• Proceedings of the Korean Information Science Society Conference
• /
• 1998.10b
• /
• pp.45-47
• /
• 1998

객체지향 데이터베이스 시스템에서 많이 연구되고 있는 묵시적 권한부여(implicit authorization) 방법은 모든 객체에 대하여 일일이 권한을 부여하는 오버헤드를 줄이기 위한 방법이다. 묵시적 권한부여 방법에서는 기존의 권한과 새로이 추가될 권한간의 충돌(conflict) 여부의 효율적인 검사가 중요하다. 기존의 데이터베이스 단위 계층 구조( database granularity hierarchy)에서의 의도형 권한부여(intention type authorization) 기법은 자신의 자손 노드에 대한 권한을 쉽게 판정할 수는 있지만, 클래스 복합 계층 구조(class composition hierarchy)상에서의 임의의 한 노드 ni에 추가로 권한을 부여할 때 ni의 자손 노드와 복합 참조(composite reference)의 관계를 가지는 노드 nj들에 대한 권한과의 충돌 여부를 탐지하기 위하여 추가로 nj들에 대한 권한을 일일이 탐색해야 하는 어려움이 있었다. 본 논문에서는 클래스 복합 계층 구조에서의 묵시적 권한부여 하에서 발생할 수 있는 권한간의 충돌을 효율적으로 탐지하는 새로운 기법을 확장하여 제안한다. 제안된 복합 계층 의도형 권한부여(intention type authorization for composition hierarchy)기법은 계층 구조에서 복합 참조의 관계를 따라 nj를 일일이 탐색할 필요 없이 노드 ni에서 바로 충돌 여부를 판정할 수 있는 장점을 가진다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.271-273
• /
• 2004

태스크포스팀의 구성원들은 이전 조직에서 가졌던 역할 권한과 태스크포스팀으로 파견되어 갖게 되는 역할 권한 등으로 해서 복합적인 접근권한을 갖게 된다. 예를 들어 어떤 사용자가 어떤 객체에 대해 접근이 허가된 접근권한과 접근이 불허된 접근권한을 각각 다른 역할을 통해 갖게 되었음 때 사용자가 객체를 접근 하고자 할 때 이를 허용할 것이지 불허할 것인지 둘 중의 하나를 결정해 주어야 하는데 이를 권한 충돌 해결이라 한다. 권한 충돌 해결을 위해 많은 연구가 있어 왔으나 태스크포스팀과 같은 임시조직과 기존의 관료제 조직이 병존하는 상황에서 어떤 자원에 대한 접근 요구시 시스템에 의해 즉시 권한충돌 문제를 해결해 접근허가 여부를 판단해 줄 수 있는 방법으로는 적합하지 못했다. 본 논문에서는 기존의 관료제 조직과 태스크포스팀 조직과 같이 서로 다른 특성을 갖는 조직이 병존하는 환경에서 발생하는 권한충돌 문제를 해결하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.350-352
• /
• 2003

일반적인 접근제어 모델이 메커니즘 내에 보안 정책을 미리 설계함에 따라 보안 요구사항의 추가나 변경에 어려움이 있는 반면에, 다중 접근제어 정책 모델은 기업 환경에 필요한 다양한 보안 정책들을 융통성 있게 지원하기 위해, 권한 명세 언어를 기반으로 positive/negative 권한을 모두 표현할 뿐만 아니라, 권한의 예외적 수행, 권한의 전파와 충돌 해결 정책 등을 구현함으로써, 접근제어의 권한 적용에 유연성을 강화하였다. 그러나, 기존의 권한 전파 및 충돌 해결 정책은 권한 전파의 모든 가능한 path를 고려하지 않거나, 충돌 문제를 해결하지 않는 부분이 있는데, 이것은 특히 서로 다른 정책의 어플리케이션 통합 환경에서 권한의 남용이나 상실 등 의도하지 않은 부당한 권한의 실행을 야기시킨다. 따라서, 본 논문에서는 다수의 정책의 영향을 받은 주체에 대해서 권한의 독립적 수행을 보장하면서, 추가적인 충돌 상황을 발생시키기 않는 권한 전파 정책을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.2
• /
• pp.49-63
• /
• 2008

RDF is the base ontology model which is used in Semantic Web defined by W3C. OWL expands the RDF base model by providing various vocabularies for defining much more ontology relationships. Recently Jain and Farkas have suggested an RDF access control model based on RDF triple. Their research point is to introduce an authorization conflict problem by RDF inference which must be considered in RDF ontology data. Due to the problem, we cannot adopt XML access control model for RDF, although RDF is represented by XML. However, Jain and Farkas did not define the authorization propagation over the RDF upper/lower ontology concepts when an RDF authorization is specified. The reason why the authorization specification should be defined clearly is that finally, the authorizatin conflict is the problem between the authorization propagation in specifying an authorization and the authorization propagation in inferencing authorizations. In this article, first we define an RDF access authorization specification based on RDF triple in detail. Next, based on the definition, we analyze the authoriztion conflict problem by RDF inference in detail. Next, we briefly introduce a method which can quickly find an authorization conflict by using graph labeling techniques. This method is especially related with the subsumption relationship based inference. Finally, we present a comparison analysis with Jain and Farkas' study, and some experimental results showing the efficiency of the suggested conflict detection method.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.637-639
• /
• 2003

컴퓨터 시스템의 발달로 인해 여러 사용자가 여러 자원을 동시에 사용할 수 있는 환경으로 발전하면서 기존의 사용자 기반의 접근제어가 아닌 역할을 중심으로 하는 접근제어 모델이 제안되었다. 이러한 역할기반 접근제어 기법을 위한 참고 모델로서 역할 그래프 모델이 소개되었지만, 엄격한 충돌 처리 방식 때문에 실제 응용시스템에 적용하는 것은 한계가 있었다. 본 논문에서는 이러한 한계를 극복하기 위해서 충돌되는 권한을 세분화하고 이를 이용하여 좀 더 유연한 권한 삽입 연산을 할 수 있도록 하였다. 이러한 유동적 권한 삽입 방식을 통해 역할 그래프 모델을 좀 더 다양하게 적용한 수 있을 것이다.

• Journal of KIISE:Databases
• /
• v.35 no.2
• /
• pp.112-124
• /
• 2008

RDF and OWL are the primary base technologies for implementing Semantic Web. Recently, many researches related with them, or applying them into the other application domains, have been introduced. However, relatively little work has been done for securing the RDF and OWL data. In this article, we briefly introduce an RDF triple based model for specifying RDF access authorization related with RDF security. Next, to efficiently find the authorization conflict by RDF inference, we introduce a method using prime number graph labeling in detail. The problem of authorization conflict by RDF inference is that although the lower concept is permitted to be accessed, it can be inaccessible due to the disapproval for the upper concept. Because by the RDF inference, the lower concept can be interpreted into the upper concept. Some experimental results show that the proposed method using the prime number graph labeling has better performance than the existing simple method for the detection of the authorization conflict.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.1-3
• /
• 2012

RIF(Rule Interchange Format)는 시맨틱 웹의 구조중 규칙 계층을 담당하며 기존에 사용되고 있는 여러 상이한 규칙 언어들 간의 호환을 위한 표준 규칙 언어라고 할 수 있다. RIF는 W3C에서 승인되었다. 시맨틱웹을 위한 표준 온톨로지 언어로는 RDF와 OWL이 있으며, 최근 RDF 데이터에 대한 접근제어 (Access Control) 메커니즘과 관련하여 일부 학술적 연구가 수행되었다. 본 논문에서는 RDF 데이터와 결합될 수 있는 RIF 추론 규칙에 대해 이미 제안한 RDF 접근제어 메커니즘을 확장하고자 한다. RDF 데이터에 대해 명세된 접근 권한은 RIF 추론에 의하여 권한 충돌이 발생할 수 있고, 그로 인해 접근 권한은 허용되지 않을 수 있다. 본 논문에서는 어떤 조건에서 이러한 RIF 추론에 의한 권한 충돌이 발생하는 지를 분석하며, 이미 제안한 그래프 레이블링을 사용하는 충돌 발견 방법이 RIF 추론과 관련하여서도 효율적임을 보인다. 실험에서는 제안된 방법이, 비록 포함관계 추론에 특화 되었지만, Chase 알고리즘에 기반한 다른 연구에서의 방법보다 발견 시간을 크게 감소시킴을 보인다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.04a
• /
• pp.881-884
• /
• 2009

유비쿼터스 환경에 관한 연구가 진행되고 있는 가운데 각 서비스의 접근 제어 역시 중요한 문제로 대두되었다. 이러한 관리 문제의 해결책 중 하나로 상황인지 역할기반 접근제어(Context-Aware Role-Based Access Control, CA-RBAC)가 제안되어 현재 많은 연구가 진행되고 있다. 지금까지의 연구를 보면 CA-RBAC는 단일 사용자의 시간, 위치 등 물리적 상황만을 역할 부여의 조건으로 활용하는데 그치고 있다. 본 논문에서는 기존의 CA-RBAC에 권한 충돌 조정 기능을 적용한 CA-RBAC을 보인다. 권한 충돌 조정 기능은 동일한 물리적 환경에서 서로 다른 권한을 가지는 사용자들이 함께 행동하여 접근 불가능한 대상에 접근이 가능해지는 문제를 조정한다.

• Journal of KIISE:Databases
• /
• v.36 no.6
• /
• pp.422-433
• /
• 2009

As an effort to secure Semantic Web, in this paper, we introduce an RDF access authorization model based on an ontology hierarchy and an RDF triple pattern. In addition, we apply the authorization model to RDF query validation for approved access authorizations. A subscribed SPARQL or RQL query, which has RDF triple patterns, can be denied or granted according to the corresponding access authorizations which have an RDF triple pattern. In order to efficiently perform the query validation process, we first analyze some primary authorization conflict conditions under RDF subsumption inference, and then we introduce an efficient query validation algorithm using the conflict conditions and Dewey graph labeling technique. Through experiments, we also show that the proposed validation algorithm provides a reasonable validation time and when data and authorizations increase it has scalability.

• Journal of Information Technology and Architecture
• /
• v.11 no.3
• /
• pp.321-332
• /
• 2014

In this paper we propose a new notion of predictable flags type of authorization for controlling access to XML documents. By using predictable flags, we are able to efficiently detect conflicts between existing authorizations and new authorizations to be added. XML documents have an element-composition hierarchical structure in that a higher level element consists of multiple lower level sub-elements. Many XML documents systems have used the notion of implicit authorization that grants authorizations to an element and the all descendants to avoid the overhead caused by explicitly storing all authorization for each element. When we grant an authorization on an element in the XML documents, the implicit authorization method is inefficient in determining the conflicts since it needs to examine all authorizations on the descendants of that element. In contrast, our mechanism using predictable flags has the advantage of detecting the conflicts immediately at the element where an explicit authorization is to be granted.