The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지

A Role-Based Access Control Mechanism using Z language in Distributed System

분산시스템에서 Z언어를 이용한 역할기반 접근제어 메커니즘

  • Published : 2001.04.01
Download PDF
⟨ Previous Next ⟩

Abstract

접근제어의 목적은 컴퓨팅 자원 및 통신 정보자원 등을 부당한 사용자로부터 사용되거나, 수정, 노출, 파괴와 같은 비합법적인 행위로부터 보호하는데 있다. 대표적인 보안 정책 중에서 Biba 모델은 정보의 무결성을 보장하지만 상업적인 환경에 적용되기는 다소 미흡하며, 역할기반 접근제어 정책은 상업적인 측면의 보안정책에 적용이 가능하지만 접근되는 객체의 중요도에 따른 보안등급이 고려되지 않았다. 본 논문에서는 Biba 모델의 보안등급을 역할기반접근제어 모델에 적용함으로써 주체가 해당 객체를 부당하게 변경하는 것을 방지함과 동시에 수많은 접근권한을 관리하는데 융통성을 제공한다. 그리고 제안한 접근제어 모델의 제약조건들을 정형 명세 언어인 Z언어를 통해 명확히 표현함으로써 정책 입안자나 프로그래머가 접근제어정책을 설계하고 구현하고자 할 때 프로그램 개발에 소요되는 시간을 단축할 수 있다. 또한, 제안한 모델을 망관리 객체의 연산과 등급을 갖는 역할과 제약조건을 사용하여 실제 운영되는 통신망 관리에 적용하여 봄으로써 정보의 무결성이 보장됨을 보였다.

Keywords

References

  1. Charles P. Pfleeger, Security in Computing, Prentice Hall
  2. Silvana Castano, DATABASE SECURITY, ADDISON-WESLEY
  3. Warwick Ford, Computer Communications Security, Prentice Hall
  4. Matunda Nyanchama, Sylvia Osborn. 'Modeling Mandatory Access Control in Role-Based Security Systems,' Database Security IX status and prospects, pp.129-144, 8, 1995
  5. David F. Ferraiolo, Janet A. Cugini, D. Richard Kuhn, 'Role-Based Access Control (READ: Features and Motivations.' COMPUTER SECURITY APPLICATIONS Conference, IEEE, pp,241-248, 12, 1995
  6. Ravi S. Sandhu, Edward J. Coyne, Hal L. Feinstein, Charles E. Youman, 'Role-Based Access Control Models,' COMPUTER SOCIETY, IEEE, FEB. pp,38-47, 1996
  7. Sylvia Osborn, 'Mandatory Access Control and Role-Based Access Control Revisited,' Second ACM Workshop on RBAC, pp.31-40. 11, 1997 https://doi.org/10.1145/266741.266751
  8. Ravi S. Sandhu and Pierangela Samarati, 'Access Control: Principles and Practice,' IEEE Communications Magazine, pp.40-48, 9. 1994
  9. Ravi S. Sandhu, 'Lattice-Based Access Control Models,' IEEE COMPUTER, 11, 1993. pp,9-19 https://doi.org/10.1109/2.241422
  10. Ravi Sandhu, 'Access Control: The Neglected Frontier,' Proc. First Australasian Conference on Information Security and Privacy, 6, 1996 https://doi.org/10.1007/BFb0023301
  11. Ravi S. Sandhu, 'Role Hierarchies and Constraints for Lattice-Based Access Controls,' Proc, Forth European Symposium on Research in COMPUTER SECURITY, pp.1-19, 9. 1996 https://doi.org/10.1007/3-540-61770-1_28
  12. David d, Clark, David R. 'Nilson, 'A Comparison of commercial and Military computer policies,' IEEE, 1987
  13. Anthony Boswell, 'Specification and Validation of a Security Policy Model,' IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, Vol.21 , No,2, pp,63-68, 2, 1995 https://doi.org/10.1109/32.345822
  14. J. E. Dobson and J. A. McDermid, Security Models and Enterprise Models, Database Security II : Status & Prospects, pp.1 - 39, 1989
  15. David Rann, John Turner and Jenny Whitworth, '2: A Beginner's Guide,' School of Computing Staffordshire University, 1994
  16. Bryan Ratcliff, 'INTRODUCING SPECIFICATION USING 2 ; A Practical Case Study Approach,' McGRAW-HILL BOOK COMPANY, 1994
  17. Moms Sloman, Network and Distributed Systems Management, Addison-Wesley, 1994
  18. ITU-T X.741 : 'Information Technology - Open Systems Interconnection - System Management - Objects and Attributes for Access Control'
  19. ITU-T X.812 : 'Information Technology - Open Systems Interconnection - Security Frameworks For Open System Access Control Framework'
  20. 최은복, 이형효, 노봉남, 'Biba 모델과 역할기반 접근제어 모델의 상호연동', 한국통신정보보호학회 종합학술발표회 논문집, 제8권 제1호, 1998
  21. 이형효, 최은복, 노봉남, '역할기반 접근통제 시스템에서 응용프로그램의 설계 및 실행지원 프레임워크', 한국정보처리학회 논문지, 제6권 제11호, 1999