KR101407640B1 - 피투피 네트워크 상에서 접근 제어 장치 및 방법 - Google Patents

피투피 네트워크 상에서 접근 제어 장치 및 방법 Download PDF

Info

Publication number
KR101407640B1
KR101407640B1 KR1020080013574A KR20080013574A KR101407640B1 KR 101407640 B1 KR101407640 B1 KR 101407640B1 KR 1020080013574 A KR1020080013574 A KR 1020080013574A KR 20080013574 A KR20080013574 A KR 20080013574A KR 101407640 B1 KR101407640 B1 KR 101407640B1
Authority
KR
South Korea
Prior art keywords
service
peer
attribute
reliability
access control
Prior art date
Application number
KR1020080013574A
Other languages
English (en)
Other versions
KR20090088181A (ko
Inventor
이재원
김희열
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080013574A priority Critical patent/KR101407640B1/ko
Priority to US12/349,091 priority patent/US7949750B2/en
Publication of KR20090088181A publication Critical patent/KR20090088181A/ko
Application granted granted Critical
Publication of KR101407640B1 publication Critical patent/KR101407640B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/24Radio transmission systems, i.e. using radiation field for communication between two or more posts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

피투피 네트워크 상에서 접근 제어 장치 및 방법이 제공된다. 본 발명의 실시예에 따른 피투피 네트워크 상에서 접근 제어 장치는 피투피(P2P; peer to peer) 네트워크 상에서 서비스를 주고 받는 장치에 있어서, 서비스 요청자의 속성을 수집하여 이를 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 속성 처리 모듈 및 상기 접근 제어 정책에 따라 상기 서비스 요청자에 대하여 상기 서비스의 제공을 제어하는 접근 제어 모듈을 포함하며, 서비스 제공자가 상기 서비스 요청자의 속성을 수집할 수 없을 때에는, 상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집한다.
피투피, P2P, 접근제어

Description

피투피 네트워크 상에서 접근 제어 장치 및 방법{Apparatus and Method for controlling access in P2P network}
본 발명은 피투피 네트워크 상에서 접근 제어 장치 및 방법에 관한 것으로, 보다 상세하게는 원격 서비스 요청시 중앙 서버의 도움 없이 속성을 평가하여 서비스 접근을 제어하는 피투피 네트워크 상에서 접근 제어 장치 및 방법에 관한 것이다.
네트워크 상에서 사용자 간에 서비스를 주고 받을 때, 가장 일반적인 접근 제어 방법은 서비스 요청자의 신분(identity)을 기초로 각각의 사용자 별로 서비스 접근을 제어하는 것이다. 이를 보다 효율적으로 확장하기 위하여 서비스 요청자의 역할(role)에 따라서 그룹핑하여 나눔으로써 이에 따라서 접근 권한을 부여하는 역할 기반 접근 제어(RBAC; Role-Based Access Control) 방법이 사용되었다. 이 방법은 서비스에 대한 접근 권한을 접근 제어 리스트(ACL;Access Control List)에 서비스 요청자의 신분(identity) 또는 역할(role) 별로 명시하고, 이에 따라 서비스 제공자는 접근 권한에 맞는 서비스를 서비스 요청자에게 제공하게 된다.
RBAC에 비하여 더욱 다양하고 세분화된 접근 제어를 수행하기 위해서 속성 기반 접근 제어(ABAC; Attribute-Based Access Control) 방법이 제안되었는데, ABAC은 접근 제어의 판단 기준이 되는 속성의 종류를 크게 세 가지로 서비스 요청자의 속성, 요청 서비스의 속성, 그리고 서비스 환경에 대한 속성으로 세분화하였다. 서비스 요청자의 속성으로 서비스 요청자의 나이, 이름 등을 들 수 있고, 서비스의 속성으로 요청하는 서비스의 카테고리 등을 들 수 있으며, 서비스 환경에 대한 속성으로 서비스 요청 지역, 시간 등을 들 수 있다.
그러나, 이러한 종래의 RBAC 및 ABAC 방법은 모든 사용자에 대한 신분, 역할, 및 속성들을 미리 서비스 제공자에게 등록되는 절차가 선행되어야 한다는 문제점이 있다. 예를 들어, ABAC의 경우, 미리 등록되지 않은 서비스 요청자가 서비스를 요구하는 경우 서비스 요청자에 대한 접근 제어를 위한 속성 조회가 불가능하기 때문이다.
따라서, 서비스 제공자에게 미리 속성 등이 등록되지 않은 서비스 요청자에 대해서도 동적으로 접근 제어를 수행할 수 있는 방법이 필요하다.
본 발명은 상기한 문제점을 개선하기 위해 고안된 것으로, 본 발명이 이루고자 하는 목적은 피투피 네트워크 환경에서 서비스 제공자에게 미리 속성 등이 등록되지 않은 서비스 요청자에 대해서도 동적으로 속성을 제어하여 접근 제어를 수행할 수 있도록 하는 것이다.
본 발명의 또 다른 목적은 서비스 요청자의 속성 평가에 있어서 속성 제공자의 신뢰도를 고려하여 속성 평가의 신뢰도를 향상시킬 수 있도록 하는 것이다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 피투피 네트워크 상에서 접근 제어 장치는 피투피(P2P; peer to peer) 네트워크 상에서 서비스를 주고 받는 장치에 있어서, 서비스 요청자의 속성을 수집하여 이를 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 속성 처리 모듈; 및 상기 접근 제어 정책에 따라 상기 서비스 요청자에 대하여 상기 서비스의 제공을 제어하는 접근 제어 모듈을 포함하며, 서비스 제공자가 상기 서비스 요청자의 속성을 수집할 수 없을 때에는, 상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집한다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 피투피 네트워크 상에서 접근 제어 방법은 피투피(P2P; peer to peer) 네트워크 상에서 서비스의 제공을 제어하는 방법에 있어서, 서비스 요청자로부터 서비스 요청을 수신하는 단계; 상기 서비스 요청자의 속성을 수집하는 단계; 상기 서비스 요청자의 속성을 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 단계; 및 상기 접근 제어 정책에 따라 상기 서비스 요청자에 대하여 상기 서비스의 제공을 제어하는 단계를 포함하며, 상기 서비스 요청자의 속성을 수집하는 단계에서 서비스 제공자가 상기 서비스 요청자의 속성을 수집할 수 없을 때에는, 상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집한다.
상기한 바와 같은 본 발명의 피투피 네트워크 상에서 접근 제어 장치 및 방법에 따르면 다음과 같은 효과가 하나 혹은 그 이상 있다.
첫째, 피투피 환경에서 중앙 서버의 도움 없이 서비스 요청자의 속성을 평가하여 접근 제어를 수행할 수 있다는 장점이 있다.
둘째, 서비스 제공자가 서비스 요청자의 속성을 파악할 수 없을 때 네트워크에 있는 피어로부터 속성을 제공 받아 속성 평가를 할 수 있도록 하여, 서비스 제공자가 서비스 요청자의 속성을 모르더라도 동적으로 속성 평가를 통한 접근 제어를 수행할 수 있다는 장점도 있다.
셋째, 서비스 요청자의 속성을 제공한 피어의 신뢰도를 고려하여 서비스 요청자의 속성을 평가함으로써 속성 평가의 신뢰성을 향상시킬 수 있다는 장점도 있 다.
실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
이하, 본 발명의 실시예들에 의한 피투피 네트워크 상에서 접근 제어 장치 및 방법을 설명하기 위한 블록도 또는 처리 흐름도에 대한 도면들을 참고하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므 로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑제되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실해하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨데, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 일 실시예에 따른 피투피 네트워크 상에서 서비스 요청자(110), 서비스 제공자(120), 및 피어(130)의 구성도이다.
도 1에서와 같이 서비스 요청자(110)는 피투피 네트워크 상에서 요청하는 서비스 리소스를 가지고 있는 서비스 제공자(120)에게 서비스를 요청한다. 서비스 요청자(110)로부터 서비스 요청을 받은 서비스 제공자(120)는 서비스 요청자(110)에 대한 접근 제어 정책에 따라서 서비스를 서비스 요청자(110)에게 제공한다. 접근 제어 정책이라고 하면, 속성에 따라서 서비스 요청자(110)에 대해서 서비스를 제공할 것인지의 여부 또는 서비스의 전체 또는 일부를 제공할 것인지의 여부에 대한 판단 기준이라고 볼 수 있다.
아래의 표는 영화 사이트나 영화관에서 영화 제공을 위한 서비스 요청자(110) 및 서비스 리소스의 속성을 예시한다.
<표 1>
영화 등급 서비스 요청자 나이
R 21세 이상
PG-13 13세 이상
G 모든 서비스 요청자
<표 2>
영화 카테고리 서비스 요청자 멤버쉽 등급
New release 프리미엄 등급
Old release 레귤러 등급
영화 관람자(서비스 요청자(110))의 속성으로 나이 및 멤버쉽 등급이 정의되어 있고, 서비스 리소스의 속성으로 영화 등급과 영화 카테고리가 정의되어 있다. 영화 관람자가 영화관(서비스 제공자(120))에 특정 영화에 대한 접근 요청을 하였을 때, 서비스 제공자(120)는 위의 표 1 및 표 2의 속성 규정에 따라서 영화를 제공할 것인지의 여부를 판단하게 되는 것이다. 예를 들어, 영화 관람자의 나이가 25세이고, 멤버쉽 등급이 레귤러라면, R, PG-13, G 등급의 영화와 "Old release" 영화를 관람할 수 있는 권한이 주어지게 되는 것이다. 따라서, "New release" 영화에 대하여서는 서비스 제공자(120)의 접근 제어 정책에 따라서 요청하는 영화를 제공할 수 없다.
이때, 서비스 요청자(110)가 서비스 제공자(120)에게 서비스를 요청하면 서 비스 제공자(120)는 자신이 정의한 접근 제어 정책을 판단하기 위하여 서비스 요청자(110)에 대한 속성을 저장된 속성 리스트로부터 수집하게 되는데, 본 발명에서는 서비스 제공자(120)가 서비스 요청자(110)에 대하여 저장하고 있지 않은 속성에 대해서는 네트워크 상에서 협업하는 다른 피어(Peer)(130)에게 서비스 요청자에 대한 속성을 질의하여 수집할 수 있다. 따라서, 본 발명에서는 서비스 제공자(120)가 서비스 요청자(110)에 대한 속성을 모르더라도 네트워크 상에 있는 다른 피어(130)로부터 속성을 파악할 수 있어서 동적으로 속성에 따른 접근 제어를 할 수가 있다. 또한, 본 발명은 피투피 네트워크 상에서 이루어지기 때문에, 네트워크에 있는 불특정 다수의 피어(130a, 130b)에게 속성을 질의하여 수집할 수 있어서 속성 수집의 확률을 높일 수 있다.
도 2는 본 발명의 일 실시예에 따른 피투피 네트워크 상에서 접근 제어 장치의 블록도이다.
본 발명에서는 피투피 네트워크 상에서 서비스를 주고 받는 장치에 관한 것이므로, 각각의 장치가 서비스 요청자(110), 서비스 제공자(120), 및 피어(130)가 될 수 있다. 따라서, 서비스 요청자(110), 서비스 제공자(120), 및 피어(130)는 동일한 구성의 장치가 될 수 있다.
본 발명의 일 실시예에 따른 피투피 네스워크 상에서 접근 제어 장치(200)는 속성 처리 모듈(220), 접근 제어 모듈(210)을 포함할 수 있다. 또한, 신뢰도 평가 모듈(230)을 더 포함할 수 있다.
속성 처리 모듈(220)은 서비스 요청자(110)로부터 서비스 요청이 들어왔을 때 서비스 요청자(110)의 속성을 기초로 서비스 요청자(110)에 대한 접근 제어 정책을 판단할 수 있다.
속성 처리 모듈(220)은 속성 질의부(222), 속성 저장부(224) 및 접근 제어 정책 판단부(226)를 포함하여 구성될 수 있다.
속성 질의부(222)는 서비스 요청자(110)로부터 피투피 네트워크 상에서 원격으로 서비스의 요청을 수신하는 서비스 요청 수신부(212)가 서비스 요청자(110)로부터 서비스 요청을 받았을 때, 서비스 요청자(110)의 속성을 속성 저장부(224)에 질의한다. 서비스 제공자(120)가 자신의 속성 저장부(224)로부터 서비스 요청자(110)의 모든 속성을 수집할 수 있으면, 이를 기초로 서비스 요청자(110)에 대한 접근 제어 정책을 판단할 수 있다.
그러나, 서비스 제공자(120)의 속성 저장부(224)에 서비스 요청자(110)의 속성을 수집할 수 없을 경우가 있다. 예를 들어, 극장 A에 등록된 사용자가 새로 생긴 극장 B에서 영화 관람을 원할 경우에 극장 B가 영화 관람자에 대한 속성인 개인 정보가 등록되어 있지 않다면 극장 B는 영화 관람자의 속성을 파악할 수 없다. 따라서, 본 발명에서는 영화 관람자의 속성을 파악하기 위해 극장 B가 극장 A에게 영화 관람자의 속성을 요청하여 영화 관람자의 속성을 수집할 수 있도록 하는 것이다. 이때, 통신부(250)를 통하여 피투피 네트워크 상에 있는 불특정 다수의 피어(130)에게 속성을 요청할 수 있다. 서비스 제공자(120)로부터 속성을 질의 받은 피어(130)는 자신의 속성 저장부(224)를 통해 서비스 요청자의 속성을 파악하여 이를 서비스 제공자에게 제공할 수 있다.
속성 저장부(224)는 네트워크 상에 있는 장치들에 대한 속성을 저장한다. 속정 저장부(224)에 있는 속성들은 네트워크 상에 있는 장치들이 서비스 요청을 위해 접근을 할 때마다 새롭게 갱신되어 저장될 수 있다.
접근 제어 정책 판단부(226)는 자신의 속성 저장부(224)에 저장된 서비스 요청자(110)의 속성 또는 피어(130)로부터 요청하여 피어(130)의 속성 저장부(224)로부터 수신한 서비스 요청자(110)의 속성을 기초로 서비스 요청자(110)에 대한 접근 제어 정책을 판단한다. 이때, 피어(130)로부터 속성을 수집한 경우 속성을 제공한 피어(130)의 신뢰도를 반영하여 접근 제어 정책을 판단할 수 있다. 서비스 요청자(120)에게 속성을 제공한 피어(130)의 신뢰도에 관해서는 후술하기로 한다.
접근 제어 모듈(210)은 서비스 요청자(110)의 서비스 요청을 수신하고 접근 제어 정책에 따라서 서비스 요청자(110)에 대하여 서비스를 제공한다.
접근 제어 모듈(210)은 서비스 요청 수신부(212), 서비스 제공부(214), 및 서비스 저장부(216)를 포함하여 구성될 수 있다.
서비스 요청 수신부(212)는 서비스 요청자(110)로부터 피투피 네트워크 상에서 원격으로 서비스의 요청을 수신한다.
서비스 저장부(216)는 네트워크 상에 있는 다른 장치들에게 제공할 서비스 리소스를 저장한다.
서비스 제공부(214)는 접근 제어 정책 판단부(226)에서 판단된 접근 제어 정책에 따라서 서비스 저장부(216)에 저장된 서비스를 서비스 요청자(120)에게 제공한다. 예를 들어, 서비스 요청자(110)의 속성으로부터 요청한 서비스를 제공할 수 없다는 판단이 접근 제어 정책 판단부(226)에서 내려지면, 서비스 제공자(120)는 서비스 제공부(214)를 통해 서비스 요청자(110)에 대한 서비스 제공을 제한할 수 있는 것이다.
신뢰도 평가 모듈(230)은 네트워크 상에 있는 장치들의 신뢰도를 평가한다. 전술한 것처럼 서비스 제공자(120)가 서비스 요청자(110)의 속성을 파악할 수 없는 경우에, 본 발명에서는 네트워크 상에 있는 피어(130)로부터 서비스 요청자(110)의 속성을 수집할 수 있다. 이때, 서비스 제공자(120)는 속성을 제공한 피어(130)의 신뢰도를 평가하여, 접근 제어 정책을 판단 시에 이를 고려하도록 할 수 있다. 피어(130)로부터 수집한 서비스 요청자(110)의 속성 정보가 오차가 큰 거짓 정보일 수 있기 때문이다.
또한, 피어(130)의 신뢰도 평가 모듈(230)에서는 서비스 요청자(110)의 속성을 요청한 서비스 제공자(120)의 신뢰도를 판단하여 서비스 제공자(120)의 신뢰도에 따라서 요청한 속성을 서비스 제공자(120)에게 제공할 수 있도록 할 수 있다. 신뢰도가 낮은 장치로부터 요청 받은 사항에 대해서는 속성에 대한 정보 제공을 거부하도록 하는 것이다.
신뢰도 평가 모듈(230)은 신뢰도 질의부(232), 신뢰도 저장부(234) 및 신뢰도 평가부(236)를 포함하여 구성될 수 있다.
신뢰도 질의부(232)는 서비스 제공자(120)가 피어(130)로부터 서비스 요청자(110)의 속성을 제공 받았을 경우에, 속성을 제공한 피어(130)의 신뢰도를 신뢰도 저장부(234)에 질의한다. 이때, 서비스 제공자(120)의 신뢰도 저장부(234)로부 터 피어(130)의 신뢰도를 조회할 수 없으면 네트워크에 있는 서비스 제공자(120)가 신뢰하는 다른 피어(130)에게 속성을 제공한 피어(130)의 속성을 통신부(250)를 통하여 요청할 수 있다.
신뢰도 저장부(234)는 네트워크 상에 있는 장치들의 신뢰도를 저장한다. 신뢰도는 수치, 등급 등으로 다양한 방법으로 정의될 수 있다. 예를 들어, 직접적으로 알고 있는 관계일 경우에는 신뢰도를 1, 지인을 통해 간접적으로 알게 된 사용자에 대한 신뢰도는 0.5, 전혀 모르는 관계일 경우에는 0으로 설정할 수 있을 것이다. 또한, 네트워크 상에서 사용자의 ID를 도용하는 경우가 빈번하므로 도용된 ID에 대한 정보를 얻었다면 해당 ID의 신뢰도는 -1로 설정할 수 있을 것이다. 이는 일 예에 불과한 것이고 네트워크의 서비스 환경이나 서비스의 종류 등에 따라서 다양한 방법으로 정의될 수 있을 것이다.
신뢰도 평가부(236)는 서비스 제공자(120)의 신뢰도 저장부(234)로부터 획득한 피어(130)의 신뢰도 또는 네트워크 상에 있는 다른 피어의 신뢰도 저장부(234)로부터 획득한 피어(130)의 신뢰도로부터 피어(130)의 신뢰도를 평가한다. 예를 들어, 서비스 요청자(110)의 속성을 제공한 피어(130)의 신뢰도에 대하여 서비스 제공자(120)의 신뢰도 저장부(234)에는 1, 다른 피어 1의 신뢰도 저장부(234)에는 0.5, 다른 피어 2의 신뢰도 저장부(234)에는 0.6이라고 저장되어 있을 때, 이를 수집한 신뢰도 평가부(236)는 각각의 장치에서 수집한 신뢰도를 평균하여 서비스 요청자(110)의 속성을 제공한 피어(130)의 신뢰도를 0.7이라고 평가할 수 있는 것이다. 또는, 신뢰도 평가부(236)는 신뢰도 값이 특정 문턱값 이상의 피어(130)가 제 공한 속성을 가지고서 접근 제어 정책 판단부(226)가 접근 제어 정책을 판단할 수 있도록, 문턱값을 기준으로 피어(130)의 신뢰도를 분류할 수도 있다. 예를 들어 신뢰도가 0.8이상인 피어(130)가 제공한 속성을 기초로만 접근 제어 정책을 판단하도록 하는 것이다.
속성 처리 모듈(220)의 접근 제어 정책 판단부(226)는 자신(서비스 제공자(120))의 속성 저장부(224) 또는 피어(130)의 속성 저장부(224)에서 수집한 속성들과 속성을 제공한 피어(130)의 신뢰도를 바탕으로 서비스 요청자(110)에 대한 접근 제어 정책을 판단할 수가 있다. 예를 들어, 접근 제어 정책을 판단하기 위한 기초가 되는 속성이 서비스 요청자의 나이, 서비스 요청 횟수 등 수치적인 값으로 평가할 수 있는 경우에는 신뢰값과 속성값의 평균을 구해서 접근 제어 정책을 판단할 수 있을 것이다. 또는, 신뢰도 평가부(236)로부터 특정 문턱값 이상의 신뢰도를 가지는 피어(130)로부터 수집한 속성을 분류하여, 특정 문턱값 이상의 신뢰도를 가지는 피어(130)로부터 제공 받은 속성의 평균을 구해서 접근 제어 정책을 판단할 수 있다.
통신부(250)는 피투피 네트워크 상에서 서비스 요청자(110), 서비스 제공자(120)를 포함하는 연결된 장치들 사이에서 통신을 주고 받는 역할을 수행한다.
이하, 본 발명의 일 실시예에 따른 피투피 네트워크 상에서 접근 제어 방법을 설명하기로 한다.
먼저, 서비스 요청 수신부(212)를 통해 서비스 요청자(110)의 서비스 요청을 수신한다(S310).
서비스 요청을 수신한 다음 속성 질의부(222)는 속성 저장부(224)에게 서비스 요청자(110)의 속성을 질의하게 되는데, 서비스 제공자(120)는 자신의 속성 저장부(224)로부터 서비스 요청자(110)의 속성 수집이 가능하면(S315) 자신의 속성 저장부(224)로부터 서비스 요청자(110)의 속성을 수집한다(S325). 그러나, 자신의 속성 저장부(224)로부터 서비스 요청자(110)의 속성 수집이 불가능하면(S315), 통신부(250)를 통하여 네트워크 상에 있는 불특정 다수 또는 신뢰도가 높은 특정의 피어(130)에게 통신부(250)를 통하여 서비스 요청자(110)의 속성을 요청(S320)하고, 피어(130)의 속성 저장부(224)로부터 서비스 요청자(110)의 속성을 제공 받게 된다. 이때, 피어(130)는 속성을 요청한 서비스 제공자(120)의 신뢰도에 따라서 자신의 속성 저장부(224)에 있는 서비스 요청자(110)의 속성 정보를 서비스 제공자(120)에게 제공할 수도 있고 제공하지 않을 수도 있다.
접근 제어 정책 판단부(226)는 수집된 서비스 요청자(110)의 속성 정보를 기초로 서비스 요청자(110)에 대한 접근 제어 정책을 판단하게 되는데, 피어(130)로부터 서비스 요청자(110)의 속성을 수집한 경우(S330)에는 신뢰도 평가 모듈(230)에서 피어(130)의 신뢰도를 평가하게 된다(S345). 이때, 서비스 제공자(120)의 신뢰도 평가 모듈(230)에서 피어(130)의 신뢰도 평가가 가능(S335)하면 자신의 신뢰로 평가 모듈(230)에서 피어(130)의 신뢰도를 평가(S345)하고, 자신의 신뢰도 평가 모듈(230)에서 속성을 제공한 피어(130)에 대한 신뢰도 정보가 없어서 신뢰도 평가가 불가능한 경우(S335)에는 다른 피어에게 서비스 요청자(110)의 속성을 제공한 피어(130)의 신뢰도를 요청(S340)하여 피어(130)의 신뢰도를 평가(S345)할 수 있 다.
접근 제어 정책 판단부(226)는 서비스 요청자(110)의 속성과 서비스 요청자(110)의 속성을 제공한 피어(130)의 신뢰도를 기초로 서비스 요청자(110)에 대한 접근 제어 정책을 판단할 수 있다(S350).
다음, 서비스 제공부(214)는 접근 제어 정책 판단부(226)의 접근 제어 정책에 따라서 서비스 저장부(216)에 저장된 서비스 리소스를 서비스 요청자에게 제공할 수 있다(S355).
본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 본 발명의 일 실시예에 다른 피투피 네트워크 상에서 서비스 요청자, 서비스 제공자, 및 피어의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 피투피 네트워크 상에서 접근 제어 장치의 블록도이다.
도 3은 본 발명의 일 실시예에 따른 피투피 네트워크 상에서 접근 제어 방법의 흐름도이다.
<도면의 주요 부분에 관한 부호의 설명>
210: 접근 제어 모듈
220: 속성 처리 모듈
230: 신뢰도 평가 모듈
250: 통신부

Claims (13)

  1. 피투피(P2P; peer to peer) 네트워크 상에서 접근 제어 장치에 있어서,
    서비스 요청자의 속성을 수집하여 이를 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 속성 처리 모듈; 및
    상기 접근 제어 정책에 따라 상기 서비스 요청자에 대하여 상기 서비스의 제공을 제어하는 접근 제어 모듈을 포함하며,
    서비스 제공자가 상기 서비스 요청자의 속성을 수집할 수 없을 때에는, 상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집하고,
    상기 속성 처리 모듈은 상기 수집된 서비스 요청자의 속성과 상기 서비스 요청자의 속성을 제공한 피어의 신뢰도로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는,
    피투피 네트워크 상에서 접근 제어 장치.
  2. 제 1 항에 있어서,
    상기 네트워크 상에 있는 장치들의 신뢰도를 평가하는 신뢰도 평가 모듈을 더 포함하는 피투피 네트워크 상에서 접근 제어 장치.
  3. 제 2 항에 있어서,
    상기 속성 처리 모듈은
    상기 네트워크 상에 있는 장치들의 속성을 저장한 속성 저장부; 및
    상기 속성 저장부에 저장된 상기 서비스 요청자의 속성 또는 상기 피어로부 터 수집한 상기 서비스 요청자의 속성을 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 접근 제어 정책 판단부를 포함하는 피투피 네트워크 상에서 접근 제어 장치.
  4. 제 2 항에 있어서,
    상기 접근 제어 모듈은
    상기 서비스 요청자에게 제공할 서비스를 저장하는 서비스 저장부; 및
    상기 접근 제어 정책에 따라 상기 저장된 서비스를 제공하는 서비스 제공부를 포함하는 피투피 네트워크 상에서 접근 제어 장치.
  5. 제 2 항에 있어서,
    상기 신뢰도 평가 모듈은
    상기 서비스 요청자의 속성을 제공한 피어의 신뢰도를 평가할 수 없으면 상기 네트워크 상에 있는 다른 피어로부터 상기 피어의 신뢰도를 평가 받는 피투피 네트워크 상에서 접근 제어 장치.
  6. 제 5 항에 있어서,
    상기 신뢰도 평가 모듈은
    상기 네트워크 상에 있는 장치들의 신뢰도를 저장한 신뢰도 저장부;
    상기 신뢰도 저장부에 저장된 상기 피어의 신뢰도 또는 상기 다른 피어로부 터 수집한 상기 피어의 신뢰도로부터 상기 피어의 신뢰도를 평가하는 신뢰도 평가부를 포함하는 피투피 네트워크 상에서 접근 제어 장치.
  7. 삭제
  8. 제 2 항에 있어서,
    상기 서비스 제공자로부터 상기 서비스 요청자의 속성 제공을 요청 받은 피어는 상기 서비스 제공자의 신뢰도에 따라서 상기 서비스 요청자의 속성을 상기 서비스 제공자에게 제공하거나 제공하지 않는 피투피 네트워크 상에서 접근 제어 장치.
  9. 피투피(P2P; peer to peer) 네트워크 상에서 접근 제어 방법에 있어서,
    서비스 요청자로부터 서비스 요청을 수신하는 단계;
    상기 서비스 요청자의 속성을 수집하는 단계;
    상기 서비스 요청자의 속성을 기초로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는 단계; 및
    상기 접근 제어 정책에 따라 상기 서비스 요청자에 대하여 상기 서비스의 제공을 제어하는 단계를 포함하며,
    상기 서비스 요청자의 속성을 수집하는 단계에서 서비스 제공자가 상기 서비스 요청자의 속성을 수집할 수 없을 때에는, 상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집하고,
    상기 접근 제어 정책을 판단하는 단계는 상기 수집된 서비스 요청자의 속성과 상기 서비스 요청자의 속성을 제공한 피어의 신뢰도로 상기 서비스 요청자에 대한 접근 제어 정책을 판단하는,
    피투피 네트워크 상에서 접근 제어 방법.
  10. 제 9 항에 있어서,
    상기 네트워크 상에 있는 피어로부터 상기 서비스 요청자의 속성을 수집한 이후에 상기 피어의 신뢰도를 평가하는 단계를 더 포함하는 피투피 네트워크 상에서 접근 제어 방법.
  11. 제 9 항에 있어서,
    상기 서비스 요청자의 속성을 제공한 피어의 신뢰도를 평가할 수 없으면 상기 네트워크 상에 있는 다른 피어로부터 상기 피어의 신뢰도를 평가 받는 피투피 네트워크 상에서 접근 제어 방법.
  12. 삭제
  13. 제 10 항에 있어서,
    상기 서비스 제공자로부터 상기 서비스 요청자의 속성 제공을 요청 받은 피어는 상기 서비스 제공자의 신뢰도에 따라서 상기 서비스 요청자의 속성을 상기 서비스 제공자에게 제공하거나 제공하지 않는 피투피 네트워크 상에서 접근 제어 방법.
KR1020080013574A 2008-02-14 2008-02-14 피투피 네트워크 상에서 접근 제어 장치 및 방법 KR101407640B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080013574A KR101407640B1 (ko) 2008-02-14 2008-02-14 피투피 네트워크 상에서 접근 제어 장치 및 방법
US12/349,091 US7949750B2 (en) 2008-02-14 2009-01-06 Apparatus and method for controlling access in P2P network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080013574A KR101407640B1 (ko) 2008-02-14 2008-02-14 피투피 네트워크 상에서 접근 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20090088181A KR20090088181A (ko) 2009-08-19
KR101407640B1 true KR101407640B1 (ko) 2014-06-16

Family

ID=40956131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080013574A KR101407640B1 (ko) 2008-02-14 2008-02-14 피투피 네트워크 상에서 접근 제어 장치 및 방법

Country Status (2)

Country Link
US (1) US7949750B2 (ko)
KR (1) KR101407640B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651690A (zh) * 2009-09-08 2010-02-17 中兴通讯股份有限公司 信任关系的建立方法及对等系统
CN101841804A (zh) * 2010-04-06 2010-09-22 中兴通讯股份有限公司 业务管理系统和方法
GB2505208A (en) * 2012-08-22 2014-02-26 Ibm Node attribute validation in a network
US8978101B2 (en) * 2013-01-22 2015-03-10 Dell Products L.P. Systems and methods for security tiering in peer-to-peer networking
US9264451B2 (en) * 2013-09-17 2016-02-16 International Business Machines Corporation Generation of attribute based access control policy from existing authorization system
KR102009160B1 (ko) * 2018-10-19 2019-08-09 빅픽처랩 주식회사 블록체인 기반 정보 트러스트 엔진 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006103386A1 (en) * 2005-03-31 2006-10-05 British Telecommunications Public Limited Company Method and apppratus for communicating information between devices

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1047992B1 (en) 1998-01-16 2002-04-10 Macrovision Corporation System and method for authenticating peer components
WO2001013201A2 (en) 1999-08-12 2001-02-22 Sarnoff Corporation Peer-to-peer network user authentication protocol
US8719562B2 (en) * 2002-10-25 2014-05-06 William M. Randle Secure service network and user gateway
US7512649B2 (en) * 2002-03-22 2009-03-31 Sun Microsytems, Inc. Distributed identities
US7451217B2 (en) 2002-12-19 2008-11-11 International Business Machines Corporation Method and system for peer-to-peer authorization
GB2400200A (en) * 2003-04-05 2004-10-06 Hewlett Packard Development Co Use of nodes to monitor or manage peer to peer network
US20060005009A1 (en) * 2004-06-30 2006-01-05 International Business Machines Corporation Method, system and program product for verifying an attribute of a computing device
KR100886081B1 (ko) 2005-07-07 2009-02-26 주식회사 케이티 이동 네트워크를 위한 피어 이동라우터 인증 방법 및 그를이용한 다수의 임시주소 등록 방법 및 장애 발생시 복구방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006103386A1 (en) * 2005-03-31 2006-10-05 British Telecommunications Public Limited Company Method and apppratus for communicating information between devices

Also Published As

Publication number Publication date
US7949750B2 (en) 2011-05-24
US20090210544A1 (en) 2009-08-20
KR20090088181A (ko) 2009-08-19

Similar Documents

Publication Publication Date Title
US9984241B2 (en) Method, apparatus, and system for data protection
KR101407640B1 (ko) 피투피 네트워크 상에서 접근 제어 장치 및 방법
Conner et al. A trust management framework for service-oriented environments
KR102605458B1 (ko) 분석 기능 발견 방법 및 장치
JP6416409B2 (ja) アクセスポイントステアリング
US8701168B2 (en) Method and apparatus for associating a digital certificate with an enterprise profile
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
US7751340B2 (en) Management of incoming information
US8103617B2 (en) Distributed directory server, distributed directory system, distributed directory managing method, and program of same
KR101280346B1 (ko) 권한 제어에 기초한 단말기 관리 방법 및 장치
JP6034389B2 (ja) 推薦システムからの要求の評価の自動生成
US20110040830A1 (en) Web service multi-key rate limiting method and system
US20160226790A1 (en) Provisioning and managing resources
US20140059067A1 (en) Exchange of information
CA2830360C (en) Information monitoring apparatus and information monitoring method
EP3790259A1 (en) Communication device and communication method
JP2017220112A (ja) データ管理システム、制御方法、およびプログラム
CN114726547A (zh) 基于数据交换中间件工业互联网访问控制方法和可读介质
US7921202B2 (en) System and method for passive information capture, cache and matching to facilitate uninterrupted transactions
CA2595438A1 (en) Method for improving peer to peer network communication
CN113347212B (zh) 基于区块链的可信服务调度方法、装置、设备和存储介质
US20110289552A1 (en) Information management system
US10425296B2 (en) Method and system for providing service according to policy
KR101434920B1 (ko) 자원 공유 방법 및 그를 수행하는 시스템
KR101213746B1 (ko) Sla 고장 관리를 위한 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170522

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180518

Year of fee payment: 5