1 / 27

Mobile Internet Security

Mobile Internet Security. T h e W o r l d L e a d e r I n M o b i l e I n t e r n e t S e c u r i t y. 2002.3.29 i slee@misecurity.com. Make things secure & free. MI Security. 1. 기밀성 ( Confidentiality). 무결성 (Integrity) ). 2. 3. 확실성 / 인증 (Authenticity).

morey
Download Presentation

Mobile Internet Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Mobile Internet Security T h e W o r l d L e a d e r I n M o b i l e I n t e r n e t S e c u r i t y 2002.3.29 islee@misecurity.com Make things secure & free MISecurity

  2. 1 기밀성 (Confidentiality) 무결성 (Integrity)) 2 3 확실성/인증 (Authenticity) Service of Information Security(1) 통신시스템의 정보 및 전송정보가 인가 당사자만 읽을 수 있도록 통제하는 서비스 통신 시스템 및 전송정보가 오직 인가 당사자에 의해서만 수정 될 수 있도록 하는 서비스 변경, 상태변경, 삭제, 생성, 전송지연 등을 방지하는 서비스 메시지의 원본이 정확히 확인되고, 그 정보가 거짓이 아님을 보장하는 서비스

  3. 가용성 (Availability) 4 5 부인봉쇄 (Nonrepudiation) Service of Information Security(2) 통신 시스템 및 컴퓨터 시스템이 인가된 사용자가 필요로 할 경우 항상 이용할 수 있게 보장하는 서비스 메시지의 송, 수신자가 모두 전송 및 수신을 부인 할 수 없게 하는 서비스

  4. 급변하는 통신 환경 Mobile Business Capability (기업의 성장엔진) Multi-Media Services through Any Networks All IP Based Networks 3rd Gen. Mobile Networks 무선 고속 데이터통신 / H/W & S/W Enablers 통신·Network 환경의 진화 2nd Gen. Mobile Networks Mobile Business Model의 등장 (사업성장과 비용절감의 동시 달성) Internet / 음성이동통신 유선 Networks & 1st Gen. Mobile Networks 사내자원의 Network化를 통한 경영효율화 (Speed, Cost, Information Sharing) 기업경영의 기회요소

  5. Goal of Internet Service Market • 인터넷의 무궁한 컨텐츠를 언제 어디서나 누구나 안정적으로 안전하게 그리고 자유롭게 이용하게 하는 것 공통분모 N/W 환경 N/W 기술 • Protocol(physical/Data link layer) • PSTN/PSDN/Ethernet/ATM/CDMA/GSM/IMT2000 • Protocol(Network layer) • IPv4/WAP/MME/IPv6/Mobile IP/IPSec and so on. • 유선 인프라 • 전화/ADSL/전용선 • 무선 인프라 • 무선전화/무선 데이터 통신 • /IMT2000/무선 홈 네트워크

  6. Internet 기술 발전 • Network 기술 천이 • 향후 수년 내 음성과 데이터를 포함한 모든 네트워크는IP 기반의 네트워크로 통합 • IP Network 기술 천이 • IPv6, Mobile IP, All IP • Internet 응용분야의 발전 • 모든 네트워크용 디바이스는 인터넷 접속장치 및 IP Protocol의 발전에 힘입어 모두 인터넷에 연결될 것이다 • 유무선 통합 기술로의 천이 • 유선 네트워크는 무선의 실용성과 그 효능을 능가할 수 없고 무선 네트워크는 기존의 유선이 가지고 있는 컨텐츠를 무시 할 수 없어 무선의 클라이언트와 유선의 서비스 시스템으로 크게 구별되면서 유,무선은 네트워크는 응용서비스를 통해 빠르게 통합될 것이다.

  7. 유무선 인터넷 보안의 시작 • 유선 인터넷 보안의 시작 • 무선 인터넷 보안의 시작

  8. 유선 보안의 시작 • 유선 Internet 시작은 원격지의 시스템을 활용하거나 원격지의 파일/정보를 사용하기 위한 시스템들이었다. • System/Network Security • 침입차단시스템, 침입탐지시스템, 서버보안 시스템… • 이러한 인터넷 환경이 Commerce에 응용되기 시작하면서 전송되는 데이터에 대한 보안의 필요성을 느끼게 되었다. • Transaction Security • PKI, VPN, PGP…

  9. 무선 보안의 시작 • 무선 인터넷의 경우는 시작과 함께 그 이동성과 활용성을 가지고 Commerce에 먼저 활용되기 시작했다. 그리고 아직까지 네트워크, OS등의 표준화가 이루어지지 않고 있다. • Transaction Security • 향후 네트워크가 IP 네트워크로 발전하고 Mobile IP, IPv6, All IP시대가 되면 무선 환경에서의 시스템, 네트워크 보안이 필요하게 된다. • System/Network Security

  10. 국내 무선 인터넷 (Transaction Security를 위주로...) • 국내 무선 인터넷의 환경 • 국내 무선 인터넷 상의 보안 문제점

  11. 국내 무선 인터넷의 환경 • 이동통신 사업자의 무선 통신망을 활용 • 011, 017, 016, 018, 019 • 상이한 네트워크/프로토콜/VM/IP제어/OS • 이동 단말기에 비공인 IP 주소 할당 • 이동통신사가 기 확보한 공인 IP 조소 내에서의 동적 IP 조소를 할당하여 비공인 주소와 연결 • 몇몇 이동통신사에서 제공하는 IP 주소 변환과 더불어 포트 넘버의 변환

  12. 국내 무선 인터넷 상의 보안 문제점 • 무선 단말기에 할당되는 IP가 비공인 IP. • 무선 단말기에 할당되는 IP가 변동 IP. • 기업내부의 시스템에 접근하기 위해서는 무선단말기의 비공인 IP 주소에서 다시 기업 내부의 비공인 IP주소로 연결을 해야 한다. • IP 네트워크 기술상 불가능한 방법이다. • 기존의 침입탐지시스템으로 사용자별 접근제어를 할 수 없다. • 사용하는 방법은 이동통신사가 무선 단말기에 할당하는 IP Pool 모두를 열어주어야 고객에게 가용성을 보장할 수 있다.

  13. 무선 인터넷 보안 시스템 (Transaction Security를 위주로...) • W-PKI(Wireless-Public Key Infrastructure) • M-VPN(Mobile-Virtual Private Network) • W-PKI vs M-VPN

  14. W-PKI • 응용 계층의 보안 시스템 • 응용 프로그램과 독립적이지 못함. • 이동통신 서비스 사업자의 네트워크에 영향을 받지 않는 시스템 • 불특정 다수의 사람들에게 보안 서비스를 제공해주는 시스템 • 보안 정책을 구현하기 어려움.(침입차단 시스템 무용지물)

  15. W-PKI • 인증서 검증 방법의 문제점 • 인증서의 유효기간 • 검증할수있는인증기관에서배포된것인지 • 해당업무등에그인증서를사용할수있는것인지 • 인증서폐지목록(Certificate Revocation List : CRL)을포함한인증서를검증할정보들이 확인하는 작업 • 무선인터넷단말기는 • 제한된컴퓨팅파워 • 제한된 메모리를가지고있다.

  16. W-PKI • 인증서 검증 방법의 문제해결 • Shot Lived Certificate 방식 • 인증서의 유효기간을 기존의 인증서 폐지목록 갱신주기와 비슷하게 해서 클라이언트가 해당 인증서에 대한 인증서 폐지목록 검증작업을 하지 않는 방식이다. • 일반적으로 인증서의 유효기간은 1년 정도를 취하고 있지만 이것을 24시간 정도로 해서 24시간 정도의 시간적 기간이라면 별도의 인증서 폐지목록에 대한 검증을 하지 않아도 된다는 가정이다. • 이러한 경우 CA에서는 매일 전체 사용자의 인증서를 다시 만들어야 하는 아주 어려운 문제에 봉착하게 된다. • 현재 이러한 방식은 WAP의 WTLS에서 사용되어지고 있어 인증서를 WTLS 인증서라 한다.

  17. W-PKI • 인증서 검증 방법의 문제해결 • Online Certificate Status Protocol(OCSP) 방식 • 클라이언트가인증서검증작업을수행하기어려우므로별도3자에게인증서검증을요청하고그결과만클라이언트가받아작업을수행하는방식이다. • 이경우는유선에서는없었던OCSP 서버가필요하게되고무선을이용한클라이언트는받은인증서를OCSP 서버에게보내서그인증서의정확성여부를묻게된다. 그러면OCSP 서버가해당하는인증서의검증작업을해서클라이언트에게인증서의정확성여부를알려주게된다. • 이경우는인증서를일반적으로유선에서사용하는X.509v3 인증서를사용하게된다.

  18. W-PKI • 암호화알고리즘차이 • 유선상에서서명용알고리즘 : RSA 또는KCDSA • 무선상에서는CA의서명용알고리즘 • 사용자의전자서명용인증서 : ECDSA (엘립틱커브(Elliptic Curve)를이용)  RSA가보안적으로안전하기위해서필요한키의길이가1024bit인데반해엘립틱커브는약160bit로RSA 1024bit의보안강도를갖기때문이다.

  19. W-PKI

  20. W-PKI • WPKI의전체적인가상시나리오 • 가.Handset의사용자가RA와의직접대면을통해인증서발급신청을하고RA가발급한참조번호, 인가코드를받는다. 사용자의Handset을통해직접인증서발급에필요한개인키와공개키쌍을생성하고, 자신의인증서발급신청시RA로부터전달받은참조번호와인가코드를이용하여RA에접속하여인증서를발급받는다. • 나. 사용자가서비스를원하는CP Server와의통신이이루어질때CP Server의특정한서비스가암호화채널을요구할경우Handset과CP Server는각각자신의인증서를이용하여handshake가이루어진다. 이때, 서버가Handset의인증서를검증하는방법은서버인증서가X.509v3 형태의인증서일경우OCSP 서버를통해인증서상태를확인하고만약서버의인증서가WTLS 인증서일경우, Handset은CP Server의인증서에대한자체검증만을수행함으로써인증서의유효성을검증한다. • 다. Handshake을통해Handset과CP Server 사이에안전한암호화채널이형성되면생성된암호화채널을통해Handset과CP Server는안전한통신이가능하다. 암호화채널을통해Handset과CP Server가서로통신을하다가물건의구매신청과같은특정한데이터에대해서는추후에발생할수도있는논쟁을막기위한방법으로전자서명을생성하여이를전송하게된다.

  21. M-VPN • 네트워크 계층의 보안 시스템 • 응용 프로그램과는 독립적인 시스템 • 이동통신 서비스 사업자의 네트워크에 영향을 많이 받는 시스템 • 비공인 주소와 비공인 주소를 연결하는 유일한 방법을 제공하는 시스템(Encapsulation 기능) • 특정 다수의 사람들에게 보안 서비스를 제공해주는 시스템

  22. M-VPN 이동통신 단말기에서 컨텐츠 서버까지의 페킷 흐름 • 사용자는 자신이 접속하고자 하는 VPN Gateway와 WINGS-MV 클라이언트 프로그램을 이용하여 상호인증 및 보안 채널을 형성한다. • 보안채널이 형성된 후, 사용자가 VPN Gateway 내부의 Private Network에 접속을 시도하면, PDA에 설치되어 있는 VPN 모듈이 IP 패킷을 암호화하고 ESP Packet을 만들고, 새로운 IP Header를 덧붙여 새로운 IP 패킷을 생성한 후, 이를 PPP모듈로 전달해준다. PPP 모듈은 전달받은 IP 패킷을 PPP Header로 감싼 후, 이동통신 사업자의 PPP Server에게 전달한다. • PPP Server는 수신한 PPP 패킷에서 PPP Header를 제거한 후, IP Packet을 NAT 장비로 전달하게 된다. • NAT 장비는 수신한 IP Packet의 Source Address를 공인 IP로 바꾸어준 후, 이를 VPN Gateway로 전달한다. • VPN Gateway는 수신한 IP Packet으로부터 ESP Packet을 추출한 후, 이를 복호화하여 원본 패킷을 복원한 후 내부 네트웍으로 전달해준다.

  23. M-VPN 이동통신 단말기에서 컨텐츠 서버까지의 페킷 흐름도

  24. M-VPN 컨텐츠 서버에서 이동통신 단말기 까지의 페킷의 흐름 • 서버가 사용자에게 데이터를 보내면, VPN Gateway는 IP Packet을 사용자와 협의한 IPSEC SA를 이용해 암호화하여 ESP Packet을 구성한다. 그리고, 새로운 IP Header를 덧붙여 IP Packet을 만든 후, 이를 인터넷망을 통해 사용자에게 전송한다. • NAT 장비는 사용자에게 전달되는 IP 패킷의 Destination Address를 사용자의 PDA에 할당되어진 사설 IP 주소로 변환한 후, 내부 무선 인터넷망을 통해 사용자 PDA로 전달해준다. • 사용자는 수신한 IP 패킷으로부터 ESP 패킷을 추출하고, VPN Gateway와 협의한 IPSEC SA를 이용해 복호화하여 원본 패킷을 복원한다. 그런 후, 이를 상위 레이어로 전달해준다.

  25. M-VPN 컨텐츠 서버에서 이동통신 단말기 까지의 페킷의 흐름도

  26. 항목 W-PKI M-VPN 비고 적용 응용 프로그램 • 불특정 다수에게 서비스하는 보안 • 특정 다수에게 서비스하는 보안 보안적 측면 • N/W보안 취약 (F/W 룰 설정 불가) • 네트워크와 전송데이타의 완벽한 보안 서비스 적용 규모면 대규모의 응용 서비스 • 특정 사용자를 위한 규모의 응용 서비스 보안 정책 측면 신규 보안 정책 설정 필요 기존의 보안 정책 적용 신규 시스템적 측면  W-PKI 신규 시스템 필요 • 기존의 VPN 기술 이용 (기술적 이해 용이) 응용 프로그램 관계 응용프로그램마다 연동 필요 응용프로그램과 독립적 비용적 측면 고가 중가 W-PKI vs M-VPN

  27. 질의응답

More Related