KR20080030575A - 네트워크로의 액세스 관리 - Google Patents

네트워크로의 액세스 관리 Download PDF

Info

Publication number
KR20080030575A
KR20080030575A KR1020077030531A KR20077030531A KR20080030575A KR 20080030575 A KR20080030575 A KR 20080030575A KR 1020077030531 A KR1020077030531 A KR 1020077030531A KR 20077030531 A KR20077030531 A KR 20077030531A KR 20080030575 A KR20080030575 A KR 20080030575A
Authority
KR
South Korea
Prior art keywords
communication session
network
computer
host
health
Prior art date
Application number
KR1020077030531A
Other languages
English (en)
Other versions
KR101143050B1 (ko
Inventor
폴 메이필드
버나드 아보바
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20080030575A publication Critical patent/KR20080030575A/ko
Application granted granted Critical
Publication of KR101143050B1 publication Critical patent/KR101143050B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/327Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the session layer [OSI layer 5]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection

Abstract

본 발명의 일 실시예는 호스트 컴퓨터의 네트워크로의 액세스를 관리하는 것에 관한 것이다. 호스트 컴퓨터와의 제1 통신 세션은 호스트 컴퓨터의 ID를 인증하기 위해 실행될 수 있다. 호스트 컴퓨터와의 제2 통신 세션은 호스트 컴퓨터의 건전성 상태를 결정하기 위해 실행될 수 있다.
Figure P1020077030531
네트워크 액세스, 프로토콜, 건전성 상태

Description

네트워크로의 액세스 관리{MANAGING ACCESS TO A NETWORK}
본 발명은 네트워크로의 액세스 관리에 관한 것이다.
컴퓨터 네트워크는 일반적으로, 2 이상의 컴퓨터, 네트워크 내의 컴퓨터들 사이의 통신을 위한 매체(예를 들어, 네트워킹 케이블 또는 무선 네트워크의 경우에는 에어(air)), 및 네트워크 내의 컴퓨터들 사이에서 데이터를 라우팅하는 하나 이상의 네트워크 장치들을 포함한다. 이러한 네트워크 장치들은 예를 들어, 라우터들, 스위치들 및/또는 허브들을 포함할 수 있다. 네트워크 장치들은 네트워크 내의 하나의 컴퓨터 또는 네트워크 장치로부터 데이터를 수신할 수 있고, 이러한 데이터를 네트워크 내의 하나 이상의 다른 컴퓨터 또는 네트워크 장치들로 전달할 수 있다.
네트워크에의 액세스를 제어하여 허가받지 못한 사용자들이 네트워크 리소스들(예를 들어, 프린터들, 컴퓨터들, 저장 장치들 등)의 액세스를 취득하는 것을 방지하는 것이 종종 필요하다. 이는 예를 들어, 비허가된 사용자들로부터 수신된 데이터를 다른 컴퓨터들 및/또는 네트워크 장치들로 전달하지 못하게 하고, 비허가된 사용자들에게 데이터를 전송하지 못하게 네트워크 장치들을 구성함으로써 달성될 수 있다.
그러나, 종래의 인증은 악성 사용자들이 네트워크로 액세스하는 것을 막기에는 불충분할 수 있다. 사용자가 네트워크를 사용하도록 인증받고 허가받을 수 있지만, 그 사용자의 컴퓨터는, 악성 사용자가 컴퓨터를 악용하고 몇몇 바람직하지 못한 동작들을 수행하게 하는 것을 허용하는 바이러스 또는 보안 홀(security hole)을 가질 수도 있다.
<본 발명의 개요>
출원인은, 종래의 인증 기술들은 네트워크로 액세스하는 것이 허용되는 컴퓨터들의 건전성(health)을 검증하지 않으므로, 불충분할 수 있다고 인식하였다. 따라서, 출원인은, 컴퓨터의 ID(identity)를 인증하는 제1 통신 세션이 실행될 수 있고, 컴퓨터의 건전성을 인증하는 별도의 제2 통신 세션이 또한 실행될 수 있는 기술을 개발하였다. 컴퓨터의 건전성이 인증된 경우에, 컴퓨터는 컴퓨터의 건전성이 인증되었음을 나타내는 건전성 보증서를 수신할 수 있다. 컴퓨터가 네트워크 액세스를 획득하려고 시도할 때마다 컴퓨터의 건전성이 인증받을 필요가 없도록, 건전성 보증서는 후속하는 네트워크 액세스 세션들에서 재사용될 수 있다.
따라서, 일 실시예는 컴퓨터의 네트워크 액세스를 관리하는 방법에 관한 것이며, 이러한 방법은 제1 통신 세션을 실행하여 컴퓨터의 ID를 결정하는 단계와 제2 통신 세션을 실행하여 컴퓨터의 건전성 상태를 결정하는 단계를 포함한다. 또 다른 실시예는 컴퓨터 시스템 상에서 실행되는 경우에, 상술한 방법을 수행하는 명령어들로 인코딩된 하나 이상의 컴퓨터 판독가능 매체에 관한 것이다.
또 다른 실시예는 네트워크로의 액세스를 관리하는 컴퓨터 시스템에 관한 것이며, 컴퓨터 시스템은 데이터를 송신 및 수신하기 위한 네트워크 인터페이스와 네트워크 인터페이스에 연결된 하나 이상의 제어기를 포함하고, 제어기는 네트워크 인터페이스를 통해 제1 통신 세션을 실행하여 컴퓨터의 ID를 결정하고, 네트워크 인터페이스를 통해 제2 통신 세션을 실행하여 컴퓨터의 건전성 상태를 결정한다.
또 다른 실시예는 컴퓨터에 의해 네트워크로의 액세스를 제어하는 방법에 관한 것으로서, 이러한 방법은 네트워크 액세스 장치에서 컴퓨터에 대한 ID 정보를 수신하는 단계, 네트워크 액세스 장치에서 컴퓨터의 보안 상태를 나타내는 건전성 보증서를 컴퓨터로부터 수신하는 단계 및 ID 정보 및 건전성 보증서에 기초하여 컴퓨터에게 네트워크 액세스를 허가할지를 결정하는 단계를 포함한다. 또 다른 실시예는 실행되는 경우에 상술한 방법을 수행하는 명령어들로 인코딩된 하나 이상의 컴퓨터 판독가능 매체에 관한 것이다.
또 다른 실시예는 네트워크 액세스를 획득하는 방법에 관한 것으로서, 이러한 방법은 ID 정보를 포함하는 네트워크 액세스 요청을 컴퓨터로부터 네트워크 액세스 장치로 송신하는 단계, 컴퓨터에서 네트워크 액세스 요청에 응답하여 건정성 보증서 서버로의 액세스를 허용하는 제한된 네트워크 액세스를 수신하는 단계, 컴퓨터와 건전성 보증서 서버 사이의 통신 세션을 실행하여 컴퓨터의 보안 상태를 결정하는 단계 및 컴퓨터가 요구되는 보안 상태에 있다고 결정된 경우에 건전성 보증서 서버로부터 건전성 보증서를 수신하는 단계를 포함한다. 또 다른 실시예는 실행되는 경우에 상술한 방법을 수행하는 명령어들로 인코딩된 하나 이상의 컴퓨터 판독가능 매체에 관한 것이다.
도 1은 개방형 시스템 상호접속 참조 모델의 도면이다.
도 2는 상위 레이어 흐름 제어 프로토콜들이 사용될 수 있는 시스템의 도면이다.
도 3은 네트워크 액세스를 허가하기 전에 엔티티들을 인증하기 위한 시스템의 도면이다.
도 4는 일 실시형태에 따라, 엔티티들을 인증하고 엔티티들에 대한 건전성 검토를 수행하기 위한 예시적인 시스템의 도면이다.
도 5A는 건전성 보증서를 요청하는 데 이용될 수 있는 예시적인 메시지의 도면이다.
도 5B는 건전성 보증서에 대한 요청에 응답하는 데 이용될 수 있는 예시적인 메시지의 도면이다.
출원인은, 허가된 사용자들의 머신들이 자신들이 알지 못하는 바이러스 또는 보안 홀들을 가질 수 있으므로, 종래의 인증기술은 악성 사용자들로부터 네트워크를 보호하기에 불충분하다고 인식하였다. 따라서, 본 발명의 일 실시예에서, 인증을 요구하는 것에 추가하여, 사용자는 그 사용자의 컴퓨터가 특정한 보안 상태에 있음을 입증할 것을 요구받을 수도 있다. 컴퓨터가 특정한 보안 상태에 있는지 결정하는 프로세스는 이하 건전성 검토 또는 건전성 검토를 수행하는 것으로서 언급 된다. 건전성 검토는 임의의 적절한 방식으로 수행될 수 있으며, 본 발명은 이에 대해 제한되지 않는다.
본 발명의 일 실시예에서, 인증 및 건전성 검토는 별도로 수행될 수 있다. 이에 대해, 사용자 또는 검퓨터는 컴퓨터가 네트워크에 접속하는 때마다 인증받을 수 있지만, 건전성 검토는 매회 수행될 필요가 없다. 오히려, 일단 건전성 검토가 수행되면, 사용자 또는 컴퓨터는 그 컴퓨터가 요구되는 보안 상태에 있음을 나타내는 건정성 보증서를 발행받을 수 있다. 예를 들어, 건전성 보증서는, 요구되는 레벨의 지속적인 준수를 보안 정책에 제공하도록 선택되는 제한된 유효기간으로 발행될 수 있다. 매회 건정성 검토를 수행하기 보다는, 사용자 또는 컴퓨터는 건전성 검토를 받지 않고, 이전에 발행된 건전성 보증서를 제시할 수 있다. 건전성 보증서에 대한 유효기간이 만료하였다면, 컴퓨터는 또 다른 건전성 검토를 받고 새로운 건전성 보증서를 획득할 수 있다.
네트워크를 통한 통신은 각종 상이한 기능들이 수행될 것을 요구한다. 네트워크 통신에 사용되는 단일 응용 프로그램이 이러한 모든 기능들을 다룬다는 것은 종종 이치에 맞지 않는다. 예를 들어, 이-메일을 송신 및 수신하는 응용 프로그램이, 이-메일이 전송되는 하부 네트워크 배선의 물리적 및 전기적 특성을 알아야만 한다면, 이는 부담스러운 일일 것이다. 따라서, 네트워크 통신에서 수행되는 기능들은 종종 레이어들의 세트로서 개념적으로 여겨지며, 여기에서 각각의 레이어는, 각각의 레이어 내의 기능들이 다른 레이어들의 기능들과 독립하여 수행될 수 있도록, 상당히 자립적인 특정 네트워크 기능들의 세트를 나타낸다. 따라서, 상술한 예에서, 이-메일 애플리케이션은, 네트워크를 통해 상세한 사항들을 다루는 하위 레이어로 전송되게 데이터를 단지 전달할 수 있으므로, 이-메일 응용 프로그램은 하부 네트워크가 이더넷 네트워크인지 또는 토큰 링 네트워크인지 알 필요가 없다.
네트워크 레이어들 중 하나의 대중적인 모델은 도 1에 도시한 OSI(Open System Interconnection) 참조 모델이다. OSI 모델은 각각 특정 네트워크 기능들을 지정하는 7개의 레이어들을 포함한다. 실제로, 컴퓨터들은 통신 프로토콜들을 이용하여 네트워크를 통해 통신하며, 이러한 통신 프로토콜들은 네트워크 매체를 통하여 컴퓨터들이 어떻게 정보를 교환하는지를 통제하는 협약들의 세트이다. 프로토콜은 하나 이상의 레이어들의 기능들을 구현한다. OSI 모델의 레이어 1은 물리적 레이어(101)이다. 물리적 레이어는 통신 매체(예를 들어, 네트워크 케이블)를 통해 미가공(raw) 비트들을 전송하는 것에 관한 것이다. 따라서, 물리적 레이어에서의 이슈들은 예를 들어, '1'을 나타내는 데 이용되는 전압과 '0'을 나타내는 데 이용되는 전압, 신호 타이밍(예를 들어, 비트 당 얼마나 많은 마이크로초가 경과되는지), 케이블의 길이, 및 기타 물리적 및 전기적 특성들이다. 모델의 레이어 2는 데이터 링크 레이어(103)이다. 데이터 링크 레이어는 물리적 링크를 통해 신뢰할 수 있는 데이터 전송을 수행하는 것에 관한 것이다. 데이터 링크 레이어에서 수행되는 기능들은, 입력 데이터를 프레임들로 분할하는 것, 이러한 프레임들을 순차적으로 전송하는 것, 그리고 수신기에 의해 역전송되는 프레임들의 수신 확인을 처리하는 것을 포함한다. 모델의 레이어 3은 네트워크 레이어(105)이다. 네트워크 레이어(105)에서, 네트워크 내의 컴퓨터들 사이와 네트워크들 사이에서의 메시 지의 라우팅이 수행된다. 네트워크 레이어 기능들을 수행하는 프로토콜의 일례는 인터넷 프로토콜(IP)이다.
모델의 레이어 4는 전송 레이어(107)이며, 그 기본 기능은 소스 컴퓨터로부터 송신된 순서대로 모든 패킷들이 착신 컴퓨터에 도착하는 것을 보증하는 것이다. 모델의 레이어 5는 세션 레이어(109)이다. 세션 레이어는 통신 세션들을 확립하고, 관리하고 종결시킨다. 모델의 레이어 6은 프리젠테이션 레이어(111)이다. 프리젠테이션 레이어는 2진 데이터를 표준으로 동의된 방식으로 인코딩하는 것에 관한 것이다. 이러한 레이어에서의 프로토콜의 예들은 HTTP(hyper text transfer protocol) 및 POP(post office protocol)를 포함한다. 모델의 레이어 7은 애플리케이션 레이어(113)이다. 애플리케이션 레이어(113)는, 사용자들이 네트워크를 통하여 데이터를 송신하는 소프트웨어와 대화할 수 있게 한다. 따라서, 예를 들어, 사용자가 "이-메일 전송" 버튼을 클릭한 경우에 어떻게 응답해야 할지를 아는 이-메일 응용 프로그램은 애플리케이션 레이어 기능을 수행하는 것의 일 예이다.
레이어 2 프로토콜들이 직접 접속되어 있는 장치들 사이의 흐름 제어 기능들을 수행한다는 것이 이해되어야 한다. 즉, 예를 들어, 데이터 링크 레이어 프로토콜들은 수신기가 송신기로 하여금 갖고 있는 얼마나 많은 버퍼 공간이 이용가능한지에 대해 알게 함으로써, 송신기로부터 송신된 데이터가, 송신기가 너무 많은 데이터로 직접 접속되어 있는 수신기를 압도하지 않을 것을 보장할 수 있다. 모델의 상위 레이어에서는 상이한 유형의 흐름 제어가 발생한다. 즉, 상위 레이어 프로토콜들은 복수의 네트워크 장치들을 통해 접속될 수 있는 장치들 사이의 흐름 제어를 허용한다. 예를 들어, 도 2에 도시된 바와 같이, 클라이언트(201)가 서버(211)에 데이터를 전송할 수 있는 네트워크 상에 2개의 경로가 존재한다. 즉, 클라이언트(201)가 스위치(203)에 데이터를 전송하는 경우에, 스위치(203)는 이 데이터를 라우터(207) 또는 라우터(205)에 전달할 수 있다. 이러한 라우터들 각각은 차례로 데이터를 스위치(209)에 전달하고, 그 후 스위치는 데이터를 서버(211)에 전달한다. 따라서, 예를 들어 클라이언트(201)가 웹 페이지에 대한 요청을 서버(211)에 전송한다면, 요청의 제1 부분은 라우터(205)를 통해 송신될 수 있고, 제2 부분은 라우터(207)를 통해 송신된다. 이러한 접속 중 하나가 다른 하나보다 늦을 수 있으므로, 데이터의 제 1 부분이 데이터의 제2 부분 전에 서버(211)에 도달하리라는 보장은 없다. 레이어 3 및 레이어 4에서의 흐름 제어 프로토콜들은 메시지들이 올바른 순서로 처리될 수 있도록, 서버(211)가 클라이언트(201)로부터 수신된 메시지들을 재순서화할 수 있게 한다. 또한, 이러한 레이어 3 및 레이어 4 프로토콜들은 데이터 버퍼들을 관리하고 트래픽을 조정하여, 만일 클라이언트(201)가 데이터를 너무 빨리 송신하면, 서버(211)가 따라갈 수 있도록 트래픽이 중단될 것이다.
일 실시예에서, 도 3에 도시된 인증이 발생할 수 있다. 호스트(301)는 네트워크 액세스 장치(303)를 통해 네트워크로 액세스할 수 있다. 그러나, 네트워크 액세스 장치(303)는, AAA(authentication, authorization, and accounting) 서버(305)가 네트워크 액세스 장치(303)에게 호스트(301)가 네트워크로 액세스하도록 허용되었음을 나타내기 전까지는 호스트(301)를 네트워크로 액세스하지 못하게 하도록 구성될 수 있다. 즉, 네트워크 액세스 장치(303)는 호스트(301)로부터의 네 트워크 통신이 네트워크에 도달하지 못하게 하는 필터를 처음에 제공받을 수 있다. 본 명세서에서 사용된 필터라는 용어는 임의의 유형의 필터, VLAN(virtual local area network) 또는 임의의 기타 적절한 격리 방법을 칭한다.
호스트(301)가 시동되거나 네트워크로 액세스하려고 시도하는 경우에, 호스트는 네트워크 액세스 장치(303)에 호스트(301) 및/또는 그 현재 사용자를 인증하는 데 필요한 정보를 제공하는 인증 메시지를 송신할 수 있다. 네트워크 액세스 장치는 이러한 인증 메시지들을 AAA 서버(305)에 전달할 수 있으며, AAA 서버는 이전에 창설된 액세스 정책들과 함께 인증 메시지 내에 포함된 정보를 이용하여 호스트(301)가 네트워크로 액세스하도록 허용되어야 하는지, 그리고 호스트(301)가 얼마나 많은 양의 네트워크 액세스를 수여받아야 하는지를 결정할 수 있다. AAA 서버가, 호스트가 네트워크로 액세스하도록 허용되어야 한다고 결정한다면, 호스트(301)가 적절한 레벨의 액세스를 수여받도록 네트워크 액세스 장치(303) 상의 필터를 재구성할 수 있다.
상술한 예에서, 네트워크 액세스 장치는 임의의 적절한 장치일 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 네트워크 액세스 장치는 네트워크 스위치일 수 있으며, 또는 네트워크 액세스 서버일 수도 있다. 또한, AAA 서버는 컴퓨터 또는 장치가 네트워크로 액세스하도록 허용되는지를 결정할 수 있고, 네트워크 액세스 허용을 갖는 것으로 결정된 호스트 컴퓨터들에 대하여 하나 이상의 액세스 레벨을 허락하도록 네트워크 액세스 장치를 구성할 수 있는 임의의 적절한 컴퓨터일 수 있다. 예를 들어, AAA 서버는 RADIUS 서버일 수 있다. 임의의 적 절한 프로토콜 또는 프로토콜들이 인증 메시지들을 호스트(301)에서 네트워크 액세스 장치(303)로, 그리고 네트워크 액세스 장치(303)에서 AAA 서버(305)로 송신하는 데 이용될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, EAP(extensible authentication protocol) 또는 802.1x 프로토콜이 이용될 수 있다.
도 3에 도시된 인증용 시스템이 호스트 컴퓨터의 ID를 검증하는 데 유용할 수 있지만, 이러한 인증은 호스트의 건전성은 전혀 검증하지 않는다. 즉, 예를 들어 호스트 컴퓨터는 그 ID 및/또는 그 사용자의 ID에 기초하여 네트워크로의 제한없는 액세스를 수여받을 수 있지만, 호스트는 의미없는 데이터로 네트워크를 채워 네트워크를 무용하게 만드는 바이러스 또는 기타 악성 코드에 감염될 수 있다.
따라서, 일 실시예에서, 호스트(301)가 네트워크로 액세스하기를 원하는 경우에, 네트워크 액세스 장치(303)는 통상적인 ID 기반 인증 외에 건전성 정보(예를 들어 건전성 보증서의 형태임)를 이용하여 호스트(301)를 인증할 수 있다. 네트워크 액세스 장치(303)는 이러한 건전성 정보 및 인증 정보를 AAA 서버(305)에 전달할 수 있으며, 그 후에 AAA 서버는 (만일 존재한다면) 보안 상태 및 호스트의 ID에 기초하여 어떠한 레벨의 액세스가 허가되어야 하는지를 결정한다. 그러면, AAA 서버는 원하는 레벨의 액세스를 허용하도록 네트워크 액세스 장치(303)를 구성할 수 있다.
예를 들어, 호스트 컴퓨터(301)는 컴퓨터의 보안 상태에 대한 정보를 수집하는 소프트웨어를 실행시킬 수 있다. 보안 상태 정보는 임의의 적절한 방식으로 수 집될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 정보를 수집하는 소프트웨어는 운영 체제의 최근 패치가 설치되었는지를 결정하기 위해 운영 체제로부터 정보를 검색할 수도 있고, 또는 호스트가 어떤 바이러스를 가지고 있는지를 결정하기 위해 호스트에 설치된 안티-바이러스(anti-virus) 소프트웨어로부터 정보를 검색할 수도 있다. 호스트(301)는 이러한 정보를 인증 메시지에 삽입함으로써 이러한 정보를 네트워크 액세스 장치(301)에 송신할 수 있다.
본 방법은 AAA 서버가 호스트의 ID를 검증하고 컴퓨터에 대한 건전성 검토를 수행할 수 있게 하지만, 호스트(301)가 AAA 서버에 인증할 때마다 건전성 정보가 호스트(301)로부터 네트워크 액세스 장치(303)로 송신되는 것을 필요로 한다. 호스트는 보안 상태 정보를 수집해야만 하고 AAA 서버는 각각의 인증에 대하여 보안 상태 정보를 이용하여 호스트가 요구되는 보안 상태에 있는지를 검증해야만 하기 때문에, 이는 호스트와 AAA 서버 둘 다에 대해 추가적인 처리를 필요로 한다. 또한, 보안 정보가 인증 메시지에 삽입되기 때문에, 제공될 수 있는 건전성 정보의 양은 인증 프로토콜의 효율에 의해 제한된다. 즉, 호스트가 요구되는 보안 상태에 있는 것을 검증하는 것은 복수의 소스들(예를 들어, 서버들)로부터의 입증을 포함할 수 있다. 호스트가 아직 네트워크로 액세스하도록 허가받지 못하였으므로, 호스트는 이러한 소스들에 접촉할 수 없고 소스들로 하여금 건전성의 입증을 수행하게 할 수 없다. 오히려, 호스트는 건전성 정보를 인증 메시지에 삽입하고, 인증 프로토콜(예를 들어, EAP 또는 802.1x)에 따라 이러한 메시지를 네트워크 액세스에 송신해야만 한다. 통상적으로, 네트워크 액세스 인증 프로토콜은 레이어 2 프로토 콜이며, 따라서 레이어 3(예를 들어, IP) 서비스의 결여에 의해 그 효율 면에서 제한된다. 따라서, 인증 메시지에 건전성 정보를 삽입하는 것은 비효율적일 수 있다.
이 점을 다루기 위해, 본 발명의 일 실시예에서, 호스트 컴퓨터는 2개의 별도의 검증 세션(하나는 인증용이며, 하나는 건전성 검토용임)을 가짐으로써 네트워크로의 액세스를 획득할 수 있다. 이는 임의의 적절한 방식으로 수행될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 도 4에 도시한 바와 같이 호스트(301)가 네트워크로 액세스하기를 원하는 경우에, 호스트(301)는 네트워크 액세스 장치(303)에 인증한다. 네트워크 액세스 장치(303)는 호스트(301)로부터 수신된 인증 정보를 AAA 서버(305)에 제공한다. AAA 서버(305)는 우선 호스트(301)의 ID를 인증하고, 호스트(301)가 인증되었다면, AAA 서버(305)는 호스트(301)에게 제한된 네트워크 액세스를 수여하도록 네트워크 액세스 장치(303)를 구성한다. 즉, 호스트(301)는 건전성 보증서 서버(401)에 접촉하도록 허용될 수 있으며, 그렇지 않으면 네트워크로 액세스하도록 허용받지 못할 수 있다. 이는 임의의 적절한 방식으로 수행될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 네트워크 액세스 장치(303)는, 호스트(301)가 건전성 보증서 서버(401)로 액세스하는 것을 허용하지만, 호스트(301)로부터의 임의의 다른 네트워크 통신은 허락하지 않는 필터를 제공받을 수 있다.
그 후에, 호스트(301)는 건전성 보증서 서버(401)와 접촉할 수 있고, 건전성 보증서 서버(401)는 호스트(301)에 대하여 건전성 검토를 수행할 수 있는 세션을 실행할 수 있다. 이는 임의의 적절한 방식으로 수행될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 건전성 보증서 서버(401)는 AAA 서버(305)와 협의하여 건전성 보증서를 발행할지를 결정할 수 있다. 호스트(301)가 요구되는 보안 상태에 있는지를 결정함에 있어서 AAA 서버(305)는 추가적인 건전성 서버들(예를 들어, 건전성 서버들(403, 405))에 접촉할 수 있다. 예를 들어, 건전성 보증서 서버는 호스트(301)로부터 수신된 안티-바이러스 정보를 AAA 서버(305)에 전송하여 호스트(301)가 바이러스가 없는 상태인지를 결정할 수 있다. 차례로, AAA 서버(305)는 안티-바이러스 정보를 안티-바이러스 서버(예를 들어, 건전성 서버(403))에 전달할 수 있으며, 안티-바이러스 서버는, 안티 바이러스 정보가 호스트가 바이러스가 없는 상태를 나타내는지를 결정하여 그 결과를 AAA 서버(305)에 반환한다. 건전성 검토의 결과에 기초하여, AAA 서버(305)는 건전성 보증서가 호스트(301)에 발행될 수 있는지를 건전성 보증서 서버(401)에 알릴 수 있다. 호스트(301)가 요구되는 보안 상태에 있고 이에 따라 건전성 보증서를 발행받는다면, 호스트(301)는 건전성 보증서를 이용하여 네트워크 액세스 장치(303)에 재인증할 수 있다.
일 실시예에서, 호스트(301)가 네트워크에 인증하기를 원할 때마다 건전성 검토가 수행될 필요가 없도록, 건전성 보증서가 호스트(301)에 의해 재사용될 수도 있다. 이는 임의의 적절한 방식으로 수행될 수 있으며, 본 방법은 이에 대해 제한되지 않는다. 예를 들어, 호스트(301)가 네트워크로 액세스하기를 원하는 경우에, 상술한 예에서와 같이, 네트워크 액세스 장치(303)와 함께 인증 세션을 시작할 수 도 있다. 통상적인 인증 정보 외에, 호스트(301)는 인증 메시지 내에 건전성 보증서를 갖고 있음을 또한 입증할 수 있다. 인증 정보 및 건전성 보증서가 AAA 서버(305)에 전달될 수 있다. AAA 서버(305)는 건전성 보증서가 유효한지를 결정할 수 있고, 만일 유효하다면 호스트(301)에 대한 네트워크 액세스 제한을 제거할 수 있다. 따라서, 이전의 건전성 검토에 응답하여 호스트(301)에 의해 수신된 건전성 보증서가 호스트(301)에 의해 자신이 요구되는 보안 상태에 있음을 증명하는 데 이용될 수 있으므로, 건전성 검토를 수행하는 건전성 보증서 서버(401)와 호스트(301) 사이의 별도의 통신 세션을 반드시 가질 필요가 없을 수 있다.
도 4의 예에서, 호스트(301)는 건전성 보증서 서버(401)와 직접 통신하는 것으로 도시된다. 이러한 직접적인 통신은 개념상의 명료성을 위해 도시된 것이며, 실제로는 네트워크 액세스 장치(303)를 포함하는(하지만, 이에 제한되지는 않음) 하나 이상의 네트워크 장치들을 통해 건전성 보증서 서버(401)와 통신할 수 있다.
도 4와 관련하여 상술한 바와 같이, 호스트(301)는 2개의 별도의 통신 세션(인증 세션 및 건전성 검토 세션)을 수행하여 네트워크에의 액세스를 획득할 수 있다. 임의의 적절한 인증 프로토콜이 인증 세션을 수행하는 데 이용될 수 있지만, 본 발명은 이에 대하여 제한되지 않는다. 일 실시예에서, 직접 접속되지 않은 장치들 사이의 흐름 제어를 제공하지 않는 인증 프로토콜(예를 들어, 레이어 2 프로토콜)이 사용될 수 있다. 예를 들어, EAP(extensible authentication protocol)가 이용될 수도 있으며, 802.1x 프로토콜이 이용될 수도 있다.
또한, 임의의 적절한 프로토콜이 건전성 검토 통신 세션을 수행하는 데 이용 될 수 있다. 예를 들어, 일 실시예에서 직접 접속되지 않는 장치들 사이의 흐름 제어를 제공하는 프로토콜 또는 프로토콜(들)이 이용될 수 있다.
일 실시예에서, https(hypertext transfer protocol over secure socket layer)가 건전성 검토를 수행하는 데 이용될 수 있다. 예를 들어, 도 5A에 도시한 바와 같이, HTML(hypertext markup language) 문서(503)를 포함하는 하나 이상의 https 패킷(501)이 송신될 수 있다. HTML 문서(503)는 요청 인증서(505) 및 건전성 설명서(507)를 포함한다. 건전성 보증서 서버(401)는 건전성 설명서(507)를 이용하여 호스트(301)가 요구되는 보안 상태에 있는지를 결정할 수 있다. 건전성 보증서 서버(401)는 도 5B에 도시한 바와 같이 응답할 수 있다. 즉, 건전성 보증서 서버는 HTML 문서(511)를 포함하는 하나 이상의 https 패킷(509)을 송신할 수 있다. HTML 문서는 요청 인증서에 대한 응답(513) 및 건전성 설명서에 대한 응답(515)을 포함한다. 예를 들어, 건전성 보증서 서버(401)가, 호스트가 요구되는 보안 상태에 있다고 결정한다면, 요청 인증서에 대한 응답(513)은 호스트(301)에 의해 건전성 보증서로서 이용될 수 있는 인증서를 포함할 수 있다. 또한 건전성 설명서에 대한 응답은 호스트(301)가 요구되는 건전성 검토를 통과했음을 나타낼 수 있다. 유사하게, 건전성 보증서 서버(401)가, 호스트(301)가 요구되는 보안 상태에 있지 않다고 결정한다면, 요청 인증서에 대한 응답(513)은 인증서 요청이 거부되었음을 나타낼 수 있고, 건전성 설명서에 대한 응답(515)은 호스트(301)가 통과하지 못한 요구되는 건전성 검토를 특정하는 것일 수 있다.
도 5A 및 도 5B에서, 단일 박스가 HTML 문서를 운반하는 https 패킷들을 나 타내는데 이용되었다는 것이 이해되어야 한다. 그러나, 이러한 HTML 문서들은 복수의 https 패킷들에서 운반될 수 있으며(예를 들어, HTML 문서의 일부가 각각의 패킷 내에서 전송됨), 본 발명은 이에 대해 제한되지 않음이 이해되어야 한다.
일 실시예에서, 호스트(301)에 대해 건전성 검토를 수행하는 것 외에, 건전성 보증서 서버(401)는 또한 호스트(301)를 인증할 수 있다. 호스트(301)를 인증함으로써, 건전성 보증서 서버(401)는 자신이 잘못된 호스트 컴퓨터에게 건전성 보증서를 발행하지 않고 있는지를 검토할 수 있다. 호스트(301)는 임의의 적절한 방식으로 건전성 보증서 서버에 의해 인증받을 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 건전성 검토를 수행하기 위해 https 프로토콜을 사용하는 실시예들에서, 호스트(301)는 HTTPAuth 프로토콜 또는 클라이언트측 TLS 프로토콜을 이용하여 인증받을 수도 있다.
도 4의 예에서, 네트워크 액세스 장치(303)는 AAA 서버(305)와 통신하여 호스트(301)로부터 AAA 서버(305)에 메시지를 송신하고, AAA 서버(305)가 네트워크 액세스 장치(303) 상에 필터를 구성할 수 있게 한다. 임의의 적절한 프로토콜이 이러한 통신을 위하여 이용될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, 일 실시예에서, AAA 서버(305)는 RADIUS 프로토콜을 이용하여 네트워크 액세스 장치(303)와 통신하는 RADIUS 서버일 수 있다.
상술한 예들에서, 인증서가 건전성 보증서로서 이용된다. 임의의 적절한 보증서가 이용될 수 있으며, 본 발명은 이에 대해 제한되지 않는다. 예를 들어, PKCS10 디지털 인증서가 이용될 수 있거나, PKCS7 디지털 인증서가 이용될 수 있 다. 또한, 임의의 적절한 유형의 건전성 보증서가 이용될 수 있으므로, 건전성 보증서는 반드시 인증서일 필요는 없으며, 본 발명은 이에 대해 제한되지 않음이 이해되어야 한다. 예를 들어, Kerberos 티켓, SAML(security assertion markup language) 토큰, 또는 기타 임의의 적절한 유형의 인증 토큰이 이용될 수 있다.
임의의 적절한 정보가 호스트(301)에 대한 건전성 설명서에 포함될 수 있으며, 본 발명은 이에 대해 제한되지 않는다는 것이 이해되어야 한다. 예를 들어, 이러한 정보는 소프트웨어가 설치되었는지 여부, 설치된 소프트웨어의 패치 상태, 설치된 소프트웨어 버전, 방화벽의 상태, 레지스트리 키 및 값, 파일 시스템 객체, 파일 공유, 서비스, 안티-바이러스 툴과 안티 바이러스 서명 및 상태를 포함할 수 있다.
도 4에서, AAA 서버(305) 및 건전성 보증서 서버(401)는 상이한 컴퓨터로서 도시된다. 그러나, 단일한 서버가 AAA 서버(305) 및 건전성 보증서 서버(401) 둘 다의 기능을 수행할 수도 있으므로, 본 발명이 이에 대해 제한되지 않는다는 것이 이해되어야 한다. 단일 서버가 인증 기능 및 건전성 검토 기능 둘 다를 수행할 수 있지만, 호스트(301)는 그럼에도 불구하고 서버와의 2개의 별도의 통신 세션을 가질 수 있다. 따라서, 제1 통신 세션은 예를 들어, 레이어 2 인증 프로토콜을 이용하여 호스트를 인증하도록 실행될 수 있으며, 제2 통신 세션은 예를 들어, 상위 레이어 프로토콜들을 이용하여 건전성 검토를 수행하도록 실행될 수 있다.
건전성 보증서 서버(401)에 의해 호스트(301)에 발행된 유효한 건전성 보증서는 제한된 시간 구간 동안 발행될 수 있다. 따라서, 시간 구간이 종료한 후에는 건전성 보증서가 만료될 수 있고 무효화될 수 있다. 예를 들어, 새로운 운영 체제 패치가 발매된다면, 이러한 패치의 발매 전에 발행된 건전성 보증서는 무효인 것으로 고려될 수 있다. 따라서, 호스트(301)가 네트워크로의 액세스를 획득할 것을 요청할 때 이러한 건전성 보증서를 제시하는 경우에, AAA 서버(305)는 이러한 건전성 보증서는 더 이상 유효하지 않다고 결정할 수 있다. 따라서, 새로운 건전성 검토가 호스트(301)와 건전성 보증서 서버(401) 사이에서 수행될 수 있도록, AAA 서버(305)는 호스트(301)에게 네트워크로의 자유로운 액세스를 허가하지 않고, 호스트(301)에게 네트워크로의 제한된 액세스를 허가한다.
호스트(301)는 동작을 위하여 다양한 서버들로 액세스하는 애플리케이션을 실행할 수 있다. 예를 들어, 호스트(301)는 수신된 메시지를 다운로드받기 위하여 이-메일 서버로 액세스하는 이-메일 애플리케이션 및/또는 하나 이상의 중앙 인스턴트 메시징 서버들과의 접속을 확립하는 인스턴트 메시징 프로그램을 실행할 수 있다. 출원인은, 건전성 보증서 서버(401)와의 건전성 검토 통신 세션을 실행하기 위하여 호스트(301)가 네트워크로의 제한된 액세스를 허가받는 경우에 이러한 애플리케이션이 정상적으로 기능하지 않는다고 이해하였다. 예를 들어, 이러한 애플리케이션들은 다양한 서버들로 접촉하기 위하여 네트워크 통신 시도를 송신할 수 있지만, 호스트(301)가 아직 네트워크로의 완전한 액세스를 허가받지 못했으므로 이러한 통신은 거부될 수 있다. 결과적으로, 이러한 애플리케이션은 미결정된 상태(hang)일 수 있다.
따라서, 일 실시예에서, 이를 다루기 위해서, 네트워크 상에서 통신을 송신 하기 위하여 이러한 애플리케이션에 의해 이용되는 네트워크 유용성 정보의 전파는 건전성 검증이 성공적으로 완료되기 전까지는 지연될 수 있다. 이는 임의의 적절한 방식으로 수행될 수 있으며, 본 발명은 이에 대해 제한되지 않는다.
일 실시예에서, 호스트(301)의 운영 체제는 네트워크 구성 및 현재 이용가능한 네트워크에 대한 정보를 수집 및 저장할 수 있다. 응용 프로그램은 운영 체제에 의해 제공되는 API(application programming interface)를 통해 이러한 정보에 액세스할 수 있다. 운영 체제는, 건전성 검토가 성공적으로 완료된 이후까지는 API를 통해 네트워크 구성 정보를 제공하지 않도록 구성될 수 있다. 결과적으로, 응용 프로그램은, 호스트(301)가 네트워크 액세스를 획득할 때까지는 네트워크로 액세스하려고 시도하지 않을 것이다.
본 발명의 상술한 실시예들은 임의의 많은 방식으로 구현될 수 있다. 예를 들어, 실시예들은 하드웨어, 소프트웨어 또는 그 결합을 이용하여 구현될 수 있다. 소프트웨어로 구현되는 경우에, 소프트웨어 코드는 단일 컴퓨터에 제공되든지 또는 복수의 컴퓨터들 사이에 분산되든지간에, 임의의 적절한 프로세서 또는 프로세서들의 집합 상에서 실행될 수 있다. 상술한 기능들을 수행하는 임의의 컴포넌트 또는 컴포넌트들의 집합은 상술한 기능들을 제어하는 하나 이상의 제어기로서 포괄적으로 고려될 수 있다. 이러한 하나 이상의 제어기들은 상술한 기능들을 수행하도록 마이크로코드 또는 소프트웨어를 이용하여 프로그래밍된 전용 하드웨어 또는 범용 하드웨어(예를 들어, 하나 이상의 프로세서)와 같은 많은 방식으로 구현될 수 있다.
이에 대해, 본 발명의 실시예들의 일 구현예는, 프로세서 상에서 실행되는 경우에 본 발명의 실시예들의 상술한 기능들을 수행하는 컴퓨터 프로그램(즉, 복수의 명령어들)으로 인코딩된 하나 이상의 컴퓨터 판독가능 매체(예를 들어, 컴퓨터 메모리, 플로피 디스크, 컴팩트 디스크, 테이프 등)를 포함한다는 것이 이해되어야 한다. 컴퓨터 판독가능 매체는, 그곳에 저장된 프로그램이 임의의 컴퓨터 환경 리소스에 로딩되어 본 명세서에서 논의된 본 발명의 양태들을 구현할 수 있도록 운송가능하다. 또한, 실행된 경우에 상술한 기능들을 수행하는 컴퓨터 프로그램에 대한 언급은 호스트 컴퓨터 상에서 실행되는 응용 프로그램에 제한되지 않는다는 것이 이해되어야 한다. 오히려, 컴퓨터 프로그램이라는 용어는 본 명세서에서 포괄적 의미로 사용되어, 본 발명의 상술한 양태들을 구현하도록 프로세서를 프로그래밍하는 데 사용될 수 있는 임의의 유형의 컴퓨터 코드(예를 들어, 소프트웨어 또는 마이크로코드)를 언급한다.
프로세스들이 컴퓨터 판독가능 매체에 구현되는 본 발명의 몇몇 실시예들에 따라, 컴퓨터로 구현되는 프로세스들은 그들의 실행 과정 동안, 입력을 수동으로(예를 들어, 사용자로부터) 수신할 수 있다.
본 명세서에서 사용된 문구 또는 용어는 설명을 위한 것이며 제한적인 것으로 고려되어서는 않된다. "포함하는(including)", "구비하는(comprising)", "갖는(having)", "함유하는(containg)", "수반하는(involving)" 및 그 변형의 사용은 그 이후에 나열된 항목들 및 추가적인 항목들을 포함하는 것으로 의도되었다.
본 발명의 몇몇 실시예들을 상세히 설명하였지만, 본 기술분야의 당업자라면 다양한 수정 및 개선을 용이하게 생각해낼 수 있을 것이다. 이러한 수정 및 개선은 본 발명이 사상 및 범위 내에 드는 것으로 의도되었다. 따라서, 상술한 설명은 단지 예시적인 방식이며, 제한적인 것으로 의도되지 않았다. 본 발명은 이하의 청구항 및 그 등가물에 의해서 규정되는 것으로서만 제한된다.

Claims (20)

  1. 컴퓨터의 네트워크 액세스를 관리하는 방법으로서,
    제1 통신 세션을 실행하여 컴퓨터의 ID(identity)를 결정하는 단계; 및
    제2 통신 세션을 실행하여 상기 컴퓨터의 건전성(health) 상태를 결정하는 단계
    를 포함하는 네트워크 액세스 관리 방법.
  2. 제1항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 동일한 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 방법.
  3. 제1항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 상이한 프로토콜들을 이용하여 실행되는 네트워크 액세스 관리 방법.
  4. 제1항에 있어서,
    상기 제1 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하지 않는 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 방법.
  5. 제1항에 있어서,
    상기 제1 통신 세션은 레이어 2 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 방법.
  6. 제1항에 있어서,
    상기 제2 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하는 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 방법.
  7. 제1항에 있어서,
    상기 제2 통신 세션은 레이어 2보다 상위 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 방법.
  8. 컴퓨터 시스템 상에서 실행되는 경우에, 컴퓨터의 네트워크 액세스를 관리하는 방법을 수행하는 명령어들로 인코딩된 하나 이상의 컴퓨터 판독가능 매체로서, 상기 방법은,
    제1 통신 세션을 실행하여 상기 컴퓨터의 ID를 결정하는 단계; 및
    제2 통신 세션을 실행하여 상기 컴퓨터의 건전성 상태를 결정하는 단계
    를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
  9. 제8항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 동일한 프로토콜을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  10. 제8항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 상이한 프로토콜들을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  11. 제8항에 있어서,
    상기 제1 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하지 않는 프로토콜을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  12. 제8항에 있어서,
    상기 제1 통신 세션은 레이어 2 프로토콜을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  13. 제8항에 있어서,
    상기 제2 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하는 프로토콜을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  14. 제8항에 있어서,
    상기 제2 통신 세션은 레이어 2보다 상위 프로토콜을 이용하여 실행되는 하나 이상의 컴퓨터 판독가능 매체.
  15. 네트워크로의 액세스를 관리하는 컴퓨터 시스템으로서,
    데이터를 송신 및 수신하기 위한 네트워크 인터페이스; 및
    상기 네트워크 인터페이스에 연결된 하나 이상의 제어기
    를 포함하고, 상기 제어기는,
    상기 네트워크 인터페이스를 통해 제1 통신 세션을 실행하여 컴퓨터의 ID를 결정하고,
    상기 네트워크 인터페이스를 통해 제2 통신 세션을 실행하여 상기 컴퓨터의 건전성 상태를 결정하는 네트워크 액세스 관리 컴퓨터 시스템.
  16. 제15항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 동일한 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 컴퓨터 시스템.
  17. 제15항에 있어서,
    상기 제1 통신 세션 및 상기 제2 통신 세션은 상이한 프로토콜들을 이용하여 실행되는 네트워크 액세스 관리 컴퓨터 시스템.
  18. 제15항에 있어서,
    상기 제1 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하지 않는 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 컴퓨터 시스템.
  19. 제15항에 있어서,
    상기 제1 통신 세션은 레이어 2 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 컴퓨터 시스템.
  20. 제15항에 있어서,
    상기 제2 통신 세션은 직접 접속되어 있지 않은 장치들 사이의 흐름 제어 기능을 제공하는 프로토콜을 이용하여 실행되는 네트워크 액세스 관리 컴퓨터 시스템.
KR1020077030531A 2005-06-30 2005-08-31 네트워크로의 액세스 관리 KR101143050B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/172,172 2005-06-30
US11/172,172 US7647634B2 (en) 2005-06-30 2005-06-30 Managing access to a network
PCT/US2005/031113 WO2007005039A1 (en) 2005-06-30 2005-08-31 Managing access to a network

Publications (2)

Publication Number Publication Date
KR20080030575A true KR20080030575A (ko) 2008-04-04
KR101143050B1 KR101143050B1 (ko) 2012-05-10

Family

ID=37604776

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077030531A KR101143050B1 (ko) 2005-06-30 2005-08-31 네트워크로의 액세스 관리

Country Status (5)

Country Link
US (1) US7647634B2 (ko)
EP (1) EP1896972A4 (ko)
KR (1) KR101143050B1 (ko)
CN (1) CN101218576B (ko)
WO (1) WO2007005039A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014120314A1 (en) * 2013-01-31 2014-08-07 Hewlett-Packard Development Company, L.P. Network management access based previous registration of user device
KR102463051B1 (ko) * 2021-11-23 2022-11-03 펜타시큐리티시스템 주식회사 선박 네트워크 접근제어 방법 및 장치

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7684786B2 (en) * 2003-08-26 2010-03-23 Nokia Corporation Method and system for establishing a connection between network elements
US7814535B1 (en) * 2006-06-29 2010-10-12 Symantec Operating Corporation Method and apparatus for peer-to-peer compliancy validation in secure managed networks
US8966075B1 (en) * 2007-07-02 2015-02-24 Pulse Secure, Llc Accessing a policy server from multiple layer two networks
CN101355551A (zh) * 2007-07-23 2009-01-28 华为技术有限公司 一种通信方法和装置
US9495538B2 (en) * 2008-09-25 2016-11-15 Symantec Corporation Graduated enforcement of restrictions according to an application's reputation
US8353021B1 (en) 2008-09-30 2013-01-08 Symantec Corporation Determining firewall rules for an application on a client based on firewall rules and reputations of other clients
US9443084B2 (en) 2008-11-03 2016-09-13 Microsoft Technology Licensing, Llc Authentication in a network using client health enforcement framework
US8239953B1 (en) 2009-03-26 2012-08-07 Symantec Corporation Applying differing security policies for users who contribute differently to machine hygiene
US8312543B1 (en) 2009-06-30 2012-11-13 Symantec Corporation Using URL reputation data to selectively block cookies
US8566932B1 (en) * 2009-07-31 2013-10-22 Symantec Corporation Enforcing good network hygiene using reputation-based automatic remediation
US8776168B1 (en) 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US8990891B1 (en) 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
US11153824B1 (en) * 2020-09-02 2021-10-19 Hewlett Packard Enterprise Development Lp Maintenance and monitoring of target wait time (TWT) sessions

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6058250A (en) * 1996-06-19 2000-05-02 At&T Corp Bifurcated transaction system in which nonsensitive information is exchanged using a public network connection and sensitive information is exchanged after automatically configuring a private network connection
US7231430B2 (en) * 2001-04-20 2007-06-12 Egenera, Inc. Reconfigurable, virtual processing system, cluster, network and method
AU2003286643A1 (en) * 2002-10-17 2004-05-04 Enterasys Networks, Inc. System and method for ieee 802.1x user authentication in a network entry device
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014120314A1 (en) * 2013-01-31 2014-08-07 Hewlett-Packard Development Company, L.P. Network management access based previous registration of user device
KR102463051B1 (ko) * 2021-11-23 2022-11-03 펜타시큐리티시스템 주식회사 선박 네트워크 접근제어 방법 및 장치

Also Published As

Publication number Publication date
CN101218576A (zh) 2008-07-09
EP1896972A4 (en) 2009-03-25
US7647634B2 (en) 2010-01-12
EP1896972A1 (en) 2008-03-12
KR101143050B1 (ko) 2012-05-10
WO2007005039A1 (en) 2007-01-11
CN101218576B (zh) 2012-01-18
US20070016679A1 (en) 2007-01-18

Similar Documents

Publication Publication Date Title
KR101143050B1 (ko) 네트워크로의 액세스 관리
US7636938B2 (en) Controlling network access
KR101076848B1 (ko) 사설망 자원으로의 연결을 설정하는 방법 및 컴퓨터 판독가능 기록 매체
US6202156B1 (en) Remote access-controlled communication
KR101534890B1 (ko) 신뢰된 장치별 인증
US8613056B2 (en) Extensible authentication and authorization of identities in an application message on a network device
US20060156391A1 (en) Method and apparatus providing policy-based revocation of network security credentials
US20090055891A1 (en) Device, method, and program for relaying data communication
US20210144015A1 (en) Accessing hosts in a computer network
EP3328023B1 (en) Authentication of users in a computer network
JP2008500632A (ja) アドホックアクセス環境を提供するネットワークシステムおよび方法
JP2008181310A (ja) 認証サーバおよび認証プログラム
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
WO2023279782A1 (zh) 一种访问控制方法、访问控制系统及相关设备
Nife et al. New SDN-oriented distributed network security system
EP3328025A1 (en) Accessing hosts in a hybrid computer network
EP1244265A2 (en) Integrated policy implementation service for communication network
CN101938428B (zh) 一种报文的传输方法和设备
JP4302004B2 (ja) パケットフィルタ設定方法およびパケットフィルタ設定システム
JP6488001B2 (ja) コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品
JP5504940B2 (ja) 仮想プライベートネットワークシステム、通信方法及びコンピュータプログラム
Sørensen et al. Automatic profile-based firewall for iot devices
JP2016021621A (ja) 通信システム及び通信方法
Ford-Hutchinson RFC 4217: Securing FTP with TLS
Deverick A Framework for Active Firewalls

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190328

Year of fee payment: 8