KR20100117338A - 네트워크 기반 단말인증 및 보안방법 - Google Patents

네트워크 기반 단말인증 및 보안방법 Download PDF

Info

Publication number
KR20100117338A
KR20100117338A KR1020090036028A KR20090036028A KR20100117338A KR 20100117338 A KR20100117338 A KR 20100117338A KR 1020090036028 A KR1020090036028 A KR 1020090036028A KR 20090036028 A KR20090036028 A KR 20090036028A KR 20100117338 A KR20100117338 A KR 20100117338A
Authority
KR
South Korea
Prior art keywords
authentication
internet
authentication key
terminal
value
Prior art date
Application number
KR1020090036028A
Other languages
English (en)
Other versions
KR101047994B1 (ko
Inventor
이윤석
박형배
최규민
공경필
유필상
김성구
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to KR1020090036028A priority Critical patent/KR101047994B1/ko
Publication of KR20100117338A publication Critical patent/KR20100117338A/ko
Application granted granted Critical
Publication of KR101047994B1 publication Critical patent/KR101047994B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 광대역 망에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증방법에 관한 것으로, 본 발명에 따르면, 기존의 인터넷 서비스업체(ISP, MSO, SO 등)에서 인터넷 서비스를 제공하기 위해 사용하던 인증방식은 트래픽의 증가나 보안에 취약하다는 한계가 있고, 또한 해당 회선에서 1대의 PC만 인증을 받으면 NAT 장비, 유무선 공유기, 무선 AP 장치에 연결된 다른 단말들은 별도의 인증 없이 사용할 수 있었던 문제점을 개선하여, 기존의 미인증 구간도 인증을 모두 처리할 수 있도록 개선하는 동시에, 기존 방식으로 인증을 받았어도 NAT 장비, 유무선 공유기, 무선 AP 장치에 물려있는 다른 PC나 기타 모든 단말에 대해서도 인증처리를 행하도록 함으로써, 허가받지 않고 타인의 집이나 회사의 NAT 장비, 유무선 공유기, 무선 AP에 불법적으로 접속하여 사용하는 사용자를 차단하여 종래의 보안에 취약했던 문제점을 해결할 수 있는 네트워크에 연결된 모든 사용자 단말에 대한 인증 및 보안 시스템이 제공된다.
ISP, MSO, SO, 케이블모뎀, CMTS, VDSL, 광랜, 인증시스템, L2 스위치, TCP/IP, NAT 장비, 유무선 공유기, 무선 AP 장치, 미인증, 인증, 사설 네트워크, 보안, 인증창, 차단창, NAT(Network Address Translation : 공유기, NAT, VPN, 사 설 IP를 사용하는 네트워크, 기존 NAT의 사전적 의미 등), UserAgent(사용자의 트래픽에 포함되어 있는 OS 정보, 웹브라우저 정보, User-Agent 정보 또는 PC의 상세정보, 기타 패킷을 분석하여 추출해온 식별값 등), HUAMT(Hash UserAgent Manage Table : 가입자ID 또는 그와 유사한 의미를 갖는 값과 매핑된 유일한 UA 인증키를 암호화, 생성, 관리하는 테이블)

Description

네트워크 기반 단말인증 및 보안방법{Terminal authentication and security method via network}
본 발명은 광대역 망에 연결되어 인터넷을 사용하는 모든 단말의 인증방법에 관한 것으로, 더 상세하게는, 본 발명은, 종래의 방식(특별한 인증 없이 인터넷 서비스 업체에서 설치해준 회선을 PC나 모뎀에 연결만 하면 인터넷에 연결되는 방식)에서 인증처리를 하지 못했던 미인증 구간도 모두 인증을 처리할 수 있도록 개선하고, 기존방식(인터넷을 하게 되면 브라우저에 해당 인터넷 서비스 업체의 고객이라고 증명할 수 있는 정보를 입력하면 인터넷이 되는 방식 등)으로 인증을 받았어도 해당 회선에서 1대의 PC만 인증을 받으면 NAT 장비, 유무선 공유기, 무선 AP 장치에 연결된 다른 단말들은 별도의 인증 없이 사용할 수 있었던 문제점을 개선하여, 기존의 인증방식은 물론 NAT 장비, 유무선 공유기, 무선 AP 장치에 물려있는 다른 PC나 기타 모든 단말에 대해서도 인증처리를 행할 수 있게 함으로써, 인터넷을 사용하는 모든 단말에 대하여 인증을 받도록 하여 허가받지 않고 타인의 가정이나 회사 등에 설치된 무선 AP 장치에 불법적으로 접속하여 사용하는 사용자를 차단하여 보안을 강화하는 시스템에 관한 것이다.
종래, 인터넷 서비스업체(ISP, MSO, SO 등)에서 가입자에게 인터넷 서비스를 제공하기 위해 사용하던 방식으로는, 특별한 인증절차 없이 인터넷 서비스 업체에서 설치해준 회선을 PC나 모뎀에 연결만 하면 인터넷에 연결되는 방식인 미인증 방식과, 가입자가 인터넷에 연결하고자 할 때 브라우저에 해당 인터넷 서비스 업체의 고객임을 증명할 수 있는 정보를 입력하고 이것이 정확한 정보인지가 확인되면 인터넷에 연결되는 인증방식의 두 가지 방식이 있다.
이와 같이, 기존의 인터넷 서비스 업체들은 케이블모뎀, CMTS, VDSL, 각종 광랜, 기타 인증시스템 및 인증 없이 L2 스위치를 이용한 미인증 등 여러 가지 방식으로 각자 자신의 인터넷 가입자에게 서비스를 제공해 왔으나, 인터넷 사용자 수의 폭발적인 증가와 함께 가입자의 수가 점점 늘어나고, 그에 따라 NAT 장비, 유무선 공유기, 무선 AP 장치 등의 수요 및 사용이 늘어나면서, 기존의 방식으로는 네트워크 트래픽 증가와 해킹, 바이러스, 웜 등 보안에 취약하다는 한계에 이르게 되었다.
특히, 미인증 구간에서는, 사용자 인증절차가 없으므로 어떤 고객이 인터넷을 사용하고 있는지 알 수 있는 확실한 정보도 없고, 또 있다 하더라도 그러한 정보를 관리하기가 현실적으로 매우 힘든 상태였다.
더욱이, 기존의 인증방식에서는, 사용자 인증을 행한다고 해도 해당 회선에서 1대의 PC만 인증을 받으면 그 이후는 NAT 장비, 유무선 공유기, 무선 AP 장치에 연결된 다른 단말들은 별도의 인증 없이 인터넷을 사용할 수 있다는 문제점이 있었다.
이러한 취약점과 함께, 최근에는 유무선 공유기와 무선 AP 장치도 많이 보급되어 있으므로, 이들 네트워크 장비의 보안이 취약한 경우, 누구나 무선랜카드만 있으면 별도의 인증 없이도 옆집이나 다른 회사의 네트워크에 손쉽게 접속하여 인터넷을 사용할 수 있고, 또한 실제 그러한 사례도 빈번히 발생하고 있다.
이러한 상황에서, 예를 들면, 악의적인 사용자가 자신의 집이나 회사의 네트워크에 침입하여 바이러스 등을 퍼뜨려 시스템을 손상시키거나 개인정보 등을 유출시키는 상황을 가정하면, 그로 인해 발생할 수 있는 피해 등의 문제도 심각해질 뿐만 아니라, 그 당시에 누가 접속을 했는지를 추적하는 것도 거의 불가능할 것임은 쉽게 알 수 있다.
이러한 문제를 해결하기 위해서는, 해당 회선에 연결된 모든 PC 및 기타 단말들을 모두 인증처리를 하여 보안을 강화하고, 실제 인증되지 않은 단말은 인터넷을 접속할 수 없도록 함으로써, 인터넷 업체는 보다 양질의 서비스를 제공할 수 있고 따라서 가입자들도 보다 좋은 환경에서 서비스를 제공받을 수 있을 것이다.
따라서 네트워크에 접속하기 전에 해당 회선에 접속을 시도하는 모든 PC 및 기타 단말들에 대하여 인증을 행하고, 인증되지 않은 단말은 접속할 수 없도록 하는 것이 바람직하나, 아직까지 그러한 요구를 모두 만족시키는 인터넷 서비스는 제공되지 못하고 있는 실정이다.
본 발명은, 상기한 바와 같은 종래의 기술적인 문제점을 해결하기 위한 것으로, 따라서 본 발명의 목적은, 광대역 망에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증을 행하여 기존의 미인증 구간도 인증을 모두 처리할 수 있도록 개선하고, 또한, 기존 방식으로 인증을 받았어도 NAT 장비, 유무선 공유기, 무선 AP 장치에 물려있는 다른 PC나 기타 모든 단말에 대해서도 인증처리를 행함으로써, 인터넷 서비스업체에서는 인터넷 사용자의 실제 단말의 수요를 알 수 있을 뿐만 아니라, 회선에 연결된 모든 단말에 대하여 인증을 행함으로써 허가받지 않고 타인의 집이나 회사의 NAT 장비, 유무선 공유기, 무선 AP 장치에 불법적으로 접속하여 사용하는 사용자도 차단하는 등, 그동안 보안에 취약했던 종래의 인터넷 서비스 방식의 문제점을 해결할 수 있는 네트워크 기반 단말인증 및 보안방법을 제공하고자 하는 것이다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명에 따르면, 네트워크에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증 및 보안을 수행하는 네트워크 기반 단말인증 및 보안방법에 있어서, 클라이언트가 인터넷을 사용할 경우 해당 트래픽을 모니터링 할 수 있는 환경에서 트래픽을 분석하여 인증서버에서 심어놓은 유효한 UA(UserAgent) 인증키가 있는지를 판단하는 단계와, 상기 유효한 UA 인증키가 있는지를 판단하는 단계에서 유효한 UA 인증키가 있다고 판단되면, 인증이 되었다 고 판단하여 인터넷 사용을 허용하고, 유효한 UA 인증키가 없다고 판단되면, 처음으로 인터넷을 사용한다고 판단하여 인터넷 사용을 허용하지 않고 상기 클라이언트의 웹 접속을 상기 인증서버에서 보낸 인증페이지로 리다이렉션 하는 단계와, 상기 인증서버로 리다이렉션 하는 단계에 의해 리다이렉션 된 상기 인증페이지를 통하여 가입자로부터 인증에 필요한 내용을 입력받아 가입자 정보 DB 서버에 전송하여 그 값이 유효한지를 비교 판단하고, 그 값이 유효하지 않으면 상기 인증페이지를 재전송하여 재입력을 요구하고, 그 값이 유효한 경우는, 인증에 필요한 값을 추출하여 해시(Hash) 기반의 가입자ID 와 매핑되는 암호화된 UA 인증키를 생성하고 관리하는 단계와, 생성된 UA 인증키가 인터넷 접속 시마다 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 상기 클라이언트 PC 또는 단말에 상기 UA 인증키 또는 식별값을 삽입하는 단계와, 상기한 각 단계를 사용자가 인터넷을 할 때마다 반복하여 상기 유효한 UA 인증키를 확인함으로써, 네트워크에 연결된 모든 단말에 대하여 인터넷 사용을 허용 및 차단하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법이 제공된다.
여기서, 상기 해시(Hash) 기반의 가입자ID 와 매핑되는 암호화된 UA 인증키를 생성하는 단계는, 가입자 ID, 추출한 구분자, 입력받은 값, 랜덤(Random)한 Key 값, 단말의 일련번호를 알 수 있는 값 등을 조합하여 암호화된 유일한 UA 인증키를 생성하고, HUAMT(Hash UserAgent Manage Table)에 저장하여 관리하는 것을 특징으로 한다.
또한, 상기 UA 인증키 또는 식별값을 삽입하는 단계는, 상기 클라이언트 PC 또는 단말이 인터넷 접속시 HTTP헤더의 User-Agent값을 축출 및 분석하기 위해, 상기 UA 인증키가 인터넷 접속시 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 웹브라우저가 참조하는 OS의 레지스트리 값 또는 설정 파일 또는 그 외 User-Agent 정보가 저장된 위치에 상기 UA 인증키 또는 식별값을 삽입하는 것을 특징으로 한다.
또한, 상기 방법은, HUAMT에 명시된 PC 또는 단말 장치에서 추출된 구분자 또는 단말 일련번호 등의 정보에 인터넷 접속 허용 및 차단 여부를 표시하여, 상기 유효한 UA 인증키가 있는 것으로 확인되었어도 상기 인터넷 접속 허용 및 차단 여부가 차단으로 표시되어 있으면 인터넷 연결을 차단하고 차단페이지로 리다이렉션 하여 차단창을 보여줌으로써, 가입자ID 또는 가입자 구분정보를 기준으로 하나 또는 복수 개의 PC나 단말장치에 대하여 인터넷을 선별적으로 허용 및 차단하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 방법은, 인증된 상기 클라이언트 PC 또는 단말이 다른 장소로 이동하여 인증받은 회선이 아닌 다른 회선으로 연결하는 경우와 같은 다회선 사용자에 대응하기 위해, 상기 클라이언트 PC 또는 단말에 UA 인증키가 이미 존재하는 경우 UA 인증키 추가삽입 여부를 묻는 메시지를 출력하고, 사용자가 'YES'를 선택하면 기존 UA 인증키와 함께 신규 UA 인증키를 추가로 삽입하고, 'NO'를 선택하면 기존 UA 인증키를 삭제하고 신규 UA 인증키만 생성하여 삽입하는 단계를 더 포함하는 것을 특징으로 한다.
상기한 바와 같이, 본 발병에 따르면, 기존의 미인증 구간에서 인터넷 서비스를 사용하는 사용자의 인증에 대한 방법 및 기술을 제공하여, 기존의 미인증 구간도 인증을 모두 처리할 수 있다.
또한, 본 발명에 따르면, 기존 방식으로는 1대의 PC만 인증을 받으면 이후는 NAT 장비, 유무선 공유기, 무선AP 장치에 연결된 다른 단말 들은 별도의 인증 없이 인터넷을 사용할 수 있었던 문제를 해결하여, 기존의 인증방식은 물론 사설 네트워크의 NAT 장비, 유무선 공유기, 무선 AP 장치에 물려있는 다른 PC나 기타 모든 단말에 대해서도 인증처리를 행할 수 있게 된다.
따라서 본 발명에 따르면, 인터넷 서비스업체에서는 인터넷 사용자의 실제 단말의 수요를 알 수 있어, 한 회선당 인터넷을 사용하는 PC 또는 단말의 수를 제어하여 트래픽 증가 등의 망 운영에 대한 유연한 대처 및 적절한 과금 등이 가능해진다.
또한, 본 발명에 따르면, 네트워크에 연결된 인터넷을 사용하는 단말을 모두 인증받게 함으로써, 허가받지 않고 타인의 집이나 회사 등의 NAT 장비, 유무선 공유기, 무선AP 장치에 불법적으로 접속하여 사용하는 사용자를 원천적으로 차단하여, 보안을 강화할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 네트워크 기반 단말인증 및 보안방법의 구체적인 내용에 대하여 설명한다.
여기서, 이하에 설명하는 내용은 본 발명을 실시하기 위한 하나의 예일 뿐이 며, 본 발명은 이하에 설명하는 내용으로만 한정되는 것은 아니다.
상기한 바와 같이, 본 발명은, 광대역 망과 같은 네트워크에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증방법에 관한 것으로, 기존의 방식에서는 인증처리를 하지 못했던 미인증 구간도 인증을 모두 행할 수 있도록 개선하고, 또 기존방식으로 인증을 받았어도 NAT 장비, 유무선 공유기, 무선AP 장치에 물려있는 다른 PC나 기타 모든 단말에 대해서도 인증처리 및 보안을 행하는 기술에 관한 것이다.
이하의 설명에서, UserAgent 는 사용자의 트래픽에 포함되어 있는 OS 정보, 웹브라우저 정보, User-Agent 정보 또는 PC의 상세정보, 기타 패킷을 분석하여 추출해온 식별값 등을 의미한다.
또, UA 인증키 는 가입자ID와 추출한 구분자(UserAgent, IP 등), 사용자로부터 입력받은 값, 랜덤(Random)한 Key 값, 단말의 일련번호를 알 수 있는 값 등을 조합하여 암호화된 유일한 키이다.
도 1 내지 도 3을 참조하면, 도 1은 해당 회선에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증방법을 개략적으로 나타낸 도면이고, 도 2는 네트워크 구성의 예이며, 도 3은 도 1의 인증방법을 설명하기 위한 플로차트이다.
먼저, 도 1에 나타낸 바와 같이, 사용자 PC 또는 단말장치에서 클라이언트가 처음으로 인터넷을 사용할 경우, 해당 트래픽을 모니터링(패킷 모니터링) 할 수 있는 환경에서 트래픽을 분석하여(웹 패킷만 필터링), 서버에서 심어놓은 UA(UserAgent) 인증키가 있는지 축출하고(웹 패킷에서 유효한 UA 인증키 축출), UA 인증키를 검사하여 해당 회선 가입자 ID에 속해 있는지를 비교하는 방식으로, 인증 유효성 여부를 검사하게 된다.
이때, HUAMT(Hash UserAgent Manage Table : 가입자ID 또는 그와 유사한 의미를 가지는 값과 매핑된 유일한 UA 인증키를 암호화, 생성, 관리하는 테이블)에 UA 인증키가 있으면 인증이 되었다고 판단하고, 더 이상 다른 진행 없이 인터넷 사용을 허용한다.
UA 인증키가 없으면, 처음 인터넷을 사용한다고 판단하여, 미인증 사용자이므로 인터넷을 허용하지 않고, 클라이언트의 웹 접속을 인증서버로 리다이렉션 한다(웹 리다이렉션 패킷 전송).
이때, 사용자 PC 또는 단말장치에서는 본인이 접속하고자 했던 웹페이지 대신에 인증서버에서 보내준 인증페이지를 보게 된다(웹 차단 & 인증요청 웹페이지 전송).
즉, 도 4에 나타낸 바와 같이, 리다이렉션된 페이지에서 인증에 필요한 내용을 입력받아(사용자에게 발급된 가입자 ID/PW 정보 입력), 그 값이 유효한지를 도 7에 나타낸 바와 같은 가입자 정보 DB서버에 데이터를 전송하여 가입자 정보를 비교 판단한다.
이때, 가입자 정보가 일치하면 UA 인증키를 요청하는 단계로 진행하고(UA 인증키 생성), 가입자 정보가 일치하지 않으면 가입자 인증페이지를 사용자 PC 또는 단말에 재전송하여 재입력을 받도록 한다(가입자 ID/PW 정보 재입력 요구).
가입자 정보가 일치된 단말에 대해서는, 도 4에 나타낸 바와 같은 인증에 필요한 값을 추출하고, 후술하는 바와 같이 해시(Hash) 기반의 가입자ID 와 매핑되는 UA 인증키를 생성하여 관리하는 단계로 진행한다.
더 상세하게는, 도 4에 나타낸 바와 같이, 해시(Hash) 기반의 UA 인증키를 생성하는 단계에서, 가입자ID, 추출한 구분자, 입력받은 값, 랜덤(Random)한 Key 값, 단말의 일련번호를 알 수 있는 값 등을 조합하여, 암호화된 유일한 UA 인증키를 생성하고, 도 6에 나타낸 바와 같은 HUAMT(Hash UserAgent Manage Table)에 저장하여 관리한다.
또한, 예를 들면, 도 4 및 도 6에 나타낸 바와 같은 HUAMT의 '허용유무' 필드의 내용을 참조하여, UA 인증키와 함께 또는 UA 인증키에 관계없이 해당 단말의 인터넷 접속 허용 및 차단 여부를 판단하도록 할 수도 있다.
계속해서, 암호화된 UA 인증키를 클라이언트 PC 또는 단말에 삽입하는 단계에서, HUAMT(Hash UserAgent Manage Table)에 암호화되어 생성된 UA 인증키가 인터넷 접속시 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 클라이언트 PC 또는 단말에 UA 인증키 또는 식별값을 삽입하는 과정을 거치게 되는데, 클라이언트 PC 또는 단말이 웹 접속시 HTTP 헤더의 User-Agent값을 축출 및 분석하기 위해, 웹브라우저가 참조하는 OS의 레지스트리 값 또는 설정 파일 또는 그 외 User-Agent 정보가 저장된 위치에 UA 인증키 또는 식별값을 추가 삽입한다(단말장치의 User-Agent 정보에 UA 인증키 삽입).
이와 같이 암호화되어 생성된 UA 인증키가 인터넷 접속시 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 클라이언트 PC 또는 단말에 삽입이 되었으므로, 인증서버에서 보내는 인증창은 더 이상 보이지 않고 인터넷을 정상적으로 사용할 수 있게 된다(UA 인증 완료).
즉, 예를 들면, 도 8에 나타낸 바와 같이, PC(A)는 UA 인증키 및 식별값이 심어져 있고 인터넷 허용 유무가 가능으로 표시된 단말이므로, 인터넷에 접속하게 되면 인증창 또는 차단창 없이 인터넷을 원활하게 사용할 수 있다.
반면, PC(B)는 UA 인증키 및 식별값이 없고 인터넷 허용 유무가 불가능으로 표시된 단말이므로, 인증을 받을 때까지는 인증서버에서 보내는 인증창만이 계속 보여져 인터넷을 사용하는데 불편이 생긴다.
또한, PC(C)는 인증을 받아서 UA 인증키 및 식별값이 있으나, 인터넷 허용 유무가 불가능으로 표시된 단말이므로, 인증창이 아닌 차단창이 계속 보여져 인터넷을 사용할 수 없게 된다.
따라서 이러한 경우는, 한 회선당 인터넷을 사용하는 PC 또는 단말의 수를 제어하는 기능이다.
또한, PC(D)는 유무선 공유기 또는 무선 AP 장치를 통하여 네트워크에 접근하여 인터넷 사용을 시도하려는 불법사용자의 예로서, 불법사용자로서는 해당 회선에 대한 가입자 정보 DB서버 정보를 알 수 없으므로, 계속해서 인증서버가 보내는 인증페이지만을 보게 되어 인터넷을 사용할 수 없게 된다.
여기서, 인증된 PC(A)가 다른 장소로 이동하여 인증받은 회선이 아닌 다른 회선으로 연결하는 경우에는, PC(A)에 인증서버가 보낸 인증창이 보여지게 되고, 사용자가 이 인증창에 가입자 정보DB서버에 저장된 정보와 일치된 값을 입력하게 되면 도 3에 나타낸 바와 같이 다시 인증키를 생성하게 된다.
즉, 해당 사용자 PC 및 단말에 이전 UA 인증키가 존재하는 경우(이전 UA 인증키가 존재하는가?), PC(A)에는 이미 UA 인증키가 존재하므로 UA 인증키 추가삽입 여부를 묻는 메시지가 보이게 되는데, 여기서 'YES'를 선택하게 되면 기존 UA 인증키와 함께 신규 UA 인증키가 추가되어 삽입되고, 'NO'를 선택하게 되면 기존 UA 인증키를 삭제하고 신규 UA 인증키만 생성되어 삽입되게 된다.
이러한 경우는, 예를 들면, 자신의 집에서 단말을 인증받은 사용자가 자신의 회사 등에서 해당 단말을 사용하는 경우와 같이 다회선 사용자인 경우를 고려하여 해당 사용자에게 편의를 제공하기 위한 기능이다.
따라서 상기한 바와 같이, 사용자가 인터넷을 할 때마다 네트워크 단에서 트래픽을 분석하여 식별할 수 있는 UA 인증키를 확인하고, 인터넷을 허용할지 리다이렉션하여 인증창을 보여줄지 판단하여 허용 및 차단을 행함으로써, 해당 회선에 연결되어 인터넷을 사용하는 모든 단말에 대하여 인증 및 보안을 행할 수 있다.
이상, 상기한 바와 같은 본 발명의 구체적인 실시예를 통하여 본 발명을 설명하였으나, 본 발명은 상기한 실시예의 내용으로만 한정되는 것은 아니며, 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 첨부된 청구의 범위 및 본 발명의 본질을 벗어나지 않는 범위 내에서 다양한 변경, 수정 및 대체 등이 가능한 것임은 당연한 일이라 하겠다.
도 1은 해당 회선에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증방법을 개략적으로 나타낸 도면이다.
도 2는 네트워크 구성의 예를 나타낸 도면이다.
도 3은 해당 회선에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증방법을 나타낸 플로차트이다.
도 4는 인증되지 않은 단말에 대해 가입정보를 확인 후 암호화된 인증키를 생성하여 인증테이블(HUAMT)을 관리하는 과정을 나타낸 도면이다.
도 5는 트래픽을 분석한 결과로서 HTTP 요청 헤더를 나타내는 도면이다.
도 6은 단말정보 및 UA 인증키 관리를 위한 인증테이블(HUAMT)을 나타내는 도면이다.
도 7은 유효한 가입자 정보인지 확인하기 위한 고객정보 테이블을 나타내는 도면이다.
도 8은 회선에 정상연결된 단말장치와 불법연결된 단말장치에 대한 인증/미인증 처리의 예를 나타낸 도면이다.

Claims (5)

  1. 네트워크에 연결되어 인터넷을 사용하는 모든 단말에 대한 인증 및 보안을 수행하는 네트워크 기반 단말인증 및 보안방법에 있어서,
    클라이언트가 인터넷을 사용할 경우 해당 트래픽을 모니터링하고 트래픽을 분석하여 인증서버에서 심어놓은 유효한 UA(UserAgent) 인증키가 있는지를 판단하는 단계와,
    상기 유효한 UA 인증키가 있는지를 판단하는 단계에서 유효한 UA 인증키가 있다고 판단되면, 인증이 되었다고 판단하여 인터넷 사용을 허용하고, 유효한 UA 인증키가 없다고 판단되면, 처음으로 인터넷을 사용한다고 판단하여 인터넷 사용을 허용하지 않고 상기 클라이언트의 웹 접속을 상기 인증서버에서 보낸 인증페이지로 리다이렉션 하는 단계와,
    상기 인증서버로 리다이렉션 하는 단계에 의해 리다이렉션 된 상기 인증페이지를 통하여 가입자로부터 인증에 필요한 내용을 입력받아 가입자 정보 DB 서버에 전송하여 그 값이 유효한지를 비교 판단하고, 그 값이 유효하지 않으면 상기 인증페이지를 재전송하여 재입력을 요구하고, 그 값이 유효한 경우는, 인증에 필요한 값을 추출하여 해시(Hash) 기반의 가입자ID 와 매핑되는 암호화된 UA 인증키를 생성하고 관리하는 단계와,
    생성된 UA 인증키가 인터넷 접속 시마다 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 상기 클라이언트 PC 또는 단말에 상기 UA 인증키 또는 식별값을 삽 입하는 단계와,
    상기한 각 단계를 사용자가 인터넷을 할 때마다 반복하여 상기 유효한 UA 인증키를 확인함으로써, 네트워크에 연결된 모든 단말에 대하여 인터넷 사용을 허용 및 차단하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법.
  2. 제 1항에 있어서,
    상기 해시(Hash) 기반의 가입자ID 와 매핑되는 암호화된 UA 인증키를 생성하는 단계는, 가입자 ID, 추출한 구분자, 입력받은 값, 랜덤(Random)한 Key 값, 단말의 일련번호를 알 수 있는 값 등을 조합하여 암호화된 유일한 UA 인증키를 생성하고, HUAMT(Hash UserAgent Manage Table)에 저장하여 관리하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법.
  3. 제 1항에 있어서,
    상기 UA 인증키 또는 식별값을 삽입하는 단계는, 상기 클라이언트 PC 또는 단말이 인터넷 접속시 HTTP헤더의 User-Agent값을 축출 및 분석하기 위해, 상기 UA 인증키가 인터넷 접속시 HTTP의 헤더 또는 패킷의 내부에 포함될 수 있도록 웹브라우저가 참조하는 OS의 레지스트리 값 또는 설정 파일 또는 그 외 User-Agent 정보가 저장된 위치에 상기 UA 인증키 또는 식별값을 삽입하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법.
  4. 제 1항에 있어서,
    HUAMT에 명시된 PC 또는 단말 장치에서 추출된 구분자 또는 단말 일련번호 등의 정보에 인터넷 접속 허용 및 차단 여부를 표시하여, 상기 유효한 UA 인증키가 있는 것으로 확인되었어도 상기 인터넷 접속 허용 및 차단 여부가 차단으로 표시되어 있으면 인터넷 연결을 차단하고 차단페이지로 리다이렉션 하여 차단창을 보여줌으로써, 가입자ID 또는 가입자 구분정보를 기준으로 하나 또는 복수 개의 PC나 단말장치에 대하여 인터넷을 선별적으로 허용 및 차단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법.
  5. 제 1항에 있어서,
    인증된 상기 클라이언트 PC 또는 단말이 다른 장소로 이동하여 인증받은 회선이 아닌 다른 회선으로 연결하는 경우와 같은 다회선 사용자에 대응하기 위해, 상기 클라이언트 PC 또는 단말에 UA 인증키가 이미 존재하는 경우 UA 인증키 추가삽입 여부를 묻는 메시지를 출력하고, 사용자가 'YES'를 선택하면 기존 UA 인증키와 함께 신규 UA 인증키를 추가로 삽입하고, 'NO'를 선택하면 기존 UA 인증키를 삭제하고 신규 UA 인증키만 생성하여 삽입하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 기반 단말인증 및 보안방법.
KR1020090036028A 2009-04-24 2009-04-24 네트워크 기반 단말인증 및 보안방법 KR101047994B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090036028A KR101047994B1 (ko) 2009-04-24 2009-04-24 네트워크 기반 단말인증 및 보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090036028A KR101047994B1 (ko) 2009-04-24 2009-04-24 네트워크 기반 단말인증 및 보안방법

Publications (2)

Publication Number Publication Date
KR20100117338A true KR20100117338A (ko) 2010-11-03
KR101047994B1 KR101047994B1 (ko) 2011-07-13

Family

ID=43403982

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090036028A KR101047994B1 (ko) 2009-04-24 2009-04-24 네트워크 기반 단말인증 및 보안방법

Country Status (1)

Country Link
KR (1) KR101047994B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101145298B1 (ko) * 2010-11-04 2012-05-15 삼성에스디에스 주식회사 네트워크 시스템 및 이를 이용한 웹 리다이렉션 방법
KR101365889B1 (ko) * 2012-03-20 2014-02-24 우상원 이동통신 단말기의 모바일 네트워크 보안 방법, 시스템 및 그 프로그램을 기록한 기록매체
KR101616402B1 (ko) 2015-03-23 2016-04-28 주식회사 제이넷 회선공유단말 구별 장치
KR20160113959A (ko) 2015-09-25 2016-10-04 주식회사 제이넷 회선 공유 단말 구별 장치

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003167850A (ja) 2001-12-03 2003-06-13 Tech Res & Dev Inst Of Japan Def Agency 端末監視制御システム、端末監視制御方法およびその方法をコンピュータに実行させるプログラム
JP2009514050A (ja) * 2003-07-11 2009-04-02 インターナショナル・ビジネス・マシーンズ・コーポレーション クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法
JP2006270230A (ja) 2005-03-22 2006-10-05 Pioneer Electronic Corp ネットワーク装置および端末識別番号登録方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101145298B1 (ko) * 2010-11-04 2012-05-15 삼성에스디에스 주식회사 네트워크 시스템 및 이를 이용한 웹 리다이렉션 방법
KR101365889B1 (ko) * 2012-03-20 2014-02-24 우상원 이동통신 단말기의 모바일 네트워크 보안 방법, 시스템 및 그 프로그램을 기록한 기록매체
KR101616402B1 (ko) 2015-03-23 2016-04-28 주식회사 제이넷 회선공유단말 구별 장치
KR20160113959A (ko) 2015-09-25 2016-10-04 주식회사 제이넷 회선 공유 단말 구별 장치

Also Published As

Publication number Publication date
KR101047994B1 (ko) 2011-07-13

Similar Documents

Publication Publication Date Title
CN100563158C (zh) 网络接入控制方法及系统
CN111586025B (zh) 一种基于sdn的sdp安全组实现方法及安全系统
US8407462B2 (en) Method, system and server for implementing security access control by enforcing security policies
US20110107410A1 (en) Methods, systems, and computer program products for controlling server access using an authentication server
US10050938B2 (en) Highly secure firewall system
US9961078B2 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
EP2141883A1 (en) A method in a peer for authenticating the peer to an authenticator, corresponding device, and computer program product therefore
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
CN104202338A (zh) 一种适用于企业级移动应用的安全接入方法
Hossain et al. Survey of the Protection Mechanisms to the SSL-based Session Hijacking Attacks.
KR101047994B1 (ko) 네트워크 기반 단말인증 및 보안방법
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
CN111416824B (zh) 一种网络接入认证控制系统
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
Bodhe et al. Wireless LAN security attacks and CCM protocol with some best practices in deployment of services
Soewito Building secure wireless access point based on certificate authentication and firewall captive portal
WO2014073948A1 (en) System and method for managing public network
CN114567479B (zh) 一种智能设备安全管控加固及监测预警方法
Sue et al. A novel remote access control for the real-time streaming data of IP cameras
Blancaflor et al. Exploring the Attacks, Impacts, and Mitigations in a Real-Time Streaming Protocol Service of IP Cameras
CN106549938A (zh) 一种分布式网络行为管理器及网络接入控制方法
Garimella et al. Secure Shell-Its significance in Networking (SSH)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140521

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150506

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160628

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170705

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190704

Year of fee payment: 9