KR100851502B1 - 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템 - Google Patents

유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템 Download PDF

Info

Publication number
KR100851502B1
KR100851502B1 KR1020060079730A KR20060079730A KR100851502B1 KR 100851502 B1 KR100851502 B1 KR 100851502B1 KR 1020060079730 A KR1020060079730 A KR 1020060079730A KR 20060079730 A KR20060079730 A KR 20060079730A KR 100851502 B1 KR100851502 B1 KR 100851502B1
Authority
KR
South Korea
Prior art keywords
role
context
security
policy
user
Prior art date
Application number
KR1020060079730A
Other languages
English (en)
Other versions
KR20080017911A (ko
Inventor
정태명
한영주
박선호
정성민
조준식
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020060079730A priority Critical patent/KR100851502B1/ko
Publication of KR20080017911A publication Critical patent/KR20080017911A/ko
Application granted granted Critical
Publication of KR100851502B1 publication Critical patent/KR100851502B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 유비쿼터스 센서 네트워크의 보안 분야에 관한 것으로서, 보다 상세하게는 유비쿼터스 센서 네트워크 기반의 상황인식 컴퓨팅 시스템에 적합한 사용자인증 및 접근제어를 제공하기 위한 통합보안 시스템에 관한 것이다.
본 발명의 상황인식 통합보안 시스템을 사용자인증과 접근제어를 위한 정책 관리 및 보안 서비스 제공을 담당하는 상황인식 보안서비스 매니저, 컨텍스트(context)정보의 수집과 가공 등을 기능을 제공하는 컨텍스트 매니저, 그리고 상황인식 보안정책의 제어와 보안정책 데이터베이스의 관리 기능을 제공하는 보안정책매니저로 구성되어, 유비쿼터스 센서 네트워크 환경에 적합하고 보안 관리 도메인 내의 모든 상황 정보를 효율적으로 관리할 수 있는 접근제어를 제공한다.

Description

유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및 접근제어를 위한 상황인식 통합보안 시스템{CONTEXT-AWARE BASED INTEGRATED SECURITY SYSTEM FOR USER AUTHENTICATION AND ACCESS CONTROL IN UBIQUITOUS COMPUTING ENVIRONMENTS}
도 1은 상황인식 보안서비스 매니저의 내부 모듈을 나타내는 블록도이다.
도 2는 컨텍스트 매니저의 내부 모듈을 나타내는 블록도이다.
도 3은 보안정책 매니저의 내부 모듈을 나타내는 블록도이다.
도 4는 상황-역할기반 접근제어 모델을 도시한 도면이다.
도 5는 상황-역할기반 접근제어 검사 알고리즘을 설명한 흐름도이다.
도 6은 상황인식 통합보안 시스템의 보안서비스 처리 흐름을 나타내는 흐름도이다.
도 7은 상황인식 통합보안 시스템의 보안정책 구성의 흐름을 나타내는 흐름도이다.
도 8은 상황-역할기반 접근제어의 새로운 사용자-역할 등록 과정의 처리 흐름을 나타내는 흐름도이다.
도 9는 상황-역할기반 접근제어의 새로운 정책규칙 등록 과정의 처리 흐름을 나타내는 흐름도이다.
*도면의 주요부분에 대한 부호의 설명*
10: 상황인식 보안서비스 매니저
11: 서비스관리모듈
12: 사용자인증모듈
13: 접근제어모듈
14:보안정책제어모듈
15:컨텍스트모듈
20: 컨텍스트 매니저
21: 컨텍스트요구분석기
22: 컨텍스트통합관리 모듈
23: 컨텍스트 수집기
24: 컨텍스트제어기
25: 센서네트워크
30: 보안정책 매니저
31: 사용자인증정책관리모듈
32:상황-역할기반 접근제어정책관리모듈
33: 환경정책관리모듈
34: 보안정책제어모듈
35;보안정책데이터베이스
본 발명은 유비쿼터스 센서 네트워크의 보안 분야에 관한 것으로서, 보다 상세하게는 유비쿼터스 센서 네트워크 기반의 상황인식 컴퓨팅 시스템에 적합한 사용자인증 및 접근제어를 제공하기 위한 통합보안 시스템에 관한 것이다.
특히, 본 발명은 유비쿼터스 환경에서 상황-인식(Context-Aware) 컴퓨팅 시스템이 제공하는 서비스에 대한 사용자인증 및 접근제어 등의 보안서비스 제공을 위한 보안 시스템에 관한 것으로 더욱 상세하게는 사용자의 서비스 요청에 대해 인증 보증 레벨을 적용한 사용자인증 방식을 통해 사용자인증 후 접근제어에 사용될 사용자 역할 활성화를 효율적으로 하고 상황정보를 기반으로 접근제어를 하는 상황-역할기반 접근제어를 통해 상황인식 컴퓨팅 시스템에 적합한 접근제어 서비스를 제공한다.
기존의 접근제어 메커니즘은 대부분 보안주체와 객체간의 권한 관계를 중심으로 정책을 구성하였으며 DAC(Discretionary Access Control)과 MAC(Mandatory Access Control)이 대표적이다. 이 접근제어 메커니즘은 대형의 조직 시스템에서 조직 구조를 반영하는 효과적인 정책을 구성하기가 어려운 단점을 갖고 있다. 역할기반 접근제어는 접근제어 관리 작업을 단순화하고 기능 기반 접근제어를 직접 제공하기 위해 기존의 접근제어 방법인 DAC과 MAC의 대안으로서 제안되었으며 기업, 학교, 병원 등과 같은 다양하고 규모가 큰 조직의 시스템에서 효과적인 보안 정책 구성이 용이하다. 역할기반 접근제어는 권한을 역할과 연관시키고 사용자들은 적절한 역할에 할당되도록 하여 사용자와 권한 간의 직접적인 관계를 분리하였다. 이를 통해 사용자와 권한 간의 관계가 빈번히 변하는 조직에서도 보안 정책의 관리가 용이한 장점을 갖는다. 이와 같이 역할기반 접근제어 방식은 한국전자통신 연구원에서 출원한 한국특허 출원공개 2003-54657, "역할기반 접근제어 방법"에 개시되어 있다. 하지만 상기와 같은 종래 기술에 따른 역할기반 접근제어는 다양한 조직에서 그 조직의 특성에 적합한 보안정책 수립 및 관리를 용이하게 하지만 기본적으로 주체 중심적인 특징으로 인하여 유비쿼터스 센서 네트워크 환경에서 상황인식 컴퓨팅 기술 기반의 서비스를 제공하는 시스템을 위한 접근제어에 적합하지 않은 특성을 갖는다.
한편, M. M. Moyer M. J. Convington and M. Ahamad, "Generalized role-based access control for securing future applications," In 23rd National Information Systems Security Conference. (NISSC 2000), Baltimore, Md, USA, October 2000에는 일반화된 역할기반 접근제어 메커니즘이 개시되어 있다. 상기 종래 기술의 일반화된 역할기반 접근제어 메커니즘은 기존의 역할기반 접근제어의 주체 중심적인 접근제어 정책의 한계를 극복하고 객체역할과 환경역할의 개념을 추가하여 향후의 차세대 컴퓨팅 환경에서의 접근제어 메커니즘으로 사용되기 위해 제안되었다. 하지만 객체역할과 환경역할 간의 중복도메인 발생 문제와 많은 역할을 관리해야 하는 문제점을 갖는다. 다시 말해, 무한한 디바이스들 간의 네트워크로 구성되는 유비쿼터스 환경에서 일반화된 역할기반 접근제어의 단점은 보안정책의 구성을 복잡하고 비효율적으로 만든다.
따라서, 본 발명이 이루고자 하는 기술적 과제는 상황인식 컴퓨팅 기술 기반의 시스템에 적합한 접근제어 제공을 위해 역할기반 접근제어를 확장한 상황-역할 기반 접근제어와 인증보증레벨을 적용한 사용자인증 기능을 갖는 상황인식 통합보안 시스템을 구축하여, 유비쿼터스 센서 네트워크 환경에 적합하고 보안 관리 도메인 내의 모든 상황 정보를 효율적으로 관리할 수 있는 접근제어를 제공하는데 그 목적이 있다.
상기한 목적을 달성하기 위한 본 발명의 상황인식 통합보안 시스템을 사용자인증과 접근제어를 위한 정책 관리 및 보안 서비스 제공을 담당하는 상황인식 보안서비스 매니저, 컨텍스트(context)정보의 수집과 가공 등의 기능을 제공하는 컨텍스트 매니저, 그리고 상황인식 보안정책의 제어와 보안정책 데이터베이스의 관리 기능을 제공하는 보안정책매니저로 구성된다.
상기 상황인식 보안서비스 매니저는 보안 관리 도메인 내에서의 서비스 요청 발생 시에 해당 서비스에 대한 사용자인증 및 접근제어를 수행한다. 접근제어의 수행을 위해 해당 서비스에 접근을 요청한 사용자의 사용자인증을 통해 사용자 식별을 하고 사용자 역할 활성화를 수행하는 동시에 요청 사용자의 상황 정보를 수집하고 수집된 정보를 바탕으로 상황-역할의 활성화를 수행한다. 그리고 활성화된 역할들과 요청 서비스 정보를 이용하여 보안 트랜잭션을 생성하여 접근제어를 수행한 후에 접근제어 결과를 반환한다.
상기 컨텍스트 매니저는 상황-역할기반 접근제어 수행에 사용될 컨텍스트 정 보 수집을 위해 컨텍스트 요청 메시지 분석, 컨텍스트 수집, 그리고 컨텍스트 가공의 역할을 한다. 상황인식 보안서비스 매니저가 접근제어를 수행하기 위해 컨텍스트를 요청하면 컨텍스트 매니저는 요청정보를 분석하여 수집된 컨텍스트 정보들 중에서 해당 정보만을 추출하여 상황인식 보안서비스 매니저에게 전달한다. 컨텍스트 매니저는 센서네트워크에서 감지되는 컨텍스트 정보들을 주기적으로 수집 및 가공하여 유지한다.
상기 보안정책매니저는 보안정책 데이터베이스를 관리하며 보안 정책의 생성, 수정, 삭제 등의 기본적인 기능 외에 보안 관리 도메인의 정보 관리 기능까지 수행한다. 상황인식 보안서비스 매니저를 통해 제공된 보안 정책과 관리 도메인 정보를 데이터베이스에 저장 및 관리하고, 보안 관리 도메인 내에서 보안 서비스 요청이 발생하면 사용자인증 및 접근제어를 위해 필요한 보안 정책을 상황인식 보안서비스 매니저에게 제공한다.
이하 첨부된 도면을 참조로 본 발명을 상세히 설명한다.
상황인식 보안서비스 매니저(10)는 사용자인증 및 접근제어 등의 보안서비스기능, 상황인식 보안서비스 제공을 위한 정책구성기능, 그리고 컨텍스트 관리기능 등을 제공한다. 도 1은 상황인식 보안서비스 매니저(10)의 상세 구성도로서, 각 구성요소의 역할을 보다 상세히 설명하면 다음과 같다.
- 서비스관리모듈(11): 보안서비스 요청에 대한 응답과 사용자인증모듈(12)과 접근제어모듈(13)의 관리를 수행하는 모듈로서 사용자의 서비스 요청에 대한 사용자인증과 접근제어 등의 보안서비스 결과를 서비스 요청자에게 반환한다.
- 사용자인증모듈(12): 기본적인 기능은 사용자인증 기능이며, 부가적인 기능으로서 사용자인증 메커니즘의 추가나 변경 등에 따른 보안 관리 도메인 내의 인증 시스템 관리 기능을 제공한다. 사용자인증에 사용되는 다양한 인증 메커니즘들에 대한 인증보증레벨을 적용하여 사용자가 요청한 서비스마다 차별화된 인증 수준을 제공하여 접근제어에서 사용될 사용자 역할 활성화 단계가 용이하게 동작하도록 해준다.
- 접근제어모듈(13): 보안서비스 요청에 대해 상황-역할기반 접근제어 정책을 기반으로 접근제어를 수행하여 접근허가 여부를 서비스관리모듈(11)에 반환하는 역할을 한다.
- 보안정책제어모듈(14): 상황인식 보안서비스 매니저(10) 내에서 보안정책의 제어기능을 담당하며 보안정책의 구성을 위한 보안 관리자와 보안정책매니저 간의 인터페이스 기능을 제공한다. 상황인식 보안서비스 매니저(10)를 구성하는 각 모듈들은 보안정책제어모듈(14)을 통해 보안정책에 접근할 수 있다.
- 컨텍스트 모듈(15): 컨텍스트 매니저(20)로부터 받은 상황정보를 관리하는 역할을 한다. 컨텍스트 모듈(15)은 보안정책을 통해 결정된 컨텍스트 인자들과 수집된 상황정보를 이용하여 접근제어에 사용될 상황-역할의 활성화를 수행하는 기능을 한다. 활성화된 상황-역할 정보는 접근제어 모듈(13)로 전달되어 접근제어 결정을 위한 보안 트랜잭션 생성에 사용된다.
컨텍스트 매니저(20)는 상황인식 보안서비스 매니저(10)에서 요구하는 상황 정보의 제공을 위해 센서 네트워크(15)에서 감지된 상황 정보를 수집 및 가공하여 상황인식 보안서비스 매니저(10)에 제공하는 역할을 한다. 컨텍스트 매니저(20)는 센서네트워크(25)로부터 주기적으로 컨텍스트 정보를 수집하고, 접근제어 과정에서 이용될 수 있도록 컨텍스트 정보를 가공하여 유지한다. 상황인식 보안서비스 매니저(10)로부터 컨텍스트 요청을 받으면 요청메시지에 포함된 보안서비스 요청 위치 정보 및 사용자 정보를 이용하여 해당하는 컨텍스트 정보만을 추출하여 상황인식 보안서비스 매니저(10)에게 전달한다. 센서네트워크(25)에서 수집되는 정보는 온도, 습도, 조도 등의 다양한 환경 정보와 체온, 맥박, 혈압 등의 서비스 주체와 관련된 정보, 그리고 시스템 정보 등의 다양한 컨텍스트 정보들로 이루어진다. 수집된 정보의 가공은 센서를 통해 감지된 저수준의 정보들을 상황인식 보안서비스 매니저(10)에서 인식 및 관리가 용이 하도록 고수준의 정보로 변환하는 것이다. 도 2는 컨텍스트 매니저(20)의 상세 구성도로서 각 구성요소의 역할을 상세히 설명하면 다음과 같다.
- 컨텍스트 요구 분석기(21): 상황인식 보안서비스 매니저(10)로부터 받은 상황정보 요청 메시지의 분석 및 상황인식 보안 서비스 매니저(10)에게 컨텍스트를 반환하는 역할을 한다.
- 컨텍스트 통합관리 모듈(22): 수집된 상황정보를 접근제어에 이용 가능하도록 가공하고 통합하여 관리하는 역할을 한다. 수집된 정보는 센서에 종속적인 수치들이므로 컨텍스트 제어기(24)를 통해 컨텍스트 관련 정책을 참고하여 접근제어에 이용 가능한 정보로 가공한다.
- 컨텍스트 수집기(23): 센서 네트워크(25)로부터 주기적으로 컨텍스트를 수 집하는 역할을 수행한다.
- 컨텍스트 제어기(24): 컨텍스트 관련 보안 정책을 통해 컨텍스트를 제어하는 역할을 한다.
보안정책매니저(30)는 상황인식 보안서비스를 위한 보안정책의 구성 및 관리기능을 제공하고 보안정책 데이터베이스(35)의 관리를 담당한다. 상황인식 보안서비스의 핵심 기술인 인증보증레벨을 적용한 사용자인증과 상황-역할기반 접근제어를 위해 보안정책매니저(30)는 보안 관리자가 설정하는 정책을 인증보증레벨 적용, 사용자-역할과 상황-역할의 관리 및 계층화 작업, 정책규칙제어 등의 작업을 통해 가공하여 보안정책 데이터베이스(35)에 저장한다. 도 3은 보안정책매니저(30)의 상세 구성도로서 각 구성요소의 역할을 상세히 설명하면 다음과 같다.
- 사용자인증 정책관리 모듈(31): 사용자인증과 관련된 정책의 제어를 담당하며, 상세한 기능은 상황인식 보안서비스에서 요청하는 사용자인증 관련 정책의 제공, 사용자인증 수단 정보의 관리, 그리고 다중 사용자인증 사용을 위한 통합 인증보증레벨 계산 등의 기능을 제공한다.
- 상황-역할기반 접근제어 정책관리 모듈(32): 상황-역할기반 접근제어와 관련된 정책의 제어를 담당하며, 상세한 기능은 사용자-역할 계층 제어, 환경-역할 계층 제어, 그리고 정책 규칙 제어 등의 기능을 제공한다.
- 환경 정책관리 모듈(33): 상황인식 통합보안 시스템이 사용되는 보안 관리 도메인의 환경 정보를 관리하는 모듈이다.
- 보안정책 제어 모듈(34): 보안정책 데이터베이스(35)의 직접적인 제어를 담당한다. 기본적인 데이터베이스 오퍼레이션을 통해 정책 구성, 수정, 삭제, 검색 등의 기능을 제공한다.
- 보안정책 데이터베이스(35): 사용자인증과 접근제어를 위한 보안정책과 환경정책 등의 정보를 유지하는 데이터베이스이다.
도 4는 본 발명의 접근제어 기술인 상황-역할기반 접근제어 모델을 도식화한 도면이다. 상황-역할기반 접근제어 모델을 구성하는 주요 요소는 사용자, 사용자-역할, 컨텍스트, 상황-역할, 권한 등의 5가지이다. 사용자는 서비스 주체를 의미하고, 사용자-역할은 조직에서 정의된 업무로서 기능단위로 정의되어 사용자에게 할당된다. 컨텍스트는 보안 관리 도메인 내부의 환경 정보, 시스템 정보, 사용자 관련 정보 등의 컨텍스트 정보를 의미하며, 상황-역할은 접근제어 정책에 따라 컨텍스트 정보를 역할 단위로 추상화 시킨 것이다. 시간과 관련된 컨텍스트를 예로 들면, '오전 8시'와 같은 시간관련 컨텍스트는 '오전', '출근시간', 또는 '등교시간' 등과 같은 상황-역할에 할당될 수 있다. 권한은 서비스 객체와 오퍼레이션 간의 매핑 관계를 의미하는 것이다. 상황-역할기반 접근제어 모델은 5가지 주요 요소 외에 사용자가 보안서비스를 요청하여 사용자-역할이 활성화된 상태를 의미하는 세션, 세션과 사용자-역할의 계층관계에 SoD를 적용하기 위한 제약사항 등을 포함한다.
상황-역할기반 접근제어 메커니즘은 보안서비스를 요청한 사용자의 사용자-역할의 활성화 및 상황정보를 이용하여 유효한 상황-역할을 선별하는 상황-역할의 활성화를 수행하고 서비스 객체 및 오퍼레이션 정보를 이용하여 유효한 권한을 선별하는 제 1 단계와, 활성화된 사용자-역할과 상황-역할, 그리고 권한을 이용하여 보안 트랜잭션을 생성하는 제 2 단계, 그리고 보안 트랜잭션을 이용하여 보안정책 데이터베이스에서 유효한 정책 규칙을 검색하여 접근허가 여부를 결정하는 제 3 단계를 포함한다. 제 1 단계에서는 접근제어 단계 이전에 수행된 사용자인증을 통해 획득한 정보인 사용자 식별자와 인증 수준 정보, 그리고 서비스 객체 정보를 이용하여 사용자에게 할당된 사용자-역할 중에서 유효한 사용자-역할을 선별하여 활성화시킨다. 또한 사용자의 서비스 요청 시점에 수집된 컨텍스트 정보를 이용하여 상황-역할을 활성화시키고, 서비스 객체와 오퍼레이션 정보를 이용하여 보안정책 데이터베이스의 검색을 통해 유효한 권한 정보를 선별한다. 제 2 단계에서 생성되는 보안 트랜잭션은 <사용자-역할, 상황-역할, 권한>의 형태로 구성이 된다. 이 보안 트랜잭션은 제 3 단계에서 정책 규칙의 검색을 위해 사용된다. 정책 규칙은 <보안 트랜잭션, 허가정보>로 구성되며, 허가 정보는 접근허가 여부를 결정하기 위한 허가비트 1비트로 구성된다. 제 3 단계에서는 검색된 정책 규칙의 허가정보를 이용하여 최종적인 접근제어 결과를 반환하게 된다. 도 5는 상기 상황-역할기반 접근제어 검사 알고리즘을 설명한 흐름도이다.
사용자인증에서 사용되는 인증보증레벨은 사용자인증수단을 신뢰도를 기반으로 차별화하기 위한 수치이다. 패스워드, 생체인식, 스마트카드, RFID 등 다양한 사용자인증수단들은 각기 분실 위험, 모방 위험, 도난 위험 등이 다르기 때문에 서로 다른 신뢰정도를 갖는다. 본 발명은 이러한 대표적인 3가지 인증 에러 요소들을 이용하여 인증보증레벨을 적용하고, 또한 여러 사용자인증 수단이 연계되어 사용될 경우를 위한 통합인증보증레벨 계산 알고리즘을 포함한다. 인증보증레벨은 분실 위 험, 모방(복제) 위험, 도난 위험 등의 3가지 에러 요소들을 기반으로 0부터 100까지의 수치로 표현이 되며, 만일 3가지 요소를 모두 갖추었으면 30, 2가지 요소를 갖추었으면 60, 1가지 요소를 갖추었으면 90의 수치를 적용하고, 3가지 에러 요소 외의 외부적인 요인으로 인한 에러 요소들에 영향을 받을 경우 한 가지 요소에 5만큼의 수치의 가감이 적용된다. 예를 들면, 3가지 요소를 모두 갖춘 패스워드 인증은 30, 분실, 도난의 위험 요소를 갖는 스마트카드는 60, 그리고 분실, 도난의 위험이 상당히 낮지만 모방 위험 요소를 갖춘 생체 인식은 90으로 설정이 된다. 하지만 생체 인식 중 얼굴인식은 주변 환경에 따른 변화에 취약하며 얼굴의 각도, 표정, 나이에 따라 형태가 변하므로 5를 감하여 85의 수치를 적용한다.
유비쿼터스 환경에서는 다양한 기기들 간의 상호연동이 빈번하게 되며, 사용자들은 무의식적으로 다양한 기기들에 동시에 인증을 받게 되거나 혹은 강력한 인증을 위해 2가지 이상의 인증 수단에 인증을 받을 수 있다. 이러한 경우를 위한 인증보증레벨의 계산은 다음과 같은 계산식을 이용한다.
Figure 112006060011750-pat00001
여기서
Figure 112006060011750-pat00002
은 통합사용자인증의 인증보증레벨이며, n은 사용되는 인증방식의 수이며,
Figure 112006060011750-pat00003
은 n개의 인증방식이 사용될 경우 각각의 인증보증레벨이다.
인증보증레벨은 접근제어 과정에서 사용자-역할의 활성화 단계에서 활용이 된다. 사용자는 여러 사용자-역할에 할당될 수 있기 때문에 사용자의 유효한 사용자-역할을 선별하는 과정이 필요하다. 만일 사용자-역할의 계층구조에서 상위 계층 의 역할은 높은 인증보증레벨, 하위 계층의 역할은 낮은 인증보증레벨을 적용하여 사용자 역할과 인증보증레벨을 연계하여 사용자에게 할당하게 되면, 사용자인증과정에 이어 접근제어를 수행함에 있어 사용자-역할 활성화 과정이 간단하게 이루어질 수 있게 된다.
도 6은 상황인식 통합보안 시스템을 이용하여 사용자인증과 접근제어를 수행하는 흐름을 나타내는 흐름도이다. 도 1내지 3 및 도 6을 참조로, 본 발명에 따른 상황인식 통합 보안 시스템의 동작을 설명하는 다음과 같다. 상황인식 보안서비스 매니저(10)는 보안서비스 요청을 받으면 서비스관리모듈(11)을 통해 사용자 정보, 서비스 정보, 인증수단 정보 등을 유지한다. 서비스관리모듈(11)은 이 정보들 중에서 사용자식별자, 서비스객체, 인증메커니즘 정보를 사용자인증모듈(12)에 전달하고, 이 정보들은 보안정책제어 모듈(14)을 통해 보안정책매니저(30)에게 전달되어 사용자인증 관련 정책을 요청하게 된다. 보안정책 매니저(30)는 사용자 식별자와 인증수단 정보를 이용하여 해당 인증 정보와 인증보증레벨을 상황인식 보안서비스 매니저(10)에게 전송한다. 상황인식보안서비스 매니저(10)의 사용자인증 모듈(12)은 사용자인증을 수행한 뒤 인증이 성공한 경우 접근제어 과정을 수행하게 된다. 이 과정에서 상황인식 보안서비스 매니저(10)의 접근제어 모듈(13)은 컨텍스트 모듈(15)을 통해 컨텍스트 매니저(20)에게 상황정보를 요청하는 동시에 보안정책제어모듈(14)을 통해 보안정책 매니저(30)에게 사용자-역할, 권한 등의 정보를 요청하게 된다. 컨텍스트 매니저(20)는 상황인식 보안서비스 매니저(10)의 요청을 받는 즉시 현재의 상황정보를 상황인식 보안서비스 매니저(10)에게 전달하고 컨텍스트 모듈(20)은 상황-역할 활성화 과정을 수행한다. 보안정책 매니저(30)는 상황인식 보안서비스 매니저(10)로부터 사용자 식별자, 인증보증레벨, 서비스객체, 오퍼레이션 정보를 받아 보안정책 데이터베이스(35)에서 사용자-역할과 권한 정보를 검색하여 상황인식 보안서비스 매니저(10)에 전달한다. 상황인식 보안서비스 매니저(10)의 접근제어 모듈(13)은 사용자-역할, 상황-역할, 권한 정보를 이용하여 보안트랜잭션을 생성하고 보안정책 매니저(30)에게 정책규칙 정보를 요청한다. 접근제어 모듈(13)은 정책규칙 정보의 허가정보를 확인하여 접근허가 여부를 결정하고 서비스관리모듈(11)에 결과를 전달함으로써 보안서비스 과정이 종료하게 된다.
보안정책의 구성과정은 보안 관리 도메인의 환경 구성 요소들과 보안서비스 주체, 객체, 오퍼레이션과 같은 보안서비스 구성 요소, 그리고 사용자 인증 수단을 등록하는 보안정책 구성 제 1 단계, 사용자 인증관련 정보 및 인증보증레벨을 등록하는 보안정책 구성 제 2 단계, 사용자와 사용자 역할 할당관계, 컨텍스트와 상황-역할 할당관계, 역할 계층 정의, 보안서비스 객체와 오퍼레이션 간의 관계를 나타내는 권한 정의 등의 접근제어 요소들을 등록하는 보안정책 구성 제 3 단계, 그리고 접근제어의 정책규칙을 정의하여 등록하는 보안정책 구성 제 4 단계로 구성된다. 도 7은 상기 보안정책의 구성의 흐름을 나타내는 흐름도이다.
상기 보안정책 구성 제 3 단계에서 사용자-역할의 새로운 등록을 수행할 경우 사용자-역할의 계층적 특성으로 인해 부모 역할의 정책 규칙을 상속받아야 하는 단계를 필요로 한다. 도 8은 새로운 사용자-역할의 등록을 처리하는 흐름을 나타내는 흐름도이다. 먼저 새로 등록하려는 사용자-역할의 부모 역할을 검색하고, 검색 된 부모 역할의 정책규칙에서 상황-역할, 권한, 허가정보를 추출한다. 추출된 정보들을 새로 등록하려는 사용자-역할에 할당하여 새로운 정책규칙을 생성한다. 새로 생성된 정책규칙을 정책규칙 테이블에 저장하고, 새로운 사용자-역할을 사용자-역할 테이블에 저장한다.
상기 보안정책 구성 제 4 단계에서 새로운 정책규칙을 등록할 때 정책규칙에 포함된 사용자-역할의 자식 역할이 있다면 연쇄적으로 그 자식 역할들에게 정책 규칙의 내용을 할당하여 추가적인 정책규칙을 생성해야 한다. 도 9는 새로운 정책규칙 구성의 처리 흐름을 나타내는 흐름도이다. 먼저 새로 등록하려는 정책규칙에 포함된 사용자-역할의 자식 역할을 역할계층 구조를 참고하여 검색한다. 검색된 모든 자식역할들에 대해 새로 등록하려는 정책규칙의 상황-역할, 권한, 허가정보 등을 할당하여 새로운 정책규칙을 생성한다. 마지막으로 새로 생성된 정책규칙을 포함하는 모든 정책규칙을 정책규칙 테이블에 저장한다.
이상에서 설명한 것은 본 발명에 따른 하나의 실시예를 설명한 것이며, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자가 변경실시 가능한 범위까지 본 발명의 범위에 있다고 할 것이다.
이상 살펴본 바와 같이, 본 발명에 따르면 상황인식 통합보안 시스템을 이용하여 유비쿼터스 컴퓨팅 환경에서 상황인식 시스템을 위한 상황정보 기반의 접근제어 및 유비쿼터스 환경에 적합한 사용자인증 지원을 용이하게 할 수 있다. 상황정 보 기반의 접근제어를 지원함으로써 상황인식 시스템을 이용한 서비스를 더욱 지능적으로 활용할 수 있게 되며, 다양한 상황정보를 기반으로 정책을 구성하므로 주체-중심적인 접근제어에 비해 강력한 보안성을 제공할 수 있다.

Claims (11)

  1. 유비쿼터스 컴퓨팅 환경의 상황인식 시스템에서 사용자 인증과 접근 제어를 위한 정책 관리, 보안 서비스 및 사용자인증관리를 수행하는 상황인식 보안서비스 매니저;
    상기 상황인식 보안서비스 매니저에 연결되어, 상기 상황인식 보안서비스 매니저의 상황-역할기반 접근제어 수행에 필요한 컨텍스트 수집과 관리를 수행하는 컨텍스트 매니저; 및
    상기 상황인식 보안서비스 매니저와 컨텍스트 매니저의 보안정책을 관리하기 위하여 상황인식 보안정책의 제어와 보안정책 데이터베이스 관리를 수행하는 보안 정책 매니저를 포함하는 상황인식 통합보안 시스템.
  2. 제 1 항에 있어서,
    상기 상황인식 보안서비스 매니저는,
    유비쿼터스 환경의 사용자인증을 위한 인증보증레벨을 적용한 사용자인증을 수행하는 사용자인증모듈;
    유비쿼터스 환경의 상황인식 시스템에 대한 접근제어를 위한 상황-역할기반 접근제어를 수행하는 접근제어모듈;
    상기 사용자인증모듈과 접근제어모듈의 제어를 수행하는 서비스관리모듈;
    상기 접근제어모듈에서 사용될 상황-역할의 활성화를 수행하는 컨텍스트 모듈; 및
    상기 상황인식 보안서비스 매니저의 보안정책을 제어하며 보안관리자와 보안정책매니저간의 인터페이스를 수행하는 보안정책제어모듈을 포함하는 것을 특징으로 하는 상황인식 통합보안 시스템.
  3. 제 1 항에 있어서,
    상기 컨텍스트 매니저는,
    센서 네트워크로부터 주기적으로 컨텍스트를 수집하는 컨텍스트 수집기;
    보안서비스 주체의 식별자, 서비스 객체의 위치 정보를 이용하여 유효한 상황정보를 선별하는 컨텍스트 요구분석기;
    수집된 상황정보를 접근제어에 이용 가능하도록 가공하고 통합하여 관리하는 컨텍스트 통합관리 모듈; 및
    보안정책에 따라 컨텍스트 인자를 분석하고 수집된 컨텍스트를 제어하는 컨텍스트 제어기를 포함하는 것을 특징으로 하는 상황인식 통합보안 시스템.
  4. 제 1 항에 있어서,
    상기 보안정책 매니저는,
    사용자인증 수단의 관리와 사용자인증 정책의 관리를 수행하는 사용자인증 정책관리 모듈;
    상황-역할기반 접근제어 정책의 구성을 제어하는 상황-역할기반 접근제어 정 책관리 모듈;
    보안 관리 도메인의 환경정보 구성을 수행하는 환경정책관리 모듈;
    사용자 인증과 접근제어를 위한 보안정책과 환경정책 등의 정보를 유지하는 보안정책 데이터베이스; 및
    상기 보안정책 데이터베이스를 직접적으로 제어하는 보안정책 제어 모듈을 포함하는 것을 특징으로 하는 상황인식 통합보안 시스템.
  5. 상황-역할기반 접근제어 방법에 있어서,
    보안서비스를 요청한 사용자의 사용자-역할의 활성화 및 상황정보를 이용하여 유효한 상황-역할을 선별하는 상황-역할의 활성화를 수행하고 서비스 객체 및 오퍼레이션 정보를 이용하여 유효한 권한을 선별하는 단계;
    활성화된 사용자-역할과 상황-역할, 그리고 권한을 이용하여 보안 트랜잭션을 생성하는 단계; 및
    보안 트랜잭션을 이용하여 보안정책 데이터베이스에서 유효한 정책 규칙을 검색하여 접근허가 여부를 결정하는 단계를 포함하는 상황-역할기반 접근제어 방법.
  6. 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법에 있어서,
    보안 관리 도메인의 환경 구성 요소들과 보안서비스 주체, 객체, 오퍼레이션과 같은 보안서비스 구성 요소, 그리고 사용자 인증 수단을 등록하는 단계;
    사용자 인증관련 정보 및 인증보증레벨을 등록하는 단계;
    사용자와 사용자 역할 할당관계, 컨텍스트와 상황-역할 할당관계, 역할 계층 정의, 보안서비스 객체와 오퍼레이션 간의 관계를 나타내는 권한 정의 등의 접근제어 요소들을 등록하는 단계; 및
    접근제어의 정책규칙을 정의하여 등록하는 단계를 포함하는 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법.
  7. 제 6항에 있어서, 새로운 사용자-역할의 추가 시에 사용자-역할 계층 구조를 참고하여 부모 역할의 상황-역할, 권한을 새로운 사용자-역할에 상속하여 새로운 정책규칙을 구성하는 단계를 더 포함하는 것을 특징으로 하는 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법.
  8. 제 6항에 있어서, 새로운 정책규칙의 구성 시에 사용자-역할 계층 구조를 참고하여 정책 규칙에 포함된 사용자-역할의 모든 자식 역할에게 상황-역할, 권한을 할당하여 새로운 정책규칙을 생성하여 구성하는 단계를 더 포함하는 것을 특징으로 하는 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법.
  9. 제 7항에 있어서, 상기 부모 역할의 상황-역할, 권한을 새로운 사용자-역할에 상속하여 새로운 정책규칙을 구성하는 단계는,
    새로 등록하려는 사용자-역할의 부모 역할을 검색하는 단계;
    상기 검색된 부모 역할의 정책규칙에서 상황-역할, 권한 및 허가정보를 추출하는 단계;
    상기 상황-역할, 권한 및 허가정보들을 새로 등록하려는 사용자-역할에 할당하여 새로운 정책규칙을 생성하는 단계; 및
    상기 새로 생성된 정책규칙을 정책규칙 테이블에 저장하고, 새로운 사용자-역할을 사용자-역할 테이블에 저장하는 단계를 포함하는 것을 특징으로 하는 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법.
  10. 제 8항에 있어서, 상기 정책 규칙에 포함된 사용자-역할의 모든 자식 역할에게 상황-역할, 권한을 할당하여 새로운 정책규칙을 생성하여 구성하는 단계는,
    새로 등록하려는 정책규칙에 포함된 사용자-역할의 자식 역할을 역할계층 구조를 참고하여 검색하는 단계;
    상기 검색된 모든 자식역할들에 대해 새로 등록하려는 정책규칙의 상황-역할, 권한, 허가정보 등을 할당하는 단계;
    자식 역할을 포함하는 새로운 정책규칙을 생성하는 단계; 및
    상기 새로 생성된 정책규칙을 포함하는 모든 정책규칙을 정책규칙 테이블에 저장하는 단계를 포함하는 것을 특징으로 하는 상황-역할기반 사용자인증 및 접근제어를 위한 보안정책구성 방법.
  11. 상황인식 통합보안 시스템을 이용하여 사용자인증과 접근제어를 수행하는 방법에 있어서,
    보안서비스 요청을 받으면 상황인식 보안서비스 매니저가 사용자 식별자, 서비스객체, 인증메커니즘 정보를 보안정책매니저에게 전달하여 사용자인증 관련 정책을 요청하는 단계;
    상기 보안정책 매니저는 사용자 식별자와 인증수단 정보를 이용하여 해당 인증 정보와 인증보증레벨을 상황인식 보안서비스 매니저에게 전송하는 단계;
    상기 상황인식보안서비스 매니저가 사용자인증을 수행하는 단계;
    상기 상황인식 보안서비스 매니저가 컨텍스트 매니저에게 상황정보를 요청하는 동시에 상기 보안정책 매니저에게 사용자-역할, 권한 등의 정보를 요청하는 단계;
    상기 컨텍스트 매니저가 상황인식 보안서비스 매니저의 요청을 받는 즉시 현재의 상황정보를 상황인식 보안서비스 매니저(10)에게 전달하고 상황-역할 활성화 과정을 수행하는 단계;
    상기 보안정책 매니저가 상황인식 보안서비스 매니저로부터 사용자 식별자, 인증보증레벨, 서비스객체, 오퍼레이션 정보를 받아 보안정책 데이터베이스에서 사용자-역할과 권한 정보를 검색하여 상황인식 보안서비스 매니저에 전달하는 단계;
    상기 상황인식 보안서비스 매니저가 사용자-역할, 상황-역할, 권한 정보를 이용하여 보안트랜잭션을 생성하고 보안정책 매니저에게 정책규칙 정보를 요청하는 단계; 및
    상기 상황인식 보안서비스 매니저가 상기 정책규칙 정보의 허가정보를 확인하여 접근허가 여부를 결정하고 그 결과를 전달하는 단계를 포함하는 상황인식 통합보안 시스템을 이용하여 사용자인증과 접근제어를 수행하는 방법.
KR1020060079730A 2006-08-23 2006-08-23 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템 KR100851502B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060079730A KR100851502B1 (ko) 2006-08-23 2006-08-23 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060079730A KR100851502B1 (ko) 2006-08-23 2006-08-23 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템

Publications (2)

Publication Number Publication Date
KR20080017911A KR20080017911A (ko) 2008-02-27
KR100851502B1 true KR100851502B1 (ko) 2008-08-08

Family

ID=39385155

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060079730A KR100851502B1 (ko) 2006-08-23 2006-08-23 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템

Country Status (1)

Country Link
KR (1) KR100851502B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101039096B1 (ko) 2009-03-11 2011-06-03 아주대학교산학협력단 웹 페이지에 의하여 관리하는 홈 센서 네트워크 시스템
KR20160118654A (ko) 2015-04-02 2016-10-12 배경우 상황기반 인증 시스템 및 그 방법
KR20230011801A (ko) 2021-07-14 2023-01-25 정연우 실시간 위치 증명 기반 블록체인 인증을 이용한 사용자 인증 시스템 및 이체 시스템

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101027667B1 (ko) * 2008-02-27 2011-04-12 성균관대학교산학협력단 상황 인식 접근 제어 관리 시스템, 그 관리 방법 및 기록 매체
KR101138999B1 (ko) * 2008-12-08 2012-04-25 한국전자통신연구원 보안신뢰장치 및 데이터 관리 방법
KR101277507B1 (ko) * 2011-02-28 2013-07-31 우원소프트 주식회사 스마트폰 환경을 위한 상황인식 기반 보안 시스템
US9607142B2 (en) 2011-09-09 2017-03-28 International Business Machines Corporation Context aware recertification
KR101425720B1 (ko) * 2012-09-26 2014-08-04 재단법인 한국데이터베이스진흥원 데이터베이스 보안 관리 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060064462A (ko) * 2004-12-08 2006-06-13 한국전자통신연구원 위치 측정 장치, 이를 이용한 위치 측정 시스템 및 그 방법
KR20060065465A (ko) * 2004-12-10 2006-06-14 한국전자통신연구원 유비쿼터스 환경에서 컨텍스트를 수집하고 관리하기 위한시스템 및 방법
KR20060066035A (ko) * 2004-12-11 2006-06-15 한국전자통신연구원 상황 인식 서비스 제공 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060064462A (ko) * 2004-12-08 2006-06-13 한국전자통신연구원 위치 측정 장치, 이를 이용한 위치 측정 시스템 및 그 방법
KR20060065465A (ko) * 2004-12-10 2006-06-14 한국전자통신연구원 유비쿼터스 환경에서 컨텍스트를 수집하고 관리하기 위한시스템 및 방법
KR20060066035A (ko) * 2004-12-11 2006-06-15 한국전자통신연구원 상황 인식 서비스 제공 시스템 및 방법

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
10-2006-0064462
10-2006-0065465
10-2006-0066035

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101039096B1 (ko) 2009-03-11 2011-06-03 아주대학교산학협력단 웹 페이지에 의하여 관리하는 홈 센서 네트워크 시스템
KR20160118654A (ko) 2015-04-02 2016-10-12 배경우 상황기반 인증 시스템 및 그 방법
KR20230011801A (ko) 2021-07-14 2023-01-25 정연우 실시간 위치 증명 기반 블록체인 인증을 이용한 사용자 인증 시스템 및 이체 시스템

Also Published As

Publication number Publication date
KR20080017911A (ko) 2008-02-27

Similar Documents

Publication Publication Date Title
KR100851502B1 (ko) 유비쿼터스 컴퓨팅 환경에 적합한 사용자인증 및접근제어를 위한 상황인식 통합보안 시스템
US7571473B1 (en) Identity management system and method
US8707388B1 (en) System, method and computer program product for an authentication management infrastructure
CN1610292B (zh) 能共同操作的凭证收集以及访问的方法和装置
CN102598577B (zh) 使用云认证进行认证的装置和系统
US20110162034A1 (en) Discovery and management of context-based entitlements across loosely-coupled environments
US20090205018A1 (en) Method and system for the specification and enforcement of arbitrary attribute-based access control policies
EP1208522A1 (en) System, method and computer program product for allowing access to enterprise resources using biometric devices
CN105659250B (zh) 世界驱动访问控制
Bacon et al. Access control and trust in the use of widely distributed services
US20040236760A1 (en) Systems and methods for extending a management console across applications
CN112287326B (zh) 安全认证的方法及装置、电子设备、存储介质
CN116415217A (zh) 基于零信任架构的即时授权系统
JP2003345505A (ja) 固有のデバイスidを有する入力操作手段を用いるコンピュータシステム
WO2001065375A1 (en) System, method and computer program product for an authentication management infrastructure
KR101027667B1 (ko) 상황 인식 접근 제어 관리 시스템, 그 관리 방법 및 기록 매체
Leyla et al. A personalized access control framework for workflow-based health care information
KR20110063025A (ko) 서비스 이용자 정보 관리 시스템, 서비스 이용자 정보 획득 및 관리 방법
CN110532792A (zh) 一种隐私信息的查看方法及系统
Pons Benchmark of Decentralised Identifier and Identity Terms for Harmonising Blockchain and Distributed Ledger Technology and Identification Standards. 15
KR20140076275A (ko) 클라우드 컴퓨팅 환경에서의 스마트 시스템 보안 방법
Pal et al. Modeling and Management of Identity
Park et al. Context-aware security management system for pervasive computing environment
Jensen et al. Policy expression and enforcement for handheld devices
Qing et al. XACML-based policy-driven access control for mobile environments

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120724

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130603

Year of fee payment: 6

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20150731

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170802

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180806

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190805

Year of fee payment: 12