244

Wireless Security & M-Commerce: 

Wireless Security & M-Commerce 2000.06.22

Part I: 

Part I Understanding IT Security & Wireless Security

Defining Information Security: 

정보 보호란?: 데이터 및 시스템을 고의적 혹은 실수에 의한 불법적인 공개 (노출), 변조, 파괴 및 지체로부터의 보호 정보 보호의 목표 비밀성 (Confidentiality)의 보장 무결성 (Integrity)의 보장 가용성 (Availability)의 보장 정보 보호 분류 보안 관리 네트웍 보안 시스템 보안 어플리케이션 보안 물리적 보안 보안 평가 Defining Information Security

Information Security Overview: 

Network 보안 허가 받지 않은 사용자의 자체 network 접근 방지 보안 상 취약한 프로토콜에 (FTP, Telnet 등) 의한 network 접근 방지 전송되는 자료의 기밀성 보장 전송되는 자료의 변경방지 System 보안 허가 받지 않은 사용자의 시스템 접근 방지 저장된 정보의 (사용자 계정정보 등) 기밀성 보장 저장된 정보의 변경 방지 Application 보안 허가 받지 않은 사용자의 application 접근 방지 사용되는 (저장 혹은 전송되는) 정보의 (사용자 신상정보, 계좌정보 등) 기밀성 보장 사용되는 (저장 혹은 전송되는) 정보의 변경 방지 정보 전송 부인 방지 Application의 이상 작동 시도 방지 Information Security Overview

Security Technologies: 

Security Technologies IP filtering Protocol filtering Monitoring ID / Password Smart card Biometrics Role-based access control Security attribute setup Pattern Dection File Integrity Check ID / Password Smart card Digital Certificate Biometrics User-type based access control Data encryption Digital Signature CheckSum MAC File encryption Secure DBMS Secure DBMS ID / Password OTP IP Tunneling IP Tunneling Digital Signature

Security Solutions: 

Security Solutions Firewall IDS VPN VirusWall IDS Sever Security Tool PKI SSO Secure E-mail Authentication N/W System Appl. Access Control Confidentiality Integrity Target Security func. Non Repudiation Vulnerability Analysis Tool Vulnerability Analysis Tool

Understanding Wireless Environment: 

Understanding Wireless Environment Wireless Internet: 소용량의 무선 단말기를 통해서 직접 Internet에 접속하는 방식 Wireless Internet의 특징 Wireless Internet 환경에서 보안을 위한 고려 사항 기존의 인터넷 보안과의 연계를 고려한 보안 솔루션 무선환경의 특징을 고려한 보안 솔루션 소용량 client device Less Memory Less Powerful CPUs Limited Input Device 제한된 Bandwidth 표준화 미비 접속의 용이성: Anywhere / Anytime 사용의 편리성: PC에 비해 간단한 사용 방법 넓은 사용자층: PC에 비해 훨씬 많은 단말기 보급율 무선과 유선망의 혼합 장 점 단 점

From Security to Wireless Security: 

From Security to Wireless Security Wireless Security 무선 인터넷 보안은 기존의 인터넷 보안과 독립적으로 생각할 수 없다 다만 여러 가지 환경적 차이로 인해, 보안기능의 구현 방안은 기존의 인터넷 환경과 상당부분 달라질 수 있다. Wireless Security 구현 방식 기존 보안기능을 그대로 적용하는 경우: 예) SSL, X.509인증서 및 CRL을 그대로 사용 기존의 보안기능을 수정하여 사용하는 경우 예) Gateway assisted SSL 기존의 보안기능과 동일한 기능을 무선환경에 적합한 compact한 구조로 새로 구현하는 경우 예) WTLS Protocol, WTLS Certificate 무선 인터넷 환경에 맞는 새로운 기능을 구현하는 경우 예) Short-Lived Certificate

Part II: 

Part II M-Commerce & Security

Slide10: 

전자상거래와 보안 전자상거래는 급속한 성장이 예상되어, 2003년에는 국내규모가 2조 6,800억원 이상의 시장을 형성할 것으로 보임 시장규모 측면에서 B2B가 B2C를 압도 ( B2B 거래규모가 전체의 80% 이상 차지) 사용자 개인 정보 뿐만이 아니라 기업내 기밀 정보 등을 보호하기 위한 전자상거래 보안 요구 급증

Security Issues on E-Commerce: 

Security Issues on E-Commerce Server PC PC 전송 중인 정보의 노출 / 변경 위험성 정보 전송의 부인 위험성 사용자 사칭의 위험성 암호화 전자서명 인증서 암호화가 필요한 정보 예: 견적서 / 비밀번호 / 계좌정보 / 설계도면 / 결산정보 등 전자서명이 필요한 정보 예: 주문서 / 합의서 / 사용자 인증 정보 등 인증서 기반의 사용자 인증: 강력하고 안전한 사용자 인증이 요구되는 경우

Secure E-Commerce: An Overview: 

Secure E-Commerce: An Overview Internet Shopping Malls 신용카드사 금융 VAN 은행 배송회사 물품배송 인증기관 주문 / 예약 상품 / 이벤트 정보 HTTP Internet EDI/SCM Payment Gateway 등록대행기관 물류정보 물품배송 배송원 전자환경에서의 정보 조회 물품 구매 물품 배송 상태 확인 Email 지불정보 인증서 요청/ 발급 암호화 전자서명 사용자 인증

The Next Generation: M-Commerce: 

The Next Generation: M-Commerce M-Commerce란?: 소용량의 무선 단말기를 통해서 직접 Internet에 접속하는 사용자들을 지원하는 전자상거래 혹은 환경 M-Commerce 현황 및 특징 이동전화 사용자 수의 급격한 증가 구현 환경의 변화 소용량 client device: Less Memory / Less Powerful CPUs / Limited Input Device 제한된 Bandwidth 무선과 유선망의 혼합 새로운 비즈니스 기회 제공 단위 : 만명 출처:정보통신부

Requirements for M-Commerce Security: 

Requirements for M-Commerce Security Mobile client와 기존 유선 application 간의 end-to-end 정보 보안 전송 중인 정보의 노출 / 변경 위험 방지를 위한 암호화 정보 전송의 부인 위험 방지를 위한 전자서명 사용자 사칭 위험 방지를 위한 인증서 기반의 강력한 인증 무선 환경의 특징을 고려한 Public-Key Infrastructure 소용량 무선 단말기의 제약 인증서 (사용자 인증서 / CA 인증서 등) 저장 / 관리의 어려움 인증서 검증의 어려움 ( CRL 사용의 어려움 등) 제한된 bandwidth 및 불안정한 Network 환경 유선환경의 PKI에서 정의하고 있는 표준 protocol 사용의 어려움 세션 관리의 어려움 기존 유선 application에서 사용하고 있는 PKI 기반의 정보보안 환경과의 자연스러운 연계

Security Features in WAP: 

Security Features in WAP WTLS (Wireless Transport Layer Security) WAP 1.1에서 정의하고 있는 wireless 환경에서의 SSL (Secure Socket Layer) WAP client와 WAP Gateway (Server) 간의 안전한 정보 전송 기능 제공 Socket Layer에서의 암호화 / MAC 방식의 무결성 보장 / 서버 및 사용자 인증 기능 제공 WML Crypto Script 현재 WAP 1.2에서는 전자서명 함수만을 정의 (SignedText) Application Layer에서 End-to-End 전자서명 기능 구현 WTLS 인증서 혹은 X.509v.3 형식의 인증서 지원 향후 application layer에서의 End-to-End 암호화 함수 / Hash 함수 등까지 정의 예정

Understanding WTLS: 

Understanding WTLS WAP endpoint 간의 (WAP server /gateway 와 WAP Client) End-to-End 정보 보안 기능 제공 무선환경을 고려한 간략하고 효과적인 handshake 방식 채택 WAP transport protocol 상위에서 작동 지원하는 인증서 형식 WTLS Certificate X9.68 Certificate X.509v3 Certificate

Limitations on WTLS : 

Limitations on WTLS WAP endpoint를 넘어서는 경우 End-to-End 정보 보안에 어려움 무선 client가 기존 SSL을 이용하는 Web application 과 통신하고자 할 경우, WAP Gateway가 무선 client를 대행하여 Web application과 SSL 통신 따라서 WTLS를 통해서 WAP gateway에 전달된 내용은 SSL 통신을 위하여 일단 복호화된 후 SSL 환경에서 다시 암호화되어 전달됨 End-to-End 암호화를 위해서는 SSL을 무선 client 쪽에 구현하거나 Application layer에서 데이터 암호화를 구현하여야 함 Socket Lay에서의 암호화 기능만 제공 Application Layer에서의 암호화 기능 / 전자서명 기능 등을 구현하기 위해서는 다른 방법을 사용하도록 요구됨

WTLS with SSL: 

