Presentation is loading. Please wait.

Presentation is loading. Please wait.

주체정책을 반영한 역할기반 개인정보 보호기법

Similar presentations


Presentation on theme: "주체정책을 반영한 역할기반 개인정보 보호기법"— Presentation transcript:

1 주체정책을 반영한 역할기반 개인정보 보호기법
박사학위 논문 주체정책을 반영한 역할기반 개인정보 보호기법 “A Role based Personal Sensitive Information Protection with Subject Policy” 자기정보통제권 : 자신의 정보에 대해 통제할 수 있는 권리 소 속 : 네트워크보안연구실 발 표 자 : 문 형 진

2 발 표 순 서 Ⅰ. 연 구 개 요 Ⅱ. 관 련 연 구 Ⅲ. 역할기반의 개인정보 관리시스템 Ⅳ. 보안분석 및 평가 Ⅴ. 결 론
Ⅰ. 연 구 개 요 Ⅱ. 관 련 연 구 발표순서는 연구개요, 관련연구, 민감한 정보보호를 위한 접근제어, 분석 및 평가, 결론 순으로 하겠습니다. Ⅲ. 역할기반의 개인정보 관리시스템 Ⅳ. 보안분석 및 평가 Ⅴ. 결 론 2018년 12월 1일 토요일

3 Ⅰ. 연 구 개 요 연구의 배경 및 필요성 연구의 목표 연구의 내용 및 범위 2018년 12월 1일 토요일

4 1.1 연구의 배경 개인정보 개인정보의 예 연구의 배경
개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보 개인정보의 예 신분관계 - 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등 내면의 비밀 - 사상, 신조, 종교, 가치관, 정치적 성향 등 심신의 상태 - 건강상태, 신장, 체중 등 신체적 특징, 병력, 장애 정도 등 사회경력 - 학력, 직업, 자격, 전과 여부 등 경제관계 - 소득규모, 재산보유상황, 거래내역, 신용정보, 채권채무관계 등 기타 새로운 유형 - 생체인식정보(지문,홍채,DNA등), 위치정보 등 개인정보는 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보을 말하며 개인정보의 예로는 신분관계 - 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등 내면의 비밀 - 사상, 신조, 종교, 가치관, 정치적 성향 등 심신의 상태 - 건강상태, 신장, 체중 등 신체적 특징, 병력, 장애정도 등 사회경력 - 학력, 직업, 자격, 전과 여부 등 경제관계 - 소득규모, 재산보유상황, 거래내역, 신용정보, 채권채무관계 등 기타 새로운 유형 - 생체인식정보(지문,홍채,DNA등), 위치정보 등이 있습니다. 2018년 12월 1일 토요일

5 1.1 연구의 필요성 국제기관의 개인정보보호 지침 개인정보 보호지침에서 정보주체에 관련된 사항
OECD의 가이드 라인 UN 개인정보 가이드 라인 EU 개인정보보호 지침 개인정보 보호지침에서 정보주체에 관련된 사항 개인정보 수집 및 사용시 정보주체의 동의를 구함 개인(정보주체)은 자신의 정보에 대한 제어권이 부여되어야 함 내부사용자나 검색엔진으로 인한 DB 유출로 인한 프라이버시 침해 발생 개인정보보호를 위해 국제기구들이 지침을 세웠습니다. OECD의 가이드 라인 UN 개인정보 가이드 라인 EU 개인정보보호 지침 개인정보 보호지침에서 정보주체에 관련된 사항 개인정보 수집 및 사용시 정보주체의 동의를 구하고 개인(정보주체)은 자신의 정보에 대한 통제권이 부여되어야 함 <<검색엔진에 의해 피해를 말씀드립니다.>> 2018년 12월 1일 토요일

6 1.2 연구의 목표 연구의 목표 개인정보 사용에 대한 효율성 암호화된 정보의 복호화키는 관리시스템에서 관리
기관이 지정한 기밀한 정보이외의 개인의 민감한 정보까지 추가적인 보호장치제공 암호화로 DB에 저장 개인정보 유출시 침해 최소화 정보주체의 주체정책을 통한 정보사용자별로 접근권한을 제한가능 정보주체의 자기통제권 제공(정보사용시 주체의 동의가 가능) 암호화된 정보의 복호화키는 관리시스템에서 관리 기존모델의 경우 : 정보사용자에게 제공 정보사용자의 악용을 막기 위해 수시로 재암호화 필요 개인정보 사용에 대한 효율성 민감하지 않은 정보는 평문 상태로 저장 권한이 있는 사용자에게는 접근 허용 정보주체의 자기통제권을 부여하면서 개인정보 유출시에도 침해를 최소화한 개인정보 보호 모델 제안하고자 합니다. 정보주체의 자기통제권부여는 /개인별 정책/과/키를 이용한 접근제어/를 이용하여 제공하고 개인정보 유출시 침해 최소화는 /민감한 정보는 암호문 상태로 저장/하므로 가능합니다. 개인정보는 보호측면도 중요하지만 개인정보를 사용하므로 더 많은 것을 얻을 수 있기때문에 사용에 대한 효율성이 있어야 합니다. 이를 위해 /민감하지 않은 정보는 평문 상태로 저장/하고/권한이 있는 사용자에게는 접근 허용/합니다. 2018년 12월 1일 토요일

7 1.3 연구 내용 및 범위 암호화를 이용한 개인정보보호 모델 비교 평가 HP 모델 P2MS 모델 Sesay 모델
정보주체의 개인별 정책에 기반한 접근제어기법 제안 RBAC96의 확장 모델인 SpRBAC모델 제안 저장된 개인정보에서의 자기정보 제어권 부여하는 접근제어기법 정보사용시 정보주체의 동의를 구할 수 있는 주체 정책 제안 개인마다의 각기 다른 민감한 개인정보를 추가적으로 보호하는 기법제안 개인정보를 암호화하여 데이터베이스 유출시에도 침해 최소화 제안모델의 프라이버시 보호측면에서 안정성과 효율성에 대한 분석 및 평가 암호화를 이용한 개인정보보호 모델 비교 평가 기존 모델은 /HP 모델/P2MS 모델/Sesay 모델이 있습니다. 이에 대한 비교 평가를 합니다. 정보주체의 개인별 정책에 기반한 접근제어기법 제안 RBAC96의 확장 모델인 SpRBAC모델 제안합니다. 저장된 개인정보에서의 자기정보통제권 부여하는 접근제어기법 정보사용시 정보주체의 동의를 구할 수 있는 개인별 정책 제안하고/ 암호화 기법을 통해 정보유출시에도 침해 최소화하고/ 제안모델의 프라이버시 보호측면에서 안정성과 효율성에 대한 분석 및 평가/를 합니다. 2018년 12월 1일 토요일

8 개인정보 관련 프로젝트 분석 접근제어 기술 암호기술을 이용한 개인정보 보호기술 Ⅱ. 관 련 연 구
2018년 12월 1일 토요일

9 2.1 개인정보 관련 프로젝트 각 나라의 개인정보법에서 개인정보 개념 OECD 식별된 또는 식별가능한 개인에 관한 정보 일체
개인정보의 개념 OECD 식별된 또는 식별가능한 개인에 관한 정보 일체 EU 지침 식별되거나 식별가능한 자연인(정보주체)에 관한 모든 정보 미국 개인의 이름, 주민등록번호, 신체외형기록, 주소, 전화번호,교육정도, 재정상태, 의료기록 및 고용기록등을 포함하나 이에 한정되지 아니하며, 개인을 식별하거나 묘사하는 것으로 기관에 의하여 보관되는 정보 영국 신원을 확인할 수 있는 생존하고 있는 개인과 관련된 데이터 또는 정보관리자가 보유하고 있거나 앞으로 그러할 가능성이 높은 기타 정보 또는 데이터로부터 신원이 확인가능한 생존개인과 관련된 데이터 일본 생존하는 개인에 대한 정보로서, 당해 정보에 포함되어 있는 성명, 생년월일, 그 밖의 기술 등에 의하여 특정의 개인을 식별할 수 있는 것 독일 신원이 확인되었거나 확인 가능한 정보주체의 인적 물적 환경에 관한 일체의 정보 캐나다 모든 형식으로 기록된 신원을 확인할 수 있는 개인에 대한 정보 홍콩 생존하는 개인과 직간접으로 관련된 모든 데이터로서, 개인의 신원을 직 간접적으로 확인하기 위해 사용할 수 있는 데이터 및 데이터 접근 또는 처리가 가능한 형식의 데이터 각 나라마다 개인정보를 보호하기 위한 개인정보법이 있습니다. 이 개인정보법에 개인정보에 대한 개념들이 다음과 같이 정의되어 있습니다. 2018년 12월 1일 토요일

10 2.1 개인정보 관련 프로젝트 PORTIA (Privacy, Obligations, and Rights in Technologies of Information Assessment) 프라이버시를 보장하는 데이터 마이닝 소비자의 정보를 수집하여 소비자의 선호사항, 금융정보와 같은 유용한 정보를 이윤을 위해 뽑아내어 사용 데이터베이스 정책 도구 사용자 및 관리자가 자신의 개인정보 보호를 위해 데이터베이스의 접근 설정을 할 수 있도록 하고 누가 데이터베이스에 접근 권한을 가졌는지를 알 수 있도록 하기 위해 사용자 중심적으로 보완 신원절도와 신원보호 네트워크상에서 일어나는 많은 신원절도 유형에 대한 연구와 신원을 보호하기 위한 기술들을 연구 2018년 12월 1일 토요일 10

11 MIPA (medical information privacy assurance)
2.1 개인정보 관련 프로젝트 MIPA (medical information privacy assurance) 건강정보 표준 개발을 촉진하기 위한 개인정보 기술 프라이버시를 보호하는 인프라 구조 개발 PISA (Privacy Incorperated Software Agent) 프로젝트의 목표 : 사용자를 대신하여 정보 수집 활동을 할 에이전트를 만드는 것 사용자가 일반적인 응용 프로그램(E-Commerce, M-Commerce)에서 IA (intelligent agent)를 사용 시 PET 기술로 사용자의 개인 정보를 보호 새로운 개인정보보호 서비스를 수행하기 위해 정부와 기업들이 협조적인 관계를 형성 프라이버시를 보호하는 에이전트에 대한 새로운 표준을 제공 2018년 12월 1일 토요일 11

12 2.1 개인정보 관련 프로젝트 P3P[W3C02] 각 웹 사이트의 개인정보 보호 정도를 자동적으로 검색, 판독하기 위해 개발
쿠키 설정의 번거로움 프라이버시 기준 설정의 어려움 P3P에 따르지 않는 사이트 배제 궁극적 집행력의 부재 실효성이 낮다 사용자는 P3P 정책을 웹서버에 요청하고 웹서버는 P3P정책을 사용자에게 제공하고 사용자는 P3P정책을 확인후 웹페이지를 요청하며 웹서버는 웹페이지를 제공하고, 이를 사용자에게 정책과 페이지를 보여준다. 이 모든 작업이 자동적으로 처리됩니다. 이 기능은 인터넷 익스플로러 6에서 적용된 기술이지만 많은 문제점을 가지고 있다. 쿠키를 설정하는 번거로움이 있고, 프라이버시 기준 설정의 어려움있고, P3P에 따르지 않는 사이트 배제되고, 이 기능을 강제할 궁극적 집행력의 부재하여 실효성이 낮다 2018년 12월 1일 토요일

13 2.2 접근제어기술 2.2 역할기반 접근제어(RBAC)[Sand96a][Sand96b]
Role Based Access Control 접근 허가권한이 역할(Role)에 부여되고 사용자는 적절한 역할에 소속됨으로써 역할의 수행에 필요한 자원을 접근가능 2018년 12월 1일 토요일

14 2.3 암호기술을 이용한 개인정보 보호기술 2.3.1 HP 모델[Mont05]
정보사용자는 개인정보를 접근하기 위해 프라이버시 관리서비스에 접근요청을 하게 되는 데, 프라이버시관리서비스에서는 합당한 정보사용자일 경우 암호화된 정보를 복호화할 수 있는 복호화키를 제공한다. 정보사용자의 신용장에 따라 보여지는 정보는 그림과 같이 다를 수 있다. 2018년 12월 1일 토요일

15 2.3 암호기술을 이용한 개인정보 보호기술 2.3.2 P2MS 모델[Mun06]
P2MS는 HP와 다르게 프라이버시정책을 데이터 저장소에서 관리시스템인 P2MS에서 관리합니다. 모든 개인정보는 서로 다른 키를 이용하여 암호화하여 데이터 저장소에 저장되어 있습니다. 개인별 정책을 통해 정보사용자별로 차별적인 접근제어를 할 수 있다. P2MS에서 복호화키를 제공받으면 정보사용자는 직접 데이터저장소에 연결하여 암호화된 정보를 요청할 수 있다. 2018년 12월 1일 토요일

16 2.3 암호기술을 이용한 개인정보 보호기술 2.3.3 Sesay.S 모델[Sesa05] 표기 개인정보 분류
사적인 정보/분류된 정보/분류되지 않은 정보로 구분 표기 TS : 사용자의 등급확인 KC : 키센터(키 발급) MAC : 강제적접근제어 L1, L2 : 레벨별 정보사용자 Aj : 속성정보의 식별자 Sesay모델에서는 개인정보를 3종류로 나누어 관리하고 있다. 민감한 정보와 분류된 정보, 분류되지 않은 정보로 나누어 민감한 정보와 분류된 정보만을 암호화하여 관리하고 있다. 복호화키는 정보사용자에게 제공하며, 접근제어는 MAC기술을 이용하여 제공하고 있다. TS는 정보사용자의 레벨을 확인하고, KC로 부터 복호화키를 제공받는다. 2018년 12월 1일 토요일

17 2.3 암호기술을 이용한 개인정보 보호기술 평가 2.3.4 암호기술을 이용한 모델 비교분석 기법 HP P2MS Sesay
보호 측면 프라이버시 측면 비용 정보사용자 키 제공 암호화키 종류 암호문 수 민감한 정보보호장치 키생성 HP 제공 필드단위로 같은키 기밀한 정보만 지원안함 언급 없음 P2MS 각기 다른 키 모든 속성정보 지원 1E Sesay 일부제공 분류된 정보 사적인 정보 1E 또는 2⊕1E 2018년 12월 1일 토요일

18 Ⅲ. 역할기반의 개인정보 관리시스템 SpRBAC 모델 SpRBAC 기반한 개인정보 관리시스템 구조
Ⅲ. 역할기반의 개인정보 관리시스템 SpRBAC 모델 SpRBAC 기반한 개인정보 관리시스템 구조 SpRBAC 기반한 개인정보 관리시스템 동작 2018년 12월 1일 토요일

19 3.1 SpRBAC 모델 3.1.1 배경 가정사항 개인은 정보사용자별로 접근제어를 설정
정보사용자는 기관 정책을 비롯한 개인의 정책에 따라 접근여부 결정 가정사항 관리시스템인 SIMS은 안전하다. DB와 SIMS는 안전한 채널 형성 개인정보에 대한 정보사용자의 접근권한에 대한 그림입니다. 정보사용자별로 정책에 따라 접근할 수 있는 정보가 다름을 보여주고 있습니다. 그림 3.1 개인정보에 대한 정보사용자의 접근권한 2018년 12월 1일 토요일

20 3.1 SpRBAC 모델 3.1.2 SpRBAC (RBAC of Subject-wise policy) Model
개인별 정책은 역할과 허가 사이에 존재 역할에 할당된 허가권한이 개인별 정책에 의해 축소됨 RBAC 모델을 확장한 SpRBAC는 역할과 허가사이에 정보주체의 정책이 있습니다. 이 모델은 기존모델처럼 접근 권한을 역할에 두지만 정보주체의 개인별 정책을 확인한 후에 접근을 허용한다. 접근이 가능한 역할이라 할지라도 개인별 정책에서 허락되지 않으면 접근을 허용하지 않는다. 2018년 12월 1일 토요일

21 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
개인정보 관리시스템의 구조 정보사용자 및 정보주체 SIMS 개인정보 DB Info.Users Info. Subject Info. Users Authentication Module Key Management Audit Logs SIMS Info. DB pDB Enc / Dec 제안 모델인 SIMS의 프레임 워크입니다. 정보사용자와 정보주체만이 SIMS에 접근할 수 있고, SIMS안에는 인증, 정책데이터베이스, 암호/복호모듈, 키관리 모듈로 이루 져 있습니다. 2018년 12월 1일 토요일

22 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
정보주체의 인증 : 자신의 정보를 제공하기 위해 정보주체의 인증이 필요 정보사용자의 인증 : 개인정보를 사용하기 위해 자신의 인증, 인증 후 자신에게 부여된 역할에 따른 권한 부여 표기 CA : 신뢰기관으로 인증서 발행기관 User : 정보주체를 비롯한 정보사용자 SIMS : 관리시스템 사용자 인증 인증서 등록단계 ① : 인증서 요청 ② : 인증서 발행(공개키) 사용자 인증 및 검증단계 ③ : 인증서 ④ : 난수 ⑤ : 서명문 서명문 확인을 통한 검증 제안 프로토콜의 가독성을 높이기 위해 용어정의를 합니다. CA user SIMS 2018년 12월 1일 토요일

23 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
정보주체별 마스터키 정보주체 식별자와 타임스탬프를 이용하여 생성 개인의 속성정보를 암호화하는 데 사용 마스터키의 수는 정보 주체의 수와 동일 키 관리 모듈의 구성요소 키생성모듈 정보주체별 마스터키와 속성정보를 암/복호화하기 위한 속성키 생성모듈 KeyDB : 마스터키를 저장하는 DB 2018년 12월 1일 토요일

24 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
개인별 마스터키 생성 알고리즘 2018년 12월 1일 토요일

25 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
정책에 의해 지정된 정보(민감한 정보)를 암호화 모듈을 이용하여 암호문을 생성하여 DB에 저장 검색엔진과 같이 DB유출시에도 피해를 최소화 대칭키 암호알고리즘을 사용한다. 공개키에 비해 키길이가 짧고, 암호/복호화 속도가 빠름 사용자간의 통신이 아니기 때문에 키분배는 필요가 없음 SIMS에서 키 관리하므로 키분배하지 않음 키관리는 마스터키를 이용하여 암호화하므로 정보주체의 수만큼만 필요 2018년 12월 1일 토요일

26 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
암호 복호화 알고리즘 2018년 12월 1일 토요일

27 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
기관의 프라이버시 보호 정책 수집된 정보목록 역할 카테고리 사용자별 제공목록 기밀한 정보목록 정보주체정책 기관정책을 이용하여 주체정책 작성 개인별 정책 구성요소 속성정보목록 정보 사용자별 접근권한 민감한 정보목록 개인별 정책에는 정보사용자별로 접근권한을 지정해야 합니다. 그러기 위해서는 정보사용자를 알아야만 한다. 이를 위해 기관에서 역할에 따른 정보사용자의 카테고리를 제공합니다. 2018년 12월 1일 토요일

28 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
스키마 개인별 정책에는 정보사용자별로 접근권한을 지정해야 합니다. 그러기 위해서는 정보사용자를 알아야만 한다. 이를 위해 기관에서 역할에 따른 정보사용자의 카테고리를 제공합니다. 2018년 12월 1일 토요일

29 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
개인별정책의 사례 개인별 정책에는 정보사용자별로 접근권한을 지정해야 합니다. 그러기 위해서는 정보사용자를 알아야만 한다. 이를 위해 기관에서 역할에 따른 정보사용자의 카테고리를 제공합니다. 2018년 12월 1일 토요일

30 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
3.2.5 감사로그와 개인정보 데이터베이스 감사로그 자신의 인증서를 기반으로 사용자인증 정보사용자에 의한 정보접근에 관련된 정보 수집 정보주체와 정보사용자의 부인봉쇄 기능제공 개인정보 유출시 감사로그 분석을 통한 책임소재 파악의 기초자료로 활용 2018년 12월 1일 토요일

31 3.2 SpRBAC 기반한 개인정보 관리시스템 구조
개인정보 데이터베이스 (a) 정보주체가 SIMS에 제공할 당시의 정보 (b) 개인별정책의 민감한 정보와 기관의 정책의 기밀한 정보에 의해 선정된 정보는 암호화되어 저장 내부자에 의한 DB유출, 검색엔진의 DB검색으로부터 민감한 정보와 기밀한 정보는 보호됨. 2018년 12월 1일 토요일

32 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
3.3.1 적용된 함수 및 용어 암호화 함수 : PL에 해당되는 정보만을 암호화 필터링 함수 : 정책에 있는 민감한 정보의 식별자 검색 d 함수 : 두 집합의 차집합 제공정보목록함수 : 정보사용자에게 제공할 정보목록 즉 암호화 함수는 Mi 가 민감한 정보이면 암호화하고, 민감한 정보가 아니면 암호화하지 않습니다. 2018년 12월 1일 토요일

33 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
용어 정의 민감한 정보(sensitive information) 노출시 피해가 크다고 주체가 생각하는 정보 정보주체마다 민감한 정보는 다르다. 예)국가정보원직원인 경우 “직업”이 민감한 정보 기밀한 정보 법률이나 지침에 의해 보호가 필요한 정보 예)신용카드번호, 주민등록번호 등 마스터키 기관에서 개인마다 다른 하나의 키생성 관리시스템에서 저장 / 관리 개인의 속성정보를 암호/복호화 하기 위한 대칭키 즉 암호화 함수는 Mi 가 민감한 정보이면 암호화하고, 민감한 정보가 아니면 암호화하지 않습니다. 2018년 12월 1일 토요일

34 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
3.3.2 개인정보 및 주체 정책등록 인증단계 안전한 채널로 제공 개인정보 개인별 정책 정책목록(PL) 생성 필터링함수 fEPL(정보) 정책에 의해 암호화 함수값 CertIS fEPL(ISinfo ) IS SIMS DB ID∥fEPL(ISinfo) EPp등록 Cert∥ISID 등록, MKIS 생성 ISp 등록, PL 생성 E KU(KS) EKS (ISinfo ∥ISp) 2018년 12월 1일 토요일

35 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
3.3.3 정보검색 및 정보수정 정보 검색 인증단계 요청정보목록(ARAL) 정보사용자의 역할 확인 제공될 정보목록생성 제공정보목록함수 이용 안전한 채널로 제공 허가된 개인정보 Cert ∥ ARISinfo IUID 인증 D(E(fEPp ∩ISpL(IU)info )∩ fEPL(ARALinfo)) EPp, ISp 조회 ARISinfo (Info request of IS) = ISID∥ARAL∥ARintent IU SIMS DB ARAL fEPp ∩ISpL(IU) 생성 fEPL(ARALinfo ) EKUIU(KS) ∥EKS(D(E(fEPp ∩ISpL(IU)info )∩ fEPL(ARALinfo))) DKS(EKS(D(E(fEPp ∩ISpL(IU)info )∩ fEPL(ARALinfo))) AR_Isinfo : 정보주체의 개인정보에 대한 요청 정보입니다. Epl(AR_Isinfo) : 암호화 함수가 적용된 개인정보 2018년 12월 1일 토요일

36 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
정보수정 인증단계 수정정보목록(MRAL) new MRAL 수정된 정보목록 new MRALinfo 수정된 속성정보 fEPL(정보) 정책에 의해 암호화 함수값 Cert∥MRAL ISID 인증 D(fEPL(MRALinfo )) New MRALinfo = modified attribute info. IS SIMS DB ID∥MRAL fEPL(MRALinfo ) 정보수정 EKUIS(KS) ∥EKS(fEPL(MRALinfo) DKS(EKS(MRALinfo)) EKS(new MRALinfo) DKS(EKS(new MRALinfo)) fEPL(new MRALinfo ) ID ∥fEPL(new MRALinfo) fEPL(new MRALinfo) 2018년 12월 1일 토요일

37 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
CertIS IS 인증 d<newISPL,ISPL> 생성 IS SIMS DB new ISP 조회 d<newISPL,ISPL> d<newISPL,ISPL> info E(d<newISPL,ISPL> info ) d<ISPL,newISPL> 생성 d<ISPL,newISPL> E(d<ISPL,newISPL> info) D(E(d<ISPL,newISPL>info )) d<ISPL,newISPL> info EKUIS (KS) EKS (new ISp) 3.3.4 주체 정책 변경 정보사용자접근권한 변경시 민감한 정보목록 변경시 표기 newISp : 변경된 개인별 정책 d<newISpL,ISpL> 새롭게 지정된 민감한정보목록 d<ISpL,newISpL> 민감한정보에서 해제된 정보목록 D(newISpL, ISpL) : 새롭게 지정된 민감한 개인정보 D(ISpL,new ISpL) : 새로운 개인별 정책을 통해 민감한 정보에서 해제된 민감하지 않은 개인정보 2018년 12월 1일 토요일

38 3.3 SpRBAC 기반한 개인정보 관리시스템 동작
3.3.5 개인정보 재암호화 자신의 정보 수정시 기존 속성키로 정보만 수정 후 암호화하여 저장 SIMS에서 마스터 키를 관리하므로 안정 개인별 마스터키의 만료시나 유출시 정보주체의 마스터 키를 변경 마스터 키를 이용한 재 암호화 SIMS DB PL 생성 ID∥PL fE PL(ISinfo ) D(fE PL(ISinfo )) new MKIS 생성 fE PL(ISinfo ) ID∥fEPL(ISinfo) 2018년 12월 1일 토요일

39 Ⅳ. 분석 및 평가 시나리오 제안시스템의 보안 요구사항 평가 프라이버시 보안 분석 및 정보가용성 평가 프라이버시 보안 측면
정보 가용성 측면 프라이버시 보안 분석에 대한 4가지 측면과 효율성 분석에 대한 3가지 측면에 대해 말씀 드리겠습니다. 2018년 12월 1일 토요일

40 4.1 시나리오 SIMS 병원시나리오 기관의 프라이버시 정책 (RBAC) Table T ID1(Hong)의 개인별정책
If role=“보험설계사” and intent=“보헝설계” Then Allow Access (T.이름,T.나이,T.질병,T.결혼,T.직업) Else Deny Access End SIMS 기관의 프라이버시 정책 (RBAC) Sensitive information : 나이, 직업 If IU=“보험설계사” and time=“AM9:00~PM6:00” Allow Access(이름,나이,질병,결혼) Else Deny Access ID1(Hong)의 개인별정책 당뇨 간염 없음 3 30 47 43 2 홍길동 1 결혼 직업 가족력 질병 나이 이름 ID Table T 보험설계사 Access T intent=“보험설계” What=“ID1” 김대수 양호 고혈압 이관수 N Y 국가정보원 자영업 교사 병원시나리오 2018년 12월 1일 토요일

41 4.1 시나리오 SIMS 은행 시나리오 기관의 프라이버시 정책 (RBAC) Table T ID2(Kim)의 개인별정책
If role=“카드사직원” and intent=“카드발급” Then Allow Access (T.이름,T.나이,T.신용정보,T.주민번호,T.직업) Else Deny Access End SIMS 주부 -100만원 29 불량 박선영 3 국가정보원 300만원 43 양호 김영진 2 변호사 1000만원 31 양호 김길수 1 Job 잔고 주민번호 나이 신용정보 이름 ID 기관의 프라이버시 정책 (RBAC) Sensitive information : 주민번호,신용정보,직업 If IU=“카드사직원” Allow Access(이름,나이,신용정보) Else Deny Access ID2(Kim)의 개인별정책 Table T 카드사직원 Access T intent=“카드발급” What=“ID2” 은행 시나리오 2018년 12월 1일 토요일

42 4.1 시나리오 SIMS 기관의 프라이버시 정책 (RBAC) Table T ID3(Lee)의 개인별정책 법률사무소 시나리오
If role=“변호사” and intent=“변호” Then Allow Access (T.이름,T.주민번호,T.주소) Else Deny Access End SIMS 기관의 프라이버시 정책 (RBAC) Sensitive information : 주민번호,신용정보, 혈액형 If IU=“담당변호사” (이름,혈액형,직업,주민번호,신용정보,주소) Else Deny Access ID3(Lee)의 개인별정책 Table T 법률사무소 직원 Access T intent=“변호” What=“ID3” 7등급 A 자영업 이소희 3 대전 부산 1등급 AB 세무사 노국진 2 서울 2등급 O 회사원 김수진 1 주소 신용정보 주민번호 혈액형 직업 이름 ID AB 세무사 법률사무소 시나리오 2018년 12월 1일 토요일

43 4.2 제안시스템의 보안 요구사항 평가 보안요구사항 기밀성 접근제어 부인봉쇄
세션키를 이용하여 전송되는 개인정보를 암호화하여 기밀성을 보장 신용장의 공개키를 이용하여 세션키 전달 접근제어 기관 정책과 주체 정책에 따른 접근제어 주체 정책을 통한 세밀한 접근제어 가능 부인봉쇄 신용장을 통한 인증과 정보접근에 관련 정보를 기록한 감사로그로 부인봉쇄 제공 속성키의 변경은 비용과 연결되어 있다. 2018년 12월 1일 토요일

44 4.3 프라이버시 보안 분석 및 정보 가용성 평가 4.3.1 프라이버시 보안 측면 정보주체의 동의
합법적인 정보사용자를 결정하여 정보사용 동의시에만 접근 허용해야 한다. 키 변경 불필요한 암호화 키 변경을 최소화해야 한다. 키 안정성 키는 안정하게 관리/보관되어야 한다. 키 유출이 곧 프라이버시 침해로 이어질 수 있다. 재암호화 저장된 개인의 속성정보에 대한 재암호화는 최소화해야 한다. 속성키의 변경은 비용과 연결되어 있다. 2018년 12월 1일 토요일

45 4.3 프라이버시 보안 분석 및 정보 가용성 평가 4.3.1 프라이버시 보안 측면 HP P2MS Sesay 제안기법 주체동의
일부지원 지원 지원안함 복호화키 안전성 정보사용자에게 키전달 제공하지 않음 키변경 정책상황변경시 키유효기간 재암호화 정보수정시, 키변경시 정보수정시 기존모델은 키를 정보사용자에게 제공됩니다. 이로 인하여 키 안정성이 약하다 그러나 제안모델에서는 키를 관리시스템에서 관리하므로 안정하다. 키를 정보사용자에게 제공하고, 제공당시의 상황과 다를 경우 즉 정책상황이 바꿀때마다 키를 변경해야 합니다. 2018년 12월 1일 토요일

46 4.3 프라이버시 보안 분석 및 정보 가용성 평가 4.3.2 정보 가용성 측면 암호화의 수 정보사용의 편이성 키 생성 비용
암호화하는 속성정보의 수의 최소화 정보사용의 편이성 합법적인 정보사용자에게 빠른 정보제공이 가능 암호화 수가 많을 수록 복호화 시간이 필요하여 정보사용의 어려움 키 생성 비용 많은 속성정보를 암호화하기 위해 그 만큼의 키가 필요 키 생성이 단순하고 빠른 생성 재암호화에 따른 비용 재암호화 횟수가 많을 수록 비용은 기하급수적으로 증가 암호화의 수 각 개인마다 n개의 속성정보가 있을 때, 암호화하는 속성정보의 수가 적을 수록 좋다.(암호화 시간과 비용 측면) 정보사용의 편이성 합법적인 정보사용자에게 빠른 정보제공이 가능해야 한다. 암호화 수가 많을 수록 복호화 시간이 필요하다. 속성키 생성 비용 많은 속성정보를 암호화하기 위해 그 만큼의 속성키가 필요하다. 속성키 생성이 단순하면서 안정성을 가져야 한다. 2018년 12월 1일 토요일

47 4.3 프라이버시 보안 분석 및 정보 가용성 평가 4.3.2 정보 가용성 측면
E (암호화), ⊕ (XOR연산), H (해시함수) HP P2MS Sesay 제안기법 암호화된 속성정보 기밀한 정보 모든 속성정보 기밀/사적인 정보 기밀/민감한 정보 정보사용시 편이성 좋음 불편 키 생성비용 언급 없음 1E 1E 또는 1E2⊕ 1H 2018년 12월 1일 토요일

48 Ⅴ . 결 론 결 론 향후 연구 과제 2018년 12월 1일 토요일

49 5. 결 론 이 논문에서는 자기정보제어권 측면에서: 개인정보 보호 측면에서 :
정보사용자는 정보 사용시 정보주체의 개인별정책에 의거하여 정보를 접근할 수 있음(정보사용시 정보주체의 동의) 개인별정책은 언제든지 수정가능(수정을 통해 정보사용자의 접근차단) 정보 사용자 역할에 따른 접근 권한을 지정 개인정보 보호 측면에서 : 키변경(암호해독인한 키유출시 키 만료)이 자주일어나지 않음 암호화하는 키(속성키)는 SIMS에서 관리되므로 기존 모델보다 안정함 기존모델은 키를 정보사용자에게 제공하기 때문에 정책이나 상황변경 시마다 키를 새로 생성하여야 함 개인정보는 정보가 변경되었을 때 정보수정 후 민감한 정보에 대하여 재암호화 2018년 12월 1일 토요일

50 5. 결 론 정보 활용의 측면에서 비용측면에서 DB 유출시의 피해측면
암호화된 속성정보가 적어 개인정보 사용시 P2MS보다 용이하다 민감하지 않은 정보는 평문으로 되어 있어 권한이 있는 사용자에 의한 데이타마이닝을 이용하여 효율적인 정보를 수집 비용측면에서 암호화된 속성정보의 수가 상대적으로 적다. 한번의 해시함수로 키를 생성하므로 키 생성비용 감소 재암호화가 자주 발생하지 않아 재암호화로 인한 비용감소 DB 유출시의 피해측면 민감한 정보는 암호문으로, 민감하지 않은 정보만이 평문으로 되어 있어 프라이버시 침해가 최소화 2018년 12월 1일 토요일

51 5. 결 론 향후 연구 과제 개인마다 민감한 정보차이를 반영한 모델 민감한 정보 사례 국가정보원의 직원의 경우 직업정보
재혼가족의 형제자매의 이름정보 입양아의 부모님의 이름정보 환자에게는 건강정보 개인마다 민감한 정보가 다르므로 각기 다른 보호장치가 필요하다. 주체 정책을 통해 자신의 민감한 정보를 지정하고 정보사용자의 접근을 제한할 수 있는 접근제어 모델을 제안 향후 연구 과제 정보사용자의 정보접근권한이외의 생성, 수정, 삭제권한이 제공되는 접근제어기법 연구 민감한 정보를 측정하고, 민감 정도에 따른 보호장치를 제공할 수 있는 접근제어기법 연구 기관 합병이나 통합시 기관의 프라이버시 정책 통합에 관한 연구 향후 연구과제 1. 민감한 정보를 측정하고, 민감 정도에 따른 보호장치를 제공할 수 있는 접근제어기법 연구 2. 두 기관의 개인정보 DB통합에서 자기통제권을 보장하는 접근 제어기법 연구 2018년 12월 1일 토요일

52 참고문헌 [Bark98] Barkley John F., Anthony V. Cincotta, "Managing Role/Permission Relationships Using Object Access Types", ACM, 1998. [Davi84] D.W Davis, and W.L Price, “" Security for Computer Networks.”" A wiley-interscience publication. 1984 [Denn84] D. E Denning, “"Cryptographic checksums for multilevel data security.“"Proc. of Symp.on Security and Privacy, IEEE Computer Society,1984.pp [Ferr95] D.Ferraiolo, J.Cugini,D.R.Kuhn,"Role based access Control:Features and motivations", In Annual Computer Security Application Conference. IEEE Computer Society Press, 1995 [Huan99] W.K.Huang,V.Atluri,"SecureFlow:A Secure Web-enabled Workflow Management System",Proc.of 4th ACM Workshop on Role-Based Access Control(1999) [KISA04] 한국정보보호진흥원(KISA),2003 개인정보보호백서, 한국정보보호진흥원,2004.1 [Lear95] O'Leary.D.E,Bonorris.S,Klosgen.W,Yew-Tuan Khaw,Hing Yan Lee, Ziarko.W,"Some privacy issues in knowledge discovery : the OECD persoanal guidelines ", Expert, IEEE, Vol10 Issue 2,April 1995 [Mont03] M. Casassa Mont, S. Pearson, P. Bramhall, 2003, Towards Accountable Management of Privacy and Identity Management, ESORICS 2003 [Mont05]M.C. Mont, S. Pearson, and P. Bramhall., “An Adaptive Privacy Management System For Data Repositories,” TrustBus2005(LNCS 3592), pp , 2005. [Mun06]H.J. Mun, K.M. Lee and S.H. Lee, “Person-Wise Privacy Level Access Control for Personal Information Directory Services,” EUC2006(LNCS 4096), pp.89-98, 2006. [Mun07] Hyung-JinMun, Nam-KyoungUm, NingSun, Yong-ZhenLi, Sang-hoLee, “Subject-wise Policy based Access Control Mechanism for Protection of Personal Information”, IEEE CS ICCIT07) accepted [OASI05]OASIS, eXtensible Access Control Markup Language(XACML) version 2.0. OASIS, Feb 2018년 12월 1일 토요일

53 [백윤02] 백윤철,“인터넷과 EU의 개인정보보호,”인터넷법률,2002, pp79-138
[OECD80]  OECD, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (1980) [Sand96a]R.S. Sandhu, E.J. Coyne, H.L. Feinstein, and C.E. Youman, “Role- Based Access Control Models,” IEEE Computer, Vol 29, No2, pp [Sand96b] Ravi. S.Sandhu,"Role Hierarchies and Constraints for Lattice-Based Access Controls",Proc. Fourth European Symposium on Reserch in Computer Security, Rome, Italy, September [Sess05]S.Sessay, Z. Yang, J. Chen and D. Xu, “A Secure Database encryption scheme,” second IEEE Consumer Communications and Networking Conference, pp.49-53, 2005. [Stall02]W. Stallings, Cryptography and Network Security, ISBN [W3C02]W3C, Platform for Privacy Preference(P3P) version1.0, org/P3P,2002 [백윤02] 백윤철,“인터넷과 EU의 개인정보보호,”인터넷법률,2002, pp79-138 [문형06] 문형진, 이건명, 이영진, 이동희, 이상호,“암호기법을 이용한 정책기반프라이버시보호시스템 설계”,정보보호학회,제16권2호, April,2006, pp [문형07] 문형진, 김기수, 엄남경, 이영진, 이상호,“민감한 개인정보보호를 위한효율적인 접근제어기법”,한국통신학회,32권 7호, 2007 [양형07] 양형규, 이강호, 최종호,“국내 검색엔진을 이요한 개인정보 해킹에 관한 연구” 한국컴퓨터정보학회,제12권3호, 2007 [옥기01]  옥기진, 국외 개인정보보호 정책 현황, 한국정보보호진흥원, [한국07] 한국경제, 구글 등 검색엔진 개인정보 노출 방지안 마련”, 2018년 12월 1일 토요일


Download ppt "주체정책을 반영한 역할기반 개인정보 보호기법"

Similar presentations


Ads by Google