$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

위협 모델링을 통한 스마트밴드 보안 요구사항 분석
Trustworthy Smart Band: Security Requirements Analysis with Threat Modeling 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.6, 2018년, pp.1355 - 1369  

강수인 (고려대학교 정보보호대학원) ,  김혜민 (고려대학교 정보보호대학원) ,  김휘강 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

스마트밴드가 삶을 보다 편리하게 만들고 긍정적인 생활 습관을 들일 수 있도록 도와주게 되면서 많은 사람들이 현재 스마트밴드를 사용하고 있다. 또한, 스마트밴드는 사용자의 개인 정보를 다루기 때문에 스마트밴드 시스템에 대한 안전한 보안 설계 및 구현이 필요하게 되었다. 신뢰할 수 있는 스마트밴드를 만들기 위해서는 먼저 시스템의 보안 요구사항을 도출한 다음 이를 충족하도록 시스템을 설계해야 한다. 본 논문에서는 Data Flow Diagram, STRIDE, Attack Tree와 같은 위협 모델링 기술을 스마트밴드 시스템에 적용하여 위협을 식별하고 이에 따라 보안 요구사항을 도출하였다. 위협 모델링을 통해 식별한 위협을 이용하여 실제로 스마트폰을 스마트밴드에 연결하는 과정에서의 취약점을 발견하였고 이를 통해 스마트밴드의 제어 권한을 획득하는 공격을 수행할 수 있었다. 발견된 취약점과 위협에 대응하기 위해 보안 대책을 제안하였으며 보안 프로토콜 자동 검증 도구인 Scyther를 사용하여 제안한 보안 대책에 대한 안전성을 검증한다.

Abstract AI-Helper 아이콘AI-Helper

As smart bands make life more convenient and provide a positive lifestyle, many people are now using them. Since smart bands deal with private information, security design and implementation for smart band system become necessary. To make a trustworthy smart band, we must derive the security require...

주제어

#Security requirement   #Smart band   #Threat Modeling  

표/그림 (14)

질의응답

핵심어 질문 논문에서 추출한 답변
스마트밴드 시스템이 높은 신뢰성을 가져야 하는 이유는? 또한, 스마트폰에 연결되어 메시지 도착 알림, 현재 사용자 상태 모니터링, 타이머 알람 설정 등 다양한 기능을 수행한다. 이러한 기능들은 일상생활에 긍정적인 영향을 가져다주지만, 공격자가 공격에 성공하면 사용자의 이동 경로, 생활패턴 등의 개인 정보가 유출될 수 있기 때문에 스마트밴드 시스템은 높은 수준의 신뢰성(Trustworthiness)이 필요하다.
스마트밴드 시스템을 구축할 때 신뢰성을 높이기 위하여 어떠한 요소를 고려하여야 하는가? 신뢰할 수 있는 시스템은 Availability, Reliability, Security, Safety를 모두 고려하여 어떠한 상황에서도 동작하여 안전하게 목적을 달성할 수 있는 시스템을 뜻한다[5-6]. 신뢰할 수 있는 시스템을 개발 및 운영하기 위한 일련의 과정을 정보 보증 (Information assurance)이라 하며 정보 보증을 달성하기 위해서 보안 요구사항 분석 및 설계 단계에서부터 시스템을 구현하고 운용하는 단계까지 단계별 보증을 달성해야 한다.
스마트밴드의 기능은? 스마트밴드는 개인의 건강 상태를 유지 또는 향상 시키기 † 위하여 자동으로 데이터를 측정하여 사용자에게 상태 정보를 제시하고 긍정적인 생활 습관을 들일 수 있도록 도와준다. 스마트밴드는 기본적으로 만보기 기능을 통해 사용자의 발걸음 수를 측정하거나 사용자의 심장박동수, 수면 시간 등을 측정할 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (27)

  1. W. Zhou and S. Piramuthu, "Security/privacy of wearable fitness tracking IoT devices," in Proc. 9th Iberian Conf. Inf. Syst. Technol., pp. 1-5, Jun. 2014 

  2. M. LEE, K. Lee, J. Shim, S. J. Cho, and J. Choi, "Security threat on wearable services: empirical study using a commercial smartband," in Consumer Electronics-Asia (ICCE-Asia), IEEE International Conference on. IEEE, pp. 1-5, Oct. 2016 

  3. R. Goyal, N. Dragoni, and A. Spognardi, "Mind the tracker you wear: A security analysis of wearable health trackers," in Proc. ACM Symp. Appl. Comput., pp. 131-136, Apr. 2016 

  4. S. Seneviratne, Y. Hu, T. Nguyen, G. Lan, S. Khalifa, K. Thilakarathna, M. Hassan, and A. Seneviratne, "A survey of wearable devices and challenges," IEEE Commun. Surveys Tuts., vol. 19, no. 4, pp. 2573-2620, Jul. 2017 

    상세보기 crossref

  5. NIST, Trustworthy information system [Online]. Available: https://www.nist.gov/itl /trustworthy-information-systems. Accessed on: Oct 23, 2018 

  6. H.F. Tipton and M. Krause, Information Security Management Handbook, CRC Press, May. 2007 

  7. A. Shostack, Threat Modeling: Designing for Security, 1st ed. John Wiley & Sons, 2014 

  8. A. Shostack, "Experiences Threat Modeling at Microsoft", Modeling Security Workshop, Toulouse, Sep. 2008 

  9. STRIDE threat model of Microsoft. [Online]. Available: https://msdn.microsoft.com/en-us /library/ee823878(vcs. 20).aspx. Accessed on: Oct 23, 2018 

  10. I. Williams, X. Yuan, "Evaluating Effectiveness of Microsoft Treat Modeling Tool", ISCD Conference, 2015, Oct. 2015 

  11. B. Schneier, "Attack trees: Modeling security threats," Dr. Dobb's Journal, Dec. 1999 

  12. C. Cremers, "The Scyther Tool: Verification, falsification, and analysis of security protocols," in Computer Aided Verification (CAV), ser. LNCS, vol. 5123. Springer, pp. 414-418, Jul. 2008 

  13. M. Rahman, B. Carbunar, and M. Banik, "Fit and vulnerable: Attacks and defenses for a health monitoring device," arXiv 1304.5672, Apr. 2013 

  14. H. Fereidooni, T. Frassetto, M. Miettinen, A.-R. Sadeghi, and M. Conti. "Fitness Trackers: Fit for Health but Unfit for Security and Privacy," in Connected Health: Applications, Systems and Engineering Technologies (CHASE), 2017 IEEE/ACM International Conference on. IEEE, pp. 19-24, Jul. 2017 

  15. P.K. Akshay Dev and K.P. Jevitha, "STRIDE Based Analysis of the Chrome Browser Extensions API," in Proceedings of the 5th International Conference on Frontiers in Intelligent Computing: Theory and Applica- tions : FICTA 2016, Volume 2, S. C. Satapathy, V. Bhateja, S. K. Udgata, and P. K. Pattnaik, Eds., ed Singapore: Springer Singapore, pp. 169-178, Mar. 2017 

  16. A. Karahasanovic, P. Kleberger, M. A lmgren, "Adapting Threat Modeling M ethods for the Automotive Industry," [Online]. Available: http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf. Accessed on: Oct 23, 2018 

  17. M. Cagnazzo, M. Hertlein, T. Holz, and N. Pohlmann "Threat Modeling for Mobile Health Systems," in Wireless Communications and Networking Conference Workshops (WCNCW), 2018 IEEE. IEEE, pp. 314-319, Apr. 2018 

  18. Tae Un Kang and Huy Kang Kim, "VR Threat Analysis for Information Assurance of VR Device and Game System," Jonornal of The Korea Institute of information Security & Cryptology, 28(2), pp. 437-447, Apr. 2018 

  19. Hye Min Kim and Huy Kang Kim, "Threat Modeling and Risk Analysis: PS4 Remote Play with PC," Jonornal of The Korea Institute of information Security & Cryptology, 28(1), pp. 135-143, Feb. 2018 

  20. D. Basin, C. Cremers, and S. Meier, "Provably Repairing the ISO/IEC 9798 Standard for Entity Authentication," Proc. 1st Int'l Conf. Principles of Security and Trust (POST 12), LNCS 7215, P. Degano and J.D. Guttman, eds., pp. 129-148, Dec. 2012 

  21. C. Cremers, "Key exchange in IPsec revisited: formal analysis of IKEv1 and IKEv2," in European conference on research in computer security (ESORICS), Leuven, Belgium, Sep. 2011 

  22. Microsoft, SDL Threat Modeling Tool. [Online]. Available: https://www.microsoft .com/en-us/sdl/adopt/threatmodeling.aspx. Accessed on: Sep 21, 2018. 

  23. B. Potter, "Microsoft SDL threat modelling tool," Network Security, vol. 2009, no. 1, pp. 15-18, Jan. 2009 

    상세보기

  24. A.K. Das, P.H. Pathak, C.-N. Chuah, and P. Mohapatra, "Uncovering privacy leakage in BLE network traffic of wearable fitness trackers," in Proc. 17th Int. Workshop Mobile Comput. Syst. Appl. (HotMobile), pp. 99-104, Feb. 2016 

  25. Smart band attack demo video, [Online]. Available: https://youtu.be/QFb1AV7yUas. Accessed on: Oct 23, 2018. 

  26. W. Diffie, P. C. Van Oorschot, and M. J. Wiener, "Authentication and authenticated key exchanges," Designs, Codes, Cryptography., vol. 2, no. 2, pp. 107-125, Jun. 1992 

    상세보기 crossref

  27. Scyther verification code for connectio n and communication protocol, [Online]. Available: https://github.com/hausdorfff/Protocol-Verification. Accessed on: Oct 23, 2018. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로