WTLS with SSL

Understanding WML Crypto Script : 

Understanding WML Crypto Script 현재 전자서명 생성 함수만을 정의하고 있음 (SignText) SignedString = Crypto.signText(string ToSign, options, keyType, keyID) 사용자 개인 키 관련 정보는 WIM을 사용하여 smart card에서 추출 혹은 저장 가능 생성된 전자서명은 Based-64 Encoding 형식[RFC 1521]으로 출력 Gateway Server에서 전자서명 값의 표준형식인 PKCS#7으로 전환하여 application Server에 전송 향후 암호화 및 해쉬함수 등에 대한 script library도 정의 예정 지원 인증서 형식 WTLS Certificate X9.68 Certificate X.509v3 Certificate

Limitations on WML Crypto Script : 

Limitations on WML Crypto Script 전자서명 생성 함수만이 정의되어 있으며, 전자서명 검증 함수는 정의되어 있지 않음 암호화 및 해쉬함수 등에 대한 script library를 정의하기 위한 논의가 진행되고 있으나, 구체적인 시기는 아직 요망한 것으로 판단됨 인증서 처리의 어려움 각기 다른 인증기관에서 발행한 인증서간 호환성이 보장되지 않음에 따라 이들 인증서를 모두 처리할 수 있는 표준 처리 모듈을 정의하기 어려움 인증서 취득 / 관리의 어려움: CA 혹은 상대방 인증서를 취득하고 관리하기 위한 표준 방식 정의의 어려움 인증서 검증의 어려움 RootCA 인증서 / CRL 의 취득 / 관리를 위한 표준 처리 방식 정의의 어려움 인증서 경로 검색 등과 같은 인증서 검증 방식의 표준 미비 현황 원인 Application layer에서의 암호화 / 복호화 전자서명 생성 / 검증 해쉬 함수 등을 구현하기 위한 함수의 독자적인 구현 필요성 진단

Intermediate Roadmap : 

Intermediate Roadmap WAP in terms of Security WTLS: WAP endpoint간의 End-to-End 보안 기능 제공 WML Crypto Script: 전자서명 생성 함수 정의 WAP client와 기존 유선망의 application 간의 End-to-End 보안을 위해서는 application layer에서의 독자적인 함수를 구현하여야 함 인증서 형식은? 인증서 관리 방안은 ? 인증서 검증을 위한 방안은 ?

Considerations on Certificate Type (I): 

Considerations on Certificate Type (I) WTLS Certificate X.509 형식의 인증서 처리 및 관리를 위한 module의 크기를 줄이기 위해서 정의됨 WTLS 구현 시 반드시 지원하여야 하는 인증서 형식 (WTLS 관련 모듈에서 WTLS 인증서 처리 모듈 포함) 현재 많은 PKI 업체에서 WTLS 인증서를 지원하고 있음 (Nokia / VeriSign / Entrust 등) WTLS vs X.509v3 인증서 형식 X.509v3 Certificate WTLS Certificate

Certificate Validation (I) : 

Certificate Validation (I) CRL(Certificate Revocation List)을 이용한 인증서 검증 인증서가 유효기간 전에 폐기되었는지의 여부를 주기적으로 발행되는 CRL에서 확인 문제점: 보통 1Mbyte 이상되는 CRL의 다운로드 및 저장 / 관리의 어려움 OCSP(On-line Certificate Status Protocol) 를 이용한 인증서 검증 인증서의 유효성을 검증하기 위해, 인증 서버에 On-line으로 접속하여, 인증서의 유효성을 검증한다. 문제점 완벽한 OCSP을 제공하는 인증 기관이 존재하지 않는다. 인증서를 검증하기 위해 지속적으로 세션이 유지되어야 한다

Certificate Validation (II) : 

Certificate Validation (II) 소용량 무선 단말기를 위한 인증서 검증 방식 Short-lived Certificate 방식 방식 일정 기간 이상 같은 키를 사용할 수 있도록 허용 단 인증서는 24시간 또는 25시간 주기로 발행 장점 사용자는 Server의 CRL을 검사하지 않음 인증서 발행일과 유효기간, 서명만을 검증함으로써 인증서 검증 완료 WAP Gateway를 이용한 인증서 검증 WAP Gateway에서 CRL 확인 / CA 전자서명 검증 등의 인증서 검증 process 대행 검증된 인증서만 무선 client에 전송

Certificate (Key) Management : 

Certificate (Key) Management 무선 단말기에서 인증서 / 키 관리 방안 키는 무선 단말기에서 직접 생성 생성된 개인 키는 원칙적으로 암호화하여 단말기에 저장. 다만 Smartcard를 사용할 경우에는 WIM을 사용하여 개인 키 생성 정보 및 생성된 개인 키를 smartcard에 저장 발급된 인증서의 저장 위치는? : Directory or 단말기? 암호화 시, 상대방 인증서 획득 방법은? : 인증서 검증 방식은? CRL vs Short-lived Certificate?

Wireless Public Key Infrastructure: 

Wireless Public Key Infrastructure 인증서 ID 등록대행기관 (WRA): 사용자 신원확인 인증서 발급을 인증기관에 요청 인증서 repository 인증서 Client-side software Secure Communication PKI Client (server) 인증 기관: 인증서 발급 / 갱신 / 폐기 Wireless Gateway PKI Client (Mobile Phone) Secure Mobile Comm. WPKI 구성 요소 인증기관 등록대행기관 Wireless Gateway 유선용 PKI client toolkit 무선용 PKI client toolkit

Secure M-Commerce: An Overview: 

Secure M-Commerce: An Overview Internet Shopping Malls 신용카드사 금융 VAN 은행 배송회사 물품배송 인증기관 주문 / 예약 상품 / 이벤트 정보 Mobile Phone (사용자) WAP HTTP Internet EDI/SCM Payment Gateway 등록대행기관 물류정보 물품배송 배송 상태 정보 배송원 물류상태정보 Mobile phone을 이용한 정보조회 상품구매 물품 배송 상태 확인 Email WAP Gateway + PKI module 지불정보

Process in Detail: 구매: 

Process in Detail: 구매 GW with PKI WAP HTTP 사용자 Shopping Mall 구매종료 Secure EDI/SCM 배송정보 구매품목 고객정보 접수확인 ① ② ③ ④ ⑧ ⑨ ⑩ ⑤ ⑥ ⑬ 구매요청 구매품목 고객정보 카드번호 구매요청 처리 PG Server + 카드정보 PG 신용카드사 승인 요청 ⑪ ⑫ 전자서명 : 부인방지,사용자 인증, 무결성 제공 (예 : 구매요청, Mobile Phone 사용자 인증) 암 호 화 : 중요정보 노출 방지 (예 : 계좌정보, 사용자 정보) : 암호화 : 전자서명 : 원본 메세지 : 카드정보 ⑦ 승인 결과 승인확인 배송회사 접수번호 구매확인 접수번호

Process in Detail : 물류: 

Process in Detail : 물류 GWPKI WAP HTTP 배송위치정보 배송정보 배송원 배송회사 배송정보 구매품목 고객정보 배송위치정보 조회결과확 인 배송상태조회 사용자 배송회사 조회결과 PIN No. PIN No. 배송상태조회 ① ② ③ ④ ⑤ ⑥ ① ② ③ ④ ⑤ ⑥ WAP Gate Way를 통한 안전한 배송정보 전달 안전한 배송위치정보 전달 배송정보에 따른 물품 배송 현재 배송위치정보 암호화 및 전자서명 배송위치정보 확인 배송정보 암호화 및 전자서명 ② ④ ⑤ ⑥ ① ③ 고객주문품 배송상태 정보 전달 접수번호를 사용하여 주문품 배송상태 조회 조회결과 암호화 및 전자서명 주문품 배송상태 확인 배송상태 조회에 사용할 접수번호 암호화 및 전자서명 ② ④ ⑤ ⑥ ① 접수번호 전달 ③

What you can do with an Wireless PKI: 

What you can do with an Wireless PKI Internet Application Servers 인증기관 Mobile Phone (사용자) WAP HTTP 등록대행기관 WAP Gateway + PKI module Secure Mobile phone: Mobile phone 내에 저장된 정보 보안 / 접근 제어 Secure Email: Mobile phone 사용자를 위한 안전한 Email 시스템 Virture Private Network: 네트웍 차원에서 정보의 기밀성 및 무결성 보장을 위한 Wireless VPN client 구현 Secure Single-Sign-On: Wireless Client를 위한 Secure Single-Sign-On 구현 (인증서 및 전자서명을 이용한 사용자 인증)

Wireless Security: An Overview: 

Wireless Security: An Overview IWF WAP Gateway INTERNET CA SMSC SMS Server Dedicated Line to P/G NetScreen Firewall Load Balancer Engine Engine Engine 침입탐지시스템 RA