• 한국컴퓨터산업학회논문지
• /
• 제10권1호
• /
• pp.21-28
• /
• 2009

역할-기반 접근 제어 정책의 경우 조직의 보안 정책을 보다 효율적이고 일관성 있게 관리할 수 있지만 각 역할의 계층에 의하여 권한의 상속이 결정된다. 이 경우, 하위 개념의 역할은 상위 개념의 역할이 가지는 권한을 수행 하여야 하는 경우에 적절히 대처할 수 없고 하위 개념의 역할에 필요한 새로운 권한을 추가해야만 하고 추가되는 권한은 관리자의 권한 제거 작업 이전까지 하위 역할에 귀속되는 문제가 발생한다. 따라서 본 논문에서는 이러한 문제를 해결하기 위하여 역할이 가지는 권한의 일시적인 위임을 통하여 이를 해결하고자 한다. 이를 위하여 권한의 위임을 수행하기 위한 정책과 새로운 역할-권한 관계의 정의, 권한 위임을 위한 새로운 프로토콜을 제시하였다.

• 시큐리티연구
• /
• 제21호
• /
• pp.177-199
• /
• 2009

이 연구에서는 민간경비의 정체성에 대한 기본논의를 바탕으로 그에 따른 다양한 권한영역과 관련내용을 살펴보고자 하였다. 주지하는 바와 같이 민간경비원들의 권한문제는 주로 공경비인 경찰과의 관계 속에서 논의되어 왔다. 이는 민간경비원들이 수행하는 직무가 경찰과 유사한 점이 많고, 실제로 법적으로도 경찰에서 이를 규제하고 있기 때문이다. 민간경비원의 권한 행사 영역은 공경비인 경찰 등과 비교해 볼 때, 몇 가지 차원에서 접근할 수 있다. 먼저, 민간경비원은 말 그대로 '민간인'에 불과하기 때문에 대부분의 민간경비원은 일반시민이 갖는 권한을 행사할 수 있을 뿐이다. 여기에는 정당방위, 긴급피난, 자구행위, 현행범체포 권한 등이 포함된다. 그러나 민간경비를 이용하는 사용주체의 일정한 점유권 내지 관리권 영역에서 접근한다면, 민간경비원의 권한은 다소 확대될 수 있다. 더욱이 특별법에 의해 전형적인 공무수탁사인의 형태로 권한을 위임하게 될 경우 민간경비원들의 권한은 보다 확대된다. 더 나아가 민영화 등에 의한 공경비의 권한 일체를 위임했을 경우에는 민간경비원의 권한은 공경비와 거의 동일한 성격을 갖게 될 것이다. 그러나 위임 또는 위탁된 권한의 정도는 상당히 유연하다는 점이다. 그리고 주의할 것은 민간경비원의 권한행사는 본질적으로 개인의 자유와 권리를 침해하지 않는 범위 내에서 이루어져야 한다는 점이다. 생각건대, 민간경비원의 권한 행사의 정당성과 그 허용가능성 문제는 법적 근거뿐만 아니라 최종적으로 사법적 판단을 전제로 한다고 볼 수 있다. 따라서 민간경비의 권한행사와 관련된 법원의 태도는 매우 중요한 의미를 갖는다고 본다. 끝으로 민간경비의 성장과 이에 따른 권한확대는 필연적으로 수많은 책임문제를 수반하게 된다고 보며, 따라서 향후 이에 대해 다양한 관점에서 연구가 진행되어야 한다고 본다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 봄 학술발표논문집 Vol.28 No.1 (A)
• /
• pp.700-702
• /
• 2001

XML은 인터넷 상에서 복잡한 문서의 원활한 처리와 신속한 탐색 및 항해가 가능한 차세대 웹 언어로 각광받고 있다. XML로 표현된 문서들은 세분화된 계층구조(granularity hierarchy)로 나타낼 수 있으므로 필요한 구성 요소에만 엑세스 제어가 가능하다는 장점이 있다. 묵시적 권한 부여 기법은 명시적으로 저장된 권한으로부터 유도되는 권한기법으로 모든 구성 요소들에 대해 규칙들을 명시적으로 저장해야 하는 비효율적인 명시적 권한부여 기법보다 상위 구성 요소에 대한 한번의 권한 부여로 하위 구성 요소들에 동일한 권한부여 효과를 얻을 수 있다. 본 논문은 XML 문서를 위한 묵시적 권한 부여 기법을 제시하여 XML 문서의 엑세스 제어 시 권한 부여 시간 및 메모리의 효율성을 높인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.258-261
• /
• 2017

안드로이드 애플리케이션 개발 시 특정 기능을 수행하기 위해 필수적으로 AndroidManifest.xml 파일에 권한을 등록한다. 등록된 권한은 애플리케이션 설치 시 사용자에게 동의를 요구하며 애플리케이션을 설치하기 위해 해당 애플리케이션이 요구하는 사용 권한 모두를 동의해야 한다. 애플리케이션이 요구하는 권한에 동의하지 않을 경우 애플리케이션 설치가 취소되며, 권한 요구에 대한 동의 없이 애플리케이션을 설치할 수 없다. 이러한 이유로 대부분의 사용자는 애플리케이션이 본래의 기능과 맞지 않는 필요 범위 이상으로 요구하는 권한까지도 상세하게 살펴보지 않고 동의하여 본래의 기능과 관계없는 권한을 통해 개인정보 유출, 비정상적인 과금 유발 등 다양한 보안위협이 발생한다. 본 논문에서는 안드로이드 애플리케이션의 APK 파일을 통해 애플리케이션이 요구하는 권한과 실제 애플리케이션이 기능 제공을 위해 사용하는 API 목록을 확인하여 애플리케이션이 필요 범위 이상으로 요구하는 권한을 분석한다. 또한, 애플리케이션 업데이트 시 API 추가로 인해 발생할 수 있는 보안위협을 분석한다. 이를 통해 필요 범위 이상으로 요구하는 권한으로 발생할 수 있는 보안위협에 대해 사전에 인지하여 이를 방지할 수 있도록 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1701-1704
• /
• 2010

기존 안드로이드 응용프로그램에 대한 자원 접근 제어는 응용프로그램을 작성한 개발자가 XML 파일에 미리 선언한 권한을 검사하는 방식으로 이루어진다. 이 권한은 인스톨되는 시점에 사용자의 동의를 얻어 해당 응용프로그램에 수여되며 응용프로그램이 특정 권한을 의도적으로 사용자로부터 은닉하는 것을 방지할 수 있다. 하지만 사용자는 해당 응용프로그램에 허용하고자 하는 일부 권한만을 수여할 선택권이 없다. 선언된 모든 권한을 허락하거나 그렇지 않으면 아예 응용프로그램을 설치할 수 없게 된다. 또한, 응용프로그램에 부여한 권한을 변경할 수는 없고 박탈하는 방법은 응용프로그램을 삭제하는 방법밖에 없었다. 따라서 본 논문에서 제안하는 기법은 응용프로그램의 자원 접근을 사용자가 fine-grained 하게 제어할 수 있도록 하는 기법이다. 이를 위해 응용프로그램을 사용하는 시점에도 각 접근 권한을 '항상 허용', '항상 사용자가 확인' 그리고 '항상 거부'로 세부적으로 설정 및 변경이 가능하도록 하였다. 또한, MS Windows Vista 에서 적용하고 있는 '사용자계정컨트롤'(User Account Control)과 같이 응용프로그램이 요구하는 권한 중 '항상 사용자가 확인'으로 설정 된 권한은 요청 시점에 사용자에게 팝업을 띄워 접근 제어에 대한 가시성을 확보하여 사용자가 확인할 수 있도록 하였고 사용자가 이를 수락한 경우에만 해당 권한을 수여 받을 수 있도록 하였다.

• 한국정보과학회논문지:시스템및이론
• /
• 제30권12호
• /
• pp.699-707
• /
• 2003

RBAC은 기존의 DAC과 MAC보다 진보된 접근 통제 방법으로 받아들여진다. RBAC 모델의 권한-역할 부분은 사용자-역할 부분에 비해 상대적으로 연구가 부족하며 이를 극복하기 위한 대칭 RBAC 모델에 대한 연구도 시작 단계이다. 따라서 역할에 적합한 권한을 배정 하는데 많은 어려움이 있다. 본 논문에서는 기존 연구들에서 제시한 권한 배정 제약조건들을 보완한 대칭형 RBAC 모델을 제안한다. 제안한 대칭형 RBAC 모델은 임무분리와 역할의 계층구조를 고려한 권한 배정 제약조건을 제시함으로써 역할의 이해관계 충돌과 권한의 공유와 통합을 권한배정에 반영하고 있다. 또한, AND/OR 그래프를 통해 동적인 권한간의 선행관계를 규정하는 제약조건을 표현함으로써 권한들의 복잡한 선행관계를 효과적으로 제한할 수 있다. 제안한 대칭형 RBAC 모델의 권한 배정 제약조건들은 권한 배정시 지켜야하는 규칙들을 적절히 명세함으로써 권한 배정의 오류를 감소시킨다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.83-91
• /
• 2008

ISO/IEC 9594-8은 공개키 인증서 프레임워크와 속성 인증서 프레임워크를 정의하고 있다. 속성 인증서 프레임워크에서 권한 관리 기반 구조(PMI)를 다루고 있다. 권한 관리 기반 구조에서는 권한 관리를 위하여 속성 인증서를 사용함에 있어서 권한의 할당 및 명세를 독립적으로 하기 위하여 역할 할당 인증서와 역할 명세 인증서를 사용한다. 역할 명세 인증서는 권한의 명세를 포함하며, 네트워크 환경의 권한 관리를 위한 내용을 담고 있다. 신뢰도가 낮은 네트워크 환경의 권한 관리는 잠재적으로 장애가능성이 있는 노드와 에지를 포함하는 환경에서 권한 정보 전송의 신뢰성과 효율성을 얻고자하는 것이다. 각 노드는 수집된 역할 명세 관계 정보를 기반으로 하여 계층적으로 연결된 역할 명세의 권한 구조 트리를 구성한다. 본 논문에서는 역할 명세 인증서의 트리 구조화를 통한 권한 관리 비용을 계산하고 권한의 생산 및 갱신에 따른 오버헤드를 줄이도록 한다. 규모 확장성을 위해 멀티캐스팅 패킷을 사용하며, 네트워크 통신의 패킷 손실률과 네트워크에 참가 및 이탈을 반복하는 컴퓨팅 노드의 신뢰도를 감안하여 관련 성능을 분석하여, 제안된 구조의 권한 관리 기법이 보다 나은 성능을 가짐을 보인다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2005년도 가을 학술발표논문집 Vol.32 No.2 (1)
• /
• pp.94-96
• /
• 2005

기존의 역할기반 접근통제(RBAC: Role Based Access Control) 모델은 역할(R), 사용자(U), 접근권한 할당(A), 접근권한의 상속성의 관계에 의해 접근통제를 실행할 때. 하위역할에 할당된 사용자의 모든 접근권한은 상위역할에 할당된 사용자의 접근권한에 상속됨으로서 권한의 집중으로 인하여 최소권한 정책을 위배하고, 권한의 남용문제가 발생한다. 본 논문에서는 기존의 RBAC 모델에서 제기되는 문제를 해결하기 위하여 역할에 보안등급(허용등급, 허용범위)을 이용하여 접근권한의 상속성을 제한하고, 속(보안등급, 부분순서)의 이론을 적용하여 접근권한의 흐름을 통제할 수 있는 역할계층 접근통제 모델을 제안하였다. 제안한 모델은 역할의 특정영역을 지정함으로서 부분적인 역할계층을 구성할 수 있기 때문에 새로운 역할을 추가하거나 제거를 용이하게 할 수 있고, 역할의 계층구조를 간편하게 갱신할 수 있게 항으로서 다단계 보안시스템에서도 효과적으로 접근통제를 할 수 있을 뿐 아니라 대규모 보안시스템으로 확장할 수 있는 장점을 갖는다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.295-297
• /
• 2002

응용 서비스 측면에서는 서비스를 이용하고자 하는 사용자들의 신원확인 뿐만 아니라 이러한 그들이 어떠한 서비스를 이용할 수 있는 권한을 갖고 있는가를 반드시 확인해야 한다. 응용에 따라서는 신원 확인보다도 권한 확인을 더 중요하게 처리하고자 하는 경우도 있다. 이런 의도에서 권한 인가와 권한 정보의 관리는 매우 중요한 보안 서비스의 하나로 인식되고 있다. 본 논문에서는 이러한 권한관리 메카니즘의 하나로서 제시된 권한관리기반구조 개념에 대하여 살펴보고, 이를 바탕으로 설계한 E-PMI에 대해 설명하고자 한다. E-PMI에 대해서는 구조 및 시나리오, 시스템 특징에 관하여 기술한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2001년도 종합학술발표회논문집
• /
• pp.262-265
• /
• 2001

분산 시스템에서 사용자가 시스템에 로그인 상태에서 자신의 시스템에 존재하지 않는 자원을 이용하기 위한 방안으로 권한위임이 필수적이다. 이러한 권한위임은 다양하게 요구되는 정보보호 응용 서비스의 가용성을 증대시킨다. 본 논문에서는 권한위임을 처리하기 위해서 권한위임 인증서를 생성하여 안전하게 인증서를 중개자에게 전달해야한다. 개시자와 중개자 최종 목적지까지 다단계 권한위임이 발생하는 연결고리에서 PKI 기반 X.509의 공개키를 이용한 효율적이고 추적 및 검증이 가능한 프로토콜을 제안한다.