본문 바로가기

IT for researcher/Security

(12)
An extended XACML model to ensure secure information access for web services 초록 점점더 웹 서비스를 기반으로 하는 소프트웨어 시스템이 개발되오고 있다. 웹서비스 개발 기술은 그래서 매우 중요한다. 안전한 정보 접근을 보장하기 위하여, 접근 제어는 웹서비스를 개발할때 고려되어야만 한다. 이 논문은 웹서비스를 위한 안전한 정보 접근을 보장하기 위한 확장된 XACML 모델을 제안한다. 이느 정보 흐름 제어 기술에 기반한다. 이 모델에 의해 제공되는 주요 특징은 (1) 요청자들의 정보와 웹서비스들의 정보는 보호받는다. (2) 웹서비스 접근 제어는 기존 모델에서의 "허용" 또는 "거부"보다 좀더 정확하다. (3) 모델은 요청자가 웹서비스를 호출하도록 허락 받았을 때 웹서비스를 실행하는 동안 안전하지 못한 정보 접근을 거부할 것이다. 1. 서론 소프트웨어 시스템들이 점점더 네트워크위에서 ..
XACML Policy Integration Algorithms 2. XACML POLICY LANGUAGE 접근제어 정책들을 명시하기 위하여 XACML에 의해 채택된 공식은 네가지 주요 컴포넌트를 기반으로 하고 있다. 1) Attributes and functions (속성과 함수) 속성들은 주체들, 리소스들, 액션들 또는 제한을 정의하기 위해 사용되는 환경들의 특성이다. XACML은 속성 목록을 미리 정의하지 않는다. 대신 데이터 유형과 주체 또는 단체들이 시스템에 대해 유효한 속성들의 집합을 생성하기 위하여 사용할 수 있는 함수 목록을 명시한다. String, Time, Boolean, Double, AnyURI는 유효한 데이터 유형의 예들이다. 반면에 , String-Equal, Greater-Than, Date-Equal, String-Is-In, AnyUR..
A Role-based XACML Administration and Delegation Profile and Its Enforcement Architecture Min Xu and Duminda Wijesekera 2009. 11 conference OASIS의 XACML v3.0의 관리와 위임 프로파일에 XACML-ARBAC와 합쳐서 롤 기반 위임을 추가한다. 정책 관리 - 개별적으로 생성하고 변경할 수 있는 정책들의 유형을 제어한다. 동적 위임 - 몇몇 사용자들에게 선택적 능력을 위임하기 위하여 제한된 기간의 정책들을 생성하는 것을 허락한다. 위임 모델은 임의의 접근제어 모델이다. (DAC) 퍼미션의 소유자가 특정 사용자에게 이것을 위임하도록 허락받는다. - 퍼미션이 같은 일에 대하여 여러 사용자들에게 위임될 필요가 있다면 이는 확장할 수 없다. 그/그녀에게 할당된 퍼미션의 부분 집합을 위임하는 지원이 부족하다. 다른 측면에서, 이 프로파일은 강화 매커니즘을..
Security architecture for virtual organizations of business web services 2008년 Florian Kerschbaum, Philip Robinson 초록 가상 조직 (VO)는 공통의 목표를 성취하기 위하여 서로다른 도메인들의 리소스들을 일시적으로 모은다. 웹서비서들은 조직들의 비즈니스 애플리케이션의 상황에서 이러한 취합을 성치하기 위한 기술적인 프레임워크로써 위치하고 있다. 수많은 아키텍쳐들은 안전한 VO, 대부분 과학적인 연구를 진행해 오고 있어서 비즈니스 지향 애플리케이션의 모든 요구사항을 처리하지 못한다. 이 논문은 추가적인 요구사항을 기술하고 VO 접근제어 정책들을 관리하기위한 새로운 아키텍쳐와 접근법을 제안한다. 비즈니스 사용자들은 비즈니스프로세스를 설계하는데 집중할 수 있다. 반면에 아키텍쳐는 웹서비스를 노출시키고 VO 파트너쉽을 관리하여 관련되 웹 서비스 상호작용..
Architecting Dependable Access Control Systems for Multi-Domain Computing Environments Springer 2009 초록 현대 컴퓨팅 시스템들은 서비스 지향 아키텍쳐기반으로 만들어지고 다중 분산 컴포넌트들로 구성된다. 이것들은 종종 독립되고 자율적인 관리 도메인을 포함하고 동적인 협업을 수반한다. 리소스들과 서비스들은 웹서비스로써 드러난다. 웹서비스는 이질적 컴퓨팅 환경에서 상호운용성을 얻는 중립적인 선택이다. 접근 제어 시스템은 서비스들이 승인받지 못한 접근으로 부터 보호받는다는 것을 보장한다. 멀티 도메인 컴퓨팅 환경에서 그러한 시스템을 구성하는 것은 고려되야만 하는 많은 첼리지가 놓여있다. 그러한 시스템은 모듈화, 확장가능해야만 하고 재사용가능한 컴포넌트를 가지고 있어야만 한다. 권한 부여는 독립되고 자율적인 관리 도메인을 포함할 필요가 있다. 많은 사용자, 리소스 기지로 확장할 필요가 ..
Role-based Domain Discovery in Decentralized Secure Interoperations 초록 최근 인터넷 기반 엔터프라이즈 애플리케이션에서 볼 수 있는 것처럼 멀티 도메인 협업 환경은 현실이 되고 있다. 그러한 멀티 도메인 환경에서 안전한 상호작용을 보장하기 위하여 접근제어는 중요한 도전과제이다. 집중화된 권리의 필요성이 없어지고 매우 커다란 협업을 제공할 수 있은 후로 분산된 안전한 상호작용 접근법이 유망해지고 있다. 분산된 안전한 상호작용 접근법에서는 중압집중된 관리 도메인이 없으므로 리소스 요청 도메인은 우선 요청된 리소스들을 포함하는 특정 도메인을 식별하는 것이 필요하다. 그러한 문제는 리소스에 퍼미션이 롤로써 캡슐화되고 최소 권한 원칙이 보장되어야만 하기 때문에 RBAC가 채택되면 좀더 많은 도전을 가진다. 이 논문에서 , 역할 기반 도메인 발견 문제로써 이러한 문제를 정의하고 이..
Access-Control Language for Multidomain Environments 2004년 논문. XML Role-Based Access Control (X-RBAC) 그림1은 NIST RBAC 모델의 간단 버전이다. 사용자, 롤, 퍼미션, 세션 시스템 관리자는 롤에 사용자와 퍼미션을 할당에 제약과 세션에 롤의 사용자 활성화를 적용할 수 있다. 우리는 파라미터화된 롤들, 컨텍스트와 내용-기반 제약, XML 기반 정책 컴포넌트을 가지고 NIST 모델을 확장한다. Roles with Attributes 확장된 RBAC 모델에서 롤들은 그들이 사용될 수 있을 때를 지정하는 연관된 시간적 제약을 가지는 개념이 있다. 애플리케이션 의미에 따라, 모든 롤들이 모든 사용자에게 항상 이용될 수 있는 것이 아니다. 우리의 모델은 다양한 상태를 롤들과 연관시키는 개념이 있다. 그림 2는 세가지 잠재적..
Defense and Detection Strategies against Internet worms 5장 Construction of a Worm 인텔 i386 플랫폼, 리눅스 아파치 서버에 감염시키는 Slapper 웜을 분석하여 웜의 생성구조를 살펴본다. 5.1 Target Selection 웜을 디자인할 때 첫 번째 해야할 일은 공격하고 이용할 대상을 결정하는 일이다. 두가지를 고려해야 한다. 첫째, 웜이 사용할 플랫폼 선택해야한다. 둘째, 웜이 원격의 시스템을 어떻게 공격할 지 선택해야한다. 5.1.1 Target platform 공격을 시도하는 영역이 인터넷이라면 윈도우 시스템에 대한 공격은 많은 호스트에 영향을 줄 수 있을 것이다. 이는 인터넷을 사용하는 대부분의 클라이언트는 윈도우 환경이기 때문이다. 이와 반대로 유닉스 서버는 네임서버 파일서버와 같이 인터넷 백본을 구성하는 요소로 많이 사용되고 ..