KR20090044437A - 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 - Google Patents
홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 Download PDFInfo
- Publication number
- KR20090044437A KR20090044437A KR1020070110536A KR20070110536A KR20090044437A KR 20090044437 A KR20090044437 A KR 20090044437A KR 1020070110536 A KR1020070110536 A KR 1020070110536A KR 20070110536 A KR20070110536 A KR 20070110536A KR 20090044437 A KR20090044437 A KR 20090044437A
- Authority
- KR
- South Korea
- Prior art keywords
- mobile agent
- role
- ticket
- service
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/2821—Avoiding conflicts related to the use of home appliances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2836—Protocol conversion between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Abstract
홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템이 개시된다. 본 발명은 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계, 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함한다. 본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
접근 제어, 이동 에이전트, 인증, 홈 네트워크
Description
본 발명은 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 접근 제어 시스템에 관한 것으로, 보다 자세하게는 홈 네트워크 환경에서 이동 에이전트에 대한 인증과 접근 제어를 하는 방법 및 시스템에 관한 발명이다.
홈 네트워크 환경은 가정 내의 디지털 기기들이 네트워크로 통합된 첨단 생활 환경으로써 이들 기기들을 제어하고 관리하기 위해 많은 네트워크 트래픽이 발생한다. 특히 홈 네트워크를 외부와 연결하는 홈 게이트웨이는 네트워크 트래픽이 다수 발생하는 통신 병목 지점이 된다. 이러한 홈 네트워크 환경에서 이동 에이전트는 새로운 컴퓨팅 모델로서 활용될 수 있다. 에이전트(agent)는 기본적으로 소프트웨어 에이전트로써 특정 목적에 대해 사용자를 대신하여 작업을 수행하는 자율적인 프로세스(autonomous process)로 독자적으로 존재하지 않고 어떤 환경의 일부이 거나 그 안에서 동작하는 특성이 있다. 에이전트는 이동성의 유무에 따라 정지 에이전트와 이동 에이전트로 나눌 수 있다. 정지 에이전트란 에이전트가 생성된 시스템에서만 실행될 수 있는 에이전트를 말한다. 반면에 이동 에이전트는 실행을 시작한 시스템에 한정되지 않고 네트워크를 통해 타 서버로 자유롭게 이동할 수 있으며, 필요한 해답을 얻거나 서비스를 제공하기 위하여 타 서버 혹은 에이전트와 통신할 수도 있다. 그러므로 한 번 이동한 에이전트는 원하는 목적을 달성할 때까지 최초 목적이 부여되어 생성된 시스템과 많은 양의 통신을 필요로 하지 않는다. 특히 이동 에이전트의 비동기적 수행 능력과 자율성은 홈 네트워크 환경에서 발생하는 네트워크 트래픽을 상당히 줄일 수 있다.
그러나 이를 위해서는 홈 네트워크 환경으로 접근하는 이동 에이전트에 대한 인증과 접근제어가 반드시 이루어져야 한다. 그러나 종래의 이동 에이전트에 대한 인증 및 역할 기반 접근 제어 방식은 이동 에이전트가 생성되는 시점에 역할을 할당한다. 특히 홈 네트워크와 같이 각 디바이스마다 서로 다른 접근제어 정책을 사용하는 환경에서는 해당 홈 네트워크 환경에 맞는 역할을 동적으로 할당할 수 있어야 하기 때문에 종래의 이동 에이전트에 대한 인증 및 접근 제어 방식은 홈 네트워크 환경에 적용하기에는 한계가 있다.
상술한 문제점을 해결하기 위하여, 본 발명은 홈 네트워크 환경에서 이동 에 이전트의 접근 제어 방법 및 시스템을 제공하고자 한다.
본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 각 디바이스가 디바이스에 대한 이동 에이전트의 접근 권한을 관리함으로써 홈 게이트웨이 서버에서 테이블 갱신을 위해 발생하는 연산 비용을 감소시킬 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 각 디바이스가 독립적인 서비스 접근 제어 정책을 유지함으로써 보다 능동적인 서비스 접근 제어가 가능한 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명은 접근 제어 정책의 특별한 수정 없이 새로운 장비를 홈 네트워크 환경에 추가할 수 있도록 하는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 이동 에이전트에 대한 접근 제어 방법에 있어서, 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계; 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함하되, 상기 롤 티켓은 상기 이동 에이전트에 의해 수행될 기기의 역할에 상응하는 권한 정보인 것을 특징으로 하는 접근 제어 방법이 제공된다.
도메인으로 접근하는 상기 이동 에이전트에 대한 인증을 수행하는 단계; 및 상기 롤 티켓에 대한 무결성 검사를 하는 단계를 더 포함하되, 상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역일 수 있다.
상기 이동 에이전트에 대한 인증을 수행하는 단계는, 상기 이동 에이전트로부터 인증 부호를 전송 받는 단계; 상기 인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하는 단계를 포함하되, 상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함할 수 있다.
상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 상기 홈 플랫폼으로부터 부여되되, 상기 홈 플랫폼은 상기 이동 에이전트가 생성된 플랫폼일 수 있다.
상기 메시지 다이제스트는 상기 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열일 수 있다.
상기 롤 티켓을 발급하는 단계는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급할 수 있다.
상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에 게 발급 가능한 역할들을 정의한 데이터일 수 있다.
상기 역할 구조 테이블은 상기 역할들 간의 상속 관계를 정의한 데이터일 수 있다.
상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함할 수 있다.
상기 무결성 검사는 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것일 수 있다.
상기 서비스에 대한 접근 권한을 확인하는 단계는, 서비스 매핑 테이블을 참조하여 상기 서비스에 대한 접근 권한을 확인하는 것이되, 상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스에 대한 접근 권한의 사상 관계를 정의한 데이터일 수 있다.
상기 접근 권한을 부여하는 단계는, 상기 이동 에이전트로 상기 서비스 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것일 수 있다.
본 발명의 다른 측면에 따르면, 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템에 있어서, 도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행하는 도메인 관리 서버; 및 상기 롤 티켓에 대한 무결성 검사, 상기 이동 에이전트의 접근 권한 확인 및 서비스에 대한 접근 권한을 부여하는 플랫폼을 포함하되, 상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 시 스템이 제공된다.
상기 도메인 관리 서버는 상기 이동 에이전트로부터 인증 부호를 전송 받고, 상기인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하되, 상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함할 수 있다.
상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 홈 플랫폼으로부터 부여될 수 있다.
상기 메시지 다이제스트는 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열일 수 있다.
상기 도메인 관리 서버는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급할 수 있다.
상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터일 수 있다.
상기 역할 구조 테이블은 각 상기 역할들 간의 상속 관계를 정의한 데이터일 수 있다.
상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함할 수 있다.
상기 무결성 검사는 상기 롤 티켓에 포함된 상기 전자 서명을 공개키로 복호 화한 데이터를 확인하는 것일 수 있다.
상기 플랫폼은 서비스 매핑 테이블을 참조하여 상기 서비스의 접근 권한을 확인하되, 상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스 에 대한 접근 권한의 사상 관계를 정의한 데이터일 수 있다.
상기 플랫폼은 상기 접근 권한을 부여하기 위해 상기 이동 에이전트로 상기 서비스 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송할 수 있다.
본 발명의 또 다른 측면에 따르면, 홈 네트워크 환경의 접근 제어 시스템에서 이동 에이전트의 접근 제어 방법을 수행하기 위해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 상기 접근 제어 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서, 상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계; 상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및 상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 수행하는 프로그램이 기록된 기록매체가 제공된다.
본 발명은 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공 할 수 있는 효과가 있다.
또한 본 발명은 사용자의 접근 권한을 관리하는 테이블을 각 디바이스로 분산시킴으로써 네트워크 트래픽을 최소화할 수 있는 홈 네트워크 환경에서 이동 에 이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 각 디바이스가 디바이스에 대한 이동 에이전트의 접근 권한을 관리함으로써 홈 게이트웨이 서버에서 테이블 갱신을 위해 발생하는 연산 비용을 감소시킬 수 있는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 각 디바이스가 독립적인 서비스 접근 제어 정책을 유지함으로써 보다 능동적인 서비스 접근 제어가 가능한 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
본 발명은 접근 제어 정책의 특별한 수정 없이 새로운 장비를 홈 네트워크 환경에 추가할 수 있도록 하는 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및 시스템을 제공할 수 있는 효과가 있다.
또한 본 발명은 각 역할마다 별도의 롤 티켓을 발급하여 플랫폼에게 불필요한 정보 노출을 방지하는 효과가 있다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체 적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.
이하에서 도 1 내지 도 4를 참조하여, 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템을 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템의 구성도이고, 도 2의 (a)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 DTD이고, 도 2의 (b)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 XML이며, 도 3은 본 발명의 일 실시예에 따른 역할 구조 테이블을 표현한 DTD이고, 도 4는 본 발명의 일 실시예에 따른 롤 티켓에 포함된 도메인 관리 서버의 서명을 확인하는 과정을 도시한 순서도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 이동 에이전트의 접근 제어 시스템(100)은 도메인 관리 서버(110) 및 플랫폼(120)을 포함한다.
도메인 관리 서버(110)는 도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행한다. 도메인 관리 서버는 인증부(112), 롤 티켓 발행부(114) 및 테이블 제어부(116)을 포함한다.
인증부(112)는 도메인으로 접근하는 이동 에이전트에 대한 인증을 수행한다. 예를 들어, 인증부(112)는 도메인으로 접근하는 이동 에이전트의 인증 부호를 이용하여 인증을 수행한다. 인증 부호는 사용자에 의해 조작되고 있는 플랫폼인 홈 플랫폼에서 이동 에이전트가 생성될 시점에 생성되며, 이동 에이전트 내부에 저장될 수 있다. 인증 부호는 이동 에이전트의 아이디, 홈 플랫폼의 아이디, 메시지 다이제스트 및 인증 부호의 유효 기간에 관한 정보 및 이 정보들을 홈 플랫폼의 개인키로 서명한 전자 서명 및 이를 확인하기 위한 인증서를 포함 할 수 있다. 인증 부호의 구조는 하기와 같이 나타낼 수 있다.
이 때, Authenticator는 인증 부호이고, AID는 이동 에이전트의 아이디이고, HPID는 홈 플랫폼의 아이디이고, MD는 메시지 다이제스트이며, TS는 인증 부호의 유효 기간이며, 는 인증서이고, 는 홈 플랫폼의 개인키로 서명한 전자 서명이다.
인증부(112)는 인증 부호의 서명을 공개키를 이용하여 복호화하고 그 값의 무결성을 검증하여 인증을 수행한다. 이 때, 인증부(112)는 복호화 과정에서 사용되는 공개키를 홈 플랫폼의 인증서로부터 획득할 수 있다.
롤 티켓 발행부(114)는 인증에 성공한 이동 에이전트를 대상으로 이동 에이전트를 통해 수행될 기기의 역할에 상응하는 권한 정보인 롤 티켓을 발급한다. 예를 들어, 롤 티켓 발행부(114)는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 이동 에이전트에게 발급 가능한 롤 티켓을 생성하고 이를 할당한다. 롤 티켓은 이동 에이전트의 아이디, 역할의 이름, 롤 티켓의 유효 기간 및 서명을 포함할 수 있다. 이 때, 서명은 이동 에이전트의 아이디와 역할의 이름 및 메시지 다이제스트에 해시함수를 적용한 비트열을 도메인 공유키를 사용하여 암호화한 것이다. 상술한 롤 티켓의 구조는 하기와 같이 나타낼 수 있다.
사용자 매핑 테이블 및 역할 구조 테이블은 추후 상세히 설명하도록 한다. 또한 롤 티켓 발행부(114)는 각각의 역할에 상응하는 롤 티켓을 따로 발급할 수 있 다. 다수의 역할에 대해 하나의 롤 티켓을 발급하게 되면 이동 에이전트가 서비스 요청을 위해 플랫폼에게 롤 티켓을 전달할 때 불필요한 정보까지 플랫폼에게 노출된다. 이를 방지하기 위해 롤 티켓 발행부(114)는 하나의 역할에 상응하는 하나의 롤 티켓을 발급할 수 있다.
테이블 제어부(116)는 사용자 매핑 테이블 및 역할 구조 테이블을 생성 및 관리하고, 각 테이블을 롤 티켓 발행부(114)로 제공할 수 있다. 사용자 매핑 테이블은 사용자와 역할간의 관계를 정의함으로써 특정 사용자에게 어떠한 역할을 부여할 수 있는지에 대한 정보를 나타낸 테이블로 도메인 형성 시 관리자에 의해 생성될 수 있다. 이 때, 사용자 매핑 테이블은 XML 기반으로 작성될 수 있으며, 도 2의 (a)에 도시된 DTD와 도 2의 (b)에 도시된 XML은 그 실시예를 나타낸 것이다.
역할 구조 테이블은 도매인 내에서 사용되는 각 역할들의 계층 관계를 표현한다. 역할들간의 계층 관계는 권한의 상속을 가능하게 한다. 예를 들어, 도 2에서 나타낸 "FamilyMemberAdult"와 "FamilyMemberTeenager"는 "FamilyMember"의 권한을 상속 받는다. 테이블 제어부(116)는 이러한 역할들간의 계층 관계를 도 3과 같이 XML로 표현하고 관리할 수 있다.
이어서 플랫폼(120)은 홈 네트워크의 단말인 기기들에 포함되어 도메인 관리 서버(110)로부터 수신 받은 이동 에이전트에 의해 제어되는 디바이스이다. 플랫폼(120)은 서비스 제공부(122) 및 서비스 관리부(124)를 포함한다.
서비스 제공부(122)는 롤 티켓에 대한 무결성 검사를 수행한다. 예를 들어, 서비스 제공부(122)는 롤 티켓에 포함된 도메인 관리 서버(110)의 전자 서명을 확 인함으로써 롤 티켓의 무결성을 판단한다. 이하에서, 도 4를 참조하여 서비스 제공부(122)가 전자 서명을 확인하는 과정을 설명하도록 한다.
단계 410에서 서비스 제공부(122)는 롤 티켓의 유효 기간을 확인한다.
만약 단계 410에서 롤 티켓이 유효하다고 판단되면, 단계 420에서 서비스 제공부(122)는 이동 에이전트의 아이디, 역할의 이름, 롤 티켓의 유효 기간 및 메시지 다이제스트에 대해 단방향 해시를 적용하여 비트열을 산출한다. 단반향 해시를 적용하여 비트열을 산출하는 과정은 당업자에게 자명하므로 설명을 생략하도록 한다.
만약 단계 410에서 롤 티켓이 유효하지 않다고 판단되면, 단계 460에서 서비스 제공부(122)는 룰 티켓이 유효하지 않다고 판단하여 해당 이동 에이전트의 서비스 요청을 거절한다.
단계 430에서 서비스 제공부(122)는 도메인 공유키를 이용하여 도메인 관리 서버의 전자 서명을 복호화하여 비트열을 산출한다.
단계 440에서 서비스 제공부(122)는 단계 420에서 산출한 비트열과 단계 430에서 복호화된 비트열이 동일한지 확인한다.
만약 동일하다고 판단되면, 단계 450에서 서비스 제공부(122)는 롤 티켓을 적합한 것(즉, 무결성이 보장되는 것)으로 판단한다.
만약 동일하지 않다고 판단되면, 단계 460에서 서비스 제공부(122)는 롤 티켓이 부적합한 것(즉, 무결성이 보장되지 않는 것)으로 판단하여 해당 이동 에이전트의 서비스 요청을 거절한다.
상술한 전자 서명 확인 과정에 사용되는 알고리즘은 하기와 같이 함수로 나타낼 수 있다.
이 때, verifyRoleTicket(MD', T)는 롤 티켓과 메시지 다이제스트를 이용한 알고리즘을 사용한 함수이며, verifyTS(TS')는 유효 기간을 확인하는 함수이며, getTS(T)는 롤 티켓의 유효 기간을 추출하는 함수이며, getAID(T)는 롤 티켓의 이동 에이전트의 아이디를 추출하는 함수이며, getSign(T)는 롤 티켓의 전자 서명을 추출하는 함수이며, H(A)는 정보 A를 단방향 해시를 적용한 비트열을 산출하는 함수이며, 는 도메인 공유키를 이용하여 도메인 관리 서버의 전자 서명을 복호화하여 비트열을 산출하는 함수이다. 본 발명의 요지와 거리감이 있는 각 함수의 내부 동작 과정에 대한 설명은 생략하기로 한다.
다시 도 1을 참조하면, 서비스 제공부(122)는 위의 알고리즘의 수행을 통해 롤 티켓의 무결성이 보장되는 것으로 판단될 경우, 이동 에이전트가 요청한 서비스의 아이디와 롤 티켓에 포함된 역할의 이름으로 구성된 권한 정보를 서비스 관리 부(124)로 전송한다.
또한 서비스 제공부(122)는 서비스 관리부(124)로부터 권한 정보를 입력 받아 이동 에이전트에게 서비스 아이디와 권한 정보를 제공하여 이동 에이전트에게 서비스에 대한 권한을 부여한다.
서비스 관리부(124)는 미리 저장하고 있는 서비스 매핑 테이블을 확인하여 이동 에이전트가 요청한 서비스에 대한 권한을 확인한다. 서비스 매핑 테이블은 각 역할에 상응하는 서비스의 접근 권한에 관한 데이터이다. 서비스 관리부(124)는 요청한 서비스에 대한 권한이 확인되면, 서비스 제공부(122)로 권한 정보를 전송한다.
이하 도 1의 각 기능부 및 도 5를 참조하여 홈 네트워크 환경에서 이동 에이전트를 대상으로 하는 접근 제어 시스템(100)의 실행 과정을 일 실시예를 들어 설명하도록 한다. 또한 이하 실시예에서 언급되는 보일러 및 급수 장치는 홈 네트워크와 연결된 플랫폼(120)을 포함하고 있어 이동 에이전트에 의해 제어 될 수 있다고 가정한다.
도 5는 목욕 준비 역할과 그 하위 계층 역할의 관계를 도시한 도면이다.
휴대용 단말기를 구성하는 플랫폼(120)은 사용자로부터 입력 받은 목욕 준비 역할(510)의 수행 명령을 인식하고, 이에 상응하는 이동 에이전트를 생성한다.
생성된 이동 에이전트는 통신망을 통해 도메인 관리 서버(110)로 전송된다. 도메인 관리 서버(110)의 인증부(112)는 이동 에이전트에 대해 인증을 수행한다. 이어서 롤 티켓 발행부(114)는 목욕 준비 역할(510)에 대한 정보를 테이블 제어부(116)로 요청한다. 테이블 제어부(116)는 목욕 준비 역할(510)의 수행 명령을 내린 사용자의 신원을 확인하고 사용자 매핑 테이블을 참조하여 해당 사용자 목욕 준비 역할(510)의 수행 명령에 상응하는 역할이 있는지 확인한다. 이어서 테이블 제어부(116)는 목욕 준비 역할(510)과 그 하위 역할들에 관한 정보를 롤 티켓 발행부(114)로 전송한다. 이 때, 발명의 명확한 이해를 위해 목욕 준비 역할(510)은 도 5와 같은 하위 계층의 역할을 갖고 있다고 가정한다. 롤 티켓 발행부(114)는 도 5에 도시된 테이블 제어부(116)로부터 받은 역할 정보에 따라 각 역할들에 상응하는 롤 티켓을 이동 에이전트에게 발행한다. 이동 에이전트는 목욕 준비 역할(510)을 수행하기 위해 필요한 보일러의 플랫폼으로 이동한다.
보일러에 포함되어 있는 플랫폼(120)의 서비스 제공부(122)는 이동 에이전트가 발행 받은 보일러 조작 역할(520)의 하위 역할인 보일러 동작 개시 역할(530) 및 급탕 역할(540)에 상응하는 롤 티켓의 무결성 검사를 수행한다. 무결성 검사를 하는 과정은 도 4를 참조하여 상술하였으므로 그 상세한 설명을 생략한다. 이어서 서비스 관리부(124)는 롤 티켓에 상응하는 역할과 보일러에서 제공할 수 있는 서비스에 대한 접근 권한을 확인한 후, 보일러 동작 개시 역할(530) 및 급탕 역할(540) 역할에 상응하는 서비스의 권한 정보를 서비스 제공부(122)로 전송한다. 서비스 제공부(122)는 보일러 동작 개시 역할(530) 및 급탕 역할(540) 역할에 상응하는 서비스의 아이디와 권한 정보를 이동 에이전트에게 부여하여 이동 에이전트가 해당 서 비스를 제어할 수 있도록 한다. 이동 에이전트는 부여 받은 권한을 이용하여 보일러를 동작시키고 급탕 기능을 수행하도록 보일러를 조작한다.
이어서 이동 에이전트는 급수 장치에 포함된 플랫폼(120)으로 이동한다. 이동 에이전트는 상술한 보일러에 포함된 플랫폼(120)과 동일한 과정을 통해 급수 장치 조작 역할(550)의 하위 역할인 온도 조절 역할(560) 및 수위 조절 역할(570)에 상응하는 서비스에 대한 권한을 부여 받는다. 이동 에이전트는 부여 받은 권한을 이용하여 목욕에 적합한 온수를 탕에 적절한 수위로 채우도록 급수 장치를 조작한다. 이동 에이전트가 해당 서비스를 제어하는 과정은 본 발명의 요지와는 다소 거리감이 있는 사항이므로 이에 대한 설명은 생략한다.
이어서 이동 에이전트는 통신망을 통해 휴대용 단말기로 이동하여 사용자에게 목욕 준비가 완료되었다는 보고를 하거나 도메인 관리 서버(110)를 통해 보고 메시지를 휴대용 단말기로 전송할 수 있다.
상술한 실시예에서는 보일러와 급수 장치의 플랫폼을 이용하는 것을 설명하였지만, 본 발명에 따른 이동 에이전트는 이에 한정되지 않고 다양한 기기에 포함된 플랫폼을 이용하여 각 플랫폼을 제어할 수 있다.
이하에서 도 6를 참조하여, 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법에 대해 설명하도록 한다. 이하에서 설명되는 각각의 단계는 접근 제어 시스템(100)의 각각의 내부 구성 요소에 의해 수행 될 수 있으나 이해와 설명의 편의를 도모하기 위해 접근 제어 시스템(100)으로 통칭하여 설명하기로 한다.
도 6는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어를 하는 과정을 도시한 순서도이다.
단계 610에서 접근 제어 시스템(100)은 도메인으로 접근한 이동 에이전트를 대상으로 인증을 수행한다. 이 때, 접근 제어 시스템(100)은 이동 에이전트가 포함한 인증 부호의 전자 서명을 복호화하고 그 값의 무결성을 검증하여 인증을 수행한다.
단계 620에서 접근 제어 시스템(100)은 이동 에이전트에게 롤 티켓을 발급한다. 이 때 접근 제어 시스템(100)는 이동 에이전트에게 각 역할에 상응하는 롤 티켓을 따로 발급할 수 있다.
단계 630에서 접근 제어 시스템(100)은 이동 에이전트에게 발급된 롤 티켓에 대한 무결성 검사를 수행한다. 접근 제어 시스템(100)은 롤 티켓이 포함하고 있는 서명을 확인하는 방법으로 무결성 검사를 수행한다. 서명 확인 방법은 도 4를 참조하여 상술하였으므로 그 설명은 생략하기로 한다.
단계 640에서 접근 제어 시스템(100)은 이동 에이전트가 요청한 서비스에 상응하는 권한을 확인한다. 접근 제어 시스템(100)은 각 역할들과 서비스 접근 권한에 대한 사상 관계를 정의한 서비스 매핑 테이블을 이용하여 서비스에 상응하는 권한을 확인할 수 있다.
단계 650에서 접근 제어 시스템(100)은 이동 에이전트가 요청한 서비스에 대 한 권한을 이동 에이전트에게 부여한다.
이하 도 7을 참조하여 도메인 관리 서버(110)에서 이동 에이전트를 인증하는 과정에 대해 설명하도록 한다.
도 7은 도메인 관리 서버가 도메인으로 접근하는 이동 에이전트를 인증하는 과정을 나타낸 순서도이다.
단계 710에서 홈 플랫폼(미도시)은 이동 에이전트에 포함된 실행 코드에 단방향 해시를 적용하여 메시지 다이제스트를 산출한다.
단계 720에서 홈 플랫폼(미도시)은 이동 에이전트에 대한 유효 기간을 생성한다. 유효 기간을 생성하는 방법은 당업자에게 자명하고 구현 방법에 따라 다양할 수 있으므로 상세한 설명은 생략하기로 한다.
단계 730에서 홈 플랫폼(미도시)은 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 단계 710에서 산출한 메시지 다이제스트 및 단계 720에서 생성한 유효 기간에 대한 전자 서명을 한다.
단계 740에서 홈 플랫폼(미도시)은 단계 730에서 생성한 전자 서명을 확인하는데 필요한 인증서를 생성한다.
단계 750에서 홈 플랫폼(미도시)은 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 단계 710에서 산출한 메시지 다이제스트 및 단계 720에서 생성한 유효 기간, 단계 730에서 생성한 전자 서명 및 단계 740에서 생성한 인증서를 포함하 는 인증 부호를 생성하고 이동 에이전트로 전달한다.
단계 760에서 이동 에이전트는 통신망을 통해 도메인 관리 서버(110)로 접근하여 인증 부호를 전달한다.
단계 770에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 유효 기간을 확인하여 적합한 유효 기간이 아니면, 이동 에이전트의 접근을 거부한다.
단계 780에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 전자 서명을 홈 플랫폼(미도시)의 공개키로 복호화한다.
단계 790에서 도메인 관리 서버(110)는 전달 받은 인증 부호에 포함된 이동 에이전트의 아이디, 홈 플랫폼(미도시)의 아이디, 메시지 다이제스트 및 유효 기간에 대한 단방향 해시를 적용한 비트열을 산출한다.
단계 793에서 도메인 관리 서버(110)는 단계 780 내지 단계 790에서 산출된 데이터를 비교한다. 만약 산출된 두 데이터가 같지 않다면 도메인 관리 서버(110)는 이동 에이전트의 접근을 거부한다.
만약 산출된 두 데이터가 같다면 도메인 관리 서버(110)는 단계 796에서 롤 티켓을 발행한다.
단계 798에서 도메인 관리 서버(110)는 발행된 롤 티켓을 이동 에이전트에게 전달한다.
이하 도 8을 참조하여 플랫폼(120)이 이동 에이전트에 대한 접근 제어하는 과정을 설명하도록 한다.
도 8은 플랫폼이 이동 에이전트에 대한 접근 제어하는 과정을 나타낸 순서도이다.
단계 810에서 이동 에이전트는 서비스 제공부(122)로 롤 티켓, 메시지 다이제스트, 서비스 아이디 및 서비스 이용에 필요한 파라미터를 전달한다.
단계 820에서 서비스 제공부(122)는 도 4를 참조하여 상술한 알고리즘을 이용하여 롤 티켓의 무결성을 검사한다.
만약 무결성이 보장되지 않는 것으로 판단되면, 단계 830에서 서비스 제공부(122)는 이동 에이전트의 접근을 거부한다.
만약 무결성이 보장되는 것으로 판단되면, 단계 840에서 서비스 제공부(122)는 롤 티켓으로부터 역할의 이름을 추출한다.
단계 850에서 서비스 제공부(122)는 서비스 아이디 및 역할의 이름을 서비스 관리부(124)로 전달한다.
단계 860에서 서비스 관리부(124)는 역할의 이름에 상응하는 서비스에 대한 접근 권한을 확인한다.
만약 역할에 상응하는 권한이 없다고 확인되면, 단계 870에서 서비스 관리부(124)는 이동 에이전트에게 서비스를 제공하지 않고 접근제어 과정을 종료한다.
만약 역할에 상응하는 권한이 있다고 확인되면, 단계 880에서 서비스 관리부(124)는 서비스 제공부(122)로 서비스 아이디와 권한 정보를 전달한다.
단계 890에서 서비스 제공부(122)는 이동 에이전트로 서비스 아이디와 권한 정보를 전달한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템의 구성도.
도 2의 (a)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 DTD.
도 2의 (b)는 본 발명의 일 실시예에 따른 사용자 매핑 테이블을 표현한 XML.
도 3은 본 발명의 일 실시예에 따른 역할 구조 테이블을 표현한 DTD.
도 4는 본 발명의 일 실시예에 따른 롤 티켓에 포함된 도메인 관리 서버의 서명을 확인하는 과정을 도시한 순서도.
도 5는 목욕 준비 역할과 그 하위 계층 역할의 관계를 도시한 도면.
도 6는 본 발명의 일 실시예에 따른 홈 네트워크 환경에서 이동 에이전트의 접근 제어를 하는 과정을 도시한 순서도.
도 7은 도메인 관리 서버가 도메인으로 접근하는 이동 에이전트를 인증하는 과정을 나타낸 순서도.
도 8은 플랫폼이 이동 에이전트에 대한 접근 제어하는 과정을 나타낸 순서도.
Claims (24)
- 이동 에이전트에 대한 접근 제어 방법에 있어서,상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계;상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 포함하되,상기 롤 티켓은 상기 이동 에이전트에 의해 수행될 기기의 역할에 상응하는 권한 정보인 것을 특징으로 하는 접근 제어 방법.
- 제1 항에 있어서,도메인으로 접근하는 상기 이동 에이전트에 대한 인증을 수행하는 단계; 및상기 롤 티켓에 대한 무결성 검사를 하는 단계를 더 포함하되,상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 방법.
- 제2 항에 있어서,상기 이동 에이전트에 대한 인증을 수행하는 단계는,상기 이동 에이전트로부터 인증 부호를 전송 받는 단계;상기 인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하는 단계를 포함하되,상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함하는 것을 특징으로 하는 접근 제어 방법.
- 제3 항에 있어서,상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 상기 홈 플랫폼으로부터 부여되되,상기 홈 플랫폼은 상기 이동 에이전트가 생성된 플랫폼인 것을 특징으로 하는 접근 제어 방법.
- 제3 항에 있어서,상기 메시지 다이제스트는 상기 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열인 것을 특징으로 하는 접근 제어 방법.
- 제1 항에 있어서,상기 롤 티켓을 발급하는 단계는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급하는 것을 특징으로 하는 접근 제어 방법.
- 제6 항에 있어서,상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
- 제6 항에 있어서,상기 역할 구조 테이블은 상기 역할들 간의 상속 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
- 제6 항에 있어서,상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함하는 것을 특징으로 하는 접근 제어 방법.
- 제2 항에 있어서,상기 무결성 검사는 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것을 특징으로 하는 접근 제어 방법.
- 제6 항에 있어서,상기 서비스에 대한 접근 권한을 확인하는 단계는,서비스 매핑 테이블을 참조하여 상기 서비스에 대한 접근 권한을 확인하는 것이되,상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스에 대한 접근 권한의 사상 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 방법.
- 제11 항에 있어서,상기 접근 권한을 부여하는 단계는,상기 이동 에이전트로 상기 서비스의 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것을 특징으로 하는 접근 제어 방법.
- 홈 네트워크 환경에서 이동 에이전트의 접근 제어 시스템에 있어서,도메인의 게이트웨이로써 도메인에 접근하는 이동 에이전트에 대한 인증 및 롤 티켓의 발급을 수행하는 도메인 관리 서버; 및상기 롤 티켓에 대한 무결성 검사, 상기 이동 에이전트의 접근 권한 확인 및 서비스에 대한 접근 권한을 부여하는 플랫폼을 포함하되,상기 도메인은 하나의 접근 제어 정책을 기반으로 도메인 관리 서버에 의해 관리되는 영역인 것을 특징으로 하는 접근 제어 시스템.
- 제13 항에 있어서,상기 도메인 관리 서버는 상기 이동 에이전트로부터 인증 부호를 전송 받고, 상기인증 부호의 전자 서명을 복호화한 데이터의 무결성을 검증하되,상기 인증 부호는 상기 이동 에이전트의 아이디, 홈 플랫폼의 아이디 및 상기 이동 에이전트에 상응하는 실행 코드의 메시지 다이제스트, 상기 인증 부호의 유효 기간, 전자 서명 및 인증서를 포함하는 것을 특징으로 하는 접근 제어 방법.
- 제14 항에 있어서,상기 이동 에이전트의 아이디는 상기 이동 에이전트가 생성될 때 홈 플랫폼으로부터 부여되는 것을 특징으로 하는 접근 제어 시스템.
- 제15 항에 있어서,상기 메시지 다이제스트는 이동 에이전트의 실행 코드에 대하여 단방향 해시 함수를 적용하여 생성된 비트열인 것을 특징으로 하는 접근 제어 시스템.
- 제16 항에 있어서,상기 도메인 관리 서버는 사용자 매핑 테이블 및 역할 구조 테이블을 참조하여 상기 이동 에이전트에게 발급 가능한 역할들을 확인하고, 상기 역할에 상응하는 상기 롤 티켓을 발급하는 것을 특징으로 하는 접근 제어 시스템.
- 제17 항에 있어서,상기 사용자 매핑 테이블은 사용자의 신원에 기반하여 상기 이동 에이전트에게 발급 가능한 역할들을 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
- 제17 항에 있어서,상기 역할 구조 테이블은 각 상기 역할들 간의 상속 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
- 제19 항에 있어서,상기 롤 티켓은 상기 이동 에이전트의 아이디, 상기 역할의 이름, 상기 롤 티켓의유효 기간 및 전자 서명을 포함하는 것을 특징으로 하는 접근 제어 시스템.
- 제13 항에 있어서,상기 무결성 검사는 상기 롤 티켓에 포함된 상기 전자 서명을 공개키로 복호화한 데이터를 확인하는 것을 특징으로 하는 접근 제어 시스템.
- 제17 항에 있어서,상기 플랫폼은 서비스 매핑 테이블을 참조하여 상기 서비스의 접근 권한을 확인하되,상기 서비스 매핑 테이블은 상기 롤 티켓에 상응하는 상기 역할들과 상기 서비스 에 대한 접근 권한의 사상 관계를 정의한 데이터인 것을 특징으로 하는 접근 제어 시스템.
- 제22 항에 있어서,상기 플랫폼은 상기 접근 권한을 부여하기 위해 상기 이동 에이전트로 상기 서비스의 아이디 및 상기 서비스에 대한 접근 권한 정보를 전송하는 것을 특징으로 하는 접근 제어 시스템.
- 홈 네트워크 환경의 접근 제어 시스템에서 이동 에이전트의 접근 제어 방법을 수행하기 위해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 상기 접근 제어 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서,상기 이동 에이전트를 대상으로 롤 티켓을 발급하는 단계;상기 이동 에이전트가 상기 롤 티켓을 통해 요청한 서비스에 대한 접근 권한을 확인하는 단계; 및상기 이동 에이전트에게 상기 서비스에 대한 접근 권한을 부여하는 단계를 수행하는 프로그램이 기록된 기록매체.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070110536A KR20090044437A (ko) | 2007-10-31 | 2007-10-31 | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 |
US12/032,817 US8656475B2 (en) | 2007-10-31 | 2008-02-18 | Method and system for controlling access for mobile agents in home network environments |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070110536A KR20090044437A (ko) | 2007-10-31 | 2007-10-31 | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090044437A true KR20090044437A (ko) | 2009-05-07 |
Family
ID=40584662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070110536A KR20090044437A (ko) | 2007-10-31 | 2007-10-31 | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8656475B2 (ko) |
KR (1) | KR20090044437A (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011002163A2 (ko) * | 2009-06-30 | 2011-01-06 | 엘지전자 주식회사 | 단말 간 이동 방법 |
KR101601769B1 (ko) | 2014-10-31 | 2016-03-10 | 서강대학교산학협력단 | 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법 |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090044437A (ko) * | 2007-10-31 | 2009-05-07 | 성균관대학교산학협력단 | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 |
US10454674B1 (en) * | 2009-11-16 | 2019-10-22 | Arm Limited | System, method, and device of authenticated encryption of messages |
JP5562143B2 (ja) * | 2010-06-28 | 2014-07-30 | キヤノン株式会社 | 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム |
FR2972830B1 (fr) * | 2011-03-15 | 2014-01-10 | Affiliated Computer Services Solutions France | Systeme de controle de validation de titres de transport |
CN102158554B (zh) * | 2011-04-02 | 2013-11-27 | 南京邮电大学 | 基于移动代理的物联网中间件开发方法 |
US9336238B2 (en) * | 2012-06-16 | 2016-05-10 | Evrio, Inc. | Mobile wireless object recognition and control |
US9325683B2 (en) * | 2012-06-18 | 2016-04-26 | Infosys Limited | Mobile application management framework |
CN104239814B (zh) * | 2014-09-17 | 2017-10-20 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
WO2016172237A1 (en) * | 2015-04-21 | 2016-10-27 | Sequitur Labs, Inc. | System and methods for context-aware and situation-aware secure, policy-based access control for computing devices |
US10218510B2 (en) | 2015-06-01 | 2019-02-26 | Branch Banking And Trust Company | Network-based device authentication system |
CN106209971B (zh) * | 2016-06-17 | 2019-04-26 | 北京汉唐自远技术股份有限公司 | 一种监控终端的控制方法及系统 |
FR3054397B1 (fr) * | 2016-07-22 | 2020-01-17 | Overkiz | Procede de gestion d’incident d’une installation domotique |
FR3054341B1 (fr) | 2016-07-22 | 2020-01-17 | Overkiz | Procede de configuration et de supervision d’une installation domotique |
CN106407842B (zh) * | 2016-09-29 | 2019-06-14 | 恒大智慧科技有限公司 | 一种签核发起用户管理方法和设备 |
GB2561809A (en) * | 2017-01-13 | 2018-10-31 | Kohler Mira Ltd | Bathing control security |
US11483143B2 (en) * | 2019-04-15 | 2022-10-25 | Smart Security Systems, Llc | Enhanced monitoring and protection of enterprise data |
US20220200973A1 (en) * | 2019-04-15 | 2022-06-23 | Bear System, LLC | Blockchain schema for secure data transmission |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6367013B1 (en) * | 1995-01-17 | 2002-04-02 | Eoriginal Inc. | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents |
US6851115B1 (en) * | 1999-01-05 | 2005-02-01 | Sri International | Software-based architecture for communication and cooperation among distributed electronic agents |
US20040199765A1 (en) * | 1999-08-20 | 2004-10-07 | Children's Medical Center Corporation | System and method for providing personal control of access to confidential records over a public network |
GB2354350B (en) * | 1999-09-17 | 2004-03-24 | Mitel Corp | Policy representations and mechanisms for the control of software |
GB2355140B (en) * | 1999-10-05 | 2003-09-03 | Mitel Corp | Security mechanism and architecture for collaborative software systems using tuple space |
US6678733B1 (en) * | 1999-10-26 | 2004-01-13 | At Home Corporation | Method and system for authorizing and authenticating users |
US7630986B1 (en) * | 1999-10-27 | 2009-12-08 | Pinpoint, Incorporated | Secure data interchange |
AU2001261141A1 (en) * | 2000-05-02 | 2001-11-12 | Sun Microsystems, Inc. | Method and system for achieving high availability in a networked computer system |
JP4654497B2 (ja) * | 2000-08-31 | 2011-03-23 | ソニー株式会社 | 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体 |
US7036146B1 (en) * | 2000-10-03 | 2006-04-25 | Sandia Corporation | System and method for secure group transactions |
US7227863B1 (en) * | 2001-11-09 | 2007-06-05 | Cisco Technology, Inc. | Methods and apparatus for implementing home agent redundancy |
US7154868B1 (en) * | 2002-01-08 | 2006-12-26 | Utstarcom, Inc. | Smooth handoff via state exchange in wireless networks |
JP4261818B2 (ja) * | 2002-04-19 | 2009-04-30 | キヤノン株式会社 | 周辺機器管理システム、クライアント装置、サーバ装置、それらの制御方法及び記憶媒体 |
US7437703B2 (en) * | 2002-10-25 | 2008-10-14 | Sap Ag | Enterprise multi-agent software system with services able to call multiple engines and scheduling capability |
US8108455B2 (en) * | 2002-10-31 | 2012-01-31 | Oracle America, Inc. | Mobile agents in peer-to-peer networks |
WO2004084068A1 (en) * | 2003-03-19 | 2004-09-30 | British Telecommunications Public Limited Company | Flexible multi-agent system architecture |
US20040259562A1 (en) * | 2003-04-11 | 2004-12-23 | Lila Madour | Method and packet data service node for correlating a service reference identifier with a requested quality of service |
US20050108575A1 (en) * | 2003-11-18 | 2005-05-19 | Yung Chong M. | Apparatus, system, and method for faciliating authenticated communication between authentication realms |
JP4264339B2 (ja) * | 2003-12-11 | 2009-05-13 | 富士通株式会社 | 連携情報管理装置 |
US20050141706A1 (en) * | 2003-12-31 | 2005-06-30 | Regli William C. | System and method for secure ad hoc mobile communications and applications |
GB0402572D0 (en) * | 2004-02-05 | 2004-03-10 | Nokia Corp | A method of organising servers |
EP1738560A1 (en) * | 2004-04-14 | 2007-01-03 | Nortel Networks Limited | Securing home agent to mobile node communication with ha-mn key |
GB2415580B (en) * | 2004-06-24 | 2006-08-16 | Toshiba Res Europ Ltd | Network node security analysis method |
US7711835B2 (en) * | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US7640593B2 (en) * | 2005-04-21 | 2009-12-29 | Nokia Corporation | User-controlled management of TPM identities |
US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
JP4868906B2 (ja) * | 2006-03-24 | 2012-02-01 | キヤノン株式会社 | 制限情報作成装置及び方法と機能制限付き印刷システム及び印刷認証方法 |
JP2007286908A (ja) * | 2006-04-17 | 2007-11-01 | Canon Inc | 管理システム及びその制御方法、コンピュータプログラム、記憶媒体 |
US20080079539A1 (en) * | 2006-08-15 | 2008-04-03 | Daley Robert C | Friends Finder Service for a Mobile Device in a Network |
JP5011959B2 (ja) * | 2006-11-01 | 2012-08-29 | 富士ゼロックス株式会社 | 認証代行装置、認証代行プログラム、及び認証代行システム |
CN101542983B (zh) * | 2006-11-23 | 2012-12-05 | 艾利森电话股份有限公司 | 移动网络中用于lan仿真的方法和设备 |
JP4845703B2 (ja) * | 2006-12-15 | 2011-12-28 | キヤノン株式会社 | 画像処理装置及びその制御方法、並びにプログラム |
US20080261630A1 (en) * | 2007-04-23 | 2008-10-23 | Research In Motion Limited | Indicating user presence on a messaging network |
KR20090044437A (ko) * | 2007-10-31 | 2009-05-07 | 성균관대학교산학협력단 | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 |
-
2007
- 2007-10-31 KR KR1020070110536A patent/KR20090044437A/ko not_active Application Discontinuation
-
2008
- 2008-02-18 US US12/032,817 patent/US8656475B2/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011002163A2 (ko) * | 2009-06-30 | 2011-01-06 | 엘지전자 주식회사 | 단말 간 이동 방법 |
WO2011002163A3 (ko) * | 2009-06-30 | 2011-03-03 | 엘지전자 주식회사 | 단말 간 이동 방법 |
KR101601769B1 (ko) | 2014-10-31 | 2016-03-10 | 서강대학교산학협력단 | 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법 |
Also Published As
Publication number | Publication date |
---|---|
US20090113538A1 (en) | 2009-04-30 |
US8656475B2 (en) | 2014-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20090044437A (ko) | 홈 네트워크 환경에서 이동 에이전트의 접근 제어 방법 및시스템 | |
KR100765778B1 (ko) | 도메인 관리 방법 및 그 장치 | |
JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
KR101215343B1 (ko) | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법 | |
US8499147B2 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
EP1244263A2 (en) | Access control method | |
JP6810334B2 (ja) | プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム | |
JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
US20070271618A1 (en) | Securing access to a service data object | |
TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
JP2013246655A (ja) | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 | |
KR100656402B1 (ko) | 디지털 콘텐츠를 안전하게 배포하는 방법 및 그 장치 | |
CN102438013A (zh) | 基于硬件的证书分发 | |
CN111316267A (zh) | 使用委托身份的认证 | |
KR100561629B1 (ko) | 보안 정보 통합 관리 시스템 및 그 방법 | |
KR101873991B1 (ko) | IoT 기기들 간의 액세스 권한의 위임 방법 | |
KR20080019362A (ko) | 대체 가능한 지역 도메인 관리 시스템 및 방법 | |
KR102410006B1 (ko) | 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템 | |
CN111181931B (zh) | 一种基于用户终端认证的授权系统及方法 | |
JP5036500B2 (ja) | 属性証明書管理方法及び装置 | |
KR101043215B1 (ko) | 싱글 사인 온 시스템에서의 티켓, 권한 검증 시스템 및방법 | |
JP2008129673A (ja) | ユーザ認証システム、ユーザ認証方法、それに用いるゲートウェイ及びプログラムとその記録媒体 | |
KR100432103B1 (ko) | 인증 및 권한 인가 서비스 시스템 | |
CN115208886A (zh) | 基于did的数据授权方法、系统及介质 | |
KR20150096979A (ko) | 홈 네트워크 접근 제어 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |