| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- vector미분
- 알고리즘
- chapter02
- 선형분류
- 이것이 MySQL이다
- SCPC
- Numerical optimization
- MySQL
- undirected graphical model
- chapter01
- 5397번
- 자바ORM표준JPA프로그래밍
- 인공지능
- CH01
- bisection
- 로지스틱 회귀
- 근구하기
- 1차예선
- 알고리즘대회
- Fisher discriminant analysis
- directed graphical model
- 선형판별분석
- falsePosition
- 스터디
- 델타 rule
- 개발순서
- Perceptron Convergence theorem
- 2018
- graphical models
- secant
- Today
- Total
computer_study
[논문정리]SSIBAC: Self-Sovereign Identity Based Access Control 본문
개요
SSI (Self-sovereign Identity)는 사용자가 자신의 개인 데이터를 완전히 제어 할 수 있도록하는 새로운 ID 관리 접근 방식이다.
본 논문에선 이런 SSI가 데이터 유출 및 사용자 개인 정보 문제를 완화할 수 있음을 보인다.
SSI를 구현하기 위해 분산 형 식별자(decentralized identifiers), 자격증명(verifiable credentials), 블록체인(blockchains) 개념을 사용하는데, 이러한 모델로 SSIBAC를 소개한다.
SSIBAC는 기존 액세스 제어 모델과 블록 체인 기술을 활용하여 분산 인증을 제공 한 다음 중앙 인증을 제공한다.
(글에 구현되어있는 프로토타입에선 3 초의 지연 시간으로 초당 55,000 개의 액세스 제어 요청을 처리하였다.) -> 글에서 확인해봐야
본문
SSI와 Access control에 관한 개념 정리
A. Centralized and Federated Identity
Centralized Identity는 외부 사용자에게 내부 시스템에 대한 액세스 권한을 부여해야된다.
Fedrated Identiy를 사용하여 이를 줄일 수 있지만 서로 다른 표준간에 상호 운용 할 수 없으며, 기관간 상호 작용을 하기 위해선 브리지가 필요하다.
B. Decentralized Identifiers
SSI 개념은 사용자가 중개자없이 제 3 자에게 자격 증명을 제시 할 수 있도록하고, 이 프로세스는 'W3C' 에서 정의한 개념 인 DID에 의해 활성화된다.
DID는 'DID subject'에 의해 제어되는데 'DID subject'는 DID의 공개 키와 연결된 개인 키를 통해 DID의 소유권을 증명할 수 있다.
# did format
did:<method>:<identifier>
(<method>는 <identifier>가 사용하는 DID 방법 (특정 유형의 DID에 대한 사양)을 나타낸다.)
C. Verifiable Credentials(VC, 검증가능 자격증명)
VC는 시스템에서 검증 할 수있는 방식으로, '자격 증명을 디지털 방식으로 표현하는 표준 방법'이다.
'issuer'가 이러한 자격 증명을 생성하고 서명한다. 이를 통해 제 3자가 VC의 발급자를 확인할 수 있다.
'verifier'는 검증 가능한 데이터 레지스트리 (ex.퍼블릭 블록 체인)에서 주어진 자격 증명과 연결된 주어진 DID의 공개 키를 조회 할 수 있다.
'subject'와 'issuer'는 고유 식별자로 표시되며,이를 DID로 간주한다.
검증 시 VC(주로 subject 자체)의 소유자는 meta데이터를 포함하고, 포함 된 claim의 subset에 대해 증명하는 verifiable presentation (VP, 검증 가능한 프레젠테이션)을 생성한다.
VP 생성 프로세스는 verifiable presentation request(VPR, 검증 가능한 프리젠 테이션 요청 )을 통해 검증자가 요구할 수 있다.
VP는 ZKP를 사용하여 발급 될 수 있으며, 직접 내장 된 검증 가능한 자격 증명 대신 파생 된 데이터를 포함한다.
간단하게 predicate의 true false에 따라 VP가 true false가 될 수 있다.
D. Access Control
ACM(Access Control Model)로 자주 사용되는 ABAC : attribute에 근거하여 권한이 있다.
ABAC를 구현하기에 적합한 XACML : 몇몇 component들을 access contrl process에 합쳐서 사용한다.
user(subject) : resource에 access 요청 , device(client) : access 요청에 쓰이는 기구
결론
본 논문에서는 분산 된 신원을 기반으로 한 접근 제어에 대한 첫 번째 접근 방식 인 SSIBAC 모델을, 실제 사례 인 EU QualiChain 프로젝트에 적용되는 속성 기반 액세스 제어로 구현하여 소개한다.
실험에서 각 액세스 제어 요청이 약 0.9 초 내에 처리 될 수 있음을 보여주는데, 이는 기존의 중앙 집중식 액세스 제어 시스템보다 더 많은 시간이 소요된다. 하지만 높은 처리량을 요구하지 않는 어플리케이션에서 data privacy문제를 완화할 수 있다.
본 실험은 single access control engine과 밀접한 연관이 있다는 한계가 있으므로, 향후 '액세스 제어 엔진을 분산하고 distributed 및 decentralized 방식으로 권한 부여 프로세스를 수행하는 등' 향후 작업에서 이러한 제한 사항을 해결할 계획이다.
*용어
ZKP - zero-knowledge proofs
Published in:2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom)