KR20050008486A - method of administering access to database - Google Patents

method of administering access to database Download PDF

Info

Publication number
KR20050008486A
KR20050008486A KR1020040053799A KR20040053799A KR20050008486A KR 20050008486 A KR20050008486 A KR 20050008486A KR 1020040053799 A KR1020040053799 A KR 1020040053799A KR 20040053799 A KR20040053799 A KR 20040053799A KR 20050008486 A KR20050008486 A KR 20050008486A
Authority
KR
South Korea
Prior art keywords
information
access
database
authority
user
Prior art date
Application number
KR1020040053799A
Other languages
Korean (ko)
Other versions
KR100657554B1 (en
Inventor
김용규
Original Assignee
김용규
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김용규 filed Critical 김용규
Publication of KR20050008486A publication Critical patent/KR20050008486A/en
Application granted granted Critical
Publication of KR100657554B1 publication Critical patent/KR100657554B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A method for reinforcing access and authority management of a database based on the PKI(Public Key Infrastructure) is provided to prevent an internal or external hacker from accessing a business information database by authenticating a real user with an electronic signature based on the PKI. CONSTITUTION: A security layer(220) processing authentication by the PKI and authority assignment by the PMI(Privilege Management Infrastructure) is installed in the database for storing various kinds of information. To communicate information with a database communication module(210), the security layer is installed to the same layer section as the database communication module. The access to various kinds of information databases(230) is managed by commonly using an access mode through a database user ID/password and the access mode through the security layer.

Description

데이터베이스 접근 및 권한 관리 강화 방법{method of administering access to database}Method of administering access to database

본 발명은 데이터베이스 접근 및 권한 관리 강화 방법에 관한 것으로, 더욱 상세하게는 데이터베이스의 각종 정보 DB에 접근할 수 있는 정보시스템, 외부 DB관리 툴, 내부 DB관리 툴 등에 의한 정보 DB 접근 시 공개키기반구조의 신원인증 및 권한인가 처리를 수행하는 영역을 데이터베이스 내부에 설치하여 보안성을 대폭 강화시키고, 업무담당자가 정보 DB 접근 권한이 없는 사용자에게 일시적으로 정보 DB 접근 권한을 부여하는 권한이양 기능 및 데이터베이스 접근과 정보 DB 사용내역 등의 정보감사 기능을 추가한 데이터베이스 접근 및 권한 관리 강화 방법에 관한 것이다.The present invention relates to a method for strengthening database access and authority management. More specifically, the public key infrastructure when accessing an information DB by an information system, an external DB management tool, an internal DB management tool, etc., which can access various information DBs of a database. It greatly enhances security by installing an area that performs identity authentication and authorization processing in the database, and the authority transfer function that temporarily grants access to information DB to users who do not have access to information DB and database access. And strengthening database access and authorization management by adding information auditing functions such as information DB usage history.

지난 1987년부터 추진된 "행정전산망사업" 의 일환으로 각급정부기관에서 행정정보화 사업을 추진하여 국가 행정의 중요 정보를 데이터베이스(Database; 이하, 간단히 'DB'라고도 한다)로 구축하여 운영하고 있다. 그러나 비 대면성 및 익명성이 상존하는 전자행정환경에서 내부사용자의 신분위장, 데이터 위·변조 등 각종 역기능에 대한 보호기반은 상대적으로 취약한 상황이다.As part of the "Administrative Computing Network Project," which has been implemented since 1987, government agencies at various levels have been implementing the administrative informatization project, and have established and operated important information on national administration as a database (hereinafter, simply referred to as a 'DB'). However, in the electronic administrative environment where non-face-to-face and anonymity exist, the basis of protection against various dysfunctions such as identity forgery of users, data forgery and alteration is relatively weak.

예를 들면, 교육행정정보시스템의 경우 기존 C/S환경의 시스템을 통합정보시스템인 NEIS(National Education Information System)로 변경하는 과정에서 정보 접근 및 권한 관리 체계의 미흡 등과 같은 보안상의 문제와 관리 대상 정보유형의 부적절성 등으로 인해 갈등이 심화되고 있는 실정이다.For example, in the case of educational administrative information system, security problems such as lack of information access and authority management system and management targets in the process of changing existing C / S environment system to NEIS (National Education Information System) Conflicts are intensifying due to inadequacy of information types.

또한, 내부사용자로부터의 데이터 보호의 문제점은 비단 정부뿐만 아니라 일반기업체에서도 커다란 문제로 대두되고 있다.In addition, the problem of data protection from internal users is becoming a big problem not only for the government but also for general enterprises.

도 1은 종래의 상용 데이터베이스 접근 루트 및 보안 방법을 설명하기 위한 도이다. 도 1에 도시한 바와 같이, 데이터베이스(30) 내부의 각종 정보 DB(34)에 접근하는 방법은 크게 3가지로 나눌 수 있는 바, A/P서버의 정보시스템(14)을 통해 접근하는 방법(도 1에서 실선으로 표시), 외부 DB관리 툴(20)을 통해 접근하는 방법(도 1에서 일점쇄선으로 표시) 및 데이터베이스(30) 내부에 구비된 DB관리 툴(50)을 통해 접근하는 방법(도 1에서 이점쇄선으로 표시) 등이 있다.1 is a diagram illustrating a conventional commercial database access route and security method. As shown in FIG. 1, the method of accessing various information DBs 34 in the database 30 can be broadly divided into three methods. The method of accessing the information through the A / P server information system 14 ( 1, a method of accessing through an external DB management tool 20 (indicated by a dashed line in FIG. 1) and a method of accessing through a DB management tool 50 provided inside the database 30 ( 1 as indicated by a dashed chain line).

전술한 구성에서, 정보시스템(Application: 이하 간단히 'APPL'이라고도 한다)을 통한 접근 방법에 따르면 대부분 APPL 클라이언트(이하,'사용자'라고도 한다)(10)가 A/P서버(12)의 업무 정보시스템(14) 접근 시 상기 A/P서버(12)의 정보시스템(14)에 접속하여 최초로 접하는 로그인 화면에 본인의 ID와 패스워드를 입력하여 데이터베이스에 구축된 사용자 정보 DB를 통한 사용자인증 및 접근 권한 확인을 받아 원하는 정보 DB(34)에 접근할 수가 있다.In the above-described configuration, according to the access method through the information system (hereinafter, simply referred to as 'APPL'), most APPL clients (hereinafter also referred to as 'users') 10 are business information of the A / P server 12. When accessing the system 14, access the information system 14 of the A / P server 12 and enter the user's ID and password in the login screen for the first time, and the user authentication and access authority through the user information DB built in the database. Upon confirmation, the desired information DB 34 can be accessed.

이 경우, 정보시스템(14)은 A/P서버(12)에 설치된 클라이언트 소프트웨어(통신모듈)(16)를 통해 데이터베이스(30)의 DB 통신모듈(32)과 연결하여 데이터베이스(30)에 접근하는 방법과 A/P 서버(12)에서 미들웨어(18)와 JDBC(Java DataBase Connectivity) Thin Driver(40)를 통하여 데이터베이스(30)에 접속하는 방법(도 1에서 점선으로 표시)이 있다. 첫 번째 경우는 정보시스템(14) 프로그램소스에 DB USER 정보(DB_유저 ID 및 패스워드)가 내재되어 있기 때문에 비록 정보DB(34) 접근 권한이 없는 사용자(Program개발자, 유지보수용역요원 등)라 할지라도 DB USER 정보(DB_유저 ID 및 패스워드)를 쉽게 습득 할 수 있어 각종 정보 DB(34)에 아무런 제약 없이 접근할 수 있다는 보안상 취약점이 있다. 나아가, 정보시스템(14)과 각종 정보 DB(34)의 사용권한이 임의 변경이 가능한 데이터 파일(사용자 정보 DB)로 관리되기 때문에 상기 정보 DB(34)의 사용권한 도용에 의한 위·변조가 용이하여 업무 정보 DB(34)의 신뢰성이 저하되는 문제점이 있다.In this case, the information system 14 accesses the database 30 by connecting to the DB communication module 32 of the database 30 through the client software (communication module) 16 installed in the A / P server 12. And a method of connecting to the database 30 through the middleware 18 and the Java DataBase Connectivity (JDBC) Thin Driver 40 in the A / P server 12 (indicated by a dotted line in FIG. 1). In the first case, because the DB USER information (DB_user ID and password) is embedded in the program system of the information system 14, it is a user who does not have access to the information DB 34 (Program developer, maintenance service personnel, etc.). However, there is a security vulnerability in that DB USER information (DB_user ID and password) can be easily obtained, so that various information DB 34 can be accessed without restriction. Furthermore, since the usage rights of the information system 14 and the various information DBs 34 are managed as data files (user information DBs) that can be arbitrarily changed, forgery and forgery of the information DB 34 can be easily performed. There is a problem that the reliability of the work information DB 34 is lowered.

실제로, 자동차관리 정보시스템에서 사용권한이 없는 공익근무요원이 권한 있는 업무담당자의 ID와 패스워드를 도용하여 정보 DB(자동차 압류정보)에 접근 한 후에 법규위반 차량에 대한 과태료 등의 체납 사실을 임의로 삭제해주고 금품을 수수한 범법 행위로 체포된 일이 신문 지상에 크게 보도된 바도 있다.In fact, a public service worker without permission from the car management information system accesses the information DB (automotive foreclosure information) by stealing the ID and password of a competent person in charge, and then randomly deletes the arrears, such as fines for the offending vehicle. The arrest of a criminal offense for giving and receiving money has been widely reported on the ground of the newspaper.

두 번째로 A/P 서버(12)에서 미들웨어(18)와 JDBC Thin Driver(40)를 통하여 정보 DB(34)에 접근하는 경우는 정보시스템(14) 프로그램소스에 DB USER 정보(DB_유저 ID 및 패스워드)를 내재시키지 않고 미들웨어(18)에서 데이터베이스 접근을 위한 DB USER 정보(DB_유저 ID 및 패스워드)를 관리한다. 그러나 이 경우에도 정보 DB(34)에 대한 접근 권한이 없는 사용자(Program개발자, 유지보수용역요원 등)에게 DB USER 정보(DB_유저 ID 및 패스워드)가 노출되어 있어 각종 정보 DB(34)에 아무런 제약없이 접근할 수 있다는 보안상 취약점이 있다.Second, when the A / P server 12 accesses the information DB 34 through the middleware 18 and the JDBC Thin Driver 40, the DB USER information (DB_User ID) is transmitted to the program system of the information system 14. And the DB USER information (DB_user ID and password) for accessing the database in the middleware 18 without inherent password). However, even in this case, the DB USER information (DB_user ID and password) is exposed to a user (Program developer, maintenance service personnel, etc.) who does not have access to the information DB 34, so that no information DB 34 has any information. There is a security vulnerability that allows access without restrictions.

한편, 정보시스템(14) 개발자나 데이터베이스 관리자가 정보 DB(34)의 구축 또는 데이터의 추가, 갱신 및 삭제와 같은 데이터 변경 작업을 수행할 수 있도록 지원하는 여러가지 정보 DB 관리 유틸리티 등이 개발, 활용되고 있고, 이런 유틸리티나 마이크로소프트사의 Excel과 같은 O/A 프로그램, 정보 DB를 이용한 Report Tool(이하, 이를 '외부 DB관리 툴'이라 명명한다) 등에 DB USER 정보(DB_유저 ID 및 패스워드)를 입력하여 각종 정보 DB(34)에 원격으로 접근할 수가 있다. 따라서 이러한 DB USER 정보(DB_유저 ID 및 패스워드)가 관리 소홀로 유출되는 경우에는 비록 권한이 없는 사용자라 할지라도 원격 접속 등의 방법을 통해 아무런 제약 없이 원하는 정보 DB에 손쉽게 접근할 수가 있다.On the other hand, various information DB management utilities are developed and utilized to support the information system 14 developer or database administrator to perform data change operations such as the construction of the information DB 34 or the addition, update and deletion of data. Enter DB USER information (DB_user ID and password) into such utilities, O / A programs such as Microsoft's Excel, and Report Tool (hereinafter referred to as 'external DB management tool') using information DB. It is possible to remotely access the various information DB (34). Therefore, if such DB USER information (DB_user ID and password) is leaked due to management neglect, even an unauthorized user can easily access the desired information DB without any restrictions through remote access.

또한, 데이터베이스(30) 내부에는 각종 정보 DB(34)를 관리 할 수 있는 데이터베이스 관리자인 무한 권한의 슈퍼유저(DBA; Database Administrater)가 사용할 수 있는 SQL Interpreter, 데이터 백업 프로그램(이하, 이를 '내부 DB관리 툴'이라 명명한다) 등이 구비되어 있는데, 데이터베이스 관리자는 이러한 내부 DB관리툴(50)에 DB USER 정보(DB_유저 ID 및 패스워드)를 입력하는 과정을 거쳐 원하는 정보 DB(34)의 접근 및 추가, 갱신, 백업 등의 작업을 할 수 있는 절대적 권한을 가지고 아무런 제약 없이 접근할 수가 있다. 이 경우, 데이터베이스의 유지관리 등을 위해 절대적 권한을 가진 슈퍼유저의 DB USER 정보(DB_유저 ID 및 패스워드)를 여러 전산 담당자와 정보시스템 개발자 등이 공유하는 경우가 많아 보안상 가장 취약한 문제점이 있다.In addition, the database 30, the SQL Interpreter, a data backup program (hereinafter, referred to as an 'internal DB') that can be used by a super administrator (DBA; Database Administrater) who is a database administrator who can manage various information DBs 34. Management tool), and the database administrator accesses the desired information DB 34 by inputting DB USER information (DB_user ID and password) into the internal DB management tool 50. And with absolute privileges to add, update, backup, etc., you can access without any restrictions. In this case, the DB USER information (DB_user ID and password) of the super user who has absolute authority for the maintenance of the database is often shared by various computer personnel and information system developers. .

이러한 문제점을 해결하기 위해 도 1에서와 같이 정보시스템(14)을 통한 데이터베이스 접근 시 정보시스템(14)의 A/P 서버(12)에 설치된 통신모듈(16)에서 정보시스템 사용자의 신원 및 권한 확인을 위해 신원 및 권한확인 시스템(13)에 문의하여 정보 DB(34)에 대한 접근을 허가 또는 불허할 수 있는 방법을 제공하고 있다.그러나, 이와 같이 정보시스템을 통한 정보 DB(34) 접근 시 전자서명 활용 등 고 수준의 보안구조를 활용하기 위해서는 DBMS사에서 제공하는 클라이언트 소프트웨어(통신모듈 포함)가 필수적으로 사용자(10) 머신에 설치되어 있어야 하지만 우회적인 방법으로 데이터베이스와 연동하기 위하여 JDBC Thin Driver(40)를 사용하는 외부 DB관리 툴(20), 미들웨어(18) 등을 사용하여 정보 DB(34)에 접근하고자 하는 경우에는 DBMS사에서 제공하는 클라이언트 소프트웨어(통신모듈 포함)를 설치하지 않아도 정보 DB(34) 접근이 가능하기 때문에 일관성 있는 보안 정책을 기대하기 어려운 현실이다.In order to solve this problem, the identity and authority of the information system user is checked in the communication module 16 installed in the A / P server 12 of the information system 14 when accessing the database through the information system 14 as shown in FIG. 1. In order to provide access to the information DB 34, the identification and authorization system 13 is provided. However, when the information DB 34 is accessed through the information system, Client software (including communication module) provided by DBMS company must be installed in user's 10 machine to utilize high level security structure such as signature use. However, JDBC Thin Driver ( 40) In order to access the information DB 34 using the external DB management tool 20, middleware 18, etc., the client software provided by the DBMS company. It is difficult to expect a consistent security policy because the information DB 34 can be accessed without installing a software (including a communication module).

본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 데이터베이스와 통신하는 통신영역 사이에 공개키기반구조의 신원인증 및 권한인가 처리를 수행하는 영역을 설치하고, 각종 정보 DB에 접근할 수 있는 정보시스템(APPL), 외부 DB관리 툴, 내부 DB관리 툴 등에 전자서명 기능을 추가하여 데이터베이스 접근 시 통과하는 신원인증 및 권한인가 영역에서 데이터베이스의 접근을 허가 또는 거부함으로써 보안성을 대폭 강화시키고, 업무담당자가 정보 DB 접근 권한이 없는 사용자(Program 개발자, 유지보수용역요원 등)에게 일시적인 정보 DB 접근 권한(임시 아이디 및 패스워드)을 부여하는 권한이양 기능과 실 정보사용자의 데이터베이스 접근과 정보 DB 사용내역 등의 정보감사 기능을 추가한 데이터베이스 접근 및 권한 관리 강화 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and provides an area for performing identity authentication and authorization processing of a public key infrastructure between communication areas communicating with a database and accessing various information DBs. By adding the digital signature function to the system (APPL), external DB management tool, and internal DB management tool, it greatly enhances security by granting or denying access to the database in the areas of identity authentication and authorization that pass through the database access. The authority transfer function that grants temporary information DB access rights (temporary ID and password) to users who do not have access to information DB (program developer, maintenance service personnel, etc.), and the database access and information DB usage history of actual information users. It provides a method of strengthening database access and authority management by adding information auditing function. There is a purpose.

본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 각종 정보가 저장되는 데이터베이스와 통신하는 영역 사이에 PKI에 의한 신원인증 및 PMI에 의한 권한인가 처리를 수행하는 시큐리티 레이어(220)를 설치하되, 상기 데이터베이스 내의 DB 통신모듈(210)과의 정보교류를 위해 상기 DB 통신모듈(210)과 동일 계층 영역에 설치하여, 상기 시큐리티 레이어(220)를 통한 접근 방식을 사용하여 상기 데이터베이스 내부의 각종 정보 DB에의 접근을 관리한다.The database access and authority management strengthening method of the present invention is to install a security layer 220 for performing identity authentication by the PKI and authorization authorization by the PMI between the communication area and the database in which the various information is stored, within the database It is installed in the same layer area as the DB communication module 210 to exchange information with the DB communication module 210, and accesses to various information DBs in the database by using an approach through the security layer 220. Manage.

