Trusted IP network solution

Trusted IP Network 솔루션 소개

2015.05

Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.

- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -

목 차

Trusted IP Network 개요

Trusted IP Network 기반 네트워크(망) 분리

Trusted Pass (인증) 서비스

* 별 첨


통상적인네트워크접근제어구성

패킷네트워크의접속단계

서킷네트워크의접속단계

서킷네트워크vs 패킷네트워크

Trusted IP Network 구성

Trusted IP Network 주요기능

Virtualization & Tunneling Mechanism

IP Mobility의보장

Trusted IP Network의차별성

/

통상적인 네트워크 접근 제어 구성

4

Client

Terminal

Access

Network

Edge

Network(Router)

IP

Network

Edge

Network(Router)

Server

ID/PW, 생체인식,OTP, 스마트카드…

(단말 접근 제어)

ID/PW(서버 접근제어)

IP Network 자체는 단순 전송 네트워크(접근 제어 불가)공간적 접근제어 전제

(‘사용자 = 단말’ 동일시)

Access

Network


( )LAN, WiFi3G/LTE…

VPN/NAC (Agent ↔ Server)

( )F/W, IPsec, IDS/IPS,UTM, WAF…

전달망

/

패킷 네트워크(Packet Network)의 접속 단계

5

Router Router

IP Network

DATATCP

HeaderIP

HeaderEthernetHeader

①패킷 생성

②패킷 단위 전송

③패킷 수신 ④패킷 해제

Router는 사용자 인식 등의접근 제어 불가

위변조에 취약한 TCP/IP 의 구조(네트워크 격리구조 불가)

Trusted IP Network 개요Trusted IP Network 개요

/

서킷 네트워크(Circuit Network)의 접속 단계

6

PBX

(Gateway)

PBX

(Gateway)

PSTN Server

PSTN

call

①접속 요청

②종단 확인

③채널 설정

④채널 형성 & 정보 교환Modem Modem

PBX 는 서버와 우선통신하여 신원을 확인


/

서킷 네트워크 vs. 패킷 네트워크

7


Trusted IP Network

패킷 네트워크를

서킷 네트워크처럼!!

(Circuit Level IP Network)

위험 서킷네트워크의

보안성

효율

패킷네트워크의

효율성

/

Trusted IP Network 구성

8


• Trusted IP Network 솔루션은 가상 네트워크 기반의 관제 네트워크와 서비스 네트워크의 분리를 통해 보안성이 내재된 서비

스 이용환경을 구축하고, 언제 어디서든 인가된 기기와 사용자에 한하여 권한 별 네트워크 접근을 허용하는 안전하고 효율적

인 솔루션입니다.

Trusted IP

Access GatewayTrusted IP

Service Gateway

Transport VPN(L3 VPN)

관제네트워크 VPT

통합관제플랫폼

TrustedIP Agent

*****************************************************************************************************************************

White List

LAN

WiFi

3G/LTE

인터넷

Access Network

Microwave

/

Trusted IP Network 주요 기능

9


• Trusted IP Network 솔루션은 IP 네트워크의 현안인 개방성의 문제를 해결하였습니다. 네트워크 가상화 기술에 기반한 독립

폐쇄 네트워크의 구성, 통합 관리 기능이 부재한 기존 VPN의 문제점 개선, 인가된 단말/사용자의 무결성 지속검증을 통해 믿

을 수 있는 네트워크 환경을 제공합니다.

• 격리된 별도의 관제네트워크 구축

• 관제 서버 Address Hiding으로

안정성 확보

• 필요한 수만큼의 가상 네트워크

구성

• 별도로 격리된 네트워크를 통해

선제적 방어체계 구축

격리된통합관제네트워크및

독립폐쇄네트워크형성네트워크접속제어

• 위조된 단말/사용자 차단

• 비인가된 단말의 침입 방어

비정상행위제어

• 접속 인가된 단말의 무결성 지속

검사 및 제어

• 인가된 단말 또는 악의적 목적의

내부자들의 비정상적 행위 제어

/

VR

VR

VR

VR

VR

VR

TrustedIP Agent

Virtualization & Tunneling Mechanism

10

…


관제 네트워크 VPT

White List

Trusted IP


Service Gateway

VRn

VR2

VR1

…


/

IP Mobility의 보장

11

BO (서울) IDC

VR-M

VR1

…

VR2

VR-M

VR1

…

VR2

VRn

VRn

BO (부산)

VR-M

VR1

…

VR2

VRn

VR2

VR2

VRn

VRn

VR-M

VR-M

VR2

VR2

VRn

VRn

VR-M

VR-M

사용자는 특정 지점에서허용된 VR 터널을 통해 인가된 서버 리소스에만 접근 가능

다른 지점 이동 시에는, 이전의 터널은 소멸되고, 이동 위치에 생성되는 터널만 유효하므로, 리소스접근 권한은 동일함


/

Trusted IP Network의 차별성

12

관제와 데이터 도메인의 격리

가상화 기술 기반의 네트워크 분리

IP 네트워크의 이동성 제공



물리적망분리

논리적망분리

네트워크(망)분리방식비교

현행네트워크분리기술의이슈사항

TIPN 기반의네트워크(망) 분리

TIPN 기반네트워크(망) 분리의개념

적용예시(안전은행)

적용방안

/

물리적 망 분리

물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리하여 망 간 접근경로를 차단하는 방식입니다.

14

외부인터넷

DMZ

웹 메일 패치관리

업무서버 영역

업무망

DB 응용서버업무서버

인터넷망

라우터 침입차단 시스템

스위치 백본 스위치

인터넷PC

업무PC


/

논리적 망 분리

서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.

클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.

15

외부인터넷

가상화 서버팜

가상화 서버

인터넷망

업무망

사용자 PC

서버 접속용프로그램로컬영역

(업무망)

외부인터넷

업무망

사용자 PC

하드웨어

운영체제

가상화 영역

가상영역(인터넷망)

로컬영역(업무망)

VPN IP Packet

라우터 침입차단 시스템 스위치 백본 스위치

<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>


/

네트워크(망) 분리 방식 비교

16

구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)

네트워크분리

(업무 네트워크, 인터넷 네트워크 등)

미분리

(단일 네트워크)

미분리

(단일 네트워크)

운영방법

업무용 PC와 인터넷

PC로 물리적 분리

(PC 2대 사용)

인터넷 망은 서버를 통해

업무망은 PC로 분리

PC 등의 단말 가상화를 통해

인터넷 영역과 업무영역 분리

도입비용높음

(추가 PC, 이중망 구축)

보통

(서버팜 구축)

낮음

(추가 장비 최소화)

추가 장비

- 별도의 PC 1대 추가

- 라이선스(OS, Office)

- 별도 네트워크 구축

(라우터, 스위치, 방화벽)

- 서버팜(서버, 스토리지 등)

- 서버접속용 스위치

- 가상화 소프트웨어

- PC 기반 솔루션

- VPN 장비 및 VDI 등

보안높음

(물리적 분리)

낮음

(서버에서 인터넷 사용)

낮음

(PC에서 인터넷 사용)

장점 해커의 직접적인 접근 차단

- 문서 보안 등 높은 보안성

- PC 대비 업무환경 TCO 우수

- 저사양 기존 PC 자원의 활용

- 도입비용 최소화

- 단일 PC 자원의 활용

단점

- 비효율성(비용, 유지/관리 등)

- 업무효율성 저하

- 회선 임대비용 급증

- 최초 도입비용 높음

- 네트워크 대역폭 증가

- 확장성 제한

- 고장 발생시 복구 어려움

- PC 호환성 및 보안 프로그램 충돌 문제


/

현행 네트워크 분리 기술의 이슈 사항

네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.

17

• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보

• 외부 및 내부 위협에 대한 대응력 확보

• 업무효율 향상을 통한 경제성이 담보된 인프라

• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축

안전하면서 효율적인 네트워크 분리를 위한 해결과제

기존 네트워크 인프라를 네트워크 분리 기술을 이용하여 인터넷 네트워크와 업무네트워크로

분리

네트워크의 안정성을보장하기 위해 접근제어 시스템

을 분리하여 관리

네트워크분리및격리

접속 인가된 단말의무결성 지속 검사 및

제어

인가된 단말 또는악의적 목적의

내부자들의 비정상적행위 제어

보안위협

업무 효율성 저하 없이 경제적네트워크 분리 구축

비용 및 유지/관리 비용 필요

비즈니스 경쟁력 강화를위한 스마트워크,

모바일 오피스, 클라우드사무환경 제공

경제성및 확장성


/

TIPN 기반의 네트워크(망) 분리

Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.

18

가상 네트워크 기반의 안전하고 효율적인 솔루션


• 인가된 기기와 사용자에 한하여

권한에 따라 가상 네트워크별

접근 허용

• 내부자에 의한 개인정보 대량

유출 등 비정상적 행위에 대해

실시간으로 판단 및 제어하는

기능 구비

보안 위협제거 경제성및 확장성확보

• 기존에 구축된 네트워크 자원을

활용하여 필요한 수 만큼 격리된

가상네트워크를 생성하여 구축

및 운영 비용 절감

• 단말 가상화 솔루션과 연계 시,

최소의 단말로 다양한 업무 및

인터넷 사용 가능(단말 구매비용

및 전력 사용량 최소화)

네트워크분리 및 격리

• 완벽하게 분리된 논리적 네트워크

경계 제공

• 안전한 접속 환경을 제공하기 위해

네트워크 관리 도메인을 데이터

도메인으로부터 완벽하게 분리

• 보안 강화를 위하여 외부에 노출되

는 관리 서버 및 응용 서버의 주소

은닉 제공

/

Client PC IDC

TIPN 기반 네트워크(망) 분리의 개념

19

Service #A Network #A

Untrusted Network

단말/서버 네트워크

App 격리가상화

(SBC, CBC)X

접근제어

(ID/PW…)X

비정상 트래픽 제어 기능 부재

정상 행위 이상 행위

정상 사용자 OK ?

비인가 사용자 - ?

단말 가상화 솔루션Trusted IP Network

Service #B Network #B


TIPN 기반네트워크 가상화

IP NetworkTrusted IP Network


/

적용 예시 (안전 은행)

은행 업무네트워크를 인터넷으로부터 완벽히 분리

업무네트워크 내에서도 해당 업무 별로 격리된 별도의 네트워크를 필요한 만큼 구축 가능

20


White List

관리/관제서버 PMS관리서버

금융업무서버 ATM 서버 인터넷서버

관리및제어네트워크

PMS관리네트워크

금융업무네트워크 ATM 기기네트워크 인터넷

단말 / 사용자별네트워크접근제어

기존네트워크 (전달네트워크, Best Effort IP Packet 교환네트워크)

/

적용 방안

21

네트워크/시스템모니터링 서버

백신/보안 패치 서버에이전트 업데이트 서버

서비스 통합 인증서버

그룹웨어 서버

전자메일 서버

업무 서버(ERP 등)

인터넷 서비스

Trusted IP


Service Gateway

1. 관리 네트워크

3. 인증 네트워크

2. 패치 네트워크

0. 관제 네트워크 VPT


White List

Microwave

LAN

WiFi

3G/LTE

인터넷

Access Network

데이터 센터 운영인력사용자 단말(PC)

일반 업무 사용자사용자 단말(PC)

4. 그룹웨어 네트워크

6. 업무1 네트워크

5. 전자메일 네트워크

7. 인터넷

…

…


Trusted Pass(인증) 서비스

개인정보유출급증

인증서비스현황

Trusted Pass 서비스개념

Trusted Pass 서비스개요

Trusted Pass 기반안정성확보방안

Trusted Pass 비인가단말을통한침해대응방안

Trusted Pass 서비스Flow & 적용방안

(은행/카드사/증권사/공공)

/

개인정보 유출 급증

23


• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 개인정보를 취득하여,

인증을 통한 금융사고 급증

‘키로깅’, 개인정보200만건훔쳐

(S방송사 2013년12 월)

• 주요인터넷및SNS 사업자의개인정보유출

개인정보 유출 사이트 : 구글, 페이스북, 트위터 등

방법 : 키로깅

피해 규모 :아이디, 비밀번호 200만 건 유출

☞ 개인정보 판매를 통한 2차 피해 발생 가능성 有

스마트폰해킹으로MTS 해킹

(H경제신문 2013년12 월)

• 13년12월국내증권사인K사의모바일트레이딩시스템(MTS) 해킹사건발생

방법 : 스마트폰 해킹 후 개인정보 취득 후

다른 모바일기기로 공인인증서 재 발급후 주식 매도 시도

공인인증서 유출 통로 90%가

스마트폰

(H경제신문 2013년12 월)

• 공인인증서 탈취를통한해킹발생

방법 : 스마트폰에 악성 코드 삽입 후 해킹 또는 증권 거래 앱 프로토콜 분석

피해 규모 : 13년 상반기 유출된 공인인증서 6,933건 중 90%인 6,156건이

스마트폰에서 유출

/

인증 서비스 현황

24

구분 주요 이슈 유출 형태 비고

공인인증서(PKI)• 인증서 복사 유출 문제 심각

• 잦은 액티브X 설치로 인한 고객 불편 유발 • 키보드 입력

• 보이스 피싱

• 파밍

• 스미싱

• 앱 위변조

필수에서 선택으로

국가정책 전환

ARS 인증• 인증시 지속적으로 발생하는 인증 비용

(건별 10초당 20원)

SMS 인증

• 신종 해킹 기법에 대한 대응력 미비

• 고가의 인증 비용(건당 40원 이상)

※ 정보용 SMS 20원 이하, 인증용 SMS 40원 이상

“고객 불편 유발, 신종 해킹 기법에 대한 대응력 미비, 지속적인 인증 비용 발생”


/

Trusted Pass 서비스 개념

25


Client

Terminal

App/Data

Server

Untrusted Network

단말/서버 네트워크

App 격리가상화

(SBC, CBC)X

접근제어

(ID/PW…)X

비정상 트래픽 제어 기능 부재

정상 행위 이상 행위

정상 사용자 OK ?

비인가 사용자 - ?

2 channel 인증Trusted IP Network

MobilePhone

Auth. Server

IP NetworkTrusted IP Network


/

Trusted Pass 서비스 개요

26


Trusted Pass 기존 2채널 인증 Trusted 채널

기존 2채널 인증

• PC에서 본인 인증 절차를 거친 후, 스마트폰을 통해 추가 인증

• 해킹 기법으로 인한 피해 차단

Trusted Pass

• 인증 채널과 서비스 채널의 분리로 인증 데이터의안정성 확보

• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄

/

Trusted Pass 기반 안정성 확보 방안(1)

27

Internet

Trusted IPNetwork

. . .


#1 #2 #3 #N

비대면 거래의 안정성 확보를 위해서는 온라인의 특성과 제한사항을 고려하여 대면 거래 절차를 금융전산 서비스에 적용

대면거래

[전제사항]

1. 출입통제 시스템을 통한 지속적인 입•출입 현황을 추적, 관리, 통제관리

2. Privacy 및 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간

(거래창구) 사전 확보

[개인 인증 절차]

1. 거래 창구 및 뱅커 할당(1:1 대면)

2. 신분증을 통한 실명확인/신분증의 위변조 여부 확인

3. 인증된 사용자에 한하여 계좌존재 여부 확인

4. 거래요청시 PIN-PAD를 통한 개인 비밀번호 입력

Trusted Pass 기반 비대면 거래

[전제사항]

1. 통합 관제 시스템을 통한 지속적인 접속 현황 추적, 통제

2. 개방된 IP 네트워크의 취약성을 극복하기 위한 별도의 인증네트워크 구성

3. 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간(네트워크) 사전 구성

[개인 인증 절차]

1. 네트워크 할당(VPN 기술 기반 1:1 구성)

2. 인증(ID/PW)을 통한 실명확인 (별도 채널 구성)

3. 인증된 사용자의 보유 계좌 매칭

4. 거래요청시 스마트폰 PIN-PAD를 통한 비밀번호 입력

단말기 상태변화추적을 통한

지속 감시

#N

#3 #2

고객대기공간(공용공간)

153154

155

152 153 154 155

1 2 3 4

152

153

154

155

1

2

3

4

고객대기현황

#1. . .


/

Trusted Pass 기반 안정성 확보 방안(2)

28


Trusted Pass는 스마트폰 해킹을 통한 개인정보 및 인증 정보 유출을 방지를 위한 단말 차원의 대응력을 확보 하였음

기능 내용

End-to-End

Point

무결성 검증

빠르고 정확한 DNA-Featuring으로 안정성 확보

단말의 상태를 실시간으로 검사한 후, On/Off Line에서 검증

악성 프로그램/새로운 방식의 해킹 근본적으로 차단

시스템 취약점

분석 및 대응

스마트폰 정보를 분석하여 보안 취약점 감지

백도어(원격 바이러스 등) 침투 감지

위협정보 대응 신종 보안 위협에 즉각 대응하여 안전한 시스템 환경 유지

시스템 내 파일 변조를 감지하여 원본 상태로 복구

주요 기능

해킹 위협 대응 프로세스

금융서버

금융 앱(Trusted IP

Agent)

악성코드

사용자 단말

해커 PC

네트워크 차단

1 사용자 단말에서 금융앱 실행

2 Trusted IP Agent 구동, 안전채널 생성

3사용자 단말기와 해커 PC간 네트워크 차단(뱅킹 서비스 이용시 타 서비스 이용 불가)

4 서비스 이용 종료 후 네트워크 정상화

통신전용Channel


▶은행Trusted Pass 서비스Flow & 적용방안

/

Trusted Pass 서비스 Flow

30

PC

뱅킹 서버

6 이체 신청

2 ch(안전채널)

1 ch

사용자

인증

요청

7

인증

성공

내역

전달

11

통신사

22ch 인증 요청

8

4 PW 입력

은행

안전채널

인증앱 구동& 안전채널 생성

3

인증 확인5

10

본인명의 스마트폰

1 Login 요청

9인증앱 구동& 인증정보 입력

12 이체 완료 결과 통보

3G/LTE


인증서버

/

4 계좌 이체 신청

계좌 이체를 위한 정보입력 및 계좌 이체 신청

3로그인 승인

(본인명의 스마트폰의 인증 APP)

Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체

31

1 로그인 요청

PC에서 ID 입력 후 로그인 요청(공인인증서 로그인의 경우, 인증서 선택)

2 네트워크 사용자 인증

인증 APP을 통해 PW 입력 후 전송,입력 정보 확인 후 로그인 승인

5인증 정보 입력


인증 APP을 통해 보안카드번호(또는 OTP), 공인인증서 PW 입력

6 계좌 이체 완료

게좌 이체 완료

보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)

인증 서버본인 명의스마트폰


/

4대출금 신청


대출금 신청 및 인증 APP을 통해계좌 비밀번호 입력

3고객정보 확인


Trusted Pass 적용 방안 – 인터넷 대출

32

1 신용정보조회 및 약관 동의

대출 신청에 대한 신용정보조회 및 약관 동의


고객정보 확인 및 인증 APP을 통해휴대폰인증번호 입력

5상품설명서 및 약정서 확인


상품설명서/약정서 확인 및 인증 APP을 통해보안카드번호(또는 OTP)/공인인증서 PW 입력

6 대출신청 완료

대출신청 완료 및 은행 승인 대기




/

4PIN 번호 인증


생성된 보안채널을 통해 PIN번호 입력 후 전송




Trusted Pass 적용 방안 - ATM 현금 인출

33

1 현금 인출 요청

ATM에서 현금 인출 요청

2 계좌 PW 입력

계좌 PW 입력(1차 인증)

5 현금서비스 승인

본인 인증 완료 후 현금 인출 승인(거래완료)



▶카드사Trusted Pass 서비스Flow & 적용방안

/


35


쇼핑몰

PC

거래 승인 서버

1 Login & 결제요청2 결제 정보 전달

9 거래 승인거래 완료 결과 통보10

2 ch(안전채널)

1 ch

PG 사

사용자

인증앱(앱카드) 구동& 안전채널 생성

인증서버

인증

요청

3

인증

성공

내역

전달

8

6

통신사

4 2ch 인증 요청

PIN 입력

3G/LTE

카드사

안전채널

5

인증 확인7


/

4PIN 번호 인증



Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제

36


1 온라인 쇼핑몰 로그인

ID/PW 입력 후 로그인

2 상품 결제

결제수단을 이용하여 상품 결제



5 결제 완료

본인 인증 완료 후 결제 승인(거래완료)


/

Trusted Pass 적용 방안 예시 - 모바일 결제

37


1 모바일 쇼핑몰 로그인


2 상품 결제

결제수단을 이용하여 상품 결제

4PIN 번호 인증




5 결제 완료

본인 인증 완료 후 결제 승인(거래완료)



/

4 신용카드 승인

본인 인증 완료 후 신용카드 승인(거래완료)




Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제

38


1 신용카드 결제 요청

카드단말기를 통해 신용카드 결제 시도

3PIN 번호 인증



/

4PIN 번호 인증






Trusted Pass 적용 방안 예시 - ATM 현금 서비스

39


1 현금서비스 신청

ATM에서 현금서비스 신청

2 신용카드 PW 입력

신용카드 PW 입력(1차 인증)

5 현금서비스 승인

본인 인증 완료 후 현금서비스 승인(거래완료)


▶증권사Trusted Pass 서비스Flow & 적용방안

/


41

PC

MTS 서버

8 2차 인증 요청

2 ch(안전채널)

1 ch

사용자

인증서버

인증

요청

2 9

인증

성공

내역

전달

7 13

통신사

5 PW 입력

증권사

안전채널

인증앱 구동& 안전채널 생성

4

인증 확인6

12


1 Login 요청

11인증앱 구동& 인증정보 입력

15 주식 거래 완료 결과 통보

3G/LTE


14 주식 거래 신청

32ch 인증 요청

10

/

4PIN 번호 인증



Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래

42


1 증권사 홈페이지 로그인



안전한 거래를 위한 2차 인증(인증 APP) 요청

3 네트워크 사용자 인증(중계사업자)


5 주식 거래

중계사업자인증 서버

본인 명의스마트폰

6 거래 완료

주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)

안전한 주식거래를 위해 스마트폰의Trusted Pass APP에서 PIN 번호를입력해 주세요.

확인

/

Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래

43


1 증권사 APP 로그인


4PIN 번호 인증




안전한 거래를 위한 2차 인증(인증 APP) 요청

3 네트워크 사용자 인증(중계사업자)


5 주식 거래

중계사업자인증 서버

본인 명의스마트폰

6 거래 완료

주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)

인증요청안전한 주식거래를 위해 스마트폰의 Trusted Pass APP에서 PIN 번호를 입력해 주세요.

PIN 요청 PIN 발급

확인


▶공공Trusted Pass 서비스Flow & 적용방안

/


45


민원24

PC

인증 승인 서버

1 Login & 인증요청2 인증 정보 전달

9 인증 승인인증 결과 통보10

2 ch(안전채널)

1 ch

사용자

인증앱(앱카드) 구동& 안전채널 생성

인증서버

인증

요청

3

인증

성공

내역

전달

8

6

통신사

4 2ch 인증 요청

PIN 입력

3G/LTE

행정자치부

안전채널

5

인증 확인7


/

3PIN 번호 인증



Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증

46


1 온라인 인증 로그인




4 인증 완료

본인 인증 완료


홍길동님께서 로그인하셨습니다.

/

Trusted Pass 적용 방안 예시 - 모바일 인증

47


1 모바일 인증 로그인


3PIN 번호 인증




4 인증 완료

본인 인증 완료



홍길동님께서 로그인하셨습니다.

For Trusted Networking Anywhere, Any Device

Trusted IP Network System

Thank you!

www.mobilecvg.com

* 별첨- TIPN 기본시스템구성도

- TIPN 구성요소

- TIPN Gateway 모델

- Trusted IP Network 솔루션검증내역

/

Trusted IP Network 기본 시스템 구성도

Terminal (Trusted IP Agent)

Desktop(Windows XP/7/8

Smartphone(Android)

Notebook(Windows XP/7/8)

ApplicationServers

Server #1

Server #2

Server #N

Network Infrastructure

Transport VPN(L3 VPN)

… …

Mobile IP VPN

TrustedDevice Manager

Security PostureManager

Trusted IPManager

LAN

WiFi

3G/LTE

인터넷

Access Network

Microwave

Trusted IPAccess G/W

Trusted IPService G/W

/

Trusted IP Network 구성 요소 (1)

Trusted IP Access Gateway

Authentication Redirection 기능

비정상적트래픽유형을감지하고대응하여외부해킹으로

부터인증서버보호

White List 기반TrustedIP Service Gateway에터널생성요청

인증된정상적단말(White List에등록된단말)의터널을해당

가상라우터로 집선하여Trusted IP Service Gateway로전달

Trusted IP Access Gateway와Trusted IP Service Gateway 간

접속은사전정의된L3 VPN 터널을통해접속되며,개별가상

라우터간접속을사전정의하여사용(네트워크가상화)

* Trusted AP를통해접속하는무선단말의경우Trusted AP

터널을경유하여접속되며, Trusted AP 터널은사전정의

(구성관리)된가상라우터와연결

Network

솔루션 구성

단말집선장소에 위치하여인증패킷을통합관제

네트워크에 올려주는 역할을 하며 가상 네트워크별

WhiteList기반접근통제

Trusted IP Service Gateway

Trusted IP Access Gateway와연계하여외부공격및해킹으로부터인

증서버보호

격리되어있는통합관제네트워크를통해사용자/단말별인증

사용자/단말별사전정의된네트워크VPN 터널생성/유지/삭제/관리

인증을통해허용된VPN 터널만해당가상네트워크에접속허용

(White List 기반접속제어)

사전정의된가상라우터별Mobile IP VPN 터널관리

Trusted IP Access Gateway와사전정의된L3 VPN 터널을통해가상화

네트워크상호유지

가상네트워크별정보공유및교환수행

Network

서버 집합 장소에 위치하여 Trusted IP Access Gateway

와 연계하여 가상화된 네트워크를 네트워크 및 서버별

로접근통제및관리(터널생성및종료)

51

/


솔루션 구성

Trusted IP Agent (Android/Windows)

인증용Parameter (기기별로고유번호통한인증기능)

기기(Trusted IP Agent)와Trusted IP Gateway 간양방

향Trusted 터널을생성∙관리∙종료하기위하여기기에

설치되는S/W

Device

Trusted IP Manager 터널,가상네트워크구성및연동관리 터널및가상경로별품질보장관리 인증서버(AAA)연계System

Security Posture Agent 접속인증및통신중에단말에설치된주요소프트웨어

요소들의무결성을검사하여감염된단말의Trusted IP

네트워크로의접속/접근을감시하여네트워크접근안

정성확보

Device

Security Posture Manager 단말의소프트웨어이미지관리

인증요청시Agent이미지와정상상태의이미지를

비교하여 변화발생시 적절한(차단)조치수행

접속중에도이미지변화시적절한(차단) 조치수행

System

Trusted Device Manager

디바이스관리및보안정책수행

디바이스의인증과정관리

디바이스 정보/상태관리

디바이스에설치된각종소프트웨어관리

System

TDM Agent

Trusted Device Manager 와연동하여인증과정관리

디바이스보안정책적용

디바이스분실관리

설치된소프트웨어관리

Device

52

/


53

Optional 솔루션 구성

IPSec Agent (Android/Windows) IKE Phase I / IKE Phase II 터널모드암호화/복호화제공

-ESP 프로토콜Device

IPSec VPN Device IKE Phase I / IKE Phase II 터널모드암호화/복호화제공

-ESP 프로토콜System

Secure Container Agent (Android/Windows) 다운로드파일수정및저장관리

파일변경검사Device

Secure Container Manager 단말다운로드파일수정및관리

단말파일변경실시간감시

System

/

Trusted IP Gateway 모델

54

Throughput

Interfaces

Operation Mode

Flow QoS

Flow Setup

Concurrent Flow

Subscriber Management

240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System

GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)

Transparent Mode / Routing Mode (BGP,OSPF, VR …)

MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)

1.5 M Flows / sec / Line Card

4 M Flows / Line Card

8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules

4 M Flows

1.5 M Flows / sec

T240 T80 T20

/

TIPN Monitoring Solution (with Splunk ™)

55

/

Trusted IP Network 솔루션 검증 내역

고신뢰 네트워크용 Secure WiFi Solution

Trusted IP Manager : Access, Service Trusted IP Access Gateway Trusted IP Service Gateway Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)

TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)

안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행 발주 기관 : 미래부/NIA 검증 기관 : ETRI 시험 내용

- Router/Gateway 보안 적합성 검증 항목- 신뢰성 : Smoke, Regression Test- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)- QoS- 성능

시험 결과 : 적합

국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일

56

Technology

Trusted IP network solution