확장된 역할기반 접근제어 모델에서의 AC기반 접근방식
AC based Access Methods in the Extended Role Based Access Control Model
- 발행기관 亞州大學校 大學院
- 지도교수 金東圭
- 발행년도 2005
- 학위수여년월 2005. 8
- 학위명 석사
- 학과 및 전공 대학원 공학계열
- 본문언어 한국어
초록/요약
정보통신 기술의 발달로 사회 모든 분야에서 인터넷의 활용이 크게 확산되고 있다. 그러나 인터넷 기술이 정보보호 보다는 정보의 공유에 목적을 두고 있어 적정 수준의 보안을 제공하지 못하고 있다. 이러한 취약점을 보완하기 위하여 전 세계적으로 PKI구조와 PMI구조를 도입함으로서 정보 교환 당사자들 간에 신뢰성과 안전성을 추구하고 있다. 그러나 PKI구조의 공개키 인증서와 PMI구조의 속성인증서가 발급주체와 유효기간이 서로 달라 이들 두 인증서 간에 종속성(동시성)이 유지될 수 있는 적절한 바인딩 메커니즘이 제공되어야 한다. 또한, PKI, PMI 환경에서의 전자 상거래와 의료정보 시스템 등에서는 적정 수준의 보안과 함께 고객의 프라이버시 보호에 대한 욕구가 최근 크게 증가하고 있다. 프라이버시 보호는 접근제어를 확장하는 것에 의해 조직의 보안 정책과 함께 제공되어야 함이 제안되고 있다. 본 논문에서는 두 인증서 간에 종속성을 유지할 수 있는 속성인증서 기반 메커니즘(AC기반 접근방식)으로 일회성 속성인증서의 접근방식과 OCSP 프로토콜을 이용한 종속성 유지 접근방식을 제안하였다. 일회성 속성인증서의 접근방식은 짧은 유효기간으로 원천적으로 종속성 문제가 발생하지 않는 접근방식이며, OCSP 프로토콜을 이용한 종속성 유지 접근방식은 OCSP 서버에 추가적인 기능을 부여해 PKC 검증절차와 AC의 검증절차가 별도로 이루어졌던 기존의 검증방식을 통합 처리하는 방식으로 검증과정의 속도를 향상 및 비용의 절감 효과를 기대할 수 있다. 또한, 본 논문에서는 프라이버시 적용을 위해 문맥기반 접근제어를 제공하는 기존의 보안모델에 프라이버시 보호 개념을 추가하여 새로운 모델로 확장한 두 가지 확장된 역할기반 접근제어 모델을 제안한다. 그 하나는 기존의 보안 모델에 GRBAC을 이용하여 목적결합과 필요의 원칙 등을 포함하는 프라이버시 선호를 표현하는 프라이버시 제어를 갖는 확장된 역할기반 접근제어 모델로, 기존의 접근제어를 변형하지 않고 통합하여 사용할 수 있으며, 비교적 쉽고 경제적으로 구현할 수 있다. 다른 하나는 기존의 보안 모델의 역할에 역할의 책임(목적)에 따라 프라이버시 등급을 할당하고(목적결합), 고객의 프라이버시 선호에 따라 고객의 데이터집합에 프라이버시 선호등급을 부여하는 데이터 사용 정책을 적용한 프라이버시 보호를 갖는 확장된 역할기반 접근제어 모델로, 역할과 고객의 데이터에 일률적인 등급이 적용되었다는 점에서 프라이버시 보호의 의미가 다소 감소함이 없지 않으나, 역할기반 접근제어에 프라이버시 보호 개념을 바인딩 할 수 있음과 정책 유도 데이터 사용 제어를 적용할 수 있음을 보였다. 마지막으로 AC기반 접근방식인 OCSP 프로토콜을 이용한 종속성 유지 접근방식을 GRBAC을 이용한 프라이버시 제어를 갖는 확장된 역할기반 접근제어 모델에 적용한 확장된 역할기반 접근제어 모델에서의 AC(속성인증서)기반 접근방식을 제안하였다.
more초록/요약
The advance of IT technologies has proliferated the usage of Internet in all social areas. But Internet technologies were not designed with security in mind, and the main objectives has been to optimize information sharing and interoperability. Therefore, Internet technologies do not provide the proper level of security. To overcome this weakness, the persons concerned the exchange of information through Internet have pursued to meet the proper level of security by introducing PKI(Public Key Infrastructure) and PMI(Privilege Management Infrastructure). But since the public key certificate(PKC) of PKI and the attribute certificate (AC) of PMI have different CAs(Certificate Authorities) and lifetimes and no authentication information is incorporated within an attribute certificate, there should be a mechanism to link attributes to proper identities for enforcing dependencies between two certificates. In this paper, we propose two binding mechanisms to link attributes to proper identities as AC based access methods. One is a binding mechanism using one-time attribute certificate and the other is a binding mechanism using OCSP protocols. Additionally, in PKI and PMI environments, electronic commerce, healthcare information system and so on require client's privacy protection with the proper level of security. Privacy protection can only be achieved by enforcing privacy policies within an organization's online and offline data processing systems. Privacy and security policies can overlap in that both policies intend to protect data confidentiality and integrity. It is important to combine security and privacy protection together. In this paper, we propose two methods for enforcing privacy protection on the existing security model DAFMAT(Dynamic Authorization Framework for Multiple Authorization Types), which combine RBAC and domain-type enforcement(DTE) to provide context-based access control. One is to use the generalized role-based access control(GRBAC) for expressing privacy preference in a privacy control model. The other is to use privacy policies for providing privacy protection. The privacy policies are to assign privacy levels to user roles according to their purposes and to assign privacy preference levels to data according to consented client's privacy preferences recorded as data usage policies. Finally, we propose an 'AC based access methods in the extended role based access control model', which applies the binding mechanism using OCSP protocols as AC based access method to the extended role based access control model with privacy control model using GRBAC.
more목차
본문목차
제 1 장 서론 = 1
제 2 장 연구 동기 및 배경 = 5
제 1 절 속성인증서와 공개키 인증서 간의 종속성 = 5
1.1 공개키 인증서(Public Key Certificate) = 5
1.2 속성인증서(Attribute Certificates) = 6
1.3 속성인증서의 분배 방식과 응용서버 접속방법 = 8
1.4 응용서버 접근시의 문제점 = 13
1.5 바인딩 메커니즘 = 7
제 2 절 프라이버시 보호와 프라이버시 적용 모델 = 23
2.1 프라이버시 보호 = 23
2.2 프라이버시 적용 모델 = 26
제 3 장 AC기반 접근 방식 = 32
제 1 절 OCSP 프로토콜을 이용한 종속성 유지 접근방식 = 32
1.1 OCSP = 32
1.2 AC와 PKC 검증방법의 문제점 = 33
1.3 OCSP 프로토콜을 이용한 검증방식 = 34
1.4 제안된 방식의 특징 = 38
제 2 절 일회성 속성인증서의 접근방식 = 40
2.1 도메인 내에서의 접근방식 = 40
2.2 도메인 간의 접근방식 = 42
제 4 장 확장된 역할기반 접근제어 모델에서의 AC 기반 접근방식 = 45
제 1 절 DAFMAT(Dynamic Authorization Framework for Multiple Authorization Types) = 45
1.1 역할기반 접근제어(Role-Based Access Control : RBAC) 모델 = 46
1.2 도메인-유형의 적용적용(Domain-Type Enforcement : DTE) = 47
1.3 DAFMAT 구조의 기본 개념 = 47
제 2 절 프라이버시 제어를 갖는 확장된 역할기반 접근제어 모델 = 49
2.1 GRBAC(Generalized Role-Based Access Control) 모델 = 50
2.2 모델의 구성 및 권한부여 결정 알고리즘 = 51
2.3 보안 모델(SECURITY MODEL) = 54
2.4 프라이버시 제어 모델(PRIVACY CONTROL MODEL) = 58
2.5 제안된 모델의 응용 = 60
2.6 제안된 모델의 특징 = 64
제 3 절 프라이버시 보호 기능을 갖는 확장된 역할기반 접근제어 모델 = 64
3.1 프라이버시 정책 = 64
3.2 모델의 구조 = 65
3.3 개체 간의 관계에 대한 제한 = 74
3.4 제안된 모델의 응용 = 75
3.5 제안된 모델의 특징 = 78
제 4 절 확장된 역할기반 접근제어 모델에서의 AC기반 접근방식 = 79
4.1 제안된 모델 = 79
4.2 접근절차 = 79
4.3 제안된 모델의 특징 = 82
제 5 장 결론 = 85
참고문헌 = 88
Abstract = 94
목차
그림 목차
(그림 2.1) Push 방식을 이용한 접근제어 = 8
(그림 2.2) 서버 접속절차 = 10
(그림 2.3) 동일 도메인 내의 사용자 = 14
(그림 2.4) 타 도메인에서 발급된 PKC 사용자 = 15
(그림 2.5) 다중 PKC 사용자 = 16
(그림 2.6) 통합서명에 의한 바인딩 = 19
(그림 2.7) 자치서명에 의한 바인딩 = 21
(그림 2.8) 연쇄서명에 의한 바인딩 = 22
(그림 3.1) AC 기반의 인증서 검증방식 = 35
(그림 3.2) ICVS 서버에서의 동작방법 = 36
(그림 3.3) 일회성 속성인증서를 이용한 도메인 내에서의 접근방식 = 41
(그림 3.4) 일회성 속성인증서를 이용한 도메인 간의 접근방식 = 42
(그림 4.1) DAFMAT에서 권한부여 개체 간의 관계 = 46
(그림 4.2) 프라이버시 제어를 갖는 확장된 역할기반 접근제어 모델 = 52
(그림 4.3) 프라이버시 보호 기능을 갖는 확장된 역할기반 접근제어 모델 = 65
(그림 4.4) 사용자의 역할 계층 = 71
(그림 4.5) 데이터 집합 계층 = 73
(그림 4.6) 확장된 역할기반 접근제어 모델에서의 AC 기반 접근방식의 접근절차 = 80
목차
표목차
[표 2.1] AC 기본형식 = 7
[표 2.2] 단계별로 사용되는 서명 및 검증 = 12
[표 3.1] 사용자의 PKC와 AC의 상태정보 = 34
[표 3.2] ICVS 서버에 저장된 AC 및 PKC 정보 = 38
[표 4.1] 도메인-타입 접근 행렬 = 61
[표 4.2] 정의된 사용자 역할들 = 71
[표 4.3] 타입 별 데이터 집합 = 73
[표 4.4] 도메인-타입 접근 행렬 = 76
