Transcript ME 보안 기술
차세대 모바일 디지털 컨텐츠
이번 시간에는...
33. 모바일 보안 기술 - II
지난 시간에는 모바일 서비스 보안 개요 및 요구사항, 보안 암호화 및 전자 서명 기술, PKI 및
SSL, 그리고 개인화 권한 관리를 위한 PMI 및 EAM 기술에 대해 알아보았습니다.
이번 시간에는 모바일 보안 기술, 그 두번째 시간으로 무선 보안 기술에 대하여 학습해 보도록
하겠습니다
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
학습 목표
33. 모바일 보안 기술 - II
33 회차 강의에서 다루게 되는 내용은 다음과 같습니다.
모바일 보안 기술 - II
이번 장의 학습 목표
1)
WAP 및 ME 무선 네트워크 보안에 대해 알 수 있다.
2)
무선 공개키 기반 구조 WPKI에 대해 알 수 있다.
3)
단말 사용자 인증 기술 및 Code Signing을 이용한 무선 보안 기술에 대해 알 수
있다.
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
ME 보안
33. 모바일 보안 기술 - II
ME 보안 기술
Microsoft ME 1.0 보안 프로토콜을 탑재하지 않음
국내 (KTF) ME 보안 적용 사항
국내에서는 SSL3.0을 ME에 적용
국내 블록 암호 알고리즘인 SEED를 추가 구현
인증서는 X.509 V3을 적용
Transaction Security
미정
?
?
Card
SSL
A
DELT
ME
Channel Security
A
WPKI
SSL
DELT
TCP/IP
CDMA
한국산업기술대학교
(ME 보안 프로토콜 구조)
국내 ME 네트워크 제공자 KTF
Gateway 및 E2E 보안 구현
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
무선 보안 전체 구성도
Channel Security : 단말 및 서버 인증, 기밀성 제공 (E2E, WTLS, SSL, WIM)
Transaction Security : 전자서명 (WALS, WIM)
무선 PKI : 공개키 기반 구조 (WPKI, WIM)
E2E
Transaction Security
WALS
Gateway
WIM
E2E
WALS
A
DELT
SSL
WTLS
Channel Security
•
•
•
•
•
•
WTLS
WALS
WIM
WPKI
WAP
SSL
: Wireless Transport Layer Security
: Wireless Application Layer Security
: Wireless Identity Module
: Wireless Public key Infrastructure
: Wireless Application Protocol
: Secure Socket Layer
한국산업기술대학교
WPKI
A
DELT
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
WAP 전자 서명
• 전자 서명 방식 보안 기술
•
송신자는 자신의 개인키(비밀키)로 암호화 하여 전자서명 생성,
•
수신자는 공개된 공개키로 전자서명을 복호화 하여 전자서명 검증
• WAP 기반 전자 서명 보안 기술 ( WMLScript Cryptographic Library)
• WALS (전자서명) 는 WML Script에서 WMLScript Crypto 암호화 Library를 사용
• Signedstring = Crypto.signText(stringTosign,option,keyIDtype,keyID)
클라이언트
웹서버
부인봉쇄
WMLScript Function
(Crypto.signText)
Signed data
(PKCS#7 포맷)
구매신청서
전자서명된 문서
(WAP signed_content) WAP 게이트웨이
서명검증
서명용 비밀키
WIM
A
DELT
- 비밀키 보관
- 서명 계산
한국산업기술대학교
WMLScript Crypto Library는 일반적으로 국가 보안 표준으로 채택된 인
증 방식을 구현한 보안 업체 제공 보안 Library 이용
PKCS#7 : Cryptographic Message Syntax Std.
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
WTLS 보안 (1)
• WTLS Class 3 (Full Handshake)
무선단말기
웹 서버
게이트웨이
SSL
WTLS
ClientHello
ServerHello
Certificate
CertificateRequest
ServerHelloDone
Certificate(URL)
ClientKeyExchange
CertificateVerify
[ChangeCipherSpec]
Finished
게이트웨이 인증
[ChangeCipherSpec]
Finished
Application data
한국산업기술대학교
클라이언트인증
메시지 인증 및 안전한 세션 설립
데이터 기밀성, 무결성
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
WTLS 보안 (2)
• Record Protocol
• Compression & Decompression, MAC 적용 및 검증, Encryption & Decryption
Sender
Handshake
Receiver
ChangeCi
pher
Alert
Spec
App.
Data
No Fragmentation
ChangeCi
pher
Alert
Spec
Handshake
No Reassembly
WTLSPlaintext
WTLSPlaintext
압축
압축 해제
WTLSCompressed
WTLSCompressed
MAC 계산
보안
Parameters
MAC 검증
WTLSCompressed
.fragment
MAC
암호화
WTLSCompressed
.fragment
MAC
복호화
WTLSCiphertext
.fragment
한국산업기술대학교
App.
Data
WTLSCiphertext
.fragment
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
WAP 종단간 보안 기술 (Security Hole 존재)
• Transaction Protocol 변환 중 정보 노출 위험 (Security Hole) 존재
• 문제점: WTLS – SSL 변환 과정에서 암호화된 내용이 노출됨 무선사업자가 운영하는 WAP gateway에
의존하는 경우 응용 서버는 Client인증과 메시지 기밀성에 대해 무선사업자를 신뢰할 수 밖에 없는 구조
Security Hole
마이크로브라우저
응용 서비스
WML
프로토콜
Encoder
변환
WBMP WMLScript
Translator Compiler
WALS
WSP
WTP
WTP
WTLS
WTLS
한국산업기술대학교
컨텐츠
WALS
WSP
UDP
클라이언트
서버 스크립트(ASP,,)
UDP IP
HTTP
HTTP
SSL
TCP
SSL
WAP 게이트웨이
TCP
Web 서버
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
WAP 보안
33. 모바일 보안 기술 - II
WAP 종단간 보안 기술 (대안)
• 대안 1 : 응용 수준에서 암호화를 수행하는 방법
• 서버의 인증서를 가져와 세션 키를 암호화하여 암호문과 함께 전송하는 방식
• WAP 규격에서 지원하지 않는 사설 방식임
• 대안 2 : Secure Domain
• 응용 서버가 신뢰하는 Gateway를 직접 운영하는 Secure Domain 사용
• WAP 표준의 WTLS를 이용하여 신뢰할 수 있는 Client Authentication 및 기밀성 보장이 가능함.
안전한 도메인
WTLS
SSL or None
WAP
게이트웨이
클라이언트
Web 서버
X.509 Cert.
WTLS Certification
IC Card
한국산업기술대학교
PKI 서버
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
무선 PKI
33. 모바일 보안 기술 - II
무선 PKI 개요
• Wireless Public Key Infrastructure 개요
•
유선과 마찬가지로 무선 인터넷이 안전한 전자상거래 서비스를 제공 받기 위해서는 기밀성, 무결성, 인증, 부인봉쇄와 같
은 서비스를 제공하기 위한 무선 PKI가 필요
•
무선 PKI 란 기존의 유선 PKI의 구성요소를 그대로 이용하며, 무선환경에 적합하도록 기능을 최소한 변화시킨 것
• 무선 PKI 고려 사항
•
무선 PKI 구성 공인 인증 기관과 무선 사업자와의 관계 및 발급 절차 고려
•
무선 네트워크 무선 인터넷 프로토콜 환경 (ME, WAP) 별 적용, CRL, 접속 규격
•
무선 인증서 무선 환경에 맞는 인증서 포맷 고려 및 적용 알고리즘 선별
• 무선 PKI 인증서 종류
•
•
•
서버인증서
게이트웨이 인증서
•
무선사업자가 운영하는 WAP Gateway 에 발급
•
WTLS 서버인증서 단말기로 전송
•
Mini Cert 필요
게이트웨이 인증서
WTLS Cert
사용자 인증서
•
WTLS 인증용 인증서(Mini Cert.)
•
전자서명용 인증서(X.509)
•
단말에서 보관하고 있어야 하는가?
사용자 인증서
사용자 인증서
Web 서버 인증서
•
WTLS 인증용 인증서(Mini cert)
•
전자서명용 인증서(X.509)
한국산업기술대학교
Web 서버 인증서
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
무선 PKI
33. 모바일 보안 기술 - II
무선 PKI 구성
• Wireless Public Key Infrastructure 구성 요소
• 단말기 : WAP 정보보호 Module, ME 정보보호 Module, 전자 서명용 인증서 발급 및 관리
• 인터넷 응용 서버 (웹서버) : 정보보호 검증 Module, 전자서명 검증 Module
• WAP Gateway : WTLS Server 인증서 발급 요청, 정보보호 Module
• RA : 가입자 등록, 인증서 요청 메시지 변환/전달
• CA : 인증서 발급, CA 인증서 배표
• Directory : 인증서 및 CRL 저장
인증서버
(ME용 X509 CA)
ME단말기
RA
Web Server
인증서버
(WAP용 X509 CA)
WAP단말기
RA
WAP G/W
인증서버
(WAP용 WTLS CA)
WAP G/W
Web Server
Directory
사용자
한국산업기술대학교
무선사업자
컨텐츠 사업자
공인인증기관
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
무선 PKI
33. 모바일 보안 기술 - II
무선 PKI 플로우
• 무선 PKI Operation
•
서버 인증서 발급 : SSL/WTLS
•
사용자 인증서 발급 : SSL/WTLS/전자서명
•
CA 인증서 온라인 다운로드 : 인증서 검증을 위해 필요, 다운로드 한 CA 인증서 검증
•
인증서 검색 및 다운로드 : 인증서 대신 전달된 URL을 이용 인증서를 다운로드 받아 사용
• WAP, ME 사용자 인증서 발급 시나리오
공인인증기관
무선사업자
사용자
6. 사용자 등록
4. 인증서 요청(ID/PW)
7. 인증서 요청
8. 인증서 발급 &
10. 인증서 요청응답
9. 인증서 요청응답
(URL)
(URL)
RA
게시
CA
5. ID/PW 확인
1. 가입시 신원확인
및 등록
3. 정보전달
무선 사업자
가입자정보 DB
사용자
Directory
2. Onetime passwd,
ID 부여
단말기 대리점
한국산업기술대학교
은행
증권회사
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
단말 사용자 인증 기술
33. 모바일 보안 기술 - II
WIM (WAP Identity Module)
단말 자체가 m-Commerce의 결재 수단으로 사용 스마트 카드, 휴대폰 신용카드 등
단말의 사용자 인증 필요
WIM(WAP Identity Module)
보안 정보의 효과적 관리
보안 정보의 가용성 증대
휴대 단말의 환경 극복의 수단
Application Layer(WAE)
WML Micro browser
WTA Interface
WMLScript
• Virtual Machine
• Standard Library
Other Services
WAP
Content
Type
Applications
Session Layer(WSP)
Transaction Layer(WTP)
WIM
Security Layer(WTLS)
Transport Layer(WDP)
Bearers :
GSM
IS-136
CDMA
PHS
CDPD
IMT-2000
UMTS
Etc.
• PKCS#15, ISO/IEC7816 기반
• SIM/WIM 동시 구현 가능
• WTLS 지원- RSAwithCert,
ECDH_ECDSA
• WALS 지원-전자서명,KCDSA
PKCS#15: Cryptographic Token Information Format Standard
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
Code Signing
33. 모바일 보안 기술 - II
코드서명 기술 (Code Signing)
Code Signing 개요
무선 전자지갑이나 뱅킹 증권 보험과 함께 코드서명(Code Signing) 기술은 모바일 금융거래 안전을 위한 기술로,
컨텐츠 전송 과정 위조 및 변조를 방지하여 모바일 환경에서 컨텐츠의 안전한 배포 보장
무선 응용 프로그램 및 컨텐츠가 전송과정에서 위조 또는 변조되지 않았다는 것을 증명하고, 컨텐츠 작성자
(Publisher)에 대한 인증 제공
Code Signing 배경
프로그램의 이동성
대부분의 모바일 플랫폼에서 VM 지원 (Java VM, WIPI 등)
플랫폼에 대한 응용의 인증
악성 코드 및 해킹에 대한 예방 필요
코드 기반 및 사용자 중심의 접근제어 모델 필요 Code Signing 기술
Code Signing 요구사항
무선 환경에서 코드서명 (Code Signing)을 구현함으로써 무선 환경에서 응용 프로그램 및 컨텐츠의 안전한 배포 가
능
XML 전자서명의 도입에 적합한 구조 설계 필요
유연한 정책관리 메카니즘을 통해 다양한 컨텐츠 작성자에 대한 관리 정책 수용 가능
국제 모바일 표준화 단체인 OMA (Open Mobile Alliance)의 Download OTA 표준 적용
다양한 전자서명 응용 서비스로 확장을 위한 PKI 기반 구조 적용
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
요약 정리
33. 모바일 보안 기술 - II
이번 시간에 소개했던 내용을 정리해 봅시다.
1)
WAP의 WTLS, WALS, 및 WIM 보안, 그리고 ME 무선 네트워크 보안에 대해 알
아 보았습니다.
2)
무선 공개키 기반 구조 WPKI의 개념과 동작 플로우에 대해 알아 보았습니다.
3)
단말 사용자 인증 기술 및 Code Signing을 이용한 무선 보안 기술에 대해 알아
보았습니다.
다음 시간에는 모바일 플랫폼 기술 – I 에 대하여 학습하시게 될 것입니다.
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
평가 하기
문제1
33. 모바일 보안 기술 - II
세가지 무선 인터넷 보안 방식에 대해 말해 보시오
정답은 다음과 같습니다.
채널 보안, 트랜잭션 보안 및 무선 PKI 보안
해설내용: 무선 인터넷 보안 방식에는 채널 보안, 트랜잭션 보안, 그리고 무선 PKI 방식이 있습니다.
채널 보안은 전송계층 즉 네트워크 단의 보안으로, 암호화와 MAC을 통한 데이터 기밀성과 무결성
서비스를 제공하는 것을 말하고, E2E 보안, WAP의 WTLS, SSL, 그리고 WIM 방식을 사용합니다.
트랜잭션 보안은 응용 계층, 즉, 컨텐츠 수준의 보안으로, 전자 서명을 통한 전자 상거래의 무결성,
부인 봉쇄 서비스를 제공할 수 있으며, WALS와 WIM, , 코드 서명 기술 등을 이용하여 구현합니다.
무선 PKI 방식은 유선 PKI의 무선 적용 즉, 일반적으로 유선 인터넷 보안에서 사용하는
공개키 기반 구조의 무선 적용이라 할 수 있습니다.
문제2
WPKI는 무엇입니까?
정답은 다음과 같습니다.
Wireless Public Key Infrastructure의 약자로, 유선 PKI를 무선 환경으로 확장한 무선 사용자 인증 보
안 기술
해설내용: 무선 PKI는 유선 인터넷의 전자 상거래를 위한 PKI를 무선 환경으로 확장하는 것을 말하
며, 공인 인증 기관 및 무선 사업자와의 협의를 통해, 무선 전용 PKI 인증서 발급 및 확인으로 국가
공인 개인 인증 정보를 사용하는 무선 보안 기술입니다.
한국산업기술대학교
온라인 기술교육 교재 개발