KR20030091866A - 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 - Google Patents
사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 Download PDFInfo
- Publication number
- KR20030091866A KR20030091866A KR1020030075526A KR20030075526A KR20030091866A KR 20030091866 A KR20030091866 A KR 20030091866A KR 1020030075526 A KR1020030075526 A KR 1020030075526A KR 20030075526 A KR20030075526 A KR 20030075526A KR 20030091866 A KR20030091866 A KR 20030091866A
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- information
- token
- authentication
- user
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 인증 방법 및 인증 시스템에 관한 것으로, 더욱 상세하게는 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템에 관한 것이다.
본 발명은 소정의 중앙 서버에서 수행되는 인증 방법은 사용자 단말기로부터 토큰 발급 요청을 입력 받는 단계, 상기 토큰 발급 요청에 응답하여 상기 사용자 단말기에 소정의 정책 정보를 전송하는 단계, 상기 정책 정보의 전송에 응답하여 상기 사용자 단말기로부터 상기 상태 정보를 수신하는 단계, 상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하는 단계, 상기 판단 결과에 따라 소정의 인증 정보를 포함하는 토큰을 생성하는 단계 및 상기 생성된 토큰을 상기 사용자 단말기로 전송하는 단계를 포함하고, 상기 인증 정보는 상기 사용자 단말기가 소정의 원격지 서버에 접근하여 소정의 작업을 수행할 수 있는 범위에 대한 권한 정보를 포함하는 것을 특징으로 하는 인증 방법을 제공한다.
본 발명에 따르면 사용자 단말기의 상태를 파악하여 보안 상 안전하다고 인정되는 사용자 단말기를 통해서만 소정의 서버에 접근할 수 있도록 하는 인증 방법 및 인증 시스템이 제공된다. 따라서, 보안이 취약한 사용자 단말기가 상기 서버에 접근하여 바이러스를 유포하는 등 상기 서버에 위해를 가하는 것을 방지함으로써 네트워크 상의 서버를 보호할 수 있게 된다.
Description
본 발명은 인증 방법 및 인증 시스템에 관한 것으로, 더욱 상세하게는 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템에 관한 것이다.
도 1은 종래 기술에 따른 인증 방법을 설명하기 위한 서버, 사용자 단말기의 네트워크 연결을 도시한 도면이다. 서버(100)는 각 사용자에 대응하는 아이디(ID) 및 비밀번호를 유지하고 있고, 사용자 단말기(101)로부터 접근 요청이 있는 경우 아이디 및 비밀번호의 입력을 요청한다. 사용자 단말기(101)로부터 입력된 아이디 및 비밀번호가 유지되어 있는 아이디 및 비밀번호와 일치되는 경우, 서버(100)는 사용자 단말기(101)의 접근을 허용한다. 이와 같이 아이디/비밀번호를 이용하여 사용자를 인증하는 경우에는 사용자가 어떤 단말기를 이용하여 서버(100)에 접근하든지 아이디/비밀번호만 일치하면 그 접근이 허용된다.
또한, 서버(100)는 상기와 같은 사용자 인증 방법에 추가적으로클라이언트(101)에게 토큰을 요청하는 경우가 있다. 이때에는 클라이언트(101)은 소정의 인증 서버(도시하지 않음)로부터 발급 받아 저장하고 있던 토큰을 서버(100)로 전송하고, 서버(100)는 상기 토큰의 유효성을 판별하여 클라이언트(101)의 접근 허용 여부를 결정한다.
그런데, 상기 토큰 역시 사용자 정보(이름, 주민등록번호 등)에 기초하여 생성되는 것으로서, 사용자가 어떤 단말기를 이용하여 서버(100)에 접근하든지 토큰만 유효하다면 그 접근이 허용된다.
이와 같이 종래기술에 따른 사용자 인증 절차는 단순히 사용자와 연관된 정보만을 기준으로 인증 여부를 결정했기 때문에, 사용자 단말기에 백도어 프로그램이 설치되어 있는 등 사용자 단말기의 보안이 취약함에도 사용자 단말기의 접근을 허용하게 된다는 문제점이 있다.
또한, 종래기술에 따르면 사용자는 각 서버에 접근할 때마다 개별적으로 사용자 인증 절차를 개별적으로 수행해야 되므로, 다수의 서버에 접근하는 경우 사용자 인증 절차를 여러 번 거쳐야 되어 불편하다는 문제점이 있다.
본 발명은 상기와 같은 종래 기술을 개선하기 위해 안출된 것으로서, 사용자단말기의 상태를 파악하여 보안 상 안전하다고 인정되는 사용자 단말기를 통해서만 소정의 서버에 접근할 수 있도록 하는 인증 방법 및 인증 시스템을 제공하는 것을 목적으로 한다. 따라서, 상기 서버는 보안이 취약한 사용자 단말기가 접근하여 바이러스를 유포하는 등 위해를 가하는 것을 방지할 수 있게 된다.
특히, 본 발명은 상기 서버로의 접근이 허용되는 경우에도, 사용자 단말기의 상태에 따라 상기 서버에서의 작업 수행 권한을 차별적으로 부여할 수 있는 인증 방법 및 인증 시스템을 제공하는 것을 목적으로 한다. 따라서, 상기 서버는 중요한 자원은 보다 강력하게 보호할 수 있게 된다.
또한, 본 발명은 사용자가 하나 이상의 서버에 접근하는 경우 각 서버에서의 개별적인 사용자 인증 절차를 거치지 않고, 소정의 인증 기관이 발행한 토큰을 전송하는 것만으로 각 서버에서의 사용자 인증이 가능한 인증 방법 및 인증 시스템을 제공하는 것을 목적으로 한다.
도 1은 종래기술에 따른 인증 방법을 설명하기 위한 서버, 클라이언트의 네트워크 연결을 도시한 도면.
도 2는 본 발명의 일실시예에 따른 인증 방법을 설명하기 위한 도면.
도 3a는 본 발명의 일실시예에 따라 소정의 중앙 서버에서 수행되는 인증 방법을 도시한 흐름도.
도 3b는 본 발명의 일실시예에 있어서, 토큰에 포함되는 인증 정보의 일례를 도시한 도면.
도 4는 본 발명의 일실시예에 따라 소정의 원격지 서버에서 수행되는 인증 방법을 도시한 흐름도.
도 5는 본 발명의 또 다른 실시예에 따른 인증 시스템의 네트워크 연결, 및 인증 시스템 및 원격지 서버의 구성을 도시한 도면.
도 6은 본 발명에 따른 인증 시스템을 구성하는 데 채용될 수 있는 범용 컴퓨터 시스템의 내부 블록도.
<도면의 주요 부분에 대한 부호의 설명>
510: 중앙 서버
511: 정책 저장 모듈512: 제1 인터페이스 모듈
513: 판단 모듈514: 토큰 생성 모듈
520: 원격지 서버
521: 제2 인터페이스 모듈
522: 제1 판단 모듈523: 제2 판단 모듈
상기의 목적을 달성하고 종래기술의 문제점을 해결하기 위하여, 본 발명에 따른 인증 방법은 소정의 중앙 서버에서 수행되는 인증 방법은 사용자 단말기로부터 토큰 발급 요청을 입력 받는 단계, 상기 토큰 발급 요청에 응답하여 상기 사용자 단말기에 소정의 정책 정보를 전송하는 단계, 상기 정책 정보의 전송에 응답하여 상기 사용자 단말기로부터 상기 상태 정보를 수신하는 단계, 상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하는 단계, 상기 판단 결과에 따라 소정의 인증 정보를 포함하는 토큰을 생성하는 단계 및 상기 생성된 토큰을 상기 사용자 단말기로 전송하는 단계를 포함하고, 상기 인증 정보는 상기 사용자 단말기가 소정의 원격지 서버에 접근하여 소정의 작업을 수행할 수 있는 범위에 대한 권한 정보를 포함한다.
본 발명의 일측에 따르면, 상기 원격지 서버에서는 상기 사용자 단말기가 접근 요청을 하는 경우, 소정의 토큰을 요청하는 단계, 상기 사용자 단말기로부터 상기 생성된 토큰을 수신하는 단계 및 상기 수신한 토큰에 포함된 인증 정보에 기초하여 상기 사용자 단말기의 접근을 허용하는 단계가 수행된다.
또한, 본 발명의 또 다른 일측에 따르면, 상기 상태 정보는 상기 사용자 단말기의 사용자를 인증하기 위한 사용자 인증서를 포함하고, 상기 인증 정보를 포함하는 토큰을 생성하는 상기 단계는, 상기 사용자 인증서의 유효성을 판단하는 단계 및 상기 판단 결과 상기 사용자 인증서의 유효성이 인정되는 경우, 상기 인증 정보 및 상기 사용자 인증서를 포함하는 토큰을 생성하는 단계를 포함한다.
또한, 본 발명의 또 다른 일측에 따르면, 상기 인증 정보는 상기 사용자 단말기가 접근할 수 있는 하나 이상의 원격지 서버의 인터넷 주소 정보를 포함하고, 상기 원격지 서버에서는 상기 인터넷 주소 정보에 기초하여 상기 사용자 단말기의 접근 허용 여부를 결정한다.
또한, 본 발명은 상기 인증 방법을 컴퓨터에서 구현하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체를 제공한다.
또한, 본 발명에 따른 인증 시스템은 정책 정보를 유지하기 위한 정책 정보 저장 모듈(상기 정책 정보는 상기 사용자 단말기의 상태와 연관된 소정의 상태 정보를 파악하기 위한 정보임), 사용자 단말기로부터 토큰 발급 요청이 입력된 경우 상기 정책 정보를 상기 사용자 단말기로 송신하고, 상기 정책 정보의 송신에 응답하여 상기 상태 정보를 수신하기 위한 제1 인터페이스 모듈, 상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하기 위한 판단 모듈, 및 상기 판단 결과 상기 토큰을 발급하고자 하는 경우 소정의 인증 정보를 포함하는 토큰을 생성하기 위한 토큰 생성 모듈을 포함하고, 상기 인터페이스 모듈은 상기 생성된 토큰을 상기 사용자 단말기로 전송하고, 상기 인증 정보는 상기 사용자 단말기가 소정의 원격지 서버에 접근하여 소정의 작업을 수행할 수 있는 범위에 대한 권한 정보를 포함하는 것을 특징으로 한다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다.
도 2는 본 발명의 일실시예에 따른 인증 방법을 설명하기 위한 도면이다. 사용자 단말기(201)가 원격지 서버(203)에 접속하여 소정의 작업을 수행하고자 하는 경우, 원격지 서버(203)는 사용자 단말기(201)에 토큰을 요청한다. 이때, 사용자 단말기(202)는 토큰이 저장되어 있는 경우에는 상기 토큰을 원격지 서버(203)로 전송하고, 토큰이 구비되어 있지 않은 경우에는 중앙 서버(201)에 토큰 발급을 요청한다.
중앙 서버(201)는 상기 요청을 수신한 경우 사용자 단말기(201)가 소정의 토큰 발급 조건에 해당하는 경우 사용자 단말기(202)에 토큰을 발급해 주고, 사용자 단말기(202)는 원격지 서버(203)에 상기 발급 받은 토큰을 전송하여 상기 작업을 수행할 수 있는 권리를 부여 받는다.
이하에서는, 도 3a을 참조하여 사용자 단말기(201)가 중앙 서버(202)로부터 토큰을 발급 받는 과정을 상세히 설명한다. 도 3a는 본 발명의 일실시예에 따라, 소정의 중앙 서버에서 수행되는 인증 방법을 도시한 흐름도이다.
사용자가 소정의 원격지 서버에 접속하여 소정의 작업을 수행하려는 경우,원격지 서버는 사용자 인증 및 보안을 위하여 토큰을 요구하게 된다. 상기 토큰을 통하여 사용자는 자신의 무결성을 증명하고 원격지 서버는 토큰을 통하여 안심하고 사용자의 접속을 허락할 수 있게 된다.
단계(S301)에서 중앙 서버는 사용자 단말기로부터 토큰 발급 요청을 입력 받는다.
단계(S302)에서 중앙 서버는 사용자 단말기에 소정의 정책 정보를 전송한다. 상기 정책 정보는 사용자 단말기에서의 백신(vaccine) 프로그램의 존재 여부 및 상기 백신 프로그램의 버전(version), 상기 사용자 단말기의 운영체제(OS: Operating System)의 종류, 상기 운영체제 종류에 따른 보안 패치(patch)의 존재 여부 및 상기 보안 패치의 버전 및 상기 사용자 단말기에서의 백도어(back door) 프로그램의 설치 여부 등을 파악하기 위한 정보이다. 이는 모두 사용자 단말기의 보안 상태를 검증하기 위한 것이라 할 수 있다.
사용자 단말기는 중앙 서버로부터 상기 정책 정보를 수신하고 상기 정책 정보에 따라 보안 상태를 점검한다. 즉, 사용자 단말기는 상기 정책 정보에 따라 백신 프로그램의 존재 여부를 조사하고, 존재하는 경우 상기 백신 프로그램의 버전 및 백신 프로그램의 기능 수행과 연관된 정보를 수집한다. 마찬가지로, 사용자 단말기는 설치되어 있는 운영체제의 종류를 파악하고 상기 운영체제의 종류에 따른 보안 패치의 존재 여부를 조사하고 상기 보안 패치의 버전 및 기능 수행과 연관된 정보를 수집한다. 또한, 사용자 단말기는 백도어 프로그램의 설치 여부를 조사하고 설치되었을 경우, 상기 프로그램이 단말기에 미치는 영향에 관한 정보를 수집한다.
참고적으로, 백도어 프로그램은 시스템 설계자나 관리자에 의해 고의로 남겨진 시스템의 보안 허점으로 응용 프로그램이나 운영 체제에 삽입된 프로그램 코드를 말한다. 즉, 백도어 프로그램은 사용자 인증 등 정상적인 절차를 거치지 않고 사용자 단말기의 응용 프로그램 또는 시스템에 접근할 수 있도록 한다. 이러한 백도어 프로그램은 디버깅시 개발자에게 인증 및 셋업(set up) 시간 등을 단축할 수 있게 하여 유용하지만, 개발이 완료된 후 삭제하지 않은 백도어 프로그램이 다른 사용자에게 의해 발견되는 경우 사용자 인증 등 인증 절차를 거치지 않은 사용자의 접근을 허용할 수 있어 보안 상 위험하다. 따라서, 정책 정보는 이와 같은 백도어 프로그램이 상기 사용자 단말기에 설치되어 있는지 여부도 조사하기 위한 정보를 포함하는 것이 바람직하다.
또한, 본 발명의 또 다른 실시예에 따르면, 정책 정보는 사용자 단말기의 위치 정보를 획득하기 위한 정보를 더 포함하고, 상기 정책 정보에 따라 사용자 단말기는 네트워크 상에서 사용자 단말기의 위치에 대응하는 위치 정보(예를 들면, IP 주소)를 포함하는 상태 정보를 생성한다.
한편, 상술한 정책 정보는 예시적인 것에 불과하며 컴퓨터 기술 또는 프로그램 개발에 따라 새롭게 구현된 사항 등에 따라 변동 및 추가될 수 있는 정보로서 사용자 단말기의 상태 정보를 수집하기 위해 사용된 정보는 모두 정책 정보라 할 것이다. 또한, 본 발명의 또 다른 실시예에 따르면, 상기 정책 정보는 사용자 단말기의 사용자와 연관된 사용자 인증서를 요청하기 위한 정보를 포함한다. 사용자단말기는 상기 정책 정보에 따라 사용자 인증서를 포함하는 상태 정보를 생성한다. 상기 사용자 인증서는 종래기술에 따라 사용자를 인증하기 위한 사용자 인증서를 포함한다.
단계(S303)에서는 사용자 단말기는 중앙 서버로 상기 상태 정보를 송신한다. 상태 정보는 단계(S302)에서 사용자 단말기에 보낸 정책 정보에 따라 사용자 단말기를 검증한 결과를 나타낸 자료로써, 사용자 단말기의 현재 보안 상태를 나타내는 정보라 할 수 있다. 즉, 사용자 단말기는 단계(S302)에서 정책 정보를 토대로 조사하여 수집한 정보에 기초하여 생성한 상태 정보를 중앙 서버로 보낸다.
이때, 사용자 단말기는 PKI(Public Key Infrastructure) 방식에 따라 중앙 서버의 공개키로 암호화 하여 상기 상태 정보를 송신하는 것이 보안 상 바람직하며, 사용자 단말기가 송신한 상태 정보임을 보증하기 위해 사용자의 개인키를 이용하여 상기 사용자 인증서를 암호화하여 송신하는 것이 바람직하다. 이는 중앙 서버가 상기 정책 정보를 사용자 단말기로 송신하는 경우에도 마찬가지이다. 즉, 중앙 서버와 사용자 단말기, 및 후술하는 원격지 단말기 사이의 데이터 송수신은 PKI 방식으로 암호화하여 송수신 하는 것이 바람직하다. 또한, 본 실시예에서는 PKI 방식의 암호화 방법에 대해 설명했으나 이는 예시적인 것에 불과하여, 홍채 인식 또는 지문 인식을 이용한 암호화 방법 등 송수신 되는 데이터의 위, 변조를 방지하기 위해 다양한 암호화 방법이 적용될 수 있다.
단계(S304)에서 중앙 서버는 상기 상태 정보를 기초하여 사용자 단말기와 연관된 토큰의 발급 여부를 판단한다. 사용자 단말기로부터 수신한 상태 정보를 판별한 결과 사용자 단말기에 대한 토큰을 발급하는 것이 부적격한 경우에는 토큰을 발급하지 않을 수 있다. 중앙 서버는 상태 정보 및 상기 상태 정보와 연관된 토큰 발급 기준, 토큰을 발급하는 경우 그 권한 부여 기준 등을 소정의 데이터베이스에 유지하고, 사용자 단말기로부터 수신한 상태 정보에 비추어 토큰 발급 여부 및 그 권한 범위를 결정한다.
예를 들어, 중앙 서버는 사용자 단말기에 바이러스가 존재하고 백신 프로그램이 설치되어 있지 않은 경우 사용자 단말기에 토큰을 발급할 수 없다는 정보를 유지하는 경우, 상태 정보에 따라 A 사용자 단말기는 보안에 취약한 운영체제를 이용하고 있지만 바이러스가 존재하지 않고 백신 프로그램이 설치되어 있고, B 사용자 단말기는 보안과 관련된 사양이 높은 운영체제를 이용하고 바이러스는 없지만 백신 프로그램이 존재하지 않는 경우, 중앙 서버는 A 사용자 단말기에 대한 토큰 발급을 허용하지만 B 사용자 단말기에 대해서는 토큰 발급을 거부한다.
이때, 중앙 서버는 B 사용자 단말기에게 토큰 발급이 거부되었음을 통지하고, 소정의 백신 프로그램을 설치할 것을 권유하는 안내 메시지를 송신하는 것이 바람직하다. B 사용자는 B 사용자 단말기에 상기 백신 프로그램을 설치한 후 다시 단계(S301)로 돌아가 중앙 서버에 토큰 발급 요청을 할 수도 있다.
한편, 상기 상태 정보에 따라 토큰을 발급할지 여부, 발급하는 경우 그 권한의 범위를 어느 정도로 할 지 여부는 관련된 원격지 서버의 역할이나 성격 등을 고려하여 중앙 서버의 관리자가 결정할 수 있다. 다만, 중앙 서버는 각각의 원격지 서버로부터 상기 원격지 서버에 접근하기 위해 필요한 사용자 단말기의 사양을 입력 받고, 상기 사양에 따라 토큰의 발급 여부 및 그 권한 범위를 결정하는 것이 바람직할 것이다. 이와 같이 소정 권한 범위를 갖는 토큰을 발급 받기 위해 필요한 사용자 단말기의 상태 정보는 원격지 서버에 따라 상이하게 결정될 수 있고, 중앙 서버는 사용자 단말기의 상태에 따른 원격지 서버에서의 권한 범위에 대한 정보를 소정의 웹 페이지를 통해 사용자에게 제공하여 사용자들이 자신과 연관된 토큰의 발급 여부 및 그 권한 범위를 예측할 수 있도록 할 수도 있다. 상기 웹 페이지에 제공되는 정보는 원격지 서버 또는 중앙 서버에서의 토큰 발급 및 그 권한 범위를 결정하는 기준이 변경될 때마다 업데이트 되는 것이 바람직하다.
또한, 단계(S304)에서 중앙 서버는 상기 상태 정보에 기초하여 사용자 단말기에 대한 토큰을 발급하고자 하는 경우 사용자 단말기에 부여하는 권한 범위도 결정한다. 상기 권한 범위는 상기 인증 정보에 기초하여 결정된다. 즉, A 사용자 단말기의 경우 토큰을 발급하더라도 A 사용자 단말기의 운영체제가 보안에 취약한 경우에는 중앙 서버는 A 사용자 단말기의 권한 범위를 간단한 작업을 수행할 수 있는 정도로 한정하여 토큰을 발급한다.
중앙 서버는 사용자 단말기에 백신 프로그램이 존재하고, 상기 백신 프로그램의 버전이 최신 버전이고, 운영체제가 보안 상 안정적이고, 최신 버전의 보안 패치가 존재하고, 또한 백도어 프로그램이 설치되어 있지 않은 경우 상기 사용자 단말기에 대한 권한 범위를 넓게 설정하여 토큰을 발급할 수 있다.
또한, 중앙 서버는 상기 상태 정보에 포함되어 있는 위치 정보에 기초하여 사용자 단말기가 접속되어 있는 네트워크망의 종류를 판별하고, 판별된 네트워크망의 종류에 기초하여 사용자 단말기와 연관된 권한 범위를 결정할 수 있다. 즉, 동일한 사용자가 토큰을 발급 받고자 하는 경우에도 상기 사용자가 사용하는 사용자 단말기의 네트워크망에서의 위치에 따라 다른 권한 범위를 갖는 토큰이 발급된다. 따라서, 사용자가 사내(社內)망에 위치한 사용자 단말기로 보안 유닛을 이용하는 경우에는 권한 범위의 제약이 적은 토큰을 발급 받을 수 있고, 원격지 서버에서 수행할 수 있는 작업의 종류 및 그 한도에 제약이 적다.
또한, 상기 사용자가 외부 인터넷망에 위치한 사용자 단말기를 이용하여 토큰의 발급을 요청한 경우에는 중앙 서버는 사내망을 통해 접속한 경우보다 제한된 작업을 할 수 있는 토큰을 발급함으로써 원격지 서버에서의 보안을 강화할 수 있다.
후술하는 바와 같이 사용자 단말기로부터 토큰을 수신한 원격지 서버는 토큰에 포함되어 있는 권한 범위에 대한 정보에 기초하여 중앙 서버에 의해 결정된 권한 범위 내에서만 작업을 수행할 수 있도록 허락한다.
단계(S305)에서 중앙 서버는 단계(S304)에서의 판단 결과에 따라 소정의 인증 정보를 포함하는 토큰을 생성하게 된다. 도 3b는 상기 토큰에 포함되는 인증 정보의 일례를 도시한 도면이다.
이하, 상기 인증 정보에 포함되는 각 정보에 대해 구체적으로 설명한다.
인증 정보는 토큰의 유효 기간에 대한 정보를 포함한다. 토큰의 유효 기간이라 함은, 원격지 서버에서 사용자 단말기의 접근을 허용하는 기간으로서, 상기 유효 기간에 대한 정보는 중앙 서버가 토큰을 발급한 시점을 나타내는 발급 시각및 상기 토큰의 효력이 종료되는 시점인 종료 시각에 대한 정보이다. 또한, 상기 유효 기간에 대한 정보는 중앙 서버가 토큰을 발급한 발급 시각 및 상기 발급 시각으로부터 상기 토큰이 유효한 소정의 기간에 대한 정보이다. 사용자 단말기는 토큰이 지시하는 유효 기간 동안만 원격지 서버에 접근하여 작업을 수행할 수 있다. 후술하는 바와 같이, 원격지 서버는 사용자 단말기로부터 토큰을 수신하여 상기 토큰의 유효 기간을 파악하고 상기 유효 기간이 경과한 경우에는 사용자 단말기의 접근을 차단한다.
또한 인증 정보는 토큰 식별자를 포함한다. 토큰 식별자는 중앙 서버가 발급한 각 토큰을 식별하기 위한 정보이다. 중앙 서버는 이미 발급되어 유효 기간이 경과한 토큰이 변조에 의해 재사용되는 것을 방지하기 위해 상기 토큰 식별자를 순차적으로 증가하는 숫자로 결정할 수 있다. 따라서, 일단 하나의 토큰이 생성된 이후에 생성되는 토큰의 토큰 식별자는 기존의 토큰 식별자보다 큰 숫자를 갖게 된다. 또한, 사용자 단말기는 이전에 발급 받아 저장해 놓은 제1 토큰의 토큰 식별자(숫자)보다, 새로이 수신한 제2 토큰의 토큰 식별자의 토큰 식별자(숫자)의 값이 큰 경우 기존의 제1 토큰을 폐기하고 제2 토큰을 사용하는 것이 바람직하다. 즉 사용자 단말기는 중앙 서버로부터의 상기 토큰의 수신 시간을 비교하는 것이 아니라 각 토큰의 토큰 식별자의 값을 비교하여 그 값이 큰 토큰을 저장하고 그 외의 토큰은 제거하는 것이 바람직하다.
또한 인증 정보는 권한 정보를 포함한다. 상기 권한 정보는 상술한 바와 같이 중앙 서버가 상기 상태 정보에 기초하여 원격지 서버에서 상기 사용자 단말기가수행할 수 있는 작업의 범위에 대한 정보이다.
또한, 인증 정보는 상기 사용자 단말기의 인터넷 주소인 단말기 주소 정보를 포함한다. 후술하는 바와 같이 인증 정보에 포함된 사용자 단말기의 인터넷 주소는 원격지 서버가 상기 사용자 단말기의 권한을 설정하기 위해 사용된다.
또한, 인증 정보는 원격지 서버의 인터넷 주소 정보를 포함한다. 중앙 서버는 상기 상태 정보에 기초하여 사용자 단말기가 접속하여 작업을 수행할 수 있는 원격지 서버를 검색하고 검색된 원격지 서버와 연관된 인터넷 주소 리스트를 상기 인증 정보에 포함시킨다.
또한, 인증 정보는 사용자 인증서 및 사용자의 전자 서명, 중앙 서버 인증서 및 중앙 서버의 전자 서명을 포함한다. 상기 사용자 인증서 및 상기 전자 서명은 상기 상태 정보에 포함되어 있는 데이터로부터 생성된다. 중앙 서버는 상기 토큰의 발급 주체가 중앙 서버임을 표시하기 위해 상기 토큰에 중앙 서버 인증서를 포함시키고 보안을 위해 개인키로 전자 서명을 하여 암호화한다. 상기 사용자 인증서는 후술하는 바와 같이, 원격지 서버에서 '사용자'를 인증하기 위해 사용된다.
또한, 인증 정보는 사용자 인증서에 포함되어 있는 사용자의 '이름'을 대체하기 위한 대체 이름에 대한 정보를 포함한다. 상기 대체 이름은 사용자의 이름에 대응하는 영어 또는 숫자로 구성된 이름으로서, 한글을 판독, 기록하는 것이 불가능한 원격지 서버에서의 사용자 인증을 위해 포함되는 정보로서, 상기 대체 이름의 포함 여부는 선택적이라 할 것이다.
원격지 단말기는 상기와 같은 인증 정보가 포함되어 있는 토큰을 수신하고상기 인증 정보에 기초하여 사용자 단말기의 접근 허용 여부 및 접근 허용 시 그 범위 등을 결정하며, 이를 위한 자세한 구성은 후술하도록 한다.
단계(S306)에서 중앙서버는 상기 생성된 토큰을 사용자 단말기로 전송한다. 사용자 단말기는 단계(S307)에서 상기 토큰을 수신하여 저장해 두고, 원격지 서버에 접근하고자 하는 경우 원격지 서버에 전송한다.
한편, 상기 정책 정보, 상기 상태 정보 및 상기 토큰은 보안 유지를 위하여 SSL(Secure Sockete Layer) 프로토콜을 이용하여 SSL 채널과 같은 보안 채널을 통하여 송수신 되는 것이 바람직하며, 또한 상술한 바와 같이 소정의 암호화 방법에 의해 암호화되어 송수신되는 것이 바람직하다. 상술한 바와 같이 암호화는 PKI 방식으로 이루어질 수 있으며 이외에도 홍채 인식, 지문 인식을 이용한 암호화 방법이 사용될 수 있다. 홍채 인식이나 지문 인식의 경우, 사용자의 홍채나 지문을 판독하여 작성한 정보를 암호화, 또는 복호화하기 위한 키 정보로 사용할 수 있다.
후술하는 바와 같이, 상기 토큰을 사용자 단말기로부터 수신한 원격지 서버는 중앙 서버의 공개키를 이용하여 상기 토큰을 복호화하고 상기 중앙 서버 인증서를 확인하여 상기 토큰이 중앙 서버에 의해 발급되었음을 확인할 수 있다. 중앙 서버에서 발급하지 않은 토큰의 경우, 이러한 전자 서명이 없으므로(또는 전자 서명이 포함되어 있는 경우에도 상기 중앙 서버의 전자 서명이 아니므로) 원격지 서버는 상기 토큰에서 중앙 서버가 토큰을 발급하였음을 확인할 수 없으므로 상기 원격지 서버에 위해를 가할 수 있다고 판단하여 사용자 단말기의 접속을 차단할 수 있다.
이하에서는, 사용자 단말기가 발급 받은 토큰을 이용하여 소정의 원격지 서버에 접근, 작업을 수행하는 과정을 상세히 설명한다. 도 4는 본 발명의 일실시예에 따라 소정의 원격지 서버에서 수행되는 인증 방법을 도시한 흐름도이다.
먼저, 단계(S401)에서 사용자 단말기가 접근 요청을 하는 경우, 단계(S402)에서 원격지 서버는 사용자 단말기에게 소정의 토큰을 요청한다. 원격지 서버는 사용자 단말기로부터 접근 요청을 받는 경우, 사용자 단말기가 상기 원격지 서버에 접속하여 작업을 수행하였을 때 원격지 서버에 피해가 없는지 여부를 판단하기 위하여, 상기 사용자 단말기의 안전성을 검증하기 위한 수단으로서 중앙 서버가 발급한 토큰을 요구한다.
단계(S403)에서 사용자 단말기는 중앙 서버로부터 발급 받아 저장하고 있던 토큰을 원격지 서버로 송신한다. 원격지 서버는 단계(S404)에서 상기 수신한 토큰에 포함된 인증 정보에 기초하여 사용자 단말기의 원격지 단말기로의 접근 허용 여부를 판단하고, 허용하고자 하는 경우 단계(S405)에서 사용자 단말기의 접근을 허용한다.
상술한 바와 같이 인증 정보는 토큰의 유효 기간, 권한 정보, 상기 사용자 단말기의 인터넷 주소 정보, 토큰의 식별자, 사용자 인증서 및 사용자의 전자 서명, 중앙 서버 인증서 및 중앙 서버의 전자 서명, 사용자 단말기의 위치 정보, 원격지 서버의 위치 정보 리스트, 대체 이름 등을 포함한다.
원격지 서버는 토큰의 유효 기간을 검사하여 상기 토큰을 수신한 시점이 상기 유효 기간 내인지를 판단하여 상기 유효 기간 내에 상기 토큰이 수신된 경우에만 상기 사용자 단말기의 접근을 허용한다.
또한, 원격지 서버는 상기 토큰에 포함되어 있는 원격지 서버의 인터넷 주소 정보를 이용하여 사용자 단말기의 접근 허용 여부를 결정한다. 상술한 바와 같이 원격지 서버의 인터넷 주소 정보는 상기 토큰으로 접근을 허여 받을 수 있는 원격지 서버의 위치 정보로서, 원격지 서버는 상기 인터넷 주소 정보에 자신과 연관된 위치 정보가 포함되어 있는 경우에만 상기 사용자 단말기의 접근을 허용한다.
또한, 원격지 서버는 상기 토큰에 포함되어 있는 사용자 토큰에 기초하여 접근이 허용되는 사용자인 경우에만 상기 사용자 단말기의 접근을 허용한다. 즉, 본 실시예에 따르면, 원격지 서버는 하나의 토큰으로 사용자 인증은 물론, 사용자 단말기의 상태에 대한 인증을 동시에 수행할 수 있다. 특히, 본 실시예에 따르면, 사용자 단말기는 상기 토큰에 포함된 원격지 서버의 인터넷 주소 정보와 연관된 각각의 원격지 서버에는 동일한 토큰을 이용하여 접근할 수 있기 때문에, 다른 원격지 서버에 접근할 때마다 별도의 로그인 절차 등 사용자 인증 절차를 거치지 않고도 상기 토큰을 전송하는 것만으로 사용자 인증이 이루어진다는 장점이 있다.
또한, 원격지 서버는 상기 토큰에 포함되어 있는 중앙 서버 토큰에 기초하여 그 인증 능력이 인정되는 주체에 의해 생성된 토큰이라고 판단되는 경우에만 상기 사용자 단말기의 접근을 허용한다. 원격지 서버는 소정의 중앙 서버에 의해 발행된 토큰만을 유효한 토큰이라고 판단할 수 있다.
일단 상기 토큰이 유효한 토큰이라고 인정되는 경우, 원격지 서버는 상기 토큰에 포함되어 있는 권한 정보를 이용하여 사용자 단말기가 수행할 수 있는 제1 작업 범위를 결정하고, 사용자 단말기가 상기 제1 작업 범위 내의 작업을 수행할 수 있도록 허용한다. 예를 들면, 사용자는 원격지 서버가 허용하는 종류의 작업을 허용하는 범위 내에서 수행할 수 있다.
또한, 원격지 서버는 상기 사용자 단말기의 인터넷 주소에 기초하여 사용자 단말기가 수행할 수 있는 제2 작업 범위를 결정할 수 있다. 원격지 서버는 사용자 단말기가 현재 접속하고 있는 위치를 파악하고 상기 위치에서 작업을 수행하였을 때 원격지 서버에 미칠 수 있는 영향을 고려하여 제2 작업 범위를 결정하게 된다. 원격지 서버는 이렇게 정해진 제1 작업 범위 및 제2 작업 범위 내의 작업에 대해서만 사용자 단말기의 접근을 허용한다.
사용자 단말기와 원격지 서버 사이의 토큰 역시 소정의 암호화 방법에 의해 암호화 되어, SSL 채널 등 보안 채널을 통해 송수신 되는 것이 바람직하다.
이와 같이 본 실시예에 따른 인증 방법을 사용하면, 보안 상태가 양호한 사용자 단말기만이 원격지 서버에 접근할 수 있게 되고, 또한 복수개의 원격지 서버에 접근하는 경우에도 개별적인 사용자 인증 절차를 거칠 필요 없이 상기 토큰만을 송신함으로써 사용자 인증이 이루어지므로 편리하다는 장점이 있다.
도 5는 본 발명의 또 다른 실시예에 따른 인증 시스템의 네트워크 연결 및 인증 시스템 및 원격지 서버의 구성을 도시한 도면이다.
본 발명에서 제공하는 인증 시스템(510)은 정책 정보를 유지하기 위한 정책 정보 저장 모듈(511)과, 사용자 단말기로부터 토큰 발급 요청이 입력된 경우 상기 정책 정보를 상기 사용자 단말기(530)로 송신하고, 상기 정책 정보의 송신에 응답하여 상기 상태 정보를 수신하기 위한 제1 인터페이스 모듈(512)과, 상기 상태 정보에 기초하여 상기 사용자 단말기(530)와 연관된 토큰의 발급 여부를 판단하기 위한 판단 모듈(513) 및 상기 판단 결과 상기 토큰을 발급하고자 하는 경우 소정의 인증 정보를 포함하는 토큰을 생성하기 위한 토큰 생성 모듈(514)을 포함한다. 제1 인터페이스 모듈(512)은 상기 생성된 토큰을 사용자 단말기(530)로 송신하여 사용자 단말기(530)가 이용할 수 있도록 한다.
사용자 단말기(530)는 원격지 서버(520)에 접속하여 소정의 작업을 수행하기 위해 상기와 같이 수신한 토큰을 원격지 서버(520)으로 전송하고, 원격지 서버(520) 측의 제2 인터페이스 모듈(521)은 상기 토큰을 수신한다.
원격지 서버(520) 측의 제1 판단 모듈(522)은 상기 토큰에 포함된 사용자 인증서 및 상기 인증 정보를 이용하여 사용자 단말기(530)의 접근 허용 여부를 결정하고, 제2 판단 모듈(523)은 상기 인증 정보에 포함된 권한 정보에 기초하여 사용자 단말기(530)가 원격지 서버(520)에서 수행할 수 있는 작업의 범위를 결정한다. 따라서, 사용자 단말기(530)은 이와 같이 결정된 범위 내에서 원격지 서버(520)에 접근하여 작업을 수행할 수 있다.
한편, 상기 정책 정보, 상태 정보 및 토큰에 대해서는 상술한 실시예에서 상세하게 설명하였으므로 그 자세한 설명은 생략한다.
또한 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
도 6은 본 발명에 따른 인증 시스템을 구성하는 데 채용될 수 있는 범용 컴퓨터 시스템의 내부 블록도이다.
컴퓨터 시스템(600)은 램(RAM: Random Access Memory)(602)과 롬(ROM: Read Only Memory)(603)을 포함하는 주기억장치와 연결되는 하나 이상의 프로세서(601)를 포함한다. 프로세서(601)는 중앙처리장치(CPU)로 불리기도 한다. 본 기술분야에서 널리 알려져 있는 바와 같이, 롬(603)은 데이터(data)와 명령(instruction)을 단방향성으로 CPU에 전달하는 역할을 하며, 램(602)은 통상적으로 데이터와 명령을 양방향성으로 전달하는 데 사용된다. 램(602) 및 롬(603)은 컴퓨터 판독 가능 매체의 어떠한 적절한 형태를 포함할 수 있다. 대용량 기억장치(Mass Storage)(604)는 양방향성으로 프로세서(601)와 연결되어 추가적인 데이터 저장 능력을 제공하며, 상기된 컴퓨터 판독 가능 기록 매체 중 어떠한 것일 수 있다. 대용량 기억장치(604)는 프로그램, 데이터 등을 저장하는데 사용되며, 통상적으로 주기억장치보다 속도가 느린 하드디스크와 같은 보조기억장치이다. CD 롬(606)과 같은 특정 대용량 기억장치가 사용될 수도 있다. 프로세서(601)는 비디오 모니터, 트랙볼, 마우스, 키보드, 마이크로폰, 터치스크린 형 디스플레이, 카드 판독기, 자기 또는 종이 테이프 판독기, 음성 또는 필기 인식기, 조이스틱, 또는 기타 공지된 컴퓨터 입출력장치와 같은 하나 이상의 입출력 인터페이스(605)와 연결된다. 마지막으로, 프로세서(601)는 네트워크 인터페이스(607)를 통하여 유선 또는 무선 통신 네트워크에 연결될 수 있다. 이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다.
상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
본 발명에 따르면 사용자 단말기의 상태를 파악하여 보안 상 안전하다고 인정되는 사용자 단말기를 통해서만 소정의 서버에 접근할 수 있도록 하는 인증 방법 및 인증 시스템이 제공된다. 따라서, 보안이 취약한 사용자 단말기가 상기 서버에 접근하여 바이러스를 유포하는 등 상기 서버에 위해를 가하는 것을 방지함으로써 네트워크 상의 서버를 보호할 수 있게 된다.
특히, 본 발명에 따르면 상기 서버로의 접근이 허용되는 경우에도, 사용자 단말기의 상태에 따라 상기 서버에서의 작업 수행 권한을 차별적으로 부여할 수 있는 인증 방법 및 인증 시스템이 제공된다. 따라서, 상기 서버의 중요한 자원은 보다 강력하게 보호할 수 있게 된다.
또한, 본 발명에 따르면, 사용자가 하나 이상의 서버에 접근하는 경우 각 서버에서의 개별적인 사용자 인증 절차를 거치지 않고, 소정의 인증 기관이 발행한 토큰을 전송하는 것만으로 각 서버에서의 사용자 인증이 가능한 인증 방법 및 인증 시스템이 제공된다. 즉, 소정의 중앙 서버가 사용자 단말기의 인증과 상태 점검을 전담하고 기타 원격지 서버들은 접근 허용 여부 및 접근 범위만을 체크하면 되고 사용자는 토큰을 여러 번 발급 받아야 할 필요가 없어 편리하다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
Claims (15)
- 소정의 중앙 서버에서 수행되는 인증 방법에 있어서,사용자 단말기로부터 토큰 발급 요청을 입력 받는 단계;상기 토큰 발급 요청에 응답하여 상기 사용자 단말기에 소정의 정책 정보를 전송하는 단계; -상기 정책 정보는 상기 사용자 단말기의 상태와 연관된 소정의 상태 정보를 파악하기 위한 정보임-상기 정책 정보의 전송에 응답하여 상기 사용자 단말기로부터 상기 상태 정보를 수신하는 단계;상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하는 단계;상기 판단 결과에 따라 소정의 인증 정보를 포함하는 토큰을 생성하는 단계; 및상기 생성된 토큰을 상기 사용자 단말기로 전송하는 단계를 포함하고,상기 인증 정보는 상기 사용자 단말기가 소정의 원격지 서버에 접근하여 소정의 작업을 수행할 수 있는 범위에 대한 권한 정보를 포함하는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하는 상기 단계는,상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 권한 범위를 결정하는 단계를 포함하고,상기 인증 정보는 상기 권한 범위에 대한 정보를 포함하는 것을 특징으로 하는 인증 방법.
- 제2항에 있어서,상기 상태 정보는 네트워크 상에서의 상기 사용자 단말기의 위치에 대응하는 위치 정보를 포함하고,상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 권한 범위를 결정하는 상기 단계는,상기 위치 정보를 이용하여 상기 사용자 단말기가 접속되어 있는 네트워크망의 종류를 판별하는 단계; 및상기 판별된 네트워크망의 종류에 기초하여 상기 사용자 단말기와 연관된 권한 범위를 결정하는 단계를 포함하는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 정책 정보는,상기 사용자 단말기에서의 백신(vaccine) 프로그램의 존재 여부 및 상기 백신 프로그램의 버전(version), 상기 사용자 단말기의 OS(Operating System)의 종류, 상기 OS 종류에 따른 보안 패치(patch)의 존재 여부 및 상기 보안 패치의 버전, 및 상기 사용자 단말기에서의 백도어(back door) 프로그램의 설치 여부에 대한 정보 중 어느 하나 이상의 상태 정보를 수집하기 위한 정보인 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 원격지 서버에서는,상기 사용자 단말기가 접근 요청을 하는 경우, 소정의 토큰을 요청하는 단계;상기 사용자 단말기로부터 상기 생성된 토큰을 수신하는 단계; 및상기 수신한 토큰에 포함된 인증 정보에 기초하여 상기 사용자 단말기의 접근을 허용하는 단계가 수행되는 것을 특징으로 하는 인증 방법.
- 제5항에 있어서,상기 인증 정보는 상기 사용자 단말기와 연관된 권한 범위에 대한 권한 정보를 포함하고,상기 사용자 단말기의 접근을 허용하는 상기 단계는,상기 권한 정보에 기초하여 상기 사용자 단말기가 상기 원격지 서버에서 수행할 수 있는 상기 작업의 종류를 결정하는 단계; 및상기 종류에 해당하는 작업에 대해서만 상기 사용자의 접근을 허용하는 단계를 포함하는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 상태 정보는 상기 사용자 단말기의 사용자를 인증하기 위한 사용자 인증서를 포함하고,상기 인증 정보를 포함하는 토큰을 생성하는 상기 단계는,상기 사용자 인증서의 유효성을 판단하는 단계; 및상기 판단 결과 상기 사용자 인증서의 유효성이 인정되는 경우, 상기 인증 보 및 상기 사용자 인증서를 포함하는 토큰을 생성하는 단계를 포함하고,상기 원격지 서버에서는,상기 토큰을 수신하는 단계; 및상기 토큰에 포함된 사용자 인증서 및 상기 인증 정보를 이용하여 상기 사용자 단말기의 접근 허용 여부를 결정하는 단계;가 수행되는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 인증 정보는 상기 중앙 서버를 인증하기 위한 중앙 서버 인증서를 더 포함하고,상기 원격지 서버는 상기 중앙 서버 인증서에 기초하여 상기 토큰의 발급 기관을 식별하는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 정책 정보, 상기 상태 정보 및 상기 토큰은 소정의 암호화 방법에 의해 암호화되어 송수신 되는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 인증 정보는 상기 사용자 단말기가 접근할 수 있는 하나 이상의 원격지 서버의 인터넷 주소 정보를 포함하고,상기 원격지 서버에서는 상기 인터넷 주소 정보에 기초하여 상기 사용자 단말기의 접근 허용 여부를 결정하는 것을 특징으로 하는 인증 방법.
- 제1항에 있어서,상기 인증 정보는 상기 토큰의 유효 기간에 대한 정보, 권한 정보, 상기 사용자 단말기의 인터넷 주소에 대한 정보 및 상기 토큰의 식별자 중 어느 하나 이상을 포함하고,상기 토큰의 유효 기간은 상기 원격지 서버에서 상기 사용자 단말기의 접근을 허용하는 기간이고,상기 권한 정보는 상기 원격지 서버에서 상기 사용자 단말기가 접근하여 수행할 수 있는 작업의 제1 범위에 대한 정보이고,상기 식별자는 상기 토큰의 재사용을 방지하기 위해 상기 토큰에 대응하는 고유 식별자인 것을 특징으로 하는 인증 방법.
- 제11항에 있어서,상기 원격지 서버에서는,상기 사용자 단말기의 인터넷 주소에 기초하여 상기 사용자 단말기가 수행할 수 있는 작업의 제2 범위를 결정하는 단계; 및상기 제1 범위 및 상기 제2 범위에 포함되는 범위의 작업에 대해서만 상기 사용자 단말기의 접근을 허용하는 단계가 수행되는 것을 특징으로 하는 인증 방법.
- 제1항 내지 제12항의 방법 중 어느 하나의 항에 따른 방법을 컴퓨터에서 구현하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
- 인증 시스템에 있어서,정책 정보를 유지하기 위한 정책 정보 저장 모듈; -상기 정책 정보는 상기 사용자 단말기의 상태와 연관된 소정의 상태 정보를 파악하기 위한 정보임-사용자 단말기로부터 토큰 발급 요청이 입력된 경우 상기 정책 정보를 상기 사용자 단말기로 송신하고, 상기 정책 정보의 송신에 응답하여 상기 상태 정보 및 사용자 인증서를 수신하기 위한 제1 인터페이스 모듈;상기 상태 정보에 기초하여 상기 사용자 단말기와 연관된 토큰의 발급 여부를 판단하기 위한 판단 모듈; 및상기 판단 결과 상기 토큰을 발급하고자 하는 경우 소정의 인증 정보 및 상기 사용자 인증서를 포함하는 토큰을 생성하기 위한 토큰 생성 모듈을 포함하고,상기 제1 인터페이스 모듈은 상기 생성된 토큰을 상기 사용자 단말기로 전송하고,상기 인증 정보는 상기 사용자 단말기가 소정의 원격지 서버에 접근하여 소정의 작업을 수행할 수 있는 범위에 대한 권한 정보를 포함하는 것을 특징으로 하는 인증 시스템.
- 제14항에 있어서,상기 원격지 서버는,상기 사용자 단말기로부터 상기 토큰을 수신하기 위한 제2 인터페이스 모듈;상기 토큰에 포함된 사용자 인증서 및 상기 인증 정보를 이용하여 상기 사용자 단말기의 접근 허용 여부를 결정하는 제1 판단 모듈; 및상기 인증 정보에 포함된 상기 권한 정보에 기초하여 상기 사용자 단말기가상기 원격지 서버에서 수행할 수 있는 작업의 범위를 결정하기 위한 제2 판단 모듈을 포함하는 것을 특징으로 하는 인증 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020030075526A KR100545676B1 (ko) | 2003-10-28 | 2003-10-28 | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020030075526A KR100545676B1 (ko) | 2003-10-28 | 2003-10-28 | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20030091866A true KR20030091866A (ko) | 2003-12-03 |
| KR100545676B1 KR100545676B1 (ko) | 2006-01-24 |
Family
ID=32389212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020030075526A Expired - Lifetime KR100545676B1 (ko) | 2003-10-28 | 2003-10-28 | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100545676B1 (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100730561B1 (ko) * | 2006-04-25 | 2007-06-20 | 포스데이타 주식회사 | 휴대 인터넷 단말기의 네트워크 진입 동작을 제어하는 방법및 시스템과, 상기 휴대 인터넷 단말기 |
| KR100757456B1 (ko) * | 2004-01-20 | 2007-09-11 | 삼성전자주식회사 | 인쇄의 보안이 가능한 프린터 및 그 인쇄의 보안방법 |
| KR100963420B1 (ko) * | 2007-12-17 | 2010-06-15 | 한국전자통신연구원 | 복제된 보안 모듈을 갖는 다운로더블 제한 수신 호스트를감지하는 방법 및 그 장치 |
| KR101042234B1 (ko) * | 2009-07-17 | 2011-06-20 | 아주대학교산학협력단 | 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법 |
| US8490155B2 (en) | 2007-12-17 | 2013-07-16 | Electronics And Telecommunications Research Institute | Method and apparatus for detecting downloadable conditional access system host with duplicated secure micro |
| KR20160000477A (ko) * | 2014-06-24 | 2016-01-05 | 경북대학교 산학협력단 | 서비스단말 상태에 따른 사용자 권한 설정기능을 갖는 사물인터넷 시스템 및 그 방법 |
| KR102409683B1 (ko) * | 2022-03-02 | 2022-06-16 | 주식회사 엑소스피어 랩스 | 백신프로그램을 이용한 계정 관리 방법 및 장치 |
-
2003
- 2003-10-28 KR KR1020030075526A patent/KR100545676B1/ko not_active Expired - Lifetime
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100757456B1 (ko) * | 2004-01-20 | 2007-09-11 | 삼성전자주식회사 | 인쇄의 보안이 가능한 프린터 및 그 인쇄의 보안방법 |
| KR100730561B1 (ko) * | 2006-04-25 | 2007-06-20 | 포스데이타 주식회사 | 휴대 인터넷 단말기의 네트워크 진입 동작을 제어하는 방법및 시스템과, 상기 휴대 인터넷 단말기 |
| KR100963420B1 (ko) * | 2007-12-17 | 2010-06-15 | 한국전자통신연구원 | 복제된 보안 모듈을 갖는 다운로더블 제한 수신 호스트를감지하는 방법 및 그 장치 |
| US8490155B2 (en) | 2007-12-17 | 2013-07-16 | Electronics And Telecommunications Research Institute | Method and apparatus for detecting downloadable conditional access system host with duplicated secure micro |
| KR101042234B1 (ko) * | 2009-07-17 | 2011-06-20 | 아주대학교산학협력단 | 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법 |
| KR20160000477A (ko) * | 2014-06-24 | 2016-01-05 | 경북대학교 산학협력단 | 서비스단말 상태에 따른 사용자 권한 설정기능을 갖는 사물인터넷 시스템 및 그 방법 |
| KR102409683B1 (ko) * | 2022-03-02 | 2022-06-16 | 주식회사 엑소스피어 랩스 | 백신프로그램을 이용한 계정 관리 방법 및 장치 |
| KR102435307B1 (ko) * | 2022-03-02 | 2022-08-23 | 주식회사 엑소스피어 랩스 | 백신프로그램에 의한 인증을 이용한 계정 관리 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100545676B1 (ko) | 2006-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3970040B1 (en) | Mitigation of ransomware in integrated, isolated applications | |
| EP1255179B1 (en) | Methods and arrangements for controlling access to resources based on authentication method | |
| US8510572B2 (en) | Remote access system, gateway, client device, program, and storage medium | |
| KR100437225B1 (ko) | 전자서명 인증기반 파일시스템 보안 장치 및 그 방법 | |
| US7380129B2 (en) | Method and apparatus for detecting grid intrusions | |
| RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
| US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
| CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
| US9160545B2 (en) | Systems and methods for A2A and A2DB security using program authentication factors | |
| CN105978855A (zh) | 一种实名制下个人信息安全保护系统及方法 | |
| CN111147525A (zh) | 基于api网关的认证方法、系统、服务器和存储介质 | |
| CN116668190A (zh) | 一种基于浏览器指纹的跨域单点登录方法及系统 | |
| KR100545676B1 (ko) | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 | |
| US20090204544A1 (en) | Activation by trust delegation | |
| KR101545897B1 (ko) | 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템 | |
| Chi et al. | Design and implementation of OpenStack cloud platform identity management scheme | |
| CN112347440A (zh) | 一种工控设备的用户访问权限分置系统及其使用方法 | |
| KR100386852B1 (ko) | 전자서명 인증 기반 다단계 보안용 보안커널 시스템 | |
| JP2005258606A (ja) | 情報漏洩監査機能付きネットワークシステム | |
| JP2010262550A (ja) | 暗号化システム及び暗号化プログラム及び暗号化方法及び暗号装置 | |
| KR20050003587A (ko) | 보안 시스템 및 그의 접근 제어 방법 | |
| KR102542840B1 (ko) | 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 | |
| KR101068768B1 (ko) | 작업승인 기반 보안 커널의 접근통제 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20031028 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| N231 | Notification of change of applicant | ||
| PN2301 | Change of applicant |
Patent event date: 20050201 Comment text: Notification of Change of Applicant Patent event code: PN23011R01D |
|
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20050915 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20051227 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20060117 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20060118 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20081208 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20091229 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20110113 Start annual number: 6 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20120110 Start annual number: 7 End annual number: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20130717 Year of fee payment: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20130717 Start annual number: 8 End annual number: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20140217 Year of fee payment: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20140217 Start annual number: 9 End annual number: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20150105 Year of fee payment: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20150105 Start annual number: 10 End annual number: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20170116 Year of fee payment: 12 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170116 Start annual number: 12 End annual number: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20190117 Year of fee payment: 14 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190117 Start annual number: 14 End annual number: 14 |
|
| FPAY | Annual fee payment |
Payment date: 20200115 Year of fee payment: 15 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200115 Start annual number: 15 End annual number: 15 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210115 Start annual number: 16 End annual number: 16 |
|
| PC1801 | Expiration of term |
Termination date: 20240428 Termination category: Expiration of duration |