• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.6
• /
• pp.135-149
• /
• 2006

Securing wireless Ad hoc network including the secure mechanism design and implementation is generally more difficult for vulnerability of channels and nodes, the absence of infrastructure, topology that change dynamically, and etc, than ire network. The efforts of early researches are based on the adaptation of securing methods for the wire network to wireless ad hoc network. However, wireless ad hoc network could not get effective study finding because network has essential problems. This paper proposes that some new problems are being came to light over the survivability and availability of the network itself, that are caused by the massive packet attack of more than one or two nodes, and proves the consequence of this phenomenon. Also, we propose an effective prevention mechanism of masquerade attacks for survivability reinforcement that escape standard of the early way by survivability of wireless Ad hoc network and approaches for performance elevation and reflect special quality of wireless Ad hoc network.

• The KIPS Transactions:PartC
• /
• v.12C no.5 s.101
• /
• pp.623-632
• /
• 2005

In ad-hoc network, there is no fixed infrastructure such as base stations or mobile switching centers. The security of ad-hoc network is more vulnerable than traditional networks because of the basic characteristics of ad-hoc network, and current muting protocols for ad-hoc networks allow many different types of attacks by malicious nodes. Malicious nodes can disrupt the correct functioning of a routing protocol by modifying routing information, by fabricating false routing information and by impersonating other nodes. We propose a routing suity mechanism based on one-time digital signature. In our proposal, we use one-time digital signatures based on one-way hash functions in order to limit or prevent attacks of malicious nodes. For the purpose of generating and keeping a large number of public key sets, we derive multiple sets of the keys from hash chains by repeated hashing of the public key elements in the first set. After that, each node publishes its own public keys, broadcasts routing message including one-time digital signature during route discovery and route setup. This mechanism provides authentication and message integrity and prevents attacks from malicious nodes. Simulation results indicate that our mechanism increases the routing overhead in a highly mobile environment, but provides great security in the route discovery process and increases the network efficiency.

• Journal of KIISE:Information Networking
• /
• v.30 no.5
• /
• pp.604-613
• /
• 2003

Network Address Translation-Protocol Translation(NAT-PT) is an IPv4/IPv6 translation mechanism, as defined in RFC2766, allowing IPv6-only devices to communicate with IPv4-only devices and vice versa. But NAT-PT has the restriction that applies to IPv4 NAT where NAT-PT does not provide end-to-end security, which is a major goal of IPSec. Therefore it cannot support security services such as confidentiality, authentication, and integrity. In this paper, we propose secure NAT-PT(SNAT-PT) and the corresponding secure host architecture to support IPSec security service. And also tunneling scheme using dummy IP header is presented to show the valid operation of end-to-end IPSec protocol on the proposed architectures.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.183-186
• /
• 2002

시스템 콜 인터포지션 메커니즘은 침입 탐지 및 접근 제어와 같은 시스템 보안 기능을 강화하기 위해서 사용하는 방법이다. 현재까지 알려진 시스템 콜 인터포지션의 구현 방법은 크게 라이브러리 기반, 커널 기반 그리고 유저레벨 프로세스 기반의 접근방식이었다. 기존의 방식들은 대부분 범용적인 모노리틱커널에 적용되어 사용되고 있으며, 최근에 보안 운영체제로 개발되고 있는 마이크로커널 방식의 시스템에서는 적합하지 않다. 본 논문에서는 기존에 연구되었던 시스템 콜 인터포지션 방법들을 소개하고 마이크로커널 기반의 시스템 콜 인터포지션을 위한 메커니즘을 제안하고 있다. 제안된 메커니즘은 마이크로커널 위에 모니터 서버를 두고, IPC가 수행될 때 특정 시스템 콜을 비동기 IPC를 이용하여 감시하는 방식을 취하고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11a
• /
• pp.463-466
• /
• 2003

시스템 콜 인터포지션 메커니즘은 침입 탐지 및 접근 제어와 같은 시스템 보안 기능을 강화하기 위해서 사용하는 방법이다. 현재까지 알려진 시스템 콜 인터포지션의 구현 방법은 크게 라이브러리 기반, 커널 기반 그리고 유저레벨 프로세스 기반의 접근방식이 있다. 기존의 방식들은 대부분 범용적인 모노리틱커널에 적용되어 사용되고 있으며, 최근에 보안 운영체제로 개발되고 있는 마이크로커널 방식의 시스템에서는 적합하지 않다. 본 논문에서는 기존에 연구되었던 시스템 콜 인터포지션 방법들을 소개하고 마이크로커널 기반의 시스템 콜 인터포지션을 위한 메커니즘과 기반이 되는 커널 컴포넌트들을 안전하게 관리하는 방법을 제안하고 있다. 제안된 메커니즘은 마이크로커널 위에 모니터 서버를 두고, IPC가 수행될 때 특정 시스템 콜을 비동기 IPC를 이용하여 감시하는 방식을 취하고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2000.10a
• /
• pp.427-430
• /
• 2000

전자상거래의 급속한 확산으로 인하여 네트워크 기반의 어플리케이션들이 많이 요구되고 있다. 특히 이동 에이전트는 이러한 요구에 가장 핵심적인 패러다임이라 할 수 있다. 그러나 전자상거래에서 이동에이전트 기법의 사용은 자원 및 시스템 보안과 개인정보의 보안에 대한 심각한 문제를 안고 있다. 따라서 본 연구에서는 이동에이전트와 호스트들의 악의적인 행위에 대비한 인중 서버를 두어서 에이전트와 호스트를 보호하는 인증 메커니즘 모델을 설계하였다. 설계된 모델을 수학적으로 분석하여 시스템의 자원을 효율적으로 관리, 조정 할 수 있도록 하였으며 서버의 처리율보다 에이전트가 처리를 요구하는 요구율이 높을 경우는 지역 이동에이전트 인증시스템을 확장하여 지역 인증 메커니즘에 따라 효과적으로 처리할 수 있도록 하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2213-2216
• /
• 2003

단일 호스트 환경에 특화되어 설계되어온 기존 침입탐지 시스템(Intrusion Detection System: IDS)은 침입 시 도메인의 보호만을 그 목적으로 하는 수동적인 성격으로써, 새로운 공격 기법에 대한 탐지 및 대응, 그리고 보다 그 규모가 큰 네트워크로의 확장 면에서 구조적인 결함을 가지고 있다. 이러한 IDS의 구조적 문제점의 해결방안으로 액티브 네트워크 기반의 IDS 에 관한 연구가 진행되고 있다. 액티브 네트워크(Active network)란 패킷 스위칭 네트워크 상에 프로그램 가능한 라우터 등인 액티브 노드들을 배치하고, 사용자의 요구에 상응하는 적절한 연산을 위한 데이터와 프로그램으로 구성된 스마트 패킷(smart packet)에 대하여 수행 가능하게 하는 접근 방법이다. 본 논문에서는 이를 기반으로 자율적이며 지능적인 에이전트로 구성된 멀티 에이전트 기술을 액티브 노드에 적용함으로써 기존 IDS 보안메커니즘에서 보다 러 진보된 능동적이고 적극적인 대응을 위한 보안 메커니즘을 제공하여 네트워크 공격에 의한 피해 최소화와 신속한 대응이 가능한 멀티 에이전트 기반 공격 대응 메커니즘을 제시하고, 이를 적용 가능한 액티브 네트워크 기반 프레임 설계를 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2109-2112
• /
• 2003

Diameter-MIPV4 프로토콜은 기존 Mobile IP(MIP)의 취약한 키 분배 문제를 해결하고 이동노드에 대해 인증 및 권한 검증, 과금 서비스 등을 지원함으로써 보다 개선된 보안 메커니즘을 제안하고 있다. 그러나 흠 망의 Diameter 서버에 의해 인증 및 등록이 수행된 후 공중망을 통해서 이동노드에게 세션키를 분배하는 것은 많은 보안상 공격에 노출될 수 있으며 원격지 도메인간의 빈번한 등록 메시지 교환은 통신 지연을 야기 시킬 수 있다. 본 논문에서는 안전한 세션키 분배를 위해서, 이동 노드의 등록 수행 과정 중 홈 망과 방문 망 사이에 IPsec(IP security) 터널을 구축함으로써 공중망에서의 세션키 유출 위협을 감소시켰다. 또한 네트워크의 계층성과 Micro-Mobility MIP 메커니즘을 이용하여 동일 도메인 내에서의 핸드오프 시 이동 노드의 인증 및 등록, 세션키 분배를 지역화 함으로써 통신 지연 문제를 효율적으로 개선하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2007.05a
• /
• pp.1031-1034
• /
• 2007

다양한 유무선 단말의 등장과 함께 원하는 곳에서 시간에 제한없이 네트워크에 접속할 수 있는 유비쿼터스 세상이 눈앞으로 다가왔다. 네트워크 접속이 현대인 생활의 일부분이 된 현실에서 과다 트래픽 발생으로 인한 급작스런 네트워크 상의 장애는 유비쿼터스 환경에서 무엇보다도 큰 위협이라 할 수 있다. 따라서 비정상적으로 발생한 과다 트래픽을 빠르게 탐지하여 대응하는 것은 유비쿼터스 환경을 안전하게 보호하기 위한 필수 요소라 할 수 있다. 본 논문에서는 기존의 트래픽 분석과는 달리 흐르는 네트워크 패킷의 5 tuple 정보를 실시간으로 수집하여 과다/이상 트래픽을 즉각적으로 탐지하고, 이를 자동으로 제어하는 메커니즘에 대해서 소개하고 있다. 실시간으로 8초마다 트래픽 정보를 수집하고 이를 분석하여 트래픽의 특성을 구분 및 위협도를 분석하여 이를 바탕으로 트래픽 제어 정책을 생성 및 적용하는 전반적인 과정에 대한 것이다. 여기에는 본 메커니즘을 실제 테스트망에서 시험한 결과도 포함하고 있다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1996.11a
• /
• pp.346-355
• /
• 1996

개방형 분산 컴퓨팅 환경에 관한 표준구조인 CORBA를 기반으로 하여 CORBA에서 보안 요구사항중 사용자가 자신의 시스템에 접근하는 것과 분산되어 있는 객체에 접근하기 위한 선결조건으로 인증을 수행하는 데 필요한 인증 메커니즘으로 본 논문에서는 분산환경을 위해 개발된 Kerberos 버전5의 사용과 이률 위한 보안 인터페이스로 GSS-API를 이용함으로 CORBA 보안요구를 만족하는 보안구조를 제시하고자 한다.