분산환경에서의 OSI 안전성 관리 구조의 설계

千殷弘 又石大學校 1995 論文集 Vol.17 No.-

OSI security management is concerned with those aspects of security management relative to OSI and to security of OSI management. OSI security management activities consist of system security management. security service management and security mechanism management. A system security management is concerned with the management of security aspects of the overall OSI environment. We designed a security architecture for system security management in distributed on vironment, and describe the functions of security management agents for security alarm reporting and security audit trail. We extended the data structures for security log, which used to network management, and describe algorithms for secure association and security management operations.

모바일 클라우드 컴퓨팅 환경에서 ID-기반 키 암호화를 이용한 안전한 데이터 처리 기술

천은홍,이연식 한국융합보안학회 2015 융합보안 논문지 Vol.15 No.5

모바일 클라우드 컴퓨팅 시스템은 일반적으로 데이터 보호와 상호 인증을 위하여 공개키 암호화 기법을 사용하고 있는데 최근 전통적인 공개키 암호화 기술의 변형인 ID-기반 암호화(IBC)가 주목받고 있다. IBC의 증명서-무통제 접근은클라우드 환경의 동적인 성격에 더 적합하지만, 모바일 장치에 대하여 처리 오버헤드를 최소화하는 보안 프레임워크가필요하다. 본 논문에서는 모바일 클라우드 컴퓨팅에서의 계층적 ID-기반 암호화(HIBE)의 사용을 제안한다. HIBE는 사용자 인증과 개인키 생성 등의 권한을 위임하여 최상위 공개키 생성기의 업무량을 감소시킬 수 있으므로 모바일 네트워크에 적합하다. 모바일 클라우드 시스템에서 ID-기반 인증과 ID-기반 신분확인 기법을 제안하고, 또한 안전한 데이터처리를 위한 ID-기반 인증 스킴에 대하여 기술하였다. 제안된 스킴은 단방향 해쉬 함수와 XOR 연산으로 설계하여 모바일 사용자를 위한 저 계산 비용을 갖는다. Most mobile cloud computing system use public key cryptography to provide data security and mutual authentication. A variant of traditional public key technologies called Identity-Based Cryptography(IBC) has recently received considerable attention. The certificate-free approach of IBC may well match the dynamic qualities of cloud environment. But, there is a need for a lightweight secure framework that provides security with minimum processing overhead on mobile devices. In this paper, we propose to use hierarchical ID-Based Encryption in mobile cloud computing. It is suitable for a mobile network since it can reduce the workload of root Public Key Generators by delegating the privilege of user authentication and private key generation. The Identity-Based Encryption and Identity-Based Signature are also proposed and an ID-Based Authentication scheme is presented to secure data processing. The proposed scheme is designed by one-way hash functions and XOR operations, thus has low computation costs for mobile users

A Secure Energy-Efficient Routing Scheme Using Distributed Clustering in Wireless Sensor Networks

천은홍,이연식,Cheon, EunHong,Lee, YonSik Korea convergence Security Association 2016 융합보안 논문지 Vol.16 No.5

The wireless sensor networks have become an economically viable monitoring solution for a wide variety of civilian and military applications. The main challenge in wireless sensor networks is the secure transmission of information through the network, which ensures that the network is secure, energy-efficient and able to identify and prevent intrusions in a hostile or unattended environment. In that correspondence, this paper proposes a distributed clustering process that integrates the necessary measures for secure wireless sensors to ensure integrity, authenticity and confidentiality of the aggregated data. We use the notion of pre-distribution of symmetric and asymmetric keys for a secured key management scheme, and then describe the detailed scheme which each sensor node within its cluster makes use of the pre-distribution of cryptographic parameters before deployment. Finally, we present simulation results for the proposed scheme in wireless sensor network. 무선 센서 네트워크은 폭넓은 다양한 응용에서 경제적으로 성공할 수 있는 모니터링 솔루션이다. 그러나 악의적이거나 감시하는 사람이 없는 환경에서 침입을 인식하고 방지하며 안전하고 에너지 효율적인 것을 보장하는 네트워크를 통한 정보의 안전한 전송은 주된 도전이다. 이에 따라, 이 논문은 집적된 데이터의 무결성, 인증성과 비밀성을 보장하기 위하여 안전한 무선 센서 네트워크에 필수적인 보호를 포함하는 분산 클러스터링 프로세스를 제안한다. 안전한 키 관리 스킴을 위하여 대칭형과 비대칭형 키의 전단계 분산의 개념을 사용하고, 클러스터 내에 있는 각 센서 노드가 배치되기 전에 암호화를 위한 전단계 분산 매개변수를 사용하는 센서 네트워크 토폴로지에 기초한 계층적 클러스터에 대한 상세한 스킴에 대하여 기술한다. 마지막으로 무선 센서 네트워크에서 제안된 스킴의 성능 시험 결과를 보인다.

DISK DRIVE INTERACE의 구현 및 분석에 관한 연구

千殷弘 又石大學校 1988 論文集 Vol.10 No.-

This paper deals with the implementation and analysis of disk drive interface. The disk drive controllers were designed using custom JC and were implemented on SPC 6000-32 bit computer. The interface controllers were tested on Benchmark test, Coretest and Test program to be developed to analyze performance of ST506/412 and ESDI.

ATM의 CL 서비스 구조에 관한 연구

천은홍 又石大學校 1991 論文集 Vol.13 No.-

In this paper, asynchronous transfer mode(ATM) network architecture for supporting the connectionless(CL) service is presented. For this CL service, the architectures of physical layer, ATM layer and ATM adaptation layer(AAL) based on broadband integrated service digital networks(BISDN) are analyzed. The addressing scheme, AAL protocol data unit(PDU) and two cell transport methods for supporting ATM CL, service are discussed, and we propose the gateway architecture for inter-working the local area network(LAN) to BISDN, and describe the service scenario based on ISO high layer network protocol supporting connectionless mode.

무선 센서 네트워크에서 분산 클러스터링을 이용한 안전한 에너지 효율적인 라우팅 기술

천은홍,이연식 한국융합보안학회 2016 융합보안 논문지 Vol.16 No.5

무선 센서 네트워크은 폭넓은 다양한 응용에서 경제적으로 성공할 수 있는 모니터링 솔루션이다. 그러나 악의적이거나 감시하는 사람이 없는 환경에서 침입을 인식하고 방지하며 안전하고 에너지 효율적인 것을 보장하는 네트워크를 통한 정보의 안전한 전송은 주된 도전이다. 이에 따라, 이 논문은 집적된 데이터의 무결성, 인증성과 비밀성을 보장하기위하여 안전한 무선 센서 네트워크에 필수적인 보호를 포함하는 분산 클러스터링 프로세스를 제안한다. 안전한 키 관리스킴을 위하여 대칭형과 비대칭형 키의 전단계 분산의 개념을 사용하고, 클러스터 내에 있는 각 센서 노드가 배치되기전에 암호화를 위한 전단계 분산 매개변수를 사용하는 센서 네트워크 토폴로지에 기초한 계층적 클러스터에 대한 상세한 스킴에 대하여 기술한다. 마지막으로 무선 센서 네트워크에서 제안된 스킴의 성능 시험 결과를 보인다. The wireless sensor networks have become an economically viable monitoring solution for a wide variety ofcivilian and military applications. The main challenge in wireless sensor networks is the secure transmission ofinformation through the network, which ensures that the network is secure, energy-efficient and able to identifyand prevent intrusions in a hostile or unattended environment. In that correspondence, this paper proposes adistributed clustering process that integrates the necessary measures for secure wireless sensors to ensureintegrity, authenticity and confidentiality of the aggregated data. We use the notion of pre-distribution ofsymmetric and asymmetric keys for a secured key management scheme, and then describe the detailed schemewhich each sensor node within its cluster makes use of the pre-distribution of cryptographic parameters beforedeployment. Finally, we present simulation results for the proposed scheme in wireless sensor network.

OSI 안전성 관리를 위한 엑세스 제어 모델 연구

千殷弘 又石大學校 1994 論文集 Vol.16 No.-

A security management provides facilities for protection of network resources and informations. This paper deals with a access control service and mechanism for managed objects in network environment. The standard documentations for OSI security network management functions - Security Alarm Reporting Function, Security Audit Trail Function and Objects and Attributes for Access Control were analyzed. The security service and mechanisms that should be put in place in order to defend against security attacks are studied, and the architecture for security management of OSI network management is modeled, we propose the modified association control mechanism including symmetric and public key cryptosystem to provide peer-entity authentication and describe the authorization control procedures for managed objects to communication management information by making use of the CMIS.

의무 분리를 위한 직무 기반 접근권한의 모델링

천은홍(Cheon Eun Hong),김동규(Kim Dong Kyoo) 한국정보처리학회 1998 정보처리학회논문지 Vol.5 No.7

The MAC(Mandatory Access Control) and DAC(Discretionary Access Control) policies which it was described for access control had been explored to prevent the unauthorized disclosure of classified information. A RBAC(Role Based Access Control) has been focused as an alternative to realize integrity for organization's information assets in commercial environment. A separation of duty for a authority and responsibility according to perform privileges has been researched today. With RBAC, when a user is assigned roles in a mutual exclusive sets, user must perform only privileges to ensure mutual exclusive property. There are some difficulties in representation and assignments of privileges for mutual exclusive roles. In this paper, we examine the inheritance properties of roles with partial ordering relations, and classify a kind of forms for the role hierarchy. We examine the relationships between roles and privileges, and modeling object privileges to ordinary privileges using the property of direct acyclic graph. A Privilege Graph can provide flexibility in representations and assignments of mutually exclusive privileges. We define the separation of duty including mutual exclusive roles and propose safety properties, and show that the role management algorithms can enforce separation of duty.

직무 기반 액세스 제어 모델과 제한

천은홍(Eun-Hong Cheon),김동규(Dong-Kyu Kim) 한국정보과학회 1997 한국정보과학회 학술발표논문집 Vol.24 No.2Ⅲ

기존의 액세스 제어를 위해 TCSEC에 기술된 강제적 액세스 제어(MAC)과 임의적 액세스 제어(DAC)는 기밀성 보다 무결성을 요구하는 상업적 환경의 정보 보안에는 부족하여 이의 대안으로 보안 관리자가 액세스권한을 직무(Role)에 부여하는 비임의적 액세스 제어인 직무 기반 액세스 제어(Role Based Access Control : RBAC)가 주목 받고 있다. 본 논문에서는 액세스 제어 모델인 MAC와 DAC과 비교하여 최근 연구되고 있는 RBAC의 기본 개념을 분석하여 RBAC의 모델을 정형적으로 정의하고, 직무에 액세스권한을 부여하는데 따른 안전한 RBAC를 위해 필요한 의무 분리(Separation of Duty) 등의 제한(Constraint) 사항에 대하여 연구한다.

비정상 연결시도를 탐지한 포트 스캔 탐지 시스템의 설계 및 구현

라용환,천은홍 한국융합보안학회 2007 융합보안 논문지 Vol.7 No.1

네트워크에 연결된 컴퓨터 시스템에 대한 공격을 탐지하기 위하여 침입 탐지 시스템을 설치한다. 기존의 침입 탐지 시스템은 포트 스캔 공격을 탐지하기 위해서 동일 발신지 주소를 갖는 시스템에서 특정시간에 일정 임계값을 초과하는 연결 설정 요청 패킷이 발생했는지를 검사하여 공격을 탐지하므로 실제 공격이 아닌데 공격이라고 탐지하는 False Positive가 높고, 특정시간의 임계값 보다 더 긴 주기로 공격을 시도하는 Slow 스캔 공격과 발신지 주소를 위조하여 공격하는 Coordinated 스캔 공격을 탐지하기 힘들다.본 논문에서는 TCP의 비정상 연결 시도에서 응답하는 RST/ACK 플래그 패킷을 탐지하여 포트 스캔을 판단하는 탐지 규칙과 데이터 저장 구조를 제안하고, 이를 기반으로 포트 스캔 탐지 시스템을 설계하고 구현하였다. 제안된 시스템은 RST/ACK 플래그 패킷을 탐지하여 공격을 판단하므로 False Positive를 감소시키고, 적은 양의 데이터를 저장하여 긴 시간동안 데이터 유지할 수 있어 Slow 스캔을 탐지할 수 있고, 공격 대상에서 응답한 RST/ACK 패킷을 검사하여 Coo-rdinated 스캔공격을 효율적으로 탐지할 수 있다. Most of computer systems to be connected to network have been exposed to some network attacks and became to targets of system attack. System managers have established the IDS to prevent the system attacks over network. The previous IDS have decided intrusions detecting the requested con-nection packets more than critical values in order to detect attacks. This techniques have False Positive possibilities and have difficulties to detect the slow scan increasing the time between send-ing scan probes and the coordinated scan originating from multiple hosts. We propose the port scan detection rules detecting the RST/ACK flag packets to request ab-normal connections and design the data structures capturing some of packets. This proposed system is decreased a False Positive possibility and can detect the slow scan, because a few data can be maintained for long times. This system can also detect the coordinated scan effectively detecting the RST/ACK flag packets to be occurred the target system.