최근 모바일 클라우드 서비스가 증가하고 있으며, 특히 하나의 클라우드 컴퓨팅 서비스의 제약을 넘어 멀티 클라우드 방식에 관한 연구가 활발하게 진행되고 있다. 멀티 클라우드 환경에서 상호 협약된 서비스 제공자들 간의 추가적인 클라우드 서비스를 이용하기 위해 사용자는 다중 인증이 필요하다. 기존 연구에서 SSO를 이용한 방식은 SSO 서버를 통해 모든 인증이 이루어지기 때문에 악의적인 공격에 의해 SSO 서버의 서비스 불가 시 모든 클라우드 서비스 사용이 불가능하다. 또한 브로커를 이용한 방식에서는 사용자가 가입하지 않은 서비스 제공자에게 인증정보를 노출하게 되는 취약점이 존재한다. 본 논문에서는 추가 클라우드 사용 시 노출이 없는 생체인식을 이용한 안전한 사용자 인증 프로토콜을 제안한다. 제안하는 프로토콜은 멀티 클라우드 환경에서 각각의 클라우드에 인증을 위한 정보를 저장하지 않으며 한 번의 생체인증으로 여러 클라우드를 사용할 수 있다. 키의 안정성 측면에서 키 합의 과정과 키 공간 크기를 통해 안정성을 확보하였으며 중간자 공격, 재생 공격 등의 다양한 공격 방식에 대한 무력화를 통한 안전한 모바일 클라우드 서비스를 제공한다.
최근 모바일 클라우드 서비스가 증가하고 있으며, 특히 하나의 클라우드 컴퓨팅 서비스의 제약을 넘어 멀티 클라우드 방식에 관한 연구가 활발하게 진행되고 있다. 멀티 클라우드 환경에서 상호 협약된 서비스 제공자들 간의 추가적인 클라우드 서비스를 이용하기 위해 사용자는 다중 인증이 필요하다. 기존 연구에서 SSO를 이용한 방식은 SSO 서버를 통해 모든 인증이 이루어지기 때문에 악의적인 공격에 의해 SSO 서버의 서비스 불가 시 모든 클라우드 서비스 사용이 불가능하다. 또한 브로커를 이용한 방식에서는 사용자가 가입하지 않은 서비스 제공자에게 인증정보를 노출하게 되는 취약점이 존재한다. 본 논문에서는 추가 클라우드 사용 시 노출이 없는 생체인식을 이용한 안전한 사용자 인증 프로토콜을 제안한다. 제안하는 프로토콜은 멀티 클라우드 환경에서 각각의 클라우드에 인증을 위한 정보를 저장하지 않으며 한 번의 생체인증으로 여러 클라우드를 사용할 수 있다. 키의 안정성 측면에서 키 합의 과정과 키 공간 크기를 통해 안정성을 확보하였으며 중간자 공격, 재생 공격 등의 다양한 공격 방식에 대한 무력화를 통한 안전한 모바일 클라우드 서비스를 제공한다.
Recently, usage of mobile cloud services has been increasing. In particular, beyond the constraints of a single cloud computing service, studies on the multi-cloud have been actively pursued. A user must authenticate multiple cloud service providers to use additional cloud services in a multi-cloud....
Recently, usage of mobile cloud services has been increasing. In particular, beyond the constraints of a single cloud computing service, studies on the multi-cloud have been actively pursued. A user must authenticate multiple cloud service providers to use additional cloud services in a multi-cloud. In previous studies, an authentication method using single sign-on (SSO) was not available in all cloud services. Cloud services will not be available when the SSO server is not available due to malicious attacks, because all authentication is done via the SSO server. Additionally, using a broker, there is a vulnerability that can expose authentication information for the service provider to a user who did not sign up. In this paper, we propose a secure user authentication protocol using biometric authentication that does not expose user information when using additional cloud services. The proposed protocol can use a single biometric authentication for multi-cloud services without storing authentication information in each cloud service. In terms of key stability (to ensure stability through the key agreement process and the key area), by disabling various attack methods, such as man-in-the-middle attacks and replay attacks, we provide secure mobile cloud services.
Recently, usage of mobile cloud services has been increasing. In particular, beyond the constraints of a single cloud computing service, studies on the multi-cloud have been actively pursued. A user must authenticate multiple cloud service providers to use additional cloud services in a multi-cloud. In previous studies, an authentication method using single sign-on (SSO) was not available in all cloud services. Cloud services will not be available when the SSO server is not available due to malicious attacks, because all authentication is done via the SSO server. Additionally, using a broker, there is a vulnerability that can expose authentication information for the service provider to a user who did not sign up. In this paper, we propose a secure user authentication protocol using biometric authentication that does not expose user information when using additional cloud services. The proposed protocol can use a single biometric authentication for multi-cloud services without storing authentication information in each cloud service. In terms of key stability (to ensure stability through the key agreement process and the key area), by disabling various attack methods, such as man-in-the-middle attacks and replay attacks, we provide secure mobile cloud services.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 멀티 클라우드 환경에서 생체 인식을 사용하는 브로커 기반의 새로운 인증기법을 제안한다. 사용자는 자신이 정당한 사용자임을 증명하기 위해 생체인식을 이용해 인증하게 되며, 기존 클라우드 외에 추가로 사용하는 클라우드들에는 직접적인 인증정보 노출 없이 인증이 가능하도록 하며 사용자와 추가 클라우드의 인증 시 DHP(Diffie-Hellman Problem)[3]를 응용한 안전한 대칭키 합의를 함께 진행한다.
특히 모바일을 통해 이용하는 클라우드 서비스가 주목받고 있으며, 두 개 이상의 클라우드 서비스를 함께 이용하는 멀티 클라우드 기술에 관한 많은 연구가 진행되고 있다. 본 논문에서는 사용자가 모바일을 이용해 멀티 클라우드 컴퓨팅 서비스를 이용하고자 할 때 클라우드 간의 상호작용을 위한 생체인증을 이용한 사용자 인증 기법을 제안하였다. 제안하는 인증기법은 서비스 이용을 위한 사용자의 생체인증 한 번으로 다수의 클라우드를 이용할 수 있게 하였다.
가설 설정
가정사항으로 클라우드 서비스 제공자A(CSP_A)와클라우드 서비스 브로커(CSB) 그리고 클라우드 서비스 브로커와 클라우드 서비스 제공자B(CSP_B)는 각각 신뢰관계로 대칭 암호화 방식을 이용하기 위한 비밀키(대칭키)를 사전에 공유하고 있어 안전한 통신이 가능하다. CSP_A는 사전 가입과정을 통해 사용자(User)의 공개키와 상호 간의 대칭 암호화를 위한 비밀키를 확보하고 있으며, CSB는 사전 협약과정을 통해 CSP_B의 공개키를 보유하고 있다.
제안 방법
이러한 문제점을 해결하기 위해 하나의 인증정보를 이용하여 여러 클라우드 서비스를 이용할 수 있는 SSO(Single Sign-On) 기반의 방식, Broker(Cloud Service Broker) 기반의 방식 등이 제안되었다. SSO를 이용한 통합 인증 방식은 SSO 서버가 공격과 같은 문제가 발생하여 정상적으로 작동하지 못하면 그를 이용하는 모든 클라우드 서비스에 접근할 수 없는 문제를 가지고 있다.
제안하는 방법의 안전성을 확인하기 위하여 키의 안전성, Mutual Authentication, Man-in the-Middle Attack, Replay Attack, Message Forgery Attack, Snipping 등 다양한 공격 방법에 대해 안전성을 확인 하였으며, 분석된 결과는 다음 표와 같다.
이론/모형
FIDO(Fast IDentity Online)는 생체인식을 활용한 인증방식의 기술표준으로 FIDO 얼라이언스(FIDO Alliane)가 제정하였다. FIDO 얼라이언스는 삼성, 레노보 같은 단말기 제조사부터 칩을 제조하는 NXP, 퀄컴 그리고 OS 플랫폼 기업 마이크로소프트, 구글, 금융 서비스기업 알리바바, 페이팔, 비자 등 다양한 기업으로 회원사를 구성 되어있다.
대칭키 합의, 대칭키 갱신에서 대칭키 암호화 방식인 AES를 사용하며 키의 크기는 256bit이다. AES의 알고리즘은 현재까지 알려진 취약점이 존재하지 않으며, 키공간이 2256 으로 공격자가 키를 찾기 위해서는 2256 만큼의 연산이 필요하다.
모바일을 통해 이용하는 클라우드 환경에서 안전한 사용자 인증을 위해 생체인식의 인증을 수행하며 생체인 증은 FIDO의 UAF를 준용하였다. 특히 하나의 클라우드만을 이용하는 것이 아닌 다수의 클라우드를 함께 이용하는 멀티 클라우드 환경에서 사용할 수 있도록 구성 되었으며 통신에 참여하는 개체를 최소한으로 제한하여 인증 과정을 효율을 높일 수 있도록 하였다.
성능/효과
(4) FIDO 클라이언트는 FIDO 인증 요청 메시지에 포함된 정보로 지문 인증 장치를 호출하고, 사용자가 지문을 입력하여 사용자 인증에 성공하면, 지문 인증 장치는 등록 프로토콜을 통해 생성된 개인키를 이용해 전자서명을 생성한다. 전자서명을 생성하기 이전에 거래 정보를 출력하여 사용자로부터 거래 확인을 받는 절차가 추가될 수 있다.
(4) FIDO 클라이언트는 서버 인증정책에 부합하는 지문 인증 장치를 호출하고, 사용자가 지문을 입력하여 사용자 인증에 성공하면, 지문 인증 장치는 공개키 쌍을 생성한다.
후속연구
또한, 대칭키 합의, 대칭키 갱신 과정에서 통신에 참여하는 개체를 최소화하였으며, 사용자와 추가 서비스를 제공하는 제공자 간의 1:1로 그 작업을 수행함으로써 인증과정의 복잡함과 악의적인 공격자로부터 일어날 수 있는 다양한 문제를 사전에 방지할 수 있도록 설계하였다. 모바일을 이용하는 클라우드 서비스와 멀티 클라우드 서비스의 안전한 서비스를 기대하며 지속적인 연구가 필요할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
클라우드 라우드 컴퓨팅 서비스란 무엇인가?
클라우드 라우드 컴퓨팅 서비스는 인터넷 기술과 가 상화 기술에 기반을 둔 컴퓨팅 기술로서 IT 자원(프로세싱, 스토리지, 서버, 네트워크, SW 등)을 필요한 만큼 빌려 쓰고, 서비스 부하에 따라 실시간으로 확장할 수 있으며, 사용량에 따라 비용을 내는 컴퓨팅 서비스로 정의된다. 최근 모바일에서 클라우드 서비스를 이용하는 사례가 늘고 있으며, 특히 사용자가 하나의 클라우드 서비스 제공자와 계약을 맺고 이용할 때, 필요에 따라 다른 클라 우드 서비스 제공자로부터 추가적인 서비스를 제공 받을수 있는 멀티 클라우드 환경이 주목받고 있다[1].
클라우드 라우드 컴퓨팅 서비스에 안전한 인증정보의 연계와 개인정보의 보호가 필요한 이유는?
하지만 사용자는 추가적인 다른 클라우드 서비스 제공자에게서 서비스를 받을 때 자신과 계약하지 않은 서비스 제공자에게 직접 접속해야 하므로 안전한 인증정보의 연계와 개인정보의 보호가 필요하다. 그 이유는 여러 클라우드 서비스 제공자에게 개인정보를 제공하였을 때 악의적인 공격자로부터 개인정보가 탈취되어 악용되는 보안 위협이 발생할 가능성이 커지기 때문이다.
SSO를 이용한 통합 인증 방식의 문제는?
이러한 문제점을 해결하기 위해 하나의 인증정보를 이용하여 여러 클라우드 서비스를 이용할 수 있는 SSO(Single Sign-On) 기반의 방식, Broker(Cloud Service Broker) 기반의 방식 등이 제안되었다. SSO를 이용한 통합 인증 방식은 SSO 서버가 공격과 같은 문제가 발생하여 정상적으로 작동하지 못하면 그를 이용하는 모든 클라우드 서비스에 접근할 수 없는 문제를 가지고 있다. 한편 브로커 기반의 멀티 클라우드 모델에서는 클라우드 서비스 브로커가 각 클라우드 제공자 사이에서 중개와 인증을 담당하는 역할을 한다[2].
참고문헌 (12)
Mohammed A. AlZain,Eric Pardede, Ben Soh, James A. Thom, "Cloud Computing Security: From Single to Multi-clouds.", 2012 45th Hawaii International Conference on System Sciences. IEEE, pp. 5490-5499, Jan, 2012. DOI: http://dx.doi.org/10.1109/HICSS.2012.153
Jaekyung Lee, Junggab Son, Hunmin Kim, Heekuck Oh, "An Authentication Scheme for Providing to User Service Transparency in Multicloud Environment.", Journal of The Korea Institute of Information Security & Cryptology, vol. 23, no. 6, pp. 1131-1141, Dec, 2013. DOI: http://dx.doi.org/10.13089/JKIISC.2013.23.6.1131
Dan Boneh, "The decision diffie-hellman problem.", International Algorithmic Number Theory Symposium. Springer Berlin Heidelberg, vol. 1423, pp. 48-63, June, 1998. DOI: http://dx.doi.org/10.1007/bfb0054851
Yukyeong Wi, Jun Kwak, "OpenID based User Authentication Scheme for Multi-clouds Environment.", The Journal of Digital Policy&Management, vol. 11, no. 7, pp. 215-223, Jul, 2013.
Pratap Murukutla, K. C. Shet, "Single Sign on for Cloud.", 2012 International Conference on Computing Sciences. IEEE, pp. 176-179, Sept. 2012. DOI: http://dx.doi.org/10.1109/ICCS.2012.66
Wanpeng Li, Chris J. Mitchell, "Security issues in OAuth 2.0 SSO implementations.", International Conference on Information Security. Springer International Publishing, pp. 529-541, Oct. 2014. DOI: http://dx.doi.org/10.1007/978-3-319-13257-0_34
Alessandro Armando, Roberto Carbone, Luca Compagna, Jorge Cuellar, Llanos Tobarra, "Formal analysis of SAML 2.0 web browser single sign-on: breaking the SAML-based single sign-on for google apps.", Proceedings of the 6th ACM workshop on Formal methods in security engineering. ACM, pp. 1-10, Oct. 2008. DOI: http://dx.doi.org/10.1145/1456396.1456397
Eunhye Kim, "Cloud Service Brokerage.", Internet&Security Issue, pp. 27-32, Korea Internet&Security Agency, 2011.
Emiliano Casalicchio, Monica Palmirani, "A Cloud Service Broker with Legal-Rule Compliance Checking and Quality Assurance Capabilities.", Procedia Computer Science, vol. 68, pp. 136-150, Sept. 2015. DOI: http://dx.doi.org/10.1016/j.procs.2015.09.230
※ AI-Helper는 부적절한 답변을 할 수 있습니다.