KR101218409B1 - 접근 통제 시스템 및 방법 - Google Patents

접근 통제 시스템 및 방법 Download PDF

Info

Publication number
KR101218409B1
KR101218409B1 KR1020120076932A KR20120076932A KR101218409B1 KR 101218409 B1 KR101218409 B1 KR 101218409B1 KR 1020120076932 A KR1020120076932 A KR 1020120076932A KR 20120076932 A KR20120076932 A KR 20120076932A KR 101218409 B1 KR101218409 B1 KR 101218409B1
Authority
KR
South Korea
Prior art keywords
access control
user terminal
user
access
information
Prior art date
Application number
KR1020120076932A
Other languages
English (en)
Inventor
한승철
박중근
이연호
조현규
김태경
Original Assignee
주식회사 엔피코어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔피코어 filed Critical 주식회사 엔피코어
Priority to KR1020120076932A priority Critical patent/KR101218409B1/ko
Application granted granted Critical
Publication of KR101218409B1 publication Critical patent/KR101218409B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

접근을 통제하는 시스템 및 방법에 관한 기술이 개시된다. 접근 통제 시스템은 적어도 하나의 액세스 포인트(AP)와, 적어도 하나의 AP에서 제공하는 신호로 사용자 단말의 위치를 검출하여 단말 위치 정보를 생성하고 미리 설정된 접근 권한 정보에 기초하여 사용자 단말이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말에 할당하여 단말 위치 정보와 사용자 등급을 매핑(mapping)한 접근 통제 정보를 생성하는 접근 통제 장치 및 접근 통제 정보에 기반하여 사용자 단말의 접근을 통제하도록 접근 통제 정보를 네트워크를 통하여 제공하는 인증 서버를 포함한다. 따라서, 사용자 단말이 미리 설정된 특정 위치에 존재하지 않으면 특정 데이터에 접근하지 못하도록 하여 보안의 수준을 향상시킬 수 있다.

Description

접근 통제 시스템 및 방법{SYSTEM AND METHOD FOR ACCESS CONTROL}
본 발명은 접근 통제 기술에 관한 것으로, 더욱 상세하게는 와이파이 무선랜을 기반으로 접근을 통제하는 시스템 및 방법에 관한 것이다.
무선 인터넷 기술이 발전함에 따라 다양한 무선 인터넷 서비스가 활성화되고 있다. 무선랜은 컴퓨터간 또는 컴퓨터와 기타 통신 장치간에 데이터 송수신을 전파나 적외선을 이용하여 무선으로 수행하는 랜으로 대형 사무실, 물류센터와 같이 유선 네트워크 구축이 용이하지 않은 장소에 주로 설치되어 왔다.
특히, 최근에는 와이파이를 채용한 스마트폰과 같은 사용자 단말에 대한 수요가 증가함에 따라 무선랜에 기반한 새로운 기술에 대한 연구가 활발히 진행되고 있다. Gbps 이상의 전송을 가능하게 하는 IEEE 802.11ac는 차세대 스마트폰을 위한 핵심 기술로서 기존의 IEEE 802.11n에서는 수용할 수 없었던 초고화질의 비디오 전송이 가능하게 하였다. 또한, 최근에는 무선랜을 사용하여 최대 수 km까지 광역으로 서비스를 지원하기 위한 광역 무선랜이 IEEE 802.11af 및 802.11ah에서 연구되고 있으며, 초기 링크 셋업 시간을 획기적으로 절감하기 위한 IEEE 802.11ai 기술도 활발히 논의되고 있는 실정이다.
무선랜은 다양한 장점과 편의성을 가지고 있어 이용이 급증하고 있지만, 전파를 통신매개로 이용하는 특징에 따라 보안을 고려하지 않고 이용할 경우 일반적인 유선랜에 비해 보안에 취약하다. 특히, 공중랜과 같이 일반 대중의 사용을 목적으로 개방된 환경에 적용할 경우 다양한 보안 사고를 유발할 수 있다. 무선랜의 기술적 보안위협은 전파수집, 불법접속, 중간자 공격 등으로 사용자 주요정보 유출과 전파 교란, 취약한 보안설정을 해킹해 불법접속 및 내부 망으로 침투하는 등 다양한 공격 유형이 존재할 수 있다.
무선랜은 보안을 위하여 공유 비밀키를 이용한 단말기 인증 및 무선 구간 데이터를 암호화하는 방식을 사용하였다. 또한, 랜카드의 MAC(Media Access Control) 주소를 미리 AP(Access Point)에 등록시키고, 등록된 MAC 주소를 가진 무선 단말기에 대해서만 AP 접속을 허용하는 방식을 사용하였다.
그러나, 이러한 인증 방식은 불특정 다수인이 사용할 수 있는 공중 무선랜에 적합하지 않은 측면이 있다. 또한, 공유 비밀키의 도용 등이 용이하여 보안의 강화가 필요한 대형 사무실 또는 빌딩 등에 적용하는데 한계가 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 공중 무선랜에 적용하기 적합하고, 보안이 강화된 무선 통신 서비스에 적용될 수 있는 접근 통제 시스템을 제공하는데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 공중 무선랜에 적용하기 적합하고, 보안이 강화된 무선 통신 서비스에 적용될 수 있는 기반한 접근 통제 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른 접근 통제 시스템은, 적어도 하나의 액세스 포인트(AP)와, 적어도 하나의 AP에서 제공하는 신호로 사용자 단말의 위치를 검출하여 단말 위치 정보를 생성하고 미리 설정된 접근 권한 정보에 기초하여 사용자 단말이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말에 할당하여 단말 위치 정보와 사용자 등급을 매핑한 접근 통제 정보를 생성하는 접근 통제 장치 및 접근 통제 정보에 기반하여 사용자 단말의 접근을 통제하도록 접근 통제 정보를 네트워크를 통하여 제공하는 인증 서버를 포함한다.
여기에서, 접근 통제 장치는, 적어도 하나의 AP에서 송출되는 신호를 수신하는 사용자 단말이 산출하는 수신감도에 대한 정보를 수신하여 사용자 단말의 위치를 검출하는 위치 검출부를 포함할 수 있다.
여기에서, 위치 검출부는, 이동 통신망과 연동되는 적어도 하나의 AP에서 송출되는 신호에 지연시간이 부가되어 이동 통신망으로 송출되고, 적어도 하나의 AP에서 송출되는 신호의 지연시간에 기반하여 이동 통신망에서 검출되는 적어도 하나의 AP를 식별하는 정보를 수신하여 사용자 단말의 위치를 확인할 수 있다.
여기에서, 접근 통제 장치는, 적어도 하나의 AP에 접속할 수 있는 공간을 미리 설정된 적어도 하나의 영역으로 구분하여 각각의 영역마다 사용자 등급을 할당하며, 사용자 단말이 위치하는 영역에 해당하는 사용자 등급을 사용자 단말에 할당하는 사용자 등급 할당부를 포함할 수 있다.
여기에서, 사용자 등급 할당부는, 각각의 영역에서 수행되는 역할에 기반하여 각각의 영역마다 사용자 등급을 할당할 수 있다.
여기에서, 접근 통제 장치는, 미리 설정된 접근 권한 정보에 기초하여 단말 위치 정보와 사용자 등급을 매핑한 접근 통제 정보를 생성하여 인증 서버로 전달하는 접근 통제 정보 생성부를 포함할 수 있다.
여기에서, 인증 서버는, 단말 위치 정보와 사용자 등급을 포함하는 접근 통제 정보를 네트워크를 통하여 방화벽, 서버보안시스템을 포함하는 접근 통제 주체에 제공하여 사용자 단말의 접근을 통제할 수 있다.
상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른 접근 통제 방법은, 적어도 하나의 AP에서 제공하는 신호로 사용자 단말의 위치를 검출하여 단말 위치 정보를 생성하는 단계와, 미리 설정된 접근 권한 정보에 기초하여 사용자 단말이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말에 할당하는 단계와, 단말 위치 정보와 사용자 등급을 매핑한 접근 통제 정보를 생성하는 단계 및 접근 통제 정보에 기반하여 사용자 단말의 접근을 통제하도록 접근 통제 정보를 네트워크를 통하여 제공하는 단계를 포함한다.
상기와 같은 본 발명에 따른 접근 통제 시스템 및 방법을 이용할 경우에는 사용자 단말의 위치에 기반하여 사용자 단말의 접근을 통제할 수 있다.
또한, 본 발명에 따른 접근 통제 시스템 및 방법은 사용자 단말이 미리 설정된 특정 위치에 존재하지 않으면 특정 데이터에 접근하지 못하도록 하여 보안의 수준을 향상시킬 수 있다.
도 1은 본 발명의 실시예에 따른 접근 통제 시스템을 설명하는 개념도이다.
도 2는 본 발명의 실시예에 따른 영역의 구분을 나타내는 개념도이다.
도 3은 본 발명의 실시예에 따라 영역별 사용자 등급의 할당을 나타내는 개념도이다.
도 4는 본 발명의 실시예에 따른 사용자 등급과 데이터 등급에 기반한 사용자 권한의 할당을 설명하는 개념도이다.
도 5는 본 발명의 실시예에 따른 사용자 등급과 데이터 등급에 기반한 사용자 권한의 할당에 대한 예시도이다.
도 6은 본 발명의 실시예에 따른 접근 통제 방법을 설명하는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 접근 통제 시스템을 설명하는 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 접근 통제 시스템은 액세스 포인트(200), 접근 통제 장치(300)와 인증 서버(400)를 포함한다. 본 발명의 실시예에 따른 접근 통제 시스템은 와이파이(Wi-Fi) 무선랜을 기반으로 하여 사용자 단말(100)의 위치를 검출하고, 검출된 사용자 단말(100)의 위치에 기반하여 무선랜에의 접속 허용 여부와 접근 가능한 데이터의 범위를 설정할 수 있도록 한다.
사용자 단말(100)은 셀룰러 전화기, 무선 통신 기능을 가지는 스마트폰, 무선 통신 기능을 가지는 개인 휴대용 디바이스(PDA), 무선 모뎀, 무선 통신 기능을 가지는 휴대용 컴퓨터, 무선 통신 기능을 가지는 디지털 카메라와 같은 촬영장치, 무선 통신 기능을 가지는 게이밍 장치, 무선 통신 기능을 가지는 음악저장 및 재생 가전제품, 무선 인터넷 접속 및 브라우징이 가능한 인터넷 가전제품뿐만 아니라 그러한 기능들의 조합들을 통합하고 있는 휴대형 유닛 또는 디바이스들을 포함할 수 있다.
사용자 단말(100)은 무선랜 통신을 위한 적어도 하나의 액세스 포인트(200)(AP: Access Point)와 접속할 수 있다. 사용자 단말(100)은 액세스 포인트(200)의 커버리지 내에서 무선 인터넷 서비스를 이용할 수 있도록 무선랜 네트워크 어댑터를 장착할 수 있다. 또한, 사용자 단말(100)은 적어도 하나의 액세스 포인트(200)에서 송출되는 신호를 수신하여 수신감도를 산출할 수 있고, 산출된 수신감도에 대한 정보를 액세스 포인트(200)를 통하여 접근 통제 장치(300)로 전송할 수 있다.
액세스 포인트(200)는 무선 통신 환경에서의 랜 허브의 기능을 수행하는 것으로, 자신의 커버리지 내의 사용자 단말(100)의 무선 통신을 승인하거나 거부할 수 있다. 또한, 액세스 포인트(200)는 이동 통신망과 연동되어 이동 통신망으로 송출되는 신호에 지연시간을 부가할 수 있다. 이를 통하여, 액세스 포인트(200)는 지연시간이 부가되어 액세스 포인트(200)에서 송출되는 신호를 수신한 이동 통신망이 액세스 포인트(200)를 식별할 수 있도록 할 수 있다.
접근 통제 장치(300)는 액세스 포인트(200)와 유선 또는 무선으로 연결될 수 있다. 접근 통제 장치(300)는 액세스 포인트(200)에서 제공하는 신호로 사용자 단말(100)의 위치를 검출하여 단말 위치 정보를 생성할 수 있고, 미리 설정된 접근 권한 정보에 기초하여 사용자 단말(100)이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말(100)에 할당하여 단말 위치 정보와 사용자 등급을 매핑(mapping)한 접근 통제 정보를 생성할 수 있다. 여기서, 미리 설정된 접근 권한 정보는 위치에 대한 사용자 등급의 할당에 대한 정보를 포함하는 보안 정책에 대한 정보일 수 있다.
또한, 접근 통제 장치(300)는 사용자 단말(100)에 할당되는 사용자 등급에 기반하여 액세스 포인트(200)를 통한 무선 통신망에 대한 접속 가능 여부를 결정할 수 있다. 즉, 접근 통제 장치(300)는 사용자 단말(100)의 위치에 따라 액세스 포인트(200)를 통한 무선 통신망에 대한 접속 가능 여부를 판단할 수 있다. 예컨대, 낮은 사용자 등급이 할당된 사용자 단말(100)에 대해서는 무선 통신망에 대한 접속을 제한할 수 있다.
접근 통제 장치(300)는 액세스 포인트(200)의 커버리지 내에 있는 사용자 단말(100)의 위치를 검출하기 위한 위치 검출부(310)를 포함할 수 있다.
위치 검출부(310)는 무선랜 통신을 위한 적어도 하나의 액세스 포인트(200)에서 송출되는 신호를 수신하는 사용자 단말(100)이 산출하는 수신감도에 대한 정보를 이용하여 사용자 단말(100)의 위치를 검출하여 단말 위치 정보를 생성할 수 있다.
위치 검출부(310)는 이동 통신망과 연동되는 액세스 포인트(200)에서 송출되는 신호에 지연시간이 부가되어 이동 통신망으로 송출되고, 액세스 포인트(200)에서 송출되는 신호의 지연시간에 기반하여 이동 통신망에서 검출되는 액세스 포인트(200)의 식별정보를 수신하여 사용자 단말(100)의 위치를 확인할 수 있다. 즉, 위치 검출부(310)는 사용자 단말(100)이 접속하는 액세스 포인트(200)의 식별정보를 통하여 사용자 단말(100)의 위치를 확인할 수 있다.
또한, 접근 통제 장치(300)는 사용자 단말(100)의 위치에 기반하여 사용자 단말(100)에 사용자 등급을 할당할 수 있는 사용자 등급 할당부(320)를 포함할 수 있다.
사용자 등급 할당부(320)는 적어도 하나의 액세스 포인트(200)의 커버리지 내에서 적어도 하나의 AP에 접속할 수 있는 공간(10: 도 2 참조)을 미리 설정된 적어도 하나의 영역으로 구분할 수 있다. 여기서, 적어도 하나의 AP에 접속할 수 있는 공간 (10)은 적어도 하나의 액세스 포인트(200)의 커버리지 내의 공간으로 무선 통신망을 이용할 수 있도록 허용되는 미리 설정된 범위의 공간일 수 있다.
사용자 등급 할당부(320)는 사용자 단말(100)이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말(100)에 할당하여 단말 위치 정보와 사용자 등급을 매핑한 접근 통제 정보를 생성할 수 있다. 예컨대, 사용자 등급 할당부(320)는 구분된 각각의 영역에서 수행되는 역할에 기반하여 각각의 영역마다 사용자 등급을 할당할 수 있다.
인증 서버(400)는 접근 통제 정보에 기반하여 상기 사용자 단말의 접근을 통제하도록 상기 접근 통제 정보를 네트워크를 통하여 제공할 수 있다.
예컨대, 인증 서버(400)는 단말 위치 정보와 사용자 등급을 포함하는 접근 통제 정보를 네트워크를 통하여 방화벽, 서버보안시스템을 포함하는 접근 통제 주체에 제공하여 사용자 단말(100)의 접근을 통제할 수 있다. 즉, 접근 통제 주체는 인증 서버(400)로부터 수신한 접근 통제 정보에 기반하여 사용자 단말(100)의 접근을 실질적으로 통제할 수 있다.
데이터베이스(500)는 접근 통제 장치(300)와 연결될 수 있으며, 미리 설정된 접근 권한 정보를 포함하는 정보를 저장할 수 있다.
상술한 본 발명에서의 접근 통제 장치(300)와 인증 서버(400)는 서로 독립적으로 개시되지만, 접근 통제 장치(300)와 인증 서버(400)는 하나의 단일한 형태, 하나의 물리적 장치로 구현될 수 있다. 이뿐만 아니라, 접근 통제 장치(300)와 인증 서버(400)가 각각 하나의 물리적인 장치 또는 집단이 아닌 복수의 물리적 장치 또는 집단으로 구현될 수 있다. 또한, 본 발명의 실시예에 따르면 접근 통제 장치(300)와 인증 서버(400)는 유선 또는 무선으로 연결될 수 있다.
도 2는 본 발명의 실시예에 따른 영역의 구분을 나타내는 개념도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 접근 통제 장치(300)는 적어도 하나의 액세스 포인트(200)가 설치된 공간을 구분하여 인식할 수 있다. 즉, 적어도 하나의 액세스 포인트(200)의 커버리지(coverage)에 포함되는 적어도 하나의 AP에 접속할 수 있는 공간(10)은 사용자 등급에 의해 결정되거나 미리 설정된 기준에 의해 결정될 수 있다. 예컨대, 적어도 하나의 AP에 접속할 수 있는 공간(10)의 밖에 위치한 사용자 단말(100)은 적어도 하나의 액세스 포인트(200)를 통하여 무선 통신망을 이용할 수 없다.
적어도 하나의 AP에 접속할 수 있는 공간(10)은 미리 설정된 적어도 하나의 영역으로 구분될 수 있으며, 각각의 영역마다 사용자 등급이 할당될 수 있다. 즉, 사용자 단말(100)이 위치하는 영역에 해당하는 사용자 등급이 사용자 단말(100)에 할당되게 함으로써, 사용자 단말(100)의 위치에 기반하여 사용자 단말(100)에 사용자 등급을 할당할 수 있다.
예를 들어, 도 2a에서 적어도 하나의 AP에 접속할 수 있는 공간(10)은 네 개의 공간으로 구분될 수 있다. 이 경우, 사용자 단말(100)은 제 4 영역에 위치하고 있으므로, 제 4 영역에 할당된 사용자 등급이 사용자 단말(100)에 할당될 수 있다.
또한, 적어도 하나의 AP에 접속할 수 있는 공간(10)은 각각의 영역에서 수행되는 역할에 기반하여 구분될 수 있다. 즉, 각각의 영역에 위치한 부서에 따른 사용자 등급이 각각의 영역에 할당될 수 있다.
예를 들어, 도 2b에서 적어도 하나의 AP에 접속할 수 있는 공간(10)은 관리부, 구매부, 인사부, 총무부 등과 같이 각각의 영역에 위치한 부서(역할)에 기반하여 구분될 수 있다. 이 경우, 사용자 단말(100)은 인사부의 영역에 위치하고 있으므로, 인사부에 할당되는 사용자 등급이 사용자 단말(100)에 할당될 수 있다.
도3은 본 발명의 실시예에 따라 영역 별 사용자 등급의 할당을 나타내는 개념도이다.
도 3을 참조하면, 적어도 하나의 AP에 접속할 수 있는 공간(10)을 구획한 각각의 영역 별로 사용자 등급이 할당될 수 있다. 여기서, 사용자 등급은 제 1 등급으로부터 제 4 등급까지 4단계로 구분되었으나 더욱 세분화하여 분류될 수 있다.
예를 들어, 사용자 등급에 있어서 제 1등급은 Top Secret, 제 2 등급은 Secret, 제 3 등급은 Confidential, 제 4 등급은 Sensitive와 같이 기밀성의 수준에 따라 순차적으로 부여될 수 있다.
또한, 사용자 등급은 각각의 영역에서 수행되는 역할에 기반하여 할당될 수 있다. 즉, 각각의 영역에 위치한 부서(역할)에 기반하여 부서 별로 사용자 등급이 할당될 수 있으며, 다른 부서간에 동일한 사용자 등급이 할당되거나 동일한 부서 내에서 서로 다른 사용자 등급이 할당될 수도 있다.
도 4는 본 발명의 실시예에 따른 사용자 등급과 데이터 등급에 기반한 사용자 권한의 할당을 설명하는 개념도이다.
데이터(자원)에 대한 인가되지 않은 접근을 감시하고, 접근을 요구하는 사용자를 식별하며 사용자의 접근 요구가 정당한 것인지 보안 정책에 근거하여 접근을 승인하거나 거부함으로써, 인가되지 않은 불법적인 자원 접근 및 파괴를 예방하는 하드웨어, 소프트웨어 및 행정적 관리를 총칭하여 접근 통제라고 정의한다.
접근 통제를 위한 모델에서 능동적인 실체의 집합을 개시자(initiator) 또는 주체(subject)라 하며, 수동적인 자원의 집합을 타겟(target) 또는 객체(object)라 지칭할 수 있다.
본 발명의 실시예에 있어서 사용자 단말(100)은 능동적인 실체의 집합에 해당하여 개시자 또는 주체라고 할 수 있으며, 데이터는 수동적인 자원의 집합에 해당하여 타겟 또는 객체라고 할 수 있다. 또한, 방화벽, 서버보안시스템을 포함하는 접근 통제 주체는 단말 위치 정보와 사용자 등급을 포함하는 접근 통제 정보에 기반하여 사용자 단말의 데이터에 대한 접근을 통제할 수 있다.
도 4를 참조하면, 위치에 기반한 사용자 등급이 할당된 사용자 단말(100)은 할당된 사용자 등급에 상응하는 데이터 등급을 가진 데이터에 접근할 수 있는 사용자 권한을 가질 수 있다.
여기서, 데이터 등급은 제 1 등급으로부터 제 4 등급까지 4단계로 구분되었으나 더욱 세분화하여 분류될 수 있다.
예를 들어, 데이터 등급에 있어서 제 1등급은 Top Secret, 제 2 등급은 Secret, 제 3 등급은 Confidential, 제 4 등급은 Sensitive와 같은 기밀성의 수준에 따라 순차적으로 부여될 수 있다. 또한, 데이터 등급은 각각의 데이터와 관련도가 높은 부서(역할)에 대한 정보를 더 포함할 수 있다.
접근 통제 주체는 인증 서버(400)로부터 접근 통제 정보를 수신하여 사용자 단말(100)에 할당된 사용자 등급에 상응하는 데이터를 추출하여 사용자 단말(100)에 할당된 사용자 등급과 추출된 데이터 등급을 매핑(mapping)시킴으로써, 사용자 단말(100)의 데이터에 대한 접근 또는 사용자 권한을 통제할 수 있다.
예를 들어, 접근 통제 주체는 사용자 등급과 데이터 등급의 매핑을 통하여 추출된 데이터에 대한 사용자 권한을 사용자 단말(100)에 할당할 수 있으며, 사용자 단말(100)에 할당되는 사용자 권한은 추출된 데이터에 대한 읽기(Reading), 쓰기(Writing)에 관한 권한을 포함할 수 있다.
도 5는 본 발명의 실시예에 따른 사용자 등급과 데이터 등급에 기반한 사용자 권한의 할당에 대한 예시도이다.
도 5를 참조하면, 사용자 등급과 데이터 등급은 역할(부서)에 대한 정보(예를 들어, 인사, 총무 등) 및 기밀성의 수준(예를 들어, 제 1 등급, 제 2 등급 등)에 따른 정보를 각각 포함할 수 있다.
또한, 사용자 권한은 읽기(Reading), 쓰기(Writing)에 관한 권한을 포함할 수 있다.
예를 들어, 인사 제 1 등급을 할당 받은 사용자 단말(100)은 인사 제 1등급의 데이터 등급에 해당하는 데이터에 접근하여 읽고, 쓸 수 있다. 인사 제 2 등급을 할당 받은 사용자 단말(100)은 인사 제 1 등급에 해당하는 데이터에 접근할 수 없다.
또한, 인사 1 등급을 할당 받은 사용자 단말(100)은 총무 제 1 등급에 해당하는 데이터에 접근할 수 없다.
즉, 본 발명의 실시예에 따른 접근 통제 시스템은 사용자 등급과 데이터 등급에 기반하는 보안 정책에 따라 데이터에 대한 사용자 단말(100)의 접근을 통제할 수 있도록 한다.
또한, 본 발명의 실시예에 따른 접근 통제 시스템은 공유 비밀키를 이용한 단말기 인증 및 무선 구간 데이터를 암호화하는 방식 등과 함께 또는 독립적으로 적용될 수 있다.
도 6은 본 발명의 실시예에 따른 접근 통제 방법을 설명하는 흐름도이다.
도 6을 참조하면, 본 발명의 실시예에 따른 접근 통제 방법은 단말 위치 정보를 생성하는 단계(S100), 사용자 등급을 사용자 단말에 할당하는 단계(S200), 접근 통제 정보를 생성하는 단계(S300) 및 접근 통제 정보를 제공하는 단계(S400)을 포함한다.
본 발명의 실시예에 따른 접근 통제 방법은 와이파이(Wi-Fi) 무선랜을 기반으로 하여 사용자 단말(100)의 위치를 검출하고, 검출된 사용자 단말(100)의 위치에 기반하여 무선랜에의 접속 허용여부와 접근 가능한 데이터의 범위를 설정할 수 있도록 한다.
무선랜 통신을 위한 적어도 하나의 액세스 포인트(200)에서 송출되는 신호를 수신하는 사용자 단말(100)이 산출하는 수신감도에 대한 정보를 이용하여 사용자 단말(100)의 위치를 검출하여 단말 위치 정보를 생성할 수 있다(S100). 또한, 이동 통신망과 연동되는 액세스 포인트(200)에서 송출되는 신호에 지연시간이 부가되어 이동 통신망으로 송출되고, 액세스 포인트(200)에서 송출되는 신호의 지연시간에 기반하여 이동 통신망에서 검출되는 액세스 포인트(200)의 식별정보를 수신하여 사용자 단말(100)의 위치를 확인할 수 있다.
적어도 하나의 액세스 포인트(200)의 커버리지 내에서 적어도 하나의 AP에 접속할 수 있는 공간(10)을 미리 설정된 적어도 하나의 영역으로 구획될 수 있으며, 미리 설정된 접근 권한 정보에 기초하여 사용자 단말(100)이 위치하는 영역에 상응하는 사용자 등급을 사용자 단말(100)에 할당할 수 있다(S200). 또한, 각각의 영역에서 수행되는 역할에 기반하여 각각의 영역마다 사용자 등급이 할당될 수 있다.
단말 위치 정보와 사용자 등급을 매핑한 접근 통제 정보를 생성할 수 있다(S300). 따라서, 접근 통제 정보를 단말 위치 정보와 사용자 등급에 대한 정보를 포함할 수 있다.
접근 통제 정보에 기반하여 상기 사용자 단말의 접근을 통제하도록 접근 통제 정보를 네트워크를 통하여 제공할 수 있다(S400). 예컨대, 단말 위치 정보와 사용자 등급을 포함하는 접근 통제 정보를 네트워크를 통하여 방화벽 서버보안시스템을 포함하는 접근 통제 주체에 제공하여 접근 통제 주체가 사용자 단말의 접근을 통제할 수 있도록 한다.
또한, 사용자 단말(100)이 할당 받은 사용자 등급 또는 미리 설정된 기준에 기반하여 사용자 단말(100)이 무선랜을 통한 무선 통신망에 접속할 권한이 있는지 판단할 수 있다. 예컨대, 무선 통신망을 관리하는 관리자는 사용자 단말(100)의 위치에 따른 무선 통신망의 접속 허용 여부를 설정할 수 있다.
또한, 본 발명의 실시예에 따른 접근 통제 방법은 상술한 접근 통제 시스템에 의해 구현될 수 있으며, 더욱 상세하게는 단말 위치 정보를 생성하는 단계(S100), 사용자 등급을 사용자 단말에 할당하는 단계(S200) 및 접근 통제 정보를 생성하는 단계(S300)는 상술한 접근 통제 장치(300)에 의해 수행될 수 있고, 접근 통제 정보를 제공하는 단계(S400)는 인증 서버(400)에 의해 수행될 수 있다.
상술한 본 발명에 따른 접근 통제 시스템 및 방법은 사용자 단말의 위치에 기반하여 사용자 단말의 접근을 통제할 수 있도록 한다. 이를 통하여, 사용자 단말이 미리 설정된 특정 위치에 존재하지 않으면 특정 데이터에 접근하지 못하도록 하여 보안의 수준을 향상시킬 수 있다.
따라서, 본 발명에 따른 접근 통제 시스템 및 방법을 이용하여, 일반 대중의 사용을 목적으로 개방된 환경에서의 무선 통신망을 효율적으로 관리할 수 있을 뿐만 아니라, 보안의 강화가 필요한 대형 사무실 공간에서 효과적으로 사용될 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10: 적어도 하나의 AP에 접속할 수 있는 공간
100: 사용자 단말 200: 액세스 포인트
300: 접근 통제 장치 310: 위치 검출부
320: 사용자 등급 할당부 320: 접근 통제 정보 생성부
400: 인증 서버 500: 데이터베이스

Claims (13)

  1. 적어도 하나의 액세스 포인트(AP: Access Point);
    상기 적어도 하나의 AP에서 제공하는 신호로 사용자 단말의 위치를 검출하여 단말 위치 정보를 생성하고, 미리 설정된 접근 권한 정보에 기초하여 상기 사용자 단말이 위치하는 영역에 상응하는 사용자 등급을 상기 사용자 단말에 할당하여 상기 단말 위치 정보와 상기 사용자 등급을 매핑(mapping)한 접근 통제 정보를 생성하는 접근 통제 장치; 및
    상기 접근 통제 정보에 기반하여 상기 사용자 단말의 접근을 통제하도록 상기 접근 통제 정보를 네트워크를 통하여 제공하는 인증 서버를 포함하되,
    상기 인증 서버는 상기 단말 위치 정보와 상기 사용자 등급을 포함하는 상기 접근 통제 정보를 상기 네트워크를 통하여 방화벽, 서버보안시스템을 포함하는 접근 통제 주체에 제공하여, 상기 접근 통제 주체가 데이터 등급을 추출하여 상기 사용자 등급과 상기 데이터 등급을 매핑(mapping)시켜 상기 데이터 등급에 해당하는 데이터에 대한 상기 사용자 단말의 접근을 통제하도록 하는 접근 통제 시스템.
  2. 청구항 1에 있어서, 상기 접근 통제 장치는,
    상기 적어도 하나의 AP에서 송출되는 신호를 수신하는 상기 사용자 단말이 산출하는 수신감도에 대한 정보를 수신하여 상기 사용자 단말의 위치를 검출하는 위치 검출부를 포함하는 것을 특징으로 하는 접근 통제 시스템.
  3. 청구항 2에 있어서, 상기 위치 검출부는,
    이동 통신망과 연동되는 상기 적어도 하나의 AP에서 송출되는 신호에 지연시간이 부가되어 상기 이동 통신망으로 송출되고, 상기 적어도 하나의 AP에서 송출되는 신호의 지연시간에 기반하여 상기 이동 통신망에서 검출되는 상기 적어도 하나의 AP를 식별하는 정보를 수신하여 상기 사용자 단말의 위치를 확인하는 것을 특징으로 하는 접근 통제 시스템.
  4. 청구항 1에 있어서, 상기 접근 통제 장치는,
    상기 적어도 하나의 AP에 접속할 수 있는 공간을 미리 설정된 적어도 하나의 영역으로 구분하여 각각의 영역마다 상기 사용자 등급을 할당하며, 상기 사용자 단말이 위치하는 영역에 상응하는 상기 사용자 등급을 상기 사용자 단말에 할당하는 사용자 등급 할당부를 포함하는 것을 특징으로 하는 접근 통제 시스템.
  5. 청구항 4에 있어서, 상기 사용자 등급 할당부는,
    상기 각각의 영역에서 수행되는 역할에 기반하여 상기 각각의 영역마다 상기 사용자 등급을 할당하는 것을 특징으로 하는 접근 통제 시스템.
  6. 청구항 1에 있어서, 상기 접근 통제 장치는,
    상기 미리 설정된 접근 권한 정보에 기초하여 상기 단말 위치 정보와 상기 사용자 등급을 매핑한 접근 통제 정보를 생성하여 상기 인증 서버로 전달하는 접근 통제 정보 생성부를 포함하는 것을 특징으로 하는 접근 통제 시스템.
  7. 삭제
  8. 적어도 하나의 AP에서 제공하는 신호로 사용자 단말의 위치를 검출하여 단말 위치 정보를 생성하는 단계;
    미리 설정된 접근 권한 정보에 기초하여 상기 사용자 단말이 위치하는 영역에 상응하는 사용자 등급을 상기 사용자 단말에 할당하는 단계;
    상기 단말 위치 정보와 상기 사용자 등급을 매핑(mapping)한 접근 통제 정보를 생성하는 단계;
    상기 접근 통제 정보에 기반하여 상기 사용자 단말의 접근을 통제하도록 상기 접근 통제 정보를 네트워크를 통하여 제공하는 단계; 및
    상기 접근 통제 정보를 수신하고 데이터 등급을 추출하여 상기 사용자 등급과 상기 데이터 등급을 매핑(mapping)시켜 상기 데이터 등급에 해당하는 데이터에 대한 상기 사용자 단말의 접근을 통제하는 단계를 포함하는 접근 통제 방법.
  9. 청구항 8에 있어서, 상기 단말 위치 정보를 생성하는 단계는,
    상기 적어도 하나의 AP에서 송출되는 신호를 수신하는 상기 사용자 단말이 산출하는 수신감도에 대한 정보를 수신하여 상기 사용자 단말의 위치를 검출하는 것을 특징으로 하는 접근 통제 방법.
  10. 청구항 9에 있어서, 상기 단말 위치 정보를 생성하는 단계는,
    이동 통신망과 연동되는 상기 적어도 하나의 AP에서 송출되는 신호에 지연시간이 부가되어 상기 이동 통신망으로 송출되고, 상기 적어도 하나의 AP에서 송출되는 신호의 지연시간에 기반하여 상기 이동 통신망에서 검출되는 상기 적어도 하나의 AP를 식별하는 정보를 수신하여 상기 사용자 단말의 위치를 확인하는 것을 특징으로 하는 접근 통제 방법.
  11. 청구항 8에 있어서, 상기 사용자 등급을 상기 사용자 단말에 할당하는 단계는,
    상기 적어도 하나의 AP에 접속할 수 있는 공간을 미리 설정된 적어도 하나의 영역으로 구분하여 각각의 영역마다 상기 사용자 등급을 할당하며, 상기 사용자 단말이 위치하는 영역에 해당하는 상기 사용자 등급을 상기 사용자 단말에 할당하는 것을 특징으로 하는 접근 통제 방법.
  12. 청구항 11에 있어서, 상기 사용자 등급을 상기 사용자 단말에 할당하는 단계는,
    상기 각각의 영역에서 수행되는 역할에 기반하여 상기 각각의 영역마다 상기 사용자 등급을 할당하는 것을 특징으로 하는 접근 통제 방법.
  13. 삭제
KR1020120076932A 2012-07-13 2012-07-13 접근 통제 시스템 및 방법 KR101218409B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120076932A KR101218409B1 (ko) 2012-07-13 2012-07-13 접근 통제 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120076932A KR101218409B1 (ko) 2012-07-13 2012-07-13 접근 통제 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101218409B1 true KR101218409B1 (ko) 2013-01-03

Family

ID=47841163

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120076932A KR101218409B1 (ko) 2012-07-13 2012-07-13 접근 통제 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101218409B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690105B1 (ko) 2015-10-16 2016-12-27 한밭대학교 산학협력단 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법
WO2023178407A1 (en) * 2022-03-25 2023-09-28 Western Fibre Communications Corp. Geofenced internet service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040075613A (ko) * 2003-02-22 2004-08-30 주식회사 니츠 유무선 통합 환경에서의 보안정책 관리시스템 및 방법
KR20110070005A (ko) * 2009-12-18 2011-06-24 한국전자통신연구원 개인통신 단말기의 보안제어 시스템 및 방법
KR101059058B1 (ko) 2010-07-29 2011-08-24 삼성에스디에스 주식회사 위치 기반 서비스 접근 제어 장치, 방법 및 시스템
KR20120013687A (ko) * 2010-08-06 2012-02-15 주식회사 더존정보보호서비스 위치 정보에 기반한 무선인터넷 접속 제어 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040075613A (ko) * 2003-02-22 2004-08-30 주식회사 니츠 유무선 통합 환경에서의 보안정책 관리시스템 및 방법
KR20110070005A (ko) * 2009-12-18 2011-06-24 한국전자통신연구원 개인통신 단말기의 보안제어 시스템 및 방법
KR101059058B1 (ko) 2010-07-29 2011-08-24 삼성에스디에스 주식회사 위치 기반 서비스 접근 제어 장치, 방법 및 시스템
KR20120013687A (ko) * 2010-08-06 2012-02-15 주식회사 더존정보보호서비스 위치 정보에 기반한 무선인터넷 접속 제어 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690105B1 (ko) 2015-10-16 2016-12-27 한밭대학교 산학협력단 출입상태와 연동하는 802.1x 기반 네트워크 접근통제 방법
WO2023178407A1 (en) * 2022-03-25 2023-09-28 Western Fibre Communications Corp. Geofenced internet service

Similar Documents

Publication Publication Date Title
CN103119974B (zh) 用于维护无线网络中的隐私的系统和方法
EP2071883B1 (en) Apparatus, method, program and recording medium for protecting data in a wireless communication terminal
CN107211019B (zh) 用于基于自动检测安全环境来处理数据的方法和装置
CN104935572B (zh) 多层级权限管理方法及装置
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
CN112291780A (zh) 用于无线站点的身份混淆
US20050254652A1 (en) Automated network security system and method
US20150281239A1 (en) Provision of access privileges to a user
JP2007520915A (ja) ルージュ無線アクセスポイントの位置を決定するためのシステムおよび方法
CN101990211B (zh) 网络接入方法、装置和系统
Safdar et al. Common control channel security framework for cognitive radio networks
US9491625B2 (en) Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof
US10075989B2 (en) Network system and network connecting method
US9742769B2 (en) Method and system for determining trusted wireless access points
JP2024520585A (ja) 無線侵入防止システムおよびその動作方法
KR101218409B1 (ko) 접근 통제 시스템 및 방법
CN105681352B (zh) 一种无线网络访问安全管控方法和系统
CN103069767A (zh) 交付认证方法
CN107302637B (zh) 一种基于命名空间实现分类控制的方法及系统
Fuster et al. Analysis of security and privacy issues in wearables for minors
Ryu et al. Secure data access control scheme for smart home
KR101723957B1 (ko) 개인용 무선 공유기의 접속제어 장치
Desauw et al. A critical review of mobile device-to-device communication
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
KR101487349B1 (ko) 무선 ap에서의 단말 인증 방법 및 이를 이용한 무선랜 시스템

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151012

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161028

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181210

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 8