• 한국IT서비스학회지
• /
• 제22권4호
• /
• pp.81-95
• /
• 2023

The emergence of Security Token has revolutionized the way assets are traded, bringing efficiency, transparency, and accessibility to the market. However, the Real Estate Security Token market faces challenges, particularly in terms of liquidity. The CMTO(Collateralized Mortgage Token Obligation) model addresses this issue by introducing a novel approach that combines the benefits of NFT(Non-Fungible Token), STO(Security Token Offering), and CMO(Collateralized Mortgage Obligation) techniques to enhance liquidity and promote investment in Real Estate Security Token. The CMTO framework functions by allowing DABS token investors to leverage their tokens as collateral for loans. These token-collateralized loans are pooled together and form the basis for issuing Sequential CMO named CMTO. The CMTO represent a diversified portfolio of token-collateralized loans, providing investors with options based on their financial goals and risk preferences. By implementing CMTO, the Real Estate Security Token market can overcome liquidity challenges, attract a broader range of investors, and unlock the full potential of digital assets in the real estate industry.

• 정보보호학회논문지
• /
• 제18권2호
• /
• pp.139-150
• /
• 2008

최근, 공공기관을 비롯한 금융기관 및 기업들은 안전한 시스템관리 및 사용자 신원확인을 위해 OTP, 스마트카드, USB 인증토큰 등의 보안토큰을 도입하고 있다. 그러나 최근 들어 이런 제품들에 대한 취약성이 소개되었다. 따라서 본 논문에서는 국내 외 보안토큰 표준화 및 개발 동향을 살펴보고, 보안토큰의 취약성, 공격방법 등의 분석을 통해 보안토큰이 일반적으로 갖춰야 할 보안기능과 보안 요구사항을 도출하고, 이를 바탕으로 CC v3.1 기반 보안토큰 보호프로파일을 개발한다.

• 사물인터넷융복합논문지
• /
• 제4권2호
• /
• pp.13-20
• /
• 2018

본 논문은 최근 대두된 신기술인 '블록체인' 기술을 기반으로 'Single-Sign-On'과 'Token 기반 인증 방식'을 접목한 인증 시스템을 제안하였다. Single-Sign-On 기반 인증 방식에 블록체인 기술을 접목하여 '접근제어' 기능과 '무결성'을 제공하였으며, Token 기반 인증 방식을 사용하여 Stateless한 Self-Contained 인증 기능을 제공하였다. 암호화 기반 Token 발급 및 인증 과정을 수행하여 보안성을 높일 수 있었으며, Web Server에 대한 인증 편리성을 제공하였다. 또한 SSO과 Token 기반 인증을 통해 번거로운 인증 과정을 보다 편리하게 개선할 수 있는 방법을 제시하였다.

• 정보보호학회논문지
• /
• 제19권1호
• /
• pp.63-70
• /
• 2009

보안토큰 기반의 사용자 인증 시스템에서 사용자의 지문정보를 이용하는 방법이 대두되고 있다. 그러나 지문정보가 타인에게 도용된다면 패스워드와 달리 변경이 불가능하거나 제한적이기 때문에 사용자의 지문정보는 더욱 안전하게 보관되어야 한다. 이러한 문제를 해결하기 위한 방법 중 하나로 지문 퍼지볼트(Fuzzy Fingerprint Vault)가 보고되었다. 본 논문에서는 비밀분산 기법을 이용하여 지문 인식률의 성능저하 없이 보안토큰 기반 지문 퍼지볼트 시스템의 보안성을 향상시키는 방법을 제안한다. 즉, 퍼지볼트 이론이 적용된 사용자의 지문 템플릿을 지문 인식률과 보안성을 모두 고려하여 두 부분으로 나누어 각각 보안토큰과 서버에 저장한다. 또한, 퍼지볼트 이론을 지문에 적용하였을 때 발생하는 자동 정렬(Auto-Alignment) 문제는 기하학적 해싱 방법을 분산 적용하여 해결한다. 실험을 통하여 지문 인식률의 성능저하는 무시할 수준이고 보안성은 향상됨을 확인하였다.

• 전자공학회논문지CI
• /
• 제40권6호
• /
• pp.39-46
• /
• 2003

지문 정보 등의 생체 정보를 이용하는 생체 인식 기술은 컴퓨터 시스템의 로그인, 출입 ID, 전자 상거래 보안등의 여러 서비스에서 사용자의 안전한 인증(authentication)을 위해 널리 사용되고 있다. 근래에 이르러, 생체 기술은 비밀 번호와 같은 기존의 개인 인증 방법에 비해 안전하면서도 자동화를 가져 올 수 있다는 장점으로 인해, 보안 토큰, 스마트 카드와 같은 소형의 임베디드 시스템에 탑재되고 이용되는 추세이다. 본 논문에서는 임베디드 시스템의 형태인 보안 토큰을 개발하고 지문 정보를 이용한 사용자 인증 시스템을 구현하며 시험한 결과를 기술하였다. 보안 토큰과 호스트와의 통신은 USB를 이용하여 시험 및 검증하였으며 보안 토큰 상에서의 지문 정합 프로그램의 수행 시간과 수행 메모리를 측정하고 성능 개선에 대해 기술하였다. 또한, 보안 토큰에서 매치온 카드(match-on-card)로의 전이를 위해 필요한 내용을 언급하였다.

• 정보보호학회논문지
• /
• 제22권2호
• /
• pp.347-355
• /
• 2012

바이오 보안토큰은 바이오 인식 센서와 바이오인식 정보를 처리할 수 있는 MCU, 보안토큰으로 구성된 USB 형태의 하드웨어 기기로서, 기기 내부에서 바이오인식 센서로 가입자의 바이오인식 정보를 추출하여 보안토큰에 안전하게 저장하며, 사용자 인증시 바이오인식 센서로 부터 취득된 바이오인식 정보와 저장되어 있는 바이오인식 정보를 기기내부 MCU에서 매칭하여 사용자를 인증하는 독립된 하드웨어 보안모듈이다. 기존의 보안토큰이 제공하는 개인인증기법이 ID/패스워드에 기반한 방법이므로 이의 유출로 인해 생길 수 있는 피해를 최소화하고, 고의적인 공인인증서의 오용을 막을 수 있도록 높은 수준의 사용자인증기법을 제공한다. 이에 본 논문에서는 공개키기반구조(PKI: Public Key Infrastructure)를 연동한 바이오보안 토큰의 이용에 있어서 사용자의 바이오인식 정보를 보호하면서 바이오인식 정보를 이용하여 보안 수준이 높은 사용자 인증이 가능한 기법을 제시한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권1호
• /
• pp.7-18
• /
• 2016

Several authentication methods have been developed to make use of tokens in the mobile networks and smart payment systems. Token used in smart payment system is genearated in place of Primary Account Number. The use of token in each payment transaction is advantageous because the token authentication prevents enemy from intercepting credit card number over the network. Existing token authentication methods work together with the cryptogram, which is computed using the shared key that is provisioned by the token service provider. Long lifetime and repeated use of shared key cause potential brawback related to its vulnerability against the brute-force attack. This paper proposes a per-transaction shared key mechanism, where the per-transaction key is agreed between the mobile device and token service provider for each smart payment transaction. From server viewpoint, per-transaction key list is easy to handle because the per-transaction key has short lifetime below a couple of seconds and the server does not need to maintain the state for the mobile device. We analyze the optimum size of the per-transaction shared key which satisfy the requirements for transaction latency and security strength for secure payment transactions.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1343-1354
• /
• 2018

표준 인증유지기술로 널리 사용되고 있는 OAuth 2.0 Bearer 토큰, JWT(JSON Web Token) 기술은 고정된 토큰을 반복 전송하는 방식을 이용하고 있어서 네트워크 공격자에 의한 도청공격에 취약하기 때문에 HTTPS 보안통신 환경에서 사용해야 한다는 제약이 있다. 평문통신 환경에서도 사용할 수 있는 인증유지기술로 제안된 OAuth 2.0 MAC 토큰 기술은 서버가 인증된 클라이언트에게 공유된 비밀키를 발급하고 인증요청시 이를 이용하여 MAC 값을 계산하여 제시하는 방식을 사용하는데 서버는 사용자별 공유비밀키를 관리해야 하므로 무상태(stateless) 인증을 제공할 수 없다는 단점이 있다. 이 논문에서는 서버측에서 사용자별 공유비밀키를 관리하지 않고도 무상태 MAC 토큰 인증을 수행할 수 있도록 개선된 난수화 토큰인증 프로토콜을 제시한다. 전체 인증과정에서 HTTPS를 사용할 필요가 없도록 하기 위하여 서버인증서를 이용한 초기인증보안, 인증서토큰을 이용한 전자서명 간편로그인 등의 기술을 난수화 토큰인증 기술과 결합하여 적용함으로써 완전한 무상태형 인증서비스를 제공할 수 있도록 설계하였으며 그 구현 사례를 제시한다.

• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1457-1465
• /
• 2017

스마트기기 시장의 성장과 함께 모바일 환경에서 악성행위가 그 영역을 점차 확대하고 있다. 이에 따라 악성앱 분석에 대한 연구가 진행되어 앱 분석을 위한 자동 분석 도구가 나오면서, 오히려 이런 자동 분석도구들로 인해 기존의 앱 보안을 위한 도구들이 공격자에게 무력해지는 부작용이 일어난다. 본 논문은 일반적인 안드로이드 앱에 적용할 수 있는 범용적인 보호 기법이 아닌 보안 토큰을 가진 스마트 기기 사용자가 이용하는 안드로이드 앱에 적용할 수 있는 앱 보호 기법에 대해 제안한다. 보안 토큰이 삽입되지 않은 경우 앱이 정상적으로 메모리로 적재되지 못하며, 해당 기법으로 보호된 부분은 노출되지 않도록 하는 것을 특징으로 한다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.377-391
• /
• 2019

최근 사물 인터넷에서 인증, 접근 제어 등을 위해 토큰과 블록체인을 이용한 시스템 연구들이 국내외에서 진행되고 있다. 그러나 기존 토큰을 이용한 방식의 시스템은 중앙 집중적인 특성을 가지고 있으므로 보안성, 신뢰성, 확장성 측면에서 사물 인터넷과는 적합하지 않다. 또한 블록체인을 이용한 방식의 시스템은 블록체인을 유지하기 위해서 해시 등의 계산을 반복적으로 수행하고 모든 블록을 저장해야하므로 IoT 디바이스에 과부하가 따른다. 본 논문에서는 사물 인터넷에 적합한 접근 제어를 위하여 토큰을 기반으로 권한 관리를 한다. 또한 탱글을 적용한 P2P 분산 원장 네트워크 환경을 구성하여 중앙 집중적인 구조의 문제점을 해결하고 토큰을 관리한다. 인증 과정과 접근 권한 부여 과정을 수행하여 토큰을 발급하고 토큰 발급에 대한 트랜잭션을 공유하여 모든 노드들이 토큰에 대한 유효성을 검증할 수 있다. 기존 발급 받은 토큰을 재사용하여 반복적인 인증 과정과 접근 권한 부여 과정을 줄여서 접근 제어 프로세스를 경량화할 수 있다.