• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.775-777
• /
• 2003

역할기반 접근통제는 많은 조직에서 효과적으로 사용되고 있다. 역할기반 접근통제에서 권한은 역할과 관련이 되어 있고 사용자는 역할과 관련된 권한을 얻기 위해 역할의 일원이 되어진다. 역할기반 접근통제에서의 사용자 권한위임은 한 사용자가 인증 된 다른 사용자에게 자신의 권한을 위임하여 권한을 위임 한자신과 같은 역할의 일원이 되게 하는 것이다. 그러나 기존의 역할기반 접근통제 모델에서는 권한의 일부를 위임하는 것이 어려웠다. 본 논문에서는 역할을 위임을 위한 부분역할로 나누어 권한의 일부를 위임 가능하게 함으로써 권한 전체를 위임했을 때의 문제를 방지하고, 접근통제에서의 최소권한 원칙과 임무분리 원칙을 만족하게 하는 권한위임 방법을 제안하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.454-456
• /
• 2004

권한위임은 역할기반-접근통제에서 중요한 정책의 하나로 한 역할에서 다른 역할로 권한의 일부 또는 전부를 위임하는 것을 말한다. 대부분의 계층적 역할기반-접근통제 시스템에서는 권한위임 시에 회수까지 고려한 위임을 지원하는 모델이 일반적이다. 하지만 권한위임에 있어서 역할권한의 회수가 불필요하거나 회수를 할 때 문제가 발생할 수 있다. 본 논문에서는 역할권한의 회수가 필요하지 않는 경우에 시스템의 복잡성을 감소시키기 위한 방안으로써 단방향 권한 위임 기법을 정의하며, 일반적인 위임과 단방향 권한 위임이 같이 고려된 하이브리드한 위임 기법을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.251-253
• /
• 2003

권한 위임은 일상에서 흔히 발생하는 사건으로서, 특히, 군대, 기업, 은행 등의 계층 그룹에서는 계층간 권한 위임이 자연스럽고 빈번하게 발생한다. 대리서명(proxy signature)은 서명 권한을 위임받은 대리서명자가 원 서명자를 대신하여 유효한 전자서명을 생성하고 검증할 수 있는 전자서명 프로토콜이다. 계층 구조를 갖는 B2B 전자 거래 및 전자서명의 활용 범위가 다양화됨에 따라 이를 반영하는 보다 안전한 대리서명이 요구된다. 본 논문에서는 계층 그룹에서 반복적 권한 위임을 허용하는 새로운 임계 대리서명 프로토콜을 제안한다. 한 명의 대리서명자가 아닌 복수의 대리서명자가 모여 원 서명자를 대신해 하나의 유효한 대리서명을 생성할 수 있게 함으로써, 보다 강화된 안전성을 제공한다. 대리서명 생성을 위한 권한 위임은 위임티켓을 통해 계층 구조의 상위 계층에서 하위 계층으로 이루어지고, 위임받은 대리서명자들 중에서 서명에 참여할 수 없는 대리서명자는 다시 자신의 하위 계층 참가자들에게 개별 위임을 수행할 수 있도록 함으로써, 반복적 권한 위임을 허용한다.

• Journal of the Korea Computer Industry Society
• /
• v.10 no.1
• /
• pp.21-28
• /
• 2009

Role-Based Access Control Policy has a role hierarchies in which a higher case role can perform permissions of a lower case role. However, it is necessary for a lower case role to perform a higher case role's permission, which is not allowed to a lower case role, basically. In this paper propose a temporary permission delegation method. As the result of a temporary permission delegation, junior roles can perform senior roles' permissions in a dedicated interval.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.262-265
• /
• 2001

분산 시스템에서 사용자가 시스템에 로그인 상태에서 자신의 시스템에 존재하지 않는 자원을 이용하기 위한 방안으로 권한위임이 필수적이다. 이러한 권한위임은 다양하게 요구되는 정보보호 응용 서비스의 가용성을 증대시킨다. 본 논문에서는 권한위임을 처리하기 위해서 권한위임 인증서를 생성하여 안전하게 인증서를 중개자에게 전달해야한다. 개시자와 중개자 최종 목적지까지 다단계 권한위임이 발생하는 연결고리에서 PKI 기반 X.509의 공개키를 이용한 효율적이고 추적 및 검증이 가능한 프로토콜을 제안한다.

• The KIPS Transactions:PartC
• /
• v.10C no.6
• /
• pp.739-746
• /
• 2003

In real life, we frequently use th proxy signatrue by delegating one's own privileges. It is necessary to distribute the data related to privilege delegation securely in order to use such a proxy signature in the Internet. However, inorder to use the secure proxy signature, we need to have some mechanism to prevent a proxy signer from misuse of privileges by applying proxy certificate and a privilege delegation mechanism to manage information with related to privilege delegarion. In addition, we have implemented the prototype to demonstrate the possible proxy signature service using proxy certificate.

• The KIPS Transactions:PartC
• /
• v.13C no.6 s.109
• /
• pp.725-732
• /
• 2006

RBAC(Role-Based Access Control) has advantages in managing access controls, because it offers the role inheritance and separation of duty in role hierarchy structures. However, RBAC does not process delegation of permission effectively that occurs frequently in the real world. This paper proposes an Advanced Permission-Based Delegation Model(APBDM) that guarantees permanency of delegated permissions and does not violate security principle of least privilege and separation of duty. APBDM, based on the well-known RBAC96, supports both user-to-user and role-to-role delegation. A delegator can give permission to a specific person, that is delegatee, and the permission can be withdrawn whenever the delegator wants. Our model is analyzed and shown to be effective in the present paper.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.211-213
• /
• 2005

대리서명은 원서명자가 대리서명자에게 서명 권한을 위임하여 대신 서명하게 하는 변형된 전자서명이다. 대부분의 대리서명 기법들은 위임장에 유효한 위임 기간을 명시함으로써, 대리서명자의 서명 권한을 제한한다. 그러나 누구도 대리서명자가 서명을 생성한 정확한 시간을 모르기 때문에, 정해진 위임 기간 내에 올바로 서명 권한을 수행했는지에 대해서 검증할 방법이 없다. 따라서 위임장에 위임 기간을 표시해 놓는 것만으로는 대리서명자의 서명 권한을 제한할 수 없다. 또한 기존의 대리 서명 기법들의 경우, 대리 서명자가 악의적인 공격자와 결탁하여 서명 권한을 남용했을 때에도 원서명자가 대리서명자의 위임권한을 즉시 취소할 수 없는 문제점이 있다. 본 논문에서는 보안 매개자를 이용한 변형된 Schnorr 기반의 대리서명 기법을 제안하였다. 제안한 기법은 원서명자가 원하면 언제든지, 대리서명자의 서명권한을 취소할 수 있게 함으로써 기존의 대리서명 기법들의 취약성을 효율적으로 개선하였다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.153-156
• /
• 2002

실생활에서 권한의 위임을 통한 대리서명은 일상적으로 널리 사용되고 있다. 이러한 대리서명을 온라인상에서 사용하기 위해서는 위임자의 권한위임장이 안전하게 유통되어야 하고 대리자의 권한 오남용을 막아야 한다. 이에 따라 IETF의 PKIX 워킹그룹에서는 위임인증서(proxy certificate)를 제안하였다. 본 논문에서는 대리자의 권한의 오남용을 막기위해 위임제한 필드를 제안하였고, 위임 인증서의 서비스 가능성을 보이기 위한 프로토타입을 설계하고 구현하였다.

• Journal of KIISE:Computer Systems and Theory
• /
• v.35 no.9_10
• /
• pp.441-451
• /
• 2008

Currently, the X.509 proxy certificate is widely used to delegate an entity's right to another entity in the computational grid environment. However it has two drawbacks: the potential security threat caused by intraceability of a delegation chain and the inefficiency caused by an interactive communication between the right grantor and the right grantee on the delegation protocol. To address these problems for computational grids, we propose a new delegation protocol without additional cost. We use an ID-based key generation technique to generate a proxy private key which is a means to exercise the delegated signing right. By applying the ID-based key generation technique, the proposed protocol has the delegation traceability and the non-interactive delegation property. Since the right delegation occurs massively in the computational grid environment, our protocol can contribute the security enhancement by providing the delegation traceability and the efficiency enhancement by reducing the inter-domain communication cost.