Analysis of Security Threats and Countermeasures in Mobile Access Network Using openBSC

Eun Young Kim 고려대학교 정보경영공학전문대학원 2015 국내박사

According to the Ericsson Mobility Report, the world of smartphone users expect to reach 4.5 billion people in 2018 and the scale of mobile traffic increases 12 times in size. In particular, the video traffic is expected to keep spreading the LTE growth of 60% per year. In accordance with the environmental changes of the mobile communication, smartphone and the mobile communication network must ensure the safety of mobile communications users. In this paper, we describe the threats on the three major security. First, we describe the security threats of the femtocell in the mobile communication environment. Private Mobile Communication Systems (MCS) can be established with an open project and small MCS base stations are increasingly deployed in experiment environment. They can support not only voice communication, but also Short Message Services (SMS) and GPRS/EDGE services. If a user has a small base station (BS), then establishing a private real-world MCS becomes a clear option. For a private MCS to function properly, the services of private MCSs based on open projects should be configured similarly to those provided by commercial MCSs. In other words, the service should include voice communication, a Short Message Service (SMS), and a GPRS/EDGE service. Also, the subscriber station (SS), likewise, should be configured to support such services. In this paper, we consider attack scenarios using experimental MCSs with small BSs. We experimentally show the feasibility of attacks resulting in the leakage of private information, attacks on openBSC control, and DNS spooffing at the network level, all without subscriber knowledge. Second, we analysis a Home Location Register(HLR) Lookup service. HLR data is stored in the user profile on the 2G, 3G or 4G mobile communication mobile environment. HLR system is the important components of the core network, and HLR cannot be accessed without authenticated. But we propose a method that how to access HLR or core network from the outside. Third, we analysis the femtocell firmware produced by Huawei. The Huawei's femtocell was deployed in June 2010. We analysis about the femtocell firmware's booting process, we find out the developer mode during the boot process and send the hidden terminal command. As a result, we propose a method that how to get the administrator's security information.

Secure and privacy-preserving solutions for mobile health system : design and application

黃嬋穎 Graduate School of Information Managemet and Secur 2015 국내박사

Mobile healthcare (m-health) is a burgeoning electronic healthcare segment, and is designed to improve the safety and quality of healthcare. The objective of m-health is to provide ubiquitous and high-quality healthcare services, such as remote monitoring, mobile telemedicine, remote disease diagnosis and treatment, and emergency care. Recent advances in mobile devices and communication technologies offer unprecedented opportunities and challenges to develop pervasive mobile healthcare. In mobile health system, the target data are generally sensitive health-related data that directly related to individuals' privacy. For this reason, privacy preserving is of great importance for mobile healthcare. The motivation of this thesis is to develop secure and privacy-preserving solutions for typical mobile healthcare services. Specifically, three privacy solutions are provided: A privacy-preserving solution for remote condition monitoring. Compared to previous works, we propose a monitoring solution that provides enhanced privacy protection for patients, such as unlinkability, anonymous authentication and authorized data access. A secure and practical solution for emergency situation response. Our emergency response solution is efficient and suitable for not only general emergency situation, but also emergency occurred in vehicular/automobile environment. A privacy-preserving solution for personal health record (PHR) data sharing. To meet both patients' full control of their PHR and sufficient privacy preservation, a biometric-based health data collection scheme and an attribute-based PHR accessing scheme are proposed in this solution. Furthermore, comprehensive security analysis are conducted to show the proposed solutions meet fundamental security and strengthened privacy requirements. Simulated experiments are also performed to evaluate and validate the effciency.

Energy-efficient and secure mobile node reauthentication in mobile wireless sensor networks

김보성 Graduate School, Yonsei University 2020 국내박사

Mobile Wireless Sensor Networks (MWSNs) are a new type of Wireless Sensor Network (WSN) in which sink or sensor nodes are mobile. As mobility support becomes essential in various emerging Internet of Things (IoT) applications, the need for MWSNs is also growing. Many of these IoT applications perform mission critical tasks, so authentication and key establishment, the most fundamental parts of network security, are essential. However, the underlying mobility of MWSNs introduces the problem of frequent reauthentication. To efficiently handle the frequent reauthentication, lightweight mobile node reauthentication schemes based on symmetric key cryptography have been proposed. However, they do not provide a secure reauthentication mechanism because they mainly focus on minimizing the security overhead. Most of them also do not consider protecting the privacy of the mobile node. Finally, they only consider the node join situation, and there is an inefficient issue that the entire reauthentication process must be performed again even if the mobile node returns to the previous cluster in a short time. In this dissertation, we propose a group key based secure three party scheme to provide more secure yet lightweight mobile node reauthentication mechanism. Our scheme provides two different reauthentication mechanisms according to the type of node movement. The basic node reauthentication is proposed to provide a secure reauthentication mechanism for the node join situation by addressing the security weaknesses of the previous studies. The basic node reauthentication uses two additional key, Key Derivation Key (KDK) and Authentication Key (AK), to meet the security requirements of MWSNs. The basic node reauthentication prevents unconditional forwarding by having the foreign cluster head directly authenticate the mobile node using AK. The basic node reauthentication also provides high compromise resilience by limiting the use of the KDK and AK for different purposes. The timer based node reauthentication is proposed to provide a simplified reauthentication process for the node rejoin situation. We adopt the concept of timer for this, but propose a new mobile node reauthentication mechanism based on the symmetric key cryptography. When the mobile node returns to the previously joined cluster within the specified time, it performs the timer based node reauthentication which is simpler than the basic node reauthentication. Our scheme reduces energy consumption and reauthentication latency by allowing some reauthentications to perform the timer based node reauthentication. Finally, our scheme ensures the ID anonymity of the mobile node by allowing the mobile node to use the pseudonym instead of its real ID. We adopt the Hashing-based ID Randomization (HIR) method for this, but modify it to support the mobile node. 모바일 센서 네트워크는 베이스 스테이션 또는 센서 노드가 이동성을 가지는 새로운 종류의 무선 센서 네트워크이다. 헬스케어를 비롯한 다양한 새로운 IoT 애플리케이션에서 기기의 이동성 지원을 필수적으로 고려함에 따라 모바일 센서 네트워크의 필요성 또한 증가하고 있다. 이러한 IoT 애플리케이션들 대부분은 미션 크리티컬한 작업을 수행하기 때문에 데이터를 안전하게 수집하고 처리할 수 있어야 한다. 이를 위해서는 네트워크의 보안의 가장 근본적인 요소인 인증과 키 생성이 필수적이다. 그러나 모바일 센서 네트워크의 특징인 이동성은 빈번한 재인증 문제를 야기한다. 이러한 빈번한 재인증 문제를 효율적으로 해결하기 위해, 리소스 제약이 큰 센서 노드에 적합한 대칭 키 암호 알고리즘 기반의 경량 모바일 노드 재인증 메커니즘들이 연구되어 왔다. 그러나 기존 연구들은 보안 요구 사항을 만족시키기보다는 보안 오버 헤드를 최소화하는데 주로 중점을 두고 있어서 보안 취약점이 존재한다. 또한, 대부분의 기존 연구들은 모바일 노드의 프라이버시 보호를 고려하고 있지 않아 공격자가 모바일 노드를 쉽게 추적 할 수 있다. 마지막으로, 기존 연구들은 노드 참가 상황만 고려하고 있어 모바일 노드가 짧은 시간 내에 이전 클러스터로 돌아온 경우에도 전체 재인증 과정을 다시 수행해야하는 비효율적 문제가 존재한다. 이에 본 논문에서는 안전한 경량 재인증 메커니즘을 제공하기 위해 대칭 키 암호 알고리즘 기반의 새로운 모바일 노드 재인증 기법을 제안한다. 제안한 기법은 모바일 노드의 이동 종류에 따라 두 가지 다른 재인증 메커니즘을 제공한다. 먼저 노드 참가 상황에서 안전한 재인증 메커니즘을 제공하기 위해 기존 연구들의 보안 취약점을 해결한 기본 노드 재인증 메커니즘을 제안한다. 이를 위해 Key Derivation Key (KDK)와 Authentication Key (AK) 두 가지 키를 추가적으로 사용하여 새로운 클러스터 헤드가 모바일 노드를 직접 인증할 수 있도록 한다. 또한, KDK와 AK의 용도를 달리 하여 compromise resilience를 강화한다. 노드 재참가 상황에서 간략화 된 재인증 과정을 제공하기 위해 타이머 기반 노드 재인증 메커니즘을 제안한다. 이를 위해 기존 타이머 개념을 사용하였으나, 대칭 키 암호 알고리즘 기반의 새로운 재인증 메커니즘을 제안한다. 제안한 기법은 모바일 노드가 정해진 시간 내에 이전 클러스터로 재참가하는 경우 기본 노드 재인증 대신 타이머 기반 노드 재인증을 수행하도록 함으로써 에너지 소모와 재인증 지연시간을 줄인다. 끝으로 Hashing-based ID Randomization (HIR) 방법을 응용하여 모바일 노드가 가명을 사용하도록 함으로써 모바일 노드의 익명성을 보장하도록 한다.

The Effect of Gamification Elements of Securities Companies' Mobile Services on the User Experience of MZ Generation : Using service design prototype

원창선 성균관대학교 일반대학원 2023 국내박사

Low-interest rates as a result of central bank liquidity provision throughout 2020 and 2021, relative deprivation as a consequence of skyrocketing real estate, and the learning effect of the stock market in the past, as well as changes to the subscription system for initial public offering, have increased the number of people investing in the stock market. This craze was led by the MZ generation, who are proficient in mobile and have an active propensity to invest. Since their teenage years, the MZ generation has been putting their interest in financial technologies and investment and has been converting these interests into action and their active investment propensity is particularly appealing to securities companies. Yet, because they have tendencies to switch between financial institutions based on the benefits of financial products and services, the development of differentiated securities services for the MZ generation is urgently required. On the other hand, securities companies' platform is changing from PC-based HTS (Home Trading System) to mobile-based MTS (Mobile Trading System), and they are also scrambling to launch an intuitive and convenient MTS that reflects design and service suitable for the MZ generation. Nevertheless, they are still at the level of providing simple usability and improvements for functional benefits, making it difficult for them to deviate from the supplier's point of view, in terms of contents. In order to overcome these limitations, a prototype of G-MTS(Gamification MTS) was created in this study, which reflected the characteristics and fun elements of the MZ generation in MTS. The objective is to enhance mobile service usage and satisfaction by presenting gamification elements that influence user investment experience through verification. To that end, a prototype was created using a Service Design methodology that employs a user-centered research method to improve the service experience for users while also providing efficient services to suppliers. The MZ generation was divided into the Older millennial generation, the Younger millennial generation, and the Z generation for prototype verification. In-depth interviews were used for qualitative analysis, and process mining was used for quantitative analysis. Through this analysis, the fun elements of 'Social Interaction', 'Reward', and 'Altruism', as well as the game mechanisms of 'Social Engagement Loop,' 'Virtual Goods,' and 'Gifts and Charity,' were discovered to be the main gamification elements influencing the user experience when the MZ generation uses securities company's mobile service. This implies that, when compared to other generations, the MZ generation uses social media more frequently and is familiar with gathering and sharing information through social media. It was discovered that the element of making investments and interacting with others while investing is important. As well as the reward element was discovered to be crucial since it serves as a motivator for subsequent activities. Furthermore, despite being unrelated to investment, it was discovered that the MZ generation, which values fair value and good influence and believes that they have the power to change the world, highly regards altruism, the principle of love and devotion to others. In addition to these study results, it is hoped that the research procedure model of G-MTS (Gamification MTS) will be used to establish and develop a customized strategy for securities companies' mobile services for the MZ generation. 2020과 2021년에 걸쳐서 중앙은행의 유동성 공급으로 인한 저금리, 부동산 폭등으로 인한 상대적 박탈감, 과거 주식시장의 학습효과, 공모주 청약제도의 변경 등의 이유로 개인주식투자 인구가 급증했으며, 특히 모바일에 능숙하고, 적극적인 투자성향을 가지고 있는 MZ세대가 이러한 열풍을 주도했다. 10대부터 재테크와 투자에 관심을 가지고 실제 행동에 옯기는 MZ세대의 적극적인 투자성향은 증권사 입장에서 보면 매우 매력적이지만 금융상품 및 서비스 등의 혜택에 따라 여러 금융사를 옮겨 다니는 성향을 가지고 있어 MZ세대를 위한 차별화된 증권 서비스 개발이 절실하게 요구되고 있다. 한편 증권사의 플랫폼은 PC기반의 HTS(Home Trading System)에서 모바일 기반의 MTS(Mobile Trading System)으로 변화하고 있으며, 증권사들도 MZ세대의 눈높이에 맞는 디자인과 서비스를 반영한 직관적이고 편리한 MTS를 앞 다퉈서 출시하고 있지만 단순한 사용성 개선이나 기능편익을 제공하는 수준으로, 콘텐츠 측면에서는 여전히 공급자 관점에서 벗어나지 못하고 있는 실정이다. 따라서 본 연구에서는 이러한 한계를 극복하기 위해서 MZ세대의 특성과 재미 요소를 MTS에 반영한 G-MTS(Gamification MTS)의 프로토타입을 작성하고, 검증을 통해서 사용자 투자경험에 영향을 미치는 게이미피케이션 요소를 제시함으로서 MZ세대의 지속적인 모바일 서비스 사용과 서비스 만족도를 제고하고자 한다. 이를 위해 사용자에게는 서비스 경험을 향상시키고, 공급자에게는 효율적인 서비스를 제공하는 서비스 디자인 방법론을 활용하여 프로토타입을 작성하였으며, MZ세대를 전기 밀레니얼세대, 후기 밀레니얼 세대, Z세대로 구분하여 정성적, 정량적 분석을 통해 비교분석하였다. 이러한 분석을 통해서 MZ세대가 증권사 모바일 서비스를 사용함에 있어, 사용자 경험에 영향을 미치는 주요 게이미피케이션 요소는 ‘사회적 상호작용’, ‘보상’, ‘애타심’의 재미 요소와 ‘소셜몰입루프’, ‘가상재화’, ‘선물과 자선’의 게임메커니즘 요소임을 알 수 있었다. 이는 MZ세대가 타 세대 대비 소셜 미디어 활용률이 높고, 소셜 미디어를 통해 정보의 수집과 정보의 공유에 익숙한 세대로 투자에 있어서도 다른 사람들과 관계를 맺고 상호작용할 수 요소가 중요하며, 다른 활동의 동기 부여 역할을 하는 보상 요소도 중요함을 알 수 있었다. 또한 공정 가치와 선한 영향력을 중요시하고, 세상을 바꾸는 영향력이 있다고 믿는 MZ세대는 투자와는 직접적으로 관련은 없지만 남을 사랑하고 소중히 여기는 마음인 애타심 요소가 중요함을 알 수 있었다. 이러한 연구결과와 더불어 G-MTS(Gamification MTS)의 연구절차모형이 MZ세대를 위한 증권사 모바일 서비스의 맞춤형 전략 수립과 개발에 활용되기를 기대한다.

Secure protocols for mobile RFID system

김일중 Graduate School of Information Management and Secu 2010 국내석사

Radio Frequency Identification (RFID) system is used various fields which are automatic identification and supply chain management. RFID system stores information of tagged objects and gathers information of a tag using RF signals without direct contact. The researchers introduce a mobile RFID system, which is integrated the mobile system with a RFID technique and provides new services to users. However, feature for obtaining information of objects using RF signals causes personal privacy problem such as information leakage and traceability. Since a tag of EPCglobal Class-1 Gen-2 (C1 G2) which is an international standard of RFID system responds a fixed tag ID without hiding or modifying. A main goal of our work is to propose a privacy protection protocol suitable to mobile RFID systems. Our protocol is secure against threats such as impersonation, information leakage, and traceability in EPCglobal Class-1 Gen-2.

ECC 알고리즘을 이용한 Mobile 3-D Secure 프로토콜의 개선방안에 관한 연구

김형권 仁川大學校 情報通信大學院 2002 국내석사

세계의 정보기술(IT) 산업은 이제 e-Commerce의 시대를 넘어, m-Commerce 시대로의 전환에 총력을 기울이고 있다. 무선 인터넷은 유선 인터넷 비즈니스 모델에 비하여, 비용, 보안, 연결속도 측면에서 아직 부족한 부분이 많이 있지만, 새로운 사업 모델을 찾고 있는 이동 통신 업체들의 적극적인 기술투자와 마케팅, 그리고 양질의 컨텐츠를 요구하는 소비자들의 욕구가 부합되면서, m-Commerce의 기술혁명이 또 한번의 인터넷 혁명으로 확산될 것이 확실시되고 있다. [27] 무선 인터넷은 WAP, SSL, WPKI, WTLS, IPv6, XML, SMS, USIM, WIM, 스마트카드 등, 현존하는 인터넷 기반의 모든 핵심 기술이 총 집합된 분야로서, 특정 업체 및 단체가 단독으로 모든 운영 기술을 보유할 수는 없는 관계로, 핵심기술을 갖고 있는 분야별로 기술 제휴가 빠르게 진행되고 있다. 대표적인 예로, 국내 이동 통신 업체인 SK텔레콤과, KTF, LG텔레콤은 Mobile 쇼핑, Mobile 뱅킹, Mobile 증권 등, 양질의 Mobile 컨텐츠를 제공하기 위하여, 비자(VISA) 및 마스터 카드와 서비스 및 기술에 관한 제휴를 맺는 등, 향후, 엄청난 성장 잠재력을 갖고 있는 Mobile 인터넷 시장을 선점하기 위하여, 발 빠른 움직임을 보이고 있다. 국내 이동 통신 회사간의 치열한 기술개발 및 대규모 투자는 세계 최고의 Mobile 인터넷 서비스 제공을 가능하게 했지만, 그에 따른 부작용도 심각한 양상을 보이고 있다. 시장 선점을 위한, 과다 경쟁으로 인하여, Mobile 인터넷 관련 서비스 제공이, 컨텐츠 구현에 따른 안전한 보안구조 제공과, 철저한 검증기반을 마련하는 것보다 우선 시 되고 있으며, 첨단 기술에 대한 표준안이 없는 상황에서, Mobile 인터넷 기술의 중복투자 및 호환성 없는 기술을 경쟁적으로 자사 제품에 적용하는 문제점들이 발생을 하고 있다. [44, 45, 46] 본 논문에서는 세계 카드시장의 60% 이상을 차지하고 있는 비자(VISA)가 국내외 지불 결재 시장에 적극적으로 마케팅을 펼치고 있는 3-D Secure 및 Mobile 3-D Secure를 중심으로, 개선된 인터넷 지불 결재 프로토콜을 제안하였다. This paper is designed to provide a analysis of the new generation of authentication standards - Visa 3-D Secure (VbV). Electronic commerce of existent wire internet base is changing rapidly by wireless electronic commerce by development of wireless communication technology and growth of supplying mobile phone. I love you hea_kyoung. But, Consumers do not have confidence on sending their credit details over the Wireless Internet. Most people are concerned that their credit card details will be intercepted on the way to the merchant or Payment Server. The security technology that secure authentication between commercial transaction party is very important. Authentication is the verification of a credit card owner made during a card purchase. Credit cards were originally designed for transactions made in the physical world. In today's environment, an online buyer simply types the credit card details int a website or mobile phone in order to make a payment. This has introduced a major problem as anyone can type in anyone else's credit card details in order to make a purchase and the online merchant has no way of determining if the buyer is genuine. So, we adopted J2ME based mobile 3-D Secure Protocol and ECC algorithm system that take advantage of this module to keep away personal information leakage that happen in gateway system and to make function improvement or addition of security module convenient.

Data-Driven Assistance for User Decision Making on Mobile Devices

Liu, Susan Xueqing ProQuest Dissertations & Theses University of Illi 2019 해외박사(DDOD)

소속기관이 구독 중이 아닌 경우 오후 4시부터 익일 오전 9시까지 원문보기가 가능합니다.

Mobile devices are ubiquitous. As of 2019, two-thirds of the world population own a mobile phone. Mobile devices are indispensable for supporting billions of users' information access activities such as searching, browsing news, and shopping. Among those activities, users may often need to make decisions when the mobile device is the only available channel for their information access. However, users' mobile decision-making experience is hindered by the physical characteristics of mobile devices: they are small and it is difficult to type on these devices. Furthermore, both editing and navigation would be harder than that on computers. These characteristics result in more difficulties for users to search, digest and compare information, which are the necessary steps in the process of decision making. Can we make it very easy for users to make decisions on mobile devices? In this dissertation, for the first time, we investigate the techniques for improving users' mobile decision making experience as a whole. We identify that the key to assisting user decision making is through suggesting external knowledge to bridge their knowledge gap. To this end, we propose to learn or mine such external knowledge from massive mobile-related data. We investigate three important real-world decision-making problems on mobile devices: mobile shopping decisions (Chapter 2), security decisions (Chapter 2 and Chapter 4), and business decisions (Chapter 5). We bridge users' knowledge gap in the following ways. In the first problem, we leverage a search-engine log to expand the missing information in user queries (Chapter 2); in the second problem, we leverage the Google Playstore meta-data to retrieve explanatory information to directly address users' confusion (Chapter 3 and Chapter 4), finally, in the third problem, we leverage text-to-SQL data to generate SQL from a natural language question, so that users can easily query the database using natural language (Chapter 5). Our experimental results prove that massive mobile-related data can be leveraged to effectively assist users' mobile decision making by suggesting external knowledge.

Dynamic Security Enhancement Based on Bytecode Rewriting Technique on Android Environment

이성훈 과학기술연합대학원대학교 2020 국내박사

안드로이드는 오픈소스의 장점으로 인해 폭발적으로 성장했으며, 안드로이드 앱은 여러 분야에서 우리의 삶에 편의성을 제공해주고 있다. 이로 인해 기업에서는 모바일 오피스, BYOD 정책 등을 도입하여 개인의 스마트기기를 업무에 활용하여 업무 효율성을 향상시키고 있다. 하지만, 개인의 스마트폰에 기업의 중요 데이터 등이 저장되어 보안 위협이 제기되고 있다. 이에 대한 보안 방안으로 EMM 솔루션이 제공되고 있다. EMM은 모바일 보안에 필요한 기기, 콘텐츠, 어플리케이션 등을 종합적으로 관리하는 솔루션이다. 이러한 EMM을 통해 기업의 보안 정책을 적용하기 위한 기반 기술로, 컨테이너와 앱래핑이 있다. 앱래핑은 바이트코드 리리이팅 기술을 어플리케이션에 적용한 것으로, 컨테이너에 비해 앱 수준의 보안 강화 측면에서 확장성, 사용 편의성을 제공함에 따라 장점이 있다. 하지만 앱래핑 기술을 이용하여 보안 기능이 필요한 앱에 보안 기능을 추가 및 관리하는 것은 기존 코드와의 충돌 등의 문제로 인하여 난제로 알려져 있다. 또한, 현재의 EMM 솔루션은 보안 정책에 따른 보안 기능 관리 및 유지 측면에서의 비효율성, 역할 기반 접근 제어 한계, 커스터마이징 어려움, 최신 보안 기술 적용의 어려움 등 한계가 있다. 본 논문에서는 앱래핑 기술을 이용하여 안드로이드 앱의 보안 기능을 강화하는 방법을 제안한다. 또한, 제안 기법을 통해 실제 필드에서 앱의 보안을 강화할 수 있는 시나리오를 제시한다. 제안 기법은 보안 기능을 제공하는 안드로이드 앱의 기능을 앱의 원본소스 코드 없이 보안 기능이 필요한 앱에 추가하는 것이 가능하다. 또한 자바 리플렉션 기법을 이용하여 동적으로 정책을 적용하여 최초 보안 기능 적용 이후에, 리패키징 과정 없이 간단하게 보안 정책 변경만으로도 정책 적용이 가능하다. 보안 기능을 제공하는 앱은 지문 인식 기반 FIDO 인증 및 키스트로크 다이나믹스 사용자 인증, 그리고 화면 캡쳐 방지 기능 등 다양한 보안 기능을 제공할 수 있으며, 보안 기능 호출 코드를 통해 원격에서 호출된다. 제안 기법은 앱래핑 기술을 모듈러 방식으로 적용하여 현재의 EMM 솔루션의 한계를 극복하며, 다음과 같은 장점이 있다. 다양한 보안 기능 중에서 앱에 필요한 보안 기능을 선택적으로 적용하는 것이 가능하고, 최신 기술을 효율적으로 적용 가능하다. 또한 EMM 솔루션 앱 외에도 다양한 보안 앱의 보안 기능들도 정책에 맞춰서 적시에 적용 가능하다. 제안 기법의 성능 평가를 위해 구글 플레이 마켓에서 100개의 상용앱을 대상으로 처리 시간, 파일 사이즈 변화, 실행 시간, 커버리지에 대한 실험을 하였다. 실험을 통해, 사용자 편의성을 제공함에 동시에 효율성, 안정성에 향상이 있음을 보였다. The Android platform has grown significantly owing to the advantages of open-source software, and Android apps are making the lives of users more convenient in many fields. For this reason, companies are adopting mobile offices and BYOD policies to improve their work efficiency by using personal smart devices. However, security threats have increased as important data of companies are stored in personal smart devices. To solve these threats, EMM solutions are being provided as a security measure. An EMM is a solution that comprehensively provides device, content, and application management necessary for mobile security. The core technologies of EMM are containers and appwrapping. Appwrapping is also called bytecode rewriting technology, and it has advantages as it provides scalability and ease of use in terms of strengthening security at the application level compared to containers. However, adding and managing security functions to applications that require security functions using appwrapping technology is known to be a challenge due to problems such as conflicts with existing codes. In addition, the current EMM solution has limitations such as inefficiency in terms of managing and maintaining security functions according to security policies, difficulty in controlling role-based access, customizing, and applying the latest security technologies. In this thesis, we propose an AppWrapper toolkit that enhances the security of Android apps using bytecode rewriting technology. The proposed technique is possible to add security functions to apps without the original Android source code. Also, it can apply the security policy dynamically without the repackaging process using the Java reflection technique. In addition, several scenarios are presented on how the proposed technique can be applied in real fields. The proposed technique overcomes the limitations of the current EMM solution by selectively applying the security function in a modular approach. To evaluate the performance of the proposed technique, we conducted experiments on the processing time, change in file size, execution time, and coverage of 100 commercial apps on the Google Play Market. It was shown experimentally that improvements in efficiency and stability are achieved while providing greater user convenience.

A Multi-Level based Security Framework for Android Platform

오지수 성균관대학교 일반대학원 2015 국내석사

The recent information and communication technology is progressing towards interconnection of all networked objects, and this trend makes smartphones be a global interface between user and Internet of Things. Smartphones are getting closer to our private life, and concurrently smartphone users are increasingly intimidated with security threats. Especially, the Android OS is the most popular target of attackers among other smartphone platforms. Although the Android provides permission based security model, there are still several vulnerabilities which may bring about invasion of smartphone user’s privacy. Intent-based attack and privilege escalation attack are main types of vulnerabilities of Android platform. Attackers exploit these vulnerabilities to gain sensitive information or unauthorized access. In this thesis, we propose multi-level security model for enhancing Android security. Our security framework assigns security level to application at installation and performs runtime regulation using the security levels. We add Level Manager which is responsible for managing security level into the application framework of Android to implement our framework. Then, we evaluate the security and performance of the framework and finally present future works.

모바일 핀테크 서비스에서 이용 가능한 인증 수단의 사용성, 안전성 분석 연구

김경훈 연세대학교 정보대학원 2017 국내석사

금융 서비스 이용자들은 모바일 기기에 대한 의존도가 높아지고 있고, 2014년 전자결제 시 ‘공인인증서 등’의 의무사용 규정 폐지에 따라 서비스 제공자들은 다양한 인증 수단을 제공하고 있다. 기존 연구에서는 모바일 기반 인증 수단의 다양성을 반영하고 있지 못하는 한계점을 가지고 있고, 통일된 환경에서 인증 수단의 사용성 및 안전성 연구를 진행하지 못한 한계점을 가지고 있다. 본 연구에서는 기존 연구에서 더 나아가 다양한 인증 수단을 실험 대상으로 삼아 다양성을 확보하였고, 통일된 모바일 환경에서 인증 수단의 사용성 및 안전성 평가를 진행한다. 실험 단계에서 사용성 평가와 안전성 평가를 구분하여 진행한다. 인증 수단의 사용성 평가를 위해 30명 실험자 모집을 통해 SUS 기반 사용성 평가를 통해 양적 데이터를 분석하고, 더불어 인터뷰를 질적 데이터를 분석한다. 안전성 평가는 총 3명의 연구원 참여를 통해 인증 프로세스에서 발생할 수 있는 취약점 요소를 파악하여 금융감독원, NIST 안전성 평가 지표를 이용하여 실험을 진행한다. 본 연구 결과, 사용성 기준에서는 지문 인식 기반 인증 수단이 가장 높은 사용성 등급으로 판정되었고, 공인인증서 기반 인증 수단이 가장 낮은 사용성 등급으로 판정되었다. 안전성 평가 결과 생체정보 기반 인증 수단과 공인인증서 기반 인증 수단이 가장 높은 안전성 등급으로 판정되었다. 이와 반대로 PIN 인증, 텍스트 패스워드 기반 인증 수단이 가장 낮은 안전성 등급으로 판정되었다. 종합적으로 사용자들은 지문 인식 기반 인증과 공인 인증서 인증을 선호하고 있다. 사용성 중심에서 사용자들은 지문 인증 수단에 대해 가장 선호하고 있지만, ARS 기반 인증 수단에 대해 가장 선호하지 않는 경향을 보이고 있다. 안전성 중심에서 사용자들은 지문 인증 수단과 공인 인증서 인증을 가장 선호하고 있었으며, PIN 번호 인증, 스마트 간편 인증에 대해 선호하고 있지 않다. 본 연구의 인증 수단에 대한 안전성 평가를 진행함에 있어서 금융감독원, NIST 기반 인증 평가 기준 모두 세분화되지 않고, 애매한 기준이 존재하고 있음을 알 수 있다. 금융 당국에서 서비스 제공자들이 정확한 안전성 평가 기준을 가질 수 있기 위하여 명확하고 상세한 평가 기준을 제시해야 함을 주장한다. 연구 결과를 이용하여 서비스 제공자들에게 제공할 수 있는 실무적 의의가 있으며, 안전성 평가 기준 확립의 필요성을 제시할 수 있다. Financial service users are increasingly reliant on mobile devices. In 2014, in the case of electronic payment, the obligation to use the certificate-based authentication was abolished. So, fin-tech service providers offer a variety of authentication methods. In previous studies have limitations that do not reflect the diversity of mobile-based authentication methods. Also previous researches in the usability and security study of the authentication methods, there are limitations in the unified environment. In this study, in addition to the existing researches, diversity was secured by using various authentication methods. Furthermore evaluating the usability and security of the authentication methods in a unified mobile environment. In the experimental stage, usability evaluation and security evaluation are separated. In order to evaluate the usability of the authentication methods, we analyze the quantitative data through SUS based usability evaluation through the recruitment of 30 experts, and analyze the qualitative data with the interview name as Think-aloud. Through the participation of three researchers in the security evaluation, the vulnerability elements that can occur in the authentication process are identified and the experiment is conducted using the security evaluation index. The results of this study, usability standards in fingerprint-based authentication method has been determined as the highest usability was checked by grade. On the other hand certificate-based authentication method was checked lowest usability rating. As the result of the security evaluation, biometric information based authentication method and certificate-based authentication method were judged as the highest security level. Conversely, PIN authentication and text password based authentication methods were judged to be the lowest security class. Overall, users prefer fingerprint-based authentication and certificate-based authentication. In the usability side, users are most preferred for fingerprint authentication, but they tend to be least preferred for ARS-based authentication. In terms of security, users prefer fingerprint authentication method and certificate-based authentication, and do not prefer PIN number authentication or smart simple authentication. In conducting the security evaluation of the authentication methods of this study, it can be seen that the authentication evaluation criteria are not all subdivided but the ambiguous standards exist. We insist that The Financial Authority argues that service providers should provide clear and detailed evaluation criteria in order to have accurate security assessment criteria. In addition, there is a practical significance that can be provided to service providers using the results of the research, and it can suggest the necessity of establishment of the security evaluation standard.