KR20070102830A - 유무선 네트워크의 검역 및 정책기반 접속제어 방법 - Google Patents

유무선 네트워크의 검역 및 정책기반 접속제어 방법 Download PDF

Info

Publication number
KR20070102830A
KR20070102830A KR1020060034531A KR20060034531A KR20070102830A KR 20070102830 A KR20070102830 A KR 20070102830A KR 1020060034531 A KR1020060034531 A KR 1020060034531A KR 20060034531 A KR20060034531 A KR 20060034531A KR 20070102830 A KR20070102830 A KR 20070102830A
Authority
KR
South Korea
Prior art keywords
terminal device
authentication server
quarantine
network
wireless network
Prior art date
Application number
KR1020060034531A
Other languages
English (en)
Other versions
KR100819942B1 (ko
Inventor
한유석
Original Assignee
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에어큐브 filed Critical 주식회사 에어큐브
Priority to KR1020060034531A priority Critical patent/KR100819942B1/ko
Publication of KR20070102830A publication Critical patent/KR20070102830A/ko
Application granted granted Critical
Publication of KR100819942B1 publication Critical patent/KR100819942B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/467Arrangements for supporting untagged frames, e.g. port-based VLANs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것이다. 이를 위해 본 발명은 단말장치의 상태정보, 인증정보를 웹 인증서버, 및 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며, 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계, 전송 규약이 802.1X를 준수하는 경우, 상태정보, 및 인증정보를 라디우스 인증서버로 제공하여 인증을 처리하는 단계, 및 전송 규약이 802.1X를 준수하지 않는 경우, 단말장치의 접속 경로를 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계를 포함하며, 웹 인증서버, 및 라디우스 인증서버 중 어느 하나는 단말장치의 상태정보를 참조하여 단말장치가 비정상적인 트래픽을 유발하는 경우, 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당한다.
802.1x, VLAN, 보안, 리다이렉션(Redirection), 라디우스 인증서버

Description

유무선 네트워크의 검역 및 정책기반 접속제어 방법{Method for access control in wire and wireless network}
도 1은 802.1x 규격에 따른 무선 네트워크의 개념도,
도 2는 EAPoL 패킷의 일 예에 대한 구조도,
도 3은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하는 경우에 대한 접속제어 방법을 나타내는 도면,
도 4는 EAP-TLS 방식에 따른 상호 인증방법을 개념적으로 나타내는 도면,
도 5는 VLAN(Virtual Local Area Network)의 개념을 설명하기 위한 개념도,
도 6은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하지 않는 경우에 대한 접속제어 방법을 나타내는 도면, 그리고
도 7은 802.1x 규격이 지원되지 않는 네트워크에서 웹 인증서버를 이용한 사용자 단말장치의 인증 과정을 개념적으로 나타낸다.
**도면의 주요부에 대한 부호의 설명**
10 : 단말장치 100: 접속장치
200 : 라디우스 인증서버 300 : 정책제어 서버
400 : 검역 서버 500 : 웹 인증서버
본 발명은 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것으로, 특히 802.1x 규격을 준수하지 않는 네트워크 접속장비가 포함되는 무선 네트워크 환경에서도 정책기반 접속제어가 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 관한 것이다.
일반적으로 무선랜은 컴퓨터와 컴퓨터간 또는 컴퓨터와 기타 통신 장치간에 데이터 송수신을 전파나 빛을 이용하여 무선으로 수행하는 랜을 의미한다. 무선 랜은 최근 인터넷 서비스와 무선 통신 기술의 급격한 발전에 따라 대형 사무실, 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에서 설치되고 있으며, 유지 보수의 간편함으로 인하여 그 이용이 증가하고 있다.
유선망을 이용한 유선랜은 유선망 자체가 가지는 보안성이 무선랜에 비해 더 나은 면이 있으나 유선망 내에 웜(worm)이나 바이러스(virus)가 침입하고 이들에 의해 유해 트래픽이 유발되는 경우 유선랜에 접속된 타 컴퓨터에도 악영향을 끼치게 된다. 유선망이나 무선망 모두 내부 네트워크에 유해 코드가 침입하고, 유해코드에 의해 네트워크에 유해 트래픽을 유발 시, 유해 트래픽을 차단하는 일이 용이하지 않으며, 네트워크에 접속된 컴퓨터에서 유해코드를 제거할 때까지 유해 트래픽의 영향을 받게 된다.
한편, 유선랜이 케이블(또는 전화선이나 전용선)을 통한 물리적인 접속을 통해 사용자를 한정하는데 비하여 무선랜은 억세스 포인트(AP : Access Point)와 같 은 접속장비를 통해 네트워크 접속되는 구조를 가지므로 허용되지 않은 사용자라 하더라도 억세스 포인트(AP)의 커버리지(coverage) 내에서는 네트워크 접속이 가능하다. 이를 방지하기 위해 802.11 규격에서는 랜카드를 장착한 무선 단말기와 억세스 포인트간에 WEP 키라고 하는 공유 비밀키를 이용하여 단말장치의 인증 및 무선 구간 데이터를 암호화하는 무선랜 보안 방식을 적용하고 있다. WEP(Wired Equivalent Privacy)키를 이용한 보안 인증 방식은 사용자의 수가 한정되어 있고 억세스 포인트의 MAC 주소 리스트 관리나 WEP 키 설정 등이 용이한 공간 내에서는 적용이 가능하나, 불특정 다수의 사용자들이 공공 장소에 사용하는공중 무선랜인 경우에, 사용자들이 동일한 WEP을 사용하게 되면 인증 및 보안의 의미가 없어지며, MAC 주소 리스트 관리를 통한 인증인 경우에도 AP 마다 모든 사용자의 MAC 주소를 등록해야 하는 어려움이 있다. 따라서, 무선 네트워크에서 억세스 포인트(AP)에 접속하는 사용자를 인증하기 위하여 모든 사용자의 인증 정보가 저장된 중앙 인증 서버를 통한 인증 방식을 사용함이 바람직하다. IEEE 802 랜의 포트별 인증 및 보안을 위한 표준인 IEEE 802.1x는 EAP(Extensible Authentication Protocol) 인증 프로토콜을 이용하여 모든 사용자 인증 정보가 저장된 라디우스(RADIUS) 인증 서버에서 중앙 집중형 사용자 인증을 가능하게 해주며, 보안이 강화된 무선 네트워크를 구축하고자 하는 기업에서도 사용될 수 있다.
802.1x 규격에 따른 무선 네트워크는 도 1을 참조하여 설명하도록 한다.
도 1은 802.1x 규격에 따른 무선 네트워크의 개념도를 나타낸다.
도시된 바와 같이, 무선 네트워크는 단말장치(10), 접속장치(100), 라디우스 인증서버(200), 및 정책제어 서버(300)로 구성된다. 먼저, 단말장치(10)는 접속장치(100)로 EAPoL(EAP over LAN) 패킷을 전송하여 접속장치(예컨대 무선 억세스 포인트)의 물리적인 포트의 사용권을 요청한다. 접속장치(100)는 단말장치(10)로부터 전송되는 EAPoL 패킷을 수신하면 이를 라디우스 인증서버(200)로 중계하고 라디우스 인증서버(200)는 단말장치(10)를 인증하여 그 결과를 접속장치(100)로 통보하게 된다. 접속장치(100)는 라디우스 인증서버(200)의 통보결과에 따라 접속제어를 수행하여 단말장치(10)를 내부 네트워크에 접속시키거나 네트워크 접속을 차단하게 된다. 여기서, 단말장치(10)가 접속장치(100)로 전송하는 EAPoL 패킷의 구조는 도 2에 도시된 바와 같다. 도 2에 도시된 EAPoL 패킷은 단말장치(10)의 맥 어드레스(MAC)가 포함되며, 패킷 타입을 아래와 같이 정의하여 인증 요청, 전송 시작, 로그 오프등을 나타낸다.
1) 0X00 : EAP 패킷
2) 0X01 : EAPoL_start
3) 0X02 : EAPoL_log off
4) 0X03 : EAPoL key
5) 0X04 : ASF Aalert
한편, 상기한 802.1x 규격에 따른 네트워크를 구성하기 위해서는 단말장치(10), 및 억세스 포인트와 같은 접속장치(100) 모두가 802.1x 규격을 만족하여야 하며, 802.1x의 보안 기능을 지원해야 한다. 그러나, 현실적으로 기업 또는 가정에 이미 구축된 네트워크 접속장치(100)(예컨대 억세스 포인트, NAS(Network Access Server))와 단말장치는 802.1.x 규격에 부합하지 않는 경우가 대다수이며, 이들 접속장치에 802.1x 규격에 따른 단말장치나 접속장치를 부가하여 연동시키기도 어렵다.
따라서, 본 발명의 목적은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다. 또한, 본 발명의 다른 목적은 웹 리다이렉션 기능을 통해 802.1x 규격에 부합하지 않는 기존의 단말장치에 대해서도 보안 기능을 구현하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다. 또한, 본 발명의 또다른 목적은 VLAN(Virtual Loacal Area Network)이 지원되지 않는 무선 네트워크 환경에서의 정책기반 접속제어가 가능한 유무선 네트워크의 검역 및 정책기반 접속제어 방법을 제공함에 있다.
상기한 목적은 본 발명에 따라, 단말장치, 접속장치, 웹 인증서버, 및 라디우스 인증서버를 구비하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 있어서, 상기 단말장치의 상태정보, 인증정보를 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며, 상기 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계, 상기 전송 규약이 802.1x를 준수하는 경우, 상기 상태정보, 및 인증정보를 상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계, 및 상기 전송 규약이 802.1x를 준수하지 않는 경우, 상기 단말장치의 접속 경로를 상기 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계를 포함하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는 상기 단말장치의 상태정보를 참조하여 상기 단말장치가 비 정상적인 트래픽을 유발하는 경우, 상기 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 의해 달성된다.
상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, 상기 단말장치의 접속 URL을 상기 웹 인증서버의 URL로 설정하는 단계, 및 상기 단말장치가 상기 웹 인증서버 이외의 서버와 송수신하는 트래픽을 차단하는 단계를 포함하는 것이 바람직하다.
상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는, 상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계, 및 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계를 포함하는 것이 바람직하다.
상기 웹 인증서버는, 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치의 인증 요청을 거절할 수 있다.
상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계는, 상기 라디우스 인증서버가 상기 단말장치로부터 인증정보를 제공받는 단계, 및 상기 라디우스 인증서버에 마련되는 인증정보와 상기 단말장치로부터 제공되는 인증정보를 대조하여 인증 여부를 판단하는 단계를 포함하는 것이 바람직하다.
상기 인증 여부를 판단하는 단계는, 상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계, 및 상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계를 포함하는 것이 바람직하다.
상기 라디우스 인증서버는, 상기 단말장치의 아이피 정보가 상기 무선네트워크에 할당된 아이피 블록(IP block)에 포함되지 않는 경우, 상기 단말장치로부터의 인증 요청을 거절할 수 있다.
상기 상태정보는, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 제공되는 EAP 메시지에 포함되며, 상기 EAP 메시지, 및 상기 EAP 메시지에 마련되는 유저 아이디 항목에 Prefix 첨부되어 형성되는 것이 바람직하다.
상기 단말장치는, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나를 통해 인증되며, PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, EAP-SIM 및 EAP-AKA 중 어느 하나에 따른 상호 인증방식에 의해 인증될 수 있다.
상기 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에는, 상기 비정상적인 트래픽을 유발하는 상기 단말장치를 검역하기 위한 검역 서버가 마련될 수 있다.
상기 검역서버는, 상기 단말장치에 대한 검역이 처리된 후, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 이를 통보하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는, 상기 검역이 처리된 상기 단말장치에 대해 할당된 검역 네트워크 영역을 해제한다.
상기 웹 인증서버, 및 상기 라디우스 인증서버는, 상기 인증정보에 포함되는 상기 단말장치의 아이디, 및 패스워드가 유효하지 않은 경우, 이를 상기 사용자 단말기로 통보하며, 상기 접속제어 프로그램은, 상기 단말장치에 마련되는 디스플레이장치를 통해 이를 경고할 수 있다.
상기 인증정보는, 상기 단말장치 사용자의 아이디, 아이피, 패스워드, MAC 어드레스, 스마트 카드 키, SIM(SIM), 및 인증서 중 어느 하나일 수 있다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 3은 본 발명에 따른 네트워크 접속장치가 802.1x 규격을 준수하는 경우에 대한 접속제어 방법을 나타낸다.
먼저, 단말장치(10)가 네트워크 접속 요청을 위한 EAPoL 패킷을 접속장치(100)로 전송한다. 이때, 단말장치(10)에는 접속제어를 위한 접속제어 프로그램이 설치되며, 설치되는 프로그램은 단말장치(10)의 아이디, 패스워드와 같은 인증정보, 및 단말장치(10)에 대한 상태정보를 라디우스 인증서버(200)로 전송하는 기능을 구비한다. 단말장치(10)가 802.1x 규격에 따른 접속제어를 수행하는 네트워크에서 접속장치(100)로 EPAoL 패킷을 보내어 접속허가를 요청하면, 단말장치(10)와 라디우스 인증서버(200)는 EAP-MD5, EAP-TLS, EAP-TTLS, 및 PEAP와 같은 상호 인증방법에 따른 핸드쉐이킹(handshaking) 과정을 수행(이하, 핸드쉐이킹에 의한 인증방식을 EAPoH(EAP over HTTP)라 한다.)하게 된다. 상호 인증방법은 단말장치(10)와 라디우스 인증서버(200) 양자가 서로를 확인할 인증정보를 교환함으로써 허용된 사용자의 단말장치(10)만이 네트워크에 출입할 수 있도록 한다. 마찬가지로, 단말장치(10)는 자신이 접속해야 할 라디우스 인증서버(200)를 확인함으로써 소속된 네트워크에 접속할 수 있게된다. 이와 같은 상호 인증방법은 도 4를 함께 참조하여 설명하도록 한다.
도 4는 EAP-TLS 방식에 따른 상호 인증방법을 개념적으로 나타낸다.
도시된 상호 인증방식은 사용자의 단말장치(10)와 라디우스 인증서버(200)가 각각 자신을 증명하기 위한 인증정보를 구비하며, 이를 상호 교차 제공함으로써 상대편을 확인한다. 도면에서, 사용자의 단말장치(10)가 접속장치(100)를 통해 라디우스 인증서버(200)로 단말장치(10)의 인증정보를 전송하고, 라디우스 인증서버(200)를 이를 통해 단말장치(10)를 인증하며, 인증된 단말장치(10)로 자신의 인증정보를 전송하도록 구성된다. 이와 같은 상호 인증방법은 억세스 포인트(AP)와 같은 접속장치의 커버리지 (coverage)내에 위치하는 타 접속장치의 부당한 접속을 차단할 수 있으며, 사용자의 단말장치(10)가 타 네트워크에 접속되는 문제를 방지하게 된다. 반대로, 802.1x 규격에 따른 접속제어가 지원되지 않는 네트워크 환경에서는 접속장치(100)에서 단말장치(10)에 대해 IP 설정을 수행 후, 최초 HTTP Request message를 단말장치(10)로 발송 시, 해당 HTTP Get messgae를 통해 웹 리-다이렉션(web redirection)을 요청함으로써 단말장치(10)가 웹 인증서버(미도시)로 강제 접속되도록 한다. 이 경우, 웹 인증서버(미도시)는 라디우스 인증서버(200)의 클라이언트로 기능하게 되므로 라디우스 인증서버(200)와 단말장치(10)간에 마련되는 접속장치의 역할을 수행하게 된다. 이는 추후 상세히 설명하기로 한다.
도 3에서, 접속장치(100)는 단말장치(10)로부터 제공된 인증정보를 라디우스 인증서버(200)로 제공한다. 본 발명에 따른 실시예에서는 접속장치(100)로써 억세스 포인트(AP : Access Point)가 도시, 및 설명되고 있으나 이 외에 유선 공유기, 및 유무선 공유기(유선 및 무선 공유기 겸용) 중 하나가 적용될 수 있다. 이는 본 발명 전반에 걸쳐 공히 적용되며, 본 발명은 접속장치(100)로써 유선 공유기, 유무선 공유기, 홈 게이트웨이(Home gateway), 네트워크 스위치(network switch), 웹 서버(web server), 및 억세스 포인트(AP)가 사용될 수 있다. 라디우스 인증서버(200)는 접속장치(100)를 통해 제공되는 단말장치(10)의 인증정보와 데이터베이스의 형태로 구축된 인증정보를 대조하여 단말장치(10)에 대한 접속 허가 여부를 판단한다. 만일 네트워크 접속을 원하는 단말장치(10)의 인증정보가 유효하지 않다고 판단되면 접속장치(100)로 이를 통보하게 되며, 접속장치(100)는 단말장치(10)의 네트워크 접속을 차단하게 된다. 또한, 라디우스 인증서버(200)는 단말장치(10)로부터 제공되는 단말장치(10)의 상태정보를 참조하여 단말장치(10)에 부여할 네트워크를 판단한다. 상태정보는 단말장치(10)의 네트워크 트래픽 정보를 포함하며, 단말장치(10)의 네트워크 트래픽이 비 정상적인 경우 라디우스 인증서버(200)는 단말장치(10)의 접속 네트워크를 VLAN(Virtual Local Area Nerwork)이 설정된 검역 네트워크에 할당하게 된다.
여기서, 상태정보는 EAP 메시지에 마련되는 유저 아이디(user ID) 항목에 Prefix를 첨부하여 형성하거나 EAP 메시지에 상태정보가 첨부되어 형성될 수 있다. 802.1x 규격을 지원하는 네트워크 에서는 단말장치(10)에서 라디우스 인증서 버(200)로 EAP 메시지, 및 상태정보(posture)를 전송할 수 있으나, 단말장치(10)가 802.1x 규격을 지원하지 않는 접속장치(100)와 연결되는 경우 단말장치(10)에서 라디우스 인증서버(200)로 상태정보를 전송하지 못할 수 있다. 이를 고려하여 본 발명에서는 EAP 메시지에 포함되는 사용자 아이디 항목에, 사용자 아이디 대신 검역 요청을 위한 Prefix를 첨부 함으로써 검역 네트워크로의 접속을 요청할 수 있도록 한다. 예컨대, 사용자 아이디가 홍길동 인 경우, EAP 메시지의 유저 아이디 항목에는 사용자 아이디(예컨대 홍길동@auth.com) 대신 " Quarantine /홍길동@auth.com" 과 같은 형태를 가지는 Prefix( Quarantine )가 첨부되도록 할 수 있다. 라디우스 인증서버(200)는 유저 아이디 항목에 "Quarantine/ID@auth.com" 와 같은 형태를 가지는 Prefix가 첨부되는 경우 Prefix가 첨부된 단말장치(10)를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크에 접속되도록 한다. 이때, 유저 아이디 항목에 기재되는 Prefix의 일 예로서 "Quarantine/ID@auth.com"를 예시하였으나, 이 외에 사용자 단말장치(10)에 설치되는 접속제어 프로그램과 라디우스 인증서버(200)간에 다양한 형태를 약정하여 사용할 수 있음은 물론이다.
VLAN(Virtual Loacal Area Network)은 단말장치(10)의 물리적 위치와는 상관없이 단말장치(10)에 논리적인 네트워크를 부여할 수 있도록 한다. 이는 도 5를 함께 참조하여 설명하도록 한다.
도 5는 VLAN(Virtual Loacal Area Network)의 개념을 설명하기 위한 개념도를 나타낸다.
도시된 바와 같이, A 네트워크와 B 네트워크는 물리적으로 구획되어 있으며, A 네트워크에 속한 단말장치(11 ∼ 13)는 B 네트워크에 접속할 수 없다. 이때, B 네트워크에 속한 단말장치(16)가 A 네트워크에 접속해야 하는 경우, 단말장치(16)는 A 네트워크에 등록되어 있지 않으므로 A 네트워크에서 사용될 수 없다. 또한, 단말장치(16)가 B 네트워크의 리소스(또는 데이터)를 참조하고자 할 때, A 네트워크에서 단말장치(16)를 등록해준다 하더라도 A 네트워크와 B 네트워크는 물리적으로 구획되어 있으므로 단말장치(16)는 B 네트워크에 접속하여 원하는 리소스를 획득할 수 없게 된다. VLAN은 접속장치(100)로 하여금 A 네트워크에 임시로 접속된 단말장치(16)의 네트워크 입출력 포트를 B 네트워크의 입출력 포트에 속하도록 설정함으로써 물리적으로 구획된 네트워크에 위치하는 다수의 단말장치를 필요에 따라 논리적으로 구획할 수 있게된다. 즉, 원래 B 네트워크에 속해있던 단말장치(16)가 임시로 A 네트워크에 위치하더라도 단말장치(16)는 A 네트워크의 접속장치를 통해 B 네트워크의 네트워크 포트를 할당받아 B 네트워크의 일원으로서 기능하게 된다.
다음으로, 라디우스 인증서버(200)는 단말장치(10)로부터 제공되는 상태정보를 통해 단말장치(10)가 비정상적인 네트워크 트래픽을 유발한다고 판단되면 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역으로 접속을 유도한다. 이는 라디우스 인증서버(200)가 접속장치(100)를 통해 단말장치(10)에 검역 네트워크의 포트를 할당함으로써 이루어진다. 검역서버(400)는 단말장치(10)에 대한 바이러스, 유해 코드 검사와 같은 검역을 수행하며, 검역 결과를 라디우스 인증서버(200)로 통보하여 단말장치(10)에 대한 포트 재 설정을 요청할 수 있다. 한 편, 상기한 바와 같이, 라디우스 인증서버(200)에서 VLAN 할당, 검역 네트워크 생성 및 할당, 및 단말장치(10)의 네트워크 접속 권한에 대한 네트워크 정책은 정책서버(300)에 의해 설정되며, 라디우스 인증서버(200)는 이와 같은 네트워크 정책을 적용하기 전(예컨대, 단말장치(10)를 VLAN 으로 형성되는 검역 네트워크로 할당하기 전) 정책서버(300)에 설정된 네트워크 정책을 조회하여 이를 처리하게 된다.
도 6은 본 발명에 따른 네트워크 접속장치가 802.1.x 규격을 준수하지 않는 경우에 대한 접속제어 방법을 나타낸다.
먼저, 단말장치(10)에 설치되는 접속제어 프로그램은 웹 인증 기능을 구비하여야 한다. 접속제어 프로그램은 단말장치(10)가 802.1X 규격에 따라 인증 및 접속을 수행하지 못하는 경우, 단말장치(10)를 웹 인증서버(500)의 URL(Uniform Resource Locator)로 자동 접속하는 기능, 및 웹 인증서버(500)의 URL 이외의 타 URL에 의한 트래픽을 차단하는 기능을 구비한다. 이는 상기 설명된 접속제어 프로그램의 기능에 부가되는 기능이며, 접속제어 프로그램은 접속장치(100)의 아이디, 패스워드, 아이피, MAC 어드레스, 스마트 카드 키, SIM(Subscriber Indetification Module), 및 인증서 중 어느 하나와 상태정보를 웹 인증서버(500)로 전송하게 된다. 스마트 카드 키나 SIM은 단말장치(10)가 휴대폰, 또는 PDA일 경우 사용될 수 있다.
웹 인증서버(500)는 단말장치(10)의 아이피를 통해 단말장치(10)가 유효한 내부 네트워크에 할당된 아이피인지의 여부를 판단한다. 만일 상태정보에 포함된 아이피 정보가 내부 네트워크에 할당된 아이피 블록(IP Block)에 포함되지 않는 경 우, 외부 단말장치가 내부 네트워크에 접속하고자 하는 것이므로 해당 단말장치에 대한 트래픽 차단을 해제하고 외부 네트워크(예컨대 인터넷)에 접속되도록 허용한다. 이 외에, 접속제어 프로그램은 다음과 같은 기능을 구비한다.
1) 접속제어 프로그램은 단말장치(10)가 웹 인증서버(500)에서 인증되기 전, 외부 서버가 단말장치(10)를 호출하는 경우, 웹 리다이렉션 기능을 통해 단말장치(10)가 웹 인증서버(500)의 URL로 접속되도록 한다.
2) 접속제어 프로그램은 웹 인증서버(500)에서의 인증 결과에 따라 트래픽 차단정책을 달리 설정한다.
- 단말장치(10)의 사용자가 등록된 사용자가 아닌 경우, 인증을 거부하고 단말장치(10)를 네트워크에서 고립시킨다.
- 단말장치(10)에서 웹 인증서버(500)로 제공된 인증정보가 웹 인증서버(500)에 등록되지 않은 경우, 웹 인증서버(500)로부터 이를 통보받고 단말장치(10)에 마련되는 디스플레이장치(예컨대 LCD, CRT)에 부적절한 인증정보 사용을 경고한다.
- 웹 인증서버(500)가 단말장치(10)에서 웹 인증서버(500)로 제공된 상태정보에 따라 단말장치(10)를 검역 네트워크에 할당하는 경우, 검역 네트워크 이외의 네트워크 접속을 차단하며, 단말장치(10)가 검역 네트워크 이외의 네트워크와 송수신하는 모든 패킷을 차단한다.
여기서, 1)에 기재된 바에 따라 단말장치(10)가 웹 인증서버(500)로 웹 리다이렉션 되는 경우, 웹 인증서버(500)는 라디우스 인증서버(200)의 클라이언트로써 동작되며 접속장치(100)는 단순한 스위치의 기능만을 가지게 된다. 이는 도 7을 함께 참조하여 설명하도록 한다.
도 7은 802.1x 규격이 지원되지 않는 네트워크에서 웹 인증서버(500)를 이용한 사용자 단말장치(10)의 인증 과정을 개념적으로 나타낸다.
도시된 바와 같이, 단말장치(10)는 접속장치(100)를 통해 웹 인증서버(500)로 HTTP Request message를 전송한다. 단말장치(10)로부터 제공되는 아이덴티티(identity) 메시지(아이디, 및 패스워드 정보 포함)는 EAPoH 방식에 따라 웹 인증서버(500)로 제공되며, 웹 인증서버(500)는 이를 라디우스 인증서버(200)로 제공하여 단말장치(10)가 인증받도록 한다. 따라서, 도시된 웹 인증서버(500)는 라디우스 인증서버(200)의 클라이언트로서 기능하며, 단말장치(10)와 라디우스 인증서버(200)를 중계하는 접속장치의 역할을 수행하게 된다. 웹 인증서버(500)는 라디우스 인증서버(200)의 인증 결과에 따라 사용자의 단말장치(10)를 웹 리다이렉션 처리하여 웹 인증서버(500)로 강제 접속되도록 한다. 단말장치(10)가 인증된 경우, 단말장치(10)는 접속장치(100)와 연결되는 내부 네트워크로 접속되어 사용되며, 반대의 경우 단말장치(10)는 내부 네트워크에 접속할 수 없다. 이때, 웹 인증서버(500)에 의해 단말장치(10)가 내부 네트워크 대신 외부 네트워크에는 접속할 수 있도록 제어 정책을 할당할 수 있다.
한편, 1), 2)에 기재된 기능, 즉 보안, 및 접속 정책에 따라 단말장치(10)를 특정 URL로 접속시키거나, 단말장치(10)의 트래픽을 인증 위치(예컨대, 웹 인증서버(500)의 URL)로 접속되도록 하는 기능은 단말장치(10)에 설치되는 접속제어 프로 그램에 의해 수행될 수 있으나, 반대로, 접속제어 프로그램이 인증정보와 상태정보만을 웹 인증서버(500)로 전송하고, 웹 인증서버(500)가 이러한 기능을 대신하여 처리하도록 구성될 수 있음은 물론이다. 이 경우, 웹 인증서버(500)가 접속장치(100)를 제어하여 단말장치(10)의 접속 제어를 수행하게 되며, 단말장치(10)가 정상 사용도중 유해 트래픽을 유발하는 경우, 앞서 1), 2)에 기재된 접속 정책에 대한 접속 프로파일 정보를 초기화 할 수 있다. 이때, 접속 프로파일은 웹 인증서버(500)에 마련되며, 단말장치(10)로부터 제공되는 상태정보를 참조하여 접속 정책을 유지 또는 초기화 할 수 있다.
한편, 도 6은 단말장치(10)에 설치되는 접속제어 프로그램을 통해 웹 리다이렉션을 구현하고 있으나, 접속장치(100)를 통해 이를 구현하거나 단말장치(10)와 웹 인증서버(500) 사이에 별도의 네트워크 장치를 삽입하여 이를 구현할 수 있다.
접속장치(100)를 통해 웹 리다이렉션을 처리하는 경우, 접속장치(100)는 단말장치(10)에 앞서 설명된 접속 제어 프로그램의 기능을 구비하여야 하며, 단말장치(10)에 의해 발생되는 트래픽을 검출하는 기능을 구비함이 바람직하다. 접속장치(100)는 검출된 트래픽 정보를 웹 인증서버(500)로 제공하고, 웹 인증서버(500)는 접속장치(100)로 부터 제공되는 트래픽 정보(또는 상태정보)에 따라 트래픽을 유발하는 단말장치(10)를 VLAN이 설정된 검역 네트워크로 접속 시킬수도 있다.
상기한 바와 같이, 본 발명은 802.1x를 지원하지 않는 기존의 접속장치나 단말장치를 교체하지 않고도 802.1.x의 보안 기능을 구현 가능한 무선 네트워크의 보 안 인증방법을 구현할 수 있으며, VLAN이 지원되지 않는 무선 네트워크 환경에서도 정책기반 접속제어를 수행할 수 있도록 한다.

Claims (13)

  1. 단말장치, 접속장치, 웹 인증서버, 및 라디우스 인증서버를 구비하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법에 있어서,
    상기 단말장치의 상태정보, 인증정보를 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나로 전송하는 전송제어 프로그램에 의해 수행되며,
    상기 단말장치의 무선 네트워크의 전송 규약을 판단하는 단계;
    상기 전송 규약이 802.1x를 준수하는 경우, 상기 상태정보, 및 인증정보를 상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계; 및
    상기 전송 규약이 802.1x를 준수하지 않는 경우, 상기 단말장치의 접속 경로를 상기 웹 인증서버로 리-다이렉션(Redirection) 하여 인증을 처리하는 단계;를 포함하며,
    상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는 상기 단말장치의 상태정보를 참조하여 상기 단말장치가 비 정상적인 트래픽을 유발하는 경우, 상기 단말장치를 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에 할당하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  2. 제1항에 있어서,
    상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는,
    상기 단말장치의 접속 URL을 상기 웹 인증서버의 URL로 설정하는 단계; 및
    상기 단말장치가 상기 웹 인증서버 이외의 서버와 송수신하는 트래픽을 차단하는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  3. 제2항에 있어서,
    상기 리-다이렉션(Redirection) 하여 인증을 처리하는 단계는,
    상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계; 및
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  4. 제2항에 있어서,
    상기 웹 인증서버는,
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치의 인증 요청을 거절하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  5. 제1항에 있어서,
    상기 라디우스 인증서버로 제공하여 인증을 처리하는 단계는,
    상기 라디우스 인증서버가 상기 단말장치로부터 인증정보를 제공받는 단계; 및
    상기 라디우스 인증서버에 마련되는 인증정보와 상기 단말장치로부터 제공되는 인증정보를 대조하여 인증 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  6. 제5항에 있어서,
    상기 인증 여부를 판단하는 단계는,
    상기 단말장치의 아이피 정보를 상기 무선네트워크에 할당된 아이피 블록(IP block)과 대조하는 단계; 및
    상기 단말장치의 아이피 정보가 상기 아이피 블록에 포함되지 않는 경우, 상기 단말장치를 외부 네트워크에 접속시키는 단계;를 포함하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  7. 제4항에 있어서,
    상기 라디우스 인증서버는,
    상기 단말장치의 아이피 정보가 상기 무선네트워크에 할당된 아이피 블록(IP block)에 포함되지 않는 경우, 상기 단말장치로부터의 인증 요청을 거절하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  8. 제1항에 있어서,
    상기 상태정보는,
    상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 제공되는 EAP 메시지에 포함되며,
    상기 EAP 메시지, 및 상기 EAP 메시지에 마련되는 유저 아이디 항목에 Prefix 첨부되어 형성되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  9. 제1항에 있어서,
    상기 단말장치는,
    상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나를 통해 인증되며,
    PAP, EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, EAP-SIM 및 EAP-AKA 중 어느 하나에 따른 상호 인증방식에 의해 인증되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  10. 제1항에 있어서,
    상기 VLAN(Virtual Loacal Area Network)으로 구성된 검역 네트워크 영역에는,
    상기 비정상적인 트래픽을 유발하는 상기 단말장치를 검역하기 위한 검역 서버가 마련되는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  11. 제10항에 있어서,
    상기 검역서버는,
    상기 단말장치에 대한 검역이 처리된 후, 상기 웹 인증서버 및 상기 라디우스 인증서버 중 어느 하나로 이를 통보하며, 상기 웹 인증서버, 및 상기 라디우스 인증서버 중 어느 하나는, 상기 검역이 처리된 상기 단말장치에 대해 할당된 검역 네트워크 영역을 해제하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  12. 제1항에 있어서,
    상기 웹 인증서버, 및 상기 라디우스 인증서버는,
    상기 인증정보에 포함되는 상기 단말장치의 아이디, 및 패스워드가 유효하지 않은 경우, 이를 상기 사용자 단말기로 통보하며,
    상기 접속제어 프로그램은,
    상기 단말장치에 마련되는 디스플레이장치를 통해 이를 경고하는 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
  13. 제1항에 있어서,
    상기 인증정보는,
    상기 단말장치 사용자의 아이디, 아이피, 패스워드, MAC 어드레스, 스마트 카드 키, SIM(SIM), 및 인증서 중 어느 하나인 것을 특징으로 하는 유무선 네트워크의 검역 및 정책기반 접속제어 방법.
KR1020060034531A 2006-04-17 2006-04-17 유무선 네트워크의 검역 및 정책기반 접속제어 방법 KR100819942B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060034531A KR100819942B1 (ko) 2006-04-17 2006-04-17 유무선 네트워크의 검역 및 정책기반 접속제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060034531A KR100819942B1 (ko) 2006-04-17 2006-04-17 유무선 네트워크의 검역 및 정책기반 접속제어 방법

Publications (2)

Publication Number Publication Date
KR20070102830A true KR20070102830A (ko) 2007-10-22
KR100819942B1 KR100819942B1 (ko) 2008-04-10

Family

ID=38817528

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060034531A KR100819942B1 (ko) 2006-04-17 2006-04-17 유무선 네트워크의 검역 및 정책기반 접속제어 방법

Country Status (1)

Country Link
KR (1) KR100819942B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120056460A (ko) * 2010-11-25 2012-06-04 에스케이 텔레콤주식회사 무선랜 환경에서의 인증 시스템 및 그 방법
KR101627614B1 (ko) * 2016-02-17 2016-06-07 (주)넷맨 사용자 정의 네트워크 구성 방법
KR20170076392A (ko) * 2015-12-24 2017-07-04 삼성전자주식회사 통신 시스템에서 인증 장치 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101197182B1 (ko) 2008-12-23 2012-11-02 한국전자통신연구원 컴퓨터 시스템에서의 해킹 방지 장치 및 방법
KR101108233B1 (ko) 2011-07-27 2012-02-20 아이엠소프트(주) 웹 기반의 인터페이스를 가지는 비인가 무선랜 통제 및 인증용 라디우스 시스템 및 그 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5008395B2 (ja) * 2003-03-14 2012-08-22 トムソン ライセンシング 異なるユーザ装置を収容可能なフレキシブルwlanアクセスポイントアーキテクチャ
CN101902742A (zh) * 2003-03-14 2010-12-01 汤姆森特许公司 配置来提供无线网络中的安全访问的方法
KR100804795B1 (ko) * 2003-10-31 2008-02-20 한국전자통신연구원 통신 시스템에서의 인증 요청 방법 및 인증 수행 방법
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
KR100580844B1 (ko) * 2003-12-17 2006-05-16 한국전자통신연구원 무선 랜(lan) 시스템에서의 데이터 보안 및 운용장치와 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120056460A (ko) * 2010-11-25 2012-06-04 에스케이 텔레콤주식회사 무선랜 환경에서의 인증 시스템 및 그 방법
KR20170076392A (ko) * 2015-12-24 2017-07-04 삼성전자주식회사 통신 시스템에서 인증 장치 및 방법
KR101627614B1 (ko) * 2016-02-17 2016-06-07 (주)넷맨 사용자 정의 네트워크 구성 방법

Also Published As

Publication number Publication date
KR100819942B1 (ko) 2008-04-10

Similar Documents

Publication Publication Date Title
US7565547B2 (en) Trust inheritance in network authentication
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US7342906B1 (en) Distributed wireless network security system
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US10764264B2 (en) Technique for authenticating network users
JP4586071B2 (ja) 端末へのユーザポリシーの提供
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US20110302643A1 (en) Mechanism for authentication and authorization for network and service access
US20050254652A1 (en) Automated network security system and method
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
CN101379795A (zh) 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配
JP2009508403A (ja) 準拠性に基づくダイナミックネットワーク接続
KR20040042247A (ko) 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템
CA2647684A1 (en) Secure wireless guest access
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
CN101697550A (zh) 一种双栈网络访问权限控制方法和系统
AU2018274707B2 (en) Improvements in and relating to network communications
CN112423299B (zh) 一种基于身份认证进行无线接入的方法及系统
JP2005086656A (ja) 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法
Kovačić et al. Improving the security of access to network resources using the 802.1 x standard in wired and wireless environments
WO2005091159A1 (en) Authentication system being capable of controlling authority based of user and authenticator.
CN117278275A (zh) 访问权限调整方法、装置及存储介质
Tanizawa et al. A wireless LAN architecture using PANA for secure network selection
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130329

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190329

Year of fee payment: 12