• 정보보호학회논문지
• /
• 제11권4호
• /
• pp.3-14
• /
• 2001

웹 서버는 HTTP(Hyper Text Transfer Protocol) 통신프로토콜을 사용한다. HTTP 프로토콜은 서버가 다음 통신절차에서 필요한 클라이언트의 상태정보를 유지하지 않는 특성을 지니고 있다. 따라서, 웹 서버는 클라이언트의 요구에 대응한 응답메시지 전송과 동시에 클라이언트에 관련된 모든 정보를 제거한다. 이러한 HTTP 프로토콜의 특성은 클라이언트 사용자에게 반복된 정보입력 부담을 요구케 한다. 이러한 불편 해결책으로 쿠키(Cookie)기술이 구현되어 활용되고 있다. 하지만, 쿠키는 평문형태로 전송되고 저장되기 때문에 정보가 쉽게 노출될 수 있다. 따라서, 쿠키정보가 유출, 복사, 수정이 가능하여 안전하지 않다. 본 논문에서는 이러한 웹 환경에서의 쿠키 특성에 착안하여 안전한 쿠키를 제시하고, 이를 이용하여 웹 보안시스템을 설계 및 구현하였다. 구현된 시스템은 어떤 웹 환경에서나 활용이 가능하고, 사용자 기밀정보의 기밀성 보장과 더불어 인증, 무결성 등의 보안서비스를 제공한다.

• 정보보호학회논문지
• /
• 제21권5호
• /
• pp.181-195
• /
• 2011

인터넷 이용자의 개인정보 유출 및 인터넷에서의 행적이 연결되는 등의 프라이버시 침해에 관한 논란이 끊이지 않고 있으며, 이를 해결하기 위한 다양한 방법들이 제시되고 있지만, 가장 효율적인 개인정보보호 방법으로 익명성을 제공하는 인증, 접근제어, 지불 메커니즘을 들 수 있다. 따라서, 본 논문에서는 사용자의 익명성을 보장하면서 인증을 하고 이와 함께 접근제어를 할 수 있는 효과적인 방법을 제안한다. 제안 기법은 핵심 프리미티브로 그룹서명 기법을 이용하며, 접근제어를 위한 익명자격증명서를 도입하고, 관련된 익명 인증 및 자격정보를 상호 결합한다. 정당한 사용자는 키 발급 절차를 통해 합법적으로 그룹 서명키를 얻은 후 자신의 자격에 대한 익명자격증명서를 발급받고, 이를 이용함으로써 익명 인증 및 접근제어를 제공하는 웹서비스를 안전하고 편리하게 사용할 수 있다. 익명자격증명서는 응용환경에 따라 유연하게 확장하여 사용할 수 있으며 익명자격증명서를 지불토큰으로 이용하여 익명 지불 기법에 활용할 수도 있다.

• 정보과학회 논문지
• /
• 제43권10호
• /
• pp.1094-1103
• /
• 2016

Physical Web과 Eddystone은 하나의 통합된 어플리케이션에서 URL을 통해 각각의 서버에서 서비스를 구현하는 방식으로 단 하나의 어플리케이션으로 작동할 수 있다. 하지만, 각 BLE 디바이스의 역할을 위해서는 BLE 디바이스에 맞는 어플리케이션이 따로 존재해야만 한다. 이를 극복하기 위해 BLE 디바이스 컨트롤 서버를 통해 각 제조사와 Beacon을 연동하고 통합된 어플리케이션을 지원하기 위한 새로운 플랫폼이 필요하다. 이는 Beacon의 서비스를 위한 Push(Broadcasting)와 관리를 위한 Pull(Connection)을 모두 담당하게 해야 되며, 특히 Pull과 같은 경우에는 권한을 통해서 관리가 가능해야 한다. 이를 위해 BLE 통신에서 새롭고 안전한 통신 프로토콜이 필요하다. 이에 본 논문은 Physical Web 및 Eddystone 기반의 BLE 디바이스 컨트롤 서버에서 보안이 적용된 기기 제어를 위한 BLE 통합 인증 시스템을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제12권3호
• /
• pp.19-26
• /
• 2007

최근 포털 시스템이 그리드환경의 사용자 인터페이스로 많이 이용되고 있다. 전통적인 포털 시스템은 아이디와 패스워드를 사용자 인증방식으로 사용하는 반면 그리드 시스템은 공개키와 개인키로 이루어진 대칭키를 기반으로 사용자 인증을 수행한다. 이와 관련하여 포털 시스템의 사용자 계정과 그리드 시스템의 대칭키를 중심으로 포털과 그리드시스템의 통합에 대한 많은 연구가 진행중이다. 특히 GAMA와 PURSE 처럼 아이디, 패스워드 방식에 익숙한 사용자의 편의성에 초점을 둔 연구가 활발하다. 그러나 그리드 환경은 네트워크를 통한 연결을 전제로 하기 때문에 공유되는 데이터와 자원의 보호가 중요하다. 따라서 본 논문에서는 UI 계층에서 대칭키를 사용하여 포털 시스템과 그리드 시스템의 인증 방식을 단일화함으로써 그리드의 사용자 환경에서도 보안 수준을 향상시키는 방안을 제안하고자 한다.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.757-767
• /
• 2016

패스워드 인증은 가장 대표적인 사용자 인증 기법이며 그 중에서 특히 문자 기반 패스워드가 가장 많이 사용되고 있다. 그러나 사용자들이 선택하는 패스워드가 갖는 취약성으로 인하여 사용자로 하여금 강한 패스워드 생성을 유도하기 위해 많은 웹사이트에서는 패스워드 강도를 측정하는 패스워드 미터를 제공하고 있다. 하지만 여기에는 패스워드 미터결과가 일관되지 않고, 정확하지 않은 강도로 피드백하는 문제가 있다. 이에 본 논문에서는 패스워드 미터의 문제점에 대해 알아보며 패스워드 미터의 개선 방향을 제시하고자 한다.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 1997년도 종합학술발표회논문집
• /
• pp.345-353
• /
• 1997

Password checking is the most popular user authentication method. The keystroke dynamics can be combined to result in a more secure system. We propose an autoassociator multilayer perceptron which is trained with the timing vectors of the owner's keystroke dynamics and then used to discriminate between the owner and an imposter. An imposter typing the correct password can be detected with a very high accuracy using the proposed approach. The approach can also be used over the internet such as World Wide Web when implemented using a Java applet.

• 인터넷정보학회논문지
• /
• 제16권1호
• /
• pp.21-28
• /
• 2015

최근 다양한 웹 서비스와 어플리케이션들이 사용자에게 제공되고 있다. 이러한 서비스들은 인증된 사용자에 한해서 서비스를 제공하기 때문에 사용자는 매번 서비스 별로 인증을 수행해야 하는 불편함을 겪고 있다. 이러한 불편함을 해결하기 위해 $3^{rd}$ Party 어플리케이션이 웹 서비스에 대하여 제한된 접근 권한을 얻을 수 있게 해주는 OAuth(Open Authorization) 프로토콜이 등장하게 되었다. 이러한 OAuth 프로토콜은 사용자에게 편리하고 유연한 서비스를 제공한다. 그러나 OAuth 2.0 프로토콜에서는 재전송 공격, 피싱 공격, 위장 공격 취약점이 발생할 수 있다. 그러므로 본 논문에서는 OAuth 2.0 프로토콜의 보안성 향상을 위하여 E-mail인증을 통해 Resource Owner를 인증 후 Access Token 발급을 할 수 있는 방법을 제안한다.

• 정보처리학회논문지C
• /
• 제12C권3호
• /
• pp.339-346
• /
• 2005

최근 그리드의 개발 초점은 자원에서 서비스로 이동되고 있다. 그리드 서비스는 잘 정의된 인터페이스들의 집합을 제공하고 특정 규약들을 준수하는 웹 서비스로 정의된다. SAML은 이질적인 개체들 간에 인증, 인가 그리고 프로파일 정보를 교환하는 것을 가능하게 하는 웹 서비스를 위한 XML기반의 단일인증 표준으로서 분산 환경에서 이질적인 보안 서비스들 간에 상호운용성을 제공한다. 본 논문에서 구현한 XML기반의 단일인증 구현을 위한 API는 기존의 단일인증 기술들을 통합할 수 있는 방법을 제시하는 SAML명세를 구현하여 비 XML기반의 인증기술들과의 상호운용성을 제공함으로써 웹 서비스 표준을 채택한 그리드 아키텍처에서 이질적인 서비스들의 접근 용이성을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1186-1189
• /
• 2010

스마트폰의 사용자 증가로 인한 스마트폰의 성장과 더불어 제 3 자 개발자들이 개발한 애플리케이션이 오픈 마켓에 등록되면서, 오픈 마켓의 시장 규모가 급속히 증가하고 있다. 하지만 제 3 자 개발자는 보안 관점에서 신뢰 할 수 없는 개체이며, 이들이 개발한 애플리케이션은 악의적 또는 개발자 실수에 의해 보안 문제를 일으킬 수 있다. 따라서 스마트폰과 같은 디바이스와, 앱스토어, 제 3 자 개발자 간에 인증이 요구되고 있다. 이를 위해 본 논문에서는 기존의 사설 인증 시스템에 인증서 소유 검증 모듈과 인증서 유효성 검증 모듈을 추가하고, 시스템의 확장성과 관리를 용이하게 만들기 위해 Web 기반의 사설 인증 시스템을 설계하고 구현한다.

• 한국통신학회논문지
• /
• 제42권2호
• /
• pp.349-357
• /
• 2017

많은 웹 사이트들이 사용자가 패스워드를 분실하거나 온라인 결제를 진행하는 등의 상황에서 SMS(Short Message Service) 기반의 사용자 인증을 채택하고 있다. SMS 기반 인증에서 인증 서버는 텍스트를 평문으로 전송하기 때문에 공격자가 그 텍스트를 도청하거나 가로채면 다른 사람(피해자)인 것처럼 인증을 받을 수 있다. 본 논문에서는 사용자가 스마트폰을 지금, 어느 위치에서 소유하고 있는지를 인증하는 챌린지-응답(challenge-response) 형태의 인증 방식을 제안한다. 제안 방식은 서버가 보낸 챌린지, 사용자의 현재 위치정보, 스마트폰에 저장된 비밀 값을 모두 사용하여 응답을 생성한다. 그 결과로, 단순히 사용자가 받은 SMS 메시지를 어떤 가공도 없이 그대로 서버로 되돌리는 SMS 기반 인증에 비해, 제안 방식은 훨씬 더 안전하다. 제안 방식은 기존 SMS 기반 인증의 텍스트에 해당하는 응답의 입력과 더불어, 인증 과정의 시작을 위해 추가로 패스프레이즈(passphrase)의 입력을 요구하나, 추가 입력의 부담은 향상되는 보안성을 고려할 때 대부분의 사용자들이 감내할 수 있는 수준이라 판단한다.