The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지

Effective Access Control Mechanism for Protection of Sensitive Personal Information

민감한 개인정보 보호를 위한 효율적인 접근제어 기법

  • 문형진 (충북대학교 전산계산학과 네트워크 연구실) ;
  • 김기수 (충북대학교 전산계산학과 네트워크 연구실) ;
  • 엄남경 (충북대학교 전산계산학과 네트워크 연구실) ;
  • 이영진 (충북대학교 전산계산학과 네트워크 연구실) ;
  • 이상호 (충북대학교 전기전자컴퓨터학부)
  • Published : 2007.07.31
Download PDF
⟨ Previous Next ⟩

Abstract

In order to provide the efficient personalized services, the organizations and the companies collect and manage the personal information. The stored data have some slight differences among each subject. Even though the same attribute information leaks out, the personal privacy violation is different according to personal sensitivity. However, currently the organizations or the companies protect all the information as the same level. This paper reflects the sensitive attribute information of the information subject to each personal policy by the encrypting techniques. And then we propose a policy-based access control mechanism for the personal information which strictly prevents unauthorized information users from illegally accessing the personal information. In the proposed mechanism, the individuals' personal information which is encrypted with different keys is stored into the database. For the access control, information subjects set up their own access control policy for their sensitive personal information. Then it is possible to control the information access by providing the information to the information users according to personal and organizational privacy policy.

은행, 병원과 같은 기관이나 기업은 효율적인 개인별 서비스를 위해 정보주체의 동의하에 개인정보를 수집 관리하고 있다. 저장된 개인정보는 정보주체마다 민감도의 차이가 존재한다. 같은 속성정보 누출시 개인이 느끼는 민감도에 따라 프라이버시 침해정도가 다르다. 그러나 현재 기관이나 기업에서 민감도에 상관없이 일괄적으로 보호하고 있다. 이 논문에서는 정보주체의 민감한 정보 항목을 개인별정책에 반영하고 개인에 의해 지정된 민감한 개인정보 접근에 대해 엄격하게 제한하는 프라이버시 정책 기반의 접근제어 기법을 제안한다. 제안 기법에서 개인정보는 정보주체별로 각기 다른 키로 암호화하여 데이터베이스에 저장된다. 정보주체는 자신의 민감한 정보의 접근권한에 대한 정책을 세우며, 개인별정책과 기관 프라이버시정책에 따라 허가된 정보사용자에게 정보를 제공하므로 써 정보 접근의 통제가 가능하다.

Keywords

References

  1. W3C, Platform for Privacy Preference(P3P) version1.1, http://www.w3c. org/P3P
  2. OASIS, eXtensible Access Control Markup Language(XACML) version 2.0. OASIS, Feb. 2005
  3. R.S. Sandhu, E.J. Coyne, H.L. Feinstein, and C.E. Youman, 'Role- Based Access Control Models,' IEEE Computer, Vol29, No2, pp38-47. 1996
  4. P.K.Thomas, and R.S.Sandhu, 'Task- based Authorization Control(TBAC) : A Family of Models for Active and Enterprise-oriented Authorization Management,' Proc of the IFIP WG11.3 Workshop on Database Security. 1997
  5. S. Oh, and S. Park, 'An Integration Model of Role-based Access Control and Activity-based Access Control Using Task,' Proc. of 14th Annual IFIP WG11.3 Working Conference on Database Security, Aug. April. 2000
  6. S. Oh and S. Park 'Task-Role Based Access Control(T-RBAC): An Improved Access Control Model for Enterprise Environment', Proceedings of the 11th International Conference on Database and Expert Systems Applications, pp. 264-273, 2000
  7. E. Bertino, P.A. Bonatti and E. Ferrari, TRBAC: A Temporal Role-Based Access Control Model, ACM Trans. Information and System Security, vol. 4, no. 3, pp. 191-233, Aug. 2001 https://doi.org/10.1145/501978.501979
  8. W. Stallings, Cryptography and Network Security, ISBN 0-13-091429-0
  9. M.C. Mont, S. Pearson, and P. Bramhall., 'An Adaptive Privacy Management System For Data Repositories,' TrustBus2005(LNCS 3592), pp.236-245, 2005
  10. H.J. Mun, K.M. Lee and S.H. Lee, 'Person-Wise Privacy Level Access Control for Personal Information Directory Services,' EUC2006(LNCS 4096), pp.89-98, 2006
  11. S.Sessay, Z. Yang, J. Chen and D. Xu, 'A Secure Database encryption scheme,' second IEEE Consumer Communications and Networking Conference, pp.49-53, 2005