KR100449493B1 - 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법 - Google Patents

강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법 Download PDF

Info

Publication number
KR100449493B1
KR100449493B1 KR10-2002-0068066A KR20020068066A KR100449493B1 KR 100449493 B1 KR100449493 B1 KR 100449493B1 KR 20020068066 A KR20020068066 A KR 20020068066A KR 100449493 B1 KR100449493 B1 KR 100449493B1
Authority
KR
South Korea
Prior art keywords
mac
user authentication
encryption
data
information
Prior art date
Application number
KR10-2002-0068066A
Other languages
English (en)
Other versions
KR20040039845A (ko
Inventor
두소영
유준석
임재덕
은성경
김정녀
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0068066A priority Critical patent/KR100449493B1/ko
Publication of KR20040039845A publication Critical patent/KR20040039845A/ko
Application granted granted Critical
Publication of KR100449493B1 publication Critical patent/KR100449493B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

본 발명은 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치 및 방법에 관한 것으로, 사용자 인증 정보 요청 및 서버 연결 요청을 제공하기 위해 #CRYPT 라는 역할을 상속 속성으로 부여받는 FTP 클라이언트 프로그램; FTP 클라이언트 프로그램으로부터 제공되는 서버 연결 요청에 따라 접속된 후, 사용자 인증을 요청하며, 인증 요청에 대응하여 허가된 MAC 등급으로의 연결이 허가될 경우, FTP 클라이언트 프로그램으로부터 제공되는 각종 데이터 정보의 암/복호화 결정 여부를 판단하며, 암/복호화를 처리하여 제공하는 커널 레이어; 커널 레이어로부터 제공되는 암호화된 사용자 인증 정보를 분석하여 사용자 인증 처리를 수행하는 과정에서 정당한 사용자 여부를 판단하여 정당한 사용자일 경우, 허가된 MAC 등급으로 연결을 허가하는 FTP 데몬 프로그램; FTP 클라이언트 프로그램을 사용하는 클라이언트에 대한 MAC 등급과, 클라이언트가 사용하는 각종 데이터 정보에 대한 MAC 등급을 저장하는 보안 데이터베이스(DB)를 구비한다. 따라서, 기존의 네트워크를 통해 전달되는 데이터의 암호화 방식들에서 제공하지 못하는 사용자의 중요정보에 대한 선택적인 암호화 및 세션을 설정한 이후에 등급에 따라 암호화를 할 수 있는 효과가 있다.

Description

강제적 접근제어와 역할기반접근제어 기반에서의 사용자 인증 정보 및 데이터 암호화 장치 및 방법{APPARATUS AND METHOD FOR ENCRYPTED INFORMATION AND DATA OF USER AUTHENTICATION BASED ON MAC AND RBAC}
본 발명은 강제적 접근제어(Mandatory Access Control : MAC)와 역할기반접근제어(Role Based Access Control : RBAC) 기반에서의 사용자 인증 정보 및 데이터 암호화 장치 및 방법에 관한 것으로, 특히 보안 커널 상에 있어서, 보안 등급을 이용하여 일정 등급 이상인 경우에만 암호화하여 전달할 수 있도록 하는 장치 및 방법에 관한 것이다.
통상적으로, 보안 커널 상에 있어서, 암호화는 네트워크를 통해 전달되는 사용자 인증 정보의 노출에 대하여 이를 방지하기 위해 사용한다. 이러한 사용자 인증 정보는 대부분 네트워크를 통해 전달할 때, 암호화하여 전달하고, 네트워크를 통해 수신할 때, 복호화 하여 사용자에게 전달하는 형태를 취하지만, 사용자의 조작에 의해 선택적으로 암호화하거나 복호화 해야 하는 번거로움이 있다.
또한, 암호화 방법에는 네트워크를 통해 전달되는 사용자 인증 정보의 보호를 위해 자체적으로 사용하는 경우가 종종 있는데, 이 방법은 응용 계층에서 주로 구현되며, 대칭 키 암호화 방법과 비대칭 키 암호화 방법으로 구분한다.
그중, 대칭 키 암호화 방법은 동일한 키를 미리 나누어 갖은 상태에서 송신측에서 암호화키를 통해 암호화하여 전달하고, 수신측에서 동일한 암호화키를 통해 복호화 하여 사용한다.
그리고, 비대칭 키 암호화 방법은 키 쌍을 생성하여 공개키(public key)를 상대편에게 공개한 후, 송신측에서는 자신의 비밀키(secret key)를 가지고 암호화하여 전달하고, 수신측에서 공개키로 해독하여 사용한다.
이와 같이, 응용 계층에서 암호화가 수행될 경우에는 암호화 및 복호화를 수행하는 시간이 지연되어 모든 응용 프로그램을 변경해야 하는 문제점을 갖고 있다.
한편, 인터넷 및 네트워크의 발전으로 그룹웨어와 전자 결재 시스템 등의 기업 인트라넷뿐만 아니라, 전자 상거래, 인터넷 뱅킹 등의 개인 네트워크 서비스가 증가하는 실정임에 따라 기업 내의 기밀 자료 전송 및 개인 정보, 즉 금융에 관련된 중요 정보(신용카드 번호, 비밀 번호, 개인 신상 정보) 전송의 횟수가 급격히 증가하고 있는 것이다.
이와 동일하게, 스니핑(sniffing) 및 스푸핑(spoofing) 등과 같은 네트워크 패킷에 대한 해킹 기법 역시 기술적인 수준과 해킹 횟수가 꾸준히 증가하고 있어 상술한 중요 정보에 대한 누출 위험성은 더욱 더 증가하는 실정이다.
상술한 바와 같은 누출 위험성에 대응하기 위한 기법으로 SHTTP, SSL 등의 솔루션들이 제공되고 있으나, 대부분이 특정 서비스에만 국한되어 이용되고 있어 네트워크 전반에 걸친 서비스에 적용하기에는 무리가 있으며, 주로 사용자 수준에서 제공되기 때문에 해킹이나 잘못된 설정 등의 이유로 시스템이 불안정하게 되어 데이터의 안전한 전송을 보장하지 못하며, 이를 사용하기 위해 별도의 프로그램의 설치 및 환경 설정 등의 불필요한 작업을 해야하는 문제점을 갖고 있다.
이에, 최근 네트워크 통신에 보안성을 제공하는 기법으로는 네트워크 계층 중 IP 계층에서 보안성을 제공하는 IPSec 기술이 대표적으로 이용되고 있다.
즉, IPSec 기법은 VPN 등의 네트워크 망에서 보안성을 제공하기 위해 주로 이용되며, IPSec을 구현하기 위한 여러 가지 기법들이 IETF RFC 문서로 표준화되어있으며, 대표적인 IPSec 보안 프로토콜로는 인증 헤더(Authentication Header : AH)와 캡슐화 보안 페이로드(Encapsulating Security Payload : ESP)등이 있다.
여기서, 데이터의 기밀성 유지를 위해 암호화를 제공하는 것은 ESP이며, AH와 ESP 모두 IPSec을 이용하기 위해 네트워크 트래픽에 보안 서비스를 제공하는 일방향 연결을 의미하는 보안 연계(Security Associations : SA) 개념을 지원해야 한다.
IPSec에서 제공되는 패킷 보호는 보안 정책 데이터베이스(Security Policy Database : SPD)에 기반하여 정해지는데, SPD는 사용자나 시스템 관리자가 설정하고 유지하거나 아니면 이들이 설정한 제약 사항을 둔 상태에서 작동하는 어플리케이션에 의해 동작한다. 즉, 패킷들은 SPD의 항에 합치되는 IP나 트랜스포트 계층 헤더 정보에 기반하여 IPSec 보안 서비스를 받거나 혹은 폐기되거나 IPSec을 우회하는 세 가지 처리 모드중 하나를 선택하여 사용한다.
다시 말해서, IPSec은 표준화되어 있기 때문에 일반 시스템에 두루 적용될 수 있으며, 다양한 암호화 및 인증 알고리즘 등의 사용으로 여러 가지 정책을 설정하여 네트워크의 보안을 유지할 수 있지만, IPSec 구조는 매우 복잡하고 사용하기 위한 환경 설정도 매우 까다롭기 때문에, 관리자의 환경 설정 및 정책 관리가 철저하게 이루어지지 않는다면 IPSec에 의한 보안성을 떨어뜨리게 되는 문제점을 갖고 있다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 그 목적은 MAC와 RBAC가 구형되어 있는 보안 커널간에서 사용자의 중요 정보는 항상 암호화하여 전달하며, 전달되는 파일의 중요도에 따라 선택적으로 암호화하여 전달할 수 있도록 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치 및 방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명에서 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치는 사용자 인증 정보 요청 및 서버 연결 요청을 제공하기 위해 #CRYPT 라는 역할을 상속 속성으로 부여받는 FTP 클라이언트 프로그램; FTP 클라이언트 프로그램으로부터 제공되는 서버 연결 요청에 따라 접속된 후, 사용자 인증을 요청하며, 인증 요청에 대응하여 허가된 MAC 등급으로의 연결이 허가될 경우, FTP 클라이언트 프로그램으로부터 제공되는 각종 데이터 정보의 암/복호화 결정 여부를 판단하며, 암/복호화를 처리하여 제공하는 커널 레이어; 커널 레이어로부터 제공되는 암호화된 사용자 인증 정보를 분석하여 사용자 인증 처리를 수행하는 과정에서 정당한 사용자 여부를 판단하여 정당한 사용자일 경우, 허가된 MAC 등급으로 연결을 허가하는 FTP 데몬 프로그램; FTP 클라이언트 프로그램을 사용하는 클라이언트에 대한 MAC 등급과, 클라이언트가 사용하는 각종 데이터 정보에 대한 MAC 등급을 저장하는 보안 데이터베이스(DB)를 포함하는 것을 특징으로 한다.
또한, 상술한 목적을 달성하기 위한 본 발명에서 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법은 FTP 클라이언트 프로그램에서 서버 연결 요청 및 사용자 인증 정보 요청을 커널 레이어 내 EDM에 제공하는 단계; 서버 연결 요청에 따라 접속된 후, 사용자 인증 정보 요청에 대응하여 접근 허가일 경우, MAC등급을 확인하여 사용자 인증 정보를 자동으로 암호화하여 FTP 데몬 프로그램에 사용자 인증을 요청하는 단계; FTP 데몬 프로그램에서 암호화된 사용자 인증 정보를 분석하여 정당한 사용자일 경우, MAC 등급으로 연결한 후, FTP 클라이언트 프로그램으로부터 제공되는 각종 데이터 정보에 해당되는 MAC 등급을 확인하여 MAC 등급이 "0" 이상인지를 체크하는 단계; 체크 단계에서 MAC 등급이 "0" 이상일 경우, 암/복호 처리 모듈에 데이터 정보를 제공하여 암호화시킨 후, 암호화된 데이터 정보를 상위 모듈로 전달하는 단계를 포함하는 것을 특징으로 한다.
도 1은 본 발명에 따른 강제적 접근제어와 역할기반접근제어 기반에서의 사용자 인증 정보 및 데이터 암호화 장치에 대한 블록 구성도이고,
도 2는 본 발명에 따른 강제적 접근제어와 역할기반접근제어 기반에서의 사용자 인증 정보 및 데이터 암호화 방법에 대한 상세 흐름도이며,
도 3은 본 발명에 따른 EP 헤더가 적용되었을 경우, 각각의 헤더의 프로토콜 내용이 어떻게 변경되는 지를 보여주는 도면이다.
<도면의 주요부분에 대한 부호의 설명>
10 : FTP 클라이언트 프로그램 15 : FTP 데몬 프로그램
20 : 커널 레이어 21 : 암/복호 결정 모듈
23 : IP 레이어 23-1 :암/복호 처리 모듈
25 : 접근 제어 모듈 30 : 보안 데이터베이스(DB)
A : 네트워크 B : 상위 모듈
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명하기로 한다.
도 1은 본 발명에 따른 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치에 대한 블록 구성도로서, 파일 전송 규약(file transfer protocol : FTP) 클라이언트 프로그램(10) 및 FTP 데몬 프로그램(15)과, 커널 레이어(kernel layer)(20)와, 보안 데이터베이스(DataBase : DB)(30)를 포함한다.
FTP 클라이언트 프로그램(10)은 파일 전송을 요청하기 위한 프로그램이고, FTP 데몬 프로그램(15)은 파일 전송을 위한 프로그램으로서, 각각의 프로그램(10, 15)은 보안 관리자에 의해서 #CRYPT 라는 역할이 상속 속성으로 부여되며, 상속 속성을 가진 정보는 이 정보를 실행하는 프로세스에 동일한 역할이 할당되는 기능을 수행함에 따라 각각의 프로그램(10, 15)내의 프로세스 모두 #CRYPT 라는 역할을 부여받게 되는 것이다.
여기서, #CRYPT 라는 역할은 암호화 결정 모듈에서 데이터를 암호화 할 것인지 결정하는 용도로 사용되는 것으로,역DSS에서는 #CRYPT 역할이 설정되어 있거나 등급이 어느 정도 이상인 프로세스에서 전달하는 모든 메시지를 암호화하도록 하며, 이 등급에 대한 제한은 변경이 가능하며, 또한 등급에 따라 암호화키의 크기를 달리하는 것도 가능하며, 본 발명에서는 등급이 "0"이 아닌 경우 모두 암호화하도록 한다.
이중, FTP 클라이언트 프로그램(10)은 서버 연결 요청 및 사용자 인증 정보 요청을 커널 레이어(20)에 제공한다.
FTP 데몬 프로그램(15)은 암/복호 결정 모듈(21)로부터 제공되는 암호화된 사용자 인증 정보를 분석하여 사용자 인증 처리를 수행하는데, 그 과정에서 정당한 사용자인지 아니면, 정당한 사용자가 아닌지를 결정한 다음에, 정당한 사용자일 경우, 허가된 MAC 등급으로 연결을 허가하고, 정당하지 않은 사용자일 경우, 연결을 종료한다.
커널 레이어(20)는 IP 계층에서 각종 정보를 암호화 또는 복호화 하기 위한 서버 블록으로서, 암/복호 결정 모듈(Encryption Decision Module : EDM)(21)과, IP 레이어(23)와, 접근 제어 모듈(Access Control Module : ACM)(25)을 구비한다.
EDM(21)은 FTP 클라이언트 프로그램(10)으로부터 제공되는 서버 연결 요청에 따라 접속된 후, 사용자 인증 정보 요청에 따라 ACM(25)을 통해 보안 DB(30)에 저장되어 있는 사용자에 해당되는 MAC 등급을 확인하여 사용자 인증 정보를 암호화하여 FTP 데몬 프로그램(15)에 사용자 인증 정보를 제공하여 사용자 인증을 요청한다. 여기서, 사용자 인증 정보에는 자신의 비밀 정보와 미리 허가받은 범주 내에서 MAC 등급을 작성하여 전달할 때, 이 정보가 암호화되어 전달되는 것으로, 프로그램(10)내에 #CRYPT 라는 역할이 설정되어 있으므로 연결이 설정될 때까지는 자동 암호화되는 것이다.
또한, EDM(21)은 FTP 데몬 프로그램(15)으로부터 제공되는 허가된 MAC 등급에 의해 연결이 허가될 경우, FTP 클라이언트 프로그램(10)으로부터 제공되는 각종 데이터 정보의 암/복호화 결정 여부를 판단하기 위해 ACM(25)을 통해 보안 DB(30)에 저장되어 있는 데이터 정보에 해당되는 MAC 등급을 확인하여 등급이 "0" 이상인 경우 IP 레이어(23)내 암/복호 처리 모듈(23-1)에 데이터 정보를 제공한다. 그리고, EDM(21)은 IP 레이어(23)내 암/복호 처리 모듈(23-1)로부터 제공되는 복호화된 각종 데이터 정보를 FTP 클라이언트 프로그램(10)에 제공한다.
IP 레이어(23)는 암/복호 처리 모듈(23-1)을 내부적으로 추가 설계한 것으로, 암/복호 처리 모듈(23-1)의 EPSS에서는 암/복호 결정 모듈(21)의 EDSS로부터 제공된 각종 데이터 정보를 암호화하고, 이 암호화된 데이터 정보(S2)를 네트워크(A)를 통해 상위 모듈(B)로 전달하거나, 또는 상위모듈(B)로부터 네트워크(A)를 통해 제공되는 데이터 정보의 암호화 여부를 판단하여 암호화된 데이터 정보(S2)가 제공될 경우 이 정보(S2)에 대하여 복호화 처리를 수행하여 암/복호 결정 모듈(21)에 제공한다.
여기서, 암/복호 처리 모듈(23-1)에서의 암호화 여부 판단은 IP 패킷 헤더의 IP 프로토콜을 적는 부분을 통해 알 수 있으며, IP 패킷 헤더 다음에 EP 헤더가 있는 의미로 EP 적용 플래그를 정의하여 암호화 여부를 알 수 있으며, EP 헤더의 프로토콜 필드에 EP 헤더를 적용하기 전에 IP 헤더의 프로토콜 부분에 저장되어 있는 프로토콜 값을 통해 알 수 있다.
ACM(25)은 주체와 객체의 등급과 범주를 구분할 수 있는 MAC 방식과 RBAC 방식을 추가적으로 설계하는데, 이중 MAC 방식은 상하 계층 구조를 나타내는 등급과, 특정 그룹을 의미하는 범주로 구분한다.
또한, ACM(25)은 역할 기반 ACM(25)에 있어서, 그 기능은 다수의 역할을 설정할 수 있으며, 주체(사용자, 프로세스)와 객체(파일, 디바이스)에 이들 역할을 할당할 수 있으며, 주체가 객체에 접근하고자 할 때, 해당 주체가 객체에 접근할 수 있는 역할을 여부를 통해 접근을 허가하거나 또는 접근을 거부하도록 제어한다. 이때, 역할 기반 ACM(25)의 역할 설정 및 할당은 관리자와 구별되는 FTP 클라이언트 프로그램(10)을 사용하는 클라이언트, 즉 보안 관리자에 의해서만 가능하도록 한다.
그리고, ACM(25)의 처리는 주체가 객체에 할당되어 있는 역할을 가지고 있는 경우에만 접근이 가능하고, 주체는 객체에 접근할 때 객체의 등급보다 객체의 등급보다 같거나 상위 등급을 가지고 있어야 하며, 범주도 객체의 범주를 포함할 수 있는 범주를 가지고 있어야 한다.
보안 DB(30)는 FTP 클라이언트 프로그램(10)을 사용하는 클라이언트에 대한 MAC 등급과, 클라이언트가 사용하는 각종 데이터 정보에 대한 MAC 등급을 저장한다.
도 2의 흐름도를 참조하면서, 상술한 구성을 바탕으로, 본 발명에 따른 강제적 접근제어와 역할기반접근제어 기반에서의 사용자 인증 정보 및 데이터 암호화 방법에 대하여 보다 상세하게 설명한다.
먼저, FTP 클라이언트 프로그램(10)은 보안 관리자에 의해서 #CRYPT 라는 역할을 상속 속성으로 부여받으며, 상속 속성을 가진 정보는 이 정보를 실행하는 프로세스에 동일한 역할이 할당되는 기능을 수행함에 따라 프로세스 모두 #CRYPT 라는 역할을 부여받게 되는데, 이 #CRYPT 라는 역할은 암호화 결정 모듈에서 데이터를 암호화 할 것인지 결정하는 용도로 사용된다. 즉, EDSS에서 #CRYPT 역할이 설정되어 있거나 등급이 어느 정도 이상인 프로세스에서 전달하는 모든 메시지를 암호화하도록 하며, 이 등급에 대한 제한은 변경이 가능하며, 또한 등급에 따라 암호화키의 크기를 달리하는 것도 가능하며, 등급이 "0"이 아닌 경우 모두 암호화할 수 있도록 가정한다.
이러한 상태에서, FTP 클라이언트 프로그램(10)은 서버 연결 요청 및 사용자 인증 정보 요청을 커널 레이어(20)내 EDM(21)에 제공한다(단계 100).
EDM(21)은 FTP 클라이언트 프로그램(10)으로부터 제공되는 서버 연결 요청에 따라 접속된 후(단계 150), 사용자 인증 정보 요청에 따라 ACM(25)에 접근 허가 및 접근 거부 상태를 요청한다(단계 200).
ACM(25)은 보안 DB(30)로부터 사용자에 대한 객체와 주체의 권한을 읽어 객체 역할과 주체 역할이 같은지, 주체 등급이 객체 등급보다 크거나 같은지, 주체 범주가 객체 범주보다 큰지를 각각 비교한다(단계 201).
상기 비교 단계(201)에서 모두 해당되지 않으면, 접근 거부로서, 사용자 인증 처리를 수행할 수 없다(단계 202). 반면에, 상기 비교 단계(201)에서 모두 해당되면, 접근 허가로서, 보안 DB(30)에 저장되어 있는 사용자에 해당되는 MAC 등급을 확인하여 사용자 인증 정보를 자동으로 암호화하여 FTP 데몬 프로그램(15)에 사용자 인증 정보를 제공하여 사용자 인증을 요청한다(단계 203).
여기서, 사용자 인증 정보에는 자신의 비밀 정보와 미리 허가받은 범주 내에서 MAC 등급을 작성하여 전달할 때, 이 정보가 암호화되어 전달되는 것으로, 프로그램(10)내에 #CRYPT 라는 역할이 설정되어 있으므로 연결이 설정될 때까지는 자동 암호화되는 것이다.
FTP 데몬 프로그램(15)은 암/복호 결정 모듈(21)로부터 제공되는 암호화된 사용자 인증 정보를 분석하여 사용자 인증 처리를 수행함에 있어서, 정당한 사용자인지를 판단한다(단계 204).
상기 판단 단계(204)에서 정당한 사용자일 경우, 허가된 MAC 등급으로 연결을 허가하고(단계 205), 반면에, 상기 판단 단계(204)에서 정당하지 않은 사용자일 경우, 연결을 종료한다(단계 206).
FTP 데몬 프로그램(15)에 의해 허가된 MAC 등급으로 연결이 허가될 경우, 커널 레이어(20)내 EDM(21)은 FTP 클라이언트 프로그램(10)으로부터 제공되는 각종 데이터 정보의 암/복호화 결정 여부를 판단하기 위해 ACM(25)을 통해 보안 DB(30)에 저장되어 있는 데이터 정보에 해당되는 MAC 등급을 확인하여 MAC 등급이 "0" 이상인지를 체크한다(단계 207).
상기 체크 단계(207)에서 MAC 등급이 "0" 이상이 아닐 경우, IP 레이어(23)를 거쳐 암호화하지 않은 일반 데이터 정보(S1)를 네트워크(A)를 통해 상위 모듈(B)로 전송한다(단계 208).
반면에, 상기 체크 단계(207)에서 MAC 등급이 "0" 이상일 경우, 암/복호 처리 모듈(23-1)에 데이터 정보를 제공한다(단계 209).
암/복호 처리 모듈(23-1)은 EDM(21)로부터 제공된 데이터 정보를 암호화하는데, 즉, IP 패킷 헤더의 IP 프로토콜을 적는 부분을 통해 암호화 여부를 알 수 있는 것으로, 도 3은 EP 헤더가 적용되었을 경우, 각각의 헤더의 프로토콜 내용이 어떻게 변경되는 지를 보여주는 도면이다.
즉, 도 3을 참조하면, IP 패킷 헤더 다음에 EP 헤더가 있다는 의미로 EP 적용 플래그를 정의하여 암호화 여부를 알 수 있으며, EP 헤더의 프로토콜 필드에 EP 헤더를 적용하기 전에 IP 헤더의 프로토콜 부분에 저장되어 있는 프로토콜 값을 통해 암호화 여부를 알 수 있으며, 이렇게 암호화된 데이터 정보(S2)를 네트워크(A)를 통해 상위 모듈(B)로 전달한다(단계 210).
한편, 상위모듈(B)로부터 네트워크(A)를 통해 제공되는 데이터 정보가 제공될 경우, 암/복호 처리 모듈(23-1)은 데이터 정보의 암호화 여부를 검사한다(단계 211).
상기 검사 단계(211)에서 암호화되지 않은 일반 데이터 정보(S1)가 제공될 경우, 곧 바로 FTP 클라이언트 프로그램(10)에 일반 데이터 정보(S1)를 제공한다(단계 212).
반면에, 상기 검사 단계(211)에서 암호화된 데이터 정보(S2)가 제공될 경우, 암호화된 데이터 정보(S2)에 대하여 복호화 처리를 수행하여 EDM(21)에 제공한다(단계 213).
EDM(21)은 암/복호 처리 모듈(23-1)로부터 제공되는 복호화된 데이터 정보를 FTP 클라이언트 프로그램(10)에 제공한다(단계 214).
상기와 같이 설명한 본 발명은 MAC와 RBAC가 구형되어 있는 보안 커널간에서 사용자의 중요 정보는 항상 암호화하여 전달하며, 전달되는 파일의 중요도에 따라 선택적으로 암호화하여 전달함으로써, 기존의 네트워크를 통해 전달되는 데이터의 암호화 방식들에서 제공하지 못하는 사용자의 중요정보에 대한 선택적인 암호화 및 세션을 설정한 이후에 등급에 따라 암호화를 할 수 있는 효과가 있다.

Claims (21)

  1. 강제적 접근제어(Mandatory Access Control : MAC)와 역할기반접근제어(Role Based Access Control : RBAC) 기반에서의 사용자 인증 정보 및 데이터 암호화 장치에 있어서,
    상기 사용자 인증 정보 요청 및 서버 연결 요청을 제공하기 위해 #CRYPT 라는 역할을 상속 속성으로 부여받는 FTP 클라이언트 프로그램;
    상기 FTP 클라이언트 프로그램으로부터 제공되는 서버 연결 요청에 따라 접속된 후, 사용자 인증을 요청하며, 상기 인증 요청에 대응하여 허가된 MAC 등급으로의 연결이 허가될 경우, 상기 FTP 클라이언트 프로그램으로부터 제공되는 각종 데이터 정보의 암/복호화 결정 여부를 판단하며, 상기 암/복호화를 처리하여 제공하는 커널 레이어;
    상기 커널 레이어로부터 제공되는 암호화된 사용자 인증 정보를 분석하여 사용자 인증 처리를 수행하는 과정에서 정당한 사용자 여부를 판단하여 정당한 사용자일 경우, 허가된 MAC 등급으로 연결을 허가하는 FTP 데몬 프로그램;
    상기 FTP 클라이언트 프로그램을 사용하는 클라이언트에 대한 MAC 등급과, 상기 클라이언트가 사용하는 각종 데이터 정보에 대한 MAC 등급을 저장하는 보안 데이터베이스(DB)를 포함하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  2. 제 1 항에 있어서,
    상기 #CRYPT 라는 역할은 상기 #CRYPT 역할이 설정되어 있거나 등급이 어느 정도 이상인 프로세스에서 전달하는 모든 메시지를 암호화하도록 하며, 상기 등급에 대한 제한 변경 및 암호화키의 크기를 달리하며, 상기 등급이 "0"이 아닌 경우 모두 암호화하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  3. 제 1 항에 있어서,
    상기 FTP 데몬 프로그램에서 상기 사용자 인증 처리를 수행하는 과정에서 정당한 사용자 여부를 판단하여 정당하지 않은 사용자일 경우, 연결을 종료하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  4. 제 1 항에 있어서,
    상기 커널 레이어는 암/복호 결정 모듈(Encryption Decision Module : EDM)과, IP 레이어와, 접근 제어 모듈(Access Control Module : ACM)을 구비하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  5. 제 4 항에 있어서,
    상기 EDM은 상기 ACM을 통해 보안 DB에 저장되어 있는 사용자에 해당되는 MAC 등급을 확인하여 사용자 인증 정보를 암호화하여 FTP 데몬 프로그램에 사용자인증 정보를 제공하여 사용자 인증을 요청하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  6. 제 5 항에 있어서,
    상기 사용자 인증 정보에는 자신의 비밀 정보와 미리 허가받은 범주 내에서 MAC 등급을 작성하여 전달할 때, 상기 정보가 암호화되어 전달되도록 #CRYPT 라는 역할을 설정하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  7. 제 4 항에 있어서,
    상기 EDM은 상기 암/복호 처리 모듈로부터 제공되는 복호화된 각종 데이터 정보를 상기 FTP 클라이언트 프로그램에 제공하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  8. 제 4 항에 있어서,
    상기 IP 레이어는 암/복호 처리 모듈을 추가 설계하고 있으며, 상기 암/복호 처리 모듈은 상기 데이터 정보를 암호화하고, 상기 암호화된 데이터 정보를 상위 모듈로 전달하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  9. 제 8 항에 있어서,
    상기 상위 모듈로부터 제공되는 데이터 정보의 암호화 여부를 판단하여 암호화된 데이터 정보가 제공될 경우 상기 암호화된 데이터 정보에 대하여 복호화 처리를 수행하여 암/복호 결정 모듈에 제공하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  10. 제 8 항에 있어서,
    상기 암/복호 처리 모듈에서의 암호화 여부 판단은 IP 패킷 헤더의 IP 프로토콜을 적는 부분을 통해 알 수 있으며, 상기 IP 패킷 헤더 다음에 EP 헤더가 있는 의미로 EP 적용 플래그를 정의하여 암호화 여부를 알 수 있으며, 상기 EP 헤더의 프로토콜 필드에 상기 EP 헤더를 적용하기 전에 IP 헤더의 프로토콜 부분에 저장되어 있는 프로토콜 값을 통해 알 수 있는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  11. 제 4 항에 있어서,
    상기 ACM은 주체와 객체의 등급과 범주를 구분할 수 있는 MAC 방식과 RBAC 방식을 추가적으로 설계하는데, 상기 MAC 방식은 상하 계층 구조를 나타내는 등급과, 특정 그룹을 의미하는 범주로 구분하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  12. 제 11 항에 있어서,
    상기 ACM은 주체(사용자, 프로세스)와 객체(파일, 디바이스)에 이들 역할을 할당할 수 있으며, 상기 주체가 객체에 접근하고자 할 때, 해당 주체가 객체에 접근할 수 있는 역할을 여부를 통해 접근을 허가하거나 또는 접근을 거부하도록 제어하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  13. 제 11 항에 있어서,
    상기 ACM의 처리는 주체가 객체에 할당되어 있는 역할을 가지고 있는 경우에만 접근이 가능하며, 상기 주체는 객체에 접근할 때 객체의 등급보다 객체의 등급보다 같거나 상위 등급을 가지고 있어야 하며, 범주도 상기 객체의 범주를 포함할 수 있는 범주를 가지고 있어야 하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 장치.
  14. FTP 클라이언트 프로그램 및 FTP 데몬 프로그램과, 커널 레이어를 구비하며, MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법에 있어서,
    상기 FTP 클라이언트 프로그램에서 서버 연결 요청 및 사용자 인증 정보 요청을 상기 커널 레이어 내 EDM에 제공하는 단계;
    상기 서버 연결 요청에 따라 접속된 후, 상기 사용자 인증 정보 요청에 대응하여 접근 허가일 경우, MAC 등급을 확인하여 사용자 인증 정보를 자동으로 암호화하여 상기 FTP 데몬 프로그램에 사용자 인증을 요청하는 단계;
    상기 FTP 데몬 프로그램에서 상기 암호화된 사용자 인증 정보를 분석하여 정당한 사용자일 경우, MAC 등급으로 연결한 후, 상기 FTP 클라이언트 프로그램으로부터 제공되는 각종 데이터 정보에 해당되는 MAC 등급을 확인하여 MAC 등급이 "0" 이상인지를 체크하는 단계;
    상기 체크 단계에서 MAC 등급이 "0" 이상일 경우, 암/복호 처리 모듈에 데이터 정보를 제공하여 암호화시킨 후, 상기 암호화된 데이터 정보를 상위 모듈로 전달하는 단계를 포함하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  15. 제 14 항에 있어서,
    상기 EDM에서 사용자 인증 정보 요청에 따라 상기 커널 레이어 내 ACM에 접근 허가 및 접근 거부 상태를 요청하는 단계;
    상기 ACM에서 보안 DB로부터 사용자에 대한 객체와 주체의 권한을 읽어 객체 역할과 주체 역할이 같은지, 주체 등급이 객체 등급보다 크거나 같은지, 주체 범주가 객체 범주보다 큰지를 각각 비교하여 모두 해당되면, 접근 허가로서, 상기 보안 DB에 저장되어 있는 사용자에 해당되는 MAC 등급을 확인하여 사용자 인증 정보를 자동으로 암호화하는 단계를 더 포함하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  16. 제 14 항에 있어서,
    상기 사용자 인증 정보는 자신의 비밀 정보와 미리 허가받은 범주 내에서 MAC 등급을 작성하여 전달할 때, #CRYPT 라는 역할이 설정되어 있어 연결이 설정될 때까지 자동 암호화하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  17. 제 14 항에 있어서,
    상기 FTP 데몬 프로그램에서 인증 처리를 수행함에 있어서, 정당하지 않은 사용자일 경우, 연결을 종료 단계를 더 포함하는 것을 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  18. 제 14 항에 있어서,
    상기 체크 단계에서 MAC 등급이 "0" 이상이 아닐 경우, 상기 IP 레이어를 거쳐 암호화하지 않은 일반 데이터 정보를 네트워크를 통해 상위 모듈로 전송하는 단계를 더 포함하는 것을 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  19. 제 14 항에 있어서,
    상기 암/복호 처리 모듈에서 데이터 정보를 암호화함에 있어서, IP 패킷 헤더의 IP 프로토콜을 적는 부분을 통해 암호화 여부를 알 수 있으며, 상기 IP 패킷헤더 다음에 EP 헤더가 있다는 의미로 EP 적용 플래그를 정의하여 암호화 여부를 알 수 있으며, EP 헤더의 프로토콜 필드에 EP 헤더를 적용하기 전에 IP 헤더의 프로토콜 부분에 저장되어 있는 프로토콜 값을 통해 암호화 여부를 알 수 있는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  20. 제 14 항에 있어서,
    상기 상위모듈로부터 데이터 정보가 제공될 경우, 암/복호 처리 모듈에서 상기 데이터 정보의 암호화 여부를 검사하는 단계;
    상기 검사 단계에서 암호화된 데이터 정보가 제공될 경우, 상기 암호화된 데이터 정보에 대하여 복호화 처리를 수행하여 상기 EDM에 제공하는 단계;
    상기 EDM에서 암/복호 처리 모듈로부터 제공되는 복호화된 데이터 정보를 상기 FTP 클라이언트 프로그램에 제공하는 단계를 더 포함하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
  21. 제 20 항에 있어서,
    상기 검사 단계에서 암호화되지 않은 일반 데이터 정보가 제공될 경우, 곧 바로 상기 FTP 클라이언트 프로그램에 상기 일반 데이터 정보를 제공하는 단계를 더 포함하는 것을 특징으로 하는 MAC와 RBAC 기반에서의 사용자 인증 정보 및 데이터 암호화 방법.
KR10-2002-0068066A 2002-11-05 2002-11-05 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법 KR100449493B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0068066A KR100449493B1 (ko) 2002-11-05 2002-11-05 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0068066A KR100449493B1 (ko) 2002-11-05 2002-11-05 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20040039845A KR20040039845A (ko) 2004-05-12
KR100449493B1 true KR100449493B1 (ko) 2004-09-22

Family

ID=37337366

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0068066A KR100449493B1 (ko) 2002-11-05 2002-11-05 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100449493B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100690452B1 (ko) * 2004-07-29 2007-03-09 연세대학교 산학협력단 웹서비스 기반 의료정보의 보안 접근제어 시스템
KR100723869B1 (ko) * 2005-11-29 2007-05-31 한국전자통신연구원 접근 제어 가능한 rfid 시스템에서의 미들웨어 및 그방법
CN114124395B (zh) * 2020-08-31 2024-04-12 北京书生网络技术有限公司 密钥管理方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05244150A (ja) * 1990-07-31 1993-09-21 Hiroichi Okano 知的情報処理方法および装置
KR19990083720A (ko) * 1999-06-26 1999-12-06 우상규 사용자등급에따라데이터를실시간으로암호화/복호화하는장치및이를이용한사용자등급에따라데이터를실시간으로암호화/복호화하는방법
KR20020009744A (ko) * 2000-07-26 2002-02-02 양태연 다양한 암호알고리즘을 지원하는 안전한 분산객체미들웨어 플랫폼 및 그 서비스 방법
KR20020041813A (ko) * 1999-09-30 2002-06-03 러셀 비. 밀러 통신 시스템에서의 전송을 암호화하기 위한 방법 및 장치
KR100380853B1 (ko) * 2000-11-03 2003-04-18 주식회사 엠키 무선 데이터 통신에서 사용자 인증 및 부인 방지를 위한차등화된 보안 정책 방법
KR20030087874A (ko) * 2002-05-10 2003-11-15 주식회사 마이엔진 컴퓨팅 장치의 등급별 데이터 보안 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05244150A (ja) * 1990-07-31 1993-09-21 Hiroichi Okano 知的情報処理方法および装置
KR19990083720A (ko) * 1999-06-26 1999-12-06 우상규 사용자등급에따라데이터를실시간으로암호화/복호화하는장치및이를이용한사용자등급에따라데이터를실시간으로암호화/복호화하는방법
KR20020041813A (ko) * 1999-09-30 2002-06-03 러셀 비. 밀러 통신 시스템에서의 전송을 암호화하기 위한 방법 및 장치
KR20020009744A (ko) * 2000-07-26 2002-02-02 양태연 다양한 암호알고리즘을 지원하는 안전한 분산객체미들웨어 플랫폼 및 그 서비스 방법
KR100380853B1 (ko) * 2000-11-03 2003-04-18 주식회사 엠키 무선 데이터 통신에서 사용자 인증 및 부인 방지를 위한차등화된 보안 정책 방법
KR20030087874A (ko) * 2002-05-10 2003-11-15 주식회사 마이엔진 컴퓨팅 장치의 등급별 데이터 보안 방법

Also Published As

Publication number Publication date
KR20040039845A (ko) 2004-05-12

Similar Documents

Publication Publication Date Title
US9781114B2 (en) Computer security system
US9286484B2 (en) Method and system for providing document retention using cryptography
US6804777B2 (en) System and method for application-level virtual private network
US6889210B1 (en) Method and system for managing security tiers
US7748045B2 (en) Method and system for providing cryptographic document retention with off-line access
US7428754B2 (en) System for secure computing using defense-in-depth architecture
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
US7984496B2 (en) Systems and methods for secure communication over a wireless network
US8943316B2 (en) Document security system that permits external users to gain access to secured files
US6449721B1 (en) Method of encrypting information for remote access while maintaining access control
USRE41546E1 (en) Method and system for managing security tiers
US20050071657A1 (en) Method and system for securing digital assets using time-based security criteria
US20030217148A1 (en) Method and apparatus for LAN authentication on switch
US20050005133A1 (en) Proxy server security token authorization
US20040143738A1 (en) System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
KR20030036787A (ko) 네트워크를 통하여 분배되는 객체를 보안화하기 위한 감사추적 구축용 시스템
US11316685B1 (en) Systems and methods for encrypted content management
KR20030036788A (ko) 네크워크를 통하여 분배되는 객체의 보안화 시스템
US20020129239A1 (en) System for secure communication between domains
KR100480999B1 (ko) 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법
US8707034B1 (en) Method and system for using remote headers to secure electronic files
KR100449493B1 (ko) 강제적 접근제어와 역할기반접근제어 기반에서의 사용자인증 정보 및 데이터 암호화 장치 및 방법
EP1299984B1 (en) Establishing network security using internet protocol security policies
US20050188197A1 (en) Security system and method for firewall and associated product
WO2002095545A2 (en) System and method for secure and private communication

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20080905

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee