KR100386853B1 - System for Security Kernel for Security based on Duty using Electronic Signature Authentication - Google Patents

System for Security Kernel for Security based on Duty using Electronic Signature Authentication Download PDF

Info

Publication number
KR100386853B1
KR100386853B1 KR10-2000-0019729A KR20000019729A KR100386853B1 KR 100386853 B1 KR100386853 B1 KR 100386853B1 KR 20000019729 A KR20000019729 A KR 20000019729A KR 100386853 B1 KR100386853 B1 KR 100386853B1
Authority
KR
South Korea
Prior art keywords
role
user
security
certificate
based security
Prior art date
Application number
KR10-2000-0019729A
Other languages
Korean (ko)
Other versions
KR20010096816A (en
Inventor
은유진
홍기융
이민구
김재명
Original Assignee
주식회사 시큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐브 filed Critical 주식회사 시큐브
Priority to KR10-2000-0019729A priority Critical patent/KR100386853B1/en
Publication of KR20010096816A publication Critical patent/KR20010096816A/en
Application granted granted Critical
Publication of KR100386853B1 publication Critical patent/KR100386853B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 전자서명 인증 기반 역할기반 보안용 보안커널 시스템에 관한 것이다.The present invention relates to a secure kernel system for role based security based on digital signature authentication.

본 발명 시스템은, 내부 근거리 통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서, 사용자의 인증서 요청에 대하여 보안관리자가 해당사용자의 역할기반 보안정보를 설정하고, 승인하여 발급하기 위한 인증서 발급수단과, 발급된 인증서를 저장하는 인증서 저장수단과, 특정 파일 시스템에 대하여 보안관리자가 설정한 파일시스템 접근권한을 나타내는 역할기반 보안정보를 저장하는 저장수단과, 시스템에 접근하는 사용자의 인증서를 검증하여 신분 및 해당 사용자의 역할기반 보안정보를 확인하기 위한 수단과, 시스템에 접근한 사용자가 수행한 프로세스에 대하여 해당 프로세스를 실행하는 사용자의 역할기반 보안정보로 프로세스의 역할기반 보안정보를 설정하는 설정수단과, 프로세서의 사용자 역할기반 보안정보와 보안관리자가 파일시스템에 설정한 역할기반 보안정보를 비교하여 해당 프로세스에 대한 파일시스템의 접근을 제어하는 제어수단을 포함하여 이루어지는 것을 특징으로 한다.The system of the present invention is a security kernel system based on digital signature authentication for a user accessing a system via an internal local area network or a remote external communication network. The security administrator sets a role security information of a user A certificate storage means for storing the issued certificate; a storage means for storing role-based security information indicating a file system access right set by the security manager for a specific file system; Means for verifying the identity of the user accessing the system and for confirming the identity of the user and the role-based security information of the user; and means for processing the process performed by the user who accesses the system, Setting means for setting role-based security information , By a user, role-based security information and security manager processor compares the role-based security information set in the file system, characterized by comprising control means for controlling access to the file system for the process.

Description

전자서명 인증을 이용한 역할기반 보안커널 시스템{System for Security Kernel for Security based on Duty using Electronic Signature Authentication}A Role-based Secure Kernel System Using Digital Signature Authentication {System for Security Kernel for Security Based on Duty using Electronic Signature Authentication}

본 발명은 전자서명 인증을 이용한 역할기반 보안용 보안커널 시스템에 관한 것으로, 비인가된 자가 컴퓨터 시스템 또는 네트워크시스템에 침입하여 비밀로 분류되거나 또는 중요도가 높은 민감한 정보에 접근하여 정보를 위·변조, 삭제, 또는 유출시키는 것과 같은 해킹 위협을 커널레벨에서 원천적으로 방지하여 역할기반의 비밀수준을 갖는 보안관리자 및 사용자의 역할기반 비밀수준을 갖는 파일시스템에 대한 접근을 안전하게 제어하기 위한 전자서명 인증을 이용한 역할기반 보안용 보안커널 방법에 관한 것이다.The present invention relates to a security kernel system for role-based security using digital signature authentication, and more particularly, to a secure kernel system for role-based security, in which an unauthorized person intrudes into a computer system or a network system and accesses sensitive information, , Or spoofing at the kernel level to prevent hacking threats from occurring at the kernel level and to use the digital signature authentication to securely control the access to the file system with the role-based secret level of the user and the security administrator with the role-based secret level Based security.

이와 관련한 종래의 기술은 컴퓨터에 저장된 정보를 안전하게 보호하기 위하여 침입차단시스템을 사용하여 특정 서비스 및 네트워크 주소에 관련된 네트워크 접속만을 허용하는 방법 및 컴퓨터 시스템 사용자에 대한 신분확인 방법을 일회용패스워드방법 등으로 하는 등 부분적인 보안 기술 및 방법을 적용하는 제한적인 보안기능 만이 제공되는 문제점이 있었다.또한, 사용자에 대한 역할기반 보안 정보를 설정·관리하는 기능이 보안관리자의 ID와 패스워드에 의존하고 있어서 보안관리자의 ID와 패스워드가 해킹당했을 경우 사용자의 신분확인 및 역할기반 보안정보 설정·관리 기능이 안전하게 통제되지 않고 침입자에 의하여 동작되는 문제점이 발생하고 있으며, 이로 인하여 비밀로 분류된 정보나 중요도가 높은 정보가 해킹에 의하여 위·변조, 삭제 또는 유출될 수 있는 보안취약점이 여전히 존재하는 문제점이 있다.In the related art, a method of allowing only a network connection related to a specific service and a network address using an intrusion blocking system and a method of identifying an identity of a computer system user in order to safely protect information stored in a computer is a one-time password method or the like There is a problem that only a limited security function that applies partial security technologies and methods such as the security administrator is provided. In addition, since the function of setting and managing role-based security information for the user depends on the ID and password of the security manager, When the ID and the password are hacked, the identification of the user and establishment and management of the role-based security information are not controlled securely and are operated by the intruder. As a result, the classified information or the high- Up, Modulation, There is still a security vulnerability that can be exploited or leaked.

본 발명은 상기한 바와 같은 종래 기술의 제반 문제점을 해결하기 위해 제안된 것으로, 컴퓨터 운영체제의 커널레벨에서 비밀로 분류된 정보나 중요도가 높은 파일에 대한 위·변조, 삭제 또는 유출방지를 위한 역할기반 접근제어 기능을 갖는 보안커널을 추가하여 기존의 컴퓨터 운영체제내의 커널이 갖는 근본적인 보안 취약점을 해결함으로써 컴퓨터 시스템을 안전·신뢰성 있게 운영할 수 있도록 하는 전자서명 인증을 이용한 역할기반 보안용 보안커널 방법을 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve all the problems of the related art as described above, and it is an object of the present invention to provide a computer readable recording medium having a role-based Provides a secure kernel method for role-based security using digital signature authentication, which enables a computer system to operate safely and reliably by solving the fundamental security weakness of the kernel in the existing computer operating system by adding a security kernel with access control function It has its purpose.

도 1은 본 발명이 적용되는 인터넷 환경을 설명하기 위한 구성도,FIG. 1 is a diagram illustrating an Internet environment to which the present invention is applied.

도 2는 본 발명이 적용되는 전자서명 인증을 이용한 역할기반 보안용 보안커널 장치의 구조도,FIG. 2 is a structural view of a secure kernel device for role-based security using digital signature authentication to which the present invention is applied.

도 3은 상기 도 2의 보안커널의 상세 구조도,FIG. 3 is a detailed structure of the security kernel of FIG. 2,

도 4는 상기 도 2의 인증서 저장부의 상세 구조도 ,FIG. 4 is a detailed structure of the certificate storage unit of FIG. 2,

도 5는 상기 도 3의 프로세스 역할기반 보안정보 저장소의 상세 구조도,FIG. 5 is a detailed structure of the process role based security information storage of FIG. 3,

도 6은 상기 도 3의 파일시스템 역할기반 보안정보 저장소의 상세 구조도,FIG. 6 is a detailed structure of the file system role-based security information storage of FIG. 3,

제7도는 본 발명에 따른 전자서명 인증을 이용한 역할기반 보안용 보안커널 방법을 설명하기 위한 일실시예 흐름도,FIG. 7 is a flowchart illustrating a secure kernel method for role-based security using digital signature authentication according to an embodiment of the present invention;

도 8은 상기 도 7의 설치단계를 설명하기 위한 일실시예 상세 흐름도,8 is a detailed flowchart for explaining the installation step of FIG. 7,

도 9는 상기 도 7의 운영단계를 설명하기 위한 일실시예 상세 흐름도,FIG. 9 is a detailed flowchart of an embodiment for explaining the operational steps of FIG. 7,

도 10은 상기 도 9의 전자서명 인증기반 신분확인 처리 방법을 설명하기 위한 일실시예 상세 흐름도,FIG. 10 is a detailed flowchart of an embodiment for explaining the digital signature authentication based identification processing method of FIG. 9,

도 11은 상기 도 9의 사용자 등록 및 삭제 처리 방법을 설명하기 위한 일실시예 상세 흐름도,11 is a detailed flowchart for explaining a user registration and deletion processing method of FIG. 9,

도 12는 상기 도 9의 파일시스템 역할기반 접근권한 설정 처리 방법을 설명하기 위한 일실시예 상세 흐름도,FIG. 12 is a detailed flowchart for explaining a file system role-based access right setting processing method of FIG. 9,

도 13은 상기 도 9의 파일시스템 접근처리 방법을 설명하기 위한 일실시예 상세 흐름도.FIG. 13 is a detailed flowchart of an embodiment for explaining a file system access processing method of FIG. 9; FIG.

본 발명은 사용자가 맡은 직책, 직급, 직무 등 주어진 책임에 관련하여, 사용자가 맡은 역할에 따라 사용자별 파일시스템의 접근권한을 달리하고자 하는 것으로,상기와 같은 본 발명은, 시스템에 등록된 보안관리자에 의해 사용자에 대한 사용자 인증서를 발급하며, 발급되는 인증서에는 보안관리자에 의해 설정된 역할기반접근권한을 나타내는 역할기반보안정보를 포함하는 것을 특징으로 한다.파일시스템에는 사용자의 역할에 따라 접근을 제한하는 역할기반 보안정보를 설정하며, 설정되는 역할기반 보안정보는 보안관리자에 의해 설정되는 것을 특징으로 한다.본 발명 시스템은, 시스템에 접근하는 사용자의 인증서를 검증하여 보안관리자/사용자 여부를 확인하는 신분확인과정을 수행하고, 사용자(보안관리자/사용자)가 수행하는 프로세스에 대하여 신분확인과정을 통해 검증된 해당 사용자의 역할기반 보안정보를 부여하고, 프로세스의 사용자 역할기반정보와 보안관리자가 설정한 파일시스템의 역할기반 보안정보와 비교하여 접근 허가여부를 결정하도록 하는 것을 특징으로 한다.다시말하면, 전자서명 인증 및 검증 방법을 이용하여 사용자의 신분확인을 수행하고 신분확인된 결과를 토대로 수행되는 프로세스가 특정 파일시스템에 대한 역할기반 접근권한을 갖도록 하는 단계, 상기 단계 후 해당 프로세스 및 해당 프로세스의 자식 프로세스(child process)가 파일시스템에 접근을 시도할 경우 역할기반 접근권한을 확인하는 단계로 이루어지며, 상기 단계 모두를 보안커널의 형태로 커널내부에서 동작하게 함으로써 컴퓨터 시스템의 파일에 대한 역할기반 접근제어를 커널레벨에서 원천적으로 안전하게 통제하여 비밀로 분류된 정보나 중요도가 높은 파일에 대한 위·변조, 삭제 또는 유출 문제를 해결하는데 그 특징이 있다.이를 위해 본 발명은 사용자레벨에는 보안관리모듈, 인증서 저장부 및 보안 라이브러리를, 커널레벨에는 시스템호출 인터페이스와 보안커널로 구성한다. 보안관리모듈은 보안라이브러리와 시스템 호출 인터페이스 및 기존의 라이브러리와 상호동작하여 보안관리자 및 사용자용 전자서명키를 생성하고 인증서를 발급하며, 커널레벨에서 보안관리자와 사용자를 식별하여 파일시스템에 대한 역할기반 접근제어를 안전하게 수행할 수 있도록 인터페이스를 제공한다.The present invention seeks to change the access right of a file system for each user according to a role of a user in relation to a given responsibility such as a position, a position, a job, and the like of a user. Based security information indicating a role-based access right set by a security administrator, and the issued certificate includes a role-based security information indicating a role-based security right set by the security administrator. Based security information, and the role-based security information to be set is set by the security manager. [0030] The system of the present invention is a system for verifying the certificate of a user accessing the system, Performs a verification process, and performs a process for a user (security manager / user) The role-based security information of the user is verified through the identification process, and the access permission is determined by comparing the user-role-based information of the process and the role-based security information of the file system set by the security administrator In other words, a step of performing identification of a user by using an electronic signature authentication and verification method and having a role-based access right to a specific file system based on a result of identification verification, Based access right when a child process of the process and a child process of the process attempt to access the file system. By operating all of the above steps in the kernel in the form of a secure kernel, Role-based access control on files is at the kernel level A security management module, a certificate storage unit, and a security library are provided at the user level, and the security management module, the certificate storage unit, and the security library are provided at the user level. , And a system call interface and a security kernel at the kernel level. The security management module interacts with the security library, the system call interface, and the existing library to generate digital signature keys for security administrators and users, issues certificates, identifies security administrators and users at the kernel level, Provides an interface for safe access control.

보안커널에서는 보안관리자 및 사용자의 신분확인을 위해 전자서명 검증 수단을 제공하며, 전자서명 검증 후 부여된 보안관리자 또는 사용자 프로세스의 역할기반 접근권한과 보안관리자에 의해 파일시스템 보안을 위하여 설정된 파일시스템의 역할기반 접근권한 정보를 이용하여 특정 파일에 대한 역할기반 접근제어 수단을 제공한다.The security kernel provides the digital signature verification means for the identity verification of the security administrator and the user. It also provides the role-based access right of the security manager or the user process granted after the digital signature verification and the file system Role-based access control information is used to provide role-based access control for specific files.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 우선 각 도면의 구성요소들에 참조 번호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above-mentioned objects, features and advantages will become more apparent from the following detailed description in conjunction with the accompanying drawings. It should be noted that, in the case of adding the reference numerals to the constituent elements of each drawing, the same constituent elements have the same number as much as possible even if they are displayed on different drawings. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명이 적용되는 인터넷 환경을 설명하기 위한 구성도이다.도면에 도시된 바와 같이, 본 발명이 적용되는 환경은,내부 근거리 통신망 또는 원격의 인터넷 통신망을 통해 컴퓨터 시스템(1)에 접속하는 보안관리자(5), 사용자(9,14)와 같이 나타낼 수 있으며,컴퓨터 시스템(1)을 관리하는 보안관리자(5)가 플로피디스켓(3) 또는 스마트카드(4)를 가지고 전자서명 인증에 기반한 신분확인 과정을 거쳐 컴퓨터 시스템(1) 및 사용자(9 또는 14)에 대한 보안관리를 책임지며, 사용자(9 또는 14)는 사용자의 플로피디스켓(7) 또는 스마트카드(8)를 가지고 전자서명 인증에 기반한 신분확인 과정을 거친 후 보안관리자(5)에 의해 설정된 접근이 허가된 파일에 대해서만 역할기반 접근 권한을 갖는다.As shown in the figure, the environment to which the present invention is applied is connected to the computer system 1 through an internal local area network or a remote internet communication network. And the security manager 5 managing the computer system 1 can display the electronic signature using the floppy diskette 3 or the smart card 4 The user 9 or 14 is responsible for the security management of the computer system 1 and the user 9 or 14 via an identity verification process based on the user's floppy diskette 7 or smart card 8, After having undergone the authentication process based on the authentication, only the access permitted by the security manager (5) has role-based access authority.

도 2는 본 발명이 적용되는 전자서명 인증을 이용한 역할기반 보안용 보안커널 시스템의 구성을 나타낸 도면이다.도면에 도시된 바와 같이, 사용자레벨은 보안관리모듈(201)과 인증서 저장부(202), 보안라이브러리(203)로 구성되며 보안관리모듈(201)은 보안라이브러리(203)와 시스템 호출 인터페이스(204) 및 기존의 라이브러리와 상호 동작하여 보안관리자(5), 사용자(9) 및 원격사용자(14)용 전자서명키를 생성하고 인증서를 발급하며, 커널레벨에서 보안관리자와 사용자를 식별하여 파일시스템에 대한 역할기반 접근제어를 안전하게 수행할 수 있도록 인터페이스를 제공한다.2, the user level includes a security management module 201 and a certificate storage unit 202. The security management module 201 and the certificate storage unit 202, And a security library 203. The security management module 201 interacts with the security library 203 and the system call interface 204 and the existing library to manage the security manager 5, 14) generates an electronic signature key, issues a certificate, and provides an interface to securely perform role-based access control to the file system by identifying the security administrator and the user at the kernel level.

커널레벨은 시스템호출 인터페이스(204)와 보안커널(205)로 구성되는 것으로, 시스템호출 인터페이스(204)는 사용자레벨의 작업을 파일 서브시스템부와 프로세스 제어서브시스템부 및 보안커널(205)과의 인터페이스 역할을 수행하며, 보안커널(205)은 전자서명검증, 역할기반 접근권한 설정 및 조회, 파일시스템 역할기반 접근제어 등의 기능을 수행한다.The kernel level is composed of a system call interface 204 and a secure kernel 205. The system call interface 204 is a system call interface that connects a user level job to a file subsystem unit, And the security kernel 205 performs functions such as digital signature verification, role-based access right setting and inquiry, and file system role based access control.

도 3은 상기 도 2의 보안커널(205)의 상세 구성도이다.도면에 도시된 바와 같이, 본 발명의 보안커널은, 역할기반 접근권한 제어부(301), 전자서명검증부(302), 역할기반 접근권한 설정/조회부(303), 역할기반 보안정책 규칙 설정/조회부(306), 파일시스템 역할기반 접근권한 결정부(307), 보안관리자인증서 저장소(308), 프로세스 역할기반 보안정보 저장소(309), 역할기반 보안정책규칙 저장소(310), 파일시스템 역할기반 보안정보 저장소(311)를 포함하고 있다.상기 역할기반 접근권한 제어부(301)는 역할기반 접근권한 설정/조회부(303), 역할기반 보안정책규칙설정/조회부(306), 파일시스템 역할기반 접근권한 결정부(307)의 기능 수행을 제어한다.상기 역할기반 접근권한 설정/조회부(303)는 프로세스 역할기반 보안정보 설정/조회부(304)와 파일시스템 역할기반 보안정보 설정/조회부(305)를 포함하며, 상기 전자서명 검증부(302)를 통하여 접근을 시도하는 사용자의 신분이 확인되면 프로세스 역할기반 보안정보 설정/조회부(304)를 통해 프로세스 역할기반 보안정보 저장소(309)의 역할(502) 정보를 사용자 인증서에 포함된 역할(405)정보로 설정하고, 파일시스템 역할기반 보안정보 설정/조회부(305)는 프로세스 역할기반 보안정보저장소(309)의 해당 프로세스 정보를 참조하여 파일시스템 역할기반 보안정보 저장소(311)의 역할(602) 정보를 조회하여 이후 접근권한을 결정하는 파일시스템 역할기반 접근권한결정부(307)로 제공한다.상기 역할기반 보안정책규칙 설정/조회부(306)는 상기 역할기반 보안정책규칙 저장소(310)에 저장된 역할기반 보안정책규칙을 설정 및 조회하는 기능을 수행하며, 상기 역할기반 접근권한 설정/조회부(303) 및 상기 파일시스템 역할기반 접근권한 결정부(307)와 상호 연동하여 보안정책규칙에서 정한 바에 따라 역할기반 접근제어가 이루어질 수 있도록 한다.상기 파일시스템 역할기반 접근권한결정부(307)는 프로세스 역할기반 보안정보 저장소(309)와 파일시스템 역할기반 보안정보 저장소(311)의 정보를 역할기반 보안정책규칙 설정/조회부(306)를 통하여 상호 비교하여 파일시스템에 대한 역할기반 접근권한을 최종적으로 판단하는 기능을 수행한다.즉, 상기 역할기반 보안정책규칙 저장소(310)에 저장된 보안정책규칙은 프로세스 역할기반 보안정보 저장소(309)에 설정된 현재 프로세스에 대한 사용자 역할정보와 파일시스템 역할기반 보안정보 저장소에 설정된 접근권한 정보인 역할 정보를 비교하여 접근 제어를 판단하기 위한 비교정보를 나타내는 것이다.3, the secure kernel of the present invention includes a role-based access right control unit 301, an electronic signature verification unit 302, a role- Based security policy setting / inquiry unit 306, a file system role based access right determining unit 307, a security manager certificate storage 308, a process role based security information storage Based security policy rule repository 310 and a file system role based security information repository 311. The role based access rights control unit 301 includes a role based access right setting / Based security policy rule setting / inquiry unit 306 and the file system role based access rights decision unit 307. The role based access right setting / inquiry unit 303 receives the role based security information The setting / inquiring unit 304 and the file system role-based security information And a setting / inquiry unit 305. When the identity of the user attempting to access is confirmed through the digital signature verification unit 302, the process role based security information setup / The role information of the repository 309 is set to the role 405 information included in the user certificate and the file system role based security information setting / Based access right decider 307 that inquires the role 602 information of the file system role based security information storage 311 by referring to the process information and determines the access right thereafter. The setting / inquiry unit 306 sets and inquires the role-based security policy rule stored in the role-based security policy rule storage 310. The role-based access rights setting / inquiry unit 303 And the file system role-based access right determining unit 307. The file system role-based access right deciding unit 307 controls the role-based access right deciding unit 307, The information of the security information storage 309 and the information of the file system role based security information storage 311 are compared with each other through the role based security policy rule setting / inquiry unit 306 to finally determine the role based access right to the file system The security policy rule stored in the role-based security policy rule repository 310 includes user role information for the current process set in the process role-based security information storage 309, And comparison information for judging access control by comparing role information, which is set access right information.

도 4는 상기 도 2의 인증서 저장부(202)의 상세 구성도이다.도면에 도시된 바와 같이, 본 발명의 인증서 저장부는, 사용자 ID(401)와 사용자 인증서(402)를 포함하고 있다.상기 사용자 인증서(402)는 사용자(9 또는 14)에게 사용자 인증서를 발행한 보안관리자(5)의 보안관리자 ID(403), 인증서의 소유자인 사용자 ID(404), 사용자의 역할기반 접근 권한을 나타내는 역할(405), 사용자의 파일시스템에 대한 역할기반 접근권한 기한을 나타내는 보안성 유효기간(406), 사용자의 전자서명 공개키를 나타내는 공개키(407), 인증서의 발행시점을 나타내는 인증서 발행시간(408), 인증서의 유효한 기간을 나타내는 인증서 유효기간(409)정보와 상기 정보(403, 404, 405, 406, 407, 408,409)에 대하여 보안관리자가 전자서명한 결과인 전자서명값(410)으로 구성된다.4 is a detailed configuration diagram of the certificate storage unit 202 of FIG 2. As shown in the figure, the certificate storage unit of the present invention includes a user ID 401 and a user certificate 402. [ The user certificate 402 includes a security manager ID 403 of the security manager 5 that issued the user certificate to the user 9 or 14, a user ID 404 that is the owner of the certificate, a role indicating the role- A security validity period 406 indicating a term of a role-based access right to the user's file system, a public key 407 indicating a user's digital signature public key, a certificate issuance time 408 A certificate validity period 409 information indicating a valid period of the certificate and an electronic signature value 410 that is a result of the security manager digitally signing the information 403, 404, 405, 406, 407, 408, 409 .

도 5는 상기 도 3의 프로세스 역할기반 보안정보 저장소(309)의 상세 구성도로, 보안관리자(5) 또는 사용자(9 또는 14)가 실행한 각각의 프로세스를 식별하기 위한 프로세스 ID(501), 해당 프로세스를 실행하는 사용자 역할(502)정보로 구성된다.5 is a detailed configuration of the process role based security information storage 309 shown in FIG. 3, a process ID 501 for identifying each process executed by the security manager 5 or the user 9 or 14, And a user role 502 for executing the process.

도 6은 상기 도 3의 파일시스템 역할기반 보안정보 저장소(311)의 상세 구성도로, 파일을 식별할 수 있는 파일ID(601)와 해당 파일에 접근할 수 있는 역할기반 접근권한을 나타내는 역할(602) 정보로 구성된다.FIG. 6 is a detailed configuration of the file system role-based security information storage 311 of FIG. 3, showing a file ID 601 for identifying a file and a role 602 representing role-based access right ) Information.

제7도는 본 발명에 따른 전자서명 인증을 이용한 역할기반 보안용 보안커널 방법을 설명하기 위한 일실시예 흐름도이다.도면에 도시된 바와 같이, 본 발명의 보안커널 방법은, 보안관리자(5)를 설정하여 설치(등록)하고(701), 사용자 등록/삭제 및 파일 접근권한을 제어하는 운영단계를 수행한다(702).7 is a flowchart illustrating a security kernel method for role-based security using digital signature authentication according to an embodiment of the present invention. As shown in the figure, the secure kernel method of the present invention includes a security manager 5 (701), and performs an operation step of controlling user registration / deletion and file access authority (702).

도 8은 상기 도 7의 설치단계를 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 설치단계는, 상기 보안관리자(5)가 자신의 전자서명키 쌍(pair)인 공개키(PK_SM)와 비밀키(SK_SM)를 생성하고(801), 자신의 역할기반 보안정보(ROLE_SM) 및 상기 공개키(PK_SM)를 상기 비밀키(SK_SM)로 전자서명하여 인증서(CERT_SM = SM[ROLE_SM, PK_SM]SK_SM)를 생성한다(802).이후, 상기 보안관리자(5)는 상기 비밀키(SK_SM)를 암호화하여 스마트카드(4) 또는 플로피디스켓(3) 등에 저장하고(803), 또한, 상기 인증서(CERT_SM)를 스마트카드 또는 플로피디스켓(3) 등에 저장하여(804), 이를 상기 보안관리자 인증서 저장소(308)에 내장시킨다(805).7 is a detailed flowchart of an exemplary embodiment of the present invention. As shown in the figure, the installation step of the present invention is a method in which the security manager 5 encrypts its digital signature key pair, (PK_SM) and a private key (SK_SM) 801 and electronically signs the role-based security information ROLE_SM and the public key PK_SM with the secret key SK_SM to generate a certificate CERT_SM = The security manager 5 encrypts the secret key SK_SM and stores the encrypted secret key SK_SM in the smart card 4 or the floppy diskette 3 in step 803. In step 803, the security manager 5 encrypts the secret key SK_SM, SM [ROLE_SM, PK_SM] SK_SM, , And stores the certificate (CERT_SM) in a smart card or a floppy diskette 3 (804), and embeds the certificate (CERT_SM) in the security manager certificate storage 308 (805).

도 9는 상기 도 7의 운영단계를 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 운영단계는, 컴퓨터 시스템에 접근하는 보안관리자(5) 또는 사용자(9 또는 14)에 대한 신분확인을 전자서명 인증에 기반하여 수행한다(901).신분확인 결과를 판단하여(902), 신분확인 결과가 실패이면 종료하고(911), 신분확인 결과가 성공이면 상기 보안관리자 인증서 저장소(308)에 내장된 보안관리자(5)의 인증서로부터 상기 보안관리자(5)의 역할기반 보안정보(ROLE_SM)를 읽어낸다(910).신분이 보안 관리자(5)인 경우에는, 클라이언트 사용자 프로세스의 역할기반 보안정보(ROLE_UP)에 보안관리자(5)의 역할기반 보안정보(ROLE_SM)를 부여하고(904), 부여된 보안관리자(5) 접근권한에 따라, 사용자(9 또는 14) 등록 및 삭제처리(906), 파일시스템 역할기반 접근권한 설정처리(907) 및 파일시스템 역할기반 접근처리(908) 중 어느 하나를 선택하여 이를 수행한다.만약, 신분확인 결과 사용자(9 또는 14)인 경우에는 프로세스의 역할기반 보안정보(ROLE_UP)에 사용자의 역할기반 보안정보(ROLE_U)를 부여한 후(905) 파일시스템 역할기반 접근 처리(909)를 수행한다(915).7 is a detailed flowchart of an embodiment for explaining the operational steps of FIG. 7. As shown in the figure, the operating step of the present invention includes a security manager 5 or a user 9 or 14 ) Is performed based on the digital signature authentication (901). If the result of the identification is not successful (902), the process ends if the result of the identification is unsuccessful (911) Based security information ROLE_SM of the security manager 5 from the certificate of the security manager 5 built in the storage 308. If the identity is the security manager 5, (904) the role-based security information (ROLE_SM) of the security manager (5) to the role-based security information (ROLE_UP) of the user (9 or 14) Processing 906, file system role-based access rights Based security information ROLE_UP of the process in the case of the user 9 or 14 as a result of the identification of the user, (905) and performs a file system role-based access processing (909) on the basis of the role-based security information (ROLE_U).

도 10은 상기 도 9의 전자서명 인증기반 신분확인 처리방법을 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 신분확인 처리방법은, 서버시스템(S)이 난수(R)를 생성하고(1001), 상기 난수(R)에 대한 전자서명값(X=U[R]SK_U)을 생성한다(1002).상기 보안관리자 인증서 저장소(308)에 내장된 보안관리자(5)의 인증서(CERT_SM))로부터 상기 보안관리자(5)의 공개키(PK_SM)를 추출한다(1003).이후, 보안커널(205)이 보안관리자(5)의 상기 공개키(PK_SM)를 이용해 클라이언트 사용자(9 또는 14)의 인증서(CERT_U)를 검증하고(1005), 검증이 실패하면 FALSE 값을 가지고 종료한다. 만약 검증이 성공한 경우에는 클라이언트 사용자(9 또는 14)의 인증서(CERT_U)로부터 클라이언트 사용자의 공개키(PK_U)와 클라이언트 사용자의 역할기반 보안정보(ROLE_U)를 추출한다(1007).상기 난수(R)에 대하여 생성된 전자서명값(X)을 검증하고(1008), 검증결과가 성공이면 클라이언트 사용자(9 또는 14)의 역할기반 보안정보(ROLE_U) 값을 가지고 종료하며(1010), 검증이 실패하면, FALSE 값을 가지고 종료한다(1011).9 is a detailed flowchart for explaining an electronic signature authentication-based identification processing method of FIG. 9. As shown in the figure, the identification processing method of the present invention is a method in which a server system S sends a random number R] (1001) and generates an electronic signature value (X = U [R] SK_U) for the random number R at step 1002. The security manager 5 The security kernel 205 extracts the public key PK_SM of the security manager 5 from the certificate CERT_SM of the security manager 5 using the public key PK_SM of the security manager 5, The certificate (CERT_U) of the user (9 or 14) is verified (1005), and if the verification fails, it ends with a value of FALSE. If verification is successful, the public key PK_U of the client user and the role-based security information ROLE_U of the client user are extracted from the certificate (CERT_U) of the client user 9 or 14 (1007) (1010) with the role-based security information (ROLE_U) value of the client user (9 or 14) if the verification result is successful (1010). If the verification fails , And terminates with a value of FALSE (1011).

도 11은 상기 도 9의 사용자 등록 및 삭제 처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.클라이언트 사용자(9 또는 14) 프로세스의 역할기반 보안정보(ROLE_UP)가 보안관리자(5)의 역할기반 보안정보(ROLE_SM)와 비교하여(1101) 서로 일치하면, 보안관리자(5)의 접근권한에 따라 사용자(9 또는 14)의 삭제를 선택하면 등록된 사용자(U)를 삭제한다.사용자 등록을 선택하면, 새로운 사용자(9 또는 14) 역할기반 보안정보(ROLE_U)를 부여하고(1104), 새로운 사용자(9 또는 14)의 공개키(PK_U)와 비밀키(SK_U)를 생성한다(1005).보안관리자(5)는 새로운 사용자(9 또는 14)의 역할기반 보안정보(ROLE_U) 및 공개키 (PK_U)를 보안관리자(5) 자신의 비밀키(SK_SM)로 전자서명하여 인증서(CERT_U = SM[ROLE_U, PK_U]SK_SM)를 생성한다(1106).사용자(U)는 자신의 비밀키(SK_U)를 암호화하여 스마트카드(8 또는 13) 또는 플로피디스켓(7 또는 12) 등에 저장한다(1107).사용자(U)는 자신의 인증서(CERT_U)를 스마트카드(8 또는 13) 또는 플로피디스켓(7 또는 12) 등에 저장한다(1108).이와 같은 사용자 등록은 전자서명 인증서를 요청하는 사용자(9 또는 14)가 있을 경우에 수행하는 것으로, 일반적인 인증서 발급과정과 동일하며, 본 발명에서는 보안관리자(5)가 해당 사용자의 역할기반 보안정보(ROLE_U)를 설정하여 인증서를 발급하게 된다.9 is a detailed flowchart for explaining the user registration and deletion processing method of FIG 9. The role-based security information (ROLE_UP) of the client user (9 or 14) When the user agrees with the information ROLE_SM 1101, if the user 9 or 14 is deleted in accordance with the access right of the security manager 5, the registered user U is deleted. Based security information ROLE_U to the new user 9 or 14 1104 and generates a public key PK_U and a private key SK_U of the new user 9 or 14 in operation 1005. In step 1005, The certificate authority 5 electronically signs the role-based security information ROLE_U and the public key PK_U of the new user 9 or 14 with the private key SK_SM of the security manager 5 and generates a certificate CERT_U = SM [ROLE_U, PK_U] SK_SM (1106). User U encrypts his / her secret key (SK_U) The user U stores the certificate CERT_U on the smart card 8 or 13 or the floppy diskette 7 or 12 or the like on the floppy diskette 7 or 12 Such a user registration is performed when a user 9 or 14 requesting a digital signature certificate exists and is similar to a general certificate issuing process. In the present invention, the security manager 5 checks whether the user's role-based security Information (ROLE_U) is set and a certificate is issued.

도 12는 상기 도 9의 파일시스템 역할기반 접근권한 설정 처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.클라이언트 사용자 프로세스의 역할기반 보안정보(ROLE_UP)를 보안관리자(5)의 역할기반 보안정보(ROLE_SM)와 비교하여(1201) 서로 일치하지 않으면 종료하고, 서로 일치하면, 보안관리자(5)는 파일 역할기반 보안정보(ROLE_F) 설정을 위한 파일(F)을 선택한다(1202).보안관리자(5)는 해당파일(F)에 접근을 허가할 대상을 선택하고(1203), 보안커널은 파일 역할기반 보안정보(ROLE_F)에 허가할 대상(사용자)에 대한 사용자 역할기반 보안정보(ROLE_U)를 설정한다(1204).12 is a detailed flowchart for explaining a file system role-based access right setting processing method of FIG. 9. The role-based security information ROLE_UP of the client user process is transmitted to the role-based security information The security manager 5 selects the file F for setting the file role based security information ROLE_F in operation 1202. If the security manager 5 does not match the file role security information ROLE_SM, 5 selects an object to be granted access to the file F 1203 and the secure kernel encrypts the user role based security information ROLE_U for the user to be permitted in the file role based security information ROLE_F (1204).

도 13은 상기 도 9의 파일시스템 접근처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.보안커널(205)은 접근대상 파일(F)의 이름을 얻어내고(1301), 역할기반 보안정책 규칙 저장소(310)에 정의되어 있는 역할기반 보안정책규칙에 의하여 클라이언트 사용자 프로세스의 파일접근을 허가한다(1302).이와 같이 하므로써, 사용자의 역할 예를 들면 직책, 직급, 또는 담당과 같은 역할에 따라 차별하여 해당하는 파일시스템의 접근을 제한 또는 허용할 수 있어, 효율적이고 안전한 파일시스템관리가 가능하게 된다.상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니다.13 is a detailed flowchart for explaining the file system access processing method of FIG 9. The security kernel 205 obtains 1301 the name of the access target file F, The file access of the client user process is permitted according to the role-based security policy rule defined in the role 310. By doing so, the user's role can be discriminated according to roles such as position, rank, or charge The method of the present invention as described above can be implemented as a program and can be recorded on a computer readable recording medium such as a CD-ROM, a RAM, ROM, a floppy disk, a hard disk, a magneto-optical disk, etc.). The present invention described above is applicable to a general purpose Of the above-described embodiment in the person having it possible various changes and modifications may be made without departing from the scope of the present invention is not limited to the examples and the accompanying drawings.

상기와 같은 본 발명은, 시스템 설치시 커널내부의 보안커널에 보안관리자의 인증서를 내장함으로써 인증서에 대한 위·변조 등 해킹을방지할 수 있고, 전자서명 인증기반의 신분확인 및 전자서명 검증, 프로세스의 역할기반 접근권한 설정, 파일시스템의 역할기반 접근권한 설정 및 사용자 프로세스의 파일시스템 역할기반 접근제어를 모두 커널내부에서 수행하므로 컴퓨터 시스템의 파일에 대한 위·변조, 삭제, 또는 유출 등의 해킹 행위를 커널레벨에서 원천적으로 방지할 수 있어 파일시스템에 대한 안전·신뢰성을 보장할 수 있도록 하는 효과가 있으며, 인가되지 않은 작업을 수행하는 것과 같은 해킹 위협으로부터 컴퓨터 시스템을 안전하게 보호할 수 있도록 하는 효과가 있다.According to the present invention as described above, the security manager's certificate is embedded in the security kernel inside the kernel when the system is installed, thereby preventing hacking such as tampering or tampering with the certificate, Based access control, file system role-based access control, and file system role-based access control of the user process are all performed in the kernel, so that the hacking behavior of the computer system, such as file tampering, deletion, Can be originally prevented at the kernel level, so that it is possible to secure the security of the file system, and it is possible to safely protect the computer system from hacking threats such as unauthorized work have.

또한, 본 발명은 각종 행정 및 금융 정보시스템 등과 같이 다양한 역할을 갖는 보안관리자 및 사용자와 역할이 부여된 파일시스템간의 접근제어를 안전하게 실현해야 하는 컴퓨터시스템에 적용함으로써 역할에 기반한 접근제어를 안전하게 제공할 수 있도록 하는 효과가 있다.In addition, the present invention can securely provide role-based access control by applying to a computer system that must securely implement access control between a security manager having various roles such as various administrative and financial information systems and a file system in which a user and a role are assigned There is an effect to be able to.

Claims (14)

내부 근거리통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서,An electronic signature authentication based security kernel system for a user accessing a system via an internal local area network or a remote external communication network, 시스템에 접근하는 사용자(보안관리자/사용자) 전자서명키를 생성하며, 보안관리자가 설정한 사용자별 역할기반 보안정보를 포함하는 인증서를 발급하는 보안관리모듈과, 보안관리모듈에 의해 생성된 사용자 인증서를 저장하는 인증서저장부와, 인터페이스 역할을 수행하는 시스템호출 인터페이스부와, 시스템에 접근하는 사용자(보안관리자/사용자)의 전자서명 인증서를 검증하여 신분(보안관리자/사용자) 및 인증서에 포함된 역할기반 보안정보를 확인하고, 보안관리자에 의한 시스템에 대한 역할기반에 따른 접근권한 설정 및 설정된 시스템 접근권한과 시스템에 접근된 사용자의 역할기반 보안정보를 대비하여 시스템의 접근에 대한 제어를 수행하는 보안커널을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.A security management module for generating a digital signature key for a user (security manager / user) accessing the system and issuing a certificate including role-based security information for each user set by the security manager; (Security manager / user) and a role included in the certificate by verifying the digital signature certificate of the user (security manager / user) accessing the system, Based security information, security setting that controls access to the system by setting the access right according to the role based on the system by the security administrator and the established system access right and the role based security information of the user who is accessed to the system A root-based security using an electronic signature authentication Board system. 내부 근거리 통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서,An electronic signature authentication based security kernel system for a user accessing a system via an internal local area network or a remote external communication network, 사용자의 인증서 요청에 대하여 보안관리자가 해당사용자의 역할기반 보안정보를 설정하고, 승인하여 발급하기 위한 인증서 발급수단과, 발급된 인증서를 저장하는 인증서 저장수단과, 특정 파일 시스템에 대하여 보안관리자가 설정한 파일시스템 접근권한을 나타내는 역할기반 보안정보를 저장하는 저장수단과, 시스템에 접근하는 사용자의 인증서를 검증하여 신분 및 해당 사용자의 역할기반 보안정보를 확인하기 위한 수단과, 시스템에 접근한 사용자가 수행한 프로세스에 대하여 해당 프로세스를 실행하는 사용자의 역할기반 보안정보로 프로세스의 역할기반 보안정보를 설정하는 설정수단과, 프로세서의 사용자 역할기반 보안정보와 보안관리자가 파일시스템에 설정한 역할기반 보안정보를 비교하여 해당 프로세스에 대한 파일시스템의 접근을 제어하는 제어수단을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.A certificate issuing means for issuing approval and issuance of the role security information of the user in response to the user's certificate request, a certificate storing means for storing the issued certificate, A storage means for storing role-based security information indicating a file system access right; means for verifying the identity of the user accessing the system and the role-based security information of the user; Based security information of a user who executes the process on the basis of the role-based security information of the process, a role-based security information of the processor, and a role-based security information To access the file system for that process Role-based security system kernel using the electronic signature authentication, characterized in that comprises a control means for control. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제 1항에 있어서, 상기 보안커널은, 보안관리자에 의해 파일시스템 역할기반 보안정보 저장소에 설정된 역할기반 보안정보에 따라 시스템에 접근하는 사용자가 실행하는 프로세스에 대한 파일시스템의 사용자 접근을 제어하는 역할기반 접근권한 제어부와,The security kernel according to claim 1, wherein the secure kernel controls a user access to a file system for a process executed by a user accessing the system according to role-based security information set in a file system role-based security information store by a security manager Based access control unit, 시스템에 접근하는 사용자의 전자서명 인증서를 검증하여 신분을 확인하기 위한 전자서명검증부와,An electronic signature verification unit for verifying an identity of a user accessing the system by verifying the digital signature certificate; 보안관리자의 인증서가 저장되는 보안관리자 인증서 저장소와,A security manager certificate store where the security manager's certificate is stored, 사용자가 실행한 각각의 프로세스를 식별하기 위한 프로세스 ID와, 해당 프로세서를 실행하는 사용자의 역할기반 보안정보가 저장되는 프로세스 역할기반 보안정보 저장소와,A process role based security information store storing a process ID for identifying each process executed by the user, and a role based security information of a user executing the processor, 파일을 식별할 수 있는 파일 ID와 해당 파일에 접근할 수 있는 접근권한을 나타내는 역할기반 보안정보를 포함하는 파일시스템 역할기반 보안정보 저장소와,A file system role-based security information store including role-based security information indicating a file ID for identifying the file and access rights to the file, 보안관리자에 의해 파일시스템 역할기반 보안정보 저장소의 역할기반 보안정보를 설정하기 위한 파일시스템 역할기반 보안정보 설정/조회부와,A file system role-based security information setting / inquiring unit for setting role-based security information of a file system role-based security information store by a security manager; 사용자에 의해 실행되는 프로세스에 대한 역할기반 보안정보를 프로세스 보안정보 저장소에 설정하는 프로세스 역할기반 보안정보 설정/조회부와,A role-based security information setting / inquiring unit for setting role-based security information on a process executed by a user in a process security information storage; 시스템에 접근하는 사용자의 접근제어에 대한 역할기반 보안정책규칙 정보가 저장되는 역할기반 보안정책규칙 저장소와,A role-based security policy rule repository in which role-based security policy rule information on access control of a user accessing the system is stored; 역할기반 보안정책규칙 저장소에 저장된 보안정책 규칙 정보를 설정 및 조회하기 위한 역할기반 보안정책규칙 설정/조회부와,A role-based security policy rule setting / inquiry unit for setting and inquiring security policy rule information stored in a role-based security policy rule store; 역할기반 보안정책규칙 설정/조회부로 부터 읽어들인 보안정책 규칙에 따라서 프로세스 역할기반 보안정보 저장소에 설정된 역할기반 보안정보와 파일시스템 보안정보 저장소에 보안관리자에 의해 설정된 역할기반 보안정보를 비교하여 해당 프로세스에 대한 파일의 접근을 제어하는 파일시스템 역할기반 접근권한 결정부를 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.Based security information set in the process role-based security information store and the role-based security information set by the security administrator in the file system security information storage according to the security policy rules read from the role-based security policy rule setting / And a file system role-based access right decision unit for controlling access of the file to the role-based security kernel system using the digital signature authentication. 제 1항 또는 제 2항 또는 제 8항중 어느 한 항에 있어서, 상기 보안관리자에 의해 사용자에 대하여 발급되는 사용자 인증서는 전자서명인증을 위한 일반 인증서정보와,9. The method of claim 1, 2, or 8, wherein the user certificate issued by the security administrator to the user includes general certificate information for digital signature authentication, 발급한 보안관리자 ID와, 접근권한을 나타내는 역할기반 보안정보, 보안성유효기간과, 보안관리자의 전자서명값 정보를 포함하는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.Based security kernel information using the digital signature authentication, the security-manager ID, the role-based security information indicating the access authority, the security validity period, and the digital signature value information of the security manager. 제 1항 또는 제 2항 또는 제 8항중 어느 한 항에 있어서, 상기 인증서 저장부는 사용자에 대한 식별정보로 사용자 ID와 사용자 인증서를 포함하며,9. The method according to any one of claims 1 to 8, wherein the certificate storing unit includes a user ID and a user certificate as identification information for a user, 상기 사용자 인증서는 사용자 인증서를 발행한 보안관리자ID와, 인증서의 소유자인 사용자 ID와, 사용자의 다단계 접근권한을 나타내는 역할기반 보안정보, 사용자의 파일시스템에 대한 다단계 접근권한 기한을 나타내는 보안성 유효기간과, 사용자의 전자서명공개키를 나타내는 공개키와, 인증서의 발생시점을 나타내는 인증서 발생시간과, 인증서의 유효한 기간을 나타내는 인증서유효기간정보 및 상기 정보들에 대하여 보안관리자가 전자서명한 결과값인 전자서명값으로 구성되는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.The user certificate includes at least one of a security manager ID that issued a user certificate, a user ID that is an owner of a certificate, role-based security information that indicates a multi-level access right of the user, a security validity period A public key representing the digital signature public key of the user, a certificate generation time indicating the generation time of the certificate, certificate validity period information indicating a valid period of the certificate, and a result value obtained by digitally signing the information And a digital signature value, wherein the role-based secure kernel system uses digital signature authentication. 시스템에 접근하는 사용자에 대한 시스템의 접근을 제한 제어하는 전자서명인증기반 보안 커널 방법에 있어서,1. An electronic signature authentication based security kernel method for restricting access of a system to a user accessing a system, 인증서를 요청하는 사용자에 대하여 보안관리자가 설정한 사용자 역할기반 보안정보를 인증서에 포함시켜 인증서를 발급하는 과정과,Issuing a certificate including a user role based security information set by a security manager in a certificate for a user requesting a certificate; 시스템에 접근하는 사용자에 대하여 전자서명 인증에 기반하여 신분확인을 수행하는 과정과,Performing identification of a user accessing the system based on digital signature authentication; 신분확인결과 보안관리자인 경우에는 보안관리자 인증서 저장소에 등록된 보안관리자의 인증서로 부터 보안관리자 역할기반 보안정보를 읽어 프로세스의 역할기반 보안정보에 보안관리자의 보안정보를 부여하는 과정과,A step of granting the security information of the security manager to the role-based security information of the process by reading the security manager role-based security information from the certificate of the security manager registered in the security manager certificate storage, 신분확인결과 보안관리자가 아닌 일반 사용자인 경우에는 사용자 인증서로 부터 해당 사용자의 역할기반 보안정보를 읽어 프로세스의 역할기반 보안정보에 부여하는 과정과,A step of reading the role-based security information of the user from the user certificate and granting the role-based security information of the process to the role-based security information if the user is an ordinary user, 사용자(보안관리자/사용자)가 시스템에서 실행한 프로세스 보안정보에 설정(부여)된 사용자 역할기반 보안정보를 해당 프로세스에 대한 파일 시스템에 설정된 역할기반 보안정보를 비교하여 파일시스템 접근제한 제어를 수행하는 과정을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증을 이용한 역할기반 보안커널 시스템.The user (security manager / user) compares the role-based security information (granted) set in the process security information executed in the system with the role-based security information set in the file system for the process, Wherein the root-based security kernel system includes a plurality of roles. 제 11항에 있어서, 신분확인을 수행하는 과정에 있어서,The method according to claim 11, wherein, in performing the identification, 전자서명값을 생성하는 단계와, 보안관리자 인증서로 부터 보안관리자의 공개키를 추출하는 단계와, 추출된 공개키를 이용하여 사용자 인증서를 검증하는 단계와, 사용자 인증서로 부터 사용자의 공개키와 역할기반 보안정보를 추출하는 단계와, 전자서명값을 검증하는 단계를 포함하는 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.Generating a digital signature value; extracting a public key of the security manager from the security manager certificate; verifying the user certificate using the extracted public key; Based security information, and verifying the digital signature value. The security kernel method for multi-level security based on digital signature authentication according to claim 1, 제 11항 또는 제 12항에 있어서, 상기 사용자 인증서는 보안관리자에 의해 전자서명되어 발급된 것으로, 발급한 보안관리자 ID와, 파일시스템 역할기반 보안정보, 보안설정의 유효기간 정보를 포함하는 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.13. The method according to claim 11 or 12, wherein the user certificate is issued by a security manager and is electronically signed, and includes the issued security manager ID, file system role-based security information, A secure kernel method for multi - level security based on digital signature authentication. 제 11항 또는 제 12항에 있어서, 상기 파일시스템에 설정된 역할기반 보안정보는 해당 파일에 대한 접근권한으로, 보안관리자에 의해 설정된 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.The secure kernel method according to claim 11 or 12, wherein the role-based security information set in the file system is set by the security manager as an access right to the file.
KR10-2000-0019729A 2000-04-14 2000-04-14 System for Security Kernel for Security based on Duty using Electronic Signature Authentication KR100386853B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0019729A KR100386853B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security based on Duty using Electronic Signature Authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0019729A KR100386853B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security based on Duty using Electronic Signature Authentication

Publications (2)

Publication Number Publication Date
KR20010096816A KR20010096816A (en) 2001-11-08
KR100386853B1 true KR100386853B1 (en) 2003-06-09

Family

ID=19664411

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0019729A KR100386853B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security based on Duty using Electronic Signature Authentication

Country Status (1)

Country Link
KR (1) KR100386853B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030002376A (en) * 2001-06-29 2003-01-09 세이프다임 주식회사 System of key control for public key infrastructure authentication
KR100447511B1 (en) * 2001-12-26 2004-09-07 한국전자통신연구원 Job-based Access Control Method
KR100726076B1 (en) * 2005-08-22 2007-06-08 에스케이 텔레콤주식회사 Remote access method of the PC using the mobile modem
US7992190B2 (en) 2006-01-27 2011-08-02 Microsoft Corporation Authorization scheme to simplify security configurations

Also Published As

Publication number Publication date
KR20010096816A (en) 2001-11-08

Similar Documents

Publication Publication Date Title
KR100437225B1 (en) Method and apparatus for protecting file system based on digital signature certificate
CN112039909B (en) Authentication method, device, equipment and storage medium based on unified gateway
US7526654B2 (en) Method and system for detecting a secure state of a computer system
JP2686218B2 (en) Alias detection method on computer system, distributed computer system and method of operating the same, and distributed computer system performing alias detection
US7228434B2 (en) Method of protecting the integrity of a computer program
CN110149328B (en) Interface authentication method, device, equipment and computer readable storage medium
US7591004B2 (en) Using trusted communication channel to combat user name/password theft
Sandhu et al. Authentication, Access Controls, and Intrusion Detection.
EP1255179B1 (en) Methods and arrangements for controlling access to resources based on authentication method
CN109756446B (en) Access method and system for vehicle-mounted equipment
TWI494785B (en) System and method for providing a system management command
US8631486B1 (en) Adaptive identity classification
EP1160648A2 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
KR100842276B1 (en) Wireless RFID Medical Device Access Control Method Using WLAN Security Standard Technology
CN117216740A (en) Digital identity authentication method based on blockchain technology
KR100386852B1 (en) System for Security Kernel for Security through Various Step based on Electronic Signature Authentication
WO2001073533A1 (en) System and method for safeguarding electronic files and digital information in a network environment
US20050055556A1 (en) Policy enforcement
KR100386853B1 (en) System for Security Kernel for Security based on Duty using Electronic Signature Authentication
KR101651563B1 (en) Using history-based authentication code management system and method thereof
KR100657554B1 (en) method of administering access to database
JP4152099B2 (en) Access control history guarantee method
KR100545676B1 (en) Authentication Method And Authentication System Using Information About Computer System's State
CN117914601B (en) Multistage safety authentication and access control system of file robot
Rao et al. Access controls

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130524

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20140523

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160516

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20180517

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20190422

Year of fee payment: 17