KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Secure Certificates Duplication Method Among Multiple Devices Based on BLE and TCP

BLE 및 TCP 기반 다중 디바이스 간 안전한 인증서 복사 방법

  • Received : 2017.11.13
  • Accepted : 2017.12.26
  • Published : 2018.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

A certificate is a means to certify users by conducting the identification of the users, the prevention of forgery and alteration, and non-repudiation. Most people use an accredited certificate when they perform a task using online banking, and it is often used for the purpose of proving one's identity in issuing various certificates and making electronic payments in addition to online banking. At this time, the issued certificate exists in a file form on the disk, and it is possible to use the certificate issued in an existing device in a new device only if one copies it from the existing device. However, most certificate duplication methods are a method of duplication, entering an 8-16 digit verification code. This is inconvenient because one should enter the verification code and has a weakness that it is vulnerable to security issues. To solve this weakness, this study proposes a method for enhancing security certificate duplication in a multi-channel using TCP and BLE. The proposed method: 1) shares data can be mutually authenticated, using BLE Advertising data; and 2) encrypts the certificate with a symmetric key algorithm and delivers it after the certification of the device through an ECC-based electronic signature algorithm. As a result of the implementation of the proposed method in a mobile environment, it could defend against sniffing attacks, the area of security vulnerabilities in the existing methods and it was proven that it could increase security strength about $10^{41}$ times in an attempt of decoding through the method of substitution of brute force attack existing method.

인증서는 사용자의 신원확인 및 위 변조 방지, 부인방지 등의 기능을 수행하여 사용자를 증명할 수 있는 수단이 된다. 대부분의 사람들이 인터넷뱅킹을 이용한 업무를 수행할 때 공인인증서를 사용하며, 인터넷뱅킹 외에도 각종 증명서 발급, 전자 결제 등에서도 신원을 입증하는 용도로 많이 사용되고 있다. 이때 발급받은 인증서는 디스크 상에 파일 형태로 존재하며, 만약 새로운 디바이스에서 인증서를 사용하기 위해서는 기존의 디바이스에서 발급받은 인증서를 복사해야 사용이 가능하다. 하지만 대부분의 인증서 복사 방법은 8~16자리의 인증번호를 입력하여 복사하는 방법이며, 이는 인증번호를 입력해야 되는 번거로움이 있고, 보안에 취약하다는 단점이 있다. 이러한 단점을 해결하기 위해 본 논문에서는 TCP와 BLE를 사용하는 다중 채널에서의 보안강화 인증서 복사 방법을 제안한다. 제안하는 방법은 1) BLE Advertising data를 이용하여 상호간에 인증 가능한 데이터를 공유하고, 2) ECC기반 전자서명 알고리즘을 통해 디바이스 인증 후 대칭키 알고리즘으로 인증서를 암호화하여 전달한다. 제안하는 방법을 모바일 환경에서 구현한 결과 기존방법의 보안취약영역인 스니핑 공격에 대한 방어가 가능하며, 무작위 대입 공격을 통한 복호화 시도 시 기존의 방법보다 약 $10^{41}$배 정도의 보안강도를 높일 수 있음을 보였다.

Keywords

References

  1. The Bank of Korea [internet], http://www.bok.or.kr/.
  2. Hye-Seung Park, Jae-Hyup Lee, and Seung-Chul Park, "Implementation, Security, and Usability Analysis of Accredited Certificate-based Internet Banking," Journal of Internet Computing and Services, Vol.18, No.4, pp.69-78, 2017. https://doi.org/10.7472/JKSII.2017.18.4.69
  3. Seon-Joo Kim and In-June Joe, "Management Method for Private Key File of PKI using Container ID of USB memory," Journal of the Korea Contents Association, Vol.15, No.10, pp.607-615, 2015. https://doi.org/10.5392/JKCA.2015.15.10.607
  4. DongOh Shin, Jeonil Kang, DaeHun Nyang, and KyungHee Lee, "On the Security of Public-Key-Certificate-Relay Protocol for Smart-Phone Banking Services," The Journal of Korean Institute of Communications and Information Sciences, Vol.37, No.9, pp.841-850, 2012.
  5. Ji-Hwan Kim and Suk-Tae Kim, "Certified certificate copy method and system," KR-10-2014-0012028, 2014.
  6. Jiun-Ren Lin, Timothy Talty, and Ozan K. Tonguz, "On the Potential of Bluetooth Low Energy Technology for Vehicular Applications," IEEE Communications Magazine, Vol.53, No.1, pp.267-275, 2015. https://doi.org/10.1109/MCOM.2015.7010544
  7. Seon-Jae Jeong and Jae-Hong Yim, "Implementation of the Passenger Positioning Systems using Beacon," Journal of the Korea Institute of Information and Communication Engineering, Vol.20, No.1, pp.153-160, 2016. https://doi.org/10.6109/jkiice.2016.20.1.153
  8. Bluetooth Techonology Website [internet], https://www.bluetooth.org/ko-kr/specification/assigned-numbers/generic-access-profile.
  9. Daniel R. L. Brown, "SEC 1 : Elliptic Curve Cryptography," Certicom, 2009.
  10. Mashrufee Alam, Israt Jahan, Liton Jude Rozario, and Israt Jerin, "A Comparative Study of RSA and ECC and Implementation of ECC on Embedded Systems," International Journal of Innovative Research in Advanced Engineering, Vol.3, No.3, pp.83-93, 2016.
  11. Daniel R. L. Brown, "SEC 2 : Recommended Elliptic Curve Parameters," Certicom, 2010.
  12. J. Deamen, and V.Rijmen, "Advanced Encryption Standard (AES)," Federal Information Processing Standards Publication 197, 2001.