Earticle

본 논문은 기존의 지문인식리더를 이용한 응용분야로 미아 예방을 위한 새로운 서비스 모델을 제안하고 관련한 시스템 장치 구성에 대해 논하고자 한다. 제안하는 모델을 PDA를 비롯한 모바일 단말기에 적용시킬 경우 언제 어디서나 보다 간편하게 이용할 수 있어 그동안 치매노인 및 미아의 조기 발견과 예방이라는 시스템적 측면에서 전무했던 대책이 과학적인 방법으로 해결됨과 동시에 경제적인 측면에서도 상당한 기대효과를 가져올 수 있을 것이다.

In this paper we propose new service model preventing a lost child as an application using the conventional fingerprint reader and discuss a related system device architecture. If our model is applied to mobile terminal such as a PDA, it can be used the more easily anytime, everywhere. Moreover the problems preventing an old person of dementia and a lost child can be resolved in a systematic side as a more scientific and economic method.

의료 기술의 발달에 따라 의료 서비스의 편리성을 요구하는 사용자가 증가되고, 이에 따른 U-Healthcare 환경이 도래되고 있다. U-Healthcare 환경이란 유비쿼터스의 개념과 의료 서비스가 접목된 것으로, 사용자가 네트워크가 연결되는 언제, 어디서나 편리한 의료 서비스를 제공 받을 수 있 는 환경을 의미한다. 이러한 U-Healthcare 환경에서는 사용자가 가지고 다닐 수 있는 소형 단말기를 이용하여 서비스를 제공하고 있으며, 가장 대표적인 기술로써 RFID(Radio-Frequency Dentification)가 있다. RFID 수동형 태그는 카드 및 밴드 형식의 간편한 형식으로 사용자가 간편하게 가지고 다니거나, 팔목에 감을 수 있어서 가장 보편적이게 사용되고 있다. 하지만 RFID 수동형 태그는 용량이 적고, 미비한 계산 능력을 보유하고 있어 태그에 저장된 사용자의 정보가 쉽게 노출될 수 있다. 그러나 U-Healthcare 환경에서 사용되는 정보는 사용자의 생명에 막대한 영향을 주는 중요 정보로써 보안이 요구되고 있다. 따라서 본 논문에서는 U-Healthcare 환경에 RFID가 도입되었을 경우 발생하는 정보 보호 이슈에 관련한 쟁점들을 기술하고자 한다.

The RFID system is the core technology used in building a ubiquitous environment. This system uses radio frequency identification as an alternative to bar-code identification. The RFID system has become very popular, due to its various strengths such as recognition speed and non-touch model. However, some problems remain, as the low-cost tag is operated via queries, leading to information exposure and privacy encroachment. A number of approaches have been used to increase the security of the system, but the low-cost tag, which has a capability of between 5,000~10,000 gates, can only allocate 250~3,000 gates to security. Therefore, the current study will provide a reciprocal authentication solution that can be used with low-cost RFID systems, by separating 64 bit keys and minimizing calculations. Existing systems divide a 96 bit key into 4 parts. However, the proposed system reduces the key to 32 bits, and reduces the communications down to 5 from 7. Further, an additional random number is added to the existing two numbers, to increase security. To improve the previous system, which only provided XOR calculations, an additional hash function was added.

RFID란 Radio Frequency Identification의 약자로 식품, 동물, 사물 등 다양한 개체의 정보를 관리, 사용자 인증, 요금 지불 등에 활용될 수 있는 차세대 기술이다. 하지만, RFID에서 사용되는 태그는 극히 제한적인 리소스만 사용할 수 있어, 기존의 보안 기법을 지원할 수 없다. 이런 이유로 현재의 RFID 태그는 잠재적으로 많은 위험성을 안고 있으며, 그 결과 태그 소지자의 개인 정보가 유출될 수 있으며 경제적인 손해를 입을 수도 있다. 이러한 보안상의 취약점을 해결하고자, 본 논문에서는 타임 스탬프를 이용하여 태그와 리더 그리고 후미 시스템 간의 상호 인증을 제공하는 프로토콜을 제안한 다. 이 프로토콜은 RFID 시스템의 객체인 태그와 리더 그리고 후미(back-end) 서버가 각자 서로를 인증하며, 인증된 객체들 사이에서만 데이터를 주고받음으로써 불필요한 정보 유출과 태그 복제 등을 방지할 수 있다.

Radio Frequency Identification(RFID) is a widely used technology to manage various items, to authenticate a person, or to make payments. A tag used for RFID has limited resources, and, as a result, general security mechanism cannot be directly applied. Attacks on RFID systems can cause revelation of privacy information or financial damages. This paper proposes a mutual authentication protocol for RFID systems. The proposed protocol can authenticate RFID tags and readers as well as back-end servers. The proposed mutual authentication protocol can prevent unnecessary revelation of data stored in tags, readers, and back-end servers.

물류시스템은 제품의 흐름 정보를 최소의 자원으로 관리하는데 그 가치가 존재한다. 하지만, 현재 대부분 운송회사나 대형상점에서는 바코드를 이용하여 직원들이 입/출고되는 물품의 수량을 확인하고 생산일자를 일일이 확인하는 작업으로 많은 시간과 인력을 소비하고 있다. 본 논문에서는 RFID 기술을 물류유통 분야에 접목시켜 RFID 태그를 이용할 때와 바코드를 이용할 때의 차이를 확인하고, RFID 기술을 물류운송 과정에 이용함으로써 얻게 되는 이익에 대해 분석하고, 이를 반영한 새로운 시스템을 제안하였다. 제안한 시스템을 이용하여 실험한 결과, 수작업을 통한 바코드의 스캐닝 시간(α)과 RFID 리더기를 태그가 자동으로 인식하여 스캐닝하는 시간(β) 차에 대한 비교를 감안하고라도, RFID가 바코드에 비해 스캐닝 시간이 상품 한 개당(1.43 + (α-β))배의 성능 향상이 있었음을 확인할 수 있었다. 이 결과로 RFID 기술을 물류유통분야에 도입할 경우 상품인식에 소요되는 시간과 인력을 절감하는 것은 물론 물류의 자동화, 고속화로 기업물류비가 절감되는 획기적인 효과를 얻을 수 있을 것으로 전망한다.

A distribution system exists to manage the flow of goods at a minimum cost. However, currently most of shipping companies and mass stores are using bar codes to manage the flow and stock of goods and employees are wasting a lot of time checking production date one by one. In this thesis, we have checked the difference between RFID and bar code using in distribution systems, and analyzed benefits from using RFID system in distribution system. With the suggested system, as a result, we have concluded that there is a number of efficiency improvement( (1.43 + (α - β)) per 1 ea. ) though there is the time difference between manual bar code scanning (α) and automatic RFID scanning (β). With the result, we have concluded that we can have not only reducing time and human resources cost but benefits from automated, high-speeded system.

컴퓨팅 기기들이 점점 산재되고, 기기들의 이동성 또한 증가되면서, 동기적이고 직접적인 점대점 통신 모델은 여러 형태 의 분산 컴퓨팅 환경에 적용하기에 적합하지 않다. 이벤트 서비스와 같은 간접통신 모델을 이용하면, 분산 환경에서의 응용들 사이의 결합도를 감소시키고 많은 정적인 요구들을 제거할 수 있는 이점이 있다. 본 논문에서는 신뢰할 수 있는 u-Campus 환경을 만들기 위해 인증서 기반의 안전한 이벤트 서비스를 설계하고 구현한다. 구현된 이벤트 서비스는 내용기반의 검색이 가능하고, 정당한 권한을 지닌 제공자와 소비자만이 이벤트를 주고받을 수 있도록 한다. 이벤트 서비스에 인증과 인가기능을 제공하기 위해 인증서를 이용하고, 이벤트 제공자와 소비자의 분리를 인증서를 확장하여 구현한다.

As computing devices become ubiquitous and increasingly mobile, it becomes obvious that a synchronous and direct peer-to-peer communication model is not sufficient in distributed computing environment. Using an indirect event service instead of other traditional communication model has an advantage of decreasing the coupling of applications in a distributed environment and removing the need for many static dependencies. In this paper, we design and implement the secure event service for providing secure ubiquitous computing environment. The Secure Event Service implemented enables users to perform certificate-based event retrieval, and supports only eligible event comsumer and event producer can publish and receive events through the secure event service. certificate is used for supporting authentication and authorization in the secure event service. In order to provide a content-based event retrieval, an asynchronous communication between event producers and consumers.

Information gathering is the initial stage of any information security audit, which many people tend to overlook. When performing any kind of test on an information system, information gathering and is essential and provides the testers with all possible information about the target to continue with the test. Information gathering methodology in penetration testing is given in this paper.

As companies expand their presence globally, there arises a need for secure electronic communications between geographically dispersed locations. Virtual private networks (VPNs) provide an economically viable option to address this need. A VPN is a private network that uses the public Internet to either connect remote users to the company's internal network or establish a seamless connection between the company's physically isolated sites. Since a VPN uses the Internet it must provide security features like encryption and strong authentication to protect the confidentiality of internal company data. Thus there is a need for penetration testing of a VPN to discover vulnerabilities. A penetration testing of a VPN is suggested in the paper.

Penetration testing is one of the oldest methods for assessing the security of a computer system. The idea behind penetration testing methodologies is that the penetration tester should follow a pre-scripted format during test as dictated by the methodology. A penetration testing methodology based on the research “-step penetration planning”was proposed in this research.

With the familiarization of the penetration testing, more and more companies look for professionals in penetration testing to perform a penetration test. While professional skills are required in order for the test to be effective, certification of the penetration tester or penetration team is required and is more and more demanded. This paper suggests a methodology in choosing a penetration tester or a penetration testing team, and a brief certification listing is given.

Ethical hacking is obviously a very controversial area with prosecution under the Computer Misuse Act only a stone's throw away if you overstep the mark and hack into a system or any mobile device without categorical authorization from the relevant person(s). While everyone is concerned about penetration testing methodologies, and/or penetration testing certification, it is also important to consider a policy that should be followed by both the tester and the client to reduce financial and confidential disparities, and to bring conformity to the operations between the both parties, so this research suggests a policy that should be followed by penetration testers and clients of the penetration tests.