DOI QR코드

DOI QR Code

The design and Implementation of Web Security System using the Cookies

쿠키를 이용한 웹 보안시스템 설계 및 구현

  • 송기평 (한국전자통신연구원 표준연구센터) ;
  • 박기식 (한국전자통신연구원 표준연구센터) ;
  • 한승희 ((주)아론통신기술) ;
  • 조인준 (배재대학교 컴퓨터공학과 네트워크 & 보안 연구실)
  • Published : 2001.08.01

Abstract

A Web server makes use of the HTTP(Hyper Text Transfer Protocol) to communicate with a client. The HTTP is a stateless protocol; the server does not maintain any state information for ongoing interactions with the client. Therefore, the HTTP inevitably requires additional overhead as repeating data key-in to user for continuing communications. This overhead in Web environment can be resolved by the cookie technologies. However, the cookie is usually unsecured due to the clear-text to transfer on the network and to store in the file. That is, information in the cookie is easy to exposure, copy, and even change. In this paper, we propose a secure cookie mechanism appropriate to Web environment, and then present a design and implement of secure Web system based on the scheme. The Web system can be used to any web environment. It also provides some security services, such as confidentiality, authentication, integrity.

웹 서버는 HTTP(Hyper Text Transfer Protocol) 통신프로토콜을 사용한다. HTTP 프로토콜은 서버가 다음 통신절차에서 필요한 클라이언트의 상태정보를 유지하지 않는 특성을 지니고 있다. 따라서, 웹 서버는 클라이언트의 요구에 대응한 응답메시지 전송과 동시에 클라이언트에 관련된 모든 정보를 제거한다. 이러한 HTTP 프로토콜의 특성은 클라이언트 사용자에게 반복된 정보입력 부담을 요구케 한다. 이러한 불편 해결책으로 쿠키(Cookie)기술이 구현되어 활용되고 있다. 하지만, 쿠키는 평문형태로 전송되고 저장되기 때문에 정보가 쉽게 노출될 수 있다. 따라서, 쿠키정보가 유출, 복사, 수정이 가능하여 안전하지 않다. 본 논문에서는 이러한 웹 환경에서의 쿠키 특성에 착안하여 안전한 쿠키를 제시하고, 이를 이용하여 웹 보안시스템을 설계 및 구현하였다. 구현된 시스템은 어떤 웹 환경에서나 활용이 가능하고, 사용자 기밀정보의 기밀성 보장과 더불어 인증, 무결성 등의 보안서비스를 제공한다.

Keywords

References

  1. RFC 2109 HTTP State Management Mechanism D.Kristol
  2. Proceedings of the IFIP WG11.3 Workshop on Database Security RBAC on the Web by secure cookie Joon S.Park;Ravi Sandhu;SreeLatha Ghanta
  3. Cryptography and Network Security: Principles and Practice(Second Edition) William Stallings
  4. FIPS PUB 186 Digital Signature Standard(DSS) Federal Information Processing Standards Publication
  5. Communications of the ACM v.21 no.2 A method for obtaining digital signatures and public-key cryptosystems R.L.Rivest;A.Shamir;L.Adleman
  6. RFC 1321 The MD5 Message Digest Algori-thm R.Rivest
  7. FIPS 180-1 Secure Hash Standard Federal Information Processing Standards(FIPS)
  8. Standard Edition Documentation(Version 1.2.2-001) Java 2 SDK
  9. Standard Edition 1.2 Java 2 SDK
  10. Java Cryptography Extension(JCE) 1.2.1
  11. KAWA
  12. Applied Cryptography(Second Edition) Bruce Schneier
  13. 한국해양정보통신학회 2000 추계 종합학술대회지 v.4 no.2 웹 환경에서 자바 기술을 이용한 안전한 사용자 식별 및 인증 모델 설계 송기평;손홍;김선주;조인준
  14. 한국통신정보보호학회 종합학술발표회 논문집 쿠키를 이용한 웹 보안시스템 설계 구경철;조인준;한승희