KR20090044437A - 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 - Google Patents

홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 Download PDF

Info

Publication number
KR20090044437A
KR20090044437A KR1020070110536A KR20070110536A KR20090044437A KR 20090044437 A KR20090044437 A KR 20090044437A KR 1020070110536 A KR1020070110536 A KR 1020070110536A KR 20070110536 A KR20070110536 A KR 20070110536A KR 20090044437 A KR20090044437 A KR 20090044437A
Authority
KR
South Korea
Prior art keywords
mobile agent
role
ticket
service
access
Prior art date
Application number
KR1020070110536A
Other languages
English (en)
Inventor
엄영익
고광선
장현수
조현진
정용우
최현우
경계현
최정환
조진
김태형
김연우
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020070110536A priority Critical patent/KR20090044437A/ko
Priority to US12/032,817 priority patent/US8656475B2/en
Publication of KR20090044437A publication Critical patent/KR20090044437A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2821Avoiding conflicts related to the use of home appliances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2836Protocol conversion between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Abstract

홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템이 개시된다. 본 발명은 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계, 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함한다. 본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
접근 제어, 이동 에이전트, 인증, 홈 네트워크

Description

홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템{Method and System for Controlling Access for Mobile Agents in Home Network Environments}
본 발명은 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 접근 제어 시스템에 관한 것으로, 보다 자세하게는 홈 네트워크 환경에서 이동 에이전트에 대한 인증과 접근 제어를 하는 방법 및 시스템에 관한 발명이다.
홈 네트워크 환경은 가정 내의 디지털 기기들이 네트워크로 통합된 첨단 생활 환경으로써 이들 기기들을 제어하고 관리하기 위해 많은 네트워크 트래픽이 발생한다. 특히 홈 네트워크를 외부와 연결하는 홈 게이트웨이는 네트워크 트래픽이 다수 발생하는 통신 병목 지점이 된다. 이러한 홈 네트워크 환경에서 이동 에이전트는 새로운 컴퓨팅 모델로서 활용될 수 있다. 에이전트(agent)는 기본적으로 소프트웨어 에이전트로써 특정 목적에 대해 사용자를 대신하여 작업을 수행하는 자율적인 프로세스(autonomous process)로 독자적으로 존재하지 않고 어떤 환경의 일부이 거나 그 안에서 동작하는 특성이 있다. 에이전트는 이동성의 유무에 따라 정지 에이전트와 이동 에이전트로 나눌 수 있다. 정지 에이전트란 에이전트가 생성된 시스템에서만 실행될 수 있는 에이전트를 말한다. 반면에 이동 에이전트는 실행을 시작한 시스템에 한정되지 않고 네트워크를 통해 타 서버로 자유롭게 이동할 수 있으며, 필요한 해답을 얻거나 서비스를 제공하기 위하여 타 서버 혹은 에이전트와 통신할 수도 있다. 그러므로 한 번 이동한 에이전트는 원하는 목적을 달성할 때까지 최초 목적이 부여되어 생성된 시스템과 많은 양의 통신을 필요로 하지 않는다. 특히 이동 에이전트의 비동기적 수행 능력과 자율성은 홈 네트워크 환경에서 발생하는 네트워크 트래픽을 상당히 줄일 수 있다.
그러나 이를 위해서는 홈 네트워크 환경으로 접근하는 이동 에이전트에 대한 인증과 접근제어가 반드시 이루어져야 한다. 그러나 종래의 이동 에이전트에 대한 인증 및 역할 기반 접근 제어 방식은 이동 에이전트가 생성되는 시점에 역할을 할당한다. 특히 홈 네트워크와 같이 각 디바이스마다 서로 다른 접근제어 정책을 사용하는 환경에서는 해당 홈 네트워크 환경에 맞는 역할을 동적으로 할당할 수 있어야 하기 때문에 종래의 이동 에이전트에 대한 인증 및 접근 제어 방식은 홈 네트워크 환경에 적용하기에는 한계가 있다.
상술한 문제점을 해결하기 위하여, 본 발명은 홈 네트워크 환경에서 이동 에 이전트의 접근 제어 방법 및 시스템을 제공하고자 한다.
본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 각 디바이스가 디바이스에 대한 이동 에이전트의 접근 권한을 관리함으로써 홈 게이트웨이 서버에서 테이블 갱신을 위해 발생하는 연산 비용을 감소시킬 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 각 디바이스가 독립적인 서비스 접근 제어 정책을 유지함으로써 보다 능동적인 서비스 접근 제어가 가능한 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 접근 제어 정책의 특별한 수정 없이 새로운 장비를 홈 네트워크 환경에 추가할 수 있도록 하는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 이동 에이전트에 대한 접근 제어 방법에 있어서, 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계; 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함하되, 상기 롤 티켓은 상기 이동 에이전트에 의해 수행될 기기의 역할에 상응하는 권한 정보인 것을 특징으로 하는 접근 제어 방법이 제공된다.
도메인으로 접근하는 상기 이동 에이전트에 대한 인증을 수행하는 단계; 및 상기 롤 티켓에 대한 무결성 검사를 하는 단계를 더 포함하되, 상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역일 수 있다.
상기 이동 에이전트에 대한 인증을 수행하는 단계는, 상기 이동 에이전트로부터 인증 부호를 전송 받는 단계; 상기 인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하는 단계를 포함하되, 상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함할 수 있다.
상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 상기 홈 플랫폼으로부터 부여되되, 상기 홈 플랫폼은 상기 이동 에이전트가 생성된 플랫폼일 수 있다.
상기 메시지 다이제스트는 상기 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열일 수 있다.
상기 롤 티켓을 발급하는 단계는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급할 수 있다.
상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에 게 발급 가능한 역할들을 정의한 데이터일 수 있다.
상기 역할 구조 테이블은 상기 역할들 간의 상속 관계를 정의한 데이터일 수 있다.
상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함할 수 있다.
상기 무결성 검사는 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것일 수 있다.
상기 서비스에 대한 접근 권한을 확인하는 단계는, 서비스 매핑 테이블을 참조하여 상기 서비스에 대한 접근 권한을 확인하는 것이되, 상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스에 대한 접근 권한의 사상 관계를 정의한 데이터일 수 있다.
상기 접근 권한을 부여하는 단계는, 상기 이동 에이전트로 상기 서비스 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것일 수 있다.
본 발명의 다른 측면에 따르면, 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템에 있어서, 도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행하는 도메인 관리 서버; 및 상기 롤 티켓에 대한 무결성 검사, 상기 이동 에이전트의 접근 권한 확인 및 서비스에 대한 접근 권한을 부여하는 플랫폼을 포함하되, 상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 시 스템이 제공된다.
상기 도메인 관리 서버는 상기 이동 에이전트로부터 인증 부호를 전송 받고, 상기인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하되, 상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함할 수 있다.
상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 홈 플랫폼으로부터 부여될 수 있다.
상기 메시지 다이제스트는 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열일 수 있다.
상기 도메인 관리 서버는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급할 수 있다.
상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터일 수 있다.
상기 역할 구조 테이블은 각 상기 역할들 간의 상속 관계를 정의한 데이터일 수 있다.
상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함할 수 있다.
상기 무결성 검사는 상기 롤 티켓에 포함된 상기 전자 서명을 공개키로 복호 화한 데이터를 확인하는 것일 수 있다.
상기 플랫폼은 서비스 매핑 테이블을 참조하여 상기 서비스의 접근 권한을 확인하되, 상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스 에 대한 접근 권한의 사상 관계를 정의한 데이터일 수 있다.
상기 플랫폼은 상기 접근 권한을 부여하기 위해 상기 이동 에이전트로 상기 서비스 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송할 수 있다.
본 발명의 또 다른 측면에 따르면, 홈 네트워크 환경의 접근 제어 시스템에서 이동 에이전트의 접근 제어 방법을 수행하기 위해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 상기 접근 제어 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서, 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계; 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 수행하는 프로그램이 기록된 기록매체가 제공된다.
본 발명은 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공 할 수 있는 효과가 있다.
또한 본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에 이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 각 디바이스가 디바이스에 대한 이동 에이전트의 접근 권한을 관리함으로써 홈 게이트웨이 서버에서 테이블 갱신을 위해 발생하는 연산 비용을 감소시킬 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 각 디바이스가 독립적인 서비스 접근 제어 정책을 유지함으로써 보다 능동적인 서비스 접근 제어가 가능한 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 접근 제어 정책의 특별한 수정 없이 새로운 장비를 홈 네트워크 환경에 추가할 수 있도록 하는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
또한 본 발명은 각 역할마다 별도의 롤 티켓을 발급하여 플랫폼에게 불필요한 정보 노출을 방지하는 효과가 있다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체 적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
이하에서 도 1 내지 도 4를 참조하여, 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템을 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템의 구성도이고, 도 2의 (a)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 DTD이고, 도 2의 (b)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 XML이며, 도 3은 본 발명의 일 실시예에 따른 역할 구조 테이블을 표현한 DTD이고, 도 4는 본 발명의 일 실시예에 따른 롤 티켓에 포함된 도메인 관리 서버의 서명을 확인하는 과정을 도시한 순서도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 이동 에이전트의 접근 제어 시스템(100)은 도메인 관리 서버(110) 및 플랫폼(120)을 포함한다.
도메인 관리 서버(110)는 도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행한다. 도메인 관리 서버는 인증부(112), 롤 티켓 발행부(114) 및 테이블 제어부(116)을 포함한다.
인증부(112)는 도메인으로 접근하는 이동 에이전트에 대한 인증을 수행한다. 예를 들어, 인증부(112)는 도메인으로 접근하는 이동 에이전트의 인증 부호를 이용하여 인증을 수행한다. 인증 부호는 사용자에 의해 조작되고 있는 플랫폼인 홈 플랫폼에서 이동 에이전트가 생성될 시점에 생성되며, 이동 에이전트 내부에 저장될 수 있다. 인증 부호는 이동 에이전트의 아이디, 홈 플랫폼의 아이디, 메시지 다이제스트 및 인증 부호의 유효 기간에 관한 정보 및 이 정보들을 홈 플랫폼의 개인키로 서명한 전자 서명 및 이를 확인하기 위한 인증서를 포함 할 수 있다. 인증 부호의 구조는 하기와 같이 나타낼 수 있다.
Figure 112007078475563-PAT00001
이 때, Authenticator는 인증 부호이고, AID는 이동 에이전트의 아이디이고, HPID는 홈 플랫폼의 아이디이고, MD는 메시지 다이제스트이며, TS는 인증 부호의 유효 기간이며,
Figure 112007078475563-PAT00002
는 인증서이고,
Figure 112007078475563-PAT00003
는 홈 플랫폼의 개인키로 서명한 전자 서명이다.
인증부(112)는 인증 부호의 서명을 공개키를 이용하여 복호화하고 그 값의 무결성을 검증하여 인증을 수행한다. 이 때, 인증부(112)는 복호화 과정에서 사용되는 공개키를 홈 플랫폼의 인증서로부터 획득할 수 있다.
롤 티켓 발행부(114)는 인증에 성공한 이동 에이전트를 대상으로 이동 에이전트를 통해 수행될 기기의 역할에 상응하는 권한 정보인 롤 티켓을 발급한다. 예를 들어, 롤 티켓 발행부(114)는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 이동 에이전트에게 발급 가능한 롤 티켓을 생성하고 이를 할당한다. 롤 티켓은 이동 에이전트의 아이디, 역할의 이름, 롤 티켓의 유효 기간 및 서명을 포함할 수 있다. 이 때, 서명은 이동 에이전트의 아이디와 역할의 이름 및 메시지 다이제스트에 해시함수를 적용한 비트열을 도메인 공유키를 사용하여 암호화한 것이다. 상술한 롤 티켓의 구조는 하기와 같이 나타낼 수 있다.
Figure 112007078475563-PAT00004
이 때, T는 롤 티켓이고, AID는 이동 에이전트의 아이디이고,
Figure 112007078475563-PAT00005
은 역할의 이름, TS는 롤 티켓의 유효 기간이며,
Figure 112007078475563-PAT00006
는 롤 티켓의 정보를 도메인 공유키로 서명한 전자 서명이다.
사용자 매핑 테이블 및 역할 구조 테이블은 추후 상세히 설명하도록 한다. 또한 롤 티켓 발행부(114)는 각각의 역할에 상응하는 롤 티켓을 따로 발급할 수 있 다. 다수의 역할에 대해 하나의 롤 티켓을 발급하게 되면 이동 에이전트가 서비스 요청을 위해 플랫폼에게 롤 티켓을 전달할 때 불필요한 정보까지 플랫폼에게 노출된다. 이를 방지하기 위해 롤 티켓 발행부(114)는 하나의 역할에 상응하는 하나의 롤 티켓을 발급할 수 있다.
테이블 제어부(116)는 사용자 매핑 테이블 및 역할 구조 테이블을 생성 및 관리하고, 각 테이블을 롤 티켓 발행부(114)로 제공할 수 있다. 사용자 매핑 테이블은 사용자와 역할간의 관계를 정의함으로써 특정 사용자에게 어떠한 역할을 부여할 수 있는지에 대한 정보를 나타낸 테이블로 도메인 형성 시 관리자에 의해 생성될 수 있다. 이 때, 사용자 매핑 테이블은 XML 기반으로 작성될 수 있으며, 도 2의 (a)에 도시된 DTD와 도 2의 (b)에 도시된 XML은 그 실시예를 나타낸 것이다.
역할 구조 테이블은 도매인 내에서 사용되는 각 역할들의 계층 관계를 표현한다. 역할들간의 계층 관계는 권한의 상속을 가능하게 한다. 예를 들어, 도 2에서 나타낸 "FamilyMemberAdult"와 "FamilyMemberTeenager"는 "FamilyMember"의 권한을 상속 받는다. 테이블 제어부(116)는 이러한 역할들간의 계층 관계를 도 3과 같이 XML로 표현하고 관리할 수 있다.
이어서 플랫폼(120)은 홈 네트워크의 단말인 기기들에 포함되어 도메인 관리 서버(110)로부터 수신 받은 이동 에이전트에 의해 제어되는 디바이스이다. 플랫폼(120)은 서비스 제공부(122) 및 서비스 관리부(124)를 포함한다.
서비스 제공부(122)는 롤 티켓에 대한 무결성 검사를 수행한다. 예를 들어, 서비스 제공부(122)는 롤 티켓에 포함된 도메인 관리 서버(110)의 전자 서명을 확 인함으로써 롤 티켓의 무결성을 판단한다. 이하에서, 도 4를 참조하여 서비스 제공부(122)가 전자 서명을 확인하는 과정을 설명하도록 한다.
단계 410에서 서비스 제공부(122)는 롤 티켓의 유효 기간을 확인한다.
만약 단계 410에서 롤 티켓이 유효하다고 판단되면, 단계 420에서 서비스 제공부(122)는 이동 에이전트의 아이디, 역할의 이름, 롤 티켓의 유효 기간 및 메시지 다이제스트에 대해 단방향 해시를 적용하여 비트열을 산출한다. 단반향 해시를 적용하여 비트열을 산출하는 과정은 당업자에게 자명하므로 설명을 생략하도록 한다.
만약 단계 410에서 롤 티켓이 유효하지 않다고 판단되면, 단계 460에서 서비스 제공부(122)는 룰 티켓이 유효하지 않다고 판단하여 해당 이동 에이전트의 서비스 요청을 거절한다.
단계 430에서 서비스 제공부(122)는 도메인 공유키를 이용하여 도메인 관리 서버의 전자 서명을 복호화하여 비트열을 산출한다.
단계 440에서 서비스 제공부(122)는 단계 420에서 산출한 비트열과 단계 430에서 복호화된 비트열이 동일한지 확인한다.
만약 동일하다고 판단되면, 단계 450에서 서비스 제공부(122)는 롤 티켓을 적합한 것(즉, 무결성이 보장되는 것)으로 판단한다.
만약 동일하지 않다고 판단되면, 단계 460에서 서비스 제공부(122)는 롤 티켓이 부적합한 것(즉, 무결성이 보장되지 않는 것)으로 판단하여 해당 이동 에이전트의 서비스 요청을 거절한다.
상술한 전자 서명 확인 과정에 사용되는 알고리즘은 하기와 같이 함수로 나타낼 수 있다.
Figure 112007078475563-PAT00007
이 때, verifyRoleTicket(MD', T)는 롤 티켓과 메시지 다이제스트를 이용한 알고리즘을 사용한 함수이며, verifyTS(TS')는 유효 기간을 확인하는 함수이며, getTS(T)는 롤 티켓의 유효 기간을 추출하는 함수이며, getAID(T)는 롤 티켓의 이동 에이전트의 아이디를 추출하는 함수이며, getSign(T)는 롤 티켓의 전자 서명을 추출하는 함수이며, H(A)는 정보 A를 단방향 해시를 적용한 비트열을 산출하는 함수이며,
Figure 112007078475563-PAT00008
는 도메인 공유키를 이용하여 도메인 관리 서버의 전자 서명을 복호화하여 비트열을 산출하는 함수이다. 본 발명의 요지와 거리감이 있는 각 함수의 내부 동작 과정에 대한 설명은 생략하기로 한다.
다시 도 1을 참조하면, 서비스 제공부(122)는 위의 알고리즘의 수행을 통해 롤 티켓의 무결성이 보장되는 것으로 판단될 경우, 이동 에이전트가 요청한 서비스의 아이디와 롤 티켓에 포함된 역할의 이름으로 구성된 권한 정보를 서비스 관리 부(124)로 전송한다.
또한 서비스 제공부(122)는 서비스 관리부(124)로부터 권한 정보를 입력 받아 이동 에이전트에게 서비스 아이디와 권한 정보를 제공하여 이동 에이전트에게 서비스에 대한 권한을 부여한다.
서비스 관리부(124)는 미리 저장하고 있는 서비스 매핑 테이블을 확인하여 이동 에이전트가 요청한 서비스에 대한 권한을 확인한다. 서비스 매핑 테이블은 각 역할에 상응하는 서비스의 접근 권한에 관한 데이터이다. 서비스 관리부(124)는 요청한 서비스에 대한 권한이 확인되면, 서비스 제공부(122)로 권한 정보를 전송한다.
이하 도 1의 각 기능부 및 도 5를 참조하여 홈 네트워크 환경에서 이동 에이전트를 대상으로 하는 접근 제어 시스템(100)의 실행 과정을 일 실시예를 들어 설명하도록 한다. 또한 이하 실시예에서 언급되는 보일러 및 급수 장치는 홈 네트워크와 연결된 플랫폼(120)을 포함하고 있어 이동 에이전트에 의해 제어 될 수 있다고 가정한다.
도 5는 목욕 준비 역할과 그 하위 계층 역할의 관계를 도시한 도면이다.
휴대용 단말기를 구성하는 플랫폼(120)은 사용자로부터 입력 받은 목욕 준비 역할(510)의 수행 명령을 인식하고, 이에 상응하는 이동 에이전트를 생성한다.
생성된 이동 에이전트는 통신망을 통해 도메인 관리 서버(110)로 전송된다. 도메인 관리 서버(110)의 인증부(112)는 이동 에이전트에 대해 인증을 수행한다. 이어서 롤 티켓 발행부(114)는 목욕 준비 역할(510)에 대한 정보를 테이블 제어부(116)로 요청한다. 테이블 제어부(116)는 목욕 준비 역할(510)의 수행 명령을 내린 사용자의 신원을 확인하고 사용자 매핑 테이블을 참조하여 해당 사용자 목욕 준비 역할(510)의 수행 명령에 상응하는 역할이 있는지 확인한다. 이어서 테이블 제어부(116)는 목욕 준비 역할(510)과 그 하위 역할들에 관한 정보를 롤 티켓 발행부(114)로 전송한다. 이 때, 발명의 명확한 이해를 위해 목욕 준비 역할(510)은 도 5와 같은 하위 계층의 역할을 갖고 있다고 가정한다. 롤 티켓 발행부(114)는 도 5에 도시된 테이블 제어부(116)로부터 받은 역할 정보에 따라 각 역할들에 상응하는 롤 티켓을 이동 에이전트에게 발행한다. 이동 에이전트는 목욕 준비 역할(510)을 수행하기 위해 필요한 보일러의 플랫폼으로 이동한다.
보일러에 포함되어 있는 플랫폼(120)의 서비스 제공부(122)는 이동 에이전트가 발행 받은 보일러 조작 역할(520)의 하위 역할인 보일러 동작 개시 역할(530) 및 급탕 역할(540)에 상응하는 롤 티켓의 무결성 검사를 수행한다. 무결성 검사를 하는 과정은 도 4를 참조하여 상술하였으므로 그 상세한 설명을 생략한다. 이어서 서비스 관리부(124)는 롤 티켓에 상응하는 역할과 보일러에서 제공할 수 있는 서비스에 대한 접근 권한을 확인한 후, 보일러 동작 개시 역할(530) 및 급탕 역할(540) 역할에 상응하는 서비스의 권한 정보를 서비스 제공부(122)로 전송한다. 서비스 제공부(122)는 보일러 동작 개시 역할(530) 및 급탕 역할(540) 역할에 상응하는 서비스의 아이디와 권한 정보를 이동 에이전트에게 부여하여 이동 에이전트가 해당 서 비스를 제어할 수 있도록 한다. 이동 에이전트는 부여 받은 권한을 이용하여 보일러를 동작시키고 급탕 기능을 수행하도록 보일러를 조작한다.
이어서 이동 에이전트는 급수 장치에 포함된 플랫폼(120)으로 이동한다. 이동 에이전트는 상술한 보일러에 포함된 플랫폼(120)과 동일한 과정을 통해 급수 장치 조작 역할(550)의 하위 역할인 온도 조절 역할(560) 및 수위 조절 역할(570)에 상응하는 서비스에 대한 권한을 부여 받는다. 이동 에이전트는 부여 받은 권한을 이용하여 목욕에 적합한 온수를 탕에 적절한 수위로 채우도록 급수 장치를 조작한다. 이동 에이전트가 해당 서비스를 제어하는 과정은 본 발명의 요지와는 다소 거리감이 있는 사항이므로 이에 대한 설명은 생략한다.
이어서 이동 에이전트는 통신망을 통해 휴대용 단말기로 이동하여 사용자에게 목욕 준비가 완료되었다는 보고를 하거나 도메인 관리 서버(110)를 통해 보고 메시지를 휴대용 단말기로 전송할 수 있다.
상술한 실시예에서는 보일러와 급수 장치의 플랫폼을 이용하는 것을 설명하였지만, 본 발명에 따른 이동 에이전트는 이에 한정되지 않고 다양한 기기에 포함된 플랫폼을 이용하여 각 플랫폼을 제어할 수 있다.
이하에서 도 6를 참조하여, 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법에 대해 설명하도록 한다. 이하에서 설명되는 각각의 단계는 접근 제어 시스템(100)의 각각의 내부 구성 요소에 의해 수행 될 수 있으나 이해와 설명의 편의를 도모하기 위해 접근 제어 시스템(100)으로 통칭하여 설명하기로 한다.
도 6는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어를 하는 과정을 도시한 순서도이다.
단계 610에서 접근 제어 시스템(100)은 도메인으로 접근한 이동 에이전트를 대상으로 인증을 수행한다. 이 때, 접근 제어 시스템(100)은 이동 에이전트가 포함한 인증 부호의 전자 서명을 복호화하고 그 값의 무결성을 검증하여 인증을 수행한다.
단계 620에서 접근 제어 시스템(100)은 이동 에이전트에게 롤 티켓을 발급한다. 이 때 접근 제어 시스템(100)는 이동 에이전트에게 각 역할에 상응하는 롤 티켓을 따로 발급할 수 있다.
단계 630에서 접근 제어 시스템(100)은 이동 에이전트에게 발급된 롤 티켓에 대한 무결성 검사를 수행한다. 접근 제어 시스템(100)은 롤 티켓이 포함하고 있는 서명을 확인하는 방법으로 무결성 검사를 수행한다. 서명 확인 방법은 도 4를 참조하여 상술하였으므로 그 설명은 생략하기로 한다.
단계 640에서 접근 제어 시스템(100)은 이동 에이전트가 요청한 서비스에 상응하는 권한을 확인한다. 접근 제어 시스템(100)은 각 역할들과 서비스 접근 권한에 대한 사상 관계를 정의한 서비스 매핑 테이블을 이용하여 서비스에 상응하는 권한을 확인할 수 있다.
단계 650에서 접근 제어 시스템(100)은 이동 에이전트가 요청한 서비스에 대 한 권한을 이동 에이전트에게 부여한다.
이하 도 7을 참조하여 도메인 관리 서버(110)에서 이동 에이전트를 인증하는 과정에 대해 설명하도록 한다.
도 7은 도메인 관리 서버가 도메인으로 접근하는 이동 에이전트를 인증하는 과정을 나타낸 순서도이다.
단계 710에서 홈 플랫폼(미도시)은 이동 에이전트에 포함된 실행 코드에 단방향 해시를 적용하여 메시지 다이제스트를 산출한다.
단계 720에서 홈 플랫폼(미도시)은 이동 에이전트에 대한 유효 기간을 생성한다. 유효 기간을 생성하는 방법은 당업자에게 자명하고 구현 방법에 따라 다양할 수 있으므로 상세한 설명은 생략하기로 한다.
단계 730에서 홈 플랫폼(미도시)은 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 단계 710에서 산출한 메시지 다이제스트 및 단계 720에서 생성한 유효 기간에 대한 전자 서명을 한다.
단계 740에서 홈 플랫폼(미도시)은 단계 730에서 생성한 전자 서명을 확인하는데 필요한 인증서를 생성한다.
단계 750에서 홈 플랫폼(미도시)은 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 단계 710에서 산출한 메시지 다이제스트 및 단계 720에서 생성한 유효 기간, 단계 730에서 생성한 전자 서명 및 단계 740에서 생성한 인증서를 포함하 는 인증 부호를 생성하고 이동 에이전트로 전달한다.
단계 760에서 이동 에이전트는 통신망을 통해 도메인 관리 서버(110)로 접근하여 인증 부호를 전달한다.
단계 770에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 유효 기간을 확인하여 적합한 유효 기간이 아니면, 이동 에이전트의 접근을 거부한다.
단계 780에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 전자 서명을 홈 플랫폼(미도시)의 공개키로 복호화한다.
단계 790에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 메시지 다이제스트 및 유효 기간에 대한 단방향 해시를 적용한 비트열을 산출한다.
단계 793에서 도메인 관리 서버(110)는 단계 780 내지 단계 790에서 산출된 데이터를 비교한다. 만약 산출된 두 데이터가 같지 않다면 도메인 관리 서버(110)는 이동 에이전트의 접근을 거부한다.
만약 산출된 두 데이터가 같다면 도메인 관리 서버(110)는 단계 796에서 롤 티켓을 발행한다.
단계 798에서 도메인 관리 서버(110)는 발행된 롤 티켓을 이동 에이전트에게 전달한다.
이하 도 8을 참조하여 플랫폼(120)이 이동 에이전트에 대한 접근 제어하는 과정을 설명하도록 한다.
도 8은 플랫폼이 이동 에이전트에 대한 접근 제어하는 과정을 나타낸 순서도이다.
단계 810에서 이동 에이전트는 서비스 제공부(122)로 롤 티켓, 메시지 다이제스트, 서비스 아이디 및 서비스 이용에 필요한 파라미터를 전달한다.
단계 820에서 서비스 제공부(122)는 도 4를 참조하여 상술한 알고리즘을 이용하여 롤 티켓의 무결성을 검사한다.
만약 무결성이 보장되지 않는 것으로 판단되면, 단계 830에서 서비스 제공부(122)는 이동 에이전트의 접근을 거부한다.
만약 무결성이 보장되는 것으로 판단되면, 단계 840에서 서비스 제공부(122)는 롤 티켓으로부터 역할의 이름을 추출한다.
단계 850에서 서비스 제공부(122)는 서비스 아이디 및 역할의 이름을 서비스 관리부(124)로 전달한다.
단계 860에서 서비스 관리부(124)는 역할의 이름에 상응하는 서비스에 대한 접근 권한을 확인한다.
만약 역할에 상응하는 권한이 없다고 확인되면, 단계 870에서 서비스 관리부(124)는 이동 에이전트에게 서비스를 제공하지 않고 접근제어 과정을 종료한다.
만약 역할에 상응하는 권한이 있다고 확인되면, 단계 880에서 서비스 관리부(124)는 서비스 제공부(122)로 서비스 아이디와 권한 정보를 전달한다.
단계 890에서 서비스 제공부(122)는 이동 에이전트로 서비스 아이디와 권한 정보를 전달한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템의 구성도.
도 2의 (a)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 DTD.
도 2의 (b)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 XML.
도 3은 본 발명의 일 실시예에 따른 역할 구조 테이블을 표현한 DTD.
도 4는 본 발명의 일 실시예에 따른 롤 티켓에 포함된 도메인 관리 서버의 서명을 확인하는 과정을 도시한 순서도.
도 5는 목욕 준비 역할과 그 하위 계층 역할의 관계를 도시한 도면.
도 6는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어를 하는 과정을 도시한 순서도.
도 7은 도메인 관리 서버가 도메인으로 접근하는 이동 에이전트를 인증하는 과정을 나타낸 순서도.
도 8은 플랫폼이 이동 에이전트에 대한 접근 제어하는 과정을 나타낸 순서도.

Claims (24)

  1. 이동 에이전트에 대한 접근 제어 방법에 있어서,
    상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계;
    상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및
    상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함하되,
    상기 롤 티켓은 상기 이동 에이전트에 의해 수행될 기기의 역할에 상응하는 권한 정보인 것을 특징으로 하는 접근 제어 방법.
  2. 제1 항에 있어서,
    도메인으로 접근하는 상기 이동 에이전트에 대한 인증을 수행하는 단계; 및
    상기 롤 티켓에 대한 무결성 검사를 하는 단계를 더 포함하되,
    상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 방법.
  3. 제2 항에 있어서,
    상기 이동 에이전트에 대한 인증을 수행하는 단계는,
    상기 이동 에이전트로부터 인증 부호를 전송 받는 단계;
    상기 인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하는 단계를 포함하되,
    상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함하는 것을 특징으로 하는 접근 제어 방법.
  4. 제3 항에 있어서,
    상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 상기 홈 플랫폼으로부터 부여되되,
    상기 홈 플랫폼은 상기 이동 에이전트가 생성된 플랫폼인 것을 특징으로 하는 접근 제어 방법.
  5. 제3 항에 있어서,
    상기 메시지 다이제스트는 상기 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열인 것을 특징으로 하는 접근 제어 방법.
  6. 제1 항에 있어서,
    상기 롤 티켓을 발급하는 단계는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급하는 것을 특징으로 하는 접근 제어 방법.
  7. 제6 항에 있어서,
    상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
  8. 제6 항에 있어서,
    상기 역할 구조 테이블은 상기 역할들 간의 상속 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
  9. 제6 항에 있어서,
    상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함하는 것을 특징으로 하는 접근 제어 방법.
  10. 제2 항에 있어서,
    상기 무결성 검사는 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것을 특징으로 하는 접근 제어 방법.
  11. 제6 항에 있어서,
    상기 서비스에 대한 접근 권한을 확인하는 단계는,
    서비스 매핑 테이블을 참조하여 상기 서비스에 대한 접근 권한을 확인하는 것이되,
    상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스에 대한 접근 권한의 사상 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
  12. 제11 항에 있어서,
    상기 접근 권한을 부여하는 단계는,
    상기 이동 에이전트로 상기 서비스의 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것을 특징으로 하는 접근 제어 방법.
  13. 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템에 있어서,
    도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행하는 도메인 관리 서버; 및
    상기 롤 티켓에 대한 무결성 검사, 상기 이동 에이전트의 접근 권한 확인 및 서비스에 대한 접근 권한을 부여하는 플랫폼을 포함하되,
    상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 시스템.
  14. 제13 항에 있어서,
    상기 도메인 관리 서버는 상기 이동 에이전트로부터 인증 부호를 전송 받고, 상기인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하되,
    상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함하는 것을 특징으로 하는 접근 제어 방법.
  15. 제14 항에 있어서,
    상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 홈 플랫폼으로부터 부여되는 것을 특징으로 하는 접근 제어 시스템.
  16. 제15 항에 있어서,
    상기 메시지 다이제스트는 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열인 것을 특징으로 하는 접근 제어 시스템.
  17. 제16 항에 있어서,
    상기 도메인 관리 서버는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급하는 것을 특징으로 하는 접근 제어 시스템.
  18. 제17 항에 있어서,
    상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
  19. 제17 항에 있어서,
    상기 역할 구조 테이블은 각 상기 역할들 간의 상속 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
  20. 제19 항에 있어서,
    상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함하는 것을 특징으로 하는 접근 제어 시스템.
  21. 제13 항에 있어서,
    상기 무결성 검사는 상기 롤 티켓에 포함된 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것을 특징으로 하는 접근 제어 시스템.
  22. 제17 항에 있어서,
    상기 플랫폼은 서비스 매핑 테이블을 참조하여 상기 서비스의 접근 권한을 확인하되,
    상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스 에 대한 접근 권한의 사상 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
  23. 제22 항에 있어서,
    상기 플랫폼은 상기 접근 권한을 부여하기 위해 상기 이동 에이전트로 상기 서비스의 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것을 특징으로 하는 접근 제어 시스템.
  24. 홈 네트워크 환경의 접근 제어 시스템에서 이동 에이전트의 접근 제어 방법을 수행하기 위해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 상기 접근 제어 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서,
    상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계;
    상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및
    상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 수행하는 프로그램이 기록된 기록매체.
KR1020070110536A 2007-10-31 2007-10-31 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 KR20090044437A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070110536A KR20090044437A (ko) 2007-10-31 2007-10-31 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템
US12/032,817 US8656475B2 (en) 2007-10-31 2008-02-18 Method and system for controlling access for mobile agents in home network environments

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070110536A KR20090044437A (ko) 2007-10-31 2007-10-31 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템

Publications (1)

Publication Number Publication Date
KR20090044437A true KR20090044437A (ko) 2009-05-07

Family

ID=40584662

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070110536A KR20090044437A (ko) 2007-10-31 2007-10-31 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템

Country Status (2)

Country Link
US (1) US8656475B2 (ko)
KR (1) KR20090044437A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002163A2 (ko) * 2009-06-30 2011-01-06 엘지전자 주식회사 단말 간 이동 방법
KR101601769B1 (ko) 2014-10-31 2016-03-10 서강대학교산학협력단 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090044437A (ko) * 2007-10-31 2009-05-07 성균관대학교산학협력단 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
JP5562143B2 (ja) * 2010-06-28 2014-07-30 キヤノン株式会社 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム
FR2972830B1 (fr) * 2011-03-15 2014-01-10 Affiliated Computer Services Solutions France Systeme de controle de validation de titres de transport
CN102158554B (zh) * 2011-04-02 2013-11-27 南京邮电大学 基于移动代理的物联网中间件开发方法
US9336238B2 (en) * 2012-06-16 2016-05-10 Evrio, Inc. Mobile wireless object recognition and control
US9325683B2 (en) * 2012-06-18 2016-04-26 Infosys Limited Mobile application management framework
CN104239814B (zh) * 2014-09-17 2017-10-20 上海斐讯数据通信技术有限公司 一种移动办公安全方法及系统
WO2016172237A1 (en) * 2015-04-21 2016-10-27 Sequitur Labs, Inc. System and methods for context-aware and situation-aware secure, policy-based access control for computing devices
US10218510B2 (en) 2015-06-01 2019-02-26 Branch Banking And Trust Company Network-based device authentication system
CN106209971B (zh) * 2016-06-17 2019-04-26 北京汉唐自远技术股份有限公司 一种监控终端的控制方法及系统
FR3054397B1 (fr) * 2016-07-22 2020-01-17 Overkiz Procede de gestion d’incident d’une installation domotique
FR3054341B1 (fr) 2016-07-22 2020-01-17 Overkiz Procede de configuration et de supervision d’une installation domotique
CN106407842B (zh) * 2016-09-29 2019-06-14 恒大智慧科技有限公司 一种签核发起用户管理方法和设备
GB2561809A (en) * 2017-01-13 2018-10-31 Kohler Mira Ltd Bathing control security
US11483143B2 (en) * 2019-04-15 2022-10-25 Smart Security Systems, Llc Enhanced monitoring and protection of enterprise data
US20220200973A1 (en) * 2019-04-15 2022-06-23 Bear System, LLC Blockchain schema for secure data transmission

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6367013B1 (en) * 1995-01-17 2002-04-02 Eoriginal Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US6851115B1 (en) * 1999-01-05 2005-02-01 Sri International Software-based architecture for communication and cooperation among distributed electronic agents
US20040199765A1 (en) * 1999-08-20 2004-10-07 Children's Medical Center Corporation System and method for providing personal control of access to confidential records over a public network
GB2354350B (en) * 1999-09-17 2004-03-24 Mitel Corp Policy representations and mechanisms for the control of software
GB2355140B (en) * 1999-10-05 2003-09-03 Mitel Corp Security mechanism and architecture for collaborative software systems using tuple space
US6678733B1 (en) * 1999-10-26 2004-01-13 At Home Corporation Method and system for authorizing and authenticating users
US7630986B1 (en) * 1999-10-27 2009-12-08 Pinpoint, Incorporated Secure data interchange
AU2001261141A1 (en) * 2000-05-02 2001-11-12 Sun Microsystems, Inc. Method and system for achieving high availability in a networked computer system
JP4654497B2 (ja) * 2000-08-31 2011-03-23 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
US7036146B1 (en) * 2000-10-03 2006-04-25 Sandia Corporation System and method for secure group transactions
US7227863B1 (en) * 2001-11-09 2007-06-05 Cisco Technology, Inc. Methods and apparatus for implementing home agent redundancy
US7154868B1 (en) * 2002-01-08 2006-12-26 Utstarcom, Inc. Smooth handoff via state exchange in wireless networks
JP4261818B2 (ja) * 2002-04-19 2009-04-30 キヤノン株式会社 周辺機器管理システム、クライアント装置、サーバ装置、それらの制御方法及び記憶媒体
US7437703B2 (en) * 2002-10-25 2008-10-14 Sap Ag Enterprise multi-agent software system with services able to call multiple engines and scheduling capability
US8108455B2 (en) * 2002-10-31 2012-01-31 Oracle America, Inc. Mobile agents in peer-to-peer networks
WO2004084068A1 (en) * 2003-03-19 2004-09-30 British Telecommunications Public Limited Company Flexible multi-agent system architecture
US20040259562A1 (en) * 2003-04-11 2004-12-23 Lila Madour Method and packet data service node for correlating a service reference identifier with a requested quality of service
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
JP4264339B2 (ja) * 2003-12-11 2009-05-13 富士通株式会社 連携情報管理装置
US20050141706A1 (en) * 2003-12-31 2005-06-30 Regli William C. System and method for secure ad hoc mobile communications and applications
GB0402572D0 (en) * 2004-02-05 2004-03-10 Nokia Corp A method of organising servers
EP1738560A1 (en) * 2004-04-14 2007-01-03 Nortel Networks Limited Securing home agent to mobile node communication with ha-mn key
GB2415580B (en) * 2004-06-24 2006-08-16 Toshiba Res Europ Ltd Network node security analysis method
US7711835B2 (en) * 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US7640593B2 (en) * 2005-04-21 2009-12-29 Nokia Corporation User-controlled management of TPM identities
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
JP4868906B2 (ja) * 2006-03-24 2012-02-01 キヤノン株式会社 制限情報作成装置及び方法と機能制限付き印刷システム及び印刷認証方法
JP2007286908A (ja) * 2006-04-17 2007-11-01 Canon Inc 管理システム及びその制御方法、コンピュータプログラム、記憶媒体
US20080079539A1 (en) * 2006-08-15 2008-04-03 Daley Robert C Friends Finder Service for a Mobile Device in a Network
JP5011959B2 (ja) * 2006-11-01 2012-08-29 富士ゼロックス株式会社 認証代行装置、認証代行プログラム、及び認証代行システム
CN101542983B (zh) * 2006-11-23 2012-12-05 艾利森电话股份有限公司 移动网络中用于lan仿真的方法和设备
JP4845703B2 (ja) * 2006-12-15 2011-12-28 キヤノン株式会社 画像処理装置及びその制御方法、並びにプログラム
US20080261630A1 (en) * 2007-04-23 2008-10-23 Research In Motion Limited Indicating user presence on a messaging network
KR20090044437A (ko) * 2007-10-31 2009-05-07 성균관대학교산학협력단 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002163A2 (ko) * 2009-06-30 2011-01-06 엘지전자 주식회사 단말 간 이동 방법
WO2011002163A3 (ko) * 2009-06-30 2011-03-03 엘지전자 주식회사 단말 간 이동 방법
KR101601769B1 (ko) 2014-10-31 2016-03-10 서강대학교산학협력단 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법

Also Published As

Publication number Publication date
US20090113538A1 (en) 2009-04-30
US8656475B2 (en) 2014-02-18

Similar Documents

Publication Publication Date Title
KR20090044437A (ko) 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템
KR100765778B1 (ko) 도메인 관리 방법 및 그 장치
JP6066647B2 (ja) デバイス装置、その制御方法、およびそのプログラム
KR101215343B1 (ko) 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
EP1244263A2 (en) Access control method
JP6810334B2 (ja) プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
US20070271618A1 (en) Securing access to a service data object
TW200828944A (en) Simplified management of authentication credientials for unattended applications
JP2013246655A (ja) 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法
KR100656402B1 (ko) 디지털 콘텐츠를 안전하게 배포하는 방법 및 그 장치
CN102438013A (zh) 基于硬件的证书分发
CN111316267A (zh) 使用委托身份的认证
KR100561629B1 (ko) 보안 정보 통합 관리 시스템 및 그 방법
KR101873991B1 (ko) IoT 기기들 간의 액세스 권한의 위임 방법
KR20080019362A (ko) 대체 가능한 지역 도메인 관리 시스템 및 방법
KR102410006B1 (ko) 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템
CN111181931B (zh) 一种基于用户终端认证的授权系统及方法
JP5036500B2 (ja) 属性証明書管理方法及び装置
KR101043215B1 (ko) 싱글 사인 온 시스템에서의 티켓, 권한 검증 시스템 및방법
JP2008129673A (ja) ユーザ認証システム、ユーザ認証方法、それに用いるゲートウェイ及びプログラムとその記録媒体
KR100432103B1 (ko) 인증 및 권한 인가 서비스 시스템
CN115208886A (zh) 基于did的数据授权方法、系统及介质
KR20150096979A (ko) 홈 네트워크 접근 제어 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application