최근 등장한 메일 기반의 계좌이체 시스템은 송금인이 수금인의 계좌번호를 알 필요 없이 메일 주소만 알면 계좌 이체가 가능하도록 하여 사용자에게 많은 편의를 제공한다. 그러나 대부분의 메일기반 계좌이체 시스템은 SSL 기반으로 동작하고 있어 거래 사실에 대한 부인이 가능하고, 영수증 발급이 불가능하다는 문제점이 있다. 이에 따라 이 논문에서는 기밀성, 무결성, 사용자 인증, 부인 봉쇄 둥의 보안 서비스를 제공하고 인증서 기반으로 동작하는 국제 표준 메일 보안 메커니즘인 S/MIME을 적용한 메일 기반의 지불 메커니즘을 제안한다. 이 메커니즘에서는 'Check'라는 수표와 같은 역할을 하는 메시지를 통해 모든 계좌이체 정보가 송금인과 수금인 및 메일 결제 서버 사이에서 전달된다. 이 시스템은 기존의 시스템과 마찬가지로 수금인의 메일 주소만 알면 계좌이체가 가능한 편리성을 제공함과 동시에 S/MIME에 기반한 보안 서비스를 제공함으로서 기존 지불 시스템에서 가장 문제가 되는 송신 부인 문제를 해결하고 영수증 발급도 가능하다.
최근 등장한 메일 기반의 계좌이체 시스템은 송금인이 수금인의 계좌번호를 알 필요 없이 메일 주소만 알면 계좌 이체가 가능하도록 하여 사용자에게 많은 편의를 제공한다. 그러나 대부분의 메일기반 계좌이체 시스템은 SSL 기반으로 동작하고 있어 거래 사실에 대한 부인이 가능하고, 영수증 발급이 불가능하다는 문제점이 있다. 이에 따라 이 논문에서는 기밀성, 무결성, 사용자 인증, 부인 봉쇄 둥의 보안 서비스를 제공하고 인증서 기반으로 동작하는 국제 표준 메일 보안 메커니즘인 S/MIME을 적용한 메일 기반의 지불 메커니즘을 제안한다. 이 메커니즘에서는 'Check'라는 수표와 같은 역할을 하는 메시지를 통해 모든 계좌이체 정보가 송금인과 수금인 및 메일 결제 서버 사이에서 전달된다. 이 시스템은 기존의 시스템과 마찬가지로 수금인의 메일 주소만 알면 계좌이체가 가능한 편리성을 제공함과 동시에 S/MIME에 기반한 보안 서비스를 제공함으로서 기존 지불 시스템에서 가장 문제가 되는 송신 부인 문제를 해결하고 영수증 발급도 가능하다.
In E-mail based accounting system, the remitter does not have need to find collector's account number. To transfer money to a collector's account, what remitter need is just a collector's E-mail address. But the current E-mail based accounting systems are built on SSL technology. Basically SSL provi...
In E-mail based accounting system, the remitter does not have need to find collector's account number. To transfer money to a collector's account, what remitter need is just a collector's E-mail address. But the current E-mail based accounting systems are built on SSL technology. Basically SSL provides some security services - confidentiality, user authentication and data integrity, but does not provide non-repudiation. So, in the current E-mail based accounting system, it is possible to deny transaction. And there is no receipt of transaction. In this paper, we design and implementation of a S/MIME applied Secure Payment Mechanism. In our system, every account information - account number, receiver name, amount of money, etc. - is included in a 'check' message. And this message is protected under the Secure Web-mail using S/MIME. In a view point of the convenience, users using our system do not have need to find collector's account number. And in a view point of the security, our system provides confidentiality, user authentication, data integrity and non-repudiation. Moreover our system provides a receipt.
In E-mail based accounting system, the remitter does not have need to find collector's account number. To transfer money to a collector's account, what remitter need is just a collector's E-mail address. But the current E-mail based accounting systems are built on SSL technology. Basically SSL provides some security services - confidentiality, user authentication and data integrity, but does not provide non-repudiation. So, in the current E-mail based accounting system, it is possible to deny transaction. And there is no receipt of transaction. In this paper, we design and implementation of a S/MIME applied Secure Payment Mechanism. In our system, every account information - account number, receiver name, amount of money, etc. - is included in a 'check' message. And this message is protected under the Secure Web-mail using S/MIME. In a view point of the convenience, users using our system do not have need to find collector's account number. And in a view point of the security, our system provides confidentiality, user authentication, data integrity and non-repudiation. Moreover our system provides a receipt.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이 절에서는 S/MIME을 적용한 안전한 지불 메커니즘의 구현 내용에 대해서 기술한다.
이에 따라 이 논문에서는 국제 표준 메일 보안 메커니즘인 S/MIME을 적용한 안전한 전자 지불 메커니즘을 설계하였다. 이 메커니즘에서는 Check라는 메시지를 통해 모든 계좌 이체 정보가 송금인과 수금인 및 메일 결제 서버 사이에서 전송되어진다.
이에 이 논문에서는 인터넷 상에서의 전자 결제에 있어서 안전성과 편리성을 제공할 수 있는 메일 기반의 전자 지불 메커니즘을 제안하고자 한다. 이 논문에서 제안하고자 하는 지불 메커니즘은 보안 웹메일 시스템을 기반으로 하여 현재 인터넷 뱅킹이나 메일 기반 계좌이체 서비스에서 제공하고 있는 계좌 이체 서비스를 제공한다.
가설 설정
. 사용자의 패스워드는 사용자의 개인키 보호를 위해 사용되는 정보이므로 웹메일 서버도 사용자의 패스워드를 알 수 없도록 보호되어야 한다. 따라서 웹메일서버에서는 사용자 패스워드의 해쉬 결과인 H(Password) 를 보관한다.
® 영수증 발급 불가: 기존의 메일 결제 시스템에서는 영수증 발급 기능이 제공되지 않는다. 그러나 이 논문에서 제안한 지불 메커니즘에서는 S/MIME을 이용한 전자서명에 의한 영수증 발급 기능을 구현하였다.
① 메일이 단순히 통지용으로 사용되고 있음: 이 논문에서 제안한 지불 메커니즘에서 현금 가치를 저장하여 수표처럼 사용되는 Check는 메일을 이용해 전송되어진다. 즉 메일이 실질적인 가치 전송에 사용되고 있다.
제안 방법
S/MIME v2와 S/MIME v3의 차이점을 비교하면 S/MIME v2와 v3가 유사한 MIME 형식을 사용하고 있기는 하지만 표 1에서 보는 바와 같이 메시지 기밀성, 해쉬 알고리즘 및 전자서명과 키 교환을 위한 공개키 암호 알고리즘 등을 교체하였다. 이와 같이 S/MIME v2에서 메일 보안 서비스 제공을 위해 사용되었던 암호 알고리즘을 전체적으로 수정한 이유는 메일 보안 시스템의 표준화에 걸림돌이 되는 보안에 취약한 암호 알고리즘과 특허와 관련된 문제 등을 해결하기 위해서이다.
SSL에 의한 보안 서비스 제공: 이 논문에서 제안한 지불 메커니즘에서는 메일 메시지의 보호를 위해 S/MIME을 사용하고 있으며 사용자가 웹메일 서버에 로그인 하는 과정에서는 one-time password 방식을 응용한 사용자 인증을 수행한다. 따라서 데이타에 대한 전자서명이 제공됨으로 거래 내용의 부인이 불가능하며 사용자 패스워드가 유출될 위험도 없다.
⑨ 수금인으로부터 Check를 수신한 계좌이체 서버는 송금인과 수금인의 전자서명에 대한 유효성 검사를 수행함으로써 Check의 유효성을 확인한다. Check의 유효성에 대한 확인이 끝나면 Check에 기록된 금액만큼 수금인의 계좌로 이체하고 영수중을 발급하여 송금인에게 전송함으로써 모든 결제를 종료한다.
발급 기능이 제공되지 않는다. 그러나 이 논문에서 제안한 지불 메커니즘에서는 S/MIME을 이용한 전자서명에 의한 영수증 발급 기능을 구현하였다.
복호화 한 결과는 송금인의 전자서명이 첨부된 Check이다. 수금인은 송금인의 공개키를 이용하여 Check에 첨부된 전자서명에 대한 유효성 검사를 수행한다. 이를 통해 수금인에 대한 인증이 완료되면 계좌이체가 시작된다.
지불 메커니즘을 제안하고자 한다. 이 논문에서 제안하고자 하는 지불 메커니즘은 보안 웹메일 시스템을 기반으로 하여 현재 인터넷 뱅킹이나 메일 기반 계좌이체 서비스에서 제공하고 있는 계좌 이체 서비스를 제공한다. 즉, 송금인이 수금인의 계좌번호를 알지 못하더라도 메일 주소만 알면 계좌 이체가 가능하다.
이론/모형
이것은 메시지를 위해 ASN.1 DER 형식을 따르는 PKCS#7 데이타 형식과 공개키 인증서를 위한 X.509 v3 형식을 기반으로 한다. 또한 PGP/MIMEe PGP(Pretty Good Rrivacy)를 기반으로 하고 있는데 메시지 형식과 인증서 형식은 독자적으로 만들어 졌으며 단순한 이진 인코딩을 사용하고 있다.
성능/효과
유사하다. 그러나 제안 지불 메커니즘에서의 메시지는 일반 메알을 통해 전송되는 것이 아니라 메일 보안 메커니즘인 S/MIME으로 보호된다. 회원 등록 과정에 대해서 살펴보면 다음과 같다.
즉, 송금인이 수금인의 계좌번호를 알지 못하더라도 메일 주소만 알면 계좌 이체가 가능하다. 또한 국제 표준 메일 보안 메커니즘인 S/MIME을 적용함으로써 기존의 메일 기반 계좌이체 시스템에서 발생하는 보안상의 문제점도 해결가능하다.
또한 기존의 메일 이체 시스템은 오직 계좌 이체의 용도만으로 사용이 가능하지만 이 논문에서 제안한 지불 메커니즘에서의 Check는 실생활에서의 수표와 유사한 기능을 제공함으로 인터넷 쇼핑몰에서의 상품 구입등 다양한 용도로도 쉽게 확장이 가능하다.
후속연구
메일이 단순히 메시징의 용도로 사용되는 것에서 점차 다른 여러가지 인터넷 응용 서비스의 기반 기술로 작용하고 있는 가운데 이 논문에서 제안한 지불 메커니즘 또한 단순히 계좌 이체 서비스로만 사용되지 않고전자지불 등 보다 복잡한 전자상거래 서비스로의 확장하는 방안에 대한 연구가 계속되어야 할 것이다. 또한지불 메커니즘에서 사용자의 메일 주소만으로 서비스를 제공하기 위해서 메일 결제 서버 또는 메일 서버에서 사용자들의 계좌 정보를 저장하게 된다.
또한지불 메커니즘에서 사용자의 메일 주소만으로 서비스를 제공하기 위해서 메일 결제 서버 또는 메일 서버에서 사용자들의 계좌 정보를 저장하게 된다. 이는 사용자의 사생활이 침해될 수 있다는 문제점이 있기 때문에 향후이 부분을 해결하기 위한 연구도 계속되어야 할 것이다.
깊숙이 자리잡고 있다. 직접 상점까지 가지 않고 사무실이나 가정에서 손쉽게 필요한 상품을 구입할 수 있다는 장점이 있는 전자상거래는 앞으로도 더욱 활성화될 것으로 기대된다.
참고문헌 (17)
Zhiqun Chen, Java Card Technology for Smart Cards, pp. 3-7, ADDISON-WESLEY, 2000
Uwe Hansmann, Martin S. Nicklous, Thomas S. Nickous, Frank Seliger, Smart Card Application Development Using Java, pp. 13-22, Springer, 1999
http://www.digicash.com
J. Galvin, S. Murphy, S. Crocker, N. Freed, 'Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted(RFC1847),' IETF, 1995. 10
Alan O. Freier, Philip Karlton, Paul C. Kocher, 'The SSL Protocol version 3.0', Netscape, 1996. 3
T. Dierks, C. Allen, 'The TLS Protocol version 1.0 (RFC2246)', IETF, 1999. 1
R. Housley, 'Cryptographic Message Syntax(RFC2630)', IETF, 1999. 6
B. Ramsdell, 'S/MIME Version 3 Message Specification(RFC2633)', IETF, 1999. 6
B. Ramsdell, 'S/MIME Version 3 Certificate Handling(RFC2632)', IETF, 1999. 6
P. Hoffman, 'Enhanced Security Services for S/MIME(RFC2634)', IETF, 1999. 6
J. Callas, L. Donnerhacks, H. Finney, R. Yhayer, 'OpenPGP Message Format(RFC2440)', IETF, 1998. 11
M. Elkins, D. Del Torto, R. Levien, T. Roessler, 'MIME Security with OpenPGP(RFC3156)', 2001. 8
※ AI-Helper는 부적절한 답변을 할 수 있습니다.