• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 2002년도 종합학술발표회논문집
• /
• pp.284-287
• /
• 2002

본 논문에서는 제안하는 AC(Attribute Certificate)를 이용하여 Web 상에서의 권한을 제어하는 방식은 기존의 아이디/패스워드 방식의 사용자 인증보다 좀더 안전하게 사용자에 대한 권한을 관리할 수 있다. 기존의 방식은 ACL(Access Control List)를 사용하여 권한 인증을 하기 때문에 서버의 자원을 낭비하게 된다. 본 논문에서 제한하는 방식은 Web상에서의 활동 시 AC를 이용하여 사용자를 인증하게 된다. 이러한 인증을 각 서비스 제공자 사이의 AC에 대한 양식을 공유하고 권한 정보를 공유함으로써 많은 서비스 제공자 사이의 DB 문제를 해결하고 제휴된 어느 서비스 제공자에게나 사용자가 자신의 AC를 제공하여 권한을 획득할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.918-919
• /
• 2012

Web Services have been used in a variety of applications and have become a key technology in developing business operations on the Web. However, despite the growing use of Web Services by large corporations, security is still a major concern that is slowing their deployment. In this paper, we give an overview of security vulnerabilities, review the existing solutions, and show their limitations.

• 디지털산업정보학회논문지
• /
• 제6권1호
• /
• pp.33-54
• /
• 2010

Providing a secure 3-tier Web application has become a high priority for companies as e-businesses have increased the amount and the sensitivity of corporate information that can be accessed through the web. Web applications become more difficult to secure with this very increase in online traffic and transactions. This paper first reviews the 3-tier of web application, types of attacks that can threaten web application services and security principles. We then are designing and implementing a secure web application with open source software that able to mitigate the web application vulnerable to attack.

• 한국정보통신학회논문지
• /
• 제20권8호
• /
• pp.1466-1477
• /
• 2016

공인인증서의 원리 기술인 공개키 기반 구조는 인터넷 환경에서 본인확인, 부인 방지, 문서의 위변조 방지 등의 기능을 제공하는 보안기술이다. 국내 정부기관 및 금융기관들은 인터넷 서비스의 보안 사고 방지를 위해 ActiveX를 이용한 PKI인증시스템을 사용하고 있다. 그러나 ActiveX와 같은 플러그인 기술은 보안에 취약할 뿐만 아니라 특정 브라우저에서만 사용가능하기 때문에 사용자에게 불편함을 초래한다. 이러한 문제점을 해결하기 위해 웹 표준(HTML5) 기반의 인증 기술 연구가 활발하게 진행되고 있다. 최근 국내은행에서 최초로 웹 표준 기반의 PKI인증 기술을 도입하였다. 하지만 채택된 방법은 웹 스토리지의 동일 출처 정책으로 인해 각 사이트마다 인증서를 등록해야 하는 불편함이 있다. 본 논문에서는 동일 출처 정책의 단점을 해결하면서 웹 표준을 준수하는 인증서 기반 통합 인증 프로토콜을 제안하고 안전성을 증명한다.

• Journal of Information Processing Systems
• /
• 제1권1호
• /
• pp.86-95
• /
• 2005

Location-based services or LBS refer to value-added service by processing information utilizing mobile user location. With the rapidly increasing wireless Internet subscribers and world LBS market, the various location based applications are introduced such as buddy finder, proximity and security services. As the killer application of the wireless Internet, the LBS have reconsidered technology about location determination technology, LBS middleware server for various application, and diverse contents processing technology. However, there are fears that this new wealth of personal location information will lead to new security risks, to the invasion of the privacy of people and organizations. This paper describes a novel security approach on open LBS service to validate certificate based on current LBS platform environment using XKMS (XML Key Management Specification) and SAML (Security Assertion Markup Language), XACML (extensible Access Control Markup Language) in XML security mechanism.

• 융합보안논문지
• /
• 제12권3호
• /
• pp.99-106
• /
• 2012

오늘날 대표적 웹 해킹 공격기법은 크로스사이트스크립팅(XSS)과 인젝션 취약점 공격, 악성 파일 실행, 불안전한 직접 객체 참조 등 이다. 웹해킹 보안시스템인 접근통제 솔루션은 웹 서비스로 접근하는 패킷을 통제하지 않고 내부로 유입시킨다. 때문에 만약 통과하는 패킷이 악의적으로 조작 되었을 경우에도 이 패킷이 정상 패킷으로 간주된다. 이때 방어시스템은 적절한 통제를 하지 못하게 된다. 따라서 성공적인 웹 서비스를 보증하기 위하여 웹 애플리케이션 취약점 진단시스템 개발이 실질적이며 절실히 요구되는 대안이다. 웹 애플리케이션 취약점 진단시스템 개발은 개발절차 정립, 웹 시스템 취약점 진단범위 설정, 웹 어플리케이션 분석, 보안 취약점 점검항목 선정의 단계가 진행 되어야 한다. 그리고 진단시스템에서 필요한 환경으로서 웹 시스템 사용도구, 프로그램언어, 인터페이스, 변수가 설정되어야 한다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.89-100
• /
• 2011

최근 웹 사이트를 통해 유포되는 웹 기반 악성코드가 심각한 보안이슈로 대두되고 있다. 기존 웹 페이지 크롤링(Crawling) 기반의 중앙 집중식 탐지기법은, 크롤링 수준을 웹 사이트의 하위링크까지 낮출 경우 탐지에 소요되는 비용(시간, 시스템)이 기하급수적으로 증가하는 문제를 가지고 있다. 본 논문에서는 웹 브라우저 이용자가 악성코드 은닉 스크립트가 포함된 웹 페이지에 접속할 경우 이를 동적으로 탐지하여 안전하게 브라우징 해줌으로써, 감염 피해를 예방할 수 있는 웹 브라우저 기반의 탐지도구들 제시하고, 이 도구를 적용한 분산된 웹 브라우저 이용자가 모두 악성코드 은닉 웹 페이지 탐지에 참여하고, 탐지결과를 피드백 함으로써, 웹 사이트의 하부 링크까지 분산적, 동적으로 탐지하고 대응할 수 있는 모델을 제안한다.

• 대한임베디드공학회논문지
• /
• 제12권4호
• /
• pp.259-266
• /
• 2017

GPS was developed for military purposes. As a result, it is used as a military important means such as guided weapons and strategy / tactics. However, GPS depends on the communication infrastructure and is affected by interference signals. In this paper, we propose a secure micro - web page - based smart map that can enhance security without relying on communication infrastructure on the battlefield. The proposed system consists of general smartphone, security QR, central server and smart map. Only use the network when downloading the security key and SmartMap before the task starts. During operation, the smartphone transmits and receives data using a secure QR. The security QR inserts the security code to prevent forgery and falsification and confirms whether the data is authentic by checking whether the smart phone is forged or not. As a result of implementation, we solved communication security problem of existing technology by using location based service without relying on communication infrastructure.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권4호
• /
• pp.1751-1767
• /
• 2016

Home security has become the prime concern for everyone in present scenario. In this work an attempt has been made to develop a home security system which is accessible, affordable and yet effective.The proposed system is based on 'Remote Embedded Control System' (RECS) which works both on the web and gsm platform for authentication and monitoring. This system is therefore cost effective as it relies on existing network infrastructure. As PCA is most popular and efficient algorithm for face recognition, it has been usedin this work. Next to it an interface has been developed for communication purpose in the embedded security system through the ZigBee module. Based on this embedded system, automated control of door movement has been implemented through electromagnetic door lock technology. This helps the users to monitor the real-time activities through web services/SMS. The web service consists of either web browser command or e-mail provision. The system establishes the communication between the system and authenticated user. The e-mail received by the system from the authorized person will monitor and control the real-time operation and door lock. The entire control system is reinforced using ARM1176JZF-S microcontroller and tested for actual use in the home environment. The result shows the experimental verification of the proposed system.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.93-103
• /
• 2019

최근 드라이브 바이 다운로드 공격 기반의 웹사이트를 통한 랜섬웨어 악성코드 유포로 인해 웹사이트 서비스 마비, 일반 이용자 PC 파일 손상 등의 피해가 발생하고 있다. 따라서 악성코드 경유지 및 유포지 사이트의 현황과 추이 파악을 통해 악성코드 유포의 공격 대상 웹사이트 업종, 유포 시간, 악용되는 어플리케이션 종류, 유포되는 악성 코드 유형에 대한 특성을 분석하는 것은 공격자의 공격활동을 예측하고 대응이 가능하다는 점에서 의미가 크다. 본 논문에서는 국내 343만개의 웹사이트를 대상으로 악성코드 유포여부를 점검하여 탐지된 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트별로 어떠한 특징들이 나타나는지를 도출하고, 이에 대한 대응방안을 고찰하고자 한다.