KR101824956B1 - Location-based User Authentication Method and System using the Beacon - Google Patents
Location-based User Authentication Method and System using the Beacon Download PDFInfo
- Publication number
- KR101824956B1 KR101824956B1 KR1020150189566A KR20150189566A KR101824956B1 KR 101824956 B1 KR101824956 B1 KR 101824956B1 KR 1020150189566 A KR1020150189566 A KR 1020150189566A KR 20150189566 A KR20150189566 A KR 20150189566A KR 101824956 B1 KR101824956 B1 KR 101824956B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- authentication
- terminal
- service
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
-
- H04W4/008—
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
비컨을 이용한 위치 기반 사용자 인증 방법 및 시스템이 제공된다. 본 발명의 실시예에 따른 사용자 인증 방법은, 특정 장소에 설치된 단말로부터 특정 신호를 수신한 제1 사용자 단말의 사용자에 대한 위치 인증을 수행하고, 사용자에 대한 본인 인증을 수행한 후에 사용자에게 서비스를 제공한다. 이에 의해, 서비스 허가 구역에 위치한 단말을 이용한 위치 인증과 후속하는 본인 인증을 결합한 사용자 인증을 수행함으로써, 클라우드 환경에서 서비스 이용 장소를 부분적으로 제한/통제할 수 있어, 클라우드 시스템의 장점을 유지시키면서도, 단점인 보안 문제를 해결할 수 있게 된다.A location based user authentication method and system using beacons are provided. A user authentication method according to an exemplary embodiment of the present invention performs location authentication for a user of a first user terminal that receives a specific signal from a terminal installed at a specific location, performs authentication of the user with respect to the user, to provide. Accordingly, by performing user authentication combining location authentication using a terminal located in a service permission zone and subsequent authentication, it is possible to partially restrict / control a service use place in a cloud environment, thereby maintaining the advantage of a cloud system, The disadvantage of the security problem can be solved.
Description
본 발명은 사용자 인증 기술에 관한 것으로, 더욱 상세하게는 위치 인증과 본인 인증을 결합한 사용자 인증 방법 및 시스템에 관한 것이다.The present invention relates to a user authentication technique, and more particularly, to a user authentication method and system combining location authentication and authentication.
클라우드 시스템은 장소의 제약 없이 시스템 자원을 이용할 수 있다는 장점으로 인해 활용도가 증가하고 있지만, 이와 같은 장점의 이면에는 보안의 취약함이라는 단점이 내포되어 있다.Although cloud systems are increasingly utilized due to their ability to use system resources without restriction of their location, the advantage of these advantages lies in the weakness of security.
이에 따라, 클라우드 환경에서의 정보 보안을 위해 사용자 인증을 도입하고는 있지만, 본인 인증에 그칠 뿐이며, 인증에 취약한 공공 장소 등에서 시스템 접근을 막을 수는 없기 때문에, 위 단점에 대한 근본적인 해결방안이 되지 못하는 한계가 있다.As a result, although user authentication is introduced for information security in the cloud environment, it can not be prevented from accessing the system in public places that are vulnerable to authentication, There is a limit.
그렇다고, 클라우드 시스템을 외부 네트워크로부터 차단시키거나 접근 가능한 IP 주소를 제한하는 것은, 클라우드 서비스의 본질을 무색하게 하는 것이기 때문에, 대책이 될 수 없다.However, blocking the cloud system from the external network or limiting the accessible IP address can not be a countermeasure, since it would discourage the essence of the cloud service.
클라우드 시스템의 장점을 계속 활용하면서도 단점을 보완할 수 있는 방안의 모색이 요청된다.We need to find ways to make up for the drawbacks while still taking advantage of the benefits of the cloud system.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 클라우드 환경에서 서비스 이용 장소를 부분적으로 허용/제한하기 위한 방안으로, 서비스 허가 구역에 위치한 비컨 단말을 이용한 위치 인증과 후속하는 본인 인증을 결합한 사용자 인증 방법 및 시스템을 제공함에 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problems, and it is an object of the present invention to provide a method and system for partially allowing / limiting a service use place in a cloud environment, And a user authentication method and system that combines subsequent authentication of the user.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, 사용자 인증 방법은, 특정 장소에 설치된 단말로부터 특정 신호를 수신한 제1 사용자 단말의 사용자에 대한 위치 인증을 수행하는 제1 인증단계; 상기 사용자에 대한 본인 인증을 수행하는 제2 인증단계; 및 상기 제1 인증단계와 제2 인증단계에서 인증에 성공하면, 상기 사용자에게 서비스를 제공하는 단계;를 포함한다.According to an aspect of the present invention, there is provided a method for authenticating a user, the method comprising: a first authentication step of performing location authentication for a user of a first user terminal receiving a specific signal from a terminal installed in a specific place; A second authentication step of performing authentication of the user with respect to the user; And providing a service to the user if authentication is successful in the first authentication step and the second authentication step.
그리고, 상기 제1 인증단계는, 상기 단말이 생성한 데이터를 이용하여, 상기 위치 인증을 수행할 수 있다.The first authentication step may perform the location authentication using the data generated by the terminal.
또한, 상기 제1 인증단계는, 상기 데이터와 상기 제1 사용자 단말에 보유된 키로 암호화된 데이터를 수신하는 단계; 보유하고 있는 키로 상기 암호화된 데이터를 복호화하는 단계; 및 수신된 데이터와 복호화된 데이터가 일치하면, 상기 사용자가 상기 특정 장소에 위치하는 것으로 인증하는 단계;를 포함할 수 있다.The first authentication step may include receiving the data and data encrypted with a key held in the first user terminal; Decrypting the encrypted data with a holding key; And authenticating that the user is located at the specific location if the received data and the decrypted data match.
그리고, 상기 데이터는, 상기 단말이, 시간 정보로부터 생성한 데이터, 랜덤하게 생성한 데이터 또는 주기적으로 브로드캐스트 하는 데이터일 수 있다.The data may be data generated from time information, randomly generated data, or periodically broadcast data.
또한, 본 발명의 일 실시예에 따른 사용자 인증 방법은, 상기 제1 사용자 단말이 상기 특정 신호를 수신하지 못하고 있는 상황으로 판단되면, 상기 서비스 제공을 중단하는 단계;를 더 포함할 수 있다.The method may further include stopping the service provision if it is determined that the first user terminal is not receiving the specific signal.
그리고, 본 발명의 일 실시예에 따른 사용자 인증 방법은, 상기 제1 인증단계에서 인증에 실패하고, 상기 제2 인증단계에서 인증에 성공하면, 상기 사용자에게 상기 서비스 중 일부를 제한하는 단계;를 더 포함할 수 있다.The user authentication method according to an embodiment of the present invention includes the steps of: if the authentication fails in the first authentication step and the authentication is successful in the second authentication step, restricting a part of the service to the user; .
또한, 제한되는 서비스는, 보안이 요구되는 데이터, 파일, 프로그램 및 웹페이지 중 적어도 하나를 이용하여 제공되는 서비스일 수 있다.Also, the restricted service may be a service provided using at least one of security-required data, a file, a program, and a web page.
그리고, 상기 제공 단계는, 상기 특정 장소에 따라, 상기 사용자에게 상기 서비스 중 일부를 제한하여 제공할 수 있다.In addition, the providing step may restrict the user to a part of the service according to the specific location.
또한, 상기 특정 장소는, 이동 가능한 장소일 수 있다.Further, the specific place may be a movable place.
그리고, 상기 서비스는, 상기 서버가 보유하고 있는 자원을 상기 제1 사용자 단말 또는 상기 사용자가 휴대하고 있는 제2 사용자 단말을 통해 이용하는 서비스일 수 있다.The service may be a service that utilizes resources held by the server through the first user terminal or a second user terminal carried by the user.
한편, 본 발명의 다른 실시예에 따른, 서비스 제공 시스템은, 특정 장소에 설치된 단말 및 사용자가 휴대하는 제1 사용자 단말 중 적어도 하나와 통신하는 통신부; 및 상기 단말로부터 특정 신호를 수신한 상기 제1 사용자 단말의 사용자에 대한 위치 인증을 수행하고, 상기 사용자에 대한 본인 인증을 수행하며, 상기 위치 인증과 상기 본인 인증에 성공하면 상기 사용자에게 서비스를 제공하는 프로세서;를 포함한다.According to another aspect of the present invention, there is provided a service providing system including: a communication unit for communicating with at least one of a terminal installed in a specific place and a first user terminal carried by the user; And performing a location authentication for a user of the first user terminal that has received a specific signal from the terminal, performing authentication of the user with respect to the user, and if the location authentication and the authentication of the user are successful, And a processor.
이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 서비스 허가 구역에 위치한 단말을 이용한 위치 인증과 후속하는 본인 인증을 결합한 사용자 인증을 통해, 클라우드 환경에서 서비스 이용 장소를 부분적으로 제한/통제할 수 있게 된다.As described above, according to the embodiments of the present invention, it is possible to partially restrict / control a service using place in a cloud environment through user authentication combining location authentication using a terminal located in a service permission zone and subsequent authentication .
이에 의해, 본 발명의 실시예들에 따르면, 클라우드 시스템의 장점을 유지시키면서도, 단점인 보안 문제를 해결할 수 있게 되는데, 특히 회사/기관의 비밀 문서에 대한 클라우드 서비스 제공에 매우 유용하다.Accordingly, according to the embodiments of the present invention, it is possible to solve the security problem, which is a disadvantage, while maintaining the advantages of the cloud system, and is particularly useful for providing a cloud service for confidential documents of a company / institution.
나아가, 본 발명의 실시예들에 따르면, 고정된 구역이 아닌 이동하는 구역(이를 테면, 회사 버스)에서도, 위치 인증을 적용할 수 있다는 장점이 있다.Furthermore, according to embodiments of the present invention, there is an advantage that location authentication can be applied even in a moving area (such as a corporate bus) rather than a fixed area.
또한, 본 발명의 실시예들에 따르면, 비컨 단말 설치라는 비교적 간단한 작업을 통해 인증 환경을 구축할 수 있고, 비컨 신호 전송 세기/반경 조정을 통해 서비스 허가 구역의 범위를 유연하게 조정할 수 있다.Also, according to embodiments of the present invention, an authentication environment can be established through a relatively simple operation of installing a beacon terminal, and the range of a service permission zone can be flexibly adjusted through beacon signal transmission intensity / radius adjustment.
도 1은 본 발명의 일 실시예에 따른 클라우드 서비스 시스템을 나타낸 도면,
도 2는 클라우드 서비스를 위한 사용자 인증 과정을 나타낸 순서도,
도 3은 위치 인증된 사용자에 대한 클라우드 서비스 제공 과정을 나타낸 순서도, 그리고,
도 4는, 도 1에 도시된 클라우드 서버의 블럭도이다.1 is a diagram illustrating a cloud service system according to an embodiment of the present invention;
2 is a flowchart illustrating a user authentication process for a cloud service,
3 is a flowchart illustrating a process of providing a cloud service for a location authenticated user,
Fig. 4 is a block diagram of the cloud server shown in Fig. 1. Fig.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, the present invention will be described in detail with reference to the drawings.
1. One. 클라우드cloud 서비스 시스템 Service system
도 1은 본 발명의 일 실시예에 따른 클라우드 서비스 시스템을 나타낸 도면이다. 본 발명의 실시예에 따른 클라우드 서비스 시스템은, 서비스 허가 구역 내에서만 클라우드 서비스를 제공한다. 즉, 사용자는 서비스 허가 구역 내에 위치하는 경우에만 클라우드 서비스를 제공받을 수 있다.1 is a diagram illustrating a cloud service system according to an embodiment of the present invention. The cloud service system according to the embodiment of the present invention provides a cloud service only within the service permission zone. That is, the user can be provided with the cloud service only when the user is located in the service permission zone.
본 발명의 실시예에 따른 클라우드 서비스 시스템은, 도 1에 도시된 바와 같이, 클라우드 단말(10), 모바일 단말(100), 비컨 단말(200) 및 클라우드 서버(300)를 포함하여 구축된다.A cloud service system according to an embodiment of the present invention is constructed to include a
비컨 단말(200)은 서비스 허가 구역의 중심에 설치되고, 클라우드 서버(300)는 서비스 허가 구역 밖에 위치한다. 클라우드 서비스를 제공받기 위해서는, 클라우드 단말(10)과 모바일 단말(100)을 휴대하는 사용자가 서비스 허가 구역 내에 위치하여야 한다.The
클라우드 단말(10)과 모바일 단말(100)은 사용자가 휴대하는 단말들로, 본 발명의 실시예에서, 클라우드 단말(10)은 클라우드 서비스를 제공받는데 이용되고, 모바일 단말(100)은 사용자의 위치 인증에 이용된다.The
위치 인증을 위해, 모바일 단말(100)에는 '클라우드 서비스 인증 애플리케이션(150)'(이하, '애플리케이션(150)'으로 약칭)이 설치되어 있어야 한다.For location authentication, a 'cloud service authentication application 150' (hereinafter abbreviated as 'application 150') must be installed in the
비컨 단말(200)은 BLE(Bluetooth Low Energy) 기반으로 주변에 비컨 신호를 주기적으로 브로드캐스트 한다. 비컨 신호는 모바일 단말(100)에 의해 수신되며, 비컨 신호를 수신한 모바일 단말(100)은 애플리케이션(150)을 자동으로 실행한다.The
또한, 사용자의 위치 인증을 위해, 비컨 단말(200)은 모바일 단말(100)에서 실행되는 애플리케이션(150)과 인증에 필요한 데이터들을 주고 받는다. 비컨 단말(200)과 모바일 단말(100) 간의 인터랙션은 GATT 프로토콜(Generic ATTributes protocol)에 따를 수 있다.In addition, in order to authenticate the user's location, the
또한, 비컨 단말(200)은 비컨 신호의 송신 세기를 조절할 수 있다. 비컨 단말(200)의 비컨 신호가 도달할 수 있는 범위가, 곧 서비스 허가 구역이다. 따라서, 비컨 단말(200)은 비컨 송신 세기는 서비스 허가 구역의 크기를 결정한다고 볼 수 있다.Also, the
클라우드 서버(300)는 클라우드 단말(10)에 클라우드 서비스를 제공한다. 서비스 제공의 사전 절차로, 클라우드 서버(300)는 모바일 단말(100)과 비컨 단말(200)의 인터랙션에 의해 생성/전달받은 정보들을 이용하여, 사용자에 대한 위치 인증을 수행한다.The
또한, 클라우드 서버(300)는 클라우드 단말(10)을 통해 사용자에 대한 본인 인증을 수행한다.In addition, the
위치 인증을 위해, 모바일 단말(100)과 클라우드 서버(300)는 서비스 가입 과정에서 키를 생성/공유한다. 클라우드 서버(300)는 여러 사용자들의 키들을 보유하고 있으므로, 이를 구분하기 위해 사용자 ID에 키를 매칭시켜 보유한다.For location authentication, the
2. 사용자 인증 과정2. User Authentication Process
도 2는 클라우드 서비스를 위한 사용자 인증 과정을 나타낸 순서도이다.2 is a flowchart illustrating a user authentication process for a cloud service.
도 2에 도시된 바와 같이, 먼저, 사용자가 클라우드 단말(10)과 모바일 단말(100)을 휴대한 상태로 서비스 허가 구역 내에 진입한다(S405).As shown in FIG. 2, the user enters the service permission zone with the
그러면, 모바일 단말(100)이 서비스 허가 구역 내에 설치되어 있는 비컨 단말(200)로부터 비컨 신호를 수신한다(S410). 이에, 모바일 단말(100)의 애플리케이션(150)이 자동을 실행된다(S415).Then, the
애플리케이션(150)이 비컨 단말(200)에 인증 데이터를 요청하면(S420), 비컨 단말(200)은 요청에 대한 응답으로 인증 데이터를 생성하여 애플리케이션(150)으로 전송한다(S425).When the
인증 데이터는, 날짜&시간 정보로부터 생성할 수도 있고, 랜덤하게 생성할 수도 있다.The authentication data may be generated from the date & time information or randomly generated.
애플리케이션(150)은 S425단계에서 수신한 인증 데이터를 보유하고 있는 키로 암호화하고(S430), 암호화된 인증 데이터를 사용자 ID와 함께 비컨 단말(200)로 전송한다(S435).The
그러면, 비컨 단말(200)은 S435단계에서 수신한 암호화된 인증 데이터와 사용자 ID를 S425단계에서 생성한 인증 데이터와 함께 클라우드 서버(300)로 전송한다(S440).Then, the
클라우드 서버(300)는 S440단계에서 수신한 사용자 ID에 매칭되어 있는 키를 추출하고(S445), 추출한 키로 S440단계에서 수신한 암호화된 인증 데이터를 복호화한다(S450).The
그리고, 클라우드 서버(300)는, S450단계에서 복호화된 인증 데이터와 S440단계에서 수신한 인증 데이터를 비교하여(S455), 일치하면 사용자가 서비스 허가 구역 내에 위치하고 있는 것으로 판단(위치 인증 성공)하고, 일치하지 않으면 사용자가 서비스 허가 구역 내에 위치하고 있지 않은 것으로 판단(위치 인증 실패)한다(S460).Then, the
위치 인증에 성공하면, 클라우드 서버(300)가 인증 성공 메시지를 비컨 단말(200)을 통해 또는 직접 애플리케이션(150)에 전송하여, 사용자에게 인증 성공 사실을 알릴 수 있다.If the location authentication is successful, the
지금까지, 비컨 단말(200)을 이용한 위치 인증 과정에 대해 상세히 설명하였다. 위에서 제시한 위치 인증에는, 모바일 단말(100)과 클라우드 서버(300)가 공유하고 있는 키가 개입한다는 점에서, 본인 인증도 가미되는 복합적인 인증으로 볼 수 있다.The location authentication process using the
3. 3. 클라우드cloud 서비스 제공 Service provision
도 3은 위치 인증된 사용자에 대한 클라우드 서비스 제공 과정을 나타낸 순서도이다.3 is a flowchart illustrating a process of providing a cloud service to a location authenticated user.
도 3에 도시된 바와 같이, 클라우드 서버(300)가 위치 인증된 사용자에 대해 세션을 허가 하면(S510), 클라우드 단말(10)은 사용자 ID로 클라우드 서버(300)에 접근하여, 본인 인증 절차를 수행할 수 있다(S520).As shown in FIG. 3, when the
S520단계에서의 본인 인증에는 모바일 단말(100)과 클라우드 서버(300)가 공유하고 있는 키를 클라우드 단말(10)에 입력하여 수행할 수도 있고, 별도로 설정/등록한 패스워드를 클라우드 단말(10)에 입력하여 수행할 수도 있다.The authentication of the user in step S520 may be performed by inputting the key shared by the
S520단계에서의 본인 인증에 성공하면, 클라우드 서버(300)는 클라우드 단말(10)에 클라우드 서비스를 제공한다(S530). 이에 의해, 클라우드 단말(10)은 클라우드 서버(300)가 보유하고 있는 프로그램과 데이터를 이용할 수 있게 된다.If the user authentication succeeds in step S520, the
클라우드 단말(10)과 클라우드 서버(300) 간의 세션 종료는, 사용자의 로그 아웃 외에도, 사용자의 서비스 허가 구역 이탈에 의해 발생한다.The termination of the session between the
사용자의 서비스 허가 구역 이탈에 의한 세션 종료를 위해, 클라우드 서비스 제공 중에(S530), 모바일 단말(100)은 비컨 단말(200)로부터 수신하는 비컨 신호에 대한 응답을 비컨 단말(200)로 전송한다.The
사용자가 클라우드 단말(10)과 모바일 단말(100)을 휴대하고 서비스 허가 구역 이탈하면(S540), 모바일 단말(100)은 비컨 단말(200)로부터 비컨 신호를 수신하지 못하고, 비컨 단말(200)은 모바일 단말(100)로부터 신호 응답을 수신하지 못한다(S550).The
이에, 비컨 단말(200)은 사용자가 서비스 허가 구역을 이탈한 것으로 판단하고, 클라우드 서버(300)에 사용자의 서비스 허가 구역 이탈을 알리기 위한 메시지를 전송한다(S560).Accordingly, the
사용자 이탈 안내 메시지를 수신한 클라우드 서버(300)는 세션을 종료하여(S570), 클라우드 단말(10)을 통한 클라우드 서비스 제공을 중단한다(S580).The
4. 4. 클라우드cloud 서버 server
도 4는, 도 1에 도시된 클라우드 서버(300)의 블럭도이다. 클라우드 서버(300)는, 도 4에 도시된 바와 같이, 통신부(310), 프로세서(320) 및 저장부(330)를 포함한다.4 is a block diagram of the
통신부(310)는, 본인 인증과 클라우드 서비스 제공을 위해 클라우드 단말(10)과 통신하고, 서비스 가입과 키 공유를 위해 모바일 단말(100)과 통신하며, 위치 인증을 위해 비컨 단말(200)과 통신한다.The
프로세서(320)는 도 2와 도 3에 도시된 절차들 중 클라우드 서버(300)에 의해 수행되는 절차들을 실행하여, 사용자 인증을 수행하고, 클라우드 서비스를 제공한다.The
저장부(330)에는 클라우드 서비스 제공과 사용자 인증에 필요한 데이터, 파일, 테이블, DB 등이 저장된다.The
5. 5. 변형예Variation example
지금까지, 서비스 허가 구역에 위치한 비컨 단말(200)을 이용한 위치 인증과 후속하는 본인 인증을 결합한 사용자 인증 방법 및 시스템에 대해 바람직한 실시예들을 들어 상세히 설명하였다.The preferred embodiment has been described in detail for a user authentication method and system that combines position authentication using the
위 실시예에서는, 위치 인증 과정에서 비컨 단말(200)이 인증 데이터를 생성하는 것을 상정하였으나, 변경이 가능하다.In the above embodiment, assume that the
예를 들어, 인증 데이터를 생성하지 않고, 비컨 단말(200)의 비컨 신호를 위치 인증에 사용할 수 있다. 이 경우, 모바일 단말(100)은 비컨 신호를 암호화하고, 클라우드 서버(300)는 암호화된 비컨 신호를 복호화하여 비컨 신호와 비교함으로써, 위치 인증을 수행하게 된다.For example, the beacon signal of the
나아가, 위치 인증 과정에 비컨 단말(200)이 개입하지 않는 것도 가능하다. 이 경우, 비컨 단말(200)은 비컨 신호만 주기적으로 브로드캐스트하게 되며, 모바일 단말(100)은 수신한 비컨 신호를 클라우드 서버(300)로 전달하고, 모바일 단말(100)로부터 비컨 신호를 수신한 클라우드 서버(300)가 인증 데이터를 생성하여 모바일 단말(100)로 전송하게 된다.Furthermore, it is also possible that the
한편, 사용자의 요청에 의해 위치 인증이 개시되도록 구현하는 것도 가능하다. 이를 테면, 사용자가 클라우드 단말(10) 또는 모바일 단말(100)을 통해 위치 인증을 요청하면, 클라우드 서버(300)가 비컨 단말(200)로 특정 데이터 전송하고, 비컨 단말(200)은 짧은 시간 동안 수신한 특정 데이터가 포함된 신호를 브로드캐스트 하는 것이다. 그러면, 모바일 단말(100)은 비컨 단말(200)로부터 수신한 신호에서 특정 데이터를 추출하고 이 데이터를 표시하여 사용자가 클라우드 단말(10)에 직접 입력하도록 하거나, 모바일 단말(100)이 특정 데이터를 자동으로 클라우드 서버(300)로 전송하도록 한다. 클라우드 서버(300)는 클라우드 단말(10) 또는 모바일 단말(100)로부터 수신한 데이터와 자신이 비컨 단말(200)에 전송하였던 데이터의 동일 여부를 확인하여 사용자에 대한 위치 인증을 수행하게 된다.On the other hand, it is also possible to implement such that position authentication is started at the request of the user. For example, when a user requests location authentication through the
또한, 위 실시예에서, 위치 인증 결과에 따라 클라우드 서비스의 제공 여부가 결정되었다. 즉, 위치 인증에 성공하여야만, 클라우드 서비스를 제공받을 수 있는 것을 상정하였다. 하지만, 이 역시 예시적인 것으로 변경이 가능하다.In the above embodiment, it has been determined whether or not to provide the cloud service according to the location authentication result. That is, assuming that the location authentication is successful, the cloud service can be provided. However, this can also be changed to an example.
이를 테면, 위치 인증과 본인 인증 모두에 성공하면 클라우드 서비스를 제한 없이 모두 제공받을 수 있는 반면, 위치 인증에 실패하고 본인 인증만 성공한 경우에는 클라우드 서비스에 제한을 두어 제공하는 것이 가능하다.For example, if both the location authentication and the authentication are successful, the cloud service can be provided without restriction. On the other hand, if the location authentication fails and only the authentication of the user succeeds, the restriction on the cloud service can be provided.
제한이 가해지는 서비스는, 보안이 요구되는 데이터, 파일, 프로그램 및 웹페이지를 이용하는 서비스(보안이 요구되지 않는 자원들만 이용하는 서비스)가 될 수 있다.The restricted service may be a service that uses security-required data, files, programs, and web pages (services that use only resources that do not require security).
나아가, 위치 인증에 성공하였다 할지라도, 서비스 허가 구역의 종류에 따라 서비스를 제한하는 것도 가능하다. 이를 테면, 서비스 허가 구역-A에서는 보안이 요구되는 데이터, 파일 등의 읽기와 쓰기 서비스가 가능한 반면, 서비스 허가 구역-B에서는 보안이 요구되는 데이터, 파일 등의 읽기만 가능한 것으로 구현 가능하다. 서비스 허가 구역-A와 서비스 허가 구역-B가 아닌 경우, 즉, 위치 인증에 실패한 경우에는 보안이 요구되는 데이터, 파일 등의 읽기와 쓰기 서비스 모두가 불가능하다.Furthermore, even if the location authentication is successful, it is also possible to restrict the service according to the type of the service permission zone. For example, it is possible to read and write data and files that require security in service-allowed zone-A, but can read and write data and files that require security in service-allowed zone-B. In the case where the service authorization zone-A and the service authorization zone-B are not available, that is, when the location authentication fails, both reading and writing services such as data and files requiring security are impossible.
한편, 서비스 허가 구역은 반드시 고정된 장소여야 하는 것은 아니다. 회사 버스에 비컨 단말(200)을 설치한 경우에는, 이동 가능한 장소에 대해서도, 본 발명의 실시예에서 제시한 위치 인증을 적용할 수 있다.On the other hand, the service permission zone does not necessarily have to be a fixed location. When the
또한, 위 실시예에서, 클라우드 서비스를 제공받는 클라우드 단말(10)의 종류에 대한 제한은 없다. 나아가, 클라우드 단말(10)이 아닌 모바일 단말(100)을 통해 클라우드 서비스를 제공하는 경우에도, 본 발명의 기술적 사상이 적용될 수 있다.Further, in the above embodiment, there is no limitation on the kind of the
나아가, 본 발명의 실시예에 따른 사용자 인증 방법은, 소프트웨어 라이선스 검증 용도로도 활용 가능하다. 이를 테면, 소프트웨어 개발 업체에서 판매한 소프트웨어의 불법 복제 또는 외부 유출 금지 등의 조건을 실행하기 위해, 소프트웨어 사용 허가 구역들을 설정하고, 그 구역들에 비컨 단말(200)을 설치하여 정해진 장소에서 허가된 사용자만이 클라우드 서버(300)에 있는 소프트웨어를 사용할 수 있도록 할 수 있다.Furthermore, the user authentication method according to the embodiment of the present invention can be utilized for software license verification. For example, in order to execute conditions such as illegal copying or outflow of software sold by a software developer, it is necessary to set up software use permission zones, install
또한, 동시 사용 가능한 사용자수를 제한하여, 정해진 장소에서 정해진 수의 사용자만이 소프트웨어를 이용할 수 있도록, 라이선스를 관리하는 경우에도 본 발명의 기술적 사상이 적용될 수 있다.In addition, the technical idea of the present invention can be applied to a case where a license is managed so that the number of simultaneously usable users is limited so that only a predetermined number of users can use the software at a predetermined place.
한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다.It goes without saying that the technical idea of the present invention can also be applied to a computer-readable recording medium having a computer program for performing the functions of the apparatus and method according to the present embodiment. In addition, the technical idea according to various embodiments of the present invention may be embodied in computer-readable code form recorded on a computer-readable recording medium. The computer-readable recording medium is any data storage device that can be read by a computer and can store data. For example, the computer-readable recording medium may be a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical disk, a hard disk drive, or the like. In addition, the computer readable code or program stored in the computer readable recording medium may be transmitted through a network connected between the computers.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and detail may be made therein without departing from the spirit and scope of the present invention.
10 : 클라우드 단말
100 : 모바일 단말
200 : 비컨 단말
300 : 클라우드 서버10: Cloud terminal
100: mobile terminal
200: Beacon terminal
300: Cloud server
Claims (11)
상기 사용자에 대한 본인 인증을 수행하는 제2 인증단계;
상기 제1 인증단계와 제2 인증단계 후에, 상기 사용자에게 서비스를 제공하는 단계; 및
상기 제공단계를 통해 상기 서비스가 제공된 이후에, 상기 제1 사용자 단말이 상기 특정 신호를 수신하지 못하고 있는 상황으로 판단되면, 상기 서비스 제공을 중단하는 단계;를 포함하고,
상기 서비스 제공 중단단계는,
상기 특정 장소에 설치된 상기 단말이 상기 특정 신호를 송신한 후에 상기 제1 사용자 단말로부터 상기 특정 신호에 대한 응답을 수신하지 못하여, 상기 단말이 상기 서비스를 제공하는 서버에 알림 메시지를 전송한 경우에, 상기 제1 사용자 단말이 상기 특정 신호를 수신하지 못하고 있는 상황으로 판단하는 것을 특징으로 하는 사용자 인증 방법.
A first authentication step of performing location authentication for a user of a first user terminal that receives a specific signal from a terminal installed in a specific place;
A second authentication step of performing authentication of the user with respect to the user;
Providing a service to the user after the first authentication step and the second authentication step; And
And stopping the service provision if it is determined that the first user terminal is not receiving the specific signal after the service is provided through the providing step,
The service provision interruption step includes:
When the terminal does not receive a response to the specific signal from the first user terminal after transmitting the specific signal and the terminal transmits a notification message to the server providing the service, And determining that the first user terminal is not receiving the specific signal.
상기 제1 인증단계는,
상기 단말이 생성한 데이터를 이용하여, 상기 위치 인증을 수행하는 것을 특징으로 하는 사용자 인증 방법.
The method according to claim 1,
Wherein the first authentication step comprises:
Wherein the location authentication is performed using data generated by the terminal.
상기 제1 인증단계는,
상기 데이터와 상기 제1 사용자 단말에 보유된 키로 암호화된 데이터를 수신하는 단계;
보유하고 있는 키로 상기 암호화된 데이터를 복호화하는 단계; 및
수신된 데이터와 복호화된 데이터가 일치하면, 상기 사용자가 상기 특정 장소에 위치하는 것으로 인증하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 2,
Wherein the first authentication step comprises:
Receiving the data and data encrypted with a key held at the first user terminal;
Decrypting the encrypted data with a holding key; And
And authenticating that the user is located at the specific location if the received data matches the decrypted data.
상기 데이터는,
상기 단말이, 시간 정보로부터 생성한 데이터, 랜덤하게 생성한 데이터 또는 주기적으로 브로드캐스트 하는 데이터인 것을 특징으로 하는 사용자 인증 방법.
The method of claim 3,
The data includes:
Wherein the terminal is data generated from time information, randomly generated data, or periodically broadcast data.
상기 제1 인증단계에서 인증에 실패하고, 상기 제2 인증단계에서 인증에 성공하면, 상기 사용자에게 상기 서비스 중 일부를 제한하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method according to claim 1,
Further comprising restricting a portion of the service to the user if authentication fails in the first authentication step and authentication is successful in the second authentication step.
제한되는 서비스는,
보안이 요구되는 데이터, 파일, 프로그램 및 웹페이지 중 적어도 하나를 이용하여 제공되는 서비스인 것을 특징으로 하는 사용자 인증 방법.
The method of claim 6,
Limited services,
Wherein the service is provided using at least one of security-required data, a file, a program, and a web page.
상기 제공 단계는,
상기 특정 장소에 따라, 상기 사용자에게 상기 서비스 중 일부를 제한하여 제공하는 것을 특징으로 하는 사용자 인증 방법.
The method according to claim 1,
Wherein the providing step comprises:
Wherein the user is provided with a limited portion of the services according to the specific location.
상기 특정 장소는,
이동 가능한 장소인 것을 특징으로 하는 사용자 인증 방법.
The method according to claim 1,
The specific location may be,
Wherein the user is a movable place.
상기 서비스는,
상기 서버가 보유하고 있는 자원을 상기 제1 사용자 단말 또는 상기 사용자가 휴대하고 있는 제2 사용자 단말을 통해 이용하는 서비스인 것을 특징으로 하는 사용자 인증 방법.
The method according to claim 1,
The service includes:
Wherein the server is a service that uses resources held by the server through the first user terminal or a second user terminal carried by the user.
상기 단말로부터 특정 신호를 수신한 상기 제1 사용자 단말의 사용자에 대한 위치 인증을 수행하고, 상기 사용자에 대한 본인 인증을 수행하며, 상기 위치 인증과 상기 본인 인증 후에 상기 사용자에게 서비스를 제공하고, 상기 서비스가 제공된 이후에 상기 제1 사용자 단말이 상기 특정 신호를 수신하지 못하고 있는 상황으로 판단되면 상기 서비스 제공을 중단하는 프로세서;를 포함하고,
상기 프로세서는,
상기 특정 신호를 송신한 후에 상기 제1 사용자 단말로부터 상기 특정 신호에 대한 응답을 수신하지 못한 상기 특정 장소에 설치된 상기 단말로부터 알림 메시지를 수신한 경우에, 상기 제1 사용자 단말이 상기 특정 신호를 수신하지 못하고 있는 상황으로 판단하는 것을 특징으로 하는 서비스 제공 시스템.
A communication unit for communicating with at least one of a terminal installed in a specific place and a first user terminal carried by the user; And
Performing location authentication for a user of the first user terminal that has received a specific signal from the terminal, performing authentication of the user with respect to the user, providing a service to the user after the location authentication and the authentication of the user, And stopping the service provision if it is determined that the first user terminal is not receiving the specific signal after the service is provided,
The processor comprising:
When the first user terminal receives the notification signal from the terminal installed at the specific location that has not received a response to the specific signal from the first user terminal after transmitting the specific signal, The service providing system determines that the situation is not satisfied.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150189566A KR101824956B1 (en) | 2015-12-30 | 2015-12-30 | Location-based User Authentication Method and System using the Beacon |
PCT/KR2016/013882 WO2017116016A1 (en) | 2015-12-30 | 2016-11-29 | Location-based user authentication method and system using beacon |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150189566A KR101824956B1 (en) | 2015-12-30 | 2015-12-30 | Location-based User Authentication Method and System using the Beacon |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170079224A KR20170079224A (en) | 2017-07-10 |
KR101824956B1 true KR101824956B1 (en) | 2018-02-02 |
Family
ID=59225012
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150189566A KR101824956B1 (en) | 2015-12-30 | 2015-12-30 | Location-based User Authentication Method and System using the Beacon |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101824956B1 (en) |
WO (1) | WO2017116016A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113747431B (en) * | 2021-09-07 | 2024-04-12 | 中科星云物连科技(北京)有限公司 | Data encryption system and data encryption method of mobile equipment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US20150356289A1 (en) * | 2014-06-04 | 2015-12-10 | Qualcomm Incorporated | Secure Current Movement Indicator |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140282620A1 (en) * | 2013-03-15 | 2014-09-18 | Frank Settemo NUOVO | System and method for triggering an event in response to receiving a device identifier |
KR20150075166A (en) * | 2013-12-24 | 2015-07-03 | 한국전자통신연구원 | Method for providing location based service and apparatus for performing the method |
US10067217B2 (en) * | 2014-02-17 | 2018-09-04 | Bruce E. Stuckman | Delivery beacon device and methods for use therewith |
-
2015
- 2015-12-30 KR KR1020150189566A patent/KR101824956B1/en active IP Right Grant
-
2016
- 2016-11-29 WO PCT/KR2016/013882 patent/WO2017116016A1/en active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US20150356289A1 (en) * | 2014-06-04 | 2015-12-10 | Qualcomm Incorporated | Secure Current Movement Indicator |
Also Published As
Publication number | Publication date |
---|---|
WO2017116016A1 (en) | 2017-07-06 |
KR20170079224A (en) | 2017-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200106610A1 (en) | System and method for decentralized identity management, authentication and authorization of applications | |
EP1498800B1 (en) | Security link management in dynamic networks | |
JP4746266B2 (en) | Method and system for authenticating a user for a sub-location in a network location | |
JP6785967B2 (en) | Methods and systems to block phishing or ransomware attacks | |
KR101668550B1 (en) | Apparatus and Method for Allocating Role and Permission based on Password | |
CN107483495B (en) | Big data cluster host management method, management system and server | |
US20100228987A1 (en) | System and method for securing information using remote access control and data encryption | |
JP2008510219A (en) | Method and system for transmitting data to personal portable terminal via network | |
KR20210095093A (en) | Method for providing authentification service by using decentralized identity and server using the same | |
US11757877B1 (en) | Decentralized application authentication | |
CN111247521B (en) | Remote locking of multi-user devices to user sets | |
KR102372503B1 (en) | Method for providing authentification service by using decentralized identity and server using the same | |
KR102402705B1 (en) | Method and server for verifying multifactor security of mobile remote control based on zero trust model in separated netwrok environment | |
KR20240023589A (en) | Cross authentication method and system between online service server and client | |
AU2022291428A1 (en) | A Process and Detachable Device for Using and Managing Encryption Keys | |
CN106992978B (en) | Network security management method and server | |
KR20080052088A (en) | Wireless rfid medical device access control method using wlan security standard technology | |
CN108667800B (en) | Access authority authentication method and device | |
JP2007299053A (en) | Access control method and access control program | |
KR20160025429A (en) | Data management method, Computer program for the same, Recording medium storing computer program for the same, User Client for the same, and Security policy server for the same | |
KR101824956B1 (en) | Location-based User Authentication Method and System using the Beacon | |
CN109067755B (en) | Access control method and system for security switch | |
KR102062851B1 (en) | Single sign on service authentication method and system using token management demon | |
CN115906196A (en) | Mobile storage method, device, equipment and storage medium | |
KR20110128371A (en) | Mobile authentication system and central control system, and the method of operating them for mobile clients |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |