KR20200051185A - 사용자단말기 기반의 보안인증시스템 - Google Patents

사용자단말기 기반의 보안인증시스템 Download PDF

Info

Publication number
KR20200051185A
KR20200051185A KR1020180134190A KR20180134190A KR20200051185A KR 20200051185 A KR20200051185 A KR 20200051185A KR 1020180134190 A KR1020180134190 A KR 1020180134190A KR 20180134190 A KR20180134190 A KR 20180134190A KR 20200051185 A KR20200051185 A KR 20200051185A
Authority
KR
South Korea
Prior art keywords
user
user terminal
service server
server
security
Prior art date
Application number
KR1020180134190A
Other languages
English (en)
Inventor
최명진
Original Assignee
주식회사 쇠당나귀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 쇠당나귀 filed Critical 주식회사 쇠당나귀
Priority to KR1020180134190A priority Critical patent/KR20200051185A/ko
Publication of KR20200051185A publication Critical patent/KR20200051185A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/30Network data restoration; Network data reliability; Network data fault tolerance

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 사용자단말기 기반의 보안인증시스템에 관한 것으로서, 보다 상세하게는 특정 작업을 하거나 서비스를 이용하려는 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 해당 서비스서버에 대한 접속이 허용되도록 하여 네트워크 보안을 유지할 수 있도록 하는 사용자단말기 기반의 보안인증시스템에 관한 것이다.
본 발명에 따르면 사내 네트워크에 접속된 장비를 사용하여 작업을 하거나, 특정한 보안이 요구되는 시설 내부에서 작업하는 사용자의 인증 과정을 다중으로 거치게 함으로써 보안인증 등급을 향상시킬 수 있는 효과가 있다.

Description

사용자단말기 기반의 보안인증시스템{SECURITY SYSTEM BASED ON USER TERMINAL}
본 발명은 사용자단말기 기반의 보안인증시스템에 관한 것으로서, 보다 상세하게는 특정 작업을 하거나 서비스를 이용하려는 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 해당 서비스서버에 대한 접속이 허용되도록 하여 네트워크 보안을 유지할 수 있도록 하는 사용자단말기 기반의 보안인증시스템에 관한 것이다.
정보·통신기술의 발전으로 온라인에 정보가 집중화되면서 정보보호 및 보안의 중요성은 더욱 높아지고 있다. 정보보호는 컴퓨터를 이용한 정보시스템이나 유무선 인터넷과 같은 네트워크를 통하여 전달되는 정보의 위·변조, 유출, 무단침입, 서비스거부 등을 비롯한 각종 불법 행위로부터 조직 혹은 개인의 컴퓨터와 정보를 안전하게 보호하고, 물리적 공간에서의 보안 침해사고 방지, 타산업과의 융합 시스템에서의 보안을 제공하기 위한 기술로, 공통기반 보안, 네트워크 보안, 디바이스 보안, 서비스 보안, 융합보안 기술로 구분한다.
전통적으로 보안은 물리보안과 정보보안으로 구분돼 따로 성장해 왔으나 최근 출입통제, 주차시설 관리, CCTV영상보안 같은 물리적 보안 산업이 컴퓨터, 네트워크상의 정보를 보호하는 IT 정보보안 기술과 접목되면서 물리보안과 정보보안의 경계가 허물어지고 둘의 영역이 합쳐지는 융합보안이라는 영역이 생겨났다 또한, IT기술이 자동차, 조선, 의료, 전력 등 기존 산업에 활용되면서 IT와 산업간 융합에서 발생하는 보안문제를 다루는 것이 새로운 융합보안에 포함된다.
암호와 인증은 컴퓨터 시스템 내부에 저장된 데이터와 통신 구간을 암호화하여 기밀성을 확보하고 시스템에 접속하고자 하는 사용자를 인증하기 위한 기술을 의미한다. 공통 기반 보안 기술로서 적용범위는 웹서버와 브라우저간의 송수신 암호화하는 Web보안, DB보안, XML보안, 네트워크보안, 스마트폰 보안 등과 암호, 인증, 전자서명 등의 PKI(Public Key Infrastructure) 등이 될 수 있다.
사용자 인증기술과 관련하여, 온라인 서비스들의 비대면 특성으로 서비스를 받는 사용자가 적절한 사용자인지 인증하는 과정이 필요하다 만약, 사용자를 올바르게 인증할 수 없다면 서비스 종류에 따라 개인정보 등이 노출될 수 있으므로 사용자 인증을 통하여 안전성과 신뢰성을 확보하는 것이 필수이다. 이와 같이 서비스를 받는 사용자가 적법한지 여부를 판별하기 위해 사용되는 요소를 인증요소라 한다.
서비스 제공 과정에서 사용자를 확인하기 위한 보안시스템에서 보안키를 특정 장치 및 특정 사용자에게 고유한 인증요소로부터 생성하기 위한 기술이 개시된다.
도 1은 종래기술에 따른 근거리 무선통신 기반의 결제 보안 인증 시스템을 나타내 블럭도이며, 도 2는 도 1의 클라이언트 단말기와 지불게이트 서버의 구성을 나타낸 블럭도이다.
종래기술의 근거리 무선통신 기반의 결제 보안 인증 시스템은 클라이언트 단말기(100), 판매자 단말기(130), 지불게이트 서버(150), 은행서버(180)를 구비한다.
클라이언트 단말기(100)는 판매자 단말기(130)와 근거리 무선통신을 통해 결제 계좌정보 및 결제금액을 포함한 결제요구정보를 수신하고, 수신된 결제요구정보에 대해 지불게이트 서버(150)를 통해 결제를 진행할 수 있도록 되어 있다.
여기서, 판매자 단말기(130)는 근거리 무선통신을 지원하는 근거리 무선통신모듈이 장착되어 있고, 근거리 무선통신 영역 내로 접근된 클라이언트 단말기(100)로 판매금액, 입금계좌정보에 해당하는 결제 요구정보를 근거리 무선통신에 의해 클라이언트 단말기(100)로 제공할 수 있도록 되어 있다.
지불 게이트 서버(150)는 클라이언트 단말기(100)와 통신망(170)을 통해 교신하면서 클라이언트 단말기(100)에 대한 인증과정을 거친 후, 정상인증으로 처리되면 클라이언트 단말기(100)에서 요청한 계좌이체 요구정보를 수신받아 클라이언트 단말기(100)에서 등록한 출금 계좌 은행서버(180)로 해당 결제금액이 이체되도록 처리한다.
이러한 지불게이트 서버(150)는 클라이언트 단말기(100)가 통신망(170)을 통해 접속되면 클라이언트 단말기 (100)가 보유한 개인키와, 지불케이스 서버(150)가 보유한 공개키를 상호 교환하고, 메인 데이터 베이스(160)에 등록된 사용자 인증정보와 클라이언트 단말기(100)에서 전송된 사용자 인증정보가 일치하면 설정된 보안화 방식에 의해 교신하면서 클라이언트 단말기(100)에서 요청한 지불정보를 클라이언트 단말기(100)가 등록한 출금 계좌 은행서버(180)의 등록 계좌에서 지불처리될 수 있도록 처리한다.
클라이언트 단말기(100)는 클라이언트 근거리 무선통신모듈(102), 클라이언트 메인 통신모듈(103), 클라이언트암복호 모듈(104), 클라이언트 인증수행모듈(105), 클라이언트 전자결제 데이터 베이스(DB)(106) 및 클라이언트 제어모듈(108)를 구비한다.
클라이언트 근거리 무선통신모듈(102)은 클라이언트 제어모듈(108)에 제어되어 판매자단말기(130)와 근거리무선 통신을 수행한다.
클라이언트 메인 통신모듈(103)은 클라이언트 제어모듈(108)에 제어되어 지불게이트 서버(150)와 통신을 수행한다.
클라이언트 전자결제 데이터 베이스(DB)(106)는 인증정보, 결제처리정보 등 클라이언트 제어모듈(108)에 제어되어 각종 정보를 저장하고 있다.
클라이언트 제어모듈(108)은 클라이언트 근거리 무선통신모듈(102)을 통해 수신된 신호를 처리하고, 클라이언트 메인 통신 모듈(103)을 통해 지불게이트 서버(150)로부터 수신된 신호를 처리하며, 지불 게이트 서버(150)와 교신시 보유한 개인키를 지불게이트 서버(150)의 공개키와 상호 교환한 후 지불게이트 서버(150)에서 후속으로 제공한 대칭키를 이용하여 지불게이트 서버(150)와 전송대상 정보를 암호화 하여 송수신처리하도록 클라이언트 암복호모듈(104)을 포함한 제어대상 요소들을 제어한다.
또한, 클라이언트 제어모듈(108)은 처리정보 및 저장이 요구되는 정보를 클라이언트 전자결제 데이터 베이스(106)에 저장처리한다.
지불 게이트 서버(150)에서 클라이언트 단말기(100)가 접속됐는지를 판단하고, 접속됐다고 확인되면 보유한 공개키를 상호 교환한다. 즉, 클라이언트 단말기(100)는 보유한 개인키를 지불 게이트 서버(150)에 전송하고, 지불게이트 서버(150)는 보유한 공개키를 클라이언트 단말기(100)에 전송한다.
이후, 지불게이트 서버(150)는 클라이언트 단말기(100)로부터 수신한 개인키를 테스트한다(단계 230) 또한, 클라이언트 단말기(100)도 지불게이트 서버(150)로부터 수신한 공개키를 테스트한다.
여기서 키테스팅 과정이 정상적으로 성공됐음은 상대방의 키로 암호화하여 전송한 정보가 상대방에서 정상적으로 복호화 되는지를 판단하고, 정상적인 복호화가 이루어진 것으로 판단되면, 지불게이트 서버(150)에서 대칭키를 클라이언트 단말기(100)의 개인키로 암호화 하여 클라이언트 단말기(100)로 전송하고, 클라이언트 단말기(100)에서는 수신된 대칭키를 자신의 개인키로 복호하하며, 이후 대칭키를 이용하여 클라이언트 단말기(100)와 지불게이트 서버(150) 상호간에 전송대상 정보를 암호화 하여 송수신처리가 가능한 상태가 되도록 한다.
그러나 이러한 근거리 무선통신에 기반한 보안인증시스템에서는 특정 시스템에 접속하는 사용자에게 근거리 무선통신이 가능한 단말기를 소지할 것을 요구하지만, 이러한 목적에 사용될 전용 단말기를 구비해야 하기 때문에 보안시스템 구축에 별도의 비용이 소요된다.
또한 사용자가 단말기를 구비한 상태로 접속을 한 후에 통상적인 활동과 다른 작업패턴을 보이는 경우에 이를 감지해서 침입이나 해킹을 예방할 수 있는 기능이 없어서 보안에 위해 요소가 되기도 한다.
KR 10-1395315 B1 KR 10-2016-0016244 A KR 10-2016-0072391 A KR 10-1666791 B1
전술한 문제점을 해결하기 위한 본 발명은 서비스서버와 무선통신망으로 연결되는 사용자단말기를 일반적인 스마트폰 등으로 사용할 수 있도록 하고, 스마트폰에 애플리케이션과 고유키를 설치함으로써 전용 단말기를 구비하지 않아도 보안시스템을 구축할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.
또한 사용자가 서비스서버에 접속하여 수행하는 작업 이력을 저장한 후, 이를 테이블로 기록함으로써 통상 작업내용과 다른 작업을 실행하는 경우에 검증하는 절차를 거치도록 함으로써 제3자의 무단 도용을 방지할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.
또한 사용자가 긴급한 상황에서 데이터 삭제나 차단 버튼을 눌렀을 때, 관리자서버는 서비스서버에 저장된 특정 파일을 삭제하거나, 백업서버로 파일을 이동시켜 제3자의 접근을 차단하도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.
또한 블록체인 기술을 도입하여 각 사용자의 접속인증정보 및 접속내역에 대한 정보를 분산된 사용자단말기에 저장하도록 함으로써 보안인증정보의 해킹이나 위변조를 원천적으로 예방할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.
전술한 문제점을 해결하기 위해 안출된 본 발명은 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 상기 서비스서버에 대한 접속을 허용하도록 하는 보안인증시스템으로서, 사용자 인증을 위한 정보를 주고받는 게이트웨이앱(213)과, 사용자 인증을 정보로 활용되는 고유키(215)를 포함하는 사용자단말기(210)와; 상기 사용자가 접속하여 작업을 하거나 서비스를 이용할 수 있도록 해주는 서비스서버(230)와; 상기 서비스서버(230)의 동작이나 데이터 저장이나 변경, 삭제를 제어하는 관리자서버(240)와; 상기 사용자단말기(210), 상기 서비스서버(230), 상기 관리자서버(240)를 연결하여 데이터 송수신을 가능하게 하는 네트워크(220);를 포함하며, 상기 서비스서버(230)는 무선통신모듈(231)을 포함하며, 상기 사용자단말기(210)가 상기 무선통신모듈(231)과 접속할 수 있을 정도로 근접한 접속가능영역 내부에 위치한 경우에 상기 서비스서버(230)는 상기 사용자에 대한 접속을 허용하도록 한다.
상기 무선통신모듈(231)은 블루투스 프로토콜을 사용하는 근거리 무선통신장비인 것을 특징으로 한다.
상기 서비스서버(230)에 저장된 데이터를 이동하여 저장하는 백업서버(250);를 추가로 포함하며, 상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)에 저장된 특정 데이터를 상기 백업서버(250)로 이동시킨 후 상기 서비스서버(230)에서 삭제하는 것을 특징으로 한다.
상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)와 상기 네트워크의 연결을 차단하는 것을 특징으로 한다.
상기 관리자서버(240)는 상기 사용자가 상기 서비스서버(230)에 접속하는 시간, 접근하는 폴터, 사용하는 파일에 대한 정보를 수집하여 테이블에 기록하고, 상기 사용자가 상기 서비스서버(230)에서 수행하는 작업의 내용이 상기 테이블에 기록된 내용과 다른 경우, 상기 사용자가 사용하는 사용자단말기(210)에 추가 인증을 요구하는 것을 특징으로 한다.
상기 관리자서버(240)는 상기 사용자단말기(210)에 요구한 추가 인증이 수신되지 않거나, 추가 인증이 부적합한 경우에 상기 서비스서버(230)에 대한 접속을 해제하는 것을 특징으로 한다.
본 발명에 따르면 사내 네트워크에 접속된 장비를 사용하여 작업을 하거나, 특정한 보안이 요구되는 시설 내부에서 작업하는 사용자의 인증 과정을 다중으로 거치게 함으로써 보안인증 등급을 향상시킬 수 있는 효과가 있다.
도 1은 종래기술에 따른 근거리 무선통신 기반의 결제 보안 인증 시스템을 나타내 블럭도.
도 2는 도 1의 클라이언트 단말기와 지불게이트 서버의 구성을 나타낸 블럭도.
도 3은 본 발명의 실시예에 따른 보안인증시스템의 구성을 나타낸 블럭도.
도 4는 접속가능영역 내부에 있는 사용자단말기와 외부에 있는 사용자단말기의 접속 허용 여부를 나타낸 개념도.
도 5는 사용자단말기의 구성을 나타낸 블럭도.
도 6는 보안인증시스템의 동작 과정을 나타낸 순서도.
도 7은 사용자의 접속 기록에 대한 데이터를 분산저장하는 개념을 나타낸 블럭도.
도 8은 사용자의 사용행태를 수집하여 테이블로 작성하는 과정을 나타낸 개념도.
도 9는 긴급시에 데이터를 삭제하거나 차단하는 방법을 나타낸 개념도.
이하에서 도면을 참조하여 본 발명의 실시예에 따른 "사용자단말기 기반의 보안인증시스템"(이하, '보안인증시스템'이라 함)을 설명한다.
도 3은 본 발명의 실시예에 따른 보안인증시스템의 구성을 나타낸 블럭도이며, 도 4는 접속가능영역 내부에 있는 사용자단말기와 외부에 있는 사용자단말기의 접속 허용 여부를 나타낸 개념도, 도 5는 사용자단말기의 구성을 나타낸 블럭도이다.
본 발명의 보안인증시스템(200)은 물리적으로 분리된 특정 공간에 접근한 사용자를 인증하여 시스템에 대한 접속을 허용함으로써 작업이나 서비스를 이용할 수 있도록 하는 목적으로 사용된다. 특정 보안구역에 출입하는 사용자의 인증에도 사용될 수 있다.
보안인증시스템(200)은 네트워크(220)로 연결된 다수의 사용자단말기(210)와 서비스서버(230), 관리자서버(240), 백업서버(250)로 이루어진다.
사용자단말기(210)는 무선통신기능을 가지며, 애플리케이션의 설치와 고유키(215)의 저장 등이 가능한 장치인 것이 바람직하며, 통상적으로 사용되는 스마트폰이나 태블릿PC 등이 가장 적합하다. 보안인증을 위해서는 사용자가 입력하는 보안코드 외에 사용자단말기(210)에 저장된 정보도 함께 입력하여야 한다.
네트워크(220)는 인터넷과 같이 광역 개방형 네트워크를 사용하기도 하지만, 일반적으로는 특정 건물이나 시설 내부에서만 접속이 가능하도록 외부망과 차단된 인트라넷이 가장 적합할 것이다.
서비스서버(230)는 사용자가 업무나 작업을 하기 위해 사용하는 장치를 말하며, 사용자에게 금융거래나 정보검색, 보안작업 등의 특정 서비스를 제공하는 장치를 모두 포함한다. 서비스서버(230)에 접속을 하기 위해서는 인증코드 외에도 사용자단말기(210)를 일정한 영역 내부에 가져가야 하며, 이를 위해 서비스서버(230)에는 무선통신모듈(231)이 설치된다.
무선통신모듈(231)은 근거리 무선통신 프로토콜을 포함한 모든 장치가 적용될 수 있는데, 근거리에 사용자단말기(210)가 있는지를 용이하게 확인할 수 있도록 블루투스 통신방식을 사용하는 모듈을 사용하는 것이 바람직하다. 무선통신모듈(231)은 사용자단말기(210)와 블루투스 방식으로 데이터를 송수신하며, 자체적인 배터리를 보유하거나 서비스서버(230)에 사용되는 전원을 공유하는 방식으로 작동된다.
무선통신모듈(231)은 소형으로서 임베디드 모듈로 제작함으로써 서비스서버(230)와 일체형으로 제작할 수도 있다.
관리자서버(240)는 본 발명의 보안인증시스템(200)의 동작과 침입 차단, 비인가자에 대한 추적 등의 동작을 수행하며, 원격지에 설치되는 것이 일반적이나 서비스서버(230)와 물리적으로 동일한 공간에 설치될 수도 있을 것이다.
백업서버(250)는 비상상황에서 서비스서버(230)에 저장된 데이터를 이동시켜 저장한다. 관리자는 사용자단말기(210)로부터 입력되는 신호에 따라 특정 파일 등을 백업서버(250)에 이동한 후, 원래 위치의 파일을 삭제하도록 제어한다. 경우에 따라서는 관리자는 백업서버(250)를 네트워크(220)로부터 분리하여 외부에서 백업서버(250)에 접근하는 것을 원천적으로 금지시킬 수 있다.
본 발명의 보안인증시스템(200)을 활용하기 위해서는 사용자는 자신의 사용자단말기(210)에 전용 애플리케이션을 설치해야 한다. 본 발명에서는 이를 게이트웨이앱(213)이라고 한다.
게이트웨이앱(213)이 설치된 사용자단말기(210)는 보안인증시스템(200)에 접속하기 위한 인증장비로 동작할 수 있다.
사용자는 자신이 사용하려는 서비스서버(230)가 위치한 영역에 사용자단말기(210)를 소지한 상태에서 접근한다. 도 3과 4에 도시된 것과 같이, 서비스서버(230)로부터 일정한 영역을 접속가능영역(ⓐ)이라고 한다. 블루투스 모듈을 무선통신모듈(231)로 사용하는 경우 접속가능영역은 무선통신모듈(231)로부터 반경 3m 정도가 될 것이다. 그러나 서비스서버(230)의 용도와 크기, 무선통신모듈(231)의 출력 등에 따라서는 접속가능영역의 크기는 달라질 수 있다.
바람직하게는 사용자단말기(210)가 접속가능영역에 들어왔을 때, 사용자단말기(210)의 디스플레이에 서비스서버(230) 및 무선통신모듈(231)의 존재를 표시하도록 한다. 또한 인증받은 사용자가 서비스서버(230)에서 작업을 하는 도중, 사용자가 서비스서버(230)로부터 멀어지면서 접속가능영역을 벗어났을 때, 사용자단말기(210)의 디스플레이에 영역을 벗어남으로 인해 접속이 해제되었음을 알려주도록 한다.
사용자가 정상적인 사용자단말기(210)를 소지하고 있다고 하더라도 정해진 접근가능영역 내부에 들어오지 않는다면 해당 서비스서버(230)에 접속할 수 없다. 따라서 사용자는 사용자 인증을 위한 인증정보 외에도 자신의 고유키(215)를 설치한 사용자단말기(210)를 소지하여야 원하는 작업을 하거나 서비스를 이용할 수 있게 된다.
사용자단말기(210)는 통상적으로 스마트폰과 같은 개인용 통신단말기가 사용되는데, 사용자단말기(210)에는 OS(Operating System; 211)와 API(Application Program Interface; 212)가 설치된다.
OS(211)는 스마트폰 또는 컴퓨터의 하드웨어를 제어하고 응용 소프트웨어를 위한 기반 환경을 제공하여, 사용자가 단말기를 사용할 수 있도록 중재 역할을 해 주는 운영체제 소프트웨어를 말한다.
API(212)는 OS(211)와 응용 프로그램 사이의 통신에 사용되는 언어나 메시지 형식을 말한다. API(212)는 프로그래머를 위한 운영체제나 프로그램의 인터페이스로 사용된다. API(212)는 응용 프로그램이 OS(211)나 데이터베이스 관리 시스템과 같은 시스템 프로그램과 통신할 때 사용되는 언어나 메시지 형식을 가지며, 프로그램 내에서 실행을 위해 특정 서브루틴에 연결을 제공하는 함수를 호출하는 것으로 구현된다.
사용자는 자신의 사용자단말기(210)에 게이트웨이앱(213)을 설치하고, 고유키(215)를 설치함으로써 사용자단말기(210)를 보안인증수단으로 사용할 수 있다.
고유키(215)는 사용자 인증을 위한 정보로 활용되는데, 사용자단말기(210)에 부여된 하드웨어 정보와 통신서비스 인증정보를 함께 사용하여 암호화하기 때문에 복제나 해킹, 위변조가 어려워서 보안성을 향상시킬 수 있다.
통신모듈(214)은 서비스서버(230)에 설치된 블루투스 모듈과 데이터를 송수신하면서 인증과정을 진행하도록 해준다.
이와 같은 시스템을 사용하여 보안인증을 수행하는 과정을 설명한다.
도 6는 보안인증시스템의 동작 과정을 나타낸 순서도이다.
먼저 사용자는 자신의 사용자단말기(210)에 게이트웨이앱(213)을 설치하고 실행함으로써 보안인증 서비스를 사용할 수 있는 준비를 갖춘다.(S102) 게이트웨이앱(213)의 설치와 함께 정해진 방법으로 고유키(215)를 설치한다.
그리고 사용자가 사용자단말기(210)의 게이트웨이앱(213)을 실행하여 인증정보를 입력하면서 서비스서버(230)에 접속을 요청한다. 서비스서버(230)는 무선통신모듈(231)에 접속한 사용자단말기(210)를 감지하여 해당 사용자의 사용자단말기(210)가 접속가능영역에 들어와있는지를 확인한다.(S104, S106))
만약 사용자단말기(210)가 접속가능영역에 들어와있지 않다면, 서비스서버(230)는 사용자단말기(210)에 접근실패 메시지를 전송하고, 해당 사용자의 접속을 불허한다.(S108)
접속을 요청한 사용자의 사용자단말기(210)로부터 전송된 인증정보가 적합하고, 사용자단말기(210)의 존재도 감지된 경우에는 서비스서버(230)는 사용자단말기(210)에 고유키의 전송을 요청한 후 이를 확인한다.(S110)
그리고 사용자의 요청에 따라 서비스서버(230)에 대한 접속을 허용한다.(S112) 사용자는 정해진 방법으로 서비스서버(230)에서 작업을 하거나 여러 가지 서비스를 이용할 수 있게 된다.(S114)
그리고 사용자의 작업이 끝나면서 작업종료 메시지를 전달하면 서비스서버(230)는 접속을 차단한다. 만약 사용자가 작업 도중에 의도적으로 또는 실수로 접속가능영역을 벗어난 경우에도 접속은 해지되고, 이를 사용자에게 알려준다.
한편, 본 발명에서는 사용자의 접속을 위한 인증정보와 접속이력에 대한 정보를 서비스서버(230) 또는 특정 사용자의 사용자단말기(210)에만 저장하지 않고, 분산해서 저장하는 방식을 적용한다.
도 7은 사용자의 접속 기록에 대한 데이터를 분산저장하는 개념을 나타낸 블럭도이다.
도 7에 도시된 바와 같이, 관리자서버(240)는 특정 사용자단말기(210)에 저장되는 인증정보 및 접속이력에 대한 정보를 서비스서버(230)로부터 호출하여 복수의 다른 사용자단말기(210)에 전송하여 저장한다. 만약 특정 사용자가 인증정보를 변경하거나, 서비스서버(230)에 접속한 이력이 새로 생성된 경우에 변경된 인증정보 또는 새로운 이력 정보를 복수의 사용자단말기(210)에 전송하여 저장한다.
본 발명의 보안인증시스템(200)에 속한 모든 사용자단말기(210)에 데이터를 분산저장하는 것이 보안성을 높일 수 있는 방법이다. 경우에 따라서는 적절한 수의 사용자단말기(210)를 선택하여 일부분에 대해서만 저장을 하도록 하여 네트워크의 효율을 높일 수도 있을 것이다.
한편, 본 발명에서는 사용자가 서비스서버(230)에 접속해서 행하는 작업 패턴에 대한 데이터를 각 사용자별로 저장하고, 이를 보안사고 확인용으로 사용하는 방법을 개시한다.
특정 사용자가 특정한 물리적 공간에 접근하여 서비스서버(230)에 접속하고, 자신이 맡은 업무를 수행하는 것은 자신의 직책과 관련된 작업일 가능성이 크다. 그리고 이러한 직책과 관련된 작업은 동일한 사용자에 있어서는 내용의 변화가 크지 않을 것이다.
가령, 특정 사용자가 오전 일찍 서비스서버(230)에 접속해서 인사관련 파일을 생성하거나 수정하는 업무를 담당한다면, 거의 같은 시간에 동일한 작업을 할 가능성이 크다. 그러나 제3자가 이러한 사용자의 정보를 도용하거나 사용자단말기(210)를 탈취하여 비정상적인 행동을 한다면 보안사고가 발생한 것으로 의심해볼 수 있다.
본 발명에서는 특정 사용자의 작업 이력을 테이블로 생성하여 활용하는 방법을 개시한다. 도 8은 사용자의 사용행태를 수집하여 테이블로 작성하는 과정을 나타낸 개념도이다.
관리자서버(240)는 사용자가 서비스서버(230)에 통상적으로 접속하는 시간과 자주 접근하는 폴더, 생성하거나 저장하는 파일 등에 대한 정보를 수집한다. 이를 통해 특정 사용자가 언제 주로 접속하고, 어떤 폴더에 접근하고, 어떤 작업을 해서 어떤 결과물을 생성하는 지를 인공지능(AI) 알고리즘을 이용하여 분석한다. 그리고 이를 테이블로 작성하여 저장한다. 각각의 사용자별로 생성된 테이블은 서비스서버(230) 또는 관리자서버(240)에 저장된다.
이와 같이 상당한 시간동안 수집한 정보로부터 각 사용자별 작업패턴 테이블을 생성한 상태에서 특정 사용자가 서비스서버(230)에 접속해서 작업을 하면, 관리자서버(240)는 테이블에 기록된 정보와 현재 사용자의 작업내용이 부합하는 지를 감시한다. 통상적으로 접속하던 시간과 비슷한 시간대인지, 종전에 한 번도 접근하지 않았던 폴더에 접근하는지, 통상의 형식과는 다른 형태의 파일을 열거나 생성하는지 등을 감시한다.
관리자서버(240)는 현재 접속한 사용자의 행동이 테이블에 저장된 행동패턴과 일정 수준 이상으로 차이를 보인다면, 보안사고일 가능성이 있는 것으로 보아 보안수준을 향상시키게 된다. 구체적으로는 현재 작업을 하고 있는 사용자에 대하여 높은 등급의 보안 인증정보를 추가로 요구하거나, 관리자가 현장에 출동하여 사용자를 직접 확인하는 등의 조치를 취할 수 있다. 추가적인 보안 인증의 요구에 대하여 답변이 없거나 잘못된 정보를 입력하는 경우에는 즉시 서비스서버(230)에 대한 접속을 해제하고 경고 알람을 보내게 된다.
한편, 높은 수준의 보안을 요하는 곳에 설치되는 서비스서버(230)에는 작업자가 생성하여 저장한 다양한 형태의 데이터가 저장될 것이다. 그리고 이러한 데이터에 대해서는 제3자의 해킹 시도가 발생할 수 있다.
본 발명에서는 작업을 하려는 사용자가 서비스서버(230)가 설치된 영역에 직접 들어와서 작업을 하게 되므로, 보안사고가 발생했을 때 사용자가 데이터의 보호 또는 유출방지를 위한 긴급조치를 직접 취하도록 할 수 있다.
도 9는 긴급시에 데이터를 삭제하거나 차단하는 방법을 나타낸 개념도이다.
사용자가 작업 도중에 서비스서버(230)에 대한 해킹 시도를 감지하거나, 다른 경로를 통해 데이터 탈취 시도를 알게된 경우, 사용자는 자신의 사용자단말기(210)에 표시되는 "삭제" 버튼을 누를 수 있다. 게이트웨이앱(213)이 실행된 상태에서 긴급 "삭제" 버튼을 누르면, 게이트웨이앱(213)은 이를 관리자서버(240)와 서비스서버(230)로 전송한다.
관리자서버(240)는 삭제 명령이 입력되면 즉시 해당하는 데이터를 서비스서버(230)에서 삭제한다. 경우에 따라서는 서비스서버(230)와 네트워크(220)의 연결을 차단하여 데이터의 유출을 방지한다. 또한 삭제 대상이 되는 데이터 또는 긴급한 보호가 필요한 데이터를 백업서버(250)로 이동시키고, 이동이 완료되면 백업서버(250)를 네트워크로부터 차단하여 접속이 불가능해지도록 만들어준다.
이와 같은 방법으로 긴금상황에서 데이터를 보호하거나 유출을 막을 수 있는 기능을 구현할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
200 : 보안인증시스템 210 : 사용자단말기
220 : 네트워크 230 : 서비스서버
231 : 무선통신모듈 240 : 관리자서버
250 : 백업서버

Claims (6)

  1. 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 상기 서비스서버에 대한 접속을 허용하도록 하는 보안인증시스템으로서,
    사용자 인증을 위한 정보를 주고받는 게이트웨이앱(213)과, 사용자 인증을 정보로 활용되는 고유키(215)를 포함하는 사용자단말기(210)와;
    상기 사용자가 접속하여 작업을 하거나 서비스를 이용할 수 있도록 해주는 서비스서버(230)와;
    상기 서비스서버(230)의 동작이나 데이터 저장이나 변경, 삭제를 제어하는 관리자서버(240)와;
    상기 사용자단말기(210), 상기 서비스서버(230), 상기 관리자서버(240)를 연결하여 데이터 송수신을 가능하게 하는 네트워크(220);를 포함하며,
    상기 서비스서버(230)는 무선통신모듈(231)을 포함하며,
    상기 사용자단말기(210)가 상기 무선통신모듈(231)과 접속할 수 있을 정도로 근접한 접속가능영역 내부에 위치한 경우에 상기 서비스서버(230)는 상기 사용자에 대한 접속을 허용하도록 하는, 사용자단말기 기반의 보안인증시스템.
  2. 제1항에 있어서,
    상기 무선통신모듈(231)은 블루투스 프로토콜을 사용하는 근거리 무선통신장비인 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.
  3. 제1항에 있어서,
    상기 서비스서버(230)에 저장된 데이터를 이동하여 저장하는 백업서버(250);를 추가로 포함하며,
    상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)에 저장된 특정 데이터를 상기 백업서버(250)로 이동시킨 후 상기 서비스서버(230)에서 삭제하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.
  4. 제1항에 있어서,
    상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)와 상기 네트워크의 연결을 차단하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.
  5. 제1항에 있어서,
    상기 관리자서버(240)는 상기 사용자가 상기 서비스서버(230)에 접속하는 시간, 접근하는 폴터, 사용하는 파일에 대한 정보를 수집하여 테이블에 기록하고, 상기 사용자가 상기 서비스서버(230)에서 수행하는 작업의 내용이 상기 테이블에 기록된 내용과 다른 경우, 상기 사용자가 사용하는 사용자단말기(210)에 추가 인증을 요구하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.
  6. 제5항에 있어서,
    상기 관리자서버(240)는 상기 사용자단말기(210)에 요구한 추가 인증이 수신되지 않거나, 추가 인증이 부적합한 경우에 상기 서비스서버(230)에 대한 접속을 해제하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.
KR1020180134190A 2018-11-05 2018-11-05 사용자단말기 기반의 보안인증시스템 KR20200051185A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180134190A KR20200051185A (ko) 2018-11-05 2018-11-05 사용자단말기 기반의 보안인증시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180134190A KR20200051185A (ko) 2018-11-05 2018-11-05 사용자단말기 기반의 보안인증시스템

Publications (1)

Publication Number Publication Date
KR20200051185A true KR20200051185A (ko) 2020-05-13

Family

ID=70729984

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180134190A KR20200051185A (ko) 2018-11-05 2018-11-05 사용자단말기 기반의 보안인증시스템

Country Status (1)

Country Link
KR (1) KR20200051185A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220133741A (ko) * 2021-03-25 2022-10-05 주식회사 한컴코드게이트 메뉴판에 인쇄된 2차원 코드를 기반으로, 사용자가 음식 상품에 대한 외국어 메뉴 정보를 조회할 수 있도록 지원하는 메뉴 정보 조회 서비스 서버 및 그 동작 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395315B1 (ko) 2012-12-18 2014-05-16 차병래 근거리 무선통신 기반의 결제 보안 인증 시스템 및 그 보안인증 방법
KR20160016244A (ko) 2014-08-04 2016-02-15 성동찬 근거리 무선통신을 통한 제어기와 단말기의 인증 방법
KR20160072391A (ko) 2014-12-12 2016-06-23 주식회사 에프지아이 스마트워크 환경에서의 통합 접근 보안 관리 및 그 방법
KR101666791B1 (ko) 2016-07-07 2016-10-18 (주)유니스소프트 중요정보 부정사용 예지보안 방법 및 이를 위한 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395315B1 (ko) 2012-12-18 2014-05-16 차병래 근거리 무선통신 기반의 결제 보안 인증 시스템 및 그 보안인증 방법
KR20160016244A (ko) 2014-08-04 2016-02-15 성동찬 근거리 무선통신을 통한 제어기와 단말기의 인증 방법
KR20160072391A (ko) 2014-12-12 2016-06-23 주식회사 에프지아이 스마트워크 환경에서의 통합 접근 보안 관리 및 그 방법
KR101666791B1 (ko) 2016-07-07 2016-10-18 (주)유니스소프트 중요정보 부정사용 예지보안 방법 및 이를 위한 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220133741A (ko) * 2021-03-25 2022-10-05 주식회사 한컴코드게이트 메뉴판에 인쇄된 2차원 코드를 기반으로, 사용자가 음식 상품에 대한 외국어 메뉴 정보를 조회할 수 있도록 지원하는 메뉴 정보 조회 서비스 서버 및 그 동작 방법

Similar Documents

Publication Publication Date Title
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
CN110535833B (zh) 一种基于区块链的数据共享控制方法
CN100407174C (zh) 数据保护设备及数据保护方法
KR100336259B1 (ko) 스마트 카드 및 스마트 카드내에 파일의 억세스를 허용하는 당사자 상호작용 수단을 설치하는 방법 및 당사자가 개인정보 장치와 통신하는 방법
KR100733732B1 (ko) 원격통신 시스템에서 동작의 가동을 보안하는 장치 및 방법
US20170046693A1 (en) Systems and methods for detecting and resolving data inconsistencies among networked devices using hybrid private-public blockchain ledgers
US11290446B2 (en) Access to data stored in a cloud
CN117150581A (zh) 安全身份和档案管理***
US20150350211A1 (en) Securely integrating third-party applications with banking systems
CN104813328A (zh) 受信容器
US11611587B2 (en) Systems and methods for data privacy and security
CN112673600A (zh) 基于区块链的手机终端以及IoT设备之间的多重安全认证***以及方法
CN116011005A (zh) 阻止网络钓鱼或勒索软件攻击的方法和***
KR101318170B1 (ko) 태블릿장비를 이용한 자료공유시스템 및 그 제어방법
KR102356474B1 (ko) 클라우드 서비스 기반의 원격통제 기능이 탑재된 스마트워크 지원시스템
CN101305377A (zh) 通信终端装置、服务器终端装置、使用它们的通信***
CN105787319A (zh) 基于虹膜识别的便携式终端及其方法
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
CN104955043B (zh) 一种智能终端安全防护***
KR20200051185A (ko) 사용자단말기 기반의 보안인증시스템
KR101651563B1 (ko) 사용 이력 기반의 인증코드 관리 시스템 및 그 방법
Otterbein et al. The German eID as an authentication token on android devices
CN115758396B (zh) 基于可信执行环境的数据库安全访问控制技术
CN113901507B (zh) 一种多参与方的资源处理方法及隐私计算***
KR20190003146A (ko) 단말기의 인증을 통한 자동로그인 시스템 및 관리방법