KR20230012851A - Apparatus and method for enhancing network access security - Google Patents
Apparatus and method for enhancing network access security Download PDFInfo
- Publication number
- KR20230012851A KR20230012851A KR1020210093623A KR20210093623A KR20230012851A KR 20230012851 A KR20230012851 A KR 20230012851A KR 1020210093623 A KR1020210093623 A KR 1020210093623A KR 20210093623 A KR20210093623 A KR 20210093623A KR 20230012851 A KR20230012851 A KR 20230012851A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- slice
- communication
- authentication
- time interval
- Prior art date
Links
- 238000000034 method Methods 0.000 title abstract description 15
- 230000002708 enhancing effect Effects 0.000 title abstract description 7
- 238000010295 mobile communication Methods 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims description 106
- 230000004044 response Effects 0.000 claims description 55
- 230000001965 increasing effect Effects 0.000 claims description 7
- 230000003247 decreasing effect Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 28
- 238000005516 engineering process Methods 0.000 description 10
- 230000007423 decrease Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 네트워크 접속 보안을 강화하기 위한 장치 및 방법에 관한 것으로, 보다 구체적으로 인증 단계와 서비스 접속 단계 각각의 보안을 강화하여 네트워크 접속 보안을 강화하기 위한 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for enhancing network access security, and more particularly, to an apparatus and method for enhancing network access security by reinforcing security in each of an authentication step and a service access step.
재택 근무가 활성화되면서 그리고 통신 기술이 발전함에 따라 기업 종업원이 원격지에서 기업 내부의 인트라넷에 접속하기 위한 네트워크 접속 제어 시스템이 개발되고 있다. 네트워크 접속 제어 시스템에서는 접근 허용 조건을 만족하는 통신 단말만을 기업에 구축된 인트라넷(또는 사설망)에 접속할 수 있도록 허가한다. 최근에는 5G 네트워크가 구축되면서, 5G 네트워크에 기업 전용 네트워크를 네트워크 슬라이스 기술을 이용하여 구축하고, 기업 종업원이 원격지에서 5G의 기업 전용 네트워크에 접속하여 기업 내 인트라넷에 접속할 수 있도록 하는 서비스가 제공되고 있다. As telecommuting becomes active and communication technology develops, a network access control system for allowing corporate employees to remotely access an intranet within the company is being developed. In the network access control system, only communication terminals that satisfy access conditions are permitted to access the intranet (or private network) built in the company. Recently, as 5G networks are being built, a company-specific network is built on the 5G network using network slice technology, and a service is provided that allows corporate employees to connect to the 5G corporate-specific network from a remote location and access the intranet within the company. .
이러한 5G의 기업 전용 네트워크에 접속하기 위해서는 사용자 단말이 5G 통신 기능을 구비해야 하는데, 업무용 사용자 단말은 개인용 PC, 노트북 등과 같은 5G 통신 기능이 없는 단말이기 때문에, 5G 네트워크에 접속할 수 있는 통신 기능이 구비된 별도의 휴대용 단말을 사용자 단말에 연결하여 사용하는 방안이 추진되고 있다. 그런데, 이러한 5G 통신 기능이 구비된 휴대용 단말의 도난/분실시 악의적인 습득자가 기업 전용 네트워크에 접속하여 기업의 중요 데이터를 유출할 위험이 있다. 따라서, 5G 통신 기능이 구비된 휴대용 단말을 이용하여 5G의 기업 전용 네트워크에 접속하는데 있어서, 보안을 강화할 필요가 있다. In order to access such a 5G corporate dedicated network, a user terminal must have a 5G communication function. Since a business user terminal is a terminal without a 5G communication function, such as a personal PC or laptop, it is equipped with a communication function capable of accessing the 5G network. A method of using a separate portable terminal connected to a user terminal is being promoted. However, when a portable terminal equipped with such a 5G communication function is stolen/lost, there is a risk that a malicious acquirer accesses a company-specific network and leaks important data of the company. Therefore, in accessing a 5G corporate dedicated network using a portable terminal equipped with a 5G communication function, it is necessary to strengthen security.
본 발명은 상술한 문제점을 해결하기 위해 제안된 것으로, 5G 등의 이동통신기능이 구비된 휴대용 단말을 이용하여 원격지에서 5G 등의 이동통신망을 통해 기업 내 인트라넷 등에 접속하는데 있어서 인증 단계와 서비스 접속 단계 각각의 보안을 강화하여 네트워크 접속 보안을 강화하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above-mentioned problems, using a portable terminal equipped with a mobile communication function such as 5G, to access an intranet within a company through a mobile communication network such as 5G from a remote location, an authentication step and a service access step An object of the present invention is to provide a device and method for strengthening network access security by strengthening each security.
일 실시예에 따른, 2차 단말과 연결되어 상기 2차 단말의 이동통신 네트워크의 접속을 중계하는 통신 단말은, 상기 이동통신 네트워크에서 제공하는 단말 관리 슬라이스, 사용자 인증 슬라이스 및 서비스 슬라이스에 각각 독립적으로 접속하는 제1통신부; 상기 2차 단말과 통신하는 제2통신부; 상기 2차 단말의 사용자가 휴대하는 3차 단말과 통신하는 제3통신부; 및 상기 단말 관리 슬라이스를 통해 상기 2차 단말 및 상기 통신 단말의 단말 인증을 수행하고, 상기 사용자 인증 슬라이스를 통해 상기 사용자의 인증을 수행하며, 상기 서비스 슬라이스를 통해 상기 2차 단말에 대한 서비스를 제공하고, 상기 3차 단말을 통한 점유 인증 실패시, 상기 2차 단말에 대한 서비스를 위한 접속을 종료하는 제어부를 포함한다.According to an embodiment, a communication terminal that is connected to a secondary terminal and relays an access of the secondary terminal to a mobile communication network independently of a terminal management slice, a user authentication slice, and a service slice provided by the mobile communication network. A first communication unit to connect; a second communication unit communicating with the secondary terminal; a third communication unit communicating with a tertiary terminal carried by a user of the secondary terminal; and performing terminal authentication of the secondary terminal and the communication terminal through the terminal management slice, performing authentication of the user through the user authentication slice, and providing a service to the secondary terminal through the service slice. and a control unit for terminating the service connection to the secondary terminal when the occupancy authentication fails through the tertiary terminal.
상기 제어부는, 소정의 시간 간격으로 상기 3차 단말을 통해 점유 인증을 수행하되, 상기 3차 단말로 전송한 메시지에 대해 상기 3차 단말로부터 수신되는 응답 메시지의 신호 세기 및 응답 시간을 기초로 상기 시간 간격을 조절할 수 있다.The control unit performs occupancy authentication through the tertiary terminal at predetermined time intervals, based on the signal strength and response time of a response message received from the tertiary terminal with respect to the message transmitted to the tertiary terminal. You can adjust the time interval.
상기 제어부는, 상기 신호 세기 및 상기 응답 시간을 기초로 안전 상태라고 판단될 때는 상기 시간 간격을 증가시키고 불안전 상태라고 판단될 때는 상기 시간 간격을 감소시킬 수 있다.The controller may increase the time interval when it is determined to be in a safe state based on the signal strength and the response time, and decrease the time interval when it is determined to be in an unsafe state.
상기 제어부는, 상기 신호 세기에 대응하는 값과 상기 응답 시간에 대응하는 값의 합을 결정값으로 하고, 결정값이 기준값 이상인 경우에는 안전 상태로 판단하고, 결정값이 기준값 보다 작은 경우에는 불안전 상태로 판단할 수 있다.The control unit sets the sum of the value corresponding to the signal strength and the value corresponding to the response time as a decision value, determines a safe state when the determined value is greater than or equal to a reference value, and determines an unsafe state when the determined value is smaller than the reference value. can be judged by
상기 제어부는, 안전 상태에서 상기 시간 간격을 양의 지수 함수 형태로 증가시키고, 불안전 상태에서 상기 시간 간격을 음의 지수 함수 형태로 감소시킬 수 있다.The control unit may increase the time interval in the form of a positive exponential function in a safe state and decrease the time interval in the form of a negative exponential function in an unsafe state.
상기 제어부는, 상기 결정값이 상기 기준값 이상인 통신 주기에서는 시간 간격을 이전 통신 주기의 시간 간격으로 설정할 수 있다.The control unit may set a time interval to a time interval of a previous communication cycle in a communication period in which the determined value is greater than or equal to the reference value.
본 발명은 단말 인증과 사용자 인증 그리고 서비스 접속을 위한 채널, 즉 슬라이스를 분리하여, 네트워크 접속에 대한 보안을 강화한다. 단말 인증에 성공한 경우에만 사용자 인증을 위한 사용자 인증 슬라이스에 접속할 수 있고, 또한 사용자 인증에 성공한 경우에만 서비스 슬라이스에 접속할 수 있어, 보안을 강화한다. The present invention separates channels for terminal authentication, user authentication, and service access, that is, slices, to enhance security for network access. The user authentication slice for user authentication can be accessed only when the terminal authentication is successful, and the service slice can be accessed only when the user authentication is successful, thereby enhancing security.
본 발명은 사용자의 2차 단말과 연결되고 이동통신망과 통신하는 1차 단말이 사용자의 3차 단말과 주기적으로 통신을 하여 3차 단말의 신호 세기가 약해지거나 3차 단말의 응답 시간이 길어지는 경우, 또는 3차 단말의 응답이 없는 경우, 네트워크 접속을 차단함으로써, 1차 단말의 분실이나 도난 상황에서 보안을 한 층 더 강화할 수 있다. In the present invention, when a primary terminal connected to a user's secondary terminal and communicating with a mobile communication network periodically communicates with a user's tertiary terminal, the signal strength of the tertiary terminal becomes weak or the response time of the tertiary terminal becomes long. , or when there is no response from the tertiary terminal, by blocking network access, security can be further strengthened in the case of loss or theft of the primary terminal.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템의 구성을 나타낸 도면이다.
도 2는 도 1의 1차 단말의 구성을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 1차 단말과 3차 단말 간 통신 시간 간격을 설명하는 도면이다.
도 4는 도 3의 안전 상태에서 시간 간격을 증가시키는 양의 지수 함수를 나타낸 그래프이다.
도 5는 도 3의 불안전 상태에서 시간 간격을 감소시키는 음의 지수 함수를 나타낸 그래프이다.
도 6은 도 1의 시스템에서 VDI 서버에 접속하는 방법을 설명하는 흐름도이다.1 is a diagram showing the configuration of a network access control system according to an embodiment of the present invention.
FIG. 2 is a diagram showing the configuration of a primary terminal of FIG. 1 .
3 is a diagram illustrating a communication time interval between a primary terminal and a tertiary terminal according to an embodiment of the present invention.
FIG. 4 is a graph showing a positive exponential function of increasing time intervals in the safe state of FIG. 3 .
FIG. 5 is a graph showing a negative exponential function decreasing the time interval in the unstable state of FIG. 3 .
6 is a flowchart illustrating a method of accessing a VDI server in the system of FIG. 1;
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features and advantages will become more apparent through the following detailed description in conjunction with the accompanying drawings, and accordingly, those skilled in the art to which the present invention belongs can easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. Hereinafter, a preferred embodiment according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 제어 시스템의 구성을 나타낸 도면이다. 도 1을 참조하면, 본 실시예에 따른 네트워크 접속 제어 시스템은, 1차 단말(110), 2차 단말(120), 3차 단말(130), 단말 관리 서버(140), 사용자 인증 서버(150), VDI(Virtual Desktop Infrastructure) 서버(160) 및 SDN(Software Defined Networking) 시스템(170)을 포함한다. 본 실시예에서는 기업 인트라넷 시스템으로서, VDI 시스템을 예로 들어 설명한다. 1 is a diagram showing the configuration of a network access control system according to an embodiment of the present invention. Referring to FIG. 1, the network access control system according to this embodiment includes a
VDI는 가상 테스크탑 서비스라고도 불리우는 가상화 기술로서 호스트 서버에 하이퍼바이저를 통해 가상 머신의 가상 데스크톱 인스턴스를 실행하고 사용자가 클라이언트 프로그램을 통해 이 가상 머신에 원격 접속하면 클라이언트 프로그램으로 가상 머신의 화면을 스트리밍하는 기술이다. 즉, 로컬의 사용자 단말에서 업무 작업이 이루어지는 것이 아닌, 모든 업무 작업은 가상 머신의 가상 데스크톱 인스턴스에서 이루어지고, 사용자 단말로는 가상 머신의 화면이 스트리밍된다. 그러나 본 발명은 이러한 VDI 환경에만 적용되는 것은 아니며 기업 전용의 이통통신 네트워크(즉, 기업 전용 슬라이스)를 통해 기업 내 사설망에 접속하는 환경에도 적용될 수 있다. VDI, also called virtual desktop service, is a virtualization technology that runs a virtual desktop instance of a virtual machine through a hypervisor on a host server and streams the screen of the virtual machine to the client program when a user remotely accesses the virtual machine through a client program. to be. That is, all work is performed on a virtual desktop instance of a virtual machine, and the screen of the virtual machine is streamed to the user terminal, rather than being performed on a local user terminal. However, the present invention is not applied only to such a VDI environment, but may also be applied to an environment in which a private network within a company is accessed through a company-specific telecommunications network (ie, a company-only slice).
도 1에 도시된 단말 관리 서버(140), 사용자 인증 서버(150), VDI 서버(160) 및 SDN 시스템(170)은 이동통신망을 구성하는 구성요소일 수 있고, 또는 이동통신망에 접속된 종단 장치일 수도 있다. 본 실시예의 이동통신망은 5G 이동통신망을 예로 든다. 5G 이동통신망은, gNB(next Generation NodeB), UPF(User Plane Function), AMF(Access and Mobility Management Function), SMF(Session Management Function) 및 PCF(Policy Control Function) 등을 포함하고, 네트워크 슬라이스 기술을 지원한다. 네트워크 슬라이스 기술은 네트워크 자원과 네트워크 기능(Network Function)들을 개별 서비스에 따라 하나의 독립적인 슬라이스로 묶어 제공하는 것이다. 네트워크 슬라이스 기술은 네트워크 기능 가상화(NFV, Network Function Virtualization), 소프트웨어 정의 네트워크(SDN, Software Defined Network) 기술을 기반으로 하고 있으며, 도 1에 도시된 바와 같이, 본 실시예에서 SDN 시스템(170)은 단말 관리 슬라이스(141), 사용자 인증 슬라이스(151), 및 VDI 슬라이스(161)를 제공한다.The
1차 단말(110)은, 2차 단말(120)과 연결되어, 2차 단말(120)의 VDI 서버(160)로의 접속을 중계한다. 1차 단말(110)은, 5G 이동통신망을 접속할 수 있는 통신 모듈을 포함하는 휴대용 장치로서, 2차 단말(120)과 USB 포트를 통해 유선 연결되거나, 또는 와이파이 등의 근거리 통신을 통해 연결될 수 있으나, 본 실시예에서는 USB 포트를 통해 연결된다. 1차 단말(110)은, 단말 관리 슬라이스(141)를 통해 자신과 2차 단말(120)의 단말 인증을 수행하고, 단말 인증 완료 후 사용자 인증 슬라이스(151)를 통해 2차 단말(120)을 사용하는 사용자 인증을 수행하며, 사용자 인증 완료 후 VDI 슬라이스(161)를 통해 VDI 서버(160)에 접속한다. The
바람직하게, 1차 단말(110)은 스틱형 PC와 같이 내부에 윈도우 등과 같은 운영체제(OS)와, VDI 서버(160)에 접속하기 위한 클라이언트 프로그램을 포함할 수 있다. 예를 들어, 2차 단말(120)이 TV 등과 같이 운영체제가 설치되지 않은 단말인 경우, 1차 단말(110)에서 운영체제를 구동하여 상기 클라이언트 프로그램을 실행할 수 있고, 또는 2차 단말(120)이 노트북이나 개인용 PC 등의 운영체제를 포함하는 단말일 경우 상기 클라이언트 프로그램은 상기 2차 단말(120)의 메모리에 로드되어 실행될 수 있다. 그러나 여기에 제한되는 것은 아니며 클라이언트 프로그램은 2차 단말(120)에 설치되어 동작할 수 있다.Preferably, the
2차 단말(120)은, 노트북이나 개인용 PC, 또는 TV 등의 디스플레이 장치와 마우스, 키보드 등의 입력 장치를 구비하는 사용자 단말이다. 2차 단말(120)은, USB 포트나 근거리 통신을 통해 상기 1차 단말(110)과 연결되어, 상기 1차 단말(110)을 통해 VDI 서버(160)에 접속한다. 2차 단말(120)에 대한 인증은, 앞서 설명한 바와 같이, 상기 1차 단말(110)에 의해 상기 단말 관리 슬라이스(141)를 통해 수행된다. 2차 단말(120)의 사용자에 대한 인증은, 앞서 설명한 바와 같이, 상기 1차 단말(110)에 의해 상기 사용자 인증 슬라이스(151)를 통해 수행된다. 사용자 인증은, ID/패스워드 등의 인증이나 기타 본인확인을 위한 인증 등을 포함한다. 사용자는 클라이언트 프로그램에 의해 표시되는 인증 정보 입력창을 통해 인증 정보를 입력할 수 있다. The
3차 단말(130)은, 점유 인증용의 통신 단말로서, 상기 1차 단말(110)과 블루투스 등과 같은 근거리 통신으로 연결되어, 상기 2차 단말(120)이 상기 1차 단말(110)을 통해 VDI 서버(160)에 접속하여 VDI 서비스를 제공하는 중에, 소정의 시간 간격으로 상기 1차 단말(110)의 요청에 대해 응답한다. 상기 3차 단말(130)은, 스마트폰 등과 같은 상기 2차 단말(120)의 사용자가 휴대하는 휴대용 장치일 수 있다. 상기 1차 단말(110)은, 상기 3차 단말(130)에 대한 단말 정보를 미리 저장하고, 소정의 시간 간격으로 상기 3차 단말(130)로 단말 정보를 요청하여 응답 메시지를 수신하고, 수신된 응답 메시지에 포함된 단말 정보가 미리 저장된 단말 정보와 일치하지 않을 경우, 또는 상기 3차 단말(130)로부터 응답이 없는 경우, 상기 VDI 서버(160)와의 접속을 종료한다. 즉, 1차 단말(110)은, 상기 3차 단말(130)을 이용하여 점유 인증을 수행하는 것이다. 정당한 사용자라고 해도 3차 단말(130)을 가지고 있지 않은 상태에서 2차 단말(120)을 이용할 경우 VDI 서비스를 이용할 수 없다.The
상기 1차 단말(110)은, 상기 3차 단말(130)로부터 수신되는 응답 메시지의 신호 세기와 응답 시간을 기초로 상기 3차 단말(130)과 통신하는 시간 간격을 조절할 수 있다. 상기 1차 단말(110)은, 응답 메시지의 신호 세기와 응답 시간을 기초로 안전 상태라고 판단될 때는 상기 시간 간격을 증가시키고 불안전 상태라고 판단될 때는 상기 시간 간격을 감소시킨다. 바람직하게, 상기 1차 단말(110)은 시간 간격의 증감시, 지수 함수에 따라 시간 간격을 증감시킨다. 이때, 상기 1차 단말(110)은, 안전 상태일 경우 시간 간격을 조절하는 지수 함수와 불안전 상태일 경우 시간 간격을 조절하는 지수 함수를 서로 다르게 사용한다. 이에 대해서는 이하에서 도면을 참조하여 보다 구체적으로 설명한다.The
단말 관리 서버(140)는, 단말 관리 슬라이스(141)를 통해 단말 인증을 수행한다. 단말 인증은 미리 지정된 단말을 사용하는지를 확인하는 것이다. 단말 인증은 단말의 고유 정보(예, MAC 주소, 시리얼 넘버)를 인증 정보로서 이용하여 수행된다. 단말 관리 서버(140)는, 1차 단말(110)의 고유 정보와 2차 단말(120)의 고유 정보가 미리 등록된 정보와 일치하는지 확인하고, 또한 1차 단말(110) 및 2차 단말(120)이 미리 등록된 매핑 관계인지 확인한다. 즉, 1차 단말(110)이 미리 등록된 단말이라도 지정된 매핑 관계가 아닌 2차 단말(120)을 이용할 경우 인증은 실패한다.The
사용자 인증 서버(150)는, 사용자 인증 슬라이스(151)를 통해 사용자 인증을 수행한다. 여기서 사용자 인증은 단말 인증과 구분되는 인증으로서 사용자가 정당한 사용자인지를 확인하는 것이다. 사용자 인증은, 사용자만이 알고 있는 고유 정보를 인증 정보로서 이용하여 수행된다. 여기서 고유 정보는 예를 들어, 아이디/패스워드, 또는 개인 고유 식별정보 등을 포함한다. 사용자 인증은 1차 단말(110) 및 2차 단말(120)에 대한 단말 인증이 성공된 후에 수행된다. 바람직하게, 사용자 인증 서버(150)는, 단말 인증 성공시 SDN 시스템(170)으로부터 1차 단말(110)의 정보를 수신하고, 이에 기초하여 1차 단말(110)로 사용자 정보를 요청하여 사용자의 고유 정보, 즉 인증 정보를 수신하여 인증한다. The
VDI 서버(160)는, 가상화 기술을 이용하여 사용자의 수만큼 가상 머신을 구동하여 가상 데스크탑 인스턴스를 실행하고, 클라이언트 프로그램으로 가상 데스크탑의 실행 화면을 실시간으로 전송한다. 본 실시예에서, VDI 서버(160)는, 1차 단말(110) 또는 2차 단말(120)에서 실행되는 클라이언트 프로그램으로 가상 데스크탑의 실행 화면을 실시간 전송한다. VDI 서버(160)는, VDI 슬라이스(161)를 통해 클라이언트 프로그램과 통신한다. VDI 슬라이스(161)를 통한 접속은, 상술한 단말 인증 및 사용자 인증이 완료된 후 허용된다. 바람직하게, VDI 서버(160)는, 사용자 인증 성공시 SDN 시스템(170)으로부터 1차 단말(110)의 정보를 수신하고, 이에 기초하여 1차 단말(110)로 VDI 접속 허용 메시지를 전송한다. The
SDN 시스템(170)은, 네트워크 기능 가상화(NFV, Network Function Virtualization), 소프트웨어 정의 네트워크(SDN, Software Defined Network) 기술을 기반으로 5G 이동통신망의 네트워크 슬라이스를 구현한다. 본 실시예에서 SDN 시스템(170)은, 단말 관리 슬라이스(141), 사용자 인증 슬라이스(151) 및 VDI 슬라이스(161)를 생성한다. SDN 시스템(170)은, 단말 관리 서버(140), 사용자 인증 서버(150), VDI 서버(160)와 통신한다. SDN 시스템(170)은, 단말 인증이 성공하면 단말 관리 서버(140)로부터 1차 단말(110)의 정보를 포함하는 사용자 인증 슬라이스 사용 요청을 수신하고, 이에 따라 사용자 인증 서버(150)로 1차 단말(110)의 정보를 전송한다. 또한 SDN 시스템(170)은, 사용자 인증이 성공하면 사용자 인증 서버(150)로부터 1차 단말(110)의 정보를 포함하는 VDI 슬라이스 사용 요청을 수신하고, 이에 따라 VDI 서버(160)로 1차 단말(110)의 정보를 전송한다. The
도 2는 도 1의 1차 단말의 구성을 나타낸 도면이다. 도 2를 참조하면, 1차 단말(110)은, 제1통신부(111), 제2통신부(112), 제3통신부(113), 저장부(114) 및 제어부(115)를 포함한다.FIG. 2 is a diagram showing the configuration of a primary terminal of FIG. 1 . Referring to FIG. 2 , the
제1통신부(111)는, 이동통신용 모뎀을 포함하고, 이동통신망과 통신한다. 본 실시예에서, 제1통신부(111)는, 5G 이동통신용 모뎀을 포함할 수 있다. 제1통신부(111)는, 단말 인증을 위해 5G 이동통신망의 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)와 통신하고, 사용자 인증을 위해 사용자 인증 슬라이스(151)를 통해 사용자 인증 서버(150)와 통신하며, VDI 서비스를 위해 VDI 슬라이스(161)를 통해 VDI 서버(160)와 통신한다.The
제2통신부(112)는, 2차 단말(120)과 통신한다. 제2통신부(112)는, USB 통신 모듈 또는 근거리 통신 모듈을 포함하고, USB 통신 모듈 또는 근거리 통신 모듈을 통해 2차 단말(120)과 통신한다. 본 실시예에서 제2통신부(112)는 USB 통신 모듈을 통해 2차 단말(120)의 USB 포트에 연결되어 통신한다.The
제3통신부(113)는, 3차 단말(130)과 통신한다. 제3통신부(113)는 근거리 통신 모듈을 포함하고 근거리 통신 모듈을 통해 3차 단말(130)과 통신한다. 제3통신부(113)는, 상기 제2통신부(112)에서 근거리 통신 모듈을 통해 2차 단말(120)과 통신할 경우, 그 근거리 통신 모듈의 통신 프로토콜과 다른 통신 프로토콜의 근거리 통신으로 3차 단말(130)과 통신한다. 예를 들어, 제2통신부(112)에서 와이파이 통신을 하는 경우 제3통신부(113)는 블루투스 통신을 한다.The
저장부(114)는, 1차 단말(110)의 동작을 위한 프로그램, 각종 데이터 및 3차 단말(130)의 단말 정보를 저장한다. 바람직하게, 저장부(114)는, VDI 접속을 위한 클라이언트 프로그램을 저장하고, 또한 윈도우 등의 운영체제를 저장할 수 있다. 저장부(114)는, 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한 하나 이상의 자기 디스크 저장 장치, 플래시 메모리 장치와 같은 불휘발성 메모리, 또는 다른 불휘발성 반도체 메모리 장치를 포함할 수 있다. 저장부(114)에 저장된 프로그램들은 제어부(115)에 의해 실행될 수 있고, 또는 2차 단말(120)의 운영체제에 로드되어 실행될 수도 있다.The
제어부(115)는, 1차 단말(110)의 전체적인 동작을 제어한다. 제어부(115)는, 예를 들어, 중앙 처리 장치(CPU)를 적어도 하나 포함할 수 있다. 제어부(115)는, 제2통신부(112)를 통해 2차 단말(120)과 연결되면, 제1통신부(111) 및 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)로 단말 사용 요청을 전송하고, 단말 관리 서버(140)의 인증 정보 요청에 응답하여 1차 단말(110)의 고유 정보를 전송한다. The
또한, 제어부(115)는, 1차 단말(110)의 단말 인증에 성공시, 제1통신부(111) 및 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)로부터 2차 단말(120)의 인증 정보 요청을 수신하고 이에 대한 응답으로 2차 단말(120)로부터 획득한 2차 단말(120)의 고유 정보를 단말 관리 서버(140)로 전송한다. In addition, the
또한, 제어부(115)는, 1차 단말(110) 및 2차 단말(120)의 인증이 성공하면, 사용자 인증 서버(150)로부터 사용자 인증 슬라이스(151) 및 제1통신부(111)를 통해 사용자 인증 정보 요청을 수신한다. 이에 대한 응답으로 제어부(115)는, 제2통신부(112)를 통해 2차 단말(120)로부터 획득한 사용자 인증 정보를 제1통신부(111) 및 사용자 인증 슬라이스(151)를 통해 사용자 인증 서버(150)로 전송한다. 바람직하게, 제어부(115)는, 클라이언트 프로그램을 통해 사용자 인증 정보의 입력창을 표시하고 그 입력창을 통해 사용자 인증 정보를 사용자로부터 수신할 수 있다.In addition, the
또한, 제어부(115)는, 사용자 인증이 성공하면, VDI 서버(160)로부터 VDI 슬라이스(161) 및 제1통신부(111)를 통해 VDI 서버(160)로부터 VDI 접속 허용 메시지를 수신한다. 제어부(115)는, 2차 단말(120) 또는 1차 단말(110)에서 로드된 클라이언트 프로그램으로 VDI 접속 허용 메시지를 전달하고, 사용자는 클라이언트 프로그램을 통해 VDI 슬라이스(161)를 통해 VDI 서버(160)에 접속할 수 있다.Also, if the user authentication is successful, the
제어부(115)는, VDI 서버(160)의 접속이 허용된 후, 3차 단말(130)을 이용하여 점유 인증을 수행한다. 즉, 제어부(115)는, 제3통신부(113)를 통해 3차 단말(130)로 소정 시간 간격으로 단말 정보를 요청하여 응답 메시지를 수신하고, 수신된 응답 메시지에 포함된 단말 정보가 저장부(114)에 미리 저장된 단말 정보와 일치하는지 확인하고, 일치하지 않을 경우, 또는 상기 3차 단말(130)로부터 응답이 소정 시간 동안 없는 경우, 점유 인증 실패로 판단하고, 상기 VDI 서버(160)와의 접속을 종료한다.The
제어부(115)는, 상기 3차 단말(130)로부터 수신되는 응답 메시지의 신호 세기와 응답 시간을 기초로 상기 3차 단말(130)과 통신하는 시간 간격을 조절할 수 있다. 상기 1차 단말(110)은, 응답 메시지의 신호 세기와 응답 시간을 기초로 안전 상태라고 판단될 때는 불안전 상태일 때보다 시간 간격을 증가시키고, 불안전 상태라고 판단될 때는 안전 상태일 때보다 시간 간격을 감소시켜, 3차 단말(130)과 통신한다. The
바람직하게, 제어부(115)는, 3차 단말(130)로부터 수신되는 응답 메시지의 신호 세기에 대응하는 값과 응답 메시지의 응답 시간에 대응하는 값의 합을 결정값으로 하고, 결정값이 기준값 이상인 경우에는 안전 상태로 판단하고, 결정값이 기준값 보다 작은 경우에는 불안전 상태로 판단하여, 불안전 상태일 때보다 안전 상태일 때 더 긴 시간 간격으로 3차 단말(130)과 통신한다. 예를 들어, 안전 상태를 유지할 때는 3초 간격으로 통신하고 불안전 상태를 유지할 때는 1초 간격으로 통신한다. Preferably, the
결정값을 계산하는 방법을 수학식으로 표현하면 다음 (수학식1)과 같다. 1차 단말(110)과 3차 단말(130)이 가까울수록 신호 세기는 크고 응답 시간은 작고 반대로 1차 단말(110)과 3차 단말(130)이 멀수록 신호 세기는 작아지고 응답 시간은 길어지는 원리를 이용한 것이다.The method for calculating the decision value is expressed as
(수학식1)(Equation 1)
결정값(Decision Value) = f(x) + f(y)Decision Value = f(x) + f(y)
상기 (수학식1)에서, αx를 1, βx를 0, αy를 1, 그리고 βy를 0이라고 할 때, 응답 신호의 신호 세기가 임계값(RSSIthreshold) 이상이면서 응답 신호의 응답 시간이 임계값(Response Timethreshold) 이하이면, 결정값은 2이고, 응답 신호의 신호 세기가 임계값(RSSIthreshold) 이상이면서 응답 신호의 응답 시간이 임계값(Response Timethreshold) 보다 크면, 결정값은 1이며, 응답 신호의 신호 세기가 임계값(RSSIthreshold) 보다 작으면서 응답 신호의 응답 시간이 임계값(Response Timethreshold) 보다 크면, 결정값은 0이다. In the above (Equation 1), when α x is 1, β x is 0, α y is 1, and β y is 0, the signal strength of the response signal is greater than the threshold (RSSI threshold ) and the response signal response If the time is less than the threshold (Response Time threshold ), the decision value is 2, and if the signal strength of the response signal is greater than the threshold (RSSI threshold ) and the response time of the response signal is greater than the threshold (Response Time threshold ), the decision value is 1, and if the signal strength of the response signal is less than the threshold value (RSSI threshold ) and the response time of the response signal is greater than the threshold value (Response Time threshold ), the decision value is 0.
다른 실시예에서, 제어부(115)는, 첫 통신 주기에서의 응답 메시지의 신호 세기와 응답 시간에 따른 결정값이 기준값 이상인 경우, 안전 상태로 판단하고 이후 결정값이 기준값 이상인 통신 주기에서는 시간 간격을 양의 지수 함수 형태로 증가시키고 결정값이 기준값 보다 작은 통신 주기에서는 시간 간격을 이전 통신 주기의 시간 간격으로 설정한다. In another embodiment, the
또한, 제어부(115)는, 첫 통신 주기에서의 응답 메시지의 신호 세기와 응답 시간에 따른 결정값이 기준값 보다 작은 경우, 불안전 상태로 판단하고 이후 결정값이 기준값 보다 작은 통신 주기에서는 시간 간격을 음의 지수 함수 형태로 감소시키고 결정값이 기준값 이상인 통신 주기에서는 시간 간격을 이전 통신 주기의 시간 간격으로 설정한다. In addition, if the decision value according to the signal strength and response time of the response message in the first communication cycle is smaller than the reference value, the
이때, 제어부(115)는, 안전 상태에서 특정 통신 주기에서의 시간 간격이 안전 상태의 최초 통신 주기의 시간 간격까지 감소한 후 결정값이 기준값 보다 작아지는 경우 불안전 상태로 판단하고 상술한 불안전 상태에서의 방법에 따라 시간 간격을 가변하고, 반대로 불안전 상태에서 특정 통신 주기에서의 시간 간격이 불안전 상태의 최초 통신 주기의 시간 간격까지 증가한 후 결정값이 기준값 이상이 되는 경우 안전 상태로 판단하고 상술한 안전 상태에서의 방법에 따라 시간 간격을 가변한다.At this time, the
도 3은 본 발명의 일 실시예에 따른 1차 단말과 3차 단말 간 통신 시간 간격을 설명하는 도면이고, 도 4는 도 3의 안전 상태에서 시간 간격을 증가시키는 양의 지수 함수를 나타낸 그래프이고, 도 5는 도 3의 불안전 상태에서 시간 간격을 감소시키는 음의 지수 함수를 나타낸 그래프이다. 3 is a diagram illustrating a communication time interval between a primary terminal and a tertiary terminal according to an embodiment of the present invention, and FIG. 4 is a graph showing a positive exponential function increasing the time interval in a safe state of FIG. 3 . , FIG. 5 is a graph showing a negative exponential function decreasing the time interval in the unstable state of FIG. 3 .
도 3에 도시된 바와 같이, 1차 단말(110)과 3차 단말(130)의 첫 통신 주기에서의 3차 단말(130)의 응답 메시지의 신호 세기와 응답 시간에 따른 결정값이 기준값 이상인 경우, 1차 단말(110)은, 안전 상태로 판단하고 이후 결정값이 기준값 이상인 통신 주기에서는 시간 간격을 증가시킨다. 이때, 도 4에 도시된 바와 같이, 1차 단말(110)은 양의 지수 함수 형태로 시간 간격을 증가시킨다. 예를 들어, 첫 통신 주기인 안전 상태 #1에서 1차 단말(110)은 초기 설정 시간 간격인 t1 이후에 3차 단말(130)과 통신하고, 이때 결정값이 기준값 이상인 경우, 다음 시간 간격으로서 t2를 설정한다. 이후 통신 주기인 안전 상태 #2에서 결정값이 기준값 이상인 경우 시간 간격을 양의 지수 함수에 따라 증가시키고 반대로 결정값이 기준값 보다 작은 경우 안전 상태 #1로 되돌아가 시간 간격인 t1 이후에 3차 단말(130)과 통신한다.As shown in FIG. 3, when the determined value according to the signal strength and response time of the response message of the
한편, 도 3에 도시된 바와 같이, 1차 단말(110)과 3차 단말(130)의 첫 통신 주기에서의 3차 단말(130)의 응답 메시지의 신호 세기와 응답 시간에 따른 결정값이 기준값 보다 작은 경우, 1차 단말(110)은, 불안전 상태로 판단하고 이후 결정값이 기준값 보다 작은 통신 주기에서는 시간 간격을 감소시킨다. 이때, 도 5에 도시된 바와 같이, 1차 단말(110)은 음의 지수 함수 형태로 시간 간격을 감소시킨다. 예를 들어, 첫 통신 주기인 불안전 상태 #1에서 1차 단말(110)은 초기 설정 시간 간격인 t1 이후에 3차 단말(130)과 통신하고, 이때 결정값이 기준값 보다 작은 경우, 다음 시간 간격으로서 t2를 설정한다. 이후 통신 주기인 불안전 상태 #2에서 결정값이 기준값 보다 작은 경우 시간 간격을 음의 지수 함수에 따라 감소시키고 반대로 결정값이 기준값 이상인 경우 경우 불안전 상태 #1로 되돌아가 시간 간격인 t1 이후에 3차 단말(130)과 통신한다.On the other hand, as shown in FIG. 3, the decision value according to the signal strength and response time of the response message of the
이때, 1차 단말(110)은, 안전 상태에서 특정 통신 주기에서의 시간 간격이 안전 상태의 최초 통신 주기의 시간 간격까지 감소한 후 결정값이 기준값 보다 작아지는 경우 불안전 상태로 판단하고 불안전 상태 #1의 시간 간격으로 3차 단말(130)과 통신하고 이후 상술한 불안전 상태에서의 방법에 따라 시간 간격을 가변하고, 반대로 불안전 상태에서 특정 통신 주기에서의 시간 간격이 불안전 상태의 최초 통신 주기의 시간 간격까지 증가한 후 결정값이 기준값 이상이 되는 경우 안전 상태로 판단하고 안전 상태 #1의 시간 간격으로 3차 단말(130)과 통신하고 이후 상술한 안전 상태에서의 방법에 따라 시간 간격을 가변한다.At this time, the
일 실시예에서, 1차 단말(110)은, VDI 서비스를 제공한 후 3차 단말(130)과 통신을 종료한 후, 다시 VDI 서비스를 제공하는 경우, 이전 VDI 서비스 제공시 3차 단말(130)과 마지막으로 통신한 주기에서의 시간 간격을 초기 시간 간격으로 설정할 수 있다. In one embodiment, when the
일 실시예에서, 1차 단말(110)은, 3차 단말(130)로 단말 정보를 요청하는데 있어서, 블루투스 통신 규격에서의 광고 메시지(advertising message)를 이용할 수 있다. 블루투스 통신 규격에서 광고 모드(advertising mode)는 특정 장치를 지정하지 않고 광고 메시지를 주기적으로 전송하는 것인데, 상대적으로 보안이 취약할 수 있다. 따라서, 1차 단말(110)은, 3차 단말(130)로 광고 메시지를 전송할 때, 광고 메시지에 다음 번 통신 주기에 대한 정보(즉, 시간 간격)와, 다음 번 통신 주기에서 3차 단말(130)이 응답할 광고 메시지의 순서 정보와, 복수의 채널 중 3차 단말(130)이 사용할 채널 정보를 포함하여 전송할 수 있다. 바람직하게, 1차 단말(110)은, 랜덤 값을 해쉬 연산한 후 미리 결정된 값으로 모듈러(mod) 연산을 하여 나온 값을 광고 메시지의 순서로 결정할 수 있다. 따라서, 3차 단말(130)은, 다음 번 통신 주기가 도래하였을 때, 복수의 광고 메시지 중 미리 지정된 순서의 광고 메시지에 응답 메시지를 회신함으로써, 광고 메시지를 사용함에 따른 해킹을 방지할 수 있다.In one embodiment, the
도 6은 도 1의 시스템에서 VDI 서버에 접속하는 방법을 설명하는 흐름도이다. 도 6을 참조하면, 사용자는 2차 단말(120)에 1차 단말(110)을 연결하고, VDI 접속을 위한 클라이언트 프로그램을 로딩한다. 그러면, 단계 S601에서, 1차 단말(110)은 이동통신망의 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)로 단말 사용 요청을 전송한다. 6 is a flowchart illustrating a method of accessing a VDI server in the system of FIG. 1 . Referring to FIG. 6 , the user connects the
단계 S602에서, 단말 관리 서버(140)는, 상기 단말 사용 요청에 대한 응답으로 1차 단말(110)로 1차 단말 인증 정보 요청을 전송한다. 단계 S603에서, 1차 단말(110)은 단말 인증 정보를 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)로 전송한다. 여기서 단말 인증 정보는, 1차 단말(110)의 MAC 주소 등의 단말 고유 정보를 포함한다. In step S602, the
단말 관리 서버(140)는 기 등록된 1차 단말(110)의 인증 정보와 상기 단계 S603에서 수신된 단말 인증 정보를 비교하여 일치할 경우, 단계 S604에서 1차 단말(110)로 2차 단말 인증 정보 요청을 전송한다. 단계 S605에서 1차 단말(110)은, 2차 단말(120)의 단말 인증 정보를 획득하여 단말 관리 슬라이스(141)를 통해 단말 관리 서버(140)로 전송한다. 여기서 단말 인증 정보는, 2차 단말(120)의 MAC 주소 등의 단말 고유 정보를 포함한다. The
단말 관리 서버(140)는, 기 등록된 2차 단말(110)의 인증 정보와 상기 단계 S605에서 수신된 단말 인증 정보를 비교하고, 또한 1차 단말(110) 및 2차 단말(120)이 미리 등록된 매핑 관계인지 확인한다. 단말 관리 서버(140)는 단말 인증 정보가 일치하고 상호 매핑 관계인 경우 인증 성공으로 판단한다. The
단계 S606에서 단말 관리 서버(140)는, SDN 시스템(170)으로 1차 단말(110)의 정보(예, IP 주소)를 포함하는 사용자 인증 슬라이스 사용 요청을 전송한다. 단계 S607에서, SDN 시스템(170)은, 1차 단말(110)의 정보를 사용자 인증 서버(150)로 전송한다. 이에 따라, 단계 S608에서, 사용자 인증 서버(150)는 1차 단말(110)의 정보를 이용하여 사용자 인증 슬라이스(151)를 통해 1차 단말(110)로 사용자 인증 정보 요청을 전송한다. In step S606, the
단계 S609에서, 1차 단말(110)은, 사용자로부터 사용자 인증 정보를 수신하고 이를 사용자 인증 슬라이스(151)를 통해 사용자 인증 서버(150)로 전송한다. 바람직하게, 클라이언트 프로그램을 통해 사용자 인증 정보 입력창을 표시하고 사용자로부터 그 입력창을 통해 사용자 인증 정보를 수신한다. 사용자 인증 정보는 예를 들어, ID/패스워드 등의 사용자를 고유하게 식별하는 정보를 포함한다.In step S609, the
사용자 인증 서버(150)는, 수신된 사용자 인증 정보를 기 등록된 사용자 인증 정보와 비교하여 사용자를 인증한다. 사용자 인증에 성공한 경우, 단계 S610에서, 사용자 인증 서버(150)는, SDN 시스템(170)으로 1차 단말(110)의 정보(예, IP 주소)를 포함하는 VDI 슬라이스 사용 요청을 전송한다. The
단계 S611에서, SDN 시스템(170)은, 1차 단말(110)의 정보를 VDI 서버(160)에 전송한다. 이에 따라, 단계 S612에서, VDI 서버(160)는, 1차 단말(110)의 정보를 이용하여 VDI 슬라이스(161)를 통해 1차 단말(110)로 VDI 접속 허용 메시지를 전송한다. 클라이언트 프로그램은 VDI 접속 성공을 사용자에게 알리고, 따라서 단계 S613에서, 사용자는 2차 단말(120)에 로드된 클라이언트 프로그램을 통해 VDI 슬라이스(161)를 통해 VDI 서버(160)에 접속하여 업무를 수행한다.In step S611, the
이상의 실시예에 따르면, 단말 인증과 사용자 인증 그리고 VDI 접속을 위한 채널을 분리하여, 네트워크 접속, 즉 VDI 접속에 대한 보안을 강화한다. 단말 인증에 성공한 경우에만 사용자 인증을 위한 사용자 인증 슬라이스(151)에 접속할 수 있고, 또한 사용자 인증에 성공한 경우에만 VDI 슬라이스(161)에 접속할 수 있어, 보안을 강화한다. According to the above embodiment, a channel for terminal authentication, user authentication, and VDI access is separated to enhance network access, that is, security for VDI access. The
또한, 1차 단말(110)은 사용자의 3차 단말(130)과 주기적으로 통신을 하여 3차 단말(130)의 신호 세기가 약해지거나 3차 단말(130)의 응답 시간이 길어지는 경우, 또는 3차 단말(130)과 연결이 끊어지는 경우, 네트워크 접속을 차단함으로써, 1차 단말(110)의 분실이나 도난 상황에서 보안을 한 층 더 강화할 수 있다. In addition, when the
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification contains many features, such features should not be construed as limiting the scope of the invention or the claims. Also, features described in separate embodiments in this specification may be implemented in combination in a single embodiment. Conversely, various features that are described in this specification in a single embodiment may be implemented in various embodiments individually or in combination as appropriate.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although actions are described in a particular order in the drawings, it should not be understood that such actions are performed in the specific order as shown, or that the actions are performed in a series of sequential order, or that all described actions are performed to achieve a desired result. . Multitasking and parallel processing can be advantageous in certain circumstances. In addition, it should be understood that the division of various system components in the above-described embodiments does not require such division in all embodiments. The program components and systems described above may generally be implemented as a package in a single software product or multiple software products.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.The method of the present invention as described above may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily performed by a person skilled in the art to which the present invention belongs, it will not be described in detail.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention to those skilled in the art to which the present invention belongs, and thus the above-described embodiments and It is not limited by drawings.
110 : 1차 단말, 120 : 2차 단말
130 : 3차 단말, 140 : 단말 관리 서버
141 : 단말 관리 슬라이스, 150 : 사용자 인증 서버
151 : 사용자 인증 슬라이스, 160 : VDI 서버
161 : VDI 슬라이스, 170 : SDN 시스템
111 : 제1통신부, 112 : 제2통신부
113 : 제3통신부, 114 : 저장부
115 : 제어부110: primary terminal, 120: secondary terminal
130: 3rd terminal, 140: terminal management server
141: terminal management slice, 150: user authentication server
151: user authentication slice, 160: VDI server
161: VDI slice, 170: SDN system
111: first communication unit, 112: second communication unit
113: third communication unit, 114: storage unit
115: control unit
Claims (6)
상기 이동통신 네트워크에서 제공하는 단말 관리 슬라이스, 사용자 인증 슬라이스 및 서비스 슬라이스에 각각 독립적으로 접속하는 제1통신부;
상기 2차 단말과 통신하는 제2통신부;
상기 2차 단말의 사용자가 휴대하는 3차 단말과 통신하는 제3통신부; 및
상기 단말 관리 슬라이스를 통해 상기 2차 단말 및 상기 통신 단말의 단말 인증을 수행하고, 상기 사용자 인증 슬라이스를 통해 상기 사용자의 인증을 수행하며, 상기 서비스 슬라이스를 통해 상기 2차 단말에 대한 서비스를 제공하고, 상기 3차 단말을 통한 점유 인증 실패시, 상기 2차 단말에 대한 서비스를 위한 접속을 종료하는 제어부를 포함하는 통신 단말.In the communication terminal connected to the secondary terminal and relaying the connection of the secondary terminal to the mobile communication network,
a first communication unit independently accessing a terminal management slice, a user authentication slice, and a service slice provided by the mobile communication network;
a second communication unit communicating with the secondary terminal;
a third communication unit communicating with a tertiary terminal carried by a user of the secondary terminal; and
Performing terminal authentication of the secondary terminal and the communication terminal through the terminal management slice, performing authentication of the user through the user authentication slice, and providing a service for the secondary terminal through the service slice; , A communication terminal including a control unit for terminating the connection for service to the secondary terminal when occupancy authentication fails through the tertiary terminal.
상기 제어부는,
소정의 시간 간격으로 상기 3차 단말을 통해 점유 인증을 수행하되,
상기 3차 단말로 전송한 메시지에 대해 상기 3차 단말로부터 수신되는 응답 메시지의 신호 세기 및 응답 시간을 기초로 상기 시간 간격을 조절하는 것을 특징으로 하는 통신 단말.According to claim 1,
The control unit,
Performing occupancy authentication through the tertiary terminal at predetermined time intervals,
The communication terminal characterized in that the time interval is adjusted based on the signal strength and response time of the response message received from the tertiary terminal with respect to the message transmitted to the tertiary terminal.
상기 제어부는,
상기 신호 세기 및 상기 응답 시간을 기초로 안전 상태라고 판단될 때는 상기 시간 간격을 증가시키고 불안전 상태라고 판단될 때는 상기 시간 간격을 감소시키는 것을 특징으로 하는 통신 단말.According to claim 2,
The control unit,
The communication terminal characterized in that the time interval is increased when it is determined to be in a safe state based on the signal strength and the response time, and the time interval is decreased when it is determined to be in an unsafe state.
상기 제어부는,
상기 신호 세기에 대응하는 값과 상기 응답 시간에 대응하는 값의 합을 결정값으로 하고, 결정값이 기준값 이상인 경우에는 안전 상태로 판단하고, 결정값이 기준값 보다 작은 경우에는 불안전 상태로 판단하는 것을 특징으로 하는 통신 단말.According to claim 3,
The control unit,
Using the sum of the value corresponding to the signal strength and the value corresponding to the response time as a decision value, determining a safe state when the decision value is greater than or equal to a reference value, and determining an unsafe state when the decision value is smaller than the reference value. A characterized communication terminal.
상기 제어부는,
안전 상태에서 상기 시간 간격을 양의 지수 함수 형태로 증가시키고,
불안전 상태에서 상기 시간 간격을 음의 지수 함수 형태로 감소시키는 것을 특징으로 하는 통신 단말.According to claim 4,
The control unit,
increasing the time interval in the form of a positive exponential function in the safe state;
The communication terminal, characterized in that for reducing the time interval in the form of a negative exponential function in an insecure state.
상기 제어부는,
상기 결정값이 상기 기준값 이상인 통신 주기에서는 시간 간격을 이전 통신 주기의 시간 간격으로 설정하는 것을 특징으로 하는 통신 단말.
According to claim 5,
The control unit,
In a communication period in which the determined value is greater than or equal to the reference value, a time interval is set to a time interval of a previous communication period.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210093623A KR20230012851A (en) | 2021-07-16 | 2021-07-16 | Apparatus and method for enhancing network access security |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210093623A KR20230012851A (en) | 2021-07-16 | 2021-07-16 | Apparatus and method for enhancing network access security |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230012851A true KR20230012851A (en) | 2023-01-26 |
Family
ID=85110413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210093623A KR20230012851A (en) | 2021-07-16 | 2021-07-16 | Apparatus and method for enhancing network access security |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230012851A (en) |
-
2021
- 2021-07-16 KR KR1020210093623A patent/KR20230012851A/en unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018318922B2 (en) | Extending single-sign-on to relying parties of federated logon providers | |
JP6397956B2 (en) | Provision of mobile device management functions | |
US10558407B2 (en) | Availability of devices based on location | |
US10116448B2 (en) | Transaction authorization method and system | |
US9275218B1 (en) | Methods and apparatus for verification of a user at a first device based on input received from a second device | |
US10284493B2 (en) | Accessing a cloud-based service using a communication device linked to another communication device via a peer-to-peer ad hoc communication link | |
US20240048985A1 (en) | Secure password sharing for wireless networks | |
US8925053B1 (en) | Internet-accessible service for dynamic authentication and continuous assertion of trust level in identities | |
WO2018145605A1 (en) | Authentication method and server, and access control device | |
CN108462710B (en) | Authentication and authorization method, device, authentication server and machine-readable storage medium | |
CN110856174B (en) | Access authentication system, method, device, computer equipment and storage medium | |
US20060075230A1 (en) | Apparatus and method for authenticating access to a network resource using multiple shared devices | |
US9374360B2 (en) | System and method for single-sign-on in virtual desktop infrastructure environment | |
CN101986598B (en) | Authentication method, server and system | |
WO2017185577A1 (en) | Esim card data sharing method, and related device and system | |
CN112672351A (en) | Wireless local area network authentication method and device, electronic equipment and storage medium | |
CN111182546B (en) | Method, equipment and system for accessing wireless network | |
CN111447220B (en) | Authentication information management method, server of application system and computer storage medium | |
US20220237282A1 (en) | Decentralized password vault | |
KR102519627B1 (en) | Method for authenticating legacy service based on token and platform service server supporting the same | |
CN105050086A (en) | Method for terminal to log in Wifi hotspot | |
KR101310631B1 (en) | System and method for controlling access to network | |
CN102761940B (en) | A kind of 802.1X authentication method and equipment | |
CN110781481A (en) | Single sign-on method, client, server, and storage medium | |
CN110933018B (en) | Network authentication method, device and computer storage medium |