1 / 35

제 8 장 전자 상거래 보안

제 8 장 전자 상거래 보안. 대불대학교 컴퓨터정보공학부 김 형 호. 전자 상거래 개요. 전자 ( 인터넷 ) 공간에서 전자적 방식에 따라 이루어 지는 상거래 전자 상거래의 위협 요소는 컴퓨터 시스템과 네트워크의 위협 요인과 밀접. 기존의 응용 시스템의 보안 요구사항 데이터와 시스템 자원에 대한 사용자 접근 통제 및 시스템 이용에 대한 이력자원 관리. 전자상거래의 보안 요구사항 데이터 접근 통제 사용자 증명 , 데이터 내용에 대한 사후 검증 전자 서명의 필요 이질적인 시스템에 대한 포괄적 수용성

edward
Download Presentation

제 8 장 전자 상거래 보안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 제8장전자 상거래 보안 대불대학교 컴퓨터정보공학부 김 형 호 Daebul University

  2. 전자 상거래 개요 • 전자(인터넷) 공간에서 전자적 방식에 따라 이루어 지는 상거래 • 전자 상거래의 위협 요소는 컴퓨터 시스템과 네트워크의 위협 요인과 밀접 기존의 응용 시스템의 보안 요구사항 데이터와 시스템 자원에 대한 사용자 접근 통제 및 시스템 이용에 대한 이력자원 관리 • 전자상거래의 보안 요구사항 • 데이터 접근 통제 • 사용자 증명, 데이터 내용에 대한 사후 검증 • 전자 서명의 필요 • 이질적인 시스템에 대한 포괄적 수용성 • 호환성 이식성을 갖춘 보안체계의 표준화 Daebul University

  3. 전자 상거래 보안 위협 Daebul University

  4. 전자상거래 보안 요구사항 • 기본 요구사항 • 비밀성 • 무결성 • 인증 • 권한 부여 • 보증 • 프라이버시 보호 보안기술로 해결 가능 보안 기술로 해결 불가 법적, 제도적 차원에서 해결 Daebul University

  5. (1)지불수단발행 (신용카드, 전자화폐 등) (5)인증요청,입금,교환 (6)입금,교환 확인 (2)구매요구 (3)지불요구 (4)지불 판매자 구매자 (7)영수증,상품 전자상거래 절차 Daebul University

  6. 판매자 요구사항 • 구매자 신분확인 • 구매자의 자격확인(성년?, 미성년?) • 공인된 인증기관의 확인 • 부인 방지 • 신뢰할 수 있는 지불시스템 • 거래정보에 대한 익명성 보장 Daebul University

  7. 구매자 요구사항 • 상품에 대한 인증 • 판매자 확인 • 지불수단의 무결성 • 물품인도 청구권 • 영수증 • 거래정보 유출 방지 • 익명성 보장 Daebul University

  8. 전자상거래 지불 수단 • 추적 불가능, 프라이버시 제공 요구 • 은닉 서명 기술 사용 • 지불수단 • 전자현금 • E-Cash, Mondex(스마트 카드 방식) • 지불 브로커 방식 • 신용카드 거래, iKP, SET • 소액 지불 방식 Daebul University

  9. 컴퓨터보안 네트워크보안 관리적보안 시스템접근 데이터접근 가용성 비밀성 인증 무결성 부인방지 접근통제 가용성 접근통제 인원통제 보안 서비스 보안 정책 신분인증,접근통제,데이터 비밀성 데이터 무결성,부인방지, 가용성 보안정책 보안지침 보안절차 보안 메카니즘 암호,접근통제,전자서명,데이터 무결성 인증정보 교환,트래픽 패딩, 라우팅, 제3의 인증기관 전자 상거래 보안 구조 Daebul University

  10. 전자 지불 시스템 보안 • 전자지불 시스템 • 전자화폐 • 신용카드 • 전자수표 • 전자자금 이체 • (EFT : Electronic Fund Transfer) • 휴대전화 결재 Daebul University

  11. SET(Secure Electronic Transaction) • SET : • 신용카드 지불시, 보안상의 문제 해결을 위한 프로토콜 • VISA, Master Card사 공동 개발 • 해쉬 알고리즘 이용 • 임의의 길이의 입력 값을 받아 고정 길이의 암호문을 출력 • 시용카드 거래시의 시스템 요구사항 • 비밀성 • 인증 • 무결성 • 암호 알고리즘 및 프로토콜 • 상호 운용성 • 수용성 Daebul University

  12. SET 프로토콜 • 공개키 암호 알고리즘(RSA)을 기반으로 하여 개발 • 지불데이터와 구매 정보 보호를 통한 카드 정보 유출 방지 • 이중 서명을 통해 이용자의 신용 카드 정보가 판매자에게 공개되지 않은 상태에서 대금 결재 가능 Daebul University

  13. SET 프로토콜 기본 사항 • 고객 등록 프로토콜 • 고객 등록과 인증서 발급 • 상점 등록 프로토콜 • 카드 취급 상점 등록 및 인증서 발급 • 구매 요구 프로토콜 • 상품구매 계약시까지의 거래 당사자간 인증서 전달 • 지불 허가 프로토콜 • 상점이 고객의 신용카드 사용 허가 획득 • 지불 확인 프로토콜 • 계약 성립 후 상점 계좌에 입금 요구 Daebul University

  14. SET 지불시스템 참여자 • 구매자(카드소유자 : Customer) • 신용카드 발급 기관 • 판매자(Merchant) • 판매자측 금융기관(Acquirer) • 지불 게이트웨이(Card Reader) • 카드 상표(VISA, Master…) Daebul University

  15. SET에서의 거래 처리 Daebul University

  16. SET의 전자서명 처리 과정 Daebul University

  17. SET의 인증 구조 Daebul University

  18. iKP • IBM사에서 개발한 인터넷 전자 지불 프로토콜 • i 는 공개 키를 소유하는 당사자의 수 • 프로토콜 참여자 • 구매자(Customer) • 판매자(Merchant) • 구매자 거래은행(Issuer) • 판매자 거래은행(Acquirer) • 구매자와 판매자는 인터넷 상용 네트워크 사용 • 판매자와 Acquirer, Acquirer와 Issuer 사이는 다른 금융망을 사용 Daebul University

  19. iKP의 네트워크 구조 Daebul University

  20. iKP • 1KP • 판매자 거래은행(Acquirer) 만이 공개 키를 소유 • 2KP • 판매자(Merchant)와 판매자 거래은행(Acquirer) 만이 공개 키를 소유 • 3KP • 구매자(Customer), 판매자(Merchant)와 판매자 거래은행(Acquirer) 모두가 공개 키를 소유 Daebul University

  21. 사이버 캐시(Cash) • 구매자, 판매자, CyberCash사 3자간에 거래가 이루어짐 • CyberCash 사의 CyberCash Wallet 이라는 프로그램을 이용하여 계정 등록 후 사용자의 신용카드 정보를 기록한 후 이용 Daebul University

  22. CyberCash 거래 절차 Daebul University

  23. Milicent 프로토콜 • 참여주체 • 구매자 • 판매자 • 중개인 • Scrip이라는 전자 화폐를 이용 • 중개인 스크립(판매자의 스크립 라이센스를 받아 발행) • 판매자 스크립(판매자 직접 발행) Daebul University

  24. Scrip_Body 식별자 필드 VendorID, ScripID, CustomerID 인증관련 필드 Value, expiration, props Certificate Hash(Scrip_Body,masterScripSecret) 시스템 메커니즘 및 보안 메카니즘 • Scrip • 판매자들이 발행하는 판매자 고유의 가치를 지니는 일종의 전자 화폐 • 금액, 유효기간, 판매자 정보 등이 기록되어 있어 이중 사용을 쉽게발견, 방지할수 있다. • Scrip의 구조 Daebul University

  25. 스크립 보안 메카니즘 • 이중사용과 위조 방지를 위해 스크립 내에 인증서를 포함하고 있음 • 스크립 발행시 소유주임을 증명할 수 있도록 Custom_Secret을 함께 발행 • 스크립 비밀 정보 • Master_Scrip_Secret • Master_Custom_Secret Daebul University

  26. 인증서 생성 Daebul University

  27. Custom_Secret 생성 Daebul University

  28. Request Signature 생성 Request Scrip Custom_Secret Hash Request Signature Daebul University

  29. PayWord • 인터넷 상의 소액 지불을 위한 프로토콜 • 해쉬 체인 사용하여 암호화 계산 비용을 줄임 • 중개인과의 통신 비용 줄임 • 중개인과 Off-Line 지불 • 프로토콜 참여자 • 사용자 • 판매자 • 중계인 • 사용자가 판매자에게 지불한 해쉬 체인에 대한 인증, 판매자가 사용자에게 받은 금액만큼 판매자에게 입금 시키는 역할 Daebul University

  30. 중개인 Commitment, Patment(Wi,L) PayWord Certificate 구매정보 구매자 판매자 Commitment 와 Patment(Wi,i) PatWord System의 구성 Daebul University

  31. PayWord Chains PayWord PayWord Certificate PayWord Commitment PayWord 시스템 메카니즘 및 보안 메카니즘 구매자 발행 중계자 발행 Daebul University

  32. PayWord Chains • 구매자에 의해서 만들어 지는 구매자 전용 화폐 • 토큰의 집합이라 할 수 있음 T[n], T[n-1],,,, T[0]생성 T[0]는 PayWord Chains의 Root 값으로 각 토큰의 유효성 검사에 사용됨 T[n]의 값을 해쉬 알고리즘을 이용하여 Token W[n]을 생성 n = 1000; W_R = rand() T[n] = hash(W_R) for(i=n; i == 1; i--){ T[i-1] = hash(T[i]); } Daebul University

  33. PayWord Commitment • 사용자가 만드는 PayWord Chain 하나당 한개씩 생성한다 • 사용자가 만든 PayWord Chain에 화폐가치가 있음을 증명해 주는 증명서 • PayWord Chain 한개를 지불할 때 마다 판매자에게 전송된다 Daebul University

  34. 전자화폐 보안 • 전자화폐 보안 기술 Daebul University

  35. E-Cash 지불 시스템 개요 Daebul University

More Related