The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Design and Analysis of a Secure Protocol for the P3P Standard

S-P3P: P3P 표준을 반영한 보안 프로토콜 설계 및 분석

  • 최현우 (성균관대학교 대학원 전기전자컴퓨터공학부) ;
  • 장현수 (성균관대학교 대학원 전기전자및컴퓨터공학과) ;
  • 고광선 (성균관대학교 대학원 이동통신공학과) ;
  • 김구수 (동양대학교 정보통신공학부) ;
  • 엄영익 (성균관대학교 정보통신공학부)
  • Published : 2007.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

P3P(Platform for Privacy Preference) that is used in the World Wide Web is a standard to define and negotiate policies about definition, transmission, collection, and maintenance of personal information. Current P3P standard provides methods that define client personal information protection policy and P3P policy associated with web server. It also provides a method that compares these two policies. The current P3P standard, however, does not handle detail functions for safe transmission of the personal information and data. Also, it does not handle problems that can be induced by the detail functions. In this paper, in order to solve these problems, we propose a Secure P3P(S-P3P) protocol, which is a security protocol for the current P3P standard, offers mutual authentication between the web server and the client, and guarantees integrity and confidentiality of the messages and data. Furthermore, a S-P3P protocol provides non-repudiation on transmission and reception of personal information that is transmitted from the client to the web server.

P3P는 웹 서비스 제공자와 사용자 사이에서 사용되는 개인정보의 정의, 전송, 수집, 그리고 유지 등에 대한 정책을 정의하고 협상하기 위한 표준이다. 현재까지 제시된 P3P 표준은 주로 사용자의 개인정보보호 정책과 웹 서버의 P3P 정책을 정의하고 두 정책을 비교하는 방법을 제공하고 있다. 그러나 사용자와 웹 서버 사이의 개인정보 및 데이터의 안전한 전송을 위한 세부 기능과 이 때 발생할 수 있는 문제점에 대해서는 명확하게 제시하고 있지 않다. 이러한 문제점을 해결하기 위해서, 본 논문에서는 Secure P3P(S-P3P) 프로토콜을 제안한다. 제안 프로토콜은 현재의 P3P 표준을 위한 보안 프로토콜로서 웹 서버와 사용자 간의 상호 인증 기능을 제공하고, 전송되는 메시지와 데이터의 무결성과 기밀성을 보장한다. 또한, S-P3P 프로토콜은 사용자로부터 웹 서버에 전송되는 개인정보의 송수신에 대한 부인방지 기능을 제공한다.

Keywords

References

  1. L. Aversano, G. Canfora, A. De Lucia, and P. Gallucci, 'Intergrating Document and Workflow Management Tools using XML and Web Technologies: A Case Study', Proc. of Sixth European Conference of Software Maintenance and Reengineering, pp.24-33, 2002 https://doi.org/10.1109/CSMR.2002.995787
  2. M. S. Ackerman, 'Privacy in pervasive environments: next generation labeling protocols', Personal and Ubiquitous Computing, Vol. 8, Issue 6, pp.430-439, 2004 https://doi.org/10.1007/s00779-004-0305-8
  3. L. Cranor, M. Langhinrich, and M. Marchiori, 'A P3P Preference Exchange Language 1.0 (APPEL1.0)', W3C Working Draft, 2001
  4. L. F. Cranor, 'P3P: making privacy policies more useful', Security & Privacy Magazine, IEEE, Vol. 1, Issue 6, pp.50-55, 2003 https://doi.org/10.1109/MSECP.2003.1253568
  5. Purpose of Platform for Privacy Preferences, http://en.wikipedia.org/wiki/P3P#Purpose
  6. M. Bennicke and P. Langendorfer, 'Towards automatic negotiation of privacy contracts for Internet services', Proc. of 11th IEEE Conference on Computer Networks, ICON2003, IEEE Society, pp.319-324, 2003 https://doi.org/10.1109/ICON.2003.1266210
  7. L. Cranor, L. Marc, M. Massimo, P. Martin, and R. Joseph, 'The Platform for Privacy Preferences 1.0 specification', http://www.w3.org/TR/P3P/, 2002
  8. L. Cranor, H. Giles, L. Marc, M. Massimo, P. Martin, R. Joseph, and S. Matthias, 'The Platform for Privacy Preferences 1.1 specification', http://www.w3.org/TR/P3P11/, 2006
  9. H. Hochheiser, 'The platform for privacy preference as a social protocol: An examination within the U.S. policy context', ACM Transactions on Internet Technology (TOIT), Vol. 2, Issue 4, pp.276-306, 2002 https://doi.org/10.1145/604596.604598
  10. W. Stallings, Cryptography and network Security? Principles and Practices (Fourth Edition)'. PEARSON Education
  11. A. O. Freier, P. Karlton and P. C. Kocher, 'The SSL Protocol Version 3.0', Netscape, http://wp.netscape.com/eng/ssl3/draft302.txt, 1996
  12. A. Elgohary, T. S. Sobh and M. Zaki, 'Design of an enhancement for SSL/TLS protocols', Computers & Security, Elsevier, Vol. 25, Issue 4, pp.297-306, 2006 https://doi.org/10.1016/j.cose.2006.02.007
  13. AT&T privacy bird, AT&T, http://www.privacybird.com, 2002
  14. Privacy in Internet Explorer 6, http://msdn.microsoft. com/workshop/security/privacy/overview/privacyie6.asp, MICROSOFT