KR20200051185A - Security system based on user terminal - Google Patents

Security system based on user terminal Download PDF

Info

Publication number
KR20200051185A
KR20200051185A KR1020180134190A KR20180134190A KR20200051185A KR 20200051185 A KR20200051185 A KR 20200051185A KR 1020180134190 A KR1020180134190 A KR 1020180134190A KR 20180134190 A KR20180134190 A KR 20180134190A KR 20200051185 A KR20200051185 A KR 20200051185A
Authority
KR
South Korea
Prior art keywords
user
user terminal
service server
server
security
Prior art date
Application number
KR1020180134190A
Other languages
Korean (ko)
Inventor
최명진
Original Assignee
주식회사 쇠당나귀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 쇠당나귀 filed Critical 주식회사 쇠당나귀
Priority to KR1020180134190A priority Critical patent/KR20200051185A/en
Publication of KR20200051185A publication Critical patent/KR20200051185A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/30Network data restoration; Network data reliability; Network data fault tolerance

Abstract

The present invention relates to a security authentication system based on a user terminal. More particularly, the present invention relates to a security authentication system based on a user terminal which maintain network security by allowing access to a service server only when a user who wants to perform a specific task or use a service is located in an area close to the service server. According to the present invention, it is possible to improve a security authentication level by multiplying the authentication processes of a user working inside a facility where specific security is required, or by using equipment connected to an in-house network.

Description

사용자단말기 기반의 보안인증시스템{SECURITY SYSTEM BASED ON USER TERMINAL}Security authentication system based on user terminal {SECURITY SYSTEM BASED USER TERMINAL}

본 발명은 사용자단말기 기반의 보안인증시스템에 관한 것으로서, 보다 상세하게는 특정 작업을 하거나 서비스를 이용하려는 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 해당 서비스서버에 대한 접속이 허용되도록 하여 네트워크 보안을 유지할 수 있도록 하는 사용자단말기 기반의 보안인증시스템에 관한 것이다.The present invention relates to a security authentication system based on a user terminal, and more specifically, to secure a network by allowing access to a corresponding service server only when a user who wants to perform a specific task or use a service is located in an area close to the service server. It relates to a user terminal-based security authentication system that can maintain.

정보·통신기술의 발전으로 온라인에 정보가 집중화되면서 정보보호 및 보안의 중요성은 더욱 높아지고 있다. 정보보호는 컴퓨터를 이용한 정보시스템이나 유무선 인터넷과 같은 네트워크를 통하여 전달되는 정보의 위·변조, 유출, 무단침입, 서비스거부 등을 비롯한 각종 불법 행위로부터 조직 혹은 개인의 컴퓨터와 정보를 안전하게 보호하고, 물리적 공간에서의 보안 침해사고 방지, 타산업과의 융합 시스템에서의 보안을 제공하기 위한 기술로, 공통기반 보안, 네트워크 보안, 디바이스 보안, 서비스 보안, 융합보안 기술로 구분한다.With the development of information and communication technology, the importance of information protection and security is increasing as information is concentrated online. Information protection securely protects the organization's or individual's computer and information from various illegal activities, including forgery, forgery, leakage, unauthorized service, etc. of information transmitted through a computer-based information system or a network such as wired or wireless Internet, It is a technology to prevent security breaches in the physical space and provide security in a convergence system with other industries. It is divided into common-based security, network security, device security, service security, and convergence security technology.

전통적으로 보안은 물리보안과 정보보안으로 구분돼 따로 성장해 왔으나 최근 출입통제, 주차시설 관리, CCTV영상보안 같은 물리적 보안 산업이 컴퓨터, 네트워크상의 정보를 보호하는 IT 정보보안 기술과 접목되면서 물리보안과 정보보안의 경계가 허물어지고 둘의 영역이 합쳐지는 융합보안이라는 영역이 생겨났다 또한, IT기술이 자동차, 조선, 의료, 전력 등 기존 산업에 활용되면서 IT와 산업간 융합에서 발생하는 보안문제를 다루는 것이 새로운 융합보안에 포함된다.Security has traditionally grown into two categories: physical security and information security. Recently, physical security and information have been introduced as physical security industries such as access control, parking facility management, and CCTV video security are combined with IT information security technology that protects information on computers and networks. The boundaries of security have been broken down, and an area called convergence security has emerged. In addition, as IT technology is used in existing industries such as automobile, shipbuilding, medical, and electric power, it is necessary to deal with security problems arising from IT and industry convergence. It is included in the new convergence security.

암호와 인증은 컴퓨터 시스템 내부에 저장된 데이터와 통신 구간을 암호화하여 기밀성을 확보하고 시스템에 접속하고자 하는 사용자를 인증하기 위한 기술을 의미한다. 공통 기반 보안 기술로서 적용범위는 웹서버와 브라우저간의 송수신 암호화하는 Web보안, DB보안, XML보안, 네트워크보안, 스마트폰 보안 등과 암호, 인증, 전자서명 등의 PKI(Public Key Infrastructure) 등이 될 수 있다.Encryption and authentication refers to a technique for securing confidentiality by encrypting data and communication sections stored in the computer system and authenticating users who want to access the system. As a common-based security technology, the scope of application can be Web Security, DB Security, XML Security, Network Security, Smartphone Security, etc. that encrypts the transmission and reception between a web server and a browser, and Public Key Infrastructure (PKI) such as password, authentication, and electronic signature. have.

사용자 인증기술과 관련하여, 온라인 서비스들의 비대면 특성으로 서비스를 받는 사용자가 적절한 사용자인지 인증하는 과정이 필요하다 만약, 사용자를 올바르게 인증할 수 없다면 서비스 종류에 따라 개인정보 등이 노출될 수 있으므로 사용자 인증을 통하여 안전성과 신뢰성을 확보하는 것이 필수이다. 이와 같이 서비스를 받는 사용자가 적법한지 여부를 판별하기 위해 사용되는 요소를 인증요소라 한다.In relation to the user authentication technology, it is necessary to authenticate whether the user receiving the service is an appropriate user due to the non-face-to-face nature of online services. If the user cannot be properly authenticated, personal information may be exposed depending on the type of service. It is essential to secure safety and reliability through certification. The element used to determine whether the user receiving the service is legal is called an authentication element.

서비스 제공 과정에서 사용자를 확인하기 위한 보안시스템에서 보안키를 특정 장치 및 특정 사용자에게 고유한 인증요소로부터 생성하기 위한 기술이 개시된다.Disclosed is a technique for generating a security key from an authentication element unique to a specific device and a specific user in a security system for identifying a user in a service provision process.

도 1은 종래기술에 따른 근거리 무선통신 기반의 결제 보안 인증 시스템을 나타내 블럭도이며, 도 2는 도 1의 클라이언트 단말기와 지불게이트 서버의 구성을 나타낸 블럭도이다.1 is a block diagram showing a payment security authentication system based on short-range wireless communication according to the prior art, and FIG. 2 is a block diagram showing the configuration of the client terminal and the payment gate server of FIG. 1.

종래기술의 근거리 무선통신 기반의 결제 보안 인증 시스템은 클라이언트 단말기(100), 판매자 단말기(130), 지불게이트 서버(150), 은행서버(180)를 구비한다.The conventional short-range wireless communication-based payment security authentication system includes a client terminal 100, a seller terminal 130, a payment gate server 150, and a bank server 180.

클라이언트 단말기(100)는 판매자 단말기(130)와 근거리 무선통신을 통해 결제 계좌정보 및 결제금액을 포함한 결제요구정보를 수신하고, 수신된 결제요구정보에 대해 지불게이트 서버(150)를 통해 결제를 진행할 수 있도록 되어 있다.The client terminal 100 receives payment request information including payment account information and payment amount through short-range wireless communication with the seller terminal 130, and performs payment through the payment gate server 150 for the received payment request information. It is made possible.

여기서, 판매자 단말기(130)는 근거리 무선통신을 지원하는 근거리 무선통신모듈이 장착되어 있고, 근거리 무선통신 영역 내로 접근된 클라이언트 단말기(100)로 판매금액, 입금계좌정보에 해당하는 결제 요구정보를 근거리 무선통신에 의해 클라이언트 단말기(100)로 제공할 수 있도록 되어 있다.Here, the seller terminal 130 is equipped with a short-range wireless communication module that supports short-range wireless communication, the client terminal 100 approached into the short-range wireless communication area, and the payment request information corresponding to the sales amount and deposit account information is short-range. It can be provided to the client terminal 100 by wireless communication.

지불 게이트 서버(150)는 클라이언트 단말기(100)와 통신망(170)을 통해 교신하면서 클라이언트 단말기(100)에 대한 인증과정을 거친 후, 정상인증으로 처리되면 클라이언트 단말기(100)에서 요청한 계좌이체 요구정보를 수신받아 클라이언트 단말기(100)에서 등록한 출금 계좌 은행서버(180)로 해당 결제금액이 이체되도록 처리한다.After the payment gate server 150 communicates with the client terminal 100 through the communication network 170 and undergoes an authentication process for the client terminal 100, if it is processed as normal authentication, account transfer request information requested by the client terminal 100 Receiving and processing the payment amount to be transferred to the withdrawal account bank server 180 registered in the client terminal 100.

이러한 지불게이트 서버(150)는 클라이언트 단말기(100)가 통신망(170)을 통해 접속되면 클라이언트 단말기 (100)가 보유한 개인키와, 지불케이스 서버(150)가 보유한 공개키를 상호 교환하고, 메인 데이터 베이스(160)에 등록된 사용자 인증정보와 클라이언트 단말기(100)에서 전송된 사용자 인증정보가 일치하면 설정된 보안화 방식에 의해 교신하면서 클라이언트 단말기(100)에서 요청한 지불정보를 클라이언트 단말기(100)가 등록한 출금 계좌 은행서버(180)의 등록 계좌에서 지불처리될 수 있도록 처리한다.The payment gate server 150 exchanges the private key held by the client terminal 100 with the public key held by the payment case server 150 when the client terminal 100 is connected through the communication network 170, and the main data. When the user authentication information registered in the base 160 and the user authentication information transmitted from the client terminal 100 match, the client terminal 100 registers the payment information requested by the client terminal 100 while communicating according to a set security method. It is processed so that payment can be processed in the registered account of the withdrawal account bank server 180.

클라이언트 단말기(100)는 클라이언트 근거리 무선통신모듈(102), 클라이언트 메인 통신모듈(103), 클라이언트암복호 모듈(104), 클라이언트 인증수행모듈(105), 클라이언트 전자결제 데이터 베이스(DB)(106) 및 클라이언트 제어모듈(108)를 구비한다.The client terminal 100 includes a client short-range wireless communication module 102, a client main communication module 103, a client encryption / decryption module 104, a client authentication execution module 105, and a client electronic payment database (DB) 106. And a client control module 108.

클라이언트 근거리 무선통신모듈(102)은 클라이언트 제어모듈(108)에 제어되어 판매자단말기(130)와 근거리무선 통신을 수행한다.The client short-range wireless communication module 102 is controlled by the client control module 108 to perform short-range wireless communication with the seller terminal 130.

클라이언트 메인 통신모듈(103)은 클라이언트 제어모듈(108)에 제어되어 지불게이트 서버(150)와 통신을 수행한다.The client main communication module 103 is controlled by the client control module 108 to communicate with the payment gate server 150.

클라이언트 전자결제 데이터 베이스(DB)(106)는 인증정보, 결제처리정보 등 클라이언트 제어모듈(108)에 제어되어 각종 정보를 저장하고 있다.The client electronic payment database (DB) 106 is controlled by the client control module 108, such as authentication information and payment processing information, and stores various kinds of information.

클라이언트 제어모듈(108)은 클라이언트 근거리 무선통신모듈(102)을 통해 수신된 신호를 처리하고, 클라이언트 메인 통신 모듈(103)을 통해 지불게이트 서버(150)로부터 수신된 신호를 처리하며, 지불 게이트 서버(150)와 교신시 보유한 개인키를 지불게이트 서버(150)의 공개키와 상호 교환한 후 지불게이트 서버(150)에서 후속으로 제공한 대칭키를 이용하여 지불게이트 서버(150)와 전송대상 정보를 암호화 하여 송수신처리하도록 클라이언트 암복호모듈(104)을 포함한 제어대상 요소들을 제어한다.The client control module 108 processes the signal received through the client short-range wireless communication module 102, processes the signal received from the payment gate server 150 through the client main communication module 103, and the payment gate server After communicating with the public key of the payment gate server 150 when communicating with the 150, the payment gate server 150 and the transmission target information using the symmetric key subsequently provided by the payment gate server 150 The control target elements including the client encryption / decryption module 104 are controlled so as to encrypt and transmit and receive processing.

또한, 클라이언트 제어모듈(108)은 처리정보 및 저장이 요구되는 정보를 클라이언트 전자결제 데이터 베이스(106)에 저장처리한다.In addition, the client control module 108 stores and processes processing information and information requiring storage in the client electronic payment database 106.

지불 게이트 서버(150)에서 클라이언트 단말기(100)가 접속됐는지를 판단하고, 접속됐다고 확인되면 보유한 공개키를 상호 교환한다. 즉, 클라이언트 단말기(100)는 보유한 개인키를 지불 게이트 서버(150)에 전송하고, 지불게이트 서버(150)는 보유한 공개키를 클라이언트 단말기(100)에 전송한다.The payment gate server 150 determines whether the client terminal 100 is connected, and when it is confirmed that it is connected, exchanges the public key it has. That is, the client terminal 100 transmits the private key held to the payment gate server 150, and the payment gate server 150 transmits the public key held to the client terminal 100.

이후, 지불게이트 서버(150)는 클라이언트 단말기(100)로부터 수신한 개인키를 테스트한다(단계 230) 또한, 클라이언트 단말기(100)도 지불게이트 서버(150)로부터 수신한 공개키를 테스트한다.Thereafter, the payment gate server 150 tests the private key received from the client terminal 100 (step 230). In addition, the client terminal 100 also tests the public key received from the payment gate server 150.

여기서 키테스팅 과정이 정상적으로 성공됐음은 상대방의 키로 암호화하여 전송한 정보가 상대방에서 정상적으로 복호화 되는지를 판단하고, 정상적인 복호화가 이루어진 것으로 판단되면, 지불게이트 서버(150)에서 대칭키를 클라이언트 단말기(100)의 개인키로 암호화 하여 클라이언트 단말기(100)로 전송하고, 클라이언트 단말기(100)에서는 수신된 대칭키를 자신의 개인키로 복호하하며, 이후 대칭키를 이용하여 클라이언트 단말기(100)와 지불게이트 서버(150) 상호간에 전송대상 정보를 암호화 하여 송수신처리가 가능한 상태가 되도록 한다.Here, if the key testing process is successfully completed, it is determined whether the information transmitted by encrypting with the other party's key is normally decrypted by the other party, and if it is determined that the normal decryption has been performed, the payment gate server 150 uses the symmetric key as the client terminal 100. Encrypted with the private key of and transmitted to the client terminal 100, the client terminal 100 decrypts the received symmetric key with its own private key, and then uses the symmetric key to the client terminal 100 and the payment gate server 150 ) Encrypt information to be transmitted to each other so that transmission and reception processing is possible.

그러나 이러한 근거리 무선통신에 기반한 보안인증시스템에서는 특정 시스템에 접속하는 사용자에게 근거리 무선통신이 가능한 단말기를 소지할 것을 요구하지만, 이러한 목적에 사용될 전용 단말기를 구비해야 하기 때문에 보안시스템 구축에 별도의 비용이 소요된다.However, in the security authentication system based on the short-range wireless communication, a user accessing a specific system is required to have a terminal capable of short-range wireless communication. Takes.

또한 사용자가 단말기를 구비한 상태로 접속을 한 후에 통상적인 활동과 다른 작업패턴을 보이는 경우에 이를 감지해서 침입이나 해킹을 예방할 수 있는 기능이 없어서 보안에 위해 요소가 되기도 한다.In addition, when a user has a terminal equipped with a terminal, and there is a function different from normal activity and detects it, there is no function to prevent intrusion or hacking, which is a factor for security.

KRKR 10-139531510-1395315 B1B1 KRKR 10-2016-001624410-2016-0016244 AA KRKR 10-2016-007239110-2016-0072391 AA KRKR 10-166679110-1666791 B1B1

전술한 문제점을 해결하기 위한 본 발명은 서비스서버와 무선통신망으로 연결되는 사용자단말기를 일반적인 스마트폰 등으로 사용할 수 있도록 하고, 스마트폰에 애플리케이션과 고유키를 설치함으로써 전용 단말기를 구비하지 않아도 보안시스템을 구축할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.The present invention for solving the above-mentioned problems allows a user terminal connected to a service server and a wireless communication network to be used as a general smartphone, and installs an application and a unique key in the smartphone to provide a security system without a dedicated terminal. The objective is to provide a user terminal-based security authentication system that can be built.

또한 사용자가 서비스서버에 접속하여 수행하는 작업 이력을 저장한 후, 이를 테이블로 기록함으로써 통상 작업내용과 다른 작업을 실행하는 경우에 검증하는 절차를 거치도록 함으로써 제3자의 무단 도용을 방지할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.Also, after the user accesses the service server and stores the work history performed, it is recorded in a table so that a third-party unauthorized theft can be prevented by performing a verification process when executing a different job from the normal job contents. The objective is to provide a user terminal-based security authentication system.

또한 사용자가 긴급한 상황에서 데이터 삭제나 차단 버튼을 눌렀을 때, 관리자서버는 서비스서버에 저장된 특정 파일을 삭제하거나, 백업서버로 파일을 이동시켜 제3자의 접근을 차단하도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.In addition, when the user presses the data deletion or blocking button in an urgent situation, the administrator server deletes a specific file stored in the service server or moves the file to the backup server to block third-party access to the user terminal-based security authentication system. It aims to provide.

또한 블록체인 기술을 도입하여 각 사용자의 접속인증정보 및 접속내역에 대한 정보를 분산된 사용자단말기에 저장하도록 함으로써 보안인증정보의 해킹이나 위변조를 원천적으로 예방할 수 있도록 하는 사용자단말기 기반의 보안인증시스템을 제공하는 것을 목적으로 한다.In addition, by introducing block chain technology, information about each user's access authentication information and access history is stored in a distributed user terminal to prevent hacking or falsification of security authentication information by providing a user terminal-based security authentication system. It is aimed at providing.

전술한 문제점을 해결하기 위해 안출된 본 발명은 사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 상기 서비스서버에 대한 접속을 허용하도록 하는 보안인증시스템으로서, 사용자 인증을 위한 정보를 주고받는 게이트웨이앱(213)과, 사용자 인증을 정보로 활용되는 고유키(215)를 포함하는 사용자단말기(210)와; 상기 사용자가 접속하여 작업을 하거나 서비스를 이용할 수 있도록 해주는 서비스서버(230)와; 상기 서비스서버(230)의 동작이나 데이터 저장이나 변경, 삭제를 제어하는 관리자서버(240)와; 상기 사용자단말기(210), 상기 서비스서버(230), 상기 관리자서버(240)를 연결하여 데이터 송수신을 가능하게 하는 네트워크(220);를 포함하며, 상기 서비스서버(230)는 무선통신모듈(231)을 포함하며, 상기 사용자단말기(210)가 상기 무선통신모듈(231)과 접속할 수 있을 정도로 근접한 접속가능영역 내부에 위치한 경우에 상기 서비스서버(230)는 상기 사용자에 대한 접속을 허용하도록 한다.The present invention devised to solve the above-mentioned problems is a security authentication system that allows access to the service server only when a user is located in an area close to the service server, a gateway app that exchanges information for user authentication ( 213) and a user terminal 210 including a unique key 215 used as user authentication information; A service server 230 that allows the user to access and work or use the service; An administrator server 240 for controlling the operation of the service server 230, data storage, change, and deletion; It includes; the user terminal 210, the service server 230, the network 220 to enable data transmission and reception by connecting the administrator server 240; includes, the service server 230 is a wireless communication module 231 ), And the service server 230 allows access to the user when the user terminal 210 is located in an accessible area close enough to be connected to the wireless communication module 231.

상기 무선통신모듈(231)은 블루투스 프로토콜을 사용하는 근거리 무선통신장비인 것을 특징으로 한다.The wireless communication module 231 is characterized in that it is a short-range wireless communication equipment using the Bluetooth protocol.

상기 서비스서버(230)에 저장된 데이터를 이동하여 저장하는 백업서버(250);를 추가로 포함하며, 상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)에 저장된 특정 데이터를 상기 백업서버(250)로 이동시킨 후 상기 서비스서버(230)에서 삭제하는 것을 특징으로 한다.Further comprising; a backup server 250 for moving and storing data stored in the service server 230, the administrator server 240, when an emergency signal is input from the user terminal 210, the service server It characterized in that the specific data stored in (230) is moved to the backup server (250) and then deleted from the service server (230).

상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)와 상기 네트워크의 연결을 차단하는 것을 특징으로 한다.When the emergency signal is inputted from the user terminal 210, the manager server 240 blocks the connection between the service server 230 and the network.

상기 관리자서버(240)는 상기 사용자가 상기 서비스서버(230)에 접속하는 시간, 접근하는 폴터, 사용하는 파일에 대한 정보를 수집하여 테이블에 기록하고, 상기 사용자가 상기 서비스서버(230)에서 수행하는 작업의 내용이 상기 테이블에 기록된 내용과 다른 경우, 상기 사용자가 사용하는 사용자단말기(210)에 추가 인증을 요구하는 것을 특징으로 한다.The administrator server 240 collects information about the time when the user accesses the service server 230, the accessing folder, and the files used, and records the information in a table, and the user performs the service server 230 When the content of the work to be performed is different from the content recorded in the table, it is characterized in that the user terminal 210 used by the user requests additional authentication.

상기 관리자서버(240)는 상기 사용자단말기(210)에 요구한 추가 인증이 수신되지 않거나, 추가 인증이 부적합한 경우에 상기 서비스서버(230)에 대한 접속을 해제하는 것을 특징으로 한다.The administrator server 240 releases the connection to the service server 230 when the additional authentication requested by the user terminal 210 is not received or when the additional authentication is inappropriate.

본 발명에 따르면 사내 네트워크에 접속된 장비를 사용하여 작업을 하거나, 특정한 보안이 요구되는 시설 내부에서 작업하는 사용자의 인증 과정을 다중으로 거치게 함으로써 보안인증 등급을 향상시킬 수 있는 효과가 있다.According to the present invention, there is an effect of improving the security authentication level by performing the authentication process of a user working inside a facility requiring specific security or by using equipment connected to an in-house network.

도 1은 종래기술에 따른 근거리 무선통신 기반의 결제 보안 인증 시스템을 나타내 블럭도.
도 2는 도 1의 클라이언트 단말기와 지불게이트 서버의 구성을 나타낸 블럭도.
도 3은 본 발명의 실시예에 따른 보안인증시스템의 구성을 나타낸 블럭도.
도 4는 접속가능영역 내부에 있는 사용자단말기와 외부에 있는 사용자단말기의 접속 허용 여부를 나타낸 개념도.
도 5는 사용자단말기의 구성을 나타낸 블럭도.
도 6는 보안인증시스템의 동작 과정을 나타낸 순서도.
도 7은 사용자의 접속 기록에 대한 데이터를 분산저장하는 개념을 나타낸 블럭도.
도 8은 사용자의 사용행태를 수집하여 테이블로 작성하는 과정을 나타낸 개념도.
도 9는 긴급시에 데이터를 삭제하거나 차단하는 방법을 나타낸 개념도.1 is a block diagram showing a payment security authentication system based on short-range wireless communication according to the prior art.
Figure 2 is a block diagram showing the configuration of the client terminal and the payment gate server of Figure 1;
Figure 3 is a block diagram showing the configuration of a security authentication system according to an embodiment of the present invention.
4 is a conceptual diagram showing whether to allow access between a user terminal inside an accessible area and a user terminal outside.
5 is a block diagram showing the configuration of a user terminal.
Figure 6 is a flow chart showing the operation process of the security authentication system.
7 is a block diagram illustrating the concept of distributedly storing data about a user's access record.
8 is a conceptual diagram showing a process of collecting a user's usage patterns and writing them into a table.
9 is a conceptual diagram showing a method of deleting or blocking data in an emergency.

이하에서 도면을 참조하여 본 발명의 실시예에 따른 "사용자단말기 기반의 보안인증시스템"(이하, '보안인증시스템'이라 함)을 설명한다.Hereinafter, a "user terminal-based security authentication system" (hereinafter referred to as a 'security authentication system') according to an embodiment of the present invention will be described with reference to the drawings.

도 3은 본 발명의 실시예에 따른 보안인증시스템의 구성을 나타낸 블럭도이며, 도 4는 접속가능영역 내부에 있는 사용자단말기와 외부에 있는 사용자단말기의 접속 허용 여부를 나타낸 개념도, 도 5는 사용자단말기의 구성을 나타낸 블럭도이다.3 is a block diagram showing the configuration of a security authentication system according to an embodiment of the present invention, and FIG. 4 is a conceptual diagram showing whether a user terminal in an accessible area and a user terminal outside are allowed to access, FIG. 5 is a user It is a block diagram showing the configuration of a terminal.

본 발명의 보안인증시스템(200)은 물리적으로 분리된 특정 공간에 접근한 사용자를 인증하여 시스템에 대한 접속을 허용함으로써 작업이나 서비스를 이용할 수 있도록 하는 목적으로 사용된다. 특정 보안구역에 출입하는 사용자의 인증에도 사용될 수 있다.The security authentication system 200 of the present invention is used for the purpose of allowing a user to access a system by authenticating a user who has access to a specific physically separated space, thereby allowing access to the system. It can also be used to authenticate users entering and exiting certain security zones.

보안인증시스템(200)은 네트워크(220)로 연결된 다수의 사용자단말기(210)와 서비스서버(230), 관리자서버(240), 백업서버(250)로 이루어진다.The security authentication system 200 includes a plurality of user terminals 210 connected to a network 220, a service server 230, an administrator server 240, and a backup server 250.

사용자단말기(210)는 무선통신기능을 가지며, 애플리케이션의 설치와 고유키(215)의 저장 등이 가능한 장치인 것이 바람직하며, 통상적으로 사용되는 스마트폰이나 태블릿PC 등이 가장 적합하다. 보안인증을 위해서는 사용자가 입력하는 보안코드 외에 사용자단말기(210)에 저장된 정보도 함께 입력하여야 한다.The user terminal 210 has a wireless communication function, and is preferably a device capable of installing an application and storing a unique key 215, and a smart phone or tablet PC, which is commonly used, is most suitable. For security authentication, information stored in the user terminal 210 must be input in addition to the security code input by the user.

네트워크(220)는 인터넷과 같이 광역 개방형 네트워크를 사용하기도 하지만, 일반적으로는 특정 건물이나 시설 내부에서만 접속이 가능하도록 외부망과 차단된 인트라넷이 가장 적합할 것이다.The network 220 may also use a wide area open network, such as the Internet, but in general, an external network and an intranet blocked so that access is possible only within a specific building or facility will be most suitable.

서비스서버(230)는 사용자가 업무나 작업을 하기 위해 사용하는 장치를 말하며, 사용자에게 금융거래나 정보검색, 보안작업 등의 특정 서비스를 제공하는 장치를 모두 포함한다. 서비스서버(230)에 접속을 하기 위해서는 인증코드 외에도 사용자단말기(210)를 일정한 영역 내부에 가져가야 하며, 이를 위해 서비스서버(230)에는 무선통신모듈(231)이 설치된다.The service server 230 refers to a device used by a user to perform work or work, and includes all devices that provide a user with specific services such as financial transactions, information retrieval, and security work. In order to access the service server 230, in addition to the authentication code, the user terminal 210 must be brought inside a certain area. For this, a wireless communication module 231 is installed in the service server 230.

무선통신모듈(231)은 근거리 무선통신 프로토콜을 포함한 모든 장치가 적용될 수 있는데, 근거리에 사용자단말기(210)가 있는지를 용이하게 확인할 수 있도록 블루투스 통신방식을 사용하는 모듈을 사용하는 것이 바람직하다. 무선통신모듈(231)은 사용자단말기(210)와 블루투스 방식으로 데이터를 송수신하며, 자체적인 배터리를 보유하거나 서비스서버(230)에 사용되는 전원을 공유하는 방식으로 작동된다.The wireless communication module 231 can be applied to any device including a short-range wireless communication protocol, it is preferable to use a module using a Bluetooth communication method to easily check whether the user terminal 210 is in the short distance. The wireless communication module 231 transmits and receives data to and from the user terminal 210 in a Bluetooth manner, and operates in a manner of having its own battery or sharing power used for the service server 230.

무선통신모듈(231)은 소형으로서 임베디드 모듈로 제작함으로써 서비스서버(230)와 일체형으로 제작할 수도 있다.The wireless communication module 231 is small and can be manufactured in one piece with the service server 230 by manufacturing it as an embedded module.

관리자서버(240)는 본 발명의 보안인증시스템(200)의 동작과 침입 차단, 비인가자에 대한 추적 등의 동작을 수행하며, 원격지에 설치되는 것이 일반적이나 서비스서버(230)와 물리적으로 동일한 공간에 설치될 수도 있을 것이다.The administrator server 240 performs operations such as operation of the security authentication system 200 of the present invention, intrusion prevention, and tracking of unauthorized persons, and is generally installed in a remote location, but is physically the same space as the service server 230 Might be installed on

백업서버(250)는 비상상황에서 서비스서버(230)에 저장된 데이터를 이동시켜 저장한다. 관리자는 사용자단말기(210)로부터 입력되는 신호에 따라 특정 파일 등을 백업서버(250)에 이동한 후, 원래 위치의 파일을 삭제하도록 제어한다. 경우에 따라서는 관리자는 백업서버(250)를 네트워크(220)로부터 분리하여 외부에서 백업서버(250)에 접근하는 것을 원천적으로 금지시킬 수 있다.The backup server 250 moves and stores data stored in the service server 230 in an emergency. After the manager moves the specific file or the like to the backup server 250 according to the signal input from the user terminal 210, the administrator controls to delete the file at the original location. In some cases, the administrator can fundamentally prohibit access to the backup server 250 from the outside by separating the backup server 250 from the network 220.

본 발명의 보안인증시스템(200)을 활용하기 위해서는 사용자는 자신의 사용자단말기(210)에 전용 애플리케이션을 설치해야 한다. 본 발명에서는 이를 게이트웨이앱(213)이라고 한다.In order to utilize the security authentication system 200 of the present invention, the user must install a dedicated application on his / her user terminal 210. In the present invention, this is called a gateway app 213.

게이트웨이앱(213)이 설치된 사용자단말기(210)는 보안인증시스템(200)에 접속하기 위한 인증장비로 동작할 수 있다.The user terminal 210 in which the gateway app 213 is installed may operate as an authentication device for accessing the security authentication system 200.

사용자는 자신이 사용하려는 서비스서버(230)가 위치한 영역에 사용자단말기(210)를 소지한 상태에서 접근한다. 도 3과 4에 도시된 것과 같이, 서비스서버(230)로부터 일정한 영역을 접속가능영역(ⓐ)이라고 한다. 블루투스 모듈을 무선통신모듈(231)로 사용하는 경우 접속가능영역은 무선통신모듈(231)로부터 반경 3m 정도가 될 것이다. 그러나 서비스서버(230)의 용도와 크기, 무선통신모듈(231)의 출력 등에 따라서는 접속가능영역의 크기는 달라질 수 있다.The user approaches the area where the service server 230 to be used is located while the user terminal 210 is in possession. 3 and 4, a certain area from the service server 230 is called an accessible area (ⓐ). When the Bluetooth module is used as the wireless communication module 231, the connectable area will be about 3 m in radius from the wireless communication module 231. However, depending on the use and size of the service server 230 and the output of the wireless communication module 231, the size of the connectable area may vary.

바람직하게는 사용자단말기(210)가 접속가능영역에 들어왔을 때, 사용자단말기(210)의 디스플레이에 서비스서버(230) 및 무선통신모듈(231)의 존재를 표시하도록 한다. 또한 인증받은 사용자가 서비스서버(230)에서 작업을 하는 도중, 사용자가 서비스서버(230)로부터 멀어지면서 접속가능영역을 벗어났을 때, 사용자단말기(210)의 디스플레이에 영역을 벗어남으로 인해 접속이 해제되었음을 알려주도록 한다.Preferably, when the user terminal 210 enters the connectable area, the presence of the service server 230 and the wireless communication module 231 is displayed on the display of the user terminal 210. In addition, while an authenticated user is working on the service server 230, when the user leaves the accessible area while moving away from the service server 230, the connection is released due to the user leaving the area on the display of the 210 Let me know that it's done.

사용자가 정상적인 사용자단말기(210)를 소지하고 있다고 하더라도 정해진 접근가능영역 내부에 들어오지 않는다면 해당 서비스서버(230)에 접속할 수 없다. 따라서 사용자는 사용자 인증을 위한 인증정보 외에도 자신의 고유키(215)를 설치한 사용자단말기(210)를 소지하여야 원하는 작업을 하거나 서비스를 이용할 수 있게 된다.Even if the user has a normal user terminal 210, the user cannot access the corresponding service server 230 unless it is within the designated accessibility area. Therefore, the user must possess the user terminal 210 in which his / her own key 215 is installed in addition to the authentication information for user authentication, so that a user can perform a desired task or use a service.

사용자단말기(210)는 통상적으로 스마트폰과 같은 개인용 통신단말기가 사용되는데, 사용자단말기(210)에는 OS(Operating System; 211)와 API(Application Program Interface; 212)가 설치된다.The user terminal 210 is usually used as a personal communication terminal such as a smartphone, the user terminal 210 is installed with an operating system (OS) 211 and an API (Application Program Interface) 212.

OS(211)는 스마트폰 또는 컴퓨터의 하드웨어를 제어하고 응용 소프트웨어를 위한 기반 환경을 제공하여, 사용자가 단말기를 사용할 수 있도록 중재 역할을 해 주는 운영체제 소프트웨어를 말한다.The OS 211 refers to an operating system software that controls hardware of a smartphone or computer and provides a base environment for application software, and serves as an arbitration function so that a user can use a terminal.

API(212)는 OS(211)와 응용 프로그램 사이의 통신에 사용되는 언어나 메시지 형식을 말한다. API(212)는 프로그래머를 위한 운영체제나 프로그램의 인터페이스로 사용된다. API(212)는 응용 프로그램이 OS(211)나 데이터베이스 관리 시스템과 같은 시스템 프로그램과 통신할 때 사용되는 언어나 메시지 형식을 가지며, 프로그램 내에서 실행을 위해 특정 서브루틴에 연결을 제공하는 함수를 호출하는 것으로 구현된다.The API 212 refers to a language or message format used for communication between the OS 211 and an application program. The API 212 is used as an operating system or program interface for programmers. The API 212 has a language or message format used when an application program communicates with a system program such as the OS 211 or a database management system, and calls a function that provides a connection to a specific subroutine for execution within the program. Is implemented.

사용자는 자신의 사용자단말기(210)에 게이트웨이앱(213)을 설치하고, 고유키(215)를 설치함으로써 사용자단말기(210)를 보안인증수단으로 사용할 수 있다.The user can use the user terminal 210 as a security authentication means by installing the gateway app 213 on his or her user terminal 210 and installing the unique key 215.

고유키(215)는 사용자 인증을 위한 정보로 활용되는데, 사용자단말기(210)에 부여된 하드웨어 정보와 통신서비스 인증정보를 함께 사용하여 암호화하기 때문에 복제나 해킹, 위변조가 어려워서 보안성을 향상시킬 수 있다.The unique key 215 is used as information for user authentication. Since it is encrypted by using the hardware information and communication service authentication information provided to the user terminal 210 together, it is difficult to duplicate, hack, or tamper and improve security. have.

통신모듈(214)은 서비스서버(230)에 설치된 블루투스 모듈과 데이터를 송수신하면서 인증과정을 진행하도록 해준다.The communication module 214 allows the authentication process while transmitting and receiving data to and from the Bluetooth module installed in the service server 230.

이와 같은 시스템을 사용하여 보안인증을 수행하는 과정을 설명한다.The process of performing security authentication using such a system will be described.

도 6는 보안인증시스템의 동작 과정을 나타낸 순서도이다.6 is a flow chart showing the operation process of the security authentication system.

먼저 사용자는 자신의 사용자단말기(210)에 게이트웨이앱(213)을 설치하고 실행함으로써 보안인증 서비스를 사용할 수 있는 준비를 갖춘다.(S102) 게이트웨이앱(213)의 설치와 함께 정해진 방법으로 고유키(215)를 설치한다.First, the user prepares to use the security authentication service by installing and executing the gateway app 213 on his or her user terminal 210. (S102) A unique key in a predetermined manner with the installation of the gateway app 213. 215).

그리고 사용자가 사용자단말기(210)의 게이트웨이앱(213)을 실행하여 인증정보를 입력하면서 서비스서버(230)에 접속을 요청한다. 서비스서버(230)는 무선통신모듈(231)에 접속한 사용자단말기(210)를 감지하여 해당 사용자의 사용자단말기(210)가 접속가능영역에 들어와있는지를 확인한다.(S104, S106))Then, the user executes the gateway app 213 of the user terminal 210 and inputs authentication information to request access to the service server 230. The service server 230 detects the user terminal 210 connected to the wireless communication module 231 and checks whether the user terminal 210 of the corresponding user is in the accessible area (S104, S106).

만약 사용자단말기(210)가 접속가능영역에 들어와있지 않다면, 서비스서버(230)는 사용자단말기(210)에 접근실패 메시지를 전송하고, 해당 사용자의 접속을 불허한다.(S108)If the user terminal 210 is not in the reachable area, the service server 230 transmits an access failure message to the user terminal 210 and disallows the user's access (S108).

접속을 요청한 사용자의 사용자단말기(210)로부터 전송된 인증정보가 적합하고, 사용자단말기(210)의 존재도 감지된 경우에는 서비스서버(230)는 사용자단말기(210)에 고유키의 전송을 요청한 후 이를 확인한다.(S110)If the authentication information transmitted from the user terminal 210 of the user who requested the connection is suitable, and the presence of the user terminal 210 is also detected, the service server 230 requests the user terminal 210 to transmit the unique key. Check this. (S110)

그리고 사용자의 요청에 따라 서비스서버(230)에 대한 접속을 허용한다.(S112) 사용자는 정해진 방법으로 서비스서버(230)에서 작업을 하거나 여러 가지 서비스를 이용할 수 있게 된다.(S114)In addition, access to the service server 230 is allowed according to the user's request. (S112) The user can work on the service server 230 in a predetermined manner or use various services (S114).

그리고 사용자의 작업이 끝나면서 작업종료 메시지를 전달하면 서비스서버(230)는 접속을 차단한다. 만약 사용자가 작업 도중에 의도적으로 또는 실수로 접속가능영역을 벗어난 경우에도 접속은 해지되고, 이를 사용자에게 알려준다.In addition, when the user's work is finished and the job termination message is transmitted, the service server 230 blocks the connection. If the user intentionally or accidentally leaves the connectable area during work, the connection is terminated and the user is notified.

한편, 본 발명에서는 사용자의 접속을 위한 인증정보와 접속이력에 대한 정보를 서비스서버(230) 또는 특정 사용자의 사용자단말기(210)에만 저장하지 않고, 분산해서 저장하는 방식을 적용한다.On the other hand, in the present invention, the authentication information for the user's access and the information about the connection history are applied not to the service server 230 or to the user terminal 210 of a specific user but to be distributed and stored.

도 7은 사용자의 접속 기록에 대한 데이터를 분산저장하는 개념을 나타낸 블럭도이다.7 is a block diagram showing the concept of distributedly storing data on a user's access record.

도 7에 도시된 바와 같이, 관리자서버(240)는 특정 사용자단말기(210)에 저장되는 인증정보 및 접속이력에 대한 정보를 서비스서버(230)로부터 호출하여 복수의 다른 사용자단말기(210)에 전송하여 저장한다. 만약 특정 사용자가 인증정보를 변경하거나, 서비스서버(230)에 접속한 이력이 새로 생성된 경우에 변경된 인증정보 또는 새로운 이력 정보를 복수의 사용자단말기(210)에 전송하여 저장한다.As shown in FIG. 7, the manager server 240 calls authentication information and access history information stored in a specific user terminal 210 from the service server 230 and transmits the information to a plurality of different user terminals 210. And save. If a specific user changes authentication information or when a history of accessing the service server 230 is newly generated, the changed authentication information or new history information is transmitted to the plurality of user terminals 210 and stored.

본 발명의 보안인증시스템(200)에 속한 모든 사용자단말기(210)에 데이터를 분산저장하는 것이 보안성을 높일 수 있는 방법이다. 경우에 따라서는 적절한 수의 사용자단말기(210)를 선택하여 일부분에 대해서만 저장을 하도록 하여 네트워크의 효율을 높일 수도 있을 것이다.Distributing and storing data in all user terminals 210 belonging to the security authentication system 200 of the present invention is a method for improving security. In some cases, it is possible to increase the efficiency of the network by selecting an appropriate number of user terminals 210 and storing only a portion.

한편, 본 발명에서는 사용자가 서비스서버(230)에 접속해서 행하는 작업 패턴에 대한 데이터를 각 사용자별로 저장하고, 이를 보안사고 확인용으로 사용하는 방법을 개시한다.On the other hand, the present invention discloses a method of storing data for each user's work pattern performed by a user accessing the service server 230 for each user and using it for security incident verification.

특정 사용자가 특정한 물리적 공간에 접근하여 서비스서버(230)에 접속하고, 자신이 맡은 업무를 수행하는 것은 자신의 직책과 관련된 작업일 가능성이 크다. 그리고 이러한 직책과 관련된 작업은 동일한 사용자에 있어서는 내용의 변화가 크지 않을 것이다.It is highly likely that a specific user accesses a specific physical space to access the service server 230 and perform his / her duties. And the work related to these positions will not change much for the same user.

가령, 특정 사용자가 오전 일찍 서비스서버(230)에 접속해서 인사관련 파일을 생성하거나 수정하는 업무를 담당한다면, 거의 같은 시간에 동일한 작업을 할 가능성이 크다. 그러나 제3자가 이러한 사용자의 정보를 도용하거나 사용자단말기(210)를 탈취하여 비정상적인 행동을 한다면 보안사고가 발생한 것으로 의심해볼 수 있다.For example, if a specific user connects to the service server 230 early in the morning and is in charge of creating or modifying a personnel-related file, there is a high possibility of performing the same operation at about the same time. However, if a third party steals the user's information or steals the user terminal 210 and acts abnormally, it may be suspected that a security accident has occurred.

본 발명에서는 특정 사용자의 작업 이력을 테이블로 생성하여 활용하는 방법을 개시한다. 도 8은 사용자의 사용행태를 수집하여 테이블로 작성하는 과정을 나타낸 개념도이다.The present invention discloses a method of generating and utilizing a specific user's work history as a table. 8 is a conceptual diagram showing a process of collecting a user's usage pattern and writing it into a table.

관리자서버(240)는 사용자가 서비스서버(230)에 통상적으로 접속하는 시간과 자주 접근하는 폴더, 생성하거나 저장하는 파일 등에 대한 정보를 수집한다. 이를 통해 특정 사용자가 언제 주로 접속하고, 어떤 폴더에 접근하고, 어떤 작업을 해서 어떤 결과물을 생성하는 지를 인공지능(AI) 알고리즘을 이용하여 분석한다. 그리고 이를 테이블로 작성하여 저장한다. 각각의 사용자별로 생성된 테이블은 서비스서버(230) 또는 관리자서버(240)에 저장된다.The manager server 240 collects information about the time a user normally accesses the service server 230, frequently accessed folders, and files that are created or stored. Through this, it analyzes when a specific user mainly accesses, accesses a folder, and performs a task to generate a result using an artificial intelligence (AI) algorithm. Then, write it as a table and save it. Tables created for each user are stored in the service server 230 or the manager server 240.

이와 같이 상당한 시간동안 수집한 정보로부터 각 사용자별 작업패턴 테이블을 생성한 상태에서 특정 사용자가 서비스서버(230)에 접속해서 작업을 하면, 관리자서버(240)는 테이블에 기록된 정보와 현재 사용자의 작업내용이 부합하는 지를 감시한다. 통상적으로 접속하던 시간과 비슷한 시간대인지, 종전에 한 번도 접근하지 않았던 폴더에 접근하는지, 통상의 형식과는 다른 형태의 파일을 열거나 생성하는지 등을 감시한다.When a specific user accesses and works with the service server 230 while generating a work pattern table for each user from the information collected for a considerable time as described above, the manager server 240 displays the information recorded in the table and the current user. Monitor whether work is consistent. It monitors whether it is in a time zone similar to the time of normal access, accessing a folder that has never been accessed before, or opening or creating a file of a different type from the normal format.

관리자서버(240)는 현재 접속한 사용자의 행동이 테이블에 저장된 행동패턴과 일정 수준 이상으로 차이를 보인다면, 보안사고일 가능성이 있는 것으로 보아 보안수준을 향상시키게 된다. 구체적으로는 현재 작업을 하고 있는 사용자에 대하여 높은 등급의 보안 인증정보를 추가로 요구하거나, 관리자가 현장에 출동하여 사용자를 직접 확인하는 등의 조치를 취할 수 있다. 추가적인 보안 인증의 요구에 대하여 답변이 없거나 잘못된 정보를 입력하는 경우에는 즉시 서비스서버(230)에 대한 접속을 해제하고 경고 알람을 보내게 된다.If the behavior of the currently accessed user differs from the behavior pattern stored in the table by a certain level or higher, the administrator server 240 considers that there is a possibility of a security accident, thereby improving the security level. Specifically, it is possible to take measures such as requesting additional high-level security authentication information for the user currently working or directly checking the user by dispatching to the site. If there is no answer to the request for additional security authentication or incorrect information is entered, the connection to the service server 230 is immediately released and a warning alarm is sent.

한편, 높은 수준의 보안을 요하는 곳에 설치되는 서비스서버(230)에는 작업자가 생성하여 저장한 다양한 형태의 데이터가 저장될 것이다. 그리고 이러한 데이터에 대해서는 제3자의 해킹 시도가 발생할 수 있다.Meanwhile, various types of data generated and stored by an operator will be stored in the service server 230 installed in a place requiring a high level of security. In addition, third-party hacking attempts may occur for such data.

본 발명에서는 작업을 하려는 사용자가 서비스서버(230)가 설치된 영역에 직접 들어와서 작업을 하게 되므로, 보안사고가 발생했을 때 사용자가 데이터의 보호 또는 유출방지를 위한 긴급조치를 직접 취하도록 할 수 있다.In the present invention, since a user who wants to work enters and works directly in an area where the service server 230 is installed, when a security accident occurs, the user can directly take emergency measures to protect or prevent data leakage. .

도 9는 긴급시에 데이터를 삭제하거나 차단하는 방법을 나타낸 개념도이다.9 is a conceptual diagram illustrating a method of deleting or blocking data in an emergency.

사용자가 작업 도중에 서비스서버(230)에 대한 해킹 시도를 감지하거나, 다른 경로를 통해 데이터 탈취 시도를 알게된 경우, 사용자는 자신의 사용자단말기(210)에 표시되는 "삭제" 버튼을 누를 수 있다. 게이트웨이앱(213)이 실행된 상태에서 긴급 "삭제" 버튼을 누르면, 게이트웨이앱(213)은 이를 관리자서버(240)와 서비스서버(230)로 전송한다.When the user detects an attempt to hack the service server 230 during the operation or knows an attempt to steal data through another path, the user may press the “delete” button displayed on his / her user terminal 210. If the emergency "delete" button is pressed while the gateway app 213 is running, the gateway app 213 transmits it to the manager server 240 and the service server 230.

관리자서버(240)는 삭제 명령이 입력되면 즉시 해당하는 데이터를 서비스서버(230)에서 삭제한다. 경우에 따라서는 서비스서버(230)와 네트워크(220)의 연결을 차단하여 데이터의 유출을 방지한다. 또한 삭제 대상이 되는 데이터 또는 긴급한 보호가 필요한 데이터를 백업서버(250)로 이동시키고, 이동이 완료되면 백업서버(250)를 네트워크로부터 차단하여 접속이 불가능해지도록 만들어준다.When the delete command is input, the manager server 240 immediately deletes the corresponding data from the service server 230. In some cases, the connection between the service server 230 and the network 220 is blocked to prevent data leakage. In addition, the data to be deleted or the data requiring urgent protection is moved to the backup server 250, and when the transfer is completed, the backup server 250 is blocked from the network to make access impossible.

이와 같은 방법으로 긴금상황에서 데이터를 보호하거나 유출을 막을 수 있는 기능을 구현할 수 있다.In this way, it is possible to implement a function that can protect data or prevent leakage in an emergency situation.

이상 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명하였지만, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술 분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The preferred embodiments of the present invention have been described above with reference to the accompanying drawings, but the above-described technical configuration of the present invention is not limited to those skilled in the art to which the present invention pertains without changing the technical spirit or essential features of the present invention. It will be understood that can be carried out. Therefore, the above-described embodiments are to be understood in all respects as illustrative and not restrictive, and the scope of the present invention is indicated by the following claims rather than the detailed description, and the meaning and scope of the claims and It should be construed that any altered or modified form derived from the equivalent concept is included in the scope of the present invention.

200 : 보안인증시스템 210 : 사용자단말기
220 : 네트워크 230 : 서비스서버
231 : 무선통신모듈 240 : 관리자서버
250 : 백업서버200: security authentication system 210: user terminal
220: network 230: service server
231: Wireless communication module 240: Manager server
250: backup server

Claims (6)

사용자가 서비스서버와 근접한 영역 내부에 위치한 경우에만 상기 서비스서버에 대한 접속을 허용하도록 하는 보안인증시스템으로서,
사용자 인증을 위한 정보를 주고받는 게이트웨이앱(213)과, 사용자 인증을 정보로 활용되는 고유키(215)를 포함하는 사용자단말기(210)와;
상기 사용자가 접속하여 작업을 하거나 서비스를 이용할 수 있도록 해주는 서비스서버(230)와;
상기 서비스서버(230)의 동작이나 데이터 저장이나 변경, 삭제를 제어하는 관리자서버(240)와;
상기 사용자단말기(210), 상기 서비스서버(230), 상기 관리자서버(240)를 연결하여 데이터 송수신을 가능하게 하는 네트워크(220);를 포함하며,
상기 서비스서버(230)는 무선통신모듈(231)을 포함하며,
상기 사용자단말기(210)가 상기 무선통신모듈(231)과 접속할 수 있을 정도로 근접한 접속가능영역 내부에 위치한 경우에 상기 서비스서버(230)는 상기 사용자에 대한 접속을 허용하도록 하는, 사용자단말기 기반의 보안인증시스템.As a security authentication system that allows access to the service server only when the user is located in an area close to the service server,
A user terminal 210 including a gateway app 213 for exchanging information for user authentication and a unique key 215 used as user authentication information;
A service server 230 that allows the user to access and work or use the service;
An administrator server 240 for controlling the operation of the service server 230, data storage, change, and deletion;
It includes; the user terminal 210, the service server 230, the network 220 to enable data transmission and reception by connecting the administrator server 240; includes,
The service server 230 includes a wireless communication module 231,
When the user terminal 210 is located in an accessible area close enough to be able to access the wireless communication module 231, the service server 230 allows the user to access the user terminal-based security Authentication system. 제1항에 있어서,
상기 무선통신모듈(231)은 블루투스 프로토콜을 사용하는 근거리 무선통신장비인 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.According to claim 1,
The wireless communication module 231 is a short-range wireless communication equipment using a Bluetooth protocol, user terminal-based security authentication system. 제1항에 있어서,
상기 서비스서버(230)에 저장된 데이터를 이동하여 저장하는 백업서버(250);를 추가로 포함하며,
상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)에 저장된 특정 데이터를 상기 백업서버(250)로 이동시킨 후 상기 서비스서버(230)에서 삭제하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.According to claim 1,
It further includes a backup server 250 for moving and storing data stored in the service server 230,
When the emergency signal is input from the user terminal 210, the manager server 240 moves specific data stored in the service server 230 to the backup server 250 and then deletes it from the service server 230. Characterized in that, the user terminal-based security authentication system. 제1항에 있어서,
상기 관리자서버(240)는 상기 사용자단말기(210)로부터 긴급 신호가 입력된 경우, 상기 서비스서버(230)와 상기 네트워크의 연결을 차단하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.According to claim 1,
When the emergency signal is input from the user terminal 210, the administrator server 240 blocks the connection between the service server 230 and the network, and the user terminal-based security authentication system. 제1항에 있어서,
상기 관리자서버(240)는 상기 사용자가 상기 서비스서버(230)에 접속하는 시간, 접근하는 폴터, 사용하는 파일에 대한 정보를 수집하여 테이블에 기록하고, 상기 사용자가 상기 서비스서버(230)에서 수행하는 작업의 내용이 상기 테이블에 기록된 내용과 다른 경우, 상기 사용자가 사용하는 사용자단말기(210)에 추가 인증을 요구하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.According to claim 1,
The administrator server 240 collects information about the time when the user accesses the service server 230, the accessing folder, and the files used, and records the information in a table, and the user performs the service server 230 If the content of the work to be done is different from the content recorded in the table, the user terminal 210, characterized in that requiring additional authentication, the user terminal-based security authentication system. 제5항에 있어서,
상기 관리자서버(240)는 상기 사용자단말기(210)에 요구한 추가 인증이 수신되지 않거나, 추가 인증이 부적합한 경우에 상기 서비스서버(230)에 대한 접속을 해제하는 것을 특징으로 하는, 사용자단말기 기반의 보안인증시스템.The method of claim 5,
The administrator server 240 releases access to the service server 230 when the additional authentication requested by the user terminal 210 is not received or when additional authentication is inappropriate, based on the user terminal. Security authentication system.
KR1020180134190A 2018-11-05 2018-11-05 Security system based on user terminal KR20200051185A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180134190A KR20200051185A (en) 2018-11-05 2018-11-05 Security system based on user terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180134190A KR20200051185A (en) 2018-11-05 2018-11-05 Security system based on user terminal

Publications (1)

Publication Number Publication Date
KR20200051185A true KR20200051185A (en) 2020-05-13

Family

ID=70729984

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180134190A KR20200051185A (en) 2018-11-05 2018-11-05 Security system based on user terminal

Country Status (1)

Country Link
KR (1) KR20200051185A (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395315B1 (en) 2012-12-18 2014-05-16 차병래 Near field communication based payment security authentication system and security authentication method thereof
KR20160016244A (en) 2014-08-04 2016-02-15 성동찬 Method for Authentication between Controller and User Terminal through Near Field Communication
KR20160072391A (en) 2014-12-12 2016-06-23 주식회사 에프지아이 the Integrated Access Security Management for Smart Work Environment and method thereof
KR101666791B1 (en) 2016-07-07 2016-10-18 (주)유니스소프트 System and method of illegal usage prediction and security for private information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395315B1 (en) 2012-12-18 2014-05-16 차병래 Near field communication based payment security authentication system and security authentication method thereof
KR20160016244A (en) 2014-08-04 2016-02-15 성동찬 Method for Authentication between Controller and User Terminal through Near Field Communication
KR20160072391A (en) 2014-12-12 2016-06-23 주식회사 에프지아이 the Integrated Access Security Management for Smart Work Environment and method thereof
KR101666791B1 (en) 2016-07-07 2016-10-18 (주)유니스소프트 System and method of illegal usage prediction and security for private information

Similar Documents

Publication Publication Date Title
CN111783075B (en) Authority management method, device and medium based on secret key and electronic equipment
CN110535833B (en) Data sharing control method based on block chain
CN100407174C (en) Data protection program and data protection method
KR100336259B1 (en) A smartcard adapted for a plurality of service providers and for remote installation of same
KR100733732B1 (en) Securing operation activation in a telecommunication system
US20170046693A1 (en) Systems and methods for detecting and resolving data inconsistencies among networked devices using hybrid private-public blockchain ledgers
US11290446B2 (en) Access to data stored in a cloud
CN117150581A (en) Secure identity and profile management system
US20150350211A1 (en) Securely integrating third-party applications with banking systems
CN104813328A (en) Trusted container
CN102523089B (en) Secondary credentials for batch system
CN112673600A (en) Multi-security authentication system and method between mobile phone terminal and IoT (Internet of things) equipment based on block chain
US11611587B2 (en) Systems and methods for data privacy and security
KR101809974B1 (en) A system for security certification generating authentication key combinating multi-user element and a method thereof
CN116011005A (en) Method and system for preventing phishing or luxury software attacks
KR101318170B1 (en) data sharing system using a tablets apparatus and controlling method therefor
KR102356474B1 (en) Systems that support smart work
CN101305377A (en) Communication terminal device, server terminal device, and communication system using the same
CN105787319A (en) Iris recognition-based portable terminal and method for same
RU2311676C2 (en) Method for providing access to objects of corporate network
Otterbein et al. The German eID as an authentication token on android devices
KR20200051185A (en) Security system based on user terminal
KR20190003146A (en) Automatic login system and management method through authorization authentication of smartphone
CN114253660A (en) System and method for authorizing a user data processor to access a container of user data
CN113901507A (en) Multi-party resource processing method and privacy computing system