KR101257715B1 - 전화 승인을 이용한 접근 통제 방법 - Google Patents
전화 승인을 이용한 접근 통제 방법 Download PDFInfo
- Publication number
- KR101257715B1 KR101257715B1 KR1020110088631A KR20110088631A KR101257715B1 KR 101257715 B1 KR101257715 B1 KR 101257715B1 KR 1020110088631 A KR1020110088631 A KR 1020110088631A KR 20110088631 A KR20110088631 A KR 20110088631A KR 101257715 B1 KR101257715 B1 KR 101257715B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- authentication
- telephone
- access
- phone
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
Abstract
서버 접속에 대한 요청에 대하여 접속자 및 책임자로의 전화 인증을 통하여 서버 접근이 가능하도록 함으로써 비정상적인 접근을 제어할 수 있는 방법이 제공된다.
본 발명의 일 실시예에 따르면, 접속자 접속 단말의 통제 대상 서버에의 접속이 진정한 것임을 인증하는 방법에 있어서, 상기 통제 대상 서버가 상기 접속자 접속 단말로부터 서버 접속 요청을 수신하는 단계; 상기 통제 대상 서버가 상기 서버 접속요청 정보 및 접속자 전화 단말 정보 중 적어도 하나를 포함하여 전화 인증을 전화 인증 서버로 요청하는 단계; 상기 전화 인증 서버가 상기 접속자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계; 및 상기 통제 대상 서버가 상기 인증 결과가 인증 성공 또는 승인 확인인 경우, 상기 접속자 접속 단말의 서버로의 접속을 승인하는 단계를 포함하는 전화 승인을 이용한 접근 통제 방법이 제공될 수있다.
본 발명의 일 실시예에 따르면, 접속자 접속 단말의 통제 대상 서버에의 접속이 진정한 것임을 인증하는 방법에 있어서, 상기 통제 대상 서버가 상기 접속자 접속 단말로부터 서버 접속 요청을 수신하는 단계; 상기 통제 대상 서버가 상기 서버 접속요청 정보 및 접속자 전화 단말 정보 중 적어도 하나를 포함하여 전화 인증을 전화 인증 서버로 요청하는 단계; 상기 전화 인증 서버가 상기 접속자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계; 및 상기 통제 대상 서버가 상기 인증 결과가 인증 성공 또는 승인 확인인 경우, 상기 접속자 접속 단말의 서버로의 접속을 승인하는 단계를 포함하는 전화 승인을 이용한 접근 통제 방법이 제공될 수있다.
Description
본 발명은 서버 접속에 대한 요청에 대하여 접속자 및 책임자로의 전화 인증을 통하여 서버 접근이 가능하도록 함으로써 비정상적인 접근을 제어할 수 있는 방법에 관한 것이다.
통상적인 서버 접근 제어는 업무 중요도 및 정보의 민감성 등 다양한 관점에서 평가된 기준으로 의하여 적절한 접근 통제 수단이 적용되며, 서버 접속 후 행해지는 작업 상태 확인 및 고의/과실에 의한 사고 방지 등을 위해 작업 이력을 로그화 하고, 경우에 따라서는 특정한 작업 명령에 대하여 명령 수행 불가 등 내부 정책을 운영하기도 한다.
서버 접근 통제 수단으로 기본적으로는 아이디/패스워드에 대한 확인이 가장 일반적이며 금융기관의 거래원장, ATM기기 작업 등 중요 서버에 대한 접근 시에는 사용자의 작업에 통제되기도 하는데, 서버보안솔루션 및 계정보안솔루션이 사용되기도 한다.
서버보안솔루션의 주요한 기능은 비인가자에 대한 시스템의 접근 권한 통제이며, 계정보안솔루션은 이기종 시스템에 대한 일원화된 중앙관리와 계정의 Life Cycle, PKI기반의 복합인증을 지원한다.
경우에 따라서 이러한 보안솔루션과 사용자 인증을 위해 SMS인증, 공인인증서, 지문인식 시스템 등과 연계되기도 한다.
그러나, 이러한 서버보안솔루션 및 계정보안솔루션은 높은 솔루션 비용으로 인하여, 도입 및 적용가능한 시스템에 제약이 있다.
특히나, 단일한 기능을 가지는 웹방화벽, 침입탐지, PC보안 등 개별 보안 솔루션에 대한 통제는, 실제로 대부분이 아이디/패스워드 인증 방식으로 통제하는 형태가 거의 대부분이다.
또한, 잇따른 시스템 관리 소홀로 대량의 개인정보 유출 사고가 빈번히 발생하고 있고, 메모리 해킹, 멜웨어, 제우스 봇 등 갈수록 진화하는 해킹 수법에 의하여 개인 정보는 물론 본인 확인 수단으로 사용되는 공인인증서 등 인증 수단의 도용이 날로 증가 하고 있는 실정이다.
현재까지의 위 인증 수단들은 동일한 채널에서 단방향으로 이루어 지는 한계점을 가지고 있다.
단방향 거래는 인터넷 서비스 제공자가 제공하는 서비스에 대하여 이용자가 서비스 이용을 요청했는지 확인하지 않음으로서 요청 사실에 대한 진위 확인을 하지 못하고 있으며, 진위 확인을 요청 한다 하더라도, PC라는 동일한 채널에 인증(승인)정보를 입력 하게되므로, 입력 및 확인단계에서 해킹에 의해 임의적으로 조작될 수 있다.
운영 시스템에서 제공하는 인터페이스를 이용하여 간결한 시스템 접근 통제 기술 방법과 정당한 계정 정보라 할 지라도 개인정보의 도용 및 불법적으로 취득한 정보를 이용한 부정거래의 개연성이 높은 상황에서 서비스 이용 및 당사자간 의 확인을 위한 방법 및 수단이 필요하다.
대한민국 공개특허공보 제2001-0055118호(2001.07.04)에는 공공기관을 통해 발급받은 인증서를 이용하여 인증하는 방법에 대한 기술이 개시되어 있다.
본 발명은 서버 접속에 대한 요청에 대하여 접속자 및 책임자로의 전화 인증을 통하여 서버 접근이 가능하도록 함으로써 비정상적인 접근을 제어할 수 있는 전화 승인을 이용한 접근 통제 방법을 제공하기 위한 것이다.
또한, 본 발명은 서버에 접속하는 단말에서 인증을 수행하지 않고, 서비스를 제공하는 서버와 전화 인증을 수행하는 서버간의 통신을 통해 별도의 단말을 통해 인증을 수행하여 위변조가 불가능한 전화 승인을 이용한 접근 통제 방법을 제공하기 위한 것이다.
또한, 본 발명은 양방향 인증으로 서버 접속의 요청에 대하여 승인, 거부에 대한 입력을 요구하고, 입력에 의하여 처리되므로, 본인 확인 및 부인방지 기능을 강화할 수 있는 전화 승인을 이용한 접근 통제 방법을 제공하기 위한 것이다.
또한, 본 발명은 비 정상적인 서버 접속의 이상징후를 탐지하여 해킹 의심 등 이상징후 판단 시 시스템에서 사용자에게 책임자나 정보 주체에게 확인이 가능함으로써 사전에 사고를 예방할 수 있는 전화 승인을 이용한 접근 통제 방법을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 서버 접속에 대한 요청에 대하여 접속자 및 책임자로의 전화 인증을 통하여 서버 접근이 가능하도록 함으로써 비정상적인 접근을 제어할 수 있는 방법이 제공된다.
본 발명의 일 실시예에 따르면, 접속자 접속 단말의 통제 대상 서버에의 접속이 진정한 것임을 인증하는 방법에 있어서, 상기 통제 대상 서버가 상기 접속자 접속 단말로부터 서버 접속 요청을 수신하는 단계; 상기 통제 대상 서버가 상기 서버 접속요청 정보 및 접속자 전화 단말 정보 중 적어도 하나를 포함하여 전화 인증을 전화 인증 서버로 요청하는 단계; 상기 전화 인증 서버가 상기 접속자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계; 및 상기 통제 대상 서버가 상기 인증 결과가 인증 성공 또는 승인 확인인 경우, 상기 접속자 접속 단말의 서버로의 접속을 승인하는 단계를 포함하는 전화 승인을 이용한 접근 통제 방법이 제공될 수있다.
상기 전화 인증 서버는 상기 접속자의 서버로의 접속에 책임을 가진 자의 책임자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계를 더 포함할 수 있다.
상기 통제 대상 서버가 전화 인증 서버로 전화 인증을 요청하는 것은 상기 운영 시스템에서 제공하는 엘에스에이에스(LSAS: Local Security Authority Service) 기반 인터페이스에 인증 패캐지(Authentication Package)를 구현될 수 있다.
상기 통제 대상 서버가 전화 인증 서버로 전화 인증을 요청하는 것은 별도의 전화인증 게이트웨이 서버를 포함하여 외부의 서버보안 시스템 또는 계정보안 시스템으로부터 전화번호를 제공받아 전화 인증 서버에 전달할 수 있다.
상기 상기 통제 대상 서버가 상기 전화 인증 서버로부터 전송받은 인증 결과를 저장하고 분석하는 단계와, 접속자 접속 단말로부터의 서버 접속 요청을 모니터링하여 이상징후 감지시 전화 인증 서버에 전화 인증을 요청하는 단계와, 전화 인증 서버로부터 전송받은 인증 결과로 서버 접속을 승인하거나 승인하지 않는 단계를 더 포함하여 이루어질 수 있다.
삭제
삭제
삭제
삭제
본 발명의 일 실시예에 따른 전화 승일을 이용한 접근 통제 방법을 제공함으로써, 서버 접속에 대한 요청에 대하여 접속자 및 책임자로의 전화 인증을 통하여 서버 접근이 가능하도록 함으로써 비정상적인 접근을 제어할 수 있다.
또한, 본 발명은 서버에 접속하는 단말에서 인증을 수행하지 않고, 서비스를 제공하는 서버와 전화 인증을 수행하는 서버간의 통신을 통해 별도의 단말을 통해 인증을 수행하여 위변조가 불가능한 이점이 있다.
또한, 본 발명은 양방향 인증으로 서버 접속의 요청에 대하여 승인, 거부에 대한 입력을 요구하고, 입력에 의하여 처리되므로, 본인 확인 및 부인방지 기능을 강화할 수 있는 이점이 있다.
또한, 본 발명은 비 정상적인 서버 접속의 이상징후를 탐지하여 해킹 의심 등 이상징후 판단 시 서버 접속을 자동으로 차단함으로써 사전에 사고를 예방할 수 있는 이점이 있다.
더욱이, 본 발명은 운영 시스템에서 제공하는 인터페이스를 이용하므로 별도의 게이트웨이(Gateway) 또는 어플리컨스(Applicance) 형태의 시스템이 필요없이 저렴하게 구축 가능한는 이점이 있다.
따라서, 원격접근 통제, 보안서버 접속, 이상징후 분석 결과의 활용 등 다양한 부가서비스에 폭넓게 활용이 가능한 이점이 있다.
도 1은 본 발명의 일 실시예에 따른 전화 인증 기반의 접근 통제 시스템의 구성을 개략적으로 도시한 블록도.
도 2는 본 발명의 일 실시예에 따른 전화 인증 기반의 접근 통제 절차를 나타낸 흐름도.
도 3은 도2의 접근 통제 절차에서 접속자 인증절차를 나타낸 흐름도.
도 4는 도2의 접근 통제 절차에서 책임자 인증절차를 나타낸 흐름도.
도 5는 운영 시스템에서 제공하는 인터페이스를 이용하는 경우에, 서버에 설치된 서버 접근통제 에이전트가 서버 접근을 식별하여 전화인증을 요청하는 과정을 나타낸 나타낸 모식도.
도 6은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우를 나타내는 전체 서비스 구성도
도 7은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우에 사용하는 서버 관리 정책의 화면도.
도 8은 본 발명의 일 실시예에 따라 이상징후 접근 통제 절차를 나타낸 흐름도.
도 2는 본 발명의 일 실시예에 따른 전화 인증 기반의 접근 통제 절차를 나타낸 흐름도.
도 3은 도2의 접근 통제 절차에서 접속자 인증절차를 나타낸 흐름도.
도 4는 도2의 접근 통제 절차에서 책임자 인증절차를 나타낸 흐름도.
도 5는 운영 시스템에서 제공하는 인터페이스를 이용하는 경우에, 서버에 설치된 서버 접근통제 에이전트가 서버 접근을 식별하여 전화인증을 요청하는 과정을 나타낸 나타낸 모식도.
도 6은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우를 나타내는 전체 서비스 구성도
도 7은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우에 사용하는 서버 관리 정책의 화면도.
도 8은 본 발명의 일 실시예에 따라 이상징후 접근 통제 절차를 나타낸 흐름도.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
[도 1 설명]
도 1은 본 발명의 일 실시예에 따른 전화 승인을 이용한 접근 통제 시스템의 구성을 개략적으로 도시한 블록도이다.
도 1을 참조하면, 접근 통제 시스템은 접속자 접속 단말(110), 접속자 전화 단말(120), 통제 대상 서버(130), 전화 인증 서버(140) 및 책임자 전화 단말(150)을 포함하여 구성된다.
접속자 접속 단말(110)은 로컬 또는 원격으로 통제 대상 서버(130)와 연결되어 서버(130)의 저장된 데이터에 접근할 수 있는 장치이다.
예를 들어, 접속자 접속 단말(110)의 유형으로는 컴퓨터, 노트북, 이동통신 단말기, 스마트폰, 태블릿 PC 및 PDA 등일 수 있다. 물론, 이외에도 접속자 접속 단말(110) 은 통신 기능된 장치인 경우 모두 동일하게 적용될 수 있다.
접속자 전화 단말(120)은 전화 인증 서버(140)의 인증 요청에 따라 인증정보를 전송하기 위한 장치이다. 접속자 전화 단말(120)은 통제 대상 서버(130)에 접근 권한을 인정받기 위하여 접속자 접속 단말(110)에 의해 등록 또는 지정된 장치로, 전화 인증 서버(140)와 연결되어 접근 승인을 위한 인증정보를 전화 인증 서버(140)로 제공할 수 있다.
또는 접속자 전화 단말(120)은 통제 대상 서버(130)에 저장된 데이터의 소유자가 보유한 전화 단말(120)일수 있으며, 예를 들어 로밍서버에 공인인증서가 저장되어 있어 공인인증서 소유자가 로밍서버에 접속하여 공인인증서를 사용하고자 하는 경우, 통제 대상 서버(130)는 공인인증서의 소유자가 실명 등으로 소유주임이 확인된 전화 단말에 접근 승인을 위한 인증을 하도록 하는 것이다.
접속자 전화 단말(120)은 예를 들어, 이동통신 단말기, 유선 전화 등과 같이, 전화 기능을 수행할 수 있는 장치인 경우 모두 동일하게 적용될 수 있다.
통제 대상 서버(130)는 다양한 서비스를 제공하는 데에 있어서 주요 핵심적인 내용을 저장하고 있는 장치이다.
예를 들어, 통제 대상 서버(130)는 온라인에서 물품 판매를 위해 물품을 중개하는 중개서비스의 서버일 수도 있으며, 온라인상에서 게임을 제공하는 게임서비스의 서버일 수도 있다. 즉, 통제 대상 서버(130)는 온라인 상에서 특정한 서비스를 제공하는 장치인 경우 모두 동일하게 적용될 수 있다.
이외에도 통제 대상 서버는 각종 시스템을 관장하는 서버일수 있으며, 예를 들어 인증관리 시스템 서버, 이상징후 시스템 서버, 고객관리 시스템 서버, ATM 서버, DB보안 시스템 서버, NAC 관리 시스템 서버, PC 보안 시스템 서버, SSO 서버, VPN 서버 등이 될 수 있다. 마찬가지로 클라우드 서버에 접근하거나 로밍관리서버 내의 데이터를 사용할때나 로밍관리 서버에 접근하거나 로밍관리서버내 데이터를 사용할때에도 동등한 기능이 될 것이다.
이러한 통제 대상 서버(130)는 접속자 접속 단말(110)의 서버 접속 요청에 따라 접속자 접속 단말(110)에 대한 사용자 인증을 전화 인증 서버(140)로 요청하여 인증 결과를 획득하고, 인증 결과에 따라 접속자 접속 단말(110)로 제공 요청한 서비스를 제공할 수 있다.
전화 인증 서버(140)는 통제 대상 서버(130)와 연동되며, 접속자 접속 단말(110)로 통제 대상 서버(130)에 접속하고자 하는 경우, 접속자 전화 단말(120)로부터 서버 접속에 대한 진정성을 확인하여 접속자 접속 단말(110)에 대한 접근 권한을 인증을 수행하기 위한 수단이다.
예를 들어, 전화 인증 서버(140)는 해당 통제 대상 서버(130)의 요청에 따라, 접속자 접속 단말(110)의 접근 권한 인증을 위해, 접속자 전화 단말(120)로 접속자 접속 단말(110)에 대한 사용자 인증을 요청하여 인증정보를 획득하고, 이를 이용하여 사용자 인증을 수행한 후 인증 결과를 통제 대상 서버(130)로 제공할 수 있다.
또한, 전화 인증 서버(140)는 접속자 접속 단말(110)이 서비스 이용에 따른 사용자 인증을 위한 음성 안내, 음성 인식, 음성 녹취, DTMF(Dual Tone Multi Frequency) 수집, TTS(Text-To-Speech) 등의 기능을 수행하기 위한 특수 자원일 수 있다. 예를 들어, 인증 서버(140)는 지능망 시스템의 IP(Intellectual peripheral) 등일 수도 있다.
[도 2 및 도 4 설명]
도 2는 본 발명의 일 실시예에 따른 전화 인증 기반의 접근 통제 절차를 나타낸 흐름도이고, 도 3은 도2의 접근 통제 절차에서 접속자 인증절차를 나타낸 흐름도이며, 도 4는 도2의 접근 통제 절차에서 책임자 인증절차를 나타낸 흐름도이다.
단계 210에서 통제 대상 서버(130)는 접속자 접속 단말(110)로부터 서버 접속 요청을 수신한다.
이에 따라, 단계 215에서 통제 대상 서버(130)는 접속자 접속 단말(110)의 서버 접속 요청이 통제가 필요한지 여부를 판단한다.
예를 들어, 서버에 로그인 등을 통하여 최초로 접속하는 경우와 더불어, 이미 최초 접속을 한 이후라도 이상징후를 감지하거나, 특히 시스템 포맷, 파일 삭제 등의 민간업무라도 파급적 효과가 뒤따르기에 서버 책임자에 의하여 서버 접속자의 접근 통제가 필요한 조건으로 설정된 경우에는 본 발명에 의한 접근 통제가 이루어질 것이다.
만일 사용자의 신뢰성 확인이 필요한 서비스이면, 단계 220에서 통제 대상 서버(130)는 접속자 접속 단말(110)이 제공 요청한 서버 접속에 대한 정보(이해와 설명의 편의를 도모하기 위해 '서버 접속 목적'이라 칭하기로 함) 및 접속자 접속 단말(110)에 상응하여 등록된 인증 단말 정보 중 적어도 하나를 포함하는 전화 인증 요청을 전화 인증 서버(140)로 전송한다.
단계 225 에서는 전화 인증 서버(140)로의 요청을 통하여 서버 접속자로부터 전화 인증을 수행하여 인증 결과를 획득하고, 필요시 단계 230에서 서버 책임자로부터 별도의 전화 인증을 수행하여 인증 결과를 획득한다.
이해와 설명의 편의를 도모하기 위해 도 3 을 참조하여 접속자에 대한 전화 인증 절차에 대해 설명하기로 한다.
단계 310에서 전화 인증 서버(140)는 전화 인증 요청에 포함된 서비스 유형을 포함하는 인증 정보 요청을 인증 단말 정보를 이용하여 접속자 전화 단말(120)로 전송한다.
단계 315에서 전화 인증 서버(140)는 접속자 전화 단말(120)로부터 인증 정보를 획득한다.
예를 들어, 전화 인증 서버(140)는 DTMF를 이용하여 인증 정보를 접속자 전화 단말(120)로부터 획득할 수 있다.
단계 320에서 전화 인증 서버(140)는 인증 정보를 이용하여 접속자 접속 단말(110)의 사용자에 대한 인증을 수행한 후, 단계 330에서 인증 결과를 통제 대상 서버(130)로 전송한다.
한편 전화 인증 서버(140)는 접속자에 대한 전화 인증이 음성으로 진행된 경우에 전화 인증 과정을 녹취하여 이를 저장함으로써, 사용자의 부인에 대비한 증빙 기타 증거자료로 활용할 수 있다.
즉 단계 325에서 전화 인증 서버(140)는 전화 인증 과정을 통하여 녹취된 정보를 저장하고, 단계 330에서 인증 결과를 통제 대상 서버(130)로 전송할때 선택적으로 이를 함께 전송한다.
이와 같이, 통제 대상 서버(130)는 접속자 접속 단말(110)이 당해 통제 대상 서버(130)로의 접속을 요청하는 경우, 전화 인증 서버(140)와 연동되어 접속자의 서버 접속여부의 진정성 확인을 위한 전화 인증을 수행하여 인증 결과를 획득할 수 있다.
다시, 도 2를 참조하여, 단계 235에서 통제 대상 서버(130)는 전화 인증 서버(140)로부터 획득된 인증 결과가 인증 성공 또는 인증 실패인지 여부를 판단한다.
만일 인증 결과가 인증 성공이면, 단계 240에서 통제 대상 서버(130)는 접속자 접속 단말(110)의 서버 접속을 승인한다.
그러나 만일 인증 결과가 인증 실패이면, 통제 대상 서버(130)는 지정된 횟수만큼 단계 225의 전화 인증 절차를 반복 수행한다.
단계 245에서 통제 대상 서버(130)는 접속자 접속 단말(110)에 대한 인증 결과를 누적하여 저장하고, 통계처리하여 접속자 접속 단말(110)의 접속 이력을 로그화 하여 저장한다.
한편 단계 230에서는 접속자에 대한 전화 승인에 더하여 서버 책임자에 대한 전화 승인을 실시할 수 있다.
이를 위하여 도 4 을 참조하여 책임자에 대한 전화 인증 절차에 대해 설명하기로 한다.
단계 410에서 전화 인증 서버(140)는 전화 인증 요청에 포함된 서비스 유형을 포함하는 인증 정보 요청을 인증 단말 정보를 이용하여 책임자 전화 단말(120)로 전송한다.
단계 415에서 전화 인증 서버(140)는 책임자 전화 단말(120)로부터 인증 정보를 획득하며, 단계 420에서 전화 인증 서버(140)는 인증 정보를 이용하여 접속자 접속 단말(110)의 사용자에 대한 인증을 수행한 후, 단계 425에서 인증 결과를 통제 대상 서버(130)로 전송한다.
또한 전화 인증 서버(140)는 책임자에 대한 전화 인증이 음성으로 진행된 경우에 전화 인증 과정 역시 녹취하여 이를 저장할 수 있으며, 단계 425에서 전화 인증 서버(140)는 전화 인증 과정을 통하여 녹취된 정보를 저장하고, 단계 430에서 인증 결과를 통제 대상 서버(130)로 전송할때 선택적으로 이를 함께 전송한다.
이와 같이, 통제 대상 서버(130)는 접속자의 전화 승인을 통하여 접속자의 진정성을 확인하는 것과 별도로, 서버 접속에 책임을 가진 사람의 전화를 통하여 해당 접속자의 서버 접속이 진정한 것인지 및 유효한 것인지를 확인함으로써 더욱 각별한 서버 접근 통제를 구현할 수 있다.
이하에서는 본 발명이 적용되는 기반별로 접근 통제 방법에 대해 상세히 설명하기로 한다.
[도 5 설명]
도 5는 운영 시스템에서 제공하는 인터페이스를 이용하는 경우에, 서버에 설치된 서버 접근통제 에이전트가 서버 접근을 식별하여 전화인증을 요청하는 과정을 나타낸 나타낸 모식도이다.
운영 시스템(OS: Operating System) 에서는 LSAS(Local Security Authority Service) 를 제공하고 있어 본 발명은 이러한 시큐리티 아키텍처(Security Architecture)를 기반으로 구현될 수 있다.
즉 마이크로소프트의 경우에는 제공되는 Winlogon 기반 또는 LSASS(Local Security Authority Subsystem) 기반 인터페이스부에 사용자 계정에 대한 확인 후 전화인증이 완료된 경우에만 시스템에 접근할 수 있도록 할수 있으며, LSASS 기반으로는 Server Authientication Fileter 를 구현하고, WinLogon 기반으로는 Gina, CP 를 연동하여 구현할 수 있다.
이때 LSASS 기반의 Server Authientication Fileter 를 구현하는 방법은 차례로 Winlogon 및 LSASS 를 수행한 뒤, Authentication Package 를 수행하되, 이때 MSV1_0(LM/NTLM) 모듈의 Server Authentication fileter를 구현하되, 레지스트리에 'AuthN' 형식으로 지정한다.
그러면 아이디/패스워드 인증후 filter Authentication 처리가 완료 되어야만 로그인이 가능하므로 본 발명의 전화인증 여부를 filter Authentication 에 적용할 수 있게 된다.
이와 달리 Winlogon 기반에서는 Gina, CP 를 연동하여 구현하는데, 마찬가지로 차례로 Winlogin 및 Gina(Vista 이하) 또는 CP(Vista 이상)를 연동한 후 Server Authenticaton 을 수행한다. 그러면 아이디/패스워드 인증 완료후 본 발명의 전화인증 여부를 확인할 수 있게 된다.
[도 6 및 7 설명]
도 6은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우를 나타내는 전체 서비스 구성도이고, 도 7은 별도의 서버보안 시스템 또는 계정보안 시스템에 연계하는 경우에 사용하는 서버 관리 정책의 화면도이다.
이 경우 통제 대상 서버는 별도의 전화인증 게이트웨이 서버를 포함함으로써 통제대상 서버에 접근하는 사용자를 식별하여, 연계된 서버보안시스템 서버 또는 계정관리시스템과 연동하여 그에 저장된 전화번호를 전화인증 서버에 전달하여 전화인증을 수행한다.
이때 전화인증 게이트웨이 서버는 서버보안시스템 서버 또는 계정관리시스템과의 관계에 있어서, 전화인증 계정을 연동하고, 전화인증 정책을 관리하며, 인증이력 로그를 조회하는 기능을 담당한다.
이때 전화인증 게이트웨이 서버는 도 7에서와 같이 자신이 거느리는 다수의 전화인증 서버를 관리함에 있어서 각기 접속자 및 책임자에 대한 전화인증 사용여부, 그리고 전화인증에 필요한 조건을 개별적으로 설정할 수 있다.
[도 8 설명]
도 8은 본 발명의 일 실시예에 따라 이상징후 접근 통제 절차를 나타낸 흐름도이다.
본 발명에 따라 통제 대상 서버는 접속자 접속 단말(110)에 대한 인증 결과를 누적하여 저장하고, 통계처리하여 접속자 접속 단말(110)의 접속 이력을 로그화 하여 저장한다.
그리고 저장된 접속 및 인증에 관련된 정보를 분석하여 정상적인 패턴과 비정상적인 패턴으로 분류하여, 비정상적인 패턴은 이상징후가 있는 데이터베이스화한다.
그리고 새로이 접속자 접속 단말로부터 새로이 수신된 서버 접속 요청이 이러한 이상징후 데이터베이스에 대응되는 경우 자동으로 전화 인증을 개시하여 비정상적인 접근을 제어하게 된다.
즉, 단계 810에서 통제 대상 서버에 요청된 서버 접속 요청이 이상징후가 있는 것으로 탐지되는 경우 단계 815에서 전화인증 서버에 전화인증을 요구한다.
단계 820 및 825에서는 접속자 및 책임자에 대하여 이러한 요청 서버 접속이 진정한 것인지를 개별적으로 또는 함께 전화 인증을 받음으로써, 만일 비정상적인 경우에는 서버 접속을 차단하여 추후의 사고를 방지할 수 있게 된다.
단계 830에서는 만일 인증 결과가 정상인 경우에는 단계 835를 통하여 접속자 접속 단말에 서버 접속을 승인하는 통지를 하고, 단계 840에서는 추가적으로 인증 결과 및 접속 이력을 로그화하여 저장한다.
한편, 본 발명의 실시예에 따른 전화 인증에 기반하여 사용자 인증을 수행하는 방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조등을 단독으로 또는 조합하여 포함할 수 있다.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
110: 접속자 접속 단말
120: 접속자 전화 단말
130: 통제 대상 서버
140: 전화 인증 서버
120: 접속자 전화 단말
130: 통제 대상 서버
140: 전화 인증 서버
Claims (9)
- 접속자 접속 단말의 통제 대상 서버에의 접속이 진정한 것임을 인증하는 방법에 있어서,
상기 통제 대상 서버가 상기 접속자 접속 단말로부터 서버 접속 요청을 수신하는 단계;
상기 통제 대상 서버가 상기 서버 접속요청 정보 및 접속자 전화 단말 정보를 포함하여 전화 인증을 전화 인증 서버로 요청하는 단계;
상기 전화 인증 서버가 상기 접속자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계; 및
상기 통제 대상 서버가 상기 인증 결과가 인증 성공 또는 승인 확인인 경우, 상기 접속자 접속 단말의 서버로의 접속을 승인하는 단계를 포함하되,
상기 통제 대상 서버가 상기 전화 인증 서버로부터 전송받은 인증 결과를 저장하고 분석하는 단계와,
접속자 접속 단말로부터의 서버 접속 요청을 모니터링하여 이상징후 감지시 전화 인증 서버에 전화 인증을 요청하는 단계와,
전화 인증 서버로부터 전송받은 인증 결과로 서버 접속을 승인하거나 승인하지 않는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 전화 승인을 이용한 접근 통제 방법.
- 제1 항에 있어서,
상기 전화 인증 서버는 상기 접속자의 서버로의 접속여부에 책임을 가진 자의 책임자 전화 단말 정보를 이용하여 상기 서버 접속요청 정보를 포함하는 인증 정보 요청 안내를 접속자 전화 단말로 전송하여 인증 정보를 획득하여 접속자 인증을 수행하여 인증 결과를 상기 통제 대상 서버로 전송하는 단계를 더 포함하는 전화 승인을 이용한 접근 통제 방법.
- 제1 항에 있어서,
상기 통제 대상 서버가 전화 인증 서버로 전화 인증을 요청하는 것은 운영 시스템(OS: Operating System)에서 제공하는 엘에스에이에스(LSAS: Local Security Authority Service) 기반 인터페이스에 인증 패캐지(Authentication Package)를 구현하여 이루어지는 것을 특징으로 하는 전화 승인을 이용한 접근 통제 방법.
- 제1 항에 있어서,
상기 통제 대상 서버가 전화 인증 서버로 전화 인증을 요청하는 것은 별도의 전화인증 게이트웨이 서버를 포함하여 외부의 서버보안 시스템 또는 계정보안 시스템으로부터 전화번호를 제공받아 전화 인증 서버에 전달하여 이루어지는 것을 특징으로 하는 전화 승인을 이용한 접근 통제 방법.
- 제1 항 또는 제2 항에 있어서,
상기 전화 인증 서버는 전화 인증 과정을 녹취하여 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 전화 승인을 이용한 접근 통제 방법.
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110088631A KR101257715B1 (ko) | 2011-09-01 | 2011-09-01 | 전화 승인을 이용한 접근 통제 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110088631A KR101257715B1 (ko) | 2011-09-01 | 2011-09-01 | 전화 승인을 이용한 접근 통제 방법 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130011363A Division KR20130035258A (ko) | 2013-01-31 | 2013-01-31 | 전화 승인을 이용한 접근 통제 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130025229A KR20130025229A (ko) | 2013-03-11 |
| KR101257715B1 true KR101257715B1 (ko) | 2013-04-24 |
Family
ID=48176983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110088631A KR101257715B1 (ko) | 2011-09-01 | 2011-09-01 | 전화 승인을 이용한 접근 통제 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101257715B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030096786A (ko) * | 2002-06-17 | 2003-12-31 | 정용석 | 인터넷 사용의 통제 시스템 및 그 통제 운영 방법 |
| KR20040017190A (ko) * | 2002-08-20 | 2004-02-26 | 삼성전자주식회사 | 이동 통신 단말을 이용한 서비스 승인 방법 |
| KR20090065097A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법 |
| KR20090131114A (ko) * | 2008-06-17 | 2009-12-28 | 허태준 | 온라인 상호 인증 방법 및 그 시스템 |
-
2011
- 2011-09-01 KR KR1020110088631A patent/KR101257715B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030096786A (ko) * | 2002-06-17 | 2003-12-31 | 정용석 | 인터넷 사용의 통제 시스템 및 그 통제 운영 방법 |
| KR20040017190A (ko) * | 2002-08-20 | 2004-02-26 | 삼성전자주식회사 | 이동 통신 단말을 이용한 서비스 승인 방법 |
| KR20090065097A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법 |
| KR20090131114A (ko) * | 2008-06-17 | 2009-12-28 | 허태준 | 온라인 상호 인증 방법 및 그 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130025229A (ko) | 2013-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11968196B2 (en) | Integrated cybersecurity system and method for providing restricted client access to a website | |
| US20220116372A1 (en) | System and method for providing controlled application programming interface security | |
| US11562455B1 (en) | Method and system for identity verification and authorization of request by checking against an active user directory of identity service entities selected by an identity information owner | |
| US10102524B2 (en) | Access control and mobile security app | |
| US9906520B2 (en) | Multi-user authentication | |
| US11113370B2 (en) | Processing authentication requests to secured information systems using machine-learned user-account behavior profiles | |
| US11775623B2 (en) | Processing authentication requests to secured information systems using machine-learned user-account behavior profiles | |
| US11924201B1 (en) | Authentication for application downloads | |
| CN105229987A (zh) | 主动联合的移动认证 | |
| KR101260698B1 (ko) | 인증정보가 입력되는 단말 식별정보를 이용한 이상징후 분석 및 2채널 사용자 확인 방법 및 시스템 | |
| US20160125522A1 (en) | Automatic account lockout | |
| US11379591B2 (en) | Methods and devices for user authorization | |
| KR20180124067A (ko) | 계정에 연결하고 서비스 프로세스를 제공하기 위한 방법 및 디바이스 | |
| CN110838195A (zh) | 授权他人开锁的方法 | |
| US11822638B1 (en) | Multi-channel authentication using smart cards | |
| KR101282824B1 (ko) | 만남 인증 시스템 및 그 제공방법 | |
| WO2022052780A1 (zh) | 身份验证方法、装置、设备及存储介质 | |
| KR101257715B1 (ko) | 전화 승인을 이용한 접근 통제 방법 | |
| KR100548031B1 (ko) | 통신망을 통하여 서비스를 제공하는 시스템에서 사용자를인증하는 방법 및 그 시스템 | |
| KR20130035258A (ko) | 전화 승인을 이용한 접근 통제 방법 및 시스템 | |
| JP2007025907A (ja) | 認証システム及び認証方法 | |
| US20240098085A1 (en) | Remote transaction verification | |
| CN112712365B (zh) | 用于数字证书的处理方法和装置 | |
| US20220182378A1 (en) | Biometric Verification Service | |
| CN116702108A (zh) | 鉴权方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| A107 | Divisional application of patent | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160412 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20170110 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20180108 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20190110 Year of fee payment: 7 |