KR100719118B1 - 특정 영역에서의 디바이스 기능 제한 방법 및 시스템 - Google Patents

특정 영역에서의 디바이스 기능 제한 방법 및 시스템 Download PDF

Info

Publication number
KR100719118B1
KR100719118B1 KR1020050101778A KR20050101778A KR100719118B1 KR 100719118 B1 KR100719118 B1 KR 100719118B1 KR 1020050101778 A KR1020050101778 A KR 1020050101778A KR 20050101778 A KR20050101778 A KR 20050101778A KR 100719118 B1 KR100719118 B1 KR 100719118B1
Authority
KR
South Korea
Prior art keywords
resource
security policy
credentials
server
state
Prior art date
Application number
KR1020050101778A
Other languages
English (en)
Other versions
KR20070045466A (ko
Inventor
이경희
티무르 코르키슈코
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050101778A priority Critical patent/KR100719118B1/ko
Priority to US11/513,047 priority patent/US8627460B2/en
Publication of KR20070045466A publication Critical patent/KR20070045466A/ko
Application granted granted Critical
Publication of KR100719118B1 publication Critical patent/KR100719118B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 보안이 요구되는 특정 영역에서 사용자가 카메라 기능이나 메모리 기능이 있는 디바이스를 휴대하는 경우에, 영역 제한 채널을 통해 디바이스로 크리덴셜(Credential)과 정책(Policy)을 전송하여, 이를 근거로 디바이스의 일부 기능을 제한함으로써, 디바이스의 불법 사용 및 정보 누설을 방지하도록 하는 특정 영역에서의 디바이스 기능 제한 방법 및 시스템에 관한 것으로서,
본 발명에 의하면, 특정 영역에서 이동 통신 단말기나 PDA와 같은 디바이스의 불법 사용을 방지할 수 있으며, 또한 특정 기능의 사용에 따른 정보 누설을 방지할 수 있다.
특정 영역, 디바이스, 크리덴셜, 정책, 구역제한 통신채널, 감시 시스템

Description

특정 영역에서의 디바이스 기능 제한 방법 및 시스템{Method and system for limitting a function of device in specific perimeters}
도 1은 본 발명의 실시예에 따른 디바이스 기능 제한 시스템의 구성을 개략적으로 나타낸 구성도,
도 2는 커뮤니케이션 시스템의 내부 구성을 개략적으로 나타낸 구성도,
도 3은 감시 시스템의 서버 내부 구성을 개략적으로 나타낸 구성도,
도 4는 디바이스의 내부 구성을 개략적으로 나타낸 구성도,
도 5는 디바이스의 소스 자원과 싱크 자원을 나타낸 도면, 그리고
도 6은 디바이스 기능 제한 방법의 처리 과정을 나타낸 흐름도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
101 : 경계 영역 110 : 감시 시스템
111 : 서버 112 : 알람 시스템
113 : 커뮤니케이션 시스템 120 : 디바이스
130 : 디바이스 감시 영역 201 : 구역 제한 통신 서브시스템
202 : 다른 통신 서브시스템 310 : 서버 프로세서
320 : 서버 시스템 메모리 321 : 서버 정책
322 : 서버 크리덴셜 323 : 서버 참조상태
330 : 서버 입출력 시스템 410 : 디바이스 프로세서
420 : 디바이스 시스템 메모리 421 : 제어 소프트웨어
422 : 디바이스 크리덴셜 423 : 디바이스 정책
424 : 디바이스 참조상태 425 : 디바이스 이행상태
510 : 소스 자원 511 : 하드웨어 자원
512 : 소프트웨어 자원 520 : 싱크 자원
530 : 스테이트
본 발명은 특정 영역에서의 디바이스 기능 제한 방법 및 시스템에 관한 것으로서, 더욱 상세하게는 보안이 요구되는 특정 영역에서 사용자가 카메라 기능이나 메모리 기능이 있는 디바이스를 휴대하는 경우에, 영역 제한 채널을 통해 디바이스로 크리덴셜(Credential)과 정책(Policy)을 전송하여, 이를 근거로 디바이스의 일부 기능을 제한함으로써, 디바이스의 불법 사용 및 정보 누설을 방지하도록 하는 특정 영역에서의 디바이스 기능 제한 방법 및 시스템에 관한 것이다.
오늘날 이동 전화기, PDA 등과 같은 이동 장치는 모든 사회에 공통으로 폭넓게 사용되고 있다. 대부분의 사람들은 음성이나 이미지, 영상, 또는 텍스트 이미지 등의 미디어를 전달하여 다른 사람과 통신하기 위해 이러한 이동 장치를 이용하게 된다. 이동 장치를 통한 이러한 행위는 사람들에게 부가 가치를 생성하는 데 매우 유용하다.
그런데, 이러한 이동 장치를 사용함에 있어 그 기능을 제한해야 하는 몇 개의 장소가 있다. 첫째, 정부나 군기구, 상업적 기관 등에서 문서나 프로토타입 등의 예민한 자산을 가지고 일하는 중에 정보가 누설되는 것을 방지해야 하는 정보보안 제한 구역이 있다. 둘째, 공중 목욕탕에서 누드 상태의 사람을 촬영하는 등의 이동 장치의 어떤 특징을 사용하여 다른 사람들의 프라이버시를 침해하거나(Violate), 콘서트 홀에서 쇼를 보거나 도서관에서 책을 읽을 때 현재의 행동에 의해 다른 사람들에게 폐를 끼치는 윤리적 제한 구역이 있다. 셋째, 이동 장치로부터 방사된 전자계가 비행기 등에서 센서 기구에 의해 간섭을 일으키는 방사물 제한 구역이 있다.
한편, 몇몇의 기술은 경계 지역에서 장치의 어떤 기능의 사용을 방지하기 위해 장치 캐리어를 사용하고 있다. 여기서, 비기술적(Non-technical)인 것과 제한 기술(Technical limitations)이 구분된다. 전자의 비기술적인 경우는 행정상으로나 법률상 또는 윤리 규정상 등 보통의 형식과 다르게 사용하며, 사용자들은 비기술적 제한과 쉽게 타협할 수 있다. 후자의 제한 기술의 경우, 제한 기술을 직접적으로나 간접적으로 다양하게 사용한다. 예컨대, 장치의 인터페이스를 불가능하게 하기 위 해 카메라나 유선 인터페이스 등의 장치 인터페이스에 증거 탬퍼 테이프를 봉함한다. 또한, 무선 신호의 전파 방해로써 인공 장애 발생으로 장치의 사용을 제한한다. 또한, 카메라나 센서 등의 서바이벌 시스템(Suvival System)을 통해 사용자가 보안 정책에 어떻게 동의하는지 감시한다. 또한, 제한 구역에 들어가기 전에 그 기능을 그만두도록 하기 위해 장치 캐리어의 요청에 의해 장치 사용을 배제한다.
그러나, 현존하는 제한 기술은 좀처럼 신뢰할만한 차단을 수행하지 못하고 있는 문제점이 있다. 다만, 이동 장치를 배제하는 것과, 이동 장치의 사용자들을 검색하는 것이 그 문제를 효과적으로 풀 수 있다. 그런데, 사용자로부터 이동 장치를 제거하는 행위는 추가적으로 물리적 문제를 발생시킬 수 있다. 즉, 사용자들은 날마다 집으로 전화한다든지, 사업 미팅을 조정하거나, 개인 통신 등의 정당한 행동을 수행하기 위해 그들의 이동 장치를 필요로 할 지 모르기 때문이다.
따라서, 특정 지역에서 이동 장치의 몇가지 기능들을 임시로 사용 불가능하게 하는 특별한 기술이 요구되고 있다.
상기 문제점을 해결하고 상기 요구에 부응하기 위해 본 발명은, 보안이 요구되는 특정 영역에서 사용자가 카메라 기능이나 메모리 기능이 있는 디바이스를 휴대하는 경우에, 영역 제한 채널을 통해 디바이스로 크리덴셜과 정책을 전송하여, 이를 근거로 디바이스의 일부 기능을 제한함으로써, 디바이스의 불법 사용 및 정보 누설을 방지하도록 하는 특정 영역에서의 디바이스 기능 제한 방법 및 시스템을 제 공함에 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명에 따른 디바이스 기능 제한 감시 시스템은, 경계 영역에 진입하는 디바이스가 디바이스 감시 영역에 존재하는 지를 검출하도록 구역 제한 통신 채널을 제공하는 커뮤니케이션 시스템; 상기 디바이스에 대해 크리덴셜과 보안 정책을 제공하고, 상기 구역 제한 통신 채널을 통해 상기 디바이스의 상기 보안 정책의 위반 여부를 보고받는 서버; 및 상기 디바이스가 상기 보안 정책의 위반시 보안 알람을 트리거하는 알람 시스템;을 포함하는것을 특징으로 한다.
상기 커뮤니케이션 시스템은, 상기 디바이스 감시 영역의 감시 상태를 상기 서버로 보고하는 구역 제한 통신 서브시스템; 및 상기 구역 제한 통신 채널 이외의 다른 통신 채널을 지원하는 다른 통신 서브시스템;을 포함하는 것을 특징으로 한다.
상기 디바이스는, 이동 통신망을 통해 통신하는 이동 통신 단말기나 PDA를 포함하고, 상기 서버 크리덴셜은 키나 랜덤 챌린지를 포함하며, 상기 다른 통신 채널은, 무선 링크, 유선 링크, 광 링크 중 하나인 것을 특징으로 한다.
상기 서버는, 디바이스 자원의 사용을 위한 상기 보안 정책과, 상기 디바이스에 대해 생성하는 상기 크리덴셜, 상기 경계 영역에 진입한 디바이스의 참조상태를 저장하고 있는 시스템 메모리; 상기 시스템 메모리에 로드되는 소프트웨어를 실 행하는 서버 프로세서; 및 데이터의 입출력을 담당하는 입출력 시스템;을 포함하는 것을 특징으로 한다.
본 발명의 목적에 따른 디바이스는, 경계 영역 내에 위치한 감시 시스템으로부터 수신한 크리덴셜과 보안 정책을 저장하고, 상기 보안 정책을 시행하는 제어 소프트웨어를 저장하고 있는 시스템 메모리; 상기 제어 소프트웨어의 실행을 제어하는 디바이스 프로세서; 및 상기 감시 시스템과 통신을 수행하는 입출력 시스템;을 포함하는 것을 특징으로 한다.
상기 시스템 메모리는, 상기 경계 영역에 진입한 상기 디바이스의 참조상태, 및 상기 경계 영역을 벗어난 상기 디바이스의 이행상태를 추가로 저장하고, 상기 디바이스 프로세서는 상기 보안 정책의 위반시 상기 입출력 시스템을 통해 상기 감시 시스템으로 보고하는 것을 특징으로 한다.
상기 디바이스의 자원은, 상기 디바이스 내의 정보를 산출하는 소스 자원과, 상기 소스 자원으로부터의 정보를 소모하는 싱크 자원;을 포함하고, 상기 소스 자원과 상기 싱크 자원은, 하드웨어 자원과 소프트웨어 자원을 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 목적에 따른 디바이스 기능 제한 방법은, (a) 디바이스가 경계 영역에 진입하는 상태에서, 감시 시스템으로부터 크리덴셜과 보안 정책을 수신하고, 상기 보안 정책을 소스 자원에 적용한 참조상태를 상기 감시 시스템으로 전송하는 단계; 및 (b) 상기 디바이스가 상기 경계 영역 내에 위치한 상태에서, 상기 디바이스가 상기 보안 정책에 따라 상기 소스 자원의 사용을 제어하고, 디바이스 상태의 내용 변환을 상기 감시 시스템으로 보고하는 단계;를 포함하는 것을 특징으로 한다.
상기 (a) 단계에서, 상기 디바이스는 상기 크리덴셜을 이용하여 액크(Acknowledge)를 산출하고, 산출한 상기 액크를 상기 감시 시스템으로 전송해 주는 것을 특징으로 한다.
상기 액크의 산출은, 상기 크리덴셜의 처리와 정보 부가, 및 SHA-1 또는 MD5를 포함하는 암호 해쉬 기능을 통하여 산출하는 것을 특징으로 한다.
상기 액크를 전송한 이후, 상기 감시 시스템의 로컬 액크와 상기 액크가 매칭된 경우에 생성된 상기 보안 정책을 상기 감시 시스템으로부터 수신하는 것을 특징으로 한다.
상기 (a) 단계에서, 상기 디바이스는 상기 보안 정책이 모두 적용된 상기 소스 자원을 이용하는 참조상태를 상기 감시 시스템으로 보고하고, 상기 감시 시스템은 상기 참조상태를 데이터베이스에 저장하는 것을 특징으로 한다.
상기 (b) 단계에서, 상기 보안 정책에 따라 제어 소프트웨어에 의해 상기 소스 자원으로부터 정보의 변환을 지정하고, 변환된 정보는 암호화, 치환, 정보 삭제를 포함하는 싱크 자원으로 제공되는 것을 특징으로 한다.
또한, 본 발명의 다른 목적에 따른 디바이스 기능 제한 방법은, (a) 경계 영역에 진입하는 디바이스에 대해 크리덴셜과 보안 정책을 제공하는 단계; (b) 상기 보안 정책을 소스 자원에 적용한 참조상태를 상기 디바이스로부터 수신하는 단계; (c) 상기 디바이스로부터 상기 참조상태의 내용 변환을 보고받는 단계; 및 (d) 보 고된 상기 디바이스의 상태에 따라 특정 기능을 제한하거나 상기 소스 자원의 사용을 중지시키는 단계;를 포함하는 것을 특징으로 한다.
상기 (a) 단계는, 상기 경계 영역 내의 감시 영역에 있는 상기 디바이스의 존재를 검출하고, 상기 크리덴셜과 상기 보안 정책을 구역 제한 통신 채널을 통하여 상기 디바이스로 전송해 주는 것을 특징으로 한다.
상기 (a) 단계에서, 상기 디바이스가 상기 크리덴셜을 이용하여 산출한 액크(Acknowledge)를 수신하고, 상기 액크를 수신하면, 상기 크리덴셜을 이용하여 로컬 액크(Local Acknowledge)를 산출하며, 수신된 상기 액크와 상기 로컬 액크가 매칭될 때 상기 보안 정책을 상기 디바이스로 전송해 주는 것을 특징으로 한다.
상기 (c) 단계에서, 상기 디바이스가 상기 보안 정책을 위반한 경우에 제어 소프트웨어에 의해 상기 참조상태가 이전상태로 전환되고, 상기 디바이스로부터 상기 이전상태를 보고받는 것을 특징으로 한다.
상기 (c) 단계에서, 상기 디바이스로부터 상기 크리덴셜을 수신하고, 상기 크리덴셜과 기 저장된 크리덴셜을 매치시켜 일치하지 않는 경우에 알람 시스템을 통해 보안 알람을 트리거하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다.
우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도 록 하고 있음에 유의해야 한다.
또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 디바이스 기능 제한 시스템의 구성을 개략적으로 나타낸 구성도이다.
본 발명에 따른 디바이스 기능 제한 시스템은, 감시 시스템(Monitoring system; 110)과, 디바이스(Device; 120)를 포함한 구성을 갖는다.
여기서, 감시 시스템(110)은 경계 영역(101) 내에 위치해 있으며, 디바이스(120)로 크리덴셜(Credential)과 보안 정책(Policy)을 제공하여 디바이스(120)의 일부 기능을 제한하고, 일부 기능 제한 해제시에는 디바이스(120)로부터 크리덴셜과 보안 정책을 회수한다.
디바이스(120)는 보안이 요구되는 경계 영역(101) 내에 진입하면, 감시 시스템(110)과의 통신을 통해 일부 기능의 제한을 수행한다. 디바이스(120)는 예컨대, 이동 통신망을 통해 통신하는 이동 통신 단말기나 PDA 등을 포함한다.
경계 영역(101)에는 감시 시스템(110)에 의해 제어받는 적어도 하나의 입/출(entrance/exit)구가 있다.
감시 시스템(110)은 도 1에 도시된 바와 같이 서버(Server; 111), 알람 시스템(Alarm System; 112), 및 커뮤니케이션 시스템(Communication System; 113)을 포 함한 구성을 갖는다.
서버(111)는 도 3에 도시된 바와 같이 프로세서(310)와 시스템 메모리(320) 및 입출력 시스템(330)을 포함한 구성을 갖는다. 서버(111)는 시스템 메모리(320)에 로드되고 프로세서(310)에 의해 수행되는 소프트웨어를 실행한다. 시스템 메모리(320)는 디바이스 자원의 사용을 위한 서버 정책(321)과, 디바이스를 위해 생성된 서버 크리덴셜(322), 경계 영역에 진입한 디바이스의 참조 상태(Reference State; 323)에 대한 데이터베이스를 포함한다. 여기서, 서버 크리덴셜(322)은 키(Key)나 랜덤 챌린지(Random Challenge) 등을 포함한다. 입출력 시스템(330)은 데이터의 송수신을 담당한다.
알람 시스템(112)은 보통의 상황과 다른 감시 상태를 감시 시스템(110)의 사용자들에게 보고하기 위해 서버(111)에 의해 사용된다.
커뮤니케이션 시스템(113)은, 서버(111)와 디바이스(120) 간에 구역 제한 통신 채널(Location-limited communication channel)을 통해 통신 처리를 지원하고, 도 2에 도시된 바와 같이 구역 제한 통신 서브시스템(201)과 다른 통신 서브시스템(202)을 포함한 구성을 갖는다.
여기서, 디바이스(120)가 이동 통신 단말기인 경우, 구역 제한 통신 채널은 이동 통신망과 같은 메인 통신 링크(Main communication link)로부터 분리되고, 짧은 전파 도달 거리를 넘어서는 데이터의 전송에 대해 특별한 보안 성질을 갖는다.
구역 제한 통신 채널은 전시 가능한 아이디(Demonstrative Identification), 즉, 물리적 장치의 근접과 같은 물리적 상황에 근거한 아이디(Identification)를 지원한다. 최선의 지원 통신 기술은 그들의 전송에서 본래의 물리적 제한을 갖는 것이다.
또한, 구역 제한 통신 채널은 공격자가 그 채널을 통한 전송을 불가능하게 하거나, 적어도 정당한 참가자에 의해 검출되는 행위없이 전송하도록 진위성(Authenticity)을 지원한다.
전시 가능한 아이디와 진위성을 지원하는 구역 제한 통신 채널은 예컨대, 연결 채널(Contact Channel), 적외선 채널(Infrared Channel), 장치 통과 근접 시그널링(near-field signaling across the body) 채널, 음향 및 초음향(sound and ultrasound) 채널, 광 이미지 변환(Optical image exchange) 채널, 지그비(Zigbee)와 불루투스(Bluetooth)와 같은 근거리 무선(Short range wireless) 채널 등이다.
구역 제한 통신 서브시스템(201)은 디바이스 감시 영역(Zone for device inspection; 130)의 감시 상태를 서버(111)로 보고한다. 이때, 디바이스 감시 영역(130)에서는 구역 제한 통신 채널이 효과적이다.
다른 통신 서브시스템(202)은 서버(111)와 디바이스(120) 간의 정보를 전송하기 위해 무선 링크, 유선 링크, 광 링크 등의 다른 통신 채널을 제공한다.
한편, 디바이스(120)는 도 4에 도시된 바와 같이 프로세서(410)와 시스템 메모리(420), 입출력 시스템(430) 등을 포함한 구성을 갖는다.
디바이스(120)는 시스템 메모리(420)에 로드(load)되고 프로세서(410)에 의해 수행되는 제어 소프트웨어(421)를 실행한다. 또한, 프로세서(410)는 시스템 메 모리(420)로부터 다른 소프트웨어도 읽어와 병렬로 실행할 수 있다.
디바이스(120)의 시스템 메모리(420)는 디바이스 자원의 사용을 위한 보안 정책(423)과, 디바이스를 위한 디바이스 크리덴셜(422), 경계 영역에 진입한 디바이스의 참조 상태(424), 및 경계 영역을 벗어난 디바이스의 이동 상태(Current State; 425)를 포함하고 있다. 또한, 시스템 메모리(420)는 디바이스 자원에 디바이스 정책(423)을 시행하는 제어 소프트웨어(421)를 포함한다.
입출력 시스템(430)은 디바이스(120)와 서버(111) 간의 통신을 지원하고, 구역 제한 통신 서브시스템(431)과 다른 통신 서브시스템(432)을 포함한다.
그리고, 디바이스 자원은 도 5에 도시된 바와 같이 소스 자원(Source Resource; 510)과 싱크 자원(Sink Resource; 520)으로 분리된다. 디바이스 자원(510, 520)은 하드웨어 자원(Hardware Resource; 511)과 소프트웨어 자원(Software Resource; 512)을 포함한다.
소스 자원(510)은 디바이스 내의 정보를 산출한다. 예컨대, 카메라 소프트웨어는 이미지들을 산출하고, 통신 소프트웨어는 디바이스로부터 외부로 정보를 보내며, 사용자 인터페이스는 입력 정보를 산출한다.
싱크 자원(520)은 소스 자원(520)으로부터의 정보를 소모한다. 예컨대, 외부의 디바이스 본체는 디바이스로부터 정보를 수신하고, 디바이스 내의 저장 매체는 정보를 저장한다.
이어, 전술한 바와 같이 구성된 디바이스 기능 제한 시스템의 동작에 대하여 설명한다.
도 6은 본 발명의 실시예에 따른 디바이스 기능 제한 방법의 처리 과정을 나타낸 흐름도이다.
본 발명은 디바이스 기능의 비인증 사용을 검출하기 위해 디바이스(120)가 3 개의 단계(Phase)로 나뉘어 운용된다.
첫번째 단계는 디바이스가 경계 영역에 들어가는 상태이고, 두번째 단계는 디바이스가 경계 영역 내에 위치한 상태이며, 세번째 단계는 디바이스가 경계 영역 내 감시 영역에 존재하는 상태이다.
첫번째 단계에서, 디바이스(120)는 디바이스 검출 영역(130)에 진입한다. 이때, 디바이스의 감시 기능은 인에이블 상태이다(S601).
감시 시스템(110)의 커뮤니케이션 시스템(113)은 디바이스 감시 영역(130)에서 디바이스(120)의 존재를 검출하고, 이런 사실을 서버(111)로 보고한다. 서버(111)는 서버 크리덴셜(322)을 생성하고, 그것을 데이터베이스에 저장하며, 그 서버 크리덴셜(322)을 구역 제한 통신 채널을 통하여 디바이스(120)로 전송한다(S602). 예컨대, 전송되는 크리덴셜은 구역 제한 통신 채널을 비롯하여, 적외선 채널을 통해 전송되는 크리덴셜, 모니터나 TV 등의 광출력 장치 상으로 표시되는 이미지, 변조된 사운드 또는 울트라사운드, 근거리 무선 링크 등 제한되지 않는다.
한편, 디바이스(120)는 서버(111)로부터 전송된 서버 크리덴셜(322)을 수신한다(S603). 다음으로 디바이스(120)는 서버 크리덴셜(322)을 이용하여 액크(Acknowledge)를 산출하고, 산출한 액크를 서버(111)로 전송한다(S604). 액크의 산 출은 크리덴셜의 처리와 정보 부가, 및 SHA-1 또는 MD5와 같은 암호 해쉬 기능의 산출을 포함한다. 디바이스(120)는 액크를 서버(111)로 전송한다. 단계 S604에서 시작된 디바이스(120)와 서버(111) 간의 모든 통신은 구역 제한 통신 채널 또는 다른 통신 채널들을 이용하여 수행한다.
서버(111)는 로컬 액크(Local Acknowledge)를 산출하기 위해, 단계 S602에서 생성한 서버 크리덴셜(322)을 이용하고, 그 로컬 액크를 디바이스(120)로부터 수신된 액크와 매칭(matching)시킨다(S605).
이때, 로컬 액크와 수신된 액크를 매칭한 결과 매치되지 않는다면, 서버(111)는 데이터베이스에 저장된 디바이스를 위한 서버 크리덴셜(322)을 삭제하고, 알람 시스템(112)을 통해 보안 알람을 트리거한다(S606). 보안 알람은 디바이스(120)가 서버(111)로부터 올바른 서버 크리덴셜(422)을 수신하지 못함을 표시한다.
그러나, 로컬 액크와 수신된 액크가 매치된다면, 서버(111)는 디바이스(120)에 대한 디바이스 정책(423)을 선택하고, 선택한 디바이스 정책(423)을 디바이스(120)로 전송한다(S607). 단계 S607을 수행한 서버(111)와 디바이스(120)는 통신 채널을 통하여 그들 사이에 정보 변환 보안을 위해 크리덴셜을 이용한다.
디바이스(120)는 서버(111)로부터 디바이스 정책(423)을 수신하고, 그 디바이스 정책(423)을 제어 소프트웨어(421)를 통해 소스 자원(510)에 적용한다(S608).
디바이스 정책(423)을 적용하는 것은, 제어 소프트웨어(421)가 스테이트(530)에 대한 정보를 이용하여 디바이스(120)의 참조상태(424)를 산출하는 것이고, 산출된 참조상태(424)를 서버(111)에게 전송한다(S609).
디바이스(120)의 참조상태(424)는 디바이스 정책(423)이 모두 적용된 소스 자원(510)을 이용하는 디바이스(120)의 그런 상태를 나타낸다. 예컨대, 그런 상태의 산출은 디바이스 집적 검사 기술을 이용한 메모리 검사 코드를 산출하는 것이다.
서버(111)는 디바이스(120)로부터 참조상태(424)를 수신하고, 데이터베이스에 참조상태(424)를 등록한다(S610).
그리고, 디바이스(120)와 서버(111)는 두번째 단계에 들어간다.
이러한 상태의 서버(111)는 경계 영역(101)에 존재하는 디바이스(120)를 기다리고(S611), 디바이스(120) 내의 디바이스 프로세서(410)는 제어 소프트웨어(421)를 통해 소스 자원(510)의 사용을 제어한다(S612). 제어 소프트웨어(421)는 소스 자원(510)의 이용을 검출하고, 스테이트(530)의 내용 변환에 대해 그것을 보고한다. 스테이트(530)는 제어 소프트웨어(421)의 반응을 소스 자원(510) 이용의 사실에 반영한다. 그러면, 디바이스(120)의 모든 비인증 사용자들은 스테이트(530) 변환에 의해 기록된다.
부가적으로, 제어 소프트웨어(421)의 변형(variant)은 그것을 싱크 자원(520)으로 보내기 전에, 소스 자원(510)으로부터 정보를 변환할 수 있다. 정보의 특별한 변환은 디바이스 정책(423)에 의해 정의되고, 예시된 바와 같이 디바이스 정책(423)에 따라 소스 자원(510)으로부터 정보의 변환을 지정(specify)한다.
이때, 싱크 자원(520)은 변형된 정보로 제공된다. 그런 변형을 포함하는 예를 들면, 다른 정보를 가지고 암호화, 치환, 정보 삭제(소스 자원(520)으로 아무런 정보를 제공하지 않는 것) 등 제한되지 않는다. 그러면, 소스 자원(510)에서 고정 자원(520)으로 제어 소프트웨어(421)에 의해 정보가 변형되고, 디바이스(120)가 경계 영역 내에서 정보를 누설하는 것이 싱크 자원(520)에 의해 방지된다.
디바이스(120)가 경계 영역(101)에 존재하지 않을 때까지 디바이스(120)와 서버(111)는 두번째 단계에 머무른다. 만약, 디바이스(120)가 경계 영역(101)에서 디바이스 감시 영역(130)에 들어간다면, 서버(111)와 디바이스(120)는 세번째 단계에 이른다.
세번째 단계에서, 디바이스(120)는 디바이스 크레덴셜(422)을 서버(111)로 보낸다(S613). 서버(111)는 디바이스(120)로부터 디바이스 크레덴셜(422)을 수신하고, 단계 S602 에서 저장한 서버 크레덴셜(322)을 검색하며, 디바이스 크레덴셜(422)을 저장된 서버 크레덴셜(322)과 매치시킨다(S614).
만약, 두 크레덴셜이 매치되지 않는다면, 서버(111)는 알람 시스템(112)에 의해 보안 알람을 트리거한다(S615). 보안 알람은 디바이스(120)가 서버(111)에게 실패 크레덴셜을 제공하는 것을 표시한다. 그러나, 두 크레덴셜이 매치되면, 서버(111)는 디바이스(120)로부터 디바이스 이행상태(425)를 기다린다.
디바이스(120)는 스테이트(530)에 관한 정보를 이용하여 디바이스 이행상태(425)를 산출하고, 산출한 디바이스 이행상태(425)를 서버(111)로 전송한다(S616). 디바이스(120)는 단계 S609와 같이 디바이스 이행상태(425)를 산출하기 위해 간단한 방법을 사용한다. 만약, 디바이스(120)가 디바이스 정책(423)을 위반한다면, 제어 소프트웨어(421)는 스테이트(530)를 전환한다. 그러면, 디바이스 이행상태(425) 의 산출 결과는 디바이스(120)가 디바이스 정책(423)을 위반하지 않은 때에 산출된 초기의 참조상태(424)와 다르게 된다.
서버(111)는 데이터베이스로부터 S610 단계에서 저장한 디바이스(120)의 참조상태(323)를 검색하고, 디바이스 이행상태(425)를 참조상태(323)와 매치시킨다. 만약, 두 상태가 매치되지 않으면, 서버(111)는 보안시스템(112)에 의해 보안 알람을 트리거한다(S618). 보안 알람은 디바이스(120)가 디바이스 정책(423)의 위반과 함께 비인증 방식으로 사용한 것을 표시한다.
그러나, 두 상태가 매치되면, 서버(111)는 제어워드를 디바이스(120)로 전송한다(S619). 디바이스(120)는 서버(111)로부터 제어워드를 수신한다. 그리고, 디바이스(120)는 제어 소프트웨어(421)를 통해 디바이스 자원(510)의 사용 제어를 중지한다.
전술한 바와 같이 본 발명에 의하면, 특정 영역에서 사용자가 카메라 기능이나 메모리 기능이 있는 디바이스를 휴대하는 경우에, 영역 제한 채널을 통해 디바이스로 크리덴셜과 보안 정책을 전송하여, 이를 근거로 디바이스의 일부 기능을 제한함으로써, 디바이스의 불법 사용 및 정보 누설을 방지하도록 하는, 특정 영역에서의 디바이스 기능 제한 방법 및 시스템을 실현할 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질 적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.
본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
이상에서 설명한 바와 같이 본 발명에 의하면, 특정 영역에서 이동 통신 단말기나 PDA와 같은 디바이스의 불법 사용을 방지할 수 있으며, 또한 특정 기능의 사용에 따른 정보 누설을 방지할 수 있다.

