[go: up one dir, main page]

KR20090024409A - Internal network security system and method - Google Patents

Internal network security system and method Download PDF

Info

Publication number
KR20090024409A
KR20090024409A KR1020070089410A KR20070089410A KR20090024409A KR 20090024409 A KR20090024409 A KR 20090024409A KR 1020070089410 A KR1020070089410 A KR 1020070089410A KR 20070089410 A KR20070089410 A KR 20070089410A KR 20090024409 A KR20090024409 A KR 20090024409A
Authority
KR
South Korea
Prior art keywords
user terminal
network
security policy
authentication server
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020070089410A
Other languages
Korean (ko)
Inventor
이상준
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020070089410A priority Critical patent/KR20090024409A/en
Publication of KR20090024409A publication Critical patent/KR20090024409A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 IEEE 802.1x 기반의 네트워크 보안시스템 및 네트워크 보안방법에 관한 것으로, 본 발명에 따르면, 접속을 시도하는 요구자를 인증자에서 우회시켜 인증서버그룹으로 연결시킨 후, 인증서버그룹에서 요구자로 요구되는 보안정책을 보내고, 인증서버그룹으로부터 요구되는 보안정책을 접수한 요구자에서 요구되는 보안정책을 실행시킴으로써 요구자가 네트워크와 연결되거나 네트워크와 격리된 후 쿼런틴존으로 연결되게 함으로써, IEEE 802.1x 기반의 네트워크 기반의 변경 없이 적용될 수 있는 보안기술을 제공한다.The present invention relates to an IEEE 802.1x-based network security system and a network security method. According to the present invention, a requester who attempts to access a connection is bypassed from an authenticator and connected to an authentication server group, and then requested from the authentication server group. IEEE 802.1x-based network by sending request security policy and executing request security policy from requester who received the required security policy from authentication server group, and requestor connected to network or quarantine zone after being isolated from network It provides security technology that can be applied without changing the foundation.

Description

내부 네트워크 보안시스템 및 방법{AN INTERNAL NETWORK SECURITY SYSTEM AND A METHOD THEREOF}Internal network security system and method {AN INTERNAL NETWORK SECURITY SYSTEM AND A METHOD THEREOF}

본 발명은 내부 네트워크 보안시스템 및 보안방법에 관한 것이다.The present invention relates to an internal network security system and a security method.

갈수록 각종 바이러스들에 의한 네트워크 공격이 점차적으로 더 정교해짐에 따라 기존과 같이 일일이 수동조작을 통해 시스템에 대한 적절한 보안상태를 보장하는 것이 점점 더 어려워지고 있다. 이러한 이유로 인하여 최신의 백신프로그램이나 운영체제 패치 정책을 따른 신뢰성 높은 엔드포인트(end-point) 장치(PC, 각종 서버, PDA 등)에만 네트워크 엑세스를 허용하는 NAC(Network Access Control) 기술이 개발되어지게 되었다.As network attacks by various viruses gradually become more sophisticated, it is increasingly difficult to ensure the proper security state of the system through manual operation as before. For this reason, NAC (Network Access Control) technology has been developed to allow network access only to reliable end-point devices (PCs, servers, PDAs, etc.) following the latest antivirus program or operating system patch policy. .

따라서 본 발명의 출원인은 IEEE 802.1x 기반의 네트워크 인증시스템에서 NAC 기술을 적용할 수 있는 대한민국 특허출원 출원번호 10-2007-0089380호(발명의 명칭 : IEEE 802.1x 기반의 네트워크 보안시스템 및 보안방법)를 제시였다.Therefore, the applicant of the present invention, Korean Patent Application No. 10-2007-0089380 that can apply the NAC technology in the IEEE 802.1x-based network authentication system (name of the invention: IEEE 802.1x-based network security system and security method) Was presented.

그런데 위 제안된 발명은 스위치가 IEEE 802.1x를 지원하는 경우에만 적용될 수 있기 때문에 스위치가 IEEE 802.1x를 지원하지 않는 경우에도 NAC기술을 적용할 필요성이 요구된다.However, since the proposed invention can be applied only when the switch supports IEEE 802.1x, it is required to apply NAC technology even when the switch does not support IEEE 802.1x.

본 발명은, 상기한 필요성들에 의해 안출된 것으로, IEEE 802.1x를 지원하지 않는 스위칭시스템을 가지는 내부 네트워크에서 사용자단말기의 보안정책 준수 여부에 따라 사용자단말기를 네트워크에 연결시키거나 격리시킬 수 있는 기술을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made by the above-mentioned necessities, and is a technology capable of connecting or isolating a user terminal to a network according to whether a user terminal complies with security policy in an internal network having a switching system that does not support IEEE 802.1x. The purpose is to provide.

상기한 목적을 달성하기 위한 본 발명에 따른 내부 네트워크 보안시스템은, 종단의 스위치를 통해 네트워크에 접속될 수 있으며, 보안정책 실행프로그램이 탑재된 사용자단말기; 상기 사용자단말기와 네트워크를 통해 연결되며, 네트워크 접속을 시도하는 상기 사용자단말기를 인증하는 한편 상기 사용자단말기로 적어도 하나 이상의 보안정책을 보내는 인증서버그룹; 및 상기 사용자단말기가 네트워크 접속을 시도하면, 상기 사용자단말기로부터 오는 패킷을 네크워크로부터 차단시키고, 상기 사용자단말기를 상기 인증서버그룹으로 연결시키는 인포서; 를 포함하며, 상기 사용자단말기는 상기 인증서버그룹으로부터 상기 적어도 하나 이상의 보안정책이 접수되면, 상기 보안정책 실행프로그램을 가동하여 상기 적어도 하나 이상의 보안정책을 실행함으로써 상기 종단의 스위치를 통해 네트워크와 연결 또는 연결을 지속하거나 네트워크와 격리되는 것을 특징으로 한다.Internal network security system according to the present invention for achieving the above object, the user terminal which can be connected to the network through the switch of the end, the security policy execution program is mounted; An authentication server group connected to the user terminal through a network, wherein the authentication server group authenticates the user terminal attempting to access the network and sends at least one security policy to the user terminal; And an informationr for blocking a packet from the user terminal from a network and connecting the user terminal to the authentication server group when the user terminal attempts to access a network. If the at least one security policy is received from the authentication server group, the user terminal may be connected to a network through a switch of the terminal by executing the at least one security policy by executing the security policy execution program. The connection is either persistent or isolated from the network.

상기 인증서버그룹은, 상기 종단의 스위치를 통해 네트워크 접속을 시도하는 상기 사용자단말기를 인증하는 인증서버; 상기 사용자단말기로 보내기 위한 상기 적어도 하나 이상의 보안정책을 저장하고 있으며, 상기 종단의 스위치를 통해 네트워크 접속을 시도하거나 주기적인 설정 시간마다 상기 사용자단말기로 상기 적어도 하나 이상의 보안정책을 보내는 보안정책서버; 를 포함하는 것을 또 하나의 특징으로 한다.The authentication server group may include: an authentication server authenticating the user terminal that attempts to access a network through a switch of the end; A security policy server storing the at least one security policy for sending to the user terminal, and attempting to connect to a network through the switch of the terminal or sending the at least one security policy to the user terminal at periodic set times; It is another feature to include a.

상기 인증서버그룹은, 상기 적어도 하나 이상의 보안정책에서 요구되는 백신프로그램을 제공하는 백신서버; 및 상기 적어도 하나 이상의 보안정책에서 요구되는 패치프로그램을 제공하는 패치서버; 를 더 포함하는 것을 또 하나의 특징으로 한다.The authentication server group may include a vaccine server for providing a vaccine program required by the at least one security policy; And a patch server providing a patch program required by the at least one security policy. It is characterized by another comprising a further.

또한, 상기한 목적을 달성하기 위한 본 발명에 따른 내부 네트워크 보안방법은, 접속을 시도하는 사용자단말기로부터 오는 패킷을 네트워크로부터 차단시키고 상기 사용자단말기를 인증서버그룹에 연결시키는 A단계; 네트워크 접속을 시도하는 상기 사용자단말기에 대한 인증을 실시하고, 상기 A단계에서 상기 인증서버그룹에 연결된 사용자단말기로 요구되는 적어도 하나 이상의 보안정책을 보내는 B단계; 상기 B단계를 통해 상기 적어도 하나 이상의 보안정책을 접수한 상기 사용자단말기가 보안정책을 실행시키는 C단계; 및 상기 C단계에서 실행된 보안정책에 따라 상기 사용자단말기를 네트워크에 연결시키거나 네트워크로부터 격리시키는 D단계; 를 포함하는 것을 특징으로 한다.In addition, the internal network security method according to the present invention for achieving the above object, A step of blocking a packet from the user terminal attempting to access from the network and connecting the user terminal to the authentication server group; Step B for authenticating the user terminal attempting to access a network and sending at least one security policy required by the user terminal connected to the authentication server group in step A; Step C of the user terminal receiving the at least one security policy through step B to execute a security policy; And a step D of connecting the user terminal to the network or isolating the network according to the security policy executed in the step C; Characterized in that it comprises a.

상기 사용자단말기가 상기 인증서버그룹으로 보안정책에 따른 프로그램을 요청하는 E단계; 상기 E단계에 요청된 프로그램을 상기 인증서버그룹이 상기 사용자 단말기에게 전송하는 F단계; 상기 F단계를 통해 프로그램을 접수한 상기 사용자단말기가 접수된 프로그램을 설치하는 G단계; 및 상기 G단계를 통해 프로그램이 설치되면 네트워크 연결을 시도하는 H단계; 를 더 포함하는 것을 또 하나의 특징으로 한다.Step E, wherein the user terminal requests a program according to a security policy to the authentication server group; Step F, wherein the authentication server group transmits the program requested in step E to the user terminal; Step G of installing the program received by the user terminal that received the program through step F; And step H for attempting a network connection if the program is installed through step G. It is characterized by another comprising a further.

상기 C단계에서 실행된 보안정책에 따라 상기 사용자단말기를 네트워크로부터 격리시키는 경우에도 상기 사용자단말기가 쿼런틴존에는 연결되도록 하는 것을 또 하나의 특징으로 한다.According to another aspect of the present invention, even when the user terminal is isolated from the network according to the security policy executed in the step C, the user terminal is connected to the quarantine zone.

상기한 바와 같은 본 발명에 따르면, IEEE 802.1x 기반의 인증시스템을 지원하지 않는 네트워크에서도 인포서를 구비시켜 네트워크 접속을 시도하는 사용자단말기를 네트워크와 차단시킨 후 인증서버그룹으로 연결하여 인증서버그룹으로부터 인증을 받도록 하는 한편, 인증서버그룹으로부터 사용자단말기로 보안정책을 보내도록 함으로써 사용자단말기가 독립적인 보안정책을 실행케 하는 방법을 통하여 NAC기술을 구현시킬 수 있는 효과가 있다.According to the present invention as described above, even in a network that does not support the IEEE 802.1x-based authentication system, by providing an information sheet to block the user terminal attempting to access the network from the network and connected to the authentication server group authentication from the authentication server group On the other hand, by sending the security policy from the authentication server group to the user terminal, there is an effect that can implement the NAC technology through a method that allows the user terminal to execute an independent security policy.

이하에서는 상기한 바와 같은 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.Hereinafter, with reference to the accompanying drawings a preferred embodiment according to the present invention as described above.

도1은 본 발명에 따른 내부 네트워크 보안시스템에 대한 구성도이다.1 is a block diagram of an internal network security system according to the present invention.

도1에서 참조되는 바와 같이, 본 발명의 실시예에 따른 내부 네트워크 보안시스템은, 다수의 사용자단말기(210), 다수의 종단 스위치(220), 다수의 중단 스위 치(230), 백본스위치(240), 인증서버그룹(250) 및 인포서(260) 등을 포함하여 구성된다.As shown in Figure 1, the internal network security system according to an embodiment of the present invention, a plurality of user terminals 210, a plurality of end switches 220, a plurality of interrupt switch 230, a backbone switch 240 ), The authentication server group 250 and the informationr 260 and the like.

사용자단말기(210)는 사용자에 의해 조작되는 개인용 유선 또는 무선 컴퓨터(내부 네트워크에 접속 가능한 모든 통신장치를 포함한다)이며, 네트워크에 접속되기 위해서는 인증서버그룹(250)으로부터 인증을 받아야만 한다. 이러한 사용자단말기(210)에는 요구되는 정책을 실행시키기 위한 보안정책 실행프로그램이 탑재되어 있어서 인증서버그룹(250)으로부터 요구되는 보안정책을 접수하게 되면, 보안정책 실행프로그램이 동작하여 요구된 보안정책을 실행함으로써 종단 스위치(220)를 통해 네트워크와 연결 또는 연결이 지속되거나 네트워크와 격리된 후 쿼런틴존(Quarantine zone)으로 연결된다.The user terminal 210 is a personal wired or wireless computer (including all communication devices accessible to an internal network) operated by a user, and must be authenticated by the authentication server group 250 to be connected to the network. The user terminal 210 is equipped with a security policy execution program for executing the required policy, and upon receiving the required security policy from the authentication server group 250, the security policy execution program is operated to execute the required security policy. By executing the connection or connection to the network through the termination switch 220 is continued or isolated from the network is connected to the quarantine zone (Quarantine zone).

종단 스위치(220)는 복수의 사용자단말기(210)와 연결되며 사용자단말기(210)를 네트워크와 연결시키는 역할을 수행한다.The termination switch 220 is connected to the plurality of user terminals 210 and serves to connect the user terminal 210 with the network.

중단 스위치(230)는 복수의 종단 스위치(220)와 연결되어 있으며, 사용자단말기(210)의 네트워크경로를 설정한다.The stop switch 230 is connected to the plurality of termination switches 220 and sets a network path of the user terminal 210.

백본스위치(240)는 복수의 중단 스위치(230)와 연결되는 가장 상위단의 스위치로서 사용자단말기(210)는 백본스위치(240)를 통해 백본스위치(240)의 하위단에 있는 다른 사용자단말기(210)나 각종 네트워크 장비에 연결되거나 케이트웨이(G/W)를 통해 인터넷(INTERNET)에 연결되게 된다. 물론 네트워크 장비에는 정보 또는 서비스를 제공하기 위한 다수의 서버들이 구비될 수 있으며, 사용자단말기(210)는 백본스위치(240)를 통해 그러한 다수의 서버들과 연결될 수 있다.The backbone switch 240 is the uppermost switch connected to the plurality of stop switches 230, and the user terminal 210 is connected to another user terminal 210 at the lower end of the backbone switch 240 through the backbone switch 240. ) Or various network equipment or through the gateway (G / W) to the Internet (INTERNET). Of course, the network equipment may be provided with a plurality of servers for providing information or services, and the user terminal 210 may be connected with such a plurality of servers through the backbone switch 240.

참고로 본 실시예에서는 종단 스위치(220), 중단 스위치(230) 및 백본스위치(240)로 내부 네트워크의 스위칭시스템을 구성시키고 있지만, 더 많은 스위치 계층을 가지도록 구현될 수도 있다.For reference, in the present embodiment, the termination switch 220, the stop switch 230, and the backbone switch 240 constitute a switching system of the internal network, but may be implemented to have more switch layers.

인증서버그룹(250)은 사용자단말기(210)를 인증하고, 접속된 사용자단말기(210)로 요구되는 보안정책을 보내는 역할을 수행한다. 여기서 보안정책은, 사용자단말기(210)에 필요한 백신프로그램의 설치여부에 따른 네트워크 접속여부, 사용자단말기(210)에 필요한 패치프로그램의 설치여부에 따른 네트워크 접속여부 등일 수 있다. 이러한 인증서버그룹(250)은 인증서버(251), 정책서버(252), 백신서버(253), 패치서버(254), DHCP서버(255) 등을 포함하여 구성된다.The authentication server group 250 authenticates the user terminal 210 and transmits the security policy required to the connected user terminal 210. In this case, the security policy may be a network connection according to whether the antivirus program required for the user terminal 210 is installed, a network connection whether or not depending on whether the patch program required for the user terminal 210 is installed. The authentication server group 250 includes an authentication server 251, a policy server 252, an antivirus server 253, a patch server 254, a DHCP server 255, and the like.

인증서버(251)는 네트워크접속을 시도하는 사용자단말기(210, 사용자)에 대한 인증을 수행한다.The authentication server 251 performs authentication for the user terminal 210 (user) attempting to access the network.

정책서버(252)는 인증된 사용자단말기(210)로 현재의 보안정책을 보내는 역할을 수행한다. 이러한 정책서버(252)는 네트워크의 최초 접속을 시도하는 사용자단말기(210)로 현재의 보안정책을 보내기도 하지만 네트워크에 연결된 사용자단말기(210)로 보안정책을 주기적으로 보내기도 한다.The policy server 252 sends a current security policy to the authenticated user terminal 210. The policy server 252 sends the current security policy to the user terminal 210 attempting to access the network for the first time, but periodically sends the security policy to the user terminal 210 connected to the network.

백신서버(253)는 보안정책에서 요구되는 백신프로그램들을 저장하고 있으며, 사용자단말기(210)의 요청에 의해 백신프로그램을 보내는 역할을 수행한다.The vaccine server 253 stores the vaccine programs required by the security policy, and sends a vaccine program at the request of the user terminal 210.

패치서버(254)는 보안정책에서 요구되는 패치프로그램을 저장하고 있으며, 사용자단말기(210)의 요청에 의해 백신프로그램을 보내는 역할을 수행한다.The patch server 254 stores a patch program required by the security policy, and sends a vaccine program at the request of the user terminal 210.

본 실시예에서는 백신서버(253) 및 패치서버(254)가 인증서버그룹(250)에 통 합적으로 구성되고 있지만, 실시하기에 따라서는 별도의 쿼런틴존(격리영역)에 위치되도록 구현될 수도 있다.In the present embodiment, the vaccine server 253 and the patch server 254 are integrally configured in the authentication server group 250, but may be implemented to be located in a separate quarantine zone (isolation zone) according to the implementation. .

DHCP서버(255)는 사용자의 IP를 관리하는 역할을 수행한다.The DHCP server 255 manages the user's IP.

그리고 인포서(260)는 사용자단말기(210)를 네트워크에 연결하는 종단 스위치(220)의 후단에 구비되어 있으며, 사용자단말기(210)가 네트워크 접속을 시도하는 경우, 사용자단말기(210)로부터 오는 패킷을 네트워크와 차단한 후 사용자단말기(210)를 인증서버그룹(250)으로 연결시킨다. 본 실시예에 따른 도1에서는 종단 스위치(220)의 후단에 인포서(260)가 구비되는 것으로 도시되고 있지만, 인포서(260)는 사용자단말기(210)와 네트워크 간의 임의의 연결 경로 상에 구비될 수 있으며, 실시하기에 따라서는 종단 스위치(220)의 내부에 구비될 수도 있을 것이다. In addition, the informationr 260 is provided at the rear end of the termination switch 220 connecting the user terminal 210 to the network. When the user terminal 210 attempts to access the network, the packet comes from the user terminal 210. After blocking the network with the user terminal 210 is connected to the authentication server group (250). In FIG. 1 according to the present exemplary embodiment, an infor 260 is illustrated at a rear end of the termination switch 220, but the infor 260 is provided on an arbitrary connection path between the user terminal 210 and the network. In some embodiments, the terminal switch 220 may be provided in the terminal switch 220.

상기와 같이 구성되는 본 발명의 실시예에 따른 내부 네트워크 보안시스템에서 이루어지는 네트워크 보안방법에 대하여 도3을 참조하여 설명하되, 편의상 순서를 붙여 설명한다.A network security method performed in an internal network security system according to an embodiment of the present invention configured as described above will be described with reference to FIG.

1. 인증서버그룹에 연결<S301>1.Connect to the authentication server group <S301>

사용자단말기(210)가 종단 스위치(220)를 경유하여 네트워크 접속을 시도하면 인포서(260)는 사용자단말기(210)로부터 오는 패킷을 네트워크로부터 차단시킨 후, 사용자단말기(210)를 인증서버그룹(250)으로 연결시킨다.When the user terminal 210 attempts to connect to the network via the termination switch 220, the informationr 260 blocks the packet coming from the user terminal 210 from the network, and then terminates the user terminal 210 in the authentication server group ( 250).

2. 인증 및 보안정책 전송<S302>2. Authentication and Security Policy Transfer <S302>

사용자단말기(210)가 네크워크 접속을 시도하면, 인증서버그룹(250)의 인증 서버(251)는 사용자단말기(210)가 적절한 사용자인지를 인증(ID 등의 비교를 통해 인증할 수 있음)하고, 정책서버(252)는 인증된 사용자단말기(210)로 사용자단말기(210)가 네트워크에 접속되기 위해 요구되어지는 보안정책을 전송한다.When the user terminal 210 attempts to access the network, the authentication server 251 of the authentication server group 250 authenticates whether the user terminal 210 is an appropriate user (which can be authenticated by comparing IDs), The policy server 252 transmits the security policy required for the user terminal 210 to access the network to the authenticated user terminal 210.

여기서 보안정책 전송은 사용자단말기(210)의 네트워크 최초 접속 요구 시 뿐만 아니라 네트워크에 접속되어 있는 경우에도 설정된 시간에 따라 주기적으로 이루어진다.In this case, the security policy transmission is periodically performed according to a set time even when the user terminal 210 requests a network initial connection as well as when connected to the network.

3. 보안정책 실행<S303>3. Execution of security policy <S303>

인증서버그룹(250)으로부터 보안정책을 접수한 사용자단말기(210)는 탑재된 보안정책 실행프로그램을 가동시켜 보안정책을 실행시킨다.The user terminal 210 that receives the security policy from the authentication server group 250 executes the loaded security policy execution program to execute the security policy.

4. 네트워크 연결 및 차단<S304>4. Network connection and blocking <S304>

사용자단말기(210)는 탑재된 보안정책 실행프로그램의 가동에 의해 보안정책이 실행됨에 따라 네트워크에 연결되거나 네트워크로부터 격리된 후 쿼런틴존으로 연결된다. 여기서 사용자단말기(210)가 네트워크에 연결된 상태인 경우에는 주기적으로 인증서버그룹(250)으로부터 수신되는 보안정책의 실행에 따라 네트워크에 지속적으로 연결되거나 그 연결이 차단된 후 쿼런틴존으로만 연결되게 된다.The user terminal 210 is connected to the network or quarantined after being isolated from the network as the security policy is executed by the operation of the mounted security policy execution program. In this case, when the user terminal 210 is connected to the network, the user terminal 210 is periodically connected to the network according to the execution of the security policy received from the authentication server group 250 or after the connection is blocked. .

위와 같은 과정을 구체적인 예를 들어 설명하면, 인포서(260)는 네트워크 접속을 시도하는 사용자단말기(210)로부터 오는 패킷을 네트워크로부터 차단한 후 사용자단말기(210)를 인증서버그룹(250)으로 연결시킨다. 그러면, 인증서버그룹(250)은 네트워크 접속을 시도하는 사용자단말기(210)의 인증을 수행하는 한편, 연결된 사용자단말기(210)로 네트워크에 접속되기 위하여 설치가 요구되는 특정 백신프로 그램 및 특정 패치프로그램의 설치여부에 따라 네트워크로 접속하거나 격리되라는 보안정책을 사용자단말기(210)로 보내게 된다. 계속하여 인증서버그룹(250)으로부터 보안정책을 접수한 사용자단말기(210)는 접수된 보안정책에 따라 자신에게 특정 백신프로그램이 설치되어 있는가와 특정 패치프로그램이 설치되어 있는 가를 확인한 후, 자신에게 특정 백신프로그램 및 패치프로그램이 설치되어 있으면 종단 스위치(220)를 통해 네트워크에 연결되고, 자신에게 특정 백신프로그램 및 패치프로그램 중 어느 하나라도 설치되어 있지 않으면 네트워크로부터 자신을 격리시킨 후 도3에서 참조되는 바와 같이 쿼런틴존으로만 연결된다. 참고로 도3은 사용자단말기(210)가 보안정책을 실행한 후 요구되는 백신프로그램이나 패치프로그램 등이 없을 경우 차단되는 차단존과 연결되는 쿼런틴존을 점선으로 구분하여 놓았다.Referring to the above process with a specific example, the informationr 260 blocks the packet from the user terminal 210 attempting to access the network from the network and then connects the user terminal 210 to the authentication server group 250. Let's do it. Then, the authentication server group 250 performs the authentication of the user terminal 210 attempting to access the network, while the specific vaccine program and the specific patch program required to be installed in order to connect to the network with the connected user terminal 210. The security policy to connect to the network or to be isolated according to the installation of the will be sent to the user terminal (210). After receiving the security policy from the authentication server group 250, the user terminal 210 checks whether a specific vaccine program is installed and whether a specific patch program is installed according to the received security policy, If a vaccine program and a patch program are installed, the terminal is connected to the network through the switch 220. If one of the specific vaccine programs and the patch program is not installed on the network, it is isolated from the network and then referred to in FIG. Likewise, only the qurantin zone is connected. For reference, in FIG. 3, the user terminal 210 divides the quarantine zone connected with the blocking zone that is blocked when there is no vaccine program or patch program required after executing the security policy, and dotted lines.

5. 백신프로그램 및 패치프로그램 요청<S305>5. Vaccine program and patch program request <S305>

사용자단말기(210)가 보안정책을 실행한 결과 요구된 특정 백신프로그램이나 패치프로그램 등이 없으면, 쿼런틴존에 존재하는 백신서버(253) 및 패치서버(254)(본 실시예에서는 인증서버그룹에 백신서버 및 패치서버가 통합적으로 구성되어 있다)로 특정 백신프로그램이나 패치프로그램을 요청한다.If the user terminal 210 executes the security policy and there is no specific vaccine program or patch program required, the vaccine server 253 and the patch server 254 existing in the quarantine zone (in this embodiment, the vaccine is in the authentication server group). Server and patch server are integrated) to request a specific antivirus or patch program.

6. 백신프로그램 및 패치프로그램 전송<S306>6. Vaccine program and patch program transmission <S306>

사용자단말기(210)로부터 백신프로그램 및 패치프로그램을 요청받은 백신서버(253) 및 패치서버(254)는 요청된 백신프로그램 및 패치프로그램을 검색하여 사용자단말기(210)로 전송한다.The vaccine server 253 and the patch server 254, which have received the vaccine program and the patch program from the user terminal 210, search for the requested vaccine program and the patch program and transmit the requested vaccine program and the patch program to the user terminal 210.

7. 백신프로그램 및 패치프로그램 설치<S307>7. Install antivirus and patch program <S307>

사용자단말기(210)는 백신서버(253) 및 패치서버(254)로부터 백신프로그램 및 패치프로그램을 수신하면, 해당 백신프로그램 및 패치프로그램을 설치하게 된다.When the user terminal 210 receives the vaccine program and the patch program from the vaccine server 253 and the patch server 254, the user terminal 210 installs the corresponding vaccine program and the patch program.

8. 네트워크 접속 시도<S308>8. Attempt to connect to network <S308>

사용자단말기(210)는 네트워크 접속을 위해 필요한 백신프로그램 및 패치프로그램이 설치되면 종단 스위치(220)를 통해 네트워크 접속을 시도함으로써 상기한 과정들을 재시도한다.The user terminal 210 retries the above processes by attempting a network connection through the termination switch 220 when the vaccine program and the patch program necessary for the network connection are installed.

이상과 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.As described above, the detailed description of the present invention has been made by the embodiments with reference to the accompanying drawings. However, since the above-described embodiments have only been described with reference to preferred examples of the present invention, the present invention is limited to the above embodiments. It should not be understood that the scope of the present invention is to be understood by the claims and equivalent concepts described below.

도1은 본 발명의 실시예에 따른 내부 네트워크 보안시스템에 대한 구성도이다.1 is a block diagram of an internal network security system according to an embodiment of the present invention.

도2는 도2의 네트워크 보안시스템에서 이루어지는 네트워크 보안방법에 대한 흐름도이다.2 is a flowchart illustrating a network security method performed in the network security system of FIG.

도3은 도1의 네트워크 보안시스템을 설명하기 위한 참조도이다.3 is a reference diagram for explaining the network security system of FIG.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

210 : 사용자단말기210: user terminal

220 : 종단 스위치220: termination switch

230 : 중단 스위치230: break switch

240 : 백본스위치240: backbone switch

250 : 인증서버그룹250: authentication server group

251 : 인증서버251: authentication server

252 : 정책서버252 Policy Server

253 : 백신서버253 Vaccine Server

254 : 패치서버254: patch server

255 : DHCP서버255 DHCP server

260 : 인포서260: Information book

Claims (6)

종단의 스위치를 통해 네트워크에 접속될 수 있으며, 보안정책 실행프로그램이 탑재된 사용자단말기;A user terminal that can be connected to the network through the switch of the end, the security policy execution program is mounted; 상기 사용자단말기와 네트워크를 통해 연결되며, 네트워크 접속을 시도하는 상기 사용자단말기를 인증하는 한편 상기 사용자단말기로 적어도 하나 이상의 보안정책을 보내는 인증서버그룹; 및An authentication server group connected to the user terminal through a network, wherein the authentication server group authenticates the user terminal attempting to access the network and sends at least one security policy to the user terminal; And 상기 사용자단말기가 네트워크 접속을 시도하면, 상기 사용자단말기로부터 오는 패킷을 네크워크로부터 차단시키고, 상기 사용자단말기를 상기 인증서버그룹으로 연결시키는 인포서; 를 포함하며,An information server for blocking a packet from the user terminal from a network and connecting the user terminal to the authentication server group when the user terminal attempts to access a network; Including; 상기 사용자단말기는 상기 인증서버그룹으로부터 상기 적어도 하나 이상의 보안정책이 접수되면, 상기 보안정책 실행프로그램을 가동하여 상기 적어도 하나 이상의 보안정책을 실행함으로써 상기 종단의 스위치를 통해 네트워크와 연결 또는 연결을 지속하거나 네트워크와 격리되는 것을 특징으로 하는 내부 네트워크 보안시스템.When the user terminal receives the at least one security policy from the authentication server group, the user terminal executes the at least one security policy by executing the security policy execution program to continue connection or connection with the network through the switch of the terminal or Internal network security system, characterized in that it is isolated from the network. 제1항에 있어서,The method of claim 1, 상기 인증서버그룹은,The authentication server group, 상기 종단의 스위치를 통해 네트워크 접속을 시도하는 상기 사용자단말기를 인증하는 인증서버;An authentication server for authenticating the user terminal that attempts to access a network through the switch of the terminal; 상기 사용자단말기로 보내기 위한 상기 적어도 하나 이상의 보안정책을 저장하고 있으며, 상기 종단의 스위치를 통해 네트워크 접속을 시도하거나 주기적인 설정 시간마다 상기 사용자단말기로 상기 적어도 하나 이상의 보안정책을 보내는 보안정책서버; 를 포함하는 것을 특징으로 하는 내부 네트워크 보안시스템.A security policy server storing the at least one security policy for sending to the user terminal, and attempting to connect to a network through the switch of the terminal or sending the at least one security policy to the user terminal at periodic set times; Internal network security system comprising a. 제2항에 있어서,The method of claim 2, 상기 인증서버그룹은,The authentication server group, 상기 적어도 하나 이상의 보안정책에서 요구되는 백신프로그램을 제공하는 백신서버; 및A vaccine server providing a vaccine program required by the at least one security policy; And 상기 적어도 하나 이상의 보안정책에서 요구되는 패치프로그램을 제공하는 패치서버; 를 더 포함하는 것을 특징으로 하는 내부 네트워크 보안시스템.A patch server providing a patch program required by the at least one security policy; Internal network security system further comprises. 접속을 시도하는 사용자단말기로부터 오는 패킷을 네트워크로부터 차단시키고 상기 사용자단말기를 인증서버그룹에 연결시키는 A단계;A step of blocking a packet from a user terminal attempting to access from the network and connecting the user terminal to the authentication server group; 네트워크 접속을 시도하는 상기 사용자단말기에 대한 인증을 실시하고, 상기 A단계에서 상기 인증서버그룹에 연결된 사용자단말기로 요구되는 적어도 하나 이상의 보안정책을 보내는 B단계;Step B for authenticating the user terminal attempting to access a network and sending at least one security policy required by the user terminal connected to the authentication server group in step A; 상기 B단계를 통해 상기 적어도 하나 이상의 보안정책을 접수한 상기 사용자단말기가 보안정책을 실행시키는 C단계; 및Step C of the user terminal receiving the at least one security policy through step B to execute a security policy; And 상기 C단계에서 실행된 보안정책에 따라 상기 사용자단말기를 네트워크에 연 결시키거나 네트워크로부터 격리시키는 D단계; 를 포함하는 것을 특징으로 하는 내부 네트워크 보안시스템.Step D of connecting the user terminal to the network or isolating it from the network according to the security policy implemented in step C; Internal network security system comprising a. 제4항에 있어서,The method of claim 4, wherein 상기 사용자단말기가 상기 인증서버그룹으로 보안정책에 따른 프로그램을 요청하는 E단계;The step E of the user terminal requesting a program according to a security policy to the authentication server group; 상기 E단계에 요청된 프로그램을 상기 인증서버그룹이 상기 사용자단말기에게 전송하는 F단계;A step F of transmitting, by the authentication server group, the program requested in step E to the user terminal; 상기 F단계를 통해 프로그램을 접수한 상기 사용자단말기가 접수된 프로그램을 설치하는 G단계; 및Step G of installing the program received by the user terminal that received the program through step F; And 상기 G단계를 통해 프로그램이 설치되면 네트워크 연결을 시도하는 H단계; 를 더 포함하는 것을 특징으로 하는 내부 네트워크 보안시스템.Step H, attempting to connect to the network when the program is installed through step G; Internal network security system further comprises. 제4항에 있어서,The method of claim 4, wherein 상기 C단계에서 실행된 보안정책에 따라 상기 사용자단말기를 네트워크로부터 격리시키는 경우에도 상기 사용자단말기가 쿼런틴존에는 연결되도록 하는 것을 특징으로 하는 내부 네트워크 보안시스템.And the user terminal is connected to the quarantine zone even when the user terminal is isolated from the network according to the security policy executed in step C.
KR1020070089410A 2007-09-04 2007-09-04 Internal network security system and method Ceased KR20090024409A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070089410A KR20090024409A (en) 2007-09-04 2007-09-04 Internal network security system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070089410A KR20090024409A (en) 2007-09-04 2007-09-04 Internal network security system and method

Publications (1)

Publication Number Publication Date
KR20090024409A true KR20090024409A (en) 2009-03-09

Family

ID=40693281

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070089410A Ceased KR20090024409A (en) 2007-09-04 2007-09-04 Internal network security system and method

Country Status (1)

Country Link
KR (1) KR20090024409A (en)

Similar Documents

Publication Publication Date Title
RU2693922C2 (en) Endpoint security system and method
CN101009560B (en) Communication system, network for qualification screening/setting, communication device, and network connection method
US9319429B2 (en) Network quarantine system, network quarantine method and program therefor
JP2005229626A (en) System and method for protecting computing device from computer exploits delivered over networked environment in secured communication
JP2011077661A (en) Network communication device and its automatic reconnection method
US10873497B2 (en) Systems and methods for maintaining communication links
WO2007045155A1 (en) A method for realizing mobile station secure update and correlative reacting system
JP2008271242A (en) Network monitoring device, network monitoring program, and network monitoring system
JP2014501959A (en) Method and system for providing service access to a user
JP2008276457A (en) Network protection program, network protection device, and network protection method
JP2017091493A (en) Security management method, program, and security management system
JPWO2008026288A1 (en) Network connection terminal authentication method, network connection terminal authentication program, and network connection terminal authentication apparatus
US8108904B1 (en) Selective persistent storage of controller information
CN101697550A (en) Method and system for controlling access authority of double-protocol-stack network
KR100914676B1 (en) A NETWORK SECURITY SYSTEM AND A NETWORK SECURITY METHOD BASED ON IEEE 802.1x
US20070226782A1 (en) System for updating software in a terminal when access of the terminal is authenticated
CN102172063B (en) Access control system, access control method, and communication terminal
WO2006001647A1 (en) Network integrated management system
CN101039324B (en) Method, system and apparatus for defending network virus
KR20090024409A (en) Internal network security system and method
JP4437797B2 (en) System and method for preventing unauthorized connection to network and program thereof
WO2010002381A1 (en) Automatic firewall configuration
CN105635090A (en) System access method, system access device and terminal
KR20090024422A (en) Internal network security system and method
JP4418211B2 (en) Network security maintenance method, connection permission server, and connection permission server program

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20070904

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20090723

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20100127

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20090723

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I