• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권9호
• /
• pp.3274-3297
• /
• 2021

Permission delegation is an important research issue in access control. It allows a user to delegate some of his permissions to others to reduce his workload, or enables others to complete some tasks on his behalf when he is unavailable to do so. As an ideal solution for controlling read access on outsourced data objects on the cloud, Ciphertext-Policy Attribute-Based Encryption (CP-ABE) has attracted much attention. Some existing CP-ABE schemes handle the read permission delegation through the delegation of the user's private key to others. Still, these schemes lack the further consideration of granularity and traceability of the permission delegation. To this end, this article proposes a flexible and fine-grained CP-ABE key delegation approach that supports white-box traceability. In this approach, the key delegator first examines the relations between the data objects, read permission thereof that he intends to delegate, and the attributes associated with the access policies of these data objects. Then he chooses a minimal attribute set from his attributes according to the principle of least privilege. He constructs the delegation key with the minimal attribute set. Thus, we can achieve the shortest delegation key and minimize the time of key delegation under the premise of guaranteeing the delegator's access control requirement. The Key Generation Center (KGC) then embeds the delegatee's identity into the key to trace the route of the delegation key. Our approach prevents the delegatee from combining his existing key with the new delegation key to access unauthorized data objects. Theoretical analysis and test results show that our approach helps the KGC transfer some of its burdensome key generation tasks to regular users (delegators) to accommodate more users.

• 한국정보과학회논문지:시스템및이론
• /
• 제35권9_10호
• /
• pp.441-451
• /
• 2008

계산적 그리드 환경에서 개체간 권한 위임 및 Single Sign-on의 목적을 위해 사용되고 있는 X.509 대리 인증서 표준은 추적 불가능성으로 인한 잠재적인 보안 위협 및 권한 위임자와 권한 대리자간의 다수의 대화식 (Interactive) 통신으로 야기되는 비효율성에 노출되어 있다. 본 논문에서는 이러한 두 가지 문제점을 해결하면서 기존의 X.509 대리 인증서 표준의 장점을 그대로 유지할 수 있는 권한 위임 프로토콜을 제안한다. 제안 방법은 ID 기반 서명 알고리즘 및 키 생성 방법을 권한 위임 과정에 적용시켜 권한 대리키로 사용한다. 이러한 결과 권한 대리자와 권한 위임자간의 통신 횟수를 줄일 수 있다. 본 제안 프로토콜을 계산적 그리드 환경에 적용시키면, 연속된 위임 과정으로 생성되는 대리 인증서 사슬의 참여자를 알 수 있음으로써 생기는 보안성 향상뿐만 아니라 광대역 네트워크상에서 진행되는 위임 과정의 통신량 및 횟수를 줄일 수 있으므로 결과적으로 계산적 그리드 환경의 성능 향상에 기여하게 된다.

• 한국정보과학회논문지:정보통신
• /
• 제30권4호
• /
• pp.484-493
• /
• 2003

대리 서명이란 원 서명자가 대리 서명자에게 서명 권한을 위임하여, 대리 서명자가 원 서명자를 대신해서 서명을 생성하는 것이다. 일반적으로 대리 서명자가 위임받은 권한은 유효 기간을 가지며, 이를 위해 위임 정보에 위임 기간을 포함시키는 방법이 있다. 그러나 일반적인 방법에서는, 대리 서명자의 서명 생성 시간을 알 수 없기 때문에 유효 기간이 만료된 대리 서명자의 서명 위조를 막을 수 없고, 위임기간 중에 대리 서명키가 노출되었을 경우 정당한 대리 서명자가 과거에 생성한 서명 타당성을 보호하지 못한다. 본 논문에서는 위임 기간이 만료된 대리 서명자의 서명 위조를 막고, 현재의 서명키가 노출되더라도 과거 서명의 타당성이 보호되는 새로운 서명 방법을 제안한다. 본 논문에서 제안한 유효 기간을 갖는 포워드-시큐어 대리 서명 프로토콜은 원 서명자가 시간 관련 파라미터를 제어하므로 정화한 시간 정보를 필요로 하지 않는다. 또한, 어플리케이션의 특성이나 정책에 따라 설정된 서명키 갱신 구간별로 포워드-시큐어한 속성을 만족시킨다.

• 정보처리학회논문지C
• /
• 제10C권6호
• /
• pp.739-746
• /
• 2003

실생활에서 권한의 위임을 통한 대리 서명은 일상적으로 널리 사용되고 있다. 이러한 대리 서명을 인터넷상에서 사용하기 위해서는 권한 위임한 내용이 안전하게 전달되어야 한다. 이러한 목적으로 현재 IETF 에서는 위임 인증서를 제안하고 있다(5). 그러나 인터넷상의 안전한 대리 서명을 위해서는 대리자가 발급받은 위임 인증서를 가지고 권한을 오남용 하지 않도록 하는 것도 필요하다. 본 논문에서는 위임 인증서를 이용하여 권한의 오남용을 막기 위한 정책제한 필드를 제안하고 안전하게 권한 위임 정보를 관리할 수 있는 권한 위임 메커니즘을 설계하였다. 또한 프로타입 구현을 통하여 위임 인증서를 이용한 대리서명 서비스의 가능성을 보였다.

• 한국콘텐츠학회논문지
• /
• 제4권1호
• /
• pp.67-75
• /
• 2004

본 논문은 공개키 기반구조(PKI-Public Key Infrastructure)에서 중추적인 역할을 담당하는 공개키 인증시스템을 설계하고 구현한다. 본 논문에서는 인증기관의 역할을 수행할 수 있는 공개키 인증시스템의 요구사항 및 특징을 분석하여, 실제 인증 서비스가 제공 가능한 인증과정은 HA및 FA한테 위임하고 설계한다. 인증 구조는 Root CA와 Home agent 및 Foreign agent로 구성되어 있고, 필요할 때 CA은 위임권을 HA나 FA한테 전송한다.

• 융합보안논문지
• /
• 제3권2호
• /
• pp.1-10
• /
• 2003

현재의 컴퓨팅 환경에서 기업이나 조직내의 사용자들은 다른 사용자와 자원을 공유하며 상호작용을 통하여 보다 효율적으로 작업을 수행하게 된다. 이 경우 공유하는 자원이나 정보의 불법적인 사용을 막고 데이터의 무결성을 유지하기 위하여 사용자의 인증과정이 필요하며, 또한 사용자의 작업에 대한 접근 제어(Access Control)의 필요성이 더욱 중요시되고 있다. 임의적 접근 제어(DAC)는 객체의 소유자에게 모든 위임의 권한이 주어지고 강제적 접근 제어(MAC)의 경우에는 주체와 객체단위의 정책 적용이 어려운 단점이 있다. 최근에는 역할-기반접근 제어를 이용하여 조직의 보안 정책을 보다 효율적이고 일관성 있게 관리하고자 하는 시도가 있다. 하지만 역할-기반 접근 제어의 경우 각 역할의 계층에 의하여 권한의 상속이 결정되는 문제가 발생한다. 하지만, 하위 개념의 역할이 상위 개념이 가지는 역할의 권한을 수행 하여야 하는 경우가 발생하는데 기존의 역할-기반 접근 제어 모델은 상기의 문제를 해결하기 위한 방법이 존재하지 않고 역할에 새로운 권한을 추가해야만 하는 문제가 존재한다. 따라서 본 논문에서는 이러한 문제를 해결하기 위하여 역할이 가지는 권한의 일시적인 위임을 통하여 이를 해결 하고자 한다. 이를 위하여 권한의 위임을 수행하기 위한 새로운 모델과 새로운 역할-권한 관계의 정의, 권한 위임을 수행하는 위임 서버, 그리고 이를 수행하는 프로토콜을 제시한다.

• 한국정보전자통신기술학회논문지
• /
• 제10권4호
• /
• pp.340-349
• /
• 2017

본 논문에서는 재전송공격과 가장 공격을 방지할 수 있는 하둡 보안 프로토콜을 제안한다. 제안하는 하둡 보안 프로토콜은 사용자 인증 모듈, 공개키 기반 데이터노드 관리 모듈, 네임노드 인증 모듈, 그리고 데이터노드 인증 모듈로 구성된다. 사용자 인증모듈은 인증서버에서 사용자의 신분을 확인한 후에 TGS로부터 임시접속 ID를 발급받고, 공개키 기반 데이터 노드 관리 모듈은 네임노드와 데이터 노드간의 비밀키를 생성하고, 해시체인기법으로 OKTL(One-Time Key List)를 생성한다. 네임노드 인증 모듈은 임시접속 ID로 사용자의 신분을 확인하고 DT(Delegation Token)와 BAT(Block Access Token)를 사용자에게 발급해주고, 데이터 노드 인증 모듈은 BAT의 OwnerID을 검증하여 사용자의 신분을 확인하고 데이터를 암호화시켜 사용자에게 제공한다. 즉, 제안하는 하둡 보안 프로토콜에서는 OTKL, timestamp, OwnerID을 이용하여 데이터 노드의 비밀키 노출을 대비할 뿐만 아니라 재전송 공격과 가장 공격을 탐지하고, 데이터 노드의 데이터 접근을 강화시키고 데이터를 암호화하여 전달함으로써 데이터 보안을 강화시켰다.

• 한국산학기술학회논문지
• /
• 제20권6호
• /
• pp.1-8
• /
• 2019

의료정보는 환자에게 중요한 개인정보로써 반드시 보호되어야 하는 중요 정보이다. EMR((Electronic Medical Records) 시스템은 개인정보와 의료정보가 유출될 경우, 환자의 사생활 침해 등 매우 심각한 피해를 초래할 수 있어 EMR 시스템의 의료정보는 사용자 접근에 관한 제어 및 통제 강화 등 높은 보안성이 요구되는 시스템이다. 특히 의료인이 전자의무기록에 접근할 때, 보안이 강화된 신원확인에 대한 인증방식이 반드시 필요하다. 그러나 기존의 공인인증서 기반의 인증모델은 개인키 관리, 권한위임 등의 문제로 인해 전자의무기록의 보안 특성을 반영하지 못하였다. 본 연구에서는 기존의 전자의무기록(EMR) 시스템 접근 시 문제점을 해결할 수 있는 보안이 강화된 지문인식 기반 인증 모델을 제안한다. 제안한 인증 모델은 PEMS(Private-key Escrow Management Server)를 이용한 EMR 지문인증 모델로서, 개인키 위탁 프로토콜과 개인키 인출 프로토콜을 적용하여, 개인키 관리와 권한위임 문제를 해결할 수 있도록 하였다. 제안한 인증 모델은 성능 실험을 통해 기존의 공인인증서 기반 인증에 비해 수행시간 단축된 것을 확인할 수 있었고, 기존 전자서명 비밀번호 방식을 대체 가능하며, 사용자의 편의성이 증가된 장점이 있다.

• 한국통신학회논문지
• /
• 제29권5C호
• /
• pp.737-749
• /
• 2004

분산 네트워크 환경에서 커버로스는 시스템간의 신뢰를 바탕으로 대칭키를 사용하여 사용자를 인증한다. 그러나, 인증(authentication)과 함께 허가(authorization)는 보안의 필수적인 요소다. 본 논문에서는 기존의 커버로스에 프록시 권한 서버(proxy privilege server)를 두고 공개키/개인키를 적용하여 효율적이고 안전한 인증 및 허가 메커니즘을 설계하였다. 제안한 메커니즘에서는 사용자 인증을 위해 미리 정해진 long-term 키와 공개키를 통해 교환한 랜덤 수에 MAC 알고리즘을 적용하여 암호화에 사용하는 세션키 값을 매번 바꾸어주기 때문에 안전성을 높였다. 또한, 전체적인 인증 절차를 간소화하여 사용하는 키의 수를 줄였다. 프록시 권한 서버는 사용자의 권한 요구를 확인하고 권한 속성 인증서(privilege attribute certificate)를 발행한다. 권한 속성 인증서는 사용자의 권한 요구를 응용 서버에 전달하고 권한 위임에 사용된다. 제안한 메커니즘을 사용하여 기존의 커버로스에서 동작하는 효율적이고 안전한 인증 및 허가 알고리즘을 설계한다.

• 대한전자공학회논문지TC
• /
• 제47권1호
• /
• pp.91-98
• /
• 2010

본 논문은 커뮤니티 기반의 유비쿼터스 네트워크에서 대리 서명 기법을 적용한 커뮤니티 멤버들 간의 상호 인증 기법 및 안전한 커뮤니티 생성 권한 위임 기법을 제안한다. 커뮤니티 기반의 유비쿼터스 네트워크에서는 사용자가 필요로 하는 네트워크 서비스 및 응용서비스를 제공해주기 위해 다양한 상황인식 정보가 수집 되고 활용된다. 또한 사용자는 학업, 게임, 정보 공유, 사업, 회의 등의 다양한 목적에 의해 다양한 커뮤니티를 생성할 수 있다. 그러나 커뮤니티 기반의 유비쿼터스 네트워크의 경우 공격자에 의해 상황인식 정보가 위조 및 도용되어 악의적인 목적으로 사용될 수 있다. 또한 악의적인 목적으로 커뮤니티를 생성할 수 있다. 제안하는 기법은 위임 서명 기법을 이용하여 커뮤니티 멤버들 간의 상호 인증 및 비밀 키를 교환 할 수 있도록 지원하고, 안전하게 커뮤니티 생성 권한을 위임할 수 있도록 하였다. 또한 기존 RSA 서명 기법과의 비교 분석을 통해 전체 계산 시간이 감소함을 확인하였다.