KR20090059453A - 다중 접근 개체에 대한 접근제어 방법 및 그 시스템 - Google Patents

다중 접근 개체에 대한 접근제어 방법 및 그 시스템 Download PDF

Info

Publication number
KR20090059453A
KR20090059453A KR1020070126320A KR20070126320A KR20090059453A KR 20090059453 A KR20090059453 A KR 20090059453A KR 1020070126320 A KR1020070126320 A KR 1020070126320A KR 20070126320 A KR20070126320 A KR 20070126320A KR 20090059453 A KR20090059453 A KR 20090059453A
Authority
KR
South Korea
Prior art keywords
access
access control
service
entity
identifier
Prior art date
Application number
KR1020070126320A
Other languages
English (en)
Other versions
KR101003095B1 (ko
Inventor
김건우
한종욱
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070126320A priority Critical patent/KR101003095B1/ko
Priority to US12/209,316 priority patent/US20090150973A1/en
Publication of KR20090059453A publication Critical patent/KR20090059453A/ko
Application granted granted Critical
Publication of KR101003095B1 publication Critical patent/KR101003095B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 다중 접근 개체에 대한 접근제어 방법 및 그 시스템에 관한 것이다. 본 접근제어 방법은, 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보를 생성하고, 다중 접근 개체가 서비스에 접근을 요청하는 경우, 다중 접근 개체의 식별자 목록에 대응하는 통합식별자 정보를 추출한다. 그리고 추출된 통합식별자 정보와, 다중 접근 개체의 서비스 식별자에 기초하여 검색한 접근제어 정책에 따라, 다중 접근 개체에 대한 접근제어를 수행한다. 이에 의해, 다중 접근 개체에 의한 서비스 접근을 효율적으로 제어할 수 있다.
Figure P1020070126320
접근제어, 다중 접근 개체, 접근제어 정책

Description

다중 접근 개체에 대한 접근제어 방법 및 그 시스템{Method for access control on multiple accessing entities and system thereof}
본 발명은 하나 이상의 접근 개체에 대해서 서비스 접근을 효율적으로 제어할 수 있는 다중 접근 개체에 대한 접근제어 방법 및 그 시스템에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-067-02, 과제명: 디바이스 인증 기반의 유비쿼터스 홈네트워크 보안 기술개발].
일반적인 접근제어 시스템의 기반이 되는 접근제어 정책(Access Control Policy)은, 크게 접근을 시도하는 개체와 접근을 허용하는 개체로 구성할 수 있다. 예를 들어, 사용자가 파일 시스템에 접근하고자 하는 경우, 접근을 시도하는 개체는 사용자가 되며, 접근을 허용하는 개체는 파일 시스템이 된다. 이와 같은 경우, 접근을 시도한 사용자에 대한 정책만을 검색하여, 검색된 정책에 따라 파일 시스템에 접근을 거부하거나 혹은 접근을 허용하는 접근제어를 수행하면 된다.
그러나, 홈 네트워크 서비스나 유비쿼터스(ubiquitous) 서비스 등을 포함하는 서비스 환경에서는, 사용자는 물론 사용자가 서비스에 접근할 때 사용하는 기기 등도 접근을 시도하는 개체로서 동시에 인식될 수 있다. 따라서, 사용자와 기기의 조합 등을 하나의 통합된 접근 개체로 인식해서 접근제어에 사용할 수 있다면, 단일 접근 개체만을 고려하는 경우보다 안전하고 다양한 접근제어 정책을 적용할 수 있다.
따라서, 본 발명의 목적은, 다중 접근 개체가 서비스에 접근하는 경우, 다중 접근개체를 하나의 통합된 접근 개체로 취급하여 접근제어를 수행할 수 있는 접근제어 방법 및 그 시스템을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명에 따른 다중 접근 개체에 대한 접근제어 방법은, 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보를 생성하는 단계, 다중 접근 개체가 서비스에 접근을 요청하는 경우, 상기 다중 접근 개체의 식별자 목록에 대응하는 통합식별자 정보를 추출하는 단계, 및 상기 추출된 통합식별자 정보와, 상기 다중 접근 개체의 서비스 식별자에 기초하여 검색한 접근제어 정책에 따라, 상기 다중 접근 개체에 대한 접근제어를 수행하는 단계를 포함한다.
한편, 본 발명에 따른 다중 접근 개체에 대한 접근제어 시스템은, 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보를 저장하는 통합식별자 데이터 베이스, 및 다중 접근 개체가 서비스에 접근을 요청시, 상기 다중 접근 개체의 식별자 목록에 대응하여 상기 통합식별자 데이터베이스로부터 추출한 통합식별자 정보와, 상기 다중 접근 개체의 서비스 식별자에 기초하여 검색된 접근제어 정책에 따라, 상기 다중 접근 개체에 대한 접근제어를 수행하는 접근 제어부를 포함한다.
상기 목적을 달성하기 위하여 본 발명에서는, 상기 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명에 따르면, 다중의 접근 개체가 서비스 접근에 접근하는 경우, 다중 접근개체의 통합식별자 정보를 이용하여 다중 접근 개체를 통합된 하나의 접근 개체로 취급하여 보다 효율적으로 접근제어를 수행할 수 있다. 따라서, 유비쿼터스 컴퓨팅 환경이나 홈 네트워크 서비스 환경 등에서 서비스 자원을 보다 안전하고 효율적으로 보호할 수 있다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 접근제어 방법이 적용되는 시스템의 일 예를 나타낸 것이다. 도 1을 참조하면, 본 시스템은 서비스에 접근 가능한 복수의 접근 개체(100a 내지 100n)를 포함하는 다중 접근 개체(100), 접근 제어부(200), 통합식별자 데이터베이스(300), 및 서비스 제공부(400)를 포함한다.
다중 접근 개체(100)는 기존 서비스 제공 구조에서 가능한 모든 접근 개체를 포함할 수 있다. 예를 들어, 홈 네트워크 시스템에서는 사용자는 물론 사용자가 홈 네트워크 서비스에 접근할 때 사용하는 홈 기기 등을 포함할 수 있다.
접근 제어부(200)는, 다중 접근 개체(100)가 서비스에 접근하면, 해당 다중 접근 개체(200)에 대한 통합식별자 정보를 통합식별자 데이터베이스(300)에서 검색하여 추출한다. 그리고, 추출한 통합식별자 정보와 다중 접근 개체의 서비스 식별자를 기반으로 설정된 접근제어 정책을 검색해서, 다중 접근 개체(200)가 서비스 제공부(400)에 접근하는 것을 허용하거나, 혹은 접근을 허용하지 않도록 접근제어 를 수행한다.
통합식별자 데이터베이스(210)에는 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보가, 각 식별자 조합에 매핑되어 저장된다. 그리고, 서비스 제공자(400)는 접근 제어부(200)에 의해 접근이 허용된 다중 접근 개체(100)에 대하여 특정 서비스를 제공한다.
도 2는 도 1에서 통합식별자 데이터베이스(300)의 구성의 일 예를 나타낸 도면이다. 도 2를 참조하면, 통합식별자 데이터베이스(300)는 서비스에 접근 가능한 객체의 조합(310)과 이에 대응하는 통합 식별자 정보(320)가 매핑되어 저장된다. 예를 들어, 접근 개체 1의 '식별자 1'과 접근 개체 2의 '식별자 2'의 조합은 통합식별자인 '식별자 a'에 매핑된다. 또한, 접근 개체 1의 '식별자 1'과 접근 개체 3의 '식별자 3'의 조합은 통합식별자인 '식별자 b'에 매핑된다.
이와 같이, 접근 개체 식별자 조합(310)에 대응하는 통합식별자 정보(320)는 서비스 관리자 등이 정의하거나, 특정 식별자 생성 방식을 사용 정의될 수 있다.
도 3은 본 발명의 일실시예에 따른 접근제어 방법의 설명에 제공되는 신호 흐름도이다. 도 3을 참조하면, 통합식별자 데이터베이스(300)에는 접근 가능한 객체의 조합에 대응하는 통합식별자 정보가 생성되어 저장된다(S500). 접근 제어부(200)는 통합식별자 데이터베이스(300)에서 생성한 통합식별자 정보를 전달받아, 각 통합식별자 정보에 대응하는 접근제어 정책을 설정한다(S510). 이 경우, 설정되는 접근제어 정책에는 다중 접근 개체에 대한 접근정책 외에 단일 접근 개체에 대한 접근정책도 포함된다.
이와 같은 상태에서, 다중 접근 개체(100)가 접근 개체의 식별자 목록과 서비스 식별자를 포함하는 메시지 등을 사용해서 서비스에 접근을 요청하는 경우(S520), 접근 제어부(200)은 수신한 접근개체 식별자 목록에 대응하는 통합식별자 정보를 통합식별자 데이터베이스(300)로부터 검색하여 추출한다(S530, S535).
접근 제어부(200)는 추출된 통합식별자 정보와 다중 접근개체의 서비스 식별자 등에 기초하여, 설정된 접근제어 정책을 검색하여(S540), 검색된 접근제어 정책에 따라 다중 접근개체(100)의 서비스 접근을 거부하거나(S545), 혹은 접근을 허용하는 접근 제어를 수행한다(S550).
이와 같은 과정에 의해, 통합식별자 정보를 이용하여 다중 접근개체를 하나의 객체로 취급하여 효율적으로 접근제어를 수행할 수 있다.
한편, 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
도 1은 본 발명의 일실시예에 따른 접근제어 방법이 적용되는 시스템,
도 2는 도 1의 통합식별자 데이터베이스의 구성의 일 예를 나타낸 도면, 그리고
도 3은 본 발명의 일실시예에 따른 접근제어 방법의 설명에 제공되는 신호 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
100: 다중 접근개체 200 : 접근 제어부
300: 통합식별자 데이터베이스 400 : 서비스 제공부

Claims (11)

  1. 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보를 생성하는 단계;
    다중 접근 개체가 서비스에 접근을 요청하는 경우, 상기 다중 접근 개체의 식별자 목록에 대응하는 통합식별자 정보를 추출하는 단계; 및
    상기 추출된 통합식별자 정보와, 상기 다중 접근 개체의 서비스 식별자에 기초하여 검색한 접근제어 정책에 따라, 상기 다중 접근 개체에 대한 접근제어를 수행하는 단계;를 포함하는 것을 특징으로 하는 접근제어 방법.
  2. 제1항에 있어서,
    상기 접근제어 정책은, 상기 생성한 통합식별자 정보에 대응하여 설정되는 것을 특징으로 하는 접근제어 방법.
  3. 제1항에 있어서,
    상기 접근제어를 수행하는 단계에서, 상기 검색한 접근제어 정책이 상기 다중 접근 개체의 접근을 허용시, 상기 다중 접근 개체가 상기 서비스에 접근하도록 제어하는 것을 특징으로 하는 접근제어 방법.
  4. 제1항에 있어서,
    상기 접근제어를 수행하는 단계에서, 상기 검색한 접근제어 정책이 상기 다중 접근 개체의 접근을 불허용시, 상기 다중 접근 개체가 상기 서비스에 접근하지 못하도록 제어하는 것을 특징으로 하는 접근제어 방법.
  5. 제1항에 있어서,
    상기 접근제어 정책은, 접근 가능한 단일 개체에 대한 접근제어 정책을 포함하는 것을 특징으로 하는 접근제어 방법.
  6. 제1항에 있어서,
    상기 다중 접근 개체는, 상기 다중 접근 개체의 식별자 목록과 상기 서비스 식별자를 포함하는 메시지를 통해 상기 서비스에 대한 접속을 요청하는 것을 특징으로 하는 접근제어 방법.
  7. 접근 가능한 개체의 식별자 조합에 대응하는 통합식별자 정보를 저장하는 통합식별자 데이터베이스; 및
    다중 접근 개체가 서비스에 접근을 요청시, 상기 다중 접근 개체의 식별자 목록에 대응하여 상기 통합식별자 데이터베이스로부터 추출한 통합식별자 정보와, 상기 다중 접근개체의 서비스 식별자에 기초하여 검색된 접근제어 정책에 따라, 상기 다중 접근개체에 대한 접근제어를 수행하는 접근 제어부;를 포함하는 것을 특징으로 하는 접근제어 시스템.
  8. 제7항에 있어서,
    상기 접근 제어부는, 상기 생성한 통합식별자 정보에 대응하여 상기 접근제어 정책을 설정하는 것을 특징으로 하는 접근제어 시스템.
  9. 제7항에 있어서,
    상기 접근개체에 대한 접근이 허용된 경우, 상기 다중 접근개체에 소정 서비스를 제공하는 서비스 제공부;를 더 포함하는 것을 특징으로 하는 접근제어 시스템.
  10. 제7항에 있어서,
    상기 접근 제어부는, 상기 검색한 접근제어 정책이 상기 다중 접근개체의 접근을 허용시, 상기 다중 접근개체가 상기 서비스에 접근하도록 제어하는 것을 특징으로 하는 접근제어 시스템.
  11. 제7항에 있어서,
    상기 접근 제어부는, 상기 검색한 접근제어 정책이 상기 다중 접근개체의 접근을 불허용시, 상기 다중 접근개체가 상기 서비스에 접근하지 못하도록 제어하는 것을 특징으로 하는 접근제어 시스템.
KR1020070126320A 2007-12-06 2007-12-06 다중 접근 개체에 대한 접근제어 방법 및 그 시스템 KR101003095B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070126320A KR101003095B1 (ko) 2007-12-06 2007-12-06 다중 접근 개체에 대한 접근제어 방법 및 그 시스템
US12/209,316 US20090150973A1 (en) 2007-12-06 2008-09-12 Access control method and system for multiple accessing entities

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070126320A KR101003095B1 (ko) 2007-12-06 2007-12-06 다중 접근 개체에 대한 접근제어 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20090059453A true KR20090059453A (ko) 2009-06-11
KR101003095B1 KR101003095B1 (ko) 2010-12-22

Family

ID=40723087

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070126320A KR101003095B1 (ko) 2007-12-06 2007-12-06 다중 접근 개체에 대한 접근제어 방법 및 그 시스템

Country Status (2)

Country Link
US (1) US20090150973A1 (ko)
KR (1) KR101003095B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
KR101979915B1 (ko) * 2018-08-29 2019-05-21 주식회사 피앤피시큐어 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9122741B1 (en) 2012-08-08 2015-09-01 Amazon Technologies, Inc. Systems and methods for reducing database index contention and generating unique database identifiers
US9256659B1 (en) * 2012-08-08 2016-02-09 Amazon Technologies, Inc. Systems and methods for generating database identifiers based on database characteristics
KR102239055B1 (ko) 2014-04-04 2021-04-12 삼성전자주식회사 근접한 복수의 이동 단말들에게 맞춤형 서비스를 제공하는 개인 맞춤형 장치의 동작 방법, 개인 맞춤형 장치 및 이동 단말
US10326768B2 (en) 2015-05-28 2019-06-18 Google Llc Access control for enterprise knowledge

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7334255B2 (en) * 2002-09-30 2008-02-19 Authenex, Inc. System and method for controlling access to multiple public networks and for controlling access to multiple private networks
JP2007172280A (ja) * 2005-12-21 2007-07-05 Fuji Xerox Co Ltd アクセス権管理方法、装置及びプログラム
US7971232B2 (en) * 2006-10-30 2011-06-28 Microsoft Corporation Setting group policy by device ownership

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101401794B1 (ko) * 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
KR101979915B1 (ko) * 2018-08-29 2019-05-21 주식회사 피앤피시큐어 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템

Also Published As

Publication number Publication date
KR101003095B1 (ko) 2010-12-22
US20090150973A1 (en) 2009-06-11

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
US10652235B1 (en) Assigning policies for accessing multiple computing resource services
US5604490A (en) Method and system for providing a user access to multiple secured subsystems
US7877469B2 (en) Authentication and authorization for simple network management protocol (SNMP)
KR100944724B1 (ko) Ip 주소를 이용한 사용자 인증 시스템 및 그 방법
Patwardhan et al. Enforcing policies in pervasive environments
US20030200436A1 (en) Access control method using token having security attributes in computer system
US10409965B2 (en) Hybrid digital rights management system and related document access authorization method
US20110167479A1 (en) Enforcement of policies on context-based authorization
US20120131646A1 (en) Role-based access control limited by application and hostname
KR101003095B1 (ko) 다중 접근 개체에 대한 접근제어 방법 및 그 시스템
JP2000047924A (ja) 管理オブジェクトへのユーザアクセス権に対応するアクセス権を特定する許諾表を用いて管理オブジェクト情報へのデータベースアクセスを限定する装置及び方法
CN109033857B (zh) 一种访问数据的方法、装置、设备及可读存储介质
US20080244711A1 (en) System and Method for Specifying Access to Resources in a Mobile Code System
US6988280B2 (en) System and method for enhancing authorization request in a computing device
EP3185507B1 (en) Access control method and apparatus
CN111181975A (zh) 一种账号管理方法、装置、设备及存储介质
CN109756446A (zh) 一种车载设备的访问方法和系统
US11757877B1 (en) Decentralized application authentication
CN112738100A (zh) 数据访问的鉴权方法、装置、鉴权设备和鉴权系统
RU2546585C2 (ru) Система и способ предоставления прав доступа приложениям к файлам компьютера
US9514290B2 (en) Authorization cache
Abdul et al. Enhancing Security of Mobile Cloud Computing by Trust‐and Role‐Based Access Control
CN116415217A (zh) 基于零信任架构的即时授权系统
US8909799B2 (en) File system firewall

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 17