KR100657554B1 - method of administering access to database - Google Patents
method of administering access to database Download PDFInfo
- Publication number
- KR100657554B1 KR100657554B1 KR1020040053799A KR20040053799A KR100657554B1 KR 100657554 B1 KR100657554 B1 KR 100657554B1 KR 1020040053799 A KR1020040053799 A KR 1020040053799A KR 20040053799 A KR20040053799 A KR 20040053799A KR 100657554 B1 KR100657554 B1 KR 100657554B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- access
- database
- authority
- user
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 데이터베이스(DB) 내에 공개키기반구조(PKI)의 신원인증 및 권한인가 처리를 수행하는 영역(layer)을 설치하여, 각종 정보 DB로의 접근 요청 시 전자서명을 통한 신원확인 및 권한확인 절차를 거쳐서 정보 DB에의 접근을 허가 또는 거부함으로써 보안성을 대폭 강화시키고 실사용자의 정보 접근 내역을 기록하여 불법적 정보 접근을 예방하는 데이터베이스(DB) 접근 및 권한 관리 강화 방법에 관한 것이다.The present invention installs a layer that performs identity authentication and authorization processing of the public key infrastructure (PKI) in the database (DB), and the identity verification and authority verification procedure through electronic signature when requesting access to various information DBs. The present invention relates to a method of reinforcing database access and authority management that greatly enhances security by allowing or denying access to an information DB and records illegal user access by recording information access records of real users.
본 발명에서는 각종 정보가 저장되는 데이터베이스 내에 공개키기반구조(PKI)의 신원인증 및 권한인가 처리를 수행하는 시큐리티 레이어(220)를 설치하되, 상기 데이터베이스 내의 DB 통신모듈(210)과의 정보교류를 위해 상기 DB 통신모듈(210)과 동일 계층 영역에 설치하고, 데이터베이스 접근 시 전자서명을 통해 상기 시큐리티 레이어(220)와 DB 통신모듈(210)에서 데이터베이스 접근을 제어하는 데이터베이스 접근 및 권한 관리 강화 방법에 관한 것이다.According to the present invention, the security layer 220 is installed in a database in which various information is stored to perform identity authentication and authorization processing of the public key infrastructure (PKI), and information exchange with the DB communication module 210 in the database is performed. In order to strengthen the database access and authority management to be installed in the same layer area as the DB communication module 210, and to control the database access in the security layer 220 and the DB communication module 210 through an electronic signature when accessing the database. It is about.
데이터베이스보안, DB접근권한, DB보안, PKIDB보안, PMIDB보안, 보안DB, Security DB, 데이터베이스 내부보안Database Security, DB Access Right, DB Security, PKIDB Security, PMIDB Security, Security DB, Security DB, Database Internal Security
Description
도 1은 종래의 상용 데이터베이스 접근 루트 및 보안방법을 설명하기 위한 도,1 is a view for explaining a conventional commercial database access route and security method;
도 2는 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법의 접근 루트를 설명하기 위한 도,2 is a view for explaining the access route of the database access and authority management strengthening method of the present invention;
도 3은 본 발명에서 정보시스템(Application)을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,3 is a flow chart for explaining a database (DB) access and authority management strengthening method through the information system (Application) in the present invention,
도 4는 본 발명에서 외부 DB관리 툴을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,Figure 4 is a flow chart for explaining a database (DB) access and authority management strengthening method through an external DB management tool in the present invention,
도 5는 본 발명에서 내부 DB관리 툴을 통한 데이터베이스(DB) 접근 및 권한 관리 강화 방법 설명을 위한 흐름도,Figure 5 is a flow chart for explaining a database (DB) access and authority management strengthening method through the internal DB management tool in the present invention,
도 6은 본 발명에서 업무담당자가 권한이양을 위해 데이터베이스(DB)에 접근할 수 있는 임시 아이디 및 패스워드 발급 방법 설명을 위한 흐름도,6 is a flowchart illustrating a temporary ID and password issuing method for a person in charge in the present invention to access a database (DB) for the transfer of authority;
도 7은 본 발명에서 권한수임자가 임시 아이디 및 패스워드를 통해 데이터베이스(DB)에 접근하는 방법 설명을 위한 흐름도이다.FIG. 7 is a flowchart illustrating a method of accessing a database through a temporary ID and password by a privilege holder in the present invention.
*** 도면의 주요 부분에 대한 부호의 설명 ****** Explanation of symbols for the main parts of the drawing ***
10: APPL클라이언트, 12: A/P서버,10: APPL client, 12: A / P server,
13: 신원 및 권한확인 시스템,13: identity and authorization system,
14: 정보시스템, 16: 통신모듈,14: information system, 16: communication module,
18: 미들웨어, 20: 외부 DB관리 툴,18: middleware, 20: external DB management tool,
30: 데이터베이스, 32: DB 통신모듈,30: database, 32: DB communication module,
34: 정보 DB, 40: JDBC Thin Driver,34: information DB, 40: JDBC Thin Driver,
50: 내부 DB관리 툴, 100: APPL 클라이언트,50: internal DB management tool, 100: APPL client,
102: 사용자 PKC, 110: A/P서버,102: user PKC, 110: A / P server,
112: 정보시스템, 114: 통신모듈,112: information system, 114: communication module,
120: 외부 DB관리 툴, 122: 관리자 PKC,120: external DB management tool, 122: administrator PKC,
130: 권한관리 툴, 132: 권한이양자 PKC,130: authority management tool, 132: authority transfer PKC,
200: 데이터베이스, 210: DB 통신모듈,200: database, 210: DB communication module,
220: 시큐리티 레이어, 222: 인증처리부,220: security layer, 222: authentication processing unit,
224: 권한인가부, 230: 정보 DB,224: authorization authority, 230: information DB,
232: 히스토리 DB, 240: 내부 DB관리 툴,232: history DB, 240: internal DB management tools,
242: 슈퍼유저 PKC, 300: 신원확인시스템,242: superuser PKC, 300: identification system,
310: DS, 320: OCSP 서버,310: DS, 320: OCSP server,
400: 권한확인시스템400: authorization system
본 발명은 데이터베이스 접근 및 권한 관리 강화 방법에 관한 것으로, 더욱 상세하게는 데이터베이스의 각종 정보 DB에 접근할 수 있는 정보시스템, 외부 DB관리 툴, 내부 DB관리 툴 등에 의한 정보 DB 접근 시 공개키기반구조의 신원인증 및 권한인가 처리를 수행하는 영역을 데이터베이스 내부에 설치하여 보안성을 대폭 강화시키고, 업무담당자가 정보 DB 접근 권한이 없는 사용자에게 일시적으로 정보 DB 접근 권한을 부여하는 권한이양 기능 및 데이터베이스 접근과 정보 DB 사용내역 등의 정보감사 기능을 추가한 데이터베이스 접근 및 권한 관리 강화 방법에 관한 것이다.The present invention relates to a method for strengthening database access and authority management. More specifically, the public key infrastructure when accessing an information DB by an information system, an external DB management tool, an internal DB management tool, etc., which can access various information DBs of a database. It greatly enhances security by installing an area that performs identity authentication and authorization processing in the database, and the authority transfer function that temporarily grants access to information DB to users who do not have access to information DB and database access. And strengthening database access and authorization management by adding information auditing functions such as information DB usage history.
지난 1987년부터 추진된 "행정전산망사업" 의 일환으로 각급정부기관에서 행정정보화 사업을 추진하여 국가 행정의 중요 정보를 데이터베이스(Database; 이하, 간단히 'DB'라고도 한다)로 구축하여 운영하고 있다. 그러나 비 대면성 및 익명성이 상존하는 전자행정환경에서 내부사용자의 신분위장, 데이터 위·변조 등 각종 역기능에 대한 보호기반은 상대적으로 취약한 상황이다.As part of the "Administrative Computing Network Project," which has been implemented since 1987, government agencies at various levels have been implementing the administrative informatization project, and have established and operated important information on national administration as a database (hereinafter, simply referred to as a 'DB'). However, in the electronic administrative environment where non-face-to-face and anonymity exist, the basis of protection against various dysfunctions such as identity forgery of users, data forgery and alteration is relatively weak.
예를 들면, 교육행정정보시스템의 경우 기존 C/S환경의 시스템을 통합정보시스템인 NEIS(National Education Information System)로 변경하는 과정에서 정보 접근 및 권한 관리 체계의 미흡 등과 같은 보안상의 문제와 관리 대상 정보유형의 부적절성 등으로 인해 갈등이 심화되고 있는 실정이다.For example, in the case of educational administrative information system, security problems such as lack of information access and authority management system and management targets in the process of changing existing C / S environment system to NEIS (National Education Information System) Conflicts are intensifying due to inadequacy of information types.
또한, 내부사용자로부터의 데이터 보호의 문제점은 비단 정부뿐만 아니라 일반기업체에서도 커다란 문제로 대두되고 있다.In addition, the problem of data protection from internal users is becoming a big problem not only for the government but also for general enterprises.
도 1은 종래의 상용 데이터베이스 접근 루트 및 보안 방법을 설명하기 위한 도이다. 도 1에 도시한 바와 같이, 데이터베이스(30) 내부의 각종 정보 DB(34)에 접근하는 방법은 크게 3가지로 나눌 수 있는 바, A/P서버의 정보시스템(14)을 통해 접근하는 방법(도 1에서 실선으로 표시), 외부 DB관리 툴(20)을 통해 접근하는 방법(도 1에서 일점쇄선으로 표시) 및 데이터베이스(30) 내부에 구비된 DB관리 툴(50)을 통해 접근하는 방법(도 1에서 이점쇄선으로 표시) 등이 있다.1 is a diagram illustrating a conventional commercial database access route and security method. As shown in FIG. 1, the method of accessing
전술한 구성에서, 정보시스템(Application: 이하 간단히 'APPL'이라고도 한다)을 통한 접근 방법에 따르면 대부분 APPL 클라이언트(이하,'사용자'라고도 한다)(10)가 A/P서버(12)의 업무 정보시스템(14) 접근 시 상기 A/P서버(12)의 정보시스템(14)에 접속하여 최초로 접하는 로그인 화면에 본인의 ID와 패스워드를 입력하여 데이터베이스에 구축된 사용자 정보 DB를 통한 사용자인증 및 접근 권한 확인을 받아 원하는 정보 DB(34)에 접근할 수가 있다.In the above-described configuration, according to the access method through the information system (hereinafter, simply referred to as 'APPL'), most APPL clients (hereinafter also referred to as 'users') 10 are business information of the A /
이 경우, 정보시스템(14)은 A/P서버(12)에 설치된 클라이언트 소프트웨어(통신모듈)(16)를 통해 데이터베이스(30)의 DB 통신모듈(32)과 연결하여 데이터베이스(30)에 접근하는 방법과 A/P 서버(12)에서 미들웨어(18)와 JDBC(Java DataBase Connectivity) Thin Driver(40)를 통하여 데이터베이스(30)에 접속하는 방법(도 1에서 점선으로 표시)이 있다. 첫 번째 경우는 정보시스템(14) 프로그램소스에 DB USER 정보(DB_유저 ID 및 패스워드)가 내재되어 있기 때문에 비록 정보 DB(34) 접근 권한이 없는 사용자(Program개발자, 유지보수용역요원 등)라 할지라도 DB USER 정보(DB_유저 ID 및 패스워드)를 쉽게 습득 할 수 있어 각종 정보 DB(34)에 아무런 제약 없이 접근할 수 있다는 보안상 취약점이 있다. 나아가, 정보시스템(14)과 각종 정보 DB(34)의 사용권한이 임의 변경이 가능한 데이터 파일(사용자 정보 DB)로 관리되기 때문에 상기 정보 DB(34)의 사용권한 도용에 의한 위·변조가 용이하여 업무 정보 DB(34)의 신뢰성이 저하되는 문제점이 있다.In this case, the
실제로, 자동차관리 정보시스템에서 사용권한이 없는 공익근무요원이 권한 있는 업무담당자의 ID와 패스워드를 도용하여 정보 DB(자동차 압류정보)에 접근 한 후에 법규위반 차량에 대한 과태료 등의 체납 사실을 임의로 삭제해주고 금품을 수수한 범법 행위로 체포된 일이 신문 지상에 크게 보도된 바도 있다.In fact, a public service worker without permission from the car management information system accesses the information DB (automotive foreclosure information) by stealing the ID and password of a competent person in charge, and then randomly deletes the arrears, such as fines for the offending vehicle. The arrest of a criminal offense for giving and receiving money has been widely reported on the ground of the newspaper.
두 번째로 A/P 서버(12)에서 미들웨어(18)와 JDBC Thin Driver(40)를 통하여 정보 DB(34)에 접근하는 경우는 정보시스템(14) 프로그램소스에 DB USER 정보(DB_유저 ID 및 패스워드)를 내재시키지 않고 미들웨어(18)에서 데이터베이스 접근을 위한 DB USER 정보(DB_유저 ID 및 패스워드)를 관리한다. 그러나 이 경우에도 정보 DB(34)에 대한 접근 권한이 없는 사용자(Program개발자, 유지보수용역요원 등)에게 DB USER 정보(DB_유저 ID 및 패스워드)가 노출되어 있어 각종 정보 DB(34)에 아무런 제약없이 접근할 수 있다는 보안상 취약점이 있다.Second, when the A /
한편, 정보시스템(14) 개발자나 데이터베이스 관리자가 정보 DB(34)의 구축 또는 데이터의 추가, 갱신 및 삭제와 같은 데이터 변경 작업을 수행할 수 있도록 지원하는 여러가지 정보 DB 관리 유틸리티 등이 개발, 활용되고 있고, 이런 유틸리 티나 마이크로소프트사의 Excel과 같은 O/A 프로그램, 정보 DB를 이용한 Report Tool(이하, 이를 '외부 DB관리 툴'이라 명명한다) 등에 DB USER 정보(DB_유저 ID 및 패스워드)를 입력하여 각종 정보 DB(34)에 원격으로 접근할 수가 있다. 따라서 이러한 DB USER 정보(DB_유저 ID 및 패스워드)가 관리 소홀로 유출되는 경우에는 비록 권한이 없는 사용자라 할지라도 원격 접속 등의 방법을 통해 아무런 제약 없이 원하는 정보 DB에 손쉽게 접근할 수가 있다.On the other hand, various information DB management utilities are developed and utilized to support the
또한, 데이터베이스(30) 내부에는 각종 정보 DB(34)를 관리 할 수 있는 데이터베이스 관리자인 무한 권한의 슈퍼유저(DBA; Database Administrater)가 사용할 수 있는 SQL Interpreter, 데이터 백업 프로그램(이하, 이를 '내부 DB관리 툴'이라 명명한다) 등이 구비되어 있는데, 데이터베이스 관리자는 이러한 내부 DB관리툴(50)에 DB USER 정보(DB_유저 ID 및 패스워드)를 입력하는 과정을 거쳐 원하는 정보 DB(34)의 접근 및 추가, 갱신, 백업 등의 작업을 할 수 있는 절대적 권한을 가지고 아무런 제약 없이 접근할 수가 있다. 이 경우, 데이터베이스의 유지관리 등을 위해 절대적 권한을 가진 슈퍼유저의 DB USER 정보(DB_유저 ID 및 패스워드)를 여러 전산 담당자와 정보시스템 개발자 등이 공유하는 경우가 많아 보안상 가장 취약한 문제점이 있다.In addition, the
이러한 문제점을 해결하기 위해 도 1에서와 같이 정보시스템(14)을 통한 데이터베이스 접근 시 정보시스템(14)의 A/P 서버(12)에 설치된 통신모듈(16)에서 정보시스템 사용자의 신원 및 권한 확인을 위해 신원 및 권한확인 시스템(13)에 문의하여 정보 DB(34)에 대한 접근을 허가 또는 불허할 수 있는 방법을 제공하고 있다. 그러나, 이와 같이 정보시스템을 통한 정보 DB(34) 접근 시 전자서명 활용 등 고 수준의 보안구조를 활용하기 위해서는 DBMS사에서 제공하는 클라이언트 소프트웨어(통신모듈 포함)가 필수적으로 사용자(10) 머신에 설치되어 있어야 하지만 우회적인 방법으로 데이터베이스와 연동하기 위하여 JDBC Thin Driver(40)를 사용하는 외부 DB관리 툴(20), 미들웨어(18) 등을 사용하여 정보 DB(34)에 접근하고자 하는 경우에는 DBMS사에서 제공하는 클라이언트 소프트웨어(통신모듈 포함)를 설치하지 않아도 정보 DB(34) 접근이 가능하기 때문에 일관성 있는 보안 정책을 기대하기 어려운 현실이다.In order to solve this problem, the identity and authority of the information system user is checked in the
본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 데이터베이스와 통신하는 통신영역 사이에 공개키기반구조의 신원인증 및 권한인가 처리를 수행하는 영역을 설치하고, 각종 정보 DB에 접근할 수 있는 정보시스템(APPL), 외부 DB관리 툴, 내부 DB관리 툴 등에 전자서명 기능을 추가하여 데이터베이스 접근 시 통과하는 신원인증 및 권한인가 영역에서 데이터베이스의 접근을 허가 또는 거부함으로써 보안성을 대폭 강화시키고, 업무담당자가 정보 DB 접근 권한이 없는 사용자(Program 개발자, 유지보수용역요원 등)에게 일시적인 정보 DB 접근 권한(임시 아이디 및 패스워드)을 부여하는 권한이양 기능과 실 정보사용자의 데이터베이스 접근과 정보 DB 사용내역 등의 정보감사 기능을 추가한 데이터베이스 접근 및 권한 관리 강화 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and provides an area for performing identity authentication and authorization processing of a public key infrastructure between communication areas communicating with a database and accessing various information DBs. By adding the digital signature function to the system (APPL), external DB management tool, and internal DB management tool, it greatly enhances security by granting or denying access to the database in the areas of identity authentication and authorization that pass through the database access. The authority transfer function that grants temporary information DB access rights (temporary ID and password) to users who do not have access to information DB (program developer, maintenance service personnel, etc.), and the database access and information DB usage history of actual information users. It provides a method of strengthening database access and authority management by adding information auditing function. There is a purpose.
본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 각종 정보가 저장되 는 데이터베이스와 통신하는 영역 사이에 PKI에 의한 신원인증 및 PMI에 의한 권한인가 처리를 수행하는 시큐리티 레이어(220)를 설치하되, 상기 데이터베이스 내의 DB 통신모듈(210)과의 정보교류를 위해 상기 DB 통신모듈(210)과 동일 계층 영역에 설치하여, 상기 시큐리티 레이어(220)를 통한 접근 방식을 사용하여 상기 데이터베이스 내부의 각종 정보 DB에의 접근을 관리한다.In the method of strengthening database access and authority management of the present invention, a
이하에서는 첨부 도면들을 참조하여 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법에 대해서 상세하게 설명하는데, 먼저 본 발명의 적용을 위한 유관시스템인 신원확인시스템과 권한확인시스템에 대해 개략적으로 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail with respect to the database access and authority management strengthening method of the present invention, first of all, a brief description of the identification system and the authorization system as a related system for the application of the present invention.
도 2는 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법의 접근 루트를 설명하기 위한 도이다. 도 2에 도시한 바와 같이, 본 발명의 적용을 위한 신원확인시스템(300)은 공개키기반구조(PKI; Public Key Infrastructure)에 바탕을 두고 구현될 수 있다. 이러한 공개키기반구조(PKI)에서는 사용자(User 또는 Client)가 등록기관(RA; Registration Authority)에 전자서명 인증서(PKC; Public Key Certificate)의 발급을 요청하면, 등록기관에서는 먼저 사용자의 신원을 오프라인에서 확인한 후에 인증기관(CA; Certificate Authority)에 인증서 발행을 요청하고, 인증기관에서는 사용자에게 인증서를 발급함과 동시에 인증서의 내용을 디렉토리시스템(DS; Directory System)(310), 바람직하게는 LDAP(Lightweight Directory Access Protocol)에 게시하게 된다. 여기에서 디렉토리 시스템(310)은 사용자인증서와 사용자관련정보, 상호인증서쌍, 그리고 인증서 폐지목록 등을 저장 및 검색하 는 장소를 말하는데, 응용방법에 따라 이러한 디렉토리 시스템(310)은 인증기관에서 관리하거나 별도의 디렉토리서버에 설치할 수도 있다.2 is a diagram illustrating an access route of a method for enhancing database access and authority management according to the present invention. As shown in FIG. 2, the
이후에, 각종 PKC 활용 정보시스템(APPL) 등은 사용자로부터 제시받은 인증서의 등록 여부를 디렉토리 시스템(310)에 문의하여 사용자의 신원을 확인하게 되는데, 이러한 PKC에는 소정의 사용자 정보(Distinguished Name: 사용자 고유명, 이하, 간단히 'DN'이라 한다), 발행기관의 고유명과 서명문 및 사용자의 공개키 정보 등이 정해진 프로토콜에 따라 규칙적으로 수록되어 있다.Subsequently, various PKC utilization information systems (APPL) and the like check the identity of the user by asking the
또한 신원확인시스템에는 온라인 인증서 검증(OCSP; Online Certificate Status Protocol) 서버(320)가 더 포함될 수도 있는데, PKC 활용 정보시스템(APPL)에서는 OCSP 서버(320)에 문의하여 제시받은 PKC가 유효한지 또는 폐기된 상태인 지를 실시간으로 확인할 수가 있다.In addition, the identification system may further include an Online Certificate Status Protocol (OCSP)
다음으로 본 발명의 적용을 위한 유관시스템인 권한확인시스템(400)은 신원확인 시스템(300) 등에 의해 신원이 확인된 사용자에 대해 정보 DB 사용권한을 확인해 주는 기능을 담당하는데, 허가권자(SOA(Source Of Authority) 또는 AA(Attribute Authority))가 사용자의 권한, 지위 또는 임무 등에 관한 정보가 담긴 특권 속성 인증서(AC; Attribute Certificate)를 사용자에게 발행함과 더불어 이를 디렉토리 시스템에 저장한다. 이후에, 사용자가 정보시스템(APPL)에 이를 제시하면 정보시스템(APPL)에서는 디렉토리 시스템(310)에 그 권한을 문의하여 권한의 한도 내에서 시스템의 이용을 허가하게 된다. 또한, 권한확인시스템(400)에 DB USER 정보(DB_유저 ID 및 패스워드)와 DB USER별 사용자정보(DN)를 추가 구축하게 되면 시스템 관리자 및 데이터베이스 관리자(DBA)가 DB USER 정보(DB_유저 ID 및 패스워드)를 알고 있을 필요가 없게 된다. 즉, 시스템 관리자와 데이터베이스 관리자(DBA)의 보안관련 역할 분리가 가능하여 보안성이 한층 강화될 수 있다.Next, the
또한, 정보 DB(230) 접근 권한이 있는 업무담당자가 유지보수를 담당하는 용역업체 관리요원 또는 일반사용자 등에게 업무협조를 의뢰해야 하는 사안이 발생했을 경우 일시적으로 사용할 수 있는 임시 아이디 및 패스워드를 생성할 수 있는 기능을 추가할 수 있다.In addition, a temporary ID and password that can be used temporarily can be created when a business person with access to the
또한 권한확인시스템(400)에 정보 DB 접근패턴 분석 기능이 포함되면 허가된 사용자가 정보시스템(APPL)을 통한 정보 DB 접근 요청 시 그 패턴의 정상여부를 확인하여 정보 DB(230) 접근 사전 감사에 활용할 수 있다. 현재 공표된 권한확인시스템(400)의 대표적인 것으로는 PMI(Privilege Management Infrastructure)와 EAM(Enterprise Access Management)(이하, 'PMI'를 이들을 통칭하는 용어로 사용한다) 등이 있으며, AC에도 PKC와 마찬가지로 사용자 ID와 공개키, 허가권자의 이름과 서명문 및 권한 정보 등이 수록되게 된다. 이때 외부에 권한확인시스템을 구축하지 못할 경우, 내부의 데이터베이스를 이용하여 권한확인시스템(400)의 역할이 가능하도록 구성할 수도 있다.In addition, if the
한편, 권한확인시스템(400)에서는 사용자 정보(DN)에 따라 접근 가능한 데이터베이스 정보(DB NAME) 및 DB USER 정보(DB_유저 ID 및 패스워드), 권한이양을 위해 임시로 생성한 아이디 및 패스워드 정보, 정보시스템의 정보 DB(230) 접근 사전 감사를 위한 정보 DB(230) 접근 패턴정보 등을 관리한다.On the other hand, in the
본 발명의 대표도인 도 2의 데이터베이스(200)에는 각종 정보 DB(230), A/P서버(110)의 정보시스템(112) 또는 외부 DB관리 툴(120)과 정보 DB(230) 사이에 개재되어 쌍방향 통신을 수행하는 DB 통신모듈(210), DB 통신모듈(210)과 정보 DB(230) 사이의 통신을 허용 또는 차단시키는 시큐리티 레이어(Security Layer)(220)를 포함하여 이루어질 수 있는데, 시큐리티 레이어(220)는 특정 정보 DB(230)에의 접근 요청이 있는 경우에 신원확인시스템(300)과 권한확인시스템(400)에 확인한 결과에 따라 DB 통신모듈(210)과 정보 DB(230)사이의 통신을 허용 또는 차단한다. 전술한 구성에서, 시큐리티 레이어(220)는 기능적으로 신원확인시스템(300)과의 사이에서 신원확인 처리를 담당하는 인증처리부(222) 및 권한확인시스템(400)과의 사이에서 권한확인 처리를 담당하는 권한인가부(224)를 포함하여 이루어질 수 있다. 또한, 정보 DB(230) 내에는 특정 정보 DB 사용내역, 즉 사용자 PKC 정보, 정보 DB 접근 Tool의 종류, 작업일시, 정보 변경 명령어 및 SQL문 등을 접근 권한이 제한되는 히스토리 DB(232)를 할당하여 저장하고, 사전, 사후 정보 감사에 활용하도록 할 수가 있다.In the
도 2에서 참조번호 100은 정보시스템(112)을 사용하는 APPL 클라이언트(사용자)를 나타내는 바, 이러한 APPL 클라이언트(사용자)의 하드디스크 등에는 공인 인증된 사용자 PKC(102)가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.In FIG. 2,
참조번호 120은 공개키기반구조(PKI)에 의한 신원확인이 가능한 외부 DB관리 툴을 나타내는 바, 이러한 외부 DB관리 툴(120)을 사용하기 위해서는 정보 관리자 등이 사용하는 단말기의 하드디스크 등에도 외부 DB관리 툴 사용자 PKC(122)(이하, 이를 '관리자 PKC'라 명명한다)가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.
참조번호 240은 DB 통신모듈(210)을 경유하지 않고 각종 정보 DB에 접근할 수 있고, 공개키기반구조(PKI)에 의해 신원확인이 가능한 내부 DB관리 툴 등을 나타내는 바, 이러한 내부 DB관리 툴(240)을 사용하기 위해서는 슈퍼유저 PKC(242) 가 공개키기반구조(PKI)에 의해 사전에 저장되어 있어야 한다.
도 3은 본 발명에서 정보시스템(APPL)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 실선으로 도시되어 있다. 도 3에 도시한 바와 같이, 본 발명에 따른 정보시스템(112)에서의 데이터베이스 접근 및 권한 관리 강화 방법에서 정보시스템(112) 사용자가 A/P서버(110)에 접속하여 정보시스템(112)을 실행하면 사용자에게 로그인 화면이 출력되는데, 이 상태에서 사용자의 컴퓨터에 저장된 사용자 PKC(102)가 출력되면 사용자는 본인의 사용자 PKC(102)를 선택한 후 패스워드를 입력(S2)하여 전자서명정보를 생성하고, 이렇게 생성된 전자서명정보를 A/P 서버(110)에 전달(S4)하게 된다. 다음으로, A/P 서버(110)에서는 이렇게 전달받은 전자서명정보와 A/P 서버(110)의 정보시스템(112) 정보 및 DB NAME을 DB 통신모듈(114)을 통해 시큐리티 레이어(220)에 전달(S6)하여 신원 및 정보시스템의 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 사용자 PKC(102)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S8)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 사용자 PKC(102)를 디렉토리 시스템(310)에서 조회하여 사용자의 신원을 확인(S10)하고, 다시 OCSP서버(320)에 조회하여 사용자 PKC(102)의 유효성을 확인(S10)한 후에 사용자 신원확인 및 사용자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S12)한다. 이후, 시큐리티 레이어(220)는 사용자 PKC(102)와 정보시스템 정보 및 DB NAME을 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 정보시스템이 정보 DB(230)에 접근할 권한이 있는지를 확인 요청(S14)한다.3 is a flowchart illustrating a method for enhancing database access and authority management through an information system (APPL) according to the present invention. In FIG. As shown in FIG. 3, the user of the
다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 사용자 AC를 조회하여 당해 사용자가 요청한 정보시스템의 접근 권한인 DB USER 정보(DB_유저 ID 및 패스워드)를 추출(S16) 한 후에 그 결과를 시큐리티 레이어(220)에 전달(S18)하고, 시큐리티 레이어(200)는 전달 받은 권한 조회 결과에 따라 DB 통신모듈(210)과 데이터베이스 사이의 통신을 허용 또는 차단, 즉 사용자가 특정 정보 DB(230)에 접근하는 것을 허용 또는 차단(S20)하게 된다.Next, the
본 발명에서는 이렇게 함으로써 비록 업무담당자와 같은 정당한 사용자라 할지라도 정보 관리자가 미리 설정한 권한의 범위에 속한 정보 DB(230)에만 접근이 가능하도록 할 수 있기 때문에 보안성이 한층 강화될 수가 있다. 또한, 데이터베이스에 접근하기 위해 프로그램 소스코드에 입력하는 응용프로그램 접속 정보에 DB USER 정보(DB_유저 ID 및 패스워드)를 내재시킬 필요가 없으므로 DB USER 정보(DB_유저 ID 및 패스워드)를 도용한 정보 접근 피해를 사전에 예방할 수 있다.In the present invention, even if a legitimate user, such as the person in charge of the task, since the information manager can access only the
그리고, 사용자가 특정 정보 DB(230)에의 접근하는 것이 허가된 경우에도 권 한확인시스템(400)에 포함된 정보 DB 접근패턴 분석 기능을 활용하여 데이터베이스(200)에서는 정보시스템(APPL)의 변경에 의한 특정 정보 DB(230)의 데이터 변경을 요청(S22)하는 경우에 권한확인시스템(400)에 등록되어 있는 정상적인 정보 DB 접근 패턴과 비교(S24)하여 비정상적인 정보 DB(230) 접근 패턴일 경우에는 정보 DB(230)에 접근하는 것을 차단한 후 즉시 정보관리자에게 통보하는 사전 정보감사 기능과, 사용자 정보 및 데이터 변경 내용을 히스토리 DB(232)에 저장(S26)함으로써 사후의 정보감사에 활용할 수 있도록 할 수 있다.In addition, even when the user is permitted to access the
도 4는 본 발명에서 공개키기반구조(PKI)에 의한 신원확인 기능이 포함된 외부 DB관리 툴(120)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 일점쇄선으로 도시되어 있다. 도 4에 도시한 바와 같이, 본 발명에 따른 외부 DB관리 툴(120)을 통한 데이터베이스 접근 및 권한 관리 강화 방법에서 관리자가 외부 DB관리 툴(120)을 실행시키면 관리자 PKC(122) 확인 및 데이터베이스 정보(DB NAME) 입력 로그인 화면이 출력되게 되는데, 이 상태에서 관리자가 해당 전자서명인증서(PKC)를 선택한 후 패스워드를 입력하여 전자서명정보를 생성하고, 다시 원하는 정보 DB(230)에 접근할 수 있는 데이터베이스 정보(DB NAME)를 입력(S30)하고, 이렇게 생성된 전자서명정보와 데이터베이스 정보(DB NAME)를 시큐리티 레이어(220)에 전달(S32)하여 신원 및 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 관리자 PKC(122)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S34)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 관리자 PKC(122)를 디렉토리 시스템(310)에서 조회하여 당해 관리자의 신원을 확인하고, 다시 OCSP 서버(320)에 문의하여 그 유효성을 확인(S36)한 후에 관리자 신원확인 및 관리자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S38)한다. 이와 같이, 관리자의 신원을 확인한 후 시큐리티 레이어(220)는 관리자 PKC(122)와 데이터베이스 정보(DB NAME)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 외부 DB관리 툴(120)이 접근 요청한 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S40)한다.4 is a flowchart illustrating a method for strengthening database access and authority management through an external
다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 관리자 AC를 조회하여 당해 사용자가 요청한 정보 DB(230)에 접근할 권한이 있는 지를 확인(S42)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S44)하고, 시큐리티 레이어(200)는 전달받은 권한 조회 결과에 따라 DB 통신모듈(210)과 데이터베이스 사이의 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S46)하게 된다.Next, the
또한, 외부 DB관리 툴(120)에 의한 특정 정보 DB(230)에의 접근이 허가된 경우에도 데이터베이스(200)에서는 관리자가 특정 정보 DB(230)의 데이터 변경요청(S48)을 하는 경우에 관리자 정보와 데이터 변경 내용을 히스토리 DB(232)에 저장(S50)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 DB USER 정보(DB_유저 ID 및 패스워드)의 노출 없이 사용자의 신원에 의해 정보의 권한이 관리되므로 권한이 없는자가 원격 접속 유틸리티를 통해 정보 DB(230)에 접근하는 것을 원천적으로 방지할 수가 있다.In addition, even when access to the
도 5는 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 내부 DB 관리 툴(240)을 통한 데이터베이스 접근 및 권한 관리 강화 방법을 설명하기 위한 흐름도인 바, 도 2에서는 점선으로 도시되어 있다. 도 5에 도시한 바와 같이, 본 발명에 따른 내부 DB관리 툴(240)을 통한 데이터베이스 접근 및 권한 관리 강화 방법에서 슈퍼유저가 내부 DB관리 툴(240)을 실행시키면 슈퍼유저 PKC(242) 확인 및 데이터베이스 정보(DB NAME) 입력 로그인 화면이 출력되게 되는데, 이 상태에서 슈퍼유저가 전자서명인증서(PKC)를 선택하고 패스워드를 입력하여 전자서명정보를 생성하고, 다시 원하는 정보 DB(230)에 접근할 수 있는 데이터베이스 정보(DB NAME)를 입력(S50)하고, 이렇게 생성된 전자서명정보와 데이터베이스 정보(DB NAME)를 시큐리티 레이어(220)에 전달(S52)하여 신원 및 권한 확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 슈퍼유저 PKC(242)를 신원확인시스템(300)에 전달하여 그 신원 확인을 요청(S54)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 슈퍼유저 PKC(242)를 디렉토리 시스템(310)에서 조회하여 당해 슈퍼유저의 신원을 확인하고, 다시 OCSP서버(320)에 문의하여 그 유효성을 확인(S56)한 후에 슈퍼유저 신원확인 및 슈퍼유저 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S58)한다. 이와 같이, 슈퍼유저의 신원을 확인한 후 시큐리티 레이어(220)는 슈퍼유저 PKC(242)와 데이터베이스 정보(DB NAME)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 슈퍼유저가 접근 요청한 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S60)한다.FIG. 5 is a flowchart illustrating a method for enhancing database access and authority management through an internal
다음으로, 이러한 요청를 받은 권한확인시스템(400)에서는 디렉토리 시스템(310)에서 슈퍼유저의 AC를 조회하여 당해 슈퍼유저가 요청한 특정 정보 DB(230)에 접근할 권한이 있는 지를 확인(S62)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S64)하고, 시큐리티 레이어(220)는 전달받은 권한 조회 결과에 따라 내부 DB관리 툴(240)과 정보 DB(230) 사이에 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S66)하게 된다.Next, the
또한, 슈퍼유저가 특정 정보 DB(230)에 접근하는 것이 허가된 경우에도 시큐리티 레이어(220)에서는 슈퍼유저가 특정 정보 DB(230)의 데이터 변경을 요청(S68)하는 경우에 슈퍼유저 정보와 데이터 변경 내용 등을 히스토리 DB(232)에 저장(S70)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다.In addition, even when the superuser is permitted to access the
이 외 슈퍼유저가 데이터베이스 관리를 위해 행하는 작업 중 시큐리티 레이어(220)를 경유하지 않고 실행할 수 있는 데이터베이스 백업 프로그램(Export, Unload 등)에 공개키기반구조(PKI)의 신원확인기능을 포함하여 시큐리티 레이어(220)에서 신원 및 권한 확인을 통하여 정보 접근을 허용 또는 차단하도록 할 수 있다.In addition, the security layer including the public key infrastructure (PKI) identification function is included in a database backup program (Export, Unload, etc.) that can be executed without the
이와 같이 본 발명에서는 슈퍼유저라 할지라도 신원과 권한 확인을 통해 정보 DB(230)에 접근이 가능하도록 시큐리티 레이어(220)가 제어하므로 권한이 없는 정보 접근을 원천적으로 방지할 수가 있다.As described above, even in the present invention, the
도 6은 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 권한관리 툴(130)을 통해 권한이양 방법을 설명하기 위한 흐름도인 바, 도 2에서는 이점쇄선으로 도시되어 있다. 데이터베이스 접근 및 권한 관리 강화 방법에 의한 데이터베이스에 접속을 하기 위해서는 전자서명인증서(PKC)가 필요하다. 그러나 유지보 수를 담당하는 용역업체 관리요원 또는 업무협조 의뢰를 받은 일반사용자 등에게 전자서명인증서를 발행했을 경우 정보 DB(230)에 대한 접근이 자유로워지고 보안상의 문제를 야기시킬 수 있다. 따라서, 상기 권한이양 방법은 필요한 사안이 발생했을 경우에만 정보 DB(230)에 접속할 수 있도록 정보 DB(230) 접근 권한이 있는 업무담당자가 일시적으로 사용할 수 있는 임시 아이디 및 패스워드를 생성하여 권한수임자에게 권한을 이양하는 방법이다. 도 6에 도시한 바와 같이, 본 발명에 따른 권한관리 툴(130)을 통한 권한이양 방법에서 권한이양자가 권한관리 툴(130)을 실행시키면 권한이양자 PKC(132) 확인 화면이 출력되게 되는데, 이 상태에서 권한이양자가 전자서명인증서(PKC)를 선택한 후 패스워드를 입력(S80)하여 전자서명정보를 생성하고, 이렇게 생성된 전자서명정보를 시큐리티 레이어(220)에 전달(S82)하여 신원확인을 요청하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 권한이양자의 PKC(132)를 신원확인시스템(300)에 전달하여 그 신원 및 유효성 확인을 요청(S84)한다. 다음으로, 이러한 요청을 받은 신원확인시스템(300)은 권한이양자의 PKC(132)를 디렉토리 시스템(310)에서 조회하여 당해 권한이양자의 신원을 확인하고, 다시 OCSP서버(320)에 문의하여 그 유효성을 확인(S86)한 후에 권한이양자 신원확인 및 권한이양자 PKC 유효성 확인 결과를 시큐리티 레이어(220)에 전달(S88)한다. 이와 같이 권한이양자의 신원을 확인한 후 시큐리티 레이어(220)는 권한이양자 PKC(132)를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 권한이양자가 가지고 있는 정보 DB(230) 접근 권한에 대해 확인 요청(S90)한다.FIG. 6 is a flowchart illustrating a method for transferring a privilege through a
다음으로, 이러한 요청을 받은 권한확인시스템(400)에서는 디렉토리 시스템 에서 권한이양자의 AC를 조회하여 당해 권한이양자가 가지고 있는 정보 DB(230) 접근 권한을 확인(S92)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S94)하고, DB 통신모듈을 통하여 권한관리 툴(130)에 당해 권한이양자가 접근 가능한 데이터베이스 정보(DB NAME)를 전달한다. 권한이양자는 출력된 데이터베이스 정보(DB NAME) 중 권한을 이양하고자 하는 대상 데이터베이스 정보(DB NAME)를 선택한 후 권한수임자 정보 및 작업시간 등의 권한수임 정보를 입력(S96)한다. 다음으로, 입력한 정보를 권한확인시스템(400)에 전달하여 임시 아이디 및 패스워드 생성을 요청(S98)한다.Next, the
다음으로 이러한 요청에 의하여 권한확인시스템(400)에서는 임시 아이디 및 패스워드를 생성(S100)하여 시큐리티 레이어(220)를 통하여 권한관리 툴(130)에 전달(S102)하고, 권한이양자는 이렇게 전달받은 임시 아이디 및 패스워드를 권한수임자에게 통지한다. Next, in response to such a request, the
또한, 권한이양자 정보 및 임시 아이디, 패스워드 생성 내용을 히스토리 DB(232)에 저장(S104)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 비록 특정 정보 DB(230)에 대한 접근 권한이 없는 용역업체 관리요원 또는 일반사용자에게 업무협조를 의뢰하는 경우에 임시 아이디 및 패스워드 생성 기능을 제공하여 전자서명인증서를 발행하지 않고도 정보 DB에 접근이 가능하도록 할 수 있다.In addition, by storing the privilege transfer information, the temporary ID, the password generated in the history DB (232) (S104) can be utilized in the later information audit. As such, the present invention provides temporary ID and password generation functions when requesting business cooperation to a service company management agent or a general user who does not have access to a
도 7은 본 발명에서 공개키기반구조(PKI)에 의해 신원확인이 가능한 권한관리 툴(130)을 통한 권한이양 방법으로 생성한 임시 아이디와 패스워드를 사용하여 권한수임자가 특정 정보 DB(230)에 접근할 수 있는 방법을 설명하기 위한 흐름도이다. 도 7에 도시한 바와 같이, 본 발명에 따른 권한수임자가 임시 아이디와 패스워드를 이용하여 특정 정보 DB에 접근하기 위하여 외부 DB 관리 툴(120)을 실행시키면 로그인 화면이 출력되게 되는데, 이 상태에서 권한수임자가 권한이양자에게 전달받은 임시 아이디와 패스워드를 입력(S110)하면 외부 DB 관리 툴(120)에서는 이를 확인하고 해당 권한수임자가 입력한 정보를 읽어 들인 후에 시큐리티 레이어(220)에 전달(S112)하여 권한확인을 요청(S114)하게 된다. 이후 시큐리티 레이어(220)의 인증처리부(222)에서는 권한수임자가 입력한 정보를 권한인가부(224)를 통해 권한확인시스템(400)에 전달하여 권한수임자가 정보 DB(230)에의 접근 권한이 있는 지를 확인 요청(S114)한다.FIG. 7 illustrates the authority holder using the temporary ID and password generated by the authority transfer method through the
다음으로, 이러한 요청를 받은 권한확인시스템(400)에서는 당해 권한수임자가 특정 정보 DB(230)에 접근할 권한이 있는 지를 확인(S116)한 후에 그 결과를 시큐리티 레이어(220)에 전달(S118)하고, 시큐리티 레이어(220)는 전달받은 권한 조회 결과에 따라 DB 통신모듈(210)과 외부 DB 관리 툴(120) 사이에 통신을 허용 또는 차단, 즉, 해당 정보 DB(230)에 접근을 허용 또는 차단(S120)하게 된다.Next, the
한편 권한이 확인된 권한수임자가 특정 정보 DB의 데이터 변경 요청(S122)을 하는 경우에 권한수임자 정보와 데이터 변경 내용 등을 히스토리 DB(232)에 저장(S124)함으로써 이후의 정보 감사에서 활용할 수 있도록 할 수 있다. 이와 같이 본 발명에서는 비록 특정 정보 DB(230)에 대한 접근 권한이 없지만, 필요한 사안이 발생하여 일시적으로 용역업체 관리요원 또는 일반사용자에게 업무협조를 의 뢰하는 경우에 신원확인이 가능한 권한관리 툴(130)을 통한 권한이양 방법으로 임시 아이디 및 패스워드를 생성하여 특정 정보 DB에 접근이 가능하도록 함으로써 불법적인 정보 접근을 원천적으로 방지할 수 있다.On the other hand, when the authority holder whose authority has been verified requests a data change request of a specific information DB (S122), the authority holder information and data changes are stored in the history DB 232 (S124) so that the information can be utilized in subsequent information audit. can do. As described above, although the present invention does not have access to the
본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 전술한 것에 국한되지 않고 본 발명의 기술 사상이 허용하지 않는 범위 내에서 다양하게 변형하여 실시할 수가 있다.The database access and rights management strengthening method of the present invention is not limited to the above, and various modifications can be made without departing from the spirit of the present invention.
전술한 바와 같은 본 발명의 데이터베이스 접근 및 권한 관리 강화 방법은 정보 접근을 위한 신원확인 방법을 공개키기반구조(PKI)에 의한 실사용자의 전자서명을 통해 내부 및 외부 해킹자가 불법으로 업무 정보 DB에 접근하는 것을 방지할 수가 있다.As described above, the method for strengthening database access and authority management according to the present invention provides an identity verification method for accessing information to an internal and external hacker illegally using the public key infrastructure (PKI). You can prevent access.
또한, 업무담당자나 정보관리자 등의 내부 사용자라 할지라도 미리 정해진 정보사용 권한 및 정보 DB 접근 패턴분석 기능을 활용하여 정보 DB 접근 제어가 가능하기 때문에 내부 사용자에 의한 업무 정보의 위·변조 및 유출 사고가 예방될 수 있다.In addition, even internal users such as task managers and information managers can control access to information DB by using predetermined information usage authority and information DB access pattern analysis function. Can be prevented.
또한, 내부 또는 외부에 구축될 권한확인시스템에 DB USER 정보(DB_유저 ID 및 패스워드)와 DB USER별 사용자 정보(DN)를 추가 구축함으로써 시스템 관리자 및 데이터베이스 관리자(DBA)로부터 보안관련 기능을 분리하게 되면 정보 DB의 보안성이 크게 향상될 수가 있고, 정보 DB 접근 패턴분석 기능을 활용하고, 정보 활용 현황을 실사용자 정보로 히스토리정보(DB)에 기록하여 관리함으로써 사전, 사후 정보 감사 기능이 강화되어 예방적 측면의 정보 DB의 보안성이 크게 향상될 수 있다.In addition, it separates security-related functions from system administrators and database administrators by adding DB USER information (DB_user ID and password) and DB USER user information (DN) in the authorization system to be built internally or externally. The security of the information DB can be greatly improved. The information DB access pattern analysis function can be used, and the pre and post information audit function is reinforced by recording and managing the information utilization status in the history information (DB) as real user information. Therefore, the security of the information DB of the preventive aspect can be greatly improved.
그리고 이렇게 보안성이 강화된 정보시스템(Application)의 정보 DB는 기존 DB에서 제한적 관리가 요구되는 특정정보(인사, 회계, 회원, 기술 등)를 기존 DB에서 분리 구축이 가능하게 되므로 정보의 안전성 확보에 크게 기여할 수 있을 것이다.In addition, the information DB of the enhanced security information system (Application) ensures the safety of information because it enables separate construction of specific information (personnel, accounting, membership, technology, etc.) that requires limited management in the existing DB. Will contribute greatly.
Claims (8)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030048373 | 2003-07-15 | ||
KR20030048373 | 2003-07-15 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050008486A KR20050008486A (en) | 2005-01-21 |
KR100657554B1 true KR100657554B1 (en) | 2006-12-13 |
Family
ID=37221707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040053799A KR100657554B1 (en) | 2003-07-15 | 2004-07-10 | method of administering access to database |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100657554B1 (en) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100684079B1 (en) * | 2005-06-20 | 2007-02-20 | 성균관대학교산학협력단 | System and method for detecting the exposure of ocsp responder's session private key |
KR100868037B1 (en) * | 2006-10-18 | 2008-11-10 | 주식회사 케이티프리텔 | Method and System for Controlling the Access to the Database |
KR100913190B1 (en) * | 2007-09-13 | 2009-08-20 | 에스티지 시큐리티(주) | Method for database preservation web-based 3 tier environment and apparatus thereof |
KR101025029B1 (en) * | 2008-11-25 | 2011-03-25 | 이한나 | Implementation method for integration database security system using electronic authentication |
KR101308859B1 (en) * | 2012-02-24 | 2013-09-16 | 주식회사 팬택 | Terminal having temporary root authority granting function and root authority granting method using the same |
KR101670496B1 (en) * | 2014-08-27 | 2016-10-28 | 주식회사 파수닷컴 | Data management method, Computer program for the same, Recording medium storing computer program for the same, and User Client for the same |
WO2016032233A2 (en) * | 2014-08-27 | 2016-03-03 | 주식회사 파수닷컴 | Data management method, computer program for same, recording medium thereof, user client for executing data management method, and security policy server |
KR102185555B1 (en) * | 2020-05-18 | 2020-12-02 | 주식회사 지에스리테일 | Method of secure access and query execution of database and server implementing thereof |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR970701387A (en) * | 1994-02-16 | 1997-03-17 | 사이먼 크리스토퍼 로버츠 | A METHOD AND APPARATUS FOR CONTROLLING ACCESS TO A DATABASE |
-
2004
- 2004-07-10 KR KR1020040053799A patent/KR100657554B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR970701387A (en) * | 1994-02-16 | 1997-03-17 | 사이먼 크리스토퍼 로버츠 | A METHOD AND APPARATUS FOR CONTROLLING ACCESS TO A DATABASE |
Non-Patent Citations (1)
Title |
---|
논문 |
Also Published As
Publication number | Publication date |
---|---|
KR20050008486A (en) | 2005-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6978366B1 (en) | Secure document management system | |
JP3640339B2 (en) | System for retrieving electronic data file and method for maintaining the same | |
EP1914951B1 (en) | Methods and system for storing and retrieving identity mapping information | |
US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
US20030217264A1 (en) | System and method for providing a secure environment during the use of electronic documents and data | |
US20020032665A1 (en) | Methods and systems for authenticating business partners for secured electronic transactions | |
US20020049912A1 (en) | Access control method | |
US20070271618A1 (en) | Securing access to a service data object | |
US8631486B1 (en) | Adaptive identity classification | |
CN102035838B (en) | Trust service connecting method and trust service system based on platform identity | |
CN106533693B (en) | Access method and device of railway vehicle monitoring and overhauling system | |
KR20080019362A (en) | Substitutable local domain management system and method for substituting the system | |
KR102311462B1 (en) | Block chain did-based digital evidence management system and method | |
JP2000010930A (en) | Access control method for network system | |
KR100657554B1 (en) | method of administering access to database | |
US20050055556A1 (en) | Policy enforcement | |
KR20080098304A (en) | Method for management of database access control and protection of database access account | |
US20230412400A1 (en) | Method for suspending protection of an object achieved by a protection device | |
CN110708298A (en) | Method and device for centralized management of dynamic instance identity and access | |
KR100545676B1 (en) | Authentication Method And Authentication System Using Information About Computer System's State | |
JP2005258606A (en) | Network system with information leakage audit function | |
Lock et al. | Grid Security and its use of X. 509 Certificates | |
KR100386853B1 (en) | System for Security Kernel for Security based on Duty using Electronic Signature Authentication | |
US20230053907A1 (en) | Method and apparatus for flexible configuration managment using external identity management service | |
US20240140249A1 (en) | Method for authorizing a first participant in a communication network, processing device, motor vehicle and infrastructure device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |