이번 시간에는
DESCRIPTION
이번 시간에는. 지난 시간에는 모바일 데이터 동기화를 위한 SyncML 의 기본 개념 , SyncML 동기화에 사용하는 XML Representation 과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다 . 이번 시간에는 2 회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다. 학습 목표. 32 회차 강의에서 다루게 되는 내용은 다음과 같습니다. 모바일 보안 기술 - I. 이번 장의 학습 목표. 모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다 . - PowerPoint PPT PresentationTRANSCRIPT
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I이번 시간에는 ...
지난 시간에는 모바일 데이터 동기화를 위한 SyncML 의 기본 개념 , SyncML 동기화에 사용하는
XML Representation 과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다 .
이번 시간에는 2 회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다 .
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I학습 목표
1) 모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다 .
2) 보안 암호화 및 전자 서명 기술에 대해 알 수 있다 .
3) PKI 및 SSL 에 대해 알 수 있다 .
4) 개인화 권한 관리에 대해 알 수 있다 .
이번 장의 학습 목표
32 회차 강의에서 다루게 되는 내용은 다음과 같습니다 .
모바일 보안 기술 - I
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I모바일 보안
도청 또는 감청 Eavesdropping and Packet Sniffing
Snooping or Browsing
변조 , 조작 또는 탈취 , 사기 Tampering or Data Diddling
Spoofing ( 발신자 IP 주소의 변조 )
위장 및 권한위조 Masquerade or Authorization violation
서비스거부 : Denial of Service
악성코드 Malicious Code( 바이러스 , 트로이목마 , 웜 )
비밀 보호 ( 기밀성 : Confidentiality)
인터넷 상의 정보는 도청 가능성이 높으므로 암호화 필요
임의 수정 방지 ( 무결성 : Integrity, 부인방지 :Non-repudiation)
전자문서는 수정한 흔적이 남지 않는 단점 수정 흔적이 남아야 함
본인 확인 ( 신원확인 : Authentication)
인감증명서와 같이 본인이 맞다는 사실의 공신력 있는 기관 증명
서비스 거부 공격으로부터 보호 ( 가용성 : Availability)
보안운영체제 , 침입방지시스템 등에 의해 보호
해킹 및 바이러스로부터 보호
방화벽 , 침입탐지시스템 , 바이러스 백신 등에 의해 보호
보안 위협 요소 보안 요구 사항
모바일 서비스의 보안 무선 데이터의 안전한 전송 및 처리를 위해 보안과 인증 처리 기술의 유용한 기반 인프라 제공 필요
보안 위협 요소
통화 내용 , 사용자 등록 정보 , 사용자 위치 정보 , 사용자 관리 정보 등의 도난 / 변조 / 파괴 / 불법 노출에서 서비스 품질 파괴 , 로밍 정보를 이용한 사용자 위치 추적 등
보안 요구 사항
기술적 요구 사항 : 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등
서비스 요구 사항 : 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공 필요
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
모바일 서비스의 보안 무선 인터넷 보안은 모바일 기반의 전자상거래에서 매우 중요한 요소 기술
모바일 전자 상거래 분야 : 무선 금융 , 무선 증권 , 무선 뱅킹 , 무선 판매 및 구매 서비스 , 무선 광고 , 무선 위치 서비스 , 전자상거래 , 고객관리 , 물류 , 운송 , 교육 등
보안 기술 적용 및 발전으로 신뢰성 구축 및 모바일 비즈니스 활성화
무선 보안 기술 적용을 위한 단말 요구 사항
전자 서명키 생성
메시지 암복호화
인증서 요청 및 관리
인증서 수신 , 검증 , 저장 및 송신
전자서명된 데이터의 수신 , 검증 , 저장 및 송신
전자서명 데이터 생성
보안 구조에 대한 표준화 시급
보안은 서비스가 아니고 기반구조
플랫폼 표준규격에 보안 요구사항 부족
M- 비즈니스 활성화를 위하여 투자 확대 필요
정책적인 지원
표준화 활동 활성화
범 국가적 보안 구조 정립
모바일 보안
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I보안 기술
MechanismsServices Encryption
Digital signature
Access Control
Data Integrity
Authentication Exchange
Authentication O O O
Access Control O
Confidentiality O O
Integrity O O
Non-repudiation O O
