• 한국컴퓨터정보학회논문지
• /
• 제22권8호
• /
• pp.55-61
• /
• 2017

Cloud computing is cost-effective in terms of system configuration and maintenance and does not require special IT skills for management. Also, cloud computing provides an access control setting where SSO is adopted to secure user convenience and availability. As the SSO user authentication structure of cloud computing is exposed to quite a few external security threats in wire/wireless network integrated service environment, researchers explore technologies drawing on distributed SSO agents. Yet, although the cloud computing access control using the distributed SSO agents enhances security, it impacts on the availability of services. That is, if any single agent responsible for providing the authentication information fails to offer normal services, the cloud computing services become unavailable. To rectify the environment compromising the availability of cloud computing services, and to protect resources, the current paper proposes a security policy that controls the authority to access the resources for cloud computing services by applying the authentication policy of user authentication agents. The proposed system with its policy of the authority to access the resources ensures seamless and secure cloud computing services for users.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권4호
• /
• pp.1436-1457
• /
• 2018

Secure routing services in Wireless Sensor Networks (WSNs) are essential, especially in mission critical fields such as the military and in medical applications. Additionally, they play a vital role in the current and future Internet of Things (IoT) services. Lightness and efficiency of a routing protocol are not the only requirements that guarantee success; security assurance also needs to be enforced. This paper proposes a Secure-Fuzzy Energy Aware Routing Protocol (S-FEAR) for WSNs. S-FEAR applies a security model to an existing energy efficient FEAR protocol. As part of this research, the S-FEAR protocol has been analyzed in terms of the communication and processing costs associated with building and applying this model, regardless of the security techniques used. Moreover, the Qualnet network simulator was used to implement both FEAR and S-FEAR after carefully selecting the following security techniques to achieve both authentication and data integrity: the Cipher Block Chaining-Message Authentication Code (CBC-MAC) and the Elliptic Curve Digital Signature Algorithm (ECDSA). The performance of both protocols was assessed in terms of complexity and energy consumption. The results reveal that achieving authentication and data integrity successfully excluded all attackers from the network topology regardless of the percentage of attackers. Consequently, the constructed topology is secure and thus, safe data transmission over the network is ensured. Simulation results show that using CBC-MAC for example, costs 0.00064% of network energy while ECDSA costs about 0.0091%. On the other hand, attacks cost the network about 4.7 times the cost of applying these techniques.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 춘계학술대회
• /
• pp.243-245
• /
• 2017

본 논문에서는 많은 연구가 이루어지고 있는 안면인식 기술에서 2차원에 대한 취약점으로 깊이데이터를 받아 안면인식 기술의 보안성을 높였다. 본 논문은 이에 2차원 안면인식에 대한 취약점인 깊이 굴곡데이터가 없어 사진으로도 보안성을 허무는 단점을 사람들 개별의 습관성을 지닌 눈 깜박임에 대한 데이터를 받아오고 또한, 양 측면 이미지의 추가 데이터를 통하여 깊이데이터를 측정하지 않아도 깊이 데이터에 대한 정보를 받아 깊이카메라를 사용하지 않아도, 안면인식 보안성을 올려 주는 새로운 패턴을 분석하여, 장비를 줄여줌으로써, 원가 절감효과를 기대한다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.919-929
• /
• 2014

최근의 개인정보 유출과 같은 정보보안 사고들이 기업의 매출 감소와 이미지 손실에 직접적인 영향을 주는 심각한 위험 관리 요소가 됨에 따라 체계적인 정보보호 관리를 위해 정보보호관리체계를 도입하는 기업들이 증가하고 있다. 그러나 기업 내 정보보호 인식과 달리 적은 투자로 인해, 한정된 예산으로 다양한 정보보호 요소들을 효과적으로 관리할 수 있는 방안이 중요해지고 있다. 본 연구에서는 정보보호관리체계의 13개 항목들에 대해 정보보호전문가들의 중요도 평가를 통해 우선순위를 도출하여, 단계적으로 정보보호관리체계를 구축할 수 있는 방향을 제공한다. 그리고 각 항목들에 대한 투자 정도도 평가하여 중요도와 투자 간의 우선순위 차이를 비교 분석하였다. 연구 결과 침해사고 관리가 가장 중요한 것으로 나타났으며, 투자 정도에서는 IT 재해복구가 가장 높은 것으로 확인되었다. 그리고 정보보호 중요도와 투자 간의 우선순위 차이가 큰 정보보호 항목은 암호통제, 정보보호정책, 정보보호교육, 인적보안으로 확인되었다. 본 연구 결과는 정보보호관리체계 도입을 고려하거나 운영 중인 기업들이 한정된 예산을 고려하여 효과적인 정보보호 투자에 대한 의사결정 자료로 활용될 수 있을 것으로 기대한다.

• 정보보호학회논문지
• /
• 제14권1호
• /
• pp.25-34
• /
• 2004

CC(=ISO/IEC 15408)는 정보보호시스템의 국제표준이며 CC평가 및 인증체계에서는 평가기관 운영하며 평가기관에서는 적정한 평가비 산정을 위한 근거가 필요하다. 본 논문에서는 특정한 평가기관의 환경이 아니라, CC기준과 기존의 PP 및 ST만을 바탕으로 하여, 제품유형별 및 보증수준별 평가업무량 모델을 제시하였으며, 평가실무자득의 경험, 보안기능의 사용율 개념 및 기능점수방법 등을 이용하였다. 본 결과는 CC평가환경에서 정보보호제품의 평가비 및 기간의 산정을 위한 기본자료로 활용될 수 있을 것이다.

• 한국멀티미디어학회논문지
• /
• 제18권2호
• /
• pp.178-188
• /
• 2015

The proliferation of devices such as tablets and smart phones, which are now used by many people in their daily lives, has led to a number of companies allowing employees to bring their own devices to work due to perceived productivity gains and cost savings. However, despite many advantage, security breaches (e.g., information leakage) can happen for various reasons (e.g., loss or theft of devices, and malicious code) and privacy breaches can happen by using personal devices for business. We should carefully scrutinize security threats in this area. We present the security threats analysis and the technical approach in this area, and discuss privacy threats and countermeasures.

• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.215-227
• /
• 2018

한국은 단기간에 IT강국으로 급성장함에 따라 사이버 폭력, 개인정보 유출, 사이버 테러 등 사이버상의 각종 부작용이 새로운 사회적 문제로 대두되고 있다. 특히 안전한 사이버 생활의 기본이 되는 개인정보 유출에 대한 심각성은 전 세계적으로 심각한 문제로 부각되고 있다. 이와 관련하여 개인정보 유출에 따른 피해비용 규모의 추정이 필요한데 이와 관련한 연구는 국내에서는 아직 미흡한 상황이다. 이에 본 연구에서는 개인정보 유출에 따른 피해비용 산출 모델을 실거래 평균값 기반, 개인 인식 가치 기반, 보상금액 기반, 타 국가 기반의 네 가지 방식을 제시한다. 그리고, 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 피해비용을 추정하였다. 추정에 활용한 사건의 수는 65건이고 총 개인정보 유출 건수는 약 4억 3천만 건에 이른다. 추정결과 2016년의 개인정보 유출로 인한 피해비용은 최소 74억에서 최대 220조로 추산되었으며 10개년도 평균은 연간 약 107억에서 307조로 추산 되었다. 또한 개인정보 유출로 인한 추정 피해액이 3년 주기로 상승하는 특이점을 발견할 수 있었다. 앞으로 본 연구를 통해 개인정보 유출로 인한 피해비용을 조금 더 정확하게 측정할 수 있는 지표를 마련하고 그 피해비용을 줄일 수 있는 방안 마련의 지표로 사용되기를 기대한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권4호
• /
• pp.860-877
• /
• 2013

Cloud computing has become one of the most important technologies for reducing cost and increasing productivity by efficiently using IT resources in various companies. The cloud computing system has mainly been built for private enterprise, but public institutions, such as governments and national institutes, also plans to introduce the system in Korea. Various researches have pointed to security problems as a critical factor to impede the vitalization of cloud computing services, but they only focus on the security threats and their correspondents for addressing the problems. There are no studies that analyze major security issues with regard to introducing the cloud computing system. Accordingly, it is necessary to research the security factors in the cloud computing given to public institutions when adopting cloud computing. This research focuses on the priority of security solutions for the stepwise adoption of cloud computing services in enterprise environments. The cloud computing security area is classified into managerial, physical and technical area in the research, and then derives the detailed factors in each security area. The research derives the influence of security priorities in each area on the importance of security issues according to the identification of workers in private enterprise and public institutions. Ordered probit models are used to analyze the influences and marginal effects of awareness for security importance in each area on the scale of security priority. The results show workers in public institutions regard the technical security as the highest importance, while physical and managerial security are considered as the critical security factors in private enterprise. In addition, the results show workers in public institutions and private enterprise have remarkable differences of awareness for cloud computing security. This research compared the difference in recognition for the security priority in three areas between workers in private enterprise, which use cloud computing services, and workers in public institutions that have never used the services. It contributes to the establishment of strategies, with respect to security, by providing guidelines to enterprise or institutions that want to introduce cloud computing systems.

• 한국산업정보학회논문지
• /
• 제17권6호
• /
• pp.1-9
• /
• 2012

저가의 RFID 태그는 많은 응용에 이용되지만 매우 한정된 계산 및 저장 능력을 가지고 있기 때문에 다양한 보안공격에 견딜 수 있는 RFID 상호인증 프로토콜을 만들기가 쉽지 않다. 아주 최근에 Tian 등은 계산비용이 적은 XOR 연산, 회전연산, 그리고 순열 연산을 사용하여 다양한 보안 공격에 견딜 수 있는 저가의 RFID 태그를 위한 인증 프로토콜(RAPP)을 제안하였다. 본 연구에서는 RAPP가 비동기화 공격에 취약함을 보이고 아울러 그 취약점을 극복하여 개선된 RAPP를 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권4호
• /
• pp.1779-1798
• /
• 2018

Heterogeneous wireless sensor networks (HEWSN) is a kind of wireless sensor networks (WSN), each sensor may has different attributes, HEWSN has been widely used in many aspects. Due to sensors are deployed in unattended environments and its resource constrained feature, the design of security and efficiency balanced authentication scheme for HEWSN becomes a vital challenge. In this paper, we propose a secure and lightweight user authentication and key agreement scheme based on biometric for HEWSN. Firstly, fuzzy extractor is adopted to handle the user's biometric information. Secondly, we achieve mutual authentication and key agreement among three entities, which are user, gateway and cluster head in the four phases. Finally, formal security analysis shows that the proposed scheme defends against various security pitfalls. Additionally, comparison results with other surviving relevant schemes show that our scheme is more efficient in term of computational cost, communication cost and estimated time. Therefore, the proposed scheme is well suitable for practical application in HEWSN.