Confidentiality Service Scheme Extending the DAA on HTTP Environment

HTTP환경에서 DAA를 이용한 비밀성 보안서비스 지원 방안

  • Published : 1999.11.01

Abstract

IETF(Internet Engineering Task Force) RFC 2069 recommend to accept the DAA(Digest Access Authentication) scheme ill the HTTP 1.1(Hype. Text Transfer Protocol 1.1). When the client want to access the protected URI resources with Web Server, the BAA scheme is not considered to be a secure method of user authentication, as the user name and password are passed over the network as clear text. But, The DAA scheme is proposed to create a access authentication method which avoids the serious flaws of BAA(ie, passed over the network as clear text). The flaw of DAA is not supported the confidentiality services between client and server. This paper is proposed a confidentiality service scheme for HTTP environment, as an extension to DAA

IETF(Internet Engineering Task Force)의 RFC 2069에서는 HTTP 1.1에 DAA(Digest Access Authentication)방안 채택을 권고하고 있다. 클라이언트가 Web 서버내의 접근보호가 필요한 URI(Uniform Resource Identifier)자원에 접근하고자 할 경우, BAA(Basic Access Authentication)에서는 사용자 패스워드가 네트워크 상에 노출된 상태로 인증이 이루어지기 때문에 안전한 사용자 인증 방안이라고 할 수 없다. 반면에, DAA방안에서는 MAC(Message Authentication Code)를 사용하여 사용자 패스워드를 노출시키지 않고 인증이 이루어지기 때문에 BAA방안보다 안전한 인증 방법이다. 하지만, 이의 문제점은 Web서버와 클라이언트간에 교환되는 메시지에 비밀성 암호서비스를 지원하지 못하고 있다. 본 논문에서는 DAA를 확장하여 Web서버와 클라이언트간에 비밀성 보안서비스를 지원하는 방안을 제안하였다.

Keywords