KR20130028323A - 네트워크 접근 제어 시스템 및 방법 - Google Patents

네트워크 접근 제어 시스템 및 방법 Download PDF

Info

Publication number
KR20130028323A
KR20130028323A KR1020110091798A KR20110091798A KR20130028323A KR 20130028323 A KR20130028323 A KR 20130028323A KR 1020110091798 A KR1020110091798 A KR 1020110091798A KR 20110091798 A KR20110091798 A KR 20110091798A KR 20130028323 A KR20130028323 A KR 20130028323A
Authority
KR
South Korea
Prior art keywords
access control
terminal
server
network
network access
Prior art date
Application number
KR1020110091798A
Other languages
English (en)
Other versions
KR101310631B1 (ko
Inventor
송성대
신지선
김승국
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020110091798A priority Critical patent/KR101310631B1/ko
Publication of KR20130028323A publication Critical patent/KR20130028323A/ko
Application granted granted Critical
Publication of KR101310631B1 publication Critical patent/KR101310631B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

네트워크 접근 제어 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템은, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 수신된 것으로 판단된 패킷을 수신하고, 기 저장된 접근 제어 리스트(Access Control List)를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함한다.

Description

네트워크 접근 제어 시스템 및 방법{System and method for controlling access to network}
본 발명의 실시예들은 네트워크상에서 네트워크 개체들의 접근을 제어하기 위한 기술과 관련된다.
네트워크 접근 제어(NAC; Network Access Control)란 네트워크의 보안을 강화하기 위한 방식의 하나로서, 미리 정의된 보안 정책에 부합되는 네트워크 개체에만 네트워크 자원의 이용을 허가하는 방식이다.
네트워크 접근 제어를 위하여 일반적으로 네트워크 액세스 콘트롤 리스트(Network ACL; 또는 네트워크 접근 제어 리스트)가 사용된다. 네트워크 액세스 콘트롤 리스트란 네트워크 내 자원을 이용하도록 허가된 네트워크 개체의 IP 및 URL 등을 기록한 목록을 의미한다. 예를 들어, 네트워크에 접속된 단말 등의 개체들은 기 설정된 네트워크 액세스 콘트롤 리스트에 따라 네트워크 내 모든 자원을 사용 가능하거나, 또는 한정된 네트워크 내 공간으로 격리되거나, 또는 모든 네트워크 내 자원에 대한 접속이 차단될 수 있다.
네트워크상에서 네트워크 접근 제어를 구현하기 위한 방법으로는 크게 다음의 두 가지 방법이 있을 수 있다. 첫 번째는, 네트워크 개체들이 접속하는 네트워크 접속 시스템(NAS; Network Access System)에서 네트워크 ACL을 처리하는 방법이다. 이 방법의 경우 ACL 처리를 위한 모듈이 NAS 내부에 포함되므로, 네트워크 개체들에 해당 모듈이 노출될 가능성이 낮아 보안 측면에서 유리한 장점이 있다. 그러나 NAS는 ACL 처리 외에도 수 많은 네트워크 개체들의 네트워크 접속 및 데이터 송수신을 중계하여야 하므로, 그룹 단위의 ACL이 아닌 개인별 ACL을 처리하기에는 무리가 있다.
두 번째 방법으로는, NAS에 접속하는 네트워크 개체, 즉 네트워크 접속 단말에서 네트워크 ACL을 처리하는 방법이 있다. 이 경우 NAS에서 네트워크 ACL을 처리할 필요가 없으므로, 결과적으로 NAS의 부하를 각 단말들에 분산하는 효과가 있다. 그러나 이 경우 ACL 처리 알고리즘이 단말에 직접 탑재되므로 해킹 등에 의하여 노출될 가능성이 있어 보안 측면에서 불리하다. 또한 다양한 운영체제를 이용하는 각각의 단말들 별로 ACL 처리 모듈을 별개로 개발하여야 하므로 첫 번째 방법에 비해 비효율적이며, 특히 컴퓨팅 파워가 제한된 스마트폰 등의 모바일 단말의 경우 네트워크 ACL을 단말 내부에서 처리하는 데 많은 무리가 따르게 된다.
본 발명은 네트워크 접속 시스템의 부하를 최소화하는 동시에 그룹별 및 개인별 접근 제어를 효과적으로 처리하기 위한 수단을 제공하기 위한 것이다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템은, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함한다.
한편, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법은, 네트워크 접속 서버에서, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 단계; 개인별 접근 제어 서버에서, 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하는 단계; 및 상기 개인별 접근 제어 서버에서, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 단계를 포함한다.
본 발명의 실시예들에 따를 경우, 그룹별 접근 제어는 네트워크 접속 서버에서 수행하고 개인별 접근 제어가 필요한 경우 이를 개인별 접근 제어 서버에서 수행하므로, 네트워크 접속 서버의 부하를 최소화하는 동시에 효율적으로 개인별 접근 제어를 제공할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법을 도시한 순서도이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법에서의 단말 인증 과정을 상세히 설명하기 위한 순서도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템(100)을 나타낸 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 접근 제어 시스템(100)은 네트워크 접속 단말(102), 네트워크 접속 서버(104), 개인별 접근 제어 서버(106), 인증 서버(108) 및 관리자 단말(110)을 포함한다.
네트워크 접속 단말(102; 이하 "단말"로 지칭함)은 네트워크 접속 서버(104)를 통하여 네트워크(112)에 접근하기 위한 장치이다. 본 발명의 실시예에서, 단말(102)은 패킷 기반의 네트워크(112)에 유선 또는 무선 통신 수단을 이용하여 접속을 수행하여 데이터를 송수신할 수 있는 기기를 통칭하는 의미로서, 예를 들어 데스크탑 컴퓨터, 노트북 컴퓨터, 휴대 전화, 스마트폰, PDA, 태블릿 PC 등이 될 수 있다.
네트워크 접속 서버(104)는 단말(102)의 네트워크(112) 접속을 처리하기 위한 서버이다. 즉, 단말(102)이 네트워크(112)에 접속하기 위해서는 반드시 네트워크 접속 서버(104)를 거쳐야 하며, 단말(102)이 네트워크(112) 내 다른 구성요소(예를 들어, 인터넷상의 웹 서버 또는 기업 네트워크에서의 파일 서버 등)들과 송수신하는 패킷은 반드시 네트워크 접속 서버(104)를 경유하도록 구성된다.
네트워크 접속 서버(104)는 후술할 인증 서버(108)와 연결되어 접속한 단말(102)을 인증한다. 또한, 네트워크 접속 서버(104)는 자체적으로 접근 제어 리스트(ACL; Access Control List)를 구비하며, 단말(102)로부터 패킷이 수신되면 상기 접근 제어 리스트를 참조하여 수신된 패킷을 차단하거나 또는 허용한다. 네트워크 접속 서버(104)에 구비된 접근 제어 리스트는 그룹별 접근 제어 리스트로서, 예를 들어 특정 범위 내의 IP를 가진 단말(102)들에 대해서는 네트워크(112) 접근을 허용하고, 나머지 단말(102)들에 대해서는 네트워크(112) 접근을 차단하도록 구성될 수 있다.
또한, 네트워크 접속 서버(104)는 상기 그룹별 접근 제어 리스트와 별도로 개인별 접근 제어가 필요한 단말의 식별 정보를 포함하는 개인별 접근 제어 대상 단말 리스트를 포함한다. 만약 네트워크 접속 서버(104)로 수신되는 패킷의 송신 주소가 상기 개인별 접근 제어 대상 단말 리스트에 속한 것일 경우, 네트워크 접속 서버(104)는 상기 패킷을 직접 처리하는 것이 아니라 후술할 개인별 접근 제어 서버(106)로 송신한다. 다시 말해, 본 발명의 실시예에서, 그룹별 접근 제어는 네트워크 접속 서버(104)에서 이루어지며, 개별 단말 단위의 접근 제어는 개인별 접근 제어 서버(106)에서 수행된다. 상기 개인별 접근 제어 대상 단말 리스트는 인증 서버(108)로부터 수신되는 정보에 따라 업데이트되며, 이에 대한 상세한 설명은 후술하기로 한다.
본 발명에서 이와 같이 접근 제어를 네트워크 접속 서버(104) 및 개인별 접근 제어 서버(106)에 분담하는 이유는, 그룹별 접근 제어의 경우 패킷의 송신 IP 주소 또는 포트(Port) 만으로 판단이 가능하므로 네트워크 접속 서버(104)에서 충분히 적용이 가능하나, 개인별 접근 제어의 경우 송신 IP 및 포트(Port)뿐만 아니라, 수신 IP/Port, 프로토콜 타입, 전송 시간 등 필요에 따라 다양한 변수들이 고려되어야 하므로 빠른 시간 내에 다량의 패킷을 처리하여야 하는 네트워크 접속 서버(104)에 과중한 부하를 줄 우려가 있기 때문이다. 즉, 본 발명의 실시예의 경우, 개인별 접근 제어가 필요하지 않은 패킷은 개인별 접근 제어 서버(106)를 경유하지 않고 네트워크 접속 서버(104)에서 접근 제어를 수행한 뒤 바로 네트워크(112)로 전송되고, 개인별 접근 제어가 필요한 패킷에 대해서는 이를 전담하는 별도의 개인별 접근 제어 서버(106)에서 해당 패킷의 접근 제어를 수행함으로써 네트워크 접속 서버(104)에 불필요한 부담을 주지 않으면서 효과적으로 개인별 접근 제어를 수행할 수 있도록 구성된다.
개인별 접근 제어 서버(106)는 개인별 접근 제어 리스트를 이용하여 단말(102)의 네트워크 내 특정 구성요소에 대한 접근을 허용 또는 제한하기 위한 서버로서, 네트워크 접속 서버(104)로부터 개인별 접근 제어가 필요한 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 네트워크 접속 서버(104)로부터 수신된 패킷을 허용 또는 차단한다. 개인별 접근 제어 서버(106)에 포함된 개인별 접근 제어 리스트는 네트워크 접속 서버(104)에 저장된 그룹별 접근 제어 리스트보다 훨씬 정교한 접근 제어가 가능하다. 즉, 개인별 접근 제어 서버(106)에 저장된 상기 개인별 액세스 콘트를 리스트에는 수신된 패킷의 송신 네트워크 주소(IP/Port 또는 맥어드레스), 수신 네트워크 주소(IP/Port 또는 맥어드레스), 프로토콜 타입, 송신 시간 등에 따른 패킷의 허용 또는 차단 여부 정보가 저장되며, 개인별 접근 제어 서버(106)는 이와 같은 개인별 접근 제어 리스트 및 수신된 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 등의 정보를 참조하여 해당 패킷의 허용, 차단 또는 특정 네트워크 내 공간으로의 리다이렉션 여부를 결정할 수 있다.
인증 서버(108)는 네트워크 접속 서버(104)에 접속한 단말을 인증한다. 단말(102)이 최초 네트워크 접속 서버(104)에 접속을 수행할 경우, 단말(102)은 먼저 네트워크 접속 서버(104)에 인증 요청을 전송한다. 상기 인증 요청은 예를 들어, 단말(102) 사용자의 아이디/패스워드 정보를 포함하여 구성될 수 있으나, 이와 달리 일반적으로 네트워크 보안 및 사용자 식별을 위하여 사용되는 다양한 인증 방식 또한 본 발명에서 제한 없이 사용 가능하다. 상기 인증 요청을 수신한 네트워크 접속 서버(104)는 이를 인증 서버(108)로 전송하고, 인증 서버(108)는 이를 수신한 뒤 사전에 설정된 인증 프로토콜을 이용하여 단말(102)을 인증한다. 만약 상기 인증에 성공한 경우 인증 서버(108)는 인증 성공 메시지를 네트워크 접속 서버(104)에 전송하고, 인증에 실패한 경우에는 인증 실패 메시지를 전송한다. 네트워크 접속 서버(104)는 상기 인증 성공 또는 인증 실패 메시지를 수신하고, 인증에 성공한 경우에만 단말(102)로부터 패킷을 수신하게 된다.
또한, 인증 서버(108)는 각 단말(102)들이 속한 그룹 정보를 저장한다. 상기 그룹은 예를 들어 특정 기업 또는 단체의 내부 사용자 그룹, 외부 사용자 그룹 등으로 나눌 수 있으며, 내부 사용자 그룹은 필요한 경우 각 부서 별 그룹으로 세분화될 수 있다. 그리고 네트워크 접속 서버(104)는 상기와 같이 구분된 그룹 별 접근 제어 리스트를 저장한다. 예를 들어, 내부 사용자 그룹에는 기업 내 네트워크의 모든 구성요소에 대한 액세스가 가능하도록 설정하거나, 또는 특정 부서별 그룹의 경우 타 부서의 네트워크 구성요소에 대해서는 액세스가 제한되도록 설정할 수 있다. 또한 외부 사용자 그룹의 경우 외부 사용자용으로 허가된 네트워크 내 구성요소에만 접근 가능하도록 그룹 별 접근 제어 리스트를 구성할 수 있다. 이에 따라 단말(102)의 인증 시 인증 서버(108)는 인증된 단말(102)이 속한 그룹 정보를 인증 결과 메시지와 함께 네트워크 접속 서버(104)로 전송하며, 이를 수신한 네트워크 접속 서버(104)는 해당 그룹에 맞는 그룹별 접근 제어를 수행할 수 있다.
또한, 인증 서버(108)는 자체적으로 개인별 접근 제어 대상 단말 리스트(개인별 접근 제어가 필요한 단말의 목록)를 저장 및 관리하며, 단말(102)의 인증이 성공한 경우, 상기 리스트를 이용하여 해당 단말(102)이 개인별 접근 제어가 필요한 단말인지의 여부를 결정한다. 예를 들어, 특정한 업무를 맡거나 한 사용자의 경우 그룹별 접근 제어와 별도로 해당 업무 수행을 위한 개인별 접근 제어를 수행할 필요가 있으며, 이와 같은 사용자가 사용하는 단말의 경우 상기 개인별 접근 제어 대상 단말 리스트에서 별도로 관리된다. 상기 개인별 접근 제어 대상 단말 리스트는 개인별 접근 제어가 필요한 단말의 네트워크상의 주소 또는 기타 식별 정보를 포함하는 목록 또는 리스트로서, 후술할 관리자 단말(110)에 의하여 관리된다. 인증 서버(108)는 수신된 인증 요청의 송신 어드레스 또는 송신자의 식별 정보가 상기 리스트에 포함되어 있는지의 여부를 판단함으로써 개인별 접근 제어가 필요한 단말인지의 여부를 결정할 수 있다. 만약 네트워크 접속 서버(104)로부터 인증 요청이 수신된 단말이 개인별 접근 제어가 필요한 단말일 경우, 인증 서버(108)는 인증 성공 메시지와 함께 해당 단말이 개인별 접근 제어가 필요한 단말임을 알리는 메시지를 함께 전송할 수 있다. 즉, 네트워크에 접속 서버(104)에 접속된 단말의 개인별 접근 제어 필요 여부는 해당 단말(102)의 인증 시 인증 서버(108)에서 결정되며, 네트워크 접속 서버(104)는 인증 서버(108)로부터 결정된 개인별 접근 제어 여부 정보를 제공받고 이를 이용하여 수신된 패킷을 개인별 접근 제어 서버(106)로 보낼지의 여부를 결정하게 된다.
네트워크 접속 서버(104)는 인증 서버(108)로부터 수신된 정보로부터 인증 요청을 송신한 단말(102)이 개인별 접근 제어가 필요한 단말임을 인지한 경우, 해당 단말의 정보를 네트워크 접속 서버(104) 내부의 개인별 접근 제어 대상 단말 리스트에 추가하고, 해당 단말의 정보를 개인별 접근 제어 서버(106)로 등록하여 인증된 단말의 접속을 통보한다. 또한 네트워크 접속 서버(104)는 단말(102)의 접속이 종료되는 경우, 접속이 종료된 단말의 정보를 상기 개인별 접근 제어 대상 단말 리스트에서 삭제하고, 개인별 접근 제어 서버(106)로 상기 인증된 단말(102)의 접속 종료를 통보한다. 즉, 네트워크 접속 서버(104)는 인증 서버(108)로부터 수신되는 단말의 개인별 접근 제어 필요 여부 정보를 이용하여 자신의 개인별 접근 제어 대상 단말 리스트를 업데이트하고, 이를 이용하여 수신 패킷을 개인별 접근 제어 서버(106)로 송신할지의 여부를 결정하게 된다.
한편, 단말(102)의 접속 종료 여부는 네트워크 접속 서버(104)에서 단말(102)로부터 명시적인 접속 종료 요청 메시지를 수신함으로써 인지될 수 있다. 또한, 네트워크 접속 서버(104)는 접속 유지 및 보안 강화를 위하여 단말(102)로부터 주기적으로 재인증 요청을 수신하여 단말(102)을 재인증하도록 구성될 수 있으며, 만약 상기 재인증 요청이 기 설정된 시간 동안 수신되지 않는 경우 해당 단말(102)의 접속이 종료된 것으로 판단할 수 있다.
네트워크 접속 서버(104)에서 단말(102)의 접속 및 접속 종료 여부를 개인별 접근 제어 서버(106)로 통보하는 이유는, 개인별 접근 제어 서버(106)의 경우 수신된 단말에 대한 개인별 접근 제어만을 수행할 뿐 해당 단말이 실제로 네트워크 접속 서버(104)에 접속되어 있는지의 여부는 알 수 없기 때문이다. 따라서 이와 같은 점을 악용한 네트워크상의 비정상적 접속 등을 방지하기 위하여, 본 발명의 개인별 접근 제어 서버(106)에서는 네트워크 접속 서버(104)로부터 접속이 통보된 단말(102)에 한하여 접근 제어를 수행하게 된다.
관리자 단말(110)은 본 발명에 따른 네트워크 접근 제어 시스템(100)의 관리자가 사용하는 단말이다. 상기 관리자는 관리자 단말(110)을 이용하여 인증 서버(108)에 저장되는 개인별 접근 제어 대상 단말 리스트를 업데이트할 수 있다. 즉, 개인별 접근 제어가 필요한 단말의 네트워크 주소를 상기 개인별 접근 제어 대상 단말 리스트에 추가하거나, 또는 더 이상 개인별 접근 제어가 필요치 않은 단말의 네트워크 주소를 상기 리스트로부터 삭제할 수 있다. 또한, 관리자 단말(110)은 개인별 접근 제어 서버(106)에 저장된 개인별 접근 제어 리스트를 업데이트할 수 있으며, 이를 위한 적절한 사용자 인터페이스 및 입출력 수단을 구비하여 구성될 수 있다.
관리자 단말(110)은 예를 들어, 별도의 인사 관리 시스템(미도시)으로부터 수신한 인사 관리 데이터를 이용하여 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트를 업데이트할 수 있다. 예를 들어, 관리자 단말(110)은 상기 인사 관리 데이터를 이용하여 특정 단말(102)의 사용자가 사내에 있는 경우에만 개인별 접근 제어를 수행하도록 하거나, 또는 시간대별로 접속 가능한 네트워크 내 구성요소를 각각 다르게 설정할 수 있다. 또는, 그밖에 인사 관리 데이터에 포함된 각 임직원의 출퇴근 상황 정보, 현재 위치 정보, 부서 정보 등을 이용하여 각 사용자별로 그룹의 설정하거나 개인별 접근 제어 여부를 결정할 수도 있다. 또한, 부서 또는 사업부의 개편, 진급, 퇴사 등의 사유로 인사 관리 시스템에 변동이 발생한 경우 관리자 단말(110)은 이를 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트에 반영할 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법(200)을 도시한 순서도이다.
먼저, 단말(102)이 네트워크 접속 서버(104)에 접속하면(202), 네트워크 접속 서버(104)는 인증 서버(108)와의 통신을 통하여 단말(102)을 인증한다(204). 전술한 바와 같이, 인증 서버(108)는 단말(102)이 인증된 경우 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 해당 단말(102)이 개인별 접근 제어가 필요한지의 여부를 함께 판단하게 되며, 이는 단말(102)의 인증 결과와 함께 네트워크 접속 서버(104)로 전송된다.
단말(102)의 인증이 완료되면, 다음으로 네트워크 접속 서버(104)는 단말(102)로부터 패킷을 수신하고(206), 수신된 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단한다(208). 상기 개인별 접근 제어 대상인지 여부는 인증 서버(108)로부터 수신된 개인별 접근 제어 필요 여부 정보로부터 판단됨은 전술하였다.
만약, 수신된 패킷이 개인별 접근 제어가 필요한 경우, 네트워크 접속 서버(104)는 해당 패킷을 개인별 접근 제어 서버(106)로 송신하고(210), 개인별 접근 제어 서버(106)는 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하게 된다. 그러나 만약 수신된 패킷이 개인별 접근 제어가 필요하지 않은 경우, 네트워크 접속 서버(104)는 자신에 포함된 그룹별 접근 제어 리스트를 이용하여 상기 패킷을 자체적으로 허용 또는 차단한다(212).
한편, 기 접속된 단말(102)의 접속이 종료되는 경우, 네트워크 접속 서버(104)는 개인별 접근 제어 서버(106)로 단말(102)의 접속 종료를 통보한다. 전술한 바와 같이, 네트워크 접속 서버(104)는, 단말(102)로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 단말(102)로부터 명시적으로 접속 종료 요청이 수신되는 경우 단말(102)의 접속이 종료된 것으로 판단하게 된다.
도 3은 본 발명의 일 실시예에 따른 네트워크 접근 제어 방법(200)에서의 단말 인증 과정(204)을 상세히 설명하기 위한 순서도이다.
먼저, 단말(102)은 네트워크 접속 서버(104)에 인증 요청을 전송한다(300). 상기 인증 요청을 수신한 네트워크 접속 서버(104)는 이를 인증 서버(108)로 전송하고(302), 인증 서버(108)는 이를 수신한 뒤 사전에 설정된 인증 프로토콜을 이용하여 단말(102)을 인증한다(304). 만약 상기 인증에 성공한 경우 인증 서버(108)는 인증 성공 메시지를 네트워크 접속 서버(104)에 전송하고, 인증에 실패한 경우에는 인증 실패 메시지를 전송한다. 또한 이 과정에서 인증 서버(108)는 인증된 단말이 속한 그룹에 대한 정보를 네트워크 접속 서버(104)로 전송할 수 있으며, 네트워크 접속 서버(104)는 상기 그룹 정보를 이용하여 그룹별 접근 제어를 수행할 수 있다.
한편, 인증된 단말(102)이 개인별 접근 제어가 필요한 경우, 인증 서버(108)는 상기 인증 성공 메시지와 함께 해당 단말이 개인별 접근 제어가 필요함을 네트워크 접속 서버(104)로 알리게 된다. 네트워크 접속 서버(104)는 상기 인증 성공 또는 인증 실패 메시지와 함께 개인별 접근 제어 여부 정보를 수신하고(304), 인증에 성공한 경우에만 단말(102)로부터 패킷을 수신하며, 인증에 실패한 경우 해당 단말(102)의 접속을 차단한다(306).
또한, 네트워크 접속 서버(104)에서 상기 인증된 단말(102)이 개인별 접근 제어가 필요함을 인증 서버(108)로부터 통보 받은 경우, 네트워크 접속 서버(104)는 개인별 접근 제어 서버(106)로 상기 인증된 단말의 접속 사실을 통보하게 된다.
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야에서 통상의 지식을 가진 자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 네트워크 접근 제어 시스템
102: 네트워크 접속 단말
104: 네트워크 접속 서버
106: 개인별 접근 제어 서버
108: 인증 서버
110: 관리자 단말
112: 네트워크

Claims (23)

  1. 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 수신된 패킷인지의 여부를 판단하는 네트워크 접속 서버; 및
    상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하고, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 개인별 접근 제어 서버를 포함하는 네트워크 접근 제어 시스템.
  2. 청구항 1에 있어서,
    상기 네트워크 접속 서버는 상기 단말로부터 수신된 패킷에 포함된 송신자 주소를 이용하여 상기 패킷이 상기 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 시스템.
  3. 청구항 1에 있어서,
    상기 네트워크 접속 서버에 접속한 단말을 인증하는 인증 서버를 더 포함하는 네트워크 접근 제어 시스템.
  4. 청구항 3에 있어서,
    상기 인증 서버는 상기 단말의 인증시 상기 단말이 속한 그룹을 결정하고, 상기 단말의 인증 결과 및 상기 단말이 속한 그룹 정보를 상기 네트워크 접속 서버로 전송하며,
    상기 네트워크 접속 서버는 상기 인증 서버로부터 수신한 상기 단말의 그룹 정보 및 기 저장된 그룹별 접근 제어 리스트를 이용하여 상기 단말로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 시스템.
  5. 청구항 3에 있어서,
    상기 인증 서버는 상기 단말의 인증시 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 상기 단말의 개인별 접근 제어 여부를 결정하고, 상기 단말의 개인별 접근 제어 여부 정보를 상기 네트워크 접속 서버로 송신하며,
    상기 네트워크 접속 서버는 상기 인증 서버로부터 상기 단말의 개인별 접근 제어 여부 정보를 수신하고, 수신된 상기 개인별 접근 제어 여부 정보에 따라 수신된 상기 패킷이 상기 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 시스템.
  6. 청구항 5에 있어서,
    상기 네트워크 접속 서버는 상기 단말이 개인별 접근 제어 대상인 경우, 상기 개인별 접근 제어 서버로 상기 단말의 접속을 통보하는, 네트워크 접근 제어 시스템.
  7. 청구항 5에 있어서,
    상기 네트워크 접속 서버는 상기 단말의 접속이 종료되는 경우, 상기 개인별 접근 제어 서버로 상기 단말의 접속 종료를 통보하는, 네트워크 접근 제어 시스템.
  8. 청구항 7에 있어서,
    상기 네트워크 접속 서버는, 상기 단말로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 상기 단말로부터 접속 종료 요청이 수신되는 경우, 상기 단말의 접속이 종료된 것으로 판단하는, 네트워크 접근 제어 시스템.
  9. 청구항 5에 있어서,
    상기 인증 서버에 저장된 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 서버에 저장된 개인별 접근 제어 리스트를 관리하는 관리자 단말을 더 포함하는 네트워크 접근 제어 시스템.
  10. 청구항 9에 있어서,
    상기 관리자 단말은, 인사 관리 시스템으로부터 수신한 상기 단말 사용자의 인사 관리 데이터를 이용하여 상기 개인별 접근 제어 대상 단말 리스트 및 상기 개인별 접근 제어 리스트를 업데이트하는, 네트워크 접근 제어 시스템.
  11. 청구항 1에 있어서,
    상기 개인별 접근 제어 서버는, 상기 개인별 접근 제어 리스트를 이용하여 네트워크 내 특정 구성요소에 대한 접근을 제한하는, 네트워크 접근 제어 시스템.
  12. 청구항 11에 있어서,
    상기 개인별 접근 제어 서버는, 수신된 상기 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 중 하나 이상의 정보와 상기 개인별 접근 제어 리스트를 비교하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 시스템.
  13. 네트워크 접속 서버에서, 단말로부터 패킷을 수신하고, 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는 단계;
    개인별 접근 제어 서버에서, 상기 네트워크 접속 서버로부터 상기 개인별 접근 제어 대상 단말로부터 송신된 것으로 판단된 패킷을 수신하는 단계; 및
    상기 개인별 접근 제어 서버에서, 기 저장된 개인별 접근 제어 리스트를 이용하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는 단계를 포함하는 네트워크 접근 제어 방법.
  14. 청구항 13에 있어서,
    상기 네트워크 접속 서버는 상기 단말로부터 수신된 패킷에 포함된 송신자 주소를 이용하여 상기 패킷이 상기 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 방법.
  15. 청구항 13에 있어서,
    상기 판단 단계의 수행 전,
    인증 서버에서, 상기 네트워크 접속 서버에 접속한 상기 단말을 인증하는 단계를 더 포함하는, 네트워크 접근 제어 방법.
  16. 청구항 15에 있어서,
    상기 인증 단계는, 상기 단말의 인증시 상기 단말이 속한 그룹을 결정하고, 상기 단말의 인증 결과 및 상기 단말이 속한 그룹 정보를 상기 네트워크 접속 서버로 전송하는 단계를 더 포함하며,
    상기 네트워크 접속 서버는 상기 인증 서버로부터 수신한 상기 단말의 그룹 정보 및 기 저장된 그룹별 접근 제어 리스트를 이용하여 상기 단말로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 방법.
  17. 청구항 15에 있어서,
    상기 인증 단계는, 상기 네트워크 접속 서버에서, 상기 단말로부터 인증 요청을 수신하고, 수신된 상기 인증 요청을 인증 서버로 송신하는 단계;
    상기 인증 서버에서, 수신된 상기 인증 요청에 따라 상기 단말을 인증하고, 기 저장된 개인별 접근 제어 대상 단말 리스트를 이용하여 상기 단말의 개인별 접근 제어 여부를 결정하는 단계; 및
    상기 네트워크 접속 서버에서, 상기 인증 서버로부터 상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계를 더 포함하며,
    상기 네트워크 접속 서버는, 수신된 상기 개인별 접근 제어 여부 정보에 따라 수신된 상기 패킷이 개인별 접근 제어 대상 단말로부터 송신된 패킷인지의 여부를 판단하는, 네트워크 접근 제어 방법.
  18. 청구항 17에 있어서,
    상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계의 수행 이후,
    상기 단말이 개인별 접근 제어 대상인 경우, 상기 네트워크 접속 서버에서 상기 개인별 접근 제어 서버로 상기 단말의 접속을 통보하는 단계를 더 포함하는 네트워크 접근 제어 방법.
  19. 청구항 17에 있어서,
    상기 단말의 개인별 접근 제어 여부 정보를 수신하는 단계의 수행 이후,
    상기 단말의 접속이 종료되는 경우, 상기 네트워크 접속 서버에서 상기 개인별 접근 제어 서버로 상기 단말의 접속 종료를 통보하는 단계를 더 포함하는 네트워크 접근 제어 방법.
  20. 청구항 19에 있어서,
    상기 네트워크 접속 서버는, 상기 단말로부터 기 설정된 시간 동안 재인증 요청이 수신되지 않거나, 또는 상기 단말로부터 접속 종료 요청이 수신되는 경우, 상기 단말의 접속이 종료된 것으로 판단하는, 네트워크 접근 제어 방법.
  21. 청구항 13에 있어서,
    상기 개인별 접근 제어 서버는, 상기 개인별 접근 제어 리스트를 이용하여 네트워크 내 특정 구성요소에 대한 접근을 제한하는, 네트워크 접근 제어 방법.
  22. 청구항 21에 있어서,
    수신된 패킷을 허용 또는 차단하는 단계는, 수신된 상기 패킷의 송신 네트워크 주소, 수신 네트워크 주소, 프로토콜 타입, 송신 시간 중 하나 이상의 정보와 상기 개인별 접근 제어 리스트를 비교하여 상기 네트워크 접속 서버로부터 수신된 패킷을 허용 또는 차단하는, 네트워크 접근 제어 방법.
  23. 청구항 13 내지 청구항 22에 기재된 방법을 컴퓨터상에서 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020110091798A 2011-09-09 2011-09-09 네트워크 접근 제어 시스템 및 방법 KR101310631B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110091798A KR101310631B1 (ko) 2011-09-09 2011-09-09 네트워크 접근 제어 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110091798A KR101310631B1 (ko) 2011-09-09 2011-09-09 네트워크 접근 제어 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130028323A true KR20130028323A (ko) 2013-03-19
KR101310631B1 KR101310631B1 (ko) 2013-11-21

Family

ID=48178875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110091798A KR101310631B1 (ko) 2011-09-09 2011-09-09 네트워크 접근 제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101310631B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016200598A1 (en) * 2015-06-09 2016-12-15 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
KR102211238B1 (ko) * 2019-07-30 2021-02-02 스콥정보통신 주식회사 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102540094B1 (ko) * 2022-11-17 2023-06-05 에스지에이솔루션즈 주식회사 웹 어플리케이션 프록시를 이용한 사용자 접근 제어와 접근 차단 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628960B1 (ko) * 2014-12-23 2016-06-09 엘아이지넥스원 주식회사 네트워크 보안 시스템 및 방법
CN107968763B (zh) * 2016-10-19 2020-10-23 巽风数位工程有限公司 群组档案管理系统与方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100130276A (ko) * 2009-06-03 2010-12-13 주식회사 엘지유플러스 웹 기반 인터페이스를 통해 복수 개의 서버의 접근 제어를 일괄 조정하는 통합 관리 시스템 및 그 제어방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016200598A1 (en) * 2015-06-09 2016-12-15 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
US9912704B2 (en) 2015-06-09 2018-03-06 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
US10244001B2 (en) 2015-06-09 2019-03-26 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
KR102211238B1 (ko) * 2019-07-30 2021-02-02 스콥정보통신 주식회사 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
WO2021020918A1 (ko) * 2019-07-30 2021-02-04 스콥정보통신 주식회사 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102540094B1 (ko) * 2022-11-17 2023-06-05 에스지에이솔루션즈 주식회사 웹 어플리케이션 프록시를 이용한 사용자 접근 제어와 접근 차단 장치

Also Published As

Publication number Publication date
KR101310631B1 (ko) 2013-11-21

Similar Documents

Publication Publication Date Title
US11936619B2 (en) Combined security and QOS coordination among devices
US9973489B2 (en) Providing virtualized private network tunnels
US9531758B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US11115417B2 (en) Secured access control to cloud-based applications
EP3633954B1 (en) Providing virtualized private network tunnels
US8914845B2 (en) Providing virtualized private network tunnels
US9065800B2 (en) Dynamic user identification and policy enforcement in cloud-based secure web gateways
US9240977B2 (en) Techniques for protecting mobile applications
KR101310631B1 (ko) 네트워크 접근 제어 시스템 및 방법
EP4035329A1 (en) Network cyber-security platform
US20200267146A1 (en) Network analytics for network security enforcement
CN104918248A (zh) 应用流量管理、应用加速和安全的企业移动安全网关方法
KR102345265B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102472556B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
US10560478B1 (en) Using log event messages to identify a user and enforce policies
CN113271285B (zh) 接入网络的方法和装置
GB2574334A (en) Combined security and QOS coordination among devices
KR20150049546A (ko) 가상화 환경에서 사용자 인증을 수행하는 모바일 장치 및 모바일 장치에서의 사용자 인증 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 7