KR20190037684A - 네트워크 접속 제어 장치 및 방법 - Google Patents

네트워크 접속 제어 장치 및 방법 Download PDF

Info

Publication number
KR20190037684A
KR20190037684A KR1020170127276A KR20170127276A KR20190037684A KR 20190037684 A KR20190037684 A KR 20190037684A KR 1020170127276 A KR1020170127276 A KR 1020170127276A KR 20170127276 A KR20170127276 A KR 20170127276A KR 20190037684 A KR20190037684 A KR 20190037684A
Authority
KR
South Korea
Prior art keywords
authentication
eap
virtual
information
protocol
Prior art date
Application number
KR1020170127276A
Other languages
English (en)
Inventor
조병현
민경춘
문규성
박선옥
최철
이준원
김도연
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170127276A priority Critical patent/KR20190037684A/ko
Priority to US16/134,394 priority patent/US20190104130A1/en
Publication of KR20190037684A publication Critical patent/KR20190037684A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 접속 제어 장치 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 접속 제어 장치는, 하나 이상의 단말로 사용자 인증 정보를 요청하여 상기 사용자 인증 정보를 수신하는 인증 정보 획득부, 상기 수신된 사용자 인증 정보를 이용하여 EAP(Extensible Authentication Protocol)를 통해 인증 시스템과 인증을 수행하는 가상 EAP 호스트를 생성하되, 상기 하나 이상의 단말 각각에 대한 가상 EAP 호스트를 생성하는 EAP 호스트 생성부, 상기 EAP와 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 인증을 위해 교환되는 메시지들을 중계하고, 상기 인증 시스템으로부터 인증 결과 및 권한 제어 정보를 수신하는 인증부 및 상기 수신된 인증 결과 및 상기 권한 제어 정보 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속 및 권한을 제어하는 제어부를 포함한다.

Description

네트워크 접속 제어 장치 및 방법{APPARATUS AND METHOD FOR CONTROLING NETWORK ACCESS}
본 발명의 실시예들은 네트워크 접속 제어 기술과 관련된다.
최근 IPv4 주소의 고갈로 IPv6로의 전환이 빠르게 진행되고 있다. IPv4가 32비트인 반면, IPv6는 128비트로 동적 IP주소 할당(DHCP) 사용이 필요하기 때문에 IP 주소 기반 네트워크 사용 프로세스의 사용자 ID 기반 네트워크 사용 프로세스로의 전환이 요구되고 있다.
네트워크에 접속하고자 하는 단말의 사용자 신원을 확인하기 위해 EAP(Extensible Authentication Protocol) 기술이 사용되고 있으며, LAN 네트워크에서는 EAP 기술이 포함된 802.1x 기술이 사용되고 있으나, 유선 네트워크의 경우, 아래와 같은 문제점들로 인해 현실적으로 적용이 어려워 도입이 활성화 되지 않고 있다.
1) 802.1x/EAP를 적용하기 어려운 단말 환경
대부분의 단말 OS는 유선 네트워크의 802.1x 인증 설정을 별도로 해야 하며, 이를 해결하기 위해 접속을 도와주는 별도 프로그램을 배포하는 경우가 대부분이다.
2) 802.1x/EAP를 적용하기 어려운 네트워크 환경
802.1x 기술은 단말이 직접 연결되는 L2 스위치에 적용하는데, L2 스위치는 수량이 많이 필요하며 기능이 단순하므로 주로 저렴한 제품을 도입하고 있다. 그러나, L2 스위치가 802.1x를 지원하지 않거나 벤더별/모델별로 지원하는 수준의 차이가 있어 L2 스위치의 교체/도입이 필요할 수 있다. 또한, 네트워크 운영에 있어 802.1x는 L2 스위치의 각 포트단위로 설정하여 적용해야 하고, 각 스위치 단위로 인증시스템과 연동되므로 운영 범위 및 난이도가 높아지게 된다.
3) 네트워크 제어 솔루션 기능 제한
기존 네트워크 제어 솔루션은 주로 사용자 ID가 아닌 단말의 네트워크 인터페이스의 고유 MAC 주소를 이용하여 단말을 구분하고 제어한다. 사용자 인증도 지원하는 경우가 있으나, 초기 접속 시 인증시스템에 계정정보(ID/비밀번호)를 확인하는 정도에 불과하며, 인증 시스템과 연동하는 기술에 따라 비밀번호가 평문으로 전송되거나 낮은 수준으로 암호화되어 노출 위험성 존재한다.
한국등록특허 제10-1624645호 (2016.05.26. 공고)
본 발명의 실시예들은 네트워크 접속 제어 장치 및 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 네트워크 접속 제어 장치는, 하나 이상의 단말로 사용자 인증 정보를 요청하여 상기 사용자 인증 정보를 수신하는 인증 정보 획득부, 상기 수신된 사용자 인증 정보를 이용하여 EAP(Extensible Authentication Protocol)를 통해 인증 시스템과 인증을 수행하는 가상 EAP 호스트를 생성하되, 상기 하나 이상의 단말 각각에 대한 가상 EAP 호스트를 생성하는 EAP 호스트 생성부, 상기 EAP와 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 인증을 위해 교환되는 메시지들을 중계하고, 상기 인증 시스템으로부터 인증 결과 및 권한 제어 정보를 수신하는 인증부 및 상기 수신된 인증 결과 및 상기 권한 제어 정보 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속 및 권한을 제어하는 제어부를 포함한다.
상기 AAA 프로토콜은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜, DIAMETER 프로토콜, TACACS(Terminal Access Controller Access Control System) 프로토콜, TACACS+ 프로토콜 중 하나일 수 있다.
상기 인증부는, 상기 가상 EAP 호스트 각각으로부터 수신된 EAP 메시지를 상기 AAA 프로토콜 메시지로 캡슐화(encapsulation)하여 상기 인증 시스템으로 전달하고, 상기 인증 시스템으로부터 수신된 상기 가상 EAP 호스트 각각에 대한 AAA 프로토콜 메시지를 EAP 메시지로 역캡슐화(decapsulation)하여 상기 가상 EAP 호스트 각각으로 전달할 수 있다.
상기 사용자 인증 정보는, 사용자 아이디 및 비밀번호를 포함할 수 있다.
상기 네트워크 접속 제어 장치는, 상기 하나 이상의 단말 각각에 대한 네트워크 접속 권한을 결정하기 위해 이용 가능한 부가 정보를 수집하는 부가 정보 수집부를 더 포함하고, 상기 인증부는, 상기 부가 정보를 상기 인증 시스템으로 전달할 수 있다.
상기 EAP 호스트 생성부는, 상기 생성된 가상 EAP 호스트 각각에 대한 유효기간을 설정할 수 있다.
상기 가상 EAP 호스트는, 상기 유효기간이 만료된 경우, 상기 EAP를 통해 인증 시스템과 재인증을 수행하고, 상기 인증부는, 상기 EAP와 상기 AAA 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 재인증을 위해 교환되는 메시지들을 중계하고, 상기 인증 시스템으로부터 재인증 결과 및 권한 제어 정보를 수신하며, 상기 제어부는, 상기 재인증 결과 및 상기 권한 제어 정보에 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속을 제어할 수 있다.
본 발명의 일 실시예에 따른 네트워크 접속 제어 방법은, 하나 이상의 단말로 사용자 인증 정보를 요청하여 상기 사용자 인증 정보를 수신하는 단계, 상기 수신된 사용자 인증 정보를 이용하여 EAP(Extensible Authentication Protocol)를 통해 인증 시스템과 인증을 수행하는 가상 EAP 호스트를 생성하되, 상기 하나 이상의 단말 각각에 대한 가상 EAP 호스트를 생성하는 단계, 상기 EAP와 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 인증을 위해 교환되는 메시지들을 중계하여 상기 인증을 수행하는 단계, 상기 인증 시스템으로부터 인증 결과 및 권한 제어 정보를 수신하는 단계 및 상기 수신된 인증 결과 및 상기 권한 제어 정보 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속 및 권한을 제어하는 단계를 포함한다.
상기 AAA 프로토콜은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜, DIAMETER 프로토콜, TACACS(Terminal Access Controller Access Control System) 프로토콜, TACACS+ 프로토콜 중 하나일 수 있다.
상기 인증을 수행하는 단계는, 상기 가상 EAP 호스트 각각으로부터 수신된 EAP 메시지를 상기 AAA 프로토콜 메시지로 캡슐화(encapsulation)하여 상기 인증 시스템으로 전달하고, 상기 인증 시스템으로부터 수신된 상기 가상 EAP 호스트 각각에 대한 AAA 프로토콜 메시지를 EAP 메시지로 역캡슐화(decapsulation)하여 상기 가상 EAP 호스트 각각으로 전달할 수 있다.
상기 사용자 인증 정보는, 사용자 아이디 및 비밀번호를 포함할 수 있다.
상기 네트워크 접속 제어 방법은, 상기 하나 이상의 단말 각각에 대한 네트워크 접속 권한을 결정하기 위해 이용 가능한 부가 정보를 수집하는 단계를 더 포함하고, 상기 인증을 수행하는 단계는, 상기 부가 정보를 상기 인증 시스템으로 전달할 수 있다.
상기 생성하는 단계는, 상기 생성된 가상 EAP 호스트 각각에 대한 유효기간을 설정할 수 있다.
상기 네트워크 접속 제어 방법은, 상기 유효기간이 만료된 경우, 상기 EAP와 상기 AAA 프로토콜을 통해 상기 유효기간이 만료된 가상 EAP 호스트와 상기 인증 시스템 사이에 재인증을 위해 교환되는 메시지들을 중계하여 상기 재인증을 수행하는 단계, 상기 인증 시스템으로부터 재인증 결과 및 권한 제어 정보를 수신하는 단계 및 상기 재인증 결과 및 상기 권한 제어 정보에 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속을 제어하는 단계를 더 포함할 수 있다.
본 발명의 실시예들에 따르면, EAP를 통한 인증을 위해 각 단말과 네트워크 장비에서 수행되는 기능들이 각 단말에 대한 가상 EAP 호스트를 통해 네트워크 접속 제어 장치 상에서 수행되도록 함으로써, 단말 및 네트워크 환경에 대한 변경 없이 EAP 인증이 가능하도록 할 수 있다.
나아가, 본 발명의 실시예들에 따르면, EAP 인증 시 각 단말에 대한 네트워크 접속 권한 결정에 이용 가능한 부가정보를 인증 시스템으로 전달함으로써, 각 단말에 대한 네트워크 접속 권한 결정 시 보다 다양한 정보들을 고려할 수 있게 되며, 이에 따라 보다 세밀한 네트워크 접속 권한 제어가 가능하게 된다.
또한, 본 발명의 실시예들에 따르면, 각 단말에 대한 가상 EAP 호스트에 유효 기간을 설정하여, 유효 기간 만료시 재인증을 수행하도록 함으로써, 사용자의 권한이 변경되었을 경우 이를 반영할 수 있게 된다.
도 1은 본 발명의 실시예들이 적용되는 네트워크 접속 제어 시스템의 예시도
도 2는 본 발명의 일 실시예에 따른 네트워크 접속 제어 장치의 구성도
도 3은 본 발명의 추가적인 실시예에 따른 네트워크 접속 제어 장치의 구성도
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도
도 5는 본 발명의 추가적인 실시예에 따른 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도
도 6은 본 발명의 일 실시예에 따른 재인증 및 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도
도 7은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 실시예들이 적용되는 네트워크 접속 제어 시스템의 예시도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템(1)은 네트워크 접속 제어 장치(100), 하나 이상의 단말(200-1, 200-2, 200-n) 및 인증 시스템(300)을 포함한다.
네트워크 제어 장치(100)는 하나 이상의 단말(200-1, 200-2, 200-n) 각각에 대한 네트워크 접속을 제어한다. 구체적으로, 본 발명의 일 실시예에 따르면, 네트워크 제어 장치(100)는 EAP(Extensible Authentication Protocol)를 통해 각 단말(200-1, 200-2, 200-n)의 사용자에 인증이 수행되도록 하며, 인증 결과에 따라 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 및 권한을 제어할 수 있다.
이를 위해 본 발명의 일 실시예에 따르면, 네트워크 제어 장치(100)는 각 단말(200-1, 200-2, 200-n)에 대한 가상 EAP 호스트를 생성하고, 생성된 단말별 가상 EAP 호스트를 이용하여 인증 시스템(300)과 각 단말(200-1, 200-2, 200-n)의 사용자에 대한 인증을 수행할 수 있다.
한편, 하나 이상의 단말(200-1, 200-2, 200-n)은 예를 들어, 데스크탑, 노트북, 태블릿 컴퓨터, 스마트폰, PDA 등을 포함할 수 있다. 그러나, 각 단말(200-1, 200-2, 200-n)은 반드시 상술한 예에 한정되는 것은 아니며, 상술한 예 외에도 유/무선 통신 기능을 통해 네트워크에 접속 가능한 다양한 형태의 장치들을 포함할 수 있다.
인증 시스템(300)은 각 단말(200-1, 200-2, 200-n)을 통해 네트워크에 접속하고자 하는 사용자에 대한 인증을 통해 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 허용 여부 및 네트워크 접속 권한을 결정하기 위한 것으로, 예를 들어, RADIUS(Remote Authentication Dial-In User Service) 프로토콜, DIAMETER 프로토콜, TACACS(Terminal Access Controller Access Control System) 프로토콜, TACACS+ 프로토콜 등과 같은 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 각 단말(200-1, 200-2, 200-n)의 사용자에 대한 인증을 수행하는 하나 이상의 서버를 포함할 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 접속 제어 장치의 구성도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 네트워크 접속 제어 장치(100)는 인증 정보 획득부(110), EAP 호스트 생성부(120), 인증부(130) 및 제어부(140)를 포함한다.
인증 정보 획득부(110)는 각 단말(200-1, 200-2, 200-n)로 사용자 인증 정보를 요청하여, 각 단말(200-1, 200-2, 200-n)로부터 사용자 인증 정보를 수신한다. 이때, 사용자 인증 정보는 예를 들어, 사용자 아이디(ID) 및 패스워드를 포함할 수 있다.
EAP 호스트 생성부(120)는 사용자 인증 정보를 전송한 각 단말(200-1, 200-2, 200-n)에 대한 가상 EAP 호스트(121-1, 121-2, 121-n)를 생성한다. 예를 들어, EAP 호스트 생성부(120)는 인증 정보 획득부(110)로부터 각 단말(200-1, 200-2, 200-n)의 사용자 인증 정보 및 각 단말(200-1, 200-2, 200-n)에 대한 가상 EAP 호스트 생성 요청을 수신할 수 있다. 가상 EAP 호스트 생성이 요청된 경우, EAP 호스트 생성부(120)는 각 단말(200-1, 200-2, 200-n)에 대한 가상 EAP 호스트를 생성하고, 생성된 가상 EAP 호스트(121-1, 121-2, 121-n)에 사용자 인증 정보를 전달할 수 있다.
한편, 각 가상 EAP 호스트(121-1, 121-2, 121-n)는 인증 정보 획득부(110)로부터 전달된 사용자 인증 정보를 이용하여 EAP를 통해 인증 시스템(300)과 각 단말(200-1, 200-2, 200-n)의 사용자에 대한 인증을 수행할 수 있다. 이때, EAP를 통한 인증 방식은 예를 들어, PEAP(Protected EAP), EAP-TLS(EAP-Transport Layer Security), EAP-TTLS(EAP-Tunneled Transport Layer Security), LEAP(Lightweight EAP), EAP-FAST(EAP-Flexible Authentication via Secure Tunneling), EAP-MD5(EAP-Message Digest 5) 등을 포함할 수 있다.
인증부(130)는 EAP와 AAA 프로토콜을 통해 가상 EAP 호스트(121-1, 121-2, 121-n) 각각과 인증 시스템(300) 사이에 사용자 인증을 위해 교환되는 메시지들을 중계하고, 인증 시스템(300)으로부터 인증 결과 및 권한 제어 정보를 수신한다. 이때, 권한 제어 정보는 예를 들어, 역할 기반 접근 제어(Role Based Access Control)를 위해 사용자에 할당된 역할(role), 액세스 제어 리스트(ACL: Access Control List), VLAN(Virtual Local Area Network) 정보, 리다이렉트(Redirect) URL(Uniform Resource Locator) 주소, 세션 유효 기간, 안내 메시지 등과 같이 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 권한을 제어하기 위해 요구되는 다양한 정보들을 포함할 수 있다.
구체적으로, 인증부(130)는 각 가상 EAP 호스트(121-1, 121-2, 121-n)와 EAP를 통해 통신하며, 인증 시스템(300)과 AAA 프로토콜을 통해 통신하여 각 가상 EAP 호스트(121-1, 121-2, 121-n)와 인증 시스템(300) 사이에 사용자 인증을 위해 교환되는 메시지들을 중계할 수 있다. 이때, AAA 프로토콜은 예를 들어, RADIUS 프로토콜, DIAMETER 프로토콜, TACACS 프로토콜, TACACS+ 프로토콜 중 하나일 수 있다.
보다 구체적으로, 인증부(130)는 각 가상 EAP 호스트(121-1, 121-2, 121-n)로부터 수신된 EAP 메시지를 AAA 프로토콜 메시지로 캡슐화(encapsulation)하여 인증 시스템(300)으로 전달할 수 있다. 또한, 인증부(130)는 인증 시스템(300)으로부터 수신된 각 가상 EAP 호스트(121-1, 121-2, 121-n)에 대한 AAA 프로토콜 메시지를 EAP 메시지로 역캡슐화(decapsulation)하여 가상 EAP 호스트(121-1, 121-2, 121-n) 각각으로 전달할 수 있다.
한편, 각 가상 EAP 호스트(121-1, 121-2, 121-n)와 인증 시스템(300) 사이에 사용자 인증을 위해 교환되는 메시지들은 인증을 위해 이용되는 EAP 인증 방식(예를 들어, PEAP, EAP-TLS, EAP-TTLS, LEAP, EAP-FAST, EAP-MD5 등)에 따라 상이할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 인증부(130)는 인증 시스템(300)으로부터 각 단말(200-1, 200-2, 200-n)에 대한 인증 결과 및 권한 제어 정보가 수신된 경우, 수신된 인증 결과 및 권한 제어 정보를 제어부(140)로 전달하여 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 및 권한 제어를 요청한다.
제어부(140)는 인증부(130)로부터 수신된 인증 결과 및 접속 권한 제어 정보에 따라 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 및 권한을 제어한다.
예를 들어, 인증 시스템(300)은 단말 1(200-1)의 사용자에 대한 인증이 실패한 경우, 단말 1(200-1)의 사용자에 대한 인증이 실패하였음을 나타내는 인증 결과를 인증부(130)로 전달할 수 있다. 이 경우, 제어부(140)는 인증부(130)로부터 인증 결과를 전달받아 단말 1(200-1)에 대한 네트워크 접속을 차단하도록 네트워크 장비(예를 들어, 스위치, 라우터, AP(Access Point) 등)를 제어할 수 있다.
다른 예로, 인증 시스템(300)은 단말 1(200-1)의 사용자에 대한 인증이 성공한 경우, 단말 1(200-1)의 사용자에 대한 인증이 성공하였음을 나타내는 인증 결과와 단말 1(200-1)의 사용자가 속한 그룹(예를 들어, 임직원, 방문자 등)에 따라 단말 1(200-1)에 할당할 네트워크 VLAN 정보를 포함하는 권한 제어 정보를 인증부(130)로 전달할 수 있다. 이 경우, 제어부(140)는 인증부(130)로부터 인증 결과 및 권한 제어 정보를 전달받아 단말 1(200-1)의 네트워크 VLAN 정보를 네트워크 장비로 전달할 수 있다.
또 다른 예로, 인증 시스템(300)은 단말 2(200-2)의 사용자에 대한 인증이 성공하였으나, 사용자 계정의 비밀번호 변경주기가 지난 경우, 비밀번호 변경 페이지로 자동 연결하기 위한 리다이렉트 URL 주소 및 해당 페이지만 접속 가능한 액세스 제어 리스트를 포함하는 권한 제어 정보와 단말 2(200-2)의 사용자에 대한 인증이 성공하였음을 나타내는 인증 결과를 인증부(130)로 전달할 수 있다. 이 경우, 제어부(140)는 인증부(130)로부터 인증 결과 및 권한 제어 정보를 전달받아 리다이렉트 URL 주소 및 액세스 제어 리스트를 단말 2(200-2) 및 네트워크 장비로 전달함으로써, 단말 2(200-2)가 비밀번호 변경 페이지에만 접속 가능하도록 제어할 수 있다.
도 3은 본 발명의 추가적인 실시예에 따른 네트워크 접속 제어 장치의 구성도이다.
도 3을 참조하면, 본 발명의 추가적인 실시예에 따른 네트워크 접속 제어 장치(100)는 부가 정보 수집부(150)를 더 포함할 수 있다.
부가 정보 수집부(150)는 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 권한 결정을 위해 이용 가능한 부가 정보를 수집하여 인증부(130)로 전달한다.
이때, 부가 정보는 예를 들어, 각 단말(200-1, 200-2, 200-n)의 MAC(Media Access Control) 어드레스, 접속 위치, OS(Operating System) 종류 및 패치 정보, 백신 정보, 각 단말(200-1, 200-2, 200-n)이 접속하고자 하는 네트워크에 포함된 네트워크 장비(예를 들어, 스위치, AP 등)의 IP(Internet Protocol) 어드레스 등을 포함할 수 있다. 그러나, 부가 정보는 반드시 상술한 예에 한정되는 것은 아니며, 각 단말(200-1, 200-2, 200-n), 각 단말(200-1, 200-2, 200-n)에 설치된 프로그램, 각 단말(200-1, 200-2, 200-n)이 접속하고자 하는 네트워크로부터 수집 가능하며 인증 시스템(300)에 의한 네트워크 접속 권한 결정 시 활용 가능한 다양한 종류의 정보들을 포함할 수 있다.
한편, 인증부(130)는 부가 정보 수집부(150)로부터 전달받은 부가 정보를 가상 EAP 호스트(121-1, 121-2, 121-n)로부터 수신된 EAP 메시지에 부가하여 인증 시스템(300)으로 전달할 수 있다. 이후, 인증부(130)는 인증 시스템(300)으로부터 각 단말(200-1, 200-2, 200-n)에 대한 인증 결과 및 권한 제어 정보를 수신하여 제어부(140)로 전달할 수 있다.
이에 따라, 인증 시스템(300)은 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 권한 결정을 위해 사용자에 대한 인증 정보뿐 아니라 부가 정보에 포함된 다양한 정보를 이용할 수 있게 되므로, 보다 세밀한 권한 제어가 가능하게 된다.
예를 들어, 직원 A가 MAC 어드레스가 등록된 업무용 PC가 아니라 개인용 PC를 이용하여 사내 네트워크에 접속하려 하는 경우, 인증 시스템(300)은 비록 직원 A의 사용자 인증 정보를 이용한 인증이 성공되더라도, 부가 정보로서 인증부(130)에 의해 전달된 개인용 PC의 MAC 어드레스가 등록되어 있지 않으므로, 개인용 PC의 네트워크 접속을 차단시키도록 하는 권한 제어 정보를 생성하여 인증부(130)로 전달할 수 있다. 이에 따라, 제어부(140)는 인증부(130)로부터 권한 제어 정보를 전달받아 개인용 PC의 사내 네트워크 접속이 차단되도록 제어할 수 있다.
다른 예로, 특정 회사의 사업장 A에서 근무하는 직원 A가 동일 회사의 사업장 B로 출장을 가서 사업장 B에 구비된 업무용 PC로 사업장 B의 네트워크에 접속하려 하는 경우, 인증 시스템(300)은 부가 정보로서 인증부(130)에 의해 전달된 업무용 PC의 MAC 어드레스, 사업장 B의 네트워크 장비의 IP 주소 및 직원 A의 인증 정보에 기초하여, 해당 업무용 PC에 할당할 출장자용 네트워크 VLAN 정보를 포함하는 권한 제어 정보를 인증부(130)로 전달할 수 있다. 이에 따라, 제어부(140)는 인증부(130)로부터 권한 제어 정보를 전달받아 직원 A가 사업장 B의 출장자용 네트워크에 접속 가능하도록 제어할 수 있다.
한편, 본 발명의 일 실시예에 따르면, EAP 호스트 생성부(120)는 각 단말(200-1, 200-2, 200-n)에 대한 가상 EAP 호스트(121-1, 121-2, 121-n) 생성 시 각 가상 EAP 호스트(121-1, 121-2, 121-n)에 대한 유효 기간을 설정할 수 있다.
이 경우, 각 가상 EAP 호스트(121-1, 121-2, 121-n)는 설정된 유효 기간이 만료되면 최초 인증 시 인증 정보 획득부(110)로부터 전달받은 각 단말(200-1, 200-2, 200-n)의 사용자 인증 정보를 이용하여 EAP를 통해 인증 시스템(300)과 각 단말(200-1, 200-2, 200-n)의 사용자에 대한 재인증을 수행할 수 있다.
이때, 인증부(130)는 EAP와 AAA 프로토콜을 통해 가상 EAP 호스트(121-1, 121-2, 121-n) 각각과 인증 시스템(300) 사이에 재인증을 위해 교환되는 메시지들을 중계하고, 인증 시스템(300)으로부터 인증 결과 및 권한 제어 정보를 수신할 수 있다. 또한, 실시예에 따라, 인증부(130)는 정보 수집부(150)로부터 전달받은 부가 정보를 가상 EAP 호스트(121-1, 121-2, 121-n)로부터 재인증을 위해 수신된 EAP 메시지에 부가하여 인증 시스템(300)으로 전달할 수 있다.
한편, 제어부(140)는 인증부(130)로부터 재인증을 통해 인증 시스템(300)으로부터 수신된 인증 결과 및 권한 제어 정보를 이용하여 각 단말(200-1, 200-2, 200-n)에 대한 네트워크 접속 및 권한을 제어할 수 있다.
한편, 일 실시예에서, 도 1 및 도 2에 도시된 인증 정보 획득부(110), EAP 호스트 생성부(120), 가상 EAP 호스트(121-1, 121-2, 121-n), 인증부(130), 제어부(140) 및 부가 정보 수집부(150)는 하나 이상의 프로세서 및 그 프로세서와 연결된 컴퓨터 판독 가능 기록 매체를 포함하는 하나 이상의 컴퓨팅 장치 상에서 구현될 수 있다. 컴퓨터 판독 가능 기록 매체는 프로세서의 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨팅 장치 내의 프로세서는 각 컴퓨팅 장치로 하여금 본 명세서에서 기술되는 예시적인 실시예에 따라 동작하도록 할 수 있다. 예를 들어, 프로세서는 컴퓨터 판독 가능 기록 매체에 저장된 명령어를 실행할 수 있고, 컴퓨터 판독 가능 기록 매체에 저장된 명령어는 프로세서에 의해 실행되는 경우 컴퓨팅 장치로 하여금 본 명세서에 기술되는 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도이다.
도 4를 참조하면, 인증 정보 획득부(110)는 단말 1(200-1)로 사용자 인증 정보를 요청하여(401), 단말 1(200-1)로부터 사용자 인증 정보를 수신한다(402).
이후, 인증 정보 획득부(110)는 EAP 호스트 생성부(120)에 의해 생성된 단말 1(200-1)에 대한 가상 EAP 호스트 1(120-1)로 사용자 인증 정보를 전달한다(403).
이후, 가상 EAP 호스트 1(120-1)은 사용자 인증 정보를 이용하여 인증 시스템(300)과 사용자 인증을 수행한다(404). 이때, 인증부(130)는 EAP와 AAA 프로토콜을 통해 가상 EAP 호스트 1(121-1)과 인증 시스템(300) 사이에 사용자 인증을 위해 교환되는 메시지들을 중계할 수 있다.
이후, 인증 시스템(300)은 인증 결과 및 권한 제어 정보를 인증부(130)로 전달한다(405).
이후, 인증부(130)는 인증 시스템(300)으로부터 전달받은 인증 결과 및 권한 제어 정보를 제어부(140)로 전달하여 단말 1(200-1)에 대한 네트워크 접속 및 권한 제어를 요청한다(406).
이후, 제어부(140)는 인증부(140)로부터 전달받은 인증 결과 및 권한 제어 정보에 따라 단말 1(200-1)에 대한 네트워크 접속 및 권한을 제어한다(407).
도 5는 본 발명의 추가적인 실시예에 따른 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도이다.
도 5를 참조하면, 인증 정보 획득부(110)는 단말 1(200-1)로 사용자 인증 정보를 요청하여(501), 단말 1(200-1)로부터 사용자 인증 정보를 수신한다(502).
이후, 인증 정보 획득부(110)는 EAP 호스트 생성부(120)에 의해 생성된 단말 1(200-1)에 대한 가상 EAP 호스트 1(120-1)로 사용자 인증 정보를 전달한다(503).
이후, 부가 정보 수집부(150)는 단말 1(200-1)에 대한 네트워크 접속 권한 결정을 위해 이용 가능한 부가 정보를 수집하여 인증부(130)로 전달한다(504).
이후, 가상 EAP 호스트 1(120-1)는 사용자 인증 정보를 이용하여 인증 시스템(300)과 사용자 인증을 수행한다(505). 이때, 인증부(130)는 EAP와 AAA 프로토콜을 통해 가상 EAP 호스트 1(121-1)과 인증 시스템(300) 사이에 사용자 인증을 위해 교환되는 메시지들을 중계하되, 가상 호스트 1(120-1)로부터 수신된 EAP 메시지에 부가 정보를 추가하여 인증 시스템(300)으로 전달할 수 있다.
이후, 인증 시스템(300)은 인증 결과 및 권한 제어 정보를 인증부(130)로 전달한다(506).
이후, 인증부(130)는 인증 시스템(300)으로부터 전달받은 인증 결과 및 권한 제어 정보를 제어부(140)로 전달하여 단말 1(200-1)에 대한 네트워크 접속 및 권한 제어를 요청한다(507).
이후, 제어부(140)는 인증부(140)로부터 전달받은 인증 결과 및 권한 제어 정보에 따라 단말 1(200-1)에 대한 네트워크 접속 및 권한을 제어한다(507).
도 6은 본 발명의 일 실시예에 따른 재인증 및 네트워크 접속 제어 과정의 일 예를 나타낸 흐름도이다.
도 6을 참조하면, 가상 EAP 호스트 1(120-1)에 설정된 유효 기간이 만료된 경우(601), 가상 EAP 호스트 1(120-1)은 단말 1(200-1)의 사용자 인증 정보를 이용하여 인증 시스템(300)과 단말 1(200-1)의 사용자에 대한 재인증을 수행한다(602). 이때, 가상 EAP 호스트 1(120-1)은 예를 들어, 도 4 또는 도 5에 도시된 최초 인증 과정에서 인증 정보 획득부(110)로부터 전달받은 사용자 인증 정보를 이용할 수 있다.
한편, 인증부(130)는 EAP와 AAA 프로토콜을 통해 가상 EAP 호스트 1(121-1)과 인증 시스템(300) 사이에 재인증을 위해 교환되는 메시지들을 중계할 수 있다. 이때, 실시예에 따라, 인증부(130)는 부가 정보 수집부(150)에 의해 수집된 부가 정보를 가상 호스트 1(120-1)로부터 수신된 EAP 메시지에 추가하여 인증 시스템(300)으로 전달할 수 있다.
이후, 인증 시스템(300)은 인증 결과 및 권한 제어 정보를 인증부(130)로 전달한다(603).
이후, 인증부(130)는 인증 시스템(300)으로부터 전달받은 인증 결과 및 권한 제어 정보를 제어부(140)로 전달하여 단말 1(200-1)에 대한 네트워크 접속 및 권한 제어를 요청한다(604).
이후, 제어부(140)는 인증부(140)로부터 전달받은 인증 결과 및 권한 제어 정보에 따라 단말 1(200-1)에 대한 네트워크 접속 및 권한을 제어한다(605).
한편, 도 4 내지 도 6에 도시된 흐름도에서는 네트워크 접속 제어 과정을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 7은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 도 2 및 도 3에 도시된 인증 정보 획득부(110), EAP 호스트 생성부(120), 가상 EAP 호스트(121-1, 121-2, 121-n), 인증부(130), 제어부(140) 및 부가 정보 수집부(150)와 같이 네트워크 접속 제어 장치(100)에 포함되는 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 네트워크 접속 제어 장치
110: 인증 정보 획득부
120: EAP 호스트 생성부
121-1, 121-2, 121-n: 가상 EAP 호스트
130: 인증부
140: 제어부
150: 부가 정보 수집부
200-1, 200-2, 200-n: 단말
300: 인증 시스템

Claims (14)

  1. 하나 이상의 단말로 사용자 인증 정보를 요청하여 상기 사용자 인증 정보를 수신하는 인증 정보 획득부;
    상기 수신된 사용자 인증 정보를 이용하여 EAP(Extensible Authentication Protocol)를 통해 인증 시스템과 인증을 수행하는 가상 EAP 호스트를 생성하되, 상기 하나 이상의 단말 각각에 대한 가상 EAP 호스트를 생성하는 EAP 호스트 생성부;
    상기 EAP와 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 인증을 위해 교환되는 메시지들을 중계하고, 상기 인증 시스템으로부터 인증 결과 및 권한 제어 정보를 수신하는 인증부; 및
    상기 수신된 인증 결과 및 상기 권한 제어 정보 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속 및 권한을 제어하는 제어부를 포함하는 네트워크 접속 제어 장치.
  2. 청구항 1에 있어서,
    상기 AAA 프로토콜은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜, DIAMETER 프로토콜, TACACS(Terminal Access Controller Access Control System) 프로토콜, TACACS+ 프로토콜 중 하나인 네트워크 접속 제어 장치.
  3. 청구항 1에 있어서,
    상기 인증부는, 상기 가상 EAP 호스트 각각으로부터 수신된 EAP 메시지를 상기 AAA 프로토콜 메시지로 캡슐화(encapsulation)하여 상기 인증 시스템으로 전달하고, 상기 인증 시스템으로부터 수신된 상기 가상 EAP 호스트 각각에 대한 AAA 프로토콜 메시지를 EAP 메시지로 역캡슐화(decapsulation)하여 상기 가상 EAP 호스트 각각으로 전달하는 네트워크 접속 제어 장치.
  4. 청구항 1에 있어서,
    상기 사용자 인증 정보는, 사용자 아이디 및 비밀번호를 포함하는 네트워크 접속 제어 장치.
  5. 청구항 1에 있어서,
    상기 하나 이상의 단말 각각에 대한 네트워크 접속 권한을 결정하기 위해 이용 가능한 부가 정보를 수집하는 부가 정보 수집부를 더 포함하고,
    상기 인증부는, 상기 부가 정보를 상기 인증 시스템으로 전달하는 네트워크 접속 제어 장치.
  6. 청구항 1에 있어서,
    상기 EAP 호스트 생성부는, 상기 생성된 가상 EAP 호스트 각각에 대한 유효기간을 설정하는 네트워크 접속 제어 장치.
  7. 청구항 6에 있어서,
    상기 가상 EAP 호스트는, 상기 유효기간이 만료된 경우, 상기 EAP를 통해 인증 시스템과 재인증을 수행하고,
    상기 인증부는, 상기 EAP와 상기 AAA 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 재인증을 위해 교환되는 메시지들을 중계하고, 상기 인증 시스템으로부터 재인증 결과 및 권한 제어 정보를 수신하며,
    상기 제어부는, 상기 재인증 결과 및 상기 권한 제어 정보에 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속을 제어하는 네트워크 접속 제어 장치.
  8. 하나 이상의 단말로 사용자 인증 정보를 요청하여 상기 사용자 인증 정보를 수신하는 단계;
    상기 수신된 사용자 인증 정보를 이용하여 EAP(Extensible Authentication Protocol)를 통해 인증 시스템과 인증을 수행하는 가상 EAP 호스트를 생성하되, 상기 하나 이상의 단말 각각에 대한 가상 EAP 호스트를 생성하는 단계;
    상기 EAP와 AAA(Authentication, Authorization, Accounting) 프로토콜을 통해 상기 가상 EAP 호스트 각각과 인증 시스템 사이에 상기 인증을 위해 교환되는 메시지들을 중계하여 상기 인증을 수행하는 단계;
    상기 인증 시스템으로부터 인증 결과 및 권한 제어 정보를 수신하는 단계; 및
    상기 수신된 인증 결과 및 상기 권한 제어 정보 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속 및 권한을 제어하는 단계를 포함하는 네트워크 접속 제어 방법.
  9. 청구항 8에 있어서,
    상기 AAA 프로토콜은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜, DIAMETER 프로토콜, TACACS(Terminal Access Controller Access Control System) 프로토콜, TACACS+ 프로토콜 중 하나인 네트워크 접속 제어 방법.
  10. 청구항 8에 있어서,
    상기 인증을 수행하는 단계는, 상기 가상 EAP 호스트 각각으로부터 수신된 EAP 메시지를 상기 AAA 프로토콜 메시지로 캡슐화(encapsulation)하여 상기 인증 시스템으로 전달하고, 상기 인증 시스템으로부터 수신된 상기 가상 EAP 호스트 각각에 대한 AAA 프로토콜 메시지를 EAP 메시지로 역캡슐화(decapsulation)하여 상기 가상 EAP 호스트 각각으로 전달하는 네트워크 접속 제어 방법.
  11. 청구항 8에 있어서,
    상기 사용자 인증 정보는, 사용자 아이디 및 비밀번호를 포함하는 네트워크 접속 제어 방법.
  12. 청구항 8에 있어서,
    상기 하나 이상의 단말 각각에 대한 네트워크 접속 권한을 결정하기 위해 이용 가능한 부가 정보를 수집하는 단계를 더 포함하고,
    상기 인증을 수행하는 단계는, 상기 부가 정보를 상기 인증 시스템으로 전달하는 네트워크 접속 제어 방법.
  13. 청구항 8에 있어서,
    상기 생성하는 단계는, 상기 생성된 가상 EAP 호스트 각각에 대한 유효기간을 설정하는 네트워크 접속 제어 방법.
  14. 청구항 13에 있어서,
    상기 유효기간이 만료된 경우, 상기 EAP와 상기 AAA 프로토콜을 통해 상기 유효기간이 만료된 가상 EAP 호스트와 상기 인증 시스템 사이에 재인증을 위해 교환되는 메시지들을 중계하여 상기 재인증을 수행하는 단계;
    상기 인증 시스템으로부터 재인증 결과 및 권한 제어 정보를 수신하는 단계; 및
    상기 재인증 결과 및 상기 권한 제어 정보에 따라 상기 하나 이상의 단말 각각에 대한 네트워크 접속을 제어하는 단계를 더 포함하는 네트워크 접속 제어 방법.


KR1020170127276A 2017-09-29 2017-09-29 네트워크 접속 제어 장치 및 방법 KR20190037684A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170127276A KR20190037684A (ko) 2017-09-29 2017-09-29 네트워크 접속 제어 장치 및 방법
US16/134,394 US20190104130A1 (en) 2017-09-29 2018-09-18 Apparatus and method for controlling network access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170127276A KR20190037684A (ko) 2017-09-29 2017-09-29 네트워크 접속 제어 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20190037684A true KR20190037684A (ko) 2019-04-08

Family

ID=65896438

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170127276A KR20190037684A (ko) 2017-09-29 2017-09-29 네트워크 접속 제어 장치 및 방법

Country Status (2)

Country Link
US (1) US20190104130A1 (ko)
KR (1) KR20190037684A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101624645B1 (ko) 2008-03-20 2016-05-26 삼성전자주식회사 원격 접속 서비스를 제공하는 UPnP 장치 및 그 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539544B2 (en) * 2008-05-30 2013-09-17 Motorola Mobility Llc Method of optimizing policy conformance check for a device with a large set of posture attribute combinations
US8984590B2 (en) * 2011-11-08 2015-03-17 Qualcomm Incorporated Enabling access to key lifetimes for wireless link setup
US20180198786A1 (en) * 2017-01-11 2018-07-12 Pulse Secure, Llc Associating layer 2 and layer 3 sessions for access control

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101624645B1 (ko) 2008-03-20 2016-05-26 삼성전자주식회사 원격 접속 서비스를 제공하는 UPnP 장치 및 그 방법

Also Published As

Publication number Publication date
US20190104130A1 (en) 2019-04-04

Similar Documents

Publication Publication Date Title
US20190173871A1 (en) Using application level authentication for network login
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
KR101013523B1 (ko) 액세스 네트워크 사이의 연동에서의 과도적인 인증 공인 계정
JP6526248B2 (ja) サーバ及びプログラム
JP5334693B2 (ja) ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
US20120311660A1 (en) SYSTEM AND METHOD FOR MANAGING IPv6 ADDRESS AND ACCESS POLICY
JP5112806B2 (ja) 無線lanの通信方法及び通信システム
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US9438583B2 (en) Certificate generation method, certificate generation apparatus, information processing apparatus, and communication device
US9590972B2 (en) Application authentication using network authentication information
CN101986598B (zh) 认证方法、服务器及系统
KR20130109322A (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
CN112615810B (zh) 一种访问控制方法及装置
CN105592062A (zh) 一种保持ip地址不变的方法及装置
US11870760B2 (en) Secure virtual personalized network
US10129074B2 (en) Techniques for accessing logical networks via a virtualized gateway
CN106612281A (zh) 一种基于移动终端的电子资源服务权限控制方法
JP2016066298A (ja) 中継装置、通信システム、情報処理方法、及び、プログラム
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
JP6577546B2 (ja) リモートアクセス制御システム
KR20190037684A (ko) 네트워크 접속 제어 장치 및 방법
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
CN101742507B (zh) 一种WAPI终端访问Web应用站点的系统及方法
KR20190043921A (ko) 방화벽 정책 제어 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application