인터넷이 활성화되면서 우리는 PC나 스마트폰에서 온라인 뱅킹, 주식 거래, 쇼핑 등의 다양한 전자상거래를 한다. 인터넷 상에서 거래 당사자 간의 신원확인 및 부인방지를 위한 주요 수단으로 공인인증서를 주로 활용한다. 하지만, 2005년 이후로 공인인증서 사용자에 대한 공격이 증가하고 있다. 즉, 공격자는 사용자 PC로부터 탈취한 공인인증서와 개인키 파일을 가지고, 은행 계좌 조회/이체나 전자상거래에 정당한 사용자로 위장하여 사용하게 된다. 이때, 개인키 파일은 사용자의 비밀번호로 암호화되어 저장되고, 필요할 때마다 복호화 되어 사용한다. 만약, 사용자의 비밀번호가 공격자에게 노출된다면 암호화된 개인키 파일을 쉽게 복호화 할 수 있다. 이러한 이유로 공격자는 사용자 PC에 트로이목마, 바이러스 등의 악성코드를 설치하여 사용자 인증서, 개인키 파일, 비밀번호를 탈취하려고 한다. 본 논문에서는 개인키 파일을 OTP인증기술을 이용하여 암호화함으로써 안전하게 관리할 수 있는 방안을 제안한다. 그 결과, 암호화된 개인키 파일이 외부에 노출되더라도 일회용 패스워드와 사용자 비밀번호가 노출되지 않으므로 암호화된 개인키 파일은 안전하게 보관된다.
인터넷이 활성화되면서 우리는 PC나 스마트폰에서 온라인 뱅킹, 주식 거래, 쇼핑 등의 다양한 전자상거래를 한다. 인터넷 상에서 거래 당사자 간의 신원확인 및 부인방지를 위한 주요 수단으로 공인인증서를 주로 활용한다. 하지만, 2005년 이후로 공인인증서 사용자에 대한 공격이 증가하고 있다. 즉, 공격자는 사용자 PC로부터 탈취한 공인인증서와 개인키 파일을 가지고, 은행 계좌 조회/이체나 전자상거래에 정당한 사용자로 위장하여 사용하게 된다. 이때, 개인키 파일은 사용자의 비밀번호로 암호화되어 저장되고, 필요할 때마다 복호화 되어 사용한다. 만약, 사용자의 비밀번호가 공격자에게 노출된다면 암호화된 개인키 파일을 쉽게 복호화 할 수 있다. 이러한 이유로 공격자는 사용자 PC에 트로이목마, 바이러스 등의 악성코드를 설치하여 사용자 인증서, 개인키 파일, 비밀번호를 탈취하려고 한다. 본 논문에서는 개인키 파일을 OTP 인증기술을 이용하여 암호화함으로써 안전하게 관리할 수 있는 방안을 제안한다. 그 결과, 암호화된 개인키 파일이 외부에 노출되더라도 일회용 패스워드와 사용자 비밀번호가 노출되지 않으므로 암호화된 개인키 파일은 안전하게 보관된다.
We have various e-commerce like on-line banking, stock trading, shopping using a PC or SmartPhone. In e-commerce, two parties use the certificate for identification and non-repudiation but, the attack on the certificate user steadily has been increasing since 2005. The most of hacking is stealing th...
We have various e-commerce like on-line banking, stock trading, shopping using a PC or SmartPhone. In e-commerce, two parties use the certificate for identification and non-repudiation but, the attack on the certificate user steadily has been increasing since 2005. The most of hacking is stealing the public certificate and private key files. After hacking, the stolen public certificate and private key file is used on e-commerce to fraud. Generally, the private key file is encrypted and saved only with the user's password, and an encrypted private key file can be used after decrypted with user password. If a password is exposed to hackers, hacker decrypt the encrypted private key file, and uses it. For this reason, the hacker attacks user equipment in a various way like installing Trojan's horse to take over the user's certificate and private key file. In this paper, I propose the management method to secure private key of PKI using One Time Password certification technique. As a result, even if the encrypted private key file is exposed outside, the user's private key is kept safely.
We have various e-commerce like on-line banking, stock trading, shopping using a PC or SmartPhone. In e-commerce, two parties use the certificate for identification and non-repudiation but, the attack on the certificate user steadily has been increasing since 2005. The most of hacking is stealing the public certificate and private key files. After hacking, the stolen public certificate and private key file is used on e-commerce to fraud. Generally, the private key file is encrypted and saved only with the user's password, and an encrypted private key file can be used after decrypted with user password. If a password is exposed to hackers, hacker decrypt the encrypted private key file, and uses it. For this reason, the hacker attacks user equipment in a various way like installing Trojan's horse to take over the user's certificate and private key file. In this paper, I propose the management method to secure private key of PKI using One Time Password certification technique. As a result, even if the encrypted private key file is exposed outside, the user's private key is kept safely.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 OTP 기술을 활용하여 사용자 비밀번호와 개인키 파일이 노출되더라도 안전하게 유지할 수 있는 방안을 제안하고자 한다.
본 논문에서는 기존에 사용하던 PKI 인증시스템에 OTP 기술을 접목하여 사용자의 암호화된 개인키 파일을 효율적으로 사용할 수 있도록 개선하는데 초점을 맞추었다. PKI 인증시스템에서 사용하는 개인키 파일은 사용자로부터 암호를 입력받아 암호화하여 저장한다.
본 논문에서는 사용자 비밀번호와 OTP 서버로부터 수신한 값을 이용해 개인키 파일의 암호화 방안을 제안함으로써 암호화된 개인키 파일을 안전하게 보호할 수있는 방안을 제안하였다.
본 절에서는 PKI인증시스템으로 부터 사용자의 인증서와 개인키 파일을 발급받은 상태에서 추가적으로 OTP 인증센터와 인증서버에 사용자 등록 및 개인키 파일의 암호화 절차를 설명한다.
본 논문에서는 인증서 방식에서 사용하는 암호화된 개인키 파일이 해커에게 노출된다면, 보안성이 탁월한 인증서 방식이라고 해도 인증 방법이 무력화 될 수 있다. 이에 본 논문에서는 이러한 위험성을 해결하기 위한 방안으로 PKI 기술과 OTP 기술을 접목시켜 개인 키의 안전한 관리 방안을 제안하였다. 즉, 기존의 인증서 방식에서 사용하는 사용자 인증 방법은 그대로 유지하고, 개인키 파일을 OTP에서 제공되는 일회용 비밀키를 사용하여 암·복호화 하여 사용할 수 있다.
제안 방법
본 장에서는 제안시스템의 객관적인 안전성을 기존의 사용자 인증 방식과 비교 평가하였다. 기존의 보안시스템에서 사용하는 사용자 인증 방식으로 가장 대표적인 ID/PW방식과 공인/사설인증서를 이용한 인증서방식, OTP 방식과 비교 평가하였다. 그 결과는 다음[표 2]와 같다.
사용자와 OTP 인증센터는 OTP 생성·검증 알고리즘을 공유하고, 사용자가 자신의 ID와 타임스탬프 값을 OTP 생성알고리즘에 입력하여 생성한 OTP값을 OTP 인증 센터에 전송하면 OTP 인증센터는 사용자로부터 수신한 OTP값과 사용자 ID값을 OTP 생성·검증 알고리즘에 입력하여 사용자ID에 따른 OTP값을 생성 후 이를 비교하여 검증하게 한다.
⑧ 전자서명 검증 단계에서는 인증서버가 사용자로부터 수신한 전자서명 값을 검증하기 위하여, 사용자의 인증서를 검증 후, 유효한 경우 사용자로 부터 수신한 전자서명을 검증한다. 이때 사용자의 인증서에 대한 유효성 검증을 위해 PKI 인증시스템의 디렉터리 서버에 접속하여 인증서와 인증서 폐지목록을 다운 받아 인증서의 유효성을 검증하고 사용자 인증서가 유효한 경우에만 AuthID0값을 인증서버의 DB에 저장하고, 사용자에게 AuthID0값을 재전송한다.
제안 시스템은 개인키 암호화를 위해 사용하는 비밀키 생성은 해시 알고리즘의 종류에 따라 160/256/384/512bit를 생성한다. 위의 [표 2]에서 보는 바와 같이, ID/PW 방식과 인증서 방식과 달리 비밀번호가 동적으로 바뀌어 비밀번호를 주기적으로 변경할 필요성이 없어진다.
데이터처리
본 장에서는 제안시스템의 객관적인 안전성을 기존의 사용자 인증 방식과 비교 평가하였다. 기존의 보안시스템에서 사용하는 사용자 인증 방식으로 가장 대표적인 ID/PW방식과 공인/사설인증서를 이용한 인증서방식, OTP 방식과 비교 평가하였다.
이론/모형
1 인코딩하여 저장하고, 개인키 상세정보는 개인키 암호 알고리즘, 서명 알고리즘 등의 정보를 PKCS#8 구조체 형식에 따라 사용자가 입력한 암호로 암호화하여 저장한다[10]. 이때 개인키 파일의 암호화 메커니즘은 패스워드 기반의 암호화 방식( Password Based Encryption Scheme, PBES)을 사용한다[11]. 즉, 사용자로부터 입력 받은 암호로 개인키 파일을 암호화하여 저장하고, 개인키가 필요할 때마다 사용자로 부터 암호를 입력 받아 암호화된 개인키 파일을 복호화 후 전자서명 생성·검증, 암·복호화에 사용하게 된다.
성능/효과
4장에서 살펴본 바와 같이, 제안시스템은 기존의 ID/PW 방식에 비해 패스워드가 160/256/384/512bit 길이를 사용하며, 인증서 방식과 OTP 방식을 접목하였으므로 보안성이 훨씬 강화되었다. 특히, OTP 방식을 사용함에 따라 사용자가 패스워드를 매번 변경하지 않아도 되고, 사용자 패스워드 조합규칙(예.
4장에서 살펴본 바와 같이, 제안시스템은 기존의 ID/PW 방식에 비해 패스워드가 160/256/384/512bit 길이를 사용하며, 인증서 방식과 OTP 방식을 접목하였으므로 보안성이 훨씬 강화되었다. 특히, OTP 방식을 사용함에 따라 사용자가 패스워드를 매번 변경하지 않아도 되고, 사용자 패스워드 조합규칙(예. 최소 9자 이상 12자 이내, 영대소문자/숫자/특수문자조합 등)을 준수하지 않아도 되어 사용자의 편의성이 크게 향상되었다. 따라서 인터넷뱅킹, 홈트레이딩 시스템 등의 사용자 인증이 필요한 시스템에서 제안된 방식을 적용이 가능할 것으로 예상한다.
후속연구
최소 9자 이상 12자 이내, 영대소문자/숫자/특수문자조합 등)을 준수하지 않아도 되어 사용자의 편의성이 크게 향상되었다. 따라서 인터넷뱅킹, 홈트레이딩 시스템 등의 사용자 인증이 필요한 시스템에서 제안된 방식을 적용이 가능할 것으로 예상한다.
향후 본 제안시스템에서 사용하는 암호화된 개인키 파일을 저장하는 저장매체 관리 방안과 OTP 인증 센터와 인증서버 및 사용자간의 효과적인 시간 동기화 방안에 대한 연구가 지속적으로 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
PKI란 무엇인가?
PKI는 공개키 암호시스템을 안전하게 사용하고 관리하기 위한 정보보호 표준 방식으로 인터넷상의 전자상 거래와 같이 지역적으로 떨어져 있는 이용자 간의 전자서명과 암호화에 의한 보안기술이다[9]. 즉, 통신을 하고자 하는 쌍방이 모두 신뢰할 수 있는 기관(공인인증기관)에서 생성한 공개키와 개인키를 사용하여 안전한 전자상거래를 할 수 있도록 지원한다.
PKI 인증시스템은 무엇으로 구성되어 있는가?
PKI 인증시스템은 사용자 정보에 따라 랜덤하게 생성된 공개키 정보를 저장한 인증서를 발급하고 관리하는 인증기관(CA), 사용자의 인증서 발급 요청에 따라 사용자 정보를 등록하는 등록대행기관(RA), 인증서와 폐지된 인증서 목록을 사용자에게 제공하는 디렉터리 시스템(DS) 등으로 구성되며, 각 구성요소 간 관계는 다음 [그림 1]과 같다.
PKI 인증시스템의 동작 절차는 어떻게 이루어 지는가?
이러한 PKI 인증시스템의 동작절차는 다음과 같다. 먼저, 사용자가 등록대행기관에서 자신의 신원정보를 확인받고 인증서 발급 요청한다. 요청을 받은 등록대행 기관은 사용자 신원정보를 전송하면서 인증기관에 인증서 발급 요청을 한다. 사용자 인증서 발급요청을 수신한 인증기관은 사용자에게 인증서를 발급해주면서 발급된 인증서와 인증서 폐지목록을 디렉터리 시스템에 게시한다. 사용자가 인터넷 상점(Market)에 접속하여 전자상거래 시, 상점에서는 디렉터리 시스템에 접속 하여 사용자 인증서와 인증서 폐지목록을 다운받아 사용자의 인증서의 유효성을 검사 후 인증서가 유효한 사용자에게만 해당 서비스를 제공한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.