도 1은 종래의 상용 데이터베이스 접근 루트 및 보안방법을 설명하기 위한 도,1 is a view for explaining a conventional commercial database access route and security method;

도 2는 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법의 접근 루트를 설명하기 위한 도,2 is a view for explaining the access route of the database access and authority management strengthening method of the present invention;

도 3은 본 발명에서 정보시스템(Application)을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,3 is a flow chart for explaining a database (DB) access and authority management strengthening method through the information system (Application) in the present invention,

도 4는 본 발명에서 외부 DB관리 툴을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,Figure 4 is a flow chart for explaining a database (DB) access and authority management strengthening method through an external DB management tool in the present invention,

도 5는 본 발명에서 내부 DB관리 툴을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,Figure 5 is a flow chart for explaining a database (DB) access and authority management strengthening method through the internal DB management tool in the present invention,

도 6은 본 발명에서 업무담당자가 권한이양을 위해 데이터베이스(DB)에 접근할 수 있는 임시 아이디 및 패스워드 발급 방법 설명을 위한 흐름도,6 is a flowchart illustrating a temporary ID and password issuing method for a person in charge in the present invention to access a database (DB) for the transfer of authority;

도 7은 본 발명에서 권한수임자가 임시 아이디 및 패스워드를 통해 데이터베이스(DB)에 접근하는 방법 설명을 위한 흐름도이다.FIG. 7 is a flowchart illustrating a method of accessing a database through a temporary ID and password by a privilege holder in the present invention.

*** 도면의 주요 부분에 대한 부호의 설명 ****** Explanation of symbols for the main parts of the drawing ***

10: APPL클라이언트, 12: A/P서버,10: APPL client, 12: A / P server,

13: 신원 및 권한확인 시스템,13: identity and authorization system,

14: 정보시스템, 16: 통신모듈,14: information system, 16: communication module,

18: 미들웨어, 20: 외부 DB관리 툴,18: middleware, 20: external DB management tool,

30: 데이터베이스, 32: DB 통신모듈,30: database, 32: DB communication module,

34: 정보 DB, 40: JDBC Thin Driver,34: information DB, 40: JDBC Thin Driver,

50: 내부 DB관리 툴, 100: APPL 클라이언트,50: internal DB management tool, 100: APPL client,

102: 사용자 PKC, 110: A/P서버,102: user PKC, 110: A / P server,

112: 정보시스템, 114: 통신모듈,112: information system, 114: communication module,

120: 외부 DB관리 툴, 122: 관리자 PKC,120: external DB management tool, 122: administrator PKC,

130: 권한관리 툴, 132: 권한이양자 PKC,130: authority management tool, 132: authority transfer PKC,

200: 데이터베이스, 210: DB 통신모듈,200: database, 210: DB communication module,

220: 시큐리티 레이어, 222: 인증처리부,220: security layer, 222: authentication processing unit,

224: 권한인가부, 230: 정보 DB,224: authorization authority, 230: information DB,

232: 히스토리 DB, 240: 내부 DB관리 툴,232: history DB, 240: internal DB management tools,

242: 슈퍼유저 PKC, 300: 신원확인시스템,242: superuser PKC, 300: identification system,

310: DS, 320: OCSP 서버,310: DS, 320: OCSP server,

400: 권한확인시스템400: authorization system

이하에서는 첨부 도면들을 참조하여 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법에 대해서 상세하게 설명하는데, 먼저 본 발명의 적용을 위한 유관시스템인 신원확인시스템과 권한확인시스템에 대해 개략적으로 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail with respect to the database access and authority management strengthening method of the present invention, first of all, a brief description of the identification system and the authorization system as a related system for the application of the present invention.

도 2는 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법의 접근 루트를 설명하기 위한 도이다. 도 2에 도시한 바와 같이, 본 발명의 적용을 위한 신원확인시스템(300)은 공개키기반구조(PKI; Public Key Infrastructure)에 바탕을 두고 구현될 수 있다. 이러한 공개키기반구조(PKI)에서는 사용자(User 또는 Client)가 등록기관(RA; Registration Authority)에 전자서명 인증서(PKC; Public Key Certificate)의 발급을 요청하면, 등록기관에서는 먼저 사용자의 신원을 오프라인에서 확인한 후에 인증기관(CA; Certificate Authority)에 인증서 발행을 요청하고, 인증기관에서는 사용자에게 인증서를 발급함과 동시에 인증서의 내용을 디렉토리시스템(DS; Directory System)(310), 바람직하게는 LDAP(Lightweight Directory Access Protocol)에 게시하게 된다. 여기에서 디렉토리 시스템(310)은 사용자인증서와 사용자관련정보, 상호인증서쌍, 그리고 인증서 폐지목록 등을 저장 및 검색하는 장소를 말하는데, 응용방법에 따라 이러한 디렉토리 시스템(310)은 인증기관에서 관리하거나 별도의 디렉토리서버에 설치할 수도 있다.2 is a diagram illustrating an access route of a method for enhancing database access and authority management according to the present invention. As shown in FIG. 2, the identification system 300 for the application of the present invention may be implemented based on a public key infrastructure (PKI). In such a public key infrastructure (PKI), when a user (User or Client) requests issuance of a Public Key Certificate (PKC) from the Registration Authority (RA), the registrar first offlines the user's identity. After verifying with the certificate authority (CA), the certificate authority is issued to the certificate authority, and the certificate authority issues a certificate to the user and at the same time the contents of the certificate are stored in the directory system (DS) 310, preferably LDAP ( Lightweight Directory Access Protocol). Here, the directory system 310 refers to a place for storing and retrieving a user certificate and user related information, a mutual certificate pair, and a certificate revocation list. The directory system 310 may be managed or separately managed by a certification authority depending on the application method. It can also be installed on your directory server.

이후에, 각종 PKC 활용 정보시스템(APPL) 등은 사용자로부터 제시받은 인증서의 등록 여부를 디렉토리 시스템(310)에 문의하여 사용자의 신원을 확인하게 되는데, 이러한 PKC에는 소정의 사용자 정보(Distinguished Name: 사용자 고유명, 이하, 간단히 'DN'이라 한다), 발행기관의 고유명과 서명문 및 사용자의 공개키 정보 등이 정해진 프로토콜에 따라 규칙적으로 수록되어 있다.Subsequently, various PKC utilization information systems (APPL) and the like check the identity of the user by asking the directory system 310 whether or not to register the certificate presented by the user, and such user information (Distinguished Name: User) The distinguished name, hereinafter simply referred to as 'DN'), the issuer's distinguished name and signature, and the user's public key information are regularly recorded according to a specified protocol.

또한 신원확인시스템에는 온라인 인증서 검증(OCSP; Online Certificate Status Protocol) 서버(320)가 더 포함될 수도 있는데, PKC 활용 정보시스템(APPL)에서는 OCSP 서버(320)에 문의하여 제시받은 PKC가 유효한지 또는 폐기된 상태인 지를 실시간으로 확인할 수가 있다.In addition, the identification system may further include an Online Certificate Status Protocol (OCSP) server 320. In the PKC Utilization Information System (APPL), the PKC presented by inquiring to the OCSP server 320 is valid or discarded. You can check in real time.

다음으로 본 발명의 적용을 위한 유관시스템인 권한확인시스템(400)은 신원확인 시스템(300) 등에 의해 신원이 확인된 사용자에 대해 정보 DB 사용권한을 확인해 주는 기능을 담당하는데, 허가권자(SOA(Source Of Authority) 또는 AA(Attribute Authority))가 사용자의 권한, 지위 또는 임무 등에 관한 정보가 담긴 특권 속성 인증서(AC; Attribute Certificate)를 사용자에게 발행함과 더불어 이를 디렉토리 시스템에 저장한다. 이후에, 사용자가 정보시스템(APPL)에 이를 제시하면 정보시스템(APPL)에서는 디렉토리 시스템(310)에 그 권한을 문의하여 권한의 한도 내에서 시스템의 이용을 허가하게 된다. 또한, 권한확인시스템(400)에 DB USER 정보(DB_유저 ID 및 패스워드)와 DB USER별 사용자정보(DN)를 추가 구축하게되면 시스템 관리자 및 데이터베이스 관리자(DBA)가 DB USER 정보(DB_유저 ID 및 패스워드)를 알고 있을 필요가 없게 된다. 즉, 시스템 관리자와 데이터베이스 관리자(DBA)의 보안관련 역할 분리가 가능하여 보안성이 한층 강화될 수 있다.Next, the authorization system 400, which is a related system for applying the present invention, is responsible for confirming the authority to use the information DB for the user whose identity has been confirmed by the identification system 300, etc. A Source Of Authority (AA) or Attribute Authority (AA) issues a privileged attribute certificate (AC) to the user that contains information about the user's authority, status, or mission, and stores it in the directory system. Subsequently, when the user presents it to the information system APPL, the information system APPL queries the directory system 310 for the authority to permit the use of the system within the authority. In addition, when the DB USER information (DB_user ID and password) and DB user information (DN) are additionally established in the authorization check system 400, the system administrator and the database administrator (DBA) may use the DB USER information (DB_user). ID and password). In other words, it is possible to separate the security-related roles of the system administrator and database administrator (DBA) can further enhance the security.

또한, 정보 DB(230) 접근 권한이 있는 업무담당자가 유지보수를 담당하는 용역업체 관리요원 또는 일반사용자 등에게 업무협조를 의뢰해야 하는 사안이 발생했을 경우 일시적으로 사용할 수 있는 임시 아이디 및 패스워드를 생성할 수 있는 기능을 추가할 수 있다.In addition, a temporary ID and password that can be used temporarily can be created when a business person with access to the information DB 230 needs to request business cooperation to a service company manager or general user in charge of maintenance. You can add features that you can.

또한 권한확인시스템(400)에 정보 DB 접근패턴 분석 기능이 포함되면 허가된 사용자가 정보시스템(APPL)을 통한 정보 DB 접근 요청 시 그 패턴의 정상여부를 확인하여 정보 DB(230) 접근 사전 감사에 활용할 수 있다. 현재 공표된 권한확인시스템(400)의 대표적인 것으로는 PMI(Privilege Management Infrastructure)와 EAM(Enterprise Access Management)(이하, 'PMI'를 이들을 통칭하는 용어로 사용한다) 등이 있으며, AC에도 PKC와 마찬가지로 사용자 ID와 공개키, 허가권자의 이름과 서명문 및 권한 정보 등이 수록되게 된다. 이때 외부에 권한확인시스템을 구축하지 못할 경우, 내부의 데이터베이스를 이용하여 권한확인시스템(400)의 역할이 가능하도록 구성할 수도 있다.In addition, if the authorization check system 400 includes an information DB access pattern analysis function, when an authorized user requests access to the information DB through the information system (APPL), it checks whether the pattern is normal and performs the information DB 230 access pre-audit. It can be utilized. Representative examples of the currently published authority verification system 400 include PMI (Privilege Management Infrastructure) and EAM (Enterprise Access Management) (hereinafter, 'PMI' is used as a generic term), and AC is similar to PKC. The user ID and public key, the name of the licensor, the signature text, and the authority information are included. At this time, if the authorization check system cannot be built externally, the role of the authorization check system 400 may be configured using an internal database.

한편, 권한확인시스템(400)에서는 사용자 정보(DN)에 따라 접근 가능한 데이터베이스 정보(DB NAME) 및 DB USER 정보(DB_유저 ID 및 패스워드), 권한이양을 위해 임시로 생성한 아이디 및 패스워드 정보, 정보시스템의 정보 DB(230) 접근 사전 감사를 위한 정보 DB(230) 접근 패턴정보 등을 관리한다.On the other hand, in the authorization system 400, the database information (DB NAME) and DB USER information (DB_user ID and password) accessible according to the user information (DN), the temporarily generated ID and password information for the transfer of authority, Information DB 230 of the information system manages information DB 230 access pattern information and the like for pre-audit.

본 발명의 대표도인 도 2의 데이터베이스(200)에는 각종 정보 DB(230), A/P서버(110)의 정보시스템(112) 또는 외부 DB관리 툴(120)과 정보 DB(230) 사이에 개재되어 쌍방향 통신을 수행하는 DB 통신모듈(210), DB 통신모듈(210)과 정보 DB(230) 사이의 통신을 허용 또는 차단시키는 시큐리티 레이어(Security Layer)(220)를 포함하여 이루어질 수 있는데, 시큐리티 레이어(220)는 특정 정보 DB(230)에의 접근 요청이 있는 경우에 신원확인시스템(300)과 권한확인시스템(400)에 확인한 결과에 따라 DB 통신모듈(210)과 정보 DB(230)사이의 통신을 허용 또는 차단한다. 전술한 구성에서, 시큐리티 레이어(220)는 기능적으로 신원확인시스템(300)과의 사이에서 신원확인 처리를 담당하는 인증처리부(222) 및 권한확인시스템(400)과의 사이에서 권한확인 처리를 담당하는 권한인가부(224)를 포함하여 이루어질 수 있다. 또한, 정보 DB(230) 내에는 특정 정보 DB 사용내역, 즉 사용자 PKC 정보, 정보 DB 접근 Tool의 종류, 작업일시, 정보 변경 명령어 및 SQL문 등을 접근 권한이 제한되는 히스토리 DB(232)를 할당하여 저장하고, 사전, 사후 정보 감사에 활용하도록 할 수가 있다.In the database 200 of FIG. 2, which is a representative diagram of the present invention, a variety of information DB 230, an information system 112 of an A / P server 110, or an external DB management tool 120 and an information DB 230 are provided. It may include a security layer (220) to allow or block the communication between the DB communication module 210, the DB communication module 210 and the information DB 230 is interposed to perform the two-way communication, The security layer 220 between the DB communication module 210 and the information DB 230 according to the result of checking to the identification system 300 and the authorization system 400 when there is a request for access to the specific information DB 230. Allow or block communication. In the above-described configuration, the security layer 220 is functionally responsible for authorization processing between the authentication processing unit 222 and the authority verification system 400 which are in charge of identification processing with the identification system 300. It may be made to include the authorization unit 224. In addition, in the information DB 230, a history DB 232 for which access rights are limited is assigned to specific information DB usage history, that is, user PKC information, type of information DB access tool, work date and time, information change command, and SQL statement. Can be stored and used for pre and post information auditing.

도 2에서 참조번호 100은 정보시스템(112)을 사용하는 APPL 클라이언트(사용자)를 나타내는 바, 이러한 APPL 클라이언트(사용자)의 하드디스크 등에는 공인 인증된 사용자 PKC(102)가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.In FIG. 2, reference numeral 100 denotes an APPL client (user) using the information system 112. In the hard disk of the APPL client (user), an authorized and authenticated user PKC 102 uses a public key infrastructure (PKI). Must be stored in advance.

참조번호 120은 공개키기반구조(PKI)에 의한 신원확인이 가능한 외부 DB관리 툴을 나타내는 바, 이러한 외부 DB관리 툴(120)을 사용하기 위해서는 정보 관리자등이 사용하는 단말기의 하드디스크 등에도 외부 DB관리 툴 사용자 PKC(122)(이하, 이를 '관리자 PKC'라 명명한다)가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.Reference numeral 120 denotes an external DB management tool capable of verifying an identity using a public key infrastructure (PKI). In order to use the external DB management tool 120, an external DB management tool 120 may also be connected to a hard disk of a terminal used by an information manager. The DB management tool user PKC 122 (hereinafter referred to as 'administrator PKC') must be stored in advance by the public key infrastructure (PKI).

참조번호 240은 DB 통신모듈(210)을 경유하지 않고 각종 정보 DB에 접근할 수 있고, 공개키기반구조(PKI)에 의해 신원확인이 가능한 내부 DB관리 툴 등을 나타내는 바, 이러한 내부 DB관리 툴(240)을 사용하기 위해서는 슈퍼유저 PKC(242) 가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.Reference numeral 240 denotes an internal DB management tool that can access various information DBs without passing through the DB communication module 210, and can be identified by a public key infrastructure (PKI). In order to use 240, the superuser PKC 242 must be stored in advance by the public key infrastructure (PKI).

도 3은 본 발명에서 정보시스템(APPL)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 실선으로 도시되어 있다. 도 3에 도시한 바와 같이, 본 발명에 따른 정보시스템(112)에서의 데이터베이스 접근 및 권한 관리 강화 방법에서 정보시스템(112) 사용자가 A/P서버(110)에 접속하여 정보시스템(112)을 실행하면 사용자에게 로그인 화면이 출력되는데, 이 상태에서 사용자의 컴퓨터에 저장된 사용자 PKC(102)가 출력되면 사용자는 본인의 사용자 PKC(102)를 선택한 후 패스워드를 입력(S2)하여 전자서명정보를 생성하고, 이렇게 생성된 전자서명정보를 A/P 서버(110)에 전달(S4)하게 된다. 다음으로, A/P 서버(110)에서는 이렇게 전달받은 전자서명정보와 A/P 서버(110)의 정보시스템(112) 정보 및 DB NAME을 DB 통신모듈(114)을 통해 시큐리티 레이어(220)에 전달(S6)하여 신원 및 정보시스템의 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 사용자 PKC(102)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S8)한다. 다음으로, 이러한요청을 받은 신원확인시스템(300)은 사용자 PKC(102)를 디렉토리 시스템(310)에서 조회하여 사용자의 신원을 확인(S10)하고, 다시 OCSP서버(320)에 조회하여 사용자 PKC(102)의 유효성을 확인(S10)한 후에 사용자 신원확인 및 사용자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S12)한다. 이후, 시큐리티 레이어(220)는 사용자 PKC(102)와 정보시스템 정보 및 DB NAME을 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 정보시스템이 정보 DB(230)에 접근할 권한이 있는지를 확인 요청(S14)한다.3 is a flowchart illustrating a method for enhancing database access and authority management through an information system (APPL) according to the present invention. In FIG. As shown in FIG. 3, the user of the information system 112 accesses the A / P server 110 in the method for strengthening database access and authority management in the information system 112 according to the present invention. When executed, a login screen is output to the user. In this state, when the user PKC 102 stored in the user's computer is output, the user selects his / her user PKC 102 and inputs a password (S2) to generate electronic signature information. Then, the generated digital signature information is transferred to the A / P server 110 (S4). Next, the A / P server 110 transmits the electronic signature information, the information system 112 information and the DB NAME of the A / P server 110 to the security layer 220 through the DB communication module 114. In step S6, a request for verification of an identity and an information system is requested. Thereafter, the authentication processing unit 222 of the security layer 220 transmits the user PKC 102 to the identification system 300 and requests the identity and the validity verification (S8). Next, the identification system 300 received such a request checks the user PKC 102 in the directory system 310 to confirm the identity of the user (S10), and inquires again to the OCSP server 320 to check the user PKC ( After confirming the validity of the method (S10), the user identity and the user PKC validation result are transmitted to the security layer 220 (S12). Thereafter, the security layer 220 transmits the user PKC 102, the information system information, and the DB NAME to the authorization system 400 through the authorization authority 224, so that the information system can access the information DB 230. If there is a check request (S14).

다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 사용자 AC를 조회하여 당해 사용자가 요청한 정보시스템의 접근 권한인 DB USER 정보(DB_유저 ID 및 패스워드)를 추출(S16) 한 후에 그 결과를 시큐리티 레이어(220)에 전달(S18)하고, 시큐리티 레이어(200)는 전달 받은 권한 조회 결과에 따라 DB 통신모듈(210)과 데이터베이스 사이의 통신을 허용 또는 차단, 즉 사용자가 특정 정보 DB(230)에 접근하는 것을 허용 또는 차단(S20)하게 된다.Next, the authorization confirmation system 400 receiving such a request retrieves the user AC from the directory system 310 and extracts DB USER information (DB_user ID and password), which is the access authority of the information system requested by the user (S16). After transmitting the result to the security layer 220 (S18), the security layer 200 allows or blocks the communication between the DB communication module 210 and the database according to the received authority inquiry result, that is, the user Allowing or blocking access to the specific information DB 230 (S20).

본 발명에서는 이렇게 함으로써 비록 업무담당자와 같은 정당한 사용자라 할지라도 정보 관리자가 미리 설정한 권한의 범위에 속한 정보 DB(230)에만 접근이 가능하도록 할 수 있기 때문에 보안성이 한층 강화될 수가 있다. 또한, 데이터베이스에 접근하기 위해 프로그램 소스코드에 입력하는 응용프로그램 접속 정보에 DB USER 정보(DB_유저 ID 및 패스워드)를 내재시킬 필요가 없으므로 DB USER 정보(DB_유저 ID 및 패스워드)를 도용한 정보 접근 피해를 사전에 예방할 수 있다.In the present invention, even if a legitimate user, such as the person in charge of the task, since the information manager can access only the information DB 230 belonging to the scope of the preset authority can be further enhanced security. Also, it is not necessary to embed DB USER information (DB_user ID and password) in the application program access information entered in the program source code to access the database, and thus impersonate DB USER information (DB_user ID and password). Access damage can be prevented in advance.

그리고, 사용자가 특정 정보 DB(230)에의 접근하는 것이 허가된 경우에도 권한확인시스템(400)에 포함된 정보 DB 접근패턴 분석 기능을 활용하여 데이터베이스(200)에서는 정보시스템(APPL)의 변경에 의한 특정 정보 DB(230)의 데이터 변경을 요청(S22)하는 경우에 권한확인시스템(400)에 등록되어 있는 정상적인 정보 DB 접근 패턴과 비교(S24)하여 비정상적인 정보 DB(230) 접근 패턴일 경우에는 정보 DB(230)에 접근하는 것을 차단한 후 즉시 정보관리자에게 통보하는 사전 정보감사 기능과, 사용자 정보 및 데이터 변경 내용을 히스토리 DB(232)에 저장(S26)함으로써 사후의 정보감사에 활용할 수 있도록 할 수 있다.In addition, even when the user is permitted to access the specific information DB 230, the database 200 utilizes the information DB access pattern analysis function included in the authorization check system 400, and thus, the database 200 changes the information system APPL. In the case of requesting data change of the specific information DB 230 (S22), the information is compared with the normal information DB access pattern registered in the authorization check system 400 (S24), and the information is abnormal in the case of the abnormal information DB 230 access pattern. After the access to the DB 230, the information monitoring function to notify the information manager immediately, and the user information and data changes are stored in the history DB (232) (S26) so that it can be utilized for post-inspection audit. Can be.

도 4는 본 발명에서 공개키기반구조(PKI)에 의한 신원확인 기능이 포함된 외부 DB관리 툴(120)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 일점쇄선으로 도시되어 있다. 도 4에 도시한 바와 같이, 본 발명에 따른 외부 DB관리 툴(120)을 통한 데이터베이스 접근 및 권한 관리 강화 방법에서 관리자가 외부 DB관리 툴(120)을 실행시키면 관리자 PKC(122) 확인 및 데이터베이스 정보(DB NAME) 입력 로그인 화면이 출력되게 되는데, 이 상태에서 관리자가 해당 전자서명인증서(PKC)를 선택한 후 패스워드를 입력하여 전자서명정보를 생성하고, 다시 원하는 정보 DB(230)에 접근할 수 있는 데이터베이스 정보(DB NAME)를 입력(S30)하고, 이렇게 생성된 전자서명정보와 데이터베이스 정보(DB NAME)를 시큐리티 레이어(220)에 전달(S32)하여 신원 및 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 관리자 PKC(122)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S34)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 관리자 PKC(122)를 디렉토리시스템(310)에서 조회하여 당해 관리자의 신원을 확인하고, 다시 OCSP 서버(320)에 문의하여 그 유효성을 확인(S36)한 후에 관리자 신원확인 및 관리자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S38)한다. 이와 같이, 관리자의 신원을 확인한 후 시큐리티 레이어(220)는 관리자 PKC(122)와 데이터베이스 정보(DB NAME)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 외부 DB관리 툴(120)이 접근 요청한 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S40)한다.4 is a flowchart illustrating a method for strengthening database access and authority management through an external DB management tool 120 including an identity verification function using a public key infrastructure (PKI) in FIG. Is shown. As shown in FIG. 4, when the administrator executes the external DB management tool 120 in the method of strengthening database access and authority management through the external DB management tool 120 according to the present invention, the administrator checks the PKC 122 and database information. (DB NAME) input login screen is output, in this state, the administrator selects the corresponding digital signature certificate (PKC) and enters the password to create the digital signature information, and again can access the desired information DB (230) The database information (DB NAME) is input (S30), and the electronic signature information and the database information (DB NAME) generated in this way is transferred to the security layer 220 (S32) to request identification and authority verification. Thereafter, the authentication processing unit 222 of the security layer 220 transmits the manager PKC 122 to the identification system 300 and requests the identity and the validity verification (S34). Next, the identification system 300 receives such a request, checks the administrator PKC 122 in the directory system 310 to confirm the identity of the administrator, and inquires again to the OCSP server 320 to confirm its validity. After S36), the administrator identity and the administrator PKC validation result are transmitted to the security layer 220 (S38). As such, after confirming the identity of the administrator, the security layer 220 transmits the administrator PKC 122 and the database information (DB NAME) to the authority verification system 400 through the authority authorization unit 224 to external DB management tool ( 120 checks whether there is access authority to the information requesting DB (230) (S40).

다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 관리자 AC를 조회하여 당해 사용자가 요청한 정보 DB(230)에 접근할 권한이 있는 지를 확인(S42)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S44)하고, 시큐리티 레이어(200)는 전달받은 권한 조회 결과에 따라 DB 통신모듈(210)과 데이터베이스 사이의 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S46)하게 된다.Next, the authorization check system 400 receiving such a request checks the administrator AC in the directory system 310 to check whether the user has the authority to access the requested information DB 230 (S42), and then checks the result. The security layer 220 is transferred (S44), and the security layer 200 allows or blocks communication between the DB communication module 210 and the database according to the received authority inquiry result, that is, to the corresponding information DB 230. Access is allowed or blocked (S46).

또한, 외부 DB관리 툴(120)에 의한 특정 정보 DB(230)에의 접근이 허가된 경우에도 데이터베이스(200)에서는 관리자가 특정 정보 DB(230)의 데이터 변경요청(S48)을 하는 경우에 관리자 정보와 데이터 변경 내용을 히스토리 DB(232)에 저장(S50)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 DB USER 정보(DB_유저 ID 및 패스워드)의 노출 없이 사용자의 신원에 의해 정보의 권한이 관리되므로 권한이 없는자가 원격 접속 유틸리티를 통해 정보 DB(230)에 접근하는 것을 원천적으로 방지할 수가 있다.In addition, even when access to the specific information DB 230 by the external DB management tool 120 is permitted, the administrator of the information in the database 200 when the administrator requests a data change request (S48) of the specific information DB 230. And by storing the data changes in the history DB (232) (S50) can be used in the later information audit. As such, in the present invention, since the authority of the information is managed by the user's identity without exposing DB USER information (DB_user ID and password), an unauthorized person accesses the information DB 230 through the remote access utility. I can prevent it.

도 5는 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 내부 DB관리 툴(240)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 점선으로 도시되어 있다. 도 5에 도시한 바와 같이, 본 발명에 따른 내부 DB관리 툴(240)을 통한 데이터베이스 접근 및 권한 관리 강화 방법에서 슈퍼유저가 내부 DB관리 툴(240)을 실행시키면 슈퍼유저 PKC(242) 확인 및 데이터베이스 정보(DB NAME) 입력 로그인 화면이 출력되게 되는데, 이 상태에서 슈퍼유저가 전자서명인증서(PKC)를 선택하고 패스워드를 입력하여 전자서명정보를 생성하고, 다시 원하는 정보 DB(230)에 접근할 수 있는 데이터베이스 정보(DB NAME)를 입력(S50)하고, 이렇게 생성된 전자서명정보와 데이터베이스 정보(DB NAME)를 시큐리티 레이어(220)에 전달(S52)하여 신원 및 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 슈퍼유저 PKC(242)를 신원확인시스템(300)에 전달하여 그 신원 확인을 요청(S54)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 슈퍼유저 PKC(242)를 디렉토리 시스템(310)에서 조회하여 당해 슈퍼유저의 신원을 확인하고, 다시 OCSP서버(320)에 문의하여 그 유효성을 확인(S56)한 후에 슈퍼유저 신원확인 및 슈퍼유저 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S58)한다. 이와 같이, 슈퍼유저의 신원을 확인한 후 시큐리티 레이어(220)는 슈퍼유저 PKC(242)와 데이터베이스 정보(DB NAME)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 슈퍼유저가 접근 요청한 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S60)한다.FIG. 5 is a flowchart illustrating a method for enhancing database access and authority management through an internal DB management tool 240 capable of verifying identity by a public key infrastructure (PKI) in FIG. have. As shown in FIG. 5, when the super user executes the internal DB management tool 240 in the method of enhancing database access and authority management through the internal DB management tool 240 according to the present invention, the superuser PKC 242 is checked and The database information (DB NAME) input login screen is displayed. In this state, the super user selects the digital signature certificate (PKC) and inputs the password to generate the electronic signature information, and accesses the desired information DB 230 again. The database information (DB NAME) can be input (S50), and the electronic signature information and the database information (DB NAME) generated in this way are transferred to the security layer 220 (S52) to request identification and authorization. Thereafter, the authentication processing unit 222 of the security layer 220 transfers the superuser PKC 242 to the identification system 300 and requests the identification thereof (S54). Next, the identification system 300 receives the request, checks the superuser PKC 242 in the directory system 310 to confirm the identity of the superuser, and inquires the OCSP server 320 again to confirm its validity. After confirmation (S56), the superuser identification and the superuser PKC validation result are transmitted to the security layer 220 (S58). As such, after confirming the identity of the super user, the security layer 220 delivers the super user PKC 242 and database information (DB NAME) to the authorization system 400 through the authorization unit 224. Check request (S60) whether there is an access authority to the access requesting information DB (230).

다음으로, 이러한 요청를 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 슈퍼유저의 AC를 조회하여 당해 슈퍼유저가 요청한 특정 정보DB(230)에 접근할 권한이 있는 지를 확인(S62)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S64)하고, 시큐리티 레이어(220)는 전달받은 권한 조회 결과에 따라 내부 DB관리 툴(240)과 정보 DB(230) 사이에 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S66)하게 된다.Next, the authorization check system 400 receiving such a request checks the AC of the superuser in the directory system 310 to confirm whether the superuser has permission to access the specific information DB 230 requested (S62). The result is transmitted to the security layer 220 (S64), and the security layer 220 allows or blocks communication between the internal DB management tool 240 and the information DB 230 according to the received authority inquiry result. In addition, the access to the information DB 230 is allowed or blocked (S66).

또한, 슈퍼유저가 특정 정보 DB(230)에 접근하는 것이 허가된 경우에도 시큐리티 레이어(220)에서는 슈퍼유저가 특정 정보 DB(230)의 데이터 변경을 요청(S68)하는 경우에 슈퍼유저 정보와 데이터 변경 내용 등을 히스토리 DB(232)에 저장(S70)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다.In addition, even when the superuser is permitted to access the specific information DB 230, the security layer 220, when the superuser requests a data change of the specific information DB 230 (S68), the superuser information and data. The change and the like can be stored in the history DB 232 (S70) so that it can be utilized in subsequent information audit.

이 외 슈퍼유저가 데이터베이스 관리를 위해 행하는 작업 중 시큐리티 레이어(220)를 경유하지 않고 실행할 수 있는 데이터베이스 백업 프로그램(Export, Unload 등)에 공개키기반구조(PKI)의 신원확인기능을 포함하여 시큐리티 레이어(220)에서 신원 및 권한 확인을 통하여 정보 접근을 허용 또는 차단하도록 할 수 있다.In addition, the security layer including the public key infrastructure (PKI) identification function is included in a database backup program (Export, Unload, etc.) that can be executed without the security layer 220 during the operation performed by the superuser. In step 220, the identity and authority may be checked to allow or block information access.

이와 같이 본 발명에서는 슈퍼유저라 할지라도 신원과 권한 확인을 통해 정보 DB(230)에 접근이 가능하도록 시큐리티 레이어(220)가 제어하므로 권한이 없는 정보 접근을 원천적으로 방지할 수가 있다.As described above, even in the present invention, the security layer 220 controls the access to the information DB 230 through identity and authority verification, thereby preventing unauthorized access to information.

도 6은 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 권한관리 툴(130)을 통해 권한이양 방법을 설명하기 위한 흐름도인 바, 도 2에서는 이점쇄선으로 도시되어 있다. 데이터베이스 접근 및 권한 관리 강화 방법에 의한 데이터베이스에 접속을 하기 위해서는 전자서명인증서(PKC)가 필요하다. 그러나 유지보수를 담당하는 용역업체 관리요원 또는 업무협조 의뢰를 받은 일반사용자 등에게 전자서명인증서를 발행했을 경우 정보 DB(230)에 대한 접근이 자유로워지고 보안상의 문제를 야기시킬 수 있다. 따라서, 상기 권한이양 방법은 필요한 사안이 발생했을 경우에만 정보 DB(230)에 접속할 수 있도록 정보 DB(230) 접근 권한이 있는 업무담당자가 일시적으로 사용할 수 있는 임시 아이디 및 패스워드를 생성하여 권한수임자에게 권한을 이양하는 방법이다. 도 6에 도시한 바와 같이, 본 발명에 따른 권한관리 툴(130)을 통한 권한이양 방법에서 권한이양자가 권한관리 툴(130)을 실행시키면 권한이양자 PKC(132) 확인 화면이 출력되게 되는데, 이 상태에서 권한이양자가 전자서명인증서(PKC)를 선택한 후 패스워드를 입력(S80)하여 전자서명정보를 생성하고, 이렇게 생성된 전자서명정보를 시큐리티 레이어(220)에 전달(S82)하여 신원확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 권한이양자의 PKC(132)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S84)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 권한이양자의 PKC(132)를 디렉토리 시스템(310)에서 조회하여 당해 권한이양자의 신원을 확인하고, 다시 OCSP서버(320)에 문의하여 그 유효성을 확인(S86)한 후에 권한이양자 신원확인 및 권한이양자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S88)한다. 이와 같이 권한이양자의 신원을 확인한 후 시큐리티 레이어(220)는 권한이양자 PKC(132)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 권한이양자가 가지고 있는 정보 DB(230) 접근 권한에 대해 확인 요청(S90)한다.FIG. 6 is a flowchart illustrating a method for transferring a privilege through a rights management tool 130 capable of verifying an identity by a public key infrastructure (PKI) in the present invention. Digital signature certificate (PKC) is required to access database by strengthening database access and authority management. However, if a digital signature certificate is issued to a service company management personnel in charge of maintenance or a general user who has been requested to cooperate with the service, access to the information DB 230 may be freed and may cause a security problem. Therefore, the privilege transfer method generates a temporary ID and password that can be used temporarily by a person in charge of access to the information DB 230 so that the authority holder can access the information DB 230 only when a necessary matter occurs. This is a way to transfer authority. As shown in FIG. 6, when the privilege transfer person executes the authority management tool 130 in the authority transfer method through the authority management tool 130 according to the present invention, the authority transfer PKC 132 confirmation screen is output. In this state, the transfer of authority selects the digital signature certificate (PKC) and then inputs the password (S80) to generate the digital signature information, and transfers the generated electronic signature information to the security layer 220 (S82) for identification. You will be asked to confirm. Thereafter, the authentication processing unit 222 of the security layer 220 transmits the PKC 132 of the privilege transfer to the identification system 300 and requests the identity and the validity verification (S84). Next, the identification system 300 receives such a request, checks the PKC 132 of the privilege transfer in the directory system 310 to confirm the identity of the privilege transfer, and inquires again to the OCSP server 320. After checking the validity (S86), the authority transfer identity verification and the privilege transfer PKC validation result are transmitted to the security layer 220 (S88). After confirming the identity of the privilege transfer as described above, the security layer 220 passes the privilege transfer PKC 132 to the authority verification system 400 through the authority authorization unit 224 and has the information DB ( 230) Request for confirmation of access authority (S90).

다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템에서 권한이양자의 AC를 조회하여 당해 권한이양자가 가지고 있는 정보 DB(230) 접근 권한을 확인(S92)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S94)하고, DB 통신모듈을 통하여 권한관리 툴(130)에 당해 권한이양자가 접근 가능한 데이터베이스 정보(DB NAME)를 전달한다. 권한이양자는 출력된 데이터베이스 정보(DB NAME) 중 권한을 이양하고자 하는 대상 데이터베이스 정보(DB NAME)를 선택한 후 권한수임자 정보 및 작업시간 등의 권한수임 정보를 입력(S96)한다. 다음으로, 입력한 정보를 권한확인시스템(400)에 전달하여 임시 아이디 및 패스워드 생성을 요청(S98)한다.Next, the authorization confirmation system 400 receiving such a request checks the access authority AC in the directory system to check the access authority of the information DB 230 having the privilege transfer (S92), and then secures the result. Transfer to the layer 220 (S94), and transmits the database information (DB NAME) accessible to the authority transfer to the rights management tool 130 through the DB communication module. The privilege transfer selects the target database information (DB NAME) to which the authority is to be transferred among the output database information (DB NAME) and then inputs the authority delegate information such as authority holder information and working hours (S96). Next, the input information is transmitted to the authority verification system 400 to request the generation of a temporary ID and password (S98).

다음으로 이러한 요청에 의하여 권한확인시스템(400)에서는 임시 아이디 및 패스워드를 생성(S100)하여 시큐리티 레이어(220)를 통하여 권한관리 툴(130)에 전달(S102)하고, 권한이양자는 이렇게 전달받은 임시 아이디 및 패스워드를 권한수임자에게 통지한다.Next, in response to such a request, the authorization confirmation system 400 generates a temporary ID and password (S100) and delivers it to the authorization management tool 130 through the security layer 220 (S102). Notify the authorized person of the temporary ID and password.

또한, 권한이양자 정보 및 임시 아이디, 패스워드 생성 내용을 히스토리 DB(232)에 저장(S104)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 비록 특정 정보 DB(230)에 대한 접근 권한이 없는 용역업체 관리요원 또는 일반사용자에게 업무협조를 의뢰하는 경우에 임시 아이디 및 패스워드 생성 기능을 제공하여 전자서명인증서를 발행하지 않고도 정보 DB에 접근이 가능하도록 할 수 있다.In addition, by storing the privilege transfer information, the temporary ID, the password generated in the history DB (232) (S104) can be utilized in the later information audit. As such, the present invention provides temporary ID and password generation functions when requesting business cooperation to a service company management agent or a general user who does not have access to a specific information DB 230, without having to issue an electronic signature certificate. You can make DB accessible.

도 7은 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 권한관리 툴(130)을 통한 권한이양 방법으로 생성한 임시 아이디와 패스워드를 사용하여권한수임자가 특정 정보 DB(230)에 접근할 수 있는 방법을 설명하기 위한 흐름도이다. 도 7에 도시한 바와 같이, 본 발명에 따른 권한수임자가 임시 아이디와 패스워드를 이용하여 특정 정보 DB에 접근하기 위하여 외부 DB 관리 툴(120)을 실행시키면 로그인 화면이 출력되게 되는데, 이 상태에서 권한수임자가 권한이양자에게 전달받은 임시 아이디와 패스워드를 입력(S110)하면 외부 DB 관리 툴(120)에서는 이를 확인하고 해당 권한수임자가 입력한 정보를 읽어 들인 후에 시큐리티 레이어(220)에 전달(S112)하여 권한확인을 요청(S114)하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 권한수임자가 입력한 정보를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 권한수임자가 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S114)한다.FIG. 7 illustrates the authority holder using the temporary ID and password generated by the authority transfer method through the authority management tool 130 capable of verifying the identity by the public key infrastructure (PKI) in the specific information DB 230. This is a flowchart to explain how you can access it As shown in FIG. 7, when the authority holder according to the present invention executes the external DB management tool 120 to access a specific information DB using a temporary ID and password, a login screen is output. When the person in charge enters the temporary ID and password received from the authority transfer (S110), the external DB management tool 120 checks this and reads the information input by the person in charge of authority, and delivers it to the security layer 220 (S112). To request permission confirmation (S114). Thereafter, the authentication processing unit 222 of the security layer 220 transmits the information input by the authority holder to the authority verification system 400 through the authority authorization unit 224, and the authority holder has access to the information DB 230. Request confirmation (S114).

다음으로, 이러한 요청를 받은 권한확인시스템(400)에서는 당해 권한수임자가 특정 정보 DB(230)에 접근할 권한이 있는 지를 확인(S116)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S118)하고, 시큐리티 레이어(220)는 전달받은 권한 조회 결과에 따라 DB 통신모듈(210)과 외부 DB 관리 툴(120) 사이에 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S120)하게 된다.Next, the authorization check system 400 receives the request, checks whether the authority holder has the right to access the specific information DB 230 (S116), and then transfers the result to the security layer 220 (S118). The security layer 220 allows or blocks communication between the DB communication module 210 and the external DB management tool 120 according to the received authority inquiry result, that is, permits or blocks access to the corresponding information DB 230. (S120).

한편 권한이 확인된 권한수임자가 특정 정보 DB의 데이터 변경 요청(S122)을 하는 경우에 권한수임자 정보와 데이터 변경 내용 등을 히스토리 DB(232)에 저장(S124)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 비록 특정 정보 DB(230)에 대한 접근 권한이 없지만, 필요한 사안이 발생하여 일시적으로 용역업체 관리요원 또는 일반사용자에게 업무협조를 의뢰하는 경우에 신원확인이 가능한 권한관리 툴(130)을 통한 권한이양 방법으로 임시 아이디 및 패스워드를 생성하여 특정 정보 DB에 접근이 가능하도록 함으로써 불법적인 정보 접근을 원천적으로 방지할 수 있다.On the other hand, when the authority holder whose authority has been verified requests a data change request of a specific information DB (S122), the authority holder information and data changes are stored in the history DB 232 (S124) so that the information can be utilized in subsequent information audit. can do. As such, in the present invention, although there is no access to the specific information DB (230), the authority management tool 130 is possible to verify the identity when a necessary matter arises and temporarily asks the service coordinator or general user for business cooperation By creating a temporary ID and password through the transfer of authority through), you can prevent access to illegal information by allowing access to a specific information DB.

본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 전술한 것에 국한되지 않고 본 발명의 기술 사상이 허용하지 않는 범위 내에서 다양하게 변형하여 실시할 수가 있다.The database access and rights management strengthening method of the present invention is not limited to the above, and various modifications can be made without departing from the spirit of the present invention.

전술한 바와 같은 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 정보 접근을 위한 신원확인 방법을 공개키기반구조(PKI)에 의한 실사용자의 전자서명을 통해 내부 및 외부 해킹자가 불법으로 업무 정보 DB에 접근하는 것을 방지할 수가 있다.As described above, the method for strengthening database access and authority management according to the present invention provides an identity verification method for accessing information to an internal and external hacker illegally using the public key infrastructure (PKI). You can prevent access.

또한, 업무담당자나 정보관리자 등의 내부 사용자라 할지라도 미리 정해진 정보사용 권한 및 정보 DB 접근 패턴분석 기능을 활용하여 정보 DB 접근 제어가 가능하기 때문에 내부 사용자에 의한 업무 정보의 위·변조 및 유출 사고가 예방될 수 있다.In addition, even internal users such as task managers and information managers can control access to information DB by using predetermined information usage authority and information DB access pattern analysis function. Can be prevented.

또한, 내부 또는 외부에 구축될 권한확인시스템에 DB USER 정보(DB_유저 ID 및 패스워드)와 DB USER별 사용자 정보(DN)를 추가 구축함으로써 시스템 관리자 및 데이터베이스 관리자(DBA)로부터 보안관련 기능을 분리하게 되면 정보 DB의 보안성이 크게 향상될 수가 있고, 정보 DB 접근 패턴분석 기능을 활용하고, 정보 활용 현황을 실사용자 정보로 히스토리정보(DB)에 기록하여 관리함으로써 사전, 사후 정보감사 기능이 강화되어 예방적 측면의 정보 DB의 보안성이 크게 향상될 수 있다.In addition, it separates security-related functions from system administrators and database administrators by adding DB USER information (DB_user ID and password) and DB USER user information (DN) in the authorization system to be built internally or externally. The security of the information DB can be greatly improved, and the information audit function is enhanced by utilizing the information DB access pattern analysis function and recording and managing the information utilization status in the history information (DB) as real user information. Therefore, the security of the information DB of the preventive aspect can be greatly improved.

그리고 이렇게 보안성이 강화된 정보시스템(Application)의 정보 DB는 기존 DB에서 제한적 관리가 요구되는 특정정보(인사, 회계, 회원, 기술 등)를 기존 DB에서 분리 구축이 가능하게 되므로 정보의 안전성 확보에 크게 기여할 수 있을 것이다.In addition, the information DB of the enhanced security information system (Application) ensures the safety of information because it enables separate construction of specific information (personnel, accounting, membership, technology, etc.) that requires limited management in the existing DB. Will contribute greatly.

Claims (8)

각종 정보가 저장되는 데이터베이스 내에 PKI에 의한 신원인증 및 PMI에 의한 권한인가 처리를 수행하는 시큐리티 레이어(220)를 설치하되, 상기 데이터베이스 내의 DB 통신모듈(210)과의 정보교류를 위해 상기 DB 통신모듈(210)과 동일 계층 영역에 설치하고, DB_유저 ID 및 패스워드를 통한 접근 방식과 상기 시큐리티 레이어(220)를 통한 접근 방식을 병행하여 상기 데이터베이스 내부의 각종 정보 DB에의 접근을 관리하는 데이터베이스 접근 및 권한 관리 강화 방법.A security layer 220 is installed in a database in which various kinds of information are stored to perform identity authentication by PKI and authorization by PMI, and the DB communication module for information exchange with the DB communication module 210 in the database. A database access for managing access to various information DBs in the database by installing in the same hierarchical area as 210 and using an access method through DB_user ID and password and an access method through the security layer 220. How to strengthen rights management. 각종 정보가 저장되는 데이터베이스 내에 PKI에 의한 신원인증 및 PMI에 의한 권한인가 처리를 수행하는 상기 시큐리티 레이어(220)를 통한 접근 방식을 사용하여 상기 데이터베이스 내부의 각종 정보 DB에의 접근을 관리하는 데이터베이스 접근 및 권한 관리 강화 방법.Database access that manages access to various information DBs in the database by using an approach through the security layer 220 that performs identity authentication by PKI and authorization authorization by PMI in a database storing various kinds of information. How to strengthen rights management. (a) 각종 정보 DB에 접근할 수 있는 정보시스템(Application), 외부 DB관리 툴(120) 및 내부 DB관리 툴(240)에 공개키기반구조(PKI)의 신원확인 기능을 추가하고, PKI에 의한 신원인증 및 PMI에 의한 권한인가 처리를 수행하는 시큐리티 레이어(220)를 데이터베이스 내에 설치하되, 상기 데이터베이스 내의 DB 통신모듈(210)과의 정보교류를 위해 상기 DB 통신모듈(210)과 동일계층의 영역에 설치하는 단계;(a) Add identity verification function of public key infrastructure (PKI) to information system (Application), external DB management tool 120 and internal DB management tool 240 that can access various information DB, and to PKI A security layer 220 for performing identity authentication and authorization processing by PMI is installed in a database, and the same layer as that of the DB communication module 210 for information exchange with the DB communication module 210 in the database. Installing in the area; (b) 상기 정보시스템(Application), 상기 외부 DB관리 툴(120) 및 상기 내부DB관리 툴(240)에서 상기 데이터베이스 내의 정보 DB(230)로의 접근 요청시 상기 시큐리티 레이어(220)에서 신원확인시스템(300) 및 권한확인시스템(400)과 연계하여 신원 및 권한을 확인하는 단계 및(b) An identity verification system in the security layer 220 when the information system (Application), the external DB management tool 120 and the internal DB management tool 240 requests access to the information DB 230 in the database. Verifying identity and authority in association with 300 and the authorization check system 400; and (c) 상기 단계 (b)에서 신원 및 권한이 확인된 경우에만 상기 정보 DB에의 접근을 허용하는 단계를 포함하여 이루어진 데이터베이스 접근 및 권한 관리 강화 방법.(c) allowing access to the information DB only if the identity and authority are verified in step (b). 제 3 항에 있어서, 상기 단계 (c) 이전에 상기 단계 (b)의 전후 또는 상기 단계 (b)와 동시에 DB_유저 ID 및 패스워드 대조를 통해 접근 권한이 있는 지를 확인하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 데이터베이스 접근 및 권한 관리 강화 방법.4. The method of claim 3, further comprising checking whether the user has access authority through DB_user ID and password matching before or after step (b) or simultaneously with step (b). How to strengthen database access and rights management, characterized in that. 제 3 항에 있어서, 상기 정보 DB 사용내역을 상기 데이터베이스 내에서 접근권한이 제한되는 히스토리 DB에 생성하여 저장하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 데이터베이스 접근 및 권한 관리 강화 방법.4. The method of claim 3, further comprising generating and storing the information DB usage history in a history DB in which access rights are restricted in the database. 제 3 항에 있어서, 상기 신원 및 권한 확인 후 정보시스템에 의한 상기 정보 DB에 접근 시 권한확인시스템에 포함되어 있는 정보 DB 접근패턴 분석 기능을 활용하여 비정상적인 정보 DB 접근 패턴일 경우에 정보 DB에 접근하는 것을 차단한 후 즉시 정보관리자에게 통보하는 사전 정보감사에 활용하는 단계를 포함하여 이루어진 것을 특징으로 하는 데이터베이스 접근 및 권한 관리 강화 방법.4. The method of claim 3, wherein when accessing the information DB by the information system after checking the identity and authority, accessing the information DB in the case of abnormal information DB access pattern by utilizing an information DB access pattern analysis function included in the authorization check system. Method for strengthening database access and authority management, comprising the step of using in advance information audit to notify the information manager immediately after blocking. 제 3 항에 있어서, 상기 신원 및 권한 확인 후 업무담당자가 임시 아이디 및 패스워드를 생성하여 유지보수 용역요원 또는 일반사용자에게 일시적으로 권한을 이양하여 업무 대행체제를 갖출 수 있는 기능을 더 포함하여 이루어진 것을 특징으로 하는 데이터베이스 접근 및 권한 관리 강화 방법.According to claim 3, After the identity and authority confirmation, the person in charge of the task to create a temporary ID and password further comprises the function to temporarily transfer the authority to maintenance service personnel or general users to have a work agency system How to enhance database access and privilege management. 제 3 항에 있어서, 권한확인시스템에 DB USER 정보(DB_유저 ID 및 패스워드)와 DB USER별 사용자 정보(DN)를 추가 구축하여 시스템 관리자 및 데이터베이스 관리자(DBA)로부터 보안관련 기능을 분리하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 데이터베이스 접근 및 권한 관리 강화 방법.4. The method of claim 3, further comprising: separating DB-USER information (DB_user ID and password) and DB-USER-specific user information (DN) in the authorization system to separate security-related functions from system administrators and database administrators (DBAs). How to strengthen the database access and rights management, characterized in that further comprises.
KR1020040053799A 2003-07-15 2004-07-10 method of administering access to database KR100657554B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020030048373 2003-07-15
KR20030048373 2003-07-15

Publications (2)

Publication Number Publication Date
KR20050008486A true KR20050008486A (en) 2005-01-21
KR100657554B1 KR100657554B1 (en) 2006-12-13

Family

ID=37221707

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040053799A KR100657554B1 (en) 2003-07-15 2004-07-10 method of administering access to database

Country Status (1)

Country Link
KR (1) KR100657554B1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100684079B1 (en) * 2005-06-20 2007-02-20 성균관대학교산학협력단 System and method for detecting the exposure of ocsp responder's session private key
KR100868037B1 (en) * 2006-10-18 2008-11-10 주식회사 케이티프리텔 Method and System for Controlling the Access to the Database
KR100913190B1 (en) * 2007-09-13 2009-08-20 에스티지 시큐리티(주) Method for database preservation web-based 3 tier environment and apparatus thereof
KR101025029B1 (en) * 2008-11-25 2011-03-25 이한나 Implementation method for integration database security system using electronic authentication
KR101308859B1 (en) * 2012-02-24 2013-09-16 주식회사 팬택 Terminal having temporary root authority granting function and root authority granting method using the same
KR20160025429A (en) * 2014-08-27 2016-03-08 주식회사 파수닷컴 Data management method, Computer program for the same, Recording medium storing computer program for the same, User Client for the same, and Security policy server for the same
WO2016032233A3 (en) * 2014-08-27 2016-04-14 주식회사 파수닷컴 Data management method, computer program for same, recording medium thereof, user client for executing data management method, and security policy server
KR102185555B1 (en) * 2020-05-18 2020-12-02 주식회사 지에스리테일 Method of secure access and query execution of database and server implementing thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9402935D0 (en) * 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100684079B1 (en) * 2005-06-20 2007-02-20 성균관대학교산학협력단 System and method for detecting the exposure of ocsp responder's session private key
KR100868037B1 (en) * 2006-10-18 2008-11-10 주식회사 케이티프리텔 Method and System for Controlling the Access to the Database
KR100913190B1 (en) * 2007-09-13 2009-08-20 에스티지 시큐리티(주) Method for database preservation web-based 3 tier environment and apparatus thereof
KR101025029B1 (en) * 2008-11-25 2011-03-25 이한나 Implementation method for integration database security system using electronic authentication
KR101308859B1 (en) * 2012-02-24 2013-09-16 주식회사 팬택 Terminal having temporary root authority granting function and root authority granting method using the same
KR20160025429A (en) * 2014-08-27 2016-03-08 주식회사 파수닷컴 Data management method, Computer program for the same, Recording medium storing computer program for the same, User Client for the same, and Security policy server for the same
WO2016032233A3 (en) * 2014-08-27 2016-04-14 주식회사 파수닷컴 Data management method, computer program for same, recording medium thereof, user client for executing data management method, and security policy server
US10404460B2 (en) 2014-08-27 2019-09-03 Fasoo. Com Co., Ltd Data management method, computer readable recording medium thereof, user client for executing data management method, and security policy server
KR102185555B1 (en) * 2020-05-18 2020-12-02 주식회사 지에스리테일 Method of secure access and query execution of database and server implementing thereof
WO2021235752A1 (en) * 2020-05-18 2021-11-25 주식회사 지에스리테일 Method for secure access and query execution of database, and server implementing same

Also Published As

Publication number Publication date
KR100657554B1 (en) 2006-12-13

Similar Documents

Publication Publication Date Title
US6978366B1 (en) Secure document management system
EP1436682B1 (en) System and method for specifying security, privacy, and access control to information used by others
JP3640339B2 (en) System for retrieving electronic data file and method for maintaining the same
US8590013B2 (en) Method of managing and communicating data pertaining to software applications for processor-based devices comprising wireless communication circuitry
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US20030229812A1 (en) Authorization mechanism
US20020049912A1 (en) Access control method
US20070271618A1 (en) Securing access to a service data object
US20030217264A1 (en) System and method for providing a secure environment during the use of electronic documents and data
EP1914951A1 (en) Methods and system for storing and retrieving identity mapping information
US20120098638A1 (en) Systems and methods of operating a secured facility
US8631486B1 (en) Adaptive identity classification
CN106533693B (en) Access method and device of railway vehicle monitoring and overhauling system
KR20080019362A (en) Substitutable local domain management system and method for substituting the system
KR102311462B1 (en) Block chain did-based digital evidence management system and method
JP2000010930A (en) Access control method for network system
US20230412400A1 (en) Method for suspending protection of an object achieved by a protection device
KR100657554B1 (en) method of administering access to database
CN112347440B (en) User access authority division system of industrial control equipment and application method thereof
US20050055556A1 (en) Policy enforcement
CN113420320A (en) Block chain authority management method and system under data sharing scene
KR20080098304A (en) Method for management of database access control and protection of database access account
US20120068814A1 (en) Systems and methods of operating a secured facility
CN110708298A (en) Method and device for centralized management of dynamic instance identity and access
CN114398612A (en) ICT virtual operation safety access control method based on micro-service

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee