KR20180095427A - 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법 - Google Patents

다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법 Download PDF

Info

Publication number
KR20180095427A
KR20180095427A KR1020170135387A KR20170135387A KR20180095427A KR 20180095427 A KR20180095427 A KR 20180095427A KR 1020170135387 A KR1020170135387 A KR 1020170135387A KR 20170135387 A KR20170135387 A KR 20170135387A KR 20180095427 A KR20180095427 A KR 20180095427A
Authority
KR
South Korea
Prior art keywords
access
information
authentication device
authentication
authorization
Prior art date
Application number
KR1020170135387A
Other languages
English (en)
Inventor
김태균
김은미
장덕문
신명순
조대성
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20180095427A publication Critical patent/KR20180095427A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Abstract

복수의 인증 요소를 결합하고 출입에 관한 권한을 탄력적으로 그리고 실시간으로 부여하여 보안을 강화할 수 있는 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법이 개시된다. 일 측면에 따른 휴대용 인증 장치는, 사용자의 지문을 인식하는 지문 센서; 출입 권한 부여 서버와 통신하는 통신 모듈; 출입 인증 장치와 비접촉 통신을 하여 상기 제 1 권한 정보를 상기 출입 인증 장치로 전송하는 카드 모듈; 및 상기 인식된 지문을 인증하고, 상기 통신 모듈을 통해 상기 출입 권한 부여 서버로부터 수신된 상기 제 1 권한 정보를 상기 카드 모듈에 기록하는 제어 모듈을 포함한다.

Description

다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법{APPARATUS AND METHOD FOR CONTROLLING ENTRANCE USING MULTI AUTHENTICATION}
본 발명은 출입 통제 기술에 관한 것으로, 보다 구체적으로 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법에 관한 것이다.
사용자의 식별(Identity)과 인증(Authentication)은 거의 모든 서비스 분야에서 요구하는 기본적인 보안 수단이다. 종래의 인증 수단 및 기술은 인증 분야별로 개별 인증 수단을 사용해야 하므로 개별 인증 수단을 소유, 기억해야 하는 불편함이 있으며, 단순한 알고리즘을 가진 단일의 인증요소를 사용하기 때문에 무차별 대입 공격 등의 외부 공격에 취약한 낮은 사용성과 보안성을 가지고 있다. 또한 타인과 인증 수단의 공유가 가능하고 복제나 분실시 도용될 수 있어 인증, 부인 방지, 접근 통제의 목적을 달성하지 못하는 문제점이 있다.
그리고 일반적으로 기업 내부의 출입 통제는 출입 카드를 이용하여 이루어진다. 사용자는 출입 카드를 휴대하고 출입문의 리더기에 출입 카드를 태깅하여 출입을 한다. 이때 출입 카드에 저장되어 있는 사용자 정보는 서버 또는 리더기 또는 컨트롤러에서 데이터베이스에 기록된 사용자 정보와 비교되는 인증 과정이 수행된다. 그런데 이러한 인증 방식은 출입 카드만 소지하고 있으면 누구든 출입이 가능하고, 이 때문에 출입 카드의 분실, 도용이 발생하였을 때 무단 침입이 발생하는 문제점이 있다. 또한, 여러 군데의 사옥이 있는 기업에서 근무하는 사원이나 장기간 파견 근무를 나온 외주사의 직원들은 인포메이션 데스크에서 개인의 신원을 확인하고 방문증을 발급받거나 출입 권한을 등록하는 등의 추가 절차를 거쳐야 하나 이후 접근 통제를 강력하게 할 수 없는 한계를 가지고 있다.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, 복수의 인증 요소를 결합하고 네트워크를 통해 출입에 관한 권한을 탄력적으로 그리고 실시간으로 부여하여 보안을 강화하고 경제적으로 보안성을 높일 수 있는 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법을 제공하는데 목적이 있다.
일 측면에 따른 휴대용 인증 장치는, 사용자의 지문을 인식하는 지문 센서; 출입 권한 부여 서버와 통신하는 통신 모듈; 출입 인증 장치와 비접촉 통신을 하여 상기 제 1 권한 정보를 상기 출입 인증 장치로 전송하는 카드 모듈; 및 상기 인식된 지문을 인증하고, 상기 통신 모듈을 통해 상기 출입 권한 부여 서버로부터 수신된 상기 제 1 권한 정보를 상기 카드 모듈에 기록하는 제어 모듈을 포함한다.
상기 제어 모듈은, 기 설정된 정책 정보에 따라 접속이 허용된 네트워크를 통해 상기 출입 권한 부여 서버와 통신하도록 상기 통신 모듈을 제어할 수 있다.
상기 제 1 권한 정보는, 상기 출입 통제 서버에서 생성한 랜덤 출입 권한 및 유효 기간을 포함할 수 있다.
상기 제어 모듈은, 상기 인식된 지문의 인증에 성공하고 상기 제 1 권한 정보를 상기 카드 모듈에 기록한 후, 상기 카드 모듈의 접촉 통신 기능을 비활성화하고, 상기 통신 모듈의 통신 연결을 해제하며, 상기 카드 모듈의 비접촉 통신 기능을 활성화할 수 있다.
상기 카드 모듈은, 상기 제 1 권한 정보와 독립하여 변경 불가한 제 2 권한 정보를 저장하고, 상기 출입 인증 장치로 상기 제 1 권한 정보 및 상기 제 2 권한 정보를 모두 전송할 수 있다.
다른 측면에 따른 출입 통제를 위한 시스템은, 사용자가 휴대하고 상기 사용자의 지문 인증을 한 휴대용 인증 장치로부터 권한 정보 요청을 수신하고 이에 대한 응답으로 제 1 권한 정보를 발행하여 상기 휴대용 인증 장치로 전송하며, 또한 상기 제 1 권한 정보를 출입 통제 서버로 전송하는 출입 권한 부여 서버; 및 상기 휴대용 인증 장치로부터 비접촉 통신을 통해 상기 제 1 권한 정보를 수신한 출입 인증 장치로부터 그 제 1 권한 정보를 수신한 후, 상기 출입 권한 부여 서버로부터 수신된 상기 제 1 권한 정보와 비교하여 출입 인증 결과를 상기 출입 인증 장치로 전송하는 상기 출입 통제 서버를 포함한다.
상기 출입 권한 부여 서버는, 랜덤 권한 및 유효 기간을 포함하는 상기 제 1 권한 정보를 상기 휴대용 인증 장치 및 상기 출입 통제 서버로 전송할 수 있다.
상기 출입 통제 서버는, 상기 휴대용 인증 장치에 상기 제 1 권한 정보와 독립되어 변경 불가하게 저장된 제 2 권한 정보를 상기 출입 인증 장치로부터 더 수신하고, 상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 출입 권한 부여 서버로부터 수신된 제 1 권한 정보가 일치하면서 상기 제 2 권한 정보가 기 저장된 제 2 권한 정보와 일치하는 경우, 출입 허가의 인증 결과를 상기 출입 인증 장치로 전송할 수 있다.
또 다른 측면에 따른 출입 권한 부여 서버와 네트워크를 통해 통신하고 출입 인증 장치와 비접촉 통신을 할 수 있는 휴대용 인증 장치를 이용한 출입 인증 방법은, 상기 휴대용 인증 장치가, 지문 센서로 사용자의 지문을 인식하여 인증하는 단계; 상기 휴대용 인증 장치가, 통신 모듈을 통해 상기 출입 권한 부여 서버에 접속하는 단계; 상기 휴대용 인증 장치가, 상기 출입 권한 부여 서버로부터 제 1 권한 정보를 수신하고 카드 모듈에 기록하는 단계; 및 상기 휴대용 인증 장치가, 상기 카드 모듈을 통해 상기 출입 인증 장치와 비접촉 통신을 하여 상기 출입 인증 장치로 상기 제 1 권한 정보를 전송하는 단계를 포함한다.
상기 접속하는 단계는, 상기 휴대용 인증 장치가, 기 설정된 정책 정보에 따라 접속이 허용된 네트워크를 통해 상기 출입 권한 부여 서버에 접속할 수 있다.
상기 제 1 권한 정보는, 상기 출입 권한 부여 서버에서 생성한 랜덤 권한 및 유효 기간을 포함할 수 있다.
상기 방법은, 상기 인식된 지문의 인증에 성공하고 상기 제 1 권한 정보를 상기 카드 모듈에 기록한 후, 상기 카드 모듈의 접촉 통신 기능을 비활성화하고, 상기 통신 모듈의 통신 연결을 해제하며, 상기 카드 모듈의 비접촉 통신 기능을 활성화하는 단계를 더 포함할 수 있다.
상기 카드 모듈은, 상기 제 1 권한 정보와 독립하여 변경 불가한 제 2 권한 정보를 더 저장하고, 상기 전송하는 단계는, 상기 출입 인증 장치로 상기 제 1 권한 정보 및 상기 제 2 권한 정보를 모두 전송할 수 있다.
또 다른 측면에 따른 출입 통제를 위한 시스템에서 사용자의 출입을 인증하는 방법은, 상기 사용자의 지문 인증을 한 휴대용 인증 장치로부터 권한 정보 요청을 수신하고 이에 대한 응답으로 제 1 권한 정보를 발행하여 상기 휴대용 인증 장치로 전송하는 단계; 상기 휴대용 인증 장치로부터 비접촉 통신을 통해 상기 제 1 권한 정보를 수신한 출입 인증 장치로부터, 상기 제 1 권한 정보를 수신하는 단계; 및 상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 휴대용 인증 장치로 전송한 제 1 권한 정보와의 비교에 따른 출입 인증 결과를 상기 출입 인증 장치로 전송하는 단계를 포함한다.
상기 휴대용 인증 장치로 전송하는 단계는, 랜덤 권한 및 유효 기간을 포함하는 상기 제 1 권한 정보를 상기 휴대용 인증 장치로 전송할 수 있다.
상기 제 1 권한 정보를 수신하는 단계는, 상기 휴대용 인증 장치에 상기 제 1 권한 정보와 독립되어 변경 불가하게 저장된 제 2 권한 정보를 상기 출입 인증 장치로부터 더 수신하고, 상기 출입 인증 결과를 상기 출입 인증 장치로 전송하는 단계는, 상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 휴대용 인증 장치로 전송한 제 1 권한 정보가 일치하면서 상기 출입 인증 장치로부터 수신된 상기 제 2 권한 정보가 기 저장된 제 2 권한 정보와 일치하는 경우, 출입 허가의 인증 결과를 상기 출입 인증 장치로 전송할 수 있다.
일 실시예에 따르면, 사용자는 지문 인증과 출입 권한 인증을 모두 통과해야만 출입을 허가받을 수 있으므로, 기업 내 출입 보안을 강화할 수 있고, 휴대용 인증 장치가 분실되더라도 습득자는 지문 인증을 통과할 수 없으므로 기업 내 출입 보안을 강화할 수 있다.
일 실시예에 따르면, 사용자가 휴대하는 통신 기능을 갖는 휴대용 인증 장치에서는 출입에 관한 임시 권한 정보를 실시간으로 부여받아 이 임시 권한 정보를 이용하여 출입 인증을 수행하므로 일시적인 출입 인증, 통제를 위한 인력과 시간을 줄일 수 있고 갑작스러운 변동 사항 발생에도 즉각적인 출입 통제 정책의 변경 및 실시가 가능하다.
도 1은 본 발명의 일 실시예에 따른 출입 통제 시스템의 구성을 나타낸 도면이다.
도 2는 도 1의 휴대용 인증 장치의 구성을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 휴대용 인증 장치에 저장되는 권한 정보를 나타낸 도면이다.
도 4는 도 1의 출입 권한 부여 서버 및 출입 통제 서버의 구성을 개략적으로 나타낸 도면이다.
도 5는 도 1의 시스템에서의 출입 인증 방법을 설명하는 일 실시예의 흐름도이다.
도 6은 도 1의 시스템에서의 출입 인증 방법을 설명하는 다른 실시예의 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 출입 통제 시스템의 구성을 나타낸 도면이다. 도 1을 참조하면, 일 실시예에 따른 출입 통제 시스템은, 휴대용 인증 장치(110), 액세스 포인트(120), 통신망(130), 출입 권한 부여 서버(140), 출입 인증 장치(150) 및 출입 통제 서버(160)를 포함한다.
휴대용 인증 장치(110)는, 기업 등을 출입하는 사용자가 휴대하는 장치로서, 지문 센서를 내장하고, 액세스 포인트(120)를 통해 출입 권한 부여 서버(140)와 통신할 수 있으며, 또한 출입 인증 장치(150)와 RFID 등의 비접촉 통신을 수행할 수 있는 장치이다. 도 2는 도 1의 휴대용 인증 장치(110)의 구성을 나타낸 도면이다.
도 2를 참조하면, 휴대용 인증 장치(110)는, USB 단자(210), 충전 모듈(202), 배터리(203), 카드 모듈(204), 지문 센서(205), 통신 모듈(206), LED(207) 및 제어 모듈(208)을 포함한다.
USB 단자(210)는 USB 케이블을 통해 퍼스널 컴퓨터, 또는 전원과 연결될 수 있다. USB 단자(210)는 제어 모듈(208)과 퍼스널 컴퓨터 간의 데이터 통신을 지원하고, 또한 장치 동작을 위한 전원을 공급하며 동시에 충전 모듈(202)로 전원을 공급할 수 있다. 충전 모듈(202)은 USB 단자(201)로부터 공급되는 전원을 배터리(203)로 공급하여 배터리(203)를 충전한다. 배터리(203)는 전원을 충전하고 방전할 수 있는 에너지 저장 수단으로서, 예컨대 리튬 이차 전지 등을 예로 들 수 있으나 여기에 제한되지 않는다.
카드 모듈(204)은 중앙 처리 장치, 카드 운영체제, 보안 모듈, 메모리 관리 모듈, 입출력 모듈 등이 탑재되어 있고, 스스로 정보를 저장하고 처리할 수 있는 능력을 지닌 집적 회로(Integrated Circuit) 칩이다. 카드 모듈(204)은 일 예로서, 자바(JAVA) 기반으로 제작될 수 있다. 자바 기반으로 제작될 경우, 중앙 처리 장치(Central Processing Unit)와 메모리(예를 들어, ROM(Read Only Memory), EEPROM(Electrically Erasable Programmable ROM), RAM(Random Access Memory))가 존재하는 하드웨어 계층 위에 카드 운영체제가 탑재되고, 자바 카드상에 다양한 응용 프로그램이 존재할 수 있도록 지원해주는 자바 카드 가상 기계가 탑재되며, 자바 카드 가상 기계 위로 자바 카드 API, 자바 카드 애플릿(Applet)이 순서대로 탑재된다. 카드 모듈(204)은, 출입과 관련된 권한 정보를 관리하는 애플릿을 포함하여 메모리에 권한 정보를 기록하거나 삭제할 수 있다. 카드 모듈(204)은, 출입 인증 장치(150)와 비접촉(Contactless) 통신을 위한 인터페이스(예, ISO/IEC 14443)를 포함하고, 또한 제어 모듈(208)과 접촉(Contact) 통신을 위한 인터페이스(예, ISO/IEC 7816)를 포함한다. 카드 모듈(204)은 접촉 통신을 위해 배터리(203)로부터 전원을 공급받을 수 있다.
지문 센서(205)는, 사용자의 지문을 인식하기 위한 센서로서, 예컨대 이미지 센서를 포함할 수 있다. 통신 모듈(206)은, 제어 모듈(208)의 제어에 따라, 접속이 허용된 네트워크, 예를 들어 액세스 포인트(120)를 탐색하여 통신을 수행한다. 통신 모듈의 예로서 Wi-Fi 모듈(206)을 들 수 있으나 여기에 제한되는 것은 아니며 다른 근거리 통신 모듈, 예를 들어 블루투스(BLE), 또는 LTE-M, NB(NarrowBand)-IoT 통신 모듈 등을 포함할 수 있다. LED(207)는 제어 모듈(208)의 제어에 따라 휴대용 인증 장치(110)의 각종 동작 상태를 출력한다.
제어 모듈(208)은 휴대용 인증 장치(110)의 전체적인 동작을 제어한다. 제어 모듈(208)은 예를 들어 MCU(Micro Controller Unit)일 수 있다. 제어 모듈(208)은, 휴대용 인증 장치(110)가 출입 권한 부여 서버(140)와 통신할 수 있는 전용 클라이언트가 설치된 퍼스널 컴퓨터에 연결될 경우, 그 퍼스널 컴퓨터를 통해 상기 출입 권한 부여 서버(140)에서 전송되는 정책 정보를 수신하여 저장할 수 있다. 여기서 정책 정보는, 접속이 허용되는 네트워크의 목록, 예를 들어 액세스 포인트(120)의 목록, 인증 동작 모드 등의 각종 설정 정보를 포함할 수 있다. 또한 제어 모듈(208)은 상기 퍼스널 컴퓨터에 설치된 전용 클라이언트와 통신하여 지문 센서(205)를 통해 사용자의 지문을 등록할 수 있다.
제어 모듈(208)은 휴대용 인증 장치(110)가 적은 배터리 용량으로도 일정 기간 동작할 수 있도록 휴대용 인증 장치(110)의 미사용시에는 대기(Sleep) 모드로 동작하고, 스위치 또는 별도의 활성화 버튼이 입력될 시에 자동으로 실행(Wake Up) 모드로 전환할 수 있다. 또한 제어 모듈(208)은 배터리(203)의 잔량, 전원 온/오프, 인증 성공/실패, 통신 연결 성공/실패 등의 각종 상태 정보를 LED(207) 또는 부저(Buzzer)를 통해 표시할 수 있다.
제어 모듈(208)은, 실행 모드에서, 휴대용 인증 장치(110)의 인증 방식으로 단독 인증 방식 또는 네트워크 연동 인증 방식을 지원한다. 제어 모듈(208)은 정책 정보에 따라 단독 인증 방식과 네트워크 연동 인증 방식 중 하나를 수행하거나, 또는 사용자의 입력에 따라 둘 중 하나의 인증 방식을 수행할 수 있다.
단독 인증 방식에서, 제어 모듈(208)은, 지문 센서(205)로 사용자의 지문을 인식하여 기 저장된 지문과 비교하는 지문 인증을 수행한다. 제어 모듈(208)은, 지문 인증 성공시에, LED(207)로 지문 인증 성공을 표시하고, 카드 모듈(204)의 비접촉 통신 기능을 활성화하고 접촉 통신 기능은 비활성화한다. 사용자가 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅하면, 카드 모듈(204)은 출입 인증 장치(150)의 RF 신호에 따라 유도 전류를 발생시켜 출입에 관한 권한 정보를 출입 인증 장치(150)로 전송한다. 카드 모듈(204)의 접촉 통신 기능이 활성화되어 있으면, 즉 전원이 공급되고 있으면, 출입 인증 장치(150)에 휴대용 인증 장치(110)를 태깅시 비접촉 통신 기능이 동작하지 않으므로, 제어 모듈(208)은 지문 인증 성공시에 카드 모듈(204)의 비접촉 통신 기능을 활성화하고 접촉 통신 기능은 비활성화한다.
네트워크 연동 인증 방식에서, 제어 모듈(208)은, 지문 센서(205)로 사용자의 지문을 인식하여 기 저장된 지문과 비교하는 지문 인증을 수행한다. 제어 모듈(208)은, 지문 인증 성공시에, LED(207)로 지문 인증 성공을 표시하고, 카드 모듈(204)의 비접촉 통신 기능을 활성화한다. 그리고 제어 모듈(208)은 정책 정보에 기초하여 접속이 허용된 네트워크, 예를 들어 액세스 포인트(120)를 통해 출입 권한 부여 서버(140)에 접속을 하고, 출입 권한 부여 서버(140)로부터 수신되는 출입과 관련된 권한 정보를 카드 모듈(204)에 기록(write)한다. 이때 제어 모듈(208)은 카드 모듈(204)의 접촉 통신 인터페이스를 통해 권한 정보를 카드 모듈(204)에 기록한다. 제어 모듈(208)은 상술한 바와 같이 지문 인증에 성공하고 카드 모듈(204)에 권한 정보를 기록한 후, 카드 모듈(204)의 접촉 통신 기능을 비활성화한다. 즉 전원을 차단한다. 사용자가 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅하면, 카드 모듈(204)은 출입 인증 장치(150)의 RF 신호에 따라 유도 전류를 발생시켜 출입에 관한 권한 정보를 출입 인증 장치(150)로 전송한다.
바람직하게, 제어 모듈(208)은, 네트워크 연동 인증 방식에서, 지문 인증에 성공하고 출입 권한 부여 서버(140)로부터 수신되는 출입과 관련된 권한 정보를 카드 모듈(204)에 기록한 후, 카드 모듈(204)의 접촉 통신 기능을 비활성화하고, 통신 모듈(206)의 통신 연결, 즉 접속이 허용된 네트워크와의 통신 연결을 해제하며, 카드 모듈(204)의 비접촉 통신 기능을 활성화한다.
카드 모듈(204)에 기록되는 권한 정보는 두 가지 종류가 있다. 하나는 기본 권한 정보이고 나머지 하나는 추가 권한 정보로서, 임시 권한 정보이다. 기본 권한 정보는 카드 모듈(204)에 기록된 후 변경 불가로 설정되어 있거나 유효 기간이 없는 권한 정보이고, 임시 권한 정보는 휴대용 인증 장치(110)가 직접 출입 권한 부여 서버(140)에 접속하여 수신하는 유효 기간이 있는 권한 정보이다. 카드 모듈(204)은 상기 정책 정보에 따라 기본 권한 정보와 임시 권한 정보를 둘 다 가지고 있거나 유효 기간이 있는 임시 권한 정보만 가질 수 있다. 경우에 따라, 임시 권한 정보는 유효 기간이 영구적으로 설정되어 기본 권한에 대등한 권한을 가질 수 있다. 유효 기간은 제어 모듈(208)에 기록되고 휴대용 인증 장치(110)가 활성화될 때마다 제어 모듈(208)은 유효 기간을 확인하여 유효 기간이 만료되면 상기 임시 권한 정보를 삭제하는 명령을 카드 모듈(204)로 전송한다. 도 3은 본 발명의 일 실시예에 따른 휴대용 인증 장치에 저장되는 권한 정보를 나타낸 도면이다. 도 3을 참조하면, 참조번호 310은 기본 권한 정보이고 참조번호 320은 임시 권한 정보이다. 예를 들어, 사용자가 특정 기업의 A 사옥에서 근무하는 경우, 해당 사용자의 휴대용 인증 장치(110)에는 A 사옥에 출입할 수 있는 기본 권한 정보(310)가 기록될 수 있다. 이 기본 권한 정보(310)는 휴대용 인증 장치(110)가 사용자에게 배포되기 전에 미리 관리자에 의해 설정될 수 있다. 만약 해당 사용자가 기업의 B 사옥에 임시로 방문하여 출입을 할 때, 사용자는 휴대용 인증 장치(110)로 출입 권한 부여 서버(140)에 접속하여 B 사옥에 임시로 출입할 수 있는 임시 권한 정보를 다운로드해야 한다. 도 3에 도시된 바와 같이, 임시 권한 정보는 유효 기간이 설정되고, 이 유효 기간이 경과되면 삭제되기 때문에 그 유효 기간 내에서만 B 사옥에 출입할 수 있다. 제어 모듈(208)은 임시 권한 정보의 유효 기간이 만료될 경우 카드 모듈(204)에 저장된 임시 권한 정보를 삭제할 수 있다.
다시 도 1을 참조하면, 액세스 포인트(120)는 Wi-Fi 통신 기능을 제공하여 휴대용 인증 장치(110)와 출입 권한 부여 서버(140)의 통신을 중계한다. 통신망(130)은, 시스템에서 서로 연결되어 있는 다양한 디바이스 및 데이터 처리 시스템 간의 통신 링크를 제공하기 위해 사용되는 매체이다. 통신망(130)은, 전선, 무선 통신 링크 또는 광섬유 케이블과 같은 연결을 포함할 수 있다. 통신망(130)은, 원거리 통신(Wide Area Network, WAN), 근거리 통신(Local Area Network, LAN), 모바일 네트워크, 가상 사설망(Virtual Private Network, VPN), 인터넷, 일반 전화 교환망 통신(Public Switched Telephone Network, PSTN) 또는 그와 유사한, 서로 다른 다양한 통신 기술들을 포함하거나, 이용하여 실시될 수 있다.
출입 권한 부여 서버(140)는, 휴대용 인증 장치(110)로 정책 정보 및 임시 권한 정보를 전송할 수 있고, 임시 권한 정보를 휴대용 인증 장치(110)에 전송할 때 동시에 그 임시 권한 정보를 출입 통제 서버(160)로 전송한다. 출입 통제 서버(160)는 출입 인증 장치(150)로부터 권한 정보를 포함하는 출입 인증 요청이 수신되면 권한 정보에 기초하여 출입 인증을 수행하고 인증 결과를 출입 인증 장치(150)로 전송한다. 출입 권한 부여 서버(140) 및 출입 통제 서버(160)는, 메모리, 메모리 제어기, 하나 이상의 프로세서(CPU), 주변 인터페이스, 입출력(I/O) 서브시스템, 디스플레이 장치, 입력 장치 및 통신 회로를 포함할 수 있다.
메모리는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 프로세서 및 주변 인터페이스와 같은 다른 구성요소에 의한 메모리로의 액세스는 메모리 제어기에 의하여 제어될 수 있다. 메모리는 각종 정보와 프로그램 명령어를 저장할 수 있고, 프로그램은 프로세서에 의해 실행된다.
주변 인터페이스는 출입 권한 부여 서버(140) 및 출입 통제 서버(160)의 입출력 주변 장치를 프로세서 및 메모리와 연결한다. 하나 이상의 프로세서는 다양한 소프트웨어 프로그램 및/또는 메모리에 저장되어 있는 명령어 세트를 실행하여 출입 권한 부여 서버(140) 및 출입 통제 서버(160)를 위한 여러 기능을 수행하고 데이터를 처리한다. I/O 서브시스템은 디스플레이 장치, 입력 장치와 같은 입출력 주변장치와 주변 인터페이스 사이에 인터페이스를 제공한다. 디스플레이 장치는 LCD(liquid crystal display) 기술 또는 LPD(light emitting polymer display) 기술을 사용할 수 있다.
프로세서는 출입 권한 부여 서버(140) 및 출입 통제 서버(160)에 연관된 동작을 수행하고 명령어들을 수행하도록 구성된 프로세서로서, 예를 들어, 메모리로부터 검색된 명령어들을 이용하여, 출입 권한 부여 서버(140) 및 출입 통제 서버(160)의 컴포넌트 간의 입력 및 출력 데이터의 수신과 조작을 제어할 수 있다. 통신 회로는 외부 포트를 통한 통신 또는 RF 신호에 의한 통신을 수행한다. 통신 회로는 전기 신호를 RF 신호로 또는 그 반대로 변환하며 이 RF 신호를 통하여 통신 네트워크, 다른 이동형 게이트웨이 장치 및 통신 장치와 통신할 수 있다.
도 4는 도 1의 출입 권한 부여 서버(140) 및 출입 통제 서버(160)의 구성을 개략적으로 나타낸 도면으로, 도 4의 (a)는 출입 권한 부여 서버(140)이고, 도 4의 (b)는 출입 통제 서버(160)를 나타낸다. 도 4를 참조하면, 출입 권한 부여 서버(140)는, 정책 정보 관리부(410) 및 권한 정보 관리부(420)를 포함하고, 출입 통제 서버(160)는 출입 제어부(430)를 포함한다. 이러한 구성요소는 소프트웨어로 구현되어 메모리에 저장되어 프로세서에 의해 실행될 수 있고, 또는 소프트웨어와 하드웨어의 조합으로 구현될 수도 있다.
정책 정보 관리부(410)는, 입력 장치를 통해 관리자로부터 정책 정보를 입력받아 저장 수단에 저장할 수 있다. 정책 정보는, 사용자별 휴대용 인증 장치(110)의 네트워크 연결 방법(예, Wi-Fi, LTE, BLE 등), 네트워크 연결 방법에 따라 접속이 허용되는 네트워크의 정보(예를 들어, 액세스 포인트(120)의 정보), 출입 인증 정책으로서 예를 들어 단독 인증 또는 네트워크 연동 인증 등을 포함한다. 정책 정보 관리부(410)는, 휴대용 인증 장치(110)가 전용 클라이언트가 설치된 퍼스널 컴퓨터에 연결되면, 상기 전용 클라이언트를 통해서 상기 휴대용 인증 장치(110)로 상기 정책 정보를 전송할 수 있다. 또한 정책 정보 관리부(410)는 휴대용 인증 장치(110)가 직접 통신에 의해 접속해 오는 경우, 기 전송되어 휴대용 인증 장치(110)에 저장되어 있는 정책 정보를 갱신할 수 있다.
권한 정보 관리부(420)는, 휴대용 인증 장치(110)가 정책 정보에 따라 네트워크 연동 인증을 위해 접속해오면, 휴대용 인증 장치(110)의 식별정보(예컨대, 시리얼 넘버)를 이용하여 기기 인증을 수행하고, 휴대용 인증 장치(110)에 대해 기 저장되어 있는 설정 정보에 따라 휴대용 인증 장치(110)로 출입을 위한 추가 권한 정보, 즉 임시 권한 정보를 발행하여 휴대용 인증 장치(110)와 출입 통제 서버(160)로 전송한다. 추가 권한 정보는, 랜덤 출입 권한(예, 랜덤값), 출입 가능한 출입 인증 장치(150)의 번호, 출입 권한 유효 기간, 출입 권한 생성 일시, 사원 번호, 출입 가능 사옥 정보 등을 포함할 수 있다. 여기서 기 저장되어 있는 상기 설정 정보는, 관리자 또는 종업원에 의한 방문자 등록에 의해 입력될 수 있고, 임시 출입이 가능한 사옥 정보, 사원 번호, 유효 기간을 포함할 수 있다. 예를 들어, A 사옥에 근무하는 사용자가 B 사옥에 방문하는 경우, B 사옥에 근무하는 관리자 또는 종업원은 방문 사용자의 사원 번호, 유효 기간, 출입 가능한 출입 인증 장치(150)의 번호 등을 설정할 수 있다. 출입 권한 부여 서버(140)의 저장 수단에는 기업 내 종업원들의 인사 정보(예, 사원 정보, 휴대용 인증 장치(110)의 배포 정보로서 시리얼 넘버, 휴대 전화번호 등)가 저장되어 있거나, 또는 인사 서버나 출입 통제 서버(160)에 인사 정보가 저장된 후 서버 간 상호 연동으로 출입 권한 부여 서버(140)에 공유될 수 있다. 이 인사 정보는 휴대용 인증 장치(110)의 출입 권한 요청에 따라 추가 권한을 부여하기 위한 기반 정보로 사용될 수 있다. 권한 정보 관리부(420)는 휴대용 인증 장치(110)의 식별정보(예, 시리얼 넘버)와 상기 인사 정보를 이용하여 사원 정보를 검색한 후에 상기 설정 정보를 추출할 수 있다. 권한 정보 관리부(420)는 발행한 상기 추가 권한 정보를 저장 수단에 저장하고, 휴대용 인증 장치(110)와 출입 통제 서버(160)로 전송한다.
다른 실시 형태로서, 권한 정보 관리부(420)는, 추가 권한 정보 및/또는 기본 권한 정보를 출입 인증 장치(150)로 전송하여 출입 인증 장치(150)에서 직접 권한 정보의 비교를 통해 출입 제어를 할 수 있도록 한다.
출입 제어부(430)는, 출입 인증 장치(150)로부터 해당 출입 인증 장치(150)에 태깅한 휴대용 인증 장치(110)에 저장되어 있는 권한 정보를 수신하고, 수신된 권한 정보를 저장 수단에 기 저장되어 있는 권한 정보와 비교하여 출입 허가 또는 거부의 인증 결과를 출입 인증 장치(150)로 회신한다. 여기서 권한 정보는, 휴대용 인증 장치(110)에 저장되어 있는 상기 추가 권한 정보일 수 있고, 또는 여기에 더하여 기본 권한 정보를 더 포함할 수 있다.
출입 제어부(430)는 출입 인증 장치(150)로부터 수신된 휴대용 인증 장치(110)의 권한 정보와, 저장 수단에 저장된 권한 정보를 비교하여 출입 인증 장치(150)로 출입 허가 결과를 전송할 수 있다. 출입 제어부(430)는 출입 인증 장치(150)로부터 휴대용 인증 장치(110)의 기본 권한 정보와 추가 권한 정보를 모두 수신할 수 있고, 다양한 형태로 출입 통제를 행할 수 있다. 구체적으로, 추가 권한 정보가 기본 권한 정보보다 우선순위를 갖고 추가 권한 정보가 유효하고 유효 기간이 만료되지 않은 경우 출입이 허용되지만, 추가 권한 정보가 유효하지 않거나 유효 기간이 만료된 경우 기본 권한 정보와 무관하게 출입이 거부될 수 있다. 또는 우선순위와 무관하게, 추가 권한 정보가 유효하지 않거나 유효 기간이 만료되었더라도 기본 권한 정보에 따라 출입이 허용될 수 있다. 후자는 갑작스럽게 출입 통제 정책을 변경하여 즉각적인 실시가 필요할 때 행해질 수 있다. 또는, 출입 인증 장치(150)로부터 수신된 휴대용 인증 장치(110)의 추가 권한 정보 및 기본 권한 정보가 저장 수단에 저장되어 있는 추가 권한 정보 및 기본 권한 정보와 모두 일치할 때, 출입이 허용될 수 있다.
다시 도 1을 참조하면, 출입 인증 장치(150)는, 통신망(130)을 통해 출입 통제 서버(160)와 통신하고, 휴대용 인증 장치(110)와는 RFID 등의 근거리 통신을 수행한다. 출입 인증 장치(150)는 RFID 리더기를 포함하고, 건물의 출입구에 설치되는 게이트 또는 특정 방에 설치되는 도어락 등일 수 있고, 또는 보안 요원이 휴대하는 휴대 장치일 수 있다.
출입 인증 장치(150)는, 휴대용 인증 장치(110)가 태깅되면 APDU(Application Protocol Data Unit) 명령을 휴대용 인증 장치(110)로 전송하고 이에 대한 응답, 즉 권한 정보를 포함하는 응답을 수신한다. 출입 인증 장치(150)는 그 수신된 휴대용 인증 장치(110)의 권한 정보를 통신망(130)을 통해 출입 통제 서버(160)로 전송하고 출입 통제 서버(160)로부터 출입 인증 결과를 수신하여 사용자의 출입을 허가하거나 거부할 수 있다. 예컨대, 도어를 개방하거나 폐쇄힌다.
또는, 출입 인증 장치(150)는, 출입 권한 부여 서버(140)로부터 휴대용 인증 장치(110)의 기본 권한 정보 및/또는 추가 권한 정보를 수신하여 저장 수단에 저장하고, 휴대용 인증 장치(110)의 태깅시 휴대용 인증 장치(110)로부터 기본 권한 정보 및/또는 추가 권한 정보를 수신하고, 직접 기 저장되어 있는 기본 권한 정보 및/또는 추가 권한 정보와 비교하여 일치할 경우 출입을 허가할 수 있다.
도 5는 도 1의 시스템에서의 출입 인증 방법을 설명하는 일 실시예의 흐름도로서, 단독 인증 방식의 예로서, 휴대용 인증 장치(110)는 기 저장되어 있는 정책 정보에 따라 단독 인증 방식으로 동작을 한다.
도 5를 참조하면, 휴대용 인증 장치(110)는 사용자의 입력에 따라 대기(sleep) 모드에서 실행(wake up) 모드로 전환하여 활성화한다(S501). 휴대용 인증 장치(110)는 지문 센서(205)를 통해 사용자의 지문을 인식한다(S502).
휴대용 인증 장치(110)는 인식된 사용자의 지문이 기 등록되어 있는 지문과 일치하는지 확인하여 지문 인증을 수행한다(S503). 지문 인증에 실패한 경우, 휴대용 인증 장치(110)는 지문 인증에 실패했음을 알리는 LED(207)를 점멸한다(S504). 반면 지문 인증에 성공한 경우, 휴대용 인증 장치(110)는 지문 인증에 성공했음을 알리는 LED(207)를 점등한다(S505). 그리고 휴대용 인증 장치(110)는 출입 인증을 수행하기 위해 카드 모듈(204)의 비접촉 통신 기능을 활성화하고(S506), 접촉 통신 기능은 비활성화한다(S507). 접촉 통신 기능의 비활성화는, 카드 모듈(204)로의 전원 공급을 차단하는 것을 의미한다.
이와 같이 비접촉 통신 기능이 활성화된 후, 사용자는 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅한다(S508). 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅하면, 출입 인증 장치(150)의 RFID 리더기에서 송출되는 전파는 휴대용 인증 장치(110)의 카드 모듈(204)의 코일에 유도 전류를 발생시키고, 카드 모듈(204)은 메모리에 저장된 출입에 관한 권한 정보를 출입 인증 장치(150)로 전송한다. 여기서 휴대용 인증 장치(110)는 출입 인증 장치(150)로부터 APDU(Application Protocol Data unit) 명령을 수신하고 이에 대한 응답에 권한 정보를 포함하여 회신한다. 상기 권한 정보는, 휴대용 인증 장치(110)에 디폴트로 저장되어 있는 기본 권한 정보일 수 있고, 또는 출입 권한 부여 서버(140)로부터 미리 다운로드해 놓은 임시 권한 정보일 수 있다.
출입 인증 장치(150)는 휴대용 인증 장치(110)로부터 수신된 권한 정보를 출입 통제 서버(160)로 전송하여 출입 인증을 요청한다(S509). 출입 통제 서버(160)는, 출입 인증 장치(150)로부터 수신된 권한 정보와 기 저장되어 있는 권한 정보를 비교하여 이에 따른 인증 결과를 출입 인증 장치(150)로 전송한다(S510). 출입 통제 서버(160)는 출입 인증 장치(150)로부터 수신된 권한 정보에 포함된 식별정보(예, 사원 번호 등)를 이용하여 기 저장되어 있는 권한 정보를 검색하여 비교할 수 있다. 출입 인증 장치(150)는 인증 결과에 따라 출입문을 개방하여 출입을 허가하거나 출입을 거부할 수 있다(S511).
도 5를 참조한 실시예에서는, 출입 인증 장치(150)가 출입 통제 서버(160)로 권한 정보를 전송하여 출입 인증을 요청하였으나 여기에 제한되는 것은 아니며, 출입 권한 부여 서버(140) 또는 출입 통제 서버(160)가 미리 출입 인증 장치(150)로 권한 정보를 전송해 놓고, 출입 인증 장치(150)가 스스로 권한 정보를 비교하여 출입 인증을 수행할 수도 있다.
도 6은 도 1의 시스템에서의 출입 인증 방법을 설명하는 다른 실시예의 흐름도로서, 네트워크 연동 인증 방식의 예로서, 휴대용 인증 장치(110)는 기 저장되어 있는 정책 정보에 따라 네트워크 연동 인증 방식으로 동작을 한다.
도 6을 참조하면, 휴대용 인증 장치(110)는 사용자의 입력에 따라 대기(sleep) 모드에서 실행(wake up) 모드로 전환하여 활성화한다(S601). 휴대용 인증 장치(110)는 정책 정보를 참조하여 통신 모듈(206)을 통해 액세스 포인트(120)에 연결한다(S603). 이때 휴대용 인증 장치(110)는 정책 정보에 포함된 접속이 허용되는 네트워크, 즉 액세스 포인트의 리스트를 참조하여 액세스 포인트(120)에 Wi-Fi 연결한다. 그리고 휴대용 인증 장치(110)는 액세스 포인트(120)를 통해 출입 권한 부여 서버(140)에 접속한다(S605).
한편, 휴대용 인증 장치(110)는 지문 센서(205)를 통해 사용자의 지문을 인식한다(S602). 휴대용 인증 장치(110)는 인식된 사용자의 지문이 기 등록되어 있는 지문과 일치하는지 확인하여 지문 인증을 수행한다(S606). 지문 인증에 실패한 경우, 휴대용 인증 장치(110)는 지문 인증에 실패했음을 알리는 LED(207)를 점멸한다(S607). 반면 지문 인증에 성공한 경우, 출입 권한 부여 서버(140)는, 휴대용 인증 장치(110)로부터 휴대용 인증 장치(110)의 식별정보(예, 시리얼 넘버)나, 지문 인증시 생성된 키 값 및 휴대용 인증 장치(110)의 식별정보를 수신하여, 휴대용 인증 장치(110)의 인증을 수행한다(S608). 출입 권한 부여 서버(140)는 휴대용 인증 장치(110)의 식별정보(예, 시리얼 넘버)나, 지문 인증시 생성된 키 값 및 휴대용 인증 장치(110)의 식별정보의 조합 등을 이용하여 다양한 형태로 휴대용 인증 장치(110)의 인증을 수행할 수 있다. 출입 권한 부여 서버(140)는 휴대용 인증 장치(110)의 인증 결과를 휴대용 인증 장치(110)로 전송할 수 있고, 인증 실패시에 휴대용 인증 장치(110)는 장치 인증 실패를 알리는 LED(207)를 점멸할 수 있다.
장치 인증에 성공한 경우, 휴대용 인증 장치(110)는 접속한 출입 권한 부여 서버(140)로 추가 권한 발급 요청을 전송한다(S609). 한편, 휴대용 인증 장치(110)는 지문 인증에 성공했음을 알리는 LED(207)를 점등한다(S610). 그리고 휴대용 인증 장치(110)는 지문 인증에 성공한 경우 출입 인증을 수행하기 위해 카드 모듈(204)의 비접촉 통신 기능을 활성화한다(S611).
추가 권한 발급 요청을 수신한 출입 권한 부여 서버(140)는 휴대용 인증 장치(110)에 부여할 추가 권한 정보를 발행하고, 이를 휴대용 인증 장치(110) 및 출입 통제 서버(160)에 전송한다(S612, S613).
휴대용 인증 장치(110)는 출입 권한 부여 서버(140)에서 발행되어 송신된 추가 권한 정보를 수신하여 카드 모듈(204)에 기록한다(S614). 휴대용 인증 장치(110)는 출입 권한 부여 서버(140)에서 발행되어 송신된 추가 권한 정보를 카드 모듈(204)에 기록(Write)해야 하므로 카드 모듈(204)의 접촉 통신 기능은 활성화되어 있다. 이와 같이 추가 권한 정보를 카드 모듈(204)에 기록한 후, 휴대용 인증 장치(110)는 카드 모듈(204)의 접촉 통신 기능을 비활성화한다(S615). 접촉 통신 기능의 비활성화는, 카드 모듈(204)로의 전원 공급을 차단하는 것을 의미한다. 카드 모듈(204)의 접촉 통신 기능을 비활성화하지 않으면, 비접촉 통신 기능을 사용할 수 없기 때문이다. 또한 휴대용 인증 장치(110)는 통신 모듈(206)의 통신 연결, 즉 접속이 허용된 네트워크와의 통신 연결을 해제한다.
이와 같이 접촉 통신 기능은 비활성화되고 비접촉 통신 기능이 활성화된 후, 사용자는 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅한다(S616). 휴대용 인증 장치(110)를 출입 인증 장치(150)에 태깅하면, 출입 인증 장치(150)의 RFID 리더기에서 송출되는 전파는 휴대용 인증 장치(110)의 카드 모듈(204)의 코일에 유도 전류를 발생시키고, 카드 모듈(204)은 메모리에 저장된 출입에 관한 추가 권한 정보를 출입 인증 장치(150)로 전송한다. 여기서 휴대용 인증 장치(110)는 출입 인증 장치(150)로부터 APDU(Application Protocol Data unit) 명령을 수신하고 이에 대한 응답에 추가 권한 정보를 포함하여 회신한다.
출입 인증 장치(150)는 휴대용 인증 장치(110)로부터 수신된 추가 권한 정보를 출입 통제 서버(160)로 전송하여 출입 인증을 요청한다(S617). 출입 통제 서버(160)는, 출입 인증 장치(150)로부터 수신된 추가 권한 정보와 출입 권한 부여 서버(140)로부터 전달받아 저장하고 있는 추가 권한 정보를 비교하여 이에 따른 인증 결과를 출입 인증 장치(150)로 전송한다(S618). 출입 통제 서버(160)는 출입 인증 장치(150)로부터 수신된 추가 권한 정보에 포함된 식별정보(예, 사원 번호 등)를 이용하여 기 저장되어 있는 권한 정보를 검색하여 비교할 수 있다. 출입 인증 장치(150)는 인증 결과에 따라 출입문을 개방하여 출입을 허가하거나 출입을 거부할 수 있다(S619).
도 6을 참조한 실시예에서는, 출입 인증 장치(150)가 출입 통제 서버(160)로 추가 권한 정보를 전송하여 출입 인증을 요청하였으나 여기에 제한되는 것은 아니며, 출입 권한 부여 서버(140) 또는 출입 통제 서버(160)가 미리 출입 인증 장치(150)로 추가 권한 정보를 전송해 놓고, 출입 인증 장치(150)가 스스로 권한 정보를 비교하여 출입 인증을 수행할 수도 있다.
또한, 도 6을 참조한 실시예에서는 추가 권한 정보의 비교만 행하지만 여기에 제한되는 것은 아니고, 휴대용 인증 장치(110)는 기본 권한 정보와 추가 권한 정보를 모두 태깅시 출입 인증 장치(150)로 전송하고, 출입 인증 장치(150)는 이 두 권한 정보가 기 저장된 권한 정보들과 모두 일치할 때만 출입을 허가할 수 있다.
또한, 도 6을 참조한 실시예에서, 지문 인증 성공시에 비접촉 통신 기능을 활성화하고, 추가 권한 정보를 카드 모듈(204)에 기록한 후 접촉 통신 기능을 비활성화하는 것으로 설명하였으나, 바람직하게는, 휴대용 인증 장치(110)는, 지문 인증에 성공하고 출입 권한 부여 서버(140)로부터 수신되는 추가 권한 정보를 카드 모듈(204)에 기록한 후, 카드 모듈(204)의 접촉 통신 기능을 비활성화하고, 통신 모듈(206)의 통신 연결, 즉 접속이 허용된 네트워크와의 통신 연결을 해제하며, 카드 모듈(204)의 비접촉 통신 기능을 활성화한다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
110 : 휴대용 인증 장치
120 : 액세스 포인트
130 : 통신망
140 : 출입 권한 부여 서버
150 : 출입 인증 장치
160 : 출입 통제 서버
201 : USB 단자
202 : 충전 모듈
203 : 배터리
204 : 카드 모듈
205 : 지문 센서
206 : 통신 모듈
207 : LED
208 : 제어 모듈

Claims (16)

  1. 사용자의 지문을 인식하는 지문 센서;
    출입 권한 부여 서버와 통신하는 통신 모듈;
    출입 인증 장치와 비접촉 통신을 하여 상기 제 1 권한 정보를 상기 출입 인증 장치로 전송하는 카드 모듈; 및
    상기 인식된 지문을 인증하고, 상기 통신 모듈을 통해 상기 출입 권한 부여 서버로부터 수신된 상기 제 1 권한 정보를 상기 카드 모듈에 기록하는 제어 모듈을 포함하는 휴대용 인증 장치.
  2. 제 1 항에 있어서,
    상기 제어 모듈은,
    기 설정된 정책 정보에 따라 접속이 허용된 네트워크를 통해 상기 출입 권한 부여 서버와 통신하도록 상기 통신 모듈을 제어하는 휴대용 인증 장치.
  3. 제 1 항에 있어서,
    상기 제 1 권한 정보는, 상기 출입 통제 서버에서 생성한 랜덤 출입 권한 및 유효 기간을 포함하는 휴대용 인증 장치.
  4. 제 1 항에 있어서,
    상기 제어 모듈은,
    상기 인식된 지문의 인증에 성공하고 상기 제 1 권한 정보를 상기 카드 모듈에 기록한 후, 상기 카드 모듈의 접촉 통신 기능을 비활성화하고, 상기 통신 모듈의 통신 연결을 해제하며, 상기 카드 모듈의 비접촉 통신 기능을 활성화하는 휴대용 인증 장치.
  5. 제 1 항에 있어서,
    상기 카드 모듈은,
    상기 제 1 권한 정보와 독립하여 변경 불가한 제 2 권한 정보를 저장하고, 상기 출입 인증 장치로 상기 제 1 권한 정보 및 상기 제 2 권한 정보를 모두 전송하는 휴대용 인증 장치.
  6. 출입 통제를 위한 시스템에 있어서,
    사용자가 휴대하고 상기 사용자의 지문 인증을 한 휴대용 인증 장치로부터 권한 정보 요청을 수신하고 이에 대한 응답으로 제 1 권한 정보를 발행하여 상기 휴대용 인증 장치로 전송하며, 또한 상기 제 1 권한 정보를 출입 통제 서버로 전송하는 출입 권한 부여 서버; 및
    상기 휴대용 인증 장치로부터 비접촉 통신을 통해 상기 제 1 권한 정보를 수신한 출입 인증 장치로부터 그 제 1 권한 정보를 수신한 후, 상기 출입 권한 부여 서버로부터 수신된 상기 제 1 권한 정보와 비교하여 출입 인증 결과를 상기 출입 인증 장치로 전송하는 상기 출입 통제 서버를 포함하는 시스템.
  7. 제 6 항에 있어서,
    상기 출입 권한 부여 서버는,
    랜덤 권한 및 유효 기간을 포함하는 상기 제 1 권한 정보를 상기 휴대용 인증 장치 및 상기 출입 통제 서버로 전송하는 시스템.
  8. 제 6 항에 있어서,
    상기 출입 통제 서버는,
    상기 휴대용 인증 장치에 상기 제 1 권한 정보와 독립되어 변경 불가하게 저장된 제 2 권한 정보를 상기 출입 인증 장치로부터 더 수신하고, 상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 출입 권한 부여 서버로부터 수신된 제 1 권한 정보가 일치하면서 상기 제 2 권한 정보가 기 저장된 제 2 권한 정보와 일치하는 경우, 출입 허가의 인증 결과를 상기 출입 인증 장치로 전송하는 시스템.
  9. 출입 권한 부여 서버와 네트워크를 통해 통신하고 출입 인증 장치와 비접촉 통신을 할 수 있는 휴대용 인증 장치를 이용한 출입 인증 방법에 있어서,
    상기 휴대용 인증 장치가, 지문 센서로 사용자의 지문을 인식하여 인증하는 단계;
    상기 휴대용 인증 장치가, 통신 모듈을 통해 상기 출입 권한 부여 서버에 접속하는 단계;
    상기 휴대용 인증 장치가, 상기 출입 권한 부여 서버로부터 제 1 권한 정보를 수신하고 카드 모듈에 기록하는 단계; 및
    상기 휴대용 인증 장치가, 상기 카드 모듈을 통해 상기 출입 인증 장치와 비접촉 통신을 하여 상기 출입 인증 장치로 상기 제 1 권한 정보를 전송하는 단계를 포함하는 출입 인증 방법.
  10. 제 9 항에 있어서,
    상기 접속하는 단계는,
    상기 휴대용 인증 장치가, 기 설정된 정책 정보에 따라 접속이 허용된 네트워크를 통해 상기 출입 권한 부여 서버에 접속하는 출입 인증 방법.
  11. 제 9 항에 있어서,
    상기 제 1 권한 정보는, 상기 출입 권한 부여 서버에서 생성한 랜덤 권한 및 유효 기간을 포함하는 출입 인증 방법.
  12. 제 9 항에 있어서,
    상기 인식된 지문의 인증에 성공하고 상기 제 1 권한 정보를 상기 카드 모듈에 기록한 후, 상기 카드 모듈의 접촉 통신 기능을 비활성화하고, 상기 통신 모듈의 통신 연결을 해제하며, 상기 카드 모듈의 비접촉 통신 기능을 활성화하는 단계를 더 포함하는 출입 인증 방법.
  13. 제 9 항에 있어서,
    상기 카드 모듈은,
    상기 제 1 권한 정보와 독립하여 변경 불가한 제 2 권한 정보를 더 저장하고,
    상기 전송하는 단계는, 상기 출입 인증 장치로 상기 제 1 권한 정보 및 상기 제 2 권한 정보를 모두 전송하는 출입 인증 방법.
  14. 출입 통제를 위한 시스템에서 사용자의 출입을 인증하는 방법에 있어서,
    상기 사용자의 지문 인증을 한 휴대용 인증 장치로부터 권한 정보 요청을 수신하고 이에 대한 응답으로 제 1 권한 정보를 발행하여 상기 휴대용 인증 장치로 전송하는 단계;
    상기 휴대용 인증 장치로부터 비접촉 통신을 통해 상기 제 1 권한 정보를 수신한 출입 인증 장치로부터, 상기 제 1 권한 정보를 수신하는 단계; 및
    상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 휴대용 인증 장치로 전송한 제 1 권한 정보와의 비교에 따른 출입 인증 결과를 상기 출입 인증 장치로 전송하는 단계를 포함하는 방법.
  15. 제 14 항에 있어서,
    상기 휴대용 인증 장치로 전송하는 단계는,
    랜덤 권한 및 유효 기간을 포함하는 상기 제 1 권한 정보를 상기 휴대용 인증 장치로 전송하는 방법.
  16. 제 14 항에 있어서,
    상기 제 1 권한 정보를 수신하는 단계는,
    상기 휴대용 인증 장치에 상기 제 1 권한 정보와 독립되어 변경 불가하게 저장된 제 2 권한 정보를 상기 출입 인증 장치로부터 더 수신하고,
    상기 출입 인증 결과를 상기 출입 인증 장치로 전송하는 단계는,
    상기 출입 인증 장치로부터 수신된 제 1 권한 정보와 상기 휴대용 인증 장치로 전송한 제 1 권한 정보가 일치하면서 상기 출입 인증 장치로부터 수신된 상기 제 2 권한 정보가 기 저장된 제 2 권한 정보와 일치하는 경우, 출입 허가의 인증 결과를 상기 출입 인증 장치로 전송하는 방법.
KR1020170135387A 2017-02-17 2017-10-18 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법 KR20180095427A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170021881 2017-02-17
KR20170021881 2017-02-17

Publications (1)

Publication Number Publication Date
KR20180095427A true KR20180095427A (ko) 2018-08-27

Family

ID=63455180

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170135387A KR20180095427A (ko) 2017-02-17 2017-10-18 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180095427A (ko)

Similar Documents

Publication Publication Date Title
US10467832B2 (en) Configurable digital badge holder
US10742630B2 (en) Method and apparatus for making a decision on a card
US10437980B2 (en) Method and apparatus for making a decision on a card
US10490005B2 (en) Method and apparatus for making a decision on a card
US8689013B2 (en) Dual-interface key management
CN105493538B (zh) 用于安全元件中心式nfc架构的nfc访问控制的系统和方法
JP2004528655A (ja) 周波数方式
US20210203498A1 (en) Method for storing digital key and electronic device
CN110178160B (zh) 具有可信第三方的访问控制系统
WO2005114561A1 (ja) リーダ・ライタのセキュアモジュールへのアクセス制御方法
JP2007034974A (ja) セキュリティシステム
KR20180095427A (ko) 다중 인증을 이용하여 출입을 통제하기 위한 장치 및 방법
KR100803536B1 (ko) 일회용 인증정보에 의한 인증기능을 구비한 출입관리장치및 그 방법
KR102587285B1 (ko) Nfc를 이용한 출입 통제 방법, 장치 및 시스템