한국정보보호학회:학술대회논문집 (Proceedings of the Korea Institutes of Information Security and Cryptology Conference) (Proceedings of the Korea Institutes of Information Security and Cryptology Conference)
한국정보보호학회 (Korea Institute of Information Security and Cryptology)
- 반년간
과학기술표준분류
- 정보/통신 > 정보보호
한국정보보호학회 2003년도 동계학술대회
-
본 논문에서는 자바 카드 운영체제 개발 시 실시간으로 소스 코드를 디버깅할 수 있는 방법을 제안하고, 제안한 방법을 이용하여 자바 카드 운영체제 개발 시 실시간으로 소스코드 디버깅을 수행하는 과정을 실험결과를 통해 제시하고자 한다. 논문에서 제안하는 디버깅 기능은 디버깅을 위한 클래스 및 디버깅 메소드, native 인터페이스를 통해 연결될 디버깅 함수를 자바 카드 운영체제에 구현하여 개발자가 운영체제 개발을 수행하면서 실시간으로 운영체제상의 소스코드를 원하는 형태로 디버깅할 수 있는 편리한 개발 환경을 제공해 준다. 또한, 개발자 관점의 실시간 소스코드 디버깅 기능을 지원함으로써 자바 카드 운영체제 및 응용 프로그램의 개발을 가속화시키는 부가적인 효과를 얻을 수 있다.
-
웹 서비스는 기존 분산 처리기술과 인터넷 기술에 기반한 기술이며, 이기종 시스템간의 데이터를 자연스럽게 공유하고 통신하는 것을 목적으로 등장한 기술이다. 또한 웹서비스 기술로 구현된 프로그램은 필요한 곳에서 proxy object를 생성해서 사용할 수 있으므로, 다른 개발 환경에서 작성된 프로그램이라도 호출해서 사용할 수 있게 되었다. 본 논문에서는 프로그램을 공유하는 과정에서 발생할 수 있는 보안 요구사항을 도출해보고 보안을 위해 XML Signature와 XML Encryption을 적용한 안전한 프로그램 공유 시스템을 제시해 본다.
-
오늘날 많은 웹 페이지들이 제한적인 정보의 제공에서 벗어나 ActiveX Control이나 Java Applet과 같은 응용프로그램을 사용자 컴퓨터에 다운로드 하게 하여 다양한 서비스를 제공하고 있다. 이러한 과정에서 인터넷을 통해 다운로드 되는 소프트웨어에 대한 무결성과 배포자에 대한 신원 확인을 해주는 코드 서명 기술이 필요하게 되었다. 본 논문에서는 Microsoft사의 Authenticode와 Netscape의 Object Signing기술에 대하여 분석하고 이러한 코드 서명 기술을 국내 공개키 기반구조(PKI)에 적용하기 위한 인증서 프로파일을 제안한다.
-
인터넷 및 보안기술의 발달과 더불어 정보시스템에 대한 침해사고도 기하급수적으로 늘어나고 있으며, 공격기술 또한 정밀화, 분산화, 대규모화되어 가고 있다. 그러나 현재 광범위하게 사용되고 있는 침입탐지 시스템들은 그러한 인터넷상의 공격들에 대한 적절한 분석이나 효율적인 대응책은 제공해 주지 못하고, 대량의 침입탐지 정보를 생성시켜 관리자의 부담을 가중시킨다. 본 논문에서는 침입탐지 시스템이 생성하는 다수의 침입탐지 정보를 분석하고 가공하여 적시적이고 효율적인 대응에 필요한 고 수준의 정보를 생성해 내고, 나아가서는 DDoS 같은 대규모의 공격까지도 조기에 탐지해 낼 수 있는 능력을 갖춘 침입탐지 정보 연관성 분석 시스템을 제안하고 제안된 시스템의 성능 평가를 실시한다.
-
오류분석 공격은 암호시스템에 오류를 주입한 후 그 출력 결과를 분석하여 비밀키를 찾아내는 물리적 공격 방법으로서 RSA, ECC를 포함한 공개 키 시스템을 비롯하여 DES, AES와 같은 대칭 키 암호시스템에도 공격이 시도되고 있다. 본 논문에서는 기존 DES 공격에 사용된 오류 주입의 가정만 있으면 국내 표준 블록 암호 알고리듬인 SEED 역시 오류 주입 공격이 가능함을 증명한다. 또한, 오류 주입 공격에 의해 SEED의 라운드 키 두개만 공격되면 원 암호 키가 모두 노출될 수 있음을 검증한다.
-
정보통신기술의 발달로 인터넷상의 PKC를 사용한 전자거래가 활성화되었다. 이에 따라 실질적으로 Web Server나 Database Server에 접속하기 위한 접근통제의 방안으로 속성인증서에 대한 연구도 활발히 진행되고 있다. 그러나 현재 제안되고 있는 CRL(Certificate Revocation List) 및 OCSP를 이용한 공개키인증서 검증방법은 속성인증서의 인증상태확인과 적용시킬 수 없다. 따라서 본 논문에서는 기존의 공개키인증서 검증방법인 OCSP 방법에 속성인증서 검증방법을 포함시킴으로서, 공개키인증서와 속성인증서간의 동기문제를 해결하고자 한다.
-
정보통신 인프라의 발달과 인터넷을 통한 멀티미디어 서비스 및 대용량 데이터의 처리 증가는 조직의 네트워크 환경의 고속화를 가져왔다. 이러한 네트워크 환경의 변화는 조직으로 유입되는 비정상적인 행위/사건을 감시하는 네트워크 기반 침입탐지시스템(Network-based intrusion detection system, NIDS)의 필요조건의 변화를 동반한다. 즉, 기존 NIDS 연구는 비정상적인 행위/사건의 정확한 판단과 이에 대한 대응기술에 초점이 맞추어졌으나, 최근에는 이와 더불어 고속 네트워크 환경에서의 NIDS 성능저하를 최소화하기 위한 가용성 화보 기술에 대해 연구가 활발히 진행되고 있다. 따라서 본 논문에서는 고속 네트워크 환경에서 NIDS의 정상적인 운영을 위해 성능에 절대적인 영향을 미치는 요소를 결정하고, 각 요소별 효율적인 설계 원리를 제시한다.
-
본 논문에서는 Mobile IPv6 환경에서 보안성이 있는 인증 메커니즘을 제안한다. Internet draft에서 제안하고 있는 RR 방식의 BU 인증 메커니즘은 MN-CN, HA-CN간 두 경로 모두에 공격자가 접근하지 못한다는 전제로 인해 BU 인증을 위한 공유키 생성시 취약성을 내포하여 만약 공격자가 두 경로 모두에 접근 가능할 경우 노드간 통신하는 전 단계에 걸쳐 수동적, 능동적 공격에 노출되게 된다. 제안한 BU 인증 메커니즘은 최초 안전한 BU 인증을 위한 공유키를 생성 후 차후 이어지는 BU 인증은 이러한 안전성을 바탕으로 신속한 인증이 이루어지는 2단계의 인증 메커니즘을 제안함으로써 공유키의 노출을 최소화하여 보다 높은 수준의 보안을 제공하였다.
-
현 시대는 유형적인 물질 보다 무형적인 정보의 가치가 중요시되고 있다. 특히 소프트웨어의 불법 복제는 정보화 시대의 가장 큰 역기능으로 작용할 뿐 아니라 국가 신용도를 평가하는 중요한 항목으로 자리 매김하고 있다. 그러나 기존의 상용화된 소프트웨어 불법복제 방지 제품들은 복제방지 기술이 미약하여 쉽게 락이 크랙 되어 복제방지의 기능을 발휘 할 수 없는 것들이 대부분을 차지하고 있다. 본 논문에서 제안하는 복제방지 전용 칩을 사용하여 하나의 락으로 여러 소프트웨어를 동시에 보호하는 기능뿐만 아니라 IBM PC 호환기종의 USB 인터페이스를 가지는 정보 보안 모듈의 설계한다.
-
기 상용화되고 있는 소프트웨어/하드웨어 제품의 복제방지에 대한 강도가 부족하여 쉽게 락이 크랙될 뿐 아니라 복제방지의 기능을 수행할 수 없는 단점을 보안하여 본 논문은 세계적으로 가장 많이 사용하고 있는 암호알고리즘 중의 하나인 DES를 구조적으로 수정하고 키 길이를 확장하여 암호학적 강도를 개선한 E-DES(Extended DES)를 설계하고, 이를 하드웨어로 구현하기 위해서 시스템 설계 기술언어인 VHDL로 코딩하고, FPGA를 이용, test chip을 구현하여 성능테스트를 수행한 다음, 설계된 FPGA 칩을 ASIC으로 제작하여 강력한 암호알고리즘을 가진 보안칩을 설계한다.
-
XML(extensible Markup Language)는 웹상에서 문서를 표현하고 교환하기 위한 표준으로 자리 잡았다. XML 문서는 자체적으로 민감성의 등급이 다른 정보를 포함할 수 있는 구조를 가지고 있으므로 XML 문서에 대한 특정 사용자 그룹의 선택적인 접근 및 공유를 위한 방법이 반드시 필요하다. 이를 위해서는 XML문서에 대한 접근제어 정책을 규정하고 수행하기 위한 방법과 메커니즘이 요구된다. 또한, XML 문서에 사용되는 접근제어 메커니즘은 사용자가 소유하고 있는 권한부여 정보에 의존하여 문서의 안전하고 선택적인 배포가 가능해야 한다. 본 논문에서는 XML 문서의 안전하고 선택적인 접근문제를 해결하기 위하여 RBAC를 응용한 메커니즘을 제안한다.
-
업무 편의성 요구 증가와 웹 서비스의 발전으로 웹 기반 원격근무 업무 시스템이 증가하고 있는 반면, 웹 취약점의 확산과 개방형 환경으로 인해 잠재적 위협이 증가되고 있다. 이러한 위협에 적절히 대응하기 위해서는 개발 단계 전반에서 보안 요소를 고려하여 안전한 업무 시스템을 구축해야 한다. 이를 위해 본 논문에서는 업무 시스템이 요구하는 보안 수준에 부합하는 보안 목표를 설정하고, 요구 보안 수준을 충족할 수 있도록 전체 개발 프로세스 상의 보안 관리 활동을 정의한다. 또한, 신원 인증 및 접근제어, 세션 관리, 이벤트 로깅, 데이터 검증, 알려진 취약점 대응, 그리고 프라이버시 보호와 같은 보안 요소들을 분석하여 시스템의 안전한 구축 방법을 제시한다.
-
전자 상거래의 발달로 인해 전자 화폐의 개발 및 연구는 현재 활발하게 진행되어지고 있다. 전자화폐는 고액과 소액의 금액 단위 및 보안 요구 사항으로 위조 방지, 익명성, 분할성, 이중사용 방지 등의 다양한 요구를 만족 시켜야 한다. 이에 본 논문에서는 해쉬체인을 이용한 소액의 은행 전용의 전자화폐에 관하여 연구하였다. 보안 요구 사항으로는 분할성, 위조 방지, 이중사용 방지를 제공해 주고 있다. 기존의 해쉬 체인의 경우 사용자가 발행하여 은행으로부터 정당성을 증명하는 경우가 대부분이나 본 논문에서는 은행이 사용자의 요청으로 인해 해쉬체인을 생성하여 제공한다. 이로 인해 인출 프로토콜의 통신횟수가 줄어들었다.
-
인터넷 상에서의 대부분의 네트워크 공격은 공격의 목표가 되는 시스템에 단일 패킷만을 보냄으로써 공격이 이뤄질 수 없다. 그렇기 때문에 침입탐지시스템에서는 내부 네트워크로 들어오고 나가는 패킷들에 대한 일련의 순차성을 알아냄으로써 네트워크 공격을 탐지할 수 있다. 본 연구에서는 이러한 네트워크 패킷의 순차성을 이용하여 비정상행위에 대한 침입탐지 방법을 제안하였으며 또한 일부 비정상행위 탐지에서 사용하고 있는 시간을 기준으로 한 트랜잭션의 분할에서 오는 단점을 지적하고 그것을 보완하기 위하여 탐지 단위로서 사용자의 세션을 사용하였다. TCP/IP 네트워크에서의 사용자 세션 정보를 표현하기 위해서 여러 가지 정보가 사용자 행위 테이블로 표현되며 이러한 사용자 행위 테이블은 서비스 포트 별로 통계적인 정리가 가능하다. 또한 이렇게 정리된 서비스 포트별 정보에서는 확률을 기반으로 한 비정상 행위를 도출할 수 있으며, 이러한 비정상 행위도를 이용하여 침입 판단의 근거자료로 삼을 수 있음을 확인하였다.
-
웹 서비스는 XML 기술을 기반으로 분산 컴퓨팅을 가능하게 함으로써, 웹을 통한 시스템 통합이 용이하고, CORBA, Java RMI, DCOM등과 같은 기존의 분산 컴퓨팅 모델을 대체 할 수 있는 새로운 대안으로 주목받고 있다. 현재 웹 서비스 활성화에 있어 최대의 당면 과제는 보안 문제이며, 인터넷을 이용해서 이동하고 있는 많은 양의 데이터를 안전하게 지킬 수 있는 방법에 주로 초점이 맞추어져 있으나, 이러한 데이터의 안전한 교환 이외에도 웹 서비스 제공자와 이용자의 상호 인증 및 사용자에 대한 접근 제어 방안 또한 보안상 중요한 사항이다. 본 논문에서는 웹 서비스 환경에서 클라이언트에 대해 효과적으로 권한 기반 접근 제어를 수행하기 위한 시스템을 설계 및 구현하였다.
-
네트워크에서 보안 기능을 전개하는데 있어 정책 기반 전개 방법이 널리 사용되고 있다. 본 논문에서는 정책 기반 보안 기능 전개에 있어 정책을 설정하고 검증하기 위한 프레임을 제시한다 정책 기반 기능 전개에 있어 중요하고도 어려운 문제는 설정한 정책의 정확성(correctness)과 완전성(completeness)을 검증하는 것이지만 이에 관한 기존의 방법은 주로 경험이나 혹은 감시에 의한 끊임없는 정책 갱신이다. 본 연구에서는 기존의 제안된 여러 보안 모델들을 검토해보고 이 모델들로부터 공통적으로 적용할 수 있는 정책의 정확성과 완전성을 위한 제어 프레임을 설계한다.
-
본 논문에서는 Internet Service Provider(이하 ISP)의 네트워크에 위험이 발생할 경우 위험의 출현으로 인한 ISP의 자산손실을 추정하는 방법을 제안한다. ISP의 네트워크를 구성하는 자산들의 가치를 서비스 측면에서 분석하고, 개별 자산이 생산하는 서비스 가치를 근사할 수 있는 방법론을 제시함으로써 네트워크의 장애로 인한 손실액을 추정 가능함을 보인다. 또한, 네트워크의 부하 분산, 우회 경로 및 백업 시스템 등 서비스 연속성을 확보를 위한 잉여 설계가 있을 경우, 자산가치 특성함수를 사용한 손실액 추정모델을 제안한다.
-
본 논문에서는 IP Fragment 패킷을 이용한 공격에 대해서 소개하고, 현재 사용되고 있는 패킷필터링 방법의 문제점을 극복하기 위한 동적인 패킷필터링 기법을 제안하고 있다. 기존 패킷필터링 방법이 IP 주소 또는 프로토콜 기반의 정적인 규칙에 의한 필터링 방법을 이용하는 반면, 본 논문에서 제안하는 방법은 IP Fragment 패킷에 대해서 단위 시간당 데이터 양으로 표현되는 트래픽에 기반한 패킷필터링 규칙이 동적으로 생성되도록 한다. 이렇게 동적으로 생성된 규칙은 이후 이상 트래픽이 발생되면 자동으로 차단규칙으로 변경되어 IP Fragment 패킷 공격으로부터 네트워크 호스트의 시스템 자원을 보호할 수 있도록 한다.
-
최근 사이버 테러에 대한 관심이 고조되면서 사이버 테러 시뮬레이터가 필요하게 되었다. 사이버 테러 시뮬레이터는 침입 행위 및 방어 행위를 모델링하여 침입에 대한 피해 정도, 방어 대책의 효과성 등을 파악하기 위한 도구이다. 이 도구를 통해서 사이버테러에 대한 예방과 복구가 가능하기 때문이다. 이를 위해 기존의 시뮬레이터들은 시뮬레이션 수행 전에 모든 시나리오를 작성해 놓고 시뮬레이션을 수행하였다. 그러나 사람의 판단 및 행위를 모델링하지 못한 시뮬레이션은 정확한 결과를 나타내지 못하였다. 따라서 본 논문에서는 기존 사이버 테러 시뮬레이터에 동적 시뮬레이션 요소를 첨가함으로써 정확히 네트워크 침입 및 방어 행위를 표현하고자 하였다. 또한 이를 위한 시뮬레이터 구조 변경 방법을 제안하였다. 시뮬레이터를 구현한 후에는 슬래머 웜의 시뮬레이션 결과를 수행하여 기능이 올바로 구현되었음을 확인하였다.
-
최근 웜이나 바이러스, DDoS(Distributed Denial of Service)와 같은 네트워크 침해사고가 빈번히 발생되고 있어 이를 해결하기 위한 여러 가지 방안이 연구 중이다. 하지만 대개의 경우 외부의 침입탐지에 대한 대책만이 이루어지고 있어, 실제로 내부 호스트에서 감염되어 발생시키는 트래픽에 대해서는 원인 진단이 어려운 실정이다. 따라서 네트워크 장애의 원인이 되는 단말 호스트를 찾아내어 장애처리를 하는 것이 정상적인 네트워크 환경구축을 위하여 필요하다. 본 논문에서는 네트워크 자원 모니터링과 트래픽 분석을 통하여 이상 트래픽에 대한 징후를 사전에 탐지하고, 최종 단말 호스트의 위치까지 추적 가능한 시스템을 설계 및 구현하고자 한다.
-
We propose the model of Software Rejuvenation methodology, which is applicable for survivability. Software rejuvenation is a proactive fault management technique and being used in fault tolerant systems as a cost effective technique for dealing with software faults. Survivability focuses on delivery of essential services and preservation of essential assets, even systems are penetrated and compromised. Thus, our objective is to detect the intrusions in a real time and survive in face of such attacks. As we deterrent against an attack in a system level, the Intrusion tolerance could be maximized at the target environment. We address the optimal time to execute ad hoc software rejuvenation and we compute it by using the semi Markov process. This is one way that could be really frustrated and deterred the attacks, as the attacker can't make their progress. This Software Rejuvenation method can be very effective under the assumption of unknown attacks. In this paper, we compute the optimum time to perform an ad hoc Software Rejuvenation through intrusions.
-
DNS는 인터넷 자원 관리를 위해 사용되고 있는 분산 네이밍 데이터베이스로써 최근보안상의 취약점으로 인해 안전한 인터넷 사용에는 한계가 있다고 지적되었다. 따라서 안전한 인터넷 기반 제공을 위해 DNS의 보안 고도화 연구가 진행되었으며 그 일환으로 BNS 보안 확장(DNSSEC)이 대두되었다. 본 논문에서는 DNSSEC에 대한 이론적인 바탕을 토대로 보다 안전한 인터넷 자원 사용을 위한 방안을 연구하고 이의 적용방안과 안정화를 위한 제반 사항을 기술한다.
-
수많은 정보자산들이 네트워크를 통해 연결된 환경에서 사이버 공격으로부터 정보자산들을 효과적으로 방어하기 위한 기본적인 수단으로 네트워크 침입탐지 시스템과 취약점 분석 시스템이 활용되고 있다. 그러나 네트워크 보안을 위해 개별적으로 운용되고 있는 네트워크 침입탐지 시스템과 취약점 분석 시스템이 보안관리 측면에서 오히려 보안 운용자의 부담을 가중시키는 요인으로 작용하고 있는 것이 현실이다. 따라서, 본 연구에서는 네트워크 보안 관리에 필수적인 정보 요소인 네트워크 자산, 취약점 및 위협이 갖는 의미와 상관성을 분석하고, 네트워크 침입탐지 시스템과 취약점 분석 시스템이 제공하는 정보들을 상호 연동하여 네트워크 침입탐지 시스템이 탐지하는 불필요한 경보정보의 양을 대폭 줄여 Log관리를 최적화할 수 있는 시스템을 구축하기 위한 설계방법을 제시하였다.
-
최근 들어 무선 랜에 대한 사람들의 인식이 높아지고, KT의 NESPOT과 같은 공중망 사업자들에 의한 핫스팟 서비스가 제공되면서 무선 랜의 수요 또한 급증하고 있다. 무선 랜의 사용자가 증가하면서 무선 랜 보안의 중요성 역시 증가하고 있으며, 실제로 무선 랜에서의 안전한 네트워킹을 위하여 여러 단체들이 다양한 방향에서 연구를 진행 중에 있다. 그 한 예가 802.1X인데, 이것은 인증 서버를 따로 두어 AP를 통해 네트워크에 접속하려는 사용자들을 인증하여 주는 것이다. 이 논문에서는 802.1X 인증 방법 중 X.509 기반의 인증서를 사용하여 서버와 클라이언트간의 상호 인증을 가능하게 하여 주는 EAP-TLS 환경을 분석하고, LINUX 환경에서 공개 소스로 구축하여, 실제로 무선 랜을 사용하는 환경에 적용하는 과정을 기술한다.
-
스마트카드는 내부의 암호 알고리듬이 수행될 때, 비밀키와 관련된 여러 가지 물리적인 정보가 누출될 가능성이 있다. 이러한 물리적 정보를 이용하는 전력분석공격은 현재 많은 이론적 분석, 실험 및 대응방법이 연구되어지고 있다. 본 논문에서는 국내외 하드웨어적인 전력분석공격 실험 및 대응방법에 대한 최신 연구동향을 분석하고자 한다. 연산과정과 데이터의 해밍 웨이트에 따른 실험 동향을 예측한 후 하드웨어 대응방법들에 대한 동향과 문제점들을 기술한다.
-
본 논문은 기존의 정규 기저를 이용한 역원 알고리즘인 IT 알고리즘과 TYT 알고리즘을 개선한 GF(q
$^{m}$ )*(q = 2$^n$ )에서의 효율적인 역원 알고리즘을 제안한다. 제안된 알고리즘은 작은 n에 대해 GF(q)*의 원소에 대한 역원을 선행 계산으로 저장하고, m-1을 몇 개의 인수와 나머지로 분해함으로써 역원 알고리즘에 필요한 곱셈의 수를 줄일 수 있는 방법이다. 즉, 작은 양의 데이터에 대한 메모리 저장 공간을 이용하여, GF(q$^{m}$ )*에서의 역원을 계산하는 데 필요한 곱셈의 수를 줄일 수 있음을 보여준다. -
컴퓨터를 통한 침입을 탐지하기 위해서 많은 연구들이 오용탐지 기법을 개발하였다. 최근에는 오용 탐지 기법을 개선하기 위해서 비정상행위 탐지 기법에 관련된 연구들이 진행중이다. 본 논문에서는 클러스터링 기법을 응용한 새로운 네트워크 비정상행위 탐지 기법을 제안한다. 이를 위해서 정상 행위를 다양한 각도에서 분석될 수 있도록 네트워크 로그로부터 여러 특징들을 추출하고 각 특징에 대해서 클러스터링 알고리즘을 이용하여 정상행위 패턴을 생성한다. 제안된 방법에서는 정상행위 패턴 즉 클러스터를 축약된 프로파일로 생성하는 방법을 제시하며 제안된 방법의 성능을 평가하기 위해서 DARPA에서 수집된 네트워크 로그를 이용하였다.
-
최근 스마트카드에 대한 수요가 증가함에 따라 스마트카드에 대한 보안상의 문제가 대두되고 있다. 스마트카드의 안전성을 위협하는 공격 방법 중 전력공격은 가장 강력한 공격으로 많은 연구가 되고 있다. 본 논문에서는 전력분석 공격의 한 방법인 MESD 공격에 대해 알아보고 이에 대한 대응 방법으로 제안된 RSM 알고리듬에 대해 알아본다. 또한 이 알고리듬의 연산 속도 향상을 위해 folding 기법을 사용한 알고리듬에 대해서도 알아보고 MESD 공격에 안전한지를 실험을 통해 검증한다.
-
이 논문에서는 블록 암호 알고리즘인 XTEA에 관한 연관키를 이용한 차분공격에 대하여 설명한다. 이것은 XTEA 알고리즘이 TEA가 갖고 있는 취약한 키 스케줄을 보완하여 Kelsey 등이 제안한 연관키 공격에 대응하기 위하여 설계되었지만, 26 라운드로 줄인 XTEA 또한 우리의 연관키를 이용한 차분공격에 안전하지 못하다는 것을 보여준다. 또한 키 스케줄에 의하여 다양하게 변화된 라운드의 XTEA에 관한 연관키 공격이 가능하다. 이 때 필요한 선택평문과 암호화 과정은 각각 2
$^{18.5}$ 과 2$^{115.21}$ 이다. -
본 논문에서는 pairing 연산을 이용하는 효율적인 identity 기반의 전자서명 알고리즘을 제안한다. Identity 기반의 전자 서명에서는 pairing 연산이 가장 계산량이 많이 필요한 연산이기 때문에, 제안하는 알고리즘은 이 연산을 최소화하도록 설계되었다. 또한 서명 검증과정에 필요한 2번의 pairing 연산 중에서 1번의 연산을 사전 계산해 둘 수 있게 하여서 온라인 계산에 필요한 연산량도 최소화하였다.
-
지금까지 제안된 패스워드를 이용하는 인증 프로토콜은 오프라인 추측 공격이나 패스워드 파일 컴프로마이즈에 대하여 안전하지 않으므로 이에 대한 연구가 요구되고 있다. 본 논문에서는 패스워드를 이용하는 인증 프로토콜인 스키마 PAP(Password based Authentication Protocol)을 적용하여 새로운 인증 프로토콜 PAPRSA를 제안하였다. PAP는 패스워드를 표현하는 많은 값들 중에서 임의로 선택한 한 값을 처리하는 것을 특징으로 한다. PAPRSA는 패스워드를 표현하는 값을 처리하기 위하여 RSA를 이용하는 PAP기반 인중 프로토콜이다. 제안된 PAPRSA는 오프라인 추측 공격과 패스워드 파일 컴프로마이즈를 포함한 공격들로부터 안전하였으며, 패스 수와 계산량을 측정한 결과 효율성 면에서 매우 우수하였다.
-
암호 시스템의 안전성 및 신뢰성은 키의 안전성에 기반을 두기 때문에, 암호 시스템의 설계 및 구현 시 키를 안전하게 생성하는 것은 매우 중요한 일이다. 키 생성은 암호학적인 안전성을 만족하는 키를 생성하는 절차를 의미하며, 키를 생성하기 위해서는 지금까지 알려진 여러 가지 공격 방법들에 대한 안전성을 확보할 수 있는 파라미터를 사용해야 한다. 본 논문에서는 암호 시스템의 설계 및 구현 시 공개키 암호방식의 키 생성 단계에서 이산대수 문제와 소인수분해 문제를 푸는 알고리즘들을 이용한 공격으로부터 안전성을 갖기 위한 요구사항을 분석한다. 또한 이러한 결과를 바탕으로 키 생성 단계의 안전성 확보를 위한 요구사항 명세서를 작성한다.
-
본 논문은 신뢰 할 수 없는 네트워크를 통해서도 사용자를 인증하거나 키를 교환하는 것에 적합한 패스워드 인증 프로토콜을 제안한다. 기본 아이디어는 패스워드 검증정보의 램덤성(randomness)을 증가시키기 위하여, 패스워드를 분할한 후 이에 대한 각 패스워드 지식을 확대(amplification)하는 구조로 설계된다. 또한 서버측 파일을 암호화하여 보관함으로써 서버 파일 타협 공격에 강인하도록 구성하였다. 더불어 검증정보 및 서버의 암호화키가 다수의 서버들에게 분산되도록 설계된 방식을 제안한다.
-
인터넷과 같이 신뢰할 수 없는 네트워크를 통한 통신에서는 비밀성과 무결성 뿐만 아니라 원격의 사용자 인증이 시스템 보안에 있어서 중요한 요소이다. 패스워드 기반의사용자 인증 방법은 비용과 효율성 측면에서 갖는 장점 때문에 가장 널리 사용되는 사용자 인증 방법이다. 본 논문에서는 최근에 Lin[5]등이 제안한 패스워드 기반의 인증방법인 SE-OSPA 프로토콜을 분석하고, 그 결과 DoS 공격에 취약함을 보인다. 또한 DoS 공격에 대응할 수 있는 개선된 스킴을 제안한다.
-
본 논문은 공개된 네트워크를 통해 교환되는 기밀정보의 무결성과 인증을 위해 사용되는 공기키 인증서에 대한 새로운 인증방법을 제안한다. 제안된 새로운 방법은 인증된 딕셔너리[1]기반하에 RSA 일방향 어큐뮬레이터를 이용하여 인증서 폐기목록(CRL: Certificate Revocation List) 원소들의 존재 유무에 대한 증거값들을 미리 생성하고 사용자가 인증서의 유효성을 알아보기 위해 해당 원소에 대한 질의를 보내게 되면 미리 계산되어진 증거값을 바로 제시해줌으로써 계산시간이나 전송용량의 효율성을 극대화시켰다. 또한 파라미터값을 주어 CRL을 여러개의 부분집합으로 나눔으로써 계산량을 동적으로 분산시켜 사용자가 소형기기나 무선 네트워크 환경에 있더라도 활용이 가능하도록 하였다.
-
공개키 기반 구조에서 과거 시점에 서명한 문서를 검증하기 위해서는 서명한 시점의 인증서의 상태정보를 확인하여야 한다. 하지만, 기존의 상태 정보 제공 메커니즘을 이용하여 과거 시점에 대한 상태 정보를 획득할 경우에는 여러 가지 문제가 발생할 수 있다. 본 논문에서는 이러한 문제점에 대하여 자세히 설명하고 이를 해결하기 위한 방법을 제시한다.
-
본 논문에서는 스트림 데이터를 인증하는데 적합한 일회용 서명 기법을 제시한다. 스트림 인증에 일회용 서명 기법을 사용할 경우, 가장 큰 문제점은 큰 서명 크기로 인해 네트워크 오버헤드가 많다는 점이다. 제시한 기법은 기존 일회용 서명 기법 중 서명 크가 가장 작다. 또한, 제시된 기법의 검증 연산량은 매우 작다. 스트림 인증에 적합한 기존 기법과 온라인 서명 연산량을 비교하면, HORS보다는 다소 많지만, BiBa나 Powerball보다 적다.
-
본 논문에서는 최근에 발표된 스트림 인증 기법중 하나인 PCC 기법[1]을 개선한 방법을 제시한다 PCC 기법에서는 수신된 스트림 데이터의 검증이 패킷의 그룹 단위로 수행되는데 이때 관련된 서명 패킷이 수신되어야만 그룹에 속한 패킷들이 검증될 수 있다는 약점을 갖는다. 본 논문에서는 PCC 기법의 서명 패킷에 정보 분산 알고리즘을 적용하여 생성되는 단편들을 그룹에 속한 전체 패킷들에 포함시켜 전송하며, 수신자가 이중 정해진 수 이상의 패킷을 수신했을 경우 서명 패킷의 복원이 가능하도록 함으로써 원기법의 문제점을 해결했다. 뿐만 아니라 시뮬레이션 결과의 분석에 의하면 제안 기법은 관련 최신 기법인 SAIDA보다 검증 확률이 높고, 구현 프로그램의 수행 시간을 측정한 결과 계산 시간 면에서 더 나은 성능을 보였다.
-
최근 전자상거래의 발달로 전자화폐의 사용이 증가하고, 이에 전자결제의 안전한 처리를 위한 전자서명의 생성 및 검증과 메시지의 암호화와 복호화 등의 효율적인 연산이 필요하게 되었다 더욱이 전자상거래가 무선통신 환경으로 확대되며, 적은 메모리 용량을 사용해서 빠른 연산을 수행하고, 적은 통신량을 보장해야 하는 요구사항 등이 증가함에 따라, 이러한 제약사항을 지원할 수 있는 방식이 요구된다. 이러한 전자상거래의 전자지불시스템의 제약사항은 메시지 인증과 은닉성을 동시에 효율적으로 제공하면서 계산량과 통신비용을 줄인 기법인 signcryption 개념과 계산상 효율적인 ECC 기반의 연산을 수행하여 해결 가능하다. 간 논문에서는 기존의 signcryption 방식을 분석하고 문제점을 도출하여, 통신의 각 객체의 비밀정보를 사용한 일차 다항식으로 메시지 복호화를 제공하는 효율적인 EC-Signcryption 방식을 제안한다.
-
현재 IETF RFC 3414에서 제안한 SNMP 메시지 인증 및 기밀성 서비스용 키 분배방식은 관리자의 패스워드를 기반으로 국지 키를 생성하는 알고리즘을 사용한다. 이는 관리자의 패스워드 노출 방지를 위해 관리자가 지리적으로 분산된 SNMP 관리객체 (Managed Agent)를 순회하면서 설치해야 한다는 문제점과 또한 관리객체에 SNMP 메시지를 전송되는 시점에서 국지 키가 계산되어 SNMP 메시지의 전송지연 문제점을 내포하고 있다. 본 논문에서는 누구나 관리객체 설치가 가능하고 SNMP 메시지 전송지연을 제거할 수 있도록 SNMPv3 USM에 Diffie-Hellman 키 분배 방식을 적용하는 방안을 제안하였다. 제안된 방식은 RFC 3414와 동일한 수준에서 SNMP 메시지 인증 및 기밀성 서비스를 제공한다.
-
인터넷 이용자가 증가함에 따라 전자메일 사용자도 증가하고 있다. 전자메일 사용으로 통신상의 비용 및 시간이 절약되는 장점이 있지만 소수의 유저들이 상업적 목적으로 많은 유저에게 원하지 않은 메일(스팸메일)을 보냄으로써 물질적, 정신적 피해를 입히고 있다. 따라서 스팸 메일을 방지하기 위한 여러 기법들이 제안되었다. 본 논문에서는 스팸 메일 문제를 해결하기 위해 먼저 전자메일 시스템에 대한 구조를 살펴보고 MTA, MDA를 이용하는 스팸 메일 필터링 도구들을 비교 분석한 연구결과를 제시한다. 그리고 탐지 성능을 개선할 수 있는 새로운 방안을 제시한다. 제안 방법은 공개 배포용 MDA인 procmail에 기반한 것으로, 규칙(rule)을 매칭(matching)시키는 시간을 줄이는 것이다.
-
전자거래의 환경이 확장됨에 따라 다양한 사용자와 자원을 관리해야 하는 어려움에 대두되고 있다. 사용자 인증에 관한 기술은 전자거래의 시발점이라는 측면에서 상당히 강조되어야 할 부분이다. 또한 개별적으로 구축하여 운영하고 있는 전산 시스템에서 개별적으로 관리되고 있는 자원과 사용자는 보안상의 문제점을 야기할 수 있다. 따라서 기업내부의 모든 자원과 이러한 자원을 이용하는 사용자에 대한 일관된 자원 및 사용자관리체계의 구축하는 통합접근관리 기술을 도입하여 보안상의 취약점을 보완할 수 있다. 따라서 본 논문에서는 XML기반 e-business 프레임워크에서 기존 보안기술의 취약점을 보완할 수 있는 국제 표준화된 XML보안 기술을 적용한 통합접근 관리를 연구하였다.
-
최근 새로운 형태의 네트워크 환경인 유비쿼터스 컴퓨팅에 대한 연구가 활발하게 진행되고 있다. 특히 유비쿼터스 컴퓨팅에서 중요한 요소중의 하나는 센서 네트워크로써, 저전력 Ad-hoc 네트워크에 기반한 센서와 센서노드들로 구성되며, 실제의 환경과 유비쿼터스 컴퓨팅과의 매개 역할을 한다. 따라서 본 논문에서는 홈네트워크에 센서 네트워크가 구성되어 사용자가 센서 네트워크 기반의 지불 서비스를 제공받고자 할 경우 안전한 무선 지불 방식을 제안한다. 제안방식은 센서 네트워크의 특성인 자동 서비스 등록 과정을 거쳐 사용자의 프라이버시 정보에 대한 안전성을 유지하면서도 다양한 서비스의 등록이 가능한 확장성을 제공한다.
-
최근 부채널 공격으로 스마트카드 같은 장치의 비밀키를 알아낼 수 있음이 알려지면서 많은 알고리즘에 대한 부채널 공격과 대응 방안이 연구되고 있다. DPA는 부채널 공격의 일종으로 암호화 연산 중 발생하는 전력 소모 곡선을 통계적으로 분석하여 키를 알아내는 공격이다. 한편 SEED가 국내 표준 블록 암호 알고리즘으로 널리 사용되고 있으나 SEED에 대한 DPA 연구 결과는 발표된 바가 없는 것 같다. 본 논문에서는 SEED에 DPA를 적용할 수 있음을 보이고 대응방안 예를 제시한다.
-
군사분야에서 컴퓨터 시뮬레이션의 활용은 이미 수십 년 전부터 이루어지고 있다. 컴퓨터 시뮬레이션을 통해서 실제 전투자산을 가동하지 않고 실전과 같은 전투경험을 부여하고 있다. 이러한 시뮬레이션이 실제와 똑같은 환경을 구축하기 위해서는 현재 사용하는 워게임 모델을 운용하기 위한 데이터베이스가 잘 구축되어야 하고, 그 데이터베이스를 포함한 페더레이트(federate)간의 연동(federation)이 네트워크 상에서 잘 수행되어야 한다. 이에 본 논문에서는 전장 데이터(이하 액티브 패킷)의 신속한 전달을 필요로 하는 긴급한 실제상황과 유사한 전장공간을 구축할 수 있도록 액티브 네트워크 상에서 페더레이트(혹은 액티브 노드) 간의 효율적인 트래픽 처리가 가능한 가상 전장 환경을 구성하고, 이에 대한 효성을 모의실험을 통하여 검증하였다.
-
본 논문에서는 가까운 미래에 시장에서 요구하게 될 여러 보안 장비 형상 중에서 라우터 장비 자체 내에 침입 탐지, 서비스 거부 공격 대응, VPN 서비스 등과 같은 보안 기능을 구현하는 프로젝트의 일부로 보안 라우터와 보안 관리 장비 간 경보 전달 인터페이스의 설계 및 구현 과정을 보이고 있다.
-
우리는 전자화폐의 공정한 추적을 보장할 뿐 만 아니라 계산적으로 비교 연산이 작은 새로운 추적 방식을 제안한다. 다른 많은 추적 방식들이 제3의 신뢰기관을 도입하거나 또는 나중에 불법 추적을 발견하는 방식인데 비하여, 본 방식은 불법 추적이 은행혼자서는 원천적으로 불가능한 방법으로써 은닉서명과 VSS (verifiable secret sharing)를 결합하여 사용하며, 거래과정에 상인이 개입한다. 이러한 공정한 추적 방식은 무조건적 익명성으로 인한 협박, 납치, 돈세탁 등의 완전 범죄를 막는 역할을 할 수 있다.
-
본 논문에서는 현재 사용되고 있는 소수성 검정 알고리즘의 효율성을 비교하여 효과적인 알고리즘 사용에 관한 방향을 제시하려 한다. 현재 가장 일반적으로 사용하고 있는 Miller-Rabin 소수성검정법(Miller-Rabin primality test)에 대하여, Miller-Rabin 소수성 검정법 이외에 다른 확률적 소수성 검정법으로 제안된 Frobenius-Grantham 소수성 검정법(Frobenius-Grantham primality test) 이 있다. 그러나 합성수 판별에 대한 확률적 우세함에도 불구하고, Miller-Rabin 소수성 검정법을 대체하고 있지 못하는 이유는 시간복잡도(time complexity)가 Randomized polynomial time이기 때문에 같은 확률에 대한 평균 실행 속도가 Miller-Rabin 소수성 검정법보다 크게 효율적이지 못하기 때문이다. 또한, 2002년 Manindra Agrawal이 제시한 AKS 알고리즘(AKS algorithm)은 최초의 다항식 시간내 결정적 소수성 검정법(Polynomial time deterministic primality test)이지만, 시간 복잡도에서 다항식의 차수가 높기 때문에 현재 사용되고 있는 확률적 소수성 검정법(Probabilistic primality test)을 대체하지 못할 것으로 사료된다. 본 논문에서는 최근 발표된 소수성 검정법인 Frobenius-Grantham 소수성 검정법, AKS 알고리즘과 기존의 Miller-Rabin 소수성 검정법의 장단점을 비교·분석해 보고자 한다.
-
웹서비스에 대한 높은 관심과 함께 그 실현이 점차 가시화되고 XML로 이루어진 지원 기술들의 전폭적인 지지로 잠재력은 더욱 확대되고 있다. 웹서비스는 기존 웹 기반의 디스플레이에 그쳤던 단순정보 교환을 애플리케이션 차원에서 데이터를 통신할 수 있어 개발 가능성이 무한한 프레임워크로 각광받고 있다. 그러나 현재 자원 관리에서의 효율성 문제가 드러나게 되었고 인증분야와의 접목에서도 한계를 드러내고 있다. XACML은 리소스에 대한 미세한 접근제어를 할 수 있는 XML기반의 언어이다. 접근하려는 리소스는 XML을 사용하여 표현되는 어떠한 객체도 될 수 있으며 XPath나 LDAP과 같은 프로토콜과 함께 바인딩하여 사용될 수도 있다. 보다 효율적인 접근 제어를 위하여 XACML 적용 모델을 연구하였다.
-
정보통신기술의 발달로 대부분 사회의 기반구조가 사이버 사회로 전환되었고 다양한 형태의 경제사회 활동을 수행키 위해 정보보호제품의 활용이 극대화되었으며 더욱 중요시되었다. 이러한 사회흐름에 기반하여 정보보호제품의 안전한 선택 및 사용을 위한 기본적 선택기준은 검증받은 암호화 모듈을 바탕으로 하는 정보보호제품에 대한 신뢰 기관의 안전성 평가 결과일 것이다. 암호화 모듈에 대한 안전성 평가로 가장 널리 참조되는 것은 미국의 NIST(National Institute of Standards and Technology)가 수행하는 CMVP(Cryptographic Module Validation Program)이며, 세계적으로 인정받고 있다. 본 논문에서는 암호 모듈의 평가체계에 대해 설명하였으며 그 기준인 FIPS 140-2 DTR을 분석하여 향후 개발 가능한 CMVP의 안전성 평가 툴 기준에 대해 제시하였다.
-
본 논문에서는 정보보호제품의 평가 수요 증가에 적극적으로 대처하고, 양질의 평가서비스 제고를 위한 CCRA 요구사항 수준의 평가기관 요구사항을 분석 및 도출한다. 이를 위하여 CCRA의 평가기관 요구사항 및 ISO/IEC17025의 요구사항을 분석하였으며, NIST Handbook 150, NIST Handbook150-20 등 CAP 국가들의 평가기관 인정과 관련된 표준문서들을 연구하여 각 CAP 국가들의 평가기관 요구사항들을 분석하고 평가기관의 평가자 양성을 위한 교육 및 자격 부여 프로그램들을 비교 분석하였다.
-
Single Sign-On(SSO)은 사용자가 단 한번의 인증으로 분산된 시스템에서 제공하는 다른 서비스에 로그인하는 것을 가능하게 하는 보안 특징이다. SAML은 서로 다른 entity들 사이에서 인증, 권한 그리고 profile 정보의 교환을 가능하게 하는 XML기반의 SSO표준이다. 이러한 표준은 분산 환경에서 서로 다른 보안 서비스들 사이에 상호운용성을 제공한다. 본 논문에서는 SAML APIs로 구성된 자바 기반의 SSO library를 설계 및 구현하고 SAML APIs를 검증하기 위해 분산 application의 prototype을 구성하였다. 개발된 library에서 무결성, 부인방지, 그리고 기밀성 같은 보안고려사항들을 XML기반의 서명과 암호화를 적용하여 보장한다.
-
본 연구에서는 개인용 공인인증서 활성화 방안에 대한 정책적 제안을 제시하였다. 현황 및 문제점 파악을 위하여 2003년도 정부발간자료, 통계, 과학기술정보통신위원회 국정감사 제출자료 등에서 직접 데이터를 수집하였다. 개인용 전자서명의 현황 및 문제점은 법·제도에 따른 시장 분석과 전자거래·전자문서 유통에 있어서 개인용 공인인증서의 시장독점 경향 등을 정리하였다. 이를 바탕으로 본 논문에서 제시된 활성화 방안의 초점은 전자문서 유통과 공인인증 체계의 시장 구조적 문제점 해소, 상호연동 및 유료화에 따르는 부작용 최소화에 두었다.
-
정보보호 기술 표준화는 인터넷 등의 급속한 발전에 따라 전자상거래 등의 응용 서비스와 새로운 무선 및 이동 인터넷 서비스를 여러 위협요소로부터 보호하는데 목적이 있다. 인터넷을 통해 유통되는 정보나 컴퓨터의 정보 자산을 보호하기 위한 요구사항으로 기밀성 서비스, 무결성 서비스, 인증 서비스, 그리고 액세스 제어 서비스들이 요구되고 있다. 따라서 정보보호 시스템간의 상호 연동성을 가능케 하고, 안전한 지식기반 정보화사회 구축을 위해서 정보보호 기술 요소들의 표준화 분석은 반드시 필요하다.
-
본 논문에서는 3GPP-WLAN 연동 보안에 필수인 EAP-AKA를 기반으로 한 인증/재인증의 개요와 인증 진행 부분에서 협상되는 마스터 세션 키 생성과 EAP AKA 패킷을 보호하기 위해 사용되는 키 생성에 관하여 설명하고, EAP-AKA 과정에서 생성되는 키의 안전성을 분석하고, EAP-AKA를 사용하는 3GPP-WLAN 연동의 효율성 및 고려사항에 대하여 고찰하였다.
-
본 논문에서는 제안하는 Grid Computing은 PMI(Privilege Management Infrastructure)를 이용하여 효율적으로 컴퓨팅 파워의 분산 관리하고 네트?의 트래픽을 분산시키는 모델을 제시한다. 또한 Agent 간 통신 및 Agent와 Server 간 통신에서 Soap Protocol과 SSL Protocol을 접목하여 보안 RPC통신을 기반으로 데이터의 무결성과 기밀성을 보장한다. 본 논문에서 제안한 모델은 Agent를 효과적으로 관리하고 네트워크의 트래픽을 감소시킴과 더불어 Grid Computing의 성능이 개선될 것으로 기대된다.
-
무선 단말기를 통한 멀티미디어 데이터의 이용증가로 인해 무선 단말기의 저장 용량 한계에 대한 문제가 제기되었다. 지속적으로 성장하고 있는 무선 인프라 상에서 사용자의 중요한 데이터를 완벽하게 보호하고 시스템 장애 시간을 최소화하여 사용자가 언제든 원하는 데이터를 저장하고, 제공받기 위해 SAN 보안 인프라 연구는 필수적이다.
-
그리드 컴퓨팅은 지리적으로 분산되어 있는 고성능 컴퓨팅 자원(컴퓨터, 데이터베이스, 첨단, 장비 등)를 네트워크로 상호 연동하여 조직과 지역에 관계없이 사용할 수 있는 가상의 슈퍼컴퓨터를 구성하는 것이다. 하지만 상호 연동과정에서의 보안적 취약성으로 인하여 많은 문제점을 안고 있는 것도 사실이다. 본 연구에서는 그리드 개요, 구조, 국내외적인 동향에 대해서 알아보고, 이를 바탕으로 그리드의 Security 문제를 해결하기 위한 방안을 제시한다.
-
위치기반 서비스(Location Based Service)는 이동통신망 또는 GPS 등을 기반으로 사람이나 사물의 위치를 정확하게 파악하고 이를 활용하여 다양한 응용이 가능한 서비스를 의미한다. 최근 위치기반 서비스는 이동통신 기지국이나 GPS를 통해 개인이나 차량등의 위치를 파악하여 긴급구조, 교통정보, 재난관리 등을 서비스하는 신산업 분야로서의 중요성이 증대됨에 따라 이에 대한 관심이 급증하고 있다. 그러나 이러한 산업 파급효과와 서비스 유형을 고려할 때, 공간정보의 활용과 위치기반서비스의 구현에서 핵심적인 역할을 하는 것이 위치정보인데 이러한 위치정보는 여타의 정보와 다른 특성을 가지게 된다. 즉, 위치정보는 개인정보보호 및 프라이버시(사생활)보호의 문제와 직결된다는 것이다. 특히 위치정보가 성명, 주민등록번호, 주소, 전화번호 등과 함께 직접적으로 사생활 침해의 문제를 강하게 발생시킬 수 있어 위치정보는 여타의 정보에 비하여 보다 강력한 보호를 필요로 한다. 본 논문에서는 LBS에 대한 전반적인 사항을 분석하여 문제점을 도출하고, LBS Privacy 문제점을 보호할 수 있는 방안을 제시한다. 최종적으로 제안된 모델은 차세대 LBS 시스템의 개인정보 및 Privacy 보호를 위한 기술적인 대안을 제시하였으며, 차세대 이동통신의 기반 기술이 될 것으로 기대한다.
-
본 논문에서는 인터넷을 이용한 DLC 시스템의 보안 방안에 대한 연구와 제안된 시스템의 성능평가 내용을 기술한다. 이 논문에서는 DLC 시스템만이 아닌 다양한 제어 시스템에서의 보안 시스템 구성이 가능한 방법을 제안하였다. DLC 시스템의 보안 요소는 데이터 기밀성과 무결성, 부인 방지, 제어장치와 서버간의 상호인증이다. 데이터 기밀성과 무결성은 SSL을 통해서 해결하고 제어장치와 서버간의 상호인증은 PKI 서명을 통해서 해결하였다. 또한, DLC 시스템과 같은 close system에서 사설 PKI의 사용을 통한 시스템 성능향상에 대해 살펴본다.
-
KeyNote 기반의 네트워크 보안 정책 관리는 분산 환경에서 보안 정책을 관리하고 적용하는 시스템이다. 기존의 네트워크에서 보안 정책 관리는 각각의 시스템에 보안 정책을 설정하여야 하는 구조로 구성되어 있다. 본 논문에서는 이러한 문제점을 개선하기 위하여 KeyNote 기반의 분산 네트워크 환경 하에서 보안 정책 관리를 이용한 보안정책의 정의 및 설정, 변환 등에 관련된 구조에 대한 설계와 이를 구현한다.
-
본 논문에서는 사용자 인증에 사용되는 패스워드 검증자의 안전성을 더욱 보강한 새로운 패스워드 검증자 기반 키 분배 프로토콜을 제안한다 기존 패스워드 기반 키 분배프로토콜 방식은 네트워크 상에서 패스워드의 안전한 전송이 어려웠고, 패스워드 파일의 안전한 보호가 어렵다는 문제가 있었다. 이에 패스워드 파일을 그대로 서버에 저장하지 않고 패스워드를 사용하여 생성한 검증자(verifier)를 저장하게 함으로써 패스워드파일을 보다 안전하게 보호할 수 있게 되었으며, 서버가 사용자의 패스워드를 알지 못하더라도 검증자를 사용한 증명방식을 통해 사용자를 인증할 수 있게 되었다. 본 논문에서는 사용자와 서버의 비밀정보로 만든 새로운 형태의 검증자를 사용하고, 사용자는 다른 저장정보 없이 기억하고 있는 ID와 패스워드만을 사용하여 키 분배를 수행하는 패스워드 검증자 기반 키 분배 프로토콜을 제안한다. 제안하는 프로토콜의 안전성 분석을 위해 active impersonation과 forward secrecy, man-in-the-middle attack, off-line dictionary attack 등의 공격 모델을 적용하였다.
-
A new type of signature scheme, called NTRUSign, based on solving the approximately closest vector problem in an NTRU lattice was proposed in[7],[8]. However no security proof against chosen messages attack has been made for this scheme. In this paper, we show that NTRUSign signature scheme contains the weakness of malleability. From this, one can derive new valid signatures from any previous message-signature pair which means that NTRUSign is not secure against strongly existential forgery.
-
최근, 디지털 기술과 네트워크의 발달로 다양한 무선통신 단말기, 반도체, 디지털 방송, 전자상거래 등 다양한 분야가 융합되어 사람과 디바이스간에 실시간으로 정보를 주고받는 환경 즉, 유비쿼터스 컴퓨팅 환경에 많은 관심이 주목되고 있다. 이러한 유비쿼터스 컴퓨팅 환경에서의 통신은 통신개체간에 실시간 개체인증은 물론 전송되는 정보의무결성, 기밀성 등 보안 서비스가 요구된다. 현재의 개체 인증은 사용자가 기억하는 패스워드 또는, 스마트 카드와 같은 보안 모듈을 사용하여 사용자와 개체간에 인증이 이루어지고 있는 실정이다. 이러한 방식은 사용자가 기억해야 할 패스워드가 증가한다거나, 보안 모듈의 손상 및 분실로 인해 자신의 프라이버시(privacy)가 노출될 수 있는 단점이 있다. 이에 본 논문에서는 사용자 고유의 생체 정보와 기억할 수 있는 패스워드를 비밀정보로 사용하여 양방향 개체 인증 키 분배 프로토콜을 제안한다.
-
This paper introduces a new joint signed expansion method for computing simultaneous scalar multiplication on an elliptic curve and a modified binary algorithm for efficient use of the new expansion method. The proposed expansion method can be also be used in cryptosystems such as RSA and EIGamal cryptosystems.
-
2000년 고기형 등이 발표한 땋임군상에서의 공개키 암호시스템은 후속적으로 다양한 이론적 분석 및 응용기법이 연구되고 있다 땋임군에서의 공개키 암호화기법과 서명기법은 기존에 제안되었으나 개인식별기법은 제안된 바가 없다. 본 논문에서 우리는 땋임군에서의 서명기법에 바탕을 둔 개인식별기법을 제안하고 그 안전성을 증명한다.
-
보안 시스템에서 비밀키 노출은 가장 심각한 문제 중 하나이며, 피할 수 없는 문제로 여겨진다. 최근에 키 전개(key-evolving) 패러다임이 비밀키 노출이 가져올 수 있는 피해를 최소화시키기 위한 수단으로 도입되었다. 이 패러다임에서는 프로토콜 전 구간이 여러 시간 구간으로 나누어진다. 시간 구간 i 에서 서명자는 비밀키 SK
$_{j}$ 를 가지게 되며, 이를 주기적으로 갱신하게 된다. 반면 공개키 PK는 프로토콜 전 구간동안 변함이 없다. 이러한 개념을 기반으로 하여 본 논문에서는 안전한 비밀키 갱신이 가능한 Schnorr 형 서명 기법을 제시한다. 이 서명 기법은 다음과 같은 특징을 갖는다. 만약 모든 시간 구간에 있는 비밀키들이 노출되지 않는다면, 아직 노출되지 않은 시간 구간의 서명을 위조할 수 없다. 즉, 모든 시간 구간의 비밀키를 알아야 어떤 시간 구간의 서명을 위조할 수 있다. 이 서명 기법은 위조 불가능하게 안전하며, 이산 로그 (Discrete Logarithm Problem)의 어려운 문제에 기반한 Schnorr 서명 기법에서 유도되었다. -
공개키 기반 구조에서 개인키의 노출은 심각한 문제를 일으킬 수 있다. 현재의 전자서명 기법에서는 서명자가 자신의 개인키 도난에 대한 사실을 인지하지 못하면, 공격자는 원하는 만큼의 전자서명을 생성 할 수 있다. 따라서 서명자가 개인키를 노출하였을 때 서명자를 보호 할 수 있는 전자서명 기법이 필요하다. 본 논문에서는 Pairing을 이용한 키 전개방식 전방보안 전자서명기법을 제시하고, 이를 Schnorr 서명기법에 적용한다. 제안하는 서명기법은 기존의 전자서명기법과 호환됨으로써 매우 실용적이다.
-
네트워크에 대한 접근성이 높아짐으로 인해 사용자는 자신의 클라이언트 터미널을 벗어나 다른 터미널에서의 네트워크 접속을 요구하는 사용자(Roaming User)가 증가하고 있다 이러한 사용자는 패스워드를 기반으로 하여 현재 위치하고 있는 서버와 새로운 비밀키를 생성할 수 있다. 본 논문에서는 기존의 패스워드 기반의 프로토콜을 간략하게 살펴보고 이를 통하여 프로토콜의 구성 방법과 사전공격 등 여러 가지 일반적인 공격으로부터 안전한 프로토콜을 제안한다. 또한 본 제안 방식은 기존 패스워드를 이용하여 로밍 방식에 적용할 수 있도록 하였다.
-
본 논문에서는 P2P(Peer-to-Peer) 환경에서 효율적이고 안전하게 정보를 공유할 수 있는 시스템 구조를 제안한다. 기존의 Server-Client 환경에 비해 P2P 환경이 네트워크를 확장시키고 병목 현상을 줄일 수 있는 방안으로 떠오르게 됨에 따라 그에 따른 보안문제도 필수적으로 고려해야 할 사항이 되었다. 따라서 P2P 환경에서도 안전하게 정보를 공유할 수 있고, 각 Peer들의 정보를 보호해 줄 수 있는 보안 기술이 필요하다. 본 논문에서 제안하는 시스템은 IAA(Intelligent Automation Agent)를 이용한 접근방식을 제공함으로서, 다른 시스템에 응용 가능하고 보안 환경의 변화에 민첩하게 유기적으로 대처할 수 있는 통합된 관리 방법을 제시한다.
-
특정 프로그램의 취약점 여부를 판단하기 위한 방법에는 프로그램의 버전이나 작동여부를 점검하는 방법과 해당 프로그램에 실제 침투를 수행하고 그 성공여부를 검증하는 방식이 있다. 후자를 이용한 방식은 침투 코드의 구현, 재사용, 확장이 어렵기 때문에 전자에 비해서 널리 사용되지 않지만, 정확한 결과를 얻을 수 있고 보안의 경각심을 높일 수 있는 장점이 있다. 본 논문에서는 최근에 널리 사용되는 원격 취약점 침투 코드들의 구조를 분석하여 다양한 취약점을 보다 정확하게 검증할 수 있고 새로운 취약점에 대해서도 쉽게 확장할 수 있는 원격 취약점 증명 프레임워크를 제시한 후 이를 바탕으로 원격 취약점 증명 도구를 설계하고 구현한다. 원격 취약성 증명 도구는 원격 취약점 침투코드들의 모듈화 및 재사용을 위한 프레임워크 부분과 사용자의 입력을 받아서 모의 침투를 수행하고 침투 성공 증거를 제공하는 GUI 부분으로 구성된다.
-
자바카드 API는 스마트 카드와 같은 작은 메모리를 가진 임베디드 장치에서 실행환경을 최적화하기 위해 구성되었다. 자바카드 API의 목적은 한정된 메모리를 가진 스마트카드 기반의 프로그램을 개발할 때 많은 이점을 제공한다. 그러나 공개키 암호 알고리즘 구현에 필요한 연산들인 모듈러 연산, 최대공약수 계산, 그리고 소수 판정과 생성 등의 연산을 지원하지 않는다. 본 논문에서는 이러한 기능을 제공하는 자바카드 기반 BigInteger 클래스의 설계 및 구현에 목적을 둔다.
-
기존의 고정적 웹 페이지에, 실시간적으로 변화하는 내용의 제공을 가능하게 하기 위해, 추가적으로 코드를 첨가할 수 있도록 만든 것이 웹 응용 프로그램이다. 그 예로는 cgi, php, jsp, java, python 등이 있다. 많은 수의 언어와 다수의 프로그램들이 빠른 속도로 개발됨에 따라 많은 수의 보안 문제점들이 발생하였고 실제로 대단히 많은 서버들이 침입의 대상이 되었다. 웹 응용 프로그램의 보안에 많은 문제점이 발생한 이유는 첫번째, 기존의 서버 응용 프로그램들에 비하여 웹 응용 프로그램은 휠씬 많은 수가 아주 빠르게 개발되었다는 점이다. 두 번째는 웹 응용 프로그램에서 발생한 새로운 종류의 보안 위험성을 들 수 있다. 기존의 서버 응용 프로그램에서 발생하는 위험성들은 서버프로그램의 버그를 이용한 것이었고, 이들은 외부 입력의 내용보다는 그 크기 등의 간단히 검사 가능한 특징에 의존하는 경우가 많았다. 하지만, 웹 응용 프로그램이 외부 입력의 내용을 코드의 일부로 사용하는 경우가 많음으로 인해서, 웹 응용 프로그램에서는 간단히 검사하기 어려운 특징인 입력의 내용에 의존하는 위험성들이 많이 발생한다. 본 논문에서는 이러한 새로운 방식의 위험성을 소스코드를 이용해서 어떻게 자동적으로 검사할 수 있을 지에 관해서 새로운 아이디어를 제시한다. 이 아이디어는 현재 구현 중에 있으며, 초기 실험 결과 기존의 검사 프로그램들이 찾아내지 못하는 취약점들을 찾아낼 수 있음이 확인되었다.
-
본 논문에서는 로밍 사용자를 위한 threshold 패스워드-인증 키 retrieval 프로토콜을 제안한다. 로밍 사용자는 자신의 전용 단말기 이외의 단말기를 이용하여 네트워크에 접근하고자 하는 사용자를 말한다. 본 제안 프로토콜은 로밍 사용자가 자신의 신원정보와 패스워드만을 가지고 원격의 서버들로부터 비밀키를 다운로드 할 수 있도록 한다. 본 논문은 특히, 다중-서버 로밍 시스템의 목적 중의 하나로써, 서버들 중의 일부가 손상되었을 지라도 사용자가 자신의 비밀키를 다운로드 할 수 있는 프로토콜을 제안한다. 이러한 관점에서, 본 논문은 최초의 threshold 패스워드-기반 로밍 프로토콜을 제안하고 있는데, 이를 위하여 (k,n)-threshold scheme을 사용한다. 제안된 scheme은 Weil 쌍이나 Tate 쌍에서 구현될 수 있는 겹선형 쌍에 기반 한다.
-
네트워크로 연결된 국가기관의 중요한 정보시스템에 대한 보안위협에 대해 기존의 침입차단/탐지시스템을 중심으로 하는 보안솔루션은 잠재적인 보안위협의 처리 한계와 우회하는 새로운 해킹기법 등의 발달로 인해 시스템의 정보보증을 위한 대응책이 떨어지고 있는 것으로 판단된다. 따라서 이에 대한 대안으로 TCSEC B5급(CC EAL5) 이상의 국가기관용 보안운영체제 개발의 필요성이 부각되고 있다. 본 논문은 국가기관용 보안운영체제 개발을 위해 선행되어야 할 안전커널 요구사항에 관한 연구로 이를 위해 먼저 적용될 보안환경과 목적, TCSEC 요구사항, CC 기반 보호프로파일, CC 요구사항을 분석 적용하였다. 이를 기반으로 정보의 중요도에 따라 두개의 등급으로 분류된 국가기관에 적합한 안전커널 요구사항을 제안하고자 한다.
-
전자상거래에서 공정한 교환은 매우 중요한 요구 사항이다. 그러나 기존의 공정한 교환은 서명에 관련한 것이라서 익명성을 보장하지 못하였다. 본 논문에서 제안하는 프로토콜은 다음과 같은 몇 가지 중요한 특징을 가지고 있다. 첫째, 공정한 교환을 보장한다. 둘째, 참여자는 자신이 원하는 아이템을 반드시 받을 수 있다. 셋째, 문제가 발생한 경우가 아니면 진행 중에 신뢰기관(trusted third party)에게 중재를 요청하지 않는다. 마지막으로 고객의 익명성을 보장한다. 지금까지의 전자상거래 프로토콜은 위에서 말한 모든 조건을 동시에 만족시키지 못하고 있다. 또한 기존 전자상거래 프로토콜에서는 익명성 보장 문제로 공정한 교환을 적용하지 못하였다. 본 프로토콜에서는 공정한 교환을 이용하여 지불과정의 원자성을 보장하면서 익명성 문제까지 해결한 기법을 제안한다.
-
XKASS(XML Key Agreement Specification)는 사용자를 통해 XKMS와 연동하여 인증서 기반으로 클라이언트를 확인하고 키 동의를 하는 프로토콜이다. 기존 XKASS 에서는 공개키 암호화 기법을 사용해 키 교환을 하는 방식과 전자서명 기법을 사용해 키 교환을 하는 방식을 사용한다 기존 XKASS의 전자서명과 공개키 방식의 암호화 해독화 방법은 인증서를 그냥 전달함으로써 사용자의 신원이 노출되는 문제점이 있고, 계산 비용이 많이 든다. 본 논문에서는 기존의 XKASS 프로토콜에서 인증서 기반 공개키 암호화 방식을 사용한 키 교환 프로토콜을 사용하지 않고 키 교환 프로토콜을 수행하여 공격자에게 사용자의 신원보호를 제공하고 계산 비용을 줄인 확장된 XKASS 방식을 제안한다. 사용자에게 제한된 priority를 주는 것으로 DoS(Denial of Service) 공격을 예방한 기존의 XKASS를 확장하여 다중 영역에 사용할 수 있도록 제안하였다.
-
ebXML, Web Services와 같은 XML을 기반으로 한 프레임워크 기술들이 발전하고 IT 환경이 복잡해지면서 정보보안 기술의 발달과 그 필요성이 더욱 많이 요구되고 있다. UN공식 표준 언어인 XML 문서를 보호화기 위한 보안 메커니즘 가운데 정보의 기밀성을 보장하기 위해 XML 암호화에 대한 관심은 더욱 커지고 있는 상황이지만 XML 암호화 표준 명세에는 국내 표준 암호화 알고리즘인 SEED 암호화 알고리즘은 포함 되어있지 않다. 따라서 ebXML, Web Services등을 국내 표준으로 비준 할 때에 국내 표준암호화의 적용 방안이 필요하므로 본 논문은 국제 표준인 XML 암호화 명세에 국내 표준 암호화 알고리즘인 SEED암호화 알고리즘의 적용방안을 연구한다.
-
본 논문에서는 Security 보안 게이트웨이를 이용하여 VPN 기반 보안 터널링을 생성하여 기존의 단말의 안전한 데이터 전송을 보장하고 Rogue AP에 의한 사용자의 정보 누출가능성을 최소화 할 수 있는 보안 게이트웨이를 구현하였다 무선랜 방식은 기존의 유선랜에 비해 사용하기 편리하다는 장점이 있지만 수신 장비만 있으면 누구나 데이터를 수신할 수 있는것처럼 보안에 취약한 단점이 있다. 기존의 무선랜 보안 모델은 802.1X 와 RADIUS 서버를 이용하여 장비 업체별 상이한 솔루션으로 호환이 불가능하고 Rogue AP에 의한 위협이 있다. 본 논문에서 구현한 보안 게이트웨이는 2계층과 3계층에 보안 모델을 도입하여 데이터 전송을 안전하게 할 수 있다.
-
전자상거래를 위해 가장 중요한 기능은 주문서 등과 같은 전자상거래 당사자간에 교환되는 전자문서 및 메시지에 대한 정보보호이다. XML은 인터넷에서의 데이터 교환의 표준으로 받아들여지고 있으며, 특히 전자상거래 분야에서의 사용이 급속히 확산되고 있다. 그러므로 안전한 전자상거래를 위해서는 XML 전자문서 및 XML 형태의 메시지에 대한 정보보호가 먼저 해결되어야 하며, 또한 기존의 XML 형태가 아닌 전자문서의 정보보호도 함께 해결되어야 한다. XML 전자서명은 이러한 보안 요구사항을 충족시켜줄 수 있으며, XML 전자문서 및 메시지에 대한 인증, 무결성, 부인봉쇄 등과 같은 정보보호 서비스를 제공해 준다. 본 논문에서는 XML 전자서명에 대한 설계를 제안하며, 이 설계에 따라 XML 전자서명을 구현한 ESES/Signature에 대해 설명한다.
-
안전한 멀티캐스트란 동적으로 그룹 멤버가 변하는 환경에서는 현재의 그룹 멤버만 데이터를 얻을 수 있도록 멀티캐스트하는 방법을 말한다. 이를 위해 그룹 멤버간에 그룹키를 공유하며, 이 키로 암호화하여 데이터를 멀티캐스트한다. 전방향 안전성(forward secrecy)과 후방향 안전성(backward secrecy)을 제공하기 위해 멤버가 가입하고 탈퇴할 때마다 공유키를 변경해야 한다. 이 때 확장성을 위해 그룹키의 변경이 그룹 전체에 미치는 영향은 최소화되어야 한다. 지금까지의 연구는 확장성 문제를 해결하기 위해 플랫한 그룹키 공유 구조에서 계층 구조로 변화해 왔으며, 그룹의 파티션을 용이하게 하고 중앙집중 방식의 문제를 극복하기 위해 중앙 키 서버를 사용하지 않고 그룹 멤버가 생성한 값을 계산을 통하여 그룹키를 생성하는 프로토콜로 변화해 오고 있다. 하지만 지금까지 제안된 안전한 멀티캐스트 방식은 멤버의 가입은 확장성을 갖추고 있지만 멤버의 탈퇴는 그렇지 못하며, 성능 측면에서 많은 개선이 있었지만 실제 응용에 사용되기에는 아직도 연산 측면에서 적절하지 못하다. 이 때문에 이 논문에서는 실제 응용에서 안전한 멀티캐스트를 효율적으로 사용할 수 있도록 그룹키 분배를 위한 중앙 서버를 사용하지 않는 환경에서 가입과 탈퇴가 일어날 때마다 개별적으로 처리하지 않고 일괄 처리하는 여러 알고리즘을 제안하고 그 성능을 분석한다.
-
올해 발생한 슬래머웜 등 인터넷웜은 감염스피드와 피해영향으로 인하여, 정보보호의 전략을 급격하게 수정하게 만들었다. 가장 큰 문제는 기존의 정보보호제품이 신종 취약점과 공격에는 무용지물임이 증명되었고, 결국 Practice에 근거한 관리 및 프로세스에 의한 보안이 중요함을 보이고 있다. 또한 그동안 보안관리는 온라인화 되지 않은 자산에 근거한 모델이 많았지만 현재는 온라인화 된 자산에 대한 실시간 보안관리 방법이 매우 중요해지고 있다. 실시간 취약점관리, 실시간 위협관리, 실시간 위험관리 등을 통하여, 실시간 보안관리의 해외동향과 이론적 근거에 바탕을 둔 프레임워크 설계를 보이고자 한다.
-
We propose a new auction protocol scheme that uses the publicly verifiable secret sharing (PVSS) scheme. Unlike the existing scheme where a verifiable encryption scheme is employed when there is a dispute between a bidder and the auctioneer, the proposed scheme essentially removes the potential of a dispute. In addition, it has a robust registration phase and any entities participating in or observing the auction can verify the correctness of the auction process. The manager does not directly chooses the private key for the bidders, but only verifies the correctness between the private key and the public key, thereby improving the security, such as a bid submission of a malicious manager using the private key of a bidder.
-
컴퓨터 포렌식스(Computer Forensics)란 컴퓨터 범죄자료가 법적 증거물로써 제출될 수 있도록 증거의 확인, 복사, 분석 등 일련의 행위를 하는 것을 말한다. 컴퓨터에서 각종 증거자료를 추출하기 위해서는 컴퓨터 특성 이해와 고도의 보안기술을 갖추지 않으면 실제로 증거자료가 존재함에도 불구하고 그냥 간과해 버릴 수도 있다. 본 논문에서는 컴퓨터 범죄를 소개하고 컴퓨터 포렌식스의 소요 기술을 분류하며, 컴퓨터 포렌식스 기술에서 중요한 부분을 차지하고 있는 삭제된 파일 복구기술에 대하여 고찰한다.
-
보안 시스템의 안전성을 분석하기 위해서는, 정형적 방법론을 사용하여 보안 시스템에 대한 이론적인 수학적 모델을 정형적으로 설계하고, 보안 속성을 정확히 기술해야만 한다. 본 논문에서는 보안 시스템의 안전성을 검증하기 위한 보안모델의 구성요소와 안전성 검증방법을 설명한다. 그리고 보안모델을 설계하고 안전성을 분석하기 위한 SEW(Safety Evaluation Workshop)의 전체 구조와 SPR(Safety Problem Resolver) 정형검증도구의 검증방법 및 기능에 대해 소개하고자 한다.
-
본 논문에서는 액티브 네트워크 상에서 강력한 자원 관리와 액티브 응용의 제어를 위해 접근제어 메커니즘을 적용한 안전한 리눅스 커널을 분석 설계하였다. 설계된 접근제어 모델은 직무기반 접근제어를 이용하여 권한을 효과적으로 통제하고, 신분 및 규칙 기반 접근제어를 이용하여 정보 및 시스템의 비밀성, 무결성, 가용성의 보장 및 시스템의 불법적인 접근을 방지할 수 있다. 리눅스 마이크로 커널 기반 접근제어 모델을 직무, 보안등급, 무결성 등급 및 소유권의 다단계 보안 정책을 기반으로 시스템의 불법적인 접근, 직무기반, 소유권 등의 다단계 보안 정책을 기반으로 하여 시스템의 불법적인 접근을 통제 할 수 있다.
-
기업의 정보화 추진은 첨단의 정보처리기술이 기업영역으로 흡수되면서 기업사회에 기업의 효율성 제고라는 효과와 함께 노동자의 정보인권보호라는 문제가 서로 충돌하는 위험성도 확대되고 있어 대책마련이 요구되고 있다. 그럼에도 불구하고 정보보호에 대한 무감각은 경영의 효율성을 요구하는 왜곡된 사회구조에 의해 뒷받침된다. 자본과 언론이 경제위기의 심각성을 경고하게 되면 이 불안감에 정치권은 정보보호의 측면을 외면하고 경영의 효율성에 지향된 법정책을 채택하게 된다. 이러한 일련의 과정을 통하여 정보보호의 중요성은 경영의 효율성보다 작은 이익으로 평가되기 마련이며, 결과적으로 노동자의 인권침해가 발생하게 되는 것이다. 정보처리기술의 발전과 함께 기업의 정보화는 노동자의 행동을 보다 더 철저히 감시·통제하는 것이 가능해졌다. 산업현장에 새로이 파생된 정보인권 침해문제는 한편으로 정보보안의 확립과 함께 정보처리기술을 이용한 노동통제를 규제하기 위한 법적·제도적 장치의 마련을 촉구하고 있다. 정보의 활용이 많은 효율성을 가진다 해도 인권의 침해가 없는 기업생활의 보장은 국민의 기본권을 보장하고 있는 헌법정신의 구현이며 시대적 요청이기도 하다. 무엇보다도 정보인권 시대에 걸맞은 관련 법률의 제정과 개정 등의 정비가 이루어져야 한다 산재된 정보보호 관련규정을 통합하고 온-오프라인의 접목 등 다양한 영역을 포괄할 수 있는 공통원리를 적용하여‘개인정보보호기본법’(가칭)을 제정할 것을 제안한다. 그 기반 위에 노동법상으로 산업현장 이라는 특수영역에서의 정보인권을 보호하기 위하여 노동조합의 주도적 참여를 보장하는 등의 직접적이고 구체적인 정보인권보호 방안을 구축해 나가야 할 것이다.측면에서 매우 경제적인 Uncoupled scheme이 추천된다.는 못하였다.달팽이에서는 거의 검출되지 않은 반면 왕우렁이에서 다소 높게 검출되었다. 중성지질의 지방산 조성은 식용달팽이 경우
$C_{18:2}(16.80{\sim}17.74%)$ ,$C_{20:2} (12.15{\sim}12.59%)$ ,$C_{18:1}(9.79{\sim}10.37%)$ 및$C_{18:0}(7.71{\sim}12.43%)$ 과$C_{16:0}$ ,$C_{20:4}$ 함량이 많으나 그밖에 melanic type에서$C_{18:3}(20.90%)$ 함량이 매우 높았으며, 또한 polyene산 함량도 가장 높게 나타났다. 왕우렁이는$C_{16:0}(16.96{\sim}17.46%)$ ,$C_{18:1}(13.79{\sim}13.95%)$ ,$C_{18:2}(12.90{\sim}15.70%)$ 및$C_{18:0}$ ,$C_{20:4}$ ,$C_{22:6}$ 이 주성분으로 type별로 그 조성이 비슷하였다. 당지질은 식용달팽이 경우$C_{18:2}(19.01{\sim}19.72%)$ ,$C_{16:0}(12.89{\sim}18.76%)$ ,$C_{18:0}(12.68{\sim}17.52%)$ 와$C_{18:1}$ 이 주요 지방산이었으나 이중$C_{1 -
정보통신 기술의 발전 및 인터넷의 급속한 발전으로 사회 각 분야에서 인터넷을 통해 전송되는 데이터의 안전성을 위한 보안 기술들이 필요시 되고 있다. 이를 해결하기 위한 기술들의 하나로 XML(extensible Markup Language) 보안 기술들이 많이 활용되고 있다. XML에서 제공되는 많은 보안 기능 중에 XML 서명 기술은 비XML 문서를 서명하거나 필요한 부분에만 서명이 가능하므로 전송되는 데이터의 안전성을 위해 많이 사용되고 있다. 본 논문에서는 PKI 환경에서 강조되는 암호학적으로 안전한 인증 메커니즘을 위해 X.509 인증서를 XML 서명 기술에 활용하여 사용자간에 인증을 하고 사용자 자원 및 공통 자원에 접근 가능한 접근 제어 모델과 이 모델에 적용 가능한 DTD(Document Type Definition)를 정의하는데 목적이 있다.
-
MANET 환경에서 Security Property를 만족하는 라우팅 프로토콜을 Localized Certificated 방식의 매카니즘에 각 노드의 Power 정보를 추가하여 인증 그래프를 형성한다. 요구 기반 라우팅 프로토콜을 인증 그래프를 기반하여 라우팅 패스를 지원하여 임의의 노드를 변조를 막으며 또한 특정 노드에 집중되는 현상을 지양하는 로드 밸런싱의 매카니즘을 제안한다.
-
본 논문에서는 하나의 네트워크로 연결되어진 가정내의 모든 가전 기기 및 PC 관련 제품들을 인터넷 접속을 통해 제어 및 데이터 전송을 가능하게 하는 흠 네트워크에서 DDoS Attack을 방지하고 보안 통신을 가능하게 하는 Secure Coordinator를 구현하였다 여러 가전기기들은 진화를 거듭하여 데이터 통신 및 원격 제어가 가능하게 되었고 대부분의 전자 장비들과 연결되어 하나의 Network를 구성하고 있다. 이러한 데이터 통신은 아직 암호화 통신이 이루어지지 않아 쉽게 외부로 유출 될 수 있을 뿐만 아니라 악의적인 사용자의 DDoS Attack 에 의해서 내부 Network는 쉽게 무력화 될 수 있다. 본 논문에서는 Secure Coordinator를 통한 DDoS Attack 방지 및 암호화 통신을 구현하였으며, 본 시스템을 통해 기존 시스템의 수정 없이 서버 및 클라이언트 앞단에 모듈처럼 삽입하는 방식으로 선계가 되어 있어 Home Networking 뿐만 아니라 서버/클라이언트어플리케이션에 많은 활용이 기대되어 진다.
-
본 논문에서는 인터넷 기반 P2P 네트워크를 이용한 Grid 컴퓨팅에서의 효율적인 보안 관리 모델을 제시한다. 하나는 P2P 네트워크를 이용한 에러 복구 과정과 다른 하나는 에이전트간 신뢰관계 구성 방안이다. 또한 P2P 네트워크에서 다양한 네트워크 간 보안 통신을 보장하기 위해 SOAP을 이용한 보안 메시지 프로토콜을 제안한다. 제안된 새로운 보안 관리 모델은 P2P 네트워크로 구성된 Grid 컴퓨팅 네트워크의 성능을 향상시킬 것으로 기대된다.
-
무선랜 환경에서는 데이터 링크 레이어의 전달 매체와 물리적 계층이 기존의 유선 네트워크와는 근본적으로 다른 특성을 지닌다. 무선랜 환경에서는 공중망을 전달 매체로 하여 통신이 이루어진다. 그리고 무선랜 환경에서는 단말기들의 이동성에 의해 네트워크 상태가 가변적으로 변하기 때문에, 이러한 환경에서 유선과는 또 다른 보안상의 문제점들을 가지게 된다. 본 논문은 무선 구간에서 유동적으로 발생하는 네트워크의 상태와 정보들을 수집하여 무선 구간에서만 이루어질 수 있는 보안상의 문제점들을 파악하고 대처하는 무선랜 환경에서 상태 정보 수집 에이전트를 설계하고 구현한다.
-
현재의 네트워크 공격 중 대부분은 특정시스템의 서비스를 거부하도록 하여 서비스에 대한 가용성을 제공하지 못하도록 하는 공격이다. 이러한 공격의 유형은 DoS로부터 시작해서 현재에는 DDoS, DRDoS등의 보다 지능화된 새로운 공격으로 발전하고 있다. 이러한 공격은 탐지 자체도 어려울 뿐만 아니라 탐지하더라도 이에 대응하기 위한 방법 또한 어려운 것이 현실이다. 본 논문에서는 시뮬레이션 도구를 이용해서 보호하고자 하는 네트워크를 가상으로 구성하고 서비스공격 행위의 패턴들을 분석, 적용함으로써 통합보안관제 시스템에서 최적의 서비스 거부 공격 완화 방법을 설계하는 시스템을 제안한다.
-
무선랜 환경에서 무선랜 단말이 AP(Access Point)사이를 로밍(Roaming)할 때 무선랜단말의 안전한 핸드오프를 위한 프로토콜로서 IAPP(InterAccess Point Protocol)가 있고 관련된 IEEE표준으로 802.11f가 있다. 무선랜단말의 안전한 핸드오프를 위해서는 IAPP를 통하여 기존에 접속되었던 AP에서 새로운 AP에게 무선랜단말의 인증 또는 과금관련 정보를 안전하게 전달하는 것이 필요하다. IEEE 802.11f에서는 무선랜단말의 핸드오프를 지원하는 액세스포인트를 인증하고 AP사이의 안전한 통신을 위한 정보를 제공하는 IAPP서버로 라디우스(RADIUS) 서버를 권고한다. 본 논문에서는 라디우스 서버의 한계를 극복하고 보다 확장성과 신뢰성이 뛰어난 서버를 위해 Diameter를 사용한 IAPP 서버의 구조와 동작에 대해서 설 명 한다.
-
선거를 전자적으로 구성하기 위해서는 비밀성(privacy), 선거권(eligibility) 등과 함께 전체검증(universal verifiability)과 매표방지(receipt-freeness) 속성을 반드시 제공해야 한다. 지금까지 제안된 전자선거 기법은 매표방지와 전체검증을 제공하기 위해 도청 불가능한 채널이라는 물리적인 가정 하에 이루어지거나 하드웨어 장치를 이용하더라도 장치에 대한 신뢰가 가정되었다. 본 논문에서는 믹스 서버나 랜덤마이저의 역할을 스마트카드와 같은 안전한 하드웨어 장치가 하므로 물리적 가정 없이 효율적으로 구현한다. 제안한 시스템은 표를 섞는 과정에서 permutation matrix를 사용하여 증명하므로 증명의 회수가 적고 간단하여 효율적이다. 또한, 지금까지 제안된 대부분의 선거 기법은 ElGamal 암호시스템의 준동형 특성을 이용하여 모든 표를 결합한 다음 해독하여 집계를 계산하는데 이는 이산대수 문제를 효율적으로 해결할 수 있어야 가능했다. 이 논문에서는 ElGamal 암호시스템과 다차잉여 기반 암호알고리즘인 Naccacne 암호알고리즘을 결합하여 표를 인코딩 함으로써 유권자의 수가 많은 선거에 대해서도 다항 시간 내에 집계가 가능하다.
-
S.S.Al-Riyami와 K.G.Paterson에 의해 제안된 Certificate-less 공개키 암호 시스템은 기존 공개키 암호 시스템이 가지는 인증서 관리의 불편함과 ID-based 암호 시스템이 가지는 Key Escrow문제를 동시에 해결해 주었다. 하지만 대부분의 공개키 암호 시스템 과 마찬가지로 Certificate-less 공개키 암호 시스템 역시 비공개키의 노출에 대한 문제를 가지고 있다. 따라서 본 논문에서는 기존 Certificate-less 공개키 암호 시스템에 Strong Key Insulation을 제공함으로써 보다 안전한 암호 시스템을 제안한다. 또한 이 시스템은 기존 Key Insulated 공개키 암호 시스템에 비해 계산량을 줄임으로써 보다 효율적인 암호 시스템을 구축할 수 있다.
-
본 논문에서는 5-라운드 KASUMI의 포화공격에 대하여 다룰 것이다. KASUMI는 3GPP에서 사용되는 알고리즘으로, 64비트의 평문을 입력받아 128비트의 키를 사용하여 64비트의 암호문을 출력하는 블록암호이다. 본 논문에서는 l0
$\times$ 2$^{32}$ 의 선택 평문을 이용하여, 공격 복잡도 2$^{115}$ 를 갖는 5라운드 포화공격(Square Attack)을 소개할 것이다. 또한, 이 공격은 함수의 키를 9비트 고정함으로서 향상시킬 수 있다. 이러한 경우, 7$\times$ 2$^{32}$ 의 선택평문을 이용하여, 공격 복잡도 2$^{83}$ 을 갖는 5라운드 포화공격을 성공시킬 수 있다. -
In[5], the bit security of keys obtained from protocols based on pairings has been discussed. However it was not able to give bit security of tripartite authenticated key(TAK) agreement protocol of type 4. This paper shows the bit security of keys obtained from TAK-4 protocol.
-
무선랜은 현재 무선 네트워크에서 매우 중요한 역할을 차지하며, 앞으로의 차세대 무선 통합네트워크에서 또한 그 비중이 매우 높아 질 것이다 특히 핫스팟과 같은 공중망서비스의 확산으로 무선 인터넷 등의 차세대 정보 컨텐츠 산업의 중요한 매체로 부각되고 있다. 이에 부합하여 무선랜 서비스에 있어 사용자의 프라이버시(Privacy) 및 접근제어(Access Control), 인증(Authentication), 과금(Accounting), 빌링(Billing) 등의 다양한 보안 문제가 중요한 이슈로 대두되고 있다. 본 논문에는 공중 무선랜에서의 이동성이 고려된 인증 모델을 여러 국제 표준에 맞추어 제안하고, 그에 대한 검증 결과를 함께 제시한다. 제안된 모델은 상호 연동성 및 호환성을 보장하기 위해 Diameter를 기반 기술로 사용하였다.
-
We give explicit formulae for composition of genus two. The previous work described in[4]only contains the formulae for common cases. In this paper, we give formulae for all cases of two divisors as input. Furthermore, the formulae contains the .form of rational functions such that related to the implementation of the Tate pairing.
-
대리 서명 방식은 전자서명 방식의 한 응용분야로써 1996년 Mambo[1]에 의하여 처음으로 제안되었으며, 이후 다양한 특성을 갖는 Schnorr 서명 기반 대리 서명들이[2,3]에서 제안되었다. 특히 B.Lee[3]은 대리 서명키의 오용을 막을 수 있는 강한 대리 서명기법(Strong Proxy Signature Scheme, SPSS)을 제시하였다. 그러나 이 기법에 대하여[6]은 서명위조 공격에 안전하지 않음을 기술하였다. 본 논문에서는 이와 같은 공격을 피할 수 있도록 방법을 제시하면서 더불어 이를 응용한 대리은닉 서명(proxy blind signature)을 제안한다.
-
Pervasive computing은 본래의 의미에서 알 수 있듯이 모든 개체들이 네트워크로 연결되어 보다 향상된 서비스 환경을 제공하고자 하는 것이 목표이므로, 작게는 센서들에 의한 네트워크로부터 크게는 인공위성 네트워크까지 다양한 크기와 성능을 갖는 네트워크 개체들이 존재하는 복합 환경을 구성하게 된다. 이와 관련하여 IPv6의 보급, 이동 단말의 성능향상, 다양한 서비스와 어플리케이션 개발을 통해 새로운 네트워크 실현을 가속화하고 있다. 이러한 차세대 네트워크는 많은 사용자와 단말들의 적응적 상호 작용이 주요 핵심 부문이 될 것이다. 따라서 본 논문에서는 이러한 네트워크 구성 요소의 적응적 상호 작용의 신뢰성을 보장하기 위한 보안 체계를 연구하는 것을 목표로 한다.
-
시스템의 안전성을 평가하기 위해 안전성 문제 해결 도구인 SPR[1]을 이용하여 보안 모델을 프롤로그 기반의 명세 언어인 SPSL로 기술하여 안전성을 검증한다. 보안 모델은 시스템의 3가지 컴포넌트, 시스템 보안 상태(system security states), 접근 통제 규칙(access control rules), 그리고 보안 기준(security criteria)으로 구성된다. 본 논문에서는 보안 모델의 보안 기준에 NTFS의 다중 사용 권한을 적용하여 명세하고 안전성 문제 해결방법을 제시하고자 한다.
-
본 논문에서는 현재 공개되어 있는 ClamAV 안티바이러스 엔진의 소스를 분석하여 플랫폼 독립적인 구현을 시도했다. 구체적으로 유닉스 기반에서 Java 프로그래밍 언어를 사용했으며, 사용자의 편의를 위한 GUI 환경을 SWING을 사용하여 구축했다 아울러 공개된 안티바이러스 엔진보다 효율성을 높이기 위하여 효율적인 매칭 알고리즘 선택 및 바이러스 패턴 데이터베이스의 재구성에 관하여 제안한다.
-
컴퓨터 바이러스 문제에 대한 해결 주체는 현재의 클라이언트 중심에서 서버 중심으로 옮겨가는 것이 바람직하다. 그러나 지금까지 나온 서버용 안티바이러스 엔진들은 기존의 클라이언트용 엔진에 대한 반복 구현적인 성격이 강했기에 서버 시스템 자체의 특성을 충분히 감안하지 못하고 있다. 본 논문에서는 대부분의 서버들이 다수의 CPU 가진 병렬처리 시스템임을 감안하여 이러한 특징을 반영하여 전체적인 시스템 효율성을 높이도록 새로운 안티바이러스 엔진을 설계한 후 현재 구현 중인 주요 연구 내용을 소개한다. 다중프로세서 시스템에서 실행되는 안티바이러스 엔진은 하나의 모니터링 모듈에 다수의 동등한 에이전트 엔진을 가지고 구성된다. 모니터링 모듈은 엔진의 설치와 동적 부하균형, 자동갱신 등의 일을 담당한다. 에이전트 엔진들은 안티바이러스 기능을 기반으로 다양한 실행패턴을 가질 수 있으며 이를 통하여 서버에서 수행되는 효율성을 높일 수 있게 해준다.
-
Nowadays mobile phones and PDAs are part and parcel of our lives. By carrying a portable mobile device with us all the time we are already living in partial Pervasive Computing Environment (PCE) that is waiting to be exploited very soon. One of the advantages of pervasive computing is that it strongly supports the deployment of Location-Based Service(s) (LBSs). In PCE, there would be many competitive service providers (SPs) trying to sell different or similar LBSs to users. In order to reserve a particular service, it becomes very difficult for a low-computing and resource-poor mobile device to handle many such SPs at a time, and to identify and securely communicate with only genuine ones. Our paper establishes a convincing trust model through which secure job delegation is accomplished. Secure Job delegation and cost effective cryptographic techniques largely help in reducing the burden on the mobile device to securely communicate with trusted SPs. Our protocol also provides users privacy protection, replay protection, entity authentication, and message authentication, integrity, and confidentiality. This paper explains our protocol by suggesting one of the LBSs namely“Secure Automated Taxi Calling Service”.
-
웹 응용프로그램에 대한 위협이 점차 확산되면서 오늘날 많은 Web Application Firewall들이 등장하고 있다. 하지만, 대부분의 기관에서 웹 서버 자체의 변조는 기관의 미지 실추를 제외하면 업무상 큰 문제를 유발하지 않는다. 웹 서버에 대한 보안을 고려하는 이유는 웹 서버가 침입을 당할 경우 DB 서버의 내용에 손상이 가해질 수 있기 때문이다. 본 고에서는 Web Application Firewall과 연동하여 허용되는 SQL 질의패턴을 자동으로 생성하여 불법적인 SQL 질의를 차단하는 DB Application Firewall을 제안한다. 이를 통해 웹 응용프로그램의 취약점으로 인해 SQL 질의가 변조되더라도 DB 서버에 해당SQL질의가 전달되는 것을 차단할 수 있다.
-
어디서나 접속할 수 있는 인터넷의 광역성과 최근 들어 인터넷을 통한 전자상거래의 급진전, 네트웍을 통한 다양한 형태의 원격 접속 확대 등으로 이제 많은 기업들이 통신비가 상대적으로 저렴하면 서도 기밀성이 보장되는 인터넷을 기반으로 하는 Internet Protocol Virtual Private Network(IP VPN) 도입을 서두르고 있다 VPN은 공중망 인프라를 공유하여 구축된 가상 사설망을 의미한다. IP VPN으로 기업은 본사와 지사를 연결하는 Intranet, 협력사와 연결되는 Extranet 그리고 최근 들어 급증하고 있는 이동 근무자와 재택 근무자를 회사에 안전하게 연결시킬 수 있는 원격 접속 등을 경제적으로 구축할 수 있다. 또한 광케이블과 동축케이블이 혼합된 Hybrid Fiber & Coaxial(HFC)망이 초고속인터넷, 디지털방송, 주문형비디오(VOD) 등의 멀티미디어 서비스를 수용하기에 가장 좋은 방안으로 최근 각광을 받고 있다. HFC망은 기존의 CATV망을 기반으로 하므로 신규 투자비가 적게 들면서도 다양한 형태의 고속 데이터 통신이 가능하다. 이에 본 논문에서는 HFC망에서의 IP VPN의 성능을 전송 프로토콜과 암호화 알고리즘을 달리 하면서 어떤 요소가 성능에 얼마나 영향을 주는지와 요소간 상호작용이 어떻게 일어나는지, 또한 어떤 조합으로 VPN 통신을 할 때 가장 좋은 성능을 보이는지를 비교 분석한다.