KR20060043725A - 보안 정보를 디스플레이하고 관리하는 시스템 및 방법 - Google Patents

보안 정보를 디스플레이하고 관리하는 시스템 및 방법 Download PDF

Info

Publication number
KR20060043725A
KR20060043725A KR1020050022081A KR20050022081A KR20060043725A KR 20060043725 A KR20060043725 A KR 20060043725A KR 1020050022081 A KR1020050022081 A KR 1020050022081A KR 20050022081 A KR20050022081 A KR 20050022081A KR 20060043725 A KR20060043725 A KR 20060043725A
Authority
KR
South Korea
Prior art keywords
domain
resource
entity
security
secure
Prior art date
Application number
KR1020050022081A
Other languages
English (en)
Other versions
KR101143108B1 (ko
Inventor
다니엘 더블유 히치콕
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060043725A publication Critical patent/KR20060043725A/ko
Application granted granted Critical
Publication of KR101143108B1 publication Critical patent/KR101143108B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

컴퓨터 시스템의 도메인에 대한 보안 정보를 관리하는 방법 및 시스템이 제공된다. 보안 시스템은 사용자 또는 컴퓨터 시스템과 같은 선택된 보안 객체에 대한 보안 정보를 디스플레이한다. 보안 시스템은 먼저, 각각이 엔티티(entity), 자원, 및 선택된 보안 객체에 대한 액세스 권한의 식별을 가지는 보안 사양(security specification)을 포함하는 보안 정보를 검색한다. 그 다음 보안 시스템은 각 보안 사양에 대한 액세스 권한과 함께 엔티티 및 자원의 식별을 디스플레이한다. 보안 정보가 자원 및 그 자원으로의 액세스 권한들을 가지는, 각 자원에 대한, 엔티티들에 의해 보안 저장소(즉, 주(main) 보안 저장소)에 저장되면, 보안 시스템은 보조 보안 저장소를 이용하여 보안 정보의 검색을 용이하게 할 수 있다.
보안 정보, 보안 객체, 엔티티, 디렉토리 서비스, 트러스트 관계, 인증 허가

Description

보안 정보를 디스플레이하고 관리하는 시스템 및 방법{METHOD AND SYSTEM FOR DISPLAYING AND MANAGING SECURITY INFORMATION}
도 1은 일실시예에서 보안 사양이 디스플레이 될 선택된 객체의 엔트리를 도시하는 디스플레이 페이지.
도 2a는 일 실시예에서 엔티티에 대한 인증-허가 보안 사양의 디스플레이를 도시한 디스플레이 페이지.
도 2b는 일 실시예에서 자원의 인증-허가 보안 사양의 디스플레이를 도시하는 디스플레이 페이지.
도 3은 일 실시예에서 인증-허가 보안 사양의 생성을 도시하는 디스플레이 페이지.
도 4는 일 실시예에서 보안 시스템을 구현하는 도메인의 컴포넌트를 도시하는 블럭도.
도 5는 일 실시예에서 보조 보안 저장소 초기화 컴포넌트의 프로세싱을 도시하는 흐름도.
도 6은 일 실시예에서 UI 제어기의 프로세싱을 도시하는 흐름도.
도 7은 일 실시예에서 엔티티 정보 디스플레이 컴포넌트의 프로세싱을 도시하는 흐름도.
도 8은 일 실시예에서 보안 사양 디스플레이 컴포넌트의 프로세싱을 도시하는 흐름도.
도 9는 일 실시예에서 보안 사양 갱신 컴포넌트의 프로세싱을 도시하는 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
101, 102: 데이터 엔트리 필드
250: 디스플레이 페이지
251: 도메인 식별 영역
302: 자원 식별 필드
401: 컴퓨터 시스템
402: 통신 링크
412: 보조 보안 저장소 초기화 컴포넌트
421: 주 보안 저장소
422: 보조 보안 저장소
본 발명은 일반적으로 컴퓨터 시스템의 도메인에 대한 보안 정보의 관리에 관한 것이다.
현재 네트워크 시스템은 트러스트된 관계(trusted relationship)가 컴퓨터 시스템의 도메인 간에 구축되도록 한다. 컴퓨터 시스템의 도메인은 동일한 도메인 내에 존재하는 일반적인 속성을 공유하는 컴퓨터 시스템의 컬렉션(collection)이다. 예를 들면, 한 회사의 모든 컴퓨터 시스템은 회사의 도메인을 형성할 수 있고, 그 회사의 인적 자원부의 컴퓨터 시스템은 회사의 인적 자원 도메인을 형성할 수 있다. 종종, 한 도메인에서의 컴퓨터 시스템들의 사용자들은 다른 도메인의 사용자들이 자신들의 자원(예를 들면, 데이터 파일 및 애플리케이션 파일)을 액세스하는 것을 허가할 수 있다. 예를 들면, 그 자신의 컴퓨터 시스템이 중역 도메인 내에 존재하는 회사 사장은 인적 자원 도메인의 컴퓨터 시스템 상에 저장된 직원 파일들(personnel files)(즉, 자원의 한 유형)을 액세스할 수 있다. 직원 파일로의 액세스를 허가하기 위해서, 인적 자원 도메인 관리자는 중역 도메인 사용자와의 "트러스트 관계"를 구축할 수 있다. 일단 이 트러스트 관계가 구축되면, 트러스트된 도메인의 멤버인, 회사 사장은 소정의 직원 파일들을 액세스할 수 있다. 인적 자원 도메인 관리자는, 중역 도메인에 대한, 인적 자원 도메인의 "내향 트러스트(incoming trust)"를 구축하는 것으로 여겨지며, 이는 중역 도메인의 사용자가 인적 자원 도메인의 관리자에 의해 트러스트되는 것을 의미한다. 중역 도메인의 관리자도 중역 도메인과 인적 자원 도메인 간에 트러스트 관계를 구축할 수 있다. 이 트러스트 관계에 의해, 인적 자원 도메인의 사용자가 중역 도메인의 자원을 액세스할 수 있다. 이러한 경우, 중역 도메인에 대한 인적 자원 도메인의 "외향 트러스트(outgoing trust)"가 구축되며 이 트러스트에 의해 인적 자원 도메인의 사용자가 중역 도메인의 자원을 액세스할 수 있다. 인적 자원 도메인에 대한 "내향 트 러스트"는 중역 도메인에 대한 "외향 트러스트"일 수 있고, 중역 도메인에 대한 "내향 트러스트"는 인적 자원 도메인에 대한 "외향 트러스트"일 수 있다.
일단 도메인들 간에 트러스트 관계가 구축되면, 액세스 제어 리스트("ACL") 또는 일부 다른 제어 메카니즘에 의해 내향 트러스트를 가지는 도메인의 자원으로의 액세스가 제어될 수 있다. 예를 들면, 인적 자원 도메인 내의 관리자는 사장이 그의 직원 파일로의 읽기 전용 액세스 및 그 회사의 다른 중역들의 직원 파일로의 읽기-쓰기 액세스를 지정할 수 있다. 사장이 그의 직원 파일로의 액세스를 요청하면, 인적 자원 도메인의 보안 메카니즘은 해당 직원 파일의 ACL을 검사하여 요청된 액세스가 사장의 액세스 권한과 일치하는지 확인한다. 그렇지 않다면, 사장에게 액세스가 금지된다.
내향 트러스트 관계를 가지는 도메인의 관리자 또는 사용자가 트러스트된 도메인의 모든 사용자에 대하여 자신의 자원 모두로의 적절한 액세스 권한을 구축하는 것은 상당한 시간이 걸릴 수 있다. 액세스 권한들의 구축을 용이하게 하는 것을 돕기 위하여, 적어도 하나의 네트워크 보안 메카니즘이 내향 트러스트를 가진 도메인의 컴퓨터 시스템들과 대응하는 외향 트러스트를 가지는 도메인의 사용자들 간에 "인증이 허가된" 액세스 권한을 제공한다. 예를 들면, 인적 자원 도메인의 관리자는 회사의 중역들에게 직원 파일들을 포함하는 인적 자원 도메인의 직원 서버로의 인증이 허가되도록 지정할 수 있다. 사장이 직원 파일로의 액세스를 요청하면, 사장의 컴퓨터 시스템은 먼저 직원 서버로의 인증을 시도한다. 인적 자원 관리자가 사장에게 직원 서버를 인증하는 권한을 부여했다면, 네트워크 보안 메카 니즘은 액세스를 요청한 사장의 실체를 확인하기 위해 그 사장을 인증한다. 일단 이 인증이 완료되면, 사장은 이제 직원 파일의 자원의 ACL에 따라서 이들 자원(예를 들면, 직원 파일들)을 액세스할 수 있다. 직원 서버의 자원 중 어느 것도 사장에게 액세스 권한을 부여하는 ACL을 가지지 않는다면, 사장이 인증될 수 있더라도, 이 사장은 자원들 중 어떤 것도 액세스할 수 없을 것이다.
네트워크 보안 메카니즘이 이용하는 인증 프로세스는 사장의 컴퓨터 시스템의 케레보즈(Kerebos) 클라이언트가 인적 자원 도메인의 케레보즈 서버에 사용자 이름 및 패스워드를 제공하는 표준 케레보즈 인증 기법일 수 있다. 케레보즈 서버는 사용자 이름 및 패스워드를 확인하고, 사용자가 요청된 컴퓨터 시스템으로의 인증이 허가된 액세스 권한을 가지는지 확인하고, 만약 가진다면, 사용자에게 "티켓"을 제공한다. 이 티켓은 사용자가 인증되었던 컴퓨터 시스템의 자원을 액세스하는 것을 시도할 때마다 이용된다. 티켓이 유효하다면, 자원으로의 액세스는 자원의 ACL에 따라서 허가된다. 그렇지 않다면, 액세스는 금지된다.
일부 네트워크 보안 메카니즘은 LDAP 디렉토리 또는 "마이크로소프트 액티브 디렉토리"와 같은 디렉토리 서버를 이용하여 중앙 리포지토리(repository)에 도메인에 대한, 인증-허가 정보와 같은, 보안 정보를 저장한다. 도메인의 각 컴퓨터 시스템은 그 도메인으로의 외향 트러스트를 가지는 도메인의 어느 사용자들이 그 컴퓨터 시스템을 인증하도록 허가받았는지를 기술하는 엔트리를 중앙 리포지토리 내에 가질 수 있다. 예를 들면, 인적 자원 도메인의 직원 서버의 엔트리는 직원 서버로의 인증이 허가된 중역 도메인의, "중역"이라고 칭하여지는, 사용자의 그룹 을 기술할 수 있다. 또는 엔트리는 각 중역의 사용자 이름들을 열거할 수 있다. 네트워크 보안 메카니즘은 자신의 도메인으로의 외향 트러스트를 가지는 도메인의 사용자가 이 도메인의 컴퓨터 시스템의 인증을 요청할 때마다 이 중앙 리포지토리를 액세스한다.
이러한 보안 정보의 중앙 리포지토리는 각 컴퓨터 시스템에 대한 정보를 저장하지만, 외향 트러스트를 가지는 도메인들의 개개의 사용자의 액세스 권한 모두가 빨리 결정될 수 있는 방식으로 정보를 저장하지는 않는다. 사용자의 액세스 권한을 결정하기 위하여, 사용자가 액세스 권한(인증이 허가된 액세스 권한)을 가지는 컴퓨터 시스템을 식별하기 위해 보안 정보의 저장소 전체가 액세스될 필요가 있을 것이다. 도메인이 수백 내지 수 천개의 컴퓨터 시스템을 가질 수 있고 각각이 수백 내지 수천개의 사용자를 가지는 수많은 상이한 도메인들과 내향 트러스트 관계를 가질 수 있기 때문에, 중앙 리포지토리의 보안 정보는 극도로 커질 수 있고, 개개의 사용자의 모든 액세스 권한을 식별하는 데에 긴 시간이 걸릴 수 있다. 예를 들면, 한 경우에서, 컴퓨터 프로그램이 인증이 허가된 액세스 권한을 가지는 각각의 사용자에 대하여, 소정의 리스트, 즉 사용자가 인증이 허가된 액세스 권한을 가지는 컴퓨터 시스템의 리스트를 컴파일하는 데에는 3일 이상이 걸린다. 결과적으로, 개개의 사용자의 액세스 권한들을 식별하고 제어하는 것은 비현실적이기 때문에, 일부 관리자는 네트워크 보안 메카니즘의 특정 보안 특징들을 사용하지 않는다.
관리자가 개개의 사용자에 대한 보안 정보를 볼 수 있고 제어할 수 있도록 하는 효과적인 방식을 가지는 것이 바람직하다.
보안 정보를 보유하는 보안 시스템이 제공된다. 일 실시예에서, 보안 시스템은 도메인에 대한 주 보안 저장소를 제공하는데, 이 저장소는 엔티티와 이 도메인들로의 액세스 권한들을 식별하는 도메인 자원에 대한 엔트리들을 포함한다. 보안 시스템은 또한 자원으로의 엔티티의 액세스 권한을 식별하는 엔트리들을 가지는 보조 보안 저장소를 제공한다. 보안 시스템은 관리자로 하여금 액세스 권한을 보고 갱신하도록 하는 사용자 인터페이스를 제공할 때는 보조 보안 저장소를 사용한다. 보안 시스템은 자원으로의 엔티티의 액세스 권한을 검증할 때는 주 보안 저장소를 이용한다. 사용자가 액세스 권한을 갱신할 것을 지시하면, 보안 시스템은 주 보안 저장소 및 보조 보안 저장소 모두를 갱신한다. 이러한 방식으로, 보안 시스템은 관리자로 하여금 엔티티 단위로 보안 정보를 효과적으로 제어할 수 있게 하고 주 보안 저장소를 보조 보안 저장소와 동기화된 상태로 유지시킨다.
컴퓨터 시스템들의 도메인에 대한 보안 정보를 관리하는 방법 및 시스템이 제공된다. 일 실시예에서, 보안 시스템은 사용자 또는 컴퓨터 시스템과 같은, 선택된 보안 객체에 대한 보안 정보를 디스플레이한다. 보안 시스템은 먼저, 각각이 엔티티, 자원, 및 선택된 보안 객체에 대한 액세스 권한의 식별자를 가지는 보안 사양을 포함하는 보안 정보를 검색한다. 엔티티는 사용자 또는 사용자들의 그룹을 포함할 수 있고, 자원은 컴퓨터 시스템들을 포함할 수 있으며, 액세스 권한은 이 엔티티에 자원으로의 인증이 허가됐는지 여부를 기술할 수 있다. 그 다음 보안 시스템은 각 보안 사양에 대한 액세스 권한과 함께 엔티티 및 자원의 식별자를 디스플레이한다. 보안 정보가 자원 및 각 자원 마다, 그 자원에 대한 액세스 권한을 가지는 엔티티들에 의해 보안 저장소(즉, 주 보안 저장소)에 저장되면, 보안 시스템은 보안 정보의 검색을 용이하게 하기 위해 보조 보안 저장소를 이용할 수 있다. 일 실시예에서, 보조 보안 저장소는 주 보안 저장소에 기술된 보안 사양 각각에 대한 엔트리를 포함한다.
보안 사양은, 엔티티가 자원으로의 기술된 액세스 권한을 가짐을 의미하는, 엔티티, 자원 및 엑세스 권한의 트리플(triplet)을 정의한다. 엔티티를 액세스 권한의 "소스"로 칭할 수도 있고, 자원을 액세스 권한의 "목적지"로 칭할 수도 있다. 이 소스 및 목적지라는 용어는 어떤 소스가 어떤 목적지로의 어떤 액세스 권한을 가지는지를 기술하는 방화벽(firewall) 메카니즘이 이용하는 용어와 유사하다. 보안 시스템은 관리자에게 보안 정보로의 액세스를 제공할 때 보조 보안 저장소를 이용할 수 있다. 상세히 기술하자면, 관리자가 보안 정보를 보길 원한다면, 보안 시스템은 주 보안 저장소보다는 보조 보안 저장소로부터 보안 사양들을 검색한다. 또한, 관리자가 보안 정보를 수정하기를 원한다면, 보안 시스템은 보조 보안 저장소의 보안 사양들을 이용하여 관리자가 수정될 보안 정보를 기술하는 것을 돕는다. 보안 시스템은 또한 이 수정 사항을 반영하도록 주 보안 저장소 및 보조 보안 저장소 모두를 갱신한다. 이러한 방식으로, 관리자는 보조 보안 저장소를 이용하는 보안 시스템을 이용하여 자신의 도메인에 대한 보안 정보를 효과적으로 관리할 수 있 고, 네트워크 보안 메카니즘은 자원으로의 액세스를 요청하는 엔티티가 이 요청된 액세스에 대하여 적합한 액세스 권한을 가지는지 여부를 검사할 경우에는 주 보안 저장소도 여전히 이용할 수 있다.
일 실시예에서, 보안 시스템은 먼저 주 보안 저장소의 보안 정보로부터 보안 사양을 컴파일함으로써 보조 보안 저장소를 파퓰레이트(populate)할 수 있다. 주 보안 저장소의 보안 정보를 검색하고 프로세싱하는 데에 긴 시간일 걸릴 수 있지만, 이 검색 및 프로세싱은 한번의 시행만 필요하다. 초기에 보조 보안 저장소를 파퓰레이트한 후에, 보안 시스템은 보안 정보가 갱신될 때마다 주 보안 저장소 및 보조 보안 저장소를 둘 다 갱신한다. 주 보안 저장소와 보조 보안 저장소가 일치되어야 하는 것이 중요하기 때문에, 주 보안 저장소와 보조 보안 저장소를 둘 다 갱신한 이후에 보안 시스템은 보안 저장소로부터의 갱신된 보안 정보를 검색하여 갱신이 올바르게 완료되었는지 확인할 수 있다. 올바르지 않다면, 보안 시스템은 관리자에게 올바른 조치가 취해지도록 통지할 수 있다. 보안 시스템은 또한 보안 정보의 모든 갱신 사항을 로깅(log)하여 보안 저장소에 대한 갱신이 적절히 이전 또는 이후의 상태로 되돌릴 수 있도록 할 수 있다. 일 실시예에서, 보안 시스템은 보안 시스템에 의해 관리되는 (예를 들면, 인증 허가된) 액세스 권한을 부여하고 박탈하는 특권을 가지는 사용자(예를 들면, 관리자) 만이 보안 정보를 갱신할 수 있음을 확실하게 할 수 있다.
일 실시예에서, 보안 시스템은 액세스 권한을 부모 보안 객체로부터 상속될 수 있도록 한다. 예를 들면, 사용자가 컴퓨터 시스템의 도메인을 인증하는 권한을 수여받았다면, 그 도메인의 각 하위(sub)-포함물은 그 수여를 상속한다. 또한, 각 하위-포함물의 컴퓨터 시스템 각각도 그 수여를 상속한다. 그러나, 보안 시스템은 관리자가 상속된 액세스 권한을 무효화(override)시킬 수 있도록 한다. 예를 들면, 관리자는 사용자가 하위-포함물의 특정 컴퓨터 시스템으로의 액세스 권한을 갖지 않는다고 기술하여 상속된 수여를 무효화할 수 있다. 보안 시스템은, 일 실시예에서, 액세스 권한의 내포된 무효화는 허용하지 않는다. 예를 들면, 관리자가 하위-포함물에 대한 상속된 수여를 무효화한다면, 보안 시스템은 관리자가 하위-포함물의 컴퓨터 시스템에 의해 상속된 오버라이드를 무효화할 수 없도록 한다. 그러므로, 관리자는 하위-포함물이 상속된 액세스 권한을 수여받지 못하지만 , 하위-포함물의 컴퓨터 시스템은 상속된 액세스 권한을 수여받는다고 지정할 수는 없다. 관리자가 컴퓨터 시스템이 액세스 권한을 수여받는 것을 필요로 한다면, 컴퓨터 시스템이 상속된 권한이 무효화되었던 하위-포함물 내에 있지 않도록 보안 객체의 계층 구조를 재구성할 수 있다. 대안으로, 컴퓨터 시스템은 액세스 권한을 상속한 도메인과는 다른 도메인 내에 있을 수도 있다.
도 1 내지 도 3은 일 실시예에서 인증-허가 보안 정보의 관리를 도시하는 디스플레이 페이지이다. 도 1은 일 실시예에서 보안 사양이 디스플레이 될 선택된 객체의 엔트리를 도시하는 디스플레이 페이지이다. 디스플레이 페이지(100)는 엔티티 또는 자원자의 식별의 엔트리에 대한 데이터 엔트리 필드(101 및 102)를 포함한다. 데이터 엔트리 필드는 보안 객체의 선택을 용이하게 하는 드롭-다운(drop-down) 리스트 또는 브라우징(browsing) 기능들을 제공할 수 있다. 인증-허가 보안 사양들이 엔티티 또는 자원에 대하여 식별되어야 할 때 관리자는 제출(submit) 버튼(103)을 선택한다. 예를 들면, 회사의 사장에 대한 보안 정보를 보기 위하여, 관리자는 사장의 이름, 존 듀를 엔티티 필드에 입력하고 제출 버튼을 선택할 것이다. 또는, 관리자는 자원 필드에 자원의 이름을 입력하고 제출 버튼을 선택하여 그 자원에 대한 보안 정보를 볼 수 있다. 제출 버튼이 선택된 이후에, 식별된 보안 객체에 대한 보안 사양들은 도 2a에 도시되는 바와 같이 디스플레이된다.
도 2a는 일 실시예에서 엔티티에 대한 인증 허가 보안 사양의 디스플레이를 도시하는 디스플레이 페이지이다. 디스플레이 페이지(200)는 보안 객체 식별 필드(201), 및 보안 정보 영역(102)을 포함한다. 보안 객체 식별 필드는 도 1의 디스플레이 페이지를 통하여 보안 객체를 식별한다. 이러한 경우, "존 듀"라는 이름의 사용자는 보안 사양이 디스플레이될 엔티티이다. 보안 정보는 "존 듀"가 인증 권한을 가지는 자원의 리스트를 포함한다. 예를 들면, "존 듀"는 "컴퓨터1", "컴퓨터5", "컴퓨터8", 및 "컴퓨터12"를 인증하는 권한을 가진다. 본 기술 분야에서 숙련된 기술을 가진 자라면 보안 사양은 보안 객체의 기본적인 계층 구조를 반영하는 방식으로 선택될 수 있다고 이해할 것이다. 예를 들면, 엔티티는 다양한 하위-그룹에 의해 정의된 사용자의 그룹일 수 있다. 보안 시스템은 관리자로 하여금 그룹에 대한 보안 사양을 보고 하위-그룹 및 최종적으로는 개개의 사용자로 드릴 다운(drill down)하도록 할 수 있다. 마찬가지로, 자원은 하위-도메인 내의 도메인으로서 기술될 수 있고, 관리자는 도메인 또는 하위-도메인 내의 자원에 대한 모든 보안 사양을 보도록 선택할 수 있다.
도 2b는 일 실시예에서 자원의 인증-허가 보안 사양의 디스플레이를 도시하는 디스플레이 페이지이다. 디스플레이 페이지(250)는 도메인 식별 영역(251) 및 보안 사양 영역(252)을 포함한다. 관리자가 도메인을 선택하면, 보안 시스템은 이 도메인에 대한 보안 사양을 보안 사양 영역에 디스플레이한다. 보안 사양 영역은 자원 열(253), 엔티티 열(254), 및 액세스 권한 열(255)을 포함한다. 보안 사양 영역의 각 행은 자원과 엔티티 및 대응하는 액세스 권한을 식별한다.
도 3은 일 실시예에서, 인증-허가 보안 사양의 생성을 도시하는 디스플레이 페이지이다. 디스플레이 페이지(300)는 엔티티 식별 필드(301), 자원 식별 필드(302), 액션(action) 사양 라디오 버튼(303), 및 추가 버튼(304)을 포함한다. 엔티티 식별은 보안 사양이 생성될 엔티티를 식별한다. 엔티티 식별 필드는 엔티티의 드롭-다운(drop-down) 리스트를 포함할 수 있다. 이 예에서, 보안 객체는 엔티티 존 듀이다. 자원 식별 필드는 자원을 기술하는 데에 이용되는데 엔티티는 이 자원에 대한 보안 사양을 추가할 것이다. 자원 식별 필드는 내향 트러스트를 가지는 도메인의 컴퓨터 시스템의 드롭-다운 리스트를 포함할 수 있다. 액션 라디오 버튼은 엔티티가 자원에 대한 인증이 허가되는지 여부를 기술한다. 엔티티, 자원, 및 액션을 지정한 후에, 관리자는 추가 버튼을 선택하여 보안 사양을 보조 보안 저장소에 추가하고 따라서 주 보안 저장소를 갱신한다.
도 4는 일 실시예에서 보안 시스템을 구현하는 도메인의 컴포넌트를 도시하는 블럭도이다. 도메인은 컴퓨터 시스템(401), 보안 시스템(410), 및 통신 링크(402)를 통해 내부 접속된 디렉토리 서버(420)을 포함한다. 디렉토리 서버는 주 보안 저장소(421) 및 보조 보안 저장소(422)로의 액세스를 제공한다. 본 기술 분야에서 숙련된 기술을 가진 자라면 보조 보안 저장소가 주 보안 저장소가 위치된 서버와는 분리된 서버에 위치될 수 있다고 이해할 것이다. 보안 시스템은 UI 제어기(411), 보조 보안 저장소 초기화 컴포넌트(412), 엔티티 엔트리 검색 컴포넌트(413), 자원 엔트리 검색 컴포넌트(414) 및 엔트리 갱신 컴포넌트(415)를 포함하며, 이들은 각각 보안 시스템이 설치된 컴퓨터 시스템을 실행시킬 수 있다. UI 제어기는, 예를 들면, 도 1 내지 3에 의해 도시된 바와 같이 보안 시스템에 사용자 인터페이스를 제공한다. UI 제어기는 엔티티 엔트리 검색 컴포넌트 및 자원 엔트리 검색 컴포넌트를 호출하여 보조 보안 저장소로부터 보안 정보를 검색한다. UI 제어기는 엔트리 갱신 컴포넌트를 호출하여 주 보안 저장소 및 보조 보안 저장소 모두의 보안 정보를 갱신한다. 보조 보안 저장소 초기화 컴포넌트는 먼저 주 보안 저장소의 보안 정보에 기초하여 보조 보안 저장소를 파퓰레이트시킨다.
보안 시스템이 구현되는 컴퓨팅 장치는 중앙 프로세싱 유닛, 메모리, 입력 장치(예를 들면, 키보드 및 포인팅 장치), 출력 장치(예를 들면, 디스플레이 장치), 및 저장 장치(예를 들면, 디스크 드라이브)를 포함할 수 있다. 메모리 및 저장 장치들은 보안 시스템을 구현하는 명령어들을 포함할 수 있는 컴퓨터 판독가능 매체이다. 또한, 데이터 구조 및 메세지 구조들은 통신 링크 상의 신호와 같은, 데이터 전송 매체를 통해 저장되거나 전송될 수 있다. 인터넷, LAN, WAN, 또는 포인트-투-포인트(point-to-point) 전화 접속과 같은 다양한 통신 링크들이 사용될 수 있다.
도 4는 보안 시스템이 구현될 수 있는 적절한 오퍼레이팅 환경의 일례를 도시한다. 오퍼레이팅 환경은 단지 적절한 오퍼레이팅 환경의 일 예이며 본원의 보안 시스템의 사용 또는 기능의 범위에 임의의 제한을 가하도록 의도된 것은 아니다. 사용하기에 적합할 수 있는 다른 잘 알려진 컴퓨팅 시스템, 환경, 및 구성은 퍼스널 컴퓨터, 서버 컴퓨터, 핸드헬드(hand-held) 또는 랩탑 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 시스템, 프로그램가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 상기의 시스템 또는 장치 중의 임의의 것을 포함하는 분산형 컴퓨팅 환경 등을 포함한다.
본원의 보안 시스템은 하나 이상의 컴퓨터 또는 다른 장치에 의해 실행되는, 프로그램 모듈과 같은 컴퓨터 실행가능 명령어와 일반적으로 관련하여 기술될 수 있다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 등을 포함한다. 통상적으로 프로그램 모듈의 기능은 다양한 실시예에서 원한다면 결합되거나 분산될 수 있다.
도 5는 일 실시예에서 보조 보안 저장소 초기화 컴포넌트의 프로세싱을 도시하는 흐름도이다. 이 컴포넌트는 주 보안 저장소로부터 인증-허가 정보를 검색하고 그 검색된 보안 정보로부터 도출된 보안 사양에 대한 보조 보안 저장소를 파퓰레이트시킨다. 블럭(501 내지 505)에서, 컴포넌트는 주 보안 저장소의 각 자원 및 그 자원에 대해 기술된 인증-허가 정보를 가지는 각각의 엔티티를 선택하는 과정을 반복한다. 블럭(501)에서, 컴포넌트는 주 보안 저장소의 다음 자원을 선택한다. 판정 블럭(502)에서, 이미 주 보안 저장소의 모든 자원이 선택되었다면, 컴포넌트는 완료되고, 그렇지 않으면 컴포넌트는 블럭(503)으로 계속된다. 블럭(503)에서, 컴포넌트는 주 보안 저장소로부터 선택된 자원에 대한 다음 엔티티를 선택한다. 판정 블럭(504)에서, 이미 모든 엔티티들이 선택되었다면, 컴포넌트는 다음 자원을 선택하는 블럭(501)으로 돌아가고, 그렇지 않으면 컴포넌트는 블럭(505)으로 계속된다. 블럭(505)에서, 컴포넌트는 인증 허가 액션(즉, 금지 또는 허가)과 함께 선택된 자원 및 선택된 엔티티를 지정하는 보안 사양을 보조 보안 저장소에 추가한다. 그 다음 컴포넌트는 블럭(503)으로 되돌아가 선택된 자원에 대한 다음 엔티티를 선택한다.
도 6은 일 실시예에서 UI 제어기의 프로세싱을 도시하는 흐름도이다. 블럭(601)에서, UI 제어기는 도 1의 디스플레이 페이지와 같은 디스플레이 페이지를 디스플레이한다. 판정 블럭(602)에서, 관리자가 엔티티의 식별자를 입력했다면, 컴포넌트는 블럭(603)으로 계속되고, 그렇지 않으면 컴포넌트는 블럭(604)으로 계속된다. 블럭(603)에서, UI 제어기는 엔티티 정보 디스플레이 컴포넌트를 호출하여 식별된 엔티티에 대한 보안 사양의 디스플레이를 제어한다. 그 다음 컴포넌트는 블럭(601)으로 되돌아가서 디스플레이 페이지를 다시 디스플레이한다. 판정 블럭(604)에서, 관리자가 자원의 식별을 입력했다면, UI 제어기는 블럭(605)으로 계속되고, 그렇지 않으면 UI 제어기는 디스플레이 페이지를 다시 디스플레이하는 과정을 반복한다. 블럭(605)에서, UI 제어기는 자원 정보 디스플레이 컴포넌트를 호출하여 식별된 자원에 대한 보안 사양을 디스플레이 한 다음 블럭(601)으로 되돌아가 디스플레이 페이지를 다시 디스플레이한다.
도 7은 일 실시예에서 엔티티 정보 디스플레이 컴포넌트의 프로세싱을 도시하는 흐름도이다. 이 컴포넌트는 엔티티의 식별자로 전달되어 이 식별된 엔티티에 대한 보안 사양의 디스플레이를 제어한다. 블럭(701)에서, 컴포넌트는 엔티티가 속한 그룹을 식별한다. 컴포넌트는 이 엔티티의 도메인과 접촉하고 이 엔티티가 속한 그룹들을 식별하도록 요청함으로써 그룹들을 식별할 수 있다. 도메인은 엔티티가 추이적으로 속한 모든 그룹을 식별하기 위하여 "member of" 트리(tree)를 탐색(traverse)할 수 있다. 블럭(702 내지 704)에서, 컴포넌트는 그룹에 대한 보조 보안 저장소로부터 엔트리를 검색하는 과정을 반복한다. 엔티티 자체가 직접 그룹으로 간주될 수 있다. 블럭(702)에서, 컴포넌트는 다음 그룹을 선택한다. 판정 블럭(703)에서, 이미 모든 그룹이 선택되었다면, 컴포넌트는 블럭(705)으로 계속되고, 그렇지 않으면 컴포넌트는 블럭(704)으로 계속된다. 블럭(704)에서, 컴포넌트는 보조 보안 저장소로부터 선택된 그룹에 대한 보안 사양들을 검색하고 그 다음 블럭(702)으로 되돌아가 다음 그룹을 선택한다. 블럭(705)에서, 컴포넌트는 예를 들면, 도 2a에 도시된 바와 같이 검색된 보안 사양들을 디스플레이한다.
도 8은 일 실시예에서 보안 사양 디스플레이 컴포넌트의 프로세싱을 도시하는 흐름도이다. 컴포넌트는 도메인의 식별로 전달되고 이 식별된 도메인에 관련하여 보안 사양을 디스플레이한다. 블럭(801)에서, 컴포넌트는 식별된 도메인에 대한 보조 보안 저장소로부터 보안 사양을 검색한다. 블럭(802)에서, 컴포넌트는 예를 들면, 도 2b에 도시된 바와 같이 검색된 보안 사양들을 디스플레이한다. 그 다 음 컴포넌트는 완료된다.
도 9는 일 실시예에서 보안 사양 갱신 컴포넌트의 프로세싱을 도시하는 흐름도이다. 컴포넌트는 엔티티, 자원, 및 액세스 권한을 식별하는 보안 사양에 전달된다. 이 컴포넌트는 (예를 들면, 도 3의 디스플레이 페이지를 이용하여) 관리자가 보안 사양을 지정한 이후에 호출된다. 판정 블럭(901)에서, 엔티티와 자원 쌍에 대한 보안 사양이 이미 보조 데이터 저장소에 존재한다면, 컴포넌트는 블럭(902)으로 계속되고, 그렇지 않으면 컴포넌트는 블럭(904)으로 계속된다. 도면에는 도시되지 않았지만, 보안 사양을 삭제할지 여부를 나타내는 플래그(flag) 또한 전달될 수 있다. 블럭(902)에서, 컴포넌트는 전달된 보안 사양의 새로운 액세스 권한을 반영하도록 보조 보안 저장소의 보안 사양을 갱신한다. 블럭(903)에서, 컴포넌트는 주 보안 저장소의 보안 정보를 갱신한 다음 복귀한다. 블럭(904)에서, 컴포넌트는 전달된 보안 사양을 보조 보안 저장소에 추가한다. 블럭(905)에서, 컴포넌트는 전달된 보안 사양이 나타내는 바와 같이 주 보안 저장소의 보안 정보를 갱신하고 그 다음 복귀한다.
본 기술 분야에서 숙련된 기술을 가진 자라면 보안 시스템의 특정 실시예가 예시를 위하여 본 명세서에 기술되었지만, 다양한 수정이 본 발명의 사상 및 범위를 벗어나지 않고 이루어질 수 있다고 이해할 것이다. 본 기술 분야에서 숙련된 기술을 가진 자라면 도메인은 사용자나 컴퓨터 시스템, 또는 둘 다에 관련하여 정의될 수 있다고 이해할 것이다. 본 기술 분야에서 숙련된 기술을 가진 자라면 보안 시스템은 주 보안 저장소에 저장될 수 있는 방화벽이나 IP 보안 필터 규칙들을 관리하기 위하여 채택될 수 있다고 이해할 것이다. 따라서, 본 발명은 특허 청구 범위에 의하지 않고서는 제한될 수 없다.
본 발명의 보안 시스템은 관리자로 하여금 엔티티 단위로 보안 정보를 효과적으로 제어할 수 있게 하고 주 보안 저장소를 보조 보안 저장소와 동기화된 상태로 유지시킨다.

Claims (39)

  1. 컴퓨터 시스템에서 인증-허가 정보를 디스플레이하는 방법으로서,
    보안 객체의 선택을 수신하는 단계,
    상기 선택된 보안 객체에 대한 인증-허가 정보를 검색하는 단계 - 상기 정보는 엔티티(entity), 자원, 및 액션(action)을 식별하고 상기 엔티티가 상기 자원으로의 인증을 시도할 때 상기 액션은 상기 자원으로의 인증 시도를 허가할지 금지할지 여부를 지시함 -,
    상기 검색된 인증-허가 정보와 함께 상기 선택된 보안 객체의 표시를 디스플레이하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    엔티티 및 자원에 관련된 상기 액션을 수정하는 단계를 포함하는 방법.
  3. 제1항에 있어서,
    엔티티가 자원으로의 인증이 허가되는지 여부를 기술하는 새로운 인증-허가 정보를 생성하는 단계를 포함하는 방법.
  4. 제1항에 있어서,
    상기 선택된 보안 객체는 엔티티(entity)인 방법.
  5. 제1항에 있어서,
    상기 선택된 보안 객체는 자원인 방법.
  6. 제1항에 있어서,
    상기 선택된 객체가 사용자이면, 상기 사용자가 멤버로 속해있는 모든 그룹을 식별하고 상기 식별된 그룹들에 대한 인증-허가 정보를 검색하는 단계를 포함하는 방법.
  7. 제1항에 있어서,
    상기 인증-허가 정보는 엔티티가 자원으로의 인증을 시도할 때 보안 메카니즘에 의해 사용되는 주 보안 저장소와는 독립된 보조 보안 저장소로부터 검색되는 방법.
  8. 제1항에 있어서,
    상기 엔티티들은 소스로서 표현되고 상기 자원들은 목적지로서 표현되는 방법.
  9. 제1항에 있어서,
    상기 자원은 하나의 도메인 내에 있고 상기 엔티티들은 다른 도메인 내에 있으며 상기 하나의 도메인은 상기 다른 도메인과 내향 트러스트 관계(incoming trust relationship)를 가지는 방법.
  10. 컴퓨터 시스템에서 보안 정보를 유지하는 방법으로서,
    한 도메인에 대한 주 보안 저장소를 제공하는 단계 - 상기 주 보안 저장소는 상기 도메인의 자원들에 대한 엔트리들을 포함하고, 자원에 대한 각각의 엔트리는 엔티티들 및 상기 자원으로의 각 엔티티의 액세스 권한을 식별함 -,
    상기 도메인에 대한 보조 보안 저장소를 제공하는 단계 - 상기 보조 보안 저장소는 엔티티들에 대한 엔트리들을 포함하고, 엔티티에 대한 각 엔트리는 자원 및 상기 자원으로의 상기 엔티티의 액세스 권한을 식별함 - ,
    사용자로부터 보안 객체의 선택을 수신하는 단계,
    상기 보조 보안 저장소로부터 상기 선택된 보안 객체에 관련하는 엔트리들을 검색하는 단계,
    상기 검색된 엔트리들에 대한 엔티티들, 자원들, 및 액세스 권한들을 디스플레이하는 단계 - 상기 제공된 주 보조 저장소는 자원으로의 엔티티의 액세스 권한을 검사할 때 이용됨 -,
    를 포함하는 방법.
  11. 제10항에 있어서,
    자원으로의 엔티티의 액세스 권한을 변경하라는 지시를 수신하고 상기 주 보안 저장소 및 상기 보조 보안 저장소 모두의 엔트리를 갱신하는 단계를 포함하는 방법.
  12. 제10항에 있어서,
    먼저 상기 주 보안 저장소의 상기 엔트리들로부터 상기 보조 보안 저장소를 생성하는 단계를 포함하는 방법.
  13. 제10항에 있어서,
    상기 액세스 권한은 엔티티가 자원으로의 인증이 허가되는지 여부인 방법.
  14. 제10항에 있어서,
    상기 주 보안 저장소는 상기 도메인의 디렉토리 서비스를 이용하여 구현되는 방법.
  15. 제14항에 있어서,
    상기 디렉토리 서비스는 "액티브 디렉토리(ACTIVE DIRECTORY)"인 방법.
  16. 제14항에 있어서,
    상기 보조 보안 저장소는 상기 도메인의 상기 디렉토리 서비스를 이용하여 구현되는 방법.
  17. 제10항에 있어서,
    상기 선택된 보안 객체가 엔티티이면, 상기 엔티티가 멤버로 속해있는 그룹들을 식별하고 상기 식별된 그룹들에 관련하는 엔트리들을 상기 보조 보안 저장소로부터 검색하는 단계를 포함하는 방법.
  18. 제10항에 있어서,
    상기 엔티티들은 소스로서 표현되고 상기 자원들은 목적지로서 표현되는 방법.
  19. 제10항에 있어서,
    상기 자원은 하나의 도메인 내에 있고 상기 엔티티들은 다른 도메인 내에 있으며 상기 하나의 도메인은 상기 다른 도메인과 내향 트러스트 관계를 가지는 방법.
  20. 보안 정보를 디스플레이하는 컴퓨터 시스템으로서,
    보안 객체의 선택을 수신하는 컴포넌트,
    상기 선택된 보안 객체에 대한 보안 정보를 검색하는 컴포넌트 - 상기 보안 정보는 소스, 목적지, 및 액세스 권한을 식별하고 상기 소스가 상기 목적지로의 액 세스를 시도할 때, 상기 액세스 권한은 상기 목적지로의 액세스를 제어하는 데에 이용됨 -,
    상기 검색된 보안 정보의 상기 소스, 목적지 및 액세스 권한의 표시를 디스플레이하는 컴포넌트
    를 포함하는 시스템.
  21. 제20항에 있어서,
    상기 보안 정보는 인증-허가 정보인 시스템.
  22. 제20항에 있어서,
    소스 및 목적지와 관련된 액세스 권한을 수정하는 컴포넌트를 포함하는 시스템.
  23. 제20항에 있어서,
    목적지로의 소스의 액세스 권한을 기술하는 새로운 보안 정보를 생성하는 컴포넌트를 포함하는 시스템.
  24. 제20항에 있어서,
    상기 선택된 보안 객체는 소스인 시스템.
  25. 제20항에 있어서,
    상기 선택된 보안 객체는 목적지인 시스템.
  26. 제20항에 있어서,
    상기 선택된 보안 객체가 사용자이면, 상기 사용자가 멤버로 속한 모든 그룹을 식별하고 상기 식별된 그룹들에 대한 보안 정보를 검색하는 것을 포함하는 시스템.
  27. 제20항에 있어서,
    상기 보안 정보는 소스가 목적지를 액세스하려고 시도할 때 사용되는 주 보안 저장소와는 독립된 보조 보안 저장소로부터 검색되는 시스템.
  28. 제20항에 있어서,
    상기 소스는 엔티티이고 상기 목적지는 자원인 시스템.
  29. 제20항에 있어서,
    상기 목적지는 하나의 도메인 내에 있고 상기 소스는 다른 도메인 내에 있으며 상기 하나의 도메인은 상기 다른 도메인과 내향 트러스트 관계를 가지는 시스템.
  30. 보안 정보를 유지하기 위한 컴퓨터 시스템으로서,
    도메인에 대한 주 보안 저장소 - 상기 주 보안 저장소는 상기 도메인의 자원들에 대한 엔트리들을 포함하고, 자원에 대한 각각의 엔트리는 엔티티들 및 상기 자원으로의 각 엔티티의 액세스 권한을 식별함 -,
    상기 도메인에 대한 보조 보안 저장소 - 상기 보조 보안 저장소는 각각이 자원으로의 엔티티의 액세스 권한을 식별하는 보안 사양(security specification)을 포함함 - ,
    상기 보조 보안 저장소로부터 검색된 엔티티, 자원, 및 액세스 권한들을 디스플레이하는 컴포넌트,
    엔티티가 자원을 액세스하려고 시도할 때 상기 주 보안 저장소를 이용하여 액세스 권한들을 검증하는 컴포넌트를 포함하는 시스템.
  31. 제30항에 있어서,
    자원으로의 엔티티의 액세스 권한을 변경하라는 지시를 수신하는 컴포넌트 및 상기 주 보안 저장소 및 상기 보조 보안 저장소 모두를 갱신하는 컴포넌트를 포함하는 시스템.
  32. 제30항에 있어서,
    상기 주 보안 저장소로부터 상기 보조 보안 저장소를 생성하는 컴포넌트를 포함하는 시스템.
  33. 제30항에 있어서,
    액세스 권한은 엔티티가 자원으로의 인증이 허가되는지 여부인 시스템.
  34. 제30항에 있어서,
    상기 주 보안 저장소는 상기 도메인의 디렉토리 서비스를 이용하여 구현되는 시스템.
  35. 제34항에 있어서,
    상기 디렉토리 서비스는 "액티브 디렉토리"인 시스템.
  36. 제34항에 있어서,
    상기 보조 보안 저장소는 상기 도메인의 상기 디렉토리 서비스를 이용하여 구현되는 시스템.
  37. 제30항에 있어서,
    상기 엔티티가 멤버로 속하는 그룹을 식별하고 상기 식별된 그룹들에 관련되는 엔트리를 상기 보조 보안 저장소로부터 검색하는 컴포넌트를 포함하는 시스템.
  38. 제30항에 있어서,
    상기 엔티티들은 소스로서 표현되고 상기 자원들은 목적지로서 표현되는 시스템.
  39. 제30항에 있어서,
    상기 자원들은 하나의 도메인 내에 있고 상기 엔티티들은 다른 도메인 내에 있으며 상기 하나의 도메인은 상기 다른 도메인과 내향 트러스트 관계를 가지는 시스템.
KR1020050022081A 2004-04-23 2005-03-17 보안 정보를 디스플레이하고 관리하는 시스템 및 방법 KR101143108B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/830,741 2004-04-23
US10/830,741 US7383576B2 (en) 2004-04-23 2004-04-23 Method and system for displaying and managing security information

Publications (2)

Publication Number Publication Date
KR20060043725A true KR20060043725A (ko) 2006-05-15
KR101143108B1 KR101143108B1 (ko) 2012-05-08

Family

ID=34939243

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050022081A KR101143108B1 (ko) 2004-04-23 2005-03-17 보안 정보를 디스플레이하고 관리하는 시스템 및 방법

Country Status (10)

Country Link
US (1) US7383576B2 (ko)
EP (1) EP1589398B1 (ko)
JP (1) JP4936675B2 (ko)
KR (1) KR101143108B1 (ko)
CN (1) CN1691573B (ko)
AU (1) AU2005201002B2 (ko)
BR (1) BRPI0500970A (ko)
CA (1) CA2500618A1 (ko)
MX (1) MXPA05003167A (ko)
RU (1) RU2385490C2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100829651B1 (ko) * 2002-11-26 2008-05-16 인텔 코오퍼레이션 바이오스 스토리지 어레이
KR100832093B1 (ko) * 2007-07-09 2008-05-27 주식회사 넷츠 통합 계정관리를 위한 권한기반 리소스 계정 및 권한의프로비저닝 장치

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7490347B1 (en) * 2004-04-30 2009-02-10 Sap Ag Hierarchical security domain model
KR100704627B1 (ko) * 2005-04-25 2007-04-09 삼성전자주식회사 보안 서비스 제공 장치 및 방법
US8352999B1 (en) * 2006-07-21 2013-01-08 Cadence Design Systems, Inc. Method for managing data in a shared computing environment
US8468519B2 (en) * 2008-08-27 2013-06-18 Red Hat, Inc. Multiple organization support in a networked system
CN103020519A (zh) * 2012-11-15 2013-04-03 百度在线网络技术(北京)有限公司 用于提供访问请求所对应的安全相关信息的方法和设备
CA2921092A1 (en) * 2013-08-12 2015-02-19 Graphite Software Corporation Secure authentication and switching to encrypted domains
CA2931289C (en) * 2013-11-21 2023-10-17 Graphite Software Corporation Managed domains for remote content and configuration control on mobile information devices
CN104486506B (zh) * 2014-12-17 2017-09-08 宇龙计算机通信科技(深圳)有限公司 系统加载方法、系统加载装置与终端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
JP2002373255A (ja) * 2000-07-14 2002-12-26 Tokyo Stock Exchange Inc 決済情報ネットワークシステム及び情報処理装置,決済情報配信方法,プログラム並びに記憶媒体
CN1248448C (zh) * 2002-05-15 2006-03-29 华为技术有限公司 一种宽带网络的接入方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100829651B1 (ko) * 2002-11-26 2008-05-16 인텔 코오퍼레이션 바이오스 스토리지 어레이
KR100832093B1 (ko) * 2007-07-09 2008-05-27 주식회사 넷츠 통합 계정관리를 위한 권한기반 리소스 계정 및 권한의프로비저닝 장치

Also Published As

Publication number Publication date
JP4936675B2 (ja) 2012-05-23
EP1589398B1 (en) 2015-08-05
EP1589398A2 (en) 2005-10-26
US20050240996A1 (en) 2005-10-27
CN1691573B (zh) 2010-09-29
RU2005108108A (ru) 2006-10-10
BRPI0500970A (pt) 2005-12-06
AU2005201002A1 (en) 2005-11-10
EP1589398A3 (en) 2007-11-07
CA2500618A1 (en) 2005-10-23
US7383576B2 (en) 2008-06-03
AU2005201002B2 (en) 2010-05-13
CN1691573A (zh) 2005-11-02
JP2005310125A (ja) 2005-11-04
KR101143108B1 (ko) 2012-05-08
RU2385490C2 (ru) 2010-03-27
MXPA05003167A (es) 2007-11-14

Similar Documents

Publication Publication Date Title
KR101143108B1 (ko) 보안 정보를 디스플레이하고 관리하는 시스템 및 방법
US7752661B2 (en) Method and system for server support of pluggable authorization systems
US7827598B2 (en) Grouped access control list actions
US7231661B1 (en) Authorization services with external authentication
US20090319529A1 (en) Information Rights Management
US20160057150A1 (en) Event analytics for determining role-based access
KR20130046155A (ko) 클라우드 컴퓨팅 서비스에서의 접근제어 시스템
US20120131646A1 (en) Role-based access control limited by application and hostname
Almenárez et al. TrustAC: Trust-based access control for pervasive devices
US20050240765A1 (en) Method and apparatus for authorizing access to grid resources
US11947657B2 (en) Persistent source values for assumed alternative identities
Chadwick et al. My private cloud–granting federated access to cloud resources
Delessy et al. Patterns for access control in distributed systems
Shaw et al. Hive security
McNab et al. The gridsite web/grid security system
Vullings et al. Secure federated authentication and authorisation to grid portal applications using saml and xacml
Cortes Active Directory security: Why we fail and what auditors miss
Simpson et al. Access and privilege in secure big data analysis
JP5100356B2 (ja) ポリシ生成装置、ポリシ評価装置、認証サーバ装置及びプログラム
Mulagund et al. Oracle Database Security Guide 10g Release 2 (10.2) B14266-09
Rissanen Server based application level authorisation for Rotor
Jeloka et al. Oracle Database Security Guide 10g Release 2 (10.2) B14266-01
Singh et al. ABCs of IBM z/OS System Programming Volume 6
Moore Oracle Database Security Guide, 10g Release 1 (10.1) Part No. B10773-01 Copyright© 2003 Oracle Corporation. All rights reserved. Primary Authors: Laurel P. Hale, Jeffrey Levinger Contributing Authors: Ruth Baylis, Michele Cyran, John Russell
Liesegang ENFORCE: Policy Enforcement

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190328

Year of fee payment: 8