$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

웹 로컬스토리지 데이터 보안을 위한 연구
A Study on Data Security of Web Local Storage 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.17 no.3, 2016년, pp.55 - 66  

김지수 (CIST (Center for Information Security Technologies), Korea Univ. Anam Campus) ,  문종섭 (CIST (Center for Information Security Technologies), Korea Univ. Anam Campus)

초록
AI-Helper 아이콘AI-Helper

HTML5의 로컬스토리지는 HTML5에서 지원하는 웹 스토리지로, 디바이스에 파일 형태로 저장되어 온 오프라인 모두에서 호환 가능하고 영구 보관이 가능하다는 특징을 가진다. 그러나 로컬스토리지는 데이터를 평문상태로 저장하기 때문에, 파일에 대한 접근 및 수정이 가능하다. 또한 각 도메인에 대한 로컬스토리지를 파일명을 통해 분류하기 때문에, 파일명이 변조되거나 다른 디바이스로 유출되면 로컬스토리지 파일의 재사용이 가능하다는 문제점이 존재한다. 본 논문에서는 로컬스토리지 파일이 생성된 도메인 및 디바이스에 대한 무결성, 기밀성 보장을 위한 방법을 제안한다. 로컬스토리지에 저장되는 데이터를 암 복호화하여 보관하는 방법으로, 암호키는 서버에 보관되며 암호키를 요청하는 단계에서 로컬스토리지를 생성한 디바이스 및 도메인에 대한 인증이 이루어진다. 이를 통해 로컬스토리지의 도메인 및 디바이스간의 기밀성과 무결성을 보장한다. 최종적으로, 제안 방법에 따른 실험을 진행하여 본 논문에서 설명하는 로컬스토리지에 대한 비정상적인 접근에 대해 탐지하는 것을 보였다.

Abstract AI-Helper 아이콘AI-Helper

A local storage of HTML5 is a Web Storage, which is stored permanently on a local computer in the form of files. The contents of the storage can be easily accessed and modified because it is stored as plaintext. Moreover, because the internet browser classifies the local storages of each domain usin...

주제어

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 로컬스토리지 파일이 외부 공격자에 의해 탈취되었을 때, 외부 도메인에서 획득한 로컬스토리지 값의 확인 및 재사용이 불가능하게 하기 위한 방법을 제시한다. 값에 대한 확인 및 재사용이 불가능하게 함으로써 로컬스토리지의 생성원에 대한 무결성 및 데이터의 기밀성에 대해 보장한다.
  • 본 논문에서 설명하는 로컬스토리지 생성원에 대한 기밀성 및 무결성 검증을 위해, 실제 환경을 적용하여 외부 디바이스에서 로컬스토리지의 사용가능 여부를 검증해 보았다.
  • 본 논문에서는 디바이스 고유 값이 제안사항의 안정성에 가장 큰 영향을 미친다. 현재 PC에서는 본 논문에서 제안하는 요구사항에 만족하는 단일 값이 존재하지 않으므로, 검증 단계에서는 여러 디바이스 정보를 조합하여 사용하였다.
  • 본 논문에서는 로컬스토리지 파일이 외부 공격자에 의해 탈취되었을 때, 외부 도메인에서 획득한 로컬스토리지 값의 확인 및 재사용이 불가능하게 하기 위한 방법을 제시한다. 값에 대한 확인 및 재사용이 불가능하게 함으로써 로컬스토리지의 생성원에 대한 무결성 및 데이터의 기밀성에 대해 보장한다.
  • 본 논문에서는 로컬스토리지의 보안상 취약점을 보완하기 위해 데이터를 암호화하여 로컬스토리지에 보관하는 방식을 제안한다. 이 때 암·복호화 과정은 모두 브라우저 내부에서 이루어지며, 키의 입력 또한 사용자에 의한 입력이 아닌 브라우저 내부에서 서버에 요구하여 키를 받아온다.
  • 본 논문에서는 암·복호화 및 키 입력 등 모든 과정을 자동화하여 여러 공격자 모델에 대해 안전한 로컬스토리지 설계 기법을 제안한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
로컬 스토리지 설계시 특히 데이터 보안에 신경을 써야하는 이유는 무엇인가? 로컬스토리지는 저장되는 단계에서 입력된 데이터를 평문 그대로 로컬 디스크에 저장하며, 파일의 형태로 디스크에 저장되기 때문에, Cross-site Scripting(XSS)[4] 공격부터 물리적인 공격까지 다양한 악의적인 공격을 통해 파일의 내용을 열람하거나, 파일 자체를 네트워크를 통해 외부로 전송하는 것이 가능하다. 획득한 로컬스토리지 파일은 쉽게 수정이 가능하고, 값을 획득하였을 경우, 획득한 값을 이용하여 동일한 로컬스토리지를 생성하는 것 또한 가능하다. 또한 획득한 로컬스토리지 파일을 생성한 도메인이 아닌 다른 도메인에서 재사용이 가능하다. 따라서 로컬스토리지 설계 시 저장되는 데이터 보안에 대한 고려가 필요하다.
웹 스토리지는 무엇을 위해 고안되었는가? 웹 스토리지[2] 는 HTML5와 함께 등장하였다. 웹 스토리지는 기존의 쿠키[3]가 가진 적은 용량의 한계를 극복하고, 데이터의 직접적인 저장 및 참조를 위해 고안된 기법으로, 로컬스토리지와 세션 스토리지 두 종류가 존재 한다. 로컬스토리지는 데이터가 사용자의 로컬 디스크에 저장되어 유효기간 없이 보관되고, 세션스토리지는 세션이 종료되면서 사라지는 차이점을 제외하면 동일한 성질을 가진다.
HTML5의 로컬스토리지 특징은 무엇인가? HTML5의 로컬스토리지는 HTML5에서 지원하는 웹 스토리지로, 디바이스에 파일 형태로 저장되어 온 오프라인 모두에서 호환 가능하고 영구 보관이 가능하다는 특징을 가진다. 그러나 로컬스토리지는 데이터를 평문상태로 저장하기 때문에, 파일에 대한 접근 및 수정이 가능하다. 또한 각 도메인에 대한 로컬스토리지를 파일명을 통해 분류하기 때문에, 파일명이 변조되거나 다른 디바이스로 유출되면 로컬스토리지 파일의 재사용이 가능하다는 문제점이 존재한다. 본 논문에서는 로컬스토리지 파일이 생성된 도메인 및 디바이스에 대한 무결성, 기밀성 보장을 위한 방법을 제안한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (22)

  1. W3C, "HTML 5.1" September 2015. http://www.w3.org/TR/html51/ 

  2. W3C, "Web Storage (Second Edition)" June 2015, http://www.w3.org/TR/webstorage/ 

  3. W3C, "HTTP Specifications and Drafts" March 2002, http://www.w3.org/Protocols/Specs.html 

  4. OWASP, "Cross-site Scripting(XSS)" April 2014, https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) 

  5. J.S. Park, R. Sandhu, "Secure cookies on the Web." IEEE internet computing 4.4 (2000): 36. http://dx.doi.org/10.1109/4236.865085 

  6. M. Ter Louw, K.T. Ganesh, V. N. Venkatakrishnan, "AdJail: Practical Enforcement of Confidentiality and Integrity Policies on Web Advertisements." USENIX Security Symposium. 2010. http://static.usenix.org/event/sec10/tech/full_papers/TerLouw.pdf 

  7. J.P. Yang, K.H. Rhee, "The design and implementation of improved secure cookies based on certificate." Progress in Cryptology-INDOCRYPT 2002. Springer Berlin Heidelberg, 2002. 314-325. http://dx.doi.org/10.1007/3-540-36231-2_25 

  8. H. Wu, W. Chen, Z. Ren, "Securing cookies with a MAC address encrypted key ring." Networks Security Wireless Communications and Trusted Computing (NSWCTC), 2010 Second International Conference on. Vol. 2. IEEE, 2010. http://dx.doi.org/10.1109/nswctc.2010.151 

  9. M. Jemel, Mayssa, A. Serhrouchni, "Security assurance of local data stored by HTML5 web application." Information Assurance and Security (IAS), 2014 10th International Conference on. IEEE, 2014. http://dx.doi.org/10.1109/isias.2014.7064619 

  10. R. Zhao, C. Yue, "All your browser-saved passwords could belong to us: A security analysis and a cloud-based new design." in Proceedings of the Third ACM Conference on Data and Application Security and Privacy, ser. CODASPY,13. ACM, 2013, pp. 333-340. http://dx.doi.org/10.1145/2435349.2435397 

  11. H.W. Myeong, J.H. Paik, D.H. Lee, "Study on implementation of Secure HTML5 Local Storage" Journal of Korean Socieity for Internet Information, 2012, 4: 83-93. http://dx.doi.org/10.7472/jksii.2012.13.4.83 

  12. J Ruderman, "The Same Origin Policy" August 2001. http://www-archive.mozilla.org/projects/security/components/same-origin.html 

  13. W3C, "Same Origin Policy" January 2010. http://www.w3.org/Security/wiki/Same_Origin_Policy 

  14. MDN, "Same-origin policy" July 2015. https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy 

  15. OWASP, "Top 10 2013-A10-Unvalidated Redirects and Forwards" June 2013. https://www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards 

  16. J. Mott, "crypto-js" https://code.google.com/p/crypto-js/ 

  17. J. Daemen, V. Rijmen,"The design of Rijndael: AES-the advanced encryption standard" Springer Science & Business Media, 2013. 

  18. P. Gauravaram, et al. "Grostl-a SHA-3 candidate." Submission to NIST, 2008. http://drops.dagstuhl.de/opus/volltexte/2009/1955/ 

  19. A.B. MySQL, "MySQL." (2001). 

  20. J. Jong, "math.js" http://mathjs.org/index.html/ 

  21. T. Wu, "JSEncrypt" http://travistidwell.com/jsencrypt/ 

  22. M. Bellare, P. Rogaway, "The exact security of digital signatures-How to sign with RSA and Rabin." Advances in Cryptology-Eurocrypt'96. Springer Berlin Heidelberg, 1996. http://dx.doi.org/10.1007/3-540-68339-9_34 

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로