3. 2차 중간 보고

                 종합설계 프로젝트 2차 중간보고서 요약

팀명

Huckleberry PIN

제출일

2012 10 25

프로젝트 제목

멀티채널을 이용한 가상키보드

설계프로젝트 개요

프로젝트 수행 내용 및 중간 결과

프로젝트 개요

 해가 지남에 따라 인터넷뱅킹 서비스를 이용하는 고객 수가 증가하고 있다고객수와 이용건수가 늘어남에 따라 전자금융거래에 대한 정보보호가 큰 이슈가 되고 있다현재 인터넷 뱅킹에서 사용되는 보안 솔루션으로 공인인증서일회용 비밀번호보안카드가상 키보드등이 있지만 PC또는 스마트폰 단일 채널에서만 작동하기 때문에 공격자가 해당 채널을 장악하는 경우사용자가 입력한 모든 정보가 공격자에게 유출되는 문제점을 근본적으로 가지고 있다우리는 이러한 문제점을 해결하기 위해 멀티채널 기반의 가상 키패드 시스템을 제안한다.

가상키패드 모듈 고도화

 기존에 설계한 키패드 설계방식을 요약하면 사용자가 비밀번호를 입력하기 위해 서버로부터 40자리의 스트링을 전송받고, 이 스트링으로부터 키보드를 생성한다. 그리고 각 자리에 매핑되어있는 스트링을 서버로 전송하여 올바르게 입력하였는지 확인하는 순서였다. 하지만 해커가 사용자의 스마트폰을 장악하고 있다고 가정하면 스트링으로부터 키보드 생성원리, 사용자의 비밀번호 길이등 유용한 정보를 알아낼 수 있다. 이러한 취약점을 보안하기 위해 서버와 사용자간에 공유하고 있는 함수를 추가한다. 이 함수는 해시함수와 비슷하게 동작하여 비밀번호의 길이가 다르더라도 일정한 길이의 결과를 생성하는 함수이다. 사용자는 PC화면에 있는 자판 배열을 보고 키를 입력하기 때문에 비밀번호의 노출 위험성은 없고 사용자가 비밀번호를 입력할 때 항상 일정 길이의 스트링이 전송되므로 비밀번호의 길이를 알아낼 수 없어 임의로 유추해서 해킹하는 방법 또한 저지 시킬 수 있다.

다중채널의 보안 안정성 및 확장성

 기존에 설계한 키패드 설계방식을 요약하면 사용자가 비밀번호를 입력하기 위해 서버로부터 40자리의 스트링을 전송받고, 이 스트링으로부터 키보드를 생성한다. 그리고 각 자리에 매핑되어있는 스트링을 서버로 전송하여 올바르게 입력하였는지 확인하는 순서였다. 하지만 해커가 사용자의 스마트폰을 장악하고 있다고 가정하면 스트링으로부터 키보드 생성원리, 사용자의 비밀번호 길이등 유용한 정보를 알아낼 수 있다. 이러한 취약점을 보안하기 위해 서버와 사용자간에 공유하고 있는 함수를 추가한다. 이 함수는 해시함수와 비슷하게 동작하여 비밀번호의 길이가 다르더라도 일정한 길이의 결과를 생성하는 함수이다. 사용자는 PC화면에 있는 자판 배열을 보고 키를 입력하기 때문에 비밀번호의 노출 위험성은 없고 사용자가 비밀번호를 입력할 때 항상 일정 길이의 스트링이 전송되므로 비밀번호의 길이를 알아낼 수 없어 임의로 유추해서 해킹하는 방법 또한 저지 시킬 수 있다.


마일스톤 일정

마일스톤개요시작일종료일
최종보고
 최종보고
산출물:
1. 프로젝트 최종보고서
2. 프로젝트 최종요약보고서
3.  프로젝트 최종결과발표슬라이드
4. 외부경시대회 출품 증빙자료
2012-10-262012-11-22


Ċ
markers@cs.kookmin.ac.kr,
2012. 10. 21. 오전 4:35