[논문]OAuth2.0을 변형한 금융권 통합인증 프로토콜

정규원; 신혜성; 박종환

doi:10.13089/jkiisc.2017.27.2.373

OAuth2.0을 변형한 금융권 통합인증 프로토콜
Integrated Authentication Protocol of Financial Sector that Modified OAuth2.0 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.2, 2017년, pp.373 - 381

정규원 (상명대학교) , 신혜성 (상명대학교) , 박종환 (상명대학교)

초록
AI-Helper

현재 국내 금융거래에서는 공인인증서를 중심으로 하는 다양한 사용자 인증방식이 사용되고 있다. 이러한 공인인증서 방식은 사용자가 개별 금융사의 웹서버에 접속할 때마다 서로 다른 보안모듈을 설치해야 하는 문제가 있다. 금융사 중심의 이러한 인증방식은 앞으로 생체인증 등의 차세대 인증방식이 새롭게 도입될 때마다 금융사마다 새로운 보안모듈을 추가적으로 설치해야 하는 문제가 발생한다. 이러한 문제를 해결하기 위해 본 논문에서는 금융거래 시 각 금융사를 대신하여 사용자 인증을 전담하는 통합 인증기관을 상정하고, 이를 중심으로 사용자 및 금융사 웹서버 삼자 간에 안전한 사용자 인증을 처리하는 통합인증 프로토콜을 제안한다. 새로운 인증 프로토콜은 OAuth2.0을 변형하여 안전성과 효율성을 증가한 프레임워크로써, 인증서버 및 금융사 웹서버 간 사전에 공유된 비밀키로 도전-응답 프로토콜을 수행하는 것이 특징이다. 이를 통해 사용자는 편리하고 안전한 통합인증(SSO: Single-Sign-On) 효과를 누리게 된다.

Abstract ▼ AI-Helper

Currently, various types of user authentication methods based on public certificates are used in domestic financial transactions. Such an authorized certificate method has a problem that a different security module must be installed every time a user connects an individual financial company to a web server. Also, the financial company relying on this authentication method has a problem that a new security module should be additionally installed for each financial institution whenever a next generation authentication method such as biometric authentication is newly introduced. In order to solve these problems, we propose an integrated authentication system that handles user authentication on behalf of each financial institution in financial transactions, and proposes an integrated authentication protocol that handles secure user authentication between user and financial company web server. The new authentication protocol is a modified version of OAuth2.0 that increases security and efficiency. It is characterized by performing a challenge-response protocol with a pre-shared secret key between the authentication server and the financial company web server. This gives users a convenient and secure Single Sign-On (SSO) effect.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

각 금융사와 연계된 사용자 정보 및 인증에 필요한 정보 (예를 들어, 인증서, 생체인증 등) 등이 SSO 인증서버에 등록된 상태이다. (2) 각 금융사 웹서버는 (독자적으로 계정관리를 하는 것은 별도로 하고) 인증서버가 관리하는 통합사용자 DB와 연동되어 필요하다면 사용자들의 계정을 확인할 수 있다고 하자.
본 논문에서는 금융권 사용자 통합인증을 제공하는 새로운 인증 프레임워크를 제시하였다. 새로운 인증 프로토콜은 OAuth2.
본 논문에서는 이와 같은 문제점을 완화하는 새로운 사용자 통합 인증 프로토콜을 제시하고자 한다. 새로운 프로토콜에서 각 금융사들은 사용자 인증업무를 SSO(Single-Sign-On) 인증서버에 위임한다.

가설 설정

이외에도 SSO 인증서버는 사용자 인증을 위해 SSO 통합사용자 DB를 구축한다. 이 경우 인증서버와 통합DB 서버 간 통신이 발생하는데, 이러한 통신은 안전한 전용망 또는 시스템 내부망을 통해 이루어진다고 가정하자.

