KR101059058B1 - Apparatus, method and system for service access control based on user location - Google Patents

Apparatus, method and system for service access control based on user location Download PDF

Info

Publication number
KR101059058B1
KR101059058B1 KR1020100073493A KR20100073493A KR101059058B1 KR 101059058 B1 KR101059058 B1 KR 101059058B1 KR 1020100073493 A KR1020100073493 A KR 1020100073493A KR 20100073493 A KR20100073493 A KR 20100073493A KR 101059058 B1 KR101059058 B1 KR 101059058B1
Authority
KR
South Korea
Prior art keywords
service
user
location
tenant
request message
Prior art date
Application number
KR1020100073493A
Other languages
Korean (ko)
Inventor
한상훈
최광민
성병용
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100073493A priority Critical patent/KR101059058B1/en
Application granted granted Critical
Publication of KR101059058B1 publication Critical patent/KR101059058B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/214Monitoring or handling of messages using selective forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PURPOSE: A service access control device based on the location, a method thereof, and system thereof are provided to control usage authority and access authority about a service which is provided by a SaaS(Software as a Service) technology. CONSTITUTION: A communication unit(210) receives a service request message transmitted to a service server, which provides a multi-tenant service, from user. A confirmation device(220) confirms a tenant in which a user belongs from the service request message received by the communications unit. A determining unit(230) determines whether the user is able to access to the service or not based on the location of the user and the checked tenant. If it is determined as the user is accessible to the service, the service request message is forwarded to the service server by the communication unit.

Description

위치 기반 서비스 접근 제어 장치, 방법 및 시스템{Apparatus, Method and System for Service Access Control based on User Location}Apparatus, Method and System for Service Access Control based on User Location}

본 발명은 위치 기반 서비스 접근 제어 장치, 방법 및 시스템에 관한 것으로, 보다 상세하게는, 사용자의 위치에 따라 서비스에 접근할 수 있는 권한을 제어할 수 있는, 위치 기반 서비스 접근 제어 장치, 방법 및 시스템에 관한 것이다.The present invention relates to a location-based service access control device, method and system, and more particularly, to a location-based service access control device, method and system that can control the authority to access the service according to the user's location. It is about.

SaaS(Software as a Service) 외부에 존재하는 제공자의 시스템에 접속해서 사용하는 서비스의 일종이며, 따라서 특정 회사 안의 여러 구역은 물론 회사 밖에서라도 언제 어디서나 접속이 가능하도록 한다. 따라서, 정보의 유출에 취약하여 보안이 필요성이 지속적으로 논의되고 있다.It is a type of service that accesses and uses a provider's system that exists outside of SaaS (Software as a Service), so it can be accessed anytime, anywhere from various areas within a company as well as outside the company. Therefore, the necessity of security because it is vulnerable to the leakage of information is continuously discussed.

따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, SaaS 기술에 의해 제공되는 서비스에 대한 접근 권한 및 사용 권한을 제어함으로써 조직 내의 정보 유출을 원천적으로 차단하고, 서비스의 신뢰성을 확보할 수 있는 위치 기반 서비스 접근 제어 장치, 방법 및 시스템을 제공하는 것이다.Therefore, an object of the present invention for solving the above problems, by controlling the access rights and usage rights for the services provided by SaaS technology, it is possible to fundamentally block the leakage of information in the organization, and to ensure the reliability of the service There is provided a location-based service access control apparatus, method and system.

본 발명의 일 실시예에 따른 위치 기반 서비스 접근 제어 장치는 사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 통신부; 상기 통신부에 의해 수신된 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 확인부; 및 상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 결정부; 를 포함할 수 있다.Location-based service access control apparatus according to an embodiment of the present invention includes a communication unit for receiving a service request message transmitted from the user to the service server for providing a multi-tenant service; A confirmation unit for confirming a tenant to which the user belongs from a service request message received by the communication unit; And a determining unit determining whether the user can access the service based on the location of the user and the identified tenant. It may include.

상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 통신부에 의해 상기 서비스 서버로 포워딩될 수 있다.If it is determined that the user is accessible to the service, the service request message may be forwarded by the communication unit to the service server.

상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되며, 상기 결정부는 상기 데이터베이스에 저장된 사용자의 위치를 이용할 수 있다.The location of the user is mapped to the identification of the user and the tenant to which the user belongs and is stored in a database in real time, and the determination unit may use the location of the user stored in the database.

상기 확인부는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며, 상기 결정부는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정할 수 있다.The confirmation unit may further confirm the ID of the user from the service request message, and the determination unit may determine a location mapped to the ID of the user in the database as the location of the user.

상기 결정부는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정할 수 있다.The determination unit may determine whether the user is accessible to the service with reference to a security policy set on a tenant and location basis.

상기 결정부는, 상기 사용자의 위치와 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정할 수 있다.The determining unit compares the location of the user with a security policy set based on the tenant and location, and, if the user location belongs to a location where the service set in the security policy is provided, the user It may be determined that the service is accessible.

상기 보안 정책은, 특정 위치에 존재하는 사용자가 상기 서비스 서버로의 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함할 수 있다.The security policy includes a policy of whether a user existing at a specific location allows or blocks access to the service server, and a policy of restricting the user's access to a specific resource of a service provided by the service server. It may include at least one of the policies.

상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것일 수 있다.The security policy may be set based on the logical location of the user.

본 발명의 일 실시예에 따른 위치 기반 서비스 접근 제어 장치는 상기 결정부에 의해, 상기 사용자가 상기 서비스에 접근 불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스 서버로의 접근이 불가함을 알리는 메시지를 상기 사용자에게 전송하도록 상기 통신부를 제어하는 제어부;를 더 포함할 수 있다.The apparatus for controlling location-based service access according to an embodiment of the present invention disallows forwarding of the service request message when the user determines that the service is inaccessible to the service by the determining unit. The control unit for controlling the communication unit to transmit a message indicating that the access of the user can be further included.

본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은, 사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 단계; 상기 수신한 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 단계; 및 상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 단계; 를 포함할 수 있다.According to an embodiment of the present invention, a method of controlling service access based on a location may include receiving a service request message transmitted from a user to a service server providing a multi-tenant service; Confirming a tenant to which the user belongs from the received service request message; Determining whether the user is accessible to the service based on the location of the user and the identified tenant; It may include.

본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은 상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 서비스 서버로 포워딩되는 단계;를 더 포함할 수 있다.The method for controlling service access based on a location according to an embodiment of the present invention may further include forwarding the service request message to the service server when the user is determined to be accessible to the service. .

상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되는 단계;를 더 포함하며, 상기 결정하는 단계는 상기 데이터베이스에 저장된 사용자의 위치를 이용할 수 있다.The location of the user is mapped to the identification (identification) of the user and the tenant to which the user belongs; and storing in real time in a database; wherein the determining step may use the location of the user stored in the database have.

상기 확인하는 단계는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며, 상기 결정하는 단계는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 단계;를 포함할 수 있다.The checking may further include checking the ID of the user from the service request message, and determining the location of the user as a location mapped to the ID of the user in the database. Can be.

상기 결정하는 단계는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정할 수 있다.The determining may determine whether the user has access to the service with reference to a security policy set on a tenant and location basis.

상기 결정하는 단계는, 상기 사용자의 위치와, 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하는 단계; 및 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용가 상기 서비스에 접근가능한 것으로 결정하는 단계;를 포함할 수 있다.The determining may include comparing a location of the user with a security policy set based on the tenant and location; And as a result of the comparison, determining that the use is accessible to the service if the user location belongs to a location where the service is set in the security policy.

상기 보안 정책은, 특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함할 수 있다.The security policy may include at least one of a policy regarding whether to allow or block a user's access to a service existing at a specific location, and a policy regarding whether to restrict the user's access to a specific resource of a service provided by the service server. It may include a policy.

상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것일 수 있다.The security policy may be set based on the logical location of the user.

본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법은 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하는 단계; 및 상기 사용자에게 상기 서비스로의 접근이 불가함을 알리는 메시지를 전송하는 단계;를 더 포함할 수 있다.Method for controlling service access based on location according to an embodiment of the present invention, if the user is determined to be inaccessible to the service, disabling forwarding of the service request message; And transmitting a message informing that the user cannot access the service.

본 발명의 실시예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 시스템은, 멀티 테넌트 서비스를 제공하는 서비스 서버; 사용자의 위치를 추적하여 데이터베이스에 업데이트하는 위치 추적 모듈; 및 상기 사용자가 속하는 테넌트(tenant) 및 상기 사용자의 위치를 기반으로, 상기 사용자의 서비스 요청 메시지를 상기 서비스 서버로 포워딩할지를 결정하는 서비스 접근 제어 장치;를 포함할 수 있다.A system for controlling service access based on a location according to an embodiment of the present invention includes a service server for providing a multi-tenant service; A location tracking module for tracking a location of a user and updating the database; And a service access control device for determining whether to forward the service request message of the user to the service server based on a tenant to which the user belongs and the location of the user.

상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스 요청 메시지에서 요청하는 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지를 상기 서비스 서버로 포워딩할 수 있다.The service access control device may forward the service request message to the service server when it is determined that the user can access the service requested by the service request message.

상기 서비스 접근 제어 장치는, 상기 사용자의 위치와 테넌트 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정할 수 있다.The service access control device compares the security policy set on the tenant basis with the location of the user, and if the user location belongs to a location where the service set in the security policy is provided, the user It may be determined that the service is accessible.

상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스로의 접근이 불가함을 통지하는 메시지를 상기 사용자에게 제공할 수 있다.If the user determines that the user is inaccessible to the service, the service access control device disallows forwarding of the service request message and provides the user with a message informing that the user cannot access the service. Can be.

본 발명의 실시예에 따르면, 테넌트 별로 위치정보 및 보안 정책이 다르게 관리되므로, 내부 보안을 보다 강화할 수 있다. 이는, 멀티테넌트들에게 SaaS 방식에 의한 서비스를 적용할 수 있는 환경을 제공한다.According to an embodiment of the present invention, since location information and security policy are managed differently for each tenant, internal security may be further strengthened. This provides an environment in which multitenants can apply services based on SaaS.

또한, 본 발명의 실시예에 따르면, 기존의 어플리케이션 로직을 테넌트 별로 수정하지 않고, 위치 기반의 보안 정책을 각 테넌트에게 적용할 수 있으며, single-instance 서비스가 가능하다. In addition, according to an embodiment of the present invention, a location-based security policy can be applied to each tenant without modifying existing application logic for each tenant, and a single-instance service is possible.

또한, 본 발명의 실시예에 따르면, 위치 추적에 기반한 서비스를 제공하기 위하여 위치 추적을 위한 프로그램을 장치 내에 설치하지 않아도 보안과 관련된 기능을 실현할 수 있다.In addition, according to an embodiment of the present invention, a function related to security can be realized without installing a program for location tracking in a device in order to provide a service based on location tracking.

또한, 본 발명의 실시예에 따르면, 서비스 접근 제어 장치에서 위치에 기반한 보안 심사가 이루어진 후에야 웹 서버와 같은 서비스 서버로 서비스 요청이 전달되므로 웹 혹은 C/S(클라이언트/서버) 모델로 이루어지는 서비스들에서 URL 단위로 제어할 수 있다.In addition, according to an embodiment of the present invention, since a service request is transmitted to a service server such as a web server only after a location-based security audit is performed in the service access control device, services made of a web or C / S (client / server) model. You can control by URL.

또한, 본 발명의 실시예에 따르면, 클라우드 환경에서 제공되는 Saas 서비스를 기본 모델로 하였으므로, 기존 어플리케이션 코드의 수정이 필요없이 본 모델을 적용할 수 있다. 즉, 서비스 접근 제어 장치만 추가하면 다른 구성요소나 어플리케이션의 수정이 필요 없어 하나의 어플리케이션 코드로 다수의 테넌트를 서비스할 수 있다.In addition, according to an embodiment of the present invention, since the Saas service provided in the cloud environment as a base model, the model can be applied without requiring modification of existing application code. That is, by adding only the service access control device, it is possible to service multiple tenants with one application code without modifying other components or applications.

도 1은 본 발명의 일 실시 예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 웹 서비스 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 서비스 접근 제어 장치를 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법을 설명하기 위한 흐름도이다.1 is a diagram illustrating a web service system for controlling service access based on a location according to an embodiment of the present invention.
2 is a block diagram illustrating a service access control apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a method of controlling service access based on a location according to an embodiment of the present invention.

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다. Objects, other objects, features and advantages of the present invention will be readily understood through the following preferred embodiments associated with the accompanying drawings. However, the present invention is not limited to the embodiments described herein and may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it may be directly formed on another element, or a third element may be interposed therebetween.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the words 'comprises' and / or 'comprising' do not exclude the presence or addition of one or more other components.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. In describing the specific embodiments below, various specific details are set forth in order to explain the invention more specifically and to help understand. However, one of ordinary skill in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.

도 1은 본 발명의 일 실시 예에 따른 위치를 기반으로 서비스 접근을 제어하기 위한 웹 서비스 시스템을 도시한 도면이다. 1 is a diagram illustrating a web service system for controlling service access based on a location according to an embodiment of the present invention.

도 1을 참조하면, 웹 서비스 시스템은 제1테넌트(tenant)(T1), 제2테넌트(T2), 네트워크(30), 위치 추적 장치(100), 위치 데이터베이스(DB: DataBase)(110), 보안 정책 DB(120), 서비스 접근 제어 장치(200) 및 서비스 서버(300)를 포함할 수 있다.Referring to FIG. 1, the web service system includes a first tenant T1, a second tenant T2, a network 30, a location tracking device 100, a location database (DB) 110, The security policy DB 120 may include a service access control device 200 and a service server 300.

도 1의 웹 서비스 시스템은 멀티 테넌트에게 SaaS(Software as a Service) 방식의 서비스를 제공할 수 있으며, 예를 들어, 웹서버-WAS-DB 구조를 갖는다. 특히, 본 발명의 실시예에 따른 웹 서비스 시스템은 각 테넌트(T1, T2)의 위치 정보를 관할하는 DB(110)와 각 테넌트의 보안 정책을 담당하는 DB(120)를 추가하고, 각 DB(110, 120)에 기록된 정보 및 각 테넌트(T1, T2)의 사용자의 위치를 바탕으로, 사용자가 요청하는 서비스로의 접근 권한을 제어할 수 있다. The web service system of FIG. 1 may provide a service as a SaaS (Software as a Service) method to a multi-tenant, and has, for example, a web server-WAS-DB structure. In particular, the web service system according to the embodiment of the present invention adds a DB 110 that manages the location information of each tenant T1 and T2 and a DB 120 that is responsible for the security policy of each tenant, and each DB ( Based on the information recorded in the 110 and 120 and the location of the user of each of the tenants T1 and T2, the access authority to the service requested by the user may be controlled.

즉, 사용자가 요청한 서비스는 기설정된 테넌트 별 보안 정책과 사용자의 현재 위치에 따라서 제공 여부가 제어될 수 있다. 사용자 단말기(예를 들어, 11)는 사용자의 위치 및 보안 정책에 따라, 사용자가 요청한 서비스에 접근하여 서비스를 이용하거나, 또는 서비스 접근이 차단되거나, 또는, 서비스의 부분적인 사용 제한이 가해질 수 있다.That is, the service requested by the user may be controlled according to a predetermined tenant security policy and the current location of the user. The user terminal (eg, 11) may access the service requested by the user to use the service, block access to the service, or restrict the partial use of the service according to the user's location and security policy. .

본원 명세서에서 "사용자"라고 함은 i) "사용자"를 의미하거나 또는 ii) "사용자 단말기"와 "사용자"를 통칭하는 것으로 사용하기로 하며, "사용자"의 의미가 상기 i)과 ii)를 특별히 구별할 필요가 없는 경우를 제외하고는, 해당하는 실시예에 맞도록 해석될 수 있다.In the present specification, "user" means i) "user" or ii) "user terminal" and "user", and the term "user" means i) and ii). Except where there is no need to distinguish in particular, it can be interpreted to fit the corresponding embodiment.

SaaS 방식은 다양한 소프트웨어가 제공하는 서비스 중 사용자가 필요로 하는 서비스만 이용 가능하도록 하는 서비스 개념을 갖는다. SaaS 방식은 서비스 공급 업체, 즉, 서비스 서버(300)가 하나 이상의 플랫폼을 이용해 복수 개의 테넌트에게 소프트웨어 서비스를 제공하고, 각 테넌트는 사용한 서비스에 상응하는 사용료를 지불할 수 있다.The SaaS method has a service concept of making only the services required by the user available among the services provided by various software. In the SaaS scheme, a service provider, that is, the service server 300 may provide a software service to a plurality of tenants using one or more platforms, and each tenant may pay a fee corresponding to the service used.

멀티 테넌시(Multi-Tenancy)는 컴퓨팅 환경에서 가상화 기술 및 동일한 인프라스트럭쳐를 기반으로, 멀티 테넌트가 서비스를 공유하는 것을 의미한다. 멀티 테넌트(Multi-Tenant)는 복수 개의 테넌트를 의미하며, 하나의 테넌트는 서비스를 사용하는 하나의 그룹으로서, 예를 들어, 하나의 기업일 수 있다. 따라서, 하나의 테넌트에는 다수의 사용자가 포함된다. 도 1에는 설명의 편의상 제1테넌트(T1) 및 제2테넌트(T2)가 도시되어 있으며, 이에 한정되지 않는다. 제1테넌트(T1)는 PC(Personal Computer)(11)와 휴대용 단말기(12, 13)을 사용하는 사용자들을 포함하며, 제2테넌트(T2)는 랩탑 컴퓨터(21)과 휴대용 단말기(22)를 사용하는 사용자들을 포함한다.Multi-Tenancy refers to the sharing of services among multiple tenants based on virtualization technology and the same infrastructure in a computing environment. Multi-Tenant refers to a plurality of tenants, and one tenant is a group using a service, for example, one enterprise. Therefore, one tenant includes a plurality of users. For convenience of description, the first tenant T1 and the second tenant T2 are illustrated in FIG. 1, but are not limited thereto. The first tenant T1 includes users who use a personal computer (11) and portable terminals 12 and 13, and the second tenant T2 connects the laptop computer 21 and the portable terminal 22 to each other. Includes users you use.

네트워크(30)는 네트워크 시스템에 위치하는 장치들간의 유선 또는 무선 통신을 지원한다.The network 30 supports wired or wireless communication between devices located in a network system.

위치 추적 장치(100)는 제1테넌트(T1) 및 제2테넌트(T2)의 사용자가 사용하는 사용자 단말기들(11~13, 21, 22)의 위치를 추적할 수 있다. 위치 추적 장치(100)는 모듈로 구현되어 서비스 접근 제어 장치(200) 내에 구비될 수도 있다. 위치 추적 장치(100)는 RFID(Radio Frequency Identification), Wi-Fi(Wireless Fidelity), GPS(Global Positioning System)등 다양한 방식을 통해 위치를 추적 및 수집할 수 있다.The location tracking apparatus 100 may track the locations of the user terminals 11 to 13, 21, and 22 used by the users of the first tenant T1 and the second tenant T2. The location tracking device 100 may be implemented as a module and provided in the service access control device 200. The location tracking device 100 may track and collect a location through various methods such as radio frequency identification (RFID), wireless fidelity (Wi-Fi), and global positioning system (GPS).

위치 추적 장치(100)는 추적된 각 사용자 단말기(11~13, 21, 22)의 위치에 대한 정보를 위치 DB(110)에 저장할 수 있다. 위치 추적 장치(100)는 추적된 위치에 대한 정보를 사용자의 ID(identifier) 및 사용자가 속하는 테넌트의 ID에 매핑시켜 위치 DB(110)에 저장할 수 있다. The location tracking apparatus 100 may store information about the location of each tracked user terminal 11 to 13, 21, and 22 in the location DB 110. The location tracking apparatus 100 may map information about the tracked location to an ID of an user and an ID of a tenant to which the user belongs and store the location information in the location DB 110.

위치 추적 장치(100)는 주기적 또는 비주기적으로 각 사용자 단말기(11~13, 21, 22)의 위치를 추적하며, 사용자 단말기들(11~13, 21, 22)의 위치가 변경되면, 변경된 위치에 대한 정보를 위치 DB(110)에 업데이트할 수 있다. 이로써, 각 사용자 단말기(11~13, 21, 22)의 위치, 즉, 제1테넌트(T1) 및 제2테넌트(T2)의 위치는 실시간으로 관리될 수 있다. 이러한 위치 추적 및 관리는 서비스 서버(300)에서 제공하는 서비스와는 무관할 수 있으며, 별개의 동작으로 수행될 수 있다.The location tracking device 100 tracks the positions of each of the user terminals 11 to 13, 21, and 22 periodically or aperiodically. If the positions of the user terminals 11 to 13, 21, and 22 are changed, the changed position is determined. Information about can be updated in the location DB (110). As a result, the positions of the user terminals 11 to 13, 21, and 22, that is, the positions of the first tenant T1 and the second tenant T2 may be managed in real time. Such location tracking and management may be irrelevant to services provided by the service server 300 and may be performed by separate operations.

또한, 위치 추적 장치(100)는 추적된 위치를 테넌트 관리자가 설정한 논리적 위치로 변경할 수 있다. 물리적 위치는 사용자 단말기(예를 들어, 11)의 위치를 측정한 좌표 정보이며, 논리적 위치는 장소의 용도 또는 목적에 따라 구분되는 논리적 공간일 수 있다. 이를 위하여, 위치 추적 장치(100)는 물리적 위치와 논리적 위치가 서로 매핑된 정보를 가지고 있을 수 있다. 논리적 위치는 사무실, 회의실, 휴게실, 로비, 자택 등을 예로 들 수 있다. 테넌트 관리자는 제1테넌트(T1) 및 제2테넌트(T2) 각각의 관리자일 수 있다.In addition, the location tracking apparatus 100 may change the tracked location to a logical location set by the tenant administrator. The physical location is coordinate information measuring the location of the user terminal (eg, 11), and the logical location may be a logical space divided according to the purpose or purpose of the place. To this end, the location tracking device 100 may have information in which physical locations and logical locations are mapped to each other. Examples of logical locations include offices, meeting rooms, lounges, lobbies, homes, and so on. The tenant manager may be a manager of each of the first tenant T1 and the second tenant T2.

위치 DB(110)는 위치 추적 장치(100)에 의해 추적된 위치에 대한 정보를 사용자의 ID 및 사용자가 속하는 테넌트의 ID에 매핑시켜 저장할 수 있다. 사용자의 ID는 곧 사용자 단말기들(11~13, 21, 22)을 사용하는 사용자들의 ID이이며, 테넌트의 ID는 제1테넌트(T1) 및 제2테넌트(T2)의 ID일 수 있다. [표 1]은 위치 DB(110)에 저장된 위치에 대한 정보의 일 예를 보여준다.The location DB 110 may map and store information about the location tracked by the location tracking apparatus 100 to an ID of a user and an ID of a tenant to which the user belongs. The ID of the user may be an ID of users using the user terminals 11 to 13, 21, and 22, and the ID of the tenant may be an ID of the first tenant T1 and the second tenant T2. Table 1 shows an example of information on the location stored in the location DB (110).

테넌트 IDTenant ID 사용자 ID(사용자 단말기)User ID (user terminal) 논리적 위치Logical location TNT1TNT1 aa(11)aa (11) 회사 사무실Company office bb(12)bb (12) 회사 로비Company lobby cc(13)cc (13) 회사 휴게실Company break room TNT2TNT2 dd(21)dd (21) 추적 불가Not traceable ee(22)ee (22) 회사 회의실Company conference room

[표 1]을 참조하면, 위치 DB(110)는 멀티 테넌트를 지원하는 시스템 상에서 사용되므로, 제1테넌트(T1) 및 제2테넌트(T2)의 사용자들의 위치 정보를 저장 및 관리한다. [표 1]에서, 사용자 ID가 aa인 사용자는 사용자 단말기(11)를 사용하고 있으며, 최근에 추적된 위치는 회사 사무실이다. TNT1은 제1테넌트(T1)의 ID, TNT2는 제2테넌트(T2)의 ID이다. Referring to [Table 1], since the location DB 110 is used on a system supporting multi-tenant, the location DB 110 stores and manages location information of users of the first tenant T1 and the second tenant T2. In Table 1, the user whose user ID is aa is using the user terminal 11, and the most recently tracked location is the company office. TNT1 is the ID of the first tenant T1, and TNT2 is the ID of the second tenant T2.

상술한 바와 같이, 사용자의 실질적인 물리적 위치는 테넌트 관리자 또는 서비스 서버(300)의 관리자에 의해 설정된 논리적 위치로 변경되어 저장되며, 저장된 논리적 위치는 서비스 접근 제어 장치(200)가 서비스의 권한을 제어하는데 사용된다.As described above, the actual physical location of the user is changed and stored in a logical location set by the tenant manager or the manager of the service server 300, and the stored logical location is controlled by the service access control apparatus 200 to control the authority of the service. Used.

보안 정책 DB(120)는 제1테넌트(T1) 및 제2테넌트(T2) 각각에 할당된 서비스 접근 권한을 위치 별로 매핑하여 저장할 수 있다. 테넌트 관리자는 위치에 기반한 각 테넌트의 서비스 접근 권한을 보안 정책 DB(120)에 설정할 수 있다. 서비스 접근 권한은 보안 정책을 의미한다. 보안 정책은, 예를 들어, 특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책을 포함할 수 있다. [표 2]는 보안 정책 DB(120)에 저장된 보안 정책의 일 예를 보여준다. The security policy DB 120 may map and store service access rights allocated to each of the first tenant T1 and the second tenant T2 by location. The tenant administrator may set the service access authority of each tenant based on the location in the security policy DB 120. Service access authority means security policy. The security policy may include, for example, a policy regarding whether to allow or block service access of a user existing at a specific location. Table 2 shows an example of the security policy stored in the security policy DB (120).

테넌트 IDTenant ID 접근가능한 논리적 위치Accessible logical location 보안 정책(서비스 접근 권한)Security Policy (Service Access Rights) TNT1TNT1 회사 사무실Company office 읽기read 회사 로비Company lobby 쓰기writing 회사 휴게실Company break room NoneNone TNT2TNT2 회사 회의실Company conference room 복사copy 회사 사무실Company office 읽기read

[표 2]를 참조하면, 보안 정책 DB(120)는 위치 및 테넌트 별로 설정된 보안 정책을 저장한다. 제1테넌트(T1)에 속하는 사용자는 회사 사무실에서는 서비스 읽기만 가능하며, 회사 휴게실에서는 서비스로의 접근이 차단된다.  사용자가 서비스의 사용을 요청하는 경우, 서비스 접근 제어 장치(200)는 보안 정책 DB(120)에 기록된 테넌트 별 보안 정책에 따라 서비스의 가용여부를 결정한다.Referring to [Table 2], the security policy DB 120 stores a security policy set for each location and tenant. A user belonging to the first tenant T1 can only read a service in the company office, and access to the service is blocked in the company break room. When the user requests the use of the service, the service access control apparatus 200 determines whether the service is available according to the tenant-specific security policy recorded in the security policy DB 120.

서비스 접근 제어 장치(200)는 사용자 단말기(11)의 사용자가 속하는 테넌트 및 사용자의 위치를 기반으로, 사용자 단말기(11)로부터 전송된 서비스 요청 메시지를 서비스 서버(300)로 포워딩할지를 결정할 수 있다. 즉, 서비스 접근 제어 장치(200)는 서비스 요청 메시지를 사용자가 속하는 테넌트 및 사용자의 위치를 기반으로 필터링하여, 서비스 서버(300)로 포워딩하거나 또는 포워딩하지 않을 수 있다.The service access control apparatus 200 may determine whether to forward the service request message transmitted from the user terminal 11 to the service server 300 based on the tenant to which the user of the user terminal 11 belongs and the location of the user. That is, the service access control apparatus 200 may filter the service request message based on the tenant to which the user belongs and the location of the user, and forward or not forward the service request message to the service server 300.

서비스 서버(300)는 SaaS 방식의 서비스를 제공할 수 있고, 또한 멀티 테넌시 서비스를 제공할 수 있는 서버로서, 웹서버, WAS(Web Application Server) 및 데이터 베이스로 이루어질 수 있다. 서비스 접근 제어 장치(200)로부터 서비스 요청 메시지가 포워딩되면, 서비스 서버(300)는 서비스 요청 메시지를 전송한 사용자 단말기(11)에게 해당 서비스를 제공한다.The service server 300 is a server capable of providing a SaaS service and also providing a multi-tenancy service. The service server 300 may include a web server, a web application server (WAS), and a database. When the service request message is forwarded from the service access control device 200, the service server 300 provides a corresponding service to the user terminal 11 that has transmitted the service request message.

도 2는 본 발명의 일 실시예에 따른 서비스 접근 제어 장치(200)를 도시한 블록도이다.2 is a block diagram illustrating a service access control apparatus 200 according to an embodiment of the present invention.

도 2를 참조하면, 서비스 접근 제어 장치(200)는 통신부(210), 확인부(220), 결정부(230) 및 제어부(240)를 포함할 수 있다.Referring to FIG. 2, the service access control apparatus 200 may include a communication unit 210, a confirmation unit 220, a determination unit 230, and a control unit 240.

통신부(210)는 네트워크(30)를 통해 다수의 사용자 단말기들(11~13, 21, 22), 위치 추적 장치(100) 및 서비스 서버(300)와 통신할 수 있다. 통신부(210)는 다수의 사용자 단말기들(11~13, 21, 22) 중 하나, 예를 들어, 사용자 단말기(11)로부터 서비스의 제공을 요청하는 서비스 요청 메시지를 수신할 수 있다. 또한, 통신부(210)는 서비스 요청 메시지를 제어부(240)의 제어에 따라 서비스 서버(300)로 포워딩하거나 또는 서비스 요청 메시지의 수신을 차단할 수 있다.The communication unit 210 may communicate with a plurality of user terminals 11 to 13, 21, and 22, the location tracking device 100, and the service server 300 through the network 30. The communication unit 210 may receive a service request message for requesting the provision of a service from one of the plurality of user terminals 11 to 13, 21, and 22, for example, the user terminal 11. In addition, the communication unit 210 may forward the service request message to the service server 300 under the control of the control unit 240 or block reception of the service request message.

본 실시예에서, 통신부(210)가 서비스 요청 메시지를 수신하는 동작과 서비스 서버(300)로 서비스 요청 메시지를 포워딩하는 동작을 모두 수행할 수 있는 것으로 설명하였으나 이는 예시적인 것이다. 예를 들면, 서비스 요청 메시지를 수신하는 동작을 수행하는 통신부와 서비스 요청 메시지를 포워딩하는 동작을 수행하는 통신부를 별도로 구성하는 것도 가능할 것이다.In the present embodiment, it has been described that the communication unit 210 may perform both an operation of receiving a service request message and an operation of forwarding a service request message to the service server 300, but this is exemplary. For example, it may be possible to separately configure a communication unit performing an operation of receiving a service request message and a communication unit performing an operation of forwarding a service request message.

확인부(220)는 서비스 서버(300)로 포워딩되기 위한 사용자 단말기(11)의 서비스 요청 메시지를 모니터링하여, 사용자 단말기(11)의 사용자가 속하는 테넌트 및 사용자의 ID를 확인할 수 있다. 이는, 서비스 요청 메시지는 서비스 계약 정보, 사용자의 ID 및 테넌트의 ID를 포함하기 때문이다. 이하에서는, 사용자 단말기(11)의 사용자가 속하는 테넌트로서 제1테넌트(T1)를 예로 들어 설명한다. 사용자 단말기(11)의 사용자가 속하는 제1테넌트(T1)는 서비스 요청 메시지에 포함된 테넌트의 ID에 의해 알 수 있다.The identification unit 220 may monitor the service request message of the user terminal 11 to be forwarded to the service server 300, and may confirm the tenant to which the user of the user terminal 11 belongs and the ID of the user. This is because the service request message includes service contract information, an ID of a user, and an ID of a tenant. Hereinafter, the first tenant T1 will be described as an example of the tenant to which the user of the user terminal 11 belongs. The first tenant T1 to which the user of the user terminal 11 belongs may be known by the ID of the tenant included in the service request message.

결정부(230)는 사용자의 위치 및 확인부(220)에 의해 확인된 테넌트를 기반으로, 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다. 구체적으로 설명하면, 결정부(230)는 위치 DB(110)로부터 사용자의 ID에 매핑되어 업데이트된 위치를 확인하여 사용자의 위치로 정할 수 있다. 예를 들어, 서비스 요청 메시지에 포함된 사용자의 ID가 'aa'이면, 결정부(230)는 위치 DB(110) 중 'aa'에 매핑저장된 위치를 사용자의 위치로 정할 수 있다.The determination unit 230 may determine whether the user terminal 11 is accessible to the service based on the location of the user and the tenant confirmed by the identification unit 220. Specifically, the determination unit 230 may determine the updated location mapped to the user's ID from the location DB 110 and determine the location of the user. For example, if the ID of the user included in the service request message is 'aa', the determination unit 230 may determine a location mapped to 'aa' in the location DB 110 as the location of the user.

사용자의 위치가 확인되면, 결정부(230)는 보안 정책 DB(120)의 제1테넌트(T1)에 위치 별로 설정된 보안 정책을 참조하여, 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다. 구체적으로 설명하면, 결정부(230)는 확인된 사용자의 위치와, 제1테넌트(T1)에 위치 별로 설정된 보안 정책을 비교한다. 비교 결과, 사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하면, 결정부(230)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다. 예를 들어, 위치 DB(110)에서 확인된 사용자의 위치가 회사 사무실이며, 제1테넌트(T1)에 설정된 위치에 회사 사무실이 있으면, 결정부(230)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다.When the location of the user is confirmed, the determination unit 230 may determine whether the user terminal 11 can access the service by referring to the security policy set for each location in the first tenant T1 of the security policy DB 120. . In detail, the determination unit 230 compares the identified user's location with the security policy set for each location in the first tenant T1. As a result of the comparison, if the location of the user belongs to a location that can receive the service set in the security policy, the determination unit 230 may determine that the user terminal 11 is accessible to the service. For example, if the location of the user identified in the location DB 110 is the company office and the company office is located at the location set in the first tenant T1, the determination unit 230 accesses the service by the user terminal 11. It can be determined as possible.

제어부(240)는, 결정부(230)에 의해 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정되면, 서비스 요청 메시지를 서비스 서버(300)로 포워딩하도록 통신부(210)를 제어할 수 있다.The controller 240 may control the communicator 210 to forward the service request message to the service server 300 when the determination unit 230 determines that the user terminal 11 is accessible to the service.

또한, 제어부(240)는 결정부(230)에 의해 사용자 단말기(11)가 서비스에 접근불가능한 것으로 결정되면, 서비스 요청 메시지의 포워딩을 불허(不許)할 수 있다. 그리고, 제어부(240)는 서비스로의 접근이 불가함을 통지하는 메시지를 작성한 후, 작성된 메시지를 사용자 단말기(11)에게 전송하도록 통신부(210)를 제어할 수 있다.In addition, if it is determined by the decision unit 230 that the user terminal 11 is inaccessible to the service, the controller 240 may disable forwarding of the service request message. In addition, the controller 240 may compose a message indicating that access to the service is not possible, and then control the communicator 210 to transmit the created message to the user terminal 11.

이상 설명한 실시예에서, 통신부(210), 확인부(220), 결정부(230) 및 제어부(240)들은 각각 하나 이상의 기능을 수행하는 것으로 설명하였다. 하지만, 앞서 설명하였던 것처럼, 통신부(210)를 서비스 요청 메시지를 수신하는 동작을 수행하는 통신부와 서비스 요청 메시지를 포워딩하는 동작을 수행하는 통신부를 별도로 구성하는 것이 가능한 것처럼, 다른 구성요소들도 같은 방식으로 구성할 수 있다는 것을 알아야 한다.In the above-described embodiment, the communication unit 210, the confirmation unit 220, the determination unit 230, and the control unit 240 have been described as performing one or more functions, respectively. However, as described above, other components may be configured in the same manner as it is possible to configure the communication unit 210 separately from the communication unit performing the operation of receiving the service request message and the communication unit performing the operation of forwarding the service request message. You should know that it can be configured as.

도 3은 본 발명의 일 실시예에 따른 위치를 기반으로 서비스 접근을 제어하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of controlling service access based on a location according to an embodiment of the present invention.

도 3의 각 단계는 도 1 및 도 2를 참조하여 설명한 웹 서비스 시스템에 의해 구현될 수 있다.Each step of FIG. 3 may be implemented by the web service system described with reference to FIGS. 1 and 2.

위치 추적 장치(100)는 제1테넌트(T1) 및 제2테넌트(T2)의 사용자가 사용하는 사용자 단말기들(11~13, 21, 22)의 위치를 추적하여 수집할 수 있다(S310).The location tracking apparatus 100 may track and collect the locations of the user terminals 11 to 13, 21, and 22 used by the users of the first tenant T1 and the second tenant T2 (S310).

위치 추적 장치(100)는 추적된 각 사용자 단말기(11~13, 21, 22)의 위치에 대한 정보를 사용자의 ID 및 사용자가 속하는 제1테넌트(T1)의 ID에 매핑시켜 위치 DB(110)에 저장할 수 있다(S320). S320단계에서, 위치 추적 장치(100)는 추적된 위치를 테넌트 관리자가 설정한 논리적 위치로 변경하여 위치 DB(110)에 저장할 수 있다.The location tracking device 100 maps the information about the location of each tracked user terminal 11 to 13, 21, 22 to the ID of the user and the ID of the first tenant T1 to which the user belongs to the location DB 110. Can be stored in (S320). In operation S320, the location tracking apparatus 100 may change the tracked location into a logical location set by the tenant administrator and store the location in the location DB 110.

사용자 단말기(11)는 사용자의 명령에 의해 서비스 서버(300)에게 서비스의 제공을 요청하는 서비스 요청 메시지를 전송할 수 있다(S330).The user terminal 11 may transmit a service request message for requesting the provision of a service to the service server 300 by a user's command (S330).

서비스 접근 제어 장치(200)는 사용자 단말기(11)로부터 전송된 서비스 요청 메시지의 포워딩을 지연시키고, 서비스 요청 메시지를 서비스 서버(300)로 포워딩하기 이전에 서비스 접근이 가능한지를 결정할 수 있다.The service access control apparatus 200 may delay the forwarding of the service request message transmitted from the user terminal 11, and determine whether the service access is possible before forwarding the service request message to the service server 300.

이를 위하여, 서비스 접근 제어 장치(200)는 사용자 단말기(11)의 서비스 요청 메시지를 모니터링하여, 사용자 단말기(11)의 사용자가 속하는 제1테넌트(T1)의 ID 및 사용자의 ID를 확인할 수 있다(S340).To this end, the service access control apparatus 200 may monitor the service request message of the user terminal 11 and check the ID of the first tenant T1 to which the user of the user terminal 11 belongs and the ID of the user ( S340).

그리고, 서비스 접근 제어 장치(200)는 위치 DB(110)로부터 사용자의 ID에 매핑되어 저장된 위치를 확인하고, 확인된 위치를 사용자의 현재 위치로 정할 수 있다(S350). In addition, the service access control apparatus 200 may check the stored location mapped to the ID of the user from the location DB 110 and determine the checked location as the current location of the user (S350).

사용자의 위치가 확인되면, 서비스 접근 제어 장치(200)는 보안 정책 DB(120)에 저장된 제1테넌트(T1)의 위치 별 보안 정책을 확인할 수 있다(S360). When the location of the user is confirmed, the service access control apparatus 200 may check the security policy for each location of the first tenant T1 stored in the security policy DB 120 (S360).

서비스 접근 제어 장치(200)는 S350단계에서 확인된 사용자의 위치와, S360단계에서 확인된 보안 정책을 비교하고, 비교 결과를 토대로 사용자 단말기(11)가 서비스에 접근가능한지를 결정할 수 있다(S370).The service access control apparatus 200 may compare the location of the user identified in operation S350 with the security policy identified in operation S360, and determine whether the user terminal 11 is accessible to the service based on the comparison result in operation S370. .

사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하지 않으면, 서비스 접근 제어 장치(200)는 사용자 단말기(11)가 서비스에 접근 불가능한 것으로 결정할 수 있다.If the location of the user does not belong to a location capable of receiving the service set in the security policy, the service access control apparatus 200 may determine that the user terminal 11 is inaccessible to the service.

따라서, 서비스 접근 제어 장치(200)는 서비스 요청 메시지의 포워딩을 불허(不許)하고, 서비스 사용이 불가함을 통지하는 메시지를 작성한 후, 작성된 메시지를 사용자 단말기(11)에게 전송할 수 있다(S380).Therefore, the service access control apparatus 200 may disable the forwarding of the service request message, create a message notifying that the service cannot be used, and then transmit the created message to the user terminal 11 (S380). .

반면, S370단계에서, 사용자의 위치가 보안 정책에 설정된 서비스를 제공받을 수 있는 위치에 속하면, 서비스 접근 제어 장치(200)는 사용자 단말기(11)가 서비스에 접근가능한 것으로 결정할 수 있다.In contrast, in operation S370, when the location of the user belongs to a location where the service set in the security policy is provided, the service access control apparatus 200 may determine that the user terminal 11 is accessible to the service.

따라서, 서비스 접근 제어 장치(200)는 서비스 요청 메시지를 서비스 서버(300)로 포워딩할 수 있다(S390).Accordingly, the service access control apparatus 200 may forward the service request message to the service server 300 (S390).

서비스 서버(300)는 사용자 단말기(11)에게 사용가능한 서비스를 제공할 수 있다(S395).The service server 300 may provide a service available to the user terminal 11 (S395).

상술한 본 발명의 실시예에 따르면, 각 테넌트의 관리자는 서비스를 사용하는 각 테넌트의 위치를 기반으로 보안 정책을 세우고, 보안 정책 및 테넌트에 속하는 사용자의 위치에 따라 서비스 접근 권한을 제어할 수 있다. 이로써, 위치에 따른 서비스 이용할 제어함으로써 정보 유출과 같은 문제 발생을 최소화할 수 있다. 특히, 보안에 민감한 특정 서비스는 특정 위치에서만 사용가능하도록 제한함으로써, 서비스 자체에 대한 보안을 강화하고, 서비스에 사용되는 데이터에 대한 보안도 강화할 수 있다. 또한, 강화된 보안을 위하여, 애플리케이션의 로직이나 코드를 직접 수정하지 않고도 일반적인 웹서비스 또는 SaaS 서비스에 쉽게 적용할 수 있다.According to the above-described embodiment of the present invention, the administrator of each tenant may establish a security policy based on the location of each tenant using the service, and control the service access authority according to the security policy and the location of the user belonging to the tenant. . In this way, by controlling the use of the service according to the location it is possible to minimize the occurrence of problems such as information leakage. In particular, by restricting specific services that are sensitive to security, the security of the service itself can be enhanced, and the security of data used for the service can be enhanced. In addition, for enhanced security, it can be easily applied to general web service or SaaS service without directly modifying the logic or code of the application.

또한, 상술한 본 발명의 실시예에 따르면, 사용자의 서비스 요청은 서비스 서버로 포워딩되기 전에 위치 기반의 서비스 접근 제어 장치에서 모니터링된다. 서비스 접근 제어 장치는 서비스 요청 메시지에 포함된 사용자 정보와 테넌트 정보 및 사용자의 현재 위치를 기반으로, 서비스 요청에 대한 허가 여부를 결정할 수 있다. 이 때, 서비스 요청 메시지는 사용자의 위치 정보를 포함하고 있지 않으며, 사용자의 위치 정보는 서비스 요청과 독립적으로 수집된다. 수집된 사용자의 위치 정보는 서비스 요청 메시지가 수신되면, 서비스 접근 제어 장치로 로딩되어, 사용자의 서비스 접근 가능 여부를 판단하는데 사용될 수 있다.In addition, according to the above-described embodiment of the present invention, the service request of the user is monitored in the location-based service access control device before being forwarded to the service server. The service access control device may determine whether to permit the service request based on the user information and tenant information included in the service request message and the current location of the user. At this time, the service request message does not include the location information of the user, the location information of the user is collected independently of the service request. When the service request message is received, the collected location information of the user may be loaded into the service access control device and used to determine whether the user can access the service.

한편, 본 발명의 다른 실시예에 따르면, 보안 정책 DB는 '서비스의 특정 리소스에 사용자 단말기가 접근하는 것을 제한할지에 대한 정책'을 저장할 수 있다. 그리고, 서비스 접근 제어 장치는 사용자 단말기가 요청하는 서비스 및 서비스를 사용하는데 필요한 리소스에 대한 정보를 알고 있다. 저장된 정책에 의해, 사용자의 위치(즉, 사용자 단말기)의 위치를 기반으로, 사용자 단말기가 특정 리소스에 접근가능한 것으로 확인되면, 서비스 접근 제어 장치는 필요한 특정 리소스에 사용자 단말기가 접근하도록 서비스 서버에게 요청할 수 있다. 특정 리소스는 예를 들어, 가상 리소스일 수 있다. Meanwhile, according to another embodiment of the present invention, the security policy DB may store a 'policy on whether to restrict access of a user terminal to a specific resource of a service'. In addition, the service access control apparatus knows information about services requested by the user terminal and resources required to use the service. If the stored policy determines that the user terminal is accessible to a specific resource based on the location of the user's location (i.e., user terminal), the service access control device requests the service server to access the user terminal to the required specific resource. Can be. The particular resource may be a virtual resource, for example.

본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. Methods according to an embodiment of the present invention can be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.

T1: 제1테넌트 T2: 제2테넌트
30: 네트워크 100: 위치 추적 장치
110: 위치 데이터베이스 120: 보안 정책 데이터베이스
200: 서비스 접근 제어 장치 300: 서비스 서버T1: first tenant T2: second tenant
30: network 100: location tracking device
110: Location Database 120: Security Policy Database
200: service access control device 300: service server

Claims (22)

사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 통신부;
상기 통신부에 의해 수신된 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 확인부; 및
상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 결정부; 를 포함하는 위치 기반 서비스 접근 제어 장치.A communication unit receiving a service request message transmitted from a user to a service server providing a multi-tenant service;
A confirmation unit for confirming a tenant to which the user belongs from a service request message received by the communication unit; And
A determining unit determining whether the user can access the service based on the location of the user and the identified tenant; Location-based service access control device comprising a. 제1항에 있어서,
상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 통신부에 의해 상기 서비스 서버로 포워딩되는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 1,
And if the user is determined to be accessible to the service, the service request message is forwarded to the service server by the communication unit. 제2항에 있어서,
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되며,
상기 결정부는 상기 데이터베이스에 저장된 사용자의 위치를 이용하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 2,
The location of the user is mapped to the identification of the user and the tenant to which the user belongs and is stored in real time in a database.
And the determining unit uses the location of the user stored in the database. 제3항에 있어서,
상기 확인부는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며,
상기 결정부는, 상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 3,
The confirmation unit further confirms the ID of the user from the service request message,
The determining unit, the location-based service access control device, characterized in that for determining the location stored in the database mapped to the user ID of the user. 제1항 또는 제2항에 있어서,
상기 결정부는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method according to claim 1 or 2,
And the determining unit determines whether the user can access the service by referring to a security policy set based on tenants and locations. 제5항에 있어서,
상기 결정부는,
상기 사용자의 위치와 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
The determination unit,
Compare the location of the user with the security policy set based on the tenant and location, and, as a result of the comparison, if the user location belongs to a location where the service set in the security policy is provided, the user accesses the service. Location-based service access control device, characterized in that determined to be possible. 제5항에 있어서,
상기 보안 정책은,
특정 위치에 존재하는 사용자가 상기 서비스 서버로의 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
The security policy is,
At least one policy of whether a user existing at a specific location allows or blocks access to the service server, and a policy of restricting access of the user to a specific resource of a service provided by the service server; Location-based service access control device comprising a. 제5항에 있어서,
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 5,
And the security policy is set based on the logical location of the user. 제1항에 있어서,
상기 결정부에 의해, 상기 사용자가 상기 서비스에 접근 불가능한 것으로 결정되면,
상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스 서버로의 접근이 불가함을 알리는 메시지를 상기 사용자에게 전송하도록 상기 통신부를 제어하는 제어부;를 더 포함하는 것을 특징으로 하는, 위치 기반 서비스 접근 제어 장치.The method of claim 1,
If it is determined by the determining unit that the user is inaccessible to the service,
And a controller for disabling forwarding of the service request message and controlling the communication unit to transmit a message indicating that access to the service server is not possible to the user. Access control device. 사용자로부터 멀티 테넌트 서비스를 제공하는 서비스 서버로 전송되는 서비스 요청 메시지를 수신하는 단계;
상기 수신한 서비스 요청 메시지로부터 상기 사용자가 속하는 테넌트(tenant)를 확인하는 단계; 및
상기 사용자의 위치 및 상기 확인된 테넌트를 기반으로 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 단계; 를 포함하는, 위치를 기반으로 서비스 접근을 제어하는 방법.Receiving a service request message transmitted from a user to a service server providing a multi-tenant service;
Confirming a tenant to which the user belongs from the received service request message; And
Determining whether the user is accessible to the service based on the location of the user and the identified tenant; Including, the method of controlling service access based on the location. 제10항에 있어서,
상기 사용자가 상기 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지는 상기 서비스 서버로 포워딩되는 단계;를 더 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
If it is determined that the user is accessible to the service, the service request message is forwarded to the service server. 제10항에 있어서,
상기 사용자의 위치는 상기 사용자의 ID(identification) 및 상기 사용자가 속하는 상기 테넌트에 매핑되어 데이터베이스에 실시간으로 저장되는 단계;를 더 포함하며,
상기 결정하는 단계는 상기 데이터베이스에 저장된 사용자의 위치를 이용하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
The location of the user is mapped to the identification (identification) of the user and the tenant to which the user belongs; and storing in real time in a database;
The determining step uses a location of a user stored in the database. 제12항에 있어서,
상기 확인하는 단계는, 상기 서비스 요청 메시지로부터 상기 사용자의 ID를 더 확인하며,
상기 결정하는 단계는,
상기 데이터베이스에 상기 사용자의 ID에 매핑되어 저장된 위치를 상기 사용자의 위치로 정하는 단계;를 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 12,
The checking may further confirm an ID of the user from the service request message.
The determining step,
Determining a location stored in the database mapped to the user's ID as the user's location. 제10항 또는 제11항에 있어서,
상기 결정하는 단계는, 테넌트 및 위치 기반으로 설정된 보안 정책을 참조하여 상기 사용자가 상기 서비스에 접근가능한지를 결정하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method according to claim 10 or 11, wherein
The determining may include determining whether the user is accessible to the service by referring to a security policy set on a tenant and location basis. 제14항에 있어서,
상기 결정하는 단계는,
상기 사용자의 위치와, 상기 테넌트 및 위치 기반으로 설정된 보안 정책을 비교하는 단계; 및
상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용가 상기 서비스에 접근가능한 것으로 결정하는 단계;를 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
The determining step,
Comparing the location of the user with a security policy set based on the tenant and location; And
And determining that the use is accessible to the service if the user location belongs to a location where the service set in the security policy can be provided. How to control access. 제14항에 있어서,
상기 보안 정책은,
특정 위치에 존재하는 사용자의 서비스 접근을 허용 또는 차단할지에 대한 정책과, 상기 서비스 서버가 제공하는 서비스의 특정 리소스에 상기 사용자가 접근하는 것을 제한할지에 대한 정책 중 적어도 하나의 정책을 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
The security policy is,
A policy of whether to allow or block a user's access to a service existing at a specific location; and a policy of whether to restrict access of the user to a specific resource of a service provided by the service server. Characterized in that a method of controlling service access based on location. 제14항에 있어서,
상기 보안 정책은 상기 사용자의 논리적 위치에 기반하여 설정된 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 14,
Wherein the security policy is set based on a logical location of the user. 제10항에 있어서,
상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하는 단계; 및
상기 사용자에게 상기 서비스로의 접근이 불가함을 알리는 메시지를 전송하는 단계;를 더 포함하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하는 방법.The method of claim 10,
Disabling forwarding of the service request message if the user is determined to be inaccessible to the service; And
And transmitting a message indicating that access to the service is not available to the user. 멀티 테넌트 서비스를 제공하는 서비스 서버;
사용자의 위치를 추적하여 데이터베이스에 업데이트하는 위치 추적 모듈; 및
상기 사용자가 속하는 테넌트(tenant) 및 상기 사용자의 위치를 기반으로, 상기 사용자의 서비스 요청 메시지를 상기 서비스 서버로 포워딩할지를 결정하는 서비스 접근 제어 장치;를 포함하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.A service server for providing a multi-tenant service;
A location tracking module for tracking a location of a user and updating the database; And
And a service access control device for determining whether to forward the service request message of the user to the service server based on the tenant to which the user belongs and the location of the user. System. 제19항에 있어서,
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스 요청 메시지에서 요청하는 서비스에 접근가능한 것으로 결정되면, 상기 서비스 요청 메시지를 상기 서비스 서버로 포워딩하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 19,
The service access control device, if it is determined that the service requested by the user in the service request message is accessible, characterized in that for forwarding the service request message to the service server, to control the service access based on the location System. 제20항에 있어서,
상기 서비스 접근 제어 장치는,
상기 사용자의 위치와 테넌트 기반으로 설정된 보안 정책을 비교하고, 상기 비교 결과, 상기 사용자 위치가 상기 보안 정책에 설정된 상기 서비스를 제공받을 수 있는 위치에 속하면, 상기 사용자가 상기 서비스에 접근가능한 것으로 결정하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 20,
The service access control device,
The security policy set on the tenant basis is compared with the location of the user, and as a result of the comparison, the user is determined to be accessible to the service if the user location belongs to a location where the service is set in the security policy. System for controlling service access based on location. 제19항에 있어서,
상기 서비스 접근 제어 장치는, 상기 사용자가 상기 서비스에 접근불가능한 것으로 결정되면, 상기 서비스 요청 메시지의 포워딩을 불허(不許)하고, 상기 서비스로의 접근이 불가함을 통지하는 메시지를 상기 사용자에게 제공하는 것을 특징으로 하는, 위치를 기반으로 서비스 접근을 제어하기 위한 시스템.The method of claim 19,
The service access control device, if it is determined that the user is inaccessible to the service, disallows forwarding of the service request message, and provides a message for notifying the user that access to the service is impossible. System for controlling service access based on location.
KR1020100073493A 2010-07-29 2010-07-29 Apparatus, method and system for service access control based on user location KR101059058B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100073493A KR101059058B1 (en) 2010-07-29 2010-07-29 Apparatus, method and system for service access control based on user location

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100073493A KR101059058B1 (en) 2010-07-29 2010-07-29 Apparatus, method and system for service access control based on user location

Publications (1)

Publication Number Publication Date
KR101059058B1 true KR101059058B1 (en) 2011-08-24

Family

ID=44933698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100073493A KR101059058B1 (en) 2010-07-29 2010-07-29 Apparatus, method and system for service access control based on user location

Country Status (1)

Country Link
KR (1) KR101059058B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101218409B1 (en) 2012-07-13 2013-01-03 주식회사 엔피코어 System and method for access control
KR101273519B1 (en) * 2011-12-29 2013-06-17 주식회사 시큐아이 Service access control device and method
KR101361243B1 (en) * 2011-11-30 2014-02-12 삼성에스디에스 주식회사 Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system
KR102223990B1 (en) * 2019-11-20 2021-03-08 주식회사 이노그리드 Multi-cloud service system and method based on location by using virtual cloud server
KR102449417B1 (en) * 2022-04-15 2022-10-11 비토플러스 주식회사 Location information-based firewall system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003224884A (en) 2002-01-30 2003-08-08 Canon Inc Communication system, control method thereof, and program
JP2004153736A (en) 2002-11-01 2004-05-27 Hitachi Ltd Access control method for radio terminal and system therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003224884A (en) 2002-01-30 2003-08-08 Canon Inc Communication system, control method thereof, and program
JP2004153736A (en) 2002-11-01 2004-05-27 Hitachi Ltd Access control method for radio terminal and system therefor

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101361243B1 (en) * 2011-11-30 2014-02-12 삼성에스디에스 주식회사 Apparatus and Method for Tenant-aware Security Management in Multi-Tenancy system
KR101273519B1 (en) * 2011-12-29 2013-06-17 주식회사 시큐아이 Service access control device and method
KR101218409B1 (en) 2012-07-13 2013-01-03 주식회사 엔피코어 System and method for access control
KR102223990B1 (en) * 2019-11-20 2021-03-08 주식회사 이노그리드 Multi-cloud service system and method based on location by using virtual cloud server
KR102449417B1 (en) * 2022-04-15 2022-10-11 비토플러스 주식회사 Location information-based firewall system

Similar Documents

Publication Publication Date Title
US9584964B2 (en) Enforcement of proximity based policies
US10244001B2 (en) System, apparatus and method for access control list processing in a constrained environment
US9081942B2 (en) Use of user location information for remote actions
WO2017113351A1 (en) Method and device for writing data, and system
KR101059058B1 (en) Apparatus, method and system for service access control based on user location
US9426120B1 (en) Location and time based mobile app policies
CN110069911B (en) Access control method, device, system, electronic equipment and readable storage medium
CN105635320A (en) Method and equipment for calling configuration information
WO2020198958A1 (en) Techniques involving a security heat map
CN102651746A (en) Point-to-point information transmission method, system and device
US9785791B2 (en) Using a location authorization extension to provide access authorization for a module to access a computing system
CN103905514A (en) Server, terminal device and network data access right management method
US11531716B2 (en) Resource distribution based upon search signals
CN103049707B (en) A kind of interception of the gps data based on Android platform control method
CN106487770B (en) Method for authenticating and authentication device
CN102291239A (en) Remote authentication method, system, agent component and authentication servers
CN107396362A (en) A kind of method and apparatus for being used to carry out user equipment wireless connection pre-authorization
CN108809930B (en) User authority management method and device
KR101272136B1 (en) Method on Postion Based Security of Mobile Device
CN105183799A (en) Authority management method and client
KR20150033368A (en) Method and apparatus for security domain notification in trusted execution environment
CN110351719A (en) A kind of wireless network management method, system and electronic equipment and storage medium
KR20210033229A (en) METHOD AND APPARATUS FOR MANAGING RIGHTS OF IoT DEVICE
US11687627B2 (en) Media transit management in cyberspace
CN105071959A (en) Plug-and-play management method and system based on unified registration of power network devices

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140603

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 9