정보화 사회가 도래하고 우편이나 통신 체계도 물리적인 공간에서 인터넷이라는 가상공간으로 점차 옮겨짐에 따라 일반인들의 전자우편에 관한 관심이 높아지고 있다. 대부분의 전자우편은 그 내용이 개방된 채로 이동하고 있어 중간에서 탈취, 변조되고 있으며, 중요한 내용들이 제 3자에게 노출되어 많은 피해자를 발생시키고 있다. 웹과 전자우편의 보안에 대한 연구는 이미 많은 부분에서 이루어져 왔으나 이러한 보안기술을 사용함에 있어 기존의 방식에서는 몇 가지 문제점이 발견되고 있다. 본 논문에서는 웹 기반 전자우편 환경에, 현재까지도 뛰어난 보안성을 가진 것으로 알려져 있는 PGP 기술을 접목해서 안전하고 편리하며, 이동성이 많은 사용자 환경에 적합한 웹 기반 전자우편 보안 시스템을 구현하였고, Java 언어를 이용한 애플릿-서블릿간 통신 방식을 사용하여 기존의 방식에서 발견되는 클라이언트-서버간 통신시의 보안 취약 문제점을 해결하였다.
정보화 사회가 도래하고 우편이나 통신 체계도 물리적인 공간에서 인터넷이라는 가상공간으로 점차 옮겨짐에 따라 일반인들의 전자우편에 관한 관심이 높아지고 있다. 대부분의 전자우편은 그 내용이 개방된 채로 이동하고 있어 중간에서 탈취, 변조되고 있으며, 중요한 내용들이 제 3자에게 노출되어 많은 피해자를 발생시키고 있다. 웹과 전자우편의 보안에 대한 연구는 이미 많은 부분에서 이루어져 왔으나 이러한 보안기술을 사용함에 있어 기존의 방식에서는 몇 가지 문제점이 발견되고 있다. 본 논문에서는 웹 기반 전자우편 환경에, 현재까지도 뛰어난 보안성을 가진 것으로 알려져 있는 PGP 기술을 접목해서 안전하고 편리하며, 이동성이 많은 사용자 환경에 적합한 웹 기반 전자우편 보안 시스템을 구현하였고, Java 언어를 이용한 애플릿-서블릿간 통신 방식을 사용하여 기존의 방식에서 발견되는 클라이언트-서버간 통신시의 보안 취약 문제점을 해결하였다.
There are several traditional factors of software quality. Some of them are such as correctness, reliability, efficiency, compatibility, portability, etc. In addition to them, security is required as another factor of software quality nowadays because some application programs are used as a way to a...
There are several traditional factors of software quality. Some of them are such as correctness, reliability, efficiency, compatibility, portability, etc. In addition to them, security is required as another factor of software quality nowadays because some application programs are used as a way to attack information systems by stack frame manipulation. Each processor has its own peculiar stack frame mechanism and C language uses the characteristics of them. This paper explains the concept of security problem caused by stack frame manipulation, and the stack frame mechanism of Pentium, Alpha and SP ARC processor in detail. And then it examines the effect of stack frame mechanism on the security of programs in C language.
There are several traditional factors of software quality. Some of them are such as correctness, reliability, efficiency, compatibility, portability, etc. In addition to them, security is required as another factor of software quality nowadays because some application programs are used as a way to attack information systems by stack frame manipulation. Each processor has its own peculiar stack frame mechanism and C language uses the characteristics of them. This paper explains the concept of security problem caused by stack frame manipulation, and the stack frame mechanism of Pentium, Alpha and SP ARC processor in detail. And then it examines the effect of stack frame mechanism on the security of programs in C language.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 웹 기반 환경에 전자우편 보안 서비스와 통합한 방식으로 운영되는 시스템을 구현하였다. 전자우편 내용의 기밀성과 무결성을 보장하기 위한 방법으로는 현재 전자우편 보안 분야에서 가장 활발히 사용되고 있는 PGP 기술을 채택하여 높은 보안성을 유지하였고, 웹 기반 전자우편 서비스 방식을 채택하기 위하여 기존의 WWW 보안 방법과는 다른 형태로 HTTP 암호 프로토콜을 제안하였다.
PGP가 설치된 서버에 접속해서 사용할 경우에는 클라이언트 프로그램을 설치할 필요는 없으나, 클라이언트-서버 간 통신에 있어서 PGP가 지원하는 기밀성을 보장받을 수가 없다. 본 연구에서는 PGP 우편 시스템의 이러한 단점을 개선하고자 하였다.
본 연구에서는 사용하기 쉽고 편리한 환경을 제공하는 웹 기반 전자우편 시스템에 PGP를 적용하여 보안성이 향샹되고 Java 언어를 이용한 애플릿-서블릿간 통신 방식을 사용하여 기존 전자 우편 보안 시스템이 가지고 있는 클라이언트와 서버간의 보안문제가 해결된 웹 기반 전자우편보안 시스템을 구현하였다.
두 개의 암호화 알고리즘은 메시지 원문을 암호화하는데 사용되는 IDEA 알고리즘과 IDEA 알고리즘에서 사용되는 키를 암호화하는데 사용되는 RSA 알고리즘이다. 여기에서는 IDEA 알고리즘에서 필요한 IDEA 키와 RSA 알고리즘에서 필요한 RSA 키 쌍(비밀키, 공개키)의 생성과 사용에 대해 언급하였다.
