1 / 31

인증 (Authentication)

전자상거래보안. 인증 (Authentication). 2010. 11. 중부대학교 정보보호학과 이병천 교수. 목 차. 1. 인증이란 ? 2. 인증의 종류 3. 인증수단의 종류 4. 최신 인증기술 5. 암호학적 인증기법 6. 무선랜 인증. 1. 인증이란 ?. 인증이란 ? 인증을 하고자 하는 주체 (Subject) 에 대해 식별 (Identification) 을 수행하고 , 이에 대한 인증 (Authentication & Authorization) 서비스를 제공하는 시스템

dulcea
Download Presentation

인증 (Authentication)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 전자상거래보안 인증 (Authentication) 2010. 11. 중부대학교 정보보호학과 이병천 교수 (c) Byoungcheon Lee, Joongbu Univ.

  2. 목 차 • 1. 인증이란? • 2. 인증의 종류 • 3. 인증수단의 종류 • 4. 최신 인증기술 • 5. 암호학적 인증기법 • 6. 무선랜 인증 (c) Byoungcheon Lee, Joongbu Univ.

  3. 1. 인증이란? • 인증이란? • 인증을 하고자 하는 주체(Subject)에 대해 식별(Identification)을 수행하고, 이에 대한 인증(Authentication & Authorization) 서비스를 제공하는 시스템 • 인증기술의 역할 • 원격지에있는 사용자의 신원확인 기능 • 송수신자간 전송되는 통신내역의 무결성을 보장하는 기능 • 사용자의 통신내역에 대한 부인방지기능

  4. 인증시스템 사례 • 컴퓨터 로그인 • 부팅시 로그인 - 관리자, 사용자 • 화면보호기 • 원격 로그인 • 서비스 로그인 • 포털사이트 로그인 • 업무 서비스 로그인 • 어플리케이션 로그인 • 전자결제, 인터넷뱅킹 등 공인인증서 활용

  5. 2. 인증의 종류 • 사용자 인증 (Identification) • 사용자의 신원을 확인하고 인증 • 메시지 인증 (Message Authentication) • 메시지가 특정 사용자에 의해 만들어졌음을 인증 • Message Authentication Code, 전자서명

  6. 인증의 세가지접근방법 • Something You Know • 사용자가 기억하는 지식을 이용 • 사례: 패스워드, PIN 등 • Something You Are • 생체조직(Biometrics)을 통한 인증 • 사례: 지문, 손모양, 망막, 홍채, 서명, 키보드, 목소리, 얼굴 • Something You Have • 사용자가 소유한인증 수단을 이용해 인증을 수행 • 사례: 스마트키, 스마트카드, 신분증, 인터넷뱅킹 카드와 OTP, 공인인증서 등 • Something You Have는 다른 사람이 쉽게 도용할 수 있기 때문에 단독으로 쓰이지 않고, 일반적으로 Something You Know나 Something You Are와 함께 쓰임.

  7. 멀티팩터 인증 • 하나의 인증수단 만으로는 취약성이 있는 경우 두 가지 이상의 서로 다른 인증 수단을 함께 사용하는 방법 • 신분증 • 학생증, 주민등록증, 운전면허증 등 • 본인임을 확인하기 위해 얼굴을 대조하므로 신분증은 Something You Have와 Something You Are 둘 다를 인증 수단으로 이용. • 인터넷 뱅킹 • 인터넷뱅킹시 인증서와 함께 보안카드나 OTP를 병행 사용 • 서명시 비밀키 접근암호 이용 인터넷뱅킹에사용되는 OTP

  8. 국내 인증기술 적용 현황 • 거래이용수단과 보안등급

  9. 3. 인증수단의 종류 • 공인인증서 • 신뢰된 공인인증기관이 발행하는 인증문서 • 일종의 전자금융거래용 인감증명서 • 사용자의 신원확인, 거래 내역에 대한 위변조 방지, 거래사실의 부인방지에 사용 • 2010년말 현재 2,371만건의 인증서 발급. 경제활동 인구의 90% 이상이 사용

  10. 인증수단의 종류 • OTP(One time password) 발생기 • 고정된 비밀번호 대신 사용되는 매번 새롭게 바뀌는 일회용비밀번호

  11. 인증수단의 종류 • 보안카드 • 35개 이내의 난수가 적혀진 카드 • 전자금융 거래시 사용자가 카드에 인쇄된 번호를 직접 입력하고, 응답번호와 일치여부를 판단하여 전자금융거래를 수행

  12. 인증수단의 종류 • HSM(Hardware Security Module) • 전자서명 생성키 등 비밀정보를 안전하게 저장·보관 및 키생성, 전자서명 생성 등이 기기 내부에서 처리되도록 구현된 스마트 칩을 내장한 하드웨어 모듈 • 일반 USB 메모리스틱처럼PC의 USB슬롯에 연결하여 사용 • 연산장치와 메모리 등이 포함된 스마트카드 칩을 탑재해 전자서명과 암호화 등 모든 프로세스가 매체 내부에서 이루어지기 때문에 PC에 설치된 해킹 프로그램이나 악성코드를 통해서 HSM 내부에 저장된 비밀정보에 접근할 수 없음

  13. 인증수단의 종류 • 2채널 인증 • 전자금융거래 채널 이외에 거래승인을 위한 채널을 분리하여 이용하는 기술

  14. 인증수단의 종류 • 휴대폰 SMS(거래내역통보) • 인터넷뱅킹, 텔레뱅킹 등의 전자금융 서비스를 이용한자금이체내역을 휴대폰으로 통지하는 서비스 • 사용자의 주요거래 또는 중요통지사항을 사후에 실시간으로 알려주는 방식이다.

  15. 인증수단의 종류 • 바이오 인증 • 지문인식기술은 인터넷뱅킹 접속 시 또는 자금 이체 시 지문정보를 이용하여 인증을 수행하며, 복제 및 해킹 위험이 적음 • 바이오인증은 바이오 인식기기의 보급 및 사용자의 인식 등의 문제로 거의 사용되고 있지 않음 • 우리은행에서 바이오인증을 유일하게 적용하고 있음

  16. 인증수단의 종류 • 바이오 인증 절차

  17. 4. 최신 인증기술 • USIM OTP 인증기술 • 스마트폰에 탑재되는 USIM은 IC칩과 동일한 물리적 보안성을 제공할 수 있고 다양한 응용 애플릿을 탑재가 가능하여, 다양한 인증기술을 USIM에 구현이 가능 • OTP발생기 휴대에 따른 불편함을 해소하여 사용자 편의성을 높임

  18. 최신 인증기술 USIM OTP 발급과정 USIM OTP 인증과정

  19. 최신 인증기술 • PKI 서명센터 • 현재 PKI 구조에서는 공격자가 사용자의 로컬PC에 저장되어 있는 개인키, 인증서와 함께 개인 키 접근을 위한 비밀번호를 탈취하여 전자서명을 할 수 있는 취약점이 존재 • PKI 서명센터 구조에서는 사용자의 개인키 및 인증서 관리시스템인 중앙PKI 서명센터를 설치하고, 가입된 모든 사용자의 개인키와 인증서를 중앙PKI 서명센터에 저장함으로써, 사용자PC보다 상대적으로 안전하게 관리가 가능하여 인증서의 관리적 문제를 해결 가능

  20. 최신 인증기술 • PKI 서명센터 구성도

  21. 최신 인증기술 • 인증절차

  22. 최신 인증기술 • 스마트채널 인증기술 (ETRI) • 로그인, 전자서명, 카드결제 같이 보안이 중요한 기능과 인증서, 신용카드, 비밀 번호 등 중요 정보가 있어야 하는 기능은 모두 스마트폰으로 보내서 하는 개념 • PC에 ActiveX 등 브라우저부가프로그램 설치 불필요 • 인증서는 스마트폰에만 저장

  23. 최신 인증기술 • 스마트채널 인증기술 (ETRI) QR코드 결제 화면 스마트폰으로 결제내역 서명

  24. 5. 암호학적인증 기법 • 패스워드 기반 (Weak Authentication) • crypt passwd under UNIX • one-time password • 도전-응답 기법 (Strong Authentication) • 질문에 대해 정확한 대답을 할 수 있어야 인증 • 대칭키암호, 해쉬함수, 비대칭키암호 이용 • 암호 프로토콜 이용 • Fiat-Shamir identification protocol • Schnorr identification protocol

  25. Prover Verifier passwd table passwd, A A A h(passwd) y = h accept passwd n reject 패스워드를 이용한 인증 Sniffing attack Replay attack - Static password

  26. Client Host Hash function f()pass-phrase S Hash function f()pass-phrase S Compute f(s), f(f(S)),...., X1,X2,X3, ...,XN store XN+1 Initial Setup 1. login ID 6. compare 2. N 7. store 4. XN 3. compute fN(S) = XN 5. compute f(XN) = XN+1 S/Key (One-time Password)

  27. Prover Verifier Commitment Challenge Response Schnorr Identification

  28. 6. 무선랜 인증 • WEP(Wired Equivalent Privacy) • 무선랜 통신을 암호화하기 위해 802.11b 프로토콜부터 적용 • 1987년에 만들어진 RC4 암호화 알고리즘을 기본으로 사용

  29. RADIUS와 802.1X를 이용한 무선랜 인증

  30. 싱글사인온 • Single Sign On(SSO) • 모든 인증을 하나의 시스템에서. 시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 모두 얻음. • 이러한 접속 형태의 대표적인 인증 방법으로는 커버로스(Kerberos)를 이용한 윈도우의 액티브 디렉토리가 있음.

  31. 인증의 범위확장 • 서버별 인증 • 서버별 사용자 등록 • 사용자가 각기 다른 아이디, 패스워드 관리 필요 • 조직 내 인증 • 싱글사인온. 한번의 사용자 등록으로 조직내 모든 서버에 인증 가능 • 공인인증 • 제한 없는 인증 확장을 위해 공인인증이 필요 • 공인인증서를 이용한 인터넷뱅킹 접속 • 공인인증서와 공개키기반구조

More Related