• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1343-1354
• /
• 2018

표준 인증유지기술로 널리 사용되고 있는 OAuth 2.0 Bearer 토큰, JWT(JSON Web Token) 기술은 고정된 토큰을 반복 전송하는 방식을 이용하고 있어서 네트워크 공격자에 의한 도청공격에 취약하기 때문에 HTTPS 보안통신 환경에서 사용해야 한다는 제약이 있다. 평문통신 환경에서도 사용할 수 있는 인증유지기술로 제안된 OAuth 2.0 MAC 토큰 기술은 서버가 인증된 클라이언트에게 공유된 비밀키를 발급하고 인증요청시 이를 이용하여 MAC 값을 계산하여 제시하는 방식을 사용하는데 서버는 사용자별 공유비밀키를 관리해야 하므로 무상태(stateless) 인증을 제공할 수 없다는 단점이 있다. 이 논문에서는 서버측에서 사용자별 공유비밀키를 관리하지 않고도 무상태 MAC 토큰 인증을 수행할 수 있도록 개선된 난수화 토큰인증 프로토콜을 제시한다. 전체 인증과정에서 HTTPS를 사용할 필요가 없도록 하기 위하여 서버인증서를 이용한 초기인증보안, 인증서토큰을 이용한 전자서명 간편로그인 등의 기술을 난수화 토큰인증 기술과 결합하여 적용함으로써 완전한 무상태형 인증서비스를 제공할 수 있도록 설계하였으며 그 구현 사례를 제시한다.

• 한국산업보건학회지
• /
• 제25권4호
• /
• pp.433-445
• /
• 2015

Objectives: The major objectives of this study are to review the issues surrounding trade secret claims in the Chemicals Control Act and Amendment on Occupational Safety and Health Act(1917-227) and to propose a way of improving the reliability of chemical information in MSDSs, labels and National Chemical Survey results. Materials: To review the issues on trade secret claims, we made an analysis frame which was divided into three steps: Value and Problem Recognition; New Regulation Design; and Enforcement and Amendment. We then compared Korean issues with issues from the United States' Hazard Communication Standard and Emergency Planning & Community Right-to-Know Act, Canada's Workplace Hazardous Materials Information System and Hazardous Materials Information Review Act and the European Union's Regulation on Classification, Labelling and Packaging of substances and Mixtures. Results: The stage of right-to-know development in Korea has passed the Value and Problem Recognition phase, so efforts are needed to elaborately design new regulation. Conclusions: We recommend two ways to improve right-to-know in Korea. First, strict examination of the quality of documents for trade secret claims is very important. Second, trade secrets should be limited to less-hazardous substances.

• Journal of Communications and Networks
• /
• 제17권5호
• /
• pp.525-533
• /
• 2015

MS Office suit software is the most widely used electronic documents by a large number of users in the world, which has absolute predominance in office software market. MS Office 2007-2013 documents, which use new office open extensible markup language (OOXML) format, could be illegally used as cover mediums to transmit secret information by offenders, because they do not easily arouse others suspicion. This paper proposes nine forensic methods and an integrated forensic tool for OOXML format documents on the basis of researching the potential information hiding methods. The proposed forensic methods and tool cover three categories; document structure, document content, and document format. The aim is to prevent covert communication and provide security detection technology for electronic documents downloaded by users. The proposed methods can prevent the damage of secret information embedded by offenders. Extensive experiments based on real data set demonstrate the effectiveness of the proposed methods.

• 방송공학회논문지
• /
• 제22권3호
• /
• pp.350-365
• /
• 2017

스테가노그래피는 수신자와 송신자간에 비밀 정보를 제 3자가 알아차리지 못하게 통신하는 기법으로 수천 년 전부터 군사적, 외교적 또는 사업적인 정보들의 전달을 위해서 발달해 왔다. 현대에 이르러서는 디지털 미디어와 통신의 발달로 스테가노그래피의 기법이 더욱 발달하게 되었다. 이 중 영상을 활용하는 스테가노그래피의 기법들은 픽셀에 삽입 비트의 양을 고정하는 LSB, 이웃한 픽셀 쌍의 값 차이를 활용한 PVD등이 있다. PVD 영상 스테가노그래피의 경우 이웃한 픽셀 쌍의 값의 차이와 설계한 range table에 따라서 삽입하는 비밀 정보량을 유동적으로 하여 많은 양의 정보를 삽입한다. 하지만 비밀 정보를 순서대로 삽입하기 때문에 특정 픽셀 쌍에서 삽입하는 정보량에 오류가 발생하면 그 이후의 정보들 모두 오류를 발생시킨다. 본 논문에서는 이러한 PVD의 특성이 갖는 오류나 외부 공격에 대한 취약점을 보완하고 비밀 정보를 추출 할 수 있는 방법을 제안한다. 실험의 방법은 다양한 잡음들을 스테고 영상에 삽입해서 삽입 된 비밀 정보를 비교하고 분석한다. 기존의 PVD는 잡음에 대해서 전혀 비밀 정보의 보존이 불가능하지만 제안된 지역적 삽입 비트 고정 PVD의 경우에는 스테고 영상의 부분적인 잡음에 대해서 비밀 정보를 강건하게 추출할 수 있음을 확인하였다.

• 한국인터넷방송통신학회논문지
• /
• 제17권1호
• /
• pp.59-68
• /
• 2017

세상에 꽃고 여자도 아름답지만 오일러 공식과 대칭이 가장 아름답다. 샤논은 무선통신과 정보이론이 뿌리가 되는 샤논 정리를 오일러 정리에 기반해 정보와 통신에 응용했고, 오늘날 Smart Phone의 원리다. 그들의 만난 점은 MIMO(multiple input and multiple output) 다중안테나 다이버시티가 $e^{-SNR}$ 이다. 본 논문에서는 세상에서 가장 아름다운 공식 $e^{{\pi}i}+1=0$를 발견한 오일러와 무선통신과 정보통신을 탄생시킨 $C=Blog_2(1+{\frac{S}{N}})$을 발견한 샤논의 공식을 간단히 유도하고 이 두 거장은 샤논 한계(Shannon limit)에서 만남을 증명하고 숨어있는 비밀이 무엇인가를 밝힌다. 또한 대수학코딩이론(Algebraic coding theory)와 삼각함수 속에 숨겨진 비밀은 대칭(symmetric)과 Element-wise Inverse가 됨을 발견한다.

• 한국정보처리학회논문지
• /
• 제2권4호
• /
• pp.611-618
• /
• 1995

고도의 정보화 사회에서 데이터의 내용변경, 중요한 데이터의 불법적인 유출, 순 서 변경 그리고 미확인 송신자와 수신자등에 의하여 항상 위협을 받음으로써 데이터의 안전성이 요구되고 있다. 본 연구에서는 컴퓨터 통신의 안전을 위한 다변수 Knapsack 암호시스템을 제안하였다. 이 시스템은 기존의 Knapsack 암호시스템보다도 간단하면서 높은 안전성을 갖는다. 그리고 제안된 암호 시스템은 초증가벡터의 각 요소를 변형하 여 다변수 다항식으로 표현한 것을 암호벡터로 구성한다. 암호문의 복호는 비밀의 정 수와 초증가벡터를 사용하면 평문의 구해진다. 따라서 이 암호의 안전성은 비밀의 정 수를 다변수 다항식으로 나타내는 암호벡터에 대입할 때 암호벡터가 초증가벡터로 되 는 근을 구하는 것의 어려움에 근거하고 있다. 제안된 다변수 Knapsack 암호시스템의 타당성이 컴퓨터 시뮬레이션을 통하여 입증되었다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제23권4호
• /
• pp.232-237
• /
• 2017

해사클라우드는 해상 도메인의 여러 통신 링크 간 원활한 정보 교환을 가능하게 하는 e-Navigation의 주요 통신 기반 기술이다. 최근 이에 대한 연구가 활발히 진행중에 있으나, 현재까지는 기초적인 단계에 있다. 해사클라우드는 다양한 통신 인프라를 활용하여 정보를 전달하므로, 기존의 해양 통신 환경보다 더욱 많은 위협에 노출될 수 있다. 본 논문에서는 해사클라우드 환경을 위한 안전한 데이터 전송 기법을 제안한다. 제안한 기법은 비밀분산 방식을 기반으로 지오캐스팅을 통하여 비밀조각이 전달되며, 이를 기반으로 암호화 키를 생성하여 특정 시점에 인가된 선박에 한해서만 원본 정보를 복원할 수 있다는 특징이 있으며, 스니핑 및 중간자 공격에 안전하다는 장점이 있다.

• Journal of information and communication convergence engineering
• /
• 제15권2호
• /
• pp.91-96
• /
• 2017

PIN-entry interfaces have high risks to leak secret values if the malicious attackers perform shoulder-surfing attacks with advanced monitoring and observation devices. To make the PIN-entry secure, many studies have considered invisible radio channels as a secure medium to deliver private information. However, the methods are also vulnerable if the malicious adversaries find a hint of secret values from user's $na{\ddot{i}}ve$ gestures. In this paper, we revisit the state-of-art radio channel based bimodal PIN-entry method and analyze the information leakage from the previous method by exploiting the sight tracking attacks. The proposed sight tracking attack technique significantly reduces the original password complexities by 93.8% after post-processing. To keep the security level strong, we introduce the advanced bimodal PIN-entry technique. The new technique delivers the secret indicator information through a secure radio channel and the smartphone screen only displays the multiple indicator options without corresponding numbers. Afterwards, the users select the target value by following the circular layout. The method completely hides the password and is secure against the advanced shoulder-surfing attacks.

• 한국정보처리학회논문지
• /
• 제3권6호
• /
• pp.1534-1541
• /
• 1996

경로 보안은 데이타의 전송을 위해 선택된 경로의 비밀성에 관한 것이다. 만일 경로의 일부분이라도 알려진다면 이 경로를 통해 전달된 데이타가 유출될 확률은 크 다. 이런 이유때문에 데이타의 전송경로는 보호되어야 하며 이를 위해 우리는 한 개 의 중간노드를 비밀리 선택하여 기존의 최단 거리를 이용하여 데이타를 전송하는 방 법을 선택하지 않고 이 중간 노드를 이용하여 데이타를 전송한다. 더 나아가 우리가 여러 개의 비밀경로를 이용한다면 한 개의 경로에 모든 데이타를 보내는 대신에 각 경로에 partial 데이타를 보낼 수 있기 때문에 데이타의 보안은 좀 더 강해진다. 이 러한 아이디어를 실현하기 위해 데이타는 정보분산 방법을 이용하여 여러개의 partial 데이타로 나누어진다. 본 논문에서는 위에서 제시한 아이디어를 네트워크상 에서 구현한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권9호
• /
• pp.3322-3347
• /
• 2021

Cloud Storage is the primary component of many businesses on cloud. Majority of the enterprises today are adopting a multicloud strategy to keep away from vendor lock-in and to optimize cost. Auditing schemes are used to ascertain the integrity of cloud data. Of these schemes, only the Provable Data Possession schemes (PDP) are resilient to key-exposure. These PDP schemes are devised using Public Key Infrastructure (PKI-) based cryptography, Identity-based cryptography, etc. PKI-based systems suffer from certificate-related communication/computational complexities. The Identity-based schemes deal with the exposure of only the auditing secret key (audit key). But with the exposure of both the audit key and the secret key used to update the audit key, the auditing process itself becomes a complete failure. So, an Identity-based PDP scheme with Parallel Key-Insulation is proposed for multiple cloud storage. It reduces the risk of exposure of both the audit key and the secret key used to update the audit key. It preserves the data privacy from the Third Party Auditor, secure against malicious Cloud Service Providers and facilitates batch auditing. The resilience to key-exposure is proved using the CDH assumption. Compared to the existing Identity-based multicloud schemes, it is efficient in integrity verification.