KR20220056569A - Apparatus and method for controlling network access - Google Patents
Apparatus and method for controlling network access Download PDFInfo
- Publication number
- KR20220056569A KR20220056569A KR1020200141264A KR20200141264A KR20220056569A KR 20220056569 A KR20220056569 A KR 20220056569A KR 1020200141264 A KR1020200141264 A KR 1020200141264A KR 20200141264 A KR20200141264 A KR 20200141264A KR 20220056569 A KR20220056569 A KR 20220056569A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- terminal
- policy
- communication
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 네트워크 접속 제어를 위한 장치 및 방법에 관한 것으로, 보다 구체적으로 인증 채널과 데이터 채널을 분리 운영하여 네트워크 접속을 제어하기 위한 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for controlling network access, and more particularly, to an apparatus and method for controlling network access by separately operating an authentication channel and a data channel.
재택 근무가 활성화되면서 그리고 통신 기술이 발전함에 따라 기업 종원원이 원격지에서 기업 내부의 인트라넷에 접속하기 위한 네트워크 접속 제어 시스템이 개발되고 있다. 네트워크 접속 제어 시스템에서는 접근 허용 조건을 만족하는 통신 단말만을 기업에 구축된 인트라넷(또는 사설망)에 접속할 수 있도록 허가한다. As telecommuting becomes active and communication technology develops, a network access control system is being developed for corporate employees to access an intranet inside a company from a remote location. In the network access control system, only communication terminals satisfying the access permission conditions are permitted to access the intranet (or private network) established in the enterprise.
최근에는 5G 네트워크가 구축되면서, 5G 네트워크에 기업 전용 네트워크를 네트워크 슬라이스 기술을 이용하여 구축하고, 기업 종업원이 원격지에서 5G의 기업 전용 네트워크에 접속하여 기업 내 인트라넷에 접속할 수 있도록 하는 서비스가 제공되고 있다. Recently, as the 5G network has been built, a service is provided that allows a company-only network to be built on a 5G network using network slice technology, and a service that allows corporate employees to connect to the corporate intranet by accessing the 5G corporate-only network from a remote location. .
이와 같은 네트워크 접속 제어 시스템에서는 접속하는 사용자가 허가된 사용자인지 인증하는 기술이 도입되어야 한다. 사용자를 인증하는 방법은 여러 방법이 존재한다. 사용자가 사용하는 통신 기기의 물리적 인터페이스의 주소(MAC 주소 등)를 이용하는 방법, ID/PW를 이용하는 방법, 고정된 통신 경로로만 접속하도록 하는 방법 등이 존재한다. In such a network access control system, a technology for authenticating whether a connecting user is an authorized user should be introduced. There are several methods for authenticating a user. There are a method of using an address (MAC address, etc.) of a physical interface of a communication device used by a user, a method of using ID/PW, a method of allowing access only through a fixed communication path, and the like.
물리적 인터페이스 주소를 이용한 방법은, RNDIS(Remote Network Driver Interface Specification) 인터페이스를 이용하여 USB(Universal Series Bus) 포트를 데이터 채널로 활용할 경우, USB 인터페이스에 대한 MAC 주소 등의 물리적 주소가 임시로 생성되므로, 접속시마다 USB 인터페이스의 물리적 주소가 변경되기 때문에, 인증 방법으로 사용하기에는 적합하지 않다. In the method using the physical interface address, when a USB (Universal Series Bus) port is used as a data channel using the RNDIS (Remote Network Driver Interface Specification) interface, a physical address such as a MAC address for the USB interface is temporarily created. Since the physical address of the USB interface changes every time it is connected, it is not suitable for use as an authentication method.
ID/PW를 이용하는 방법은, 사람이 기억하는 인증용 데이터를 이용하는 대표적인 방법으로, 훔쳐보기를 통해 ID/PW가 유출될 수 있는 문제점이 있고, 주기적으로 ID/PW 등의 인증용 데이터를 갱신하고 복잡하게 설정해야 하기 때문에, 관리의 한계로 인해 보안이 취약해질 가능성이 존재한다.The method of using ID/PW is a representative method of using data for authentication that a person remembers, and there is a problem that ID/PW may be leaked through spying. Because it has to be set in a complicated way, there is a possibility that the security will be weak due to the limitation of management.
고정된 통신 경로로만 접속하도록 하여 사용자를 인증하는 방법은, 고정된 통신 경로로 접속하는 통신 기기 간에 서로의 트래픽을 훔쳐보는 등의 문제가 있어, 이를 기업 내 인증 방법으로 사용할 경우, 기업 내 기밀 데이터 등이 유출될 가능성이 있다.The method of authenticating a user by allowing access only through a fixed communication path has problems such as spying on each other's traffic between communication devices connected through a fixed communication path. There is a possibility of leakage.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, 원격지에서 5G 등의 통신망을 통해 기업 내 인트라넷 등에 접속하는데 있어서 보안을 강화하기 위해 원격지에 위치하는 사용자 단말에 대해 인증 채널과 데이터 채널을 분리 운영하여 네트워크 접속을 제어하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and in order to strengthen security in accessing an intranet within a company through a communication network such as 5G from a remote location, an authentication channel and a data channel are separated and operated for a user terminal located at a remote location Accordingly, an object of the present invention is to provide an apparatus and method for controlling network access.
일 실시예에 따른, 관리 서버, 신뢰 서버 및 사용자 단말과 통신하여 상기 사용자 단말의 접속을 제어하는 통신 단말은, 상기 사용자 단말과 통신하기 위한 서로 상이한 복수의 제1통신 인터페이스; 상기 관리 서버 및 상기 신뢰 서버와 통신하기 위한 제2통신 인터페이스; 상기 관리 서버로부터 통신 단말용 인증 정책 및 통신 단말용 접속 정책을 수신하는 정책 수신부; 상기 통신 단말용 인증 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 하나를 인증용 통신 인터페이스로서 활성화하고, 상기 통신 단말용 접속 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 다른 하나를 데이터용 통신 인터페이스로서 활성화하는 연결 관리부; 및 상기 통신 단말용 인증 정책에 기초하여 상기 제2통신 인터페이스를 통해 상기 신뢰 서버와 인증 채널을 형성하고, 상기 통신 단말용 접속 정책에 기초하여 상기 제2통신 인터페이스를 통해 상기 신뢰 서버와 데이터 채널을 형성하는 경로 제어부를 포함한다.According to an embodiment, a communication terminal communicating with a management server, a trust server, and a user terminal to control access of the user terminal includes: a plurality of different first communication interfaces for communicating with the user terminal; a second communication interface for communicating with the management server and the trust server; a policy receiver for receiving an authentication policy for a communication terminal and an access policy for a communication terminal from the management server; Activate one of the plurality of first communication interfaces as a communication interface for authentication based on the authentication policy for the communication terminal, and communicate the other one of the plurality of first communication interfaces for data based on the access policy for the communication terminal. a connection management unit activating as an interface; and establishing an authentication channel with the trusted server through the second communication interface based on the authentication policy for the communication terminal, and establishing a data channel with the trusted server through the second communication interface based on the access policy for the communication terminal. It includes a path control unit to form.
상기 경로 제어부는, 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 인증 요청을 상기 인증 채널을 통해 상기 신뢰 서버를 경유하여 상기 관리 서버로 전송할 수 있다.The path control unit may transmit an authentication request received from the user terminal through the authentication communication interface to the management server via the trust server through the authentication channel.
상기 정책 수신부는, 상기 사용자 단말의 인증 성공 응답으로서 상기 관리 서버로부터 상기 통신 단말용 접속 정책을 상기 인증 채널을 통해 수신하고, 상기 경로 제어부는, 상기 사용자 단말의 인증 성공 응답으로서 상기 인증 채널을 통해 상기 관리 서버로부터 수신되는 사용자 단말용 접속 정책을 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송할 수 있다.The policy receiving unit receives the access policy for the communication terminal from the management server as an authentication success response of the user terminal through the authentication channel, and the path control unit, as an authentication success response of the user terminal, through the authentication channel The access policy for the user terminal received from the management server may be transmitted to the user terminal through the communication interface for authentication.
상기 사용자 단말용 접속 정책은, 추가 인증용 데이터 및 데이터용 통신 인터페이스 정보를 포함하고, 상기 경로 제어부는, 상기 데이터용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 상기 추가 인증용 데이터를 포함하는 접속 요청을 상기 데이터 채널을 통해 상기 신뢰 서버로 전송할 수 있다.The access policy for the user terminal includes data for additional authentication and communication interface information for data, and the path control unit is an access request including the data for additional authentication received from the user terminal through the communication interface for data may be transmitted to the trusted server through the data channel.
상기 경로 제어부는, 상기 통신 단말용 접속 정책에 포함된 사용자 권한 레벨 정보에 기초하여 상기 신뢰 서버와 상기 데이터 채널로서 다중 보안 채널을 형성할 수 있다.The path control unit may form multiple secure channels as the data channel with the trusted server based on user authority level information included in the access policy for the communication terminal.
상기 연결 관리부는, 상기 통신 단말용 접속 정책에 포함된 접속 허용 단말 수에 기초하여 상기 접속 요청을 거부하거나 허가할 수 있다.The connection manager may reject or permit the access request based on the number of access allowed terminals included in the access policy for the communication terminal.
일 실시예에 따른, 관리 서버, 신뢰 서버 및 사용자 단말과 통신하는 통신 단말이 상기 사용자 단말의 접속을 제어하는 방법은, 상기 관리 서버로부터 통신 단말용 인증 정책을 수신하는 단계; 상기 통신 단말용 인증 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 하나를 인증용 통신 인터페이스로서 활성화하는 단계; 상기 통신 단말용 인증 정책에 기초하여 상기 신뢰 서버와 인증 채널을 형성하는 단계; 상기 관리 서버로부터 통신 단말용 접속 정책을 수신하는 단계; 상기 통신 단말용 접속 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 다른 하나를 데이터용 통신 인터페이스로서 활성화하는 단계; 및 상기 통신 단말용 접속 정책에 기초하여 상기 신뢰 서버와 데이터 채널을 형성하는 단계를 포함한다.According to an embodiment, a method for a communication terminal communicating with a management server, a trust server, and a user terminal to control access of the user terminal includes: receiving an authentication policy for a communication terminal from the management server; activating one of the plurality of first communication interfaces as a communication interface for authentication based on the authentication policy for the communication terminal; forming an authentication channel with the trusted server based on the authentication policy for the communication terminal; receiving an access policy for a communication terminal from the management server; activating the other one of the plurality of first communication interfaces as a communication interface for data based on the access policy for the communication terminal; and establishing a data channel with the trusted server based on the access policy for the communication terminal.
상기 방법은, 상기 통신 단말용 접속 정책을 수신하는 단계 이전에, 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 인증 요청을 상기 인증 채널을 통해 상기 신뢰 서버를 경유하여 상기 관리 서버로 전송하는 단계를 더 포함할 수 있다.In the method, before receiving the access policy for the communication terminal, the authentication request received from the user terminal through the communication interface for authentication is transmitted to the management server via the trust server through the authentication channel. It may include further steps.
상기 통신 단말용 접속 정책을 수신하는 단계는, 상기 사용자 단말의 인증 성공 응답으로서 상기 통신 단말용 접속 정책을 상기 인증 채널을 통해 수신하고, 상기 방법은, 상기 사용자 단말의 인증 성공 응답으로서 상기 인증 채널을 통해 상기 관리 서버로부터 수신되는 사용자 단말용 접속 정책을 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송하는 단계를 더 포함할 수 있다.The receiving of the access policy for the communication terminal includes receiving the access policy for the communication terminal as an authentication success response of the user terminal through the authentication channel, the method comprising: the authentication channel as an authentication success response of the user terminal The method may further include transmitting the access policy for the user terminal received from the management server through the communication interface for authentication to the user terminal.
상기 사용자 단말용 접속 정책은, 추가 인증용 데이터 및 데이터용 통신 인터페이스 정보를 포함하고, 상기 방법은, 상기 데이터용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 상기 추가 인증용 데이터를 포함하는 접속 요청을 상기 데이터 채널을 통해 상기 신뢰 서버로 전송하는 단계를 더 포함할 수 있다.The access policy for the user terminal includes data for additional authentication and communication interface information for data, and the method includes: an access request including the data for additional authentication received from the user terminal through the communication interface for data The method may further include transmitting to the trusted server through the data channel.
상기 데이터 채널을 형성하는 단계는, 상기 통신 단말용 접속 정책에 포함된 사용자 권한 레벨 정보에 기초하여 상기 신뢰 서버와 상기 데이터 채널로서 다중 보안 채널을 형성할 수 있다.The forming of the data channel may include forming multiple secure channels as the data channel with the trusted server based on user authority level information included in the access policy for the communication terminal.
상기 방법은, 상기 통신 단말용 접속 정책에 포함된 접속 허용 단말 수에 기초하여 상기 접속 요청을 거부하거나 허가하는 단계를 더 포함할 수 있다.The method may further include rejecting or permitting the access request based on the number of access allowed terminals included in the access policy for the communication terminal.
일 실시예에 따른, 통신 단말을 경유하여 신뢰 서버로 접속하는 사용자 단말의 접속을 제어하는 관리 장치는, 통신망을 통해 상기 통신 단말로부터 인증 정책 요청을 수신하고, 상기 사용자 단말과 통신할 인증용 통신 인터페이스의 정보 및 상기 신뢰 서버와의 인증 채널을 형성할 통신 상대인 상기 신뢰 서버의 정보를 포함하는 통신 단말용 인증 정책을 상기 통신 단말로 전송하는 정책 관리부; 및 상기 인증용 통신 인터페이스 및 상기 인증 채널을 통해 상기 사용자 단말로부터 수신되는 인증 요청에 따라 상기 사용자 단말을 인증하는 인증부를 포함하고, 상기 정책 관리부는, 인증 성공 응답으로서 상기 사용자 단말과 통신할 데이터용 통신 인터페이스의 정보 및 상기 신뢰 서버와의 데이터 채널을 형성할 통신 상대인 상기 신뢰 서버의 정보를 포함하는 통신 단말용 접속 정책을 상기 인증 채널을 통해 상기 통신 단말로 전송할 수 있다.According to an embodiment, a management device for controlling access of a user terminal accessing a trusted server via a communication terminal receives an authentication policy request from the communication terminal through a communication network, and communication for authentication to communicate with the user terminal a policy management unit configured to transmit, to the communication terminal, an authentication policy for a communication terminal including interface information and information on the trusted server that is a communication counterpart to form an authentication channel with the trusted server; and an authentication unit configured to authenticate the user terminal according to an authentication request received from the user terminal through the authentication communication interface and the authentication channel, wherein the policy management unit is for data to be communicated with the user terminal as an authentication success response An access policy for a communication terminal including information on a communication interface and information on the trusted server as a communication counterpart to form a data channel with the trusted server may be transmitted to the communication terminal through the authentication channel.
상기 정책 관리부는, 상기 인증 성공 응답으로서 상기 통신 단말과 통신할 데이터용 통신 인터페이스의 정보와, 임시로 사용하기 위해 생성한 추가 인증용 데이터를 포함하는 사용자 단말용 접속 정책을 상기 인증 채널 및 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송할 수 있다.The policy management unit may include, as the authentication success response, an access policy for a user terminal including information of a communication interface for data to communicate with the communication terminal and data for additional authentication generated for temporary use as the authentication channel and the authentication It can be transmitted to the user terminal through the communication interface.
상기 정책 관리부는, 상기 통신 단말의 정보와, 상기 추가 인증용 데이터를 포함하는 서버용 접속 정책을 상기 신뢰 서버로 전송할 수 있다.The policy management unit may transmit the server access policy including the information of the communication terminal and the additional authentication data to the trusted server.
상기 정책 관리부는, 상기 사용자 단말의 사용자 권한 레벨 정보를 상기 서버용 접속 정책과 상기 통신 단말용 접속 정책에 포함하여 전송할 수 있다.The policy management unit may transmit the information about the user authority level of the user terminal including the access policy for the server and the access policy for the communication terminal.
상기 정책 관리부는, 암호화 방식 및 암호화 키를 상기 서버용 접속 정책, 상기 통신 단말용 접속 정책 및 상기 사용자 단말용 접속 정책에 각각 포함하여 전송할 수 있다.The policy manager may include an encryption method and an encryption key in the access policy for the server, the access policy for the communication terminal, and the access policy for the user terminal, respectively, and transmit it.
본 발명은 인증 채널과 데이터 채널을 분리 운용하여 블루투스와 같은 저속의 통신 인터페이스나 사내 보안 규정으로 데이터 채널을 활용할 수 없는 와이파이 통신 인터페이스 등을 기기 인증 전용의 채널로 활용함으로써 기존 하나의 데이터 채널만을 운용할 때의 보안 한계를 극복할 수 있다.The present invention operates only one data channel by using a low-speed communication interface such as Bluetooth or a Wi-Fi communication interface that cannot use a data channel due to internal security regulations as a channel dedicated to device authentication by separating the authentication channel and the data channel. It can overcome the security limitations when doing
본 발명은 인증 채널을 통해 기기 인증 및/또는 사용자 인증을 한 후 사용자도 모르는 추가 인증 데이터를 생성하여 접속 기기로 전달하고 접속 기기가 데이터 채널로 접속시 추가 인증 데이터로 추가 인증을 수행함으로써 인증 정보의 유출 가능성을 차단하여 보안을 강화할 수 있다.According to the present invention, after device authentication and/or user authentication through an authentication channel, additional authentication data that the user does not know is generated and transmitted to the access device, and when the access device accesses the data channel, additional authentication is performed with additional authentication data to provide authentication information Security can be strengthened by blocking the possibility of leakage of
본 발명은 네트워크에 접속할 수 있는 접속 기기의 수를 동적으로 제어함으로써 네트워크 접속 보안을 강화할 수 있고, 또한 사용자 권한 레벨레 따라 동적으로 다중 보안 채널을 구성함으로써 보안을 강화할 수 있다.The present invention can enhance network access security by dynamically controlling the number of access devices that can access the network, and can also enhance security by dynamically configuring multiple secure channels according to user authority levels.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템의 구성을 나타낸 도면이다.
도 2는 도 1의 1차 단말 및 2차 단말의 구성을 나타낸 도면이다.
도 3은 도 1의 관리 서버 및 신뢰 서버의 구성을 나타낸 도면이다.
도 4 내지 도 6은 본 발명의 일 실시예에 따른 2차 단말과 신뢰 서버 간의 데이터 채널을 설명하는 도면이다.
도 7은 도 1의 네트워크 접속 제어 시스템에서 2차 단말을 인증하는 방법을 설명하는 흐름도이다.
도 8은 도 1의 네트워크 접속 제어 시스템에서 2차 단말의 기업 인트라넷 접속 방법을 설명하는 흐름도이다.1 is a diagram showing the configuration of a network access control system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating the configuration of a primary terminal and a secondary terminal of FIG. 1 .
3 is a diagram illustrating the configuration of a management server and a trust server of FIG. 1 .
4 to 6 are diagrams for explaining a data channel between a secondary terminal and a trusted server according to an embodiment of the present invention.
7 is a flowchart illustrating a method of authenticating a secondary terminal in the network access control system of FIG. 1 .
8 is a flowchart illustrating a method of accessing a corporate intranet of a secondary terminal in the network access control system of FIG. 1 .
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features, and advantages will become more apparent through the following detailed description in relation to the accompanying drawings, whereby those of ordinary skill in the art to which the present invention pertains can easily implement the technical idea of the present invention. There will be. In addition, in the description of the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템의 구성을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 네트워크 접속 제어 시스템은, 1차 단말(110), 2차 단말(120), 관리 서버(130), 신뢰 서버(140), 이들을 연결하는 통신망(150) 및, 기업 인트라넷(160)을 포함한다. 도 1을 참조한 본 실시예에서, 접속 제어 시스템은, 2차 단말(220)의 기업 인트라넷(160)로의 접속을 제어한다. 본 실시예에서 2차 단말(220)의 접속 목적지로서 기업 인트라넷(160)을 설명하지만 여기에 제한되는 것은 아니며 접속 목적지로서 다른 서버나 또 다른 종단 단말일 수도 있다. 1 is a diagram showing the configuration of a network access control system according to an embodiment of the present invention. Referring to FIG. 1 , the network access control system according to the present embodiment includes a
1차 단말(110)은, 2차 단말(120)로부터 수신되는 사용자 트래픽을 외부망, 보다 구체적으로 관리 서버(130) 또는 신뢰 서버(140)로 전송하는 역할을 수행한다. 이를 위해, 1차 단말(110)은, 2차 단말(120)의 접속 호스트가 되기 위해 액세스 포인트의 역할을 수행하고, 또한 외부망으로의 경로를 생성하여 사용자 트래픽을 라우팅한다. The
1차 단말(110)은, 모바일 라우터, 또는 고정형 라우터 등을 포함하며, 통신망(150)을 통해 관리 서버(130)와 신뢰 서버(140)와 통신할 수 있고, 관리 서버(130)에 의해 제어될 수 있는 통신 단말이라면 특별히 제한되지 않는다.The
1차 단말(110)은, 관리 서버(130)로부터 수신되는 정책에 따라, 2차 단말(120)이 관리 서버(130)에 접속하여 인증을 수행하기 위한 인증 채널을 신뢰 서버(140)와 생성하고, 또한 2차 단말(120)이 신뢰 서버(140)을 경유하여 기업 인트라넷(150)에 접속하여 데이터를 송수신하기 위한 데이터 채널을 신뢰 서버(140)와 생성한다.The
1차 단말(110)은, 복수의 통신 인터페이스를 포함한다. 상기 복수의 통신 인터페이스는, 2차 단말(120)과 통신하기 위한 서로 상이한 복수의 통신 인터페이스와, 통신망(150)과 통신하기 위한 통신 인터페이스를 포함한다. 2차 단말(120)과 통신하기 위한 통신 인터페이스는, 예를 들어, 와이파이(Wi-Fi), 유선 이더넷(Wired Ethernet), 블루투스(Bluetooth), USB 등을 포함한다. 통신망(150)과 통신하기 위한 통신 인터페이스는, 예를 들어, 5G 모뎀, 또는 LTE 모뎀 등을 포함한다.The
1차 단말(110)은, 관리 서버(130)로부터 수신되는 정책에 따라, 2차 단말(120)에 대해 복수의 통신 인터페이스 중 인증용 통신 인터페이스와 데이터용 통신 인터페이스를 각각 활성화한다. 인증용 통신 인터페이스는 2차 단말(120)이 상기 인증 채널에 접속하기 위한 용도이고, 데이터용 통신 인터페이스는 상기 데이터 채널에 접속하기 위한 용도이다.The
1차 단말(110)은, 신뢰 서버(140)와 인증 채널과 데이터 채널을 형성하는데 있어서 터널링 기술을 이용하여 보안 터널을 형성한다. 인증 채널은 모든 2차 단말(120)에 대해 공통된 하나의 보안 터널이 형성된다. 데이터 채널은 2차 단말(120)의 사용자의 권한 레벨에 따라 다중 보안 터널이 형성될 수 있다. 권한 레벨에 따른 보안 터널은, 예를 들어, 조직용 보안 터널, 단말용 보안 터널 또는 이둘이 조합된 보안 터널을 포함한다. 조직용 보안 터널은 기업 내 특정 조직이나 그룹이 공통으로 사용하는 경로이다. 단말용 보안 터널은 개별 단말별 보안 터널로서 하나의 2차 단말(120) 전용의 경로로서, 2차 단말(120)별로 경로와 암호화가 분리된다. 조합된 보안 터널은 조직용 보안 터널 내에 개별 단말별 보안 터널이 형성된다. The
1차 단말(110)은, 관리 서버(130)로부터 수신된 정책에 따라, 2차 단말(120)과 암화화 통신을 할 수 있고, 또한 신뢰 서버(140)와 암호화 통신을 할 수 있다. 이때, 1차 단말(110)과 2차 단말(120) 간의 암호화 통신을 위한 암호화 키와, 1차 단말(110)과 신뢰 서버(140) 간의 암호화 통신을 위한 암호화 키는 서로 다를 수 있다.The
2차 단말(120)은, 스마트폰이나 태블릿 PC 등과 같은 휴대용 단말, 노트북, 퍼스널 컴퓨터 등의 통신이 가능하고 사용자 트래픽을 발생시키는 사용자 단말로서, 기업 인트라넷(160)에 접속하는 기업 내 종업원의 통신 단말이다. 2차 단말(120)은 복수의 통신 인터페이스를 포함한다. 복수의 통신 인터페이스는, 예를 들어, 와이파이(Wi-Fi), 유선 이더넷(Wired Ethernet), 블루투스(Bluetooth), USB 등을 포함한다.The
2차 단말(120)은, 1차 단말(110)에서 활성화된 인증용 통신 인터페이스에 접속하여 1차 단말(110)과 관리 서버(130) 간 인증 채널을 통해 인증을 요청하고, 관리 서버(130)로부터 인증 결과로서 정책을 수신한다. 2차 단말(120)로 수신되는 정책은 데이터용 프로파일을 포함한다. 데이터용 프로파일은 데이터용 통신 인터페이스 정보, 추가 인증용 데이터, 암호화 정보 등을 포함한다. The
여기서 추가 인증용 데이터는, 인증 채널을 통한 인증과는 별도로, 데이터 채널을 통한 접속시 이루어지는 추가 인증에서 사용되는 데이터이다. 추가 인증용 데이터는, 2차 단말(120)의 사용자도 모르게, 관리 서버(130)에서 랜덤하게 임시적으로 생성되는 정보로서, ID/PW, 또는 랜덤한 문자로 이루어진 인증 토큰 등을 포함한다. 암호화 정보는, 2차 단말(120)과 1차 단말(110) 간 통신에서 사용하는 암호화 방식 및 암호화 키를 포함한다.Here, the data for additional authentication is data used for additional authentication performed when accessing through the data channel separately from authentication through the authentication channel. The additional authentication data is information randomly and temporarily generated by the
2차 단말(120)은, 상기 데이터용 프로파일에 포함된 데이터용 통신 인터페이스 정보에 대응하는 통신 인터페이스를 데이터용으로 활성화하고, 그 데이터용 통신 인터페이스를 통해 1차 단말(110)로 접속한다. 예를 들어, 2차 단말(120)은, 인증시에는 와이파이(Wi-Fi)를 활성화하여 1차 단말(110)로 접속하고, 관리 서버(130)로부터 수신된 데이터용 통신 인터페이스가 블루투스인 경우 데이터 채널로 접속하기 위해 블루투스를 활성화하여 1차 단말(110)로 접속한다.The
관리 서버(130)는, 본 발명에 따른 접속 제어 시스템의 인증 및 접속 정책을 관리한다. 관리 서버(130)는, 1차 단말(110) 및 신뢰 서버(140)로 인증 채널을 위한 정책을 전송하고, 인증 채널을 통해 2차 단말(120)의 인증이 완료되면, 1차 단말(110), 2차 단말(120) 및 신뢰 서버(140)로 데이터 채널을 위한 정책을 전송한다. 이하에서, 인증 채널을 위한 정책은 인증 정책이고, 데이터 채널을 위한 정책은 접속 정책이라 한다. The
1차 단말(110)로 전송되는 단말용 인증 정책은, 인증용 통신 인터페이스 정보, 인증 채널을 형성하는 대국인 신뢰 서버(140)의 정보, 인증 방식 정보, 및 암호화 정보 등을 포함한다. 신뢰 서버(140)로 전송되는 서버용 인증 정책은, 대국인 1차 단말(110)의 정보, 인증 방식 정보, 암호화 정보 등을 포함한다. The authentication policy for the terminal transmitted to the
1차 단말(110)로 전송되는 1차 단말용 접속 정책은, 데이터용 통신 인터페이스 정보, 접근 허용된 2차 단말(120)의 정보, 허용 2차 단말(120)의 수, 인증 방식 정보, 암호화 정보, 2차 단말(120)의 사용자 권한 레벨 정보 등을 포함한다. 2차 단말(120)로 전송되는 2차 단말용 접속 정책은, 데이터용 프로파일을 포함하고, 데이터용 프로파일은 데이터용 통신 인터페이스 정보, 추가 인증용 데이터, 암호화 정보 등을 포함한다. 신뢰 서버(140)로 전송되는 서버용 접속 정책은, 대국인 1차 단말(110)의 정보, 2차 단말(120)의 추가 인증용 데이터, 2차 단말(120)의 권한 레벨, 인증 방식 정보, 암호화 정보 등을 포함한다. The access policy for the primary terminal transmitted to the
신뢰 서버(140)는, 2차 단말(120)의 기업 인트라넷(160)의 접속을 제어한다. 신뢰 서버(140)는, 허가된 2차 단말(120)에 대해서만 기업 인트라넷(160)에 접속할 수 있도록 한다. 신뢰 서버(140)는, 관리 서버(130)로부터 수신되는 정책에 따라, 1차 단말(110)과 인증 채널 및 데이터 채널을 형성한다. 신뢰 서버(140)는, 터널링 기술을 이용하여 인증 채널 및 데이터 채널을 형성한다. 인증 채널은 2차 단말(120)을 인증하기 위한 용도로만 사용하고, 데이터 채널은 인증 채널과 구별되는 별도의 보안 채널로서, 2차 단말(120)이 기업 인트라넷(160)에 접속하기 위한 용도이다. The
신뢰 서버(140)는, 데이터 채널을 형성하는데 있어서, 정책을 참조하여 사용자의 권한 레벨에 따라 사용자별로 다중 보안 채널을 구성할 수 있다. 또한 신뢰 서버(140)는, 정책에 포함된 암호화 정보, 즉 암호화 방식 및 암호화 키에 따라 1차 단말(110)과 암호화 통신을 할 수 있다. 신뢰 서버(140)는, 물리적으로 또는 논리적으로 복수 개가 존재할 수 있다.In forming the data channel, the trusted
도 2는 도 1의 1차 단말 및 2차 단말의 구성을 나타낸 도면이다. 도 2를 참조하면, 1차 단말(110)은, 정책 수신부(111), 연결 관리부(112), 경로 제어부(113), 복수의 통신 인터페이스(114) 및 논리 인터페이스(115)를 포함한다. 2차 단말(120)은, 정책 수신부(121), 접속 제어부(122) 및 복수의 인터페이스(123)를 포함한다. FIG. 2 is a diagram illustrating the configuration of a primary terminal and a secondary terminal of FIG. 1 . Referring to FIG. 2 , the
1차 단말(110)의 정책 수신부(111), 연결 관리부(112) 및 경로 제어부(113)는, 프로그램으로 구현되어 메모리에 저장되고 하나 이상의 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현되어 실행될 수 있다.The
정책 수신부(111)는, 1차 단말(110)의 부팅시, 5G 또는 LTE 모뎀 등의 통신 인터페이스를 이용하여 통신망(150)을 통해 관리 서버(130)에 접속하고, 관리 서버(130)로 필요한 1차 단말용 인증 정책을 요청하여 수신한다. 여기서 1차 단말용 인증 정책은, 2차 단말(120)과 통신할 인증용 통신 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. The
연결 관리부(112)는, 상기 수신된 1차 단말용 인증 정책에 포함된 인증용 통신 인터페이스 정보에 기초하여, 2차 단말(120)과 통신할 인증용 통신 인터페이스를 활성화한다. 도 2에 도시된 바와 같이, 1차 단말(110)은, 복수의 통신 인터페이스(114)로서, 와이파이(Wi-Fi), 유선 이더넷(Wired Ethernet), 블루투스(Bluetooth), USB 등을 포함하고, 이 중 하나를 인증을 위한 인증용 통신 인터페이스로서 활성화한다.The
경로 제어부(113)는, 상기 수신된 1차 단말용 인증 정책에 포함된 신뢰 서버(140)의 정보를 이용하여 신뢰 서버(140)와 통신할 논리 인터페이스(115)를 생성하고 인증 채널을 형성한다. 즉, 경로 제어부(113)는, 5G 모뎀 또는 LTE 모뎀 등의 통신 인터페이스에 논리 인터페이스(115)를 생성한다. The path control
경로 제어부(113)는, 상기 연결 관리부(112)에서 활성화한 2차 단말(120)과 통신하는 인증용 통신 인터페이스와, 상기 논리 인터페이스(115) 간의 경로, 즉 라우팅을 설정한다. 경로 제어부(113)는, 상기 인증 채널을 형성하는데 있어서 터널링 기술을 이용한다.The path control
경로 제어부(113)는, 상기 인증용 통신 인터페이스를 통해 2차 단말(120)로부터 수신되는 인증 요청을 상기 인증 채널을 통해 신뢰 서버(140)를 경유하여 관리 서버(130)로 전송한다. The path control
경로 제어부(113)는, 2차 단말(120)의 인증이 완료되면, 인증 성공 응답으로서 상기 인증 채널을 통해 관리 서버(130)로부터 수신되는 2차 단말용 접속 정책을 상기 인증용 통신 인터페이스를 통해 2차 단말(120)로 전송한다.When the authentication of the
정책 수신부(111)는, 2차 단말(120)의 인증이 완료되면, 인증 성공 응답으로서 관리 서버(130)로부터 1차 단말용 접속 정책을 수신하여 내부 저장부에 저장한다. 1차 단말용 접속 정책은, 2차 단말(120)과 통신할 데이터용 통신 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 인증 방식 정보, 접속 허용된 ID, 접속 허용 단말의 수, 2차 단말(120)의 사용자 권한 레벨 정보를 포함한다.When the authentication of the
연결 관리부(112)는, 상기 1차 단말용 접속 정책에 포함된 데이터용 통신 인터페이스에 대한 정보에 기초하여, 2차 단말(120)과 통신할 데이터용 통신 인터페이스를 활성화한다. 예를 들어, 사내 보안 규정으로 인해 기업 인트라넷(160)의 접속은 유선 통신만 허용할 경우, 연결 관리부(112)는, 와이파이 인터페이스를 인증용 통신 인터페이스로서 활성화하고 USB 인터페이스를 데이터용 통신 인터페이스로서 활성화할 수 있다. 또는, 연결 관리부(112)는, 공개 와이파이 인터페이스를 인증용 통신 인터페이스로서 활성화하고, 히든 와이파이 인터페이스를 데이터용 통신 인터페이스로서 활성화할 수 있다. 또는, 연결 관리부(112)는, 블루투스 인터페이스를 인증용 통신 인터페이스로서 활성화하고, 히든 와이파이 인터페이스를 데이터용 통신 인터페이스로서 활성화할 수 있다.The
연결 관리부(112)는, 2차 단말(120)이 데이터 채널에 접속하기 위해 접속하는 경우, 상기 1차 단말용 접속 정책에 포함된 접속 허용된 ID, 접속 허용 단말의 수에 기초하여, 2차 단말(120)의 접속을 허가하거나 거부할 수 있다. 여기서 접속 허용된 ID는 관리 서버(130)에 의해 랜덤하게 생성되어 2차 단말(120)에 할당된 식별정보로서, 연결 관리부(11)는, 2차 단말(120)로부터 수신되는 ID와 비교한다. The
연결 관리부(112)는, 2차 단말(120)의 데이터 채널 접속이 해제되면, 기 저장되어 있는 1차 단말용 접속 정책을 삭제할 수 있다. 따라서, 관리 서버(130)의 제어에 의해 기업 인트라넷(160)에 접속하는 2차 단말(120)의 수를 동적으로 조정할 수 있다. When the data channel access of the
경로 제어부(113)는, 상기 1차 단말용 접속 정책에 포함된 신뢰 서버(140)의 정보를 이용하여 신뢰 서버(140)와 통신할 논리 인터페이스(115)를 생성하고 데이터 채널을 형성한다. 경로 제어부(113)는, 상기 연결 관리부(112)에서 활성화한 데이터용 통신 인터페이스와, 상기 논리 인터페이스(115) 간의 경로, 즉 라우팅을 설정한다. 경로 제어부(113)는, 상기 데이터 채널을 형성하는데 있어서 터널링 기술을 이용한다.The path control
경로 제어부(113)는, 상기 데이터 채널을 형성하는데 있어서 상기 1차 단말용 접속 정책에 포함된 사용자 권한 레벨 정보에 기초하여 신뢰 서버(140)와 다중 보안 채널을 형성할 수 있다. 권한 레벨에 따른 보안 터널은, 예를 들어, 조직용 보안 터널, 단말용 보안 터널 또는 이둘이 조합된 보안 터널을 포함한다.In forming the data channel, the
경로 제어부(113)는, 상기 데이터용 통신 인터페이스를 통해 2차 단말(120)로부터 수신되는 접속 요청을 상기 데이터 채널을 통해 신뢰 서버(140)로 전송한다.The path control
2차 단말(120)은, 정책 수신부(121), 접속 제어부(122)는, 프로그램으로 구현되어 메모리에 저장되고 하나 이상의 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현되어 실행될 수 있다.The
정책 수신부(121)는, 관리 서버(130)로부터 기업 인트라넷(160)의 접속을 위한 2차 단말용 접속 정책을 수신한다. 2차 단말용 접속 정책은, 접속 제어부(122)에 의해 2차 단말(120)의 인증이 완료된 후 인증 성공 응답으로서, 인증 채널 및 인증용 통신 인터페이스를 통해 관리 서버(130)로부터 수신된다. The
2차 단말용 접속 정책은 데이터용 프로파일을 포함한다. 데이터용 프로파일은 데이터용 통신 인터페이스 정보, 추가 인증용 데이터, 암호화 정보, 인증 방식 정보 등을 포함한다. 여기서 추가 인증용 데이터는, 인증 채널을 통한 인증과는 별도로, 데이터 채널을 통한 접속시 이루어지는 인증에서 사용되는 데이터이다. 추가 인증용 데이터는, 2차 단말(120)의 사용자도 모르게, 관리 서버(130)에서 랜덤하게 임시적으로 생성되는 정보로서, ID/PW, 또는 랜덤한 문자로 이루어진 인증 토큰 등을 포함한다. 암호화 정보는, 2차 단말(120)과 1차 단말(110) 간 통신에서 사용하는 암호화 방식 및 암호화 키를 포함한다.The access policy for the secondary terminal includes a profile for data. The profile for data includes communication interface information for data, data for additional authentication, encryption information, authentication method information, and the like. Here, the data for additional authentication is data used in authentication performed when accessing through the data channel, separately from authentication through the authentication channel. The additional authentication data is information randomly and temporarily generated by the
접속 제어부(122)는, 기 설정된 정보에 따라 복수의 통신 인터페이스(123) 중에서 인증용 통신 인터페이스를 활성화하고, 활성화된 인증용 통신 인터페이스를 통해 1차 단말(110)로 접속하고, 1차 단말(110)과 신뢰 서버(140) 간 형성된 인증 채널을 통해 관리 서버(130)로 인증을 요청한다. 이때 인증 요청은 기기 인증과 사용자 인증을 포함할 수 있다. 기기 인증을 위해 2차 단말(120)의 고유 식별정보(예, 단말 MAC 주소)가 전송될 수 있고, 사용자 인증을 위해 사용자로부터 입력된 ID/PW가 전송될 수 있다. 여기서 전송되는 ID/PW는, 데이터 채널을 통해 전송되는 관리 서버(130)에 의해 랜덤하게 임시로 생성된 추가 인증 데이터에 포함되는 ID/PW가 아닌, 사용자가 기억하는 사용자에게 고정적으로 할당되는 ID/PW이다.The
접속 제어부(122)는, 인증 채널을 통해 2차 단말(120)의 인증이 완료되면, 상기 정책 수신부(121)에서 수신한 2차 단말용 접속 정책에 포함된 데이터용 통신 인터페이스 정보에 대응하는 통신 인터페이스를 활성화하고, 활성화된 데이터용 통신 인터페이스를 통해 1차 단말(110)에 접속하고, 1차 단말(110)과 신뢰 서버(140) 간 형성된 데이터 채널을 통해 신뢰 서버(140)를 경유하여 기업 인트라넷(160)에 접속한다. When the authentication of the
접속 제어부(122)는, 1차 단말(110)에 접속할 때, 상기 2차 단말용 접속 정책에 포함된 암호화 정보에 따라 1차 단말(110)과 암호화 통신을 수행하고, 또한 상기 2차 단말용 접속 정책에 포함된 인증 방식 정보에 따라 데이터 채널을 통해 신뢰 서버(140)와 인증을 수행한다. 이때, 접속 제어부(122)는, 상기 2차 단말용 접속 정책에 포함된 추가 인증용 데이터를 이용하여 신뢰 서버(140)와 인증을 수행한다. 앞서 기재한 바와 같이, 추가 인증용 데이터는, 2차 단말(120)의 사용자도 모르게, 관리 서버(130)에서 랜덤하게 임시적으로 생성되는 정보로서, ID/PW, 또는 랜덤한 문자로 이루어진 인증 토큰 등을 포함한다.The
도 1 및 도 2를 참조한 실시예에 따르면, 1차 단말(110)과 2차 단말(120)은, 2차 단말(120)의 인증시 사용하는 인증용 통신 인터페이스와, 2차 단말(120)의 인증 완료 후 기업 인트라넷(160)의 접속을 위한 데이터용 통신 인터페이스로서 서로 다른 통신 인터페이스를 활성화하고, 또한 1차 단말(110)은 신뢰 서버(140)와 인증 채널 및 데이터 채널을 분리하여 형성한다. 또한, 2차 단말(120)은, 기본 인증 완료 후에 관리 서버(130)로부터 사용자도 모르는 추가 인증용 데이터를 임시로 할당받아 신뢰 서버(140)에 접속하여 추가 인증을 수행한다. 이와 같이 인증 채널과 데이터 채널을 분리하고, 데이터 채널을 통한 접속시 임시로 할당받은 추가 인증용 데이터로 인증을 수행함으로써, 보안을 강화할 수 있다. According to the embodiment with reference to FIGS. 1 and 2 , the
도 3은 도 1의 관리 서버 및 신뢰 서버의 구성을 나타낸 도면이다. 도 3을 참조하면, 관리 서버(130)는, 정책 관리부(131) 및 인증부(132)를 포함한다. 신뢰 서버(140)는, 정책 수신부(141), 경로 제어부(142) 및 논리 인터페이스(143)를 포함한다. 3 is a diagram illustrating the configuration of a management server and a trust server of FIG. 1 . Referring to FIG. 3 , the
관리 서버(130)의 정책 관리부(131) 및 인증부(132)는, 프로그램으로 구현되어 메모리에 저장되고 하나 이상의 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현되어 실행될 수 있다.The
정책 관리부(131)는, 2차 단말(120)의 인증을 위한 인증 정책과, 2차 단말(120)의 기업 인트라넷(160)의 접속을 위한 접속 정책을 저장 및 관리한다. 정책 관리부(131)는, 1차 단말(110)의 부팅시 1차 단말(110)의 요청에 따라 1차 단말용 인증 정책을 1차 단말(110)로 전송한다. The
여기서 1차 단말용 인증 정책은, 2차 단말(120)의 인증을 위한 정책으로서, 2차 단말(120)과 통신할 인증용 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. Here, the authentication policy for the primary terminal is a policy for authentication of the
정책 관리부(131)는, 1차 단말(110)로 1차 단말용 인증 정책을 전송하면서, 동시에 신뢰 서버(140)로 인증 채널 형성을 위한 서버용 인증 정책을 전송한다. 서버용 인증 정책은, 1차 단말(110)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. The
정책 관리부(131)는, 2차 단말(120)에 대한 인증이 성공적으로 완료되면, 인증 응답으로서 1차 단말(110), 2차 단말(120) 및 신뢰 서버(140)로 접속 정책을 전송한다. When the authentication for the
1차 단말(110)로 전송하는 1차 단말용 접속 정책은, 2차 단말(120)과 통신할 데이터용 통신 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 인증 방식 정보, 접속 허용된 ID, 접속 허용 단말의 수, 2차 단말(120)의 사용자 권한 레벨 정보 등을 포함한다. The access policy for the primary terminal transmitted to the
2차 단말(120)로 전송하는 2차 단말용 접속 정책은, 데이터용 프로파일을 포함한다. 데이터용 프로파일은 데이터용 통신 인터페이스 정보, 추가 인증용 데이터, 암호화 정보, 인증 방식 정보 등을 포함한다. 정책 관리부(131)는, 추가 인증용 데이터로서, ID/PW, 또는 랜덤한 문자로 이루어진 인증 토큰 등을 랜덤하게 임시로 생성한다.The access policy for the secondary terminal transmitted to the
신뢰 서버(140)로 전송하는 서버용 접속 정책은, 1차 단말(110)의 정보, 암호화 정보, 인증 방식 정보, 추가 인증용 데이터, 및 2차 단말(120)의 사용자 권한 레벨 정보를 포함한다.The server access policy transmitted to the
인증부(132)는, 2차 단말(120)이 인증 채널을 통해 접속해오면, 2차 단말(120)이 정당한 기기 및/또는 정당한 사용자의 기기인지 확인하는 인증을 수행한다. 바람직하게, 인증부(132)는, 허가된 기기의 고유 식별정보와, 허가된 사용자의 ID/PW 등을 저장하는 저장부를 참조하여 인증을 수행할 수 있다. 인증부(132)는, 802.1X EAP 인증을 수행할 수 있고, 802.1X EAP 인증을 통해 생성되는 개별 세션키를 활용하여 접속 정책에 포함되는 암호화 키를 생성할 수 있다.When the
신뢰 서버(140)의 정책 수신부(141) 및 경로 제어부(142)는 프로그램으로 구현되어 메모리에 저장되고 하나 이상의 프로세서에 의해 실행될 수 있고, 또는 하드웨어와 소프트웨어의 조합으로 구현되어 실행될 수 있다.The
정책 수신부(141)는, 2차 단말(120)에 대한 인증 채널 형성을 위한 서버용 인증 정책과, 2차 단말(120)의 기업 인트라넷(160)의 접속을 위한 서버용 접속 정책을 수신한다. 서버용 인증 정책은, 1차 단말(110)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. The
경로 제어부(142)는, 상기 서버용 인증 정책에 기초하여, 1차 단말(110)과 통신을 위한 논리 인터페이스(143)를 할당하여 인증 채널을 형성하고, 인증 채널을 통해 수신되는 2차 단말(120)의 인증 요청을 관리 서버(130)로 전송하며, 인증 결과를 관리 서버(130)로부터 수신하여 인증 채널을 통해 2차 단말(120)로 전송한다. 여기서 논리 인터페이스(143)는 물리적인 통신 인터페이스에 생성된다.The path control
정책 수신부(141)는, 2차 단말(120)에 대한 인증이 완료되면, 관리 서버(130)로부터 서버용 접속 정책을 수신한다. 서버용 접속 정책은, 1차 단말(110)의 정보, 암호화 정보, 인증 방식 정보, 추가 인증용 데이터, 2차 단말(120)의 사용자의 권한 레벨 정보를 포함한다.When the authentication for the
경로 제어부(142)는, 상기 서버용 접속 정책에 기초하여, 1차 단말(110)과 통신을 위한 논리 인터페이스(143)를 할당하고 2차 단말(120)을 위한 데이터 채널을 형성한다. 경로 제어부(142)는, 사용자의 권한 레벨에 따라 터널링 기술을 이용하여 보안 터널인 다중 데이터 채널을 형성할 수 있다. 권한 레벨에 따른 보안 터널은, 예를 들어, 조직용 보안 터널, 단말용 보안 터널 또는 이둘이 조합된 보안 터널을 포함한다. 조직용 보안 터널은 기업 내 특정 조직이나 그룹이 공통으로 사용하는 경로이다. 단말용 보안 터널은 개별 단말별 보안 터널로서 하나의 2차 단말(120) 전용의 경로로서, 2차 단말(120)별로 경로와 암호화가 분리된다. 조합된 보안 터널은 조직용 보안 터널 내에 개별 단말별 보안 터널이 형성된다. The path control
도 4 내지 도 6은 본 발명의 일 실시예에 따른 2차 단말과 신뢰 서버 간의 데이터 채널을 설명하는 도면이다.4 to 6 are diagrams for explaining a data channel between a secondary terminal and a trusted server according to an embodiment of the present invention.
도 4는, 2차 단말(120)에 대해 조직용 보안 채널과 단말용 보안 채널이 다중으로 형성된 예이다. 2차 단말(120)은 1차 단말(110)과 데이터용 통신 인터페이스를 통해 통신 경로(410)를 형성한다. 1차 단말(110)은 2차 단말(120)을 위한 데이터 채널로서 도 4에 도시된 바와 같이, 조직용 보안 터널(420) 내에 추가적으로 해당 2차 단말용 보안 채널(420a)을 형성한다. 2차 단말(120)의 사용자는 기업의 A 조직에 속하고, 해당 사용자는 기업의 임원 등 특정 직급 이상의 사용자로서 추가적인 보안 채널이 요구되는 경우이다. 조직용 암호화 및 단말용 암호화가 동시에 조합되어 적용된다. 따라서, 해당 2차 단말(120)은 기업의 A 조직에 속하는 다른 조직원보다 더 보안이 강화된 상태로 기업 인트라넷(160)에 접속한다.4 is an example in which the secure channel for the organization and the secure channel for the terminal are formed in multiple with respect to the
도 5는, 두 사용자의 각 2차 단말(120a, 120b)에 대해 공통된 조직용 보안 채널(530)만 데이터 채널로서 할당된다. 각 2차 단말(120a, 120b)은 1차 단말(110)과 데이터용 통신 인터페이스를 통해 각각 통신 경로(510, 520)를 형성한다. 1차 단말(110)은 각 2차 단말(120a, 120b)을 위한 데이터 채널로서 도 5에 도시된 바와 같이, 하나의 공통된 조직용 보안 터널(530)만을 형성한다. 두 사용자는 기업 내 B 조직에 속하고 해당 조직은 동일한 경로 및 암호화가 적용된다.In FIG. 5 , only a
도 6은, 두 사용자의 각 2차 단말(120c, 120d)에 대해 각각의 단말용 보안 채널(630, 640)이 데이터 채널로서 할당된다. 각 2차 단말(120c, 120d)은 1차 단말(110)과 데이터용 통신 인터페이스를 통해 각각 통신 경로(610, 620)를 형성한다. 1차 단말(110)은 각 2차 단말(120c, 120d)을 위한 데이터 채널로서 도 6에 도시된 바와 같이, 각 2차 단말별로 각각의 보안 터널(630, 640)을 형성한다. 따라서, 두 사용자가 기업 내 C 조직에 속하더라도, 각 단말별로 경로 및 암호화가 분리되어 적용된다. In FIG. 6 ,
도 7은 도 1의 네트워크 접속 제어 시스템에서 2차 단말을 인증하는 방법을 설명하는 흐름도이다.7 is a flowchart illustrating a method of authenticating a secondary terminal in the network access control system of FIG. 1 .
도 7을 참조하면, 단계 S701에서, 1차 단말(110)은, 사용자의 입력에 따라 부팅한다. 단계 S702에서, 1차 단말(110)은, 5G 또는 LTE 모뎀을 이용하여 통신망(150)을 통해 관리 서버(130)에 접속하고, 관리 서버(130)로 필요한 단말용 인증 정책을 요청한다.Referring to FIG. 7 , in step S701 , the
단계 S703에서, 관리 서버(130)는, 1차 단말(110)의 요청에 따라, 1차 단말(110)로 단말용 인증 정책을 전송한다. 여기서 단말용 인증 정책은, 2차 단말(120)과 통신할 인증용 통신 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. In step S703 , the
단계 S704에서, 관리 서버(130)는, 신뢰 서버(140)로 서버용 인증 정책을 전송한다. 여기서 서버용 인증 정책은, 1차 단말(110)의 정보, 암호화 정보, 및 인증 방식 정보를 포함한다. In step S704 , the
단계 S705에서, 1차 단말(110)은, 상기 단계 S703에서 수신된 단말용 인증 정책을 기초로 2차 단말(120)과 통신할 인증용 통신 인터페이스를 활성화한다. 1차 단말(110)은, 복수의 통신 인터페이스(114)로서, 와이파이(Wi-Fi), 유선 이더넷(Wired Ethernet), 블루투스(Bluetooth), USB 등을 포함하고, 상기 단말용 인증 정책에 포함된 인증용 통신 인터페이스에 대응하는 통신 인터페이스를 활성화한다.In step S705, the
단계 S706에서, 1차 단말(110) 및 신뢰 서버(140)는, 상기 단계 S703 및 상기 단계 S704에서 각각 수신한 인증 정책에 기초하여, 인증 채널을 형성한다. 이때, 1차 단말(110) 및 신뢰 서버(140)는, 인증 정책에 포함된 암호화 정보에 기초하여 암호화를 설정한다. 예를 들어, 암호화 키를 서로 공유한다. 바람직하게, 인증 채널은 터널링 기술을 이용한 보안 터널일 수 있다.In step S706, the
단계 S707에서, 2차 단말(120)은, 내부에 기 설정된 정보에 따라 인증용 통신 인터페이스를 활성화한다. 즉, 1차 단말(110)이 단계 S705에서 활성화한 통신 인터페이스와 동일한 종류의 통신 인터페이스를 활성화한다. In step S707, the
단계 S708에서, 2차 단말(120)은 활성화한 인증용 통신 인터페이스, 예를 들어, 블루투스, 또는 와이파이 등을 통해 1차 단말(110)로 접속하고 인증 요청을 전송한다. 이때, 인증 요청에는 2차 단말(120)의 고유의 식별정보(예, MAC 주소) 및/또는 사용자로부터 입력된 ID/PW를 포함한다.In step S708, the
단계 S709에서, 1차 단말(110)은, 상기 단계 S706에서 형성된 인증 채널을 통해 인증 요청을 신뢰 서버(140)를 경유하여 관리 서버(130)로 전송한다. 따라서, 관리 서버(130)는, 인증 요청에 포함된 2차 단말(120)의 고유 식별정보 및/또는 ID/PW를 이용하여 기기 인증 및/또는 사용자 인증을 수행한다.In step S709, the
인증에 성공한 경우, 단계 S710에서, 관리 서버(130)는, 2차 단말(120)로 2차 단말용 접속 정책을 전송한다. 2차 단말용 접속 정책은 데이터용 프로파일을 포함한다. 데이터용 프로파일은 데이터용 통신 인터페이스 정보, 추가 인증용 데이터, 암호화 정보, 인증 방식 정보 등을 포함한다. 여기서 추가 인증용 데이터는, 인증 채널을 통한 인증과는 별도로, 데이터 채널을 통한 접속시 이루어지는 인증에서 사용되는 데이터이다. 추가 인증용 데이터는, 2차 단말(120)의 사용자도 모르게, 관리 서버(130)에서 랜덤하게 임시적으로 생성되는 정보로서, ID/PW, 또는 랜덤한 문자로 이루어진 인증 토큰 등을 포함한다.If authentication is successful, in step S710 , the
단계 S711에서, 관리 서버(130)는, 1차 단말(110)로는 1차 단말용 접속 정책을 전송한다. 1차 단말용 접속 정책은, 2차 단말(120)과 통신할 데이터용 통신 인터페이스에 대한 정보, 통신 상대인 신뢰 서버(140)의 정보, 암호화 정보, 인증 방식 정보, 접속 허용된 ID, 접속 허용 단말의 수, 2차 단말(120)의 사용자의 권한 레벨 정보 등을 포함한다. In step S711 , the
단계 S712에서, 관리 서버(130)는, 신뢰 서버(140)로는 서버용 접속 정책을 전송한다. 서버용 접속 정책은, 1차 단말(110)의 정보, 암호화 정보, 인증 방식 정보, 추가 인증용 데이터, 2차 단말(120)의 사용자의 권한 레벨 정보를 포함한다.In step S712 , the
단계 S713에서, 1차 단말(110)과 신뢰 서버(140)는, 각각 단계 S711 및 단계 S712에서 수신된 접속 정책에 따라 2차 단말(120)을 위한 데이터 채널을 형성한다. 1차 단말(110)과 신뢰 서버(140)는, 사용자의 권한 레벨에 따라 터널링 기술을 이용하여 보안 터널인 다중 데이터 채널을 형성할 수 있다. In step S713, the
도 8은 도 1의 네트워크 접속 제어 시스템에서 2차 단말의 기업 인트라넷 접속 방법을 설명하는 흐름도로, 도 7을 참조하여 설명한 실시예의 이후 과정을 설명한다.FIG. 8 is a flowchart illustrating a method of accessing a corporate intranet by a secondary terminal in the network access control system of FIG. 1 , and a subsequent process of the embodiment described with reference to FIG. 7 is described.
도 8을 참조하면, 단계 S801에서, 1차 단말(110)은, 단계 S711에서 관리 서버(130)로부터 수신된 1차 단말용 접속 정책에 포함된 데이터용 통신 인터페이스 정보에 대응하는 통신 인터페이스를 활성화한다. Referring to FIG. 8 , in step S801 , the
단계 S802에서, 2차 단말(120)은, 단계 S710에서 관리 서버(130)로부터 수신된 2차 단말용 접속 정책에 포함된 데이터용 통신 인터페이스 정보에 대응하는 통신 인터페이스를 활성화한다. 즉, 2차 단말(120)은, 1차 단말(110)이 활성화된 데이터용 통신 인터페이스와 동일한 종류의 통신 인터페이스를 활성화한다.In step S802, the
단계 S803에서, 2차 단말(120)은, 상기 2차 단말용 접속 정책에 포함된 추가 인증용 데이터를 포함하는 접속 요청을 상기 활성화된 데이터용 통신 인터페이스를 이용하여 1차 단말(110)로 전송한다. In step S803, the
단계 S804에서, 1차 단말(110)은, 상기 1차 단말용 접속 정책에 포함된 허용 ID와, 상기 2차 단말(120)로부터 수신되는 추가 인증용 데이터에 포함된 ID를 비교하여 허용된 ID의 접속인지 확인한다. 만약 허용된 ID의 접속인 경우, 단계 S805에서, 1차 단말(110)은, 상기 1차 단말용 접속 정책에 포함된 허용 단말 수를 초과한 접속인지 확인한다. In step S804, the
단계 S804에서 확인한 결과, 허용된 ID의 접속이 아닌 경우, 또는 단계 S805에서 확인한 결과, 허용 단말 수를 초과한 접속인 경우, 단계 S806에서, 1차 단말(110)은, 2차 단말(120)로 접속 거절을 전송한다.As a result of checking in step S804, if it is not an allowed ID connection, or if as a result of checking in step S805, the number of allowed terminals is exceeded, in step S806, the
한편, 허용된 ID의 접속이고 허용 단말 수 이내의 접속인 경우, 단계 S807에서, 1차 단말(110)은, 도 7을 참조하여 설명한 단계 S713에서 형성된 데이터 채널을 통해 신뢰 서버(140)로 접속 요청을 전송한다. 이때, 1차 단말(110)은, 상기 1차 단말용 접속 정책에 포함된 암호화 정보에 따라 데이터를 암호화하여 신뢰 서버(140)로 전송한다.On the other hand, in the case of a connection with an allowed ID and a connection within the number of allowed terminals, in step S807, the
단계 S808에서, 신뢰 서버(140)는, 1차 단말(110)로부터 수신된 접속 요청에 포함된 2차 단말(120)의 추가 인증용 데이터와, 도 7을 참조하여 설명한 단계 S712에서 관리 서버(130)로부터 수신된 서버용 접속 정책에 포함된 2차 단말(120)의 추가 인증용 데이터가 일치하는지 확인하는 추가 인증을 수행한다.In step S808, the
추가 인증 성공시, 단계 S809 및 단계 S810에서, 신뢰 서버(140)는, 데이터 채널을 통해 1차 단말(110)을 경유하여 2차 단말(120)로 접속 승인을 전송한다. 그리고 단계 S811에서, 2차 단말(120)은, 1차 단말(110) 및 신뢰 서버(140)를 경유하여 데이터 채널을 통해 기업 인트라넷(160)에 접속하여 데이터를 송수신한다. Upon successful additional authentication, in steps S809 and S810 , the
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in individual embodiments herein may be implemented in combination in a single embodiment. Conversely, various features described herein in a single embodiment may be implemented in various embodiments individually, or may be implemented in appropriate combination.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although acts are described in a particular order in the drawings, it should not be understood that the acts are performed in the particular order as shown, or that all of the described acts are performed in a continuous order, or to obtain a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a computer-readable form in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.). Since this process can be easily performed by a person skilled in the art to which the present invention pertains, it will not be described in detail any longer.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above, for those of ordinary skill in the art to which the present invention pertains, various substitutions, modifications and changes are possible within the scope without departing from the technical spirit of the present invention. It is not limited by the drawings.
110 : 1차 단말
120 : 2차 단말
130 : 관리 서버
140 : 신뢰 서버
150 : 통신망
160 : 기업 인트라넷
111, 121, 141 : 정책 수신부
112 : 연결 관리부
113, 142 : 경로 제어부
122 : 접속 제어부
114, 123 : 복수의 통신 인터페이스
115, 143 : 논리 인터페이스
131 : 정책 관리부
132 : 인증부 110: primary terminal
120: secondary terminal
130: management server
140 : trust server
150: communication network
160: Corporate Intranet
111, 121, 141: policy receiver
112: connection management unit
113, 142: path control unit
122: access control unit
114, 123: multiple communication interfaces
115, 143: logical interface
131: policy management department
132: authentication unit
Claims (17)
상기 사용자 단말과 통신하기 위한 서로 상이한 복수의 제1통신 인터페이스;
상기 관리 서버 및 상기 신뢰 서버와 통신하기 위한 제2통신 인터페이스;
상기 관리 서버로부터 통신 단말용 인증 정책 및 통신 단말용 접속 정책을 수신하는 정책 수신부;
상기 통신 단말용 인증 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 하나를 인증용 통신 인터페이스로서 활성화하고, 상기 통신 단말용 접속 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 다른 하나를 데이터용 통신 인터페이스로서 활성화하는 연결 관리부; 및
상기 통신 단말용 인증 정책에 기초하여 상기 제2통신 인터페이스를 통해 상기 신뢰 서버와 인증 채널을 형성하고, 상기 통신 단말용 접속 정책에 기초하여 상기 제2통신 인터페이스를 통해 상기 신뢰 서버와 데이터 채널을 형성하는 경로 제어부를 포함하는 통신 단말.A communication terminal for controlling access of the user terminal by communicating with a management server, a trust server, and a user terminal,
a plurality of different first communication interfaces for communicating with the user terminal;
a second communication interface for communicating with the management server and the trust server;
a policy receiver for receiving an authentication policy for a communication terminal and an access policy for a communication terminal from the management server;
Activate one of the plurality of first communication interfaces as a communication interface for authentication based on the authentication policy for the communication terminal, and communicate the other one of the plurality of first communication interfaces for data based on the access policy for the communication terminal. a connection management unit activating as an interface; and
Establish an authentication channel with the trusted server through the second communication interface based on the authentication policy for the communication terminal, and establish a data channel with the trusted server through the second communication interface based on the access policy for the communication terminal A communication terminal comprising a path control unit.
상기 경로 제어부는,
상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 인증 요청을 상기 인증 채널을 통해 상기 신뢰 서버를 경유하여 상기 관리 서버로 전송하는 것을 특징으로 하는 통신 단말.According to claim 1,
The path control unit,
and transmitting an authentication request received from the user terminal through the authentication communication interface to the management server via the trust server through the authentication channel.
상기 정책 수신부는,
상기 사용자 단말의 인증 성공 응답으로서 상기 관리 서버로부터 상기 통신 단말용 접속 정책을 상기 인증 채널을 통해 수신하고,
상기 경로 제어부는,
상기 사용자 단말의 인증 성공 응답으로서 상기 인증 채널을 통해 상기 관리 서버로부터 수신되는 사용자 단말용 접속 정책을 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송하는 것을 특징으로 하는 통신 단말.3. The method of claim 2,
The policy receiving unit,
Receiving the access policy for the communication terminal from the management server as an authentication success response of the user terminal through the authentication channel,
The path control unit,
Communication terminal, characterized in that for transmitting the access policy for the user terminal received from the management server through the authentication channel as an authentication success response of the user terminal to the user terminal through the communication interface for authentication.
상기 사용자 단말용 접속 정책은,
추가 인증용 데이터 및 데이터용 통신 인터페이스 정보를 포함하고,
상기 경로 제어부는,
상기 데이터용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 상기 추가 인증용 데이터를 포함하는 접속 요청을 상기 데이터 채널을 통해 상기 신뢰 서버로 전송하는 것을 특징으로 하는 통신 단말.4. The method of claim 3,
The access policy for the user terminal is,
data for additional authentication and communication interface information for data;
The path control unit,
and transmitting an access request including the data for additional authentication received from the user terminal through the data communication interface to the trusted server through the data channel.
상기 경로 제어부는,
상기 통신 단말용 접속 정책에 포함된 사용자 권한 레벨 정보에 기초하여 상기 신뢰 서버와 상기 데이터 채널로서 다중 보안 채널을 형성하는 것을 특징으로 하는 통신 단말.5. The method of claim 4,
The path control unit,
and forming multiple secure channels as the data channel with the trusted server based on user authority level information included in the access policy for the communication terminal.
상기 연결 관리부는,
상기 통신 단말용 접속 정책에 포함된 접속 허용 단말 수에 기초하여 상기 접속 요청을 거부하거나 허가하는 것을 특징으로 하는 통신 단말.5. The method of claim 4,
The connection management unit,
A communication terminal, characterized in that it rejects or permits the access request based on the number of access allowed terminals included in the access policy for the communication terminal.
상기 관리 서버로부터 통신 단말용 인증 정책을 수신하는 단계;
상기 통신 단말용 인증 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 하나를 인증용 통신 인터페이스로서 활성화하는 단계;
상기 통신 단말용 인증 정책에 기초하여 상기 신뢰 서버와 인증 채널을 형성하는 단계;
상기 관리 서버로부터 통신 단말용 접속 정책을 수신하는 단계;
상기 통신 단말용 접속 정책에 기초하여 상기 복수의 제1통신 인터페이스 중 다른 하나를 데이터용 통신 인터페이스로서 활성화하는 단계; 및
상기 통신 단말용 접속 정책에 기초하여 상기 신뢰 서버와 데이터 채널을 형성하는 단계를 포함하는 방법.A method for a communication terminal communicating with a management server, a trust server and a user terminal to control access of the user terminal,
receiving an authentication policy for a communication terminal from the management server;
activating one of the plurality of first communication interfaces as a communication interface for authentication based on the authentication policy for the communication terminal;
forming an authentication channel with the trusted server based on the authentication policy for the communication terminal;
receiving an access policy for a communication terminal from the management server;
activating the other one of the plurality of first communication interfaces as a communication interface for data based on the access policy for the communication terminal; and
and establishing a data channel with the trusted server based on an access policy for the communication terminal.
상기 통신 단말용 접속 정책을 수신하는 단계 이전에,
상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 인증 요청을 상기 인증 채널을 통해 상기 신뢰 서버를 경유하여 상기 관리 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.8. The method of claim 7,
Prior to receiving the access policy for the communication terminal,
The method further comprising the step of transmitting an authentication request received from the user terminal through the communication interface for authentication to the management server via the trust server through the authentication channel.
상기 통신 단말용 접속 정책을 수신하는 단계는,
상기 사용자 단말의 인증 성공 응답으로서 상기 통신 단말용 접속 정책을 상기 인증 채널을 통해 수신하고,
상기 방법은,
상기 사용자 단말의 인증 성공 응답으로서 상기 인증 채널을 통해 상기 관리 서버로부터 수신되는 사용자 단말용 접속 정책을 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.9. The method of claim 8,
Receiving the access policy for the communication terminal comprises:
Receiving the access policy for the communication terminal as an authentication success response of the user terminal through the authentication channel,
The method is
The method further comprising the step of transmitting an access policy for a user terminal received from the management server through the authentication channel as an authentication success response of the user terminal to the user terminal through the communication interface for authentication.
상기 사용자 단말용 접속 정책은,
추가 인증용 데이터 및 데이터용 통신 인터페이스 정보를 포함하고,
상기 방법은,
상기 데이터용 통신 인터페이스를 통해 상기 사용자 단말로부터 수신되는 상기 추가 인증용 데이터를 포함하는 접속 요청을 상기 데이터 채널을 통해 상기 신뢰 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.10. The method of claim 9,
The access policy for the user terminal is,
data for additional authentication and communication interface information for data;
The method is
The method of claim 1, further comprising: transmitting an access request including the data for additional authentication received from the user terminal through the data communication interface to the trusted server through the data channel.
상기 데이터 채널을 형성하는 단계는,
상기 통신 단말용 접속 정책에 포함된 사용자 권한 레벨 정보에 기초하여 상기 신뢰 서버와 상기 데이터 채널로서 다중 보안 채널을 형성하는 것을 특징으로 하는 방법.11. The method of claim 10,
Forming the data channel comprises:
and forming multiple secure channels as the data channels with the trusted server based on user authority level information included in the access policy for the communication terminal.
상기 통신 단말용 접속 정책에 포함된 접속 허용 단말 수에 기초하여 상기 접속 요청을 거부하거나 허가하는 단계를 더 포함하는 것을 특징으로 하는 방법.11. The method of claim 10,
The method further comprising the step of rejecting or permitting the access request based on the number of access allowed terminals included in the access policy for the communication terminal.
통신망을 통해 상기 통신 단말로부터 인증 정책 요청을 수신하고, 상기 사용자 단말과 통신할 인증용 통신 인터페이스의 정보 및 상기 신뢰 서버와의 인증 채널을 형성할 통신 상대인 상기 신뢰 서버의 정보를 포함하는 통신 단말용 인증 정책을 상기 통신 단말로 전송하는 정책 관리부; 및
상기 인증용 통신 인터페이스 및 상기 인증 채널을 통해 상기 사용자 단말로부터 수신되는 인증 요청에 따라 상기 사용자 단말을 인증하는 인증부를 포함하고,
상기 정책 관리부는,
인증 성공 응답으로서 상기 사용자 단말과 통신할 데이터용 통신 인터페이스의 정보 및 상기 신뢰 서버와의 데이터 채널을 형성할 통신 상대인 상기 신뢰 서버의 정보를 포함하는 통신 단말용 접속 정책을 상기 인증 채널을 통해 상기 통신 단말로 전송하는 것을 특징으로 하는 관리 장치.A management device for controlling access of a user terminal accessing a trusted server via a communication terminal, comprising:
A communication terminal that receives an authentication policy request from the communication terminal through a communication network, and includes information on a communication interface for authentication to communicate with the user terminal and information on the trusted server as a communication partner to form an authentication channel with the trusted server a policy management unit for transmitting an authentication policy for use to the communication terminal; and
An authentication unit for authenticating the user terminal according to the authentication request received from the user terminal through the authentication communication interface and the authentication channel,
The policy management unit,
An access policy for a communication terminal including information of a communication interface for data to be communicated with the user terminal as an authentication success response and information of the trusted server that is a communication partner to form a data channel with the trusted server through the authentication channel A management device, characterized in that the transmission to the communication terminal.
상기 정책 관리부는,
상기 인증 성공 응답으로서 상기 통신 단말과 통신할 데이터용 통신 인터페이스의 정보와, 임시로 사용하기 위해 생성한 추가 인증용 데이터를 포함하는 사용자 단말용 접속 정책을 상기 인증 채널 및 상기 인증용 통신 인터페이스를 통해 상기 사용자 단말로 전송하는 것을 특징으로 하는 관리 장치.14. The method of claim 13,
The policy management unit,
As the authentication success response, an access policy for a user terminal including information on a communication interface for data to communicate with the communication terminal and additional authentication data generated for temporary use is transmitted through the authentication channel and the authentication communication interface. Management device, characterized in that the transmission to the user terminal.
상기 정책 관리부는,
상기 통신 단말의 정보와, 상기 추가 인증용 데이터를 포함하는 서버용 접속 정책을 상기 신뢰 서버로 전송하는 것을 특징으로 하는 관리 장치.15. The method of claim 14,
The policy management unit,
The management device, characterized in that for transmitting the server access policy including the information of the communication terminal and the additional authentication data to the trusted server.
상기 정책 관리부는,
상기 사용자 단말의 사용자 권한 레벨 정보를 상기 서버용 접속 정책과 상기 통신 단말용 접속 정책에 포함하여 전송하는 것을 특징으로 하는 관리 장치.16. The method of claim 15,
The policy management unit,
Management device, characterized in that the information about the user authority level of the user terminal is transmitted by being included in the access policy for the server and the access policy for the communication terminal.
상기 정책 관리부는,
암호화 방식 및 암호화 키를 상기 서버용 접속 정책, 상기 통신 단말용 접속 정책 및 상기 사용자 단말용 접속 정책에 각각 포함하여 전송하는 것을 특징으로 하는 관리 장치.17. The method of claim 16,
The policy management unit,
An encryption method and an encryption key are included in the access policy for the server, the access policy for the communication terminal, and the access policy for the user terminal, respectively, and transmitted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200141264A KR102441022B1 (en) | 2020-10-28 | 2020-10-28 | Apparatus and method for controlling network access |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200141264A KR102441022B1 (en) | 2020-10-28 | 2020-10-28 | Apparatus and method for controlling network access |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220056569A true KR20220056569A (en) | 2022-05-06 |
KR102441022B1 KR102441022B1 (en) | 2022-09-05 |
Family
ID=81584794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200141264A KR102441022B1 (en) | 2020-10-28 | 2020-10-28 | Apparatus and method for controlling network access |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102441022B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102605714B1 (en) * | 2022-09-16 | 2023-11-24 | 주식회사 안랩 | Communition apparatus and remote access secutity method therefor |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150116170A (en) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof |
KR20180005551A (en) * | 2016-07-06 | 2018-01-16 | 주식회사 케이티 | Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal |
-
2020
- 2020-10-28 KR KR1020200141264A patent/KR102441022B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150116170A (en) * | 2014-04-07 | 2015-10-15 | 한국전자통신연구원 | Access point apparatus for consisting multiple secure tunnel, system having the same and method thereof |
KR20180005551A (en) * | 2016-07-06 | 2018-01-16 | 주식회사 케이티 | Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102605714B1 (en) * | 2022-09-16 | 2023-11-24 | 주식회사 안랩 | Communition apparatus and remote access secutity method therefor |
Also Published As
Publication number | Publication date |
---|---|
KR102441022B1 (en) | 2022-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2738157C (en) | Assignment and distribution of access credentials to mobile communication devices | |
US9525666B2 (en) | Methods and systems for managing concurrent unsecured and cryptographically secure communications across unsecured networks | |
US20150296377A1 (en) | Sharing security keys with headless devices | |
JP2002281045A (en) | Cable network for providing authenticated access to wireless network client and its method | |
CN102215221A (en) | Methods and systems for secure remote wake, boot, and login to a computer from a mobile device | |
US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
CN101986598B (en) | Authentication method, server and system | |
CN111182546B (en) | Method, equipment and system for accessing wireless network | |
KR20190030317A (en) | IoT Security System Based on the BlockChain and Security Method thereof | |
JP6902151B1 (en) | Blockchain-based multi-node authentication method and equipment for executing this multi-node authentication method | |
CN115250203A (en) | Method and device for controlling equipment access and related products | |
KR102441022B1 (en) | Apparatus and method for controlling network access | |
US10198595B2 (en) | Data breach detection system | |
KR102211238B1 (en) | Method for providing logical internal network and mobile terminal, application implementing the method | |
JPH11203248A (en) | Authentication device and recording medium for storing program for operating the device | |
US20230189003A1 (en) | Pairing of user device with remote system | |
US11003744B2 (en) | Method and system for securing bank account access | |
KR102355708B1 (en) | Method for processing request based on user authentication using blockchain key and system applying same | |
KR20040088137A (en) | Method for generating encoded transmission key and Mutual authentication method using the same | |
US20150215130A1 (en) | Providing secure access to computing resources in a cloud computing environment | |
KR20230012851A (en) | Apparatus and method for enhancing network access security | |
KR102216848B1 (en) | Method for security connection using wireless terminal device | |
EP3439260B1 (en) | Client device ticket | |
US20220058258A1 (en) | System and control device | |
CN114640512A (en) | Security service system, access control method, and computer-readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |