소스 라우팅 기반의 이동 Ad-hoc 네트워크에서 안전한 데이터 전송 방법

노효선,정수환,Roh, Hyo-Sun,Jung, Sou-Hwan 한국통신학회 2007 韓國通信學會論文誌 Vol.32 No.12c

본 논문은 MANET 환경에서 소스 라우팅 기반의 안전한 데이터 전송 방법에 대해서 제안한다. 본 논문에서 제안하는 방법은 제 3의 신뢰할 수 있는 키 분배 서버로부터 두 개의 해쉬키 체인을 사용하여 생성된 키를 키 서버와 데이터 전달에 참여하는 노드 간에 미리 설정된 비밀키를 사용하여 안전하게 전달하고, 각 노드 간에 데이터 전송시 키 서버로부터 수신한 해쉬키를 사용하여 MAC 코드를 생성함으로써 각 중간 노드마다 데이터를 인증하는 방식이다. 제안된 방법은 인증서 기반의 PKI를 사용하는 방법보다 간단하며, 비밀키 방식의 경우 임의의 ad-hoc 노드 제어들 간에 비밀키를 미리 설정해야하는 부담을 감소시켰다. This paper proposes a secure data forwarding scheme on source routing-based ad-hoc networks. The scheme uses two hash-key chains generated from a trusted third party to generate Message Authentication Codes for data integrity The selected MAC keys are delivered to the ad-hoc node using a pre-shared secret between the trusted third party and a node. The proposed scheme does not require the PKI, or the provisioning of the pre-shared secrets among the ad-hoc nodes.

모바일 네트워크에서 로밍을 위한 계층적 인증 방법

홍기훈,정수환,Hong, Ki-Hun,Jung, Sou-Hwan 한국통신학회 2006 韓國通信學會論文誌 Vol.31 No.12C

This paper proposes a fast authentication scheme based on hierarchical key structure (HiFA) for roaming mobile nodes in both intra-domain and inter-domain. The full authentication procedure standardized in IEEE 802.11 and 802.16 is difficult to be applied to a handover since it needs a heavy operation and long delay time during a handover. Though a number of schemes were proposed to solve the problem, the existing schemes might degrade the security of authentication or impose heavy administrative burden on the Pome authentication server. The main contribution of this paper is to reduce the communication and computation overhead of the home authentication sewer without degrading the security strength of the fast roaming authentication using hierarchical authentication key structure. The proposed scheme iii this paper decentralizes the administrative burden of the home authentication server to other network entities such as a local authentication server or access point and supports the security separation of the authentication key among local authentication servers using hash key chain. 이 논문에서는 모바일 네트워크에서 이동 노드의 로밍을 위한 해시 기반의 인증 방법을 제안한다. IEEE 802.11과 802.16 기반의 인증 방법은 많은 지연 시간과 계산 과부하로 인하여 핸드오버와 로밍의 인증방법으로 적용하기 부적절하다. 따라서 다양한 방법들이 제안되었지만, 기존의 방법들은 인증의 보안을 약화시키거나 이동시마다 홈 인증 서버에 과도한 인증 부담?을 부여한다. 이 논문에서는 계층적 인증키 관리 구조를 통해 홈 인증 서버의 관리 부담 감소와 핸드오버를 위한 인증 방법의 보안 강화에 초점을 맞추고 있다. 제안하는 방법은 인증키에 해시 키 체인을 적용하여 계층적으로 관리함으로써 흠 인증 서버의 관리 부담을 로컬 인증 서버와 엑세스 포인트로 분산시키고 각 인증 서버와 엑세tm 포인트간에 인증키를 독립화하여 보안을 강화한다.

보안이 적용된 VoIP 시스템의 합법적 감청을 위한 미디어 키 분배 기법

노효선,정수환,Roh Hyo-Sun,Jung Sou-Hwan 한국통신학회 2006 韓國通信學會論文誌 Vol.31 No.8B

본 논문에서는 보안이 적용된 VoIP 시스템에서 합법적 감청 지원을 위한 미디어 키 분배 기법을 제안하였다. 현재 제정되고 있는 미국과 유럽의 감청 표준은 양단간에 보안이 적용된 VoIP 시스템의 경우, 보안이 적용된 키정보를 수집하는 메커니즘이 정의되어 있지 않아 감청에 어려움이 예상된다. 제안된 기법은 미디어 트래픽의 암호화를 위해 사용한 미디어 키를 ISP AAA 서버, TSP 등록 서버와 UA 간의 대칭키로 이중 암호화하여 각 서버에 보관하였다가 합법적 감청 기관으로부터 승인된 감청 요청이 있을 경우 각 서버에서 미디어 키를 합법적 감청 기관으로 전달하여 암호화된 미디어 트래픽을 감청 할 수 있는 방법을 제안하였다. 이 방법은 이중으로 암호화된 미디어 키를 어느 한쪽 서버에서 임의로 확인할 수 없으며, 합법적 감청 승인을 받은 감청 기관에 의해서만 미디어 키를 확인할 수 있기 때문에 무분별한 감청 시도를 방지할 수 있어 개인의 사생활을 보호할 수 있다. This paper proposes a media key distribution scheme for lawful interception in secured VoIP systems. A problem of the current US or EU standards for lawful interception is that they do not provide a mechanism for collecting keys used for encrypting media streams between two end points. In the proposed scheme, dual encryption was applied on the media keys using two shared secrets: one between the ISP AAA server and user agent, and the other between the TSP registrar and user agent. Only the lawful agency with court warrant can collect both keys from the service providers. This scheme can still provide a privacy by preventing the misusage of the keys by the service providers.

IPv6 전환 기술의 보안 위협 분석 및 보안 설계에 대한 연구

최인석,김영한,정수환,Choi, In-Seok,Kim, Young-Han,Jung, Sou-Hwan 한국통신학회 2005 韓國通信學會論文誌 Vol.30 No.11B

IPv4로부터 IPv4/IPv6로의 전환 및 상호공존을 위한 처리 과정에서의 보안적인 고려는 상당히 중요한 문제이다. IPv4 네트워크와 IPv6 네트워크 사이의 이질적인 문제로 인해 기존의 IPv4 네트워크에서는 일어나지 않았던 다양한 위협이 존재한다. 본 논문에서는 지금까지 제안된 IPv4/IPv6 전환 기술에 대해 살펴보고, 전환 기술에서 나타날 수 있는 다양한 보안적인 위협에 대해서 분석을 하고, 그에 대한 대응방안에 대해 제시하였다. 6to4 전환기술에서는 DoS 및 DRDoS 공격 위협을 분석하고, 주소 무결성 검사방법을 해결책으로 제시하였다. 또, DSTM과 NAT-PT 전환 기술에서는 IPv4 주소를 할당하는 IPv4 주소 pool을 가진 서버에 대한 IPv4 주소 고갈 위협을 분석하였고, IPv4 주소 고갈 위협 문제를 해결하기 위해서 DSTM 전환 기술에서는 challenge-response 메커니즘 방안을 제시하였다. The IETF has created the v6ops Working Group to assist IPv6 transition and propose technical solutions to achieve it. But it's quite problem which security consideration for a stage of IPv4/IPv6 transition and co-existence. There are new security problem threat that it caused by the characteristics of heterogeneity. In this paper, we describe IPv6 transition mechanisms and analyze security problem for IPv6 transition mechanism. also we propose security consideration and new security mechanism. We analyzed DoS and DRDoS in 6to4 environment and presented a address sanity check as a solution. We also showed an attack of address exhaustion in address allocation server. To solve this problem, we proposed challenge-response mechanism in DSTM.

SIP 기반의 VoIP 보안 시스템 구현

최재덕,정태운,정수환,김영한,Choi, Jae-Deok,Jung, Tae-Woon,Jung, Sou-Hwan,Kim, Young-Han 한국통신학회 2004 韓國通信學會論文誌 Vol.29 No.9B

본 논문에서는 IETF에서 제안한 SIP 프로토콜의 보안에 대해서 연구하고 이를 기반으로 VoIP 보안 시스템을 설계하여 RFC 3261 의 보안 요구 사항 및 방향에 대해서 분석하였다 . SIP 보안 메커니즘으로 HTTP Digest 사용자 인증, TLS를 적용한 흡간 보안, S/MIME 을 적용한 단말간 보안을 적용하고 미디어 보안으로는 현재 드래프트 인 SRTP를 사용하여 구현하였다. SIP 표준 문서에서 제안하고 있는 사용자 인증, 흡간 보안, 단말간 보안을 SIP VoIP 단말 시스템에 적용하고 미디어 보안을 구현함으로써 VoIP 단말 및 프록시 서버 보안 가능을 구현하였다 또한 SIP 표준에서 제시된 보안 메커니즘의 안전성을 분석하였다. In this paper, a security mechanism for a VoIP system based on SIP was implemented. This was satisfied sec security requirement of RFC 3261. The SIP standard proposes a HTTP digest authentication for user authentication mechanism, TLS for hop-by-hop security and S/MIME for end-to-end security. SRTP draft was implemented for media security. We also analyzed security of proposed SIP standard.

Human Recognition 방법을 적용한 DSTM 서버의 IPv4 주소 할당 인증 방법

최재덕,김영한,권택정,정수환,Choi, Jae-Duck,Kim, Young-Han,Kwon, Taek-Jung,Jung, Sou-Hwan 한국통신학회 2006 韓國通信學會論文誌 Vol.31 No.11B

IPv6/IPv4 변환 기술 중 하나인 DSTM 기술은 DSTM 서버가 IPv4 노드와 통신을 원하는 IPv6 노드에게 IPv4 주소를 할당할 때 DoS 공격으로 인해 DSTM 서버의 IPv4 주소 pool 고갈 공격에 노출되어 있다. 본 논문에서는 DSTM 서버의 IPv4 주소 할당 서버인 DHCP의 인증 방법으로 HRAA (Human Recognition Address Allocation) 기법을 제안하였다. HRAA는 사전에 공유된 정보륵 필요로 하는 단말의 mac 주소, 패스워드, 지연 인증 방식과는 달리 어떠한 정보도 공유할 필요가 없어 DSTM 도메인 내에서 언제 어디서나 실용적으로 사용될 수 있고, 자동화된 시스템에 의해서 인증값을 생성할 수 없기 때문에 DoS 공격을 통한 DSTM 서버의 IPv4 주소 pool 고갈 공격에 효과적이다. DSTM is one of the 1Pv6/IPv4 transition mechanisms using IPv4-in-IPv6 tunneling for communication between IPv6 node with dual stack and Ipv4-only node. In DSTM, the DSTM server using the DHCPv6 is vulnerable to DoS attacks which can exhaust the IPv4 address pool. In this paper, an authentication model using a HRAA (Human Recognition Address Allocation) scheme was proposed to protect DHCP server against DoS attacks. The proposed authentication model in DSTM that uses an image file for verification is effective because only human can respond to the challenge for authenticated address allocation. The proposed model can be used anytime and anywhere in a DSTM domain, and is secure against DoS attacks.

이질적인 라우팅 도메인에서 스마트 패킷을 사용한 이동 노드의 라우팅 프로토콜 설정 기법

최재덕,노효선,김영한,정수환,Choi Jae-Duck,Roh Hyo-Sun,Kim Young-Han,Jung Sou-Hwan 한국통신학회 2006 韓國通信學會論文誌 Vol.31 No.9B

이동 Ad hoc 노드와 같이 경량화 된 단말들은 이질적인 MANET 라우팅 환경에 따라 동작할 수 있는 특정 라우팅 모듈이 요구된다. 그러나 각각의 라우팅 환경에 따라 필요한 라우팅 모듈들을 경량화 된 이동 단말들이 모두 적재하는 것은 한계가 있으며 비현실적이다. 본 논문에서는 스마트 패킷을 사용하여 경량화 된 Ad hoc 노드들에게 라우팅 환경에 따라 라우팅 프로토콜을 효율적으로 제공할 수 있는 기법을 제안하였다. 라우팅 프로토콜 설정 기법을 위한 스마트 패킷은 특정 MANET 환경에서 필요한 라우팅 실행 모듈을 전송하고, 전송된 실행 모듈은 스마트 패킷 에이전트에서 자동 실행 및 삭제된다. 스마트 패킷 에이전트는 Ad hoc 단말들에게 적합하도록 간단한 기능만을 수행하도록 설계되었다. 또한 본 논문에서는 무선 네트워크 환경에서 DYMO 라우팅 모듈 전송을 통한 Ad hoc 노드의 라우팅 설정 실험을 통해 제안 기법의 실용성을 입증하였다. Mobile ad hoc nodes are supposed to be equipped with a number of operation modules including a specific routing operation module in heterogeneous MANET environment. It is not possible for a mobile node to carry all the necessary operation modules due to the limited resources. This paper proposes a scheme to reconfiguring mobile ad hoc nodes using smart packets in heterogeneous routing domains. The smart packet protocol has a capability to transfer a binary execution module to a mobile node, by which a node can be equipped with any necessary routing modules in any MANET environment. The proposed smart packet agent is designed to be suitable to a light weight terminal owing to its simple architecture. The utility of the proposed scheme was demonstrated through an example of DYMO scenario in the wireless network.

빠른 IP Mobility를 위한 링크 및 네트워크 계층에서의 핸드오버 인증 기술 분석

김두환(Kim Doo Hwan),이원진(Lee Won Jin),정수환(Jung Sou Hwan) 한국통신학회 2008 한국통신학회 학술대회논문집 Vol.2008 No.7

Mobile WiMAX 네트워크에서 DoS 공격 취약점 분석 및 대응 기법

이원진(Lee Won Jin),정수환(Jung Sou Hwan) 한국통신학회 2010 한국통신학회 학술대회논문집 Vol.2010 No.6

Open IPTV 환경에서 재암호화 과정 없는 댁내 컨텐츠 분배를 위한 키관리 기법

정서현(Seo-Hyun Jung),노효선(Hyo-Sun Roh),이현우(Hyun-Woo Lee),이정현(Jeong-Hyun Yi),정수환(Sou-Hwan Jung) 한국컴퓨터정보학회 2010 韓國컴퓨터情報學會論文誌 Vol.15 No.7

최근 IPTV 환경이 점차 개방형 IPTV로 발전함에 따라, 댁내에서 사용되는 IPTV 단말의 경우도 다양한 형태로 발전하고 있다. 이러한 환경에서 사용자는 노트북, 휴대폰, PDA와 같은 댁내에 존재하는 다양한 IPTV 서비스 가용 단말을 통해 IPTV를 시청할 수 있게 된다. 하지만, 방송 콘텐츠보호를 위해 셋탑박스 (STB)에 탑재된 CAS 기술로 인해 같은 댁내에서도 각 단말의 개수만큼의 STB를 필요로 하거나, STB에 연결가능한 모든 단말에는 CAS가 해제된 상태로 무제한 제공하여야 하는 것이 현재의 기술 수준이다. 본 논문에서는 추가적인 STB 설치 없이 댁내 사용자가 선택한 IPTV 가용 단말들로 컨텐츠를 재분배함과 동시에 서비스 사업자가 복수의 사용자 단말에 대하여 수신제어가 가능한 기술을 제안한다. 제안 기법은 RSA 서명의 개인키 분할 방식을 사용하여 STB에서 댁내 IPTV 단말로 전달되는 컨텐츠를 기존 CAS 시스템을 통해 스크램블링된 내용 그대로 재암호화과정 없이 전달할 수 있다. 따라서, 제안기법은 STB에서 사용자 단말 구간에 재암호화 기법을 활용하여 콘텐츠를 분배하는 기존 기법에 대비하여, 기존의 보안 수준을 유지하면서도 계산량 및 전송량 측면에서 기존 기술과 비교하여 많은 성능개선과 함께, 댁내에 재분배되는 컨텐츠에 대한 불법적인 유출을 방지하는 효과도 부수적으로 제공한다. Due to the advancement of IPTV technologies, open IPTV services are a step closer to becoming reality. In such service environment, users are able to enjoy IPTV services using a variety of devices available at their home domain. However, it is impossible to get such flexible services at their convenience unless each of devices is individually connected to Set-Top-Box (STB) because of Conditional Access System (CAS) or service providers otherwise allow STB to freely distribute decoded contents to every user devices attached to STB. In this paper, we propose a key management scheme for securely distributing contents from STB to multiple user devices at home domain. The proposed scheme also makes the service providers be able to control the access rights to each of user devices without installing individual STBs. It is achieved by computationally dividing a private key of RSA signature scheme into three parts and thus makes possible to distribute the contents scrambled through a underlying CAS mechanism without re-encrypting them that the existing scheme should employ. It improves significantly computation and communication complexities, maintaining it as secure as the existing schemes. Additionally, it prevents misbehaving users from illegally distributing the contents from STB to their devices available at home domain.