KR20120054839A - 계층 구조 기반의 데이터 접근 제어 장치 및 방법 - Google Patents

계층 구조 기반의 데이터 접근 제어 장치 및 방법 Download PDF

Info

Publication number
KR20120054839A
KR20120054839A KR1020100116167A KR20100116167A KR20120054839A KR 20120054839 A KR20120054839 A KR 20120054839A KR 1020100116167 A KR1020100116167 A KR 1020100116167A KR 20100116167 A KR20100116167 A KR 20100116167A KR 20120054839 A KR20120054839 A KR 20120054839A
Authority
KR
South Korea
Prior art keywords
acl
terminal
layer
key
data
Prior art date
Application number
KR1020100116167A
Other languages
English (en)
Inventor
김은아
김대엽
허미숙
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020100116167A priority Critical patent/KR20120054839A/ko
Priority to US13/161,973 priority patent/US20120131342A1/en
Publication of KR20120054839A publication Critical patent/KR20120054839A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

데이터에 대한 접근 권한을 부여하는 접근 제어 장치 및 방법이 제공된다. 접근 제어 장치는 단말에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 단말의 공개키를 이용하여 암호화하고, 암호화된 계층키 및 단말의 식별정보에 기초하여 접근 제어 리스트(Access Control List: ACL)를 생성할 수 있다. 그리고, 생성된 ACL에 기초하여 ACL의 사본을 생성 및 하위 계층에 저장 할 수 있다.

Description

계층 구조 기반의 데이터 접근 제어 장치 및 방법{METHOD AND APPARATUS FOR CONTROLLING ACCESS TO DATA BASED ON LAYER}
아래의 실시예들은 데이터 접근 제어 장치 및 방법에 관한 것으로, 보다 구체적으로는 계층적 구조로 저장된 데이터에 하나 이상의 사용자의 접근을 제어하는 장치 및 방법에 관한 것이다.
일반적으로, 접근(access)이란 사용자 혹은 단말이 다른 단말에 저장된 데이터에 대하여 읽기, 쓰기, 수정, 저장 등의 동작을 수행하는 것을 의미한다. 여기서, 단말은 스마트 폰, DMB 폰, MP3 플레이어, 디지털 카메라, 캠코더 등의 휴대 단말과 퍼스널 컴퓨터(PC), 노트북을 포함할 수 있다. 그리고, 접근 주체는 단말 및 단말의 사용자, 네트워크를 통해 연결된 다른 단말 및 다른 단말의 사용자를 포함할 수 있다.
접근 권한이란 접근 주체가 데이터에 접근할 때, 접근이 가능한지 혹은 어떤 행위의 접근이 허용되는지를 나타내는 정책을 의미한다. 단말에 저장된 복수의 데이터들에 다른 주체가 접근할 수 있도록 한 경우, 단말은 데이터를 보호하기 위해 복수의 접근 주체에게 서로 다른 접근 권한을 부여할 수 있다. 이처럼, 데이터에 대한 접근 권한을 관리하는 것을 접근 제어라고 한다.
특히, 단일 시스템에서 디렉토리 서비스를 제공하는 경우, 종래의 접근 제어 장치는 단말이 접근 제어 장치에 저장된 데이터 및 데이터 집합에 접근하는 것을 제어할 수 있다. 여기서, 데이터 및 데이터 집합은 계층적으로 구조화된 저장 공간 내에 분포할 수 있다. 그러면, 접근 제어 장치는, 각 계층에 접근할 수 있는 단말들을 각각 정의하여 데이터에 대한 단말의 접근을 제어할 수 있다.
그런데, 종래의 접근 제어 장치는 상위 계층에 저장된 데이터에 대한 접근이 허용된 단말은 하위 계층의 데이터에 대한 접근이 가능하도록 접근 제어 정책을 하위로 상속할 수 있다. 이에 따라, 상위 계층에서 상속받은 접근 제어 정책은 하위 계층에서 수정 시, 제약이 발생할 수 있다. 다시 말해, 상속 규칙에 따라, 접근 제어 정책은 상위 계층에서 접근이 가능하도록 정의된 단말을 하위 계층에서 접근하지 못하도록 수정될 수 없다. 이러한, 상속 구조로 인해, 종래의 접근 제어 장치는 특정 계층 또는 특정 데이터에 대한 별도의 접근 권한 설정이 어렵다.
따라서, 상위 계층 및 하위 계층에서 별도로 특정 데이터에 대한 접근 권한을 설정할 수 있는 기술이 필요하다.
본 접근 제어 장치는, 단말을 인증하여 단말의 식별정보 및 단말의 공개키(Public Key)를 획득하는 단말 인증부, 상기 단말에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 상기 단말의 공개키를 이용하여 암호화하는 암호화부, 상기 암호화된 계층키 및 상기 단말의 식별정보에 기초하여 접근 제어 리스트(Access Control List: ACL)를 생성하는 ACL 생성부, 및 상기 암호화된 계층키의 링크 정보 및 상기 단말의 식별정보에 기초하여 생성된 상기 ACL의 사본을 생성하는 ACL 사본 생성부를 포함할 수 있다. 여기서, ACL 사본은 상기 타깃 계층의 하위 계층 및 하위 계층 내 데이터의 메타데이터에 저장될 수 있다.
또한, 상기 ACL 생성부는, 상기 타겟 계층의 상위 계층의 ACL이 기생성됨에 따라, 상기 상위 계층의 ACL과 상이한 상기 타겟 계층의 ACL을 별도로 생성할 수 있다.
또한, 상기 ACL 생성부는, 상기 타겟 계층의 ACL이 기생성됨에 따라, 상기 기생성된 타겟 계층의 ACL에 상기 암호화된 계층키 및 상기 단말의 식별정보를 추가하여 상기 기생성된 타겟 계층의 ACL을 업데이트할 수 있다. 그러면, 상기 ACL 사본 생성부는, 상기 업데이트된 타겟 계층의 ACL에 기초하여 기생성된 타겟 계층의 ACL 사본을 업데이트할 수 있다. 이때, 업데이트 된 사본은 하위 계층 및 하위계층 내 데이터의 메타데이터에 저장될 수 있다.
또한, 상기 ACL 생성부는, 상기 타겟 계층에 대한 접근 권한을 철회하고자 하는 단말이 존재함에 따라, 상기 타겟 계층의 ACL을 재생성할 수 있다. 그러면, 상기 ACL 사본 생성부는, 또한, 상기 단말의 데이터 요청에 따라, 상기 암호화된 데이터, 상기 암호화된 계층키, 및 상기 암호화된 데이터키를 상기 단말로 전송하는 전송부를 더 포함할 수 있다.
또한, 복수의 단말들을 사용자 특성에 기초하여 그룹화하는 그룹 생성부를 더 포함할 수 있다. 그러면, 상기 ACL 생성부는, 상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성할 수 있다.
또한, 상기 전송부는, 상기 단말의 데이터 요청에 따라, 상기 단말의 공개키로 암호화된 그룹의 비밀키, 그룹의 공개키로 암호화된 계층키, 상기 계층키로 암호화된 데이터키, 및 상기 데이터키로 암호화된 데이터를 상기 단말로 전송할 수 있다. 이때, 상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL은, 그룹의 공개키를 이용하여 암호화된 계층키, 및 상기 그룹의 식별정보를 포함할 수 있다.
또한, 상기 그룹 생성부는, 상기 그룹에 속하는 복수의 단말들을 서브 그룹화할수 있다. 그러면, 상기 ACL 생성부는, 상기 서브 그룹에 속하는 단말에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성할 수 있다.
단말을 인증하여 단말의 식별정보(ID) 및 단말의 공개키(Public Key)를 획득하는 단계, 상기 단말에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 상기 단말의 공개키를 이용하여 암호화하는 단계, 상기 암호화된 계층키 및 상기 단말의 식별정보에 기초하여 접근 제어 리스트(Access Control List: ACL)를 생성하는 단계, 및 상기 암호화된 계층키의 링크 정보 및 상기 단말의 식별정보에 기초하여 상기 ACL의 사본을 생성 및 저장하는 단계를 포함할 수 있다.
또한, 상기 타겟 계층에 대한 접근 권한을 철회하고자 하는 단말이 존재함에 따라, 상기 타겟 계층의 ACL을 재생성하는 단계, 및 또한, 상기 암호화하는 단계는, 상기 타겟 층에 속하는 데이터를 데이터키를 이용하여 암호화하는 단계, 및 상기 데이터키를 상기 타겟 계층의 계층키를 이용하여 암호화하는 단계를 포함할 수 있다.
또한, 상기 단말의 데이터 요청에 따라, 상기 암호화된 데이터, 상기 암호화된 계층키, 및 상기 암호화된 데이터키를 상기 단말로 전송하는 단계를 더 포함할 수 있다.
또한, 복수의 단말들을 사용자 특성에 기초하여 그룹화하는 단계를 더 포함할 수 있다. 그러면, 상기 ACL을 생성하는 단계는, 상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성할 수 있다.
또한, 상기 그룹화하는 단계는, 상기 그룹에 속하는 복수의 단말들을 서브 그룹화할 수 있다. 그러면, 상기 ACL을 생성하는 단계는, 상기 서브 그룹에 속하는 단말에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성할 수 있다.
본 발명에 따르면, 상위 계층의 접근 제어 리스트와 별도의 접근 제어 리스트를 하위 계층에서 제공할 수 있다.
또한, 접근 제어 리스트를 복수 회 탐색하지 않고도 데이터와 함께 저장된 접근 제어 리스트의 사본을 이용하여 단말의 접근 권한을 바로 확인할 수 있다.
또한, 기생성된 접근 제어 리스트에 새로운 단말을 추가하려는 경우, 리소스에 대한 추가 변경 없이 기생성된 접근 제어 리스트에 새로운 단말의 정보 만을 추가함에 따라 접근 제어 리스트를 업데이트할 수 있다.
도 1은 접근 제어 장치와 단말의 관계를 설명하기 위해 제공되는 도면이다.
도 2는 접근 제어 리스트(ACL)를 생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
도 4는 기생성된 접근 제어 리스트(ACL)에 새로운 단말을 추가하는 과정을 설명하기 위해 제공되는 흐름도이다.
도 5는 단말의 접근 권한을 철회함에 따라 접근 제어 리스트(ACL)를 재생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
도 6은 그룹 단위로 접근 권한을 부여하기 위해 접근 제어 리스트(ACL)를 재생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
도 7은 접근 제어 장치의 구성을 도시한 블록도이다.
도 8은 단말에서 암호화된 데이터를 복호화하여 획득하는 과정을 설명하기 위해 제공되는 흐름도이다.
이하에서, 첨부된 도면을 참조하여 본 발명에 따른 실시예들을 상세히 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 접근 제어 장치와 단말의 관계를 설명하기 위해 제공되는 도면이다.
도 1에 따르면, 접근 제어 장치(10)는 복수의 단말들(20)에게 데이터에 대한 접근 권한을 부여할 수 있다. 일례로, 접근 제어 장치(10)는 인증을 통해 관계(relationship)를 형성한 복수의 단말들(20)에게 접근 제어 장치(10)에 저장된 데이터에 접근할 수 있는 권한을 부여할 수 있다. 그러면, 접근 권한을 부여받은 단말들은 접근 제어 장치(10)에 저장된 데이터에 대해 읽기, 쓰기, 수정, 저장 등의 동작을 수행할 수 있다.
이때, 접근 제어 장치(10)는 복수의 단말들(20) 중 하나 이상의 단말에게 접근 권한을 부여하기 위해 접근 제어 리스트(Access Control List: ACL)를 생성할 수 있다. 그리고, 복수의 단말들(20) 중 어느 하나의 단말에서 데이터가 요청되면, 접근 제어 장치(10)는 생성된 ACL에 기초하여 데이터를 요청한 단말의 접근 권한을 확인할 수 있다. 그리고, 접근 권한이 있는 것으로 확인됨에 따라, 접근 제어 장치(10)는 데이터를 요청한 단말로 암호화된 데이터를 전송할 수 있다.
이하에서는 특정 계층 또는 특정 데이터에 대한 접근 권한을 부여하기 위해 이용되는 ACL을 생성하는 과정에 대해 도 2를 참조하여 상세히 설명하기로 한다.
도 2는 접근 제어 리스트(ACL)를 생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
먼저, 210 단계에서, 단말 인증부(710)는 접근 제어 장치(700)와 관계(relationship)를 형성하고자 하는 단말을 인증할 수 있다. 이때, 단말 인증부(710)는 단말을 인증하는 과정에서 접근 제어 장치(700)의 공개키(public key: PK)를 단말로 전송하고, 단말로부터 단말의 공개키 및 단말의 식별정보를 수신할 수 있다. 여기서, 단말의 식별정보는 단말의 ID를 포함할 수 있다.
일례로, 홈 네트워크 시스템인 경우, 접근 제어 장치(700)는 홈 기기들과 관계를 형성할 수 있다. 이에 따라, 단말 인증부(710)는 하나 이상의 홈 기기들과 인증을 통해 관계를 형성함에 따라 데이터에 대한 접근 권한을 부여할 수 있다.
다른 예로, SNS(Social Network Service)를 이용하는 경우, 접근 제어 장치(700)는가족, 학교, 직장 동료, 친구 등과 관계를 형성할 수 있다. 이때, 단말 인증부(710)는 가족, 학교, 직장 동료, 친구 등이 소지한 단말과 인증을 통해 관계를 형성할 수 있다. 그러면, 인증된 단말들은 접근 제어 장치(700)에 저장된 특정 데이터에 접근할 수 있는 권한을 부여받을 수 있다.
또 다른 예로, 분산 네트워크 시스템인 경우, 단말 인증부(170)는 접근 제어 장치(700)와 네트워크를 형성한 하나 이상의 단말들과 인증을 통해 관계를 형성할 수 있다.
이때, 접근 제어 장치(700)는 인증된 단말에게 특정 계층 또는 특정 데이터에 대한 접근 권한을 부여할 수 있다. 그리고, 접근 제어 장치(700)는 인증된 복수의 단말들 마다 다른 계층 또는 다른 데이터에 대한 접근 권한을 부여할 수도 있다.
이를 위해, 220 단계에서, ACL 생성부(730)는 인증된 단말에게 접근 권한을 부여하고자 하는 계층을 결정할 수 있다. 이때, 접근 제어 장치(700)에는 데이터들이 계층 구조로 저장되어 있음을 가정한다. 일례로, 도 3과 같이, 계층 1부터 계층 4(310~340)는 트리(tree) 구조를 갖는 디렉토리, 폴더 등을 포함할 수 있다.
이어, 230 단계에서, 암호화부(720)는 결정된 계층에 속하는 데이터를 데이터키(data key)를 이용하여 암호화할 수 있다. 이때, 암호화부(720)는 데이터키를 랜덤함수를 이용하여 랜덤하게 생성할 수 있다. 그리고, 암호화부(720)는 이용하여 단말에게 접근 권한을 부여하고자 하는 타겟 계층에 속하는 데이터를 생성된 데이터키를 이용하여 암호화할 수 있다.
이때, 타겟 계층에 복수의 데이터들이 속하는 경우, 암호화부(720)는 복수의 데이터들의 개수에 대응하여 서로 다른 데이터키를 각각 생성할 수 있다. 그리고, 암호화부(720)는 생성된 데이터키를 이용하여 복수의 데이터들을 각각 암호화할 수 있다. 일례로, 타겟 계층에 데이터 1, 데이터 2, 및 데이터 3이 속하는 경우, 암호화부(720)는 데이터키 1, 데이터키 2, 및 데이터키 3을 생성하고, 데이터 1을 데이터키 1로 암호화할 수 있다. 마찬가지로, 암호화부(720)는 데이터 2를 데이터키 2를 이용하여 암호화하고, 데이터 3을 데이터키 3을 이용하여 암호화할 수 있다.
그리고, 240 단계에서, 암호화부(720)는 데이터키를 계층키(Node Key: NK) 로 암호화할 수 있다. 이때, 계층키로는 대칭키가 이용될 수 있다.
일례로, 도 3을 참조하면, 타겟 계층이 B1이고, 타겟 계층(B1)의 상위 계층(A)에 ACL 또는 ACL 사본이 존재하지 않는 경우, 암호화부(720)는 타겟 계층(B1)의 계층키를 랜덤함수를 이용하여 생성할 수 있다. 그리고, 암호화부(720)는 생성된 타겟 계층(B1)의 계층키를 이용하여 데이터키를 암호화할 수 있다. 이때,
다른 예로, 타겟 계층이 C2이고, 타겟 계층(C2)의 상위 계층(B1)에 ACL 및 ACL사본 중 어느 하나가 존재하는 경우, 암호화부(720)는 타겟 계층(C2)의 상위 계층(B1)의 계층키를 이용하여 타겟 계층(C2)의 계층키를 생성할 수 있다. 일례로, 암호화부(720)는 상위 계층(B1)의 계층키와 해쉬 함수(hash function) 등의 단방향 함수를 이용하여 타겟 계층(C2)의 계층키를 생성할 수 있다. 그리고, 암호화부(720)는 생성된 타겟 계층(C2)의 계층키를 이용하여 데이터키를 암호화할 수 있다.
이어, 250 단계에서, 암호화부(720)는 타겟 계층의 계층키를 단말의 공개키(PK)를 이용하여 암호화할 수 있다. 여기서, 단말의 공개키는 210 단계에서 단말을 인증하는 과정에서 획득될 수 있다.
그리고, 260 단계에서, ACL 생성부(730)는 암호화된 계층키 및 단말의 식별정보를 이용하여 타겟 계층의 접근 제어 리스트(ACL)를 생성할 수 있다. 이때, ACL 생성부(730)는 아래의 표 1과 같이 타겟 계층의 ACL을 생성할 수 있다.
i번째 계층의 접근 제어 리스트(ACLi)
(IDuser, E(PKuser, NKi))
표 1에서, IDuser는 인증된 단말들 중 i번째 계층에 대한 접근 권한을 부여한 단말의 식별정보, PKuser는 단말의 공개키, NKi는 i번째 계층의 계층키, E(PKuser, NKi)는 단말의 공개키를 이용하여 암호화된 계층키이다. 다시 말해, 표 1에 따르면, 타겟 계층의 ACL은 타겟 계층에 대한 접근 권한이 부여된 하나 이상의 단말의 식별정보 및 단말의 공개키로 암호화된 계층키를 포함할 수 있다.
일례로, 도 3을 참조하여 타겟 계층이 B1이고, 단말 1 및 단말 2에게 타겟 계층(B1)에 대한 접근 권한을 부여한 경우, 암호화부(720)는 타겟 계층(B1)의 계층키(NKB1)를 단말 1의 공개키(PKuser1)를 이용하여 암호화(E(PKuser1, NKB1))하고, 타겟 계층(B1)의 계층키(NKB1)를 단말 2의 공개키(PKuser2)를 이용하여 암호화(E(PKuser2, NKB1))할 수 있다. 그러면, ACL 생성부(730)는 단말 1 및 단말 2에게 타겟 계층(B1)에 대한 접근 권한이 부여됐음을 나타내는 타겟 계층(B1)의 접근 제어 리스트(ACL1: 351)을 생성할 수 있다. 이때, 생성된 타겟 계층(B1)의 접근 제어 리스트(ACL1: 351)는 (IDuser1, E(PKuser1, NKB1)), 및 (IDuser2, E(PKuser2, NKB1))를 포함할 수 있다.
다른 예로, 도 3을 참조하여, 타겟 계층이 C2이고, 단말 1 및 단말 3에게 타겟 계층(C2)에 대한 접근 권한을 부여한 경우, 암호화부(720)는 타겟 계층(C2)의 계층키(NKC2)를 단말 1의 공개키(PKuser1)를 이용하여 암호화(E(PKuser1, NKC2))하고, 타겟 계층(C2)의 계층키(NKC2)를 단말 3의 공개키(PKuser3)를 이용하여 암호화(E(PKuser3, NKC2))할 수 있다. 그러면, ACL 생성부(730)는 단말 1 및 단말 3에게 타겟 계층(C2)에 대한 접근 권한이 부여됐음을 나타내는 타겟 계층(C2)의 접근 제어 리스트(ACL2: 352)를 생성할 수 있다. 이때, 생성된 타겟 계층(C2)의 접근 제어 리스트(ACL2: 352)는 (IDuser1, E(PKuser1, NKC2)), 및 (IDuser3, E(PKuser3, NKC2))를 포함할 수 있다.
이처럼, ALC 생성부(730)는 상위 계층의 ACL을 하위 계층에서 그대로 상속하지 않고, 상위 계층의 ACL과 별도로 하위 계층의 ACL을 생성할 수 있다. 이에 따라, 상위 계층에 대한 접근 권한을 부여한 단말들과 상이한 특정 단말들에게 하위 계층에 대한 접근 권한을 부여할 수 있다.
이어, 270 단계에서, ACL 사본 생성부(740)는 생성된 타겟 계층의 ACL에 기초하여 타겟 계층의 ACL 사본을 생성할 수 있다. 이때, ACL 사본 생성부(740)는 타겟 계층의 ACL에 포함된 단말의 식별 정보 및 암호화된 계층키의 링크 정보를 이용하여 타겟 계층의 ACL 사본을 생성할 수 있다. 그리고, ACL 사본 생성부(740)는 생성된 타겟 계층의 ACL 사본을 메타 데이터에 저장할 수 있다. 여기서, 암호화된 계층키의 링크 정보는, 암호화된 계층키가 저장된 위치를 알려주는 연결 경로이다. 그리고, 메타 데이터는 타겟 계층에 속하는 데이터의 메타 데이터, 타겟 계층에 속하는 하위 계층의 메타 데이터, 및 하위 계층에 속하는 데이터의 메타 데이터를 포함할 수 있다.
일례로, 도 3을 참조하면, ACL 사본 생성부(740)는 생성된 타겟 계층 B1의 ACL1에 기초하여 ACL1 사본을 생성할 수 있다. 이때, ACL 사본 생성부(740)는 생성된 ACL1 사본을 타겟 계층 B1에 속하는 데이터, 하위 계층, 및 하위 계층에 속하는 데이터 각각의 메타 데이터에 저장(350)할 수 있다. 다시 말해, ACL 사본 생성부(740)는 계층 3(330)에 해당하는 하위 계층 C1, C2, 그리고 데이터의 메타 데이터 각각에 ACL 1 사본을 저장할 수 있다. 그리고, ACL 사본 생성부(740)는 계층 4(340)에 해당하는 하위 계층 D 및 데이터의 메타 데이터 각각에 ACL 1 사본을 저장할 수 있다.
이때, 타겟 계층이 C2이고, 타겟 계층의 상위 계층 B1에 ACL1이 존재하는 상태에서 타겟 계층 C2의 ACL2가 생성된 경우, ACL 사본 생성부(740)는 ACL 2의 사본을 생성할 수 있다. 그리고, ACL 사본 생성부(740)는 타겟 계층 C2에 속하는 데이터, 하위 계층, 및 하위 계층에 속하는 데이터 각각의 메타 데이터에 저장(360)할 수 있다. 다시 말해, ACL 사본 생성부(740)는 계층 4(340)에 해당하는 하위 계층 D 및 데이터의 메타 데이터 각각에 ACL 2 사본을 저장할 수 있다. 이때, ACL 사본 생성부(740)는 C2의 하위 계층 D 및 데이터의 메타 데이터(341) 각각에 저장된 ACL 1 사본을 ACL 2 사본으로 교체할 수 있다. 마찬가지로, B1의 하위 계층 C2의 ACL 2 가 생성됨에 따라, ACL 생성부(730)는 C2의 메타 데이터에 저장된 ACL 1 사본을 ACL 2로 교체할 수 있다.
그리고, 280 단계에서, 단말로부터 데이터가 요청됨에 따라, 285 단계에서, 접근 권한 확인부(750)는 생성된 ACL 및 ACL 사본에 기초하여 데이터를 요청한 단말의 접근 권한을 확인할 수 있다.
일례로, 접근 권한 확인부(750)는 접근 제어 장치(700)의 저장 매체(미도시)에서요청된 데이터를 탐색할 수 있다. 그리고, 접근 권한 확인부(750)는 탐색된 데이터의 메타 데이터에 저장된 ACL 또는 ACL 사본에 기초하여 데이터를 요청한 단말의 접근 권한을 확인할 수 있다. 이때, ACL 또는 ACL 사본에 포함된 단말의 식별정보들 중에서 데이터를 요청한 단말의 식별정보와 매칭하는 식별정보가 존재하는 경우, 접근 권한 확인부(750)는 데이터를 요청한 단말이 상기 데이터에 대한 접근 권한을 가지고 있음을 확인할 수 있다.
그러면, 290 단계에서, 전송부(760)는 접근 권한이 확인된 단말로 암호화된 데이터, 암호화된 데이터키, 및 암호화된 계층키를 전송할 수 있다. 이에 따라, 단말은 암호화된 데이터, 암호화된 데이터키, 및 암호화된 계층키를 이용하여 요청한 데이터를 획득할 수 있다. 여기서, 단말에서 요청한 데이터를 획득하는 구성에 대해서는 도 8을 참조하여 후술하기로 한다.
도 4는 기생성된 접근 제어 리스트(ACL)에 새로운 단말을 추가하는 과정을 설명하기 위해 제공되는 흐름도이다.
먼저, 410 단계에서, 기생성된 타겟 계층의 ACL에 새로운 단말을 추가하려는 경우, 420 단계에서, 암호화부(720)는 새로운 단말의 공개키를 이용하여 타겟 계층의 계층키를 암호화할 수 있다.
그리고, 430 단계에서, 암호화된 계층키 및 추가 단말의 식별정보에 기초하여 기생성된 ACL을 업데이트할 수 있다. 다시 말해, 새로운 단말에게 접근 권한을 부여하고자 하는 타겟 계층에 이미 기생성된 ACL이 존재하는 경우, ACL 생성부(730)는 기생성된 ACL에 새로운 단말의 정보만을 추가함에 따라 기생성된 ACL을 업데이트할 수 있다. 이러한 ACL의 업데이트를 통해, 새로운 단말은 타겟 계층에 대한 접근 권한을 부여받을 수 있다.
일례로, 도 3을 참조하면, 새로운 단말인 단말 4에게 타겟 계층(C2)에 대한 접근 권한을 부여하고자 하는 경우, ACL 생성부(730)는 타겟 계층(C2)의 ACL 2이 이미 생성되어 있으므로, ACL 2 단말 4의 식별정보 및 암호화된 계층키를 추가하여 ACL 2를 업데이트할 수 있다. 이를 위해, 암호화부(720)는 단말 4의 공개키를 이용하여 타겟 계층(C2)의 계층키를 암호화할 수 있다. 그러면, ACL 생성부(730)는 암호화된 타겟 계층(C2)의 계층키 및 단말 4의 식별정보를 ACL 2에 추가할 수 있다.
이어, 440 단계에서, ACL 사본 생성부(740)는 업데이트된 ACL에 기초하여 기생성된 타겟 계층의 ACL 사본을 업데이트할 수 있다.
일례로, ACL 사본 생성부(740)는 암호화된 타겟 계층의 계층키의 링크 정보와 새로운 단말의 식별정보를 기생성된 ACL의 사본에 추가함에 따라 기생성된 ACL 사본을 업데이트할 수 있다. 여기서, 암호화된 타겟 계층의 계층키는 새로운 단말의 공개키를 이용하여 암호화된 계층키이다.
도 5는 단말의 접근 권한을 철회함에 따라 접근 제어 리스트(ACL)를 재생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
먼저, 510 단계에서, 접근 권한이 부여된 단말의 접근 권한을 철회하려는 경우, 520 단계에서, 암호화부(720)는 단말에게 접근 권한이 부여된 계층의 계층키를 재생성할 수 있다.
일례로, 도 3을 참조하여, 타겟 계층 C2에 대한 단말 1의 접근 권한을 철회하려는 경우, 암호화부(720)는 C2의 계층키를 재생성할 수 있다. 이때, C2의 상위 계층 B1이 존재하고, 상위 계층의 ACL이 존재하므로, 암호화부(720)는 상위 계층 B1의 계층키를 이용하여 단말에게 접근 권한이 부여된 계층의 계층키를 재생성할 수 있다.
이때, 상위 계층 B1의 ACL이 아닌 ACL 사본이 존재한다고 가정하면, 암호화부(720)는 ACL 사본에 대응하는 계층의 계층키를 이용하여 단말에게 접근 권한이 부여된 계층의 계층키를 재생성할 수도 있다. 또한, C2의 상위 계층이 존재하지 않거나, 상위 계층의 ACL 또는 ACL 사본이 존재하지 않는다고 가정하면, 암호화부(720)는 랜덤함수를 이용하여 C2의 계층키를 재생성할 수도 있다. 여기서, 재생성된 계층키로는 대칭키가 이용될 수 있다.
이어, 530 단계에서, 암호화부(720)는 재생성된 계층키를 암호화할 수 있다. 이때, 암호화부(720)는 접근 권한을 철회하려는 단말을 제외한 단말들 각각의 공개키를 이용하여 재생성된 계층키를 암호화할 수 있다.
일례로, C2에 대한 접근 권한이 단말 1, 단말 3 및 단말 4에 부여된 경우, 암호화부(720)는 C2에 대한 접근 권한을 철회하고자 하는 단말 1을 제외한 단말 3 및 단말 4의 공개키로 재생성된 계층키를 각각 암호화할 수 있다.
그리고, 540 단계에서, ACL 생성부(730)는 암호화된 계층키에 기초하여 ACL을 재생성할 수 있다. 다시 말해, ACL 생성부(730)는 타겟 계층에 대한 접근 권한이 부여된 단말들 중에서 접근 권한을 철회하고자 하는 단말을 제외한 단말들로 구성된 타겟 계층의 ACL을 재생성할 수 있다.
일례로, ACL 생성부(730)는 단말 3의 공개키로 암호화된 계층키와 단말 3의 식별정보, 단말 4의 공개키로 암호화된 계층키와 단말 4의 식별정보를 포함하는 C2의 ACL을 재생성할 수 있다. 그리고, ACL 생성부(730)는 C2에 대한 단말 1의 접근 권한을 철회하기 이전에 생성된 C2의 ACL을 재생성된 ACL로 교체할 수 있다.
이어, 550 단계에서, ACL 사본 생성부(740)는 재생성된 ACL에 기초하여 ACL 사본을 재생성할 수 있다.
일례로, ACL 사본 생성부(740)는 단말 3의 공개키로 암호화된 계층키의 링크 정보와 단말 3의 식별정보, 단말 4의 공개키로 암호화된 계층키의 링크 정보와 단말 4의 링크 정보를 포함하는 C2의 ACL 사본을 재생성할 수 있다.
도 6은 그룹 단위로 접근 권한을 부여하기 위해 접근 제어 리스트(ACL)를 재생성하는 과정을 설명하기 위해 제공되는 흐름도이다.
먼저, 610 단계에서, 그룹 생성부(770)는 인증된 복수의 단말들을 사용자 특성에 기초하여 그룹화할 수 있다. 일례로, 그룹 생성부(770)는 인증된 단말들을 가족, 직장 동료, 친구 등으로 각각 그룹화할 수 있다. 이때, 그룹 생성부(770)는 인증된 단말들을 그룹화하면서, 각 그룹을 구분하는 그룹 식별정보를 생성할 수 있다.
그러면, 620 단계에서, 암호화부(720)는 그룹에 속하는 단말의 공개키로 그룹의 비밀키를 암호화할 수 있다. 이때, 암호화부(720)는 RSA 알고리즘 등을 이용하여 그룹의 비밀키 및 그룹의 공개키 쌍을 생성할 수 있다. 그리고, 암호화부(720)는 생성된 그룹의 비밀키를 그룹에 속하는 단말의 공개키로 암호화할 수 있다.
일례로, 단말 1 및 단말 3을 그룹 1로 그룹화하고, 단말 2 및 단말 4를 그룹 2로 그룹화한 경우, 암호화부(720)는 그룹 1 및 그룹 2의 비밀키와 공개기 쌍을 각각 생성할 수 있다. 그리고, 암호화부(720)는 그룹 1의 비밀키를 단말 1의 공개키로 암호화하고, 그룹 1의 비밀키를 단말 3의 공개키로 암호화할 수 있다. 마찬가지로, 암호화부(720)는 그룹 2의 비밀키를 단말 2의 공개키로 암호화하고, 그룹 2의 비밀키를 단말 4의 공개키로 암호화할 수 있다.
이어, 630 단계에서, 암호화부(720)는 그룹에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 암호화할 수 있다. 이때, 암호화부(720)는 타겟 계층의 계층키를 그룹의 공개키를 이용하여 암호화할 수 있다.
그리고, 640 단계에서, ACL 생성부(730)는 암호화된 타겟 계층의 계층키에 기초하여 타겟 계층의 ACL을 생성할 수 있다. 이때, ACL 생성부(730)는 아래의 표 2와 같이, 그룹의 공개키로 암호화된 계층키 및 그룹의 식별정보를 포함하는 타겟 계층의 ACL을 생성할 수 있다.
그룹 1에 대한 i번째 계층의 접근 제어 리스트(ACLi)
(IDuser_group1, E(PKuser_group1, NKi))
그룹 1에 속하는 단말
IDuser_subgroup1, E(PKuser_subgroup1, SKuser_group1)
IDuser1, E(PKuser1, SKuser_group1)
표 2에서, IDuser_group1는 i번째 계층에 대한 접근 권한을 부여한 그룹 1의 식별정보, PKuser_group1는 그룹 1의 공개키, NKi는 i번째 계층의 계층키, E(PKuser_group1, NKi)는 그룹 1의 공개키를 이용하여 암호화된 i번째 계층의 계층키이다. 그리고, IDuser_subgroup1은 그룹 1에 속하는 단말들 중 하나 이상으로 구성된 서브 그룹 1의 식별정보, PKuser_subgroup1는 서브 그룹 1의 공개키, SKuser_group1는 그룹 1의 비밀키, E(PKuser_subgroup1, SKuser_group1)는 서브 그룹 1의 공개키로 암호화된 그룹 1의 비밀키, IDuser1는 단말 1의 식별정보, PKuser1는 단말 1의 공개키, SKuser_group1는 그룹 1의 비밀키, E(PKuser1, SKuser_group1)는 단말 1의 공개키로 암호화된 그룹 1의 비밀키이다.
표 2에 따르면, 접근 제어 장치(700)는 인증된 단말들을 그룹화하고, 특정 그룹에 속하는 복수의 단말들에게 타겟 계층에 대한 접근 권한을 부여할 수 있다. 그리고, ACL 생성부(730)는 타겟 계층에 대한 그룹의 접근 권한을 확인하기 위한 ACL을 생성할 수 있다. 그리고, 생성된 ACL은 그룹에 속하는 서브 그룹의 식별정보를 포함할 수도 있다.
한편, 도 6에서는 그룹에게 타겟 계층에 대한 접근 권한을 부여하는 과정에 대해 설명하였으나, 접근 제어 장치(700)는 그룹에 속하는 서브 그룹에게 다른 계층에 대한 접근 권한을 부여할 수도 있다. 일례로, ACL 생성부(730)는 아래의 표 3과 같이, 서브 그룹에게 접근 권한을 부여한 계층의 ACL을 생성할 수 있다.
서브 그룹 1에 대한 i+1번째 계층의 접근 제어 리스트(ACLi+1)
(IDuser_subgroup1, E(PKuser_subgroup1, NKi+1))
서브 그룹 1에 속하는 단말
IDuser2, E(PKuser2, SKuser_subgroup1)
IDuser3, E(PKuser3, SKuser_subgroup1)
표 3에서, IDuser_ subgroup1는 i+1번째 계층에 대한 접근 권한을 부여한 서브 그룹 1의 식별정보, PKuser_ subgroup1는 서브 그룹 1의 공개키, NKi+1은 i_1번째 계층의 계층키, E(PKuser_subgroup1, NKi+1)는 서브 그룹 1의 공개키를 이용하여 암호화된 i+1번째 계층의 계층키, IDuser2는 단말 2의 식별정보, PKuser2는 단말 2의 공개키, SKuser_subgroup1는 서브 그룹 1의 비밀키, IDuser3는 단말 3의 식별정보, PKuser3는 단말 3의 공개키, E(PKuser2, SKuser_subgroup1)는 단말 2의 공개키로 암호화된 서브 그룹 1의 비밀키, E(PKuser3, SKuser_subgroup1)는 단말 3의 공개키로 암호화된 서브 그룹 1의 비밀키이다.
도 7은 접근 제어 장치의 구성을 도시한 블록도이다.
도 7에 따르면, 단말 인증부(710), 암호화부(720), ACL 생성부(730), ACL 사본 생성부(740), 접근 권한 확인부(750), 전송부(760), 및 그룹 생성부(770)를 포함할 수 있다.
단말 인증부(710)는 접근 제어 장치(700)와 관계(relationship)를 형성하고자 하는 단말을 인증할 수 있다. 이때, 단말 인증부(710)는 단말을 인증하는 과정에서 접근 제어 장치(700)의 공개키(public key: PK)를 단말로 전송하고, 단말로부터 단말의 공개키 및 단말의 식별정보를 수신할 수 있다.
암호화부(720)는 인증된 단말에게 타겟 계층의 접근 권한을 부여하고자 하는 경우, 타겟 계층에 속하는 하나 이상의 데이터를 데이터키를 이용하여 암호화할 수 있다. 이때, 암호화부(720)는 랜덤함수를 이용하여 데이터키를 생성할 수 있다. 데이터가 복수개 인 경우, 암호화부(720)는 복수의 데이터마다 서로 다른 데이터키를 생성할 수 있다.
그리고, 암호화부(720)는 하나 이상의 데이터키를 타겟 계층의 계층키로 암호화할 수 있다. 그리고, 암호화부(720)는 타겟 계층의 계층키를 단말의 공개키를 이용하여 암호화할 수 있다. 여기서, 단말의 공개키는 인증을 통해 획득될 수 있다. 이때, 암호화부(720)는 타겟 계층의 계층키를 랜덤함수를 이용하여 생성할 수도 있고, 타겟 계층의 상위 계층의 계층키를 이용하여 생성할 수도 있다. 여기서, 계층키로는 대칭키가 이용될 수 있다.
또한, 암호화부(720)는 인증된 단말들이 그룹화된 경우, 접근 권한을 부여하고자 하는 그룹의 공개키 및 비밀키 쌍을 생성할 수 있다. 그리고, 암호화부(720)는 생성된 그룹의 공개키로 계층키를 암호화할 수 있다.
ACL 생성부(730)는 암호화된 계층키 및 접근 권한을 부여하고자 하는 단말의 식별 정보에 기초하여 접근 제어 리스트(ACL)를 생성할 수 있다. 이때, 타겟 계층의 상위 계층이 존재하고, 상위 계층의 ACL 또는 ACL 사본이 존재하는 경우, ACL 생성부(730)는 상위 계층의 ACL과 상이한 타겟 계층의 ACL을 별도로 생성할 수 있다.
다시 말해, 도 3을 참조하면, B1에 대한 접근 권한을 단말 1 및 단말 2에 부여한 경우, ACL 생성부(730)는 C2에 대한 접근 권한을 단말 1 및 단말 3에 부여하였음을 나타내는 ACL2를 생성할 수 있다.
또한, 타겟 계층의 ACL이 기생성된 상태에서 타겟 계층에 대한 접근 권한을 단말에게 부여하고자 하는 경우, ACL 생성부(730)는 기생성된 타겟 계층의 ACL에 암호화된 계층키 및 단말의 식별정보를 추가하여 타겟 계층의 ACL을 업데이트할 수 있다.
일례로, C2에 대한 접근 권한을 단말 4에 부여하고자 하는 경우, ACL 생성부(730)는 ACL2(352)에 단말 4의 공개키로 암호화된 계층키 및 단말 4의 식별정보를 추가함으로써 ACL2(352)를 업데이트할 수 있다.
또한, 타겟 계층에 대한 접근 권한을 단말에게서 철회하고자 하는 경우, ACL 생성부(730)는 타겟 계층의 ACL을 재생성할 수 있다. 이때, 암호화부(720)는 타겟 계층의 계층키를 재생성할 수 있다. 그리고, 암호화부(720)는 타겟 계층에 대한 접근 권한을 가진 단말들 중에서 접근 권한을 철회하고자 하는 단말을 제외한 나머지 단말들의 공개키를 이용하여 재생성된 타겟 계층의 계층키를 암호화할 수 있다. 그러면, ACL 생성부(730)는 암호화된 계층키와 나머지 단말들의 식별정보 쌍을 포함하는 타겟 계층의 ACL을 재생성할 수 있다. 그리고, ACL 생성부(730)는 기존의 타겟 계층의 ACL을 재생성된 타겟 계층의 ACL로 교체할 수 있다.
ACL 사본 생성부(740)는 생성된 타겟 계층의 ACL에 기초하여 타겟 계층의 ACL 사본을 생성할 수 있다. 이때, ACL 사본 생성부(740)는 생성된 타겟 계층의 ACL 사본을 메타 데이터에 저장할 수 있다. 여기서, 메타 데이터는 타겟 계층에 속하는 데이터의 메타 데이터, 타겟 계층에 속하는 하위 계층의 메타 데이터, 및 하위 계층에 속하는 데이터의 메타 데이터를 포함할 수 있다.
일례로, ACL 사본 생성부(740)는 타겟 계층에 대한 접근 권한을 부여한 단말의 식별 정보 및 암호화된 계층키의 링크정보 쌍을 포함하는 ACL 사본을 생성할 수 있다. 여기서, 암호화된 계층키의 링크정보는, 암호화된 타겟 계층의 계층키가 저장된 위치를 알려주는 연결 경로이고, 암호화된 타겟 계층의 계층키는 타겟 계층에 대한 접근 권한을 부여한 단말의 공개키로 암호화될 수 있다. 이처럼, 접근 제어 장치(700)는 ALC의 사본을 생성함에 따라, 단말에서 요청한 데이터를 탐색하는 소요되는 시간을 감소시킬 수 있다.
또한, ACL 사본 생성부(740)는 타겟 계층의 ACL이 업데이트됨에 따라, 업데이트된 타겟 계층의 ACL에 기초하여 타겟 계층의 ACL 사본을 업데이트할 수 있다.
일례로, ACL 사본 생성부(740)는 타겟 계층에 대한 접근 권한을 부여하고자 하는 단말의 식별 정보 및 상기 단말의 공개키를 이용하여 암호화된 계층키의 링크정보 쌍을 기생성된 ACL 사본에 추가할 수 있다. 이처럼, ACL 사본에 추가함에 따라 타겟 계층의 ACL 사본은 업데이트될 수 있다.
또한, ACL 사본 생성부(740)는 타겟 계층의 ACL이 재생성됨에 따라, 재생성된 타겟 계층의 ACL에 기초하여 타겟 계층의 ACL 사본을 재생성할 수 있다. 그리고, ACL 사본 생성부(740)는 기새성된 타겟 계층의 ACL 사본을 재생성된 타겟 계층의 ACL 사본으로 교체할 수 있다.
접근 권한 확인부(750)는 단말로부터 데이터가 요청됨에 따라, 요청한 데이터에 대한 단말의 접근 권한을 확인할 수 있다. 이때, 접근 권한 확인부(750)는 요청한 데이터의 메타 데이터에 저장된 ACL 사본 또는 요청한 데이터의 ACL에 기초하여 단말의 접근 권한을 확인할 수 있다.
그리고, 데이터에 대한 접근 권한이 있는 것으로 확인된 경우, 전송부(760)는 암호화된 데이터, 암호화된 데이터키, 및 암호화된 계층키를 단말로 전송할 수 있다. 여기서, 암호화된 데이터는, 단말이 요청한 데이터를 데이터키로 암호화한 것을 의미한다.
한편, 그룹 생성부(760)는 인증된 복수의 단말들을 사용자의 특성에 기초하여 하나 이상의 그룹으로 그룹화할 수 있다. 일례로, 그룹 생성부(760)는 복수의 단말들을 가족, 친구, 직장 동료 등으로 분류하여 그룹화할 수 있다.
그러면, 암호화부(720)는 RSA 알고리즘 등과 같이 공개키/비밀키 쌍을 생성하는알고리즘을 이용하여 생성된 그룹의 공개키 및 비밀키 쌍을 생성할 수 있다. 그리고, 암호화부(720)는 생성된 그룹의 비밀키를 그룹에 속하는 단말의 공개키로 암호화할 수 있다. 그리고, 암호화부(720)는 타겟 계층에 대한 접근 권한을 부여하고자 하는 그룹의 공개키를 이용하여 타겟 계층의 계층키를 암호화할 수 있다. 그러면, ACL 생성부(730)는 위의 표 2와 같이, 암호화된 타겟 계층의 계층키 및 그룹의 식별정보 쌍을 포함하는 ACL을 생성할 수 있다. 이처럼, 접근 제어 장치(700)는 그룹 단위로 접근 권한을 부여할 수 있다.
이때, 단말로부터 데이터가 요청되고, 요청된 데이터에 대한 접근 권한이 단말에게 부여된 것으로 확인된 경우, 전송부(760)는 단말의 공개키로 암호화된 그룹의 비밀키, 그룹의 공개키로 암호화된 계층키, 계층키로 암호화된 데이터키, 및 데이터키로 암호화된 데이터를 단말로 전송할 수 있다.
다른 한편, 그룹 생성부(760)는 그룹에 속하는 단말들 중 하나 이상을 서브 그룹화할 수 있다. 그러면, 암호화부(720)는 생성된 서브 그룹의 공개키 및 비밀키 쌍을 생성하고, 생성한 서브 그룹의 비밀키를 서브 그룹에 속하는 단말의 공개키로 암호화할 수 있다. 이때, 서브 그룹이 속하는 그룹에게 접근 권한을 부여한 계층과 상이한 다른 계층에 대한 접근 권한을 서브 그룹에게 부여하고자 하는 경우, 암호화부(720)는 서브 그룹의 공개키를 이용하여 다른 계층의 계층키를 암호화할 수 있다. 그러면, 표 3과 같이, ACL 생성부(730)는 서브 그룹의 식별자 정보, 서브 그룹의 공개키로 암호화된 계층키 쌍으로 구성된 ACL을 생성할 수 있다.
이때, 단말로부터 데이터가 요청되고, 요청된 데이터에 대한 접근 권한이 단말에게 부여된 것으로 확인된 경우, 전송부(760)는 단말의 공개키로 암호화된 서브 그룹의 비밀키, 서브 그룹의 공개키로 암호화된 계층키, 계층키로 암호화된 데이터키, 및 데이터키로 암호화된 데이터를 단말로 전송할 수 있다.
이하에서는 도 8을 참조하여 접근 제어 장치에서 생성된 ACL에 기초하여 단말의 접근 권한을 확인하고, 확인에 기초하여 암호화된 데이터를 복호화하는 과정에 대해 상세히 설명하기로 한다.
도 8은 단말에서 암호화된 데이터를 복호화하여 획득하는 과정을 설명하기 위해 제공되는 흐름도이다.
먼저, 810 단계에서, 접근 제어 장치(900)는 접근 제어 장치(700)와 관계(relationship)를 형성하고자 하는 단말(800)을 인증할 수 있다. 이때, 인증을 통해 접근 제어 장치(900)와 단말(800)은 서로 공개키를 교환할 수 있다. 그리고, 단말(800)은 인증을 통해 단말의 식별정보를 접근 제어 장치로 전송할 수 있다.
이어, 820 단계에서, 인증된 단말(800)에게 타겟 계층에 대한 접근 권한을 부여하고자 하는 경우, 접근 제어 장치(900)는 타겟 계층의 ACL을 생성할 수 있다. 이때, 접근 제어 장치(900)는 생성된 ACL에 기초하여 타겟 계층의 ACL 사본을 생성할 수 있다. 여기서, 타겟 계층의 ACL 및 ACL 사본을 생성하는 구성은 도 2 내지 도 7에서 자세히 설명하였으므로 중복되는 설명은 생략하기로 한다.
그리고, 830 단계에서, 단말(900)은 접근 제어 장치(900)로 데이터를 요청할 수 있다.
그러면, 840 단계에서, 접근 제어 장치(900)는 요청한 데이터의 메타 데이터에 저장된 ACL 또는 ACL 사본에 기초하여 단말(800)의 접근 권한을 확인할 수 있다.
그리고, 단말(800)에게 요청한 데이터에 대한 접근 권한이 부여된 것으로 확인된 경우, 850 단계에서, 접근 제어 장치(900)는 단말의 공개키로 암호화된 계층키, 계층키로 암호화된 데이터키, 및 데이터키로 암호화된 데이터를 단말(800)로 전송할 수 있다.
그러면, 860 단계에서, 단말(800)는 단말의 공개키로 암호화된 계층키를 단말의 비밀키를 이용하여 복호화할 수 있다.
그리고, 870 단계에서, 단말(800)은 복호된 계층키를 이용하여 암호화된 데이터키를 복호화할 수 있다.
그리고, 880 단계에서, 단말(800)은 복호된 데이터키를 이용하여 암호화된 데이터를 복호화할 수 있다.
한편, 850 단계에서, 단말(800)이 그룹 또는 서브 그룹에 속하는 경우, 접근 제어 장치(900)는 단말의 공개키로 암호화된 그룹 또는 서브 그룹의 비밀키, 그룹 또는 서브 그룹의 공개키로 암호화된 계층키, 계층키로 암호화된 데이터키, 및 데이터키로 암호화된 데이터를 단말(800)로 전송할 수 있다.
그러면, 단말(800)은 단말의 공개키로 암호화된 그룹 또는 서브 그룹의 비밀키를 단말의 비밀키를 이용하여 복호화할 수 있다. 그리고, 단말(800)은 복호된 그룹 또는 서브 그룹의 비밀키를 이용하여 계층키를 복호화할 수 있다. 마찬가지로, 단말(800)은 복호된 계층키를 이용하여 암호화된 데이터키를 복호화하고, 복호된 데이터키를 이용하여 데이터를 복호화할 수 있다.
지금까지, 단말에게 타겟 계층에 대한 접근 권한을 부여하기 위해 ACL을 생성하는 과정에 대해 설명하였으나, ACL 생성부(730)는 인증된 단말들 중 특정 단말에게 어느 하나의 타겟 데이터에 대한 접근 권한을 부여하기 위해 ACL을 생성할 수도 있다.
또한, 이상에서는 접근 제어 장치(700)에서 데이터를 요청한 단말의 접근 권한을 확인하는 것에 대해 설명하였으나, 데이터를 요청한 단말에서 단말의 접근 권한을 확인할 수도 있다. 이때, 접근 제어 장치(700)는 데이터의 메타 데이터에 저장된 ACL을 데이터를 요청한 단말로 전송할 수 있다. 그러면, 단말은 수신된 ACL에 기초하여 요청한 데이터에 대한 접근 권한을 자신이 가지고 있는지 여부를 확인할 수 있다.
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
700: 접근 제어 장치
710: 단말 인증부
720: 암호화부
730: ACL 생성부
740: ACL 사본 생성부
750: 접근 권한 확인부
760: 전송부
770: 그룹 생성부

Claims (20)

  1. 단말을 인증하여 단말의 식별정보 및 단말의 공개키(Public Key)를 획득하는 단말 인증부;
    상기 단말에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 상기 단말의 공개키를 이용하여 암호화하는 암호화부;
    상기 암호화된 계층키 및 상기 단말의 식별정보에 기초하여 접근 제어 리스트(Access Control List: ACL)를 생성하는 ACL 생성부; 및
    상기 암호화된 계층키의 링크 정보 및 상기 단말의 식별정보에 기초하여 상기 ACL의 사본을 생성하는 ACL 사본 생성부
    를 포함하는 접근 제어 장치.
  2. 제1항에 있어서,
    상기 ACL 생성부는,
    상기 타겟 계층의 상위 계층의 ACL이 기생성됨에 따라, 상기 상위 계층의 ACL과 상이한 상기 타겟 계층의 ACL을 별도로 생성하는 것을 특징으로 하는 접근 제어 장치.
  3. 제1항에 있어서,
    상기 ACL 사본 생성부는,
    상기 생성된 ACL의 사본을 메타 데이터에 저장하고,
    상기 메타 데이터는, 상기 타겟 계층에 속하는 데이터의 메타 데이터, 상기 타겟 계층에 속하는 하위 계층의 메타 데이터, 및 상기 하위 계층에 속하는 데이터의 메타 데이터 중 적어도 하나를 포함하는 것을 특징으로 하는 접근 제어 장치.
  4. 제1항에 있어서,
    상기 ACL 생성부는,
    상기 타겟 계층의 ACL이 기생성됨에 따라, 상기 기생성된 타겟 계층의 ACL에 상기 암호화된 계층키 및 상기 단말의 식별정보를 추가하여 상기 기생성된 타겟 계층의 ACL을 업데이트하고,
    상기 ACL 사본 생성부는,
    상기 업데이트된 타겟 계층의 ACL에 기초하여 기생성된 타겟 계층의 ACL 사본을 업데이트하는 것을 특징으로 하는 접근 제어 장치.
  5. 제1항에 있어서,
    상기 ACL 생성부는,
    상기 타겟 계층에 대한 접근 권한을 철회하고자 하는 단말이 존재함에 따라, 상기 타겟 계층의 ACL을 재생성하고,
    상기 ACL 사본 생성부는,
    상기 재생성된 타겟 계층이 ACL에 기초하여 타겟 계층의 ACL 사본을 재생성하는 것을 특징으로 하는 접근 제어 장치.
  6. 제1항에 있어서,
    상기 암호화부는,
    상기 타겟 계층에 속하는 데이터를 데이터키를 이용하여 암호화하고, 상기 데이터키를 상기 타겟 계층의 계층키를 이용하여 암호화하는 것을 특징으로 하는 접근 제어 장치.
  7. 제6항에 있어서,
    상기 단말의 데이터 요청에 따라, 상기 암호화된 데이터, 상기 암호화된 계층키, 및 상기 암호화된 데이터키를 상기 단말로 전송하는 전송부
    를 더 포함하는 접근 제어 장치.
  8. 제1항에 있어서,
    복수의 단말들을 사용자 특성에 기초하여 그룹화하는 그룹 생성부
    를 더 포함하고,
    상기 ACL 생성부는,
    상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성하는 것을 특징으로 하는 접근 제어 장치.
  9. 제8항에 있어서,
    상기 전송부는,
    상기 단말의 데이터 요청에 따라, 상기 단말의 공개키로 암호화된 그룹의 비밀키, 그룹의 공개키로 암호화된 계층키, 상기 계층키로 암호화된 데이터키, 및 상기 데이터키로 암호화된 데이터를 상기 단말로 전송하고,
    상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL은, 그룹의 공개키를 이용하여 암호화된 계층키, 및 상기 그룹의 식별정보를 포함하는 것을 특징으로 하는 접근 제어 장치.
  10. 제8항에 있어서,
    상기 그룹 생성부는,
    상기 그룹에 속하는 복수의 단말들을 서브 그룹화하고,
    상기 ACL 생성부는,
    상기 서브 그룹에 속하는 단말에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성하는 것을 특징으로 하는 접근 제어 장치.
  11. 단말을 인증하여 단말의 식별정보(ID) 및 단말의 공개키(Public Key)를 획득하는 단계;
    상기 단말에게 접근 권한을 부여하고자 하는 타겟 계층의 계층키를 상기 단말의 공개키를 이용하여 암호화하는 단계;
    상기 암호화된 계층키 및 상기 단말의 식별정보에 기초하여 접근 제어 리스트(Access Control List: ACL)를 생성하는 단계; 및
    상기 암호화된 계층키의 링크 정보 및 상기 단말의 식별정보에 기초하여 상기 ACL의 사본을 생성하는 단계
    를 포함하는 접근 제어 방법.
  12. 제11항에 있어서,
    상기 ACL을 생성하는 단계는,
    상기 타겟 계층의 상위 계층의 ACL이 기생성됨에 따라, 상기 상위 계층의 ACL과 상이한 상기 타겟 계층의 ACL을 별도로 생성하는 것을 특징으로 하는 접근 제어 방법.
  13. 제11항에 있어서,
    상기 ACL의 사본을 생성하는 단계는,
    상기 생성된 ACL의 사본을 메타 데이터에 저장하고,
    상기 메타 데이터는, 상기 타겟 계층에 속하는 데이터의 메타 데이터, 상기 타겟 계층에 속하는 하위 계층의 메타 데이터, 및 상기 하위 계층에 속하는 데이터의 메타 데이터 중 적어도 하나를 포함하는 것을 특징으로 하는 접근 제어 방법.
  14. 제11항에 있어서,
    상기 ACL을 생성하는 단계는,
    상기 타겟 계층의 ACL이 기생성됨에 따라, 상기 기생성된 타겟 계층의 ACL에 상기 암호화된 계층키 및 상기 단말의 식별정보를 추가하여 상기 기생성된 타겟 계층의 ACL을 업데이트하고,
    상기 ACL의 사본을 생성하는 단계는,
    상기 업데이트된 타겟 계층의 ACL에 기초하여 기생성된 타겟 계층의 ACL 사본을 업데이트하는 것을 특징으로 하는 접근 제어 방법.
  15. 제11항에 있어서,
    상기 타겟 계층에 대한 접근 권한을 철회하고자 하는 단말이 존재함에 따라, 상기 타겟 계층의 ACL을 재생성하는 단계; 및
    상기 재생성된 타겟 계층이 ACL에 기초하여 타겟 계층의 ACL 사본을 재생성하는 단계
    를 더 포함하는 접근 제어 방법.
  16. 제11항에 있어서,
    상기 암호화하는 단계는,
    상기 타겟 층에 속하는 데이터를 데이터키를 이용하여 암호화하는 단계; 및
    상기 데이터키를 상기 타겟 계층의 계층키를 이용하여 암호화하는 단계
    를 포함하는 접근 제어 방법.
  17. 제16항에 있어서,
    상기 단말의 데이터 요청에 따라, 상기 암호화된 데이터, 상기 암호화된 계층키, 및 상기 암호화된 데이터키를 상기 단말로 전송하는 단계
    를 더 포함하는 접근 제어 방법.
  18. 제11항에 있어서,
    복수의 단말들을 사용자 특성에 기초하여 그룹화하는 단계
    를 더 포함하고,
    상기 ACL을 생성하는 단계는,
    상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성하는 것을 특징으로 하는 접근 제어 방법.
  19. 제18항에 있어서,
    상기 단말로 전송하는 단계는,
    상기 단말의 데이터 요청에 따라, 상기 단말의 공개키로 암호화된 그룹의 비밀키, 그룹의 공개키로 암호화된 계층키, 상기 계층키로 암호화된 데이터키, 및 상기 데이터키로 암호화된 데이터를 상기 단말로 전송하고,
    상기 그룹에 속하는 복수의 단말들에게 접근 권한을 부여하고자 하는 계층의 ACL은, 그룹의 공개키를 이용하여 암호화된 계층키, 및 상기 그룹의 식별정보를 포함하는 것을 특징으로 하는 접근 제어 방법.
  20. 제18항에 있어서,
    상기 그룹화하는 단계는,
    상기 그룹에 속하는 복수의 단말들을 서브 그룹화하고,
    상기 ACL을 생성하는 단계는,
    상기 서브 그룹에 속하는 단말에게 접근 권한을 부여하고자 하는 계층의 ACL을 생성하는 것을 특징으로 하는 접근 제어 방법.
KR1020100116167A 2010-11-22 2010-11-22 계층 구조 기반의 데이터 접근 제어 장치 및 방법 KR20120054839A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100116167A KR20120054839A (ko) 2010-11-22 2010-11-22 계층 구조 기반의 데이터 접근 제어 장치 및 방법
US13/161,973 US20120131342A1 (en) 2010-11-22 2011-06-16 Method and apparatus for controlling access to data based on layer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100116167A KR20120054839A (ko) 2010-11-22 2010-11-22 계층 구조 기반의 데이터 접근 제어 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20120054839A true KR20120054839A (ko) 2012-05-31

Family

ID=46065514

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100116167A KR20120054839A (ko) 2010-11-22 2010-11-22 계층 구조 기반의 데이터 접근 제어 장치 및 방법

Country Status (2)

Country Link
US (1) US20120131342A1 (ko)
KR (1) KR20120054839A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101657893B1 (ko) * 2015-04-30 2016-09-19 성균관대학교산학협력단 클라우드 서비스를 위한 암호화 방법 및 사용자 장치에 기반한 암호화 방법을 제공하는 클라우드 시스템
KR20160130549A (ko) 2015-05-04 2016-11-14 구윤서 학습용 가열 실험 교구
US9774708B2 (en) 2014-06-10 2017-09-26 Samsung Electronics Co., Ltd. Network node and method of operating the network node

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018190311A (ja) 2017-05-11 2018-11-29 コニカミノルタ株式会社 権限付与装置および権限付与装置の制御プログラム
CN110363500B (zh) * 2019-07-12 2023-10-03 深圳市万睿智能科技有限公司 管理群组空间照明策略的方法和系统

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11313102A (ja) * 1998-02-27 1999-11-09 Fujitsu Ltd アクセス制御リスト生成方法及びその装置
US7421541B2 (en) * 2000-05-12 2008-09-02 Oracle International Corporation Version management of cached permissions metadata
US7203709B2 (en) * 2000-05-12 2007-04-10 Oracle International Corporation Transaction-aware caching for access control metadata
US7987217B2 (en) * 2000-05-12 2011-07-26 Oracle International Corporation Transaction-aware caching for document metadata
US8996698B1 (en) * 2000-11-03 2015-03-31 Truphone Limited Cooperative network for mobile internet access
US6768988B2 (en) * 2001-05-29 2004-07-27 Sun Microsystems, Inc. Method and system for incorporating filtered roles in a directory system
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
US20030217264A1 (en) * 2002-05-14 2003-11-20 Signitas Corporation System and method for providing a secure environment during the use of electronic documents and data
US7949871B2 (en) * 2002-10-25 2011-05-24 Randle William M Method for creating virtual service connections to provide a secure network
US7392356B1 (en) * 2005-09-06 2008-06-24 Symantec Corporation Promotion or demotion of backup data in a storage hierarchy based on significance and redundancy of the backup data
US8429724B2 (en) * 2006-04-25 2013-04-23 Seagate Technology Llc Versatile access control system
US7860852B2 (en) * 2007-03-27 2010-12-28 Brunner Josie C Systems and apparatuses for seamless integration of user, contextual, and socially aware search utilizing layered approach
US8854982B2 (en) * 2007-08-30 2014-10-07 Rockstar Consortium Us Lp Method and apparatus for managing the interconnection between network domains
US8245291B2 (en) * 2008-11-18 2012-08-14 Oracle International Corporation Techniques for enforcing access rights during directory access
KR101453425B1 (ko) * 2008-12-18 2014-10-23 한국전자통신연구원 메타데이터 서버 및 메타데이터 관리 방법
US8161074B2 (en) * 2009-09-15 2012-04-17 Oracle International Corporation Operationally complete hierarchical repository in a relational database
US8489639B2 (en) * 2011-03-04 2013-07-16 Accenture Global Services Limited Information source alignment
US9262498B2 (en) * 2011-05-27 2016-02-16 Red Hat, Inc. Generating optimized host placement of data payload in cloud-based storage network
US20120266209A1 (en) * 2012-06-11 2012-10-18 David Jeffrey Gooding Method of Secure Electric Power Grid Operations Using Common Cyber Security Services

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9774708B2 (en) 2014-06-10 2017-09-26 Samsung Electronics Co., Ltd. Network node and method of operating the network node
KR101657893B1 (ko) * 2015-04-30 2016-09-19 성균관대학교산학협력단 클라우드 서비스를 위한 암호화 방법 및 사용자 장치에 기반한 암호화 방법을 제공하는 클라우드 시스템
KR20160130549A (ko) 2015-05-04 2016-11-14 구윤서 학습용 가열 실험 교구

Also Published As

Publication number Publication date
US20120131342A1 (en) 2012-05-24

Similar Documents

Publication Publication Date Title
CN107579958B (zh) 数据管理方法、装置及系统
EP2890084B1 (en) A data securing system and method
US8140843B2 (en) Content control method using certificate chains
JP5314016B2 (ja) 情報処理装置、暗号鍵の管理方法、コンピュータプログラム及び集積回路
US8856530B2 (en) Data storage incorporating cryptographically enhanced data protection
US8245031B2 (en) Content control method using certificate revocation lists
US8266711B2 (en) Method for controlling information supplied from memory device
RU2500075C2 (ru) Создание и проверка достоверности документов, защищенных криптографически
WO2014207554A2 (en) Method and apparatus for providing database access authorization
US20080010449A1 (en) Content Control System Using Certificate Chains
US20080010452A1 (en) Content Control System Using Certificate Revocation Lists
US20080022395A1 (en) System for Controlling Information Supplied From Memory Device
US20080034440A1 (en) Content Control System Using Versatile Control Structure
EP2513901A1 (en) Content control method using certificate revocation lists
WO2022148182A1 (zh) 一种密钥管理方法及相关设备
US11256662B2 (en) Distributed ledger system
US20150143107A1 (en) Data security tools for shared data
Purushothaman et al. An approach for data storage security in cloud computing
CN114239046A (zh) 数据共享方法
US20240039709A1 (en) Method and apparatus for sharing encrypted data, and device and readable medium
US20140310519A1 (en) Method and apparatus for controlling access in a social network service
WO2008008244A2 (en) Content control system and method using versatile control structure
KR20120054839A (ko) 계층 구조 기반의 데이터 접근 제어 장치 및 방법
EP2038802A2 (en) Content control system and method using certificate revocation lists
EP2038803A2 (en) Content control system and method using certificate chains

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal