D-OCSP-KIS에서 OCSP Responder의 세션 개인키의 노출을 검출하는 방법

이영교(Younggyo Lee),남정현(Junghyun Nam),김지연(Jeeyeon Kim),김승주(Seungjoo Kim),원동호(Dongho Won) 한국정보보호학회 2005 정보보호학회논문지 Vol.15 No.4

Koga와 Sakurai에 의해 제안된 D-OCSP-KIS는 OCSP Responder의 인증서 수를 줄여줄 뿐만 아니라 클라이언트에게 OCSP Responder의 인증서 상태 검증도 제공하여 주며 통신량, 계산량 그리고 클라이언트의 메모리량을 줄일 수 있는 효율적인 방법이지만 몇 가지 문제점도 가지고 있다. 공격자가 한 시간 주기(예, 1일)에서 OCSP Responder의 세션 개인키를 획득하였다면 OCSP Responder가 인식하지 못하는 경우, 한 시간주기 동안에 OCSP Responder를 사칭할 수 있다. 그리고 그는 가로챈 해쉬값을 이용하여 클라이언트에게 잘못된 응답을 보낼 수 있어 E-commerce상의 서버와 사용자는 심각한 혼란과 손해를 입을 수 있다. 아울러 해쉬 체인의 계산과 배포는 CA에게 부하가 될 수 있다. 따라서 본 논문에서는 D-OCSP-KIS에서 OCSP Responder의 세션 개인키의 노출과 해쉬값의 악용을 검출할 수 있는 방법을 제안하고자 한다. 이 방법에서 각 해쉬값은 OCSP Responder의 인증서 검증을 위해 한번씩만 사용이 되며 CA에서의 해쉬체인을 위한 부하가 각 OCSP Responder로 분산되어진다. D-OCSP-KIS proposed by Koga and Sakurai not only reduces the number of OCSP Responder's certificate but also offers the certificate status validation about OCSP Responder to the client. Therefore, D-OCSP-KIS is an effective method that can reduce the communication cost, computational time and storage consumption in client, but it has some problems. In case an attacker accidentally acquires an OCSP Responder's session private key in a time period (e.g., one day), she can disguise as the OCSP Responder in the time period unless the OCSP Responder recognizes. She can offer the wrong response to the client using the hash value intercepted. And the server and user on E-commerce can have a serious confusion and damage. And the computation and releasing of hash chain can be a load to CA. Thus, we propose a method detecting immediately the exposure of an OCSP Responder's session private key and the abuse of hash value in D-OCSP-KIS.

스마트폰을 이용한 잔돈 관리 시스템

이영교(YoungGyo Lee),배상범(SangBum Bae),노제욱(JeUk Noh),김현규(HyunGyu Kim),손민주(MinJu Son) 한국컴퓨터정보학회 2013 한국컴퓨터정보학회 학술발표논문집 Vol.21 No.2

본 논문에서는 스마트폰을 이용한 잔돈 관리 시스템에 대해 제안한다. 현재 동전의 실거래양도 적을뿐더러 사람들의 경우에는 동전이 생겼을 경우 동전을 주머니에 넣고 다니는 불편을 겪고 있다. 이에 스마트폰을 이용하여 잔돈을 직접 받는 것이 아니라 이를 어플을 통해 마일리지 형태로 적립하여 추후에 자신의 계좌로 저금한 금액을 출금할 수 있으며 저금한 금액의 일부를 자동 기부함으로 아름다운 사회 만들기의 일환에 도움이 된다. 이는 동전휴대의 불편함을 개선 가능하고 함부로 사용가능한 동전사용을 막아 저축의 기능도 있으며 동전이 유통되지 않아 계속 더 큰 돈을 들여 만드는 한국은행의 돈을 줄일 수 있을 것으로 예상된다.

MD 공정 적용을 위한 소수성 MD 막의 특성에 관한 연구

서영교 ( Younggyo Seo ),최준석 ( June Seok Choi ),이창규 ( Chang-kyu Lee ),박광덕 ( Kwangduck Park ),손호경 ( Ho Kyong Shon ) 한국물환경학회(구 한국수질보전학회) 2016 한국물환경학회·대한상하수도학회 공동 춘계학술발표회 Vol.2016 No.-

호소정화 공정용 HCS 시스템 개발 및 평가

서영교 ( Younggyo Seo ),김보라 ( Bora Kim ),이수영 ( Suyoung Lee ),황유훈 ( Yuhoon Hwang ) 한국물환경학회 2017 한국물환경학회·대한상하수도학회 공동 춘계학술발표회 Vol.2017 No.-

신분증 분실에 따른 피해 및 대응책에 관한 연구

이영교,안정희,Lee, Younggyo,Ahn, Jeonghee 디지털산업정보학회 2017 디지털산업정보학회논문지 Vol.13 No.3

Korean Identification card or driver license is usually used to verify one's identity in Korea. These are also used as an adult certification. Since the form of these ID card is an analog and it needs to be checked with naked eyes, it might be used maliciously. Someone who's got someone else's ID card can do other things. Therefore, it must be reported rapidly when ID card is lost or stolen. The most serious problem might be occurred when they do not recognize and report the loss. They might suffer from pecuniary or mental damage such as opening a mobile phone service, providing loan or credit card, opening a personal checking account, etc. Thus, this study suggests and compares the ways of avoiding these problems. First, the most effective way is to send the authorization code via mobile phones in consideration of build-up period and cost. The person in charge of business processing department using ID card sends the authorization code via registered mobile phone. The owners submits it to the person and their identifications are confirmed. Next effective way is that the person in charge of business processing department using ID card sends text messages via registered mobile phone. Lastly, the most ineffective way is to introduce and implement the electronic ID card ultimately even though it is expensive and takes a long time to build up the system.

아이핀 대량 부정발급 사고에 대한 개선방법 연구

이영교,안정희,Lee, Younggyo,Ahn, Jeonghee 디지털산업정보학회 2015 디지털산업정보학회논문지 Vol.11 No.2

The almost of Web page has been gathered the personal information(Korean resident registration number, name, cell-phone number, home telephone number, E-mail address, home address, etc.) using the membership and log-in. The all most user of Web page are concerned for gathering of the personal information. I-pin is the alternative means of resident registration number and has been used during the last ten-year period in the internet. The accident of I-pin mass illegal issue was happened by hacker at February, 2015. In this paper, we analysis the problems of I-pin system about I-pin mass illegal issue accident and propose a improvement method of it. First, I-pin issue must be processed by the off-line of face certification in spite of user's inconvenience. Second, I-pin use must be made up through second certification of password or OTP. The third, the notification of I-pin use must be sent to the user by the text messaging service of cell-phone or the E-mail. The forth, I-pin must be used an alternative means of Korean resident registration number in Internet. The methods can reduce the problems of I-pin system.

주민등록번호 변경 방법에 대한 연구

이영교,안정희,Lee, Younggyo,Ahn, Jeonghee 디지털산업정보학회 2016 디지털산업정보학회논문지 Vol.12 No.3

The Korean resident registration number has been used since 1962 as a personal identification number. The Korean government assigns this number to each korean citizen and it is not able to be changed. In 2000s, as the Internet was rapidly spreaded out, personal information such as the Korean resident registration number, name, home address, and phone number was leaked. The companies provide diverse internet service while collecting personal information. However, personal information was sometimes leaked because of hacking, poor information management and so on. As s results, some of citizens asked government and court of Korea to change the Korean resident registration number because they suffered material damage and emotional distress. The constitutional court decided to be able to change the number from 2018. In this study, the Korean resident registration number which is possible to change, serial number, public certificate, I-PIN, and My-PIN were analyzed comparatively. In addition, considerations when the Korean resident registration number was changed were discussed. The public certificate and I-PIN were appropriate to the case of on-line Korean resident registration number. The Korean resident registration number, serial number, My-PIN were appropriate to the case of off-line Korean resident registration number. Lastly, it would be efficient to manage the Korean resident registration number separately such as on-line and off-line.

Cryptanalysis of Bresson-Chevassut-Essiari-Pointcheval's Key Agreement Scheme for Low-Power Mobile Devices

남정현(Junghyun Nam),이영교(Younggyo Lee),김승주(Seungjoo Kim),원동호(Dongho Won) 한국정보보호학회 2005 정보보호학회논문지 Vol.14 No.1

Bresson 등은 최근에 발표한 논문에서 무선 네트워크 환경에 적합한 그룹 키 동의 방식을 제안하였고 이의 안전성을 증명하였다. 하지만 본 논문에서는 Bresson 등이 제안한 그룹 키 동의 방식이 여려가지 공격에 취약함을 보임으로써 안전성 증명에 오류가 있음을 입증한다. Bresson et al. have recently proposed an efficient group key agreement scheme well suited for a wireless network environment. Although it is claimed that the proposed scheme is provably secure under certain intractability assumptions, we show in this paper that this claim is unfounded, breaking the allegedly secure scheme in various ways.

정보시스템에 대한 보안위험분석을 위한 모델링 기법 연구

김인중,이영교,정윤정,원동호,Kim Injung,Lee Younggyo,Chung Yoonjung,Won Dongho 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.7

최근 대부분의 정보시스템은 대규모 및 광역화되고 있으며 이에 따른 사이버 침해사고와 해킹의 위험성이 증대되고 있다. 이를 해결하기 위하여 정보보호 기술중에서 보안위험분석 분야의 연구가 활발하게 이루어지고 있다. 하지만 다양한 자산과 복잡한 네트워크의 구조로 인하여 위험도를 현실에 맞게 산정한다는 것이 사실상 불가능하다. 특히, 취약성과 위협의 증가는 시간에 따라 계속 증가하며 이에 대응하는 보호대책은 일정 시간이 흐른 뒤 이루어지므로 제시된 결과가 효과적인 위험분석의 결과로 볼 수 없다. 따라서. 정보시스템에 대한 모델링 기법을 통하여 정보시스템의 구조를 단순화하고 사이버 침해의 방향성을 도식화함으로써 위험분석 및 피해 파급 영향 분석을 보호대책 수립의 허용 시간 내에서 이루어질 수 있도록 해야 한다 이에 따라, 본 논문에서는 보안 위험을 분석할 수 있도록 SPICE와 Petri-Net을 이용한 정보시스템의 모델링 기법을 제안하고, 이 모델링을 기반으로 사례연구를 통하여 위험분석 시뮬레이션을 수행하고자 한다. Information systems are today becoming larger and mostly broadband-networked. This exposes them at a higher risk of intrusions and hacking than ever before. Of the technologies developed to meet information system security needs, risk analysis is currently one of the most actively researched areas. Meanwhile, due to the extreme diversity of assets and complexity of network structure, there is a limit to the level of accuracy which can be achieved by an analysis tool in the assessment of risk run by an information system. Also, the results of a risk assessment are most oftennot up-to-date due to the changing nature of security threats. By the time an evaluation and associated set of solutions are ready, the nature and level of vulnerabilities and threats have evolved and increased, making them obsolete. Accordingly, what is needed is a risk analysis tool capable of assessing threats and propagation of damage, at the same time as security solutions are being identified. To do that, the information system must be simplified, and intrusion data must be diagrammed using a modeling technique this paper, we propose a modeling technique information systems to enable security risk analysis, using SPICE and Petri-net, and conduct simulations of risk analysis on a number of case studies.