“ 3G 이동통신보안 ” security in 3G Mobile Communication

유비쿼터스 정보보호 Workshop 2008

엠큐릭스㈜박 현 주

[email protected]

“3G 이동통신보안”security in 3G Mobile Communication

유비쿼터스 정보보호 Workshop 2008 2

목차

1. 이동통신 관련 동향

2. 3G 이동통신 보안 요구사항

3. 3G 이동통신 보안 기술 - 상호인증

4. 3G 이동통신 보안 기술 - USIM 기반 서비스보안


1. 이동통신 관련 동향


• EDGE: Enhanced Data for GSM Evolution • GPRS: General Packet Radio Service • PDC : Personnel Digital Cellular

북미•

한국

유럽•

한국

일본

`95`95

All IP- IP Protocol 시스템

`99`99`00~`0`00~`0

11`01~`02`01~`02 `03~`04`03~`04 `05 ~`05 ~

IMT-2000

• 음성용량증가 (1x 2 배 )• 384k ~ 2Mbps Data• IS-95A/B 호환

IS-95AIS-95A

• 음성• 14.4 kbps circuit

• 음성• 64 kbps Packet• IS-95A 호환

• 음성용량 (1.5 배 )• 153 kbps Data• IS-95A/B 호환

1xEV-DV(Phase 2)1xEV-DV(Phase 2)

• Higher Cap Voice/ Data• IS-95A/B 호환

• 음성 28.8 kbps, PDC 호환성

PDCPDC

• 음성 9.6 kbps

PDC+PDC+

IS-136IS-136

GSMGSM

• 음성• 9.6 kbps

• 30-40 kbps Packet• GSM 호환성

• 384 kbps Packet

• High Capacity Voice• 2Mbps Data• 호환성 없음 (GSM/PDC)

1xEV-DO(Phase 1)1xEV-DO(Phase 1)

• 2.4 Mbps Data• IS-95A/B 호환

cdma2000 3xcdma2000 3x

EDGE (US)EDGE (Europe)

EDGE (US)EDGE (Europe)

W-CDMA(Europe, 한국 )

W-CDMA(Europe, 한국 )

W-CDMA (Japan)W-CDMA (Japan)

IS-95BIS-95B cdma2000 1xcdma2000 1x

GSM GPRSGSM GPRS

동기식(3GPP2)

비동기식(3GPP)

HSDPAHSDPA

• ~10Mbps Data ( 하향 )

• HSDPA : high speed downlink packet access

이동통신 Network 의 진화이동전화 규격은 동기방식 (3GPP2) 과 비 동기방식 (3GPP) 으로 나뉘어 표준화 및 기술 개발이 진행됨 - 동기 식 이동전화는 기지국에서 GPS 수신기로 기준시간을 받아 기지국간 동기를 맞춘 다음 데이터를 전송하는 방식으로 데이터 전송속도는 1xEV-DO 에서 최대 2.4Mbps 까지 제공 가능 - 비 동기 식 이동 전화는 제어 국에서 동기신호를 기지국으로 전송하여 동기를 맞춘 다음 전송하는 방식으로서 , 데이터 전송속도는 최대 2Mbps 까지 제공 가능

1. 이동통신관련동향


이동통신 서비스 환경 현황

Proxy Proxy

Proxy Proxy

contentscontents

contentscontents

Mobile Security 2.0

Full Browsing

Mobile Web 2.0

USIM 기반

Open Plaform

유무선통합서비스

?



이동통신 보안 정책 프레임워크• 보안서비스 제공을 위한 기준 집합• 이동통신망의 각 네트워크 개체 ( 모바일단말 , 응용서비스제공자 , 게이트웨이 ) 내에 존재하여 유관

보안서비스 융통성 제공• 최근은 종단간 이동통신보안 ( 모바일단말 <-> 응용서비스제공자 ) 이 화두• X.msec3 : 종단간 이동통신보안을 위한 표준

다양한 사용자를 위한 보안등급설정 , 보안알고리즘 정의 , 이동통신을 위한 보안관리가능케• 이동환경보호자산 : 정보자산 , 서비스자산 , 시스템 자산

ITU-T SG17 : 보안관련 워킹파티 (WP: working party) 종단간 이동 통신 보안을 위한 보안 정책 및 홈 네트워크 보안 프레임워크에 관한 표준화 • X.1121 : 종단간 이동 통신을 위한 보안 프레임워크• X.1122 : PKI 기반의 안전한 모바일 통신을 위한 실현 가이드라인 제시

상위보안정책 (super security policy) : 여러 개의 세부보안정책으로 나뉘어짐

최상위보안정책(High) : 강력한 인증,기밀성, 무결성, 익명성, 접근제어, 부인방지및 프라이버시보안서비스(가장 강력한 암호알고리즘, 가장 긴 암호키)

기본보안정책(baseline security policy) : 일방향 인증, 신분관리, 유용성등의 기본보안서비스 제공 무보안정책(no security policy) : 보안기능이 필요치 않거나 통신환경이 높은 보안수준으로 안전한

경우

이동통신보안정책프레임워크



2. 3G 이동통신 보안요구사항


가입자 인증 모듈 - SIM, USIM, UICC

SIM is.. ‘SIM Card’

USIM is.. ‘Application on UICC’

UICC is..‘Platform or Card’

USIM

UICC

USIM SIM UIM Etc

SIM 은 SIM Card 자체를 의미 한다 .

GSM Network 상에서 가입자 인증을 수행한다 .

정보 저장을 위한 메모리 공간을 제공 하여 다른 GSM ME 에서도 동작이 가능 하다 .

ETSI 에서 표준화 작업 진행 ( 최종 Version 은 Release 8 )

SIM Card 구현에 대한 Platform (Native / OP) 제한을 두고 있지 않다 .

SIM 은 SIM Card 자체를 의미 한다 .

GSM Network 상에서 가입자 인증을 수행한다 .

정보 저장을 위한 메모리 공간을 제공 하여 다른 GSM ME 에서도 동작이 가능 하다 .

ETSI 에서 표준화 작업 진행 ( 최종 Version 은 Release 8 )

SIM Card 구현에 대한 Platform (Native / OP) 제한을 두고 있지 않다 .

SIM 이 SIM Card 자체를 의미하는 것과 달리 USIM 은 UICC 환경에 올라가는 Network 인증 Application 으로 의미가 바뀌게 된다 .

W-CDMA Network 상에서 가입자 인증을 수행

Global Roaming 을 지원 하여 고객이 가입한 지역 이외의 Network 에서도 서비스 가능 .

3GPP 에서 표준화 작업 진행 ( 최종 Version 은 Release 8 )

SIM 이 SIM Card 자체를 의미하는 것과 달리 USIM 은 UICC 환경에 올라가는 Network 인증 Application 으로 의미가 바뀌게 된다 .

W-CDMA Network 상에서 가입자 인증을 수행

Global Roaming 을 지원 하여 고객이 가입한 지역 이외의 Network 에서도 서비스 가능 .

3GPP 에서 표준화 작업 진행 ( 최종 Version 은 Release 8 )

SIM/USIM 등 Network 인증 Application 이 갖는 전기적 / 물리적 특성을 공통화 하여 Platform 으로 정의

Network 인증 Application 뿐만 아니라 금융 / 부가 서비스 Application 이 수용 될 수 있도록 설계

여러 Application 을 공유 하기 위해 다양한 정책이 필요 .

(ex) PIN Structure, File Synchronization)

ETSI 에서 표준화 작업 진행

SIM/USIM 등 Network 인증 Application 이 갖는 전기적 / 물리적 특성을 공통화 하여 Platform 으로 정의

Network 인증 Application 뿐만 아니라 금융 / 부가 서비스 Application 이 수용 될 수 있도록 설계

여러 Application 을 공유 하기 위해 다양한 정책이 필요 .

