KR101592896B1 - Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치 - Google Patents

Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치 Download PDF

Info

Publication number
KR101592896B1
KR101592896B1 KR1020090100143A KR20090100143A KR101592896B1 KR 101592896 B1 KR101592896 B1 KR 101592896B1 KR 1020090100143 A KR1020090100143 A KR 1020090100143A KR 20090100143 A KR20090100143 A KR 20090100143A KR 101592896 B1 KR101592896 B1 KR 101592896B1
Authority
KR
South Korea
Prior art keywords
secure area
client
server
password
device management
Prior art date
Application number
KR1020090100143A
Other languages
English (en)
Other versions
KR20110043154A (ko
Inventor
박정훈
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090100143A priority Critical patent/KR101592896B1/ko
Priority to US12/909,444 priority patent/US8955064B2/en
Publication of KR20110043154A publication Critical patent/KR20110043154A/ko
Application granted granted Critical
Publication of KR101592896B1 publication Critical patent/KR101592896B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 클라이언트의 장치 관리 트리 접근 제어 방법, 장치 및 시스템에 관한 것으로서, 보안 영역 생성 시 상기 클라이언트가 상기 서버로부터 전송되는 보안 영역 생성 패스워드를 이용하여 상기 보안 영역을 생성하고 장치 관리 트리를 상기 보안 영역에 이동시키는 보안 영역 생성 단계, 장치 관리 시 상기 클라이언트가 상기 서버로부터 전송되는 보안 영역 접근 패스워드를 이용하여 상기 보안 영역에 접근하는 보안 영역 접근 단계 및 상기 접근 후 상기 클라이언트가 상기 서버로부터 장치 관리 명령을 수신하여 원격 관리를 수행하는 장치 관리 수행 단계를 포함하는 것을 특징으로 한다. 본 발명에 따르면, 서버로부터 패스워드를 획득한 클라이언트에 한하여 장치 관리 트리에 접근할 수 있으므로 장치 관리 트리가 임의로 읽혀지거나 쓰여지는 것을 방지할 수 있다.
장치 관리 트리, 서버, 클라이언트, 패스워드, 접근, 보안 영역

Description

DM 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치{METHOD AND APPARATUS FOR CONTROLLING ACCESS TO DEVICE MANAGEMENT TREE OF DEVICE MANAGEMENT CLIENT}
본 발명은 DM 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치에 관한 것이다. 보다 구체적으로 본 발명은 DM 클라이언트에 보안 영역(Secure Area)을 생성하여 장치 관리 트리(Device Management tree, DM Tree)를 저장하고, 서버로부터 획득한 패스워드를 이용하여 상기 장치 관리 트리에 접근하는 DM 클라이언트의 장치 관리 트리 접근 제어 방법 및 장치에 관한 것이다.
현재의 이동통신 환경은 휴대 단말기의 수와 기능 및 응용 서비스의 수가 폭증하면서 사업자의 정책과 사용자의 욕구 그리고 변화하는 네트워크 환경에 맞게 단말기와 응용 서비스를 설정하는 것이 점차 어려워지고 있다. 장치 관리(Device Management) 기술은 이러한 문제점을 해결하기 위하여 제3자(사업자)가 사용자를 위해 효과적인 방법으로 그들이 사용하는 장치의 설정을 대신할 수 있도록 하는 기술이다.
이와 같은 장치 관리 기술의 대표적인 것으로서 무선기기의 응용 표준을 제 안하는 개방 모바일 연합(Open Mobile Alliance, OMA)에서 개발된 OMA DM(Open Mobile Alliance Device Management)을 들 수 있다. OMA DM은 DM 프로토콜을 이용하여 휴대 단말기 내부의 펌웨어, 소프트웨어, 파라미터 등을 관리할 수 있다. 여기서 통상적으로 휴대 단말기를 관리하는 장치는 DM 서버(이하, 서버라 칭한다)라 하며, 휴대 단말기와 같이 관리되는 대상은 DM 클라이언트(이하, 클라이언트라 칭한다)라 한다.
OMA DM 표준에 따르면, 클라이언트를 관리하기 위한 항목인 DM Tree(이하, 장치 관리 트리)는 클라이언트에 저장되며, 서버는 상기 장치 관리 트리를 통해 클라이언트를 관리한다. 그러나 종래 OMA DM에서는 서버와 클라이언트 사이에 통상적인 인증 절차에 대해서만 언급되어 있을 뿐, 장치 관리 트리를 보호하는 방법에 대해서는 언급이 없었다.
만약, 장치 관리 트리가 클라이언트의 악의적인 코드 조작 또는 실수로 인해 임의로 변경되면, 원격에서 클라이언트를 관리하는 DM의 기능에 심각한 문제가 발생할 우려가 있다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 클라이언트에 보안 영역을 생성하여 장치 관리 트리를 저장하고, 서버로부터 획득한 패스워드를 이용하여 상기 장치 관리 트리에 접근하는 시스템, 방법 및 장치를 제공하는데 그 목적이 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 클라이언트의 장치 관리 트리 접근 제어 방법은 보안 영역 생성 필요 시 서버로부터 보안 영역 생성 패스워드를 수신하는 단계, 상기 보안 영역 생성 패스워드를 이용하여 보안 영역을 생성하는 단계 및 상기 생성된 보안 영역에 장치 관리 트리를 이동시키는 단계를 포함하는 것을 특징으로 한다. 그리고 상기 접근 제어 방법은 상기 보안 영역에 접근 필요 시, 상기 서버에 보안 영역 접근 패스워드를 요청하는 단계 및 상기 서버로부터 전송되는 보안 영역 접근 패스워드를 이용하여 상기 보안 영역에 접근하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 견지에 따른 클라이언트의 장치 관리 트리 접근 제어 방법은 장치 관리 트리가 저장된 보안 영역에 접근 필요 시, 서버에 보안 영역 접근 패스워드를 요청하는 단계 및 상기 요청에 대응하여 상기 서버로부터 전송되는 보안 영역 접근 패스워드를 이용하여 상기 보안 영역에 접근하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 클라이언트 장치는 서버로부터 전송되는 보안 영역 생성 패스워드와 보안 영역 접근 패스워드를 수신하여 전달하는 통신부, 상기 보안 영역 생성 패스워드로부터 생성되며 장치 관리 트리가 저장되는 보안 영역을 구비하는 메모리, 상기 보안 영역 생성 패스워드를 이용하여 상기 메모리에 상기 보안 영역을 생성하고, 상기 장치 관리 트리를 상기 보안 영역으로 이동시키도록 제어하는 보안 영역 생성 제어부 및 상기 보안 영역 접근 패스워드를 이용하여 상기 생성된 보안 영역에 접근하도록 제어하는 보안 영역 접근 제어부를 포함하는 것을 특징으로 한다.
그리고 본 발명의 서버가 클라이언트를 원격으로 관리하는 시스템은 보안 영역 생성 시 보안 영역 생성 패스워드를 상기 클라이언트에 전송하고, 장치 관리 시 보안 영역 접근 패스워드를 상기 클라이언트에 전송하는 서버 및 상기 서버로부터 상기 보안 영역 패스워드를 수신하여 보안 영역을 생성하고, 장치 관리 트리를 상기 보안 영역으로 이동시키며, 상기 서버로부터 상기 보안 영역 접근 패스워드를 수신하여 상기 보안 영역에 접근하여 장치 관리를 수행하는 클라이언트를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 서버로부터 패스워드를 획득하지 못한 클라이언트는 장치 관리 트리에 접근할 수 없으므로 상기 장치 관리 트리가 임의로 변경되는 것을 방지할 수 있다. 또한 본 발명에 따르면 종래 OMA DM 프로토콜의 변화 없이 보다 안정성 있는 원격 장치 관리가 가능해진다.
이하에서 기술되는 원격 장치 관리 방법은 무선기기의 응용 표준을 제안하는 개방 모바일 연합의 OMA DM을 예시하여 설명하기로 한다. 그러나 본 발명이 반드시 OMA DM에만 국한되어 적용될 수 있는 것은 아니며, 원격으로 클라이언트를 관리하는 모든 시스템 및 표준 절차에도 적용 가능할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
도 1은 OMA DM 표준에서 정의하고 있는 OMA DM 프로토콜을 도시하는 도면이다.
도 1에서 도시되는 바와 같이, OMA DM 프로토콜은 패키지 0 ~ 패키지 4 까지 총 5개의 메시지로 구성되며, 서버와 클라이언트 사이에는 상기 DM 프로토콜을 통해 DM 세션(Session)이 형성된다.
우선, 서버(120)는 클라이언트(110)에 행할 관리 액션이 있는 경우, S110 단계에서 클라이언트(110)에게 패키지 0(Package 0) 메시지를 전달하여 장치 관리 액션이 존재함을 알린다. 여기서 상기 장치 관리 액션은 클라이언트(110)를 관리하기 위해 실행되어야 하는 동작을 의미한다.
상기 패키지 0 메시지를 수신한 클라이언트(110)는 S120 단계에서, 서버(120)에게 패키지 1 메시지를 전송하여 세션 형성을 요청한다. 그러면 서버(120) 는 S130 단계에서, 패키지 2 메시지를 클라이언트(110)로 전송하여 관리 명령(management command)을 전달한다.
이후, 클라이언트(110)와 서버(120)는 S140 단계 및 S150 단계에서 패키지 3 메시지와 패키지 4 메시지를 송수신하며 클라이언트의 원격 관리 절차를 수행한다.
도 2는 OMA DM 장치 관리 트리의 전체 구조를 도시하는 도면이다.
OMA DM 표준에서는 장치 관리 트리라는 파일 시스템을 정의하고, 이를 통해 클라이언트를 원격으로 제어할 수 있다. 상기 도 2에 도시된 OMA 장치 관리 트리에 대한 구체적인 설명은 OMA DM 표준 문서에 기재되어 있는 바와 동일하므로, 이하에서는 자세한 설명은 생략하기로 한다.
도 3은 본 발명의 실시예에 따라 클라이언트(110)가 보안 영역을 생성하여 장치 관리 트리를 복사하는 과정을 도시하는 순서도이다.
우선, 클라이언트(110)와 서버(120)는 S310 단계에서 상호 인증(Mutual Authentication) 과정을 수행한다. 상기 상호 인증이란 클라이언트(110)가 상기 서버(120)로부터 장치 관리를 받을 수 있는 클라이언트인지와, 상기 서버(120)가 상기 클라이언트(110)를 관리할 수 있는 정당한 권한을 가지는지의 사항에 대해 상호간 인증을 수행하는 절차이다. 그리고 본 발명의 바람직한 실시예에 따르면, 상기 상호 인증 과정에서 공인 인증서와 같은 공인인증기관(CA)이 발행하는 일종의 사이버 거래용 인감 증명서를 이용할 수도 있다. 종래에도 클라이언트(110)와 서버(120) 사이의 인증 절차는 존재하였으나, 이는 아이디와 패스워드를 이용한 단순한 인증 절차에 불과하였다. 본 발명에서는 보안을 강화하고 상호간 관리 권한을 엄격히 판단하기 위해 공인 인증서 등을 이용하는 상호 인증 과정을 수행한다.
상호 인증 과정을 수행한 서버(120)는 S320 단계에서, 보안 영역 생성 요청 메시지(Pat-Package 1)를 클라이언트(110)로 전송한다. 이 경우, 서버(120)는 클라이언트(110)가 보안 영역을 생성하는데 필요한 보안 영역 생성 패스워드를 상기 메시지에 포함시킨다. 본 발명의 실시예에 따르면, 상기 보안 영역 생성 패스워드는 클라이언트(110)에 저장되지 않는 것을 특징으로 한다.
그러면 클라이언트(110)는 S330 단계에서, 상기 보안 영역 생성 요청 메시지를 수신하고, 상기 메시지에 포함된 보안 영역 생성 패스워드를 이용하여 메모리의 일 영역에 보안 영역을 생성한다. 상기 보안 영역은 보안 영역 생성 패스워드가 사용되어 생성된 암호화된 데이터 영역이다. 이러한 보안 영역은 암호화되어 저장되기 때문에 해당 영역의 내용은 서버(120)로부터 전송되는 보안 영역 접근 패스워드 없이는 클라이언트(110)가 임의로 읽고 쓰거나 접근할 수도 없다.
한편, 본 발명의 보안 영역 생성 패스워드는 보안 영역 생성 시에 사용되며, 클라이언트(110)에 별도로 저장되지 않는다. 따라서 클라이언트(110)는 서버(120)로부터 보안 영역 접근 패스워드를 재수신하지 않는 이상, 상기 보안 영역에 임의로 접근할 수 없다.
보안 영역을 생성한 클라이언트(110)는 S340 단계에서, 장치 관리 트리를 상기 보안 영역으로 이동시킨다. 그리고 클라이언트(110)는 S350 단계에서, 보안 영역 생성 응답 메시지(Pat-Package 2)를 서버(120)로 전송한다. 그러면 서버(120)는 S360 단계에서 확인 메시지(Pat-ack)를 클라이언트(110)로 전송한다.
상기 확인 메시지가 송수신된 이후에는 서버(120)와 클라이언트(110)는 보안 영역에 있는 장치 관리 트리를 이용하여 장치 관리 명령어(DM Command)를 수행하게 된다.
상기한 바와 같은 과정을 통해 서버(120)는 클라이언트(110)로 하여금 암호화된 보안 영역에 장치 관리 트리를 이동시키도록 하여, 상기 장치 관리 트리에 임의로 접근할 수 없도록 설정한다.
도 4는 본 발명의 실시예에 따라, 보안 영역에 장치 관리 트리를 이동시킨 클라이언트(110)가 서버(120)로부터 보안 영역 접근 패스워드를 획득하여 상기 보안 영역에 접근하는 과정을 도시하는 순서도이다.
도 3 및 도 4의 관계에 대해 설명하면, 도 3의 과정을 통해 클라이언트(110)에 보안 영역이 생성된다. 그 후에 서버(120)와 클라이언트(110) 사이의 장치 관리 절차는 도 4의 과정을 통해 수행된다.
우선, 본 발명의 일 실시예에 따라 서버(120)는 S410 단계에서, 패키지 0 메시지를 클라이언트(110)로 전송할 수 있다. 상기한 바와 같이, 상기 패키지 0 메시지는 서버(120)가 클라이언트(110)에 행할 관리 액션이 있는 경우 전송되는 일종의 통지 메시지(notification message)이다.
그러면 클라이언트(110)와 서버(120)는 S420 단계에서 상호 인증 절차를 수행한다. 상기 상호 인증 절차가 완료되면 클라이언트(110)는 S430 단계에서, 이미 생성된 보안 영역에 접근하기 위해 보안 영역 접근 패스워드 요청 메시지를 서버(120)에 전송한다. 그러면 서버(120)는 상기 메시지에 응답하여 보안 영역 접근 패스워드 응답 메시지를 클라이언트(110)로 전송한다. 본 발명의 바람직한 실시예에 따르면, 보안 영역 생성 패스워드와 보안 영역 접근 패스워드는 동일한 패스워드일 수 있다.
클라이언트(110)는 S450 단계에서, 서버(120)로부터 획득한 보안 영역 접근 패스워드를 이용하여 보안 영역에 접근한다. 보안 영역에 접근한 클라이언트(110)는 S460 단계에서, 상기 보안 영역에 저장된 장치 관리 트리의 정보를 이용하여 서버(120)에게 패키지 1 메시지를 전송한다. 그러면 S470 이하의 단계에서 서버(120)와 클라이언트(110)사이의 장치 관리 절차가 수행된다.
도 5는 본 발명의 일 실시예에 따라, 장치 관리 트리가 보안 영역으로 이동되지 않은 경우의 패키지 1 메시지 전송 절차를 도시하는 순서도이다.
우선, 클라이언트(110)는 S510 단계에서, 장치 관리 트리가 보안 영역으로 이동되지 않았음을 감지한다. 이 경우, 클라이언트(110)는 별도의 패스워드 없이 장치 관리 트리에 접근할 수 있다. 이에 따라, 클라이언트(110)는 장치 관리 트리에 저장된 정보를 이용하여 S520 단계에서 패키지 1 메시지를 서버(120)에게 전송한다.
그러면 서버(120)는 상기 패키지 1 메시지를 수신하고, S530 단계에서 클라이언트(110)의 장치 관리 트리가 보안 영역으로 이동되었는지 여부를 판단한다. 클라이언트(110)의 장치 관리 트리가 보안 영역으로 이동하면, 보안 영역 생성 응답 메시지가 서버(120)에 전송되고, 서버(120)는 이에 대한 확인 메시지를 클라이언트(110)로 전송하게 된다. 따라서 서버(120)는 장치 관리 트리가 보안 영역으로 이 동되었는지 여부를 판단할 수 있다.
그러면 서버(120)는 S530 단계에서, 장치 관리 트리가 실제로 클라이언트(110)의 보안 영역으로 이동한 것이 아닌지 여부를 판단한다. 장치 관리 트리가 보안 영역으로 이동하였다면, 서버(120)는 S540 단계에서 에러 메시지를 전송한다. 한편, 실제로 장치 관리 트리가 보안 영역으로 이동하지 않은 경우라면, 서버(120)는 S550 단계로 진행하여 패키지 2 메시지를 클라이언트(110)로 전송한다.
도 6은 본 발명의 일 실시예에 따라, 장치 관리 트리가 보안 영역으로 이동한 경우의 패키지 1 메시지 전송 절차를 도시하는 순서도이다.
우선, 클라이언트(110)는 S610 단계에서 장치 관리 트리가 보안 영역으로 이동하였음을 감지한다. 장치 관리 트리가 보안 영역으로 이동한 경우, 클라이언트(110)는 장치 관리 패스워드 없이는 임의로 장치 관리 트리에 접근할 수 없다. 이에 따라, 클라이언트(110)는 S620 단계에서 보안 영역 접근 패스워드 요청 메시지를 서버(120)로 전송한다.
그러면 서버(120)는 S630 단계에서, 클라이언트(110)의 장치 관리 트리가 실제로 보안 영역으로 이동한 것인지 여부를 판단한다. 만약, 보안 영역으로 이동한 것이 아니라면, 서버(120)는 S640 단계로 진행하여 에러 메시지를 전송한다.
반면, 장치 관리 트리가 보안 영역으로 실제로 이동한 것이라면, 서버(120)는 S650 단계로 진행하여 클라이언트(110)의 패키지 1 메시지의 전송을 허락한다. 이를 위해, 서버(120)는 S660 단계에서 보안 영역 접근 패스워드를 포함하는 보안 영역 접근 패스워드 응답 메시지를 클라이언트(110)로 전송한다.
그러면 클라이언트(110)는 수신한 보안 영역 접근 패스워드를 이용하여 보안 영역에 접근할 수 있다. 이에 따라, 클라이언트(110)는 S670 단계에서 장치 관리 트리의 정보를 이용하여 서버(120)에게 패키지 1 메시지를 전송한다.
도 7은 본 발명의 실시예에 따른 클라이언트(110)의 동작 순서를 도시하는 순서도이다. 본 발명의 주요 요지는 보안 영역에 장치 관리 트리를 저장한 클라이언트(110)에 대한 장치 관리 방법이므로, 보안 영역을 생성하지 않은 클라이언트(110)의 동작에 대해서는 생략하기로 한다.
우선, 클라이언트(110)는 S705 단계에서 장치 관리 트리를 저장할 보안 영역을 생성할 것인지 여부를 판단한다.
만약, 보안 영역을 생성할 것이라면, S710 단계에서 서버(120)로부터 보안 영역 생성 요청 메시지를 수신하였는지 판단한다. 미 수신 시, 클라이언트(110)는 S715 단계로 진행하여 보안 영역 생성 요청 메시지의 수신을 대기한다.
보안 영역 생성 요청 메시지를 수신하면, 클라이언트(110)는 S720 단계로 진행하여 수신한 보안 영역 생성 패스워드를 이용하여 보안 영역을 생성한다. 그리고 클라이언트(110)는 S725 단계에서, 상기 생성된 보안 영역에 장치 관리 트리를 이동시킨다.
다시, S705 단계의 설명으로 복귀하여, 클라이언트(110)는 보안 영역 생성 단계가 아니라면, 즉 보안 영역이 이미 생성된 것이라면 S730 단계로 진행하여 클라이언트 관리 단계인지 여부를 판단한다. 클라이언트 관리 단계가 아니라면 클라이언트(110)는 S755 단계로 진행하여 임의의 해당 기능을 수행한다.
한편, 클라이언트 관리 단계라면 클라이언트(110)는 S735 단계로 진행하여 보안 영역 접근 패스워드 요청 메시지를 서버(120)에 전송한다. 그리고 클라이언트(110)는 S740 단계에서 상기 보안 영역 접근 패스워드 응답 메시지를 수신하였는지 판단한다. 상기 메시지 수신 시, 클라이언트(110)는 S745 단계로 진행하여 수신한 보안 영역 접근 패스워드를 이용하여 보안 영역에 접근한다. 그리고 클라이언트(110)는 S750 단계에서 서버(120)로부터 관리 명령을 수신하고 이를 수행한다.
도 8은 본 발명의 실시예에 따른 서버(120)의 동작 순서를 도시하는 순서도이다.
우선, 서버(120)는 S805 단계에서, 클라이언트(110)에 보안 영역을 생성할 필요가 있는지 여부를 판단한다. 보안 영역 생성이 필요한 경우, 서버(120)는 S810 단계로 진행하여 보안 영역 생성 시 필요한 생성 패스워드를 포함하는 보안 영역 생성 요청 메시지를 클라이언트(110)에게 전송한다.
그리고 도면에 도시되지는 않았지만, 서버(120)는 클라이언트(110)로부터 보안 영역 생성에 대한 응답 메시지 수신 시, 이에 대한 확인 메시지를 클라이언트(110)에게 전송한다.
한편, 서버(120)는 S805 단계에서 클라이언트(110)의 보안 영역 생성이 필요하지 않거나 또는 이미 보안 영역이 생성된 경우라면, S815 단계로 진행하여 클라이언트 관리 단계인지 여부를 판단한다. 만약, 클라이언트 관리 단계가 아니라면, 서버(120)는 S835 단계로 진행하여 임의의 해당 기능을 수행한다.
한편, 클라이언트 관리 단계라면, 서버(120)는 S820 단계로 진행하여 클라이 언트로(110)부터 보안 영역 접근 패스워드 요청을 수신하였는지 여부를 판단한다. 상기 요청을 수신하지 않은 경우에는 수신 대기하고, 상기 요청을 수신한 경우 서버(120)는 S825 단계로 진행하여 보안 영역 접근 패스워드를 클라이언트(110)로 전송한다. 그리고 서버(120)는 S830 단계로 진행하여 클라이언트(110)에 관리 명령을 전송한다.
도 9는 본 발명의 실시예에 따른 클라이언트(110)의 내부 구조를 도시하는 블록도이다. 도 9에서 도시되는 바와 같이, 본 발명의 클라이언트(110)는 RF 통신부(910), 표시부(920), 키 입력부(930), 메모리(940), 제어부(950)를 포함한다. 그리고 상기 메모리(940)는 보안 영역(940A)을 더 구비하고, 상기 제어부(950)는 보안 영역 생성 제어부(950A)와 보안 영역 접근 제어부(950B)를 더 구비할 수 있다.
RF 통신부(910)는 클라이언트(110)의 무선 통신을 위한 해당 데이터의 송수신 기능을 수행한다. RF 통신부(910)는 송신되는 신호의 주파수를 상승변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 또한, RF 통신부(910)는 무선 채널을 통해 데이터를 수신하여 제어부(950)로 출력하고, 제어부(950)로부터 출력된 데이터를 무선 채널을 통해 전송할 수 있다. 본 발명의 실시예에 따르면, 클라이언트(110)는 RF 통신부(910)를 통해 서버(120)와 장치 관리 절차를 수행할 수 있다. 또한, RF 통신부(910)는 서버(120)로부터 전송되는 보안 영역 생성 패스워드와 보안 영역 접근 패스워드를 수신하여 제어부(950)에 전달한다.
표시부(920)는 LCD(Liquid Crystal Display), OLED(Organic Light Emitted Diode) 등으로 형성될 수 있다. 표시부(920)는 클라이언트(110)의 메뉴, 입력된 데이터, 기능 설정 정보 및 기타 다양한 정보를 사용자에게 시각적으로 제공한다. 예를 들어, 표시부(920)는 클라이언트(110)의 부팅 화면, 대기 화면, 표시 화면, 통화 화면, 설정 화면, 기타 어플리케이션 실행 화면 등을 출력한다.
키 입력부(930)는 클라이언트(110)를 제어하기 위한 사용자의 키 조작신호를 입력받아 제어부(950)에 전달한다. 키입력부(930)는 숫자키, 방향키를 포함하는 키패드로 구성될 수 있으며, 클라이언트(110)의 일 측면에 소정의 기능키로 형성될 수 있다. 본 발명의 일 실시예에 따라 터치스크린만으로 모든 조작이 가능한 클라이언트(110)의 경우에는 키입력부(930)가 터치스크린에 포함될 수도 있다.
메모리(940)는 클라이언트(110)의 동작에 필요한 프로그램 및 데이터를 저장하며, 프로그램 영역과 데이터 영역으로 구분될 수 있다. 그리고 본 발명의 실시예에 따르면 상기 메모리(940)는 보안 영역(940A)을 더 구비할 수 있다. 상기 보안 영역(940A)은 보안 영역 제어부(950A)의 제어에 따라 장치 관리 트리가 저장되는 영역이다. 이러한 보안 영역(940A)은 보안 영역 생성 패스워드가 사용되어 생성된 암호화된 데이터 영역이며, 해당 영역의 내용은 서버(120)로부터 전송되는 보안 영역 접근 패스워드 없이는 클라이언트(110)가 임의로 읽고 쓰거나 접근할 수 없다.
제어부(950)는 클라이언트(110)의 일반적인 동작을 제어한다. 특히, 본 발명의 제어부(950)는 보안 영역(940A)의 생성을 제어하기 위한 보안 영역 생성 제어부(950A)와 보안 영역(940A)의 접근을 제어하기 위한 보안 영역 접근 제어부(950B)를 더 구비할 수 있다.
보안 영역 생성 제어부(950A)는 보안 영역 생성 필요 시, 서버(120)로부터 보안 영역 생성 패스워드를 수신하고 이를 이용하여 보안 영역을 생성한다. 그리고 보안 영역 생성 제어부(950A)는 상기 생성된 보안 영역(940A)에 장치 관리 트리를 이동시킨다.
또한, 보안 영역 접근 제어부(950B)는 보안 영역(940A)에 접근 필요 시, 서버(120)에 보안 영역 접근 패스워드를 요청하고, 이에 대응하여 전송되는 보안 영역 접근 패스워드를 수신하도록 제어한다. 그리고 보안 영역 접근 제어부(950B)는 상기 수신한 접근 패스워드를 가지고 상기 보안 영역(940A)에 접근하여 서버(120)와 장치 관리 절차를 수행하는 일련의 과정을 제어할 수 있다.
도 10은 본 발명의 실시예에 따른 서버(120)의 내부 구조를 도시하는 블록도이다. 도 10에 도시되는 바와 같이, 본 발명의 서버(120)는 RF 통신부(1010), DM 패키지 생성 및 처리부(1020A), 보안 영역 관리부(1020B)를 포함할 수 있다.
RF 통신부(1010)는 서버(120)의 무선 통신을 위한 해당 데이터의 송수신 기능을 수행한다. RF 통신부(1010)는 송신되는 신호의 주파수를 상승변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 서버(120)는 상기 RF 통신부(1010)를 통해 클라이언트(110)와의 장치 관리 절차를 수행한다.
DM 패키지 생성 및 처리부(1020A)는 OMA DM에서 정의하고 있는 OMA DM 프로토콜을 수행하는 기능 블록이다. 즉, DM 패키지 생성 및 처리부는 도 1에서 도시한 5가지 종류의 패키지 메시지를 생성 및 처리하는 일련의 과정을 제어한다.
보안 영역 관리부(1020B)는 클라이언트(110)에게 보안 영역을 생성시키고자 하는 경우, 보안 영역 생성 패스워드 및 생성 요청을 클라이언트(110)에게 전송하도록 제어한다. 그리고 보안 영역 관리부(1020B)는 클라이언트(110)로부터 보안 영역 생성 보고를 수신하면, 이에 대한 확인 메시지를 상기 클라이언트(110)에게 전송하도록 제어한다.
또한, 보안 영역 관리부(1020B)는 클라이언트 관리 단계에서, 클라이언트(110)로부터 보안 영역 접근 패스워드 요청을 수신하면, 이에 대한 응답으로서 보안 영역 접근 패스워드를 클라이언트(110)에게 전송한다. 그러면 클라이언트(110)는 상기 보안 영역 접근 패스워드를 이용하여 보안 영역(940A)에 접근할 수 있다.
상기한 본 발명에 따르면, 서버로부터 패스워드를 획득한 클라이언트에 한하여 장치 관리 트리에 접근할 수 있으므로 장치 관리 트리가 임의로 변경되는 것을 방지할 수 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
도 1은 OMA DM 표준에서 정의하고 있는 OMA DM 프로토콜을 도시하는 도면.
도 2는 OMA 장치 관리 트리의 전체 구조를 도시하는 도면.
도 3은 본 발명의 실시예에 따라 클라이언트가 보안 영역을 생성하여 장치 관리 트리를 복사하는 과정을 도시하는 순서도.
도 4는 본 발명의 실시예에 따라, 보안 영역에 장치 관리 트리를 이동시킨 클라이언트가 서버로부터 보안 영역 패스워드를 획득하여 상기 보안 영역에 접근하는 과정을 도시하는 순서도.
도 5는 본 발명의 일 실시예에 따라, 장치 관리 트리가 보안 영역으로 이동되지 않은 경우의 패키지 1 메시지 전송 절차를 도시하는 순서도.
도 6은 본 발명의 일 실시예에 따라, 장치 관리 트리가 보안 영역으로 이동한 경우의 패키지 1 메시지 전송 절차를 도시하는 순서도.
도 7은 본 발명의 실시예에 따른 클라이언트의 동작 순서를 도시하는 순서도.
도 8은 본 발명의 실시예에 따른 서버의 동작 순서를 도시하는 순서도.
도 9는 본 발명의 실시예에 따른 클라이언트의 내부 구조를 도시하는 블록도.
도 10은 본 발명의 실시예에 따른 서버의 내부 구조를 도시하는 블록도.

Claims (12)

  1. 클라이언트의 장치 관리 트리 접근 제어 방법에 있어서,
    보안 영역 생성 필요 시, 서버로부터 보안 영역 생성 패스워드를 수신하는 단계;
    상기 보안 영역 생성 패스워드를 이용하여 보안 영역을 생성하는 단계; 및
    상기 생성된 보안 영역에 장치 관리 트리를 이동시키는 단계를 포함하고,
    상기 보안 영역 생성 단계는,
    상기 클라이언트의 보안 영역 생성 후, 상기 보안 영역 생성 패스워드는 상기 클라이언트에 저장되지 않는 것을 특징으로 하는 장치 관리 트리 접근 제어 방법.
  2. 제1항에 있어서,
    상기 보안 영역에 접근 필요 시, 상기 서버에 보안 영역 접근 패스워드를 요청하는 단계; 및
    상기 서버로부터 전송되는 보안 영역 접근 패스워드를 이용하여 상기 보안 영역에 접근하는 단계를 더 포함하는 것을 특징으로 하는 장치 관리 트리 접근 제어 방법.
  3. 제2항에 있어서,
    상기 보안 영역에 접근 후 상기 클라이언트가 상기 서버로부터 장치 관리 명령을 수신하여 원격 장치 관리를 수행하는 단계를 더 포함하는 것을 특징으로 하는 장치 관리 트리 접근 제어 방법.
  4. 제1항에 있어서, 상기 보안 영역 생성 패스워드 수신 단계 이전에,
    상기 서버와 상기 클라이언트가 상호 인증(Mutual Authentication)을 수행하는 단계를 더 포함하는 것을 특징으로 하는 장치 관리 트리 접근 제어 방법.
  5. 삭제
  6. 제2항에 있어서,
    상기 보안 영역 생성 패스워드와 상기 보안 영역 접근 패스워드는 동일한 것을 특징으로 하는 장치 관리 트리 접근 제어 방법.
  7. 삭제
  8. 서버로부터 전송되는 보안 영역 생성 패스워드와 보안 영역 접근 패스워드를 수신하여 전달하는 통신부;
    상기 보안 영역 생성 패스워드로부터 생성되며 장치 관리 트리가 저장되는 보안 영역을 구비하는 메모리;
    상기 보안 영역 생성 패스워드를 이용하여 상기 메모리에 상기 보안 영역을 생성하고, 상기 장치 관리 트리를 상기 보안 영역으로 이동시키도록 제어하는 보안 영역 생성 제어부; 및
    상기 보안 영역 접근 패스워드를 이용하여 상기 생성된 보안 영역에 접근하도록 제어하는 보안 영역 접근 제어부를 포함하고,
    상기 보안 영역 생성 제어부는,
    상기 보안 영역 생성 후, 상기 보안 영역 패스워드가 저장되지 않도록 제어하는 것을 특징으로 하는 클라이언트 장치.
  9. 제8항에 있어서, 상기 보안 영역 생성 제어부는,
    상기 보안 영역 생성 이전에 상기 서버와 상호 인증(Mutual Authentication)을 수행하도록 제어하는 것을 특징으로 하는 클라이언트 장치.
  10. 삭제
  11. 제8항에 있어서,
    상기 보안 영역 생성 패스워드와 상기 보안 영역 접근 패스워드는 동일한 것을 특징으로 하는 클라이언트 장치.
  12. 서버가 클라이언트를 원격으로 관리하는 시스템에 있어서,
    보안 영역 생성 시 보안 영역 생성 패스워드를 상기 클라이언트에 전송하고, 장치 관리 시 보안 영역 접근 패스워드를 상기 클라이언트에 전송하는 서버; 및
    상기 서버로부터 상기 보안 영역 패스워드를 수신하여 보안 영역을 생성하고, 장치 관리 트리를 상기 보안 영역으로 이동시키며, 상기 서버로부터 상기 보안 영역 접근 패스워드를 수신하고 상기 보안 영역에 접근하여 장치 관리를 수행하는 클라이언트를 포함하고,
    상기 클라이언트의 보안 영역 생성 후, 상기 보안 영역 생성 패스워드는 상기 클라이언트에 저장되지 않는 것을 특징으로 하는 원격 장치 관리 시스템.
KR1020090100143A 2009-10-21 2009-10-21 Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치 KR101592896B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090100143A KR101592896B1 (ko) 2009-10-21 2009-10-21 Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치
US12/909,444 US8955064B2 (en) 2009-10-21 2010-10-21 Control over access to device management tree of device management client

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090100143A KR101592896B1 (ko) 2009-10-21 2009-10-21 Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20110043154A KR20110043154A (ko) 2011-04-27
KR101592896B1 true KR101592896B1 (ko) 2016-02-11

Family

ID=43880292

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090100143A KR101592896B1 (ko) 2009-10-21 2009-10-21 Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치

Country Status (2)

Country Link
US (1) US8955064B2 (ko)
KR (1) KR101592896B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101822940B1 (ko) * 2011-12-12 2018-01-29 엘지전자 주식회사 수행 시간에 기초하여 장치 관리 명령을 수행하는 방법 및 장치
CN102665194B (zh) * 2012-03-30 2015-03-18 华为终端有限公司 一种设备管理的方法和设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080052514A1 (en) * 2004-11-30 2008-02-28 Masayuki Nakae Information Sharing System, Information Sharing Method, Group Management Program and Compartment Management Program
US20080271023A1 (en) * 2006-10-20 2008-10-30 Vodafone Group Plc Device management

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4613487B2 (ja) * 2003-11-07 2011-01-19 ソニー株式会社 電子機器、情報処理システム、情報処理装置および方法、プログラム、並びに記録媒体

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080052514A1 (en) * 2004-11-30 2008-02-28 Masayuki Nakae Information Sharing System, Information Sharing Method, Group Management Program and Compartment Management Program
US20080271023A1 (en) * 2006-10-20 2008-10-30 Vodafone Group Plc Device management

Also Published As

Publication number Publication date
US20110093935A1 (en) 2011-04-21
US8955064B2 (en) 2015-02-10
KR20110043154A (ko) 2011-04-27

Similar Documents

Publication Publication Date Title
KR101289530B1 (ko) 스마트폰의 관리하에서 스마트폰의 베어러 및 서버 독립 부모 제어를 위한 방법 및 장치
US7885871B2 (en) Method and system for managing DRM agent in user domain in digital rights management
US8467768B2 (en) System and method for remotely securing or recovering a mobile device
US8234492B2 (en) Method, client and system for reversed access to management server using one-time password
US7899873B2 (en) System and method of controlling a messaging system
WO2015048431A1 (en) Managing sharing of wireless network login passwords
JP2010263631A (ja) 移動電話のリモート位置決め及び指令
US20060080734A1 (en) Method and home network system for authentication between remote terminal and home network using smart card
JP2005323070A (ja) 携帯電話による情報家電向け認証方法
US9319407B1 (en) Authentication extension to untrusted devices on an untrusted network
US20130304919A1 (en) Method and apparatus for notifying remote user interface client about event of remote user interface server in home network
KR101575136B1 (ko) 단말의 유해 자원 접근을 관리하는 유해 자원 접근 관리 서버 및 방법, 그리고 단말
JP2008301267A (ja) 通信システム、情報処理装置、被制御機器、情報処理方法、並びにプログラム
KR101592896B1 (ko) Dm 클라이언트의 장치 관리 트리 접근 제어 시스템, 방법 및 장치
US20150381622A1 (en) Authentication system, authentication method, authentication apparatus, and recording medium
US9917831B2 (en) Image forming apparatus and method of authenticating user thereof
KR101074068B1 (ko) 홈네트워크 서비스를 위한 통합 인증 시스템 및 방법
JP2010218302A (ja) コンテンツアクセス制御システム、コンテンツサーバ及びコンテンツアクセス制御方法
KR100912537B1 (ko) Iptv 단말의 원격 제어 방법 및 그 시스템
KR20070053501A (ko) 문자메시지의 언어 처리를 이용한 원격 제어 서비스 장치및 그 방법과 그를 이용한 홈네트워킹 시스템
US11864090B2 (en) Communication system, communication management method, and non-transitory recording medium
KR101591053B1 (ko) 푸시 서비스를 이용한 원격제어 방법 및 그 시스템
KR102222006B1 (ko) 홈허브 단말의 암호 관리 방법, 그 방법을 수행하는 장치 및 컴퓨터 프로그램
JP2005190286A (ja) 認証サーバ、情報サーバ、クライアント、認証方法、認証システム、プログラム、記録媒体
KR101796977B1 (ko) 통신 단말기에서 간이망관리프로토콜을 이용하여 셋텁박스를 원격제어하기 위한 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee