KR101334771B1 - 고유식별자 기반 인증 관제 시스템 및 방법 - Google Patents

고유식별자 기반 인증 관제 시스템 및 방법 Download PDF

Info

Publication number
KR101334771B1
KR101334771B1 KR1020110118447A KR20110118447A KR101334771B1 KR 101334771 B1 KR101334771 B1 KR 101334771B1 KR 1020110118447 A KR1020110118447 A KR 1020110118447A KR 20110118447 A KR20110118447 A KR 20110118447A KR 101334771 B1 KR101334771 B1 KR 101334771B1
Authority
KR
South Korea
Prior art keywords
authentication
unique identifier
computer device
information
unique
Prior art date
Application number
KR1020110118447A
Other languages
English (en)
Other versions
KR20130053008A (ko
Inventor
정영석
이도학
최우림
황재연
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020110118447A priority Critical patent/KR101334771B1/ko
Publication of KR20130053008A publication Critical patent/KR20130053008A/ko
Application granted granted Critical
Publication of KR101334771B1 publication Critical patent/KR101334771B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 1차 인증된 컴퓨터단말기의 고유식별자와 2차 인증을 시도하는 컴퓨터장치의 고유식별자를 비교하여 사용자 인증이 이루어지도록 하는 2차 인증시스템에서, 인증 과정을 실시간으로 모니터링하고 분석하여 인증 과정에서 발생할 수 있는 정보 유출 위협을 탐지하고 인증 과정에 대한 로그를 수집하여 수집된 로그를 기반으로 인증 이력을 사용자에게 보고하는 관제 시스템 및 방법에 관한 것이다.
이 발명에 따른 고유식별자 기반 인증 관제 시스템은, 2차 인증 시스템이 로그인 정보로 1차 인증된 컴퓨터장치의 고유식별자와, 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 2차 인증하는 과정을 관제하는 시스템에 있어서, 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 정보수집부와; 상기 정보수집부에서 수집된 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 관제처리부와; 상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와; 상기 관제처리부의 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 로그인 정보에 대응하는 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한다.

Description

고유식별자 기반 인증 관제 시스템 및 방법 {surveillance system and method for authentication procedure based by unique identifier}
본 발명은 1차 인증된 컴퓨터단말기의 고유식별자와 2차 인증을 시도하는 컴퓨터장치의 고유식별자를 비교하여 사용자 인증이 이루어지도록 하는 2차 인증시스템에서, 인증 과정을 실시간으로 모니터링하고 분석하여 인증 과정에서 발생할 수 있는 정보 유출 위협을 탐지하고 인증 과정에 대한 로그를 수집하여 수집된 로그를 기반으로 인증 이력을 사용자에게 보고하는 관제 시스템 및 방법에 관한 것이다.
최근 인터넷 발달로 인하여 다양한 종류의 온라인 서비스가 제공되고 있다. 대부분의 온라인 서비스 시스템은 온라인을 통해 해당 서비스에 접근하는 클라이언트장치가 해당 온라인 서비스를 이용할 자격을 가지는지 여부를 인증한다.
가장 보편적으로 사용되는 사용자 인증방법은 사용자 아이디와 비밀번호를 이용한 인증방법이다. 예컨대, 온라인 서비스 시스템은, 사용자가 해당 시스템에 회원으로 가입할 때 사용자로부터 로그인 정보(사용자 아이디와 비밀번호)를 등록받고, 추후 임의의 접근자가 해당 시스템에 접근하면 그 접근자로부터 로그인 정보(사용자 아이디와 비밀번호)를 입력받아 접근자가 기등록된 정상 사용자인지 여부를 검증한다. 그러나, 이러한 아이디와 비밀번호를 이용한 인증방법은 로그인 정보가 도용되거나 해킹되기 쉬우며, 로그인 정보가 노출될 경우 악의적인 접근 시도를 차단할 수 없는 문제점이 있다.
온라인 서비스 시스템에는 다양한 개인 정보들이 관리되고 있고, 최근 온라인 서비스 시스템을 통한 무형의 자산(예컨대, 온라인 게임에서의 아이템, 사이버 머니 등)이 증가함에 따라, 보다 강력한 본인 인증방법들이 요구되고 있다.
이러한 요구에 따라 상술한 사용자 아이디와 비밀번호에 의한 1차 로그인 후에 수행하는 다양한 2차 인증방식들이 시도되고 있다. 이 중 현재 사용자의 이동통신단말기를 이용한 일회용 인증키 기반 2차 인증방식이 널리 사용되고 있다.
이러한 일회용 인증키 기반 2차 인증방식은 다음과 같은 절차로 진행된다. 먼저, 온라인 서비스 시스템은 임의의 컴퓨터장치에 대한 1차 로그인 절차(예컨대, 사용자 아이디와 비밀번호 확인)를 진행하고, 1차 로그인 인증 후 2차 인증서버에게 상기 컴퓨터장치에 대한 2차 인증을 요청한다. 그러면, 2차 인증서버는 사용자의 이동통신단말기에 일회용 인증키가 포함된 문자메시지(SMS)를 발송한다. 온라인 서비스시스템은 사용자로 하여금 이동통신단말기의 일회용 인증키를 컴퓨터장치로 입력하도록 하고, 상기 컴퓨터장치를 통해 입력되는 인증키 값을 2차 인증서버에게 전달한다. 2차 인증서버는 이동통신단말기에 발송한 인증키 값과 온라인 서비스시스템을 통해 입력받은 인증키 값이 동일한 지를 검증함으로써, 1차 로그인 인증이 완료된 컴퓨터장치를 최종 인증한다.
이러한 일회용 인증키 기반 2차 인증방식은 본인 인증 보안 강도를 어느 정도 강화시킬 수는 있으나, 해킹에 의해 일회용 인증키가 노출될 경우에는 여전히 보안의 취약점이 존재한다. 따라서, 일회용 인증키를 이용한 2차 인증방식으로서, 해킹에 의해 일회용 인증키가 갈취되더라도, 이에 저항할 수 있는 보다 강력한 본인 인증기술이 필요하다.
이러한 필요성에 의해 이 발명의 출원인은 새로운 방식의 일회용 인증키를 이용한 2차 인증기술을 개발하여, 2011년 3월 4일자로 특허출원 제2011-0019204호, "고유식별자 기반 인증시스템 및 방법"을 출원한 바 있다.
이 선행 출원 제2011-0019204호에 따르면, 1차 로그인 인증이 완료된 컴퓨터장치로부터 추출된 고유식별자와, 2차 인증을 시도하는 컴퓨터장치로부터 추출된 고유식별자를 각각 입수하여 두 고유식별자를 기반으로 사용자를 인증함으로써, 인증 보안 강도를 강화시킨다.
이러한 고유식별자 기반 인증시스템은 2차 인증 과정에서 해킹의 위협이 발생할 경우 해당 사용자에 대한 인증을 거부하여 보안을 강화시킬 수 있으나, 해킹 위협에 대해 단지 일회성 조치만을 할 수 있을 뿐이며, 다양한 해킹 위협에 대한 지속적인 감시, 분석, 근원지 추적 등을 할 수 없기 때문에 근본적인 대책을 수립할 수 없는 문제점이 있다.
따라서, 고유식별자 기반 인증시스템 환경에서 인증 과정에 대한 로그를 수집하고 분석하여 인증과정에서 발생하는 다양한 해킹 위협을 감시하며, 그 전파 및 근원지를 파악하도록 하는 관제 시스템 기술이 필요하다.
이 발명의 목적은, 고유식별자 기반 2차 인증시스템 환경에서 인증 과정을 실시간 모니터링하여 다양한 해킹 위협을 감시 및 탐지하고, 로그를 수집하고 분석하여 탐지된 위협의 내역 및 근원지를 추적하거나 사용자별 인증 내역을 통계할 수 있도록 하는 관제 시스템 및 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 이 발명에 따른 고유식별자 기반 인증 관제 시스템은, 2차 인증 시스템이 로그인 정보로 1차 인증된 컴퓨터장치의 고유식별자와, 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 2차 인증 시도 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 시스템에 있어서,
상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 정보수집부와;
상기 정보수집부에서 수집된 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 관제처리부와;
상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와;
상기 관제처리부의 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 로그인 정보에 대응하는 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한 것을 특징으로 한다.
또한, 이 발명에 따른 고유식별자 기반 인증 관제 방법은, 관제시스템이, 2차 인증 시스템이 로그인 정보로 1차 인증된 컴퓨터장치의 고유식별자와, 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 2차 인증 시도 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 방법에 있어서,
상기 관제시스템이 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 제1단계와;
상기 관제시스템이 상기 제1단계에서 수집된 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 제2단계와;
상기 관제시스템이 상기 제1단계에서 수집된 정보들과 상기 제2단계에서 수행되는 동작들을 로그로 수집하는 제3단계와;
상기 관제시스템이 상기 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 로그인 정보에 대응하는 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 제4단계를 포함한 것을 특징으로 한다.
이상과 같이 이 발명에 따르면, 2차 인증시스템의 보안성이 향상되고, 2차 인증과정을 관제하여 위협의 근원지를 추적하여 해킹 위협에 능동적으로 대응할 수 있는 효과가 있다.
도 1은 선행 특허출원 제2011-0019204호에 기재된 고유식별자 기반 인증 시스템의 개략적인 구성 블록도이다.
도 2는 도 1에 도시된 고유식별자 기반 인증 시스템에서, 2차 인증 시스템의 동작을 도시한 동작 흐름도이다.
도 3은 이 발명에 따른 고유식별자 기반 인증 관제 시스템을 도시한 구성 블록도이다.
도 4는 각 컴퓨터장치의 보안인증모듈이 컴퓨터장치의 고유식별자를 생성하는 과정을 도시한 동작 흐름도이다.
도 5는 이 발명에 따른 관제 시스템의 위협감지부가 고유식별자 기반 보안 위협 레벨을 설정하는 과정을 도시한 동작 흐름도이다.
도 6은 이 발명에 따른 관제 시스템의 위협대응부가 고유식별자 기반 보안 위협 레벨에 따른 대응 과정을 도시한 동작 흐름도이다.
이하, 첨부된 도면을 참조하여 이 발명에 따른 고유식별자 기반 인증 관제 시스템 및 방법을 보다 상세하게 설명한다.
이 발명에 따른 고유식별자 기반 인증 관제 시스템 및 방법을 설명하기에 앞서, 선행 특허출원 제2011-0019204호에 기재된 고유식별자 기반 2차 인증 시스템 및 방법에 대해 먼저 설명한다.
최근 온라인 서비스시스템이 아이디와 비밀번호를 기반으로 한 1차 인증과, 일회용 인증키를 기반으로 한 2차 인증을 모두 통과한 사용자에게 온라인 서비스를 제공함에 따라, 타인의 온라인 서비스 아이디를 도용하는 해킹 방법도 진화하고 있다.
이러한 온라인 서비스 아이디 도용 해킹은 여러 대의 컴퓨터장치가 설치된 피씨방에서 이루어지는 경우가 많은데, 해커는 정상 사용자가 사용할 컴퓨터장치(이하, 해킹 대상 컴퓨터장치라 함)에 스파이웨어나 키로거 등의 해킹 프로그램을 설치한 후, 근방의 컴퓨터장치(이하, 해킹 컴퓨터장치라 함)에서 그 해킹 대상 컴퓨터장치를 해킹한다.
이때, 정상 사용자가 해킹 프로그램이 설치된 해킹 대상 컴퓨터장치를 이용하여 온라인 서비스 시스템에 아이디와 비밀번호를 입력하여 1차 인증하고, 자신의 이동통신단말기로 일회용 인증키를 수신받아 2차 인증을 시도하면, 해커는 해킹 컴퓨터장치를 통해 이 모든 과정에서 입력되는 정보를 갈취할 수 있다. 정상 사용자가 해킹 대상 컴퓨터장치에 아이디와 비밀번호를 입력하여 1차 인증을 완료하면, 해커는 해킹 컴퓨터장치로도 해당 아이디와 비밀번호를 입력하여 1차 인증을 완료하고(아이디와 비밀번호를 이용한 중복 로그인이 가능함), 정상 사용자가 해킹 대상 컴퓨터장치에 2차 인증을 위한 일회용 인증키를 입력하면 해커도 그 일회용 인증키를 갈취하여 해킹 컴퓨터장치에 입력한다.
이때, 정상 사용자가 사용하는 해킹 대상 컴퓨터장치가 온라인 서비스 시스템에게 전달하는 일회용 인증키는 중간에 차단되고, 대신 해킹 컴퓨터장치로 입력된 일회용 인증키가 온라인 서비스 시스템에 전달되면, 정상 사용자가 사용중인 해킹 대상 컴퓨터장치는 온라인 서비스 시스템에 접속되지 못하고, 해커가 사용중인 해킹 컴퓨터장치가 온라인 서비스 시스템에 접속되는 불상사가 발생한다.
즉, 1차 인증은 해킹 대상 컴퓨터장치에서 이루어지지만, 2차 인증은 해킹 컴퓨터장치에서 이루어지고 결국 해킹 컴퓨터장치가 온라인 서비스 시스템에 접속된다. 선행 특허출원 제2011-0019204호는 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증을 시도하는 컴퓨터장치의 고유식별자를 각각 취득하고 비교함으로써, 2차 인증을 시도하는 컴퓨터장치에게 온라인 서비스 시스템의 접속 권한을 부여하거나 차단한다.
도 2는 선행 특허출원 제2011-0019204호에 기재된 고유식별자 기반 인증 시스템의 개략적인 구성 블록도이다.
종단실체(110)는 이 발명을 통한 인증 절차를 이용하는 최종 사용자이다. 이 종단실체(110)는 온라인 서비스 시스템(120)로부터 온라인 서비스를 제공받기 위해 이 발명에 따른 인증 절차를 이용한다. 종단실체(110)는 온라인 서비스 시스템(120)과의 통신을 통해 1차 인증과 2차 인증을 수행하는 컴퓨터장치(111)와, 2차 인증을 수행하기 위한 이동통신단말기(112)를 포함한다. 여기서, 1차 인증을 수행하는 컴퓨터장치와 2차 인증을 시도하는 컴퓨터장치는 동일할 수도 있고 다를 수도 있다. 2차 인증시스템(140)에는 종단실체(110)의 로그인 정보와 함께 이동통신단말기(112)에 관한 정보가 등록된다.
온라인 서비스 시스템(120)은 통신망(100)을 통해 다수의 사용자들에게 온라인 서비스를 제공하는 웹 상의 시스템으로서, 종단실체(110)에 대해 1차 로그인 인증을 수행한다. 통상적으로 온라인 서비스 시스템(120)은 로그인 처리 시스템(121)을 구비하며, 이 로그인 처리 시스템(121)에서 종단실체(110)에 대한 1차 로그인 인증을 수행한다. 1차 로그인 인증은 지식기반인증, 소유기반인증, 존재(신체)기반인증 등의 모든 단일요소인증(Single Factor Authentication) 형태를 포함한다. 온라인 서비스 시스템(120)은 1차 로그인 인증시 컴퓨터장치(111)로부터 고유식별자를 전달받으며, 2차 인증시스템(140)에게 1차 인증된 종단실체에 대한 2차 인증을 요청하고 1차 인증된 컴퓨터장치의 고유식별자 정보를 전달한다.
푸시(PUSH)서버(130)는 종단실체(110)의 이동통신단말기(112)의 제조업체에서 제공하는 서비스이다. 이동통신단말기(112)는 임의의 어플리케이션에 대해 푸시서비스를 제공받고자 할 경우, 먼저 푸시서버(130)로부터 해당 어플리케이션에 대응하는 장치토큰을 발급받는다. 그러면, 푸시서버(130)는 이동통신단말기(112)에 푸시메시지를 전송하여 이동통신단말기(112)를 깨우고(wakeup), 해당 장치토큰에 대응되는 어플리케이션(이 발명에서는 보안인증모듈)을 활성화시키는 역할을 수행한다. 푸시서버(130)의 예로서, iOS계열은 애플에서 제공하는 APNs(Apple Push Notification Service)를 푸시서버로 사용하고, 안드로이드 계열은 구글에서 제공하는 C2DM(Cloud To Device Messaging)을 푸시서버로 사용한다.
2차 인증 시스템(140)은 1차 인증된 종단실체의 로그인 정보 및 1차 인증된 컴퓨터장치의 고유식별자가 입력되면서 2차 인증이 요청되면, 1차 인증된 종단실체의 이동통신단말기(112)에게 일회용 인증키를 발급한다. 그리고, 사용자로 하여금 해당 이동통신단말기(112)에게 발급된 일회용 인증키를 1차 인증된 컴퓨터장치를 통해 입력하도록 한다. 그러면, 2차 인증 시스템(140)은 이동통신단말기(112)에게 발급한 일회용 인증키 및 일회용 인증키가 입력된(즉, 2차 인증을 시도하는) 컴퓨터장치의 고유식별자를 입력받는다. 2차 인증 시스템(140)은 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자를 이용하여 1차 인증된 컴퓨터장치와 2차 인증 시도 컴퓨터장치가 동일한지를 검증하고, 종단실체(110)의 이동통신단말기(112)에게 발급한 일회용 인증키와 2차 인증 시도 컴퓨터장치를 통해 입력된 일회용 인증키가 동일한지를 검증하며, 그 검증결과를 온라인 서비스 시스템에게 통보한다.
이동통신단말기가 일반 피쳐폰이거나 푸시서비스를 위한 장치토큰이 등록되지 않은 스마트폰인 경우, 2차 인증 시스템(140)은 에스엠에스(SMS) 서버를 통해 해당 이동통신단말기에게 일회용 인증키를 발급한다. 한편, 이동통신단말기가 푸시서비스를 위한 장치토큰이 등록된 스마트폰인 경우, 2차 인증 시스템(140)은 푸시서버(130)를 이용하여 해당 이동통신단말기에게 일회용 인증키를 발급한다.
도 2는 이 발명에 따른 2차 인증 시스템의 동작을 도시한 동작 흐름도이다.
종단실체 컴퓨터장치가 온라인 서비스 시스템에 접근하면, 온라인 서비스 시스템은 이 종단실체 컴퓨터장치에 대해 1차 인증을 수행한다. 이때, 컴퓨터장치는 인증에 필요한 종단실체 정보와 고유식별자를 온라인 서비스 시스템에게 전송한다. 1차 인증에 성공하면, 온라인 서비스 시스템은 종단실체 정보와 1차 인증된 컴퓨터장치의 고유식별자를 2차 인증 시스템에게 전달하며 2차 인증을 요청한다.
2차 인증 시스템은 온라인 서비스 시스템으로부터 종단실체 정보와 1차 인증된 컴퓨터장치의 고유식별자가 입력되며 2차 인증이 요청되면(S201), 수신된 종단실체 정보에 대응하는 이동통신단말기가 등록되어 있는지를 확인한다(S202). 이동통신단말기가 등록되어 있으면(S203), 일회용 인증키를 생성하고(S204), 생성된 일회용 인증키를 해당 등록된 이동통신단말기에게 발급한다(S205).
이때, 단계 S204의 일회용 인증키는 1차 인증된 컴퓨터장치의 고유식별자를 기반으로 생성할 수 있고, 일회용 인증키의 중복 확률을 낮추기 위해서 1차 인증된 고유식별자외에 시간/랜덤수 등의 다른 요소를 더 기반하여 생성할 수 있다.
생성된 일회용 인증키는 단계 S205에서, 에스엠에스(SMS) 서버를 통해 일회용 인증키가 포함된 문자메시지 형태로 이동통신단말기에게 발급될 수 있고, 푸시서버에 의해 활성화된 이동통신단말기와 2차 인증 시스템이 서버/클라이언트 통신을 통해 해당 이동통신단말기에게 발급할 수도 있다.
푸시서버를 이용하는 경우, 2차 인증 시스템은 해당 이동통신단말기의 장치토큰과 이동통신단말기와의 통신을 요청하는 메시지를 푸시서버에게 전달한다. 그러면, 푸시서버는 2차 인증 시스템으로부터 전달받은 장치토큰으로부터 푸시메시지를 전달할 이동통신단말기를 파악하고, 해당 이동통신단말기에 푸시메시지를 전달하여 이동통신단말기와 이 이동통신단말기의 보안인증모듈을 활성화시킨다. 활성화된 보안인증모듈은 2차 인증 시스템과 서버/클라이언트 통신을 수행하며, 2차 인증 시스템은 이 보안인증모듈에게 일회용 인증키를 발급한다.
생성된 일회용 인증키는 통신망을 통해 정당한 종단실체의 이동통신단말기로 전송되어 화면에 출력된다. 이 상태에서 정당한 종단실체 또는 해커가 이동통신단말기에 출력된 일회용 인증키를 2차 인증 시도 컴퓨터장치에 입력하면, 그 2차 인증 시도 컴퓨터장치의 고유식별자가 수집된다(S206).
단계 S206에서 2차 인증 시도 컴퓨터에 입력된 일회용 인증키와 2차 인증 시도 컴퓨터장치의 고유식별자는 온라인 서비스 시스템을 경유하여 2차 인증 시스템으로 전달된다(S207).
2차 인증 시스템은 단계 S205에서 발급한 일회용 인증키와 단계 S207에서 수신한 일회용 인증키를 비교하여(S208) 일회용 인증키에 대한 인증을 수행한다. 발급한 일회용 인증키와 수신한 일회용 인증키가 일치하면(S208), 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자를 비교하여(S209) 2차 인증 시도 컴퓨터장치가 1차 인증된 컴퓨터장치와 동일한지에 대한 검증을 수행한다. 두 컴퓨터장치가 동일하면(S209), 인증 승인으로 처리하고(S210) 그 결과를 온라인 서비스 시스템에게 전송한다(S211). 물론, 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자를 비교하여 검증한 후, 발급한 일회용 인증키와 수신한 일회용 인증키를 비교하여 검증할 수도 있다.
한편, 단계 S203에서 등록되지 않은 이동통신단말기이면 미등록 이동통신단말기로 처리하고(S212), 미등록 이동통신단말기임을 온라인 서비스 시스템에 통보한다(S211). 또한, 단계 S208에서 발급한 일회용 인증키와 수신한 일회용 인증키가 일치하지 않거나, 단계 S209에서 두 컴퓨터장치가 일치하지 않으면, 인증 실패 처리하고(S213) 온라인 서비스 시스템에게 그 결과를 통보한다(S211).
이 발명은 도 1에 도시된 바와 같은 고유식별자 기반 인증 시스템에서, 2차 인증 시스템(140)과 통신하여 온라인 서비스 시스템(120)에 접근하는 종단실체에 대한 2차 인증 과정을 실시간 모니터링하여 다양한 해킹 위협을 감시 및 탐지하는 관제 시스템을 추가하여 구성한다. 이 관제 시스템은 2차 인증 과정에 대한 로그를 수집하고 분석하여 보안 위협을 탐지하고, 탐지된 보안 위협의 내역 및 근원지를 추적하는 기능을 수행한다.
도 3은 이 발명에 따른 고유식별자 기반 인증 관제 시스템(300)을 도시한 구성 블록도이다.
이 발명에서 종단실체(110)의 컴퓨터장치(111)는 정상 사용자의 로그인 정보(아이디와 비밀번호) 등으로 1차 로그인 인증에 성공한 정상 사용자의 컴퓨터장치로서, 정상 사용자의 경우 이 컴퓨터장치(111)는 2차 인증 시도 컴퓨터장치이기도 하다. 그러나, 2차 인증 시도 컴퓨터장치가 모두 1차 인증된 컴퓨터장치와 일치하는 것은 아니다. 이 발명에서 종단실체(110)의 이동통신단말기(112)는 정상 사용자의 이동통신단말기로서, 2차 인증 시스템(140)에 정상 사용자의 로그인 정보와 함께 미리 등록된 이동통신단말기이다. 이 종단실체(110)의 이동통신단말기(112)는 정상 사용자가 소지한 것으로 가정한다. 컴퓨터장치(111)와 이동통신단말기(112)에는 각각 이 발명에 따른 2차 인증을 수행하기 위한 보안인증모듈이 설치되어 내장된다.
이 발명에 따른 관제 시스템(300)은 종단실체(110)와 푸시서버(130)와 2차 인증 시스템(140)과의 데이터 송수신을 위한 송수신처리부(310)와, 송수신되는 데이터를 암호화 또는 복호화하는 암복호화 처리부(320)와, 1차 인증된 컴퓨터장치(111)의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자 정보 및 일회용인증키의 생성/발급/검증에 관한 정보를 수집하는 정보수집부(330)와, 상기 정보수집부(330)에서 수집된 정보들을 기반으로 해킹 위협을 감지하고 감지된 위협에 대응하여 조치하는 관제처리부(350)와, 상기 관제처리부(350)에서 수집된 정보들과 수행되는 동작들을 로그로 수집하는 로그수집부(360)와, 상기 관제처리부(350)에서 감지된 보안 위협의 레벨에 따라 온라인 서비스 시스템(120)과 이동통신단말기(112) 중 적어도 하나에게 메시지를 발송하는 위협전파부(340)를 포함한다.
이 발명의 관제 시스템(300)과 2차 인증 시스템(140)은 동일한 시스템으로 구현될 수도 있는 바, 관제 시스템(300)은 2차 인증 시스템(140)을 통하거나 직접 온라인 서비스 시스템(120)과 통신할 수 있다.
송수신처리부(310)는 유선통신망을 통해 온라인 서비스 시스템(120), 푸시서버(130) 및 2차 인증 시스템(140)과 통신하는 유선처리부(311)와, 무선통신망을 통해 이동통신단말기(112)와 통신하는 무선처리부(312)를 포함한다.
정보수집부(330)는 1차 인증된 컴퓨터장치(111)의 고유식별자 정보와 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 고유식별자 정보 수집부(331)와, 온라인 서비스 시스템(120)과 2차 인증 시스템(140) 사이의 통신을 통한 일회용인증키 발급요청, 일회용인증키 생성, 일회용인증키 전달(발급), 일회용인증키 비교(검증) 결과 등과 같이 일회용 인증키가 생성/발급/검증되는 과정에서의 정보를 수집하는 일회용인증키정보수집부(332)를 포함한다. 이러한 일회용인증키에 관한 정보들은 온라인 서비스 시스템(120)에 부여된 고유코드와 함께 수집되는 것이 바람직하다.
1차 인증된 컴퓨터장치로부터 고유식별자를 추출하는 방법과, 2차 인증 시도 컴퓨터장치로부터 고유식별자를 추출하는 방법은 동일한 바, 이 고유식별자는 컴퓨터장치로부터 추출된 고유정보(장치 하드웨어의 고유번호와 MAC 주소 등과 같은 하드웨어 정보와, 운영체제 버전과 사용자 이름 등과 같은 소프트웨어 정보와, 운영체제의 부팅시간과 운영체제의 필수 실행 모듈 메모리 주소 등과 같이 재부팅 전 불변정보) 자체이거나, 상기 고유정보의 해쉬값일 수 있다.
관제 처리부(350)는 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자에 따른 보안 위협 레벨을 감지하는 위협감지부(351)와, 상기 보안 위협 레벨에 대응하는 조치를 수행하는 위협대응부(352)를 포함한다. 위협감지부(351)는 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자에 따라 보안 위협 레벨을 3단계(보통, 경고, 차단)로 구분하는데, 보통 레벨은 1차 인증된 컴퓨터장치의 고유식별자와 2차 인증 시도 컴퓨터장치의 고유식별자가 일치하는 경우이고, 경고 레벨은 두 고유식별자를 구성하는 고유정보 중 하드웨어 정보나 소프트웨어 정보가 불일치하는 경우이며, 차단 레벨은 두 고유식별자를 구성하는 고유정보 중 재부팅 전 불변정보가 불일치하는 경우이다.
위협감지부(351)는 일회용 인증키의 생성 내지 검증까지의 전반적인 흐름을 감시하여 비정상적인 패턴을 탐지하고 그 결과에 따라 보안 위협 레벨을 3단계(보통, 경고, 차단)로 구분한다. 일회용인증키에 따른 보안 위협 레벨 중, 보통 레벨은 일회용인증키의 생성 내지 검증 과정이 정상적으로 완료된 경우이며, 경고 레벨은 일회용인증키가 재발급 요청되거나 일회용인증키가 미등록되는 등 종단실체 계정에 크게 위협이 되지 않는 비정상적인 경우이며, 차단 레벨은 하나의 종단실체 계정에 대해 다수의 일회용인증키 검증 요청과 같이 종단실체 계정에 직접적인 위협이 발생하는 경우를 의미한다. 일회용인증키의 생성 내지 검증과정에서 발생하는 비정상적인 패턴에 따른 보안 위협 레벨은 관제 관리자에 의해 설정될 수 있다.
위협대응부(352)는 위협감지부(351)에서 감지된 보안 위협 종류(고유식별자 기반 보안 위협 또는 일회용인증키 기반 보안 위협) 및 그 보안 위협 레벨(보통, 경고, 차단)에 따라 로그수집부(360)에 로그를 저장하고, 이동통신단말기(112)에 경고 메시지를 전송하거나 2차 인증 시스템(140)의 2차 인증 절차를 중단한다.
위협전파부(340)는 위협대응부(352)의 조치 내용에 따라 이동통신단말기(112)에 경고 메시지를 전송하거나, 2차 인증 시스템(120)에게 2차 인증 절차 차단 메시지를 전송한다.
보안 위협 종류(고유식별자 기반 보안 위협 또는 일회용인증키 기반 보안 위협) 및 각 보안 위협 종류에 따른 보안 위협 레벨의 개수(이 발명의 실시예에서는 3개의 레벨로 구분하였으나 그 이상의 레벨로 구분하여도 무관함), 각 보안 위협 레벨에 따른 대응 조치 내용은 보안 정책에 따라 달라질 수 있다.
관제처리부(350)는 로그수집부(360)에 수집된 로그를 이용하여 종단실체 계정별로 인증 내역, 인증시의 컴퓨터장치와 이동통신단말기의 지리적 위치, 보안 위협의 내역 및 보안 위협 근원지(보안 위협이 발생할 때의 컴퓨터장치의 지리적 위치) 등을 수집 및 통계하여 보고서로 작성하는 보고서작성부(353)를 더 포함할 수 있다.
다음, 상술한 바와 같이 구성된 이 발명에 따른 고유식별자 기반 인증 관제 방법을 설명한다.
[컴퓨터장치의 고유식별자 정보 획득]
온라인 서비스 시스템은 로그인 인증을 요청한 컴퓨터장치에 대해 로그인 정보(사용자 아이디와 비밀번호)와 상기 컴퓨터장치의 고유식별자를 수신하며 1차 로그인 인증을 수행한다. 1차 로그인 인증된 컴퓨터장치가 2차 인증을 요청하면, 온라인 서비스 시스템(120)은 상기 1차 인증된 컴퓨터장치의 로그인 정보와 고유식별자를 2차 인증 시스템(140)에게 전달하며 2차 인증을 요청한다. 그러면, 2차 인증 시스템은 1차 인증된 로그인 정보에 대응하여 기등록된 이동통신단말기에게 일회용 인증키를 발급하고 온라인 서비스 시스템을 통해 해당 일회용 인증키가 입력되기를 대기한다. 정상 사용자 또는 해커가 이동통신단말기로 발급된 일회용 인증키를 이용하여 2차 인증을 시도하는 컴퓨터장치를 2차 인증 시도 컴퓨터장치라 하는데, 2차 인증 시도 컴퓨터장치는 일회용 발급키와 함께 고유식별자를 생성하여 2차 인증 시스템(140)에게 전달한다. 1차 인증된 컴퓨터장치 및 2차 인증 시도 컴퓨터장치에 설치된 보안인증모듈이 각각의 컴퓨터장치로부터 고유정보를 추출하여 고유식별자를 생성한다.
각 컴퓨터장치의 보안인증모듈이 컴퓨터장치의 고유식별자를 생성하는 과정은 도 4에 도시된 바와 같다.
컴퓨터장치의 보안인증모듈은 컴퓨터장치의 하드웨어 고유정보를 수집한다(S41). 이 하드웨어 고유정보에는 컴퓨터장치에 장착된 메인보드 아이디, MAC 주소, 하드웨어 프로파일 GUID(전역 고유 아이디 : Globally Unique Identifier), 컴퓨터장치에 장착된 하드디스크의 고유번호 정보 등이 포함된다.
다음, 컴퓨터장치의 보안인증모듈은 컴퓨터장치에 설치된 소프트웨어 고유정보를 수집한다(S42). 이 소프트웨어 고유정보에는 로그인 시간, 컴퓨터 사용자 이름, 그룹 이름, 도메인 이름, 응용소프트웨어(예컨대, 웹브라우저)의 버전, 운영체제 버전 정보 등이 포함된다.
다음, 컴퓨터장치의 보안인증모듈은 컴퓨터장치가 부팅된 후 재부팅되기 전에는 변하지 않는 재부팅전 불변 고유정보를 수집한다(S43). 이 재부팅전 불변 고유정보에는 운영체제 구동에 필요한 필수 실행 모듈(DLL)가 메모리에 로딩된 주소, 부팅 시간 정보 등이 포함된다.
다음, 컴퓨터장치의 보안인증모듈은 컴퓨터장치의 고유정보 수집에 대해 사용자가 동의하는지를 판단한다(S44). 사용자가 동의하면 수집된 고유정보 즉, 하드웨어 고유정보, 소프트웨어 고유정보, 재부팅전 불변 고유정보를 병합한다(S45). 그리고, 병합된 데이터를 대칭키 암호화 알고리즘으로 암호화하고(S46), 암호화된 데이터를 컴퓨터장치의 고유식별자로 생성한다(S47).
한편, 단계 S44에서 사용자가 동의하지 않으면 수집된 고유정보를 그 종류에 따라 고유정보별 해쉬(HASH)값을 산출하며(S48), 수집된 고유정보를 산출된 해쉬값으로 대체시킨다(S49). 이후 단계 S45로 진행하여 산출된 해쉬 데이터를 병합하고, 암호화하여(S46), 컴퓨터장치의 고유식별자를 생성한다(S47)
여기서, 사용자가 고유정보 수집에 동의하면 컴퓨터장치의 고유정보가 관제시스템에 전달되어 관제시스템은 컴퓨터장치의 고유정보에 대한 로그 수집이 가능하다.
[고유식별자 기반 보안 위협 레벨 설정]
도 5는 이 발명에 따른 관제 시스템의 위협감지부가 고유식별자 기반 보안 위협 레벨을 설정하는 과정을 도시한 동작 흐름도이다.
관제 시스템은 상술한 바와 같이 1차 인증된 컴퓨터의 고유식별자를 수집하고(S51), 2차 인증 시도 컴퓨터장치의 고유식별자를 수집한다(S52). 관제 시스템은 두 컴퓨터장치의 고유식별자를 비교하는데(S53), 고유식별자의 각 고유정보별로 비교를 수행한다.
단계 S53의 비교 결과, 두 컴퓨터장치의 고유정보들이 모두 일치하는 보통 상황이면(S54), 보안 위협 레벨을 보통 상태로 설정한다(S55).
단계 S53의 비교 결과, 두 컴퓨터장치의 고유식별자를 이루는 하드웨어 고유정보와 소프트웨어 고유정보 중 적어도 하나가 불일치하는 경고 상황이면(S56), 보안 위협 레벨을 경고 상태로 설정한다(S57).
단계 S53의 비교 결과, 두 컴퓨터장치의 고유식별자 중 재부팅전 불변 고유정보가 불일치하는 차단 상황이면(S56), 보안 위협 레벨을 차단 상태로 설정한다(S58).
[보안 위협 레벨에 따른 대응]
도 6은 이 발명에 따른 관제 시스템의 위협대응부가 고유식별자 기반 보안 위협 레벨에 따른 대응 과정을 도시한 동작 흐름도이다.
관제 시스템은 고유식별자 기반 보안 위협 레벨이 보통 상태이면(S61), 인증 내역에 대한 로그를 수집한(S70) 후 종료한다.
관제 시스템은 고유식별자 기반 보안 위협 레벨이 보통 상태가 아니면(S61) 경고 상태인지를 판별한다(S62). 한편, 경고 상태가 아니라 차단 상태이면(S63), 2차 인증 시스템에 인증 차단을 요청하고(S64), 이동통신단말기에게 차단 내역을 전달하고(S65), 그 과정에 대한 로그를 수집한(S70) 후 종료한다.
관제 시스템은 고유식별자 기반 보안 위협 레벨이 경고 상태이면(S62), 2차 인증 시스템에게 인증 절차 중단을 요청하고(S66), 이동통신단말기에게 보안 위협 경고메시지를 전송하며, 인증 절차를 계속하여 진행할 지 여부를 질의한다(S67).
이동통신단말기로부터 인증 절차 계속 진행이 요청되면(S68), 2차 인증 시스템에게 인증 절차 계속 진행을 요청하고(S69), 그 과정에 대한 로그를 수집한(S70) 후 종료한다. 한편, 단계 S68에서 이동통신단말기로부터 인증절차 진행이 요청되지 않으면 단계 S64로 진행하여, 2차 인증 시스템에게 인증 차단을 요청하고, 이동통신단말기에게 차단 내역을 전달하며(S65), 그 과정에 대한 로그를 수집한(S70) 후 종료한다.
이상과 같이 2차 인증이 인증 과정 도중 발생한 보안 위협에 의해 차단되면, 위협 근원지(컴퓨터장치)에 대한 역추적을 수행할 수도 있다. 이러한 근원지 역추적은 종래의 호스트 기반 및 네트워크 기반 역추적 기술과, 수집된 컴퓨터장치의 위치정보를 이용하여 위치기반서비스(LBS; Location Based Service) 역추적 기술을 활용하여 수행될 수 있다. 역추적 결과를 이동통신단말기에게 통지한다.
110 : 종단실체 111 : 컴퓨터장치
112 : 이동통신단말기 120 : 온라인 서비스 시스템
130 : 푸시서버 140 : 2차 인증 시스템
300 : 관제 시스템 310 : 송수신처리부
320 : 암복호화처리부 330 : 정보수집부
340 : 위협전파부 350 : 관제처리부
360 : 로그수집부

Claims (20)

  1. 2차 인증 시스템이 로그인 정보로 1차 인증된 컴퓨터장치의 고유식별자와, 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 2차 인증 시도 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 시스템에 있어서,
    상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 정보수집부와;
    상기 정보수집부에서 수집된 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 1차 인증된 컴퓨터장치와 상기 2차 인증 시도 컴퓨터장치의 동일 여부를 판단하여 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 관제처리부와;
    상기 정보수집부에서 수집된 정보들과 상기 관제처리부에서 수행되는 동작들을 로그로 수집하는 로그수집부와;
    상기 관제처리부의 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 로그인 정보에 대응하는 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 위협전파부를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  2. 제 1 항에 있어서, 상기 정보수집부는 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 수집하는 고유식별자 정보 수집부와,
    상기 이동통신단말기 및 상기 2차 인증 시도 컴퓨터장치와의 통신을 통한 일회용인증키 생성/발급/검증 과정에서의 정보를 수집하는 일회용인증키정보수집부를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  3. 제 1 항에 있어서, 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자는 동일한 방법으로 추출되며, 상기 고유식별자는 컴퓨터장치의 하드웨어 고유정보와 소프트웨어 고유정보와 재부팅전 불변 고유정보 중 적어도 하나의 고유정보를 포함하는 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  4. 제 3 항에 있어서, 상기 고유정보는 해쉬값인 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  5. 제 3 항에 있어서, 상기 고유식별자는 상기 하드웨어 고유정보와 상기 소프트웨어 고유정보 중 적어도 하나와, 상기 재부팅전 불변 고유정보를 포함하고,
    상기 관제 처리부는 상기 1차 인증된 컴퓨터장치의 고유식별자를 구성하는 고유정보들과 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 구성하는 고유정보들의 각각 대응되는 고유정보별 일치 여부에 따라 상기 고유식별자 기반 보안 위협 레벨을 다수의 단계로 구분하는 위협감지부와, 상기 위협감지부에서 감지된 상기 고유식별자 기반 보안 위협 레벨에 따라 상기 로그수집부에 로그를 저장하고 상기 이동통신단말기에게 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 위협대응부를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  6. 제 5 항에 있어서, 상기 위협감지부는 상기 1차 인증된 컴퓨터장치의 고유식별자를 구성하는 고유정보들과 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 구성하는 고유정보들이 모두 일치하면 상기 고유식별자 기반 보안 위협 레벨을 보통 상태로 설정하고, 상기 1차 인증된 컴퓨터장치의 고유식별자 중 상기 하드웨어 고유정보 또는 소프트웨어 고유정보와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 중 상기 하드웨어 고유정보 또는 소프트웨어 고유정보가 불일치하면 상기 고유식별자 기반 보안 위협 레벨을 경고 상태로 설정하며, 상기 1차 인증된 컴퓨터장치의 고유식별자 중 상기 재부팅전 불변 고유정보와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 중 상기 재부팅전 불변 고유정보가 불일치하면 상기 고유식별자 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  7. 제 6 항에 있어서, 상기 위협대응부는 상기 고유식별자 기반 보안 위협 레벨이 경고 상태이면 상기 2차 인증 시스템에게 인증 절차 중단을 요청하고, 상기 이동통신단말기에게 보안 위협 경고를 전달하면서 인증 절차에 대한 계속 진행 여부를 질의한 후 상기 인증 절차가 계속 수행되도록 하거나 차단되도록 하는 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  8. 제 6 항에 있어서, 상기 위협대응부는 상기 고유식별자 기반 보안 위협 레벨이 차단 상태이면 상기 2차 인증 시스템에게 인증 절차 차단을 요청하고, 상기 이동통신단말기에게 인증 차단 내역을 전달하는 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  9. 제 2 항에 있어서, 상기 관제처리부는 상기 일회용인증키정보수집부에서 수집된 상기 일회용인증키 생성/발급/검증 과정에서의 정보를 이용하여 비정상적인 패턴을 탐지하고 상기 탐지된 비정상적인 패턴의 종류에 따라 일회용인증키 기반 보안 위협 레벨을 다수의 단계로 구분하는 위협감지부와, 상기 위협감지부에서 감지된 상기 일회용인증키 기반 보안 위협 레벨에 따라 상기 로그수집부에 로그를 저장하고 상기 이동통신단말기에게 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 위협대응부를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  10. 제 1 항에 있어서, 상기 관제처리부는 상기 로그수집부에 수집된 로그를 이용하여 인증 내역 보고서와 보안 위협 보고서를 생성하는 보고서작성부를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 시스템.
  11. 관제시스템이, 2차 인증 시스템이 로그인 정보로 1차 인증된 컴퓨터장치의 고유식별자와, 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 2차 인증 시도 컴퓨터장치를 2차 인증하는 과정을 관제하는 관제 방법에 있어서,
    상기 관제시스템이 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 정보를 수집하는 제1단계와;
    상기 관제시스템이 상기 제1단계에서 수집된 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 기반으로 상기 1차 인증된 컴퓨터장치와 상기 2차 인증 시도 컴퓨터 장치의 동일 여부를 판단하여 보안 위협 레벨을 결정하고 상기 결정된 보안 위협 레벨에 따라 대응하여 처리하는 제2단계와;
    상기 관제시스템이 상기 제1단계에서 수집된 정보들과 상기 제2단계에서 수행되는 동작들을 로그로 수집하는 제3단계와;
    상기 관제시스템이 상기 보안 위협 레벨에 따른 대응 동작에 따라 상기 2차 인증 시스템과 상기 로그인 정보에 대응하는 이동통신단말기에게 보안 위협 경고 메시지를 발송하는 제4단계를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  12. 제 11 항에 있어서, 상기 제1단계는 상기 관제시스템이 상기 1차 인증된 컴퓨터장치의 고유식별자 및 상기 2차 인증 시도 컴퓨터장치의 고유식별자와, 상기 이동통신단말기 및 상기 2차 인증 시도 컴퓨터장치와의 통신을 통한 일회용인증키 생성/발급/검증 과정에서의 정보를 수집하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  13. 제 11 항에 있어서, 상기 1차 인증된 컴퓨터장치의 고유식별자와 상기 2차 인증 시도 컴퓨터장치의 고유식별자는 동일한 방법으로 추출되며, 상기 고유식별자는 컴퓨터장치의 하드웨어 고유정보와 소프트웨어 고유정보와 재부팅전 불변 고유정보 중 적어도 하나의 고유정보를 포함하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  14. 제 13 항에 있어서, 상기 고유정보는 해쉬값인 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  15. 제 13 항에 있어서, 상기 고유식별자는 상기 하드웨어 고유정보와 상기 소프트웨어 고유정보 중 적어도 하나와, 상기 재부팅전 불변 고유정보를 포함하고,
    상기 제2단계는 상기 1차 인증된 컴퓨터장치의 고유식별자를 구성하는 고유정보들과 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 구성하는 고유정보들의 각각 대응되는 고유정보별 일치 여부에 따라 상기 고유식별자 기반 보안 위협 레벨을 다수의 단계로 구분하는 제21단계와; 상기 고유식별자 기반 보안 위협 레벨에 따라 상기 로그가 저장되도록 하고 상기 이동통신단말기에게 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 제22단계를 포함한 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  16. 제 15 항에 있어서, 상기 제21단계는 상기 1차 인증된 컴퓨터장치의 고유식별자를 구성하는 고유정보들과 상기 2차 인증 시도 컴퓨터장치의 고유식별자를 구성하는 고유정보들이 모두 일치하면 상기 고유식별자 기반 보안 위협 레벨을 보통 상태로 설정하고, 상기 1차 인증된 컴퓨터장치의 고유식별자 중 상기 하드웨어 고유정보 또는 소프트웨어 고유정보와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 중 상기 하드웨어 고유정보 또는 소프트웨어 고유정보가 불일치하면 상기 고유식별자 기반 보안 위협 레벨을 경고 상태로 설정하며, 상기 1차 인증된 컴퓨터장치의 고유식별자 중 상기 재부팅전 불변 고유정보와 상기 2차 인증 시도 컴퓨터장치의 고유식별자 중 상기 재부팅전 불변 고유정보가 불일치하면 상기 고유식별자 기반 보안 위협 레벨을 차단 상태로 설정하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  17. 제 16 항에 있어서, 상기 제22단계는 상기 고유식별자 기반 보안 위협 레벨이 경고 상태이면 상기 2차 인증 시스템에게 인증 절차 중단을 요청하고, 상기 이동통신단말기에게 보안 위협 경고를 전달하면서 인증 절차에 대한 계속 진행 여부를 질의한 후 상기 인증 절차가 계속 수행되도록 하거나 차단되도록 하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  18. 제 16 항에 있어서, 상기 제22단계는 상기 고유식별자 기반 보안 위협 레벨이 차단 상태이면 상기 2차 인증 시스템에게 인증 절차 차단을 요청하고, 상기 이동통신단말기에게 인증 차단 내역을 전달하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  19. 제 12 항에 있어서, 상기 제2단계는 상기 제1단계에서 수집된 상기 일회용인증키 생성/발급/검증 과정에서의 정보를 이용하여 비정상적인 패턴을 탐지하고 상기 탐지된 비정상적인 패턴의 종류에 따라 일회용인증키 기반 보안 위협 레벨을 다수의 단계로 구분하며, 상기 일회용인증키 기반 보안 위협 레벨에 따라 상기 로그를 저장되도록 하고 상기 이동통신단말기에게 경고 메시지를 전송하거나 상기 2차 인증 시스템의 2차 인증 절차를 차단하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
  20. 제 11 항에 있어서, 상기 관제시스템이 상기 제3단계에서 수집된 로그를 이용하여 인증 내역 보고서와 보안 위협 보고서를 생성하는 것을 특징으로 하는 고유식별자 기반 인증 관제 방법.
KR1020110118447A 2011-11-14 2011-11-14 고유식별자 기반 인증 관제 시스템 및 방법 KR101334771B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110118447A KR101334771B1 (ko) 2011-11-14 2011-11-14 고유식별자 기반 인증 관제 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110118447A KR101334771B1 (ko) 2011-11-14 2011-11-14 고유식별자 기반 인증 관제 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130053008A KR20130053008A (ko) 2013-05-23
KR101334771B1 true KR101334771B1 (ko) 2013-11-29

Family

ID=48662334

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110118447A KR101334771B1 (ko) 2011-11-14 2011-11-14 고유식별자 기반 인증 관제 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101334771B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102374018B1 (ko) * 2015-08-07 2022-03-15 삼성전자주식회사 전자 장치들 사이의 연결을 수행하기 위한 방법 및 전자 장치
WO2023167567A1 (ko) * 2022-03-04 2023-09-07 주식회사 센스톤 인증용 가상코드 기반의 인증을 통해 해킹을 방지하기 위한 장치 및 방법
CN115022152B (zh) * 2022-06-02 2024-04-23 北京天融信网络安全技术有限公司 一种用于判定事件威胁度的方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065923A (ko) * 2004-03-24 2006-06-15 (주)이즈넷 네트워크 기반의 금융 자동화기기 보안관리 시스템 및 그제어방법
KR20070088132A (ko) * 2006-02-24 2007-08-29 (주)엔도어즈 사용자인증시스템 및 그 제어방법
KR20080010003A (ko) * 2006-07-25 2008-01-30 에스케이 텔레콤주식회사 통합 인터넷 보안 시스템 및 방법
KR20100015239A (ko) * 2008-08-04 2010-02-12 이상훈 컴퓨터 보안 모듈 및 이를 적용한 컴퓨터 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065923A (ko) * 2004-03-24 2006-06-15 (주)이즈넷 네트워크 기반의 금융 자동화기기 보안관리 시스템 및 그제어방법
KR20070088132A (ko) * 2006-02-24 2007-08-29 (주)엔도어즈 사용자인증시스템 및 그 제어방법
KR20080010003A (ko) * 2006-07-25 2008-01-30 에스케이 텔레콤주식회사 통합 인터넷 보안 시스템 및 방법
KR20100015239A (ko) * 2008-08-04 2010-02-12 이상훈 컴퓨터 보안 모듈 및 이를 적용한 컴퓨터 장치

Also Published As

Publication number Publication date
KR20130053008A (ko) 2013-05-23

Similar Documents

Publication Publication Date Title
CN107665301B (zh) 验证方法及装置
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
US10462665B2 (en) Multifactor network authentication
KR102457683B1 (ko) 데이터 분석을 사용하여 인증을 수행하기 위한 시스템 및 방법
CN100438421C (zh) 用于对网络位置的子位置进行用户验证的方法和系统
US8613064B1 (en) Method and apparatus for providing a secure authentication process
KR101569753B1 (ko) 보안 로그인 시스템, 방법 및 장치
JP2019531567A (ja) 装置認証のシステム及び方法
US10867048B2 (en) Dynamic security module server device and method of operating same
US10462126B2 (en) Self-adjusting multifactor network authentication
CA2900829C (en) Systems and methods for controlling access to a computer device
US10015153B1 (en) Security using velocity metrics identifying authentication performance for a set of devices
KR101268298B1 (ko) 위치정보 기반 인증 관제 시스템 및 방법
KR101334771B1 (ko) 고유식별자 기반 인증 관제 시스템 및 방법
KR101206854B1 (ko) 고유식별자 기반 인증시스템 및 방법
EP2710507B1 (en) Supervised data transfer
CN115550002B (zh) 一种基于tee的智能家居远程控制方法及相关装置
CN114938313B (zh) 一种基于动态令牌的人机识别方法及装置
KR102284876B1 (ko) 생체 인식 기반의 통합 인증 시스템 및 방법
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
AU2012260619A1 (en) Supervised data transfer
KR20130055116A (ko) 자동 로그인 기능을 제공하는 방법 및 서버
US20240195797A1 (en) Systems and Methods to Ensure Proximity of a Multi-Factor Authentication Device
KR101272027B1 (ko) 해킹 방지 시스템 및 그 제어방법과, 그 시스템에 포함되는 해킹 방지 지원 서버 및 그 제어방법
KR20230024303A (ko) 블록체인에 기반한 로그인 이상징후 감지 및 로그인 관련 로그 데이터 관리 방법, 및 이를 수행하기 위한 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161115

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191115

Year of fee payment: 7