Transcript 전자 서명 - 업종별 기술교육포털

차세대 모바일 디지털 컨텐츠
이번 시간에는...
32. 모바일 보안 기술 - I
지난 시간에는 모바일 데이터 동기화를 위한 SyncML의 기본 개념, SyncML 동기화에 사용하는
XML Representation과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다.
이번 시간에는 2회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다.
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
학습 목표
32. 모바일 보안 기술 - I
32 회차 강의에서 다루게 되는 내용은 다음과 같습니다.
모바일 보안 기술 - I
이번 장의 학습 목표
한국산업기술대학교
1)
모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다.
2)
보안 암호화 및 전자 서명 기술에 대해 알 수 있다.
3)
PKI 및 SSL에 대해 알 수 있다.
4)
개인화 권한 관리에 대해 알 수 있다.
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
모바일 보안
32. 모바일 보안 기술 - I
 모바일 서비스의 보안
 무선 데이터의 안전한 전송 및 처리를 위해 보안과 인증 처리 기술의 유용한 기반 인프라 제공 필요
 보안 위협 요소
 통화 내용, 사용자 등록 정보, 사용자 위치 정보, 사용자 관리 정보 등의 도난/변조/파괴/불법 노출에서 서
비스 품질 파괴, 로밍 정보를 이용한 사용자 위치 추적 등
 보안 요구 사항
 기술적 요구 사항 : 인증, 접근 제어, 가용성 유지, 부인 봉쇄, 무결성 유지, 비밀성 유지 기술 등
 서비스 요구 사항 : 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소
고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공 필요
보안 요구 사항
보안 위협 요소

도청 또는 감청

 인터넷 상의 정보는 도청 가능성이 높으므로 암호화 필요
 Eavesdropping and Packet Sniffing
 Snooping or Browsing



 Spoofing (발신자 IP 주소의 변조)


서비스거부 : Denial of Service

악성코드
 Malicious Code(바이러스, 트로이목마, 웜)
한국산업기술대학교
본인 확인(신원확인: Authentication)
 인감증명서와 같이 본인이 맞다는 사실의 공신력 있는 기
관 증명
위장 및 권한위조
 Masquerade or Authorization violation
임의 수정 방지 (무결성: Integrity,부인방지:Non-repudiation)
 전자문서는 수정한 흔적이 남지 않는 단점  수정 흔적이
남아야 함
변조, 조작 또는 탈취, 사기
 Tampering or Data Diddling
비밀 보호(기밀성: Confidentiality)

서비스 거부 공격으로부터 보호 (가용성: Availability)
 보안운영체제, 침입방지시스템 등에 의해 보호

해킹 및 바이러스로부터 보호
 방화벽, 침입탐지시스템, 바이러스 백신 등에 의해 보호
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
모바일 보안
32. 모바일 보안 기술 - I
 모바일 서비스의 보안
 무선 인터넷 보안은 모바일 기반의 전자상거래에서 매우 중요한 요소 기술
 모바일 전자 상거래 분야 : 무선 금융, 무선 증권, 무선 뱅킹, 무선 판매 및 구매 서비스, 무선 광고, 무선 위치
서비스, 전자상거래, 고객관리, 물류, 운송, 교육 등
 보안 기술 적용 및 발전으로 신뢰성 구축 및 모바일 비즈니스 활성화
 무선 보안 기술 적용을 위한 단말 요구 사항
 전자 서명키 생성
 메시지 암복호화
 인증서 요청 및 관리
 인증서 수신, 검증, 저장 및 송신
 전자서명된 데이터의 수신, 검증, 저장 및 송신
 전자서명 데이터 생성
A
 보안 구조에 대한 표준화 시급
DELT
 보안은 서비스가 아니고 기반구조
 플랫폼 표준규격에 보안 요구사항 부족
 M-비즈니스 활성화를 위하여 투자 확대 필요
 정책적인 지원
 표준화 활동 활성화
 범 국가적 보안 구조 정립
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 보안 기술 개요
 보안 서비스와 보안 Mechanism
 대칭형 암호기술 (Symmetric Cryptography) : DES, SEED 등
 비대칭형 암호기술 (Asymmetric Cryptography) : RSA 등
 전자서명기술 (Digital Signature)
 DSS 등 - 인증기술(Authentication) : X.509, PKIX 등
 전송중인 정보의 변경방지 (무결성 보장 : Integrity)
 정보전송 사실의 부인방지 (부인방지 보장 : Non-Repudiation)
 웹 시큐리티 기술 : SSL 등
 네트워크 보안기술 : IPSEC 등
Mechanisms
Services
Authentication
Encryption
Digital signature
O
O
Access Control
한국산업기술대학교
Data Integrity
Authentication
Exchange
O
O
Confidentiality
O
Integrity
O
Non-repudiation
Access
Control
O
O
O
O
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 인증 및 보안 계층 - 암호화
 대칭형 암호화 기술
 관용 암호방식(단일키 방식, 대칭형 알고리즘)
 대칭형 암호화 기술 특징
 송신자/수신자가 키 관리에 조심
 암호화 및 복호화 Key 가 동일
 대칭형 암호기술에 비하여 암호 및 복호 속도가 빠름 (100배 이상)
 키 관리 및 분배의 어려움
 대칭형 암호화 기술 예
 DES( Data Encryption Standard)
 RC4
암호화
복호화
Internet
암호키
평문
한국산업기술대학교
전자문서
(암호화 된)
암호문
복호키
전자문서
(복호화 된)
평문
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 인증 및 보안 계층 - 암호화
 비대칭형 암호 기술
 공개 키 암호방식 (Public Key Cryptography)
 비대칭형 암호기술 특징
 암호화와 복호화에 사용되는 키, 즉 암호화키(공개키) 및 복호화키(비밀키)가 서로 다름
 대칭형 암호기술에 비하여 암호 및 복호 속도가 느림
 키 관리 및 키 분배가 용이함
 비대칭형 암호기술 예
 RSA(Rivest-Shamir-Adelman) 등
평문
암호문
평문
Internet
암호키
Public Key
한국산업기술대학교
복호키
전자문서
(암호화 된)
전자문서
(복호화 된)
Private Key
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 인증 및 보안 계층 - 전자 서명
 전자 서명 기술
 전자 서명 기술 특징
 전송중인 정보의 변경방지  무결성 보장 : Integrity
 정보전송 사실의 부인방지  부인 방지 보장 : Non-Repudiation
 암호화키(공개키) 및 복호화키(비밀키)가 서로 다름
 전자 서명 기술 동작 방식
 송신자는 자신의 개인키(비밀키)로 암호화 하여 전자서명 생성,
 수신자는 공개된 공개키로 전자서명을 복호화 하여 전자서명 검증
A
Hash 함수
B
Internet
전자문서
Hash 함수
(SHA-160)
Hash 값
한국산업기술대학교
전자문서
Hash 값
비교검증
전자서명
암호화
(A 의 Private Key)
복호화
(A 의 Public Key)
Hash 값
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 PKI
 공개키 기반 구조 (Public Key Infrastructure)
 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 안전하게 전자 상거래를 할 수 있도
록 하는 인증서 관리 기반
 국가 공인 인증서 (전자서명법)
 공인인증기관이 인증한 전자서명에 대하여 법적 효력

전자서명을 기명날인 또는 서명과 동등한 효력부여
 정보통신부장관이 공인인증기관 지정

국가(정보통신부 장관)로부터 공인을 받아 전자서명 키 인증관리체계( PKI )를 갖추고
통신망을 통하여 개인, 법인 등에게 전자서명 검증키를 인증 (인증서 발급) 하는 업무를
취급하는 자

공인인증기관  인증서 발급, 효력 정지, 폐지, 취소 업무 수행

한국정보인증㈜, 금융 결재원, 한국 증권 전산원 등
 PKI 구조
PKI 기술
전자서명 기술(키)안정적 운용
전자인증 제도
안전한 전자상거래
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 PKI
 PKI 구성요소
 인증기관 & 등록증 기관 (RA)
 고객 식별, 등록, 인증서 생성 기능
 인증서  X.509 버전 3 인증서 규격을 준수하는 인증서 생성, X.509 버전 2 인증서 규격을 준수하
는 인증서 폐지 목록 생성
 디렉토리 시스템
 고객 인증서 등록 및 관리 기능, 인증서의 효력정지 및 폐지에 관한 기록 등록. 관리 기능
 고객 인증서와 효력정지 및 폐지에 관한 기록을 LDAP(Lightweight Directory Access Protocol)
을 통해 검색기능
 인증서 사용자
PKI Client
(상거래 이용자)
인증서
인증기관
디렉토리 서버
PKI Server
(상거래 서비스)
등록기관 (RA)
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 SSL
 Secure Socket Layer 개요
 TCP/IP 계층과 Application 계층 사이에 위치하여 데이터를 송수신하는 종단간 보안 서비스를 제공
 SSL 특징
 클라이언트 및 서버간 안전한 채널 형성
 종단간(End-to-End) 보안 서비스 제공
 클라이언트 및 서버 인증 (Authentication) : 통신하는 주체간 서로 상대방 확인 가능
 공개키 알고리즘 (RSA, DSS, Diffie-Hellman)
 X. 509 공개키 인증서
 기밀성 제공 : 통신중 정보 보안  통신 주체만이 통신 내용 볼 수 있음
 Handshake Protocol 에 의한 비밀키 (세션키) 공유
 DES, RC2, RC4, 3-DES 등
 무결성 제공 : 통신 중 정보 변경 방지
 Hashed MAC (Message Authentication Code)
 SHA-1(160비트), MD5(128비트)
HTTP
SSL Higher Layer
SSL
SSL Lower layer
TCP
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
보안 기술
32. 모바일 보안 기술 - I
 SSL
 Secure Socket Layer 구성
 SSL Higher Layer (제어 프로토콜)
 Handshake Protocol  한 세션동안 이용되는 암호 매개변수 생성 및 비밀정보를 공유
 Change Cipher Spec Protocol
 Alert Protocol
 SSL Lower Layer
 Record Protocol  클라이언트와 서버 사이에 데이터(블록 단위)를 주고 받는 역할, 최대 블록 크
기 : 16,384 Byte
 Messages 암호화 과정
 응용계층의 자료 암호화 과정
 SSL 프로토콜은 자료를 안전하
게 전송할 수 있도록 암호 알고
리즘
 합의된 MAC(Message
Authentication Code)를 이용한
무결성 제공
SSL
HTTP
Handshake
Change
Protocol Cipher Spec
Alert
protocol
Application
Record Layer
TCP
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
개인화된 포털 서비스

32. 모바일 보안 기술 - I
컨텐츠 및 사용자 관리

Authentication (사용자 인증) 과 다른 Authorization (각 자원별 사용 권한) 에 대한 보안

권한 분배 기능 (RBAC) 기반 PMI 기술  자원 Access 권한 관리

EAM 기술  Role 기반 Access 권한 관리
Content
Portal Services
Personal
Communications
Voice dialling
Wireless
Portal
E-commerce
Location Based
Services
Personal directory
Unified Messaging
Personal schedule
Advertising
Mobile Banking
Electronic Bill Payment
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
PMI

32. 모바일 보안 기술 - I
Privilege Management Infrastructure

PMI 정의


다양한 애플리케이션 환경에서 특정 자원 (시스템 및 애플리케이션 등)에 접근할 수 있는 권한을
사용자 별로 차등 부여함으로써 보안을 책임지는 기반구조
RBAC (Role Based Access Control) Model  권한 분배 기능

각 사용자별로 주어진 서비스 이용 권한에 따라 정보 Access 권한 분배 기능

정보 이용 Session 설정 (이용시작), 해지 (이용종료) 및 취소 (이용불가) 설정
User
Sessions
Obj
Obj
Roles
Obj
Obj
Permissions
Services
한국산업기술대학교
Administrator
Services
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
EAM

32. 모바일 보안 기술 - I
Extranet Access Management


통합 인증 관리 (EAM)

Single Sign On (SSO)과 사용자의 인증을 관리하고 서비스 및 데이터에 대한 사용자 Access 허
용 및 차단을 결정하여 기업 내 정책(policy)을 구현하는 단일화 된 Mechanism 제공

Authentication (접속 인증) 뿐만 아니라 Authorization (사용 권한)의 관리  Administrator,
User, Guest 등 각 사용자 사용 권한 설정 관리 및 권한별 자원 Access 제어
통합 인증 관리 (EAM) 예

한번의 로그인으로 다양한 시스템을 사용할 수 있음 (Single Sign On)

사용자의 정보에 대한 접근을 중앙에서 통제할 수 있음 (Access Control)
Legacy & Application
Access Control
EAM
Single Sign On
Client
한국산업기술대학교
시
스
템
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
PKI, PMI, EAM 비교

32. 모바일 보안 기술 - I
PMI, EAM 권한 관리와 PKI 인증 관리

PMI, EAM  권한 관리

PKI  인증 관리

PKI는 점진적으로 Access 자체에 대한 보안 뿐 아니라, 각 사용자 Level 별 권한 관리로 확대
EAM
(Extranet Access Management)
 여러 형태의 인증(Authentication)을
관리, 운영하는 기법 제공
 전자서명 + 스마트 카드 + 생체인증 등
 EAM 솔루션
한국산업기술대학교
PMI
(Privilege Management Infrastructure)
 속성 인증서(Attribute Certificates)의
발급, 저장, 유통, 검증 등을 포괄하는
권한관리 기반구조

PKI 응용으로 확대 예상

전자결재 등 다양한 솔루션과 결합
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
요약 정리
32. 모바일 보안 기술 - I
이번 시간에 소개했던 내용을 정리해 봅시다.
1)
모바일 서비스 보안 개요 및 요구사항에 대해 알아보았습니다.
2)
보안 암호화 및 전자 서명 기술에 대해 알아보았습니다.
3)
PKI 및 SSL에 대해 알아보았습니다.
4)
RBAM, PMI, EAM 등 개인화 권한 관리에 대해 알아보았습니다.
다음 시간에는 모바일 보안 기술 - II 에 대하여 학습하시게 될 것입니다.
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
평가 하기
문제1
32. 모바일 보안 기술 - I
모바일 서비스의 보안 요구사항에 대해 말해 보시오
정답은 다음과 같습니다.
비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인
(Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호
해설내용: 모바일 보안 보안 요구 사항으로, 기술적 요구 사항에는 인증, 접근 제어, 가용성 유지,
부인 봉쇄, 무결성 유지, 비밀성 유지 기술 등이 있습니다. 모바일 보안은 네트워크 제공자 영역 뿐
아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간
의 상호 운용성 제공이 필요합니다.
문제2
PKI 보안 기술에 대해 말해 보시오
정답은 다음과 같습니다.
국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조
해설내용:PKI는 공개키 기반 구조 (Public Key Infrastructure)로, 공인인증기관이 전자서명한 인증
서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고, 안전하게 전자 상거래를 할 수 있도록
하는 인증서 관리 기반으로, 국가가 공인한 인증서 (전자서명법에 의거)를 국가 공인인증기관으로
부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking에서 본인 인증 및 확인에 사용하는 공
인 인증키 기반 구조 입니다.
한국산업기술대학교
온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
평가 하기
문제3
32. 모바일 보안 기술 - I
EAM에 대해 말해 보시오
정답은 다음과 같습니다.
EAM (Extranet Access Management)은 통합 인증 관리 기술로, 애플리케이션이나 데이터에
대한 사용자 접근을 결정
해설내용: EAM은 Single Sign On (SSO)과 사용자의 인증을 관리하고 애플리케이션이나 데이터
에 대한 사용자 접근을 결정하는 기술로, 사용자의 접속 허용 여부, 즉 사용자 인증 뿐만 아니라, 사
용자 인증 후, 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다.
한국산업기술대학교
온라인 기술교육 교재 개발