Upload
-
View
281
Download
2
Embed Size (px)
Citation preview
Trusted IP Network 솔루션 소개
2015.05
Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.
- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -
Trusted IP Network 개요
통상적인네트워크접근제어구성
패킷네트워크의접속단계
서킷네트워크의접속단계
서킷네트워크vs 패킷네트워크
Trusted IP Network 구성
Trusted IP Network 주요기능
Virtualization & Tunneling Mechanism
IP Mobility의보장
Trusted IP Network의차별성
/
통상적인 네트워크 접근 제어 구성
4
Client
Terminal
Access
Network
Edge
Network(Router)
IP
Network
Edge
Network(Router)
Server
ID/PW, 생체인식,OTP, 스마트카드…
(단말 접근 제어)
ID/PW(서버 접근제어)
IP Network 자체는 단순 전송 네트워크(접근 제어 불가)공간적 접근제어 전제
(‘사용자 = 단말’ 동일시)
Access
Network
Trusted IP Network 개요
( )LAN, WiFi3G/LTE…
VPN/NAC (Agent ↔ Server)
( )F/W, IPsec, IDS/IPS,UTM, WAF…
전달망
/
패킷 네트워크(Packet Network)의 접속 단계
5
Router Router
IP Network
DATATCP
HeaderIP
HeaderEthernetHeader
①패킷 생성
②패킷 단위 전송
③패킷 수신 ④패킷 해제
Router는 사용자 인식 등의접근 제어 불가
위변조에 취약한 TCP/IP 의 구조(네트워크 격리구조 불가)
Trusted IP Network 개요Trusted IP Network 개요
/
서킷 네트워크(Circuit Network)의 접속 단계
6
PBX
(Gateway)
PBX
(Gateway)
PSTN Server
PSTN
call
①접속 요청
②종단 확인
③채널 설정
④채널 형성 & 정보 교환Modem Modem
PBX 는 서버와 우선통신하여 신원을 확인
Trusted IP Network 개요Trusted IP Network 개요
/
서킷 네트워크 vs. 패킷 네트워크
7
Trusted IP Network 개요Trusted IP Network 개요
Trusted IP Network
패킷 네트워크를
서킷 네트워크처럼!!
(Circuit Level IP Network)
위험 서킷네트워크의
보안성
효율
패킷네트워크의
효율성
/
Trusted IP Network 구성
8
Trusted IP Network 개요Trusted IP Network 개요
• Trusted IP Network 솔루션은 가상 네트워크 기반의 관제 네트워크와 서비스 네트워크의 분리를 통해 보안성이 내재된 서비
스 이용환경을 구축하고, 언제 어디서든 인가된 기기와 사용자에 한하여 권한 별 네트워크 접근을 허용하는 안전하고 효율적
인 솔루션입니다.
Trusted IP
Access GatewayTrusted IP
Service Gateway
Transport VPN(L3 VPN)
관제네트워크 VPT
통합관제플랫폼
TrustedIP Agent
*****************************************************************************************************************************
White List
LAN
WiFi
3G/LTE
인터넷
Access Network
Microwave
/
Trusted IP Network 주요 기능
9
Trusted IP Network 개요Trusted IP Network 개요
• Trusted IP Network 솔루션은 IP 네트워크의 현안인 개방성의 문제를 해결하였습니다. 네트워크 가상화 기술에 기반한 독립
폐쇄 네트워크의 구성, 통합 관리 기능이 부재한 기존 VPN의 문제점 개선, 인가된 단말/사용자의 무결성 지속검증을 통해 믿
을 수 있는 네트워크 환경을 제공합니다.
• 격리된 별도의 관제네트워크 구축
• 관제 서버 Address Hiding으로
안정성 확보
• 필요한 수만큼의 가상 네트워크
구성
• 별도로 격리된 네트워크를 통해
선제적 방어체계 구축
격리된통합관제네트워크및
독립폐쇄네트워크형성네트워크접속제어
• 위조된 단말/사용자 차단
• 비인가된 단말의 침입 방어
비정상행위제어
• 접속 인가된 단말의 무결성 지속
검사 및 제어
• 인가된 단말 또는 악의적 목적의
내부자들의 비정상적 행위 제어
/
VR
VR
VR
VR
VR
VR
TrustedIP Agent
Virtualization & Tunneling Mechanism
10
…
통합관제플랫폼
관제 네트워크 VPT
White List
Trusted IP
Access GatewayTrusted IP
Service Gateway
VRn
VR2
VR1
…
Trusted IP Network 개요Trusted IP Network 개요
/
IP Mobility의 보장
11
BO (서울) IDC
VR-M
VR1
…
VR2
VR-M
VR1
…
VR2
VRn
VRn
BO (부산)
VR-M
VR1
…
VR2
VRn
VR2
VR2
VRn
VRn
VR-M
VR-M
VR2
VR2
VRn
VRn
VR-M
VR-M
사용자는 특정 지점에서허용된 VR 터널을 통해 인가된 서버 리소스에만 접근 가능
다른 지점 이동 시에는, 이전의 터널은 소멸되고, 이동 위치에 생성되는 터널만 유효하므로, 리소스접근 권한은 동일함
Trusted IP Network 개요
/
Trusted IP Network의 차별성
12
관제와 데이터 도메인의 격리
가상화 기술 기반의 네트워크 분리
IP 네트워크의 이동성 제공
Trusted IP Network 개요
Trusted IP Network 기반 네트워크(망) 분리
물리적망분리
논리적망분리
네트워크(망)분리방식비교
현행네트워크분리기술의이슈사항
TIPN 기반의네트워크(망) 분리
TIPN 기반네트워크(망) 분리의개념
적용예시(안전은행)
적용방안
/
물리적 망 분리
물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리하여 망 간 접근경로를 차단하는 방식입니다.
14
외부인터넷
DMZ
웹 메일 패치관리
업무서버 영역
업무망
DB 응용서버업무서버
인터넷망
라우터 침입차단 시스템
스위치 백본 스위치
인터넷PC
업무PC
Trusted IP Network 기반 네트워크(망) 분리
/
논리적 망 분리
서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.
클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.
15
외부인터넷
가상화 서버팜
가상화 서버
인터넷망
업무망
사용자 PC
서버 접속용프로그램로컬영역
(업무망)
외부인터넷
업무망
사용자 PC
하드웨어
운영체제
가상화 영역
가상영역(인터넷망)
로컬영역(업무망)
VPN IP Packet
라우터 침입차단 시스템 스위치 백본 스위치
<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>
Trusted IP Network 기반 네트워크(망) 분리
/
네트워크(망) 분리 방식 비교
16
구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)
네트워크분리
(업무 네트워크, 인터넷 네트워크 등)
미분리
(단일 네트워크)
미분리
(단일 네트워크)
운영방법
업무용 PC와 인터넷
PC로 물리적 분리
(PC 2대 사용)
인터넷 망은 서버를 통해
업무망은 PC로 분리
PC 등의 단말 가상화를 통해
인터넷 영역과 업무영역 분리
도입비용높음
(추가 PC, 이중망 구축)
보통
(서버팜 구축)
낮음
(추가 장비 최소화)
추가 장비
- 별도의 PC 1대 추가
- 라이선스(OS, Office)
- 별도 네트워크 구축
(라우터, 스위치, 방화벽)
- 서버팜(서버, 스토리지 등)
- 서버접속용 스위치
- 가상화 소프트웨어
- PC 기반 솔루션
- VPN 장비 및 VDI 등
보안높음
(물리적 분리)
낮음
(서버에서 인터넷 사용)
낮음
(PC에서 인터넷 사용)
장점 해커의 직접적인 접근 차단
- 문서 보안 등 높은 보안성
- PC 대비 업무환경 TCO 우수
- 저사양 기존 PC 자원의 활용
- 도입비용 최소화
- 단일 PC 자원의 활용
단점
- 비효율성(비용, 유지/관리 등)
- 업무효율성 저하
- 회선 임대비용 급증
- 최초 도입비용 높음
- 네트워크 대역폭 증가
- 확장성 제한
- 고장 발생시 복구 어려움
- PC 호환성 및 보안 프로그램 충돌 문제
Trusted IP Network 기반 네트워크(망) 분리
/
현행 네트워크 분리 기술의 이슈 사항
네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.
17
• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보
• 외부 및 내부 위협에 대한 대응력 확보
• 업무효율 향상을 통한 경제성이 담보된 인프라
• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축
안전하면서 효율적인 네트워크 분리를 위한 해결과제
기존 네트워크 인프라를 네트워크 분리 기술을 이용하여 인터넷 네트워크와 업무네트워크로
분리
네트워크의 안정성을보장하기 위해 접근제어 시스템
을 분리하여 관리
네트워크분리및격리
접속 인가된 단말의무결성 지속 검사 및
제어
인가된 단말 또는악의적 목적의
내부자들의 비정상적행위 제어
보안위협
업무 효율성 저하 없이 경제적네트워크 분리 구축
비용 및 유지/관리 비용 필요
비즈니스 경쟁력 강화를위한 스마트워크,
모바일 오피스, 클라우드사무환경 제공
경제성및 확장성
Trusted IP Network 기반 네트워크(망) 분리
/
TIPN 기반의 네트워크(망) 분리
Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.
18
가상 네트워크 기반의 안전하고 효율적인 솔루션
Trusted IP Network 기반 네트워크(망) 분리
• 인가된 기기와 사용자에 한하여
권한에 따라 가상 네트워크별
접근 허용
• 내부자에 의한 개인정보 대량
유출 등 비정상적 행위에 대해
실시간으로 판단 및 제어하는
기능 구비
보안 위협제거 경제성및 확장성확보
• 기존에 구축된 네트워크 자원을
활용하여 필요한 수 만큼 격리된
가상네트워크를 생성하여 구축
및 운영 비용 절감
• 단말 가상화 솔루션과 연계 시,
최소의 단말로 다양한 업무 및
인터넷 사용 가능(단말 구매비용
및 전력 사용량 최소화)
네트워크분리 및 격리
• 완벽하게 분리된 논리적 네트워크
경계 제공
• 안전한 접속 환경을 제공하기 위해
네트워크 관리 도메인을 데이터
도메인으로부터 완벽하게 분리
• 보안 강화를 위하여 외부에 노출되
는 관리 서버 및 응용 서버의 주소
은닉 제공
/
Client PC IDC
TIPN 기반 네트워크(망) 분리의 개념
19
Service #A Network #A
Untrusted Network
단말/서버 네트워크
App 격리가상화
(SBC, CBC)X
접근제어
(ID/PW…)X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
단말 가상화 솔루션Trusted IP Network
Service #B Network #B
Trusted IP Network 기반 네트워크(망) 분리
TIPN 기반네트워크 가상화
IP NetworkTrusted IP Network
통합관제플랫폼
/
적용 예시 (안전 은행)
은행 업무네트워크를 인터넷으로부터 완벽히 분리
업무네트워크 내에서도 해당 업무 별로 격리된 별도의 네트워크를 필요한 만큼 구축 가능
20
Trusted IP Network 기반 네트워크(망) 분리
White List
관리/관제서버 PMS관리서버
금융업무서버 ATM 서버 인터넷서버
관리및제어네트워크
PMS관리네트워크
금융업무네트워크 ATM 기기네트워크 인터넷
단말 / 사용자별네트워크접근제어
기존네트워크 (전달네트워크, Best Effort IP Packet 교환네트워크)
/
적용 방안
21
네트워크/시스템모니터링 서버
백신/보안 패치 서버에이전트 업데이트 서버
서비스 통합 인증서버
그룹웨어 서버
전자메일 서버
업무 서버(ERP 등)
인터넷 서비스
Trusted IP
Access GatewayTrusted IP
Service Gateway
1. 관리 네트워크
3. 인증 네트워크
2. 패치 네트워크
0. 관제 네트워크 VPT
통합관제플랫폼
White List
Microwave
LAN
WiFi
3G/LTE
인터넷
Access Network
데이터 센터 운영인력사용자 단말(PC)
일반 업무 사용자사용자 단말(PC)
4. 그룹웨어 네트워크
6. 업무1 네트워크
5. 전자메일 네트워크
7. 인터넷
…
…
Trusted IP Network 기반 네트워크(망) 분리
Trusted Pass(인증) 서비스
개인정보유출급증
인증서비스현황
Trusted Pass 서비스개념
Trusted Pass 서비스개요
Trusted Pass 기반안정성확보방안
Trusted Pass 비인가단말을통한침해대응방안
Trusted Pass 서비스Flow & 적용방안
(은행/카드사/증권사/공공)
/
개인정보 유출 급증
23
Trusted Pass(인증) 서비스
• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 개인정보를 취득하여,
인증을 통한 금융사고 급증
‘키로깅’, 개인정보200만건훔쳐
(S방송사 2013년12 월)
• 주요인터넷및SNS 사업자의개인정보유출
개인정보 유출 사이트 : 구글, 페이스북, 트위터 등
방법 : 키로깅
피해 규모 :아이디, 비밀번호 200만 건 유출
☞ 개인정보 판매를 통한 2차 피해 발생 가능성 有
스마트폰해킹으로MTS 해킹
(H경제신문 2013년12 월)
• 13년12월국내증권사인K사의모바일트레이딩시스템(MTS) 해킹사건발생
방법 : 스마트폰 해킹 후 개인정보 취득 후
다른 모바일기기로 공인인증서 재 발급후 주식 매도 시도
공인인증서 유출 통로 90%가
스마트폰
(H경제신문 2013년12 월)
• 공인인증서 탈취를통한해킹발생
방법 : 스마트폰에 악성 코드 삽입 후 해킹 또는 증권 거래 앱 프로토콜 분석
피해 규모 : 13년 상반기 유출된 공인인증서 6,933건 중 90%인 6,156건이
스마트폰에서 유출
/
인증 서비스 현황
24
구분 주요 이슈 유출 형태 비고
공인인증서(PKI)• 인증서 복사 유출 문제 심각
• 잦은 액티브X 설치로 인한 고객 불편 유발 • 키보드 입력
• 보이스 피싱
• 파밍
• 스미싱
• 앱 위변조
필수에서 선택으로
국가정책 전환
ARS 인증• 인증시 지속적으로 발생하는 인증 비용
(건별 10초당 20원)
SMS 인증
• 신종 해킹 기법에 대한 대응력 미비
• 고가의 인증 비용(건당 40원 이상)
※ 정보용 SMS 20원 이하, 인증용 SMS 40원 이상
“고객 불편 유발, 신종 해킹 기법에 대한 대응력 미비, 지속적인 인증 비용 발생”
Trusted Pass(인증) 서비스
/
Trusted Pass 서비스 개념
25
Trusted Pass(인증) 서비스
Client
Terminal
App/Data
Server
Untrusted Network
단말/서버 네트워크
App 격리가상화
(SBC, CBC)X
접근제어
(ID/PW…)X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
2 channel 인증Trusted IP Network
MobilePhone
Auth. Server
IP NetworkTrusted IP Network
통합관제플랫폼
/
Trusted Pass 서비스 개요
26
Trusted Pass(인증) 서비스
Trusted Pass 기존 2채널 인증 Trusted 채널
기존 2채널 인증
• PC에서 본인 인증 절차를 거친 후, 스마트폰을 통해 추가 인증
• 해킹 기법으로 인한 피해 차단
Trusted Pass
• 인증 채널과 서비스 채널의 분리로 인증 데이터의안정성 확보
• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄
/
Trusted Pass 기반 안정성 확보 방안(1)
27
Internet
Trusted IPNetwork
. . .
통합관제플랫폼
#1 #2 #3 #N
비대면 거래의 안정성 확보를 위해서는 온라인의 특성과 제한사항을 고려하여 대면 거래 절차를 금융전산 서비스에 적용
대면거래
[전제사항]
1. 출입통제 시스템을 통한 지속적인 입•출입 현황을 추적, 관리, 통제관리
2. Privacy 및 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간
(거래창구) 사전 확보
[개인 인증 절차]
1. 거래 창구 및 뱅커 할당(1:1 대면)
2. 신분증을 통한 실명확인/신분증의 위변조 여부 확인
3. 인증된 사용자에 한하여 계좌존재 여부 확인
4. 거래요청시 PIN-PAD를 통한 개인 비밀번호 입력
Trusted Pass 기반 비대면 거래
[전제사항]
1. 통합 관제 시스템을 통한 지속적인 접속 현황 추적, 통제
2. 개방된 IP 네트워크의 취약성을 극복하기 위한 별도의 인증네트워크 구성
3. 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간(네트워크) 사전 구성
[개인 인증 절차]
1. 네트워크 할당(VPN 기술 기반 1:1 구성)
2. 인증(ID/PW)을 통한 실명확인 (별도 채널 구성)
3. 인증된 사용자의 보유 계좌 매칭
4. 거래요청시 스마트폰 PIN-PAD를 통한 비밀번호 입력
단말기 상태변화추적을 통한
지속 감시
#N
#3 #2
고객대기공간(공용공간)
153154
155
152 153 154 155
1 2 3 4
152
153
154
155
1
2
3
4
고객대기현황
#1. . .
Trusted Pass(인증) 서비스
/
Trusted Pass 기반 안정성 확보 방안(2)
28
Trusted Pass(인증) 서비스
Trusted Pass는 스마트폰 해킹을 통한 개인정보 및 인증 정보 유출을 방지를 위한 단말 차원의 대응력을 확보 하였음
기능 내용
End-to-End
Point
무결성 검증
빠르고 정확한 DNA-Featuring으로 안정성 확보
단말의 상태를 실시간으로 검사한 후, On/Off Line에서 검증
악성 프로그램/새로운 방식의 해킹 근본적으로 차단
시스템 취약점
분석 및 대응
스마트폰 정보를 분석하여 보안 취약점 감지
백도어(원격 바이러스 등) 침투 감지
위협정보 대응 신종 보안 위협에 즉각 대응하여 안전한 시스템 환경 유지
시스템 내 파일 변조를 감지하여 원본 상태로 복구
주요 기능
해킹 위협 대응 프로세스
금융서버
금융 앱(Trusted IP
Agent)
악성코드
사용자 단말
해커 PC
네트워크 차단
1 사용자 단말에서 금융앱 실행
2 Trusted IP Agent 구동, 안전채널 생성
3사용자 단말기와 해커 PC간 네트워크 차단(뱅킹 서비스 이용시 타 서비스 이용 불가)
4 서비스 이용 종료 후 네트워크 정상화
통신전용Channel
/
Trusted Pass 서비스 Flow
30
PC
뱅킹 서버
6 이체 신청
2 ch(안전채널)
1 ch
사용자
인증
요청
7
인증
성공
내역
전달
11
통신사
22ch 인증 요청
8
4 PW 입력
은행
안전채널
인증앱 구동& 안전채널 생성
3
인증 확인5
10
본인명의 스마트폰
1 Login 요청
9인증앱 구동& 인증정보 입력
12 이체 완료 결과 통보
3G/LTE
Trusted Pass(인증) 서비스
인증서버
/
4 계좌 이체 신청
계좌 이체를 위한 정보입력 및 계좌 이체 신청
3로그인 승인
(본인명의 스마트폰의 인증 APP)
Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체
31
1 로그인 요청
PC에서 ID 입력 후 로그인 요청(공인인증서 로그인의 경우, 인증서 선택)
2 네트워크 사용자 인증
인증 APP을 통해 PW 입력 후 전송,입력 정보 확인 후 로그인 승인
5인증 정보 입력
(본인명의 스마트폰의 인증 APP)
인증 APP을 통해 보안카드번호(또는 OTP), 공인인증서 PW 입력
6 계좌 이체 완료
게좌 이체 완료
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass(인증) 서비스
/
4대출금 신청
(본인명의 스마트폰의 인증 APP)
대출금 신청 및 인증 APP을 통해계좌 비밀번호 입력
3고객정보 확인
(본인명의 스마트폰의 인증 APP)
Trusted Pass 적용 방안 – 인터넷 대출
32
1 신용정보조회 및 약관 동의
대출 신청에 대한 신용정보조회 및 약관 동의
2 네트워크 사용자 인증
고객정보 확인 및 인증 APP을 통해휴대폰인증번호 입력
5상품설명서 및 약정서 확인
(본인명의 스마트폰의 인증 APP)
상품설명서/약정서 확인 및 인증 APP을 통해보안카드번호(또는 OTP)/공인인증서 PW 입력
6 대출신청 완료
대출신청 완료 및 은행 승인 대기
인증 서버본인 명의스마트폰
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
Trusted Pass(인증) 서비스
/
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 - ATM 현금 인출
33
1 현금 인출 요청
ATM에서 현금 인출 요청
2 계좌 PW 입력
계좌 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금 인출 승인(거래완료)
Trusted Pass(인증) 서비스
/
Trusted Pass 서비스 Flow
35
Trusted Pass(인증) 서비스
쇼핑몰
PC
거래 승인 서버
1 Login & 결제요청2 결제 정보 전달
9 거래 승인거래 완료 결과 통보10
2 ch(안전채널)
1 ch
PG 사
사용자
인증앱(앱카드) 구동& 안전채널 생성
인증서버
인증
요청
3
인증
성공
내역
전달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
카드사
안전채널
5
인증 확인7
본인명의 스마트폰
/
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제
36
Trusted Pass(인증) 서비스
1 온라인 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버본인 명의스마트폰
/
Trusted Pass 적용 방안 예시 - 모바일 결제
37
Trusted Pass(인증) 서비스
1 모바일 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
3 네트워크 사용자 인증
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
/
4 신용카드 승인
본인 인증 완료 후 신용카드 승인(거래완료)
2 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제
38
Trusted Pass(인증) 서비스
1 신용카드 결제 요청
카드단말기를 통해 신용카드 결제 시도
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
/
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
3 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
Trusted Pass 적용 방안 예시 - ATM 현금 서비스
39
Trusted Pass(인증) 서비스
1 현금서비스 신청
ATM에서 현금서비스 신청
2 신용카드 PW 입력
신용카드 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금서비스 승인(거래완료)
/
Trusted Pass 서비스 Flow
41
PC
MTS 서버
8 2차 인증 요청
2 ch(안전채널)
1 ch
사용자
인증서버
인증
요청
2 9
인증
성공
내역
전달
7 13
통신사
5 PW 입력
증권사
안전채널
인증앱 구동& 안전채널 생성
4
인증 확인6
12
본인명의 스마트폰
1 Login 요청
11인증앱 구동& 인증정보 입력
15 주식 거래 완료 결과 통보
3G/LTE
Trusted Pass(인증) 서비스
14 주식 거래 신청
32ch 인증 요청
10
/
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래
42
Trusted Pass(인증) 서비스
1 증권사 홈페이지 로그인
ID/PW 입력 후 로그인
2 2차 인증 요청
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 주식 거래
중계사업자인증 서버
본인 명의스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
안전한 주식거래를 위해 스마트폰의Trusted Pass APP에서 PIN 번호를입력해 주세요.
확인
/
Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래
43
Trusted Pass(인증) 서비스
1 증권사 APP 로그인
ID/PW 입력 후 로그인
4PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
2 2차 인증 요청
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
5 주식 거래
중계사업자인증 서버
본인 명의스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
인증요청안전한 주식거래를 위해 스마트폰의 Trusted Pass APP에서 PIN 번호를 입력해 주세요.
PIN 요청 PIN 발급
확인
/
Trusted Pass 서비스 Flow
45
Trusted Pass(인증) 서비스
민원24
PC
인증 승인 서버
1 Login & 인증요청2 인증 정보 전달
9 인증 승인인증 결과 통보10
2 ch(안전채널)
1 ch
사용자
인증앱(앱카드) 구동& 안전채널 생성
인증서버
인증
요청
3
인증
성공
내역
전달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
행정자치부
안전채널
5
인증 확인7
본인명의 스마트폰
/
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증
46
Trusted Pass(인증) 서비스
1 온라인 인증 로그인
ID/PW 입력 후 로그인
2 네트워크 사용자 인증
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
4 인증 완료
본인 인증 완료
인증 서버본인 명의스마트폰
홍길동님께서 로그인하셨습니다.
/
Trusted Pass 적용 방안 예시 - 모바일 인증
47
Trusted Pass(인증) 서비스
1 모바일 인증 로그인
ID/PW 입력 후 로그인
3PIN 번호 인증
(본인명의 스마트폰의 인증 APP)
생성된 보안채널을 통해 PIN번호 입력 후 전송
2 네트워크 사용자 인증
4 인증 완료
본인 인증 완료
보안채널 생성을 위한 네트워크 사용자 인증(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버본인 명의스마트폰
홍길동님께서 로그인하셨습니다.
/
Trusted IP Network 기본 시스템 구성도
Terminal (Trusted IP Agent)
Desktop(Windows XP/7/8
Smartphone(Android)
Notebook(Windows XP/7/8)
ApplicationServers
Server #1
Server #2
Server #N
Network Infrastructure
Transport VPN(L3 VPN)
… …
Mobile IP VPN
TrustedDevice Manager
Security PostureManager
Trusted IPManager
LAN
WiFi
3G/LTE
인터넷
Access Network
Microwave
Trusted IPAccess G/W
Trusted IPService G/W
/
Trusted IP Network 구성 요소 (1)
Trusted IP Access Gateway
Authentication Redirection 기능
비정상적트래픽유형을감지하고대응하여외부해킹으로
부터인증서버보호
White List 기반TrustedIP Service Gateway에터널생성요청
인증된정상적단말(White List에등록된단말)의터널을해당
가상라우터로 집선하여Trusted IP Service Gateway로전달
Trusted IP Access Gateway와Trusted IP Service Gateway 간
접속은사전정의된L3 VPN 터널을통해접속되며,개별가상
라우터간접속을사전정의하여사용(네트워크가상화)
* Trusted AP를통해접속하는무선단말의경우Trusted AP
터널을경유하여접속되며, Trusted AP 터널은사전정의
(구성관리)된가상라우터와연결
Network
솔루션 구성
단말집선장소에 위치하여인증패킷을통합관제
네트워크에 올려주는 역할을 하며 가상 네트워크별
WhiteList기반접근통제
Trusted IP Service Gateway
Trusted IP Access Gateway와연계하여외부공격및해킹으로부터인
증서버보호
격리되어있는통합관제네트워크를통해사용자/단말별인증
사용자/단말별사전정의된네트워크VPN 터널생성/유지/삭제/관리
인증을통해허용된VPN 터널만해당가상네트워크에접속허용
(White List 기반접속제어)
사전정의된가상라우터별Mobile IP VPN 터널관리
Trusted IP Access Gateway와사전정의된L3 VPN 터널을통해가상화
네트워크상호유지
가상네트워크별정보공유및교환수행
Network
서버 집합 장소에 위치하여 Trusted IP Access Gateway
와 연계하여 가상화된 네트워크를 네트워크 및 서버별
로접근통제및관리(터널생성및종료)
51
/
Trusted IP Network 구성 요소 (2)
솔루션 구성
Trusted IP Agent (Android/Windows)
인증용Parameter (기기별로고유번호통한인증기능)
기기(Trusted IP Agent)와Trusted IP Gateway 간양방
향Trusted 터널을생성∙관리∙종료하기위하여기기에
설치되는S/W
Device
Trusted IP Manager 터널,가상네트워크구성및연동관리 터널및가상경로별품질보장관리 인증서버(AAA)연계System
Security Posture Agent 접속인증및통신중에단말에설치된주요소프트웨어
요소들의무결성을검사하여감염된단말의Trusted IP
네트워크로의접속/접근을감시하여네트워크접근안
정성확보
Device
Security Posture Manager 단말의소프트웨어이미지관리
인증요청시Agent이미지와정상상태의이미지를
비교하여 변화발생시 적절한(차단)조치수행
접속중에도이미지변화시적절한(차단) 조치수행
System
Trusted Device Manager
디바이스관리및보안정책수행
디바이스의인증과정관리
디바이스 정보/상태관리
디바이스에설치된각종소프트웨어관리
System
TDM Agent
Trusted Device Manager 와연동하여인증과정관리
디바이스보안정책적용
디바이스분실관리
설치된소프트웨어관리
Device
52
/
Trusted IP Network 구성 요소 (3)
53
Optional 솔루션 구성
IPSec Agent (Android/Windows) IKE Phase I / IKE Phase II 터널모드암호화/복호화제공
-ESP 프로토콜Device
IPSec VPN Device IKE Phase I / IKE Phase II 터널모드암호화/복호화제공
-ESP 프로토콜System
Secure Container Agent (Android/Windows) 다운로드파일수정및저장관리
파일변경검사Device
Secure Container Manager 단말다운로드파일수정및관리
단말파일변경실시간감시
System
/
Trusted IP Gateway 모델
54
Throughput
Interfaces
Operation Mode
Flow QoS
Flow Setup
Concurrent Flow
Subscriber Management
240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System
GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)
Transparent Mode / Routing Mode (BGP,OSPF, VR …)
MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)
1.5 M Flows / sec / Line Card
4 M Flows / Line Card
8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules
4 M Flows
1.5 M Flows / sec
T240 T80 T20
/
Trusted IP Network 솔루션 검증 내역
고신뢰 네트워크용 Secure WiFi Solution
Trusted IP Manager : Access, Service Trusted IP Access Gateway Trusted IP Service Gateway Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)
TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)
안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행 발주 기관 : 미래부/NIA 검증 기관 : ETRI 시험 내용
- Router/Gateway 보안 적합성 검증 항목- 신뢰성 : Smoke, Regression Test- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)- QoS- 성능
시험 결과 : 적합
국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일
56