DOI QR코드

DOI QR Code

Database Security System supporting Access Control for Various Sizes of Data Groups

다양한 크기의 데이터 그룹에 대한 접근 제어를 지원하는 데이터베이스 보안 시스템

  • 정민아 (전남대학교 전자통신기술연구소) ;
  • 김정자 (전남대학교 전자통신기술연구소) ;
  • 원용관 (전남대학교 컴퓨터공학과) ;
  • 배석찬 (군산대학교 컴퓨터정보과학과)
  • Published : 2003.12.01

Abstract

Due to various requirements for the user access control to large databases in the hospitals and the banks, database security has been emphasized. There are many security models for database systems using wide variety of policy-based access control methods. However, they are not functionally enough to meet the requirements for the complicated and various types of access control. In this paper, we propose a database security system that can individually control user access to data groups of various sites and is suitable for the situation where the user's access privilege to arbitrary data is changed frequently. Data group(s) in different sixes d is defined by the table name(s), attribute(s) and/or record key(s), and the access privilege is defined by security levels, roles and polices. The proposed system operates in two phases. The first phase is composed of a modified MAC (Mandatory Access Control) model and RBAC (Role-Based Access Control) model. A user can access any data that has lower or equal security levels, and that is accessible by the roles to which the user is assigned. All types of access mode are controlled in this phase. In the second phase, a modified DAC(Discretionary Access Control) model is applied to re-control the 'read' mode by filtering out the non-accessible data from the result obtained at the first phase. For this purpose, we also defined the user group s that can be characterized by security levels, roles or any partition of users. The policies represented in the form of Block(s, d, r) were also defined and used to control access to any data or data group(s) that is not permitted in 'read ' mode. With this proposed security system, more complicated 'read' access to various data sizes for individual users can be flexibly controlled, while other access mode can be controlled as usual. An implementation example for a database system that manages specimen and clinical information is presented.

최근 병원 및 은행 등의 대규모 데이터베이스에 접근하는 사용자의 요구 사항이 다양해짐에 따라 데이터베이스 보안에 대한 중요성도 커졌다. 기존의 접근 제어 정책을 이용한 데이터베이스 보안 모델들이 존재하지만 이들은 복잡하고, 다양한 유형의 접근제어를 원하는 사용자의 보안 요구를 충족시키지 못한다. 본 논문에서는 데이터베이스를 접근하는 각 사용자별로 다양한 크기의 데이터 그룹에 대한 접근 제어론 제공하며, 임의의 정보에 대한 사용자의 접근 권한의 변화를 유연하게 수용하는 데이터베이스 보안 시스템을 제안하였다. 이를 위해 다양한 크기의 데이터 그룹을 테이블, 속성, 레코드 키에 의해 정의하였고, 사용자의 접근 권한은 보안 등급, 역할과 보안 정책들에 의해 정의하였다. 제안하는 시스템은 두 단계로 수행된다. 제 1단계는 수정된 강제적 접근 제어(Mandatory Access Control: MAC)정책과 역할 기반 접근 제어(Role-Based Access Control: RBAC)정책에 의해 수행된다. 이 단계에서는 사용자 및 데이터의 보안 등급과 역할에 의해 접근이 제어되며, 모든 형태의 접근 모드에 대한 제어가 이루어진다. 제 2단계에서는 수정된 임의적 접근 제어(Discretionary Access Control: RBAC)정책에 의해 수행되며, 1단계 수행결과가 다양한 크기의 데이터 항목에 대한 read 모드 접근제어 정책에 따라 필터링되어 사용자에게 제공한다. 이를 위해 사용자 그룹은 보안 등급에 의한 그룹, 역할에 의한 그룹, 사용자 부분집합으로 이루어진 특정 사용자 그룹으로 정의하였고 Block(s, d, r) 정책을 정의하여 특정 사용자 5가 특정 데이터 그룹 d에 'read' 모드, r로 접근할 수 없도록 하였다. 제안한 시스템은 사용자별 데이터에 대한 접근 제어가 복잡하게 요구되는 특정 유전체 연구 센터의 정보에 대한 보안 관리를 위해 사용하였다.안성, 동진벼는 안성, 서산 및 화순, 삼강벼는 안성, 서산, 화순 및 계화도 그리고 용문벼는 안성과 충주였다. 유지보수성을 증대할 수 있는 잇점을 가진다.역되어 MC-3에서 수행된다.위해 가상현실 기술을 이용한 컴퓨터 지원 교육훈력 시스템(CATS ; Computer Assister Training System)을 개발 중이며 일부 개발부분을 소개하였다.하며, 제 2선적제도의 발달과 해운경영의 국제성에 맞추어 근해해역에서 활동하는 우리나라의 선박에대해서 부분적으로 선박의 국적을 점차 개방시켜 나가는 정책을 검토해야 할 단계라는 것이다. 이러한 점에 있어서 지난 30여년간 외항해운부문에 중점을 두어온 우리나라의 해운정책은 이제 근해해운정책의 개발에도 관심을 기울여야 하는 전환점에 있다고 할 수있다.의 목적과 지식)보다 미학적 경험에 주는 영향이 큰 것으로 나타났으며, 모든 사람들에게 비슷한 미학적 경험을 발생시키는 것 이 밝혀졌다. 다시 말하면 모든 사람들은 그들의 문화적인 국적과 사회적 인 직업의 차이, 목적의 차이, 또한 환경의 의미의 차이에 상관없이 아름다 운 경관(High-beauty landscape)을 주거지나 나들이 장소로서 선호했으며, 아름답다고 평가했다. 반면에, 사람들이 갖고 있는 문화의 차이, 직업의 차 이, 목적의 차이, 그리고 환경의 의미의 차이에 따라 경관의 미학적 평가가 달라진 것으로 나타났다.corner$적 의도에 의한 경관구성의 일면을 확인할수 있지만 엄밀히 생각하여 보면 이러한 예의 경우도 최락의 총체적인 외형은 마찬가지로 $\ulcorner$순응$\lrcorner$의 범위를 벗어나지 않는다. 그렇기 때문에도 $\ulcorner$순응$\lrcorner$$\ulcorner$표현$\lrcorner$의 성격과

Keywords

References

  1. M. Piattini and E. Femandez-Medina, 'Secure databases : state of the art,' Security Technology, Proc. Of the IEEE 34th Annual 2000 International Cornahan Conference, pp.228-237, 2000 https://doi.org/10.1109/CCST.2000.891192
  2. R. Lindgreen and I. Herschberg, 'On the Validity of the Bell-LaPadula Model,' Computer & Security, Vol.13, pp.317-338, 1994 https://doi.org/10.1016/0167-4048(94)90023-X
  3. S. Lewis and S. Iseman, 'Securing and object relational database,' Computer Security Applications Conference, 1997 https://doi.org/10.1109/CSAC.1997.646175
  4. D. Ferraiolo, R. Sandhu, S. Gavrila, D. Kuhn and R.Chandramouli, 'Proposed NIST Standard for Role-Based Access Control,' ACM Transactions on Information and Systems Security, Vol.4, No.3, pp.224-274, Aug., 2001 https://doi.org/10.1145/501978.501980
  5. R. Sandhu, E.Coyne, H. Feinstein and C. Youman, 'Role-based access control models, 'IEEE Computer, Vol.29, Issue2, pp.38-47, 1996 https://doi.org/10.1109/2.485845
  6. C. Wood, R. Summers, and E. Femandez, 'Authorization in multilevel database models,' Information System, Pergamon Press, 4(2), 1979 https://doi.org/10.1016/0306-4379(79)90017-6
  7. S. Jajodia and R. Sandhu, 'Enforcing primary key requirements in multievel relations,' In Proc. 4th RADC Workshop on Multilevel relations, Little Compton, Rhode Island, 1991
  8. R. Sandhu and s.Jajodia, 'Polyinstantiation for cover stories,' In Proc. European symposium on research in Computer Security, Toulouse, France, Springer-Verlag LS CS648, 1992
  9. M. Winslett, K. Smith and X. Qian, 'Formal query language for secure relational databases,' ACM-TODS, 1994
  10. D. Denning et al., 'The Sea View Security Model,' In Proc. IEEE Symp. on Security and Privacy, Oakland, CA, pp.218-233, 1988
  11. R. Sandhu and V.Bhanmidipati, 'The URA97 model for role-based user-role assignment,' Database Security XI : Status and Prospects, Chapman and Hall, London, pp.262-275, 1997
  12. D. Ferraiolo, J. Barkley and R. Kuhn, 'A role-based access control model and reference implementation within a corporate intranet,' ACM Transactions on Information and Systems Security, Vol.2, No.1, pp.34-64, 1999 https://doi.org/10.1145/300830.300834