A Database Security System for Detailed Access Control and Safe Data Management

상세 접근 통제와 안전한 데이터 관리를 위한 데이터베이스 보안 시스템

  • 조은애 ;
  • 문창주 (건국대학교 항공우주정보시스템공학과) ;
  • 박대하 (한국디지털대학교 디지털정보학과) ;
  • 홍성진 ((주)웨어벨리 기술연구소) ;
  • 백두권 (고려대학교 정보통신대학)
  • Published : 2009.10.15

Abstract

Recently, data access control policies have not been applied for authorized or unauthorized persons properly and information leakage incidents have occurred due to database security vulnerabilities. In the traditional database access control methods, administrators grant permissions for accessing database objects to users. However, these methods couldn't be applied for diverse access control policies to the database. In addition, another database security method which uses data encryption is difficult to utilize data indexing. Thus, this paper proposes an enhanced database access control system via a packet analysis method between client and database server in network to apply diverse security policies. The proposed security system can be applied the applications with access control policies related to specific factors such as date, time, SQL string, the number of result data and etc. And it also assures integrity via a public key certificate and MAC (Message Authentication Code) to prevent modification of user information and query sentences.

최근 데이터베이스의 보안 취약성으로 인해, 내부의 비인가자 또는 인가자의 데이터 접근에 대한 통제 정책이 제대로 이루어지지 않아 정보 유출 사고가 발생하고 있다. 현재의 데이터베이스 권한부여 방식은 관리자가 데이터베이스 오브젝트에 접근할 수 있는 권한을 사용자에게 부여하는 방식이다. 그러나 이러한 방법은 다양한 사용자 접근을 통제하기 위한 정책을 데이터베이스에 적용할 수 없다. 또 다른 데이터베이스 보안 방법인 데이터 암호화는 데이터의 인덱싱이 어렵다는 단점이 있다. 본 논문에서는 다양한 보안 정책을 반영하기 위해, 클라이언트에서 데이터베이스 서버로 요청되는 네트워크상의 패킷 분석을 통한 데이터베이스의 접근 통제 시스템을 제안한다. 제안된 보안 시스템에서는 특정 일자 및 시간, SQL에 포함되어 있는 특정 문자열, 결과 데이터 수, 레벨에 따른 컬럼 제한 등의 통제 정책을 적용할 수 있을 뿐만 아니라 사용자 정보 및 SQL의 위변조를 방지하기 위해서 공개키 인증과 메시지 인증코드 교환으로 무결성을 확보할 수 있다.

Keywords

References

  1. J. J. Borking, B. M. A. Van Eck, P. Siepel, 'Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector,' Information and Privacy Commissioner of Ontario, 1999
  2. H. G. Lee, S. M. Lee, T. Y. Nam, 'Database Encryption Technology and Current Product Trend,' Electronics and Telecommunications Trend Analysis, vol.22, no.1 , pp.105-113, 2007. (In Korean)
  3. G. I. Davida, D. L. Wells and J. B. Kam, 'A database encryption system with subkeys,' ACM Transactions on Database systems, vol.6, no.2, pp.312-328, 1981 https://doi.org/10.1145/319566.319580
  4. D. F. Ferraiolo, Role-Based Access Control, Artech House, Computer Security, 2003
  5. M. Piattini and E. Fernandez-Medina, 'Secure databases: state of the art,' Security Technology, Proc. of the IEEE 34th Annual 2000 International Carnahan Conference, pp.228-237, 2000 https://doi.org/10.1109/CCST.2000.891192
  6. Y. Elovici, R. Waisenberg, E. Shmueli, and E. Gudes, 'A Structure Preserving Database Encryption Scheme,' Proc. of the Secure Data Management in a Connected World 2004 (SDM 2004), LNCS 3178, pp.28-40, 2004
  7. M. A. Jeong, J. J. Kim, Y. Won, 'A Flexible Database Security System Using Multiple Access Control Policies,' LNCS 2736, pp.876-885, 2003 https://doi.org/10.1007/978-3-540-45227-0_85
  8. J Gennick, Oracle SQL$\ast$Plus: The Definitive Guide, O'Reilly, 2005
  9. B. Scalzo, D. Hotka, Toad Handbook, Sams Publishing, 2003
  10. D. Steiner, V. Moore, Oracle9i Net Services Administrator's Guide, Release 2 (9.2), Part no. A9658002, Oracle Corporation, 2002
  11. D. Keesling, J Womack, Oracle9i Database Administration Fundamentals II, Production 2.0, D37492, Oracle Corporation, 2002
  12. S. Y. Kim, G. W. Nam, S. C. Kim, 'Filtering Unauthorized SQL Query By uniting DB Application Firewall with Web Application Firewall,' Proc. of the Korea Institutes of Information Security and Cryptology Conference, pp.686-690, 2003. (In Korean)
  13. G. O. Jang, H. O. Koo, C. S. Oh, 'Detection of Internal Illegal Query Using Packet Analysis,' Proc. of the Korean Society Of Computer And Information, vol.10, no.3, pp.259-265, 2005. (In Korean)
  14. G. Booch, J Rumbaugh, I. Jacobson, The Unified Modeling Language User Guide: second edition, Addison-Wesley, 2005
  15. K. Molnar, M. Kyselak, 'Application Programming Interface offering classification services to enduser applications,' Proc. of the International Conference on Systems and Networks Communication 2006 (ICSNC'06), p.49(1page), 2006 https://doi.org/10.1109/ICSNC.2006.22
  16. Windows Packet Filter Kit, http://www.ntkernel.com
  17. SQL Parser, http://www.sqlparser.com
  18. Kozierok, M. Charles, TCPIIP Guide, O'Reilly & Associates Inc, 2005
  19. Ethereal, Inc., http//www.ethereal.com