• 한국컴퓨터정보학회논문지
• /
• 제25권2호
• /
• pp.93-103
• /
• 2020

원격 의료 정보 시스템(TMIS; Telecare Medical Information System)은 편리하고 빠른 헬스 케어(health-care) 서비스를 제공한다. 원격 의료 정보 시스템을 위한 안전하고 효율적인 인증 및 키 합의 기법은 전자 환자 기록(EPR; Electronic Patient Record)을 안전하게 보호하고, 헬스케어 종사자와 의료진이 신속하고 정확하게 임상 의사결정(clinical decision)을 할 수 있도록 도와준다. Giri 등은 원격 의료 정보 시스템을 위한 스마트 카드(smart card)를 이용한 RSA기반 원격 사용자 인증 기법을 제안하였으며, 제안한 기법이 다양한 악의적인 공격에 강인하다고 주장하였다. 본 논문에서는 그들의 기법이 여전히 스마트 카드 분실 공격(lost smart card attack)과 재전송 공격(replay attack)에 취약함을 보이고, 그러한 단점을 개선한 기법을 제안한다. 기존의 원격 의료 정보 시스템을 위한 인증 기법들과 안전성을 비교한 결과를 보면, 제안한 기법이 더욱 안전하고 실용적이다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제5권9호
• /
• pp.1684-1697
• /
• 2011

We show that two protocols for RFID mutual authentication in pervasive computing environments, recently proposed by Kang et al, are vulnerable to several attacks. First, we show these protocols do not preserve the privacy of users' location. Once a tag is authenticated successfully, we show several scenarios where legitimate or illegitimate readers can trace the location of that tag without any further information about the tag's identifier or initial private key. Second, since the communication between readers and the database takes place over an insecure communication channel and in the plaintext form, we show scenarios where a compromised tag can gain access to confidential information that the tag is not supposed get access to. Finally, we show that these protocols are also vulnerable to the replay and denial-of-service attacks. While some of these attacks are due to simple flaws and can be easily fixed, others are more fundamental and are due to relaxing widely accepted assumptions in the literature. We examine this issue, apply countermeasures, and re-evaluate the protocols overhead after taking these countermeasures into account and compare them to other work in the literature.

• 한국정보시스템학회지:정보시스템연구
• /
• 제11권1호
• /
• pp.175-198
• /
• 2002

This paper is to develop a security module for electronic approval systems. Electronic documents are created, transmitted and saved in the company's intranet computer network. Transmitting electronic documents, however, brings us a security problem. Communications among various computer systems are exposed to many security threats. Those threats are eavesdropping, repudiation, replay back etc. The main purpose of this paper is to develop a module which provides the security of electronic documents while they are passed from one place to another This paper applies Multi-Level security to the electronic approval system that guarantees security of electronic documents from many threats. Multi-Level security controls the access to the documents by granting security level to subject users and object electronic documents. To prevent possible replay back attacks, this paper also uses one time password to the system. The security module is composed of client program and server one. The module was developed using Microsoft Visual Basic 6.0 and Microsoft SQL Server 7.0. The code uses Richard Bondi's WCCO(Wiley CryptoAPI COM Objects) library functions which enables Visual Basic to access Microsoft CryptoAPI.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.735-738
• /
• 2011

회원가입 정보를 이용하는 대다수의 웹 어플리케이션은 쿠키 및 세션을 이용한 인증기법으로 로그인 인증을 한다. 그러나, 쿠키에 의존하여 로그인 인증을 하는 웹 어플리케이션은 재전송 공격(Replay Attack)에 취약하다. 재전송 공격이란 사용자가 로그인할 때 쿠키의 정보를 해커가 스니핑(Sniffing)하여 Opera 웹브라우저의 쿠키 관리자에서 강제로 재전송하여 위장할 수 있는 공격을 말한다. 본 논문에서는 쿠키와 세션 인증키를 이용하여 재전송 공격을 방어할 수 있는 알고리즘을 제안하였다. 그리고, 클라이언트와 서버간에 신뢰할 수 없는 통신으로 인한 스니핑의 문제점을 서버에만 저장된 암호화된 세션 인증키로 개선하였다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제13권2호
• /
• pp.187-194
• /
• 2021

This paper presents a margin-based face liveness detection method with behavioral confirmation to prevent spoofing attacks using deep learning techniques. The proposed method provides a possibility to prevent biometric person authentication systems from replay and printed spoofing attacks. For this work, a set of real face images and fake face images was collected and a face liveness detection model is trained on the constructed dataset. Traditional face liveness detection methods exploit the face image covering only the face regions of the human head image. However, outside of this region of interest (ROI) might include useful features such as phone edges and fingers. The proposed face liveness detection method was experimentally tested on the author's own dataset. Collected databases are trained and experimental results show that the trained model distinguishes real face images and fake images correctly.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권2호
• /
• pp.41-48
• /
• 2018

지금까지 피싱에 대응하기 위한 여러 연구가 진행되어 왔다. 가장 대표적인 안티 피싱 방법은 피싱 사이트의 URL 정보를 미리 수집한 뒤, 사용자가 방문하는 사이트의 URL과 미리 저장된 정보를 비교하여 피싱을 탐지하는 방법이다. 하지만 이러한 블랙리스트 기반의 안티피싱 방법은 새로운 피싱 사이트를 탐지하지 못하는 한계를 갖는다. 이에 다양한 안티 피싱 인증 프로토콜이 제안되어 왔지만 대부분 인증과정에서 공개키와 비밀키를 필요로 한다. 이에 본 논문에서는 피싱 공격에 안전한 패스워드 기반 상호 인증 프로토콜을 제안한다. 제안된 프로토콜에서 클라이언트와 서버간의 상호 인증은 패스워드 정보가 포함된 인증 메시지를 통해 수행된다. 인증 과정에서 사용되는 인증 메시지에는 패스워드 원본이 아닌 패스워드의 해시 값이 포함되며, 인증 시 매번 다른 메시지가 사용되기 때문에 재생공격, 도청 공격에 안전하다. 또한, 상호 인증을 수행하기 때문에 중간자 공격에 안전하며, 인증을 위한 별도의 키 발급 과정이 필요없다.

• 한국전자거래학회지
• /
• 제18권2호
• /
• pp.81-93
• /
• 2013

원격사용자 인증스킴은 안전하지 않은 통신상에서 원격 서버에게 사용자의 적법함을 확인하는 방법이다. 현재, 스마트카드 기반의 원격사용자 인증스킴들은 상호인증을 위해 연산비용은 낮추면서 간편한 기법이 넓게 적용되어오고 있다. 2009년, Wang et al.'s는 스마트카드를 이용한 동적 ID기반의 원격사용자 인증스킴을 제안했다. Wang et al.'s 스킴은 여러 가지 공격에 안전하고 서버에서 선택된 강력한 패스워드에 의해 익명성이 보장된다고 주장했다. 그러나 본 논문에서는 Wang et al.'s 스킴이 인증과정에서 사용자의 익명성을 제공하지 않는 취약점이 있다고 지적한다. 또 사용자에게 패스워드 선택의 권한이 없으며 제한된 replay 공격에 취약하다. 특히 사용자에게 전송된 파라미터 y는 매우 부적절하게 사용되고 있다. 이러한 보안의 결점을 극복하기 위해 Wang et al.'s 스킴의 식별된 약점을 보완하고 사용자와 원격서버 간에 완전한 익명성보장과 향상된 인증스킴을 제안한다.

• 중소기업융합학회논문지
• /
• 제6권3호
• /
• pp.29-35
• /
• 2016

본 논문은 디바이스 불변 정보를 이용한 사용자 인증 시스템(DCIAS)을 설계 제안한다. 네트워크상의 시스템 접근 시 사용자 인증에 사용될 접근 디바이스 불변정보를 이용한 새로운 패스워드를 설계 정의하고, 다른 응용들에서 획득한 패스워드를 재사용하는 수동적 재전송 공격으로부터 요구되는 보안 위협에 대처할 수 있도록 신 개념 사용자 인증 시스템을 설계 제안한다. 또한 서버 내에 임의의 암호화된 장소에 설계 정의한 패스워드를 저장하여 네트워크를 통한 불법적인 시스템 접근을 무력화시키도록 설계한다. 따라서 제안한 본 시스템을 이용하면 어떠한 네트워크를 통하여 시스템에 접근하더라도 어느 곳에 패스워드가 저장되어 있는지를 알 수 없고, 설상 알았다고 하더라고 저장된 정보가 암호화되어 있어 해독이 쉽지 않아 네트워크상의 어떠한 재전송 공격이라도 무력화할 수 있다는 강력한 보안 특성을 갖는다.

• 정보처리학회논문지C
• /
• 제16C권3호
• /
• pp.347-356
• /
• 2009

RFID 검색 프로토콜에서 리더는 특정한 태그만이 인식할 수 있는 질의를 전송하고 그 응답을 수신하여 해당 태그의 존재 유무를 판단한다. 리더의 질의에는 검색하고자 하는 태그의 식별자가 포함되어야한다는 검색 프로토콜의 구조적인 특징은 검색 프로토콜을 재전송 공격에 더욱 취약하게 만들며 일반적인 RFID 인증 프로토콜에서 사용하는 상호 인증 기법들을 그대로 적용하기 어렵게 만든다. 본 논문에서는 카운터를 사용하여 이러한 문제를 해결한 정적 아이디 기반의 RFID 검색 프로토콜과 동적 아이디 기반의 RFID 검색 프로토콜을 제안한다. 또한 본 논문에서는 전방향/후방향 위치추적, 비동기, 위장 공격의 개념을 포함하는 새로운 보안 모델을 제시하며 이에 근거해 기 제안된 프로토콜들과 제안하는 프로토콜의 안전성을 분석한다.

• 정보보호학회논문지
• /
• 제19권6호
• /
• pp.83-92
• /
• 2009

RFID 시스템을 이용하여 다수의 태그를 동시에 인증하기 위한 방법으로 Ari Juels는 Yoking-Proof 프로토콜을 제안하였다. 일반적인 Yoking-Proof 방법은 MAC(Message Authentication Code)을 이용하여 인증을 하기 때문에, 저가형 태그에 적용하기가 어렵다. MD5와 같은 일반적인 해쉬함수도 저가형 태그에 구현하는 것은 쉽지 않기 때문이다. 따라서 Ari Juels는 한번만 인증가능한 경량화된 Yoking-Proof 방법도 함께 제안하고 있다. 하지만 제안된 방법에서 사용된 경량화된 MAC인 Minimalist MAC은 그 특성상 한번만 사용가능하고, 또한 제안된 구조는 재생공격에 취약한 구조를 가지고 있다. 따라서 본 논문에서는 Lamport가 제안한 디지털 서명기법을 이용한 경량화된 MAC을 이용하여, 기존에 제안된 논문보다 재생공격에 강하고 다수의 키 값을 저장할 수 있는 형태의 태그를 이용한 Yoking-Proof 프로토콜을 제안한다.