KR101073685B1 - Method for controlling data access using location information of user - Google Patents

Method for controlling data access using location information of user Download PDF

Info

Publication number
KR101073685B1
KR101073685B1 KR1020090065473A KR20090065473A KR101073685B1 KR 101073685 B1 KR101073685 B1 KR 101073685B1 KR 1020090065473 A KR1020090065473 A KR 1020090065473A KR 20090065473 A KR20090065473 A KR 20090065473A KR 101073685 B1 KR101073685 B1 KR 101073685B1
Authority
KR
South Korea
Prior art keywords
user
location
data access
external server
reference node
Prior art date
Application number
KR1020090065473A
Other languages
Korean (ko)
Other versions
KR20110007833A (en
Inventor
임재성
김동규
이건희
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020090065473A priority Critical patent/KR101073685B1/en
Publication of KR20110007833A publication Critical patent/KR20110007833A/en
Application granted granted Critical
Publication of KR101073685B1 publication Critical patent/KR101073685B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

데이터 액세스를 위한 요청을 외부 서버로 전송하는 단계와 외부 서버로부터 데이터 접근 권한 인증 요청을 수신하는 단계와 사용자의 위치에 인접한 위치 참조 노드로부터 사용자의 위치 정보를 확인하는 단계와 확인된 위치 정보를 이용하여, 데이터 접근 권한 인증 응답을 외부 서버로 전송하는 단계와 외부 서버로부터 데이터 접근 권한을 인증받아 데이터를 액세스하는 단계를 포함하는 사용자의 위치 정보를 이용한 데이터 액세스 제어방법이 개시되어 있다.Sending a request for data access to an external server, receiving a data access authorization request from an external server, verifying the user's location information from a location reference node adjacent to the user's location and using the verified location information Accordingly, a data access control method using a location information of a user, including transmitting a data access right authentication response to an external server and accessing data by authenticating the data access right from the external server, is disclosed.

본 발명의 일 실시예에 따르면 사용자가 웹 자원을 사용할 수 있도록 허락된 위치에 물리적으로 존재하지 않을 경우에 사용자의 식별자 및 패스워드를 정상적으로 알고 있다 하더라도 접근 권한을 인증받을 수 없어 웹 자원을 액세스할 수 없게 된다.According to an embodiment of the present invention, even if the user does not physically exist in the location where the user is allowed to use the web resource, even if the user's identifier and password are normally known, the user may not be authorized to access the web resource. There will be no.

Description

사용자의 위치 정보를 이용한 데이터 액세스 제어방법{Method for controlling data access using location information of user}Method for controlling data access using location information of user}

본 발명은 제한된 위치에서만 웹 서비스를 사용하거나 웹 페이지를 접근할 수 있도록 제어하기 위하여 사용자의 물리적 위치 정보를 이용한 웹 접근 제어 기법에 관한 것으로, 웹 서버가 사용자의 위치 정보를 확인할 수 있는 시도(challenge)를 보내고, 사용자는 이에 응답함으로써 접근 권한에 대한 검증이 이루어지는 방식으로 구성된 데이터 액세스 제어 방법을 제안한다.The present invention relates to a web access control scheme using a user's physical location information to control the use of a web service or access to a web page only in a limited location. In response to this, the user proposes a data access control method configured in such a manner that verification of access authority is performed.

아울러, 본 발명은 지식경제부의 대학 IT 연구센터 육성 지원 사업의 일환으로 정보통신연구진흥원이 주관하는 연구사업을 수행한 결과로부터 도출된 것이다[과제관리번호: IITA-2008-C1090-0801-0003, 과제명: 국방 IT 전술통신 기술 연구].In addition, the present invention is derived from the result of conducting a research project administered by the Information and Communications Research Institute as part of the support project for the development of the university IT research center of the Ministry of Knowledge Economy. [Task Management Number: IITA-2008-C1090-0801-0003, Project Name: Defense IT Tactical Communication Technology Research].

종래의 웹 페이지에 대한 접근 제어 기법은 사용자의 식별자 및 비밀번호를 이용하여 현재 사용자가 합법적인 사용자인지를 판단하는 방법이 주로 사용되었다. 즉, 사용자가 웹에 접근한 후 자신의 식별자와 패스워드를 입력하는 방법이다. 하지만 이는 식별자와 패스워드를 알면 어디서라도 웹 접근이 가능하다는 단점이 있 다. 게다가 사용자가 임의로 결정하는 비밀번호는 일반적으로 사용자 자신과 연관이 있거나 암기하기 쉬운 것으로 지정되는 경향이 있어, 공격자가 사전공격을 통해서 어렵지 않게 파악할 수 있다. In the conventional access control scheme for a web page, a method of determining whether a current user is a legitimate user using an identifier and a password of the user has been mainly used. In other words, the user enters his or her identifier and password after accessing the web. However, this has the disadvantage that the web can be accessed from anywhere if the identifier and password are known. In addition, passwords that the user decides arbitrarily tend to be generally associated with the user or easy to memorize, making it easy for attackers to identify through dictionary attacks.

또 다른 제어 기법으로는 인트라넷의 경우에, IP나 MAC 주소를 기반으로 웹 자원에 대한 접근을 제어하는 방법을 사용하기도 한다. 이는 네트워크로 진입하는 유일한 경로에 방화벽을 설치하여 지정되지 않은 범위의 IP 주소와 MAC 주소를 차단하는 기법이다. 하지만 IP 주소나 MAC 주소는 손쉽게 수정이 가능하므로, 내부의 공격자가 IP를 수정하거나 MAC 주소를 수정하여 접근을 시도하면 이를 차단하기 어렵다. Another control technique is the case of intranet, which controls access to web resources based on IP or MAC address. This is a technique to block IP addresses and MAC addresses in an unspecified range by installing a firewall on the only path to the network. However, since the IP address or MAC address can be easily modified, it is difficult to block when an internal attacker tries to access the IP or modify the MAC address.

본 발명은 상기한 바와 같이 종래의 사용자 식별자 및 패스워드를 이용하여 웹 페이지 및 자원을 액세스하려는 사용자를 인증하는 방법이 지니는 문제점을 해결하기 위해, 사용자의 위치에 따라 웹 접속을 제어하여 사용자가 실제 존재하는 지리적인 위치에 따라 기밀 문서 및 기밀 자료에 대한 사용을 제어하는데 그 목적이 있다. 본 방법을 이용하면 사용자는 정해진 지역에서만 웹에 존재하는 자료를 이용할 수 있고, 비록 공격자가 사용자의 비밀번호를 불법적으로 취득하여도 정해진 위치에 있지 않으면 데이터를 사용할 수 없게 된다. 이 방법은 위치 정보를 획득할 수 있는 장치인 위치 참조 노드와 위치 정보 수신 장치를 휴대한 장치에서는 어떤 네트워크 환경에서도 사용이 가능하다. The present invention is to solve the problem of the method of authenticating a user to access a web page and resources using a conventional user identifier and password as described above, the user is actually present by controlling the web connection according to the user's location Its purpose is to control the use of confidential documents and confidential materials based on their geographical location. Using this method, the user can use the data existing on the web only in the designated area, and even if the attacker illegally acquires the user's password, the user cannot use the data. This method can be used in any network environment in a device carrying a location reference node and a location information receiving device which can acquire location information.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 사용자의 위치 정보를 이용한 데이터 액세스 제어방법은 데이터 액세스를 위한 요청을 외부 서버로 전송하는 단계와; 상기 외부 서버로부터 데이터 접근 권한 인증 요청을 수신하는 단계와; 상기 사용자의 위치에 인접한 위치 참조 노드로부터 상기 사용자의 위치 정보를 확인하는 단계와; 상기 확인된 위치 정보를 이용하여, 데이터 접근 권한 인증 응답을 상기 외부 서버로 전송하는 단계와; 상기 외부 서버로부터 상기 데이터 접근 권한을 인증받아 상기 데이터를 액세스하는 단계를 포함한다.According to an aspect of the present invention, there is provided a data access control method using location information of a user, the method comprising: transmitting a request for data access to an external server; Receiving a data access right authentication request from the external server; Confirming location information of the user from a location reference node adjacent to the location of the user; Transmitting a data access right authentication response to the external server by using the identified location information; Authenticating the data access right from the external server to access the data.

상기 사용자의 식별자 및 패스워드를 이용하여, 상기 사용자가 외부 서버에 기등록된 사용자인지를 인증하는 단계를 더 포함하는 것이 바람직하다.The method may further include authenticating whether the user is a user registered in an external server using the user's identifier and password.

상기 데이터 접근 권한 인증 요청은 상기 사용자가 요청한 상기 데이터에 대 하여 액세스 가능한 위치에 할당된 식별번호 및 상기 사용자의 인증 단계에서 배포된 세션키로부터 획득되는 암호화키인 위치키를 이용하여 생성된 해쉬값을 포함하는 것이 바람직하다.The data access right authentication request is a hash value generated using an identification number assigned to a location accessible to the data requested by the user and a location key which is an encryption key obtained from a session key distributed in the authentication step of the user. It is preferable to include.

상기 위치 참조 노드로부터 상기 사용자의 위치 정보를 확인하는 단계는, 상기 위치 참조 노드의 고유 비밀값을 수신하는 단계를 더 포함하며, 상기 고유 비밀값은 상기 위치 참조 노드의 식별자를 포함한 입력값에 대하여 상기 위치 참조 노드의 고유키를 이용하여 생성된 해쉬값인 것이 바람직하다.Confirming the location information of the user from the location reference node further includes receiving a unique secret value of the location reference node, wherein the unique secret value is for an input value including an identifier of the location reference node. It is preferably a hash value generated using the unique key of the location reference node.

상기 외부 서버는 상기 위치키를 이용하여 해쉬값을 생성한 후 상기 전송된 데이터 접근 권한 인증 응답값과의 일치 여부를 확인하며, 상기 결과 일치한 것으로 확인되는 경우에, 상기 위치 참조 노드의 고유키를 이용하여 해쉬값을 생성한 후 상기 고유 비밀값과의 일치 여부를 확인하는 것이 바람직하다.After generating the hash value using the location key, the external server checks whether or not it matches the transmitted data access right authentication response value, and if it is confirmed that the result is identical, the unique key of the location reference node. After generating a hash value by using it is preferable to check whether the match with the unique secret value.

나아가, 본 발명은 상기 사용자의 위치 정보를 이용한 데이터 액세스 제어방법을 컴퓨터상에서 구현하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체를 더 포함한다.Furthermore, the present invention further includes a computer-readable recording medium having recorded thereon a program for implementing a data access control method using the location information of the user on a computer.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다. DETAILED DESCRIPTION In order to fully understand the present invention, the operational advantages of the present invention, and the objects achieved by the practice of the present invention, reference should be made to the accompanying drawings which illustrate preferred embodiments of the present invention and the contents described in the drawings.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 본 발명은 이하 서술한 전형적인 바람직한 실시 예들에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술 분야에 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허 청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.The above-mentioned objects, features and advantages will become more apparent from the following detailed description in conjunction with the accompanying drawings. It is to be understood that the present invention is not limited to the typical preferred embodiments described below, and that various modifications, changes, substitutions, or additions can be made without departing from the spirit of the invention. If you have it, you can easily understand it. If such improvement, change, substitution or addition is carried out within the scope of the appended claims, then the technical spirit should also be regarded as belonging to the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.

도 1은 사용자의 위치에 따라, 위치 참조 노드(130)로부터 일정 범위 내에 있는 경우(120-1의 경우)와 범위를 벗어난 경우(120-2의 경우)에 웹 페이지에 대한 접근의 허용 여부가 달라짐을 나타내는 도면이다. 즉, 사용자가 정해진 특정 지역 내에서는 웹 파일과 같은 데이터 자원에 대하여 액세스할 수 있으나(정상적인 웹 페이지 출력), 정해진 지역의 경계(boundary, 점선으로 표시된 (A))를 벗어나면 해당 파일을 액세스할 수 없음(ⓧ로 표시된 화면 출력)을 나타내는 도면이다.1 shows whether or not access to a web page is allowed within a certain range (120-1) and out of range (120-2) from the location reference node 130 according to the user's location. It is a figure which shows a change. That is, data such as web files within a given geographic region. It is a diagram showing that a resource can be accessed (normal web page output), but the file cannot be accessed (a screen output indicated by ⓧ) outside the boundaries of a given area (A) indicated by a dotted line.

먼저 사용자(120-1, 120-2)는 외부 서버(110)에 웹 페이지를 요청하는 등의 데이터에 대한 액세스를 요청한다. 이때 외부 서버(110)는 사용자의 위치 정보를 요구하고, 해당 웹 페이지를 볼 수 있는 특정 지역(A 영역)에 있는지를 검증한다. 그 결과, 검증 과정을 통과한 사용자(120-1)만이 요청한 웹 페이지 또는 웹 자원을 사용할 수 있게 된다.First, the users 120-1 and 120-2 request access to data such as a web page request from the external server 110. At this time, the external server 110 requests the user's location information and verifies whether the web server is located in a specific area (area A) where the web page can be viewed. As a result, only the user 120-1 who has passed the verification process can use the requested web page or web resource.

기업의 웹 기반 워크플로우 시스템 및 웹 기반 업무관리 시스템 등에서는 사용자의 각 위치별로 접근 제어가 이루어질 필요가 있다. 더욱이 군사부문에서 사용 하는 웹 기반 직무 시스템의 경우에 각 문서, 파일 및 웹 페이지 등을 접근할 수 있는 물리적인 위치를 제한할 필요성이 더욱 두드러진다. 일반 사기업의 기밀문서의 경우도 마찬가지다. 따라서 본 발명은 웹 서버에서 지정한 정책에 따라서 특정 자원을 특정 위치에서만 접근할 수 있도록 제한하는 방법에 대해 상술한다. In a company's web-based workflow system and web-based work management system, access control needs to be performed for each location of a user. Moreover, in the case of the web-based job system used in the military sector, the need to limit the physical location where each document, file and web page can be accessed becomes more pronounced. The same is true for confidential documents of private companies. Accordingly, the present invention will be described in detail with respect to a method for restricting access to a specific resource only at a specific location according to a policy specified by the web server.

이로써 정해지지 않은 임의의 위치에서는 제3자가 웹 자원을 사용할 수 없게 되어 보다 안전하게 웹 자원을 보호할 수 있으며, 조직 내부 인력 사이에도 권한이 없는 인력이 불법적으로 기밀성이 필요한 데이터를 사용할 수 없게 할 수 있다. 이는 웹서비스의 사용 및 웹 기반 직무 시스템의 사용을 안전하게 유지하는데 효과적이다.This makes it impossible for third parties to use web resources in any location that has not been determined, making it safer to secure web resources, and even allowing unauthorized personnel to use illegally confidential data among employees within the organization. . This is effective to keep the use of web services and web-based job systems safe.

따라서, 사용자가 웹 자원을 사용할 수 있도록 허락된 위치에 물리적으로 존재하지 않은 경우에 아무리 식별자와 패스워드를 알고 있다 하더라도 접근 권한을 인증 받을 수 없어 해당 웹 자원을 이용할 수 없게 된다. 따라서 기존의 식별자 및 패스워드 등으로만 사용자 인증을 하던 방식에 비해 강력한 접근 제어 수준을 제공한다. 본 발명에 따르면 외부 경로 또는 내부 경로 등 어떤 방법으로든 웹 자원을 사용하기 위해서는 사전에 허락된 위치에 사용자가 존재해야 한다. 따라서 최근 성행하고 있는 해킹 및 내부자의 정보 유출 등에 의한 다양한 정보 유출의 위협에서 벗어날 수 있다.Therefore, even if the user does not physically exist at the location where the user is allowed to use the web resource, even if he or she knows the identifier and password, the user cannot be authenticated and cannot use the web resource. Therefore, it provides stronger access control level than user authentication with only identifier and password. According to the present invention, in order to use a web resource in any way such as an external path or an internal path, a user must exist at a previously permitted location. Therefore, it can escape from the threat of various information leakage caused by the recent hacking and insider information leakage.

본 발명은 위치 정보를 획득할 수 있는 방안이 제공되는 경우에 한해, 웹 서비스 또는 웹 서버와 클라이언트로 구성되어 제공되는 모든 서비스에서 활용이 가능하다.The present invention can be utilized in all services provided by a web service or a web server and a client provided that a method for obtaining location information is provided.

도 2는 본 발명의 일 실시예에 따라, 사용자의 위치 정보를 이용한 데이터 액세스 제어방법을 설명하기 위한 플로우 차트이다.2 is a flowchart illustrating a data access control method using location information of a user according to an embodiment of the present invention.

도 2를 참조하면, 사용자의 위치 정보를 이용한 데이터 액세스 제어방법은 데이터 액세스를 위한 요청을 외부 서버로 전송하는 단계(210)와 상기 외부 서버로부터 데이터 접근 권한 인증 요청을 수신하는 단계(220)와 상기 사용자의 위치에 인접한 위치 참조 노드로부터 상기 사용자의 위치 정보를 확인하는 단계와(230) 상기 확인된 위치 정보를 이용하여, 데이터 접근 권한 인증 응답을 상기 외부 서버로 전송하는 단계(240)와 상기 외부 서버로부터 상기 데이터 접근 권한을 인증받아(250) 상기 데이터를 액세스하는 단계(260)를 포함한다.Referring to FIG. 2, the method for controlling data access using location information of a user includes transmitting 210 a request for data access to an external server and receiving 220 a data access authority authentication request from the external server. Confirming the location information of the user from a location reference node adjacent to the location of the user (230) and transmitting a data access right authentication response to the external server using the identified location information (240) and the In step 250, the data access authority is authenticated from an external server to access the data.

상기 데이터 액세스 제어방법은 사용자, 외부 서버 및 위치 참조 노드로 이루어진 구조를 가지는바 이하 각 주체별 동작과정을 시간의 순서에 따라 나타낸 도 3을 참조하여 본 발명의 데이터 액세스 제어방법을 상세히 기술한다.The data access control method has a structure consisting of a user, an external server, and a location reference node. Hereinafter, the data access control method of the present invention will be described in detail with reference to FIG.

도 3은 본 발명의 일 실시예에 따라, 사용자의 위치 정보를 이용한 데이터 액세스의 제어 동작과정을 각각의 사용자(120), 웹 서버(110) 및 위치 참조 노드(130)별로 나타낸 흐름도이다. 본 발명을 위한 위치 참조 노드는 무선랜 AP나 ZigBee 센서 노드 등을 이용하여 구현될 수 있다. 3 is a flowchart illustrating a control operation of data access using location information of a user for each user 120, a web server 110, and a location reference node 130, according to an exemplary embodiment. The location reference node for the present invention may be implemented using a WLAN AP or a ZigBee sensor node.

도 3을 참조하면, 본 발명의 일 실시예에 따른 데이터 액세스 제어방법은 사용자가 웹 자원을 사용하기 위해서 접근 요청을 수행하는 제1 단계, 웹 서버가 사용자 인증을 수행하고, 사용자의 위치 인증을 추가적으로 하기 위해 사용자에게 권한 인증 요청을 하는 제2 단계, 권한 인증 요청에 응답하기 위하여 인접한 위치 참 조 노드를 통해 사용자의 위치 정보를 획득하는 제3 단계, 획득된 위치 정보를 이용하여 권한 인증 응답을 생성하고 웹 서버에게 전달하는 제 4단계, 사용자의 위치 정보를 이용하여 권한 인증을 성공적으로 수행하고 웹 자원에 대한 접근 권한을 부여받는 제 5단계로 이루어진다.Referring to FIG. 3, a data access control method according to an embodiment of the present invention includes a first step in which a user performs an access request to use a web resource, a web server performs user authentication, and user authentication of a location. In addition, a second step of requesting the user for authorization authentication, a third step of acquiring the location information of the user through an adjacent location reference node in order to respond to the authorization authentication request, and an authorization authentication response using the acquired location information The fourth step of generating and transmitting to the web server, the fifth step of successfully performing the authorization authentication using the user's location information and granting access to the web resources.

먼저 제 1단계에서 사용자는 자신이 원하는 웹 자원을 액세스하기 위한 요청을 웹 서버로 전송한다. 일 실시예에서 각종 파일, 동영상, 웹 메뉴, 웹 페이지 등 웹 브라우저를 통해 접근할 수 있는 모든 데이터가 웹 자원이 된다. First, in the first step, the user sends a request to the web server to access a web resource he / she wants. In one embodiment, all data that can be accessed through a web browser, such as various files, videos, web menus, and web pages, become web resources.

이때 사용자의 인증이 이미 이루어져 있을 경우에는 사용자 인증 요청의 단계가 불필요하여 제외되지만, 그렇지 않은 경우는 사용자 자신의 식별자와 패스워드를 함께 전송하여 서버에 기등록된 사용자인지를 확인하는 사용자 인증도 동시에 수행할 수도 있다.In this case, if the user's authentication has already been made, the step of requesting user authentication is unnecessary, but otherwise, the user authentication that checks whether the user is already registered on the server by transmitting the user's own identifier and password is also performed at the same time. You may.

제 2단계에서 웹 서버는 우선 사용자에 대한 인증이 선행되었는지를 검사한 후, 사용자 인증이 이미 수행되어 필요하지 않으면 곧바로 위치 인증을 수행하고, 그렇지 않으면 액세스 요청에 포함된 사용자 식별자와 패스워드를 이용해 사용자 인증을 먼저 수행 후 위치 인증을 수행한다. In the second step, the web server first checks whether the user has been authenticated, and if the user has already been authenticated, performs location verification immediately, if not necessary, otherwise the user uses the user identifier and password included in the access request. Perform authentication first, then location authentication.

위치 인증 수행을 위해서 사전에 데이터베이스화 되어있는 웹 자원별 허용 위치 정보를 검색하여, 요청된 자원이 특정 위치에서만 검색 가능한 것인지를 검사한다. 만약 요청된 웹 자원이 특정 위치에서만 접근이 가능하도록 설정된 경우, 웹 자원에 설정된 위치 정보를 이용하여 위치키 LK를 생성한다. 위치키 LK는 각각의 장소(예: 사무실, 방)의 식별번호와 사용자 인증과정에서 배포된 세션키 SK를 입력 으로 하여 DES, AES 등의 대칭키 암호화 알고리즘을 계산하여 얻는다. In order to perform the location authentication, the allowed location information for each web resource in the database is searched in advance, and it is checked whether the requested resource can be searched only at a specific location. If the requested web resource is set to be accessible only at a specific location, the location key LK is generated using the location information set in the web resource. Location key LK is obtained by inputting identification number of each place (eg office, room) and session key SK distributed during user authentication process.

생성된 위치키 LK를 이용하여 웹 서버는 다음과 같은 접근 권한 인증 요청을 사용자에게 전송한다. Using the generated location key LK, the web server sends the following access authorization request to the user.

접근 권한 인증 요청 = [ N| TS| HMACLK{N|TS} ]Request access authorization = [N | TS | HMAC LK {N | TS}]

여기서 HMAC은 키정보(예: 위치키 LK)를 사용하여 해쉬값을 생성하는 알고리즘을 의미하며, N은 임의의 난수 및 TS는 당시의 시간값을 의미한다. TS는 인증 요청을 재사용하는 공격을 막는다.Here, HMAC refers to an algorithm for generating a hash value using key information (for example, location key LK), and N represents an arbitrary random number and TS represents a time value at that time. TS prevents attacks that re-use authentication requests.

제 3단계에서 사용자는 주변의 위치 참조 노드와 협력하여 자신의 위치 정보를 확인하고, 이를 통해서 웹 서버에게 인증받기 위한 권한 인증 응답을 생성한다. 이를 위해서 우선 사용자는 주변의 위치 참조 노드에게 해당 위치 정보를 요청한다.  In the third step, the user checks the location information of the user in cooperation with the surrounding location reference nodes, and generates the authorization authentication response to be authenticated by the web server. To do this, the user first requests the corresponding location information from surrounding location reference nodes.

요청을 받은 위치 참조 노드는 자신이 가지고 있는 위치 정보 L과 위치 참조 노드가 선택한 임의의 난수 M과 위치 참조 노드 자신만이 생성할 수 있는 고유 비밀값 HMACKa{IDA|M|TS}을 사용자에게 전송한다.The requested location reference node uses the location information L it has, any random number M selected by the location reference node, and a unique secret HMAC Ka {ID A | M | TS} that only the location reference node itself can generate. Send to.

제 4단계에서 사용자는 앞서 획득한 위치 정보와 자신이 인증 단계에서 얻은 세션키 SK를 입력으로 하여 위치키 LK를 생성한다. 생성된 위치키를 이용하여 제 2단계에서 서버측이 보낸 인증 요청값을 직접 생성한다. 자신이 생성한 인증 요청값과 수신된 인증 요청값이 일치하면 서버에게 전송할 인증 응답을 계산한다. In the fourth step, the user generates location key LK by inputting the previously obtained location information and the session key SK obtained in the authentication step. Using the generated location key, directly generate the authentication request value sent from the server in the second step. If the generated authentication request value and the received authentication request value match, the authentication response to be sent to the server is calculated.

인증 응답은 서버가 보내온 임의의 난수 N에 1을 더한 값과 TS와 위치키 LK 를 입력으로 하여 HMAC 알고리즘을 통해 계산된다. 다음은 접근 권한 인증 응답을 생성하는 식이다.The authentication response is calculated by the HMAC algorithm with the random number N sent from the server plus 1 and the TS and location key LK. The following is an example of creating an access authorization response.

접근 권한 인증 응답 = HMACLK{N+1|TS}Access Authorization Response = HMAC LK {N + 1 | TS}

사용자는 제 3단계에서 위치 참조 노드로부터 수신한 임의의 난수 M과 고유 비밀값과 상기 인증 응답을 웹 서버에게 전송함으로써 제 4단계는 종료된다.The fourth step is terminated by sending a random random number M, a unique secret value, and the authentication response to the web server received from the location reference node in the third step.

제 5단계에서는 웹 서버가 사용자가 보낸 인증 응답과 고유 비밀값을 검증함으로써, 사용자가 정해진 위치에 물리적으로 실제 존재하는지를 검증하는 과정이다. In the fifth step, the web server verifies whether the user is physically present at the predetermined location by verifying the authentication response and the unique secret value sent by the user.

웹 서버는 자신이 선택한 임의의 난수 N에 1을 더한 값과 자신이 알고 있는 TS를 이용하여 인증 응답값을 생성하고, 이 값이 사용자가 보내온 값과 동일한 지를 검사한다. The web server generates an authentication response value using a random number N selected by the user plus 1 and a TS known to the user, and checks whether the value is the same as the value sent by the user.

일치할 경우에 웹 서버는 다음으로 사용자가 보내온 고유 비밀값이 위조되지 않았는지를 검사한다. 이를 위해서 지정된 위치에 존재해야 하는 위치 참조 노드의 식별자와 사용자가 보내온 임의의 난수 M과 TS를 이용하여 비밀값을 생성하고, 생성된 값이 사용자가 보내온 고유 비밀값과 일치하는지를 검사한다. If there is a match, the web server then checks to see if the unique secret sent by the user has been forged. To do this, a secret value is generated by using the identifier of the location reference node that must exist at the specified location and the random numbers M and TS sent by the user, and the generated value is checked to match the unique secret value sent by the user.

만약 일치하면 사용자가 정해진 위치에 있음을 의미하고 웹 서버는 사용자가 요청한 자원을 전송한다. 인증 응답과 고유 비밀값 둘 중에 하나라도 일치하지 않으면 인증은 실패하고 사용자는 웹 자원에 접근할 수 없다.If it matches, it means that the user is in a fixed location and the web server sends the resource requested by the user. If either authentication response or unique secret does not match, authentication fails and the user cannot access the web resource.

이러한 방법은 여러 통신 기술 및 응용과 독립적으로 구성되어 개발될 수 있 으므로 새로 개발될 통신 기술 및 응용은 물론이고, 기존의 다양한 통신 기술 및 응용 프로그램에서도 사용할 수 있다. Since this method can be developed independently of various communication technologies and applications, it can be used in various existing communication technologies and applications as well as newly developed communication technologies and applications.

또한 특정 표준에 의존하여 동작하는 방법이 아니므로 데이터를 암호화하여 전송해야 하는 어떠한 프로토콜에서도 쉽게 적용할 수 있다.Also, it is not a method that operates according to a specific standard, so it can be easily applied to any protocol that needs to encrypt and transmit data.

이상 상세히 설명한 바와 같이 본 발명에 따르면, 사용자가 웹 자원을 사용할 수 있도록 허락된 위치에 물리적으로 존재하지 않을 경우 식별자와 정상적인 패스워드를 알고 있다 하더라도 접근 권한을 인증받을 수 없어 결국 웹 자원을 이용할 수 없게 된다. As described in detail above, according to the present invention, even if the user does not physically exist in the location where the user is allowed to use the web resource, even if the user knows the identifier and the normal password, the access right cannot be authenticated, and thus the user cannot use the web resource. do.

즉, 웹 자원을 사용하기 위해서는 사전에 허락된 위치에 사용자가 존재해야 한다. 따라서 최근 성행하고 있는 해킹 및 내부자의 정보 유출 등에 의한 다양한 정보 유출 위협에서 벗어날 수 있으며, 여러 기업 및 정부기관, 학교 등의 인터넷을 이용한 웹 기반 직무 시스템 등을 안전하게 보호할 수 있고, 이로 인해 보안 위협으로 인해 위축된 웹 서비스 시장 및 웹 기반 직무시스템 및 워크플로우 시스템 시장의 활성화를 유도할 수 있다.In other words, a user must exist in a previously allowed location to use a web resource. Therefore, it is possible to escape from various information leakage threats caused by hacking and insider information leakage that have recently been active, and can secure web-based job systems using the Internet of various companies, government agencies, schools, etc. As a result, the shrinking web service market and web-based job system and workflow system market can be stimulated.

한편, 상술한 본 발명의 사용자의 위치 정보를 이용한 데이터 액세스 제어방법은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. On the other hand, the data access control method using the user's location information of the present invention described above can be written in a program that can be executed in a computer, and can be implemented in a general-purpose digital computer operating the program using a computer-readable recording medium. Can be.

또한, 상술한바와 같이 본 발명에서 사용된 데이터의 구조는 컴퓨터로 읽을 수 있는 기록매체에 여러 수단을 통하여 기록될 수 있다. In addition, as described above, the structure of the data used in the present invention can be recorded on the computer-readable recording medium through various means.

상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다. The computer-readable recording medium may be a magnetic storage medium (for example, a ROM, a floppy disk, a hard disk, etc.), an optical reading medium (for example, a CD-ROM, a DVD, etc.) and a carrier wave (for example, the Internet). Storage medium).

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

도 1은 사용자의 위치에 따라, 위치 참조 노드로부터 일정 범위 내에 있는 경우와 범위를 벗어난 경우에 웹 페이지에 대한 접근의 허용 여부가 달라짐을 나타내는 도면이다.FIG. 1 is a diagram illustrating whether access to a web page is allowed when a user is within a certain range from a location reference node and when it is out of a range according to a user's location.

도 2는 본 발명의 일 실시예에 따라, 사용자의 위치 정보를 이용한 데이터 액세스 제어방법을 설명하기 위한 플로우 차트이다.2 is a flowchart illustrating a data access control method using location information of a user according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따라, 사용자의 위치 정보를 이용한 데이터 액세스의 제어 동작과정을 각각의 사용자, 웹 서버 및 위치 참조 노드별로 나타낸 흐름도이다.3 is a flowchart illustrating a process of controlling data access using location information of a user for each user, a web server, and a location reference node according to an embodiment of the present invention.

상기 몇 개의 도면에 있어서 대응하는 도면 번호는 대응하는 부분을 가리킨다. 도면이 본 발명의 실시예들을 나타내고 있지만, 도면이 축척에 따라 도시된 것은 아니며 본 발명을 보다 잘 나타내고 설명하기 위해 어떤 특징부는 과장되어 있을 수 있다. Corresponding reference numerals in the several drawings indicate corresponding parts. Although the drawings show embodiments of the invention, the drawings are not to scale and certain features may be exaggerated to better illustrate and explain the invention.

Claims (5)

사용자의 위치 정보를 이용한 데이터 액세스 제어방법에 있어서,In the data access control method using the user's location information, 데이터 액세스를 위한 요청을 외부 서버로 전송하는 단계와;Sending a request for data access to an external server; 상기 외부 서버로부터 데이터 접근 권한 인증 요청을 수신하는 단계와;Receiving a data access right authentication request from the external server; 상기 사용자의 위치에 인접한 위치 참조 노드로부터 상기 사용자의 위치 정보를 확인하는 단계와;Confirming location information of the user from a location reference node adjacent to the location of the user; 상기 확인된 위치 정보를 이용하여, 데이터 접근 권한 인증 응답을 상기 외부 서버로 전송하는 단계와;Transmitting a data access right authentication response to the external server by using the identified location information; 상기 외부 서버로부터 상기 데이터 접근 권한을 인증받아 상기 데이터를 액세스하는 단계를 포함하며,Authenticating the data access right from the external server to access the data, 상기 위치 참조 노드로부터 상기 사용자의 위치 정보를 확인하는 단계는, 상기 위치 참조 노드의 고유 식별자를 포함하는 상기 위치 참조 노드의 고유 비밀값을 수신하는 단계를 더 포함하는 것을 특징으로 하는 데이터 액세스 제어방법.Identifying the location information of the user from the location reference node further comprises receiving a unique secret value of the location reference node comprising a unique identifier of the location reference node. . 제1항에 있어서,The method of claim 1, 상기 사용자의 식별자 및 패스워드를 이용하여, 상기 사용자가 외부 서버에 기등록된 사용자인지를 인증하는 단계를 더 포함하는 것을 특징으로 하는 데이터 액세스 제어방법.And authenticating whether the user is a user registered in an external server by using the identifier and password of the user. 제2항에 있어서,The method of claim 2, 상기 데이터 접근 권한 인증 요청은, 상기 외부 서버가 생성한 난수를 포함한 입력값에 대하여, 위치키를 이용하여 생성된 해쉬값을 포함하며,The data access authority authentication request includes a hash value generated using a location key with respect to an input value including a random number generated by the external server, 상기 위치키는, 상기 사용자가 요청한 상기 데이터에 대하여 액세스 가능한 위치에 할당된 식별번호 및 상기 사용자의 인증 단계에서 배포된 세션키로부터 획득되는 암호화키인 것을 특징으로 하는 데이터 액세스 제어방법.And the location key is an encryption number obtained from an identification number assigned to a location accessible to the data requested by the user and a session key distributed in the authentication step of the user. 제3항에 있어서,The method of claim 3, 상기 고유 비밀값은, 상기 위치 참조 노드의 식별자, 및 상기 위치 참조 노드가 생성한 난수를 포함한 입력값에 대하여 상기 위치 참조 노드의 고유키를 이용하여 생성된 해쉬값인 것을 특징으로 하는 데이터 액세스 제어방법.And the unique secret value is a hash value generated using a unique key of the location reference node with respect to an input value including an identifier of the location reference node and a random number generated by the location reference node. Way. 제4항에 있어서,5. The method of claim 4, 상기 외부 서버는 상기 위치키를 이용하여 해쉬값을 생성한 후 상기 전송된 데이터 접근 권한 인증 응답값과의 일치 여부를 확인하며,The external server generates a hash value using the location key and checks whether the external server matches the transmitted data access right authentication response value. 상기 결과 일치한 것으로 확인되는 경우에, 상기 외부 서버는 상기 위치 참조 노드의 고유키를 이용하여 해쉬값을 생성한 후 상기 고유 비밀값과의 일치 여부를 확인하는 것을 특징으로 하는 데이터 액세스 제어방법.And if it is confirmed that the result matches, the external server generates a hash value using the unique key of the location reference node and then checks whether the unique secret value matches the unique secret value.
KR1020090065473A 2009-07-17 2009-07-17 Method for controlling data access using location information of user KR101073685B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090065473A KR101073685B1 (en) 2009-07-17 2009-07-17 Method for controlling data access using location information of user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090065473A KR101073685B1 (en) 2009-07-17 2009-07-17 Method for controlling data access using location information of user

Publications (2)

Publication Number Publication Date
KR20110007833A KR20110007833A (en) 2011-01-25
KR101073685B1 true KR101073685B1 (en) 2011-10-18

Family

ID=43614202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090065473A KR101073685B1 (en) 2009-07-17 2009-07-17 Method for controlling data access using location information of user

Country Status (1)

Country Link
KR (1) KR101073685B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130145027A1 (en) * 2011-12-01 2013-06-06 Microsoft Corporation Regulatory compliance across diverse entities
KR102374867B1 (en) * 2020-05-27 2022-03-15 양성기 System of managing educational institutes

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070101438A1 (en) * 2005-10-28 2007-05-03 Gunasekaran Govindarajan Location-based authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070101438A1 (en) * 2005-10-28 2007-05-03 Gunasekaran Govindarajan Location-based authentication

Also Published As

Publication number Publication date
KR20110007833A (en) 2011-01-25

Similar Documents

Publication Publication Date Title
KR102390108B1 (en) Information processing system and control method therefor
US6801998B1 (en) Method and apparatus for presenting anonymous group names
JP6426189B2 (en) System and method for biometric protocol standard
US9397990B1 (en) Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US20070101400A1 (en) Method of providing secure access to computer resources
US10333930B2 (en) System and method for transparent multi-factor authentication and security posture checking
US20140053252A1 (en) System and Method for Secure Document Distribution
US8191131B2 (en) Obscuring authentication data of remote user
JP2004185623A (en) Method and system for authenticating user associated with sub-location in network location
JP2009514072A (en) Method for providing secure access to computer resources
CN115333840B (en) Resource access method, system, equipment and storage medium
JP2022512352A (en) Timestamp-based authentication including redirection
KR101042234B1 (en) Method for protecting from unauthorized reading a classified digital document using location authentication in client document protection program
KR101073685B1 (en) Method for controlling data access using location information of user
Tutubala et al. A hybrid framework to improve data security in cloud computing
Simpson et al. Secure Identity for Enterprises.
JP7043480B2 (en) Information processing system and its control method and program
Takakuwa et al. The Transfer Access Protocol-Moving to New Authenticators in the FIDO Ecosystem
Cheng et al. IoT security access authentication method based on blockchain
Jensen Identity management lifecycle-exemplifying the need for holistic identity assurance frameworks
Liu et al. A policy-driven approach to access control in future internet name resolution services
KR101082480B1 (en) System and Method for Controlling Data Access using Environmental Information of User
Oh et al. Security interoperability in heterogeneous IoT platforms: threat model of the interoperable OAuth 2.0 framework
CN117061248B (en) Data security protection method and device for data sharing
Mirtalebi et al. A cryptography approach on security layer of web service

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140918

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161007

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee