KR20090052225A - Network access control method based on microsoft network access protection - Google Patents

Network access control method based on microsoft network access protection Download PDF

Info

Publication number
KR20090052225A
KR20090052225A KR1020070118823A KR20070118823A KR20090052225A KR 20090052225 A KR20090052225 A KR 20090052225A KR 1020070118823 A KR1020070118823 A KR 1020070118823A KR 20070118823 A KR20070118823 A KR 20070118823A KR 20090052225 A KR20090052225 A KR 20090052225A
Authority
KR
South Korea
Prior art keywords
policy
client terminal
user
server
authentication server
Prior art date
Application number
KR1020070118823A
Other languages
Korean (ko)
Other versions
KR100939300B1 (en
Inventor
이상준
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020070118823A priority Critical patent/KR100939300B1/en
Publication of KR20090052225A publication Critical patent/KR20090052225A/en
Application granted granted Critical
Publication of KR100939300B1 publication Critical patent/KR100939300B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 마이크로소프트 NAP(Network access protection) 기반용 네트워크 접속 통제 방법에 관한 것으로, 네트워크에 접속하고자 하는 클라이언트단말기에서는 정책을 수행하고, 인증서버에서는 인증된 사용자의 정책을 확인한 후 클라이언트단말기에서 받은 정책 수행 결과 및 수행된 정책 정보와 정책서버로부터 받은 해당 사용자에 대한 정책 정보를 비교 검사하여 클라이언트단말기의 네트워크 접속을 통제하며, 정책서버는 인증서버에 연결되어 사용자별로 정책을 제공하거나 관리함으로써 MS(마이크로소프트) NAP의 정책 확장을 꾀할 수 있어서 한층 강화된 네트워크 보안을 도모할 수 있으며, 더 나아가 MS NAP의 규격화된 패킷 사이즈의 제한보다 더 큰 사이즈의 정책까지도 확장 가능하게 하여 MS NAP의 정책 확장을 용이하게 도모할 수 있도록 한다.The present invention relates to a network access control method based on Microsoft Network Access Protection (NAP), which performs a policy on a client terminal to access a network, and checks a policy of an authenticated user on an authentication server, and then receives the policy received from the client terminal. Controls the client terminal's network access by comparing the execution result and the policy information about the user received from the policy server, and the policy server is connected to the authentication server to provide or manage policies for each user. Soft) NAP's policy expansion can be implemented to enhance network security. Furthermore, it is easy to extend MS NAP's policy by extending policy even larger than MS NAP's standardized packet size limit. To make it happen.

NAP, 인증, 정책, 네트워크 보안 NAP, authentication, policy, network security

Description

마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속 통제 방법{NETWORK ACCESS CONTROL METHOD BASED ON MICROSOFT NETWORK ACCESS PROTECTION}Network Access Control for Microsoft Network Access Protection Foundation {NETWORK ACCESS CONTROL METHOD BASED ON MICROSOFT NETWORK ACCESS PROTECTION}

본 발명은 네트워크 접속 통제 방법에 관한 것으로, 특히 MS(Microsoft, 마이크로소프트) NAP(Network access protection, 네트워크 접근 보호)의 정책 확장에 관한 것이다.The present invention relates to a network access control method, and more particularly, to a policy extension of MS (Microsoft, Microsoft) NAP (Network access protection).

인터넷의 발달은 정보의 교환을 쉽게 달성할 수 있도록 하였지만, 그 만큼 정보의 유출과 같은 보안사고의 개연성을 높이고 있다. 특히 근자에 들어서는 무선인터넷의 발달로 인하여 네트워크로 신분이 불분명한 자에 의한 접속 가능성이 더욱 쉬워져 보안사고의 개연성을 한층 더 높이고 있다.Although the development of the Internet has made it possible to easily exchange information, the probability of security accidents such as the leakage of information is increasing. In particular, due to the development of the wireless Internet, the possibility of access by an unidentified person on a network becomes easier, thereby increasing the probability of a security accident.

따라서 네트워크 보안과 관련된 업체들은 보안사고를 방지하기 위해 다양한 기술들을 개발하고 있는 데, 그 중 마이크로소프트사는 NAP라는 기술을 개발 및 제안하였다.Therefore, companies related to network security are developing various technologies to prevent security accidents. Among them, Microsoft developed and proposed a technology called NAP.

NAP기술은 네트워크에 접속하기 위한 클라이언트에 대한 보안정책에 따라 해 당 네트워크 접속 혹은 통신 시 그 보안상태(또는 건강상태. 이하 동일함)를 점검하여 정책적인 요구사항이 부합되기 전까지는 클라이언트의 네트워크 접속을 제한하는 것을 근간으로 한다.NAP technology checks the security status (or health status, the same below) during the network connection or communication according to the security policy for the client to access the network, until the client's network connection is met. It is based on limiting

위와 같은 NAP기술을 도입하게 되면 다음과 같은 기능 및 이점이 있다.The introduction of the above NAP technology has the following features and benefits.

우선 사용자 관점에서는, 네트워크 자원을 이용하기 위해서 최초 네트워크 접속 시, 자신의 컴퓨터에 설치된 NAP 클라이언트가 시스템의 보안상태를 자동적으로 점검하여 기 설정된 보안상태 정책에 부합하는지 여부를 판별하게 된다. 그리고 자신의 컴퓨터가 정책에 부합한다면 자신에게 부여된 네트워크 사용권한 만큼 허가된 네트워크 자원을 사용할 수 있게 되지만, 그렇지 않을 경우, 쿼런틴존(Quarantine zone)으로 만의 접근만 허용되는 NAP client with limited access 상태가 된다. 따라서 자신의 컴퓨터에 바이러스 엔진이 업데이트가 되지 않아 네트워크로의 접속이 제한된 경우 사용자는 바이러스 엔진을 업데이트시켜야 하는 데, 이 때 제한 접속된 쿼런틴존에서 바이러스 엔진을 수동 또는 자동으로 업데이트시킬 수 있도록 구현할 수도 있다. 또한, 네트워크 접속이 허가된 이후라도 NAP 클라이언트에 의한 보안상태 점검으로 지속적인 보안관리를 받게 된다. 이러한 점은 사용자 본인의 의지와는 무관하게 보안정책을 준수해야만 네트워크 접속이 허용되게 하여 네트워크 보안을 강화할 수 있게 한다.First, from a user's point of view, when accessing a network for the first time, the NAP client installed in its own computer automatically checks the security state of the system to determine whether it meets the preset security state policy. If your computer meets the policy, you will be able to use authorized network resources as much as the network permissions granted to you. Otherwise, you will have a NAP client with limited access that only allows access to the quarantine zone. do. Therefore, if the user has limited access to the network because the virus engine is not updated on his computer, the user needs to update the virus engine. At this time, the virus engine can be manually or automatically updated in the restricted access quota zone. have. In addition, even after the network access is authorized, the security status check by the NAP client provides continuous security management. This makes it possible to strengthen network security by allowing network access only if the security policy is followed regardless of the user's intention.

다음으로 보안관리자 관점에서는 네트워크 운영 혹은 보안관점의 분석 레포트를 손쉽게 출력하여 차기 네트워크 보안 계획에 근거자료로써 활용할 수 있게 된다. 그리고 과거 사용자에게 일임하여 온 네트워크 접속 단말기에 대한 보안을 총 체적으로 강제할 수 있게 되어, 사용자의 무관심 혹은 실수 등에 의한 내부 네트워크에 대한 보안위협을 효과적으로 통제할 수 있게 된다.Next, from a security manager's point of view, an analysis report of network operation or security perspective can be easily printed and used as a basis for the next network security plan. In addition, it is possible to collectively enforce the security of the network access terminal that has been assigned to the user in the past, thereby effectively controlling the security threat to the internal network due to user's indifference or mistake.

그러나 MS NAP에서 기본적으로 제공되는 정책은 사용자 구분 없이 획일적으로 모든 클라이언트단말기에 적용되기 때문에 사용자에 따라서는 보안구멍(예를 들어 설계직사원이 인사과의 인사정책 자료를 훔쳐볼 수 있는 등의 것)이 발생할 소지가 매우 높다.However, since the policy provided by MS NAP is applied uniformly to all client terminals without user identification, some security holes (for example, design staff can steal personnel policy data from human resources department). It is very likely to occur.

또한, MS NAP에서는 패킷에 포함된 필드 중에 정책 데이터를 넣을 수 있는 필드의 사이즈가 4Kbyte로 제한되어 있어서, 정책 사이즈가 4Kbyte를 넘으면 정책으로 적용할 수 없는 곤란함이 있는데, 이러한 점은 다양한 정책 적용의 제한을 가져와 보안구멍의 발생을 방지하는데 제한요소로 작용한다.In addition, in MS NAP, the size of the field in which the policy data can be put in the packet included in the packet is limited to 4 Kbytes. Therefore, if the policy size exceeds 4 Kbytes, it cannot be applied as a policy. It has a limitation of and acts as a limiting factor to prevent the occurrence of security hole.

본 발명은, 상술한 문제점을 해결하기 위해 안출된 것으로, MS NAP 기반에서 사용자별로 보안정책을 구분하여 적용할 수 있게 하고, 제한된 사이즈보다 큰 사이즈의 정책 적용을 가능하게 하는 기술을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems, and an object of the present invention is to provide a technology that enables application of a security policy for each user based on MS NAP, and a policy application of a size larger than a limited size. It is done.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법은, 인증서버를 매개로 정책서버에서 사용자가 인증된 클라이언트단말기로 해당 사용자에 대한 정책을 제공하는 A단계; 상기 클라이언트단말기에서 정책을 수행한 후 정책 수행 결과 및 수행한 정책 정보를 상기 인증서 버로 보내면, 상기 인증서버에서 해당 사용자에 대한 정책 정보를 상기 정책서버를 통해 확인한 후 상기 클라이언트단말기에서 수행한 정책 정보와 상기 정책서버에서 확인한 정책 정보가 일치하는지를 검사하여 상기 클라이언트단말기의 네트워크 접속 여부를 판단하는 B단계; 및 상기 B단계에서의 판단 결과에 따라 상기 인증서버에서 상기 클라이언트단말기의 네트워크 접속을 통제하는 C단계; 를 포함하는 것을 특징으로 한다.Microsoft NAP-based network access control method according to the present invention for achieving the above object, A step of providing a policy for the user to the client terminal authenticated user in the policy server via the authentication server; After executing the policy in the client terminal and sending the policy execution result and the performed policy information to the certificate server, the policy server checks the policy information for the user through the policy server and then the policy information performed by the client terminal. Determining whether the client terminal accesses the network by checking whether the policy information checked by the policy server matches; And controlling the network connection of the client terminal in the authentication server according to the determination result in the step B; Characterized in that it comprises a.

상기 클라이언트단말기에 정책이 존재하지 않으면 상기 A단계 및 B단계를 수행하고, 상기 클라이언트단말기에 정책이 존재하면 상기 B단계를 수행하는 것을 또 하나의 특징으로 한다.If a policy does not exist in the client terminal, steps A and B are performed, and if a policy exists in the client terminal, step B is performed.

상기 A단계는, 상기 클라이언트단말기에서 상기 인증서버로 해당 사용자에 대한 인증정보를 전송하는 A1단계; 상기 인증서버에서 해당 사용자를 인증한 후 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 A2단계; 상기 정책서버에서 해당 사용자에 대한 정책이 존재하면 상기 인증서버로 해당 정책을 전송하는 A3단계; 및 상기 인증서버에서 상기 클라이언트단말기로 해당 정책을 전송하는 A4단계; 를 포함하는 것을 더 구체적인 특징으로 한다.The step A, step A1 of transmitting the authentication information for the user from the client terminal to the authentication server; A2 step of requesting that the policy server has a policy for the user after authenticating the user in the authentication server; A3 step of transmitting the policy to the authentication server if there is a policy for the user in the policy server; And transmitting the corresponding policy from the authentication server to the client terminal. It includes a more specific feature to include.

상기 클라이언트단말기로 전송되는 정책은 다수개의 패킷으로 나뉘어져 순차적으로 전송되는 것을 또 하나의 특징으로 한다.The policy transmitted to the client terminal may be divided into a plurality of packets, and may be sequentially transmitted.

상기 다수개의 패킷이 상기 클라이언트단말기로 모두 전송될 때까지 상기 A단계를 반복하는 것을 또 하나의 특징으로 한다.It is another feature that the step A is repeated until all of the plurality of packets are transmitted to the client terminal.

상기 B단계는, 상기 클라이언트단말기에서 해당 정책을 수행하는 B1단계; 상 기 클라이언트단말에서 정책을 수행한 결과와 적용된 정책 정보를 상기 인증서버로 전송하는 B2단계; 상기 인증서버에서 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 B3단계; 상기 정책서버는 해당 정책이 존재하면 해당 정책을 상기 인증서버로 전송하는 B4단계; 및 상기 인증서버가 상기 B2단계에서 받은 정책 정보와 상기 B3단계에서 받은 정책 정보가 일치하는지를 검사하는 B5단계; 를 포함하는 것을 더 구체적인 특징으로 한다.Step B, Step B1 to perform the policy in the client terminal; A step B2 of transmitting the result of the policy in the client terminal and the applied policy information to the authentication server; A step B3 of requesting confirmation from the authentication server to the policy server whether a policy exists for the user; The policy server transmits the policy to the authentication server if the policy exists; And step B5, wherein the authentication server checks whether the policy information received in step B2 and the policy information received in step B3 match. It includes a more specific feature to include.

위와 같은 본 발명에 따르면, MS NAP 기반에서도 사용자별로 차별화된 다양한 보안정책이 적용될 수 있으며, 규격화된 사이즈보다 큰 사이즈의 보안정책도 적용할 수 있어서 네트워크 보안을 한층 더 강화시킬 수 있는 효과가 있다.According to the present invention as described above, various security policies differentiated for each user can be applied even in the MS NAP-based, it is possible to apply a security policy of a size larger than the standardized size can further enhance the network security.

이하에서는 상술한 바와 같은 본 발명에 따른 마이크로소프트 네트워크 접속 보호(이하 MS NAP) 기반용 네트워크 접속 통제 방법에 대한 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.Hereinafter, with reference to the accompanying drawings, a preferred embodiment of a network access control method based on the Microsoft network access protection (MS NAP) based on the present invention as described above will be described.

<기본 보안시스템 구조에 대한 설명><Description of Basic Security System Structure>

본 발명에 따른 MS NAP 기반용 네트워크(140) 접속 통제 방법은 도1에 도시된 기본 보안시스템 구조에서 이루어진다.MS NAP-based network 140 access control method according to the present invention is made in the basic security system structure shown in FIG.

도1의 블록도에 도시된 보안시스템은, 네트워크(140)에 접속하고자 하는 클라이언트단말기(110), 사용자를 인증하는 인증서버(120), 보안정책을 관리 및 지원 하는 정책서버(130) 등으로 구성된다.The security system shown in the block diagram of FIG. 1 includes a client terminal 110 to access a network 140, an authentication server 120 for authenticating a user, a policy server 130 for managing and supporting a security policy, and the like. It is composed.

클라이언트단말기(110)에는 MS NAP 기반용 SHA(111)가 탑재되어 있으며, 윈도우 로그인 ID, IP, MAC 등과 같은 사용자 인증 정보를 인증서버(120)로 전송하고, 보안정책 을 수행하여 보안정책의 수행 결과 및 수행한 정책 정보를 인증서버(120)로 전송한다. 그리고 보안정책의 준수여부에 따라서 네트워크(140)에 접속하거나 격리존(141)으로만 접속되게 된다.The client terminal 110 is equipped with an MS NAP-based SHA 111, and transmits user authentication information such as a Windows login ID, IP, MAC, etc. to the authentication server 120, and performs a security policy to perform a security policy. The result and the performed policy information is transmitted to the authentication server 120. In addition, access to the network 140 or only to the isolation zone 141 depends on security policy compliance.

인증서버(120)에는 MS NAP 기반용 SHV(121)가 탑재되어 있으며, 클라이언트단말기(110)로부터 수신한 사용자 인증 정보로 사용자를 인증한 후 정책서버(130)를 통해 사용자에 대한 정책이 존재하는지를 확인한 다음 정책서버(130)로부터 사용자에 대한 정책을 수신하여 클라이언트단말기(110)로 보내는 역할을 수행한다. 그리고 클라이언트단말기(110)로부터 받은 보안정책의 수행 결과 및 수행한 정책 정보를 정책서버(130)로부터 받은 정책 정보와 비교 검사하여 클라이언트단말기(110)의 네트워크(140) 접속 여부를 판단 및 통제한다.The authentication server 120 is equipped with the MS NAP-based SHV 121, and after authenticating the user with the user authentication information received from the client terminal 110, whether there is a policy for the user through the policy server 130 Check and then receives the policy for the user from the policy server 130 and sends to the client terminal (110). The result of the execution of the security policy and the policy information received from the client terminal 110 are compared with the policy information received from the policy server 130 to determine and control whether the client terminal 110 is connected to the network 140.

정책서버(130)는 사용자별 또는 그룹별(인사그룹, 설계그룹, 영업그룹 등)로 차별화되어 적용될 보안정책을 가지고 있으며, 인증서버(120)의 요구에 의해 해당 보안정책을 인증서버(120)로 제공하는 역할을 수행한다.The policy server 130 has a security policy to be differentiated by user or by group (human resources group, design group, sales group, etc.), and the security server 120 requests the corresponding security policy at the request of the authentication server 120. Serve as a role.

<클라이언트단말기(110)에서 이루어지는 과정><Process made in the client terminal 110>

도2 및 도3의 흐름도를 참조하여 클라이언트단말기(110)에서 이루어지는 과정에 대하여 설명한다.A process performed in the client terminal 110 will be described with reference to the flowcharts of FIGS. 2 and 3.

1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도2 참조)1. If a security policy exists in the client terminal 110 (see Fig. 2)

1-1. 보안정책 수행<S201>1-1. Security policy enforcement <S201>

클라이언트단말기(110)는 현재 적용되어 있는 보안정책을 수행한다. 즉, 특정 바이러스 엔진이 업데이트되어 있는지, 시스템 보안 패치가 설치되어 있는지와 같은 보안정책에 따라 해당 사안들을 확인하는 것이다.The client terminal 110 performs a security policy that is currently applied. That is, it checks the issues according to the security policy such as whether a specific virus engine is updated or system security patch is installed.

1-2. 보안정책 수행 결과 전송<S202>1-2. Sending result of security policy performance <S202>

그리고 네트워크(140)에 접속하기 위하여 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송한다.In order to access the network 140, user authentication information such as a window login ID, an IP, a MAC, a security policy execution result, and the executed policy information are transmitted to the authentication server 120.

1-3. 네트워크(140) 접속/제한<S203>1-3. Network 140 connection / restriction <S203>

단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 허용되면 사용자에게 허용된만큼의 네트워크(140) 자원에 접근할 수 있는 범위 내에서 네트워크(140)에 접속된다. 물론 후술하겠지만 클라이언트단말기(110)가 네트워크(140)에 유효하게 접속될 수 있으려면 클라이언트단말기(110)에 존재하는 보안정책과 정책서버(130)에서 사용자에 대해 가지고 있는 보안정책이 동일할 것이 필요하다. 그리고 만일 단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 제한되면 격리존(141)으로만 접속된다.If the network 140 is allowed to access the network 140 from the authentication server 120 after the step S202, the network 140 is connected to the network 140 within the range in which the user can access the network 140 resources. Of course, as will be described later, in order for the client terminal 110 to be effectively connected to the network 140, the security policy existing in the client terminal 110 and the security policy of the user in the policy server 130 need to be the same. Do. If the network 140 is restricted from the authentication server 120 after step S202, only the isolation zone 141 is connected.

2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도3 참조)2. If there is no security policy in the client terminal 110 (see Figure 3)

2-1. 사용자 인증 정보 전송<S301>2-1. Send user authentication information <S301>

네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송한다.The client terminal 110 attempting to access the network 140 transmits user authentication information to the authentication server 120.

2-2. 보안정책 수신<S302>2-2. Receive Security Policy <S302>

단계 S301 후 인증서버(120)를 경유하여 정책서버(130)로부터 오는 스크립트(script)화된 보안정책을 수신한다.After step S301 receives a scripted security policy from the policy server 130 via the authentication server (120).

그 후 전술한 단계S201 내지 단계 S203을 수행한다.Thereafter, the above-described steps S201 to S203 are performed.

<인증서버(120)에서 이루어지는 과정><Process made in the authentication server 120>

도4 및 도5의 흐름도를 참조하여 인증서버(120)에서 이루어지는 과정에 대하여 설명한다.A process performed in the authentication server 120 will be described with reference to the flowcharts of FIGS. 4 and 5.

1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도4 참조)1. If a security policy exists in the client terminal 110 (see Fig. 4)

1-1. 정보 수신<S401>1-1. Receive Information <S401>

네트워크(140)에 접속하고자 하는 클라이언트단말기(110)로부터 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 수신한다.Receives user authentication information, security policy execution result, and executed policy information from the client terminal 110 to access the network 140.

1-2. 결과 판단 및 보안정책 유효성 검토<S402>1-2. Judgment of results and review of security policy validity <S402>

보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하는데, 이 때 클라이언트단말기(110)로부터 수신한 보안정책 정보의 유효성을 검토하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책 정보를 요구하여 수신한 다음 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안 정책 정보를 비교한다.Reviewing the result of performing the security policy, it is determined whether the client terminal 110 is authorized to access the network 140. At this time, the policy server 130 is reviewed to examine the validity of the security policy information received from the client terminal 110. Send and receive the user information to distinguish the user by requesting the security policy information for the user and then compares the security policy information received from the client terminal 110 with the security policy information received from the policy server 130.

1-3. 네트워크(140) 접속 통제<S403>1-3. Network 140 access control <S403>

단계 S402에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다.In operation S402, if the client terminal 110 complies with the security policy and the security policy information received from the client terminal 110 and the security policy information received from the policy server 130 match, the network of the client terminal 110 ( 140) allow the connection, otherwise limit the network 140 connection of the client terminal 110 to the isolation zone 141 only.

2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도5 참조)2. If there is no security policy in the client terminal 110 (see Fig. 5)

2-1. 사용자 인증 정보 수신<S501>2-1. Receive User Authentication Information <S501>

네트워크(140) 접속을 시도하는 클라이언트단말기(110)로부터 사용자 인증 정보를 수신한다.User authentication information is received from the client terminal 110 attempting to access the network 140.

2-2. 사용자 인증<S502>2-2. User Authentication <S502>

단계S501에 의해 수신된 사용자 인증 정보로 사용자를 인증한다.The user is authenticated with the user authentication information received in step S501.

2-3. 보안정책 요구 및 수신<S503>2-3. Security policy request and reception <S503>

인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자에 대한 보안정책을 요구한다. 이 때 사용자를 구분할 수 있는 사용자 정보를 함께 보낸다.In order to obtain a security policy to be applied to the authenticated user, the policy server 130 requests a security policy for the user. At this time, user information that can distinguish users is sent together.

2-4. 보안정책 전송<S504>2-4. Security policy transmission <S504>

단계 S503에 의해 정책서버(130)로부터 보안정책을 수신하면 클라이언트단말 기(110)로 해당 보안정책을 보낸다.When the security policy is received from the policy server 130 in step S503, the security policy is sent to the client terminal 110.

이후 전술한 단계 S401 내지 S403을 수행한다.Thereafter, the above-described steps S401 to S403 are performed.

<정책서버(130)에서 이루어지는 과정><Process Made in Policy Server 130>

도6의 흐름도를 참조하여 정책서버(130)에서 이루어지는 과정에 대하여 설명한다.A process performed by the policy server 130 will be described with reference to the flowchart of FIG. 6.

1. 요구수신<S601>1. Received request <S601>

인증서버(120)로부터 사용자를 구분할 수 있는 사용자 정보 및 사용자에게 적용될 보안정책의 요구를 수신한다.The authentication server 120 receives user information for distinguishing a user and a request for a security policy to be applied to the user.

2. 검색<S602>2. Search <S602>

단계S601에서 수신한 요구에 따라 사용자에게 적용될 보안정책을 검색한다.The security policy to be applied to the user is searched for according to the request received in step S601.

3. 보안정책 전송<S603>3. Security policy transmission <S603>

단계 S602에서 검색이 완료되어 사용자에게 적용될 보안정책을 찾으면, 해당 보안정책을 인증서버(120)로 전송한다.When the search is completed in step S602 to find a security policy to be applied to the user, the security policy is transmitted to the authentication server 120.

<전체적인 과정><Overall process>

계속하여 도7의 흐름도를 참조하여 상기한 개별 구성에서 이루어지는 각 과정들이 전체적으로 결합된 상태의 과정을 설명하되, 설명의 편의를 위해 각 단계에 대한 부호는 전술하였던 동일 단계와 다르게 표기한다.Subsequently, with reference to the flowchart of FIG. 7, the processes of the respective processes in the above-described individual configurations will be described as a whole. For the convenience of description, the reference numerals of the steps are different from the same steps described above.

1. 클라이언트단말기(110)에 보안정책이 존재하지 않는 경우1. If no security policy exists in the client terminal (110)

1-1. 사용자 인증 정보 전송 및 수신<S701>1-1. Sending and Receiving User Authentication Information <S701>

네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송하고, 인증서버(120)는 클라이언트단말기(110)로부터 보내져 온 사용자 인증 정보를 수신한다.The client terminal 110 attempting to access the network 140 transmits user authentication information to the authentication server 120, and the authentication server 120 receives user authentication information sent from the client terminal 110.

1-2. 사용자 인증<S702>1-2. User Authentication <S702>

인증서버(120)는 단계 S701에서 수신된 사용자 인증 정보로 사용자를 인증한다.The authentication server 120 authenticates the user with the user authentication information received in step S701.

1-3. 보안정책 요구 및 수신1<S703>1-3. Security policy request and reception 1 <S703>

인증서버(120)는 인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.The authentication server 120 requests the security policy for the user by sending user information to distinguish the user to the policy server 130 to obtain a security policy to be applied to the authenticated user, the policy server 130 receives such a request do.

1-4. 보안정책 전송 및 수신1<S704>1-4. Sending and Receiving Security Policy 1 <S704>

정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화된 형태로 인증서버(120)로 전성하고, 인증서버(120)는 해당 보안정책을 수신한다.The policy server 130 searches for and finds a security policy to be applied to the user, then transfers the policy to the authentication server 120 in a scripted form, and the authentication server 120 receives the security policy.

1-5. 보안정책 전송 및 접수<S705>1-5. Security policy transmission and reception <S705>

인증서버(120)는 정책서버(130)로부터 수신한 보안정책을 클라이언트단말기(110)로 전송하고, 클라이언트단말기(110)는 수신한 보안정책을 접수한다. 여기서 MS NAP에 의하면 클라이언트단말기(110)로 보내질 패킷의 사이즈는 최대 4Kbyte를 넘어설 수 없게 되어 있다. 따라서 보안정책의 사이즈가 4Kbyte를 넘게 되면 보 안정책을 4Kbyte보다 작은 다수의 패킷으로 분리한 후 순서적으로 보내게 되고, 클라이언트단말기(110)에서는 인증서버(120)로부터 순서적으로 보내어져 오는 다수의 패킷들을 순차적으로 수신하게 된다. 따라서 클라이언트단말기(110)가 분리되어 오는 다수의 패킷들이 모두 수신될 때까지 상기한 단계 S701 내지 S705가 반복된다. 1-6. 보안정책 수행<S706>The authentication server 120 transmits the security policy received from the policy server 130 to the client terminal 110, and the client terminal 110 receives the received security policy. According to the MS NAP, the size of a packet to be sent to the client terminal 110 cannot exceed 4 Kbytes. Therefore, if the size of the security policy exceeds 4Kbyte, the security policy is divided into a plurality of packets smaller than 4Kbyte and then sent in sequence, and the client terminal 110 is sent in sequence from the authentication server 120 Receive packets sequentially. Therefore, the above steps S701 to S705 are repeated until the plurality of packets from which the client terminal 110 is separated are received. 1-6. Security Policy Execution <S706>

클라이언트단말기(110)는 접수된 보안정책을 수행한다.The client terminal 110 executes the received security policy.

1-7. 보안정책 수행 결과 전송 및 수신<S707>1-7. Sending and receiving security policy execution result <S707>

클라이언트단말기(110)는 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송하고, 인증서버(120)는 이를 수신한다. 이 때, 보내어지는 정보는 해시(Hash)값으로 변환되어 보내어지게 된다.The client terminal 110 transmits the user authentication information such as the window login ID, IP, MAC, security policy execution result, the executed policy information to the authentication server 120, and the authentication server 120 receives this. At this time, the information to be sent is converted into a hash value and sent.

1-8. 보안정책 요구 및 수신2<S708>1-8. Security policy request and reception2 <S708>

인증서버(120)는 인증된 사용자에게 적용된 보안정책을 확인하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.The authentication server 120 requests the security policy for the user by sending user information that can distinguish the user to the policy server 130 to check the security policy applied to the authenticated user, and the policy server 130 requests such a request. Receive.

1-9. 보안정책 전송 및 수신2<S709>1-9. Security Policy Transmit and Receive 2 <S709>

정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화 형태로 인증서버(120)로 전송하고, 인증서버(120)는 해당 보안정책을 수신한다.The policy server 130 searches for and finds a security policy to be applied to the user, and transmits the policy to the authentication server 120 in a scripted form, and the authentication server 120 receives the security policy.

1-10. 보안정책 결과 판단 및 보안정책 유효성 검토<S710>1-10. Judgment of security policy result and review of security policy validity <S710>

인증서버(120)는 보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하고, 이에 더불어, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보를 비교하여 클라이언트단말기(110)에서 수행한 보안정책의 유효성을 검토한다.The authentication server 120 determines whether the client terminal 110 is authorized to access the network 140 by reviewing the security policy performance result, and, in addition, the security policy information and the policy server received from the client terminal 110. The security policy information received from the 130 is compared to examine the validity of the security policy performed by the client terminal 110.

1-11. 네트워크(140) 접속 통제<S711>1-11. Network 140 access control <S711>

단계 S710에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다. 만일 보안정책 정보가 일치하지 않는 경우에는 상기한 단계 S701 내지 S711을 반복한다.In operation S710, when the client terminal 110 complies with the security policy and the security policy information received from the client terminal 110 and the security policy information received from the policy server 130 match, the network of the client terminal 110 ( 140) allow the connection, otherwise limit the network 140 connection of the client terminal 110 to the isolation zone 141 only. If the security policy information does not match, the above steps S701 to S711 are repeated.

2. 클라이언트단말기(110)에 보안정책이 존재하는 경우2. When a security policy exists in the client terminal 110

클라이언트단말기(110)에 보안정책이 존재하는 경우에는 상기한 단계 S707 내지 S711만을 수행하게 된다.When the security policy exists in the client terminal 110, only the above steps S707 to S711 are performed.

위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.As described above, the detailed description of the present invention has been made by the embodiments with reference to the accompanying drawings. However, since the above-described embodiments have only been described with reference to preferred examples of the present invention, the present invention is limited to the above embodiments. It should not be understood that the scope of the present invention is to be understood by the claims and equivalent concepts described below.

도1은 본 발명의 실시예에 따른 MS NAP 기반용 네트워크 접속 통제 방법이 적용되는 보안시스템에 대한 블록도이다.1 is a block diagram of a security system to which the MS NAP-based network access control method according to an embodiment of the present invention is applied.

도2 및 도3은 도1의 보안시스템에 적용된 클라이언트단말기에서 이루어지는 과정에 대한 흐름도이다.2 and 3 are flowcharts of processes performed in the client terminal applied to the security system of FIG.

도4 및 도5는 도1의 보안시스템에 적용된 인증서버에서 이루어지는 과정에 대한 흐름도이다.4 and 5 are flowcharts of processes performed in the authentication server applied to the security system of FIG.

도6은 도1의 보안시스템에 적용된 정책서버에서 이루어지는 과정에 대한 흐름도이다.6 is a flowchart illustrating a process performed in a policy server applied to the security system of FIG.

도7은 본 발명에 따른 MS NAP 기반용 네트워크 접속 통제 방법을 설명하기 위한 흐름도이다.7 is a flowchart illustrating a method for controlling network access based on MS NAP according to the present invention.

Claims (6)

인증서버를 매개로 정책서버에서 사용자가 인증된 클라이언트단말기로 해당 사용자에 대한 정책을 제공하는 A단계;A step of providing a policy for the user to the client terminal authenticated by the user in the policy server via the authentication server; 상기 클라이언트단말기에서 정책을 수행한 후 정책 수행 결과 및 수행한 정책 정보를 상기 인증서버로 보내면, 상기 인증서버에서 해당 사용자에 대한 정책 정보를 상기 정책서버를 통해 확인한 후 상기 클라이언트단말기에서 수행한 정책 정보와 상기 정책서버에서 확인한 정책 정보가 일치하는지를 검사하여 상기 클라이언트단말기의 네트워크 접속 여부를 판단하는 B단계; 및After executing the policy in the client terminal and sending the policy execution result and the executed policy information to the authentication server, the policy information for the user in the authentication server through the policy server after checking the policy information for the user through the policy server Determining whether the client terminal is connected to the network by checking whether the policy information checked by the policy server is identical to the policy information; And 상기 B단계에서의 판단 결과에 따라 상기 인증서버에서 상기 클라이언트단말기의 네트워크 접속을 통제하는 C단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP(네트워크 접속 보호) 기반용 네트워크 접속 통제 방법.A step C of controlling the network connection of the client terminal in the authentication server according to the determination result of the step B; Network access control method for Microsoft NAP (Network Access Protection) based, comprising a. 제1항에 있어서,The method of claim 1, 상기 클라이언트단말기에 정책이 존재하지 않으면 상기 A단계 및 B단계를 수행하고, 상기 클라이언트단말기에 정책이 존재하면 상기 B단계를 수행하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.And performing step A and step B if there is no policy in the client terminal, and performing step B if there is a policy in the client terminal. 제1항에 있어서,The method of claim 1, 상기 A단계는,Step A, 상기 클라이언트단말기에서 상기 인증서버로 해당 사용자에 대한 인증정보를 전송하는 A1단계;A1 step of transmitting the authentication information for the user from the client terminal to the authentication server; 상기 인증서버에서 해당 사용자를 인증한 후 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 A2단계;A2 step of requesting that the policy server has a policy for the user after authenticating the user in the authentication server; 상기 정책서버에서 해당 사용자에 대한 정책이 존재하면 상기 인증서버로 해당 정책을 전송하는 A3단계; 및A3 step of transmitting the policy to the authentication server if there is a policy for the user in the policy server; And 상기 인증서버에서 상기 클라이언트단말기로 해당 정책을 전송하는 A4단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.A4 step of transmitting the policy from the authentication server to the client terminal; Microsoft NAP-based network access control method comprising a. 제3항에 있어서,The method of claim 3, 상기 클라이언트단말기로 전송되는 정책은 다수개의 패킷으로 나뉘어져 순차적으로 전송되는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법. The policy transmitted to the client terminal is divided into a plurality of packets, characterized in that for transmitting sequentially to the Microsoft NAP-based network access control method. 제4항에 있어서,The method of claim 4, wherein 상기 다수개의 패킷이 상기 클라이언트단말기로 모두 전송될 때까지 상기 A단계를 반복하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.And repeating step A until all of the plurality of packets are transmitted to the client terminal. 제1항에 있어서,The method of claim 1, 상기 B단계는,Step B, 상기 클라이언트단말기에서 해당 정책을 수행하는 B1단계;Step B1 of performing a corresponding policy in the client terminal; 상기 클라이언트단말에서 정책을 수행한 결과와 적용된 정책 정보를 상기 인증서버로 전송하는 B2단계;A step B2 of transmitting the result of executing the policy in the client terminal and the applied policy information to the authentication server; 상기 인증서버에서 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 B3단계;A step B3 of requesting confirmation from the authentication server to the policy server whether a policy exists for the user; 상기 정책서버는 해당 정책이 존재하면 해당 정책을 상기 인증서버로 전송하는 B4단계; 및The policy server transmits the policy to the authentication server if the policy exists; And 상기 인증서버가 상기 B2단계에서 받은 정책 정보와 상기 B3단계에서 받은 정책 정보가 일치하는지를 검사하는 B5단계; 를 포함하는 것을 특징으로 하는 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법.Step B5 of the authentication server checking whether the policy information received in step B2 and the policy information received in step B3 match; Microsoft NAP-based network access control method comprising a.
KR1020070118823A 2007-11-20 2007-11-20 Network access control method based on microsoft network access protection KR100939300B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070118823A KR100939300B1 (en) 2007-11-20 2007-11-20 Network access control method based on microsoft network access protection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070118823A KR100939300B1 (en) 2007-11-20 2007-11-20 Network access control method based on microsoft network access protection

Publications (2)

Publication Number Publication Date
KR20090052225A true KR20090052225A (en) 2009-05-25
KR100939300B1 KR100939300B1 (en) 2010-01-28

Family

ID=40860086

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070118823A KR100939300B1 (en) 2007-11-20 2007-11-20 Network access control method based on microsoft network access protection

Country Status (1)

Country Link
KR (1) KR100939300B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447226B1 (en) * 2012-11-30 2014-10-08 한국전자통신연구원 Method for controlling device in smart terminal and smart terminal using the same

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060250968A1 (en) 2005-05-03 2006-11-09 Microsoft Corporation Network access protection
US7793096B2 (en) 2006-03-31 2010-09-07 Microsoft Corporation Network access protection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447226B1 (en) * 2012-11-30 2014-10-08 한국전자통신연구원 Method for controlling device in smart terminal and smart terminal using the same

Also Published As

Publication number Publication date
KR100939300B1 (en) 2010-01-28

Similar Documents

Publication Publication Date Title
US11070591B2 (en) Distributed network application security policy enforcement
US7592906B1 (en) Network policy evaluation
US7774824B2 (en) Multifactor device authentication
JP3742056B2 (en) Wireless network access authentication technology
KR101361161B1 (en) System and method for reinforcing authentication using context information for mobile cloud
US9774633B2 (en) Distributed application awareness
US20060161770A1 (en) Network apparatus and program
WO2018148058A1 (en) Network application security policy enforcement
US20110239276A1 (en) Method and system for controlling context-based wireless access to secured network resources
KR100882354B1 (en) Network authentication apparatus and method using integrity information of platform
US20060224897A1 (en) Access control service and control server
US7496949B2 (en) Network system, proxy server, session management method, and program
CN102104592A (en) Session migration between network policy servers
EP2846586A1 (en) A method of accessing a network securely from a personal device, a personal device, a network server and an access point
US11330435B2 (en) Distributed ledger systems for authenticating LTE communications
WO2023065969A1 (en) Access control method, apparatus, and system
JP2022519433A (en) Zero Trust Wireless Surveillance Systems and Methods for Behavior-Based Monitoring of Radio Frequency Environments
KR20030053280A (en) Access and Registration Method for Public Wireless LAN Service
CN103069767A (en) Consigning authentication method
CN102972005A (en) Consigning authentication method
KR100939300B1 (en) Network access control method based on microsoft network access protection
US20190289014A1 (en) Methods and Apparatus for Controlling Application-Specific Access to a Secure Network
JPH11203248A (en) Authentication device and recording medium for storing program for operating the device
RU2008109223A (en) ENSURING AN AGREED ACCESS TO THE FIREWALL WITH INFORMATION ON THE APPLICATION
CN115623013A (en) Strategy information synchronization method, system and related product

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160111

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180111

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190104

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 11