KR101979915B1 - 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 - Google Patents

접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 Download PDF

Info

Publication number
KR101979915B1
KR101979915B1 KR1020180102129A KR20180102129A KR101979915B1 KR 101979915 B1 KR101979915 B1 KR 101979915B1 KR 1020180102129 A KR1020180102129 A KR 1020180102129A KR 20180102129 A KR20180102129 A KR 20180102129A KR 101979915 B1 KR101979915 B1 KR 101979915B1
Authority
KR
South Korea
Prior art keywords
policy
user
information
access
asset
Prior art date
Application number
KR1020180102129A
Other languages
English (en)
Inventor
박천오
박대원
이진욱
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020180102129A priority Critical patent/KR101979915B1/ko
Application granted granted Critical
Publication of KR101979915B1 publication Critical patent/KR101979915B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 서버 접속, 데이터 실행, 실행 프로세스 등의 자산을 사용자별 또는 그룹별(이하 '사용자')로 접근 제어를 하기 위한 정책 설정에 있어, 서로가 상이한 특징과 효과를 갖는 Role 기반 정책과 Rule 기반 정책을 혼용해 실행 및 적용해서 보다 효율적인 데이터 처리와 시스템 체계 구성 및 프로세스 환경을 구축할 수 있는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템에 관한 것으로, 사용자 정보를 저장하는 사용자DB; 자산에 대한 Role 및 Rule 기반의 통제 정책정보와, 사용자별 정책정보를 저장하는 정책DB; 사용자 클라이언트에서 전송된 정책정보데이터에 따라 상기 사용자별 정책정보를 생성해서 정책DB에 저장시키는 정책설정모듈; 상기 사용자DB 및 정책DB을 검색하는 정책검색모듈; 상기 자산에 대한 사용자 클라이언트의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산을 확인해서 정책검색모듈을 통해 정책DB에서 통제 정책정보와 사용자별 정책정보를 검색하며, 검색된 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리하는 접근처리모듈;을 포함하는 것이다.

Description

접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템{MIXING METHOD AND MIXING SYSTEM OF POLICY CONTROL FOR ACCESS CONTROL BASED ON ROLE/RULE}
본 발명은 서버 접속, 데이터 실행, 실행 프로세스 등의 자산을 사용자별 또는 그룹별(이하 '사용자')로 접근 제어를 하기 위한 정책 설정에 있어, 서로가 상이한 특징과 효과를 갖는 Role 기반 정책과 Rule 기반 정책을 혼용해 실행 및 적용해서 보다 효율적인 데이터 처리와 시스템 체계 구성 및 프로세스 환경을 구축할 수 있는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템에 관한 것이다.
Rule 기반 정책은 하나의 기준에 따라 모든 위협으로부터 동일한 행태로 접근을 통제하는 방식이므로, 중앙집중형/안전지향적/관리자 중심/기본(전통)적 통제 형태/방화벽 시스템의 정책 형태 등의 특성을 갖는다. 따라서 불특정 자산에 대해 모든 위협을 통제하기 위한 차단 중심의 정책 설정에 편리하다. 하지만 다수의 조직이나 사용자 중심으로 정책 부여나 통제가 어려운 단점이 있다.
좀 더 구체적으로 설명하면, 서로 상충대는 정책에 대한 총괄적인 관리를 하는 "최고 관리자"가 필요하다. 하지만 통제 대상이나 접근 제어 대상 자산이 많을 경우 전체를 관리하는데 어려움을 겪을 가능성이 높다. 또한 정책을 세우기 위해서 전체 자산 및 사용자에 대한 파악이 중요하다. 하지만 전체 자산이나 사용자가 많은 시스템에서는 이런 파악에 어려움이 있을 수 있으며 이는 접근 제어를 수행하는데 문제점이 될 수 있다. 특히 각 부서/조직별로 분할된 자산에 대한 사용자의 권한 부여를 위해 다수의 관리자가 존재하는 보안 시스템의 경우 Rule 기반 제어 정책의 권한 분산 통제에 어려움이 있다.
반면에, Role 기반 정책은 사용자(위협요소)의 역할(직책/조직)에 따라 사용자를 분류하고 권한을 부여해 접근을 통제하는 방식으로, 병원, 은행 등 조직적으로 특정한 일을 수행하는 집단에 적합한 모델이며, 분산 통제형/권한 부여형/사용자(조직) 및 직무 중심/권한 최소화/PC보안, Unix계열 파일 권한 제어에 활용된다. 하지만, 조직이나 사용자 중심으로 권한을 부여하는 방식에 편리함이 있지만, 조직구조가 복잡하거나 사용자가 많을 경우 접근 제어 정책 입력이 많아질 수 있는 단점이 있다. 더욱이 정책의 수가 많아지면 그 만큼 전체 접근 제어의 흐름을 파악하기 어렵고, 전역적으로 적용되는 정책의 설정이나 여부에 대한 파악이 어렵다는 문제점도 있다. 특히 다수의 Role 접근 제어 설정이 되어 있는 상황에서 긴급 차단 등의 적용하기 위해서는 다수의 Role 설정을 수정해야 하며 이를 한눈에 파악하여 접근 제어 하기가 어렵다는 문제점이 있다.
선행기술문헌 1. 특허공개번호 제10-2012-0028139호(2012.03.22 공개)
이에 본 발명은 상기의 문제를 해소하기 위해 안출된 것으로, 관리 대상 사용자 또는 그룹과 정책의 개수에 상관 없이 온라인 자산에 대한 접근 통제 및 제어를 효율적으로 수행하며, 정책에 따라 이루어지는 자산 접근 처리가 안정적이고 유연하며 신속한 처리 속도를 이루는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템의 제공을 해결하고자 하는 과제로 한다.
상기의 과제를 달성하기 위하여 본 발명은,
사용자 정보를 저장하는 사용자DB;
자산에 대한 Role 및 Rule 기반의 통제 정책정보와, 사용자별 정책정보를 저장하는 정책DB;
사용자 클라이언트에서 전송된 정책정보데이터에 따라 상기 사용자별 정책정보를 생성해서 정책DB에 저장시키는 정책설정모듈;
상기 사용자DB 및 정책DB을 검색하는 정책검색모듈; 및
상기 자산에 대한 사용자 클라이언트의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산을 확인해서 정책검색모듈을 통해 정책DB에서 통제 정책정보와 사용자별 정책정보를 검색하며, 검색된 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리하는 접근처리모듈;
을 포함하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템이다.
상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,
정책설정모듈이, 정책정보데이터에 따라 사용자별 정책정보를 생성하는 사용자별 정책 설정 단계;
정책제어모듈이, 상기 정책DB에 저장된 Role 및 Rule 기반의 통제 정책정보를, 상기 Role 기반의 정책과 Rule 기반의 정책을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 병행 정책모드와, 상기 Role 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Role 기반의 정책모드와, 상기 Rule 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Rule 기반의 정책모드로 분류하고, 상기 정책모드들에 따라 사용자별 정책정보가 검색되도록 정책검색모듈을 제어하는 정책모드 설정 단계;
접근처리모듈이, 자산에 대한 사용자 클라이언트의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산을 확인해서, 상기 정책검색모듈을 통해 정책DB에서 통제 정책정보와 사용자별 정책정보를 검색하는 사용자 정책 확인 단계;
상기 접근처리모듈이, 상기 정책검색모듈에서 검색한 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리하는 자산별 접근 처리 단계; 및
상기 접근처리모듈에서 사용자의 접근 여부가 확인되면, 사용자 클라이언트가 해당 자산에 접근해서 관련 데이터를 실행하는 자산 실행 단계;
를 포함하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법이다.
상기의 본 발명은, 사용자는 운영 상황에 맞게 전체 통제와 부분 권한을 병행하여 정책 설정이 가능하며, 사용자 환경이 상이한 시스템에 대하여도 유연하게 정책 설정이 가능한 효과가 있다.
또한, 정책의 성격에 따라 각각 특성에 맞는 정책을 수립함으로써 전체적인 정책 개수의 감소와 보안 정책의 효율성을 기할 수 있고, Role 또는 Rule 방식만 사용할 경우에 발생하는 중복성 정책을 상황에 맞게 배치하여 불필요한 정책을 함축적으로 처리하도록 할 수 있는 효과가 있다.
또한, Rule 기반 접근 통제는 방화벽처럼 중앙에서 정책의 관리를 원할 경우 효율적인데 반해, Role 기반 접근 통제는 복잡한 조직 구조에서 조직간 관여 없이 정책을 부여하고 싶을 경우 효율적이므로, Rule 기반 정책 방식만 사용할 경우의 "사용자 별 정책 확인의 어려움"이나 "권한 분리"같은 처리의 어려움을 혼용 방식을 통해 해결할 수 있고, Role 기반 정책 방식만 사용할 경우의 "권한에 따른 불필요 정책 증가" 같은 문제를 혼용 방식을 통해 해소할 수 있고 "전역 정책" 같은 전체 정책의 설정이 용이한 효과가 있다.
도 1은 본 발명에 따른 정책 혼용 시스템의 일실시 예를 도시한 블록도이고,
도 2는 본 발명에 따른 정책 혼용 방법의 일실시 예를 순차 도시한 플로차트이고,
도 3은 본 발명에 따른 정책 설정 주체의 구성 모습을 트리 형태로 도시한 도면이고,
도 4는 본 발명에 따른 정책 혼용 시스템 및 방법에서 '드래그&드롭' 방식이 적용된 정책 설정 모습을 개략적으로 보인 이미지이고,
도 5는 본 발명에 따른 정책 혼용 시스템 및 방법에서 도 4의 모습의 GUI 실행 모습을 보인 이미지이고,
도 6은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책 설정 리스트를 보인 이미지이고,
도 7은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책 확인 과정을 순차로 도시한 플로차트이고,
도 8은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책모드를 도시한 도면이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 정책 혼용 시스템의 일실시 예를 도시한 블록도인 바, 이를 참조해 설명한다.
본 실시의 정책 혼용 시스템은, 사용자 정보를 저장하는 사용자DB(110); 자산(S)에 대한 Role 및 Rule 기반의 통제 정책정보와, 사용자별 정책정보를 저장하는 정책DB(120); 사용자 클라이언트(100')에서 전송된 정책정보데이터에 따라 상기 사용자별 정책정보를 생성해서 정책DB(120)에 저장시키는 정책설정모듈(130); 사용자DB(110) 및 정책DB(120)를 검색하는 정책검색모듈(140); 자산(S)에 대한 사용자 클라이언트(100')의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산(S)을 확인해서, 정책검색모듈(140)을 통해 정책DB(120)에서 통제 정책정보와 사용자별 정책정보를 검색하며, 검색된 정책정보에 따라 자산(S)에 대한 사용자의 접근 여부를 처리하는 접근처리모듈(150);을 포함한다.
또한, 본 실시의 정책 혼용 시스템은, 정책DB(120)에 저장된 Role 및 Rule 기반의 통제 정책정보를, 상기 Role 기반의 정책과 Rule 기반의 정책을 유효화해서 자산(S)에 대한 사용자의 접근 여부를 처리하는 병행 정책모드와, 상기 Role 기반의 정책만을 유효화해서 자산(S)에 대한 사용자의 접근 여부를 처리하는 Role 기반의 정책모드와, 상기 Rule 기반의 정책만을 유효화해서 자산(S)에 대한 사용자의 접근 여부를 처리하는 Rule 기반의 정책모드로 분류하고, 상기 정책모드들에 따라 사용자별 정책정보가 검색되도록 정책검색모듈(140)을 제어하는 정책제어모듈(190);을 더 포함한다.
본 실시에서 정책 혼용 시스템은, 사용자DB(110)와 정책DB(120)를 포함하는 정책 관리서버(100)와, 정책 관리서버(100)와 통신하며 사용자의 조작에 따라 정책정보데이터를 생성하고 접근 처리가 허용된 자산(S)에 접근해서 관련 애플리케이션을 이용해 실행시키는 사용자 클라이언트(100')로 크게 구성될 수 있다. 여기서 상기 애플리케이션은 실행모듈(180)일 수 있고, 이 경우에 도 1에 도시한 실행모듈(180)과는 달리 사용자 클라이언트(100')에 구성될 수 있다. 하지만, 이외에도 실행모듈(180)은 도 1에 도시한 바와 같이, 정책 관리서버(100)에 구성될 수 있고, 이 경우 접근처리모듈(150)의 사용자별 접근 처리 여부에 따라 정책 관리서버(100)에서 해당 접근 및 후속 프로세스가 실행되어서, 실행모듈(180)의 실행 결과값만을 사용자 클라이언트(100')의 입출력모듈(170)을 통해 출력되도록 처리한다.
참고로, 정책 관리서버(100)와 사용자 클라이언트(100')는 온라인 통신을 매개로 서로 접속한 경우에 별도의 독립된 구성을 이룰 수 있고, 사용자의 입력신호를 정책 관리서버(100)에 단순 입,출력을 위한 처리만 하고 별도의 데이터 연산 처리가 이루어지지 않을 경우에는 정책 관리서버(100)가 사용자 클라이언트(100')와 일체일 수도 있다.
한편, 본 실시에서 사용자 클라이언트(100')에 구성된 설정처리모듈(160)은, 정책검색모듈(140)을 통해 정책DB(120)와 사용자DB(110)에서 검색된 사용자 정보의 아이콘과 자산정보의 아이콘을 GUI(Graphical User Interface) 환경에 따라 사용자 클라이언트(100')에 나열되도록 출력하고, 드래그&드롭 방식으로 상기 사용자 정보의 아이콘과 자산정보의 아이콘을 선택해서 정책정보데이터를 생성하며, 상기 정책정보데이터를 정책설정모듈(130)에 전달한다. 여기서 자산정보는 자산(S)에 관한 정보이며, 해당 자산(S) 선택을 통해 사용자별 정책정보가 설정된다.
설정처리모듈(160)은 사용자별 정책정보를 관리자에 해당하는 사용자가 보다 손쉽게 설정하기 위한 프로세스의 일종으로서, 설정처리모듈(160)은 사용자DB(110)와 정책DB(120)에서 각각 검색된 사용자 정보와 자산정보를 아이콘 이미지로 변환하여 입출력모듈(170)을 통해 출력시킨다. 사용자는 입출력모듈(170)을 통해 출력된 사용자 정보의 아이콘들과 자산정보의 아이콘들을 드래그&드롭 방식으로 하나 이상 지정해서 사용자별로 자산(S) 접근에 대한 정책을 설정한다. 여기서 드래그&드롭 방식은 입출력모듈(170)에 출력된 상기 아이콘들을 마우스 또는 키보드 등을 이용해서 사용자가 직접 하나의 아이콘 또는 둘 이상의 다수 아이콘을 일시에 선택할 수 있게 하는 기능이다. 따라서 사용자는 사용자별로 자산(S) 접근에 대한 정책 설정을 손쉽고 빠르게 처리할 수 있다. 이에 대한 보다 구체적인 설명은 아래에서 실시 예를 통해 보다 구체화한다.
참고로 사용자DB(110)에 저장되는 사용자 정보는, 주지된 바와 같이 사용자의 ID를 포함한 각종 개인정보이고, 정책DB(120)에 저장된 사용자별 정책정보는 해당하는 사용자 정보와 링크하여 관리된다.
도 2는 본 발명에 따른 정책 혼용 방법의 일실시 예를 순차 도시한 플로차트이고, 도 3은 본 발명에 따른 정책 설정 주체의 구성 모습을 트리 형태로 도시한 도면이고, 도 4는 본 발명에 따른 정책 혼용 시스템 및 방법에서 '드래그&드롭' 방식이 적용된 정책 설정 모습을 개략적으로 보인 이미지이고, 도 5는 본 발명에 따른 정책 혼용 시스템 및 방법에서 도 4의 모습의 GUI 실행 모습을 보인 이미지이고, 도 6은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책 설정 리스트를 보인 이미지이고, 도 7은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책 확인 과정을 순차로 도시한 플로차트이고, 도 8은 본 발명에 따른 정책 혼용 시스템 및 방법의 정책모드를 도시한 도면이다.
S10; 사용자별 정책 설정 단계
본 실시의 정책 혼용 방법은, 정책설정모듈(130)이 정책정보데이터에 따라 사용자별 정책정보를 생성해서 정책DB(120)에 저장시킨다.
이를 좀 더 구체적으로 설명하면, 도 3과 같이 자산(S)에 대한 Rule 기반의 정책정보는 최고 관리자가 설정한다. 여기서 최고 관리자는 정책설정모듈(130)을 통해 모든 Rule 기반의 정책정보를 설정하며, 중간 관리자에게는 상기 Rule 기반의 정책정보 내에서 허용 범위의 정책정보를 설정한다. 이를 통해 도 3의 (a)도면과 같이, 최고 관리자는 정책1 내지 정책10에 관한 Rule 기반의 정책정보가 설정되고, 중간 관리자1의 허용 범위는 정책1 내지 정책4, 중간 관리자2의 허용 범위는 정책3 내지 정책9가 설정된다. 이때, 중간 관리자1,2에게 각각 설정된 허용 범위의 정책정보는 사용자별 정책정보이며, 상기 사용자별 정책정보는 Role 기반의 정책정보로서 관리된다.
계속해서, 중간 관리자는 자신에게 주어진 상기 허용 범위 내에서 사용자별로 정책정보를 설정한다. 이를 통해 도 3의 (a)도면과 같이, 중간 관리자1은 사용자1의 사용자별 정책정보로 정책1을 설정하고, 그룹1의 사용자별 정책정보로 정책2 내지 정책3을 설정하며, 그룹2의 사용자별 정책정보로 정책1 내지 정책4를 설정한다. 또한 중간 관리자2는 사용자2의 사용자별 정책정보로 정책5를 설정하고, 사용자3의 사용자별 정책정보로 정책3 내지 정책7을 설정하며, 사용자4의 사용자별 정책정보로 정책7 내지 정책9를 설정한다. 이 또한 정책설정모듈(130)의 지정 프로세스에 의해 그 처리가 이루어지고, 이렇게 설정된 사용자별 정책정보를 정책DB(120)에 저장한다.
참고로, '그룹'은 둘 이상의 사용자가 모여 이룬 모임으로서, 중간 관리자는 그룹 단위로 사용자를 지정하고, 사용자별 정책정보를 설정할 수 있다.
이외에도 사용자4의 사용자별 정책정보는 정책10을 포함한다. 그런데 정책10은 최고 관리자가 중간 관리자2에게 준 허용 범위를 벗어난다. 따라서 사용자4는 정책10에 포함된 자산(S)에 대한 접근이 제한될 수 있다. 반면, 도 3의 (b)도면과 같이, 최고 관리자가 전역적 정책으로 정책10을 생성하면, 중간 관리자2에게 준 허용 범위를 벗어난 정책정보라도 사용자1-4 및 그룹1-2 모두 전역적 정책10의 정책을 적용받기 때문에, 전역적 정책10에 의해 해당하는 자산(S)으로의 접근이 허용될 수 있다.
참고로 최고 관리자가 정한 정책이 일반 정책냐 전역적 정책이냐를 구분하는 기준은, 적용 대상 사용자가 일부이냐 전체이냐일 수 있다. 즉, 일반 정책은 부여 받은 사용자만 적용되지만, 전역적 정책은 모든 사용자가 적용받는 정책인 것이다.
자산(S)에 대한 사용자의 접근 여부를 판단 기준인 Rule 기반의 정책정보와 Role 기반의 정책정보의 적용 순서는 아래에서 좀 더 구체적으로 설명한다.
본 실시에 최고 관리자와 중간 관리자와 사용자가 이루는 트리 구조가 3층 구조를 이루었으나, 이외에도 2층 구조를 이룰 수 있고, 4층 이상의 구조를 이룰 수도 있음은 물론이다.
전술한 바와 같이, 최고 관리자 또는 중간 관리자는 사용자에게 정책을 설정해서 상기 사용자별 정책정보를 생성한다. 이러한 정책 설정은 정책설정모듈(130)에서 이루어지며, 설정처리모듈(160)은 정책설정모듈(130)의 정책 설정을 위한 정책정보데이터를 사용자 정보와 설정 대상 정책을 일일이 입력하는 방식으로 생성할 수 있다.
하지만, 본 실시의 설정처리모듈(130)은, 정책검색모듈(140)을 통해 정책DB(120)와 사용자DB(110)에서 검색된 사용자 정보의 아이콘과 자산정보의 아이콘을 도 4 및 도 5와 같이 GUI(Graphical User Interface) 환경에 따라 사용자 클라이언트(100')의 입출력모듈(170)을 통해 나열되도록 출력하고, 드래그&드롭(Drag & Drop) 방식으로 상기 사용자 정보의 아이콘과 자산정보의 아이콘을 선택해서 정책정보데이터를 생성하여 정책설정모듈(140)에 전달한다.
따라서 사용자에 대한 정책 설정 권한이 있는 최고 관리자 또는 중간 관리자는 마우스를 이용한 드래그&드롭(Drag & Drop) 방식으로 사용자 별 정책정보를 설정할 수 있다.
한편, 최고 관리자 또는 중간 관리자가 자신의 권한 범위 내에 있는 사용자별 정책 설정 상황을 시각적으로 파악할 수 있도록, 설정처리모듈(130)은 사용자 클라이언트(100')에서 GUI(Graphical User Interface) 환경에 따라 출력된 사용자 정보의 아이콘을 설정된 자산정보의 아이콘과 도 5와 같이 라인이미지로 잇도록 처리하고, 입출력모듈(170)을 통해 출력시킨다.
참고로, 사용자에 대한 설정 정책은 도 6과 같이 리스트로 출력해 확인할 수 있고, 일반적인 텍스트 검색 기능을 통해 사용자별 정책정보를 검색할 수 있다.
S20; 정책모드 설정 단계
본 실시의 정책 혼용 방법은, 정책제어모듈(190)이, 정책DB(120)에 저장된 Role 및 Rule 기반의 통제 정책정보를, 상기 Role 기반의 정책과 Rule 기반의 정책을 유효화해서 자산(S)에 대한 사용자의 접근 여부를 처리하는 병행 정책모드와, 상기 Role 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Role 기반의 정책모드와, 상기 Rule 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Rule 기반의 정책모드로 분류하고, 상기 정책모드들에 따라 사용자별 정책정보가 검색되도록 정책검색모듈(140)을 제어한다.
전술한 바와 같이, 본 실시의 정책모드는 병행 정책모드와 Role 기반의 정책모드와 Rule 기반의 정책모드로 대분된다. 정책모드는 최고 관리자의 필요에 따라 관리자 클라이언트(MC)의 제어에 의해 설정되며, 해당 제어신호를 수신한 정책제어모듈(190)은 정책DB(120)에 저장된 정책정보에서 최고 관리자가 설정한 Rule 기반의 정책 및 전역적 정책과, 최고 관리자가 중간 관리자에게 설정하거나 중간 관리자가 사용자에게 설정한 Role 기반의 정책을 분류한다. 이렇게 분류된 정책은 Role 기반의 정책과 Rule 기반의 정책이 모두 유효한 병행 정책모드와, Role 기반의 정책만이 유효한 Role 정책모드와, Rule 기반의 정책만이 유효한 Rule 정책모드로 각각 구분하고, 이렇게 구분된 모드별 정책에 관한 정보인 Role 및 Rule 기반의 통제 정책정보를 정책DB(120)에 저장한다.
정책정보 관리와 자산(S)별 접근 처리 제어는 정책제어모듈(190)에서 선택된 정책모드에 따라 다르게 이루어지며, 지정된 프로세스에 따라 자산(S)에 대한 접근 허용 여부가 결정된다.
S30; 사용자 정책 확인 단계
접근처리모듈(150)이, 자산(S)에 대한 사용자 클라이언트(100')의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산(S)을 확인해서, 정책검색모듈(140)을 통해 정책DB(120)에서 통제 정책정보와 사용자별 정책정보를 검색한다.
전술한 바와 같이, 사용자별 정책정보는 해당하는 사용자 정보와 링크하여 관리되므로, 접근처리모듈(150)이 자산(S)에 접근을 시도하는 사용자 클라이언트(100')로부터 사용자 정보를 확인하고, 정책검색모듈(140)은 상기 사용자 정보를 기반으로 정책DB(120)에서 해당하는 통제 정책정보와 사용자별 정책정보를 검색할 수 있다.
S40; 자산별 접근 처리 단계
접근처리모듈(150)이 정책검색모듈(140)에서 검색한 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리한다.
이를 좀 더 구체적으로 설명하면, 접근처리모듈(150)은 도 7과 같이 현재 설정되어 있는 정책모드에 따른 자산별 접근 처리 절차를 결정한다(S41).
일 예를 들어 설명하면, 현재 설정된 정책모드가 병행 정책모드인 경우, 상기 Role 기반의 정책과 Rule 기반의 정책이 모두 유효하므로, 상기 Role 기반의 정책과 Rule 기반의 정책을 순차로 검사하는 프로세스를 준비한다. 그러나 현재 설정된 정책모드가 Role 기반의 정책모드 또는 Rule 기반의 정책모드인 경우, Role 기반의 정책 또는 Rule 기반의 정책만을 검사하는 프로세스를 준비한다.
병행 정책모드인 경우의 확인 절차를 도 8의 (a)도면을 참고하여 순차로 설명한다.
자산별 접근 처리 절차가 결정되면, 접근처리모듈(150)은 사용자에 대한 Role 정책을 검사한다(S42). 정책검색모듈(140)은 접근처리모듈(150)의 제어에 따라 해당하는 사용자 정보의 Role 기반의 정책정보를 정책DB(120)에서 검색 및 확인하고, 이렇게 검색된 정책정보에서 접근이 시도된 자산(S)에 대한 정책정보가 포함되어 있는지 여부를 1차로 확인한다.
Role 정책의 검사를 완료하면, 접근처리모듈(150)은 사용자에 대한 Rule 정책을 검사한다(S43). 정책검색모듈(140)은 접근처리모듈(150)의 제어에 따라 해당하는 사용자 정보의 Rule 기반의 정책정보를 정책DB(120)에서 검색 및 확인하고, 이렇게 검색된 정책정보에서 접근이 시도된 자산(S)에 대한 정책정보가 포함되어 있는지 여부를 2차로 확인한다.
상기 확인 결과에 따라 접근처리모듈(150)은 아래와 같이 자산(S)에 대한 사용자 클라이언트(100')의 접근 여부를 제어한다(S44).
접근처리모듈(150)은, 사용자의 접근이 시도된 자산(S)이 Role 기반의 정책정보와 Rule 기반의 정책정보에 포함하면 해당 사용자 클라이언트(100')의 접근 처리를 인가하고, Role 기반의 정책정보에 포함하나 Rule 기반의 정책정보는 포함하지 않으면 해당 사용자 클라이언트(100')의 접근 처리를 거절하며, Rule 기반의 정책정보에 포함하나 Role 기반의 정책정보는 포함하지 않으면 해당 자산(S)의 접근은 전역적으로 인가된 것으로 간주하고 해당 사용자 클라이언트(100')의 접근 처리를 인가한다.
Role 기반의 정책모드인 경우의 확인 절차를 도 8의 (b)도면을 참고하여 순차로 설명한다.
자산별 접근 처리 절차가 결정되면, 접근처리모듈(150)은 사용자에 대한 Role 정책을 검사한다(S42). 정책검색모듈(140)은 접근처리모듈(150)의 제어에 따라 해당하는 사용자 정보의 Role 기반의 정책정보를 정책DB(120)에서 검색 및 확인하고, 이렇게 검색된 정책정보에서 접근이 시도된 자산(S)에 대한 정책정보가 포함되어 있는지 여부를 확인한다.
Role 정책의 검사를 완료하면, 접근처리모듈(150)은 사용자에 대한 Rule 정책을 검사를 제외한다(S43).
상기 확인 결과에 따라 접근처리모듈(150)은 아래와 같이 자산(S)에 대한 사용자 클라이언트(100')의 접근 여부를 제어한다(S44).
접근처리모듈(150)은, 사용자의 접근이 시도된 자산(S)이 Role 기반의 정책정보에 포함하면 해당 사용자 클라이언트(100')의 접근 처리를 인가한다.
Rule 기반의 정책모드인 경우의 확인 절차를 도 8의 (c)도면을 참고하여 순차로 설명한다.
자산별 접근 처리 절차가 결정되면, 접근처리모듈(150)은 사용자에 대한 Role 정책를 제외한다(S42).
접근처리모듈(150)은 사용자에 대한 Rule 정책을 검사한다(S43). 정책검색모듈(140)은 접근처리모듈(150)의 제어에 따라 해당하는 사용자 정보의 Rule 기반의 정책정보를 정책DB(120)에서 검색 및 확인하고, 이렇게 검색된 정책정보에서 접근이 시도된 자산(S)에 대한 정책정보가 포함되어 있는지 여부를 확인한다.
상기 확인 결과에 따라 접근처리모듈(150)은 아래와 같이 자산(S)에 대한 사용자 클라이언트(100')의 접근 여부를 제어한다(S44).
접근처리모듈(150)은, 사용자의 접근이 시도된 자산(S)이 Rule 기반의 정책정보에 포함하면 해당 사용자 클라이언트(100')의 접근 처리를 인가한다.
S50; 자산 실행 단계
접근처리모듈(150)에서 사용자의 접근 여부가 확인되면, 사용자 클라이언트(100')가 해당 자산(S)에 접근해서 관련 데이터를 실행한다.
자산(S)에 접근한 사용자 클라이언트(100')는 실행모듈(180)을 통해 관련 데이터를 실행시키고, 사용자 클라이언트(100')의 입출력모듈(170)에서 해당 결과값을 확인할 수 있도록 출력한다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (6)

  1. 사용자 정보를 저장하는 사용자DB; 자산에 대한 Role 및 Rule 기반의 통제 정책정보와, 사용자별 정책정보를 저장하는 정책DB; 사용자 클라이언트에서 전송된 정책정보데이터에 따라 상기 사용자별 정책정보를 생성해서 정책DB에 저장시키는 정책설정모듈; 상기 사용자DB 및 정책DB을 검색하는 정책검색모듈; 상기 자산에 대한 사용자 클라이언트의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산을 확인해서 정책검색모듈을 통해 정책DB에서 통제 정책정보와 사용자별 정책정보를 검색하며, 검색된 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리하는 접근처리모듈;을 포함하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템에 있어서,
    상기 정책DB에 저장된 Role 및 Rule 기반의 통제 정책정보를, 상기 Role 기반의 정책과 Rule 기반의 정책을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 병행 정책모드와, 상기 Role 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Role 기반의 정책모드와, 상기 Rule 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Rule 기반의 정책모드로 분류하고, 상기 정책모드들에 따라 사용자별 정책정보가 검색되도록 정책검색모듈을 제어하는 정책제어모듈;
    을 더 포함하는 것을 특징으로 하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 Rule 기반의 통제 정책은 지정된 사용자에 대한 전역적 정책정보를 더 포함하고;
    상기 접근처리모듈은, 상기 지정된 사용자에게 전역적 정책정보에 따라 자산에 대한 사용자의 접근 여부를 처리하는 것;
    을 특징으로 하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템.
  4. 제 1 항에 있어서,
    상기 정책검색모듈을 통해 정책DB와 사용자DB에서 검색된 사용자 정보의 아이콘과 자산정보의 아이콘을 GUI(Graphical User Interface) 환경에 따라 사용자 클라이언트에 나열되도록 출력하고, 드래그&드롭 방식으로 상기 사용자 정보의 아이콘과 자산정보의 아이콘을 선택해서 정책정보데이터를 생성하며, 상기 정책정보데이터를 정책설정모듈에 전달하는 설정처리모듈;
    을 더 포함하는 것을 특징으로 하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템.
  5. 제 4 항에 있어서, 상기 설정처리모듈은,
    상기 사용자 클라이언트에서 GUI(Graphical User Interface) 환경에 따라 출력된 사용자 정보의 아이콘을 자산정보의 아이콘과 라인이미지로 잇도록 처리하고 출력시키는 것;
    을 특징으로 하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 시스템.
  6. 정책설정모듈이, 정책정보데이터에 따라 사용자별 정책정보를 생성하는 사용자별 정책 설정 단계;
    정책제어모듈이, 상기 정책DB에 저장된 Role 및 Rule 기반의 통제 정책정보를, 상기 Role 기반의 정책과 Rule 기반의 정책을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 병행 정책모드와, 상기 Role 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Role 기반의 정책모드와, 상기 Rule 기반의 정책만을 유효화해서 자산에 대한 사용자의 접근 여부를 처리하는 Rule 기반의 정책모드로 분류하고, 상기 정책모드들에 따라 사용자별 정책정보가 검색되도록 정책검색모듈을 제어하는 정책모드 설정 단계;
    접근처리모듈이, 자산에 대한 사용자 클라이언트의 접근 시도를 확인하고, 접근을 시도한 사용자 정보와 대상이 된 자산을 확인해서, 상기 정책검색모듈을 통해 정책DB에서 통제 정책정보와 사용자별 정책정보를 검색하는 사용자 정책 확인 단계;
    상기 접근처리모듈이, 상기 정책검색모듈에서 검색한 정책정보에 따라 상기 자산에 대한 사용자의 접근 여부를 처리하는 자산별 접근 처리 단계; 및
    상기 접근처리모듈에서 사용자의 접근 여부가 확인되면, 사용자 클라이언트가 해당 자산에 접근해서 관련 데이터를 실행하는 자산 실행 단계;
    를 포함하는 것을 특징으로 하는 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법.
KR1020180102129A 2018-08-29 2018-08-29 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 KR101979915B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180102129A KR101979915B1 (ko) 2018-08-29 2018-08-29 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180102129A KR101979915B1 (ko) 2018-08-29 2018-08-29 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템

Publications (1)

Publication Number Publication Date
KR101979915B1 true KR101979915B1 (ko) 2019-05-21

Family

ID=66676045

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180102129A KR101979915B1 (ko) 2018-08-29 2018-08-29 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템

Country Status (1)

Country Link
KR (1) KR101979915B1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030042117A (ko) * 2001-11-21 2003-05-28 한국전자통신연구원 접근제어 처리 기법을 이용한 클라이언트와 시스템간의신뢰경로 보장 방법
KR20090059453A (ko) * 2007-12-06 2009-06-11 한국전자통신연구원 다중 접근 개체에 대한 접근제어 방법 및 그 시스템
KR20090092699A (ko) * 2008-02-27 2009-09-01 성균관대학교산학협력단 상황 인식 접근 제어 관리 시스템, 그 관리 방법 및 기록 매체
KR100987157B1 (ko) * 2010-06-04 2010-10-11 이에스이 주식회사 Xml 기반의 웹 어플리케이션 접근 제어 시스템 및 이를 이용한 접근 제어 방법
KR20120028139A (ko) 2010-09-14 2012-03-22 한국전자통신연구원 역할 기반 접근 제어 시스템 및 방법
JP2015121906A (ja) * 2013-12-20 2015-07-02 日本電気株式会社 アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030042117A (ko) * 2001-11-21 2003-05-28 한국전자통신연구원 접근제어 처리 기법을 이용한 클라이언트와 시스템간의신뢰경로 보장 방법
KR20090059453A (ko) * 2007-12-06 2009-06-11 한국전자통신연구원 다중 접근 개체에 대한 접근제어 방법 및 그 시스템
KR20090092699A (ko) * 2008-02-27 2009-09-01 성균관대학교산학협력단 상황 인식 접근 제어 관리 시스템, 그 관리 방법 및 기록 매체
KR100987157B1 (ko) * 2010-06-04 2010-10-11 이에스이 주식회사 Xml 기반의 웹 어플리케이션 접근 제어 시스템 및 이를 이용한 접근 제어 방법
KR20120028139A (ko) 2010-09-14 2012-03-22 한국전자통신연구원 역할 기반 접근 제어 시스템 및 방법
JP2015121906A (ja) * 2013-12-20 2015-07-02 日本電気株式会社 アクセス制御システム、アクセス制御ルール生成方法、アクセス制御ルール生成プログラム、情報処理装置およびその制御方法と制御プログラム

Similar Documents

Publication Publication Date Title
US10419488B2 (en) Delegating security policy management authority to managed accounts
US9692765B2 (en) Event analytics for determining role-based access
Thakare et al. PARBAC: Priority-attribute-based RBAC model for azure IoT cloud
US7424586B2 (en) Data processing method with restricted data arrangement, storage area management method, and data processing system
JP4788711B2 (ja) ワークフロー実行システム、ワークフロー実行方法、及び、プログラム
CN108351771B (zh) 维持对于在部署到云计算环境期间的受限数据的控制
US20090319529A1 (en) Information Rights Management
KR100879807B1 (ko) 보안 문서의 반출입 제어를 위한 통제시스템
US8448220B2 (en) Merge rule wizard
KR100863461B1 (ko) 데이터 보안을 위한 네트워크 내 결재시스템
US20010056494A1 (en) Device and method for controlling access to resources
US9202043B1 (en) Self-service systems and methods for granting access to resources
US11645423B1 (en) Method and apparatus for distributing policies for authorizing APIs
JP4936675B2 (ja) セキュリティ情報を表示および管理するための方法およびシステム
Dickinson et al. Multi-cloud performance and security driven federated workflow management
US20150248560A1 (en) Method for specifying user access rights for a digital document using existing rights management policies with modifications
TW201602833A (zh) 受保護資訊的共同所有權
CN103778364B (zh) 管理应用于应用的许可设置
KR101979915B1 (ko) 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템
US20230269277A1 (en) Systems and methods for determining risk ratings of roles on cloud computing platform
US20030018696A1 (en) Method for executing multi-system aware applications
US9298405B2 (en) Electronic apparatus, management system, and recording medium
US20230086957A1 (en) Method and Apparatus for Providing Isolated Asset Access in a Layered Security System
Singh et al. ATTRIBUTE BASED ACCESS CONTROL (ABAC) WITH APPLICATION IN CLOUD INFRASTRUCTURE AS A SERVICE (IAAS)
Forcht et al. Security and network management: Changes in the way we work

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant