KR102110815B1 - An access control system with onetime password function for access security - Google Patents

An access control system with onetime password function for access security Download PDF

Info

Publication number
KR102110815B1
KR102110815B1 KR1020190131659A KR20190131659A KR102110815B1 KR 102110815 B1 KR102110815 B1 KR 102110815B1 KR 1020190131659 A KR1020190131659 A KR 1020190131659A KR 20190131659 A KR20190131659 A KR 20190131659A KR 102110815 B1 KR102110815 B1 KR 102110815B1
Authority
KR
South Korea
Prior art keywords
password
server
account
authentication
message
Prior art date
Application number
KR1020190131659A
Other languages
Korean (ko)
Inventor
신호철
김대옥
염창주
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Priority to KR1020190131659A priority Critical patent/KR102110815B1/en
Application granted granted Critical
Publication of KR102110815B1 publication Critical patent/KR102110815B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an access control system with a one-time password (OTP) function for access security which is installed between at least one user terminal and at least one server to relay between the user terminal and the server. The access control system comprises: an OTP generation unit to generate and store a one-time password (OTP) in accordance with a request of the user terminal; a client terminal to perform communication with the user terminal; a server handler to perform communication with the server; an authentication processing unit to relay a message between the client handler and the server handler, authenticate a password of an authentication message if the message is the authentication message, and use a stored account password to perform authentication with the server once the password is successfully authenticated; and a password management unit to manage an account password of the server. New password information is assigned by the system whenever a user accesses the server via access control to block illegal access and prevent a password from being exposed by hacking or user management negligence.

Description

접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템 { An access control system with onetime password function for access security }Access control system with one-time password function for access security {An access control system with onetime password function for access security}

본 발명은 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관의 주요 서버에 접근 시에 사용되는 비밀번호 또는 패스워드(Password)를 일회성으로 사용할 수 있도록 하여, 보안을 강화하는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 관한 것이다.The present invention provides a one-time password function for access security to enhance security by enabling a one-time use of a password or password used to access a main server of an institution using a gateway-based access control technology. It relates to an access control system equipped.

특히, 본 발명은 사용자가 기관의 중요 서버에 접근 시 인증 수단으로 한번 사용된 비밀번호 또는 패스워드(Password)를 폐기하고, 새로운 패스워드를 생성하여 재 사용을 못하게 함으로써, 패스워드가 노출되어도 접근을 통제하여 강력한 보안을 제공할 수 있는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 관한 것이다.Particularly, the present invention allows a user to discard a password or password once used as an authentication means when accessing an important server of an institution, and prevent a new password from being reused, thereby controlling access even when a password is exposed. The present invention relates to an access control system having a one-time password function for access security, which can provide security.

일반적으로, 서버 접근의 보안을 위하여, 서버에 접근이 필요한 사용자에게 계정 정보(ID/Password)를 할당하여 알려주고, 작업을 마친 후 접근 종료 시 할당했던 서버의 계정 패스워드를 변경하거나, 해당 계정 자체를 삭제한다.In general, for the security of server access, it is notified by assigning account information (ID / Password) to users who need access to the server, and after completing the work, change the account password of the server assigned at the end of access, or change the account itself. Delete it.

그런데, 패스워드를 변경하는 경우, 각 서버 또는 운영체제(OS) 별로 계정 보안 정책에 따라 패스워드 최소 사용기간, 최대 사용기간, 만료 기간 등이 설정된다[특허문헌 1]. 특히, 패스워드 최소 사용기간은 패스워드 변경 후 최소 n일 동안 해당 패스워드를 유지해야 하는 기간을 말한다. 따라서 패스워드 최소 사용기간이 지나기 전까지는 패스워드 변경 기간이 도래하지 않는다. 즉, 이 기간 동안 패스워드를 변경할 수 없는 문제가 발생한다. 특히, "루트(root)"와 같은 특권 계정인 경우, 해당 계정 자체를 삭제할 수 없다.However, in case of changing the password, the password minimum usage period, maximum usage period, expiration period, etc. are set according to the account security policy for each server or OS (Patent Document 1). In particular, the minimum password usage period refers to a period in which the password must be maintained for at least n days after the password is changed. Therefore, the password change period does not arrive until the minimum password usage period has passed. That is, a problem occurs in that the password cannot be changed during this period. In particular, in the case of a privileged account such as "root", the account itself cannot be deleted.

따라서 이 기간 동안 패스워드가 노출되더라도 패스워드를 변경할 수 없고, 패스워드 정보가 노출되는 경우를 대비하여 표준화된 패스워드 보안 정책을 수립할 수 없는 문제점이 있다.Therefore, even if the password is exposed during this period, the password cannot be changed, and there is a problem in that a standardized password security policy cannot be established in case the password information is exposed.

구체적으로 살펴보면, 도 1은 서버 또는 운영체제(OS)의 패스워드 보안 정책을 예시하고 있다. 이러한 보안 정책은 서버 또는 운영체제(OS) 종류에 따라 상이할 수 있다.Specifically, FIG. 1 illustrates a password security policy of a server or an operating system (OS). This security policy may be different depending on the type of server or operating system (OS).

도 1에서 보는 바와 같이, "PASS_MAX_DAYS"는 패스워드 최대 사용일을 나타내고, "PASS_MIN_DAYS"는 패스워드 최소 사용일을 나타낸다. 또한, "PASS_MIN_LEN"는 패스워드 최소 글자 수, 즉 패스워드의 길이를 나타내고, "PASS_WARN_AGE"는 패스워드 만료 경고 기간을 나타낸다.As shown in FIG. 1, "PASS_MAX_DAYS" represents the maximum password use date, and "PASS_MIN_DAYS" represents the password minimum use date. In addition, "PASS_MIN_LEN" represents the minimum number of characters of the password, that is, the length of the password, and "PASS_WARN_AGE" represents the password expiration warning period.

하나의 기관에는 다수의 서버가 존재하며, 각 서버 별 패스워드 보안 정책이 상이하게 설정되어 있는 경우가 대부분이다. 또한, 보안 정책을 하나로 표준화된 정책으로 수립할 수 있다. 이 경우, 설정을 변경하면, 서버 종류에 따라 서비스를 종료하고 서버 재부팅 작업이 필요하다. 그러나, 운영중인 서비스를 종료하는 것이 현실적으로 매우 어려운 상황이다.There are many servers in one institution, and password security policies for each server are often set differently. In addition, the security policy can be established as a standardized policy. In this case, if you change the settings, depending on the type of server, you need to terminate the service and reboot the server. However, it is realistically very difficult to terminate the service in operation.

또한, 패스워드 최소 사용일은 다음과 같은 이유로 설정되어야 한다. 즉, 패스워드 최소 사용기간을 설정하지 않으면, 관리자 혹은 사용자는 자신에게 익숙한 패스워드로 용이하게 변경할 수 있다. 즉, 익숙한 패스워드를 재 사용함으로써 패스워드의 정기적인 변경이 무의미해질 수 있다. 따라서 최소 사용기간이 1일~1주로 설정되도록 권장된다.In addition, the minimum password use date should be set for the following reasons. That is, if the minimum password usage period is not set, the administrator or the user can easily change the password with a password familiar to him. That is, the regular change of the password may become meaningless by reusing the familiar password. Therefore, it is recommended that the minimum period of use be set from 1 day to 1 week.

그런데, 상기와 같이 패스워드 최소 사용일이 설정되면, 변경해야 함에도 일회성 패스워드 변경이 불가한 사례가 발생할 수 있다. 즉, S 금융사의 경우 고객 정보가 적재된 서버의 정기 PM(Prevention Maintenance) 작업을 위해 외부 협력사 엔지니어에게 루트(root)에 대한 패스워드 정보를 전달한다. 이때, 내부 관리자는 작업을 마치고 보안을 위해 외부 협력사 직원에게 노출된 패스워드를 변경해야 한다. 그런데, 대상 서버의 루트(root) 계정의 패스워드가 변경된 기간이 패스워드 최소 사용기간(PASS_MIN_DAYS) 정책보다 작으면, 해당 패스워드는 변경될 수 없다.However, when the password minimum use date is set as described above, there may be a case in which a one-time password change is impossible even though it has to be changed. That is, in the case of S financial company, the password information for the root is transmitted to an external partner engineer for regular PM (Prevention Maintenance) work of the server loaded with the customer information. At this time, the internal manager must finish the work and change the password exposed to employees of external partners for security. However, if the password change period of the root account of the target server is smaller than the password minimum use period (PASS_MIN_DAYS) policy, the corresponding password cannot be changed.

한국등록특허 제10-1475981호(2014.12.23.공고)Korean Registered Patent No. 10-1475981 (announced on December 23, 2014)

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관의 주요 서버에 접근 시에 사용되는 비밀번호 또는 패스워드(Password)를 일회성으로 사용하는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템을 제공하는 것이다.The object of the present invention is to solve the problems as described above, using a gateway-based access control technology, access security using a password or password (Password) used to access the main server of the institution, one-time access security It is to provide an access control system with a one-time password function for.

즉, 본 발명의 목적은 일회성 비밀번호 기능을 적용하여, 서버에 설정된 계정 보안 정책과 무관하게 사용자에게 노출된 패스워드(Password)를 접근 시마다 변경하되, 사용자가 접근통제를 경유하여 서버에 접근 시 마다 새로운 패스워드(Password) 정보를 부여하는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템을 제공하는 것이다.That is, the object of the present invention is to apply the one-time password function, and change the password (Password) exposed to the user every time regardless of the account security policy set on the server, but when the user accesses the server via access control, It is to provide an access control system having a one-time password function for access security, which provides password information.

상기 목적을 달성하기 위해 본 발명은 적어도 하나의 사용자 단말과 적어도 1개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 관한 것으로서, 상기 사용자 단말의 요청에 따라 일회용 비밀번호(OTP)를 생성하여 저장하는 OTP 생성부; 상기 사용자 단말과 통신을 수행하는 클라이언트 핸들러; 상기 서버와 통신을 수행하는 서버 핸들러; 상기 클라이언트 핸들러와 상기 서버 핸들러 사이에서 메시지를 중계하되, 메시지가 인증 메시지이면, 인증 메시지의 비밀번호를 인증하고, 인증에 성공하면 저장된 계정 비밀번호를 이용하여 상기 서버와의 인증을 대행하는 인증 처리부;, 및, 상기 서버의 계정 비밀번호를 관리하는 패스워드 관리부를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention relates to an access control system having a one-time password function for access security, installed between at least one user terminal and at least one server, relaying between the user terminal and the server. As an OTP generating unit for generating and storing a one-time password (OTP) at the request of the user terminal; A client handler that communicates with the user terminal; A server handler that communicates with the server; An authentication processing unit that relays a message between the client handler and the server handler, and if the message is an authentication message, authenticates the password of the authentication message and, upon successful authentication, authenticates the server using the stored account password; And, characterized in that it comprises a password management unit for managing the account password of the server.

또, 본 발명은 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서, 상기 OTP 생성부는 상기 일회용 비밀번호에 대해 유효 기간이 경과하면 해당 일회용 비밀번호를 폐기하고, 사용 횟수에 의해 만료되도록 설정하면 유효 기간이 도래하지 않더라도 해당 일회용 비밀번호를 폐기하는 것을 특징으로 한다.In addition, in the present invention, in the access control system having a one-time password function for access security, the OTP generation unit discards the one-time password when the validity period of the one-time password has elapsed and sets it to expire by the number of uses. It is characterized in that the corresponding one-time password is discarded even if the expiration date does not arrive.

또, 본 발명은 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서, 상기 인증 처리부는 상기 클라이언트 핸들러로부터 수신되는 메시지를 필터링하여 인증 메시지 여부를 검출하고, 검출된 인증 메시지에서 서비스 계정 및 비밀번호(이하 입력 비밀번호)를 추출하고, 추출한 서비스 계정으로, 저장된 일회용 비밀번호 정보를 검색하고, 검색된 일회용 비밀번호와 상기 입력 비밀번호의 매칭 여부를 판단하여 인증을 수행하는 것을 특징으로 한다.In addition, the present invention, in the access control system with a one-time password function for access security, the authentication processing unit detects whether or not the authentication message by filtering the message received from the client handler, the service account and the detected authentication message It is characterized by extracting a password (hereinafter referred to as an input password), retrieving stored one-time password information with the extracted service account, and performing authentication by determining whether the retrieved one-time password matches the input password.

또, 본 발명은 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서, 상기 인증 처리부는 인증 프로토콜에 따라, 상기 서버 핸들러를 통해 상기 서버와의 인증 과정을 수행하되, 인증을 위한 서비스 계정과 비밀번호로서, 각각 추출된 서비스 계정과 계정 비밀번호를 이용하고, 비밀번호를 전달하는 메시지 내에, 검색된 계정 비밀번호를 입력하여, 해당 메시지를 상기 서버 핸들러로 전송하는 것을 특징으로 한다.In addition, the present invention, in the access control system having a one-time password function for access security, the authentication processing unit performs an authentication process with the server through the server handler, according to an authentication protocol, a service account for authentication And a password, respectively, using the extracted service account and account password, and entering the retrieved account password in a message for passing the password, and transmitting the corresponding message to the server handler.

또, 본 발명은 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서, 상기 패스워드 관리부는 서비스 계정 및 계정 비밀번호를 사전에 설정되어 저장하고, 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경하는 것을 특징으로 한다.In addition, the present invention in the access control system with a one-time password function for access security, the password management unit stores and stores the service account and account password in advance, periodically or specific events according to the preset security policy It is characterized by changing the account password according to.

또, 본 발명은 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서, 상기 패스워드 관리부는 상기 서버 핸들러를 통해 상기 서버에 접근하고, 저장된 서비스 계정과 계정 비밀번호를 이용하여 상기 서버에 접속하고, 새로운 계정 비밀번호를 생성하여 새로운 계정 비밀번호로 상기 서버에 계정 비밀번호 변경을 요청하고, 해당 서비스 계정의 계정 비밀번호를 새로운 계정 비밀번호로 갱신하는 것을 특징으로 한다.In addition, the present invention in the access control system having a one-time password function for access security, the password management unit accesses the server through the server handler, and accesses the server using the stored service account and account password , Requesting to change the account password to the server with a new account password by creating a new account password, and updating the account password of the corresponding service account with the new account password.

상술한 바와 같이, 본 발명에 따른 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 의하면, 사용자가 접근통제를 경유하여 서버에 접근 시 마다 새로운 패스워드(Password) 정보를 부여함으로써, 불법 접근을 차단하고, 해킹이나 사용자 관리 소홀로 인하여 패스워드가 노출되는 것을 방지할 수 있는 효과가 얻어진다.As described above, according to the access control system having a one-time password function for access security according to the present invention, illegal access is prevented by granting new password information every time the user accesses the server via the access control. The effect of blocking and preventing passwords from being exposed due to hacking or neglecting user management is obtained.

도 1은 종래기술에 따른 운영체제(OS)의 패스워드 보안 정책을 예시한 도면.
도 2는 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 3은 본 발명의 일실시예에 따른 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템의 구성에 대한 블록도.
도 4는 본 발명에 따른 일회용 비밀번호 정보를 나타낸 예시 표.
도 5는 본 발명의 일실시예에 따른 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 의한 서버 접속 방법을 설명하는 흐름도.1 is a diagram illustrating a password security policy of an operating system (OS) according to the prior art.
2 is a block diagram of an entire system for carrying out the present invention.
Figure 3 is a block diagram of the configuration of an access control system with a one-time password function for access security according to an embodiment of the present invention.
4 is an exemplary table showing one-time password information according to the present invention.
5 is a flowchart illustrating a server access method by an access control system having a one-time password function for access security according to an embodiment of the present invention.

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.Hereinafter, specific contents for carrying out the present invention will be described in accordance with the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.In the description of the present invention, the same parts are denoted by the same reference numerals, and repeated explanation is omitted.

먼저, 본 발명을 실시하기 위한 전체 시스템의 구성에 대하여 도 2를 참조하여 설명한다.First, the configuration of the entire system for carrying out the present invention will be described with reference to FIG. 2.

도 2에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 적어도 하나의 서버(40), 및, 서버(40)의 접근을 통제하는 접근통제 게이트웨이(30)로 구성된다. 또한, 사용자 단말(10)과 접근통제 게이트웨이(30)는 네트워크(미도시)를 통해 연결된다. 또한, 관리자가 사용하는 관리자 단말(20), 또는, 접근통제 게이트웨이(30)는 데이터를 저장하기 위한 데이터베이스(80)를 더 포함하여 구성될 수 있다.2, the entire system for implementing the present invention is composed of a user terminal 10, at least one server 40, and an access control gateway 30 that controls access to the server 40. . In addition, the user terminal 10 and the access control gateway 30 are connected through a network (not shown). In addition, the administrator terminal 20 used by the administrator, or the access control gateway 30 may further include a database 80 for storing data.

사용자 단말(10)은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC, 스마트폰, 패블릿 등이다. 또한, 사용자 단말(10)은 네트워크(미도시)를 통해 서버(40) 또는 접근통제 게이트웨이(30)에 연결할 수 있는 네트워크 기능을 보유한다. 또한, 사용자 단말(10)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다.The user terminal 10 is a computing terminal used by a user, and is a PC, laptop, tablet PC, smartphone, phablet, and the like. In addition, the user terminal 10 has a network function that can connect to the server 40 or the access control gateway 30 through a network (not shown). In addition, the user terminal 10 may be executed by installing a program system such as an application.

또한, 사용자 단말(10)에는 통신 어플리케이션(미도시)이 설치되어, 통신 어플리케이션을 통해 서버(40)에 접속하여 통신 작업이 수행될 수 있다. 통신 어플리케이션(미도시)은 사용자가 서버(40)에 원격 접근하기 위한 다양한 터미널 툴로서, 통신 프로토콜을 통해 서버(40)에 접속하고 통신을 수행한다. 예를들어, 통신 어플리케이션은 원격접속 프로토콜인 텔넷(TELNET) 또는 파일 전송을 위한 FTP(File Transfer Protocol), SSH(secure shell)의 프로토콜 등에 의한 쉘(Shell)을 통해 작업을 수행한다. 한편, 통신 어플리케이션은 실제로 접근통제 게이트웨이(30)를 통해 서버(40)에 접속한다.In addition, a communication application (not shown) is installed in the user terminal 10, and a communication operation may be performed by accessing the server 40 through the communication application. A communication application (not shown) is a variety of terminal tools for a user to remotely access the server 40, and accesses the server 40 through a communication protocol and performs communication. For example, a communication application performs a task through a shell using a remote access protocol, such as Telnet (TELNET) or File Transfer Protocol (FTP) for file transfer, and a secure shell (SSH) protocol. Meanwhile, the communication application actually accesses the server 40 through the access control gateway 30.

사용자 단말(10)이 서버(40)에 접근한다는 것은 실제로, 사용자 단말(10)에 설치되는 통신 어플리케이션을 통해 서버(40)에 접근하는 것이다. 그러나 이하에서 설명의 편의를 위하여, 사용자 단말(10)이 서버에 접근하는 것으로 설명한다.The fact that the user terminal 10 approaches the server 40 is actually accessing the server 40 through a communication application installed in the user terminal 10. However, for convenience of description, it will be described below that the user terminal 10 accesses the server.

한편, 사용자 단말(10)은 일회용 비밀번호를 이용하여 사용자 인증을 수행한 후, 서버(40)에 접근한다. 구체적으로, 사용자 단말(10)은 접근통제 게이트웨이(30)에 일회용 비밀번호(onetime password, OTP)를 요청하여 발급받고, 발급받은 일회용 비밀번호로 서버(40)의 사용자 인증을 수행한다. 이때, 사용자 인증은 사용자 아이디(또는 접속 아이디, 서비스 아이디)와, 일회용 비밀번호에 의해 수행된다.Meanwhile, the user terminal 10 accesses the server 40 after performing user authentication using a one-time password. Specifically, the user terminal 10 requests and issues a one-time password (OTP) to the access control gateway 30 and performs user authentication of the server 40 with the issued one-time password. At this time, the user authentication is performed by a user ID (or access ID, service ID) and a one-time password.

또한, 다른 실시예로서, 사용자 단말(10)은 일회용 비밀번호를 접근통제 게이트웨이(30)로부터 직접 발급받지 않고, 관리자 단말(20)을 통해 간접적으로 발급받을 수 있다. 즉, 사용자 단말(10)이 관리자 단말(20)에 발급 요청을 하고, 관리자 단말(20)이 발급 받은 일회용 비밀번호를 수신할 수 있다. 이때, 사용자 단말(10)과 관리자 단말(20)은 직접 통신하거나, 접근통제 게이트웨이(30)를 통해 통신을 수행할 수 있다.In addition, as another embodiment, the user terminal 10 may be issued indirectly through the administrator terminal 20 without receiving the one-time password directly from the access control gateway 30. That is, the user terminal 10 may request the issuance of the administrator terminal 20 and receive the one-time password issued by the administrator terminal 20. At this time, the user terminal 10 and the administrator terminal 20 may communicate directly or through the access control gateway 30.

또한, 사용자 단말(10)은 관리자 또는 관리자 단말(20)에 서비스 계정을 요청하면, 관리자 단말(20)이 서비스 계정을 선정하고, 선정된 서비스 계정에 대한 일회용 비밀번호를 접근통제 게이트웨이(30)에 발급 요청할 수 있다. 이때, 일회용 비밀번호가 발급되면, 선정된 서비스 계정 및, 발급된 일회용 비밀번호가 사용자 단말(10)로 전송된다.In addition, when the user terminal 10 requests a service account from the administrator or the administrator terminal 20, the administrator terminal 20 selects a service account, and provides a one-time password for the selected service account to the access control gateway 30. Can be issued. At this time, when a one-time password is issued, the selected service account and the issued one-time password are transmitted to the user terminal 10.

다음으로, 관리자 단말(20)은 관리자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC, 스마트폰 등이다. 또한, 관리자 단말(20)은 네트워크(미도시)를 통해 접근통제 게이트웨이(30)에 연결한다. 또한, 바람직하게는, 관리자 단말(20)은 사용자 단말(10)과 직접 통신을 수행하거나, 접근통제 게이트웨이(30)를 통해 통신을 수행할 수 있다.Next, the administrator terminal 20 is a computing terminal used by the administrator, and is a PC, a laptop, a tablet PC, a smartphone, and the like. In addition, the manager terminal 20 connects to the access control gateway 30 through a network (not shown). In addition, preferably, the administrator terminal 20 may perform direct communication with the user terminal 10 or may perform communication through the access control gateway 30.

일실시예로서, 관리자 단말(20)은 접근통제 게이트(30)의 일회용 비밀번호 승인 요청에 대하여, 승인 또는 불승인을 결정하여 회신한다.In one embodiment, the administrator terminal 20 responds to the request for the one-time password approval of the access control gate 30 by determining approval or disapproval.

다른 실시예로서, 관리자 단말(20)은 사용자 또는 사용자 단말(10)의 일회용 비밀번호 발급 요청에 따라, 일회용 비밀번호의 발급을 접근통제 게이트웨이(30)에 요청한다. 발급된 일회용 비밀번호는 관리자 단말(20)을 거치거나, 접근통제 게이트웨이(30)에서 직접 사용자 단말(10)로 전송된다.In another embodiment, the administrator terminal 20 requests the issuance of the one-time password to the access control gateway 30 according to the user or the user terminal 10's request for the one-time password issuance. The issued one-time password is transmitted through the administrator terminal 20 or directly from the access control gateway 30 to the user terminal 10.

또한, 사용자 단말(10)이 서버(40)의 접근을 요청하면, 관리자 단말(20)이 허용가능한 서비스 계정을 선정하고, 선정된 서비스 계정의 일회용 비밀번호를 접근통제 게이트웨이(30)에 요청할 수 있다.In addition, when the user terminal 10 requests access to the server 40, the administrator terminal 20 may select an allowable service account, and request the access control gateway 30 for a one-time password for the selected service account. .

다음으로, 서버(40)는 적어도 1개가 설치된다. 즉, 서버(40)는 다수 개가 설치될 수 있다.Next, at least one server 40 is installed. That is, a plurality of servers 40 may be installed.

각 서버(40)는 사용자 단말(10)로부터 네트워크(미도시)를 통해 접속 요청을 받고, 요청에 따라 접속을 허용하여 통신을 수행시켜준다. 이때, 바람직하게는, 서버(40)는 통신 프로토콜을 통해 사용자 단말(10)과 통신을 수행한다.Each server 40 receives a connection request from the user terminal 10 through a network (not shown), and permits connection according to the request to perform communication. At this time, preferably, the server 40 communicates with the user terminal 10 through a communication protocol.

또한, 서버(40)는 통신 프로토콜을 이용하여, 사용자 단말(10)로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 사용자 단말(10)에 전송한다. 이때, 사용자 단말(10)과, 서버(40) 사이에는 세션이 형성되고, 세션 내에서 접속 요청 또는 메시지, 결과내용 등이 통신 프로토콜을 통해 데이터 패킷으로 송수신된다.Further, the server 40 receives a message such as a command from the user terminal 10 using a communication protocol, performs a command or request of the corresponding message, and transmits the result (or result message) to the user terminal 10 do. At this time, a session is formed between the user terminal 10 and the server 40, and a connection request or message, result content, etc. are transmitted and received in a data packet through a communication protocol.

한편, 위에서 설명된 서버(40)와 사용자 단말(10)과의 통신은 직접 연결되어 처리되지 않고, 접근통제 게이트웨이(30)을 통해 연결된다. 즉, 사용자 단말(10)의 요청 메시지는 접근통제 게이트웨이(30)을 통해 서버(40)로 전달되고, 또한, 서버(40)의 응답 메시지도 접근통제 게이트웨이(30)을 통해 사용자 단말(10)에 전달된다.Meanwhile, the communication between the server 40 and the user terminal 10 described above is not directly connected and processed, but is connected through the access control gateway 30. That is, the request message of the user terminal 10 is transmitted to the server 40 through the access control gateway 30, and the response message of the server 40 is also transmitted through the access control gateway 30 to the user terminal 10 Is passed on.

한편, 바람직하게는, 서버(40)는 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(10)은 직접 서버(50)에 접근할 수 없고 반드시 접근통제 게이트웨이(30)을 통해서만 서버(40)에 접근할 수 있다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.Meanwhile, preferably, the server 40 may set a control policy such that a firewall is installed and only data (or data packets) received from the access control gate 30 pass through. Therefore, the user terminal 10 cannot directly access the server 50 and can only access the server 40 through the access control gateway 30. If the packet path is transmitted to the server 40 without changing the packet path to the gateway 30, the server access paths other than the gateway, which is the condition for establishing access control, are blocked by the firewall policy blocking all access.

한편, 서버(40)는 사용자의 서버 접속에 대하여, 서비스 계정과 비밀번호를 이용하여 인증(또는 사용자 인증, 서비스 인증)을 수행하고, 사용자 인증이 통과된 경우에만 서버 접속을 허용하고, 서버의 서비스를 제공한다. 서비스 계정은 아이디(또는 사용자 아이디, 접속 아이디, 서비스 아이디)로 식별한다. 이하에서 설명의 편의를 위하여 서비스 계정(또는 서비스 아이디)로 부르기로 한다. 또한, 해당 서비스 계정은 패스워드(password)에 의해 인증된다. 이하에서, 서버(40)의 서비스 계정에 대한 패스워드를 계정 비밀번호라 부르기로 한다.On the other hand, the server 40 performs authentication (or user authentication, service authentication) using the service account and password for the user's server access, and permits server access only when the user authentication has passed, and the service of the server Provides The service account is identified by ID (or user ID, access ID, service ID). Hereinafter, for convenience of description, it will be referred to as a service account (or service ID). In addition, the corresponding service account is authenticated by a password. Hereinafter, the password for the service account of the server 40 will be referred to as an account password.

다음으로, 접근통제 게이트웨이(30)는 사용자 단말(10)과 서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 사용자 단말(10)과 서버(40) 사이를 모니터링하여 중계하거나 차단한다. Next, the access control gateway 30 is a gateway installed on a network (not shown) between the user terminal 10 and the server 40, and monitors and relays between the user terminal 10 and the server 40 or Cut off.

즉, 접근통제 게이트웨이(30)는 사용자 단말(10)로부터 수신되는 메시지(또는 데이터 패킷)를 수신하여 서버(40)에 전달하고, 서버(40)로부터 결과(또는 데이터 패킷)를 수신하여 사용자 단말(10)로 전달한다.That is, the access control gateway 30 receives the message (or data packet) received from the user terminal 10 and delivers it to the server 40, and receives the result (or data packet) from the server 40 to the user terminal. (10).

이때, 접근통제 게이트웨이(30)는 수신되는 메시지를 분석하고, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 즉, 사전에 정해진 보안 정책 또는 접근통제 정책에 따라, 해당 메시지를 서버(40)에 전송하거나 차단하는 등 모니터링하고, 통신 내용을 로그에 기록하고 저장한다.At this time, the access control gateway 30 analyzes the received message, determines whether to block commands, etc. contained in the message, or monitors and stores the communication content. That is, according to a predetermined security policy or access control policy, the corresponding message is monitored, such as being transmitted or blocked, to the server 40, and communication information is recorded and stored in a log.

바람직하게는, 접근통제 게이트웨이(30)는 메시지를 기반으로 사용자 권한별 보안 정책에 따라 인가 여부를 결정하고, 인가된 사용 요청일 경우 실제 서버(40)에 신규로 통신(또는 세션)을 연결하고, 사용자 단말(10)과의 통신을 중계한다. 따라서 접근통제 게이트웨이(30)는 실제 서버(40)에 접근하여 통신을 중계한다.Preferably, the access control gateway 30 determines whether to authorize according to the security policy for each user authority based on the message, and if it is an authorized use request, newly connects communication (or session) to the real server 40 and , Relays communication with the user terminal 10. Therefore, the access control gateway 30 relays communication by accessing the real server 40.

특히, 이때, 접근통제 게이트웨이(30)는 서버(40)에 접속하여, 서버(40)와의 사이에서 세션(이하 서버용 세션)을 형성한다. 또한, 접근통제 게이트웨이(30)는 사용자 단말(10)과의 사이에서 세션(이하 클라이언트용 세션)을 형성한다. 그리고 클라이언트용 세션과 서버용 세션 사이를 중계한다.In particular, at this time, the access control gateway 30 connects to the server 40 and forms a session (hereinafter, a server session) with the server 40. In addition, the access control gateway 30 forms a session (hereinafter, a client session) with the user terminal 10. And it relays between the client session and the server session.

또한, 접근통제 게이트웨이(30)는 사용자 단말(10)과 서버(40) 간의 중계 이력을 기록한다. 중계 이력은 게이트웨이(30)로 접근한 사용자 단말의 접속 정보(IP주소 및 포트번호), 중계를 위한 서버(40)에 접근한 서버의 접속 정보(IP주소 및 포트번호), 서버(40)가 제공한 서비스의 프로세스 아이디(PID) 등으로 구성된다.In addition, the access control gateway 30 records the relay history between the user terminal 10 and the server 40. The relay history includes access information (IP address and port number) of the user terminal accessing the gateway 30, access information (IP address and port number) of the server accessing the server 40 for relaying, and the server 40. It consists of the process ID (PID) of the service provided.

또한, 접근통제 게이트웨이(30)는 사용자 단말(10) 또는 관리자 단말(20)의 발급 요청에 따라 일회용 비밀번호(Onetime Password)를 발급하여 생성하고, 발급된 일회용 비밀번호를 사용자 단말(10) 또는 관리자 단말(20)로 전송한다. 이때, 접근통제 게이트웨이(30)는 요청과 함께 서비스 계정을 수신한다.In addition, the access control gateway 30 is issued by generating a one-time password (Onetime Password) according to the request issued by the user terminal 10 or the administrator terminal 20, the issued one-time password to the user terminal 10 or the administrator terminal (20). At this time, the access control gateway 30 receives the service account along with the request.

또한, 바람직하게는, 접근통제 게이트웨이(30)는 서버(40)에 대한 접근 요청을 받고(서버만 지정되고 서비스 계정이 정해지지 않은 경우), 허용가능한 서비스 계정을 선정하고, 선정된 서비스 계정에 대한 일회용 비밀번호를 발급할 수 있다.In addition, preferably, the access control gateway 30 receives an access request to the server 40 (when only the server is designated and the service account is not determined), selects an allowable service account, and selects the service account for the selected service account. One-time passwords can be issued.

또한, 접근통제 게이트웨이(30)는 일회용 비밀번호의 발급 요청에 대하여, 관리자 단말(20)에 승인을 요청하고, 승인을 수신하면 일회용 비밀번호를 발급한다. 발급된 일회용 비밀번호는 저장된다. 이때, 일회용 비밀번호는 서비스 계정에 의해 식별될 수 있도록, 서비스 계정에 매핑되어 저장된다.In addition, the access control gateway 30 requests an authorization to the administrator terminal 20 with respect to the request for issuing a one-time password, and upon receiving the approval, issues the one-time password. The issued one-time password is stored. At this time, the one-time password is stored and mapped to the service account so that it can be identified by the service account.

또한, 접근통제 게이트웨이(30)는 서버(40)에 접속하기 위한 사용자 또는 서비스 계정의 인증정보(아이디와 패스워드)를 등록하여 관리한다. 서버의 서비스 계정은 아이디로 식별하고, 해당 계정은 패스워드(또는 계정 비밀번호)에 의해 인증된다.In addition, the access control gateway 30 registers and manages authentication information (ID and password) of a user or service account for accessing the server 40. The service account of the server is identified by an ID, and the corresponding account is authenticated by a password (or account password).

또한, 접근통제 게이트웨이(30)는 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경한다. 즉, 접근통제 게이트웨이(30)는 서비스 인증정보(또는 사용자 인증정보)로 저장된 사용자 계정과 계정 비밀번호를 이용하여 서버(40)에 접속하고, 새로운 계정 비밀번호를 생성하여 새로운 계정 비밀번호로 서버(40)에 계정 비밀번호의 갱신을 요청한다. 그리고 해당 사용자 계정 또는 서비스 계정에서 해당 계정의 계정 비밀번호를 새로운 계정 비밀번호로 갱신한다. 이와 같은 계정 비밀번호를 주기적으로 자동으로 변경하기 때문에, 계정 비밀번호에 대한 보안성을 한층 더 높을 수 있다.Also, the access control gateway 30 changes the account password periodically or according to a specific event. That is, the access control gateway 30 accesses the server 40 using a user account and account password stored as service authentication information (or user authentication information), and generates a new account password to generate a new account password for the server 40 Request to renew your account password. Then, update the account password of the account in the user account or service account with the new account password. Since the account password is automatically changed periodically, the security of the account password can be further enhanced.

또한, 접근통제 게이트웨이(30)는 사용자 단말(10)과 서버(40) 사이에서 메시지를 중계하되, 서버(40)에 대한 인증 메시지이면 사용자 단말(10)에서 입력된 비밀번호(또는 입력 비밀번호)를 인증하고, 인증 후에 서버(40)의 사용자 인증을 대신 수행해준다.In addition, the access control gateway 30 relays a message between the user terminal 10 and the server 40, but if the authentication message for the server 40, the password (or input password) input from the user terminal 10 After authentication, user authentication of the server 40 is performed after authentication.

인증 메시지는 서버(40)의 서비스 계정에 대한 인증을 하기 위한 메시지이다. 접근통제 게이트웨이(30)는 사용자 단말(10)로부터 전달받아 중계할 메시지가 인증 메시지이면, 인증 메시지의 서비스 계정 및 입력 비밀번호를 추출하고, 추출된 서비스 계정 및 입력 비밀번호를, 저장된 일회용 비밀번호와 비교하여 인증한다. 저장된 일회용 비밀번호를 찾을 때, 서비스 계정으로 검색한다.The authentication message is a message for authenticating the service account of the server 40. When the message to be relayed is the authentication message received from the user terminal 10, the access control gateway 30 extracts the service account and input password of the authentication message, and compares the extracted service account and input password with the stored one-time password. To authenticate. When searching for a stored one-time password, search by service account.

그리고 일회용 비밀번호에 의해 인증되면, 접근통제 게이트웨이(30)는 저장된 계정 비밀번호를 이용하여, 서버(40)의 사용자 인증을 대행한다. 즉, 해당 서비스 계정과, 해당 서비스 계정에 대한 계정 비밀번호를 서버(40)에 전달한다. 이때, 접근통제 게이트웨이(30)는 서버(40)와의 사용자 인증(또는 서비스 계정 인증) 과정을 수행하되, 입력 비밀번호(또는 일회용 비밀번호) 대신 계정 비밀번호를 이용하여 인증 과정을 수행한다.Then, when authenticated by a one-time password, the access control gateway 30 performs user authentication of the server 40 using the stored account password. That is, the service account and the account password for the service account are transmitted to the server 40. At this time, the access control gateway 30 performs a user authentication (or service account authentication) process with the server 40, but performs an authentication process using an account password instead of an input password (or a one-time password).

다음으로, 데이터베이스(80)는 생성된 일회용 비밀번호를 저장하는 OTP인증DB(81), 서버의 서비스 계정 및 계정 비밀번호를 저장하는 계정인증DB(82), 로그를 기록하여 저장하는 로그DB(83) 등으로 이루어진다. 그러나 데이터베이스(80)의 구성은 바람직한 일실시예일 뿐이며, 구체적인 장치를 개발하는데 있어서, 접근 및 검색의 용이성 및 효율성 등을 감안하여 데이터베이스 구축이론에 의하여 다른 구조로 구성될 수 있다.Next, the database 80 includes the OTP authentication DB 81 that stores the generated one-time password, the account authentication DB 82 that stores the service account and account password of the server, and the log DB 83 that records and stores the log. Etc. However, the configuration of the database 80 is only a preferred embodiment, and in developing a specific device, it may be configured in a different structure according to a database construction theory in consideration of the ease and efficiency of access and search.

다음으로, 본 발명의 일실시예에 따른 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템(30)의 세부 구성에 대하여 도 3을 참조하여 설명한다.Next, a detailed configuration of the access control system 30 with a one-time password function for access security according to an embodiment of the present invention will be described with reference to FIG. 3.

본 발명에 따른 접근통제 시스템(30)은 앞서 설명한 접근통제 게이트웨이로 구현될 수 있다. 이하에서 접근통제 시스템의 도면부호를 접근통제 게이트웨이와 동일한 도면 부호로 사용한다.The access control system 30 according to the present invention may be implemented as the access control gateway described above. Hereinafter, reference numerals of the access control system are used as the same reference numerals as the access control gateway.

도 3에서 보는 바와 같이, 본 발명의 일실시예에 따른 접근통제 시스템(30)은 일회용 비밀번호(OTP)를 생성하는 OTP 생성부(31), 사용자 단말(10)과 통신을 수행하는 클라이언트 핸들러(32), 서버(40)와 통신을 수행하는 서버 핸들러(33), 사용자 인증(또는 서비스 인증)을 수행하는 인증 처리부(34), 및, 서버의 계정 비밀번호를 관리하는 패스워드 관리부(35)로 구성된다.As shown in FIG. 3, the access control system 30 according to an embodiment of the present invention includes an OTP generation unit 31 for generating a one-time password (OTP), and a client handler for communicating with the user terminal 10 ( 32), a server handler 33 that communicates with the server 40, an authentication processing unit 34 that performs user authentication (or service authentication), and a password management unit 35 that manages the account password of the server. do.

먼저, OTP 생성부(31)는 일회용 비밀번호의 발급을 요청받아, 일회용 비밀번호를 발급하여 전송한다. 즉, OTP 생성부(31)는 사용자 단말(10) 또는 관리자 단말(20)로부터 일회용 비밀번호의 발급을 요청받는다. 이때, 서비스 계정 또는 서비스 계정 정보를 수신한다.First, the OTP generating unit 31 is requested to issue a one-time password, and issues and transmits a one-time password. That is, the OTP generation unit 31 is requested to issue a one-time password from the user terminal 10 or the administrator terminal 20. At this time, the service account or service account information is received.

또한, OTP 생성부(31)는 요청된 일회용 비밀번호를 생성하여 발급한다. 이때, 서비스 계정에 대한 일회용 비밀번호로서 발급한다. 발급된 일회용 비밀번호는 데이터베이스(80) 또는 OTP인증DB(81)에 기록되어 저장된다.In addition, the OTP generating unit 31 generates and issues the requested one-time password. At this time, it is issued as a one-time password for the service account. The issued one-time password is recorded and stored in the database 80 or OTP authentication DB 81.

일회용 비밀번호가 저장되는 형태의 일례가 도 4에 도시되고 있다. 도 4와 같이, 저장되는 일회용 비밀번호 정보는 서비스 계정, 암호화된(해쉬된) 비밀번호, 유효기간(또는 만료기간, 유지기간 등), 로그인 여부를 나타내는 로그인 정보 등으로 구성될 수 있다. 바람직하게는, 도 4와 같이, 일회용 비밀번호 정보는 리스트 형태로 저장된다.An example of a form in which a one-time password is stored is illustrated in FIG. 4. As illustrated in FIG. 4, the stored one-time password information may be configured with a service account, an encrypted (hashed) password, an expiration date (or expiration period, a maintenance period, etc.), login information indicating whether or not to log in. Preferably, as shown in Figure 4, the one-time password information is stored in the form of a list.

즉, 일회용 비밀번호는 서비스 계정에 대한 비밀번호로서 저장된다. 즉, 일회용 비밀번호는 서비스 계정에 의해 식별된다. 또한, 일회용 비밀번호는 통상적인 방식으로, 해쉬함수 등 일방향 함수에 의한 값으로 저장되거나 비교될 수 있다. That is, the one-time password is stored as a password for the service account. That is, the one-time password is identified by the service account. In addition, the one-time password can be stored or compared as a value by a one-way function such as a hash function in a conventional manner.

또한, 유효기간은 일회용 비밀번호가 유지되는 시간 또는 만료되는 시간 등을 나타낸다. 예를 들어, 일회용 비밀번호가 발급된 후 유효 기간이 경과하면, 해당 일회용 비밀번호는 폐기된다.In addition, the validity period indicates a time for which a one-time password is maintained or an expiration time. For example, if the validity period elapses after the one-time password is issued, the corresponding one-time password is discarded.

또한, 일회용 비밀번호에 대한 로그인 여부 또는 사용 여부에 대한 정보도 기록될 수 있다. 예를 들어, 일회용 비밀번호는 사용 횟수에 의해 만료되도록 설정될 수 있다. 즉, 1회 또는 특정 횟수 만큼 로그인으로 사용되면, 유효 기간이 도래되지 않더라도 해당 일회용 비밀번호가 폐기될 수 있다.In addition, information about whether to log in or use a one-time password can also be recorded. For example, the one-time password can be set to expire by the number of uses. That is, if used as a login once or a specific number of times, the corresponding one-time password may be discarded even if the validity period has not been reached.

또한, OTP 생성부(31)는 발급된 일회용 비밀번호를 사용자 단말(10) 또는 관리자 단말(20)로 전송한다.In addition, the OTP generation unit 31 transmits the issued one-time password to the user terminal 10 or the administrator terminal 20.

또한, 바람직하게는, OTP 생성부(31)는 사용자 단말(10)에 의한 일회용 비밀번호의 발급 요청에 대하여, 관리자 단말(20)에 승인을 요청하고, 승인을 수신하면 일회용 비밀번호를 발급할 수 있다.In addition, preferably, the OTP generation unit 31 may request an authorization from the administrator terminal 20 for a request for issuing a one-time password by the user terminal 10, and may issue a one-time password upon receiving the approval. .

다음으로, 클라이언트 핸들러(32)는 사용자 단말(10)로부터 메시지를 수신하여 서버 핸들러(33)로 전달하고, 서버 핸들러(33)로부터 서버(40)의 결과 메시지 등을 수신하여 클라이언트 핸들러(32)로 전달한다. 즉, 클라이언트 핸들러(32)는 사용자 단말(10)과, 서버 핸들러(33) 사이에서 메시지 등 데이터를 중계한다.Next, the client handler 32 receives the message from the user terminal 10 and delivers it to the server handler 33, and receives the result message of the server 40 from the server handler 33, and then the client handler 32 To pass. That is, the client handler 32 relays data such as a message between the user terminal 10 and the server handler 33.

이때, 클라이언트 핸들러(32)와 서버 핸들러(33) 사이에 인증 처리부(34)를 통해 전달(중계)된다. 인증 처리부(34)는 중계되는 메시지에서 인증 메시지를 필터링하여 인증 작업을 수행한다. 이하에서 설명의 편의를 위해, 인증 처리부(34)의 중계 과정을 생략할 수 있다.At this time, it is transferred (relayed) between the client handler 32 and the server handler 33 through the authentication processing unit 34. The authentication processing unit 34 performs authentication by filtering the authentication message from the relayed message. Hereinafter, for convenience of description, the relaying process of the authentication processing unit 34 may be omitted.

바람직하게는, 클라이언트 핸들러(32)는 사용자 단말(10)과 세션(이하 클라이언트용 세션)을 수립하고, 수립된 클라이언트용 세션을 통해 데이터(메시지 등)를 송수신한다. 특히, 클라이언트 핸들러(32)는 통신 프로토콜이 SSH 프로토콜인 경우, SSH 프로토콜에 의한 암호화 세션(또는 SSH 세션, 클라이언트용 세션)을 수립한다.Preferably, the client handler 32 establishes a session (hereinafter referred to as a client session) with the user terminal 10, and transmits and receives data (such as a message) through the established client session. Particularly, when the communication protocol is the SSH protocol, the client handler 32 establishes an encrypted session (or SSH session, a client session) by the SSH protocol.

또한, 클라이언트 핸들러(32)는 사용자 단말(10)로부터 수신한 메시지를 인증 처리부(34)로 전달한다. 전달된 메시지는 인증 처리부(34)에 의해 인증 메시지 인지 여부가 필터링된다.Further, the client handler 32 delivers the message received from the user terminal 10 to the authentication processing unit 34. Whether or not the transmitted message is an authentication message is filtered by the authentication processing unit 34.

특히, 클라이언트 핸들러(32)는 사용자 단말(10)로부터 수신한 메시지가 인증 메시지인 경우, 인증 결과에 대한 메시지를 서버(40)로부터 전송된 메시지를 받지 않고, 인증 처리부(34)에 의해 생성된 메시지를 받아 사용자 단말(10)로 전송한다. 즉, 사용자 단말(10)과의 인증 작업은 서버(40)에 의해 수행되지 않고, 인증 처리부(34)에 의해 수행된다.In particular, when the message received from the user terminal 10 is an authentication message, the client handler 32 does not receive a message transmitted from the server 40 for a message regarding the authentication result, and is generated by the authentication processing unit 34. It receives the message and transmits it to the user terminal 10. That is, the authentication operation with the user terminal 10 is not performed by the server 40, but is performed by the authentication processing unit 34.

다음으로, 서버 핸들러(33)는 클라이언트 핸들러(32)와 형성된 세션(또는 클라이언트용 세션)에 대응되는 세션(이하 서버용 세션)을 서버(40)와 형성한다. 즉, 클라이언트용 세션과 서버용 세션은 사용자 단말(10)과 서버(40) 사이를 중계하기 위한 세션들이다. 특히, 서버 핸들러(33)는 통신 프로토콜이 SSH 프로토콜인 경우, SSH 프로토콜에 의한 암호화 세션(또는 SSH 세션, 서버용 세션)을 수립한다. 또한, 서버 핸들러(33)는 SSH 인증키를 사전에 저장하고, 저장된 SSH 인증키를 이용하여, 서버(40)와 SSH 세션을 서버용 세션으로 형성할 수 있다. 즉, 클라이언트용 세션과는 다른 SSH 인증키를 사용하여, 보안을 강화할 수 있다.Next, the server handler 33 forms a session (hereinafter, a server session) corresponding to the session (or client session) formed with the client handler 32 with the server 40. That is, the client session and the server session are sessions for relaying between the user terminal 10 and the server 40. In particular, when the communication protocol is the SSH protocol, the server handler 33 establishes an encryption session (or SSH session, a server session) by the SSH protocol. In addition, the server handler 33 may store the SSH authentication key in advance and use the stored SSH authentication key to form an SSH session with the server 40 as a server session. That is, it is possible to enhance security by using a different SSH authentication key from the client session.

또한, 서버 핸들러(33)는 클라이언트 핸들러(32)로부터 메시지를 수신하여, 서버용 세션을 통해 해당 메시지를 서버(40)로 전송한다. 또한, 반대로, 서버 핸들러(33)는 서버(40)로부터 수신한 메시지를 클라이언트 핸들러(32)로 전달한다. 이때, 서버 핸들러(33)와 클라이언트 핸들러(32) 사이에 인증 처리부(34)를 통해 메시지가 전달(중계)된다. 따라서 클라이언트 핸들러(32)와 서버 핸들러(33)에 의해, 사용자 단말(10)과 서버(40) 간에 메시지가 중계된다.In addition, the server handler 33 receives a message from the client handler 32 and transmits the message to the server 40 through a server session. Also, on the contrary, the server handler 33 delivers the message received from the server 40 to the client handler 32. At this time, a message is transmitted (relayed) between the server handler 33 and the client handler 32 through the authentication processing unit 34. Therefore, the message is relayed between the user terminal 10 and the server 40 by the client handler 32 and the server handler 33.

또한, 서버 핸들러(33)는 서버(40)와의 인증 과정(또는 인증 작업, 인증 프로토콜)의 중계를, 인증 처리부(34)와 수행한다. 즉, 서버 핸들러(33)는 서버(40)의 인증 프로토콜에 필요한 메시지들을 인증 처리부(34)로부터 전달받아 서버(40)에 전송하고, 서버(40)로부터 수신한 인증 결과 메시지를 수신하여 인증 처리부(34)로 전달한다.In addition, the server handler 33 relays the authentication process (or authentication operation, authentication protocol) with the server 40 with the authentication processing unit 34. That is, the server handler 33 receives the messages necessary for the authentication protocol of the server 40 from the authentication processing unit 34 and transmits them to the server 40, and receives the authentication result message received from the server 40 to authenticate the authentication processing unit. (34).

또한, 서버 핸들러(33)는 패스워드 관리부(35)의 요청에 따라, 패스워드 관리부(35)와 서버(40) 사이에 메시지를 중계할 수 있다. 즉, 패스워드 관리부(35)는 서버(40)의 서비스 계정에 대한 계정 비밀번호를 변경하는 작업을 수행한다. 따라서 서버 핸들러(33)는 계정 비밀번호를 변경하기 위한 작업 메시지를 중계한다.In addition, the server handler 33 may relay a message between the password management unit 35 and the server 40 at the request of the password management unit 35. That is, the password management unit 35 performs a task of changing the account password for the service account of the server 40. Therefore, the server handler 33 relays the operation message for changing the account password.

다음으로, 인증 처리부(34)는 중계되는 메시지가 서버 또는 서비스 계정에 대한 인증 메시지이면, 인증 메시지의 입력 비밀번호를 추출하여 (저장된 비밀번호와) 맞는지 여부를 인증하고, (입력 비밀번호의 맞는지 여부에 대한) 인증이 통과되면 사용자가 입력한 비밀번호(입력 비밀번호) 대신 실제 서버 계정의 비밀번호(계정 비밀번호)를 이용하여, 서버(40)와의 인증 작업(또는 인증 프로토콜)을 수행한다.Next, the authentication processing unit 34, if the relayed message is an authentication message for a server or a service account, extracts the input password of the authentication message to authenticate whether it matches (with the stored password), and checks whether the input password is correct. ) If authentication is passed, an authentication operation (or authentication protocol) with the server 40 is performed using the password (account password) of the actual server account instead of the password (input password) entered by the user.

즉, 인증 처리부(34)는 클라이언트 핸들러(32)로부터 수신되는 메시지를 필터링하여, 인증 메시지 여부를 검출한다. 인증 메시지는 서버(40)의 서비스 계정에 대한 인증을 하기 위한 메시지로서, 비밀번호 또는 서비스 계정 및 비밀번호를 포함한다.That is, the authentication processing unit 34 filters the message received from the client handler 32 to detect whether or not the authentication message. The authentication message is a message for authenticating the service account of the server 40 and includes a password or a service account and password.

다음으로, 인증 처리부(34)는 인증 메시지에서 서비스 계정 및 비밀번호를 추출한다. 다음으로, 추출한 서비스 계정으로, 저장된 일회용 비밀번호 정보를 검색하고, 검색된 일회용 비밀번호와 추출된 비밀번호(또는 입력 비밀번호)가 매칭되는지를 검사한다. 매칭은 동일 여부로 판단하고, 특히, 해쉬 함수에 의해 암호화된 경우 동일한 해쉬 함수로 암호화 하여 대비한다. 매칭되면 일회용 비밀번호가 인증된 것으로 판단한다.Next, the authentication processing unit 34 extracts the service account and password from the authentication message. Next, with the extracted service account, stored one-time password information is retrieved, and it is checked whether the retrieved one-time password and the extracted password (or input password) match. Matching is judged to be the same, and in particular, when encrypted by a hash function, it is prepared by encrypting with the same hash function. If it matches, it is determined that the one-time password is authenticated.

다음으로, 인증 처리부(34)는 일회용 비밀번호가 인증되면, 추출된 서비스 계정으로, 계정 비밀번호를 검색한다. 그리고 해당 인증 메시지의 입력 비밀번호를 계정 비밀번호로 대체하여, 인증 작업을 수행한다. 계정 비밀번호는 데이터베이스(80) 또는 계정인증DB(82)에 저장된 비밀번호로서, 서비스 계정에 대응되는 계정 비밀번호이다.Next, when the one-time password is authenticated, the authentication processing unit 34 retrieves the account password with the extracted service account. Then, the input password of the corresponding authentication message is replaced with the account password, and authentication is performed. The account password is a password stored in the database 80 or the account authentication DB 82, and is an account password corresponding to the service account.

즉, 인증 처리부(34)는 인증 프로토콜에 따라, 서버 핸들러(33)를 통해 서버(40)와의 인증 과정을 수행하되, 서비스 계정과 비밀번호로서, 각각 추출된 서비스 계정과 계정 비밀번호를 이용한다. 특히, 비밀번호를 전달하는 메시지 내에, 검색된 계정 비밀번호를 입력하여, 해당 메시지를 서버 핸들러(33)로 전송한다.That is, the authentication processing unit 34 performs an authentication process with the server 40 through the server handler 33 according to the authentication protocol, but uses the extracted service account and account password as service accounts and passwords, respectively. In particular, in the message for passing the password, the retrieved account password is input, and the corresponding message is transmitted to the server handler 33.

또한, 인증 처리부(34)는 특정 서비스 계정에 대하여, 일정 회수 이상 패스워드 인증 실패를 반복할 경우, 위협 사용자로 판단하고, 서버 접근 요청 기능 자체를 차단한다.In addition, the authentication processing unit 34, if the password authentication failure is repeated more than a certain number of times for a specific service account, determines as a threat user and blocks the server access request function itself.

다음으로, 패스워드 관리부(35)는 서버(40)의 서비스 계정 및 계정 비밀번호를 데이터베이스(80) 또는 계정인증DB(82)에 저장하고 관리한다.Next, the password management unit 35 stores and manages the service account and account password of the server 40 in the database 80 or the account authentication DB 82.

즉, 계정 비밀번호 정보는 서비스 계정, 해당 서비스 계정의 계정 비밀번호 등으로 구성된다. 계정 비밀번호 정보는 리스트(목록) 등의 형태로 저장될 수 있다.That is, the account password information is composed of a service account, an account password of the corresponding service account, and the like. Account password information may be stored in the form of a list (list).

바람직하게는, 서비스 계정 및 계정 비밀번호는 관리자 등에 의해 사전에 설정되어 저장된다.Preferably, the service account and account password are set and stored in advance by an administrator or the like.

또한, 바람직하게는, 패스워드 관리부(35)는 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경한다. 특히, 패스워드 관리부(35)는 서버 핸들러(33)를 통해 서버(40)와의 패스워드 변경 작업을 수행한다.In addition, preferably, the password management unit 35 changes the account password periodically or according to a specific event according to a preset security policy. In particular, the password management unit 35 performs a password change operation with the server 40 through the server handler 33.

이때, 특정 이벤트는 사전에 설정된 이벤트로서, 시스템이 리부팅된다거나 사용자 단말의 클라이언트 프로그램들이 갱신되는 것, 관리자 또는 사용자의 명령 등으로 설정될 수 있다. 특히, 패스워드 관리부(35)는 패스워드 최대 사용 기간을 초과하기 전에 서버(40)에 접근하여 패스워드 보안 정책에 따라 랜덤(Random) 패스워드로 계정 비밀번호의 변경을 수행한다.At this time, the specific event is a preset event, and may be set as a system rebooting or updating of client programs of a user terminal, command of an administrator, or a user. In particular, the password management unit 35 accesses the server 40 before exceeding the maximum password usage period, and changes the account password to a random password according to the password security policy.

또한, 패스워드 관리부(35)는 패스워드 보안 정책에 따라 계정 비밀번호를 변경한다. 일례로서, 관리자 계정의 비밀번호는 최소 8자리 이상으로 설정하며, 특수문자, 숫자, 대소문자 혼합등의 조합으로 구성된다. 또한, 계정 비밀번호는 최소 3개월에 1회 이상 변경되어야 한다.In addition, the password management unit 35 changes the account password according to the password security policy. As an example, the password of the administrator account is set to at least 8 digits, and consists of a combination of special characters, numbers, mixed case. Also, the account password must be changed at least once every three months.

구체적으로, 패스워드 관리부(35)는 계정인증DB(82)에 저장된 서비스 계정과 계정 비밀번호를 이용하여 서버(40)에 접속하고, 새로운 계정 비밀번호를 생성하여 새로운 계정 비밀번호로 서버(40)에 계정 비밀번호 변경을 요청한다. 그리고 계정인증DB(82)에서, 해당 서비스 계정의 계정 비밀번호를 새로운 계정 비밀번호로 갱신한다. 즉, 패스워드 관리부(35)는 서버 핸들러(33)를 통해 서버(40)에 접근하여, 갱신전 계정 비밀번호로 계정 인증을 수행하고 계정 비밀번호를 갱신한다.Specifically, the password management unit 35 accesses the server 40 using the service account and account password stored in the account authentication DB 82, generates a new account password, and creates a new account password to account 40 to the server 40 Request change. Then, in the account authentication DB 82, the account password of the corresponding service account is updated with the new account password. That is, the password management unit 35 accesses the server 40 through the server handler 33, performs account authentication with the account password before updating, and updates the account password.

다음으로, 본 발명의 효과에 대하여 보다 구체적으로 설명한다.Next, the effect of the present invention will be described in more detail.

앞서 설명한 바와 같이, 접근통제 게이트웨이(30)에서 일회용 비밀번호를 통하여 패스워드의 정합성을 확인함으로써, 실제 악의적인 패스워드 공격(예를 들어, 무차별 대입공격 등)을 방어할 수 있다. 즉, 악의적인 패스워드 공격이 발생하더라도, 일회성 패스워드를 발급하지 않았기 때문에 모든 공격에 대한 원천적인 방어를 할 수 있다. 또한, 해당 공격으로 인해서, 인증 실패 회수 초과가 발생하더라도, 서버의 서비스 계정이 사용 불가하게 되지 않는다. 또한 인증이 실패한 이력을 적재하고, 관리자에 알림을 줄 수 있어 위협을 인지할 수 있다.As described above, by checking the integrity of the password through the one-time password in the access control gateway 30, an actual malicious password attack (eg, brute force attack, etc.) can be prevented. That is, even if a malicious password attack occurs, it is possible to provide a basic defense against all attacks because a one-time password is not issued. In addition, due to the attack, even if the authentication failure count exceeds, the service account of the server is not disabled. In addition, it is possible to recognize the threat by loading the history of failed authentication and notifying the administrator.

다음으로, 본 발명의 일실시예에 따른 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 의한 서버 접속 방법을 도 5를 참조하여 설명한다.Next, a method of accessing a server by an access control system having a one-time password function for access security according to an embodiment of the present invention will be described with reference to FIG. 5.

도 5에서 보는 바와 같이, 접근통제 게이트웨이(30)에서 패스워드를 교체하여 인증을 대행하고, 사용자는 원격 터미널 어플리케이션에서 발급받은 일회성 패스워드가 정상적인 서버의 패스워드로 인지하게 된다.As shown in FIG. 5, the authentication is performed by replacing the password in the access control gateway 30, and the user recognizes the one-time password issued by the remote terminal application as the password of the normal server.

먼저, 사용자 또는 사용자 단말(10)은 서버에 접근하기 위해, 접근통제 게이트웨이(30) 또는 OTP 생성부(31)에 에 패스워드 정보(또는 일회용 비밀번호)를 요청한다(S10).First, the user or the user terminal 10 requests password information (or one-time password) from the access control gateway 30 or the OTP generation unit 31 to access the server (S10).

다음으로, 사용자 또는 사용자 단말(10)은 접근통제 클라이언트를 통해 서버(40)의 접속(또는 SSH 접속)을 요청한다(S21). 이때, 접근통제 게이트웨이(30)에서 사용자의 SSH 접속 요청을 받는 클라이언트 핸들러(32)와 서버 핸들러(33)를 통해, 세션 키 교환 과정(또는 SSH Key Handshake 과정)이 수행되어 세션 연결이 수립된다(S22).Next, the user or the user terminal 10 requests the access (or SSH connection) of the server 40 through the access control client (S21). At this time, through the client handler 32 and the server handler 33 receiving the user's SSH connection request from the access control gateway 30, a session key exchange process (or SSH key handshake process) is performed to establish a session connection ( S22).

다음으로, 사용자 또는 사용자 단말(10)은 서버(30)에 접속 인가를 위해 서비스 계정 및 패스워드(일회용 비밀번호)(또는 ID/Password)를 입력하여 전송한다(S31). 클라이언트 핸들러(32)에 전송된 서비스 계정 및 일회용 비밀번호는 인증 처리부(34)에 전송되고(S32), 인증 처리부(34)는 해당 패스워드(입력 비밀번호)의 정합성을 확인한다(S33).Next, the user or the user terminal 10 enters and transmits a service account and password (one-time password) (or ID / Password) for authorization to access the server 30 (S31). The service account and the one-time password transmitted to the client handler 32 are transmitted to the authentication processing unit 34 (S32), and the authentication processing unit 34 confirms the integrity of the corresponding password (input password) (S33).

다음으로, 인증 처리부(34)는 실제 서버의 계정 비밀번호를 계정인증DB(82)에서 조회하고(S40), 서버(40)에 대해 인증 협상을 수행한다(S50).Next, the authentication processing unit 34 inquires the account password of the actual server in the account authentication DB 82 (S40), and performs authentication negotiation with the server 40 (S50).

다음으로, 인증 처리부(34)는 서버 핸들러(33)를 통해 실제 서버(40)와의 인증 시 사용자가 입력한 비밀번호(또는 입력 비밀번호, 일회용 비밀번호)를 전달하지 않고, 계정인증DB(82)에서 에서 조회한 계정 비밀번호를 전달하여 인증을 완료한다(S50).Next, the authentication processing unit 34 does not deliver the password (or input password, one-time password) entered by the user when authenticating with the real server 40 through the server handler 33, and is executed in the account authentication DB 82. The authentication is completed by passing the retrieved account password (S50).

즉, 인증 처리부(34)는 서버 핸들러(33)를 통해 서버(40)의 서비스 계정에 대한 인증을 대행한다. 대행하는 세부 과정은 다음과 같다.That is, the authentication processing unit 34 performs authentication for the service account of the server 40 through the server handler 33. The detailed process of the agency is as follows.

단계 S51: Client UserAuth Request (none) : IDStep S51: Client UserAuth Request (none): ID

-> 서버에 ID로 인증 할 수 있는 수단을 요청 -> Request a means to authenticate with the server ID

단계 S52: Server UserAuth Failure (method list)Step S52: Server UserAuth Failure (method list)

-> 요청한 ID 의 인증 가능한 수단 리스트 전달 (ex:password, ssh key, key stroke,…) -> Pass the list of authentic means of the requested ID (ex: password, ssh key, key stroke,…)

단계 S53: Client UserAuth Request(Password)Step S53: Client UserAuth Request (Password)

-> 서버에 "Password" 방식으로 인증을 수행하겠다고 알림.  -> Notify the server that authentication will be performed using the "Password" method.

단계 S54: Server UserAuth PK OKStep S54: Server UserAuth PK OK

-> 인증 방식에 대한 OK 사인  -> OK sign for authentication method

단계 S55: Client UserAuth Request (validation )Step S55: Client UserAuth Request (validation)

-> 실제 Password 정보를 전달하여 정합성 검증 요청  -> Request for verification of conformity by passing actual password information

단계 S56: Server UserAuth SuccessStep S56: Server UserAuth Success

-> Password 인증 통과 시 메시지  -> Message when password authentication passes

다음으로, 인증 처리부(34)는 서버(40)와의 인증이 성공하면, 클라이언트 핸들러(32)를 통해 사용자 단말(10)에 인증 성공(완료) 메시지(Server UserAuth Success)를 전송한다(S60). 사용자 단말(10)은 인증이 완료된 명령 줄을 확인할 수 있다.Next, when the authentication with the server 40 is successful, the authentication processing unit 34 transmits an authentication success (complete) message to the user terminal 10 through the client handler 32 (S60). The user terminal 10 may check the command line for which authentication has been completed.

상기와 같은 인증 과정으로 사용자의 경우 본인이 할당 받은 일회성 패스워드가 실제 서버의 패스워드로 인지하게 된다.Through the above authentication process, in the case of the user, the one-time password assigned by the user is recognized as the password of the actual server.

이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.Above, although the invention made by the present inventors has been specifically described according to the above-described embodiments, the present invention is not limited to the above-described embodiments, and it is needless to say that various modifications can be made without departing from the gist thereof.

10 : 사용자 단말 20 : 관리자 단말
30 : 접근통제 게이트웨이 31 : OTP 생성부
32 : 클라이언트 핸들러 33 : 서버 핸들러
34 : 인증 처리부 35 : 패스워드 관리부
40 : 서버 80 : 데이터베이스
81 : OTP인증DB 82 : 계정인증DB
83 : 로그DB10: user terminal 20: administrator terminal
30: access control gateway 31: OTP generation unit
32: client handler 33: server handler
34: authentication processing unit 35: password management unit
40: server 80: database
81: OTP authentication DB 82: account authentication DB
83: log DB

Claims (6)

적어도 하나의 사용자 단말과 적어도 1개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템에 있어서,
상기 사용자 단말의 요청에 따라 서버의 서비스 계정에 대한 일회용 비밀번호(OTP)를 생성하여 발급하고, 발급된 일회용 비밀번호를 저장하는 OTP 생성부;
상기 사용자 단말과 통신을 수행하는 클라이언트 핸들러;
상기 서버와 통신을 수행하는 서버 핸들러;
상기 클라이언트 핸들러와 상기 서버 핸들러 사이에서 메시지를 중계하되, 메시지가 인증 메시지이면, 저장된 일회용 비밀번호로 상기 인증 메시지의 비밀번호를 인증하고, 인증에 성공하면 저장된 계정 비밀번호를 이용하여 상기 서버와의 인증을 대행하는 인증 처리부;, 및,
상기 서버의 서비스 계정의 계정 비밀번호를 저장하여 관리하는 패스워드 관리부를 포함하고,
상기 인증 처리부는 상기 클라이언트 핸들러로부터 수신되는 메시지를 필터링하여 인증 메시지 여부를 검출하고, 검출된 인증 메시지에서 서비스 계정 및 비밀번호(이하 입력 비밀번호)를 추출하고, 추출한 서비스 계정으로, 저장된 일회용 비밀번호 정보를 검색하고, 검색된 일회용 비밀번호와 상기 입력 비밀번호의 매칭 여부를 판단하여 인증을 수행하고,
상기 인증 처리부는 상기 입력 비밀번호의 인증이 성공하면, 인증 프로토콜에 따라, 상기 서버 핸들러를 통해 상기 서버와의 인증 과정을 수행하되, 인증을 위한 서비스 계정과 비밀번호로서, 각각 추출된 서비스 계정과 계정 비밀번호를 이용하고, 비밀번호를 전달하는 메시지 내에, 저장된 서비스 계정의 계정 비밀번호를 입력하여, 해당 메시지를 상기 서버 핸들러로 전송하는 것을 특징으로 하는 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템.
In the access control system having a one-time password function for access security, which is installed between at least one user terminal and at least one server, relays between the user terminal and the server,
An OTP generating unit for generating and issuing a one-time password (OTP) for a service account of a server at the request of the user terminal, and storing the issued one-time password;
A client handler that communicates with the user terminal;
A server handler that communicates with the server;
Relay a message between the client handler and the server handler, if the message is an authentication message, authenticate the password of the authentication message with the stored one-time password, and if authentication is successful, perform authentication with the server using the stored account password Authentication processing unit; and,
It includes a password management unit for storing and managing the account password of the service account of the server,
The authentication processing unit detects the authentication message by filtering the message received from the client handler, extracts the service account and password (hereinafter, the input password) from the detected authentication message, and retrieves the stored one-time password information with the extracted service account. Then, it determines whether the searched one-time password matches the input password and performs authentication,
When the authentication of the input password is successful, the authentication processing unit performs an authentication process with the server through the server handler according to an authentication protocol, and as the service account and password for authentication, respectively, the extracted service account and account password Access control system with a one-time password function for access security, characterized in that using, and entering the account password of the stored service account in the message to pass the password, and transmits the message to the server handler.
제1항에 있어서,
상기 OTP 생성부는 상기 일회용 비밀번호에 대해 유효 기간이 경과하면 해당 일회용 비밀번호를 폐기하고, 사용 횟수에 의해 만료되도록 설정하면 유효 기간이 도래하지 않더라도 해당 일회용 비밀번호를 폐기하는 것을 특징으로 하는 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템.
According to claim 1,
The one-time for access security, characterized in that the OTP generation unit discards the one-time password when the validity period has elapsed for the one-time password, and discards the one-time password even if the validity period does not arrive when it is set to expire by the number of uses. Access control system with password function.
삭제delete 삭제delete 제1항에 있어서,
상기 패스워드 관리부는 서비스 계정 및 계정 비밀번호를 사전에 설정되어 저장하고, 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경하는 것을 특징으로 하는 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템.
According to claim 1,
The password management unit is provided with a one-time password function for access security, characterized in that the service account and account password is set and stored in advance, and periodically or in accordance with a predetermined security policy to change the account password according to a specific event. Access control system.
제5항에 있어서,
상기 패스워드 관리부는 상기 서버 핸들러를 통해 상기 서버에 접근하고, 저장된 서비스 계정과 계정 비밀번호를 이용하여 상기 서버에 접속하고, 새로운 계정 비밀번호를 생성하여 새로운 계정 비밀번호로 상기 서버에 계정 비밀번호 변경을 요청하고, 해당 서비스 계정의 계정 비밀번호를 새로운 계정 비밀번호로 갱신하는 것을 특징으로 하는 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템.
The method of claim 5,
The password management unit accesses the server through the server handler, accesses the server using a stored service account and account password, generates a new account password, requests the server to change the account password with the new account password, Access control system with a one-time password function for access security, characterized in that the account password of the service account is updated with a new account password.
KR1020190131659A 2019-10-22 2019-10-22 An access control system with onetime password function for access security KR102110815B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190131659A KR102110815B1 (en) 2019-10-22 2019-10-22 An access control system with onetime password function for access security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190131659A KR102110815B1 (en) 2019-10-22 2019-10-22 An access control system with onetime password function for access security

Publications (1)

Publication Number Publication Date
KR102110815B1 true KR102110815B1 (en) 2020-05-14

Family

ID=70736959

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190131659A KR102110815B1 (en) 2019-10-22 2019-10-22 An access control system with onetime password function for access security

Country Status (1)

Country Link
KR (1) KR102110815B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (en) * 2023-12-15 2024-01-16 北京从云科技有限公司 Intranet access protection system based on user identity

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050119515A (en) * 2004-06-16 2005-12-21 에스케이 텔레콤주식회사 Integrated authentication system based on one time password and method for constructing thereof
KR20090036058A (en) * 2007-10-08 2009-04-13 주식회사 신한은행 Method for confirming wireless one-time authentication location and mobile phone, recording medium
KR20100136572A (en) * 2009-06-19 2010-12-29 김세용 Apparatus and method for creating otp using authentication method of client ip address
KR101475981B1 (en) 2008-04-04 2014-12-23 인터내셔널 비지네스 머신즈 코포레이션 Handling expired passwords
KR20180137712A (en) * 2017-06-19 2018-12-28 (주)엔에스비욘드 Method for performing login or service use based on two channel and apparatus for performing the same

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050119515A (en) * 2004-06-16 2005-12-21 에스케이 텔레콤주식회사 Integrated authentication system based on one time password and method for constructing thereof
KR20090036058A (en) * 2007-10-08 2009-04-13 주식회사 신한은행 Method for confirming wireless one-time authentication location and mobile phone, recording medium
KR101475981B1 (en) 2008-04-04 2014-12-23 인터내셔널 비지네스 머신즈 코포레이션 Handling expired passwords
KR20100136572A (en) * 2009-06-19 2010-12-29 김세용 Apparatus and method for creating otp using authentication method of client ip address
KR20180137712A (en) * 2017-06-19 2018-12-28 (주)엔에스비욘드 Method for performing login or service use based on two channel and apparatus for performing the same

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (en) * 2023-12-15 2024-01-16 北京从云科技有限公司 Intranet access protection system based on user identity
CN117411733B (en) * 2023-12-15 2024-03-01 北京从云科技有限公司 Intranet access protection system based on user identity

Similar Documents

Publication Publication Date Title
CN113572738B (en) Zero trust network architecture and construction method
CN109428947B (en) Authority transfer system, control method thereof and storage medium
US8838965B2 (en) Secure remote support automation process
US10902107B2 (en) Information processing system, information processing device, server device, method of controlling information processing system, and program
US11233790B2 (en) Network-based NT LAN manager (NTLM) relay attack detection and prevention
CN106027463B (en) A kind of method of data transmission
EP1914658A2 (en) Identity controlled data center
JP5382819B2 (en) Network management system and server
KR101992976B1 (en) A remote access system using the SSH protocol and managing SSH authentication key securely
CN111416822A (en) Method for access control, electronic device and storage medium
CN106027466B (en) A kind of identity card cloud Verification System and card-reading system
US10873497B2 (en) Systems and methods for maintaining communication links
KR20180096457A (en) Method and system for managing authentication
CN109547402B (en) Data protection method and device, electronic equipment and readable storage medium
WO2015169003A1 (en) Account assignment method and apparatus
JP2006260027A (en) Quarantine system, and quarantine method using vpn and firewall
KR102110815B1 (en) An access control system with onetime password function for access security
KR102118380B1 (en) An access control system of controlling server jobs by users
JP2012064007A (en) Information processor, communication relay method and program
KR20190067138A (en) Method and system for managing authentication
KR20170096780A (en) System and method for interlocking of intrusion information
US11177958B2 (en) Protection of authentication tokens
KR102284183B1 (en) Access control system and method using SQL tool based on web
Cisco Controlling Access to the Switch Using Authentication, Authorization, and Accounting
Cisco Switch Access: Using Authentication, Authorization, and Accounting

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant