KR101059058B1 - Apparatus, method and system for service access control based on user location - Google Patents
Apparatus, method and system for service access control based on user location Download PDFInfo
- Publication number
- KR101059058B1 KR101059058B1 KR1020100073493A KR20100073493A KR101059058B1 KR 101059058 B1 KR101059058 B1 KR 101059058B1 KR 1020100073493 A KR1020100073493 A KR 1020100073493A KR 20100073493 A KR20100073493 A KR 20100073493A KR 101059058 B1 KR101059058 B1 KR 101059058B1
- Authority
- KR
- South Korea
- Prior art keywords
- service
- user
- location
- tenant
- request message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/023—Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/214—Monitoring or handling of messages using selective forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W64/00—Locating users or terminals or network equipment for network management purposes, e.g. mobility management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
본 발명은 위치 기반 서비스 접근 제어 장치, 방법 및 시스템에 관한 것으로, 보다 상세하게는, 사용자의 위치에 따라 서비스에 접근할 수 있는 권한을 제어할 수 있는, 위치 기반 서비스 접근 제어 장치, 방법 및 시스템에 관한 것이다.The present invention relates to a location-based service access control device, method and system, and more particularly, to a location-based service access control device, method and system that can control the authority to access the service according to the user's location. It is about.
SaaS(Software as a Service) 외부에 존재하는 제공자의 시스템에 접속해서 사용하는 서비스의 일종이며, 따라서 특정 회사 안의 여러 구역은 물론 회사 밖에서라도 언제 어디서나 접속이 가능하도록 한다. 따라서, 정보의 유출에 취약하여 보안이 필요성이 지속적으로 논의되고 있다.It is a type of service that accesses and uses a provider's system that exists outside of SaaS (Software as a Service), so it can be accessed anytime, anywhere from various areas within a company as well as outside the company. Therefore, the necessity of security because it is vulnerable to the leakage of information is continuously discussed.
따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, SaaS 기술에 의해 제공되는 서비스에 대한 접근 권한 및 사용 권한을 제어함으로써 조직 내의 정보 유출을 원천적으로 차단하고, 서비스의 신뢰성을 확보할 수 있는 위치 기반 서비스 접근 제어 장치, 방법 및 시스템을 제공하는 것이다.Therefore, an object of the present invention for solving the above problems, by controlling the access rights and usage rights for the services provided by SaaS technology, it is possible to fundamentally block the leakage of information in the organization, and to ensure the reliability of the service There is provided a location-based service access control apparatus, method and system.
본 발명의 일 실시예에 따른 위치 기반 서비스 접근 제어 장치는 사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 통신부; 상기 통신부에 의해 수신된 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 확인부; 및 상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 결정부; 를 포함할 수 있다.Location-based service access control apparatus according to an embodiment of the present invention includes a communication unit for receiving a service request message transmitted from the user to the service server for providing a multi-tenant service; A confirmation unit for confirming a tenant to which the user belongs from a service request message received by the communication unit; And a determining unit determining whether the user can access the service based on the location of the user and the identified tenant. It may include.
상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 통신부에 의해 상기 서비스 서버로 포워딩될 수 있다.If it is determined that the user is accessible to the service, the service request message may be forwarded by the communication unit to the service server.
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되며, 상기 결정부는 상기 데이터베이스에 저장된 사용자의 위치를 이용할 수 있다.The location of the user is mapped to the identification of the user and the tenant to which the user belongs and is stored in a database in real time, and the determination unit may use the location of the user stored in the database.
상기 확인부는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며, 상기 결정부는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정할 수 있다.The confirmation unit may further confirm the ID of the user from the service request message, and the determination unit may determine a location mapped to the ID of the user in the database as the location of the user.
상기 결정부는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정할 수 있다.The determination unit may determine whether the user is accessible to the service with reference to a security policy set on a tenant and location basis.
상기 결정부는, 상기 사용자의 위치와 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정할 수 있다.The determining unit compares the location of the user with a security policy set based on the tenant and location, and, if the user location belongs to a location where the service set in the security policy is provided, the user It may be determined that the service is accessible.
상기 보안 정책은, 특정 위치에 존재하는 사용자가 상기 서비스 서버로의 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함할 수 있다.The security policy includes a policy of whether a user existing at a specific location allows or blocks access to the service server, and a policy of restricting the user's access to a specific resource of a service provided by the service server. It may include at least one of the policies.
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것일 수 있다.The security policy may be set based on the logical location of the user.
본 발명의 일 실시예에 따른 위치 기반 서비스 접근 제어 장치는 상기 결정부에 의해, 상기 사용자가 상기 서비스에 접근 불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스 서버로의 접근이 불가함을 알리는 메시지를 상기 사용자에게 전송하도록 상기 통신부를 제어하는 제어부;를 더 포함할 수 있다.The apparatus for controlling location-based service access according to an embodiment of the present invention disallows forwarding of the service request message when the user determines that the service is inaccessible to the service by the determining unit. The control unit for controlling the communication unit to transmit a message indicating that the access of the user can be further included.
본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은, 사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 단계; 상기 수신한 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 단계; 및 상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 단계; 를 포함할 수 있다.According to an embodiment of the present invention, a method of controlling service access based on a location may include receiving a service request message transmitted from a user to a service server providing a multi-tenant service; Confirming a tenant to which the user belongs from the received service request message; Determining whether the user is accessible to the service based on the location of the user and the identified tenant; It may include.
본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은 상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 서비스 서버로 포워딩되는 단계;를 더 포함할 수 있다.The method for controlling service access based on a location according to an embodiment of the present invention may further include forwarding the service request message to the service server when the user is determined to be accessible to the service. .
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되는 단계;를 더 포함하며, 상기 결정하는 단계는 상기 데이터베이스에 저장된 사용자의 위치를 이용할 수 있다.The location of the user is mapped to the identification (identification) of the user and the tenant to which the user belongs; and storing in real time in a database; wherein the determining step may use the location of the user stored in the database have.
상기 확인하는 단계는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며, 상기 결정하는 단계는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 단계;를 포함할 수 있다.The checking may further include checking the ID of the user from the service request message, and determining the location of the user as a location mapped to the ID of the user in the database. Can be.
상기 결정하는 단계는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정할 수 있다.The determining may determine whether the user has access to the service with reference to a security policy set on a tenant and location basis.
상기 결정하는 단계는, 상기 사용자의 위치와, 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하는 단계; 및 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용가 상기 서비스에 접근가능한 것으로 결정하는 단계;를 포함할 수 있다.The determining may include comparing a location of the user with a security policy set based on the tenant and location; And as a result of the comparison, determining that the use is accessible to the service if the user location belongs to a location where the service is set in the security policy.
상기 보안 정책은, 특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함할 수 있다.The security policy may include at least one of a policy regarding whether to allow or block a user's access to a service existing at a specific location, and a policy regarding whether to restrict the user's access to a specific resource of a service provided by the service server. It may include a policy.
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것일 수 있다.The security policy may be set based on the logical location of the user.
본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하는 단계; 및 상기 사용자에게 상기 서비스로의 접근이 불가함을 알리는 메시지를 전송하는 단계;를 더 포함할 수 있다.Method for controlling service access based on location according to an embodiment of the present invention, if the user is determined to be inaccessible to the service, disabling forwarding of the service request message; And transmitting a message informing that the user cannot access the service.
본 발명의 실시예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 시스템은, 멀티 테넌트 서비스를 제공하는 서비스 서버; 사용자의 위치를 추적하여 데이터베이스에 업데이트하는 위치 추적 모듈; 및 상기 사용자가 속하는 테넌트(tenant) 및 상기 사용자의 위치를 기반으로, 상기 사용자의 서비스 요청 메시지를 상기 서비스 서버로 포워딩할지를 결정하는 서비스 접근 제어 장치;를 포함할 수 있다.A system for controlling service access based on a location according to an embodiment of the present invention includes a service server for providing a multi-tenant service; A location tracking module for tracking a location of a user and updating the database; And a service access control device for determining whether to forward the service request message of the user to the service server based on a tenant to which the user belongs and the location of the user.
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스 요청 메시지에서 요청하는 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지를 상기 서비스 서버로 포워딩할 수 있다.The service access control device may forward the service request message to the service server when it is determined that the user can access the service requested by the service request message.
상기 서비스 접근 제어 장치는, 상기 사용자의 위치와 테넌트 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정할 수 있다.The service access control device compares the security policy set on the tenant basis with the location of the user, and if the user location belongs to a location where the service set in the security policy is provided, the user It may be determined that the service is accessible.
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스로의 접근이 불가함을 통지하는 메시지를 상기 사용자에게 제공할 수 있다.If the user determines that the user is inaccessible to the service, the service access control device disallows forwarding of the service request message and provides the user with a message informing that the user cannot access the service. Can be.
본 발명의 실시예에 따르면, 테넌트 별로 위치정보 및 보안 정책이 다르게 관리되므로, 내부 보안을 보다 강화할 수 있다. 이는, 멀티테넌트들에게 SaaS 방식에 의한 서비스를 적용할 수 있는 환경을 제공한다.According to an embodiment of the present invention, since location information and security policy are managed differently for each tenant, internal security may be further strengthened. This provides an environment in which multitenants can apply services based on SaaS.
또한, 본 발명의 실시예에 따르면, 기존의 어플리케이션 로직을 테넌트 별로 수정하지 않고, 위치 기반의 보안 정책을 각 테넌트에게 적용할 수 있으며, single-instance 서비스가 가능하다. In addition, according to an embodiment of the present invention, a location-based security policy can be applied to each tenant without modifying existing application logic for each tenant, and a single-instance service is possible.
또한, 본 발명의 실시예에 따르면, 위치 추적에 기반한 서비스를 제공하기 위하여 위치 추적을 위한 프로그램을 장치 내에 설치하지 않아도 보안과 관련된 기능을 실현할 수 있다.In addition, according to an embodiment of the present invention, a function related to security can be realized without installing a program for location tracking in a device in order to provide a service based on location tracking.
또한, 본 발명의 실시예에 따르면, 서비스 접근 제어 장치에서 위치에 기반한 보안 심사가 이루어진 후에야 웹 서버와 같은 서비스 서버로 서비스 요청이 전달되므로 웹 혹은 C/S(클라이언트/서버) 모델로 이루어지는 서비스들에서 URL 단위로 제어할 수 있다.In addition, according to an embodiment of the present invention, since a service request is transmitted to a service server such as a web server only after a location-based security audit is performed in the service access control device, services made of a web or C / S (client / server) model. You can control by URL.
또한, 본 발명의 실시예에 따르면, 클라우드 환경에서 제공되는 Saas 서비스를 기본 모델로 하였으므로, 기존 어플리케이션 코드의 수정이 필요없이 본 모델을 적용할 수 있다. 즉, 서비스 접근 제어 장치만 추가하면 다른 구성요소나 어플리케이션의 수정이 필요 없어 하나의 어플리케이션 코드로 다수의 테넌트를 서비스할 수 있다.In addition, according to an embodiment of the present invention, since the Saas service provided in the cloud environment as a base model, the model can be applied without requiring modification of existing application code. That is, by adding only the service access control device, it is possible to service multiple tenants with one application code without modifying other components or applications.
도 1은 본 발명의 일 실시 예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 웹 서비스 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 서비스 접근 제어 장치를 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법을 설명하기 위한 흐름도이다.1 is a diagram illustrating a web service system for controlling service access based on a location according to an embodiment of the present invention.
2 is a block diagram illustrating a service access control apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of controlling service access based on a location according to an embodiment of the present invention.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다. Objects, other objects, features and advantages of the present invention will be readily understood through the following preferred embodiments associated with the accompanying drawings. However, the present invention is not limited to the embodiments described herein and may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it may be directly formed on another element, or a third element may be interposed therebetween.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the words 'comprises' and / or 'comprising' do not exclude the presence or addition of one or more other components.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. In describing the specific embodiments below, various specific details are set forth in order to explain the invention more specifically and to help understand. However, one of ordinary skill in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.
도 1은 본 발명의 일 실시 예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 웹 서비스 시스템을 도시한 도면이다. 1 is a diagram illustrating a web service system for controlling service access based on a location according to an embodiment of the present invention.
도 1을 참조하면, 웹 서비스 시스템은 제1테넌트(tenant)(T1), 제2테넌트(T2), 네트워크(30), 위치 추적 장치(100), 위치 데이터베이스(DB: DataBase)(110), 보안 정책 DB(120), 서비스 접근 제어 장치(200) 및 서비스 서버(300)를 포함할 수 있다.Referring to FIG. 1, the web service system includes a first tenant T1, a second tenant T2, a
도 1의 웹 서비스 시스템은 멀티 테넌트에게 SaaS(Software as a Service) 방식의 서비스를 제공할 수 있으며, 예를 들어, 웹서버-WAS-DB 구조를 갖는다. 특히, 본 발명의 실시예에 따른 웹 서비스 시스템은 각 테넌트(T1, T2)의 위치 정보를 관할하는 DB(110)와 각 테넌트의 보안 정책을 담당하는 DB(120)를 추가하고, 각 DB(110, 120)에 기록된 정보 및 각 테넌트(T1, T2)의 사용자의 위치를 바탕으로, 사용자가 요청하는 서비스로의 접근 권한을 제어할 수 있다. The web service system of FIG. 1 may provide a service as a SaaS (Software as a Service) method to a multi-tenant, and has, for example, a web server-WAS-DB structure. In particular, the web service system according to the embodiment of the present invention adds a
즉, 사용자가 요청한 서비스는 기설정된 테넌트 별 보안 정책과 사용자의 현재 위치에 따라서 제공 여부가 제어될 수 있다. 사용자 단말기(예를 들어, 11)는 사용자의 위치 및 보안 정책에 따라, 사용자가 요청한 서비스에 접근하여 서비스를 이용하거나, 또는 서비스 접근이 차단되거나, 또는, 서비스의 부분적인 사용 제한이 가해질 수 있다.That is, the service requested by the user may be controlled according to a predetermined tenant security policy and the current location of the user. The user terminal (eg, 11) may access the service requested by the user to use the service, block access to the service, or restrict the partial use of the service according to the user's location and security policy. .
본원 명세서에서 "사용자"라고 함은 i) "사용자"를 의미하거나 또는 ii) "사용자 단말기"와 "사용자"를 통칭하는 것으로 사용하기로 하며, "사용자"의 의미가 상기 i)과 ii)를 특별히 구별할 필요가 없는 경우를 제외하고는, 해당하는 실시예에 맞도록 해석될 수 있다.In the present specification, "user" means i) "user" or ii) "user terminal" and "user", and the term "user" means i) and ii). Except where there is no need to distinguish in particular, it can be interpreted to fit the corresponding embodiment.
SaaS 방식은 다양한 소프트웨어가 제공하는 서비스 중 사용자가 필요로 하는 서비스만 이용 가능하도록 하는 서비스 개념을 갖는다. SaaS 방식은 서비스 공급 업체, 즉, 서비스 서버(300)가 하나 이상의 플랫폼을 이용해 복수 개의 테넌트에게 소프트웨어 서비스를 제공하고, 각 테넌트는 사용한 서비스에 상응하는 사용료를 지불할 수 있다.The SaaS method has a service concept of making only the services required by the user available among the services provided by various software. In the SaaS scheme, a service provider, that is, the
멀티 테넌시(Multi-Tenancy)는 컴퓨팅 환경에서 가상화 기술 및 동일한 인프라스트럭쳐를 기반으로, 멀티 테넌트가 서비스를 공유하는 것을 의미한다. 멀티 테넌트(Multi-Tenant)는 복수 개의 테넌트를 의미하며, 하나의 테넌트는 서비스를 사용하는 하나의 그룹으로서, 예를 들어, 하나의 기업일 수 있다. 따라서, 하나의 테넌트에는 다수의 사용자가 포함된다. 도 1에는 설명의 편의상 제1테넌트(T1) 및 제2테넌트(T2)가 도시되어 있으며, 이에 한정되지 않는다. 제1테넌트(T1)는 PC(Personal Computer)(11)와 휴대용 단말기(12, 13)을 사용하는 사용자들을 포함하며, 제2테넌트(T2)는 랩탑 컴퓨터(21)과 휴대용 단말기(22)를 사용하는 사용자들을 포함한다.Multi-Tenancy refers to the sharing of services among multiple tenants based on virtualization technology and the same infrastructure in a computing environment. Multi-Tenant refers to a plurality of tenants, and one tenant is a group using a service, for example, one enterprise. Therefore, one tenant includes a plurality of users. For convenience of description, the first tenant T1 and the second tenant T2 are illustrated in FIG. 1, but are not limited thereto. The first tenant T1 includes users who use a personal computer (11) and
네트워크(30)는 네트워크 시스템에 위치하는 장치들간의 유선 또는 무선 통신을 지원한다.The
위치 추적 장치(100)는 제1테넌트(T1) 및 제2테넌트(T2)의 사용자가 사용하는 사용자 단말기들(11~13, 21, 22)의 위치를 추적할 수 있다. 위치 추적 장치(100)는 모듈로 구현되어 서비스 접근 제어 장치(200) 내에 구비될 수도 있다. 위치 추적 장치(100)는 RFID(Radio Frequency Identification), Wi-Fi(Wireless Fidelity), GPS(Global Positioning System)등 다양한 방식을 통해 위치를 추적 및 수집할 수 있다.The
위치 추적 장치(100)는 추적된 각 사용자 단말기(11~13, 21, 22)의 위치에 대한 정보를 위치 DB(110)에 저장할 수 있다. 위치 추적 장치(100)는 추적된 위치에 대한 정보를 사용자의 ID(identifier) 및 사용자가 속하는 테넌트의 ID에 매핑시켜 위치 DB(110)에 저장할 수 있다. The
위치 추적 장치(100)는 주기적 또는 비주기적으로 각 사용자 단말기(11~13, 21, 22)의 위치를 추적하며, 사용자 단말기들(11~13, 21, 22)의 위치가 변경되면, 변경된 위치에 대한 정보를 위치 DB(110)에 업데이트할 수 있다. 이로써, 각 사용자 단말기(11~13, 21, 22)의 위치, 즉, 제1테넌트(T1) 및 제2테넌트(T2)의 위치는 실시간으로 관리될 수 있다. 이러한 위치 추적 및 관리는 서비스 서버(300)에서 제공하는 서비스와는 무관할 수 있으며, 별개의 동작으로 수행될 수 있다.The
또한, 위치 추적 장치(100)는 추적된 위치를 테넌트 관리자가 설정한 논리적 위치로 변경할 수 있다. 물리적 위치는 사용자 단말기(예를 들어, 11)의 위치를 측정한 좌표 정보이며, 논리적 위치는 장소의 용도 또는 목적에 따라 구분되는 논리적 공간일 수 있다. 이를 위하여, 위치 추적 장치(100)는 물리적 위치와 논리적 위치가 서로 매핑된 정보를 가지고 있을 수 있다. 논리적 위치는 사무실, 회의실, 휴게실, 로비, 자택 등을 예로 들 수 있다. 테넌트 관리자는 제1테넌트(T1) 및 제2테넌트(T2) 각각의 관리자일 수 있다.In addition, the
위치 DB(110)는 위치 추적 장치(100)에 의해 추적된 위치에 대한 정보를 사용자의 ID 및 사용자가 속하는 테넌트의 ID에 매핑시켜 저장할 수 있다. 사용자의 ID는 곧 사용자 단말기들(11~13, 21, 22)을 사용하는 사용자들의 ID이이며, 테넌트의 ID는 제1테넌트(T1) 및 제2테넌트(T2)의 ID일 수 있다. [표 1]은 위치 DB(110)에 저장된 위치에 대한 정보의 일 예를 보여준다.The
[표 1]을 참조하면, 위치 DB(110)는 멀티 테넌트를 지원하는 시스템 상에서 사용되므로, 제1테넌트(T1) 및 제2테넌트(T2)의 사용자들의 위치 정보를 저장 및 관리한다. [표 1]에서, 사용자 ID가 aa인 사용자는 사용자 단말기(11)를 사용하고 있으며, 최근에 추적된 위치는 회사 사무실이다. TNT1은 제1테넌트(T1)의 ID, TNT2는 제2테넌트(T2)의 ID이다. Referring to [Table 1], since the
상술한 바와 같이, 사용자의 실질적인 물리적 위치는 테넌트 관리자 또는 서비스 서버(300)의 관리자에 의해 설정된 논리적 위치로 변경되어 저장되며, 저장된 논리적 위치는 서비스 접근 제어 장치(200)가 서비스의 권한을 제어하는데 사용된다.As described above, the actual physical location of the user is changed and stored in a logical location set by the tenant manager or the manager of the
보안 정책 DB(120)는 제1테넌트(T1) 및 제2테넌트(T2) 각각에 할당된 서비스 접근 권한을 위치 별로 매핑하여 저장할 수 있다. 테넌트 관리자는 위치에 기반한 각 테넌트의 서비스 접근 권한을 보안 정책 DB(120)에 설정할 수 있다. 서비스 접근 권한은 보안 정책을 의미한다. 보안 정책은, 예를 들어, 특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책을 포함할 수 있다. [표 2]는 보안 정책 DB(120)에 저장된 보안 정책의 일 예를 보여준다. The
[표 2]를 참조하면, 보안 정책 DB(120)는 위치 및 테넌트 별로 설정된 보안 정책을 저장한다. 제1테넌트(T1)에 속하는 사용자는 회사 사무실에서는 서비스 읽기만 가능하며, 회사 휴게실에서는 서비스로의 접근이 차단된다. 사용자가 서비스의 사용을 요청하는 경우, 서비스 접근 제어 장치(200)는 보안 정책 DB(120)에 기록된 테넌트 별 보안 정책에 따라 서비스의 가용여부를 결정한다.Referring to [Table 2], the
서비스 접근 제어 장치(200)는 사용자 단말기(11)의 사용자가 속하는 테넌트 및 사용자의 위치를 기반으로, 사용자 단말기(11)로부터 전송된 서비스 요청 메시지를 서비스 서버(300)로 포워딩할지를 결정할 수 있다. 즉, 서비스 접근 제어 장치(200)는 서비스 요청 메시지를 사용자가 속하는 테넌트 및 사용자의 위치를 기반으로 필터링하여, 서비스 서버(300)로 포워딩하거나 또는 포워딩하지 않을 수 있다.The service
서비스 서버(300)는 SaaS 방식의 서비스를 제공할 수 있고, 또한 멀티 테넌시 서비스를 제공할 수 있는 서버로서, 웹서버, WAS(Web Application Server) 및 데이터 베이스로 이루어질 수 있다. 서비스 접근 제어 장치(200)로부터 서비스 요청 메시지가 포워딩되면, 서비스 서버(300)는 서비스 요청 메시지를 전송한 사용자 단말기(11)에게 해당 서비스를 제공한다.The
도 2는 본 발명의 일 실시예에 따른 서비스 접근 제어 장치(200)를 도시한 블록도이다.2 is a block diagram illustrating a service
도 2를 참조하면, 서비스 접근 제어 장치(200)는 통신부(210), 확인부(220), 결정부(230) 및 제어부(240)를 포함할 수 있다.Referring to FIG. 2, the service
통신부(210)는 네트워크(30)를 통해 다수의 사용자 단말기들(11~13, 21, 22), 위치 추적 장치(100) 및 서비스 서버(300)와 통신할 수 있다. 통신부(210)는 다수의 사용자 단말기들(11~13, 21, 22) 중 하나, 예를 들어, 사용자 단말기(11)로부터 서비스의 제공을 요청하는 서비스 요청 메시지를 수신할 수 있다. 또한, 통신부(210)는 서비스 요청 메시지를 제어부(240)의 제어에 따라 서비스 서버(300)로 포워딩하거나 또는 서비스 요청 메시지의 수신을 차단할 수 있다.The
본 실시예에서, 통신부(210)가 서비스 요청 메시지를 수신하는 동작과 서비스 서버(300)로 서비스 요청 메시지를 포워딩하는 동작을 모두 수행할 수 있는 것으로 설명하였으나 이는 예시적인 것이다. 예를 들면, 서비스 요청 메시지를 수신하는 동작을 수행하는 통신부와 서비스 요청 메시지를 포워딩하는 동작을 수행하는 통신부를 별도로 구성하는 것도 가능할 것이다.In the present embodiment, it has been described that the
확인부(220)는 서비스 서버(300)로 포워딩되기 위한 사용자 단말기(11)의 서비스 요청 메시지를 모니터링하여, 사용자 단말기(11)의 사용자가 속하는 테넌트 및 사용자의 ID를 확인할 수 있다. 이는, 서비스 요청 메시지는 서비스 계약 정보, 사용자의 ID 및 테넌트의 ID를 포함하기 때문이다. 이하에서는, 사용자 단말기(11)의 사용자가 속하는 테넌트로서 제1테넌트(T1)를 예로 들어 설명한다. 사용자 단말기(11)의 사용자가 속하는 제1테넌트(T1)는 서비스 요청 메시지에 포함된 테넌트의 ID에 의해 알 수 있다.The
결정부(230)는 사용자의 위치 및 확인부(220)에 의해 확인된 테넌트를 기반으로, 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다. 구체적으로 설명하면, 결정부(230)는 위치 DB(110)로부터 사용자의 ID에 매핑되어 업데이트된 위치를 확인하여 사용자의 위치로 정할 수 있다. 예를 들어, 서비스 요청 메시지에 포함된 사용자의 ID가 'aa'이면, 결정부(230)는 위치 DB(110) 중 'aa'에 매핑저장된 위치를 사용자의 위치로 정할 수 있다.The
사용자의 위치가 확인되면, 결정부(230)는 보안 정책 DB(120)의 제1테넌트(T1)에 위치 별로 설정된 보안 정책을 참조하여, 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다. 구체적으로 설명하면, 결정부(230)는 확인된 사용자의 위치와, 제1테넌트(T1)에 위치 별로 설정된 보안 정책을 비교한다. 비교 결과, 사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하면, 결정부(230)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다. 예를 들어, 위치 DB(110)에서 확인된 사용자의 위치가 회사 사무실이며, 제1테넌트(T1)에 설정된 위치에 회사 사무실이 있으면, 결정부(230)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다.When the location of the user is confirmed, the
제어부(240)는, 결정부(230)에 의해 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정되면, 서비스 요청 메시지를 서비스 서버(300)로 포워딩하도록 통신부(210)를 제어할 수 있다.The
또한, 제어부(240)는 결정부(230)에 의해 사용자 단말기(11)가 서비스에 접근불가능한 것으로 결정되면, 서비스 요청 메시지의 포워딩을 불허(不許)할 수 있다. 그리고, 제어부(240)는 서비스로의 접근이 불가함을 통지하는 메시지를 작성한 후, 작성된 메시지를 사용자 단말기(11)에게 전송하도록 통신부(210)를 제어할 수 있다.In addition, if it is determined by the
이상 설명한 실시예에서, 통신부(210), 확인부(220), 결정부(230) 및 제어부(240)들은 각각 하나 이상의 기능을 수행하는 것으로 설명하였다. 하지만, 앞서 설명하였던 것처럼, 통신부(210)를 서비스 요청 메시지를 수신하는 동작을 수행하는 통신부와 서비스 요청 메시지를 포워딩하는 동작을 수행하는 통신부를 별도로 구성하는 것이 가능한 것처럼, 다른 구성요소들도 같은 방식으로 구성할 수 있다는 것을 알아야 한다.In the above-described embodiment, the
도 3은 본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of controlling service access based on a location according to an embodiment of the present invention.
도 3의 각 단계는 도 1 및 도 2를 참조하여 설명한 웹 서비스 시스템에 의해 구현될 수 있다.Each step of FIG. 3 may be implemented by the web service system described with reference to FIGS. 1 and 2.
위치 추적 장치(100)는 제1테넌트(T1) 및 제2테넌트(T2)의 사용자가 사용하는 사용자 단말기들(11~13, 21, 22)의 위치를 추적하여 수집할 수 있다(S310).The
위치 추적 장치(100)는 추적된 각 사용자 단말기(11~13, 21, 22)의 위치에 대한 정보를 사용자의 ID 및 사용자가 속하는 제1테넌트(T1)의 ID에 매핑시켜 위치 DB(110)에 저장할 수 있다(S320). S320단계에서, 위치 추적 장치(100)는 추적된 위치를 테넌트 관리자가 설정한 논리적 위치로 변경하여 위치 DB(110)에 저장할 수 있다.The
사용자 단말기(11)는 사용자의 명령에 의해 서비스 서버(300)에게 서비스의 제공을 요청하는 서비스 요청 메시지를 전송할 수 있다(S330).The
서비스 접근 제어 장치(200)는 사용자 단말기(11)로부터 전송된 서비스 요청 메시지의 포워딩을 지연시키고, 서비스 요청 메시지를 서비스 서버(300)로 포워딩하기 이전에 서비스 접근이 가능한지를 결정할 수 있다.The service
이를 위하여, 서비스 접근 제어 장치(200)는 사용자 단말기(11)의 서비스 요청 메시지를 모니터링하여, 사용자 단말기(11)의 사용자가 속하는 제1테넌트(T1)의 ID 및 사용자의 ID를 확인할 수 있다(S340).To this end, the service
그리고, 서비스 접근 제어 장치(200)는 위치 DB(110)로부터 사용자의 ID에 매핑되어 저장된 위치를 확인하고, 확인된 위치를 사용자의 현재 위치로 정할 수 있다(S350). In addition, the service
사용자의 위치가 확인되면, 서비스 접근 제어 장치(200)는 보안 정책 DB(120)에 저장된 제1테넌트(T1)의 위치 별 보안 정책을 확인할 수 있다(S360). When the location of the user is confirmed, the service
서비스 접근 제어 장치(200)는 S350단계에서 확인된 사용자의 위치와, S360단계에서 확인된 보안 정책을 비교하고, 비교 결과를 토대로 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다(S370).The service
사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하지 않으면, 서비스 접근 제어 장치(200)는 사용자 단말기(11)가 서비스에 접근 불가능한 것으로 결정할 수 있다.If the location of the user does not belong to a location capable of receiving the service set in the security policy, the service
따라서, 서비스 접근 제어 장치(200)는 서비스 요청 메시지의 포워딩을 불허(不許)하고, 서비스 사용이 불가함을 통지하는 메시지를 작성한 후, 작성된 메시지를 사용자 단말기(11)에게 전송할 수 있다(S380).Therefore, the service
반면, S370단계에서, 사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하면, 서비스 접근 제어 장치(200)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다.In contrast, in operation S370, when the location of the user belongs to a location where the service set in the security policy is provided, the service
따라서, 서비스 접근 제어 장치(200)는 서비스 요청 메시지를 서비스 서버(300)로 포워딩할 수 있다(S390).Accordingly, the service
서비스 서버(300)는 사용자 단말기(11)에게 사용가능한 서비스를 제공할 수 있다(S395).The
상술한 본 발명의 실시예에 따르면, 각 테넌트의 관리자는 서비스를 사용하는 각 테넌트의 위치를 기반으로 보안 정책을 세우고, 보안 정책 및 테넌트에 속하는 사용자의 위치에 따라 서비스 접근 권한을 제어할 수 있다. 이로써, 위치에 따른 서비스 이용할 제어함으로써 정보 유출과 같은 문제 발생을 최소화할 수 있다. 특히, 보안에 민감한 특정 서비스는 특정 위치에서만 사용가능하도록 제한함으로써, 서비스 자체에 대한 보안을 강화하고, 서비스에 사용되는 데이터에 대한 보안도 강화할 수 있다. 또한, 강화된 보안을 위하여, 애플리케이션의 로직이나 코드를 직접 수정하지 않고도 일반적인 웹서비스 또는 SaaS 서비스에 쉽게 적용할 수 있다.According to the above-described embodiment of the present invention, the administrator of each tenant may establish a security policy based on the location of each tenant using the service, and control the service access authority according to the security policy and the location of the user belonging to the tenant. . In this way, by controlling the use of the service according to the location it is possible to minimize the occurrence of problems such as information leakage. In particular, by restricting specific services that are sensitive to security, the security of the service itself can be enhanced, and the security of data used for the service can be enhanced. In addition, for enhanced security, it can be easily applied to general web service or SaaS service without directly modifying the logic or code of the application.
또한, 상술한 본 발명의 실시예에 따르면, 사용자의 서비스 요청은 서비스 서버로 포워딩되기 전에 위치 기반의 서비스 접근 제어 장치에서 모니터링된다. 서비스 접근 제어 장치는 서비스 요청 메시지에 포함된 사용자 정보와 테넌트 정보 및 사용자의 현재 위치를 기반으로, 서비스 요청에 대한 허가 여부를 결정할 수 있다. 이 때, 서비스 요청 메시지는 사용자의 위치 정보를 포함하고 있지 않으며, 사용자의 위치 정보는 서비스 요청과 독립적으로 수집된다. 수집된 사용자의 위치 정보는 서비스 요청 메시지가 수신되면, 서비스 접근 제어 장치로 로딩되어, 사용자의 서비스 접근 가능 여부를 판단하는데 사용될 수 있다.In addition, according to the above-described embodiment of the present invention, the service request of the user is monitored in the location-based service access control device before being forwarded to the service server. The service access control device may determine whether to permit the service request based on the user information and tenant information included in the service request message and the current location of the user. At this time, the service request message does not include the location information of the user, the location information of the user is collected independently of the service request. When the service request message is received, the collected location information of the user may be loaded into the service access control device and used to determine whether the user can access the service.
한편, 본 발명의 다른 실시예에 따르면, 보안 정책 DB는 '서비스의 특정 리소스에 사용자 단말기가 접근하는 것을 제한할지에 대한 정책'을 저장할 수 있다. 그리고, 서비스 접근 제어 장치는 사용자 단말기가 요청하는 서비스 및 서비스를 사용하는데 필요한 리소스에 대한 정보를 알고 있다. 저장된 정책에 의해, 사용자의 위치(즉, 사용자 단말기)의 위치를 기반으로, 사용자 단말기가 특정 리소스에 접근가능한 것으로 확인되면, 서비스 접근 제어 장치는 필요한 특정 리소스에 사용자 단말기가 접근하도록 서비스 서버에게 요청할 수 있다. 특정 리소스는 예를 들어, 가상 리소스일 수 있다. Meanwhile, according to another embodiment of the present invention, the security policy DB may store a 'policy on whether to restrict access of a user terminal to a specific resource of a service'. In addition, the service access control apparatus knows information about services requested by the user terminal and resources required to use the service. If the stored policy determines that the user terminal is accessible to a specific resource based on the location of the user's location (i.e., user terminal), the service access control device requests the service server to access the user terminal to the required specific resource. Can be. The particular resource may be a virtual resource, for example.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. Methods according to an embodiment of the present invention can be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.
T1: 제1테넌트 T2: 제2테넌트
30: 네트워크 100: 위치 추적 장치
110: 위치 데이터베이스 120: 보안 정책 데이터베이스
200: 서비스 접근 제어 장치 300: 서비스 서버T1: first tenant T2: second tenant
30: network 100: location tracking device
110: Location Database 120: Security Policy Database
200: service access control device 300: service server
Claims (22)
상기 통신부에 의해 수신된 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 확인부; 및
상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 결정부; 를 포함하는 위치 기반 서비스 접근 제어 장치.A communication unit receiving a service request message transmitted from a user to a service server providing a multi-tenant service;
A confirmation unit for confirming a tenant to which the user belongs from a service request message received by the communication unit; And
A determining unit determining whether the user can access the service based on the location of the user and the identified tenant; Location-based service access control device comprising a.
상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 통신부에 의해 상기 서비스 서버로 포워딩되는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 1,
And if the user is determined to be accessible to the service, the service request message is forwarded to the service server by the communication unit.
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되며,
상기 결정부는 상기 데이터베이스에 저장된 사용자의 위치를 이용하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 2,
The location of the user is mapped to the identification of the user and the tenant to which the user belongs and is stored in real time in a database.
And the determining unit uses the location of the user stored in the database.
상기 확인부는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며,
상기 결정부는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 3,
The confirmation unit further confirms the ID of the user from the service request message,
The determining unit, the location-based service access control device, characterized in that for determining the location stored in the database mapped to the user ID of the user.
상기 결정부는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method according to claim 1 or 2,
And the determining unit determines whether the user can access the service by referring to a security policy set based on tenants and locations.
상기 결정부는,
상기 사용자의 위치와 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
The determination unit,
Compare the location of the user with the security policy set based on the tenant and location, and, as a result of the comparison, if the user location belongs to a location where the service set in the security policy is provided, the user accesses the service. Location-based service access control device, characterized in that determined to be possible.
상기 보안 정책은,
특정 위치에 존재하는 사용자가 상기 서비스 서버로의 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
The security policy is,
At least one policy of whether a user existing at a specific location allows or blocks access to the service server, and a policy of restricting access of the user to a specific resource of a service provided by the service server; Location-based service access control device comprising a.
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
And the security policy is set based on the logical location of the user.
상기 결정부에 의해, 상기 사용자가 상기 서비스에 접근 불가능한 것으로 결정되면,
상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스 서버로의 접근이 불가함을 알리는 메시지를 상기 사용자에게 전송하도록 상기 통신부를 제어하는 제어부;를 더 포함하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 1,
If it is determined by the determining unit that the user is inaccessible to the service,
And a controller for disabling forwarding of the service request message and controlling the communication unit to transmit a message indicating that access to the service server is not possible to the user. Access control device.
상기 수신한 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 단계; 및
상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 단계; 를 포함하는, 위치를 기반으로 서비스 접근을 제어하는 방법.Receiving a service request message transmitted from a user to a service server providing a multi-tenant service;
Confirming a tenant to which the user belongs from the received service request message; And
Determining whether the user is accessible to the service based on the location of the user and the identified tenant; Including, the method of controlling service access based on the location.
상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 서비스 서버로 포워딩되는 단계;를 더 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
If it is determined that the user is accessible to the service, the service request message is forwarded to the service server.
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되는 단계;를 더 포함하며,
상기 결정하는 단계는 상기 데이터베이스에 저장된 사용자의 위치를 이용하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
The location of the user is mapped to the identification (identification) of the user and the tenant to which the user belongs; and storing in real time in a database;
The determining step uses a location of a user stored in the database.
상기 확인하는 단계는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며,
상기 결정하는 단계는,
상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 단계;를 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 12,
The checking may further confirm an ID of the user from the service request message.
The determining step,
Determining a location stored in the database mapped to the user's ID as the user's location.
상기 결정하는 단계는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method according to claim 10 or 11, wherein
The determining may include determining whether the user is accessible to the service by referring to a security policy set on a tenant and location basis.
상기 결정하는 단계는,
상기 사용자의 위치와, 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하는 단계; 및
상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용가 상기 서비스에 접근가능한 것으로 결정하는 단계;를 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
The determining step,
Comparing the location of the user with a security policy set based on the tenant and location; And
And determining that the use is accessible to the service if the user location belongs to a location where the service set in the security policy can be provided. How to control access.
상기 보안 정책은,
특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
The security policy is,
A policy of whether to allow or block a user's access to a service existing at a specific location; and a policy of whether to restrict access of the user to a specific resource of a service provided by the service server. Characterized in that a method of controlling service access based on location.
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
Wherein the security policy is set based on a logical location of the user.
상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하는 단계; 및
상기 사용자에게 상기 서비스로의 접근이 불가함을 알리는 메시지를 전송하는 단계;를 더 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
Disabling forwarding of the service request message if the user is determined to be inaccessible to the service; And
And transmitting a message indicating that access to the service is not available to the user.
사용자의 위치를 추적하여 데이터베이스에 업데이트하는 위치 추적 모듈; 및
상기 사용자가 속하는 테넌트(tenant) 및 상기 사용자의 위치를 기반으로, 상기 사용자의 서비스 요청 메시지를 상기 서비스 서버로 포워딩할지를 결정하는 서비스 접근 제어 장치;를 포함하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.A service server for providing a multi-tenant service;
A location tracking module for tracking a location of a user and updating the database; And
And a service access control device for determining whether to forward the service request message of the user to the service server based on the tenant to which the user belongs and the location of the user. System.
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스 요청 메시지에서 요청하는 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지를 상기 서비스 서버로 포워딩하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 19,
The service access control device, if it is determined that the service requested by the user in the service request message is accessible, characterized in that for forwarding the service request message to the service server, to control the service access based on the location System.
상기 서비스 접근 제어 장치는,
상기 사용자의 위치와 테넌트 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 20,
The service access control device,
The security policy set on the tenant basis is compared with the location of the user, and as a result of the comparison, the user is determined to be accessible to the service if the user location belongs to a location where the service is set in the security policy. System for controlling service access based on location.
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스로의 접근이 불가함을 통지하는 메시지를 상기 사용자에게 제공하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 19,
The service access control device, if it is determined that the user is inaccessible to the service, disallows forwarding of the service request message, and provides a message for notifying the user that access to the service is impossible. System for controlling service access based on location.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100073493A KR101059058B1 (en) | 2010-07-29 | 2010-07-29 | Apparatus, method and system for service access control based on user location |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100073493A KR101059058B1 (en) | 2010-07-29 | 2010-07-29 | Apparatus, method and system for service access control based on user location |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101059058B1 true KR101059058B1 (en) | 2011-08-24 |
Family
ID=44933698
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100073493A KR101059058B1 (en) | 2010-07-29 | 2010-07-29 | Apparatus, method and system for service access control based on user location |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101059058B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101218409B1 (en) | 2012-07-13 | 2013-01-03 | 주식회사 엔피코어 | System and method for access control |
KR101273519B1 (en) * | 2011-12-29 | 2013-06-17 | 주식회사 시큐아이 | Service access control device and method |
KR101361243B1 (en) * | 2011-11-30 | 2014-02-12 | 삼성에스디에스 주식회사 | Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system |
KR102223990B1 (en) * | 2019-11-20 | 2021-03-08 | 주식회사 이노그리드 | Multi-cloud service system and method based on location by using virtual cloud server |
KR102449417B1 (en) * | 2022-04-15 | 2022-10-11 | 비토플러스 주식회사 | Location information-based firewall system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003224884A (en) | 2002-01-30 | 2003-08-08 | Canon Inc | Communication system, control method thereof, and program |
JP2004153736A (en) | 2002-11-01 | 2004-05-27 | Hitachi Ltd | Access control method for radio terminal and system therefor |
-
2010
- 2010-07-29 KR KR1020100073493A patent/KR101059058B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003224884A (en) | 2002-01-30 | 2003-08-08 | Canon Inc | Communication system, control method thereof, and program |
JP2004153736A (en) | 2002-11-01 | 2004-05-27 | Hitachi Ltd | Access control method for radio terminal and system therefor |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101361243B1 (en) * | 2011-11-30 | 2014-02-12 | 삼성에스디에스 주식회사 | Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system |
KR101273519B1 (en) * | 2011-12-29 | 2013-06-17 | 주식회사 시큐아이 | Service access control device and method |
KR101218409B1 (en) | 2012-07-13 | 2013-01-03 | 주식회사 엔피코어 | System and method for access control |
KR102223990B1 (en) * | 2019-11-20 | 2021-03-08 | 주식회사 이노그리드 | Multi-cloud service system and method based on location by using virtual cloud server |
KR102449417B1 (en) * | 2022-04-15 | 2022-10-11 | 비토플러스 주식회사 | Location information-based firewall system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9584964B2 (en) | Enforcement of proximity based policies | |
US10244001B2 (en) | System, apparatus and method for access control list processing in a constrained environment | |
US9081942B2 (en) | Use of user location information for remote actions | |
WO2017113351A1 (en) | Method and device for writing data, and system | |
KR101059058B1 (en) | Apparatus, method and system for service access control based on user location | |
US9426120B1 (en) | Location and time based mobile app policies | |
CN110069911B (en) | Access control method, device, system, electronic equipment and readable storage medium | |
CN105635320A (en) | Method and equipment for calling configuration information | |
WO2020198958A1 (en) | Techniques involving a security heat map | |
CN102651746A (en) | Point-to-point information transmission method, system and device | |
US9785791B2 (en) | Using a location authorization extension to provide access authorization for a module to access a computing system | |
CN103905514A (en) | Server, terminal device and network data access right management method | |
US11531716B2 (en) | Resource distribution based upon search signals | |
CN103049707B (en) | A kind of interception of the gps data based on Android platform control method | |
CN106487770B (en) | Method for authenticating and authentication device | |
CN102291239A (en) | Remote authentication method, system, agent component and authentication servers | |
CN107396362A (en) | A kind of method and apparatus for being used to carry out user equipment wireless connection pre-authorization | |
CN108809930B (en) | User authority management method and device | |
KR101272136B1 (en) | Method on Postion Based Security of Mobile Device | |
CN105183799A (en) | Authority management method and client | |
KR20150033368A (en) | Method and apparatus for security domain notification in trusted execution environment | |
CN110351719A (en) | A kind of wireless network management method, system and electronic equipment and storage medium | |
KR20210033229A (en) | METHOD AND APPARATUS FOR MANAGING RIGHTS OF IoT DEVICE | |
US11687627B2 (en) | Media transit management in cyberspace | |
CN105071959A (en) | Plug-and-play management method and system based on unified registration of power network devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140603 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150629 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160701 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170629 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180625 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190701 Year of fee payment: 9 |