KR102483979B1 - 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 - Google Patents
자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 Download PDFInfo
- Publication number
- KR102483979B1 KR102483979B1 KR1020220118581A KR20220118581A KR102483979B1 KR 102483979 B1 KR102483979 B1 KR 102483979B1 KR 1020220118581 A KR1020220118581 A KR 1020220118581A KR 20220118581 A KR20220118581 A KR 20220118581A KR 102483979 B1 KR102483979 B1 KR 102483979B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- module
- user
- information
- automatic
- Prior art date
Links
- 230000001815 facial effect Effects 0.000 title claims abstract description 85
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000006854 communication Effects 0.000 claims description 36
- 238000004891 communication Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 84
- 238000012550 audit Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 사용자의 계정정보 노출 없이도 서버에 자동 접속할 수 있는 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법에 관한 것으로, 단말기와 보안대상 서버 간의 데이터통신을 중계하며 보안 처리하는 보안 프록시 서버를 갖춘 자동 접속시스템에 있어서, 상기 보안대상 서버에 접속을 시도하는 사용자의 안면정보를 수집해서 보안 프록시 서버에 발신하는 안면인식모듈과, 상기 보안 프록시 서버로부터 수신한 제1계정정보에 따라 보안에이전트에 대한 자동 로그인을 처리하고 보안 프록시 서버로부터 수신한 복수 개의 보안대상 서버에 관한 접속허용목록을 통지하는 에이전트 접속모듈과, 상기 접속허용목록에서 선택된 보안대상 서버에 대한 자동 접속을 위해서 제1계정정보를 보안 프록시 서버에 발신하는 자동접속모듈을 갖추고, 상기 단말기에 설치되는 보안에이전트; 사용자의 안면정보와 제1계정정보를 사용자정보로 저장하는 사용자정보 저장모듈과, 사용자별 상기 제1계정정보에 대응하는 접속허용목록에 관한 보안정책을 저장하는 보안정책 저장모듈과, 상기 안면인식모듈로부터 수신한 안면정보의 안면이미지를 사용자정보의 안면이미지와 비교해서 일치 여부를 확인하고 해당하는 제1계정정보와 접속허용목록을 보안에이전트에 발신하는 에이전트 보안모듈과, 상기 보안에이전트와 보안대상 서버의 데이터통신을 중계하는 중계모듈과, 상기 보안대상 서버에 대한 자동접속모듈의 접속 트래픽과 제1계정정보를 보안정책에 따라 검사해서 보안대상 서버에 대한 중계모듈의 자동 접속과 데이터통신 중계를 제어하는 보안처리모듈을 갖춘 보안 프록시 서버;를 포함하는 것이다.
Description
본 발명은 자동 안면인식을 통한 사용자의 계정정보를 노출 없이 서버에 자동 접속할 수 있는 접속시스템과 접속방법에 관한 것이다.
종래 보안에이전트는 보안대상 서버 접속 및 로그인 시도 시 사용자의 제1 계정정보를 우선 입력 받아 보안에이전트에 접속하고, 보안대상 서버 접속을 위해 사용자에게 부여된 제2 계정정보와 사용자 단말기의 IP와 같은 추가 정보를 확인하여 사용자를 최종적으로 인증하여 보안대상 서버로 자동접속을 하였다.
그러나 종래 보안에이전트는 사용자가 직접 제1 계정정보를 입력하는 과정에서 계정정보의 탈취가 발생할 수 있었고, 이때 사용자에게 부여된 제2 계정정보를 모르더라도 보안대상 서버에 자동접속이 가능하여 보안대상 서버와의 데이터 통신이 허가된 사용자에 의한 것인지를 확인할 수 없다는 문제 또한 있었다.
이러한 문제를 해소하기 위해서 종래에는 로그인 중에 이루어지는 계정정보 확인 외에도 추가인증수단(2차인증, OTP, 결재 등)을 통한 사용자 인증 과정이 추가되었으나, 상기 추가인증수단까지 도용된 경우에는 보안대상 서버와 데이터 통신하는 실제 사용자 확인이 불가능해서 사용자의 개인정보 및 보안대상 데이터가 아무런 제약 없이 무단 유출되는 문제가 있었다.
한편, 종래 보안에이전트에서의 로그인은 사용자의 ID와 패스워드 등의 계정정보 입력을 통해 기본적으로 이루어지는데, 이러한 계정정보 입력 방식은 사용자의 계정정보 유출의 위험이 있었다. 이를 보완하기 위해서 전술한 바와 같이 추가인증수단이 적용되었으나, 이 또한 계정정보 및 추가인증수단 자체의 도용도 완전히 방지할 수 없는 한계가 있었다. 또한, 사용자의 계정정보 및 추가인증수단의 도용 후에는 도용 여부를 검증할 수 있는 방법이 전무하므로, 사용자는 자신의 도용된 계정정보로 보안대상 서버에 무단 접속된 사실을 인지하지 못했고, 보안에이전트 역시 접속을 시도하는 사용자가 정당한지 여부를 확인하지 못하고 서버 접속을 허가하는 문제가 있었다.
이외에도 공용 단말기를 이용한 서버 접속의 경우, 공용 단말기를 이용하는 사용자가 변경될 때마다 보안에이전트에 대한 계정정보 입력 및 추가인증수단 실행이 반복적으로 이루어졌는데, 이는 서버 접속의 불편을 야기했고, 보안상 계정정보 입력 및 추가인증수단의 반복적인 실행은 계정정보 및 추가인증수단의 유출 위험도 높였다.
선행기술문헌 1. 특허공개번호 제10-2021-0004319호(2021.01.13 공개)
이에 본 발명은 상기의 문제를 해소하기 위한 것으로, 사용자의 계정정보 노출 없이 보안에이전트에 접속 후 등록된 서버 또는 서비스에 대한 목록이 제공되어서 접속할 수 있도록 하므로 계정정보 도용과 비인가자의 서버 접근을 원천 차단하는 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법의 제공을 해결하고자 하는 과제로 한다.
상기의 과제를 달성하기 위하여 본 발명은,
단말기와 보안대상 서버 간의 데이터통신을 중계하며 보안 처리하는 보안 프록시 서버를 갖춘 자동 접속시스템에 있어서,
상기 보안대상 서버에 접속을 시도하는 사용자의 안면정보를 수집해서 보안 프록시 서버에 발신하는 안면인식모듈과, 상기 보안 프록시 서버로부터 수신한 제1계정정보에 따라 보안에이전트에 대한 자동 로그인을 처리하고 보안 프록시 서버로부터 수신한 복수 개의 보안대상 서버에 관한 접속허용목록을 통지하는 에이전트 접속모듈과, 상기 접속허용목록에서 선택된 보안대상 서버에 대한 자동 접속을 위해서 제1계정정보를 보안 프록시 서버에 발신하는 자동접속모듈을 갖추고, 상기 단말기에 설치되는 보안에이전트; 및
사용자의 안면정보와 제1계정정보를 사용자정보로 저장하는 사용자정보 저장모듈과, 사용자별 상기 제1계정정보에 대응하는 접속허용목록에 관한 보안정책을 저장하는 보안정책 저장모듈과, 상기 안면인식모듈로부터 수신한 안면정보의 안면이미지를 사용자정보의 안면이미지와 비교해서 일치 여부를 확인하고 해당하는 제1계정정보와 접속허용목록을 보안에이전트에 발신하는 에이전트 보안모듈과, 상기 보안에이전트와 보안대상 서버의 데이터통신을 중계하는 중계모듈과, 상기 보안대상 서버에 대한 자동접속모듈의 접속 트래픽과 제1계정정보를 보안정책에 따라 검사해서 보안대상 서버에 대한 중계모듈의 자동 접속과 데이터통신 중계를 제어하는 보안처리모듈을 갖춘 보안 프록시 서버;
를 포함하는 자동 안면인식을 통한 서버 자동 접속시스템이다.
상기의 본 발명은, 보안에이전트의 서버 접속이 서버별 사용자의 계정정보 입력을 통한 것이 아닌 안면정보를 질의하여 응답받은 서버 또는 서비스 목록의 선택만으로도 해당 선택 목록의 계정정보가 자동 입력되어 로그인하는 방식이므로, 사용자 계정정보의 무단 탈취가 불가능하여 안전한 서버 접속을 실현하고, 계정정보 도용과 비인가자의 서버 접근을 원천 차단해서 보안성을 향상시키며, 서버 접속 절차의 간략화를 통해 편의성을 높이는 효과가 있다.
도 1은 본 발명에 따른 자동 접속시스템의 통신 체계를 개략적으로 도시한 도면이고,
도 2는 본 발명에 따른 자동 접속시스템의 구성을 도시한 블록도이고,
도 3은 본 발명에 따른 자동 접속시스템에 보안대상 서버가 설정되는 입력창의 일 실시 예를 보인 이미지이고,
도 4는 본 발명에 따른 자동 접속시스템에 보안대상 서버 접속이 허용된 사용자가 설정되는 입력창의 일실시 예를 보인 이미지이고,
도 5는 본 발명에 따른 자동 접속시스템이 실행한 보안 이력에 관한 로그데이터의 리스트의 일실시 예를 보인 이미지이고,
도 6은 본 발명에 따른 자동 접속시스템 기반의 보안방법을 순차로 도시한 플로차트이고,
도 7은 본 발명에 따른 자동 접속시스템에서 인가된 사용자의 접속상황을 개략적으로 보인 이미지이고,
도 8은 본 발명에 따른 자동 접속시스템에서 인가된 사용자들의 변경에 따른 접속상황을 개략적으로 보인 이미지이고,
도 9는 본 발명에 따른 자동 접속시스템에서 미인가된 사용자의 접속상황을 개략적으로 보인 이미지이다.
도 2는 본 발명에 따른 자동 접속시스템의 구성을 도시한 블록도이고,
도 3은 본 발명에 따른 자동 접속시스템에 보안대상 서버가 설정되는 입력창의 일 실시 예를 보인 이미지이고,
도 4는 본 발명에 따른 자동 접속시스템에 보안대상 서버 접속이 허용된 사용자가 설정되는 입력창의 일실시 예를 보인 이미지이고,
도 5는 본 발명에 따른 자동 접속시스템이 실행한 보안 이력에 관한 로그데이터의 리스트의 일실시 예를 보인 이미지이고,
도 6은 본 발명에 따른 자동 접속시스템 기반의 보안방법을 순차로 도시한 플로차트이고,
도 7은 본 발명에 따른 자동 접속시스템에서 인가된 사용자의 접속상황을 개략적으로 보인 이미지이고,
도 8은 본 발명에 따른 자동 접속시스템에서 인가된 사용자들의 변경에 따른 접속상황을 개략적으로 보인 이미지이고,
도 9는 본 발명에 따른 자동 접속시스템에서 미인가된 사용자의 접속상황을 개략적으로 보인 이미지이다.
실시 예들에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 “…부”, “…모듈” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
아래에서는 첨부한 도면을 참고하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.
이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 자동 접속시스템의 통신 체계를 개략적으로 도시한 도면이고, 도 2는 본 발명에 따른 자동 접속시스템의 구성을 도시한 블록도이고, 도 3은 본 발명에 따른 자동 접속시스템에 보안대상 서버가 설정되는 입력창의 일 실시 예를 보인 이미지이고, 도 4는 본 발명에 따른 자동 접속시스템에 보안대상 서버 접속이 허용된 사용자가 설정되는 입력창의 일실시 예를 보인 이미지이고, 도 5는 본 발명에 따른 자동 접속시스템이 실행한 보안 이력에 관한 로그데이터의 리스트의 일실시 예를 보인 이미지이다.
도 1 내지 도 5를 참조하면, 본 발명에 따른 자동 접속시스템은, 단말기(C)가 보안 프록시 서버(200)를 통해 보안대상 서버(S) 또는 서비스 IP(internet protocol)(이하 '보안대상 서버(S)'로 통칭함)에 접속하는 통신 체계에서 보안대상 서버(S)에서 이루어지는 보안 프로세스에 관한 것이다.
이에 관해 좀 더 구체적으로 설명하면, 단말기(C)와 보안대상 서버(S) 간의 데이터통신을 중계하며 보안 처리하는 보안 프록시 서버(200)를 갖춘 자동 접속시스템에 있어서, OS(Operating System) 기반의 단말기(C)에 설치되는 보안에이전트(100)와, 보안에이전트(100)와 보안대상 서버(S) 간의 데이터통신을 중계하는 보안 프록시 서버(200)로 구성된다. 보안에이전트(100)는 보안 기능을 실행하기 위해 사용자의 단말기(C)에 설치되는 애플리케이션이며, 자체 실행 및 외부 통신망의 접속을 위해서 단말기(C)의 OS(Operating System) 및 웹브라우저 등과 연동한다.
보안에이전트(100)는 안면인식모듈(110)과 에이전트 접속모듈(140)과 자동접속모듈(160)로 구성되고, 보안 프록시 서버(200)는 사용자정보 저장모듈(210)과 보안정책 저장모듈(220)과 에이전트 보안모듈(260)과 중계모듈(230)과 보안처리모듈(240)로 구성된다. 보안에이전트(100)와 보안 프록시 서버(200) 각각의 구성에 대해 좀 더 구체적으로 설명한다.
안면인식모듈(110)은 보안대상 서버(S)에 접속을 시도하는 사용자의 안면정보를 수집해서 보안 프록시 서버(200)에 발신한다. 안면인식모듈(110)은 단말기(C)에 설치된 카메라 등의 촬영수단을 이용해서 현재 사용자의 안면이미지를 수집한다. 안면인식모듈(110)의 안면이미지 수집은 보안접속 에이전트(100) 또는 보안대상 서버(S)의 접속을 위한 로그인 작업 당시에 이루어짐은 물론, 지정된 시점 단위로 반복해 수집하거나, 지정된 상황 시마다 반복해 수집한다. 사용자의 안면 모습에 대한 촬영이미지와 고유코드가 설정된 안면이미지를 수집하면 안면인식모듈(110)은 해당 사용자의 식별ID(Identity)를 안면이미지에 첨부해서 안면정보로 셋하고 OS를 통해 지정 IP(Internet Protocol)에 자동 발신한다. 여기서 상기 지정 IP는 보안 프록시 서버(200)의 IP이다.
본 발명에 따른 자동 접속시스템은 최소 한번은 상기 식별ID에 맞는 안면이미지를 보안에이전트(100)의 안면정보 등록모듈(150)을 통해 수집하고, 보안 프록시 서버(200)의 사용자정보 저장모듈(210)에 전달하여 등록 및 관리해야 한다. 이는 사용자나 보안 프록시 서버(200)에서 안면정보와 맵핑되는 사용자정보를 함께 구축하는데 필요한 동작이다. 본 실시 예에서 안면정보가 촬영이미지와 고유코드와 식별ID로 구성되었으나, 이외에도 안면정보가 고유코드와 식별ID로만 이루어질 수도 있다. 참고로, 상기 안면이미지는 사용자의 안면모습을 그대로 촬영한 촬영이미지와 더불어, 공지의 안면인식 알고리즘을 이용해서 사용자만의 고유한 안면형태를 벡터화하고 고유코드로 전환하는 기능을 수행한다. 상기 고유코드는 안면 벡터정보이고, 단말기(C)의 보안환경 내에 저장되며, 안면정보의 일 구성으로서 보안 프록시 서버(200)에 전송된다.
에이전트 접속모듈(140)은 보안 프록시 서버(200)로부터 수신한 제1계정정보에 따라 보안에이전트에 대한 자동 로그인을 처리하고 보안 프록시 서버로부터 수신한 복수 개의 보안대상 서버(S)에 관한 접속허용목록을 통지한다. 보안 프록시 서버(200)에 등록된 안면정보에는 식별을 위한 제1계정정보가 설정되고, 보안에이전트(100)는 상기 제1계정정보 입력을 통해 사용자의 로그인이 자동으로 이루어진다. 즉, 보안에이전트(100)에 로그인하기 위해서 사용자가 직접 ID/PW를 입력하지 않아도 보안 프록시 서버(200)로부터 제1계정정보를 수신하면 에이전트 접속모듈(140)은 보안에이전트(100)를 로그인해서 활성화하는 것이다. 따라서 사용자의 안면정보가 보안 프록시 서버(200)에 등록되는 과정에서 사용자의 제1계정정보가 보안에이전트(100)와 보안 프록시 서버(200)에 자동으로 등록된다. 이와 더불어 에이전트 접속모듈(140)은 보안 프록시 서버(200)로부터 복수 개의 보안대상 서버(S)에 관한 접속허용목록을 수신한다. 상기 접속허용목록에 관한 구체적인 설명은 보안정책 저장모듈(220)의 설명과 더불어 한다.
자동접속모듈(160)은 상기 접속허용목록에서 선택된 보안대상 서버(S)에 대한 자동 접속을 위해서 사용자 검증을 목적으로 제1계정정보를 보안 프록시 서버(200)에 발신한다. 사용자는 보안 프록시 서버(200)로부터 수신한 접속허용목록 중 접속을 희망하는 보안대상 서버(S)를 하나 선택하므로, 자동접속모듈(160)은 선택한 보안대상 서버(S)의 정보와 더불어 선택한 사용자의 식별을 위한 제1계정정보를 함께 발신한다.
이외에도 본 발명에 따른 자동 접속시스템에서 보안에이전트(100)는, 보안대상 서버(S)에 접속이 인가되어 접속 중인 사용자의 상태 변화를 감지해서 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 신호를 전달하는 사용상태 감지모듈(130)과, 보안대상 서버(S)와의 데이터통신 상황을 출력하는 통지모듈(120)을 더 포함한다. 사용상태 감지모듈(130)은, 보안대상 서버(S)에 접속이 인가되어 접속 중인 상태에서 입력된 명령어가 미인가된 권한 이외의 명령어인 경우, 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 신호를 전달할 수도 있다.
사용상태 감지모듈(130)은, 보안대상 서버(S)에 접속이 인가되어 접속 중인 사용자의 상태 변화를 감지해서 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 신호를 전달한다. 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 신호를 전달한다. 전술한 바와 같이, 안면인식모듈(110)은 사용자의 안면정보를 지정된 시점 또는 지정된 상황에서 반복해 수집한다. 여기서 지정된 시점이란 일정한 시간 간격, 또는 관리자 또는 사용자가 지정한 특정 시각이다. 또한, 지정된 상황이란 사용자의 상태 변화에 관한 것으로, 사용자의 자세 변화, 사용자가 촬영수단(CAM)의 촬영 범위 이탈, 상기 촬영 범위 이내에 2인 이상의 안면이미지 확인, 사용자의 착용복장 또는 액세서리 이미지 변화 등 다양할 수 있다.
또한, 사용상태 감지모듈(130)은, 보안대상 서버(S)에 접속이 인가되어 접속 중인 상태에서 입력된 명령어가 권한 이외 명령어인 경우를 감지해서 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 신호를 전달할 수 있다.
공지된 바와 같이, OS 기반의 단말기는 실행 중에 작업 트래픽(세션정보)을 생성하므로, 상기 명령어는 작업 트래픽 정보를 분석함으로써 확인한다. 따라서 사용상태 감지모듈(130) 또는 보안처리모듈(240)은 보안대상 서버(S)와 관련한 작업 중에 발생하는 작업 트래픽 정보를 분석해서 명령어를 확인하고, 보안정책 저장모듈(220)에 저장된 보안정책과 비교해서 권한 이외 명령어 여부를 판단할 수 있다.
본 실시 예에서 권한 이외 명령어는 사용자의 업무 이외의 특정 명령어, 즉, 보안대상 서버(S)에서 사용자가 접근할 수 없는 영역으로의 접근 명령, 인터넷 인증정보 확인 및 복사 명령, 개인정보 유출 명령, 인증되지 않은 애플리케이션의 설치 명령, 사용자 업무 이외에 온라인 뱅킹 실행 명령 등이다. 또한, 상기 특정 명령어는 금칙어, 집중 감시 대상 명령어, 결재 대상 명령어 등에 관한 것일 수도 있다. 이외에도 권한 이외 명령어는 다양할 수 있고, 이하의 권리범위를 벗어나지 않는 한도 내에서 다양하게 변형실시될 수 있다. 명령어 확인을 위한 작업 트래픽 정보 분석은 사용상태 감지모듈(130)이 직접 실행할 수도 있으나, 안면인식모듈(110)이 안면정보 발신 시 상기 분석 없이 작업 트래픽 정보를 보안 프록시 서버(200)에 함께 발신할 수도 있다. 권한 이외 명령어 여부는 사용자별 접속허용목록 확인을 통해 판단할 수 있고, 금칙어 등의 기타 명령어 등은 사용상태 감지모듈(130) 자체에 설정되어 확인할 수 있다.
통지모듈(120)은 단말기(C)의 OS(Operating System)와 보안대상 서버(S) 간의 데이터통신 상황을 출력한다. 여기서 상기 데이터통신 상황이란, 보안대상 서버(S)에 대한 보안에이전트(100)의 접속 여부이고, 상기 접속 여부에 관한 안내 방법은 다양할 수 있다. 일 예를 들어 설명하면, 보안대상 서버(S)에 대한 보안에이전트(100)의 접속이 차단되면, 설정된 프로세스에 따라 통지모듈(120)은 단순히 데이터통신 제한에 관한 경고창만을 말풍선 형태로 디스플레이할 수도 있고, 단말기(C)의 화면을 강제 종료(잠금)할 수도 있고, 보안대상 서버(S)에 대한 웹브라우저의 작업창(웹페이지)을 강제 종료하거나, 보안대상 서버(S)에서 수신한 데이터파일을 실행하는 응용 애플리케이션인 워드프로세서 등의 작업창을 강제로 종료할 수도 있다. 또한, 상기 웹브라우저 또는 응용 애플리케이션의 작업창은 종료 없이 유지시키되, 상기 작업창에서의 마우스 커서 이동, 텍스트 입력 또는 기타 기능 동작 등을 제한할 수도 있다. 또한, 통지모듈(120)은 전술한 작업창 제어 이후에 별도의 독립된 팝업창을 디스플레이해서 사용자의 본인 입증을 위한 후속 절차를 안내할 수 있다. 참고로, 보안처리모듈(250)은 보안대상 서버(S)와의 접속을 차단하거나 지정된 데이터통신만의 통제 시 통지신호를 발신하고, 통지모듈(120)은 상기 통지신호에 따라 안면정보 재수집에 관한 안내데이터를 출력한다. 사용자는 상기 안내데이터의 안내에 따라 안면 촬영을 재수행하고, 자신의 안면정보를 새로 생성한다.
보안 프록시 서버(200)는 보안대상 서버(S)에 접근하기 위한 게이트웨이이므로, 보안대상 서버(S)에 접근을 시도하는 단말기(C)는 보안 프록시 서버(200)와 데이터를 통신한다. 또한, 사용자의 안면인식 분석 및 인증 절차는 단말기(C) 자체가 아닌 보안 프록시 서버(200)에서 이루어지므로, 안면인식을 통한 보안성능을 현저히 증가시킬 수 있다. 더 나아가 보안 프록시 서버(200)는 보안대상 서버(S)에 대한 보안이므로, 단말기(C)에서 보안대상 서버(S)와의 통신 프로세스만을 차단하거나 보안대상 서버(S)로부터 수신한 데이터파일을 리딩하는 특정 애플리케이션의 실행만을 차단할 뿐, 보안대상 서버(S)와 무관한 인터넷 접속과 애플리케이션 동작에 관한 제어에는 관여하지 않는다. 따라서, 보안대상 서버(S)와 무관한 서버의 웹페이지와 애플리케이션의 작업창은 보안 프록시 서버(200)의 제어 없이 실행을 유지한다.
보안 프록시 서버(200)는 사용자정보 저장모듈(210)과 보안정책 저장모듈(220)과 중계모듈(230)과 보안처리모듈(240)을 포함한다. 또한, 보안처리모듈(240)의 실행에 관한 이력을 기록하는 감사로그 저장모듈(250)을 더 포함할 수 있다.
이에 관한 설명은 아래에서 좀 더 상세히 한다.
사용자정보 저장모듈(210)은 사용자의 안면정보와 제1계정정보를 사용자정보로 저장한다. 상기 사용자정보는 사용자의 개인정보와 식별ID와 안면정보와 제1계정정보 및 제2계정정보를 포함한다. 따라서 본인 여부를 확인하기 위한 정보는 사용자정보 저장모듈(210)에서 검색된다. 사용자정보는 보안대상 서버(S)에 대한 접속 허가 여부에 상관없이 사용자가 보안 프록시 서버(200)에 등록하면 해당 사용자의 사용자정보는 사용자정보 저장모듈(210)에 저장될 수 있고, 보안대상 서버(S)에 접속이 인가된 사용자의 사용자정보만이 사용자정보 저장모듈(210)에 저장될 수도 있다. 본 실시 예에서 사용자정보 저장모듈(210)은 접속이 인가된 사용자의 사용자정보만을 저장하는 것으로 했으나, 이하의 권리범위를 벗어나지 않는 한도 내에서 본 실시 예에 한정하지 않는다. 한편, 사용자정보 저장모듈(210)은 접속허용목록의 보안대상 서버(S)별 로그인을 위한 사용자의 제2계정정보를 저장한다. 보안대상 서버(S)는 보안 프록시 서버(200)와는 독립된 서버이며, 보안대상 서버(S)별로 로그인을 위한 ID와 PW가 설정될 수 있다. 따라서 사용자가 접속허용목록에서 특정 보안대상 서버(S)를 선택하면, 보안처리모듈(240)은 사용자정보 저장모듈(210)에서 보안대상 서버(S)의 로그인을 위한 제2계정정보를 검색하고, 상기 제2계정정보를 통해 단말기(C)의 OS를 보안대상 서버(S)에 접속시킨다.
보안정책 저장모듈(220)은 사용자별 보안정책을 저장한다. 상기 보안정책은 등록된 사용자에게 허용된 접근범위에 관한 것으로, 사용자 등록이 이루어지지 않았다면 사용자가 누구인지에 상관없이 보안대상 서버(S)에 대한 접속은 무조건 차단된다. 보안정책 저장모듈(200)에 저장된 보안정책은 사용자별 제1계정정보에 대응하는 접속허용목록을 포함한다. 상기 제1계정정보는 사용자의 안면정보에 설정된 식별코드의 일종으로 사용자가 직접 설정한 ID/PW 등일 수도 있고, 안면정보 생성 시 보안에이전트(100)를 로그인하기 위해 에이전트 보안모듈(260)이 자동으로 설정하는 사용자의 식별코드일 수 있다. 상기 접속허용목록은 보안에이전트(100)의 로그인 권한이 있는 사용자가 접속할 수 있는 보안대상 서버(S) 또는 서비스 IP의 리스트 목록이다. 또한, 상기 접속허용목록에 구성된 보안대상 서버(S) 또는 서비스 IP와의 데이터통신을 시행하고 유지하기 위한 별도의 식별코드를 구성한다. 또한, 보안정책 저장모듈(220)은 명령어별 보안정책을 저장한다. 따라서 권한 이외 명령어가 단말기에 입력되면 보안처리모듈(240)은 명령어의 보안정책에 따라 단말기(C)와 보안대상 서버(S) 간의 데이터통신을 제한하거나, 상기 권한 이외 명령어의 실행을 제한한다. 본 실시 예에서 보안정책 저장모듈(220)에 저장된 보안정책은 보안등급별로 허용된 보안대상 서버(S)에 대한 접근범위를 차별화해서 보안등급으로 분류하고, 사용자별로 상기 보안등급을 지정해서, 보안정책 관리에 대한 체계성과 효율성을 개선하였다. 본 실시 예에서 관리자는 도 3과 같이 보안대상 서버(S)의 IP를 등록하고 Telnet/SSH 서비스를 감시하도록 보안 옵션을 설정한다. 또한, 관리자는 도 4와 같이 보안대상 서버(S)의 접속을 허용하는 사용자의 사용자정보를 등록하고, 해당 사용자의 접속 허용 범위를 지정한다. 도 3 및 도 4에서 보인 입력창 이미지는 일실시 예이므로, 보안정책 설정을 위한 방법은 이하의 권리범위를 벗어나지 않는 한도 내에서 다양하게 변형실시될 수 있다.
에이전트 보안모듈(260)은 안면인식모듈(110)로부터 수신한 안면정보의 안면이미지를 사용자정보의 안면이미지와 비교해서 일치 여부를 확인하고 해당하는 제1계정정보와 접속허용목록을 보안에이전트(100)에 발신한다. 상기 제1계정정보는 전술한 바와 같이 보안에이전트(100) 로그인 및 실행을 위한 식별코드이고, 상기 접속허용목록은 보안대상 서버(S) 또는 서비스 IP의 리스트 목록이다. 상기 리스트 목록은 보안에이전트(100) 로그인 이후에 사용자가 확인할 수 있도록 별도의 팝업창 또는 레이어창에 게시한다. 사용자는 게시된 접속허용목록을 확인해서 접속할 보안대상 서버(S)를 선택한다. 안면인식모듈(110)은 사용자의 작업 중에 안면정보를 반복해서 수집하여 에이전트 보안모듈(260)에 발신하므로, 에이전트 보안모듈(260)은 현재 사용자가 인가된 사용자인지 여부를 지속해 파악할 수 있다.
중계모듈(230)은 보안에이전트(100)와 보안대상 서버(S)의 데이터통신을 중계한다. 중계모듈(230)은 보안처리모듈(240)의 제어에 따라 데이터통신을 통제한다.
보안처리모듈(240)은 보안대상 서버(S)에 대한 자동접속모듈(160)의 접속 트래픽과 제1계정정보를 보안정책에 따라 검사해서 보안대상 서버(S)에 대한 중계모듈(230)의 자동 접속과 데이터통신 중계를 제어한다. 또한, 보안처리모듈(240)은 작업 트래픽 정보를 분석해서 명령어를 확인하고, 보안정책 저장모듈(220)에서 명령어에 해당하는 보안정책을 검색하여 보안정책에 따라 보안대상 서버(S)와의 접속을 일괄 차단하거나 지정된 데이터통신만을 통제하도록 중계모듈(230)을 제어한다. 또한, 보안처리모듈(240)은 보안대상 서버(S)에 대한 자동접속모듈(160)의 접속 시도를 확인하면, 보안대상 서버(S)에 제2계정정보를 입력해서 보안대상 서버(S)에 대한 자동 로그인을 처리한다.
보안처리모듈(240)의 프로세스에 관한 설명은 아래에서 다시 한다.
보안 프록시 서버(200)는, 보안처리모듈(240)에 의해 보안대상 서버(S)와 단말기(C) 간의 데이터통신이 제한되거나, 작업 트래픽 정보 분석을 통해 확인된 명령어가 권한 이외 명령어인 경우 상기 데이터통신이 제한되거나, 권한 이외 명령어의 실행이 제한된 경우를 로그데이터로 기록하여 저장하는 감사로그 저장모듈(250)을 더 포함한다. 따라서 관리자는 감사로그 저장모듈(250)에 저장된 로그데이터를 확인해서, 보안에이전트(100)와 보안 프록시 서버(200)를 업데이트 한다. 본 실시 예에서 보안대상 서버(S)와 단말기(C) 간의 데이터통신 및 명령어 실행이 제한된 경우에 로그데이터를 생성해서 감사로그 저장모듈(250)에 저장하는 것으로 했으나, 데이터통신 및 명령어 실행의 제한 여부에 상관없이 보안처리모듈(240)의 실행 내용이 로그데이터로 기록될 수 있다.
참고로, 감사로그 저장모듈(250)에 저장된 로그데이터는 도 5와 같이 관리자에 의해 리스트로 출력할 수 있고, 사용자는 로그데이터에 기록된 보안 이력을 확인해서 본 발명에 따른 자동 접속시스템을 업데이트할 수 있다.
도 6은 본 발명에 따른 자동 접속시스템 기반의 보안방법을 순차로 도시한 플로차트이고, 도 7은 본 발명에 따른 자동 접속시스템에서 인가된 사용자의 접속상황을 개략적으로 보인 이미지이고, 도 8은 본 발명에 따른 자동 접속시스템에서 인가된 사용자들의 변경에 따른 접속상황을 개략적으로 보인 이미지이고, 도 9는 본 발명에 따른 자동 접속시스템에서 미인가된 사용자의 접속상황을 개략적으로 보인 이미지이다.
도 2와 도 6 내지 도 9를 참조하면, 본 발명에 따른 보안방법은 자동 접속시스템을 기반으로 실행된다.
S11; 사용자 안면 인식 단계
본 발명에 따른 자동 접속시스템은 보안대상 서버(S)에 접속을 시도하는 사용자의 안면 모습을 안면인식모듈(110)이 확인하고, 확인된 안면정보를 보안 프록시 서버(200)에 발신한다.
사용자의 안면정보 확인을 위해 촬영수단은 안면인식모듈(110)의 제어에 따라 사용자의 안면을 촬영해서 촬영이미지를 생성하고, 상기 촬영이미지에서 안면 형태를 추출하여 이미지 분석을 통해 안면 벡터정보인 고유코드를 생성한다. 상기 안면이미지는 사용자의 안면에 관한 촬영이미지와 고유코드일 수 있으나, 상기 고유코드만이 안면이미지를 구성할 수도 있다. 계속해서, 전술한 과정에 따라 안면이미지가 생성되면, 안면인식모듈(110)은 사용자의 식별ID와 상기 안면이미지를 셋으로 하여 안면정보를 생성한다. 안면인식모듈(110)은 안면정보를 보안 프록시 서버(200)에 전송하고, 보안 프록시 서버(200)의 에이전트 보안모듈(260)은 안면정보의 안면이미지를 사용자정보의 안면이미지와 비교해서 일치 여부를 확인한다. 상기 확인 결과 안면정보가 서로 일치한 것으로 확인되면, 에이전트 보안모듈(260)은 사용자의 제1계정정보와 접속허용목록을 사용자정보 저장모듈(210)과 보안정책 저장모듈(220)에서 각각 검색하여 보안에이전트(100)에 발신한다.
안면인식모듈(110)은 사용자의 작업 중에 안면정보를 반복해서 수집하여 에이전트 보안모듈(260)에 발신하므로, 에이전트 보안모듈(260)은 현재 사용자가 인가된 사용자인지 여부를 지속해 파악할 수 있다.
S12; 보안에이전트 로그인 단계
에이전트 접속모듈(140)은 제1계정정보를 근거로 단말기(C)에서 보안에이전트(100)를 로그인하고, 사용자의 접속허용목록을 사용자가 확인하고 선택할 수 있도록 별도의 팝업창 또는 레이어창에 게시한다.
결국, 사용자는 안면인식만으로도 별도의 ID 및 PW 입력 없이 보안에이전트(100)를 활성화하여 로그인한다. 또한, 사용자는 상기 접속허용목록에서 자신이 접속하고자 하는 보안대상 서버(S)를 선택할 수 있다.
반면, 사용자의 안면정보와 동일한 안면정보가 사용자정보 저장모듈(210)에서 미확인되면, 에이전트 접속모듈(140)은 보안에이전트(100)의 로그인을 중단해서 보안대상 서버(S)에 대한 접근을 제한한다.
사용자가 입력한 계정에 대한 안면정보가 등록되어 있지 않은 경우에는 최소 한번 이상은 안면정보 등록모듈(150)에서 사용자의 안면 정보와 사용자 일반 정보(사원번호, 이름, 연락처, 계정정보 등)을 사용자나 관리자로부터 입력받아 보안 프록시 서버(200)의 사용자정보 저장모듈(210)에 전달하여 등록 및 관리한다.
참고로, 보안에이전트(100)의 에이전트 접속모듈(140)은 전술한 바와 같이, 로그인 과정에서 사용자정보와 안면정보를 기반으로 로그인 성공 여부를 판별한다. 사용자정보와 안면정보가 미등록되어 있다면, 안면정보 등록모듈(150)은 안면정보 등록 및 업데이트 과정을 진행하고, 에이전트 접속모듈(140)은 보안에이전트(100)의 로그인 절차를 진행한다.
S13; 보안대상 서버 접속 단계
사용자는 단말기에 게시된 접속허용목록에서 접속을 희망하는 보안대상 서버(S)를 클릭하면, 자동접속모듈(160)은 상기 접속허용목록에서 선택된 보안대상 서버(S)에 대한 자동 접속을 위해서 제1계정정보를 보안 프록시 서버(200)에 발신한다.
보안처리모듈(240)은 제1계정정보를 확인해서 자동접속모듈(160)의 정당성 여부를 판단한다. 또한, 자동접속모듈(160)의 접속 트래픽을 확인해서 보안대상 서버(S)에 대한 단말기(C)의 접속이 악성프로그램에 의한 무단 접속 시도인지 여부를 확인한다. 또한, 사용자가 선택한 보안대상 서버(S)에 로그인을 위한 사용자의 ID와 PW가 설정된 경우, 보안처리모듈(240)은 사용자정보 저장모듈(210)에서 보안대상 서버(S)의 로그인을 위한 제2계정정보를 검색하고, 상기 제2계정정보를 통해 단말기(C)의 OS를 보안대상 서버(S)에 접속시킨다.
결국, 도 7의 프로세스와 같이 보안대상 서버(S)로의 접속 권한이 있는 사용자는 안면인식만으로도 보안에이전트(100)의 로그인과 보안대상 서버(S) 선택 및 보안대상 서버(S) 접속이 일괄해 이루어진다.
보안대상 서버(S)에 접속 이후 보안대상 서버(S)는 단말기(C)에 구성된 웹브라우저를 통해 특정 사이트의 웹페이지가 출력되도록 할 수도 있고, 보안대상 데이터파일을 사용자의 선택에 따라 단말기(C)에 전송해서 단말기(C)에 설치된 특정 애플리케이션에 의해 데이터파일이 실행되도록 할 수도 있다.
S14; 안면정보 수집 단계
보안대상 서버(S) 접속 이후에 상기 데이터파일의 리딩을 위해 특정 애플리케이션의 실행이 이루어지거나 보안대상 서버(S)의 웹페이지가 디스플레이되고 있는 중에, 안면인식모듈(110)은 지정된 시점 또는 지정된 상황 시마다 반복적으로 촬영수단을 제어해서 현재 사용자의 안면을 촬영하고, 촬영이미지를 분석해서 안면 형태에 관한 안면 벡터정보인 고유코드를 생성한다. 또한, 로그인 당시 확인된 식별ID를 상기 고유코드와 셋하여 안면정보로 생성한다. 참고로, 도 8은 보안대상 서버(S)에 대한 접속이 인가된 사용자가 로그인한 후에 다른 인가된 사용자로 변경된 경우를 보인 것이고, 도 9의 프로세스는 보안대상 서버(S)에 대한 접속이 인가된 사용자가 로그인한 후에 다른 미인가된 사용자로 변경된 경우를 보인 것으로, 안면인식모듈(110)은 상기 경우를 지정된 상황으로 인식하고 전술한 바와 같이 촬영수단을 제어해서 다른 사용자의 안면을 촬영한다. 상기 안면정보 생성 및 수집 과정은 로그인 당시의 안면정보 생성 및 수집 과정과 동일하므로, 이에 관한 구체적인 추가 설명은 생략한다.
전술한 바와 같이 안면인식모듈(110)은 수집된 안면정보를 보안 프록시 서버(100)에 발신한다.
또한, 안면인식모듈(110)은 보안대상 서버(S)와의 작업 과정에서 발생하는 작업 트래픽 정보를 안면정보와 더불어 발신하거나, 안면인식모듈(110)의 안면정보 발신과 더불어 사용자상태 감지모듈(130)이 작업 트래픽 정보를 보안대상 서버(S)에 발신할 수 있다. 이 경우에, 사용자상태 감지모듈(130)은 작업 트래픽 정보를 분석 없이 발신할 수도 있으나, 사용자상태 감지모듈(130)이 작업 트래픽 정보를 자체적으로 분석해서 명령어를 확인하고, 상기 명령어가 권한 이외 명령어인 경우 안면인식모듈(110)이 사용자의 안면정보를 수집하도록 제어한 후에 명령어와 더불어 안면정보를 보안 프록시 서버(100)에 발신하도록 할 수도 있다.
S15; 작업 트래픽에 대한 보안정책 확인 단계
상기 안면정보와 더불어 작업 트래픽 정보 또는 명령어를 수신한 보안처리모듈(240)은 보안에이전트(100)로부터 수신한 안면정보와 명령어, 또는 안면정보와 작업 트래픽 정보를 확인하고, 해당 명령어와 관련한 보안정책을 보안정책 저장모듈(220)에서 검색한다. 검색 결과 상기 명령어가 보안정책에 따라 권한 이외 명령어로 확인되면, 보안처리모듈(240)은 중계모듈(160)을 제어해서 해당 보안정책에 따라 보안대상 서버(S)와의 접속을 완전 차단 또는 제한적으로 차단하거나, 권한 이외 명령어로 확인된 명령어의 실행만을 차단한다.
반면 상기 명령어가 권한 이외 명령어가 아니면, 에이전트 보안모듈(260)은 안면정보 확인을 위해 이후 과정을 속행한다.
S16; 안면정보 비교 단계
에이전트 보안모듈(260)은 보안에이전트(100)로부터 수신한 안면정보를 사용자정보 저장모듈(210)에서 검색한다. 전술한 바와 같이 안면이미지는 안면 벡터정보인 고유코드를 구성하므로, 상기 고유코드 비교를 통해 안면이미지의 일치 여부가 확인된다. 또한, 에이전트 보안모듈(260)은 보안에이전트(100)에 로그인한 사용자의 안면정보와 바로 비교해서 안면이미지의 일치 여부를 확인한다.
S17, S17'; 제어 단계
안면정보의 안면이미지와 사용자정보의 안면이미지 비교 결과, 새로 수집한 안면정보와 보안에이전트(100)에 로그인한 사용자의 안면정보가 서로 일치한 것으로 확인되면, 보안처리모듈(240)은 보안대상 서버(S)와 단말기(C) 간의 데이터통신을 유지한다. 또한, 관리자의 설정에 따라 사용자정보의 안면이미지를 안면정보의 안면이미지로 갱신한다. 상기 안면정보의 안면이미지는 가장 최근에 수집한 이미지이므로, 향후에 수집할 안면정보의 안면이미지와 가장 유사할 수 있다. 그러므로 안면이미지 비교의 오류를 최소화하기 위해서 최근에 수집한 안면이미지로 기존 사용자정보의 안면이미지를 갱신하는 것이 바람직하다.
그러나 안면정보의 안면이미지와 사용자정보의 안면이미지 비교 결과 서로 불일치한 것으로 확인되면, 보안처리모듈(240)은 사용자정보 저장모듈(210)에서 검색된 안면정보의 사용자가 보안에이전트(100)에 로그인이 인가된 사용자인지 여부를 확인한다.
도 9와 같이 보안에이전트(100)의 안면인식모듈(110)이 수집한 안면정보가 사용자정보 저장모듈(210)에 미등록되거나 보안에이전트(100) 로그인이 불허된 사용자인 것으로 확인되면, 에이전트 접속모듈(140)은 에이전트 보안모듈(260)의 제어에 의해 도 9와 같은 프로세스에 따라 보안에이전트(100)를 로그아웃하거나, 보안처리모듈(170)이 작업창 제어를 위한 특정 명령어의 실행을 제한하거나 단말기(C)와 보안대상 서버(S) 간의 데이터통신을 제한한다.
S18; 재로그인 단계
한편, 보안에이전트(100)의 안면인식모듈(110)이 수집한 안면정보와의 비교를 위해 사용자정보 저장모듈(210)에서 검색한 안면정보의 사용자가 보안에이전트(100)에 로그인 가능한 사용자인 것으로 확인되면, 보안처리모듈(170)은 현재 데이터통신 중이던 보안대상 서버(S)와의 데이터통신을 차단하고, 에이전트 보안모듈(260)은 사용자정보 저장모듈(210)에서 검색한 안면정보의 제1계정정보를 보안에이전트(100)에 발신한다. 또한, 에이전트 보안모듈(260)은 상기 제1계정정보에 대응하는 접속허용목록을 보안정책 저장모듈에서 검색해서 보안에이전트(100)에 전송한다.
에이전트 접속모듈(140)은 에이전트 보안모듈(260)이 전송한 제1계정정보를 근거로 도 8의 프로세스와 같은 절차에 따라 보안에이전트(100)의 로그인 절차를 진행하는 보안에이전트 로그인 단계(S12)를 후속한다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
C: 단말기 S; 보안대상 서버
100; 보안에이전트 200; 보안 프록시 서버
100; 보안에이전트 200; 보안 프록시 서버
Claims (9)
- 단말기와 보안대상 서버 간의 데이터통신을 중계하며 보안 처리하는 보안 프록시 서버를 갖춘 자동 접속시스템에 있어서,
상기 보안대상 서버에 접속을 시도하는 사용자의 안면정보를 수집해서 보안 프록시 서버에 발신하는 안면인식모듈과, 상기 보안 프록시 서버로부터 수신한 제1계정정보에 따라 보안에이전트에 대한 자동 로그인을 처리하고 보안 프록시 서버로부터 수신한 복수 개의 보안대상 서버에 관한 접속허용목록을 통지하는 에이전트 접속모듈과, 상기 접속허용목록에서 선택된 보안대상 서버에 대한 자동 접속을 위해서 제1계정정보를 보안 프록시 서버에 발신하는 자동접속모듈을 갖추고, 상기 단말기에 설치되는 보안에이전트; 및
사용자의 안면정보와 제1계정정보가 포함된 사용자정보를 저장하는 사용자정보 저장모듈과, 사용자별 상기 제1계정정보에 대응하는 접속허용목록에 관한 보안정책을 저장하는 보안정책 저장모듈과, 상기 안면인식모듈로부터 수신한 안면정보의 안면이미지를 사용자정보의 안면이미지와 비교해서 일치 여부를 확인하고 해당하는 제1계정정보와 접속허용목록을 보안에이전트에 발신하는 에이전트 보안모듈과, 상기 보안에이전트와 보안대상 서버의 데이터통신을 중계하는 중계모듈과, 상기 보안대상 서버에 대한 자동접속모듈의 접속 트래픽과 제1계정정보를 보안정책에 따라 검사해서 보안대상 서버에 대한 중계모듈의 자동 접속과 데이터통신 중계를 제어하는 보안처리모듈을 갖춘 보안 프록시 서버;
를 포함하는 것을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 1 항에 있어서,
상기 사용자정보 저장모듈은, 상기 접속허용목록의 보안대상 서버별 로그인을 위한 사용자의 제2계정정보를 저장하고;
상기 보안처리모듈은, 상기 보안대상 서버에 대한 자동접속모듈의 접속 시도를 확인하면, 상기 보안대상 서버에 제2계정정보를 입력해서 보안대상 서버에 대한 자동 로그인을 처리하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 1 항에 있어서,
상기 안면인식모듈은, 상기 보안대상 서버에 접속이 인가되어 접속 중인 사용자의 안면정보를 지정된 시점 또는 지정된 상황에서 반복해 수집하여 발신하고;
상기 안면인식모듈로부터 수신한 안면정보의 안면이미지와 사용자정보의 안면이미지의 불일치를 확인하면, 상기 에이전트 보안모듈이 보안정책에 따라 에이전트 접속모듈을 통해 보안에이전트를 강제 로그아웃하거나, 상기 보안처리모듈이 보안정책에 따라 중계모듈의 데이터통신 중계를 강제 종료하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 3 항에 있어서,
상기 에이전트 접속모듈을 통한 보안에이전트의 강제 로그아웃 이후, 상기 에이전트 보안모듈이 안면인식모듈로부터 수신한 안면정보와 일치하는 사용자정보의 안면이미지를 확인하면, 해당하는 제1계정정보와 접속허용목록을 보안에이전트에 발신하고;
상기 자동접속모듈에 의한 제1계정정보 발신과, 상기 보안처리모듈에 의한 제1계정정보 및 접속 트래픽 검사에 따른 데이터통신 중계 제어를 각각 후속으로 진행하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 3 항에 있어서,
상기 에이전트 보안모듈이 안면인식모듈로부터 수신한 안면정보의 안면이미지와 사용자정보의 안면이미지의 불일치를 확인하였으나, 상기 사용자정보의 안면이미지에 대응하는 다른 제1계정정보의 존재를 확인하면, 상기 에이전트 보안모듈은 보안에이전트 로그인을 위한 다른 제1계정정보를 보안에이전트에 전송하고;
상기 에이전트 접속모듈은 보안에이전트의 강제 로그아웃 이후, 새로 수신한 다른 제1계정정보에 따라 보안에이전트에 대한 자동 로그인을 처리하하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 1 항 또는 제 3 항에 있어서, 상기 보안에이전트는,
상기 보안대상 서버와의 데이터통신 상황을 출력하는 통지모듈;을 더 포함하는 것을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 3 항에 있어서,
상기 보안에이전트는, 상기 보안대상 서버에 접속이 인가되어 접속 중인 사용자의 상태 변화를 감지해서 안면인식모듈이 사용자의 안면정보를 수집하도록 신호를 전달하는 사용상태 감지모듈을 더 포함하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 3 항에 있어서, 상기 보안에이전트는,
상기 보안대상 서버에 접속 중인 사용자의 명령어가 사용자의 보안정책에 근거해서 권한 이외 명령어인 것으로 확인되면, 상기 안면인식모듈이 사용자의 안면정보를 수집하도록 신호를 전달하는 사용상태 감지모듈을 더 포함하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템. - 제 1 항에 있어서, 상기 보안처리모듈은,
상기 안면인식모듈로부터 수신한 안면정보의 안면이미지와 사용자정보의 안면이미지가 일치한 것으로 확인되면, 상기 사용자정보 저장모듈에 저장된 사용자정보의 안면이미지를 안면정보의 안면이미지로 갱신하는 것;
을 특징으로 하는 자동 안면인식을 통한 서버 자동 접속시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220118581A KR102483979B1 (ko) | 2022-09-20 | 2022-09-20 | 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220118581A KR102483979B1 (ko) | 2022-09-20 | 2022-09-20 | 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102483979B1 true KR102483979B1 (ko) | 2023-01-03 |
Family
ID=84924480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220118581A KR102483979B1 (ko) | 2022-09-20 | 2022-09-20 | 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102483979B1 (ko) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015061086A (ja) * | 2013-09-17 | 2015-03-30 | 株式会社リコー | 伝送端末及びプログラム |
| KR101537564B1 (ko) * | 2014-05-20 | 2015-07-20 | (주)지플러스 | 생체인식 중계 인증 시스템 및 그 방법 |
| KR102188775B1 (ko) * | 2020-03-11 | 2020-12-08 | 주식회사 모피어스시큐리티 | 안면 인식을 사용한 클라이언트 단말 원격 제어 방법 및 시스템, 및 안면 인식 단말 |
| KR20210004319A (ko) | 2019-07-04 | 2021-01-13 | (주)드림시큐리티 | 안면 인식을 사용하여 인증을 수행하는 방법, 장치 및 시스템 |
| KR102208139B1 (ko) * | 2019-08-19 | 2021-01-27 | 엔트롤 주식회사 | 생체인식장치와 클라우드 서버 연결 승인시스템 및 방법 |
-
2022
- 2022-09-20 KR KR1020220118581A patent/KR102483979B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015061086A (ja) * | 2013-09-17 | 2015-03-30 | 株式会社リコー | 伝送端末及びプログラム |
| KR101537564B1 (ko) * | 2014-05-20 | 2015-07-20 | (주)지플러스 | 생체인식 중계 인증 시스템 및 그 방법 |
| KR20210004319A (ko) | 2019-07-04 | 2021-01-13 | (주)드림시큐리티 | 안면 인식을 사용하여 인증을 수행하는 방법, 장치 및 시스템 |
| KR102208139B1 (ko) * | 2019-08-19 | 2021-01-27 | 엔트롤 주식회사 | 생체인식장치와 클라우드 서버 연결 승인시스템 및 방법 |
| KR102188775B1 (ko) * | 2020-03-11 | 2020-12-08 | 주식회사 모피어스시큐리티 | 안면 인식을 사용한 클라이언트 단말 원격 제어 방법 및 시스템, 및 안면 인식 단말 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11341475B2 (en) | System and method of notifying mobile devices to complete transactions after additional agent verification | |
| US10249114B2 (en) | System and method for access control using context-based proof | |
| US10440028B1 (en) | Distributed authorization of identities in a dynamic connected environment | |
| JP6426189B2 (ja) | 生体認証プロトコル標準のためのシステムおよび方法 | |
| US11277398B2 (en) | System and methods for performing distributed authentication using a bridge computer system | |
| US20040083394A1 (en) | Dynamic user authentication | |
| US20070136603A1 (en) | Method and apparatus for providing secure access control for protected information | |
| US20070186106A1 (en) | Systems and methods for multi-factor authentication | |
| US20080098461A1 (en) | Controlling access to a protected network | |
| US20180351956A1 (en) | Integrated biometrics for application security | |
| KR20170041657A (ko) | 상이한 채널들을 통해 강한 인증 이벤트를 운반하기 위한 시스템 및 방법 | |
| AU2005307724A2 (en) | Methods and systems for use in biomeiric authentication and/or identification | |
| WO2013025599A2 (en) | Apparatus and method for handling transaction tokens | |
| WO2013025592A1 (en) | Method and apparatus for token-based conditioning | |
| WO2013025586A2 (en) | Apparatus and method for performing session validation | |
| Gordon et al. | The Official (ISC) 2 guide to the SSCP CBK | |
| US20220321364A1 (en) | System and Method to Facilitate an Account Protection Check Through Blockchain | |
| KR102118380B1 (ko) | 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템 | |
| KR102483979B1 (ko) | 자동 안면인식을 통한 서버 자동 접속시스템과 접속방법 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| KR102504284B1 (ko) | 서버 사용자의 안면인식을 통해 서버 접속과 명령어 실행을 통제하는 보안시스템과 보안방법 | |
| KR102483980B1 (ko) | 보안 정책 위반 행위자의 안면정보를 기록 및 추적해 관리하는 보안관리 시스템과 방법 | |
| JP2006163715A (ja) | ユーザ認証システム | |
| JP2005165418A (ja) | ログイン認証システム。 | |
| US10412097B1 (en) | Method and system for providing distributed authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |