KR101277507B1 - 스마트폰 환경을 위한 상황인식 기반 보안 시스템 - Google Patents

스마트폰 환경을 위한 상황인식 기반 보안 시스템 Download PDF

Info

Publication number
KR101277507B1
KR101277507B1 KR1020110017906A KR20110017906A KR101277507B1 KR 101277507 B1 KR101277507 B1 KR 101277507B1 KR 1020110017906 A KR1020110017906 A KR 1020110017906A KR 20110017906 A KR20110017906 A KR 20110017906A KR 101277507 B1 KR101277507 B1 KR 101277507B1
Authority
KR
South Korea
Prior art keywords
security
situation
information
authentication
user
Prior art date
Application number
KR1020110017906A
Other languages
English (en)
Other versions
KR20120098151A (ko
Inventor
정목동
이현동
안영훈
Original Assignee
우원소프트 주식회사
부경대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 우원소프트 주식회사, 부경대학교 산학협력단 filed Critical 우원소프트 주식회사
Priority to KR1020110017906A priority Critical patent/KR101277507B1/ko
Publication of KR20120098151A publication Critical patent/KR20120098151A/ko
Application granted granted Critical
Publication of KR101277507B1 publication Critical patent/KR101277507B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/18578Satellite systems for providing broadband data service to individual earth stations
    • H04B7/18593Arrangements for preventing unauthorised access or for providing user protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 모바일 클라우드 컴퓨팅 환경에서 다양한 자원에 접속할 경우 통합적으로 관리 및 제어가 가능한 인증 및 접근제어 모델이 필요하게 되는데, 이를 해결하기 위해서 모바일 클라우드 컴퓨팅 환경인 스마트폰에서 상황인식 기술(MAUT, 상황정보 분류, Fuzzy)과 통합인증 기술(아이디/패스워드, OPT, PKI, SPKI 등), 접근제어 기술(RABC, GRBAC), 런타임 환경에서 동적으로 플러그인 되는 OSGi 서비스 플랫폼 기술을 접목하여 유연하고 자동화된 보안 시스템을 제안함은 물론 상황인식 기반의 통합 인증 및 접근제어와 프로세스 관리가 가능한 모바일 클라우드 컴퓨팅 환경을 위한 상황인식 기반 보안 시스템을 제시한다.

Description

스마트폰 환경을 위한 상황인식 기반 보안 시스템{SYSTEM FOR SECURITY SMART PHONE}
본 발명은 모바일 클라우드 컴퓨팅 환경을 위한 상황인식 기반 보안 시스템에 관한 것으로서, 더욱 상세하게는 모바일 클라우드 컴퓨팅 환경인 스마트폰에서 상황인식 기술과 통합인증 기술, 접근제어 기술, OSGi 서비스 플랫폼 기술을 접목하여 상황인식 기반의 통합 인증 및 접근제어와 프로세스 관리를 할 수 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템에 관한 것이다.
최근 다양한 모바일 플랫폼의 출현 및 이동통신 환경의 변화에 따라 스마트폰 이용자가 급증하고 있다. 상기 스마트폰은 통화기능뿐만 아니라 이메일, 인터넷, e-북 등 활용 가능한 소형 컴퓨터 기능을 갖추고 있는 멀티 휴대폰으로서 그 이동성 및 편리성이 큰 장점이긴 하지만, 보안성이 취약하다는 단점이 있다. 특히, 스마트폰에 대한 보안 사고는 개인정보 유출이나 직접적으로 이용자의 금전적인 피해 등을 야기하기 때문에 그 심각성이 더욱 커지고 있는 실정이다.
이와 같이 보안성에 있어 심각한 문제점을 안고 있는 스마트폰에서 대부분의 사용자는 신원을 확인하는 인증 수단으로 단순한 아이디/패스워드 기반의 인증 방식을 사용하고 있기 때문에 사용하는 서비스의 수만큼 아이디/패스워드를 생성 및 관리해야 함으로써 사용자들에게 많은 불편함을 야기시키고 있다. 뿐만 아니라 아이디 및 패스워드의 분실 및 도용으로 인해서 보안상에 취약성이 존재하고, 이를 해결하기 위해서 다양한 멀티 팩(Multi Fact) 기반의 인증 방식 및 접근제어 모델이 필요한 현실이다.
특히, 이와 같은 스마트폰은 클라우드 컴퓨팅 환경을 제공받을 뿐만 아니라 다양한 모바일 콘텐츠의 제작 및 배포가 용이한 특성으로 언제든지 보안상 위협을 받고 있으므로 인하여 위에서 언급한 다양한 멀티 팩 기반의 인증 방식이나 접근제어 모델방식이 절실히 요구되고 있는 실정이다.
본 발명은 모바일 클라우드 컴퓨팅 환경인 스마트폰에서 상황에 따른 다양한 멀티 팩(Multi Fact) 기반의 통합인증을 통하여 유연하고 편리한 보안 시스템을 구현할 수 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명의 목적은 스마트폰 환경에서 사용자 상황에 따라 유연하고 안전한 무중단 보안 서비스를 구현할 수 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 모바일 클라우드 컴퓨팅 환경, 바람직하게는 스마트폰에서의 상황정보를 분석하여, 적응적으로 보안 등급을 결정하고 또한 복합 인증 절차 및 프로세스 관리를 통하여 스마트폰 환경에서 유연하고 안전한 무중단 보안 서비스를 구현할 수 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 제공함에 있다.
본 발명은 스마트폰 환경에서 보안 기능을 수행하며, 사용자가 모바일 오피스 프로그램이 실행되는 스마트폰에 설치되고 로그인시 사용자 인증 및 상황정보를 수집하는 보안 에이전트 및 OSGi 서비스 플랫폼 기반의 보안 서버에 탑재된 보안 모듈로 상기 보안 에이전트로부터 사용자 인증 정보 및 상황정보를 전달받아 사용자 인증을 처리하는 보안 게이트웨이로 각각 구성된 보안 메니저와, 사용자 인증 정보를 상황에 따라 다양한 분석을 통하여 인증 절차를 정의하는 기능을 수행하는 상황인식 매니저와, 상기 스마트폰 및 보안 서버 측에서 사용자 인증 웹페이지를 제공하는 기능을 수행하고 기본적으로는 아이디/패스워드 기반의 인증 UI를 제공하고, 추가적으로 OTP 인증 UI 및 클라우드 컴퓨팅 자원의 접근 거부 페이지를 제공하는 사용자 인터페이스 매니저로 구성됨을 특징으로 한다.
본 발명은 다양한 멀티 팩(Multi Fact) 기반의 통합 인증 절차(예를 들면, 아이디/패스워드, OTP, PKI, SPKI 또는 접근 거부 등)를 지원함으로써 스마트폰 환경에서의 강력한 통합 인증 및 접근제어 서비스를 제공할 수 있으며, 뿐만 아니라 보안 레벨에 따라서 스마트폰에 동작 중인 다른 프로세스를 제어(permit, block)함으로써 보안의 강도를 높일 수 있는 장점이 있다.
또한, 본 발명은 무중단 시스템을 적용하여 운영 중이라도 동적으로 상황처리 규칙(rule) 정의와 인증 및 접근 제어 모듈을 자유롭게 추가 및 삭제가 가능할 뿐만 아니라 상황 인식 기술을 통하여 사용자의 상황에 따른 다양한 인증 방법 및 접근제어 서비스를 제공함으로써 사용자 편의성 및 시스템 안정성을 보장할 수 있는 장점이 있다.
도 1은 본 발명의 바람직한 일 실시 예에 따른 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 구성을 보여주고 있는 블록도.
도 2는 도 1에서 도시하고 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 내부 데이터 흐름을 보여주고 있는 블록도.
도 3은 본 발명에 따른 도메인 기반의 상황정보 처리 번들 구성을 보여주고 있는 블록도.
도 4는 본 발명에 따른 스마트폰 환경에서의 상황정보 분류를 보여주고 있는 블록도.
도 5는 본 발명에 따른 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 동작 상태를 보여주고 있는 도면.
도 6a는 본 발명에 따른 보안 서버(100)의 UI 및 상황인식 매니저(104)의 동작 상태를 예로 들어 보여주고 있는 도면.
도 6b는 본 발명에 따른 보안 서버(100)의 상황인식 매니저(104)의 퍼지이론 적용을 예로 보여주고 있는 도면.
이하 본 발명의 실시 예를 첨부된 도면을 참조하여 설명하면 다음과 같다. 후술 될 상세한 설명에서는 상술한 기술적 과제를 이루기 위해 본 발명에 있어 대표적인 실시 예를 제시할 것이다. 그리고 본 발명으로 제시될 수 있는 다른 실시 예들은 본 발명의 구성에서 설명으로 대체한다.
본 발명에서는 모바일 클라우드 컴퓨팅 환경인 스마트폰에서 다양한 자원에 접속할 경우 통합적으로 관리 및 제어가 가능한 인증 및 접근제어 모델이 필요하게 되는데, 이를 해결하기 위해서 스마트폰에서 상황인식 기술(MAUT, 상황정보 분류, Fuzzy)과 통합인증 기술(아이디/패스워드, OPT, PKI, SPKI 등), 접근제어 기술(RABC, GRBAC), 런타임 환경에서 동적으로 플러그인 되는 OSGi 서비스 플랫폼 기술을 접목하여 유연하고 자동화된 보안 시스템을 제안함은 물론 상황인식 기반의 통합 인증 및 접근제어와 프로세스 관리가 가능한 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 목적으로 한다.
그리고, 본 발명에서는 단순하게 RBAC나 GRBAC만 적용할 경우 동적으로 변경되는 상황 정보를 즉각적으로 처리하기 어렵다는 문제점을 해결하기 위하여 상황정보 처리 알고리즘(구체적으로는, Fuzzy 및 MAUT)를 적용한 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 제시한다.
특히, 본 발명은 다양한 멀티 팩(Multi Fact) 기반의 통합 인증 절차를 지원(예를 들면, 아이디/패스워드 기반, OPT, PKI, SPKI 또는 접근 거부)함으로써 스마트폰 환경에서의 강력한 통합 인증 및 접근제어 서비스를 제공한다. 뿐만 아니라 보안 레벨에 따라서 스마트폰에 동작중인 다른 프로세스를 제어(permit, block)함으로써 보안의 강도를 강화할 수 있다.
또한, 본 발명은 무중단 시스템을 적용함으로써 운영 중이라도 언제든지 동적으로 상황처리 규칙(rule) 정의와 인정 및 접근 제어 모듈을 자유롭게 추가 및 삭제가 가능(OSGi 서비스 플랫폼)하도록 하고, 또한 상황인식 시스템을 통하여 사용자의 상황에 따른 다양한 인증 방법 및 접근제어 서비스를 제공함으로써 사용자의 편의성 및 시스템 안정성을 보장할 수 있는 스마트폰 환경을 위한 상황인식 기반 보안 시스템을 구현하고자 한다.
상기한 바와 같은 본 발명의 스마트폰 환경을 위한 상황인식 기반 보안 시스템은, 1) 멀티 팩(Multi Fact) 기반의 다중 인증이 가능하고, 2) 보안 서버에 OSGi 플랫폼 도입으로 무중단 통합 인증 및 접근제어 서비스를 제공할 수 있으며, 3) 스마트폰 환경에서 다양하고 유연한 인증 및 접근 제어 서비스를 제공하고, 4) 자원 및 사용자 등급에 따른 인증 절차의 다양화로 인증시 발생하는 비용을 최소화할 수 있으며, 5) OSGi 플랫폼 기반으로 임베디드 시스템 등 다양한 플랫폼에서 동작을 수행할 수 있는 특징이 있다.
이하, 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다.
도 1은 본 발명의 실시 예에 다른 모바일 클라우드 컴퓨팅 환경인 스마프폰을 위한 상황인식 기반 보안 시스템의 구성을 보이고 있는 도면이다. 본 발명의 실시 예에 따른 상황인식 기반 보안 시스템은 상황정보 수집 및 기본적인 보안 기능을 수행하는 보안 매니저(Security Manager: 12,102)와, 수집한 상황정보를 분석하여 보안 등급을 결정하는 상황인식 매니저(Context-Aware Manager: 104)와, 사용자에게 정보를 제공하는 사용자 인터페이스 매니저(Ui Manager: 14,106)로 구성된다. 또한 객관적인 자료와 주관적인 자료를 분석하여 추론하는데 유리한 퍼지(Fuzzy) 기반의 알고리즘을 통해서 상황정보를 분석하여 보안 등급을 결정한다.
상기 도 1을 참조하면, 보안 매니저(12,102)는 스마트폰(10)의 환경에서 보안 기능을 수행하고 상기 스마트폰(10)에 설치되는 보안 에이전트(Security Agent: 16) 및 보안 서버(100)에 설치되는 보안 게이트웨이(Security Gateway: 108)로 구성된다.
상기 보안 에이전트(16)는 사용자가 모바일 오피스 프로그램이 실행되는 스마트폰(10)에 설치되고, 로그인시 사용자 인증 및 상황정보를 수집한다. 이러한 보안 에이전트(16)는 어댑터 모듈(16a), 상황정보 수집 모듈(16b), 데이터 암복호화 모듈(16c), 프로세스 제어 모듈(16d), 에이전트 구성 모듈(16e)을 포함한다. 상기 어댑터 모듈(Adapter Module: 16a)은 스마트폰(10)에서 모바일 오피스 사용시 보안서버(100)와 연결되며, 상기 상황정보 수집 모듈(Contextinfo Module: 16b)은 스마트폰(10)에서 인증시 상황정보를 수집한다. 상기 데이터 암복호화 모듈(Data Encryption Module: 16c)은 데이터의 암ㆍ복호화를 수행하고, 상기 프로세스 제어 모듈(Process Control Module: 16d)은 모바일 오피스를 사용할 때 보안 등급에 따라 사용 중인 프로세스를 제어한다. 상기 에이전트 구성 모듈(Agent Configuration Module: 16e)은 보안 에이전트(16)의 환경 설정을 관리한다.
또한, 전술한 보안 게이트웨이(108)는 OSGi 서비스 플랫폼 기반의 보안 서버(100)에 탑재된 보안 모듈로서, 상기 보안 에이전트(16)로부터 사용자 인증 정보 및 상황정보를 전달받아서 사용자 인증을 처리한다. 이때 상기 상황정보는 상황인식 매니저(104)로 전달한다. 이러한 보안 게이트웨이(108)는 인터페이스 모듈(108a), 인증 및 접근 제어 모듈(108b), 데이터 암복호화 모듈(108c), 게이트웨이 구성 모듈(108d)를 포함한다. 상기 인터페이스 모듈(interface Module: 108a)은 모바일 오피스 사용시 보안 서버(100)와 연결하는 기능을 수행하고, 상기 인증 및 접근 제어 모듈(Authentication & Authorization Module: 108b)은 상황정보가 반영되지 않은 기본적인 인증 및 접근 제어를 처리한다. 상기 데이터 암복호화 모듈(Data Enctyption Module: 108c)은 데이터의 암ㆍ복호화를 수행하고, 상기 게이트웨이 구성 모듈(Gateway Configuration Module: 108d)은 보안 게이트웨이(108)의 환경설정을 관리한다.
한편, 전술한 상황인식 매니저(104)는 사용자 인증 정보를 상황에 따라 다양한 분석을 통하여, 인증 절차를 정의하는 기능을 수행한다. 상기 상황인식 매니저(104)는 상황인식 처리 모듈(110), 저장소(112), 역할 기반 접근제어 모듈(114), 보안 처리 규칙 모듈(116), 상황 분석 엔진(118)을 포함한다.
상기 상황인식 처리 모듈(Context-Aware Process: 110)은 각종 상황정보의 분석 결과를 취합하고, 분석된 결과에 따라 보안 처리 절차를 보안 매니저(102)의 보안 게이트웨이(108)로 전달한다. 상기 저장소(Repository: 112)는 사용자 인증시 획득된 상황정보의 로그를 저장하는 저장소 역할을 하며, 자원에 대한 사용자 선호도를 선정하는데 유용한 자료로 활용한다. 상기 역할 기반 접근제어 모듈(RBAC, GRBAC Module: 114)은 사용자 권한별로 자원의 접근 제어 가능 여부를 정의하며, 상기 보안 처리 규칙 모듈(Security Process Rule Module: 116)은 인증 및 접근제어 처리 절차를 정의한다. 상기 상황 분석 엔진(Context Analysis Engine: 118)은 신원적 상황, 물리적 상황, 역사적 상황, 자원적 상황을 분석하고, 또한 OSGi 서비스 플랫폼으로 구성되어 있어 각각의 상황 분석 모듈을 자유롭게 추가, 수정, 삭제가 실시간으로 가능하다.
이와 같은 상황 분석 엔진(118)은 사용자 권한 분석(118a), 접근 상황 분석(118b), 접근 자원 분석(118c)을 포함한다. 상기 사용자 권한 분석(User Authentication Analysis: 118a)은 사용자 권한을 분석하고, 상기 접근 상황 분석(Access Context Analysis: 118b)은 사용자가 인증시의 물리적 상황(예를 들면, 단말기의 성능, 배터리 상태, 사용자 위치, 네트워크 보안 상태 등)이나 역사적 상황(예를 들면, 접근 시간) 및 정서적 상황(예를 들면, 사용자 선호도) 정보를 분석한다. 상기 접근 자원 분석(Access Resource Analysis: 118c)은 접근하려는 자원에 대한 접근 권한을 분석한다.
사용자 인터페이스 매니저(14,106)는 클라이언트 측의 스마트폰(10) 및 보안서버(100) 측에서 사용자 인증 웹페이지를 제공하는 기능을 수행하며, 기본적으로는 아이디/패스워드 기반의 인증 UI를 제공하고, 추가적으로 OTP 인증 UI 및 클라우드 컴퓨팅 자원의 접근 거부 페이지를 제공한다.
한편, 상기한 바와 같이 구성된 본 발명의 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 내부 데이터 흐름을 살펴보면 도 2와 같다.
상기 도 2를 참조하면, 스마트폰(10)의 보안 매니저(12)에서 사용자 로그인 시 획득한 정보인 사용자 아이디, 사용자가 로그인하는 스마트폰(10)의 IP와 자원정보, 접근하려는 자원의 IP 정보와 접근 시간 정보를 상황인식 매니저(104)로 전달한다.(도 2에서, 1번 단계)
이후, 상기 상황인식 매니저(104)에서는 획득한 다양한 상황정보를 바탕으로 보안 레벨을 결정한 후(도 2에서, 2번 단계부터 9번 단계까지), 인증 절차 및 접근제어 정보(Security Process)와 프로세스 차단 정보(Process Info)를 스마트폰(10)의 보안 매니저(12)로 전달한다.(도 2에서, 10번 단계) 이와 같은 동작은 후술하는 도 1과 도 6a 및 도 6b의 상세설명을 통해 용이하게 이해될 것이다.
하기에서는, 본 발명에 따른 도메인 기반의 상황정보 처리상태를, 구체적으로는 도 2에서 도시하고 있는 상황 분석 엔진(118)에서 구동하는 상황정보 기반 보안 모델을 도 3을 참조하여 구체적으로 설명하면 다음과 같다.
상기 도 3은 도메인 기반의 상황 정보 처리를 위한 번들 구성을 도시한 것으로서, 상기 상황정보 기반 보안 모델은 각종 상황정보를 분석할 수 있는 기능을 번들 형태로 구성하여 도메인에 따라서 동적으로 상황정보를 분석할 수 있다. 이를 통해 전체적으로 보안 시스템의 부하를 줄이고, 다양한 도메인에 적용할 수 있는 장점이 있다. 또한 사용자 권한 분석 번들과 접근 권한 분석 번들로 기본 구성되어 있으며, 시스템 관리자는 환경 설정에서 분석할 상황정보 번들을 추가 선택함으로써 다양한 상황정보를 동적으로 분석할 수 있다.
즉, 보안 시스템 운영 과정에서 주기적으로 불법 침입을 분석한 후, 보안의 강도를 높이기 위해서 상황정보 번들의 변경이 필요하다고 판단될 경우 관리자에게 상황 정보 분석을 위한 번들 변경을 요청할 수 있다. 아래의 표 1에서는 도메인 기반의 상황인식 처리 번들의 구성 조합표를 일 예로 나타내었다.
상황 기본 번들 추가 번들 설명

기본
사용자 권한, 접근 권한
null		 사용자 권한 및 접근하려는 리소스의 접근 권한을 분석하여, 추가 인증 또는 접근 거부를 한다.

도메인 A
사용자 권한, 접근 권한
사용자 위치		 기본적인 사용자 권한과 접근 권한 이외에 사용자 위치 정보를 분석하여, 보안 등급을 결정한다.

도메인 B
사용자 권한, 접근 권한
단말기 성능 분석		 기본적인 사용자 권한과 접근 권한 이외에 단말기 성능 정보를 분석하여, 보안 등급을 결정한다.

도메인 C
사용자 권한, 접근 권한
접근 시간 분석		 기본적인 사용자 권한과 접근 권한 이외에 접근 시간 정보를 분석하여, 보안 등급을 결정한다.
기타
도메인
사용자 권한, 접근 권한
기타 분석		 기본적인 사용자 권한과 접근 권한 이외에 기타 상황정보를 분석하여, 보안 등급을 결정
한편, 스마트폰 환경을 위한 상황 정보 분류의 일반적인 일 예를 살펴보면, 신원적 상황(사용자 권한), 물리적 상황(단말기 CPU 성능, 네트워크 접속상태, 배터리 상태, 사용자 위치), 역사적 상황(접근 시간), 정서적 상황(사용자 선호도), 자원적 상황(자원 접근 권한)으로 분류한다. 도 4는 본 발명에 따른 스마트폰 환경에서의 상황정보 분류를 나타내고 있다.
하기에서는, 본 발명에서 구현하고자 하는 상황정보 처리 알고리즘을 구체적으로 기술하고자 한다.
전술한 도 1을 참조하면, 스마트폰(10) 사용자가 인증 시 보안 매니저(12)에서는 다양한 정보를 수집하며, 수집된 상황 정보를 상황인식 매니저(104)에서 분류하고, 퍼지 집합(Fuzzy Set)을 구성한다. 예를 들면, 어떤 집합 X에 있어서 퍼지 집합(fuzzy set) A란, 멤버쉽 함수(membership funtion) μA(X)에 의해 특정주어진 집합니다. 이때, μA(X): X→[0,1]이다. 또한, 원소 x∈X에 대한 값 μA(X)∈[0,1]은 x가 퍼지 집합 A에 속하는 정도로 멤버쉽 함수가 1에 가까우면 x가 A에 속하는 정도가 높다는 것을 나타내고, 반대로 0에 가까우면 낮다는 것을 나타낸다.
이와 같이, 전반부 변수들과 후반부 변수들을 통해 관계를 구하며, 규칙이 여러 개일 경우에는 각 규칙에 대한 관계를 구하고, 이것들을 하나로 결합하여 최종 관계를 구한다. 이렇게 구해진 관계에 입력 변수를 입력하여 얻어진 출력을 비 퍼지화하면 시스템에 대한 응답을 구할 수 있다.
이때, 시스템 모델링은 관계를 통해서 표현되고, 이 과정은 크게 4단계로 구분한다. 즉, 단계 1은 주어진 입력에 대한 각 규칙의 전반부 적합도를 구하고, 단계 2는 상기 단계 1에서 구한 적합도를 기초로 하여 각 규칙의 추론 결과를 구한다. 단계 3은 각 규칙의 추론 결과로부터 최종적인 추론 결과를 구하고, 단계 4는 비 퍼지화를 통해 실제 필드에 사용 가능토록 한다.
이하, 본 발명의 바람직한 일 실시 예에 따른 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 동작 상태를 도 5를 참조하여 구체적으로 설명하면 다음과 같다.
상기 도 5를 참조하면, 먼저 초기 시스템 설정 시 관리자는 상황정보 분석 모듈을 설정(즉, 기본 또는 추가 상황인식 처리 번들을 선택)한다. 그리고 선택한 상황정보 분석 모듈의 중요도(예를 들면, 0.0점~1.0점)를 평가한다. 다음, 스마트폰 환경에서 사용자는 아이디/패스워드를 기반으로 본 발명의 상황인식 기반 보안 시스템에게 사용자 인증을 요청한다. 이 과정에서 사전에 관리자가 추가 상황정보로 정의한 상황정보가 있으면, 상기 상황정보도 같이 보안 매니저(12,102)로 전달한다.
이후, 본 발명의 상황인식 기반 보안 시스템은 상황인식 매니저(104)에 의해서 신원적 상황(사용자 권한) 정보와 자원적 상황(자원 접근 권한) 정보 및 관리자가 사전에 정의한 추가 상황정보를 분석하여 보안 등급을 결정하고, 상기 보안 등급에 따라 미리 정의된 보안 절차에 따라서 "아이디/패스워드 기반으로 인증을 할 것인지?", 또는 "추가적인 인증 수단(예를 들면, OTP(One Time Password), PKI(Public Key Infrastructure), 경량 PKI 등)을 요청할 것인지?" 혹은 "접근 거부를 할 것인지?"를 결정한다.
다음, 본 발명의 상황인식 기반 보안 시스템에서 추가적인 인증 수단을 사용자에게 요청할 경우, 사용자는 요청받은 인증 수단을 제시하고, 인증 성공시 사용자는 스마트폰(10)의 자원을 사용할 수 있다. 만일, 추가적으로 다른 자원을 사용할 경우에는 자원의 접근 권한을 실시간으로 파악한 다음, 추가 인증을 요청한다. 이때 추가 인증에 성공하면, 사용자는 스마트폰(10)의 자원을 사용할 수 있다.
하기에서는, 상기한 바와 같은 본 발명의 스마트폰 환경을 위한 상황인식 기반 보안 시스템의 동작상태를 바람직한 일 예를 들어가면서 구체적으로 설명하고자 한다. 하기의 일 예는 도 1과 도 6a 및 도 6b를 참조하여 상세하게 설명할 것이다. 특히, 아래의 상세설명에서는 크게 두 가지 방법을 설명할 것인바, 바람직하게는 보안서버(100)의 관리자가 본 발명의 상황인식 기반 보안 시스템을 설정하는 방법과 스마트폰(10)을 보유하고 있는 사용자들이 본 발명의 상황인식 기반 보안 시스템을 사용하는 방법을 구체적으로 설명한다.
1. 본 발명의 상황인식 기반 보안 시스템의 설정방법
(1) 보안 서버(100)의 UI 및 상황인식 매니저(104)
[Admin 1]: 초기 시스템 설정시 관리자가 관리자 설정 UI(즉, 사용자 인터페이스 매니저(106))에 접속한다.
[Admin 2]: 관리자는 상황 분석 엔진(118)에서 상황정보 분석 번들을 설정한다. 그리고 선택한 상황정보 분석 모듈의 중요도(예를 들면, 0.0~1.0점)를 평가한다. 예를 들면, 도 6a에 도시한 바와 같이 관리자는 사용자 기본번들(사용자 권한 분석, 접근 권한 분석)과 사용자 위치(중요도 0.3), 접근시간 분석번들(중요도 0.7)을 설정하고, 상황분석 번들의 중요도를 평가한다.
[Admin 3]: 관리자는 역할기반 접근제어 모듈(114)에서 사용자 접근 제어를 설정한다.
[Admin 4]: 관리자는 보안 처리 규칙 모듈(116)에서 보안 등급별로 인증 절차 및 허용 불가능한 프로세스를 정의한다. 예를 들면, 0.5 이하이면 아이디/패스워드 인증(모두 허용), 0.7 이하이면 OTP 인증(카메라 사용 불가능), 0.99 이하이면 PKI 인증(전화 가능 사용 불가능), 1.0이면 접근 거부한다.
[Admin 5]: 상황인식 처리 모듈(110)에서는 보안 시스템 사용시 불법 침입사례(침입 장지 및 침입 허용)을 수집하여, 초기 설정한 상황 정보 분석 번들 및 그 번들의 중요도를 변경하도록 관리자에게 알려준다. 뿐만 아니라, 시스템의 응답 시간(Response Time)이 느릴 경우, 상황 정보 분석 번들의 설정을 변경하도록 관리자에게 알려준다. 그리고, 상황 정보 분석 번들이 변경되었을 때에는, 초기 설정과 변경된 상태의 성능 및 안전성을 비교하여, 최적의 상태가 되도록 피드백을 제공한다.
[Admin 6]: 상황인식 매니저의 저장소(112)에서는 사용자의 상황정보를 수집하며, 이를 바탕으로 상황 정보 분석 번들의 기본 속성 범위를 자율적으로 변경한다. 예를 들면, 기본적인 근무 시간의 속성 범위는 9:00~18:00이지만, 상기 저장소(112)에 저장된 사용자 A의 상황정보(회사 내부에서 접속하는 시간 정보)를 바탕으로 근무 시간 범위를 8:00~20:00으로 자동 변경한다.
2. 본 발명의 상황인식 기반 보안 시스템의 사용방법
(1) 스마트폰(10)의 UI 및 보안 에이전트(16)
[User 1]: 사용자가 어댑터 모듈(16a)을 통해 모바일 오피스에 연결한다.
[User 2]: 모바일 오피스에 접근할 때, 보안 서비측에서 스마트폰(10)으로 보안 등급 결정을 위한 필요한 상황정보 리스트 및 보안 서버(100)의 보안 게이트웨이(108)로 연결하기 위한 정보를 보안 에이전트(16)의 에이전트 구성 모듈(16e)에 저장한다.
[User 3]: 사용자는 모바일 오피스를 사용하기 위해서 모바일 클라우드 컴퓨팅 단말기인 스마트폰(10)의 UI(즉, 사용자 인터페이스 매니저(14))에서 아이디와 패스워드를 입력한다.
[User 4]: 사용자의 스마트폰(10)에 있는 보안 에이전트(16)의 상황정보 수집 모듈(16b)에서는 에이전트 구성 모듈(16e)에 설정된 스마트폰(10) 사용자의 상황정보를 획득한다. 예를 들면, 사용자의 접근시간 정보(현재 근무 시간임) 및 사용자의 위치정보(현재 회사 외부에 있음)를 획득한다.
[User 5]: 아이디/패스워드의 인증 정보와 상황정보를 데이터 암복호화 모듈(16c)에서 데이터 암호화를 수행한다.
[User 6]: 암호화된 정보를 어댑터 모듈(16a)을 통해 보안서버(100)로 전송한다.
(2) 보안 서버(100)의 보안 게이트웨이(108)
[User 7]: 인터페이스 모듈(108a)에서 암호화된 정보를 받는다.
[User 8]: 암호화된 정보를 데이터 암복호화 모듈(108c)에서 복호화한다.
[User 9]: 인증 및 접근제어 모듈(108b)에서 아이디/패스워드 인증이 맞는지 확인한다.
[User 10]: 게이트웨이 구성 모듈(108d)은 상황인식 매니저(104)로 연결하기 위한 정보를 설정한다. 예를 들면, 보안 매니저(102)와 상황인식 매니저(104)가 별도의 시스템에 존재할 경우 상황인식 매니저의 IP 정보를 설정한다.
[User 11]: 인터페이스 모듈(108a)에서 인증 정보가 맞으면, 아이디와 상황정보를 상황인식 매니저(104)로 전달한다.
(3) 보안 서버(100)의 상황인식 매니저(104)
[User 12]: 상황인식 처리 모듈(110)에서 아이디 및 상황정보를 받는다.
[User 13]: 저장소(112)에서는 접근한 사용자의 패턴을 분석하기 위해서 아이디 및 상황정보를 로그 파일 형태로 저장한다.
[User 14]: 역할 기반 접근제어 모듈(114)에서 아이디에 따른 접근 권한을 분석한다.
[User 15]: 상황 분석 엔진(118)에서 초기에 관리자가 설정한 상황정보 분석 모듈에 따라서, 즉 상황정보의 가중치에 따라서 퍼지이론과 경제학에서 사용하고 있는 의사결정 이론인 MAUT(Multi-Attribute Uility Theory) 이론을 적용하여 보안 등급을 분석한다. 예를 들면, 도 6b와 같은 상황 정보 및 상황 정보의 중요도가 설정되어 있다고 가장하면, 보안 등급(=0.65) = 사용자 위치 정보 중요도(=0.7)×사용자 위치 정보(=회사 내부 외부 경계지역, =0.5) + 사용자 접근시간 정보의 중요도(=0.3)×사용자 접근시간 정보(=근무 외 시간, =1)임을 알 수 있다.
[User 16]: 보안 처리 규칙 모듈(116)에서 접근 권한 및 보안 등급을 계산하여 보안 등급별로 인증 절차 및 허용 불가능한 프로세스를 결정한다. 예를 들면, 보안 등급이 0.7 이하이기 때문에 인증 절차("OTP 추가 인증 필요"), 허용 불가능한 프로세스("카메라 기능의 프로세스")를 결정한다,
[User 17]: 상황인식 처리 모듈(110)에서 인증 절차 및 허용 불가능한 프로세스 정보를 보안 게이트웨이(108)의 인터페이스 모듈(108a)로 전달한다. 예를 들면, 인증 절차("OTP 추가 인증 필요"), 허용 불가능한 프로세스("카메라 기능의 프로세스") 정보를 전달한다.
(4) 보안 서버(100)의 보안 매니저(102)
[User 18]: 인터페이스 모듈(108a)에서 인증 절차 및 허용 불가능한 프로세스 정보를 받는다. 예를 들면, 인증 절차("OTP 추가 인증 필요"), 허용 불가능한 프로세스("카메라 기능의 프로세스") 정보를 전달한다.
[User 19]: 인증 절차 및 허용 불가능한 프로세스 정보를 데이터 암복호화 모듈(108c)에서 암호화한다.
[User 20]: 암호화된 정보(인증 절차 및 허용 불가능한 프로세스 정보)를 인터페이스 모듈(108a)을 통해 스마트폰(10)의 보안 에이전트(16)로 전달한다.
(5) 스마트폰
[User 21]: 어댑터 모듈(16a)을 통해서 인증 절차 및 허용 불가능한 프로세스 정보와 암호화된 정보를 받는다.
[User 22]: 데이터 암복호화 모듈(16c)에서 인증 절차 및 허용 불가능한 프로세스 정보와 암호화된 정보를 기본적인 암복호화 API 적용하여 복호화한다.
[User 23]: 사용자 인터페이스 매니저(14)는 인증 절차에 따라서 인증 성공 또는 추가 인증을 요청한다. 예를 들면, UI화면에서 추가 인증 OTP를 요청하는 인증 페이지를 띄운다.
[User 24]: 프로세스 제어 모듈(16d)은 인증 성공시, 서비스를 사용중에 보안 등급에 따라 허용되지 않는 프로세스가 동작할 경우 자동으로 프로세스를 죽인다. 예를 들면, 카메라 동작시에 카메라 기능의 프로세스를 강제로 죽인다.
12, 102: 보안 매니저 14, 106: 사용자 인터페이스 매니저
16: 보안 에이전트 16a: 어댑터 모듈
16b: 상황정보 수집 모듈 16c: 데이터 암복호화 모듈
16d: 프로세스 제어 모듈 16e: 에이전트 구성 모듈
104: 상황인식 매니저 108: 보안 게이트웨이
108a: 인터페이스 모듈 108b: 인증 및 접근제어 모듈
108c: 데이터 암복호화 모듈 108d: 게이트웨이 구성 모듈
110: 상황인식 처리 모듈 112: 저장소
114: 역할 기반 접근제어 모듈 116: 보안 처리 규칙 모듈
118: 상황분석 엔진

Claims (6)

  1. 스마트폰 환경을 위한 상황인식 기반 보안 시스템에 있어서,
    상기 스마트폰 환경에서 보안 기능을 수행하며, 사용자가 모바일 오피스 프로그램이 실행되는 스마트폰(10)에 설치되고 로그인시 사용자 인증 및 상황정보를 수집하는 보안 에이전트(16) 및 OSGi 서비스 플랫폼 기반의 보안 서버(100)에 탑재된 보안 모듈로 상기 보안 에이전트(16)로부터 사용자 인증 정보 및 상황정보를 전달받아 사용자 인증을 처리하는 보안 게이트웨이(108)로 각각 구성된 보안 메니저(12,102)와;
    상기 보안 에이전트(16)는, 상기 스마트폰(10)에서 모바일 오피스 사용시 상기 보안 서버(100)와 연결되는 어댑터 모듈(16a)과, 상기 스마트폰(10)에서 인증시 상황정보를 수집하는 상황정보 수집 모듈(16b)과, 모바일 오피스를 사용할 때 보안 등급에 따라 사용 중인 프로세스를 제어하고 인증 성공시 서비스를 사용중에 보안 등급에 따라 허용되지 않는 프로세스가 동작할 경우 자동으로 프로세스를 강제 제어하는 프로세스 제어 모듈(16d)과, 상기 보안 에이전트(16)의 환경 설정을 관리하는 에이전트 구성 모듈(16e)로 구성되며;
    상기 보안 게이트웨이(108)는, 모바일 오피스 사용시 보안 서버(100)와 연결하는 기능을 수행하는 인터페이스 모듈(108a)과, 상황정보가 반영되지 않은 기본적인 인증 및 접근제어를 처리하는 인증 및 접근 제어 모듈(108b)과, 상기 보안 게이트웨이(108)의 환경 설정을 관리하는 게이트웨이 구성 모듈(108d)로 구성되며;
    각종 상황정보의 분석 결과를 취합하고, 분석된 결과에 따라 보안 처리 절차를 상기 보안 게이트웨이(108)로 전달하는 상황인식 처리 모듈(110)과, 사용자 인증시 획득된 상황정보의 로그를 저장하는 저장소(112)와, 사용자 권한별로 자원의 접근 제어 가능 여부를 정의하는 역할기반 접근제어 모듈(114)과, 인증 및 접근제어 처리 절차를 정의하는 보안 처리 규칙 모듈(116)과, 신원적 상황, 물리적 상황, 역사적 상황, 정서적 상황, 자원적 상황을 분석하고 퍼지 이론과 MAUT 이론을 적용하여 보안 등급을 분석하는 상황분석 엔진(118)으로 구성된 상황인식 매니저(104)와;
    상기 스마트폰(10) 및 보안 서버(100) 측에서 사용자 인증 웹페이지를 제공하는 기능을 수행하며, 기본적으로는 아이디/패스워드 기반의 인증 UI를 제공하고, 추가적으로 OTP 인증 UI 및 클라우드 컴퓨팅 자원의 접근 거부 페이지를 제공하는 사용자 인터페이스 매니저(14,106)로 구성됨을 특징으로 하는 스마트폰 환경을 위한 상황인식 기반 보안 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 스마트폰(10)의 보안 매니저(16)에서 사용자 로그인 시 획득한 정보인 사용자 아이디, 사용자가 로그인하는 스마트폰(10)의 IP와 자원정보 및 접근하려는 자원의 IP 정보와 접근 시간 정보를 상기 상황인식 매니저(104)로 전달하며;
    상기 상황인식 매니저(104)에서는 획득한 다양한 상황정보를 바탕으로 보안 레벨을 결정한 후, 인증 절차 및 접근제어 정보와 프로세스 차단 정보를 상기 보안 서버(100)의 보안 매니저(102)로 전달하는 것을 특징으로 하는 스마트폰 환경을 위한 상황인식 기반 보안 시스템.
  6. 제1항에 있어서,
    상기 스마트폰(10) 사용자가 인증 시 상기 보안 매니저(12,102)에서는 다양한 정보를 수집하고, 상기 수집된 상황 정보를 상기 상황인식 매니저(104)에서 분류하고 퍼지 집합을 구성하는 것을 특징으로 하는 스마트폰 환경을 위한 상황인식 기반 보안 시스템.
KR1020110017906A 2011-02-28 2011-02-28 스마트폰 환경을 위한 상황인식 기반 보안 시스템 KR101277507B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110017906A KR101277507B1 (ko) 2011-02-28 2011-02-28 스마트폰 환경을 위한 상황인식 기반 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110017906A KR101277507B1 (ko) 2011-02-28 2011-02-28 스마트폰 환경을 위한 상황인식 기반 보안 시스템

Publications (2)

Publication Number Publication Date
KR20120098151A KR20120098151A (ko) 2012-09-05
KR101277507B1 true KR101277507B1 (ko) 2013-07-31

Family

ID=47109245

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110017906A KR101277507B1 (ko) 2011-02-28 2011-02-28 스마트폰 환경을 위한 상황인식 기반 보안 시스템

Country Status (1)

Country Link
KR (1) KR101277507B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219662B1 (ko) * 2012-02-13 2013-01-25 주식회사 엘림넷 클라우드 서비스 보안 시스템 및 그 방법
CN106562792B (zh) * 2015-10-08 2021-08-06 松下电器(美国)知识产权公司 信息提示装置的控制方法和信息提示装置
KR102302952B1 (ko) * 2019-06-13 2021-09-16 주식회사 한컴위드 사용자 로그인 보안 등급에 기초하여 차등 로그인 인증 처리를 수행하는 통합 금융 거래 플랫폼 장치 및 그 동작 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080017911A (ko) * 2006-08-23 2008-02-27 성균관대학교산학협력단 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080017911A (ko) * 2006-08-23 2008-02-27 성균관대학교산학협력단 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
부경대학교 논문 *
전자공학회 논문지 제47권 CI편 제6호 *

Also Published As

Publication number Publication date
KR20120098151A (ko) 2012-09-05

Similar Documents

Publication Publication Date Title
US10523656B2 (en) Session migration between network policy servers
CN108702360B (zh) 使用动态网络属性的数字资产保护策略
US11063928B2 (en) System and method for transferring device identifying information
US10375054B2 (en) Securing user-accessed applications in a distributed computing environment
Sharma et al. Identity and access management as security-as-a-service from clouds
US8001610B1 (en) Network defense system utilizing endpoint health indicators and user identity
JP6426189B2 (ja) 生体認証プロトコル標準のためのシステムおよび方法
CA2904748C (en) Systems and methods for identifying a secure application when connecting to a network
US9081982B2 (en) Authorized data access based on the rights of a user and a location
Plachkinova et al. Emerging trends in smart home security, privacy, and digital forensics
CN111683054A (zh) 用于远程接入的方法和装置
US20220224535A1 (en) Dynamic authorization and access management
US10484430B2 (en) Just-in-time access based on screening criteria to maintain control of restricted data in cloud computing environments
US10476886B2 (en) Just-in-time access based on geolocation to maintain control of restricted data in cloud computing environments
CN109302397B (zh) 一种网络安全管理方法、平台和计算机可读存储介质
US8516602B2 (en) Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters
KR101277507B1 (ko) 스마트폰 환경을 위한 상황인식 기반 보안 시스템
CN110598388A (zh) 权限系统登陆访问控制方法
KR20120067105A (ko) 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
US20230216892A1 (en) Artificial intelligence (ai) devices control based on policies
Chandersekaran et al. Use case based access control
Railkar et al. Policy-aware distributed and dynamic trust-based access control scheme for internet of things
US20200244646A1 (en) Remote access computer security
Priya et al. Security management in inter-cloud

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170413

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180531

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190613

Year of fee payment: 7