[논문]복수 K-FIDO 기기 환경에서의 인증키 관리

이병천

doi:10.13089/jkiisc.2017.27.2.293

복수 K-FIDO 기기 환경에서의 인증키 관리
Certified Key Management in Multi K-FIDO Device Environment 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.2, 2017년, pp.293 - 303

초록
AI-Helper

생체인식 기술을 이용하여 기존의 패스워드를 대체하기 위한 FIDO(Fast IDentity Online)[1,7] 기술이 빠르게 성장하고 있다. FIDO 기술은 생체인식 기술을 이용한 편리한 사용자 인증과 스마트카드 기술을 이용한 안전한 키관리 기능을 제공하지만 사용자 신원인증 기술이 함께 제공되지 않아 사용자가 FIDO 기기를 원격 서버에 초기 등록하는 과정에서는 기존의 전통적인 신원인증 방식을 이용할 수밖에 없다. K-FIDO[3]는 이런 단점을 해결하기 위하여 FIDO 기술과 인증서기반 기술을 하나의 기기에 접목시킨 것으로 사용자의 초기등록 과정에서 인증서 기반 인증을 이용할 수 있게 하였다. 그런데 사용자들이 복수의 K-FIDO 기기를 사용하는 유비쿼터스 환경이 빠르게 도래할 것으로 예상되는데, 이런 환경에서는 만일 기존의 방식대로 하나의 인증서를 여러 기기에 복사하여 사용하거나, 기기별로 별도의 인증서를 발급받아 사용하게 된다면 많은 문제가 발생할 것으로 예상된다. 본 논문에서는 자체확장인증[4] 방식을 이용하여 복수 K-FIDO 기기 환경에서 인증키 관리의 편의성을 향상시킬 수 있는 방안을 제시한다.

Abstract ▼ AI-Helper

FIDO(Fast IDentity Online) technology is expanding very rapidly which can replace traditional password-based authentication with biometrics technology[1,7]. FIDO provides convenient authentication with biometrics technology and secure key management with smart card technology, but it does not provide user identification, thus traditional user identification technology should be used before a FIDO device is registered to a FIDO server. K-FIDO[3] is an approach to implement FIDO and certificate-based authentication technology into a single device that user can utilize certificate-based authentication in initial registration of FIDO device to FIDO server. It is expected that very shortly users will own and use multiple K-FIDO devices. If we consider the traditional approach of copying single certificate to multiple devices or issuing independent certificate to each device, there will be many complex problems. In this paper we propose more secure and convenient key management technology in multiple K-FIDO device scenario using self-extended certification[4].

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

FIDO 얼라이언스[1]는 2012년에 설립된 글로벌인증 관련 기업들의 연합체로 인증기술에 대한 기술표준을 제시하고 관련 산업을 확산시키는 것을 목표로 한다. 2014년에 FIDO 1.
사용자가 복수의 K-FIDO 기기를 소유하고 있다고 가정하고 인증서 기반의 인증키를 안전하게 배포하기 위한 방안을 생각해보자. K-FIDO 기기에서 제공하는 스마트카드 기반의 안전한 키관리 기능을 적극 활용할 수 있는 방안을 우선 고려한다.
이 논문에서는 사용자들이 복수의 K-FIDO 기기들을 사용하게 되는 환경에서 인증서를 가지고 있는 하나의 K-FIDO 마스터기기를 이용하여 복수개의추가 K-FIDO 기기들에 인증서를 배포하기 위한 편리한 기술을 제안하고 있는데, 사용자 스스로 자체확장인증서를 발행하여 사용하는 기술과 함께 사용자의 인증서를 이용한 명시적인 발급요청이 있는 경우 인증기관이 추가기기에게 추가인증서를 자동 발급하도록 운영하는 방안을 제시한다. 또한 ID기반 암호를 결합 활용하는 방식에서는 ID개인키 발행을 안전하고 편리하게 구현하는 방안에 대해서 검토한다.
사용자가 복수의 K-FIDO 기기를 소유하고 있다고 가정하고 인증서 기반의 인증키를 안전하게 배포하기 위한 방안을 생각해보자. K-FIDO 기기에서 제공하는 스마트카드 기반의 안전한 키관리 기능을 적극 활용할 수 있는 방안을 우선 고려한다.
이 논문에서는 사용자들이 복수의 K-FIDO 기기들을 사용하게 되는 환경에서 인증서를 가지고 있는 하나의 K-FIDO 마스터기기를 이용하여 복수개의추가 K-FIDO 기기들에 인증서를 배포하기 위한 편리한 기술을 제안하고 있는데, 사용자 스스로 자체확장인증서를 발행하여 사용하는 기술과 함께 사용자의 인증서를 이용한 명시적인 발급요청이 있는 경우 인증기관이 추가기기에게 추가인증서를 자동 발급하도록 운영하는 방안을 제시한다. 또한 ID기반 암호를 결합 활용하는 방식에서는 ID개인키 발행을 안전하고 편리하게 구현하는 방안에 대해서 검토한다.
앞에서 설명한 자체확장인증서는 공개될 수 있는 정보이므로 공개적인 통신을 통해 전달하여도 문제가 없었지만 ID개인키는 개인의 신원을 증명하는데 사용하는 기밀 정보이므로 공격자에게 노출되지 않도록 안전하게 전달되어야 한다. 이러한 ID개인키의 안전한 발급 측면에서 가능한 구현 방법에 대해 검토해보자.

가설 설정

마스터기기와 추가기기 사이의 통신을 중개하는 키관리서버가 있다고 가정하자. 사용자는 마스터기기를 이용하여 추가기기에서 사용할 ID개인키를 생성하고 안전한 패스워드를 이용하여 암호화 후 키관리 서버에 전송한다.
사용자는 복수의 컴퓨팅기기를 사용하고 있으며 이들 기기에는 스마트카드 기술 기반의 안전한 하드웨어 보안모듈을 장착하고 있다고 가정한다. 사용자가 인증기관으로부터 인증서를 발급받은 하나의 기기를 마스터기기라고 하며 나머지 기기들을 추가기기라고 부르자.
여기에서는 외부의 전문기관이 운영하는 자체확장인증서 발급을 중개하는 역할을 하는 키관리서버(key management server, KMS)를 사용할 수 있다고 가정한다. 사용자는 인증기관(certificate authority, CA)으로부터 인증서(certificate)를 발급받아 장착하고 있는 하나의 마스터기기(masterdevice)를 가지고 있고 복수개의 추가기기(additional device)에 자체확장인증서(self-extended certificate, SEC)를 발급하여 사용하려고 한다.

제안 방법

사용자가 스마트카드 기술 기반의 복수 K-FIDO기기를 사용하는 경우 기기 내부에서 안전하게 생성/이용/보관되는 키쌍을 인증키로 활용할 수 있는 효율적인 방법론을 제시하였다.
사용자는 마스터기기를 이용하여 인증기관에 접속하고 추가인증서 발급요청 내역을 검색하여 화면에 출력되는 해쉬값을 비교한다. 자신이 추가기기로 요청했던 내역이 검색되면 발급 동의 버튼을 누른다.
마스터기기와 추가기기 사이의 통신을 중개하는 키관리서버가 있다고 가정하자. 사용자는 마스터기기를 이용하여 추가기기에서 사용할 ID개인키를 생성하고 안전한 패스워드를 이용하여 암호화 후 키관리 서버에 전송한다. 사용자는 추가기기를 이용하여 키 관리서버에 접속하고 암호화된 ID개인키를 다운로드하고 동일한 암호를 입력하여 ID개인키를 복호화하고 추가기기에 설치한다.
사용자는 마스터기기를 이용하여 키관리서버에 접속하고 발급요청 내역을 검색하여 화면에 출력되는 해쉬값을 비교한다. 자신이 추가기기로 요청했던 내역이 검색되면 발급 버튼을 누른다.
위 논문에서는 인증서를 장착하고 있는 마스터기기가 추가기기에서 사용할 ID개인키를 생성하여 주입하는 방식의 프로토콜을 제시하였다. ID개인키는 추가기기의 ID 정보를 인증서의 개인키로 서명한 것이며 ID개인키를 이용한 서명의 검증시에는 인증서의 공개키를 함께 사용해야 하므로 사용자의 신분을 자연스럽게 확인할 수 있게 된다.
이 모델에서 사용자는 인증서가 발급된 하나의 마스터기기를 가지고 있고 복수의 추가기기들에 ID개인키를 발행하여 사용하려고 한다. ID개인키는 마스터기기가 생성하며 이것을 추가기기들에 안전하게 전달하여야 한다.
2016년 KISA를 중심으로 바이오 공인인증 서비스라는 이름으로 개발된 K-FIDO[3] 기술은 FIDO 모듈과 공인인증 모듈을 하나의 기기에 구현하여 공인인증서의 개인키를 FIDO 기기 내에 저장하고 개인키 암호화 비밀번호를 입력해야 했던 것을 FIDO 생체인식으로 대체할 수 있도록 한 것이다. 즉 개인키를 사용하기 위해서는 패스워드를 입력할 필요가 없이 생체인증만 하면 전자서명이 수행될 수 있도록 구현하였다.

후속연구

FIDO 얼라이언스에서는 기기의 초기 등록시 인증수단(Authenticator)과 사용자의 신원을 연결하는 것은 FIDO 표준 밖의 일이라고 선언하고 있다. 사용자 신원확인을 위해서는 이미 사용하고 있는 전통적인 신원인증 방식을 이용해야 할 것인데, 패스워드 기반 인증, 주민등록번호 등의 개인식별번호 제시,SMS등 통신사 기반의 인증, 계좌정보/신용카드정보 등 금융사 기반의 인증, 공인인증서를 이용한 인증 등 복잡한 신원인증 방식을 이용하게 될 것이다. FIDO에서는 인증수단 등록시 사용자의 신원이 확인된 이후 인증수단에서 새로운 키쌍을 생성하여 개인키는 내부에 안전하게 저장하고 공개키를 서버에 등록하게 된다.
특히 K-FIDO 기기에서는 타원곡선 암호를 사용할 수 있는 환경이 제공되므로 인증서 기반 암호와 ID기반 암호를 결합 활용하는 자체확장인증 방식의 적용을 시도해볼 수 있다. 사용자들이 편리하게 사용할 수 있도록 하는 키관리 방식의 상세한 구현방안에 대해서는 좀 더 연구가 필요하다.
또한 이 기술을 표준기술로 추가하기 위한 표준화 노력과 함께 필요한 세부 구현기술을 개발하는 선도적인 노력을 기울일 필요가 있다. 이 논문에서는 가장 기본적인 키관리 방식을 제안한 것이며 이를 실제 구현하고 서비스화하기 위해서는 전문기업에 의한 많은 추가 연구개발이 필요하다고 생각된다.
이런 측면에서 이 논문에서 제시한 자체확장인증 방식은 사용자 스스로 자체 확장인증서를 발행하여 사용하거나, 인증기관이 추가인증서를 자동 발행하는 방식으로 위의 문제점들을 해결할 수 있다. 이러한 접근방법은 사용자의 K-FIDO 기기 내부에서 생성되는 안전한 키쌍을 인증키로 사용할 수 있게 하여 내재적인 보안을 제공해준다. 더구나 사용자의 자체확장인증서 및 추가인증서 발행 내역을 키관리서버 및 인증기관에서 안전하게 관리할 수 있는 방법론을 제공하고 있다.
향후 유비쿼터스 환경으로 발전하면서 많은 컴퓨팅 기기들에 TEE(Trusted Execution Environment), SE(Secure Element), TPM(Trusted Platform Module) 등으로 불리우는 하드웨어보안모듈들이 기본 내장되는 환경으로 발전할 것으로 예상되는데 이런 내재적 보안환경을 적극 사용할 수 있는 방안이 제시되어야 한다. 사용자가 사용하는 모든 기기들에 인증키를 안전하게 내장하여 사용자들이 보안에 신경을 쓰지 않아도 안전성이 보장되는 내재적 보안을 제공하는 것이 중요할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	FIDO 기술의 단점은?	생체인식 기술을 이용하여 기존의 패스워드를 대체하기 위한 FIDO(Fast IDentity Online)[1,7] 기술이 빠르게 성장하고 있다. FIDO 기술은 생체인식 기술을 이용한 편리한 사용자 인증과 스마트카드 기술을 이용한 안전한 키관리 기능을 제공하지만 사용자 신원인증 기술이 함께 제공되지 않아 사용자가 FIDO 기기를 원격 서버에 초기 등록하는 과정에서는 기존의 전통적인 신원인증 방식을 이용할 수밖에 없다. K-FIDO[3]는 이런 단점을 해결하기 위하여 FIDO 기술과 인증서기반 기술을 하나의 기기에 접목시킨 것으로 사용자의 초기등록 과정에서 인증서 기반 인증을 이용할 수 있게 하였다.
	생체인식 기술을 이용한 기술 중 기존의 패스워드를 대체하기 위해 성장하고 있는 기술은 무엇인가?	생체인식 기술을 이용하여 기존의 패스워드를 대체하기 위한 FIDO(Fast IDentity Online)[1,7] 기술이 빠르게 성장하고 있다. FIDO 기술은 생체인식 기술을 이용한 편리한 사용자 인증과 스마트카드 기술을 이용한 안전한 키관리 기능을 제공하지만 사용자 신원인증 기술이 함께 제공되지 않아 사용자가 FIDO 기기를 원격 서버에 초기 등록하는 과정에서는 기존의 전통적인 신원인증 방식을 이용할 수밖에 없다.
	인증키 사용자가 복수의 기기를 사용할 때 느끼게 되는 어려움은?	사용자가 복수의 기기를 사용하고 있다면 이것의구입, 폐기, 매도 등 관리주체는 사용자이다. 그런데 기기마다 인증키의 발급/폐기 등을 위하여 외부의 인증기관에 여러번 의존해야 한다는 것은 논리적으로 맞지 않으며 문제 해결에 어려움을 겪게 될 수 있다. 자체확장인증서, 추가인증서 모델은 사용자가 직접 인증키를 관리하는 모델이며 발행 내역을 언제든지 확인할 수 있어서 안전한 관리가 가능하다.

참고문헌 (9)

FIDO alliance, https://fidoalliance.org/
R. Lindermann, V. Bharadwaj, A. Czeski s, and M.B. Jones, "FIDO 2.0: Client To Authenticator Protocol," Oct. 2016, https://fidoalliance.org/specs/fido-v2.0-rd-20161004/fido-client-to-authenticatorprotocol-v2.0-rd-20161004.html
KISA, "Implementation Guideline for Safe Usage of Accredited Certificate using bio information in Smart phone," KCAC.TG.IMP, 2016. 9.
Byoungcheon Lee, "Hybrid Key Management Using Self-Extended Certification and Hardware Security Module," Journal of Security Engineering, 11(4), pp. 273-286, Aug. 2014.

상세보기
Byoungcheon Lee, "Model of Key Management Server for Hybrid Certification," Journal of Security Engineering, 13(1), pp. 27-40, Feb. 2016.

상세보기
Byoungcheon Lee, "Hybrid-Style Personal Key Management in Ubiquitous Computing," Proceedings of the 11th International Conference on Security and Cryptography (SECRYPT2014), pp. 238-243, Aug. 2014.
S.R. Cho, D.S. Choi, S.H. Jin, and H.H. Lee, "Passwordless Authentication Technology - FIDO," Electronics and Telecommunications Trends, 29(4), pp. 101-109. Aug. 2014.
D. Boneh, and M. Franklin, "Identity-based encryption from the Weil pairing," Advances in Cryptology - Crypto'2001, LNCS 2139, pp. 213-229. SpringerVerlag. Aug. 2001.
H.L.V. Gong, D. Balfanz, A. Czeskis, A. Birgisson, and J. Hodges, "FIDO 2.0: Web API for accessing FIDO 2.0 credentials," Nov. 2015, https://www.w3.org/Submission/2015/SUBM-fido-web-api-20151120/

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증