DOI QR코드

DOI QR Code

A Study on the Applicability of Anonymous Authentication Schemes for Fine-Grained Privacy Protection

개인정보보호를 위한 익명 인증 기법 도입 방안 연구

  • Received : 2010.09.25
  • Accepted : 2010.12.13
  • Published : 2010.12.31

Abstract

As information communication technologies have highly advanced, a large amount of user sensitive information can be easily collected and unexpectedly distributed. For user-friendly services, a service provider requires and processes more user information. However known privacy protection models take on a passive attitude toward user information protection and often involve serious weaknesses. In reality, information exposure by unauthorised access and mistakenly disclosure occurs frequently. In this paper, we study on the applicability of anonymous authentication services for fine-grained user privacy protection. We analyze authentication schemes and classify them according to the level of privacy newly defined in this paper. In addition, we identify security requirements that a privacy protection scheme based on anonymous authentication can achieve within legal boundary.

고도화된 정보통신 기술에 부합하는 사용자-친화적인 서비스 제공을 위해서 많은 정보가 무분별하게 수집되어지고 있다. 최근 사용자 정보 관리의 문제점과 정보 누출의 후유증을 통해 알려진 바와 같이, 기존의 사용자 프라이버시 보호 모델은 매우 수동적이며 심각한 취약성을 내포하기도 한다. 본 논문에서는 사용자 정보 보호를 위한 새로운 접근방식으로 익명 인증 기반의 사용자 프라이버시 보호 방법과 이에 대한 법제적 가용성을 제시한다. 이를 위해, 프라이버시 또는 익명성 정도를 정량 및 정성적인 관점에서 정의하고 익명인증 프레임워크를 구성하는 형식적이고 체계적인 방법을 제안한다. 그리고 현재 알려진 인증 기법들을 다양한 프라이버시 수준 별로 분류하고 분석한다. 특히 사용자 및 서비스 제공자 측면에서 모두 유익한 익명 인증 기반의 사용자 프라이버시 보호 방안을 도출하고 모델링해 본다. 또한 현재의 법제적인 테두리 내에서 가용한 익명 인증 기반의 프라이버시 보호 기술에 대한 발전 방향을 제안하고 이에 대한 적용가능성을 제시한다.

Keywords

Acknowledgement

Grant : 익명성 기반의 u지식정보보호 기술개발

Supported by : 한국산업기술평가관리원

References

  1. 방송통신위원회, 행정안전부, 지식경제부, "2010 국가정보보호백서," pp. 65-66, 2010년4월
  2. 김정덕, "개인정보보호를 위한 관리체계와 거버넌스," 정보보호학회지, pp. 1-5, 2008년12월
  3. 정상조, "광고기술의 발전과 개인정보의 보호," 한국법학원, 저스티스, 통권 제106호, pp.601-623, 2008년9월
  4. 송유진, 남택용, 장종수, 손승원, "개인정보보호를 위한 기술적 요구사항," 정보통신산업진흥원, 학술정보 주간기술동향 1224호
  5. 양재모, "전자상거래 개인정보보호에 대한 민사적접근," 사이버커뮤니케이션학회, 사이버커뮤니케이션 학보, 27(2), pp.91-119, 2010년6월
  6. 윤상오, "전자정부 구현을 위한 개인정보보호 정책에 관한 연구," 한국지역정보화학회, 한국지역정보화학회지, pp.1-29, 2009년6월
  7. 이형호, "개인정보보호를 위한 준민등록번호 대체수준 및 관리체계," 한국정보기술학회, 한국정보기술학회논문지, 8(6), pp. 49-58, 2010년6월
  8. Chaum and E. van Heyst, "Group signatures," In Advances in Cryptology, Eurocrypt'91, LNCS 547, pp. 257-265, 1991.
  9. D. Boneh, X. Boyen and H. Shacham, "Short group signatures," In Advances in Cryptology, CRYPTO'04, LNCS 3152, pp. 41-52, 2004.
  10. S. Canard and I. Coisel and G. de Meulenaer, "Group Signatures are Suitable for Constrained Devices," ICISC2010, Springer, 2010.
  11. M. Lee, N. Smart, B. Warinschi, "The Fiat –Shamir Transform for Group and Ring Signature Schemes," SCN2010, LNCS 6280, pp. 363-380, Springer, 2010.
  12. R. L. Rivest, A. Shamir and Y. Tauman, "How to Leak a Secret," In Advances in Cryptology, Asiacrypt'01, LNCS 2248, pp.552-565, Springer-Verlag, 2001.
  13. D. Chaum. "Security without identification: Transaction systems to make big brother obsolete," Communications of the ACM, 28(10), pp. 1030–1044, 1985. https://doi.org/10.1145/4372.4373
  14. J. Camensich and E. V. Herreweghen, "Design and implementation of the idemix anonymous credential system," In Proceedings of the 9th ACM Conference on Computer and Communications Security, pp. 21-30, Nov. 2002.
  15. J. Camenisch, N. Casati, T. Gross, V. Shoup, "Credential Authenticated Identification and Key Exchange," Crypto 2010, LNCS 6223, pp. 255-276, Springer, 2010.
  16. P Bichsel, J Camenisch, T Gross, V Shoup, "Anonymous Credentials on a Standard Java Card," ACM CCS'09, pp. 600-610, ACM Press, 2009.
  17. J. Camenisch, T. Gross, T. S. Heydt- Benjamin, "Rethinking Accountable Privacy Supporting Services," ACM Digital Identity Management Workshop (DIM), 2008.
  18. D. Halperin, T. S. Heydt-Benjamin, K. Fu, T. Kohno, W. H. Maisel, "Security and Privacy for Implantable Medical Devices," IEEE Pervasive Computing, Vol. 7 (1), 2008.
  19. J. Camenisch, T. S. Heydt-Benjamin, "Preliminary Thoughts on Privacy Supporting Binding of Biometrics to Credentials," Hot Topics in Privacy Enhancing Technology (HotPETs 2010), 2010.
  20. IETF RFC5636, "Traceable Anonymous Certificate".
  21. ISO/IEC JTC1 SC27 N8527. "National Bodies contributions received to ISO/IEC NP 20008-2 - Information technology - Security techniques - Anonymous digital signatures – Part 2 (in response to SC 27 N8212)," April, 2010.
  22. 강전일, 양대헌, 이석준, 이경희, "실생활 응용을 위한 짧은 그룹 서명 기법(BBS04)에 대한 연구," 정보보호학회논문지 19(5), pp.3-15, 2009.
  23. 황정연, 이석준, 정병호, 양대헌, "효율적인 지역연 결성을 제공하는 짧은 그룹 서명 기법," 대한전자공학회 하계학술대회 발표집, 2010
  24. E. Brickell, J. Camensich, and L. Chen, "Direct Anonymous Attestation," Proceedings of the 11th ACM Conference on Computer and Communications Security, pp. 132-145, Nov. 2004.
  25. J. Walker and J. Li, "Key Exchange with Anonymous Authentication using DAASIGMA Protocol," INTRUST 2010.
  26. Trusted Computing Group: TCG TPM Specification Version 1.2. Available from www.trustedcomputinggroup.org.
  27. S. Goldwasser, S. Micali, and C. Rackoff, "The knowledge complexity of interactive proof systems," SIAM Journal on Computing (Philadelphia: Society for Industrial and Applied Mathematics) 18(1) pp. 186–208, 1989.
  28. A. J. Menezes, P. C. van Oorschot and S. A. Vanstone, "Handbook of Applied Cryptography," CRC Press, Oct, 1996.
  29. H. Lin, R. Pass, W. D. Tseng and M. Venkitasubramaniam, "Concurrent Non-Malleable Zero Knowledge Proofs," Crypto 2010, LNCS 6223, pp. 429-446, Springer, 2010.
  30. I-PIN, http://www.g-pin.go.kr
  31. P. M., Netegrity, Differences between OA SIS Security Assertion Markup Languag e (SAML) V1.1 and V1.0. OASIS Draft, Document ID sstc-saml-diff-1.1-draft-0 1, http://www.oasis-open.org/committe es/download.php/3412/sstc-saml-diff- 1.1-draft-01.pdf
  32. A. Sahai and B.Waters, "Fuzzy Identity Based Encryption," In Advances in Cryptology – Eurocrypt, volume 3494 of LNCS, pp. 457–473. Springer, 2005.
  33. V. Goyal, O. Pandey, A. Sahai, and B. Waters. "Attribute Based Encryption for Fine-Grained Access Conrol of Encrypted Data," In the 13th ACM conference on Computer and Communications Security (ACM CCS06), pp. 89-98, ACM, 2006.
  34. J. Bethencourt, A. Sahai, and B, Waters, Ciphertext-Policy Attribute-Based Encryption, Proceedings of the 2007 IEEE Symposium on Security and Privacy, pp. 321-334, IEEE, 2007.
  35. Harris Interactive, "Consumer Privacy At titudes and Behaviors," http://www.bbbon line.org/UnderstandingPrivacy/library/ harrissummary.pdf