KR100904215B1 - 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 - Google Patents

사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 Download PDF

Info

Publication number
KR100904215B1
KR100904215B1 KR1020080115080A KR20080115080A KR100904215B1 KR 100904215 B1 KR100904215 B1 KR 100904215B1 KR 1020080115080 A KR1020080115080 A KR 1020080115080A KR 20080115080 A KR20080115080 A KR 20080115080A KR 100904215 B1 KR100904215 B1 KR 100904215B1
Authority
KR
South Korea
Prior art keywords
data
mac address
authentication
user
eap
Prior art date
Application number
KR1020080115080A
Other languages
English (en)
Inventor
허재영
유동호
Original Assignee
넷큐브테크놀러지 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 넷큐브테크놀러지 주식회사 filed Critical 넷큐브테크놀러지 주식회사
Priority to KR1020080115080A priority Critical patent/KR100904215B1/ko
Application granted granted Critical
Publication of KR100904215B1 publication Critical patent/KR100904215B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

사용자 인증에 기반하여 네트워크에 대한 접속을 관리하고 차단하는 시스템 및 방법이 제공되며, 보다 상세하게는, 사용자 인증에 기반하여 2 계층(layer 2)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법이 제공된다.
사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)는 사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부를 포함한다.
Figure R1020080115080
2 계층, EAPOL, 사용자 인증

Description

사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING ACCESS TO NETWORK BASED ON USER AUTHENTICATION}
본 발명은 사용자 인증에 기반하여 네트워크에 대한 접속을 관리하고 차단하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는, 사용자 인증에 기반하여 2 계층(layer 2)에서 네트워크에 대한 접속을 관리 및 차단하는 시스템 및 방법에 관한 것이다.
구내 정보 통신망(local area nework, LAN)을 통해 네트워크를 사용하는 단말의 이동성이 향상되고 LAN 네트워크에 접속하는 통신 방식이 발전함에 따라, 네트워크를 보호하기 위한 보안 기술이 발전하고 있다.
즉, LAN 네트워크에 접속하는 단말이 노트북 등 이동 단말의 형태로 이동성을 획득하고 LAN 접속 방식이 무선 방식으로 발전되어 무선 LAN의 사용이 증가됨에 따라 LAN에 접속하는 클라이언트를 제어하고 관리하는 것이 어려워졌다.
따라서, LAN에 접속하는 클라이언트에 대한 네트워크 사용 권한을 선별적으 로 허가하고 관리할 수 있는 방법의 필요성이 제기되었으며, 그 대표적인 기술은 IEEE802.1X 표준 프레임을 따르는 포트 기반 사용자 인증 기술이다.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면이다.
종래 기술에 따른 구내 정보 통신망(LAN) 시스템은 LAN에 대한 사용자의 접근을 제어하기 위하여 IEEE802.1X 프레임을 사용할 수 있다.
IEEE802.1X 프레임을 사용하는 LAN 시스템은, 사용자가 LAN에 물리적인 접속을 하는 경우, 예를 들어 스위치 허브에 LAN 케이블을 연결하거나 또는 무선 LAN에 접속하는 경우, 사용자를 인증하여 허가된 사용자에 한하여 접속을 허용할 수 있다.
제 1 사용자(10) 및 제 2 사용자 (20)은 스위치 허브(11) 및 무선 LAN AP(access point)(21)를 통하여 LAN 네트워크에 접속한다.
스위치 허브(11) 또는 무선 LAN AP(21)는 각각 제 1 사용자(10) 또는 제 2 사용자(20)이 LAN 네트워크에 접속하는 과정에서 IEEE802.1X 표준에 따르는 인증자(authenticator) 역할을 수행한다.
즉, 제 1 사용자(10) 또는 제 2 사용자(20)로부터 LAN 네트워크에 대한 접속 요청이 있는 경우, 스위치 허브(11) 또는 무선 LAN AP(21)는 인증 서버(30)로부터 제 1 사용자(10) 또는 제 2 사용자(20)의 권한을 확인하고, 권한이 인증된 사용자에 대하여 LAN으로의 접속을 허가하고, 인증에 실패한 사용자의 통신 패킷은 거부하여 LAN으로의 접속을 차단한다.
인증된 제 1 사용자(10) 또는 제 2 사용자(20)는 LAN 네트워크에 접속할 수 있으며, 인터넷 라우터(40)를 통하여 인터넷에 접속할 수 있다.
이러한 종래 기술에 따른 LAN 접속을 제어하는 IEEE802.1X 기술은 사용자를 정확히 인증한 후 LAN 네트워크로의 접속을 허가하는 기능을 제공하고 있으나, 사용자의 물리적인 접속에 사용되는 네트워크 장비, 예를 들어 스위치 허브 또는 무선 LAN AP가 IEEE802.1X 인증자의 기능이 탑재되어야 한다.
이 경우 스위치 허브를 통한 유선 접속 방식과 무선 LAN AP를 통한 무선 접속 방식 간에 IEEE802.1X를 적용하는 과정은 근본적으로 동일하다.
또한, IEEE802.1X는 일단 사용자가 인증을 받아 LAN 네트워크에 접속한 후 특정한 LAN 상의 구간에 대한 추가적인 접근을 제어할 수 없다.
또한, IEEE802.1X 인증자가 탑재된 LAN 접속 장비와 지원되지 않는 장비가 혼용되어 있는 경우, 전체적으로 사용자 인증을 통한 접속 관리를 수행할 수 없다. 왜냐하면, IEEE802.1X는 LAN에 대한 접근을 2 계층에서 통제하여 전체 LAN을 보호하기 위한 것이므로, 모든 LAN 접속 장치를 IEEE 802.1X 인증자가 지원되는 LAN 접속 장치로 교체해야 하기 때문이다. 즉, LAN 네트워크 시스템 상의 LAN 접속 장치를 통하여 접속하는 모든 사용자 클라이언트가 아닌 일부의 사용자 클라이언트만을 관리하는 경우, 전체 LAN 시스템이 위험에 노출된다.
따라서, 종래의 LAN 시스템은 모든 LAN 접속 장치가 동시에 IEEE802.1X 인증자 기능을 지원하도록 구축되어야 한다. 그리고 일부의 LAN 접속 장치라도 IEEE802.1X 인증자 기능을 지원하지 않는다면, 이러한 LAN 접속 장치는 IEEE802.1X 인증자 기능을 지원하는 장치로 교체되어야 하며, 이로 인한 비용이 증가하게 된다.
또한, 사용자 인증이 실패하여 네트워크에 접속할 수 없는 경우, 실패한 사용자는 LAN 네트워크 자체에 어떠한 형태로도 접속할 수 없으므로, 네트워크를 통한 온라인으로 예외 처리 관리를 할 수 없다.
또한, 기존의 IEEE802.1X 프레임을 지원하는 사용자 클라이언트는 LAN 접속 장치가 IEEE802.1X 인증자를 지원할 경우에만 동작한다. 따라서, LAN 접속 장치가 IEEE802.1X 인증자 기능을 수행하지 않을 때에도 사용자에 대한 인증을 수행할 수 있는 보조 기능이 필요하다.
또한, 종래의 기술에 따라 LAN 접속 장치를 통해 LAN 네트워크 시스템에 접속하는 경우, 물리적인 포트(port), 예를 들어 스위치 허브 포트의 수에 따른 물리적인 제약이 발생하여 LAN 네트워크 시스템에 접속할 수 있는 클라이언트의 수가 제한된다.
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면이다.
사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 OSI 모델의 데이터 링크 계층에 대응하는 2 계층(layer 2)에 해당하며, 사용자 클라이언트(12)와 LAN 접속 장치(13)는 EAP(extensible authentication protocol) 데이터를 EAPOL(EAP over LAN) 규격에 따라 서로 송신하고 수신한다.
