Earticle

최근 들어 320Mbps의 속도를 지원하는 IEEE 802.11n표준의 등장으로 인해 기업의 사무실, 대학캠퍼스, 산업용 창고 등 다양한 분야에서 광범위하게 IEEE 802.11 기반의 무선랜 사용이 증가하고 있다. 그러나 IEEE 802.11에서 제안하고 있는 사용자 인증과 세션 키 도출 방식은 사용자의 이동이 빈번한 무선랜 환경에서 안전하고 빠른 핸드오프를 지원하기에는 많은 문제점을 내포하고 있다. 본 논문은 이러한 문제점들을 해결하기 위해 난수집합과 PMK Caching기능을 이용한 4-Way 핸드쉐이크 프로토콜보다 안전하고 효율적인 2-Way 핸드쉐이크 프로토콜을 제안한다.

Recently, with an advent of IEEE 802.11n standard to support maximum speed of 320Mbps, use of WLAN based on IEEE 802.11 is increasing in the various fields including offices of the enterprise, campus of the colleges and warehouse for industry. However, both user authentication and session key derivation method presented in IEEE 802.11 have many problems in supporting secure and fast handoff in the WLAN environment where users move frequently. In this paper, that a new 2-Way Handshake protocol in proposed which is more secure and efficient than the 4-Way Handshake protocol using a random number set and PMK Caching in the IEEE 802.11i to solve the security problems.

RFID 시스템은 무선 주파수를 이용하기 때문에 많은 보안 문제들을 가지고 있다. 이러한 문제는 도청, 재전송 공격, 위치추적, 서비스 거부 공격 등이다. 그 중 서비스 거부 공격은 특정 호스트와 서비스를 불가능하게 만든다. 과거의 연구들은 서버에서 정당한 태그를 검색하는데 많은 시간이 걸리고 연산량이 많으므로 서비스 거부 공격(DoS)에 취약하다. 그러나 리더와 태그 사이에 상호 인증된 ID를 사용한다면, 백-엔드-서버에 대한 부하를 최소화하기 때문에 DoS 공격에 안전하다. 제안된 프로토콜은 AES와 일회용 난수를 사용하여 인증하므로 DoS 공격에 대응하고, 또한 도청, 재전송 공격, 위치추적의 공격에도 안전하다.

The RFID systems have many security problems such as eavesdropping, a replay attack, location tracking and DoS(Denial of Service) attacks. The DoS attack could make the host service impossible. Past works need a lot of computation in server to search correct tags. The much load of server results weak in DoS attack. This paper presents an authentication protocol using AES and one-time random number to reduce the server load, and to secure other attacks like eavesdropping, a replay attack, location tracking.

악성 봇에 의한 악성 트래픽으로 인해 발생되는 피해는 날로 증대되고 있다. 이에 본 논문에서는 네트워크 구조의 변경 없이 봇넷 트래픽 또는 DDoS 트래픽 등의 유해 트래픽이 AS(Autonomous System) 간 확산되는 것을 방지하고 피해를 완화하는 시스템을 설계, 구현하였다. 본 논문에서 제안한 방식은, 우선 미리 정해진 정책에 따라 BGP(Broad Gateway Protocol) 라우팅 기능을 이용하여 격리함으로써 확산을 방지하고, 추가로 의심 트래픽에 대해서는 페이로드 비교, 타임 윈도 및 세션 등의 단계적인 필터링 기법을 통하여 격리 정책을 추가하도록 하였다. 이렇게 함으로써 신규 유해 트래 픽은 격리되고 안전한 트래픽은 전달되어, 인터넷 서비스의 가용성도 확보할 수 있다.

Damage caused by the malicious traffic of bots is increasing everyday. So in this paper, we designed and implemented the system that can prevent the malicious traffic from spreading so that botnet as well as DDoS traffics cannot travel from one AS(Autonomous System) to another. The method presented in this paper uses BGP router first with the pre-determinate policy so that it can isolate the malicious traffic preventing the spreading. Then, it will also append the quarantine policy using layered filtering methods that includs the payload comparison, the time windows and the session table of suspicious traffic. By doing so, it quarantines new malicious traffic but forwards safe traffic to its original destination with guarantees for the availability of internet services.

SCADA (원방감시제어, Supervisory control and data acquisition) 시스템은 과거 폐쇄형 시스템이었기 때문에 외부 공격으로부터 비교적 안전했지만, 빠른 IT산업의 발달과 더불어 시스템이 범용성을 갖도록 요구되면서 기존 인터넷 망과 결합된 개방형 SCADA 시스템으로 발전하고 있다. 이로써 외부와의 접촉이 가능해짐에 따라 각종 외부로부터 위협의 대상이 되어오고 있어 이에 대한 보안 기술의 도입이 시급하다. 본 논문은 현존하는 SCADA 시스템의 취약점에 대응할 수 있는 안전한 SCADA 시스템의 모델에 응용될 수 있는, 보안 모듈들에 대해서 소개한다. SCADA 시스템에 특성화된 보안 모듈로는 SCADA 시스템 정책 등을 관리하는 보안 관리모듈, 암호와 인증을 담당하는 보안 장치, 침입탐지시스템(IDS, Intrusion Detection System)모듈이 있다. 아울러, 본 논문은 보안공학연구논문지에 게재하도록 논문게재 추천 위원회로부터 추천받은 논문으로서, 2010년 2월에 한국통신학회 동계종합학술발표회에서 발표한 “보안 관리와 침입 탐지 시스템을 도입한 안전한 SCADA 시스템” 논문의 확장본임을 밝힌다.

Because the SCADA (Supervisory control and data acquisition) system was closed system previously, it was more secure from external attacks, however, the open SCADA system including the Internet infrastructure have been needed in order to be widely used as dramatically developed IT services. Since the SCADA system can contact with external internet and this system has been purpose of several threats, the adopting security technology for the SCADA system is needed as soon as possible. This paper introduces security modules which can be applied in the SCADA system against vulnerabilities of the SCADA system existing. The characterized security modules are security management that manages system policies, security devices that charge encryption and authentication, and the IDS (Intrusion Detection system).

국제 로밍에 대한 이용이 늘어남에 따라 방문망이 소유하는 MSISDN 대역을 로밍 사용자도 이용할 수 있도록 하는 기술에 대한 요구가 늘어나고 있다. 3GPP 표준 상으로는 사용자가 보유한 한 개의 IMSI당 하나의 MSISDN 밖에 할당할 수 없으므로, 여러 개의 MSISDN을 제공할 수 있도록 하는 연구가 진행되어 왔다. 본 논문에서는 XSCP 소프트웨어 프레임워크를 활용하여 다중 MSISDN을 제공하는 방법을 제안한다. 제안된 방법은 기존 HPLMN 코어망의 수정 없이 적용이 가능하므로 쉽게 적용할 수 있고, 추가된 MSISDN으로 호가 착신될 경우 기존의 방법보다 음성 베어러 경로를 더 효율적으로 만들어 전달 비용을 절감할 수 있다. 또한 총 전달 비용에 대하여 기존 방법과 제안된 방법을 비교하여 제안된 방법이 음성 트래픽 사용 시간이 길어질 수록 더 적은 비용이 든다는 것을 증명하였다.

As international roaming users increase, they have demanded to use additional MSISDNs that belong to a FPLMN where they visited. Since 3GPP standards only allow single MSISDN for single IMSI, several methods have been proposed to provide multiple MSISDNs for single IMSI. In this paper, we proposed an efficient XSCP software framework to provide multiple MSDSDNs. The proposed framework can be well adapted to any networks since it does not require HPLMN's core networks changes. Also, if mobile terminating calls were heading to the additional MSISDN, it can reduce the transmission cost by building a voice bearer path more efficiently. Furthermore, we demonstrated that the framework costs less than the standards as the call duration increases.

본 연구에서는 침입방지시스템의 기반기술을 조사하고 침입방지시스템의 품질시험․평가를 위한 품질특성을 분석하며 본 연구에서는 기존의 소프트웨어 품질 평가 기술 및 표준화에 관한 관련 연구를 추진하고, 침입방지시스템 보안성 및 그 외 주특성에 대한 품질 평가 모델을 개발하였다. 또한, 현재 품질 평가 국제 표준화 동향에 있어서도 기존에 소프트웨어 품질 평가를 위해서 지침서로 사용하였던 소프트웨어의 품질 평가 국제 표준화 문서 ISO/IEC9126과 ISO/IEC 14598을 통해서 품질 평가모델을 개발하였다.

It investigated the base technique of infiltration prevention system from the research which it sees and the quality characteristics for the quality test ․ evaluation of infiltration prevention system and it analyzed a relation research in about software quality evaluation technique and standardization of existing, the quality rating model in about infiltration prevention system security characteristic and that external week quality from the research it propelled it developed. Also, currently there is to a quality rating international standardization trend and it stands but it respected a software quality evaluation in existing and it stands quality rating international standard document ISO/IEC9126 of the software which it uses in the guide book the quality rating model and ISO/IEC 14598 to lead, it developed.

홈 네트워크 등의 원격 사용자 인증 환경에서 사용자의 프라이버시와 지문 템플릿을 보호하기 위해 암호학적 기법인 퍼지 볼트가 적용되고 있는데, 이는 지문으로 부터 추출되는 특징점을 은닉하기 위하여 지문 템플릿에 다수의 거짓 특징점을 “임의”로 삽입하는 방법이다. 그러나 최근 이러한 지문퍼지 볼트를 효과적으로 크래킹 할 수 있는 상관 공격에 관한 연구가 발표되었는데, 이것은 동일한 지문으로 부터 생성되는 두 개의 지문 템플릿을 획득함으로써 진짜와 거짓 특징점을 쉽게 구별하는 방법이다. 본 논문에서는 상관 공격에 강인도록 지문 퍼지 볼트를 생성하는 방법을 제안한다. 제안한 방법은 특징점의 각도 정보를 이용하여 거짓 선분을 생성한 후 “규칙적”으로 거짓 특징점을 삽입함으로써, 두 개 지문 템플릿을 획득하더라도 동일한 지문에 대해 삽입된 거짓 특징점의 위치와 각도가 유사하기 때문에 진짜와 거짓 특징점을 구별하기 어려워 상관 공격을 피할 수 있다. 실험을 통하여 거짓 특징점을 규칙적으로 삽입하는 방법을 적용함으로써 기존 방법의 인식 성능을 유지하면서, 상관공격에 강인함을 확인하였다.

The fuzzy vault scheme which inserts chaffs randomly in order to hide real minutiae has emerged as a promising solution to the user privacy and the fingerprint template security problems in remote user authentication such as home network environment. Recently, however, this scheme is shown to be susceptible to a correlation attack that finds the real minutiae using multiple vaults enrolled for different applications. To protect the fuzzy fingerprint vault from the correlation attack, we propose an approach to insert chaffs structurely along the chaff line generated by the direction information such that distinguishing the fingerprint minutiae and the chaffs obtained from two applications is computationally hard. Experimental results show that the proposed approach achieves much secure performance than inserting chaffs randomly without a significant degradation of the verification accuracy.

현재 구성 되어있는 방범 CCTV시스템에서 네트워크를 통하여 전송되는 구간에 도청이나 해킹이 발생하게 된다면 카메라로부터 전달되는 정보의 보호에 매우 취약하다. 이러한 문제점을 해결하기 위하여 본 논문에서는 SSL/VPN 터널링 기법을 이용하여 CCTV에서 영상정보를 보호하기 위한 SSL 통신메카니즘을 제안하고, 제안한 방법을 기본으로한 보안 시스템의 설계 및 구축에 관하여 기술한다. 관제센터단에서 사용할 VPN Server는 Linux System O/S 인 Fedora 8 버전에서 개발하였으며, 현장단에서 사용될 VPN Client는 ARM9 기반의 프로세서를 탑재한 임베디드 보드상에서 구현한다. 시스템 소프트웨어 구현을 위한 라이브로리는 OpenSSL과 PPTP와 PPP를 사용하였다.

If there are some problems such as hacking and revealing of personal information in the existing the CCTV system which is transmitted through the network system, the protection of information passed from the camera is very vulnerable. To resolve these problems, this paper first presents SSL communication protocol for protection image data based on SSL/VPN tunnelling technique, and then the design and implementation of the CCTV security system is described based on the proposed protocol. A VPN Server has been implemented in software on the Linux System, which will be added the control center of the proposed security system. Also, VPN Client which will be used in the setup-box has been implemented on embedded boards with ARM9-based processor. The libraries such as OpenSSL, PPTP, and PPP are used for implementing system software.