earticle

논문검색

Identification and Authentication

다수의 제휴된 웹사이트들 간의 스마트폰을 이용한 안전한 통합 인증 기법

원문정보

A Secure Single Sign-On Scheme across Multiple Allied Websites using Smartphones

박준철

보안공학연구지원센터(JSE) 보안공학연구논문지 Vol.14 No.3 2017.06 pp.189-204
피인용수 : 0(자료제공 : 네이버학술정보)

초록

영어

Smartphones have rapidly become the most popular device for accessing Internet websites, which are still providing only the password-based authentication for their users. Most users are at risk of attack by using a single password across multiple sites. We propose a single sign-on scheme that requires a user to memorize only a passphrase in addition to a pair of ID and password for secure and privacy-preserving accesses to the allied websites by utilizing USIM smart card as a safe storage. Once being authenticated by the authentication server, a user can present a ticket issued by the server along with a proof of ticket’s owner to the websites to contact successively and be securely authenticated. In the scheme, consequently, a user does not need to type anything but the user’s passphrase once on opening a web browser to decrypt the encrypted secret on the user’s USIM while being authenticated by the websites visited in succession.

한국어

인터넷 웹사이트에 접속할 때 주로 사용하는 기기가 스마트폰으로 급격히 바뀌고 있지만, 웹사이 트들은 여전히 패스워드 기반의 인증 방식만을 지원한다. 대다수 사용자는 기억의 용이성을 이유로 여러 사이트들에 하나의 패스워드를 사용하면서 보안상의 위험에 노출되어 있다. 본 논문에서는 스마 트폰에 장착된 USIM 스마트카드를 안전한 저장 장치로 활용하여, 안전하고, 프라이버시가 보장되는 사용을 담보하면서도 다수 제휴 웹사이트들에 접근 시 오직 한 쌍의 ID와 패스워드 및 패스프레이즈 (passphrase)만을 기억하면 되는 통합 인증(single sign-on) 기법을 제안한다. 제안 기법에서는 인증 담 당 서버에게 사용자 인증을 받은 후, 발급받은 티켓과 티켓의 소유주 증명을 연속적으로 접속하는 웹 사이트들에 각각 제시함으로써 사용자가 안전하게 인증되도록 한다. 따라서 웹 브라우저를 열 때 한 번 패스프레이즈를 입력하여 USIM에 암호화된 채 저장된 정보를 복원하는 것 외에, 방문하는 웹사이 트들로부터 연속하여 인증을 받는 동안에 사용자는 어떤 입력도 추가로 할 필요가 없다.

목차

요약
 Abstract
 1. 서론
 2. 관련 연구
 3. 인증티켓을 이용하는 통합 인증 기법
  3.1 사용자 U가 웹사이트 Wo에 등록하면서 통합 인증 서비스를 신청
  3.2 사용자 U가 서버 ATGS에 통합 인증을 위한 인증티켓을 요청
  3.3 사용자 U가 제휴 웹사이트 W, Wi, Wj,… Wk에 인증티켓을 이용하여 통합 인증을 받음
  3.4 사용자 U가 스마트폰의 분실 및 도난 시 취하는 인증티켓의 폐기 요청을 포함한 조치
 4. 보안성 분석
  4.1 스마트폰의 분실 또는 도난 후 USIM 스마트카드에 저장된 비밀 값 획득을 통한 공격
  4.2 ATGS의 정보 유출 또는 ATGS에 의한 사용자로의 위장 공격
  4.3 ATGS 다운 또는 ATGS 에 대한 서비스 거부 공격으로 인증티켓 발급 불가
  4.4 웹사이트  Wo나 Wi의 정보 유출과 도청한 정보를 이용한 웹사이트로의 사용자 위장 공격
  4.5 ATGS가 웹사이트 Wx 사이의 통신 내용을 통해 사용자의 웹사이트 접속 기록들을 연결
 5. 결론
 References

키워드

저자정보

  • 박준철 Jun-Cheol Park. Dept. of Computer Engineering, Hongik University

참고문헌

자료제공 : 네이버학술정보

    ※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.

    0개의 논문이 장바구니에 담겼습니다.