KR101535746B1 - 보안 감시 네트워크의 접근 제어 시스템 및 방법 - Google Patents
보안 감시 네트워크의 접근 제어 시스템 및 방법 Download PDFInfo
- Publication number
- KR101535746B1 KR101535746B1 KR1020140062904A KR20140062904A KR101535746B1 KR 101535746 B1 KR101535746 B1 KR 101535746B1 KR 1020140062904 A KR1020140062904 A KR 1020140062904A KR 20140062904 A KR20140062904 A KR 20140062904A KR 101535746 B1 KR101535746 B1 KR 101535746B1
- Authority
- KR
- South Korea
- Prior art keywords
- attribute
- authentication
- authorization
- authority
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Abstract
본 발명은 보안 감시 네트워크의 접근 제어 시스템 및 방법에 관한 것이다. 본 발명의 하나의 실시예에 따라, 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증하고, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증하고, 속성 값에 상응하는 권한정책 정보들을 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하여 XACML로 인가하는 속성 및 권한 인증 시스템; 및 접근주체의 접근요청 내용을 수신하고, 속성 및 권한 인증 시스템의 속성 값 인증에 따라 XACML로 접근요청 내용에 대한 권한결정을 속성 및 권한 인증 시스템으로 요청하고 XACML로 속성 및 권한 인증 시스템으로부터 권한결정을 응답받아 권한결정에 따라 집행하여 접근주체의 접근을 제어하는 권한집행 유닛;을 포함하여 이루어지는 보안 감시 네트워크의 접근 제어 시스템이 제안된다. 또한, 보안 감시 네트워크의 접근 제어 방법이 제안된다.
Description
본 발명은 보안 감시 네트워크의 접근 제어 시스템 및 방법에 관한 것이다. 보다 구체적으로는 속성 인증서의 권한 구조를 트리구조화하고 SAML 및 XACML을 적용한 새로운 보안 감시 네트워크의 접근 제어 시스템 및 방법에 관한 것이다.
사회 안전 서비스 제공을 위한 보안 감시 시스템이 보편화되어, 공공 카메라이외에, 사설 카메라도 많이 설치되어 운영되고 있다. 카메라로부터 수집되는 영상정보는 다양한 계층의 관련자 - 경찰서, 행정관서, 관리기관의 담당인력-을 포함하여, 교통 정보 등의 공공자료를 원하는 일반인에게까지 제공되고 있다. 이에 따라 보안 감시 시스템에 대한 접근성이 확대되고, 향상되는 만큼 안전성 확보를 위한 접근 제어 기법이 요구된다.
최근에 설치되는 카메라는 전용선을 쓰는 CCTV(Closed Circuit Television)이 아닌 인터넷 기반의 IP 카메라이며, 독립적으로 처리기와 저장소를 가지고, 촬영된 영상으로부터 정보를 추출하고, 이벤트를 발생시키며, 원격 관리시스템을 조정할 수 있는 스마트 카메라 형태이다. ONVIF(Open Network Video Interface Forum)에서 제정되는 표준은 보안감시용 스마트 카메라의 호환성을 목적으로 만든 표준으로, 클라이언트에게 웹 서비스를 제공하도록 웹 서비스 프레임워크를 정의하고 있다. OASIS(Organization for the Advancement of Structured Information Standards)의 웹 서비스 표준을 따르고 있으며, 호환성을 위한 WS-I(Web Services Interoperability)의 basic profile 2.0을 준수하고 있다.
대규모 네트워크 시스템을 위한 접근제어 시스템으로 역할기반 접근제어(RBAC, Role Based Access Control)가 있다. 이는 공개키 기반구조(PKI, Public Key Infrastructure)와 더불어 동작하는 권한관리 기반구조 (PMI, Privilege Management Infrastructure)를 구축하여 보다 접근제어 정책 관리가 수월한, 융통성 있는 접근제어 기능을 제공한다. 한편, 속성기반 접근제어(ABAC, Attribute Based Access Control)는 규칙 기반 접근 제어로 OASIS의 SAML(Security Assertion Markup Language)과 XACML(eXtensible Access Control Markup Language)을 이용한다.
SAML은 인증 및 인가와 관련된 정보를 XML 형식으로 주고 받을 수 있는 프레임워크를 정의한다. XML로 표현된 보안 정보를 “assertions”라고 부르며 서명되고 암호화되어 무결성을 유지한다. 'assertions'의 교환을 위한 프로파일, 프로토콜 등이 정의되어 있다. XACML은 복잡한 정책과 규칙을 다룰 수 있는 기능을 제공함으로써 SAML을 보완한다. 일반적인 인가(authorization) 구조와 접근제어 정책을 표현하고 교환 및 공유할 수 있는 정책언어를 정의한다. 접근제어의 인가 결정을 위한 요청 및 응답 구문을 제공한다. SAML과 XACML은 접근 제어를 위한 보안 정보의 교환에 필요한 데이터 형식을 정의하는데 중점을 두고 있다.
본 발명은 보안 감시 네트워크 시스템에서 종래와 달리, 동적 변화를 수용하는 유연한 권한 속성 구조의 구축에 중점을 두어 웹 서비스의 접근제어에 있어서 인증보다는 인가에 초점을 맞추며, 속성 기반 접근제어 기법을 개선하여 규모 확장성을 제공하면서, 호환성을 유지하는 유연한 기법을 제공하고자 한다.
하나의 예에 따라, 속성 인증서의 권한 구조를 트리구조화하고 접근 제어를 위해 SAML 및 XACML을 적용한 새로운 보안 감시 네트워크의 접근 제어 시스템 및 방법을 제안하고자 한다.
전술한 목적을 달성하기 위하여, 본 발명의 하나의 모습에 따라, 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증하고, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증하고, 속성 값에 상응하는 권한정책 정보들을 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하여 XACML로 인가하는 속성 및 권한 인증 시스템; 및 접근주체의 접근요청 내용을 수신하고, 속성 및 권한 인증 시스템의 속성 값 인증에 따라 XACML로 접근요청 내용에 대한 권한결정을 속성 및 권한 인증 시스템으로 요청하고 XAML로 속성 및 권한 인증 시스템으로부터 권한결정을 응답받아 권한결정에 따라 집행하여 접근주체의 접근을 제어하는 권한집행 유닛;을 포함하여 이루어지는 보안 감시 네트워크의 접근 제어 시스템이 제안된다.
이때, 하나의 예에서, 속성 및 권한 인증 시스템은: 최하위 노드들의 경우 각 크리덴셜 주체명이 기재되고 상위노드들의 경우 역할명이 기재된 소유자필드, 최상위 하부 노드들의 경우 역할명이 기재되거나 공백이고 최상위 노드들의 경우 소유자필드의 역할명에 대한 역할정보가 기재된 속성필드, 및 최상위 하부 노드들의 경우 상위노드 소유자필드의 역할명 또는 상위노드 인증서 정보가 기재되고 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백인 확장필드를 포함하는 속성 인증서들이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장된 속성 저장유닛; 접근주체의 크리덴셜에 따라 SAML로 인증하고 속성 저장유닛에 저장된 속성 인증서들의 속성 값들에 해당하는 역할정보들, 또는 역할정보들과 역할 보조정보들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증하는 속성인증 유닛; 및 속성인증 유닛의 속성인증에 따라 속성 값에 따른 권한정책 정보를 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하고, 권한집행 유닛으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하는 권한인가 서브시스템;을 포함할 수 있다.
또한, 이때, 하나의 예에서, 속성인증 유닛은: 접근주체의 크리덴셜에 따라 인증 DB와 연동하여 SAML로 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행하는 인증기관 서브유닛; 및 인증기관 서브유닛의 인증 주장에 따라 속성 저장유닛에 저장된 속성 인증서들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행하는 속성인증기관 서브유닛;을 포함할 수 있다.
게다가, 이때, 또 하나의 예에서, 속성인증기관 서브유닛은 SAML로 권한인가 서브시스템 및 권한집행 유닛의 속성 질의에 대하여 속성 응답을 수행하고, SAML로 속성 저장유닛으로 속성 주장을 수행하여 속성 저장유닛을 통하여 속성 주장이 권한인가 서브시스템 및 권한집행 유닛으로 속성 주장이 수행되도록 할 수 있다.
또한, 하나의 예에서, 권한인가 서브시스템은: 역할정보, 또는 역할정보와 역할 부가정보에 따른 권한정책 정보를 저장하는 권한정책 저장유닛; 및 속성인증 유닛의 속성인증에 따라 권한정책 저장유닛에 저장된 권한정책 정보들로부터 접근주체의 크리덴셜에 따른 권한을 결정하고, 권한집행 유닛으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하는 권한결정 유닛;을 포함할 수 있다.
이때, 또 하나의 예에서, 권한인가 서브시스템은, 권한결정 유닛으로부터 XACML로 권한정책을 질의받고 응답하되 권한정책 질의에 따라 XACML로 권한정책 저장유닛으로 권한정책 주장을 수행하여 속성 값에 따른 권한정책 정보를 XACML로 권한결정 유닛으로 제공하도록 하는 정책관리 유닛을 더 포함할 수 있다.
또한, 하나의 예에서, 보안 감시 네트워크의 접근 제어 시스템은 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체의 크리덴셜을 수신하여 속성 및 권한 인증 시스템으로 제공하는 크리덴셜 수집유닛을 더 포함할 수 있다.
다음으로, 전술한 목적을 달성하기 위하여, 본 발명의 또 하나의 모습에 따라, 속성 및 권한 인증 시스템에서, 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증하고, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증하는 속성 인증단계; 접근주체로부터 접근요청 내용을 수신한 권한집행 유닛에서, 속성 인증 단계에서의 속성 값 인증에 따라 XACML로 접근요청 내용에 대한 권한결정을 속성 및 권한 인증 시스템으로 요청하고, 속성 및 권한 인증 시스템에서, 속성 값에 상응하는 권한정책 정보들을 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하여 XACML로 권한집행 유닛으로 응답하여 권한을 인가하는 권한 인증단계; 및 권한집행 유닛에서, XAML로 응답받은 권한결정에 따라 집행하여 접근주체의 접근을 제어하는 권한집행 단계;를 포함하여 이루어지는 보안 감시 네트워크의 접근 제어 방법이 제안된다.
이때, 하나의 예에서, 속성 인증단계에서, 속성 및 권한 인증 시스템은 수신된 접근주체의 크리덴셜에 따라 SAML로 인증하고 속성 저장유닛에 저장된 속성 인증서들의 속성 값들에 해당하는 역할정보들, 또는 역할정보들과 역할 보조정보들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증하고, 속성 저장유닛에는 최하위 노드들의 경우 각 크리덴셜 주체명이 기재되고 상위노드들의 경우 역할명이 기재된 소유자필드, 최상위 하부 노드들의 경우 역할명이 기재되거나 공백이고 최상위 노드들의 경우 소유자필드의 역할명에 대한 역할정보가 기재된 속성필드, 및 최상위 하부 노드들의 경우 상위노드 소유자필드의 역할명 또는 상위노드 인증서 정보가 기재되고 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백인 확장필드를 포함하는 속성 인증서들이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장되어 있고, 권한 인가단계에서, 속성 인증 단계의 속성인증에 따라 속성 값에 따른 권한정책 정보를 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하고, 권한집행 유닛으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가할 수 있다.
또한, 이때, 하나의 예에서, 속성 인증단계는: 접근주체의 크리덴셜에 따라 인증 DB와 연동하여 SAML로 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행하는 인증주장 수행단계; 및 인증주장 수행단계에서의 인증 주장에 따라 속성 저장유닛에 저장된 속성 인증서들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행하는 속성인증 수행단계;을 포함할 수 있다.
또한, 하나의 예에서, 권한 인가 단계에서는 속성 인증단계의 속성인증에 따라 권한정책 저장유닛에 저장된 권한정책 정보들로부터 접근주체의 크리덴셜에 따른 권한을 결정하고, 권한집행 유닛으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하고, 권한정책 저장유닛은 역할정보, 또는 역할정보와 역할 부가정보에 따른 권한정책 정보를 저장할 수 있다.
본 발명의 하나의 실시예에 따라, 보안 감시 네트워크 시스템에서 종래와 달리, 동적 변화를 수용하는 유연한 권한 속성 구조의 구축으로 속성 인증서의 권한 구조를 트리구조화하고, 웹 서비스의 접근제어에 있어서 인증보다는 인가에 초점을 맞추며, 속성 기반 접근제어 기법을 SAML 및 XACML을 적용하여 개선하고 규모 확장성을 제공하면서, 호환성을 유지할 수 있다.
본 발명의 다양한 실시예에 따라 직접적으로 언급되지 않은 다양한 효과들이 본 발명의 실시예들에 따른 다양한 구성들로부터 당해 기술분야에서 통상의 지식을 지닌 자에 의해 도출될 수 있음은 자명하다.
도 1은 본 발명의 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템을 나타내는 개략적인 블럭 구성도이다.
도 2는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템을 나타내는 개략적인 블럭 구성도이다.
도 3은 본 발명의 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템에 적용되는 속성 인증서들의 트리구조를 개략적으로 나타낸 도면이다.
도 4는 본 발명의 다른 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법을 개략적으로 나타내는 흐름도이다.
도 5는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법의 일부 공정을 개략적으로 나타내는 흐름도이다.
도 2는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템을 나타내는 개략적인 블럭 구성도이다.
도 3은 본 발명의 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템에 적용되는 속성 인증서들의 트리구조를 개략적으로 나타낸 도면이다.
도 4는 본 발명의 다른 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법을 개략적으로 나타내는 흐름도이다.
도 5는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법의 일부 공정을 개략적으로 나타내는 흐름도이다.
전술한 과제를 달성하기 위한 본 발명의 실시예들이 첨부된 도면을 참조하여 설명될 것이다. 본 설명에 있어서, 동일부호는 동일한 구성을 의미하고, 당해 분야의 통상의 지식을 가진 자에게 본 발명의 이해를 도모하기 위하여 부차적인 설명은 생략될 수도 있다.
본 명세서에서 하나의 구성요소가 다른 구성요소와 연결, 결합 또는 배치 관계에서 '직접'이라는 한정이 없는 이상, '직접 연결, 결합 또는 배치'되는 형태뿐만 아니라 그들 사이에 또 다른 구성요소가 개재됨으로써 연결, 결합 또는 배치되는 형태로도 존재할 수 있다.
본 명세서에 비록 단수적 표현이 기재되어 있을지라도, 발명의 개념에 반하거나 명백히 다르거나 모순되게 해석되지 않는 이상 복수의 구성 전체를 대표하는 개념으로 사용될 수 있음에 유의하여야 한다. 본 명세서에서 '포함하는', '갖는', '구비하는', '포함하여 이루어지는' 등의 기재는 하나 또는 그 이상의 다른 구성요소 또는 그들의 조합의 존재 또는 부가 가능성이 있는 것으로 이해되어야 한다.
본 발명의 적용 예에서와 같은 대규모 보안감시 시스템의 보안정책은 매우 복잡하게 구성된다. 일반적으로 관련부서가 경찰서, 행정관서, 사법부 등의 공공기관 이외에 아파트 관리사무소, 동네 자율방범대를 비롯하여 일반인에 이르기까지 다양한 부서에서 관리하기 때문에 보안정책은 매우 복잡하게 구성된다. 이들의 보안정책은 각기 독립적으로 관리되고 있으며, 보안 정책의 수정에 많은 비용이 소요되고, 일관성 유지도 어렵다. 이러한 문제에 대한 해결방법으로 보안 정책을 표현하는 공통적인 언어를 확립하고, 각기 독립된 보안정책이 공통언어로 표현되고, 공통의 프로토콜로 통신할 수 있다면, 모든 보안정책의 집행을 총체적으로 관리할 수 있다. 즉, 기관별로 자율적인 정책결정을 보장하면서, 서로 호환성과 일관성을 유지하는 것이 가능해진다.
추론을 위한 환경 정보 및 비디오 또는 바이오매트릭 정보는 XML로 된 웹서비스의 형태로 클라이언트에게 제공된다. 웹 서비스 기술의 발전은 정보 시스템들이 플랫폼 독립적으로 정보를 공유하고, 협업할 수 있도록 하고 있다. 이는 논리적으로는 정책이 다른 조직의 네트워크에 접근하는 것이 가능하게 하는 것이고, 다른 방향에서는 심각한 보안 문제를 야기한다. 즉, 한쪽에서는 정보를 제공해서 협업을 증진해야 하지만, 다른 쪽에서는 민감한 고급 데이터가 접근되지 않도록 해야 한다. 본 발명에서는 이러한 문제를 해결하고자 한다.
본 발명에서와 같이, 동적으로 변화하는 환경에서 위의 두 가지 목적을 다 달성하기 위해서는 접근제어 관리가 쉬우면서도 정교하고 융통성있는 체계로 만들어져야하는데, 기존의 접근제어 모델은 정적이고, 세분화되지 않아, 다양한 사용자 계층의 동적인 변화를 수용하지 못한다.
속성 기반 접근 제어는 기존의 역할 기반 접근 제어를 일반화한 것으로, 역할의 정의가 확대되고, 웹 서비스에 적용하기 쉽다. 보안 정책들은 XML로 표현되고, 이는 X.509 속성 인증서 (Attribute Certificate)에 포함가능하고, 로컬 저장소나 LDAP 디렉토리 등에 저장된다. 시스템 관리자에 의해 운영되는 속성 인증서 관리 모듈은 사용자에게 X.509 속성인증서를 할당한다. 이는 사용자와 발행자를 조작할 수 없게 서명하여 속성인증서와 연결한다. 속성 인증서 관리 모듈은 속성인증서의 생성, 수정, 취소 등을 수행한다.
SAML은 신원 정보와 보안 정보가 보안 도메인을 넘어서 공유될 수 있도록하는 XML 기반 프레임워크이다. SAML 도메인 모델은 그림 1과 같다. 속성 assertion은 서명되고 암호화되어있는 보안 토큰이다. 보안 토큰으로 SAML assertion 이외에 PMI 속성인증서의 사용이 가능하며, 본 발명의 하나의 예에서와 같이, 권한 정의 속성인증서의 구조화로 확장된, 효율적인 접근 제어가 가능하다.
다음으로, 본 발명의 하나의 모습에 따른 보안 감시 네트워크의 접근 제어 시스템을 도면을 참조하여 살펴본다. 도 1은 본 발명의 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템을 나타내는 개략적인 블럭 구성도이고, 도 2는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템을 나타내는 개략적인 블럭 구성도이고, 도 3은 본 발명의 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 시스템에 적용되는 속성 인증서들의 트리구조를 개략적으로 나타낸 도면이다.
도 1 내지 3을 참조하여, 본 발명의 하나의 예에 따른 보안 감시 네트워크의 접근 제어 시스템을 살펴보면, 하나의 예에서, 보안 감시 네트워크의 접근 제어 시스템은 속성 및 권한 인증 시스템(30), 및 권한집행 유닛(40)을 포함하여 이루어진다. 예컨대, 도 1을 참조하면, 하나의 예에서, 보안 감시 네트워크의 접근 제어 시스템은 크리덴셜 수집유닛(20)을 더 포함할 수 있다.
도 1 내지 3을 참조하면, 속성 및 권한 인증 시스템(30)은 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증한다. 도 1에서, 시스템 개체(10)는 감시카메라일 수 있고, 또는 접근주체로도 해석되어도 설명이 가능하다.
또한, 속성 및 권한 인증 시스템(30)은 최상위 노드들부터 최하위 노드들까지의 속성 인증서들(100, 101, 102, 103)에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증한다.
게다가, 속성 및 권한 인증 시스템(30)은 속성 값에 상응하는 권한정책 정보들을 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하여 XACML로 인가한다.
예컨대, 도 1 내지 3을 참조하면, 하나의 예에서, 속성 및 권한 인증 시스템(30)은 속성 저장유닛(33), 속성인증 유닛(31) 및 권한인가 서브시스템(35)을 포함할 수 있다. 각 구성들을 구체적으로 살펴본다.
먼저, 도 1 내지 3을 참조하면, 속성 저장유닛(33)은 속성 인증서들(100, 101, 102, 103)이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장되어 있다. 이때, 도 3을 참조하면, 속성 인증서(100, 101, 102, 103)는 소유자필드(100a), 속성필드(100b) 및 확장필드(100c)를 포함하고 있다. 소유자필드(100a)에는 최하위 노드들, 즉 최하위 노드 인증서(101)의 경우 각 크리덴셜 주체명이 기재되고 상위노드들, 즉 상위노드 인증서(102, 103)의 경우 역할명이 기재될 수 있다. 속성필드(100b)에는 최상위 하부 노드들, 즉 최상위 노드의 하부 노드 인증서(101, 102)의 경우 역할명이 기재되거나 공백이고 최상위 노드들, 즉 최상위 노드 인증서(103)의 경우 소유자필드(100a)의 역할명에 대한 역할정보가 기재될 수 있다. 또한, 확장필드(100c)에는, 최상위 하부 노드들의 경우 상위노드 소유자필드(100a)의 역할명 또는 상위노드 인증서(102, 103) 정보가 기재되고 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백일 수 있다.
다음, 도 1 및/또는 2를 참조하면, 속성인증 유닛(31)은 접근주체의 크리덴셜에 따라 SAML로 인증한다. 또한, 속성인증 유닛(31)은 속성 저장유닛(33)에 저장된 속성 인증서들(100, 101, 102, 103)의 속성 값들에 해당하는 역할정보들, 또는 역할정보들과 역할 보조정보들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증한다.
예컨대, 이때, 도 1 및/또는 2를 참조하면, 하나의 예에서, 속성인증 유닛(31)은 인증기관 서브유닛(31a) 및 속성인증기관 서브유닛(31b)을 포함할 수 있다. 인증기관 서브유닛(31a)은 접근주체의 크리덴셜에 따라 인증 DB(31c)와 연동하여 SAML로 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행할 수 있다. 또한, 속성인증기관 서브유닛(31b)은 인증기관 서브유닛(31a)의 인증 주장에 따라 속성 저장유닛(33)에 저장된 속성 인증서들(100, 101, 102, 103)로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행할 수 있다.
예컨대, 이때, 도 2를 참조하면, 또 하나의 예에서, 속성인증기관 서브유닛(31b)은 SAML로 권한인가 서브시스템(35) 및 권한집행 유닛(40)의 속성 질의에 대하여 속성 응답을 수행할 수 있다. 또한, 속성인증기관 서브유닛(31b)은 SAML로 속성 저장유닛(33)으로 속성 주장을 수행하여 속성 저장유닛(33)을 통하여 속성 주장이 권한인가 서브시스템(35) 및 권한집행 유닛(40)으로 속성 주장이 수행되도록 할 수 있다.
계속하여, 도 1 및/또는 2를 참조하여 권한인가 서브시스템(35)을 살펴본다. 권한인가 서브시스템(35)은 속성인증 유닛(31)의 속성인증에 따라 속성 값에 따른 권한정책 정보를 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정할 수 있다. 또한, 권한인가 서브시스템(35)은 권한집행 유닛(40)으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가할 수 있다.
예컨대, 하나의 예에서, 도 1 및/또는 2를 참조하면, 권한인가 서브시스템(35)은 권한정책 저장유닛(35b) 및 권한결정 유닛(35a)을 포함할 수 있다. 이때, 권한정책 저장유닛(35b)은 속성 인증서의 속성 값, 예컨대 역할정보, 또는 역할정보와 역할 부가정보에 따른 권한정책 정보를 저장할 수 있다.
또한, 권한결정 유닛(35a)은 속성인증 유닛(31)의 속성인증에 따라 권한정책 저장유닛(35b)에 저장된 권한정책 정보들로부터 접근주체의 크리덴셜에 따른 권한을 결정할 수 있다. 또한, 권한결정 유닛(35a)은 권한집행 유닛(40)으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가할 수 있다.
이때, 도 2를 참조하면, 또 하나의 예에서, 권한인가 서브시스템(35)은 정책관리 유닛(35c)을 더 포함할 수 있다. 이때, 정책관리 유닛(35c)은 권한결정 유닛(35a)으로부터 XACML로 권한정책을 질의받고 응답한다. 정책관리 유닛(35c)은 권한정책 질의에 따라 XACML로 권한정책 저장유닛(35b)으로 권한정책 주장을 수행하여 속성 값에 따른 권한정책 정보를 XACML로 권한결정 유닛(35a)으로 제공하도록 할 수 있다.
다음으로, 도 1 및/또는 2를 참조하면, 권한집행 유닛(40)은 접근주체의 접근요청 내용을 수신한다. 권한집행 유닛(40)은 속성 및 권한 인증 시스템(30)의 속성 값 인증에 따라 XACML로 접근요청 내용에 대한 권한결정을 속성 및 권한 인증 시스템(30)으로 요청한다. 또한, 권한집행 유닛(40)은 권한결정 요청에 따라 XAML로 속성 및 권한 인증 시스템(30)으로부터 권한결정을 응답받고, 응답받은 권한결정에 따라 집행하여 접근주체의 접근을 제어한다.
또한, 도 1 및/또는 2를 참조하여, 하나의 예에 따른 보안 감시 네트워크의 접근 제어 시스템을 살펴본다. 이때, 보안 감시 네트워크의 접근 제어 시스템은 크리덴셜 수집유닛(20)을 더 포함할 수 있다. 크리덴셜 수집유닛(20)은 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체의 크리덴셜을 수신하여 속성 및 권한 인증 시스템(30)으로 제공할 수 있다.
다시, 도 1 및 2를 참조하면, 본 발명의 예를 구체적으로 살펴본다.
도 1에서 속성인증기관(Attribute Authority) 서브유닛은 주체와 관련된 모든 속성을 관리한다. 보안 감시 카메라는 모든 접근 요청에 대해 주체의 속성을 관리하는 속성 및 권한 인증 시스템(30)에 접근해서 정책 시스템에서 요구하는 속성 값을 요청 및 확인해야 한다. 도 1에서 속성인증기관 유닛이 가지는 정책 데이터베이스(Policy), 즉, 속성 저장유닛(33)에 속성과 관련된 권한 정보가 구조화되어 저장된다. 이것이 여러 기관 간에 일관성 있게 구조가 유지되어야 한다. 본 발명의 하나의 예에서는 행정기관 간의 상하 관계 및 포함관계를 유지하는 트리구조 형태를 가질 수 있다.
PDP(Policy Decision Point), 즉 권한결정 유닛(35a)은 인가 인증기관(Authorization Authority)으로서 XACML 요청을 받아 정책, 예컨대 권한정책에 따라 해당하는 응답을 보낸다. XACML에서 SAML 적용 데이터흐름은 도 2와 같다.
인증 단계에서 목적지 사이트는 주체의 속성이 가진 권한을 확인해야 한다. 속성이 가진 권한을 특정 위치에 유지하는 것은 정책을 공유하는데 장애가 된다. 속성의 권한은 서로 관련이 되어 있고, 포함관계가 되기도 한다. 즉, 상위 역할이 하위 역할의 권한을 상속받을 수 있다. 도 3과 같이, 이러한 권한 관계를 전체 보안 감시 시스템 내에서 트리형태로 구조화하고, 적절히 분산 배치하는 것은 접근 제어 시스템의 확장성과 유연성 및 접근성을 높이게 된다.
본 발명에서 속성인증기관 서브유닛(31b)에서 속성 저장유닛(33)에 저장된 속성 인증서를 검색하는데 있어서, 권한 속성 데이터 복제의 주된 목적은 작업 실행에 소요되는 데이터 접근 시간을 줄여 결과적으로 작업의 응답시간을 감소시키고자 하는 것이다. 속성 데이터 복제를 둠으로써 읽기 및 쓰기를 위한 데이터 전송 시간이 감소하고 그에 따라 응답시간이 감소한다. 반면에 쓰기 비용은 복제 데이터에 대한 일관성 유지를 위한 메시지 전송으로 인해 관리 비용이 증가된다. 그러므로 읽기와 쓰기 비율에 따라 복제의 규모를 정해야 한다. 일관성 유지 등을 비롯한 관리 비용이 최소가 되도록 하는 것이 필요하다.
컴퓨팅 노드의 존재는 시간에 따라 변화할 수 있는데, 권한 속성 인증기관(Authorization Authority)이 사용자 의도에 따라 생성되기도 하고 사라지기도 하지만, 사용자의 의도와 상관없이 장애가 발생하기도 하기 때문이다. 이는 노드의 존폐가 자유롭게 변화 가능함을 의미한다. 그러므로 속성 데이터 복제는 기존의 복제 기법에 더하여 신뢰할 수 없는 네트워크 환경에 대한 보정이 추가되어야 한다. 게다가 노드의 동작 여부에 대한 정보는 전파되는데 시간이 걸리므로 전체 노드가 이루는 네트워크 환경에 대한 정확한 시각을 실시간으로 가지기는 어렵다. 네트워크 환경에 대한 모델을 세우고, 변화에 대한 예측 및 적응이 시도되어야 한다.
인가 시스템 구축에 있어서, 각 보안 감시 카메라가 속한 조직과 개별 카메라의 환경에 따라 달라질 수 있으므로, 단일의 정책을 세우더라도, 융통성의 여지를 두어야 한다. 어떤 형태의 메시지와 전송 수준의 보안을 수립할 것이냐는 서비스 수준에 종속되어야하고, 개별 서비스마다 달라질 수 있다.
본 발명의 하나의 예에 따라, 속성인증서의 권한 속성 구조화에 따른 성능 향상은 구조화된 경우에 관리 비용이 작아질 수 있다. TLS와 SAML의 적용 수준이 정책적용에 있어서 가변적이어야 하며, 사용자에 따라 달리 제공되어야한다.
또한, 본 발명의 하나의 예에 따라, 다양한 카메라 소스로부터 얻어지는 영상 정보 및 이벤트 정보를 기반 데이터로 하여 과거와 현재 상황을 인지하고 대처하며, 또한 예측되는 사건에 대비할 수 있는 보안 감시 시스템 구조에 있어서, 접근 제어 정보의 저장 및 전달의 안전성을 높이기 위한 방안이 될 수 있다. 본 발명의 하나의 예에 따라, 다양성과 확장성을 가지는 보다 향상된 사회 안전 공공서비스를 제공하는 보안 감시 시스템을 위하여 규칙 기반의 접근제어를 도입하고 웹 서비스의 정보 보호 기법의 적용 방안을 살펴보았다. 보안 감시 카메라의 정보 접근을 위한 속성 권한을 구조화하고, 분산된 형태와 병행하여 통합된 형태로 관리하고 분석하는 데 요구되는 정보 보호 기법 적용 방안을 살펴보았다. 이는 서비스 제공 과정을 지역 처리와 분산 처리로 병행하는 웹서비스 기반의 보안 감시 시스템 프레임워크에서 필수적이며 효과적인 접근 제어 기반 구조를 제공할 수 있다.
다음으로, 본 발명의 또 하나의 모습에 따른 보안 감시 네트워크의 접근 제어 방법을 도면을 참조하여 살펴본다. 이때, 전술한 하나의 모습에 따른 보안 감시 네트워크의 접근 제어 시스템의 실시예들 및 도 1, 2 및 3이 참조될 수 있고, 중복되는 설명들은 생략될 수 있다.
도 4는 본 발명의 다른 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법을 개략적으로 나타내는 흐름도이고, 도 5는 본 발명의 또 하나의 실시예에 따른 보안 감시 네트워크의 접근 제어 방법의 일부 공정을 개략적으로 나타내는 흐름도이다.
도 4를 참조하면, 하나의 예에 따른 보안 감시 네트워크의 접근 제어 방법은 속성 인증단계(S100), 권한 인증단계(S300) 및 권한집행 단계(S500)를 포함하여 이루어질 수 있다. 각 단계를 구체적으로 살펴본다.
먼저, 도 4를 참조하면, 속성 인증단계(S100)에서는, 속성 및 권한 인증 시스템(30)에서, 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증한다. 또한, 속성 인증단계(S100)에서는, 속성 및 권한 인증 시스템(30)에서, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들(100, 101, 102, 103)에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증한다.
예컨대, 이때, 하나의 예에서, 속성 인증단계(S100)에서, 속성 및 권한 인증 시스템(30)은 수신된 접근주체의 크리덴셜에 따라 SAML로 인증하고 속성 저장유닛(33)에 저장된 속성 인증서들(100, 101, 102, 103)의 속성 값들에 해당하는 역할정보들, 또는 역할정보들과 역할 보조정보들로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증할 수 있다. 이때, 도 3를 참조하면, 속성 저장유닛(33)에는 속성 인증서들(100, 101, 102, 103)이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장되어 있다. 도 3을 참조하면, 속성 인증서는 소유자필드(100a), 속성필드(100b) 및 확장필드(100c)를 포함하고 있다. 소유자필드(100a)에는 최하위 노드들의 경우 각 크리덴셜 주체명이 기재되고 상위노드들의 경우 역할명이 기재될 수 있다. 또한, 속성필드(100b)에는 최상위 하부 노드들의 경우 역할명이 기재되거나 공백이고 최상위 노드들의 경우 소유자필드(100a)의 역할명에 대한 역할정보가 기재될 수 있다. 또한, 확장필드(100c)에는 최상위 하부 노드들의 경우 상위노드 소유자필드(100a)의 역할명 또는 상위노드 인증서 정보가 기재되고 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백일 수 있다.
또한, 도 5를 참조하면, 이때, 하나의 예에서, 속성 인증단계(S100)는 인증주장 수행단계(S110) 및 속성인증 수행단계(S130)를 포함할 수 있다.
도 5를 참조하면, 인증주장 수행단계(S110)에서, 접근주체의 크리덴셜에 따라 인증 DB와 연동하여 SAML로 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행한다.
또한, 도 5를 참조하면, 속성인증 수행단계(S130)에서, 인증주장 수행단계(S110)에서의 인증 주장에 따라 속성 저장유닛(33)에 저장된 속성 인증서들(100, 101, 102, 103)로부터 접근주체의 크리덴셜에 따른 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행할 수 있다.
다시, 도 4를 참조하면, 권한 인증단계(S300)에서는, 접근주체로부터 접근요청 내용을 수신한 권한집행 유닛(40)에서, 속성 인증 단계(S100)에서의 속성 값 인증에 따라 XACML로 접근요청 내용에 대한 권한결정을 속성 및 권한 인증 시스템(30)으로 요청한다. 또한, 권한 인증단계(S300)에서, 속성 및 권한 인증 시스템(30)은 속성 값에 상응하는 권한정책 정보들을 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하여 XACML로 권한집행 유닛(40)으로 응답하여 권한을 인가한다.
예컨대, 하나의 예에서, 권한 인가단계(S300)에서는, 속성 인증단계(S100)의 속성인증에 따라 속성 값에 따른 권한정책 정보를 탐색하여 접근주체의 크리덴셜에 따른 권한을 결정하고, 권한집행 유닛(40)으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가할 수 있다.
또한, 하나의 예에서, 권한 인가 단계(S300)에서는 속성 인증단계(S100)의 속성인증에 따라 권한정책 저장유닛(35b)에 저장된 권한정책 정보들로부터 접근주체의 크리덴셜에 따른 권한을 결정할 수 있다. 이때, 권한 인가 단계(S300)에서는, 권한집행 유닛(40)으로부터 XACML로 요청된 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가할 수 있다. 이때, 권한정책 저장유닛(35b)은 역할정보, 또는 역할정보와 역할 부가정보에 따른 권한정책 정보를 저장할 수 있다.
다음으로, 도 4를 참조하면, 권한집행 단계(S500)에서는, 권한집행 유닛(40)에서, XAML로 응답받은 권한결정에 따라 집행하여 접근주체의 접근을 제어한다.
이상에서, 전술한 실시예 및 첨부된 도면들은 본 발명의 범주를 제한하는 것이 아니라 본 발명에 대한 당해 기술분야에서 통상의 지식을 가진 자의 이해를 돕기 위해 예시적으로 설명된 것이다. 또한, 전술한 구성들의 다양한 조합에 따른 실시예들이 앞선 구체적인 설명들로부터 당업자에게 자명하게 구현될 수 있다. 따라서, 본 발명의 다양한 실시예는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있고, 본 발명의 범위는 특허청구범위에 기재된 발명에 따라 해석되어야 하며, 당해 기술분야에서 통상의 지식을 가진 자에 의한 다양한 변경, 대안, 균등물들을 포함하고 있다.
10: 시스템 개체 20: 크리덴셜 수집유닛
30: 속성 및 권한 인증 시스템 31: 속성인증 유닛
31a: 인증기관 서브유닛 31b: 속성인증기관 서브유닛
31c: 인증 DB 33: 속성 저장유닛
35: 권한인가 서브시스템 35a: 권한결정 유닛
35b: 권한정책 저장유닛 35c: 정책관리 유닛
40: 권한집행 유닛 100, 101, 102, 103: 속성 인증서
100a: 소유자필드 100b: 속성필드
100c: 확장필드
30: 속성 및 권한 인증 시스템 31: 속성인증 유닛
31a: 인증기관 서브유닛 31b: 속성인증기관 서브유닛
31c: 인증 DB 33: 속성 저장유닛
35: 권한인가 서브시스템 35a: 권한결정 유닛
35b: 권한정책 저장유닛 35c: 정책관리 유닛
40: 권한집행 유닛 100, 101, 102, 103: 속성 인증서
100a: 소유자필드 100b: 속성필드
100c: 확장필드
Claims (11)
- 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증하고, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증하고, 상기 속성 값에 상응하는 권한정책 정보들을 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하여 XACML로 인가하는 속성 및 권한 인증 시스템; 및
상기 접근주체의 접근요청 내용을 수신하고, 상기 속성 및 권한 인증 시스템의 상기 속성 값 인증에 따라 XACML로 상기 접근요청 내용에 대한 권한결정을 상기 속성 및 권한 인증 시스템으로 요청하고 XACML로 상기 속성 및 권한 인증 시스템으로부터 상기 권한결정을 응답받아 상기 권한결정에 따라 집행하여 상기 접근주체의 접근을 제어하는 권한집행 유닛;을 포함하여 이루어지는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 1에서,
상기 속성 및 권한 인증 시스템은:
최하위 노드들의 경우 각 크리덴셜 주체명이 기재되고 상위노드들의 경우 역할명이 기재된 소유자필드, 최상위 하부 노드들의 경우 역할명이 기재되거나 공백이고 최상위 노드들의 경우 상기 소유자필드의 상기 역할명에 대한 역할정보가 기재된 속성필드, 및 상기 최상위 하부 노드들의 경우 상위노드 소유자필드의 상기 역할명 또는 상위노드 인증서 정보가 기재되고 상기 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백인 확장필드를 포함하는 상기 속성 인증서들이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장된 속성 저장유닛;
상기 접근주체의 상기 크리덴셜에 따라 SAML로 인증하고 상기 속성 저장유닛에 저장된 상기 속성 인증서들의 속성 값들에 해당하는 상기 역할정보들, 또는 상기 역할정보들과 역할 보조정보들로부터 상기 접근주체의 상기 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증하는 속성인증 유닛; 및
상기 속성인증 유닛의 속성인증에 따라 상기 속성 값에 따른 권한정책 정보를 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하고, 상기 권한집행 유닛으로부터 XACML로 요청된 상기 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하는 권한인가 서브시스템;을 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 2에서,
상기 속성인증 유닛은:
상기 접근주체의 상기 크리덴셜에 따라 인증 DB와 연동하여 SAML로 상기 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행하는 인증기관 서브유닛; 및
상기 인증기관 서브유닛의 상기 인증 주장에 따라 상기 속성 저장유닛에 저장된 상기 속성 인증서들로부터 상기 접근주체의 상기 크리덴셜에 따른 상기 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행하는 속성인증기관 서브유닛;을 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 3에서,
상기 속성인증기관 서브유닛은 SAML로 상기 권한인가 서브시스템 및 상기 권한집행 유닛의 속성 질의에 대하여 속성 응답을 수행하고, SAML로 상기 속성 저장유닛으로 상기 속성 주장을 수행하여 상기 속성 저장유닛을 통하여 상기 속성 주장이 상기 권한인가 서브시스템 및 상기 권한집행 유닛으로 상기 속성 주장이 수행되도록 하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 2에서,
상기 권한인가 서브시스템은:
상기 역할정보, 또는 상기 역할정보와 역할 부가정보에 따른 상기 권한정책 정보를 저장하는 권한정책 저장유닛; 및
상기 속성인증 유닛의 속성인증에 따라 상기 권한정책 저장유닛에 저장된 상기 권한정책 정보들로부터 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하고, 상기 권한집행 유닛으로부터 XACML로 요청된 상기 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하는 권한결정 유닛;을 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 5에서,
상기 권한인가 서브시스템은,
상기 권한결정 유닛으로부터 XACML로 권한정책을 질의받고 응답하되 상기 권한정책 질의에 따라 XACML로 상기 권한정책 저장유닛으로 권한정책 주장을 수행하여 상기 속성 값에 따른 상기 권한정책 정보를 XACML로 상기 권한결정 유닛으로 제공하도록 하는 정책관리 유닛을 더 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 청구항 1 내지 6 중 어느 하나에서,
상기 보안 감시 네트워크의 상기 감시카메라로의 접근을 요청하는 상기 접근주체의 크리덴셜을 수신하여 상기 속성 및 권한 인증 시스템으로 제공하는 크리덴셜 수집유닛을 더 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 시스템.
- 속성 및 권한 인증 시스템에서, 보안 감시 네트워크의 감시카메라로의 접근을 요청하는 접근주체로부터 제공된 크리덴셜에 따라 SAML로 인증하고, 최상위 노드들부터 최하위 노드들까지의 속성 인증서들에 의해 트리구조로 저장된 각 크리덴셜에 대한 속성 값들을 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 속성 값을 확인하여 SAML로 인증하는 속성 인증단계;
상기 접근주체로부터 접근요청 내용을 수신한 권한집행 유닛에서, 상기 속성 인증 단계에서의 상기 속성 값 인증에 따라 XACML로 상기 접근요청 내용에 대한 권한결정을 상기 속성 및 권한 인증 시스템으로 요청하고, 상기 속성 및 권한 인증 시스템에서, 상기 속성 값에 상응하는 권한정책 정보들을 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하여 XACML로 상기 권한집행 유닛으로 응답하여 권한을 인가하는 권한 인증단계; 및
상기 권한집행 유닛에서, XACML로 응답받은 상기 권한결정에 따라 집행하여 상기 접근주체의 접근을 제어하는 권한집행 단계;를 포함하여 이루어지는 보안 감시 네트워크의 접근 제어 방법.
- 청구항 8에서,
상기 속성 인증단계에서, 상기 속성 및 권한 인증 시스템은 수신된 상기 접근주체의 상기 크리덴셜에 따라 SAML로 인증하고 속성 저장유닛에 저장된 속성 인증서들의 속성 값들에 해당하는 역할정보들, 또는 역할정보들과 역할 보조정보들로부터 상기 접근주체의 상기 크리덴셜에 따른 속성 값을 확인하여 SAML로 속성 인증하고,
상기 속성 저장유닛에는 최하위 노드들의 경우 각 크리덴셜 주체명이 기재되고 상위노드들의 경우 역할명이 기재된 소유자필드, 최상위 하부 노드들의 경우 역할명이 기재되거나 공백이고 최상위 노드들의 경우 상기 소유자필드의 상기 역할명에 대한 역할정보가 기재된 속성필드, 및 상기 최상위 하부 노드들의 경우 상위노드 소유자필드의 상기 역할명 또는 상위노드 인증서 정보가 기재되고 상기 최상위 노드들의 경우 역할 부가정보가 기재되거나 또는 공백인 확장필드를 포함하는 상기 속성 인증서들이 최상위 노드들부터 최하위 노드들까지 트리구조로 저장되어 있고,
상기 권한 인증단계에서, 상기 속성 인증 단계의 속성인증에 따라 상기 속성 값에 따른 권한정책 정보를 탐색하여 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하고, 상기 권한집행 유닛으로부터 XACML로 요청된 상기 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 방법.
- 청구항 9에서,
상기 속성 인증단계는:
상기 접근주체의 상기 크리덴셜에 따라 인증 DB와 연동하여 SAML로 상기 크리덴셜을 인증하여 인증 주장(Authentication Assertion)을 수행하는 인증주장 수행단계; 및
상기 인증주장 수행단계에서의 상기 인증 주장에 따라 상기 속성 저장유닛에 저장된 상기 속성 인증서들로부터 상기 접근주체의 상기 크리덴셜에 따른 상기 속성 값을 확인하여 인증하고 SAML로 속성 주장(Attribute Assertion)을 수행하는 속성인증 수행단계;을 포함하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 방법.
- 청구항 9에서,
상기 권한 인증 단계에서는 상기 속성 인증단계의 속성인증에 따라 권한정책 저장유닛에 저장된 권한정책 정보들로부터 상기 접근주체의 상기 크리덴셜에 따른 권한을 결정하고, 상기 권한집행 유닛으로부터 XACML로 요청된 상기 권한결정 요청에 대해 결정된 권한결정을 XACML로 응답하여 권한을 인가하고,
상기 권한정책 저장유닛은 상기 역할정보, 또는 상기 역할정보와 역할 부가정보에 따른 상기 권한정책 정보를 저장하는 것을 특징으로 하는 보안 감시 네트워크의 접근 제어 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140062904A KR101535746B1 (ko) | 2014-05-26 | 2014-05-26 | 보안 감시 네트워크의 접근 제어 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140062904A KR101535746B1 (ko) | 2014-05-26 | 2014-05-26 | 보안 감시 네트워크의 접근 제어 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101535746B1 true KR101535746B1 (ko) | 2015-07-24 |
Family
ID=53875995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140062904A KR101535746B1 (ko) | 2014-05-26 | 2014-05-26 | 보안 감시 네트워크의 접근 제어 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101535746B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060063348A (ko) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | 인터넷에서 인증 assertion을 이용한 접속시간제어 방법 |
| KR20100024781A (ko) * | 2008-08-26 | 2010-03-08 | 성균관대학교산학협력단 | 퍼베이시브 환경에서의 데이터 접근제어 아키텍처 및 방법 |
-
2014
- 2014-05-26 KR KR1020140062904A patent/KR101535746B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060063348A (ko) * | 2004-12-07 | 2006-06-12 | 한국전자통신연구원 | 인터넷에서 인증 assertion을 이용한 접속시간제어 방법 |
| KR20100024781A (ko) * | 2008-08-26 | 2010-03-08 | 성균관대학교산학협력단 | 퍼베이시브 환경에서의 데이터 접근제어 아키텍처 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 김규일 외 2명, 안전한 웹서비스를 위한 멀티 에이전트 기반의 확장된 SAML 위임 모델, 정보보호학회논문지 제18권 제4호, pp.111-122 (2008.08.) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109670768A (zh) * | 2018-09-27 | 2019-04-23 | 深圳壹账通智能科技有限公司 | 多业务域的权限管理方法、装置、平台及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
| EP1700416B1 (en) | Access control for federated identities | |
| CN110222518B (zh) | 基于区块链的可信权能访问控制方法 | |
| US20030229812A1 (en) | Authorization mechanism | |
| Bhatti et al. | An integrated approach to federated identity and privilege management in open systems | |
| Fernández et al. | A model to enable application-scoped access control as a service for IoT using OAuth 2.0 | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| CA3024158C (en) | Method and apparatus for issuing a credential for an incident area network | |
| US11089028B1 (en) | Tokenization federation service | |
| Berbecaru et al. | Providing digital identity and academic attributes through European eID infrastructures: Results achieved, limitations, and future steps | |
| CN116415217A (zh) | 基于零信任架构的即时授权系统 | |
| Hu et al. | Attribute considerations for access control systems | |
| Mahalle et al. | OAuth-based authorization and delegation in smart home for the elderly using decentralized identifiers and verifiable credentials | |
| Fernandez | Two Patterns for Web Services Security. | |
| Coetzee et al. | Virtual enterprise access control requirements | |
| Marillonnet et al. | An efficient user-centric consent management design for multiservices platforms | |
| KR101535746B1 (ko) | 보안 감시 네트워크의 접근 제어 시스템 및 방법 | |
| Berbecaru et al. | On the design, implementation and integration of an Attribute Provider in the Pan-European eID infrastructure | |
| Zefferer et al. | Best of two worlds: Secure cloud federations meet eIDAS | |
| Sheik et al. | A comparative study of cyber threats on evolving digital identity systems | |
| Warner et al. | A credential-based approach for facilitating automatic resource sharing among ad-hoc dynamic coalitions | |
| US11539533B1 (en) | Access control using a circle of trust | |
| Duan et al. | IDentiaTM-an identity bridge integrating openID and SAML for enhanced identity trust and user access control | |
| Malhotra | Blend CAC: Integration for the Blockchain for Distributed Potential Network Access for the Internet of Things | |
| Vullings et al. | Secure federated authentication and authorisation to grid portal applications using saml and xacml |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180625 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190725 Year of fee payment: 5 |