KR102611045B1 - Various trust factor based access control system - Google Patents
Various trust factor based access control system Download PDFInfo
- Publication number
- KR102611045B1 KR102611045B1 KR1020210159106A KR20210159106A KR102611045B1 KR 102611045 B1 KR102611045 B1 KR 102611045B1 KR 1020210159106 A KR1020210159106 A KR 1020210159106A KR 20210159106 A KR20210159106 A KR 20210159106A KR 102611045 B1 KR102611045 B1 KR 102611045B1
- Authority
- KR
- South Korea
- Prior art keywords
- face
- trust
- terminal
- user
- access
- Prior art date
Links
- 238000011156 evaluation Methods 0.000 claims abstract description 38
- 238000007689 inspection Methods 0.000 claims description 11
- 239000003795 chemical substances by application Substances 0.000 claims description 9
- 229960005486 vaccine Drugs 0.000 claims description 9
- 239000003973 paint Substances 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 5
- 208000015181 infectious disease Diseases 0.000 claims description 2
- 238000007639 printing Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 12
- 238000013475 authorization Methods 0.000 abstract description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000000875 corresponding effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
본 발명은, 단말 관련 정보를 수집하는 제1 신뢰평가지표 관리부(110)와, 사용자 관련 정보를 수집하는 제2 신뢰평가지표 관리부(120)와, 신뢰 및 보안 관련 정보를 수집하는 제3 신뢰평가지표 관리부(130)와, 통합 신뢰 점수를 산출하는 다중 신뢰도 평가부(140)와, 비대면 서비스 포털 서버(200)로의 접근 허용 여부를 판별하는 접근 제어 엔진부(150)와, 접근 요청을 전달받고 접근 허용 여부를 전달하는 신뢰 기반 인증 제어부(160)를 포함하여, 사용자 보안 등급과 단말 신뢰 점수와 네트워크 접근 방식과 접근하려는 비대면 서비스/시스템의 보안 등급의 다양한 정보에 대한 유기적인 신뢰도를 판단하여 인가 여부를 결정할 수 있는, 다중 신뢰도 기반 접근통제 시스템을 개시한다.The present invention includes a first trust evaluation index management unit 110 that collects terminal-related information, a second trust evaluation index management unit 120 that collects user-related information, and a third trust evaluation index that collects trust and security-related information. An indicator management unit 130, a multiple reliability evaluation unit 140 that calculates an integrated trust score, an access control engine unit 150 that determines whether access to the non-face-to-face service portal server 200 is permitted, and an access request is transmitted. Including the trust-based authentication control unit 160, which receives and transmits whether access is permitted, determines the organic reliability of various information such as user security level, terminal trust score, network access method, and security level of non-face-to-face service/system to be accessed. A multi-reliability-based access control system that can determine authorization is disclosed.
Description
본 발명은 사용자 보안 등급, 단말 신뢰 점수, 네트워크 접속 방식, 접근하려는 비대면 서비스/시스템의 보안 등급 등 다양한 정보들에 대한 유기적인 신뢰도를 판단하여 인가 여부를 결정하도록 할 수 있는, 다중 신뢰도 기반 접근통제 시스템에 관한 것이다.The present invention is a multiple reliability-based approach that can determine whether or not to authorize by determining the organic reliability of various information such as user security level, terminal trust score, network connection method, and security level of the non-face-to-face service/system to be accessed. It's about control systems.
주지하는 바와 같이, 사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다.As is well known, cyber attacks are carried out systematically and intelligently, and in particular, APT (Advanced Persistent Threat) is a method in which hacking organizations secretly and continuously carry out intelligent attacks against specific attack targets for economic purposes. (Continuous threat) attacks are rapidly increasing and are becoming a major social problem.
특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.In particular, APT attacks occur when a hacker or hacking organization infiltrates malicious code into the target organization in order to illegally extort important information from the organization, and then infects the host of the person with access to important information with malicious code through continuous malicious code updates. , It is an attack method that leaks important information.
또한, 공공장소의 컴퓨터, PC방 컴퓨터 등 불특정 다수가 사용하는 컴퓨터는 언제든지 바이러스, 웜, 애드웨어 등에 쉽게 노출될 수 있고, 통신 네트워크에 연결된 컴퓨터의 경우 해커들의 표적이 될 수 있다.In addition, computers used by an unspecified number of people, such as computers in public places and PC rooms, can be easily exposed to viruses, worms, and adware at any time, and computers connected to communication networks can be targets of hackers.
한편, 다양한 보안 H/W와 S/W를 통하여 서버들의 보안 수준을 개선시키는 추세이지만, 각각의 개별 PC 수준에서의 보안은 서버에 비하여 취약한 부분이 다수 존재한다.Meanwhile, there is a trend to improve the security level of servers through various security H/W and S/W, but security at the level of each individual PC has many vulnerabilities compared to servers.
이러한 취약점들은 전체 보안에 있어서 잠재적 위협이 될 가능성이 있지만, 이를 개선하기 위해서 보안 관리자들은 사용자들에게 다양한 방법으로 취약점 제거 방안을 제안하고 있지만, 실제로 이러한 취약점 제거가 개별 PC에서 제대로 처리되었는지를 확인하기는 쉽지가 않아 잠재적으로 보안상에 많은 문제점이 노출되었다.These vulnerabilities have the potential to be a potential threat to overall security, but in order to improve this, security administrators are suggesting various ways to users to remove vulnerabilities. It was not easy, and many potential security problems were exposed.
또한, 단편적이고 정해진 권한 및 정책 설정에 의한 통제가 이루어지며, 접근 허용 여부를 판단하기 위한 정보들에 대한 개별적인 설정에 따른 판단이 이루어지고, 접근을 위해 입력된 정보의 신뢰도를 파악하기 쉽지 않은 문제점이 있다.In addition, control is carried out through fragmented and determined authority and policy settings, judgment is made based on individual settings for information to determine whether access is permitted, and the problem is that it is not easy to determine the reliability of the information entered for access. There is.
본 발명의 사상이 이루고자 하는 기술적 과제는, 전통적인 접근제어 시스템에 추가적으로 사용자 보안 등급, 단말 신뢰 점수, 네트워크 접속 방식, 접근하려는 비대면 서비스/시스템의 보안 등급 등 다양한 정보들에 대한 유기적인 신뢰도를 판단하여 인가 여부를 결정하도록 하고, 단말의 취약점 정보를 블록체인 기반의 저장소에 저장하여 최신 정보 상태 및 이력의 무결성을 확보하여서 수집되어 입력된 정보의 불법적인 조작에 의한 무결성 훼손을 방지할 수 있는, 다중 신뢰도 기반 접근통제 시스템을 제공하는 데 있다.The technical task to be achieved by the idea of the present invention is to determine the organic reliability of various information such as user security level, terminal trust score, network connection method, and security level of the non-face-to-face service/system to be accessed, in addition to the traditional access control system. to determine whether to grant authorization, and to store the vulnerability information of the terminal in a blockchain-based storage to secure the integrity of the latest information status and history, thereby preventing damage to the integrity of the collected and entered information by illegal manipulation. The goal is to provide a multi-reliability-based access control system.
전술한 목적을 달성하고자, 본 발명의 실시예는, 단말 식별자와 단말 사용자 맵핑정보와 단말 부가 정보의 단말 인벤토리를 수집하는 제1 신뢰평가지표 관리부; 사용자 ID와 인증정보와 사용자 직무 유형 정보와 사용자 부가 정보의 사용자 정보를 수집하는 제2 신뢰평가지표 관리부; 사용자 신뢰등급과 접근 액션 정보와 접근 액션별 보안등급과 접속 네트워크관련 보안 등급과 신뢰점수 추론 가중치 설정의 보안 정책을 수집하는 제3 신뢰평가지표 관리부; 상기 제1 신뢰평가지표 관리부 내지 상기 제3 신뢰평가지표 관리부로부터의 상기 단말 인벤토리와 상기 사용자 정보와 상기 보안 정책을 각각 평가하여서, 단말 신뢰점수와 사용자 신뢰등급과 업무 보안등급 및 접속 네트워크 보안등급을 평가하여 통합 신뢰 점수를 산출하는, 다중 신뢰도 평가부; 상기 통합 신뢰 점수에 따라, 접속 네트워크 환경 기반의 비대면 서비스 포털 서버를 통한 비대면 서비스 및 비대면 시스템으로의 접근 허용 여부를 판별하는, 접근 제어 엔진부; 및 상기 비대면 서비스 포털 서버로의 사용자 단말의 접근 요청을 전달받고, 상기 비대면 서비스 포털 서버로 상기 접근 허용 여부를 전달하는, 신뢰 기반 인증 제어부;를 포함하는, 다중 신뢰도 기반 접근통제 시스템을 제공한다.In order to achieve the above-described object, an embodiment of the present invention includes a first trust evaluation index management unit that collects a terminal inventory of terminal identifier, terminal user mapping information, and terminal additional information; a second trust evaluation index management unit that collects user information including user ID, authentication information, user job type information, and user additional information; A third trust evaluation index management unit that collects user trust level and access action information, security level by access action, access network-related security level, and security policy of trust score inference weight setting; By evaluating the terminal inventory, the user information, and the security policy from the first trust evaluation index management unit or the third trust evaluation indicator management unit, the terminal trust score, user trust level, business security level, and access network security level are determined. a multiple reliability evaluation unit that evaluates and calculates an integrated trust score; an access control engine unit that determines whether to allow access to non-face-to-face services and non-face-to-face systems through a non-face-to-face service portal server based on the access network environment, according to the integrated trust score; and a trust-based authentication control unit that receives an access request from a user terminal to the non-face-to-face service portal server and transmits whether the access is permitted to the non-face-to-face service portal server. do.
여기서, 상기 신뢰 기반 인증 제어부가 상기 비대면 서비스 포털 서버로부터 사용자 ID 및 상기 단말 식별자에 의한 접속 네트워크 환경 기반 접근 요청을 전달받으면, 상기 비대면 서비스 포털 서버는 상기 신뢰 기반 인증 제어부로부터 상기 통합 신뢰점수 및 상기 접근 허용 여부를 전달받을 수 있다.Here, when the trust-based authentication control unit receives an access request based on a connection network environment by the user ID and the terminal identifier from the non-face-to-face service portal server, the non-face-to-face service portal server receives the integrated trust score from the trust-based authentication control unit. And you can receive notification of whether the access is permitted.
또한, 상기 사용자 단말에는 취약점 점검 에이전트가 설치되고, 상기 취약점 점검 에이전트는 주기적으로 상기 사용자 단말의 취약점 점검을 수행하고, 점검 결과를 블록체인 기반의 단말 취약점 이력 관리 시스템에 업로드하고, 상기 단말 취약점 이력 관리 시스템은 업데이트된 단말 취약점 점검 내역에 따른 최신 단말 보안 상태 정보를 상기 단말 인벤토리로 전달할 수 있다.In addition, a vulnerability check agent is installed on the user terminal, and the vulnerability check agent periodically performs a vulnerability check of the user terminal, uploads the check results to a blockchain-based terminal vulnerability history management system, and records the terminal vulnerability history. The management system can transmit the latest terminal security status information according to the updated terminal vulnerability inspection history to the terminal inventory.
또한, 상기 취약점 점검 에이전트는 상기 사용자 단말의 상기 비대면 서비스 포털 서버로의 접근시에 부가 정보를 상기 비대면 서비스 포털 서버로 전달할 수 있다.Additionally, the vulnerability check agent may transmit additional information to the non-face-to-face service portal server when the user terminal accesses the non-face-to-face service portal server.
또한, 상기 다중 신뢰도 평가부는, 상기 단말 인벤토리와 상기 사용자 정보와 상기 보안 정책의 접근 연결 정보 및 상기 최신 단말 보안 상태 정보를 기초로 하여 접근 액션 요청에 대한 신뢰도를 100점 만점 기준으로 상기 통합 신뢰 점수를 산출할 수 있다.In addition, the multi-trust evaluation unit determines the integrated trust score based on the reliability of the access action request out of 100 based on the terminal inventory, the user information, the access connection information of the security policy, and the latest terminal security status information. can be calculated.
또한, 상기 다중 신뢰도 평가부는, 사용자 유형별로 차등 부여되어 설정된 사용자 정보 DB로부터 상기 사용자 ID에 해당하는 100점 만점 기준 사용자 신뢰 점수를 가져오고, 상기 사용자 단말의 상기 단말 취약점 점검 내역의 점검 항목별로 부여받은 100점 만점 기준 단말 신뢰 점수를 가져오고, 접근중인 네트워크 상태에 따른 100점 만점 기준 네트워크 신뢰 점수를 가져오고, 상기 사용자 신뢰점수와 상기 단말 신뢰 점수와 상기 네트워크 신뢰 점수에, 총합이 1.0이 되도록 0.1 내지 1.0 사이의 가중치를 각각 부여하고 합산하여, 상기 통합 신뢰 점수를 산출할 수 있다.In addition, the multiple trust evaluation unit retrieves a user trust score based on a 100-point scale corresponding to the user ID from the user information DB set by differentially assigning it to each user type, and assigns it to each check item of the terminal vulnerability check history of the user terminal. Get the received terminal trust score out of 100, take the network trust score out of 100 according to the network status being accessed, and make the total of the user trust score, the terminal trust score, and the network trust score equal to 1.0. The integrated trust score can be calculated by assigning weights between 0.1 and 1.0 and adding them up.
또한, 상기 접근 제어 엔진부는, 상기 통합 신뢰 점수와 상기 접근 액션의 보안 등급에 대한 최소 요구 신뢰 점수를 비교하여 상기 접근 허용 여부를 판단할 수 있다.Additionally, the access control engine unit may compare the integrated trust score with a minimum required trust score for the security level of the access action to determine whether the access is permitted.
또한, 상기 비대면 서비스 및 상기 비대면 시스템은 화상서비스, 면접서비스, 회의서비스 또는 재택근무서비스를 제공하는 서버일 수 있다.Additionally, the non-face-to-face service and the non-face-to-face system may be servers that provide video services, interview services, conference services, or work-from-home services.
또한, 상기 신뢰 기반 인증 제어부는 상기 비대면 서비스 포털 서버를 통한 비대면 서비스 및 비대면 시스템으로의 상기 사용자 단말의 접근 및 액션 요청을 API를 통해 전달받을 수 있다.Additionally, the trust-based authentication control unit may receive access and action requests of the user terminal to non-face-to-face services and non-face-to-face systems through the non-face-to-face service portal server through API.
또한, 상기 취약점 점검의 항목은 사용자 계정의 비밀번호 설정 여부와 비밀번호의 복잡도와 백신 설치 여부와 백신 실시간 탐지 기능 활성화 여부이고, 상기 네트워크 상태는 접속하는 회사 내부망과 일반 홈 네트워크와 외부 공개 와이파이망일 수 있다.In addition, the vulnerability check items include whether the user account password is set, the complexity of the password, whether a vaccine is installed, and whether the real-time vaccine detection function is activated, and the network status can be the connected company's internal network, general home network, and external public Wi-Fi network. there is.
본 발명에 의하면, 정적으로 미리 설정된 정책에 따른 접근통제 방식의 한계를 넘어서, 유동적으로 변경되는 사용자, 단말, 접속 환경 등의 보안 상황에 실시간 대응 가능한 접속 통제가 가능한 효과가 있다.According to the present invention, it is possible to overcome the limitations of access control methods based on statically preset policies and to enable access control that can respond in real time to security situations such as dynamically changing users, terminals, and access environments.
또한, 접속하고자 하는 단말의 보안 상태를 블록체인과 같은 조작 불가능한 저장소에 저장하고 실시간 연동을 통하여 접근 요청 데이터의 악의적인 변경을 통한 접근 시도를 원천적으로 방지할 수 있는 효과가 있다.In addition, the security status of the terminal to be accessed is stored in an tamper-proof storage such as a blockchain, and real-time linking has the effect of fundamentally preventing access attempts through malicious modification of access request data.
더 나아가, 보안 기술의 발전에 따른 추가적인 신뢰 판단 요소를 쉽게 병합할 수 있으며 동일한 방식으로 접근 요청에 대해 보다 세밀한 신뢰 판단 및 인가 여부를 제공할 수 있는 효과가 있다.Furthermore, additional trust judgment elements according to the development of security technology can be easily incorporated, and in the same way, there is an effect of providing more detailed trust judgment and authorization for access requests.
도 1은 본 발명의 실시예에 의한 다중 신뢰도 기반 접근통제 시스템의 구성도를 도시한 것이다.
도 2는 도 1의 다중 신뢰도 기반 접근통제 시스템에 의해 구현된 다중 신뢰도 기반 접근통제 방법을 도시한 것이다.
도 3은 도 1의 다중 신뢰도 기반 접근통제 시스템의 접근 액션에 따른 보안등급을 예시한 것이다.
도 4는 도 1의 다중 신뢰도 기반 접근통제 시스템의 사용자 유형별 신뢰등급 설정을 예시한 것이다.
도 5는 도 1의 다중 신뢰도 기반 접근통제 시스템의 단말-사용자 맵핑 화면을 예시한 것이다.
도 6은 도 1의 다중 신뢰도 기반 접근통제 시스템의 보안정책 설정 화면을 예시한 것이다.
도 7은 도 1의 다중 신뢰도 기반 접근통제 시스템의 단말의 취약점 점검 이력 모니터링 화면을 예시한 것이다.Figure 1 shows the configuration of a multi-reliability-based access control system according to an embodiment of the present invention.
FIG. 2 illustrates a multiple reliability-based access control method implemented by the multiple reliability-based access control system of FIG. 1.
FIG. 3 illustrates security levels according to access actions of the multiple trust-based access control system of FIG. 1.
FIG. 4 illustrates trust level settings for each user type in the multiple trust-based access control system of FIG. 1.
Figure 5 illustrates a terminal-user mapping screen of the multi-trust based access control system of Figure 1.
Figure 6 illustrates the security policy setting screen of the multi-trust based access control system of Figure 1.
FIG. 7 illustrates a screen for monitoring the vulnerability check history of a terminal of the multiple reliability-based access control system of FIG. 1.
이하, 첨부된 도면을 참조로 전술한 특징을 갖는 본 발명의 실시예를 더욱 상세히 설명하고자 한다.Hereinafter, embodiments of the present invention having the above-described features will be described in more detail with reference to the attached drawings.
본 발명의 실시예에 의한 다중 신뢰도 기반 접근통제 시스템은, 단말 관련 정보를 수집하는 제1 신뢰평가지표 관리부(110)와, 사용자 관련 정보를 수집하는 제2 신뢰평가지표 관리부(120)와, 신뢰 및 보안 관련 정보를 수집하는 제3 신뢰평가지표 관리부(130)와, 통합 신뢰 점수를 산출하는 다중 신뢰도 평가부(140)와, 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근 허용 여부를 판별하는 접근 제어 엔진부(150)와, 접근 요청을 전달받고 접근 허용 여부를 전달하는 신뢰 기반 인증 제어부(160)를 포함하여, 사용자 보안 등급과 단말 신뢰 점수와 네트워크 접근 방식과 접근하려는 비대면 서비스/시스템의 보안 등급의 다양한 정보에 대한 유기적인 신뢰도를 판단하여 인가 여부를 결정하는 것을 요지로 한다.The multiple reliability-based access control system according to an embodiment of the present invention includes a first trust evaluation index management unit 110 that collects terminal-related information, a second trust evaluation index management unit 120 that collects user-related information, and trust and a third trust evaluation index management unit 130 that collects security-related information, a multi-trust evaluation unit 140 that calculates an integrated trust score, and a non-face-to-face service and non-face-to-face system through a non-face-to-face service portal server 200. Including an access control engine unit 150 that determines whether access is permitted, and a trust-based authentication control unit 160 that receives an access request and communicates whether access is permitted, user security level, terminal trust score, and network access method. The point is to determine whether or not to authorize by judging the organic reliability of various information on the security level of the non-face-to-face service/system to be accessed.
이하, 도 1 및 도 2를 참조하여, 전술한 구성의 다중 신뢰도 기반 접근통제 시스템을 구체적으로 상술하면 다음과 같다.Hereinafter, with reference to FIGS. 1 and 2, the multi-reliability-based access control system of the above-described configuration will be described in detail as follows.
우선, 제1 신뢰평가지표 관리부(110)는 단말 관련 정보를 수집하여 관리하는데, 구체적으로, 단말 식별자(fingerprint)와 단말 사용자 맵핑정보와 단말 부가 정보의 단말 인벤토리를 수집하여 관리한다.First, the first trust evaluation index management unit 110 collects and manages terminal-related information. Specifically, it collects and manages terminal inventory of terminal identifier (fingerprint), terminal user mapping information, and terminal additional information.
여기서, 단말 사용자 맵핑정보는, 도 5에 예시된 바와 같이, 단말별로 할당되어 맵핑된 사용자 정보를 의미한다.Here, terminal user mapping information refers to user information allocated and mapped to each terminal, as illustrated in FIG. 5.
다음, 제2 신뢰평가지표 관리부(120)는 사용자 관련 정보를 수집하여 관리하는데, 구체적으로, 사용자 ID와 인증정보와 사용자 직무 유형 정보와 사용자 부가 정보의 사용자 정보를 수집하여 관리한다.Next, the second trust evaluation index management unit 120 collects and manages user-related information. Specifically, it collects and manages user information including user ID, authentication information, user job type information, and user additional information.
다음, 제3 신뢰평가지표 관리부(130)는 신뢰 및 보안 관련 정보를 수집하여 관리하는데, 구체적으로, 사용자 (유형별) 신뢰등급(도 4 참조)과 접근 액션(업무) 정보와 접근 액션(업무)별 보안등급과 접속 네트워크관련 보안 등급과 신뢰점수 추론 가중치 설정의 보안 정책을 수집하여 관리한다.Next, the third trust evaluation indicator management unit 130 collects and manages trust and security-related information, specifically, user (by type) trust level (see FIG. 4), access action (task) information, and access action (task). Collects and manages security policies for star security levels, access network-related security levels, and trust score inference weight settings.
여기서, 도 3에 예시된 바와 같이, 접근 액션은 그림판 인쇄, 그림판 저장, 그림판 판서, 녹화, 문서 업로드, 미디어 업로드, 서비스 개설, 서비스 참여, 쪽지보내기, 채팅, 화상서비스 접속, 회의서비스 접속, 회의서비스에서의 파일 업로드, 마이크 켜기, 회의방 개설 등 미리 설정된 사용자의 액션을 의미하고, 해당 액션은 미리 설정되어 등록되고, 각각에 대해서 개별적인 액션 코드 및 보안등급이 설정될 수 있다.Here, as illustrated in Figure 3, the access actions include Paint printing, Paint saving, Paint writing, recording, document upload, media upload, service opening, service participation, sending a message, chatting, video service access, conference service access, and meeting. It refers to preset user actions such as uploading a file in the service, turning on the microphone, or opening a conference room. The corresponding actions are preset and registered, and individual action codes and security levels can be set for each.
또한, 도 6은 보안정책 설정 화면을 예시한 것으로, 설정된 액션 등급에 대한 최소 요구 신뢰 점수 설정과, 사용자 신뢰 등급에 대한 신뢰 점수 설정과, 사용자 단말(300)과 사용자 신뢰 점수에 대한 가중치 설정을 예시한 것이다.In addition, Figure 6 illustrates a security policy setting screen, setting the minimum required trust score for the set action level, setting the trust score for the user trust level, and setting the weight for the user terminal 300 and the user trust score. This is an example.
다음, 다중 신뢰도 평가부(140)는, 제1 신뢰평가지표 관리부(110) 내지 제3 신뢰평가지표 관리부(130)로부터의 단말 인벤토리와 사용자 정보와 보안 정책의 다중 신뢰평가지표를 수집하고 각각 평가하여서, 단말 신뢰점수와, 사용자 신뢰등급과, 업무 보안등급 및 접속 네트워크 보안등급을 평가하여 통합 신뢰 점수를 산출한다.Next, the multiple trust evaluation unit 140 collects and evaluates multiple trust evaluation indicators of the terminal inventory, user information, and security policy from the first trust evaluation indicator management unit 110 to the third trust evaluation indicator management unit 130. Therefore, an integrated trust score is calculated by evaluating the terminal trust score, user trust level, business security level, and access network security level.
즉, 다중 신뢰도 평가부(140)는, 단말 인벤토리와 사용자 정보와 보안 정책의 접근 연결 정보, 및 단말 취약점 이력 관리 시스템(400)의 최신 단말 보안 상태 정보를 기초로 하여서, 사용자 단말(300)의 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근 액션 요청에 대한 신뢰도를 100점 만점 기준으로 통합 신뢰 점수를 산출할 수 있다.That is, the multi-trust evaluation unit 140 determines the status of the user terminal 300 based on the terminal inventory, access linkage information of user information and security policy, and the latest terminal security status information of the terminal vulnerability history management system 400. An integrated trust score can be calculated based on the reliability of requests for access actions to non-face-to-face services and non-face-to-face systems through the non-face-to-face service portal server 200 on a 100-point scale.
여기서, 단말 취약점 이력 관리 시스템(400)은 접근 요청된 단말 식별자의 사용자 단말(300)에 대한 단말 취약점을 요청받으면, 최신 단말 취약점 점검 내역을 신뢰 기반 인증 제어부(160)로 전달할 수 있다.Here, when the terminal vulnerability history management system 400 receives a request for terminal vulnerabilities for the user terminal 300 of the terminal identifier for which access has been requested, the terminal vulnerability history management system 400 may transmit the latest terminal vulnerability check details to the trust-based authentication control unit 160.
구체적으로, 다중 신뢰도 평가부(140)는, 관리자, 일반 회원, 게스트 등의 사용자 유형별로 차등 부여되어 설정된 사용자 정보 DB로부터 사용자 ID에 해당하는 100점 만점 기준 사용자 신뢰 점수를 가져오고, 단말 취약점 이력 관리 시스템(400)에서의 사용자 단말(300)의 단말 취약점 점검 내역의 점검 항목별로 부여받은 100점 만점 기준 단말 신뢰 점수를 가져오고, 접근중인 네트워크 상태에 따른 100점 만점 기준 네트워크 신뢰 점수를 가져오고, 사용자 신뢰점수와 단말 신뢰 점수와 네트워크 신뢰 점수에, 총합이 1.0이 되도록 0.1 내지 1.0 사이의 가중치를 각각 부여하고 합산하여서, 최종적으로 통합 신뢰 점수를 산출할 수 있다.Specifically, the multi-trust evaluation unit 140 retrieves the user trust score based on a 100-point scale corresponding to the user ID from the user information DB set differentially by user type such as administrator, general member, and guest, and calculates the terminal vulnerability history. Retrieves the terminal trust score based on 100 points given for each inspection item of the terminal vulnerability inspection details of the user terminal 300 in the management system 400, and retrieves the network trust score based on 100 points based on the network status being accessed. , the user trust score, terminal trust score, and network trust score can each be weighted between 0.1 and 1.0 so that the total is 1.0, and then added together to calculate the final integrated trust score.
예컨대, 점검 항목은 사용자 계정의 비밀번호 설정 여부와, 비밀번호의 복잡도와, 백신 설치 여부와, 백신 실시간 탐지 기능 활성화 여부일 수 있고, 네트워크 상태는 접속하는 회사 내부망과, 일반 홈 네트워크와, 커피숍과 같은 외부 공개 와이파이망일 수 있다.For example, inspection items may include whether or not a password is set for the user account, the complexity of the password, whether a vaccine is installed, and whether the real-time anti-virus detection function is activated, and the network status may include the connected company's internal network, general home network, and coffee shop. It may be an external public Wi-Fi network such as .
한편, 사용자 단말(300)에는 능동형 취약점 점검 에이전트가 설치되고, 취약점 점검 에이전트는 주기적으로 사용자 단말(300)의 취약점 점검을 수행하고, 점검 결과를 블록체인 기반의 단말 취약점 이력 관리 시스템(400)에 업로드하고, 단말 취약점 이력 관리 시스템(400)은 최신 업데이트된 단말 취약점 점검 내역에 따른 최신 단말 보안 상태 정보를 제1 신뢰평가지표 관리부(110)의 단말 인벤토리로 전달하여서, 최신 정보 상태 및 이력의 무결성을 확보하여 입력된 정보의 불법적인 조작에 의한 무결성 훼손을 원천적으로 방지할 수 있다.Meanwhile, an active vulnerability check agent is installed on the user terminal 300, and the vulnerability check agent periodically performs a vulnerability check of the user terminal 300 and sends the check results to the blockchain-based terminal vulnerability history management system 400. Upload, and the terminal vulnerability history management system 400 transmits the latest terminal security status information according to the latest updated terminal vulnerability inspection history to the terminal inventory of the first trust evaluation index management unit 110, thereby ensuring the integrity of the latest information status and history. It is possible to fundamentally prevent damage to the integrity of input information by illegal manipulation.
또한, 취약점 점검 에이전트는 보안상태 점검, 바이러스 및 악성코드 스캔 등의 취약점 점검을 수행하며, 점검 결과를 단말 취약점 이력 관리 시스템(400)에 업로드하여 저장하고, 사용자 단말(300)의 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근시에 단말 ID, 접속 네트워크 환경 등의 부가 정보를 비대면 서비스 포털 서버(200)로 전달할 수 있다.In addition, the vulnerability inspection agent performs vulnerability inspections such as security status inspection, virus and malicious code scanning, and uploads and stores the inspection results to the terminal vulnerability history management system 400 and the non-face-to-face service portal of the user terminal 300. When accessing a non-face-to-face service or a non-face-to-face system through the server 200, additional information such as terminal ID and connection network environment can be transmitted to the non-face-to-face service portal server 200.
또한, 단말 보안 상태 정보는 악성코드 감염 여부, 계정 관리에 대한 보안 상태, 보안 업데이트 현황, 백신 설치 여부 등의 보안 관리 상태, 해킹 방지를 위한 시스템 상태 등 다양한 항목의 사용자 단말 보안 환경 정보이다.In addition, the terminal security status information is user terminal security environment information of various items such as whether there is a malicious code infection, security status for account management, security update status, security management status such as whether a vaccine is installed, and system status to prevent hacking.
또한, 단말 취약점 이력 관리 시스템(400)은, 도 7에 예시된 바와 같이, 사용자 단말(300)별 취약점 점검 이력과 단말 신뢰 점수를 모니터링할 수 있다.Additionally, the terminal vulnerability history management system 400 can monitor the vulnerability check history and terminal trust score for each user terminal 300, as illustrated in FIG. 7 .
다음, 접근 제어 엔진부(150)는, 앞서 산출된 통합 신뢰 점수에 따라, 접속 네트워크 환경 기반의 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근 허용(인가) 여부를 판별한다.Next, the access control engine unit 150 determines whether to allow (authorize) access to the non-face-to-face service and non-face-to-face system through the non-face-to-face service portal server 200 based on the access network environment, according to the integrated trust score calculated previously. Determine.
즉, 접근 제어 엔진부(150)는, 앞서 산출된 통합 신뢰 점수와 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근 액션의 보안 등급에 대한 최소 요구 신뢰 점수를 비교하여 사용자 단말(300)의 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 접근 허용 여부를 판단할 수 있다.That is, the access control engine unit 150 compares the previously calculated integrated trust score with the minimum required trust score for the security level of the access action to the non-face-to-face service and non-face-to-face system through the non-face-to-face service portal server 200. Thus, it is possible to determine whether access to the non-face-to-face service and non-face-to-face system through the non-face-to-face service portal server 200 of the user terminal 300 is permitted.
여기서, 접속 네트워크 환경은 사내 업무망, 홈 네트워크망, 공개된 장소의 와이파이망 등의 네트워크의 보안 상태를 유추할 수 있는 정보를 의미할 수 있고, 비대면 서비스 및 비대면 시스템은 사용자를 위한 화상서비스, 면접서비스, 회의서비스, 재택근무서비스 등을 제공하는 서버일 수 있다.Here, the access network environment may refer to information that can infer the security status of networks such as an in-house work network, a home network, and a Wi-Fi network in a public place, and non-face-to-face services and non-face-to-face systems are video images for users. It may be a server that provides services, interview services, conference services, work-from-home services, etc.
다음, 신뢰 기반 인증 제어부(160)는 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의 사용자 단말(300)의 접근 및 액션 요청을 RESTful API를 통해 전달받고, 앞서 판별된 결과에 따라 비대면 서비스 포털 서버(200)를 통한 비대면 서비스 및 비대면 시스템으로의로 접근 허용 여부를 전달한다.Next, the trust-based authentication control unit 160 receives the access and action request of the user terminal 300 to the non-face-to-face service and non-face-to-face system through the non-face-to-face service portal server 200 through RESTful API, and receives the previously determined Depending on the result, whether to allow access to the non-face-to-face service and the non-face-to-face system through the non-face-to-face service portal server 200 is communicated.
여기서, 신뢰 기반 인증 제어부(160)가 비대면 서비스 포털 서버(200)로부터 사용자 ID 및 단말 식별자에 의한 접속 네트워크 환경 기반 접근 요청을 전달받으면, 비대면 서비스 포털 서버(200)는 신뢰 기반 인증 제어부(160)로부터 통합 신뢰점수 및 비대면 서비스 및 비대면 시스템으로의 접근 허용 여부를 전달받을 수 있다.Here, when the trust-based authentication control unit 160 receives an access request based on the connection network environment by user ID and terminal identifier from the non-face-to-face service portal server 200, the non-face-to-face service portal server 200 receives the trust-based authentication control unit ( 160), you can receive an integrated trust score and whether access to non-face-to-face services and non-face-to-face systems is permitted.
일례로서, 앞서 언급한 통합 신뢰 점수 산출 및 접근 허용 과정을 예시하면, 사용자가 관리자이면 신뢰점수 90점, 일반 회원이면 70점, 게스트이면 50점 등 사용자 유형에 따라 사용자 신뢰 점수를 설정할 수 있고, 단말 신뢰 점수는 점검 항목별로 점수를 부여하여 총점 100점이 되도록 하되, 계정의 비밀번호가 설정되어 있으면 5점, 비밀번호의 복잡도가 높으면 3점, 백신이 설치되어 있으면 10점, 백신 실시간 탐지 기능이 켜져 있으면 10점 등 할당할 수 있고, 네트워크 신뢰 점수는 현재 접속하는 네트워크 상태에 대해서 100점 만점의 신뢰 점수를 부여하되, 회사 내부망에서 접속 시 100점, 일반 홈 네트워크면 70점, 커피숍과 같은 외부 공개 와이파이망이면 30점 등 부여할 수 있고, 사용자 신뢰 점수 가중치는 0.3, 단말 신뢰 점수 가중치는 0.5, 네트워크 신뢰 점수 가중치는 0.2로 설정될 수 있고, 최종적으로 산출된 통합 신뢰 점수와 접근 요청한 액션의 보안 등급에 대한 최소 요구 신뢰 점수를 비교하여 접근 허용 여부를 판단할 수 있으며, 통합 신뢰 점수가 75점이고, 요청 액션이 화상회의시스템에서의 파일업로드의 보안 등급의 최소 요구 신뢰 점수가 90으로 설정되어 있다면, 접근 불허로 판정할 수 있다.As an example, in the integrated trust score calculation and access permission process mentioned above, the user trust score can be set according to the user type, such as 90 points if the user is an administrator, 70 points if the user is a general member, and 50 points if the user is a guest. The terminal trust score is given for each check item for a total score of 100. If the account password is set, 5 points, if the password is complex, 3 points, if an anti-virus software is installed, 10 points, and if the real-time anti-virus detection function is turned on, the terminal trust score is 100 points. You can assign 10 points, etc., and the network trust score is given out of 100 for the current network status, with 100 points when connected from the company's internal network, 70 points when connected to a general home network, and 70 points when connected to an external network such as a coffee shop. If it is a public Wi-Fi network, 30 points can be given, the user trust score weight can be set to 0.3, the terminal trust score weight can be set to 0.5, and the network trust score weight can be set to 0.2. The final calculated integrated trust score and the access requested action You can determine whether to allow access by comparing the minimum required trust score for the security level. The integrated trust score is 75, and the minimum required trust score for the file upload security level in the request action is set to 90. If so, access can be determined as not permitted.
따라서, 전술한 바와 같은 다중 신뢰도 기반 접근통제 시스템의 구성에 의해서, 전통적인 접근제어 시스템에 추가적으로 사용자 보안 등급, 단말 신뢰 점수, 네트워크 접속 방식, 접근하려는 비대면 서비스/시스템의 보안 등급 등 다양한 정보들에 대한 유기적인 신뢰도를 판단하여 인가 여부를 결정하도록 하고, 단말의 취약점 정보를 블록체인 기반의 저장소에 저장하여 최신 정보 상태 및 이력의 무결성을 확보하여서 수집되어 입력된 정보의 불법적인 조작에 의한 무결성 훼손을 방지할 수 있다.Therefore, by configuring the multiple reliability-based access control system as described above, in addition to the traditional access control system, various information such as user security level, terminal trust score, network access method, and security level of the non-face-to-face service/system to be accessed are collected. The organic trustworthiness of the information is judged to determine whether to authorize it, and the vulnerability information of the terminal is stored in a blockchain-based storage to ensure the integrity of the latest information status and history, and the integrity of the collected and input information is damaged by illegal manipulation. can be prevented.
본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원 시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.The embodiments described in this specification and the configurations shown in the drawings are only one of the most preferred embodiments of the present invention and do not represent the entire technical idea of the present invention, so various equivalents may be substituted for them at the time of filing the present application. It should be understood that variations and variations may exist.
================================================================================================================================================ =============
[부처명] 과학기술정보통신부[Ministry Name] Ministry of Science and ICT
[전담기관] 한국인터넷진흥원[Responsible agency] Korea Internet & Security Agency
[사업명] 신기술적용 비대면 서비스 보안 시범사업[Project name] Non-face-to-face service security pilot project applying new technology
[과제명] AI기반 능동형 취약점 점검 기술과 블록체인을 이용한 비대면 근무 환경 보안 서비스 제공[Task name] Provide non-face-to-face work environment security service using AI-based active vulnerability inspection technology and blockchain
================================================================================================================================================ =============
110 : 제1 신뢰평가지표 관리부
120 : 제2 신뢰평가지표 관리부
130 : 제3 신뢰평가지표 관리부
140 : 다중 신뢰도 평가부
150 : 접근 제어 엔진부
160 : 신뢰 기반 인증 제어부
200 : 비대면 서비스 포털 서버
300 : 사용자 단말
400 : 단말 취약점 이력 관리 시스템110: 1st trust evaluation index management department
120: 2nd trust evaluation index management department
130: 3rd Trust Evaluation Index Management Department
140: Multiple reliability evaluation unit
150: Access control engine unit
160: Trust-based authentication control unit
200: Non-face-to-face service portal server
300: user terminal
400: Terminal vulnerability history management system
Claims (10)
사용자 ID와 인증정보와 사용자 직무 유형 정보와 사용자 부가 정보의 사용자 정보를 수집하는 제2 신뢰평가지표 관리부;
사용자 신뢰등급과 접근 액션 정보와 접근 액션별 보안등급과 접속 네트워크관련 보안 등급과 신뢰점수 추론 가중치 설정의 보안 정책을 수집하는 제3 신뢰평가지표 관리부;
상기 제1 신뢰평가지표 관리부 내지 상기 제3 신뢰평가지표 관리부로부터의 상기 단말 인벤토리와 상기 사용자 정보와 상기 보안 정책을 각각 평가하여서, 단말 신뢰점수와 사용자 신뢰등급과 업무 보안등급 및 접속 네트워크 보안등급을 평가하여 통합 신뢰 점수를 산출하는, 다중 신뢰도 평가부;
상기 통합 신뢰 점수에 따라, 접속 네트워크 환경 기반의 비대면 서비스 포털 서버를 통한 비대면 서비스 및 비대면 시스템으로의 접근 허용 여부를 판별하는, 접근 제어 엔진부; 및
상기 비대면 서비스 포털 서버로의 사용자 단말의 접근 요청을 전달받고, 상기 비대면 서비스 포털 서버로 상기 접근 허용 여부를 전달하는, 신뢰 기반 인증 제어부;를 포함하며,
상기 사용자 단말에는 취약점 점검 에이전트가 설치되고, 상기 취약점 점검 에이전트는 주기적으로 상기 사용자 단말의 취약점 점검을 수행하고, 점검 결과를 블록체인 기반의 단말 취약점 이력 관리 시스템에 업로드하고, 상기 단말 취약점 이력 관리 시스템은 업데이트된 단말 취약점 점검 내역에 따른 최신 단말 보안 상태 정보를 상기 단말 인벤토리로 전달하고,
상기 다중 신뢰도 평가부는, 상기 단말 인벤토리와 상기 사용자 정보와 상기 보안 정책의 접근 연결 정보 및 상기 최신 단말 보안 상태 정보를 기초로 하여 접근 액션 요청에 대한 신뢰도를 100점 만점 기준으로 상기 통합 신뢰 점수를 산출하고,
상기 다중 신뢰도 평가부는, 사용자 유형별로 차등 부여되어 설정된 사용자 정보 DB로부터 상기 사용자 ID에 해당하는 100점 만점 기준 사용자 신뢰 점수를 가져오고, 상기 사용자 단말의 상기 단말 취약점 점검 내역의 점검 항목별로 부여받은 100점 만점 기준 단말 신뢰 점수를 가져오고, 접근중인 네트워크 상태에 따른 100점 만점 기준 네트워크 신뢰 점수를 가져오고, 상기 사용자 신뢰점수와 상기 단말 신뢰 점수와 상기 네트워크 신뢰 점수에, 총합이 1.0이 되도록 0.1 내지 1.0 사이의 가중치를 각각 부여하고 합산하여, 상기 통합 신뢰 점수를 산출하며,
상기 접근 액션은 그림판 인쇄, 그림판 저장, 그림판 판서, 녹화, 문서 업로드, 미디어 업로드, 서비스 개설, 서비스 참여, 쪽지보내기, 채팅, 화상서비스 접속, 회의서비스 접속, 회의서비스에서의 파일 업로드, 마이크 켜기, 회의방 개설의 미리 설정된 사용자의 액션이고, 해당 액션은 미리 설정되어 등록되고, 각각에 대해서 개별적인 액션 코드 및 보안등급이 설정되고,
상기 점검 항목은 사용자 계정의 비밀번호 설정 여부와, 비밀번호의 복잡도와, 백신 설치 여부와, 백신 실시간 탐지 기능 활성화 여부이고,
상기 단말 보안 상태 정보는 악성코드 감염 여부, 계정 관리에 대한 보안 상태, 보안 업데이트 현황, 백신 설치 여부의 보안 관리 상태, 해킹 방지를 위한 시스템 상태의 사용자 단말 보안 환경 정보인 것을 특징으로 하는,
다중 신뢰도 기반 접근통제 시스템.
a first trust evaluation index management unit that collects a terminal inventory of terminal identifier, terminal user mapping information, and terminal additional information;
a second trust evaluation index management unit that collects user information including user ID, authentication information, user job type information, and user additional information;
A third trust evaluation index management unit that collects user trust level and access action information, security level by access action, access network-related security level, and security policy of trust score inference weight setting;
By evaluating the terminal inventory, the user information, and the security policy from the first trust evaluation index management unit or the third trust evaluation indicator management unit, the terminal trust score, user trust level, business security level, and access network security level are determined. a multiple reliability evaluation unit that evaluates and calculates an integrated trust score;
an access control engine unit that determines whether to allow access to non-face-to-face services and non-face-to-face systems through a non-face-to-face service portal server based on the access network environment, according to the integrated trust score; and
It includes a trust-based authentication control unit that receives an access request from a user terminal to the non-face-to-face service portal server and transmits whether the access is permitted to the non-face-to-face service portal server,
A vulnerability check agent is installed in the user terminal, the vulnerability check agent periodically performs a vulnerability check of the user terminal, uploads the check results to a blockchain-based terminal vulnerability history management system, and the terminal vulnerability history management system. Delivers the latest terminal security status information according to the updated terminal vulnerability inspection history to the terminal inventory,
The multi-trust evaluation unit calculates the integrated trust score based on the reliability of the access action request out of 100 based on the terminal inventory, the user information, access connection information of the security policy, and the latest terminal security status information. do,
The multiple trust evaluation unit retrieves a user trust score based on a 100-point scale corresponding to the user ID from a user information DB set differentially for each user type, and receives 100 points for each check item of the terminal vulnerability check history of the user terminal. Get a terminal trust score based on a perfect score, get a network trust score based on a perfect score of 100 according to the network state being accessed, and add 0.1 to 0.1 to the user trust score, the terminal trust score, and the network trust score so that the total is 1.0. By assigning weights between 1.0 and adding them up, the integrated trust score is calculated,
The above access actions include printing in Paint, saving in Paint, writing in Paint, recording, uploading documents, uploading media, opening a service, participating in a service, sending a message, chatting, accessing a video service, accessing a conference service, uploading a file in the conference service, turning on the microphone, It is a preset user action for opening a conference room, the action is preset and registered, and an individual action code and security level are set for each,
The above check items include whether the user account password is set, the complexity of the password, whether a vaccine is installed, and whether the real-time vaccine detection function is activated.
The terminal security status information is user terminal security environment information such as whether there is a malicious code infection, security status for account management, security update status, security management status whether or not a vaccine is installed, and system status to prevent hacking.
Multiple reliability-based access control system.
상기 신뢰 기반 인증 제어부가 상기 비대면 서비스 포털 서버로부터 사용자 ID 및 상기 단말 식별자에 의한 접속 네트워크 환경 기반 접근 요청을 전달받으면,
상기 비대면 서비스 포털 서버는 상기 신뢰 기반 인증 제어부로부터 상기 통합 신뢰점수 및 상기 접근 허용 여부를 전달받는 것을 특징으로 하는, 다중 신뢰도 기반 접근통제 시스템.
According to paragraph 1,
When the trust-based authentication control unit receives an access request based on the access network environment based on the user ID and the terminal identifier from the non-face-to-face service portal server,
The non-face-to-face service portal server is a multi-trust based access control system, characterized in that the integrated trust score and whether the access is permitted are transmitted from the trust-based authentication control unit.
상기 취약점 점검 에이전트는 상기 사용자 단말의 상기 비대면 서비스 포털 서버로의 접근시에 부가 정보를 상기 비대면 서비스 포털 서버로 전달하는 것을 특징으로 하는,
다중 신뢰도 기반 접근통제 시스템.
According to paragraph 1,
The vulnerability check agent is characterized in that it transmits additional information to the non-face-to-face service portal server when the user terminal accesses the non-face-to-face service portal server.
Multiple reliability-based access control system.
상기 접근 제어 엔진부는,
상기 통합 신뢰 점수와 상기 접근 액션의 보안 등급에 대한 최소 요구 신뢰 점수를 비교하여 상기 접근 허용 여부를 판단하는 것을 특징으로 하는, 다중 신뢰도 기반 접근통제 시스템.
According to paragraph 1,
The access control engine unit,
A multi-trust based access control system, characterized in that whether the access is permitted is determined by comparing the integrated trust score with the minimum required trust score for the security level of the access action.
상기 비대면 서비스 및 상기 비대면 시스템은 화상서비스, 면접서비스, 회의서비스 또는 재택근무서비스를 제공하는 서버인 것을 특징으로 하는, 다중 신뢰도 기반 접근통제 시스템.
According to paragraph 1,
A multi-reliability-based access control system, wherein the non-face-to-face service and the non-face-to-face system are servers that provide video services, interview services, conference services, or work-from-home services.
상기 신뢰 기반 인증 제어부는 상기 비대면 서비스 포털 서버를 통한 비대면 서비스 및 비대면 시스템으로의 상기 사용자 단말의 접근 및 액션 요청을 API를 통해 전달받는 것을 특징으로 하는, 다중 신뢰도 기반 접근통제 시스템.
According to paragraph 1,
The trust-based authentication control unit is a multi-trust based access control system, characterized in that the user terminal's access and action requests for non-face-to-face services and non-face-to-face systems through the non-face-to-face service portal server are transmitted through API.
상기 취약점 점검의 항목은 사용자 계정의 비밀번호 설정 여부와 비밀번호의 복잡도와 백신 설치 여부와 백신 실시간 탐지 기능 활성화 여부이고,
상기 네트워크 상태는 접속하는 회사 내부망과 일반 홈 네트워크와 외부 공개 와이파이망인 것을 특징으로 하는, 다중 신뢰도 기반 접근통제 시스템.According to paragraph 1,
The items of the vulnerability check include whether the user account password is set, the complexity of the password, whether a vaccine is installed, and whether the real-time vaccine detection function is activated.
The network status is a multi-reliability-based access control system, characterized in that the connected company's internal network, a general home network, and an external public Wi-Fi network.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210159106A KR102611045B1 (en) | 2021-11-18 | 2021-11-18 | Various trust factor based access control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210159106A KR102611045B1 (en) | 2021-11-18 | 2021-11-18 | Various trust factor based access control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230072648A KR20230072648A (en) | 2023-05-25 |
| KR102611045B1 true KR102611045B1 (en) | 2023-12-07 |
Family
ID=86542184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210159106A KR102611045B1 (en) | 2021-11-18 | 2021-11-18 | Various trust factor based access control system |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102611045B1 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117353989A (en) * | 2023-09-25 | 2024-01-05 | 北京景安云信科技有限公司 | Access admission identity authentication system based on security trust evaluation |
| CN117459321B (en) * | 2023-12-21 | 2024-03-08 | 明阳点时科技(沈阳)有限公司 | End-to-end trusted communication method and system |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101985280B1 (en) * | 2018-11-20 | 2019-09-03 | 최대철 | System for Providing Security certification solution for permitting Website access and Driving Method thereof |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100639997B1 (en) * | 2004-12-14 | 2006-11-01 | 한국전자통신연구원 | Method for evaluation of network security level of customer network and apparatus thereof |
| KR101027667B1 (en) * | 2008-02-27 | 2011-04-12 | 성균관대학교산학협력단 | Context Aware - Access Control Management System, Management Method Thereof and The Recorder |
| KR101056268B1 (en) * | 2010-01-25 | 2011-08-11 | 주식회사 반딧불소프트웨어 | Security check system and method for a terminal device capable of computer communication |
| KR101359378B1 (en) | 2013-07-23 | 2014-02-07 | (주)넷맨 | The security integrity check device and method thereof |
| KR101744631B1 (en) | 2015-08-25 | 2017-06-20 | 주식회사 아이티스테이션 | Network security system and a method thereof |
| KR102055748B1 (en) * | 2018-03-26 | 2019-12-13 | (주)하몬소프트 | Network self-diagnosis control apparatus based on block chain |
-
2021
- 2021-11-18 KR KR1020210159106A patent/KR102611045B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101985280B1 (en) * | 2018-11-20 | 2019-09-03 | 최대철 | System for Providing Security certification solution for permitting Website access and Driving Method thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230072648A (en) | 2023-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11604861B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
| US9516062B2 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
| US7962960B2 (en) | Systems and methods for performing risk analysis | |
| US8146137B2 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
| US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
| Scarfone et al. | The common configuration scoring system (ccss): Metrics for software security configuration vulnerabilities | |
| US20190260754A1 (en) | Discovering and evaluating privileged entities in a network environment | |
| US11924643B2 (en) | Point-controlled rogue AP avoidance + rogue AP detection using synchronized security | |
| KR102611045B1 (en) | Various trust factor based access control system | |
| US11765590B2 (en) | System and method for rogue device detection | |
| LeMay et al. | The common misuse scoring system (CMSS): Metrics for software feature misuse vulnerabilities | |
| US20210329459A1 (en) | System and method for rogue device detection | |
| Kumar et al. | A survey on cloud computing security threats and vulnerabilities | |
| US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
| US11805418B2 (en) | System and method for location-based endpoint security | |
| Srivastava | An introduction to network security attacks | |
| US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
| Sastry et al. | Novel approach for control data theft attack in cloud computing | |
| US10523715B1 (en) | Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems | |
| Ruha | Cybersecurity of computer networks | |
| US20230319093A1 (en) | Containerized network activity filtering | |
| Venter et al. | Harmonising vulnerability categories | |
| KR102362320B1 (en) | System and method for communicating of network address mutation on dynamic network security | |
| US20230319116A1 (en) | Signature quality evaluation | |
| US20240129297A1 (en) | Domain ownership verification for a ztna service platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |