국립 선진 산업 과학 기술 연구소 (Yoshikawa Hiroyuki 회장) (이하 AIST "), 정보 보안 연구 센터 (Imai Hideki 회장) 및 Yahoo Japan Corporation (CEO) (이하"Yahoo! Japan "이라고 불리는 비밀번호)는 웹에 대한 공동의 연구에 적합한 비밀번호 Mutual Corportication Protolatications를 개발하는 데 적합한 비밀번호를 개발했습니다 2006 년 1 월부터 진행되었습니다
이 기술은 비밀번호와 개인 정보가 도난당한 피싱 사기로 알려진 방법에 대해 사기로 인한 피해를 방지하는 기본 솔루션입니다 이는 최근 몇 년 동안 인터넷 실시간 바카라 사이트의 안전에 대한 위협으로 사회적 문제가되었습니다Pake8227_8446Man-in-the-middle attack라는 기술도 다룹니다 손상을 방지합니다
지금까지 프로토콜 사양 설계를 완료 했으며이 기술을 구현하는 서버 모듈 및 브라우저 확장을 만들었습니다 우리는 Yahoo!에 대한 시연 실험을 수행 할 것입니다 시스템이 실제 운영을 견딜 수 있는지 확인하기 위해 2007 회계 연도 경매 프로토콜 사양은 미래에있을 것입니다RFC우리는 인터넷 초안을 개발 절차로 작성하고 앞으로는 웹에서 뮤추얼 비밀번호 인증을위한 기술 표준으로 설정하는 것을 목표로 오픈 소스 커뮤니티에 소스 코드를 제공 할 것입니다
또한,이 공동 연구는 또한 "Yahoo! 경매 안전 측정 연구소"라는 교육 내용을 제작했는데, 이는 피싱 사기를 피하기 위해 웹을 안전하게 실시간 바카라 사이트하는 방법을 설명하고 야후! 경매 웹 사이트
두 사람은 미래에 공동 연구를 계속하고 안전하고 안전한 IT 사회의 실현에 기여하는 것을 목표로 할 것입니다
 |
|
이전 결과 및 미래 개발 이미지
|
지난 몇 년 동안 피싱 사기로 알려진 방법을 실시간 바카라 사이트하여 개인 정보, 암호 등을 훔치려는 악의적 인 행동은 사회적 문제가되었습니다 피싱에 의해 희생되지 않도록, 실시간 바카라 사이트자가 개인 정보를 입력 할 때 브라우저의 주소 필드에 표시된 주소가 의도 된 사이트의 주소와 일치하는지 여부를 시각적으로 확인해야하지만, 경험이 풍부한 실시간 바카라 사이트자는 우연히 확인하기 위해 실수로 무시할 수 있으며, 가짜 사이트가 실제 선택을 통해 도메인 이름으로 설치하기가 어려웠으며, 이는 방문하기가 어려웠습니다
웹에서 실시간 바카라 사이트할 수있는 전통적인 인증 기술은 SSL 클라이언트 인증 방법이었습니다 클라이언트 인증을 실시간 바카라 사이트하면 암호가 서버로 전송되지 않으므로 피싱에 의해 암호를 도난하지 않지만이 방법을 실시간 바카라 사이트하면 디지털 인증서를 미리 미리 배포해야하며 높은 구현 비용과 유용성이 좋지 않으므로 공공 서비스가 소개되는 경우가 거의 없으며 현실은 널리 실시간 바카라 사이트되지 않습니다
반면, 최근 몇 년 동안 실시간 바카라 사이트자가 일회성 암호를 실시간 바카라 사이트하여 피싱 사기를 방지하는 방법을 실시간 바카라 사이트하는 방법은 인기를 얻지 못했지만 일회성 암호를 실시간 바카라 사이트하는 것은 중간의 공격을 실시간 바카라 사이트하는 피싱 기술에 약한 문제가 지적되었습니다 이 문제는 2006 년 7 월 일회성 암호를 실시간 바카라 사이트한 주요 미국 은행이 중간의 사람의 공격으로 인한 피해를 드러내고 기본 기술 솔루션이 필요했을 때 현실이되었습니다
AIST는 2005 년 4 월에 정보 보안 연구 센터를 설립했으며, 암호화 및 인증 기술에 대한 기본 연구를 수행하고 인터넷을 더 안전하게 실시간 바카라 사이트하기위한 실용적인 연구를 수행하고 있습니다 한편, 야후! 일본은 야후! 경매 2006 년 1 월, 두 사람은 피싱 사기를 예방하기위한 새로운 보안 기술을 개발하기 위해 공동 연구를 수행하기로 합의했으며, 이전에는 암호 기반 상호 인증 프로토콜을 웹에 적용하는 방법을 고려했습니다
이번에는 차세대 암호화 및 인증 기술에 대한 AIST의 지식을 웹 시스템에 적용함으로써 피싱 사기로 인해 암호와 신원 도용을 방지하는 새로운 인증 프로토콜을 제시하고 Yahoo! 대규모 사이트의 운영에 관한 일본의 노하우는 다양한 실시간 바카라 사이트 형식을 수용하도록 설계된 실용적인 프로토콜로 설계했으며 서버 모듈 및 브라우저 확장의 프로토 타입을 만들었습니다
1 Pake Method 채택
이번에 개발 된 프로토콜은 Pake (Password Authenticated Key Exchange) 중 하나 인 ISO/IEC 11770-4 프로토콜을 기반으로 설계되었습니다 Pake 방법을 채택함으로써 실시간 바카라 사이트자 별 암호를 실시간 바카라 사이트하여 상호 인증을 달성 할 수 있습니다 실시간 바카라 사이트자의 경우 친숙한 ID 및 비밀번호를 실시간 바카라 사이트하도록 설득력있는 실시간 바카라 사이트자없이 구현할 수있는 상호 인증 방법이며 서비스 제공 업체는 실시간 바카라 사이트자에게 새로운 부담을주지 않고 구현할 수 있습니다
이 방법에서는 실시간 바카라 사이트자가 입력 한 비밀번호가 임의의 숫자를 실시간 바카라 사이트하여 암호화 적으로 처리 된 정보로 서버로 전송되는 반면 서버 측은 이전에 실시간 바카라 사이트자의 암호로 등록 된 정보를 처리하고 실시간 바카라 사이트자의 컴퓨터로 반환합니다 두 가지 모두 암호화 방식으로 정보를 검증하여 서로의 암호가 올바른지 확인합니다 서버가 실시간 바카라 사이트자가 입력 한 비밀번호가 올바른지 확인하기 전과 동일하지만 실시간 바카라 사이트자는 서버가 이전에 비밀번호를 등록한 서버임을 확인합니다
2 Pake의 피싱 효과 방지
Pake 메소드를 실시간 바카라 사이트한 인증을 실시간 바카라 사이트하면 암호가 암호화 적으로 처리 된 정보로 전송되므로 실시간 바카라 사이트자가 실수로 가짜 사이트로 보내면 암호 자체가 도난 당하지 않습니다 또한 가짜 사이트로 보내면 가짜 사이트는 실시간 바카라 사이트자의 암호를 알지 못하므로 실시간 바카라 사이트자에게 올바른 정보를 반환 할 수 없으므로 성공적인 인증이 없습니다 따라서 실시간 바카라 사이트자가 올바른 암호를 제공하고 인증이 성공하지 못하면 서버는 가짜 사이트로 결정될 수 있습니다 (또는 더 정확하게는 이전에 비밀번호를 등록한 서버가 아닙니다)
최근 피싱 사기에서는 가짜 인증 처리를 수행하는 방법이 만연합니다 다시 말해, 가짜 사이트는 실시간 바카라 사이트자가 비밀번호를 입력하고 암호가 올바른지 여부에 관계없이 다음 화면을 표시하고 신용 카드 번호, 개인 정보 등을 입력하도록해야합니다 실시간 바카라 사이트자는 로그인 후 정보를 입력 한 환상을 얻을 수 있으며 가짜 사이트임을 인식하지 못할 수 있습니다 상호 인증 프로토콜의 포장 메소드가 여기에서 실시간 바카라 사이트되는 경우, 비밀번호를 입력하더라도 가짜 사이트에서는 인증이 성공하지 못하므로 그러한 환상을 방지 할 수 있습니다 이 속성은 피싱을 방지하는 데 적합하며, 기존의 SSL 클라이언트 인증조차도 달성되지 않았습니다
3 HTTP 액세스 인증과 퓨전
기존의 Pake 방법에서는 상호 인증 후에도 통신 데이터가 암호화되지만 웹에 적용 할 때는 Pake를 실시간 바카라 사이트하여 데이터를 암호화하지 않는 정책을 채택했습니다 이는 SSL을 실시간 바카라 사이트하는 HTTPS 프로토콜이 웹에서 암호화 된 통신의 표준이기 때문에 이미 실시간 바카라 사이트자가 널리 인식하고 있지만 새로운 암호화 방법을 추가하면 실시간 바카라 사이트자를 혼란스럽게하고 올바르게 실시간 바카라 사이트하기가 어려워지는 것으로 결정되었습니다 데이터 암호화가 필요하지 않은 경우 HTTP와 Pake를 조합하여 실시간 바카라 사이트하기로 결정했으며 암호화가 필요한 경우 HTTPS와 Pake를 실시간 바카라 사이트하여 조합하기로 결정했습니다
구체적으로, 그것은 HTTP 액세스 인증 (RFC 2617)의 자연스러운 확장으로 설계되었으며 기본 인증 및 소화 된 인증과 동일한 프레임 워크를 실시간 바카라 사이트하여 새로 개발 된 "상호"인증 이 설계에서, 우리는로드 밸런서 및 SSL 가속기와 같은 기존 기술과의 친화력을 고려하여 제안 된 기술이 원활하게 퍼지도록 노력했습니다
4 중대한 공격을 피하십시오
그러한 디자인의 경우, 중간 공격을 실시간 바카라 사이트하는 피싱 기술은 문제가됩니다 가짜 사이트가 실시간 바카라 사이트자와 통신을 실제 사이트로 전달하는 방법을 실시간 바카라 사이트하는 경우, Pake를 실시간 바카라 사이트한 상호 인증이 성공적이므로 실시간 바카라 사이트자가 사이트를 가짜 사이트임을 인식하지 않고 계속 실시간 바카라 사이트하면 통신 데이터를 가로 채거나 변조 할 위험이 있습니다 This threat cannot be prevented even when combined with HTTPS 따라서이 연구에서 우리는 Pake 프로토콜에서 암호를 암호화 적으로 처리 할 때 커뮤니케이션 파트너 인 서버의 도메인 이름을 실시간 바카라 사이트하여 처리되도록 개선 된 새로운 프로토콜을 개발했습니다 이를 통해 실시간 바카라 사이트자는 가짜 사이트가 실제 사이트로 전달되는 중간의 공격이 수행되는 경우에도 인증이 성공하지 못하고 실시간 바카라 사이트자는 가짜 사이트임을 알게 될 것입니다
5 실시간 바카라 사이트자 인터페이스 디자인
다이어그램은이 프로토콜을 구현하는 웹 브라우저의 상황을 보여줍니다 인증이 필요한 웹 사이트를 방문하면 브라우저 도구 모음 영역에 실시간 바카라 사이트자 이름과 비밀번호 입력 필드가 나타납니다 가짜 사이트가 가짜 입력 필드를 스푸핑하는 것을 방지하기 위해 툴바 영역에 비밀번호 입력 필드가 설정되었습니다 올바른 암호를 입력하고 버튼을 누르면 입력 필드가 표시된 부분이 녹색으로 표시되어 로그인 된 실시간 바카라 사이트자 이름으로 표시됩니다
실시간 바카라 사이트자의 실시간 바카라 사이트량은 다음과 같습니다 실시간 바카라 사이트자는 도구 모음 영역에서 암호를 입력해야합니다 결과적으로 페이지가 녹색으로 표시되면 실제 사이트 인 것으로 판단되며 녹색으로 바뀌지 않으면 암호의 실수이거나 가짜 사이트에 잘못 연결되어 있다고 결정됩니다
 |
|
이 기술을 구현하는 웹 브라우저
|
6 "Yahoo! 경매 안전 측정 연구소"
"야후! 경매 안전 조치 연구소"는 야후! AIST Information Security Research Center가 감독 한 실시간 바카라 사이트자를위한 교육용 컨텐츠로 일본 사이트 우리는 인터넷을 실시간 바카라 사이트할 때 안전 예방 조치에 대한 정보를 제공하고 특정 예를 포함하여 초보자에게 명확하고 이해하기 쉬운 예를 제공합니다 2007 년 3 월까지, 우리는 "경매 이체 사기", "허위 경매", "경매 사기 신분증 사기"및 "경매 사기 사례 사례"와 같은 주제에 대한 사례 연구를 발표했습니다
"야후! 경매 안전 측정 연구소":http : //specialauctionsyahoocojp/html/anzen/