The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지

An Integrated Authentication System for Mobile Codes

이동코드를 위한 통합 인증 시스템

  • 배성훈 ((주)애드컴인포메이션) ;
  • 이수현 (창원대학교 컴퓨터공학과)
  • Published : 2001.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

Mobile codes such as Java, Java-Script, ActiveX, and Script code are loaded into a client system first and then run without any notice to the client user. Executing code by this mechanism may cause various security problems such as flowing out system information, deleting or modifying files, and exhausting system resources. In this paper we propose an integrated authentication system to establish the uniform security countermeasure on various mobile codes. The system helps to solve to problems mentioned above. An integrated authentication system allows to load into an interpreter using ACL (Access Control List) which sets up an access authority to the executable contents and communicates with an interpreter using client/server model.

자바, 자바스크립트, 액티브X, 스크립트 코드와 같은 실행가능 컨텐츠 또는 이동코드는 사용자가 인식 없이 서버에서 클라이언트로 전송되어 실행된다. 클라이언트로 전달되는 이동코드에 악의적인 내용이 포함되어 있다면 클라이언트 시스템의 정보를 외부로 유출, 파괴, 변경될 수 있다. 이동코드의 인터프리터들은 시스템을 보호하면서 효율적인 작업 수행을 도울 수 있는 보안모델을 가지고 있거나 이를 위한 도구들이 있는데, 이들은 서로 다른 기술로 개발되었기 때문에 공통으로 사용 가능한 하나의 보안모델을 가지고 있지 않아 관리의 어려움이 있다. 본 논문에서는 여러 종류의 이동코드로부터 사용자의 로컬 시스템을 보호할 수 있는 시스템 설계를 제시하고, 이를 바탕으로 통합인증시스템을 구현하였다. 통합인증시스템은 각 이동코드 별로 시스템 접근에 관한 접근제어목록을 기초로 운영되며, 이동코드의 사용 인증, 이동코드의 시스템 접근 인증, 웹 인터페이스를 이용한 접근제어목록 관리로 구성되어 있다.

Keywords

References

  1. W3C, 'On Mobile Code,' (http://www.w3.org/MobileCode/)
  2. 이정호, '웹 페이지 Executavle Contents 현황', 한국정보보호센터, (http://www.kisa.or.kr/technology/sub4/EC_9904.html), 1999
  3. 이정호, '콘텐트의 변화에 따라 불법적 접근 증가', 한국데이터베이스진흥센터, 데이타베이스월드, 1999
  4. 'Executable Content and Information Security,' (http://www.upenn.edu/computing/security-privacy/java/help.html)
  5. C. Kerer, 'A flexible and extensible security framework for Java,' (http://www.infosys.tuwien.ac.at/Teaching/Finished/MastersTheses/JSEF/thesis.html), 1999
  6. S. Gritzalis, G. Aggelis, and D. Spinellis, 'Architectures for secure portable executable content,' Internet Research, 9(1) : pp.16-24, 1999 https://doi.org/10.1108/10662249910251273
  7. D. Dean and D. S. Wallach, 'Security Flaws in the HotJava Web Browser,' Technical Report pp.501-95, Department of Computer Science, Princeton University, November, 1995
  8. V. Anupam and A. Mayer, 'Security of Web Browser Scripting Languages: Vulnerabilities, Attacks, and Remedies,' Proc. 7th USENIX Security Symposium, 1998
  9. E. W. Felten, D. Balfanz, D. Dean, and D. S. Wallach, 'Web Spoofing: An Internet Con Game,' Proc. 20th National Information Systems Security Conference, (http://www.cs.princeton.edu/sip/pub/spoofing.pdf), 1997
  10. D. Malkhi, M. K. Reiter, and A. D. Rubin, 'Secure execution of java applets using a remote playground,' Proc. 1998 IEEE Computer Society Symposium on Research in Security and Privacy, 1998 https://doi.org/10.1109/SECPRI.1998.674822
  11. J. K. Ousterhout, J. Y. Levy, and B. B. Welch, 'The Safe-TCL Security Model,' Technical Report SMLI TR-97-60, Sun Microsystems, 1997
  12. G. Vigna, 'Cryptographic Traces for Mobile Agents,' Lecture Notes in Computer Science, Vol.1419, 1988
  13. T. Jeaeger, A. Prakash, and A. Rubin, 'Building systems that flexibly control downloaded executable context,' Proc. 6th USENIX Security Symposium, 1996
  14. W. T. Polk, D. F. Dodson, etc, 'Public Key Infrastructure: From Theory to Implementation,' (http://csrc.ncsl.nist.gov/pki/panel/overview.htm)
  15. 'PKI의 정의', (http://ecommerce.infomail.co.kr/security3.htm)
  16. S. Garfinkel, 'PGP : Pretty Good Privacy,' O'Reilly, 1995
  17. PGPsdk 홈페이지, (http://www.pgp.com/products/sdk/)
  18. B. Venners, 'Inside the Java Virtual Machine,' McGraw-Hill, 1998