KR20230151785A - Two-factor authentication access control method and system for each account and service using SDP - Google Patents

Two-factor authentication access control method and system for each account and service using SDP Download PDF

Info

Publication number
KR20230151785A
KR20230151785A KR1020220051554A KR20220051554A KR20230151785A KR 20230151785 A KR20230151785 A KR 20230151785A KR 1020220051554 A KR1020220051554 A KR 1020220051554A KR 20220051554 A KR20220051554 A KR 20220051554A KR 20230151785 A KR20230151785 A KR 20230151785A
Authority
KR
South Korea
Prior art keywords
service
authentication
account
access control
user
Prior art date
Application number
KR1020220051554A
Other languages
Korean (ko)
Inventor
김병익
이근영
황병한
Original Assignee
김병익
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김병익 filed Critical 김병익
Priority to KR1020220051554A priority Critical patent/KR20230151785A/en
Publication of KR20230151785A publication Critical patent/KR20230151785A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템이 개시된다. 본 발명의 일측면에 따른 서버 장치에서 수행되는 접근 제어 방법은, 접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하는 단계; 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하는 단계; 및 가용 서비스를 제공하는 서비스 서버에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 서비스 서버로의 접속정보를 사용자 단말로 제공하는 단계를 포함한다.A two-factor authentication access control method and system for each account and service using SDP is disclosed. An access control method performed in a server device according to one aspect of the present invention includes performing account authentication for a connected user terminal and a user; Confirming one or more available services according to the account authentication results; and providing connection information to the service server to the user terminal so that each service can be provided through user authentication from the service server providing the available services.

Description

SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템{ Two-factor authentication access control method and system for each account and service using SDP}Two-factor authentication access control method and system for each account and service using SDP}

본 발명은 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템을 제공하기 위한 것이다.The present invention is to provide a two-factor authentication access control method and system for each account and service using SDP.

기업을 포함한 단체들은 다수의 사용자가 접속하여 사용하는 업무시스템을 활용한다. 통상적으로 보안 등의 이유로 업무시스템으로의 접근을 관리하기 위해 허용된 사용자들에게 계정을 발급하여, 아이디/패스워드 등을 활용한 로그인 절차를 진행 후 접근 권한을 부여한다. Organizations, including companies, utilize work systems that multiple users access and use. Typically, in order to manage access to work systems for security reasons, accounts are issued to permitted users, and access is granted after a login procedure using ID/password, etc.

이러한 업무 시스템에서의 사용자 인증 절차는 단순히 사용자와 연관된 계정정보(아이디/패스워드 등)만을 기준으로 인증 여부를 결정했기 때문에, 탈취된 계정으로 인해 비정상적인 사용자의 접근이 허용되는 문제가 발생되기도 한다. Because the user authentication process in these business systems determines whether or not to authenticate simply based on the account information (ID/password, etc.) associated with the user, problems may arise where abnormal users are allowed access due to hijacked accounts.

그리고, 종래의 대표적인 보안 방식은 방화벽을 이용한 외부의 공격에 대응하는 경계보안 방식이다. 그러나 방화벽을 무력화시키는 악성 코드 등을 이용하는 경우가 많아 해당 보안 방식으로는 안정성을 담보할 수 없게 되었다. And, a typical conventional security method is a perimeter security method that responds to external attacks using a firewall. However, as malicious code that disables firewalls is often used, stability cannot be guaranteed with this security method.

특히 최근에는 대부분 클라우드 방식을 이용하는 추세인데, 클라우드 서비스는 원격지에 있는 사용자 단말이 클라우드 서버에 네트워크를 통해 접근하여 사용할 수 있도록 하는 것이다. 따라서 더욱 접속자들에 대한 보안의 중요성이 높아가고 있다.In particular, recently, most people are using the cloud method. Cloud services allow user terminals located in remote locations to access and use cloud servers through a network. Therefore, the importance of security for connected users is increasing.

대한민국 공개특허 제10-2015-0094548 원격 액세스, 원격 디지털 서명을 위한 방법 및 시스템Republic of Korea Patent Publication No. 10-2015-0094548 Method and system for remote access and remote digital signature

따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 접속자에 대한 보안을 강화할 수 있는 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템을 제공하기 위한 것이다. Therefore, the present invention was devised to solve the above-mentioned problems, and is intended to provide a two-factor authentication access control method and system for each account and service using SDP that can enhance security for connected users.

또한, 본 발명은 인증 결과에 따른 등급별 처리 방안을 제공함으로써, 보안을 강화하면서도 최소한의 업무환경을 제공하기 위한 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템을 제공하기 위한 것이다.In addition, the present invention is intended to provide a two-factor authentication access control method and system for each account and service using SDP to provide a minimum work environment while enhancing security by providing a processing method for each level according to the authentication result.

본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.Other objects of the present invention will become clearer through the preferred embodiments described below.

본 발명의 일 측면에 따르면, 서버 장치에서 수행되는 접근 제어 방법에 있어서, 접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하는 단계; 상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하는 단계; 및 상기 가용 서비스를 제공하는 서비스 서버에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 상기 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 단계를 포함하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법이 제공된다.According to one aspect of the present invention, an access control method performed in a server device includes the steps of performing account authentication for a connected user terminal and a user; Confirming one or more available services according to the account authentication result; And providing connection information to the service server to the user terminal so that each service can be provided by user authentication from the service server providing the available service. Dual processing for each account and service using SDP. An authentication access control method is provided.

여기서, 상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하여 상기 사용자 인증에 이용하도록 할 수 있다.Here, the account authentication results can be provided to the service server to be used for user authentication.

또한, 상기 사용자 단말 및 네트워크 정보를 상기 서비스 서버로 제공하고, 상기 서비스 서버로부터 임시적으로 접속 가능한 상기 접속정보를 취득할 수 있다.Additionally, the user terminal and network information can be provided to the service server, and the connection information that can be temporarily connected can be obtained from the service server.

또한, 상기 사용자 단말의 위치, 이동여부, 무선신호를 이용하여 탐색되는 주변단말 개수/유형, 특정보안프로그램 설치여부 중 어느 하나 이상을 이용하여 보안등급을 결정하고, 상기 가용 서비스의 확인에 상기 보안등급을 이용할 수 있다.In addition, the security level is determined using one or more of the location of the user terminal, whether it is moving, the number/type of nearby terminals searched using wireless signals, and whether a specific security program is installed, and the security is used to check the available services. Grades are available.

또한, 상기 보안등급을 포함하는 상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하되, 상기 서비스 서버는 상기 보안등급에 따른 사용자 인증을 위한 방식을 달리 적용할 수 있다.In addition, the result of the account authentication including the security level is provided to the service server, but the service server may apply a different method for user authentication according to the security level.

또한, 상기 보안등급을 포함하는 상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하되, 상기 서비스 서버는 상기 보안등급에 따라 제공 서비스에 대한 유저 인터페이스를 달리 적용할 수 있다.In addition, the result of the account authentication including the security level is provided to the service server, and the service server may apply a different user interface to the provided service depending on the security level.

또한, 상기 보안등급에 따른 주기로 상기 계정 인증을 재수행하며, 계정 인증 재수행 결과를 상기 사용자 단말이 접속한 서비스 서버로 제공할 수 있다.Additionally, the account authentication may be re-performed at a periodicity according to the security level, and the result of the account authentication re-performance may be provided to the service server connected to the user terminal.

또한, 보안등급별 재인증 방식, 비식별 등급, 서비스 화면 사이즈가 달리 설정될 수 있다.Additionally, the re-authentication method, de-identification level, and service screen size for each security level may be set differently.

본 발명의 다른 측면에 따르면, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법을 수행하도록 하는 컴퓨터-판독 가능 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨터로 하여금 이하의 단계들을 수행하도록 하며, 상기 단계들은, 접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하는 단계; 상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하는 단계; 및 상기 가용 서비스를 제공하는 서비스 서버에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 상기 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 단계를 포함하는, 컴퓨터-판독 가능 매체에 저장된 컴퓨터 프로그램이 제공된다.According to another aspect of the present invention, there is a computer program stored in a computer-readable medium that performs a two-factor authentication access control method for each account and service using SDP, wherein the computer program causes the computer to perform the following steps, The steps include performing account authentication for the connected user terminal and the user; Confirming one or more available services according to the account authentication result; and providing connection information to the service server to the user terminal so that each service can be provided by user authentication from the service server providing the available services. A computer stored in a computer-readable medium. Program is provided.

본 발명의 또 다른 측면에 따르면, 접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하고, 상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하여, 각 가용 서비스를 제공하는 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 접근 제어 서버; 및 사용자 인증을 수행하여 서비스를 제공하는 복수개의 서비스 서버들을 포함하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 시스템이 제공된다.According to another aspect of the present invention, account authentication is performed for the connected user terminal and the user, one or more available services are confirmed according to the account authentication results, and connection information to the service server providing each available service is provided. an access control server provided to the user terminal; A dual authentication access control system for each account and service using SDP is provided, including a plurality of service servers that perform user authentication and provide services.

여기서, 상기 접근 제어 서버는 상기 사용자 단말 및 네트워크에 대한 정보를 상기 계정 인증에 대한 결과와 함께 상기 서비스 서버로 제공하며, 상기 서비스 서버는 상기 사용자 단말 및 네트워크에 대한 정보를 기반으로 임시적으로 접속 가능한 상기 접속정보 생성하여 상기 접근 제어 서버로 제공하며, 상기 계정 인증 결과를 상기 사용자 인증에 이용할 수 있다.Here, the access control server provides information about the user terminal and the network together with the result of the account authentication to the service server, and the service server provides temporary access based on the information about the user terminal and the network. The access information is generated and provided to the access control server, and the account authentication result can be used for user authentication.

또한, 상기 접근 제어 서버는 상기 사용자 단말의 위치, 이동여부, 무선신호를 이용하여 탐색되는 주변단말 개수/유형, 특정보안프로그램 설치여부 중 어느 하나 이상을 이용하여 보안등급을 결정하며, 상기 서비스 서버는, 상기 보안등급에 따른 사용자 인증을 위한 방식을 달리 적용하거나, 상기 보안등급에 따라 제공 서비스에 대한 유저 인터페이스를 달리 적용할 수 있다.In addition, the access control server determines the security level using one or more of the location of the user terminal, whether it moves, the number/type of nearby terminals searched using wireless signals, and whether a specific security program is installed, and the service server may apply a different method for user authentication according to the security level, or may apply a different user interface to the provided service according to the security level.

또한, 상기 서비스 서버는 보안등급별 재인증 주기, 비식별 등급, 서비스 화면 사이즈를 달리 설정할 수 있다.Additionally, the service server can set different re-authentication cycles, de-identification levels, and service screen sizes for each security level.

본 발명에 따르면, 사용자/단말에 대한 계정인증 결과에 따라 가용한 각 서비스별 이중인증에 의해 접속자에 대한 보안을 강화할 수 있다. According to the present invention, security for connected users can be strengthened through two-factor authentication for each available service according to the result of account authentication for the user/terminal.

또한, 본 발명에 따르면 인증 결과에 따른 등급별 처리 방안을 제공함으로써, 보안을 강화하면서도 최소한의 업무환경을 제공할 수 있다. In addition, according to the present invention, by providing a processing method for each level according to the authentication result, it is possible to provide a minimal work environment while enhancing security.

도 1은 본 발명의 일 실시예에 따른 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어를 위한 전체 시스템을 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 접근 제어 서버에서 수행되는 접근 제어 과정을 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어를 예시한 예시도.
도 4는 본 발명의 일 실시예에 따른 접근 제어 시스템에서의 처리 과정을 도시한 흐름도.
도 5는 본 발명의 일 실시예에 따른 접근 제어 서버에서 수행되는 보안등급을 이용한 접근 제어 수행 과정을 도시한 흐름도.Figure 1 is a configuration diagram schematically showing the entire system for two-factor authentication access control for each account and service using SDP according to an embodiment of the present invention.
Figure 2 is a flowchart showing an access control process performed in an access control server according to an embodiment of the present invention.
Figure 3 is an example diagram illustrating two-factor authentication access control for each account and service using SDP according to an embodiment of the present invention.
Figure 4 is a flow chart showing a processing process in an access control system according to an embodiment of the present invention.
Figure 5 is a flowchart showing an access control process using a security level performed in an access control server according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can make various changes and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all changes, equivalents, and substitutes included in the spirit and technical scope of the present invention.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is said to be "connected" or "connected" to another component, it is understood that it may be directly connected to or connected to the other component, but that other components may exist in between. It should be. On the other hand, when it is mentioned that a component is “directly connected” or “directly connected” to another component, it should be understood that there are no other components in between.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 후술될 제1 임계값, 제2 임계값 등의 용어는 실질적으로는 각각 상이하거나 일부는 동일한 값인 임계값들로 미리 지정될 수 있으나, 임계값이라는 동일한 단어로 표현될 때 혼동의 여지가 있으므로 구분의 편의상 제1, 제2 등의 용어를 병기하기로 한다. Terms such as first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another. For example, terms such as first threshold and second threshold, which will be described later, may be pre-designated as thresholds that are substantially different or partially the same, but may cause confusion when expressed with the same word, threshold. Since there is room, for convenience of classification, terms such as first and second will be used together.

본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used herein are only used to describe specific embodiments and are not intended to limit the invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, terms such as “comprise” or “have” are intended to indicate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

또한, 각 도면을 참조하여 설명하는 실시예의 구성 요소가 해당 실시예에만 제한적으로 적용되는 것은 아니며, 본 발명의 기술적 사상이 유지되는 범위 내에서 다른 실시예에 포함되도록 구현될 수 있으며, 또한 별도의 설명이 생략될지라도 복수의 실시예가 통합된 하나의 실시예로 다시 구현될 수도 있음은 당연하다.In addition, the components of the embodiments described with reference to each drawing are not limited to the corresponding embodiments, and may be implemented to be included in other embodiments within the scope of maintaining the technical spirit of the present invention, and may also be included in separate embodiments. Even if the description is omitted, it is natural that a plurality of embodiments may be re-implemented as a single integrated embodiment.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일하거나 관련된 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. In addition, when describing with reference to the accompanying drawings, identical or related reference numbers will be assigned to identical or related elements regardless of the drawing symbols, and overlapping descriptions thereof will be omitted. In describing the present invention, if it is determined that a detailed description of related known technologies may unnecessarily obscure the gist of the present invention, the detailed description will be omitted.

도 1은 본 발명의 일 실시예에 따른 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어를 위한 전체 시스템을 개략적으로 도시한 구성도이고, 도 2는 본 발명의 일 실시예에 따른 접근 제어 서버에서 수행되는 접근 제어 과정을 도시한 흐름도이고, 도 3은 본 발명의 일 실시예에 따른 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어를 예시한 예시도이다.Figure 1 is a schematic configuration diagram showing the entire system for two-factor authentication access control for each account and service using SDP according to an embodiment of the present invention, and Figure 2 is a configuration diagram schematically showing the system in the access control server according to an embodiment of the present invention. It is a flowchart showing the access control process performed, and Figure 3 is an example diagram illustrating two-factor authentication access control for each account and service using SDP according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 전체 시스템은 사용자 단말(10), 접근 제어 서버(20) 및 서비스 서버(30-1, ..., 30-n, 이하 30으로 통칭)를 포함한다.Referring to FIG. 1, the entire system according to this embodiment includes a user terminal 10, an access control server 20, and a service server 30-1, ..., 30-n, hereinafter collectively referred to as 30. .

사용자는 자신의 단말 장치인 사용자 단말(10)을 이용하여 서비스 서버(30)에서 제공되는 온라인 서비스(업무 서비스 등)를 이용할 수 있는데, 본 실시예에 따르면 접근 제어 서버(20)를 통해서만 서비스 서버(30)를 이용할 수 있다. The user can use online services (business services, etc.) provided by the service server 30 using the user terminal 10, which is his/her terminal device. According to this embodiment, the service server only through the access control server 20. (30) can be used.

이를 위해, 사용자는 접근 제어 서버(20)로의 계정 인증을 수행해야 하며, 계정 인증이 성공되는 경우 접속되는 서비스 서버(30)에서는 별도의 사용자 인증을 수행해야 한다. 즉, 접근 제어 서버(20)로의 계정인증과 서비스 서버(30)로의 사용자 인증에 대한 이중 인증을 수행해야만, 원하는 온라인 서비스를 이용할 수 있는 것이다. To this end, the user must perform account authentication with the access control server 20, and if account authentication is successful, a separate user authentication must be performed on the connected service server 30. In other words, the desired online service can be used only when double authentication is performed for account authentication with the access control server 20 and user authentication with the service server 30.

도 2를 함께 참조하면, 접근 제어 서버(20)는 접속된 사용자 단말(10)에 대한 계정 인증을 수행하는데(S210), 예를 들어 아이디/패스워드 등을 이용한 미리 등록된 인가된 회원인지에 대한 회원인증과, 미리 등록된 단말장치인지 여부에 대한 디바이스 인증(맥주소 등의 기기식별정보를 활용)을 수행한다. Referring to Figure 2, the access control server 20 performs account authentication for the connected user terminal 10 (S210), for example, by checking whether the user is a pre-registered authorized member using ID/password, etc. Member authentication and device authentication (using device identification information such as beer address) are performed to determine whether the device is a pre-registered terminal device.

그리고, 접근 제어 서버(20)는 접속된 사용자 단말(10)에 대한 계정 인증이 성공되는 경우, 해당 계정으로 이용 가능한 서비스(이하 가용 서비스라 칭함)를 확인한다(S220). And, when account authentication for the connected user terminal 10 is successful, the access control server 20 checks the services available for the account (hereinafter referred to as available services) (S220).

여기서, 접근 제어 서버(20)는 사용자 단말(10)의 위치(GPS위치정보, AP(액세스포인트) 정보, 아이피주소 등을 활용), 이동여부(위치정보의 변화를 이용), 무선신호를 이용하여 탐색되는 주변단말 개수/유형(와이파이, 블루투스 등의 근거리무선통신 신호로 탐색되는 주변의 단말장치의 개수 또는 유형(모바일기기, AP, 개인PC 등)), 특정보안프로그램 설치여부 중 어느 하나 이상을 이용하여 보안등급을 결정하고, 가용 서비스의 확인에 이용할 수 있다. Here, the access control server 20 uses the location of the user terminal 10 (using GPS location information, AP (access point) information, IP address, etc.), whether it is moving (using changes in location information), and wireless signals. The number/type of nearby terminals discovered (the number or type of nearby terminal devices discovered through short-range wireless communication signals such as Wi-Fi, Bluetooth, etc. (mobile devices, APs, personal PCs, etc.)), and whether a specific security program is installed. It can be used to determine the security level and check available services.

보안등급은 다양하게 설정될 수 있으며, 보안등급에 따라 가용 서비스 종류, 서비스 서버(30)로의 접속 시 인증방식, 계정 인증 재수행 여부(또는 주기), 비식별 변환 등급(개인정보의 비식별 처리 등급), 인터페이스 방식(예를 들어 서비스 화면 사이즈 등) 등이 달라질 수 있다. 이에 대해서는 차후 더욱 상세히 설명하기로 한다. Security levels can be set in various ways, and depending on the security level, available service types, authentication method when accessing the service server 30, whether to re-perform account authentication (or cycle), de-identification conversion level (non-identification processing of personal information) grade), interface method (for example, service screen size, etc.) may vary. This will be explained in more detail later.

그리고, 접근 제어 서버(20)는 가용 서비스를 제공하는 서비스 서버(30)에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 서비스 서버(30)로의 접속정보를 사용자 단말(10)로 제공한다(S230). In addition, the access control server 20 provides connection information to the service server 30 to the user terminal 10 so that each service can be provided by user authentication from the service server 30 providing available services. (S230).

여기서, 일례에 따르면, 사용자 단말(10)에 대한 정보 및 네트워크 정보를 가용 서비스를 제공하는 서비스 서버(30)로 제공하고, 서비스 서버(30)로부터 임시적으로 접속 가능한 접속정보를 취득하는 과정이 더 포함될 수 있다. 즉, 임시적인 접속정보를 해당 사용자 단말(10)에게 제공함으로써, 타 단말이 접속하는 것을 방지할 수 있다. Here, according to one example, the process of providing information about the user terminal 10 and network information to the service server 30 that provides available services and obtaining temporarily accessible connection information from the service server 30 is further performed. may be included. In other words, by providing temporary connection information to the corresponding user terminal 10, it is possible to prevent other terminals from connecting.

또한, 일례에 따르면 접근 제어 서버(20)는 계정 인증에 대한 결과를 서비스 서버(30)로 제공하여, 서비스 서버(30)가 차후 사용자 인증에 이용하도록 할 수 있다. 즉, 접근 제어 서버(20)는 가용 서비스를 제공하는 서비스 서버(30)로 계정 인증 결과(예를 들어, 사용자 단말(10) 정보, 네트워크 환경정보, 보안등급정보 등)를 제공한다. Additionally, according to one example, the access control server 20 may provide the result of account authentication to the service server 30 so that the service server 30 can use it for future user authentication. That is, the access control server 20 provides account authentication results (eg, user terminal 10 information, network environment information, security level information, etc.) to the service server 30 that provides available services.

하나의 시나리오를 도시한 도 3을 참조하면, 사용자로서 인사담당자와 개발자가 접근 제어 서버(20)에 접속하여 계정인증을 수행하면, 각각의 업무서비스를 이용할 수 있는 접속정보가 접근 제어 서버(20)로부터 제공된다. 따라서, 인사 담당자는 공통업무 서비스와 인사관리 서비스를 해당 서비스 서버(30)로부터 이용할 수 있으며, 개발자는 공통업무 서비스와 개발자 서비스를 이용할 수 있다. 물론 각 서비스 서버(30)로 접속하면 각각의 사용자 인증(아이디/패스워드 인증 등)을 수행해야만 해당 서비스를 이용할 수 있다.Referring to Figure 3, which shows one scenario, when a human resources manager and a developer as users access the access control server 20 and perform account authentication, the access information for using each business service is sent to the access control server 20. ) is provided from. Accordingly, personnel managers can use common work services and personnel management services from the corresponding service server 30, and developers can use common work services and developer services. Of course, when connecting to each service server 30, each user authentication (ID/password authentication, etc.) must be performed to use the service.

일례에 따르면, 도면과 같이 SDP API를 이용할 수 있는데, 소프트웨어 정의 경계(Software Defined Perimeter, 약어로 SDP)란 '블랙 클라우드(Black Cloud)'라고도 불리며, 2007년경 GIG(Global Information Grid)의 블랙코어 네트워크 우선권에 따라 DISA(Defense Information Systems Agency)에서 수행한 작업에서 발전한 컴퓨터 보안 접근 방식이다. SDP는 신원을 기반으로 리소스에 대해 액세스를 제어하는 프레임워크로 네트워크 장치, 단말의 상태, 사용자 ID를 체크하여 권한이 있는 사용자 및 단말에 대해서만 액세스 권한을 부여하며 인증 받지 못한 단말기에 대해서는 그 어떠한 서비스 연결 정보도 얻지 못하게 된다. 인프라는 인증 및 인가가 되기 전에는 DNS정보나 IP주소를 알 수 없는 '블랙 클라우드(Black Cloud)' 네트워크로 동작이 되면서 해커들이 쉽게 보안을 뚫을 수 없도록 구성이 되어 있다.According to one example, the SDP API can be used as shown in the drawing, and Software Defined Perimeter (SDP for short) is also called 'Black Cloud' and was used in the Black Core Network of GIG (Global Information Grid) around 2007. By priority, it is an approach to computer security that evolved from work done by the Defense Information Systems Agency (DISA). SDP is a framework that controls access to resources based on identity. It checks the status of network devices, terminals, and user IDs and grants access only to authorized users and terminals. No services are provided to unauthorized terminals. You will not be able to get any connection information. The infrastructure operates as a 'black cloud' network where DNS information or IP addresses are not known until authentication and authorization are performed, so hackers cannot easily breach the security.

또한 일례에 따르면, 도 3과 같이, 접근 제어 서버(20)가 서비스 서버(30)에서의 서비스를 사용자 단말(10)과의 사이에서 중계하는 형태일 수 있으며, 물론 이는 하나의 실시예일뿐이며 서비스 서버(30)가 사용자 인증 이후 접속된 사용자 단말(10)과 직접 통신하는 형태일 수도 있다. In addition, according to one example, as shown in FIG. 3, the access control server 20 may relay the service from the service server 30 between the user terminal 10 and, of course, this is only one embodiment and the service The server 30 may communicate directly with the connected user terminal 10 after user authentication.

도 4는 본 발명의 일 실시예에 따른 접근 제어 시스템에서의 처리 과정을 도시한 흐름도이다.Figure 4 is a flowchart showing a processing process in an access control system according to an embodiment of the present invention.

도 4를 참조하면, 접근 제어 서버(20)는 사용자/디바이스(사용자 단말(10))에 대한 계정 인증을 수행한다(S410). 상술한 바와 같이, 아이디(ID)/패스워드(Password) 등을 이용한 회원인증과, 미리 등록된 단말장치인지에 대한 사용자 단말(10)기 인증을 수행한다.Referring to FIG. 4, the access control server 20 performs account authentication for the user/device (user terminal 10) (S410). As described above, member authentication using ID/password, etc., and authentication of the user terminal 10 as to whether it is a pre-registered terminal device are performed.

그리고, 접근 제어 서버(20)는 사용자 단말(10)에 대한 정보와 사용자 단말(10)이 이용하는 네트워크에 대한 정보 등을 포함하는 인증 결과를, 확인된 가용 서비스를 제공하는 각 서비스 서버(30)로 제공한다(S420).In addition, the access control server 20 sends the authentication result, including information about the user terminal 10 and information about the network used by the user terminal 10, to each service server 30 that provides the confirmed available service. Provided as (S420).

이를 수신한 서비스 서버(30)는 사용자 단말(10)에 대한 정보 등을 저장하고, 임시 접속정보를 생성하여(S430), 접근 제어 서버(20)로 제공한다(S440). The service server 30 that receives this stores information about the user terminal 10, creates temporary access information (S430), and provides it to the access control server 20 (S440).

접근 제어 서버(20)는 사용자 단말(10)로 서비스 서버(30)로의 임시 접속정보 등의 관련 정보를 제공한다(S450).The access control server 20 provides related information, such as temporary access information to the service server 30, to the user terminal 10 (S450).

임시 접속정보를 이용하여 사용자 단말(10)이 접속되면, 등록된 회원정보를 기반으로 사용자 인증을 수행하되, S430에서 미리 저장된 사용자 단말(10)에 대한 정보를 더 이용하여 사용자 인증을 수행(예를 들어, 동일한 사용자 단말(10)의 접속인지 여부를 확인)한다. When the user terminal 10 is connected using temporary access information, user authentication is performed based on the registered member information, but user authentication is further performed using information about the user terminal 10 previously stored in S430 (e.g. For example, check whether the connection is from the same user terminal 10).

본 실시예에 따르면, 접근 제어 서버(20)에서 먼저 계정 인증을 수행하여 가용 서비스를 확인하고, 각 서비스 서버(30)에서 사용자 인증 이후 서비스를 제공함으로써, 이중 인증을 통해 보안을 강화할 수 있으며, 또한 임시 접속정보를 이용한 사용자 단말(10)에 대한 추가 인증을 수행함으로써, 계정 인증되지 않은 타 단말장치로부터의 접속을 차단하여 보안 성능을 향상시킬 수 있다. According to this embodiment, the access control server 20 first performs account authentication to check available services, and each service server 30 provides services after user authentication, thereby strengthening security through double authentication. Additionally, by performing additional authentication on the user terminal 10 using temporary access information, security performance can be improved by blocking access from other terminal devices that are not account authenticated.

도 5는 본 발명의 일 실시예에 따른 접근 제어 서버(20)에서 수행되는 보안등급을 이용한 접근 제어 수행 과정을 도시한 흐름도이다.Figure 5 is a flowchart illustrating an access control process using a security level performed by the access control server 20 according to an embodiment of the present invention.

도 5를 참조하면, 접근 제어 서버(20)는 계정 인증 시 단말상태에 따른 보안등급을 결정한다(S510). Referring to FIG. 5, the access control server 20 determines the security level according to the terminal status during account authentication (S510).

전술한 바와 같이, 사용자 단말(10)의 위치에 따라 보안등급이 달라질 수 있다. 예를 들어, 기업 업무서비스를 제공하는 경우, 사용자 단말(10)이 회사 사무실 내에 존재하는지 또는 외부에 존재하는지에 따라 보안등급이 달라질 수 있으며, 더욱이 외부인 경우 이동여부(이동 속도를 활용할 수도 있음)를 더 이용할 수 있다. 이해의 편의를 위한 예를 들면, 대중교통 등을 이용한 이동인 것으로 판단되는 경우, 서비스 제공 시 디스플레이되는 정보의 양을 적게 하도록 서비스 화면 사이즈를 줄여서 서비스할 수 있을 것이다. As described above, the security level may vary depending on the location of the user terminal 10. For example, when providing corporate business services, the security level may vary depending on whether the user terminal 10 exists within the company office or outside, and furthermore, if it is outside, whether it moves (movement speed can also be used) You can use more. For convenience of understanding, for example, if it is determined that the movement is using public transportation, etc., the service screen size may be reduced to reduce the amount of information displayed when providing the service.

그리고, 사용자 단말(10)에서 무선신호를 이용하여 탐색되는 주변단말 개수 및 유형이 이용될 수 있다. 예를 들어, 주변단말이 많다는 것은 주변에 많은 사람들이 존재하는 경우이므로, 정보의 노출량을 최소화하도록 할 수 있으며, 또한 주변단말의 유형이 개인PC인지, 공유기 등의 AP인지 또는 스마트폰 등의 모바일 기기인지에 따라서도 달라질 수 있다. 사용자 단말(10)은 와이파이 또는 블루투스 등의 근거리무선통신 기능을 구동하여 주변 단말들로부터의 신호를 수신하고, 이에 대한 정보를 접근 제어 서버(20)로 제공하는 것이며, 접근 제어 서버(20)는 해당 정보를 보안등급의 결정에 이용한다.Additionally, the number and type of nearby terminals discovered by the user terminal 10 using wireless signals can be used. For example, the number of nearby terminals means that there are many people around, so the amount of information exposed can be minimized, and the type of nearby terminals is a personal PC, an AP such as a router, or a mobile device such as a smartphone. It may also vary depending on the device. The user terminal 10 operates a short-distance wireless communication function such as Wi-Fi or Bluetooth to receive signals from surrounding terminals and provides information about this to the access control server 20, and the access control server 20 The information is used to determine the security level.

또한, 사용자 단말(10)에 특정보안프로그램이 설치되었는지 여부가 보안등급의 결정에 더 이용될 수 있다. 예를 들어, 특정 백신 프로그램, 또는 접근 제어 서버(20)에서 제공되는 보안프로그램 등의 설치 여부(및 업데이트 정보)를 확인한다. Additionally, whether a specific security program is installed on the user terminal 10 can be further used to determine the security level. For example, it is checked whether a specific anti-virus program or a security program provided by the access control server 20 is installed (and update information).

접근 제어 서버(20)는 결정된 보안등급에 대한 정보를 서비스 서버(30)로 제공한다(S520). The access control server 20 provides information about the determined security level to the service server 30 (S520).

서비스 서버(30)는 보안등급에 따라 접속된 사용자 단말(10)에 대한 사용자 인증 방식, 서비스 제공 방식, 유저 인터페이스 등을 달리 적용할 수 있다. 예를 들면, 보안등급이 최하인 경우, 휴대폰 인증 등을 추가하여 진행하고, 서비스 제공 시 디스플레이 화면을 최소화면 사이즈로서 제공하며, 모든 개인정보(예를 들어, 이름, 주소, 주민번호 등)에 대한 비식별화 처리(타 정보로서 대체)를 수행하여 제공한다. The service server 30 may apply different user authentication methods, service provision methods, user interfaces, etc. to the connected user terminals 10 according to the security level. For example, if the security level is the lowest, mobile phone authentication is added, the display screen is provided at the minimum size when providing the service, and all personal information (e.g. name, address, resident registration number, etc.) is stored. It is provided after de-identifying the information (replacing it with other information).

접근 제어 서버(20)는 보안등급에 따른 주기로 계정 인증을 재수행하고, 재수행 결과를 서비스 서버(30)로 안내한다(S530). 예를 들어, 보안등급1에서는 1시간, 보안등급2에서는 30분, 최하보안등급에서는 5분 주기로 계정 인증을 제수행하고, 재수행 결과를 서비스 서버(30)로 안내한다. 만일 재수행 실패 시에는 제공되던 서비스는 중단될 수 있음은 당연하다.The access control server 20 re-performs account authentication at intervals according to the security level and informs the service server 30 of the re-performance result (S530). For example, account authentication is performed every 1 hour at security level 1, every 30 minutes at security level 2, and every 5 minutes at the lowest security level, and the re-performance result is notified to the service server 30. It goes without saying that if re-performance fails, the provided service may be discontinued.

여기서, 일례에 따르면, 계정 인증 재수행이 시작되면, 서비스 서버(30)는 제공되던 서비스를 중단하고, 계정 인증 재수행이 성공되는 경우 서비스의 중단을 해제하여 서비스를 다시 제공한다.Here, according to one example, when re-performing account authentication begins, the service server 30 stops the service being provided, and when re-performing account authentication succeeds, it cancels the suspension of the service and provides the service again.

다른 일례에 따르면, 서비스 서버(30)는 각 보안등급별 미리 설정된 특정정보(보안정보라 칭함)에 대한 사용자 단말(10)에서의 접근이 요청되면, 접근 제어 서버(20)와 연동하여 계정 인증이 재수행되도록 할 수 있다. According to another example, when the service server 30 requests access from the user terminal 10 to specific information (referred to as security information) preset for each security level, account authentication is performed in conjunction with the access control server 20. It can be done again.

그리고, 서비스 서버(30) 또한 보안등급별 주기 및 방식으로 사용자 인증에 대한 재인증을 수행할 수 있다. 예를 들어, 보안등급이 가장 높은 경우에는 1시간 단위로 비밀번호 입력으로서 수행하고, 보안등급이 가장 낮은 경우에는 10분 단위로 휴대폰 인증을 수행하도록 할 수 있다. In addition, the service server 30 can also perform re-authentication of user authentication at a cycle and method according to security level. For example, if the security level is the highest, mobile phone authentication can be performed every hour by entering a password, and if the security level is the lowest, mobile phone authentication can be performed every 10 minutes.

상술한 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법을 수행하도록 하는 컴퓨터-판독 가능 매체에 저장된 컴퓨터 프로그램이 제공될 수 있다. A computer program stored in a computer-readable medium may be provided that performs the two-factor authentication access control method for each account and service using the above-described SDP.

또한, 상술한 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. Additionally, the two-factor authentication access control method for each account and service using SDP described above can be implemented as computer-readable code on a computer-readable recording medium. Computer-readable recording media include all types of recording media storing data that can be deciphered by a computer system. For example, there may be Read Only Memory (ROM), Random Access Memory (RAM), magnetic tape, magnetic disk, flash memory, optical data storage device, etc. Additionally, the computer-readable recording medium can be distributed to computer systems connected through a computer communication network, and stored and executed as code that can be read in a distributed manner.

또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.In addition, although the present invention has been described above with reference to preferred embodiments, those skilled in the art will understand the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. You will understand that it can be modified and changed in various ways.

10 : 사용자 단말
20 : 접근 제어 서버
30 : 서비스 서버10: user terminal
20: Access control server
30: Service server

Claims (13)

서버 장치에서 수행되는 접근 제어 방법에 있어서,
접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하는 단계;
상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하는 단계; 및
상기 가용 서비스를 제공하는 서비스 서버에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 상기 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 단계를 포함하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In the access control method performed on the server device,
Performing account authentication for the connected user terminal and the user;
Confirming one or more available services according to the account authentication result; and
Double authentication for each account and service using SDP, including providing access information to the service server to the user terminal so that each service can be provided by user authentication from the service server providing the available services. Access control methods.
 청구항 1에 있어서,
상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하여 상기 사용자 인증에 이용하도록 하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 1,
A two-factor authentication access control method for each account and service using SDP, wherein the result of the account authentication is provided to the service server and used for user authentication.
 청구항 1에 있어서,
상기 사용자 단말 및 네트워크 정보를 상기 서비스 서버로 제공하고, 상기 서비스 서버로부터 임시적으로 접속 가능한 상기 접속정보를 취득하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 1,
A two-factor authentication access control method for each account and service using SDP, which provides the user terminal and network information to the service server and acquires the temporarily accessible connection information from the service server.
 청구항 1에 있어서,
상기 사용자 단말의 위치, 이동여부, 무선신호를 이용하여 탐색되는 주변단말 개수/유형, 특정보안프로그램 설치여부 중 어느 하나 이상을 이용하여 보안등급을 결정하고, 상기 가용 서비스의 확인에 상기 보안등급을 이용하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 1,
The security level is determined using one or more of the location of the user terminal, whether it is moving, the number/type of nearby terminals searched using wireless signals, and whether a specific security program is installed, and the security level is used to check the available services. Two-factor authentication access control method for each account and service using SDP.
 청구항 4에 있어서,
상기 보안등급을 포함하는 상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하되,
상기 서비스 서버는 상기 보안등급에 따른 사용자 인증을 위한 방식을 달리 적용하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 4,
The result of the account authentication, including the security level, is provided to the service server,
A two-factor authentication access control method for each account and service using SDP, wherein the service server applies different methods for user authentication according to the security level.
 청구항 4에 있어서,
상기 보안등급을 포함하는 상기 계정 인증에 대한 결과를 상기 서비스 서버로 제공하되,
상기 서비스 서버는 상기 보안등급에 따라 제공 서비스에 대한 유저 인터페이스를 달리 적용하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 4,
The result of the account authentication, including the security level, is provided to the service server,
A two-factor authentication access control method for each account and service using SDP, wherein the service server applies different user interfaces to the provided services according to the security level.
 청구항 4에 있어서,
상기 보안등급에 따른 주기로 상기 계정 인증을 재수행하며, 계정 인증 재수행 결과를 상기 사용자 단말이 접속한 서비스 서버로 제공하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 4,
A two-factor authentication access control method for each account and service using SDP, wherein the account authentication is re-performed at a periodicity according to the security level, and the account authentication re-performance result is provided to a service server connected to the user terminal.
 청구항 4에 있어서,
보안등급별 재인증 방식, 비식별 등급, 서비스 화면 사이즈가 달리 설정되는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법.
In claim 4,
A two-factor authentication access control method for each account and service using SDP, with different re-authentication methods, de-identification levels, and service screen sizes for each security level.
 SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 방법을 수행하도록 하는 컴퓨터-판독 가능 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨터로 하여금 이하의 단계들을 수행하도록 하며, 상기 단계들은,
접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하는 단계;
상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하는 단계; 및
상기 가용 서비스를 제공하는 서비스 서버에서 각각 사용자 인증에 의해 각 서비스를 제공받을 수 있도록, 상기 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 단계를 포함하는, 컴퓨터-판독 가능 매체에 저장된 컴퓨터 프로그램.
A computer program stored in a computer-readable medium that performs a two-factor authentication access control method for each account and service using SDP, wherein the computer program causes the computer to perform the following steps, which steps include:
Performing account authentication for the connected user terminal and the user;
Confirming one or more available services according to the account authentication result; and
A computer program stored in a computer-readable medium, comprising the step of providing connection information to the service server to the user terminal so that each service can be provided by user authentication from the service server providing the available service. .
 접속된 사용자 단말과 사용자에 대한 계정 인증을 수행하고, 상기 계정 인증 결과에 따른 하나 이상의 가용 서비스를 확인하여, 각 가용 서비스를 제공하는 서비스 서버로의 접속정보를 상기 사용자 단말로 제공하는 접근 제어 서버; 및
사용자 인증을 수행하여 서비스를 제공하는 복수개의 서비스 서버들을 포함하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 시스템.
An access control server that performs account authentication for the connected user terminal and user, confirms one or more available services according to the account authentication results, and provides access information to the service server providing each available service to the user terminal. ; and
A two-factor authentication access control system for each account and service using SDP, including a plurality of service servers that perform user authentication and provide services.
 청구항 10에 있어서,
상기 접근 제어 서버는 상기 사용자 단말 및 네트워크에 대한 정보를 상기 계정 인증에 대한 결과와 함께 상기 서비스 서버로 제공하며,
상기 서비스 서버는 상기 사용자 단말 및 네트워크에 대한 정보를 기반으로 임시적으로 접속 가능한 상기 접속정보 생성하여 상기 접근 제어 서버로 제공하며, 상기 계정 인증 결과를 상기 사용자 인증에 이용하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 시스템.
In claim 10,
The access control server provides information about the user terminal and network to the service server along with the results of the account authentication,
The service server generates the access information that can be temporarily accessed based on information about the user terminal and the network and provides it to the access control server, and uses the account authentication result to authenticate the user, for each account and service using SDP. Two-factor authentication access control system.
 청구항 10에 있어서,
상기 접근 제어 서버는 상기 사용자 단말의 위치, 이동여부, 무선신호를 이용하여 탐색되는 주변단말 개수/유형, 특정보안프로그램 설치여부 중 어느 하나 이상을 이용하여 보안등급을 결정하며,
상기 서비스 서버는, 상기 보안등급에 따른 사용자 인증을 위한 방식을 달리 적용하거나, 상기 보안등급에 따라 제공 서비스에 대한 유저 인터페이스를 달리 적용하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 시스템.
In claim 10,
The access control server determines the security level using one or more of the location of the user terminal, whether it moves, the number/type of nearby terminals searched using wireless signals, and whether a specific security program is installed,
The service server applies a different method for user authentication according to the security level, or applies a different user interface to the provided service according to the security level. A dual authentication access control system for each account and service using SDP.
 청구항 12에 있어서,
상기 서비스 서버는 보안등급별 재인증 주기, 비식별 등급, 서비스 화면 사이즈를 달리 설정하는, SDP를 이용한 계정과 서비스별 이중 인증 접근 제어 시스템.In claim 12,
The service server is a dual authentication access control system for each account and service using SDP, where the re-authentication cycle, de-identification level, and service screen size are set differently for each security level.
KR1020220051554A 2022-04-26 2022-04-26 Two-factor authentication access control method and system for each account and service using SDP KR20230151785A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220051554A KR20230151785A (en) 2022-04-26 2022-04-26 Two-factor authentication access control method and system for each account and service using SDP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220051554A KR20230151785A (en) 2022-04-26 2022-04-26 Two-factor authentication access control method and system for each account and service using SDP

Publications (1)

Publication Number Publication Date
KR20230151785A true KR20230151785A (en) 2023-11-02

Family

ID=88747741

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220051554A KR20230151785A (en) 2022-04-26 2022-04-26 Two-factor authentication access control method and system for each account and service using SDP

Country Status (1)

Country Link
KR (1) KR20230151785A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150094548A (en) 2014-02-10 2015-08-19 아이엠에스 헬스 인코포레이티드 System and method for remote access, remote digital signature

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150094548A (en) 2014-02-10 2015-08-19 아이엠에스 헬스 인코포레이티드 System and method for remote access, remote digital signature

Similar Documents

Publication Publication Date Title
CN104717223B (en) Data access method and device
US10003595B2 (en) System and method for one time password authentication
US8832796B2 (en) Wireless communication terminal, method for protecting data in wireless communication terminal, program for having wireless communication terminal protect data, and recording medium storing the program
CN108337677B (en) Network authentication method and device
US20200311277A1 (en) Method, system and device for security configurations
US20100107240A1 (en) Network location determination for direct access networks
US20160366151A1 (en) Authentication server system, method, and storage medium
CN111193737B (en) Cloud server access method and system, OpenVPN server and LDAP authentication system
CN106161348B (en) Single sign-on method, system and terminal
US8151338B2 (en) Method and system for continuously serving authentication requests
CN106060072B (en) Authentication method and device
US9635017B2 (en) Computer network security management system and method
US9906516B2 (en) Security system for preventing further access to a service after initial access to the service has been permitted
KR102393500B1 (en) Login system and authentication method
KR101212509B1 (en) System and method for service control
CN113225409A (en) NAT load balancing access method, device and storage medium
CN112398787B (en) Mailbox login verification method and device, computer equipment and storage medium
CN114157438A (en) Network equipment management method and device and computer readable storage medium
CN109460647B (en) Multi-device secure login method
US9143510B2 (en) Secure identification of intranet network
KR101467228B1 (en) Method for preventing outflow file and device thereof
KR102333028B1 (en) Apparatus and method for controling firewall policy
KR20230151785A (en) Two-factor authentication access control method and system for each account and service using SDP
CN109450953B (en) Authorization method and device, electronic equipment and computer readable storage medium
KR101160903B1 (en) Blacklist extracting system and method thereof

Legal Events

Date Code Title Description
E601 Decision to refuse application