KR102493586B1 - Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied - Google Patents

Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied Download PDF

Info

Publication number
KR102493586B1
KR102493586B1 KR1020210081291A KR20210081291A KR102493586B1 KR 102493586 B1 KR102493586 B1 KR 102493586B1 KR 1020210081291 A KR1020210081291 A KR 1020210081291A KR 20210081291 A KR20210081291 A KR 20210081291A KR 102493586 B1 KR102493586 B1 KR 102493586B1
Authority
KR
South Korea
Prior art keywords
account
user
data
access
edge computing
Prior art date
Application number
KR1020210081291A
Other languages
Korean (ko)
Other versions
KR20220170455A (en
Inventor
이승기
Original Assignee
(주)엔시스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔시스 filed Critical (주)엔시스
Priority to KR1020210081291A priority Critical patent/KR102493586B1/en
Publication of KR20220170455A publication Critical patent/KR20220170455A/en
Application granted granted Critical
Publication of KR102493586B1 publication Critical patent/KR102493586B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템에 관한 것이다.
이를 위해 본 발명은 ROOT 계정에서 복수개의 시스템 관리자 계정 1~n 을 생성하고, 각 시스템 관리자 계정 1~n은 각각의 계정별로 데이터베이스 파일을 생성하며, 시스템 관리자 계정 1이 생성한 사용자 1의 계정정보 데이터와 사용자 1이 관리 또는 생성한 엣지 시스템 데이터인 계정 1 데이터베이스 파일에는 ROOT 계정 또는 시스템 관리자 계정 1 이외에는 접근할 수 없고, 공용으로 사용하는 데이터에는 시스템 관리자 속성으로 생성된 하나의 계정인 '시스템 관리자 계정_공용'에서 데이터베이스 파일 생성시에 사용자 1~n이 접근 가능하도록 설정하는, 사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템을 제공한다.The present invention relates to an edge computing system capable of independently operating data and configuring a user interface for each user and applying multi-layered, multi-level security.
To this end, the present invention creates a plurality of system manager accounts 1 to n in the ROOT account, each system manager account 1 to n creates a database file for each account, and the account information of user 1 created by the system manager account 1 Data and the account 1 database file, which is the edge system data managed or created by user 1, cannot be accessed by anyone other than the ROOT account or system administrator account 1. When creating a database file in 'Account_Public', it is possible to set access to users 1 to n, enable independent data operation and user interface configuration for each user, and provides an edge computing system with multi-level security applied.

Description

사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템{omitted}Edge computing system capable of independent data operation and user interface configuration for each user, and multi-layered security applied {omitted}

본 발명은 엣지 컴퓨팅 시스템에 관한 것이다. 보다 상세하게는 사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템에 관한 것이다.The present invention relates to edge computing systems. More specifically, it relates to an edge computing system capable of independently operating data and configuring a user interface for each user and applying multi-layered, multi-level security.

엣지 컴퓨팅은 클라우드 컴퓨팅과 대조적 개념으로 클라우드나 중앙이 아닌 네트워크 종단(edge)에서 컴퓨팅이 이루어지는, 즉 사용자 또는 데이터 소스의 물리적인 위치와 가까운 곳에서 데이터 처리 및 저장을 수행하는 것을 말한다. 물리적인 소스에서 생성되는 데이터를 사용자의 단말장치와 가까운 위치에서 처리하면 보다 빠르고 안정적인 서비스가 가능하다. 엣지 컴퓨팅은 다수의 위치에서 공통의 리소스 풀을 사용하여 데이터 연산과 처리를 분산시킬 수 있는 방법 중 하나이다.Edge computing, in contrast to cloud computing, refers to computing performed at the edge of a network rather than in the cloud or centrally, that is, performing data processing and storage close to the physical location of a user or data source. Faster and more stable service is possible if the data generated from the physical source is processed at a location close to the user's terminal device. Edge computing is one way in which data operations and processing can be distributed using a common pool of resources in multiple locations.

이러한 엣지 컴퓨팅 시스템은 다양한 분야에 활용되고 있으며, 특히 스마트 제조 분야에서는 여러 제조 공정에서 사용되는 디바이스인 로봇, 컨트롤러, 센서 등의 데이터 처리를 현장에서 신속하고 안정적으로 처리하기 위해 엣지 컴퓨팅 시스템이 도입되고 있다.These edge computing systems are used in various fields. In particular, in the field of smart manufacturing, edge computing systems are introduced to quickly and reliably process data processing of robots, controllers, sensors, etc., which are devices used in various manufacturing processes, in the field. there is.

스마트 제조 분야에 적용되고 있는 엣지 컴퓨팅 시스템은 보안 측면에서 양면성이 있다. 데이터가 외부 네트워크를 거치지 않고 소스 근처에 머물러 있어서 이론적으로는 일반적인 클라우드 방식에 비해 엣지 컴퓨팅 방식의 보안이 우수하다는 측면이 있다. 이는 데이터 센터나 클라우드 환경에 저장된 데이터가 적을수록 위험에 빠지는 데이터량이 적다는 논리에서 기인한다.The edge computing system applied to the smart manufacturing field has two sides in terms of security. Since the data stays near the source without passing through an external network, the security of the edge computing method is theoretically superior to that of the general cloud method. This is due to the logic that the less data stored in a data center or cloud environment, the less data is at risk.

그러나 로봇, 컨트롤러, 센서 등 각 공정에 설치된 디바이스와 엣지 컴퓨팅 시스템은 서로 물리적인 연결이 될 수밖에 없어 엣지 컴퓨팅 시스템의 서버 자체가 제조업체의 생산라인 내부에서 구축 및 관리되는 관계로 전문적인 데이터 센터에서 관리되는 데이터에 비해 보안에 취약하다는 측면도 있다. However, devices installed in each process, such as robots, controllers, and sensors, and edge computing systems are bound to be physically connected to each other, so the server of the edge computing system is built and managed inside the manufacturer's production line, so it is managed in a specialized data center. There is also an aspect that is vulnerable to security compared to the data to be used.

더욱이 스마트 팩토리를 도입하는 중소기업의 경우 기업규모가 작을수록 엣지 컴퓨팅 시스템 구축시 로봇, 컨트롤러, 센서 등 현장 디바이스의 데이터 수집과 관리에 한정하지 말고 구매, 생산, 영업, 판매, 회계 등 회사 전반의 부서에서 통합적으로 엣지 컴퓨팅 시스템을 활용할 수 있도록 요청하는 사례가 많다. 이와 같은 상황에서는 기업의 전 부서에서 엣지 컴퓨팅 시스템에 접근하게 되므로 보안의 중요성은 더욱 크다고 하겠다.Moreover, in the case of small and medium-sized enterprises adopting smart factories, the smaller the company size, the more the edge computing system is built, not limited to data collection and management of field devices such as robots, controllers, and sensors, but the overall company departments such as purchase, production, sales, sales, accounting There are many cases where there are requests to utilize edge computing systems in an integrated way. In this situation, since all departments of the company have access to the edge computing system, the importance of security is even greater.

또한, 사용자는 각 공정에 설치된 디바이스의 제어와 모니터링을 위해 엣지 컴퓨팅 시스템에 접근하고자 할 때 웹 방식 또는 CS(Client Server) 방식을 주로 사용한다. 사용자는 컴퓨터, 모바일 디바이스 등을 통해 엣지 컴퓨팅 시스템의 서버에 네트워크로 접속하게 된다. 이러한 환경에서 보안이 취약해질 수 있다.In addition, when users want to access the edge computing system to control and monitor devices installed in each process, they mainly use the web method or CS (Client Server) method. A user accesses a server of an edge computing system via a network through a computer, mobile device, or the like. Security can be compromised in such an environment.

한편, 일반적인 해외 업체의 엣지 컴퓨팅 서비스에서는 복수 사용자의 다자간 화면 구성 서비스가 제공되지 않고 있다. 전술한 바와 같이 중소기업의 니즈에 따라 복수 부서의 다양한 사용자가 엣지 컴퓨팅 시스템에 접근하게 되므로, 하나의 엣지 컴퓨팅 시스템에서 다자간 데이터 작성과 제어가 가능하도록 사용자별 독립적인 구성이 가능한 엣지 컴퓨팅 서비스의 제공 필요성이 대두된다.On the other hand, edge computing services of general overseas companies do not provide multi-user multi-user screen configuration services. As described above, since various users from multiple departments access the edge computing system according to the needs of small and medium-sized businesses, it is necessary to provide edge computing services that can be independently configured for each user to enable multilateral data creation and control in one edge computing system. this comes to the fore

선행기술문헌 : KR공개특허공보 제2018-0119162호 (2018.11.01)Prior art literature: KR Patent Publication No. 2018-0119162 (2018.11.01)

본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로, 특히 사용자별 독립적인 구성이 가능하고 보안이 강화된 엣지 컴퓨팅 시스템을 제공하는 데 그 목적이 있다.The present invention has been made to solve the above problems, and in particular, an object of the present invention is to provide an edge computing system capable of independent configuration for each user and having enhanced security.

상기 목적을 달성하기 위해 안출된 본 발명에 따른 사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템은 ROOT 계정에서 복수개의 시스템 관리자 계정 1~n 을 생성하고, 각 시스템 관리자 계정 1~n은 각각의 계정별로 데이터베이스 파일을 생성하며, 시스템 관리자 계정 1이 생성한 사용자 1의 계정정보 데이터와 사용자 1이 관리 또는 생성한 엣지 시스템 데이터인 계정 1 데이터베이스 파일에는 ROOT 계정 또는 시스템 관리자 계정 1 이외에는 접근할 수 없고, 공용으로 사용하는 데이터에는 시스템 관리자 속성으로 생성된 하나의 계정인 '시스템 관리자 계정_공용'에서 데이터베이스 파일 생성시에 사용자 1~n이 접근 가능하도록 설정하는 것을 특징으로 한다.According to the present invention devised to achieve the above object, the edge computing system capable of independently operating data and configuring a user interface for each user and applying multi-layered multi-level security creates a plurality of system administrator accounts 1 to n in the ROOT account, , Each system manager account 1 to n creates a database file for each account, and the account information data of user 1 created by system manager account 1 and the account 1 database file, which is the edge system data managed or created by user 1, are ROOT It is not accessible to anyone other than the account or system administrator account 1, and the data for public use is set to be accessible to users 1 to n when creating a database file in 'System Manager Account_Public', an account created with the system manager properties. It is characterized by doing.

또한, 본 발명에 따른 엣지 컴퓨팅 시스템은 비교/분석 감시 프로그램은 ROOT 계정의 허가 하에 ROOT 계정에서 실행하여 시스템에 접근하는 모든 사용자를 감시하되, 웹 혹은 CS(Client Server) 방식으로 엣지 시스템에 접속하고자 하는 사용자의 접속 요청이 발생하면 비교/분석 감시 프로그램은 허용 가능한 포트 번호인지 검사하여 허용된 포트 이외에는 접근을 차단하고, 허용 가능한 포트인 경우 비교/분석 감시 프로그램은 접속하고자 하는 계정인 제1 계정과 각 시스템 관리자 계정인 제2 계정의 일치 여부를 검사하여 ROOT 계정과 제2 계정 이외에는 접근을 차단할 수 있다.In addition, in the edge computing system according to the present invention, the comparison/analysis monitoring program is executed in the ROOT account under the permission of the ROOT account to monitor all users accessing the system, but to access the edge system in a web or CS (Client Server) method. When a user access request occurs, the comparison/analysis monitoring program checks whether the port number is permissible and blocks access to ports other than the permitted ports. It is possible to block access other than the ROOT account and the second account by checking whether the second account, which is each system manager account, matches.

또한, 본 발명에 따른 엣지 컴퓨팅 시스템은 제1 계정이 제2 계정과 일치할 경우 비교/분석 감시 프로그램은 각 시스템 관리자 계정(제2 계정)에서 생성된 복수개의 데이터베이스 파일에 저장되어 있는 사용자 정보인 제3 계정과 제1 계정이 일치하는지 검사하여 사용자 자신이 사용하는 데이터에 대한 다른 사용자의 접근을 차단할 수 있다.In addition, in the edge computing system according to the present invention, when the first account matches the second account, the comparison/analysis monitoring program is user information stored in a plurality of database files created in each system manager account (second account). It is possible to block another user's access to data used by the user by checking whether the third account and the first account match.

본 발명에 의하면 ROOT 계정의 허가 하에 ROOT 계정을 통해 비교/분석 감시 프로그램에 들어가도록 설계함으로써, 해킹의 위험을 최소화할 수 있는 효과가 있다.According to the present invention, it is designed to enter the comparison/analysis monitoring program through the ROOT account under the permission of the ROOT account, thereby minimizing the risk of hacking.

또한, 본 발명에 의하면 ROOT 계정을 통한 개별 DB 및 공용 DB 접근시 공용 DB를 Dump 형태로 구현하여 임시저장 공간을 제공하고, 부팅시마다 해시값을 생성하고 전원 차단시에는 마치 RAM과 같이 삭제되도록 함으로써, 공용 DB에 저장된 공용 데이터의 무분별한 복사 또는 이동을 방지할 수 있는 효과가 있다.In addition, according to the present invention, when accessing individual DBs and public DBs through the ROOT account, common DBs are implemented in a dump form to provide temporary storage space, generate hash values at every booting, and are deleted like RAM when power is cut off. , there is an effect of preventing indiscriminate copying or movement of common data stored in a common DB.

또한, 본 발명에 의하면 다층적, 다단계 보안 프로세스를 통해 하나의 비교/분석 감시 프로그램으로 불순한 의도의 외부 접근과 다른 사용자에 의한 사용자 자신의 데이터 삭제 및 조작을 원천적으로 차단하여 안정성을 확보할 수 있는 효과가 있다.In addition, according to the present invention, through a multi-layered, multi-level security process, a single comparison/analysis monitoring program fundamentally blocks unauthorized external access and deletion and manipulation of user's own data by other users to ensure stability. It works.

도 1은 웹 방식 또는 CS 방식으로 접속하는 경우의 일반적인 엣지 컴퓨팅 시스템 아키텍처를 도시한 개념도,
도 2는 웹 방식 또는 CS 방식으로 접속하는 경우의 일반적인 엣지 컴퓨팅 시스템의 데이터 베이스 구조를 도시한 개념도,
도 3은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 데이터베이스 구조를 도시한 개념도이다.
도 4는 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 사용자별 접속 방식을 도시한 개념도,
도 5는 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 데이터베이스 구성을 도시한 블록도,
도 6은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 비교/분석 감시 프로그램의 실행 플로우 차트,
도 7은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 사용자별 독립적인 데이터 운용 및 UI 구성이 가능한 방식을 도시한 개념도이다.1 is a conceptual diagram showing a general edge computing system architecture in case of access by web method or CS method;
2 is a conceptual diagram showing the database structure of a general edge computing system when accessing by web method or CS method;
3 is a conceptual diagram illustrating a database structure of an edge computing system according to a preferred embodiment of the present invention.
4 is a conceptual diagram showing an access method for each user of an edge computing system according to a preferred embodiment of the present invention;
5 is a block diagram showing a database configuration of an edge computing system according to a preferred embodiment of the present invention;
6 is an execution flow chart of a comparison/analysis monitoring program of an edge computing system according to a preferred embodiment of the present invention;
7 is a conceptual diagram illustrating a method for enabling independent data operation and UI configuration for each user of an edge computing system according to a preferred embodiment of the present invention.

이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 바람직한 실시예를 설명할 것이나, 본 발명의 기술적 사상은 이에 한정하거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있음은 물론이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. First, in adding reference numerals to components of each drawing, it should be noted that the same components have the same numerals as much as possible even if they are displayed on different drawings. In addition, in describing the present invention, if it is determined that a detailed description of a related known configuration or function may obscure the gist of the present invention, the detailed description will be omitted. In addition, although preferred embodiments of the present invention will be described below, the technical idea of the present invention is not limited or limited thereto and can be modified and implemented in various ways by those skilled in the art.

복수개의multiple 시스템 관리자 계정 생성 Create system administrator account

도 1은 웹 방식 또는 CS 방식으로 접속하는 경우의 일반적인 엣지 컴퓨팅 시스템 아키텍처를 도시한 개념도이고, 도 2는 웹 방식 또는 CS 방식으로 접속하는 경우의 일반적인 엣지 컴퓨팅 시스템의 데이터 베이스 구조를 도시한 개념도이다. 1 is a conceptual diagram showing the architecture of a general edge computing system in case of access by web method or CS method, and FIG. 2 is a conceptual diagram showing the database structure of a general edge computing system in case of access by web method or CS method. .

도 1 및 도 2를 참조하면, 사용자는 네트워크를 통해 엣지 컴퓨팅 시스템의 데이터에 접근한다.Referring to FIGS. 1 and 2 , a user accesses data of an edge computing system through a network.

네트워크를 통한 데이터 접근시 웹 접속방식 또는 CS(Client Server) 방식을 사용하게 되는데 이 경우 사용자 계정 정보는 운영체제 관리자 계정에 의해 생성된 데이터베이스에 저장된다. 예컨대, UNIX 또는 LINUX 계열의 경우 운영체제 관리자 계정은 ROOT 계정에서 생성한 1개의 시스템 관리자 계정이다.When accessing data through a network, a web access method or CS (Client Server) method is used. In this case, user account information is stored in a database created by an operating system manager account. For example, in the case of UNIX or LINUX, the operating system administrator account is one system administrator account created from the ROOT account.

하나의 엣지 컴퓨팅 시스템에 다수의 사용자가 접근할 경우, 데이터베이스를 생성하고 관리하는 계정인 1개의 시스템 관리자 계정의 정보가 노출되면 데이터베이스에 있는 다수 사용자의 모든 정보가 노출될 수 있는 위험이 있다.When multiple users access one edge computing system, there is a risk that all information of multiple users in the database may be exposed if the information of one system administrator account, which is an account that creates and manages a database, is exposed.

도 3은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 데이터베이스 구조를 도시한 개념도이다.3 is a conceptual diagram illustrating a database structure of an edge computing system according to a preferred embodiment of the present invention.

도 3을 참조하면, 본 발명에서는 복수개의 시스템 관리자 계정을 생성하여 각 시스템 관리자 계정별로 데이터베이스 파일을 각각 관리할 수 있도록 한다. 즉, 1개의 시스템 관리자 계정이 엣지 컴퓨팅 시스템 전체의 데이터베이스 파일을 관리하는 대신 복수개의 시스템 관리자 계정이 각각 데이터베이스 파일을 관리한다.Referring to FIG. 3 , in the present invention, a plurality of system administrator accounts are created to manage database files for each system administrator account. That is, instead of one system manager account managing the database files of the entire edge computing system, a plurality of system manager accounts each manage the database files.

웹 접속 또는 CS 방식의 네트워크로 엣지 컴퓨팅 시스템에 접속하고자 하는 경우 접속을 시도하는 계정과 복수개의 시스템 관리자 계정을 연동하여 데이터베이스의 데이터를 계정별로 독립적으로 관리함으로써 보안 및 안정성을 확보한다.When trying to access the edge computing system through web access or CS-type network, security and stability are ensured by independently managing the data in the database for each account by linking the account trying to access with multiple system administrator accounts.

데이터베이스 파일의 접근 권한은 운영체제에 따른다. UNIX 계열 운영체제 시스템에 적용할 경우 사용자 자신의 데이터베이스 파일은 최고 등급의 보안을 가지며 다른 사용자 계정의 보안이 허물어져도 자신의 계정에서 생성한 데이터베이스 파일에는 침입자가 접근할 수 없다. 따라서 운영체제에서 생성된 여러 개의 시스템 관리자 계정에서 각각의 계정별로 데이터베이스 파일을 생성하는 경우 다른 계정에는 접근할 수 없도록 데이터베이스 파일이 구성된다.Access rights for database files depend on the operating system. When applied to a UNIX-based operating system, the user's own database file has the highest level of security, and even if the security of other user accounts is compromised, an intruder cannot access the database file created by the user's account. Therefore, when a database file is created for each account in multiple system administrator accounts created in the operating system, the database file is configured so that other accounts cannot access it.

도 3에서 운영체제에서 생성된 '시스템 관리자 계정 1'이 생성한 사용자 1의 계정정보 데이터와 사용자 1이 관리 또는 생성한 엣지 시스템 데이터(계정1 데이터베이스 파일)에는 ROOT 계정 또는 시스템 관리자 계정 1 이외에는 접근할 수 없다. 즉, 데이터베이스 파일의 권한 설정을 자신의 계정 또는 ROOT 계정에서만 엑세스 할 수 있도록 설정한다.3, the account information data of user 1 created by 'system manager account 1' created in the operating system and the edge system data (account 1 database file) managed or created by user 1 cannot be accessed by anyone other than the ROOT account or system manager account 1. can't That is, set the permissions of the database file so that only your own account or the ROOT account can access it.

공용으로 사용해야 하는 데이터에는 시스템 관리자 속성으로 생성된 하나의 계정(시스템 관리자 계정_공용)에서 데이터베이스 파일 생성시에 모든 사용자가 접근 가능하도록 설정하면 된다.For data that needs to be used in public, you can set it so that all users can access it when creating a database file in one account (system administrator account_public) created as a system administrator property.

도 3에서 운영체제에서 생성된 '시스템 관리자 계정_공용'에서 스마트 제조현장의 엣지 시스템에 연결된 로봇, 컨트롤러, 센서 등 디바이스 데이터(공용 데이터베이스 파일)에 사용자 1~n이 모두 엑세스할 수 있도록 설정된다.In FIG. 3, the 'system manager account_public' created in the operating system is set so that all users 1 to n can access device data (public database files) such as robots, controllers, and sensors connected to the edge system of the smart manufacturing site.

비교/분석 감시 프로그램Comparison/Analysis Monitoring Program

도 4는 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 사용자별 접속 방식을 도시한 개념도이고, 도 5는 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 데이터베이스 구성을 도시한 블록도이며, 도 6은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 비교/분석 감시 프로그램의 실행 플로우 차트이다.4 is a conceptual diagram showing an access method for each user of an edge computing system according to a preferred embodiment of the present invention, and FIG. 5 is a block diagram showing a database configuration of an edge computing system according to a preferred embodiment of the present invention. 6 is an execution flow chart of the comparison/analysis monitoring program of the edge computing system according to a preferred embodiment of the present invention.

도 4를 참조하면, 본 발명에서는 사용자가 웹 또는 CS 방식의 네트워크로 엣지 컴퓨팅 시스템에 접속할 경우 비교/분석 감시 프로그램은 접속하고자 하는 계정(이하, '제1 계정'), 운영체제에서의 계정(이하, '제2 계정'), 생성된 데이터베이스 파일의 사용자 정보 및 접근 권한(이하, '제3 계정')과 일치하는지 비교 및 분석하여 정보가 일치하지 않으면 접속하고자 하는 해당 계정으로는 데이터베이스 파일에 접근할 수 없도록 한다.Referring to FIG. 4, in the present invention, when a user accesses an edge computing system through a web or CS-type network, the comparison/analysis monitoring program determines the account to be accessed (hereinafter referred to as 'first account'), the account in the operating system (hereinafter referred to as 'first account') , 'second account'), compare and analyze whether the user information and access rights (hereinafter referred to as 'third account') of the created database file match, and if the information does not match, access the database file with the account you want to access. make it impossible

비교/분석 감시 프로그램은 운영체제 최고 권한인 ROOT 계정에서 실행하여 시스템에 접근하는 모든 사용자를 감시하도록 한다. 즉, 비교/분석 감시 프로그램은 ROOT 계정의 허가 하에 ROOT 계정을 통해 들어가는 프로그램이므로, ROOT 계정이 뚫리지 않는 이상은 비교/분석 감시 프로그램에 대한 해킹의 위험이 없다고 볼 수 있다.Comparison/Analysis monitoring program runs under the ROOT account, which is the highest authority in the operating system, to monitor all users accessing the system. That is, since the comparison/analysis monitoring program is a program entered through the ROOT account under the permission of the ROOT account, it can be seen that there is no risk of hacking into the comparison/analysis monitoring program unless the ROOT account is breached.

UNIX 또는 LINUX 운영체제의 ROOT 계정은 시스템을 파괴할 권한까지 가지는 최고 관리자이다. 그러므로 ROOT 계정에서 추가로 생성한 시스템 관리자 계정의 경우 ROOT 계정보다 우위에 있을 수 없으며, ROOT 계정에서 실행되는 프로그램(예컨대 비교/분석 감시 프로그램)은 시스템 관리자 계정이라 할지라도 접근할 수 없다.The ROOT account of the UNIX or LINUX operating system is the highest administrator with the authority to destroy the system. Therefore, a system administrator account additionally created from the ROOT account cannot have priority over the ROOT account, and programs running in the ROOT account (for example, a comparison/analysis monitoring program) cannot access even a system administrator account.

도 5 및 도 6을 참조하면, 먼저 ROOT 계정으로 비교/분석 감시 프로그램을 실행한다(S10).Referring to FIGS. 5 and 6 , first, a comparison/analysis monitoring program is executed using the ROOT account (S10).

웹서버 및 데이터서버로부터 데이터 엑세스 요청이 들어올 경우(S20) 접속자의 계정 정보(제1 계정)를 확인(S30)한다.When a data access request is received from the web server and data server (S20), the account information (first account) of the visitor is checked (S30).

비교/분석 감시 프로그램은 다층적인 다단계 보안 프로세스를 가동한다.Comparison/analysis monitoring programs operate a multi-layered, multi-level security process.

(1) 포트 검사 : 1단계(1) Port scan: Step 1

첫 번째로, 웹 혹은 CS 방식의 네트워크로 엣지 시스템에 접속하고자 하는 사용자의 접속 요청이 발생되면 허용 가능한 포트번호 인지 검사한다. 포트번호란 TCP/IP 통신에서 전송된 데이터가 사용되는 목적지까지 온 경우 해당 데이터가 어디로 가야하는지 알려준다. 포트번호는 16비트로 구성되며 통상적으로 국제 규격에 의해 관리된다.First, when an access request from a user who wants to access the edge system through a web or CS network is generated, it is checked whether the port number is allowable. The port number indicates where the data should go when the data transmitted in TCP/IP communication reaches the destination where it is used. The port number consists of 16 bits and is usually managed by international standards.

예컨대 20 포트는 FTP(data), 21 포트는 FTP(제어), 53 포트는 DNS, 80 포트는 HTTP, 443 포트는 HTTPS 등이다. 포트를 보면 어떤 프로토콜로 데이터가 갈 것인지 알 수 있다. 이는 포트를 통해 데이터가 갈 프로토콜을 통제할 수 있음을 의미한다.For example, port 20 is FTP (data), port 21 is FTP (control), port 53 is DNS, port 80 is HTTP, port 443 is HTTPS, etc. By looking at the port, you can tell which protocol the data is going through. This means that you can control the protocol the data goes through the port.

웹 접속 방식으로 엣지 시스템을 구성할 경우 비교/분석 감시 프로그램은 포트 중에 HTTP(HyperText Transfer Protocol) 방식의 웹 접속을 위한 80포트만 허용하도록 하고, CS 방식으로 구성할 경우 미리 정의된 사용자 포트(예컨대 49152 포트)만 허용하고 다른 포트로의 접속 시도를 원천적으로 차단함으로써 허용된 포트 이외에는 엣지 시스템 데이터베이스에 접근할 수 없도록 제한한다.When the edge system is configured in the web access method, the comparison/analysis monitoring program allows only 80 ports for HTTP (HyperText Transfer Protocol) type web access among ports. port) and by fundamentally blocking access attempts to other ports, access to the edge system database is restricted except for the permitted ports.

웹 접속과 CS 접속을 허용할 경우 비교/분석 감시 프로그램은 80포트와 49152포트의 접속을 허용하고 나머지는 차단하도록 구현할 수 있다.When web access and CS access are allowed, the comparison/analysis monitoring program can be implemented to allow access to ports 80 and 49152 and block the rest.

1단계 보안은 불순한 의도로 엣지 컴퓨팅 시스템 데이터베이스에 접근하기 위해 SSH(포트번호 22), Telnet(포트번호 23) 등과 같은 TCP/IP 방식에서 사용할 수 있는 다양한 접근방식을 원천적으로 차단한다.Level 1 security fundamentally blocks various access methods that can be used in TCP/IP methods such as SSH (port number 22) and Telnet (port number 23) to access the edge computing system database with malicious intent.

(2) 시스템 관리자 계정 검사 : 2단계(2) System administrator account check: Step 2

두 번째로, 허용가능한 포트인 경우 비교/분석 감시 프로그램은 제1 계정과 제2 계정의 일치 여부를 확인한다.Second, if the port is allowable, the comparison/analysis monitoring program checks whether the first account and the second account match.

UNIX 또는 LINUX 운영체제에서 계정을 생성하면 /etc/passwd 파일에 계정 정보가 기록된다. 이 정보는 ROOT 계정에서만 확인할 수 있으므로 ROOT 계정에서 실행되는 감시 프로그램은 접근이 가능하며 다른 계정에서는 접근이 불가능하다. 따라서, 비교/분석 감시 프로그램은 /etc/passwd 파일의 계정 ID(제2 계정)와 접속자의 ID(제1 계정)가 일치하는지 비교 및 분석한다.When an account is created on a UNIX or LINUX operating system, the account information is recorded in the /etc/passwd file. Since this information can only be verified by the ROOT account, monitoring programs running in the ROOT account can access it, but other accounts cannot access it. Accordingly, the comparison/analysis monitoring program compares and analyzes whether the account ID (second account) in the /etc/passwd file and the accessor's ID (first account) match.

엣지 시스템을 구축하는 단계는 시스템 관리자가 진행한다. 시스템 구축을 진행하는 단계에서 여러 사용자에 대한 계정 ID(제2 계정)를 미리 ROOT 계정을 통해 생성하고, 생성된 계정 ID(제2 계정)는 ROOT 계정 이외에는 알 수 없다.The stage of building the edge system is carried out by the system administrator. In the stage of system construction, account IDs (second accounts) for several users are created in advance through the ROOT account, and the generated account IDs (second accounts) are unknown to anyone other than the ROOT account.

그러므로 접속하고자 하는 ID(제1 계정)가 시스템을 구축할 때 할당된 ID(제2 계정)인지 여부를 비교/분석 감시 프로그램에서 비교 및 분석함으로써 접속 허가에 대한 보안성을 강화한다.Therefore, the security of access permission is strengthened by comparing and analyzing whether the ID (first account) to be accessed is the ID (second account) assigned when the system was built in the comparison/analysis monitoring program.

2단계 보안은 데이터베이스 파일을 ROOT 계정에서 생성된 사용자별로 여러 개로 나누어 구성하고, ROOT 계정과 데이터베이스 파일을 생성한 계정(제2 계정) 이외에는 접근을 차단한다. The second-level security divides the database file into several groups for each user created in the ROOT account, and blocks access except for the ROOT account and the account that created the database file (the second account).

(3) 데이터베이스 사용자 정보 검사 : 3단계(3) Check database user information: Step 3

세 번째로, 비교/분석 감시 프로그램은 각각의 시스템 관리자 계정(제2 계정)에서 생성된 여러 개의 데이터베이스 파일에 저장되어 있는 사용자 정보(제3 계정)와 접속자의 정보(제1 계정)가 일치하는지 비교/분석한다.Thirdly, the comparison/analysis monitoring program checks whether the user information (third account) stored in several database files created in each system manager account (second account) and the accessor's information (first account) match. Compare/analyze.

시스템 관리자 계정(제2 계정)에서 생성된 데이터베이스 파일이라 할지라도 chmod 명령을 이용해 파일의 접근 권한을 ROOT 계정과 사용자 자신의 계정에서만 사용 가능하도록 설정할 수 있다.Even for a database file created by the system administrator account (second account), you can use the chmod command to set the file's access privileges so that only the ROOT account and the user's own account can use it.

비교/감시 프로그램은 ROOT 계정에서 실행되고 있고, 각각 생성된 데이터베이스 파일은 ROOT 계정에서 접근 가능하므로, 비교/분석 감시 프로그램은 데이터베이스 파일에 저장되어 있는 사용자 정보(제3 계정)와 네트워크로 접속하는 접속자 정보(제1 계정)를 비교하는 것이 가능하다.Since the comparison/monitoring program is executed in the ROOT account and each created database file can be accessed from the ROOT account, the comparison/analysis monitoring program is used by users who access the user information (third account) stored in the database file and the network. It is possible to compare information (first account).

엣지 시스템 구축시 시스템에 접속하고자 하는 여러 사용자들에 대한 계정 ID(제2 계정)를 ROOT 계정을 사용하여 생성하고, 각 제2 계정별로 데이터베이스 파일을 별도로 구성한다.When building an edge system, account IDs (second accounts) for multiple users who want to access the system are created using the ROOT account, and a database file is separately configured for each second account.

별도로 구성된 데이터베이스 파일 내부에는 파일을 생성한 주체(ID, Password)를 저장하고, 이 정보는 ROOT 계정 및 해당 주체의 계정 이외에는 접근할 수 없다.Inside the separately configured database file, the subject (ID, password) that created the file is stored, and this information cannot be accessed by anyone other than the ROOT account and the account of the subject.

비교/분석 감시 프로그램은 접속자의 ID(제1 계정)와 데이터베이스 파일 내부에 저장된 ID(제3 계정)가 일치하는가를 비교/분석하여 다른 계정에서 생성된 데이터베이스 파일에의 접근을 원천적으로 차단한다.The comparison/analysis monitoring program compares/analyzes whether the accessor's ID (first account) and the ID (third account) stored in the database file match, and fundamentally blocks access to the database file created by another account.

3단계 보안에서는 복수개로 생성된 데이터베이스 파일에 대해 각각의 데이터베이스 파일에 저장된 사용자 정보(제3 계정)와 접속자 정보(제1 계정)를 비교하여 사용자 자신이 사용하는 데이터에 대한 다른 사용자의 접근을 차단한다.In the 3rd level security, the user information (third account) stored in each database file and the accessor information (first account) are compared for the database files created in multiple numbers to block other users' access to the data used by the user himself. do.

이와 같은 다층적인 다단계 보안 프로세스를 통해 하나의 시스템을 여러 사용자가 사용할 경우 데이터의 안정성을 확보한다.Through such a multi-layered multi-level security process, data stability is secured when one system is used by multiple users.

비교/분석 감시 프로그램은 1~3단계 보안이 허용된 사용자와 그 사용자에 대한 데이터베이스 파일을 정확히 싱크(synchronization)하여 사용자 자신이 관리하는 데이터베이스 파일 내부의 쿼리/트리 구조 파악과 데이터의 읽기와 쓰기가 가능하며, 다른 사용자는 접근 자체를 원천 차단한다.The comparison/analysis monitoring program accurately synchronizes the users allowed for level 1 to 3 security and the database files for those users, so that the user can identify the query/tree structure inside the database file managed by the user himself and read and write data. It is possible, and other users block access itself.

비교/분석 감시 프로그램은 하나의 감시 프로그램으로 불순한 의도의 외부 접근을 차단하고, 다른 사용자에 의해 자신이 사용하는 데이터의 삭제 및 조작이 불가능하도록 하여 안정성을 확보한다.The comparison/analysis monitoring program secures stability by blocking unauthorized external access with one monitoring program and preventing other users from deleting or manipulating the data they use.

1~3단계를 통해 비교/분석한 모든 부분이 일치하여 데이터베이스 파일에의 접근이 가능한 경우 요청한 데이터에 대한 데이터베이스 엑세스 및 처리(S70)가 가능하여 사용자 계정별 데이터베이스에 접근할 수 있다.If all parts compared/analyzed through Steps 1 to 3 match and access to the database file is possible, database access and processing (S70) for the requested data is possible, allowing access to the database for each user account.

엑세스 및 처리 완료된 데이터는 웹서버 및 데이터서버의 데이터베이스에 전송 및 저장(S80)한다.The accessed and processed data is transmitted and stored in the database of the web server and data server (S80).

웹 혹은 CS 방식의 네트워크로 접속하여 사용하고자 하는 엣지 시스템은 서버의 역할을 하게 되고, 서버는 엣지 시스템 내부에 웹서버 및 데이터 서버 형태로 구축된다. 접속자는 원거리에서 PC, 모바일 기기 등 클라이언트 디바이스를 이용하여 웹 접속 방식으로 접속하고자 하는 경우 웹 브라우저, CS 방식으로 접속하고자 하는 경우 별도의 전용 애플리케이션을 이용해 서버에 접속하여 사용한다.The edge system to be accessed and used through a web or CS-type network serves as a server, and the server is built in the form of a web server and data server inside the edge system. The visitor connects to the server using a web browser or a separate dedicated application when trying to access by web access method using a client device such as a PC or mobile device from a distance.

서버의 입장에서는 여러 클라이언트 디바이스의 데이터 요청을 처리하기 위해 웹서버 및 데이터서버를 구축하고, 구축된 서버의 운용을 위해 별도의 데이터베이스를 구축하게 된다.From the server's point of view, a web server and a data server are built to handle data requests from various client devices, and a separate database is built to operate the built server.

이와 같이 별도로 구축된 데이터베이스(이하 '공용 DB))에는 공용으로 사용하는 데이터만 존재하고, 각 사용자마다 개별적으로 사용하는 데이터는 각각의 계정에서 생성된 데이터베이스(이하 '개별 DB')에 저장된다.In this separately constructed database (hereinafter referred to as 'public DB'), only publicly used data exists, and data used individually for each user is stored in a database created in each account (hereinafter referred to as 'individual DB').

비교/분석 감시 프로그램은 웹서버 및 데이터서버에서 각 계정별로 운용되는 데이터 요청이 들어오면 1~3단계의 과정을 거쳐 접속 허가 인증이 된 경우에만 요청된 데이터를 웹서버 및 데이터서버의 데이터베이스(공용 DB)로 전송한다.Comparison/Analysis Monitoring Program receives a request for data operated by each account from the web server and data server, and sends the requested data to the database of the web server and data server (public DB) is sent to

이때, 공용 DB는 일종의 Dump로서, 임시저장 공간을 제공하며, 부팅시마다 해시값을 생성하고 전원 차단시에는 마치 RAM과 같이 삭제된다. 이를 통해 공용 DB에 저장된 공용 데이터의 무분별한 복사 또는 이동을 방지할 수 있다.At this time, the common DB is a kind of Dump, providing a temporary storage space, generating a hash value at each booting and deleting it like RAM when power is cut off. Through this, indiscriminate copying or movement of common data stored in a common DB can be prevented.

도 5에서 우측의 '사용자 1 계정 데이터베이스' ~ '사용자 n 계정 데이터베이스'는 개별 DB에 해당하고, 좌측의 '구축된 서버 데이터베이스'는 공용 DB에 해당한다.In FIG. 5 , 'user 1 account database' to 'user n account database' on the right side correspond to individual DBs, and 'established server database' on the left side corresponds to a common DB.

사용자별 독립적인 데이터 운용 및 Independent data management and 유저user 인터페이스 구성 interface configuration

도 7은 본 발명의 바람직한 실시예에 따른 엣지 컴퓨팅 시스템의 사용자별 독립적인 데이터 운용 및 UI 구성이 가능한 방식을 도시한 개념도이다.7 is a conceptual diagram illustrating a method for enabling independent data operation and UI configuration for each user of an edge computing system according to a preferred embodiment of the present invention.

하나의 엣지 컴퓨팅 시스템에 여러 사용자가 접속하여 운용되는 경우가 빈번하게 발생한다. 예컨대 각 생산 공정마다 제어 및 모니터링하는 담당자가 관리하는 데이터와, 영업부, 구매부 등의 담당자가 관리하는 데이터는 서로 다를 것이며, 각 부서별, 개인별로 관리되는 데이터가 일부는 공유되고 일부는 서로 구별될 것이다. It frequently occurs that multiple users access and operate a single edge computing system. For example, the data managed by the person in charge of controlling and monitoring each production process and the data managed by the person in charge of the sales department and purchasing department will be different, and some of the data managed by each department and individual will be shared and some will be distinguished from each other. .

본 발명에서는 사용자별 독립적인 데이터 운용 및 UI 구성을 위한 설계툴의 실행을 계정별로 단독 실행 가능하도록 하여 사용자 유형별 독립적인 디바이스 제어 및 모니터링 화면 구성이 가능하도록 한다.In the present invention, the execution of the design tool for independent data operation and UI configuration for each user can be executed independently for each account, so that independent device control and monitoring screen configuration for each user type is possible.

발명의 배경이 되는 기술에서 언급한 바와 같이 웹 방식 또는 CS 방식을 사용하여 접속하는 일반적인 엣지 컴퓨팅 서비스의 경우 대부분 하나의 단일 데이터베이스 파일 구조를 갖는다. 이 경우 데이터베이스 파일에 문제가 발생하면 모든 사용자의 데이터에 문제가 발생할 수 있다.As mentioned in the background technology of the invention, in the case of a general edge computing service accessed using a web method or a CS method, most have a single database file structure. In this case, any problem with the database file can cause problems with all users' data.

본 발명에서는 사용자 계정별로 독립적인 데이터베이스 파일 구조를 가지도록 설계함으로써 각 부서별, 개인별로 독립적인 데이터 운용과 UI 구성이 가능하도록 한다.In the present invention, by designing to have an independent database file structure for each user account, independent data operation and UI configuration for each department and individual are possible.

본 발명에 의하면 각 부서별, 개인별로 필요한 정보만을 취득하고 제어할 수 있도록 구성함과 동시에, 엣지 시스템에서 처리되는 모든 데이터는 사용자마다 별도의 데이터베이스를 구성함으로써 계정별 독립적인 시스템 설계와 운용이 가능하도록 한다.According to the present invention, it is configured to acquire and control only necessary information for each department and individual, and at the same time, all data processed in the edge system configures a separate database for each user to enable independent system design and operation for each account. do.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 수정, 변경 및 치환이 가능할 것이다. 따라서, 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an example of the technical idea of the present invention, and those skilled in the art can make various modifications, changes, and substitutions without departing from the essential characteristics of the present invention. will be. Therefore, the embodiments disclosed in the present invention and the accompanying drawings are not intended to limit the technical idea of the present invention, but to explain, and the scope of the technical idea of the present invention is not limited by these embodiments and the accompanying drawings. . The protection scope of the present invention should be construed according to the claims below, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

S10 : ROOT 계정으로 프로그램을 실행하는 단계
S20 : 웹서버 및 데이터서버로부터 데이터 엑세스 요청이 들어왔는지 판단하는 단계
S30 : 접속자 계정 정보를 확인하는 단계
S40 : 허용가능한 포트인지 판단하는 단계
S50 : ROOT 계정에서 생성된 시스템 계정과 일치하는지 판단하는 단계
S60 : 데이터베이스에 저장된 사용자 정보와 일치하는지 판단하는 단계
S70 : 요청한 데이터에 대한 데이터레이스 엑세스 및 처리단계
S80 : 엑세스 및 처리 완료된 데이터를 전송 및 저장하는 단계S10: The step of running the program with the ROOT account
S20: Step of determining whether a data access request has been received from the web server and data server
S30: Step to verify accessor account information
S40: Step of determining whether the port is allowable
S50: Step to determine whether the ROOT account matches the system account created
S60: Step of determining whether it matches user information stored in the database
S70: Data race access and processing step for the requested data
S80: Transmitting and storing the accessed and processed data

Claims (3)

ROOT 계정에서 복수개의 시스템 관리자 계정 1~n 을 생성하고,
각 시스템 관리자 계정 1~n은 각각의 계정별로 데이터베이스 파일을 생성하며,
시스템 관리자 계정 1이 생성한 사용자 1의 계정정보 데이터와 사용자 1이 관리 또는 생성한 엣지 시스템 데이터인 계정 1 데이터베이스 파일에는 ROOT 계정 또는 시스템 관리자 계정 1 이외에는 접근할 수 없고,
공용으로 사용하는 데이터에는 시스템 관리자 속성으로 생성된 하나의 계정인 '시스템 관리자 계정_공용'에서 데이터베이스 파일 생성시에 사용자 1~n이 접근 가능하도록 설정하며,
비교/분석 감시 프로그램은 ROOT 계정의 허가 하에 ROOT 계정에서 실행하여 시스템에 접근하는 모든 사용자를 감시하되,
웹 혹은 CS(Client Server) 방식으로 엣지 시스템에 접속하고자 하는 사용자의 접속 요청이 발생하면 비교/분석 감시 프로그램은 허용 가능한 포트 번호인지 검사하여 허용된 포트 이외에는 접근을 차단하고,
허용 가능한 포트인 경우 비교/분석 감시 프로그램은 접속하고자 하는 계정인 제1 계정과 각 시스템 관리자 계정인 제2 계정의 일치 여부를 검사하여 ROOT 계정과 제2 계정 이외에는 접근을 차단하는,
사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템.Create multiple system administrator accounts 1 to n in the ROOT account,
Each system administrator account 1 to n creates a database file for each account,
The account information data of User 1 created by system administrator account 1 and the account 1 database file, which is the edge system data managed or created by user 1, cannot be accessed by anyone other than the ROOT account or system administrator account 1.
For publicly used data, set access to users 1 to n when creating a database file in 'System Manager Account_Public', an account created as a system manager property.
The comparison/analysis monitoring program runs under the ROOT account under the permission of the ROOT account and monitors all users accessing the system.
When an access request occurs from a user who wants to access the edge system by web or CS (Client Server) method, the comparison/analysis monitoring program checks whether the port number is allowable, blocks access to ports other than the allowed ones,
In the case of an allowable port, the comparison/analysis monitoring program checks whether the first account, which is the account to be accessed, and the second account, which is each system administrator account, match, and blocks access except for the ROOT account and the second account.
An edge computing system that enables independent data operation and user interface configuration for each user, and is applied with multi-level security. 삭제delete 제1항에 있어서,
제1 계정이 제2 계정과 일치할 경우 비교/분석 감시 프로그램은 각 시스템 관리자 계정(제2 계정)에서 생성된 복수개의 데이터베이스 파일에 저장되어 있는 사용자 정보인 제3 계정과 제1 계정이 일치하는지 검사하여 사용자 자신이 사용하는 데이터에 대한 다른 사용자의 접근을 차단하는,
사용자별 독립적인 데이터 운용 및 유저 인터페이스 구성이 가능하고, 다층적인 다단계 보안이 적용된 엣지 컴퓨팅 시스템.According to claim 1,
If the first account matches the second account, the comparison/analysis monitoring program checks whether the third account, which is user information stored in a plurality of database files created in each system manager account (second account), matches the first account. Block other users' access to the data used by the user by checking,
An edge computing system that enables independent data operation and user interface configuration for each user, and is applied with multi-level security.
KR1020210081291A 2021-06-23 2021-06-23 Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied KR102493586B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210081291A KR102493586B1 (en) 2021-06-23 2021-06-23 Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210081291A KR102493586B1 (en) 2021-06-23 2021-06-23 Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied

Publications (2)

Publication Number Publication Date
KR20220170455A KR20220170455A (en) 2022-12-30
KR102493586B1 true KR102493586B1 (en) 2023-01-31

Family

ID=84602015

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210081291A KR102493586B1 (en) 2021-06-23 2021-06-23 Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied

Country Status (1)

Country Link
KR (1) KR102493586B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL271643B2 (en) * 2017-06-28 2024-04-01 Goldman Sachs Bank Usa Interface-specific account identifiers
KR102251579B1 (en) * 2019-07-31 2021-05-13 주식회사 코튼캔디 Method and apparatus for supporting remote control
KR20210049541A (en) * 2019-10-25 2021-05-06 삼성에스디에스 주식회사 Edge computing device and method for controlling thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
연세대학교, '엣지 컴퓨팅 기반 실시간 다계층/다기능 데이터 스트림 처리 프레임워크', 과학기술정보통신부, 2020.03,

Also Published As

Publication number Publication date
KR20220170455A (en) 2022-12-30

Similar Documents

Publication Publication Date Title
US11397805B2 (en) Lateral movement path detector
RU2691211C2 (en) Technologies for providing network security through dynamically allocated accounts
US10325095B2 (en) Correlating a task with a command to perform a change ticket in an it system
US10491597B2 (en) Enforcing data security in a cleanroom data processing environment
US11716326B2 (en) Protections against security vulnerabilities associated with temporary access tokens
US10178096B2 (en) Enhanced data leakage detection in cloud services
US11481478B2 (en) Anomalous user session detector
US11647026B2 (en) Automatically executing responsive actions based on a verification of an account lineage chain
US20230362263A1 (en) Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain
US9268917B1 (en) Method and system for managing identity changes to shared accounts
KR102275764B1 (en) Data Storage Device with Variable Computer File System
KR102493586B1 (en) Edge computing system capable of independent data operation and user interface configuration for each user, and with multi-level security applied
US11729179B2 (en) Systems and methods for data driven infrastructure access control
Pawar A Study on Big Data Security and Data Storage Infrastructure
Sathyadevan et al. Enhancement of data level security in mongoDB
Dakic et al. Linux Security in Physical, Virtual, and Cloud Environments
US20220366039A1 (en) Abnormally permissive role definition detection systems
US20220150277A1 (en) Malware detonation
US20240179184A1 (en) Enhanced authorization layers for native access to secure network resources
US20240179143A1 (en) Native agentless efficient queries
US20240179141A1 (en) Agentless single sign-on for native access to secure network resources
US20240179148A1 (en) Agentless in-memory caching for native network resource connections
Ajay et al. Why, how cloud computing how not and cloud security issues
Khoma et al. Comprehensive Approach for Developing an Enterprise Cloud Infrastructure
Bicer et al. Blockchain-based Zero Trust on the Edge

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant