역할기반 접근 제어를 적용한 데이터베이스 보안 시스템에서의 보안 정책 최소화

정민아,이광호 한국정보통신학회 2005 한국정보통신학회논문지 Vol.9 No.7

There are many security models for database systems using policy-based access control. RBAC (Role-based Access Control) is used for complementing MAC (Mandatory Access Control) and DAC (Discretionary Access Control) and is for performing flexibly security policies meet applied environment. We implemented the database security system that applies DAC, MAC, and RBAC to meet security requirements of users. However, security policies are constructed redundantly whenever security policies are needed to each user in this system. Even though the proposed security system can flexibly control more complicated ‘read’ access to various data sizes for individual users, it is obvious that there is a possibility that a new policy can be a duplication of existing policies. In this paper, we introduce the problem of policy duplication and propose the policy management module. With this proposed module, constructed policies are checked for duplication and deleted or merged with existing policies. 데이터베이스 보안을 위해 주로 정책기반 접근 제어를 이용하며, 이 중 역할 기반 접근 정책의 도입은 강제적 접근 제어 정책과 임의적 접근 제어 정책의 단점을 보완하고자 하는 노력으로, 이를 통하여 적용 환경의 상황에 적합한 보안 정책을 유연하게 시행할 수 있다. 최근 사용자의 다양한 보안 요구사항을 수용하기 위해 정책기반 접근 제어 정책을 변형 및 적용하여 데이터베이스 보안 시스템을 구현한 바 있다. 이러한 시스템에서 보안 정책은 새로운 접근 제어가 필요할 경우 정책을 추가 생성하므로 같은 사용자에 따른 정책들의 중복 현상이 나타나 시스템의 성능을 저하시킬 수 있다. 본 논문에서는 기존의 접근 제어 정책을 변형 및 조합하여 적용한 데이터베이스 보안 시스템에서 역할 기반 접근 제어 정책을 적용하는 과정에서의 정책 중복의 문제를 소개하고 이를 해결하기 위한 정책 관리 모듈을 제안하고자 한다. 정책 관리 모듈은 사용자별로 생성되는 정책에 대하여 중복여부를 검사하고 중복된 정책에 대하여는 삭제하며, 사용자 별로 이미 생성된 정책에 데이터 그룹에 대한 접근 제어 정책을 통합할 수 있도록 구현하였다.

역할기반 접근 제어를 적용한 데이터베이스 보안 시스템에서의 보안 정책 최소화

정민아,이광호,Jung Min-A,Lee Kwang-Ho 한국정보통신학회 2005 한국정보통신학회논문지 Vol.9 No.6

There are many security models for database systems using policy-based access control. RBAC (Role-based Access Control) is used for complementing MAC (Mandatory Access Control) and DAC (Discretionary Access Control) and is for performing flexibly security policies meet applied environment. We implemented the database security system that applies DAC, MAC, and RBAC to meet security requirements of users. However, security policies are constructed redundantly whenever security policies are needed to each user in this system. Even though the proposed security system can flexibly control more complicated 'read' access to various data sizes for individual users, it is obvious that there is a possibility that a new policy can be a duplication of existing policies. In this paper, we introduce the problem of policy duplication and propose the policy management module. With this proposed module, constructed policies are checked for duplication and deleted or merged with existing policies. 데이터베이스 보안을 위해 주로 정책기반 접근 제어를 이용하며, 이 중 역할 기반 접근 정책의 도입은 강제적 접근 제어 정책과 임의적 접근 제어 정책의 단점을 보완하고자 하는 노력으로, 이를 통하여 적용 환경의 상황에 적합한 보안 정책을 유연하게 시행할 수 있다. 최근 사용자의 다양한 보안 요구사항을 수용하기 위해 정책기반 접근 제어 정책을 변형 및 적용하여 데이터베이스 보안 시스템을 구현한 바 있다. 이러한 시스템에서 보안 정책은 새로운 접근 제어가 필요할 경우 정책을 추가 생성하므로 같은 사용자에 따른 정책들의 중복 현상이 나타나 시스템의 성능을 저하시킬 수 있다. 본 논문에서는 기존의 접근 제어 정책을 변형 및 조합하여 적용한 데이터베이스 보안 시스템에서 역할 기반 접근 제어 정책을 적용하는 과정에서의 정책 중복의 문제를 소개하고 이를 해결하기 위한 정책 관리 모듈을 제안하고자 한다. 정책 관리 모듈은 사용자별로 생성되는 정책에 대하여 중복여부를 검사하고 중복된 정책에 대하여는 삭제하며, 사용자 별로 이미 생성된 정책에 데이터 그룹에 대한 접.근 제어 정책을 통합할 수 있도록 구현하였다.

웹 서비스를 위한 데이터 접근 제어의 정책 시스템

조선문(Sun-Moon Jo),정경용(Kyung-Yong Chung) 한국콘텐츠학회 2008 한국콘텐츠학회논문지 Vol.8 No.11

접근 제어 기법은 모든 보호 입도 수준을 지원할 만큼 충분히 유연해야 한다. 또한 접근 제어 정책은 문서 타입과 관련하여 명세 될 가능성이 매우 높으므로, 문서가 기존의 접근 제어 정책에 의해 다루어지지 않는 상황을 적절하게 관리해야 한다. XML 문서에 관해서도 단순한 권한부여를 넘어서 좀 더 유연하게 정책을 기술하고, 선택할 수 있는 접근 제어 방법을 고려해야 한다. 본 논문은 XML 문서 접근을 위한 권한부여와 효율적인 관리를 위한 접근 제어 정책 시스템을 기술하고 설계하여 XML 자체의 능력을 활용하는 방법을 제안한다. 본 논문 시스템의 주요 특징은 특정 XML 문서에서 누가 어떤 접근 특권을 행사할 것인가를 고려하면서 조직 전반에 걸친 정책 관리자와 단일 문서 작성자의 요구를 원만하게 조정하는 것이다. Access control techniques should be flexible enough to support all protection granularity levels. Since access control policies are very likely to be specified in relation to document types, it is necessary to properly manage a situation in which documents fail to be dealt with by the existing access control policies. In terms of XML documents, it is necessary to describe policies more flexibly beyond simple authorization and to consider access control methods which can be selected. This paper describes and designs the access control policy system for authorization for XML document access and for efficient management to suggest a way to use the capacity of XML itself. The system in this paper is primarily characterized by consideration of who would exercise what access privileges on a specific XML document and by good adjustment of organization-wide demands from a policy manager and a single document writer.

상황인식 기반 적응적 접근제어 보안모델 설계에 관한 연구

김남일,김창복 한국인터넷방송통신학회 2008 한국인터넷방송통신학회 논문지 Vol.8 No.5

본 논문은 기존의 접근제어 모델을 확장하여 상황인식 기반 접근제어 모델을 제안하였다. 본 논문에서 xoRBAC와 CAAC와 같은 상황인식기반 보안모델에 대한 최근연구들을 조사하였다. 정확한 정책평가를 위해 기존의 CAAC 보안모델에 상황브로커와 파인더 컴포넌트를 추가하였다. 이 보안모델에 의해 더욱 명확한 정책결정을 위해 상황정보 및 상황결정정보를 보다 용이하게 수집할 수 있다. 또한, 접근된 자원에서 또 한번의 사용자 이벤트를 판단하여, 접근할 수 있는 모든 가능한 자원들을 제어하였다. 본 논문에서 제안된 보안모델은 역할에 따른 특정정책과 제약조정을 통해 다양한 보안등급 및 접근권한방식을 동적으로 제공할 수 있다.

접근제어 추론 기반의 융합 보안시스템 정책처리 기법 설계

서우석(Woo Seok Seo),박중오(Jung Oh Park),전문석(Moon Seog Jun  ) 한국정보과학회 2011 정보과학회논문지 : 정보통신 Vol.38 No.6

ESM(Enterprise Security Management, 통합보안 시스템)은 외부 망에서 시스템 및 네트워크 장애유발을 목적으로 Forwarding 되는 Packet과 접근정보 일체를 종합 보안관제함으로써 공격성 접근을 차단 또는 탐지하는 기술을 사용하기 위해 많은 기관과 기업이 구축하고 있다. 하지만 과거 침해사례를 보면, 공격성 Packet이 특정 네트워크 영역으로 접근하는 경우에 해당 경로에 구축되어 있는 보안장비 마다 보안정책을 지속적으로 개발하고 있음에도 불구하고 한 번의 침해가 전체 네트워크에 치명적인 장애를 유발하기 때문에 본 논문에서는 접근제어 추론을 응용한 데이터베이스 기반의 융합 보안 시스템을 제시하고 탑재되는 보안정책을 처리하는 기법을 설계한다. 또한 향후 연구영역의 확대를 위해 제한적인 구현을 실시함으로써 불법 접근에 대한 제어와 실시간 보안정책을 초기화 및 재 정책 설정하는 보안기법에 관한 연구를 한다. 연구 결과는 보안 분야에서 상호 상이한 보안장비 개발에 종합적인 방어정책(Access Control Inference Algorithm) 구현을 통해 현실적인 자료를 제공하고자 한다. ESM (Enterprise Security Management) has been equipped by many organizations and enterprises, with the purpose of their using the technology to cut off or detect aggressiveness by the total managed security of forwarded packets with intent to cause system and network failure from external networks and entire access information. However, when looking at the previous cases of intrusion, in case that attack packets approached specific network zones, just one case of intrusion caused lethal failure in the entire network, despite the fact that there was continuous development of security policies for each security tool built in corresponding routes. In this regard, this study attempted to suggest database-based convergence security systems using access control inference and to design the techniques that could treat subsequently loaded security policies. In addition, it investigated the security methods of controlling illegal access, initializing real-time security policies and setting up various policies, by conducting limited embodiment for the expansion of future research areas. Through the research results, the study was aimed to provide realistic data through the embodiment of comprehensive access control inference Algorithm in the development of mutually disparate security tools in the field of security.

상황 인식 기반의 유비쿼터스 컴퓨팅을 위한 접근 제어 시스템

이지연,안준선,도경구,창병모,Lee, Ji-Yeon,Ahn, Joon-Seon,Doh, Kyung-Goo,Chang, Byeong-Mo 한국정보처리학회 2008 정보처리학회논문지 A Vol.15 No.1

다양한 모바일 기기들이나 무선 네트워크들에 의한 무분별한 자원 접근은 시스템에 문제를 일으킬 수 있으므로 접근 권한 관리는 매우 중요하다. 본 논문에서는 프로그래머가 각 응용 프로그램에 맞는 접근 권한 규칙을 정책 파일로 작성하고 이를 실행시키는 접근 제어 시스템을 구현하였다. 본 논문에서 구현된 접근 제어 시스템인 CACM(Context-awareness Access Control Manager)은 상황 인식 기반의 유비쿼터스 컴퓨팅을 위한 프레임워크인 JCAF을 바탕으로 구현하였다. CACM은 프로그래머가 작성한 정책 파일을 바탕으로 접근을 제어한다. 또한 본 논문에서는 정책 파일을 정적 분석하여 잘못된 정책 파일 규칙 알려주는 지원 시스템을 제공하며 본 시스템을 사용하여 개발된 유비쿼터스 응용 프로그램의 실행을 시뮬레이션 할 수 있는 시뮬레이터와 시뮬레이션 결과를 제공한다. It is important to manage access control for secure ubiquitous applications. In this paper, we present an access-control system for executing policy file which includes access control rules. We implemented Context-aware Access Control Manager(CACM) based on Java Context-Awareness Framework(JCAF) which provides infrastructure and API for creating context-aware applications. CACM controls accesses to method call based on the access control rules in the policy file. We also implemented a support tool to help programmers modify incorrect access control rules using static analysis information, and a simulator for simulating ubiquitous applications. We describe simulation results for several ubiquitous applications.

클라우드 환경에서 개체 속성 기반 접근제어 모델

최은복 중소기업융합학회 2020 융합정보논문지 Vol.10 No.10

클라우드 환경의 대규모 인프라 구조에서는 응용프로그램들과 디바이스의 공유로 인하여 불법적인 접근권 한 문제가 빈번하게 발생하기 때문에 이러한 공격에 적극적으로 대응하기 위해서는 상황별로 대비가 가능한 강화 된 접근통제 시스템이 요구된다. 우리는 대규모 인프라 환경에 기반한 보안등급과 릴레이션 개념의 개체 속성 기반 접근통제 모델을 제시하였다. 본 모델은 주체와 객체에 무결성과 기밀성 등급을 부여하고 동일한 역할에 대해 서로 다른 서비스가 가능한 강화된 접근제어 특성을 가지며, 서비스와 관련된 릴레이션과 상태정보인 컨텍스트에 의해 역할과 권한을 배정함으로써 권한 관리의 유연성을 갖는다. 또한, 대학이라는 대규모 인프라 구조를 갖는 다중 서 비스 환경에 적용한 응용 사례를 통하여 본 모델의 적용 가능성을 제시하였다. In the large-scale infrastructure of cloud environment, illegal access rights are frequently caused by sharing applications and devices, so in order to actively respond to such attacks, a strengthened access control system is required to prepare for each situation. We proposed an entity attribute-based access control(EABAC) model based on security level and relation concept. This model has enhanced access control characteristics that give integrity and confidentiality to subjects and objects, and can provide different services to the same role. It has flexibility in authority management by assigning roles and rights to contexts, which are relations and context related to services. In addition, we have shown application cases of this model in multi service environment such as university.

관계형 데이터베이스를 이용한 XML문서 접근제어 모델

김창림(Chang Lim Kim),김명호(Myoung Ho Kim),이윤준(Yoon Joon Lee) 한국정보과학회 데이터베이스 소사이어티 2005 데이타베이스 연구 Vol.21 No.2

XML이 구조화되고 정형화된 데이터를 표현하는 일반적인 방법을 제공함으로써 그 효용성의 가치를 인정받아 사실상 웹 문서의 표준으로 자리매김하게 되었다. 현재 XML문서는 인터넷 기반의 데이터 표현과 전송의 표준으로 전자교범, 문서, 전자상거래 자료 등 다양한 종류의 문서에 사용되고 있다. 많은 정보들이 XML문서 형식으로 표현됨에 따라 사용 권한이 없는 사용자로부터의 보안에 대한 중요성이 대두되었다. XML문서에 대한 보안은 XML파일에 대해 직접적으로 제어하는 방식으로 활발한 연구가 진행되고 있다. 현재까지의 XML보안에 관한 연구는 암호화와 전자서명과 같은 통신상의 보안에 관한 연구가 중심이 되었으나, XML이 대부분의 웹 문서의 표준으로 사용됨으로써 그 범위가 방대해지고 복잡해짐에 따라 XML문서에 대한 통신상의 보안뿐만 아니라 관리적인 보안이 필요하게 되었다. 이러한 관리적인 보안은 접근제어를 통해 보장될 수 있다. 하지만 지금까지 대부분의 연구들은 다중 사용자의 요구에 대한 다양한 권한정책을 반영하지 못하고 있으며, 또한 상당한 시스템 오버헤드를 초래하고 있는 실정이다. 따라서 본 논문에서는 전처리 단계를 거쳐 XML문서를 관계형 모델로 변환하고 사용자 요구가 발생하였을 때 변환된 관계형 모델을 바탕으로 접근 제어하는 모델을 제안하다. 이 모델에서는 첫째, 전처리 단계에서 권한정보와 함께 XML문서를 관계형 테이블에 저장하고 또한 관리자에 의해 작성된 접근제어 목록의 정보를 관계형 테이블인 접근제어 테이블에 저장하며, 둘째, XML 데이터가 저장된 관계형 테이블을 사용자 권한에 따라 접근제어 한다. 따라서 제안하는 모델에서는 기존의 많은 연구에서 사용하였던 DOM 트리의 정보를 관계형 테이블에 저장함으로써 DOM 트리를 기반으로 하는 다른 연구에 비해 시스템 자원 비용을 줄일 수 있다. As XML offers a general way of representation for systematic and structured data, XML is rapidly becoming a de facto standard for the web document. At present, XML is used in many applications such as electronic manuals, business documents, e-commerce, etc for data representation and communication over the internet. In general, the large number of XML documents requires appropriate security mechanisms for protecting from malicious users. Until now, most research on XML security has focused on the security of data communication using digital signatures or encryption technologies. However, security on XML documents commonly involves not only communication security but also managerial security. Managerial security can usually achieved through access control. But most current research on XML access control has not supported proper authorization mechanisms required in various applications. This paper proposes an access control model using relational database. In the preprocessing step, we first store XML documents in relational tables and also store the information in access control lists prepared by administrative personnel in the access control table. Then access control is performed based on the authorization mechanism provided by the relational database. The proposed model can save system resources compared with other existing research that maintains entire DOM trees of XML documents.

GeoXACML 기반의 접근 제어 시스템 설계 및 구현

반현오,신인수,김정준,한기준,Ban, Hyun O,Shin, In Su,Kim, Jeong Joon,Han, Ki Joon 한국공간정보학회 2013 한국공간정보학회지 Vol.21 No.4

최근 공간정보와 다양한 멀티미디어 등이 융합되어감에 따라 고부가가치의 공간정보 콘텐츠에 대한 수요와 공간정보 보안을 위한 각종 기술의 필요성이 증대되고 있다. 그러나 현재의 보안 정책은 각각의 시스템에서 독립적으로 관리되고 있기 때문에 보안 정책의 수정에 많은 비용이 소요되거나 신뢰성이 떨어지는 문제점이 있으며, 국내외 공공기관 및 기업에서 사용되는 공간정보 관리 시스템에서도 시스템의 연계 및 통합 과정 중 이와 같은 문제점들이 빈번히 발생하고 있다. 따라서, 본 논문에서는 국제 표준화 기구인 OGC에서 제시한 GeoXACML을 기반으로 문법 및 의미의 확장이 용이하고 많은 공간 플랫폼 및 시스템에 대해 통합된 보안 정책을 제공할 수 있는 접근 제어 시스템을 설계 및 구현하였다. 본 논문에서 설계 및 구현한 GeoXACML 기반 접근 제어 시스템은 국제 표준 스펙을 따르기 때문에 높은 이식성과 함께 상호운용성을 제공한다. 마지막으로 본 논문에서는 본 시스템을 접근 권한이 요구되는 군사 지역에 대한 가상 시나리오에 적용해 봄으로써 그 효용성을 입증하였다. Recently, as the spatial information and various multimedia are fused together, the demand for the high value-added spatial information contents and the necessity of technology for spatial information security are increasing. However, since the current security policy is being managed independently by each system, there is a problem with unreliable or costly to modify or revise the security policy. Such problems occur frequently in the process of coordination or integration of the spatial information management systems that are used in public institutions and private companies. Therefore, in this paper, the access control system that could provide an integrated security policy for many spatial platforms and systems with expandable grammar and semantics was designed and implemented based on GeoXACML proposed by OGC. As the GeoXACML-based access control system designed and implemented in this paper follows the international standard specifications, it provides high portability and interoperability. Finally, in this paper, the efficiency of the system was proved by applying it to a virtual scenario on the military area requiring the access control.

XACML 정책 평가에 영향을 미치는 문맥적 요소 및 추가 정보의 효과적인 수집 방안

안윤근,이기찬,Scott Uk-Jin Lee 한국정보과학회 2018 정보과학회 컴퓨팅의 실제 논문지 Vol.24 No.2

In the field of access control, policy conflicts must be solved and various related solutions are being researched and developed. In order to resolve the policy conflict problem, it is necessary to first identify the cause of the conflict, and as a minimum condition, it is necessary to detect the contextual elements of the policy that have influenced the policy evaluation decision. Although the XACML policy language specification provides a way to define this, the policy creator currently has limitations in not clearly describing the causes of conflicts in every contextual elements. In addition, in order to identify the causes of the policy conflict, it is necessary to acquire additional information such as other policy combination algorithms, in addition to these contextual factors. In this paper, we propose an effective method to identify contextual factors, as well as to locate additional information that cause policy conflicts. 접근 제어 분야에서 정책 충돌 문제는 반드시 해결되어야 하는 이슈이며, 이를 위한 다양한 해결 방법들이 연구 및 개발되고 있다. 정책 충돌을 해결하기 위해서는 충돌 원인을 먼저 확인해야 하며, 이를 위한 최소한의 조건으로써 정책 평가 결정에 영향을 준 정책의 문맥적 요소를 탐지할 필요가 있다. XACML 정책 언어 명세에 이를 정의하는 기능이 있으나 정책 작성자가 모든 문맥적 요소마다 일일이 정의해야 하는 한계를 가진다. 또한, 정책 충돌의 원인 파악을 위해서는 문맥적 요소 이외에 다른 정책 조합 알고리즘과 같은 추가적인 정보도 알아야 할 필요가 있다. 본 논문에서는 정책 충돌의 원인이 되는 문맥적 요소 및 추가 정보를 파악하기 위한 효과적인 방안을 제시한다.