보안 기술 개요 보안 서비스와 보안 Mechanism
대칭형 암호기술 (Symmetric Cryptography) : DES, SEED 등
비대칭형 암호기술 (Asymmetric Cryptography) : RSA 등
전자서명기술 (Digital Signature)
DSS 등 - 인증기술 (Authentication) : X.509, PKIX 등
전송중인 정보의 변경방지 ( 무결성 보장 : Integrity)
정보전송 사실의 부인방지 ( 부인방지 보장 : Non-Repudiation)
웹 시큐리티 기술 : SSL 등
네트워크 보안기술 : IPSEC 등
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I보안 기술 인증 및 보안 계층 - 암호화
대칭형 암호화 기술
관용 암호방식 ( 단일키 방식 , 대칭형 알고리즘 )
대칭형 암호화 기술 특징
송신자 / 수신자가 키 관리에 조심
암호화 및 복호화 Key 가 동일
대칭형 암호기술에 비하여 암호 및 복호 속도가 빠름 (100배 이상 )
키 관리 및 분배의 어려움
대칭형 암호화 기술 예
DES( Data Encryption Standard)
RC4
암호키 복호키전자문서( 암호화 된 )
전자문서( 복호화 된 )
평문 암호문
Internet
평문
암호화 복호화
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I보안 기술
인증 및 보안 계층 - 암호화
비대칭형 암호 기술
공개 키 암호방식 (Public Key Cryptography)
비대칭형 암호기술 특징
암호화와 복호화에 사용되는 키 , 즉 암호화키 ( 공개키 ) 및 복호화키 ( 비밀키 ) 가 서로 다름
대칭형 암호기술에 비하여 암호 및 복호 속도가 느림
키 관리 및 키 분배가 용이함
비대칭형 암호기술 예
RSA(Rivest-Shamir-Adelman) 등
암호키 복호키전자문서( 암호화 된 )
전자문서( 복호화 된 )
Public KeyPrivate
Key
평문 평문암호문
Internet
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
Internet
Hash 값 암호화(A 의 Private Key)
Hash 함수(SHA-160)
Hash 값
복호화(A 의 Public Key)
Hash 값
비교검증
AB
전자서명
전자문서전자문서
Hash 함수
보안 기술 인증 및 보안 계층 - 전자 서명
전자 서명 기술
전자 서명 기술 특징
전송중인 정보의 변경방지 무결성 보장 : Integrity
정보전송 사실의 부인방지 부인 방지 보장 : Non-Repudiation
암호화키 ( 공개키 ) 및 복호화키 ( 비밀키 ) 가 서로 다름
전자 서명 기술 동작 방식
송신자는 자신의 개인키 ( 비밀키 ) 로 암호화 하여 전자서명 생성 ,
수신자는 공개된 공개키로 전자서명을 복호화 하여 전자서명 검증
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I보안 기술 PKI
공개키 기반 구조 (Public Key Infrastructure)
공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반
국가 공인 인증서 ( 전자서명법 )
공인인증기관이 인증한 전자서명에 대하여 법적 효력
전자서명을 기명날인 또는 서명과 동등한 효력부여
정보통신부장관이 공인인증기관 지정
국가 ( 정보통신부 장관 ) 로부터 공인을 받아 전자서명 키 인증관리체계 ( PKI ) 를 갖추고 통신망을 통하여 개인 , 법인 등에게 전자서명 검증키를 인증 ( 인증서 발급 ) 하는 업무를 취급하는 자
공인인증기관 인증서 발급 , 효력 정지 , 폐지 , 취소 업무 수행
한국정보인증㈜ , 금융 결재원 , 한국 증권 전산원 등
PKI 구조
안전한 전자상거래
전자인증 제도
전자서명 기술 ( 키 ) 안정적 운용
PKI 기술
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
PKI Client( 상거래 이용자 )
PKI Server( 상거래 서비스 )
인증기관디렉토리 서버
인증서
등록기관 (RA)
보안 기술 PKI
PKI 구성요소
인증기관 & 등록증 기관 (RA)
고객 식별 , 등록 , 인증서 생성 기능
인증서 X.509 버전 3 인증서 규격을 준수하는 인증서 생성 , X.509 버전 2 인증서 규격을 준수하는 인증서 폐지 목록 생성
디렉토리 시스템
고객 인증서 등록 및 관리 기능 , 인증서의 효력정지 및 폐지에 관한 기록 등록 . 관리 기능
고객 인증서와 효력정지 및 폐지에 관한 기록을 LDAP(Lightweight Directory Access Protocol) 을 통해 검색기능
인증서 사용자
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I보안 기술 SSL
Secure Socket Layer 개요
TCP/IP 계층과 Application 계층 사이에 위치하여 데이터를 송수신하는 종단간 보안 서비스를 제공
SSL 특징
클라이언트 및 서버간 안전한 채널 형성
종단간 (End-to-End) 보안 서비스 제공
클라이언트 및 서버 인증 (Authentication) : 통신하는 주체간 서로 상대방 확인 가능
공개키 알고리즘 (RSA, DSS, Diffie-Hellman)
X. 509 공개키 인증서
기밀성 제공 : 통신중 정보 보안 통신 주체만이 통신 내용 볼 수 있음
Handshake Protocol 에 의한 비밀키 (세션키 ) 공유
DES, RC2, RC4, 3-DES 등
무결성 제공 : 통신 중 정보 변경 방지
Hashed MAC (Message Authentication Code)
SHA-1(160 비트 ), MD5(128비트 )
SSL Lower layer
SSL Higher LayerSSL
TCP
HTTP
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
Record LayerSSL
TCP
HTTP
Handshake Protocol
Change Cipher Spec
Alert protocol
Application
보안 기술 SSL
Secure Socket Layer 구성
SSL Higher Layer ( 제어 프로토콜 )
Handshake Protocol 한 세션동안 이용되는 암호 매개변수 생성 및 비밀정보를 공유
Change Cipher Spec Protocol
Alert Protocol
SSL Lower Layer
Record Protocol 클라이언트와 서버 사이에 데이터 (블록 단위 ) 를 주고 받는 역할 , 최대 블록 크기 : 16,384 Byte
Messages 암호화 과정
응용계층의 자료 암호화 과정
SSL 프로토콜은 자료를 안전하게 전송할 수 있도록 암호 알고리즘
합의된 MAC(Message Authentication Code) 를 이용한 무결성 제공
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
컨텐츠 및 사용자 관리
Authentication ( 사용자 인증 ) 과 다른 Authorization (각 자원별 사용 권한 ) 에 대한 보안
권한 분배 기능 (RBAC) 기반 PMI 기술 자원 Access 권한 관리
EAM 기술 Role 기반 Access 권한 관리
개인화된 포털 서비스
Portal Services
Content
E-commerce
Electronic Bill Payment
Advertising
Location Based Services
Mobile Banking
Personal Communications
Voice dialling
Personal directory
Personal schedule
WirelessPortal
Unified Messaging
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
Privilege Management Infrastructure
PMI 정의
다양한 애플리케이션 환경에서 특정 자원 ( 시스템 및 애플리케이션 등 ) 에 접근할 수 있는 권한을 사용자 별로 차등 부여함으로써 보안을 책임지는 기반구조
RBAC (Role Based Access Control) Model 권한 분배 기능
각 사용자별로 주어진 서비스 이용 권한에 따라 정보 Access 권한 분배 기능
정보 이용 Session 설정 ( 이용시작 ), 해지 ( 이용종료 ) 및 취소 ( 이용불가 ) 설정
PMI
Administrator ServicesServices
User
Sessions
ObjObj ObjObj ObjObj ObjObj
Permissions
Roles
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
Extranet Access Management
통합 인증 관리 (EAM)
Single Sign On (SSO) 과 사용자의 인증을 관리하고 서비스 및 데이터에 대한 사용자 Access 허용 및 차단을 결정하여 기업 내 정책 (policy) 을 구현하는 단일화 된 Mechanism 제공
Authentication ( 접속 인증 ) 뿐만 아니라 Authorization ( 사용 권한 ) 의 관리 Administrator, User, Guest 등 각 사용자 사용 권한 설정 관리 및 권한별 자원 Access 제어
통합 인증 관리 (EAM) 예
한번의 로그인으로 다양한 시스템을 사용할 수 있음 (Single Sign On)
사용자의 정보에 대한 접근을 중앙에서 통제할 수 있음 (Access Control)
EAM
Leg
acy &
A
pp
licatio
n
EA
M
시스템
Clie
nt
Sin
gle
Sig
n
On
Access
Con
trol
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I
여러 형태의 인증 (Authentication) 을 관리 , 운영하는 기법 제공
전자서명 + 스마트 카드 + 생체인증 등 EAM 솔루션
PKI 응용으로 확대 예상 전자결재 등 다양한 솔루션과 결합
속성 인증서 (Attribute Certificates) 의 발급 , 저장 , 유통 , 검증 등을 포괄하는 권한관리 기반구조
EAM
(Extranet Access Management) PMI
(Privilege Management Infrastructure)
PMI, EAM 권한 관리와 PKI 인증 관리 PMI, EAM 권한 관리
PKI 인증 관리
PKI 는 점진적으로 Access 자체에 대한 보안 뿐 아니라 , 각 사용자 Level 별 권한 관리로 확대
PKI, PMI, EAM 비교
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I요약 정리
1) 모바일 서비스 보안 개요 및 요구사항에 대해 알아보았습니다 .
2) 보안 암호화 및 전자 서명 기술에 대해 알아보았습니다 .
3) PKI 및 SSL 에 대해 알아보았습니다 .
4) RBAM, PMI, EAM 등 개인화 권한 관리에 대해 알아보았습니다 .
이번 시간에 소개했던 내용을 정리해 봅시다 .
다음 시간에는 모바일 보안 기술 - II 에 대하여 학습하시게 될 것입니다 .
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I평가 하기
문제 1 모바일 서비스의 보안 요구사항에 대해 말해 보시오
정답은 다음과 같습니다 .
비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인 (Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호
해설내용 : 모바일 보안 보안 요구 사항으로 , 기술적 요구 사항에는 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등이 있습니다 . 모바일 보안은 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공이 필요합니다 .
정답은 다음과 같습니다 .
비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인 (Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호
해설내용 : 모바일 보안 보안 요구 사항으로 , 기술적 요구 사항에는 인증 , 접근 제어 , 가용성 유지 , 부인 봉쇄 , 무결성 유지 , 비밀성 유지 기술 등이 있습니다 . 모바일 보안은 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공이 필요합니다 .
문제 2 PKI 보안 기술에 대해 말해 보시오
정답은 다음과 같습니다 .
국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조
해설내용 :PKI 는 공개키 기반 구조 (Public Key Infrastructure) 로 , 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고 , 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반으로 , 국가가 공인한 인증서 ( 전자서명법에 의거 ) 를 국가 공인인증기관으로 부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking 에서 본인 인증 및 확인에 사용하는 공인 인증키 기반 구조 입니다 .
정답은 다음과 같습니다 .
국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조
해설내용 :PKI 는 공개키 기반 구조 (Public Key Infrastructure) 로 , 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고 , 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반으로 , 국가가 공인한 인증서 ( 전자서명법에 의거 ) 를 국가 공인인증기관으로 부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking 에서 본인 인증 및 확인에 사용하는 공인 인증키 기반 구조 입니다 .
한국산업기술대학교 온라인 기술교육 교재 개발
차세대 모바일 디지털 컨텐츠
32. 모바일 보안 기술 - I평가 하기
문제 3 EAM 에 대해 말해 보시오
정답은 다음과 같습니다 .
EAM (Extranet Access Management) 은 통합 인증 관리 기술로 , 애플리케이션이나 데이터에대한 사용자 접근을 결정
해설내용 : EAM 은 Single Sign On (SSO) 과 사용자의 인증을 관리하고 애플리케이션이나 데이터에 대한 사용자 접근을 결정하는 기술로 , 사용자의 접속 허용 여부 , 즉 사용자 인증 뿐만 아니라 , 사용자 인증 후 , 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다 .
정답은 다음과 같습니다 .
EAM (Extranet Access Management) 은 통합 인증 관리 기술로 , 애플리케이션이나 데이터에대한 사용자 접근을 결정
해설내용 : EAM 은 Single Sign On (SSO) 과 사용자의 인증을 관리하고 애플리케이션이나 데이터에 대한 사용자 접근을 결정하는 기술로 , 사용자의 접속 허용 여부 , 즉 사용자 인증 뿐만 아니라 , 사용자 인증 후 , 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다 .