Claims (22)

  1. 경계 영역에 진입하는 디바이스(Device)가 디바이스 감시 영역(Zone for device inspection)에 존재하는 지를 검출하도록 구역 제한 통신 채널(Location-limited communication channel)을 제공하는 커뮤니케이션 시스템;
    상기 디바이스에 대해 크리덴셜(Credential)과 보안 정책(Policy)을 제공하고, 상기 구역 제한 통신 채널을 통해 상기 디바이스의 상기 보안 정책의 위반 여부를 보고받는 서버; 및
    상기 디바이스가 상기 보안 정책의 위반시 보안 알람을 트리거하는 알람 시스템;을 포함하는 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  2. 제 1 항에 있어서,
    상기 서버는,
    디바이스 자원의 사용을 위한 상기 보안 정책과, 상기 디바이스에 대해 생성하는 상기 크리덴셜, 상기 경계 영역에 진입한 상기 디바이스의 참조상태를 저장하고 있는 시스템 메모리;
    상기 시스템 메모리에 로드되는 소프트웨어를 실행하는 서버 프로세서; 및
    데이터의 입출력을 담당하는 입출력 시스템;을 포함하는 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  3. 제 1 항에 있어서,
    상기 커뮤니케이션 시스템은,
    상기 디바이스 감시 영역의 감시 상태를 상기 서버로 보고하는 구역 제한 통신 서브시스템; 및
    상기 구역 제한 통신 채널 이외의 다른 통신 채널을 지원하는 다른 통신 서브시스템;을 포함하는 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  4. 제 3 항에 있어서,
    상기 다른 통신 채널은, 무선 링크, 유선 링크, 광 링크 중 하나인 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  5. 제 1 항에 있어서,
    상기 디바이스는, 이동 통신망을 통해 통신하는 이동 통신 단말기나 PDA를 포함하는 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  6. 제 1 항 또는 제 5 항에 있어서,
    상기 크리덴셜은 키(Key)나 랜덤 챌린지(Random Challenge)를 포함하는 것을 특징으로 하는 디바이스 기능 제한 감시 시스템.
  7. 경계 영역 내에 위치한 감시 시스템으로부터 수신한 크리덴셜과 보안 정책을 저장하고, 상기 보안 정책을 시행하는 제어 소프트웨어를 저장하고 있는 시스템 메모리;
    상기 제어 소프트웨어의 실행을 제어하는 디바이스 프로세서; 및
    상기 감시 시스템과 통신을 수행하는 입출력 시스템;을 포함하는 것을 특징으로 하는 디바이스.
  8. 제 7 항에 있어서,
    상기 시스템 메모리는,
    상기 경계 영역에 진입한 상기 디바이스의 참조상태(Reference State), 및 상기 경계 영역을 벗어난 상기 디바이스의 이행상태(Current State)를 추가로 저장하고 있는 것을 특징으로 하는 디바이스.
  9. 제 7 항에 있어서,
    상기 디바이스 프로세서는 상기 보안 정책의 위반시 상기 입출력 시스템을 통해 상기 감시 시스템으로 보고하는 것을 특징으로 하는 디바이스.
  10. 제 7 항에 있어서,
    상기 디바이스의 자원은,
    상기 디바이스 내의 정보를 산출하는 소스 자원(Source Resource)과,
    상기 소스 자원으로부터의 정보를 소모하는 싱크 자원(Sink Resource);을 포 함하는 것을 특징으로 하는 디바이스.
  11. 제 10 항에 있어서,
    상기 소스 자원과 상기 싱크 자원은, 하드웨어 자원(Hardware Resource)과 소프트웨어 자원(Software Resource)을 포함하는 것을 특징으로 하는 디바이스.
  12. (a) 디바이스가 경계 영역에 진입하는 상태에서, 감시 시스템으로부터 크리덴셜과 보안 정책을 수신하고, 상기 보안 정책을 소스 자원에 적용한 참조상태를 상기 감시 시스템으로 전송하는 단계; 및
    (b) 상기 디바이스가 상기 경계 영역 내에 위치한 상태에서, 상기 디바이스가 상기 보안 정책에 따라 상기 소스 자원의 사용을 제어하고, 디바이스 상태의 내용 변환을 상기 감시 시스템으로 보고하는 단계;를 포함하는 것을 특징으로 하는 디바이스 기능 제한 방법.
  13. 제 12 항에 있어서,
    상기 (a) 단계에서, 상기 디바이스는 상기 크리덴셜을 이용하여 액크(Acknowledge)를 산출하고, 산출한 상기 액크를 상기 감시 시스템으로 전송해 주는 것을 특징으로 하는 디바이스 기능 제한 방법.
  14. 제 13 항에 있어서,
    상기 액크의 산출은, 상기 크리덴셜의 처리와 정보 부가, 및 SHA-1 또는 MD5를 포함하는 암호 해쉬 기능을 통하여 산출하는 것을 특징으로 하는 디바이스 기능 제한 방법.
  15. 제 13 항에 있어서,
    상기 액크를 전송한 이후, 상기 감시 시스템의 로컬 액크와 상기 액크가 매칭된 경우에 생성된 상기 보안 정책을 상기 감시 시스템으로부터 수신하는 것을 특징으로 하는 디바이스 기능 제한 방법.
  16. 제 12 항에 있어서,
    상기 (a) 단계에서, 상기 디바이스는 상기 보안 정책이 모두 적용된 상기 소스 자원을 이용하는 참조상태를 상기 감시 시스템으로 보고하고,
    상기 감시 시스템은 상기 참조상태를 데이터베이스에 저장하는 것을 특징으로 하는 디바이스 기능 제한 방법.
  17. 제 12 항에 있어서,
    상기 (b) 단계에서, 상기 보안 정책에 따라 제어 소프트웨어에 의해 상기 소스 자원으로부터 정보의 변환을 지정하고, 변환된 정보는 암호화, 치환, 정보 삭제를 포함하는 싱크 자원으로 제공되는 것을 특징으로 하는 디바이스 기능 제한 방법.
  18. (a) 경계 영역에 진입하는 디바이스에 대해 크리덴셜과 보안 정책을 제공하는 단계;
    (b) 상기 보안 정책을 소스 자원에 적용한 참조상태를 상기 디바이스로부터 수신하는 단계;
    (c) 상기 디바이스로부터 디바이스 상태를 보고받는 단계; 및
    (d) 보고된 상기 디바이스 상태에 따라 특정 기능을 제한하거나 상기 소스 자원의 사용을 중지시키는 단계;를 포함하는 것을 특징으로 하는 디바이스 기능 제한 방법.
  19. 제 18 항에 있어서,
    상기 (a) 단계는, 상기 경계 영역 내의 감시 영역에 있는 상기 디바이스의 존재를 검출하고, 상기 크리덴셜과 상기 보안 정책을 구역 제한 통신 채널을 통하여 상기 디바이스로 전송해 주는 것을 특징으로 하는 디바이스 기능 제한 방법.
  20. 제 18 항에 있어서,
    상기 (a) 단계에서, 상기 디바이스가 상기 크리덴셜을 이용하여 산출한 액크(Acknowledge)를 수신하고,
    상기 액크를 수신하면, 상기 크리덴셜을 이용하여 로컬 액크(Local Acknowledge)를 산출하며, 수신된 상기 액크와 상기 로컬 액크가 매칭될 때 상기 보안 정책을 상기 디바이스로 전송해 주는 것을 특징으로 하는 디바이스 기능 제한 방법.
  21. 제 18 항에 있어서,
    상기 (c) 단계에서, 상기 디바이스가 상기 보안 정책을 위반한 경우에 제어 소프트웨어에 의해 상기 참조상태가 이전상태로 전환되고, 상기 디바이스로부터 상기 이전상태를 보고받는 것을 특징으로 하는 디바이스 기능 제한 방법.
  22. 제 18 항에 있어서,
    상기 (c) 단계에서, 상기 디바이스로부터 상기 크리덴셜을 수신하고, 상기 크리덴셜과 기 저장된 크리덴셜을 매치시켜 일치하지 않는 경우에 알람 시스템을 통해 보안 알람을 트리거하는 것을 특징으로 하는 디바이스 기능 제한 방법.
KR1020050101778A 2005-10-27 2005-10-27 특정 영역에서의 디바이스 기능 제한 방법 및 시스템 KR100719118B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050101778A KR100719118B1 (ko) 2005-10-27 2005-10-27 특정 영역에서의 디바이스 기능 제한 방법 및 시스템
US11/513,047 US8627460B2 (en) 2005-10-27 2006-08-31 Device function restricting method and system in specific perimeters

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050101778A KR100719118B1 (ko) 2005-10-27 2005-10-27 특정 영역에서의 디바이스 기능 제한 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20070045466A KR20070045466A (ko) 2007-05-02
KR100719118B1 true KR100719118B1 (ko) 2007-05-17

Family

ID=37998188

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050101778A KR100719118B1 (ko) 2005-10-27 2005-10-27 특정 영역에서의 디바이스 기능 제한 방법 및 시스템

Country Status (2)

Country Link
US (1) US8627460B2 (ko)
KR (1) KR100719118B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447226B1 (ko) * 2012-11-30 2014-10-08 한국전자통신연구원 스마트 단말기 내 장치 통제 방법 및 이를 이용한 스마트 단말기

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7591020B2 (en) * 2002-01-18 2009-09-15 Palm, Inc. Location based security modification system and method
US8880893B2 (en) * 2003-09-26 2014-11-04 Ibm International Group B.V. Enterprise information asset protection through insider attack specification, monitoring and mitigation
EP1911817B1 (en) * 2005-07-25 2014-05-21 Toyo Ink Mfg. Co., Ltd. Active energy beam-curable ink for inkjet printing
US8135798B2 (en) * 2006-11-15 2012-03-13 Hewlett-Packard Development Company, L.P. Over-the-air device services and management
US7603435B2 (en) 2006-11-15 2009-10-13 Palm, Inc. Over-the-air device kill pill and lock
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8924469B2 (en) 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US8839387B2 (en) 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8725123B2 (en) 2008-06-05 2014-05-13 Headwater Partners I Llc Communications device with secure data path processing agents
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8898293B2 (en) 2009-01-28 2014-11-25 Headwater Partners I Llc Service offer set publishing to device agent with on-device service selection
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8924543B2 (en) 2009-01-28 2014-12-30 Headwater Partners I Llc Service design center for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US8606911B2 (en) 2009-03-02 2013-12-10 Headwater Partners I Llc Flow tagging for service policy implementation
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US8351898B2 (en) 2009-01-28 2013-01-08 Headwater Partners I Llc Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US20110035804A1 (en) * 2009-04-07 2011-02-10 Pratyush Moghe Appliance-based parallelized analytics of data auditing events
US20100279626A1 (en) * 2009-04-29 2010-11-04 Boulder Cellular Labs, Inc. System for limiting mobile device functionality in designated environments
US20110065375A1 (en) * 2009-04-29 2011-03-17 Boulder Cellular Labs, Inc. System for limiting mobile device functionality in designated environments
AU2010297001A1 (en) * 2009-09-16 2012-03-29 John J. Fischer Standard mobile communication device distraction prevention and safety protocols
US9294603B2 (en) 2009-09-16 2016-03-22 Try Safety First, Inc. Standard mobile communication device distraction prevention and safety protocols
CN105407210B (zh) * 2009-09-16 2019-12-10 约翰·J·费希尔 标准移动通讯设备分心防止和安全协议
KR101302092B1 (ko) * 2009-12-18 2013-08-30 한국전자통신연구원 개인통신 단말기의 보안제어 시스템 및 방법
KR101107666B1 (ko) * 2010-01-27 2012-02-22 (주)이컴앤드시스템 휴대폰 보안 처리 시스템 및 방법, 그 기록 매체
US9154826B2 (en) 2011-04-06 2015-10-06 Headwater Partners Ii Llc Distributing content and service launch objects to mobile devices
US8744492B2 (en) * 2011-11-30 2014-06-03 Mitac International Corp. Method of responding to incoming calls and messages while driving
KR101320931B1 (ko) * 2011-12-23 2013-10-23 주식회사 엘지씨엔에스 모바일 단말의 제어 방법, 이를 기록한 기록매체 및 모바일 단말 관리 서버
CN103200155B (zh) * 2012-01-05 2017-06-16 国民技术股份有限公司 一种基于限定区域的权限控制系统和方法
US20140107853A1 (en) * 2012-06-26 2014-04-17 Black & Decker Inc. System for enhancing power tools
CN103218905A (zh) * 2013-03-29 2013-07-24 周巧云 一种无线控制主机设备操作的方法及其装置
US9600670B2 (en) 2014-12-23 2017-03-21 Intel Corporation Provisioning location-based security policy
CN106162053B (zh) * 2015-03-31 2020-04-21 杭州海康威视数字技术股份有限公司 视频监控设备及其网络客户端
CN105631345B (zh) * 2015-08-28 2018-05-15 宇龙计算机通信科技(深圳)有限公司 一种多域用户文件系统加密方法及系统
US9560575B1 (en) 2015-09-04 2017-01-31 Ross Muller Vehicular safety system
US10110730B1 (en) * 2015-12-16 2018-10-23 Frederic Kelly Kingry Zone control system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050079618A (ko) * 2004-02-05 2005-08-10 삼성전자주식회사 이동통신 단말기의 기능을 제어하기 위한 시스템 및 그 방법

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US5832228A (en) * 1996-07-30 1998-11-03 Itt Industries, Inc. System and method for providing multi-level security in computer devices utilized with non-secure networks
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US7051365B1 (en) * 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
US6990591B1 (en) * 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
JP2003173301A (ja) * 2001-12-07 2003-06-20 Hitachi Ltd ネットワーク,サーバおよびストレージのポリシーサーバ
US7093283B1 (en) * 2002-02-15 2006-08-15 Cisco Technology, Inc. Method and apparatus for deploying configuration instructions to security devices in order to implement a security policy on a network
US7805606B2 (en) * 2002-07-29 2010-09-28 Bea Systems, Inc. Computer system for authenticating a computing device
US20040034659A1 (en) * 2002-08-19 2004-02-19 Steger Kevin J. Automated policy compliance management system
US20040039580A1 (en) * 2002-08-19 2004-02-26 Steger Kevin J. Automated policy compliance management system
US9237514B2 (en) * 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
JP4270888B2 (ja) * 2003-01-14 2009-06-03 パナソニック株式会社 Wlan相互接続におけるサービス及びアドレス管理方法
US7669225B2 (en) * 2003-05-06 2010-02-23 Portauthority Technologies Inc. Apparatus and method for assuring compliance with distribution and usage policy
US20040267551A1 (en) * 2003-06-26 2004-12-30 Satyendra Yadav System and method of restricting access to wireless local area network based on client location
US7631181B2 (en) * 2003-09-22 2009-12-08 Canon Kabushiki Kaisha Communication apparatus and method, and program for applying security policy
WO2005032042A1 (en) * 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US7286834B2 (en) * 2004-07-13 2007-10-23 Sbc Knowledge Ventures, Lp System and method for location based policy management
JP2006262141A (ja) * 2005-03-17 2006-09-28 Fujitsu Ltd Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
US20060229088A1 (en) * 2005-04-12 2006-10-12 Sbc Knowledge Ventures L.P. Voice broadcast location system
US20060250968A1 (en) * 2005-05-03 2006-11-09 Microsoft Corporation Network access protection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050079618A (ko) * 2004-02-05 2005-08-10 삼성전자주식회사 이동통신 단말기의 기능을 제어하기 위한 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447226B1 (ko) * 2012-11-30 2014-10-08 한국전자통신연구원 스마트 단말기 내 장치 통제 방법 및 이를 이용한 스마트 단말기

Also Published As

Publication number Publication date
KR20070045466A (ko) 2007-05-02
US8627460B2 (en) 2014-01-07
US20070101426A1 (en) 2007-05-03

Similar Documents

Publication Publication Date Title
KR100719118B1 (ko) 특정 영역에서의 디바이스 기능 제한 방법 및 시스템
CN107211019B (zh) 用于基于自动检测安全环境来处理数据的方法和装置
US10990696B2 (en) Methods and systems for detecting attempts to access personal information on mobile communications devices
US10986122B2 (en) Identifying and remediating phishing security weaknesses
US11494754B2 (en) Methods for locating an antenna within an electronic device
US10728269B2 (en) Method for conditionally hooking endpoint processes with a security agent
US10505983B2 (en) Enforcing enterprise requirements for devices registered with a registration service
JP2015508257A (ja) デバイスデータのためのセキュリティポリシー
US20120124675A1 (en) Apparatus and method for managing digital rights through hooking a kernel native api
US20210344715A1 (en) Intrusion detection with honeypot keys
US10951642B2 (en) Context-dependent timeout for remote security services
KR101732019B1 (ko) 내방객 출입시 보안 통제 시스템 및 그 방법
CN106231115A (zh) 一种信息保护方法及终端
US20180157457A1 (en) Enforcing display sharing profiles on a client device sharing display activity with a display sharing application
WO2019211592A1 (en) Locally securing endpoints in an enterprise network using remote network resources
US11520908B2 (en) Self-management of devices using personal mobile device management
US10931446B2 (en) Method and system for protecting sharing information
EP2884786A1 (en) Restricting software to authorized wireless environments
KR20180003897A (ko) 전자 문서의 유출 방지 방법, 디바이스 및 컴퓨터 판독가능 매체
KR101775515B1 (ko) 보안 점검 장치 및 방법
KR20150068222A (ko) 정보 보안 관리를 위한 사용자 단말기 제어 시스템 및 방법
Rios-Aguilar et al. Security Threats to Business Information Systems Using NFC Read/Write Mode.
KR101578383B1 (ko) 프로파일을 이용한 사용자 단말기 제어 시스템 및 방법
JP2009224948A (ja) セキュリティが管理される無線通信デバイス、セキュリティを管理するためのサーバ・システム並びにその方法及びコンピュータ・プログラム
CN116954693A (zh) 状态协同方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120423

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130422

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee