KR20140017457A - 서비스에 대한 보안 액세스를 획득하는 방법 - Google Patents

서비스에 대한 보안 액세스를 획득하는 방법 Download PDF

Info

Publication number
KR20140017457A
KR20140017457A KR1020130090985A KR20130090985A KR20140017457A KR 20140017457 A KR20140017457 A KR 20140017457A KR 1020130090985 A KR1020130090985 A KR 1020130090985A KR 20130090985 A KR20130090985 A KR 20130090985A KR 20140017457 A KR20140017457 A KR 20140017457A
Authority
KR
South Korea
Prior art keywords
user device
password
network component
trusted environment
network
Prior art date
Application number
KR1020130090985A
Other languages
English (en)
Other versions
KR101599105B1 (ko
Inventor
아르민 바펜슈미트
Original Assignee
세큐넷 시큐어러티 네트워크스 악크티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 세큐넷 시큐어러티 네트워크스 악크티엔게젤샤프트 filed Critical 세큐넷 시큐어러티 네트워크스 악크티엔게젤샤프트
Publication of KR20140017457A publication Critical patent/KR20140017457A/ko
Application granted granted Critical
Publication of KR101599105B1 publication Critical patent/KR101599105B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds

Abstract

규정된 신뢰성 있는 환경에서 서비스에 대한 보안 액세스를 획득하는 방법을 제공한다. 적어도 하나의 네트워크 컴포넌트는 규정된 신뢰성 있는 환경에 있고, 패스워드는 네트워크 컴포넌트에 저장된다. 사용자 디바이스는 신뢰성 있는 환경에 도입되고, 사용자 디바이스는 네트워크 컴포넌트에 접촉하여 네트워크 컴포넌트에 저장된 패스워드를 검색한다. 사용자 디바이스는 패스워드를 서비스에 전달하고, 서비스는 서비스에 저장된 패스워드가 사용자 디바이스에 의해 서비스에 전달된 패스워드와 매칭되는 경우에 사용자 디바이스에 대해 가능하게 된다.

Description

서비스에 대한 보안 액세스를 획득하는 방법{METHOD OF GAINING SECURE ACCESS TO A SERVICE}
본 발명은 규정된 신뢰성 있는 환경에서 서비스에 대한 보안 액세스를 획득하는 방법에 관한 것이다.
상기 유형의 방법은 실제로 잘 알려져 있다. 보안 관련 요건들은 서비스가 가능해져야 하거나 또는 암호화된 데이터가 특정 서비스 또는 암호화된 데이터에 액세스하기 전에 복호되어야 한다는 것을 빈번하게 지시한다. 특히 이러한 장치들이 규정된 신뢰성 있는 환경 외부에서 동작할 때마다 특정 서비스 또는 데이터를 보호할 필요가 있다. 데이터의 차단 또는 암호화는 서비스 또는 데이터에 대한 액세스가 신뢰성 있는 승인된 엔티티 또는 사용자에 의해 배타적으로 실행되기 때문에 신뢰성 있는 환경에서 일반적으로 생략될 수 있다. 이 경우에 실제로 알려진 방법에 대해 고유한 단점은 만일 서비스가 신뢰성 있는 환경 외부에서 액세스되거나 데이터가 신뢰성 있는 환경 외부에서 사용되는 경우에 서비스 또는 데이터가 보호되지 못한다는 사실이다. 이 문제 상황을 회피하기 위한 실제의 접근법(approach)은 서비스 또는 데이터가 승인되지 않은 사용으로부터 보호될 수 있도록 패스워드를 사용하는 것이다. 그러나, 서비스의 이용 또는 데이터에 대한 액세스에 있어서 특정 비활동성 기간이 경과한 후에는 패스워드를 다시 입력해야 하고, 이것은 서비스 또는 데이터의 활용이 다소 덜 사용자 친화적이라는 것을 의미한다.
그러므로, 본 발명의 목적은 사용의 용이성뿐 아니라 또한 높은 수준의 보안성을 특징으로 하는 전술한 유형의 방법을 제공하는 데에 있다. 본 발명의 다른 목적은 대응하는 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해, 본 발명은 규정된 신뢰성 있는 환경에서 서비스가 안전하게 액세스가능한 방법을 제공하고, 이 방법에서, 적어도 하나의 네트워크 컴포넌트가 규정된 신뢰성 있는 환경에 있고, 패스워드는 네트워크 컴포넌트에 저장되며, 사용자 디바이스는 신뢰성 있는 환경에 통합되고, 사용자 디바이스는 네트워크 컴포넌트에 접촉하여 네트워크 컴포넌트에 저장된 패스워드를 검색하며, 사용자 디바이스는 패스워드를 서비스에 전달하고, 서비스는 서비스에 저장된 패스워드가 사용자 디바이스에 의해 서비스에 전달된 패스워드와 매칭되는 경우에 사용자 디바이스에 대해 가능하게 된다. 본 발명의 범위 내에서, 보안 액세스(secure access)는 서비스에 대한 액세스가 비승인 엔티티에 의해 달성되는 것으로부터 보호된다는 사실을 의미한다. 서비스는 예를 들면 인터넷 서비스, 바람직하게는 웹메일 서비스이다. 서비스는 바람직하게 로컬 디바이스, 예를 들면 컴퓨터(PC)에서 사용자 계정에 액세스하는 형태로 신뢰성 있는 환경에서 제공될 수 있다. 일 실시예에 있어서, 서비스는 대용량 기억 매체, 예를 들면, 파일 서버 및/또는 바람직하게 암호화된 파일 시스템을 포함하는 네트워크 부착형 스토리지 서버(NAS 서버)이다. 암호화된 파일 시스템은 바람직하게 보안 액세스에 의해 사용자 디바이스가 대용량 기억 매체를 이용할 수 있게 될 때마다 복호된다. 대용량 기억 매체의 파일 시스템은 대용량 기억 매체가 신뢰성 있는 환경 외부에서 사용될 때마다 암호화되는 장점이 있다. 권장 사항으로, 신뢰성 있는 환경은 바람직하게는 라우터에 의해 공중 인터넷으로부터 분리된 네트워크이다. 네트워크는 컴퓨터 유닛(컴퓨터)에 의해 제공될 수 있다.
신뢰성 있는 환경은 위치 데이터(GPS 데이터), LAN 데이터, 블루투스 데이터, 네트워크 어드레스, GSM 무선 데이터, 기상(meteorological) 데이터로 이루어진 그룹으로 구성된 적어도 하나의 데이터 세트를 포함하는 기준 데이터 세트에 기초하여 규정되도록 권장된다. 본 발명의 범위 내의 위치 데이터는 신뢰성 있는 환경의 좌표 또는 공간 범위를 말한다. 본 발명의 범위 내의 LAN 데이터(근거리 통신망 데이터)는 신뢰성 있는 환경 내의 적어도 하나의 컴포넌트, 및 바람직하게는 복수의 또는 모든 컴포넌트를 말한다. 원칙적으로 LAN은 무선 네트워크(무선 LAN, WLAN)를 포함할 수 있고, 또는 무선 네트워크 또는 WLAN의 형태로 될 수 있다. 일 실시예에 있어서, LAN 데이터는 수신가능한 외부 WLAN 신호 및/또는 신호 강도 및/또는 WLAN에 통합된 컴포넌트의 네트워크 식별자를 포함한다. 수신가능한 외부 WLAN 신호는 신뢰성 있는 환경에서 수신될 수 있고 신뢰성 있는 환경의 일부인 임의의 컴포넌트를 각각 구성하지 않는 네트워크로부터의 신호를 포함한다. 본 발명의 범위 내의 신호 강도는 외부 WLAN에 의해 수신될 수 있는 신호 및/또는 신뢰성 있는 환경으로부터 오는 컴포넌트에 의해 수신될 수 있는 신호를 말한다. 본 발명의 범위 내의 네트워크 어드레스는 신뢰성 있는 환경 내의 컴포넌트의 어드레스를 포함한다. 본 발명의 범위 내의 GSM 데이터는, 예를 들면, GSM 무선 셀에 의해 액세스될 수 있는 신뢰성 있는 환경에 위치된 GSM 가능 장치의 아이덴티티를 말한다. 기상 데이터는 예를 들면 현재 온도 및/또는 과거 온도 프로파일이다. 블루투스 데이터는 신뢰성 있는 환경에 있는 적어도 하나의 블루투스 가능 장치의 접촉 데이터를 포함한다.
네트워크 컴포넌트를 신뢰성 있는 환경에 배치하기 위해, 신뢰성 있는 환경을 규정하는 데이터 세트는 바람직하게 네트워크 컴포넌트에 의해 공급되고 기준 데이터 세트와 통합 데이터 세트 간의 특정 최대 편차가 소정의 레벨 이내에 있는 경우에만 신뢰성 있는 환경에 배타적으로 통합되는 통합 데이터 세트와 비교된다. 통합 데이터 세트는 위치 데이터(GPS 데이터), LAN 데이터, 블루투스 데이터, 네트워크 어드레스, GSM 무선 데이터, 기상 데이터로 이루어진 그룹으로부터 선택된 적어도 하나의 데이터 세트를 포함한다. 특히 바람직한 접근법으로, 통합 데이터 세트에 포함된 데이터 세트는 또한 기준 데이터 세트의 구성 요소이다. 최대 편차는 바람직하게 특정되거나 특정가능하고, 이로써 본 발명에 따른 방법의 보안 레벨을 조정할 수 있다. 허용가능한 편차가 높아질수록 보안 레벨은 그에 따라 더 낮아진다. 본 발명에 따른 방법의 보안 레벨은 기준 데이터 세트와 통합 데이터 세트 간의 허용가능한 편차가 작아질수록 향상된다. 네트워크 컴포넌트는 바람직하게, 만일 네트워크 컴포넌트에 의해 공급된 통합 데이터 세트가 기준 데이터 세트와 동일하면 신뢰성 있는 환경 내에 있거나 신뢰성 있는 환경에 통합된다. 일 실시예에 있어서, 만일 통합 데이터 세트가 기준 데이터 세트와 매칭되지 않거나, 명시된 편차가 통합 데이터 세트와 기준 데이터 세트 사이에서 초과되면, 네트워크 컴포넌트는 외부 네트워크 컴포넌트로 간주되고, 또는 신뢰성 있는 환경에 속하지 않는 것으로 간주된다. 이 경우에, 네트워크 컴포넌트는 신뢰성 있는 환경의 구성 요소가 아니다. 네트워크 컴포넌트는 통합 데이터 세트, 바람직하게는 통합 데이터 세트에 포함된 데이터 세트들 또는 통합 데이터 세트에 포함된 데이터 세트를 검출 또는 결정할 수 있는 적어도 하나의 센서를 구비하는 것이 유리하다. 일 실시예에 있어서의 센서는 GPS 센서이다.
사용자 디바이스를 신뢰성 있는 환경에 도입하기 위해, 신뢰성 있는 환경을 규정하는 기준 데이터 세트를 사용자 디바이스로부터 검출된 입력 데이터와 비교하는 것이 권장되고, 사용자 디바이스는 기준 데이터 세트와 입력 데이터 간의 명시된 최대 편차가 특정 값 이내에 있을 때에만 신뢰성 있는 환경에 배타적으로 속하는 것으로 간주된다. 입력 데이터는 기준 데이터 세트와 매칭되는 것이 특히 바람직하다. 사용자 디바이스로부터 검출된 입력 데이터는 기준 데이터 세트에 포함된 적어도 하나의 데이터 세트를 포함한다. 예를 들면, 입력 데이터는 위치 데이터(GPS 데이터), LAN 데이터, 블루투스 데이터, 네트워크 어드레스, GSM 무선 데이터, 기상 데이터로 이루어진 그룹으로부터 선택된 적어도 하나의 데이터 세트를 포함한다. 사용자 디바이스는 입력 데이터를 검출 또는 결정할 수 있는 적어도 하나의 센서 유닛을 구비하는 것이 권장된다. 센서 유닛은 바람직하게는 GPS 센서이다. 입증된 접근법은 신뢰성 있는 환경을 규정하는 데이터 세트를 네트워크 컴포넌트 및/또는 사용자 디바이스에 저장하는 것이다. 특히 바람직한 양태에 있어서, 네트워크 컴포넌트는 네트워크 컴포넌트에 저장된 통합 데이터 세트 및 기준 데이터를 이용하여 네트워크 컴포넌트가 신뢰성 있는 환경에 속하는지를 주도적으로 결정한다.
특히 바람직한 양태에 있어서, 네트워크 컴포넌트는 사용자 디바이스가 신뢰성 있는 환경의 외부에 배치될 때마다 사용자 디바이스가 네트워크 컴포넌트에 저장된 패스워드를 검색하게 하는 것을 거부한다. 네트워크 컴포넌트는 사용자 디바이스가 신뢰성 있는 환경에 도입되거나 신뢰성 있는 환경에 통합된 때에만 사용자 디바이스로부터의 패스워드 요청에 응답하는 것이 유리하다. 패스워드는 사용자 디바이스에 저장되지 않는 것이 유리하다. 사용자 디바이스가 예를 들면 신뢰성 있는 환경 외부에 배치될 때마다, 사용자는 사용자 디바이스를 이용하여 신뢰성 있는 환경 및/또는 서비스에 대한 보안 액세스를 획득하기 위해 패스워드를 입력하도록 요구된다. 본 발명에 따르면, 네트워크 컴포넌트는 네트워크 컴포넌트가 신뢰성 있는 환경의 외부에 배치되어 있으면 사용자 디바이스가 네트워크 컴포넌트에 저장된 패스워드를 검색하게 하는 것을 거부한다. 네트워크 컴포넌트에 의해 결정된 통합 데이터 세트가 기준 데이터 세트으로부터 특정 편차를 초과할 때마다, 네트워크 컴포넌트는 패스워드를 드러내는 것을 거부한다.
적어도 2개, 바람직하게는 복수의 네트워크 컴포넌트가 신뢰성 있는 환경에 있는 경우에 패스워드의 하나의 개별적 부분이 신뢰성 있는 환경의 적어도 2개의 네트워크 컴포넌트 각각에 저장되는 것이 유리한 것으로 밝혀졌다. 패스워드의 하나의 부분은 신뢰성 있는 환경의 각 네트워크 컴포넌트에 저장되는 것이 바람직하다. 개개의 네트워크 컴포넌트에 저장된 패스워드 부분들은 서로 다른 것이 유리하다. 패스워드의 적어도 2개의 부분이 동일하고, 선택적으로 패스워드의 모든 부분이 동일하게 될 수 있다. 네트워크 컴포넌트의 어드레스는 패스워드로서 사용될 수 있다. 서비스에 대한 액세스는 패스워드에 의해 가능하다. 일 실시예에 있어서, 파일 시스템의 복호는 바람직하게 복호 키로서 사용되는 패스워드에 의해 실행된다.
사용자 디바이스는 패스워드의 부분들이 저장되어 있는 네트워크 컴포넌트로부터 패스워드의 부분들을 검색하는 것이 유리하다. 사용자 디바이스에 의해 검색된 패스워드의 부분들은 서로 결합되어 사용자 디바이스에서 패스워드를 형성하는 것이 권장된다. 특히 양호한 실시예에 있어서, 패스워드는 사용자 디바이스에 저장되지 않거나 일시적으로만 저장된다. 어드레스는 접촉할 네트워크 컴포넌트용으로 사용자 디바이스에 저장되고, 그 네트워크 컴포넌트로부터 패스워드가 검색되거나 패스워드의 부분들이 검색되는 것이 바람직하다. 본 발명에 따르면, 패스워드 또는 패스워드의 부분들의 검색은 사용자 디바이스가 신뢰성 있는 환경에 또는 서비스에 유리하게 도입되자마자 사용자 디바이스에 의해 주도적으로 실행된다. 만일 사용자 디바이스가 신뢰성 있는 환경에 도입되지 않았거나, 및/또는 패스워드의 일부가 저장된 네트워크 컴포넌트가 신뢰성 있는 환경에 있지 않으면, 본 발명에 따라서, 사용자 디바이스에 의한 서비스에의 액세스가 주도적으로 확립될 수 없다. 본 발명의 범위 내에서, '주도적으로'는 패스워드를 검색하는 사용자 디바이스가 네트워크 컴포넌트에 저장된 패스워드 또는 개개의 네트워크 컴포넌트에 저장된 패스워드의 부분들을 검색하기 위해 신뢰성 있는 환경에 있는 네트워크 컴포넌트 및/또는 신뢰성 있는 환경에 있는 네트워크 컴포넌트들에게 자동으로 접촉하는 것을 의미한다. 사용자 디바이스는 사용자 디바이스가 신뢰성 있는 환경에 있는 경우에만 주도적으로 패스워드의 검색을 실행할 수 있다. 네트워크 컴포넌트는 자신들이 신뢰성 있는 환경에 속하는지를 각각 주도적으로 또는 독립적으로 결정하는 것이 권장된다.
또한, 본 발명은 서비스가 규정된 신뢰성 있는 환경에서 보안적으로 액세스가능한, 본 발명의 목적을 달성하는 시스템을 교시하고, 여기에서, 규정된 신뢰성 있는 환경은 적어도 하나의 네트워크 컴포넌트를 포함하고, 패스워드는 네트워크 컴포넌트에 저장되며, 사용자 디바이스는 신뢰성 있는 환경에 도입되거나 신뢰성 있는 환경에 통합될 수 있고, 신뢰성 있는 환경에 통합된 사용자 디바이스와 네트워크 컴포넌트 사이에서 통신이 실행되고, 네트워크 컴포넌트에 저장된 패스워드는 신뢰성 있는 환경에 통합된 사용자 디바이스에 의해 검색될 수 있고, 사용자 디바이스는 패스워드를 서비스에 전달하고, 서비스는 서비스에 저장된 패스워드가 사용자 디바이스에 의해 전달된 패스워드와 매칭되면 사용자 디바이스에 대해 가능하게 된다.
신뢰성 있는 환경은 사설 네트워크인 것이 권장된다. 본 발명의 범위 내에서, 사설 네트워크는 회사 네트워크 및/또는 개인 거주지 및/또는 컴퓨터 센터에 있는 네트워크를 말한다. 네트워크 컴포넌트는 수동 네트워크 컴포넌트가 권장된다. 네트워크 컴포넌트는, 예를 들면, DSL 스위치, 필터, 증폭기 등이다. 본 발명의 범위 내에서, 수동 네트워크 컴포넌트는 특히 이 네트워크 컴포넌트가 임의의 데이터 또는 신호를 발생하지 않는다는 사실을 의미한다.
네트워크 컴포넌트는 능동 네트워크 컴포넌트일 수 있다. 능동 네트워크 컴포넌트는 서버, NAS 서버, 블루투스 장치, 프린터, 대용량 기억장치로 이루어진 그룹으로부터 선택된 적어도 하나의 컴포넌트이다. 사용자 디바이스는 네트워크 가능한 장치가 유리하다. 일 실시예에 있어서, 사용자 디바이스는 휴대용 컴퓨터(노트북), 이동 전화기, 스마트폰, 태블릿 PC로 이루어진 그룹으로부터 선택된다.
패스워드는 신뢰성 있는 환경에 있는 네트워크 컴포넌트의 네트워크 어드레스 및/또는 네트워크 어드레스의 일부를 내포하는 것이 유리한 것으로 밝혀졌다. 이 접근법은 패스워드를 저장해야 하는 네트워크 컴포넌트에서 추가의 메모리를 요구하지 않는다. 패스워드는 신뢰성 있는 환경에 통합된 개개의 네트워크 컴포넌트의 네트워크 어드레스 또는 네트워크 어드레스의 일부로 구성될 수 있다.
본 발명은 본 발명에 따른 방법 및 본 발명에 따른 시스템이 놀라울 정도의 사용의 용이성 및 높은 정도의 사용자 친화성을 특징으로 한다는 개념에 기반한다. 서비스에 대한 액세스를 가능하게 하기 위해 패스워드를 빈번하게 입력하는 것은 본 발명에 따른 방법에 의해 사용자 디바이스가 신뢰성 있는 환경에 있지 않은 상황으로 제한된다. 본 발명에 따른 방법은 사용자 디바이스가 신뢰성 있는 환경에 배치될 때마다 보안성을 손상시키지 않고 패스워드 입력 필요성을 제거할 수 있게 한다. 사용자 디바이스는 서비스에 액세스할 수 있는 개개의 컴포넌트가 신뢰성 있는 환경에서 저장된다는 사실 때문에 임의의 특수하게 보안된 메모리 없이도 설계될 수 있다. 승인되지 않은 제3자는 본 발명에 따른 방법 또는 본 발명에 따른 시스템에서 패스워드를 어디에서 그리고 어떻게 획득하는지에 대하여 인식하지 못하기 때문에, 서비스에 대한 비승인 액세스는 불가능하고, 또는 비용을 지불하는 방식에 의해서만 가능하다. 그 결과, 본 발명에 따른 방법은 높은 수준의 보안성 및 놀라울 정도의 사용의 용이성을 갖는 특징이 있다.
이하의 논의는 하나의 예시적인 실시예만을 나타내는 도면에 기초하여 본 발명을 자세히 설명한다.
도 1은 사용자 디바이스가 신뢰성 있는 환경에 있을 때 본 발명에 따른 방법을 실행하는 본 발명에 따른 시스템을 보여준다.
도 2는 사용자 디바이스가 신뢰성 있는 환경 외부에 있을 때 본 발명에 따른 방법을 실행하는 본 발명에 따른 시스템을 보여준다.
도 1은 NAS 서버(네트워크 부착형 스토리지 서버)(2) 형태의 서비스가 규정된 신뢰성 있는 환경(3)에 있을 때의 시스템(1)을 보여준다. 도 1에 도시된 것처럼, 네트워크 컴포넌트(4)는 신뢰성 있는 환경(3)에 있다. 네트워크 컴포넌트(4)는 네트워크 컴포넌트(4)에 저장된 기준 데이터 세트와 비교되는 통합 데이터를 결정할 수 있는 센서(5)를 각각 구비한다. 여기에서, 센서(5)는 네트워크 컴포넌트(4)의 위치를 결정하고, 획득된 위치 데이터를 기준 데이터 세트에 내포된 위치 데이터와 비교한다. 여기에서 및 도 1 및 도 2에서, 센서(5)에 의해 획득된 위치 데이터 및 기준 데이터 세트에 저장된 위치 데이터는 매칭되고, 그 결과 네트워크 컴포넌트(4)는 자신이 신뢰성 있는 환경(3)에 속해 있고 신뢰성 있는 환경(3)에 통합되어 있다고 결정한다.
도 1은 또한 사용자 디바이스(6)가 신뢰성 있는 환경(3)에 도입된 것을 보여주고 있고, 사용자 디바이스(6)는, 바람직하게 및 도 1에서, 사용자 디바이스(6)에 의해 결정된 입력 데이터를 이용하여 사용자 디바이스(6)에 저장된 기준 데이터 세트와의 비교에 의해 자신이 신뢰성 있는 환경(3)에 속해 있다고 결정한다. 도 1의 실시예에 있어서, 사용자 디바이스(6)는 자신이 신뢰성 있는 환경(3)의 구성 요소라고 결정한다. 신뢰성 있는 환경(3)에 통합된 사용자 디바이스는 이제 패스워드 요청을 네트워크 컴포넌트(4)에게 보낼 수 있다.
화살표(7)는 사용자 디바이스(6)가 네트워크 컴포넌트(4)에 저장된 패스워드를 검색하기 위해 네트워크 컴포넌트(4)에게 패스워드 요청을 보내는 것을 나타낸다. 네트워크 컴포넌트(4)와 사용자 디바이스(6)가 둘 다 신뢰성 있는 환경(3)에 있기 때문에, 네트워크 컴포넌트(4)는 화살표(8)로 표시한 것처럼, 네트워크 컴포넌트(4)에 저장된 패스워드를 사용자 디바이스(6)에게 보냄으로써 상기 요청(7)에 응답한다. 사용자 디바이스(6)는 네트워크 컴포넌트(4)로부터 획득된 패스워드를 이용해서, 화살표(9)로 표시한 것처럼 NAS 서버(2)에 로그인한다.
여기에서, NAS 서버(2)는, 도 1에 도시된 것처럼, NAS 서버(2)의 파일 시스템(도시 생략됨)에 저장된 패스워드가 사용자 디바이스(6)에 의해 NAS 서버(2)에 전달된 패스워드와 매칭되면, NAS 서버(2)의 파일 시스템에 저장된 파일들을 복호한다. 화살표(10)는 NAS 서버(2)와 사용자 디바이스(6) 간의 데이터 전송을 나타낸다.
도 2는 사용자 디바이스(6)가 신뢰성 있는 환경(3) 외부에 있는 경우를 보인 것이다. 사용자 디바이스(6)는 사용자 디바이스(6)에 의해 결정된 입력 데이터를 사용자 디바이스(6)에 저장된 기준 데이터 세트와 비교하고, 그 과정에서 데이터들이 매칭되지 않음을 발견한다. 도 2에서 사용자 디바이스(6)는 신뢰성 있는 환경(3) 외부에 있기 때문에, 패스워드 요청(7)의 결과는 장치가 신뢰성 있는 환경(3)에 있는 네트워크 컴포넌트(4)에 도달하지 못하는 것이다. 그 결과, 사용자 디바이스(6)는 패스워드 요청(7)에 의해, NAS 서버(2)에 액세스하기 위해 필요한 패스워드를 요청할 수 없게 된다. 도 2는 사용자 디바이스(6)에 의한 주도적 패스워드 요청이 실패한 후에 NAS 서버(2)에 대한 액세스를 실행할 수 없는 상황을 보여준다. 도 2는 NAS 서버(2)에 대한 액세스가 사용자 디바이스(6)에서 패스워드를 수동으로 입력함으로써 확립될 수 있음은 예시하지 않았다.

Claims (15)

  1. 적어도 하나의 네트워크 컴포넌트(4)를 보유(holding)하는 규정된 신뢰성 있는 환경(3)에서 서비스(2)에 대한 보안 액세스를 획득하는 방법에 있어서,
    패스워드를 상기 네트워크 컴포넌트(4)에 저장하는 단계와;
    사용자 디바이스(6)를 상기 신뢰성 있는 환경(3)에 도입하는 단계와;
    상기 사용자 디바이스(6)가 상기 네트워크 컴포넌트(4)와 접촉하여 상기 네트워크 컴포넌트(4)에 저장된 패스워드를 검색하는 단계와;
    상기 사용자 디바이스(6)가 상기 패스워드를 상기 서비스(2)에 전달하는 단계와;
    상기 서비스(2)에 저장된 패스워드가 상기 사용자 디바이스(6)에 의해 상기 서비스(2)에 전달된 패스워드와 매칭되는 경우, 상기 사용자 디바이스(6)에 대한 상기 서비스(2)를 가능하게 하는 단계
    를 포함하는, 보안 액세스 획득 방법.
  2. 제1항에 있어서, 상기 신뢰성 있는 환경(3)은 기준 데이터 세트에 기초하여 규정되고,
    상기 기준 데이터 세트는 위치 데이터(GPS 데이터), LAN 데이터, 블루투스 데이터, 네트워크 어드레스, GSM 무선 데이터, 기상(meteorological) 데이터로 이루어진 그룹으로부터의 적어도 하나의 데이터 세트를 포함하는, 보안 액세스 획득 방법.
  3. 제2항에 있어서, 상기 신뢰성 있는 환경(3)을 규정하는 상기 기준 데이터 세트는 상기 네트워크 컴포넌트(4)를 상기 신뢰성 있는 환경(3)에 두기 위해 상기 네트워크 컴포넌트(4)에 의해 공급된 통합 데이터와 비교되고, 상기 네트워크 컴포넌트(4)는 상기 기준 데이터 세트와 상기 통합 데이터 간의 명시된 최대 편차가 특정 값 미만이 되는 경우에만 상기 신뢰성 있는 환경(3)에 속하는 것으로 간주되는, 보안 액세스 획득 방법.
  4. 제2항 또는 제3항에 있어서, 상기 신뢰성 있는 환경(3)을 규정하는 상기 기준 데이터 세트는 상기 사용자 디바이스(6)를 상기 신뢰성 있는 환경(3)에 도입하기 위해 상기 사용자 디바이스(6)로부터의 입력 데이터와 비교되고,
    상기 기준 데이터 세트와 상기 입력 데이터 간의 명시된 최대 편차가 특정 값 미만이 되는 경우에만, 상기 사용자 디바이스(6)는 상기 신뢰성 있는 환경(3)에 배타적으로 속하는 것으로 간주되는, 보안 액세스 획득 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 네트워크 컴포넌트(4)는 상기 사용자 디바이스(6)가 상기 신뢰성 있는 환경(3)의 외부에 놓이는 경우에, 상기 사용자 디바이스(6)가 상기 네트워크 컴포넌트(4)에 저장된 패스워드를 검색하게 하는 것을 거부하는, 보안 액세스 획득 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 네트워크 컴포넌트(4)는 상기 네트워크 컴포넌트(4)가 상기 신뢰성 있는 환경(3)의 외부에 놓이는 경우에, 상기 사용자 디바이스(6)가 상기 네트워크 컴포넌트(4)에 저장된 패스워드를 검색하게 하는 것을 거부하는, 보안 액세스 획득 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 적어도 2개의 그리고 바람직하게는 복수의 네트워크 컴포넌트들이 상기 신뢰성 있는 환경(3)에 있고, 상기 패스워드의 하나의 부분이 상기 신뢰성 있는 환경(3)의 적어도 2개의 네트워크 컴포넌트들(4) 각각에 저장되는, 보안 액세스 획득 방법.
  8. 제7항에 있어서, 상기 사용자 디바이스(6)는 상기 패스워드의 부분들이 저장되는 상기 네트워크 컴포넌트들(4)로부터 상기 패스워드의 각각의 부분들을 검색하는, 보안 액세스 획득 방법.
  9. 제8항에 있어서, 상기 사용자 디바이스(6)에 의해 검색되는 상기 패스워드의 부분들이 결합되어, 상기 사용자 디바이스(6)에서 패스워드를 형성하는, 보안 액세스 획득 방법.
  10. 특히 규정된 신뢰성 있는 환경(3)에서 서비스(2)가 보안적으로 액세스가능한, 제1항 내지 제9항 중 어느 한 항에 따른 방법을 실행하기 위한 시스템에 있어서,
    상기 규정된 신뢰성 있는 환경(3)은 적어도 하나의 네트워크 컴포넌트(4)를 포함하고,
    패스워드가 상기 네트워크 컴포넌트(4)에 저장되고,
    사용자 디바이스(6)가 상기 신뢰성 있는 환경(3)에 도입되거나 통합될 수 있고,
    상기 네트워크 컴포넌트(4)와 상기 신뢰성 있는 환경(3)에 통합된 상기 사용자 디바이스(6) 사이에서 통신이 실행되고,
    상기 네트워크 컴포넌트(4)에 저장된 패스워드는 상기 신뢰성 있는 환경(3)에 통합된 상기 사용자 디바이스(6)에 의해 검색될 수 있고,
    상기 사용자 디바이스(6)는 상기 패스워드를 상기 서비스(2)에 전달하며,
    상기 서비스(2)에 저장된 패스워드가 상기 사용자 디바이스(6)에 의해 전달된 패스워드와 매칭되는 경우, 상기 서비스(2)가 상기 사용자 디바이스(6)에 대해 가능하게 되는, 시스템.
  11. 제10항에 있어서, 상기 신뢰성 있는 환경(3)은 바람직하게는 사설 네트워크인, 시스템.
  12. 제10항 또는 제11항에 있어서, 상기 네트워크 컴포넌트(4)는 수동 네트워크 컴포넌트인, 시스템.
  13. 제10항 또는 제11항에 있어서, 상기 네트워크 컴포넌트(4)는 능동 네트워크 컴포넌트인, 시스템.
  14. 제10항 내지 제13항 중 어느 한 항에 있어서, 상기 사용자 디바이스(6)는 네트워크 가능 장치인, 시스템.
  15. 제10항 내지 제14항 중 어느 한 항에 있어서, 상기 패스워드는 상기 신뢰성 있는 환경(3)에 있는 네트워크 컴포넌트의 어드레스를 포함하는, 시스템.
KR1020130090985A 2012-08-01 2013-07-31 서비스에 대한 보안 액세스를 획득하는 방법 KR101599105B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP12178889.7 2012-08-01
EP12178889.7A EP2706769A1 (de) 2012-08-01 2012-08-01 Verfahren und Vorrichtung zum sicheren Zugang zu einem Dienst

Publications (2)

Publication Number Publication Date
KR20140017457A true KR20140017457A (ko) 2014-02-11
KR101599105B1 KR101599105B1 (ko) 2016-03-14

Family

ID=50026890

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130090985A KR101599105B1 (ko) 2012-08-01 2013-07-31 서비스에 대한 보안 액세스를 획득하는 방법

Country Status (6)

Country Link
US (1) US20140041003A1 (ko)
EP (1) EP2706769A1 (ko)
JP (1) JP5775119B2 (ko)
KR (1) KR101599105B1 (ko)
CN (1) CN103580866A (ko)
TW (1) TWI575403B (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10491587B2 (en) * 2013-10-28 2019-11-26 Singou Technology Ltd. Method and device for information system access authentication
US10445487B2 (en) * 2017-07-20 2019-10-15 Singou Technology (Macau) Ltd. Methods and apparatus for authentication of joint account login

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003099400A (ja) * 2001-09-26 2003-04-04 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム
US20050198534A1 (en) * 2004-02-27 2005-09-08 Matta Johnny M. Trust inheritance in network authentication
JP2010282322A (ja) * 2009-06-03 2010-12-16 Seiko Epson Corp 認証システム及び認証方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020065946A1 (en) * 2000-10-17 2002-05-30 Shankar Narayan Synchronized computing with internet widgets
US20020066039A1 (en) * 2000-11-30 2002-05-30 Dent Paul W. Anti-spoofing password protection
US7228438B2 (en) * 2001-04-30 2007-06-05 Matsushita Electric Industrial Co., Ltd. Computer network security system employing portable storage device
US7133695B2 (en) * 2001-09-26 2006-11-07 Siemens Communications, Inc. System and method for automatic mobile device activation
US20030188201A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Method and system for securing access to passwords in a computing network environment
JP2004220464A (ja) * 2003-01-17 2004-08-05 Nec Corp エリア限定コンテンツ配信方法及びシステム
CA2434276A1 (en) * 2003-07-03 2005-01-03 Ibm Canada Limited - Ibm Canada Limitee Password management
EP1536306A1 (en) * 2003-09-30 2005-06-01 Broadcom Corporation Proximity authentication system
JP4550526B2 (ja) * 2004-08-27 2010-09-22 レノボ シンガポール プライヴェート リミテッド 情報処理システム、情報処理装置、登録サーバ、制御プログラム、及び制御方法
US7469291B2 (en) * 2004-09-22 2008-12-23 Research In Motion Limited Apparatus and method for integrating authentication protocols in the establishment of connections between computing devices
CN1838591B (zh) * 2005-03-21 2010-05-05 松下电器产业株式会社 用于无线网络的自动安全认证系统及方法
EP1708528A1 (en) * 2005-03-31 2006-10-04 BRITISH TELECOMMUNICATIONS public limited company Location based authentication
GB0514377D0 (en) * 2005-07-13 2005-08-17 Kemshall Andrew Password automation
JP4806271B2 (ja) * 2006-02-27 2011-11-02 富士通株式会社 情報セキュリティシステム、そのサーバ、プログラム
US8074271B2 (en) * 2006-08-09 2011-12-06 Assa Abloy Ab Method and apparatus for making a decision on a card
JP4247500B2 (ja) * 2007-01-16 2009-04-02 クオリティ株式会社 サービス提供管理システム
GB2449485A (en) * 2007-05-24 2008-11-26 Iti Scotland Ltd Authentication device requiring close proximity to client
US8827163B2 (en) * 2007-12-04 2014-09-09 Chung Shan Institute Of Science And Technology, Armaments Bureau, M.N.D. Anti-fake identification system and method capable of automatically connecting to web address
JP5195163B2 (ja) * 2008-08-27 2013-05-08 富士通株式会社 アクセス制御プログラム,アクセス制御方法及びアクセス制御装置
US20100077472A1 (en) * 2008-09-23 2010-03-25 Atmel Corporation Secure Communication Interface for Secure Multi-Processor System
DE102010031931A1 (de) * 2010-07-22 2012-01-26 Siemens Aktiengesellschaft Verfahren zum Registrieren einer drahtlosen Kommunikationseinrichtung an einer Basiseinrichtung sowie entsprechendes System

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003099400A (ja) * 2001-09-26 2003-04-04 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法並びにセキュリティ管理用プログラム
US20050198534A1 (en) * 2004-02-27 2005-09-08 Matta Johnny M. Trust inheritance in network authentication
JP2010282322A (ja) * 2009-06-03 2010-12-16 Seiko Epson Corp 認証システム及び認証方法

Also Published As

Publication number Publication date
JP5775119B2 (ja) 2015-09-09
TWI575403B (zh) 2017-03-21
CN103580866A (zh) 2014-02-12
KR101599105B1 (ko) 2016-03-14
TW201413492A (zh) 2014-04-01
EP2706769A1 (de) 2014-03-12
US20140041003A1 (en) 2014-02-06
JP2014032670A (ja) 2014-02-20

Similar Documents

Publication Publication Date Title
US10985909B2 (en) Door lock control with wireless user authentication
US20180357406A1 (en) Management system for self-encrypting managed devices with embedded wireless user authentication
US8719568B1 (en) Secure delivery of sensitive information from a non-communicative actor
EP2731040B1 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
KR101754308B1 (ko) 모바일 민감 데이터 관리 방법 및 이를 수행하는 위탁 서버
US9225696B2 (en) Method for different users to securely access their respective partitioned data in an electronic apparatus
US20190138621A1 (en) High-speed secure virtual file system
US20070150736A1 (en) Token-enabled authentication for securing mobile devices
US20170372085A1 (en) Protecting data in a storage device
US11762989B2 (en) Securing electronic data by automatically destroying misdirected transmissions
CN104756441A (zh) 用于数据访问控制的方法和装置
WO2008112482A3 (en) Blacklisting of unlicensed mobile access (uma) users via aaa policy database
US20150020180A1 (en) Wireless two-factor authentication, authorization and audit system with close proximity between mass storage device and communication device
US20170238236A1 (en) Mac address-bound wlan password
EP4242902A2 (en) Self-encrypting module with embedded wireless user authentication
JP2018181349A (ja) 記憶装置及び該記憶装置の操作方法
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
US10542434B2 (en) Evaluating as to whether or not a wireless terminal is authorized
US20170064548A1 (en) Method of and system for gaining secure access to a service
KR101599105B1 (ko) 서비스에 대한 보안 액세스를 획득하는 방법
US20140122879A1 (en) Secure computing system
US20090024844A1 (en) Terminal And Method For Receiving Data In A Network
KR101133210B1 (ko) 모바일 클라이언트 단말기의 보안인증시스템
KR20210114965A (ko) 변조방지 데이터 처리 디바이스
CN110659460A (zh) 数据保护的装置、计算机可读存储媒体及方法

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee