DOI QR코드

DOI QR Code

Delegated Provision of Personal Information and Storage of Provided Information on a Blockchain Ensuring Data Confidentiality

개인정보의 위임 제공 및 데이터 기밀성을 보장하는 블록체인에 제공 정보의 저장

  • Received : 2022.11.07
  • Accepted : 2022.11.28
  • Published : 2022.11.30

Abstract

Personal information leakage is very harmful as it can lead to additional attacks using leaked information as well as privacy invasion, and it is primarily caused by hacking server databases of institutions that collect and store personal information. We propose a scheme that allows a service-requesting user to authorize a secure delegated transfer of his personal information to the service provider via a reliable authority and enables only the two parties of the service to retrieve the provided information stored on a blockchain ensuring data confidentiality. It thus eliminates the necessity of storing customer information in the service provider's own database. As a result, the service provider can serve customers without requiring membership registration or storing personal information in the database, so that information leakage through the server database can be completely blocked. In addition, the scheme is free from the risk of information leakage and subsequent attacks through smartphones because it does not require a user's smartphone to store any authentication credential or personal information of its owner.

개인정보 유출은 프라이버시 침해뿐 아니라 유출 정보를 활용한 추가 공격으로 이어질 수 있어 매우 심각한 위협인데, 그 유출은 주로 개인정보를 수집하고 저장하는 기관의 서버 데이터베이스 해킹을 통해 발생한다. 본 논문에서는, 서비스 요청 고객이 자신의 개인정보를 신뢰성 있는 기관을 통해 서비스 제공자에게 안전하게 위임 제공하도록 하며, 데이터 기밀성을 보장하는 블록체인에 제공 내용을 저장하여 이를 해당 서비스의 두 당사자만이 조회할 수 있도록 하는 기법을 제안한다. 이를 통해 서비스 제공자가 자체 데이터베이스에 고객정보를 저장할 필요가 없어진다. 따라서 서비스 제공자가 고객의 회원가입이나 개인정보의 데이터베이스 내 보관 없이도 고객을 서비스할 수 있기에, 서버 데이터베이스를 통한 정보 유출을 전면적으로 차단할 수 있게 된다. 또한, 제안 기법은 고객 스마트폰에 소유자의 인증 비밀 값이나 개인정보의 저장을 요구하지 않기에, 스마트폰을 통한 정보 유출 및 그 정보를 이용한 후속 공격의 위험으로부터도 자유롭다.

Keywords

Acknowledgement

이 논문은 2021학년도 홍익대학교 학술연구진흥비에 의하여 지원되었음.

References

  1. P. Grubbs, T. Ristenpart, and V. Shmatikov, "Why your encrypted database is not secure," Proc. 16th workshop Hot Topics Operating Syst., pp. 162-168, May, 2017.
  2. M.-S. Lacharite, B. Minaud, and K. G. Paterson, "Improved reconstruction attacks on encrypted data using range query leakage," Proc. IEEE Symp. Security and Privacy, pp. 297-314, 2018.
  3. N. Singh and P. Tiwari,(2022). "SQL Injection Attacks, Detection Techniques on Web Application Databases," Rising Threats in Expert Applications and Solutions, Lecture Notes in Networks and Systems, Vol 434, PP.387-394, 2022.
  4. P. Grubbs, R. McPherson, M. Naveed, T. Ristenpart, and V. Shmatikov, "Breaking web applications built on top of encrypted data," Proc. ACM SIGSAC Conf. Comput. Commun. Security, pp. 1353-1364, Oct. 2016.
  5. F. B. Durak, T. M. DuBuisson, and D. Cash, "What else is revealed by order-preserving encryption?," Proc. ACM SIGSAC Conf. Comput. Commun. Security, pp. 1155-1166, Oct. 2016.
  6. Microsoft, "Always Encrypted (Database Engine)," http://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-database-engine?view=sql-server2017. (accessed Oct., 18, 2022).
  7. G. D. Samaraweera, J. M. Chang, "Security and Privacy Implications on Database Systems in Big Data Era: A Survey," IEEE Tr. on Knowledge and Data Engineering, Vol. 33, No. 1, pp. 239-258, Jan. 2021. https://doi.org/10.1109/TKDE.2019.2929794
  8. C. Priebe, K. Vaswani, and M. Costa, "EnclaveDB: A Secure Database using SGX," Proc. IEEE Symp. Security and Privacy, pp. 264-278, San Francisco, CA, USA, May, 2018.
  9. O. Avellaneda, A. Bachmann, A. Barbir, J. Brenan, P. Dingle, K. H. Duffy, E. Maler, D. Reed, and M. Sporny, "Decentralized Identity: Where Did It Come From and Where Is It Going?," IEEE Communications Standards Magazine, Vol. 3, No. 4, pp. 10-13, Dec. 2019.
  10. P. Markert, D. V. Bailey, M. Golla, M. Durmuth, A. J. Aviv, "This PIN Can Be Easily Guessed: Analyzing the Security of Smartphone Unlock PINs," Proc. IEEE Symp. Security and Privacy, pp. 286-303, San Francisco, CA, USA, May, 2020.
  11. S. Garg and N. Baliyan, "Comparative analysis of Android and iOS from security viewpoint," Computer Science Review, Vol. 40, pp. 1-13, May, 2021.
  12. J. F. Brown, S. Hossain, and L. Lancor, "Quad Swipe Pattern: A New Point-of-Entry Security Measure for Smartphone Users," IEEE Access, Vol. 9, pp. 160622-160634, Dec. 2021. https://doi.org/10.1109/ACCESS.2021.3132767
  13. S. F. Verkijika, "Understanding smartphone security behaviors : an extension of the protection motivation theory with anticipated regret," Computers & Security, Vol. 77, pp. 860-870, Aug. 2018. https://doi.org/10.1016/j.cose.2018.03.008