퍼미스

PERMIS

PUMIS(PrivilEge and Role Management Infrastructure Standards)는 미국 국립표준기술원(NIST) 표준 RBAC(Role-Based Access Control) 모델의 강화된 버전을 구현하는 정교한 정책 기반 인가 시스템이다.PUMIS는 사용자에 대한 역할의 중앙집중화된 할당을 가정하는 NIST 모델과는 달리 복수의 분산형 속성 당국이 사용자에게 역할과 속성을 모두 분산 할당하는 것을 지원한다.PUMIS는 공개키 암호화 기술과 X.509 Attribute 인증서를 활용한 암호화된 보안특권관리 인프라(PMI)를 제공해 사용자의 속성을 유지한다.PUMIS는 어떠한 인증 메커니즘도 제공하지 않지만, 어떤 것을 사용할지 결정하는 것은 애플리케이션에 맡긴다.PUMIS의 강점은 Sibboleth(인터넷2), Kerberos, 사용자 이름/암호, 그리드 프록시 인증서, PKI(Public Key Infrastructure)와 같은 거의 모든 애플리케이션과 인증 체계로 통합될 수 있는 능력에 있다.

표준 RBAC 시스템으로서 PUMIS의 주요 실체는 다음과 같다.

  • 허가 정책,
  • 사용자 집합,
  • 사용자에게 역할/기능을 할당하는 관리자(권한) 집합
  • 보호해야 할 자원의 집합,
  • 자원에 대한 일련의 조치들,
  • 접근 제어 규칙 집합,
  • 그리고 선택적 의무와 제약.

PUMIS 정책은 eXtensible Markup Language(XML) 기반이며 사용자 역할 할당과 역할 특권 할당에 대한 규칙을 가지고 있으며, 후자는 사용자에게 리소스에 대한 액세스 권한이 부여될 때 애플리케이션에 반환되는 선택적 의무를 포함하고 있다.PERMIS 정책은 단순 텍스트 XML 파일로 저장하거나 서명된 X.509 속성 인증서 내에 속성으로 저장하여 무결성 보호 및 변조 탐지를 제공할 수 있다.사용자 역할 및 속성은 보안 서명된 X.509 속성 인증서에 보관되고 LDAP(Lightweight Directory Access Protocol) 디렉토리 또는 WebDAV(Web-based Distributed Authoring and Versioning) 저장소에 저장되거나 SAML(Security Assertion Markup Language) 속성 주장으로 요청 시 생성될 수 있다.

PUMIS 허가 엔진은 사용자 역할 할당 규칙에 따라 사용자의 역할을 검증하는 인증확인 서비스와 역할 허가 할당 규칙(또는 액세스 제어 규칙)에 따라 사용자의 액세스 요청을 평가하는 정책 결정 지점(PDP)의 두 가지 구성 요소로 구성된다.자원에 대한 액세스는 사용자에게 할당된 역할/특성과 사용자의 액세스 요청(예: "10페이지 미만 인쇄") 및 환경(예: 하루 중 시간)에 따른 제약 조건을 포함할 수 있는 역할-허용 할당에 따라 달라진다.PUMIS는 푸시 모드(애플리케이션에 의해 사용자 속성 할당이 PUMIS로 전송됨) 또는 풀 모드(PERMIS가 LDAP/WebDAV 리포지토리 또는 SAML 속성 당국에서 속성 할당 자체를 가져오기)에서 작업할 수 있다.

PUMIS는 사용자 속성/역할을 암호화된 방식으로 보호하고, 그 무결성을 보장하며, 변조되지 않도록 보호하는 정책을 지원하는 것이 독보적이다.PERMIS와 XACML PDP를 매끄럽게 상호 교환할 수 있는 표준 eXtensible Access Control Markup Language(XACML) 인터페이스, SAML 속성 주장을 수용할 수 있는 기능, 권한의 동적 위임 및 의무 정책의 지원, 최근의 경쟁 추가 등 새로운 기능이 지속적으로 추가되고 있다.간단한 PERMIS 정책을 작성하기 위한 롤드 자연어 인터페이스(영어).[1]

참고 항목

참조

  1. ^ http://sec.cs.kent.ac.uk/permis/DevPlans.shtml

외부 링크