최근 데이터베이스의 보안 취약성으로 인해, 내부의 비인가자 또는 인가자의 데이터 접근에 대한 통제 정책이 제대로 이루어지지 않아 정보 유출 사고가 발생하고 있다. 현재의 데이터베이스 권한부여 방식은 관리자가 데이터베이스 오브젝트에 접근할 수 있는 권한을 사용자에게 부여하는 방식이다. 그러나 이러한 방법은 다양한 사용자 접근을 통제하기 위한 정책을 데이터베이스에 적용할 수 없다. 또 다른 데이터베이스 보안 방법인 데이터 암호화는 데이터의 인덱싱이 어렵다는 단점이 있다. 본 논문에서는 다양한 보안 정책을 반영하기 위해, 클라이언트에서 데이터베이스 서버로 요청되는 네트워크상의 패킷 분석을 통한 데이터베이스의 접근 통제 시스템을 제안한다. 제안된 보안 시스템에서는 특정 일자 및 시간, SQL에 포함되어 있는 특정 문자열, 결과 데이터 수, 레벨에 따른 컬럼 제한 등의 통제 정책을 적용할 수 있을 뿐만 아니라 사용자 정보 및 SQL의 위변조를 방지하기 위해서 공개키 인증과 메시지 인증코드 교환으로 무결성을 확보할 수 있다.
최근 데이터베이스의 보안 취약성으로 인해, 내부의 비인가자 또는 인가자의 데이터 접근에 대한 통제 정책이 제대로 이루어지지 않아 정보 유출 사고가 발생하고 있다. 현재의 데이터베이스 권한부여 방식은 관리자가 데이터베이스 오브젝트에 접근할 수 있는 권한을 사용자에게 부여하는 방식이다. 그러나 이러한 방법은 다양한 사용자 접근을 통제하기 위한 정책을 데이터베이스에 적용할 수 없다. 또 다른 데이터베이스 보안 방법인 데이터 암호화는 데이터의 인덱싱이 어렵다는 단점이 있다. 본 논문에서는 다양한 보안 정책을 반영하기 위해, 클라이언트에서 데이터베이스 서버로 요청되는 네트워크상의 패킷 분석을 통한 데이터베이스의 접근 통제 시스템을 제안한다. 제안된 보안 시스템에서는 특정 일자 및 시간, SQL에 포함되어 있는 특정 문자열, 결과 데이터 수, 레벨에 따른 컬럼 제한 등의 통제 정책을 적용할 수 있을 뿐만 아니라 사용자 정보 및 SQL의 위변조를 방지하기 위해서 공개키 인증과 메시지 인증코드 교환으로 무결성을 확보할 수 있다.
Recently, data access control policies have not been applied for authorized or unauthorized persons properly and information leakage incidents have occurred due to database security vulnerabilities. In the traditional database access control methods, administrators grant permissions for accessing da...
Recently, data access control policies have not been applied for authorized or unauthorized persons properly and information leakage incidents have occurred due to database security vulnerabilities. In the traditional database access control methods, administrators grant permissions for accessing database objects to users. However, these methods couldn't be applied for diverse access control policies to the database. In addition, another database security method which uses data encryption is difficult to utilize data indexing. Thus, this paper proposes an enhanced database access control system via a packet analysis method between client and database server in network to apply diverse security policies. The proposed security system can be applied the applications with access control policies related to specific factors such as date, time, SQL string, the number of result data and etc. And it also assures integrity via a public key certificate and MAC (Message Authentication Code) to prevent modification of user information and query sentences.
Recently, data access control policies have not been applied for authorized or unauthorized persons properly and information leakage incidents have occurred due to database security vulnerabilities. In the traditional database access control methods, administrators grant permissions for accessing database objects to users. However, these methods couldn't be applied for diverse access control policies to the database. In addition, another database security method which uses data encryption is difficult to utilize data indexing. Thus, this paper proposes an enhanced database access control system via a packet analysis method between client and database server in network to apply diverse security policies. The proposed security system can be applied the applications with access control policies related to specific factors such as date, time, SQL string, the number of result data and etc. And it also assures integrity via a public key certificate and MAC (Message Authentication Code) to prevent modification of user information and query sentences.
J. J. Borking, B. M. A. Van Eck, P. Siepel, 'Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector,' Information and Privacy Commissioner of Ontario, 1999
H. G. Lee, S. M. Lee, T. Y. Nam, 'Database Encryption Technology and Current Product Trend,' Electronics and Telecommunications Trend Analysis, vol.22, no.1 , pp.105-113, 2007. (In Korean)
G. I. Davida, D. L. Wells and J. B. Kam, 'A database encryption system with subkeys,' ACM Transactions on Database systems, vol.6, no.2, pp.312-328, 1981
D. F. Ferraiolo, Role-Based Access Control, Artech House, Computer Security, 2003
M. Piattini and E. Fernandez-Medina, 'Secure databases: state of the art,' Security Technology, Proc. of the IEEE 34th Annual 2000 International Carnahan Conference, pp.228-237, 2000
Y. Elovici, R. Waisenberg, E. Shmueli, and E. Gudes, 'A Structure Preserving Database Encryption Scheme,' Proc. of the Secure Data Management in a Connected World 2004 (SDM 2004), LNCS 3178, pp.28-40, 2004
M. A. Jeong, J. J. Kim, Y. Won, 'A Flexible Database Security System Using Multiple Access Control Policies,' LNCS 2736, pp.876-885, 2003
B. Scalzo, D. Hotka, Toad Handbook, Sams Publishing, 2003
D. Steiner, V. Moore, Oracle9i Net Services Administrator's Guide, Release 2 (9.2), Part no. A9658002, Oracle Corporation, 2002
D. Keesling, J Womack, Oracle9i Database Administration Fundamentals II, Production 2.0, D37492, Oracle Corporation, 2002
S. Y. Kim, G. W. Nam, S. C. Kim, 'Filtering Unauthorized SQL Query By uniting DB Application Firewall with Web Application Firewall,' Proc. of the Korea Institutes of Information Security and Cryptology Conference, pp.686-690, 2003. (In Korean)
G. O. Jang, H. O. Koo, C. S. Oh, 'Detection of Internal Illegal Query Using Packet Analysis,' Proc. of the Korean Society Of Computer And Information, vol.10, no.3, pp.259-265, 2005. (In Korean)
G. Booch, J Rumbaugh, I. Jacobson, The Unified Modeling Language User Guide: second edition, Addison-Wesley, 2005
K. Molnar, M. Kyselak, 'Application Programming Interface offering classification services to enduser applications,' Proc. of the International Conference on Systems and Networks Communication 2006 (ICSNC'06), p.49(1page), 2006
Windows Packet Filter Kit, http://www.ntkernel.com
SQL Parser, http://www.sqlparser.com
Kozierok, M. Charles, TCPIIP Guide, O'Reilly & Associates Inc, 2005
※ AI-Helper는 부적절한 답변을 할 수 있습니다.