제안 방법
비밀키는 IDEA 암호 방식으로 암호화된 상태로 각 사용자의 User ID로 명 명된 디렉토리에 각기 보관되어 있어 만약 이 비밀키가 제 3자에게 유출이 된다 하더라도 passphrase를 알고 있는 사용자 외에는 사용이 불가능하다. 또한 공개키는 하나의 파일로 일괄적으로 기록되어 유지되도록 하여 새로운 공개키가 추가될 때마다 공개키 파일에 추가, 갱신되도록 하였다. 웹서버를 통해 정당한 사용자의 키 요청이 들어오면 키 서버는 역시 웹 서버를 통해 요청한 사용자의 클라이언트(애플릿)로 해당 키 쌍을 보내주게 된다.
객체 기반의 HTTP 통신에서는 요청하고 응답받는 데이터들을 일반 프리미티브 자료형(정수형, 문자형, 실수형, boolean형) 단위로 처리하는 것이 아니라 객체 단위로 처리한다. 이를 위해서는 Java 언어가 지원하는 I/O 클래스 중에 ObjectlnputStream 클래스와 ObjectOutputStream 클래스를 사용하였다.
전자우편 내용의 기밀성과 무결성을 보장하기 위한 방법으로는 현재 전자우편 보안 분야에서 가장 활발히 사용되고 있는 PGP 기술을 채택하여 높은 보안성을 유지하였고, 웹 기반 전자우편 서비스 방식을 채택하기 위하여 기존의 WWW 보안 방법과는 다른 형태로 HTTP 암호 프로토콜을 제안하였다.
압축을 함으로서 얻는 이점은 두 가지가 있다. 첫 번째로는 메시지를 압축함으로써 전체 메시지의 크기를 줄여 암 . 복호화 하는데 수행되는 시간과 전송하는데 걸리는 시간을 줄일 수 있다는 점이고, 두 번째로는 암호화 작업의 결과물에 대한 비도를 높일 수 있다는 점이다[2].
이는 키 서버에서 동작하는 서블릿과 웹 서버의 서블릿, 클라이언트에서 동작하는 애플릿이 서로 통신함으로써 이루어진다. 클라언트에서 시행되는 자바 애플릿을 사용함으로서 메일 서버와 클라이언트 간의 보안을 구현하였다.
키 생성시에 사용자는 생성할 키의 크기로 512-bit, 768-bit, 1024-bit 중에서 하나를 선택하도록 하였고, 자바에서 지원하는 자료구조의 가장 큰 정수 구조가 64-bit 크기의 long형이므로 사용자가 선택한 크기만큼의 정수를 연산에 사용하기 위해서 Biginteger 클래스를 사용하였다.
대상 데이터
개발된 웹 기반 전자우편 보안 시스템은 Intel Pentium MMX 166MHz, 128M 메모리의 PC상에서 Microsoft In-temet Explorer v55의 웹 브라우저를 사용하였으며, 개발도구는 JDK 1.2.2와 Java Web Server 2.0을 사용하였다.
이론/모형
클라이언트-서버간, 서버-서버간 통신은 객체 기반의 hTTP 통신을 기본으로 하였고, 그 중에서도 홈페이지에서 서블릿으로 데이터를 전송할 때는 POST 방식을 사용하였다. 클라이언트-서버간 통신을 구현하는 경우 소켓 프로그래밍을 사용하는 것이 보다 일반적이지만, 자바 애플릿 경우 샌드 박스에 의한 보안 방식으로 인하여 자유로운 데이터 통신이 불가능하였다[5, 9, 11].
성능/효과
일부 사용 웹 브라우저가 클라이언트 서버간의 보안을 구현하였으나 사용자가 웹 브라우저의 설정을 바꾸어야 하는 불편함이 있었다. 본 논문에서 구현된 시스템으로 전자우편 송수신을 할 경우 기존의 시스템들에서 나타나는 단점인 클라이언트-서버간의 보안 취약성과 외부 프로그램의 설치에 따른 번거로움, 범용적인 HTTP 전송 프로토콜과의 비호 환성을 모두 해결할 수 있었다. 또한 Java 언어로 구현되었기 때문에 높은 이식성을 갖고 있다.
복호화 하는데 수행되는 시간과 전송하는데 걸리는 시간을 줄일 수 있다는 점이고, 두 번째로는 암호화 작업의 결과물에 대한 비도를 높일 수 있다는 점이다[2]. 본 시스템에서는 GZIP 압축 형식을 사용함으로서 전체적으로 메시지의 크기를 50% 가량 줄이는 결과를 가져올 수 있었다.
후속연구
본 논문에서 제안된 시스템은 웹 기반 전자우편 서비스에서의 보안을 목적으로 하고는 있으나 전자 상거래에서 의지불 시스템과 같은 웹 기반 정보 제출 응용 시스템의 구현 시에도 SSL이나 S-HTTP같은 기존의 보안 프로토콜을 사용하는 것보다 훨씬 더 높은 융통성과 활용도를 보일 것으로 생각된다.
Hunter,J. and Crawford,W., JavaTM Servlet Programming. O'REILLY, 1999
Katagishi, K., Ebihara, Y., Toraichi, K., Sugiyama, T. and Tohru. 'A Public Key Cryptography-Based Security Enhanced Mail Gateway with the Mailing.' 1999 IEEE Pacific Rim Conference on Communications, 262-265, 1999
Morrison, M., et al. JavaTM UNLEASHED. Sams.net Publishing, 1996
R. Stinson, D., Cryptography : Theory and Practice. CRC Press, 1995
Schneier, B., Applied Cryptography : Protocols, Algorithms, and Source Code in C, John Wiley & Sons, Inc., 1994
Siyank, K. and Hare, C., Internet Firewalls and Network Security. New Riders,Publishing, 1995
Sol, S. and Berznieks, G., CGI/PERL : Web Scripts. M&T Books, 1997
Stallings, W, Network and Internetwork Security : Principles and Practice. Prentice Hall, 1995
※ AI-Helper는 부적절한 답변을 할 수 있습니다.