KR100714368B1 - Internet protocol address management system co-operated with authentication server - Google Patents

Internet protocol address management system co-operated with authentication server Download PDF

Info

Publication number
KR100714368B1
KR100714368B1 KR1020050028530A KR20050028530A KR100714368B1 KR 100714368 B1 KR100714368 B1 KR 100714368B1 KR 1020050028530 A KR1020050028530 A KR 1020050028530A KR 20050028530 A KR20050028530 A KR 20050028530A KR 100714368 B1 KR100714368 B1 KR 100714368B1
Authority
KR
South Korea
Prior art keywords
address
server
user
authentication
information
Prior art date
Application number
KR1020050028530A
Other languages
Korean (ko)
Other versions
KR20060045527A (en
Inventor
김기태
Original Assignee
최성원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최성원 filed Critical 최성원
Priority to PCT/KR2005/001004 priority Critical patent/WO2006075823A1/en
Publication of KR20060045527A publication Critical patent/KR20060045527A/en
Application granted granted Critical
Publication of KR100714368B1 publication Critical patent/KR100714368B1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B43WRITING OR DRAWING IMPLEMENTS; BUREAU ACCESSORIES
    • B43KIMPLEMENTS FOR WRITING OR DRAWING
    • B43K29/00Combinations of writing implements with other articles
    • B43K29/12Combinations of writing implements with other articles with memorandum appliances
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B43WRITING OR DRAWING IMPLEMENTS; BUREAU ACCESSORIES
    • B43KIMPLEMENTS FOR WRITING OR DRAWING
    • B43K23/00Holders or connectors for writing implements; Means for protecting the writing-points
    • B43K23/008Holders comprising finger grips
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B43WRITING OR DRAWING IMPLEMENTS; BUREAU ACCESSORIES
    • B43KIMPLEMENTS FOR WRITING OR DRAWING
    • B43K24/00Mechanisms for selecting, projecting, retracting or locking writing units
    • B43K24/02Mechanisms for selecting, projecting, retracting or locking writing units for locking a single writing unit in only fully projected or retracted positions
    • B43K24/06Mechanisms for selecting, projecting, retracting or locking writing units for locking a single writing unit in only fully projected or retracted positions operated by turning means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B43WRITING OR DRAWING IMPLEMENTS; BUREAU ACCESSORIES
    • B43KIMPLEMENTS FOR WRITING OR DRAWING
    • B43K24/00Mechanisms for selecting, projecting, retracting or locking writing units
    • B43K24/02Mechanisms for selecting, projecting, retracting or locking writing units for locking a single writing unit in only fully projected or retracted positions
    • B43K24/08Mechanisms for selecting, projecting, retracting or locking writing units for locking a single writing unit in only fully projected or retracted positions operated by push-buttons

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인증 서버와 연동되어 인증 성공된 사용자에 대하여 인증 서버에 의해 적용되는 보안 정책에 따라 IP 주소를 할당하고 관리할 수 있는 IP 주소 관리 시스템에 관한 것이다. 상기 IP 주소 관리 시스템은, 등록된 사용자에 대한 보안 정책을 저장ㆍ관리하는 데이터베이스 서버, 상기 데이터베이스 서버에 저장된 사용자에 대한 정보를 이용하여 인증을 수행하는 인증 서버, 상기 인증 서버와 연동되어, 인증 성공된 사용자에 대하여 상기 데이터베이스에 저장된 보안 정책에 따라 특정 IP 주소를 할당하는 IP 주소 할당 서버를 포함한다. The present invention relates to an IP address management system capable of allocating and managing an IP address according to a security policy applied by an authentication server to a user who has been authenticated in association with an authentication server. The IP address management system is linked with a database server for storing and managing a security policy for a registered user, an authentication server for performing authentication using information on a user stored in the database server, and the authentication server. And an IP address assignment server for allocating a specific IP address according to the security policy stored in the database.

본 발명에 의하여, 인증 성공된 사용자에 대하여 사용자별, 그룹별, 릴레이 에이전트(Relay Agent)별로 고정 IP 주소를 할당할 수 있게 된다. According to the present invention, it is possible to assign a fixed IP address for each user, group, and relay agent for a successful user.

인증 서버, DHCP, IP 주소 Authentication server, DHCP, IP address

Description

인증 서버와 연동되는 IP 주소 관리 시스템{INTERNET PROTOCOL ADDRESS MANAGEMENT SYSTEM CO-OPERATED WITH AUTHENTICATION SERVER}IP address management system interworking with authentication server {INTERNET PROTOCOL ADDRESS MANAGEMENT SYSTEM CO-OPERATED WITH AUTHENTICATION SERVER}

도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 전체적으로 도시한 구성도.1 is a block diagram showing an overall authentication system according to the IEEE 802.1x standard.

도 2는 도 1의 인증 시스템에 의해 인증 수행되는 과정을 도시한 흐름도.2 is a flowchart illustrating a process of performing authentication by the authentication system of FIG.

도 3은 본 발명의 바람직한 실시예에 따른 IP 주소 관리 시스템를 전체적으로 도시한 구성도.Figure 3 is a block diagram showing an overall IP address management system according to a preferred embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 IP 주소 관리 시스템에서의 이중화된 DHCP 서버의 동작 과정을 순차적으로 도시한 흐름도.4 is a flowchart sequentially illustrating an operation process of a redundant DHCP server in the IP address management system according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

300 : 유선 단말300: wired terminal

302, 314, 320 : 스위치302, 314, 320: switch

310 : 무선 단말310: wireless terminal

314 : 액세스 포인트314: access point

330 : 인증 서버330: authentication server

340 : 데이터베이스 서버340: Database Server

350 : DHCP 서버 350: DHCP server

본 발명은 인증 서버와 연동되는 IP(Internet Protocol) 주소 관리 시스템에 관한 것으로서, 더욱 구체적으로는 인증 서버에 의하여 인증 성공된 사용자에 대하여 인증 서버에 의하여 적용되는 보안 정책에 따라 특정 IP 주소를 할당할 수 있도록 하는 IP 주소 관리 시스템에 관한 것이다. The present invention relates to an IP (Internet Protocol) address management system interworking with an authentication server, and more specifically, to assign a specific IP address to a user who has been authenticated by the authentication server according to a security policy applied by the authentication server. It relates to an IP address management system.

OSI(Open System Interconnection) 참조 모델중 제2 계층인 데이터링크(Data link) 계층에서, 네트워크에 접속하고자 하는 사용자들에 대한 인증 과정이 수행되며, OSI 참조 모델중 제3 계층은 네트워크 계층에서 각 사용자 단말에 대하여 IP(Internet Protocol) 주소가 할당된다. 이와 같이, 사용자에 대한 인증 과정과 IP 주소 할당 과정은 OSI 참조 모델에서 서로 다른 계층에서 수행된다. 이하, 인증 과정 및 IP 주소 할당 과정을 개략적으로 설명한다. In the Data Link layer, which is the second layer of the Open System Interconnection (OSI) reference model, the authentication process is performed for users who want to access the network, and the third layer of the OSI reference model includes each user in the network layer. An IP (Internet Protocol) address is assigned to the terminal. As such, the authentication process for the user and the IP address assignment process are performed at different layers in the OSI reference model. Hereinafter, the authentication process and the IP address allocation process will be described in brief.

먼저, 도 1은 IEEE 802.1x의 표준 규격에 따른 인증 시스템을 전체적으로 설명하기 위하여 개략적으로 도시한 도면이며, 도 2는 인증 과정을 순차적으로 설명하는 도면이다. 도 1 및 도 2를 참조하여 보면, 현재, IEEE 802.1x의 표준 규격에서는 요구자(Supplicant;100), 인증자(Authenticator;110), 인증 서버(Authentication Server;120)의 세가지 개체를 정의하고 있다. First, FIG. 1 is a diagram schematically illustrating an authentication system according to the IEEE 802.1x standard as a whole, and FIG. 2 is a diagram sequentially illustrating an authentication process. Referring to FIGS. 1 and 2, at present, the IEEE 802.1x standard standard defines three entities: a supplicant 100, an authenticator 110, and an authentication server 120.

여기서, 요구자(100)는 인증자(110)에게 사용자의 인증 정보를 제공하고 인증 요청을 하는 개체로서, 그 예로는 네트워크에 접속하고자 하는 유ㆍ무선 단말이 여기에 포함된다. 요구자가 인증자에게 인증을 요청하는 때의 인증자의 초기 포트 상태는 사용 불가능한 상태(uncontrolled port status)로 설정되어 있으며, 이때에는 요구자와 인증자는 확장 가능한 인증 프로토콜(EAP:Extensible Authentication Protocol)로서만 통신이 가능하다. Here, the requestor 100 is an entity for providing authentication information of the user to the authenticator 110 and requesting authentication, and examples thereof include wired and wireless terminals to be connected to a network. The authenticator's initial port status when the requestor requests authentication from the authenticator is set to uncontrolled port status, where the requestor and authenticator communicate only as an Extensible Authentication Protocol (EAP). This is possible.

한편, 인증자(110)는 요구자(100)로부터 받은 인증 정보 및 인증 요청을 인증 서버(120)에게 전송하며, 인증 서버로부터 인증이 성공되면 요구자에게 인증 성공 메시지를 전달하고 인증자의 포트를 사용 가능한 상태(Controlled port status)로 전환시킨다. 이와 같은 인증자의 예로서는, 액세스 포인트, 라우터, 스위치 등의 하나가 될 수 있을 것이다. Meanwhile, the authenticator 110 transmits the authentication information and the authentication request received from the requestor 100 to the authentication server 120. When the authentication is successful from the authentication server, the authenticator 110 transmits an authentication success message to the requestor and uses the port of the authenticator. Switch to Controlled port status. An example of such an authenticator may be one of an access point, a router, a switch, and the like.

또한, 인증 서버(120)는 인증자(110)로부터 요구자(100)에 대한 인증 요청을 받아 인증 여부를 판단하는 개체로서, 사용자에 대한 인증 정보를 내부 데이터베이스에 저장ㆍ관리하거나, 또는 외부의 개체와 통신을 하여 사용자에 대한 인증 정보를 전송받아서 인증 여부를 판단하게 된다. 이때, 인증 서버(120)와 인증자(110) 사이에 사용되는 프로토콜은 IEEE 802.1x에서 정의되고 있는 바는 없으나, 일반적인 AAA(Authentication, Authorization, Accounting) 서버에서 사용하는 프로토콜을 사용하도록 권장하고 있다. 이에 따라, RADIUS(Remote Authentication Dial-In User Service) 프로토콜이 산업계 표준(De-Facto Standard)으로 자리잡고 있다. In addition, the authentication server 120 is an entity that receives an authentication request for the requestor 100 from the authenticator 110 and determines whether to authenticate. The authentication server 120 stores and manages authentication information about the user in an internal database, or an external entity. It communicates with and receives authentication information about the user to determine whether to authenticate. At this time, the protocol used between the authentication server 120 and the authenticator 110 is not defined in IEEE 802.1x, but it is recommended to use the protocol used in the general AAA (Authentication, Authorization, Accounting) server. . Accordingly, the RADIUS (Remote Authentication Dial-In User Service) protocol is becoming an industry standard (De-Facto Standard).

RADIUS 프로토콜을 이용하여 인증자와 인증 서버간의 통신을 하는 경우, 사용자에 대한 네트워크 접근 권한 제어는 인증 서버의 내부적인 인증 알고리즘에 의한 인증 여부의 판단과 인증 성공 메시지에서 전달 가능한 RADIUS 속성(Attribute) 들, 및 벤더(vendor)별 RADIUS 속성(VSA:Vendor Specific Attribute)들을 이용하여 구현이 가능하다. In case of communication between authenticator and authentication server using RADIUS protocol, network access authority control for user can be determined by authentication server's internal authentication algorithm and RADIUS attributes that can be transmitted in authentication success message. This can be implemented by using vendor and vendor specific RADIUS attributes (VSA).

다음, 각 사용자 단말에 대하여 동적으로 IP 주소를 할당하는 과정을 개략적으로 설명한다. TCP/IP 기반 네트워크에서의 각각의 컴퓨터나 프린터와 같은 호스트는 네트워크 주소 정보를 설정해야 하며, 네트워크 주소 정보에는 IP 주소, 서브넷 마스크, 기본 게이트웨이 주소, DNS 서버의 IP 주소와 WINS 서버의 IP 주소등이 해당된다. 이와 같은 주소 정보들은 수동으로 또는 자동으로 컴퓨터마다 설정되어야 한다. Next, a process of dynamically allocating an IP address to each user terminal will be described. Each computer or host on a TCP / IP-based network, such as a printer, needs to set up network address information, which includes the IP address, subnet mask, default gateway address, DNS server IP address, and WINS server IP address. This is true. Such address information must be set for each computer manually or automatically.

TCP/IP 네트워크에서는 IP 주소를 수동으로 설정하는 것은 굉장히 많은 관리 부담이 된다. Windows 2000 서버에서는 이러한 정보를 컴퓨터들에게 할당하기 위한 방법으로 DHCP 서비스를 사용하는데, 이 서비스는 네트워크의 TCP/IP 설정을 자동화하고 주소 정보를 지원한다. DHCP(Dynamic Host Configuration Protocol)는 IP 주소를 비롯한 각종 TCP/IP 프로토콜 기본 설정을 개별 클라이언트들에게 자동적으로 할당하는 방식의 프로토콜이다. DHCP에 관련된 사양 및 기준은 RFC 1533, 1534, 1541, 1542에 정의되어 있다. DHCP는 기본적으로 TCP/IP 설정을 자동 관리하며, 개별 시스템에 IP 주소과 관련된 설정 정보를 부여한다. 구성은 DHCP 클라이언트와 DHCP 서버로 구성되어 있다. DHCP 서버는 관리할 IP 주소 범위를 갖고 있으며, DHCP 클라이언트에게 IP 주소를 할당하고 IP 주소 사용을 추적할 수 있다. In a TCP / IP network, manually setting an IP address can be very expensive. Windows 2000 Server uses the DHCP service as a way to assign this information to computers, which automates the TCP / IP configuration of the network and supports address information. Dynamic Host Configuration Protocol (DHCP) is a protocol that automatically assigns various TCP / IP protocol preferences to individual clients, including IP addresses. Specifications and criteria related to DHCP are defined in RFC 1533, 1534, 1541, 1542. DHCP automatically manages TCP / IP configuration by default and gives configuration information related to IP addresses to individual systems. The configuration consists of a DHCP client and a DHCP server. The DHCP server has a range of IP addresses to manage and can assign IP addresses to DHCP clients and track their use.

좀 더 구체적으로 설명하면, DHCP 서버는 '스코프(Scope)'라 불리는 IP 주소의 범위를 만들어 컴퓨터들에게 제공하여야 할 IP 주소 정보를 준비한다. IP 주소 범위를 만들 때에는 IP 주소와 서브넷 마스크를 설정하도록 되어 있고 처음 주소와 끝 주소를 지정하도록 되어 있다. 기본 게이트웨이나 DNS에 대한 정보들은 옵션 설정을 사용한다. More specifically, the DHCP server prepares a range of IP addresses called Scopes to prepare the IP address information it needs to provide to computers. When you create an IP address range, you are required to set an IP address and subnet mask, and specify the first address and the end address. Information about the default gateway or DNS uses optional settings.

DHCP 클라이언트들은 시스템이 시작하면 DHCP 서버에 자신의 시스템을 위한 IP 주소를 요청한다. DHCP 서버로부터 IP 주소를 대여받게 되면 TCP/IP 설정을 초기화되고 다른 호스트와 TCP/IP 프로토콜을 사용해서 통신할 수 있게 된다. DHCP clients request the IP address for their system from the DHCP server when the system starts up. When an IP address is borrowed from a DHCP server, the TCP / IP settings can be initialized and communicated with other hosts using the TCP / IP protocol.

그리고, DHCP 서버는 DHCP 클라이언트로부터의 IP 주소 대여 요청에 응답하여, 스코프(Scope)의 IP 범위 중 사용되지 않고 있는 IP 주소를 선택하여 컴퓨터에게 IP 주소 정보를 제공한다.The DHCP server selects an unused IP address from the scope's IP range and provides the computer with IP address information in response to an IP address rental request from a DHCP client.

액티브 디렉토리(Active Directory) 환경아래에 있어서, DHCP서버는 도메인 제어기(Domain Controller)로부터 권한을 부여받아야 하며, 이미 DHCP 서버가 구축되어 있거나 인증된 서버가 있다면 관리할 서버를 추가해서 하나의 도메인 제어기에서 모든 DHCP를 제어할 수 있게 된다. Under an Active Directory environment, a DHCP server must be authorized by a domain controller. If a DHCP server has already been established or an authorized server is added, a server to be managed can be added to one domain controller. You can control all DHCP.

