Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Design of Military Information System User Authentication System Using FIDO 2.0-based Web Browser Secure Storage

FIDO 2.0 기반의 웹 브라우저 안전 저장소를 이용하는 군 정보체계 사용자 인증 시스템 설계 및 구현

  • Received : 2019.10.01
  • Accepted : 2019.10.28
  • Published : 2019.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, a number of military intranet infiltrations suspected of North Korea have been discovered. There was a problem that a vulnerability could occur due to the modification of user authentication data that can access existing military information systems. In this paper, we applied mutual verification technique and API (Application Programming Interface) forgery / forgery blocking and obfuscation to solve the authentication weakness in web browsers that comply with FIDO (Fast IDentity Online) standard. In addition, user convenience is improved by implementing No-Plugin that does not require separate program installation. Performance tests show that most browsers perform about 0.1ms based on the RSA key generation rate. In addition, it proved that it can be used for commercialization by showing performance of less than 0.1 second even in the digital signature verification speed of the server. The service is expected to be useful for improving military information system security as an alternative to browser authentication by building a web secure storage.

최근 북한 소행으로 의심되는 군 인트라넷 침투 정황이 다수 발견되고 있다. 기존의 군 정보체계에 접근할 수 있는 사용자 인증 데이터 변조가 가능하여 취약점이 발생할 수 있다는 문제점이 존재했다. 본 논문에서는 FIDO(Fast IDentity Online) 표준을 따르는 웹 브라우저에서 인증 취약점을 해결하기 위하여 상호 검증 기법과 API(Application Programming Interface) 위/변조 차단 및 난독화를 적용하였다. 또한 별도의 프로그램 설치를 요구하지 않는 No-Plugin을 구현함으로써 사용자의 편의성도 향상된다. 성능 테스트 결과 RSA 키 생성 속도 기준으로 대부분의 브라우저에서 약 0.1ms의 성능을 보인다. 또한 서버의 전자서명 검증 속도에서도 0.1초 이하의 성능을 보여 상용화에 사용할 수 있음을 검증하였다. 해당 서비스는 안전한 웹 저장소를 구축하여 브라우저 인증이라는 대체방안으로서 군 정보체계 보안 향상에 유용하게 사용될 것으로 예상한다.

Keywords

References

  1. 국방일보, 국방부, "국방망 해킹, 北해커조직 추정세력 소행", 2017.
  2. 중앙일보, "군 작전 정보체계도 바이러스 감염...핵심 군사기밀 북한에 유출됐는데도 여전히 허술한 군 보안", 2017.
  3. 김두한, "군보안상 해킹대응방안에 관한 연구", 융합보안논문지, 17.5호, pp.133-142, 2017.
  4. Halpin, Harry. "The W3C web cryptography API: motivation and overview." Proceedings of the 23rd International Conference on World Wide Web. ACM, 2014.
  5. M. Jemel and A. Serhrouchni, "Security assurance of local data stored by HTML5 web application," in 2014 10th International Conference on Information Assurance and Security, 2014.
  6. Hwa-Gun. Cho, and Hae-Sool. Yang, "FIDO 생체 기술과 안전영역을 연계한 공인인증서 효율화 방법," 디지털융복합연구, vol. 15, no. 8, pp. 183-193, Aug. 2017. https://doi.org/10.14400/JDC.2017.15.8.183
  7. Ryan Sleevi and Mark Watson. 2014. Web cryptography API.W3C candidaterecommendation, W3C, Dec(2014).
  8. Cairns, Kelsey, Harry Halpin, and Graham Steel. "Security analysis of the W3C web cryptography API." International Conference on Research in Security Standardisation. Springer, Cham, 2016.
  9. 우희철, 김용훈, 정석균. "미래 정보전에 대비한 육군전술지휘정보체계 (C4I) 정보보호대책 연구." 디지털융복합연구, 제10권, 제9호, pp. 1-13, 2012. https://doi.org/10.14400/JDPM.2012.10.9.001
  10. Datanet.co.kr, "PKI는 공인인증서가 아니다." 2016.
  11. B. Kaliski, "Public-Key Cryptography Standards (PKCS) #8: Private-Key Information Syntax Specification Version 1.2," RFC Editor, May 2008.
  12. B. Kaliski, "PKCS #7: Cryptographic Message Syntax Version 1.5," RFC Editor, Mar. 1998.
  13. M. Nystrom, S. Parkinson, A. Rusch, and M. Scott, "PKCS #12: Personal Information Exchange Syntax v1.1," RFC Editor, Jul. 2014.
  14. R. Housley, "Cryptographic Message Syntax," RFC Editor, Jun. 1999.
  15. R. Housley, "Cryptographic Message Syntax (CMS) Authenticated-Enveloped-Data Content Type," RFC Editor, Nov. 2007.
  16. B. Kaliski, "PKCS #5: Password-Based Cryptography Specification Version 2.0," RFC Editor, Sep. 2000.
  17. Kimak, Stefan, Jeremy Ellman, and Christopher Laing. "Some potential issues with the security of HTML5 indexedDB." (2014): 2-2.
  18. Kimak, Stefan, and Jeremy Ellman. "HTML5 IndexedDB Encryption: Prevention against Potential Attacks." International Journal of Intelligent Computing Research 6.4 (2015):621-630. https://doi.org/10.20533/ijicr.2042.4655.2015.0077