• 정보보호학회논문지
• /
• 제21권5호
• /
• pp.3-13
• /
• 2011

2004년 Boneh et. al. 은 송신자가 전송한 검색어에 대한 암호문과 수신자가 제공한 쿼리 생성에 사용된 검색어의 동일성을 서버가 검사할 수 있는 PEKS 스킴을 제안하였다. 이후 Yang et. al. 은 서로 다른 공개키로 암호화된 암호문의 비교를 통해 암호화된 메시지의 동일성을 검사하는 기법인 Probabilistic Public Key Encryption with Equality Test(PEET)을 제안하였다. PEET 기술은 메시지 부분을 검색어로 대체해서 암호화할 경우 Keyword guessing attacks에 대한 안전성을 보장하지 못하고 검색가능 암호화 기법들에서 일반적으로 고려되고 있는 안전성의 기준인 IND-CPA 안전성을 제공하지 못한다. 본 논문에서는 Keyword guessing attacks에 안전하며 IND-CPA를 만족하는 고정된 검사자를 고려한 메시지 동일성 검사 공개키 암호시스템(public key encryption with equality test with designated tester. dPEET)을 제안한다.

• 융합보안논문지
• /
• 제24권1호
• /
• pp.21-26
• /
• 2024

이전의 네트워크 환경에서의 보안모델은 신뢰를 기반으로 하는 Perimeter모델을 사용하여 일단 신뢰된 사용자에게 대한 리소스 접근통제가 적절하게 이루어지지 못하는 취약점이 존재해 왔다. Zero Trust는 내부 데이터에 액세스하는 사용자와 장치가 어느 것도 신뢰할 수 있는 것이 없다고 가정하는 것을 절대적 원칙으로 한다. Zero Trust 원칙을 적용하면 조직의 공격 표면을 줄이는 데 매우 성공적이며, 또한 Zero Trust를 이용하면 세분화를 통해 침입을 하나의 작은 영역으로 제한하여 공격이 발생했을 때 피해를 최소화하고 할 수 있다는 평가를 받고 있다. ZTNA는 조직에서 Zero Trust 보안을 구현할 수 있도록 하는 주요 기술로서 소프트웨어정의경계(SDP)와 유사하게, ZTNA는 대부분의 인프라와 서비스를 숨겨서 장치와 필요한 리소스 간에 일대일로 암호화된 연결을 설정한다, 본 연구에서는 ZTNA 아키텍처의 원칙이 되는 기능과 요구사항을 검토하고, ZTNA 솔루션의 구축과 운영에 따른 보안요구사항과 검토사항에 대해 연구한다.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.41-52
• /
• 2024

IPsec VPN에 대한 보안 감사는 구현 결함이나 설정 오류로 인한 취약점을 점검하고 사고 발생에 대한 조사 등을 위해 매우 중요하다. 하지만 IPsec VPN은 기밀성, 무결성, 인증 등을 보장하기 위해 네트워크 콘텐츠가 암호화 되어 있어 보안 감사에 큰 어려움이 있다. 이를 해결하기 위해 중간자 공격 방식을 이용한 분석 기법들이 이전 연구들에서 제안되었다. 중간자 공격 기법을 적용하기 위해서는 상호 인증을 위한 사전 공유키를 알고 있어야 하며, 네트워크에 직접 참여해야 한다. 이는 보안 감사를 위해 일시적으로 네트워크 단절을 유발하며, 감사 이전에 수집된 데이터에 대한 분석이 불가능하다. 본 논문에서는 네트워크 연속성을 보장하며, 특정 IPsec VPN 연결 방식과 인증 방식에 한정되지 않는 새로운 분석 기법을 제안한다. 따라서, 제안하는 분석 기법은 IPsec VPN 보안 감사를 위해 실제적으로 활용될 것으로 기대된다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.999-1012
• /
• 2020

최근 개인 건강기록의 활용이 증가함에 따라, 개인 건강기록의 개인정보를 보호하는 암호 프로토콜에 대한 연구가 활발하게 이루어지고 있다. 현재 일반적으로 개인 건강기록은 암호화되어 클라우드에 외부 위탁되어 관리되고 있다. 하지만 이 방법은 개인 건강기록의 무결성을 검증하는데 제한적이며, 사용시 필수적으로 복호화가 필요하기 때문에 데이터 가용성이 떨어지는 문제점이 있다. 본 논문에서는 이 문제를 해결하기 위해 Redactable 서명기법과 영지식증명을 사용하여 검증 가능한 클라우드 기반의 개인 건강기록 관리기법을 제안한다. 검증 가능한 클라우드 기반의 개인 건강기록 관리기법은 Redactable 서명기법을 사용함으로써 민감한 정보를 삭제하여 사생활(privacy)을 보존하면서 원본문서의 무결성 검증이 가능하며, 영지식 증명을 사용함으로써 원본문서의 삭제된 부분 외에는 삭제 및 수정되지 않았음을 검증 할 수 있다. 또한 Redact Recovery Authority를 통해 필요한 경우에만 삭제된 부분을 복원할 수 있도록 설계함으로써 기존의 관리기법보다 데이터의 가용성이 증가하도록 설계하였다. 그리고 제안한 기법을 활용한 검증 가능한 클라우드 기반의 개인 건강기록 관리모델을 제안하고, 제안한 기법을 구현함으로써 효율성을 분석하였다.

• 정보처리학회 논문지
• /
• 제13권7호
• /
• pp.291-298
• /
• 2024

클라우드 컴퓨팅이 널리 사용되면서, 데이터 유출에 대한 관심도 같이 증가하고 있다. 동형암호는 데이터를 암호화된 채로 클라우드 서버에서 연산을 수행함으로써 해당 문제를 해결할 수 있다. 그러나, 프로그램 전체를 동형암호로 연산하는 것은 큰 오버헤드를 가지고 있다. 프로그램의 일부분만 동형암호를 사용하는 것은 오버헤드를 줄일 수 있지만, 사용자가 직접 프로그램의 코드를 분할하는 것은 시간이 오래 걸리는 작업이고 또한 에러를 발생시킬 수 있다. 이 연구는 지시문을 활용하여 동형암호 프로그램의 코드를 분할하는 컴파일러인 Heapa를 제시하였다. 사용자가 프로그램에 클라우드 컴퓨팅 영역에 대한 코드를 지시문으로 삽입하면 Heapa는 클라우드 서버와 호스트사이의 통신 및 암호화를 적용시킨 계획을 세우고, 분할된 프로그램을 생성한다. Heapa는 영역 단위의 지시문뿐만 아니라 연산 단위의 지시문도 사용가능하여 프로그램을 더 세밀한 단계로 분할 가능하다. 이 연구에선 6개의 머신러닝 및 딥러닝 어플리케이션을 통해 컴파일러의 성능을 측정했으며, Heapa는 기존 동형암호를 활용한 클라우드 컴퓨팅보다 3.61배 개선된 성능을 보여주었다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제12권3호
• /
• pp.192-207
• /
• 2006

현재 SSL 프로토콜은 다양한 컴퓨팅 환경과 보안 시스템 내에서 핵심부분으로 사용되고 있다. 그러나 SSL 프로토콜의 운영상의 경직성 때문에 다음과 같은 문제점들이 있다. 첫째, 주고받는 모든 데이타에 대한 보안을 실행하기 때문에 CPU에 큰 부하를 초래한다. 둘째, SSL 프로토콜에서는 정해진 알고리즘에 의해 고정적인 길이의 키를 사용하므로 향후 암호문 해독에 대한 위험이 존재한다. 셋째, 새로운 암호화 알고리즘의 추가 및 활용에 어려움이 존재한다. 넷째, SSL 프로토콜 개발 시에 보안에 관한 전문 지식이 없는 개발자는 보안 API(Application Programming Interface)를 다루기가 어렵다. 따라서 이러한 문제점들을 극복하는 동시에 안전하고 편리하게 SSL 프로토콜을 사용할 수 있는 방안이 필요하다. 본 논문은 이러한 요구조건을 만족시키기 위해 CBD(Component Based Development) 개념을 사용하여 설계 및 구현한 SSL 컴포넌트를 제안한다. SSL 컴포넌트는 SSL 프로토콜에서 수행하는 데이타 암호화 서비스를 제공한다. 또한, 보안에 익숙하지 않은 개발자들이 안전한 시스템을 구현할 수 있도록 개발의 편의성을 제공한다. SSL 컴포넌트는 컴포넌트의 기본적인 특징을 수용하므로 반복적인 재사용이 가능하여 생산성을 향상시키고 비용을 절감시키는 효과를 준다. 뿐만 아니라 알고리즘이 추가되거나 변경되는 경우에 호환과 연동을 용이하게 해주는 장점이 있다. SSL 컴포넌트는 애플리케이션 단에서 SSL 프로토콜과 동일한 역할을 수행할 수 있도록 한다. 먼저 요구사항을 도출하여 설계, 구현하고, SSL 컴포넌트와 이를 지원하는 비밀성, 무결성 컴포넌트를 독립적으로 구현한다. 앞에서 언급된 모든 컴포넌트들은 각각 EJB로 구현한다. 암 복호화 시 데이타를 선택적으로 암호화할 수 있도록 함으로써 데이타 처리 시간을 줄여 효율성을 높인다. 또한, 사용자의 의지대로 데이터 및 메커니즘을 선택할 수 있도록 하여 사용성을 높인다. 결론적으로는, 위의 내용을 실험 및 평가함으로써, SSL 컴포넌트가 기존의 SSL 프로토콜보다 처리 시간의 증가율이 낮아 데이타 량이 많아질수록 시간이 더 적게 소요되므로 효율적임을 검증한다.

• 한국통신학회논문지
• /
• 제28권6C호
• /
• pp.648-658
• /
• 2003

영상/비디오 컨텐츠의 사용이 급증함에 따라 유료 및 비밀유지를 필요로 하는 영상데이터에 대한 보안문제가 크게 대두되고 있다. 본 논문에서는 영상데이터를 숨기기 위한 영상 암호화 방식을 제안하였다. 이 방법은 웨이블릿 영역에서 양자화과정을 마친 영상 데이터를 대상으로 한다. 본 논문은 영상의 전체데이터가 아닌 부분데이터를 암호화하는 방식을 사용하는데, 세 가지 형태의 부분데이터 추출방식을 사용하였다. 먼저, 웨이블릿 변환이 원영상을 주파수 대역으로 재편성함을 이용하여 영상정보 중 특정 주파수를 숨김으로서 전체 영상을 인식할 수 없도록 하였다. 각 화소를 나타내는 데이터에서도 모든 데이터를 사용하지 않고 MSB만을 선택하여 암호화 대상에 포함시켰다. 마지막으로 특정 부대역의 화소들을 무작위로 선택하였으며, 이 때 선형귀환 시프트 레지스터(Linear Feedback Shift Register, LFSR)를 사용하였다. LFSR의 초기값과 출력비트의 선택에 있어서 암호화키의 일부분을 사용함으로써 암호화 강도를 더욱 높였다. 제안한 방법을 소프트웨어로 구현하여 약 500개의 영상을 대상으로 실험한 결과 원영상 데이터의 약 1/1000의 데이터 양을 암호화함으로써 원영상을 인식할 수 없을 정도의 암호화효과를 얻을 수 있음을 알 수 있었다. 따라서 제안한 방법은 작은 양의 암호화로 효과적으로 영상을 숨기는 방법임을 확인할 수 있었다. 본 논문에서는 부대역의 선택과 LFSR 출력 중 사용비트의 양에 따른 여러 방식을 제안하였으며, 이들의 암호화 수행시간과 암호화효과 사이에 상보적인 관계가 있음을 보여, 적용분야에 따라 선택적으로 사용할 수 있음을 보였다. 또한 본 논문의 방식들은 응용계층에서 수행되는 것으로, 현재 유·무선 통합 네트워크의 중요한 문제로 대두되고 있는 끝과 끝 (end-to-end)의 보안에 대한 좋은 해결방법으로 사용될 수 있으리라 기대된다.

• 한국컴퓨터산업학회논문지
• /
• 제5권1호
• /
• pp.39-48
• /
• 2004

인터넷의 급격한 보급과 신규 IP 주소의 수요가 급증하면서 IP 주소가 부족해지는 현상이 일어나고 있다. 이러한 문제점을 해결하고자 NAT(Network Address Translation)과 같은 주소변환 기술이 널리 사용 되고 있다. NAT는 두 개의 연결된 네트워크에서 서로 다른 IP 주소영역을 사용할 수 있도록 해주는 아주 유용한 주소변환 기술이다. 하지만 인베디드된 IP 주소를 가지거나 단대단 보안을 위해 IP 패킷을 암호화 하는 IPsec과 같은 어플리케이션 환경 하에서는 주소변환에 이용할 수 없고 매번 주소 변환을 수행 하면서 전반적인 주소변환처리 성능이 상당히 떨어지는 문제점을 가지고 있다. RSIP (Realm Specific Internet Protocol)는 이러한 문제를 해결하기 위한 대안 프로토콜이다. NAT와 RSIP 모두 내부와 외부 주소영역 사이에서 동작하는데 NAT는 내부망과 외부망 사이에 주소변환을 수행하여 외부망과의 통신에 사용하지만 RSIP는 라우팅 가능한 공인주소를 미리 할당하여 사용한다 본 논문에서는 NAT의 단점과 보완사항을 알아보고 그 대안을 충족시킬 수 있는 방식인 RSIP 프로토콜을 사용하여 리눅스 기반 인트라넷 환경에서 효율적인 주소변환 시스템을 제안 하고자 한다.

• 전자공학회논문지
• /
• 제50권2호
• /
• pp.221-231
• /
• 2013

정보통신 기술을 이용한 개인 의료정보의 교환은 건강관리 서비스의 중요한 과정이다. 그러나 그 과정은 정보유출의 위험성을 내포하므로 건강관리 서비스의 신뢰성을 보장하기 위하여 개인 의료정보는 보호되어야 한다. 본 논문에서는 착용형 개인건강관리 장치에서 생성되고 전송되는 개인의료 정보를 보호하기 위한 암호화 모듈을 설계하였다. 설계의 주요 목표는 실시간으로 암호화되어 전송 된 개인 의료정보가 당사자의 허가 없이 조회, 수정 및 활용될 수 없음을 보장하는 것이다. 이를 위하여 암호화 알고리즘으로 DES와 3DES를 Telos Rev B(16bit RISC, 8Mhz)에서 운용되는 모듈로 개발하였다. 그리고 실험은 착용형 개인 건강관리 장치에서 측정되는 생체신호에 대한 암호화 및 복호화 성능을 평가하기 위하여 수행되었다. 실험 결과 단위블록에 대한 암호화에 DES가 1.802 ms, 3DES가 6.683 ms가 소요되었다. 또한 Telos Rev B에서 암호화 된 정보가 다른 장치에서 오류 없이 복호화 될 수 있음을 확인함으로써 이종 기기 간 상호 운용성을 확인하였다. 결과적으로, 암호화 모듈이 사용자에게 개인 건강정보 접근권한에 대한 매우 강력한 의사결정권을 부여 할 수 있는 방법이므로 향후 신뢰적인 건강관리 서비스 구축에 기여 할 수 있을 것이다.

• 한국통신학회논문지
• /
• 제39B권12호
• /
• pp.831-841
• /
• 2014

RFID 시스템은 무선 통신을 이용하여 운용되기 때문에 외부의 불법적인 공격에 노출되어 있으며 이에 대한 시스템 침해의 위험성이 높다. 이러한 공격들에 대한 보안 기법들 중 PUF 기반의 인증 기법이 존재한다. 그러나 기존의 PUF 기반 기법들은 해쉬나 AES 알고리즘을 함께 이용하기 때문에, 비용 및 성능적인 측면에서 저비용 RFID 태그에 적합하지 않다. 본 논문에서는, 저비용 RFID 인증을 위하여 PUF 기반 암호화 프로세서와 이를 이용한 상호 인증 프로토콜을 제안한다. PUF의 challenge-response 쌍들을 인증키로 활용하고, 이를 PUF의 특성을 이용하여 암호화함으로써 해쉬 및 AES 등의 알고리즘 사용을 배제하였다. 매 세션마다 변경되는 암호화 방법과 일회성 난수를 이용한 XOR 연산 기법을 활용함으로써 공격자의 challenge-response 쌍에 대한 분석을 차단하여 시스템 공격을 무력화 시킨다. 또한, PUF 특성으로 인하여 물리적 공격에 강하고 태그에 저장된 인증 데이터가 존재하지 않기 때문에 물리적 공격에 의한 태그 복제 위험을 방지한다. 제안된 PUF 기반의 암호화 프로세서는 저비용으로 구현되며 저면적 및 저전력의 특징을 갖는다.