KR20020051131A - Access Controlling Method of Access Controlling System using Identity-based - Google Patents

Access Controlling Method of Access Controlling System using Identity-based Download PDF

Info

Publication number
KR20020051131A
KR20020051131A KR1020000080615A KR20000080615A KR20020051131A KR 20020051131 A KR20020051131 A KR 20020051131A KR 1020000080615 A KR1020000080615 A KR 1020000080615A KR 20000080615 A KR20000080615 A KR 20000080615A KR 20020051131 A KR20020051131 A KR 20020051131A
Authority
KR
South Korea
Prior art keywords
access control
user
acl
access
group
Prior art date
Application number
KR1020000080615A
Other languages
Korean (ko)
Other versions
KR100519697B1 (en
Inventor
고종국
두소영
은성경
김정녀
Original Assignee
오길록
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오길록, 한국전자통신연구원 filed Critical 오길록
Priority to KR10-2000-0080615A priority Critical patent/KR100519697B1/en
Publication of KR20020051131A publication Critical patent/KR20020051131A/en
Application granted granted Critical
Publication of KR100519697B1 publication Critical patent/KR100519697B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Abstract

PURPOSE: An access control method for an access control system using identification base is provided to flexibly and efficiently compose permission groups by being expanded to a specific user and a specific group and providing the permission of a corresponding object to the expanded specific user and specific group. CONSTITUTION: An access control list regarding a corresponding object(250) is stored in a security DB(240). The object(250) is classified into other user except for a user and a group, a specific user, and a specific group. The access control list is provided to the classified user and specific group. The access control list of the corresponding object(250) is stored in the security DB(240) using an NDBM(New DataBase Manager).

Description

신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법 {Access Controlling Method of Access Controlling System using Identity-based}Access Control Method of Access Control System Using Identity-based

본 발명은 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법에 관한 것으로서, 보다 상세하게 설명하면, 확장된 퍼미션 그룹을 통해 유동적인 접근 제어를 제공하는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법에 관한 것이다.The present invention relates to an access control method of an access control system using an identity base. More specifically, the present invention relates to an access control method of an access control system using an identity base that provides flexible access control through an extended permission group. will be.

기존의 운영체제에서 제공하거나 국내에서 개발된 보안 운영체제 제품에서 제공하는 접근 제어 리스트는 한 객체에 대해 user, group 그리고 other 와 같은 세 가지 신분범위에서만 접근 제어 리스트(Access Control List)를 제공하는 것으로서, 신분에 따라 접근 제어 권한을 주는데 한계가 있었다.An access control list provided by an existing operating system or a domestically developed security operating system product provides an access control list only for three objects, such as user, group, and other, for an object. There was a limit to granting access control.

즉, 기존의 일반적인 운영체제에서는 해당 객체의 소유자와 소유자가 아닌 것으로 나뉘어져서 접근 제어 기능이 수행하였다. 이로 인해, 임의의 객체 소유자가 읽기, 쓰기, 실행하기 권한이 있으면, 그 이외에 다른 사용자는 객체 소유 그룹(group)이나 그 이외의 사용자들(other)에 의해 접근 권한을 갖게 되어, 읽기 권한만 가지게 되는 문제점이 있었다.That is, in the existing general operating system, the access control function is performed by being divided into the owner and the non-owner of the object. Because of this, if any object owner has read, write, or execute permissions, other users will have access by the object owning group or other users, so that they have only read permissions. There was a problem.

또한, 종래 기술에 따른 그룹 수준에서의 접근 제어 리스트 기법은 다음과 같다. 기존의 운영체제에서는 해당 객체가 속한 그룹 이외의 그룹에게는 접근 권한을 주지 않았다. 예를 들어, 시스템 내의 로그를 보고 특정 사용자들을 시스템 해킹에 관련한 요주의 인물로 정할 수 있는데, 그런 경우, 특별히 그들에게 접근인가를 주지 않도록 하기 위해 해당 시스템 파일들을 조치할 수가 없게되는 문제점이 발생한다.In addition, the access control list scheme at the group level according to the prior art is as follows. In previous operating systems, access was not granted to groups other than the group to which the object belongs. For example, you can look at the logs in the system and designate specific users as the people involved in hacking the system, in which case you will not be able to take action on those system files in order not to give them access.

상기한 종래 기술의 문제점을 해결하기 위한 본 발명의 목적은 특정 그룹 및 특정 사용자로 확장된 퍼미션 기능을 이용함으로서, 강력한 접근제어를 제공하며, 접근 권한에 대한 유연성을 주어 시스템의 보안성을 강화할 수 있는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법을 제공하기 위한 것이다.An object of the present invention for solving the problems of the prior art is to use a permission function extended to a specific group and a specific user, to provide strong access control, and to give flexibility to access rights to enhance the security of the system. It is to provide an access control method of an access control system using an identity base.

도 1은 본 발명이 적용되는 일반적인 접근 제어 시스템의 구성도,1 is a block diagram of a general access control system to which the present invention is applied;

도 2는 신분기반을 이용한 접근 제어 시스템의 구성도,2 is a block diagram of an access control system using an identity base;

도 3은 본 발명의 일 실시예에 따른 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법을 도시한 전체 흐름도이다.3 is a flowchart illustrating an access control method of an access control system using an identity base according to an embodiment of the present invention.

※ 도면의 주요 부분에 대한 부호의 설명 ※※ Explanation of code about main part of drawing ※

200 : 접근 제어 시스템 220 : 참조 모니터200: access control system 220: reference monitor

230 : ACL 검사부 240 : 보안 DB230: ACL check unit 240: security DB

상기한 목적을 달성하기 위한 본 발명은 구분된 사용자, 그룹, 이외의 사용자에 대한 접근을 구비된 ACL 검사부와 상기 ACL 검사부 내의 보안 데이터베이스를 통해 제어하는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법에 있어서, 해당 객체에 관한 접근 제어 리스트를 상기 보안 데이터베이스에 저장하는 제 1 단계와 : 상기 객체를 상기 사용자(user), 그룹(group), 이외의 사용자(other)와 특정 사용자와 특정 그룹으로 분류하는 제 2 단계 ; 상기 제 2 단계에 의해 분류된 상기 사용자 내지 특정 그룹에 상기 접근 제어 리스트를 제공하는 제 3 단계를 포함한다.The present invention for achieving the above object is an access control method of the access control system using an identity check that is controlled through a security database within the ACL check unit and the ACL check unit provided with access to a separate user, group, other users A first step of storing an access control list of a corresponding object in the security database, and classifying the object into the user, the group, other than the user, the specific user and the specific group. Second step; And a third step of providing the access control list to the users or specific groups classified by the second step.

본 발명에 따른 신분기반을 이용한 접근 제어 시스템의 접근 제어 방법을 설명하기에 앞서, 본 발명이 적용되는 시스템에 대해 알아보면 다음과 같다. 도 1은 본 발명이 적용되는 일반적인 접근 제어 시스템의 구성도이다.Prior to describing an access control method of an access control system using an identity base according to the present invention, a system to which the present invention is applied is as follows. 1 is a block diagram of a general access control system to which the present invention is applied.

접근 제어 시스템(100)은 구성에 따라, 여러 프로세서(110)가 존재하는 다중 처리 시스템이 될 수도 있다. 그러므로, 접근 제어 시스템(100)은 한 개 내지 네 개 이하의 Intel 처리기(140)와 공유 메모리(120)들이 시스템 버스(130)에 접속되며, 하드디스크(150)가 포함된 구성이 된다. 또한, 이더넷(Ethernet)과 같은 상호 연결 망에 네트워크 인터페이스 카드(NIC, 140)를 통해 연결되어 있는 시스템으로서, 리눅스를 기반으로 한 접근 제어 기능이 있는 운영체제 커널이 동작한다. 본 발명은 위와 같은 일반적인 접근 제어 시스템의 접근 제어 기능을 ACL(Access Control List : 접근 제어 리스트, 이하 ACL 이라 함) 기법을 이용함으로서, 보다 효율적인 접근 제어 기능을 구현한다.The access control system 100 may be a multiple processing system in which several processors 110 exist, depending on the configuration. Therefore, the access control system 100 has a configuration in which one to four or less Intel processors 140 and shared memories 120 are connected to the system bus 130, and the hard disk 150 is included. In addition, as a system connected to an interconnection network such as Ethernet through a network interface card (NIC) 140, an operating system kernel having an access control function based on Linux operates. The present invention implements a more efficient access control function by using an access control function (ACL) technique of the access control function of the general access control system as described above.

즉, 본 발명에서는, 운영체제 내의 사용자 또는 프로세스가 임의의 파일 또는 파일 시스템, 장치로의 접근 시, 신분 기반에 의하여 접근을 통제하는 접근 통제 시스템이다. 종래의 일반적인 운영체제에서는 하나의 객체에 대해 해당 객체의 소유자(user), 해당 객체가 속한 그룹(group) 그리고 그 이외의 사용자들(other)의 신분으로만 접근 권한을 주던 것을 객체의 소유자 또는 객체가 속해 있는 그룹 이 외에 임의의 사용자 또는 임의의 그룹에게 접근 권한을 줄 수 있도록 하여, 기존의 운영체제에 대한 접근 제어 방법 보다 더 확장되고 효율적이며 강력한 접근제어 기능을 제공한다.That is, in the present invention, when a user or a process in the operating system accesses any file, file system, or device, the access control system controls access based on an identity basis. In a conventional general operating system, an owner or an object of an object grants access to only one object as an owner of the object, a group to which the object belongs, and other users. By allowing access to any user or any group other than the group to which it belongs, it provides a more scalable, efficient and powerful access control function than the access control method for the existing operating system.

예를 들어, 어떤 팀에서 특정 객체를 만들었는데 팀장 이외에 다른 팀원들은 읽을 수만 있도록 하고 팀장은 읽고 쓰고 다 할 수 있도록 한다고 하자. 이런 경우, 해당 객체의 소유자를 팀장으로 한 후에 팀원들을 해당 객체의 소유 그룹으로 하여 접근 권한을 정의한다. 이로 인해, 그 이외의 다른 사용자들, 즉, 팀장 이외의 부장의 경우 등은 다른 그룹에 해당하므로 해당 객체를 읽거나 쓸 수가 없게 되어 일반적인 운영체제에서의 한계성을 나타낸다. 즉 객체의 접근 권한을 객체의 소유자, 객체를 소유한 그룹 그리고 그 나머지 사용자들로 나누는 정교하지 않은 접근 제어 리스트 기법은 보안상 많은 문제점이 있다. 이를 위해, 본 발명에서 구현된 접근 제어 리스트 기법은 해당 객체에 대한 접근 제어 권한을 사용자 각각의 형태인 사용자 단위로, 그룹 각각에 대하여 그룹 단위로 줄 수 있는 정교한 접근 제어 리스트 기법을 이용한다. 이 때, 기존의 객체 소유자(user), 객체 소유 그룹(group), 그 이외의 사용자들(other)과 같이 파일에 대한 접근 권한을 줄 때 하나의 파일 소유자, 하나의 파일이 속해 있는 그룹 그리고 그 이외에는 모두 other로 구분해버리는 단순한 구분이 아니라, 특정 사용자 또는 특정 그룹들로 더 구분이 가능하고 이들에게 독립적으로 접근 권한을 부여한다. 이로 인해, 위의 예와 같은 경우도 팀장과 부장에게 독립적으로 읽고 쓸 수 있는 권한을 부여 할 수 있다.For example, let's say a team created an object, but other members of the team can only read it, and the team leader can read and write. In this case, define the access right after the owner of the object is the team leader and the team members as the owning group of the object. As a result, other users, that is, a manager other than the team leader, belong to a different group and thus cannot read or write the corresponding object, indicating a limitation in the general operating system. In other words, the elaborate access control list technique that divides the access rights of an object into the owner of the object, the group that owns the object, and the rest of the users has many security problems. To this end, the access control list scheme implemented in the present invention uses a sophisticated access control list scheme that can give the access control authority for the object in the form of a user unit of each user and a group for each group. At this time, when giving access to a file, such as an existing object owner, an object owning group, or other users, one file owner, a group to which the file belongs, and It is not a simple division that separates all others into other, but it can be further divided into specific users or specific groups and grants them access independently. For this reason, even in the case of the above example, the team leader and the manager can be authorized to read and write independently.

도 2는 ACL 을 이용한 신분기반 접근 제어 시스템의 구성도이다. 접근 제어 시스템(200)은 도시된 바와 같이, 참조 모니터(220), ACL 검사부(230), 보안 데이터베이스(240), 객체(250)로 구성된다. 이 때, 각각의 객체(250)에 대한 접근 제어 리스트는 보안 데이터베이스(s240) 내에 저장됨에 있어, NDBM(New Database Manager : 새로운 데이터베이스 관리자, 이하 NDBM 이라 함)을 통해 저장된다.2 is a block diagram of an identity-based access control system using an ACL. As illustrated, the access control system 200 includes a reference monitor 220, an ACL checker 230, a security database 240, and an object 250. At this time, since the access control list for each object 250 is stored in the security database s240, it is stored through the NDBM (New Database Manager: NDBM).

이와 같은 구성을 특징으로 하는 신분기반 접근 제어 시스템의 동작 과정에 대해 알아보면 다음과 같다. 먼저, 참조 모니터(220)는 사용자(210)로부터 수신된임의의 객체(250, 예를 들어 파일, 디렉토리, 디바이스 등)들에 대한 접근 요청에 대해, 접근이 가능한지를 결정함으로서, 사용자(210)가 객체(250)에 접근하는 것을 제어한다. 이를 위해 참조 모니터(220)는 ACL 검사부(230)로 해당 사용자(210)의 접근 속성이 허용되는지를 요청한다. 참조 모니터(220)로부터 요청을 수신한 ACL 검사부(230)는 보안 데이터베이스(240)로부터 해당 객체의 접근 제어 리스트를 제공받아 해당 사용자의 접근 속성이 허용되는지를 검사한다. 이 때, 보안 데이터베이스(240) 내의 각각의 객체는 한 개의 접근 제어 리스트를 가지고 있는데, 이 때의 접근 제어 리스트를 구성하는 각각의 엔트리(entry)들에 대해 알아보면 다음과 같다.The operation process of the identity-based access control system characterized by such a configuration is as follows. First, the reference monitor 220 determines whether access is possible to an access request for arbitrary objects 250 (eg, a file, a directory, a device, etc.) received from the user 210, thereby determining whether the user 210 is accessible. Controls access to the object 250. To this end, the reference monitor 220 requests the ACL checker 230 whether an access attribute of the corresponding user 210 is allowed. Upon receiving the request from the reference monitor 220, the ACL checker 230 receives the access control list of the object from the security database 240 and checks whether the access property of the user is allowed. At this time, each object in the security database 240 has a single access control list, wherein each entry constituting the access control list at this time is as follows.

ACL_USER_OBJ 은 객체의 유효한 사용자(Effective User)에게 허용되는 접근권한 표시이며, ACL_USER 은 객체의 유효한 사용자 이외에 임의의 사용자에게 허용되는 접근권한 표시이며, ACL_GROUP_OBJ 는 객체의 유효한 그룹(effective group)에게 허용되는 접근 권한 표시이며, ACL_GROUP 는 객체의 유효한 그룹 이외에 임의의 그룹에게 허용되는 접근 권한 표시이며, ACL_OTHER 은 어느 엔트리에도 해당되지 않는 사용자에게 허용되는 접근 권한 표시이며, ACL_MASK 는 ACL_USER_OBJ, ACL_OTHER 이외의 모든 그룹 클래스에게 허용되는 최대 접근 권한 표시이다. 또한, 각 엔트리들은 다음과 같은 요소를 포함한다. 포함되는 해당 요소는 해당 엔트리의 적용자를 표시(예를 들어, acl_user_obj.uid = 500)하는 UID 와, 해당 엔트리 적용자에게 주어진 객체의 접근 권한을 표시(예를 들어, acl_user_obj.perm=rwx)하는 PERMISSION 이다.ACL_USER_OBJ is an indication of access granted to an effective user of an object, ACL_USER is an indication of access allowed to any user other than a valid user of an object, and ACL_GROUP_OBJ is an access allowed to an effective group of objects A permission indication, ACL_GROUP is an indication of the access allowed to any group other than a valid group of objects, ACL_OTHER is an indication of the permission allowed to a user who does not correspond to any entry, and ACL_MASK is given to any group class other than ACL_USER_OBJ, ACL_OTHER. The maximum allowed access rights are displayed. In addition, each entry includes the following elements. The elements involved include a UID that represents the applicator of the entry (for example, acl_user_obj.uid = 500), and a PERMISSION that displays the access rights of the object given to the entry applicator (for example, acl_user_obj.perm = rwx). to be.

이와 같은 특징을 포함하는 신분기반을 이용한 접근 제어 시스템의 접근 제어 방법에 대해 알아보면 다음과 같다. 도 3은 본 발명의 일 실시예에 따른 신분기반을 이용한 접근 제어 시스템의 접근 제어 방법을 도시한 전체 흐름도이다.An access control method of an access control system using an identity base including such features is as follows. 3 is a flowchart illustrating an access control method of an access control system using an identity base according to an embodiment of the present invention.

먼저, 참조 모니터로부터 접근 권한 검사 요청이 수신(S301)되면, ACL 검사부는 보안 데이터 베이스에서 해당 객체의 접근 제어 리스트를 가져온다(S302). 이 후, 가져온 접근 제어 리스트 정보를 통해 접근을 요청한 사용자 아이디(UID) 가 acl_user_obj 의 아이디와 같은지를 검사한다(S303). 즉, 객체 소유자의 아이디와 같은지를 검사하는 것이다. 검사 결과, 접근을 요청한 사용자 아이디가 객체 소유자의 아이디와 같으면 matching_entry 는 acl_user_obj 엔트리로 설정(S304)되는 반면, 검사 결과, 접근을 요청한 사용자 아이디가 객체 소유자의 아이디와 같지 않으면, 접근을 요청한 사용자 아이디(UID) 가 acl_user.uid 와 같은 지를 비교한다(S305). 비교 결과, 같으면 match_entry 는 acl_user 엔트리로 설정(S306)되는 반면, 비교 결과, 같지 않으면, 접근을 요청한 사용자의 유효한 그룹 아이디 또는 그 외에 사용자가 속해있는 그룹 아이디들이 acl_group_obj.uid 그리고 acl_group.uid 와 같은 지를 비교한다(S307). 비교 결과, 아이디가 서로 같으면, 매칭된 엔트리가 요청한 접근 속성을 가지고 있는지를 검사(S308)하는 반면, 비교 결과, 아이디가 서로 같지 않으면, 요청된 접근 속성이 선택한 matching_entry 에 있는지를 검사한다(S310). 한편, 검사 결과, 요청된 접근 속성이 선택한 matching_entry 에 있으면, matching_entry 는 해당 엔트리로 설정(S309)되는 반면, 검사 결과, 요청된 접근 속성이 선택한 matching_entry 에없으면, 접근 거부(DENY)를 하게 된다(S313).First, when an access authority check request is received from the reference monitor (S301), the ACL checker obtains an access control list of the corresponding object from the security database (S302). Thereafter, it is checked whether the user ID (UID) requesting access is the same as the ID of acl_user_obj through the imported access control list information (S303). In other words, it checks whether the object owner's ID is the same. If the user ID requesting access is the same as the ID of the object owner, matching_entry is set to the acl_user_obj entry (S304). On the other hand, if the user ID requesting access is not the same as the ID of the object owner, the requesting user ID ( UID) is compared with acl_user.uid (S305). If the result of the comparison is equal, match_entry is set to the acl_user entry (S306), whereas if the comparison is not equal, the valid group ID of the user who requested access or other group IDs to which the user belongs are the same as acl_group_obj.uid and acl_group.uid Comparison is made (S307). As a result of the comparison, if the IDs are the same, it is checked whether the matched entry has the requested access attribute (S308). On the other hand, if the ID is not the same, it is checked whether the requested access attribute is in the selected matching_entry (S310). . On the other hand, if the check result, if the requested access attribute is in the selected matching_entry, matching_entry is set to the entry (S309), while if the check result, the requested access attribute is not in the selected matching_entry, the access is denied (DENY) (S313) ).

이후, 요청된 속성이 acl_other 의 접근 속성에 있는지를 검사(S310)한 결과, 있으면 matching_entry 는 acl_other 로 설정(S311)하는 반면, 검사 결과, 요청된 접근 속성이 선택한 matching_entry 에 있는지를 검사한다(S312). 검사 결과, 요청된 접근 속성이 선택한 matching_entry 에 없으면, 접근 거부(DENY)를 하는 반면(s313), 검사 결과, 요청된 접근 속성이 선택한 matching_entry 에 있으면 선택한 matching_entry 가 acl_user_obj 또는 acl_other 인지를 검사한다(S314). 검사 결과, 맞으면 접근 허가(GRANT)를 하는(S315) 반면, 검사 결과, 맞지 않으면, acl_mask 엔트리가 존재하며, acl_mask 엔트리에 요청된 속성이 있지 않은가를 검사한다(S316). 검사 결과, acl_mask 엔트리에 요청된 속성이 있지 않으면, 접근 거부(DENY)를 하는(S317) 반면, 검사 결과, acl_mask 엔트리에 요청된 속성이 있으면, 접근 허가(GRANT)를 결정한다(S315).Then, as a result of checking whether the requested attribute is in the access attribute of acl_other (S310), if there is a matching_entry set to acl_other (S311), while checking, it is checked whether the requested access attribute is in the selected matching_entry (S312). . If the result of the check is that the requested access attribute is not in the selected matching_entry, access is denied (DENY), whereas if the requested result is in the selected matching_entry, it is checked whether the selected matching_entry is acl_user_obj or acl_other (S314). . If the result of the check is correct, GRANT is granted (S315). On the other hand, if the result is not correct, an acl_mask entry exists, and whether the requested attribute is present in the acl_mask entry is checked (S316). If there is no requested attribute in the acl_mask entry as a result of the check, access is denied (DENY). On the other hand, if the requested attribute is found in the acl_mask entry, an access grant (GRANT) is determined (S315).

위에서 양호한 실시예에 근거하여 이 발명을 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것이다. 이 발명이 속하는 분야의 숙련자에게는 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.While the invention has been described above based on the preferred embodiments thereof, these embodiments are intended to illustrate rather than limit the invention. It will be apparent to those skilled in the art that various changes, modifications, or adjustments to the above embodiments can be made without departing from the spirit of the invention. Therefore, the protection scope of the present invention will be limited only by the appended claims, and should be construed as including all such changes, modifications or adjustments.

이상과 같이 본 발명에 의하면, 특정 사용자와 특정 그룹으로 확장하여 해당 객체의 퍼미션을 줌으로서, 보다 유동적이고 효율적인 퍼미션 그룹들을 구성할 수 있을 뿐만 아니라, 보다 강력한 접근 제어를 통해, 시스템의 해킹과 관련한 요주의 인물들을 그룹으로 하는 특정 사용자 그룹에게의 접근 권한을 주지 않는 것과 같은 시스템의 보안성을 강화할 수 있는 효과가 있다.As described above, according to the present invention, by granting the permission of the object by extending to a specific user and a specific group, not only can configure more flexible and efficient permission groups, but also more powerful access control, There is an effect that can enhance the security of the system, such as not giving access to a specific user group grouped by people of interest.

Claims (4)

구분된 사용자, 그룹, 이외의 사용자에 대한 접근을 구비된 ACL 검사부와 상기 ACL 검사부 내의 보안 데이터베이스를 통해 제어하는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법에 있어서,In the access control method of the access control system using an ACL check unit equipped with access to the separated users, groups, other users and the identity base controlled through the security database in the ACL check unit, 해당 객체에 관한 접근 제어 리스트를 상기 보안 데이터베이스에 저장하는 제 1 단계와 :A first step of storing an access control list for the object in the security database: 상기 객체를 상기 사용자(user), 그룹(group), 이외의 사용자(other)와 특정 사용자와 특정 그룹으로 분류하는 제 2 단계 ;A second step of classifying the object into the user, group, other, and a specific user and a specific group; 상기 제 2 단계에 의해 분류된 상기 사용자 내지 특정 그룹에 상기 접근 제어 리스트를 제공하는 제 3 단계를 포함하는 것을 특징으로 하는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법.And a third step of providing the access control list to the user or a specific group classified by the second step. 제 1 항에 있어서,The method of claim 1, 상기 제 1 단계는 NDBM(New Database Manager)를 이용하여 상기 보안 데이터 베이스에 상기 해당 객체의 접근 제어 리스트를 저장하는 것을 특징으로 하는 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법.The first step of the access control method of the access control system using the identity base, characterized in that for storing the access control list of the object in the security database using a New Database Manager (NDBM). 제 1 항에 있어서,The method of claim 1, 상기 접근 제어 리스트는 ACL_USER_OBJ(상기 객체의 유효한 사용자에게 표현되는 접근 권한 표시)와 ACL_USER(상기 객체의 임의의 사용자), ACL_GROUP_OBJ(상기 객체의 유효한 그룹), ACL_GROUP(상기 객체의 임의의 그룹), ACL_OTHER(어느 엔트리에도 속하지 않는 사용자), ACL_MASK(상기 ACL_USER_OBJ, ACL_OTHER 이외의 나머지 모든 그룹에게 적용되는 최대 접근 권한 표시)와 같은 엔트리를 포함하는 것을 특징으로 하는 신분기반을 이용한 접근 제어 시스템의 접근 제어 방법.The access control list includes ACL_USER_OBJ (an indication of the access rights expressed to a valid user of the object), ACL_USER (any user of the object), ACL_GROUP_OBJ (a valid group of the object), ACL_GROUP (any group of the object), ACL_OTHER (User not belonging to any entry), ACL_MASK (indicates the maximum access rights that apply to all other groups other than the ACL_USER_OBJ, ACL_OTHER) access control method using an identity-based access control system. 제 1 항에 있어서,The method of claim 1, 상기 엔트리는 UID(해당 엔트리의 적용자 표시) 와 PERMISSION(상기 해당 엔트리 적용자에게 주어진 객체의 접근 권한 표시)을 포함하는 것을 특징으로 하는 신분기반을 이용한 접근 제어 시스템의 접근 제어 방법.And the entry includes a UID (applicant indication of the entry) and PERMISSION (indication of access rights of an object given to the corresponding entry applicator).
KR10-2000-0080615A 2000-12-22 2000-12-22 Access Controlling Method for Access Controlling System using Identity-based KR100519697B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0080615A KR100519697B1 (en) 2000-12-22 2000-12-22 Access Controlling Method for Access Controlling System using Identity-based

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0080615A KR100519697B1 (en) 2000-12-22 2000-12-22 Access Controlling Method for Access Controlling System using Identity-based

Publications (2)

Publication Number Publication Date
KR20020051131A true KR20020051131A (en) 2002-06-28
KR100519697B1 KR100519697B1 (en) 2005-10-11

Family

ID=27684894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0080615A KR100519697B1 (en) 2000-12-22 2000-12-22 Access Controlling Method for Access Controlling System using Identity-based

Country Status (1)

Country Link
KR (1) KR100519697B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101308351B1 (en) * 2012-02-24 2013-09-17 주식회사 팬택 Terminal and method for assigning a permission to application

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101308351B1 (en) * 2012-02-24 2013-09-17 주식회사 팬택 Terminal and method for assigning a permission to application

Also Published As

Publication number Publication date
KR100519697B1 (en) 2005-10-11

Similar Documents

Publication Publication Date Title
US5283830A (en) Security mechanism for a computer system
US8458337B2 (en) Methods and apparatus for scoped role-based access control
Saltzer et al. The protection of information in computer systems
US5881225A (en) Security monitor for controlling functional access to a computer system
US5052040A (en) Multiple user stored data cryptographic labeling system and method
US4135240A (en) Protection of data file contents
US4941175A (en) Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations
Karger Limiting the damage potential of discretionary Trojan horses
McIlroy et al. Multilevel security in the UNIX tradition
JP2003524252A (en) Controlling access to resources by programs using digital signatures
JPS61195443A (en) Method of protecting system file in data processing system and data processing system
US20040088563A1 (en) Computer access authorization
JPH09212365A (en) System, method, and product for information handling including integration of object security service approval in decentralized computing environment
CA2149866C (en) A method and system for maintaining access security of input and output operations in a computer system
Hasani et al. Criteria specifications for the comparison and evaluation of access control models
RU2207619C2 (en) Resource access differentiation system
KR100519697B1 (en) Access Controlling Method for Access Controlling System using Identity-based
RU2134931C1 (en) Method of obtaining access to objects in operating system
RU2630163C1 (en) Method of control of files access
JPH01209561A (en) Security managing system
JPH03154149A (en) Access to common resource
JPS62248048A (en) Confidential protecting system for file
JP2934709B2 (en) File security management device
Kononov et al. Improving Web Applications Security Using Path-Based Role Access Control Model
Smith-Thomas et al. Implementing role based, Clark-Wilson enforcement rules in a B1 on-line transaction processing system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee