KR20100066907A - 통합 인증 및 제어 시스템 및 그 방법 - Google Patents

통합 인증 및 제어 시스템 및 그 방법 Download PDF

Info

Publication number
KR20100066907A
KR20100066907A KR1020080125414A KR20080125414A KR20100066907A KR 20100066907 A KR20100066907 A KR 20100066907A KR 1020080125414 A KR1020080125414 A KR 1020080125414A KR 20080125414 A KR20080125414 A KR 20080125414A KR 20100066907 A KR20100066907 A KR 20100066907A
Authority
KR
South Korea
Prior art keywords
authentication
user
access
physical space
integrated
Prior art date
Application number
KR1020080125414A
Other languages
English (en)
Inventor
임재덕
최병철
박소희
김정녀
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080125414A priority Critical patent/KR20100066907A/ko
Publication of KR20100066907A publication Critical patent/KR20100066907A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Abstract

본 발명은 통합 인증 및 제어 시스템 및 그 방법에 관한 것이다. 본 발명에 따른 통합 인증 및 제어 시스템은, 각 사용자에게 부여된 인증 토큰에 포함된 인증정보를 제공받아 상기 사용자의 물리적 공간의 출입에 대한 인증과, 물리적 공간내에 배치된 IT 시스템 사용에 대한 인증을 수행하고, 인증결과에 따라 사용자의 출입과, IT 시스템의 사용을 통제한다. 이에 의해, 물리적 공간의 출입 통제와 IT 시스템 사용 인증을 상태기반 통제 정책을 이용하여 통합 관리함으로써, 모순적 상황에서의 비정상적 접근을 통제하여 기업 내부 정보를 효율적으로 관리할 수 있고, 보다 지능적인 보안정책의 수립이 가능하다.
출입, 통제, IT 시스템, 공간, 시간, 인증, 상태기반 접근제어

Description

통합 인증 및 제어 시스템 및 그 방법{Integrated authentication and access control system and method the same}
본 발명은 통합 인증 및 제어 시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는, 사용자의 물리적 공간의 출입 통제와 IT 시스템 사용 인증을 통합하여 인증 및 관리할 수 있도록 하는 통합 인증 및 제어 시스템 및 그 방법에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-016-02, 과제명: 저비용 대규모 글로벌 인터넷 서비스 솔루션 개발]
통합 인증 분야와 신뢰 플랫폼 분야에서, 물리적인 출입 통제 인증 분야와, IT 시스템의 사용 인증 분야는 각각 많은 발전을 거듭해왔다. 그러나, 최근 산업 인프라에서 물리적인 환경과 IT 분야가 융합되고 있고, 출입 통제 인증과 IT 시스템의 사용 인증을 별도로 수행함에 따라 개별적인 운영 및 관리에 의한 비용적 인적 부하는 물론 별개의 보안정책에 따른 일관된 보안정책 유지에 어려움이 따른다. 이에 따라, 출입 통제 인증과 IT 시스템 사용 인증이 통합되어 관리되는 방향으로 발전하고 있다.
또한, 기존에는 사용자 인증을 위한 수단으로 단순히 신원 확인 과정만을 거치므로, 신원 확인 수단의 위/변조에 따른 신원확인 과정의 신뢰성을 확보하기 어려우며, 이에 따라, 출입 통제 인증과 IT 시스템의 사용 인증시, 인증 플랫폼에 대한 신뢰성 검증을 수행해야 할 필요성도 제기되고 있다.
이렇게 신뢰성 기반의 인증 플랫폼을 제공함과 동시에 서로 다른 분야의 인증을 통합 관리하는 구조를 제시함으로써, 보다 지능적인 보안 정책, 예를 들어 상태기반 인증 및 접근제어 등의 수립에 대한 필요성 역시 제기되고 있다.
본 발명의 목적은, 물리적 공간의 출입 인증과, IT 시스템의 사용 인증을 통합하여 수행함으로써, 기업 내부 정보를 보다 효율적으로 보호할 수 있는 통합 인증/제어 시스템 및 그 방법을 제공하는 것이다.
상기 목적은, 인증을 위해 사용되는 인증 토큰에 대한 무결성을 제공하는 신뢰플랫폼, 각 사용자에게 부여된 인증 토큰에 포함된 인증정보를 제공받아 상기 사용자의 물리적 공간의 출입에 대한 인증과, 상기 물리적 공간내에 배치된 IT 시스템 사용에 대한 인증을 수행하는 통합 인증부; 및 상기 인증 토큰으로부터 인증정보를 제공받아 상기 통합 인증부로 상기 사용자의 출입에 대한 인증을 요청하며, 상기 통합 인증부로부터의 인증결과에 따라 상기 사용자의 출입을 통제하는 인증 게이트웨이를 포함하는 통합 인증 시스템에 의해 달성된다.
상기 목적은, 인증 토큰의 무결성을 검증 받는 단계, 사용자가 소유하는 인증 토큰으로부터 물리적 공간의 출입을 위한 인증에 필요한 인증정보를 제공받는 단계; 상기 인증정보를 이용하여 상기 사용자에 대한 출입 인증을 수행하는 단계; 상기 출입 인증된 사용자로부터 상기 인증정보와 함께 상기 물리적 공간내에 배치된 IT 시스템 사용 인증을 요청받는 단계; 및 상기 인증정보를 이용하여 상기 IT 시스템의 사용 인증을 수행하고, IT 자원 접근통제를 적용받는 단계를 포함하는 통합 인증 방법에 의해 달성된다.
본 발명에 따른 통합 인증 및 제어 시스템 및 그 방법은, 개별적으로 운영되던 출입 통제 인증 구조와 IT 시스템에 대한 인증 구조를 통합함으로써, 개별적인 운영 및 관리에서 비롯되는 부하를 감소시킬 수 있다. 뿐만 아니라, 인증된 정보를 통해 얻은 사용자의 상태에 따른 (공간/시간 등) 상태기반 통제 정책을 이용하여 보다 정밀한 접근통제가 가능하므로, 효율적인 기업 자원의 보호를 가능하게 한다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
본 통합 인증 시스템에서는, 인증 토큰을 이용하여 사용자의 물리적 공간 출입 여부를 인증하는 출입 인증과, 물리적 공간 내에 설치된 IT 시스템의 사용을 위한 시스템 사용 인증을 통합적으로 수행하도록 한다.
도 1은 본 발명에 따른 통합 인증 시스템의 구성블럭도이다.
본 통합 인증 시스템(100)은, 인증 게이트웨이(120), 통합 인증부(130), 인증정보 데이터베이스(140), 정책정보 데이터베이스(150)를 포함한다. 그리고 본 통합 인증 시스템(100)은, 사용자(110)의 출입 인증과 IT 시스템(160) 사용 인증을 위해 사용자(110)에게 부여된 인증 토큰(115)을 이용하여 사용자의 출입 및 IT 시스템(160) 사용을 통제한다.
IT 시스템(160)은, 사용자(110)의 출입이 통제되는 물리적 공간내에 위치하며, 통합 인증부(130)에 의해 물리적 공간의 출입을 허여받은 사용자(110) 중 해당 물리적 공간의 IT 시스템(160)의 사용을 허여받은 사용자(110)만이 사용할 수 있다.
여기서, 물리적 공간이란, 출입 인증을 통해 출입이 통제되는 공간을 말하며, 출입 인증과 동일한 수준의 보안 정책이 적용되는 공간을 의미한다. 예를 들어, 일반 기업일 경우, 인사팀, 구매팀, 홍보팀, 기획팀 등의 각 조직에 따른 업무 공간 등으로 구분될 수 있다.
인증 토큰(115)은, 사용자(110)의 출입 인증과 시스템 사용 인증을 위한 인증정보를 가지며, 인증정보로는 인증 토큰 ID, 무결성 정보 등을 포함한다.
인증 토큰 ID는 사용자(110)를 확인할 수 있도록 각 사용자를 구분할 수 있는 유일한 식별코드이다. 무결성 정보는, 인증 토큰(115)의 유효성을 검증하기 위해 사용되는 정보로서, 인증 토큰(115)이 변조되지 않았는지 여부를 확인하기 위해 필요하다. 무결성 정보는 인증 토큰(115)의 위/변조 여부를 확인할 수 있는 정보 로써 한 예로, 인증토큰을 구성하는 각 정보의 모듈에 대해 해쉬 함수를 통해 계산될 수 있으며, 계산된 무결성 정보를 무결성 키라 하자. 무결성 정보는 무결성 검증 요청이 있을 때 마다 즉, 인증이 시도될 때마다 계산되어 항상 현재 상태에 대한 무결성 값으로 제공된다. 무결성 키 값은 외부로부터 훼손되지 않도록 제조되어야 하며, 한 예로 TCG(Trusted Computing Group) 그룹의 TPM(Trusted Platform Module) 칩 같은 보안 모듈을 사용하여 생성될 수 있다.
한편, 인증 토큰(115)을 사용할 수 있는 사용자(110)의 신분은, 크게 내부 사용자와 외부 사용자로 구분할 수 있으며, 내부 사용자와 외부 사용자의 인증 토큰(115)은 각각 별도의 권한을 가지도록 인증정책이 수립된다. 예를 들어, 외부 사용자의 신원으로 등록된 인증 토큰(115)은 외부 사용자가 조직을 방문할 때 제공될 수 있으며, 사용자 정보를 포함하지 않을 수 있다. 그리고 외부 사용자로 등록된 인증 토큰(115)을 이용하여서는 회의실 등과 같은 비교적 공공 공간의 출입과, IT 시스템(160)에서 보안을 필요로 하지 아니하는 일반 정보의 접근만이 가능하도록 설정될 수 있다.
이러한 인증 토큰(115)은, 일반적으로 USB 인증 토큰, 스마트카드(IC 카드)등의 외형을 가질 수도 있고, 사원증 같은 개인 신분증에 포함되어 출입 및 시스템 사용 인증시 편리하도록 제작될 수도 있다.
인증 게이트웨이(120)는, 인증 토큰(115)으로부터 인증 토큰 ID, 무결성 키를 제공받아 통합 인증부(130)로 전달하고 사용자의 출입 인증을 요청한다. 이때, 인증 게이트웨이(120)는 인증 토큰(115)에 의해 출입 인증이 요청된 물리적 공간과 시간에 대한 정보도 함께 통합 인증부(130)로 전달한다. 또한, 인증 게이트웨이(120)는, 사용자(110)의 출입을 통제하는 장치를 제어하거나 해당 장치와 통신하며, 통합 인증부(130)로부터 출입 허여 또는 불가 여부에 대한 정보를 제공받으면, 해당 장치로 출입 허여 또는 불가에 대한 정보를 제공하여 사용자(110)의 출입을 통제하도록 한다.
인증 게이트웨이(120)와 인증 토큰(115)은 인증 토큰의 신뢰성 검증을 포함하는 인증 프로토콜을 통해 통신하며, 인증 시도는 자동 또는 수동으로 진행될 수 있다. 이러한 인증 프로토콜은 인증 토큰(115)의 무결성 검증을 비롯한 인증 과정의 신뢰성을 제공할 수 있다.
인증정보 데이터베이스(140)에는, 각 사용자(110)의 출입 인증과 시스템 사용 인증을 위해 사용자(110)의 신원을 확인하기 위한 인증정보가 저장되어 있다. 각 사용자(110)에게 인증 토큰(115)이 발급되면, 각 사용자(110)별로 인증 토큰(115)에 대한 정보가 인증정보 데이터베이스(140)에 저장된다. 인증정보로는, 인증 토큰(115)에 포함되는 인증 토큰 ID, 무결성 정보 등이 저장된다.
또한, 인증정보 데이터베이스(140)에는, 사용자(110)의 인증과정에서 생성된 로그정보, 예를 들어, 사용자(110)가 출입 인증을 시도한 공간과 시간, 시스템 사용 인증을 시도한 공간과 시간, 인증 여부에 대한 정보가 저장되며, 차후 상태기반 인증/제어 등에 사용된다.
정책정보 데이터베이스(150)는, 사용자(110)의 인증 시도 상태에 따라 사용자(110)의 출입 인증 또는 시스템 사용 인증을 수행하기 위한 정책정보가 저장되어 있다. 정책정보 데이터베이스(150)에 저장된 정책정보는 주체와 객체 간의 관계뿐만 아니라, 출입 요청된 물리적 공간, IT 시스템(160)에 접근하려는 물리적 공간 및 시간까지 고려하여 설정되는 상태기반 접근 정책을 기반으로 한다.
이러한 정책정보는, 각 사용자(110)에 대해 미리 설정된 출입가능한 물리적 공간 및 시간과, IT 시스템의 접근이 가능한 시간에 대한 정보를 포함하며, 비정상적인 출입경로 등을 파악하는데 사용된다. 즉, 각 사용자(110)는 임의의 물리적 공간에 대해 출입가능여부가 미리 설정되며, 이와 함께, 출입가능한 물리적 공간이라 할지라도 출입가능한 시간이 정해져 있다. 마찬가지로, IT 시스템(160)에 접근가능한 시간도 미리 설정되어 있다. 즉, 정책정보 데이터베이스(150)에는, 각 사용자(110)가 출입할 수 있는 물리적 공간 및 시간, IT 시스템(160)에 접근할 수 있는 시간에 대한 정보가 저장되어 있다. 또한, 한 공간에 접근하기 위한 선행 상태도 설정할 수 있어, 정상적인 경로가 아닌 경로로 임의의 공간 출입을 통제할 수도 있다.
통합 인증부(130)는, 인증 게이트웨이(120)로부터 제공된 인증 토큰(115)에 포함된 정보를 기반으로 하여 인증을 요청한 인증 토큰(115)의 유효성(무결성 키)을 검증하고, 통제 정책을 통해 해당 사용자(110)의 출입 및 IT 시스템 사용 여부를 결정한다. 이때, 통합 인증부(130)는 인증 토큰(115)의 유효성은 무결성 정보를 이용하여 검증하고, 무결성이 검증된 경우에만 정책정보를 이용하여 사용자(110)의 출입 가능여부 또는 시스템 사용 가능여부를 결정한다.
통합 인증부(130)는 사용자(110)의 출입 가능여부와 시스템 사용 가능여부를 결정하기 위해, 먼저 무결성 정보를 이용하여 인증 토큰(115)의 유효성을 검증한다. 이를 위해, 통합 인증부(130)는, 인증 게이트웨이(120)로부터 제공된 인증 토큰 ID를 이용하여 해당 사용자(110)에 대한 무결성 키를 인증정보 데이터베이스(140)로부터 인출한다. 그런 다음 통합 인증부(130)는 인증 게이트웨이(120)로부터 제공된 인증 토큰(115)의 무결성 키와, 인증 데이터베이스로부터 인출된 무결성 키를 비교하여 무결성 정보가 변조되었는지 여부를 판단한다.
판단 결과, 무결성 정보가 변경된 경우, 통합 인증부(130)는 인증 게이트웨이(120)로 해당 사용자(110)가 인증을 요청한 물리적 공간에 출입이 불가하다는 결과를 전달한다. 만약, 무결성 정보가 변조되지 아니한 경우, 통합 인증부(130)는 인증 토큰(115)이 유효하다고 판단하고, 해당 사용자(110)가 요청한 물리적 공간에 출입가능한지 여부를 판단한다.
이를 위해, 통합 인증부(130)는, 인증 토큰(115)으로부터 제공된 인증 토큰 ID를 이용하여 정책정보 데이터베이스(150)로부터 해당 사용자(110)에 대한 정책정보를 인출한다. 이때, 통합 인증부(130)는 인증 게이트웨이(120)로부터 제공받은 인증이 요청된 물리적 공간과 시간에 대한 정보를 가지고 있다. 상술한 실시예에서는 인증 게이트웨이(120)에서 인증이 요청된 물리적 공간과 시간에 대한 정보를 제공하는 것으로 하였으나, 통합 인증부(130)에서 인증 게이트웨이(120)로부터 인증이 요청되면, 인증 게이트웨이(120)가 위치한 영역으로부터 인증이 요청된 물리적 공간에 대한 정보를 생성하고, 인증 게이트웨이(120)로부터 인증 토큰(115)에 대한 정보가 제공된 시간으로부터 인증이 요청된 시간에 대한 정보를 생성할 수도 있다.
통합 인증부(130)는, 인증 게이트웨이(120)를 통해 제공된 물리적 공간 및 시간과, 정책정보 데이터베이스(150)로부터 인출된 해당 사용자(110)가 출입이 가능한 물리적 공간과 시간에 대한 정보를 비교한다. 비교결과, 해당 사용자(110)가 출입 가능한 물리적 공간에 대해 출입 가능한 시간에 출입을 요청한 경우, 통합 인증부(130)는 해당 사용자(110)에 대한 출입을 허여한다는 메시지를 인증 게이트웨이(120)로 전달한다. 만약, 비교결과, 해당 사용자(110)가 출입이 가능하지 아니한 물리적 공간의 출입을 요청한 경우나, 출입이 가능한 물리적 공간이지만 출입 가능한 시간이 아닌 경우, 통합 인증부(130)는 해당 사용자(110)에 대한 해당 물리적 공간의 출입을 불허한다는 메시지를 인증 게이트웨이(120)로 전달한다.
한편, 인증 게이트웨이(120)를 통해 출입이 허여된 사용자(110)는 인증공간내에서 인증토큰을 이용하여 IT 시스템(160)의 사용을 위한 인증을 요청할 수 있다. 그러면, IT 시스템(160)은, 인증 게이트웨이(120)와 마찬가지로, 인증 토큰(115)으로부터 제공받은 인증 토큰 ID, 무결성 키를 통합 인증부(130)로 제공하고 해당 사용자(110)에 대한 시스템 사용 인증을 요청한다.
통합 인증부(130)는 IT 시스템(160)으로부터 제공받은 인증 토큰 ID와 무결성 키를 이용하여 인증 토큰(115)의 무결성을 검증한다. 무결성이 검증되면, 통합 인증부(130)는, 인증 토큰 ID를 이용하여 정책정보 데이터베이스(150)로부터 사용자(110)가 IT 시스템(160)에 접속할 수 있는지 여부와, IT 시스템(160)에 접속할 수 있는 시간에 대한 정보를 인출한다. 그런 다음, 해당 사용자(110)가 IT 시스 템(160)의 접근이 가능한 경우, 통합 인증부(130)는 인증 게이트웨이(120)를 통해 출입이 인증된 물리적 공간과 IT 시스템(160)의 접근을 요청한 물리적 공간이 동일한지 여부를 판단한다. 물리적 공간이 동일한 경우, 통합 인증부(130)는 접근이 요청된 시간이 해당 사용자(110)가 IT 시스템(160)에 접근할 수 있는 시간인지를 판단하여 해당 사용자(110)의 IT 시스템(160) 접근을 허여 또는 거절한다. 만약 물리적 공간이 동일하지 아니한 경우, 통합 인증부(130)는 해당 사용자(110)에 대한 IT 시스템(160)의 접근을 거절한다.
도 2는 본 발명의 통합 인증 시스템에서 출입 인증과 시스템 사용 인증을 수행하는 과정을 보인 순서도이다.
사용자(110)가 물리적 공간에 출입하기 위해, 인증 토큰(115)을 인증 게이트웨이(120)에 접속시켜 인증을 요청한다(S200). 그러면, 인증 프로토콜을 이용하여 인증 토큰(115) 내에 등록된 인증 토큰 ID, 무결성 키가 인증 게이트웨이(120)로 전달된다. 인증 게이트웨이(120)는 인증 토큰(115)으로부터 제공된 인증 정보를 통합 인증부(130)로 제공하여 출입 인증을 요청한다(S205).
통합 인증부(130)는, 인증 게이트웨이(120)로부터 인증요청을 받으면, 인증정보 데이터베이스(140)로부터 인증 토큰 ID에 부합되는 무결성 키를 인출하여 인증 토큰(115)으로부터의 무결성 키와 비교하여 무결성을 검증한다(S210). 비교결과, 무결성 키가 변조된 경우, 통합 인증부(130)는 인증 게이트웨이(120)로 해당 사용자(110)의 출입을 제한하는 메시지를 전달한다(S225). 그리고 인증 게이트웨이(120)는 장치를 제어하여 사용자의 출입을 불허한다(S230).
무결성 키가 검증된 경우, 통합 인증부(130)는 통제정책을 이용하여 사용자를 인증하기 위해, 인증 토큰 ID를 이용하여 정책정보 데이터베이스(150)로부터 해당 사용자(110)가 접근가능한 물리적 공간과 시간에 대한 정보를 인출한다. 그런 다음, 통합 인증부(130)는 인증 게이트웨이(120)로부터 제공된 물리적 공간과 인증을 요청한 시간에 대한 정보와, 정책정보 데이터베이스(150)로부터 인출한 사용자가 출입가능한 물리적 공간 및 시간에 대한 정보를 비교한다(S215).
비교결과, 인증 게이트웨이(120)가 설치된 물리적 공간이 사용자가 출입가능한 물리적 공간이고, 출입가능한 시간인 경우, 통합 인증부(130)는 해당 사용자를 인증한다(S220). 그리고 인증 게이트웨이(120)로 해당 인증 토큰(115)의 인증이 성공하였다는 정보를 제공한다(S235). 그러면, 인증 게이트웨이(120)는 해당 사용자(110)의 해당 물리적 공간의 출입을 허여한다(S240).
반면, 해당 사용자가 인증 게이트웨이(120)가 설치된 물리적 공간에 출입 가능하게 설정되어 있지 않거나, 출입가능 시간이 아닌 경우, 통합 인증부(130)는 해당 인증 토큰(115)의 인증이 실패하였음을 인증 게이트웨이(120)로 알리고(S225), 인증 게이트웨이(120)는 해당 사용자(110)의 물리적 공간의 출입을 불허한다(S230).
한편, 사용자(110)가 출입이 허용된 인증공간 내에서 IT 시스템(160)을 사용하고자 하는 경우, 인증 토큰(115)을 이용하여 IT 시스템(160)으로 인증 토큰 ID와 무결성 키를 제공하고 IT 시스템(160)의 사용을 요청한다(S245). 그러면, IT 시스템(160)은 통합 인증부(130)로 인증 토큰 ID와 무결성 키를 제공하여 IT 시스 템(160)의 사용 인증을 요청한다(S250).
IT 시스템(160)의 사용 인증을 요청받으면, 통합 인증부(130)는 해당 인증 토큰 ID에 부합되는 무결성 키를 인증정보 데이터베이스(140)로부터 인출하여 인증 토큰(115)으로부터 제공받은 무결성 키가 변조되었는지를 검증한다(S255).
검증결과, 무결성 키가 변조되지 아니한 경우, 통합 인증부(130)는 정책정보 데이터베이스(150)로부터 해당 인증 토큰 ID을 이용하여 해당 사용자에게 설정된 통제정책을 인출한다. 그런 다음, 사용자(110)가 출입 인증을 받은 물리적 공간과, IT 시스템(160)이 배치된 물리적 공간이 동일한지 여부, IT 시스템(160)을 사용할 수 있는 시간인지에 따라, 사용자(110)가 해당 IT 시스템(160)을 사용할 수 있는지 여부를 판단한다(S260).
판단 결과, 사용자(110)가 해당 IT 시스템(160)을 사용할 수 있는 경우(S265), 통합 인증부(130)는 인증을 완료하고, 인증이 성공 완료되었음을 IT 시스템(160)으로 전달한다(S280). IT 시스템(160)은 사용자(110)의 접근을 허여한다(S285). 반면, 사용자(110)의 출입이 인증된 물리적 공간과, 해당 IT 시스템(160)이 배치된 물리적 공간이 다르거나, 해당 IT 시스템(160)에 접속할 수 있는 시간이 아닌 경우, 통합 인증부(130)는 사용자(110)의 인증이 실패하였음을 IT 시스템(160)으로 전달하고(S270), IT 시스템(160)은 해당 사용자(110)의 접근을 불허한다(S275).
이러한 통합 인증 및 제어 시스템 및 그 방법은, 하나의 인증 토큰(115)에 출입 인증 정보 및 IT 시스템(160)의 사용 인증 정보를 등록하고, 출입 인증과 IT 시스템의 사용 인증을 연계하여 수행함으로써, 개별적으로 운영되던 물리적인 출입 통제 인증과 IT 시스템(160) 사용에 대한 인증을 통합하여 효율적으로 사용자를 관리할 수 있다.
또한, 상태기반 접근 정책을 사용함으로써, 네트워크 공격에 의한 자원 접근을 방지할 수 있으며, 허가받지 않은 내부 사용자의 IT 시스템(160) 접근을 제어함으로써, 허가받지 않은 내부 사용자로 인한 정보 유출을 방지할 수 있다. 뿐만 아니라, 보다 효율적으로 기업 내부 정보를 관리할 수 있으며, 보다 지능적인 보안 정책의 수립이 가능하다.
한편, 단순히 사용자의 신원을 확인하는 것이 아니라, 인증 토큰(115)의 무결성 검증을 수행함으로써, 출입 통제와 IT 시스템 사용 통제에 신뢰성을 제공할 수 있다.
이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.
도 1은 본 발명에 따른 통합 인증 시스템의 구성블럭도, 그리고
도 2는 본 발명에 따른 통합 인증 시스템에서 통합 인증을 수행하는 과정을 도시한 흐름도이다.
<도면의 주요 부분에 관한 부호의 설명>
100 : 통합 인증 및 제어 시스템 110 : 사용자
115 : 인증 토큰 120 : 인증 게이트웨이
130 : 통합 인증부 140 : 인증정보 데이터베이스
150 : 정책정보 데이터베이스 160 : IT 시스템

Claims (10)

  1. 각 사용자에게 부여된 인증 토큰에 포함된 인증정보를 제공받아 상기 사용자의 물리적 공간의 출입에 대한 인증과, 상기 물리적 공간내에 배치된 IT 시스템 사용에 대한 인증을 수행하는 통합 인증부; 및
    상기 인증 토큰으로부터 인증정보를 제공받아 상기 통합 인증부로 상기 사용자의 출입에 대한 인증을 요청하며, 상기 통합 인증부로부터의 인증결과에 따라 상기 사용자의 출입을 통제하는 인증 게이트웨이;를 포함하는 것을 특징으로 하는 통합 인증 및 제어 시스템.
  2. 제1항에 있어서,
    상기 인증 토큰은, 상기 사용자마다 부여된 인증 토큰 ID와, 무결성 검증을 위해 인증 토큰의 특성을 기반으로 생성된 고유의 무결성 키를 포함하고 무결성 키는 인증 시마다 계산되어 제공되어지는 것을 특징으로 하는 통합 인증 및 제어 시스템.
  3. 제2항에 있어서,
    상기 인증 토큰 ID에 부합되는 무결성 키에 대한 정보가 저장된 인증정보 데이터베이스를 더 포함하며;
    상기 통합 인증부는, 상기 인증 게이트웨이 또는 상기 IT 시스템을 통해 제 공된 상기 인증 토큰의 무결성 키와 상기 인증정보 데이터베이스에 저장된 무결성 키를 비교하여 상기 인증 토큰의 무결성을 검증하는 것을 특징으로 하는 통합 인증 및 제어 시스템.
  4. 제3항에 있어서,
    상기 사용자에 따라, 상기 물리적 공간에 출입할 수 있는지 여부, 상기 물리적 공간에 출입가능한 시간에 대한 정보가 저장된 정책정보 데이터베이스를 더 포함하며;
    상기 통합 인증부는, 상기 사용자가 상기 인증 게이트웨이를 통해 인증을 요청한 물리적 공간과 시간이 상기 정책정보 데이터베이스에 저장된 출입가능한 물리적 공간 및 시간에 부합되는 경우, 상기 사용자의 출입을 인증하는 것을 특징으로 하는 통합 인증 및 제어 시스템.
  5. 제4항에 있어서,
    상기 정책정보 데이터베이스에는 상기 사용자에 대해 상기 IT 시스템의 사용여부와 사용가능한 시간에 대한 정보가 더 저장되며;
    상기 통합 인증부는, 상기 IT 시스템의 사용 인증이 요청되면, 상기 출입 인증을 받은 물리적 공간과, 상기 IT 시스템이 배치된 물리적 공간이 동일하고, 인증 요청된 시간이 상기 정책정보 데이터베이스에 저장된 사용가능한 시간의 범위내에 속하면 상기 IT 시스템의 사용을 인증하는 것을 특징으로 하는 통합 인증 및 제어 시스템.
  6. 사용자가 소유하는 인증 토큰으로부터 물리적 공간의 출입을 위한 인증에 필요한 인증정보를 제공받는 단계;
    상기 인증정보를 이용하여 상기 사용자에 대한 출입 인증을 수행하는 단계;
    상기 출입 인증된 사용자로부터 상기 인증정보와 함께 상기 물리적 공간내에 배치된 IT 시스템 사용 인증을 요청받는 단계; 및
    상기 인증정보를 이용하여 상기 IT 시스템의 사용 인증을 수행하는 단계;를 포함하는 것을 특징으로 하는 통합 인증 및 제어 방법.
  7. 제6항에 있어서,
    상기 인증정보는,
    상기 인증 토큰에 포함된 상기 인증 토큰 고유의 인증 토큰 ID와, 무결성 검증을 위해 상기 인증 토큰에 대해 생성된 무결성 키를 포함하는 것을 특징으로 하는 통합 인증 및 제어 방법.
  8. 제7항에 있어서,
    상기 사용자의 출입을 인증하는 단계는,
    상기 인증 토큰에 포함된 무결성 키의 유효성을 검증하는 단계와,
    상기 무결성 키가 변조된 경우, 상기 사용자의 출입을 불허하고, 상기 무결 성 키가 유효한 경우, 상기 사용자에 대해 미리 설정된 상기 물리적 공간에 대한 출입가능여부 및 출입가능한 시간에 대한 정보와, 상기 사용자가 출입 인증을 요청한 물리적 공간 및 시간을 비교하여 상기 사용자의 출입 여부를 결정하는 단계를 포함하는 것을 특징으로 하는 통합 인증 및 제어 방법.
  9. 제7항에 있어서,
    상기 IT 시스템의 사용 인증을 수행하는 단계는,
    상기 인증 토큰에 포함된 무결성 키의 유효성을 검증하는 단계와,
    상기 무결성 키가 변조된 경우 상기 IT 시스템의 사용을 불허하고, 상기 무결성 키가 유효한 경우, 상기 사용자가 상기 IT 시스템의 사용 권한을 가지고 있는지 판단하는 단계와,
    상기 사용자가 상기 IT 시스템의 사용 권한을 갖는 경우, 상기 IT 시스템의 사용 요청 시간이 상기 IT 시스템의 사용가능시간 범위에 속하는지를 판단하여 상기 IT 시스템의 사용여부를 결정하는 단계를 포함하는 것을 특징으로 하는 통합 인증 및 제어 방법.
  10. 제9항에 있어서,
    상기 IT 시스템의 사용 인증을 요청한 물리적 공간과 상기 사용자가 출입 인증을 받은 물리적 공간이 상이한 경우, 및 비정상적 출입 경로를 통해 임의의 물리적 공간에 출입한 경우 중 어느 한 경우, 상기 IT 시스템의 사용을 불허하는 단계 를 더 포함하는 것을 특징으로 하는 통합 인증 및 제어 방법.
KR1020080125414A 2008-12-10 2008-12-10 통합 인증 및 제어 시스템 및 그 방법 KR20100066907A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080125414A KR20100066907A (ko) 2008-12-10 2008-12-10 통합 인증 및 제어 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080125414A KR20100066907A (ko) 2008-12-10 2008-12-10 통합 인증 및 제어 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20100066907A true KR20100066907A (ko) 2010-06-18

Family

ID=42365739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080125414A KR20100066907A (ko) 2008-12-10 2008-12-10 통합 인증 및 제어 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20100066907A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014007516A1 (ko) * 2012-07-02 2014-01-09 에스케이플래닛 주식회사 단일 인증 서비스 시스템 및 이의 운용 방법
KR20140011030A (ko) * 2012-07-02 2014-01-28 에스케이플래닛 주식회사 단일 인증 서비스 시스템 및 이의 운용 방법
WO2014196708A1 (ko) * 2013-06-05 2014-12-11 에스케이플래닛 주식회사 보안토큰을 이용한 인증 방법, 이를 위한 시스템 및 장치
KR101527744B1 (ko) * 2013-07-05 2015-06-11 주식회사 안랩 리소스 접근 인증 및 공간 기반 정보 보호
KR101626723B1 (ko) 2015-08-27 2016-06-13 목포대학교산학협력단 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014007516A1 (ko) * 2012-07-02 2014-01-09 에스케이플래닛 주식회사 단일 인증 서비스 시스템 및 이의 운용 방법
KR20140011030A (ko) * 2012-07-02 2014-01-28 에스케이플래닛 주식회사 단일 인증 서비스 시스템 및 이의 운용 방법
US9130927B2 (en) 2012-07-02 2015-09-08 Sk Planet Co., Ltd. Single certificate service system and operational method thereof
WO2014196708A1 (ko) * 2013-06-05 2014-12-11 에스케이플래닛 주식회사 보안토큰을 이용한 인증 방법, 이를 위한 시스템 및 장치
KR101527744B1 (ko) * 2013-07-05 2015-06-11 주식회사 안랩 리소스 접근 인증 및 공간 기반 정보 보호
KR101626723B1 (ko) 2015-08-27 2016-06-13 목포대학교산학협력단 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법

Similar Documents

Publication Publication Date Title
US10829088B2 (en) Identity management for implementing vehicle access and operation management
US10475273B2 (en) Architecture for access management
US20230245019A1 (en) Use of identity and access management for service provisioning
EP3460693A1 (en) Methods and apparatus for implementing identity and asset sharing management
CN104683336B (zh) 一种基于安全域的安卓隐私数据保护方法及系统
US20200013268A1 (en) Methods and apparatus for management of intrusion detection systems using verified identity
US7127605B1 (en) Secure sharing of application methods on a microcontroller
CN103310161B (zh) 一种用于数据库系统的防护方法及系统
CN101202762B (zh) 用于存储和检索身份映射信息的方法和系统
US8752123B2 (en) Apparatus and method for performing data tokenization
CN108650212A (zh) 一种物联网认证和访问控制方法及物联网安全网关系统
CN110149328B (zh) 接口鉴权方法、装置、设备及计算机可读存储介质
US20130042298A1 (en) System and method for generating trust among data network users
CA2713419A1 (en) Method and system for dynamically controlling access to a network
US20130047242A1 (en) Apparatus and Method for Performing Real-Time Authentication Using Subject Token Combinations
KR101719511B1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체
US20130047245A1 (en) Apparatus and Method for Performing Session Validation to Access Confidential Resources
KR20100066907A (ko) 통합 인증 및 제어 시스템 및 그 방법
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
KR101722031B1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체
US9159065B2 (en) Method and apparatus for object security session validation
KR20120128529A (ko) Uip를 이용한 사용자 인증 방법 및 인증 시스템
US8572687B2 (en) Apparatus and method for performing session validation
JP5695455B2 (ja) アクセス制御システム
CN111898144A (zh) 一种集体经济公开查询系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application