KR101209812B1 - Method for access controll of client in home network system and apparatus thereof - Google Patents

Method for access controll of client in home network system and apparatus thereof Download PDF

Info

Publication number
KR101209812B1
KR101209812B1 KR1020110016086A KR20110016086A KR101209812B1 KR 101209812 B1 KR101209812 B1 KR 101209812B1 KR 1020110016086 A KR1020110016086 A KR 1020110016086A KR 20110016086 A KR20110016086 A KR 20110016086A KR 101209812 B1 KR101209812 B1 KR 101209812B1
Authority
KR
South Korea
Prior art keywords
access control
access
control policy
client
service
Prior art date
Application number
KR1020110016086A
Other languages
Korean (ko)
Other versions
KR20120096779A (en
Inventor
백두권
송빈
심형남
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020110016086A priority Critical patent/KR101209812B1/en
Publication of KR20120096779A publication Critical patent/KR20120096779A/en
Application granted granted Critical
Publication of KR101209812B1 publication Critical patent/KR101209812B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

홈 네트워크 상에서 클라이언트의 접근 제어 시, 홈 게이트웨이가 사전에 발급된 접근 권한 인증서를 소유한 클라이언트로부터 홈 디바이스에 대한 서비스 요청을 수신하고, 홈 게이트웨이가 서비스 요청에 포함된 홈 디바이스 및 서비스의 종류 정보를 확인하고, 종류 정보에 매칭되는 접근 제어 정책의 종류를 판단하고, 홈 게이트웨이가 접근 제어 정책의 종류에 따른 접근 제어 처리를 수행하되, 접근 제어 처리 시, 접근 제어 정책의 종류가 제 1 접근 제어 정책이면 서비스 요청을 홈 디바이스가 처리하도록 전달하고, 접근 제어 정책의 종류가 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책이면 서비스 요청을 직접 처리한다.When controlling access of a client on a home network, the home gateway receives a service request for the home device from a client with a previously issued access authority certificate, and the home gateway receives the home device and service type information included in the service request. Check and determine the type of access control policy matching the type information, and the home gateway performs an access control process according to the type of the access control policy, and in the access control process, the type of the access control policy is the first access control policy. In this case, the service request is transmitted to the home device, and if the type of the access control policy is a second access control policy having a lower security level than the first access control policy, the service request is directly processed.

Description

홈 네트워크 시스템에서의 클라이언트 접근 제어 방법 및 이를 위한 장치{METHOD FOR ACCESS CONTROLL OF CLIENT IN HOME NETWORK SYSTEM AND APPARATUS THEREOF}Method for controlling client access in home network system and apparatus therefor {METHOD FOR ACCESS CONTROLL OF CLIENT IN HOME NETWORK SYSTEM AND APPARATUS THEREOF}

본 발명은 홈 네트워크 시스템(Home Network System) 상에서 클라이언트(client)의 홈 디바이스(Home Device)로의 접근을 제어하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for controlling access of a client to a home device on a home network system.

홈 네크워크 기술은 댁내/외에서 댁내 홈 디바이스(가정기기, 냉난방시설, 가스 시설 등)에 접근하여 홈 디바이스가 제공하는 서비스를 간단하고 편리하게 사용 및 관리하기 위한 것이다.Home network technology is to access home devices (home appliances, heating and cooling facilities, gas facilities, etc.) at home and abroad to use and manage services provided by the home devices simply and conveniently.

이를 위하여, 홈 네트워크 시스템 상에는 내부(즉, 댁내)의 홈 디바이스와 외부(또는 내부)의 클라이언트를 연결해주는 역할을 하는 홈 게이트웨이(Home Gateway)가 구성된다. 홈 게이트웨이는 홈 네트워크 시스템에 접속하는 디바이스를 발견한 후 해당 디바이스와의 통신을 위한 주소를 생성하여 부여하고 홈 디바이스로서 홈 네트워크 시스템 상에 등록한다. 이때, 홈 게이트웨이는 등록한 홈 디바이스의 기능, 서비스, 성능 등을 저장함으로써 해당 홈 디바이스를 등록한다.To this end, a home gateway is configured on the home network system to connect an internal (ie, home) home device and an external (or internal) client. The home gateway discovers a device connecting to the home network system, generates and assigns an address for communication with the device, and registers it on the home network system as a home device. At this time, the home gateway registers the home device by storing the function, service, and performance of the registered home device.

종래의 홈 네트워크 시스템에서는 클라이언트가 요청한 서비스를 제공하기 위해, 홈 게이트웨이가 직접 클라이언트의 접근 권한을 판단하고 해당 서비스 요청의 내용을 확인하여 서비스 처리를 하는 접근 제어 처리를 수행하는 방식을 사용하였다. 또한, 홈 게이트웨이는 홈 디바이스와 클라이언트 간에 단순히 정보 전달을 처리하고, 홈 디바이스에서 클라이언트의 접근 권한 판단 및 서비스 요청 처리 등의 모든 접근 제어 처리를 수행하는 방식도 사용되고 있다.In the conventional home network system, in order to provide a service requested by a client, the home gateway directly determines an access right of the client, checks the contents of the corresponding service request, and uses an access control process for processing a service. In addition, the home gateway simply handles the transfer of information between the home device and the client, and a method of performing all access control processes such as determining the access right of the client and processing a service request from the home device is also used.

그런데, 종래의 접근 제어 방법에서와 같이 홈 네트워크 시스템 상에서 홈 게이트웨이가 클라이언트가 요청하는 서비스에 대해 모든 접근 제어 처리를 수행하는 경우 홈 게이트웨이의 보안 능력에 따라 접근 제어 시 문제점이 발생할 수 있다. 즉, 홈 게이트웨이와 홈 디바이스 간에 보안이 취약할 경우, 공격자의 홈 게이트웨이 장악 시 위조된 접근 권한 및 서비스 요청으로 홈 네트워크 시스템이 운영될 수 있다는 문제점이 있다. 따라서, 외부의 접근 시 각 홈 디바이스 상에 존재하는 높은 보안 등급을 요구하는 개인 정보 및 서비스 등을 안전하게 보호하기 위해 홈 게이트웨이 상에 강력한 보안 처리 방법이 구현되어야 한다.However, as in the conventional access control method, when the home gateway performs all access control processing for the service requested by the client on the home network system, problems may occur in access control according to the security capability of the home gateway. That is, if the security is weak between the home gateway and the home device, there is a problem that the home network system can be operated by a forged access right and a service request when the attacker takes control of the home gateway. Therefore, a strong security processing method should be implemented on the home gateway to secure personal information and services that require a high security level present on each home device when accessed from the outside.

또한, 종래의 접근 제어 방법에서와 같이 홈 네트워크 시스템 상에서 홈 디바이스가 클라이언트가 요청하는 서비스에 대해 모든 접근 제어 처리를 수행하는 경우 홈 디바이스의 성능에 따라 서비스 처리의 속도가 느려질 수 있고 이로 인한 서비스 오류가 발생할 수 있다. 따라서, 홈 디바이스의 성능 즉, 프로세싱 능력을 홈 게이트웨이 수준에 부합되도록 향상시켜야 한다.In addition, when a home device performs all access control processing for a service requested by a client on a home network system, as in the conventional access control method, service processing may be slowed down depending on the performance of the home device, resulting in a service error. May occur. Therefore, the performance of the home device, that is, the processing power, must be improved to match the home gateway level.

그러나, 이처럼 홈 게이트웨이 상에 강력한 보안을 구현하거나 모든 홈 디바이스의 프로세싱 능력을 향상시키는 것은 실제적으로 높은 비용이 요구되거나 비효율적인 접근 제어 처리를 수행할 수 있다는 문제점이 존재한다.However, there is a problem that implementing such a strong security on the home gateway or improving the processing power of all home devices may require high cost or inefficient access control processing.

본 발명은 상술한 문제점을 해결하기 위한 것으로서, 홈 네트워크 환경에서 클라이언트의 홈 디바이스 서비스 접근 시 보안 등급 별로 차별된 접근 제어 처리를 수행하는 접근 제어 방법 및 이를 위한 장치를 제공하고자 한다.SUMMARY OF THE INVENTION The present invention has been made in view of the above-described problem, and an object of the present invention is to provide an access control method and apparatus for performing differentiated access control processing for each security level when a client accesses a home device service in a home network environment.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 측면에 따른 홈 네트워크 시스템 상에서 클라이언트의 접근을 제어하는 방법은, 홈 게이트웨이가 사전에 발급된 접근 권한 인증서를 소유한 클라이언트로부터 홈 디바이스에 대한 서비스 요청을 수신하는 단계; 상기 홈 게이트웨이가 상기 서비스 요청에 포함된 홈 디바이스 및 서비스의 종류 정보를 확인하고, 상기 종류 정보에 매칭되는 접근 제어 정책의 종류를 판단하는 단계; 및 상기 홈 게이트웨이가 상기 접근 제어 정책의 종류에 따른 접근 제어 처리를 수행하는 단계를 포함하되, 상기 접근 제어 처리 시, 상기 접근 제어 정책의 종류가 제 1 접근 제어 정책이면 상기 서비스 요청을 상기 홈 디바이스가 처리하도록 전달하고, 상기 접근 제어 정책의 종류가 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책이면 상기 서비스 요청을 직접 처리한다.As a technical means for achieving the above-described technical problem, the method for controlling the access of the client on the home network system according to an aspect of the present invention, the home gateway from the client possessing a previously issued access authority certificate to the home device Receiving a service request for the service; Checking, by the home gateway, type information of a home device and a service included in the service request, and determining a type of an access control policy matching the type information; And performing, by the home gateway, an access control process according to the type of the access control policy. If the type of the access control policy is a first access control policy, the service request is sent to the home device. And the service request is directly processed if the type of the access control policy is a second access control policy having a lower security level than the first access control policy.

그리고, 본 발명의 다른 측면에 따른 홈 네트워크 시스템 상에서 클라이언트에 접근 권한을 인가하는 방법은, 홈 디바이스가 직접 또는 홈 게이트웨이를 통해 상기 클라이언트의 접근 요청을 수신하는 단계; 상기 홈 디바이스가 기설정된 보안 자격 기준에 따라 상기 클라이언트의 보안 자격이 만족되는 접근 제어 정책을 판단하는 단계; 및 상기 홈 디바이스가 상기 클라이언트의 보안 자격이 만족되는 접근 제어 정책의 종류에 따른 접근 권한 인증서를 상기 클라이언트로 발행하는 단계를 포함하되, 상기 접근 권한 인증서 발행 시, 상기 클라이언트의 보안 자격이 기설정된 제 1 접근 제어 정책에 만족되는 경우 상기 홈 디바이스가 상기 제 1 접근 제어 정책에 따른 접근 권한을 인가하는 제 1 접근 권한 인증서를 상기 클라이언트로 발행하고, 상기 클라이언트의 보안 자격이 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책에 만족되는 경우 상기 홈 디바이스가 상기 홈 게이트웨이로 상기 클라이언트에 상기 제 2 접근 제어 정책에 따른 접근 권한을 인가하는 제 2 접근 권한 인증서를 발행하도록 위임한다.In addition, a method for authorizing an access right to a client on a home network system according to another aspect of the present invention may include: receiving, by a home device, an access request of the client directly or through a home gateway; Determining, by the home device, an access control policy that satisfies a security credential of the client according to a preset security credential; And issuing, by the home device, an access right certificate according to a type of an access control policy in which the security right of the client is satisfied, to the client, wherein the security right of the client is preset when the access right certificate is issued. If the first access control policy is satisfied, the home device issues a first access right certificate to the client authorizing the access right according to the first access control policy, and the security entitlement of the client is greater than that of the first access control policy. If the second access control policy of the low security level is satisfied, the home device delegates to the home gateway to issue a second access right certificate for authorizing the client to access according to the second access control policy.

또한, 본 발명의 또 다른 측면에 따른 홈 네트워크 상에서 클라이언트의 접근을 제어하는 장치는, 다수의 홈 디바이스로부터 각 홈 디바이스가 제공하는 서비스 별 접근 제어 정책의 종류를 수신하여 저장하는 접근 제어 정책 관리부; 홈 디바이스가 제공하는 서비스를 요청하는 클라이언트로부터 접근 권한 인증서 및 서비스 요청을 수신하는 서비스 요청 수신부; 상기 서비스 요청에 포함된 요청 서비스의 정보 및 상기 저장된 홈 디바이스의 서비스 별 접근 제어 정책의 종류에 기초하여 상기 요청 서비스에 대응하는 접근 제어 정책의 종류를 판단하는 서비스 요청 확인부; 및 상기 판단한 접근 제어 정책의 종류가 상기 접근 제어 정책 중 제 1 접근 제어 정책에 해당하는 경우 상기 클라이언트의 접근 권한 인증서 및 서비스 요청을 상기 홈 디바이스로 전달하고, 상기 판단한 접근 제어 정책의 종류가 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책에 해당하는 경우 상기 클라이언트의 접근 권한 인증서 및 서비스 요청을 홈 게이트웨이가 처리하도록 하는 접근 제어 처리부를 포함하되, 상기 클라이언트의 접근 권한 인증서는 상기 클라이언트의 보안 자격에 기초하여 상기 홈 디바이스로부터 사전에 발급된다.In addition, an apparatus for controlling access of a client on a home network according to another aspect of the present invention, the access control policy management unit for receiving and storing the type of access control policy for each service provided by each home device from a plurality of home devices; A service request receiving unit receiving an access authority certificate and a service request from a client requesting a service provided by the home device; A service request confirmation unit determining a type of an access control policy corresponding to the requested service based on the information of the requested service included in the service request and the type of the access control policy for each service of the stored home device; And when the determined type of the access control policy corresponds to the first access control policy of the access control policy, transmits the access right certificate and the service request of the client to the home device, and the type of the determined access control policy is the first access control policy. And an access control processing unit for causing the home gateway to process an access right certificate and a service request of the client when the second access control policy is of a lower security level than the first access control policy, wherein the access right certificate of the client is the client. It is issued in advance from the home device based on the security qualification of the.

또한, 본 발명의 또 다른 측면에 따른 홈 네트워크 상에서 클라이언트의 접근을 제어하는 장치는, 홈 디바이스가 제공하는 서비스에 대해 기설정된 보안 등급에 따라 제 1 접근 제어 정책 및 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책 중 어느 하나의 접근 제어 정책을 설정하고, 상기 서비스의 종류 별로 상기 설정된 접근 제어 정책을 매칭하여 저장 및 홈 게이트웨이로 전송하는 접근 제어 정책 설정부; 상기 홈 디바이스에 직접 또는 상기 홈 게이트웨이를 통해 접근 요청하는 클라이언트에 대해 기설정된 보안 자격 기준에 따라 적합한 접근 제어 정책을 설정하고, 상기 설정된 접근 제어 정책에 따른 접근 권한 인증서를 상기 홈 디바이스가 상기 클라이언트로 직접 발행 또는 상기 홈 게이트웨이를 통해 위임 발행하도록 하는 접근 권한 인증서 발행부; 및 상기 홈 게이트웨이를 통해 또는 상기 홈 디바이스에 직접 수신되는 상기 클라이언트의 서비스 요청 및 접근 권한 인증서에 기초하여 상기 클라이언트가 요청하는 서비스의 종류에 따른 접근 제어 정책의 확인 및 상기 확인된 접근 제어 정책의 종류에 따른 접근 제어 처리를 수행하는 접근 제어 처리부를 포함하되, 상기 접근 제어 처리부는, 상기 클라이언트가 요청한 서비스의 종류가 상기 제 1 접근 제어 정책에 대응하는 경우 상기 홈 디바이스가 상기 클라이언트에 대한 서비스 처리를 직접 수행하도록 하고, 상기 요청한 서비스의 종류가 상기 제 2 접근 제어 정책에 대응하는 경우 상기 홈 디바이스가 상기 홈 게이트웨이로부터 상기 클라이언트에 대한 서비스 처리를 위한 서비스 제어 메시지를 수신하여 처리하도록 한다.In addition, the apparatus for controlling the access of the client on the home network according to another aspect of the present invention, lower than the first access control policy and the first access control policy according to a predetermined security level for the service provided by the home device An access control policy setting unit configured to set an access control policy of any one of a second access control policy having a security level, match the set access control policy according to the type of the service, and transmit the matched access control policy to a storage and home gateway; Set an access control policy suitable for a client requesting access to the home device directly or through the home gateway according to a predetermined security credential, and the home device sends the access right certificate according to the set access control policy to the client. An access authority certificate issuer for directly issuing or delegating issuance through the home gateway; And checking the access control policy according to the type of service requested by the client and the type of the checked access control policy based on the service request and access authority certificate of the client received through the home gateway or directly to the home device. And an access control processing unit configured to perform an access control process according to claim 1, wherein the access control processing unit performs service processing for the client when the type of service requested by the client corresponds to the first access control policy. If the type of the requested service corresponds to the second access control policy, the home device receives and processes a service control message for service processing from the home gateway to the client.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 클라이언트의 보안 자격 및 요청 서비스의 보안 등급이 개인 정보 정책에 해당하면 홈 디바이스가 클라이언트에 대한 접근 제어 및 서비스 처리를 수행하고, 클라이언트의 보안 자격 및 요청 서비스의 보안 등급이 일반 정보 정책에 해당하면 홈 게이트웨이에서 클라이언트에 대한 접근 제어 및 서비스 처리를 수행할 수 있다. 따라서, 개인 정보 정책에 따른 보안 등급의 서비스는 홈 디바이스가 직접 처리함으로써 강력한 보안을 제공할 수 있으며, 일반 정보 정책에 따른 보안 등급의 서비스는 홈 게이트웨이가 처리함으로써 신속하고 효율적으로 서비스 처리를 수행할 수 있는 효과가 있다. According to any one of the problem solving means of the present invention described above, if the security level of the client and the security level of the requested service corresponds to the privacy policy, the home device performs access control and service processing for the client, the security level of the client And if the security level of the requested service corresponds to a general information policy, the home gateway may perform access control and service processing for the client. Therefore, the security level service according to the privacy policy can provide strong security by directly processing by the home device, and the security level service according to the general information policy can be quickly and efficiently performed by the home gateway. It can be effective.

도 1은 본 발명의 일실시예에 따른 홈 네트워크 시스템의 구성도이다.
도 2는 본 발명의 일실시예에 따른 홈 디바이스의 접근 제어 장치의 구성을 나타내는 블록도이다.
도 3은 본 발명의 일실시예에 따른 홈 게이트웨이의 접근 제어 장치의 구성을 나타내는 블록도이다.
도 4는 본 발명의 일실시예에 따른 접근 권한 인증서 발행 방법을 설명하기 위한 순서도다.
도 5는 본 발명의 일실시예에 따른 접근 제어 방법을 설명하기 위한 순서도이다. 1 is a block diagram of a home network system according to an embodiment of the present invention.
2 is a block diagram illustrating a configuration of an apparatus for controlling access of a home device according to an embodiment of the present invention.
3 is a block diagram illustrating a configuration of an access control apparatus of a home gateway according to an embodiment of the present invention.
4 is a flowchart illustrating a method for issuing an access right certificate according to an embodiment of the present invention.
5 is a flowchart illustrating an access control method according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between . Also, when an element is referred to as "comprising ", it means that it can include other elements as well, without departing from the other elements unless specifically stated otherwise.

도 1은 본 발명의 일실시예에 따른 홈 네트워크 시스템의 구성도이다.1 is a block diagram of a home network system according to an embodiment of the present invention.

그리고, 도 2는 본 발명의 일실시예에 따른 홈 디바이스의 접근 제어 장치의 구성을 나타내는 블록도이고, 도 3은 본 발명의 일실시예에 따른 홈 게이트웨이의 접근 제어 장치의 구성을 나타내는 블록도이다.2 is a block diagram showing a configuration of an access control apparatus for a home device according to an embodiment of the present invention, and FIG. 3 is a block diagram showing a configuration of an access control apparatus for a home gateway according to an embodiment of the present invention. to be.

도 1에서 도시된 바와 같이, 홈 네트워크 시스템(100)은 다수의 홈 디바이스(110), 홈 게이트웨이(120) 및 클라이언트(130)를 포함하여 구성된다.As shown in FIG. 1, the home network system 100 includes a plurality of home devices 110, a home gateway 120, and a client 130.

홈 디바이스(110)는 홈 게이트웨이(120) 또는 다른 홈 디바이스(110)와 통신하고, 댁내/외로부터 수신되는 디바이스 기능을 제어하기 위한 제어 메시지에 따라 서비스를 제공하는 기기로서, 가정기기, 냉/난방시스템 및 PC 등의 인텔리전트 디바이스를 의미한다. The home device 110 is a device that communicates with the home gateway 120 or another home device 110 and provides a service according to a control message for controlling device functions received from inside / outside. Means intelligent devices such as heating systems and PCs.

홈 게이트웨이(120)는 다수의 홈 디바이스(110)가 연결되고 각 홈 디바이스(110)와 통신하여 홈 네트워크 서비스를 제공하도록 관리한다. The home gateway 120 manages a plurality of home devices 110 to be connected and communicate with each home device 110 to provide a home network service.

클라이언트(130)는 홈 디바이스(110) 또는 홈 게이트웨이(120)에 접속하여 홈 디바이스(110)가 제공하는 서비스 중 어느 하나에 대한 서비스 요청을 한다. 예를 들어, 클라이언트(130)는 홈 네트워크 시스템(100)에서 모든 서비스에 접근할 수 있는 접근 권한을 갖는 관리자 등급과 상기 관리자 등급에 비해 상대적으로 서비스 접근 권한이 낮은 일반 사용자 등급 등 보안 자격에 따라 복수의 보안 등급으로 분류될 수 있다.The client 130 accesses the home device 110 or the home gateway 120 to make a service request for any one of the services provided by the home device 110. For example, the client 130 may be based on security credentials such as an administrator level having access to access all services in the home network system 100 and a general user level having lower service access rights than the administrator level. It may be classified into a plurality of security levels.

이러한, 클라이언트(130)는 다수의 홈 디바이스(110) 중 어느 하나에 접근하여 홈 디바이스(110)가 제공하는 서비스를 이용하고자 요청하는 사용자를 의미한다. 실제적으로, 본 발명의 일실시예에서는 클라이언트(130)가 상기 사용자의 제어에 따라 데이터를 발생시키는 사용자 단말기이거나, 홈 디바이스(110) 또는 홈 게이트웨이(120)가 제공하는 유저 인터페이스(user interface)를 통해 데이터를 입력하는 상기 사용자 자체를 의미할 수 있다.The client 130 refers to a user requesting to use any service provided by the home device 110 by accessing any one of the plurality of home devices 110. In practice, in one embodiment of the present invention, the client 130 is a user terminal generating data under the control of the user, or a user interface provided by the home device 110 or the home gateway 120. The user may input the data through the user itself.

한편, 본 발명의 일실시예에 따른 홈 디바이스(110) 및 홈 게이트웨이(120)는 각각 클라이언트(130)의 접근을 제어하는 접근 제어 장치(200, 300)을 포함한다. 도 1에서는 본 발명의 일실시예에 따른 접근 제어 장치(200, 300)가 홈 디바이스(110) 및 홈 게이트웨이(120)에 포함되는 구성인 것을 나타내었으나, 두 접근 제어 장치(200, 300)는 하나의 장치로서 홈 네트워크 시스템(100) 상에 독립적으로 구성될 수도 있다.On the other hand, the home device 110 and the home gateway 120 according to an embodiment of the present invention includes an access control device (200, 300) for controlling the access of the client 130, respectively. In FIG. 1, although the access control apparatuses 200 and 300 according to an embodiment of the present invention are shown to be included in the home device 110 and the home gateway 120, the two access control apparatuses 200 and 300 may be described. It may be configured independently on the home network system 100 as one device.

본 발명의 일실시예에 따른 홈 네트워크 시스템(100)에서 홈 디바이스(110) 및 홈 게이트웨이(120)는 홈 디바이스(110) 별로 제공하는 서비스에 대해 기설정된 보안 중요도에 따라 ‘개인 정보 정책’ 및 개인 정보 정책보다 낮은 보안 등급의 ‘일반 정보 정책’으로 구분되는 접근 제어 정책을 적용한다.In the home network system 100 according to an embodiment of the present invention, the home device 110 and the home gateway 120 may have a 'privacy policy' according to a preset security importance for a service provided for each home device 110. Apply an access control policy that is classified as a general information policy with a lower security level than a privacy policy.

이때, 클라이언트(130)가 홈 디바이스(110)로의 접근을 요청하는 경우, 홈 디바이스(110)의 접근 제어 장치(200)는 클라이언트(130)의 보안 자격을 확인하여 해당하는 접근 제어 정책을 설정한 후 설정된 접근 제어 정책에 따른 접근 권한 인증서를 발행한다. 그리고, 홈 디바이스(110)의 접근 제어 장치(200)는 클라이언트(130)가 요청한 서비스의 정보 및 접근 권한 인증서에 기초하여 적용되는 접근 제어 정책이 종류에 따른 접근 제어 처리 및 서비스 처리를 수행한다.In this case, when the client 130 requests access to the home device 110, the access control apparatus 200 of the home device 110 checks the security credentials of the client 130 and sets a corresponding access control policy. After that, the certificate of access authority is issued according to the access control policy. In addition, the access control apparatus 200 of the home device 110 performs an access control process and a service process according to the type of access control policy applied based on the information of the service requested by the client 130 and the access authority certificate.

구체적으로, 도 2에서 나타낸 바와 같이, 본 발명의 일실시예에 따른 홈 디바이스(110)는 접근 제어 정책 설정부(210), 접근 권한 인증서 발행부(220), 및 접근 제어 처리부(230)를 포함하는 접근 제어 장치(200)를 포함하여 구성된다.Specifically, as shown in FIG. 2, the home device 110 according to an embodiment of the present invention may include an access control policy setting unit 210, an access authority certificate issuing unit 220, and an access control processing unit 230. It is configured to include an access control device 200 that includes.

접근 제어 정책 설정부(210)는 홈 디바이스(110)가 제공하는 적어도 하나의 서비스들에 대해 개인 정보 정책 및 일반 정보 정책 중 어느 하나의 접근 제어 정책을 설정하고, 설정된 접근 제어 정책을 서비스 종류에 매칭하여 저장한다. 그리고, 접근 제어 정책 설정부(210)는 저장된 서비스 종류 별 접근 제어 정책의 종류를 홈 게이트웨이(120)로 전송하여 저장되도록 한다.The access control policy setting unit 210 sets an access control policy of any one of a personal information policy and a general information policy for at least one service provided by the home device 110, and sets the set access control policy to the service type. Match and save. The access control policy setting unit 210 transmits the type of the stored access control policy to the home gateway 120 to be stored.

이때, 본 발명의 일실시예에 따른 접근 제어 정책 설정부(210)는 사전에 홈 디바이스(110)에 접속한 홈 네트워크 시스템 관리자로부터 서비스 별 접근 제어 정책의 종류 및 권한 범위를 입력 받아 서비스 종류 별 접근 제어 정책을 설정할 수 있다.At this time, the access control policy setting unit 210 according to an embodiment of the present invention receives the type of access control policy for each service from the home network system administrator connected to the home device 110 in advance and the range of authority for each service type. You can set an access control policy.

이를 위하여, 본 발명의 일실시예에 따른 접근 제어 정책 설정부(210)는 홈 네트워크 시스템의 관리자(또는 권한자)가 기설정된 서비스 별 접근 제어 정책을 변경 또는 삭제할 수 있도록 하는 접근 권한 설정 관리용 인터페이스를 홈 디바이스(110)를 통해 제공할 수 있다. 또한, 접근 제어 정책 설정부(210)는 상기 관리자가 설정한 홈 디바이스(110)의 서비스 별 접근 제어 정책 정보를 홈 네트워크 시스템(100) 내 등록된 모든 홈 디바이스(110) 및 홈 게이트웨이(120)로 전달하여 저장되도록 함으로써, 클라이언트(130)가 어떠한 홈 디바이스 및 홈 게이트웨이를 통해 접근하더라도 홈 디바이스 별 서비스의 접근 제어 정책을 확인할 수 있도록 한다.To this end, the access control policy setting unit 210 according to an embodiment of the present invention for the access rights setting management to enable the administrator (or authority) of the home network system to change or delete the preset access control policy for each service. The interface may be provided through the home device 110. In addition, the access control policy setting unit 210 stores the access control policy information for each service of the home device 110 set by the administrator in all the home devices 110 and the home gateway 120 registered in the home network system 100. By transmitting to and stored in, the client 130 can check the access control policy of the service for each home device no matter what home device and home gateway access.

접근 권한 인증서 발행부(220)는 홈 디바이스(110)에 직접 접속하거나 또는 홈 게이트웨이(120)를 통해 접속한 클라이언트(130)로부터 접근 요청을 수신하고, 기설정된 보안 자격 기준에 따라 클라이언트(130)의 보안 자격에 적합한 접근 제어 정책을 판단하여 설정한다.The access authority certificate issuer 220 directly accesses the home device 110 or receives an access request from the client 130 connected through the home gateway 120, and the client 130 according to a predetermined security credential. Determine and set the access control policy suitable for the security qualification.

이때, 접근 권한 인증서 발행부(220)는 클라이언트(130)의 보안 자격이 개인 정보 정책에 만족되는 경우, 개인 정보 정책에 따른 접근 권한을 인가하는 개인 정보 인증서를 생성하여 클라이언트(130)로 발행한다. 그리고, 접근 권한 인증서 발행부(220)는 클라이언트(130)의 보안 자격이 일반 정보 정책에 만족되는 경우, 일반 정보 정책에 따른 접근 권한을 인가하는 일반 정보 인증서를 홈 게이트웨이(120)가 발행할 수 있도록 위임하는 권한 위임 인증서를 생성하여 홈 게이트웨이(120)로 발행한다.In this case, when the security entitlement of the client 130 satisfies the personal information policy, the access right certificate issuing unit 220 generates a personal information certificate authorizing the access right according to the personal information policy and issues it to the client 130. . In addition, when the security entitlement of the client 130 satisfies the general information policy, the access right certificate issuing unit 220 may issue the general information certificate for authorizing the access right according to the general information policy. The authority delegation certificate is delegated so as to be issued to the home gateway 120.

참고로, 접근 권한 인증서 발행부(220)는 생성한 접근 권한 인증서를 홈 디바이스(110)의 인증 정보(예를 들어, 비밀키)로 서명하여 클라이언트(130) 측으로 전송할 수 있다. 이때, 홈 게이트웨이(120) 및 클라이언트(130)는 사전에 상기 서명에 사용되는 인증 정보에 대응하는 홈 디바이스(110)의 인증 정보를 기수신하여 저장해둔 상태이다.For reference, the access right certificate issuing unit 220 may sign the generated access right certificate with the authentication information (eg, the secret key) of the home device 110 and transmit it to the client 130. At this time, the home gateway 120 and the client 130 have received and stored authentication information of the home device 110 corresponding to the authentication information used for the signature in advance.

본 발명의 일실시예에 따른 접근 권한 인증서 발행부(220)는 SPKI(Simple Public Key Infrastructure) 형식의 접근 권한 인증서를 생성하여 클라이언트(130)측으로 발행할 수 있다. 참고로, SPKI 인증서는 인증서 발행자의 인증 정보(예를 들어, 서명자의 공개키 또는 키의 해쉬 값 등), 발급 대상자의 인증 정보(예를 들어, 공개키 또는 키의 해쉬 값 등), 권한 위임 정보(예를 들어, 위임할 수 있는 권리의 유무에 따라 기설정된 식별 값 등), 접근 권한 정보(즉, 허가된 접근 제어 정책의 식별 정보) 및 유효 기간 정보를 구성요소로써 포함한다.The access right certificate issuer 220 according to an embodiment of the present invention may generate an access right certificate in the form of a Simple Public Key Infrastructure (SPKI) and issue it to the client 130. For reference, the SPKI certificate may contain the certificate issuer's certificate information (e.g., the signer's public key or hash value of the key), the issuer's certificate information (e.g., public key or key's hash value), and delegation of authority. Information includes, for example, an identification value preset according to whether there is a right to be delegated, an access value information (that is, identification information of an authorized access control policy), and a validity period information.

예를 들어, 접근 권한 인증서 발행부(220)가 발행하는 개인 정보 인증서는, 홈 디바이스(110)의 인증 정보(예를 들어, 홈 디바이스의 기설정된 공개키), 클라이언트(130)의 인증 정보(예를 들어, 클라이언트로부터 기수신된 공개키), 권한 위임 불가 정보, 개인 정보 정책 식별 정보, 및 유효 기간 값을 포함하도록 구성될 수 있다.For example, the personal information certificate issued by the access right certificate issuing unit 220 may include authentication information of the home device 110 (eg, a predetermined public key of the home device) and authentication information of the client 130 ( For example, it may be configured to include a public key received from the client), non-delegated information, privacy policy identification information, and a validity period value.

그리고, 접근 권한 인증서 발행부(220)가 발행하는 권한 위임 인증서는, 홈 디바이스(110)의 인증 정보(예를 들어, 홈 디바이스의 기설정된 공개키), 홈 게이트웨이(120)의 인증 정보(예를 들어, 홈 게이트웨이로부터 기수신된 공개키), 권한 위임 허가 정보, 일반 정보 정책 식별 정보, 및 유효 기간 값을 포함하도록 구성될 수 있다. The authority delegation certificate issued by the access right certificate issuing unit 220 may include authentication information (eg, a predetermined public key of the home device) of the home device 110 and authentication information (eg, the home gateway 120). For example, it may be configured to include a public key received from the home gateway), authority delegation permission information, general information policy identification information, and a validity period value.

참고로, 상기 권한 위임 인증서를 수신한 홈 게이트웨이(120)는 권한 위임 인증서와 클라이언트(130)의 인증 정보를 이용하여, 권한 위임 인증서를 통해 위임 받은 접근 권한의 일부 또는 전체를 인가하는 접근 권한 인증서(즉, 일반 정보 인증서)를 생성하여 클라이언트(130)에 발행한다.For reference, the home gateway 120 that has received the authority delegation certificate uses an authority delegation certificate and authentication information of the client 130, and an access authority certificate authorizing a part or all of the access authority delegated through the authority delegation certificate. (Ie, a general information certificate) is generated and issued to the client 130.

접근 제어 처리부(230)는 홈 디바이스(110)에 직접 또는 홈 게이트웨이(120)를 통해 수신되는 클라이언트(130)의 서비스 요청 및 접근 권한 인증서를 수신한다. 참고로, 서비스 요청에는 클라이언트(130)가 서비스를 제공 받고자 하는 홈 디바이스의 정보 및 요청 서비스 종류 정보가 포함되어 있다.The access control processor 230 receives a service request and an access authority certificate of the client 130 received directly from the home device 110 or through the home gateway 120. For reference, the service request includes information of the home device and the requested service type information of the client 130 to receive the service.

이때, 접근 제어 처리부(230)는 클라이언트(130)의 서비스 요청에 포함된 요청 서비스의 종류에 따른 접근 제어 정책이 개인 정보 정책인 경우, 홈 게이트웨이(120)를 통해 서비스 요청 및 접근 권한 인증서를 전달받게 된다. 그러면, 접근 제어 처리부(230)는 클라이언트(130)가 요청한 서비스의 종류가 개인 정보 정책에 대응하는 경우 클라이언트(130)에 대한 서비스 처리를 직접 수행한다.In this case, the access control processor 230 transmits the service request and the access right certificate through the home gateway 120 when the access control policy according to the type of the requested service included in the service request of the client 130 is a personal information policy. Will receive. Then, the access control processor 230 directly performs service processing for the client 130 when the type of service requested by the client 130 corresponds to the privacy policy.

구체적으로, 접근 제어 처리부(230)는 접근 제어 정책 설정부(210)에 의해 기저장된 서비스 종류 별 접근 제어 정책의 종류를 참조하여, 클라이언트(130)가 요청하는 서비스의 종류에 대응하는 접근 제어 정책의 종류를 확인한다. 그런 후, 접근 제어 처리부(230)는 클라이언트(130)의 접근 권한 인증서를 통해 클라이언트(130)에게 허가된 접근 권한을 확인하고, 상기 확인된 접근 권한에 따른 보안 등급이 상기 확인된 접근 제어 정책의 종류에 따른 보안 등급에 포함되는지 여부를 판단한다. 이때, 상기 확인된 접근 권한이 상기 확인된 접근 제어 정책의 종류에 따른 보안 등급에 포함되는 경우 상기 서비스 요청에 기초하여 서비스를 처리하고, 상기 보안 등급에 포함되지 않는 경우 상기 서비스 요청을 불가 처리한다. 즉, 접근 제어 처리부(230)는 클라이언트(130)에 기부여된 접근 권한이 클라이언트(130)가 요청한 서비스에 대해 기설정된 접근 제어 정책에 충분하지 않은 경우 클라이언트(130)의 접근을 제한한다. In detail, the access control processor 230 refers to the type of the access control policy for each service type pre-stored by the access control policy setting unit 210, and corresponds to the type of service requested by the client 130. Check the type. Then, the access control processor 230 confirms the access authority granted to the client 130 through the access authority certificate of the client 130, and the security level according to the confirmed access authority is determined by the access control policy. It is determined whether it is included in the security level according to the type. In this case, when the identified access right is included in the security level according to the type of the identified access control policy, the service is processed based on the service request, and when the service access is not included in the security level, the service request is not processed. . That is, the access control processor 230 restricts the access of the client 130 when the access right donated to the client 130 is not sufficient for the preset access control policy for the service requested by the client 130.

또한, 접근 제어 처리부(230)는 클라이언트(130)의 서비스 요청에 포함된 요청 서비스의 종류에 따른 접근 제어 정책이 일반 정보 정책인 경우, 홈 게이트웨이(120)가 서비스 요청에 따라 생성한 서비스 제어 메시지를 수신하게 된다. 이때, 접근 제어 처리부(230)는 홈 게이트웨이(120)로부터 수신된 서비스 제어 메시지에 기초하여 서비스 처리를 수행하고, 서비스 처리 결과를 홈 게이트웨이(120)를 통해 클라이언트(130)로 전송한다. In addition, when the access control policy according to the type of request service included in the service request of the client 130 is a general information policy, the access control processor 230 generates a service control message generated by the home gateway 120 according to the service request. Will be received. At this time, the access control processor 230 performs service processing based on the service control message received from the home gateway 120, and transmits the service processing result to the client 130 through the home gateway 120.

다시 도 1로 돌아가서, 클라이언트(130)가 홈 게이트웨이(120)를 통해 홈 디바이스(110)로의 서비스 요청을 하는 경우, 홈 게이트웨이(120)의 접근 제어 장치(300)는 클라이언트(130)가 요청한 서비스의 정보 및 접근 권한 인증서에 기초하여 적용되는 접근 제어 정책이 종류에 따른 접근 제어 처리 및 서비스 처리를 수행한다.Referring back to FIG. 1, when the client 130 requests a service to the home device 110 through the home gateway 120, the access control device 300 of the home gateway 120 requests the service requested by the client 130. The access control policy applied based on the information and the access authority certificate of the server performs access control processing and service processing according to the type.

구체적으로, 도 3에서 나타낸 바와 같이, 본 발명의 일실시예에 따른 홈 게이트웨이(120)는 접근 제어 정책 관리부(310), 접근 권한 인증서 발행부(320), 서비스 요청 수신부(330), 서비스 요청 확인부(340), 접근 제어 처리부(350)를 포함하는 접근 제어 장치(300)를 포함하여 구성된다.Specifically, as shown in Figure 3, the home gateway 120 according to an embodiment of the present invention is the access control policy management unit 310, access authority certificate issuing unit 320, service request receiving unit 330, service request It is configured to include an access control device 300 including a confirmation unit 340, an access control processing unit 350.

접근 제어 정책 관리부(310)는 다수의 홈 디바이스(110)로부터 각 홈 디바이스가 제공하는 서비스 별 접근 제어 정책의 종류를 수신하여 저장한다.The access control policy manager 310 receives and stores a type of access control policy for each service provided by each home device from the plurality of home devices 110.

접근 권한 인증서 발행부(320)는 홈 디바이스(110)로부터 클라이언트(130)에 대해 발행된 접근 권한 인증서를 수신하고, 수신된 접근 권한 인증서의 종류에 따라 해당 접근 권한 인증서를 클라이언트(130)로 전달 또는 직접 발행한다.The access right certificate issuer 320 receives the access right certificate issued for the client 130 from the home device 110 and transfers the access right certificate to the client 130 according to the type of the received access right certificate. Or issue directly.

구체적으로, 접근 권한 인증서 발행부(320)는 상기 수신된 접근 권한 인증서가 개인 정보 정책에 따른 개인 정보 인증서인 경우, 개인 정보 인증서를 해당 클라이언트(130)로 전달한다. 그리고, 접근 권한 인증서 발행부(320)는 상기 수신된 접근 권한 인증서가 일반 정보 정책에 따른 접근 권한의 일부 또는 전체를 인가하도록 허가하는 권한 위임 정보가 포함된 권한 위임 인증서인 경우, 상기 허가된 접근 권한을 인가하는 일반 정보 인증서를 생성하여 클라이언트(130)로 직접 발행한다.In detail, the access right certificate issuing unit 320 transmits the personal information certificate to the client 130 when the received access right certificate is a personal information certificate according to the personal information policy. And, the access authority certificate issuing unit 320, the received access authority certificate, if the authority delegation certificate that includes the authority delegation information that permits to authorize some or all of the access authority according to the general information policy, the authorized access A general information certificate that authorizes a right is generated and issued directly to the client 130.

참고로, 접근 권한 인증서 발행부(320)가 발행하는 일반 정보 인증서는 SPKI 형식의 접근 권한 인증서 일 수 있으며, 홈 게이트웨이(120)의 인증 정보(예를 들어, 홈 게이트웨이에서 기설정된 공개키), 클라이언트(130)의 인증 정보(예를 들어, 클라이언트로부터 기수신된 공개키), 권한 위임 불가 정보, 일반 정보 정책 식별 정보, 및 유효 기간 값을 포함하도록 구성될 수 있다. 또한, 접근 권한 인증서 발행부(320)는 생성한 접근 권한 인증서를 홈 게이트웨이(120)의 인증 정보(예를 들어, 비밀키)로 서명하여 클라이언트(130)로 전송할 수 있다. 이때, 클라이언트(130)는 사전에 상기 서명에 사용되는 인증 정보에 대응하는 홈 게이트웨이(120)의 인증 정보를 기수신하여 저장해둔 상태이다.For reference, the general information certificate issued by the access right certificate issuing unit 320 may be an access right certificate in the SPKI format, authentication information of the home gateway 120 (for example, a public key preset in the home gateway), It may be configured to include authentication information of the client 130 (eg, a public key received from the client), non-authoritative information, general information policy identification information, and a validity period value. In addition, the access right certificate issuing unit 320 may sign the generated access right certificate with the authentication information (for example, a secret key) of the home gateway 120 and transmit it to the client 130. At this time, the client 130 has previously received and stored authentication information of the home gateway 120 corresponding to the authentication information used for the signature.

서비스 요청 수신부(330)는 클라이언트(130)로부터 홈 디바이스(110)에 대한 서비스 요청 및 접근 권한 인증서를 수신하여 서비스 요청 확인부(340)로 전달한다.The service request receiver 330 receives a service request and an access authority certificate for the home device 110 from the client 130 and transmits the received service request to the service request checker 340.

서비스 요청 확인부(340)는 수신된 서비스 요청에 포함된 요청 서비스의 정보 및 접근 제어 정책 관리부(310)를 통해 기저장된 홈 디바이스의 서비스 별 접근 제어 정책의 종류에 기초하여 상기 요청 서비스에 대응하는 접근 제어 정책의 종류를 판단한다. 그리고, 서비스 요청 확인부(340)는 확인된 접근 제어 정책의 종류를 접근 제어 처리부(350)로 전달한다.The service request confirmation unit 340 corresponds to the request service based on the information of the request service included in the received service request and the type of the access control policy for each service of the home device previously stored through the access control policy manager 310. Determine the type of access control policy. In addition, the service request confirmation unit 340 transmits the type of the identified access control policy to the access control processor 350.

접근 제어 처리부(350)는 상기 판단된 접근 제어 정책의 종류가 개인 정보 정책에 해당하는 경우 클라이언트(130)의 접근 권한 인증서 및 서비스 요청을 홈 디바이스(110)로 전달한다.The access control processor 350 transmits the access authority certificate and the service request of the client 130 to the home device 110 when the determined type of the access control policy corresponds to the personal information policy.

그리고, 접근 제어 처리부(350)는 상기 판단된 접근 제어 정책의 종류가 일반 정보 정책이면 클라이언트(130)의 접근 권한 인증서 및 서비스 요청을 직접 처리한다.If the type of the determined access control policy is a general information policy, the access control processor 350 directly processes the access authority certificate and the service request of the client 130.

구체적으로, 접근 제어 처리부(350)는 상기 판단한 접근 제어 정책의 종류가 일반 정보 정책이면, 클라이언트(130)의 접근 권한 인증서에 따른 접근 권한이 일반 정보 정책의 보안 등급에 포함되는지 판단하고, 상기 접근 권한이 일반 정보 정책에 포함되면 클라이언트(130)의 서비스 요청에 따른 서비스 제어 메시지를 생성하여 홈 디바이스(110)로 전송한다. 반면, 접근 제어 처리부(350)는 상기 접근 권한이 일반 정보 정책에 포함되지 않으면 클라이언트(130)의 서비스에 대해 불가 처리하여 클라이언트(130)의 접근을 제한한다.In detail, if the type of the access control policy determined is the general information policy, the access control processor 350 determines whether the access right according to the access authority certificate of the client 130 is included in the security level of the general information policy, and the access When the authority is included in the general information policy, the service control message according to the service request of the client 130 is generated and transmitted to the home device 110. On the other hand, if the access authority is not included in the general information policy, the access control processor 350 disallows the service of the client 130 to limit the access of the client 130.

이처럼, 본 발명의 일실시예에 따른 홈 디바이스(110) 및 홈 게이트웨이(120)의 접근 제어 장치(200, 300)는, 사전에 접근 권한 인증서를 발급받은 클라이언트(130)가 요청하는 서비스의 보안 등급이 개인 정보 정책에 따를 경우, 클라이언트(130)의 접근 권한 판단 및 요청 서비스 처리를 홈 디바이스(110)가 직접 처리하도록 한다. 또한, 클라이언트(130)가 요청하는 서비스의 보안 등급이 일반정보 정책에 따른 접근 권한인 경우, 클라이언트(130)의 접근 권한 판단 및 요청 서비스 처리를 홈 게이트웨이(120)가 처리하도록 함으로써, 보안 등급이 신속하고 효율적으로 접근 제어 처리를 수행하도록 한다.As such, the access control apparatuses 200 and 300 of the home device 110 and the home gateway 120 according to an embodiment of the present invention may secure the service requested by the client 130 that has previously issued the access authority certificate. When the level is in accordance with the privacy policy, the home device 110 directly processes the access authority determination and the request service processing of the client 130. In addition, when the security level of the service requested by the client 130 is an access right according to the general information policy, the home gateway 120 processes the access right determination and the request service processing of the client 130 so that the security level is increased. Ensure that access control processing is done quickly and efficiently.

다음으로, 도 4 및 도 5를 참조하여 본 발명의 일실시예에 따른 홈 네트워크 시스템에서의 클라이언트 접근 제어 방법에 대해서 상세히 설명하도록 한다.Next, a client access control method in a home network system according to an embodiment of the present invention will be described in detail with reference to FIGS. 4 and 5.

도 4는 본 발명의 일실시예에 따른 접근 권한 인증서 발행 방법을 설명하기 위한 순서도다.4 is a flowchart illustrating a method for issuing an access right certificate according to an embodiment of the present invention.

도 4에서 도시한 바와 같이, 본 발명의 일실시예에 따른 접근 권한 인증서 발행 시, 먼저 홈 디바이스(110)가 직접 또는 홈 게이트웨이(120)를 통해 클라이언트(130)의 접근 요청을 수신한다(S410).As shown in FIG. 4, when issuing an access right certificate according to an embodiment of the present invention, the home device 110 first receives an access request of the client 130 directly or through the home gateway 120 (S410). ).

그런 후, 수신된 클라이언트(130)의 보안 자격에 따른 보안 등급을 확인하여 해당하는 권한을 인가하는 접근 제어 정책을 설정한다(S420).Thereafter, the security level according to the security qualification of the received client 130 is checked to set an access control policy that authorizes the corresponding authority (S420).

이때, 접근 제어 정책은 보안 등급에 따라 상대적으로 높은 보안 등급인 개인 정보 정책 및 상기 개인 정보 정책에 비해 낮은 보안 등급의 일반 정보 정책으로 구분된다.In this case, the access control policy is classified into a personal information policy having a relatively high security level and a general information policy having a lower security level than the personal information policy according to the security level.

그런 후, 접근 권한의 정보가 상기 설정된 접근 제어 정책의 종류(즉, 보안 등급)에 따라 상이한 접근 권한 인증서를 클라이언트(130)측으로 발행한다(S430).Thereafter, the access right information issues a different access right certificate to the client 130 according to the type of the access control policy set (ie, security level) (S430).

구체적으로, 단계(S430)에서는 상기 설정된 접근 제어 정책의 종류가 개인 정보 정책인 경우 개인 정보 인증서를 생성하여 클라이언트(130)로 발행하고, 상기 설정된 접근 제어 정책의 종류가 일반 정보 정책인 경우 일반 정보 정책에 따른 접근 권한의 일부 또는 전체를 위임하는 권한 위임 인증서를 생성하여 홈 게이트웨이(120)로 전송한다. 그러면, 홈 게이트웨이(120)는 발행된 권한 위임 인증서에 기초하여 일반 정보 인증서를 생성하여 클라이언트(130)로 전송하게 된다.In detail, in operation S430, when the set type of the access control policy is a personal information policy, a personal information certificate is generated and issued to the client 130, and when the set type of the access control policy is a general information policy, general information. The authority delegation certificate which delegates part or all of the access rights according to the policy is generated and transmitted to the home gateway 120. Then, the home gateway 120 generates a general information certificate based on the issued authority delegation certificate and transmits it to the client 130.

이처럼, 본 발명의 일실시예에 따른 접근 권한 인증서 발행 시, 클라이언트(130)의 보안 자격에 따라 접근 권한 인증서를 홈 디바이스(110)가 직접 클라이언트(130)로 발행하거나 홈 게이트웨이(120)를 통해 위임 발행할 수 있다. As such, when issuing an access right certificate according to an embodiment of the present invention, the home device 110 directly issues the access right certificate to the client 130 or through the home gateway 120 according to the security credentials of the client 130. Delegation can be issued.

도 5는 본 발명의 일실시예에 따른 접근 제어 방법을 설명하기 위한 순서도이다.5 is a flowchart illustrating an access control method according to an embodiment of the present invention.

도 5에서 도시한 바와 같이, 본 발명의 일실시예에 따른 접근 제어 처리 시, 먼저 홈 게이트웨이(120)가 직접 또는 홈 디바이스(110)를 통해 클라이언트(130)의 홈 디바이스(110)에 대한 서비스 요청을 수신한다(S510).As shown in FIG. 5, in the access control process according to an embodiment of the present invention, the home gateway 120 first services the home device 110 of the client 130 directly or through the home device 110. Receive the request (S510).

이때, 홈 게이트웨이(120)는 클라이언트(130)가 서비스를 요청하는 홈 디바이스(110)의 정보 및 요청 서비스의 종류 정보를 포함하는 서비스 요청과, 클라이언트(130)가 홈 디바이스(110)로부터 기발급 받은 접근 권한 인증서를 수신한다. In this case, the home gateway 120 may include a service request including information of the home device 110 that the client 130 requests for the service and information on the type of the requested service, and the client 130 may issue a request from the home device 110. Receive the received access certificate.

그런 후, 상기 수신된 서비스 요청에 따른 접근 제어 정책의 보안 등급을 판단한다(S520).Then, the security level of the access control policy according to the received service request is determined (S520).

이때, 각 홈 디바이스(110)의 서비스 별로 대응하는 접근 제어 정책이 기설정되어 있는 상태이며, 단계(S520)에서는 기설정된 서비스 별 접근 제어 정책의 종류를 참고하여 상기 수신된 서비스 요청이 해당하는 접근 제어 정책의 종류(즉, 보안 등급)을 확인한다.In this case, an access control policy corresponding to each service of each home device 110 is preset, and in step S520, the received service request corresponds to the type of the access control policy for each service. Check the type of control policy (ie security level).

그런 후, 상기 판단된 접근 제어 정책의 보안 등급에 따라 홈 디바이스(110) 또는 홈 게이트웨이(120)에서 접근 제어 처리 및 서비스 처리를 수행한다(S530).Thereafter, according to the security level of the determined access control policy, the home device 110 or the home gateway 120 performs access control processing and service processing (S530).

구체적으로, 상기 요청된 서비스의 종류에 따른 접근 제어 정책의 종류(즉, 보안 등급)가 개인 정보 정책인 경우, 홈 디바이스(110)로 상기 서비스 요청 및 접근 권한 인증서를 전송하여 홈 디바이스(110)가 클라이언트(130)의 접근 권한 판단 및 서비스 처리를 수행하도록 한다. 또한, 상기 요청된 서비스의 종류에 따른 접근 제어 정책의 종류(즉, 보안 등급)가 일반 정보 정책인 경우, 홈 게이트웨이(120)가 접근 제어 처리 및 서비스 처리를 직접 수행하도록 한다. 참고로, 홈 게이트웨이(120)는 상기 서비스 요청에 따른 접근 제어 정책의 종류와 클라이언트(130)의 접근 권한 인증서에 따른 접근 권한을 비교하여 서비스 처리 여부를 결정하는 접근 제어 처리를 수행한다. In detail, when the type of the access control policy (ie, the security level) according to the requested service type is the privacy policy, the service request and the access right certificate are transmitted to the home device 110 to the home device 110. To perform the access right determination and service processing of the client 130. In addition, when the type (ie, security level) of the access control policy according to the requested service type is a general information policy, the home gateway 120 directly performs the access control process and the service process. For reference, the home gateway 120 performs an access control process to determine whether to process the service by comparing the type of the access control policy according to the service request with the access authority according to the access authority certificate of the client 130.

한편 전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.On the other hand, the above description of the present invention is intended for illustration, and those skilled in the art can understand that the present invention can be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. There will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single entity may be distributed and implemented, and components described as being distributed may also be implemented in a combined form.

그리고 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.And the scope of the present invention is represented by the appended claims rather than the detailed description, and all changes or modifications derived from the meaning and scope of the claims and their equivalent concepts are included in the scope of the present invention. Should be.

100: 홈 네트워크 시스템
110: 홈 디바이스
120: 홈 게이트웨이
130: 클라이언트
200, 300: 접근 제어 장치100: home network system
110: home device
120: home gateway
130: client
200, 300: access control device

Claims (14)

홈 네트워크 시스템 상에서 클라이언트의 접근을 제어하는 방법에 있어서,
(a) 홈 게이트웨이가 사전에 발급된 접근 권한 인증서를 소유한 클라이언트로부터 홈 디바이스에 대한 서비스 요청을 수신하는 단계;
(b) 상기 홈 게이트웨이가 상기 서비스 요청에 포함된 홈 디바이스 및 서비스의 종류 정보를 확인하고, 상기 종류 정보에 매칭되는 접근 제어 정책의 종류를 판단하는 단계; 및
(c) 상기 홈 게이트웨이가 상기 접근 제어 정책의 종류에 따른 접근 제어 처리를 수행하는 단계를 포함하되,
상기 (a) 단계는,
상기 홈 게이트웨이가 상기 홈 디바이스로부터 상기 클라이언트에 대해 발행된 접근 권한 인증서를 수신하는 단계; 및
상기 수신된 접근 권한 인증서의 종류에 따라 상기 홈 게이트웨이가 상기 수신된 접근 권한 인증서를 상기 클라이언트로 전달 또는 직접 발행하는 단계를 포함하고,
상기 (c) 단계는,
상기 접근 제어 정책의 종류가 제 1 접근 제어 정책이면 상기 서비스 요청을 상기 홈 디바이스가 처리하도록 전달하고, 상기 접근 제어 정책의 종류가 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책이면 상기 서비스 요청을 직접 처리하며,
상기 판단된 접근 제어 정책의 종류가 상기 제 2 접근 제어 정책이면,
상기 클라이언트가 제시한 상기 접근 권한 인증서를 확인하여 상기 클라이언트에게 인가된 접근 권한이 상기 제 2 접근 제어 정책에 포함되는지 여부를 판단하는 단계; 및
상기 접근 권한이 상기 제 2 접근 제어 정책에 포함되면, 상기 서비스 요청에 따른 홈 디바이스 제어 메시지를 생성하여 상기 홈 디바이스로 전송하는 단계를 포함하고,
상기 판단된 접근 제어 정책의 종류가 상기 제 1 접근 제어 정책이면,
상기 클라이언트가 제시한 상기 접근 권한 인증서 및 상기 서비스 요청을 상기 홈 디바이스로 전달하는 단계를 포함하는 홈 네트워크 시스템의 클라이언트 접근 제어 방법.In the method of controlling a client's access on a home network system,
(a) the home gateway receiving a service request for the home device from a client possessing a previously issued access right certificate;
(b) checking, by the home gateway, type information of a home device and a service included in the service request, and determining a type of an access control policy matching the type information; And
(c) the home gateway performing access control processing according to the type of the access control policy,
The step (a)
The home gateway receiving an access right certificate issued for the client from the home device; And
According to the type of the received access right certificate, the home gateway transferring or directly issuing the received access right certificate to the client,
The step (c)
If the type of the access control policy is a first access control policy, the service request is delivered to the home device for processing, and if the type of the access control policy is a second access control policy of a lower security level than the first access control policy. Process the service request directly;
If the type of the determined access control policy is the second access control policy,
Checking the access right certificate presented by the client to determine whether the access right authorized to the client is included in the second access control policy; And
If the access right is included in the second access control policy, generating and transmitting a home device control message according to the service request to the home device,
If the type of the determined access control policy is the first access control policy,
And transmitting the access right certificate and the service request presented by the client to the home device. 제 1 항에 있어서,
상기 (a) 단계 이전에,
상기 홈 디바이스가 설정하여 전송하는 상기 제 1 접근 제어 정책에 따른 서비스의 종류 정보 및 상기 제 2 접근 제어 정책에 따른 서비스의 종류 정보를 수신하는 단계; 및
상기 접근 제어 정책의 종류 별로 상기 서비스의 종류 정보를 매칭하여 저장하는 단계를 더 포함하는 홈 네트워크 시스템의 클라이언트 접근 제어 방법.The method of claim 1,
Before the step (a)
Receiving type information of a service according to the first access control policy and type information of a service according to the second access control policy that the home device sets and transmits; And
And matching and storing the type information of the service according to the type of the access control policy. 제 1 항에 있어서,
상기 접근 권한 인증서는,
상기 제 1 접근 제어 정책에 따른 서비스에 접근할 수 있는 권한을 갖는 제 1 접근 권한 인증서 및 상기 제 2 접근 제어 정책에 따른 서비스에 접근할 수 있는 권한을 갖는 제 2 접근 권한 인증서로 구분되며,
발급자 인증 정보, 발급 대상자 인증 정보, 권한 위임 정보, 접근 제어 정책 종류 정보, 및 유효 기간 정보 중 적어도 하나의 정보를 포함하는 것인 홈 네트워크 시스템의 클라이언트 접근 제어 방법.The method of claim 1,
The access authority certificate,
A first access right certificate having a right to access a service according to the first access control policy and a second access right certificate having a right to access a service according to the second access control policy,
And at least one of issuer authentication information, issuer authentication information, authority delegation information, access control policy type information, and validity period information. 삭제delete 홈 네트워크 시스템 상에서 클라이언트에 접근 권한을 인가하는 방법에 있어서,
(a) 홈 디바이스가 직접 또는 홈 게이트웨이를 통해 상기 클라이언트의 접근 요청을 수신하는 단계;
(b) 상기 홈 디바이스가 기설정된 보안 자격 기준에 따라 상기 클라이언트의 보안 자격이 만족되는 접근 제어 정책을 판단하는 단계; 및
(c) 상기 홈 디바이스가 상기 클라이언트의 보안 자격이 만족되는 접근 제어 정책의 종류에 따른 접근 권한 인증서를 상기 클라이언트로 발행하는 단계를 포함하되,
상기 접근 권한 인증서 발행 시,
상기 클라이언트의 보안 자격이 기설정된 제 1 접근 제어 정책에 만족되는 경우 상기 제 1 접근 제어 정책에 따른 접근 권한을 인가하는 제 1 접근 권한 인증서를 상기 클라이언트로 발행하고,
상기 클라이언트의 보안 자격이 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책에 만족되는 경우 상기 홈 게이트웨이로 상기 클라이언트에 상기 제 2 접근 제어 정책에 따른 접근 권한을 인가하는 제 2 접근 권한 인증서를 발행하도록 위임하며,
상기 (c) 단계에서,
상기 제 2 접근 제어 정책에 따른 접근 권한의 일부 또는 전체를 인가하도록 허가하는 권한 위임 정보를 포함하는 제 3 접근 권한 인증서를 상기 홈 게이트웨이로 전송하는 단계를 포함하는 홈 네트워크 시스템의 클라이언트 접근 권한 인가 방법.In a method for authorizing access rights to a client on a home network system,
(a) a home device receiving an access request of the client directly or through a home gateway;
(b) determining, by the home device, an access control policy that satisfies the security credential of the client according to a preset security credential; And
(c) the home device issuing an access right certificate to the client according to a type of access control policy in which the security credentials of the client are satisfied,
When issuing the access right certificate,
When the security credential of the client satisfies a preset first access control policy, a first access right certificate for authorizing an access right according to the first access control policy is issued to the client.
A second access right for authorizing the client with access rights according to the second access control policy to the home gateway when the security entitlement of the client satisfies a second access control policy having a lower security level than the first access control policy. Delegates to issue certificates,
In the step (c)
And transmitting a third access authority certificate to the home gateway, the third access authority certificate including authority delegation information for authorizing a part or all of the access authority according to the second access control policy. . 삭제delete 제 5 항에 있어서,
상기 (a) 단계 이전에,
상기 홈 디바이스가 기설정된 보안 등급에 기초하여 서비스의 종류 별로 대응하는 접근 제어 정책의 종류를 설정하는 단계; 및
상기 홈 디바이스가 상기 서비스의 종류 별 상기 접근 제어 정책의 종류를 매칭하여 저장한 후 상기 홈 게이트웨이에 전송하는 단계를 더 포함하는 홈 네트워크 시스템의 클라이언트 접근 권한 인가 방법. The method of claim 5, wherein
Before the step (a)
Setting, by the home device, a type of an access control policy corresponding to each type of service based on a preset security level; And
And matching, by the home device, the type of the access control policy according to the type of the service, and transmitting the same to the home gateway. 제 5 항 또는 제 7 항에 있어서,
상기 접근 제어 정책의 종류 및 권한 범위는 사전에 상기 홈 디바이스에 접속한 관리 권한자로부터 입력된 설정 정보에 따라 설정되는 것인 홈 네트워크 시스템의 클라이언트 접근 권한 인가 방법.The method according to claim 5 or 7,
And a type and a range of authority of the access control policy are set according to configuration information inputted from an administrator authorized to access the home device in advance. 홈 네트워크 상에서 클라이언트의 접근을 제어하는 장치에 있어서,
다수의 홈 디바이스로부터 각 홈 디바이스가 제공하는 서비스 별 접근 제어 정책의 종류를 수신하여 저장하는 접근 제어 정책 관리부;
홈 디바이스가 제공하는 서비스를 요청하는 클라이언트로부터 접근 권한 인증서 및 서비스 요청을 수신하는 서비스 요청 수신부;
상기 서비스 요청에 포함된 요청 서비스의 정보 및 상기 저장된 홈 디바이스의 서비스 별 접근 제어 정책의 종류에 기초하여 상기 요청 서비스에 대응하는 접근 제어 정책의 종류를 판단하는 서비스 요청 확인부;
상기 판단한 접근 제어 정책의 종류가 상기 접근 제어 정책 중 제 1 접근 제어 정책에 해당하는 경우 상기 클라이언트의 접근 권한 인증서 및 서비스 요청을 상기 홈 디바이스로 전달하고, 상기 판단한 접근 제어 정책의 종류가 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책에 해당하는 경우 상기 클라이언트의 접근 권한 인증서 및 서비스 요청을 홈 게이트웨이가 처리하도록 하는 접근 제어 처리부; 및
상기 홈 디바이스로부터 상기 클라이언트에 대해 발행된 접근 권한 인증서를 수신하고, 상기 수신된 접근 권한 인증서의 종류에 따라 상기 홈 게이트웨이가 상기 수신된 접근 권한 인증서를 상기 클라이언트로 전달 또는 직접 발행하도록 하는 접근 권한 인증서 발행부를 포함하되,
상기 클라이언트의 접근 권한 인증서는 상기 클라이언트의 보안 자격에 기초하여 상기 홈 디바이스로부터 사전에 발급된 것인 접근 제어 장치.An apparatus for controlling client access on a home network, the apparatus comprising:
An access control policy manager to receive and store types of access control policies for each service provided by each home device from a plurality of home devices;
A service request receiving unit receiving an access authority certificate and a service request from a client requesting a service provided by the home device;
A service request confirmation unit determining a type of an access control policy corresponding to the requested service based on the information of the requested service included in the service request and the type of the access control policy for each service of the stored home device;
When the determined type of the access control policy corresponds to the first access control policy among the access control policies, the client access rights certificate and the service request are transmitted to the home device, and the determined type of the access control policy is the first. An access control processor configured to cause a home gateway to process an access right certificate and a service request of the client when the second access control policy has a lower security level than an access control policy; And
An access right certificate received for the client from the home device, and according to the type of the received access right certificate, the home gateway to forward or directly issue the received access right certificate to the client Including issuers,
And the access right certificate of the client is previously issued from the home device based on the security credentials of the client. 제 9 항에 있어서,
상기 접근 제어 처리부는,
상기 판단한 접근 제어 정책의 종류가 상기 제 2 접근 제어 정책에 해당하면, 상기 클라이언트의 접근 권한 인증서에 따른 접근 권한이 상기 제 2 접근 제어 정책에 포함되는지 판단하고,
상기 접근 권한이 상기 제 2 접근 제어 정책에 포함되면 상기 홈 게이트웨이가 상기 서비스 요청에 따른 서비스 제어 메시지를 생성하여 상기 홈 디바이스로 전송하도록 하는 접근 제어 장치.The method of claim 9,
The access control processing unit,
When the type of the determined access control policy corresponds to the second access control policy, it is determined whether an access right according to the access right certificate of the client is included in the second access control policy,
And when the access right is included in the second access control policy, the home gateway generates a service control message according to the service request and transmits the service control message to the home device. 제 9 항에 있어서,
상기 접근 권한 인증서 발행부는,
상기 수신된 접근 권한 인증서가 상기 제 1 접근 제어 정책에 따른 제 1 접근 권한 인증서인 경우 상기 제 1 접근 권한 인증서를 상기 클라이언트로 전달하도록 하고,
상기 수신된 접근 권한 인증서가 상기 제 2 접근 제어 정책에 따른 접근 권한의 일부 또는 전체를 인가하도록 허가하는 권한 위임 정보가 포함된 접근 권한 인증서인 경우 상기 허가된 접근 권한을 인가하는 제 2 접근 권한 인증서를 생성하여 상기 클라이언트로 직접 발행하도록 하는 접근 제어 장치.The method of claim 9,
The access right certificate issuing unit,
When the received access right certificate is a first access right certificate according to the first access control policy, to deliver the first access right certificate to the client,
A second access right certificate for authorizing the authorized access right when the received access right certificate is access right certificate including authority delegation information for authorizing a part or all of the access right according to the second access control policy; Access control device for generating and issuing directly to the client. 홈 네트워크 상에서 클라이언트의 접근을 제어하는 장치에 있어서,
홈 디바이스가 제공하는 서비스에 대해 기설정된 보안 등급에 따라 제 1 접근 제어 정책 및 상기 제 1 접근 제어 정책보다 낮은 보안 등급의 제 2 접근 제어 정책 중 어느 하나의 접근 제어 정책을 설정하고, 상기 서비스의 종류 별로 상기 설정된 접근 제어 정책을 매칭하여 저장 및 홈 게이트웨이로 전송하는 접근 제어 정책 설정부;
상기 홈 디바이스에 직접 또는 상기 홈 게이트웨이를 통해 접근 요청하는 클라이언트에 대해 기설정된 보안 자격 기준에 따라 적합한 접근 제어 정책을 설정하고, 상기 설정된 접근 제어 정책에 따른 접근 권한 인증서를 상기 홈 디바이스가 상기 클라이언트로 직접 발행 또는 상기 홈 게이트웨이를 통해 위임 발행하도록 하는 접근 권한 인증서 발행부; 및
상기 홈 게이트웨이를 통해 또는 상기 홈 디바이스에 직접 수신되는 상기 클라이언트의 서비스 요청 및 접근 권한 인증서에 기초하여 상기 클라이언트가 요청하는 서비스의 종류에 따른 접근 제어 정책의 종류 확인 및 상기 확인된 접근 제어 정책의 종류에 따른 접근 제어 처리를 수행하는 접근 제어 처리부를 포함하되,
상기 접근 제어 처리부는,
상기 클라이언트가 요청한 서비스의 종류가 상기 제 1 접근 제어 정책에 대응하는 경우 상기 홈 디바이스가 상기 클라이언트에 대한 서비스 처리를 직접 수행하도록 하고, 상기 요청한 서비스의 종류가 상기 제 2 접근 제어 정책에 대응하는 경우 상기 홈 디바이스가 상기 홈 게이트웨이로부터 상기 클라이언트에 대한 서비스 처리를 위한 서비스 제어 메시지를 수신하여 처리하고,
상기 접근 권한 인증서 발행부는,
상기 접근 요청하는 클라이언트의 보안 자격이 상기 제 1 접근 제어 정책에 대응하는 경우 상기 제 1 접근 제어 정책에 따른 접근 권한을 인가하는 제 1 접근 권한 인증서를 발행하고,
상기 접근 요청하는 클라이언트의 보안 자격이 상기 제 2 접근 제어 정책에 대응하는 경우 상기 홈 게이트웨이로 상기 클라이언트에 상기 제 2 접근 제어 정책에 따른 접근 권한을 인가하는 제 2 접근 권한 인증서를 발행하도록 위임하는 제 3 접근 권한 인증서를 발행하되,
상기 제 3 접근 권한 인증서는 상기 제 2 접근 제어 정책의 접근 권한의 일부 또는 전체를 인가하도록 허가하는 권한 위임 정보를 포함하는 것인 접근 제어 장치.An apparatus for controlling client access on a home network, the apparatus comprising:
Set an access control policy of any one of a first access control policy and a second access control policy having a lower security level than the first access control policy according to a security level preset for a service provided by a home device, An access control policy setting unit that matches the set access control policy for each type and transmits the stored access control policy to a home gateway;
Set an access control policy suitable for a client requesting access to the home device directly or through the home gateway according to a predetermined security credential, and the home device sends the access right certificate according to the set access control policy to the client. An access authority certificate issuer for directly issuing or delegating issuance through the home gateway; And
Confirm the type of access control policy according to the type of service requested by the client and the type of the identified access control policy based on the service request and access authority certificate of the client received through the home gateway or directly to the home device. Including an access control processing unit for performing the access control processing according to,
The access control processing unit,
When the type of service requested by the client corresponds to the first access control policy, the home device directly performs service processing for the client, and when the type of the requested service corresponds to the second access control policy. The home device receives and processes a service control message for service processing of the client from the home gateway,
The access right certificate issuing unit,
If a security credential of the client requesting access corresponds to the first access control policy, issue a first access right certificate for authorizing an access right according to the first access control policy,
Delegating to the home gateway to issue a second access right certificate for authorizing the access right according to the second access control policy to the client when the security entitlement of the client requesting access corresponds to the second access control policy. 3 Issue a certificate of access rights,
And the third access right certificate includes authority delegation information for authorizing a part or all of the access rights of the second access control policy. 삭제delete 제 12 항에 있어서,
상기 접근 제어 정책 설정부는,
상기 홈 디바이스에 접속한 관리 권한자로부터 입력되는 서비스 별 보안 등급 정보에 따라 상기 클라이언트에 대한 접근 제어 정책을 설정하는 접근 제어 장치.
13. The method of claim 12,
The access control policy setting unit,
And an access control policy for setting the access control policy for the client according to security level information for each service inputted from an administrator authorized to access the home device.
KR1020110016086A 2011-02-23 2011-02-23 Method for access controll of client in home network system and apparatus thereof KR101209812B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110016086A KR101209812B1 (en) 2011-02-23 2011-02-23 Method for access controll of client in home network system and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110016086A KR101209812B1 (en) 2011-02-23 2011-02-23 Method for access controll of client in home network system and apparatus thereof

Publications (2)

Publication Number Publication Date
KR20120096779A KR20120096779A (en) 2012-08-31
KR101209812B1 true KR101209812B1 (en) 2012-12-07

Family

ID=46886605

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110016086A KR101209812B1 (en) 2011-02-23 2011-02-23 Method for access controll of client in home network system and apparatus thereof

Country Status (1)

Country Link
KR (1) KR101209812B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110554B2 (en) 2014-04-07 2018-10-23 Electronics And Telecommunications Research Institute Method and apparatus for supporting mobility of user equipment

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10194318B2 (en) 2013-09-24 2019-01-29 Intel IP Corporation Systems and methods for NFC access control in a secure element centric NFC architecture

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
한국해양정보통신학회, 황진범외 1인, 2005년도 춘계종합학술대회, pp.323-327*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110554B2 (en) 2014-04-07 2018-10-23 Electronics And Telecommunications Research Institute Method and apparatus for supporting mobility of user equipment

Also Published As

Publication number Publication date
KR20120096779A (en) 2012-08-31

Similar Documents

Publication Publication Date Title
US10642969B2 (en) Automating internet of things security provisioning
WO2020143470A1 (en) Method for issuing digital certificate, digital certificate issuing center, and medium
CN109428947B (en) Authority transfer system, control method thereof and storage medium
EP2842258B1 (en) Multi-factor certificate authority
US8532620B2 (en) Trusted mobile device based security
JP6643373B2 (en) Information processing system, control method and program therefor
US9674699B2 (en) System and methods for secure communication in mobile devices
US9294468B1 (en) Application-level certificates for identity and authorization
US10148651B2 (en) Authentication system
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
JP5992535B2 (en) Apparatus and method for performing wireless ID provisioning
CN101772024A (en) User identification method, device and system
KR101209812B1 (en) Method for access controll of client in home network system and apparatus thereof
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
KR102053993B1 (en) Method for Authenticating by using Certificate
JPWO2020166066A1 (en) Token protection methods, authorization systems, devices, and program recording media
KR101821645B1 (en) Key management method using self-extended certification
KR20040101616A (en) System and method for managing user's contents access privilege on wireless Internet, computer readable recording medium having user's contents access privilege management software stored therein
CN107276965B (en) Authority control method and device of service discovery component
JP6053205B2 (en) Information distribution system, method and processing program
CN116318637A (en) Method and system for secure network access communication of equipment
JP5860421B2 (en) Decoding method and decoding system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151030

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee