보안 자료기지관리체계에서 접근통제를 위한 다중여과기법 : MFS

Abstract

본 논문은 보안 자료기지관리체계(DBMS)에서 접근통제를 위한 다중여과 기법(MFS)을 제안한다. 일반적으로 보안 시스템은 불법적 정보 흐름을 막기위한 신뢰성에만 초점을 맞추고 있다. 그 결과 사용자 접근을 통제하는 보안 메카니즘은 응답시간을 지연시키고, 시스템 공간을 낭비한다. 보안 환경에서 보안 정책은 가용성을 무시하는 경향이 있다. 그러므로 본 논문에서는 보안성뿐만 아니라 가용성을 만족하는 기법을 제안한다. 본 논문에서는 사용자와 DBMS 사이에 위치하는 보안 메카니즘의 일종인 전위프로세스 구조를 변형시켰으며, 부적법질의 차단 및 응답여과 면제의 두가지 개념을 소개하였다. 이전의 접근통제 기법과 비교해 볼 때, FEP는 사용자의 질의를 DBMS의 질의처리기로 전달하는 것을 거부할 수 있다. 게다가 FEP는 DBMS 응답에 대한 강제적 여과절차를 생략할 수도 있다. 이러한 개념들은 DBMS 응답의 존재여부와 사용자의 접근 범위를 예측함으로써 성취된다. 이때 후자는 벨/라파듈라 모형의 상향판독불가 원칙에 의해 사용자가 판독할 수 있는 자료의 범위를 의미한다. MFS는 사용자에게 응답을 돌려주기 위한 다수경로를 갖는다: 거부경로, 여과 생략경로, 여과경로. 그러므로 MFS 알고리즘이 단일경로만을 갖는 기존 단일여과 기법(SFS)에 비해 더 복잡하다. 그러나 MFS는 FEP 및 DBMS의 부담을 최소화시킨다: (1) FEP는 거부경로 덕분에 모든 사용자 질의를 DBMS로 항상 전달하지 않는다. 이는 DBMS가 모든 사용자 질의를 처리할 필요가 없음을 의미하기도 한다. (2) FEP는 여과생략 경로 덕분에 DBMS 질의처리결과를 모두 여과할 필요가 없다. MFS와 SFS간의 성능을 비교하기 위해 모의실험을 실행하였다. 모의실험 결과 MFS가 SFS에 비해 우수한 성능을 나타냈다: MFS는 SFS에 비해 단위 시간당 더 많은 처리율을 나타내었으며 더 신속한 응답시간을 보이고 있다. 결론적으로 MFS는 다수경로 덕분에 보안성을 보장하고 가용성을 향상시키는 새로운 접근통제 기법이다.