190 likes | 502 Views
이번 시간에는. 지난 시간에는 모바일 데이터 동기화를 위한 SyncML 의 기본 개념 , SyncML 동기화에 사용하는 XML Representation 과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다 . 이번 시간에는 2 회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다. 학습 목표. 32 회차 강의에서 다루게 되는 내용은 다음과 같습니다. 모바일 보안 기술 - I. 이번 장의 학습 목표. 모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다 .
E N D
이번 시간에는... 지난 시간에는 모바일 데이터 동기화를 위한 SyncML의 기본 개념, SyncML 동기화에 사용하는 XML Representation과 SyncML Sync 프로토콜 및 SyncML 구성 예에 대해 알아보았습니다. 이번 시간에는 2회차에 걸쳐 모바일 보안 기술에 대하여 학습해 보도록 하겠습니다.
학습 목표 32 회차 강의에서 다루게 되는 내용은 다음과 같습니다. 모바일 보안 기술 - I 이번 장의 학습 목표 모바일 서비스 보안 개요 및 요구사항에 대해 알 수 있다. 보안 암호화 및 전자 서명 기술에 대해 알 수 있다. PKI 및 SSL에 대해 알 수 있다. 개인화 권한 관리에 대해 알 수 있다.
모바일 보안 • 모바일 서비스의 보안 • 무선 데이터의 안전한 전송 및 처리를 위해 보안과 인증 처리 기술의 유용한 기반 인프라 제공 필요 • 보안 위협 요소 • 통화 내용, 사용자 등록 정보, 사용자 위치 정보, 사용자 관리 정보 등의 도난/변조/파괴/불법 노출에서 서비스 품질 파괴, 로밍 정보를 이용한 사용자 위치 추적 등 • 보안 요구 사항 • 기술적 요구 사항 : 인증, 접근 제어, 가용성 유지, 부인 봉쇄, 무결성 유지, 비밀성 유지 기술 등 • 서비스 요구 사항 : 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공 필요 보안 요구 사항 보안 위협 요소 • 도청 또는 감청 • Eavesdropping and Packet Sniffing • Snooping or Browsing • 변조, 조작 또는 탈취, 사기 • Tampering or Data Diddling • Spoofing (발신자 IP 주소의 변조) • 위장 및 권한위조 • Masquerade or Authorization violation • 서비스거부 : Denial of Service • 악성코드 • Malicious Code(바이러스, 트로이목마, 웜) • 비밀 보호(기밀성: Confidentiality) • 인터넷 상의 정보는 도청 가능성이 높으므로 암호화 필요 • 임의 수정 방지 (무결성: Integrity,부인방지:Non-repudiation) • 전자문서는 수정한 흔적이 남지 않는 단점 수정 흔적이 남아야 함 • 본인 확인(신원확인: Authentication) • 인감증명서와 같이 본인이 맞다는 사실의 공신력 있는 기관 증명 • 서비스 거부 공격으로부터 보호 (가용성: Availability) • 보안운영체제, 침입방지시스템 등에 의해 보호 • 해킹 및 바이러스로부터 보호 • 방화벽, 침입탐지시스템, 바이러스 백신 등에 의해 보호
모바일 보안 • 모바일 서비스의 보안 • 무선 인터넷 보안은 모바일 기반의 전자상거래에서 매우 중요한 요소 기술 • 모바일 전자 상거래 분야 : 무선 금융, 무선 증권, 무선 뱅킹, 무선 판매 및 구매 서비스, 무선 광고, 무선 위치 서비스, 전자상거래, 고객관리, 물류, 운송, 교육 등 • 보안 기술 적용 및 발전으로 신뢰성 구축 및 모바일 비즈니스 활성화 • 무선 보안 기술 적용을 위한 단말 요구 사항 • 전자 서명키 생성 • 메시지 암복호화 • 인증서 요청 및 관리 • 인증서 수신, 검증, 저장 및 송신 • 전자서명된 데이터의 수신, 검증, 저장 및 송신 • 전자서명 데이터 생성 • 보안 구조에 대한 표준화 시급 • 보안은 서비스가 아니고 기반구조 • 플랫폼 표준규격에 보안 요구사항 부족 • M-비즈니스 활성화를 위하여 투자 확대 필요 • 정책적인 지원 • 표준화 활동 활성화 • 범 국가적 보안 구조 정립
보안 기술 • 보안 기술 개요 • 보안 서비스와 보안 Mechanism • 대칭형 암호기술 (Symmetric Cryptography) : DES, SEED 등 • 비대칭형 암호기술 (Asymmetric Cryptography) : RSA 등 • 전자서명기술 (Digital Signature) • DSS 등 - 인증기술(Authentication) : X.509, PKIX 등 • 전송중인 정보의 변경방지 (무결성 보장 : Integrity) • 정보전송 사실의 부인방지 (부인방지 보장 : Non-Repudiation) • 웹 시큐리티 기술 : SSL 등 • 네트워크 보안기술 : IPSEC 등
보안 기술 • 인증 및 보안 계층 - 암호화 • 대칭형 암호화 기술 • 관용 암호방식(단일키 방식, 대칭형 알고리즘) • 대칭형 암호화 기술 특징 • 송신자/수신자가 키 관리에 조심 • 암호화 및 복호화 Key 가 동일 • 대칭형 암호기술에 비하여 암호 및 복호 속도가 빠름 (100배 이상) • 키 관리 및 분배의 어려움 • 대칭형 암호화 기술 예 • DES( Data Encryption Standard) • RC4 암호화 복호화 Internet 복호키 암호키 전자문서 (암호화 된) 전자문서 (복호화 된) 평문 암호문 평문
평문 암호문 평문 Internet 복호키 암호키 전자문서 (암호화 된) 전자문서 (복호화 된) Public Key Private Key 보안 기술 • 인증 및 보안 계층 - 암호화 • 비대칭형 암호 기술 • 공개 키 암호방식 (Public Key Cryptography) • 비대칭형 암호기술 특징 • 암호화와 복호화에 사용되는 키, 즉 암호화키(공개키) 및 복호화키(비밀키)가 서로 다름 • 대칭형 암호기술에 비하여 암호 및 복호 속도가 느림 • 키 관리 및 키 분배가 용이함 • 비대칭형 암호기술 예 • RSA(Rivest-Shamir-Adelman) 등
A Hash 함수 B Internet 전자문서 Hash 값 전자문서 비교검증 전자서명 Hash 함수(SHA-160) Hash 값 복호화 암호화 Hash 값 (A 의 Private Key) (A 의 Public Key) 보안 기술 • 인증 및 보안 계층 - 전자 서명 • 전자 서명 기술 • 전자 서명 기술 특징 • 전송중인 정보의 변경방지 무결성 보장 : Integrity • 정보전송 사실의 부인방지 부인 방지 보장 : Non-Repudiation • 암호화키(공개키) 및 복호화키(비밀키)가 서로 다름 • 전자 서명 기술 동작 방식 • 송신자는 자신의 개인키(비밀키)로 암호화 하여 전자서명 생성, • 수신자는 공개된 공개키로 전자서명을 복호화 하여 전자서명 검증
PKI 기술 전자서명 기술(키)안정적 운용 전자인증 제도 안전한 전자상거래 보안 기술 • PKI • 공개키 기반 구조 (Public Key Infrastructure) • 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반 • 국가 공인 인증서 (전자서명법) • 공인인증기관이 인증한 전자서명에 대하여 법적 효력 • 전자서명을 기명날인 또는 서명과 동등한 효력부여 • 정보통신부장관이 공인인증기관 지정 • 국가(정보통신부 장관)로부터 공인을 받아 전자서명 키 인증관리체계( PKI )를 갖추고 통신망을 통하여 개인, 법인 등에게 전자서명 검증키를 인증 (인증서 발급) 하는 업무를 취급하는 자 • 공인인증기관 인증서 발급, 효력 정지, 폐지, 취소 업무 수행 • 한국정보인증㈜, 금융 결재원, 한국 증권 전산원 등 • PKI 구조
PKI Client (상거래 이용자) 인증서 디렉토리 서버 인증기관 PKI Server (상거래 서비스) 등록기관 (RA) 보안 기술 • PKI • PKI 구성요소 • 인증기관 & 등록증 기관 (RA) • 고객 식별, 등록, 인증서 생성 기능 • 인증서 X.509 버전 3 인증서 규격을 준수하는 인증서 생성, X.509 버전 2 인증서 규격을 준수하는 인증서 폐지 목록 생성 • 디렉토리 시스템 • 고객 인증서 등록 및 관리 기능, 인증서의 효력정지 및 폐지에 관한 기록 등록. 관리 기능 • 고객 인증서와 효력정지 및 폐지에 관한 기록을 LDAP(Lightweight Directory Access Protocol)을 통해 검색기능 • 인증서 사용자
HTTP SSL Higher Layer SSL SSL Lower layer TCP 보안 기술 • SSL • Secure Socket Layer 개요 • TCP/IP 계층과 Application 계층 사이에 위치하여 데이터를 송수신하는 종단간 보안 서비스를 제공 • SSL 특징 • 클라이언트 및 서버간 안전한 채널 형성 • 종단간(End-to-End) 보안 서비스 제공 • 클라이언트 및 서버 인증 (Authentication) :통신하는 주체간 서로 상대방 확인 가능 • 공개키 알고리즘 (RSA, DSS, Diffie-Hellman) • X. 509 공개키 인증서 • 기밀성 제공 : 통신중 정보 보안 통신 주체만이 통신 내용 볼 수 있음 • Handshake Protocol 에 의한 비밀키 (세션키) 공유 • DES, RC2, RC4, 3-DES 등 • 무결성 제공 : 통신 중 정보 변경 방지 • Hashed MAC (Message Authentication Code) • SHA-1(160비트), MD5(128비트)
HTTP Application Handshake Protocol Change Cipher Spec Alert protocol SSL Record Layer TCP 보안 기술 • SSL • Secure Socket Layer 구성 • SSL Higher Layer (제어 프로토콜) • Handshake Protocol 한 세션동안 이용되는 암호 매개변수 생성 및 비밀정보를 공유 • Change Cipher Spec Protocol • Alert Protocol • SSL Lower Layer • Record Protocol 클라이언트와 서버 사이에 데이터(블록 단위)를 주고 받는 역할, 최대 블록 크기 : 16,384 Byte • Messages 암호화 과정 • 응용계층의 자료 암호화 과정 • SSL 프로토콜은 자료를 안전하게 전송할 수 있도록 암호 알고리즘 • 합의된 MAC(Message Authentication Code)를 이용한 무결성 제공
Portal Services Content Personal Communications E-commerce Wireless Portal Location Based Services Voice dialling Personal directory Advertising Unified Messaging Personal schedule Mobile Banking Electronic Bill Payment 개인화된 포털 서비스 • 컨텐츠 및 사용자 관리 • Authentication (사용자 인증) 과 다른 Authorization (각 자원별 사용 권한) 에 대한 보안 • 권한 분배 기능 (RBAC) 기반 PMI 기술 자원 Access 권한 관리 • EAM 기술 Role 기반 Access 권한 관리
User Sessions Roles Obj Obj Obj Obj Permissions Services Administrator Services PMI • Privilege Management Infrastructure • PMI 정의 • 다양한 애플리케이션 환경에서 특정 자원 (시스템 및 애플리케이션 등)에 접근할 수 있는 권한을 사용자 별로 차등 부여함으로써 보안을 책임지는 기반구조 • RBAC (Role Based Access Control) Model 권한 분배 기능 • 각 사용자별로 주어진 서비스 이용 권한에 따라 정보 Access 권한 분배 기능 • 정보 이용 Session 설정 (이용시작), 해지 (이용종료) 및 취소 (이용불가) 설정
Legacy & Application Access Control Single Sign On EAM 시스템 Client EAM • Extranet Access Management • 통합 인증 관리 (EAM) • Single Sign On (SSO)과 사용자의 인증을 관리하고 서비스 및 데이터에 대한 사용자 Access 허용 및 차단을 결정하여 기업 내 정책(policy)을 구현하는 단일화 된 Mechanism 제공 • Authentication (접속 인증) 뿐만 아니라 Authorization (사용 권한)의 관리 Administrator, User, Guest 등 각 사용자 사용 권한 설정 관리 및 권한별 자원 Access 제어 • 통합 인증 관리 (EAM) 예 • 한번의 로그인으로 다양한 시스템을 사용할 수 있음 (Single Sign On) • 사용자의 정보에 대한 접근을 중앙에서 통제할 수 있음 (Access Control)
여러 형태의 인증(Authentication)을 관리, 운영하는 기법 제공 • 전자서명 + 스마트 카드 + 생체인증 등 EAM 솔루션 • 속성 인증서(Attribute Certificates)의 발급, 저장, 유통, 검증 등을 포괄하는 권한관리 기반구조 EAM (Extranet Access Management) PMI (Privilege Management Infrastructure) • PKI 응용으로 확대 예상 • 전자결재 등 다양한 솔루션과 결합 PKI, PMI, EAM 비교 • PMI, EAM 권한 관리와 PKI 인증 관리 • PMI, EAM 권한 관리 • PKI 인증 관리 • PKI는 점진적으로 Access 자체에 대한 보안 뿐 아니라, 각 사용자 Level 별 권한 관리로 확대
요약 정리 이번 시간에 소개했던 내용을 정리해 봅시다. 모바일 서비스 보안 개요 및 요구사항에 대해 알아보았습니다. 보안 암호화 및 전자 서명 기술에 대해 알아보았습니다. PKI 및 SSL에 대해 알아보았습니다. RBAM, PMI, EAM 등 개인화 권한 관리에 대해 알아보았습니다. 다음 시간에는 모바일 보안 기술 - II 에 대하여 학습하시게 될 것입니다.
평가 하기 모바일 서비스의 보안 요구사항에 대해 말해 보시오 문제1 정답은 다음과 같습니다. 비밀 보호 (Confidentiality), 임의 수정 방지 (Integrity, Non-repudiation), 본인 확인 (Authentication), 서비스 거부 공격으로부터 보호 (Availability), 해킹 및 바이러스로부터 보호 해설내용: 모바일 보안 보안 요구 사항으로, 기술적 요구 사항에는 인증, 접근 제어, 가용성 유지, 부인 봉쇄, 무결성 유지, 비밀성 유지 기술 등이 있습니다. 모바일 보안은 네트워크 제공자 영역 뿐 아니라 서비스 제공자와 사용자 영역에서의 보안 위협 요소 고려 및 서로 다른 네트워크 제공자 간의 상호 운용성 제공이 필요합니다. PKI 보안 기술에 대해 말해 보시오 문제2 정답은 다음과 같습니다. 국가 공인 사용자 인증서 배포를 위한 공개키 기반 구조 해설내용:PKI는 공개키 기반 구조 (Public Key Infrastructure)로, 공인인증기관이 전자서명한 인증서에 의하여 사용자가 통신망에서 본인임을 확인할 수 있고, 안전하게 전자 상거래를 할 수 있도록 하는 인증서 관리 기반으로, 국가가 공인한 인증서 (전자서명법에 의거)를 국가 공인인증기관으로 부터 전송 받아 전자 상거래 등 e-Commerce 및 e-Banking에서 본인 인증 및 확인에 사용하는 공인 인증키 기반 구조 입니다.
평가 하기 EAM에 대해 말해 보시오 문제3 정답은 다음과 같습니다. EAM (Extranet Access Management)은 통합 인증 관리 기술로, 애플리케이션이나 데이터에대한 사용자 접근을 결정 해설내용: EAM은 Single Sign On (SSO)과 사용자의 인증을 관리하고 애플리케이션이나 데이터에 대한 사용자 접근을 결정하는 기술로, 사용자의 접속 허용 여부, 즉 사용자 인증 뿐만 아니라, 사용자 인증 후, 사용자가 접속 중에 행하는 액션 까지도 제어하는 사용 권한 관리를 위한 기술입니다.