KR20120028139A - 역할 기반 접근 제어 시스템 및 방법 - Google Patents
역할 기반 접근 제어 시스템 및 방법 Download PDFInfo
- Publication number
- KR20120028139A KR20120028139A KR1020100090171A KR20100090171A KR20120028139A KR 20120028139 A KR20120028139 A KR 20120028139A KR 1020100090171 A KR1020100090171 A KR 1020100090171A KR 20100090171 A KR20100090171 A KR 20100090171A KR 20120028139 A KR20120028139 A KR 20120028139A
- Authority
- KR
- South Korea
- Prior art keywords
- role
- user
- database
- service
- request
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0637—Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- General Engineering & Computer Science (AREA)
- Game Theory and Decision Science (AREA)
- Software Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
역할 기반 접근 제어 시스템은 지식 기반의 규칙을 적용하여 사용자에게 할당되는 역할을 지능적이고 동적으로 변경함으로써 서비스에 대한 사용자의 신뢰성을 확보할 수 있고, 서비스의 제공 및 사용의 유연성과 효율성을 증대시킬 수 있다.
Description
본 발명은 역할 기반 접근 제어방법 및 시스템에 관한 것으로서, 특히 클라우드 컴퓨팅 환경에 적합한 역할 기반의 지능적인 접근 제어방법 및 시스템에 관한 것이다.
본 발명은 지식경제부(ETRI 부설연구소)의 연구과제를 수행한 연구로부터 도출된 것이다.
클라우드 컴퓨팅은 향후 미래에 적합한 컴퓨터 환경으로 각광받는 새로운 패러다임이다. 현재 국외에서는 인프라 서비스 및 웹 서비스, 소프트웨어로 상용화된 클라우드 컴퓨팅 서비스가 제공되고 있으며 광범위하게 사용되고 있다. 국내에서도 클라우드 컴퓨팅 서비스를 위한 기술이 개발되고 서비스가 이용되고 있으며 급속도로 확장될 것으로 예상하고 있다.
클라우드 컴퓨팅 환경은 데이터가 공유되는 환경이기 때문에 보안이 필수적으로 보장되어야 한다. 즉, 보안이 보장되어야 서비스 제공의 확장이 가능하다. 특히 가상화 환경에서의 접근제어 관리, 데이터 암호화, 분산관리와 가용성 및 무결성 등의 보안 사항이 요구된다. 여러 기관에서는 클라우드 컴퓨팅 환경의 보안에 대한 지침을 발표하고 있다.
클라우드 서비스의 큰 장점은 사용자가 불필요한 수고 없이 언제 어디서나 원하는 서비스를 이용할 수 있다는 것이다. 그러므로 클라우드 서비스는 유연하고 가변적인 서비스이어야 한다. 즉, 하나의 서비스를 새로 요구하는 것이 아니라 서비스의 확장을 요구한다.
그러나, 이러한 동적인 서비스 요구를 관리하기 위해 사용자가 역할 변경을 요구할 때마다 새로운 역할을 재 할당하고 새로운 계약을 맺어야 한다면, 불필요한 수고가 계속해서 발생할 것이다.
따라서, 사용자가 역할 변경을 요구하거나, 또는 사용자가 서비스 사업자의 변경을 요구하는 경우 역할의 재할당이나 새로운 계약 없이 사용자의 서비스 형태를 유지한 채로 변경하기 위한 모델이 필요하다.
본 발명이 이루고자 하는 기술적 과제는 클라우드 컴퓨팅 환경에서 지식 기반의 규칙을 적용하여 역할을 자동으로 변경함으로써 데이터의 안정성 및 신뢰성을 확보할 수 있는 역할 기반 접근 제어 시스템 및 그 제어방법을 제공하는 것이다.
상기한 기술적 과제를 해결하기 위하여 본 발명의 실시예에 따른 역할 기반 접근 제어 시스템은,
사용자에게 할당되는 역할이 저장된 역할 데이터베이스;
상기 사용자에게 할당된 역할의 변경, 역할의 철회에 관한 규칙이 저장된 규칙 데이터베이스;
상기 역할 데이터베이스를 참조하여 상기 사용자에게 역할을 할당하고 권한을 부여하며, 상기 사용자의 요청에 의해 상기 규칙 데이터베이스를 참조하여 상기 역할을 변경 및 철회하는 역할 관리자; 및
상기 역할 관리자로부터 상기 역할 할당, 상기 역할 변경, 상기 역할 철회에 관한 정보를 입력받고 상기 역할 데이터베이스 및 상기 규칙 데이터베이스를 참조하여 상기 사용자에게 역할에 따른 태스크 권한을 부여하는 태스크 관리자를 포함한다.
상기 역할 데이터베이스는
상기 사용자를 식별하거나 유추하여 알 수 있도록 하는 정보를 포함하는 개인식별정보(PII)를 기반으로 하여 형성되는 사용자 역할 리스트;
상기 사용자에게 제공할 서비스를 포함하는 클라우드 서비스 역할 리스트를 포함할 수 있다.
상기 클라우드 서비스 역할은
네트워크 대역폭(bandwidth), 컴퓨팅 파워(computing power), 메모리(Memory), 저장공간(storage), 배포타입(Distribution), 에디션(edition), 버전(version), 또는 서비스 타입(Type) 중 적어도 하나를 포함할 수 있다.
상기 네트워크 대역폭(network bandwidth), 상기 컴퓨팅 파워(computing power), 메모리(Memory) 또는 상기 저장 공간(storage)은
상기 사용자에게 제공되는 자원의 양;
상기 자원을 이용할 수 있는 유효 기간 중 적어도 하나를 상세 속성으로 포함할 수 있다.
상기 규칙 데이터베이스는
상기 사용자의 요청에 의해 상기 사용자의 클라우드 서비스 역할이 변경될 수 있는지를 결정하는 역할 변경 규칙을 포함할 수 있다.
상기 역할 변경 규칙은
상기 사용자의 재정에 따라 상기 역할 변경이 가능한 범위를 제한하는 예산에 의한 제한을 포함할 수 있다.
본 발명의 실시예에 따른 역할 기반 접근 시스템의 제어 방법은,
사용자의 서비스 자원 사용 요구에 응답하여 상기 사용자에게 역할을 할당하고 권한을 부여하는 단계;
상기 사용자에게 상기 역할에 따른 태스크 권한을 부여하는 단계;
상기 사용자의 요청이 있을 경우, 역할 변경 규칙에 따라 상기 역할을 변경 및 철회하는 단계;
상기 사용자에게 변경된 역할을 할당하고 권한을 부여하는 단계; 및
상기 사용자에게 상기 변경된 역할에 따른 태스크 권한을 부여하는 단계를 포함한다.
상기 사용자에게 할당하는 역할은
사용자 역할, 클라우드 서비스 역할을 포함할 수 있다.
상기 사용자의 요청이 있을 경우 역할 변경 규칙에 따라 상기 역할을 변경 및 철회하는 단계는
상기 사용자가, 할당된 클라우드 서비스 역할에서 사용할 수 있는 클라우드 자원 이상의 자원을 요청하는 경우,
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하지 않는지 확인하는 단계를 포함할 수 있다.
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하지 않는 경우 상기 사용자의 역할 변경 요청을 승인하며,
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하는 경우 상기 사용자의 역할 변경 요청을 거부할 수 있다.
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하여 상기 사용자의 역할 변경 요청이 거부되는 경우,
상기 사용자의 역할 변경 요청을 상기 예산 범위를 상승시켜달라는 요청으로 판단할 수 있다.
본 발명의 실시예에 따른 역할 기반 접근 제어 시스템에 의하면,
사업자가 제공하는 서비스에 대한 사용자의 신뢰성을 확보할 수 있고, 사용자의 역할을 지능적이고 동적으로 변화하도록 함으로써 클라우드 컴퓨팅을 이용하는 모든 서비스에 적용할 수 있으며, 서비스의 제공 및 사용의 유연성과 효율성을 증대시킬 수 있다.
클라우드 사업자 또는 관리자는 사용자를 중앙 관리할 수 있어 일괄적인 통제를 할 수 있고, 클라우드 환경에서 발생할 수 있는 각 서비스에 따른 역할을 통합 관리함으로써 불필요한 역할 할당 및 관리를 감소시켜 역할관리의 효용성을 증가시킬 수 있으며, 사용량을 기반으로 역할을 제공함으로써 서비스 사용에 대한 과금이 용이해질 수 있다.
또한, 체계적이고 상세한 역할 기반 접근제어 모델을 제공함으로써 세밀한 역할 할당과 권한 관리가 가능하여 클라우드 환경에서 발생할 수 있는 예외상황이 발생했을 때에 그로 인한 위험을 감소시킬 수 있다.
도 1a 및 도 1b는 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 기반 접근 시스템의 기본 개념 및 사용자의 타입 별 역할 할당을 설명하는 블록도이다.
도 2는 본 발명의 실시예에 따른 역할 기반 접근 시스템을 설명하는 블록도이다.
도 3은 도 2의 역할 기반 접근 시스템의 역할 데이터베이스 테이블을 설명하는 블록도이다.
도 4a는 도 3의 역할 데이터 베이스 테이블의 서비스 형태에 따른 클라우드 서비스 역할의 구성을 설명하는 도면이다.
도 4b는 도 4a의 클라우드 서비스 역할의 상태 변화를 설명하는 도면이다.
도 5는 도 2의 역할 기반 접근 시스템의 규칙 데이터베이스에 저장된 규칙을 설명하는 표이다.
도 6은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 할당을 설명하는 흐름도이다.
도 7은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 변경을 설명하는 흐름도이다.
도 8은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법을 적용한 시나리오를 설명하는 블록도이다.
도 2는 본 발명의 실시예에 따른 역할 기반 접근 시스템을 설명하는 블록도이다.
도 3은 도 2의 역할 기반 접근 시스템의 역할 데이터베이스 테이블을 설명하는 블록도이다.
도 4a는 도 3의 역할 데이터 베이스 테이블의 서비스 형태에 따른 클라우드 서비스 역할의 구성을 설명하는 도면이다.
도 4b는 도 4a의 클라우드 서비스 역할의 상태 변화를 설명하는 도면이다.
도 5는 도 2의 역할 기반 접근 시스템의 규칙 데이터베이스에 저장된 규칙을 설명하는 표이다.
도 6은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 할당을 설명하는 흐름도이다.
도 7은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 변경을 설명하는 흐름도이다.
도 8은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법을 적용한 시나리오를 설명하는 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
클라우드 컴퓨팅 환경은 종점(endpoint)이 가장 취약하기 때문에 데이터를 사용하는 주체를 원천적으로 제어하기 위해서는 사용자의 시스템 접근을 제어하는 것이 필요하다. 본 발명에서는 클라우드 컴퓨팅 환경에서 보안이 유지되는 접근제어를 위해 NIST의 역할 기반 접근 제어 방식(RBAC)을 사용하였다. 역할 기반 접근 제어 방식은 많은 량의 다양한 서비스 및 사용자를 관리하기 용이하며, 보안 정책 적용에 유연하다. 그러므로 다량의 IT자원을 보유하고 다양한 서비스와 사용자를 제어해야 하는 클라우드 컴퓨팅 환경에 적합하며, 사업자에 따라 독립적인 보안 정책의 적용이 가능하여 하나의 사업자에 종속되지 않는 개별적인 보안관리가 가능하게 한다. 게다가 역할 기반 접근 제어 방식의 적용은 독립적이고 동적인 도메인을 관리하는 것을 가능하게 한다. 또한, 통합된 자원을 보유하는 클라우드 컴퓨팅 환경에서 명확하고 상세하게 정의된 역할은 개별적으로 영역을 할당하고 영역에 대한 접근 보안성을 보장하는 것을 가능하게 한다.
한편, 지식 기반의 규칙 정립으로 인해 특정 정책에 의해 실현되어야 하는 접근제어의 프로세스를 정형화하고 체계적으로 처리할 수 있으며, 시스템의 변화나 정책의 변동에 따라 규칙을 추가, 수정 및 삭제 할 수 있는 유연성과 확장성을 갖는다. 그러므로 기존 메커니즘에 지식기반의 규칙을 추가함으로써 자동화된 대처능력이 주어져, 모델에 숨겨진 암묵적 엔지니어링 지식이 규칙을 통해 쉽게 이해되고 이를 이용해 바르고 효율적인 설계 변경이 가능해진다. 사업자는 자원을 효율적으로 관리하고 서비스를 유연하게 제공할 수 있으며, 처리계층이 간소화되고 시스템과 정책의 변화에 대처 가능하다. 또한, 사용자는 새로운 역할을 할당 받아야 할 시간과 최적화된 역할 할당으로 인한 지불 비용이 감소될 것이다.
도 1a 및 도 1b는 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 기반 접근 시스템의 기본 개념 및 사용자의 타입 별 역할 할당을 설명하는 블록도이다.
도 1a 및 도 1b를 참조하면, 역할 기반 접근 제어(Role Based Access Control, RBAC)는 주체(subject)가 "역할(role)"을 할당 받고 역할을 기반으로 "객체(object)"의 접근에 대해 "허가(permission)"받는다.
주체는 사용자를 대신하는 것으로, 역할은 사용자가 특정 시스템에 접근하여 특정 태스크(Task)를 수행하기 위해 할당 받는 매개체이다. 객체는 클라우드 컴퓨팅 환경에서 제공하는 모든 서비스이며, 태스크는 사용자가 서비스를 수행할 수 있는 워크 유닛(work unit)이다.
클라우드 컴퓨팅의 IT자원(110)은 서비스 형태로 다양한 사용자에게 제공된다. 사용자는 서비스 사용 목적에 따라 일반사용자(personal user)(120), 기업사용자(enterprise user)(130), 및 관리사용자(administrative user)로 분류된다. 역할은 클라우드 서비스 역할(cloud service role), 사용자 역할(user role), 관리 역할(administrative role)로 분류된다.
클라우드 서비스 역할은 사업자가 다량의 다양한 서비스를 체계적으로 제공하고 효율적이며 보안적으로 관리하기 위한 역할이다. 클라우드 서비스 역할은 사업자들이 제공하는 클라우드 컴퓨팅 서비스의 모델을 역할 단위로 정의하여 사용자에게 분배된다.
사용자 역할은 PII(Personally identifiable information)를 기반으로 결정된다.
사용자 역할은 각각의 사업자가 개별적으로 관리하며, 서비스는 동일한 형태로 제공되지만, 사업자는 보안정책에 간섭할 수 없으며 사용자 역할의 정의에 따른 권한 설정도 관여할 수 없다. 정보 관리의 집약으로 특정 사업자들의 권한이 상승하는 것을 방지 하기 위한 것으로 하나의 사업자가 사용자의 역할을 통합하여 집약적으로 관리할 수 없게 한다.
관리역할은 역할을 관리하는 역할이다. 이 역할은 각각의 사업자나 회사가 정의한 정책에 따라 특정 범위에 속하는 역할을 관리한다. 관리자가 관리하는 역할의 범위는 특정 회사의 정책에 따라 달라진다.
일반사용자(120)는 서비스를 제공받고 사용하는 개인으로 클라우드 서비스 역할과 사용자 역할을 할당 받는다. 기업사용자(130)는 사업자와의 계약을 통해 클라우드 서비스 역할 세트를 할당 받아 일반사용자(120)에게 할당하고 할당된 역할을 관리하는 가상 사용자이다. 관리 사용자는 관리 역할을 가지며 사용자 역할을 관리한다.
역할 기반 접근 제어 시스템은 역할에 권한을 부여하는 허가-역할 관계, 역할과 역할의 상속 및 상호 간에 자동 역할 변경을 하는 역할-역할 관계, 사용자와 역할의 할당관계인 사용자-역할 관계를 포함한다. 허가-역할 관계와 역할-역할 관계는 클라우드 컴퓨팅 환경만의 특정 제한(Constraints)이 존재하고 관계의 변화는 규칙(rule)을 따른다.
사용자가 할당받은 클라우드 서비스 역할은 4가지의 상태를 가진다. 벤더(Vendor)가 클라우드 서비스 역할을 생성한 후, 사용자에게 할당된 역할의 할당(Assignment)상태, 할당된 역할이 허가된 권한 부여(Authorization)상태, 허가된 역할이 제약에 의해 작업이 제한되는 제한(Restriction)상태, 역할의 허가가 폐기되는 철회(Revocation)상태가 있다.
여기서 역할 변경이 필요한 서비스 요구 입력이 발생하면, 시스템은 규칙 세트(Rule set)의 역할 변경 규칙에 따라 새로운 역할을 할당하고, 역할을 허가하며, 허가를 폐기하는 상태를 반복한다.
다음은 사용자가 역할을 할당받고, 허가된 역할이 수행하고자 하는 태스크 권한을 부여(Authorization)받는 과정을 설명한다. 클라우드 컴퓨팅 환경에서는 이 과정에 사용자의 요구로 인해 새로운 역할 할당이 이루어지는 역할 변경을 포함하며, 역할 변경의 제한 요소인 사용자의 예산 범위의 확인 과정을 내포하고 있다. 역할 변경이 승인되면 사용자는 새로운 역할을 할당 받고 작업 수행을 허가받는 과정을 따른다.
도 2는 본 발명의 실시예에 따른 역할 기반 접근 시스템을 설명하는 블록도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 역할 기반 접근 시스템(200)은 역할 관리자(210), 태스크 관리자(220), 역할 데이터베이스(230), 및 규칙 데이터베이스(240)를 포함한다.
역할 데이터베이스(230)에는 사용자(120)에게 할당되는 역할이 저장되어 있다.
규칙 데이터베이스(240)에는 사용자(120)에게 할당된 역할을 변경하고, 역할이 변경될 경우 기존 역할을 철회하는 것에 관한 규칙이 저장되어 있다.
역할 관리자(210)는 역할 데이터베이스(230)를 참조하여 사용자(120)에게 역할을 할당하고 권한을 부여한다. 사용자(120)의 초과 자원 요청 또는 자원 미사용으로 인한 자원 감축 요청이 있을 경우에는 규칙 데이터베이스(240)를 참조하여 역할을 변경하고, 사용자(120)의 역할을 변경할 경우 기존 역할을 철회한다. 상세하게는, 규칙 데이터베이스(240)에 저장된 규칙에 따라 사용자(120)의 역할을 변경할 지 여부를 결정한다.
태스크 관리자(220)는 역할 관리자(210)로부터 역할 할당, 역할 변경, 및 역할 철회에 관한 정보를 입력 받고 역할 데이터베이스(230) 및 규칙 데이터베이스(240)를 참조하여 사용자(120)에게 역할에 따른 태스크(작업 수행) 권한을 부여한다. 즉, 역할 관리자(210)로부터 사용자(120)에게 할당된 역할에 관한 정보를 입력 받고 역할 데이터베이스(230)를 참조하여 그 역할에 따른 작업 수행 권한을 부여한다. 또한, 사용자(120)의 초과 자원 요청에 대해 역할 관리자(210)가 규칙 데이터베이스(240)를 참조하여 사용자(120)의 역할을 변경하고 기존 역할을 철회한 경우, 사용자(120)의 역할 변경 및 기존 역할 철회에 대한 정보를 역할 관리자(210)로부터 입력 받고 사용자(120)에게 변경된 역할에 따른 작업 수행 권한을 부여한다.
도 3은 도 2의 역할 기반 접근 시스템의 역할 데이터베이스 테이블을 설명하는 블록도이다.
도 3을 참조하면, 사용자 역할 데이터베이스(230)는 사용자 역할(310), 클라우드 서비스 역할(320)에 관한 정보를 저장하고 있다. 즉, 사용자 역할 정보, 사용자의 클라우드 서비스 역할 정보가 통합되어 사용자 정보(300)로서 저장될 수 있다.
사용자 역할 정보(310)는 사용자를 식별하거나 유추하여 알 수 있도록 하는 정보 즉, 개인 식별 정보(PII)(315)를 기반으로 하여 형성된다.
사용자 역할 정보(310)는 사용자 역할 이름(User role name), 개인 사용자 아이디(PII_user ID), 태스크 정보 등을 포함할 수 있다.
사용자의 클라우드 서비스 역할 정보(320)는 사용자에게 제공될 서비스에 관한 정보로서, 클라우드 서비스 역할 이름(Cloud service role name)과 클라우드 서비스 타입(Cloud service type)을 포함한다.
상세하게는, 네트워크 대역폭(network bandwidth), 컴퓨팅 파워(computing power), 저장공간(storage), 유효기간(Time) 등을 포함한다.
사용자는 다중 역할을 보유 할 수 있기 때문에 역할 리스트(Role list)를 가질 수 있다.
이하에 클라우드 서비스 역할(320)의 세부 타입 및 상세 속성에 대해서 설명하기로 한다.
도 4a는 도 3의 역할 데이터 베이스 테이블의 서비스 형태에 따른 클라우드 서비스 역할의 구성을 설명하는 도면이고, 도 4b는 도 4a의 클라우드 서비스 역할의 상태 변화를 설명하는 도면이다.
도 4a를 참조하면, 클라우드 서비스 역할은 서비스의 형태에 따라 IaaS(Infrastructure as a Service), PaaS(Platform as a Service), SaaS(Software as a Service)로 구분된다.
IaaS는 시스템의 자원을 제공하는 서비스이고, PaaS는 개발 가능한 시스템 자원과 플랫폼을 제공하는 서비스이다. SaaS는 소프트웨어와 어플리케이션을 제공하는 서비스이다.
IaaS에서는 인프라(Infrasturcture)와 네트워크 대역폭(Bandwidth), 메모리와 CPU를 결정하는 컴퓨팅 파워(Computing power)와 메모리(Memory), 저장 공간(Storage), 유효기간(Time)에 따라 서비스 모델이 결정된다.
PaaS에서는 여기에 SaaS의 모델이 추가되어 제공된다.
SaaS는 저장 공간(Storage)과 유효기간(Time), 라이선스 수(The number of client access), 배포(distribution), 에디션(Edition), 버전(Version), 타입(Type)으로 구성된다.
이하에, 클라우드 서비스 역할의 시간의 상세 속성에 대해 좀 더 자세히 설명하기로 한다.
*유효 기간(Time): 서비스를 이용 가능한 유효기간에 따라 유효(valid)나 무효(expiration) 상태를 가진다. 이 속성은 다른 속성과 달리 시간의 흐름의 입력 값이 있다. 그러므로 사용자의 요구가 없이도 상태 값은 변한다. 계약 시 상태 값은 유효(valid)이지만, 시간의 흐름으로 무효(expiration)가 된다. 사용자의 요청에 의해 유효 확장(extension) 상태로 변경 가능하다. 요청이 없다면 무효(expiration) 상태를 가진 역할로 유지되며 서비스를 사용할 수 없게 된다.
도 4b를 참조하면, 상기한 클라우드 서비스 역할의 세부 속성들은 그 상태가 변화될 수 있다. 클라우드 서비스 역할의 세부 속성들의 상태 변화는 곧 클라우드 서비스 역할의 변경을 의미한다.
계약 시에 또는 계약 중간에 사용자의 요청에 따라 클라우드 서비스 역할의 세부 속성들은 변경될 수 있다.
도 5는 도 2의 역할 기반 접근 시스템의 규칙 데이터베이스에 저장된 규칙을 설명하는 표이다.
도 5를 참조하면, 규칙 데이터베이스는 역할 변경 규칙(Intelligent provisioning rules)을 포함한다(도 5에 설명된 자원 관리 규칙은 역할 변경 규칙 내에서 설명한다).
역할 변경 규칙(Intelligent provisioning rules)은 사용자의 요청에 의해 사용자의 클라우드 서비스 역할이 변경될 수 있는지를 결정하는 규칙이다.
지식을 기반으로 한 역할 변경 규칙은 제한 요소(constraint)를 포함한다.
역할 변경에 개입되는 제한은 계약상의 예산에 의한 제한(budget limit), 사업자의 현재 자원 제공 상황을 포함한다.
예산에 의한 제한은 사용자의 역할 변경이 자동적으로 이루어지기 때문에 사용자의 재정에 맞게 역할 변경이 가능한 범위를 제한하는 것이다.
한편, 예산 범위를 초과하는 사용자의 역할 변경 요청은 예산 한도를 상승시켜달라는 요청으로 받아들여질 수 있다.
그러므로 역할 기반 접근 제어 시스템은 예산 한도(Budget limit)에 따라 제한된 범위 내에서 역할을 변경하고 역할 변경 요청을 승인 또는 거부로 판단한다.
도 6은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 할당을 설명하는 흐름도이다.
도 6을 참조하면, 우선 사용자가 클라우드 서비스 자원의 사용 요구를 하면(S610), 역할 접근 제어 시스템은 클라우드 서비스 역할을 할당하고(S620), 사용자 역할을 할당한다(S630).
클라우드 서비스 역할, 사용자 역할의 할당 순서는 변경될 수 있으며, 할당 순서가 이에 한정되는 것은 아니다.
다음으로, 역할 접근 제어 시스템은 사용자에게 할당한 클라우드 서비스 역할과 사용자 역할에 권한을 부여한다(S640).
마지막으로, 사용자에게 할당한 역할에 따른 태스크 권한을 사용자에게 부여한다(S650).
도 7은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 제어 방법 중 역할 변경을 설명하는 흐름도이다.
도 7을 참조하면, 사용자가 할당된 클라우드 서비스에서 사용할 수 있는 클라우드 자원 이상의 자원을 요구하면(물론, 클라우드 자원 감축을 요구할 수도 있다)(S710), 시스템은 요청된 자원의 사용 비용이 사용자의 예산 범위를 초과하지 않는지 확인한다(S720).
요청된 자원의 사용 비용이 사용자의 예산 범위를 초과한다면, 시스템은 다시 사용자의 클라우드 자원 요청을 거부한다(S726).
이때, 예산 범위를 초과하는 사용자의 자원 요청은 예산 범위를 상승시켜 달라는 요청으로 받아들여질 수 있다.
요청된 자원의 사용 비용이 사용자의 예산 범위를 초과하지 않는다면, 시스템은 사용자의 클라우드 서비스 역할을 변경하고(S730), 기존에 할당된 클라우드 서비스 역할은 철회한다(S740).
그 다음, 시스템은 사용자에게 새로운 클라우드 서비스 역할을 할당하고(S750), 새로운 클라우드 서비스 역할의 권한을 부여한다(S760).
마지막으로, 시스템은 새로운 클라우드 서비스 역할의 태스크에 권한을 부여한다(S770).
도 8은 본 발명의 실시예에 따른 클라우드 컴퓨팅 환경에서의 역할 접근 제어 시스템의 할당 방법을 적용한 시나리오를 설명하는 블록도이다.
각 클라우드 서비스 역할에 따른 상세 속성은 다음의 표 1에 설명되어 있다.
| Cloud Service Role | Attribute |
| Cloud Service Role1 | {Distribution.Certificate, Version.Current, Edition.Professional, Nclient.Small, ComPow.Low, Memory.Low, Bandwidth.Small, Storage . Small, Time.Valid} |
| Cloud Service Role2 | {Distribution.Certificate, Version.Current, Edition.Professional, Nclient.Small, ComPow.Low, Memory.Low, Bandwidth.Small, Storage . Mid, Time.Valid} |
| Cloud Service Role3 | {Distribution.Certificate, Version.Current, Edition.Professional, Nclient.Small, ComPow.Low, Memory.Low, Bandwidth.High, Storage . High, Time.Valid} |
| Cloud Service Role4 | {Distribution.Certificate, Version.Current, Edition.Professional, Nclient.Small, ComPow.Low, Memory.Low, Bandwidth.Small, Storage.Small, Time . Expiration} |
PaaS를 이용하는 사용자1은 정상적인 서비스를 개발하기 위해서는 최대 필요한 IT자원을 기준으로 컴퓨팅 환경을 구축해야했다. 그러나 클라우드 컴퓨팅이 확장 가능한 특성(Scalability characteristic)을 갖기 때문에 사용자에게는 유연한 자원(Flexible resource)이 제공된다.
PaaS 서비스를 이용하는 개발자가 클라우드 서비스 역할(Cloud Service Role1)1를 할당 받았다면, 클라우드 서비스 역할 1에 명시된 네트워크 대역폭(Network bandwidth), 컴퓨팅 파워(Computing power), 저장공간(Storage)을 낮음(small)으로 이용하게 된다.
역할이 유효(Valid)한 상태라면, 이 사용자는 개발 량의 증가로 저장공간(Storage)이 더 요구될 때는 저장공간(Storage)의 자원 양이 낮음(small)에서 중간(mid)으로, 중간에서 높음(high)으로 변경되어야 한다. 즉, 역할 1에서 역할 2, 역할 3로 순차적으로 변경된다.
반면에 사용자가 저장공간의 데이터를 삭제한다면, 다시 해당 사용량만큼의 저장공간(Storage)을 가진 역할로 변경되며 이러한 변경사항은 기록되고 이 값을 기준으로 과금이 된다.
한편, 사용자가 서비스를 일정기간 사용하지 않거나 유효기간이 지나 역할이 만료될 수 있다. 이 때 사용자의 역할은 클라우드 서비스 역할 4가 된다. 사용자가 서비스를 다시 사용하기 위해 서비스 요청을 할 경우, 사용자는 역할을 재 할당 받는 것이 아니라 이전 역할인 클라우드 서비스 역할 1을 다시 사용할 수 있다. 사용자는 이러한 역할 만료와 앞서 설명한 확장 가능성(Scalable Characteristic)에 의해 사용자 역할이 자동으로 변경되게 된다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
110: 클라우드 자원 120: 일반사용자
130: 기업사용자 200: 역할 기반 접근 제어 시스템
210: 역할 관리자 220: 태스크 관리자
240: 역할 데이터베이스 250: 규칙 데이터베이스
300: 사용자 정보 310: 사용자 역할
315: 개인 식별 정보 320: 클라우드 서비스 역할
130: 기업사용자 200: 역할 기반 접근 제어 시스템
210: 역할 관리자 220: 태스크 관리자
240: 역할 데이터베이스 250: 규칙 데이터베이스
300: 사용자 정보 310: 사용자 역할
315: 개인 식별 정보 320: 클라우드 서비스 역할
Claims (11)
- 사용자에게 할당되는 역할이 저장된 역할 데이터베이스;
상기 사용자에게 할당된 역할의 변경, 역할의 철회에 관한 규칙이 저장된 규칙 데이터베이스;
상기 역할 데이터베이스를 참조하여 상기 사용자에게 역할을 할당하고 권한을 부여하며, 상기 사용자의 요청에 의해 상기 규칙 데이터베이스를 참조하여 상기 역할을 변경 및 철회하는 역할 관리자; 및
상기 역할 관리자로부터 상기 역할 할당, 상기 역할 변경, 상기 역할 철회에 관한 정보를 입력받고 상기 역할 데이터베이스 및 상기 규칙 데이터베이스를 참조하여 상기 사용자에게 역할에 따른 태스크 권한을 부여하는 태스크 관리자를 포함하는 역할 기반 접근 제어 시스템.
- 제1항에 있어서, 상기 역할 데이터베이스는
상기 사용자를 식별하거나 유추하여 알 수 있도록 하는 정보를 포함하는 개인식별정보(PII)를 기반으로 하여 형성되는 사용자 역할 리스트;
상기 사용자에게 제공할 서비스를 포함하는 클라우드 서비스 역할 리스트를 포함하는 역할 기반 접근 제어 시스템.
- 제2항에 있어서, 상기 클라우드 서비스 역할은
네트워크 대역폭(bandwidth), 컴퓨팅 파워(computing power), 메모리(Memory), 저장공간(storage), 배포타입(Distribution), 에디션(edition), 버전(version), 또는 서비스 타입(Type) 중 적어도 하나를 포함하는 역할 기반 접근 제어 시스템.
- 제3항에 있어서, 상기 네트워크 대역폭(network bandwidth), 상기 컴퓨팅 파워(computing power), 메모리(Memory) 또는 상기 저장 공간(storage)은
상기 사용자에게 제공되는 자원의 양;
상기 자원을 이용할 수 있는 유효 기간 중 적어도 하나를 상세 속성으로 포함하는 역할 기반 접근 제어 시스템.
- 제1항에 있어서, 상기 규칙 데이터베이스는
상기 사용자의 요청에 의해 상기 사용자의 클라우드 서비스 역할이 변경될 수 있는지를 결정하는 역할 변경 규칙을 포함하는 역할 기반 접근 제어 시스템.
- 제5항에 있어서, 상기 역할 변경 규칙은
상기 사용자의 재정에 따라 상기 역할 변경이 가능한 범위를 제한하는 예산에 의한 제한을 포함하는 역할 기반 접근 제어 시스템.
- 사용자의 서비스 자원 사용 요구에 응답하여 상기 사용자에게 역할을 할당하고 권한을 부여하는 단계;
상기 사용자에게 상기 역할에 따른 태스크 권한을 부여하는 단계;
상기 사용자의 요청이 있을 경우, 역할 변경 규칙에 따라 상기 역할을 변경 및 철회하는 단계;
상기 사용자에게 변경된 역할을 할당하고 권한을 부여하는 단계; 및
상기 사용자에게 상기 변경된 역할에 따른 태스크 권한을 부여하는 단계를 포함하는 역할 기반 접근 시스템의 제어 방법.
- 제7항에 있어서, 상기 사용자에게 할당하는 역할은
사용자 역할, 클라우드 서비스 역할을 포함하는 역할 기반 접근 시스템의 제어 방법.
- 제8항에 있어서, 상기 사용자의 요청이 있을 경우 역할 변경 규칙에 따라 상기 역할을 변경 및 철회하는 단계는
상기 사용자가, 할당된 클라우드 서비스 역할에서 사용할 수 있는 클라우드 자원 이상의 자원을 요청하는 경우,
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하지 않는지 확인하는 단계를 포함하는 역할 기반 접근 시스템의 제어 방법.
- 제9항에 있어서, 상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하지 않는 경우 상기 사용자의 역할 변경 요청을 승인하며,
상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하는 경우 상기 사용자의 역할 변경 요청을 거부하는 역할 기반 접근 시스템의 제어 방법.
- 제10항에 있어서, 상기 요청된 자원의 사용 비용이 상기 사용자의 예산 범위를 초과하여 상기 사용자의 역할 변경 요청이 거부되는 경우,
상기 사용자의 역할 변경 요청을 상기 예산 범위를 상승시켜달라는 요청으로 판단하는 역할 기반 접근 시스템의 제어 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100090171A KR20120028139A (ko) | 2010-09-14 | 2010-09-14 | 역할 기반 접근 제어 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100090171A KR20120028139A (ko) | 2010-09-14 | 2010-09-14 | 역할 기반 접근 제어 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20120028139A true KR20120028139A (ko) | 2012-03-22 |
Family
ID=46133139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100090171A KR20120028139A (ko) | 2010-09-14 | 2010-09-14 | 역할 기반 접근 제어 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20120028139A (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180082702A (ko) * | 2017-01-10 | 2018-07-19 | 한국전자통신연구원 | 블록체인을 이용한 공공 단체의 거래 정보 관리 방법 및 시스템 |
| KR101979915B1 (ko) | 2018-08-29 | 2019-05-21 | 주식회사 피앤피시큐어 | 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 |
| KR102108125B1 (ko) * | 2019-04-15 | 2020-05-28 | 한국과학기술정보연구원 | 서비스 할당 방법 및 서비스 할당 장치 |
-
2010
- 2010-09-14 KR KR1020100090171A patent/KR20120028139A/ko not_active Application Discontinuation
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180082702A (ko) * | 2017-01-10 | 2018-07-19 | 한국전자통신연구원 | 블록체인을 이용한 공공 단체의 거래 정보 관리 방법 및 시스템 |
| KR101979915B1 (ko) | 2018-08-29 | 2019-05-21 | 주식회사 피앤피시큐어 | 접근 제어 통제를 위한 Role/Rule 기반 정책의 혼용 방법과 혼용 시스템 |
| KR102108125B1 (ko) * | 2019-04-15 | 2020-05-28 | 한국과학기술정보연구원 | 서비스 할당 방법 및 서비스 할당 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10298589B2 (en) | User abstracted RBAC in a multi tenant environment | |
| US8015563B2 (en) | Managing virtual machines with system-wide policies | |
| US20120246695A1 (en) | Access control of distributed computing resources system and method | |
| Almenárez et al. | TrustAC: Trust-based access control for pervasive devices | |
| Punithasurya et al. | Analysis of different access control mechanism in cloud | |
| Tang et al. | Extending openstack access control with domain trust | |
| Zuo et al. | Tenant-based access control model for multi-tenancy and sub-tenancy architecture in Software-as-a-Service | |
| CN100574210C (zh) | 一种基于无等级角色间映射的访问控制方法 | |
| US20190273748A1 (en) | Gradual Credential Disablement | |
| KR102157743B1 (ko) | Sso 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하는 방법 | |
| KR20120028139A (ko) | 역할 기반 접근 제어 시스템 및 방법 | |
| KR102108125B1 (ko) | 서비스 할당 방법 및 서비스 할당 장치 | |
| Martinelli et al. | A Model for Usage Control in GRID systems | |
| Sifou et al. | Different access control mechanisms for data security in cloud computing | |
| Nirmalrani et al. | A hybrid access control model with multilevel authentication and delegation to protect the distributed resources | |
| Zuo et al. | Autonomous decentralized tenant access control model for sub-tenancy architecture in software-as-a-service (SaaS) | |
| Liu et al. | A multi-tenant usage access model for cloud computing | |
| Alwada’n et al. | New framework for dynamic policy management in grid environments | |
| CN116095149B (zh) | 云环境下密码服务应用配额的方法、系统、介质及设备 | |
| US11356438B2 (en) | Access management system with a secret isolation manager | |
| CN109246079B (zh) | 权限管理方法、系统、介质和电子设备 | |
| Pereira et al. | A Framework for Semantic-Based Dynamic Access Control in Data Grids | |
| Kwon et al. | Dynamic Role-based User Service Authority Control and Management on Cloud Computing | |
| Jyosthna et al. | Enhancing Security and Flexibility with Combined RBAC and ABAC Access Control Models | |
| Chakrabarti et al. | Grid authorization systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E601 | Decision to refuse application |