公开(公告)号：KR100449493B1

公开(公告)日：2004-09-22

申请号：KR1020020068066

申请日：2002-11-05

Applicant: 한국전자통신연구원

Inventor： 두소영 ,  유준석 ,  임재덕 ,  은성경 ,  김정녀 ,  손승원

IPC: H04L9/00

Abstract: PURPOSE: An apparatus and a method for encrypting user authentication information and data using MAC(Mandatory Access Control) and RBAC(Role Based Access Control) are provided to perform an encrypting process corresponding to a grade of the user information by encrypting selectively a transmitting file according to an important grade of the transmitting file. CONSTITUTION: An apparatus for encrypting user authentication information and data using MAC and RBAC includes an FTP client program(10), a kernel layer(20), an FTP demon program(15), and a security database(30). The FTP client program(10) provides a user authentication information request and a server connection request. The kernel layer(20) is used for requesting the user authentication according to the server connection request of the FTP client program. In addition, the kernel layer is used for performing an encrypting/decrypting processing data of the FTP client program when being connected by a grade of MAC corresponding to the user authentication request. The FTP demon program(15) is used for analyzing the encrypted user authentication information and performing a user authentication process according to the grade of MAC. The security database(30) is used for storing the grade of MAC for the client and the grade of MAC for the data.

Abstract translation: 目的：提供一种使用MAC（强制访问控制）和RBAC（基于角色的访问控制）来加密用户认证信息和数据的装置和方法，以通过选择性地加密发送文件来执行与用户信息的等级相对应的加密处理 根据传输文件的重要等级。 用于使用MAC和RBAC加密用户认证信息和数据的装置包括FTP客户端程序（10），内核层（20），FTP恶魔程序（15）和安全数据库（30）。 FTP客户端程序（10）提供用户认证信息请求和服务器连接请求。 内核层（20）用于根据FTP客户端程序的服务器连接请求请求用户认证。 另外，内核层用于在通过对应于用户认证请求的等级的MAC连接时执行FTP客户端程序的加密/解密处理数据。 FTP恶魔程序（15）用于分析加密的用户认证信息并根据MAC的等级执行用户认证过程。 安全数据库（30）用于存储客户端的MAC等级和数据的MAC等级。

公开(公告)号：KR100519697B1

公开(公告)日：2005-10-11

申请号：KR1020000080615

申请日：2000-12-22

Applicant: 한국전자통신연구원

Inventor： 고종국 ,  두소영 ,  은성경 ,  김정녀

IPC: G06F15/00

Abstract: 본 발명은 신분 기반을 이용한 접근 제어 시스템의 접근 제어 방법에 관한 것이다.
발명에서는 운영체제에서 제공하는 접근제어를 위한 퍼미션(permission) 기능을 효율적이고 강력하게 확장한다. 즉, 하나의 객체에 대한 기존의 접근제어 신분이 user, group 그리고 other 로만 나누어 졌던 것을 확장함으로써, 특정 사용자와 특정 그룹에도 퍼미션을 독립적으로 주는 제어 방법이다. 이는, 각 객체에 대한 접근제어 리스트를 NDBM(New Database Manager)을 이용하여 파일에 저장해 놓은 후, 해당 객체의 접근 요청이 있을 때, 접근 제어 리스트(Access Control List)를 검사하여 접근 권한이 있는지를 검사하여 사용자의 접근을 통제한다.
이로 인해, 루트 권한만 획득하면 시스템의 모든 파일들을 접근할 수 있으므로 야기되었던 운영체제의 취약성을 해결할 수 있을 뿐만 아니라, 접근 권한에 대한 유연성을 주어 시스템의 보안성을 강화할 수 있다.

公开(公告)号：KR1020050059627A

公开(公告)日：2005-06-21

申请号：KR1020030091329

申请日：2003-12-15

Applicant: 한국전자통신연구원

Inventor： 두소영 ,  김정녀 ,  손승원 ,  박치항

IPC: G06F11/00

Abstract: 본 발명은 보안등급별로 각각의 암호키로 암호화된 감사기록을 레코딩하거나, 사용자의 현재 권한에 따라서 감사기록의 복호화된 내용을 리딩할 수 있는 방법 및 레코딩 장치에 관한 것이다.
본 발명이 제공하는 네트워크 시스템에서 보안등급별 감사기록의 레코딩 장치는 감사사건을 보안등급별로 생성하는 감사사건 생성부; 생성된 감사사건의 감사기록을 생성하는 감사기록 생성부; 감사기록의 보안등급에 해당하는 암호화 알고리즘을 사용하여 감사기록을 암호화하는 감사기록 암호화부; 및 암호화된 감사기록을 저장하는 감사기록 데이터베이스를 포함하여 본 발명의 기술적 과제를 달성한다.
본 발명이 제공하는 네트워크 시스템에서 보안등급별 감사기록의 리딩 방법은 감사기록 데이터베이스에 저장된 감사기록의 리딩을 요청하는 단계; 요청 사용자의 현재 프로세스의 역할이 감사기록 DB에 지정된 역할에 포함되는 지 판별하는 단계; 프로세스의 역할이 감사기록 DB에 지정된 역할에 포함되면, 리딩 요청된 감사기록이 감사기록 DB로부터 독출된 후, 프로세스 역할에 해당하는 암호키를 이용하여 복호화되는 단계; 복호화된 감사기록이 리딩 요청된 감사기록과 일치하는지 판별하여 일치하면 복호화된 감사기록을 요청 사용자에게 제시되는 단계를 포함하여 본 발명의 기술적 과제를 달성한다.

公开(公告)号：KR100447511B1

公开(公告)日：2004-09-07

申请号：KR1020010084866

申请日：2001-12-26

Applicant: 한국전자통신연구원

Inventor： 고종국 ,  유준석 ,  임재덕 ,  두소영 ,  은성경 ,  김정녀

IPC: G06F15/00

Abstract: PURPOSE: A role based access control method is provided to control an access request based on a user role at a kernel level for preventing or intercepting a system hacking. CONSTITUTION: The method comprises several steps. A process selects effective roles among current roles by checking whether the roles, whose current member is the process, exist with the data on all the generated roles stored at a role data file(S1). The generation number of the effective roles, stored at the role data file, is compared with that of the roles, stored at an object security database, and a permission value of the role defined at an object is regarded as meaningless in a case that the two generation numbers are not same(S2). An OR operation is applied to attribute values defined at the object corresponding to the remaining roles processed via the steps, S1 and S2, it is checked whether a requested attribute value exists at the object, and an access permission result is output according to the check result(S3).

Abstract translation: 目的：提供基于角色的访问控制方法来控制基于内核级用户角色的访问请求，以防止或拦截系统黑客行为。 构成：该方法包括几个步骤。 进程通过检查当前成员是进程的角色是否与存储在角色数据文件（S1）上的所有生成角色的数据一起存在，从而在当前角色中选择有效角色。 存储在角色数据文件中的有效角色的世代号与存储在对象安全数据库中的角色的世代号进行比较，并且在对象安全数据库中定义的角色的许可值被认为是无意义的 两代号码不一样（S2）。 对在与通过步骤S1和S2处理的剩余角色相对应的对象处定义的属性值应用OR操作，检查在对象处是否存在请求的属性值，并且根据该检查输出访问许可结果 结果（S3）。

公开(公告)号：KR100439171B1

公开(公告)日：2004-07-05

申请号：KR1020010072639

申请日：2001-11-21

Applicant: 한국전자통신연구원

Inventor： 두소영 ,  은성경 ,  고종국 ,  김정녀 ,  정교일

IPC: G06F15/00

CPC classification number: H04L63/101 ,  H04L67/14

Abstract: Disclosed herein is a method of providing a trusted path between a client and a system using an access control processing technique. The method of providing a trusted path between a client and a system includes the step of determining whether access to resources of the system will be permitted or refused on the basis of access control rules and databased attributes set by a security administrator. Thereafter, the client is notified of permission for or refusal of the access in accordance with the result of the determination.

Abstract translation: 这里公开了一种使用访问控制处理技术在客户端和系统之间提供可信路径的方法。 在客户机和系统之间提供可信路径的方法包括以下步骤：基于由安全管理员设置的访问控制规则和数据库属性来确定是否允许或拒绝对系统的资源的访问。 此后，根据判断结果向客户通知访问的许可或拒绝。

公开(公告)号：KR1020030042117A

公开(公告)日：2003-05-28

申请号：KR1020010072639

申请日：2001-11-21

Applicant: 한국전자통신연구원

Inventor： 두소영 ,  은성경 ,  고종국 ,  김정녀 ,  정교일

IPC: G06F15/00

CPC classification number: H04L63/101 ,  H04L67/14

Abstract: PURPOSE: A method for providing a trusted path between a client and a system using an access control processing technique is provided to protect system resource, and to prevent the information outflow of the client by making the client confirm an instruction transferred from the system before transferring the personal information to the system. CONSTITUTION: If the client inputs an ID after logging in to the system, a log-in function is set to a hardware processing tool and the client(S200). If the log-in function is set to the hardware processing tool and the client, the access to the resource is judged by comparing the sameness of the ID based on an access control rule and the databased attributes(S208). If the access to the resource is approved, a display function of the hardware processing tool is set to 'on'(S210). A password certification process is carried out subsequently(S216).

Abstract translation: 目的：提供一种使用访问控制处理技术在客户机和系统之间提供可信路径的方法，以保护系统资源，并通过使客户端在传输之前确认从系统传输的指令来防止客户端的信息流出 个人信息给系统。 规定：如果客户端在登录系统后输入了ID，则会将登录功能设置为硬件处理工具和客户端（S200）。 如果登录功能被设置为硬件处理工具和客户端，则通过比较基于访问控制规则和数据库属性的ID的同一性来判断对资源的访问（S208）。 如果对资源的访问被批准，则硬件处理工具的显示功能被设置为“开”（S210）。 密码认证过程随后进行（S216）。

公开(公告)号：KR100546776B1

公开(公告)日：2006-01-26

申请号：KR1020030091329

申请日：2003-12-15

Applicant: 한국전자통신연구원

Inventor： 두소영 ,  김정녀 ,  손승원 ,  박치항

IPC: G06F11/00

Abstract: 본 발명은 보안등급별로 각각의 암호키로 암호화된 감사기록을 레코딩하거나, 사용자의 현재 권한에 따라서 감사기록의 복호화된 내용을 리딩할 수 있는 방법 및 레코딩 장치에 관한 것이다.
본 발명이 제공하는 네트워크 시스템에서 보안등급별 감사기록의 레코딩 장치는 감사사건을 보안등급별로 생성하는 감사사건 생성부; 생성된 감사사건의 감사기록을 생성하는 감사기록 생성부; 감사기록의 보안등급에 해당하는 암호화 알고리즘을 사용하여 감사기록을 암호화하는 감사기록 암호화부; 및 암호화된 감사기록을 저장하는 감사기록 데이터베이스를 포함하여 본 발명의 기술적 과제를 달성한다.
본 발명이 제공하는 네트워크 시스템에서 보안등급별 감사기록의 리딩 방법은 감사기록 데이터베이스에 저장된 감사기록의 리딩을 요청하는 단계; 요청 사용자의 현재 프로세스의 역할이 감사기록 DB에 지정된 역할에 포함되는 지 판별하는 단계; 프로세스의 역할이 감사기록 DB에 지정된 역할에 포함되면, 리딩 요청된 감사기록이 감사기록 DB로부터 독출된 후, 프로세스 역할에 해당하는 암호키를 이용하여 복호화되는 단계; 복호화된 감사기록이 리딩 요청된 감사기록과 일치하는지 판별하여 일치하면 복호화된 감사기록을 요청 사용자에게 제시되는 단계를 포함하여 본 발명의 기술적 과제를 달성한다.

公开(公告)号：KR1020030082187A

公开(公告)日：2003-10-22

申请号：KR1020020020800

申请日：2002-04-17

Applicant: 한국전자통신연구원

Inventor： 은성경 ,  김정녀 ,  고종국 ,  두소영 ,  유준석 ,  임재덕

IPC: G06F12/14

CPC classification number: G06F21/6209 ,  G06F21/6218

Abstract: PURPOSE: A method for controlling access using a token having security attribute on a computer system is provided to keep security even if a storing device is flown out by storing a file after encryption using an encryption attribute, and to put no special limitation for conventional operation while keeping the security by making a system manager read only the encrypted contents for backup. CONSTITUTION: The computer system gives the token having the security attribute to a user permitted to access to a file(S101). A user process checks an access request for the file. It is judged that the access requested file has the token having the security attribute(S103). If the file has the token, the access to the file is permitted. If not, the access is permitted or refused by judging that the user requesting the access has the same token(S104).

Abstract translation: 目的：提供一种使用计算机系统上具有安全属性的令牌来控制访问的方法，以便即使通过使用加密属性在加密之后存储文件来存储存储设备，也保持安全性，并且对常规操作没有特别限制 同时通过使系统管理员只读取加密的内容进行备份来保持安全性。 构成：计算机系统向允许访问文件的用户给出具有安全属性的令牌（S101）。 用户进程检查文件的访问请求。 判断访问请求文件具有具有安全属性的令牌（S103）。 如果文件有令牌，则允许访问该文件。 如果不是，则通过判断请求访问的用户具有相同的令牌来允许或拒绝该访问（S104）。

公开(公告)号：KR1020030054657A

公开(公告)日：2003-07-02

申请号：KR1020010084866

申请日：2001-12-26

Applicant: 한국전자통신연구원

Inventor： 고종국 ,  유준석 ,  임재덕 ,  두소영 ,  은성경 ,  김정녀

IPC: G06F15/00

Abstract: PURPOSE: A role based access control method is provided to control an access request based on a user role at a kernel level for preventing or intercepting a system hacking. CONSTITUTION: The method comprises several steps. A process selects effective roles among current roles by checking whether the roles, whose current member is the process, exist with the data on all the generated roles stored at a role data file(S1). The generation number of the effective roles, stored at the role data file, is compared with that of the roles, stored at an object security database, and a permission value of the role defined at an object is regarded as meaningless in a case that the two generation numbers are not same(S2). An OR operation is applied to attribute values defined at the object corresponding to the remaining roles processed via the steps, S1 and S2, it is checked whether a requested attribute value exists at the object, and an access permission result is output according to the check result(S3).

Abstract translation: 目的：提供一种基于角色的访问控制方法，以根据内核级别的用户角色来控制访问请求，以防止或拦截系统黑客。 构成：该方法包括几个步骤。 过程通过检查当前成员是进程的角色是否存在于角色数据文件（S1）中存储的所有生成的角色上的数据，来选择当前角色中的有效角色。 存储在角色数据文件中的有效角色的生成次数与存储在对象安全数据库中的角色的生成次数进行比较，并且在对象的定义角色的权限值被认为是无意义的， 两代数不相同（S2）。 对与通过步骤S1和S2处理的剩余角色相对应的对象定义的属性值应用OR操作，检查对象是否存在请求的属性值，并且根据检查输出访问许可结果 结果（S3）。