A Secure Control Service Mechanism for Home Network Environments

Abstract

Due to the development of IT (Information Technology) and establishment of high speed telecommunication infrastructures, the interest of home network environments is rapidly increasing. A home network conveniently provides information services, entertainment services, control services, education services, and medical services to home users. However, since a home network is always connected to the Internet through a home gateway, digital homes face threats not only from existing Internet criminals, but also from a new class of Internet criminals who target home networks. Therefore, for secure home network environments, it is necessary to develop security mechanisms that provide access controls, authentication, and authorization. In this thesis, we researched into various security protocols that can be used for secure home network environments, and proposed advanced security protocols. We also analyzed recent research results on home network security, and studied on control service mechanisms of home networks which include telemetering, home appliance control, and remote control of home devices. We then designed secure control service mechanisms. We summarize our results as follows: First, we proposed a multi-signcryption scheme which fulfills both the functions of secure encryption and digital multi-signature for multi-users. This multi-signcryption scheme efficiently provides message confidentiality, authenticity, and robustness. It enables that messages such as data, software program or documents can be soundly circulated through the Internet. Second, we proposed a mobile agent protocol based on multi-signature for E-Commerce. This protocol provides the confidentiality of the mobile agent's execution results, the mutual authentication between two communicating agent platforms, the non-repudiation, and the prevention of replay attack. Hence, it can be used as an important base platform for an E-commerce system, because it protects mobile agent code from malicious hosts. Third, we proposed a secure mobile agent protocol using an elliptic curve-based multi-signcryption for AMR systems in home network environments. This protocol provides user authentication, integrity and confidentiality of the telemetering data by using elliptic curve-based multi-signcryption. Moreover, it can collect household's telemetering data without continuous network connections between the AMR server and home gateways, because a mobile agent migrates from host to host and acts autonomously. Fourth, we proposed a new proxy signature scheme with immediate revocation, called mediated proxy signature scheme. This scheme efficiently solves proxy revocation problem and provides the immediate revocation. Therefore, in case that the signer's key is compromised and the delegated rights are abused, this mediated proxy signature scheme can provide the proxy revocation, properly. Fifth, we proposed two security mechanisms that provide the delegated person's authentication and authorization. One is a mediated proxy signature-based authentication and authorization mechanism for outdoor service access at home. The other is a password-based authentication and authorization mechanism for indoor service access at home. The homeowner might want to delegate the authority to execute functions such as reading the meter for billing, and he can also want to permit the access to the home appliances to housekeeper. However, the homeowner wants to restrict the use of some costly services, so, visitors are given only limited access. Our mechanisms enable the homeowner to delegate his authority. Moreover, it can provide the immediate revocation of delegation, whenever the delegated user's key is compromised or the delegated access rights are abused, or the homeowner wants to revoke the delegation earlier than his plan. Finally, we proposed a DoS-resistant one-time-password authentication scheme for home network environments. DoS attack is a serious problem, because malicious attackers can easily flood the limited resource of home devices and the home devices can be always controlled at a remote site. Owing to DoS attack, the home devices cannot be correctly operated or it may crash completely. Therefore, it is necessary to research on the DoS-resistant user authentication scheme, and our scheme can prevent the illegal access to home devices and identify the authorized home users.;최근 IT 기술의 발달과 초고속 인터넷 보급에 힘입어, 홈네트워크 환경에 관한 관심이 높아지고 있다. 홈네트워크 환경은 정보관련 서비스, 원격제어 서비스, 엔터테인먼트 서비스, 의료 서비스 등을 사용자들에게 편리하게 제공하는 미래형 디지털 가정환경을 의미한다. 그러나 홈네트워크는 홈게이트웨이를 통해 인터넷과 항상 연결되어있기 때문에, 현재 인터넷상에서 발생되고 있는 다양한 사이버공격에 그대로 노출되어있을 뿐만 아니라, 홈네트워크 특성상 추가적으로 발생 가능한 보안취약성들도 존재한다. 따라서 안전한 홈네트워크 서비스를 제공하기 위해서는 홈네트워크 구성요소에 대한 접근제어 메커니즘과 이를 위한 사용자 인증 및 인가 메커니즘 등의 모안 메커니즘이 필요하다. 본 논문에서는 홈네트워크 보안 메커니즘을 설계하는데 유용하게 사용될 수 있는 보안 프로토콜들을 연구하였고, 이를 기반으로 하여 원격검침 및 가정 내의 정보기기들에 대한 원격접근제어와 같은 홈오토메이션 기능을 안전하게 제공할 수 있는 제어서비스 메커니즘에 관한 연구를 수행하였다. 본 논문의 연구 결과들을 요약하면 다음과 같다. 첫째, 기밀성 기능과 인증 기능을 제공함으로써 소프트웨어나 기타 여러 문서들이 인터넷상에서 건전하게 배포되고, 송·수신될 수 있도록 하는 데에 유용한 멀티-사인크립션 프로토콜을 제안하였다. 제안한 프로토콜은 메시지 유연성과 순서의 유연성, 메시지 검증성과 순서의 검증성, 메시지 기밀성, 메시지 위조불가능성, 부인방지성, 강건성을 효율적으로 제공함으로써, 기존 연구들의 효율성과 취약점들을 개선하였다. 둘째, 안전한 전자상거래를 위한 다중 서명기법 기반의 이동 에이전트 프로토콜을 제안하였다. 제안하는 프로토콜은 코드 실행결과의 무결성, 에이전트 플랫폼간의 상호인증과 부인방지를 제공하여, 악의적인 호스트의 위협으로부터 이동 에이전트코드를 보호한다. 셋째, 홈네트워크 환경에서의 원격검침정보의 무결성과 기밀성, 검침정보에 대한 사용자인증을 효율적으로 제공하는 타원곡선 멀티-사인크립션 기반의 안전한 이동 에이전트 프로토콜을 제안하였다. 제안하는 프로토콜은 현존하는 시스템들의 보안취약성을 해결하기 위해, 타원곡선 기반의 멀티-사인크립션을 이용함으로써 검침정보의 기밀성과 무결성, 사용자 인증을 효율적으로 제공하게 하였다. 또한, 이동 에이전트를 이용함으로써 관리 센터의 검침서버와 사용자들의 홈게이트웨이 간에 지속적인 네트워크 통신 없이 검침정보를 효율적으로 수집하게 하였다. 넷째, 본 논문에서는 즉각적인 위임취소가 가능한 대리서명 기법을 제안하였다. 제안한 기법은 보안 매개자를 이용하여 서명의 유효기간을 검증할 수 있게 하여, 기존의 대리서명 기법들의 취약성을 효율적으로 개선하였다. 또한 즉각적인 위임취소기능을 제공함으로써, 원서명자가 원하면 언제든지 대리서명자의 서명권한을 취소할 수 있게 하였다. 다섯째, 홈네트워크 환경에서 위임된 사용자를 위한 인증 및 인가 메커니즘을 제안하였다. 가족 구성원별로 제공 받을 수 있는 홈네트워크 서비스의 종류가 다르고, 홈네트워크 구성요소에 대한 제어범위도 다르기 때문에, 가정의 대표자는 가족구성원별로, 홈네트워크 구성요소 중 일부분에 대해서 접근제어 권한을 위임할 필요가 있다. 이러한 경우에, 위임권한을 받은 사용자의 신원을 확인하고, 그 사용자가 허가받은 홈네트워크 자원에 대해서 접근을 할 수 있도록 해주는 위임된 사용자를 위한 인증 및 인가 메커니즘이 필요하다. 본 논문에서 매개자 기반의 대리서명 기법을 이용하여, 가정의 대표자가 지정한 사람에게 권한을 위임하고, 홈서버가 위임된 사용자를 인증하여 허가받은 외부의 홈포털 서비스를 제공해주는 메커니즘을 제안하였다. 또한 위임된 사용자가 댁내 기기들을 제어할 수 있도록 인증 및 인가 서비스를 제공해주는 패스워드 기반의 메커니즘을 제안하였다. 여섯째, 홈네트워크 환경에서 DoS 공격에 대응하는 일회용 패스워드 기반의 사용자 인증 메커니즘을 제안하였다. 가정 내의 가전기기나 정보기기들은 상대적으로 적은양의 메모리, 부족한 계산능력, 짧은 배터리 수명 주기 등을 가지기 때문에, 홈네트워크 환경은 DoS 공격에 쉽게 피해를 당할 수 있다. 공격자가 이러한 공격을 통해 홈네트워크의 인증 시스템을 고장 내고 사용자로 가장한다면, 집안 내의 보안 경보 알림이나 CCTV, 센서 등을 오작동하게 만들어서, 물리적인 침입을 하는 등의 직접적인 피해를 입힐 수 있다. 따라서 이러한 DoS 공격에 대응하면서, 안전하게 사용자를 인증해 줄 수 있는 보안 메커니즘이 필요하다. 본 논문에서는 가전 기기들에 대한 불법적인 접근을 막고, 인가된 홈네트워크 사용자를 인증하기위한 메커니즘을 제안하였다.