KR20110128371A - 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 - Google Patents
모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법 Download PDFInfo
- Publication number
- KR20110128371A KR20110128371A KR1020100047764A KR20100047764A KR20110128371A KR 20110128371 A KR20110128371 A KR 20110128371A KR 1020100047764 A KR1020100047764 A KR 1020100047764A KR 20100047764 A KR20100047764 A KR 20100047764A KR 20110128371 A KR20110128371 A KR 20110128371A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- authentication
- vpn
- central control
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 소정의 무선 네트워크에 접속하려는 스마트폰, PDA, 노트북 등 모바일 클라이언트(이하 ‘클리이언트’라 함)와 사용자, Application 프로그램을 인증하는 보안인증시스템과 이를 통합 관리하는 관리시스템 및 상기 시스템의 동작 방법에 관한 것으로서,
보다 상세하게는 보안인증시스템은 VPN관리장치(120a), 접속관리장치(120b), 보안관리장치(120c), 어플리케이션 관리장치(120d)로 구성되며, VPN관리장치(120a)는 사전에 정의된 소정의 보안코드를 탑재한 어플리케이션만 접속을 허용하며 소정의 보안코드를 갖지 않거나 보안코드가 상이한 어플리케이션은 VPN을 통해 내부망에 접속할 수 없게 된다. 또한 VPN관리장치 ON/OFF를 통하여 내부망과 인터넷을 편리하게 선택 사용할 수 있다.
접속관리장치(120b)는 단말에서 발생된 이벤트정보를 VPN Gateway를 경유하여 중앙제어시스템으로 전송하는 역할을 담당한다.
보안관리장치(120c)는 중앙제어시스템으로부터 관리자 인증코드를 수신하여 클라이언트 잠금기능을 해제하고 일정시간 단위로 갱신되는 암호키(mOTK, mobile OneTime Key)를 생성하며, 기업내 무선통신망의 사용가능한 AP SSID DB를 암호화하여 저장한다. AP 및 접속 무선통신망의 안전성 여부를 검증하는 기능을 수행하게 된다. 단말기 매체(카메라, MIC, 통신장치, I/O장치)는 중앙에서 부여한 권한에 의해서 사용이 제어된다.
어플리케이션 관리장치(120d)는 보안영역에 데이터를 저장하거나 저장된 데이터를 호출하는 역할을 수행하며, VPN이 동작하지 않거나 일정요건을 만족하지 않으면 보안영역의 데이터는 보이지 않는다.
보다 상세하게는 보안인증시스템은 VPN관리장치(120a), 접속관리장치(120b), 보안관리장치(120c), 어플리케이션 관리장치(120d)로 구성되며, VPN관리장치(120a)는 사전에 정의된 소정의 보안코드를 탑재한 어플리케이션만 접속을 허용하며 소정의 보안코드를 갖지 않거나 보안코드가 상이한 어플리케이션은 VPN을 통해 내부망에 접속할 수 없게 된다. 또한 VPN관리장치 ON/OFF를 통하여 내부망과 인터넷을 편리하게 선택 사용할 수 있다.
접속관리장치(120b)는 단말에서 발생된 이벤트정보를 VPN Gateway를 경유하여 중앙제어시스템으로 전송하는 역할을 담당한다.
보안관리장치(120c)는 중앙제어시스템으로부터 관리자 인증코드를 수신하여 클라이언트 잠금기능을 해제하고 일정시간 단위로 갱신되는 암호키(mOTK, mobile OneTime Key)를 생성하며, 기업내 무선통신망의 사용가능한 AP SSID DB를 암호화하여 저장한다. AP 및 접속 무선통신망의 안전성 여부를 검증하는 기능을 수행하게 된다. 단말기 매체(카메라, MIC, 통신장치, I/O장치)는 중앙에서 부여한 권한에 의해서 사용이 제어된다.
어플리케이션 관리장치(120d)는 보안영역에 데이터를 저장하거나 저장된 데이터를 호출하는 역할을 수행하며, VPN이 동작하지 않거나 일정요건을 만족하지 않으면 보안영역의 데이터는 보이지 않는다.
Description
본 발명은 소정의 무선 네트워크에 연결된 모바일 클라이언트 인증에 관한 것으로, 더욱 상세하게는 모바일 클라이언트 내 기업용 어플리케이션 프로그램을 메모리의 보안영역에서 관리하고 인증하며, 내부통신망 접속시 주기적으로 변경되는 암호화키를 생성하여 통신하고, 관리자 인증코드를 수신하여 모바일 클라이언트 잠금기능을 해제하는 보안인증시스템과 상기 시스템의 동작방법에 관한 것이다.
스마트폰, PDA, 노트북 등 모바일 단말기는 3G, Wibro, WiFi 등 무선네트워크를 이용하여 TCP/IP, HTTP 그 외 다른 인터넷 프로토콜들을 사용하므로 유선보다 보안에 훨씬 취약하며 해킹 등의 위험에 상시 노출되어 있다. 일반적으로 스마트폰에는 WiFi 기능이 내장되어 있어 무선AP의 SSID를 이용하여 네트워크에 접속하며, 3G, 블루투스 등을 이용할 수 있다. 취약한 무선 네트워크를 안전하게 사용하기 위하여, WPA2 등을 이용하여 암호화 통신을 수행하고, RADIUS 인증 및 VPN통신으로 보다 안전한 통신환경을 구현하고 있다. 이러한 인증의 경우, 사전에 등록된 소정의 사용자 및 단말정보를 이용하여 인증을 수행하게 된다.
일반적 클라이언트의 경우 타인이 클라이언트 내부정보를 허가없이 보는 것을 방지하기 위하여 패스워드 기반 잠금기능을 제공하며, 일정 횟수 이상 패스워드 인증 실패시 잠금기능 또는 데이터 초기화를 하기도 한다. 스마트폰 관리시스템에서는 분실시 원격삭제기능과 단말기 관리기능 등을 제공하고, 스마트폰 내의 카메라 마이크, 통신장치 등을 제어할 수 있는 기능 등을 제공하여 보안기능을 강화하고 있다.
그러나 무선보안 취약점으로 인해 기업 내에서 스마트폰을 안심하고 사용하기가 쉽지 않다. 악성코드에 감염된 무선단말을 이용하여 기업 내부망에 접속하게 되면 내부망은 큰 혼란과 위험에 빠지게 되며, 기업 내 동일 SSID를 사칭하는 AP 피싱에 의해 접속ID나 패스워드 정보가 유출되면 현재까지 보안을 위해 투자한 비용과 설비가 무용지물이 될 뿐만 아니라 기업에 막대한 피해를 주게 된다.
따라서 종래기술에 따른 무선보안의 취약점을 제거하면서, 사용자가 보다 안전하고 편리한 보안접속인증 제공을 위한 해결방안이 시급한 실정이다.
본 발명은 상기와 같은 종래기술을 개선하기 위해 안출된 것으로서, 사용자가 클라이언트 단말기에 인증 정보(전자사원증, 지문인식, RFID, PKI, 비밀번호 등)를 입력하여 인증시스템에 전송하고, 인증시스템은 등록된 인증정보(단말기 고유번호 SN, 단말기 사용자 개인코드 HID, 사용기간, TimeStamp, 해쉬값 등)를 확인하여 단말인증 및 사용자인증을 수행하여 클라이언트 로컬인증을 완료하고, 내부통신망에서 사용하는 복수의 정보시스템 SSO 접속인증 서비스를 제공함으로써 보안성이 향상됨과 동시에 기업의 생산성을 제고하고자 하는 것을 목적으로 한다.
본 발명의 목적은 기존 VPN 고유기능에 어플리케이션 인증기능을 추가하여 무선 클라이언트 단말기에서 사용되는 어플리케이션 프로그램의 내부 통신망 사용을 엄격히 제한하여 악성코드가 내부망으로 전파되는 것을 방지하고 무선 클라이언트 단말기와 네트워크 장비를 상호 교차 인증함으로써, 동일 SSID로 피싱하는 악의적 해킹행위를 원천 차단하여 내부정보가 유출되는 것을 미연에 방지하기 위한 것이다.
또한 본 발명은 모바일 클라이언트 저장장치에 보안영역을 설정하여 무선 클라이언트 단말기 데이터를 안전하게 보관하게 되며 해커 또는 악성코드에게 데이터를 절취당하거나 단말기가 도난 당하더라도 데이터 분석을 불가능하게 하며, 원격관리 기능부여 시 스마트폰 배터리 소모량을 최소화하여 스마트폰 사용에 불편을 없애고 소기의 보안목적을 달성하는 것을 목적으로 한다.
상기의 목적을 달성하고, 상술한 종래기술의 문제점을 해결하기 위하여, 본 발명은 기존 VPN 기능을 강화한 VPN관리장치(120a)와 단말기에서 발생한 정보를 전송하는 접속관리장치(120b), 인증기능과 제어기능을 담당하는 보안관리장치(120c), 어플리케이션 관리를 담당하는 어플리케이션 관리장치(120d)로 구성되는 보안인증시스템(121)과 이를 통합관리하는 중앙제어시스템(400)으로 구성된다.
VPN관리장치(120a)는 IPsec 또는 SSL VPN 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, VPN관리장치(120a) On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우 VPN관리장치를 자동으로 ON하여 접속하게 된다. VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 VPN관리장치를 통과할 수 있게 된다. VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하게 된다. 상기 VPN관리장치를 Off함으로써 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능하게 된다.
접속관리장치(120b)는 클라이언트에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며,
3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제된다.
또한, 보안관리장치(120c)의 동작방법은 사번, 주민등록번호와 같은 개인코드와 단말기 Serial Number와 같은 고유번호로 구성된 단말정보와 IP통신을 위한 MAC 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스(410)를 유지하고;
개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하고, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하게 된다.
mOTK 생성과정에서 패스워드가 일치하는 경우 VPN관리장치(120a)를 기동하여 생성된 mOTK 정보를 VPN Gateway를 통해 중앙제어시스템(400)으로 전송하고 중앙제어시스템에서는 전송된 정보와 상기 사용자 정보의 대응여부를 판단하고, 상기 인증정보의 정당성 여부를 체크하며,
클라이언트에서는 전송받은 인증정보를 이용하여, 필수 프로그램 설치여부와 프로그램 속성 확인 및 개인에게 부여된 권한 테이블을 확인하고, WiFi, Bluetooth, Wibro, Camera, Mic 및 기타 입출력장치 사용권한을 클라이언트에 부여하게된다.
무선AP와 모바일 클라이언트가 양방향 인증하는 방법에 있어서,
모바일 클라이언트(102,103)가 중앙제어시스템(400)에 암호문 또는 이미지를 사전에 등록하고, 모바일 클라이언트에 기 등록된 SSID를 이용하여 무선AP(109) 접속하고자 할 때, 중앙제어시스템(400)은 사전에 등록된 암호문 또는 이미지를 모바일 클라이언트(102, 103)에 전송하고, 모바일 클라이언트에서는 수신된 암호문을 복호화하여 네트워크의 적합성을 검증 한 후 VPN 인증절차를 수행하도록 하는 양방향 인증체계를 사용한다.
또한 어플리케이션 관리장치(120d)는 일정한 규칙의 보안코드 탑재유무에 따라 어플리케이션 인증을 수행하게 되며, 인증된 어플리케이션만 VPN을 통하여 통신할 수 있도록 제어하는 기능이 있으며,
모바일 클라이언트의 메모리 일정영역(이하 '보안영역'이라함, 521)을 AES, ARIA 등 블록암호알고리즘으로 암호화하고 파일이 보이지 않도록 보안영역을 구현하고, VPN 동작시 보안영역 설정을 일시 해제하는 기능을 제공한다.
업무용으로 전송된 데이터를 상기의 보안영역(521,541)에 저장하고 저장된 데이터를 호출하여 사용하게 된다.
본 발명에 따르면, 사용자가 클라이언트 단말기에 인증 정보를 입력하여 중앙제어시스템에 전송하고, 상기 중앙제어시스템을 통해 인트라넷 및 상기 인트라넷에 연결된 복수의 서버에 접속 인증함으로써, 보다 신속하고 효율적인 접속 인증 서비스를 제공하고, 이로 인해 기업의 생산성을 향상시킬 수 있다.
본 발명에 따르면, 노트북, PC와 같이 상시 켜져 있지않는 단말기의 경우 상기 중앙 제어 시스템에서 상기 인트라넷 및 상기 인트라넷에 연결된 상기 복수의 서버에 접속 인증된 경우, 운영 체계의 부팅 동작을 수행하게 함으로써, 기업 내에 정보 보안 사고를 미연에 방지할 수 있다.
이상과 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
도 1은 종래 기술에 따른 무선통신시스템의 암호화 통신 및 인증을 설명하기 위하여 도시한 도면이다.
도 2는 본 발명 실시 예에 따른 모바일 시스템 구성도를 도시한 도면이다.
도 3는 본 발명에 따른 보안인증시스템 장치구조 및 동작방법을 도시하기위하여 도시한 블록도이다.
도 4는 본 발명에 따른 내부 무선통신망에서 인증서비스를 제공하는 인증시스템의 동작방법을 도시한 흐름도이다.
도 5는 본 발명에 따른 외부 이동통신망에서 인증서비스를 제공하는 인증시스템의 동작방법을 도시한 흐름도이다.
도 6은 본 발명에 따른 중앙제어시스템의 각 모듈 간 동작방법을 도시한 내부 모듈의 블록도이다.
도 7은 본 발명의 실시 예에 따른 스마트폰의 메모리 구조를 일례로 도시한 도면이다.
도 8은 본 발명의 실시 예에 따른 데이터베이스의 일례를 도시한 도면이다.
도 9은 본 발명의 실시 예에 따른 권한관리 테이블의 일례를 도시한 도면이다.
도 10은 본 발명에 따른 인증서비스를 제공하는 중앙제어시스템의 동작방법을 도시한 흐름도이다.
도 2는 본 발명 실시 예에 따른 모바일 시스템 구성도를 도시한 도면이다.
도 3는 본 발명에 따른 보안인증시스템 장치구조 및 동작방법을 도시하기위하여 도시한 블록도이다.
도 4는 본 발명에 따른 내부 무선통신망에서 인증서비스를 제공하는 인증시스템의 동작방법을 도시한 흐름도이다.
도 5는 본 발명에 따른 외부 이동통신망에서 인증서비스를 제공하는 인증시스템의 동작방법을 도시한 흐름도이다.
도 6은 본 발명에 따른 중앙제어시스템의 각 모듈 간 동작방법을 도시한 내부 모듈의 블록도이다.
도 7은 본 발명의 실시 예에 따른 스마트폰의 메모리 구조를 일례로 도시한 도면이다.
도 8은 본 발명의 실시 예에 따른 데이터베이스의 일례를 도시한 도면이다.
도 9은 본 발명의 실시 예에 따른 권한관리 테이블의 일례를 도시한 도면이다.
도 10은 본 발명에 따른 인증서비스를 제공하는 중앙제어시스템의 동작방법을 도시한 흐름도이다.
도 1은 기존의 종래 기술에 따른 무선통신시스템의 암호화 통신 및 인증을 설명하는 것으로 기존의 무선통신의 암호화는 스마트폰, PDA, 노트북, PC 등의 무선 단말의 VPN 모듈과 VPN Gateway를 통하여 암호화 통신을 제공하였으며, 인증서버를 통하여 단말과 사용자의 인증을 제공하였다.
도 2를 참조하면, 본 발명에 따른 모바일시스템 구성도(100)는 기업 내부 무선통신망과 정보제공 시스템이 포함된다. 내부 무선통신망은 WiFi, 3G, 블루투스 등을 통하여 TCP/IP (Transmission Control Protocol/Internet Protocol) 또는 HTTP(HypertexT Transfer Protocol) 등의 인터넷 프로토콜 등으로 통신을 수행할 수 있고, 근거리 통신망 또는 전용회선망 등의 통신망(107)에 하나 이상의 서버(105) 및 하나 이상의 클라이언트 단말기(101)가 연결될 수 있다. 모바일 서버(105)에 접속하기 위하여 클라이언트 단말기(101)는 중앙 제어 시스템(400)에 인증 정보를 전송하여 접속 인증을 수행한다.
일예로, 클라이언트 단말기(101)는 서버(105)에 접속하기 위하여, 중앙 제어 시스템(400)에 인증 정보를 전송한다. 이에, 중앙 제어 시스템(400)은 사전에 사용자로부터 입력된 소정의 사용자 정보를 기록한 데이터베이스(410)를 유지하고, 상기 인증 정보의 정당성 여부를 판단한다. 이를 위하여 상기 인증 정보는 mOTK(mobile One Time Key), 공개키 기반 구조(Public Key Infrastructure), smart 카드, RFID 태그정보, 또는 생체 인식 정보 중 어느 하나 이상일 수 있다. 클라이언트에서 인증정보가 생성되면 VPN을 기동하고 생성된 정보를 전송하며 VPNGateway(122)에서는 전송된 정보와 상기 사용자 정보의 대응여부를 판단하고 VPN 접속여부를 결정하여 해당정보를 중앙제어시스템(400)에 전송하게 된다.
일예로, 상기 인증 정보가 공개키 기반 구조를 갖는 경우, 클라이언트 단말기(101)는 공개키를 통해 인증 정보를 암호화하여 중앙 제어 시스템(400)으로 전송한다. 중앙 제어 시스템(400)의 데이터베이스에는 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 공개키에 대응하는 개인키가 기록되어 있다. 중앙 제어 시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스를 참조하여 상기 클라이언트 단말기에 저장된 상기 공개키에 대응하는 개인키를 이용하여 상기 암호화된 인증 정보를 복호화하며, 상기 인증 정보의 정당성을 검증한다.
다른 일예로, 상기 인증 정보가 클라이언트 단말기(101)의 사용자의 스마트카드인 경우, 중앙 제어 시스템(400)은 상기 인증 정보 및 상기 사용자 정보가 일치하는지를 확인함으로써, 클라이언트 단말기(101)의 접속을 인증할 수 있다. 또 다른 일예로, 상기 인증 정보가 소정의 생체 인식 모듈을 통해 수집된 생체 인식 정보인 경우, 중앙 제어 시스템(400)은 데이터베이스에 기록된 생체 인식 정보와 클라이언트 단말기(101)로부터 입력된 생체 인식 정보의 대응 여부 확인을 통해 클라이언트 단말기(101)의 접속을 인증할 수 있다.
클라이언트 단말기(101)로부터 수신된 상기 인증 정보가 정당한 경우, 중앙 제어 시스템(400)은 상기 인증 정보를 통해 상기 무선통신망 접속 인증을 수행하고, 상기 무선통신망에 접속 인증된 경우, 상기 무선통신망과 연결된 인트라넷의 모바일 서버(105)에 접속 인증을 수행한다. 이러한 일련의 인증 과정을 통해, 클라이언트 단말기(101)는 인트라넷을 통해 모바일 서버와 정보 또는 자원을 이용할 수 있다.
도 3은 기술한 바와 같이 기존 VPN 기능을 강화한 VPN관리장치(120a)와 단말기에서 발생한 정보를 전송하는 접속관리장치(120b), 인증기능과 제어기능을 담당하는 보안관리장치(120c), 어플리케이션을 관리를 담당하는 어플리케이션 관리장치(120d)로 구성되는 보안인증시스템(121)과 이를 통합관리하는 중앙제어시스템(400)으로 구성된다.
본 발명의 일실시 예에 따른 클라이언트 필수 프로그램 설치여부와 프로그램 속성을 확인하고 중앙에서 사전 정의된 기본 요건을 갖추지 못한 경우 VPN 인증을 불허하게 되어 내부 무선통신망에 접속하지 못하게 된다. WiFi, Bluetooth, Wibro, Camera, Mic 및 기타 입출력장치의 사용권한을 개인별로 부여한다. 출력장치와 연결되어 관련내용을 출력하는 경우 사용자, 시간, 출력위치, 출력물 제목 및 내용 일부를 로그로 저장 및 전송하는 기능을 갖고 있으며, 전송 실패시 자동저장 한 후 전송하게 된다.
일예로, 상기 인증정보가 mOTK 구조를 갖는 경우, 클라이언트 단말기(101)는 다음과 같은 방식으로 인증정보를 생성한다.
생성방법 : mOTK = hash(개인코드 + 단말코드 + MAC + T/S + Salt)
* 개인코드(사번, 주번, ID 등으로 생성시 입력 값임)
* 단말코드(Serial Number 등)
* MAC 어드레스
* T/S (Time Stamp, 1~2시간 주기로 자동 생성함)
주기적으로 단말기에서 생성되는 mOTK는 활성화된 VPN관리장치를 통해 중앙 제어 시스템(400)으로 전송한다.
스마트폰 등 이동단말기가 잠금기능이 해제되어 3G 또는 내부 무선통신망에 접속하는 경우 분실여부를 체크하게 되며, 잠금기능용 패스워드가 지정된 횟수 이상 틀리게 되면 무선단말 내에 설치되어 있는 보안관리장치(120c)가 분실여부를 체크하여 중앙제어시스템(400)으로부터 분실정보를 얻게 된다. 분실된 단말기로 확인되면 소정의 절차에 의해 저장된 데이터를 처리하게 된다.
모바일 클라이언트가 정해진 횟수를 초과하여 영구 잠금설정이 된 경우 사용자가 신고를 하고, 소정의 절차를 거쳐 관리자가 잠금기능 해제용 인증코드를 전송하면 클라이언트는 이를 수신함으로써 잠금기능이 해제된다.
도 4 및 도 5를 참조하면, 본 발명에 따른 보안인증의 흐름의 일례를 WiFi 와 3G를 통하여 기업 내부망 접속을 설명하는 것으로 클라이언트 단말이 WiFi에서 접속하는 경우, 클라이언트 단말은 무선 AP를 경유하여 중앙제어시스템에 인증정보를 전송하고, 중앙제어장치는 인증 정보의 정당성을 판단 후 인증을 수행한다. 인증 성공 후 무선 클라이언트 단말과 무선 AP간은 AES 등과 같은 암호화 세션이 이루어진다. VPN 통신을 위하여 VPN Gateway로 아이디, 패스워드 정보를 보내며, VPN Gateway는 해당정보를 중앙제어시스템에 질의한다. 정당한 아이디, 패스워드로 인증이 수행된 후 무선 클라이언트 단말과 VPN Gateway간의 암호화 터널링이 생성된다. 이때, 암호화 알고리즘은 ARIA, AES등을 활용 할 수 있다. VPN 터널링이 생성된 후 무선 단말 클라이언트는 접속되었음을 관리장치에 알리고, 내부 업무 사용을 위하여 모바일 서버로 접속하여 안전한 통신을 보장받는다. 본 발명의 일례로 3G에서 접속한 경우, 통신사와의 연결요청 및 승인 이후 WiFi의 경우와 동일한 보안인증 흐름을 유지하여 기업 내부 업무를 수행 할 수 있다.
도 7을 참조하면, 본 발명의 클라이언트의 메모리를 암호화하여 스텔스 속성을 부여하는 하는 보안영역을 설명한다. 일반적으로 스마트폰은 흔히 CPU라 불리는 프로세서(510)와 메모리의 읽기 쓰기가 가능한 램(RAM : Random Access Memory, 520)과 읽기 영역으로만 쓰이는 롬(ROM : Read Only Memory 530), 메모리 카드를 삽입하여 대용량 저장장치로 사용할 수 있는 대용량 기억장치(540)로 구성된다.
본 발명의 일례에 따르면 어플리케이션 관리장치(120d)에 의하여 램(520)의 일정영역을 암호화 하여 스텔스 속성을 부여하고, VPN 동작 시 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 상기 보안영역에 저장하고 저장된 데이터를 호출하여 사용함으로써 악성코드 및 분실 및 해킹으로 인한 기업 내부 정보 유출을 방지 할 수 있다.
본 발명의 일실시 예에 따른 클라이언트 내장메모리(520)와 외장 메모리(540)의 일정공간을 보안영역(521,541)으로 설정하고 할당된 메모리공간을 하나의 보안파일로 생성한다. 보안파일은 식별 및 인증을 통해서 마운트되어 윈도우 탐색기에 폴더 형식으로 나타나며, 마운트된 보안영역은 일반 폴더와 동일하게 어플리케이션에서 접근이 가능하다. 또한 보안영역에 저장된 파일은 AES, ARIA 등 블록암호 알고리즘으로 암호화하여 보이지 않도록 언마운트 되어 접근이 불가능하게 된다. 식별 및 인증하는 방법의 한 예로서 VPN 동작하는 경우 또는 사전에 정의된 업무를 하는 경우가 있으며, 식별 및 인증을 통해 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 보안영역에 저장하게 된다. 어플리케이션 및 기업용 데이터는 보안영역에 자동 저장되게 할 수 있다.
클라이언트 내 어플리케이션을 실행하여 기업 내 정보시스템(105)에 접속하려고 할 때 미동작 중인 VPN을 기동하고 음성통신시 VPN 기능을 자동으로 바이패스 할수 있게 보안인증시스템이 구성된다.
상기 보안인증시스템을 Off하게 되면 기업 내 정보통신망이 차단되고 공중망으로 접속할 수 있으며 이 때 보안영역(521,541)은 자동으로 사라지게 된다.
도 8을 참조하면, 중앙 제어 시스템의 데이터베이스(410)에는 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 mOTK에 대응하는 MAC정보(411b), 단말코드(411c), 개인코드(411d)가 기록되어 있다. 중앙 제어 시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스(410)와 현재 시간정보를 기준으로 mOTK를 생성하여 비교함으로써 상기 인증 정보의 정당성을 검증한다.
도 10을 참조하면, 클라이언트 단말기(101)에 전원이 인가(power on)되는 경우, 사용자는 클라이언트 단말기(101) 상에 인증 정보를 입력함으로써 클라이언트 단말기(101)에 대한 로컬 인증을 수행할 수 있다. 이러한 로컬 인증은 PC, 노트북과 같은 무선 클라이언트 단말기(101)에 설치된 에이전트 모듈에서 수행될 수 있고, 이러한 에이전트 모듈은 클라이언트 단말기(101)에 설치된 운영 체계 기동(loading) 이전에 동작하여 사용자에 대한 로컬 인증을 수행하도록 설계된다.
상기 로컬 인증을 수행한 클라이언트 단말기(101)의 접속관리장치(120b)는 중앙 제어 시스템(400)으로 상기 인증 정보를 전송하여 상술한 바와 같이 인트라넷 및 서버(105)에 대한 접속 인증을 수행한다. 상기 인증 정보의 정당성을 검토한 중앙 제어 시스템(400)은 클라이언트 단말기(101)로 소정의 접속 인증 결과 데이터를 전송하고, 클라이언트 단말기(101)의 보안관리장치(120c)는 상기 접속 인증 결과 데이터에 따라 운영 체계가 로딩되도록 제어한다. 상술한 바와 같이, 중앙 제어 시스템(400)으로 인증 정보를 전송하고 중앙 제어 시스템(400)의 접속 인증 결과 데이터를 수신하기 위해, 클라이언트 단말기(101)는 중앙 제어 시스템(400)과 통신을 수행하는 보안인증시스템(121)을 포함한다.
이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다.
지금까지 본 발명에 따른 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다.
그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
100: 무선통신망 구성도 101: 모바일 클라이언트
102: 모바일 클라이언트(내부망) 103: 모바일 클라이언트(외부망)
105a: 모바일 서버 105b: 내부 정보시스템
107: 내부 무선통신망 108: 무선 Access Point
109: 이동통신망 기지국 121: 보안인증시스템
121a: VPN관리장치 121b: 접속관리장치
121c: 보안관리장치 121d: 어플리케이션관리장치
122: VPN Gateway 400: 중앙제어시스템
402: 인증정보관리부 403: 사용자 인증 제어부
404: 전송부 410: 데이터베이스
411b: MAC 정보 411c: 단말기 코드(Serial Number)
411d: 개인코드(사번) 411g: 해쉬값
510: 모바일 클라이언트 프로세서 520: 내장메모리
521: 내장메모리 보안영역 530: 롬
540: 외장메모리 541: 외장메모리 보안영역
550: 입출력 인터페이스 560: 네트워크 인터페이스
102: 모바일 클라이언트(내부망) 103: 모바일 클라이언트(외부망)
105a: 모바일 서버 105b: 내부 정보시스템
107: 내부 무선통신망 108: 무선 Access Point
109: 이동통신망 기지국 121: 보안인증시스템
121a: VPN관리장치 121b: 접속관리장치
121c: 보안관리장치 121d: 어플리케이션관리장치
122: VPN Gateway 400: 중앙제어시스템
402: 인증정보관리부 403: 사용자 인증 제어부
404: 전송부 410: 데이터베이스
411b: MAC 정보 411c: 단말기 코드(Serial Number)
411d: 개인코드(사번) 411g: 해쉬값
510: 모바일 클라이언트 프로세서 520: 내장메모리
521: 내장메모리 보안영역 530: 롬
540: 외장메모리 541: 외장메모리 보안영역
550: 입출력 인터페이스 560: 네트워크 인터페이스
Claims (12)
- 무선AP와 모바일 클라이언트가 양방향 인증하는 방법에 있어서, 모바일 클라이언트가 중앙제어시스템에 암호문 또는 이미지를 사전에 등록하고, 모바일 클라이언트에 등록된 SSID를 이용하여 AP 접속시, AP가 연결된 네트워크의 중앙제어시스템은 사전에 등록된 암호문 또는 이미지를 모바일 클라이언트에 전송하는 단계,
모바일 클라이언트에서는 수신된 암호문을 복호화하여 네트워크의 적합성을 검증 한 후 VPN 인증절차를 수행하도록 하는 단계를 포함한 보안인증시스템의 동작방법.
- 소정의 내부 무선통신망에 연결된 클라이언트 단말기를 인증하는 절차 및 동작 방법에 있어서,
클라이언트 어플리케이션이 VPN을 사용하여 통신하고자 할 경우, 사전 정의된 보안코드가 삽입된 어플리케이션을 VPN관리장치가 인증하는 구조를 가진 보안인증시스템의 동작방법.
- 청구항 2에 있어서
음성 통신시 VPN 암복화 바이패스 여부를 선택할 수 있는 옵션기능과 VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션 실행시 VPN관리장치를 구동하는 방법.
- 3G, Wibro, WiFi등을 이용하는 무선 클라이언트가 모바일서버에 접속할 경우 또는 패스워드를 사전 정의된 회수 이상 실패할 경우, 클라이언트 단말기가 중앙제어시스템에 해당 단말기의 분실여부 등 상태정보 요청 및 확인하는 방법.
- 청구항 4에 있어서,
비밀번호를 사전에 설정된 회수 이상 실패시 모바일 클라이언트의 잠금기능을 제공하고, 중앙의 관리장치에서 전송하는 잠금기능 해제용 인증정보를 수신함으로써 잠금기능이 해제되는 보안인증시스템의 동작방법.
- 사번, 주민번호와 같은 개인코드(HID)와 고유의 단말코드(SN)와 IP통신을 위한 MAC 등 사용자에 대한 정보를 기록한 데이터베이스(HID, SN. MAC)를 유지하는 단계를 포함하고, 데이터베이스에 TimeStamp와 Salt값을 부가한 후 Hash값을 만들고, 일정 주기(시간, 일, 주 단위)로 생성되는 해쉬값(mOTK)을 인증정보로 이용하는 모바일 클라이언트를 포함 보안인증시스템.
- 청구항 6에 있어서
mOTK 생성과정에서 패스워드가 일치하는 경우 VPN 관리장치를 기동하여 생성된 mOTK 정보를 VPN Gateway를 통해 중앙제어시스템으로 전송하고 중앙제어시스템에서는 전송된 정보와 상기 사용자 정보의 대응여부를 판단하고, 상기 인증정보의 정당성 여부를 판단하는 보안인증시스템의 동작방법.
- 모바일 클라이언트가 중앙제어시스템으로부터 인증여부 및 매체제어 권한설정 값을 수신하는 단계를 포함하고, 모바일 클라이언트에 필수 지정 프로그램 설치 및 정상동작 여부 등 보안요건이 충족될 경우,
모바일 클라이언트 또는 사용자에게 부여된 매체제어 권한을 확인하고, WiFi, Bluetooth, Wibro, Camera, Mic 및 기타 입출력장치 사용권한을 모바일 클라이언트에게 부여하는 기능과 적용결과를 다시 중앙제어시스템에 전송하는 기능을 포함하는 보안인증시스템의 동작방법
- 클라이언트의 메모리 보안영역을 블록암호 알고리즘으로 암호화하고 메모리에 저장된 파일이 보이지 않도록 보안영역을 부여하는 방법과 VPN 동작과 같은 일정요건 충족시 보안영역을 일시 해제하는 보안인증시스템 동작방법.
- 청구항 9에 있어서
업무용으로 전송된 데이터를 메모리상의 보안영역에 저장하고 일정요건 만족시 저장된 데이터를 호출하는 보안인증시스템의 동작방법.
- 모바일 클라이언트가 출력장치와 유·무선으로 연결되어 관련내용을 출력하는 경우 사용자, 시간, 출력위치, 출력물 제목 및 내용일부를 로그로 저장 및 전송하는 기능과 전송 실패시 관련 로그를 자동저장 한 후 통신상태가 복구되면 재전송하는 보안인증시스템의 동작방법
- 클라이언트 단말기는 운영체계 구동 이전에 상기 중앙 제어 시스템과 접속 인증을 위한 통신을 수행하는 에이전트 모듈을 포함하고, 상기 에이전트 모듈은 상기 접속 인증 결과 데이터를 상기 사용자 인증 제어부로부터 수신하여 상기 클라이언트 단말기의 상기 운영체계의 부팅(booting)이 수행되도록 제어하는 것을 특징으로 하는 중앙 제어 시스템의 동작 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100047764A KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100047764A KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110128371A true KR20110128371A (ko) | 2011-11-30 |
| KR101133210B1 KR101133210B1 (ko) | 2012-04-05 |
Family
ID=45396557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100047764A Active KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101133210B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101650478B1 (ko) * | 2015-07-02 | 2016-08-23 | 주식회사 로그에너지 | 네트워크 기반의 중앙 설비 관리 장치 및 상기 네트워크 기반의 중앙 설비 관리 장치의 사용자 인증 방법 |
| KR101659847B1 (ko) * | 2015-07-14 | 2016-09-26 | (주)케이스마텍 | 모바일 단말을 이용한 2채널 사용자 인증 방법 |
| KR20200101812A (ko) * | 2019-02-20 | 2020-08-28 | 주식회사 키메디 | 의료용 차트 소프트웨어와 웹사이트 사이의 sso 인증 서비스 시스템 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101991340B1 (ko) * | 2017-12-12 | 2019-06-20 | 에스케이브로드밴드주식회사 | 보안 관리를 위한 장치 및 방법 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100883648B1 (ko) * | 2002-03-16 | 2009-02-18 | 삼성전자주식회사 | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 |
| KR100667348B1 (ko) * | 2004-05-07 | 2007-01-10 | 주식회사 케이티프리텔 | 무선랜을 이용한 무선인터넷서비스 제공 방법 및 장치 |
| KR20070022268A (ko) * | 2004-05-17 | 2007-02-26 | 톰슨 라이센싱 | Vpn 클라이언트 없이 휴대용 디바이스를 위한 가상 개인네트워크로의 액세스를 관리하는 방법 및 장치 |
-
2010
- 2010-05-22 KR KR1020100047764A patent/KR101133210B1/ko active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101650478B1 (ko) * | 2015-07-02 | 2016-08-23 | 주식회사 로그에너지 | 네트워크 기반의 중앙 설비 관리 장치 및 상기 네트워크 기반의 중앙 설비 관리 장치의 사용자 인증 방법 |
| KR101659847B1 (ko) * | 2015-07-14 | 2016-09-26 | (주)케이스마텍 | 모바일 단말을 이용한 2채널 사용자 인증 방법 |
| KR20200101812A (ko) * | 2019-02-20 | 2020-08-28 | 주식회사 키메디 | 의료용 차트 소프트웨어와 웹사이트 사이의 sso 인증 서비스 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101133210B1 (ko) | 2012-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113553558B (zh) | 经由内部网络监视来检测使用泄漏证书的攻击 | |
| US9769655B2 (en) | Sharing security keys with headless devices | |
| US8335920B2 (en) | Recovery of data access for a locked secure storage device | |
| US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
| EP2731040B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| US8266378B1 (en) | Storage device with accessible partitions | |
| KR20220086580A (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| US20100266132A1 (en) | Service-based key escrow and security for device data | |
| US20060075230A1 (en) | Apparatus and method for authenticating access to a network resource using multiple shared devices | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN110612698B (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证系统及安全认证方法 | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| JP2006500657A (ja) | セキュリティポリシーの維持及び配信をサポートするためのサーバー、コンピュータメモリ、及び方法 | |
| US10423798B2 (en) | Mobile device authenticated print | |
| US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
| US20180357411A1 (en) | Authentication Of A Device | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| KR101319586B1 (ko) | 클라우드 컴퓨팅 시스템 및 클라이언트 인증방법 | |
| WO2016144258A2 (en) | Methods and systems for facilitating secured access to storage devices | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| US20140250499A1 (en) | Password based security method, systems and devices | |
| KR101133210B1 (ko) | 모바일 클라이언트 단말기의 보안인증시스템 | |
| US20090327704A1 (en) | Strong authentication to a network | |
| KR102355708B1 (ko) | 블록체인 키를 이용한 사용자 인증 기반의 요청 처리 방법, 그 방법이 적용된 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20100522 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20111019 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20120327 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20120328 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20120328 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20150107 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20150107 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20160122 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20160122 Start annual number: 5 End annual number: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20170113 Year of fee payment: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170113 Start annual number: 6 End annual number: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20180108 Year of fee payment: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180108 Start annual number: 7 End annual number: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20190114 Year of fee payment: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190114 Start annual number: 8 End annual number: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20200115 Year of fee payment: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200115 Start annual number: 9 End annual number: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210112 Start annual number: 10 End annual number: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20220321 Start annual number: 11 End annual number: 11 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230308 Start annual number: 12 End annual number: 12 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240122 Start annual number: 13 End annual number: 13 |
|
| PR1001 | Payment of annual fee |
Payment date: 20250210 Start annual number: 14 End annual number: 14 |