또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(layer 3)에 해당하며, LAN 접속 장치(13)와 인증 서버(30)는 TCP/IP에 기반하는 RADIUS(remote authentication dial in user service) 프로토콜 규격에 따라 RADIUS 패킷 속에 EAP 데이터를 캡슐화(encapsulation)하여 서로 송신 및 수신한다.
사용자 클라이언트(12)는 네트워크 터미널, 예를 들어 데스크탑, 노트북 등을 포함할 수 있다. 사용자 클라이언트(12)는 탑재된 인증 에이전트를 통해 사용자로부터 제공받은 인증 정보를 이용하여 LAN 접속 장치에 탑재된 LAN 접속 장치(13)와 2계층(layer 2)상에서 통신을 수행할 수 있다.
LAN 접속 장치(13)는 사용자 클라이언트(12)와 인증 서버(30) 사이에서 EAP 규격의 데이터를 전송 및 수신한다. 인증 서버(30)는 해당 사용자를 인증하여 그 결과를 LAN 접속 장치(13)에게 전달하고, LAN 접속 장치(13)가 사용자 에이전트(12)의 접속을 허가 혹은 차단할 수 있다.
이 경우, 사용자 클라이언트(12)와 LAN 접속 장치(13) 사이의 구간은 전술한 바와 같이 2 계층에서 동작하며 EAPOL(EAP Over LAN) 규격에 따라 EAP 데이터를 직접 전송한다.
또한, LAN 접속 장치(13)와 인증 서버(30) 사이의 구간은 3 계층(TCP/IP) 상에서 동작하는 RADIUS 프로토콜 규격을 따르며, RADIUS 패킷 속에 EAP 데이터를 캡슐화하여 전송을 수행할 수 있다.
본 발명의 일 실시예는 인증자 기능이 없는 LAN 접속 장치를 사용하거나, 인증자 기능이 있는 LAN 접속 장치 및 인증자 기능이 없는 LAN 접속 장치를 혼용하여 사용하는 네트워크 시스템에도 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있는 시스템 및 방법을 제공하고자 한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면은 사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부, 상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부, 상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및 상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부를 포함하고, 상기 EAP 데이터는 2 계층(layer 2)의 프로토콜을 사용하여 전송되는 사용자 인증에 기반한 네트워크 접속을 관리하는 인 포서(enforcer)를 제공할 수 있다.
또한, 본 발명의 제 2 측면은 사용자 클라이언트로부터 데이터를 수신하는 단계, 상기 데이터가 2계층의 EAP 데이터인 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계, 상기 인증 서버를 이용하여 사용자 인증이 성공한 경우, 상기 사용자 클라이언트의 MAC 주소를 MAC 주소 테이블에 저장하는 단계 및 상기 데이터가 상기 MAC 주소 테이블에 저장된 MAC 주소를 가진 사용자 클라이언트로부터 수신된 경우, 상기 데이터를 통과시키는 단계를 포함하는 사용자 인증에 기반한 네트워크 접속을 관리하는 방법을 제공할 수 있다.
또한, 본 발명의 제 3 측면은 사용자 클라이언트로부터 2 계층(layer 2)의 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서, 상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버를 포함하고, 상기 인포서는 사용자 인증이 성공한 클라이언트의 MAC 주소를 저장하여 네트워크 접속을 관리하는 것인 사용자 인증에 기반한 네트워크 접속 관리 시스템을 제공할 수 있다.
전술한 본 발명의 과제 해결 수단에 의하면, 인증자 기능이 없는 LAN 접속 장치를 사용하는 네트워크 시스템에 인증자 기능을 제공하는 인포서를 추가하여, 과다한 추가 비용이 없이도 기존의 네트워크 시스템을 이용하여 사용자 인증에 기반한 접속 관리 기능을 제공할 수 있다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하에서 설명하는 본 발명의 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템에서 2 계층(layer 2)의 프로토콜로서 EAPOL(EAP over LAN)이 사용되고, 3 계층(layer 3)의 프로토콜로서 RADIUS(remote authentication dial in user service) 프로토콜이 사용되었으나, 이에 한정되지 않으며 또 다른 2 계층의 프로토콜 및 3 계층의 프로토콜이 사용될 수도 있다.
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면이다.
제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 LAN 네트워크에 접속한다. 제 1 LAN 접속 장치(110)는 IEEE802.1X 인증자 기능을 제공한다. 따라서, 제 1 사용자 클라이언트(100)는 제 1 LAN 접속 장치(110)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.
제 2 사용자 클라이언트(200)는 제 2 LAN 접속 장치(110) 및 인포서(300)를 통하여 LAN 네트워크에 접속한다. 제 2 LAN 접속 장치(210)는 IEEE802.1X 인증자 기능을 제공하지 않는다. 따라서, 제 2 사용자 클라이언트(200)는 인포서(300)를 통하여 인증 서버(400)로부터 인증을 받고 LAN 네트워크 또는 인터넷에 접속할 수 있다.
여기서, 제 2 사용자 클라이언트(200)와 인포서(300)는 2계층(layer 2)에서 서로 통신을 수행하며, EAP 데이터는 2 계층의 프로토콜(protol)을 사용하여 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있으며, 예를 들어 EAPOL(EAP over LAN)의 형태로 제 2 LAN 접속장치(210)를 통해 인포서(300)로 전송될 수 있다.
다만, 제 2 사용자 클라이언트(200) 및 제 2 LAN 접속 장치(210)는 인포서(300)의 존재를 인식하지 못하며, EAPOL 형태의 EAP 데이터는 제 2 사용자 클라이언트(200)에 의해 전송되어, 제 2 사용자 클라이언트(200)와 LAN 네트워크 사이 에 위치한 인포서(300)로 전송된다.
인포서(300)는 제 2 LAN 접속 장치(210)를 통해 연결된 제 2 사용자 클라이언트(200)에 대한 인증을 대행한다. 인포서(300)는 EAPOL 프로토콜을 이용하여 제 2 LAN 접속 장치(210)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 인증 프로토콜로서 3 계층(layer 3)의 프로토콜, 예를 들어 RADIUS 프로토콜을 이용하여 인증 서버(400)으로 전송한다. 이처럼 인포서(300)는 EAPOL을 이용하여 EAP 데이터를 수신하고, RADIUS 프로토콜을 이용하여 EAP 데이터를 인증 서버(400)로 전송할 수 있다.
또한, 인포서(300)는 인증 서버(400)로부터 제 2 사용자 클라이언트(200)에 대한 인증 결과를 수신하고, 적합한 사용자로 인증된 경우 제 2 사용자 클라이언트(200)의 MAC 주소(media access control address)를 저장한다.
인포서(300)는 제 2 사용자 클라이언트(200)로부터 LAN 네트워크 접속 요청을 수신하고, 제 2 사용자 클라이언트(200)에 대한 인증 여부를 판단하여 그 결과에 따라 제 2 사용자 클라이언트(200)에 대한 인증을 수행하거나, 제 2 사용자 클라이언트(200)의 접속을 허용 또는 차단하거나, 또는 제 2 사용자 클라이언트(200)를 예외처리서버(500)로 접속시킨다.
인포서(300)는 EAPOL에 따라 제 2 사용자 클라이언트(200) 또는 제 2 LAN 접속 장치(210)와 EAP 데이터를 송수신하고, RADIUS 프로토콜에 따라 인증 서버(400)와 EAP 데이터를 송수신한다.
인증 서버(400)는 인포서(300)로부터 제 2 사용자 클라이언트(200)에 대한 인증 요청을 수신하고, 수신한 인증 요청에 응답하여 제 2 사용자 클라이언트(200)에 대한 인증을 수행하고, 인증 결과를 인포서(300)로 전송한다.
인증 서버(400)에 의해 인증을 성공한 경우, 인증 결과가 인포서(300)로 전송되고, 인증이 성공한 사용자 클라이언트의 MAC 주소는 인포서(300)의 데이터베이스에 저장된 MAC 주소 테이블에 저장될 수 있다.
예외처리서버(500)는 인증을 위해 필요한 에이전트(agent)를 제 2 사용자 클라이언트(200)에 제공하고, 인증을 위한 가이드를 제공할 수 있다. 또한, 권한이 없는 사용자 클라이언트가 접속을 시도하거나, 사용자 클라이언트가 차단을 요하는 웹 사이트 등에 접속을 시도하는 경우, 인포서(300)는 사용자 클라이언트를 예외처리서버(500)로 강제로 리라우팅(re-routing)시킨다.
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도이다.
본 발명의 일 실시예에 따른 인포서(300)는 데이터 수신부(310), 데이터 필터링부(320), EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350), 리라우팅부(360) 및 인증 관리부(370)를 포함한다.
데이터 수신부(310)는 외부 장치, 예를 들어 사용자 클라이언트(도시 생략), LAN 접속 장치(도시 생략) 또는 인증 서버(도시 생략)로부터 데이터를 수신하고, 수신한 데이터를 데이터 필터링부(320)로 전송한다. 데이터 수신부(310)는 EAPOL 또는 RADIUS 프로토콜뿐만 아니라 네크워크에 접속된 장치에서 전송된 다양한 프로토콜의 데이터를 수신할 수 있다.
데이터 필터링부(320)는 데이터 수신부(310)로부터 수신한 데이터를 분석하 고, 분석된 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340), 데이터 통과부(350) 또는 리라우팅부(360)로 스위칭하거나, 사용자 인증이 되지 않은 클라이언트의 데이터를 드롭(drop)시킨다.
데이터 필터링부(320)는 사용자 인증이 성공된 클라이언트의 MAC 주소를 포함하는 MAC 주소 테이블, 예외처리서버(500)로 전송되도록 설정된 특정 포트, 예를 들어 논리적인 포트인 TCP/IP 포트 등을 포함하는 포트(port) 테이블 및 트래픽을 관리하도록 설정된 MAC 주소를 포함하는 관리 MAC 주소 테이블을 저장할 수 있다.
수신한 데이터가 사용자 인증이 수행된 사용자 클라이언트로부터 수신된 경우, 데이터 필터링부(320)는 수신한 데이터를 데이터 통과부(350)로 전달(forward)한다.
예를 들어, 데이터를 전송한 사용자 클라이언트의 MAC 주소가 MAC 주소 테이블에 포함되어 있는 경우, 수신한 데이터를 데이터 통과부(350)로 바이패스시킬 수 있다.
또한, 데이터 필터링부(320)는, 수신한 데이터가 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신된 경우, 수신한 데이터를 EAPOL/RADIUS 변환부(330), RADIUS/EAPOL 변환부(340) 또는 리라우팅(re-routing)부(360) 중 하나로 스위칭하거나, 해당 데이터를 드롭시킬 수 있다.
만약, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 데이터를 수신한 경우, 데이터 필터링부(320)는 수신한 데이터가 EAP 데이터인지 여부를 판단할 수 있다.
수신한 데이터가 EAP 데이터인 경우, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330) 또는 RADIUS/EAPOL 변환부(340)로 전송한다.
IEEE802.1X 표준에 의해 정의된 것처럼, EAPOL(EAP over LAN)을 통해 데이터가 수신된 경우, EAP 데이터인지 여부의 식별은 수신한 데이터의 멀티캐스트(Multicast) 또는 유니캐스트(Unicast) 데이터 프레임 및 이더넷 유형(Ethernet Type)을 분석하여 결정될 수 있다.
예를 들어, 수신한 데이터의 수신지(destination) 주소가 0x0180c2000003 이거나 인포서(300)의 주소이고, 이더넷 유형(Ethernet type)이 0x888e, 즉 EAPOL 이거나 정의된 다른 값, 예를 들어 0x88c7, 즉 사전 인증(Pre Authentication)일 경우, 수신한 EAP 데이터는 EAPOL 값으로 간주되며, 데이터 필터링부(320)는 수신한 EAP 데이터를 EAPOL/RADIUS 변환부(330)로 전송한다.
또한, RADIUS를 통해 데이터가 수신된 경우, 수신한 데이터의 수신지가 인포서(300)이고, 수신한 데이터가 인증서버(400)로부터 수신된 경우, 데이터 필터링부(320)은 수신한 데이터를 EAP 데이터로 판단하고, 수신한 데이터를 RADIUS/EAPOL 변환부(340)로 전송한다.
데이터 필터링부(320)는, 사용자 인증이 수행되지 않은 사용자 클라이언트로부터 수신한 데이터가 포트(port) 테이블에 포함된 포트(port)로부터 수신되거나 특정 서비스를 요청하는 내용을 포함하는 경우, 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 전술한 바와 같이, 포트(port) 테이블은 TCP/IP 포트와 같은 논리적인 포트를 포함한다.
예를 들어, 수신한 데이터가 임의의 웹 페이지에 접속하기 위한 데이터인 경우, 데이터 필터링부(320)는 수신한 데이터를 리라우팅부(360)로 전송할 수 있다. 리라우팅부(360)의 구체적인 기술은 후술한다.
이처럼 데이터 필터링부(320)는 물리적인 포트(port)가 아니라 MAC 주소 테이블, 포트 테이블 및 관리 MAC 주소 테이블 등을 이용하여 수신한 데이터를 바이패스시키거나 스위칭시키거나 또는 드롭시키므로, 스위치 허브 포트의 수가 무제한인 것과 동일한 기능을 수행할 수 있다.
EAPOL/RADIUS 변환부(330)는 2 계층(layer 2)의 EAPOL을 통해 전송된 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 인증 서버(400)로 전송한다. 즉, EAPOL/RADIUS 변환부(330)는 EAPOL에 따라 수신된 EAP 데이터를 RADIUS 프로토콜에 따르도록 변환하고, 변환한 EAP 데이터를 인증 서버로 전송한다.
이처럼 사용자 클라이언트 또는 LAN 접속 장치에 의해 전송된 EAP 데이터는 EAPOL/RADIUS 변환부(330)에 의해 인증 서버(400)로 전송되어, 인증되지 않은 사용자 클라이언트에 대한 인증 또는 인증된 사용자에 대한 재인증이 수행될 수 있다.
인증 서버(400)에 의해 인증을 성공한 사용자 클라이언트의 MAC 주소는 전술한 MAC 주소 테이블에 저장될 수 있다.
RADIUS/EAPOL 변환부(340)는 인증 서버(400)로부터 EAP 데이터를 수신하고, 수신한 EAP 데이터를 변환하여 사용자 클라이언트 또는 LAN 접속 장치로 전송한다. 즉, RADIUS/EAPOL 변환부(340)는 RADIUS 프로토콜에 따라 수신된 EAP 데이터를 EAPOL 에 따르도록 변환하고, 변환한 EAP 데이터를 사용자 클라이언트로 전송한다.
데이터 통과부(350)는 데이터 필터링부(320)에 의해 인증된 클라이언트의 MAC 주소로부터 수신된 것으로 판단된 데이터를 데이터의 수신지로 전송되도록 통과시킨다.
리라우팅부(360)는 데이터 필터링부(320)로부터 수신한 데이터를 전송한 사용자 클라이언트(200)의 네트워크 트래픽(traffic)을 예외처리서버(500)로 전송한다. 예외처리서버(500)에 의해 사용자 클라이언트(200)는 EAPOL을 이용하기 위한 에이전트를 설치할 수 있고, 그 외의 경고나 가이드 메시지 등을 수신할 수 있다.
인증 관리부(370)는, 인증 서버(400)에 의해 사용자 클라이언트에 대한 인증이 성공한 경우, 인증된 사용자 클라이언트의 MAC 주소를 데이터 필터링부(320)에 저장된 MAC주소 테이블에 추가시킨다.
이처럼 인증 관리부(370)에 의해 사용자 인증이 성공한 MAC 주소가 MAC 주소 테이블에 추가되므로, 사용자 인증이 성공한 사용자 클라이언트는 이후에 별도의 인증 절차 없이도 네트워크에 접속할 수 있다.
도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도이다.
단계(S105)에서, 인포서는 사용자 클라이언트로부터 데이터를 수신한다. 인포서는 EAPOL을 포함하는 다양한 프로토콜의 데이터를 수신할 수 있다.
단계(S110)에서, 단계(S105)에서 수신한 데이터가 IP 주소의 할당을 요청하는 패킷인지 여부를 판단한다. 사용자 클라이언트의 IP 주소는 유동적으로 변경되는 유동 IP 주소일 수도 있으며, 이 경우 사용자 클라이언트는 IP 주소의 할당을 위하여 IP 주소 할당 요청 패킷을 DHCP(dynamic host configuration protocol, DHCP) 서버로 전송한다. 따라서, 단계(S105)에서 수신한 데이터가 이러한 IP 주소 할당 요청 패킷인지 여부를 판단한다.
단계(S115)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷인 것으로 판단된 경우, 수신한 IP 주소 할당 요청 패킷을 인포서에 포함된 DHCP 서버 또는 미리 설정된 DHCP 서버로 전송하거나, IP 주소 할당 요청 패킷에 설정된 수신지로 전송한다. 예를 들어, IP 주소 할당 요청 패킷이 BootP 패킷인 경우, BootP 패킷를 통과시켜 BootP 패킷의 수신지로 전송할 수 있다.
단계(S111)에서는, 단계(S105)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 획득하기 위한 DNS 요청 패킷인지 여부를 판단한다.
단계(S116)에서는, 단계(S111)에서 사용자 클라이언트로부터 수신한 데이터가 도메인 네임(domain name)의 IP 주소를 얻기 위한 DNS 요청 패킷인 것으로 판단된 경우, 수신한 DNS 요청 패킷을 통과시켜 DNS 서버로 전송한다. 이를 통해 사용자 클라이언트는 해당 DNS의 IP 주소를 획득할 수 있다.
단계(S120)에서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주소가 인포서에 저장된 MAC 주소 테이블에 존재하는지 여부를 판단한다. MAC 주소 테이블은 사용자 인증에 성공한 사용자 클라이언트의 MAC 주소를 포함한다. 따라서, 단계(S105)에서 수신한 데이터를 전송한 사용자 클라이언트의 MAC 주 소가 MAC 주소 테이블에 포함되었는지 판단하여 단계(S105)에서 수신한 데이터가 사용자 인증된 MAC 주소를 갖는 사용자 클라이언트로부터 전송되었는지, 여부를 판단할 수 있다.
단계(S125)에서는, 단계(S110)에서 사용자 클라이언트로부터 수신한 데이터가 IP 주소 할당 요청 패킷이 아닌 것으로 판단된 경우, 수신한 데이터가 관리 MAC 주소로부터 전송되었는지 여부를 판단한다.
인포서는 사용자 인증에 성공했더라도 트래픽을 차단하거나 예외처리서버나 검역소로 리라우팅되도록 설정된 관리 MAC 주소 테이블을 포함할 수 있으며, 이러한 관리 MAC 주소 테이블과 데이터를 전송한 MAC주소를 비교하여 수신한 데이터에 대한 차단 등의 여부를 판단할 수 있다.
단계(S130)에서는, 단계(S125)에서 관리 MAC 주소 테이블에 포함된 MAC주소로부터 데이터가 수신되지 않은 것으로 판단되는 경우, 인포서는 단계(S105)에서 수신한 데이터를 통과시켜, 데이터의 수신지(destination)로 전송한다.
전술한 바와 같이, MAC 주소 테이블에 포함된 MAC 주소는 사용자 인증이 성공한 MAC 주소이므로, 인포서는 수신한 데이터에 대하여 별도로 사용자 인증을 수행하지 않고, 데이터의 수신지로 전송한다.
단계(S135)에서는, 단계(S120)에서 MAC 주소 테이블에 포함되지 않은 MAC 주소로부터 데이터가 수신된 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신되었는지 여부를 판단한다.
사용자 클라이언트의 인증을 위한 EAP 데이터는 EAPOL을 통해 사용자 클라이 언트로부터 인포서로 수신된다. 따라서, 단계(S105)에서 수신한 데이터가 EAPOL을 통해 수신된 경우, 수신한 데이터는 사용자 클라이언트의 인증을 위한 EAP 데이터인 것으로 판단될 수 있다.
단계(S140)에서는, 단계(S135)에서 EAPOL을 통해 데이터가 수신된 것으로 판단된 경우, 인포서는 단계(S105)에서 수신한 데이터가 RADIUS 프로토콜에 따라 인증 서버로 전송될 수 있도록 데이터를 변환하고, 변환한 데이터를 인증 서버로 전송한다.
인증 서버는 인포서로부터 EAPOL/RADIUS 변환된 데이터를 수신하여 사용자 클라이언트에 대한 인증을 수행하고, 그 인증 결과를 인포서로 전송한다. 인증 서버에 의한 사용자 클라이언트의 인증이 성공한 경우, 인증을 성공한 사용자 클라이언트의 MAC 주소는 MAC 주소 테이블에 저장될 수 있다.
단계(S145)에서는, 단계(S135)에서 데이터가 EAPOL을 통해 수신되지 않은 것으로 판단되는 경우, 단계(S105)에서 수신한 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스, 예를 들어 웹 페이지에의 접속 등을 요청하는 내용을 포함하는지 여부를 판단한다.
단계(S150)에서는, 단계(S125)에서 데이터가 관리 MAC 주소로부터 전송된 것으로 판단된 경우 또는 단계(S145)에서 데이터가 특정 포트로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하는 것으로 판단된 경우 또는, 단계(S105)에서 수신한 데이터를 예외처리서버(도시 생략)로 리라우팅(re-routing)한다.
전술한 바와 같이, 리라우팅된 예외처리서버는 아직 사용자 인증을 수행하지 않은 클라이언트에 인증을 위해 필요한 에이전트(agent)를 설치하고, 인증을 위한 가이드를 제공할 수 있다.
또한, 사용자 인증이 되었더라도 소정의 이유, 예를 들어 불법 프로그램 설치 또는 바이러스 보유 등의 이유로 인해 차단 MAC 주소로 설정된 사용자 클라이언트에 대하여 경고 메시지 등을 전송하거나, 예외처리서버 혹은 검역소로 리라우팅시킬 수 있다.
단계(S155)에서는, 단계(S145)에서 데이터가 특정 프로토콜 또는 특정한 포트(port)로부터 전송되거나 특정 서비스를 요청하는 내용을 포함하지 않는 것으로 판단된 경우, 단계(S105)에서 수신한 데이터를 드롭(drop)시켜 차단한다.
전술한 바와 같이 본 발명의 일 실시예는 사용자 클라이언트의 IP 주소가 고정된 IP 주소인 경우뿐만 아니라, 유동적으로 변경되는 유동 IP 주소인 경우도 적용될 수 있다.
사용자 클라이언트의 IP 주소가 유동 IP 주소인 경우, 인포서는 동적 호스트 설정 통신 규약(dynamic host configuration protocol, DHCP) 서버를 포함하거나, 특정 DHCP 서버로 해당 데이터를 전송하도록 미리 설정될 수 있다.
한편, 전술한 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 2계층에서 동작하지만, LAN 연동 장치와 같이 사용자 클라이언트에 직접 연동되지 않으므로, 해당 사용자 클라이언트에 접속된 네트워크 케이블의 탈착 또는 실착을 판단할 수 없다.
따라서, 본 발명의 일 실시예에 따른 네트워크 접속 관리 시스템은 세션 타 임아웃(session timeout) 또는 아이들 타임아웃(idle timeout)을 통해 사용자 클라이언트에 대한 재인증을 수행하고, 재인증에 대한 응답이 없는 경우 사용자 클라이언트의 MAC 주소를 인포서의 데이터베이스에 저장된 MAC 주소 테이블로부터 삭제할 수 있다. 그리고 단계(S155)에 의해 드롭된 사용자 클라이언트나 단계(S150)에 의해 리라우팅된 사용자 클라이언트는 인포서가 해당 클라이언트의 MAC주소로 인증요청 하여 인증을 시도할 수 있다
전술한 본 발명의 일 실시예에서, EAP 데이터는 EAPOL(EAP over LAN)을 이용할 수 있으나, 다른 2 계층의 프로토콜이 사용될 수도 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들 의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 구성을 도시한 도면,
도 2는 종래 기술에 따른 구내 정보 통신망(local area network, LAN) 시스템의 프로토콜 연결을 도시한 도면,
도 3은 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 시스템의 구성을 도시한 도면,
도 4는 본 발명의 일 실시예에 따른 인포서의 구성을 도시한 블록도,
도 5는 본 발명의 일 실시예에 따른 사용자 인증에 기반한 네트워크 접속 관리 방법에서, 인포서에서의 EAP 데이터 처리의 흐름을 도시한 순서도.

Claims (10)

  1. 사용자 인증에 기반한 네트워크 접속을 관리하는 인포서(enforcer)에 있어서,
    사용자 인증이 성공된 MAC 주소를 포함하는 MAC 주소 테이블을 저장하고, 데이터를 전송한 장치의 MAC 주소가 상기 MAC 주소 테이블에 포함되는지 여부 및 상기 데이터가 EAP(extensible authentication protocol) 데이터인지 여부 중 적어도 하나를 판단하는 데이터 필터링부,
    상기 MAC 주소가 상기 MAC 주소 테이블에 포함된 경우, 상기 데이터를 상기 데이터의 수신지(destination)으로 전송하는 데이터 통과부,
    상기 데이터가 사용자 인증을 위한 EAP 데이터인 경우, 상기 EAP 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따라 변환하여 인증 서버로 전송하는 EAPOL/RADIUS 변환부 및
    상기 인증 서버에 의해 인증이 성공한 경우에 상기 사용자 인증을 요청한 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 인증 관리부
    를 포함하고,
    상기 EAP 데이터는 2 계층(layer 2)의 프로토콜을 사용하여 전송되는 네트워크 접속을 관리하는 인포서.
  2. 제 1 항에 있어서,
    상기 데이터 필터링부는 미리 설정된 포트(port)를 포함하는 포트 테이블을 저장하고, 상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신하는지 여부를 판단하며,
    상기 인포서는,
    상기 포트 테이블에 포함되는 포트로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 리라우팅부
    를 더 포함하고,
    상기 데이터는 상기 MAC 주소 테이블에 저장되지 않은 MAC 주소로부터 수신하는 네트워크 접속을 관리하는 인포서.
  3. 제 1 항에 있어서,
    상기 데이터 필터링부는 사용자 인증된 MAC 주소 중 관리 대상이 되는 관리 MAC 주소를 저장하고, 상기 관리 MAC 주소 테이블에 포함되는 MAC 주소로부터 상기 데이터를 수신하는지 여부를 판단하며,
    상기 인포서는,
    상기 관리 MAC 주소로부터 상기 데이터를 수신한 경우, 상기 클라이언트를 예외처리서버로 리라우팅하는 리라우팅(re-routing)부
    를 더 포함하는 네트워크 접속을 관리하는 인포서.
  4. 제 2 항 또는 제 3 항에 있어서,
    상기 예외처리서버는 상기 사용자 클라이언트에 사용자 인증을 위한 에이전트(agent)의 설치를 제공하는 것인 네트워크 접속을 관리하는 인포서.
  5. 사용자 클라이언트와 LAN 접속 장치 사이에 배치된 인포서를 이용하여 사용자 인증에 기반한 네트워크 접속을 관리하는 방법에 있어서,
    사용자 인증에 성공한 사용자 클라이언트의 MAC 주소 테이블을 상기 인포서에 저장하는 단계,
    사용자 클라이언트로부터 데이터를 수신하는 단계,
    상기 데이터가 2계층의 EAP 데이터인 경우, 상기 데이터를 RADIUS(remote authentication dial in user service) 프로토콜에 따른 데이터로 변환하고, 상기 변환한 데이터를 사용자 인증을 수행하는 인증 서버로 전송하는 단계,
    상기 인증 서버를 이용하여 사용자 인증이 성공한 경우, 상기 사용자 클라이언트의 MAC 주소를 상기 MAC 주소 테이블에 추가하는 단계 및
    상기 데이터가 상기 MAC 주소 테이블에 저장된 MAC 주소를 가진 사용자 클라이언트로부터 수신된 경우, 상기 데이터를 통과시켜 상기 LAN 접속 장치에 제공하는 단계
    를 포함하는 네트워크 접속 관리 방법.
  6. 제 5 항에 있어서,
    상기 데이터가 미리 설정된 포트(port)로부터 수신된 경우, 상기 사용자 클라이언트를 예외처리서버로 리라우팅(re-routing)하는 단계
    를 더 포함하고,
    상기 예외처리서버는 상기 사용자 클라이언트에 인증을 위한 에이전트(agent)의 설치를 제공하는 네트워크 접속 관리 방법.
  7. 제 5 항에 있어서,
    상기 사용자 클라이언트로부터 IP 주소 할당과 관련된 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계
    를 더 포함하는 네트워크 접속 관리 방법.
  8. 제 5 항에 있어서,
    상기 사용자 클라이언트로부터 도메인 네임에 대응하는 IP 주소를 요청하는 패킷을 수신한 경우, 상기 패킷을 통과시키는 단계
    를 더 포함하는 네트워크 접속 관리 방법.
  9. 사용자 인증에 기반한 네트워크 접속 관리 시스템에 있어서,
    사용자 클라이언트와 LAN 접속 장치 사이에 배치되며, 상기 사용자 클라이언트로부터 수신한 데이터 중 2 계층(layer 2)의 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 RADIUS 프로토콜에 따라 변환하는 인포서,
    상기 인포서로부터 상기 RADIUS 프로토콜에 따른 EAP 데이터를 수신하고, 상기 수신한 EAP 데이터를 이용하여 상기 사용자 클라이언트에 대해 인증을 수행하는 인증 서버
    를 포함하고,
    상기 인포서는 상기 인증 서버에 의해 사용자 인증이 성공한 클라이언트의 MAC 주소를 MAC 주소 테이블에 저장하고, 상기 MAC 주소 테이블에 기초하여 상기 LAN 접속 장치로의 데이터 통과 여부를 결정하는 것인 네트워크 접속 관리 시스템.
  10. 제 9 항에 있어서,
    상기 인포서에 의해 라우팅되며, 사용자 클라이언트에 설치되는 사용자 인증용 에이전트를 제공하는 예외처리서버
    를 더 포함하는 네트워크 접속 관리 시스템.
KR1020080115080A 2008-11-19 2008-11-19 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 KR100904215B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080115080A KR100904215B1 (ko) 2008-11-19 2008-11-19 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080115080A KR100904215B1 (ko) 2008-11-19 2008-11-19 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100904215B1 true KR100904215B1 (ko) 2009-06-25

Family

ID=40983074

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080115080A KR100904215B1 (ko) 2008-11-19 2008-11-19 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100904215B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592037A (zh) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 一种mac地址认证方法和装置
KR20160059825A (ko) * 2014-11-19 2016-05-27 닉스테크 주식회사 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
KR20190030714A (ko) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (ko) * 2001-12-22 2003-06-28 주식회사 케이티 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
KR20070076327A (ko) * 2006-01-18 2007-07-24 삼성전자주식회사 와이브로 시스템을 이용하여 무선랜 서비스를 제공하기위한 연동 시스템 및 그 제어방법
KR20070078212A (ko) * 2006-01-26 2007-07-31 주식회사 케이티 공중 무선랜에서의 다중 모드 접속 인증 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (ko) * 2001-12-22 2003-06-28 주식회사 케이티 공중 무선랜 서비스를 위한 망접속 및 서비스 등록 방법
KR20070076327A (ko) * 2006-01-18 2007-07-24 삼성전자주식회사 와이브로 시스템을 이용하여 무선랜 서비스를 제공하기위한 연동 시스템 및 그 제어방법
KR20070078212A (ko) * 2006-01-26 2007-07-31 주식회사 케이티 공중 무선랜에서의 다중 모드 접속 인증 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160059825A (ko) * 2014-11-19 2016-05-27 닉스테크 주식회사 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
KR101628534B1 (ko) * 2014-11-19 2016-06-08 닉스테크 주식회사 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
CN105592037A (zh) * 2015-07-10 2016-05-18 杭州华三通信技术有限公司 一种mac地址认证方法和装置
CN105592037B (zh) * 2015-07-10 2019-03-15 新华三技术有限公司 一种mac地址认证方法和装置
KR20190030714A (ko) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
KR102140521B1 (ko) 2016-07-15 2020-08-03 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
KR20200093086A (ko) * 2016-07-15 2020-08-04 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
KR102193511B1 (ko) 2016-07-15 2020-12-21 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US11153751B2 (en) 2016-07-15 2021-10-19 Nec Corporation Communication system, subscriber-information management apparatus, information acquisition method, non-transitory computer-readable medium, and communication terminal

Similar Documents

Publication Publication Date Title
US10630725B2 (en) Identity-based internet protocol networking
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
US8650610B2 (en) Systems and methods of controlling network access
US9112909B2 (en) User and device authentication in broadband networks
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US7389534B1 (en) Method and apparatus for establishing virtual private network tunnels in a wireless network
US7735114B2 (en) Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US8117639B2 (en) System and method for providing access control
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2009538478A5 (ko)
US20160352731A1 (en) Network access control at controller
WO2010003354A1 (zh) 认证服务器及虚拟专用网的移动通信终端接入控制方法
US8627423B2 (en) Authorizing remote access points
KR100904215B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
CN101867579B (zh) 一种用户网络访问权限切换方法及其装置
WO2010040309A1 (zh) 一种接入方法、网络***和装置
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
KR100888979B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
CN101170566A (zh) 一种多域认证方法及***
Cisco Configuring Network Security
Cisco Configuring Network Security
JP5622088B2 (ja) 認証システム、認証方法
He-Hua et al. Study of Network Access Control System Featuring Collaboratively Interacting Network Security Components

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130410

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140626

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150616

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170310

Year of fee payment: 8

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20170411

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180420

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190507

Year of fee payment: 11