KR101082480B1 - System and Method for Controlling Data Access using Environmental Information of User - Google Patents

System and Method for Controlling Data Access using Environmental Information of User Download PDF

Info

Publication number
KR101082480B1
KR101082480B1 KR1020090131431A KR20090131431A KR101082480B1 KR 101082480 B1 KR101082480 B1 KR 101082480B1 KR 1020090131431 A KR1020090131431 A KR 1020090131431A KR 20090131431 A KR20090131431 A KR 20090131431A KR 101082480 B1 KR101082480 B1 KR 101082480B1
Authority
KR
South Korea
Prior art keywords
unit
environment attribute
user device
attribute information
master key
Prior art date
Application number
KR1020090131431A
Other languages
Korean (ko)
Other versions
KR20110075088A (en
Inventor
임재성
김동규
박인준
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020090131431A priority Critical patent/KR101082480B1/en
Publication of KR20110075088A publication Critical patent/KR20110075088A/en
Application granted granted Critical
Publication of KR101082480B1 publication Critical patent/KR101082480B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04TINDEXING SCHEME RELATING TO STANDARDS FOR ELECTRIC COMMUNICATION TECHNIQUE
    • H04T2001/00Standards for wireless communication networks
    • H04T2001/209Applications
    • H04T2001/2095Location -, Position -, or Presence Services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

환경속성 정보를 이용한 데이터 접근 제어시스템 및 이를 이용하는 데이터 접근 제어방법이 개시된다. 보다 상세하게는 본 발명은, 데이터 접근 허가를 위한 인증을 요청하는 사용자 장치부와, 사용자 장치부가 속하는 환경속성으로부터 환경속성 정보값을 추출하여 사용자 장치부로 제공하고, 미리 결정된 환경속성의 환경속성 정보값을 생성하는 환경속성 제어부 및 주기적으로 갱신되며 사용자 장치부와 공유하는 세션키와 환경속성 제어부에서 생성된 상기 미리 결정된 환경속성 정보값을 이용하여 사용자 장치부의 데이터 접근허가를 인증하는 인증서버부를 포함하는 데이터 접근 제어시스템 및 데이터 접근 제어방법에 관한 것이다.Disclosed are a data access control system using environmental attribute information and a data access control method using the same. More specifically, the present invention extracts the environmental attribute information value from the user device unit requesting authentication for data access permission and the environment attribute to which the user device unit belongs, and provides it to the user device unit, and the environment attribute information of the predetermined environment attribute. An environment attribute control unit for generating a value and an authentication server unit for authenticating data access permission of the user device unit by using a session key shared periodically with the user device unit and the predetermined environment attribute information value generated by the environment attribute control unit. It relates to a data access control system and a data access control method.

암호화, 환경속성, 세션키, 마스터키, 사용자 장치부, 데이터 접근 Encryption, Environment Properties, Session Key, Master Key, User Device Part, Data Access

Description

환경속성 정보를 이용한 데이터 접근 제어시스템 및 그 방법{System and Method for Controlling Data Access using Environmental Information of User}System and Method for Controlling Data Access using Environmental Information of User}

본 발명은 정해진 환경속성 안에만 데이터에 접근할 수 있도록 제어하기 위서 사용자의 환경속성 정보를 이용한 데이터 접근 제어시스템 및 그 방법에 관한 것이다.The present invention relates to a data access control system and method using the environment attribute information of the user to control the data to access only within a predetermined environment attribute.

구체적으로, 데이터가 저장되는 장치에서 사용자의 환경속성 정보를 확인할 수 있는 신호(challenge)를 보내고, 사용자는 사용자의 환경속성 정보에 기초하여 응답하여 데이터에 접근할 권한을 인증하는 기술에 관한 것이다.More specifically, the present invention relates to a technology for transmitting a signal for confirming user's environmental attribute information in a device in which data is stored, and for authenticating a user's authority to access data in response to the user's environmental attribute information.

또한, 본 발명은 제한된 환경에서만 휴대용 장치를 사용할 수 있도록 제어를 하기 위해서 휴대용 장치와 인증서버가 사용자의 환경속성 정보를 이용하여 휴대용 장치의 사용을 통제하는 접근 제어방법에 관한 것이다.In addition, the present invention relates to an access control method for controlling the use of a portable device by using a user's environment attribute information in order to control the portable device to be used only in a limited environment.

또한, 본 발명은 정보 유출에 대한 대응책 및 전자문서 보안 솔루션 등의 데이터 보완기술에 관한 것이다.The present invention also relates to data complementary technologies such as countermeasures against information leakage and electronic document security solutions.

일반적으로, 데이터에 대한 접근 제어기법은 사용자의 식별자와 비밀번호를 이용하여 현재의 사용자가 적법한 사용자인지를 인증하는 방법이 주로 사용되었다.In general, a method of controlling access to data mainly uses a method of authenticating whether a current user is a legitimate user using an identifier and a password of the user.

즉, 사용자가 데이터가 저장된 장치, 또는 웹에 접근한 수 자신의 식별자와 비밀번호를 입력하는 방법으로 사용자의 접근을 제어하는 식이었다. 그러나, 이는 식별자와 비밀번호(패스워드)를 알면 어디서라도 데이터에 접근이 가능하다는 단점을 내포하고 있다.In other words, the user's access is controlled by inputting his or her identifier and password when the user accesses the device where the data is stored or the web. However, this implies that the data can be accessed from anywhere if the identifier and password (password) are known.

또한, 사용자가 임의로 결정하는 식별자 및 비밀번호는 일반적으로 사용자 자신과 연관되어 있거나 암기하기 쉬운 것으로 지정되는 경향이 있어, 공격자가 사전공격 등을 통해 어렵지 않게 파악할 수 있는 단점이 있었다.In addition, identifiers and passwords that are arbitrarily determined by a user generally tend to be associated with the user or designated as easy to memorize, so that an attacker can easily grasp through a prior attack.

다른 데이터 접근 제어기법으로는 인트라넷의 경우에, IP주소나 MAC주소를 기반으로 웹의 데이터에 대한 접근을 제어하는 방법을 사용하기도 하였다. 이는 네트워크로 진입하는 유일한 경로에 방화벽을 설치하여 지정되지 않은 범위의 IP주소나 MAC주소를 차단하기 위한 방법이다. 그러나 IP주소나 MAC주소는 손쉽게 수정이 가능하여, 내부의 공격자가 IP주소를 수정하거나 MAC주소를 수정하여 접근을 시도하는 경우에는 이를 차단하기 어려운 문제점이 있었다.As another data access control method, in the case of an intranet, a method of controlling access to data on the web based on an IP address or a MAC address has been used. This is a way to block IP addresses or MAC addresses in an unspecified range by installing a firewall on the only path to the network. However, since the IP address or MAC address can be easily modified, it is difficult to block when an attacker tries to access the IP address or the MAC address by modifying the IP address.

상술한 문제점을 해결하기 위한 관점으로부터 본 발명은 데이터에 접근을 제어하기 위해 사용자 장치부가 적합한 환경속성에 있는지를 사전에 결정된 정책에 따라 환경속성 정보를 검증하는 방법을 제공하는 것을 목적으로 한다.In view of the above-mentioned problem, an object of the present invention is to provide a method for verifying environmental attribute information according to a predetermined policy to determine whether a user device unit is in an appropriate environmental attribute to control access to data.

또한, 사용자가 정해진 환경에서만 사용자 장치부를 사용하도록 하며, 사용자 장치부가 있는 장소의 환경속성 정보를 기반으로 보안키(마스터키)를 생성하고 이를 이용해 장치의 사용을 제한하는 방법을 제공하는 것을 목적으로 한다.In addition, the purpose of the user to use the user device only in a predetermined environment, and to create a security key (master key) based on the environment attribute information of the location where the user device is located, and to provide a method of limiting the use of the device using this. do.

그러나, 본 발명의 기술적 과제는 상기에 언급된 사항으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.However, the technical problem of the present invention is not limited to the above-mentioned matters, and other objects not mentioned will be clearly understood by those skilled in the art from the following description.

상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 데이터 접근 제어시스템은, 데이터 접근 허가를 위한 인증을 요청하는 사용자 장치부와, 미리 결정된 제1 환경속성 정보값을 생성하고, 상기 사용자 장치부의 환경속성에 해당하는 제2 환경속성 정보값을 추출하여 상기 사용자 장치부로 제공하는 환경속성 제어부 및 주기적으로 갱신되며 상기 사용자 장치부와 공유하는 세션키와 상기 환경속성 제어부에서 생성된 상기 제1 환경속성 정보값 및 제2 환경속성 정보값을 이용하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 인증서버부를 포함한다. 본 명세서에서 사용되는 제1 환경속성 정보값은 미리 결정된 값이며, 제2 환경속성 정보값은 사용자의 환경속성에 따라 변화될 수 있는 값이다. 또한, 제1 마스터키는 상기 제1 환경속성 정보값에 의해 생성되는 마스터키로 데이터 암호화를 위한 키이며, 제2 마스터키는 상기 제2 환경속성 정보값에 의해 생성되는 마스터키로 데이터 복호화에 사용되는 키이다. In order to achieve the above technical problem, the data access control system according to the present invention generates a user device unit requesting authentication for data access permission, a first predetermined environment attribute information value, and generates an environment attribute of the user device unit. An environment attribute control unit which extracts a second environment attribute information value corresponding to the user device unit and provides a session key which is periodically updated and shared with the user device unit, and the first environment attribute information value generated by the environment attribute control unit; And an authentication server unit that authenticates the data access permission of the user device unit by using the second environment attribute information value. The first environment attribute information value used in the present specification is a predetermined value, and the second environment attribute information value is a value that can be changed according to the user's environment attribute. Further, the first master key is a master key generated by the first environment attribute information value and the key for data encryption, and the second master key is a master key generated by the second environment attribute information value and used for data decryption. Key.

또한, 상기 인증서버부는 상기 환경속성 제어부에서 생성된 미리 결정된 환경속성 정보값을 수신하는 제1 환경속성 정보값 수신부 및 상기 제1 환경속성 정보값 수신부에 수신된 미리 결정된 환경속성 정보값과 상기 세션키를 이용하여 제1 마스터키를 생성하는 제1 마스터키 생성부를 포함하고, 상기 사용자 장치부는 상기 환경속성 제어부에서 추출된 사용자 장치부가 속하는 환경속성의 환경속성 정보값을 수신하는 제2 환경속성 정보값 수신부 및 상기 제2 환경속성 정보값 수신부에 수신된 환경속성 정보값과 상기 세션키를 이용하여 제2 마스터키를 생성하는 제2 마스터키 생성부를 포함하는 것이 좋다.The authentication server may further include a first environment attribute information value receiving unit for receiving a predetermined environment attribute information value generated by the environment attribute control unit and a predetermined environment attribute information value received for the first environment attribute information value receiving unit and the session. A second master key generation unit configured to generate a first master key by using a key, wherein the user device unit receives the environment attribute information value of an environment attribute to which the user device unit extracted by the environment attribute controller belongs; And a second master key generation unit for generating a second master key by using the environment attribute information value received by the value receiving unit and the second environment attribute information receiving unit and the session key.

여기서, 상기 인증서버부는 상기 제1 마스터키를 이용하여 상기 사용자 장치의 환경속성 인증요청 메시지를 생성하는 인증요청 메시지 생성부를 더 포함하고, 상기 사용자 장치부는 상기 제2 마스터키를 이용하여 상기 인증요청 메시지에 대한 응답 메시지를 생성하는 응답 메시지 생성부를 더 포함하는 것도 좋다.Here, the authentication server unit further comprises an authentication request message generating unit for generating an environment attribute authentication request message of the user device using the first master key, and the user device unit using the second master key for the authentication request. The method may further include a response message generator for generating a response message to the message.

그리고, 상기 인증서버부는 상기 응답 메시지 생성부에서 전송되는 응답 메시지를 검증하여 상기 사용자 장치부에 대한 환경속성을 인증하는 응답 메시지 검증부를 더 포함하는 것이 더욱 좋다.The authentication server unit may further include a response message verification unit that verifies a response message transmitted from the response message generator to authenticate an environment attribute of the user device unit.

또한, 상기 제1 마스터키 생성부 및 제2 마스터키 생성부는 상기 환경속성에 해당하는 환경속성 정보값들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성하는 맵핑 테이블 생성부 및 상기 세션키와 상기 환경속성 정보값에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리 연산하는 논리 연산부를 포함하는 것이 바람직하다.In addition, the first master key generation unit and the second master key generation unit mapping table generation unit for generating a mapping table which is a set of block values to which the environment attribute information values corresponding to the environment attribute is mapped and the session key and the environment It is preferable to include a logical operation unit for performing a logical operation on the block value extracted from the mapping table generation unit according to the attribute information value.

바람직하게는, 상기 맵핑 데이블 생성부의 블록값들은 상기 환경속성 정보값들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것이 좋다.Preferably, the block values of the mapping table generation unit are output values of a mapping function that takes the environmental attribute information values as inputs, and the mapping function may change with time.

또한 바람직하게는, 상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함하는 것도 좋다.Also preferably, the environmental attribute may include at least location information, and may further include at least one of temperature, illuminance, altitude, humidity, air pressure, dust amount, and network attributes.

또한, 상기 위치 정보는 상대적 위치 정보 또는 절대적 위치 정보이며, 상기 상대적 위치 정보는 상기 환경속성 제어부를 기준으로 계산된 거리 또는 방향 정보를 포함하고, 상기 절대적 위치 정보는 GPS(Ground Positioning System)을 이용하여 계산되는 위도 및 경도값을 포함한다.In addition, the position information is relative position information or absolute position information, the relative position information includes distance or direction information calculated based on the environmental attribute control unit, the absolute position information using a GPS (Ground Positioning System) Latitude and longitude values calculated by

또한, 상기 네트워크 속성은 네트워크의 지연(delay)량, 손실(lose)량, 다운로드 속도 및 지터(jitter)값 중 적어도 어느 하나 이상을 포함하는 것도 좋다.In addition, the network attribute may include at least one or more of a delay amount, a loss amount, a download speed, and a jitter value of the network.

한편, 상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 사용자 장치부의 데이터 접근 제어방법은,( a) 사용자 장치부에서 인증서버부로 이용한 데이터 접근 허가를 위한 인증을 요청하는 단계와, (b) 상기 사용자 장치부가 속하는 환경속성의 환경속성 정보값을 추출하여 상기 사용자 장치부로 제공하고, 미리 결정된 환경속성의 환경속성 정보값을 생성하는 단계 및 (c) 주기적으로 갱신되며 상기 사용자 장치부와 공유하는 세션키와 상기 미리 결정된 환경속성 정보값을 이용하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 단계를 포함한다.On the other hand, in order to achieve the above technical problem, the data access control method of the user device unit according to the present invention, (a) requesting authentication for data access permission used as the authentication server unit in the user device unit, (b) the Extracting the environmental attribute information value of the environment attribute to which the user device unit belongs and providing it to the user apparatus unit, generating an environment attribute information value of a predetermined environment attribute, and (c) periodically updated and shared with the user device unit. Authenticating a data access permission of the user device unit by using a key and the predetermined environment attribute information value.

상기 (c)단계는, (c1) 상기 인증서버부에서 상기 미리 결정된 환경속성 정보값과 상기 세션키를 이용하여 제1 마스터키를 생성하고, 상기 제1 마스터키를 이용하여 상기 사용자 장치부로 전송할 환경속성 인증요청 메시지를 생성하는 단계 및 (c2) 상기 사용자 장치부에서 상기 사용자 장치부가 속하는 환경속성 정보값과 상기 세션키를 이용하여 제2 마스터키를 생성하고, 상기 제2 마스터키를 이용하여 상기 인증서버부로 전송할 응답 메시지를 생성하는 단계를 포함하는 것이 좋다.In the step (c), (c1) the authentication server unit generates a first master key using the predetermined environment attribute information value and the session key and transmits the first master key to the user device unit using the first master key. Generating an environment attribute authentication request message and (c2) generating a second master key using the environment attribute information value to which the user apparatus unit belongs and the session key, and using the second master key Generating a response message to be sent to the authentication server unit.

그리고, (c2)단계 이후에 (c3) 상기 (c2)단계에서 전송된 상기 응답 메시지를 검증하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 단계를 시행하는 것이 바람직하다.After step (c2), it is preferable to perform the step of (c3) verifying the response message transmitted in step (c2) to authenticate data access permission of the user device unit.

또한 바람직하게는, 상기 (a)단계는, (a1) 상기 인증서버부에서 상기 사용자 장치부의 데이터 접근 허가를 위한 인증 요청에 포함된 사용자의 식별자 및 패스워드를 이용하여 상기 사용자 장치부가 상기 인증서버부에 기 등록된 장치인지 여부를 확인하는 단계를 포함할 수 있을 것이다.Also preferably, the step (a) may include (a1) the authentication server unit using the identifier and password of the user included in the authentication request for permission to access the data of the user device unit from the authentication server unit. It may include checking whether the device is already registered.

한편, 상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 사용자 장치부의 데이터 접근 제어방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체로 제공하는 것이 바람직할 것이다.On the other hand, in order to achieve the above technical problem, it would be desirable to provide a computer-readable recording medium having recorded thereon a program for executing the data access control method of the user device according to the present invention on a computer.

본 명세서를 통해 기재되는 내용으로부터 파악되는 본 발명에 따르면, 장치 사용자가 환경속성 정보를 알지 못하는 경우, 사용자 장치부를 사용하여 데이터에 접근하는 것을 차단할 수 있다.According to the present invention grasped from the contents described through this specification, when the user of the device does not know the environmental attribute information, it is possible to block access to data using the user device.

즉, 사용자 장치부를 사용하기 위해서는 사용자 장치부는 요구되는 환경속성에 있고, 인증서버와 인증서를 통해서 인증이 이루어져야 한다는 2중의 조건을 만족해야 한다. That is, in order to use the user device unit, the user device unit is in the required environment attribute and must satisfy the dual condition that authentication should be performed through an authentication server and a certificate.

따라서 최근 성행하고 있는 내부자 및 제3자에 의해서 사용자 장치부(휴대 장치)가 탈취된다 할지라도, 환경속성 정보를 만족하지 못하는 경우에는 장치의 사용이 불가능하게 하는 효과가 있다. Therefore, even if the user device unit (portable device) is seized by an insider and a third party who have recently been successful, there is an effect that the device cannot be used when the environment attribute information is not satisfied.

이하에서는 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 여기의 설명에서 어떤 구성 요소가 다른 구성 요소에 연결된다고 기술될 때, 이는 다른 구성 요소에 바로 연결될 수도 그 사이에 제3의 구성 요소가 개재될 수도 있음을 의미한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 이때 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시예로서 설명되는 것이며, 이것에 의해서 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the description herein, when a component is described as being connected to another component, this means that the component may be directly connected to another component or an intervening third component may be interposed therebetween. First, in adding reference numerals to the components of each drawing, it should be noted that the same reference numerals are assigned to the same components as much as possible, even if shown on different drawings. At this time, the configuration and operation of the present invention shown in the drawings and described by it will be described as at least one embodiment, by which the technical spirit of the present invention and its core configuration and operation is not limited.

먼저, 본 발명에 대한 상세한 설명에 앞서, 본 명세서에서 사용되는 몇가지 용어들에 대한 설명을 개시한다. 이렇게 하는 것에 의해 본 발명에 대한 보다 명확한 이해의 기초가 제공될 것이다.First, prior to the detailed description of the present invention, a description of some terms used herein is disclosed. Doing so will provide the basis for a clearer understanding of the present invention.

본 발명에 있어서, 세션키(session key)는 사용자 장치부와 인증서버가 서로 공유하는 키로서, 통신을 하는 상대방끼리 하나의 통신 세션 동안에만 사용하는 키를 가리킨다. 즉, 하나의 키를 사용한 암호문이 많을 경우, 이를 분석하여 키를 계산할 가능성이 있으므로 이를 막기 위해 사용하는 임시적인 키를 지칭한다.In the present invention, a session key is a key shared between the user device unit and the authentication server, and refers to a key used only during a communication session between the communicating parties. In other words, when there are many ciphertexts using one key, it is possible to calculate the key by analyzing it, so it refers to a temporary key used to prevent this.

환경속성 정보는, 사용자의 주위를 둘러싼 제반 환경을 일컫는 용어로, 본 발명에서는 데이터 보안을 위한 암호화를 위해 활용 가능한 모든 종류의 정보를 지칭하는 용어로 사용된다. 구체적으로, 온도, 조도, 고도, 습도, 기압, 네트워크 속성 및 위치 정보와 같은 것들이 포함되나 이는 예시적으로 열거된 것으로 본 발명이 속하는 당업자라면 이들 이외에 더욱 다양한 환경속성 정보가 사용될 수 있음을 알 것이다. 또한, 환경속성 정보값은 상기 환경속성 정보에 있어서의 각 속성에 대한 값으로서, 예를 들면, 환경속성 정보가 고도라면, 고도라는 환경속성 정보에 해당하는 환경속성 정보값은, 고도의 값을 x축으로, 시간의 값을 y축으로 할 때 해당 고도와 해당 시간이 만나는 지점의 값인 것이다.Environment attribute information is a term used to refer to a general environment surrounding a user. In the present invention, it is used as a term referring to all kinds of information available for encryption for data security. Specifically, such as temperature, illuminance, altitude, humidity, barometric pressure, network attributes and location information are included, but these are listed by way of example and those skilled in the art to which the present invention pertains will recognize that more various environmental attribute information may be used. . The environmental attribute information value is a value for each attribute in the environmental attribute information. For example, if the environmental attribute information is altitude, the environmental attribute information value corresponding to the environmental attribute information called altitude is a high value. On the x-axis, when the value of time is the y-axis, it is the value at the point where the altitude meets the time.

도 1 및 도 2는 본 발명에 따른 데이터 접근 제어시스템을 개략적으로 도시한 블록도이다.1 and 2 are block diagrams schematically showing a data access control system according to the present invention.

도 1에 도시된 바와 같이, 데이터 접근 제어시스템(100)은, 사용자 장치부(111), 인증서버부(112) 및 환경속성 제어부(113)를 포함한다.As shown in FIG. 1, the data access control system 100 includes a user device unit 111, an authentication server unit 112, and an environment attribute control unit 113.

사용자 장치부(111)는, 데데이터 접근 허가를 위한 인증을 요청한다.The user device 111 requests authentication for data access permission.

환경속성 제어부(113)는, 사용자 장치부(111)가 속하는 환경속성으로부터 환경속성 정보값을 추출하여 상기 사용자 장치부(111)로 제공하고, 미리 결정된 환경속성의 환경속성 정보값을 생성하여 후술할 인증서버부(112)에 제공한다.The environment attribute control unit 113 extracts an environment attribute information value from an environment attribute to which the user device unit 111 belongs, provides the environment attribute information value to the user device unit 111, and generates an environment attribute information value of a predetermined environment attribute as described later. The authentication server 112 to be provided.

인증서버부(112)는, 주기적으로 갱신되며 상기 사용자 장치부(111)와 공유하는 세션키와 상기 환경속성 제어부(113)에서 생성된 상기 미리 결정된 환경속성 정보값을 이용하여 상기 사용자 장치부(111)의 데이터 접근허가를 인증한다.The authentication server unit 112 is periodically updated and shared with the user device unit 111 and the predetermined environment attribute information value generated by the environment attribute control unit 113. Authenticate the data access permission of 111).

한편, 도 2에 도시된 바와 같이, 데이터 접근 제어시스템(100)의 인증서버부(112)는 제1 환경속성 정보값 수신부(50), 제1 마스터키 생성부(30), 인증요청 메시지 생성부(60) 및 응답 메시지 검증부(64)를 포함하며, 사용자 장치부(111)는 제2 환경속성 정보값 수신부(70), 제2 마스터키 생성부(80) 및 응답 메시지 생성부(62)를 포함한다.Meanwhile, as shown in FIG. 2, the authentication server 112 of the data access control system 100 generates a first environment attribute information value receiving unit 50, a first master key generation unit 30, and an authentication request message. And a response message verification section 64. The user device section 111 includes a second environment attribute information value receiving section 70, a second master key generation section 80, and a response message generation section 62. ).

제1 환경속성 정보값 수신부(50)는, 환경속성 제어부(113)에서 생성된 미리 결정된 환경속성 정보값을 수신하는 것으로 인증서버부(112)에 구비된다.The first environment attribute information value receiving unit 50 is provided to the authentication server unit 112 by receiving a predetermined environment attribute information value generated by the environment attribute control unit 113.

제1 마스터키 생성부(30)는, 제1 환경속성 정보값 수신부(50)에 수신된 미리 결정된 환경속성 정보값과 상기 세션키를 이용하여 제1 마스터키를 생성한다.The first master key generation unit 30 generates a first master key by using the predetermined environment attribute information value received by the first environment attribute information value receiving unit 50 and the session key.

제2 환경속성 정보값 수신부(70)는, 환경속성 제어부(113)에서 추출된 사용자 장치부(111)가 속하는 환경속성의 환경속성 정보값을 수신한다.The second environment attribute information value receiving unit 70 receives the environment attribute information value of the environment attribute to which the user device unit 111 extracted by the environment attribute control unit 113 belongs.

제2 마스터키 생성부(80)는, 제2 환경속성 정보값 수신부(70)에 수신된 환경속성 정보값과 상기 세션키를 이용하여 제2 마스터키를 생성한다.The second master key generation unit 80 generates a second master key by using the environment attribute information value received by the second environment attribute information value receiving unit 70 and the session key.

인증요청 메시지 생성부(60)는, 상기 제1 마스터키 생성부(30)에서 생성되는 제1 마스터키를 이용하여 상기 사용자 장치부(111)로 사용자의 환경속성 인증요청 메시지를 생성하여 전송한다.The authentication request message generating unit 60 generates and transmits an environment attribute authentication request message to the user device unit 111 using the first master key generated by the first master key generating unit 30. .

응답 메시지 생성부(62)는, 상기 제2 마스터키 생성부(80)에서 생성되는 제2 마스터키를 이용하여 상기 인증요청 메시지에 대한 응답 메시지를 생성하여 이를 상기 인증서버부(112)로 전송한다.The response message generator 62 generates a response message to the authentication request message by using the second master key generated by the second master key generator 80 and transmits the response message to the authentication server 112. do.

응답 메시지 검증부(64)는 응답 메시지 생성부(62)에서 전송되는 응답 메시지를 검증하여 상기 사용자 장치부(111)에 대한 환경속성을 인증하여 사용자 장치부(111)의 데이터 접근허가 여부를 결정한다.The response message verifier 64 verifies the response message transmitted from the response message generator 62 to authenticate the environment attribute of the user device 111 to determine whether to permit the data access of the user device 111. do.

여기서, 상술한 제1 마스터키 생성부(30) 및 제2 마스터키 생성부(80)는 상기 환경속성에 해당하는 환경속성 정보값들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성한다. 이를 자세히 설명하기 위해 도 3을 참조한다.Here, the first master key generation unit 30 and the second master key generation unit 80 generate a mapping table which is a set of block values to which environment attribute information values corresponding to the environment attribute are mapped. See FIG. 3 to describe this in detail.

도 3은 본 발명에 따른 제1 및 제2 마스터키 생성부를 개략적으로 도시한 블록도이다.3 is a block diagram schematically illustrating first and second master key generation units according to the present invention.

도 3에 도시된 바와 같이, 제1 및 제2 마스터키 생성부(30,80)는 맵핑 테이블 생성부(54) 및 논리 연산부(58)를 포함한다.As shown in FIG. 3, the first and second master key generators 30 and 80 include a mapping table generator 54 and a logic operator 58.

맵핑 테이블 생성부(54)는, 환경속성에 해당하는 환경속성 정보값들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성한다. 이에 대한 상세한 설명은 후술하기로 한다.The mapping table generating unit 54 generates a mapping table which is a set of block values to which environment attribute information values corresponding to environment attributes are mapped. A detailed description thereof will be given later.

논리 연산부(58)는 세션키와 상기 환경속성 정보값에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리연산하여 마스터키를 생성한다. 상술한 맵핑 테 이블 생성부(54)에서 생성되는 맵핑 테이블의 블록값들은 상기 환경속성 정보값들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것이 가능함에 유의할 것이다. 이에 대한 보다 상세한 설명은 하기에서 설명한다.The logical operation unit 58 generates a master key by performing a logical operation on the block value extracted from the mapping table generation unit according to the session key and the environment attribute information value. It is noted that the block values of the mapping table generated by the mapping table generator 54 described above are output values of the mapping function that takes the environmental attribute information values as inputs, and the mapping function may change with time. A more detailed description thereof will be given below.

도 4 은 본 발명의 일 실시예에 따라 사용자 장치부가 위치한 장소의 환경속성 정보가 기존의 정책을 만족 할 경우 장치의 사용이 허용되지만 그렇지 않은 경우 장치의 사용이 제한되는 것을 설명하기 위해 도시한 도면이다.FIG. 4 is a diagram for explaining that use of a device is permitted when the environment attribute information of a location where a user device is located satisfies an existing policy, but otherwise, use of the device is restricted according to an embodiment of the present invention. to be.

도 4에 도시된 바와 같이, 사용자 장치부(110)는 인증서버부(130)로 사용자 장치부(110)의 인증을 요청한다. 이때 인증서버부(130)는 환경속성 제어부(120)로부터 획득한 환경속성 정보값을 이용하여 환경속성 기반 보안키(마스터키)를 생성하고 이 보안키를 이용하여 사용자의 환경속성을 인증하기 위한 인증요청 메시지를 생성한다. 그 후 사용자 장치부(110)는 자신의 환경속성 정보값을 이용하여 생성한 보안키(마스터키)를 생성하고, 이 보안키을 이용하여 자신의 환경속성 인증을 위한 응답 메시지를 생성한다. 이렇게 생성된 응답 메시지는 인증서버부(130)의 응답 메시지 검증부(64)에 수신되어 검증 과정을 거쳐 사용자 장치부의 데이터 접근허용 여부를 결정한다.As shown in FIG. 4, the user device unit 110 requests authentication of the user device unit 110 from the authentication server unit 130. At this time, the authentication server 130 generates an environment attribute based security key (master key) using the environment attribute information value obtained from the environment attribute control unit 120 and uses the security key to authenticate the user's environment attribute. Generate an authentication request message. Thereafter, the user device 110 generates a security key (master key) generated by using its environment attribute information value, and generates a response message for authentication of its environment attribute using this security key. The generated response message is received by the response message verifier 64 of the authentication server 130 to determine whether to allow data access to the user device through the verification process.

그러나, 사용자 장치부(110`)가 미리 결정된 환경속성을 만족시키지 못하는 경우에는 응답 메시지 검증부(64)에서 검증을 통과하지 못하므로 사용자 장치부(110`)의 데이터 접근을 차단한다.However, when the user device 110 ′ does not satisfy the predetermined environment attribute, the response message verifying unit 64 does not pass the verification and blocks access to the data of the user device 110 ′.

도 5는 본 발명의 본 발명의 일 실시예에 따른 데이터 접근 제어방법에 관한 플로우 챠트이다.5 is a flowchart illustrating a data access control method according to an embodiment of the present invention.

도 5에 나타난 바와 같이, 본 발명의 일 실시예에 따른 데이터 접근 제어방법은, 사용자 장치부에서 데이터 접근허가 요청을 하는 단계(S10), 환경속성 제어부로부터 사용자 장치부의 환경속성 정보값과 미리 결정된 환경속성 정보값을 획득하는 단계(S20), 인증서버부에서 미리 결정된 환경속성 정보값을 이용하여 생성되는 마스터키로 환경속성 인증요청 메시지를 생성하여 사용자 장치부로 전송하는 단계(S30), 인증요청 메시지를 수신한 사용자 장치부에서 상기 S20단계에서 획득한 사용자의 환경속성 정보값을 이용하여 생성된 마스터키로 상기 인증요청 메시지에 대응하는 응답메시지를 생성하여 인증서버부로 전송하는 단계(S40), 인증서버부에서 사용자의 응답메시지를 수신하여 환경속성 인증을 수행하는 단계(S50) 및 상기 사용권한 인증 수행 결과에 따라 사용자 장치부의 데이터 접근을 허용하는 단계(S60)를 포함한다.As shown in FIG. 5, in the data access control method according to an embodiment of the present invention, the data access permission request is made in the user device unit (S10), and the environment attribute information value and the predetermined value of the user device unit are determined in advance from the environment property controller. Acquiring an environmental attribute information value (S20), generating an environmental attribute authentication request message with a master key generated using the predetermined environmental attribute information value in the authentication server unit and transmitting it to the user device unit (S30), an authentication request message In step S40, the authentication server generates a response message corresponding to the authentication request message with the master key generated by using the user's environment attribute information obtained in step S20, and receives the received authentication message. Performing an environment attribute authentication by receiving a response message from the user (S50) and performing the authority authentication According to a step (S60) that allows the user equipment unit of data access.

이러한 본 발명의 일 실시예에 따른 데이터 접근 제어방법에 대한 상세한 설명은 도 6을 참조하여 이하에서 상세하게 설명된다.Detailed description of the data access control method according to an embodiment of the present invention will be described in detail below with reference to FIG.

도 6은 본 발명에 따른 사용자 장치부, 환경속성 제어부, 인증서버부 사이에서 진행되는 인증 과정을 설명하기 위해 도시한 흐름도이다.6 is a flowchart illustrating an authentication process performed between a user device unit, an environment attribute control unit, and an authentication server unit according to the present invention.

본 발명에 따른 일련의 과정을 수행하기 위해서 인증서버부와 사용자 장치부는 상호인증을 수행하며 인증서버와 장치간의 세션키를 서로 공유한다. 여기서 세션키는 주기적으로 갱신되어 인증서버부와 사용자 장치부에 배포된다. In order to perform a series of processes according to the present invention, the authentication server unit and the user device unit perform mutual authentication and share a session key between the authentication server and the device. The session key is periodically updated and distributed to the authentication server unit and the user device unit.

도 6에 도시된 바와 같이, 사용자 장치부(110)는 인증받기 위해 인증서버 부(130)에게 장치 사용 인증요청(데이터 사용 인증 요청)을 한다(S1). 일 실시예에서 상기 데이터는 각종 파일, 동영상, 웹 메뉴, 웹 페이지 등 웹 브라우저를 통해 접근 가능한 모든 데이터를 포함할 수 있다.As shown in FIG. 6, the user device unit 110 sends a device use authentication request (data use authentication request) to the authentication server unit 130 to be authenticated (S1). In one embodiment, the data may include all data accessible through a web browser, such as various files, videos, web menus, and web pages.

이 인증요청 신호에는 다음과 같이 자신의 식별자와 자신의 패스워드로 암호화된 식별자 정보가 포함된다.The authentication request signal includes identifier information encrypted with its own identifier and its own password as follows.

여기서, 사용자의 인증이 미리 이루어져 있을 경우에는 사용자 인증 요청의 단계가 제외될 수 있다. 그러나, 그렇지 않은 경우에는 사용자의 식별자와 패스워드를 함께 전송하여 인증서버부(130)에 기 등록된 사용자인지를 인증하는 단계가 시행된다.Here, if the user authentication is made in advance, the step of the user authentication request may be excluded. However, if not, the step of authenticating whether the user is registered in the authentication server unit 130 by transmitting the user's identifier and password together is implemented.

다음으로, 인증요청을 수신한 인증서버부(130)는 사용자 장치부(10)에게 사용자를 인증하고 사용권한을 검증할 것을 요청한다(S2). 인증서버부(130)와 사용자 장치부(110)사이에는 안전한 통신 채널이 구성되어 있어 둘 사이의 공통된 암호키로 모든 패킷을 암호화해 전송한다.Next, the authentication server unit 130 receiving the authentication request requests the user device unit 10 to authenticate the user and verify the use authority (S2). A secure communication channel is configured between the authentication server unit 130 and the user device unit 110 so that all packets are encrypted and transmitted using a common encryption key between the authentication server unit 130 and the user device unit 110.

사용권한 검증 요청을 받은 사용자 장치부(110)는 보안키(마스터키)를 생성할 때 사용할 환경속성 정보값을 환경속성 제어부(120)를 통해 획득(S3,S4)하고 이 환경속성 정보값이 맵핑된 맵핑 테이블에서 블록값을 결정하여 마스터키를 생성한다(S7). 예를 들어 사용할 환경속성 정보가 고도라고 한다면, 사용자 장치부(110)는 정해진 고도와 시간에서 주어진 블록값을 맵핑 테이블에서 찾는 것이다. The user device 110 receiving the request for verifying the permission acquires the environmental attribute information value to be used when generating the security key (master key) through the environmental attribute control unit 120 (S3, S4) and the environmental attribute information value is The master key is generated by determining a block value in the mapped mapping table (S7). For example, if the environment attribute information to be used is altitude, the user device 110 searches for a given block value at a predetermined altitude and time in the mapping table.

이하에서는 환경속성 정보를 이용하여 마스터키를 생성하는 과정에 대한 상세한 설명이 개시된다.Hereinafter, a detailed description of a process of generating a master key using environment attribute information is disclosed.

도 7은 본 발명의 일 실시예에 따른 환경속성 정보를 이용하여 마스터키를 만드는 과정을 개략적으로 도시한 블록도이다.7 is a block diagram schematically illustrating a process of creating a master key using environmental attribute information according to an embodiment of the present invention.

도 7을 참조하면, 먼저 인증서버부 및 사용자 장치부는 각 사용할 환경속성 정보의 환경속성 정보값(41(1)~41(n))을 추출하고(여기서, 인증서버부가 사용하는 환경속성 정보값은 미리 결정되어 있는 값이며, 사용자 장치부가 사용하는 환경속성 정보값은 사용자가 처한 환경에 따라 달라짐에 유의하여야 한다.) 이 환경속성 정보값이 맵핑된 맵핑 테이블에서 블록값(42(1)~42(n))을 결정한다. 예를 들어 사용할 환경속성 정보가 고도라고 한다면, 데이터 공급자는 정해진 고도와 시간에서 주어진 블록값을 맵핑 테이블에서 찾는다. Referring to FIG. 7, first, the authentication server unit and the user device unit extract the environment attribute information values 41 (1) to 41 (n) of the respective environment attribute information to be used (here, the environment attribute information value used by the authentication server unit). Is a predetermined value, and it should be noted that the environment attribute information value used by the user equipment unit depends on the environment in which the user is located.) Block values 42 (1) to 1 in the mapping table to which the environment attribute information value is mapped. 42 (n)). For example, if the environment attribute information to use is altitude, the data provider looks for the given block value in the mapping table at the given altitude and time.

여기서, 맵핑 테이블 및 블록값에 대한 보다 상세한 설명을 위해 도 8내지 도 10을 참조하면, 도 8은 본 발명에 있어서, 고도를 환경속성 정보로 한 맵핑 테이블을 도시한 도면, 도 9는 본 발명에 있어서, 상대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면, 도 10은 본 발명에 있어서, 절대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면이다.Here, referring to FIGS. 8 to 10 for a detailed description of the mapping table and the block value, FIG. 8 is a diagram showing a mapping table using altitude as environment attribute information in the present invention, and FIG. In FIG. 10, there is shown a mapping table with relative positional information as environmental attribute information. FIG. 10 is a diagram showing a mapping table with absolute positional information as environmental attribute information in the present invention.

도 8은 환경속성 정보로 고도를 사용하는 경우에 대한 맵핑 테이블을 나타낸다.8 shows a mapping table for a case where altitude is used as environment attribute information.

도 8에 도시된 바와 같이, 맵핑 테이블의 x축은 환경속성 정보에 대해 1차원적으로 나열되어 있고, y축은 x축의 환경속성 정보가 시간에 따라 변경되는 값이 나열되어 하나의 마스터키를 만드는데 사용하는 블록값을 생성하기 위한 테이블이다. 예를 들면, 고도의 범위는 0ft에서 비행기가 다닐 수 있는 최대 3000ft로 정하 고 이 사이에 해당하는 고도의 값을 x축, 시간으로부터의 값을 y축으로 하여 해당고도와 해당시간이 만나는 지점의 값을 환경속성 정보값에 따른 맵핑테이블의 블록값으로 정한다.As shown in FIG. 8, the x-axis of the mapping table is listed one-dimensionally with respect to the environmental attribute information, and the y-axis is used to create one master key by listing values whose environmental attribute information of the x-axis changes with time. Table for creating block values. For example, the altitude range is from 0ft to the maximum 3000ft that an airplane can fly, and the altitude value between them is the x-axis and the value from time is the y-axis. The value is set to the block value of the mapping table according to the environment attribute information value.

다른 예로, 도 9에 도시된 바와 같이, 환경속성 정보로 상대적 위치정보를 사용하는 경우는, 맵핑 테이블의 입력값은 거리, 방향, 시각으로 주어진다. 즉, 거리, 방향 및 시각은, 참조노드와 사용자 사이의 거리, 참조노드를 기준으로 사용자가 위치한 방향 그리고 복호화할 수 있는 시각을 각 지칭한다. 환경속성 정보로 상대적 위치를 사용할 경우도 마찬가지로 각 위치에 따른 블록값이 마스터키를 생성하는데 사용된다. 여기서 참조노드에 대한 설명은 후술하기로 한다.As another example, as shown in FIG. 9, when relative position information is used as environment attribute information, an input value of a mapping table is given by distance, direction, and time. That is, the distance, direction, and time refer to the distance between the reference node and the user, the direction in which the user is located with respect to the reference node, and the time that can be decoded. Similarly, when using relative positions as environment attribute information, block values for each position are used to generate master keys. Here, the description of the reference node will be described later.

또 다른 예로, 도 10에 도시된 바와 같이, 환경속성 정보로 절대적 위치정보를 사용하는 경우는, 맵핑 테이블의 입력값은 위도와 경도 그리고 복호화 가능 시각으로 주어져 계산된 절대적 위치정보에서 위도값과 경도값에 해당하는 블록으로 마스터키를 생성하는데 사용된다. 여기서 절대적 위치정보는 일반적으로 GPS(Ground Positioning System)를 이용하여 계산될 수 있음에 유의하여야 한다.As another example, as shown in FIG. 10, in the case of using absolute position information as environment attribute information, an input value of the mapping table is given by latitude and longitude and a decodable time, and then the latitude value and longitude in the calculated absolute position information. Used to create a master key with a block corresponding to the value. It should be noted that the absolute position information can be generally calculated using a GPS (Ground Positioning System).

이상 설명한 바와 같이, 환경속성 정보는 온도, 조도, 습도, 기압, 네트워트 속성, 위치 등을 환경속성에 관련된 모든 정보를 다 사용할 수 있으며, 환경속성 정보로 위치를 이용할 때는 절대적 위치를 사용하는 방법과 상대적 위치를 사용하는 방법에 대하여는 상술하였다. 절대적 위치정보는 GPS를 이용해서 계산되는 전 세계에서 유일하게 계산될 수 있는 위치정보를 의미하며, 상대적 위치정보는 참조노드를 기준으로 계산된 위치정보를 의미한다. As described above, the environmental attribute information can use all the information related to the environmental attributes such as temperature, illuminance, humidity, air pressure, network attribute, location, and the like. The method of using the relative position has been described above. Absolute location information refers to location information that can be calculated only in the world calculated using GPS, and relative location information refers to location information calculated based on a reference node.

따라서 상대적 위치정보를 사용하는 시스템을 구성하기 위해서는 무선신호를 지속적으로 송출하여 사용자들이 자신의 위치를 계산할 수 있도록 하는 참조노드를 각 위치에 설치하여야 한다. 상대적 위치정보를 이용하는 경우, 멀티노드를 사용할 때는 각 참조노드에 위치값을 전송받아 위치를 계산하고 단일노드를 사용할 때는 노드는 주기적으로 키를 생성하여 키를 브로드캐스트(broadcast)한다. 여기서 본 발명을 위한 참조노드는 무선랜 AP나 ZigBee 센서노드 등을 이용하여 구현된다.Therefore, in order to construct a system using relative position information, a reference node for continuously transmitting radio signals and allowing users to calculate their own position must be installed at each position. In the case of using the relative position information, when using the multi-node, the position value is received from each reference node to calculate the position. When using the single node, the node periodically generates a key and broadcasts the key. Here, the reference node for the present invention is implemented using a WLAN AP or a ZigBee sensor node.

이후, 사용자 장치부는 계산된 블록값과 인증서버와 사용자 장치부가 서로 공유하는 세션키를 합성하여 마스터키를 생성한다. 여기서 다른 환경속성 정보에 따른 블록값은 얼마든지 합성이 가능하다. 예를 들어, 만들어진 세션키에 고도를 제외한 다른 환경속정보인 온도에 대한 맵핑 테이블의 블록값을 다시 합성시킬 수 있다. Thereafter, the user device unit generates a master key by combining the calculated block value and the session key shared by the authentication server and the user device unit. Here, the block values according to other environment attribute information can be synthesized as much as possible. For example, a block value of the mapping table for temperature, which is information about the environment other than the altitude, may be recombined to the created session key.

이후 단계에서는 사용자 장치부에서 상기 계산된 환경속성 정보값과 미리 저장된 맵핑 함수를 이용하여 블록값을 맵핑한다. 이때, 사용자 장치부의 환경속성에 관한 정보뿐만 아니라, 사용자 장치부가 해당 데이터를 복호화할 수 있는 시간에 관한 정보까지도 고려할 수 있다. In the subsequent step, the user device unit maps the block value using the calculated environment attribute information value and a pre-stored mapping function. In this case, not only the information on the environment attribute of the user device unit but also information on the time when the user device unit can decode the corresponding data may be considered.

환경속성 정보로 절대적 위치를 사용하는 경우, 맵핑 함수는 위도와 경도 및 복호화 가능 시각을 입력으로 받아 하나의 블록값으로 결과값을 출력하는 함수이다. 맵핑 함수의 일 예는 도 10에 나타나 있다.In the case of using absolute position as environment attribute information, the mapping function is a function that receives latitude and longitude and a decodable time as input, and outputs a result value as a block value. An example of a mapping function is shown in FIG. 10.

도 10을 참조하면, 맵핑 함수는 입력값(예: 위도, 경도, 시간)에 따라 다 차원 배열(multi-dimension array) 형식으로 나타낼 수 있다. 암호화 과정을 다시 살 펴보면, 상기 위치 정보에서 위도값과 경도값을 추출하고, 사용자 장치부가 복호화 할 수 있는 시간을 지정하여 이들을 맵핑 함수의 입력으로 한 후, 맵핑 함수에서 출력되는 결과값을 블록값으로 사용한다.Referring to FIG. 10, the mapping function may be represented in a multi-dimension array format according to input values (eg, latitude, longitude, and time). Looking again at the encryption process, the latitude and longitude values are extracted from the location information, the time that the user device can decode is specified, these are input to the mapping function, and the result values output from the mapping function are blocked. Use as a value.

여기서, 위치 정보 이외에 복호화 가능 시각은 선택적인 입력값으로 정할 수 있다. 즉, 위치 정보만을 이용하여 블록값을 선택할 수 있으며 추가적으로 복호 가능시각까지 입력으로 하여 맵핑 함수로부터 블록값을 맵핑할 수 있는 것이다.Here, in addition to the position information, the decodable time may be determined as an optional input value. That is, the block value can be selected using only the position information, and the block value can be mapped from the mapping function by inputting up to a decodable time.

단, 절대적 위치 정보가 아닌 상대적 위치 정보를 사용하였을 경우에는 위도값, 경도값이 없으므로 맵핑 함수의 입력값은 거리, 방향 그리고 시각으로 주어진다. 즉, 참조노드와 사용자 장치부 사이의 거리, 참조노드를 기준으로 사용자 장치부가 위치한 방향, 그리고 복호화할 수 있는 시각을 말한다.However, when relative position information is used instead of absolute position information, there is no latitude value and longitude value, so the input values of the mapping function are given by distance, direction, and time. That is, the distance between the reference node and the user device unit, the direction in which the user device unit is located based on the reference node, and the time at which the user can decode them.

다음 단계로, 사용자 장치부에서 마스터키를 생성하기 위해서 사용자 장치부는 세션키와 블록값을 배타적 논리합(XOR: eXclusive OR) 연산을 통해서 혼합한다.Next, in order to generate a master key in the user device unit, the user device unit mixes the session key and the block value through an exclusive OR (XOR) operation.

상기 혼합된 데이터를 다시 암호화(encrypt)하여 사용자 장치부는 마스터키를 생성하는데, 이때 암호 알고리즘은 ECC(Elliptic Curve Cryptosystem)를 사용할 수 있다. 암호화를 수행한 결과, 환경속성 정보 기반의 암호화된 키 값인 마스터키가 출력되고 이 마스터키를 이용하여 사용자 환경속성에 대한 응답메시지를 생성하여 인증서버부로 전송한다(도 6의 S7참조).The user device unit generates the master key by encrypting the mixed data again. In this case, the encryption algorithm may use an Elliptic Curve Cryptosystem (ECC). As a result of the encryption, the master key, which is an encrypted key value based on the environment attribute information, is outputted, and a response message for the user environment attribute is generated using this master key and transmitted to the authentication server (see S7 of FIG. 6).

한편, 다시 도 6을 참조하면, 사용자 장치부(110)로 권한 인증을 요청한 인증서버부(130)는 미리 결정된 사용자 장치부의 환경속성 정보값에 해당하는 블록값을 이용하여 마스터키를 생성한다. 이는 환경속성 제어부(120)로 미리 결정된 환경 속성 정보의 환경속성 정보값을 요청하는 단계(S5) 및 환경속성 제어부(120)로부터 환경속성 정보값을 제공받는 단계(S6)로 이루어진다. 그런 후에 인증서버부(130)는 해당 환경속성 정보값을 이용하여 마스터키를 생성한다. 마스터키는 각 장소 (사무실 또는 방) 등의 식별번호와 첫 인증과정에서 사용자에게 배포한 세션키를 입력으로 하여 AES(Advanced Encryption Standard) 알고리즘을 이용하여 새롭게 계산하여 얻는다. 생성된 마스터키를 이용하여 인증서버(130)는 사용자 장치부(110)로 전송할 환경 속성 인증요청 메시지을 생성하고, 이에 따른 사용자 장치부(110)의 응답인 사용자 환경속성 응답 메시지를 전송받아 사용자 장치부(110)의 데이터 접근허가여부를 결정하는 것이다.Meanwhile, referring back to FIG. 6, the authentication server 130 that requests the authorization of the user device 110 generates a master key using a block value corresponding to the environment attribute information value of the user device. This includes the step of requesting the environment attribute information value of the predetermined environment attribute information to the environment attribute control unit 120 (S5) and the step of receiving the environment attribute information value from the environment attribute control unit 120 (S6). Thereafter, the authentication server unit 130 generates a master key using the corresponding environment attribute information. The master key is newly calculated using AES (Advanced Encryption Standard) algorithm by inputting the identification number of each place (office or room) and the session key distributed to the user during the initial authentication process. Using the generated master key, the authentication server 130 generates an environment attribute authentication request message to be transmitted to the user device unit 110, and receives the user environment attribute response message, which is a response of the user device unit 110, accordingly. It is to determine whether the data access permission of the unit 110.

또한, 본 발명에 따른 사용자 장치부의 데이터 접근 제어방법은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들 어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.In addition, the data access control method of the user device unit according to the present invention includes a computer readable medium including program instructions for performing operations implemented by various computers. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The media may be program instructions that are specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs and DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine code, such as produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명의 사상적 범주에 속한다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above-described embodiments, which can be variously modified and modified by those skilled in the art to which the present invention pertains. Modifications are possible. Accordingly, it is intended that the scope of the invention be defined solely by the claims appended hereto, and that all equivalents or equivalent variations thereof fall within the spirit and scope of the invention.

도 1 및 도 2는 본 발명에 따른 데이터 접근 제어시스템을 개략적으로 도시한 블록도,1 and 2 are block diagrams schematically showing a data access control system according to the present invention;

도 3은 본 발명에 따른 제1 및 제2 마스터키 생성부를 개략적으로 도시한 블록도,3 is a block diagram schematically showing a first and a second master key generating unit according to the present invention;

도 4는 본 발명의 일 실시예에 따라 사용자 장치부가 위치한 장소의 환경속성 정보가 기존의 정책을 만족 할 경우 장치의 사용이 허용되지만 그렇지 않은 경우 장치의 사용이 제한되는 것을 설명하기 위해 도시한 도면,FIG. 4 is a diagram for explaining that use of a device is permitted when the environment attribute information of a location where a user device is located satisfies an existing policy, but otherwise, use of the device is restricted according to an embodiment of the present invention. ,

도 5는 본 발명의 본 발명의 일 실시예에 따른 데이터 접근 제어방법에 관한 플로우 챠트,5 is a flowchart illustrating a data access control method according to an embodiment of the present invention;

도 6은 본 발명에 따른 사용자 장치부, 환경속성 제어부, 인증서버부 사이에서 진행되는 환경속성 인증과정을 설명하기 위해 도시한 흐름도,6 is a flowchart illustrating an environment attribute authentication process performed between a user device unit, an environment attribute control unit, and an authentication server unit according to the present invention;

도 7은 본 발명의 일 실시예에 따른 환경속성 정보를 이용하여 마스터키를 생성하는 과정을 개략적으로 도시한 블록도,7 is a block diagram schematically illustrating a process of generating a master key using environment attribute information according to an embodiment of the present invention;

도 8은 본 발명에 있어서, 고도를 환경속성 정보로 한 맵핑 테이블을 도시한 도면,8 is a diagram showing a mapping table using altitude as environment attribute information according to the present invention;

도 9는 본 발명에 있어서, 상대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면,9 is a diagram showing a mapping table using relative position information as environment attribute information according to the present invention;

도 10은 본 발명에 있어서, 절대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면이다.FIG. 10 is a diagram showing a mapping table in which absolute position information is used as environment attribute information in the present invention.

Claims (13)

인증서버부로 데이터 접근 허가를 위한 인증을 요청하는 사용자 장치부;A user device unit for requesting authentication for data access permission to the authentication server unit; 상기 인증 요청을 받은 인증서버부의 요청에 따라 미리 결정된 제1 환경속성 정보값을 생성하여 상기 제1 환경속성 정보값을 상기 인증서버부에 제공하고, 상기 사용자 장치부의 환경속성에 해당하는 제2 환경속성 정보값을 추출하여 상기 사용자 장치부로 제공하는 환경속성 제어부; 및In response to a request of the authentication server unit receiving the authentication request, a predetermined first environment attribute information value is generated to provide the first environment attribute information value to the authentication server unit, and a second environment corresponding to an environment attribute of the user device unit. An environment attribute control unit which extracts an attribute information value and provides it to the user device unit; And 상기 사용자 장치부와 상기 인증서버부간에 통신 채널을 통해 공유하며 주기적으로 갱신되는 세션키와 상기 제2 환경속성 정보값을 이용하여 생성되는 제2 마스터키를 상기 사용자 장치부로부터 제공받고, 제공받은 상기 제2 마스터키 및 상기 세션키와 상기 제1 환경속성 정보값을 이용하여 생성된 제1 마스터키를 비교하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 인증서버부를 포함하는 데이터 접근 제어 시스템으로서, 상기 제1 및 제2 마스터키는 상기 제1 및 제2 환경속성 정보값들을 입력값으로 하여 시간에 따라 변경되는 맵핑 함수를 적용한 출력값에 상기 세션키를 논리연산하여 생성되는 것임을 특징으로 하는 데이터 접근 제어 시스템.Received and received from the user device unit a second master key generated using the session key and the second environment attribute information value which are periodically shared between the user device unit and the authentication server unit through a communication channel. A data access control system including an authentication server unit for authenticating data access permission of the user device unit by comparing the second master key and the session key with a first master key generated using the first environment attribute information value. The first and second master keys are generated by logically operating the session key to an output value to which a mapping function that changes with time is applied by using the first and second environment attribute information values as input values. Control system. 제1항에 있어서,The method of claim 1, 상기 인증서버부는 상기 환경속성 제어부에서 생성된 제1 환경속성 정보값을 수신하는 제1 환경속성 정보값 수신부; 및The authentication server may include: a first environment attribute information value receiving unit configured to receive a first environment attribute information value generated by the environment attribute control unit; And 상기 제1 환경속성 정보값 수신부에 수신된 제1 환경속성 정보값과 상기 세션키를 이용하여 제1 마스터키를 생성하는 제1 마스터키 생성부를 포함하고,A first master key generation unit generating a first master key by using the first environment attribute information value received by the first environment attribute information value receiving unit and the session key, 상기 사용자 장치부는 상기 환경속성 제어부에서 추출된 상기 제2 환경속성 정보값을 수신하는 제2 환경속성 정보값 수신부; 및The user device unit may include: a second environment attribute information value receiver configured to receive the second environment attribute information value extracted by the environment attribute controller; And 상기 제2 환경속성 정보값 수신부에 수신된 상기 제2 환경속성 정보값과 상기 세션키를 이용하여 제2 마스터키를 생성하는 제2 마스터키 생성부를 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.And a second master key generation unit generating a second master key by using the second environment attribute information value received by the second environment attribute information value receiving unit and the session key. 제2항에 있어서,The method of claim 2, 상기 인증서버부는 상기 제1 마스터키를 이용하여 상기 사용자 장치부로 환경속성 인증요청 메시지를 생성하는 인증요청 메시지 생성부를 더 포함하고, 상기 사용자 장치부는 상기 제2 마스터키를 이용하여 상기 인증요청 메시지에 대한 응답 메시지를 생성하는 응답 메시지 생성부를 더 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.The authentication server unit further includes an authentication request message generating unit generating an environment attribute authentication request message to the user device unit using the first master key, and the user device unit uses the second master key to send the authentication request message. And a response message generator for generating a response message. 제3항에 있어서,The method of claim 3, 상기 인증서버부는 상기 응답 메시지 생성부에서 전송되는 응답 메시지를 검증하여 상기 사용자 장치부에 대한 환경속성을 인증하는 응답 메시지 검증부를 더 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.The authentication server unit further comprises a response message verification unit for verifying the response message transmitted from the response message generating unit to authenticate the environment attribute to the user device unit. 제2항에 있어서,The method of claim 2, 상기 제1 마스터키 생성부 및 제2 마스터키 생성부는 상기 환경속성에 해당하는 환경속성 정보값들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성하는 맵핑 테이블 생성부; 및The first master key generation unit and the second master key generation unit generating a mapping table which is a set of block values to which the environment attribute information values corresponding to the environment attribute are mapped; And 상기 세션키와 상기 환경속성 정보값에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리 연산하는 논리 연산부를 포함하는 것을 특징으로 하는 데 이터 접근 제어시스템.And a logical operation unit configured to perform a logical operation on a block value extracted from the mapping table generation unit according to the session key and the environment attribute information value. 제5항에 있어서,The method of claim 5, 상기 맵핑 데이블 생성부의 블록값들은 상기 환경속성 정보값들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것을 특징으로 하는 데이터 접근 제어시스템.The block values of the mapping table generation unit are output values of a mapping function that takes the environment attribute information values as inputs, and the mapping function changes with time. 제1항에 있어서, The method of claim 1, 상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.And the environment attribute includes at least position information and further includes at least one of temperature, illuminance, altitude, humidity, air pressure, amount of dust, and network attributes. 제7항에 있어서,The method of claim 7, wherein 상기 위치 정보는 상대적 위치 정보 또는 절대적 위치 정보이며, 상기 상대적 위치 정보는 상기 환경속성 제어부를 기준으로 계산된 거리 또는 방향 정보를 포함하고, 상기 절대적 위치 정보는 GPS(Ground Positioning System)을 이용하여 계산되는 위도 및 경도값을 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.The position information is relative position information or absolute position information, and the relative position information includes distance or direction information calculated based on the environmental attribute control unit, and the absolute position information is calculated using a GPS (Ground Positioning System). And a latitude and longitude value. 제7항에 있어서,The method of claim 7, wherein 상기 네트워크 속성은 네트워크의 지연(delay)량, 손실(lose)량, 다운로드 속도 및 지터(jitter)값 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 데이터 접근 제어시스템.The network attribute may include at least one of a delay amount, a loss amount, a download speed, and a jitter value of the network. (a) 사용자 장치부에서 인증서버부로 데이터 접근 허가를 위한 인증을 요청하는 단계;(a) requesting authentication for data access permission from the user device unit to the authentication server unit; (b) 상기 인증 요청을 받은 인증서버부의 요청에 따라 미리 결정된 제1 환경속성 정보값을 생성하여 상기 제1 환경속성 정보값을 상기 인증서버부에 제공하고, 상기 사용자 장치부의 환경속성에 해당하는 제2 환경속성 정보값을 추출하여 상기 사용자 장치부로 제공하는 단계; 및(b) generating a predetermined first environment attribute information value according to a request of the authentication server unit receiving the authentication request, providing the first environment attribute information value to the authentication server unit, and corresponding to the environment attribute of the user device unit; Extracting a value of a second environment attribute information and providing the same to the user device unit; And (c) 상기 사용자 장치부와 상기 인증서버부간에 통신 채널을 통해 공유하며 주기적으로 갱신되는 세션키와 상기 제2 환경속성 정보값을 이용하여 생성되는 제2 마스터키를 상기 사용자 장치부로부터 제공받고, 제공받은 상기 제2 마스터키 및 상기 세션키와 상기 제1 환경속성 정보값을 이용하여 생성된 제1 마스터키를 비교하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 단계를 포함하는 데이터 접근 제어방법.(c) receiving from the user device unit a second master key generated using a session key which is shared between the user device unit and the authentication server unit and periodically updated and the second environment attribute information value; And comparing the received second master key and the session key with a first master key generated using the first environment attribute information value to authenticate data access permission of the user device unit. . 제10항에 있어서, 상기 (c)단계는,The method of claim 10, wherein step (c) comprises: (c1) 상기 인증서버부에서 상기 제1 환경속성 정보값과 상기 세션키를 이용하여 제1 마스터키를 생성하고, 상기 제1 마스터키를 이용하여 상기 사용자 장치부로 전송할 환경속성 인증요청 메시지를 생성하는 단계; 및(c1) the authentication server unit generates a first master key using the first environment attribute information value and the session key, and generates an environment attribute authentication request message to be transmitted to the user device unit using the first master key. Making; And (c2) 상기 사용자 장치부에서 상기 사용자 장치부의 제2 환경속성 정보값과 상기 세션키를 이용하여 제2 마스터키를 생성하고, 상기 제2 마스터키를 이용하여 상기 인증서버부로 전송할 응답 메시지를 생성하는 단계를 포함하는 것을 특징으로 하는 데이터 접근 제어방법.(c2) the user device unit generates a second master key using the second environment attribute information value and the session key of the user device unit, and generates a response message to be transmitted to the authentication server unit using the second master key. And a data access control method. 제11항에 있어서, 상기 (c2)단계 이후에The method of claim 11, wherein after step (c2) (c3) 상기 (c2)단계에서 전송된 상기 응답 메시지를 검증하여 상기 사용자 장치부의 데이터 접근허가를 인증하는 단계를 시행하는 것을 특징으로 하는 데이터 접근 제어방법.(c3) verifying the response message transmitted in the step (c2) and authenticating a data access permission of the user device unit. 제10항에 있어서, 상기 (a)단계는,The method of claim 10, wherein the step (a), (a1) 상기 인증서버부에서 상기 사용자 장치부의 데이터 접근 허가를 위한 인증 요청에 포함된 사용자의 식별자 및 패스워드를 이용하여 상기 사용자 장치부가 상기 인증서버부에 기 등록된 장치인지 여부를 확인하는 단계를 포함하는 것을 특징으로 하는 데이터 접근 제어방법.(a1) checking whether the user device unit is a device that is previously registered in the authentication server unit by using the identifier and password of the user included in the authentication request for data access permission of the user device unit in the authentication server unit. Data access control method comprising a.
KR1020090131431A 2009-12-28 2009-12-28 System and Method for Controlling Data Access using Environmental Information of User KR101082480B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090131431A KR101082480B1 (en) 2009-12-28 2009-12-28 System and Method for Controlling Data Access using Environmental Information of User

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090131431A KR101082480B1 (en) 2009-12-28 2009-12-28 System and Method for Controlling Data Access using Environmental Information of User

Publications (2)

Publication Number Publication Date
KR20110075088A KR20110075088A (en) 2011-07-06
KR101082480B1 true KR101082480B1 (en) 2011-11-11

Family

ID=44915135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090131431A KR101082480B1 (en) 2009-12-28 2009-12-28 System and Method for Controlling Data Access using Environmental Information of User

Country Status (1)

Country Link
KR (1) KR101082480B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101261156B1 (en) * 2011-07-21 2013-05-07 에스케이씨앤씨 주식회사 Method for generating secret key and electronic device using the same
US9397836B2 (en) * 2014-08-11 2016-07-19 Fisher-Rosemount Systems, Inc. Securing devices to process control systems

Also Published As

Publication number Publication date
KR20110075088A (en) 2011-07-06

Similar Documents

Publication Publication Date Title
CN114553568B (en) Resource access control method based on zero-trust single-package authentication and authorization
US10142297B2 (en) Secure communication method and apparatus
JP6643373B2 (en) Information processing system, control method and program therefor
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
JP5860815B2 (en) System and method for enforcing computer policy
US9332002B1 (en) Authenticating and authorizing a user by way of a digital certificate
RU2307391C2 (en) Method for remote changing of communication password
KR20150141362A (en) Network node and method for operating the network node
WO2020173332A1 (en) Trusted execution environment-based application activation method and apparatus
CN112671779B (en) DoH server-based domain name query method, device, equipment and medium
Dewanta et al. A mutual authentication scheme for secure fog computing service handover in vehicular network environment
KR20210130840A (en) A method of data transfer, a method of controlling use of data and a cryptographic device
KR101817152B1 (en) Method for providing trusted right information, method for issuing user credential including trusted right information, and method for obtaining user credential
CN115277168B (en) Method, device and system for accessing server
KR101531662B1 (en) Method and system for mutual authentication between client and server
KR101631635B1 (en) Method, device, and system for identity authentication
US9455973B1 (en) Secure storage and retrieval of data in a database with multiple data classes and multiple data identifiers
JP2024501326A (en) Access control methods, devices, network equipment, terminals and blockchain nodes
CN105656854B (en) A kind of method, equipment and system for verifying Wireless LAN user sources
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
KR101082480B1 (en) System and Method for Controlling Data Access using Environmental Information of User
WO2020009129A1 (en) Device and method for mediating configuration of authentication information
KR100970552B1 (en) Method for generating secure key using certificateless public key
KR101106101B1 (en) System and Method for Reading a Classified Digital Document using Environmental Information
Bindel et al. To attest or not to attest, this is the question–Provable attestation in FIDO2

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161007

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee