고정 크기 암호 정책 속성 기반의 데이터 접근과 복호 연산 아웃소싱 기법

한창희(Changhee Hahn),허준범(Junbeom Hur) 한국정보과학회 2016 정보과학회논문지 Vol.43 No.8

클라우드와 같은 퍼블릭 스토리지 시스템은 언제 어디서든 온디맨드(on-demand) 컴퓨팅 서비스를 제공한다는 점에서, 다수 사용자 간 데이터 공유 환경으로 각광받고 있다. 안전한 데이터 공유는 세분화된 접근 제어를 통해 가능한데, 기존의 대칭키 및 공개키 기반 암호 기법은 암호문과 비밀키 간 일대일 대응만을 지원한다는 점에서 적합하지 않다. 속성 기반 암호는 세분화된 접근 제어를 지원하지만, 속성의 개수가 증가함에 따라 암호문의 크기도 함께 증가한다. 게다가, 복호에 필요한 연산비용이 매우 크기 때문에, 가용한 자원이 제한된 환경에서 비효율적이다. 본 연구에서는, 복호 연산의 아웃소싱을 지원하는 효율적인 속성 기반의 안전한 데이터 공유 기법을 제안한다. 제안 기법은 속성의 개수에 관계없이 항상 일정 크기의 암호문을 보장한다. 또한 정적 속성 환경에서 사용자 측면 연산 비용 절감을 지원하며, 이는 약 95.3%의 복호 연산을 고성능의 스토리지 시스템에 위임함으로써 가능하다. 반면 동적 송석 환경에서는 약 72.3%의 복호 연산 위임이 가능하다. Sharing data by multiple users on the public storage, e.g., the cloud, is considered to be efficient because the cloud provides on-demand computing service at anytime and anywhere. Secure data sharing is achieved by fine-grained access control. Existing symmetric and public key encryption schemes are not suitable for secure data sharing because they support 1-to-1 relationship between a ciphertext and a secret key. Attribute based encryption supports fine-grained access control, however it incurs linearly increasing ciphertexts as the number of attributes increases. Additionally, the decryption process has high computational cost so that it is not applicable in case of resource-constrained environments. In this study, we propose an efficient attribute-based secure data sharing scheme with outsourceable decryption. The proposed scheme guarantees constant-size ciphertexts irrespective of the number of attributes. In case of static attributes, the computation cost to the user is reduced by delegating approximately 95.3% of decryption operations to the more powerful storage systems, whereas 72.3% of decryption operations are outsourced in terms of dynamic attributes.

클라우드 환경에서 검색 효율성 개선과 프라이버시를 보장하는 유사 중복 검출 기법

한창희(Changhee Hahn),신형준(Hyung June Shin),허준범(Junbeom Hur) 한국정보과학회 2017 정보과학회논문지 Vol.44 No.10

최근 다수의 콘텐츠 서비스 제공자가 제공하는 콘텐츠 중심 서비스가 클라우드로 이전함과 동시에 온라인 상의 유사 중복 콘텐츠가 급격히 증가함에 따라, 불필요한 과잉 검색 결과를 초래하는 등 클라우드 기반 데이터 검색 서비스의 품질이 저하하고 있다. 또한 데이터 보호법 등에 의거, 각 서비스 제공자는 서로 다른 비밀키를 이용하여 콘텐츠를 암호화하기 때문에 데이터 검색이 어렵다. 따라서, 검색 프라이버시를 보장하면서 유사 중복 데이터 검색의 정확도까지 보장하는 서비스의 구현은 기술적으로 어려운 실정이다. 본 연구에서는, 클라우드 환경에서 데이터 복호 없이 불필요한 검색 결과를 제거함으로써 검색서비스 품질을 제고하며, 동시에 효율성까지 개선된 유사 중복 검출 기법을 제안한다. 제안 기법은 검색프라이버시와 콘텐츠 기밀성을 보장한다. 또한, 사용자 측면의 연산 비용 및 통신 절감을 제공하며, 빠른 검색 평가기능을 제공함으로써 유사 중복 검출 결과의 신뢰성을 보장한다. 실제 데이터를 통한 실험을 통해, 제안 기법은 기존 연구 대비 약 70.6%로 성능이 개선됨을 보인다. As content providers further offload content-centric services to the cloud, data retrieval over the cloud typically results in many redundant items because there is a prevalent near-duplication of content on the Internet. Simply fetching all data from the cloud severely degrades efficiency in terms of resource utilization and bandwidth, and data can be encrypted by multiple content providers under different keys to preserve privacy. Thus, locating near-duplicate data in a privacy-preserving way is highly dependent on the ability to deduplicate redundant search results and returns best matches without decrypting data. To this end, we propose an efficient near-duplicate detection scheme for encrypted data in the cloud. Our scheme has the following benefits. First, a single query is enough to locate near-duplicate data even if they are encrypted under different keys of multiple content providers. Second, storage, computation and communication costs are alleviated compared to existing schemes, while achieving the same level of search accuracy. Third, scalability is significantly improved as a result of a novel and efficient two-round detection to locate near-duplicate candidates over large quantities of data in the cloud. An experimental analysis with real-world data demonstrates the applicability of the proposed scheme to a practical cloud system. Last, the proposed scheme is an average of 70.6% faster than an existing scheme.

아웃소싱 데이터 보호를 위한 데이터 블록 기반의 상호 인증 프로토콜

한창희(Changhee Hahn),권현수(Hyunsoo Kown),김대영(Daeyeong Kim),허준범(Junbeom Hur) 한국정보과학회 2015 정보과학회논문지 Vol.42 No.9

최근 고품질 포맷을 지원하는 멀티미디어 기술이 발전함에 따라 멀티미디어 데이터의 크기가 급격하게 증가하고 있다. 게다가 여러 온라인 채널을 통해 멀티미디어 데이터를 제공하는 추세에 따라, 단일 서버에서 데이터를 저장 및 처리하기가 어려워지고 있다. 이에 많은 서비스 공급 업체들은 클라우드 저장소와 같은 외부 업체에 데이터 아웃소싱을 통한 비용 절감 효과를 기대하고 있다. 하지만 아웃소싱 데이터에 접근하려는 사용자를 안전하고 효율적으로 인증할 수 있을지는 선결과제로 남아있다. 비밀번호 기반 인증은 안전성 측면에서 많은 문제점을 가진다. 생체인식이나 SMS, 하드웨어 토큰과 같은 채널을 이용한 다중 인증 기법은 안전성을 강화하지만 사용자 편의성(usability)을 감소시킨다. 이에 본 논문에서는 안전성과 편의성을 모두 보장하는 블록 기반 상호 인증 기법을 소개한다. 추가적으로 본 논문에서 제안하는 기법은 효율적인 사용자 취소(user revocation) 기능을 제공한다. 본 논문은 상용 클라우드 서비스인 아마존 EC2에서 직접 실험을 설계 및 구현하였고, 실험 결과를 제시하였다. Recently, there has been an explosive increase in the volume of multimedia data that is available as a result of the development of multimedia technologies. More and more data is becoming available on a variety of web sites, and it has become increasingly cost prohibitive to have a single data server store and process multimedia files locally. Therefore, many service providers have been likely to outsource data to cloud storage to reduce costs. Such behavior raises one serious concern: how can data users be authenticated in a secure and efficient way? The most widely used password-based authentication methods suffer from numerous disadvantages in terms of security. Multi-factor authentication protocols based on a variety of communication channels, such as SMS, biometric, or hardware tokens, may improve security but inevitably reduce usability. To this end, we present a data block-based authentication scheme that is secure and guarantees usability in such a manner where users do nothing more than enter a password. In addition, the proposed scheme can be effectively used to revoke user rights. To the best of our knowledge, our scheme is the first data block-based authentication scheme for outsourced data that is proven to be secure without degradation in usability. An experiment was conducted using the Amazon EC2 cloud service, and the results show that the proposed scheme guarantees a nearly constant time for user authentication.

LTE에서 사용자 위치 정보 보호를 위한 보안 향상 인증 프로토콜

한창희(Changhee Hahn),권현수(Hyunsoo Kwon),허준범(Junbeom Hur) 한국정보과학회 2014 정보과학회논문지 Vol.41 No.9

최근 네트워크 및 통신 기술의 발달로 4세대 무선이동통신은 사용자가 급격하게 늘어나고 있다. 하지만 이와 동시에 통신 데이터 및 프라이버시에 대한 외부 공격 또한 증가하고 있는 실정이다. 따라서 안전한 통신에 대한 고려는 성공적인 4세대 이동통신을 위해서 매우 중요한 사항이라고 할 수 있다. 본 논문에서는 4세대 LTE 이동통신 환경에서 통신 기기의 위치 정보를 탐지함으로써 사용자의 위치 프라이버시를 침해하는 공격모델을 제시한다. 그리고 이를 해결하기 위한 개선된 LTE 프로토콜을 제시한다. 제안하는 기법은 연산량이 적은 대칭키 암호화 알고리즘을 이용함으로써 위치정보에 대한 구별가능성을 제거함으로써 프로토콜의 효율성과 안전성을 보장할 수 있다. 또한 위치 프라이버시 보호 측면에서 제안기법의 안전성은 ProVerif 툴을 이용하여 검증하였다. The number of subscribers in 4th generation mobile system has been increased rapidly. Along with that, preserving subscribers’ privacy has become a hot issue. To prevent users’ location from being revealed publicly is important more than ever. In this paper, we first show that the privacy-related problem exists in user authentication procedure in 4th generation mobile system, especially LTE. Then, we suggest an attack model which allows an adversary to trace a user, i.e. he has an ability to determine whether the user is in his observation area. Such collecting subscribers’ location by an unauthorized third party may yield severe privacy problem. To keep users’ privacy intact, we propose a modified authentication protocol in LTE. Our scheme has low computational overhead and strong secrecy so that both the security and efficiency are achieved. Finally, we prove that our scheme is secure by using the automatic verification tool ProVerif.

LWE 기반의 순서 노출 암호화 기법

박재환 ( Jae Hwan Park ),한창희 ( Changhee Hahn ) 한국정보처리학회 2023 한국정보처리학회 학술대회논문집 Vol.30 No.1

제어시스템 보안인증 도입 방안 연구

최호열(Hoyeol Choi),김대영(Daeyeong Kim),신형준(Hyungjune Shin),한창희(Changhee Hahn),허준범(Junbeom Hur) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.3

SCADA 시스템은 국내 산업분야 전반에서 원격 감시 제어를 위해 이용되고 있는 만큼 제어시스템의 보안인증을 올바르게 확립해야 할 필요가 점차 커지고 있다. ISASecure에서 진행하는 EDSA-CRT 테스트는 장치가 정상적인 환경과 비정상적인 네트워크 프로토콜 트래픽 환경에서 핵심 서비스를 적절하게 제공할 수 있는지에 초점이 맞춰져 있기는 하지만 IP, ARP, TCP등 IP 기반 프로토콜을 대상으로 진행하고 있고, 제어 프로토콜에 적용한 테스트 연구는 전무하다. 따라서 본 논문에서는 제어 프로토콜 중 가장 널리 사용되는 DNP3 프로토콜에 대해 EDSA-CRT를 적용하여 테스트 요구사항을 도출하고자 한다. 이에 우리는 DNP3 프로토콜에 대한 33개의 테스트 케이스를 제시한다. SCADA(Supervisory Control and Data Acquisition) system is widely used for remote monitoring and control throughout the domestic industry. Due to a recent breach of security on SCADA systems, such as Stuxnet, the need of correctly established secure certification of a control system is growing. Currently, EDSA-CRT (Embedded Device Security Assurance-Communication Robustness Test), which tests the ability to provide core services properly in a normal/abnormal network protocol, is only focused on the testing of IP-based protocols such as IP, ARP, TCP, etc. Thus, in this paper, we propose test requirements for DNP3 protocol based on EDSA-CRT. Our analysis show that the specific test cases provide plentiful evidences that DNP3 should follow based on its functional requirements. As a result, we propose 33 specific test case for DNP3 protocol.