• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.284-287
• /
• 2002

본 논문에서는 제안하는 AC(Attribute Certificate)를 이용하여 Web 상에서의 권한을 제어하는 방식은 기존의 아이디/패스워드 방식의 사용자 인증보다 좀더 안전하게 사용자에 대한 권한을 관리할 수 있다. 기존의 방식은 ACL(Access Control List)를 사용하여 권한 인증을 하기 때문에 서버의 자원을 낭비하게 된다. 본 논문에서 제한하는 방식은 Web상에서의 활동 시 AC를 이용하여 사용자를 인증하게 된다. 이러한 인증을 각 서비스 제공자 사이의 AC에 대한 양식을 공유하고 권한 정보를 공유함으로써 많은 서비스 제공자 사이의 DB 문제를 해결하고 제휴된 어느 서비스 제공자에게나 사용자가 자신의 AC를 제공하여 권한을 획득할 수 있다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.326-329
• /
• 2002

RBAC은 역할 계층구조에서 권한의 계승과 의무분리와 같은 제약조건을 다룸으로써 접근 권한의 관리를 수월하게 하는 장점이 있다. 하지만 기존의 RBAC 연구에서는 현실세계의 기업 환경에서 일어나는 역할계층을 제대로 반영한다고 볼 수 없다. 역할 계층에서 접근 권한이 항상 아래에서 위로 상속된다는 것은 최소권한의 원칙 등의 문제를 일으킬 수 있다. 본 논문에서는 기업 환경에서 조직체계를 깨뜨리지 않고 역할을 여러 개 부역할(sub role)로 세분화하여 전체 상속, 부분 상속, 상속되지 않는 역할로 나누어 계층구조를 유지할 수 있으면서 역할 상속을 제한하는 모델을 제시하고 있다.

• The Magazine of the IEIE
• /
• v.30 no.6
• /
• pp.599-607
• /
• 2003

기업간 파트너쉽이 e-비즈니스 네트워크로 발전하면서 사용자에 대한 안전하고 효과적인 인증은 물론 인증된 사용자의 특정 서비스에 대한 접근권한의 관리요구가 크게 대두되고 있다. PKI 기반 기술로 사용자 인증, 데이터 기밀성 및 무결성 서비스는 가능하지만 사용자 및 자원에 대한 권한 관리는 별도의 기반기술이 요구된다. 웹 사이트들을 파트너 쉽으로 연결해주는 크로스 도메인간의 단일인증, 보호 대상 자원에 대한 접근제어, 파트너간의 상호연동성 및 이기종 연동 등의 요구사항을 만족시키기 위한 권한관리 기반기술이 필요하다. 본고에서는 PMI 표준, 접근제어, RBAC, SAML 및 XACML 기술에 대한 소개와 권한관리 시스템 구축 모델에 대하여 설명한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.637-639
• /
• 2003

컴퓨터 시스템의 발달로 인해 여러 사용자가 여러 자원을 동시에 사용할 수 있는 환경으로 발전하면서 기존의 사용자 기반의 접근제어가 아닌 역할을 중심으로 하는 접근제어 모델이 제안되었다. 이러한 역할기반 접근제어 기법을 위한 참고 모델로서 역할 그래프 모델이 소개되었지만, 엄격한 충돌 처리 방식 때문에 실제 응용시스템에 적용하는 것은 한계가 있었다. 본 논문에서는 이러한 한계를 극복하기 위해서 충돌되는 권한을 세분화하고 이를 이용하여 좀 더 유연한 권한 삽입 연산을 할 수 있도록 하였다. 이러한 유동적 권한 삽입 방식을 통해 역할 그래프 모델을 좀 더 다양하게 적용한 수 있을 것이다.

• Journal of Arbitration Studies
• /
• v.16 no.1
• /
• pp.315-341
• /
• 2006

이 논문은 1999년에 전면 개정된 한국의 중재법과 1925년에 제정된 미국의 연방중재볍 및 2000년에 제시된 개정통일중재법의 내용 중 중재인의 권한과 의무들에 관한 규정들을 비교 분석한 것이다. 우선, 미국 중재법의 기본법이라 할 수 있는 연방중재법은 1925년에 제정된 이래 중재 이슈에 관한 발전들을 담아내지 못한 채 진부한 과거의 법률을 그대로 유지하고 있다. 따라서, 중재인의 권한과 의무에 대해서도 중재판정과 같은 기본적인 권한 규정 외에 중재인의 임시적 처분이나 민사책임의 면제, 고지 의무등 새롭게 진전된 중재 환경의 변화나 논의들이 다루어지지 않고 있다. 그러나, 미국의 통일주법위원전미협의회가 주체가 되어 제시한 2000년의 개정통일중재법은 중재이론이나 케이스의 발전들을 반영하였을 뿐만 아니라, 중재인의 권한과 의무에 대해서도 훨씬 구체적인 규정들을 담아내고 있다. 개정통일중재법은 중재언의 권한을 개정 이전보다 훨씬 강화하는 대신, 보다 엄격한 윤리적 의무를 부과함으로써 균형을 유지하려 하고 있다. 특히, 중재인의 올바른 중재판정을 이끌어 내기 위해 증거 확보에 있어 보다 강한 절차적 권한을 부여하고 있는 것이 특정이다. 아울러, 중재인으로 하여금 임시적 처분을 내릴 수 있는 권한을 부여하고 있을 뿐만 아니라, 징벌적 배상을 결정할 수 있게까지 규정하고 있다. 그러나, 중재인의 절차적 권한의 강화는 동법이 의도한 바와는 달리 중재를 재판에 유사한 구조로 만듦과 동시에, 중재의 신속성과 최종성을 해치는 결과를 초래하는 것이 아닌가 하는 우려와 지적을 낳기도 한다. 한편, 한국의 중재법은 중재인의 임시적 처분권한과 고지의무를 규정하고 있지만, 미국의 개정통일중재법과 달리 민사적 책임면제 규정을 두고 있지는 않다. 특히, 한국 중재법에서 중재인은 증거를 수집하기 위하여 당사자의 임의적 협조에 의존하지만, 미국의 개정통일중재법에서는 증거개시제도까지 채택하고, 제 3 자도 소환할 수 있는 등 중재인의 절차적 권한이 훨씬 강하므로 한국 중재법에서 중재인의 절차적 권한은 미국의 개정통일중재법에서의 그것보다는 훨씬 제한적이다. 한국의 중재를 더욱 실효성 있게 하기 위해서는 중재법에서 중재인의 절차적 권한에 관한 규정을 보완해 주어야 할 것이다. 또 성공적인 중재를 위해서는 중재인의 전문성과 함께 윤리의식이 중요하므로 상사중 재원은 별도의 중재인 윤리규정을 제정해야 할 것이다.

• The KIPS Transactions:PartC
• /
• v.10C no.3
• /
• pp.287-294
• /
• 2003

Authentication and authorization are essential functions for the security of distributed network environment. Authorization is determining and to decide whether a user or process is permitted to perform a particular operation. In this paper, we design an authorization mechanism to make a system more effective with Kerberos for authentication mechanism. In the authorization mechanism, Kerberos server operates proxy privilege server. Proxy privilege server manages and permits right of users, servers and services with using proposed algorithm. Also, privilege attribute certificate issued by proxy privilege server is used in delegation. We designed secure kerberos with proposed functions for effective authorization at the same time authentication of Kerberos mechanism.

• Journal of Internet Computing and Services
• /
• v.17 no.1
• /
• pp.91-99
• /
• 2016

A security system in Android OS adopts sandbox and an permission model. In particular, the permission model operates the confirmation of installation time and all-or-nothing policy. Accordingly, the Android OS requires a user agreement for permission when installing an application, however there is very low level of user awareness for the permission. In this paper, the current status of permission requirement within mobile apps will be discovered, and the key inspection list with an appropriate method, when a mobile service provider autonomously inspects the violation of least privilege around financial companies, and its usefulness will be explored.

• The KIPS Transactions:PartC
• /
• v.13C no.6 s.109
• /
• pp.725-732
• /
• 2006

RBAC(Role-Based Access Control) has advantages in managing access controls, because it offers the role inheritance and separation of duty in role hierarchy structures. However, RBAC does not process delegation of permission effectively that occurs frequently in the real world. This paper proposes an Advanced Permission-Based Delegation Model(APBDM) that guarantees permanency of delegated permissions and does not violate security principle of least privilege and separation of duty. APBDM, based on the well-known RBAC96, supports both user-to-user and role-to-role delegation. A delegator can give permission to a specific person, that is delegatee, and the permission can be withdrawn whenever the delegator wants. Our model is analyzed and shown to be effective in the present paper.

• Journal of the Korea Society of Computer and Information
• /
• v.26 no.6
• /
• pp.107-113
• /
• 2021

In this paper, we conducted an empirical study to investigate whether Android app descriptions provide enough permission usages for measuring app quality in terms of human writing and consistency between code and descriptions. Android app descriptions are analyzed for various purposes such as quality measurement, functionality recommendation, and malware detection. However, many app descriptions do not disclose permission usages, whether accidentally or on purpose. Most importantly, the previous studies could not precisely analyze app descriptions if permission usages cannot be completely introduced in app descriptions. To assess the consistency between permissions and app descriptions, we implemented a state-of-the-art method to predict Android permissions for 29,270 app descriptions. As a result, 25% of app descriptions may not contain any permission semantic, and 57% of app descriptions cannot accurately reflect permission usages.

• KIPS Transactions on Computer and Communication Systems
• /
• v.7 no.2
• /
• pp.59-66
• /
• 2018

Android Things is an Android-based platform running in Google's IoT environment. Android smartphones require permissions from application users to use certain features, but in the case of Android Things, there is no display to send request notifications to users. Therefore Does not make a request to use the permissions and automatically accepts the permissions from the system. If the privilege is used indiscriminately, malicious behavior such as system failure or leakage of personal information can be performed by a function which is not related to the function originally. Therefore, By monitoring the privileges that a device uses in an Android-based IoT system, users can proactively respond to security threats that can arise through unauthorized use of the IoT system. This paper proposes a system that manages the rights currently being used by IoT devices in the Android Things based IoT environment, so that Android-based IoT devices can cope with irrelevant use of rights.