C. 지능형 접근제어 설계
1. 지능형 접근제어 프레임워크
a. 전체 프레임워크
시스템에서 동적인 접근제어를 위해서 만족되어야 하는 조건들은 아래와 같다.
리소스 관리자 권한 변경으로 인한 역할 위임 시 부분적으로 위임이 가능해야 하 고, 허가 역할 제약과 데이터 접근에 대한 목적이나 조건 등이 고려되어야 한다.
그리고 필요에 따라서는 접근이 거부될 수 있어야 한다. 또한 시간과 장소, 접근 리소스의 특정한 상태에 대한 접근제어가 가능하여야 하고, 시스템 내에서 해킹피 해로 인해 악용되거나 권한이 오용되는 것에 대하여 관리자 권한으로 방지할 수 있어야 한다.
지능형 접근제어 프레임워크는 보안상황 인식 기술기반의 애플리케이션이나 시 스템에 적합한 보안 구조로써 구성은 [그림 3-6]과 같다. 지능형 접근제어 프레임 워크의 구성은 보안상황 정보수집, 분석, 통합기능을 제공하는 보안상황 정보수집 및 분석 엔진과 보안상황 인식 기반으로 관리 가능한 기능을 제공하는 접근제어 모듈 등으로 구성된다.
[그림 3-6] 지능형 접근제어 프레임워크
지능형 접근제어는 내부 사용자가 접근을 요청하면 접근제어 모듈을 통해 사용 자 인증 및 접근을 제어하기 위한 보안상황 정보수집 및 분석 엔진에 보안정책과 보안상황 정보를 요구한다. 보안상황 정보수집 및 분석 엔진은 접근제어 및 보안상 황 정보와 관련된 보안정책을 제공하며, 수집된 보안상황 정보를 통합, 가공하여 온톨로지 추론 과정을 수행한다.
보안상황 정보수집 및 분석 엔진은 수집한 보안상황 정보를 이용하여 요청한 서 비스가 보안 규칙과 상황 조건에 부합한지에 대한 여부를 확인하여 접근을 허가한 다. 온톨로지 핸들러는 역할과 보안상황 정보에 따라 접근할 수 있는 모든 정보자 원의 위치를 제공한다.
b. 지능형 접근제어 모듈별 기능
보안상황 정보수집 및 분석 엔진은 보안상황 인식 기반의 보안 서비스를 위해 시스템 내 보안상황 정보를 수집 및 관리한다. 보안상황 정보 요청을 받은 후, 정 보 수집을 위한 질의 메시지를 만들어 보안상황 정보수집 모듈에 전송하고, 수집된 보안상황 정보를 보안정책에 적용할 수 있는 형식으로 통합한 후, 접근제어 모듈에 전송한다.
접근제어 모듈은 사용자 인증, 접근제어 및 보안상황 정보 등 시스템에서 보안 서비스를 관리한다. 관리 도메인 내에서 보안상황 인식 애플리케이션에 대한 사용 요청이 발생하면, 지능형 접근제어는 보안상황 정보수집 및 분석 엔진을 통해 애플 리케이션 사용자의 인증 및 식별, 그리고 접근제어 등과 같은 보안 서비스를 제공 하고, 인증과 접근제어 수행을 위해 보안정책과 보안상황 정보수집 및 분석 엔진으 로부터 받은 보안상황 정보를 기반으로 보안 서비스를 수행한다.
추론 엔진은 보안상황 인식 접근제어 시스템의 핵심인 접근제어 기능을 수행한 다. 권한 서비스, 인증서비스, 보안상황 접근제어 온톨로지 저장소 등으로 구성되는 데, 각 모듈은 보안정책을 유지 및 관리하고, 사용자의 역할과 상황의 역할을 추론 하여 자원 접근 요청에 따라 올바른 접근제어를 수행한다.
보안상황 접근제어 온톨로지 핸들러는 사용자가 접근하려는 리소스의 권한 서비 스로부터 데이터 처리를 통하여 분석한 보안상황 정보를 저장하는 보안상황 접근 제어 온톨로지를 관리한다. 보안상황 접근제어 온톨로지는 접근 요청이 포함된 트 랜잭션 리스트와 트랜잭션의 승인 여부를 나타내는 규칙을 저장한다.
보안정책 관리 모듈은 시스템에 접근하려는 주체에 대한 신원확인과 주체의 보 안상황 정보를 관리 및 처리한다. 또한, 리소스에 접근하기 위한 주체의 보안상황 정보에 대하여 접근 위치, 접근시간, 공간적인 영역 등에 대한 추가정보를 획득하 고, 접근정책의 분석을 통하여 사용자의 역할을 동적으로 할당하는 서비스를 제공 한다. 또한, 현재 활성화된 사용자 역할과 활성화된 보안상황 역할, 그리고 보안정 책을 비교하고 분석하여 최적의 접근제어를 결정하는 역할을 한다.
c. 지능형 접근제어 동작 시나리오
[그림 3-7]은 지능형 접근제어 동작 시나리오를 도식화한 것이다.
[그림 3-7] 지능형 접근제어 동작 시나리오
내부 사용자의 리소스 접근을 위한 권한 인증 요청 발생 시 접근제어 모듈에 접 근한다. 접근제어 모듈은 내부 사용자 권한 부여를 위해 리소스 접근에 대한 사용 자의 보안상황 정보를 보안상황 정보수집 및 분석 엔진이 수집한다. 내부 사용자의 보안상황 정보에 대한 획득정보를 접근제어 모듈에 전달하고, 분석한다.
리소스에 접근하려는 내부 사용자의 보안상황 정보를 획득한 접근제어 모듈은 사용자의 역할할당과 접근제어를 수행하기 위해 보안상황 접근제어 온톨로지 저장 소에 접근한다. 보안상황 접근제어 온톨로지 저장소로부터 사용자의 역할 정보와 접근정책 데이터를 요청하고, 접근제어 모듈의 보안정책 관리 모듈은 리소스에 접 근하려는 사용자의 역할과 접근정책에 의한 접근 권한을 부여한다. 내부 사용자는 부여받은 역할에 대한 접근 권한을 획득하여 서비스를 요청하고, 서비스를 요청한 접근제어 모듈은 사용자가 요청한 리소스를 부여된 역할과 권한의 수준을 통하여 접근 권한 수준에 적합한 리소스에 접근한다. 보안상황 접근제어 온톨로지는 현재 사용자의 상황과 보안정책 및 권한에 부여된 접근 권한의 수준에 적합한 리소스를 추론을 통해 결정한다.