TBP를 이용한 웹 기반 로그인 시스템의 설계 및 구현

Abstract

정보화 사회에서 사용자 인증 문제는 중요한 문제로 부각되고 있다. 현재 대부분의 웹사이트들은 패스워드 기반의 인증 시스템을 채택해 사용한다. 그러나 인터넷 상의 데이터나 시스템 가치가 높아짐에 따라, 최근 몇 년 동안 악의적 목적을 가진 공격자(unauthorized user)의 능력은 급속히 향상되었다. 사용자들이 일반적으로 사용하는 패스워드의 약한 안전성으로 인한 보안 사고는 매우 보편화되었고, 그 피해 또한 상당하다. 기존의 패스워드 기반 인증 방식의 문제점은 패스워드가 일반적으로 평문(Plaintext)의 형태로 제공되기 때문에 공격자에게 노출될 수 있는 위험성이 있으며, 패스워드 자체가 사용자 자신이 기억하기 쉬운 유형의 문자열이 선택되기 때문에 공격자에 의한 추측이 가능하다는 것이다. 본 논문에서는 이와 같은 문제점을 해결하기 위해서 TBP 알고리즘과 SHA-1을 이용해 웹 기반 로그인 시스템을 설계 및 구현하였다. 본 논문에서 제안한 TBP 알고리즘은 기존의 패스워드에 입력 시간(the duration of keystrokes) 정보를 이용해 패스워드를 보완하였다. TBP 알고리즘은 기존의 패스워드 문자열에 입력 시간을 연접하여 새로운 은닉 패스워드(Hidden Password)를 생성한다. 생성된 은닉 패스워드는 단방향 해쉬 함수인 SHA-1을 이용해 메시지 다이제스트(Message Digest)로 생성되며, 이를 서버로 전송(transmission)해 인증(authentication)에 사용된다. 본 논문에서 제안한 방법을 사용하면, 기존의 웹기반 로그인 시스템과 비교해 크게 세 가지 이점을 제공할 수 있다. 첫째, TBP 알고리즘을 이용해 생성된 은닉 패스워드는 기존의 패스워드에 시간 정보를 포함하고 있어 공격자(attacker)에 의한 패스워드의 추측을 어렵게 만들 수 있다. 둘째, 은닉 패스워드를 메시지 다이제스트로 전송하기 때문에 평문으로 인터넷 상에 노출되는 것을 보안할 수 있다. 셋째, 메시지 다이제스트 전송 시 클라이언트의 일부 세션 정보(session information)를 사용해 재전송 공격(replay attack)으로부터 메시지 다이제스트를 보호할 수 있다. ; The accurate user-authentication technology is being raised as one of the most important issues in this current society, which is, so called, information-oriented society. Most of the web sites adopt user-authentication system primarily based on password exchange. As the value of data or network system on Internet, however, increases, the ability of unauthorized users who have ill-intentioned proposes has advanced rapidly in recent years The security problems due to the weak nature of general password that most people use today occur very often and, moreover, the extent of damage are beyond our imagine. The contemporary password authentication system can be not only compromised by the unauthorized users because it is transmitted in plain text but also guessed by them easily because people create their own password from the words that is easy-to-remember for them. This research shows that how Web-based Login System using TBP and SHA-1 is designed and implemented to solve problems mentioned above. TBP algorithm proposed in this paper enhanced existing password system using the information of the duration of keystrokes. This newly proposed TBP algorithm concatenate the information of the duration of keystrokes to the password entered by a user to generate, in consequence, a new hidden password. The new hidden password can be generated into Message Digest using One-way hash function, SHA-1 and it is transmitted to server to be authenticated. The new method proposed in this paper has three new advantages compared with existing web-based login system. First, TBP algorithm can make it much more difficult to hack and steal the password because it contains time-based information as well as the password itself. Second, the hidden password is transmitted in the form of Message Digest in resulting preventing it from being exposed to anonymous attackers on-line. Third, the Message Digest can be protected from replay attack in the middle of transmission using some part of session information of client.