KR20090052225A - Network access control method based on microsoft network access protection - Google Patents
Network access control method based on microsoft network access protection Download PDFInfo
- Publication number
- KR20090052225A KR20090052225A KR1020070118823A KR20070118823A KR20090052225A KR 20090052225 A KR20090052225 A KR 20090052225A KR 1020070118823 A KR1020070118823 A KR 1020070118823A KR 20070118823 A KR20070118823 A KR 20070118823A KR 20090052225 A KR20090052225 A KR 20090052225A
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- client terminal
- user
- server
- authentication server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 마이크로소프트 NAP(Network access protection) 기반용 네트워크 접속 통제 방법에 관한 것으로, 네트워크에 접속하고자 하는 클라이언트단말기에서는 정책을 수행하고, 인증서버에서는 인증된 사용자의 정책을 확인한 후 클라이언트단말기에서 받은 정책 수행 결과 및 수행된 정책 정보와 정책서버로부터 받은 해당 사용자에 대한 정책 정보를 비교 검사하여 클라이언트단말기의 네트워크 접속을 통제하며, 정책서버는 인증서버에 연결되어 사용자별로 정책을 제공하거나 관리함으로써 MS(마이크로소프트) NAP의 정책 확장을 꾀할 수 있어서 한층 강화된 네트워크 보안을 도모할 수 있으며, 더 나아가 MS NAP의 규격화된 패킷 사이즈의 제한보다 더 큰 사이즈의 정책까지도 확장 가능하게 하여 MS NAP의 정책 확장을 용이하게 도모할 수 있도록 한다.The present invention relates to a network access control method based on Microsoft Network Access Protection (NAP), which performs a policy on a client terminal to access a network, and checks a policy of an authenticated user on an authentication server, and then receives the policy received from the client terminal. Controls the client terminal's network access by comparing the execution result and the policy information about the user received from the policy server, and the policy server is connected to the authentication server to provide or manage policies for each user. Soft) NAP's policy expansion can be implemented to enhance network security. Furthermore, it is easy to extend MS NAP's policy by extending policy even larger than MS NAP's standardized packet size limit. To make it happen.
NAP, 인증, 정책, 네트워크 보안 NAP, authentication, policy, network security
Description
본 발명은 네트워크 접속 통제 방법에 관한 것으로, 특히 MS(Microsoft, 마이크로소프트) NAP(Network access protection, 네트워크 접근 보호)의 정책 확장에 관한 것이다.The present invention relates to a network access control method, and more particularly, to a policy extension of MS (Microsoft, Microsoft) NAP (Network access protection).
인터넷의 발달은 정보의 교환을 쉽게 달성할 수 있도록 하였지만, 그 만큼 정보의 유출과 같은 보안사고의 개연성을 높이고 있다. 특히 근자에 들어서는 무선인터넷의 발달로 인하여 네트워크로 신분이 불분명한 자에 의한 접속 가능성이 더욱 쉬워져 보안사고의 개연성을 한층 더 높이고 있다.Although the development of the Internet has made it possible to easily exchange information, the probability of security accidents such as the leakage of information is increasing. In particular, due to the development of the wireless Internet, the possibility of access by an unidentified person on a network becomes easier, thereby increasing the probability of a security accident.
따라서 네트워크 보안과 관련된 업체들은 보안사고를 방지하기 위해 다양한 기술들을 개발하고 있는 데, 그 중 마이크로소프트사는 NAP라는 기술을 개발 및 제안하였다.Therefore, companies related to network security are developing various technologies to prevent security accidents. Among them, Microsoft developed and proposed a technology called NAP.
NAP기술은 네트워크에 접속하기 위한 클라이언트에 대한 보안정책에 따라 해 당 네트워크 접속 혹은 통신 시 그 보안상태(또는 건강상태. 이하 동일함)를 점검하여 정책적인 요구사항이 부합되기 전까지는 클라이언트의 네트워크 접속을 제한하는 것을 근간으로 한다.NAP technology checks the security status (or health status, the same below) during the network connection or communication according to the security policy for the client to access the network, until the client's network connection is met. It is based on limiting
위와 같은 NAP기술을 도입하게 되면 다음과 같은 기능 및 이점이 있다.The introduction of the above NAP technology has the following features and benefits.
우선 사용자 관점에서는, 네트워크 자원을 이용하기 위해서 최초 네트워크 접속 시, 자신의 컴퓨터에 설치된 NAP 클라이언트가 시스템의 보안상태를 자동적으로 점검하여 기 설정된 보안상태 정책에 부합하는지 여부를 판별하게 된다. 그리고 자신의 컴퓨터가 정책에 부합한다면 자신에게 부여된 네트워크 사용권한 만큼 허가된 네트워크 자원을 사용할 수 있게 되지만, 그렇지 않을 경우, 쿼런틴존(Quarantine zone)으로 만의 접근만 허용되는 NAP client with limited access 상태가 된다. 따라서 자신의 컴퓨터에 바이러스 엔진이 업데이트가 되지 않아 네트워크로의 접속이 제한된 경우 사용자는 바이러스 엔진을 업데이트시켜야 하는 데, 이 때 제한 접속된 쿼런틴존에서 바이러스 엔진을 수동 또는 자동으로 업데이트시킬 수 있도록 구현할 수도 있다. 또한, 네트워크 접속이 허가된 이후라도 NAP 클라이언트에 의한 보안상태 점검으로 지속적인 보안관리를 받게 된다. 이러한 점은 사용자 본인의 의지와는 무관하게 보안정책을 준수해야만 네트워크 접속이 허용되게 하여 네트워크 보안을 강화할 수 있게 한다.First, from a user's point of view, when accessing a network for the first time, the NAP client installed in its own computer automatically checks the security state of the system to determine whether it meets the preset security state policy. If your computer meets the policy, you will be able to use authorized network resources as much as the network permissions granted to you. Otherwise, you will have a NAP client with limited access that only allows access to the quarantine zone. do. Therefore, if the user has limited access to the network because the virus engine is not updated on his computer, the user needs to update the virus engine. At this time, the virus engine can be manually or automatically updated in the restricted access quota zone. have. In addition, even after the network access is authorized, the security status check by the NAP client provides continuous security management. This makes it possible to strengthen network security by allowing network access only if the security policy is followed regardless of the user's intention.
다음으로 보안관리자 관점에서는 네트워크 운영 혹은 보안관점의 분석 레포트를 손쉽게 출력하여 차기 네트워크 보안 계획에 근거자료로써 활용할 수 있게 된다. 그리고 과거 사용자에게 일임하여 온 네트워크 접속 단말기에 대한 보안을 총 체적으로 강제할 수 있게 되어, 사용자의 무관심 혹은 실수 등에 의한 내부 네트워크에 대한 보안위협을 효과적으로 통제할 수 있게 된다.Next, from a security manager's point of view, an analysis report of network operation or security perspective can be easily printed and used as a basis for the next network security plan. In addition, it is possible to collectively enforce the security of the network access terminal that has been assigned to the user in the past, thereby effectively controlling the security threat to the internal network due to user's indifference or mistake.
그러나 MS NAP에서 기본적으로 제공되는 정책은 사용자 구분 없이 획일적으로 모든 클라이언트단말기에 적용되기 때문에 사용자에 따라서는 보안구멍(예를 들어 설계직사원이 인사과의 인사정책 자료를 훔쳐볼 수 있는 등의 것)이 발생할 소지가 매우 높다.However, since the policy provided by MS NAP is applied uniformly to all client terminals without user identification, some security holes (for example, design staff can steal personnel policy data from human resources department). It is very likely to occur.
또한, MS NAP에서는 패킷에 포함된 필드 중에 정책 데이터를 넣을 수 있는 필드의 사이즈가 4Kbyte로 제한되어 있어서, 정책 사이즈가 4Kbyte를 넘으면 정책으로 적용할 수 없는 곤란함이 있는데, 이러한 점은 다양한 정책 적용의 제한을 가져와 보안구멍의 발생을 방지하는데 제한요소로 작용한다.In addition, in MS NAP, the size of the field in which the policy data can be put in the packet included in the packet is limited to 4 Kbytes. Therefore, if the policy size exceeds 4 Kbytes, it cannot be applied as a policy. It has a limitation of and acts as a limiting factor to prevent the occurrence of security hole.
본 발명은, 상술한 문제점을 해결하기 위해 안출된 것으로, MS NAP 기반에서 사용자별로 보안정책을 구분하여 적용할 수 있게 하고, 제한된 사이즈보다 큰 사이즈의 정책 적용을 가능하게 하는 기술을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems, and an object of the present invention is to provide a technology that enables application of a security policy for each user based on MS NAP, and a policy application of a size larger than a limited size. It is done.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 마이크로소프트 NAP 기반용 네트워크 접속 통제 방법은, 인증서버를 매개로 정책서버에서 사용자가 인증된 클라이언트단말기로 해당 사용자에 대한 정책을 제공하는 A단계; 상기 클라이언트단말기에서 정책을 수행한 후 정책 수행 결과 및 수행한 정책 정보를 상기 인증서 버로 보내면, 상기 인증서버에서 해당 사용자에 대한 정책 정보를 상기 정책서버를 통해 확인한 후 상기 클라이언트단말기에서 수행한 정책 정보와 상기 정책서버에서 확인한 정책 정보가 일치하는지를 검사하여 상기 클라이언트단말기의 네트워크 접속 여부를 판단하는 B단계; 및 상기 B단계에서의 판단 결과에 따라 상기 인증서버에서 상기 클라이언트단말기의 네트워크 접속을 통제하는 C단계; 를 포함하는 것을 특징으로 한다.Microsoft NAP-based network access control method according to the present invention for achieving the above object, A step of providing a policy for the user to the client terminal authenticated user in the policy server via the authentication server; After executing the policy in the client terminal and sending the policy execution result and the performed policy information to the certificate server, the policy server checks the policy information for the user through the policy server and then the policy information performed by the client terminal. Determining whether the client terminal accesses the network by checking whether the policy information checked by the policy server matches; And controlling the network connection of the client terminal in the authentication server according to the determination result in the step B; Characterized in that it comprises a.
상기 클라이언트단말기에 정책이 존재하지 않으면 상기 A단계 및 B단계를 수행하고, 상기 클라이언트단말기에 정책이 존재하면 상기 B단계를 수행하는 것을 또 하나의 특징으로 한다.If a policy does not exist in the client terminal, steps A and B are performed, and if a policy exists in the client terminal, step B is performed.
상기 A단계는, 상기 클라이언트단말기에서 상기 인증서버로 해당 사용자에 대한 인증정보를 전송하는 A1단계; 상기 인증서버에서 해당 사용자를 인증한 후 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 A2단계; 상기 정책서버에서 해당 사용자에 대한 정책이 존재하면 상기 인증서버로 해당 정책을 전송하는 A3단계; 및 상기 인증서버에서 상기 클라이언트단말기로 해당 정책을 전송하는 A4단계; 를 포함하는 것을 더 구체적인 특징으로 한다.The step A, step A1 of transmitting the authentication information for the user from the client terminal to the authentication server; A2 step of requesting that the policy server has a policy for the user after authenticating the user in the authentication server; A3 step of transmitting the policy to the authentication server if there is a policy for the user in the policy server; And transmitting the corresponding policy from the authentication server to the client terminal. It includes a more specific feature to include.
상기 클라이언트단말기로 전송되는 정책은 다수개의 패킷으로 나뉘어져 순차적으로 전송되는 것을 또 하나의 특징으로 한다.The policy transmitted to the client terminal may be divided into a plurality of packets, and may be sequentially transmitted.
상기 다수개의 패킷이 상기 클라이언트단말기로 모두 전송될 때까지 상기 A단계를 반복하는 것을 또 하나의 특징으로 한다.It is another feature that the step A is repeated until all of the plurality of packets are transmitted to the client terminal.
상기 B단계는, 상기 클라이언트단말기에서 해당 정책을 수행하는 B1단계; 상 기 클라이언트단말에서 정책을 수행한 결과와 적용된 정책 정보를 상기 인증서버로 전송하는 B2단계; 상기 인증서버에서 상기 정책서버로 해당 사용자에 대한 정책이 존재하는지의 확인을 요구하는 B3단계; 상기 정책서버는 해당 정책이 존재하면 해당 정책을 상기 인증서버로 전송하는 B4단계; 및 상기 인증서버가 상기 B2단계에서 받은 정책 정보와 상기 B3단계에서 받은 정책 정보가 일치하는지를 검사하는 B5단계; 를 포함하는 것을 더 구체적인 특징으로 한다.Step B, Step B1 to perform the policy in the client terminal; A step B2 of transmitting the result of the policy in the client terminal and the applied policy information to the authentication server; A step B3 of requesting confirmation from the authentication server to the policy server whether a policy exists for the user; The policy server transmits the policy to the authentication server if the policy exists; And step B5, wherein the authentication server checks whether the policy information received in step B2 and the policy information received in step B3 match. It includes a more specific feature to include.
위와 같은 본 발명에 따르면, MS NAP 기반에서도 사용자별로 차별화된 다양한 보안정책이 적용될 수 있으며, 규격화된 사이즈보다 큰 사이즈의 보안정책도 적용할 수 있어서 네트워크 보안을 한층 더 강화시킬 수 있는 효과가 있다.According to the present invention as described above, various security policies differentiated for each user can be applied even in the MS NAP-based, it is possible to apply a security policy of a size larger than the standardized size can further enhance the network security.
이하에서는 상술한 바와 같은 본 발명에 따른 마이크로소프트 네트워크 접속 보호(이하 MS NAP) 기반용 네트워크 접속 통제 방법에 대한 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.Hereinafter, with reference to the accompanying drawings, a preferred embodiment of a network access control method based on the Microsoft network access protection (MS NAP) based on the present invention as described above will be described.
<기본 보안시스템 구조에 대한 설명><Description of Basic Security System Structure>
본 발명에 따른 MS NAP 기반용 네트워크(140) 접속 통제 방법은 도1에 도시된 기본 보안시스템 구조에서 이루어진다.MS NAP-based
도1의 블록도에 도시된 보안시스템은, 네트워크(140)에 접속하고자 하는 클라이언트단말기(110), 사용자를 인증하는 인증서버(120), 보안정책을 관리 및 지원 하는 정책서버(130) 등으로 구성된다.The security system shown in the block diagram of FIG. 1 includes a
클라이언트단말기(110)에는 MS NAP 기반용 SHA(111)가 탑재되어 있으며, 윈도우 로그인 ID, IP, MAC 등과 같은 사용자 인증 정보를 인증서버(120)로 전송하고, 보안정책 을 수행하여 보안정책의 수행 결과 및 수행한 정책 정보를 인증서버(120)로 전송한다. 그리고 보안정책의 준수여부에 따라서 네트워크(140)에 접속하거나 격리존(141)으로만 접속되게 된다.The
인증서버(120)에는 MS NAP 기반용 SHV(121)가 탑재되어 있으며, 클라이언트단말기(110)로부터 수신한 사용자 인증 정보로 사용자를 인증한 후 정책서버(130)를 통해 사용자에 대한 정책이 존재하는지를 확인한 다음 정책서버(130)로부터 사용자에 대한 정책을 수신하여 클라이언트단말기(110)로 보내는 역할을 수행한다. 그리고 클라이언트단말기(110)로부터 받은 보안정책의 수행 결과 및 수행한 정책 정보를 정책서버(130)로부터 받은 정책 정보와 비교 검사하여 클라이언트단말기(110)의 네트워크(140) 접속 여부를 판단 및 통제한다.The
정책서버(130)는 사용자별 또는 그룹별(인사그룹, 설계그룹, 영업그룹 등)로 차별화되어 적용될 보안정책을 가지고 있으며, 인증서버(120)의 요구에 의해 해당 보안정책을 인증서버(120)로 제공하는 역할을 수행한다.The
<클라이언트단말기(110)에서 이루어지는 과정><Process made in the
도2 및 도3의 흐름도를 참조하여 클라이언트단말기(110)에서 이루어지는 과정에 대하여 설명한다.A process performed in the
1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도2 참조)1. If a security policy exists in the client terminal 110 (see Fig. 2)
1-1. 보안정책 수행<S201>1-1. Security policy enforcement <S201>
클라이언트단말기(110)는 현재 적용되어 있는 보안정책을 수행한다. 즉, 특정 바이러스 엔진이 업데이트되어 있는지, 시스템 보안 패치가 설치되어 있는지와 같은 보안정책에 따라 해당 사안들을 확인하는 것이다.The
1-2. 보안정책 수행 결과 전송<S202>1-2. Sending result of security policy performance <S202>
그리고 네트워크(140)에 접속하기 위하여 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송한다.In order to access the
1-3. 네트워크(140) 접속/제한<S203>1-3.
단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 허용되면 사용자에게 허용된만큼의 네트워크(140) 자원에 접근할 수 있는 범위 내에서 네트워크(140)에 접속된다. 물론 후술하겠지만 클라이언트단말기(110)가 네트워크(140)에 유효하게 접속될 수 있으려면 클라이언트단말기(110)에 존재하는 보안정책과 정책서버(130)에서 사용자에 대해 가지고 있는 보안정책이 동일할 것이 필요하다. 그리고 만일 단계 S202 후 인증서버(120)로부터 네트워크(140) 접속이 제한되면 격리존(141)으로만 접속된다.If the
2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도3 참조)2. If there is no security policy in the client terminal 110 (see Figure 3)
2-1. 사용자 인증 정보 전송<S301>2-1. Send user authentication information <S301>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송한다.The
2-2. 보안정책 수신<S302>2-2. Receive Security Policy <S302>
단계 S301 후 인증서버(120)를 경유하여 정책서버(130)로부터 오는 스크립트(script)화된 보안정책을 수신한다.After step S301 receives a scripted security policy from the
그 후 전술한 단계S201 내지 단계 S203을 수행한다.Thereafter, the above-described steps S201 to S203 are performed.
<인증서버(120)에서 이루어지는 과정><Process made in the
도4 및 도5의 흐름도를 참조하여 인증서버(120)에서 이루어지는 과정에 대하여 설명한다.A process performed in the
1. 클라이언트단말기(110)에 보안정책이 존재할 경우(도4 참조)1. If a security policy exists in the client terminal 110 (see Fig. 4)
1-1. 정보 수신<S401>1-1. Receive Information <S401>
네트워크(140)에 접속하고자 하는 클라이언트단말기(110)로부터 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 수신한다.Receives user authentication information, security policy execution result, and executed policy information from the
1-2. 결과 판단 및 보안정책 유효성 검토<S402>1-2. Judgment of results and review of security policy validity <S402>
보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하는데, 이 때 클라이언트단말기(110)로부터 수신한 보안정책 정보의 유효성을 검토하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책 정보를 요구하여 수신한 다음 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안 정책 정보를 비교한다.Reviewing the result of performing the security policy, it is determined whether the
1-3. 네트워크(140) 접속 통제<S403>1-3.
단계 S402에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다.In operation S402, if the
2. 클라이언트단말기(110)에 보안정책이 존재하지 아니할 경우(도5 참조)2. If there is no security policy in the client terminal 110 (see Fig. 5)
2-1. 사용자 인증 정보 수신<S501>2-1. Receive User Authentication Information <S501>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)로부터 사용자 인증 정보를 수신한다.User authentication information is received from the
2-2. 사용자 인증<S502>2-2. User Authentication <S502>
단계S501에 의해 수신된 사용자 인증 정보로 사용자를 인증한다.The user is authenticated with the user authentication information received in step S501.
2-3. 보안정책 요구 및 수신<S503>2-3. Security policy request and reception <S503>
인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자에 대한 보안정책을 요구한다. 이 때 사용자를 구분할 수 있는 사용자 정보를 함께 보낸다.In order to obtain a security policy to be applied to the authenticated user, the
2-4. 보안정책 전송<S504>2-4. Security policy transmission <S504>
단계 S503에 의해 정책서버(130)로부터 보안정책을 수신하면 클라이언트단말 기(110)로 해당 보안정책을 보낸다.When the security policy is received from the
이후 전술한 단계 S401 내지 S403을 수행한다.Thereafter, the above-described steps S401 to S403 are performed.
<정책서버(130)에서 이루어지는 과정><Process Made in
도6의 흐름도를 참조하여 정책서버(130)에서 이루어지는 과정에 대하여 설명한다.A process performed by the
1. 요구수신<S601>1. Received request <S601>
인증서버(120)로부터 사용자를 구분할 수 있는 사용자 정보 및 사용자에게 적용될 보안정책의 요구를 수신한다.The
2. 검색<S602>2. Search <S602>
단계S601에서 수신한 요구에 따라 사용자에게 적용될 보안정책을 검색한다.The security policy to be applied to the user is searched for according to the request received in step S601.
3. 보안정책 전송<S603>3. Security policy transmission <S603>
단계 S602에서 검색이 완료되어 사용자에게 적용될 보안정책을 찾으면, 해당 보안정책을 인증서버(120)로 전송한다.When the search is completed in step S602 to find a security policy to be applied to the user, the security policy is transmitted to the
<전체적인 과정><Overall process>
계속하여 도7의 흐름도를 참조하여 상기한 개별 구성에서 이루어지는 각 과정들이 전체적으로 결합된 상태의 과정을 설명하되, 설명의 편의를 위해 각 단계에 대한 부호는 전술하였던 동일 단계와 다르게 표기한다.Subsequently, with reference to the flowchart of FIG. 7, the processes of the respective processes in the above-described individual configurations will be described as a whole. For the convenience of description, the reference numerals of the steps are different from the same steps described above.
1. 클라이언트단말기(110)에 보안정책이 존재하지 않는 경우1. If no security policy exists in the client terminal (110)
1-1. 사용자 인증 정보 전송 및 수신<S701>1-1. Sending and Receiving User Authentication Information <S701>
네트워크(140) 접속을 시도하는 클라이언트단말기(110)는 사용자 인증 정보를 인증서버(120)로 전송하고, 인증서버(120)는 클라이언트단말기(110)로부터 보내져 온 사용자 인증 정보를 수신한다.The
1-2. 사용자 인증<S702>1-2. User Authentication <S702>
인증서버(120)는 단계 S701에서 수신된 사용자 인증 정보로 사용자를 인증한다.The
1-3. 보안정책 요구 및 수신1<S703>1-3. Security policy request and reception 1 <S703>
인증서버(120)는 인증된 사용자에게 적용될 보안정책을 얻기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.The
1-4. 보안정책 전송 및 수신1<S704>1-4. Sending and Receiving Security Policy 1 <S704>
정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화된 형태로 인증서버(120)로 전성하고, 인증서버(120)는 해당 보안정책을 수신한다.The
1-5. 보안정책 전송 및 접수<S705>1-5. Security policy transmission and reception <S705>
인증서버(120)는 정책서버(130)로부터 수신한 보안정책을 클라이언트단말기(110)로 전송하고, 클라이언트단말기(110)는 수신한 보안정책을 접수한다. 여기서 MS NAP에 의하면 클라이언트단말기(110)로 보내질 패킷의 사이즈는 최대 4Kbyte를 넘어설 수 없게 되어 있다. 따라서 보안정책의 사이즈가 4Kbyte를 넘게 되면 보 안정책을 4Kbyte보다 작은 다수의 패킷으로 분리한 후 순서적으로 보내게 되고, 클라이언트단말기(110)에서는 인증서버(120)로부터 순서적으로 보내어져 오는 다수의 패킷들을 순차적으로 수신하게 된다. 따라서 클라이언트단말기(110)가 분리되어 오는 다수의 패킷들이 모두 수신될 때까지 상기한 단계 S701 내지 S705가 반복된다. 1-6. 보안정책 수행<S706>The
클라이언트단말기(110)는 접수된 보안정책을 수행한다.The
1-7. 보안정책 수행 결과 전송 및 수신<S707>1-7. Sending and receiving security policy execution result <S707>
클라이언트단말기(110)는 윈도우 로그인 ID, IP, MAC 등의 사용자 인증 정보, 보안정책 수행 결과, 수행된 정책 정보를 인증서버(120)로 전송하고, 인증서버(120)는 이를 수신한다. 이 때, 보내어지는 정보는 해시(Hash)값으로 변환되어 보내어지게 된다.The
1-8. 보안정책 요구 및 수신2<S708>1-8. Security policy request and reception2 <S708>
인증서버(120)는 인증된 사용자에게 적용된 보안정책을 확인하기 위해 정책서버(130)로 사용자를 구분할 수 있는 사용자 정보를 보내 사용자에 대한 보안정책을 요구하고, 정책서버(130)는 그러한 요구를 수신한다.The
1-9. 보안정책 전송 및 수신2<S709>1-9. Security Policy Transmit and Receive 2 <S709>
정책서버(130)는 사용자에게 적용될 보안정책을 검색하여 찾은 후 해당 정책을 스크립트화 형태로 인증서버(120)로 전송하고, 인증서버(120)는 해당 보안정책을 수신한다.The
1-10. 보안정책 결과 판단 및 보안정책 유효성 검토<S710>1-10. Judgment of security policy result and review of security policy validity <S710>
인증서버(120)는 보안정책 수행 결과를 검토하여 클라이언트단말기(110)가 네트워크(140)에 접속될 권한이 있는지를 판단하고, 이에 더불어, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보를 비교하여 클라이언트단말기(110)에서 수행한 보안정책의 유효성을 검토한다.The
1-11. 네트워크(140) 접속 통제<S711>1-11.
단계 S710에서 클라이언트단말기(110)가 보안정책을 준수하고 있으며, 클라이언트단말기(110)로부터 수신한 보안정책 정보와 정책서버(130)로부터 받은 보안정책 정보가 일치하는 경우 클라이언트단말기(110)의 네트워크(140) 접속을 허용하고, 그렇지 아니할 경우에는 클라이언트단말기(110)의 네트워크(140) 접속을 격리존(141)으로만 제한시킨다. 만일 보안정책 정보가 일치하지 않는 경우에는 상기한 단계 S701 내지 S711을 반복한다.In operation S710, when the
2. 클라이언트단말기(110)에 보안정책이 존재하는 경우2. When a security policy exists in the
클라이언트단말기(110)에 보안정책이 존재하는 경우에는 상기한 단계 S707 내지 S711만을 수행하게 된다.When the security policy exists in the
위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.As described above, the detailed description of the present invention has been made by the embodiments with reference to the accompanying drawings. However, since the above-described embodiments have only been described with reference to preferred examples of the present invention, the present invention is limited to the above embodiments. It should not be understood that the scope of the present invention is to be understood by the claims and equivalent concepts described below.
도1은 본 발명의 실시예에 따른 MS NAP 기반용 네트워크 접속 통제 방법이 적용되는 보안시스템에 대한 블록도이다.1 is a block diagram of a security system to which the MS NAP-based network access control method according to an embodiment of the present invention is applied.
도2 및 도3은 도1의 보안시스템에 적용된 클라이언트단말기에서 이루어지는 과정에 대한 흐름도이다.2 and 3 are flowcharts of processes performed in the client terminal applied to the security system of FIG.
도4 및 도5는 도1의 보안시스템에 적용된 인증서버에서 이루어지는 과정에 대한 흐름도이다.4 and 5 are flowcharts of processes performed in the authentication server applied to the security system of FIG.
도6은 도1의 보안시스템에 적용된 정책서버에서 이루어지는 과정에 대한 흐름도이다.6 is a flowchart illustrating a process performed in a policy server applied to the security system of FIG.
도7은 본 발명에 따른 MS NAP 기반용 네트워크 접속 통제 방법을 설명하기 위한 흐름도이다.7 is a flowchart illustrating a method for controlling network access based on MS NAP according to the present invention.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070118823A KR100939300B1 (en) | 2007-11-20 | 2007-11-20 | Network access control method based on microsoft network access protection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070118823A KR100939300B1 (en) | 2007-11-20 | 2007-11-20 | Network access control method based on microsoft network access protection |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090052225A true KR20090052225A (en) | 2009-05-25 |
KR100939300B1 KR100939300B1 (en) | 2010-01-28 |
Family
ID=40860086
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070118823A KR100939300B1 (en) | 2007-11-20 | 2007-11-20 | Network access control method based on microsoft network access protection |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100939300B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101447226B1 (en) * | 2012-11-30 | 2014-10-08 | 한국전자통신연구원 | Method for controlling device in smart terminal and smart terminal using the same |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060250968A1 (en) | 2005-05-03 | 2006-11-09 | Microsoft Corporation | Network access protection |
US7793096B2 (en) | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
-
2007
- 2007-11-20 KR KR1020070118823A patent/KR100939300B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101447226B1 (en) * | 2012-11-30 | 2014-10-08 | 한국전자통신연구원 | Method for controlling device in smart terminal and smart terminal using the same |
Also Published As
Publication number | Publication date |
---|---|
KR100939300B1 (en) | 2010-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11070591B2 (en) | Distributed network application security policy enforcement | |
US7592906B1 (en) | Network policy evaluation | |
US7774824B2 (en) | Multifactor device authentication | |
JP3742056B2 (en) | Wireless network access authentication technology | |
KR101361161B1 (en) | System and method for reinforcing authentication using context information for mobile cloud | |
US9774633B2 (en) | Distributed application awareness | |
US20060161770A1 (en) | Network apparatus and program | |
WO2018148058A1 (en) | Network application security policy enforcement | |
US20110239276A1 (en) | Method and system for controlling context-based wireless access to secured network resources | |
KR100882354B1 (en) | Network authentication apparatus and method using integrity information of platform | |
US20060224897A1 (en) | Access control service and control server | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
CN102104592A (en) | Session migration between network policy servers | |
EP2846586A1 (en) | A method of accessing a network securely from a personal device, a personal device, a network server and an access point | |
US11330435B2 (en) | Distributed ledger systems for authenticating LTE communications | |
WO2023065969A1 (en) | Access control method, apparatus, and system | |
JP2022519433A (en) | Zero Trust Wireless Surveillance Systems and Methods for Behavior-Based Monitoring of Radio Frequency Environments | |
KR20030053280A (en) | Access and Registration Method for Public Wireless LAN Service | |
CN103069767A (en) | Consigning authentication method | |
CN102972005A (en) | Consigning authentication method | |
KR100939300B1 (en) | Network access control method based on microsoft network access protection | |
US20190289014A1 (en) | Methods and Apparatus for Controlling Application-Specific Access to a Secure Network | |
JPH11203248A (en) | Authentication device and recording medium for storing program for operating the device | |
RU2008109223A (en) | ENSURING AN AGREED ACCESS TO THE FIREWALL WITH INFORMATION ON THE APPLICATION | |
CN115623013A (en) | Strategy information synchronization method, system and related product |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130111 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140110 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150105 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160111 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170110 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180111 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190104 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20191210 Year of fee payment: 11 |