이번 시간에는

한국산업기술대학교 온라인 기술교육 교재 개발

차세대 모바일 디지털 컨텐츠

32. 모바일 보안 기술 - I이번 시간에는 ...

지난 시간에는 모바일 데이터 동기화를 위한 SyncML 의 기본 개념 , SyncML 동기화에 사용하는

XML Representation 과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다 .

이번 시간에는 2 회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다 .



32. 모바일 보안 기술 - I학습 목표

1) 모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다 .

2) 보안 암호화 및 전자 서명 기술에 대해 알 수 있다 .

3) PKI 및 SSL 에 대해 알 수 있다 .

4) 개인화 권한 관리에 대해 알 수 있다 .

이번 장의 학습 목표

32 회차 강의에서 다루게 되는 내용은 다음과 같습니다 .

모바일 보안 기술 - I



32. 모바일 보안 기술 - I모바일 보안

도청 또는 감청 Eavesdropping and Packet Sniffing

Snooping or Browsing

변조 , 조작 또는 탈취 , 사기 Tampering or Data Diddling

Spoofing ( 발신자 IP 주소의 변조 )

위장 및 권한위조 Masquerade or Authorization violation

서비스거부 : Denial of Service

악성코드 Malicious Code( 바이러스 , 트로이목마 , 웜 )

비밀 보호 ( 기밀성 : Confidentiality)

인터넷 상의 정보는 도청 가능성이 높으므로 암호화 필요

임의 수정 방지 ( 무결성 : Integrity, 부인방지 :Non-repudiation)

전자문서는 수정한 흔적이 남지 않는 단점 수정 흔적이 남아야 함

본인 확인 ( 신원확인 : Authentication)

인감증명서와 같이 본인이 맞다는 사실의 공신력 있는 기관 증명

서비스 거부 공격으로부터 보호 ( 가용성 : Availability)

보안운영체제 , 침입방지시스템 등에 의해 보호

해킹 및 바이러스로부터 보호

방화벽 , 침입탐지시스템 , 바이러스 백신 등에 의해 보호

보안 위협 요소 보안 요구 사항

모바일 서비스의 보안 무선 데이터의 안전한 전송 및 처리를 위해 보안과 인증 처리 기술의 유용한 기반 인프라 제공 필요

보안 위협 요소

통화 내용 , 사용자 등록 정보 , 사용자 위치 정보 , 사용자 관리 정보 등의 도난 / 변조 / 파괴 / 불법 노출에서 서비스 품질 파괴 , 로밍 정보를 이용한 사용자 위치 추적 등

보안 요구 사항

기술적 요구 사항 : 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등

서비스 요구 사항 : 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공 필요



32. 모바일 보안 기술 - I

모바일 서비스의 보안 무선 인터넷 보안은 모바일 기반의 전자상거래에서 매우 중요한 요소 기술

모바일 전자 상거래 분야 : 무선 금융 , 무선 증권 , 무선 뱅킹 , 무선 판매 및 구매 서비스 , 무선 광고 , 무선 위치 서비스 , 전자상거래 , 고객관리 , 물류 , 운송 , 교육 등

보안 기술 적용 및 발전으로 신뢰성 구축 및 모바일 비즈니스 활성화

무선 보안 기술 적용을 위한 단말 요구 사항

전자 서명키 생성

메시지 암복호화

인증서 요청 및 관리

인증서 수신 , 검증 , 저장 및 송신

전자서명된 데이터의 수신 , 검증 , 저장 및 송신

전자서명 데이터 생성

보안 구조에 대한 표준화 시급

보안은 서비스가 아니고 기반구조

플랫폼 표준규격에 보안 요구사항 부족

M- 비즈니스 활성화를 위하여 투자 확대 필요

정책적인 지원

표준화 활동 활성화

범 국가적 보안 구조 정립

모바일 보안



32. 모바일 보안 기술 - I보안 기술

MechanismsServices Encryption

Digital signature

Access Control

Data Integrity

Authentication Exchange

Authentication O O O

Access Control O

Confidentiality O O

Integrity O O

Non-repudiation O O

보안 기술 개요 보안 서비스와 보안 Mechanism

대칭형 암호기술 (Symmetric Cryptography) : DES, SEED 등

비대칭형 암호기술 (Asymmetric Cryptography) : RSA 등

전자서명기술 (Digital Signature)

DSS 등 - 인증기술 (Authentication) : X.509, PKIX 등

전송중인 정보의 변경방지 ( 무결성 보장 : Integrity)

정보전송 사실의 부인방지 ( 부인방지 보장 : Non-Repudiation)

웹 시큐리티 기술 : SSL 등

네트워크 보안기술 : IPSEC 등



32. 모바일 보안 기술 - I보안 기술 인증 및 보안 계층 - 암호화

대칭형 암호화 기술

관용 암호방식 ( 단일키 방식 , 대칭형 알고리즘 )

대칭형 암호화 기술 특징

송신자 / 수신자가 키 관리에 조심

암호화 및 복호화 Key 가 동일

대칭형 암호기술에 비하여 암호 및 복호 속도가 빠름 (100배 이상 )

키 관리 및 분배의 어려움

대칭형 암호화 기술 예

DES( Data Encryption Standard)

RC4

암호키 복호키전자문서( 암호화 된 )

전자문서( 복호화 된 )

평문 암호문

Internet

평문

암호화 복호화



32. 모바일 보안 기술 - I보안 기술

인증 및 보안 계층 - 암호화

비대칭형 암호 기술

공개 키 암호방식 (Public Key Cryptography)

비대칭형 암호기술 특징

암호화와 복호화에 사용되는 키 , 즉 암호화키 ( 공개키 ) 및 복호화키 ( 비밀키 ) 가 서로 다름

대칭형 암호기술에 비하여 암호 및 복호 속도가 느림

키 관리 및 키 분배가 용이함

비대칭형 암호기술 예

RSA(Rivest-Shamir-Adelman) 등

암호키 복호키전자문서( 암호화 된 )

전자문서( 복호화 된 )

Public KeyPrivate

Key

평문 평문암호문

Internet




Internet

Hash 값 암호화(A 의 Private Key)

Hash 함수(SHA-160)

Hash 값

복호화(A 의 Public Key)

Hash 값

비교검증

AB

전자서명

전자문서전자문서

Hash 함수

보안 기술 인증 및 보안 계층 - 전자 서명

전자 서명 기술

전자 서명 기술 특징

전송중인 정보의 변경방지 무결성 보장 : Integrity

정보전송 사실의 부인방지 부인 방지 보장 : Non-Repudiation

암호화키 ( 공개키 ) 및 복호화키 ( 비밀키 ) 가 서로 다름

전자 서명 기술 동작 방식

송신자는 자신의 개인키 ( 비밀키 ) 로 암호화 하여 전자서명 생성 ,

수신자는 공개된 공개키로 전자서명을 복호화 하여 전자서명 검증



32. 모바일 보안 기술 - I보안 기술 PKI

공개키 기반 구조 (Public Key Infrastructure)

공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반

국가 공인 인증서 ( 전자서명법 )

공인인증기관이 인증한 전자서명에 대하여 법적 효력

전자서명을 기명날인 또는 서명과 동등한 효력부여

정보통신부장관이 공인인증기관 지정

국가 ( 정보통신부 장관 ) 로부터 공인을 받아 전자서명 키 인증관리체계 ( PKI ) 를 갖추고 통신망을 통하여 개인 , 법인 등에게 전자서명 검증키를 인증 ( 인증서 발급 ) 하는 업무를 취급하는 자

공인인증기관 인증서 발급 , 효력 정지 , 폐지 , 취소 업무 수행

한국정보인증㈜ , 금융 결재원 , 한국 증권 전산원 등

PKI 구조

안전한 전자상거래

전자인증 제도

전자서명 기술 ( 키 ) 안정적 운용

PKI 기술




PKI Client( 상거래 이용자 )

PKI Server( 상거래 서비스 )

인증기관디렉토리 서버

인증서

등록기관 (RA)

보안 기술 PKI

PKI 구성요소

인증기관 & 등록증 기관 (RA)

고객 식별 , 등록 , 인증서 생성 기능

인증서 X.509 버전 3 인증서 규격을 준수하는 인증서 생성 , X.509 버전 2 인증서 규격을 준수하는 인증서 폐지 목록 생성

디렉토리 시스템

고객 인증서 등록 및 관리 기능 , 인증서의 효력정지 및 폐지에 관한 기록 등록 . 관리 기능

고객 인증서와 효력정지 및 폐지에 관한 기록을 LDAP(Lightweight Directory Access Protocol) 을 통해 검색기능

인증서 사용자



32. 모바일 보안 기술 - I보안 기술 SSL

Secure Socket Layer 개요

TCP/IP 계층과 Application 계층 사이에 위치하여 데이터를 송수신하는 종단간 보안 서비스를 제공

SSL 특징

클라이언트 및 서버간 안전한 채널 형성

종단간 (End-to-End) 보안 서비스 제공

클라이언트 및 서버 인증 (Authentication) : 통신하는 주체간 서로 상대방 확인 가능

공개키 알고리즘 (RSA, DSS, Diffie-Hellman)

X. 509 공개키 인증서

기밀성 제공 : 통신중 정보 보안 통신 주체만이 통신 내용 볼 수 있음

Handshake Protocol 에 의한 비밀키 (세션키 ) 공유

DES, RC2, RC4, 3-DES 등

무결성 제공 : 통신 중 정보 변경 방지

Hashed MAC (Message Authentication Code)

SHA-1(160 비트 ), MD5(128비트 )

SSL Lower layer

SSL Higher LayerSSL

TCP

HTTP




Record LayerSSL

TCP

HTTP

Handshake Protocol

Change Cipher Spec

Alert protocol

Application

보안 기술 SSL

Secure Socket Layer 구성

SSL Higher Layer ( 제어 프로토콜 )

Handshake Protocol 한 세션동안 이용되는 암호 매개변수 생성 및 비밀정보를 공유

Change Cipher Spec Protocol

Alert Protocol

SSL Lower Layer

Record Protocol 클라이언트와 서버 사이에 데이터 (블록 단위 ) 를 주고 받는 역할 , 최대 블록 크기 : 16,384 Byte

Messages 암호화 과정

응용계층의 자료 암호화 과정

SSL 프로토콜은 자료를 안전하게 전송할 수 있도록 암호 알고리즘

합의된 MAC(Message Authentication Code) 를 이용한 무결성 제공




컨텐츠 및 사용자 관리

Authentication ( 사용자 인증 ) 과 다른 Authorization (각 자원별 사용 권한 ) 에 대한 보안

권한 분배 기능 (RBAC) 기반 PMI 기술 자원 Access 권한 관리

EAM 기술 Role 기반 Access 권한 관리

개인화된 포털 서비스

Portal Services

Content

E-commerce

Electronic Bill Payment

Advertising

Location Based Services

Mobile Banking

Personal Communications

Voice dialling

Personal directory

Personal schedule

WirelessPortal

Unified Messaging




Privilege Management Infrastructure

PMI 정의

다양한 애플리케이션 환경에서 특정 자원 ( 시스템 및 애플리케이션 등 ) 에 접근할 수 있는 권한을 사용자 별로 차등 부여함으로써 보안을 책임지는 기반구조

RBAC (Role Based Access Control) Model 권한 분배 기능

각 사용자별로 주어진 서비스 이용 권한에 따라 정보 Access 권한 분배 기능

정보 이용 Session 설정 ( 이용시작 ), 해지 ( 이용종료 ) 및 취소 ( 이용불가 ) 설정

PMI

Administrator ServicesServices

User

Sessions

ObjObj ObjObj ObjObj ObjObj

Permissions

Roles




Extranet Access Management

통합 인증 관리 (EAM)

Single Sign On (SSO) 과 사용자의 인증을 관리하고 서비스 및 데이터에 대한 사용자 Access 허용 및 차단을 결정하여 기업 내 정책 (policy) 을 구현하는 단일화 된 Mechanism 제공

Authentication ( 접속 인증 ) 뿐만 아니라 Authorization ( 사용 권한 ) 의 관리 Administrator, User, Guest 등 각 사용자 사용 권한 설정 관리 및 권한별 자원 Access 제어

통합 인증 관리 (EAM) 예

한번의 로그인으로 다양한 시스템을 사용할 수 있음 (Single Sign On)

사용자의 정보에 대한 접근을 중앙에서 통제할 수 있음 (Access Control)

EAM

Leg

acy &

A

pp

licatio

n

EA

M

시스템

Clie

nt

Sin

gle

Sig

n

On

Access

Con

trol




여러 형태의 인증 (Authentication) 을 관리 , 운영하는 기법 제공

전자서명 + 스마트 카드 + 생체인증 등 EAM 솔루션

PKI 응용으로 확대 예상 전자결재 등 다양한 솔루션과 결합

속성 인증서 (Attribute Certificates) 의 발급 , 저장 , 유통 , 검증 등을 포괄하는 권한관리 기반구조

EAM

(Extranet Access Management) PMI

(Privilege Management Infrastructure)

PMI, EAM 권한 관리와 PKI 인증 관리 PMI, EAM 권한 관리

PKI 인증 관리

PKI 는 점진적으로 Access 자체에 대한 보안 뿐 아니라 , 각 사용자 Level 별 권한 관리로 확대

PKI, PMI, EAM 비교



32. 모바일 보안 기술 - I요약 정리

1) 모바일 서비스 보안 개요 및 요구사항에 대해 알아보았습니다 .

2) 보안 암호화 및 전자 서명 기술에 대해 알아보았습니다 .

3) PKI 및 SSL 에 대해 알아보았습니다 .

4) RBAM, PMI, EAM 등 개인화 권한 관리에 대해 알아보았습니다 .

이번 시간에 소개했던 내용을 정리해 봅시다 .

다음 시간에는 모바일 보안 기술 - II 에 대하여 학습하시게 될 것입니다 .



32. 모바일 보안 기술 - I평가 하기

문제 1 모바일 서비스의 보안 요구사항에 대해 말해 보시오

정답은 다음과 같습니다 .

비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인 (Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호

해설내용 : 모바일 보안 보안 요구 사항으로 , 기술적 요구 사항에는 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등이 있습니다 . 모바일 보안은 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공이 필요합니다 .


비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인 (Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호

해설내용 : 모바일 보안 보안 요구 사항으로 , 기술적 요구 사항에는 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등이 있습니다 . 모바일 보안은 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공이 필요합니다 .

문제 2 PKI 보안 기술에 대해 말해 보시오


국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조

해설내용 :PKI 는 공개키 기반 구조 (Public Key Infrastructure) 로 , 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고 , 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반으로 , 국가가 공인한 인증서 ( 전자서명법에 의거 ) 를 국가 공인인증기관으로 부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking 에서 본인 인증 및 확인에 사용하는 공인 인증키 기반 구조 입니다 .


국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조

해설내용 :PKI 는 공개키 기반 구조 (Public Key Infrastructure) 로 , 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고 , 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반으로 , 국가가 공인한 인증서 ( 전자서명법에 의거 ) 를 국가 공인인증기관으로 부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking 에서 본인 인증 및 확인에 사용하는 공인 인증키 기반 구조 입니다 .



32. 모바일 보안 기술 - I평가 하기

문제 3 EAM 에 대해 말해 보시오


EAM (Extranet Access Management) 은 통합 인증 관리 기술로 , 애플리케이션이나 데이터에대한 사용자 접근을 결정

해설내용 : EAM 은 Single Sign On (SSO) 과 사용자의 인증을 관리하고 애플리케이션이나 데이터에 대한 사용자 접근을 결정하는 기술로 , 사용자의 접속 허용 여부 , 즉 사용자 인증 뿐만 아니라 , 사용자 인증 후 , 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다 .


EAM (Extranet Access Management) 은 통합 인증 관리 기술로 , 애플리케이션이나 데이터에대한 사용자 접근을 결정

해설내용 : EAM 은 Single Sign On (SSO) 과 사용자의 인증을 관리하고 애플리케이션이나 데이터에 대한 사용자 접근을 결정하는 기술로 , 사용자의 접속 허용 여부 , 즉 사용자 인증 뿐만 아니라 , 사용자 인증 후 , 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다 .

이번 시간에는

Documents