• 인터넷정보학회논문지
• /
• 제7권6호
• /
• pp.157-174
• /
• 2006

Ajax의 상호작용 모델은 웹 어플리케이션 상황을 HTTP에서 상태 기반형이 되도록 바꾸어 주며, Ajax 응용프로그램은 브라우저상에서 오래 지속된다. XHR(XML HTTP Request)는 데이터 교환을 촉진하는데 사용된다. 이러한 상호작용 조건에서 HTTPS를 사용하는 것은 데이터 교환의 빈도 때문에 실용적이지 못하다. 더욱이 민감한 정보의 경우 HTTP에서 HTTPS 로 프로토콜을 전환하는 것은 원본서버 유지정책으로 인해 허용되지 않는다. Ajax 어플리케이션의 장기 지속성, 구속성, 비동기성과 같은 특징들은 재 인증을 촉발하는 각기 다른 인증 및 세션 처리 메카니즘을 필요하게 되는데, 이 논문은 Ajax를 사용하는 인증 및 세션 관리의 설계를 제시한다. 본 설계는 OTP(One Time Password)와 유사한 자동 발생 패스워드가 있는 요약 인증을 사용하는 환경에서 기간 단위 및 이벤트 기반의 재인증을 촉발하도록 고안되었다. 이 인증 및 세션 관리는 인증 및 세션 관리가 손상되지 않도록 커플링의 AWAsec(Ajax Web Application Security) 이라고 불리는 체제 안에 포함된다.

• 정보처리학회논문지A
• /
• 제11A권2호
• /
• pp.143-148
• /
• 2004

방화벽이나 침입탐지시스템과 같은 세션 관리를 요하는 시스템은 관리하는 세션 테이블의 크기가 증가함에 따라 각 세션에 대한 타임아웃 처리 시 발생하는 오버헤드가 커지게 된다. 본 논문은 기존의 타이머를 이용한 시간 기반 타임아웃 관리 방법에 비하여 시스템의 부하를 현저히 감쇄하여 네트워크 시스템의 패킷 처리량을 증가시킬 수 있는 사건 기반 타임아웃 관리 방법을 제안한다. 또한, 실제 구현한 시스템을 이용한 실험을 통하여 제안한 방법이 기존의 방법에 비하여 보다 많은 패킷을 처리할 수 있음을 확인한다.

• 한국정보통신학회논문지
• /
• 제19권9호
• /
• pp.2056-2063
• /
• 2015

최근 클라우드 서비스는 서비스 규모가 확대됨에 따라 신규 취약성과 보안 관련 사건·사고에 대한 우려로 인한 불안감도 함께 증가하고 있다. 본 논문은 사용자 인증 이후 생성되는 보안세션의 다중 세션관리를 위한 인증 기법을 제안한다. 제안하는 기법의 세션다중화는 서비스 제공자 내부의 가상화(하이퍼바이저) 수준에서 보안세션의 독립적 관리를 가능하게 한다. 성능분석결과 상호인증과 세션 다중화로 인한 강력한 안전성을 제공하고, 기존 상호인증 암호화 알고리즘을 비교하여 성능의 우수성을 입증하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 추계학술대회
• /
• pp.387-389
• /
• 2014

스마트 단말기의 대중화로 모바일을 통한 업무 처리가 선호되고 있다. 모바일 기기를 통한 인터넷 접속 비율도 2012년 9월 기준으로 PC 대비 30%에 이르고 있다. 모바일 시대에 나타나는 사이버 보안 위협의 특징은 기존의 인터넷에서 발생되는 보안 위협이 모바일 환경에서도 그대로 재현된다는 점이다. 웹 애플리케이션 보안 연구 기관인 OWASP (The Open Web Application Security Project)가 경고하는 세션 관리의 취약점은 앞으로 모바일 환경에서도 대비해야 하는 이슈이다. 하지만 모바일과 데스크탑 컴퓨터의 세션 관리 환경은 크게 다르다. 본 학술지는 모바일 환경에 맞게 개선된 세션 관리 방식을 제안한다.

• 디지털산업정보학회논문지
• /
• 제10권3호
• /
• pp.127-141
• /
• 2014

A Vehicle Tracking System consists of GPS tracking device which fits into the vehicle and captures the GPS location information at regular intervals to a central GIS server, and GIS tracking server providing three major responsibilities: receiving data from the GPS tracking unit, securely storing it, and serving this information on demand of the user. GPS based tracking systems supporting a multi-session processing among RMA, RM, and RCP can make a quick response to various services including other vehicle information between RSU and OBU on demand of the user. In this paper we design RSU lower layers and RCP applications in OBU for a multisession processing simulation and test message processing transactions among RMA-RM and RM-RCP. Furthermore, we implement the additional functions of handling access commands simultaneously on multiple service resources which are appropriate for the experimental testing conditions. In order to make a multi-session processing test, it reads 30 resource data,0002/0001 ~ 0002/0030, in total and then occurs 30 session data transmissions simultaneously. We insert a sequence number field into a special header of dummy data as a corresponding response to check that the messages are received correctly. Thus, we find that GIS service system with a multi-session processing is able to provide additional 30 services in a same speed of screen presentation loading while identifying the number of session processing of Web GIS service, the number of OBU service, and the speed of screen presentation loading by comparing a single session and a multi-session of GIS service system.

• 한국정보전자통신기술학회논문지
• /
• 제1권3호
• /
• pp.17-20
• /
• 2008

본 논문에서는 컴퓨터 협동 지원 작업의 세션 초기 프로토콜 환경에서 실행되는 접근 제어에 대해서 기술한다. 세션 관리에는 세션의 셍성, 종료 및 지각자 처리, 접근 제어 등의 기능이 있다. 그러나, 기존의 프레임워크는 컴퓨터 협동 지원 작업의 세션 초기 프로토콜 환경에서 접근 제어에 대한 기능은 거의 없는 실정이다. 따라서, 본 논문에서는 세션을 잘 유지할 수 있게 하기 위하여 컴퓨터 협동 지원 작업의 세션 초기 프로토콜 환경에서의 접근 제어를 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권3호
• /
• pp.1263-1279
• /
• 2020

Activating appropriate roles for a session in the role-based access control (RBAC) model has become challenging because of the so-called role explosion. In this paper, factors and issues related to user-driven role management are analysed, and a session role activation (SRA) problem based on reasonable assumptions is proposed to describe the problem of such role management. To solve the SRA problem, we propose an extended RBAC model with context-based role filtering. When a session is created, context conditions are used to filter roles that do not need to be activated for the session. This significantly reduces the candidate roles that need to be reviewed by the user, and aids the user in rapidly activating the appropriate roles. Simulations are carried out, and the results show that the extended RBAC model is effective in filtering the roles that are unnecessary for a session by using predefined context conditions. The extended RBAC model is also implemented in the Apache Shiro framework, and the modifications to Shiro are described in detail.

• 한국항행학회논문지
• /
• 제16권1호
• /
• pp.145-150
• /
• 2012

본 논문은 규칙-기반 DEVS 모델링과 시뮬레이션 기법을 사용하면서 클라우드 컴퓨팅 공동 환경의 네스티드 세션 관리에서의 오류 감지 시스템의 성능 분석을 설명한다. 본 논문은 FDA(Fault Detection Agent)의 설계와 구축을 설명한다. FDA는 클라우드 컴퓨팅 공동 환경의 네스티드 세션 관리에서 멀티미디어 원격 제어를 위한 소프트웨어 오류를 감지하기에 적합한 에이전트이다.

• 정보보호학회논문지
• /
• 제18권3호
• /
• pp.3-8
• /
• 2008

세션상태 정보(session-state information)가 안전하지 않은 메모리에 저장되거나 또는 랜덤 난수 생성기 (random number generator)가 공격자에 의해 제어된다면 특정 세션에만 사용되는 난수 값과 같은 임시적인 데이터(ephemeral data)는 쉽게 노출될 수 있다. 본 논문에서는 Bresson과 그 외의 그룹 키 교환 스킴을 개선한Nam과 그 외의 그룹 키 교환 스킴이 세션상태 정보노출 공격에 안전하지 않음을 보인다. 그리고 이러한 안전성의 결함을 보완한 개선된 스킴을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권1호
• /
• pp.466-483
• /
• 2017

Zen Cart is an open-source online store management system. It is used all over the world because of its stability and safety. Today, Zen Cart's session security mechanism is mainly used to verify user agents and check IP addresses. However, the security in verifying the user agent is lower and checking the IP address can affect the user's experience. This paper, which is based on the idea of session protection as proposed by Ben Adida, takes advantage of the HTML5's sessionStorage property to store the shared keys that are used in HMAC-SHA256 encryption. Moreover, the request path, current timestamp, and parameter are encrypted by using HMAC-SHA256 in the client. The client then submits the result to the web server as per request. Finally, the web server recalculates the HMAC-SHA256 value to validate the request by comparing it with the submitted value. In this way, the Zen Cart's open-source system is reinforced. Owing to the security and integrity of the HMAC-SHA256 algorithm, it can effectively protect the session security. Analysis and experimental results show that this mechanism can effectively protect the session security of Zen Cart without affecting the original performance.