빠른 이동성을 지원하는 VANET 환경의 핸드오버 인증 프로토콜

최재덕(Jaeduck Choi),정수환(Souhwan Jung) 대한전자공학회 2008 電子工學會論文誌-TC (Telecommunications) Vol.45 No.5

본 논문은 VANET (Vehicular Ad ho NETwork) 환경에서 안전하고 이동 단말에 적합한 Fast MIPv6 핸드오버 인증 프로토콜을 제안한다. 기존의 핸드오버 인증 프로토콜은 간단한 해쉬 함수나 XOR 연산을 사용하기 때문에 자원이 한정적인 이동단말에 적합하지만, PBS와 같은 기본 보안 기능을 제공하지 못하는 문제점이 있다. 반대로 보안 문제를 해결하기 위하여 CGA (Cryptographically Generated Addresses) 기반의 RSA 공개키를 사용하는 기법이 제안되었지만, 액세스 라우터와 이동단말에서 많은 지수 연산을 요구하기 때문에 액세스 라우터를 대상으로 DoS 공격이 가능하고 이동 단말에 적합하지 않다. 제안 프로토콜은 light-weight Diffie-Hellman 알고리즘을 사용하여 기존의 핸드오버 인증 프로토콜보다 PBS와 같은 기본적인 보안 특징을 제공하며, DoS 공격으로부터 안전하고, 기존의 방법보다 이동 단말에서 수행하는 지수 연산량이 적어 이동 단말에 적합하다. This paper proposes a secure and efficient handover authentication protocol in VANET supporting fast mobility. Although the existing schemes commonly use the hash function or XOR operation to be suitable for a light-weight mobile, it does not support the security feature such as PBS. To solve this security problem, another protocol utilizing the CGA technology is proposed but it is vulnerable to the DoS attack due to a number of exponent operations. The proposed protocol using a light-weight Diffie-Hellman provides security features and performs a reduced number of exponential operation at the MN than the existing scheme.

효율적이고 안전한 SIP 사용자 인증 및 키 교환

최재덕(Jaeduck Choi),정수환(Souhwan Jung) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.3

본 논문에서는 SIP UA와 서버 사이에서 HTTP Digest 인증과 TLS를 대신하여 효율적이고 안전한 사용자 인증 및 키 교환 기술을 제안한다. 기존에 다양한 SIP 인증 및 키 교환 기술들이 연구되었지만, 이동 단말과 같이 자원활용이 한정적인 SIP UA에서 암호학적 연산량에 대한 부담이 여전히 존재한다. 제안 기술은 HTTP Digest 인증기법의 사전 공격 문제를 해결하고 홉 간 보안을 위하여 Diffie-Hellman 키 교환 알고리즘을 사용하여 보안성을 강화하였다. 또한 자원이 충분하지 않은 SIP UA에서 수행해야 하는 Diffie-Hellman 알고리즘의 지수 모듈러 연산을 SIP 서버에게 위임하는 방법을 사용하여 제안 기법이 기존 기법들보다 암호학적 연산량에 대한 에너지 소모량이 적다. 제안 기술은 SIP 표준 인증 절차를 크게 수정하지 않고 필요한 인증 파라미터만을 추가하여 간단하게 구현할 수 있기 때문에 이미 널리 사용되고 있는 SIP 환경에 쉽게 적용할 수 있다. This paper proposes an efficient and secure user authentication and key agreement scheme instead of the HTTP digest and TLS between the SIP UA and server. Although a number of security schemes for authentication and key exchange in SIP network are proposed, they still suffer from heavy computation overhead on the UA’s side. The proposed scheme uses the HTTP Digest authentication and employs the Diffie-Hellman algorithm to protect user password against dictionary attacks. For a resource-constrained SIP UA, the proposed scheme delegates cryptographically computational operations like an exponentiation operation to the SIP server so that it is more efficient than the existing schemes in terms of energy consumption on the UA. Furthermore, it allows the proposed scheme to be easily applied to the deployed SIP networks since it does not require major modification to the signaling path associated with current SIP standard.

이질적인 무선 네트워크 환경에서 인증 연동을 위한 비 UICC 방식의 EAP-AKA 인증

최재덕(Jaeduck Choi),정수환(Souhwan Jung) 대한전자공학회 2009 電子工學會論文誌-TC (Telecommunications) Vol.46 No.5

This paper proposes the EAP-AKA scheme without UICC for extending its usage to existing WLAN/WiBro devices. To apply the current EAP-AKA scheme, the WLAN/WiBro devices require an external Universal Integrated Circuit Card (UICC) reader. If they don't use UICC due to cost overhead and architectural problem of device, the EAP-AKA scheme loses its own advantages in security and portability aspects. The proposed scheme uses the DH key algorithm and a password for non-UICC devices instead of using the long-term key stored in UICC. The main contribution is to maintain the security and portability of the EAP-AKA while being applied to non-3GPP network devices not equipped with UICC. Furthermore, it does not require major modifications of authentication architecture in 3GPP. 본 논문에서는 3GPP 시스템 중심의 WLAN/WiBro 네트워크 연동 환경에서 UICC를 사용하지 않는 EAP-AKA 인증을 제안한다. UICC 방식의 EAP-AKA 인증을 기존 WLAN/WiBro 단말들에게 적용하기 위해서는 기존 무선 단말들이 UICC를 추가로 장착해야 하기 때문에 비용 부담이 있고, WLAN/WiBro 이동 단말의 구조적인 문제로 UICC를 장착할 수 없을 경우 인증 연동에 어려움이 있다. 만약 이러한 이유로 이동 단말들이 UICC 장착 없이 EAP-AKA를 사용한다면, UICC에 저장되어 있는 128 비트의 long-term 비밀키가 단말에 저장되기 때문에 비밀정보 저장에 있어서 매체 분리 원칙에 위배되어 안전성이 떨어지고, 이동 단말이 바뀔 경우 long-term 비밀키 이동에 대한 불편함이 발생한다. 제안 기법은 Diffie-Hellman 암호 알고리즘과 사용자 패스워드를 사용하여 UICC 기반의 EAP-AKA와 같은 수준의 안전성과 편리한 이동성 및 휴대성을 제공한다. 또한 기존 3GPP 시스템 인증 구조의 큰 수정을 요구하지 않지 않기 때문에 통합 무선 네트워크에 인증 기법으로 적합하다.

스마트그리드 보호를 위한 AMI 망 분리 및 인증 프레임워크

최재덕(Jaeduck Choi),서정택(Jungtaek Seo) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.3

본 논문에서는 스마트그리드 통신망 보호를 위한 AMI망 분리와 인증 프레임워크를 제안한다. 기존 AMI 구조에서는 기기들이 직ㆍ간접적으로 인터넷과 연계되어 있고, AMI 네트워크에 대한 접근제어 인증을 고려하지 않아 악의적인 목적의 전력망 침투 공격에 취약하다. 또한 AMI 전력망에 존재하는 여러 인증 구간과 AMI 연계장치에 다양한 인증 프로토콜을 수용해야 하는 환경을 고려한 효율적인 인증 프레임워크 연구가 이루어지고 있지 않다. 제안하는 AMI 전력망 분리는 스마트미터를 댁내 기기 및 인터넷과 물리적으로 분리하고, 인증 프레임워크는 네트워크 및 응용레벨 인증을 EAP 기반의 인증 구조 및 절차로 통합한다. 제시된 AMI 전력망 보안대책은 안전하고 효율적이며, 향후 스마트그리드 AMI 구축 설계에 유용하게 활용될 것으로 기대된다. This paper proposes methods of securing Smart Grid system against various types of cyber threats by separating AMI networks from the public network, the Internet, and providing an AMI specific authentication framework. Due to the fact that thousands and millions of AMI devices to be deployed would be directly or indirectly connected to the public network without any authentication procedures for access control, currently being developed AMI architectures could be widely exposed to considerable number of penetrating attacks. Furthermore, there have not been a sufficient number of researches on authentication frameworks with basis on the specific circumstances of AMI networking that should support varied authentication protocols among security associations and AMI linking devices. This work makes a proposal of isolating smart meters from HAN devices and the Internet and Integrating network/application level authentication frameworks with an EAP-based authentication architecture. These approaches are beneficial to deploy AMI with security and efficiency.

제주 스마트그리드 실증단지 보안대책 현황

최재덕(Jaeduck Choi),서정택(Jung-Taek Seo),이철원(Cheol-Won Lee) 한국정보보호학회 2010 情報保護學會誌 Vol.20 No.5

지난해 12월 세계 최대·최첨단 스마트그리드 실증단지 조기 구축을 목표로 제주 스마트그리드 실증단지 사업이 시작되었다. 실증단지 사업은 전력재판매, 전기자동차 운행, 무정전 등의 신전력 서비스로 새로운 생활상을 보여주게 될 것으로 기대된다. 그러나 정보통신기술과 융합된 전력망의 사이버 보안위협이 크게 이슈화되면서, 실증단지 사이버 보안대책에 대한 관심이 증대하고 있다. 이에 본 고에서는 실증단지 컨소시엄 추진 현황 및 네트워크 구성을 간략히 살펴보고, 현재 진행되고 있는 보안대책들에 대해서 살펴본다. 실증단지 사업 보안대책은 보안센터 및 보안WG 구성을 통한 총체적인 보안대책 마련 및 지원, 실증단지 보안지침 및 보안가이드라인 제시, 각 운영센터별 보안대책 수립 및 이행 등 다각도로 추진되고 있다.

이기종 FMIPv6 기반의 이동 망에서 이동 노드 주도형 핸드오버 인증 기법

최재덕(Jaeduck Choi),정수환(Souhwan Jung) 한국정보보호학회 2007 정보보호학회논문지 Vol.17 No.2

기존의 이동 네트워크에서는 링크 계층에서 액세스 인증과 네트워크 계층에서 FMIPv6의 핸드오버 인증이 독립적으로 수행되어 AAA 인증 서버의 오버헤드 증가 및 잦은 핸드오버 인증 수행으로 인증 지연을 초래하는 문제점이 있었다. 본 논문에서는 이기종 FMIPv6 기반의 이동 네트워크에서 이동 노드 주도형 통합 핸드오버 인증 프로토콜을 제안한다. 제안기법은 FMIPv6 환경에서 이동 노드가 직접 핸드오버 인증키를 생성하여 인증 서버를 통해 안전하게 NAR로 전송하고, NAR에서는 AP들과 계층적 키 관리 구조를 갖는다. 이동 노드에서 생성한 인증키는 FMIPv6에서 핸드오버 할 때 PAR과 이동 노드 사이에서 FBU 메시지를 안전하게 전송할 수 있고, NAR에서 계층적 키 관리를 통해 이동 노드의 링크 액세스 인증을 수행할 수 있다. 제안 기법은 이동 노드에서 핸드오버 인증키 생성, AAA 서버 기능의 단순화로 AAA 서버의 오버헤드를 줄이고, 잦은 핸드오버 인증 수행 절차를 감소시킴으로써 핸드오버 인증 지연 시간을 감소시킨다. 또한 제안 기법은 PFS, PBS를 제공하고 DoS 공격에 안전하다. The existing handover authentication schemes have authentication delay and overhead of the authentication server since they have been separately studied handover authentication at the link layer and the network layer. This paper proposes a handover authentication scheme initiated by Mobile Node on FMIPv6 based mobile access networks. The main idea of the paper is to generate a session key at the mobile node side, and transfer it to the next Access Router through the authentication server. Also, the scheme has a hierarchical key management at access router. There are two advantages of the scheme. First, the generated session key can be utilized for protecting the binding update messages and also for access authentication. Second, hierarchical key management at the access router reduced the handover delay time. The security aspects on the against PFS, PBS, and DoS attack of proposed scheme are discussed.

사회 안전망 구축을 위한 시간과 위치 정보 기반의 차량 블랙박스 영상물 수집 기법

최재덕(Jaeduck Choi),채강석(Kangsuk Chae),정수환(Souhwan Jung) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.4

본 논문에서는 사회 안전망 서비스 구축의 일환으로 블랙박스 영상물 수집 기법을 제안한다. 기존 사회 감시 시스템으로 사용되는 고정형 CCTV와 차량 블랙박스 영상물 수집 시스템은 녹화되는 모든 영상물들을 중앙 센터에 전송하기 때문에 개인 프라이버시 침해, 네트워크 트래픽량 및 서버의 저장 용량 부담 문제점이 있다. 제안 기법은 주행 및 주차 중 상시 녹화 기능이 있는 블랙박스에서 촬영된 영상을 각종 범죄 수사 및 예방에 활용할 수 있도록 사건·사고 발생 시간 및 GPS 위치 정보에 해당하는 영상물만을 선택 수집한다. 제안기법은 사건·사고 관련 영상물들만 수집하기 때문에 개인 프라이버시 침해 문제, 네트워크 트래픽 과다 발생 및 영상물 저장 용량 부담 문제를 완화한다. 또한 블랙박스 영상물 전송 서비스 구현 및 실험을 통해 제안 서비스가 실현 가능함을 보여준다. 향후 제안 서비스가 사회안전 감시 시스템으로써 종합적인 도시 관제기능을 수행하면서 국민의 안전을 보장하고, 범죄와 사고를 예방하며, 범법행위를 사전에 단속하여 공공시설물과 국민의 재산을 보호할 것으로 기대된다. This paper proposes a scheme to collect video data of the vehicle black box in order to strengthen the public safety. The existing schemes, such as surveillance system with the fixed CCTV and car black box, have privacy issues, network traffic overhead and the storage space problems because all video data are sent to the central server. In this paper, the central server only collects the video data related to the accident or the criminal offense using the GPS information and time in order to investigation of the accident or the criminal offense. The proposed scheme addresses the privacy issues and reduces network traffic overhead and the storage space of the central server since the central server collects the video data only related to the accident and the criminal offense. The implementation and experiment shows that our service is feasible. The proposed service can be used as a component of remote surveillance system to prevent the criminal offense and to investigate the criminal offense.

SIP 기반의 인터넷 폰 보안

최재덕(Jaeduck Choi),박성준(Sungjoon Park),정수환(Souhwan Jung),김영한(Younghan Kim) 한국통신학회 2002 한국통신학회 학술대회논문집 Vol.2002 No.11

VoIP 환경에서 스팸 유형 분석 및 Spamtester 구현

최재식(Jaesic Choi),최재덕(Jaeduck Choi),정수환(Souhwan Jung) 대한전자공학회 2008 電子工學會論文誌-TC (Telecommunications) Vol.45 No.10

본 논문에서는 SIP 기반의 VoIP상에서 스팸 공격의 위협에 대해 분석하고 이와 같은 공격을 확인 할 수 있는 Spamtester를 구현하였다. VoIP에서 스팸 공격은 여러 유형들이 존재하지만 구체적인 공격 과정과 위협 결과를 확인 할 수 있는 정보가 부족하다. 특히 정상적인 경로를 통한 스팸 공격 외에 비정상적인 경로를 통한 스팸 공격은 구체적인 정보가 부족하여 발신자 추적은 물론 법적 제재를 가하기 어렵다. 따라서 VoIP에서 실제로 스팸 공격이 가능한 유형들과 공격 과정을 확인할 필요가 있다. 본 논문에서는 이와 같은 스팸 공격들 중 비정상적인 스팸 공격을 분석하고 공격 과정을 설계하였다. 또한 Spamtester를 통해서 스팸을 발송함으로써 구체적인 스팸 공격 과정을 확인할 수 있다. 이는 VoIP에서 스팸 위협을 확인하고 그 스팸 대응방안을 찾는데 유용할 것이다. In this paper, we analyse the vulnerability of spam attacks and develop the Spamtester to confirm these spam attacks in SIP-based VoIP networks. Although there are several spam attacks on VoIP networks, the detail information for the SPIT is not enough to confirm the procedure and the result of spam attacks on VoIP networks. Specially, the spam attacks through abnormal process are difficult to trace the sender of spam. Also, it is not easy to impose the legal restriction to the spammer because of lack of information for the spam attack. Therefore, on VoIP networks, the possible scenario and detail procedure for VoIP spam is needed to be confirmed. This paper designes and implementes the spamtester, which is helpful to protect VoIP networks from the spam attacks.

MANET 환경에서 공개키 체인을 이용한 신뢰도 측정 모델

정서현(Seohyun Jung),최재덕(Jaeduck Choi),정수환(Souhwan Jung) 한국통신학회 2009 한국통신학회 학술대회논문집 Vol.2009 No.6