Trust-Based Filtering of False Data in Wireless Sensor Networks

허준범(Junbeom Hur),이윤호(Younho Lee),윤현수(Hyunsoo Yoon) 한국정보과학회 2008 정보과학회논문지 : 정보통신 Vol.35 No.1

무선 센서 네트워크는 자연재해 탐지 시스템, 의료 시스템, 그리고 군사적 응용분야 등의 다양한 환경에서 유용한 해결책을 제시하고 있다. 그러나 센서 네트워크의 구성 환경 및 자원 제약적인 본질적인 특성으로 인해 기존의 전통적인 보안기법을 그대로 센서 네트워크에 적용하기에는 무리가 있다. 특히 네트워크를 구성하는 센서 노드들은 제한된 배터리를 사용하기 때문에 센서 네트워크에 거짓 데이타가 유입되는 경우 서비스 거부 뿐만 아니라 센서 노드의 제한된 에너지를 소모시키는 등의 심각한 문제를 야기할 수 있다. 기존의 전통적인 암호학적 인증 및 키 관리 방법 등을 통한 보안 기법은 센서 네트워크의 물리적인 노드탈취 공격에 대한 취약성으로 인해서 이러한 거짓 데이타 판별에 대한 해결책을 제시하지 못한다. 본 논문에서는 기존의 평판기반 기법과 달리 각 센서 노드의 위치에 따른 센싱 결과에 대해 일관성 등의 요소를 기반으로 신뢰도를 평가하고, 거짓 데이타를 주입하는 내부 공격에 대한 보안기법을 제안한다. 분석 결과에 따르면 제안한 신뢰도 평가 기반의 데이타 통합 기법은 기존의 중앙값보다 견고한 데이타 통합 결과를 보여준다. Wireless sensor networks are expected to play a vital role in the upcoming age of ubiquitous computing such as home environmental, industrial, and military applications. Compared with the vivid utilization of the sensor networks, however, security and privacy issues of the sensor networks are still in their infancy because unique challenges of the sensor networks make it difficult to adopt conventional security policies. Especially, node compromise is a critical threat because a compromised node can drain out the finite amount of energy resources in battery-powered sensor networks by launching various insider attacks such as a false data injection. Even cryptographic authentication mechanisms and key management schemes cannot suggest solutions for the real root of the insider attack from a compromised node. In this paper, we propose a novel trust-based secure aggregation scheme which identifies trustworthiness of sensor nodes and filters out false data of compromised nodes to make resilient sensor networks. The proposed scheme suggests a defensible approach against the insider attack beyond conventional cryptographic solutions. The analysis and simulation results show that our aggregation scheme using trust evaluation is more resilient alternative to median.

무선 메쉬 네트워크에서의 아이디 기반 프록시 암호화를 이용한 안전한 다대다 멀티캐스트 기법

허준범(Junbeom Hur),윤현수(Hyunsoo Yoon) 한국정보과학회 2010 정보과학회논문지 : 정보통신 Vol.37 No.1

무선 메쉬 네트워크 환경에서 그룹통신은 동적으로 변화하는 중계 메쉬 노드, 서로 다른 도메인의 그룹 간 통신에 대한 접근 제어, 그리고 네트워크를 관리하는 중앙화된 관리서버의 부재 등의 문제로 인해 관리가 어려워진다. 그룹의 멤버 뿐 아니라 위상이 동적으로 변화하는 무선 메쉬 네트워크 환경에서의 다대다(many-to-many) 멀티캐스트는 각 그룹 관리자가 자신의 그룹 멤버를 독립적으로 관리하며 그룹간 통신을 제어하는 다수의 하위 그룹으로 이루어진 비중앙화된 구조에 기반해서 구성될 수 있다. 본 논문에서는 네트워크의 위상을 고려한 비중앙화된 그룹키 관리 기법을 제안한다. 제안하는 프로토콜에서 각 멀티캐스트 송신자는 아이디 기반 암호화 알고리즘을 이용해서 분산화된 방법으로 각 그룹키를 그룹 멤버에게 전달하게 된다. 아이디 기반 암호화 기법은 그룹 멤버 뿐 아니라 메쉬 노드의 동적인 변화에도 효율적인 키관리를 가능케 하기 때문에 다대다 멀티캐스트 환경에서 키 갱신에 필요한 통신 회수 및 저장해야 할 키의 크기가 줄어드는 장점이 있다. 따라서 제안한 기법은 중앙화된 네트워크 관리자가 없고, 다수의 서비스 제공자가 그들의 그룹 통신을 독립적으로 관리하는 대규모의 동적인 메쉬 네트워크에서의 다 대다 그룹통신 환경에 가장 적합하다. Group communication in a wireless mesh network is complicated due to dynamic intermediate mesh points, access control for communications between different administrative domains, and the absence of a centralized network controller. Especially, many-to-many multicasting in a dynamic mesh network can be modeled by a decentralized framework where several subgroup managers control their members independently and coordinate the inter-subgroup communication. In this study, we propose a topology-matching decentralized group key management scheme that allows service providers to update and deliver their group keys to valid members even if the members are located in other network domains. The group keys of multicast services are delivered in a distributed manner using the identity-based encryption scheme. Identity-based encryption facilitates the dynamic changes of the intermediate relaying nodes as well as the group members efficiently. The analysis result indicates that the proposed scheme has the advantages of low rekeying cost and storage overhead for a member and a data relaying node in many-to-many multicast environment. The proposed scheme is best suited to the settings of a large-scale dynamic mesh network where there is no central network controller and lots of service providers control the access to their group communications independently.

신뢰할 수 없는 동적 네트워크 환경을 위한 비중앙화 그룹키 관리 기법

허준범(Junbeom Hur),윤현수(Hyunsoo Yoon) 한국정보과학회 2009 정보과학회논문지 : 정보통신 Vol.36 No.4

비중앙화(decentralized) 그룹키 관리 알고리즘은 그룹 멤버의 변화에 대한 영향을 지역적인 곳으로 한정시킴으로서 안전한 멀티캐스트 네트워크 구조의 확장성(scalability)과 안정성 (reliability)을 향상시킬 수 있다. 그러나 기존의 비중앙화 그룹키 관리 기법들에서는 멀티캐스트 과정에서 중간의 중계 노드들이 멀티캐스트 데이터의 평문 정보를 복호화함으로써 그룹 통신의 비밀성이 보장되지 않거나, 하위 그룹간의 안전한 통신을 위해서 외부의 중앙화된 그룹키 분배 센터가 필요했다. 본 연구에서 제안하는 그룹키 관리 방식에서는 서비스 제공자가 대리 암호(proxy encryption)를 이용하여 그룹키를 분산화(distributed) 방식으로 합법적인 그룹 멤버에게만 분배한다. 따라서 멀티캐스트 데이터를 전송하는 과정에서 데이터의 비밀성을 보장하는 안전한 통신을 가능케 함과 동시에 중앙화된 그룹키 분배 센터에 대한 필요성을 제거시킬 수 있다. 제안하는 그룹키 관리 기법은 중앙화된 네트워크 관리자가 없이 네트워크의 구조가 빈번히 변화하는 신뢰할 수 없는 동적인 네트워크 환경에서도 안전한 그룹통신을 효과적으로 보장할 수 있다. Decentralized group key management mechanisms offer beneficial solutions to enhance the scalability and reliability of a secure multicast framework by confining the impact of a membership change in a local area. However, many of the previous decentralized solutions reveal the plaintext to the intermediate relaying proxies, or require the key distribution center to coordinate secure group communications between subgroups. In this study, we propose a decentralized group key management scheme that features a mechanism allowing a service provider to deliver the group key to valid members in a distributed manner using the proxy cryptography. In the proposed scheme, the key distribution center is eliminated while data confidentiality of the transmitted message is provided during the message delivery process. The proposed scheme can support a secure group communication in dynamic network environments where there is no trusted central controller for the whole network and the network topology changes frequently.

신뢰성 있는 브로드캐스트 암호화를 위한 자가 키 복구 기법

허준범(Junbeom Hur),윤현수(Hyunsoo Yoon) 한국정보과학회 2009 정보과학회논문지 : 정보통신 Vol.36 No.6

브로드캐스트 서비스의 사용자가 많아질수록 확장성 있는 접근 제어는 효율적인 권한 부여에 필수적인 요구사항이라고 할 수 있다. 접근 제어는 합법적인 사용자들에게만 비밀키를 안전하게 전달함으로써 이루어지게 된다. 그러나 브로드캐스트 환경에서는 채널의 안정성이 보장되지 않기 때문에 비밀키를 전달하는 과정에서 키 전달 메시지가 사라지거나, 사용자의 단말이 네트워크에 접속되어 있지 않은 경우 메시지가 사용자에게 제대로 전달되지 못하는 경우가 빈번하게 발생할 수 있다. 본 연구에서는 합법적인 사용자가 서버로부터 다수의 세션동안 키 전달 메시지를 수신하지 못한 경우라도 자신의 이전키와 현재 세션에 전송되는 힌트 메시지를 이용해서 현재 세션의 그룹키를 복구할 수 있는 효율적인 그룹키 자가복구 기법을 제안한다. 성능 분석 결과 제안한 기법은 기존의 신뢰성 있는 키 분배 기법에 비해 확장성 및 효율성 측면에서 더 향상되었다는 것을 알 수 있다. 제안한 기법은 사용자로부터 서버로의 역방향 채널이 존재하지 않는 브로드캐스트 네트워크 환경에서 제한수신시스템 등에 활용될 수 있다. One of the principal impediments to the achievement of a scalable access control for a large number of subscribers in a public broadcast is to distribute key update messages reliably to all stateless receivers. However, in a public broadcast, the rekeying messages can be dropped or compromised during the transmission over an insecure broadcast channel, or transmitted to the receivers while it was off-line. In this study, we propose a novel group key management scheme that features a mechanism that allows the legitimate receivers to recover the current group key even if they lose key update messages for long-term sessions using short hint messages and member computation. The performance analysis result shows that the proposed scheme has advantages of the scalable and efficient rekeying compared with the previous reliable group key distribution schemes. The proposed key management scheme targets a conditional access system in a media broadcast where there is no feedback channel from receivers to the broadcasting station.

패턴 기반 사용자 인증 시스템 기술 연구 동향 및 비교

신형준,허준범,Shin, Hyungjune,Hur, Junbeom 한국정보보호학회 2015 情報保護學會誌 Vol.25 No.3

최근 다양한 스마트기기의 대중화로 인해, 사용자의 개인 정보를 이용한 다양한 스마트 서비스들이 제공되고 있다, 이에 따라 해당 정보의 사용자를 확인하는 사용자 인증 기법의 중요성이 대두되고 있다. 가장 대표적으로 널리 쓰이는 인증기법인 패스워드 인증기법은 사용자가 기억하기 쉬운 형태로 패스워드를 설정하기 때문에 추측공격(Guessing Attack)과 사전공격(Dictionary Attack)에 취약하다. 또한 터치 스크린 기반의 시스템에서 사용할 경우, 가상 키보드의 불편함으로 인해 편리성이 떨어진다. 본 논문에서는 패스워드 인증 기법의 문제점을 해결한 여러 가지 패턴 기반 사용자 인증기법들의 연구 동향에 대해 분석하고, 해당 인증 기법들을 비교하여 분석한다.

브로드캐스팅 통신 환경 하에서의 비상태 수신자를 위한 대역폭 효율성을 고려한 탈퇴 기법

김평(Pyung Kim),허준범(Junbeom Hur),윤현수(Hyunsoo Yoon) 한국정보과학회 2010 정보과학회논문지 : 정보통신 Vol.37 No.5

Complete Subtree(CS)[1] 기법은 브로드캐스트암호화기법 중 비상태성을 만족시키는 부분집합-커버(Subset-Cover) 접근방법으로 그룹의 키의 배포 및 업데이트를 수행하는 방법이다. 브로드캐스트가 서비스 제공자로부터 단방향으로 이루어지는 비상태성 수신자를 가지는 환경에서는 키 관련 데이터 전송을 위해 저장 오버헤드와 통신 오버헤드가 발생한다. 본 논문에서는 효율적인 통신 오버헤드를 위해 새로운 탈퇴 기법인 Merged Complete Subtree(MCS) 기법을 제안한다. MCS기법에서는 CS기법에서 키암호화 키(Key Encryption Key)를 분배하기 위해 사용하는 부분집합의 구성을 단순 트리구조가 아닌 합집합 기반의 복합 구조를 취한다. 이 수정 사항은 늘어난 전체 부분집합과 그에 해당되는 키 암호화 키로 인해 보다 많은 저장 오버헤드를 필요로 하지만 CS기법에서 헤더(header)를 구성하기 위한 두 부분집합을 하나의 합집합 형태로 표현 가능하게 함으로써 기존의 CS기법의 통신 오버헤드를 절반으로 감소시킨다. 제안된 기법은 전체 잠재적 사용자에 대한 탈퇴한 사용자의 비율이 커졌을 때 큰 이득을 가지며 공모를 통한 공격에 대하여 완벽한 저항성을 가진다. Complete Subtree scheme(CS) is a well known broadcast encryption scheme to perform group rekeying in a stateless manner. However, statelessness comes at a cost in terms of storage and message overhead in transmitting key material. We propose a Merged Complete Subtree scheme (MCS) to reduce the communication overhead. It is more practical to make broadcast encryption schemes in network environments with limited bandwidth resources. We define all possible subset unions for ever two subsets of CS as new subsets having own key. The modification causes more storage overhead. Nevertheless, it is possible to make the size of a header, including key materials, half using subset unions of MCS, because the size of a header depends on the number of used subsets. Our evaluation therefore shows that the proposed scheme significantly improves the communication overhead of CS, reducing by half the rekey communication cost. The proposed scheme has the advantage of rekey communication cost when the number of revoked users is significant percentage of the number of potential users. The proposed scheme is fully collusion resistant.

비트코인 익명화 기술 연구 동향

홍영기(YoungGee Hong),허준범(JunBeom Hur) 한국정보보호학회 2018 情報保護學會誌 Vol.28 No.3

세계적 열풍의 중심인 비트코인에는 많은 이슈가 발생하고 있다. 특히 비트코인의 익명성은 사회적으로 중요한 문제이다. 비트코인이 익명성을 보장하지 못할 경우 거래내역이 공개되어 프라이버시가 노출될 수 있다. 반대로 비트코인이 익명성을 보장할 경우 마약 거래, 자금 세탁, 랜섬웨어 공격 등의 각종 범죄가 발생할 수 있다. 이밖에도 다양한 상황에 적절한 대처를 하기 위해서는 비트코인 기술에 대한 정리와 이해가 필요하다. 본 논문에서는 비트코인의 익명성을 약화시키는 클러스터링 기술과, 비트코인의 익명성을 강화시키는 믹싱 프로토콜 기술에 대한 연구 흐름을 정리하였다.

TLS 환경의 ESNI 지원현황 및 한계점 고찰

이웅희(Woonghee Lee),허준범(Junbeom Hur) 한국정보과학회 2021 한국정보과학회 학술발표논문집 Vol.2021 No.6

포그 컴퓨팅 환경에서 안전한 서비스 탐색 기법

김형섭(Hyeongseob Kim),허준범(Junbeom Hur) 한국정보과학회 2017 한국정보과학회 학술발표논문집 Vol.2017 No.06

고정 크기 암호 정책 속성 기반의 데이터 접근과 복호 연산 아웃소싱 기법

한창희(Changhee Hahn),허준범(Junbeom Hur) 한국정보과학회 2016 정보과학회논문지 Vol.43 No.8

클라우드와 같은 퍼블릭 스토리지 시스템은 언제 어디서든 온디맨드(on-demand) 컴퓨팅 서비스를 제공한다는 점에서, 다수 사용자 간 데이터 공유 환경으로 각광받고 있다. 안전한 데이터 공유는 세분화된 접근 제어를 통해 가능한데, 기존의 대칭키 및 공개키 기반 암호 기법은 암호문과 비밀키 간 일대일 대응만을 지원한다는 점에서 적합하지 않다. 속성 기반 암호는 세분화된 접근 제어를 지원하지만, 속성의 개수가 증가함에 따라 암호문의 크기도 함께 증가한다. 게다가, 복호에 필요한 연산비용이 매우 크기 때문에, 가용한 자원이 제한된 환경에서 비효율적이다. 본 연구에서는, 복호 연산의 아웃소싱을 지원하는 효율적인 속성 기반의 안전한 데이터 공유 기법을 제안한다. 제안 기법은 속성의 개수에 관계없이 항상 일정 크기의 암호문을 보장한다. 또한 정적 속성 환경에서 사용자 측면 연산 비용 절감을 지원하며, 이는 약 95.3%의 복호 연산을 고성능의 스토리지 시스템에 위임함으로써 가능하다. 반면 동적 송석 환경에서는 약 72.3%의 복호 연산 위임이 가능하다. Sharing data by multiple users on the public storage, e.g., the cloud, is considered to be efficient because the cloud provides on-demand computing service at anytime and anywhere. Secure data sharing is achieved by fine-grained access control. Existing symmetric and public key encryption schemes are not suitable for secure data sharing because they support 1-to-1 relationship between a ciphertext and a secret key. Attribute based encryption supports fine-grained access control, however it incurs linearly increasing ciphertexts as the number of attributes increases. Additionally, the decryption process has high computational cost so that it is not applicable in case of resource-constrained environments. In this study, we propose an efficient attribute-based secure data sharing scheme with outsourceable decryption. The proposed scheme guarantees constant-size ciphertexts irrespective of the number of attributes. In case of static attributes, the computation cost to the user is reduced by delegating approximately 95.3% of decryption operations to the more powerful storage systems, whereas 72.3% of decryption operations are outsourced in terms of dynamic attributes.