The proposal of improved secure cookies system based on public-key certificate

인증서 기반의 개선된 보안 쿠키의 설계와 구현

  • 양종필 (부경대학교 전자계산학과) ;
  • 이경현 (부경대학교 전자컴퓨터정보통신공학부)
  • Published : 2002.11.01

Abstract

The HTTP does not support continuity for browser-server interaction between successive visits or a user due to a stateless feature. Cookies were invented to maintain continuity and state on the Web. Because cookies are transmitted in plain and contain text-character strings encoding relevant information about the user, the attacker can easily copy and modify them for his undue profit. In this paper, we design a secure cookies scheme based on X.509 public key certificate for solving these security weakness of typical web cookies. Our secure cookies scheme provides not only mutual authentication between client and server but also confidentiality and integrity of user information. Additionally, we implement our secure cookies scheme and compare it to the performance with SSL(Secure Socket Layer) protocol that is widely used for security of HTTP environment.

웹 프로토콜인 HTTP은 이전 상태 정보를 저장하지 못하는 stateless 특성을 해결하기 위해서 쿠키(cookie)가 제안되었다. 그러나 쿠키는 평문 형태로 전송이 되며, 사용자 컴퓨터에 일반 텍스트 형태로 저장된다. 따라서, 공격자에게 쉽게 노출되어 쿠키 파일의 복사, 수정이 가능하여 보안적인 안전성에 심각한 위험이 존재한다. 본 논문에서는 이러한 쿠키의 보안 문제를 해결하기 위해서 공개키 인증서 기반의 새로운 보안 쿠키를 설계한 후 이를 구현하였다. 제안된 보안 쿠키는 사용자와 웹 서버간의 상호 인증 및 사용자 정보의 기밀성 및 무결성을 제공한다. 또한 웹 서버의 사용자 관리에 따른 부가적인 관리비용을 최소화시키기 위해 사용자 관리 정보를 보안 쿠키에 포함시킬 수 있다. 부가적으로 제안 방안의 성능 평가를 위해 기존의 HTTP 환경에서의 보안을 위해서 널리 사용되고 있는 SSL과의 수행 시간을 비교 분석하였다.

Keywords

References

  1. PERSISTENT CLIENT STATE
  2. Sun Microsystems, Inc.
  3. Sun Microsystems, Inc.
  4. IEEE Internet Computing v.4 Secure Cookies on the Web Joon S.Park;Ravi Sandhu
  5. Java Security, 2nd Edition Scott Oaks
  6. Information Security and Cryptology-ICISC 2001- Proceedings of the 4th International Conference, Seoul, Korea, Decomber 2001 Enhancing the securiy of cookies V.Khu smith ;C.J.Mitchell;K.Kim(ed.)