• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권1호
• /
• pp.466-483
• /
• 2017

Zen Cart is an open-source online store management system. It is used all over the world because of its stability and safety. Today, Zen Cart's session security mechanism is mainly used to verify user agents and check IP addresses. However, the security in verifying the user agent is lower and checking the IP address can affect the user's experience. This paper, which is based on the idea of session protection as proposed by Ben Adida, takes advantage of the HTML5's sessionStorage property to store the shared keys that are used in HMAC-SHA256 encryption. Moreover, the request path, current timestamp, and parameter are encrypted by using HMAC-SHA256 in the client. The client then submits the result to the web server as per request. Finally, the web server recalculates the HMAC-SHA256 value to validate the request by comparing it with the submitted value. In this way, the Zen Cart's open-source system is reinforced. Owing to the security and integrity of the HMAC-SHA256 algorithm, it can effectively protect the session security. Analysis and experimental results show that this mechanism can effectively protect the session security of Zen Cart without affecting the original performance.

• 한국정보통신학회논문지
• /
• 제20권4호
• /
• pp.769-776
• /
• 2016

TELNET은 보안을 고려하지 않고 설계된 프로토콜이므로 네트워크 공격에 매우 취약하다. 이 문제를 해결하기 위한 방법으로 SSL/TLS와 SSH가 사용된다. 하지만 이 방법들은 추가적인 보안 프로토콜이 필요하고, 또한 기존의 TELNET과의 하위 호환성을 갖지 않는다. 본 논문에서는 내부적으로 보안 기능을 지원하여 기존의 TELNET과의 하위 호환성을 가지는 STELNET(Secured Telnet)을 제안하였다. STELNET은 옵션 협상을 통해 기존 TELNET과의 하위 호환성을 지원한다. STELNET에서 클라이언트는 ECDSA로 생성된 인증서와 전자서명으로 서버를 인증한다. 서버가 인증되면 두 호스트는 ECDH 알고리즘으로 세션 키를 생성하고, 이 세션 키를 사용하여 데이터를 AES로 암호화하며 SHA-256으로 HMAC을 생성한다. 이후 암호화된 데이터와 HMAC을 전송한다. 결과적으로 기존 TELNET과 하위 호환성을 가지는 STELNET은 중간자 공격을 방어하고 전송되는 데이터의 기밀성과 무결성을 보장하는 보안 기능을 지원한다.