한편, DHCP 서버에 대한 승인 작업은 다음과 같다. DHCP 서버의 역할을 하는 컴퓨터가 시작할 때 DHCP 서버의 IP 주소가 디렉토리 서비스에서 승인된 DHCP 서버 목록에 있는지 여부를 검색한다. 만일 DHCP 서버의 IP 주소가 발견되지 않으면 이 서버는 승인되지 않은 서버로 간주하여 그 서버의 DHCP 서비스는 자동적으로 종료하게 된다. DHCP 서버에게 권한을 부여함으로써 액티브 디렉토리(Active Directory)로부터 승인을 받게 된다. 이와 같은 DHCP 서버는 운영 체제가 Windows 2000 서버이어야 하며, 고정 IP 주소, 서브넷 마스크와 기본 게이트웨이 등을 설정 해 주어야 하며, DHCP 클라이언트에게 부여해 줄 IP 주소의 범위, 즉 스코프를 가지고 있어야 한다. 이때, IP 주소는 공용 IP 주소일수도 있고 사설 IP 주소일 수도 있다. 또한, DHCP 서버가 포함된 네트워크의 DHCP 클라이언트들은 DHCP 서버의 네트워크 주소, 즉 네트워크 ID와 동일한 범위의 IP 주소를 할당받게 된다. Meanwhile, the approval work for the DHCP server is as follows. When a computer acting as a DHCP server starts up, it searches whether the DHCP server's IP address is in the list of DHCP servers approved by the directory service. If the IP address of the DHCP server is not found, the server is regarded as an unauthorized server and its DHCP service is automatically terminated. By authorizing the DHCP server, you get approval from Active Directory. This DHCP server must be a Windows 2000 server, set up a static IP address, subnet mask, default gateway, etc., and have a range of IP addresses, or scopes, to give DHCP clients. In this case, the IP address may be a public IP address or a private IP address. In addition, DHCP clients of a network including a DHCP server are assigned an IP address in the same range as the network address of the DHCP server, that is, the network ID.

한편, DHCP 클라이언트로 설정하려면, 해당 컴퓨터의 TCP/IP 등록 정보에서 IP 주소를 자동적으로 설정하는 항목이 선택되어야 한다. On the other hand, to set up as a DHCP client, an item for automatically setting an IP address in the TCP / IP registration information of the corresponding computer should be selected.

이하, DHCP 의 작동 과정을 순차적으로 설명한다. 먼저, DHCP 클라이언트가 시작할 때마다 DHCP 서버에게 IP 주소 정보를 요청한다. 이때, 클라이언트가 요청하는 IP 주소 정보는 IP 주소, 서브넷 마스크, 그리고 옵션으로 기본 게이트웨이 주소, DNS 서버의 주소, WINS 서버의 주소이다. 여기서, 도메인 이름 시스템(DNS:Domain Name System)은 네트워크상의 클라이언트에 의해 사용되는 도메인 이름을 매핑 및 변환시키는 기능을 수행하며, WINS 서버는 Windows를 실행하는 컴퓨터에서 NetBIOS 컴퓨터 이름을 IP 주소로 변환시키는 기능을 수행한다. Hereinafter, the operation of the DHCP will be described sequentially. First, whenever a DHCP client starts, it requests IP address information from a DHCP server. At this time, the IP address information requested by the client is an IP address, a subnet mask, and optionally a default gateway address, a DNS server address, and a WINS server address. The Domain Name System (DNS) performs the function of mapping and translating domain names used by clients on the network, and the WINS server converts NetBIOS computer names into IP addresses on computers running Windows. Perform the function.

다음, 네트워크상의 특정 DHCP 서버가 DHCP 클라이언트의 요청을 받으면, DHCP 서버는 데이터베이스에 정의되어 있는 주소의 범위 중에서 사용하지 않고 있는 IP 주소 정보를 선택하여 DHCP 클라이언트에게 제공한다. DHCP 클라이언트가 요청을 받아들이면, DHCP 서버는 일정 기간동안 IP 주소 정보를 대여하게 된다. 기본적으로 IP 주소 정보의 대여 기간은 8일로 설정된다. Next, when a specific DHCP server on the network receives a request from a DHCP client, the DHCP server selects unused IP address information from a range of addresses defined in the database and provides the DHCP client with the information. If the DHCP client accepts the request, the DHCP server will borrow the IP address information for a period of time. By default, the rental period for IP address information is set to eight days.

한편, DHCP 클라이언트들이 DHCP 서버에 접근하기 위하여 브로드캐스팅을 하게 되는데, 라우터는 기본적으로 브로드캐스트를 포워드하지 않으므로 라우터를 넘 어서 DHCP 서버를 찾을 수 없게 된다. 이러한 라우터의 특징에 의해, 각 서브넷당 하나의 DHCP 서버가 필요하게 되는데, 이는 네트워크 서버넷마다 서버를 만들어야 하는 문제가 생기며, 이로 인해 네트워크 구축에 대한 비용이 상승하게 된다. 이러한 문제점을 해결하기 위하여 DHCP 릴레이 에이전트가 개발된 것이다. 즉, 여러 개의 서브넷이 하나의 DHCP 서버를 사용하는 경우, DHCP 서버가 없는 서브넷은 DHCP 릴레이 에이전트(Relay Agent)를 이용하여, 다른 DHCP서버에서 IP를 받을 수 있도록 포워드하게 된다. On the other hand, DHCP clients broadcast to access the DHCP server. Since the router does not forward broadcast by default, the DHCP server cannot be found beyond the router. Due to the characteristics of such a router, one DHCP server is required for each subnet, which creates a problem of creating a server for each network server net, which increases the cost of network construction. To solve this problem, a DHCP relay agent has been developed. That is, when multiple subnets use a single DHCP server, the subnet without a DHCP server is forwarded to receive an IP from another DHCP server using a DHCP relay agent.

DHCP 릴레이 에이전트는, 클라이언트로부터의 IP 요청을 포워딩하면서 작은 메시지를 첨부하여 요청한 서브넷에 대한 정보를 같이 전송하게 된다. 이에 따라, DHCP 서버는 이에 해당하는 IP를 다시 클라이언트로 제공(offer)함으로써 정상적인 IP 배포가 이루어지게 되는 것이다. 이와 같이, 릴레이 에이전트를 이용함으로써, 여러 개의 서브넷을 운영하는 네트워크 환경에서 DHCP 서버의 수를 줄이고 운용할 수 있게 된다. The DHCP relay agent forwards the IP request from the client and attaches a small message to transmit information about the requested subnet. As a result, the DHCP server provides the corresponding IP back to the client so that normal IP distribution is achieved. As such, by using the relay agent, it is possible to reduce and operate the number of DHCP servers in a network environment operating multiple subnets.

이와 같이, DHCP를 사용함으로써, 클라이언트가 네트워크 환경의 TCP/IP 설정을 전혀 몰라도 문제없이 네트워크에 접근할 수 있으며, IP 주소의 충돌을 예방할 수 있으며, 쓸데없이 사용되는 IP를 제어할 수 있게 된다. 또한, IP 주소를 효율적으로 분배함으로써, 실제 사용가능한 IP보다 많은 클라이언트가 네트워크에 접근할 수 있게 된다. Thus, by using DHCP, the client can access the network without any problem without knowing the TCP / IP configuration of the network environment, can prevent the collision of IP addresses, and can control the IP used unnecessarily. In addition, by efficiently distributing IP addresses, more clients can access the network than are actually available.

전술한 바와 같이, 인증 서버에서의 사용자에 대한 인증 절차와 DHCP 서버에 의한 IP 주소 할당 절차는 서로 다른 계층에서 전혀 무관하게 진행된다. 따라서, 인증 서버에 의해 인증 성공된 사용자인 경우 자신에게 할당된 IP 주소를 임의로 변경하여 네트워크에 접속하더라도 이를 차단시키기 어려운 문제점이 있다. As described above, the authentication procedure for the user at the authentication server and the IP address assignment procedure by the DHCP server are performed at all different layers. Therefore, in the case of a successful user authentication by the authentication server, even if the user accesses the network by arbitrarily changing the IP address assigned to the user, it is difficult to block it.

한편, 본 출원인은 인증 서버와 DHCP 서버를 연동시킴으로써, 인증 서버의 보안 정책은 DHCP 서버에도 적용시킬 수 있도록 하여, 네트워크 보안 및 IP 주소 관리를 동시에 수행할 수 있는 IP 주소 관리 시스템을 제안하고자 한다. Meanwhile, the present applicant intends to propose an IP address management system capable of simultaneously performing network security and IP address management by interworking an authentication server and a DHCP server so that the security policy of the authentication server can be applied to a DHCP server.

본 발명의 목적은 인증 서버와 IP주소 할당 서버가 연동되어, 인증 서버에 의하여 인증 성공후 사용자의 ID에 따라 특정 IP 주소를 할당할 수 있는 IP 주소 관리 시스템을 제공하는 것이다.It is an object of the present invention to provide an IP address management system in which an authentication server and an IP address assignment server are interworked so that a specific IP address can be assigned according to the user's ID after successful authentication by the authentication server.

본 발명의 다른 목적은 인증 서버와 IP 주소 할당 서버가 연동되어, 인증 성공후 사용자가 포함되는 VLAN ID에 따라 특정 IP 주소를 할당할 수 있는 IP 주소 관리 시스템을 제공하는 것이다.Another object of the present invention is to provide an IP address management system in which an authentication server and an IP address assignment server are interworked to allocate a specific IP address according to a VLAN ID in which a user is included after successful authentication.

본 발명의 다른 목적은 인증 서버와 IP 주소 할당 서버가 연동되어, 인증 성공 후 사용자의 단말이 포함되는 서브넷의 릴레이 에이전트(Relay Agent)에 따라 특정 IP 주소를 할당할 수 있는 IP 주소 관리 시스템을 제공하는 것이다. It is another object of the present invention to provide an IP address management system in which an authentication server and an IP address assignment server are interworked to allocate a specific IP address according to a relay agent of a subnet including a user terminal after successful authentication. It is.

전술한 기술적 과제를 달성하기 위한 본 발명의 특징은 인증 서버와 동적 호스트 설정 서버가 연동되는 IP 주소 관리 시스템에 관한 것으로서, 등록된 사용자들에 대하여 적용할 보안 정책이 저장 관리되는 데이터베이스 서버와, 사용자로부터의 요청에 따라, 상기 데이터베이스 서버를 이용하여 해당 사용자에 대한 인증을 수행하는 인증 서버와, 상기 인증 서버와 통신 경로를 형성하여, 상기 인증 서버로부터 인증된 사용자에 대한 정보를 전송받고, 전송받은 정보들 및 상기 데이터베이스 서버를 이용하여 특정의 IP 주소를 할당하는 동적 호스트 설정 서버를 구비하여, 상기 인증 서버에 의해 인증된 사용자에게 적용될 보안 정책에 따라 특정 사용자에게 특정 IP주소를 할당하는 것이다. A feature of the present invention for achieving the above-mentioned technical problem relates to an IP address management system in which an authentication server and a dynamic host configuration server are interlocked. A database server storing and managing a security policy to be applied to registered users and a user In response to a request from the server, an authentication server for authenticating the user using the database server and a communication path are formed with the authentication server to receive and receive information on the authenticated user from the authentication server. A dynamic host configuration server which allocates a specific IP address using information and the database server, and assigns a specific IP address to a specific user according to a security policy to be applied to the user authenticated by the authentication server.

여기서, 상기 데이터베이스 서버는 사용자별 IP주소 목록을 구비하여, 특정 사용자에게 할당할 수 있는 IP 주소 또는 IP주소 범위를 설정하여 관리하며, 상기 동적 호스트 설정 서버는 상기 데이터베이스 서버에 설정된 사용자별 IP 주소 목록을 이용하여 특정 사용자에게 해당하는 IP 주소를 할당하는 것이 바람직하다.Here, the database server includes a list of IP addresses for each user, sets and manages an IP address or an IP address range that can be assigned to a specific user, and the dynamic host setting server includes a list of IP addresses for each user set in the database server. It is desirable to assign a corresponding IP address to a specific user.

본 발명의 다른 특징에 따른 데이터베이스 서버는 VLAN ID별 IP 주소 목록을 구비하여, 각 네트워크 장비 또는 사용자가 포함되는 VLAN ID에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정하여 관리하며, 상기 동적 호스트 설정 서버는 상기 데이터베이스 서버에 설정된 VLAN ID별 IP 주소 목록을 이용하여 IP 주소를 요청하는 사용자가 포함되는 VLAN ID에 해당하는 IP 주소를 할당한다.According to another aspect of the present invention, a database server includes a list of IP addresses for each VLAN ID, and sets and manages an IP address or an IP address range that can be allocated according to a VLAN ID included in each network device or user. The host configuration server allocates an IP address corresponding to a VLAN ID including a user requesting an IP address by using a list of IP addresses for each VLAN ID set in the database server.

본 발명의 또 다른 특징에 따른 데이터베이스 서버는 릴레이 에이전트(Relay Agent)별 IP 주소목록을 구비하여, 릴레이 에이전트에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정하여 관리하며, 상기 동적 호스트 설정 서버는 상기 릴레이 에이전트별 IP 주소 목록을 이용하여 IP 주소를 요청하는 릴레이 에이전트에 해당하는 IP 주소를 사용자에게 할당한다. According to another aspect of the present invention, a database server includes a relay agent (IP) list of relay agents, sets and manages an IP address or an IP address range that can be allocated according to a relay agent, and manages the dynamic host configuration server. Allocates an IP address corresponding to a relay agent requesting an IP address to a user using the relay agent-specific IP address list.

본 발명의 또 다른 특징에 따른 데이터베이스 서버는 스위치(Switch)별 데이 터 송신 속도 및 데이터 수신 속도에 대한 설정 정보를 구비하고, 상기 인증 서버는 특정 스위치의 데이터 송ㆍ수신 속도를 상기 데이터베이스 서버에 설정되어 있는 송ㆍ수신 속도에 따라 적용한다.According to another aspect of the present invention, a database server includes setting information on a data transmission speed and a data reception speed for each switch, and the authentication server sets the data transmission and reception speed of a specific switch to the database server. Applies according to the transmission and reception speed.

본 발명의 다른 특징에 따른 인증 서버는 각 사용자별로 적용되는 보안 정책을 저장 관리하는 데이터베이스를 구비하고, 사용자로부터 인증 요청이 발생하면, 상기 데이터베이스의 보안 정책에 따라 해당 사용자에 대하여 인증을 수행하며, 인증 성공되면 사용자에게 인증 성공 정보를 전송함과 동시에, 인증 성공된 사용자에 관한 사용자 정보 및 해당 사용자에게 적용될 보안 정책을 DHCP 서버로 전송한다. According to another aspect of the present invention, an authentication server includes a database for storing and managing a security policy applied to each user. When an authentication request is generated from a user, the authentication server authenticates the user according to the security policy of the database. If the authentication is successful, the authentication success information is transmitted to the user, and the user information about the successful authentication user and the security policy to be applied to the user are transmitted to the DHCP server.

본 발명의 또 다른 특징에 따른 동적 호스트 설정 프로토콜(DHCP) 서버는 인증 서버와의 통신 경로가 형성되어 있으며, 상기 인증 서버와 연동되어, 인증 서버에 의해 인증성공된 사용자에 관한 정보 및 해당 사용자에게 적용될 보안 정책을 인증 서버로부터 전송받고, 인증 서버로부터 전송받은 정보를 이용하여, 해당 사용자에게 특정 IP 주소를 할당한다. Dynamic Host Configuration Protocol (DHCP) server according to another aspect of the present invention has a communication path is formed with the authentication server, in conjunction with the authentication server, information about the user successfully authenticated by the authentication server and the user The security policy to be applied is transmitted from the authentication server, and a specific IP address is assigned to the corresponding user by using the information received from the authentication server.

여기서, 상기 DHCP 서버가 인증 서버로부터 전송받는 보안 정책은 각 사용자별 IP 주소 목록, VLAN ID 별 IP 주소 목록, 릴레이 에이전트별 IP 주소 목록 중 적어도 하나 이상을 포함하는 것이 바람직하다.Here, the security policy received by the DHCP server from the authentication server preferably includes at least one or more of the IP address list for each user, the IP address list for each VLAN ID, IP address list for each relay agent.

또한, 상기 DHCP 서버는 적어도 둘 이상의 DHCP 서버로 이루어지며, In addition, the DHCP server is composed of at least two DHCP servers,

상기 DHCP 서버들은 DHCP 클라이언트로부터 브로드캐스팅(broadcasting)된 IP 주소 정보의 요청을 받고, 요청받은 상기 DHCP 서버들은 서로 통신하여, IP 주소 정보를 제공할 DHCP 서버를 결정하며, The DHCP servers receive a request for broadcast IP address information from a DHCP client, the DHCP servers communicated with each other, and determine a DHCP server to provide IP address information.

결정된 DHCP 서버는 상기 DHCP 클라이언트에게 대여할 IP 주소정보를 제공하고, 상기 DHCP 클라이언트로부터 유니캐스팅된 요청을 전송받고, 이에 따라 대여할 IP 주소 및 기본 설정 파라메터를 DHCP 클라이언트에게 제공하며, 상기 DHCP 서버들은 자신의 IP 주소 목록을 서로 동기화시킨다. The determined DHCP server provides IP address information to be leased to the DHCP client, receives a unicasted request from the DHCP client, and thus provides the DHCP client with an IP address and basic configuration parameters to be leased. Synchronize your own list of IP addresses.

본 발명에 의하여, 인증 서버와 DHCP 서버가 연동되어, 인증 서버에 의해 인증 성공된 사용자에게 사용자별, VLAN ID 별, 릴레이 에이전트별로 고정 IP 주소를 할당할 수 있게 된다. According to the present invention, the authentication server and the DHCP server are interlocked, so that a fixed IP address can be assigned to each user, each VLAN ID, and each relay agent to a user authenticated by the authentication server.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 인증 서버와 DHCP 서버가 연동되어 사용자별, VLAN ID 별, 릴레이 에이전트별, 또는 그 외의 보안 정책에 따라 특정 IP주소를 할당할 수 있도록 하는 IP 주소 관리 시스템의 구성 및 그 동작을 구체적으로 설명한다. Hereinafter, an authentication server and a DHCP server according to a preferred embodiment of the present invention will be linked with reference to the accompanying drawings so that specific IP addresses can be assigned according to user, VLAN ID, relay agent, or other security policies. The configuration of the IP address management system and its operation will be described in detail.

도 3은 본 발명의 바람직한 실시예에 따른 인증서버와 IP주소 할당 서버가 연동되는 IP 주소 관리 시스템을 전체적으로 도시한 구성도이다. 도 3을 참조하여 보면, 본 발명에 따른 시스템은 적어도 하나 이상의 유ㆍ무선 단말(300, 310), 상기 유선 단말(300)을 네트워크에 접속시킬 수 있도록 하는 스위치(302, 320), 상기 무선 단말(310)을 네트워크에 접속시킬 수 있도록 하는 액세스 포인트(312) 및 스위치(314, 320), 인증 수행하는 인증 서버, 사용자에게 IP 주소를 할당하는 IP주소 할당 서버(350), 및 상기 인증 서버에 의해 적용될 보안 정책 등을 저장ㆍ관리하는 데이터베이스 서버(340)를 포함한다. 이하, 본 발명에 따른 시스템을 구성하는 각 구성 요소들에 대하여 구체적으로 설명한다. 3 is a block diagram illustrating an overall IP address management system in which an authentication server and an IP address assignment server are interworked according to a preferred embodiment of the present invention. Referring to FIG. 3, the system according to the present invention includes at least one wired or wireless terminal 300 or 310, switches 302 and 320 to connect the wired terminal 300 to a network, and the wireless terminal. An access point 312 and switches 314 and 320 for connecting the network 310 to the network, an authentication server for performing authentication, an IP address assignment server 350 for allocating an IP address to a user, and the authentication server. And a database server 340 for storing and managing security policies to be applied by the system. Hereinafter, each component constituting the system according to the present invention will be described in detail.

먼저, 적어도 하나 이상의 단말이 유ㆍ무선 통신을 이용하여 시스템에 접속할 수 있다. 사용자 단말(300)이 유선 통신을 이용하여 접속하는 경우 스위치(302, 320)를 경유하여 시스템에 접속하게 되며, 사용자 단말(310)이 무선 통신을 이용하여 접속하는 경우 액세스 포인트(312) 및 스위치(312, 320)를 경유하여 시스템에 접속하게 된다. First, at least one terminal may be connected to the system using wired or wireless communication. When the user terminal 300 is connected using wired communication, the user terminal 300 is connected to the system via the switches 302 and 320. When the user terminal 310 is connected using the wireless communication, the access point 312 and the switch are connected. Access to the system via 312,320.

인증 서버(330)는 등록된 사용자에 대하여 인증을 수행하며, 상기 데이터베이스 서버(340)에 저장ㆍ관리되는 정보를 이용하여 특정 사용자에 해당하는 보안 정책을 적용하게 된다. 또한, 상기 인증 서버(330)는 인증 성공된 사용자에 대한 보안 정책 또는 IP 주소 목록을 상기 IP 주소할당 서버(350)로 전송하게 된다. The authentication server 330 authenticates a registered user and applies a security policy corresponding to a specific user by using the information stored and managed in the database server 340. In addition, the authentication server 330 transmits a security policy or a list of IP addresses for successful users to the IP address assignment server 350.

상기 데이터베이스 서버(340)는 사용자별 또는 그룹별 적용되는 보안 정책에 대한 정보가 저장ㆍ관리된다. 구체적으로, 상기 데이터베이스 서버(340)는 ① 특정 사용자에게 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정한 사용자별 IP 주소 목록, ② 특정 사용자에 대해 할당되는 가상 사설망(VLAN) ID 목록, ③ VLAN ID에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정한 VLAN ID별 IP 주소 목록, ④ 릴레이 에이전트(Relay Agent)에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정한 릴레이 에이전트별 IP 주소 목록, ⑤ 시스템내의 스위치(Switch)들에 대하여 설정된 데이터 송신 속도 및 데이터 수신 속도 등에 관한 정보를 저장ㆍ관리한다. 따라서, 상기 데이터베이스 서버는 상기 인증 서버 및/또는 DHCP 서버로부터의 요청에 따라 해당 정보를 전송하게 된다. The database server 340 stores and manages information on security policies applied for each user or group. Specifically, the database server 340 may include: ① a list of IP addresses for each user who set an IP address or a range of IP addresses that can be assigned to a specific user, ② a list of virtual IDs (VLANs) assigned for a specific user, and ③ a VLAN. List of IP addresses by VLAN ID that can be assigned IP address or IP address range according to ID, ④ IP address that can be assigned or relay IP address range that is assigned IP address range according to relay agent List, 5) Stores and manages information on the data transmission speed and data reception speed set for the switches in the system. Accordingly, the database server transmits the corresponding information in response to a request from the authentication server and / or a DHCP server.

다음, IP주소할당 서버(350)는 단말이나 네트워크 내의 장비들에 대하여 IP 주소를 동적으로 할당하는 서버로서, 주로 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol:이하 'DHCP'라 한다) 서버를 사용한다. 본 발명의 바람직한 실시예에 따른 DHCP 서버는 인증 서버와의 통신 경로가 형성되어 있으며, 인증 서버에서의 EAP패킷을 통한 인증 수행과 연동되어, 터널 인증 프로토콜(EAP-TTLS 또는 PEAP)로부터 사용자 정보를 획득하고 RADIUS 프로토콜로부터 사용자 단말기의 MAC주소를 획득하게 된다. 또한, DHCP 서버는 상기 인증 서버로부터 인증 성공된 사용자에 대해 적용될 보안 정책(사용자에게 설정된 IP 주소 목록 등을 포함)에 관한 정보를 전송받는다. 이때, DHCP 서버는 사용자에 대해 적용될 보안 정책은 상기 데이터베이스 서버에 의해 관리되는 정보로서, 인증 서버로부터 전송받거나 상기 DHCP 서버가 사용자 정보등을 이용하여 상기 데이터베이스 서버에 직접 접속하여 전송받을 수도 있다. Next, the IP address assignment server 350 is a server that dynamically allocates an IP address to devices in a terminal or a network. The IP address assignment server 350 mainly uses a Dynamic Host Configuration Protocol (DHCP) server. . DHCP server according to the preferred embodiment of the present invention has a communication path with the authentication server is formed, in conjunction with the authentication performed through the EAP packet in the authentication server, the user information from the tunnel authentication protocol (EAP-TTLS or PEAP) The MAC address of the user terminal is obtained from the RADIUS protocol. In addition, the DHCP server receives information about the security policy (including a list of IP addresses set for the user) to be applied to the user successfully authenticated from the authentication server. In this case, the DHCP server is a security policy to be applied to the user as the information managed by the database server, may be transmitted from the authentication server or the DHCP server may be directly connected to the database server using the user information and the like.

상기 DHCP 서버는 상기 터널 인증 프로토콜로부터 획득한 사용자 정보에 따라 사용자 ID에 설정된 IP 주소를 검출하고, 검출된 IP 주소를 상기 RADIUS 프로토콜로부터 획득한 사용자 단말기의 MAC 주소에 할당하게 된다. 한편, 만약 중복된 IP 주소가 네트워크에서 발견되는 경우에는 경고 메시지를 발생시키게 된다. 이와 같이, 인증 서버에 의해 적용되는 보안 정책에 따라 하나의 사용자 단말기의 MAC 주소에 대해 기설정된 IP 주소를 할당시킴으로써, 특정 사용자에게 고정 IP 주소를 할당시킬 수 있게 된다. The DHCP server detects the IP address set in the user ID according to the user information obtained from the tunnel authentication protocol, and allocates the detected IP address to the MAC address of the user terminal obtained from the RADIUS protocol. On the other hand, if a duplicate IP address is found in the network, a warning message is generated. As such, by assigning a predetermined IP address to the MAC address of one user terminal according to the security policy applied by the authentication server, it is possible to assign a fixed IP address to a specific user.

본 발명의 다른 실시예에 따르면, 상기 DHCP 서버는 상기 터널 인증 프로토콜로부터 획득한 사용자 정보를 이용하여 사용자에게 설정된 가상 사설망 식별 번 호(VLAN ID)에 따른 IP 주소 또는 IP 주소 범위를 검출하고, 검출된 IP 주소 또는 IP 주소 범위중의 하나를 사용자 MAC 주소에 할당하게 된다. According to another embodiment of the present invention, the DHCP server detects and detects an IP address or IP address range according to a virtual private network identification number (VLAN ID) set for a user by using user information obtained from the tunnel authentication protocol. Assign one of the assigned IP address or IP address range to user MAC address.

본 발명의 또 다른 실시예에 따르면, 상기 DHCP 서버는 상기 인증 서버 또는 상기 데이터베이스 서버로부터 릴레이 에이전트(Relay Agent)별로 설정된 IP 주소 또는 IP 주소 범위에 대한 목록을 전송받고, IP 주소를 요청하는 릴레이 에이전트에 해당하는 IP 주소 또는 IP 주소 범위중의 하나를 사용자 MAC 주소에 할당하게 된다. According to another embodiment of the present invention, the DHCP server receives a list of IP addresses or IP address ranges set for each relay agent from the authentication server or the database server, and requests a IP address. It assigns one of IP addresses or IP address ranges corresponding to the user MAC address.

한편, 본 발명의 바람직한 실시예에 따른 IP주소 관리 시스템에 적용되는 DHCP는 적어도 둘 이상의 DHCP 서버(이하, 각각 제1 DHCP 서버, 제2 DHCP 서버라 한다)로 구성하여 서버 이중화를 도모함으로써, 부하 밸런스 등을 구현할 수 있다. 이하, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 IP 주소 관리 시스템에 적용되는 이중화된 DHCP 서버에서의 IP 주소 대여 과정을 구체적으로 설명한다. On the other hand, DHCP applied to the IP address management system according to a preferred embodiment of the present invention consists of at least two DHCP servers (hereinafter referred to as the first DHCP server, the second DHCP server) to achieve server redundancy, load Balance and so on. Hereinafter, an IP address rental process in a duplicated DHCP server applied to an IP address management system according to a preferred embodiment of the present invention will be described in detail with reference to FIG. 4.

먼저, IP 주소를 할당받기를 원하는 DHCP 클라이언트는 제1, 제2 DHCP 서버들로 IP 주소 요청메시지를 브로드캐스팅(broadcasting)하여 DHCP 서버를 찾는다(단계 400). 이때, DHCP 클라이언트가 DHCP 서버에게 요청하는 IP 주소 정보는 IP 주소, 서브넷 마스크이며, 그외에 옵션으로 기본 게이트웨이 주소, DNS 서버의 주소, WINS 서버의 주소 등이다. First, a DHCP client wanting to be assigned an IP address finds a DHCP server by broadcasting an IP address request message to the first and second DHCP servers (step 400). At this time, the IP address information requested by the DHCP client to the DHCP server is an IP address, a subnet mask, and optionally, a default gateway address, an address of a DNS server, and an address of a WINS server.

다음, DHCP 클라이언트로부터 브로드캐스팅된 메시지를 수신한 제1 DHCP 서버와 제2 DHCP 서버는 서로 통신하여 IP 주소를 대여할 수 있는 서버를 결정한다(단계 410). IP 주소를 대여하기로 결정된 DHCP 서버(본 실시예에서는 제2 DHCP 서 버로 결정되었음을 전제로 설명함)인 제2 DHCP 서버는 DHCP 클라이언트에게 자신의 특정 IP 주소를 대여할 것을 제안하는 메시지를 유니캐스팅(unicasting)한다(단계 420). 이때, 제2 DHCP 서버는 자신의 IP주소 목록에 정의되어 있는 주소의 범위중에서 사용하고 있지 않는 IP 주소 정보를 선택하여 DHCP 클라이언트에게 제공하게 되는 것이다. Next, the first DHCP server and the second DHCP server that have received the broadcast message from the DHCP client communicate with each other to determine a server capable of borrowing an IP address (step 410). The second DHCP server, which is the DHCP server determined to lease the IP address (in this embodiment, is assumed to be the second DHCP server), unicasts a message suggesting that the DHCP client borrow its own specific IP address. unicasting (step 420). At this time, the second DHCP server selects the IP address information not used in the range of addresses defined in its IP address list and provides the DHCP client.

한편, 본 발명의 바람직한 실시예에 따른 IP 주소 관리 시스템에 있어서, IP 주소를 대여하기로 결정된 DHCP 서버는 DHCP클라이언트에 대한 정보를 인증 서버로 전송하고, 인증 서버로부터 대여가능한 IP 주소 목록을 제공받게 된다. IP 주소목록을 제공받은 DHCP 서버는 상기 제공받은 IP 주소 목록 중의 하나인 특정 IP 주소를 대여할 것을 제안하는 메시지를 유니캐스팅한다. On the other hand, in the IP address management system according to a preferred embodiment of the present invention, the DHCP server determined to lease the IP address transmits the information about the DHCP client to the authentication server, to receive a list of IP addresses available for rental from the authentication server do. The DHCP server provided with the IP address list unicasts a message suggesting to lease a specific IP address which is one of the provided IP address lists.

유니캐스팅된 메시지를 수신한 DHCP 클라이언트는 제안된 IP 주소의 대여를 요청하는 메시지를 상기 제2 DHCP 서버로 유니캐스팅한다(단계 430). 다음, 제2 DHCP 서버는 대여할 IP 주소 및 기본 설정 파라메터들을 DHCP 클라이언트에게 제공하고, DHCP 클라이언트는 대여받은 주소를 이용해서 TCP/IP 설정을 초기화시키게 된다. 한편, 상기 제1 및 제2 DHCP 서버들은 자신의 IP 주소 목록을 서로 동기화시키게 된다(단계 450). Upon receiving the unicast message, the DHCP client unicasts the message requesting the lease of the proposed IP address to the second DHCP server (step 430). Next, the second DHCP server provides the DHCP client with the IP address and basic configuration parameters to be leased, and the DHCP client initializes the TCP / IP configuration using the borrowed address. Meanwhile, the first and second DHCP servers synchronize their IP address lists with each other (step 450).

본 발명의 다른 실시예에 따른 IP주소 할당 시스템의 데이터베이스 서버는 시스템내의 스위치(Switch)별 데이터 송신 속도 및 데이터 수신 속도를 각각 설정하여 구비하고, 상기 인증 서버는 특정 사용자에 의해 사용되는 스위치의 데이터 송ㆍ수신 속도를 상기 데이터베이스 서버에 설정된 대로 동작시키게 된다. 본 발명 에 의하여, 네트워크가 부하가 급격히 증가하거나 바이러스(Virus) 등에 의하여 비정상적으로 부하가 과다해질 때, 인증서버에 설정된 속도를 해당 스위치에 적용시킴으로써, 네트워크의 부하를 조절할 수 있게 된다. The database server of the IP address allocation system according to another embodiment of the present invention is provided by setting the data transmission rate and the data reception rate for each switch in the system, respectively, the authentication server is the data of the switch used by a specific user The transmission and reception speeds are operated as set in the database server. According to the present invention, when the network is suddenly increased in load or abnormally overloaded by virus or the like, by applying the speed set in the authentication server to the switch, the load of the network can be controlled.

이상에서 본 발명에 대하여 그 바람직한 실시예를 중심으로 설명하였으나, 이는 단지 예시일 뿐 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 분야의 통상의 지식을 가진 자라면 본 발명의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 본 발명의 실시예에서, 데이터베이스 서버에 저장ㆍ관리되는 보안 정책의 항목 등은 네트워크의 성능 향상이나 네트워크 장비들의 규모 등을 고려하여 다양하게 변형하여 실시할 수 있는 것이다. 그리고, 이러한 변형과 응용에 관계된 차이점들은 첨부된 청구범위에서 규정하는 본 발명의 범위에 포함되는 것으로 해석되어야 할 것이다. Although the present invention has been described above with reference to preferred embodiments thereof, this is merely an example and is not intended to limit the present invention, and those skilled in the art do not depart from the essential characteristics of the present invention. It will be appreciated that various modifications and applications which are not illustrated above in the scope are possible. For example, in the embodiment of the present invention, the security policy items stored and managed in the database server may be modified in various ways in consideration of the improvement of network performance and the size of network equipment. And differences related to such modifications and applications should be construed as being included in the scope of the invention defined in the appended claims.

본 발명에 따른 IP 주소 관리 시스템에 의해 IEEE 802.1x 규정에 따른 인증 기반에서의 IP 주소 관리가 가능해진다. 또한, 본 발명에 의하여, DHCP 서버가 인증 서버와 연동됨으로써, 인증 서버에 의하여 사용자 및 MAC 주소가 인증된 후, 사용자에 따라 기설정된 IP 주소를 할당할 수 있게 되어, 특정 사용자에게 고정 IP 주소를 할당하는 것과 같은 기능을 수행하게 된다.The IP address management system according to the present invention enables IP address management based on authentication based on IEEE 802.1x specification. In addition, according to the present invention, since the DHCP server is linked with the authentication server, after the user and the MAC address is authenticated by the authentication server, it is possible to assign a predetermined IP address according to the user, thereby assigning a fixed IP address to a specific user. It will perform the same function as assigning.

또한, 본 발명에 의하여 인증 서버내의 보안 정책에 따라 사용자별, 그룹별로 특정 IP 주소를 할당시킬 수 있게 된다. In addition, according to the present invention, it is possible to assign a specific IP address for each user and group according to the security policy in the authentication server.

또한, 본 발명에 의하여, 사용자가 자신에게 할당된 IP 주소를 임의로 변경시킬 경우 네트워크 접속을 차단하고 재인증을 요구함으로써, 사용자의 불법 IP 도용을 차단시킬 수 있게 된다. In addition, according to the present invention, when the user arbitrarily changes the IP address assigned to the user, by blocking the network connection and requesting re-authentication, it is possible to block illegal IP theft of the user.

또한, 본 발명에 의하여, 네트워크 장비들에 대한 IP 주소를 등록하여 통합적으로 관리함으로써, 네트워크 상의 장비에 대한 IP를 관리할 수 있게 된다. In addition, according to the present invention, by registering the IP address for the network equipment and integrated management, it is possible to manage the IP for the equipment on the network.

Claims (13)

등록된 사용자들에 대하여 적용할 보안 정책이 저장 관리되는 데이터베이스 서버;A database server storing and managing a security policy to be applied to registered users; 사용자로부터의 요청에 따라, 상기 데이터베이스 서버를 이용하여 해당 사용자에 대한 인증을 수행하는 인증 서버;An authentication server for performing authentication on the user using the database server according to a request from a user; 상기 인증 서버와 통신 경로를 형성하여, 상기 인증 서버로부터 인증된 사용자에 대한 정보를 전송받고, 전송받은 정보들 및 상기 데이터베이스 서버를 이용하여 특정의 IP 주소를 할당하는 IP 주소 할당 서버An IP address assignment server that forms a communication path with the authentication server, receives information about an authenticated user from the authentication server, and allocates a specific IP address using the received information and the database server. 를 구비하여, 상기 인증 서버에 의해 인증된 사용자에게 적용될 보안 정책에 따라 특정 IP주소를 할당하는 것을 특징으로 하는 인증 서버와 연동되는 IP 주소 관리 시스템.And an IP address management system interworking with an authentication server, wherein the IP server allocates a specific IP address according to a security policy to be applied to a user authenticated by the authentication server. 제1항에 있어서, 상기 데이터베이스 서버에 저장된 보안 정책은 사용자별 IP주소 목록을 구비하여, 특정 사용자에게 할당할 수 있는 IP 주소 또는 IP주소 범위를 설정하여 관리하며, The method of claim 1, wherein the security policy stored in the database server includes a list of IP addresses for each user, and sets and manages an IP address or an IP address range that can be assigned to a specific user. 상기 IP 주소 할당 서버는 상기 데이터베이스 서버에 설정된 사용자별 IP 주소 목록을 이용하여 특정 사용자에게 해당하는 IP 주소를 할당하는 것을 특징으로 하는 IP 주소 관리 시스템. The IP address assignment system, the IP address management system, characterized in that for assigning an IP address corresponding to a specific user using the user-specific IP address list set in the database server. 제1항에 있어서, 상기 데이터베이스 서버에 저장된 보안 정책은 VLAN ID별 IP 주소 목록을 구비하여, 각 네트워크 장비 또는 사용자가 포함되는 VLAN ID에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정하여 관리하며,The method of claim 1, wherein the security policy stored in the database server includes a list of IP addresses for each VLAN ID, and sets and manages an IP address or an IP address range that can be allocated according to a VLAN ID included in each network device or user. , 상기 IP 주소 할당 서버는 상기 데이터베이스 서버에 설정된 VLAN ID별 IP 주소 목록을 이용하여 IP 주소를 요청하는 사용자가 포함되는 VLAN ID에 해당하는 IP 주소를 할당하는 것을 특징으로 하는 IP 주소 관리 시스템. The IP address assignment system assigns an IP address corresponding to a VLAN ID including a user requesting an IP address using a list of IP addresses for each VLAN ID set in the database server. 제1항에 있어서, 상기 데이터베이스 서버에 저장된 보안 정책은 릴레이 에이전트(Relay Agent)별 IP 주소목록을 구비하여, 릴레이 에이전트에 따라 할당할 수 있는 IP 주소 또는 IP 주소 범위를 설정하여 관리하며, The method of claim 1, wherein the security policy stored in the database server includes a list of IP addresses for each relay agent, and sets and manages an IP address or a range of IP addresses that can be assigned according to the relay agent. 상기 IP 주소 할당 서버는 상기 릴레이 에이전트별 IP 주소 목록을 이용하여 IP 주소를 요청하는 릴레이 에이전트에 해당하는 IP 주소를 사용자에게 할당하는 것을 특징으로 하는 IP 주소 관리 시스템. The IP address assignment server assigns an IP address corresponding to a relay agent requesting an IP address to a user by using the IP address list for each relay agent. 제1항에 있어서, 상기 데이터베이스 서버에 저장된 보안 정책은 스위치(Switch)별 데이터 송신 속도 및 데이터 수신 속도 정보를 구비하고, 상기 인증 서버는 특정 사용자에 의해 사용되는 스위치의 데이터 송ㆍ수신 속도를 상기 데이터베이스 서버의 송ㆍ수신 속도 정보에 따라 설정하는 것을 특징으로 하는 IP 주소 관리 시스템.The security policy of claim 1, wherein the security policy stored in the database server includes data transmission rate and data reception rate information for each switch, and the authentication server reads the data transmission and reception speed of the switch used by a specific user. An IP address management system characterized by setting according to the transmission / reception speed information of a database server. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 IP 주소 할당 서버는 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol)을 사용하는 것을 특징으로 하는 IP 주소 관리 시스템. 6. The IP address management system according to any one of claims 1 to 5, wherein the IP address assignment server uses a Dynamic Host Configuration Protocol. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 IP 주소 할당 서버는 제1 IP 주소 할당 서버와 제2 IP 주소 할당 서버로 이루어지며,The method according to any one of claims 1 to 5, wherein the IP address assignment server comprises a first IP address assignment server and a second IP address assignment server, 상기 IP 주소 할당 서버들은 사용자 단말기로부터 브로드캐스팅(broadcasting)된 IP 주소 정보의 요청을 받고, 요청받은 상기 IP 주소 할당 서버들은 서로 통신하여, IP 주소 정보를 제공할 서버를 결정하며, The IP address assignment servers receive a request for broadcast IP address information from a user terminal, and the requested IP address assignment servers communicate with each other to determine a server to provide IP address information. 결정된 IP 주소 할당 서버는 대여할 IP 주소 및 기본 설정 파라메터를 상기 사용자 단말기에게 제공하며,The determined IP address assignment server provides the user terminal with the IP address and basic configuration parameters to rent. 상기 제1 및 제2 IP 주소할당 서버들은 자신의 IP 주소 목록을 서로 동기화시키는 것을 특징으로 하는 IP 주소 관리 시스템.And the first and second IP address assignment servers synchronize their IP address lists with each other. 각 사용자별로 적용되는 보안 정책을 저장 관리하는 데이터베이스를 구비하고,It has a database that stores and manages security policies applied to each user. 사용자로부터 인증 요청이 발생하면, 상기 데이터베이스의 보안 정책에 따라 해당 사용자에 대하여 인증을 수행하며, 인증 성공되면 사용자에게 인증 성공 정보를 전송함과 동시에, 인증 성공된 사용자에 관한 사용자 정보 및 해당 사용자에게 적용될 보안 정책을 IP 주소 할당 서버로 전송하는 것을 특징으로 하는 인증 서버.When an authentication request is generated from a user, authentication is performed for the user according to the security policy of the database. If authentication is successful, the authentication information is transmitted to the user, and the user information about the successful authentication user and the user Authentication server, characterized in that for transmitting the security policy to be applied to the IP address assignment server. 인증 서버와 연동되어, 인증 서버에 의해 인증성공된 사용자에 관한 정보 및 해당 사용자에게 적용될 보안 정책을 인증 서버로부터 전송받고,In connection with the authentication server, the authentication server receives information about the user authenticated by the authentication server and the security policy to be applied to the user, 인증 서버로부터 전송받은 정보들을 이용하여, 해당 사용자에게 특정 IP 주소를 할당하는 것을 특징으로 하는 IP 주소 할당 서버. IP address assignment server, characterized in that for assigning a specific IP address to the user using the information received from the authentication server. 제9항에 있어서, 상기 IP 주소 할당 서버가 인증 서버로부터 전송받는 보안 정책은 각 사용자별 IP 주소 목록, VLAN ID 별 IP 주소 목록, 릴레이 에이전트별 IP 주소 목록 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 IP 주소 할당 서버.10. The method of claim 9, wherein the security policy that the IP address assignment server receives from the authentication server comprises at least one of an IP address list for each user, an IP address list for each VLAN ID, and an IP address list for each relay agent. IP address allocation server. 제9항 내지 제10항 중 어느 한 항에 있어서, 상기 IP 주소 할당 서버는 터널 인증 프로토콜로부터 획득한 사용자 ID에 대해 설정된 IP 주소를 검출하고, 검출된 IP 주소를 사용자 단말기에 대한 MAC 주소에 할당하는 것을 특징으로 하는 IP 주소 할당 서버. The IP address assignment server detects an IP address set for the user ID obtained from the tunnel authentication protocol, and assigns the detected IP address to the MAC address for the user terminal. IP address assignment server, characterized in that. 제9항 내지 제10항 중 어느 한 항에 있어서, 상기 IP 주소 할당 서버는 적어도 둘 이상의 IP 주소 할당 서버로 이루어지며, The method according to any one of claims 9 to 10, wherein the IP address assignment server is composed of at least two IP address assignment servers, 상기 IP 주소 할당 서버들은 사용자 단말기로부터 브로드캐스팅(broadcasting)된 IP 주소 정보 제공의 요청을 받고, 요청받은 상기 서버들은 서로 통신하여, IP 주소 정보를 제공할 IP 주소 할당 서버를 결정하며, The IP address assignment servers receive a request for providing broadcast IP address information from a user terminal, and the requested servers communicate with each other to determine an IP address assignment server for providing IP address information. 결정된 상기 서버는 상기 사용자 단말기에게 대여할 IP 주소정보를 제공하고, 상기 사용자 단말기로부터 유니캐스팅된 요청을 전송받고, 이에 따라 대여할 IP 주소 및 기본 설정 파라메터를 상기 사용자 단말기에게 제공하며,The determined server provides IP address information to be rented to the user terminal, receives a unicasted request from the user terminal, and thus provides the user terminal with an IP address and basic setup parameters to be rented. 상기 서버들은 자신의 IP 주소 목록을 서로 동기화시키는 것을 특징으로 하는 IP 주소 할당 서버.And the servers synchronize their IP address lists with each other. 제9항 내지 제10항 중 어느 한 항에 있어서, 상기 IP 주소 할당 서버는 동적 호스트 설정 프로토콜(Dynamic Host Configuration Protocol) 서버인 것을 특징으로 하는 IP 주소 할당 서버. 11. The IP address assignment server as claimed in any one of claims 9 to 10, wherein the IP address assignment server is a dynamic host configuration protocol server.
KR1020050028530A 2004-04-12 2005-04-06 Internet protocol address management system co-operated with authentication server KR100714368B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2005/001004 WO2006075823A1 (en) 2004-04-12 2005-04-07 Internet protocol address management system co-operated with authentication server

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040024806 2004-04-12
KR1020040024806 2004-04-12

Publications (2)

Publication Number Publication Date
KR20060045527A KR20060045527A (en) 2006-05-17
KR100714368B1 true KR100714368B1 (en) 2007-05-04

Family

ID=37149345

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050028530A KR100714368B1 (en) 2004-04-12 2005-04-06 Internet protocol address management system co-operated with authentication server

Country Status (1)

Country Link
KR (1) KR100714368B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180055093A (en) * 2016-11-16 2018-05-25 주식회사 케이티 Next generation address inforamtion synchronization system and method
KR101939788B1 (en) * 2018-06-29 2019-01-17 한화시스템(주) integrated processing system for apparatuses mutually linked by ethernet and method of link processing using the same

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942703B1 (en) * 2006-12-04 2010-02-17 한국전자통신연구원 Method for managing address to provide host mobility in network
KR101046332B1 (en) * 2009-02-02 2011-07-05 한남대학교 산학협력단 IP address allocation system and its method according to security level of internal network
KR101406719B1 (en) * 2013-01-11 2014-06-13 하이온넷(주) Method for changing ip
KR102267411B1 (en) * 2019-09-27 2021-06-22 (주)에니아소프트 A system for managing security of data by using compliance

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6587468B1 (en) 1999-02-10 2003-07-01 Cisco Technology, Inc. Reply to sender DHCP option
US6625645B1 (en) 1997-08-28 2003-09-23 Cisco Technology, Inc. Automatic static to dynamic IP address and DNS address management for remote communications network access
KR20030093869A (en) 2002-06-05 2003-12-11 공인엽 Web-based server system using dynamic ip address

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6625645B1 (en) 1997-08-28 2003-09-23 Cisco Technology, Inc. Automatic static to dynamic IP address and DNS address management for remote communications network access
US6587468B1 (en) 1999-02-10 2003-07-01 Cisco Technology, Inc. Reply to sender DHCP option
KR20030093869A (en) 2002-06-05 2003-12-11 공인엽 Web-based server system using dynamic ip address

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180055093A (en) * 2016-11-16 2018-05-25 주식회사 케이티 Next generation address inforamtion synchronization system and method
KR102097102B1 (en) * 2016-11-16 2020-04-06 주식회사 케이티 Next generation address inforamtion synchronization system and method
KR101939788B1 (en) * 2018-06-29 2019-01-17 한화시스템(주) integrated processing system for apparatuses mutually linked by ethernet and method of link processing using the same

Also Published As

Publication number Publication date
KR20060045527A (en) 2006-05-17

Similar Documents

Publication Publication Date Title
US7003481B2 (en) Method and apparatus for providing network dependent application services
US9112909B2 (en) User and device authentication in broadband networks
US7542572B2 (en) Method for securely and automatically configuring access points
US8195950B2 (en) Secure and seamless wireless public domain wide area network and method of using the same
US6393484B1 (en) System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
US7342906B1 (en) Distributed wireless network security system
US20170230824A1 (en) Exclusive preshared key authentication
US20060234678A1 (en) Method and system for managing data traffic in wireless networks
US20040177276A1 (en) System and method for providing access control
US20060015714A1 (en) Authentication system, network line concentrator, authentication method and authentication program
US20090122798A1 (en) Ip network system and its access control method, ip address distributing device, and ip address distributing method
CN101478576A (en) Method, apparatus and system for selecting service network
KR20050092405A (en) Service in wlan inter-working, address management system, and method
WO2006068108A1 (en) GATEWAY, NETWORK CONFIGURATION, AND METHOD FOR CONTROLLING ACCESS TO Web SERVER
KR100714368B1 (en) Internet protocol address management system co-operated with authentication server
WO2014101449A1 (en) Method for controlling access point in wireless local area network, and communication system
WO2012051868A1 (en) Firewall policy distribution method, client, access server and system
US20030212774A1 (en) Method and apparatus for assigning IP address using agent in zero configuration network
JP2001326696A (en) Method for controlling access
CN110445889A (en) Switch ip address management method and system under a kind of ethernet environment
JP3994412B2 (en) Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium
WO2012034428A1 (en) Method and service node for ip address reassignment
WO2006075823A1 (en) Internet protocol address management system co-operated with authentication server
CN102577299B (en) The Access Network authentication information bearing protocol simplified
Cisco Configuring the System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
N231 Notification of change of applicant
O035 Opposition [patent]: request for opposition
O132 Decision on opposition [patent]
EXTG Extinguishment
O064 Revocation of registration by opposition: final registration of opposition [patent]