Proceedings of the Korea Institutes of Information Security and Cryptology Conference (한국정보보호학회:학술대회논문집)
Korea Institute of Information Security and Cryptology
- Semi Annual
Domain
- Information/Communication > Information Security
2001.11a
-
여러 가지 타원곡선을 이용한 암호 프로토콜을 위해서는 안전한 타원곡선의 선택이 필요하고 안전한 타원곡선의 조건은 그것의 크기와 밀접한 관계가 있다. 현재까지 알려진 타원곡선의 위수를 계산하는 알고리듬으로는 Schoof의 계산법, 이를 개선한 Schoof- Elkies-Atkin(SEA)방법, 그리고 Satoh-Fouquet-Gaudry-Harley(Satoh-FGH)방법 등이 있다. 이 논문에서는 표수(characteristic) 2인 유한체 위의 타원곡선에 대한 SEA 방법에 대해서 설명하고 그 구현의 예를 보인다.
-
부-채널 공격 중에서 가장 핵심이 되는 전력분석 공격은 여러 가지 암호알고리듬이 장착된 스마트 카드 시스템에 대해 공격이 이루어졌으며, 대부분 이 전력분석 공격에 취약한 것으로 알려져 있다. 본 논문에서는 AES로 채택된 Rijndael 알고리듬에 대하여 스마트 카드 구현시 고려되는 전력분석 공격중에서 hamming weight 모델을 이용한 세가지의 DPA 공격을 제시하고 그 대응방안을 설명한다.
-
암호 알고리즘 출력문에 대한 난수성 검정들은 평문과 암호문 식별에 중요한 역할을 하고 있다. 실제로, 난수열의 생성자는 비밀키의 생성자와 같은 많은 암호체계에서 사용되고 있으며, 이때 사용되고 있는 난수열은 모의 난수라고 한다. 따라서, 이진수열에 대한 난수성을 검정하는 통계적 검정방법이나 다른 이론적 기준이 필요하다. 본 논문에서는 모의난수열이 갖고 있는 난수성 판정에 관하여 universal 엔트로피 검정방법과 근사 엔트로피 검정방법을 이용하며, 위의 두 방법에 대한 각각의 이론적인 배경과 모의실험을 통한 판정기준을 제공한다.
-
블록 암호 알고리즘과 블록 암호의 운영모드 및 메시지 인증 알고리즘에 대한 의사 난수성의 증명은 근래의 암호 분석에서 구조적인 안전성을 증명을 위한 기법으로 커다란 안전성의 평가 방법으로 자리 매김하고 있다. 본 논문에서는 비동기식(W-CDMA) 3세대 이동통신 3GPP에서의 MAC 알고리즘의 안전성을 의사 난수성에 기반한 concrete security 관점에서의 안전성에 대해 알아본다. 즉, 3GPP-MAC 알고리즘의 구조적인 안전성에 대한 증명을 다룬다.
-
본 논문에서는 현재 대두되고 있는 IT 보안정책중 위험관리의 한 분야인 위험분석 과정을 살펴보았다. 그 중에서도 위험분석의 핵심 역할을 수행하는 취약점 분석 과정에 대해서 연구하였다. 먼저 보안관리와 위험관리의 일반적인 개념을 설명하였고, 다음은 취약점 분석의 중요성을 설명하면서 효율적인 취약점 분석을 위해 단계별 분석과정을 도식화하였다. 그리고 각 분석 단계마다 간략한 모듈을 만들어 단순하면서도 체계적인 분석 방법을 제시하였다
-
역할기반 접근제어(RBAC : Role Based Access Control)는 임의적 접근제어와 강제적 접근제어에 비해 견고함과 유연성을 제공한다. 따라서 RBAC은 최근 금융시스템 및 병원시스템 등에서 많은 관심의 대상이 되고 있다. 본 논문에서는 안전성이 인증된 다중등급보안(MLS : Multi-Level Security) 리눅스를 이용하여 인터넷상에서 가상은행의 금융업무를 안전하게 처리할 수 있는 다중등급기반의 RBAC 시스템을 구현함을 보인다.
-
인터넷 기술자 시장의 급성장으로 인터넷통신은 우리 생활속에 크게 자리잡고 있다. 그런 만큼 인터넷으로부터 얻는 정보는 가히 무시할 수 없을 정도이다. 이런 환경에서 최근 웹사이트의 정상적인 서비스를 방해하는 DDoS 공격은 공격방법과 은닉기법이 날로 첨단화·다양화되고 있어, 이에 대한 탐지와 근원지 추적이 어려운 상태이다. 따라서 본 논문에서는 DDoS 공격의 중간 계층인 핸들러와 에이전트를 추적하기 위해, 핸들러·에이전트간의 통신 취약점을 이용, 이를 탐지하고 역추적할 수 있는 시스템을 제안하고자 한다.
-
본 논문은 신경망 이론중 하나인 Adaptive Resonance Theory(ART)을 사용하여 네트워크 상의 불법적인 침입을 탐지하는 기법에 대한 연구이다. ART는 비교사 학습을 하는 신경망으로써, 적응적인 학습능력이 있으며, 또 새로운 패턴에 대해서 새로운 클러스터를 생산하는 능력이 있다. ART의 이러한 특성을 이용하여, 여러 가지 침입패턴을 네트워크상에서 생산하여 학습을 시키고, 또 test 했으며, test 이후에도 on-line 상에서 새로운 공격 pattern도 찾아냄을 보였다. 따라서, 이미 알려진 침입뿐만 아니라 새롭게 발생하는 침입 기법에 대해서도 새로운 rule의 첨가 없이 적극적으로 대처할 수 있을 것으로 예측된다.
-
늘어가는 정보통신 서비스에 대한 수요를 만족시키기 위하여 현재 유·무선망을 통합하며 지상망과 위성통신망을 연동하는 방안이 사용되고 있다. 위성통신망은 여러 단말들로 구성되어 있으며, 무선 환경에 노출되어 있어 위성통신망 단말들 사이의 보안이 필수적인 요구된다. 따라서 본 논문에서는 Pull과 Push 형태의 두 가지 키 분배 모델과 대칭키, 비대칭키 암호화 알고리즘을 사용하여 위성통신망에서 적합한 단말간 키 분배 모델을 제안하며 그 성능을 분석함으로써 위성통신환경에서의 적합성을 검증하였다.
-
본 논문에서는 이동 에이전트 시스템의 특징을 살펴보고, 현재 다양한 네트워크 기술에 응용되고 있는 Java 기술을 적용한 이동 에이전트 시스템을 비교·분석하였다. 이를 기반으로 안전한 이동 에이전트 시스템 구현을 위한 이동 에이전트 시스템 구현 스택(MASIS)을 제안하고 각 계층별 시큐리티 요구사항에 대하여 논의한다.
-
무선 이동통신의 발전으로 인해 많은 사용자가 발생하였다. 그러나 1세대나 2세대의 경우 이동통신서비스는 기본적으로 음성을 기반으로 서비스를 하였기 때문에 다른 멀티미디어 서비스와 같은 고속 무선 인터넷 통신 수요자의 요구를 충족시키지 못하고 있다. 향후 무선에서 음성위주의 서비스가 아닌 데이터와 이동 멀티미디어 서비스와 같은 서비스를 통해 얻을 수 있다. 하지만 무선망은 전송로가 노출되어 있어 정당하지 않는 사용자에 의한 불법적인 절취 사용과 도청등에 많은 문제점이 발생할 수 있다. 악의적인 제 3의 사용자가 공유되어 있는 문서에 대한 문제점뿐만 아니라 양자간의 계약 혹은 과금 정보에 있어 악의적인 목적을 막는 방법이 필요하다. 다음과 같은 방법에 대한 해결책으로써 문서에 대한 내용증명과 시점확인이 바로 그것이다. 본 논문에서는 앞에서 언급한 문제점을 해결하고자 유선에서 사용중에 있는 시점확인 서비스 혹은 내용 증명 서비스를 향후 발전할 IMT-2000에 적용하여 보았다. 제안한 방식은 IMT-2000에서의 개체를 그대로 이용하면서 효율적인 방식을 제안하였다.
-
3GPP NDS에 관한 연구나 표준화 제정 현황은 아직까지 활발히 이루어지고있는 것은 아니다. 하지만, 다양한 프로토콜이 사용되고 서비스 제공자의 핵심망에 대해 전적으로 신뢰를 할 수 없는 상황에서 유선구간에서의 정보보호도 역시 무선구간 만큼이나 중요한 문제로 대두되고 있다. 본 논문에서는 3GPP 유선구간에서의 정보보호를 위한 3GPP의 최신 표준안을 분석한 것이다. 아직 stage 3 스팩까지는 공개되지 않았지만 stage 2 수준의 표준은 현재 활발히 진행중이다.
-
패스워드는 가장 광범위한 인증의 수단으로 사용되어지고 있다. 안전성 측면에서는 패스워드의 길이가 길수록 안전하고 Dictionary Attack 등에 강할 것이다. 그러나, 긴 패스워드를 기억하고 있는 것은 어려운 일이다. 또한, 하나 이상의 패스워드가 필요한 경우 현실적으로 긴 패스워드를 모두 기억하고 있는 것은 현실적으로 불가능, 혹은 어려운 일이다. 또한, 인터넷 보안을 위한 비밀성을 보장하기 위해서 블록암호알고리즘을 사용하고 있다. 공개키보다 빠른 연산속도를 가지고 있고, 키 분배의 문제를 해결한다면 안전한 인터넷을 이용할 수 있을 것이다. 따라서, 본 논문에서는 짧은 패스워드를 이용하여 키 분배를 이루는 프로토콜을 제안한다. 또한 공격에 강한 알고리즘을 위해서 본 논문에서는 Signcryption 알고리즘을 이용하여 짧은 패스워드를 가지고 키분배를 하고, Dictionary Attack에 강한 알고리즘을 설계한다.
-
AKC 프로토콜(Authenticated Key Agreement with Key Confirmation protocol)은 2명 혹은 다수의 객체가 서로간에 차후에 사용하게 될 암호 알고리즘의 공유키를 확립하기 위한 프로토콜로서, 동시에 객체간의 인증과 확립된 공유키를 확인하는 것이다. 본 논문에서는 M-Commerce(Mobile-Commerce)를 고려한 인증서 기반의 실용적인 2자간 AKC 프로토콜에 초점을 맞춘다. 제안하는 프로토콜은 2명의 객체가 단 한번의 세션과정으로 복수의 공유키를 확립한다. 이것은 무선환경에서 암호 알고리즘의 수출규제에 대한 대안으로 적합하며, 계산량과 통신량을 고려하여 설계되었다. 그리고, 다양한 기존의 공격에 대한 내성에 대해서도 상세히 분석한다.
-
사용자와 서비스 제공자가 인증을 수행할 경우 사용자의 신원이 노출되는 문제가 사회의 큰 이슈로 떠오르고 있으며, 이러한 문제점을 해결하기 위해서 신원 위탁 방식이 제시되었다. 신원 위탁 방식에서는 사용자의 정확한 신원을 가지고 있는 발행자가 사용자에게 인증 정보를 전달하고, 사용자는 이것을 이용해 익명성을 유지한 채로 서비스 제공자와 인증 단계를 수행하게 된다. 본 논문에서는 신원 위탁 방식의 안전성과 신뢰성을 위한 새로운 요구사항을 제시하고 이를 만족할 수 있는 새로운 신원 위탁 방식을 제안한다.
-
위성과 케이블 등을 통한 디지털 방송이 보편화됨에 따라, 양질의 방송 프로그램을 제공함으로 서비스의 질을 높이고 발전시킬 필요가 있다. 유료방송은 이와 같은 고급화되고 차별화 된 방송 서비스를 제공하고, 동시에 안정적인 수입구조의 기반이 될 수 있다. 제한 수신 시스템은 이와 같은 유료 서비스를 제공하는데 필요한 시스템으로서 지속적으로 연구 개발되고 있다. 본 논문에서는 현재까지 제안된 제한 수신 시스템의 운영 및 키 관리 방안을 소개하고, 안전하고 효과적인 새로운 제한 수신 시스템의 운영 방안을 제시한다.
-
본 논문은 현재 컴퓨터 사용자들에게 많은 피해를 입히고 있는 악성 스크립트 코드에 대한 탐지기법을 제시하고자 한다. 스크립트 언어는 타 언어에 비해서 단순하며, 상위 수준의 언어로 작성된 소스를 직접 분석가능하기 때문에 기존의 이진 파일 형태의 바이러스 비해 정적 분석 기법 적용이 용이하다. 제안하는 탐지 기법은 기존의 스코어링 방식을 기반으로 한 패턴 매칭과는 달리 스크립트가 수행하는 악성 행위의 분석을 통해 행위 패턴을 생성하고, 이 패턴들을 정적 분석 기법을 통해 패턴간의 관계 분석을 통해 보다 확실한 악성 행위를 탐지하여 스크립트에 포함된 악성행위들을 보고한다. 기존 대부분의 바이러스 탐지 도구들은 이미 알려진 바이러스들만을 탐지 할 수 있다. 정적 분석 기법을 이용한 악성 스크립트 탐지 방법은 악성 행위 별 패턴 존재 여부를 판단하므로 이미 알려진 바이러스는 물론 알려지지 않은 바이러스를 탐지 할 수 있는 방안을 제시한다.
-
본 논문에서는 컴퓨터 바이러스(이하 바이러스) 및 웜 그리고 트로이목마와 같은 악성코드의 정의와 개념에 대해 기술하고, 2000년 11월부터 2001년 10월까지, 바이러스를 중심으로 한 악성 코드의 주요 기법을 분석하고 전반적인 바이러스 발견 동향 및 향후 전망에 대해 기술하고 향후 악성코드 대응 방법에 관한 연구 방향을 제시하고 논문을 맺는다.
-
대부분의 해킹 공격은 공격 대상 프로그램의 소스코드 보안취약점에 의해서 발생하지만 프로그램 개발시에 소스코드 보안성에 대해서는 고려되지 않았다. 이러한 문제점으로 인하여 해킹 공격의 근본적인 원인을 해결할 수 없었다. 본 논문에서는 취약점의 원인이 되는 코드를 컴파일시 생성된 어셈블리 코드 수준에서 탐지하는 방법을 제시하고자 한다. 취약한 코드를 컴파일러 수준에서 점검하는 것보다 어셈블리 코드 수준에서 점검하는 것은 어느 정도의 메모리 영역까지 점검할 수 있어 더 정확하다.
-
시스템 침입을 위해서 사용할 수 있는 공격 기법은 그 종류가 매우 다양하다. 그러나 최종적인 시스템 침입의 목표는 버퍼오버플로우 공격을 통한 관리자 권한의 획득이다. 버퍼오버플로우 현상은 메모리 공간의 경계 영역에 대한 프로그래밍 언어 수준의 검사 도구를 제공하지 않는 C/C++ 의 언어적 특성으로 인해 발생한다. 본 논문에서는 리눅스 커널 수준에서 시스템 보안을 위한 참조 모니터를 제안하고 이를 이용하여 버퍼오버플로우 공격에 대응할 수 있는 보안 기법을 제시한다.
-
본 논문에서는 약한 키를 가지는 대화식 영지식 증명을 이용한 인증 프로토콜의 안전성을 강화하는 방법을 제시한다. 일반적으로 대화식 영지식 증명을 이용한 인증 프로토콜은 충분히 길고 랜덤한 비밀키를 가정하고 그 비밀키에 대한 영지식 증명을 수행하게 된다. 하지만 때에 따라서 충분히 길지 않거나 랜덤하지 않은 비밀키가 선택될 수 있다. 즉, 좋지 않은 난수 발생기를 써야 하는 경우, 또는 패스워드처럼 의도적으로 약한 키를 사용하는 경우가 생기며, 대화식 영지식 증명은 이에 적합하지 않다고 알려져 있다. 본 논문에서는 비밀 동전 던지기(Secret Coin Tossing)라는 개념을 제시해서, 일반적인 영지식 증명을 이용한 인증 프로토콜을 약한 키를 가지는 영지식 증명 기반 인증 프로토콜로 쉽게 변환할 수 있는 프레임웍을 제안한다. 또한, 이 프레임웍을 이용해서 설계된 인증 프로토콜이 ideal cipher model에서 안전함을 보인다.
-
In this paper, for n = 2m and odd prime p, new generalized bent functions from the finite field F
$\_$ p$^n$ / to the prime field F$\_$ p/ are constructed from the partial spreads for F$\_$ p$^n$ /. Closed form expressions for the proposed generalized bent functions and their trace transform are derived in the form of the trace functions. The trace expressions for the bent functions and their trace transforms defined on F(equation omitted) constructed by using PS- are also derived. -
스마트카드의 가장 큰 특징 중 하나로 자체적인 보안 기능을 들 수 있다. 하지만, 스마트카드는 내부의 암호 시스템이 수행될 때, 비밀키와 관련된 여러 가지 물리적인 정보를 누출하게 된다. 본 논문에서는 스마트카드의 전력 소비 신호를 이용하여, 내장된 암호 알고리듬의 비밀키를 알아내는 개선된 DPA(differential power analysis)공격을 제안한다. 제안하는 DPA공격은 SRAM에서의 데이터 상태천이를 이용하여 DPA신호의 S/N비를 높임으로써, 보다 효과적인고 강력한 DPA공격이다. 따라서 스마트카드 설계자는 이러한 점을 고려하려 시스템을 설계해야 할 것이다.
-
본 논문에서는 타원곡선 스칼라 곱셈에 대하여 새로운 형태의 hardware fault cryptanalysis를 적용해 보고, 이에 대한 대응방법으로서 비밀키 blinding방법을 제안하고 있다. 또한 비밀키 blinding 방법을 사용함으로써 늘어나는 연산량을 기존의 대응 방법과 비교하고, 이러한 비밀키 blinding방법이 사용될 수 있는 범위에 대해 다루고 있다.
-
본 논문은 작은 홀수 표수를 갖는 유한체에서 정의된 타원곡선의 스칼라 곱 연산속도를 향상시키는 새로운 방법을 소개한다. 본 논문에서 제안하는 알고리즘은 스칼라의 프로베니우스 자기준동형 (Frobenius endomorphsim) 확장길이를 줄이는 최근의 방법들을 개선한 방법이다.
-
This research aims to unravel the significant features of the human immune system, which would be successfully employed for a novel network intrusion detection model. Several salient features of the human immune system, which detects intruding pathogens, are carefully studied and the possibility and the advantages of adopting these features for network intrusion detection are reviewed and assessed.
-
Code Red, Nimda 등 최근 인터넷웜(Internet Worm)에 의한 침입은 방화벽시스템, 침입탐지시스템 등 보안제품이 존재하는 네트워크에서도 적절한 대책이 되지 않은 경향을 보이고 있다. 침입차단시스템을 통과할 수 있는 신종 취약점을 이용한 침입에는 오용방지방법(Misuse Detection)에 의한 침입탐지시스템이 침입패턴을 업데이트하기 전에 이미 네트 워크에 피해를 입힐 가능성이 크게 증가하는 것이다. 향후에도 크게 증가할 것으로 보이는 인터넷웜 공격 등에는 침입차단시스템, 침입탐지시스템 등 보안제품의 로그기록 상황과 네트워크의 보안상태를 지속적으로 감시함으로서 조기에 침입을 탐지할 수 있다. 본 논문에서는 신종 웜 공격에 의한 침입이 발생되었을 때 IDS가 탐지하지 못하는 상황에서도 침입의 흔적을 조기에 발견할 수 있는 네트워크 보안 상태변수확인방법(Network Security Parameter Matching Method)을 제안하고자 한다.
-
지금까지 침입탐지 시스템에 대한 많은 연구와 개발이 수행되었음에도 불구하고 시스템에 불법적인 접속이나 공격방법은 역으로 침입탐지 시스템을 무력화시키거나 침입탐지 시스템의 취약성을 이용하는 등 지능화되고 다양해지고 있는 실정이다. 따라서 단일침입탐지 시스템으로 현재의 고도화되고 지능화된 침입과 공격들을 정확하게 탐지하거나 완벽하게 대응할 수 없다. 본 논문에서는 침입탐지 시스템의 취약점 분석과 더불어 단일 침입탐지 시스템의 단점을 보완하고자 침입탐지 감사자료의 다양화를 통한 다중센서 기반의 침입탐지 시스템에 대하여 제안하고자 한다.
-
효율적인 네트워크의 보호를 위해 네트워크를 경유한 공격에 대하여 알려진 공격과 새로운 공격에 대한 빠른 탐지와 적절한 대응을 할 수 있는 침입 탐지 시스템(Intrusion Detection System: IDS)에 대하여 최근 관심이 증대되고 있다. 기존의 침입 탐지 시스템들은 다양한 침입에 대한 능동적인 탐지에 어려움이 있다. 본 논문에서는 기존의 침입 탐지 시스템이 가지고 있는, 성능(fidelity) 문제, 자원 사용 문제 및 신뢰성 문제를 해결하기 위하여, 호스트에서 내부 센서를 사용하는 메커니즘에 대하여 고찰하고 분석한다. 그리고 침입 탐지 프레임워크를 구축하기 위한 내부 센서의 개념, 특징 및 능력에 대하여 기술한다.
-
광범위한 인터넷의 발달은 우리의 생활을 윤택하게 해주었지만, 불법적인 침입, 자료 유출 등 범죄도 늘었다. 이에 따라 불법적인 침입을 막는 침입탐지기술도 많이 발전하게 되었다. 침입탐지기술은 크게 오용탐지방법과 비정상적인 행위 탐지 방법으로 나눌 수 있다. 본 논문에서는 비정상적인 행위 탐지 방법의 긍정적 결함을 줄이기 위한 방법으로 유사도 측정 알고리즘을 사용한 방법을 제시하고자 한다.
-
이동 통신 기술의 발달로 시공간을 초월하여 인터넷에 접속할 수 있게 되었다. 그리고 현재 국내에서도 무선 인터넷 사용이 가능한 단말기의 보급이 크게 늘어나면서 새로운 다양한 서비스를 제공받을 수 있다. 기존의 문자, 벨소리 혹은 이미지를 전송 받을 수 있는 기술을 넘어 이제는 게임을 즐기거나 음악, 동영상 등의 서비스를 제공받을 수 있는 수준에 있다. 따라서 서비스를 제공하는 콘텐츠 제공자와 무선 단말기로 서비스를 이용하는 사용자 사이에 서비스 이용에 따른 과금의 필요성이 대두되고 있다. 그러나 현재와 같이 콘텐츠 제공자나 네트웍 제공자의 로그 정보만으로 요금을 부과하는 것은 문제가 있다. 따라서 사용자에게 부과된 요금에 대해서 사용자와 콘텐츠 제공자가 상호 신뢰할 수 있는 과금 시스템의 개발이 절실히 요구된다.
-
선불방식의 화폐시스템에서 고객은 인출한 화폐를 은행으로부터 환불받을 수 있어야 한다. 그러나 분할된 화폐가 서로 연관될 수 있는 분할 가능한 화폐시스템에서는 고객이 사용한 화폐의 익명성을 유지하면서 남은 금액을 환불해주기가 어렵다. 이 논문에서 이런 문제를 해결한 새로운 방식의 환불 메커니즘을 제공한다. 제안된 새 방식에서 고객은 은행에 익명으로 접근하여 환불티켓을 인출하고, 나중에 인출된 티켓을 이용하여 기존 지불의 익명성을 유지하면서 환불을 받게 된다. 환불티켓을 사용하면 환불과정을 인출이나 지불과정과 독립적으로 제공할 수 있어 환불이 필요없는 경우에는 아무런 추가비용이 소요되지 않는 장점이 있다. 또한 같은 이유에서 여러 시스템에 쉽게 응용이 가능한 유연한 방식이다. 끝으로 환불액을 계속해서 하나의 티켓에 축적하는 방법을 사용하면 지불액과 환불액간에 직접적인 차액관계가 없어지므로 고객의 익명성이 증진되며, 은행에 접촉해야 하는 횟수를 줄여주는 효과가 있다.
-
이동컴퓨팅 환경에서의 전자지불 시스템은 연산능력과 저장장치의 효율성을 고려하여 설계하여야 한다. 소액지불시스템은 효율성을 강조하여 설계된 지불시스템으로 이동컴퓨팅 환경에 적합한 프로토콜이다. 그러나 대부분의 경우 서명을 위해 공개키 연산이 필요하다. 본 논문에서는 해쉬체인을 사용하는 소액지불시스템을 기반으로 사용자의 저장 용량에 대한 공간 효율성을 제공함과 동시에 공개키 연산을 사용하지 않는 소액지불시스템을 제안한다.
-
본 논문에서는 차세대 이동통신 환경에서 모바일 이용자가 자신의 단말기를 이용, 부가가치 서비스 제공자(VASP, Value Added Service Provider)에게 접근하여 서비스를 받을 경우에 대한 과금 문제를 다루고자 한다. 또한 이 과정에서 발생할 수 있는 모바일 이용자와 부가가치 서비스 제공자사이에 인증문제, 상호간에 분쟁이 발생했을 경우에 대한 해결, 모바일 사용자의 위치 정보에 대한 프라이버시 보호 그리고 모바일 사용자의 신분에 대한 익명성 보장문제 등을 암호학적인 프리미티브들을 이용하여 아울러 해결하고자 한다.
-
최근 정보통신기술의 발전과 인터넷의 폭발적인 사용자 증가로 인해 전자상거래가 활성화되고 있다. 또한 전자상거래에서 가장 중요한 시스템인 전자화폐 시스템에 대한 연구와 개발이 활발하게 진행되고 있다. 특히, 전자화폐 시스템의 요구사항 중에 분할성 관련된 연구는 대부분이 계층적 구조 테이블을 이용한 방식이었다. 하지만 이 방식은 많은 메모리가 필요하고, 또한 많은 계산량을 필요로 한다는 단점이 있다. 따라서 본 논문에서는 이러한 문제점을 해결하고, 계층적 구조 테이블을 이용하지 않고 분할성을 제공할 수 있는 또 다른 방식인 비밀분산 기법을 이용하여 새로운 전자화폐 시스템을 제안한다.
-
D. Chaum이 제안한 Undeniable Signatures[1]을 시작으로 undeniable signature에 대한 많은 scheme이 제안되었다. 일반적인 전자 서명에서는 누구나 검증을 할 수 있는데 비해, undeniable signature를 검증하기 위해서는 서명자의 협동이 필수적이다. 한편 confirmor를 따로 지정해서 confirmor에게 서명 검증 능력을 부여할 수 있는 Designated Confirmor Signatures[4]가 제안되었다. 본 논문에서는 T. Miyazaki가 제안한 RSA-Based Convertible Undeniable Signature Scheme[6]을 변형하여, Designated Confirmer Undeniable Signature System Based on RSA를 제안하고, 제안된 프로토콜을 분석한다.
-
RSA에 기반한 은닉서명 기법은 Chaum이 처음 제안하였고, Fan-Chen-Yeh가 여기에 랜덤화 특성을 추가한 은닉서명 기법을 제안하였다. 본 논문에서는 Fan-Chen-Yeh가 제안한 은닉서명 기법보다 서명 요청자의 계산량을 95% 이상 줄이는 RSA 알고리즘에 기반한 은닉서명 기법을 제안한다.
-
Signcryption은 메시지의 인증성과 은닉성을 동시에 효율적으로 제공하기 위해 제안된 기법이다. 현재까지 제안되어 온 모든 signcryption 기법들에서는 signcryption을 받은 수신자가 signcryption을 받자마자 혼자서도 unsigncryption을 할 수 있다. 하지만 때로는 개인이 임의로 unsigncryption하는 것을 방지하고 정해진 수 이상의 멤버들이 모였을 때에만 unsigncryption되어야 하는 특성이 요구될 수 있다. 본 논문에서는 최소한 t명 이상의 수신자들이 unsigncryption 과정에 참가할 경우에만 unsigncryption할 수 있는 (t, n)-threshold signcryption 기법을 제안한다.
-
본 논문에서는 이동 통신 시스템에서 사용자 신원확인 및 인증을 하기 위해 타원곡선과 지문인식을 적용하는 시스템을 제안하였다. 제안된 시스템은 타원곡선 암호 시스템의 계산량, 키 크기, 대역폭의 측면에서의 효율성이 고려되었다. 또한, 타원곡선 이산대수 문제가 어렵다는 점에 초점을 맞추었다. 수학적인 증명과 안전성을 분석하여 제안된 시스템의 성능을 분석하였다.
-
부분 은닉서명은 메시지 내용의 일부분만 공개하므로서 익명성과 동시에 공개되는 일부분의 정보를 사용하여 부가적인 기능을 제공할 수 있다. 이러한 부분 은닉서명을 이용하면 전자수표방식과 같은 전자상거래 시스템에서 고객의 익명성을 보호하면서도 공개되는 정보를 금액이나 유효기간으로 사용하여 거스름을 취급할수 있는 방법을 제공할 수 있다. 본 논문에서는 국내 전자서명 기법의 표준으로 제정된 KCDSA를 기반으로 하는 부분 은닉서명 기법 및 EC-KCDSA를 기반으로 하는 부분 은닉서명 기법을 제시하므로서 거스름을 사용할 수 있는 효율적인 전자상거래 기법에 적용되어질 수 있도록 하였다.
-
보안을 위한 암호화는 실시간 통신인 VoIP에 패킷의 추가적인 작업이 요구되므로 음질에 악영향을 미치게 된다. 이러한 영향을 파악하고 분석하기 위해 DES, 3DES, SEED 그리고 AES 등의 암호 알고리즘을 VoIP 시스템에 적용하여 지터나 RTT 혹은 패킷 손실율과 같은 QoS 요소를 측정함으로써 각 암호 알고리즘의 연산이 실시간 통신에 미치는 영향을 알아보았다.
-
인터넷의 활용이 급속하게 증가하여 인터넷에서의 정보보호에 대한 필요성이 대두되면서 표준화된 인터넷 정보보호 프로토콜인 IPsec이 등장하게 되었다. 이러한 IPsec은 현재 여러 가지 플랫폼에서 구현되고 있으며, 이러한 구현은 일반적으로 IP 계층에 통합하는 방법, BITS, BITW 중 하나의 방법론을 선택하고 있다. BITW는 outboard crypto processor를 사용하여 물리적인 인터페이스 카드 내에 IPsec을 구현하는 방법으로 효율성이 문제가 되므로 본 논문에서는 IP 계층에 통합하는 방법과 BITS 방법을 중심으로 장단점을 분석한다. 이에 본 논문은 리눅스 커널 상에서 IPsec을 구현하기 위해 리눅스 커널 모듈을 분석하고 가장 효율적이라 생각되는 IP 계층에 통합된 IPsec을 구현하는 방법을 제안한다.
-
본 논문에서는 WAP 포럼에서 제시하고 있는 무선 인터넷 솔루션인 WAP에서의 보안 메커니즘인 WTLS(Wireless Transport Layer Security), WIM (WAP Identity Module), WMLScript Crypto Library, WPKI(WAP Public Key Infrastructure)에 대해 살펴보고, WAP 게이트웨이를 사용하는 네트워크의 구조적 형태에서 발생되는 종단간 보안 서비스의 문제점에 대해 논의한 후 WAP 환경에서 종단간 보안 서비스를 제공할 수 있는 보안 시스템을 설계 및 구현하고자 한다.
-
무선 통신과 인터넷의 결합인 무선 인터넷에서도 유선에서와 마찬가지로 정보의 보안은 중요한 문제이다. 현재 WAP에서는 WTLS라고 하는 전송 계층의 프로토콜로 인증 및 기밀성 문제를 해결하고 있다. WAP 게이트웨이는 유선 구간과 무선 구간의 프로토콜 변환이라는 기능의 특성상 WTLS와 SSL/TLS 보안 메커니즘을 동시에 유지해야 하는 번거로움이 있다. 이러한 문제를 해결하기 위해 본 논문에서는 WAP 게이트웨이에 IP 계층 보안 프로토콜인 IPsec을 적용하여 단일 IPsec 보안 메커니즘으로 유선과 무선의 양 구간에 대해 IP 상위 계층에 투명한 정보보호 서비스를 제공하는 WAP 게이트웨이 모델을 제시한다.
-
인터넷 서비스와 함께 발달한 멀티미디어 서비스 중 각광받고 있는 VoIP 서비스는 유선 전화보다 저렴한 가격을 바탕으로 하여 호황을 누리고 있다. 그러나 인터넷을 전송망으로 이용하는 VoIP는 개인의 암호화되지 않은 음성데이터의 도청이 쉽게 이루어질 수 있을 뿐만 아니라 사용자 및 서비스 업자에 대한 인증 방법 부재로 인한 불법 이용이 예상되는 등 보안적 문제점을 가지고 있다. 그에 따른 VoIP 서비스의 보안 요구사항은 계속 증가하고 있으며 이에 대한 연구 노력이 시급하다. 본 논문에서는 ITU에서 제안한 H.323 VoIP의 보안 프로토콜인 H.235에 대하여 연구하고 이를 구현한 VoIP 보안 시스템을 구축하여 VoIP 보안 프로토콜의 요구 사항 및 방향을 제시하였다.
-
PKI 구축을 위한 노력이 전 세계적으로 진행되고 있는 가운데 PKI의 계층구조 유형에 따라 인증관리 정책, 인증서 형식 등의 서로 다른 PKI 구성요소를 가진 인증기관(CA)들이 각기 다른 곳에 분산되어 있다. 그러므로, 이러한 CA간의 상호인증 서비스를 어떻게 제공할 것인가를 고려해야 할 필요가 있다. 특히 상호인증 서비스를 제공하기 위한 인증정책, 정책매핑, 정책제한의 확장영역은 인증경로의 유효성을 검증할 때 검증의 성공과 실패에 중요한 영향을 미친다. 본 논문은 ITU-T X.509의 인증경로처리과정에서 정책과 관련된 부분을 살펴보고 ITU-T X.509 3rd Edition의 정책관련 문제점들이 ITU-T X.509 4th Edition에서 어떻게 개선되었는지 몇 가지 예를 통하여 제시하고 앞으로 인증경로처리과정이 어떠한 방향으로 확장되고 응용되어야 할지를 기술한다.
-
본 논문은 공개키 암호 시스템에서 사용자의 비밀키를 안전하게 보관할 수 있는 시스템을 제안한다. 키 보관시스템은 사용자가 자신의 비밀키를 저장할 환경을 갖추지 못하였거나 분실하였을 경우 온라인 통신에 의해 안전하게 비밀키를 얻을 수 있는 시스템이다. 키 보관 시스템은 공개키 기반구조(PKI)와 연동하여 운용되는 암호시스템이다. 이 논문에서 비밀키 보관 시스템을 설계하는 방법으로서 비밀키를 메모리에 저장하여 인증기관을 통하여 인증된 사용자에게 발송하는 방법과 마스터 키 개념을 이용한 공개키 연동 키 복구 시스템을 변경하여 사용하는 방법을 제안하고 이들 방법을 안전성과 효율적인 측면에서 비교 분석한다.
-
인증서의 정당성을 검증하기 위하여 검증자(verifier)는 소유자(owner)의 인증서와 그 인증서를 인증한 공인인증기관의 인증서들을 검증해야 하고, 그에 앞서 그 인증서들의 폐지 여부를 확인하여야 한다[1]. 이 인증서 폐지 목록의 확인을 대행하는 것이 실시간 인증서 상태 프로토콜(OCSP)이다[2]. 그리고, 이 OCSP가 인증서의 폐지 여부만을 응답하는 단점을 극복하기 위하여 간단한 인증서 검증 프로토콜(SCVP)이 제안되었다[7]. 이 SCVP는 사용자의 질문의 형태에 따라 인증서의 정당성까지 검증하여 주는 프로토콜이다. 그러나 이 SCVP 역시 새로운 신뢰기관을 필요로 한다. 본 논문에서는 전체 인증서 검증 경로를 알 수 있는 인증서 일련번호 부과 방법[4]을 기반으로 부과적인 신뢰기관 없이 실시간으로 인증서의 정당성 여부를 확인할 수 있는 새로운 프로토콜을 제시하고자 한다. 계산량의 결과로는 SCVP와 동일한 2n 번의 서명 생성 및 검증이 필요하지만, 인증서 폐지 목록과 부과적인 신뢰기관을 필요로 하지 않는다.
-
분산 시스템에서 사용자가 시스템에 로그인 상태에서 자신의 시스템에 존재하지 않는 자원을 이용하기 위한 방안으로 권한위임이 필수적이다. 이러한 권한위임은 다양하게 요구되는 정보보호 응용 서비스의 가용성을 증대시킨다. 본 논문에서는 권한위임을 처리하기 위해서 권한위임 인증서를 생성하여 안전하게 인증서를 중개자에게 전달해야한다. 개시자와 중개자 최종 목적지까지 다단계 권한위임이 발생하는 연결고리에서 PKI 기반 X.509의 공개키를 이용한 효율적이고 추적 및 검증이 가능한 프로토콜을 제안한다.
-
본 논문에서는 베이지안 네트워크와 통합 감사자료를 이용하여 시스템 사용자에 대한 비정상행위를 탐지하고 분석하는데 효과적인 모델을 제안하고자 한다. 이를 위해 리눅스 시스템에서의 여러 가지 감사자료들을 통합한 감사자료로부터 사용자의 행위에 대해 베이지안 네트워크로 구성하고자 한다. 베이지안 네트워크를 구성할 때 효율적인 학습이 가능한 Sparse Candidate 알고리즘을 적용하고, 감사자료의 일부가 결여되어 있는 경우에도 추론이 가능하도록 MCMC(Markov Chain Monte Carlo)의 일종인 Gibbs Sampling 방법을 적용한다.
-
현재까지 대부분의 침입탐지 시스템은 서브 네트워크를 대상으로 구현되어 왔다. 하지만 초고속 통신망의 급속한 보급으로 인해 많은 개인 컴퓨터가 네트워크에 연결되어 있어 개인 컴퓨터에 대한 보안이 점점 요구되고 있다. 그러나 기존의 서브 네트워크형 침입탐지 시스템을 개인 컴퓨터에서 사용하기에는 환경이 적절치 못하기 때문에 개인컴퓨터 환경에 적합한 침입탐지 시스템 모델이 필요하다. 따라서 본 논문에서는 개인 컴퓨터 환경에 적합한 침입탐지 시스템을 설계/구현하고자 한다.
-
기존 시스템 취약성 공격이나 스캔 공격도구들로부터 최근에는 방화벽이나 기타 보안 시스템을 우회하기 위한 보다 진보된 공격 도구들이 나타났다. 이중 가장 심각한 것이 커널 백도어인데 이는 기존의 사용자 레벨에서가 아닌 커널레벨에서 수행되는 특징을 가진다. 이러한 커널 백도어는 기존의 탐지기술로는 탐지가 불가능하며 현재 피해사례도 정확히 파악되지 않아 그 피해는 더욱 크다 하겠다. 이에 본 논문에서는 현재 배포되어 있는 커널 백도어를 분석하고 기존의 커널 백도어 탐지 기술과 이의 문제점을 해결하는 새로운 커널 백도어 탐지 모델과 구현 방안을 제시한다.
-
다중등급보안(MLS: Multi-Level Security)기반 안전한 운영체제는 정보의 흐름을 안전하게 통제하기 위하여 주체 및 객체의 보안등급변화를 허용하지 않는다. 하지만 안전한 운영체제의 사용성(Usability) 측면에서 주체 및 객체의 보안등급변화는 고려되어야한다. 주체 및 객체의 보안등급변화에 관련된 요구사항은 시스템의 환경 및 보안정책에 따라 다양하게 발생할 수 있고, 이러한 보안등급변화에 관련된 다양한 요구사항들은 모두 해결하기 어렵다. 뿐만 아니라, 기존 접근통제 메커니즘은 보안등급변화에 관련된 요구사항을 해결할 수 없다. 따라서, 본 논문에서는 MLS 기반 안전한 운영체제에서 빈번하게 발생할 수 있는 보안등급 변화에 관련된 요구사항 중 특히, 시스템의 환경에 의해 주체의 보안등급이 하강되었을 때 해당 주체가 생성했던 객체들의 안전한 보안등급 하강과 관련된 보안요구사항을 해결할 수 있는 접근통제 메커니즘을 설계하고 구현한다.
-
무선인터넷 접속 프로토콜의 사실상 국제표준이라 할 수 있는 WAP 프로토콜의 규격을 제정하는 WAP 포럼에서는 인증서 및 비밀키의 저장, 그리고 암/복호화 및 전자서명/검증 등의 연산을 지원하기 위한 무선인증모듈 규격을 정의하고 있다. 스마트카드로 구현되는 무선인증모듈의 사용 형태를 고려할 때, 다양한 플랫폼에서의 사용과 사용자의 이동성 지원, 그리고 무선인증모듈을 이용한 정보보호 특성 보장은 필수적인 요구조건이다. 본 논문은 무선인증모듈을 스마트카드로 구현함에 있어 멀티 애플리케이션을 지원하고, 기능 확장성을 보장하기 위한 PKCS #15 기반의 무선인증모듈 설계와 구현 결과를 보인다. 본 논문에서는 접촉형 스마트카드에 대한 국제규격인 ISO/IEC 7816 시리즈 규격을 준수한 설계를 보이고, 지수승 모듈러 연산을 하드웨어적으로 지원받아 RSA 1024 비트 암/복호화 및 전자서명/검증을 처리하는 결과를 보인다.
-
본 논문은 GF(2
$^{m}$ )상에서 파워썸 연산을 수행하는데 필요한 새로운 알고리즘과 그에 따른 병렬 입/출력 구조를 제안한다. 새로운 알고리즘은 최상위 비트 우선 구조를 기반으로 하고, 제안된 구조는 기존의 구조에 비해 낮은 하드웨어 복잡도와 적은 지연을 가진다. 이는 역원과 나눗셈 연산을 위한 기본 구조로 사용될 수 있으며 암호 프로세서 칩 디자인의 기본 구조로 이용될 수 있고, 또한 단순성, 규칙성과 병렬성으로 인해 VLSI 구현에 적합하다. -
PC카드 형태로 개발되어 사용되는 보안토큰은 다양한 보안서비스를 바탕으로 차세대 정보보호 기술의 핵심기술로 떠오르고 있다. PC카드 보안토큰 휴대용 컴퓨터 운용을 위한 메모리 카드 표준 인터페이스를 수용하여 다양한 암호알고리즘 수행이 가능하고, 사용자의 요구조건을 비교적 쉽게 수용하고, 아울러 다양한 응용분야에 사용되는 등의 장점을 가지고 있다. 본 논문에서는 Motorola PowerPC 기반의 MPC860 마이크로 프로세서가 장착된 제어보드를 이용하여 PC카드 보안토큰에 대한 PCMCIA(Personal Computer Memory Card International Association) 카드 장치구동기 및 API(Application Program Interface)를 설계/구현하여 각각의 기능시험을 통해 그 기능들을 검증하였다.
-
본 논문에서는 셀룰러 오토마타를 이용하여, GF(2
$^{m}$ )상에서 A$B^2$ 연산을 m 클럭 사이클만에 처리할 수 있는 새로운 연산기를 설계하였다. 이는 대부분의 공개키 암호화 시스템에서의 기본 연산인 유한 필드 상의 모듈러 지수(modular exponetiation) 연산기 설계에 효율적으로 이용될 수 있다. 또한 셀룰러 오토마타는 간단하고도 규칙적이며, 모듈화 하기 쉽고 계층화 하기 쉬운 구조이므로 VLSI 구현에도 효율적으로 활용될 수 있다. -
단일 선거관리자로부터 은닉 서명을 생성하는 프로토콜은 부정한 선거관리자에 의한 투표위조의 문제점이 나타날 수 있으므로 그에 대한 보완이 필요하다. 본 논문은 은닉서명을 사용하는 전자투표 프로토콜에 문턱 은닉 서명을 적용시켜 다중 선거관리자로부터 유효한 은닉 서명을 생성하는 투표 프로토콜을 제안한다. 효과적인 문턱 은닉 서명을 설계하기 위해서 Schnorr 은닉 서명을 이용했으며, 이를 적용한 다중 선거관리자에서의 전자투표 프로토콜을 설계했다. 제안한 방식에서 은닉서명은 n명의 선거관리자중 t명 이상의 합의에 의해서만 생성 가능하므로, 부정한 단일 선거관리자에 의한 투표위조의 문제점을 해결할 수 있다.
-
본 논문에서는 전자메일에 보안기능과 공중기능을 함께 부여하는 방법에 대해 기술하고 있다. MIME(Multipurpose Internet Mail Extensions)[8]에 대하여 메시지의 무결성과 전자서명 생성 및 검증, 메시지의 암호화 및 복호화, 부인방지 기능을 지원하기 위해S/MIME(Secure/Multipurpose Internet Mail Extensions)[1][2]을 적용하고 또한 문서에 대한 공증기능을 부여하기 위하여 서명 생성 후 오랜 기간 뒤에도 서명과 서명 생성 시 사용된 인증서의 유효성과 폐지여부를 검증 할 수 있도록 제 3 신뢰기관에 의해 발행된 Timestamp[7]를 적용하였다. 그리고 서명된 메일 형식에 receiptRequest[4] 식별자를 사용하여 수신자의 서명을 포함한 signed receipt[4]를 송신자에게 다시 보내게 하여 메일 수신여부를 검증 할 수 있도록 하였다.
-
We have designed an Internet voting system applicable for worldwide voting which is based on Ohkubo et. al,'s scheme[9] combined with Public Key Infrastructure (PKI). To the best of our knowledge, this is the first trial to serve secure Internet voting system to the world. In our system, voter's privacy is guaranteed by using blind signature and mix-net, and robustness is provided through the threshold encryption scheme. By employing Java technology, we propose a way of typical implementation for internet voting system. Furthermore, PKI permits worldwide key distribution and achieve “one certificate/one vote” policy. Therefore, anyone can participate in the voting if he gets a certificate from Certificate Authority (CA). By the joint work between Korean and Japanese teams, the implementation aims to select MVPs in 2002 FIFA World Cup Korea-Japan
$\^$ TM/ in easy and friendly manner for any Internet user to participate and enjoy Internet voting. -
전자상거래의 활성화는 인터넷을 통한 금융거래를 보편화시켰고, 안전한 금융거래를 제공하기 위한 보안 프로토콜과 서비스가 지속적으로 개발되고 있다. 이러한 기술적 발전을 바탕으로 무선단말기를 통한 금융거래 서비스에 대한 관심이 높아지고 있다. 본 논문에서는 전용패킷교환방식의 무선데이터통신 환경 아래에서 전용 단말기를 이용한 금융거래에 필요한 인증 및 데이터 보호 등을 제공하는 프로토콜과 운영방안을 제안한다. 제안하는 프로토콜에서는 단말기와 인증서버 사이의 키 공유를 위하여 password-based protocol과 ANSI X9.17을 사용하는 키 운영방안을 제시하고, 가입자 id와 비밀번호에 근거한 인증절차와 전송 데이터 암호화를 통한 안전한 금융거래를 제공한다. 또한, 무선 Gateway에 의한 보안 제어가 아닌, End-to-End의 보안 서비스를 제공함으로, 그 신뢰성을 높이도록 설계되었다.
-
본 논문에서는 현재 그 중요성이 증가하고 있는 정보보호관리체계에 대하여 기존의 국내·외 정보보호관리체계 지침이나 표준 문서들이 단지 일반적인 가이드라인을 제공 할 뿐, 평가나 측정, 혹은 인증을 위해 필요한 상세하고 객관적인 지표가 없다는 점을 파악하고, 이러한 주요 지표들을 개발하기 위한 프레임워크를 제시하고자 한다. 이 프레임워크는 정보보호관리 국제 표준인 ISO/IEC TR 13335 GMITS에서 정의하고 있는 정보보호관리 프로세스를 기준으로 적절한 정보보호관리 프로세스를 도출한 다음, 현재 정보기술 통제 기준으로 사용중인 COBIT의 각 주요 지표들을 위에서 도출된 프로세스별로 적용시키는 것이다. 즉 정보보호관리 프로세스별 주요목표지표(KGI - Key Goal Indicator), 주요성과지표(KPI - Key Performance Indicator), 그리고 핵심성공요소(CSF - Critical Success Factor)들을 개발하여 정보보호관리체계에 대한 상세하고 객관적인 평가와 측정을 가능하게 하고 이를 통해 총체적인 정보보호관리 통제 이룩하고자 한다.
-
국외의 경우엔 일찍부터 컴퓨터 시스템 평가기준이 제정되어 활용중이나 국내의 경우엔 아직 평가기준이 없는 상태이다. 본 논문에서는 국내외 정보시스템의 보안 요구사항과 보증 요구사항을 바탕으로 리눅스 기반 PC의 보안성 평가기준을 제안하고자 한다. 평가등급은 KL(Korea Linux)1, KL2, KL3 등의 3등급으로 분류하였다. 제안된 평가기준은 오픈 소스기반의 리눅스를 이용하여 보안기능을 강화한 운영체제 개발방향을 제시하였고, 보안 시스템 구축의 방향 및 보안표준에 대한 복잡한 문제를 줄였다. 또한 국제공통평가기준(CC : Common Criteria)의 보안기능부분과 보증부분을 거의 수용함으로써, 외국의 보안성 평가기준과 상호 운용이 가능하다.
-
MAC(Mandatory Access Control)이나 MLS(Multi Level Security) 보안정책이 적용된 보안운영체제는 주체와 객체에 보안등급(Security Level)과 영역(Category) 값을 부여하고, 부여된 이들 정보에 의해 객체에 행해지는 주체의 접근을 제한한다. 하지만, 이러한 MAC과 MLS 보안이 적용된 경우라 하더라도 시스템의 보안정책을 위반하며 불법적 정보를 유통하게 하는 경로가 있을 수 있다. 본 논문에서는 불법적 정보의 유통경로가 되고 있는 IPC(Inter Process Communication) 메커니즘과 스토리지에 의한 비밀채널을(Covert Channel) 문제 해결 위해 커널 수준의 설계와 구현을 시도하였다. IPC 메커니즘에 의한 불법적 정보흐름 제거를 위해 IPC 메커니즘에 MLS 보안정책을 적용하였고, 스토리지 비밀채널는 시스템 콜 명세를 분석하여 이를 식별, 감사, 지연처리가 가능토록 하였다.
-
본 논문은 다양한 침입행위를 탐지하고 보안시스템의 효율적 관리를 보장하는 국방전산망과 같은 대규모 네트워크 환경에 적합한 계층적 구조의 통합보안관리시스템 모델에 대한 연구이다. 전산망 위협요소 및 공격유형에 따른 취약점을 분석하여 필요한 전산망 보호기술을 판단하고 침입차단/탐지시스템, 안티바이러스 시스템, 취약점분석 시스템 등의 보안시스템과 상호연동 모델을 분석하여, 도출된 요구사항을 기반으로 대규모 조직에 적합한 계층구조의 통합보안관리시스템의 구축 방안을 제시하였다.
-
본 논문은 현재 국내에서 개발되고 있는 인증서 발급 시스템에서 인증서가 취소되었을 경우에 발급되는 인증서 취소목록(Certificate Revocation List : CRL)에 따른 문제점 중, 유통되는 트래픽 부하를 줄이고, 발급되는 CRL의 크기를 감소시키며, 또한 전체 CRL의 발급 시간을 연장시킬 수 있는 Delta-CRL 발급 시스템의 정책, 운영 방안 및 발급 방법을 제시한다. 제안된 운영 방안은 Full-CRL의 Distribution Point를 이용하여 Base-CRL을 가리키고 Base-CRL의 Delta-CRL distribution point를 이용하여 Delta-CRL의 위치를 확인한다. 그리고 세 가지 Delta-CRL 발급 시스템의 동작 방법들을 분석하였다.
-
This paper shows how Ebooks contents can be securely transferred to consumers in wireless environment using public key infrastructure (PKI). In addition, we show the proposed scheme to be secure. The final goal is to show that our scheme satisfies all secure requirements of digital contents in any environments.
-
엔터프라이즈 환경에서 데이터의 교환을 위해 메시지중계시스템을 사용하고 있다. 그러나, 현재 사용하고 있는 메시지중계시스템 자체에는 정보보호서비스가 적용된 예가 많지 않으며 일부 적용된 경우에도 접근제어 서비스를 제공하고 있지 못하다. 본 논문에서 제안하는 PMI(Privilege Management Infrastructure)기반의 메시지중계시스템은 기존의 구축되어 있는 PKI(Public Key Infrastructure)를 이용하여 정보보호서비스의 인증, 무결성, 기밀성, 부인방지 서비스를 제공하며 PMI을 적용하여 접근제어 서비스를 제공한다. PMI의 속성인증서를 사용하여 실시간적으로 변하는 접근제어 정보의 변화를 수용하며 SOA(Sorce of Authority)를 통해 중앙에서 접근제어정보를 관리한다. 교환되는 데이터는 S/MIME을 기본으로 하여 국제표준을 따르며 S/MIME의 보안 레이블을 이용 데이터의 변경없이 접근제어 정보를 전송할 수 있도록 하였다.
-
개개의 침입탐지 시스템에서 탐지한 경보(alert) 자료의 공유를 쉽게 하기 위해서, IETF(Internet Engineering Task Force)에서는 IDEF(Intrusion Detection Exchange Format)모델을 제안하였다[1]. 특히, IDEF는 최근에 관심이 모아지고 있는 다수의 침입탐지 시스템(이하 ‘통합 침입탐지 시스템’)을 통합 관리하는 방식에서 각 단말 침입 탐지시스템의 침입 경보자료의 수집 관리를 용이하게 할 수 있다. 그러나, 통합 침입탐지 시스템에서 개개의 침입 탐지 시스템에서 발견하지 못하는 침입을 판단하거나 판단의 정확성을 높이기 위해서는 기존의 IDEF에 추가적인 자료가 요구되어 진다. 본 논문에서는 통합 침입탐지 시스템의 상위 시스템에서 수집된 경보 자료를 IDEF의 관계형 데이터베이스 스키마로 변환하는 방식을 제시하였다. 그리고, 통합 침입탐지시스템에서 추가적으로 필요한 자료에 의거하여 DDoS공격탐지에 필요한 자료형을 IDEF에 확장하였다.
-
인터넷 기술이 발전되고 활성화됨에 따라 인터넷에 연결된 호스트들과 네트워크는 외부의 악의적인 침입자에 의해 공격받을 수 있는 잠재성이 나날이 증가하고 있다. 이러한 이유로 네트워크 및 호스트 보안에 대한 관심과 연구활동이 활발해 졌으며, 대표적인 보안 솔루션 중의 하나인 침입탐지시스템이 각광을 받고 있다. 탐지 기술적 분류에 따라 크게 네트워크 기반 침입탐지시스템과 호스트 기반 침입탐지시스템이 존재하며, 한편으로 네트워크 규모의 증대로 다수의 침입탐지시스템의 운용이 필요하다. 이와 같이 이질적인 다수의 침입탐지시스템을 운용하는 경우, 관리의 복잡성과 관리비용의 증대라는 문제점을 내포한다. 본 논문에서는 이질적인 다수의 침입탐지에이전트들을 통합 관리하기 위한 중앙통제 시스템의 구현을 설명하고, 여기에 확장성과 유연성을 부여하기 위한 관리 자료 구조의 설계에 대해 기술한다.
-
정보보호에 대한 사람들의 인식과 관심이 높아짐에 따라 그에 따른 다양한 정보보호제품들이 나오고 있다. 국내외의 정보보호제품들은 각 제품별로 그에 따른 여러 가지의 보안 알고리즘을 사용하여 구현되어 지고 있다. 하지만 그러한 제품들의 신뢰성 판단여부는 아직까지는 경험에 의존되어지고 있는 현실이다. 이에 본 논문에서는 각 보안 알고리즘의 객관적 검증 방법을 제안하고 검증 도구를 구현함으로써 이에 대한 대안을 제시하고자 한다.
-
본 논문은 현재 안전한 운영체제 개발에 사용되고 있는 강제 접근통제(MAC)와 역할행위 기반 접근통제(RBBAC)의 혼합 기법인 다중 등급 역할 행위 기반 접근통제 (ML/RBBAC)를 제안하고, 접근통제 모델을 기술한다. ML/RBBAC은 안전한 운영체제가 MAC과 RBBAC을 동시 지원하기 위한 최적의 방법이며, 기존 MAC의 단점인 지나치게 엄격한 정보흐름 통제 및 보안 관리 부담의 증대 문제를 해결한다.
-
본 논문에서는 차세대 표준 알고리즘(AES: Advanced Encryption Standard)인 Rijndael 알고리즘의 고속화를 FPGA로 구현하였다. Rijndael 알고리즘은 미국 상무부 기술 표준국(NIST)에 의해 2000년 10월에 차세대 표준으로 선정된 블록 암호 알고리즘이다. FPGA(Field Programmable Gate Array)는 아키텍쳐의 유연성이 가장 큰 장점이며, 근래에는 성능면에서도 ASIC에 비견될 정도로 향상되었다. 본 논문에서는 128비트 키 길이와 블록 길이를 가지는 암호화(Encryption)블럭을 Xilinx VirtexE XCV812E-8-BG560 FPGA에 구현하였으며 약 15Gbits/sec의 성능(throughput)을 가진다. 이는 현재까지 발표된 FPGA Rijndael 알고리즘의 구현 사례 중 가장 빠른 방법 중의 하나이다.
-
본 논문에서는 자바 카드용 ECC (Elliptic Curve Cryptosystems) 및 ECDSA (Elliptic Curve Digital Signature Algorithm) 알고리즘 구현 및 시험 결과에 대해 언급하고자 한다. 163비트 타원곡선 암호시스템(ECC)은 현재 많이 사용되고 있는 RSA 1024 비트 이상의 안전성을 보장한다. 또한, 짧은 키 길이를 사용하기 때문에 메모리와 처리능력이 제한된 스마트 카드나 이동 통신 등과 같은 분야에서 매우 유용하게 사용될 수 있으며, ECC나 ECDSA를 자바 카드 상에 구현하여 사용함으로써 사용자들은 보다 강화된 보안성과 안전성을 제공받을 수 있을 것이다.
-
본 논문에서는 유한체 연산을 바탕으로 하는 공개키 암호화 프로세서를 위한 효율적인 곱셈기 구조를 제안한다. 제안된 곱셈기는 다항식으로 항이 모두 1인, AOP, 기약 다항식을 사용하였다. 제안된 구조는 LFSR 구조에 기반한 곱셈기 구조이다. VHDL 코드 시뮬레이션 결과 제안된 구조가 기존의 구조에 비해서 보다 효율적인 구조 복잡도를 가짐을 알 수 있었다.
-
최근 들어 일반인들을 대상으로 하는 인터넷 서비스가 보편화되면서 B2C 기반 전자상거래의 수요가 급속히 증가하고 있다. 뿐만 아니라 기업과 기업간(B2B) 혹은 기업과 정부간(B2G)의 전자상거래를 위한 포탈 사이트나 허브 사이트 등의 구축도 매우 활발히 이루어지고 있다. 이와 같은 인터넷 기반의 전자상거래 시스템은 사용자들에게 기존 상거래에서는 경험해 보지 못했던 다양하고 방대한 정보와 편리성 등을 제공하고 있다. 반면, 지불 정보나 구매 정보 혹은 개인 신상 정보 등의 유출과 같은 보안상의 문제점들을 해결해야 하는 어려움도 내재되어 있어 안전한 전자상거래를 보장하기 위한 일환으로 자바카드 기반의 사용자 인터페이스가 요구되고 있다. 여기서, 자바카드 상의 개방형 플랫폼 보안 서비스를 구현하는 것이 본 논문의 목적이다. 이러한 목적을 달성하기 위해 자바카드를 기반으로 하는 개방형 플랫폼상의 CEPS 보안 메커니즘을 분석하고, 개방형 플랫폼 구성요소인 보안 도메인(Security Domain)의 보안 요구사항에 근거한 자바카드 보안 서비스를 제공하는 기능을 설계 및 구현한다.
-
본 논문에서는 확인자 기반의 SRP 프로토콜을 이용하여 무선통신 환경에서 상호인증 프로토콜을 설계하는 것이다. 본 논문에서 제안한 타원 곡선 SRP 프로토콜은 타원 곡선 이산 대수 문제를 SRP에 적용시켜, 타원곡선의 높은 효율성과 보안성을 갖고, 스칼라 연산을 하게 됨으로써, 이동통신 시스템에 효율적인 인증 프로토콜을 제안한다.
-
본 논문에서는 XTR을 이용해 Schnorr 개인식별 프로토콜을 구성하여 블랙메일링 공격이 있을 경우에 은행에게 블랙메일링 공격에 대한 정보를 개인식별 과정에서 알려주는 방법을 제안한다. 본 논문에서 제안한 XTR 버전의 Schnorr 개인식별 프로토콜을 사용하면 기존의 방법들이 블랙메일링 공격을 막기 위해 필요로 하는 가정들을 사용하지 않고도 효과적으로 블랙메일링 공격을 막을 수 있는 새로운 방법이 된다.
-
이동 통신망은 여러 다른 전송 특성을 갖는 구간들로 구성된 통신 채널을 갖고 있으며, 사용자의 위치 정보가 다른 공격자에 의하여 밝혀지지 않아야 하는 사용자 위치 익명성 제공이 되어야 하며, 이동국에서의 계산량과 저장량이 작도록 구성되어야 한다. 본 논문에서는 이동 통신망의 환경을 분석하고, 기존의 이동 통신망을 위한 보안 요구사항을 도출하며, 이를 바탕으로 이동통신망을 위한 키 분배 방식들을 분석하며, 또한 기존의 키 분배 방식을 제시한다. 그리고 이를 바탕으로 4가지 키 분배 방식을 제안하고, 제안된 키 분배 방식들의 특징을 제시한다.
-
악의의 침입자로부터 시스템을 보호하기 위한 첫 번째 단계는 시스템의 취약점을 분석하는 일이다. 기존의 시스템 취약점 분석 방법은 주로 네트워크 기반 취약점 점검 도구에 의존해 왔다. 하지만, 네트워크 기반 취약점 점검 도구는 대상 시스템의 제한된 정보만을 이용하여 취약점을 점검하기 때문에 시스템의 모든 취약점에 대한 검사가 불가능하다는 단점이 있다. 호스트 기반 취약점 점검 도구를 사용하면 시스템 내부의 모든 정보를 이용할 수 있지만, 시스템의 OS 종류나 버전에 따라 각기 다른 호스트 기반 취약점 점검 도구를 개발해야 한다는 단점이 있다. 또한, 호스트 기반 취약점 점검 도구들은 많은 호스트들을 동시에 점검하기 힘들다는 점이 문제로 지적되고 있다. 본 논문에서는 호스트 기반 취약점 점검 도구를 에이전트로 구현하여 대상 시스템에 설치하고, 하나의 관리 프로그램에서 여러 에이전트들을 관리함으로써 동시에 많은 호스트의 취약점들을 관리할 수 있는 모델인 ISMAEL을 제시한다. 또한 ISMAEL은 OS에 맞는 여러 호스트 기반 취약점 점검 도구들을 개발해야 하는 문제를 해결하기 위해 OS에 독립인 부분만을 뽑아내고, 그 외 OS에 종속된 부분은 Library 형태로 제공하여, OS에 독립인 부분에서 이 Library를 참조하여 특정 취약점 점검 코드를 자동 생성하고 이를 실행하여 취약성 여부를 판단할 수 있는 구조를 채택하고 있다.
-
정보기술의 발달과 함께 정보시스템을 보호하기 위한 정보보안관리문제는 모든 기관 및 조직에서 반드시 짚고 가야 하며, 조직 전반에 걸쳐 표준적인 관리지침을 통해 포괄적으로 검토되어야 하는 문제로 대두되고 있다. 그러나, 현행 국방관련조직은 전반적으로 보안관리방법과 관리모델이 정립되지 않은 실정이므로 정보보안관리를 위한 표준관리 지침이 요구된다. 이에 본 논문은 정보시스템을 운영하는 조직 전반의 보안상태를 평가하는데 유용한 방법론인 정보보안관리규격(BS7799)을 적용함으로서 전사적인 관점에서의 국방정보체계 정보보안관리모델을 제안하고자 한다.
-
In this paper, we propose a robust watermarking technique that accepts time scaling, pitch shift, add noise and a lot of lossy compression such as MP3, AAC, WMA. The technique is developed based on digital filtering. Being designed according to critical band of HAS (human auditory system), the digital filters nearly affect audio quality. Furthermore, before implementing digital filtering, wavelet transform decomposes the audio signal into several signals that is composed of specific frequencies. Designed digital filters scan the decomposed signal. The designed digital filter, band-stop filter, distorts and eliminates specific frequencies of audio signals. Watermarking detection can be accomplished by FFT (Fast Fourier Transform). Firstly, segments of audio signal are transformed by FFT. Then, the obtained amplitude spectrum by FFT is summed repeatedly. Finally the watermark detector can find filters used to watermark encoding based on eliminating frequencies. The suggested technique can embed 4bits/s in a robust manner.
-
생체인식은 인간의 측정 가능한 생물학적인 또는 행동상의 특징을 이용하여 신원을 확인, 검증하는 방법이다. 현재 국외의 경우, 생체인식 관련 표준화 부분에 있어서 상당한 진척을 보이고 있다. 그러나 국내의 경우 아직 표준화 관련 작업이 미흡한 실정이다. 따라서 본 논문에서는 국제 표준화 동향에 대해 살펴보고 국내 생체인식 표준화의 필요성과 고려사항을 제시한다.