Sensitive Personal Information Protection Model for RBAC System

역할기반 접근제어시스템에 적용가능한 민감한 개인정보 보호모델

Due to the development of the e-commerce, the shopping mall such as auction collects and manages the personal information of the customers for efficient service. However, because of the leakage of the Personal information in auction, the image of the companies as well as the information subjects is damaged. Even though the organizations and the companies store the personal information as common sentences and protect using role based access control technique, the personal information can be leaked easily in case of getting the authority of the database administrator. And also the role based access control technique is not appropriate for protecting the sensitive information of the information subject. In this paper, we encrypted the sensitive information assigned by the information subject and then stored them into the database. We propose the personal policy based access control technique which controls the access to the information strictly according to the personal policy of the information subject. Through the proposed method we complemented the problems that the role based access control has and also we constructed the database safe from the database administrator. Finally, we get the control authority about the information of the information subject.

전자상거래의 발달로 인해 옥션과 같은 쇼핑몰은 효율적인 서비스를 위해 고객의 개인정보를 수집하고 관리하고 있다. 하지만 옥션의 개인정보 유출로 인해 그 피해가 기업이미지 손상뿐만 아니라 유출된 정보주체인 개인까지 피해를 주고 있다. 기관과 기업에서 개인정보를DB에 평문상태로 저장하고, 역할기반 접근제어기술을 이용하여 개인정보를 보호하고 있지만 DB관리자의 권한만 획득하면 옥션과 같이 개인정보가 쉽게 유출된다. 또한 역할기반 접근 제어기술은 정보주체의 민감한 정보에 대한 보호기술로 적합하지 않다. 이 논문에서는 정보 주체가지정한 민감한 정보를 암호화하여 DB에 저장하고, 정보주체의 개인별 정책에 따라 자신의 정보에 대한 접근을 엄격하게 제한하는 개인별 정책 기반의 접근제어 기법을 제안한다. 제안 기법을 통해 DB관리자로부터 안전하고, 개인정보 보호기술인 역할 기반 접근제어의 문제점을 보완하여 정보주체의 자기정보 제어권을 가진다.