KR20010064809A - 접근권한 제어 시스템에서의 사용자 접근권한 제어방법 - Google Patents

접근권한 제어 시스템에서의 사용자 접근권한 제어방법 Download PDF

Info

Publication number
KR20010064809A
KR20010064809A KR1019990059099A KR19990059099A KR20010064809A KR 20010064809 A KR20010064809 A KR 20010064809A KR 1019990059099 A KR1019990059099 A KR 1019990059099A KR 19990059099 A KR19990059099 A KR 19990059099A KR 20010064809 A KR20010064809 A KR 20010064809A
Authority
KR
South Korea
Prior art keywords
user
menu
access
data
related information
Prior art date
Application number
KR1019990059099A
Other languages
English (en)
Other versions
KR100681114B1 (ko
Inventor
김민겸
염용섭
황미화
김현호
Original Assignee
이계철
한국전기통신공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이계철, 한국전기통신공사 filed Critical 이계철
Priority to KR1019990059099A priority Critical patent/KR100681114B1/ko
Publication of KR20010064809A publication Critical patent/KR20010064809A/ko
Application granted granted Critical
Publication of KR100681114B1 publication Critical patent/KR100681114B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 접근권한 제어 시스템에서의 사용자 접근권한 제어방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 여러 조직에 속한 사용자에 대해 접근권한을 제어하기 위해 관리정보를 구분 생성하여 저장하고 사용자의 접근시에 저장된 관리정보를 참조하여 접근권한을 제어하는 사용자 접근권한 제어방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 자료관련정보, 메뉴관련정보, 조직관련정보, 사용자관련정보 등으로 구분되는 관리정보를 생성하여 저장하는 제 1 단계; 메뉴에 접근하고자 하는 사용자에 대해 상기 메뉴관련정보와 상기 사용자관련정보 등을 이용하여 상기 메뉴가 모든 사용자에게 허용된 메뉴이거나 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 확인하여 상기 메뉴로의 접근을 허용하는 제 2 단계; 및 다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 자료에 대한 규칙이나 상기 다른 사용자가 속한 조직의 규칙에서 정의된 바에 따라 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 3 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 애플리케이션 호스팅 시스템 등에 이용됨.

Description

접근권한 제어 시스템에서의 사용자 접근권한 제어방법{User Access Control Method in Access Control System}
본 발명은 접근권한 제어 시스템에서의 사용자 접근권한 제어방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 특정 사업자를 중심으로 자료의 공유나 교환이 가능한 애플리케이션 호스팅 시스템 등과 같이 접근권한의 제어가 필요한 시스템에서 각각 다른 회사(법인)에 소속된 다수의 사용자의 접근권한을 제어하는 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
동종업계에서 타 조직(법인이 다른)과의 자료교환이 빈번하게 일어나는 특정분야(예. 물류분야, 철강분야)의 업무처리에 있어서 특정 사업자를 중심으로 자료의 공유(또는 교환)를 가능하게 하는 공통의 경영정보시스템(편의상 이를 Core MIS(Management Information System)이라고 부름)이 적용되고 있다.
이는 최근의 경영정보시스템(MIS) 부문의 아웃소싱 추세에 맞추어 보편화되리라고 보인다. 특히, 자체 MIS가 취약한 군소업체의 경우 사용자로 자연스럽게 참여할 수 있고 국가적으로 정보화의 확산에도 기여할 수 있다. 더불어 최근 인터넷을 기반으로한 개방형 시스템 구축이 보편화되고 있는 추세에 있어서 이러한 사이트는 동종업계의 포탈사이트로 자연스럽게 발전할 수 있다.
이러한 시스템에서 동종업계의 경쟁관계에 있는 기업들이 고객이 되므로 자료와 서비스의 정교하고 융통성있는 권한제어 메커니즘이 필수적이다. 또한, 여러 조직의 사용자들에게 시스템에 대한 접근권한을 제어하는 문제가 복잡해질 수 있다.
그런데, 종래에는 상기한 공통의 경영정보시스템(Core MIS)에서 여러 조직의사용자들의 시스템 접근 권한 제어가 용이하게 처리되지 못하는 문제점이 있었다.
본 발명은 상기한 바와 같은 문제점을 해결하기 위하여 안출된 것으로, 여러 조직에 속한 사용자에 대해 접근권한을 제어하기 위해 관리정보를 구분 생성하여 저장하고 사용자의 접근시에 저장된 관리정보를 참조하여 접근권한을 제어하는 사용자 접근권한 제어방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
도 1 은 본 발명이 적용되는 애플리케이션 호스팅 환경의 구성예시도.
도 2a 내지 도 2l 은 본 발명에 따른 접근권한 제어 시스템에서의 사용자 접근권한 제어방법에서의 데이터 모형의 일실시예 설명도.
도 3 및 도 4 는 본 발명에 따른 접근권한 제어 시스템에서의 사용자 접근권한 제어방법에 대한 일실시예 흐름도.
*도면의 주요 부분에 대한 부호의 설명
101 : 호스팅 서버 102 : 제1 컴퓨터
103 : 제2 컴퓨터
상기 목적을 달성하기 위한 본 발명은, 여러 조직의 사용자들에 의해 사용되는 접근권한 제어 시스템에 적용되는 사용자 접근권한 제어방법에 있어서, 자료관련정보, 메뉴관련정보, 조직관련정보, 사용자관련정보 등으로 구분되는 관리정보를 생성하여 저장하는 제 1 단계; 메뉴에 접근하고자 하는 사용자에 대해 상기 메뉴관련정보와 상기 사용자관련정보 등을 이용하여 상기 메뉴가 모든 사용자에게 허용된 메뉴이거나 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 확인하여 상기 메뉴로의 접근을 허용하는 제 2 단계; 및 다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 자료에 대한 규칙이나 상기 다른 사용자가 속한 조직의 규칙에서 정의된 바에 따라 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 3 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은, 컴퓨터에, 자료관련정보, 메뉴관련정보, 조직관련정보, 사용자관련정보 등으로 구분되는 관리정보를 생성하여 저장하는 제 1 기능; 메뉴에 접근하고자 하는 사용자에 대해 상기 메뉴관련정보와 상기 사용자관련정보 등을 이용하여 상기 메뉴가 모든 사용자에게 허용된 메뉴이거나 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 확인하여 상기 메뉴로의 접근을 허용하는 제 2 기능; 및 다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 자료에 대한 규칙이나 상기 다른 사용자가 속한 조직의 규칙에서 정의된 바에 따라 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명에서는 최소한 다음의 요구사항을 만족하는 접근권한 제어 기본정책이 이루어져야 한다.
사용자(법인)는 자신이 원하는 서비스만을 선택하여 가입할 수 있어야 한다.
자료 또는 서비스는 계층적 트리형태로 표현 가능하여야 한다.
사용자의 유형은 계층적 트리형태로 표현 가능하여야 한다.
자료유형과 서비스유형은 계층적 트리형태로 표현 가능하여야 한다.
특정 사용자 자신에 직접 관련된 자료에 대한 공개정책(접근 허용방법 및 허용수준)을 사용자가 지정할 수 있어야 한다. 또한, 지정하는 방법을 시스템에서 다양하게 지원할 수 있어야 한다.
공개정책을 지정하는 방법은 자료의 그룹(트리구조)단위로, 서비스의 그룹(트리구조)단위로 지정하고, 트리구조에서 이미 지정된 노드의 하위 노드에 대하여 기지정된 내용과 다르게 지정할 수 있어야 한다.
공개정책을 지정하는 방법의 한가지 예는 사용자의 접근수준(access level)이 자료 또는 서비스의 허용수준(open level)보다 높거나 같아야 자료 또는 서비스에 접근가능하다.
사용자, 자료 또는 서비스, 접근유형 등을 트리형태로 관리하는 것은 체계적인 관리를 가능하게 하고 따라서 복잡한 시스템의 정교한 관리에 있어서 많은 잇점을 주기 때문이다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
본 발명은 접근권한의 제어가 필요한 모든 시스템에 적용할 수 있으며, 본 발명의 실시예에서는 이 중에 애플리케이션 호스팅 환경을 예로 들어 설명한다.
도 1 은 본 발명이 적용되는 애플리케이션 호스팅 환경의 구성예시도이다.
본 발명이 적용되는 애플리케이션 호스팅 환경은 도면에 도시된 바와 같이 호스팅 업체의 호스팅 서버(101)와 호스팅 서버(101)에 연결된 각각의 회사의 컴퓨터(102, 103)으로 이루어진다.
호스팅 서버(101)는 서로 다른 회사의 정보를 모두 보유하면서 각사의 정보공개 정책을 수용하여 모든 사용자에게 정보를 제공하게 된다.
본 발명은 이러한 호스팅 서버(101)에 있는 정보에 대해 사용자의 접근권한을 제어하는 방법을 나타낸 것이다.
도 2a 내지 도 2l 은 본 발명에 따른 접근권한 제어 시스템에서의 사용자 접근권한 제어방법에서의 데이터 모형의 일실시예 설명도이다.
본 발명에서 제시하는 권한제어의 데이터 모형은 도 2a와 같다. 가능한한 정규화한 관계형 위주의 데이터 모형을 제시한다. 관계형 모형을 제시하는 이유는 특정 분야의 업무처리에 관련하여 서비스를 제공하는 사업자가 다수가 될 경우 본 모형의 자료를 공유하여야 할 필요가 있을 수 있는데, 산업계에서 관계형 모형이 보편적인 모형이기 때문이다. 그러나 최대한 정규화되어 있으므로 객체형 데이터 모형으로의 변형도 용이하다.
도 2b 내지 도 2l 에서는 도 2a 에 나타난 데이터 모형의 관련 개체에 대해 설명한다.
도 2b 내지 도 2l 에서 데이터의 속성에 대하여 사용한 기호는 다음과 같다.
* : 키(Key) 속성
O : 비필수(optical) 속성
여기서, 키(Key)는 데이터항목에 들어있는 1문자 이상의 문자열에서 그 데이터항목을 식별하거나 그 용도를 제어하기 위해 사용되는 것이다.
본 발명의 실시예에서 제시하는 관련 개체에서는 개체 자체와 개체간의 관계를 나타내는 최소한의 속성만을 표시하였다.
도 2b 에서는 아이디(id), 이름(name), 상위 아이디(upperId) 및 설명(description) 등으로 이루어져 사용자가 소속된 회사의 유형을 저장하고 있는 소속회사 유형트리정보(CoTypeTree)를 설명한다.
도 2c 에서는 아이디(id), 이름(name), 사용자수(numOfUser), 자료공개정책(dataOpenPolicy) 및 회사유형아이디(CoTypeId) 등으로 이루어져 사용가자 소속된 회사의 정보를 저장하고 있는 회사정보(Company)를 설명한다.
도 2d 에서는 아이디(id), 패스워드(password), 접근레벨(accessLevel), 업데이트정책(canUpdataPolicy), 소속회사아이디(coId) 및 소속회사유형아이디(coTypeID) 등으로 이루어져 시스템에 사용자 아이디와 패스워드를 가지고 직접접근하는 최소 단위의 사용자의 정보를 저장하고 있는 사용자정보(User)를 설명한다.
도 2e 에서는 아이디(id), 상위아이디(upperId), 메뉴그룹아이디(menuGrpId) 및 가입가능서비스아이디(svcId) 등으로 이루어져 사용자가 이용하는 형태의 메뉴를 표현하여 저장하고 있는 메뉴트리정보(MenuTree)를 설명한다.
도 2a 에 도시된 구체적_메뉴트리정보(SPECIFIC_MenuTree)는 메뉴트리정보를 상속받아 속성 등을 추가하여 더 리파인(refine)된 형태의 특정이름(SPECIFIC_자리에 특정이름 부여)의 메뉴트리정보를 만들 경우 이용되며, 나머지 같은 형태(SPECIFIC_)의 개체도 동일하다.
도 2f 에서는 아이디(id), 이름(name), 상위 아이디(upperId) 및 메뉴그룹공개정책(menuGrpOpenPolicy) 등으로 이루어진 메뉴그룹트리정보(MenuGrpTree)에 대하여 설명하고 있다.
메뉴트리정보(MenuTree)는 사용자가 이용하는 관점에서의 구조이므로 사용자별 접근권한을 주는 단위와 일치할 수도 있고 일치하지 않을 수도 있다. 일치하지 않을 경우 접근권한을 주는 단위로써 기능(메뉴)을 메뉴그룹트리정보(MenuGrpTree)로 재조직화하여 접근권한 부여 단위로 활용한다.
도 2g 에서는 메뉴그룹아이디(menuGrpId), 사용자(user), 접근가능여부(isaccessible) 등으로 이루어진 메뉴그룹-사용자정보(MenuGrp-User)를 설명하고 있다.
메뉴그룹-사용자정보(MenuGrp-User)에서는 특정 메뉴 그룹에 접근할 수 있는 사용자의 리스트를 저장하고 있다. 여기서의 사용자(User)는 사용자(userId), 회사(CompanyId), 회사유형(CoType) 등이 될 수 있다.
도 2h 에서는 아이디(id), 이름(name), 상위 아이디(upperId), 자료공개정책(dataOpenPolicy) 및 공개수준(openLevel) 등으로 이루어진 자료유형트리정보(DataTypeTree)를 설명하고 있다.
자료유형트리정보(DataTypeTree)는 자료(테이블)의 유형별로 그룹화하여 트리구조로 저장하고, 단순히 자료유형(그룹)의 계위만을 저장한다.
도 2i 에서는 접근허용자아이디(accesseeId), 자료유형아이디(dataTypeId), 접근자아이디(accessorId) 및 접근허용여부(isAccessable) 등으로 이루어진 자료유형-사용자정보(DataType-User)를 설명하고 있다.
자료유형-사용자정보(DataType-User)는 어떤 사용자(accesseeId : User, Company)가 자신의 자료중 특정 자료유형(dataType)에 속하는 자료에 대하여 어떤 사용자(accessorId : UserId, CompanyId, CoType)에게 접근을 허용할지의 여부(isAccessable)의 정보를 저장한다.
지정할 때는 회사유형(CoType) 정보를 사용하여 큰 단위로부터 지정하고 해당 회사유형(CoType)에 속한 사용자(Company, User)에 대하여 접근허용 여부를 바꾸고자 할 경우는 재지정하고자 하는 사용자(Company, User)에 대하여 재지정하면 된다. 검색의 경우는 반대이다.
도 2j 에서는 아이디(id), 이름(name), 서비스 개시일(svcOpenDate) 및 서비스가용여부(availability) 등으로 이루어진 가입가능서비스정보(SubscribleSvc)를 설명한다.
가입가능서비스정보(SubscribleSvc)는 시스템상에서 사용자가 가입 가능한 단위의 서비스를 저장한다.
도 2k 에서는 사용자아이디(userId)와 서비스아이디(svcId) 등으로 이루어져 사용자가 가입한 서비스를 저장하는 사용자-서비스정보(User-Svc)를 설명한다.
도 2l 에서는 사용자아이디(userId), 프로세스아이디(processId), 시작시간(startTime), 종료시간(EndTime) 및 접근메뉴아이디(menuId) 등으로 이루어져 사용자가 어느 메뉴를 언제부터 언제까지 사용하였는지 사용내역을 기록하는 로그정보(Log)를 설명한다.
도 3 및 도 4 는 본 발명에 따른 접근권한 제어 시스템에서의 사용자 접근권한 제어방법에 대한 일실시예 흐름도이다.
자료 또는 기능(메뉴)에 접근하는 단위(접근주체)는 사용자(본 발명의 실시예에서는 userId)가 된다. 본 모형에서는 접근되는 단위(접근객체)를 메뉴, 자료(특정 사용자에 관련된 자료로써 내부 자료처리에서 생성된 자료)로 설정하였다.
도 3 은 본 발명에 따른 애플리케이션 호스팅 환경에서의 사용자의 메뉴 접근시 접근제어 처리 과정에 대한 일실시예 흐름도이다.
사용자가 특정 메뉴에 대하여 서비스를 요청할 경우 시스템에서는 그 사용자에 대하여 서비스를 허용할 지의 여부를 다음의 절차에 따라 판단한다.
어떤 사용자(이하 A)가 어떤 메뉴(이하 B)에 대하여 접근하고자 할 경우, 사용자서비스정보(User-Svc)에서 A가 가입한 서비스에 B가 있는지를 확인한다(301). 확인 결과, A가 가입한 서비스에 B가 속해 있지 않으면 서비스를 제공하지 않는다(302). 즉, A가 B에 접근하여도 B를 공개하지 않는다.
A가 가입한 서비스에 B가 있는지를 확인한 결과, B가 있으면 B가 어느 메뉴 그룹에 속해 있는지 판단하여 메뉴그룹트리정보(MenuGrpTree)의 메뉴그룹공개정책(menuGrpOpenPolicy)의 값을 점검한다(302). 점검 결과, 메뉴그룹공개정책(menuGrpOpenPolicy)의 값이 0(모든 사용자에 공개)이면 B를 공개하여 서비스를 제공한다(303).
메뉴그룹트리정보(MenuGrpTree)의 메뉴그룹공개정책(menuGrpOpenPolicy)의 값을 점검한 결과, 1(메뉴그룹-사용자정보(MenuGrp-User)에서 정한 규칙에 의하여 서비스 제공)이면 메뉴그룹-사용자정보(MenuGrp-User)에서메뉴그룹아이디(menuGrpId)와 A의 사용자아이디(userId)에 해당하는 접근가능여부(isaccessible)의 값을 검색한다(304). 검색 결과, 접근가능여부(isaccessible)의 값이 0이면 B를 공개하여 서비스를 제공한다(303).
접근가능여부(isaccessible)의 값을 검색한 결과, 1이면 서비스 불허하여 A가 B에 접근할 수 없도록 한다(305).
접근가능여부(isaccessible)의 값을 검색한 결과, 검색실패면 메뉴그룹-사용자정보(MenuGrp-User)에서 메뉴그룹아이디(menuGrpId)와 A가 속한 소속회사아이디(companyId)에 해당하는 접근가능여부(isaccessible)의 값을 검색한다(306). 접근가능여부(isaccessible) 값이 0이면 서비스를 제공하여 A가 B에 접근할 수 있도록 한다(303).
접근가능여부(isaccessible)의 값을 검색한 결과, 1이면 서비스 불허이므로 A가 B에 접근할 수 없도록 한다(305).
접근가능여부(isaccessible)의 값을 검색한 결과, 검색실패면 메뉴그룹-사용자정보(MenuGrp-User)에서 메뉴그룹아이디(menuGrpId)와 A가 속한 회사유형아이디(coTypeId)에 해당하는 접근가능여부(isaccessible)의 값을 검색한다(307).
접근가능여부(isaccessible)의 값을 검색한 결과, 접근가능여부(isaccessible)의 값이 0이면 서비스를 제공하여 A가 B에 접근할 수 있도록 한다(303).
접근가능여부(isaccessible)의 값을 검색한 결과, 1이면 서비스 불허이므로A가 B에 접근할 수 없도록 한다(305).
접근가능여부(isaccessible)의 값을 검색한 결과, 검색실패면 메뉴그룹아이디(menuGrpId)가 최상위 메뉴그룹아이디(menuGrpId)인지를 확인한다(308). 확인 결과, 최상위 메뉴그룹아이디(menuGrpId)이면 A가 B에 접근하는 서비스를 허용(또는 불허)할지를 시스템 운용정책으로 결정한다(309).
메뉴그룹아이디(menuGrpId)가 최상위 메뉴그룹아이디(menuGrpId)인지를 확인한 결과, 최상위 메뉴그룹아이디(menuGrpId)가 아니면 해당 메뉴그룹아이디(menuGrpId)의 상위의 메뉴그룹아이디(menuGrpId)에 대하여 서비스 허용여부를 확인받는 것으로 메뉴그룹 대상을 변경하고(310), 메뉴그룹아이디(menuGrpId)와 A의 사용자아이디(userId)에 해당하는 접근가능여부(isaccessible)의 값을 검색하는 과정(304)부터 반복 수행한다.
도 4 은 본 발명에 따른 애플리케이션 호스팅 환경에서의 사용자가 다른사용자의 특정 유형의 자료에 접근시 접근제어 처리 과정에 대한 일실시예 흐름도이다.
어떤 기능 수행 중 특정 유형(어떤 데이터가 어떤 유형의 자료에 해당하는지는 프로그램내에서 판단됨)의 자료에 접근할 필요가 있을 경우 다음의 절차에 의하여 판단한다.
어떤 사용자(이하 A)가 다른 어떤 사용자(이하 B)의 특정한 유형(이하 C)의 자료(이하 D)에 접근할 경우, D에 대한 자료유형트리정보(DataTypeTree)의 자료공개정책(dataOpenPolicy)의 값을 확인한다(401). 확인 결과, D에 대한 자료유형트리정보(DataTypeTree)의 자료공개정책(dataOpenPolicy)의 값이 0(모든 사용자에 공개)이면 D를 A에게 공개한다(402).
D에 대한 자료유형트리정보(DataTypeTree)의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 1(회사정보(Company)의 자료공개정책(dataOpenPolicy)의 내용에 따라 공개 여부 결정)이면 회사정보(Company)에서 B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한다(403). 회사정보(Company)에서 B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 0(모든 사용자에 공개)이면 D를 A에게 공개한다(403).
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 1(같은 유형의 사용자에만 공개)이면, A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 같은지를 비교한다(404). 비교 결과, A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 같으면 D를 A에게 공개한다(402). A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 같은지를 비교한 결과, 같지 않으면 D를 A에게 공개하지 않는다(405).
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 1(같은 유형의 사용자에만 공개)이면, 2(같은 유형의 사용자에 비공개)이면, A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 다른지를 비교한다(406). 비교 결과, A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 다르면 D를 A에게 공개한다(402). A의 소속회사유형(CoType)과 B의 소속회사유형(CoType)이 다른지를 비교한 결과, 다르지 않으면 D를 A에게 공개하지 않는다(405).
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 3(A의접근레벨(accessLevel)이 D의 공개수준(openLevel)보다 높으면 공개)이면, 사용자정보(User)에서 A의 접근레벨(accessLevel)이 자료유형트리정보(DataTypeTree)에서의 D의 공개수준(openLevel)보다 높은지를 판단한다(407). 판단 결과, 사용자정보(User)에서 A의 접근레벨(accessLevel)이 자료유형트리정보(DataTypeTree)에서의 D의 공개수준(openLevel) 값보다 높으면 공개하고(402). 아니면 비공개한다(405).
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 4(B의 공개정책에 따라 공개 결정)이면, 자료유형-사용자정보(DataType-User)에서 접근허용자(accessee, B)가 C유형의 자료에 대하여 접근자(accessor, A)에게 접근을 허용(isaccessible == 0)하는지를 검색한다(408). 검색 결과, 접근허용여부(isaccessible) 값이 0이면 공개한다(402).
자료유형-사용자정보(DataType-User)에서 접근허용자(accessee, B)가 C유형의 자료에 대하여 접근자(accessor, A)에게 접근을 허용(isaccessible == 0)하는지를 검색한 결과, 접근허용여부(isaccessible) 값이 1이면 비공개한다(405).
자료유형-사용자정보(DataType-User)에서 접근허용자(accessee, B)가 C유형의 자료에 대하여 접근자(accessor, A)에게 접근을 허용(isaccessible == 0)하는지를 검색한 결과, 검색실패면 접근자(accessor)가 사용자 A인지를 확인한다(409). 확인 결과, 사용자 A의 소속회사를 접근자(accessor)로 하여(410), 다시 자료유형-사용자정보(DataType-User)에서 접근허용자(accessee)가 C유형의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지 검색하는 과정(408)부터 반복 수행한다.
접근자(accessor)가 사용자 A인지를 확인한 결과, 아니면 접근자(accessor)가 사용자 A의 소속회사인지를 판단한다(411). 판단 결과, 접근자(accessor)가 사용자 A의 소속회사인데도 접근허용자(accessee)가 C유형의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지의 검색이 실패하였으면, 사용자 A의 소속회사유형을 접근자(accessor)로 하여(412), 다시 자료유형-사용자정보(DataType-User)에서 B(accessee)가 C유형의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지를 검색하는 과정(408)부터 반복 수행한다.
접근자(accessor)가 사용자 A의 소속회사인지를 판단한 결과, 사용자 A의 소속회사가 아니면, 접근자(accessor)는 사용자 A의 소속회사유형으로 판단하고, 접근허용자(accessee)가 사용자 B인지를 확인한다(413). 확인 결과, 접근허용자(accessee)가 사용자 B이면 접근허용자(accessee)를 사용자 B의 소속회사로 변경하고(414), 다시 자료유형-사용자정보(DataType-User)에서 접근허용자(accessee)가 C유형의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지를 검색하는 과정(408)부터 반복 수행한다.
접근허용자(accessee)가 사용자 B인지를 확인한 결과, 아니면 접근허용자(accessee)가 사용자 B의 소속회사인지를 판단한다(415). 판단 결과, 접근허용자(accessee)가 사용자 B의 소속회사이면, 접근허용자(accessee)를 사용자 B의 소속회사유형으로 변경하고(414), 다시 자료유형-사용자정보(DataType-User)에서 접근허용자(accessee)가 C유형의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지를 검색하는 과정(408)부터 반복 수행한다.
접근허용자(accessee)가 사용자 B의 소속회사인지를 판단한 결과, 접근허용자(accessee)가 사용자 B의 소속회사가 아니면, 접근허용자(accessee)를 사용자 B의 소속회사유형으로 판단하고, 자료유형(dataType)이 최상위 유형인지를 확인한다(416). 확인 결과, 자료유형트리정보(dataTypeTree)에서 C의 상위 자료의 유형을 자료유형(dataType)으로 설정하고(417), 다시 자료유형-사용자정보(DataType-User)에서 접근허용자(accessee)가 설정된 자료유형(dataType)의 자료에 대하여 접근자(accessor)에게 접근을 허용하는지를 검색하는 과정(408)부터 반복 수행한다.
자료유형(dataType)이 최상위 유형인지를 확인한 결과, 자료유형(dataType)이 최상위 유형이면, 공개한다(402).
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 5이면, 공개수준(openLevel)조건(값이 3인 경우)와 사용자 지정조건(값이 4인 경우)를 동시에 만족하는지 확인하여, 만족하면 공개하고, 아니면 비공개한다. 이는 도면을 통해 따로 설명하지 않았고, 도면에 도시된 조건들을 조합한 것이라 판단할 수 있다.
B가 속한 회사의 자료공개정책(dataOpenPolicy)의 값을 확인한 결과, 상대방이 공개하는 경우 공개하는 6이면, 접근허용자(accessee)와 접근자(accessor)가 이미 치환되었는지를 판단한다(419). 판단 결과, 이미 치환되었으면 공개한다(402). 판단 결과, 치환되지 않았으면, 접근허용자(accessee)와 접근자(accessor)를 치환하고(420), A, B, C에 대하여 자료유형트리정보(DataTypeTree)에서자료공개정책(dataOpenPolicy)의 값을 확인하는 과정(401)부터 반복 수행한다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 애플리케이션 호스팅 환경에서 접근권한을 제어하는데 있어서, 계층적으로 나뉘어진 정보를 활용함으로써 각각의 경우에 맞는 제어방식을 기술하지 않아도 상위 그룹으로 묶어 그룹에 맞는 접근권한에 따라 접근권한을 처리할 수 있어 효과가 있다.

Claims (6)

  1. 여러 조직의 사용자들에 의해 사용되는 접근권한 제어 시스템에 적용되는 사용자 접근권한 제어방법에 있어서,
    자료관련정보, 메뉴관련정보, 조직관련정보, 사용자관련정보 등으로 구분되는 관리정보를 생성하여 저장하는 제 1 단계;
    메뉴에 접근하고자 하는 사용자에 대해 상기 메뉴관련정보와 상기 사용자관련정보 등을 이용하여 상기 메뉴가 모든 사용자에게 허용된 메뉴이거나 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 확인하여 상기 메뉴로의 접근을 허용하는 제 2 단계; 및
    다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 자료에 대한 규칙이나 상기 다른 사용자가 속한 조직의 규칙에서 정의된 바에 따라 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 3 단계
    를 포함하는 사용자 접근권한 제어방법.
  2. 제 1 항에 있어서,
    상기 관리정보는,
    체계적인 관리를 위해 자료, 서비스, 사용자 등에 대해 계층적 트리형태로 표현하여 관리할 수 있도록 한 정보인 것을 특징으로 하는 사용자 접근권한 제어방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 2 단계는,
    메뉴에 접근하고자 하는 상기 사용자에 대해 상기 사용자관련정보를 확인하여 상기 사용자가 가입한 서비스 중 상기 메뉴가 있으면 상기 메뉴의 공개정책을 상기 메뉴관련정보를 통해 확인하는 제 4 단계;
    상기 제 4 단계의 확인 결과, 상기 메뉴가 모든 사용자에게 공개된 메뉴이면 상기 사용자의 접근을 허용하는 제 5 단계;
    상기 제 4 단계의 확인 결과, 상기 메뉴가 상기 메뉴관련정보에 정의된 규칙에 따라 접근을 허용하는 메뉴이면 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 상기 메뉴에 대한 규칙을 통해 판단하는 제 6 단계;
    상기 제 6 단계의 판단 결과, 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되면, 상기 메뉴에 대한 상기 사용자의 접근을 허용하는 제 7 단계;
    상기 제 6 단계의 판단 결과, 상기 사용자, 상기 사용자가 속한 조직 또는상기 조직의 유형이 상기 메뉴로의 접근이 허용되지 않으면, 상기 메뉴에 대한 상기 사용자의 접근을 허용하지 않는 제 8 단계; 및
    상기 제 6 단계의 판단 결과, 상기 메뉴에 대한 판단 자체가 실패한 경우 상기 메뉴관련정보에 나타나는 상기 메뉴에 대한 상위의 개념에서의 메뉴에 대해 상기 제 6 단계부터 반복 수행하여 처리하는 제 9 단계
    를 포함하는 사용자 접근권한 제어방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 제 3 단계는,
    다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보를 이용하여 상기 자료에 대한 공개 여부를 확인하는 제 4 단계;
    상기 제 4 단계의 확인 결과, 상기 자료에 대해 모든 사용자에게 공개하고 있으면 상기 사용자의 상기 자료로의 접근을 허용하는 제 5 단계; 및
    상기 제 4 단계의 확인 결과, 상기 다른 사용자가 속한 상기 조직에 대해 정의된 규칙에 따라 상기 자료에 대한 접근을 허용하는 것이면 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 6 단계
    를 포함하는 사용자 접근권한 제어방법.
  5. 제 4 항에 있어서,
    상기 제 6 단계는,
    상기 다른 사용자가 속한 상기 조직에 대해 정의된 규칙에 따라 상기 자료에 대한 접근을 허용하는 것이면 상기 조직에서 정의한 규칙을 확인하는 제 7 단계;
    상기 제 7 단계의 확인 결과, 상기 규칙이 모든 사용자에게 공개하는 것이면 상기 자료에 대한 상기 사용자의 접근을 허용하는 제 8 단계;
    상기 제 7 단계의 확인 결과, 상기 규칙이 같은 유형의 사용자에게만 비공개하는 것이면, 상기 사용자가 상기 다른 사용자와 같은 유형이 아닐 경우 상기 자료에 대한 상기 사용자의 접근을 허용하는 제 9 단계;
    상기 제 7 단계의 확인 결과, 상기 규칙이 같은 유형의 사용자에게만 공개하는 것이면, 상기 사용자가 상기 다른 사용자와 같은 유형일 경우 상기 자료에 대한 상기 사용자의 접근을 허용하는 제 10 단계;
    상기 제 7 단계의 확인 결과, 상기 규칙이 상기 사용자의 접근레벨이 상기 자료의 공개레벨보다 높아야 공개되면 상기 자료의 공개레벨보다 높은 레벨의 상기 사용자에 대해 상기 자료로의 접근을 허용하는 제 11 단계;
    상기 제 7 단계의 확인 결과, 상기 규칙이 상기 다른 사용자의 공개정책에 따라 공개되는 것이면 상기 사용자관련정보를 통해 상기 다른 사용자의 공개정책을 확인하여 상기 자료에 대한 상기 사용자의 접근을 허용하는 제 12 단계; 및
    상기 제 7 단계의 확인 결과, 상기 규칙이 상기 다른 사용자의 공개는 상대방인 상기 사용자의 공개 여부에 따라 상기 자료의 공개를 결정하는 것이면 상기 사용자의 공개 여부를 확인하여 상기 자료에 대한 상기 사용자의 접근을 허용하는 제 13 단계
    를 포함하는 사용자 접근권한 제어방법.
  6. 컴퓨터에,
    자료관련정보, 메뉴관련정보, 조직관련정보, 사용자관련정보 등으로 구분되는 관리정보를 생성하여 저장하는 제 1 기능;
    메뉴에 접근하고자 하는 사용자에 대해 상기 메뉴관련정보와 상기 사용자관련정보 등을 이용하여 상기 메뉴가 모든 사용자에게 허용된 메뉴이거나 상기 사용자, 상기 사용자가 속한 조직 또는 상기 조직의 유형이 상기 메뉴로의 접근이 허용되는지를 확인하여 상기 메뉴로의 접근을 허용하는 제 2 기능; 및
    다른 사용자의 특정 유형의 자료에 접근하고자 하는 사용자에 대해 상기 자료관련정보, 상기 조직관련정보 및 상기 사용자관련정보 등을 이용하여 상기 자료에 대한 규칙이나 상기 다른 사용자가 속한 조직의 규칙에서 정의된 바에 따라 상기 사용자가 상기 자료에 접근할 수 있는지를 확인하여 상기 자료로의 접근을 허용하는 제 3 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1019990059099A 1999-12-18 1999-12-18 접근권한 제어 시스템에서의 사용자 접근권한 제어방법 KR100681114B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019990059099A KR100681114B1 (ko) 1999-12-18 1999-12-18 접근권한 제어 시스템에서의 사용자 접근권한 제어방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019990059099A KR100681114B1 (ko) 1999-12-18 1999-12-18 접근권한 제어 시스템에서의 사용자 접근권한 제어방법

Publications (2)

Publication Number Publication Date
KR20010064809A true KR20010064809A (ko) 2001-07-11
KR100681114B1 KR100681114B1 (ko) 2007-02-08

Family

ID=19627052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990059099A KR100681114B1 (ko) 1999-12-18 1999-12-18 접근권한 제어 시스템에서의 사용자 접근권한 제어방법

Country Status (1)

Country Link
KR (1) KR100681114B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100337908B1 (ko) * 2000-05-18 2002-05-24 박종민 회원 등록과 관리 권한을 사용자에게 제공하는 서버 장치
KR20040005507A (ko) * 2002-07-10 2004-01-16 김양회 컴퓨터 사용 관리 시스템 및 방법
KR100789433B1 (ko) * 2003-02-04 2007-12-28 노키아 코포레이션 네트워크에서의 사용자 정보에 대한 액세스를 허가하기위한 방법 및 시스템
WO2008005188A2 (en) * 2006-06-22 2008-01-10 Hostway Corporation Message control system in a shared hosting environment
US8787881B2 (en) 2005-04-06 2014-07-22 Samsung Electronics Co., Ltd Multimedia message service method and system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102227363B1 (ko) * 2019-05-30 2021-03-15 트럼피아 주식회사 다중 계층 구조의 데이터 접근 제어 시스템 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2977476B2 (ja) * 1995-11-29 1999-11-15 株式会社日立製作所 機密保護方法
JPH10232878A (ja) * 1997-02-19 1998-09-02 Hitachi Ltd ドキュメント管理方法および装置
JPH11282740A (ja) * 1998-03-31 1999-10-15 Casio Comput Co Ltd データベースシステム制御装置およびそのプログラム記録媒 体
KR100604241B1 (ko) * 1999-09-03 2006-07-24 네트워크 어플라이언스 인코포레이티드 멀티-프로토콜 파일 서버의 파일 액세스 제어

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100337908B1 (ko) * 2000-05-18 2002-05-24 박종민 회원 등록과 관리 권한을 사용자에게 제공하는 서버 장치
KR20040005507A (ko) * 2002-07-10 2004-01-16 김양회 컴퓨터 사용 관리 시스템 및 방법
KR100789433B1 (ko) * 2003-02-04 2007-12-28 노키아 코포레이션 네트워크에서의 사용자 정보에 대한 액세스를 허가하기위한 방법 및 시스템
US8787881B2 (en) 2005-04-06 2014-07-22 Samsung Electronics Co., Ltd Multimedia message service method and system
US9282101B2 (en) 2005-04-06 2016-03-08 Samsung Electronics Co., Ltd Multimedia message service method and system
US9930531B2 (en) 2005-04-06 2018-03-27 Samsung Electronics Co., Ltd Multimedia message service method and system
US10117102B2 (en) 2005-04-06 2018-10-30 Samsung Electronics Co., Ltd Multimedia message service method and system
US10397788B2 (en) 2005-04-06 2019-08-27 Samsung Electronics Co., Ltd Multimedia message service method and system
WO2008005188A2 (en) * 2006-06-22 2008-01-10 Hostway Corporation Message control system in a shared hosting environment
WO2008005188A3 (en) * 2006-06-22 2008-03-06 Hostway Corp Message control system in a shared hosting environment

Also Published As

Publication number Publication date
KR100681114B1 (ko) 2007-02-08

Similar Documents

Publication Publication Date Title
US10447737B2 (en) Delegating administration rights using application containers
Al-Kahtani et al. A model for attribute-based user-role assignment
US9628493B2 (en) Computer implemented methods and apparatus for managing permission sets and validating user assignments
JP4398371B2 (ja) リレーショナル・データベースへのアクセスを制御する方法
CN100430951C (zh) 向用户/组授予访问控制列表所有权的访问控制系统和方法
US7865521B2 (en) Access control for elements in a database object
US7841011B2 (en) Methods and apparatuses for tiered option specification
US7237119B2 (en) Method, system and computer program for managing user authorization levels
US9633101B2 (en) System, method and computer program product for portal user data access in a multi-tenant on-demand database system
US7533157B2 (en) Method for delegation of administrative operations in user enrollment tasks
US20060230043A1 (en) Technique for simplifying the management and control of fine-grained access
KR20110076891A (ko) 엔티티의 조직 정보에의 액세스를 관리하는 기법
JP2003280990A (ja) 文書処理装置及び文書を管理するためのコンピュータプログラム
US8271387B2 (en) Method and apparatus for providing limited access to data objects or files within an electronic software delivery and management system
WO2002044888A1 (en) Workflow access control
US20060288009A1 (en) Method and apparatus for restricting access to an electronic product release within an electronic software delivery system
CN114641768A (zh) 使用支持云的数据标记和动态访问控制策略引擎控制对数据中云资源的访问
US20020103734A1 (en) Method and apparatus for managing publication and sharing of data
KR100681114B1 (ko) 접근권한 제어 시스템에서의 사용자 접근권한 제어방법
US20040064419A1 (en) Distributed management and administration of licensing of multi-function offering applications
JP4489634B2 (ja) JavaサーブレットによるWebサーバシステム
Lee et al. Development of a User Management Module for Internet TV Systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110201

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee