Abstract
A Web server makes use of the HTTP(Hyper Text Transfer Protocol) to communicate with a client. The HTTP is a stateless protocol; the server does not maintain any state information for ongoing interactions with the client. Therefore, the HTTP inevitably requires additional overhead as repeating data key-in to user for continuing communications. This overhead in Web environment can be resolved by the cookie technologies. However, the cookie is usually unsecured due to the clear-text to transfer on the network and to store in the file. That is, information in the cookie is easy to exposure, copy, and even change. In this paper, we propose a secure cookie mechanism appropriate to Web environment, and then present a design and implement of secure Web system based on the scheme. The Web system can be used to any web environment. It also provides some security services, such as confidentiality, authentication, integrity.
웹 서버는 HTTP(Hyper Text Transfer Protocol) 통신프로토콜을 사용한다. HTTP 프로토콜은 서버가 다음 통신절차에서 필요한 클라이언트의 상태정보를 유지하지 않는 특성을 지니고 있다. 따라서, 웹 서버는 클라이언트의 요구에 대응한 응답메시지 전송과 동시에 클라이언트에 관련된 모든 정보를 제거한다. 이러한 HTTP 프로토콜의 특성은 클라이언트 사용자에게 반복된 정보입력 부담을 요구케 한다. 이러한 불편 해결책으로 쿠키(Cookie)기술이 구현되어 활용되고 있다. 하지만, 쿠키는 평문형태로 전송되고 저장되기 때문에 정보가 쉽게 노출될 수 있다. 따라서, 쿠키정보가 유출, 복사, 수정이 가능하여 안전하지 않다. 본 논문에서는 이러한 웹 환경에서의 쿠키 특성에 착안하여 안전한 쿠키를 제시하고, 이를 이용하여 웹 보안시스템을 설계 및 구현하였다. 구현된 시스템은 어떤 웹 환경에서나 활용이 가능하고, 사용자 기밀정보의 기밀성 보장과 더불어 인증, 무결성 등의 보안서비스를 제공한다.