제안 방법

SSO 인증서버와 웹서버 상호인증: 위에서 기술한 인증토큰 검증에는 웹서버가 SSO 인증서버만 인증하는 일방향 프로토콜을 사용하였다. 반대로 인증서버도 웹서버를 인증하기 위해서는 인증서버의 도전값에 대해 웹서버가 응답값을 보내는 과정이 필요하다.
0을 그대로 차용하지 않고, 안전성을 강화하는 방향으로 개선한다. 먼저 SSO 인증서버와 각 금융사 웹서버는 비밀키를 교환하고, 이 키를 이용하여 사용자에게 발행한 인증토큰을 검증한다. 이 과정에서 SSO 인증서버와 웹서버는 일방향 인증을 하거나 상호인증을 할 수도 있다.
본 논문에서는 금융권 사용자 통합인증을 제공하는 새로운 인증 프레임워크를 제시하였다. 새로운 인증 프로토콜은 OAuth2.0을 변형하여 안전성을 강화하는 방향으로 설계되었다. 가장 큰 차이점은 SSO 인증서버와 금융사 웹서버 간 비밀키를 사전에 교환하고 이 키를 통해 도전-응답 방식의 (상호)인증을 수행하는 것과, OAuth2.
이제 사용자와 웹서버는 각자 소유한 t와 t’을 대칭키로 해서 대칭키 기반의 도전-응답 인증 프로토콜을 수행한다.
0에서는 사용자 인증시마다 인증서버와 웹서버 간 통신이 발생했는데, 이는 대규모 사용자를 인증하는 경우 두 서버 간 통신이 과도하게 발생하는 문제가 있다. 제안된 프로토콜에서는 상호 공유된 비밀키를 이용하여 인증토큰을 검증함으로써 인증서버와 웹서버간의 추가적인 통신이 발생하지 않도록 개선한다.
제안된 프로토콜에서는 하나의 SSO 인증서버를 운영하는 것으로 설계되었다. 이것은 하나의 인증서버가 마비될 경우 전체 금융거래시스템이 중단될 수 있음(즉, single point of failure)을 의미한다.
제안하는 SSO 프로토콜은 사용자(user), SSO 인증서버(SSO authentication server), 그리고 각 금융사를 대표하는 웹서버들(web servers)로 구성된다. 각 주체별 역할을 다음과 같다.

성능/효과

2. 사용자가 통합인증으로 특정 인증 방식을 지정하면, 금융사 웹서버는 (1) 난수 R을 선택하고, (2) HTTP 리다이렉션 주소를 첨부하여, (3) 사용자를 SSO 인증서버로 안내한다. 여기서 난수 R은 웹서버가 생성한 도전값(challenge)으로 사용자 인증을 위해 필요하다.
6. 금융사 웹서버는 사용자 인증 성공여부에 따라 사용자에게 웹서버화면을 전송한다. 이 경우에도 웹서버는 서버인증서를 이용, 사용자와 SSL 통신을 수행한다.
0을 변형하여 안전성을 강화하는 방향으로 설계되었다. 가장 큰 차이점은 SSO 인증서버와 금융사 웹서버 간 비밀키를 사전에 교환하고 이 키를 통해 도전-응답 방식의 (상호)인증을 수행하는 것과, OAuth2.0에서 사용자 인증 시마다 발생하는 인증서버와 웹서버 간 통신을 없앨 수 있다는 것이다. 이를 통해 인증서버와 웹서버 간 통신 부담을 획기적으로 줄일 수 있다.
첫째, 부가적인 기기 (또는 소프트웨어)가 필요한지 여부로써, 패스워드 인증은 별도의 기기가 필요 없으나, OTP는 인증서버와 사전에 비밀키값 및 OTP 생성모듈을 공유해야 함으로 OTP 기기 등이 필요하다. 둘째, 키보드 보안과 같은 입력값을 보호하는 보안모듈이 추가로 필요한지 여부로써, 패스워드 인증은 입력되는 패스워드가 시스템 내부로 안전하게 이동하도록 키보드 보안모듈이 필요하다. 그러나 OTP 인증에서는 한 번 사용된 패스워드는 그 다음 생성될 패스워드를 계산하는데 도움이 안 되므로 이전 패스워드가 노출되어도 안전하다.
물론 정책적으로 이 수수료는 금융사가 직접 사용자 인증을 처리하는 비용보다 저렴하게 책정되어야 할 것이다. 이러한 수수료는 SSO 인증기관을 관리하고 유지하는 비용으로, 그리고 차세대 인증방식을 도입하는 비용으로 충당될 수 있다.
제안하는 통합인증 프레임워크에서는 OAuth2.0을 그대로 차용하지 않고, 안전성을 강화하는 방향으로 개선한다. 먼저 SSO 인증서버와 각 금융사 웹서버는 비밀키를 교환하고, 이 키를 이용하여 사용자에게 발행한 인증토큰을 검증한다.
패스워드 인증과 OTP 인증은 실제 운용상에서 몇 가지 차이점이 있다. 첫째, 부가적인 기기 (또는 소프트웨어)가 필요한지 여부로써, 패스워드 인증은 별도의 기기가 필요 없으나, OTP는 인증서버와 사전에 비밀키값 및 OTP 생성모듈을 공유해야 함으로 OTP 기기 등이 필요하다. 둘째, 키보드 보안과 같은 입력값을 보호하는 보안모듈이 추가로 필요한지 여부로써, 패스워드 인증은 입력되는 패스워드가 시스템 내부로 안전하게 이동하도록 키보드 보안모듈이 필요하다.

후속연구

그러나 생체정보를 이용한 차세대 인증은 생체정보 보안을 확보하면서도 위와 같은 하드웨어 의존성을 탈피하는 범용 인증플랫폼[8] 방향으로 연구되어야 할 것이다. 그 이유는, 예를 들어, 가족 구성원이 TV 시청을 한다고 하자.
별도의 보안모듈을 배포할 필요가 없으므로 사용자와 금융사 웹서버 간 통신은 SSL/TLS와 같은 웹 표준프로토콜로 간단히 구현 가능하다. 둘째, 제안 프로토콜 하에서는 금융사가 생체인증 등 차세대 인증방식을 도입하기 위해 필요한 시스템을 금융사 내부 시스템에 구축할 필요가 없다. 많은 비용 및 복잡한 시스템 구축이 필요한 인증업무를 SSO 인증서버에 위임할 수 있게 됨으로써 인증관련 비용을 획기적으로 절감할 수 있다.
본 논문에서 제시한 인증 프레임워크는 차세대 인증방식에 대해 특정 인증방식을 한정하지 않고, 여러 인증 방식을 수용할 수 있으며, 온라인 쇼핑 등의 전자상거래 분야나 전자정부 등의 공공기관 업무 분야에서 사용자를 통합적으로 인증하도록 자연스럽게 확장될 수 있다.
여기서 사용자와 웹서버 간 통신은 웹서버 인증서를 이용한 SSL 통신으로 보호된다. 추후 금융권 통합인증이 활성화되어 인증업무가 각 금융사에서 SSO 인증서버로 대체되면, 각 은행별 ID/패스워드 인증도 사용빈도가 줄어들 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OAuth2.0을 변형하여 안전성과 효율성을 증가한 프레임워크의 특징은 무엇인가?	새로운 인증 프로토콜은 OAuth2.0을 변형하여 안전성과 효율성을 증가한 프레임워크로써, 인증서버 및 금융사 웹서버 간 사전에 공유된 비밀키로 도전-응답 프로토콜을 수행하는 것이 특징이다. 이를 통해 사용자는 편리하고 안전한 통합인증(SSO: Single-Sign-On) 효과를 누리게 된다.
	OAuth2.0을 변형하여 안전성과 효율성을 증가한 프레임워크을 통해 사용자가 어떤 효과를 누릴 수 있는가??	0을 변형하여 안전성과 효율성을 증가한 프레임워크로써, 인증서버 및 금융사 웹서버 간 사전에 공유된 비밀키로 도전-응답 프로토콜을 수행하는 것이 특징이다. 이를 통해 사용자는 편리하고 안전한 통합인증(SSO: Single-Sign-On) 효과를 누리게 된다.
	사용자를 인증하는 방법은 무엇이 있는가?	사용자는 금융사가 제공하는 웹서버에 본인임을 인증하고 금융사가 제공하는 웹서비스를 이용할 수 있다. 사용자를 인증하는 방법으로는 패스워드, 일회용 패스워드(OTP: One-Time Password), 인증서(certificate), 생체인증 등이 있다. 현재 국내 금융거래에서는 인터넷뱅킹 등 온라인 금융거래 시 패스워드, OTP, 인증서를 주된 수단으로 이용하여 있으며, 온라인 쇼핑 등 전자상거래에서는 패스워드, 인증서, 생체인증 등으로 사용자를 인증하고 있다.

참고문헌 (13)

Jeong Gi Seog, "A Study on Measures for Improving Obligatory Use of Digital Certificate for Electronic Financial Transactions", Journal of Information and Security, Korea Information Assurance Society, Vol. 13, No. 6, pp.25-33, Dec. 2013
D. Hardt, "The OAuth2.0 Authorization Framework", Internet Engineering Task Force(IETF) RFC 6749, 2012, https://tools.ietf.org/html/rfc6749#page-37
T. Lodderstedt, Ed. Deutsche Telekom AG, M. McGloin, IBM, P. Hunt, Oracle Corp., "OAuth2.0 Threat Model and Security Considerations", Internet Engineering Task Force (IETF) RFC 6819, Jan 2013, https://tools.ietf.org/html/rfc6819
Jun-Kyo Jung, Yong-Min Kim, "Secure Access Token Model of Open Banking Platform using Hash Chain", The Korean Society of Computer And Information, Vol. 24, No.2, pp. 277-280, Jul. 2016
Hyung-Soo Park, Ki-Hyung Kim, "Enhanced OAuth Authentication with Security Code", Ajou University Graduate school, Dec. 2016
Seung-Soo Shin, Kun-Hee Han, "A Study on Integrated ID Authentication Protocol for Web User", Journal of Digital Convergence in The Society of Digital Policy & Management, Vol. 13, No. 7, pp.197-205, Jul. 2015
Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0, https://www.w3.org/Submission/2015/02/
Sangrae Cho, YoungSeob Cho, Soohyung Kim, "FIDO 2.0 Universal authentication technology Introduce" Korea Institute Of Information Security And Cryptology, Apr. 2016
C. Gentry, "Fully homomorphic encryption using ideal lattices", Proceedings of STOC 2009, ACM, pp.169-178, 2009
D. Boneh, A. Sahai, B. Waters, "Functional encryption: definitions and challenges", Proceedings of TCC 2011, Vol. 6597, LNCS, pp.253-273, 2011
Minhye Seo, Jung Yeon Hwang, Soo-hyung Kim, Jong Hwan Park, "Biometric Authentication Protocol using Hidden Vector Key Encapsulation Mechanism", Journal of the Korea Institute of Information and Communication Engineering, Vol. 26, No. 1, pp.69-79, Feb. 2016
Jong Pil Yun, Jonghyun Kim, Kwangsu Lee, "Certificate-based SSO Protocol Complying with Web Standard", Journal of the Korea Institute of Information and Communication Engineering, Vol. 20, No. 8, pp.1466-1477, Aug. 2016

원문보기 상세보기
Integrated management services for Account Information, https://www.payinfo.or.kr/payinfo.html

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증