KR101521804B1 - 로컬 자원에 대한 접근 제어 장치 및 그 방법 - Google Patents

로컬 자원에 대한 접근 제어 장치 및 그 방법 Download PDF

Info

Publication number
KR101521804B1
KR101521804B1 KR1020130130153A KR20130130153A KR101521804B1 KR 101521804 B1 KR101521804 B1 KR 101521804B1 KR 1020130130153 A KR1020130130153 A KR 1020130130153A KR 20130130153 A KR20130130153 A KR 20130130153A KR 101521804 B1 KR101521804 B1 KR 101521804B1
Authority
KR
South Korea
Prior art keywords
remote
user
local
access control
access
Prior art date
Application number
KR1020130130153A
Other languages
English (en)
Other versions
KR20150049500A (ko
Inventor
이건희
김신규
서정택
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130130153A priority Critical patent/KR101521804B1/ko
Publication of KR20150049500A publication Critical patent/KR20150049500A/ko
Application granted granted Critical
Publication of KR101521804B1 publication Critical patent/KR101521804B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 로컬 자원에 대한 접근 제어 장치 및 그 방법에 관한 것이다. 특히, 로컬 시스템의 로컬 접근제어장치가 원격 시스템의 원격 응용 프로그램에서 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 단계, 로컬 접근제어장치가 상기 원격 시스템의 원격 접근제어장치를 통해 로컬 응용 프로그램으로 접속을 요청한 원격 사용자의 인증과 권한을 확인하는 단계, 로컬 접근제어장치가 원격 응용 프로그램의 로컬 응용 프로그램에 대한 접속을 허용하는 단계, 로컬 접근제어장치가 로컬 응용 프로그램에서 로컬 자원에 접근하는 것을 인지하는 단계, 로컬 접근제어장치가 접근제어를 위해 상기 로컬 응용 프로그램을 사용하는 사용자를 확인하기 위해 상황 정보를 확인하는 단계, 로컬 접근제어장치가 상황 정보를 확인한 결과를 토대로 상기 로컬 자원에 대한 접근을 제어하는 단계를 포함한다.

Description

로컬 자원에 대한 접근 제어 장치 및 그 방법{APPARATUS AND METHOD FOR CONTROLLING ACCESS TO LOCAL RESOURCE}
본 발명은 로컬 자원에 대한 접근 제어 장치 및 그 방법에 관한 것으로, 특히 시스템에 대한 원격 접속이 허용되는 컴퓨팅 환경에서 원격 시스템에서 로컬시스템으로 접속하는 사용자가 로컬 시스템의 로컬 자원을 마음대로 사용할 수 없도록 접근을 통제하되, 원격 접속에 사용하는 응용 프로그램에 관계 없이 접근을 제어하는 장치 및 그 방법에 관한 것이다.
일반적으로, 시스템 자원을 사용할 때 허가되지 않은 사용자가 시스템 자원을 사용할 수 없도록 통제되어야 한다. 이는 시스템 자원의 오남용을 막기 위함이다. 이를 위하여, 시스템은 사용자 인증을 통해 시스템을 사용하는 사용자의 신원을 확인할 수 있어야 하고, 확인된 사용자가 현재 사용하고자 하는 자원을 사용할 수 있는지를 확인할 수 있어야 한다. 이러한 과정이 제공되지 않는 환경에서는 제3자가 신분을 속여 불법으로 자원을 사용할 수 있다.
예를 들어, 한국공개특허 제2013-0049911호 "스카다 시스템에 있어서의 접근제어 장치 및 접근제어 방법"은 사용자로부터 장치제어 메시지를 입력받은 데이터베이스 엔진이 접근제어 연동부를 통해 메시지를 정형화된 접근제어 요청 메시지로 변경하고, 접근제어부를 통해 접근허용 여부를 판단한 후, 그 결과에 따라 제어명령 수행여부를 결정한다.
다만, 앞서 기재하고 있는 선행 기술은 명령을 내린 사용자가 아닌 시스템의 권한을 확인하는 기술에 불과하며, 불특정 다수의 사용자가 불특정 다수의 원격 시스템을 통해 로컬자원 및 프로그램에 접근할 때 사용자의 신원과 권한을 확인하고, 이를 통해 접근 제어를 수행할 수 없다.
로컬 시스템에 직접 접근하여 원하는 자원을 사용하고자 할 경우에는 운영체제 및 보안운영체제 등에서 해당 기능을 제공한다. 이 경우 운영체제에서 제공하는 사용자 인증 방식을 통해 사용자 신원을 확인하여 시스템을 사용할 수 있도록 하고, 시스템 콜 단위로 사용자의 자원에 대한 접근을 인지한 운영체제는 현재 사용자가 해당 접근을 사용할 권한을 지녔는지를 확인 후 접근을 허용한다.
하지만, 사용자가 원격에서 응용 프로그램을 사용하여 시스템 자원에 접근할 경우에는 앞에서 기재한 방법으로 시스템 자원의 오남용의 문제점을 해결할 수 없다. 운영체제는 실제 자원에 접근하려는 사용자가 누구인지를 알 수 있는 방법이 없기 때문이다.
따라서, 주로 응용 프로그램이 자체적으로 사용자의 신원과 권한을 확인하는 방법을 사용한다. 그러나 응용 프로그램 자체적으로 사용자의 신원과 권한을 확인하는 방법을 사용할 경우에는 모든 응용 프로그램이 접근제어 기법을 구현해야 하고, 시스템 전체로 접근제어를 확장하려면 모든 응용 프로그램이 동일한 방식의 접근제어 기법을 사용할 수 있도록 개발해야 하나 이는 현실적으로 불가능하다. 또한, 이와 같은 접근제어 기법이 구현된다 하여도 관리를 위해서 관리자가 모든 응용 단위로 일일이 접근권한을 관리해야 하므로 관리에 소요되는 비용이 높아진다.
본 발명의 목적은 사용자가 원격에서 원격 응용 프로그램을 이용하여 로컬 시스템의 로컬 자원에 접근하고자 할 때, 응용 프로그램에 관계없이 어떠한 프로그램을 사용하더라도 사용자의 신원과 할당된 권한을 확인할 수 있는 방법을 제시함으로써, 응용 프로그램에 관계 없이 접근을 제어하는 장치 및 그 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 로컬 자원에 대한 접근 제어 방법은
로컬 시스템의 로컬 접근제어장치가 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 단계; 상기 로컬 접근제어장치가 상기 원격 시스템의 원격 접근제어장치를 통해 상기 로컬 응용 프로그램으로 접속을 요청한 원격 사용자의 인증과 권한을 확인하는 단계; 상기 로컬 접근제어장치가 상기 원격 응용 프로그램의 상기 로컬 응용 프로그램에 대한 접속을 허용하는 단계; 상기 로컬 접근제어장치가 상기 로컬 응용 프로그램에서 로컬 자원에 접근하는 것을 인지하는 단계; 상기 로컬 접근제어장치가 접근제어를 위해 상기 로컬 응용 프로그램을 사용하는 사용자를 확인하기 위해 상황 정보를 확인하는 단계; 및 상기 로컬 접근제어장치가 상기 상황 정보를 확인한 결과를 토대로 상기 로컬 자원에 대한 접근을 제어하는 단계를 포함한다.
이 때, 상기 로컬 접근제어장치가 상기 원격 사용자의 인증과 권한을 확인하는 단계는 상기 로컬 접근제어장치가 상기 원격접근제어장치로 사용자 인증 요청 메시지를 전달하는 단계; 상기 원격 접근제어장치가 상기 원격 사용자의 인증 정보 및 권한 정보를 확인 하는 단계; 상기 로컬 접근제어장치가 상기 원격 접근제어장치로부터 상기 원격 응용 프로그램과 사용자의 쌍을 검색한 결과에 해당하는 상기 원격 사용자의 정보와 접근 권한 정보를 전달받는 단계; 및 상기 원격 사용자의 정보를 토대로 상기 원격 사용자를 인증하고, 상기 원격사용자의 접근권한 정보를 이용하여 상기 원격 사용자의 권한을 확인하는 단계를 포함한다.
이 때, 상기 원격 응용프로그램이 상기 로컬 응용 프로그램에 대한 접속을 허용하는 단계는 상기 로컬 접근제어 장치가 상기 원격 응용 프로그램을 사용하는 사용자와 상기 로컬 응용 프로그램의 쌍을 상황 정보로 저장하는 단계를 포함하는 것을 특징으로 한다.
이 때, 상기 상황 정보를 확인하는 단계는 상기 로컬 자원에 접근하고자 하는 상기 로컬 응용프로그램을 사용하는 사용자가 누구인지를 확인하는 단계로, 앞서 저장된 사용자와 사용자가 사용하는 응용 프로그램의 쌍을 통해서 실제 사용자를 확인하는 것을 특징으로 한다.
이 때, 상기 로컬 접근제어장치가 상기 상황 정보를 확인한 결과를 토대로 상기 로컬 자원에 대한 접근을 제어하는 단계는 상기 상황 정보를 확인하는 단계에서 파악된 사용자가 상기 로컬 자원에 대해 접근할 수 있는 권한을 가졌는지를 확인하기 위해 상기 사용자가 가진 권한과 상기 로컬 접근제어장치가 가진 정책을 비교하여 검사한 후 사용자가 정당한 권한을 가진 경우 접근을 허가하고 그렇지 않을 경우 접근을 거부하는 것을 특징으로 한다.
이 때, 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 단계 이전에 상기 원격 접근제어장치는 상기 원격 사용자가 상기 원격 시스템에 로그인 후 상기 원격 사용자를 인증서 기반으로 인증하고 인증된 사용자 정보를 저장하는 단계; 상기 원격 사용자가 원격 응용프로그램을 실행하고자 하는 것을 인지하는 단계; 및 상기 원격 사용자를 확인하거나 확인이 안될 경우 인증하고, 상기 원격 사용자의 권한 정보가 접근제어 정책에서 정의하고 있는 권한에 부합되는지를 판단하여 사용자의 권한을 확인하는 단계; 상기 원격 사용자가 정당한 권한을 가졌을 경우 상기 원경 응용 프로그램 사용을 허가하는 단계; 상기 원격 사용자와 상기 원격 응용 프로그램의 쌍에 해당하는 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.
이 때, 상기 로컬 자원에 대한 접근을 제어하는 단계 이후에, 상기 로컬 자원에 대한 의무사항을 수행하도록 제어하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명의 일실시예에 따른 원격 시스템과 로컬 시스템이 통신하는 환경에서 상기 로컬 시스템 측면에서 원격 사용자의 로컬 자원에 대한 접근을 제어하는 장치는
상기 원격 사용자가 상기 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것과 상기 로컬 응용 프로그램이 로컬 자원에 접근하는 것을 인지하는 접근 시도 인지부; 상기 원격 사용자가 정당한 사용자인지를 확인하기 위해 인증을 수행하는 사용자 인증부; 상기 로컬 응용 프로그램을 사용하는 실제 사용자를 확인하는 상황 인지부; 사용자별 할당된 권한 목록 및 권한별 접근 가능한 자원 목록을 관리하는 정책 관리부; 및 상기 사용자 인증부와 상기 상황 인지부에서 확인한 상황 정보를 토대로 상기 원격 응용 프로그램을 통해 로컬 응용 프로그램으로 접속하는 것과 상기 로컬 응용 프로그램을 통해 상기 로컬 자원에 대한 접근하는 것을 제어하는 접근제어 결정부를 포함한다.
이 때, 접근시도 인지부는 상기 원격 응용 프로그램이 상기 로컬 응용 프로그램에 접속하는 시도와 상기 로컬 응용 프로그램이 로컬 자원에 접근하는 시도를 구분하여 상기 접근제어 결정부에 알린다.
이 때, 상기 접근제어 결정부가 상기 원격 응용 프로그램이 상기 로컬 응용 프로그램에 접속하는 시도가 발생했음을 접근시도 인지부로부터 수신하면, 상기 접근제어 결정부는 상기 원격 접근제어장치로 상기 원격 응용 프로그램을 사용하는 사용자에 대한 인증과 권한정보를 요청하는 인증 요청 메시지를 전달하고, 상기 원격 접근제어장치로부터 수신한 응답 메시지에 포함된 사용자 인증정보와 사용자 권한 정보를 이용하여 상기 원격 응용 프로그램을 사용하는 사용자가 정당한 권한을 가졌으면 상기 원격 응용 프로그램의 상기 로컬 응용 프로그램에 대한 접근을 허용한다. 이 때, 상기 접근제어 결정부는 상기 사용자 정보와 상기 로컬 응용 프로그램 정보를 쌍으로 하는 해당 정보를 상황 인지부에 저장한다.
이 때, 상기 접근제어 결정부가 상기 로컬 응용 프로그램이 상기 로컬 자원에 접근하고자 하는 시도를 접근시도 인지부로부터 수신하면, 상기 접근제어 결정부는 상황 인지부를 통해 상기 로컬 응용 프로그램을 사용하는 사용자 정보를 요청한다. 이 때, 상황 인지부는 자신이 가지고 있는 사용자와 응용 프로그램의 쌍으로 된 정보 목록 중 해당 응용 프로그램을 사용하고 있는 현재 사용자의 정보를 검색 후 상기 접근제어 결정부로 전송한다. 다음, 상기 접근제어 결정부는 획득한 사용자 정보에서 사용자가 가지고 있는 권한 정보와 정책 관리부에 저장된 자원별 접근 권한 정보를 비교하여 사용자가 정당한 권한을 가졌으면 상기 로컬 응용 프로그램의 상기 로컬 자원에 대한 접근 시도를 허용한다.
이 때, 상기 로컬 자원에 대한 접근을 허용한 다음에 의무사항을 수행하도록 하는 의무사항 수행부를 더 포함한다.
또한, 본 발명의 다른 실시예에 따른 원격 시스템과 로컬 시스템이 통신하는 환경에서 상기 원격 시스템 측면에서 원격 사용자의 로컬 자원에 대한 접근을 제어하는 장치는
상기 원격 사용자가 상기 원격 시스템의 원격 응용 프로그램을 실행하는 것과 상기 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 접근 시도 인지부; 및 상기 원격 사용자가 해당 시스템을 사용할 수 있는 안전한 사용자 임을 확인하기 위해 인증하고, 인증된 상기 원격 사용자의 정보를 저장하며, 상기 로컬 시스템의 로컬 접근제어장치로부터 전달받은 사용자 인증 요청 메시지에 포함된 원격 응용 프로그램의 사용자를 인증하는 사용자 인증부; 및 상기 원격 사용자가 상기 원격 응용 프로그램을 사용하는 것을 허가 받았을 때 상기 원격 사용자와 상기 원격 응용 프로그램 정보 쌍을 저장하고, 상기 로컬 시스템의 로컬 접근제어장치로부터 전달받은 사용자 인증 요청 메시지에 포함된 원격 응용 프로그램을 사용하는 사용자 정보를 확인하는 상황 인지부; 및 상기 원격 시스템의 자원 및 응용 프로그램을 이용할 수 있는 권한을 세부적으로 정의하고 관리하고 있는 정책 관리부; 및 상기 사용자 인증부의 사용자 인증 결과와 상기 원격 사용자의 권한과 정책 관리부에 저장된 권한 정보를 비교하여 정당한 권한이 있는지 확인한 결과를 토대로 상기 원격 사용자의 상기 원경 응용 프로그램 사용과 상기 원격 응용 프로그램에서 상기 로컬 응용 프로그램에 대한 접속 시도하는 것을 제어하는 접근제어 결정부를 포함한다.
본 발명에 따르면, 로컬 시스템에 설치된 로컬 접근제어장치가 로컬 시스템의 로컬 자원에 접근하고자 하는 응용 프로그램의 종류와 관계없이, 모든 접근에 대해서 사용자의 신원과 권한을 검증한 후에 안전한 사용자에게만 로컬 자원에 대한 접근을 허용할 수 있다.
이와 같은, 본 발명의 실시예에 따른 로컬 자원에 대한 접근 제어 기술을 이용하여 범용 접근 제어 기술을 개발할 수 있다. 즉, 종래의 접근 제어 기술을 모든 응용에 적용하기 위해서는 각각의 응용 프로그램에서 별도의 접근 제어 방법을 구현하거나 운영체제 자체를 수정하여 운영체제에서 접근 제어를 수정하도록 해야하는 등 많은 비용이 들었지만, 본 발명에서 제시하는 로컬 자원에 대한 접근 제어 장치를 통해 모든 응용에 적용 가능한 접근 제어 방법을 제시함으로써 비용을 절감할 수 있다.
또한, 본 발명의 실시예에 따르면, 로컬 시스템의 로컬 접근제어장치는 원격 시스템을 통해 접근하는 사용자라 할지라도 사용자의 신원을 정확히 검증할 수 있고, 사용자가 접속한 원격 시스템에 설치된 응용 프로그렘에 대해서도 정확히 인증하고 권한을 확인할 수 있으므로, 원격 접속에 의한 자원 접근에 대한 접근 통제를 명확히 수행할 수 있다.
도 1은 본 발명의 실시예에 따른 로컬 자원에 대한 접근 제어 장치가 적용되는 환경을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 접근 제어 장치를 개략적으로 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 접근 제어 장치와 사용자 간의 인증 과정을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 로컬 자원의 접근을 제어하는 방법이 적용되는 환경을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 로컬 자원의 접근을 제어하는 방법을 나타내는 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예 따른 로컬 자원에 대한 접근 제어 장치 및 그 방법에 대하여 첨부한 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 로컬 자원에 대한 접근 제어 장치가 적용되는 환경을 나타내는 도면이다.
도 1을 참고하면, 사용자(10)는 원격 시스템(20)을 이용하여 작업을 하며, 원격 시스템(30)과 네트워크로 연결된 로컬 시스템(30)에 접속하여 로컬 시스템(30)에 존재하는 로컬 자원을 사용한다.
즉, 사용자(10)는 원격 시스템(20)을 통해 로컬 시스템(30)으로 자원 요청을 하고, 로컬 시스템(30)은 원격 시스템(20)을 통해 사용자(10)에게 자원을 제공한다. 여기서, 로컬 시스템(30)은 사용자(10)에게 자원을 제공하기에 앞서, 사용자(10)의 신원과 권한을 확인해야 한다. 이때, 로컬 시스템(30)에 해당하는 응용 프로그램이 이와 같은 기능을 가지고 있지 않다면, 사용자(10)의 신원과 권한을 확인할 수 있는 방법이 없다.
본 발명은 두 시스템 즉, 원격 시스템(20)과 로컬 시스템(30)이 위치하는 환경에서, 원격 시스템(20)에서 사용자가 응용 프로그램을 이용하여 로컬 시스템(30)의 로컬 자원에 접근하여 작업을 수행하고자 할 때, 사용자의 속성 및 응용 프로그램의 속성과 접근제어 정책에 근거하여 해당 작업을 허용하거나 불허할 수 있도록 하는 방법에 관한 것이다.
즉, 본 발명의 실시예에 따르면, 허용된 사용자 및 응용 프로그램에 한해서 시스템 자원을 사용할 수 있도록 허용할 수 있다. 또한, 본 발명은 응용 프로그램에서 독립적으로 동작할 수 있는 방법이므로, 접근 제어 방법을 모든 응용에 구현하지 않고 운영체제 수준에서 구현함으로써, 모든 응용 프로그램 및 자원에 대한 접근 제어를 수행할 수 있다.
다음, 본 발명의 실시예에 따른 접근제어장치를 도 2를 참조하여 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 접근제어장치를 개략적으로 나타내는 도면이다.
먼저, 접근제어장치는 원격 시스템(20)과 로컬 시스템(30) 각각에 위치한다. 여기서, 원격 시스템(20)에 위치하는 접근제어장치(200)와 로컬 시스템(30)에 위치하는 접근제어장치(300)의 구성은 동일하다.
도 2에서는 원격 시스템(20)에 위치하는 접근 제어 장치(200)를 기준으로 설명한다.
접근제어장치(200)는 제어부(210), 접근시도 인지부(220), 접근제어 결정부(230), 정책 관리부(240), 상황 인지부(250), 사용자 인증부(260), 의무사항 수행부(270) 및 통신부(280)를 포함한다.
제어부(210)는 접근제어장치(200) 내부의 모든 동작을 통제한다.
접근시도 인지부(220)는 원격 시스템(200)에서의 시스템 콜(25)에서 발생하는 모든 접근 시도를 실제 접근이 발생하기 전에 인지한다.
접근제어 결정부(230)는 사용자 인증부(260)에서 사용자를 확인한 결과와 사용자의 권한 정보를 이용하여 접근시도 인지부(220)가 인지한 접근 시도를 허용할지 불허할지를 결정한다.
정책 관리부(240)는 접근제어를 결정하는데 있어서 필요한 접근제어 정책을 관리한다. 여기서, 접근제어 정책은 사용자별로 정리되어 있는 사용자의 권한 정보와 자원 및 응용 프로그램별로 정리되어 있는 자원 및 응용 프로그램에 접근하기 위한 권한 이다.
상황 인지부(250)는 현재 원격 시스템(200)에 접속된 실제 사용자와 각 사용자가 어떤 응용 프로그램을 사용하고 있는지에 대한 정보를 확인하여 저장하고, 필요에 따라 현재의 시간, 장소 등의 상황 정보를 획득한다. 이때, 상황 인지부(250)는 사용자와 사용자가 사용하고 있는 응용 프로그램을 하나의 쌍으로 정의하고, 이를 저장한다.
사용자 인증부(260)는 사용자의 인증서 또는 크리덴셜(credential)을 검증함으로써, 안전한 사용자임을 검증하는 역할을 수행한다. 여기서, 크리덴셜은 다양한 형태로 구현될 수 있으며, 본 발명의 실시예에서는 편의상 인증서를 사용하는 것을 가정하여 설명한다.
의무사항 수행부(270)는 접근제어 결정부(230)에서 자원에 대한 접근을 허용한 후에 반드시 수행해야 하는 의무사항을 수행하도록 한다.
통신부(280)는 다른 접근제어장치 즉, 로컬 시스템(30)에 위치하는 접근 제어 장치(300)와 통신을 수행한다.
다음, 사용자의 신원을 확인하기 위하여 접근 제어 장치와 사용자 간의 인증 과정을 도 3을 참조하여 상세하게 설명한다. 여기서 접근제어장치와 사용자 간 인증은 사용자가 시스템에 로그인 한 후 반드시 수행해야 하며, 이 때 시스템은 원격 시스템과 로컬 시스템 모두가 해당된다.
도 3은 본 발명의 실시예에 따른 접근 제어 장치와 사용자 간의 인증 과정을 나타내는 도면이다.도 3그림 수정
도 3을 참고하면, 사용자(10)는 원격 시스템(20)에 로그인한다. 그러면, 원격 시스템(20)에 해당하는 접근 제어 장치는 운영체제의 로그인 정보와 별도로 사용자의 인증서를 기반으로 사용자 인증을 수행한다.
구체적으로, 사용자(10)가 원격 시스템(20)에 로그인 하면, 접근제어장치의 접근시도 인지부는 사용자의 로그인 사실을 인지하고 이를 제어부에 전달한다. 접근제어장치의 제어부는 사용자 인증부를 통해 사용자의 인증서를 이용하여 로그인한 사용자의 사용자 인증을 수행한다. 접근 제어 장치의 사용자 인증부는 사용자 인증에 성공하면, 사용자의 정보를 사용자 인증부가 관리하는 현재 접속한 사용자 목록에 저장한다. 이때, 사용자 정보만 저장되는 것이 아니라 사용자 인증서가 포함하는 사용자의 권한 정보를 함께 저장된다. 여기서 사용자가 인증서를 제시하는 방법은 사용자별로 부여된 보안 USB(universal serial bus)(310)에 저장된 인증서를 제시하는 방법을 이용할 수도 있으며, 원격 시스템(20)에 별도로 할당된 저장부(320)에 안전하게 보관된 인증서를 접근제어장치가 검색하여 확인할 수도 있다.
다음, 사용자(10)가 원격 시스템(20)에서 원격 응용 프로그램을 이용하여 로컬 시스템(30)의 로컬 자원에 접근하고자 하는 경우에 로컬 자원의 접근을 제어하는 방법을 도 4 및 도 5를 참조하여 상세하게 설명한다.
도 4는 본 발명의 실시예에 따른 로컬 자원의 접근을 제어하는 방법이 적용되는 환경을 나타내는 도면이고, 도 5는 본 발명의 실시예에 따른 로컬 자원의 접근을 제어하는 방법을 나타내는 흐름도이다.
도 4를 참고하면, 로컬 자원의 접근을 제어하는 방법이 적용되는 환경은 사용자(10), 원격 시스템(20) 및 로컬 시스템(30)을 포함한다. 여기서, 원격 시스템(20)은 원격 응용 프로그램과 원격 접근제어장치(200)를 포함하고, 로컬 시스템(30)은 로컬 응용 프로그램과 권한이 있는 사용자만 접근 가능한 자원 및 로컬 접근제어장치(300)를 포함한다.
먼저, 원격 시스템(20)에 접속한 사용자(10)가 도 4의 (1)과 같이, 원격 응용 프로그램을 실행하고자 한다. 그러면, 원격 접근제어장치(200)의 접근시도 인지부는 사용자가 원격 응용 프로그램을 실행하고자 하는 사실 즉, 원격 응용 프로그램 실행 요청을 인지한다(S501). 이때, 원격 접근제어장치(200)의 접근시도 인지부는 도 4의 (2)와 같이 원격 시스템(20)에서의 시스템 콜을 가로채 확인함으로써, 사용자(10)의 원격 응용 프로그램 실행 요청을 인지할 수 있다. 원격 접근제어장치(200)의 접근시도 인지부는 접근시도를 인지한 사실을 접근제어 결정부로 전달한다. 원격 접근제어장치(200)의 접근제어 결정부는 사용자(10)가 원격 응용 프로그램을 사용할 수 있는 안전한 사용자이면서, 원격 응용 프로그램을 실행할 수 있는 권한이 있는지를 확인한다(S502).
구체적으로, 원격 접근제어장치(200)의 접근제어 결정부는 먼저 사용자 인증부를 통해 사용자가 안전한 사용자 인지 확인한다. 이 때 사용자 인증부는 저장된 정보 중 해당 사용자 정보가 있는지 확인한다. 사용자 정보가 있다면 상기 사용자는 안전한 사용자로 간주한다. 만약 저장부에 사용자 정보가 없다면 사용자 인증서를 기반으로 사용자 인증을 수행한다. 이 때 인증은 도 3에 설명된 사용자 인증과 동일하다. 다음, 원격 접근제어장치(200)의 접근제어 결정부는 사용자 인증서가 포함하는 사용자의 권한 정보와 원격 접근제어장치(200)의 정책 관리부에서 제공하는 접근제어 정책을 비교하고, 비교 결과를 토대로 사용자의 권한 정보가 접근제어 정책에서 정의하는 권한에 부합되는지를 판단한다.
원격 접근제어장치(200)는 S502 단계에서 인증된 사용자이면서, 권한이 있는 사용자인 경우에 원격 응용 프로그램을 사용하는 것을 허용한다. 이 때, 상기 원격 접근제어장치는 상황인지부를 통해 사용자와 응용프로그램 쌍의 정보를 저장한다.
원격 응용 프로그램은 도 4의 (3)과 같이 사용자의 요청에 의해 로컬 시스템(30)의 로컬 응용 프로그램에 접속한다(S503). 그러면, 원격 접근제어장치(200)의 접근시도 인지부는 도 4의 (4)와 같이 원격 시스템(20)에서의 시스템 콜을 가로채 확인함으로써 원격 응용 프로그램의 로컬 응용 프로그램에 대한 접속 시도를 인지한다(S504). 원격 접근제어장치(200)의 접근시도 인지부는 접근시도를 인지한 사실을 원격 접근제어장치(200)의 접근제어 결정부로 전달한다. 원격 접근제어장치(200)의 접근제어 결정부는 원격 응용 프로그램을 사용하고 있는 사용자를 확인한 후 해당 사용자가 원격 응용 프로그램을 통해 외부의 시스템에 접속할 수 있는 권한이 있는지를 확인한다(S505).
구체적으로, 원격 접근제어장치(200)의 접근제어 결정부는 상황 인지부를 통해 원격 응용 프로그램을 사용하고 있는 사용자 정보를 추출한다. 이 때 상황 인지부는 저장된 사용자와 사용자가 사용하는 응용 프로그램 쌍의 목록에서 사용자 정보를 검색한다. 접근제어 결정부는 추출된 사용자가 가진 권한 정보와 정책 관리부를 통해 확인한 필요 권한 정보를 비교하여 해당 사용자가 원격 응용 프로그램을 통해 외부의 로컬 응용 프로그램으로 접속을 요청하기 위한 정당한 권한을 가졌는지를 판단한다.원격 접근제어장치(200)는 S505 단계에서 정당한 권한이 있는 사용자인 경우에 원격 응용 프로그램을 통해 로컬 응용 프로그램으로 접근을 시도하는 것을 허용한다. 이 때, 상기 원격 접근제어장치(200)는 상황 인지부를 통해 사용자(10)가 상기 원격 응용프로그램을 통해 외부의 응용 프로그램으로 접속을 시도하였음을 저장한다.
로컬 접근제어장치(300)의 접근시도 인지부는 도 4의 (5)와 같이, 원격 접근제어장치(200)가 로컬 시스템(30)의 로컬 응용 프로그램에 접속 요청하는 것을 인지한다(S506).
로컬 접근제어장치(300)의 접근제어 결정부는 원격 시스템(20)의 어떤 응용 프로그램이 접근을 요청했는지는 알 수 있으나, 어느 사용자가 실제 응용 프로그램을 동작하고 있는지 알 수 없으므로, 사용자 인증을 요청하는 메시지 즉, 사용자 인증 요청 메시지를 원격 접근제어장치(200)로 전달한다(S507). 여기서, 사용자 인증 요청 메시지는 사용자 정보와 사용자의 접근권한 정보를 요청하는 메시지이다. 또한, 로컬 접근제어장치는 로컬 응용프로그램에 대한 접근시도에 포함된 소스 IP 주소를 통해 원격 접근제어장치를 특정하고, 상기 접근시도에 포함된 소스 Port 주소를 인증 요청 메시지에 함께 포함하여 인증 요청 메시지를 전송한다. 이때, 로컬 접근제어장치(300)의 통신부는 사용자 인증 요청 메시지를 원격 접근제어장치(200)의 통신부로 전달한다. 이와 같이, 각 접근제어장치에는 접근제어장치간의 안전한 통신이 가능하도록 보안통신을 수행할 수 있는 통신부가 위치한다.
사용자 인증 요청 메시지를 수신한 원격 접근제어장치(200)는 사용자 확인 및 인증을 수행한다(S508).
구체적으로, 원격 접근제어장치(200)의 통신부는 수신한 사용자 인증 요청 메시지를 원격 접근제어장치(200)의 제어부에 전달하고, 원격 접근제어장치(200)의 제어부는 인증 요청 메시지에 포함된 상기 소스 Port 주소에 근거하여 상기 원격 응용 프로그램을 특정하고, 상황 인지부가 저장하고 있는 응용 프로그램과 사용자의 쌍이 외부 응용 프로그램에 접속을 시도한 사실을 검색하여, 검색한 결과를 토대로 상기 원격 응용 프로그램을 통해 로컬 시스템(30)으로 자원을 요청한 사용자를 인증한다.
다음, 원격 접근제어장치(200)는 도 4의 (7)과 같이 사용자 정보와 사용자의 접근권한 정보를 로컬 접근제어장치(300)로 전달한다(S509).
로컬 접근제어장치(300)의 접근제어 결정부는 상기 원격 접근제어장치를 통해 획득한 사용자 정보를 이용하여 사용자를 인증하고, 사용자의 접근권한 정보와 로컬 접근제어장치(300)의 정책 관리부에서 획득한 필요 권한을 비교하여 사용자(10)가 로컬 응용 프로그램에 접속하기 위한 정당한 권한을 가졌는지 확인한다(S510).
로컬 접근제어장치(300)의 접근제어 결정부는 S510 단계에서 확인한 결과를 토대로 원격 응용 프로그램의 로컬 응용 프로그램에 대한 접속을 허용한다(S511). 이때, 로컬 접근제어장치(300)는 로컬 응용 프로그램에 대한 접속이 허용된 경우, 권한정보를 포함하는 사용자의 정보와 로컬 응용 프로그램 정보의 쌍을 상황 인지부에 저장한다.
로컬 접근제어장치(300)의 접근시도 인지부는 도 4의 (8)과 같이 로컬 시스템(30)의 로컬 응용 프로그램이 로컬 자원에 접근하고자 하는 사실을 도 4의 (9)와 같이 인지한다(S512).
로컬 접근제어장치(300)의 접근제어 결정부는 S511 단계에서 상황 인지부에 저장된 정보를 바탕으로 현재 상황정보를 확인한다(S513).
구체적으로, 로컬 접근제어장치(300)의 접근제어 결정부는 상황 인지부에 저장된 정보를 이용하여 로컬 자원에 접근하고자 하는 로컬 응용 프로그램의 실제 사용자를 확인한다.
로컬 접근제어장치(300)의 접근제어 결정부는 S513 단계에서 확인한 로컬 자원에 접근하고자 하는 사용자가 적절한 권한이 있는지 확인 후 적절한 권한이 있으면 로컬 시스템(30)의 로컬 응용프로그램이 로컬 자원에 대해 접근하는 것을 허용한다(S514). 이 때, 사용자의 권한이 적절한지는 상기 사용자의 권한과 정책 관리부의 상기 로컬자원에 접근하기 위한 권한이 일치하는지 확인함으로써 판단 가능하다.
다음, 로컬 접근제어장치(300)의 접근제어 결정부는 정책 관리부에 저장된 정책에 접근 허용 후 반드시 수행해야 하는 의무사항이 있다면 의무사항 수행부를 통해 의무사항을 수행하도록 한다(S515). 여기서 의무사항은 자원에 접근하고자 하는 사용자를 다시 한 번 인증 하는 등의 작업이 될 수 있다.
이와 같이, 본 발명은 로컬 시스템에 설치된 로컬 접근제어장치가 로컬 시스템의 로컬 자원에 접근하고자 하는 응용 프로그램의 종류와 관계없이, 모든 접근에 대해서 사용자의 신원과 권한을 검증한 후에 안전한 사용자에게만 로컬 자원에 대한 접근을 허용할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10; 사용자 20; 원격 시스템
200; 원격 접근제어장치 30; 로컬 시스템
300; 로컬 접근제어장치
210; 제어부 220; 접근시도 인지부
230; 접근제어 결정부 240; 정책 관리부
250; 상황 인지부 260; 사용자 인증부
270; 의무사항 수행부 280; 통신부

Claims (16)

  1. 로컬 시스템의 로컬 접근제어장치가 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 단계;
    상기 로컬 접근제어장치가 상기 원격 시스템의 원격 접근제어장치를 통해 상기 로컬 응용 프로그램으로 접속을 요청한 원격 사용자의 인증과 권한을 확인하는 단계;
    상기 로컬 접근제어장치가 상기 원격 응용 프로그램의 상기 로컬 응용 프로그램에 대한 접속을 허용하는 단계;
    상기 로컬 접근제어장치가 상기 로컬 응용 프로그램에서 로컬 자원에 접근하는 것을 인지하는 단계;
    상기 로컬 접근제어장치가 상기 로컬 응용 프로그램을 사용하는 사용자를 확인하기 위해 상황 정보를 확인하는 단계; 및
    상기 상황 정보를 확인한 결과를 토대로 상기 로컬 자원에 대한 접근을 제어하는 단계
    를 포함하는 로컬 자원에 대한 접근 제어 방법.
  2. 청구항 1에 있어서,
    상기 원격 사용자의 인증과 권한을 확인하는 단계는
    상기 로컬 접근제어장치가 상기 원격 접근제어장치로 사용자 인증 요청 메시지를 전달하는 단계;
    상기 원격 접근제어장치가 상기 사용자 인증 요청 메시지에 포함된 상기 원격 응용 프로그램 정보를 이용하여 상기 로컬 응용 프로그램으로 접속을 시도한 원격 사용자의 정보를 검색하는 단계;
    상기 원격 접근제어장치가 검색된 원격 사용자의 정보와 접근 권한 정보를 상기 로컬 접근제어장치로 전달하는 단계; 및
    상기 로컬 접근제어장치가 상기 원격 접근제어장치로부터 전달받은 상기 원격 사용자의 정보를 토대로 상기 원격 사용자를 인증하고, 상기 원격 사용자의 접근권한 정보를 이용하여 상기 원격 사용자의 권한을 확인하는 단계
    를 포함하는 로컬 자원에 대한 접근 제어 방법.
  3. 청구항 1에 있어서,
    상기 로컬 접근제어장치가 상기 원격 응용 프로그램의 상기 로컬 응용 프로그램에 대한 접속을 허용하는 단계는
    상기 로컬 접근제어 장치가 상기 원격 응용 프로그램을 사용하는 사용자와 상기 로컬 응용 프로그램의 쌍을 상황 인지부에 저장하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  4. 청구항 1에 있어서,
    상기 상황 정보를 확인하는 단계는
    상황 인지부를 통해 상기 로컬 자원에 접근하고자 하는 응용 프로그램을 사용하고 있는 사용자를 확인하는 단계로, 앞서 상황 인지부에 저장된 정보에서 상기 원격 사용자와 상기 로컬 응용 프로그램의 쌍을 검색하여 상기 로컬 응용 프로그램을 사용하는 실제 사용자 정보를 획득하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  5. 청구항 1에 있어서,
    상기 상황 정보를 확인한 결과를 토대로 상기 로컬 자원에 대한 접근을 제어하는 단계는
    상기 상황 정보를 확인하는 단계에서 파악된 사용자가 상기 로컬 자원에 대해 접근할 수 있는 권한을 가졌는지를 확인하기 위해 상기 사용자가 가진 권한과 상기 로컬 접근제어장치가 가진 정책을 비교하여 검사한 후, 상기 사용자가 상기 로컬 자원에 접근할 수 있는 정당한 권한을 가진 경우에만 접근을 허용하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  6. 청구항 1에 있어서,
    상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 단계 이전에
    상기 원격 접근제어장치는 상기 원격 시스템에 로그인한 상기 원격 사용자에 대해 인증을 하는 단계;
    상기 원격 접근제어장치는 상기 원격 사용자가 원격 응용프로그램을 실행하고자 하는 것을 인지하는 단계;
    상기 원격 접근제어장치는 상기 원격 사용자의 권한에 따라 상기 원격 응용 프로그램에 대한 사용을 제어하는 단계;
    상기 원격 접근제어장치는 상기 원격 응용 프로그램이 상기 로컬 응용 프로그램으로 접근을 시도하는 것을 인지하는 단계; 및
    상기 원격 접근제어장치는 상기 원격 응용 프로그램이 상기 로컬 응용 프로그램으로 접속을 시도하는 것을 제어하는 단계
    를 더 포함하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  7. 청구항 6에 있어서,
    상기 원격 접근제어장치는 상기 원격 시스템에 로그인한 상기 원격 사용자에 대해 인증을 하는 단계는
    사용자의 크리덴셜을 이용해 사용자가 정상 사용자 인지를 확인하고, 인증된 사용자를 상기 원격 접근제어장치에 저장하는 것을 특징으로 하는 로컬 자원에 대한 접근제어 방법.
  8. 청구항 6에 있어서,
    상기 원격 접근제어장치는 상기 원격 사용자의 권한에 따라 상기 원격 응용 프로그램에 대한 사용을 제어하는 단계는
    상기 원격 접근제어장치가 상기 원격 응용 프로그램을 사용하고자 하는 상기 원격 사용자의 권한과 상기 원격 접근제어장치가 가지고 있는 응용 프로그램별 접근 권한을 비교하여 상기 원격 사용자가 정당한 권한을 가졌으면 상기 원격 응용 프로그램을 사용하도록 허가하는 것을 특징으로 하는 로컬 자원에 대한 접근제어 방법.
  9. 청구항 6에 있어서,
    상기 원격 접근제어장치는 상기 원격 사용자의 권한에 따라 상기 원격 응용 프로그램에 대한 사용을 제어하는 단계는 상기 원격 접근제어장치가 상기 원격 응용 프로그램을 사용하고자 하는 상기 원격 사용자의 권한과 상기 원격 접근제어장치가 가지고 있는 응용 프로그램별 접근 권한을 비교하여 상기 원격 사용자가 정당한 권한을 가졌으면 상기 원격 응용 프로그램을 사용하도록 허가하고,
    상기 로컬 자원에 대한 접근을 제어하는 단계 이후에, 상기 로컬 자원에 대한 의무사항을 수행하도록 제어하는 단계를 더 포함하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  10. 청구항 6에 있어서,
    상기 원격 접근제어장치가 상기 원격 응용 프로그램이 상기 로컬 응용 프로그램으로 접속을 시도하는 것을 제어하는 단계는
    상기 원격 접근제어장치가 상기 원격 응용 프로그램을 통해 상기 로컬 응용 프로그램으로 접속을 시도하는 상기 원격 사용자를 식별하고, 식별된 사용자의 권한과 상기 원격 접근제어장치가 가지고 있는 권한을 비교하여, 상기 원격 사용자가 정당한 권한을 가졌으면, 상기 원격 응용 프로그램을 통해 상기 로컬 프로그램에 접속하기 위한 시도를 할 수 있도록 허가하는 단계; 및
    상기 원격 사용자가 상기 원격 응용 프로그램을 이용하여 상기 로컬 응용 프로그램에 접속 시도하는 사실을 기록하는 단계를 포함하는 것을 특징으로 하는 로컬 자원에 대한 접근제어 방법.
  11. 청구항 1에 있어서,
    상기 로컬 자원에 대한 접근을 제어하는 단계 이후에,
    상기 로컬 자원에 대한 의무사항을 수행하도록 제어하는 단계를 더 포함하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 방법.
  12. 원격 시스템과 로컬 시스템이 통신하는 환경에서 상기 로컬 시스템 측면에서 원격 사용자의 로컬 자원에 대한 접근을 제어하는 장치에 있어서,
    상기 원격 사용자가 상기 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것과 상기 로컬 응용 프로그램이 로컬 자원에 접근하는 것을 인지하여 접근제어 결정부로 알리는 접근 시도 인지부;
    상기 원격 사용자가 정당한 사용자인지를 확인하기 위해 인증을 수행하는 사용자 인증부;
    상기 로컬 응용 프로그램을 사용하는 실제 사용자를 확인하는 상황 인지부;
    사용자별 할당된 권한 목록 및 권한별 접근 가능한 자원 목록을 관리하는 정책 관리부; 및
    상기 사용자 인증부와 상기 상황 인지부에서 확인한 상황 정보를 토대로 상기 원격 응용 프로그램을 통해 로컬 응용 프로그램으로 접속하는 것과 상기 로컬 응용 프로그램을 통해 상기 로컬 자원에 대한 접근하는 것을 제어하는 접근제어 결정부
    를 포함하는 로컬 자원에 대한 접근 제어 장치.
  13. 청구항 12에 있어서,
    상기 접근제어 결정부는
    상기 원격 응용 프로그램이 상기 로컬 응용 프로그램에 접속하는 시도가 발생했음을 접근시도 인지부로부터 수신하면, 상기 원격 접근제어장치로 상기 원격 응용 프로그램을 사용하는 사용자에 대한 인증과 권한정보를 요청하는 인증 요청 메시지를 전달하고, 상기 원격 접근제어장치로부터 수신한 응답 메시지에 포함된 사용자 인증정보와 사용자 권한 정보를 이용하여 상기 원격 응용 프로그램을 사용하는 사용자가 정당한 권한을 가졌으면 상기 원격 응용 프로그램의 상기 로컬 응용 프로그램에 대한 접근을 허용하고, 상기 접근이 허용된 사용자 정보와 상기 로컬 응용 프로그램 정보의 쌍을 상황 인지부에 저장하는 것; 및
    상기 로컬 응용 프로그램이 상기 로컬 자원에 접근하고자 하는 시도를 접근시도 인지부로부터 수신하면, 상황 인지부를 통해 상기 로컬 응용 프로그램을 사용하는 사용자 정보를 요청하고, 상황 인지부를 통해 획득한 사용자 정보에서 사용자가 가지고 있는 권한 정보와 정책 관리부에 저장된 자원별 접근 권한 정보를 비교하여 사용자가 정당한 권한을 가졌으면 상기 로컬 응용 프로그램의 상기 로컬 자원에 대한 접근 시도를 허용하는 것
    을 특징으로 하는 로컬 자원에 대한 접근 제어 장치.
  14. 청구항 12에 있어서,
    상기 상황 인지부는
    상기 로컬 접근제어장치의 접근제어 결정부가 전달하는 상기 접근이 허용된 사용자 정보와 상기 로컬 응용 프로그램 정보의 쌍을 저장하고, 상기 로컬 접근제어장치의 접근제어 결정부가 상기 로컬 응용 프로그램을 사용하는 사용자 확인을 요청할 경우 저장된 정보를 검색하여 정확한 사용자 정보를 제공하는 것
    을 특징으로 하는 로컬 자원에 대한 접근 제어 장치.
  15. 청구항 12에 있어서,
    상기 로컬 자원에 대한 접근을 허용한 다음에 의무사항을 수행하도록 하는 의무사항 수행부를 더 포함하는 것을 특징으로 하는 로컬 자원에 대한 접근 제어 장치.
  16. 원격 시스템과 로컬 시스템이 통신하는 환경에서 상기 원격 시스템 측면에서 원격 사용자의 로컬 자원에 대한 접근을 제어하는 장치에 있어서,
    상기 원격 사용자가 상기 원격 시스템의 원격 응용 프로그램을 실행하는 것과 상기 원격 시스템의 원격 응용 프로그램에서 상기 로컬 시스템의 로컬 응용 프로그램으로 접속을 요청하는 것을 인지하는 접근 시도 인지부;
    상기 원격 사용자가 해당 시스템을 사용할 수 있는 안전한 사용자 임을 확인하기 위해 인증하고, 인증된 상기 원격 사용자의 정보를 저장하며, 상기 로컬 시스템의 로컬 접근제어장치로부터 전달받은 사용자 인증 요청 메시지에 포함된 원격 응용 프로그램의 사용자를 인증하는 사용자 인증부;
    상기 원격 사용자가 상기 원격 응용 프로그램을 사용하는 것을 허가 받았을 때 상기 원격 사용자와 상기 원격 응용 프로그램 정보 쌍을 저장하고, 상기 로컬 시스템의 로컬 접근제어장치로부터 전달받은 사용자 인증 요청 메시지에 포함된 원격 응용 프로그램을 사용하는 사용자 정보를 확인하는 상황 인지부;
    상기 원격 시스템의 자원 및 응용 프로그램을 이용할 수 있는 권한을 세부적으로 정의하고 관리하고 있는 정책 관리부; 및
    상기 사용자 인증부의 사용자 인증 결과와 상기 원격 사용자의 권한과 정책 관리부에 저장된 권한 정보를 비교하여 정당한 권한이 있는지 확인한 결과를 토대로 상기 원격 사용자의 상기 원격 응용 프로그램 사용과 상기 원격 응용 프로그램에서 상기 로컬 응용 프로그램에 대한 접속 시도하는 것을 제어하는 접근제어 결정부
    를 포함하는 로컬 자원에 대한 접근 제어 장치.
KR1020130130153A 2013-10-30 2013-10-30 로컬 자원에 대한 접근 제어 장치 및 그 방법 KR101521804B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130130153A KR101521804B1 (ko) 2013-10-30 2013-10-30 로컬 자원에 대한 접근 제어 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130130153A KR101521804B1 (ko) 2013-10-30 2013-10-30 로컬 자원에 대한 접근 제어 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20150049500A KR20150049500A (ko) 2015-05-08
KR101521804B1 true KR101521804B1 (ko) 2015-05-20

Family

ID=53387578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130130153A KR101521804B1 (ko) 2013-10-30 2013-10-30 로컬 자원에 대한 접근 제어 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101521804B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110678819B (zh) 2017-05-25 2023-03-28 Ls产电株式会社 控制程序运行方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070031673A (ko) * 2005-09-15 2007-03-20 한국과학기술정보연구원 단일 사용자용 컴퓨터 환경과 부가 장비의 원격 임차서비스를 제공하는 시스템 및 그 방법
KR20110083889A (ko) * 2010-01-15 2011-07-21 삼성전자주식회사 데이터 저장장치에서 원격 제어에 따라 데이터를 처리하는 방법 및 그 장치
KR20120081213A (ko) * 2009-10-15 2012-07-18 에어비퀴티 인코포레이티드. 자동차 소프트웨어 애플리케이션들 및 서비스들의 중앙 관리

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070031673A (ko) * 2005-09-15 2007-03-20 한국과학기술정보연구원 단일 사용자용 컴퓨터 환경과 부가 장비의 원격 임차서비스를 제공하는 시스템 및 그 방법
KR20120081213A (ko) * 2009-10-15 2012-07-18 에어비퀴티 인코포레이티드. 자동차 소프트웨어 애플리케이션들 및 서비스들의 중앙 관리
KR20110083889A (ko) * 2010-01-15 2011-07-21 삼성전자주식회사 데이터 저장장치에서 원격 제어에 따라 데이터를 처리하는 방법 및 그 장치

Also Published As

Publication number Publication date
KR20150049500A (ko) 2015-05-08

Similar Documents

Publication Publication Date Title
US10523656B2 (en) Session migration between network policy servers
US11063928B2 (en) System and method for transferring device identifying information
US10127751B2 (en) Controlling physical access to secure areas via client devices in a networked environment
KR102308403B1 (ko) 검증 토큰을 사용하는 자원 액세스 제어
US11831642B2 (en) Systems and methods for endpoint management
US10110585B2 (en) Multi-party authentication in a zero-trust distributed system
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US20050177724A1 (en) Authentication system and method
KR101668550B1 (ko) 비밀번호 기반 역할 및 권한 부여 장치 및 방법
CN102571873B (zh) 一种分布式系统中的双向安全审计方法及装置
Martinelli et al. Improving security in industry 4.0 by extending OPC-UA with usage control
CN112464213B (zh) 一种操作系统访问控制方法、装置、设备及存储介质
KR101521804B1 (ko) 로컬 자원에 대한 접근 제어 장치 및 그 방법
KR101404537B1 (ko) 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법
KR101473719B1 (ko) 지능형 로그인 인증 시스템 및 그 방법
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
KR101400709B1 (ko) 클라우드 컴퓨팅 환경에서 터미널 서비스 접근 제어 시스템 및 방법
US20230161860A1 (en) Using a digital badge to access managed devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 4