SSIBAC (Self-Sovereign Identity Based Access Control)
In summary, the major contributions of this paper are:
- a novel SSI-based ACM called SSIBAC, with a focus on data privacy and sovereignty
- an implementation of SSIBAC, relying on an attribute-based model
- an evaluation of the implementation, providing insights on the bottlenecks of the solution and future research directions; the prototype processed 55,000 access controlrequests per second with a latency of 3 seconds.
Centralized and Federated Identity (기존 로직)
- IAM(Identity Access Management)
- 내부 시스템에 의해 외부 사용자가 허가받는 방식
Decentralized Identifiers
- 사용자가 중개자 없이 증명 가능한 방식
SSIBAC
- 기존 ACM에서 블록체인과 SSI를 통합한 모델
- blockchain, decentralized identifiers, verifiable credentials 를 통해
- issuer의 신뢰도가 VC의 신뢰도에 직결
- PEP, PDP, PIP, PRP?
SSIBAC regulates the access of subjects to resources by evaluating access control rules against permission validators.
Authentication and Access control with SSIBAC and ABAC
- the permission validator is the set of subject and contextual attributes.
To integrate decentralized identity with attribute-based access control, attributes need to be issued to a specific DID. This can be accomplished using VCs
SSIBAC conponents
- user : DID로 식별가능하며, 공개키 쌍과 VCs를 소유하는 것들 지칭
- issuers : user에게 VC를 발급(issue) 해주는 것들 지칭
- verifier : VP를 요청하거나 access control flow를 중재하는 것들 지칭
Access Control Flow
- issuer가 유저에 VC 발급 (블록체인에 저장)
- 유저가 resource에 대한 접근 요청
- verifier에서 VPR (verifiable presentation request) 생성 후 유저에 전송
- 유저의 VC에서 보여줄 정보들을 모아 VP로 만들어 달라는 뜻
- The verifier assumes that the user owns the necessary attributes on the verifiable credentials to be able to respond to the challenge.
- 유저가 VP를 생성한 후 Verifier에 전송하며 VP에 묶여서 전송된 VC들을 검증한다.
- Verifier에서 검증 결과를 access control engine에 인풋으로 전달한다.
- access control engine에서의 결정이 ALLOW 인 경우에 resource가 제공된다.
참고문헌
SSIBAC: Self-Sovereign Identity Based Access Control (2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom))