KR101694784B1 - Management method of data access, Computer program for the same, and Recording medium storing computer program for the same - Google Patents

Management method of data access, Computer program for the same, and Recording medium storing computer program for the same Download PDF

Info

Publication number
KR101694784B1
KR101694784B1 KR1020140195539A KR20140195539A KR101694784B1 KR 101694784 B1 KR101694784 B1 KR 101694784B1 KR 1020140195539 A KR1020140195539 A KR 1020140195539A KR 20140195539 A KR20140195539 A KR 20140195539A KR 101694784 B1 KR101694784 B1 KR 101694784B1
Authority
KR
South Korea
Prior art keywords
session management
user client
server
unique address
client
Prior art date
Application number
KR1020140195539A
Other languages
Korean (ko)
Other versions
KR20160081555A (en
Inventor
권오승
김상욱
Original Assignee
주식회사 파수닷컴
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파수닷컴 filed Critical 주식회사 파수닷컴
Priority to KR1020140195539A priority Critical patent/KR101694784B1/en
Priority to PCT/KR2015/013881 priority patent/WO2016108478A1/en
Publication of KR20160081555A publication Critical patent/KR20160081555A/en
Application granted granted Critical
Publication of KR101694784B1 publication Critical patent/KR101694784B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 데이터 접근 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체에 관한 것이다.
본 발명의 일측면에 따르면, 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트를 이용하여 실행되는 데이터 접근 관리 방법으로서, 1) 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하는 단계; 2) 상기 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송하는 단계- 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-; 3) 상기 사용자 클라이언트가 DB 서버에 접속 요청 정보를 전송하는 단계- 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함됨-; 4) 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청하는 단계; 5) 상기 세션관리 서버가 상기 확인 요청된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공하는 단계; 및 6) 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용하는 단계;를 포함하여 구성된 데이터 접근 관리 방법이 개시된다.The present invention relates to a data access management method, a computer program therefor, and a recording medium therefor.
According to an aspect of the present invention, there is provided a data access management method executed using a user client installed with a security program having a user rights policy management function, the method comprising the steps of: 1) determining whether a session management client step; 2) the session management client transmits session management information to the session management server, wherein the session management information includes a unique address of the user client and whether the security program of the user client is activated; 3) the user client transmits connection request information to the DB server, the connection request information including a unique address of the user client; 4) the DB server requests the session management server to confirm the unique address included in the connection request information; 5) The session management server provides the DB server with information on whether the unique address requested for confirmation is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated step; And 6) when the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, And allowing the client to access and access the data.

Description

데이터 접근 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체 {Management method of data access, Computer program for the same, and Recording medium storing computer program for the same} [0001] The present invention relates to a data access management method, a computer program for the same,

본 발명은 데이터 접근 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체에 관한 것으로서, 사용자 권한 관리가 가능한 사용자 클라이언트를 통해 DB 서버로의 접근이 이뤄지도록 관리하며, 특히 세션 제어를 통해 DB 서버에 대한 사용자 클라이언트의 접근 관리가 이뤄지도록 구성됨으로써, DB 서버에서 관리하는 데이터의 무단 유출을 방지할 수 있도록 구성된 데이터 접근 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체에 관한 것이다.
The present invention relates to a data access management method, a computer program for the same, and a recording medium thereof, and more particularly to a data access management method and system for managing access to a DB server through a user client capable of managing a user authority, The present invention relates to a data access management method configured to prevent unauthorized leakage of data managed by a DB server by being configured to perform client access management, a computer program therefor, and a recording medium therefor.

DB 서버에서 관리하는 데이터에 대한 미권한 사용자의 접근이나 사용을 방지하기 위해 다양한 보안 관리 기술이 제안된 바 있다. Various security management techniques have been proposed to prevent unauthorized users from accessing or using data managed by the DB server.

일예로, DB 서버 내에 데이터 암호화 기능을 부여하여, 데이터를 요청한 사용자 클라이언트로 암호화된 데이터를 제공하고, 사용자 클라이언트에 복호화 기능이 설치된 경우에만 데이터를 사용할 수 있도록 하는 DB 암호화 방식이 제안된 바 있다. For example, a DB encryption method has been proposed in which a data encryption function is provided in a DB server, encrypted data is provided to a user client requesting data, and data can be used only when a decryption function is installed in a user client.

이러한 DB 암호화 방식의 예로, DB 서버에 플러그인 에이전트를 설치하여 암호화 서버를 연동시키는 플러그인 방식, DB 서버에서 API 방식으로 암호화 서버와 연동하는 API 방식, 또는 이들을 혼용하는 하이브리드 방식 등이 제안된 바 있다. Examples of such DB encryption schemes include a plug-in system in which a plug-in agent is installed in a DB server and an encryption server is linked in an DB server, an API system in which a DB server cooperates with an encryption server in an API system, or a hybrid system that uses them.

다른 예로, 사용자 클라이언트가 접근 제어 서버를 통해 DB 서버에 접속할 수 있도록 하는 DB 접근 제어 방식이 제안되기도 하였다. As another example, a DB access control method has been proposed in which a user client can access a DB server through an access control server.

DB 접근 제어 방식으로서는, DB 서버 자체에 접근제어 및 로깅 기능을 포함하는 에이전트를 이식하는 에이전트 방식, DB 서버로 접속하는 모든 IP를 DB 보안 서버(프록시 서버)를 통하도록 설정하거나 DB 서버와 클라이언트 사이에 인라인 보안 시스템을 구성하는 게이트웨이 방식, 네트워크 선로상의 패킷을 분석 로깅하는 스니핑 방식 등이 제안된 바 있다. As the DB access control method, it is possible to use an agent method to transfer an agent including an access control and a logging function to the DB server itself, to set all the IPs connected to the DB server to pass through a DB security server (proxy server) A gateway method for configuring an inline security system, and a sniffing method for analyzing and logging packets on a network line have been proposed.

그러나, 상기와 같은 종래의 방식들은 DB 암호화 방식과 DB 접근 제어 방식이 유기적으로 결합된 통합적 보안 기술을 제공하지 못한다는 한계가 있었다. However, the above-described conventional schemes have a limitation in that they can not provide an integrated security technology in which a DB encryption scheme and a DB access control scheme are organically combined.

또한, 상기와 같은 종래의 방식들은 DB 서버 접근 권한이 있는 사용자 클라이언트에서 데이터를 전송받은 이후에는, 해당 데이터에 대한 통제가 미치지 않게 되므로, 예를 들어 접근 권한이 있는 사용자 클라이언트에 전송된 데이터(평문 데이터 또는 암호 해제된 데이터)에 미권한 사용자가 임의로 접근하는 경우에 이를 통제할 수 없다는 근본 문제점이 있었다.
In addition, since the above-mentioned conventional methods have no control over the data after the data is transmitted from the user client having the DB server access right, for example, the data transmitted to the user client Data or decrypted data) can not be controlled when an unauthorized user arbitrarily accesses them.

대한민국 공개특허 제10-2009-0070218호 (2009년07월01일 공개)Korean Patent Publication No. 10-2009-0070218 (published on July 01, 2009)

본 발명은 상기와 같은 문제점을 감안하여 안출한 것으로서, 사용자 권한 관리가 가능한 사용자 클라이언트를 통해 DB 서버로의 접근이 이뤄지도록 관리하며, 특히 세션 제어를 통해 DB 서버에 대한 사용자 클라이언트의 접근 관리가 이뤄지도록 구성됨으로써, DB 서버에서 관리하는 데이터의 무단 유출을 방지할 수 있도록 구성된 데이터 접근 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체를 제공하는 것을 그 목적으로 한다.
SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a method and system for managing access to a DB server through a user client capable of user authority management, A computer program for the data access management method, and a recording medium therefor, which are configured so as to prevent unauthorized leakage of data managed by the DB server.

상기 목적을 달성하기 위한 본 발명의 일측면에 따르면, 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트를 이용하여 실행되는 데이터 접근 관리 방법으로서, 1) 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하는 단계; 2) 상기 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송하는 단계- 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-; 3) 상기 사용자 클라이언트가 DB 서버에 접속 요청 정보를 전송하는 단계- 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함됨-; 4) 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청하는 단계; 5) 상기 세션관리 서버가 상기 확인 요청된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공하는 단계; 및 6) 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용하는 단계;를 포함하여 구성된 데이터 접근 관리 방법이 개시된다.According to an aspect of the present invention, there is provided a data access management method using a user client installed with a security program having a user rights policy management function, the method comprising the steps of: 1) Whether or not the driving unit is driven; 2) the session management client transmits session management information to the session management server, wherein the session management information includes a unique address of the user client and whether the security program of the user client is activated; 3) the user client transmits connection request information to the DB server, the connection request information including a unique address of the user client; 4) the DB server requests the session management server to confirm the unique address included in the connection request information; 5) The session management server provides the DB server with information on whether the unique address requested for confirmation is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated step; And 6) when the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, And allowing the client to access and access the data.

바람직하게, 본 발명은, 상기 6) 단계의 접속이 이뤄진 후에, 101) 상기 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하는 단계; 102) 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송하는 단계- 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-; 103) 상기 세션관리 서버가 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공하는 단계; 및 104) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는 단계;를 포함하여 구성된다. Preferably, the present invention further comprises: 101) after the connection of step 6), 101) confirming whether the session management client is running the security program of the user client; 102) a session management client transmitting session management information to a session management server, the session management information including a unique address of a user client and information on whether or not a security program of a user client is activated; 103) The session management server provides the DB server with information on whether the security program of the user client corresponding to the unique address is activated. And 104) if the DB server does not confirm that the security program of the user client corresponding to the unique address is running, terminating the connection of the corresponding user client or not allowing data access.

바람직하게, 본 발명은, 상기 101) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 102) 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄지는 것을 특징으로 한다. Preferably, the present invention is characterized in that at least one of confirming whether the security client of the user client is activated in step 101) and transmitting the session management information in step 102) is performed according to a predetermined period.

바람직하게, 본 발명은, 상기 101) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 102) 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄지는 것을 특징으로 한다. Preferably, the present invention is characterized in that at least one of confirming whether the security program of the user client is activated in step 101) and transmitting the session management information in step 102) is performed according to a request of the session management server do.

바람직하게, 본 발명은, 7) 상기 사용자 클라이언트가, 상기 DB 서버로부터 데이터가 전송된 경우, 미리 설정된 사용자 권한 정책에 따라 전송된 데이터를 암호화 관리하는 단계;를 더욱 포함하여 구성된다. Preferably, the present invention further comprises: 7) encrypting and managing data transmitted according to a preset user rights policy when the user client transmits data from the DB server.

본 발명의 또다른 일측면에 따르면, 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트와 연동하는 DB 서버에서 실행되는 데이터 접근 관리 방법으로서, 10) DB 서버가 사용자 클라이언트로부터 접속 요청 정보를 전송받는 단계- 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함됨-; 20) 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청하는 단계; 30) 상기 DB 서버가, 상기 확인 요청한 고유 주소가 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는 단계- 상기 세션관리 정보는 세션관리 클라이언트가 특정 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 세션관리 서버로 전송한 결과로서 제공되며, 해당 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-; 및 40) 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용하는 단계;를 포함하여 구성된 데이터 접근 관리 방법이 개시된다.According to another aspect of the present invention, there is provided a data access management method executed in a DB server interworking with a user client installed with a security program having a user rights policy management function, wherein the DB server transmits a connection request information Receiving a unique client address of the user client; 20) The DB server requests the session management server to confirm the unique address included in the connection request information; 30) The DB server receives information on whether the unique address requested to be verified is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated from the session management server The session management information is provided as a result of confirming whether the session management client is running the security program of a specific user client and transmitting the session management information to the session management server, Included -; And 40) If the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, And allowing the client to access and access the data.

바람직하게, 본 발명은, 상기 40) 단계의 접속이 이뤄진 후에, 1010) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는 단계- 상기 사용자 클라이언트의 보안 프로그램의 구동 여부는, 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 해당 사용자 클라이언트의 고유 주소와 함께 세션관리 정보에 포함하여 세션관리 서버로 전송한 결과로서 제공됨-; 및 1020) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는 단계;를 포함하여 구성된다. Preferably, the present invention further comprises a step 1010) of receiving information on whether the security program of the user client corresponding to the unique address is activated from the session management server Whether or not the security program of the user client is activated may be determined as a result of confirming whether or not the session management client is running the security program of the user client and transmitting it to the session management server in the session management information together with the unique address of the user client Provided -; And 1020) if the DB server does not confirm that the security program of the user client corresponding to the unique address is running, terminating the connection of the corresponding user client or not allowing data access.

바람직하게, 본 발명은, 상기 1010) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄지는 것을 특징으로 한다. Preferably, the present invention is characterized in that at least one of confirming whether the security client of the user client is activated in step 1010 and transmitting the session management information is performed according to a predetermined period.

바람직하게, 본 발명은, 상기 1010) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄지는 것을 특징으로 한다. Preferably, the present invention is characterized in that at least one of confirming whether the security client of the user client is activated in step 1010 and transmitting the session management information is performed according to a request of the session management server.

바람직하게, 상기 사용자 권한 정책은, 상기 사용자 클라이언트에서 암호화 관리되는 데이터에 대한 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄 중의 적어도 어느 하나에 관한 사용자 권한 설정에 관한 것임을 특징으로 한다. Preferably, the user rights policy relates to setting of a user right related to at least one of browsing, editing, printing, screen capturing, decryption, and watermark printing on data ciphered and managed by the user client.

바람직하게, 상기 고유 주소는, IP 주소 또는 MAC 주소 중의 어느 하나인 것을 특징으로 한다. Preferably, the unique address is one of an IP address and a MAC address.

본 발명의 또다른 일측면에 따르면, 하드웨어와 결합되어 상기 데이터 접근 관리 방법을 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램이 개시된다.According to another aspect of the present invention, a computer program stored in a medium for executing the data access management method in combination with hardware is disclosed.

본 발명의 또다른 일측면에 따르면, 상기 데이터 접근 관리 방법을 컴퓨터에서 실행하기 위한 컴퓨터 프로그램이 기록된, 컴퓨터로 판독 가능한 기록 매체가 개시된다.
According to another aspect of the present invention, a computer readable recording medium on which a computer program for executing the data access management method on a computer is recorded.

이와 같은 본 발명은, 세션 제어를 통해, 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 구동 중인 것으로 확인된 사용자 클라이언트만이 DB 서버에 접근 가능하도록 구성됨으로써, 보안 프로그램이 구동되지 않는 일반 클라이언트가 DB 서버의 데이터에 무단으로 접근할 수 없도록 근원적으로 관리할 수 있다는 장점이 있다. According to the present invention, only a user client identified as being running a security program having a user rights policy management function can access the DB server through session control, so that a general client, It is possible to manage the data in a unambiguous manner.

또한, 전송된 데이터를 사용자 권한 관리가 가능한 사용자 클라이언트를 통해 관리함으로써, DB 서버로부터 전송된 데이터에 대하여 더욱 향상된 보안 관리가 가능하다는 장점이 있다.
Further, there is an advantage that further improved security management can be performed on the data transmitted from the DB server by managing the transmitted data through a user client capable of managing the user authority.

도 1은 본 발명의 일실시예에 의한 데이터 접근 관리 방법이 실행되기 위한 시스템 구성도,
도 2는 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 흐름도,
도 3은 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 또 다른 흐름도,
도 4는 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 또 다른 흐름도이다. 1 is a system configuration diagram for a data access management method according to an embodiment of the present invention,
2 is a flowchart of a data access management method according to an embodiment of the present invention;
3 is a flowchart illustrating another method of managing data access according to an exemplary embodiment of the present invention.
4 is another flowchart of a data access management method according to an embodiment of the present invention.

본 발명은 그 기술적 사상 또는 주요한 특징으로부터 벗어남이 없이 다른 여러가지 형태로 실시될 수 있다. 따라서, 본 발명의 실시예들은 모든 점에서 단순한 예시에 지나지 않으며 한정적으로 해석되어서는 안 된다.The present invention may be embodied in many other forms without departing from its spirit or essential characteristics. Accordingly, the embodiments of the present invention are to be considered in all respects as merely illustrative and not restrictive.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구비하다", "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises", "having", "having", and the like are intended to specify the presence of stated features, integers, steps, operations, components, Steps, operations, elements, components, or combinations of elements, numbers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, wherein like or corresponding elements are denoted by the same reference numerals, and a duplicate description thereof will be omitted. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 의한 데이터 접근 관리 방법이 실행되기 위한 시스템 구성도이다. FIG. 1 is a system configuration diagram for executing a data access management method according to an embodiment of the present invention.

DB 서버(2000)와 네트워크 연동되고 세션관리 클라이언트(1000)와 세션 제어의 측면에서 연동되며, 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트(3000)가 구비된다. 상기 사용자 권한 정책 관리 기능이란, 예를 들어, 통상의 DRM 기술과 유사한 형태로, 사용자에 따라 파일 또는 데이터의 사용 권한 설정을 차등적으로 하고, 설정된 권한에 따라 파일 또는 데이터의 제어가 차등적으로 이뤄지도록 관리하는 것과 유사한 개념의 기능으로 이해될 수 있다. 바람직한 일예로, 상기 사용자 클라이언트(3000)는 물리적 관점에서, 사용자 PC에서 구동되는 메모리 상주 프로그램의 형태로 구현될 수 있다. A user client 3000 connected to the DB server 2000 through a network and interfaced with the session management client 1000 in terms of session control and equipped with a security program having a user rights policy management function is provided. The user rights policy management function is a function similar to that of a normal DRM technology. For example, the user rights policy management function sets the usage rights of files or data differentially according to users, and controls the files or data in a differential manner It can be understood as a function of a concept similar to managing to be done. In a preferred embodiment, the user client 3000 may be implemented in the form of a memory resident program running on a user PC from a physical point of view.

DB 서버(2000)는, 사용자 클라이언트(3000)가 접근하고자 하는 데이터를 관리하는 서버로서, 통상의 DBMS 기능을 수행하는 데이터 관리부(2010), 사용자 클라이언트(3000)가 DB 애플리케이션을 통해 접근하고자 할 때 접근 제어 기능을 수행하는 DB 접근 제어부(2012), 관리하는 데이터에 대한 암호화 기능을 수행하는 암호화 관리부(2014), 서버 전반의 관리 기능을 수행하는 제어부(2016), 사용자 클라이언트(3000)와의 세션 접속 및 유지, 종료에 관한 관리 기능을 수행하는 제3 세션 관리부(2018)를 구비한다. 제3 세션 관리부(2018)는 또한, 후술하는 세션 관리 서버(5000)와 세션 제어 측면의 연동을 통해 사용자 클라이언트(3000)에 대한 세션 제어가 이뤄지도록 한다. The DB server 2000 is a server that manages data to be accessed by the user client 3000. The DB server 2000 includes a data management unit 2010 that performs a normal DBMS function and a data management unit 2010 that when a user client 3000 accesses through a DB application A DB access control unit 2012 that performs access control functions, an encryption management unit 2014 that performs an encryption function on data to be managed, a control unit 2016 that performs management functions of the server as a whole, And a third session management unit 2018 for performing maintenance and termination management functions. The third session management unit 2018 also performs session control on the user client 3000 through interworking with the session management server 5000, which will be described later, on the side of the session control.

사용자 클라이언트(3000)가 접근하고자 하는 데이터는, 일예로, DB 서버(2000)가 관리하는 고객 개인 정보 데이터, 금융 거래 정보 데이터와 같은 것이 될 수 있다. The data that the user client 3000 desires to access may be, for example, customer personal information data and financial transaction information data managed by the DB server 2000.

DB 애플리케이션은, 사용자 클라이언트를 통해 사용자가 DB에 대한 질의(SQL) 작업 등을 수행하기 위한 통상의 DB 제어 프로그램으로 이해될 수 있으며, 상용 제품의 예로서, 토드(Toad), 오렌지(Orange), 오라클게이트(Oraclegate), 골든(Golden) SQLdeveloper 등이 있다. 예를 들어, 오렌지(Orange)는 DB클라이언트 소프트웨어로 DB 관리와 개발을 UI를 통하여 쉽게 할 수 있도록 해준다. DB 애플리케이션은 물리적 관점에서, 사용자 PC에 설치 및 구동되는 애플리케이션 프로그램의 형태로 구현될 수 있다. The DB application can be understood as a normal DB control program for a user to perform a query (SQL) operation on a DB through a user client. Examples of commercially available products include Toad, Orange, Oraclegate, and Golden SQLdeveloper. For example, Orange is a DB client software that makes it easy to manage and develop DBs through the UI. The DB application may be implemented in the form of an application program installed and driven in the user PC from a physical viewpoint.

세션 관리 서버(5000)는, 세션관리 클라이언트(1000)와의 네트워크 연동을 통해 세션 관리정보를 전송받고 이를 DB 서버(2000)에 제공하는 제2 세션 관리부(5010), 서버 전반의 관리 기능을 수행하는 제어부(5012)를 구비한다. The session management server 5000 includes a second session management unit 5010 for receiving session management information through a network connection with the session management client 1000 and providing the session management information to the DB server 2000, And a control unit 5012.

사용자 클라이언트(3000)는 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 클라이언트라는 점에서, 보안 프로그램이 설치되지 않거나 삭제된 상태의 일반 클라이언트(4000)와 구분된다. Since the user client 3000 is a client installed with a security program having a user rights policy management function, the user client 3000 is distinguished from the general client 4000 in which the security program is not installed or deleted.

사용자 클라이언트(3000)는, DB 서버로부터 전송된 데이터를 저장 또는 사용 관리하는 데이터 관리부(3010), 데이터를 사용하고자 하는 사용자에 대한 사용자 인증 처리를 수행하는 사용자 인증 관리부(3012), DB 서버로부터 전송된 데이터를 사용자 권한 정책에 따른 방식으로 암호화 처리하고 사용자 권한 정책에 근거하여 사용자 권한이 확인된 사용자가 권한 내에서 사용할 수 있도록 관리하는 사용자 권한 정책 관리부(3014), 사용자 클라이언트 전반의 관리 기능을 수행하는 제어부(3016), DB 서버(2000)에 대한 접근 관리 기능을 수행하는 DB 접근 관리부(3018), DB 서버(2000)와의 세션 접속 및 유지, 종료에 관한 관리 기능을 수행하고 세션관리 클라이언트(1000)와 세션 제어의 측면에서 연동하는 제4 세션 관리부(3020)를 구비한다. The user client 3000 includes a data management unit 3010 that stores or manages data transmitted from a DB server, a user authentication management unit 3012 that performs user authentication processing on a user who wants to use the data, A user rights policy management unit 3014 for encrypting the received data in a manner compliant with the user rights policy, and managing the user to use the authorized user in the right based on the user rights policy, A DB access management unit 3018 that performs an access management function with respect to the DB server 2000 and a management function with respect to session termination and maintenance and termination with the DB server 2000. The session management client 1000 And a fourth session management unit 3020 interworking with the session control unit.

바람직하게, 상기 사용자 인증 관리부(3012)가 수행하는 사용자 인증 처리는 사용자 인증을 통해 사용자 ID를 인식하는 기능을 포함한다. 사용자 인증은 일예로, SSO(Single Sign On) 방식의 사용자 로그인 과정을 통해 이뤄질 수 있다. 예를 들어, 사용자 클라이언트(3000)를 통해 사용자가 사용자 ID를 입력하거나, 사용자 입력 정보에 근거하여 인증 서버에서 사용자 ID를 인식하는 방식으로 상기 사용자 ID 인식이 이뤄질 수 있다. 일예로, 인증 서버는 SSO(Single Sign On) 구현을 위한 별도의 통합 인증 서버(도면 미도시)가 구비될 수 있다. Preferably, the user authentication processing performed by the user authentication management unit 3012 includes a function of recognizing a user ID through user authentication. User authentication can be accomplished through, for example, a single sign on (SSO) user login process. For example, the user ID may be entered through the user client 3000, or the user ID may be recognized in a manner that the user ID is recognized by the authentication server based on the user input information. For example, the authentication server may be provided with a separate integrated authentication server (not shown) for SSO (Single Sign On) implementation.

바람직하게, 상기 DB 접근 관리부(3018)가 수행하는 상기 접근 관리 기능은, DB 제어 애플리케이션의 실행 여부를 감지하는 기능과, 실행이 감지된 DB 제어 애플리케이션을 통해 DB 서버에 대한 접근하는 기능을 포함한다. Preferably, the access management function performed by the DB access management unit 3018 includes a function of detecting whether or not the DB control application is executed, and a function of accessing the DB server through the DB control application in which execution is detected .

데이터 관리부(3010)는 사용자 권한이 확인된 사용자가 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄 중의 적어도 어느 하나에 관한 데이터 사용 조작을 할 수 있도록 관리한다. The data management unit 3010 manages data usage operations related to at least one of browsing, editing, printing, screen capture, decryption, and watermark printing by a user whose user right has been confirmed.

세션관리 클라이언트(1000)는, 사용자 클라이언트(1000)와의 연동을 통해 세션 관리정보를 생성하고 이를 세션 관리 서버(5000)에 제공하는 제1 세션 관리부(1010), 클라이언트 전반의 관리 기능을 수행하는 제어부(1016)를 구비한다. The session management client 1000 includes a first session management unit 1010 that generates session management information in cooperation with the user client 1000 and provides the session management information to the session management server 5000, (1016).

바람직한 일예로, 상기 세션관리 클라이언트(1000)는 물리적 관점에서, 사용자 클라이언트(3000)와 동일한 PC에서 구동되는 메모리 상주 프로그램의 형태로 구현될 수 있다. 이러한 구성을 통해, 세션관리 클라이언트(1000)는 사용자 클라이언트(3000)의 고유 주소와 사용자 클라이언트(3000)의 보안 프로그램의 구동 여부를 용이하게 인식할 수 있다. 일예로, 상기 고유 주소는, IP(Internet Protocol) 주소 또는 MAC(Media Access Control) 주소 중의 어느 하나가 될 수 있다. In a preferred embodiment, the session management client 1000 may be implemented in the form of a memory resident program running on the same PC as the user client 3000, from a physical point of view. With this configuration, the session management client 1000 can easily recognize the unique address of the user client 3000 and whether the security program of the user client 3000 is running. For example, the unique address may be one of an IP (Internet Protocol) address and a MAC (Media Access Control) address.

일반 클라이언트(4000)는 보안 프로그램이 설치되지 않거나 삭제된 상태의 클라이언트로 이해될 수 있으며, 사용자 권한 정책에 따라 암호화 처리된 데이터를 사용할 수 있는 권한이 없는 사용자의 클라이언트로 이해될 수 있다.
The general client 4000 can be understood as a client whose security program is not installed or deleted, and can be understood as a client of a user who is not authorized to use data encrypted according to a user rights policy.

도 2는 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 흐름도, 도 3은 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 또 다른 흐름도, 도 4는 본 발명의 일실시예에 의한 데이터 접근 관리 방법의 또 다른 흐름도이다. FIG. 2 is a flowchart of a data access management method according to an embodiment of the present invention, FIG. 3 is another flowchart of a data access management method according to an embodiment of the present invention, FIG. It is another flow chart of the access management method.

S1 단계에서는, 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인한다. In step S1, the session management client confirms whether the security program of the user client is activated.

상기와 같이 세션관리 클라이언트가 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인 가능하도록, 일예로, 사용자 클라이언트가 보안 프로그램의 구동 여부를 확인할 수 있는 API를 제공하거나, 다른예로, 세션관리 클라이언트가 PC의 특정 메모리를 참조하여 보안 프로그램의 구동 여부를 확인하도록 구성될 수 있다. As an example, if the session management client provides an API for checking whether the security program is running, the session management client may provide an API that allows the user client to check whether the security program is running, It can be configured to check whether the security program is activated by referring to the specific memory.

상기 사용자 클라이언트는 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 클라이언트이다. 상기 사용자 권한 정책은, 일예로, 상기 사용자 클라이언트에서 암호화 관리되는 데이터에 대한 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄 중의 적어도 어느 하나에 관한 사용자 권한 설정에 관한 것이 된다. The user client is a client installed with a security program having a user rights policy management function. The user rights policy relates to, for example, setting a user right for at least one of viewing, editing, printing, screen capturing, decryption, and watermark printing of data encrypted and managed in the user client.

상기 사용자 권한 정책 관리 기능은, 관리 대상이 되는 파일이나 데이터 패킷 등에 대한 암호화 및 복호화 처리, 사용자 ID의 식별에 근거한 사용자 권한 확인 처리, 암호화 처리된 파일이나 데이터 패킷에 대하여 사용자 권한이 확인된 사용자가 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄를 포함하는 사용 행위를 할 수 있도록 하는 처리, 각 사용자별로 상기 각 사용 행위 중 어느 범위의 사용 행위를 허용할 것인가를 결정하는 권한 관리 처리를 포함할 수 있다. The user rights policy management function includes a process of encrypting and decrypting a file or a data packet to be managed, a user authority verification process based on the identification of the user ID, A process for allowing a user to perform a use action including browsing, editing, printing, screen capture, decryption, watermark printing, and rights management processing for determining a range of use of each of the above- . ≪ / RTI >

S2 단계에서는, 상기 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송한다. 바람직하게, 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함한다. 일예로, 상기 고유 주소로서 IP 주소가 사용되는 경우, 상기 IP 주소는 하나의 PC에 대하여 2 이상의 IP 주소가 사용되는 경우(예, 접속 경로가 유선/무선 등으로 복수 경로 시)도 있으므로, 하나의 사용자 클라이언트에 대하여 복수의 IP 주소를 목록 형태로 세션관리 정보에 포함시켜 관리할 수도 있다. In step S2, the session management client transmits session management information to the session management server. Preferably, the session management information includes a unique address of the user client and whether the security program of the user client is activated. For example, when the IP address is used as the unique address, the IP address may be used when two or more IP addresses are used for one PC (for example, when the connection path is a plurality of paths by wired / wireless) A plurality of IP addresses may be included in the session management information in the form of a list to the user client.

S3 단계에서는, 상기 사용자 클라이언트가 DB 서버에 접속 요청 정보를 전송한다. 바람직하게, 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함된다. In step S3, the user client transmits connection request information to the DB server. Preferably, the connection request information includes a unique address of a user client.

S4 단계에서는, 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청한다. In step S4, the DB server requests the session management server to confirm the unique address included in the connection request information.

S5 단계에서는, 상기 세션관리 서버가 상기 확인 요청된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공한다. In step S5, the session management server sends to the DB server information on whether the unique address requested to be confirmed is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated to provide.

S6 단계에서는, 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용한다. In step S6, if the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, Allow access and data access by user clients.

이후, S7 단계에서는, 상기 사용자 클라이언트가, 상기 DB 서버로부터 데이터가 전송된 경우, 미리 설정된 사용자 권한 정책에 따라 전송된 데이터를 암호화 관리하게 된다. 암호화 관리는 공지의 다양한 데이터 암호화 프로세스에 의해 이뤄질 수 있으며, 상세한 설명은 생략한다.
Thereafter, in step S7, when the user client transmits data from the DB server, the user client encrypts and manages data transmitted according to a preset user rights policy. The encryption management may be performed by various known data encryption processes, and a detailed description thereof will be omitted.

한편, 상기 S6 단계의 접속이 이뤄진 후에, 다음과 같이 지속적인 세션 제어가 이뤄질 수 있다. On the other hand, after the connection of step S6 is performed, continuous session control may be performed as follows.

S101 단계에서는, 상기 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인한다. In step S101, the session management client confirms whether the security program of the user client is activated.

S102 단계에서는, 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송한다. 바람직하게, 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함한다. In step S102, the session management client sends the session management information to the session management server. Preferably, the session management information includes a unique address of the user client and whether the security program of the user client is activated.

S103 단계에서는, 상기 세션관리 서버가 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공한다. In step S103, the session management server provides the DB server with information on whether or not the security program of the user client corresponding to the unique address is activated.

S104 단계에서는, 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는다. In step S104, if the DB server does not confirm that the security program of the user client corresponding to the unique address is running, the DB server does not allow the user client to terminate the connection or allow data access.

바람직한 일예로, 상기 S101 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 S102 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄질 수 있다. 상기 주기는 동일 주기 또는 각각 별도의 주기로 설정될 수 있다. In a preferred embodiment, at least one of the confirmation of whether the security client of the user client is activated in step S101 and the transmission of the session management information in step S102 may be performed according to a predetermined period. The periods may be set to the same period or in separate periods.

바람직한 또 다른 예로, 상기 S101 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 S102 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄질 수 있다. 세션관리 서버에는 이를 위한 세션 제어 프로세스가 구동될 수 있다.
As another preferred example, at least one of the confirmation of whether the user client's security program is activated in step S101 and the session management information transmission in step S102 may be performed according to a request of the session management server. A session control process for this can be activated in the session management server.

한편, 상술한 실시예를 DB 서버의 실행 관점에서 보면, 다음과 같이 데이터 접근 관리 방법이 수행될 수 있다. DB 서버의 실행 관점 이외에 실질적으로 도 2 내지 도 4의 흐름도와 동일 내지 유사한 흐름을 포함하므로, 이하의 설명에서 별도의 도면 예시는 생략한다. On the other hand, from the viewpoint of execution of the DB server, the data access management method can be performed as follows. 2 to 4 in addition to the viewpoint of execution of the DB server, and therefore, a separate drawing example is omitted in the following description.

S10 단계에서는, DB 서버가 사용자 클라이언트로부터 접속 요청 정보를 전송받는다. 바람직하게, 상기 DB 서버는 사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트와 연동하는 DB 서버이다. 바람직하게, 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함된다. In step S10, the DB server receives connection request information from the user client. Preferably, the DB server is a DB server interworking with a user client installed with a security program having a user rights policy management function. Preferably, the connection request information includes a unique address of a user client.

S20 단계에서는, 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청한다. In step S20, the DB server requests the session management server to confirm the unique address included in the connection request information.

S30 단계에서는, 상기 DB 서버가, 상기 확인 요청한 고유 주소가 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는다. In step S30, the DB server provides information on whether the unique address requested to be verified is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated, from the session management server Receive.

이를 위한 상기 세션관리 정보는 세션관리 클라이언트가 특정 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 세션관리 서버로 전송한 결과로서 제공되며, 해당 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함한다. The session management information for this purpose is provided as a result of confirming whether or not the session management client is running the security program of the specific user client and transmitting the result to the session management server. The session management information includes a unique address of the corresponding user client, .

S40 단계에서는, 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용한다.
In step S40, if the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, Allow access and data access by user clients.

한편, 상기 S40 단계의 접속이 이뤄진 후에, 다음과 같이 지속적인 세션 제어가 이뤄질 수 있다. On the other hand, after the connection of step S40 is performed, continuous session control may be performed as follows.

S1010 단계에서는, 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는다. 바람직하게, 상기 사용자 클라이언트의 보안 프로그램의 구동 여부는, 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 해당 사용자 클라이언트의 고유 주소와 함께 세션관리 정보에 포함하여 세션관리 서버로 전송한 결과로서 제공된다. In step S1010, the DB server receives information on whether the security program of the user client corresponding to the unique address is activated from the session management server. Preferably, whether or not the security program of the user client is activated may include determining whether the security program of the user client is activated, transmitting the security program to the session management server in the session management information together with the unique address of the user client As a result.

S1020 단계에서는, 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는다. In step S1020, if the DB server can not confirm that the security program of the user client corresponding to the unique address is running, the DB server does not terminate the connection of the user client or allow data access.

바람직한 일예로, 상기 S1010 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄질 수 있다. As a preferred example, at least one of the confirmation of whether the security client of the user client is activated in step S1010 and the transmission of the session management information may be performed according to a predetermined period.

바람직한 또 다른예로, 상기 S1010 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄질 수 있다.
As another preferred example, at least one of the confirmation of whether or not the security client of the user client is activated in step S1010 and the transmission of the session management information may be performed according to a request of the session management server.

본 발명의 실시예 들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램과 이를 기록한 컴퓨터 판독가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, USB 드라이브와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Embodiments of the present invention include a computer readable medium having recorded thereon a program for performing various computer-implemented operations. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The media may be those specially designed and constructed for the present invention or may be those known to those skilled in the computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs, DVDs, USB drives, self-optical media such as floppy disks, And a hardware device specifically configured to store and execute program instructions such as flash memory and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like.

1000: 세션관리 클라이언트
2000: DB 서버
3000: 사용자 클라이언트
4000: 일반 클라이언트
5000: 세션 관리 서버1000: Session Management Client
2000: DB server
3000: User Client
4000: Generic Client
5000: Session Management Server

Claims (13)

사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트를 이용하여 실행되는 데이터 접근 관리 방법으로서- 상기 사용자 권한 정책은, 상기 사용자 클라이언트에서 암호화 관리되는 데이터에 대한 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄 중의 적어도 어느 하나에 관한 사용자 권한 설정에 관한 것임-,
1) 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하는 단계;
2) 상기 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송하는 단계- 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-;
3) 상기 사용자 클라이언트가 DB 서버에 접속 요청 정보를 전송하는 단계- 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함됨-;
4) 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청하는 단계;
5) 상기 세션관리 서버가 상기 확인 요청된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공하는 단계; 및
6) 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용하는 단계;를 포함하여 구성된 데이터 접근 관리 방법.
A data access management method executed by a user client installed with a security program having a user rights policy management function, the method comprising: viewing, editing, printing, screen capturing, and encryption of data encrypted and managed by the user client; Release, watermark printing, and the like,
1) checking whether the session management client is running the security program of the user client;
2) the session management client transmits session management information to the session management server, wherein the session management information includes a unique address of the user client and whether the security program of the user client is activated;
3) the user client transmits connection request information to the DB server, the connection request information including a unique address of the user client;
4) the DB server requests the session management server to confirm the unique address included in the connection request information;
5) The session management server provides the DB server with information on whether the unique address requested for confirmation is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated step; And
6) If the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, And permitting access and data access of the data.
제1항에 있어서,
상기 6) 단계의 접속이 이뤄진 후에,
101) 상기 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하는 단계;
102) 세션관리 클라이언트가 세션관리 서버로 세션관리 정보를 전송하는 단계- 상기 세션관리 정보는 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-;
103) 상기 세션관리 서버가 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 DB 서버로 제공하는 단계; 및
104) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는 단계;를 포함하여 구성된 데이터 접근 관리 방법.
The method according to claim 1,
After the connection of step 6) is completed,
101) checking whether the session management client is running the security program of the user client;
102) a session management client transmitting session management information to a session management server, the session management information including a unique address of a user client and information on whether or not a security program of a user client is activated;
103) The session management server provides the DB server with information on whether the security program of the user client corresponding to the unique address is activated. And
104) If the DB server does not confirm that the security program of the user client corresponding to the unique address is running, it terminates the connection of the corresponding user client or does not allow data access. Way.
제2항에 있어서,
상기 101) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 102) 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄지는 것을 특징으로 하는 데이터 접근 관리 방법.
3. The method of claim 2,
Wherein at least one of checking whether the security program of the user client is activated in step 101) and transmitting the session management information in step 102) is performed according to a preset period.
제2항에 있어서,
상기 101) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 102) 단계에서의 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄지는 것을 특징으로 하는 데이터 접근 관리 방법.
3. The method of claim 2,
Wherein at least one of checking whether the security program of the user client is activated in step 101) and transmitting session management information in step 102) is performed according to a request of the session management server.
제1항에 있어서,
7) 상기 사용자 클라이언트가, 상기 DB 서버로부터 데이터가 전송된 경우, 미리 설정된 사용자 권한 정책에 따라 전송된 데이터를 암호화 관리하는 단계;를 더욱 포함하여 구성된 데이터 접근 관리 방법.
The method according to claim 1,
7) The method of claim 1, wherein the user client encrypts and manages data transmitted according to a preset user rights policy when data is transmitted from the DB server.
사용자 권한 정책 관리 기능을 갖는 보안 프로그램이 설치된 사용자 클라이언트와 연동하는 DB 서버에서 실행되는 데이터 접근 관리 방법으로서- 상기 사용자 권한 정책은, 상기 사용자 클라이언트에서 암호화 관리되는 데이터에 대한 열람, 편집, 인쇄, 화면 캡쳐, 암호화 해제, 워터마크 인쇄 중의 적어도 어느 하나에 관한 사용자 권한 설정에 관한 것임-,
10) DB 서버가 사용자 클라이언트로부터 접속 요청 정보를 전송받는 단계- 상기 접속 요청 정보에는 사용자 클라이언트의 고유 주소가 포함됨-;
20) 상기 DB 서버가 세션관리 서버로 상기 접속 요청 정보에 포함된 고유 주소에 대하여 확인 요청하는 단계;
30) 상기 DB 서버가, 상기 확인 요청한 고유 주소가 세션관리 정보에 포함된 고유 주소인지 여부 및 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는 단계- 상기 세션관리 정보는 세션관리 클라이언트가 특정 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 세션관리 서버로 전송한 결과로서 제공되며, 해당 사용자 클라이언트의 고유 주소와 사용자 클라이언트의 보안 프로그램의 구동 여부 정보를 포함함-; 및
40) 상기 DB 서버가, 상기 접속 요청 정보에 포함된 고유 주소가 상기 세션관리 정보에 포함된 고유 주소이며, 해당 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인된 경우, 접속 요청 정보를 전송한 사용자 클라이언트의 접속 및 데이터 접근을 허용하는 단계;를 포함하여 구성된 데이터 접근 관리 방법.
A data access management method executed in a DB server interworking with a user client installed with a security program having a user rights policy management function, the method comprising the steps of: viewing, editing, printing, The user authority setting relating to at least one of capture, decryption, watermark printing,
10) The DB server receives the connection request information from the user client, the connection request information includes the unique address of the user client;
20) The DB server requests the session management server to confirm the unique address included in the connection request information;
30) The DB server receives information on whether the unique address requested to be verified is a unique address included in the session management information and whether the security program of the user client corresponding to the unique address is activated from the session management server The session management information is provided as a result of confirming whether the session management client is running the security program of a specific user client and transmitting the session management information to the session management server, Included -; And
40) If the DB server determines that the unique address included in the connection request information is a unique address included in the session management information and that the security program of the corresponding user client is running, And permitting access and data access of the data.
제6항에 있어서,
상기 40) 단계의 접속이 이뤄진 후에,
1010) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램의 구동 여부에 관한 정보를 상기 세션관리 서버로부터 제공받는 단계- 상기 사용자 클라이언트의 보안 프로그램의 구동 여부는, 세션관리 클라이언트가 상기 사용자 클라이언트의 보안 프로그램의 구동 여부를 확인하고 해당 사용자 클라이언트의 고유 주소와 함께 세션관리 정보에 포함하여 세션관리 서버로 전송한 결과로서 제공됨-; 및
1020) 상기 DB 서버가, 상기 고유 주소에 해당하는 사용자 클라이언트의 보안 프로그램이 구동 중인 것으로 확인되지 않는 경우, 해당 사용자 클라이언트의 접속을 종료하거나 데이터 접근을 허용하지 않는 단계;를 포함하여 구성된 데이터 접근 관리 방법.
The method according to claim 6,
After the connection of step 40) is completed,
1010) The DB server receives information on whether the security program of the user client corresponding to the unique address is activated from the session management server. Whether the security program of the user client is activated or not is determined by the session management client Checking whether the user client's security program is running and providing the result as a result of transmitting to the session management server in the session management information together with the unique address of the user client; And
1020) when the DB server does not confirm that the security program of the user client corresponding to the unique address is running, terminates the connection of the corresponding user client or does not allow data access, Way.
제7항에 있어서,
상기 1010) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 미리 설정된 주기에 따라 이뤄지는 것을 특징으로 하는 데이터 접근 관리 방법.
8. The method of claim 7,
Wherein at least one of checking whether the security program of the user client is activated in the step 1010 and transmitting the session management information is performed according to a predetermined period.
제7항에 있어서,
상기 1010) 단계에서의 사용자 클라이언트의 보안 프로그램의 구동 여부 확인 및 상기 세션관리 정보 전송 중의 적어도 어느 하나는 상기 세션관리 서버의 요청에 따라 이뤄지는 것을 특징으로 하는 데이터 접근 관리 방법.
8. The method of claim 7,
Wherein at least one of the confirmation of whether the user client is running the security program and the session management information transmission in step 1010 is performed according to a request of the session management server.
삭제delete 제1항 또는 제6항에 있어서,
상기 고유 주소는, IP 주소 또는 MAC 주소 중의 어느 하나인 것을 특징으로 하는 데이터 접근 관리 방법.
7. The method according to claim 1 or 6,
Wherein the unique address is one of an IP address and a MAC address.
하드웨어와 결합되어 제1항 내지 제9항 중의 어느 한 항에 따른 데이터 접근 관리 방법을 실행시키기 위하여 컴퓨터로 판독 가능한 기록 매체에 저장된 컴퓨터 프로그램.
A computer program stored in a computer-readable medium for executing a data access management method according to any one of claims 1 to 9 in combination with hardware.
제1항 내지 제9항 중의 어느 한 항에 따른 데이터 접근 관리 방법을 컴퓨터에서 실행하기 위한 컴퓨터 프로그램이 기록된, 컴퓨터로 판독 가능한 기록 매체.A computer program for executing a data access management method according to any one of claims 1 to 9 on a computer.
KR1020140195539A 2014-12-31 2014-12-31 Management method of data access, Computer program for the same, and Recording medium storing computer program for the same KR101694784B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140195539A KR101694784B1 (en) 2014-12-31 2014-12-31 Management method of data access, Computer program for the same, and Recording medium storing computer program for the same
PCT/KR2015/013881 WO2016108478A1 (en) 2014-12-31 2015-12-17 Method for managing data access, computer program therefor, and recording medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140195539A KR101694784B1 (en) 2014-12-31 2014-12-31 Management method of data access, Computer program for the same, and Recording medium storing computer program for the same

Publications (2)

Publication Number Publication Date
KR20160081555A KR20160081555A (en) 2016-07-08
KR101694784B1 true KR101694784B1 (en) 2017-01-10

Family

ID=56284566

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140195539A KR101694784B1 (en) 2014-12-31 2014-12-31 Management method of data access, Computer program for the same, and Recording medium storing computer program for the same

Country Status (2)

Country Link
KR (1) KR101694784B1 (en)
WO (1) WO2016108478A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102351471B1 (en) * 2020-07-17 2022-01-17 주식회사 알파비트 Method and system for managing encryption policy

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010044471A1 (en) * 2008-10-17 2010-04-22 日本電信電話株式会社 Service providing system and service providing method
KR101104300B1 (en) * 2011-05-11 2012-01-11 주식회사 신시웨이 System of access management comprising exclusive tool for accessing of personal information database and method thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100948873B1 (en) 2007-12-27 2010-03-24 주식회사 아이넵 Security and management device for database security and control method thereof
US20100214058A1 (en) * 2009-02-24 2010-08-26 Visa U.S.A. Inc. Security access method and system
KR101226693B1 (en) * 2010-12-03 2013-01-25 주식회사 웨어밸리 Database security method with remove the exposed weak point using Access Control System
KR101273519B1 (en) * 2011-12-29 2013-06-17 주식회사 시큐아이 Service access control device and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010044471A1 (en) * 2008-10-17 2010-04-22 日本電信電話株式会社 Service providing system and service providing method
KR101104300B1 (en) * 2011-05-11 2012-01-11 주식회사 신시웨이 System of access management comprising exclusive tool for accessing of personal information database and method thereof

Also Published As

Publication number Publication date
WO2016108478A1 (en) 2016-07-07
KR20160081555A (en) 2016-07-08

Similar Documents

Publication Publication Date Title
JP6609010B2 (en) Multiple permission data security and access
WO2015186820A1 (en) Kernel program including relational data base, and method and device for executing said program
TWI443516B (en) Binding content licenses to portable storage devices
RU2500075C2 (en) Creating and validating cryptographically secured documents
US9147062B2 (en) Renewal of user identification information
JP6678457B2 (en) Data security services
US7739605B2 (en) System and/or method relating to managing a network
KR101670496B1 (en) Data management method, Computer program for the same, Recording medium storing computer program for the same, and User Client for the same
JP2008141581A (en) Secret information access authentication system and method thereof
US10652279B1 (en) Encryption compliance verification system
JP5380063B2 (en) DRM system
US9397828B1 (en) Embedding keys in hardware
JP6854529B2 (en) Improved storage system
US20150269364A1 (en) Method and architecture for accessing digitally protected web content
KR101694784B1 (en) Management method of data access, Computer program for the same, and Recording medium storing computer program for the same
KR101315482B1 (en) Secret information reading service system using by a writer authentication and the control method thereof
JP6199506B2 (en) Server system and method for controlling a plurality of service systems
KR102062851B1 (en) Single sign on service authentication method and system using token management demon
CN108345801B (en) Ciphertext database-oriented middleware dynamic user authentication method and system
TWI389534B (en) Single sign-on system and method and computer readable medium thereof
TWI551105B (en) System for managing certificate and method thereof
KR101364610B1 (en) The method and system for web-site sign on using an object of web storage
KR20230098156A (en) Encrypted File Control
KR20140137076A (en) Device for managing passwords of server and method for managing passwords applying the same
TR2023006911T2 (en) ENCRYPTED FILE CONTROL

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 4