KR101133210B1 - 모바일 클라이언트 단말기의 보안인증시스템 - Google Patents
모바일 클라이언트 단말기의 보안인증시스템 Download PDFInfo
- Publication number
- KR101133210B1 KR101133210B1 KR1020100047764A KR20100047764A KR101133210B1 KR 101133210 B1 KR101133210 B1 KR 101133210B1 KR 1020100047764 A KR1020100047764 A KR 1020100047764A KR 20100047764 A KR20100047764 A KR 20100047764A KR 101133210 B1 KR101133210 B1 KR 101133210B1
- Authority
- KR
- South Korea
- Prior art keywords
- vpn
- security
- management device
- function
- authentication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 모바일 클라이언트 내 기업용 어플리케이션 프로그램을 메모리의 보안영역에서 관리하고 인증하며, 내부통신망 접속시 주기적으로 변경되는 암호화키를 생성하여 통신하고, 관리자 인증코드를 수신하여 모바일 클라이언트 잠금기능을 해제하는 모바일 클라이언트 단말기의 보안인증시스템에 관한 것으로, 이러한 본 발명은 VPN관리장치(120a), 접속관리장치(120b), 보안관리장치(120c), 어플리케이션 관리장치(120d)로 구성되며, VPN관리장치(120a)는 사전에 정의된 소정의 보안코드를 탑재한 어플리케이션만 접속을 허용하며 소정의 보안코드를 갖지 않거나 보안코드가 상이한 어플리케이션은 VPN을 통해 내부망에 접속할 수 없게 된다. 또한 VPN관리장치 ON/OFF를 통하여 내부망과 인터넷을 편리하게 선택 사용할 수 있다. 그리고 접속관리장치(120b)는 단말에서 발생된 이벤트정보를 VPN Gateway를 경유하여 중앙제어시스템으로 전송하는 역할을 담당한다. 그리고 보안관리장치(120c)는 중앙제어시스템으로부터 관리자 인증코드를 수신하여 클라이언트 잠금기능을 해제하고 일정시간 단위로 갱신되는 암호키(mOTK, mobile OneTime Key)를 생성하며, 기업내 무선통신망의 사용가능한 AP SSID DB를 암호화하여 저장한다. AP 및 접속 무선통신망의 안전성 여부를 검증하는 기능을 수행하게 된다. 단말기 매체(카메라, MIC, 통신장치, I/O장치)는 중앙에서 부여한 권한에 의해서 사용이 제어된다.
Description
본 발명은 무선 네트워크에 연결된 모바일 클라이언트 단말기의 인증에 관한 것으로, 더욱 상세하게는 모바일 클라이언트 내 기업용 어플리케이션 프로그램을 메모리의 보안영역에서 관리하고 인증하며, 내부통신망 접속시 주기적으로 변경되는 암호화키를 생성하여 통신하고, 관리자 인증코드를 수신하여 모바일 클라이언트 잠금기능을 해제하는 모바일 클라이언트 단말기의 보안인증시스템에 관한 것이다.
스마트폰, PDA, 노트북 등 모바일 단말기는 3G, Wibro, WiFi 등 무선네트워크를 이용하여 TCP/IP, HTTP 그 외 다른 인터넷 프로토콜들을 사용하므로 유선보다 보안에 훨씬 취약하며 해킹 등의 위험에 상시 노출되어 있다. 일반적으로 스마트폰에는 도 1에 도시된 바와 같이, WiFi 기능이 내장되어 있어 무선AP(Access Point)의 SSID(Service Set IDentifier)를 이용하여 네트워크에 접속하며, 3G, 블루투스 등을 이용할 수 있다. 취약한 무선 네트워크를 안전하게 사용하기 위하여, WPA2(Wi-Fi Proteced Access 2) 등을 이용하여 암호화 통신을 수행하고, RADIUS(Remote Authentication Dial-In User Service) 인증 및 VPN통신으로 보다 안전한 통신환경을 구현하고 있다. 이러한 인증의 경우, 사전에 등록된 소정의 사용자 및 단말정보를 이용하여 인증을 수행하게 된다.
일반적 클라이언트의 경우 타인이 클라이언트 내부정보를 허가없이 보는 것을 방지하기 위하여 패스워드 기반 잠금기능을 제공하며, 일정 횟수 이상 패스워드 인증 실패시 잠금기능 또는 데이터 초기화를 하기도 한다. 스마트폰 관리시스템에서는 분실시 원격삭제기능과 단말기 관리기능 등을 제공하고, 스마트폰 내의 카메라 마이크, 통신장치 등을 제어할 수 있는 기능 등을 제공하여 보안기능을 강화하고 있다.
그러나 무선보안 취약점으로 인해 기업 내에서 스마트폰을 안심하고 사용하기가 쉽지 않다. 악성코드에 감염된 무선단말을 이용하여 기업 내부망에 접속하게 되면 내부망은 큰 혼란과 위험에 빠지게 되며, 기업 내 동일 SSID를 사칭하는 AP 피싱에 의해 접속ID나 패스워드 정보가 유출되면 현재까지 보안을 위해 투자한 비용과 설비가 무용지물이 될 뿐만 아니라 기업에 막대한 피해를 주게 된다.
따라서 종래기술에 따른 무선보안의 취약점을 제거하면서, 사용자가 보다 안전하고 편리한 보안접속인증 제공을 위한 해결방안이 시급한 실정이다.
본 발명은 상기와 같은 종래기술을 개선하기 위해 안출된 것으로서, 사용자가 클라이언트 단말기에 인증 정보(전자사원증, 지문인식, RFID, PKI, 비밀번호 등)를 입력하여 중앙제어시스템에 전송하고, 중앙제어시스템은 등록된 인증정보(단말기 고유번호 SN, 단말기 사용자 개인코드 HID(Human IDentifier), 사용기간, TimeStamp, 해쉬값 등)를 확인하여 단말인증 및 사용자인증을 수행하여 클라이언트 로컬인증을 완료하고, 내부통신망에서 사용하는 복수의 정보시스템 SSO 접속인증 서비스를 제공함으로써 보안성이 향상됨과 동시에 기업의 생산성을 제고하고자 하는 것을 목적으로 한다.
본 발명의 목적은 기존 VPN 고유기능에 어플리케이션 인증기능을 추가하여 무선 클라이언트 단말기에서 사용되는 어플리케이션 프로그램의 내부 통신망 사용을 엄격히 제한하여 악성코드가 내부망으로 전파되는 것을 방지하고 무선 클라이언트 단말기와 네트워크 장비를 상호 교차 인증함으로써, 동일 SSID(Service Set IDentifier)로 피싱하는 악의적 해킹행위를 원천 차단하여 내부정보가 유출되는 것을 미연에 방지하기 위한 것을 목적으로 한다.
또한 본 발명은 모바일 클라이언트 저장장치에 보안영역을 설정하여 무선 클라이언트 단말기 데이터를 안전하게 보관하게 되며 해커 또는 악성코드에게 데이터를 절취당하거나 단말기가 도난 당하더라도 데이터 분석을 불가능하게 하며, 원격관리 기능부여 시 스마트폰 배터리 소모량을 최소화하여 스마트폰 사용에 불편을 없애고 소기의 보안목적을 달성하는 것을 목적으로 한다.
상기의 목적을 달성하고, 상술한 종래기술의 문제점을 해결하기 위하여, 본 발명은 기존 VPN 기능을 강화한 VPN관리시스템(200)과, VPN관리시스템(200)을 통합관리하는 중앙제어시스템(400)과, 상기 VPN관리시스템(200)과 중앙제어시스템(400) 사이에 연결된 VPN Gateway(122)를 구비한 모바일 클라이어트 단말기의 보안인증시스템에 있어서,
상기 VPN관리시스템(200)은,
IPsec 또는 SSL VPN 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우, 자동으로 ON하여 접속하게 되고, VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 통과할 수 있게 하며, VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하고, Off시 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능한 VPN관리장치(120a)와;
상기 VPN관리장치(120a)에 전기적으로 연결되되, VPN관리장치(120a)로부터 모바일 클라이언트 단말기에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며, 3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일 서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제되는 접속관리장치(120b)와;
상기 접속관리장치(120b)에 전기적으로 연결되되, 모바일 클라이언트 단말기의 사번, 주민등록번호의 개인코드와 단말기 Serial Number의 고유번호로 구성된 단말정보와 IP통신을 위한 MAC 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스를 유지하고, 개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하고, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하는 보안관리장치(120c)와;
상기 보안관리장치(120c)에 전기적으로 연결되되, 일정한 규칙의 보안코드 탑재유무에 따라 어플리케이션 인증을 수행하게 되며, 인증된 어플리케이션만 VPN을 통하여 통신할 수 있도록 제어하는 기능이 있으며, 모바일 클라이언트 단말기의 메모리 일정영역을 AES, ARIA 등 블록암호알고리즘으로 암호화하고 파일이 보이지 않도록 보안영역을 구현하고, VPN 동작시 보안영역 설정을 일시 해제하는 기능을 제공하는 어플리케이션관리장치(120d)로 구성된다.
상기 VPN관리시스템(200)은,
IPsec 또는 SSL VPN 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우, 자동으로 ON하여 접속하게 되고, VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 통과할 수 있게 하며, VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하고, Off시 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능한 VPN관리장치(120a)와;
상기 VPN관리장치(120a)에 전기적으로 연결되되, VPN관리장치(120a)로부터 모바일 클라이언트 단말기에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며, 3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일 서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제되는 접속관리장치(120b)와;
상기 접속관리장치(120b)에 전기적으로 연결되되, 모바일 클라이언트 단말기의 사번, 주민등록번호의 개인코드와 단말기 Serial Number의 고유번호로 구성된 단말정보와 IP통신을 위한 MAC 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스를 유지하고, 개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하고, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하는 보안관리장치(120c)와;
상기 보안관리장치(120c)에 전기적으로 연결되되, 일정한 규칙의 보안코드 탑재유무에 따라 어플리케이션 인증을 수행하게 되며, 인증된 어플리케이션만 VPN을 통하여 통신할 수 있도록 제어하는 기능이 있으며, 모바일 클라이언트 단말기의 메모리 일정영역을 AES, ARIA 등 블록암호알고리즘으로 암호화하고 파일이 보이지 않도록 보안영역을 구현하고, VPN 동작시 보안영역 설정을 일시 해제하는 기능을 제공하는 어플리케이션관리장치(120d)로 구성된다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
본 발명에 따르면, 모바일 클라이언트 단말기의 보안인증시스템은 클라이언트 단말기에 인증 정보를 입력하여 중앙제어시스템에 전송하고, 상기 중앙제어시스템을 통해 인트라넷 및 상기 인트라넷에 연결된 복수의 서버에 접속 인증함으로써, 보다 신속하고 효율적인 접속 인증 서비스를 제공하고, 이로 인해 기업의 생산성을 향상시킬 수 있다.
본 발명에 따르면, 모바일 클라이언트 단말기의 보안인증시스템은 노트북, PC와 같이 상시 켜져 있지않는 단말기의 경우 상기 중앙 제어 시스템에서 상기 인트라넷 및 상기 인트라넷에 연결된 상기 복수의 서버에 접속 인증된 경우, 운영 체계의 부팅 동작을 수행하게 함으로써, 기업 내에 정보 보안 사고를 미연에 방지할 수 있다.
이상과 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
도 1은 종래 기술에 따른 무선통신시스템의 암호화 통신 및 인증을 설명하기 위하여 도시한 도면이다.
도 2는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템을 개략적으로 나타낸 도면이다.
도 3은 도 2의 중앙제어시스템에 VPN관리시스템이 연결된 상태를 개략적으로 나타낸 도면이다.
도 4는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법의 제1실시예를 나타낸 도면이다.
도 5는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법의 제2실시예를 나타낸 도면이다.
도 6은 도 2의 중앙제어시스템의 내부 모듈을 나타낸 도면이다.
도 7은 도 2의 스마트폰의 메모리 구조를 나타낸 도면이다.
도 8은 도 2의 중앙제어시스템의 데이터베이스를 나타낸 도면이다.
도 9는 본 발명에 적용되는 권한관리 테이블의 실시예를 나타낸 도면이다.
도 10은 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법에서의 모바일 클라이언트 단말기와 중앙제어시스템 간의 동작방법을 나타낸 도면이다.
도 2는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템을 개략적으로 나타낸 도면이다.
도 3은 도 2의 중앙제어시스템에 VPN관리시스템이 연결된 상태를 개략적으로 나타낸 도면이다.
도 4는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법의 제1실시예를 나타낸 도면이다.
도 5는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법의 제2실시예를 나타낸 도면이다.
도 6은 도 2의 중앙제어시스템의 내부 모듈을 나타낸 도면이다.
도 7은 도 2의 스마트폰의 메모리 구조를 나타낸 도면이다.
도 8은 도 2의 중앙제어시스템의 데이터베이스를 나타낸 도면이다.
도 9는 본 발명에 적용되는 권한관리 테이블의 실시예를 나타낸 도면이다.
도 10은 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 동작방법에서의 모바일 클라이언트 단말기와 중앙제어시스템 간의 동작방법을 나타낸 도면이다.
이하, 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템의 바람직한 실시 예를 설명하면 다음과 같다. 하기에서 본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
도 2는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템을 개략적으로 나타낸 도면이고, 도 3은 도 2의 중앙제어시스템에 VPN관리시스템이 연결된 상태를 개략적으로 나타낸 도면이며, 도 6은 도 2의 중앙제어시스템의 내부 모듈을 나타낸 도면이고, 도 7은 도 2의 스마트폰의 메모리 구조를 나타낸 도면이다.
도 2, 도 3, 도 6 및 도 7에 도시된 바와 같이 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템(100)은,
내부 무선통신망은 WiFi, 3G, 블루투스 등을 통하여 TCP/IP (Transmission Control Protocol/Internet Protocol) 또는 HTTP(HypertexT Transfer Protocol) 등의 인터넷 프로토콜 등으로 통신을 수행할 수 있고, 근거리 통신망 또는 전용회선망 등의 통신망(107)에 하나 이상의 모바일 서버(105) 및 하나 이상의 클라이언트 단말기(101)가 연결될 수 있다.
상기 모바일 서버(105)에 접속하기 위하여 클라이언트 단말기(101)는 중앙제어시스템(400)에 인증 정보를 전송하여 접속 인증을 수행한다.
도 2는 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템을 개략적으로 나타낸 도면이고, 도 3은 도 2의 중앙제어시스템에 VPN관리시스템이 연결된 상태를 개략적으로 나타낸 도면이며, 도 6은 도 2의 중앙제어시스템의 내부 모듈을 나타낸 도면이고, 도 7은 도 2의 스마트폰의 메모리 구조를 나타낸 도면이다.
도 2, 도 3, 도 6 및 도 7에 도시된 바와 같이 본 발명에 따른 모바일 클라이언트 단말기의 보안인증시스템(100)은,
내부 무선통신망은 WiFi, 3G, 블루투스 등을 통하여 TCP/IP (Transmission Control Protocol/Internet Protocol) 또는 HTTP(HypertexT Transfer Protocol) 등의 인터넷 프로토콜 등으로 통신을 수행할 수 있고, 근거리 통신망 또는 전용회선망 등의 통신망(107)에 하나 이상의 모바일 서버(105) 및 하나 이상의 클라이언트 단말기(101)가 연결될 수 있다.
상기 모바일 서버(105)에 접속하기 위하여 클라이언트 단말기(101)는 중앙제어시스템(400)에 인증 정보를 전송하여 접속 인증을 수행한다.
삭제
일예로, 클라이언트 단말기(101)는 모바일 서버(105)에 접속하기 위하여, 중앙제어시스템(400)에 인증 정보를 전송한다. 이에, 중앙제어시스템(400)은 사전에 사용자로부터 입력된 소정의 사용자 정보를 기록한 데이터베이스(410)를 유지하고, 인증 정보의 정당성 여부를 판단한다.
이를 위하여 인증 정보는 mOTK(mobile One Time Key), 공개키 기반 구조(Public Key Infrastructure), smart 카드, RFID 태그정보, 또는 생체 인식 정보 중 어느 하나 이상일 수 있다.
클라이언트에서 인증 정보가 생성되면 VPN을 기동하고 생성된 정보를 전송하며 VPNGateway(122)에서는 전송된 정보와 상기 사용자 정보의 대응 여부를 판단하고 VPN 접속여부를 결정하여 해당정보를 중앙제어시스템(400)에 전송하게 된다.
이를 위하여 인증 정보는 mOTK(mobile One Time Key), 공개키 기반 구조(Public Key Infrastructure), smart 카드, RFID 태그정보, 또는 생체 인식 정보 중 어느 하나 이상일 수 있다.
클라이언트에서 인증 정보가 생성되면 VPN을 기동하고 생성된 정보를 전송하며 VPNGateway(122)에서는 전송된 정보와 상기 사용자 정보의 대응 여부를 판단하고 VPN 접속여부를 결정하여 해당정보를 중앙제어시스템(400)에 전송하게 된다.
일예로, 상기 인증 정보가 공개키 기반 구조를 갖는 경우, 클라이언트 단말기(101)는 공개키를 통해 인증 정보를 암호화하여 중앙제어시스템(400)으로 전송한다.
이때, 상기 중앙제어시스템(400)의 데이터베이스에는 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 공개키에 대응하는 개인키가 기록되어 있다.
그리고 상기 중앙제어시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스를 참조하여 상기 클라이언트 단말기에 저장된 상기 공개키에 대응하는 개인키를 이용하여 상기 암호화된 인증 정보를 복호화하며, 상기 인증 정보의 정당성을 검증한다.
이때, 상기 중앙제어시스템(400)의 데이터베이스에는 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 공개키에 대응하는 개인키가 기록되어 있다.
그리고 상기 중앙제어시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스를 참조하여 상기 클라이언트 단말기에 저장된 상기 공개키에 대응하는 개인키를 이용하여 상기 암호화된 인증 정보를 복호화하며, 상기 인증 정보의 정당성을 검증한다.
다른 일예로, 상기 인증 정보가 클라이언트 단말기(101)의 사용자의 스마트카드인 경우, 중앙제어시스템(400)은 상기 인증 정보 및 사용자 정보가 일치하는지를 확인함으로써, 클라이언트 단말기(101)의 접속을 인증할 수 있다.
또 다른 일예로, 상기 인증 정보가 소정의 생체 인식 모듈을 통해 수집된 생체 인식 정보인 경우, 중앙제어시스템(400)은 데이터베이스에 기록된 생체 인식 정보와 클라이언트 단말기(101)로부터 입력된 생체 인식 정보의 대응 여부 확인을 통해 클라이언트 단말기(101)의 접속을 인증할 수 있다.
또 다른 일예로, 상기 인증 정보가 소정의 생체 인식 모듈을 통해 수집된 생체 인식 정보인 경우, 중앙제어시스템(400)은 데이터베이스에 기록된 생체 인식 정보와 클라이언트 단말기(101)로부터 입력된 생체 인식 정보의 대응 여부 확인을 통해 클라이언트 단말기(101)의 접속을 인증할 수 있다.
클라이언트 단말기(101)로부터 수신된 상기 인증 정보가 정당한 경우, 중앙제어시스템(400)은 상기 인증 정보를 통해 상기 무선통신망 접속 인증을 수행하고, 상기 무선통신망에 접속 인증된 경우, 상기 무선통신망과 연결된 인트라넷의 모바일 서버(105)에 접속 인증을 수행한다.
이러한 일련의 인증 과정을 통해, 클라이언트 단말기(101)는 인트라넷을 통해 모바일 서버와 정보 또는 자원을 이용한다.
이러한 일련의 인증 과정을 통해, 클라이언트 단말기(101)는 인트라넷을 통해 모바일 서버와 정보 또는 자원을 이용한다.
그리고, 중앙제어시스템(400)에는 VPN관리시스템(120)이 연결되어 있는바, 상기 VPN관리시스템(120)은 기존 VPN 기능을 강화한 VPN관리장치(120a)와, 단말기에서 발생한 정보를 전송하는 접속관리장치(120b)와, 인증기능과 제어기능을 담당하는 보안관리장치(120c)와, 어플리케이션을 관리를 담당하는 어플리케이션 관리장치(120d)로 구성된다.
여기서, 상기 VPN관리장치(120a)는 IPsec(Internet Protocol security protocol) 또는 SSL VPN(Secure Sockets Layer VPN) 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우 자동으로 ON하여 접속하게 된다. VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 VPN관리장치를 통과할 수 있게 된다. VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하게 된다. 상기 VPN관리장치를 Off함으로써 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능하게 된다.
상기 접속관리장치(120b)는 클라이언트에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며, 3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일 서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제된다.
또한, 보안관리장치(120c)는 사번, 주민등록번호와 같은 개인코드와 단말기 Serial Number와 같은 고유번호로 구성된 단말정보와 IP통신을 위한 MAC(Media Access Control) 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스(410)를 유지하고, 도 8에 도시된 바와 같이 개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하며, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하게 된다.
mOTK 생성과정에서 패스워드가 일치하는 경우, VPN관리장치(120a)를 기동하여 생성된 mOTK 정보를 VPN Gateway를 통해 중앙제어시스템(400)으로 전송하고 중앙제어시스템에서는 전송된 정보와 상기 사용자 정보의 대응 여부를 판단하고, 상기 인증정보의 정당성 여부를 체크하며, 클라이언트에서는 전송받은 인증정보를 이용하여, 필수 프로그램 설치여부와 프로그램 속성 확인 및 개인에게 부여된 권한 테이블을 도 9에 도시된 바와 같이 확인하고, WiFi, Bluetooth, Wibro, Camera, Mic 및 기타 입출력장치 사용권한을 클라이언트에 부여하게된다.
출력장치와 연결되어 관련내용을 출력하는 경우 사용자, 시간, 출력위치, 출력물 제목 및 내용 일부를 로그로 저장 및 전송하는 기능을 갖고 있으며, 전송 실패시 자동저장 한 후 전송하게 된다.
여기서, 상기 VPN관리장치(120a)는 IPsec(Internet Protocol security protocol) 또는 SSL VPN(Secure Sockets Layer VPN) 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우 자동으로 ON하여 접속하게 된다. VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 VPN관리장치를 통과할 수 있게 된다. VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하게 된다. 상기 VPN관리장치를 Off함으로써 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능하게 된다.
상기 접속관리장치(120b)는 클라이언트에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며, 3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일 서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제된다.
또한, 보안관리장치(120c)는 사번, 주민등록번호와 같은 개인코드와 단말기 Serial Number와 같은 고유번호로 구성된 단말정보와 IP통신을 위한 MAC(Media Access Control) 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스(410)를 유지하고, 도 8에 도시된 바와 같이 개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하며, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하게 된다.
mOTK 생성과정에서 패스워드가 일치하는 경우, VPN관리장치(120a)를 기동하여 생성된 mOTK 정보를 VPN Gateway를 통해 중앙제어시스템(400)으로 전송하고 중앙제어시스템에서는 전송된 정보와 상기 사용자 정보의 대응 여부를 판단하고, 상기 인증정보의 정당성 여부를 체크하며, 클라이언트에서는 전송받은 인증정보를 이용하여, 필수 프로그램 설치여부와 프로그램 속성 확인 및 개인에게 부여된 권한 테이블을 도 9에 도시된 바와 같이 확인하고, WiFi, Bluetooth, Wibro, Camera, Mic 및 기타 입출력장치 사용권한을 클라이언트에 부여하게된다.
출력장치와 연결되어 관련내용을 출력하는 경우 사용자, 시간, 출력위치, 출력물 제목 및 내용 일부를 로그로 저장 및 전송하는 기능을 갖고 있으며, 전송 실패시 자동저장 한 후 전송하게 된다.
삭제
일예로, 상기 인증정보가 mOTK 구조를 갖는 경우, 클라이언트 단말기(101)는 다음과 같은 방식으로 인증정보를 생성한다.
생성방법 : mOTK = hash(개인코드 + 단말코드 + MAC + T/S + Salt)
* 개인코드(사번, 주번, ID 등으로 생성시 입력 값임)
* 단말코드(Serial Number 등)
* MAC 어드레스
* T/S (Time Stamp, 1~2시간 주기로 자동 생성함)
주기적으로 단말기에서 생성되는 mOTK는 활성화된 VPN관리장치를 통해 중앙 제어 시스템(400)으로 전송한다.
스마트폰 등 이동단말기가 잠금기능이 해제되어 3G 또는 내부 무선통신망에 접속하는 경우 분실여부를 체크하게 되며, 잠금기능용 패스워드가 지정된 횟수 이상 틀리게 되면 무선단말 내에 설치되어 있는 보안관리장치(120c)가 분실여부를 체크하여 중앙제어시스템(400)으로부터 분실정보를 얻게 된다. 분실된 단말기로 확인되면 소정의 절차에 의해 저장된 데이터를 처리하게 된다.
모바일 클라이언트가 정해진 횟수를 초과하여 영구 잠금설정이 된 경우 사용자가 신고를 하고, 소정의 절차를 거쳐 관리자가 잠금기능 해제용 인증코드를 전송하면 클라이언트는 이를 수신함으로써 잠금기능이 해제된다.
한편, 도 7에 도시된 바와 같이, 스마트폰의 메모리 구조는 CPU라 불리는 프로세서(510)와, 메모리의 읽기 쓰기가 가능한 램(RAM : Random Access Memory, 520)과, 읽기 영역으로만 쓰이는 롬(ROM : Read Only Memory 530)과, 메모리 카드를 삽입하여 대용량 저장장치로 사용할 수 있는 대용량기억장치(540)로 구성된다.
본 발명의 일례에 따르면, 어플리케이션 관리장치(120d)에 의하여 램(520)의 일정영역을 암호화 하여 스텔스 속성을 부여하고, VPN 동작 시 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 상기 보안영역에 저장하고 저장된 데이터를 호출하여 사용함으로써 악성코드 및 분실 및 해킹으로 인한 기업 내부 정보 유출을 방지 할 수 있다.
여기서, 램(520)은 내장메모리이고, 대용량기억장치(540)는 외장메모리이다.
상기 램(520)과 대용량기억장치(540)의 일정공간을 보안영역(521,541)으로 설정하고 할당된 메모리공간을 하나의 보안파일로 생성한다. 보안파일은 식별 및 인증을 통해서 마운트되어 윈도우 탐색기에 폴더 형식으로 나타나며, 마운트된 보안영역은 일반 폴더와 동일하게 어플리케이션에서 접근이 가능하다. 또한 보안영역에 저장된 파일은 AES, ARIA 등 블록암호 알고리즘으로 암호화하여 보이지 않도록 언마운트 되어 접근이 불가능하게 된다. 식별 및 인증하는 방법의 한 예로서 VPN 동작하는 경우 또는 사전에 정의된 업무를 하는 경우가 있으며, 식별 및 인증을 통해 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 보안영역에 저장하게 된다. 어플리케이션 및 기업용 데이터는 보안영역에 자동 저장되게 할 수 있다.
클라이언트 내 어플리케이션을 실행하여 기업 내 정보시스템(105)에 접속하려고 할 때 미동작 중인 VPN을 기동하고 음성통신시 VPN 기능을 자동으로 바이패스 할수 있게 보안인증시스템이 구성된다.
상기 보안인증시스템을 Off하게 되면 기업 내 정보통신망이 차단되고 공중망으로 접속할 수 있으며 이 때 보안영역(521,541)은 자동으로 사라지게 된다.
상기와 같이 구성된 모바일 클라이언트 단말기의 보안인증시스템의 동작을 도 4 내지 도 5를 참조하면,
모바일 클라이언트 단말기가 WiFi에서 접속하는 경우, 모바일 클라이언트 단말기는 무선 AP를 경유하여 중앙제어시스템에 인증 정보를 전송하고, 중앙제어시스템은 인증 정보의 정당성을 판단 후 인증을 수행한다.
그리고, 중앙제어시스템은 인증 성공 후, VPN 통신을 위하여 VPN Gateway로 아이디, 패스워드 정보를 보낸다.
그리고, VPN Gateway는 해당정보를 중앙제어시스템에 질의한다. 정당한 아이디, 패스워드로 인증이 수행된 후, 모바일 클라이언트 단말기와 VPN Gateway간의 암호화 터널링이 생성된다. 이때, 암호화 알고리즘은 ARIA, AES등을 활용할 수 있다. VPN 터널링이 생성된 후 모바일 클라이언트 단말기는 접속되었음을 관리장치에 알리고, 내부 업무 사용을 위하여 모바일 서버로 접속하여 안전한 통신을 보장받는다.
본 발명의 일례로 3G에서 접속한 경우, 통신사와의 연결요청 및 승인 이후 WiFi의 경우와 동일한 보안인증 흐름을 유지하여 기업 내부 업무를 수행할 수 있다.
여기서, 상기 중앙제어시스템(400)의 데이터베이스(410)에는, 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 mOTK에 대응하는 MAC정보(411b), 단말코드(411c), 개인코드(411d)가 기록되어 있는바, 중앙제어시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스(410)와 현재 시간정보를 기준으로 mOTK를 생성하여 비교함으로써 상기 인증 정보의 정당성을 검증한다.
상기 모바일 클라이언트 단말기와 중앙제어시스템 간의 동작방법을 도 10를 참조하여 좀 더 살펴보면,
모바일 클라이언트 단말기(101)에 전원이 인가(power on)되는 경우, 사용자는 모바일 클라이언트 단말기(101) 상에 인증 정보를 입력함으로써 모바일 클라이언트 단말기(101)에 대한 로컬 인증을 수행할 수 있다.
이러한 로컬 인증은 PC, 노트북과 같은 모바일 클라이언트 단말기(101)에 설치된 에이전트 모듈에서 수행될 수 있고, 이러한 에이전트 모듈은 모바일 클라이언트 단말기(101)에 설치된 운영 체계 기동(loading) 이전에 동작하여 사용자에 대한 로컬 인증을 수행하도록 설계된다.
한편, 도 7에 도시된 바와 같이, 스마트폰의 메모리 구조는 CPU라 불리는 프로세서(510)와, 메모리의 읽기 쓰기가 가능한 램(RAM : Random Access Memory, 520)과, 읽기 영역으로만 쓰이는 롬(ROM : Read Only Memory 530)과, 메모리 카드를 삽입하여 대용량 저장장치로 사용할 수 있는 대용량기억장치(540)로 구성된다.
본 발명의 일례에 따르면, 어플리케이션 관리장치(120d)에 의하여 램(520)의 일정영역을 암호화 하여 스텔스 속성을 부여하고, VPN 동작 시 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 상기 보안영역에 저장하고 저장된 데이터를 호출하여 사용함으로써 악성코드 및 분실 및 해킹으로 인한 기업 내부 정보 유출을 방지 할 수 있다.
여기서, 램(520)은 내장메모리이고, 대용량기억장치(540)는 외장메모리이다.
상기 램(520)과 대용량기억장치(540)의 일정공간을 보안영역(521,541)으로 설정하고 할당된 메모리공간을 하나의 보안파일로 생성한다. 보안파일은 식별 및 인증을 통해서 마운트되어 윈도우 탐색기에 폴더 형식으로 나타나며, 마운트된 보안영역은 일반 폴더와 동일하게 어플리케이션에서 접근이 가능하다. 또한 보안영역에 저장된 파일은 AES, ARIA 등 블록암호 알고리즘으로 암호화하여 보이지 않도록 언마운트 되어 접근이 불가능하게 된다. 식별 및 인증하는 방법의 한 예로서 VPN 동작하는 경우 또는 사전에 정의된 업무를 하는 경우가 있으며, 식별 및 인증을 통해 스텔스 기능을 일시 해제하여 업무용으로 전송된 데이터를 보안영역에 저장하게 된다. 어플리케이션 및 기업용 데이터는 보안영역에 자동 저장되게 할 수 있다.
클라이언트 내 어플리케이션을 실행하여 기업 내 정보시스템(105)에 접속하려고 할 때 미동작 중인 VPN을 기동하고 음성통신시 VPN 기능을 자동으로 바이패스 할수 있게 보안인증시스템이 구성된다.
상기 보안인증시스템을 Off하게 되면 기업 내 정보통신망이 차단되고 공중망으로 접속할 수 있으며 이 때 보안영역(521,541)은 자동으로 사라지게 된다.
상기와 같이 구성된 모바일 클라이언트 단말기의 보안인증시스템의 동작을 도 4 내지 도 5를 참조하면,
모바일 클라이언트 단말기가 WiFi에서 접속하는 경우, 모바일 클라이언트 단말기는 무선 AP를 경유하여 중앙제어시스템에 인증 정보를 전송하고, 중앙제어시스템은 인증 정보의 정당성을 판단 후 인증을 수행한다.
그리고, 중앙제어시스템은 인증 성공 후, VPN 통신을 위하여 VPN Gateway로 아이디, 패스워드 정보를 보낸다.
그리고, VPN Gateway는 해당정보를 중앙제어시스템에 질의한다. 정당한 아이디, 패스워드로 인증이 수행된 후, 모바일 클라이언트 단말기와 VPN Gateway간의 암호화 터널링이 생성된다. 이때, 암호화 알고리즘은 ARIA, AES등을 활용할 수 있다. VPN 터널링이 생성된 후 모바일 클라이언트 단말기는 접속되었음을 관리장치에 알리고, 내부 업무 사용을 위하여 모바일 서버로 접속하여 안전한 통신을 보장받는다.
본 발명의 일례로 3G에서 접속한 경우, 통신사와의 연결요청 및 승인 이후 WiFi의 경우와 동일한 보안인증 흐름을 유지하여 기업 내부 업무를 수행할 수 있다.
여기서, 상기 중앙제어시스템(400)의 데이터베이스(410)에는, 상기 사용자 정보로서 클라이언트 단말기(101)에 저장된 mOTK에 대응하는 MAC정보(411b), 단말코드(411c), 개인코드(411d)가 기록되어 있는바, 중앙제어시스템(400)은 암호화된 인증 정보를 클라이언트 단말기(101)로부터 수신하고, 상기 데이터베이스(410)와 현재 시간정보를 기준으로 mOTK를 생성하여 비교함으로써 상기 인증 정보의 정당성을 검증한다.
상기 모바일 클라이언트 단말기와 중앙제어시스템 간의 동작방법을 도 10를 참조하여 좀 더 살펴보면,
모바일 클라이언트 단말기(101)에 전원이 인가(power on)되는 경우, 사용자는 모바일 클라이언트 단말기(101) 상에 인증 정보를 입력함으로써 모바일 클라이언트 단말기(101)에 대한 로컬 인증을 수행할 수 있다.
이러한 로컬 인증은 PC, 노트북과 같은 모바일 클라이언트 단말기(101)에 설치된 에이전트 모듈에서 수행될 수 있고, 이러한 에이전트 모듈은 모바일 클라이언트 단말기(101)에 설치된 운영 체계 기동(loading) 이전에 동작하여 사용자에 대한 로컬 인증을 수행하도록 설계된다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
상기 로컬 인증을 수행한 모바일 클라이언트 단말기(101)의 접속관리장치(120b)는 중앙제어시스템(400)으로 상기 인증 정보를 전송하여 상술한 바와 같이 인트라넷 및 서버(105)에 대한 접속 인증을 수행한다.
상기 인증 정보의 정당성을 검토한 중앙제어시스템(400)은 모바일 클라이언트 단말기(101)로 소정의 접속 인증 결과 데이터를 전송하고, 모바일 클라이언트 단말기(101)의 보안관리장치(120c)는 상기 접속 인증 결과 데이터에 따라 운영 체계가 로딩되도록 제어한다. 상술한 바와 같이, 중앙제어시스템(400)으로 인증 정보를 전송하고 중앙제어시스템(400)의 접속 인증 결과 데이터를 수신하기 위해, 모바일 클라이언트 단말기(101)는 중앙제어시스템(400)과 통신을 수행한다.
상기 인증 정보의 정당성을 검토한 중앙제어시스템(400)은 모바일 클라이언트 단말기(101)로 소정의 접속 인증 결과 데이터를 전송하고, 모바일 클라이언트 단말기(101)의 보안관리장치(120c)는 상기 접속 인증 결과 데이터에 따라 운영 체계가 로딩되도록 제어한다. 상술한 바와 같이, 중앙제어시스템(400)으로 인증 정보를 전송하고 중앙제어시스템(400)의 접속 인증 결과 데이터를 수신하기 위해, 모바일 클라이언트 단말기(101)는 중앙제어시스템(400)과 통신을 수행한다.
이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다.
지금까지 본 발명에 따른 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서는 여러 가지 변형이 가능함은 물론이다.
그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
100: 모바일 클라이언트 단말기의 보안인증시스템
101: 모바일 클라이언트 단말기 102: 모바일 클라이언트(내부망)
103: 모바일 클라이언트(외부망) 105a: 모바일 서버
105b: 내부 정보시스템 107: 내부 무선통신망
108: 무선 Access Point 109: 이동통신망 기지국
120 : VPN관리시스템 121a: VPN관리장치
121b: 접속관리장치 121c: 보안관리장치
121d: 어플리케이션관리장치 122: VPN Gateway
400: 중앙제어시스템 402: 인증정보관리부
403: 사용자 인증 제어부 404: 전송부
410: 데이터베이스 411b: MAC 정보
411c: 단말기 코드(Serial Number) 411d: 개인코드(사번)
411g: 해쉬값 510: 모바일 클라이언트 프로세서
520: 램 521: 내장메모리 보안영역
530: 롬 540: 대용량기억장치
541: 외장메모리 보안영역 550: 입출력 인터페이스
560: 네트워크 인터페이스
101: 모바일 클라이언트 단말기 102: 모바일 클라이언트(내부망)
103: 모바일 클라이언트(외부망) 105a: 모바일 서버
105b: 내부 정보시스템 107: 내부 무선통신망
108: 무선 Access Point 109: 이동통신망 기지국
120 : VPN관리시스템 121a: VPN관리장치
121b: 접속관리장치 121c: 보안관리장치
121d: 어플리케이션관리장치 122: VPN Gateway
400: 중앙제어시스템 402: 인증정보관리부
403: 사용자 인증 제어부 404: 전송부
410: 데이터베이스 411b: MAC 정보
411c: 단말기 코드(Serial Number) 411d: 개인코드(사번)
411g: 해쉬값 510: 모바일 클라이언트 프로세서
520: 램 521: 내장메모리 보안영역
530: 롬 540: 대용량기억장치
541: 외장메모리 보안영역 550: 입출력 인터페이스
560: 네트워크 인터페이스
Claims (12)
- 기존 VPN 기능을 강화한 VPN관리시스템(200)과, VPN관리시스템(200)을 통합관리하는 중앙제어시스템(400)과, 상기 VPN관리시스템(200)과 중앙제어시스템(400) 사이에 연결된 VPN Gateway(122)를 구비한 모바일 클라이어트 단말기의 보안인증시스템에 있어서,
상기 VPN관리시스템(200)은,
IPsec 또는 SSL VPN 통신방식으로 VPN Gateway(122)와 암호화 통신을 수행하지만, 음성통신시 VPN 암호화 기능을 자동으로 바이패스 하도록 옵션 선택기능을 제공하며, On/Off 기능을 UI환경에서 제공하며, 내부 통신망에 접속하는 경우, 자동으로 ON하여 접속하게 되고, VPN ON인 경우 내부 규약에 의해 사전에 정의된 보안코드를 탑재하여 인증된 어플리케이션만 통과할 수 있게 하며, VPN기능이 미동작 중일 때 보안코드가 탑재된 어플리케이션은 VPN 모듈에 소정의 정의된 코드를 통하여 VPN을 구동한 후에 기업 내부통신망과 업무시스템을 접속하고, Off시 기업 내부 정보통신망 접속이 차단되고 외부 공중망을 이용한 인터넷 접속이 가능한 VPN관리장치(120a)와;
상기 VPN관리장치(120a)에 전기적으로 연결되되, VPN관리장치(120a)로부터 모바일 클라이언트 단말기에서 발생한 정보를 중앙으로 전송하는 기능과 단말기 상태점검 기능을 담당하며, 3G, Wibro, WiFi등 무선망에서 기업 내부 통신망에 있는 모바일 서버에 접속할 경우, 또는 패스워드를 일정회수 이상 실패할 경우, 클라이언트에서 중앙제어시스템으로 단말기 분실상태를 질의하는 기능과, 단말기 비밀번호를 일정회수 이상 실패시 영구 잠금기능을 제공하며, 관리자가 전송한 잠금기능 해제용 인증코드를 수신함으로써 잠금기능이 해제되는 접속관리장치(120b)와;
상기 접속관리장치(120b)에 전기적으로 연결되되, 모바일 클라이언트 단말기의 사번, 주민등록번호의 개인코드와 단말기 Serial Number의 고유번호로 구성된 단말정보와 IP통신을 위한 MAC 등 사용자에 대한 셋 이상의 정보를 기록한 데이터베이스를 유지하고, 개인코드(411d)와 단말기 고유번호(411c), MAC(411b)과 일정 주기단위로 변경되는 TimeStamp(411f)와 일정크기로 할당된 Salt값을 부가하여 데이터를 추출하고, 추출된 데이터를 Hash함수를 이용하여 암호화하는 모바일 사용자 인증정보(mOTK, mobile One Time Key)를 생성 또는 갱신하는 보안관리장치(120c)와;
상기 보안관리장치(120c)에 전기적으로 연결되되, 일정한 규칙의 보안코드 탑재유무에 따라 어플리케이션 인증을 수행하게 되며, 인증된 어플리케이션만 VPN을 통하여 통신할 수 있도록 제어하는 기능이 있으며, 모바일 클라이언트 단말기의 메모리 일정영역을 AES, ARIA 등 블록암호알고리즘으로 암호화하고 파일이 보이지 않도록 보안영역을 구현하고, VPN 동작시 보안영역 설정을 일시 해제하는 기능을 제공하는 어플리케이션관리장치(120d)로 구성된 것을 특징으로 하는 모바일 클라이언트 단말기의 보안인증시스템.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100047764A KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100047764A KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110128371A KR20110128371A (ko) | 2011-11-30 |
| KR101133210B1 true KR101133210B1 (ko) | 2012-04-05 |
Family
ID=45396557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100047764A KR101133210B1 (ko) | 2010-05-22 | 2010-05-22 | 모바일 클라이언트 단말기의 보안인증시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101133210B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101991340B1 (ko) * | 2017-12-12 | 2019-06-20 | 에스케이브로드밴드주식회사 | 보안 관리를 위한 장치 및 방법 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101650478B1 (ko) * | 2015-07-02 | 2016-08-23 | 주식회사 로그에너지 | 네트워크 기반의 중앙 설비 관리 장치 및 상기 네트워크 기반의 중앙 설비 관리 장치의 사용자 인증 방법 |
| KR101659847B1 (ko) * | 2015-07-14 | 2016-09-26 | (주)케이스마텍 | 모바일 단말을 이용한 2채널 사용자 인증 방법 |
| KR102241021B1 (ko) * | 2019-02-20 | 2021-04-16 | 주식회사 키메디 | 의료용 차트 소프트웨어와 웹사이트 사이의 sso 인증 서비스 시스템 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030075224A (ko) * | 2002-03-16 | 2003-09-26 | 삼성전자주식회사 | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 |
| KR20050106979A (ko) * | 2004-05-07 | 2005-11-11 | 주식회사 케이티프리텔 | 무선랜을 이용한 무선인터넷서비스 제공 방법 및 장치 |
| KR20070022268A (ko) * | 2004-05-17 | 2007-02-26 | 톰슨 라이센싱 | Vpn 클라이언트 없이 휴대용 디바이스를 위한 가상 개인네트워크로의 액세스를 관리하는 방법 및 장치 |
-
2010
- 2010-05-22 KR KR1020100047764A patent/KR101133210B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030075224A (ko) * | 2002-03-16 | 2003-09-26 | 삼성전자주식회사 | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 |
| KR20050106979A (ko) * | 2004-05-07 | 2005-11-11 | 주식회사 케이티프리텔 | 무선랜을 이용한 무선인터넷서비스 제공 방법 및 장치 |
| KR20070022268A (ko) * | 2004-05-17 | 2007-02-26 | 톰슨 라이센싱 | Vpn 클라이언트 없이 휴대용 디바이스를 위한 가상 개인네트워크로의 액세스를 관리하는 방법 및 장치 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101991340B1 (ko) * | 2017-12-12 | 2019-06-20 | 에스케이브로드밴드주식회사 | 보안 관리를 위한 장치 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110128371A (ko) | 2011-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9769655B2 (en) | Sharing security keys with headless devices | |
| US8595810B1 (en) | Method for automatically updating application access security | |
| CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
| EP2731040B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| EP2780857B1 (en) | Method of securing a computing device | |
| US8839354B2 (en) | Mobile enterprise server and client device interaction | |
| US20100266132A1 (en) | Service-based key escrow and security for device data | |
| CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| JP6633228B2 (ja) | 暗号を伴うデータセキュリティシステム | |
| US20060075230A1 (en) | Apparatus and method for authenticating access to a network resource using multiple shared devices | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN109756446B (zh) | 一种车载设备的访问方法和系统 | |
| KR20220086580A (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| EP3283964B1 (en) | Method of operating a computing device, computing device and computer program | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| WO2013007525A1 (en) | Method and system to share or storage personal data without loss of privacy | |
| US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
| JP4833745B2 (ja) | センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード | |
| Kravets et al. | Mobile security solution for enterprise network | |
| KR101441581B1 (ko) | 클라우드 컴퓨팅 환경을 위한 다계층 보안 장치 및 다계층 보안 방법 | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| KR101281099B1 (ko) | 스마트폰 분실 및 도난의 피해 방지를 위한 인증방법 | |
| US20180357411A1 (en) | Authentication Of A Device | |
| AU2022291428A1 (en) | A Process and Detachable Device for Using and Managing Encryption Keys | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20150107 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20160122 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20170113 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20180108 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20190114 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20200115 Year of fee payment: 9 |