KR100849167B1 - Method for controlling access to network and system for the same - Google Patents

Method for controlling access to network and system for the same Download PDF

Info

Publication number
KR100849167B1
KR100849167B1 KR1020080021495A KR20080021495A KR100849167B1 KR 100849167 B1 KR100849167 B1 KR 100849167B1 KR 1020080021495 A KR1020080021495 A KR 1020080021495A KR 20080021495 A KR20080021495 A KR 20080021495A KR 100849167 B1 KR100849167 B1 KR 100849167B1
Authority
KR
South Korea
Prior art keywords
authentication
agent
network
information
authentication agent
Prior art date
Application number
KR1020080021495A
Other languages
Korean (ko)
Inventor
서승호
문해은
박재명
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020080021495A priority Critical patent/KR100849167B1/en
Application granted granted Critical
Publication of KR100849167B1 publication Critical patent/KR100849167B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Technology Law (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

A method and a system for controlling access to the network are provided to realize efficient system management with reduction of network management load by automatically distributing an authentication agent for controlling the network access, and manage/operate network resources safely by blocking the network access of the managed system not including the authentication agent. An authentication agent blocks traffic output to the external network from managed systems excluding the traffic for authentication in the managed systems until the authentication is successful, and transmits resource information of the managed system when the authentication is successful. A distribution server distributes the authentication agent automatically to the managed systems of which a source IP(Internet Protocol) included in an HTTP(HyperText Transfer Protocol) request packet output to the network is included in a managed range and the resource information is not registered by redirecting webpages. An authentication server transmits an authentication result, which is determined, by comparing authentication information received from the authentication agent with the registered authentication information, to the authentication agent.

Description

네트워크 접근 통제 방법 및 그 시스템{Method for controlling access to network and system for the same}Method for controlling access to network and system for the same

본 발명은 네트워크 접근 통제 에이전트가 설치된 관리 대상 시스템(예: 사용자 컴퓨터)에 한해 네트워크 자원을 사용할 수 있도록 하는 네트워크 접근 통제 방법 및 그 시스템에 관한 것이다.The present invention relates to a network access control method and system for enabling network resources to be used only for a managed system (for example, a user computer) on which a network access control agent is installed.

기존 네트워크 환경은 시스템이 네트워크에 연결되면 제한 없이 네트워크 사용이 가능한 환경으로(도 1), 네트워크의 중요 자원에 대한 접근이 용이해 보안 및 관리차원에서 여러 가지 문제점들이 발생하였다.The existing network environment is an environment in which a network can be used without limitation when the system is connected to the network (FIG. 1), and access to important resources of the network is easy, resulting in various problems in terms of security and management.

이러한 문제점들을 해결하기 위해서 802.1x 기반의 네트워크 접근 통제 방식이 제안되었으나, 802.1x는 포트 기반 인증 프로토콜로, 유선 환경에서 네트워크 접근 통제를 사용하기 위해서는 802.1x 지원 L2 계층 스위치가 필요하다. 그래서, 기존 네트워크 인프라에 대한 추가적인 하드웨어 교체 작업이 불가피하여 네트워크 접근 통제 시스템 구축에 많은 시간과 비용이 든다. 또한, 네트워크 접근 통제를 위해 전체 관리 시스템 각각에 대해 네트워크 접근 통제 인증 에이전트를 설치하는 방식 역시, 시스템 구축에 있어서 상당한 시간과 인력이 든다.To solve these problems, 802.1x-based network access control method has been proposed, but 802.1x is a port-based authentication protocol. To use network access control in a wired environment, an 802.1x supporting L2 layer switch is required. Therefore, additional hardware replacement work for the existing network infrastructure is inevitable, which requires a lot of time and money to build a network access control system. In addition, the method of installing a network access control authentication agent for each of the entire management system for network access control also takes considerable time and manpower in system construction.

본 발명은 상기한 문제점을 해결하기 위해 개발된 것으로, 기존 네트워크 인프라에 대한 하드웨어 교체 없이, 비인가 관리 대상 시스템에 대한 네트워크 접근을 차단하기 위한 네트워크 접근 통제 방법 및 그 시스템을 제공하는데 목적이 있다.The present invention was developed to solve the above problems, and an object of the present invention is to provide a network access control method and a system for blocking network access to an unauthorized management target system without replacing hardware on an existing network infrastructure.

이러한 목적에 따른 본 발명의 네트워크 접근 통제 방법은The network access control method of the present invention for this purpose is

네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 인증에이전트가 미실행 중인 관리대상시스템에 네트워크 접근 통제를 위한 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 단계, 상기 관리대상시스템에 설치된 인증에이전트를 사용해 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리대상시스템에서 네트워크로 출력되는 트래픽을 차단하는 단계, 상기 관리대상시스템에 설치된 인증에이전트를 사용해 전송받은 인증 정보와 동일한 인증 정보가 미등록되었거나 해당 사용자의 인증 정보와 상이한 경우 트래픽 차단을 유지하고, 동일한 인증 정보가 등록된 경우 트래픽 차단을 해제하는 단계를 더 포함하여 이루어진 것을 특징으로 한다.Automatically distributing the authentication agent with continuous web page redirection until the source IP in the HTTP request packet output to the network is managed and the authentication agent for network access control is installed on the managed system where the authentication agent is not running. Blocking traffic output to the network from the managed system except for the communication and management traffic for authentication until the authentication is successful, using the authentication agent installed in the managed system, received using the authentication agent installed in the managed system The method may further include maintaining traffic blocking when the same authentication information as the authentication information is not registered or different from the authentication information of the corresponding user, and releasing the traffic blocking when the same authentication information is registered.

상기 인증에이전트를 자동 배포하는 단계는 인증에이전트가 미설치되어 인증에이전트로부터 전송받은 시스템 자산정보가 등록되지 않은 관리대상시스템에 인증에이전트를 자동 배포하는 것을 특징으로 한다.The step of automatically distributing the authentication agent is characterized in that the authentication agent is not installed and automatically distributes the authentication agent to a management target system in which the system asset information received from the authentication agent is not registered.

상기 시스템 자산정보는 관리대상시스템에 설치된 인증에이전트를 사용해 전 송받아 등록된 것을 특징으로 한다.The system asset information is transmitted and registered using an authentication agent installed in the management target system.

상기 관리대상시스템에 설치된 인증에이전트로 전송받은 인증 정보가 최대 다중 인증수를 초과한 경우, 해당 인증 정보로 최초 인증받은 인증에이전트에 인증 해제 명령을 통보하는 단계, 상기 인증 해제 명령에 따라 인증에이전트로 자동 로그아웃하고, 네트워크로 출력되는 트래픽을 차단하는 다중 인증 방지단계를 더 포함하여 이루어진 것을 특징으로 한다.If the authentication information transmitted to the authentication agent installed in the management target system exceeds the maximum number of multiple authentications, notifying the authentication agent command of the authentication agent initially authenticated with the corresponding authentication information, to the authentication agent according to the authentication release command. Automatic logout, and characterized in that it further comprises a multi-authentication prevention step of blocking traffic output to the network.

상기 인증에이전트로 네트워크 사용 후, 인증 해제를 위해 전송받은 인증 정보와 관련 시스템 정보를 기록하고, 인증해제 작업종료 정보를 해당 인증에이전트로 전송하는 로그아웃에 따른 인증이력관리 단계를 더 포함하여 이루어진 것을 특징으로 한다.After using the network as the authentication agent, the authentication information and the related system information recorded for the authentication release is recorded, and the authentication history management step according to the logout of sending the authentication release job termination information to the corresponding authentication agent further comprising: It features.

상기 인증에이전트로 요청한 킵얼라이브(KeepAlive) 메시지에 현재 버전 정보를 설정 송신하고, 응답받은 킵얼라이브 메시지 내 설정 버전 정보가 상위 버전 정보인 경우, 다운로드받은 파일을 해당 파일로 업데이트하는 인증에이전트 자동업데이트 단계를 더 포함하여 이루어진 것을 특징으로 한다.Automatically updating the authentication agent to update the downloaded file to the corresponding file if the current version information is sent to the KeepAlive message requested by the authentication agent and the setting version information in the response keepalive message is higher version information. Characterized in that further comprises.

상기 인증에이전트로 긴급종료명령이 포함된 킵얼라이브(KeepAlive) 메시지를 수신한 경우, 관리대상시스템에서 자체적으로 동작을 정지한 후 인증에이전트를 제거하는 인증에이전트 긴급종료단계를 더 포함하여 이루어진 것을 특징으로 한다.Receiving a KeepAlive message containing an emergency termination command to the authentication agent, characterized in that the management agent further comprises the step of emergency stop step of removing the authentication agent after the operation stops itself in the management system do.

상기 인증에이전트와 인증을 위한 접속 불능시 관리대상시스템의 네트워크 트래픽 차단을 즉시 해제하여 관리 대상 네트워크 외부에서는 네트워크가 가능하도록 하는 단계를 더 포함하여 이루어진 것을 특징으로 한다.The method may further comprise the step of releasing the network traffic blocking of the management target system immediately when the connection for the authentication agent and the authentication is not possible to enable the network outside the management target network.

상기 인증에이전트의 트래픽 차단, 해제를 운영체제와 응용프로그램 사이에 위치한 네트워크 드라이버로 하는 것을 특징으로 한다.Traffic blocking and release of the authentication agent is characterized in that the network driver located between the operating system and the application program.

상기 목적에 따른 본 발명의 네트워크 접근 통제 시스템은Network access control system of the present invention according to the above object

관리대상시스템에 설치되어 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리대상시스템에서 외부 네트워크로 출력되는 트래픽을 차단하고, 인증 성공시 트래픽 차단을 해제 해당 관리대상시스템의 자산정보를 전송하는 인증에이전트, 네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 시스템 자산정보가 등록되지 않은 관리대상시스템에 상기 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 배포서버, 상기 인증에이전트로부터 요청된 인증 정보와 등록된 인증 정보 간 비교로 결정한 인증 결과를 해당 인증에이전트로 전송하는 인증서버, 상기 인증에이전트로부터 전송된 관리대상시스템의 자산정보를 전송받아 등록, 갱신하는 인증 매니저를 포함하여 이루어진 것을 특징으로 한다.Installed in the managed system to block the traffic output from the managed system to the external network except the communication and management traffic for authentication until the authentication is successful, and release the traffic block when the authentication is successful, and transmit the asset information of the managed system The authentication agent is distributed to the managed system where the source IP in the HTTP request packet output to the network is managed and the system asset information is not registered, and the authentication agent is automatically distributed by continuous web page redirection until the installation and execution of the authentication agent. A server, an authentication server that transmits the authentication result determined by comparison between the authentication information requested from the authentication agent and the registered authentication information to the corresponding authentication agent, and receives and registers and updates the asset information of the management target system transmitted from the authentication agent. Including the authentication manager The features.

본 발명은 네트워크 접근 통제 시스템을 통하여 네트워크 접근 통제용 인증에이전트를 자동 배포해 과중한 네트워크 시스템 관리 업무를 줄여 효율적인 시스템 관리를 가능하게 한다.The present invention enables the efficient system management by reducing the heavy network system management task by automatically deploying the network access control authentication agent through the network access control system.

또한, 자동 배포된 인증에이전트로 인증되지 않은 관리 대상 시스템(예: 사용자 컴퓨터)에 대해서는 네트워크 접근을 차단하고, 인증된 관리 대상 시스템에 대해서는 네트워크 접근을 허용하여 네트워크 자원을 보다 안전하게 관리 및 운용한다.In addition, network access is blocked for managed systems (eg, user computers) that are not authenticated with an automatically distributed authentication agent, and network access is allowed for authenticated managed systems to manage and manage network resources more securely.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다.Hereinafter, with reference to the accompanying drawings will be described the present invention.

도 2의 본 발명의 네트워크 접근 통제 시스템은 인증에이전트, 배포서버, 인증서버, 인증매니저, 인증 관리 콘솔로 된 것이다. The network access control system of the present invention of FIG. 2 is comprised of an authentication agent, a distribution server, an authentication server, an authentication manager, and an authentication management console.

즉, 관리 대상 시스템(예: 사용자 컴퓨터)에 설치되어 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리 대상 시스템에서 외부 네트워크로 출력되는 트래픽을 차단하고, 인증 성공시 트래픽 차단을 해제 해당 관리 대상 시스템의 자산정보를 전송하는 인증에이전트와, 네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 시스템 자산정보가 등록되지 않은 관리 대상 시스템에 상기 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 배포서버가 구성된 것이다.That is, it is installed on the managed system (for example, user's computer) and blocks the traffic output from the managed system to the external network except for the communication and management traffic for authentication until the authentication is successful, and releases the traffic blocking when the authentication is successful. An authentication agent that transmits asset information of a managed system, and a web page that is continuously managed until the authentication agent is installed and executed on a managed system where the source IP in the HTTP request packet output to the network is the management band and the system asset information is not registered. The redirection server is configured to automatically distribute authentication agents.

그리고, 상기 인증에이전트로부터 요청된 인증 정보(예: ID, PW)와 등록된 인증 정보 간 비교로 인증 결과를 결정하고 해당 인증에이전트로 전송하는 인증서버와, 상기 인증에이전트로부터 전송된 관리 대상 시스템의 자산정보를 전송받아 등록, 갱신하는 인증 매니저가 구성된 것이다. The authentication server determines an authentication result by comparing the authentication information (eg, ID, PW) requested from the authentication agent and registered authentication information, and transmits the authentication server to the corresponding authentication agent, and the management target system transmitted from the authentication agent. An authentication manager is configured to receive, register, and update asset information.

도 3을 참조해 도 2의 본 발명의 네트워크 접근 통제 시스템을 좀 더 구체적 으로 설명한다.Referring to Figure 3 will be described in more detail the network access control system of the present invention of FIG.

인증에이전트는 관리 대상 시스템의 웹사용시 해당 관리 대상 시스템에 강제 설치되어 인증, 운용, 업데이트 기능을 담당하는 것이다. The authentication agent is forcibly installed in the managed system when the web of the managed system is used for the authentication, operation, and update functions.

크게, 인증 모듈, 인증에이전트 업데이트 모듈, 설치된 인증에이전트 제거 모듈, 인증에이전트의 운용상태와 인증에이전트가 설치된 관리 대상 시스템의 시스템 자산정보를 지속적으로 갱신하는 운용모듈로 된 것이다. In general, the authentication module, the authentication agent update module, the installed authentication agent removal module, the operation status of the authentication agent and the operation module for continuously updating the system asset information of the managed system in which the authentication agent is installed.

상기 인증 모듈은 인증정보를 암호화하고 인증서버와의 인증을 담당하는 모듈로, 인증서버와의 인증 성공시까지 인증을 위한 통신 및 관리용 트래픽을 제외한 네트워크로 출력되는 트래픽을 차단하고, 인증 성공시 트래픽 차단을 해제하는 네트워크 드라이버 모듈, 네트워크 어뎁터 상태 변화에 따라 능동적으로 네트워크 접근 통제 동작을 수행하는 모듈로 된 것이다. The authentication module is a module that encrypts authentication information and is responsible for authentication with an authentication server. The authentication module blocks traffic output to the network except for communication and management traffic for authentication until authentication with the authentication server is successful. The network driver module releases traffic blocking and the module actively performs network access control according to the network adapter state change.

배포서버는 네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 시스템 자산정보가 등록되지 않은 관리 대상 시스템이거나 관리 대역이면서 인증에이전트가 미실행 중인 시스템에 인증에이전트 자동 배포와 미설치시 강제 설치를 유도한다.The distribution server induces automatic installation and forced installation when no authentication agent is installed on a managed system where the source IP in the HTTP request packet output to the network is in the management band and the system asset information is not registered or the management band is not running. do.

관리 대역 파일과 배포 매니저로 구성되어, 네트워크로 나가는 스위치의 트래픽을 미러링하는 포트에 연결된 통상의 패킷 수집 서버에 설치된다.It consists of a management band file and a distribution manager, and is installed in a normal packet collection server connected to a port that mirrors traffic of a switch going to the network.

구체적으론, 네트워크로 전달되는 모든 패킷을 수집하는 패킷 캡쳐 모듈, 수집한 패킷을 분석하여 비인가 시스템 여부와 네트워크 접근 통제용 인증에이전트 설치의 필요 여부를 분석하는 패킷 분석 모듈, 인증에이전트 설치 혹은 재설치가 필요하다고 판단된 경우 패킷을 조작하고 전송하는 전송 모듈, 웹을 통한 인증에이전트 설치 요청에 대해서 응답하는 웹서버 모듈로 구성된다.Specifically, a packet capture module that collects all packets delivered to the network, a packet analysis module that analyzes the collected packets, and analyzes whether or not an unauthorized system is installed, and whether or not to install an authentication agent for network access control, and requires installation or reinstallation of the authentication agent. If it is determined that it is determined to include a transmission module for manipulating and transmitting the packet, and a web server module for responding to the authentication agent installation request via the web.

인증서버는 인증 정보(예: ID, PW)와, 인증 요청 및 해제 요청에 관한 정보를 저장하는 데이터베이스, 인증에이전트와 인증 작업 처리를 담당하는 인증 서비스 모듈로 된 것이다. The authentication server is composed of authentication information (eg, ID, PW), a database that stores information on authentication requests and release requests, an authentication agent, and an authentication service module that handles authentication work.

상기 인증 서비스 모듈은 인증에이전트를 사용한 인증 요청시 데이터베이스 내 인증 정보와의 비교로 네트워크 접근 허용 여부를 결정하는 인증 처리 모듈, 인증 요청 및 해제 요청에 대한 정보를 기록하는 모듈로 구성된다. The authentication service module includes an authentication processing module for determining whether to allow network access by comparing with authentication information in a database when an authentication request using an authentication agent is performed, and a module for recording information on an authentication request and a release request.

인증 매니저는 인증에이전트가 설치된 관리 대상 시스템의 자산정보를 저장하는 데이터베이스와, 그 자산정보를 킵얼라이브(KeepAlive) 메시지 처리로 갱신하는 매니저 서비스 모듈로 구성된다.The authentication manager is composed of a database that stores asset information of a managed system on which an authentication agent is installed, and a manager service module that updates the asset information by KeepAlive message processing.

상기 매니저 서비스 모듈은 인증에이전트가 최초 설치된 관리 대상 시스템의 시스템 자산정보를 등록하고자 할 때, 해당 인증에이전트를 유일하게 식별할 수 있는 고유 ID를 발급하고, 인증에이전트와 통신할 때 그 고유 ID를 설정해서 사용한다. When the manager service module wants to register system asset information of a managed system in which an authentication agent is first installed, the manager service module issues a unique ID for uniquely identifying the corresponding authentication agent, and sets the unique ID when communicating with the authentication agent. Use it.

또한, 인증에이전트가 지속적으로 전송하는 해당 시스템의 자산정보를 데이터베이스에 갱신하고, 인증에이전트가 전송하는 킵얼라이브(KeepAlive) 메시지를 통해 인증에이전트가 실행 중인 것으로 판단한 경우 데이터베이스 내 해당 시스템의 자산 정보를 갱신한다. In addition, the asset information of the system continuously transmitted by the authentication agent is updated in the database, and when it is determined that the authentication agent is running through the KeepAlive message transmitted by the authentication agent, the asset information of the system in the database is updated. do.

더하여, 동작 설정 상태에 따라 인증에이전트와 주기적으로 송, 수신하는 킵얼라이브(KeepAlive) 메시지를 이용하여 해당 인증에이전트의 업데이트와, 긴급 종료에 대한 필요 여부를 알려 주는 기능도 담당한다.In addition, it is responsible for updating the authentication agent and notifying the necessity of emergency termination by using a KeepAlive message periodically transmitted and received with the authentication agent according to the operation setting state.

인증 관리 콘솔은 네트워크 접근 통제 시스템의 전체적인 기능을 확인(예: 인증서버, 인증 매니저, 배포서버 내의 정보 확인)하는 것으로, 크게 사용자 관리 모듈과, 배포 서버 관리 모듈로 된 것이다.The authentication management console checks the overall functions of the network access control system (eg, authentication server, authentication manager, and checking information in the distribution server). It is mainly composed of a user management module and a distribution server management module.

배포서버의 배포대역과 인증에이전트의 업데이트 대역 설정과, 인증서버에 등록된 인증정보 이력, 인증 매니저에 등록된 관리 대상 시스템들의 자산정보를 관리한다. It manages distribution band of distribution server and update band setting of authentication agent, history of authentication information registered in authentication server, and asset information of managed systems registered in authentication manager.

더하여, 임시 사용자 등록 및 관리와, 인증에이전트가 설치되어 운용 중인 관리 대상 시스템의 시스템 정보를 직접적으로 실시간 확인한다.In addition, temporary user registration and management, and the real-time check directly to the system information of the managed system in which the authentication agent is installed and operated.

아울러, 인증서버가 인증정보를 기업이나 기관의 인사 DB에만 의존하지 않고, 관리자가 임의로 특정한 사용자들을 추가하여 그 사용자들에 대한 인증 정보를 구성할 수 있도록 한다.In addition, the authentication server does not rely only on the personnel DB of the company or institution, the authentication server allows the administrator to arbitrarily add specific users to configure the authentication information for the users.

도 4의 본 발명의 사용자 인증 로그인 처리는 다음과 같다.User authentication login process of this invention of FIG. 4 is as follows.

인증에이전트는 네트워크 사용을 위한 사용자의 인증 시도시 인증서버에 접 속하고, 인증서버로부터 작업 가능을 나타내는 데이터를 전송받은 경우 사용자가 입력한 인증 정보와 관련 시스템 정보를 로그인 메시지로 구성하여 네트워크 사용을 요청한다.The authentication agent connects to the authentication server when a user attempts to authenticate the network. When the authentication agent receives data indicating that it can work, the authentication agent configures the network information by configuring the authentication information and related system information entered by the user as a login message. request.

인증서버는 인증에이전트로 요청받은 인증 정보와 동일한 인증 정보가 데이터베이스 내에 있는 경우, 네트워크 사용 허용을 나타내는 인증 성공 메시지를 인증에이전트에 전송하고, 인증 시도 및 인증 결과 정보를 데이터베이스에 기록한다.When the authentication server has the same authentication information as the authentication information requested by the authentication agent in the database, the authentication server transmits an authentication success message indicating the permission to use the network to the authentication agent, and records the authentication attempt and authentication result information in the database.

인증에이전트는 인증서버로부터 인증 성공 메시지 수신시 트래픽 차단을 해제하여 관리 대상 시스템에서 네트워크를 사용할 수 있도록 한다. The authentication agent releases the traffic blocking when the authentication success message is received from the authentication server so that the network can be used by the managed system.

도 5의 본 발명의 사용자 인증 로그아웃 처리는 다음과 같다.User authentication logout processing of the present invention of Figure 5 is as follows.

인증에이전트는 네트워크 사용 후 인증 해제시 인증서버에 접속하고, 인증서버로부터 작업 가능을 나타내는 데이터를 전송받은 경우, 인증시 사용한 인증 정보와 관련 시스템 정보를 로그아웃 메시지로 구성하여 전송한다. The authentication agent connects to the authentication server when the authentication is released after using the network. When the authentication agent receives data indicating that the authentication server can work, the authentication agent configures and transmits the authentication information and related system information used for authentication in a logout message.

인증서버는 전송받은 정보를 데이터베이스에 기록하여 로그아웃에 따른 이력관리 기능을 수행하고, 인증에이전트로 작업 종료 메시지를 전송하여 로그아웃을 처리한다.The authentication server records the received information in a database to perform a history management function according to logout, and sends a job termination message to the authentication agent to process logout.

인증에이전트는 작업 종료 메시지를 전송받은 후, 관리 대상 시스템의 네트워크 어뎁터에 대한 트래픽 차단 기능을 수행하여 네트워크 접근을 차단한다. After receiving the job termination message, the authentication agent performs a traffic blocking function for the network adapter of the managed system to block network access.

부가적으로, 인증에이전트는 인증 시도 또는 해제를 위해 로그인 또는 로그아웃 할때 인증서버의 사용자 인증정보 기록을 위해 기본 인증정보와 더불어 관련 시스템 정보도 함께 전송한다.In addition, the authentication agent transmits related system information along with basic authentication information to record the authentication information of the authentication server when logging in or logging out for authentication attempt or release.

그리고, 운용 중 시스템 종료, 시스템 리부팅, 시스템 로그오프 시, 인증 해제를 위한 로그아웃 메시지를 인증 서버에 즉시 전송한다. When the system shuts down, reboots the system, or logs off the system, a logout message for the authentication release is immediately transmitted to the authentication server.

즉시 전송을 위해, 사용자가 로그인해서 인증에 성공한 경우 인증정보를 보관했다가, 보관중인 인증정보로 로그아웃 메시지를 구성해 인증 서버에 전송하도록 한다.For immediate transmission, if the user logs in and authenticates successfully, the authentication information is stored, and a logout message is constructed using the stored authentication information and transmitted to the authentication server.

도 6, 도 7의 본 발명의 다중 인증 방지 기능은 다음과 같다. 6 and 7, the multi-authentication prevention function of the present invention is as follows.

인증서버는 기본 인증기능과 인증이력 관리기능 이외에, 인증 관리 콘솔로 설정한 각 사용자에 대한 최대 다중 인증수에 대한 처리를 수행해 다중 인증 방지 기능이 가능하도록 한다.In addition to the basic authentication function and the authentication history management function, the authentication server handles the maximum number of authentications for each user set by the authentication management console to enable the multi-authentication prevention function.

즉, 소정 사용자의 인증 정보가 최대 다중 인증수를 초과한 경우, 데이터베이스를 검색하여 해당 인증 정보로 최초 인증받은 인증에이전트에게 인증 해제 명령을 통보한다(S100 ~ S107). That is, when the authentication information of a predetermined user exceeds the maximum number of multiple authentications, the database is searched and an authentication release command is notified to the authentication agent initially authenticated with the corresponding authentication information (S100 to S107).

통보받은 인증에이전트는 자동으로 로그아웃하고, 사용자에게 통보 후 관리 대상 시스템에서 네트워크로 출력되는 트래픽을 차단한다. The notified authentication agent automatically logs out and blocks traffic from the managed system to the network after notifying the user.

추가로, 소정 사용자의 인증 정보가 최대 다중 인증수를 초과하지 않더라도 이전에 인증 정보로 사용된 경우엔, 데이터베이스를 검색하여 해당 인증 정보로 가장 먼저 인증받은 인증에이전트에게 인증 해제 명령을 통보한다(S108 ~ S109). In addition, even if the authentication information of a predetermined user does not exceed the maximum number of multiple authentications, if previously used as authentication information, the database is searched and the first authentication agent first authenticated with the corresponding authentication information is notified of the authentication release command (S108). To S109).

도 8의 본 발명의 배포 서버 동작은 다음과 같다. Distribution server operation of the present invention of Figure 8 is as follows.

네트워크 내 인증에이전트가 설치되지 않았거나, 실행 중이지 않은 관리 대상 시스템이 외부 네트워크의 웹사이트 사용을 위해 웹브라우저로 특정 웹사이트에 접속을 시도할 때 지속적인 패킷 모니터링을 통해 해당 동작을 감지한다. Ongoing packet monitoring detects this behavior when a managed system that does not have an in-network authentication agent installed or is running is attempted to access a particular website with a web browser to use a website on an external network.

그래서, 인증에이전트가 설치되지 않았거나 실행 중이지 않은 관리 대상 시스템에서 사용하는 웹브라우저의 웹 페이지를 인증에이전트 설치 웹페이지로 리다이렉션하여 인증에이전트 설치를 유도한다.Therefore, the authentication agent is installed or redirected by redirecting the web page of the web browser used in the managed system on which the authentication agent is not installed or running to the authentication agent installation web page.

관리 대상 시스템에 인증에이전트가 설치되지 않은 경우엔 계속적으로 웹페이지 리다이렉션을 하여 인증에이전트 설치후 사용자 인증에 성공해야 웹을 사용할 수 있도록 한다. If the authentication agent is not installed in the managed system, the webpage is redirected continuously so that the user can successfully use the web after the authentication agent is installed.

관리 대상 시스템에 인증에이전트가 설치된 경우엔, 해당 관리 대상 시스템의 시스템 자산정보를 인증 매니저로 전송해서 등록한다. When the authentication agent is installed in the managed system, the system asset information of the managed system is transmitted to the authentication manager for registration.

그렇게 하여, 시스템 자산정보가 등록되고 인증에이전트가 실행 중인 관리 대상 시스템에 대해서는 더 이상 웹페이지 리다이렉션을 하지 않는다.In this way, the system asset information is registered and no further web page redirection is performed to the managed system on which the authentication agent is running.

도 9를 참조해 본 발명의 배포 서버 동작을 좀 더 구체적으로 설명한다. Referring to Figure 9 will be described in more detail the operation of the distribution server of the present invention.

먼저, 배포서버는 관리 대상 시스템(예: 사용자 컴퓨터)의 웹 브라우저 사용을 감지하여 웹사용시, 사용자가 접속하려던 웹서버 보다 먼저 관리 대상 시스템으로 HTTP 응답 메시지를 전송한다. First, the distribution server detects the use of a web browser of a managed system (for example, a user's computer) and transmits an HTTP response message to the managed system before the web server the user wants to access when using the web.

다음, HTTP 응답 메시지를 수신한 관리 대상 시스템은 배포서버에서 전송한 인증에이전트 설치 웹페이지를 웹브라우저로 표시한다. Next, the managed system receiving the HTTP response message displays the authentication agent installation web page sent from the distribution server in a web browser.

그리고, 사용자가 원래 접속하려 했던 웹사이트에서 전송한 HTTP 응답 메시지는 무시한다. In addition, it ignores the HTTP response message sent from the website that the user originally tried to access.

다음, 리다이렉션된 웹페이지를 통해 배포서버 구체적으론, 배포서버 내의 웹서버에 저장된 인증에이전트 설치 파일을 다운로드 받고, 실행하여 인증에이전트를 설치한다.Next, the authentication agent installation file stored in the distribution server, specifically, the web server in the distribution server is downloaded and executed through the redirected web page to install the authentication agent.

이렇게 인증에이전트 설치가 완료된 경우, 인증에이전트는 자신이 설치된 관리 대상 시스템의 시스템 자산정보를 인증 매니저에 전송한다.When the authentication agent installation is completed, the authentication agent transmits system asset information of the management target system on which the authentication agent is installed to the authentication manager.

그리고, 인증매니저는 시스템 자산정보를 데이터베이스에 입력하고, 해당 관리 대상 시스템에 대해 인증에이전트가 동작 중인 것으로 설정한다.The authentication manager inputs system asset information into a database, and sets the authentication agent to be in operation for the corresponding managed system.

그렇게 하여, 해당 관리 대상 시스템에 대해서는 더 이상 웹페이지 리다이렉션 동작을 하지 않는다.In this way, the webpage redirection operation is no longer performed on the managed system.

즉, 자산 정보가 데이터베이스에 등록되고, 인증에이전트가 실행 중인 관리 대상 시스템에 대해서는 더 이상 웹페이지 리다이렉션 동작을 하지 않는다.That is, the asset information is registered in the database, and the web page redirection operation is no longer performed on the managed system on which the authentication agent is running.

부가적으로, 인증에이전트는 관리 대상 시스템의 자산정보를 확인해 변경된 경우, 변경된 자산정보를 인증 매니저로 전송해서 자신이 설치된 관리 대상 시스템의 자산정보를 갱신되게 한다.In addition, the authentication agent checks the asset information of the managed system, and if it is changed, transmits the changed asset information to the authentication manager so that the asset information of the managed system on which it is installed is updated.

도 10의 본 발명의 인증에이전트의 네트워크 어뎁터 상태변화에 따른 능동적인 동작은 다음과 같다. Active operation according to the network adapter state change of the authentication agent of the present invention of FIG. 10 is as follows.

인증에이전트는 관리 대상 시스템에 운용중인 네트워크 어뎁터의 상태 변화에 대해서 능동적으로 동작한다. The authentication agent actively operates on a state change of the network adapter operating in the managed system.

즉, 네트워크 어뎁터가 "언플러그"에서 "연결됨"으로, "사용안함"에서 "사용함"으로 변경시, 인증에이전트는 미인증 상태에서 네트워크 트래픽 차단 절차에 의해 다시 새롭게 네트워크 어뎁터 정보를 획득하고, 트래픽 차단 동작을 수행한다(S200 ~ S205).That is, when the network adapter is changed from "unplugged" to "connected" and "disabled" to "enabled", the authentication agent acquires network adapter information again by a network traffic blocking procedure in an unauthenticated state, and the traffic Perform the blocking operation (S200 ~ S205).

인증에이전트가 차단하는 트래픽은 해당 시스템에서 네트워크로 출력되는 네트워크 트래픽이며, 인증에이전트로 인증에 성공한 경우에는 해당 시스템의 모든 네트워크 트래픽을 허용한다.The traffic blocked by the authentication agent is the network traffic output from the system to the network. If authentication is successful with the authentication agent, all network traffic of the system is allowed.

한편, 트래픽 차단 동작을 수행한 후에는 사용자에게 다시 인증을 할 수 있도록 인증 대화상자를 나타내어 사용자 인증을 유도한다(S206).Meanwhile, after performing the traffic blocking operation, an authentication dialog box is displayed so that the user can be authenticated again to induce user authentication (S206).

도 11, 도 12의 인증에이전트 설치 확인을 위한 정보 제공은 다음과 같다. Providing information for verifying the installation of the authentication agent of FIGS. 11 and 12 is as follows.

인증에이전트는 관리 대상 시스템에서 실행 후 인증 매니저에게 킵얼라이브(KeepAlive) 메시지를 전송한다. The authentication agent sends a keepAlive message to the authentication manager after executing on the managed system.

그렇게 하여, 해당 시스템에 대해서 인증에이전트가 실행 중인 것을 알린다. Doing so informs the system that the authentication agent is running.

다음, 인증 매니저로부터 킵얼라이브(KeepAlive) 응답 메시지를 수신하고, 이후 시스템의 변경된 시스템 자산정보가 있는 경우, 해당 시스템 자산정보를 인증매니저에 전송한다(S300 ~ S307).Next, a keep-alive response message is received from the authentication manager, and when there is changed system asset information of the system, the system asset information is transmitted to the authentication manager (S300 to S307).

그렇게 하여, 해당 관리 대상 시스템의 시스템 자산정보가 갱신되게 한다.Thus, the system asset information of the system to be managed is updated.

최초 킵얼라이브(KeepAlive) 메시지 송, 수신 이후에는 일정 시간 대기 후, 지속적으로 킵얼라이브(KeepAlive) 메시지를 인증서버로 전송하여 인증에이전트 실행 여부가 갱신되게 한다(S308 ~ S310). After sending and receiving the first KeepAlive message, after a certain period of time, the KeepAlive message is continuously transmitted to the authentication server so that the authentication agent is executed or not (S308 to S310).

그리고, 주기적으로 네트워크 어뎁터의 상태 변화가 발생할 때 마다, 관리 대상 시스템의 자산정보 변경 여부를 확인한 후, 변경된 시스템 자산정보를 인증 매니저에게 전송한다(S311 ~ S313).Then, whenever the state change of the network adapter occurs periodically, after checking whether the asset information of the managed system is changed, the changed system asset information is transmitted to the authentication manager (S311 to S313).

인증에이전트가 인증 매니저에게 전송하는 관리 대상 시스템의 자산 정보는 배포서버가 해당 관리 대상 시스템에 인증에이전트가 설치됨을 확인할 때 사용된다. The asset information of the managed system that the authentication agent sends to the authentication manager is used when the distribution server confirms that the authentication agent is installed on the managed system.

주기적으로 인증서버에게 전송하는 킵얼라이브(KeepAlive) 메시지는 배포서버가 해당 관리 대상 시스템의 인증에이전트가 실행 중 인 것을 알 수 있게 한다.KeepAlive messages are sent to the authentication server periodically so that the distribution server can know that the authentication agent of the managed system is running.

도 13의 본 발명의 인증에이전트 업데이트 통신은 다음과 같다.Authentication agent update communication of the present invention of Figure 13 is as follows.

인증에이전트가 인증매니저에게 킵얼라이브 메시지에 현재 버전 정보를 설정해서 송신한다. The authentication agent sets the current version information in the keepalive message and sends it to the authentication manager.

인증매니저는 킵얼라이브 메시지 내 버전 정보와 해당 인증에이전트가 업데이트 대상인지 확인한 후, 다음, 업데이트 대상의 인증에이전트에게 최신 인증에이전트 버전 정보를 킵얼라이브 응답 메시지에 설정해서 송신한다. The authentication manager checks whether the version information in the keepalive message and the corresponding authentication agent are the update targets, and then sets the latest authentication agent version information in the keepalive response message to the authentication agent of the update target.

인증에이전트는 그 킵얼라이브 응답 메시지에 설정된 버전 정보가 자신의 현재 버전보다 상위 버전인 경우 업데이트 작업을 수행한다.The authentication agent performs an update operation when the version information set in the keepalive response message is higher than its current version.

도 14의 본 발명의 인증에이전트 업데이트 작업은 다음과 같다.The authentication agent update operation of the present invention of FIG. 14 is as follows.

인증에이전트가 인증매니저에게 킵얼라이브(KeepAlive) 메시지를 전송하고, 인증매니저로부터 전송받은 킵얼라이브(KeepAlive) 응답 메시지 내 버전 정보가 자신의 현재 버전 정보보다 높은 경우, 업데이트 모듈을 실행시켜 인증에이전트에 대한 업데이트 작업을 수행한다. If the authentication agent sends a KeepAlive message to the authentication manager, and the version information in the KeepAlive response message received from the authentication manager is higher than its current version information, the update agent executes an update module for the authentication agent. Perform the update operation.

업데이트 작업은 실행 중인 모든 운용 모듈을 종료시키고, 인증 매니저로부터 업데이트 할 파일 목록을 전송받고, 업데이트 목록 내 파일을 하나씩 다운로드 받은 후, 기존의 운용 모듈에 대해 교체 작업을 수행하여, 업데이트 작업을 하게 된다. The update operation terminates all running operation modules, receives a list of files to update from the authentication manager, downloads files in the update list one by one, and performs an update operation by replacing the existing operation modules. .

업데이트 모듈이 업데이트 작업을 성공적으로 완료한 경우, 최신 인증에이전트 버전을 시스템에 기록하고, 인증에이전트가 재시작해서 KeepAlive 메시지를 인증 매니저에게 전송할 때는 최신 인증에이전트의 버전이 설정되어 전송되므로 다시 업데이트 작업이 수행되지 않는다.If the update module successfully completes the update operation, it records the latest authentication agent version on the system, and when the authentication agent restarts and sends a KeepAlive message to the authentication manager, the update operation is performed again because the latest authentication agent version is set and sent. It doesn't work.

도 15의 본 발명의 인증에이전트 긴급 종료 동작은 다음과 같다.The authentication agent emergency termination operation of the present invention of FIG. 15 is as follows.

관리자가 인증에이전트 긴급 종료가 필요한 경우 인증 매니저의 설정파일에 긴급종료 명령을 설정한다. If the administrator needs to abend the authentication agent, set the emergency termination command in the configuration file of the authentication manager.

인증 매니저는 인증에이전트가 전송하는 킵얼라이브(KeepAlive) 메시지를 수신하고, 설정파일에 긴급종료 명령이 설정된 경우, 인증에이전트들이 전송하는 킵얼라이브(KeepAlive) 응답 메시지에 긴급 종료 명령을 설정해서 송신한다.The authentication manager receives a KeepAlive message sent by the authentication agent, and sets an emergency end command in a KeepAlive response message sent by the authentication agents when an emergency stop command is set in the configuration file.

긴급 종료 명령이 포함된 킵얼라이브(KeepAlive) 메시지를 수신한 인증에이전트들은 실행 중인 시스템에서 동작을 정지한 후 자체적으로 인증에이전트 모듈 제거 작업을 수행한다.Receiving a KeepAlive message with an emergency shutdown command, the authentication agents stop their operations on the running system and then perform their own removal of the authentication agent module.

도 16의 본 발명의 인증서버와의 접속 불능시 인증 시도 동작은 다음과 같다. The authentication attempt operation when the connection with the authentication server of the present invention of FIG. 16 is as follows.

인증에이전트는 인증서버 및 인증 매니저에 대한 접속 불능시, 즉 사용자 인증이 불가능한 경우에는 네트워크 트래픽 차단을 자동 해제하고, 로그인된 후 이루어지는 동작과 같은 동작을 수행한다(S400 ~ S405). If the authentication agent is unable to access the authentication server and the authentication manager, that is, if the user authentication is not possible, the authentication agent automatically releases the network traffic blocking and performs the same operation as that performed after logging in (S400 to S405).

그렇게 하여, 관리되는 기업 및 기관망이 아닌 다른 곳에서는 사용자가 네트워크를 사용할 수 있게 한다. This makes the network available to users outside of the managed enterprise and institutional network.

추가로, 인증에이전트는 인증서버와의 접속 불능시 인증 매니저에게 접속을 시도한다. In addition, the authentication agent attempts to connect to the authentication manager when it is unable to connect to the authentication server.

그 이유는 인증서버의 IP가 변경된 경우를 대비해 인증서버와의 접속 불능시, 인증 매니저에게 접속해서 인증서버 IP를 수신하고, 인증서버 IP가 변경된 경우, 변경된 인증서버 IP로 다시 접속을 시도하기 위해서이다.The reason is that in case the authentication server's IP is changed, if the connection with the authentication server is not possible, the authentication manager is connected to receive the authentication server IP, and if the authentication server IP is changed, the server tries to connect to the changed authentication server IP again. to be.

또한, 인증서버와 접속이 불가능한 상태에서 접속이 다시 가능해져 수행한 재인증 작업시 사용자 인증 정보가 유효하지 않아서 인증에 실패한 경우엔, 즉시 네트워크로 출력되는 트래픽을 차단하고, 사용자에게 다시 인증을 할 수 있도록 인증 대화 상자를 나타내어 다시 사용자 인증을 유도한다.Also, if the authentication fails because the user authentication information is not valid during the re-authentication operation that is possible when the connection with the authentication server is not possible, the traffic output to the network is immediately blocked and the user can be authenticated again. It prompts the user again by displaying an authentication dialog box.

도 1은 기존 네트워크 접근 미통제 시스템도1 is an existing network access uncontrolled system diagram

도 2는 본 발명의 네트워크 접근 통제 시스템도 2 is a network access control system diagram of the present invention.

도 3은 본 발명의 네트워크 접근 통제 시스템의 상세 블록구성도 Figure 3 is a detailed block diagram of a network access control system of the present invention

도 4는 본 발명의 사용자 인증 로그인 처리도4 is a user authentication login processing diagram of the present invention

도 5는 본 발명의 사용자 인증 로그아웃 처리도5 is a user authentication logout processing diagram of the present invention.

도 6은 본 발명의 사용자 다중 인증 처리도6 is a user multi-authentication processing diagram of the present invention.

도 7은 본 발명의 사용자 다중 인증 처리 플로우챠트7 is a user multi-authentication processing flowchart of the present invention.

도 8은 본 발명의 배포 서버 동작 설명을 위한 시스템도 8 is a system diagram for explaining the operation of the distribution server of the present invention;

도 9는 본 발명의 배포 서버 동작 절차도 9 is a flowchart illustrating an operation of a distribution server of the present invention.

도 10은 본 발명의 인증에이전트의 네트워크 어뎁터 상태변화에 따른 동작 플로우챠트10 is an operation flowchart according to the change of network adapter state of the authentication agent of the present invention.

도 11은 본 발명의 인증에이전트 설치 확인을 위한 정보 플로우챠트11 is an information flowchart for confirming the installation of the authentication agent of the present invention.

도 12는 본 발명의 인증에이전트 설치 확인을 위한 정보 제공 절차도12 is a procedure of providing information for confirming the installation of the authentication agent of the present invention.

도 13은 본 발명의 인증에이전트 업데이트 절차도13 is a procedure for updating the authentication agent of the present invention.

도 14는 본 발명의 인증에이전트 업데이트 상세 처리도14 is a detailed process for updating the authentication agent of the present invention.

도 15는 본 발명의 인증에이전트 긴급 종료 절차도15 is an authentication agent emergency termination procedure of the present invention

도 16은 본 발명의 인증서버와의 접속 불능시 인증 시도 동작도 16 is a view illustrating an authentication attempt when connection with an authentication server of the present invention is disabled.

Claims (10)

네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 인증에이전트가 미설치되어 인증에이전트로부터 전송받은 시스템 자산정보가 등록되지 않은 관리대상시스템에 네트워크 접근 통제를 위한 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 단계;The web is continuously managed until the installation and execution of the authentication agent for network access control on the managed system where the source IP in the HTTP request packet output to the network is the management band and the authentication agent is not installed and the system asset information received from the authentication agent is not registered. Automatically distributing the authentication agent with page redirection; 상기 관리대상시스템에 설치된 인증에이전트를 사용해 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리대상시스템에서 네트워크로 출력되는 트래픽을 차단하는 단계; Using the authentication agent installed in the management target system to block traffic output from the management target system to the network except for communication and management traffic for authentication until the authentication is successful; 상기 관리대상시스템에 설치된 인증에이전트를 사용해 전송받은 인증 정보와 동일한 인증 정보가 미등록되었거나 해당 사용자의 인증 정보와 상이한 경우 트래픽 차단을 유지하고, 동일한 인증 정보가 등록된 경우 트래픽 차단을 해제하는 단계;Maintaining traffic blocking when the same authentication information as the authentication information transmitted using the authentication agent installed in the management target system is not registered or different from the authentication information of the corresponding user, and releasing the traffic blocking when the same authentication information is registered; 상기 관리대상시스템에 설치된 인증에이전트로 전송받은 인증 정보가 최대 다중 인증수를 초과한 경우, 해당 인증 정보로 최초 인증받은 인증에이전트에 인증 해제 명령을 통보하는 단계;If the authentication information transmitted to the authentication agent installed in the management target system exceeds the maximum number of multiple authentications, notifying a certification release command to the authentication agent initially authenticated with the corresponding authentication information; 상기 인증 해제 명령에 따라 인증에이전트로 자동 로그아웃하고, 네트워크로 출력되는 트래픽을 차단하는 다중 인증 방지단계;A multi-authentication prevention step of automatically logging out to an authentication agent according to the authentication release command and blocking traffic output to the network; 를 더 포함하여 이루어진 네트워크 접근 통제 방법.The network access control method made further comprising. 삭제delete 삭제delete 삭제delete 네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 인증에이전트가 미설치되어 인증에이전트로부터 전송받은 시스템 자산정보가 등록되지 않은 관리대상시스템에 네트워크 접근 통제를 위한 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 단계;The web is continuously managed until the installation and execution of the authentication agent for network access control on the managed system where the source IP in the HTTP request packet output to the network is the management band and the authentication agent is not installed and the system asset information received from the authentication agent is not registered. Automatically distributing the authentication agent with page redirection; 상기 관리대상시스템에 설치된 인증에이전트를 사용해 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리대상시스템에서 네트워크로 출력되는 트래픽을 차단하는 단계; Using the authentication agent installed in the management target system to block traffic output from the management target system to the network except for communication and management traffic for authentication until the authentication is successful; 상기 관리대상시스템에 설치된 인증에이전트를 사용해 전송받은 인증 정보와 동일한 인증 정보가 미등록되었거나 해당 사용자의 인증 정보와 상이한 경우 트래픽 차단을 유지하고, 동일한 인증 정보가 등록된 경우 트래픽 차단을 해제하는 단계;Maintaining traffic blocking when the same authentication information as the authentication information transmitted using the authentication agent installed in the management target system is not registered or different from the authentication information of the corresponding user, and releasing the traffic blocking when the same authentication information is registered; 상기 인증에이전트로 네트워크 사용 후, 인증 해제를 위해 전송받은 인증 정보와 관련 시스템 정보를 기록하고, 인증해제 작업종료 정보를 해당 인증에이전트로 전송하는 로그아웃에 따른 인증이력관리 단계;After using the network as the authentication agent, the authentication history management step according to the logout for recording the authentication information and related system information received for the authentication release, and transmitting the authentication release job termination information to the corresponding authentication agent; 를 더 포함하여 이루어진 네트워크 접근 통제 방법.The network access control method made further comprising. 제 1 항 또는 제 5 항에 있어서, The method according to claim 1 or 5, 상기 인증에이전트로 요청한 킵얼라이브(KeepAlive) 메시지에 현재 버전 정보를 설정 송신하고, 응답받은 킵얼라이브 메시지 내 설정 버전 정보가 상위 버전 정보인 경우, 다운로드받은 파일을 해당 파일로 업데이트하는 인증에이전트 자동업데이트 단계를 더 포함하여 이루어진 네트워크 접근 통제 방법.Automatically updating the authentication agent to update the downloaded file to the corresponding file if the current version information is sent to the KeepAlive message requested by the authentication agent and the setting version information in the response keepalive message is higher version information. The network access control method made further comprising. 제 1 항 또는 제 5 항에 있어서,The method according to claim 1 or 5, 상기 인증에이전트로 긴급종료명령이 포함된 킵얼라이브(KeepAlive) 메시지를 수신한 경우, 관리대상시스템에서 자체적으로 동작을 정지한 후 인증에이전트를 제거하는 인증에이전트 긴급종료단계를 더 포함하여 이루어진 네트워크 접근 통제 방법.In case of receiving a KeepAlive message including an emergency termination command as the authentication agent, the network access control further comprises an authentication agent emergency termination step of removing the authentication agent after stopping the operation on the managed system itself. Way. 제 1 항 또는 제 5 항에 있어서, The method according to claim 1 or 5, 상기 인증에이전트와 인증을 위한 접속 불능시 관리대상시스템의 네트워크 트래픽 차단을 즉시 해제하여 관리 대상 네트워크 외부에서는 네트워크가 가능하도록 하는 단계를 더 포함하여 이루어진 네트워크 접근 통제 방법.And releasing the network traffic blocking of the management target system immediately when the connection for the authentication agent and the authentication is inaccessible to enable the network outside the management target network. 제 1 항 또는 제 5 항에 있어서,The method according to claim 1 or 5, 상기 인증에이전트의 트래픽 차단, 해제를 Blocking and releasing traffic of the authentication agent 운영체제와 응용프로그램 사이에 위치한 네트워크 드라이버로 하는 네트워크 접근 통제 방법.Network access control method with network drivers located between the operating system and applications. 관리대상시스템에 설치되어 인증 성공시까지 인증을 위한 통신과 관리용 트래픽을 제외한 관리대상시스템에서 외부 네트워크로 출력되는 트래픽을 차단하고, 인증 성공시 트래픽 차단을 해제 해당 관리대상시스템의 자산정보를 전송하며, 네트워크 사용을 위한 사용자의 인증 시도시 인증서버에 접속하고, 인증서버로부터 작업 가능을 나타내는 데이터를 전송받은 경우 사용자가 입력한 인증 정보와 관련 시스템 정보를 로그인 메시지로 구성하여 네트워크 사용을 요청하고, 네트워크 사용 후 인증 해제시 인증서버에 접속하고, 인증서버로부터 작업 가능을 나타내는 데이터를 전송받은 경우, 인증시 사용한 인증 정보와 관련 시스템 정보를 로그아웃 메시지로 구성하여 전송하는 인증에이전트;Installed in the managed system to block the traffic output from the managed system to the external network except the communication and management traffic for authentication until the authentication is successful, and release the traffic block when the authentication is successful, and transmit the asset information of the managed system When the user attempts to authenticate the network, the user accesses the authentication server. When receiving data indicating that the user can work from the authentication server, the user inputs the authentication information and related system information as a login message to request the network use. An authentication agent configured to connect to the authentication server when the authentication is released after the network is used, and to receive the data indicating that the operation is possible from the authentication server, and to configure and transmit the authentication information and related system information used in the authentication as a logout message; 네트워크로 출력되는 HTTP 요청 패킷 내 소스 IP가 관리 대역이면서 시스템 자산정보가 등록되지 않은 관리대상시스템에 상기 인증에이전트 설치, 실행시까지 계속적인 웹페이지 리다이렉션으로 인증에이전트를 자동 배포하는 배포서버;A distribution server for automatically distributing the authentication agent through web page redirection until the installation and execution of the authentication agent in a management target system in which the source IP in the HTTP request packet output to the network is the management band and the system asset information is not registered; 상기 인증에이전트로부터 요청된 인증 정보와 등록된 인증 정보 간 비교로 결정한 인증 결과를 해당 인증에이전트로 전송하고, 인증에이전트로 요청받은 인증 정보와 동일한 인증 정보가 데이터베이스 내에 있는 경우, 네트워크 사용 허용을 나타내는 인증 성공 메시지를 인증에이전트에 전송하고, 인증 시도 및 인증 결과 정보를 데이터베이스에 기록하며, 인증에이전트로부터 전송받은 정보를 데이터베이스에 기록하여 로그아웃에 따른 이력관리 기능을 수행하고, 인증에이전트로 작업 종료 메시지를 전송하여 로그아웃을 처리하는 인증서버;When the authentication result determined by the comparison between the authentication information requested from the authentication agent and the registered authentication information is transmitted to the corresponding authentication agent, and the same authentication information as the authentication information requested by the authentication agent is present in the database, authentication indicating permission to use the network. Send success message to authentication agent, record authentication attempt and authentication result information to database, record information received from authentication agent to database to perform history management function according to logout, and send job termination message to authentication agent. An authentication server for transmitting and processing logout; 상기 인증에이전트로부터 전송된 관리대상시스템의 자산정보를 전송받아 등록, 갱신하는 인증 매니저를 포함하여 이루어진 네트워크 접근 통제 시스템.And an authentication manager configured to receive, register, and update asset information of the management target system transmitted from the authentication agent.
KR1020080021495A 2008-03-07 2008-03-07 Method for controlling access to network and system for the same KR100849167B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080021495A KR100849167B1 (en) 2008-03-07 2008-03-07 Method for controlling access to network and system for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080021495A KR100849167B1 (en) 2008-03-07 2008-03-07 Method for controlling access to network and system for the same

Publications (1)

Publication Number Publication Date
KR100849167B1 true KR100849167B1 (en) 2008-07-30

Family

ID=39825441

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080021495A KR100849167B1 (en) 2008-03-07 2008-03-07 Method for controlling access to network and system for the same

Country Status (1)

Country Link
KR (1) KR100849167B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020083551A (en) * 2001-04-27 2002-11-04 김성열 Development and Operation Method of Multiagent Based Multipass User Authentication Systems
KR100495777B1 (en) * 2005-02-23 2005-06-16 노태호 An integrated client-management system using an agent program
KR20060029047A (en) * 2004-09-30 2006-04-04 삼성전자주식회사 Apparatus and method for authenticating user for network access in communication
KR20060044494A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Network management system and network management server of co-operating with authentication server
KR200427501Y1 (en) * 2006-06-23 2006-09-27 주식회사 인프니스 Network security system based on each terminal connected to network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020083551A (en) * 2001-04-27 2002-11-04 김성열 Development and Operation Method of Multiagent Based Multipass User Authentication Systems
KR20060044494A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Network management system and network management server of co-operating with authentication server
KR20060029047A (en) * 2004-09-30 2006-04-04 삼성전자주식회사 Apparatus and method for authenticating user for network access in communication
KR100495777B1 (en) * 2005-02-23 2005-06-16 노태호 An integrated client-management system using an agent program
KR200427501Y1 (en) * 2006-06-23 2006-09-27 주식회사 인프니스 Network security system based on each terminal connected to network

Similar Documents

Publication Publication Date Title
US7607140B2 (en) Device management system
CN1882911B (en) A method in a network of the delivery of files
JP5236352B2 (en) Application distribution control system, application distribution control method, information processing apparatus, and client terminal
US20070186278A1 (en) Print processing system and print processing apparatus
US7975030B2 (en) Remote configuration of devices using a secure connection
CN107438081A (en) The strategy execution of client device
EP1950931A1 (en) Devices, system and method for distributing and synchronizing service data
US20040120262A1 (en) Site monitor and method for monitoring site
CN104615916B (en) Account management method and device, account authority control method and device
KR20110040691A (en) Apparatus and methods for managing network resources
CN1953393B (en) Software installation within a federation
CA2632763A1 (en) Service management framework
KR20080054437A (en) Managing method of terminal devices
KR101371057B1 (en) Relay communication system and access management apparatus
CN102792632A (en) Automated certificate management
JP2015133034A (en) Information processing system and authentication method
KR20130111807A (en) System for remote monitoring of programmable logic controller using mobile device
JP5398404B2 (en) Communication cutoff device, server device, method and program
EP3002699A1 (en) A method for controlling the execution of an application in a virtual computer environment
US11288341B2 (en) Information handling system license management through NFC
JPH10161880A (en) Remote control system
JP4375778B2 (en) DIGITAL DATA INSTALLATION SYSTEM, DIGITAL DATA INSTALLATION METHOD, PROGRAM, AND RECORDING MEDIUM CONTAINING THE PROGRAM
KR101233934B1 (en) Integrated Intelligent Security Management System and Method
JP5353714B2 (en) Server system and its event message transmission method
KR100849167B1 (en) Method for controlling access to network and system for the same

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130529

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140520

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160517

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180705

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190625

Year of fee payment: 12