KR20160080702A - System and method of controlling user device being able to applying security policy based on position which is automatically recognized - Google Patents

System and method of controlling user device being able to applying security policy based on position which is automatically recognized Download PDF

Info

Publication number
KR20160080702A
KR20160080702A KR1020140193440A KR20140193440A KR20160080702A KR 20160080702 A KR20160080702 A KR 20160080702A KR 1020140193440 A KR1020140193440 A KR 1020140193440A KR 20140193440 A KR20140193440 A KR 20140193440A KR 20160080702 A KR20160080702 A KR 20160080702A
Authority
KR
South Korea
Prior art keywords
user terminal
security policy
location
policy
request signal
Prior art date
Application number
KR1020140193440A
Other languages
Korean (ko)
Inventor
전익찬
김흥민
박남건
이재경
안경섭
Original Assignee
주식회사 더보안
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 더보안 filed Critical 주식회사 더보안
Priority to KR1020140193440A priority Critical patent/KR20160080702A/en
Publication of KR20160080702A publication Critical patent/KR20160080702A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a user terminal control system and a user terminal control method to automatically check a location of a user terminal and apply a security policy in accordance with the location. The system comprises: an access point (AP) receiving an access request signal based on a second location from a user terminal adopting a first security policy based on a first location to combine with the user terminal; and a management server receiving a policy modification checking request signal for applying a second security policy from the AP combined with the user terminal, and checking the location of the user terminal based on the received policy modification checking request signal to transmit a user terminal control signal reflecting a second security policy based on the checked location to the user terminal through the AP. At least one function of the user terminal is controlled based on the user terminal control signal received from the management server through the AP.

Description

사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템 및 방법{SYSTEM AND METHOD OF CONTROLLING USER DEVICE BEING ABLE TO APPLYING SECURITY POLICY BASED ON POSITION WHICH IS AUTOMATICALLY RECOGNIZED}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a system and a method for controlling a user terminal by automatically detecting a location of a user terminal and applying a security policy according to a location,

본 발명은 사용자 단말기 제어 시스템 및 방법에 관한 것으로서 보다 상세하게는 사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템 및 방법에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user terminal control system and method, and more particularly, to a user terminal control system and method capable of automatically detecting a position of a user terminal and applying a security policy according to a location.

최근 널리 사용되고 있는 스마트폰이나 태블릿 PC 등과 같은 이동 통신 단말기는 다양한 기능을 가지고 있다. 기본적인 통신 기능과 함께, 카메라 기능, 블루투스 기능, 무선 랜 기능, 테더링 기능, USB 기능, 음성/영상 녹음 또는 녹화 기능 등 다양한 기능을 기본적으로 제공하고 있으며, 단말기와 상기 기능을 구현하는 부품의 사양 또한 소형화 및 고도화되고 있다. 이러한 추세는 스마트폰 이외에도 디지털 카메라나 소형 캠코더, 태블릿 컴퓨터 등과 같은 다양한 모바일 기기도 마찬가지이며, 모바일 기기의 융합화에 따라 점점 더 다양한 기능을 제공하고 있다.Recently, widely used mobile communication terminals such as smart phones and tablet PCs have various functions. In addition to basic communication functions, it provides various functions such as camera function, Bluetooth function, wireless LAN function, tethering function, USB function, audio / video recording or recording function, Also, miniaturization and advancement are being made. In addition to smartphones, the trend is the same for various mobile devices such as digital cameras, small camcorders, tablet computers, and the like.

한편, 이러한 추세에 따라 모바일 기기를 이용한 정보 유출 사례도 크게 증가하고 있다. 비밀 유지가 필요한 기업의 연구소 등에서 스마트폰이나 태블릿 PC 등과 같은 모바일 기기를 이용하여 설계 도면을 촬영하여 정보를 유출시키거나 음성/영상 녹음 기능을 이용하여 기술 내용을 유출하는 사례가 대표적이라 할 수 있다.On the other hand, information leakage cases using mobile devices are increasing in accordance with this trend. In a research institute that requires confidentiality, it is a typical case that a design drawing is taken using a mobile device such as a smart phone or a tablet PC to leak out information or to leak a technical content using a voice / video recording function .

따라서 보안이 필요한 기업 등에서는 이와 같은 정보 유출을 방지하기 위한 방법으로 보안 영역에 출입할 때 단말기를 맡기도록 하거나 단말기의 카메라에 봉인 씰을 붙이는 등의 방법을 사용하고 있다. Therefore, in a company that needs security, a method for preventing such information leakage is to leave the terminal when entering the security area or attaching a seal to the camera of the terminal.

또한, MDM(Mobile Device Management) 개념에 의하여 원격으로 모바일 기기를 관리하는 방법이 제안되고 있으나 관련 인프라가 뒷받침되지 않거나 사용 방법이 복잡하고 번거로워서 실제 현장에 적용하기에는 아직은 여러가지 문제점을 가지고 있다.In addition, a method of remotely managing a mobile device by a MDM (Mobile Device Management) concept has been proposed, but the related infrastructure is not supported, or the method is complicated and cumbersome to use.

대한민국 공개특허공보 제10-2013-0050865호(2013.05.16.공개)는 "스마트기기를 통한 내부 기밀 자료 유출 방지 및 추적 시스템 및 그 방법"에 관한 것으로서, 인가된 억세스 포인트(AP)만으로 구성된 무선 인터넷 영역(WiFi)에서만 스마트 기기의 고기능을 사용할 수 있도록 하는 방법이 개시되어 있다. 그러나, 이러한 방법은 인가된 억세스 포인트에만 접속해야 한다는 한계가 있고 또한 인가된 억세스 포인트 내에서는 스마트 기기의 기능을 이용할 수 있으므로 이를 이용한 정보 유출의 가능성은 배제할 수 없다는 점에서 여전히 한계점을 가지고 있다.Korean Patent Laid-Open Publication No. 10-2013-0050865 (published on May 17, 2013) discloses a system and method for preventing leakage of internal confidential data through a smart device, A method for enabling a smart device to use a high function only in the Internet area (WiFi) is disclosed. However, this method has a limit in that it is required to access only the authorized access point, and the smart device function can be used within the authorized access point, so that there is still a limit in that the possibility of information leakage using the smart device can not be excluded.

이러한 점을 감안하여 본 출원인은 특허출원 제10-2013-0154189호(정보 보안 관리를 위한 사용자 단말기 제어 시스템 및 방법)에 의하여 보안이 필요한 영역에서 사용자 단말기를 효율적으로 제어할 수 있는 방법에 대하여 출원한 바 있다. 이 방법에 의하면, 보안 영역 출입시에 관리 서버에서 사용자 단말기를 제어할 수 있는 신호를 사용자 단말기로 전송함으로써 사용자 단말기의 기능을 간편하고 효율적으로 제어할 수 있다. 그러나, 이 기술은 특정 보안 영역에서 하나의 보안 정책만을 적용할 수 있다는 한계점을 가지고 있다. 따라서, 보안 영역 내부에서 복수개의 위치에 기반하여 서로 다른 보안 정책을 적용하고자 하는 경우에는 적용할 수 없다는 문제점이 있다.
In view of this point, the present applicant has filed a patent application (Patent Application No. 10-2013-0154189) on a method for efficiently controlling a user terminal in an area requiring security by means of a user terminal control system and method for information security management There is one. According to this method, when a security zone is accessed, a management server can transmit a signal for controlling the user terminal to the user terminal, so that the function of the user terminal can be controlled simply and efficiently. However, this technique has a limitation that only one security policy can be applied in a specific security domain. Therefore, there is a problem in that it can not be applied when different security policies are to be applied based on a plurality of locations within the security area.

대한민국 공개특허공보 제10-2013-0050865호(2013.05.16.공개)Korean Patent Publication No. 10-2013-0050865 (published on May 16, 2013) 대한민국 특허출원 제제10-2013-0154189호(2013.12.11.출원)Korean Patent Application No. 10-2013-0154189 (filed on December 11, 2013)

본 발명은 상기한 바와 같은 문제점을 해결하기 위한 것으로서, 정보 보안 관리가 필요한 보안 영역에서 사용자 단말기의 위치를 자동적으로 파악하고 파악된 위치에 따라 보안 정책을 자동적으로 적용할 수 있는 사용자 단말기 제어 시스템 및 방법을 제공하는 것을 목적으로 한다.
The present invention has been made to solve the above problems and it is an object of the present invention to provide a user terminal control system capable of automatically detecting a location of a user terminal in a security area requiring information security management and automatically applying a security policy according to the detected location, And a method thereof.

상기한 바와 같은 과제를 해결하기 위하여 본 발명은 위치에 기반한 복수개의 보안 정책 운용을 위한 사용자 단말기 제어 시스템에 있어서, 제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기와 결합하는 AP; 및 상기 사용자 단말기와 결합한 AP로부터 제2 보안 정책 적용을 위한 정책 변경 확인 요청 신호를 수신하고, 상기 수신한 정책 변경 확인 요청 신호에 기초하여 상기 사용자 단말기의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP를 통해 사용자 단말기로 전송하는 관리 서버를 포함하고, 상기 사용자 단말기는 상기 AP를 통해 관리 서버로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기의 적어도 하나 이상의 기능이 제어되는 것을 특징으로 하는 사용자 단말기 제어 시스템을 제공한다.According to an aspect of the present invention, there is provided a user terminal control system for a plurality of location-based security policy operations, the system comprising: a user terminal to which a first security policy based on a first location is applied, An AP for receiving a signal and associating with a user terminal; And receiving a policy change confirmation request signal for applying a second security policy from the AP associated with the user terminal, determining a location of the user terminal based on the received policy change confirmation request signal, And a management server for transmitting a user terminal control signal reflecting the security policy to the user terminal through the AP, wherein the user terminal is configured to transmit at least one or more functions of the user terminal based on the user terminal control signal received from the management server through the AP Is controlled according to the control signal.

여기에서, 상기 관리 서버는, 복수개의 제2 위치에 대응하는 제2 보안 정책을 각각 저장하는 것이 바람직하다.Here, it is preferable that the management server stores a second security policy corresponding to a plurality of second locations, respectively.

또한, 상기 AP는, 복수개의 제2 위치마다 설치되어 사용자 단말기와 제2 위치로부터 일정 범위 내에서 무선 랜을 통해 결합할 수 있다.Also, the AP may be installed for each of a plurality of second locations and may be coupled to the user terminal through a wireless LAN within a certain range from the second location.

또한, 상기 사용자 단말기는, 제1 보안 정책에 의해 무선 랜 기능이 비활성화된 상태에서 미리 설정된 주기마다 미리 설정된 제2 영역에 설치된 AP를 검색하도록 무선 랜 기능을 활성화시켜서 검색된 AP에 접속 요청 신호를 전송함으로써 AP와 결합하거나, 제1 보안 정책에 의해 AP에의 접속이 비활성화된 상태에서 미리 설정된 주기마다 미리 설정된 제2 영역에 설치된 AP로의 접속을 활성화시켜서 해당 AP로 접속 요청 신호를 전송함으로써 AP와 결합하도록 구성할 수도 있다.In addition, the user terminal activates the wireless LAN function to search for an AP installed in a predetermined second area at a predetermined period in a state where the wireless LAN function is inactivated by the first security policy, and transmits a connection request signal to the searched AP Or by activating the connection to the AP provided in the second area which is preset every predetermined period in a state in which the connection to the AP is disabled by the first security policy and transmitting the connection request signal to the AP .

또한, 상기 사용자 단말기는, 상기 미리 설정된 주기마다 미리 설정된 시간동안 무선 랜 기능을 활성화시켜서 AP가 검색된 경우 무선 랜 기능을 활성화시키고, 미리 설정된 시간이 경과할 때까지 AP가 검색되지 않은 경우 무선 랜 기능을 다시 비활성화시키거나, 상기 미리 설정된 주기마다 미리 설정된 시간동안 상기 미리 설정된 제2 영역에 설치된 AP로의 접속을 활성화시키고, 미리 설정된 시간이 경과할 때까지 해당 AP로의 접속이 이루어지지 않는 경우 AP로의 접속을 다시 비활성화시키도록 할 수 있다.In addition, the user terminal activates the wireless LAN function for a preset time every predetermined period, activates the wireless LAN function when the AP is searched, and if the AP is not searched until a preset time elapses, Activates a connection to the AP provided in the second area for a preset time every predetermined period, and if connection to the AP is not established until a preset time elapses, Can be deactivated again.

또한, 상기 사용자 단말기로부터 AP로 전송되는 접속 요청 신호는 사용자 단말기 정보를 포함하도록 할 수 있다.Also, the connection request signal transmitted from the user terminal to the AP may include user terminal information.

또한, 상기 정책 변경 확인 요청 신호는, AP 식별 정보 및 사용자 단말기 정보를 포함하고, 상기 관리 서버는 상기 AP 식별 정보 및 사용자 단말기 정보에 기초하여 사용자 단말기의 위치를 파악하고, 파악된 위치인 제2 위치에 대응하는 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 사용자 단말기로 전송하는 것이 바람직하다.Also, the policy change confirmation request signal includes AP identification information and user terminal information, and the management server determines the location of the user terminal based on the AP identification information and the user terminal information, And transmits a user terminal control signal reflecting the second security policy corresponding to the location to the user terminal.

또한, 상기 관리 서버는, 제1 및 제2 보안 정책을 저장 및 관리하며 정책 변경 요청 확인 신호에 상응하는 제2 보안 정책에 대응하는 사용자 단말기 제어 신호를 사용자 단말기로 전송하는 보안 정책 관리부; 사용자 단말기로부터 전송되는 사용자 단말기 정보 및 사용자 단말기 제어용 응용 프로그램 관련 정보를 저장 및 관리하는 사용자 단말기 정보 관리부; 및 사용자 단말기로부터 기능 로그 정보와 프로그램 로그 정보를 수신하여 기능 로그 정보 및 프로그램 로그 정보를 검사하고 이상이 없는지의 여부를 판단하는 무결성 확인부를 포함할 수 있다.The management server may further include a security policy manager for storing and managing the first and second security policies and transmitting a user terminal control signal corresponding to a second security policy corresponding to the policy change request confirmation signal to the user terminal; A user terminal information management unit for storing and managing user terminal information transmitted from a user terminal and application program related information for controlling a user terminal; And an integrity checking unit for receiving the function log information and the program log information from the user terminal and inspecting the function log information and the program log information to determine whether there is any abnormality.

본 발명의 다른 측면에 의하면, 위치에 기반한 복수개의 보안 정책 운용을 위한 사용자 단말기 제어 시스템에서 사용자 단말기를 제어하는 방법에 있어서, AP가 제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기와 결합하는 제1 단계; 관리 서버가 상기 사용자 단말기와 결합한 AP로부터 제2 보안 정책 적용을 위한 정책 변경 확인 요청 신호를 수신하는 제2 단계; 및 관리 서버가 상기 수신한 정책 변경 확인 요청 신호에 기초하여 상기 사용자 단말기의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP를 통해 사용자 단말기로 전송하는 제3 단계를 포함하고, 상기 사용자 단말기는 상기 AP를 통해 관리 서버로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기의 적어도 하나 이상의 기능이 제어되는 것을 특징으로 하는 사용자 단말기 제어 방법을 제공한다.
According to another aspect of the present invention, there is provided a method for controlling a user terminal in a user terminal control system for a plurality of location-based security policy operations, the method comprising: receiving, from a user terminal to which a first security policy based on a first location is applied, Receiving a connection request signal based on the location and combining with the user terminal; A second step of the management server receiving a policy change confirmation request signal for applying a second security policy from an AP associated with the user terminal; And a third step of the management server recognizing the location of the user terminal based on the received policy change confirmation request signal and transmitting the user terminal control signal reflecting the second security policy based on the detected location to the user terminal through the AP Wherein the at least one function of the user terminal is controlled based on a user terminal control signal received from the management server through the AP.

본 발명에 의하면, 정보 보안 관리가 필요한 보안 영역에서 사용자 단말기의 위치를 자동적으로 파악하고 파악된 위치에 따라 보안 정책을 자동적으로 적용할 수 있는 사용자 단말기 제어 시스템 및 방법을 제공할 수 있다.
According to the present invention, it is possible to provide a user terminal control system and method capable of automatically detecting a location of a user terminal in a security domain requiring information security management and automatically applying a security policy according to the detected location.

도 1은 본 발명에 의한 시스템(100)의 일실시예의 구성을 나타낸 도면이다.
도 2는 관리 서버(10)의 내부 구성을 나타낸 도면이다.
도 3은 도 1 및 도 2를 참조하여 설명한 시스템(100)에서 이루어지는 방법의 일실시예를 나타낸 도면이다.1 is a diagram showing a configuration of an embodiment of a system 100 according to the present invention.
2 is a diagram showing an internal configuration of the management server 10. As shown in FIG.
FIG. 3 is a diagram illustrating an embodiment of a method performed in the system 100 described with reference to FIG. 1 and FIG.

이하, 첨부 도면을 참조하여 본 발명에 의한 실시예들을 상세하게 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 의한 사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템(100)의 일실시예의 구성을 나타낸 도면이다.FIG. 1 is a diagram illustrating a configuration of an embodiment of a user terminal control system 100 capable of automatically detecting a position of a user terminal according to the present invention and applying a security policy according to a location.

도 1을 참조하면, 본 실시예의 사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템(100, 이하 간단히 "시스템(100)"이라 한다)은 관리 서버(10) 및 AP(20)를 포함한다. Referring to FIG. 1, a user terminal control system 100 (hereinafter, simply referred to as "system 100") capable of automatically detecting a location of a user terminal and applying a security policy according to a location, 10 and an AP 20. [

본 시스템(100)은 예컨대 기업의 연구소 등과 같이 정보 보안 관리가 필요한 보안 구역에 설치되어 보안 구역에 출입하는 사람의 사용자 단말기(30)의 여러 가지 기능을 비활성화 및 활성화시키는 등의 기능을 위치에 기반하여 복수개의 보장 정책을 적용함으로써 제어하는 것을 주요 특징으로 한다.The system 100 is installed in a security zone requiring information security management such as a research institute of a company, for example, and functions such as disabling and activating various functions of a user terminal 30 entering and exiting the security zone, And a plurality of security policies are applied to control the system.

이를 위하여 본 시스템(100)은, 제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기(30)로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기(30)와 결합하는 AP(20); 및 상기 사용자 단말기(30)와 결합한 AP(20)로부터 정책 변경 확인 요청 신호를 수신하고, 상기 수신한 접속 요청 신호에 기초하여 상기 사용자 단말기(30)의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP(20)를 통해 사용자 단말기(30)로 전송하는 관리 서버(10)를 포함하고, 상기 사용자 단말기(30)는 상기 AP(20)를 통해 관리 서버(10)로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기(30)의 적어도 하나 이상의 기능이 제어되는 것을 특징으로 하는 시스템(100)을 제공한다.To this end, the present system 100 comprises: an AP 20 for receiving a connection request signal based on a second location from a user terminal 30 to which a first security policy based on a first location is applied and associating with the user terminal 30; And a policy change confirmation request signal from the AP 20 associated with the user terminal 30 to identify the location of the user terminal 30 based on the received connection request signal, And a management server 10 for transmitting a user terminal control signal reflecting a security policy to the user terminal 30 via the AP 20. The user terminal 30 is connected to the management server 10 The at least one function of the user terminal 30 is controlled based on the user terminal control signal received from the user terminal 30.

이하, 이러한 시스템(100)의 각 구성요소에 대해 상세하게 설명한다.Hereinafter, each component of the system 100 will be described in detail.

도 1에 나타낸 바와 같이, 본 시스템(100)은 기업의 연구소와 같은 특정 장소(이하, 이를 "보안 구역"이라 한다)인 제1 영역(40) 내에 존재하는 복수개의 제2 영역(50)에 설치된다. 한편, 시스템(100) 중에서 관리 서버(10)는 제1 영역(40) 전체에 1개 구비되고, AP(20)는 제2 영역(50) 마다 설치된다. 필요에 따라서는 관리 서버(10) 또한 제2 영역(50)마다 설치하고 이들을 서로 연결할 수도 있다. 또는, 제2 영역(50) 마다 PC와 같은 관리자 단말기를 설치하고 관리자 단말기를 하나의 관리 서버(10)에 연결할 수도 있다.1, the present system 100 includes a plurality of second areas 50 existing in a first area 40, which is a specific place (hereinafter referred to as a "security area" Respectively. On the other hand, in the system 100, one management server 10 is provided in the entire first area 40, and the AP 20 is installed in every second area 50. [ If necessary, the management server 10 may be provided for each second area 50 and may be connected to each other. Alternatively, an administrator terminal such as a PC may be installed in the second area 50, and an administrator terminal may be connected to one management server 10.

제1 영역(40)은 보안 구역 전체를 의미하며 제2 영역(50)은 보안 구역 내의 복수개의 소규모 영역을 의미한다. 예컨대, 제1 영역(40)이 기업의 연구소 건물 전체라고 하면 제2 영역(50)은 연구소 내의 휴게소, 대기실, 특정 부서가 위치한 영역 등과 같은 곳일 수 있다.The first area 40 refers to the entire security area and the second area 50 refers to a plurality of small areas within the security area. For example, if the first area 40 is the entire laboratory building of a company, the second area 50 may be a resting place, a waiting room, an area where a specific department is located, and the like.

우선, 관리 서버(10)는 사용자 단말기(30)와 결합한 AP(20)로부터 정책 변경 확인 요청 신호를 수신하고, 상기 수신한 접속 요청 신호에 기초하여 사용자 단말기(30)의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP(20)를 통해 사용자 단말기(30)로 전송하는 기능을 수행한다.First, the management server 10 receives a policy change confirmation request signal from the AP 20 associated with the user terminal 30, determines the location of the user terminal 30 based on the received connection request signal, And transmits the user terminal control signal reflecting the second security policy based on the location to the user terminal 30 through the AP 20. [

또한, AP(20)는 제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기(30)로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기(30)와 결합한다. 이후, AP(20)는 관리 서버(10)로 정책 변경 확인 요청 신호를 전송한다.Also, the AP 20 receives the connection request signal based on the second location from the user terminal 30 to which the first security policy based on the first location is applied, and combines with the user terminal 30. Thereafter, the AP 20 transmits a policy change confirmation request signal to the management server 10.

여기에서, 제1 위치라 함은 건물의 출입구 등과 같이 제1 영역(40)의 소정의 위치를 의미한다. 또한, 제1 보안 정책은 제1 영역(40)에 대응하여 설정된 보안 정책을 의미한다. Here, the first position means a predetermined position of the first area 40 such as a doorway of a building or the like. In addition, the first security policy means a security policy set in correspondence with the first area 40.

또한, 제2 위치라 함은 복수개의 제2 영역(50) 각각에 대응하는 소정의 위치로서 예컨대 대기실 입구, 휴게실 입구 등과 같은 지점을 의미한다. 또한, 제2 보안 정책은 제2 영역(50) 각각에 대응하여 설정된 보안 정책을 의미한다.The second location means a predetermined location corresponding to each of the plurality of second areas 50, for example, a point such as a waiting room entrance, a rest room entrance, and the like. Also, the second security policy means a security policy set corresponding to each of the second areas 50. [

여기에서, 보안 정책이라 함은, 보안 영역의 보안을 관리하기 위하여 사용자 단말기(30)의 기능을 제어하기 위한 기능 제어 정책 정보를 의미한다. 이러한 기능 제어 정책 정보는 단말기(30)의 어떠한 기능을 제어할 것인가를 설정해 둔 것으로서, 각각의 영역에 따라 다르게 설정할 수 있다. Here, the security policy means function control policy information for controlling the function of the user terminal 30 in order to manage the security of the security domain. The function control policy information sets which function of the terminal 30 is to be controlled, and can be set differently according to each area.

본 발명에 적용될 수 있는 기능 제어 정책 정보는 다음과 같은 것일 수 있다.The function control policy information that can be applied to the present invention may be as follows.

1) 3G/4G 접속 제한 여부1) 3G / 4G connection limitation

2) 허용되지 않은 무선 랜 접속 제한 여부2) Restrictions on unauthorized WLAN access

3) 와이브로, 테더링, 블루투스 등의 무선 통신 기능 제한 여부3) Whether wireless communication functions such as WiBro, tethering, and Bluetooth are restricted

4) USB 접속 제한 여부4) USB connection limitation

5) 카메라 기능 제한 여부5) Whether the camera function is restricted

6) 화면 캡춰 기능 제한 여부6) Whether the screen capture function is limited

7) 음성 녹음 또는 영상 녹화 기능 제한 여부7) Whether voice recording or video recording function is restricted

이러한 기능 제어 정책 정보는 전술한 사용자 단말기(30)의 사용자 인터페이스를 통해 제공되어 사용자로 하여금 인지하도록 하는 것이 바람직하다.The function control policy information may be provided through the user interface of the user terminal 30 to allow the user to recognize the function control policy information.

이러한 보안 정책 즉, 기능 제어 정책 정보는 제1 영역(40)과 제2 영역(50)을 다르게 설정하는 것이 바람직하다. 보안 정책은 복수개의 제2 영역(50) 간에도 서로 다르게 설정할 수 있음은 물론이다.It is desirable that the security policy, that is, the function control policy information, is set differently for the first area 40 and the second area 50. It goes without saying that the security policy may be set differently among the plurality of second areas 50 as well.

즉, 제1 보안 정책은 보안 영역 전체에 통일적으로 적용되는 보안 정책을 의미하며, 제2 보안 정책은 제2 영역(50) 각각에 대해 설정된 보안 정책을 의미한다.That is, the first security policy means a security policy applied uniformly to the entire security domain, and the second security policy means a security policy set for each of the second domain 50. [

예컨대, 보안 영역(제1 영역)인 건물 입구(제1 위치)에 사용자가 입실하는 경우 보안 강도가 높은 제1 보안 정책을 사용자 단말기(30)에 적용시킬 수 있다. 예컨대, 상기한 바와 같은 기능 제어 정책 정보를 모두 적용시켜서 사용자 단말기(30)의 기능을 최대한으로 제한할 수 있다. 이후, 사용자가가 휴게실이나 대기실과 같은 제2 영역(50)으로 이동한 경우 보안 강도가 다소 완화된 제2 보안 정책을 사용자 단말기(30)에 적용시킬 수 있다. 예컨대, 대기실(제2 영역)로 사용자가 입실하는 경우 대기실 입구(제2 위치)를 기준으로 하는 제2 보안 정책을 사용자 단말기(30)에 적용시켜서 제1 보안 정책에 의해 제한되었던 단말기의 기능 중에서 일부 예컨대 무선 랜 기능만을 활성화시킬 수 있도록 할 수 있다.For example, when a user enters a building entrance (first location), which is a security area (first area), a first security policy having a high security strength can be applied to the user terminal 30. [ For example, the functions of the user terminal 30 can be limited to the maximum by applying all of the above-described function control policy information. Thereafter, when the user moves to the second area 50 such as the rest room or the waiting room, the second security policy with a somewhat lessened security strength may be applied to the user terminal 30. [ For example, when a user enters a waiting room (second area), a second security policy based on a waiting room entrance (second location) is applied to the user terminal 30 to allow the user Only a part of the wireless LAN function can be activated.

제1 보안 정책을 사용자 단말기(30)에 적용시키는 것은 여러가지 방법을 사용할 수 있으나, 본 출원인에 의해 출원된 특허출원 제10-2013-0154189호(정보 보안 관리를 위한 사용자 단말기 제어 시스템 및 방법)에 개시된 기술을 이용할 수 있다. 또는 다른 방법으로서 제1 영역(40) 입구에서 관리자들이나 사용자들에 의해 직접 단말기를 조작하도록 함으로써 제1 보안 정책을 사용자 단말기(30)에 적용시킬 수도 있다.Application of the first security policy to the user terminal 30 can be performed by various methods. However, in the patent application No. 10-2013-0154189 (user terminal control system and method for information security management) filed by the present applicant The disclosed technique can be used. Alternatively, the first security policy may be applied to the user terminal 30 by directly manipulating the terminal by administrators or users at the entrance of the first area 40 as a method.

본 발명은 이미 제1 보안 정책이 적용되어 있는 사용자 단말기(30)에 대해서 제2 영역(50)으로 이동한 사용자의 사용자 단말기(30)에 대해 제2 보안 정책을 적용시키는 방식을 제공하는 것을 목적으로 하며, 제1 보안 정책을 사용자 단말기(30)에 적용시키는 방법에는 특별한 제한이 없으며 종래 알려져 있는 어떠한 방식을 사용해도 무방하다.The present invention provides a method for applying a second security policy to a user terminal 30 of a user who has moved to a second area 50 for a user terminal 30 to which a first security policy has already been applied And there is no particular limitation on the method of applying the first security policy to the user terminal 30, and any method known in the art may be used.

이와 같이 관리 서버(10)는 제1 위치(예컨대, 제1 영역(40)의 출입구)에 기반한 제1 보안 정책이 적용된 사용자 단말기(30)에서 제2 위치(예컨대, 제2 영역(40)의 출입구)에 기반한 제2 보안 정책 적용을 위하여 AP(20)로부터 전송되는 정책 변경 확인 요청 신호를 수신하고 이에 기초하여 사용자 단말기 제어 신호를 AP(20)를 통해 사용자 단말기(30)로 전송한다. 여기에서 정책 변경 확인 요청 신호는 사용자 단말기(30)가 AP(20)로 접속 요청 신호를 전송하여 AP(20)가 이를 수신하여 사용자 단말기(30)와 결합한 경우 AP(20)로부터 관리 서버(10)로 전송된다.In this way, the management server 10 can access the second location 40 (e.g., the second area 40) of the user terminal 30 to which the first security policy based on the first location (e.g., the entrance of the first area 40) And transmits the policy change confirmation request signal transmitted from the AP 20 to the user terminal 30 through the AP 20 based on the received policy change confirmation request signal. The policy change confirmation request signal is transmitted from the AP 20 to the management server 10 when the user terminal 30 transmits an access request signal to the AP 20 and the AP 20 receives the signal and connects with the user terminal 30. [ ).

전술한 바와 같이, 관리 서버(10)는 복수개의 제2 위치에 대응하는 제2 보안 정책을 각각 저장하고 있다.As described above, the management server 10 stores a second security policy corresponding to a plurality of second locations, respectively.

한편, AP(Access Point, 20)는 무선 랜 서비스를 제공하기 위한 공지의 장치인 억세스 포인트를 의미하며, 사용자 단말기(30)와 무선 랜(WiFi)을 통해 연결된다. 다만, 본 발명에서의 AP(20)는 본 발명을 수행하기 위한 전용 AP로서 관리 서버(10)와만 연결되어 관리 서버(10)와 사용자 단말기(30) 사이에서 데이터를 전송하는 기능을 수행한다는 점을 특징으로 한다. 즉, AP(20)는 사용자 단말기(30)와 관리 서버(10) 사이에서 데이터를 송수신하되, 사용자 단말기(30)와는 무선 랜을 통해 데이터를 송수신한다.Meanwhile, an access point (AP) 20 is an access point that is a known device for providing a wireless LAN service, and is connected to the user terminal 30 through a wireless LAN (WiFi). The AP 20 according to the present invention is a dedicated AP for performing the present invention and is connected only to the management server 10 to perform a function of transmitting data between the management server 10 and the user terminal 30 . That is, the AP 20 transmits / receives data between the user terminal 30 and the management server 10, and transmits / receives data to / from the user terminal 30 via the wireless LAN.

한편, 전술한 바와 같이, 제1 보안 정책에 의해 무선 랜 기능이 비활성화된 경우 사용자 단말기(30)는 AP(20)에 접속할 수 없기 때문에 이러한 경우에는 다음과 같은 방법을 사용한다.Meanwhile, as described above, when the wireless LAN function is disabled by the first security policy, the user terminal 30 can not access the AP 20, and therefore, the following method is used.

즉, 사용자 단말기(30)는 제1 보안 정책이 적용된 이후 일정 주기마다 자동적으로 미리 설정된 제2 영역(50)에 설치된 AP(20)를 검색하도록 무선 랜 기능을 활성화시킨다. 이는 본 발명의 수행을 위해 사용자 단말기(30)에 설치되는 응용 프로그램(application)에 의해 구현될 수 있다. That is, the user terminal 30 activates the wireless LAN function so as to search for the AP 20 installed in the second area 50, which is automatically preset every predetermined period after the first security policy is applied. Which may be implemented by an application program installed in the user terminal 30 for carrying out the present invention.

일반적으로 무선 랜 기능이 활성화되면 주변에 위치하는 AP(20)들이 자동적으로 검색되는데, 이 때 본 발명의 수행을 위해 사용자 단말기(30)에 설치된 응용 프로그램은 미리 설정된 제2 영역(50)의 AP(20)들만의 SSID를 검색하고 검색된 SSID의 AP(20)에 접속하도록 접속 요청 신호를 전송하고 이에 의하여 AP(20)와 무선 랜 서비스를 위한 결합이 이루어지게 된다. In general, when the wireless LAN function is activated, APs 20 located in the vicinity are automatically searched. At this time, an application program installed in the user terminal 30 for performing the present invention is transmitted to APs The AP 20 searches for only the SSIDs of the AP 20 and connects to the AP 20 of the searched SSID.

이와 같이 하면, 무선 랜 기능의 활성화에 의해 미리 설정된 AP, 즉, 제2 영역(50)에 설치된 AP(20)와 사용자 단말기(30)가 결합되고 따라서 사용자 단말기(40)와 AP(30) 사이에서 무선 랜 서비스가 이루어질 수 있게 된다. The user terminal 30 and the AP 20 installed in the second area 50 are connected to each other by the activation of the wireless LAN function and thus the connection between the user terminal 40 and the AP 30 The wireless LAN service can be performed.

한편, 제1 보안 정책에 의해 무선 랜 기능이 제한되지 않은 경우에는 전술한 바와 같은 과정이 필요없이 바로 검색되는 SSID 중에서 제2 영역(60)에 해당하는 AP(30)로 자동적으로 접속 요청 신호를 전송함으로써 AP(20)와 결합하게 된다.On the other hand, when the wireless LAN function is not limited by the first security policy, the AP 30, which corresponds to the second area 60 of the SSID searched for immediately, does not need the above- And is coupled with the AP 20 by transmission.

한편, 여기에서 접속 요청 신호는 사용자 단말기 정보를 포함한다. 사용자 단말기 정보는 예컨대 사용자 단말기(30)의 사용자 이름, 전화 번호, 이메일 주소 등과 같은 정보일 수 있다. 또한, 접속 요청 신호는 요청 시간 등과 같은 시간 정보를 더 포함할 수도 있다. 이외에도 관리 서버(10)에서 보안 정책 변경을 위해 필요한 정보가 더 포함될 수 있음은 물론이다.Here, the connection request signal includes user terminal information. The user terminal information may be information such as a user name, a telephone number, an e-mail address, etc. of the user terminal 30, for example. Further, the connection request signal may further include time information such as a request time or the like. It goes without saying that the management server 10 may further include information necessary for changing the security policy.

AP(20)는 사용자 단말기(30)로부터 접속 요청 신호가 수신되고 이에 의해 사용자 단말기(30)와 결합되면, 관리 서버(10)로 제2 보안 정책 적용 여부를 위한 변경 확인 요청 신호를 전송한다. When the connection request signal is received from the user terminal 30 and the connection request signal is coupled to the user terminal 30, the AP 20 transmits a change confirmation request signal to the management server 10 for applying the second security policy.

관리 서버(10)는 이와 같은 과정에 의해 AP(20)로부터 제2 보안 정책 적용 여부를 위한 정책 변경 확인 요청 신호를 수신하고, 이에 기초하여 사용자 단말기(30)의 위치를 파악하고 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP(20)로 전송하고 AP(20)는 이를 사용자 단말기(30)로 전송한다.The management server 10 receives the policy change confirmation request signal for applying the second security policy from the AP 20 through the above process and determines the location of the user terminal 30 based on the received policy change confirmation request signal, The AP 20 transmits a user terminal control signal reflecting the second security policy based on the AP 20 to the user terminal 30.

한편, 여기에서 정책 변경 확인 요청 신호는 AP 식별 정보 예컨대 AP 일련 번호나 고유 ID 등과 같이 AP 각각을 구별하기 위한 식별 정보를 의미한다. 이러한 AP 식별 정보는 관리 서버(10)에서 해당 AP를 식별하여 어디에 위치한 것인지를 판별하는데 사용되고, 따라서 AP(20)가 위치한 곳 즉, 사용자 단말기(30)가 위치한 곳인 제2 영역(50)에 상응하는 제2 보안 정책 정보를 결정하는데 이용된다.Here, the policy change confirmation request signal means identification information for distinguishing each AP such as AP identification information, e.g., an AP serial number or a unique ID. This AP identification information is used to identify the AP in the management server 10 and to determine where the AP is located so that the AP 20 is located in the second area 50 where the user terminal 30 is located. Is used to determine the second security policy information.

또한, 정책 변경 확인 요청 신호는 사용자 단말기 정보를 더 포함하는 것이 바람직하다. The policy change confirmation request signal may further include user terminal information.

사용자 단말기 정보 또한 관리 서버(10)에서 정책 변경 여부를 확인하는데 사용될 수 있다.The user terminal information can also be used by the management server 10 to confirm whether the policy is changed or not.

관리 서버(10)는 정책 변경 확인 요청 신호에 포함된 AP 식별 정보와 사용자 단말기 정보에 기초하여 해당 AP의 위치를 파악한다. 이는 제2 영역(50)의 각각의 AP(20)에 대해 그 위치를 미리 저장해 둔 AP 식별 테이블(미도시)에 의해 파악될 수 있다. AP(20)의 위치가 파악되면 사용자 단말기(40)의 위치 또한 파악될 수 있다. 관리 서버(10)는 파악된 AP(20)의 위치인 제2 위치에 대응하여 미리 저장되어 있는 제2 보안 정책을 검색하고 검색된 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 사용자 단말기(30)로 전송한다.The management server 10 grasps the location of the AP based on the AP identification information included in the policy change confirmation request signal and the user terminal information. This can be grasped by an AP identification table (not shown) in which the location of each AP 20 in the second area 50 is stored in advance. Once the location of the AP 20 is known, the location of the user terminal 40 can also be grasped. The management server 10 searches for a second security policy stored in advance corresponding to the second position, which is the position of the identified AP 20, and transmits a user terminal control signal reflecting the retrieved second security policy to the user terminal 30 send.

그리고, 사용자 단말기(30)는 관리 서버(10)로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기(30)의 적어도 하나 이상의 기능이 제어된다. 즉, 기존의 제1 보안 정책 대신 제2 보안 정책이 사용자 단말기(30)에 우선적으로 적용되고 이후 제2 영역(50)을 벗어나는 경우 다시 제1 보안 정책이 적용되게 된다.At least one function of the user terminal 30 is controlled based on the user terminal control signal received from the management server 10. That is, when the second security policy is applied to the user terminal 30 in preference to the existing first security policy and then leaves the second area 50, the first security policy is applied again.

이 때 제2 보안 정책은 전술한 바와 같이 제1 보안 정책과는 다른 것으로서 예컨대 무선 랜 기능을 활성화시킨 정책일 수 있으며 사용자 단말기 제어 신호는 이러한 정책이 반영된 제어 신호이다. 이러한 제어 신호를 수신한 사용자 단말기(30)는 해당 제어 신호에 기초하여 사용자 단말기(30)의 기능을 제어하게 된다.In this case, the second security policy is different from the first security policy as described above, for example, it may be a policy that activates the wireless LAN function, and the user terminal control signal is a control signal reflecting such a policy. The user terminal 30 receiving the control signal controls the function of the user terminal 30 based on the corresponding control signal.

사용자 단말기 제어 신호에 따라 사용자 단말기(30)의 기능을 비활성화/활성화시키는 기술은 종래 기술에 의해 널리 알려져 있고 또한 이는 본 발명의 직접적인 목적은 아니므로 이에 대한 상세한 설명은 생략한다. 즉, 사용자 단말기(30)의 기능의 제어는 종래 기술에 의해 알려진 기술을 그대로 이용할 수 있다.The technique for deactivating / activating the function of the user terminal 30 according to the user terminal control signal is well known in the prior art, and is not a direct object of the present invention, and thus a detailed description thereof will be omitted. That is, the control of the function of the user terminal 30 can use the technology known in the prior art as it is.

여기에서 사용자 단말기 제어 신호에 의해 사용자 단말기(30)의 기능 중 무선 랜 기능이 허용되는 경우에는 무선 랜 기능을 허용하는 것과 함께 앞서 설명한 바와 같이 일정 주기마다 주변의 AP를 검색하는 기능은 그대로 유지되도록 한다. 즉, 정책 변경 확인 요청 신호가 AP(20)에서 전송되고 이에 기초하여 관리 서버(10)에서 위치를 파악하고 파악된 위치에 기초한 사용자 단말기 제어 신호를 전송하도록 하는 기능은 그대로 동작하도록 하는데, 이는 추후 위치 변경으로 인해 관리 서버(10)로부터 다른 보안 정책이 반영된 제어 신호를 수신할 필요가 있는 경우가 있기 때문이다. In the case where the wireless LAN function of the user terminal 30 is allowed by the user terminal control signal, the wireless LAN function is allowed and the function of searching for the surrounding APs at predetermined intervals is maintained as described above do. That is, the policy change confirmation request signal is transmitted from the AP 20, and the function of allowing the management server 10 to grasp the position and transmit the user terminal control signal based on the detected position is operated as it is, It is necessary to receive the control signal reflecting the different security policy from the management server 10 due to the change of the location.

하편, 사용자 단말기 제어 신호에 의해 사용자 단말기(30)의 기능 중 무선 랜 기능이 차단되는 경우에는 그대로 무선 랜 기능을 차단하게 된다. 이 경우에도 전술한 바와 같은 과정에 의해 일정 주기마다 주변의 AP를 검색하는 기능은 그대로 유지되도록 한다.If the wireless LAN function of the user terminal 30 is blocked by the user terminal control signal, the wireless LAN function is directly blocked. In this case as well, the function of searching for nearby APs at predetermined intervals is maintained by the procedure described above.

한편, 사용자 단말기(30)는 보안 정책의 변경에 따라 단말기의 적어도 하나 이상의 기능에 변동이 생긴 경우 제어 및 변동된 기능들과 관련된 기능 로그 정보와 사용자 단말기 제어용 응용 프로그램에 대한 접근 기록에 대한 프로그램 로그 정보를 저장한다.Meanwhile, when at least one function of the terminal is changed according to a change of the security policy, the user terminal 30 transmits the function log information related to the control and changed functions and the program log Store information.

기능 로그 정보라 함은, 예컨대 제어된 각각의 기능별로 각 기능에 대한 동작 시도가 있었는지의 여부 등과 같이 해당 기능과 관련된 로그 정보를 의미한다.The function log information refers to log information related to the function, such as whether or not there is an operation attempt for each function for each controlled function.

또한 프로그램 로그 정보라 함은 사용자 단말기(30) 제어용 응용 프로그램 자체에 대한 공격 시도(비활성화, 종료 시도 등)가 있었는지 또는 관리자(administrator) 권한으로 접근시도가 있었는지 등과 같은 로그 정보를 의미한다. The program log information refers to log information such as whether there is an attack attempt (deactivation, termination attempt, etc.) for the control application program itself of the user terminal 30 or an access attempt by an administrator authority.

이러한 기능 로그 정보 및 프로그램 로그 정보는 후술하는 바와 같이 사용자가 제2 영역(50)에서 벗어날 때 비활성화된 기능을 복구시키는 경우 해당 정보를 확인하여 문제가 없는지를 확인하는데 사용된다. The function log information and the program log information are used to confirm whether there is a problem by checking the corresponding information when restoring the disabled function when the user leaves the second area 50 as described later.

한편, 관리 서버(10)는 출입 관리 시스템(미도시)과 결합하여 사용자 단말기(30)와 관련된 모든 정보를 저장하도록 하여 출입 관리 기록 데이터베이스를 생성하도록 할 수도 있다. Meanwhile, the management server 10 may combine with the access management system (not shown) to store all the information related to the user terminal 30 to generate the access management record database.

다음으로, 사용자가 제2 영역(50)을 벗어나는 경우 제2 보안 정책을 종료하고 다시 제1 보안 정책에 기초한 단말기의 기능 제어를 수행하거나 다른 제2 보안 정책을 적용하는 경우에 대하여 설명한다.Next, a description will be made of a case where the user exits the second area 50, terminates the second security policy, performs the function control of the terminal based on the first security policy, or applies the second security policy different from the first security policy.

사용자가 제2 영역(50)을 벗어나서 다른 위치로 이동하게 되면 전술한 바와 같이 사용자 단말기(30)에서 AP(20)를 검색하는 기능은 일정 주기마다 활성화되므로 그 시점에서의 AP(20)를 검색하게 된다. When the user moves out of the second area 50 and moves to another location, the function of searching for the AP 20 in the user terminal 30 is activated every predetermined period as described above. Therefore, .

이 때 주변의 AP(20)가 검색되지 않으면 자동적으로 제1 보안 정책 적용을 위하여 사용자 단말기(30)의 기능이 제어된다. 제1 보안 정책에 대한 사용자 단말기(30)의 기능 제어 신호는 이미 수신되어 저장되어 있으므로 이를 이용한다.At this time, if the surrounding AP 20 is not searched, the function of the user terminal 30 is automatically controlled to apply the first security policy. The function control signal of the user terminal 30 with respect to the first security policy is already received and stored.

한편, 주변의 AP(20)가 검색되면 전술한 바와 같은 과정과 마찬가지로 사용자 단말기(30)는 해당 AP(20)에 접속 요청 신호를 전송하고 AP(20)가 관리 서버(10)로 정책 변경 확인 요청 신호를 전송하고 이에 의해 관리 서버(10)가 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 전송하게 된다. 이 때의 제2 보안 정책은 기 반영되었던 제2 보안 정책과는 다른 내용일 수 있다.The user terminal 30 sends a connection request signal to the corresponding AP 20 and the AP 20 transmits a connection request signal to the management server 10 And transmits the request signal to the management server 10 to transmit the user terminal control signal reflecting the second security policy. The second security policy at this time may be different from the second security policy that was previously reflected.

도 2는 관리 서버(10)의 내부 구성을 나타낸 도면이다.2 is a diagram showing an internal configuration of the management server 10. As shown in FIG.

도 2를 참조하면, 관리 서버(10)는 보안 정책 관리부(11), 사용자 단말기 정보 관리부(12) 및 무결성 확인부(13)를 포함한다. Referring to FIG. 2, the management server 10 includes a security policy management unit 11, a user terminal information management unit 12, and an integrity verification unit 13.

보안 정책 관리부(11)는 제1 및 제2 보안 정책을 저장 및 관리하며 정책 변경 요청 확인 신호에 상응하는 제2 보안 정책에 대응하는 사용자 단말기 제어 신호를 사용자 단말기(30)로 전송하는 기능을 수행한다. 전술한 바와 같이, 본 발명에서는 제1 영역(50)에 대한 제1 보안 정책과 제2 영역(60)에 대한 제2 보안 정책은 서로 다르게 설정되어 있으며 또한 각각의 제2 영역(60)에 대한 제2 보안 정책들도 서로 상이하게 설정될 수 있다. 보안 정책 관리부(11)는 이들 각각의 제1 및 제2 보안 정책이 반영된 기능 제어 정책 정보를 저장하고 있으며, AP(20)로부터 정책 변경 요청 신호가 수신되면 정책 변경 요청 신호에 포함된 AP 식별 정보에 상응하는 제2 영역(50)의 제2 보안 정책을 확인하고 이것이 반영된 사용자 단말기 제어 신호를 사용자 단말기(30)로 전송하는 기능을 수행한다.The security policy management unit 11 stores and manages the first and second security policies and transmits a user terminal control signal corresponding to the second security policy corresponding to the policy change request confirmation signal to the user terminal 30 do. As described above, in the present invention, the first security policy for the first area 50 and the second security policy for the second area 60 are set differently from each other, The second security policies may also be set different from each other. The security policy management unit 11 stores function control policy information reflecting the first and second security policies. When a policy change request signal is received from the AP 20, the security policy management unit 11 transmits the AP identification information And transmits a user terminal control signal reflecting the second security policy to the user terminal 30.

사용자 단말기 정보 관리부(12)는 앞에서 설명한 바와 같이 사용자 단말기(30)로부터 전송되는 사용자 단말기 정보 및 사용자 단말기 제어용 응용 프로그램 관련 정보를 저장 및 관리하는 기능을 수행한다.The user terminal information management unit 12 stores and manages user terminal information and application program related information transmitted from the user terminal 30 as described above.

무결성 확인부(13)는 전술한 바와 같이 사용자 단말기(30)에 저장되는 기능 로그 정보와 프로그램 로그 정보를 수신하여 기능 로그 정보 및 프로그램 로그 정보를 검사하고 이상이 없는지의 여부를 판단한다. The integrity checking unit 13 receives the function log information and the program log information stored in the user terminal 30 as described above, and checks the function log information and program log information to determine whether there is any abnormality.

도 3은 도 1 및 도 2를 참조하여 설명한 시스템(100)에서 이루어지는 방법의 일실시예를 나타낸 도면이다.FIG. 3 is a diagram illustrating an embodiment of a method performed in the system 100 described with reference to FIG. 1 and FIG.

우선, 사용자 단말기(30)에는 전술한 바와 같이 제1 보안 정책이 적용되어 있다(S100). 이는 보안 영역(제1 영역)인 건물의 출입구(제1 위치)에서 제1 영역에 들어가는 경우 제1 보안 정책이 적용되고 이에 따라 사용자 단말기(30)의 기능이 제어된다. 예컨대, 사용자 단말기(30)의 무선랜, 3G/4G 기능, 카메라 기능, USB 기능 등이 비활성화된 상태로 될 수 있다.First, the first security policy is applied to the user terminal 30 as described above (S100). The first security policy is applied when the user enters the first area at the entrance (first location) of the building, which is the security area (first area), and thus the function of the user terminal 30 is controlled. For example, the wireless LAN, the 3G / 4G function, the camera function, and the USB function of the user terminal 30 may be inactivated.

이러한 상태에서 사용자가 제1 영역 내의 특정 장소 예컨대 휴게실과 같은 제2 영역(50)에 들어간 경우 해당 제2 영역(50)에 설치된 AP(20)로 접속 요청 신호를 전송한다(S110). 이러한 접속 요청 신호는 전술한 바와 같이 일정 주기마다 일정 시간동안 활성화되는 무선 랜 기능에 의해 이루어질 수 있다.If the user enters a second area 50 such as a rest room in the first area, the connection request signal is transmitted to the AP 20 installed in the second area 50 at step S110. The access request signal may be generated by a wireless LAN function activated for a predetermined period of time at a predetermined interval as described above.

AP(20)에 접속되면 AP(20)는 관리 서버(10)로 정책 변경 확인 요청 신호를 전송한다(S120).When the AP 20 is connected to the AP 20, the AP 20 transmits a policy change confirmation request signal to the management server 10 (S120).

관리 서버(10)는 정책 변경 확인 요청 신호를 수신하면 수신된 정책 변경 확인 요청 신호에 포함된 AP 식별 정보와 사용자 단말기 정보에 기초하여 AP(20)의 위치를 파악한다(S130).Upon receiving the policy change confirmation request signal, the management server 10 determines the location of the AP 20 based on the AP identification information included in the received policy change confirmation request signal and the user terminal information (S130).

AP(20)의 위치가 파악되면 해당 위치(제2 위치)에 상응하는 제2 보안 정책을 검색하고(S140) 검색된 제2 보안 정책에 상응하는 사용자 단말기 제어 신호를 AP(20)로 전송하고(S150), AP(20)는 수신된 사용자 단말기 제어 신호를 사용자 단말기(30)로 전송한다(S160).When the location of the AP 20 is detected, the second security policy corresponding to the corresponding location (second location) is searched (S140), and a user terminal control signal corresponding to the searched second security policy is transmitted to the AP 20 S150), the AP 20 transmits the received user terminal control signal to the user terminal 30 (S160).

그러면, 사용자 단말기(40)는 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기의 적어도 하나 이상의 기능을 제어한다(S170).Then, the user terminal 40 controls at least one function of the user terminal based on the received user terminal control signal (S170).

이상에서 본 발명의 바람직한 실시예를 참조하여 설명하였으나 본 발명의 권리범위는 상기 실시예들에 한정되는 것이 아니며, 본 발명의 범위 내에서 다양한 형태의 수정/변형 실시가 가능함은 물론이다. While the invention has been shown and described with reference to certain embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention as defined by the appended claims.

예컨대, 상기 실시예에서는, 제1 보안 정책에 의해 사용자 단말기(30)의 무선 랜 기능이 비활성화되는 것으로 설명하였으나, 무선 랜 기능 자체는 그대로 활성화시키되 검색되는 AP들에 대한 접속을 비활성화(disconnect) 상태로 유지시키는 방법을 사용할 수도 있다.For example, although the wireless LAN function of the user terminal 30 is deactivated according to the first security policy, the wireless LAN function itself is activated, but the connection to the APs to be retrieved is disconnected May be used.

이러한 방법을 사용하면, 무선 랜 기능은 온(on) 상태로 되고 AP들에 대한 접속이 비활성화된 상태에서, 사용자 단말기(30)는 제1 보안 정책이 적용된 이후 일정 주기마다 자동적으로 미리 설정된 제2 영역(50)에 설치된 AP(20)와의 접속을 활성화시키게 된다. 그러면, 사용자 단말기(30)는 해당 AP(20)에 접속하도록 접속 요청 신호를 전송하고 이에 의하여 AP(20)와 무선 랜 서비스를 위한 결합이 이루어지게 된다. With this method, in a state in which the wireless LAN function is turned on and the connection to the APs is disabled, the user terminal 30 can automatically set a predetermined second The connection with the AP 20 installed in the area 50 is activated. Then, the user terminal 30 transmits an access request signal to access the corresponding AP 20, and thereby the AP 20 is coupled to the wireless LAN service.

이와 같이 하면, 무선 랜 기능 자체를 온/오프 하지 않더라도, 미리 설정된 AP, 즉, 제2 영역(50)에 설치된 AP(20)와 사용자 단말기(30)가 결합되고 따라서 사용자 단말기(40)와 AP(30) 사이에서 무선 랜 서비스가 이루어질 수 있게 된다. In this way, even if the wireless LAN function itself is not turned on / off, a predetermined AP, that is, the AP 20 installed in the second area 50 and the user terminal 30 are combined, The wireless LAN service can be performed between the wireless LAN terminal 30 and the wireless LAN terminal.

한편, 미리 설정된 시간동안 AP(20)로의 접속이 활성화되지만 이 시간 동안 AP(20)와의 접속이 실질적으로 이루어지지 않은 경우에는 다시 AP(20)로의 접속을 비활성화시킨다.
On the other hand, if the connection to the AP 20 is activated for a predetermined time, but the connection with the AP 20 is not made during this time, the connection to the AP 20 is again disabled.

100... 복수개의 보안 정책 운용을 위한 사용자 단말기 제어 시스템
10...관리 서버
20...AP
30...사용자 단말기100 ... User terminal control system for multiple security policy operation
10 ... management server
20 ... AP
30 ... user terminal

Claims (9)

사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템에 있어서,
제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기와 결합하는 AP; 및
상기 사용자 단말기와 결합한 AP로부터 제2 보안 정책 적용을 위한 정책 변경 확인 요청 신호를 수신하고, 상기 수신한 정책 변경 확인 요청 신호에 기초하여 상기 사용자 단말기의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP를 통해 사용자 단말기로 전송하는 관리 서버
를 포함하고,
상기 사용자 단말기는 상기 AP를 통해 관리 서버로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기의 적어도 하나 이상의 기능이 제어되는 것을 특징으로 하는 사용자 단말기 제어 시스템.
A user terminal control system capable of automatically detecting a position of a user terminal and applying a security policy according to a location,
An AP for receiving a connection request signal based on a second location from a user terminal to which a first security policy based on the first location is applied and associating with the user terminal; And
Receiving a policy change confirmation request signal for applying a second security policy from an AP associated with the user terminal, determining a location of the user terminal based on the received policy change confirmation request signal, And transmits the user terminal control signal reflecting the policy to the user terminal through the AP
Lt; / RTI >
Wherein the at least one function of the user terminal is controlled based on the user terminal control signal received from the management server through the AP.
제1항에 있어서,
상기 관리 서버는, 복수개의 제2 위치에 대응하는 제2 보안 정책을 각각 저장하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method according to claim 1,
Wherein the management server stores a second security policy corresponding to a plurality of second locations, respectively.
제1항에 있어서,
상기 AP는, 복수개의 제2 위치마다 설치되어 사용자 단말기와 제2 위치로부터 일정 범위 내에서 무선 랜을 통해 결합하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method according to claim 1,
Wherein the AP is provided for each of a plurality of second positions and is coupled with the user terminal through a wireless LAN within a predetermined range from the second position.
제3항에 있어서,
상기 사용자 단말기는,
제1 보안 정책에 의해 무선 랜 기능이 비활성화된 상태에서 미리 설정된 주기마다 미리 설정된 제2 영역에 설치된 AP를 검색하도록 무선 랜 기능을 활성화시켜서 검색된 AP에 접속 요청 신호를 전송함으로써 AP와 결합하거나,
제1 보안 정책에 의해 AP에의 접속이 비활성화된 상태에서 미리 설정된 주기마다 미리 설정된 제2 영역에 설치된 AP로의 접속을 활성화시켜서 해당 AP로 접속 요청 신호를 전송함으로써 AP와 결합하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method of claim 3,
The user terminal comprises:
Activating a wireless LAN function to search for an AP installed in a predetermined second area in a preset period in a state in which the wireless LAN function is disabled by the first security policy and transmitting the connection request signal to the searched AP,
Activating a connection to an AP provided in a second area set in advance in a preset period in a state in which the connection to the AP is inactivated by the first security policy and transmitting the connection request signal to the AP, Control system.
제4항에 있어서,
상기 사용자 단말기는,
상기 미리 설정된 주기마다 미리 설정된 시간동안 무선 랜 기능을 활성화시켜서 AP가 검색된 경우 무선 랜 기능을 활성화시키고, 미리 설정된 시간이 경과할 때까지 AP가 검색되지 않은 경우 무선 랜 기능을 다시 비활성화시키거나,
상기 미리 설정된 주기마다 미리 설정된 시간동안 상기 미리 설정된 제2 영역에 설치된 AP로의 접속을 활성화시키고, 미리 설정된 시간이 경과할 때까지 해당 AP로의 접속이 이루어지지 않는 경우 AP로의 접속을 다시 비활성화시키는 것을 특징으로 하는 사용자 단말기 제어 시스템.
5. The method of claim 4,
The user terminal comprises:
Activating the wireless LAN function when the AP is found by activating the wireless LAN function for a preset time every predetermined period, disabling the wireless LAN function when the AP is not detected until a preset time elapses,
Activating the connection to the AP provided in the second area for a preset time every predetermined period, and deactivating the connection to the AP if a connection to the AP is not established until a predetermined time elapses To the user terminal.
제1항에 있어서,
상기 사용자 단말기로부터 AP로 전송되는 접속 요청 신호는 사용자 단말기 정보를 포함하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method according to claim 1,
Wherein the access request signal transmitted from the user terminal to the AP includes user terminal information.
제1항에 있어서,
상기 정책 변경 확인 요청 신호는, AP 식별 정보 및 사용자 단말기 정보를 포함하고,
상기 관리 서버는 상기 AP 식별 정보 및 사용자 단말기 정보에 기초하여 사용자 단말기의 위치를 파악하고, 파악된 위치인 제2 위치에 대응하는 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 사용자 단말기로 전송하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method according to claim 1,
Wherein the policy change confirmation request signal includes AP identification information and user terminal information,
The management server recognizes the position of the user terminal based on the AP identification information and the user terminal information and transmits a user terminal control signal reflecting the second security policy corresponding to the detected second position to the user terminal The user terminal control system comprising:
제1항에 있어서,
상기 관리 서버는,
제1 및 제2 보안 정책을 저장 및 관리하며 정책 변경 요청 확인 신호에 상응하는 제2 보안 정책에 대응하는 사용자 단말기 제어 신호를 사용자 단말기로 전송하는 보안 정책 관리부;
사용자 단말기로부터 전송되는 사용자 단말기 정보 및 사용자 단말기 제어용 응용 프로그램 관련 정보를 저장 및 관리하는 사용자 단말기 정보 관리부; 및
사용자 단말기로부터 기능 로그 정보와 프로그램 로그 정보를 수신하여 기능 로그 정보 및 프로그램 로그 정보를 검사하고 이상이 없는지의 여부를 판단하는 무결성 확인부
를 포함하는 것을 특징으로 하는 사용자 단말기 제어 시스템.
The method according to claim 1,
The management server includes:
A security policy manager for storing and managing the first and second security policies and transmitting a user terminal control signal corresponding to the second security policy corresponding to the policy change request confirmation signal to the user terminal;
A user terminal information management unit for storing and managing user terminal information transmitted from a user terminal and application program related information for controlling a user terminal; And
An integrity check unit for receiving the function log information and the program log information from the user terminal and examining the function log information and the program log information,
The user terminal control system comprising:
사용자 단말기의 위치를 자동으로 파악하여 위치에 따른 보안 정책을 적용할 수 있는 사용자 단말기 제어 시스템에서 사용자 단말기를 제어하는 방법에 있어서,
AP가 제1 위치에 기반한 제1 보안 정책이 적용된 사용자 단말기로부터 제2 위치에 기반한 접속 요청 신호를 수신하여 사용자 단말기와 결합하는 제1 단계;
관리 서버가 상기 사용자 단말기와 결합한 AP로부터 제2 보안 정책 적용을 위한 정책 변경 확인 요청 신호를 수신하는 제2 단계; 및
관리 서버가 상기 수신한 정책 변경 확인 요청 신호에 기초하여 상기 사용자 단말기의 위치를 파악하여 파악된 위치에 기반한 제2 보안 정책이 반영된 사용자 단말기 제어 신호를 AP를 통해 사용자 단말기로 전송하는 제3 단계
를 포함하고,
상기 사용자 단말기는 상기 AP를 통해 관리 서버로부터 수신한 사용자 단말기 제어 신호에 기초하여 사용자 단말기의 적어도 하나 이상의 기능이 제어되는 것을 특징으로 하는 사용자 단말기 제어 방법.A method for controlling a user terminal in a user terminal control system capable of automatically detecting a location of a user terminal and applying a security policy according to the location,
A first step in which the AP receives an access request signal based on a second location from a user terminal to which the first security policy based on the first location is applied and associates with the user terminal;
A second step of the management server receiving a policy change confirmation request signal for applying a second security policy from an AP associated with the user terminal; And
A third step of the management server recognizing the position of the user terminal based on the received policy change confirmation request signal and transmitting the user terminal control signal reflecting the second security policy based on the detected location to the user terminal through the AP
Lt; / RTI >
Wherein the at least one function of the user terminal is controlled based on the user terminal control signal received from the management server through the AP.
KR1020140193440A 2014-12-30 2014-12-30 System and method of controlling user device being able to applying security policy based on position which is automatically recognized KR20160080702A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140193440A KR20160080702A (en) 2014-12-30 2014-12-30 System and method of controlling user device being able to applying security policy based on position which is automatically recognized

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140193440A KR20160080702A (en) 2014-12-30 2014-12-30 System and method of controlling user device being able to applying security policy based on position which is automatically recognized

Publications (1)

Publication Number Publication Date
KR20160080702A true KR20160080702A (en) 2016-07-08

Family

ID=56503061

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140193440A KR20160080702A (en) 2014-12-30 2014-12-30 System and method of controlling user device being able to applying security policy based on position which is automatically recognized

Country Status (1)

Country Link
KR (1) KR20160080702A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116362942A (en) * 2023-03-27 2023-06-30 深圳中新智城科技有限公司 Intelligent park information safety management system based on big data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130050865A (en) 2011-11-08 2013-05-16 주식회사 제이컴정보 Caused by the use of smart device internal confidential data leakage prevention & trace system and method
KR20150068222A (en) 2013-12-11 2015-06-19 주식회사 더보안 System and method of controlling user device for managing information security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130050865A (en) 2011-11-08 2013-05-16 주식회사 제이컴정보 Caused by the use of smart device internal confidential data leakage prevention & trace system and method
KR20150068222A (en) 2013-12-11 2015-06-19 주식회사 더보안 System and method of controlling user device for managing information security

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116362942A (en) * 2023-03-27 2023-06-30 深圳中新智城科技有限公司 Intelligent park information safety management system based on big data

Similar Documents

Publication Publication Date Title
TWI252650B (en) Computer apparatus, and method and recording medium for setting security for computer apparatus
US8660033B2 (en) Apparatus and method for providing service in service zone
US8549593B2 (en) Network access control system and method
CN104580265A (en) Equipment binding method and equipment binding device
CN104780154A (en) Device binding method and device binding device
US11289943B2 (en) Contraband detection through smart power components
KR101713305B1 (en) Method, apparatus, system, program and recording medium for smart device to access router
CN107147656B (en) Method and system for establishing remote control and readable storage medium
KR20150032963A (en) Apparatus and method for protecting privacy in terminal
CN105246138A (en) Control method and device of Internet-of-things device
CN111123388B (en) Detection method and device for room camera device and detection equipment
CN106332070B (en) Secure communication method, device and system
US20170126586A1 (en) Method and device for equipment control
WO2015064076A1 (en) Communication terminal management system, management method, management server, terminal control method, and communication terminal
CN104992088A (en) Device security protection method and apparatus
CN107612888B (en) Enterprise user space creation method and device
CN104837175B (en) A kind of connection control method and device of wireless router
CN106303085B (en) Mobile terminal and method and device for secure call
KR20160080701A (en) System and method of controlling user device for a plurality of security policy based on position
KR20160080702A (en) System and method of controlling user device being able to applying security policy based on position which is automatically recognized
CN111245804A (en) Communication security testing method and device for terminal equipment and storage medium
KR101467228B1 (en) Method for preventing outflow file and device thereof
US20160080555A1 (en) Space management system for micropositioning mobile device and management method thereof
KR101537272B1 (en) System and method of controlling user device for managing information security
KR101523485B1 (en) Unmanned guard system management method using mobile device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application