현재 인터넷에 대한 사고는 급증하는 추세이고, 대부분의 웹서버들이 해킹 및 스파이웨어 등의 방법을 통해 위협을 받고 있다. 많은 보안사고중 커다란 비중을 차지하고 있는 사고는 인증정보의 분실 및 인가되지 않는 내부의 사용자에 의해 이루어지고 있다. 또한 중요 정보시스템에 접근하여 작업을 하고자 할 때는 보안의 중요성이 더욱 강조되고 있다. 이에 많은 곳에서는 생체인증을 통하여 접근하는 방식을 사용하고 있다. OTP로 여러 시스템에 접근하고자 할 경우 여러 개의 디바이스를 지녀야 하며 생체인증의 경우 오인식율과 오거부율의 위협을 안고 있다. 또한 OTP를 분실 하였을 경우 중요 정보시스템에 접근이 가능하여 보안 문제를 유발할 수 있다. 이에 본 연구에서는 모바일 RFID리더와 Tag, 접근자의 휴대폰을 분리하여 분실에 대한 위험을 감소시키고, 모바일 RFID리더와 Tag의 접촉으로 난수 인증키를 관리 시스템에서 발생하도록 하였다. 발생된 난수 인증키의 경우 미리 등록이 되어 있는 사용자의 휴대폰으로 전송하므로 기존의 ID Password의 접속 방식보다 한 차원 높은 보안방식이다. 즉 아직까지 보편화되지 않는 모바일 RFID를 중요 정보시스템에 접근하는 인증방식의 도구로 사용하는 방법에 대해 연구하였다.
현재 인터넷에 대한 사고는 급증하는 추세이고, 대부분의 웹서버들이 해킹 및 스파이웨어 등의 방법을 통해 위협을 받고 있다. 많은 보안사고중 커다란 비중을 차지하고 있는 사고는 인증정보의 분실 및 인가되지 않는 내부의 사용자에 의해 이루어지고 있다. 또한 중요 정보시스템에 접근하여 작업을 하고자 할 때는 보안의 중요성이 더욱 강조되고 있다. 이에 많은 곳에서는 생체인증을 통하여 접근하는 방식을 사용하고 있다. OTP로 여러 시스템에 접근하고자 할 경우 여러 개의 디바이스를 지녀야 하며 생체인증의 경우 오인식율과 오거부율의 위협을 안고 있다. 또한 OTP를 분실 하였을 경우 중요 정보시스템에 접근이 가능하여 보안 문제를 유발할 수 있다. 이에 본 연구에서는 모바일 RFID리더와 Tag, 접근자의 휴대폰을 분리하여 분실에 대한 위험을 감소시키고, 모바일 RFID리더와 Tag의 접촉으로 난수 인증키를 관리 시스템에서 발생하도록 하였다. 발생된 난수 인증키의 경우 미리 등록이 되어 있는 사용자의 휴대폰으로 전송하므로 기존의 ID Password의 접속 방식보다 한 차원 높은 보안방식이다. 즉 아직까지 보편화되지 않는 모바일 RFID를 중요 정보시스템에 접근하는 인증방식의 도구로 사용하는 방법에 대해 연구하였다.
Internet accidents have skyrocketed every year. It always has been threatened by the methods such as hacking and Spyware. The majority of security accident is formed of the loss of authentication information, and the internal user who is not authorized. The importance of security is also emphasized ...
Internet accidents have skyrocketed every year. It always has been threatened by the methods such as hacking and Spyware. The majority of security accident is formed of the loss of authentication information, and the internal user who is not authorized. The importance of security is also emphasized when someone tries to do something accessing to the main information system. Accordingly, Biometrics has been used in many ways. OTP, however, must have a few devices accessing to several systems, and Biometrics involve some risk of mis-recognition rate and mis-denial rate. It also has the risk possible to access to the main information system when losing OTP. This research reduced risks about the loss as separating RFID leader for mobile, Tag and the accessor's cellular phone, and is about pseudo random validation key generated from the administration system through contact with RFID leader for mobile and Tag. As sending the key to user's cell phone which is already registered, security is strengthened more than existing connection methods through the ID and password. RFID for mobile not generalized to the present has been studied as a tool accessing to the main information system.
Internet accidents have skyrocketed every year. It always has been threatened by the methods such as hacking and Spyware. The majority of security accident is formed of the loss of authentication information, and the internal user who is not authorized. The importance of security is also emphasized when someone tries to do something accessing to the main information system. Accordingly, Biometrics has been used in many ways. OTP, however, must have a few devices accessing to several systems, and Biometrics involve some risk of mis-recognition rate and mis-denial rate. It also has the risk possible to access to the main information system when losing OTP. This research reduced risks about the loss as separating RFID leader for mobile, Tag and the accessor's cellular phone, and is about pseudo random validation key generated from the administration system through contact with RFID leader for mobile and Tag. As sending the key to user's cell phone which is already registered, security is strengthened more than existing connection methods through the ID and password. RFID for mobile not generalized to the present has been studied as a tool accessing to the main information system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
이러한 고정형 RFID 의 용도는 단순한 사용자인증 뿐만 아니라 사물에 대한 이력 관리, 물류관리에 사용되고 있다. 이렇게 이력관리 및 물류 관리에 사용되던 고정형 RFID를 보다 간편하고 사용하고자 모바일 RFID가 개발 되었다. 하지만 현제 모바일 RFID의 경우 상품정보 이력조회, 와인정보 조회 등의 기능 외에는 효율적으로 사용하는 사례가 거의 없다.
하지만 현제 모바일 RFID의 경우 상품정보 이력조회, 와인정보 조회 등의 기능 외에는 효율적으로 사용하는 사례가 거의 없다. 이렇듯 사용사례가 거의 없는 모바일 RFID을 이용하여 중요정보 시스템간의 인증이라는 보안적인 측면으로 연구하였다. 기존에는 ID, Password만을 이용하여 중요 정보시스템에 접속하였던 것에 비해 본 연구에서는 모바일 RFID를 통해 발생된 난수 인증키와 ID, Password의 입력으로 중요 정보시스템에 인증 받지 못한 내부 사용자들로부터 중요 정보시스템을 안전하게 보호하도록 구성하였다.
모바일 RFID리더기로부터 인식된 Tag ID 및 휴대폰의 인증번호, 휴대폰번호는 이동통신망을 통하여 이동통신사로 전송된다. 이는 이동통신망을 통하여 장소 및 시간에 구애받지 않고 언제든지 사용가능하도록 하였다. 이동통신망을 통하여 전송된 Tag ID 및 휴대폰의 인증번호, 휴대폰번호는 이동통신사와 규정된 난수 인증키 생성서버로 전송된다.
본 논문에서는 제시한 방법을 통하여 사용자 3명이 동시접속을 하여 발생된 난수 인증키와 접속 시 DB에서의 인증키삭제 여부는과 같다.
이는 노트북 및 접속디바이스에 저장되어 있는 계정정보 등을 이용하여 중요 정보시스템에 접근이 가능하며 한 기업의 보안사고로 이루어진다. 중요정보 시스템의 용이한 접근을 사전에 차단하고자 하는 것이 본 연구의 목적이다. 이에 본 연구는 모바일 RFID를 이용하여 난수 인증키의 생성 및 인가된 사용자에게 SMS를 통하여 인증키를 발송하여 기존의 ID와 Password만으로 사용되고 있는 보안장비의 접근의 보안을 한층 강화시켰다.
이에 본 연구는 모바일 RFID를 이용하여 난수 인증키의 생성 및 인가된 사용자에게 SMS를 통하여 인증키를 발송하여 기존의 ID와 Password만으로 사용되고 있는 보안장비의 접근의 보안을 한층 강화시켰다. 또한 RFID tag를 이용한 사원증 및 노트북에 부착하여 해당 담당자가 사용하므로 접근의 제한 및 권한을 부여하였고 접근에 관련된 이력을 남김으로 작업의 내용을 확인하도록 연구하였다. 또한 인가된 ID, Password만 알고 있는 사용자라 할지라도 인증번호가 없으면 접속이 불가능하다.
제안 방법
이렇듯 사용사례가 거의 없는 모바일 RFID을 이용하여 중요정보 시스템간의 인증이라는 보안적인 측면으로 연구하였다. 기존에는 ID, Password만을 이용하여 중요 정보시스템에 접속하였던 것에 비해 본 연구에서는 모바일 RFID를 통해 발생된 난수 인증키와 ID, Password의 입력으로 중요 정보시스템에 인증 받지 못한 내부 사용자들로부터 중요 정보시스템을 안전하게 보호하도록 구성하였다. 또한 OTP와 같이 하나의 디바이스를 이용한 인증도구의 분실로 비인가자의 접속을 효과적으로 대처하고자 휴대폰, 모바일 RFID리더와 Tag를 동시에 결합하여 난수 인증키를 생성하였다.
기존에는 ID, Password만을 이용하여 중요 정보시스템에 접속하였던 것에 비해 본 연구에서는 모바일 RFID를 통해 발생된 난수 인증키와 ID, Password의 입력으로 중요 정보시스템에 인증 받지 못한 내부 사용자들로부터 중요 정보시스템을 안전하게 보호하도록 구성하였다. 또한 OTP와 같이 하나의 디바이스를 이용한 인증도구의 분실로 비인가자의 접속을 효과적으로 대처하고자 휴대폰, 모바일 RFID리더와 Tag를 동시에 결합하여 난수 인증키를 생성하였다. 이렇게 생성된 인증키는 ID와 Password를 이용하여 중요 정보지원시스템을 안전하게 사용하도록 구성하였다.
또한 OTP와 같이 하나의 디바이스를 이용한 인증도구의 분실로 비인가자의 접속을 효과적으로 대처하고자 휴대폰, 모바일 RFID리더와 Tag를 동시에 결합하여 난수 인증키를 생성하였다. 이렇게 생성된 인증키는 ID와 Password를 이용하여 중요 정보지원시스템을 안전하게 사용하도록 구성하였다.
그 외에도 중요정보시스템의 인증 무력화에 대한 DOS공격과 같은 특정 공격과 사용자의 프라이버시를 보호하는 안전한 기법들도 제안되었다〔6〕〔7〕. 이러한 중요정보시스템 및 프라이버시를 보호하고자 모바일 RFID를 사용하였다.
본 논문에서 제안된 사용자 인증시스템은 모바일 RFID 시스템과 기존의 보안장비를 연동하기 위하여 이동통신망을 이용하였다.<그림 1>의 경우 고정형 물류센터에서 사용되고 있는 RFID의 이용방법과 미술관에서 사용되고 있는 모바일 RFID를 이용하는 예를 나타내고 있다.
모바일 RFID를 통하여 인식된 Tag ID는 이동통신망을 통하여 난수 인증키 생성서버로 전송하였다. 이때 전송된 프로토콜은 http를 이용하였고 생성된 난수 인증키는 미리 등록된 사용자의 휴대폰으로 SMS를 통하여 전송한다.
Tag의 경우 부착형으로 연구하였으나, 본 연구에서는 사원증 등으로 제작된 Tag를 사용하여 또 다른 개인 식별기능을 부여할 수 있도록 하였다. 즉, 모바일 RFID와 Tag가 접속하였을 경우 이동통신사는 난수 인증키 생성모듈에게 Tag ID만 전송시킨다.
중요정보 시스템의 용이한 접근을 사전에 차단하고자 하는 것이 본 연구의 목적이다. 이에 본 연구는 모바일 RFID를 이용하여 난수 인증키의 생성 및 인가된 사용자에게 SMS를 통하여 인증키를 발송하여 기존의 ID와 Password만으로 사용되고 있는 보안장비의 접근의 보안을 한층 강화시켰다. 또한 RFID tag를 이용한 사원증 및 노트북에 부착하여 해당 담당자가 사용하므로 접근의 제한 및 권한을 부여하였고 접근에 관련된 이력을 남김으로 작업의 내용을 확인하도록 연구하였다.
이론/모형
인증키를 전송받은 사용자는 ID, Password와 SMS를 통하여 전송받은 인증키로 접속을 시도한다. 이때 PC와 중요 정보시스템 사이에는 Seed 알고리즘과 개인키 기반인 대칭형 암호키 기법인 3DES를 이용하여 접속한다.접속된 웹 브라우저를 통하여 입력된 ID, Password, 인증키 정보를 암호화하여 중요 정보시스템으로 전송한다.
성능/효과
다른 매체에 비해 탁월하다. 또한 다른 인식 객체와 비교할 때 RFID기술은 현재 사용 중인 바코드에 비해 인식 속도가 빠르고, 바코드는 인식거리가 최대 50Cm인데 비해 RFID는 최대 27m까지 확장이 가능하며 , 금속을 제외한 장애물 투과도 가능하다는 특징을 가지고 있다. 따라서 모바일기술과 RFID를 이용하게 되면 바코드의 입지는 더욱더 좁아질 것이다〔8〕〔9〕.
여부는<표 2>과 같다. 즉, 유사한 시간대에 3명의 사용자로 하여금 난수 인증키를 5회 발급한 결과 중복된 난수 인증키의 발급과 로그인 접속 시 DB에서 인증키가 삭제됨이 나타났다. 이는 모바일 RFID와 Tag, 휴대폰을 통하여 인증키가 발급 되었으며 발급된 인증키를 이용하여 중요정보 시스템의 접속과 동시에 인증키의 정보를 DB에서 삭제하므로 재사용 하는 것이 방지되었다.
즉, 유사한 시간대에 3명의 사용자로 하여금 난수 인증키를 5회 발급한 결과 중복된 난수 인증키의 발급과 로그인 접속 시 DB에서 인증키가 삭제됨이 나타났다. 이는 모바일 RFID와 Tag, 휴대폰을 통하여 인증키가 발급 되었으며 발급된 인증키를 이용하여 중요정보 시스템의 접속과 동시에 인증키의 정보를 DB에서 삭제하므로 재사용 하는 것이 방지되었다. 이와 유사한 접근방식으로 OTP 와 Smart Card를 통한 접근방식이 있다.
이에 비해 모바일 RFID 를 사용한 경우 높은 구입비용에 비해 낮은 유지보수 비용과 Tag 및 모바일 리더기의 재사용이 가능하여 비용 절감을 시키는 효과를 볼 수 있다. 또한 기존 OTP 및 Smart의 단점인 장소의 제약성을 모바일 RFID를 이용하므로 장소 및 시간에 구애받지 않고 효과적으로 사용할 수 있다. 분실 위험성의 경우 휴대폰, Tag, 모바일 RFID가 같은 공간, 같은 시간에 존재하여야만 인증키를 부여 받을 수 있으므로 분실로 인한 불법적인 접근 위험을 효과적으로 방지하였다.
이는 6자리 이하의 패스워드를 알아내는데 필요한 시간은 약 8시간의 노력으로 가능하다〔12〕. 이에 본 연구는 최소12자리 이상의 난수를 발생하므로 안전한 인증번호를 통해 중요정보 시스템에 접근하므로 패스워드의 보안정책에 효율적이다.
후속연구
따라서 모바일기술과 RFID를 이용하게 되면 바코드의 입지는 더욱더 좁아질 것이다〔8〕〔9〕. 앞으로 모바일 RFID 리더기의 경우 RFID리더기가 휴대폰마다 내장되어 있으므로 동일 태그에 접속하는 리더기의 존재 확률이 가변적으로 변하게 되며, 반면에 태그는 정보를 제공하려는 위치에 고정되어 있는 경우 (예 ; 미술관, 버스 정류장, 영화관 등)에 사용이 많아질 것이다〔10〕.
향후에는 이동통신사와 인증키 생성 시스템 간의 데이터 의무결성 및 기밀성을 위한 IPSec VPN 또는 SSL V归N을 이용한 연구가 필요하다. 또한 휴대폰의 공통된 플랫폼을 통하여 다수의 이동통신사간의 연동으로 중요 정보시스템간의 네트워크의 확장과 자원의 공유 방법에 대한 연구가 필요하다.
연구가 필요하다. 또한 휴대폰의 공통된 플랫폼을 통하여 다수의 이동통신사간의 연동으로 중요 정보시스템간의 네트워크의 확장과 자원의 공유 방법에 대한 연구가 필요하다.
참고문헌 (13)
숀 헤리스, 김 대경, "Passport CISSP," 정보문화사, pp. 54-70, 2004년.
정동기, "각급 기관 보안사고 근절대책", 전라남도 교육청, pp. 1, 2003년 11월
최원혁, "기업정보 온라인유출 유형 및 사례 분석", 국가사이버안전센터, pp. 3-4, 2005년 3월.
M. Ohkubo, K. Suzuki. and S.Kinoshita, "Efficient Hash-Chain Base RFID Privacy Protection Scheme", Ubcomp 2004 workshop
D. Henrici and Paul Muller, "Hash-Base Enhancement of Location Privacy for Radio-Frequency Identification Devices using Varying Identifiers", PerSec'04 at IEEE perCom. pp. 149-153, 2004.
G. Avoine and Ph. Oechslin, "A Scalable and Provably Secure Hash-Base RFID Protocol", The 2nd IEEE International workshop on Pervasive Computing and Communication Security Society Press. Kauai Island Hawaii. USA, 2005. 2.
EPCglobal, "EPCTM Tag Data Standards Version 1.1 Rev1.24 Standard Specification 01", 04. 2004
Texas Instruments, http://www.ti.com/tiris/
Matrics Systems Corporation. "EPC and Radio Frequency Identification (RFID) Standards." pp.2-3, 2004.
장병준, "모바일 RFID 기술 동향 및 주요 이슈," ITFIND 주간기술동향, pp.3-4, 2005년 7월.
홍명선, "2차원 바코드를 이용한 선불형 전자지급 휴대폰 결재 시스템의 기술구현," SK Review 제16권 2호, 2006년 4월.
Auto-ID Center, "860MHz-960MHz Class I Radio Frequency Identification tag Radio Frequency and Logical communication Interface Specification Proposed Recommendation Version 1.0.0. Technical Report MIT-SUTOID-TR-007", AutoID Center. MIT. 2002
한국정보보호 진홍원, "당신의 패스워드는 얼마나 안전할까요?", 정보보호 뉴스, 2007년 10월.
이 논문을 인용한 문헌
저자의 다른 논문 :
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.