers with identification means
    • A47G25/1414Clothing hangers, e.g. suit hangers with identification means connected to the hook member
    • A47G25/1421Clothing hangers, e.g. suit hangers with identification means connected to the hook member at the top

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 인증 서버와 연동하여, 사용자 단말이 네트워크를 구성하는 네트워크 기기들에 대한 접근 권한을 제어하는 네트워크 관리 시스템에 관한 것이다. 네트워크 관리 시스템은, 네트워크에 연결된 적어도 하나 이상의 네트워크 장비들과 통신하여, 상기 네트워크 장비에 설정되어 있는 등록 정보, 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하는 관리 서버와, 상기 관리 서버와 연동되어, 사용자 단말로부터 인증 요청이 발생하는 경우, 상기 관리 서버에 저장된 등록 정보 및 보안 정책을 이용하여 상기 사용자 단말의 네트워크 접속 허용 여부 및 해당 네트워크 기기들에 대한 접근 권한을 결정하는 인증 서버를 구비하며, 상기 네트워크 기기는 방화벽 서버, VPN 서버, IDS또는 IPS서버 등을 포함한다.The present invention relates to a network management system in cooperation with an authentication server, the user terminal to control the access rights to the network devices constituting the network. The network management system communicates with at least one network device connected to the network, and stores and manages the registration information set in the network device and the security policy applied to each user, and interworks with the management server. When an authentication request is generated from a user terminal, the authentication server may determine whether to allow the user terminal to access the network and access authority to the corresponding network devices by using the registration information and the security policy stored in the management server. The network device includes a firewall server, a VPN server, an IDS or IPS server, and the like.

본 발명에 의하여, 인증 서버를 통해 네트워크에 접속하고자 하는 사용자별로 네트워크 기기들에 대한 접근 권한을 제어할 수 있도록 하여, 네트워크에 대하여 보다 강화된 보안 정책을 수행할 수 있도록 한다.According to the present invention, it is possible to control the access rights to the network devices for each user who wants to access the network through the authentication server, it is possible to enforce a stronger security policy for the network.

네트워크, 보안, 인증서버, 방화벽 Network, security, authentication server, firewall

Description

인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크 관리 서버{NETWORK MANAGEMENT SYSTEM AND NETWORK MANAGEMENT SERVER OF CO-OPERATING WITH AUTHENTICATION SERVER}NETWORK MANAGEMENT SYSTEM AND NETWORK MANAGEMENT SERVER OF CO-OPERATING WITH AUTHENTICATION SERVER}

도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 개략적으로 도시한 구성도. 1 is a configuration diagram schematically showing an authentication system according to the IEEE 802.1x standard.

도 2는 도 1의 인증 시스템의 각 개체간의 동작 내용을 도시한 흐름도.FIG. 2 is a flow chart showing the operation contents between the entities of the authentication system of FIG.

도 3 및 도 4는 중앙 집중 인증 방식 및 분산 인증 방식을 설명하기 위하여 각각 도시한 구성도.3 and 4 are each a configuration diagram illustrating a centralized authentication method and a distributed authentication method.

도 5는 본 발명의 바람직한 실시예에 따른 네트워크 관리 시스템이 적용될 수 있는 분야들을 예시적으로 기술한 블록도.5 is a block diagram exemplarily illustrating areas to which a network management system according to an embodiment of the present invention may be applied.

도 6은 본 발명의 바람직한 실시예에 따른 네트워크 관리 시스템을 전체적으로 도시한 구성도. Figure 6 is a block diagram showing the overall network management system according to a preferred embodiment of the present invention.

도 7은 본 발명에 따른 네트워크 관리 시스템의 다른 실시예를 전체적으로 도시한 구성도. 7 is a block diagram generally showing another embodiment of a network management system according to the present invention.

도 8은 본 발명에 따른 네트워크 관리 시스템의 전체적인 동작을 순차적으로 설명하는 흐름도.8 is a flowchart for sequentially explaining the overall operation of the network management system according to the present invention.

도 9는 도 7의 네트워크 관리 시스템의 동작을 순차적으로 설명하는 흐름도.9 is a flowchart for sequentially explaining the operation of the network management system of FIG.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100 : 요구자100: requestor

110 : 인증자110: certifier

120 : 인증 서버120: authentication server

600 : 인증 서버600: authentication server

610 : 관리 서버610: management server

640, 642 : 사용자 단말640, 642: user terminal

본 발명은 네트워크를 구성하는 네트워크 기기들을 전체적으로 관리할 수 있는 네트워크 관리 시스템에 관한 것으로서, 더욱 구체적으로는 인증 서버에서 사용자에 대한 인증 수행과 동시에, 각 사용자별로 네트워크 기기에 대한 접속 권한을 제공할지 여부를 결정함으로써, 네트워크의 보안을 도모하고 네트워크 기기들에 대한 관리를 효율적으로 수행할 수 있도록 하는 네트워크 관리 시스템에 관한 것이다. The present invention relates to a network management system capable of managing the network devices constituting the network as a whole. More specifically, the authentication server performs authentication for a user and whether to provide access rights to the network device for each user. The present invention relates to a network management system that can secure a network and efficiently perform management of network devices by determining.

도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100), 인증자(Authenticator;110), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다. 1 is a diagram schematically illustrating an authentication system according to the IEEE 802.1x standard as a whole, and FIG. 2 is a diagram sequentially illustrating an authentication process. Referring to FIGS. 1 and 2, at present, the IEEE 802.1x standard standard defines three entities: a supplicant 100, an authenticator 110, and an authentication server 120.

여기서, 요구자(100)는 인증자(110)에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다. Here, the requestor 100 is an entity for providing authentication information of the user to the authenticator 110 and requesting authentication, and examples thereof include wired and wireless terminals to be connected to a network. The authenticator's initial port status when the requestor requests authentication from the authenticator is set to uncontrolled port status, where the requestor and authenticator communicate only as an Extensible Authentication Protocol (EAP). This is possible.

한편, 인증자(110)는 요구자(100)로부터 받은 인증 정보 및 인증 요청을 인증 서버(120)에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다. Meanwhile, the authenticator 110 transmits the authentication information and the authentication request received from the requestor 100 to the authentication server 120. When the authentication is successful from the authentication server, the authenticator 110 transmits an authentication success message to the requestor and uses the port of the authenticator. Switch to Controlled port status. An example of such an authenticator may be one of an access point, a router, a switch, and the like.

또한, 인증 서버(120)는 인증자(110)로부터 요구자(100)에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버(120)와 인증자(110) 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜이 산업계 표준(De-Facto Standard)으로 자리잡고 있다. In addition, the authentication server 120 is an entity that receives an authentication request for the requestor 100 from the authenticator 110 and determines whether to authenticate. The authentication server 120 stores and manages authentication information about the user in an internal database, or an external entity. It communicates with and receives authentication information about the user to determine whether to authenticate. At this time, the protocol used between the authentication server 120 and the authenticator 110 is not defined in IEEE 802.1x, but it is recommended to use the protocol used in the general AAA (Authentication, Authorization, Accounting) server. . Accordingly, the RADIUS (Remote Authentication Dial-In User Service) protocol is becoming an industry standard (De-Facto Standard).

RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute)들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다. In case of communication between authenticator and authentication server using RADIUS protocol, network access authority control for user is determined by authentication server's internal authentication algorithm and RADIUS attributes that can be transmitted in authentication success message. This can be implemented by using vendor and vendor specific RADIUS attributes (VSA).

한편, 다수 개의 장비가 접속되는 네트워크에서의 인증 방식은 중앙 집중 인증 방식과 분산 인증 방식으로 크게 분류할 수 있다. 도 3a는 중앙 집중 인증 방식에 따른 네트워크 구성을 도시한 구성도이며, 도 3b는 분산 인증 방식에 따른 네트워크 구성을 도시한 구성도이다. Meanwhile, authentication methods in a network to which a plurality of devices are connected may be broadly classified into a central authentication method and a distributed authentication method. 3A is a diagram illustrating a network configuration according to a centralized authentication scheme, and FIG. 3B is a diagram illustrating a network configuration according to a distributed authentication scheme.

도 3에 도시된 바와 같은 중앙 집중 인증 방식에 따라 네트워크를 구성한 경우, 중앙에 인증 서버를 설치하여 사용자 인증 관리를 집중하게 되어 관리상의 장점을 가지게 된다. 하지만, 인증을 시도하는 장소가 여러 곳으로 분산되어 있는 경우에는 네트워크의 속도상에 제약이 따르며, 또한 서버 부하의 증가로 인하여 성능의 저하가 발생하게 된다. When the network is configured in accordance with the centralized authentication method as shown in FIG. 3, the authentication server is centrally installed to centralize user authentication management and thus have administrative advantages. However, if the authentication attempts are distributed to several places, there are restrictions on the speed of the network, and performance decreases due to an increase in server load.

그리고, 도 4에 도시된 바와 같은 분산 인증 방식은, 중앙에 주 인증 서버를 설치하고, 이를 네트워크로 연결하여 자원 및 데이터베이스를 집중 관리하고, 중앙의 인증 서버의 부하를 경감시키기 위하여 인증을 요구하는 로컬(local)에서 TLS 세션과 키 관리를 처리하게 된다. 이와 같이 분산 인증 방식으로 처리할 경우, 네트워크의 효율은 중앙 집중 인증 방식에 비해 약 5배 정도 증대하게 되며, 지역 사용자의 인증 수행시에도 안정성이 증가하게 된다. In addition, in the distributed authentication scheme as shown in FIG. 4, a main authentication server is installed at a central location, connected to a network to centrally manage resources and databases, and requires authentication to reduce the load of the central authentication server. You will handle TLS sessions and key management locally. In this way, when the distributed authentication method is used, the efficiency of the network is increased about 5 times compared to the centralized authentication method, and stability is increased even when the local user is authenticated.

한편, 인터넷은 미국 국방성에서 개발한 TCP/IP(Transmission Control Protocol/Internet Protocol)을 사용하는 네트워크들의 네트워크로서, 전세계적으로 수천 개의 네트워크와 수백만개의 호스트들로 연결된 네트워크이다. 초기에는 학교, 연구소등을 연결하는 학술 및 연구망으로 활용되다가 최근에는 상용망으로 확장되기에 이르렀다. 이와 같은 TCP/IP 네트워크 프로토콜 구조는 전세계의 정보 자원에 대하여 이기종간 효율적인 상호 접속을 제공하는 연동을 보장하기는 하지만, UNIX 시스템과 통신 유틸리티의 소스 개방으로 인하여 여러 가지의 보안상의 문제점을 가지고 있어서, 침입자에 의한 피해 사례가 계속해서 증가하고 있는 실정이다. The Internet, meanwhile, is a network of networks using the Transmission Control Protocol / Internet Protocol (TCP / IP) developed by the US Department of Defense, which is connected to thousands of networks and millions of hosts worldwide. It was initially used as an academic and research network connecting schools, research institutes, etc., and recently expanded to commercial networks. Although the TCP / IP network protocol structure guarantees interworking to provide heterogeneous and efficient interconnection to information resources around the world, there are various security problems due to the open source of UNIX systems and communication utilities. Cases of damage by intruders continue to increase.

인터넷 가입 기관의 시스템이나 네트워크에 피해를 주는 사례는 텔넷(Telnet)을 통한 네트워크 침입 이용뿐만 아니라 침입 후에 시스템에 대한 여러 가지 불법적인 행위, 인터넷 웜(Internet Worm)과 같은 불법 프로그램 유통 등의 사례들이 보고되고 있다. 이러한 침해 사례에 대해 유형에 따라 계층적으로 예방하고 막을 수 있는 방법들이 연구되고 있으며, 해당 계층에 대한 실질적인 보안 도구 개발, 보안 사고에 대비한 보안 정책, 각종 보안 서비스를 제공하는 네트워크 응용 프로그램 개발 등 여러 분야에서 연구 개발이 활발히 진행되고 있다. Examples of damage to the system or network of the Internet sign-up agency include not only the use of network intrusion through Telnet, but also various illegal activities on the system after the intrusion and the distribution of illegal programs such as the Internet Worm. Is being reported. The ways to prevent and prevent such violations hierarchically by type are being researched, and the development of practical security tools for the corresponding layers, security policies against security incidents, development of network applications that provide various security services, etc. Research and development is active in many fields.

이와 같이, 인터넷이 발달함에 따라 각종 시스템이나 네트워크의 보안 및 관리가 중요한 사안으로 대두되고 있는 것이다. 이에 본 발명은 네트워크의 자원들을 보다 강력하게 관리할 수 있도록 하는 시스템을 제안하고자 한다. As such, as the Internet develops, security and management of various systems and networks are emerging as important issues. Accordingly, the present invention proposes a system that can more powerfully manage the resources of the network.

전술한 문제점을 해결하기 위한 본 발명의 목적은, 인증 서버와 연동하여 사용자별로 네트워크를 구성하는 네트워크 기기들에 대한 접속 권한을 부여할 수 있는 네트워크 관리 시스템을 제공하는 것이다. SUMMARY OF THE INVENTION An object of the present invention for solving the above problems is to provide a network management system capable of granting access rights to network devices constituting a network for each user in association with an authentication server.

본 발명의 다른 목적은, 인증 서버와 연동하여 네트워크를 구성하는 네트워크 기기들에 대한 등록 정보를 저장ㆍ관리하거나 네트워크 기기들을 원하는 등록 정보로 설정할 수 있는 네트워크 관리 서버를 제공하는 것이다. Another object of the present invention is to provide a network management server that can store and manage registration information for network devices constituting a network in association with an authentication server or set network devices to desired registration information.

본 발명의 또 다른 목적은, 인증 서버를 통해 네트워크를 구성하는 네트워크 기기들을 원하는 등록 정보로 설정하며, 네트워크 기기들을 효율적으로 제어할 수 있는 네트워크 관리 시스템을 제공하는 것이다. Still another object of the present invention is to provide a network management system that can set network devices constituting a network to desired registration information through an authentication server and can efficiently control the network devices.

전술한 기술적 과제를 달성하기 위한 본 발명의 특징은, 인증 서버와 연동하여, 사용자 단말이 네트워크를 구성하는 네트워크 기기들에 대한 접근 권한을 제어하는 네트워크 관리 시스템에 관한 것으로서, A feature of the present invention for achieving the above-described technical problem, in connection with the authentication server, relates to a network management system for the user terminal to control the access rights to the network devices constituting the network,

네트워크에 연결된 적어도 하나 이상의 네트워크 기기들과 통신하여, 상기 네트워크 기기에 설정되어 있는 등록 정보, 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하는 관리 서버와;A management server which communicates with at least one network device connected to a network, and stores and manages registration information set in the network device and a security policy applied to each user;

상기 관리 서버와 연동되어, 사용자 단말로부터 인증 요청이 발생하는 경우, 상기 관리 서버에 저장된 등록 정보 및 보안 정책을 이용하여 상기 사용자 단말의 네트워크 접속 허용 여부 및 해당 네트워크 기기들에 대한 접근 권한을 결정하는 인증 서버를 구비하여, 네트워크에 접속하고자 하는 사용자별로 네트워크 기기들에 대한 접근 권한을 제어할 수 있도록 하여, 네트워크에 대하여 보다 강화된 보안 정책을 수행할 수 있도록 한다.When the authentication request is generated from the user terminal in cooperation with the management server, determining whether to allow the user terminal to access the network and access authority to the corresponding network devices using the registration information and the security policy stored in the management server. By providing an authentication server, it is possible to control the access rights to the network devices for each user who wants to access the network, so that a stronger security policy can be performed for the network.

여기서, 상기 네트워크 기기는 방화벽(firewall) 서버를 포함하며, 상기 관리 서버는 방화벽 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 방화벽에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 방화벽을 수행하는 것이 바람직하다.Here, the network device includes a firewall server, and the management server stores and manages registration information set in the firewall server and a security policy for the firewall applied to each user, and the authentication server is a user terminal. When the authentication request is generated from, it is preferable to perform a firewall on the user terminal according to the security policy corresponding to the user stored in the management server.

또한, 상기 네트워크 기기는 가상 사설망(Virtual Private Network) 서버이며, 상기 관리 서버는 가상 사설망 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 가상 사설망에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 가상 사설망을 적용하는 것이 바람직하다.In addition, the network device is a virtual private network (Virtual Private Network) server, the management server stores and manages the registration information set in the virtual private network server and the security policy for the virtual private network applied for each user, the authentication server When the authentication request is generated from the user terminal, it is preferable to apply a virtual private network to the user terminal according to the security policy corresponding to the user stored in the management server.

또한, 상기 네트워크 기기는 액세스 포인트 또는 스위치이며, 상기 관리 서버는 네트워크 내에 등록된 액세스 포인트 또는 스위치에 대한 등록 정보 및 각 사용자별로 적용되는 액세스 포인트 또는 스위치에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 특정의 액세스 포인트 또는 스위치로의 접속을 허용할 지 여부를 결정하는 것이 바람직하다.In addition, the network device is an access point or switch, the management server stores and manages the registration information for the access point or switch registered in the network and the security policy for the access point or switch applied for each user, and the authentication When an authentication request is generated from a user terminal, the server may determine whether to allow access to a specific access point or switch to the user terminal according to a security policy corresponding to the user stored in the management server. .

또한, 상기 인증 서버는 네트워크 기기는 침입 방지 시스템(Intrusion Prevention System) 또는 침입 탐지 시스템(Intrusion Detection System)의 서버이며, 상기 관리 서버는 상기 침입 방지 시스템 또는 침입 탐지 시스템에 대한 등록 정보 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 상기 침입 방지 시스템 또는 침입 탐지 시스템을 작동시킬 지 여부를 결정하는 것이 바람직하다.In addition, the authentication server is a network device is a server of an intrusion prevention system (Intrusion Prevention System) or intrusion detection system (Intrusion Detection System), the management server is registered information about the intrusion prevention system or intrusion detection system and for each user A security policy to be applied is stored and managed. When an authentication request is generated from a user terminal, the authentication server generates an intrusion prevention system or an intrusion detection system for the user terminal according to a security policy corresponding to the user stored in the management server. It is desirable to determine whether or not to operate.

본 발명의 다른 특징에 따른 네트워크 관리 시스템은, 인증 서버에 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, 상기 등록 설정부로 입력된 등록 정보를 상기 보안 서버로 전송하며, 상기 관리 서버는 상기 네트워크 기기들과 쌍방향 통신이 가능하며, 상기 인증 서버로부터 전송받은 등록 정보를 해당 네트워크 기기로 전송한다.The network management system according to another aspect of the present invention further includes a registration setting unit for inputting registration information for a network device into an authentication server, and transmits registration information inputted to the registration setting unit to the security server. The management server is capable of two-way communication with the network devices, and transmits the registration information received from the authentication server to the network device.

본 발명의 또 다른 특징에 따른 네트워크 관리 시스템은, 관리 서버내에 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, 상기 관리 서버는 상기 네트워크 기기들과 쌍방향 통신이 가능하며, 상기 등록 설정부에 의해 입력된 등록 정보를 해당 네트워크 기기로 전송하거나, 상기 인증서버의 요청에 따라 상기 등록 정보를 인증 서버로 전송한다.The network management system according to another aspect of the present invention further includes a registration setting unit for inputting registration information for a network device in a management server, wherein the management server is capable of two-way communication with the network devices. The registration information input by the registration setting unit is transmitted to the corresponding network device, or the registration information is transmitted to the authentication server at the request of the authentication server.

본 발명의 다른 특징에 따른 네트워크 관리 서버는 네트워크를 구성하는 적어도 하나 이상의 네트워크 기기에 대한 등록 정보 및 사용자별 적용되는 보안 정책을 저장ㆍ관리하는 데이터베이스를 구비하고, 인증 서버로부터의 요청에 응답하 여, 상기 데이터베이스에 저장된 네트워크 기기에 대한 등록 정보 및 사용자별 적용되는 보안 정책을 상기 인증 서버로 전송한다.According to another aspect of the present invention, a network management server includes a database for storing and managing registration information and security policy applied to each user for at least one network device constituting a network, and in response to a request from an authentication server. The registration information of the network device stored in the database and the security policy applied for each user are transmitted to the authentication server.

여기서, 상기 네트워크 관리 서버는 네트워크 기기에 대하여 설정할 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, 상기 등록 설정부로 입력된 등록 정보를 해당 네트워크 기기로 전송하는 것이 바람직하다.The network management server may further include a registration setting unit for inputting registration information to be set for the network device, and transmits the registration information input to the registration setting unit to the corresponding network device.

또한, 상기 네트워크 기기는 침입 탐지 시스템(IDS)의 서버, 침입 방지 시스템(IPS)의 서버, 가상사설망(VPN)의 서버, 방화벽의 서버 중의 적어도 하나 이상을 포함하는 것이 바람직하다. In addition, the network device preferably includes at least one of a server of an intrusion detection system (IDS), a server of an intrusion prevention system (IPS), a server of a virtual private network (VPN), and a server of a firewall.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 관리 시스템의 전체적인 구성 및 그 동작을 구체적으로 설명한다. Hereinafter, with reference to the accompanying drawings will be described in detail the overall configuration and operation of the network management system according to an embodiment of the present invention.

도 5는 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 각종 네트워크 기기들을 예시적으로 도시한 블록도이다. 도 5에 도시된 바와 같이, 방화벽(firewall) 서버, 침입 방지 시스템(Intrusion Prevention System:IPS) 서버, 침입 탐지 시스템(Intrusion Detection System:IDS) 서버, 가상사설망(Virtual Private Network:VPN) 서버 등의 네트워크 기기가 본 발명에 따른 네트워크 관리 시스템에 연결됨으로써, 네트워크에 대한 보안을 수행하게 된다. 한편, 네트워크에 연결될 수 있는 기기 또는 시스템이라면, 도 5에 예시되지 않은 네트워크 기기라 할지라도, 본 발명에 따른 네트워크 관리 시스템에 의해 관리될 수 있음은 당연하다.5 is a block diagram illustrating various network devices to which a network management system according to the present invention can be applied. As shown in FIG. 5, a firewall server, an intrusion prevention system (IPS) server, an intrusion detection system (IDS) server, a virtual private network (VPN) server, and the like. The network device is connected to the network management system according to the present invention, thereby securing the network. On the other hand, if the device or system that can be connected to the network, even if the network device not illustrated in Figure 5, it is natural that it can be managed by the network management system according to the present invention.

도 6은 본 발명의 바람직한 실시예에 따른 네트워크 관리 시스템을 개념적으로 도시한 구성도이다. 도 6을 참조하면, 본 발명에 따른 네트워크 관리 시스템은 사용자에 대한 인증을 수행하는 사용자 단말(640, 642), 인증 서버(600), 상기 인증 서버와 연동되는 관리 서버(610)로 이루어지고, 그 외에 네트워크에 연결될 수 있는 기기에 대한 예로서 가상 사설망(VPN;620), 방화벽(630), 내ㆍ외부의 네트워크(650, 654), 전자메일 서버(654)등이 있다. 이하, 본 발명에 따른 네트워크 관리 시스템을 구성하는 각 구성 요소들의 동작에 대하여 구체적으로 설명한다. 6 is a block diagram conceptually illustrating a network management system according to a preferred embodiment of the present invention. Referring to FIG. 6, the network management system according to the present invention includes user terminals 640 and 642 for authenticating a user, an authentication server 600, and a management server 610 linked with the authentication server. Other examples of devices that can be connected to a network include a virtual private network (VPN) 620, a firewall 630, internal and external networks 650 and 654, an e-mail server 654, and the like. Hereinafter, the operation of each component constituting the network management system according to the present invention will be described in detail.

먼저, 관리 서버(610)는 상기 네트워크에 연결된 적어도 하나 이상의 네트워크 기기에 설정되어 있는 등록 정보, 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하는 데이터베이스를 구비하고, 상기 인증 서버(600)로부터의 요청에 따라 관련 정보를 인증 서버로 전송한다. 여기서, 상기 관리 서버는 네트워크 기기들과 쌍방향 통신하여 해당 네트워크 기기들로부터 등록 정보를 전송받을 수 있다. First, the management server 610 is provided with a database for storing and managing registration information set in at least one or more network devices connected to the network, and a security policy applied to each user, and from the authentication server 600. Send the relevant information to the authentication server as requested. Here, the management server may receive two-way communication with network devices to receive registration information from the corresponding network devices.

다음, 인증 서버(600)는 스위치를 경유하여 사용자 단말(640, 642)로부터 인증 요청이 발생하면, 해당 사용자 단말로부터 전송되는 인증 정보(예를 들면, 사용자 ID, 패스워드 등)를 기초로 하여 사용자에 대한 인증을 수행한다. 상기 인증 서버는 해당 사용자에 대하여 인증이 성공되면, 상기 관리 서버로부터 네트워크 기기에 대한 등록 정보 및 해당 사용자에 대하여 적용되는 보안 정책을 전송받고, 전송받은 정보에 따라 해당 사용자에 대하여 네트워크 접속 권한 및 네트워크 기기의 접속 권한을 부여한다. Next, when the authentication request is generated from the user terminals 640 and 642 via the switch, the authentication server 600 based on the authentication information (for example, user ID, password, etc.) transmitted from the user terminal. Perform authentication on. When the authentication server succeeds in authenticating the user, the authentication server receives registration information about the network device and a security policy applied to the user from the management server, and according to the received information, the network access authority and network for the user. Grant access to the device.

도 8은 본 발명에 따른 네트워크 관리 시스템의 전체적인 동작을 순차적으로 설명하는 흐름도이다. 도 8을 참조하면, 먼저 관리 서버는 네트워크에 연결된 네트워크 기기들에 설정된 등록 정보들을 저장ㆍ관리한다(단계 800). 다음, 사용자로부 터 인증 요청이 있는 경우, 인증 서버는 상기 관리 서버로부터 해당 사용자에게 적용되는 보안 정책 및 관련 정보를 전송받으며(단계 810), 관리 서버로부터 전송받은 정보를 이용하여 해당 사용자에 대한 인증을 수행하고 전송받은 보안 정책에 따라 네트워크 기기들에 대한 접속 권한을 제공할지 여부를 결정하게 된다(단계 820)8 is a flowchart for sequentially explaining the overall operation of the network management system according to the present invention. Referring to FIG. 8, first, the management server stores and manages registration information set in network devices connected to a network (step 800). Next, when there is an authentication request from the user, the authentication server receives the security policy and related information applied to the user from the management server (step 810), and uses the information received from the management server for the user. The authentication is performed and it is determined whether to provide access to network devices according to the received security policy (step 820).

본 발명에 의하여, 인증 서버는 네트워크에 접속하고자 하는 사용자별로 네트워크 기기들에 대한 접근 권한을 제어할 수 있게 되며, 그 결과 네트워크에 대하여 보다 강력한 보안 정책도 수행할 수 있게 된다. According to the present invention, the authentication server can control access rights to network devices for each user who wants to access the network, and as a result, a stronger security policy can be performed for the network.

이하, 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 네트워크 기기들을 예시적으로 설명하고, 그 동작 및 연결 관계를 구체적으로 설명한다. 다만, 본 명세서에서 설명하고 있는 네트워크 기기는 예시적으로 설명하는 것이며, 여기에 설명되지 않는 다른 네트워크 기기도 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있음은 당연하다. Hereinafter, the network devices to which the network management system according to the present invention can be applied will be described as an example, and its operation and connection relationship will be described in detail. However, the network device described in the present specification is described by way of example, and it is natural that other network devices not described herein may be applied to the network management system according to the present invention.

먼저, 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 기기로는 방화벽 서버가 될 수 있다. 인터넷 보안을 위한 방화벽 시스템은 해당 기관의 보안 정책에 따라 인가된 인터넷 서비스에 대한 액세스는 허용하고, 인가되지 않은 서비스에 따른 트래픽을 철저하게 막음으로써 효율적인 보안 서비스를 제공하게 된다. 즉, 방화벽 시스템은 해당 기관의 내부 네트워크를 보호하기 위하여 외부에서의 불법적인 트래픽이 들어오는 것을 막고 허가하거나 인증된 트래픽만 허용하게 되는 것이다. 일반적으로, 이와 같은 방화벽 시스템은 네트워크 사용자에게 가능한 한 투명성을 보장하면서 위험 지대를 줄이기 위한 적극적인 보안 대책을 제공하게 된 다. First, a device to which the network management system according to the present invention can be applied may be a firewall server. The firewall system for internet security provides efficient security services by allowing access to authorized Internet services according to the security policy of the corresponding authority and thoroughly blocking traffic due to unauthorized services. In other words, the firewall system prevents illegal traffic from outside and permits only authorized or authorized traffic to protect the internal network of the corresponding institution. In general, such firewall systems provide proactive security measures to reduce the risk zone while ensuring transparency as possible to network users.

본 발명에 따른 네트워크 관리 시스템의 관리 서버는 데이터베이스내에 방화벽 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 방화벽에 대한 보안 정책을 저장ㆍ관리한다. 또한, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 방화벽을 적용하게 된다. 그 결과, 본 발명에 의하여 사용자별로 방화벽의 보안 정책을 수행할 수 있게 된다. The management server of the network management system according to the present invention stores and manages the registration information set on the firewall server in the database and the security policy for the firewall applied to each user. In addition, when an authentication request is generated from a user terminal, the authentication server applies a firewall to the user terminal according to a security policy corresponding to the user stored in the management server. As a result, the security policy of the firewall can be performed for each user according to the present invention.

다음, 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 기기로는 가상 사설망(Virtual Private Network;VPN) 서버가 될 수 있다. 가상 사설망은 별도의 사설 전용망없이도 암호 기술에 기반한 터널링(Tunneling) 프로토콜을 이용하여 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다. 이와 같은 가상 사설망은 별도의 장비나 소프트웨어를 구입할 필요가 없어 일반 전용선 구축 서비스에 비해 비용 절감 효과를 누릴 수 있으며, 본사와 지사간 또는 각지에 퍼져 있는 지사간의 통신에 적합하다. 그러나, 인터넷의 표준 프로토콜을 기반으로 하기 때문에 정보에 대한 보안이 확실하지 않은 단점이 있다. Next, a device to which the network management system according to the present invention may be applied may be a virtual private network (VPN) server. Virtual private network refers to a network solution that can establish a wide area network (WAN) at low cost by connecting point-to-point using a tunneling protocol based on cryptography without a separate private network. Such a virtual private network does not require a separate equipment or software, thereby reducing costs compared to a general leased line service, and is suitable for communication between the headquarters and branch offices or branch offices throughout the country. However, since it is based on the Internet's standard protocol, the security of information is not clear.

그리고, 가상 사설망은 안전하지 않은 네트워크에서 안전하게 데이터를 전송하기 위한 기술들을 모두 가리키는 것으로서, 암호화(Encryption)와 캡슐화 (Encapsulation)는 VPN을 구성하는 기본 구성요소가 된다. In addition, a virtual private network refers to all technologies for securely transmitting data in an insecure network, and encryption and encapsulation become basic components of a VPN.

본 발명에 따른 네트워크 관리 시스템의 관리 서버는 데이터베이스내에 가상 사설망 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 가상 사설망에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라 사용자 단말에 대하여 가상 사설망을 적용하게 된다. 그 결과, 본 발명에 의하여 사용자별로 가상 사설망의 보안 정책을 수행할 수 있게 된다. The management server of the network management system according to the present invention stores and manages the registration information set in the virtual private network server in the database and the security policy for the virtual private network applied for each user, and the authentication server receives an authentication request from the user terminal. When this occurs, the virtual private network is applied to the user terminal according to the security policy corresponding to the user stored in the management server. As a result, according to the present invention, the security policy of the virtual private network can be executed for each user.

다음, 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 기기로는 액세스 포인트(Access Point) 또는 스위치(Switch)가 될 수 있다. 유ㆍ무선을 이용하여 네트워크에 접속하고자 하는 사용자 단말은 스위치 또는 액세스 포인트를 통해 인증 서버에 접속하게 된다. Next, a device to which the network management system according to the present invention may be applied may be an access point or a switch. The user terminal that wants to access the network using wired or wireless accesses the authentication server through a switch or an access point.

본 발명에 따른 네트워크 관리 시스템의 관리 서버는 데이터베이스내에 액세스 포인트 또는 스위치에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 액세스 포인트 또는 스위치에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라 사용자 단말에 대하여 액세스 포인트 또는 스위치로의 접속 권한을 제어하게 된다. The management server of the network management system according to the present invention stores and manages the registration information set in the access point or the switch in the database and the security policy for the access point or the switch applied for each user. When the authentication request is generated, the access authority to the access point or the switch is controlled for the user terminal according to the security policy corresponding to the user stored in the management server.

도 9는 본 발명에 따른 네트워크 관리 시스템에 의하여 액세스 포인트(Access Point;AP) 또는 스위치(SW)로의 접속 권한을 제어하게 되는 과정을 순차적으로 도시한 흐름도이다. 이하, 도 9를 참조하여 접속 권한을 제어하는 과정을 구체적으로 설명한다. 9 is a flowchart sequentially illustrating a process of controlling access authority to an access point (AP) or a switch (SW) by a network management system according to the present invention. Hereinafter, a process of controlling access authority will be described in detail with reference to FIG. 9.

먼저, 인증 서버는 AP 및 SW에 대한 정보를 데이터베이스에 등록한 후(단계 900), 인증 서버에 등록된 AP 및 SW에 대한 정보를 관리서버로 전송하여 동기화시킨다(단계 910). 다음, 관리 서버는 AP 및 SW에 대한 설정 파일을 생성하고, DHCP 서버로 전송한다(단계 920). DHCP 서버는 관리서버로부터 전송받은 설정 파일의 내용에 따라 AP 및 SW를 설정한다(단계 930). 관리 서버는 간이망 관리 프로토콜(Simple Network Management Protocol:이하 "SNMP"라 한다) 서버로부터 접속된 AP 또는 SW에 대한 정보를 전송받고(단계 940), 전송받은 AP 또는 SW에 대한 정보를 상기 데이터베이스의 등록된 정보들과 비교하여 분석하고, 만약 전송받은 AP 또는 SW에 대한 정보가 상기 데이터베이스에 등록된 것이 아니면 불법 AP로 판단하며, 그 결과 정보를 인증 서버로 전송한다(단계 950). First, the authentication server registers information about the AP and SW in the database (step 900), and then transmits and synchronizes information about the AP and SW registered in the authentication server to the management server (step 910). Next, the management server generates a configuration file for the AP and SW, and transmits to the DHCP server (step 920). The DHCP server sets AP and SW according to the contents of the configuration file received from the management server (step 930). The management server receives the information on the AP or SW connected from the Simple Network Management Protocol (hereinafter referred to as " SNMP ") server (step 940), and transmits the information on the received AP or SW to the database. The information is analyzed by comparing with the registered information. If the information about the received AP or SW is not registered in the database, it is determined to be an illegal AP, and as a result, the information is transmitted to the authentication server (step 950).

본 발명에 의하여, 불법적인 액세스 포인트를 색출함과 동시에 그 불법적인 액세스 포인트의 접속을 차단시킬 수 있게 된다. According to the present invention, it is possible to search for an illegal access point and to block the access of the illegal access point.

다음, 본 발명에 따른 네트워크 관리 시스템이 적용될 수 있는 기기로는 침입 방지 시스템(Intrusion Prevention System:IPS) 또는 침입 탐지 시스템(Intrusion Detection System:IDS)의 서버이다. 상기 침입 방지 시스템은 네트워크에서 공격 서명을 찾아내어 자동으로 소정의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션이다. 또한, 상기 침입 방지 시스템은 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하여 차단 조치를 취함으로써 인자자의 비정상 행위를 통제할 수도 있다. 그리고, 상기 침입 탐지 시스템은 컴퓨터의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템으로서, 침입 차단 시스템만으로는 내부 사용자의 불법적인 행동(예를 들면, 기밀 유출 등)과 외부 해 킹에 대처할 수 없으므로, 모든 내ㆍ외부 정보의 흐름을 실시간으로 차단하기 위하여 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다. Next, a device to which the network management system according to the present invention may be applied is a server of an intrusion prevention system (IPS) or an intrusion detection system (IDS). The intrusion prevention system is a security solution that stops abnormal traffic by finding an attack signature in the network and automatically taking a predetermined action. In addition, the intrusion prevention system may automatically control the abnormal behavior of the factor by detecting and automatically blocking the information leakage caused by the abnormal behavior of the server. In addition, the intrusion detection system is a system for detecting abnormal use, misuse, and abuse of a computer in real time, and the intrusion prevention system alone can cope with illegal behavior (for example, confidential leakage, etc.) and external hacking by an internal user. Therefore, in order to block all internal and external information flow in real time, tracking of hacker intrusion patterns and monitoring of harmful information are necessary.

본 발명에 따른 네트워크 관리 시스템의 관리 서버는 데이터베이스내에 IDS 또는 IPS 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 IDS 또는 IPS에 대한 보안 정책을 저장ㆍ관리하며, 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라 사용자 단말에 대하여 IPS 또는 IDS를 적용하게 된다. 그 결과, 본 발명에 의하여 사용자별로 IPS 또는 IDS의 보안 정책을 수행할 수 있게 된다. The management server of the network management system according to the present invention stores and manages the registration information set in the IDS or IPS server in the database and the security policy for IDS or IPS applied to each user, and the authentication server authenticates from the user terminal. When a request occurs, IPS or IDS is applied to a user terminal according to a security policy corresponding to the user stored in the management server. As a result, according to the present invention, it is possible to perform a security policy of IPS or IDS for each user.

한편, 본 발명의 다른 실시예에서는, 상기 관리 서버가 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 구비함으로써, 관리자로 하여금 네트워크 기기에 대한 등록 정보를 관리 서버를 통해 입력할 수 있도록 한다. 또한, 상기 관리 서버는 등록 설정부를 통해 입력된 등록 정보는 해당 네트워크 기기로 전송하며, 해당 네트워크 기기는 전송받은 등록 정보를 자신의 시스템에 설정하도록 한다.Meanwhile, in another embodiment of the present invention, the management server includes a registration setting unit for inputting registration information about a network device, thereby allowing an administrator to input registration information about the network device through the management server. . Also, the management server transmits the registration information input through the registration setting unit to the corresponding network device, and the network device sets the received registration information in its own system.

한편, 본 발명의 또 다른 실시예에서는, 상기 인증 서버가 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 구비하여, 관리자로 하여금 네트워크 기기에 대한 등록 정보를 인증 서버를 통해 입력할 수 있도록 한다. 또한, 상기 인증 서버는 등록 설정부를 통해 입력된 등록 정보는 관리 서버로 전송하고, 관리 서버는 전송받은 정보를 다시 해당 네트워크 기기로 전송하며, 해당 네트워크 기기는 전송받은 등록 정보를 자신의 시스템에 설정하도록 한다. On the other hand, in another embodiment of the present invention, the authentication server has a registration setting unit for inputting the registration information for the network device, so that the administrator can input the registration information for the network device through the authentication server do. Also, the authentication server transmits the registration information input through the registration setting unit to the management server, the management server transmits the received information back to the corresponding network device, and the network device sets the received registration information in its own system. Do it.

이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에서, 네트워크 관리 시스템에 접속될 수 있는 네트워크 기기의 종류, 관리 서버의 데이터베이스에 저장되는 데이터 항목, 관리 서버와 네트워크 기기간의 통신 방법등은 전체 시스템의 성능 향상이나 처리 속도 등을 고려하여 다양하게 변형하여 실시할 수 있는 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다. Although the present invention has been described above with reference to preferred embodiments thereof, this is merely an example and is not intended to limit the present invention, and those skilled in the art do not depart from the essential characteristics of the present invention. It will be appreciated that various modifications and applications which are not illustrated above in the scope are possible. For example, in the embodiment of the present invention, the type of network device that can be connected to the network management system, the data items stored in the database of the management server, the communication method between the management server and the network device, etc. may be improved. Various modifications can be made in consideration of the processing speed and the like. And differences related to such modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.

본 발명에 따른 네트워크 관리 시스템에 의하여, 인증 서버가 사용자별로 네트워크 기기에 대한 접속 권한을 허여할 수 있다. 또한, 본 발명에 의하여, 인증 서버는 네트워크에 접속된 모든 네트워크 기기에 대한 접근 제어를 할 수 있게 된다. 또한, 본 발명에 의하여, 인증 서버는 사용자에 대한 인증 수행과 동시에 해당 사용자에 대하여 네트워크 기기에 대한 접근을 제어할 수 있게 된다.By the network management system according to the present invention, the authentication server may grant access rights to the network device for each user. In addition, according to the present invention, the authentication server can control access to all network devices connected to the network. In addition, according to the present invention, the authentication server can control the access to the network device to the user at the same time performing the authentication for the user.

결과적으로, 본 발명에 따른 네트워크 관리 시스템은 인증 서버 및 관리 서버에 의하여 강력하면서도 편리한 네트워크 통제 및 관리 기능을 제공하게 된다. As a result, the network management system according to the present invention provides a powerful and convenient network control and management function by the authentication server and the management server.

Claims (14)

인증 서버와 연동하여, 사용자 단말이 네트워크를 구성하는 네트워크 기기들에 대한 접근 권한을 제어하는 네트워크 관리 시스템에 있어서,In the network management system in conjunction with the authentication server, the user terminal controls the access rights to the network devices constituting the network, 네트워크에 연결된 적어도 하나 이상의 네트워크 기기들과 통신하여, 상기 네트워크 기기에 설정되어 있는 등록 정보, 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하는 관리 서버;A management server in communication with at least one network device connected to a network to store and manage registration information set in the network device and a security policy applied to each user; 사용자 단말로부터 사용자에 대한 인증 요청이 발생하는 경우, 상기 관리 서버에 저장된 등록 정보 및 보안 정책을 이용하여 상기 사용자 단말의 네트워크 접속 허용 여부 및 해당 네트워크 기기들에 대한 접근 권한을 결정하는 인증 서버When an authentication request for a user is generated from a user terminal, an authentication server for determining whether the user terminal is allowed to access the network and access authority for the corresponding network devices using the registration information and security policy stored in the management server. 를 구비하여, 네트워크에 접속하고자 하는 사용자별로 네트워크 기기들에 대한 접근 권한을 제어할 수 있도록 하는 네트워크 관리 시스템.And a network management system for controlling access rights to network devices for each user who wants to access the network. 제1항에 있어서, 상기 인증 서버는 네트워크에 등록된 사용자 또는 네트워크 기기들에 대하여 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol) 서비스를 제공하는 것을 특징으로 하는 네트워크 관리 시스템.The network management system of claim 1, wherein the authentication server provides a dynamic host configuration protocol service to users or network devices registered in a network. 제1항에 있어서, 상기 네트워크 기기는 방화벽(firewall) 서버를 포함하며, The network device of claim 1, wherein the network device comprises a firewall server. 상기 관리 서버는 방화벽 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 방화벽에 대한 보안 정책을 저장ㆍ관리하며,The management server stores and manages the registration information set in the firewall server and the security policy for the firewall applied for each user. 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 방화벽을 수행하는 것을 특징으로 하는 네트워크 관리 시스템.The authentication server, if an authentication request is generated from the user terminal, the network management system, characterized in that to perform a firewall for the user terminal in accordance with the security policy corresponding to the user stored in the management server. 제1항에 있어서, 상기 네트워크 기기는 가상 사설망(Virtual Private Network) 서버이며,The method of claim 1, wherein the network device is a virtual private network (Virtual Private Network) server, 상기 관리 서버는 가상 사설망 서버에 설정되어 있는 등록 정보 및 각 사용자별로 적용되는 가상 사설망에 대한 보안 정책을 저장ㆍ관리하며,The management server stores and manages the registration information set in the virtual private network server and the security policy for the virtual private network applied for each user. 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 가상 사설망을 적용하는 것을 특징으로 하는 네트워크 관리 시스템.And when the authentication request is generated from the user terminal, the authentication server applies a virtual private network to the user terminal according to a security policy corresponding to the user stored in the management server. 제1항에 있어서, 상기 네트워크 기기는 액세스 포인트 또는 스위치이며,The network device of claim 1, wherein the network device is an access point or a switch. 상기 관리 서버는 네트워크 내에 등록된 액세스 포인트 또는 스위치에 대한 등록 정보 및 각 사용자별로 적용되는 액세스 포인트 또는 스위치에 대한 보안 정책을 저장ㆍ관리하며,The management server stores and manages registration information for an access point or switch registered in a network and a security policy for an access point or switch applied for each user. 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 특정의 액세스 포인트 또는 스위치로의 접속을 허용할 지 여부를 결정하는 것을 특징으로 하는 네트워크 관리 시스템.When an authentication request is generated from the user terminal, the authentication server determines whether to allow access to a specific access point or switch for the user terminal according to a security policy corresponding to the user stored in the management server. Characterized by a network management system. 제1항에 있어서, 상기 인증 서버는 네트워크 기기는 침입 방지 시스템(Intrusion Prevention System) 또는 침입 탐지 시스템(Intrusion Detection System)의 서버이며, The apparatus of claim 1, wherein the authentication server is a server of an intrusion prevention system or an intrusion detection system. 상기 관리 서버는 상기 침입 방지 시스템 또는 침입 탐지 시스템에 대한 등록 정보 및 각 사용자별로 적용되는 보안 정책을 저장ㆍ관리하며,The management server stores and manages registration information about the intrusion prevention system or the intrusion detection system and a security policy applied for each user. 상기 인증 서버는 사용자 단말로부터 인증 요청이 발생하면, 상기 관리 서버에 저장된 상기 사용자에 해당하는 보안 정책에 따라, 사용자 단말에 대하여 상기 침입 방지 시스템 또는 침입 탐지 시스템을 작동시킬 지 여부를 결정하는 것을 특징으로 하는 네트워크 관리 시스템.When the authentication request is generated from the user terminal, the authentication server determines whether to operate the intrusion prevention system or the intrusion detection system for the user terminal according to the security policy corresponding to the user stored in the management server. Network management system. 제1항 내지 제6중 어느 한 항에 있어서, 상기 인증 서버는 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, 상기 등록 설정부로 입력된 등록 정보를 상기 관리 서버로 전송하며,The method according to any one of claims 1 to 6, wherein the authentication server further comprises a registration setting unit for inputting registration information for a network device, and transmits the registration information input to the registration setting unit to the management server. , 상기 관리 서버는 상기 네트워크 기기들과 쌍방향 통신이 가능하며, 상기 인증 서버로부터 전송받은 등록 정보를 해당 네트워크 기기로 전송하는 것을 특징으로 하는 네트워크 관리 시스템.The management server is capable of bidirectional communication with the network devices, the network management system, characterized in that for transmitting the registration information received from the authentication server to the network device. 제1항 내지 제6항중 어느 한 항에 있어서, 상기 관리 서버는 네트워크 기기에 대한 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, The management server according to any one of claims 1 to 6, further comprising a registration setting unit for inputting registration information for the network device, 상기 관리 서버는 상기 네트워크 기기들과 쌍방향 통신이 가능하며, 상기 등록 설정부에 의해 입력된 등록 정보를 해당 네트워크 기기로 전송하거나, 상기 인증서버의 요청에 따라 상기 등록 정보를 인증 서버로 전송하는 것을 특징으로 하는 네트워크 관리 시스템.The management server is capable of bidirectional communication with the network devices, and transmits the registration information input by the registration setting unit to the corresponding network device, or transmits the registration information to the authentication server at the request of the authentication server. Characterized by a network management system. 네트워크를 구성하는 적어도 하나 이상의 네트워크 기기에 대한 등록 정보 및 사용자별 적용되는 보안 정책을 저장ㆍ관리하는 데이터베이스를 구비하고,A database for storing and managing registration information and at least one security policy applied for each user for at least one network device constituting the network; 인증 서버로부터의 요청에 응답하여, 상기 데이터베이스에 저장된 네트워크 기기에 대한 등록 정보 및 사용자별 적용되는 보안 정책을 상기 인증 서버로 전송하는 것을 특징으로 하는 네트워크 관리 서버.In response to a request from an authentication server, transmitting registration information about the network device stored in the database and a security policy applied for each user to the authentication server. 제9항에 있어서, 상기 네트워크 관리 서버는 네트워크 기기에 대하여 설정할 등록 정보를 입력할 수 있는 등록 설정부를 더 구비하고, The network management server of claim 9, further comprising a registration setting unit configured to input registration information to be set for the network device. 상기 등록 설정부로 입력된 등록 정보를 해당 네트워크 기기로 전송하는 것을 특징으로 하는 네트워크 관리 서버. And transmitting the registration information inputted to the registration setting unit to the corresponding network device. 제9항에 있어서, 상기 네트워크 관리 서버는 네트워크를 구성하는 적어도 하나 이상의 네트워크 기기와 쌍방향 통신이 가능한 것을 특징으로 하는 네트워크 관리 서버.The network management server of claim 9, wherein the network management server is capable of two-way communication with at least one network device constituting the network. 제9항에 있어서, 상기 네트워크 관리 서버는 상기 인증 서버로부터 네트워크 기기에 대한 등록 정보를 전송받고, 전송받은 등록 정보를 해당 네트워크 기기로 전송하는 것을 특징으로 하는 네트워크 관리 서버. The network management server of claim 9, wherein the network management server receives registration information about a network device from the authentication server, and transmits the received registration information to the corresponding network device. 제9항 내지 제12항 중 어느 한 항에 있어서, 상기 네트워크 기기는 침입 탐지 시스템(IDS)의 서버, 침입 방지 시스템(IPS)의 서버, 가상사설망(VPN)의 서버, 방화벽의 서버 중의 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 관리 서버.The network device according to any one of claims 9 to 12, wherein the network device is at least one of a server of an intrusion detection system (IDS), a server of an intrusion prevention system (IPS), a server of a virtual private network (VPN), and a server of a firewall. Network management server comprising the above. 제9항에 있어서, 상기 네트워크 관리 서버는 상기 인증 서버로부터 엑세스 포인트 또는 스위치들에 대한 등록 정보를 전송받아 데이터베이스에 저장 및 관리하고, The network management server of claim 9, wherein the network management server receives registration information on an access point or switches from the authentication server, and stores and manages the registration information in a database. 만약 네트워크에 접속한 액세스 포인트 또는 스위치에 대한 정보가 입력되면, 상기 데이터베이스에 등록된 정보와 비교하며,If information on the access point or switch connected to the network is input, it is compared with the information registered in the database, 만약 접속한 액세스 포인트 또는 스위치가 상기 등록정보와 일치하지 않으면, 불법 액세스 포인트로 판단하고 네트워크로의 접속을 차단하는 것을 특징으로 하는 네트워크 관리 서버. If the access point or the switch does not match the registration information, the access point or switch is determined to be an illegal access point, and the network management server is blocked.
KR1020050023327A 2004-03-24 2005-03-21 Network management system and network management server of co-operating with authentication server KR20060044494A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/000840 WO2006001587A1 (en) 2004-03-24 2005-03-23 Network management system and network management server of co-operating with authentication server

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040020030 2004-03-24
KR1020040020030 2004-03-24

Publications (1)

Publication Number Publication Date
KR20060044494A true KR20060044494A (en) 2006-05-16

Family

ID=37149127

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050023327A KR20060044494A (en) 2004-03-24 2005-03-21 Network management system and network management server of co-operating with authentication server

Country Status (1)

Country Link
KR (1) KR20060044494A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100816512B1 (en) * 2007-03-19 2008-03-24 주식회사 엔에이에스 Traffic monitoring/control system by using virtual private network and communication method therefor
KR100835820B1 (en) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 Total internet security system and method the same
KR100849167B1 (en) * 2008-03-07 2008-07-30 (주)넷맨 Method for controlling access to network and system for the same
KR101025029B1 (en) * 2008-11-25 2011-03-25 이한나 Implementation method for integration database security system using electronic authentication
KR101422897B1 (en) * 2011-12-12 2014-07-23 주식회사 엘지유플러스 Server, Method, Terminal, and Recording Medium for communicating call/message based on caller authentication
KR101424916B1 (en) * 2013-02-27 2014-08-01 (주)레인보우와이어리스 AiR protector server providing M2M service and method thereof
KR20190043921A (en) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 Apparatus and method for controling firewall policy

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100835820B1 (en) * 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 Total internet security system and method the same
KR100816512B1 (en) * 2007-03-19 2008-03-24 주식회사 엔에이에스 Traffic monitoring/control system by using virtual private network and communication method therefor
KR100849167B1 (en) * 2008-03-07 2008-07-30 (주)넷맨 Method for controlling access to network and system for the same
KR101025029B1 (en) * 2008-11-25 2011-03-25 이한나 Implementation method for integration database security system using electronic authentication
KR101422897B1 (en) * 2011-12-12 2014-07-23 주식회사 엘지유플러스 Server, Method, Terminal, and Recording Medium for communicating call/message based on caller authentication
KR101424916B1 (en) * 2013-02-27 2014-08-01 (주)레인보우와이어리스 AiR protector server providing M2M service and method thereof
KR20190043921A (en) * 2017-10-19 2019-04-29 삼성에스디에스 주식회사 Apparatus and method for controling firewall policy

Similar Documents

Publication Publication Date Title
US7752320B2 (en) Method and apparatus for content based authentication for network access
US8959334B2 (en) Secure network architecture
US8555348B2 (en) Hierarchical trust based posture reporting and policy enforcement
US8549300B1 (en) Virtual single sign-on for certificate-protected resources
EP1760988A1 (en) Multi-level and multi-factor security credentials management for network element authentication
KR20060044494A (en) Network management system and network management server of co-operating with authentication server
Ferretti et al. Authorization transparency for accountable access to IoT services
WO2006001587A1 (en) Network management system and network management server of co-operating with authentication server
JPH11203248A (en) Authentication device and recording medium for storing program for operating the device
Batista et al. Using externals IdPs on OpenStack: A security analysis of OpenID connect, Facebook connect, and OpenStack authentication
KR20070009490A (en) System and method for authenticating a user based on the internet protocol address
KR20050122343A (en) Network integrated management system
Magiera et al. Security frameworks for virtual organizations
Cisco Switch Access: Using Authentication, Authorization, and Accounting
Cisco Configuring Switch Access Using AAA
Jang System Access Control Technique for Secure Cloud Computing
EP2095598B1 (en) Secure network architecture
KR100412238B1 (en) The Management System and method of Internet Security Platform for IPsec
Lee et al. Intelligent pervasive network authentication: S/key based device authentication
Carthern et al. Management Plane
Jeong et al. Integrated OTP-based user authentication and access control scheme in home networks
KR20050003587A (en) Secure system and method for controlling access thereof
JP2004102524A (en) Security system and security method for database
Clark et al. Secure compartmented data access over an untrusted network using a COTS-based architecture
Kim et al. Light-weight Access Control Mechanism based on Authoricate issued for Smart Home

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J801 Dismissal of trial

Free format text: REJECTION OF TRIAL FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20061206

Effective date: 20070306