Trusted IP network solution

Trusted IP Network 솔루션 소개
2015.05
Copyright © 2015 Mobile Convergence Co.,Ltd. All rights reserved.
- 네트워크 가상화 기반 네트워크(망) 분리 및 인증 中心 -

목 차
 Trusted IP Network 개요
 Trusted IP Network 기반 네트워크(망) 분리
 Trusted Pass (인증) 서비스
* 별 첨

Trusted IP Network 개요
통상적인네트워크접근제어구성
패킷네트워크의접속단계
서킷네트워크의접속단계
서킷네트워크vs패킷네트워크
TrustedIPNetwork구성
TrustedIPNetwork주요기능
Virtualization&TunnelingMechanism
IPMobility의보장
TrustedIPNetwork의차별성

/
통상적인 네트워크 접근 제어 구성
4
Client
Terminal
Access
Network
Edge
Network
(Router)
IP
Network
Edge
Network
(Router)
Server
ID/PW, 생체인식,
OTP, 스마트카드…
(단말 접근 제어)
ID/PW
(서버 접근제어)
IP Network 자체는 단순 전송 네트워크(접근 제어 불가)공간적 접근
제어 전제
(‘사용자 = 단말’ 동일시)
Access
Network
( )LAN, WiFi
3G/LTE…
VPN/NAC (Agent ↔ Server)
( )F/W, IPsec, IDS/IPS,
UTM, WAF…
전달망

/
패킷 네트워크(Packet Network)의 접속 단계
5
Router Router
IP Network
DATA
TCP
Header
IP
Header
Ethernet
Header
①패킷 생성
②패킷 단위 전송
③패킷 수신 ④패킷 해제
Router는 사용자 인식 등의
접근 제어 불가
위변조에 취약한 TCP/IP 의 구조
(네트워크 격리구조 불가)
Trusted IP Network 개요Trusted IP Network 개요

/
서킷 네트워크(Circuit Network)의 접속 단계
6
PBX
(Gateway)
PBX
(Gateway)
PSTN Server
PSTN
call
①접속 요청
②종단 확인
③채널 설정
④채널 형성 & 정보 교환
Modem Modem
PBX 는 서버와 우선
통신하여 신원을 확인

/
서킷 네트워크 vs. 패킷 네트워크
7
Trusted IP Network
패킷 네트워크를
서킷 네트워크처럼!!
(Circuit Level IP Network)
위험 서킷
네트워크의
보안성
효율
패킷
네트워크의
효율성

/
Trusted IP Network 구성
8
• Trusted IP Network 솔루션은 가상 네트워크 기반의 관제 네트워크와 서비스 네트워크의 분리를 통해 보안성이 내재된 서비
스 이용환경을 구축하고, 언제 어디서든 인가된 기기와 사용자에 한하여 권한 별 네트워크 접근을 허용하는 안전하고 효율적
인 솔루션입니다.
Trusted IP
Access Gateway
Trusted IP
Service Gateway
Transport VPN
(L3 VPN)
관제네트워크 VPT
통합관제플랫폼
Trusted
IP Agent
*****************************************************************************************************************************
White List
LAN
WiFi
3G/LTE
인터넷
Access
Network
Microwave

/
Trusted IP Network 주요 기능
9
• Trusted IP Network 솔루션은 IP 네트워크의 현안인 개방성의 문제를 해결하였습니다. 네트워크 가상화 기술에 기반한 독립
폐쇄 네트워크의 구성, 통합 관리 기능이 부재한 기존 VPN의 문제점 개선, 인가된 단말/사용자의 무결성 지속검증을 통해 믿
을 수 있는 네트워크 환경을 제공합니다.
• 격리된 별도의 관제네트워크 구축
• 관제 서버 Address Hiding으로
안정성 확보
• 필요한 수만큼의 가상 네트워크
구성
• 별도로 격리된 네트워크를 통해
선제적 방어체계 구축
격리된통합관제네트워크및
독립폐쇄네트워크형성
네트워크접속제어
• 위조된 단말/사용자 차단
• 비인가된 단말의 침입 방어
비정상행위제어
• 접속 인가된 단말의 무결성 지속
검사 및 제어
• 인가된 단말 또는 악의적 목적의
내부자들의 비정상적 행위 제어

/
VR
VR
VR
VR
VR
VR
Trusted
IP Agent
Virtualization & Tunneling Mechanism
10
…
관제 네트워크 VPT
White List
Trusted IP
Access Gateway
Trusted IP
Service Gateway
VRn
VR2
VR1
…

/
IP Mobility의 보장
11
BO (서울) IDC
VR-M
VR1
…
VR2
VR-M
VR1
…
VR2
VRn
VRn
BO (부산)
VR-M
VR1
…
VR2
VRn
VR2
VR2
VRn
VRn
VR-M
VR-M
VR2
VR2
VRn
VRn
VR-M
VR-M
사용자는 특정 지점에서
허용된 VR 터널을 통해 인
가된 서버 리소스에만 접
근 가능
다른 지점 이동 시에는, 이
전의 터널은 소멸되고, 이
동 위치에 생성되는 터널
만 유효하므로, 리소스접
근 권한은 동일함

/
Trusted IP Network의 차별성
12
관제와 데이터 도메인의 격리
가상화 기술 기반의 네트워크 분리
IP 네트워크의 이동성 제공

Trusted IP Network 기반 네트워크(망) 분리
물리적망분리
논리적망분리
네트워크(망)분리방식비교
현행네트워크분리기술의이슈사항
TIPN기반의네트워크(망)분리
TIPN기반네트워크(망)분리의개념
적용예시(안전은행)
적용방안

/
물리적 망 분리
 물리적 망 분리는 인터넷망과 업무망을 물리적으로 망을 분리할 뿐만 아니라 각 망에 접속하는 PC도 물리적으로 분리
하여 망 간 접근경로를 차단하는 방식입니다.
14
외부
인터넷
DMZ
웹 메일 패치관리
업무서버 영역
업무망
DB 응용서버업무서버
인터넷망
라우터 침입차단 시스템
스위치 백본 스위치
인터넷PC
업무PC

/
논리적 망 분리
 서버 가상화 기반 망 분리(SBC) 기술은 인터넷 접속, 업무 수행 등 기존 PC에서 수행했던 작업을 가상화 서버 등에 접속하여 수행합니다.
 클라이언트 기반 망 분리 (CBC) 기술은 인터넷 접속 등의 작업을 단말 기반 가상화 기술이 적용된 영역에서 수행합니다.
15
외부
인터넷
가상화 서버팜
가상화 서버
인터넷망
업무망
사용자 PC
서버 접속용
프로그램로컬영역
(업무망)
외부
인터넷
업무망
사용자 PC
하드웨어
운영체제
가상화 영역
가상영역
(인터넷망)
로컬영역
(업무망)
VPN IP Packet
라우터 침입차단 시스템 스위치 백본 스위치
<서버 가상화 기반 망 분리> <단말 가상화 기반 망 분리>

/
네트워크(망) 분리 방식 비교
16
구분 물리적 망 분리 서버 가상화 기반 망 분리(SBC) 클라이언트 기반 망 분리 (CBC)
네트워크
분리
(업무 네트워크, 인터넷 네트워크 등)
미분리
(단일 네트워크)
미분리
(단일 네트워크)
운영방법
업무용 PC와 인터넷
PC로 물리적 분리
(PC 2대 사용)
인터넷 망은 서버를 통해
업무망은 PC로 분리
PC 등의 단말 가상화를 통해
인터넷 영역과 업무영역 분리
도입비용
높음
(추가 PC, 이중망 구축)
보통
(서버팜 구축)
낮음
(추가 장비 최소화)
추가 장비
- 별도의 PC 1대 추가
- 라이선스(OS, Office)
- 별도 네트워크 구축
(라우터, 스위치, 방화벽)
- 서버팜(서버, 스토리지 등)
- 서버접속용 스위치
- 가상화 소프트웨어
- PC 기반 솔루션
- VPN 장비 및 VDI 등
보안
높음
(물리적 분리)
낮음
(서버에서 인터넷 사용)
낮음
(PC에서 인터넷 사용)
장점 해커의 직접적인 접근 차단
- 문서 보안 등 높은 보안성
- PC 대비 업무환경 TCO 우수
- 저사양 기존 PC 자원의 활용
- 도입비용 최소화
- 단일 PC 자원의 활용
단점
- 비효율성(비용, 유지/관리 등)
- 업무효율성 저하
- 회선 임대비용 급증
- 최초 도입비용 높음
- 네트워크 대역폭 증가
- 확장성 제한
- 고장 발생시 복구 어려움
- PC 호환성 및 보안 프로그램 충돌 문제

/
현행 네트워크 분리 기술의 이슈 사항
 네트워크의 분리, 안전성, 경제성 및 확장성 등이 네트워크 분리 도입 전에 고려되어야 합니다.
17
• 경제성이 담보되면서 물리적 네트워크 분리 수준 이상의 보안성 담보
• 외부 및 내부 위협에 대한 대응력 확보
• 업무효율 향상을 통한 경제성이 담보된 인프라
• 스마트 모바일, IoT 단말 등 새로운 환경에 확장이 용이한 네트워크 인프라 구축
안전하면서 효율적인 네트워크 분리를 위한 해결과제
기존 네트워크 인프라를 네트워
크 분리 기술을 이용하여 인터
넷 네트워크와 업무네트워크로
분리
네트워크의 안정성을
보장하기 위해 접근제어 시스템
을 분리하여 관리
네트워크분리및격리
접속 인가된 단말의
무결성 지속 검사 및
제어
인가된 단말 또는
악의적 목적의
내부자들의 비정상적
행위 제어
보안위협
업무 효율성 저하 없이 경제적
네트워크 분리 구축
비용 및 유지/관리 비용 필요
비즈니스 경쟁력 강화를
위한 스마트워크,
모바일 오피스, 클라우드
사무환경 제공
경제성및 확장성

/
TIPN 기반의 네트워크(망) 분리
 Trusted IP Network는 “네트워크 VPN과 Virtual Router 기반의 네트워크 가상화” 기술을 근간으로 언제 어디서든 안심하고
정보를 유통할 수 있는 폐쇄형 IP 네트워크 입니다.
18
가상 네트워크 기반의 안전하고 효율적인 솔루션
• 인가된 기기와 사용자에 한하여
권한에 따라 가상 네트워크별
접근 허용
• 내부자에 의한 개인정보 대량
유출 등 비정상적 행위에 대해
실시간으로 판단 및 제어하는
기능 구비
보안위협제거 경제성및 확장성확보
• 기존에 구축된 네트워크 자원을
활용하여 필요한 수 만큼 격리된
가상네트워크를 생성하여 구축
및 운영 비용 절감
• 단말 가상화 솔루션과 연계 시,
최소의 단말로 다양한 업무 및
인터넷 사용 가능(단말 구매비용
및 전력 사용량 최소화)
네트워크분리및격리
• 완벽하게 분리된 논리적 네트워크
경계 제공
• 안전한 접속 환경을 제공하기 위해
네트워크 관리 도메인을 데이터
도메인으로부터 완벽하게 분리
• 보안 강화를 위하여 외부에 노출되
는 관리 서버 및 응용 서버의 주소
은닉 제공

/
Client PC IDC
TIPN 기반 네트워크(망) 분리의 개념
19
Service #A Network #A
Untrusted Network
단말/서버 네트워크
App 격리
가상화
(SBC, CBC)
X
접근제어

(ID/PW…)
X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
단말 가상화 솔루션Trusted IP Network
Service #B Network #B
TIPN 기반
네트워크 가상화
IP NetworkTrusted IP Network

/
적용 예시 (안전 은행)
 은행 업무네트워크를 인터넷으로부터 완벽히 분리
 업무네트워크 내에서도 해당 업무 별로 격리된 별도의 네트워크를 필요한 만큼 구축 가능
20
White List
관리/관제서버 PMS
관리서버
금융업무서버 ATM서버 인터넷서버
관리및제어
네트워크
PMS
관리네트워크
금융업무네트워크 ATM기기네트워크 인터넷
단말/사용자별네트워크접근제어
기존네트워크(전달네트워크,BestEffortIPPacket교환네트워크)

/
적용 방안
21
네트워크/시스템
모니터링 서버
백신/보안 패치 서버
에이전트 업데이트 서버
서비스 통합 인증서버
그룹웨어 서버
전자메일 서버
업무 서버(ERP 등)
인터넷 서비스
Trusted IP
Access Gateway
Trusted IP
Service Gateway
1. 관리 네트워크
3. 인증 네트워크
2. 패치 네트워크
0. 관제 네트워크 VPT
White List
Microwave
LAN
WiFi
3G/LTE
인터넷
Access
Network
데이터 센터 운영인력
사용자 단말(PC)
일반 업무 사용자
사용자 단말(PC)
4. 그룹웨어 네트워크
6. 업무1 네트워크
5. 전자메일 네트워크
7. 인터넷
…
…

Trusted Pass(인증) 서비스
개인정보유출급증
인증서비스현황
TrustedPass서비스개념
TrustedPass서비스개요
TrustedPass기반안정성확보방안
TrustedPass비인가단말을통한침해대응방안
TrustedPass서비스Flow & 적용방안
(은행/카드사/증권사/공공)

/
개인정보 유출 급증
23
• 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 키로깅 해킹과 스마트폰 해킹을 통해 개인정보를 취득하여,
인증을 통한 금융사고 급증
‘키로깅’,개인정보200만건훔쳐
(S방송사 2013년12월)
• 주요인터넷및SNS사업자의개인정보유출
 개인정보 유출 사이트 : 구글, 페이스북, 트위터 등
 방법 : 키로깅
 피해 규모 :아이디, 비밀번호 200만 건 유출
☞ 개인정보 판매를 통한 2차 피해 발생 가능성 有
스마트폰해킹으로MTS해킹
(H경제신문 2013년12월)
• 13년12월국내증권사인K사의모바일트레이딩시스템(MTS)해킹사건발생
 방법 : 스마트폰 해킹 후 개인정보 취득 후
다른 모바일기기로 공인인증서 재 발급후 주식 매도 시도
공인인증서 유출 통로 90%가
스마트폰
(H경제신문 2013년12월)
• 공인인증서 탈취를통한해킹발생
 방법 : 스마트폰에 악성 코드 삽입 후 해킹 또는 증권 거래 앱 프로토콜 분석
 피해 규모 : 13년 상반기 유출된 공인인증서 6,933건 중 90%인 6,156건이
스마트폰에서 유출

/
인증 서비스 현황
24
구분 주요 이슈 유출 형태 비고
공인인증서(PKI)
• 인증서 복사 유출 문제 심각
• 잦은 액티브X 설치로 인한 고객 불편 유발 • 키보드 입력
• 보이스 피싱
• 파밍
• 스미싱
• 앱 위변조
필수에서 선택으로
국가정책 전환
ARS 인증
• 인증시 지속적으로 발생하는 인증 비용
(건별 10초당 20원)
SMS 인증
• 신종 해킹 기법에 대한 대응력 미비
• 고가의 인증 비용(건당 40원 이상)
※ 정보용 SMS 20원 이하, 인증용 SMS 40원 이상
“고객 불편 유발, 신종 해킹 기법에 대한 대응력 미비, 지속적인 인증 비용 발생”

/
Trusted Pass 서비스 개념
25
Client
Terminal
App/Data
Server
Untrusted Network
단말/서버 네트워크
App 격리
가상화
(SBC, CBC)
X
접근제어

(ID/PW…)
X
비정상 트래픽 제어 기능 부재
정상 행위 이상 행위
정상 사용자 OK ?
비인가 사용자 - ?
2 channel 인증Trusted IP Network
Mobile
Phone
Auth. Server
IP NetworkTrusted IP Network

/
Trusted Pass 서비스 개요
26
Trusted Pass 기존 2채널 인증 Trusted 채널
기존 2채널 인증
• PC에서 본인 인증 절차를 거친 후,
스마트폰을 통해 추가 인증
• 해킹 기법으로 인한 피해 차단
Trusted Pass
• 인증 채널과 서비스 채널의 분리로 인증 데이터의
안정성 확보
• ID(PC), PW(본인 명의의 스마트폰) 인증 정보의
분리 입력으로 인증 정보 탈취 가능성 원천 봉쇄

/
Trusted Pass 기반 안정성 확보 방안(1)
27
Internet
Trusted IP
Network
...
#1 #2 #3 #N
 비대면 거래의 안정성 확보를 위해서는 온라인의 특성과 제한사항을 고려하여 대면 거래 절차를 금융전산 서비스에 적용
대면거래
[전제사항]
1. 출입통제 시스템을 통한 지속적인 입•출입 현황을 추적, 관리, 통제관리
2. Privacy 및 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간
(거래창구) 사전 확보
[개인 인증 절차]
1. 거래 창구 및 뱅커 할당(1:1 대면)
2. 신분증을 통한 실명확인/신분증의 위변조 여부 확인
3. 인증된 사용자에 한하여 계좌존재 여부 확인
4. 거래요청시 PIN-PAD를 통한 개인 비밀번호 입력
Trusted Pass 기반 비대면 거래
[전제사항]
1. 통합 관제 시스템을 통한 지속적인 접속 현황 추적, 통제
2. 개방된 IP 네트워크의 취약성을 극복하기 위한 별도의 인증네트워크 구성
3. 중요정보(개인정보 및 거래 내역) 보호를 위한 폐쇄공간(네트워크) 사전 구성
[개인 인증 절차]
1. 네트워크 할당(VPN 기술 기반 1:1 구성)
2. 인증(ID/PW)을 통한 실명확인 (별도 채널 구성)
3. 인증된 사용자의 보유 계좌 매칭
4. 거래요청시 스마트폰 PIN-PAD를 통한 비밀번호 입력
단말기 상태변화
추적을 통한
지속 감시
#N
#3 #2
고객대기공간
(공용공간)
153
154
155
152 153 154 155
1 2 3 4
152
153
154
155
1
2
3
4
고객대기현황
#1
...

/
Trusted Pass 기반 안정성 확보 방안(2)
28
 Trusted Pass는 스마트폰 해킹을 통한 개인정보 및 인증 정보 유출을 방지를 위한 단말 차원의 대응력을 확보 하였음
기능 내용
End-to-End
Point
무결성 검증
 빠르고 정확한 DNA-Featuring으로 안정성 확보
 단말의 상태를 실시간으로 검사한 후, On/Off Line에서 검증
 악성 프로그램/새로운 방식의 해킹 근본적으로 차단
시스템 취약점
분석 및 대응
 스마트폰 정보를 분석하여 보안 취약점 감지
 백도어(원격 바이러스 등) 침투 감지
위협정보 대응
 신종 보안 위협에 즉각 대응하여 안전한 시스템 환경 유지
 시스템 내 파일 변조를 감지하여 원본 상태로 복구
 주요 기능
 해킹 위협 대응 프로세스
금융서버
금융 앱
(Trusted IP
Agent)
악성코드
사용자 단말
해커 PC
네트워크 차단
1 사용자 단말에서 금융앱 실행
2 Trusted IP Agent 구동, 안전채널 생성
3
사용자 단말기와 해커 PC간 네트워크 차단
(뱅킹 서비스 이용시 타 서비스 이용 불가)
4 서비스 이용 종료 후 네트워크 정상화
통신전용
Channel

▶은행TrustedPass서비스Flow & 적용방안

/
Trusted Pass 서비스 Flow
30
PC
뱅킹 서버
6 이체 신청
2 ch
(안전채널)
1 ch
사용자
인
증
요
청
7
인
증
성
공
내
역
전
달
11
통신사
2
2ch 인증 요청
8
4 PW 입력
은행
안전채널
인증앱 구동
& 안전채널 생성
3
인증 확인
5
10
본인명의 스마트폰
1 Login 요청
9
인증앱 구동
& 인증정보 입력
12 이체 완료 결과 통보
3G/LTE
인증서버

/
4 계좌 이체 신청
계좌 이체를 위한 정보입력 및 계좌 이체 신청
3
로그인 승인
(본인명의 스마트폰의 인증 APP)
Trusted Pass 적용 방안 - 인터넷 뱅킹 계좌 이체
31
1 로그인 요청
PC에서 ID 입력 후 로그인 요청
(공인인증서 로그인의 경우, 인증서 선택)
2 네트워크 사용자 인증
인증 APP을 통해 PW 입력 후 전송,
입력 정보 확인 후 로그인 승인
5
인증 정보 입력
인증 APP을 통해 보안카드번호(또는 OTP),
공인인증서 PW 입력
6 계좌 이체 완료
게좌 이체 완료
보안채널 생성을 위한 네트워크 사용자 인증
(TIPN 기술을 이용한 안전한 보안채널 생성)
인증 서버
본인 명의
스마트폰

/
4
대출금 신청
대출금 신청 및 인증 APP을 통해
계좌 비밀번호 입력
3
고객정보 확인
Trusted Pass 적용 방안 – 인터넷 대출
32
1 신용정보조회 및 약관 동의
대출 신청에 대한 신용정보조회 및 약관 동의
고객정보 확인 및 인증 APP을 통해
휴대폰인증번호 입력
5
상품설명서 및 약정서 확인
상품설명서/약정서 확인 및 인증 APP을 통해
보안카드번호(또는 OTP)/공인인증서 PW 입력
6 대출신청 완료
대출신청 완료 및 은행 승인 대기
인증 서버
본인 명의
스마트폰

/
4
PIN 번호 인증
생성된 보안채널을 통해 PIN번호 입력 후 전송
인증 서버
본인 명의
스마트폰
Trusted Pass 적용 방안 - ATM 현금 인출
33
1 현금 인출 요청
ATM에서 현금 인출 요청
2 계좌 PW 입력
계좌 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금 인출 승인(거래완료)

▶카드사Trusted Pass서비스Flow & 적용방안

/
35
쇼핑몰
PC
거래 승인 서버
1 Login & 결제요청
2 결제 정보 전달
9 거래 승인거래 완료 결과 통보10
2 ch
(안전채널)
1 ch
PG 사
사용자
인증앱(앱카드) 구동
인증서버
인
증
요
청
3
인
증
성
공
내
역
전
달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
카드사
안전채널
5
인증 확인7

/
4
PIN 번호 인증
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 결제
36
1 온라인 쇼핑몰 로그인
ID/PW 입력 후 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버
본인 명의
스마트폰

/
Trusted Pass 적용 방안 예시 - 모바일 결제
37
1 모바일 쇼핑몰 로그인
2 상품 결제
결제수단을 이용하여 상품 결제
4
PIN 번호 인증
5 결제 완료
본인 인증 완료 후 결제 승인(거래완료)
인증 서버
본인 명의
스마트폰

/
4 신용카드 승인
본인 인증 완료 후 신용카드 승인(거래완료)
인증 서버
본인 명의
스마트폰
Trusted Pass 적용 방안 예시 - 오프라인 신용카드 결제
38
1 신용카드 결제 요청
카드단말기를 통해 신용카드 결제 시도
3
PIN 번호 인증

/
4
PIN 번호 인증
인증 서버
본인 명의
스마트폰
Trusted Pass 적용 방안 예시 - ATM 현금 서비스
39
1 현금서비스 신청
ATM에서 현금서비스 신청
2 신용카드 PW 입력
신용카드 PW 입력(1차 인증)
5 현금서비스 승인
본인 인증 완료 후 현금서비스 승인(거래완료)

▶증권사Trusted Pass서비스Flow & 적용방안

/
41
PC
MTS 서버
8 2차 인증 요청
2 ch
(안전채널)
1 ch
사용자
인증서버
인
증
요
청
2 9
인
증
성
공
내
역
전
달
7 13
통신사
5 PW 입력
증권사
안전채널
인증앱 구동
4
인증 확인
6
12
1 Login 요청
11
인증앱 구동
& 인증정보 입력
15 주식 거래 완료 결과 통보
3G/LTE
14 주식 거래 신청
3
2ch 인증 요청
10

/
4
PIN 번호 인증
Trusted Pass 적용 방안 예시 - 온라인 PC 주식 거래
42
1 증권사 홈페이지 로그인
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
5 주식 거래
중계사업자
인증 서버
본인 명의
스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
안전한 주식거래를 위해 스마트폰의
Trusted Pass APP에서 PIN 번호를
입력해 주세요.
확인

/
Trusted Pass 적용 방안 예시 - 모바일 APP 주식 거래
43
1 증권사 APP 로그인
4
PIN 번호 인증
안전한 거래를 위한 2차 인증(인증 APP) 요청
3 네트워크 사용자 인증(중계사업자)
5 주식 거래
중계사업자
인증 서버
본인 명의
스마트폰
6 거래 완료
주식 거래 완료주식계좌를 이용하여 주식 거래(매도/매수)
인증요청
안전한 주식거래를 위해 스마트
폰의 Trusted Pass APP에서 PIN
번호를 입력해 주세요.
PIN 요청 PIN 발급
확인

▶공공TrustedPass서비스Flow & 적용방안

/
45
민원24
PC
인증 승인 서버
1 Login & 인증요청
2 인증 정보 전달
9 인증 승인인증 결과 통보10
2 ch
(안전채널)
1 ch
사용자
인증앱(앱카드) 구동
인증서버
인
증
요
청
3
인
증
성
공
내
역
전
달
8
6
통신사
4 2ch 인증 요청
PIN 입력
3G/LTE
행정자치부
안전채널
5
인증 확인7

/
3
PIN 번호 인증
Trusted Pass 적용 방안 예시 - 온라인 PC 웹 인증
46
1 온라인 인증 로그인
4 인증 완료
본인 인증 완료
인증 서버
본인 명의
스마트폰
홍길동님께서 로그인하셨습니다.

/
Trusted Pass 적용 방안 예시 - 모바일 인증
47
1 모바일 인증 로그인
3
PIN 번호 인증
4 인증 완료
본인 인증 완료
인증 서버
본인 명의
스마트폰
홍길동님께서 로그인하셨습니다.

ForTrustedNetworking Anywhere,AnyDevice
TrustedIPNetworkSystem
Thank you!
www.mobilecvg.com

* 별첨
- TIPN기본시스템구성도
- TIPN구성요소
- TIPNGateway모델
- TrustedIPNetwork솔루션검증내역

/
Trusted IP Network 기본 시스템 구성도
Terminal
(Trusted IP Agent)
Desktop
(Windows XP/7/8
Smartphone
(Android)
Notebook
(Windows XP/7/8)
Application
Servers
Server #1
Server #2
Server #N
Network Infrastructure
Transport VPN(L3 VPN)
…
…
Mobile IP VPN
Trusted
DeviceManager
SecurityPosture
Manager
TrustedIP
Manager
LAN
WiFi
3G/LTE
인터넷
Access
Network
Microwave
Trusted IP
Access G/W
Trusted IP
Service G/W

/
Trusted IP Network 구성 요소 (1)
Trusted IP Access Gateway
 AuthenticationRedirection기능
비정상적트래픽유형을감지하고대응하여외부해킹으로
부터인증서버보호
 WhiteList기반TrustedIPServiceGateway에터널생성요청
 인증된정상적단말(WhiteList에등록된단말)의터널을해당
가상라우터로 집선하여TrustedIPServiceGateway로전달
 TrustedIPAccessGateway와TrustedIPServiceGateway간
접속은사전정의된L3VPN터널을통해접속되며,개별가상
라우터간접속을사전정의하여사용(네트워크가상화)
* TrustedAP를통해접속하는무선단말의경우TrustedAP
터널을경유하여접속되며,TrustedAP터널은사전정의
(구성관리)된가상라우터와연결
Network
솔루션 구성
단말집선장소에 위치하여인증패킷을통합관제
네트워크에 올려주는 역할을 하며 가상 네트워크별
WhiteList기반접근통제
Trusted IP Service Gateway
 TrustedIPAccessGateway와연계하여외부공격및해킹으로부터인
증서버보호
 격리되어있는통합관제네트워크를통해사용자/단말별인증
 사용자/단말별사전정의된네트워크VPN터널생성/유지/삭제/관리
 인증을통해허용된VPN터널만해당가상네트워크에접속허용
(WhiteList기반접속제어)
 사전정의된가상라우터별MobileIPVPN터널관리
 TrustedIPAccessGateway와사전정의된L3VPN터널을통해가상화
네트워크상호유지
 가상네트워크별정보공유및교환수행
Network
서버 집합 장소에 위치하여 Trusted IP Access Gateway
와 연계하여 가상화된 네트워크를 네트워크 및 서버별
로접근통제및관리(터널생성및종료)
51

/
솔루션 구성
Trusted IP Agent (Android/Windows)
 인증용Parameter(기기별로고유번호통한인증기능)
 기기(TrustedIPAgent)와TrustedIPGateway간양방
향Trusted터널을생성∙관리∙종료하기위하여기기에
설치되는S/W
Device
Trusted IP Manager
 터널,가상네트워크구성및연동관리
 터널및가상경로별품질보장관리
 인증서버(AAA)연계System
Security PostureAgent
 접속인증및통신중에단말에설치된주요소프트웨어
요소들의무결성을검사하여감염된단말의TrustedIP
네트워크로의접속/접근을감시하여네트워크접근안
정성확보
Device
Security PostureManager
 단말의소프트웨어이미지관리
 인증요청시Agent이미지와정상상태의이미지를
비교하여 변화발생시 적절한(차단)조치수행
 접속중에도이미지변화시적절한(차단)조치수행
System
Trusted Device Manager
 디바이스관리및보안정책수행
 디바이스의인증과정관리
 디바이스 정보/상태관리
 디바이스에설치된각종소프트웨어관리
System
TDM Agent
 TrustedDeviceManager와연동하여인증과정관리
 디바이스보안정책적용
 디바이스분실관리
 설치된소프트웨어관리
Device
52

/
53
Optional 솔루션 구성
IPSec Agent (Android/Windows)
 IKEPhaseI/IKEPhaseII
 터널모드암호화/복호화제공
-ESP프로토콜
Device
IPSec VPN Device
 IKEPhaseI/IKEPhaseII
 터널모드암호화/복호화제공
-ESP프로토콜
System
Secure Container Agent (Android/Windows)
 다운로드파일수정및저장관리
 파일변경검사
Device
Secure Container Manager
 단말다운로드파일수정및관리
 단말파일변경실시간감시
System

/
Trusted IP Gateway 모델
54
Throughput
Interfaces
Operation Mode
Flow QoS
Flow Setup
Concurrent Flow
Subscriber Management
240G Multi-Shelf System 80G Single-Shelf System 20G Stand-Alone System
GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe), POS GigE(1Gbe/10Gbe)
Transparent Mode / Routing Mode (BGP,OSPF, VR …)
MR (Maximum Rate) / GR (Guaranteed Rate) / AR (Available Rate) / CR (Composite Rate)
1.5 M Flows / sec / Line Card
4 M Flows / Line Card
8,000 Services Classification Rules / Line Card 8,000 Services Classification Rules
4 M Flows
1.5 M Flows / sec
T240 T80 T20

/
TIPN Monitoring Solution (with Splunk ™)
55

/
Trusted IP Network 솔루션 검증 내역
 고신뢰 네트워크용 Secure WiFi Solution
 Trusted IP Manager : Access, Service
 Trusted IP Access Gateway
 Trusted IP Service Gateway
 Trusted IP Agent : Smartphone (Pantech Vega, Preload Version)
TIPN v1.0 보안 적합성 검증 획득 (Trusted WiFi, 2014년 10월 14일)
 안전한 금융거래 환경 조성을 위한 실증사업”대비 선행 검증 수행
 발주 기관 : 미래부/NIA
 검증 기관 : ETRI
 시험 내용
- Router/Gateway 보안 적합성 검증 항목
- 신뢰성 : Smoke, Regression Test
- 기능 : 네트워크 가상화 기반 네트워크분리 기능 (관제, 데이터 등)
- QoS
- 성능
 시험 결과 : 적합
국가망 효율화를 위한 Trusted IP Network 시험 : 2014년 12월 5일
56

Trusted IP network solution

More Related Content

What's hot (20)

Viewers also liked (20)

Similar to Trusted IP network solution (20)

More from SU BO KIM (8)

Trusted IP network solution