(ex) PIN Structure, File Synchronization)

ETSI 에서 표준화 작업 진행

2G2G 3G3G



SIM/R-UIM/USIM/UICC 관련 표준화 기구

이동통신 방식 가입자 모듈 표준화 기구

GSM SIM( Subscriber Identity Module) ETSI SMG9

CDMA UIM (User Identity Module) 3GPP2

WCDMA USIM (Universal SIM) EP SCP / 3GPP TSG-T

GSM/USIM/UICC GSM/USIM/UICC CDMACDMA

CEPT 의 GSM 그룹

ETSI TC GSM 그룹

ETSI SMG9

EP SCP(ETSI Project Smart Card Platform)

3GPP(1998)

3GPP TSG-T

CDG

TTC TTA

3GPP2

TSG-C TSG-S

1994. SIM 카드만 다루는 SMG9 구성

GSM 그룹 이관

SIM 카드의 초기 규격 작업

3G 서비스에 대한 규격 작업

USIM 관련 표준화

IC 카드 표준화 담당

일반적인 IC 카드 규격 담당

사업자의 요구로 UIM표준화 논의 시작

UIM 표준규격 제정

* 표준규격은 3GPP2 의 TSG-C 통해서 만들어졌지만 주로 제조사들의 많이 참석하는 회의가 되었고 , 사업자들은 주로 CDG 등의

협의기구를 통하여 표준화 작업에 의사 반영



SIM/R-UIM/USIM/UICC 관련 단체 및 규격 규칙 민간 단체 민간 규격 국가 위원회 국가 규격

CDMA

EIATIA

IS-XX Ex) IS-95A v1 Ex) TIA/EIA/IS-820 FCC (Federal

Communications Commission, 미국연방통신위원회 )

ANSIEx) ANSI-T-STD0083GPP2

TSG-A (Access Network Interfaces)TSG-C(cdma2000®)TSG-S (Services and Systems Aspects)TSG-C (Core Networks) R (Report), S (Spec)Ex) C.S0023-A v3.0 ( TSG-C, Spec, Version )

GSM/ WCDMA

GSM Ph1, Ph2, Release 95,96,97, 98, (ETSI ) ETSI (European Telecommunications Standards Institute )

ETSI TS 131.1023GPP

Release 3,4,5,6,7,8 Ex) 3GPP TS 31.102

*EIA( Electronic Industries Alliance, 장비업체 중심 ) *TIA( Telecommunication Industry Association 통신 서비스 사업자 중심 )

OPs (Organization Partner) MRPs(Market Representation Partner )



구 분 Requirement

General

USIM Application 을 반드시 포함

USIM Application 은 가입자 정보의 저장 공간을 제공

Card Application Toolkit (CAT) 기능을 사용하는 Applet 지원

PhoneBook 기능 제공

Security

UICC 에 존재하는 File 접근 (READ/WRITE 등 ) 에 대한 Access Condition 제공

4 자리 이상의 사용자 PIN 과 8 자리의 Unblock PIN 을 제공하여 사용자 인증 수행

Network 과 상호 인증을 수행

ME 와 Network 상호 간의 무결성 (Integrity) 와 기밀성 (Confidentiality) 를 검증하는 Key 저장 .

ME 로 전송된 모든 데이타는 UICC 제거 ,USIM deselection, ME 의 비 활성화 시 삭제 되어야 함 .

Physical

ME : T=0 , T=1 Protocol 지원 (Mandatory)

UICC : T=0 (Mandatory) , T=1 Protocol (Optional) 지원

2 개 이상의 Logical Channel 지원

Logical전원을 공급할 때 마지막 active USIM 이 자동으로 선택되어 진다 .

여러 파일이나 application 에 의해 동시 접근 mechanism 이 존재한다 .

GSM Inter-working

UMTS 가입자가 UMTS 이전의 환경에서 roaming 가능 하도록 Inter-Working

Dual Mode (3G / GSM) 와 GSM Mobile Equipment 에서 사용 가능

General Requirement - USIM Requirement2. 3G 이동통신 보안요구사항


가입자 인증 - SIM / R-UIM / USIM 비교

SIM R-UIM USIM

Network GSM CDMA WCDMA

인증 방식 Challenge – Response 방식단 방향 인증 방식 Network 가 MS 를 인증

Challenge – Response 방식 상호 인증 방식 Network 및 MS 가 서로를 인증

좌 동

Key 64 bit Key sizeKi (Subscriber Key )

AK (Authentication Key, 64 bit ) AK 가 직접 사용되지 않고 Working Key 인 SSD 를 생성하여 인증에 이용

128 bit Key size Ki (Subscriber Key ) OPc (Operator Constant)

Authentication& Key

Generation Algorithm

A3(Auth) A5(Ciphering, ME-BS) A8(Ciphering Key Gen)

CAVE( 대칭 블록 알고리즘 ) Milenage ( 대칭 블록 알고리즘 ) F0, F1,F2,F3,F4,F5, F6,F7, F8,F9

인증 Parameter IMSI(TMSI)

IMSI , R-UIM ID SSD (Shared Secret Data, 128 bit) Call Count

IMSI, SQN, AMF MAC,RES CK,IK,AK AV(, ,AUTH)

인증 값 SRES AUTHBS (SSD Update ) AUTHR/AUTHU

AV , AUTN MAC/XMAC( UICC) RES/XRES (AuC)

Crypto ServiceAuthentication, Confidentiality

Authentication, Confidentiality Authentication , Confidentiality, Integrity



GSM 에서의 인증은 단말과 서비스 Network 공유한 가입자 Key Ki 를 가지고 Challenge-Response 형태의 단 방향 인증을 수행한다 . (Network 가 단말기를 인증 ) A3 는 SRES 를 생성하는 Authentication Algorithm 으로 , A8은 Kc 를 생성하는 Ciphering Key Generator Algorithm 으로 , A5 는 단말과 기지국 사이의 데이터 암호화의 Ciphering Algorithm 으로 사용됨 .

가입자 인증 - GSM 망에서의 Authentication

AuCAuCHLRHLRVLRVLRMSCMSCBSSBSSMEMESIMSIM

A3, A8, IMSI, Ki

TMSI/LAI, Kc A5 A5 TMS, IMSI, Kc A3, A8, IMSI, Ki RAND, SRES, Kc

TMSI( IMSI)

RAND, SRES, Kc

SRES = A3(Ki, RAND)

Kc = A8(Ki, RAND)

RAND

SRES = A3(Ki, RAND)

Kc = A8(Ki, RAND)SRES

Verify SRES

네트워크가 사용자를 인증

인증벡터 AV= { RAND, SRES, Kc }s



3. 3G 이동통신 보안기술 – 상호인증


EAP-AKA (Authentication and Key Agreement)

단말과 기지국ㆍ제어국 등 네트워크간에 암호화된 키 값과 UICC(Universal IC 카드 ) 의 고유 아이디값의 상호 일치 확인 , 사용자의 identity 는 인증벡터를 추출하는 기본벡터로 활용하여 상호인증 수행

인증 및 키 일치 메커니즘 , challenge-response 메커니즘과 대칭적 암호화를 기반으로 하며 , USIM 에서 동작 사용자의 비밀 데이터 (IMSI, Identity) 및 키 값을 USIM 을 이용해 안전하게 관리 USIM 카드에서 EAP 패킷을 모두 처리함으로써 단말 플랫폼 경량화 향후 예상되는 2G-3G 망간의 데이터 서비스 연동에 일관되게 대응 다양한 Terminal/Bearer 수용 초기에 Identity 를 위한 전달과정과 실제 인증과정 수행함으로써 프로토콜의 오버헤드가 증가

기지국/제어국 AAA(인증서버)휴대폰

네트워크 접속

ID 요청

USIM내 ID 전송(IMSI)

인증값 전송

인증값 전송

휴대폰 인증

AAA 서버 인증

3. 3G 이동통신 보안기술 - 상호인증


홈네크워크 표준에서 정의된 디바이스인증서를 기반으로 한 인증기술로 PKI 기반 구조이나 사용자 개입 없음 디바이스 별 하드웨어 고유정보와 조합 ( 사용자정보 조합가능 ) 다양한 디바이스 발급 -휴대폰 , USIM, 메모리카드 다양한 Layer – 어플리케이션기반이나 다양한 서버 / 망 적용가능 향후 예상되는 2G-3G 망간의 데이터 서비스 연동에 일관되게 대응 다양한 인증 - 디바이스 / 네트워크 / 사용자 /컨텐츠

Device Certificate based on PKI

RA/CA 서비스 서버휴대폰

인증서 발급 요청

디바이스 인증서 발급

인증서 로그인

서비스 제공인증성공

서비스신청

서비스사용

Signed Data

전자서명( 데이터

관계없음 )서명검증

인증성공전자서명

Signed Data서명검증인증성공



항목 PKI 기반 디바이스인증 기존 EAP-AKA

인증속성 상호인증 단방향인증 상호인증

인증방식 공개키 대칭키 EAP 기반 대칭키

인증내용 단말 / 사용자 상호인증 사용자인증 ( 서버사이드 ) 단말 / 사용자 상호인증

인증키교환 인증서발급 시 키 생성키분배 없음

기지국은 단말의 공개키로 암호화해 인증키를 직접분배

인증서버는 AAA-key 를 단말에 분배하고 AAA-key 로 부터 단말 ,인증서버는 인증키 자체생성

초기작업 인증서발급 BPS 로 부터 인증키 발급 및 proxy 에 저장

없음

인증절차 E2E<-> 인증서버인증과정

E2E 3 단계인증과정

E2E<-> 인증서버Identity 전달과정과 인증과정

보안위협 키 분배 없음에 따라 보안 위협 없음

온라인을 통한 인증키 분배 시 보안위협

온라인을 통한 인증키 분배 시 보안위협

접속 시 인증과정

단말 <-> 서비스서버 ,proxy 서버접속데이타에 전자서명/ 검증을 통한 상호인증

단말 <->Proxy 서버확장된 http header 에 식별자 전송실별자를 통해 challenge-response 로 사용자인증

단말 <-> 기지국AAA 인증서버를 통해 발급된 id 확인 MAC, RES 를 통한 상호인증

인증매커니즘 기술 비교 13. 3G 이동통신 보안기술 - 상호인증

유비쿼터스 정보보호 Workshop 2008

항목 PKI 기반 디바이스인증 기존 EAP-AKA

인증특징

• PKI 기반 디바이스 인증• 디바이스의 고유번호와 인증서를 조합하여 인증수행

• 개통 시 단말기에 고유 ID 를 부여하고 이를 인증 값으로 사용( 해당 값은 임의접근불가 영역에 저장하여 복제 방지함 )• HTTP Proxy G/W 를 통해 인증

• WCDMA 표준 인증 AKA 알고리즘• USIM 에 저장된 고유 값을 가입자 인증 수단으로 사용• 사용자인증을 위해 PKI 로의 확대 가능

보안수준

• RSA 1024bit 의 높은 보안성•128bit 의 3DES, SEED등 지원• USIM 등 개별확대가능• secure storage 사용• 고

• 대칭키 기반 • 고유 ID를 조합한 Challenge-Response• secure storage 사용•저

•대칭키 기반 • USIM 사용•중

인증 속성

• 단말에서 서버로 인증서전달로 인증수행• 양방향 인증지원

• Challenge-Response 방식으로 단말기 인증

• 양방향 인증• 프로토콜 오버헤드

성능 인증서버를 통한 인증으로 사용자 확대 시 기지국 / 응용서버 오버헤드 없음

•사용자확대 시 Proxy G/W 오버헤드 인증서버를 통한 인증으로 사용자 확대 시 기지국 / 응용서버 오버헤드 없음

비용

• S/W 적으로 구현• 기존 단말기의 S/W 업그레이드로 사용가능• 대상 단말기에만 적용가능

• 기존 시스템과 호환되지 않음• 전체 시스템에 적용필요( 단말기는 식별자를 지원하지 않는 site에서 인증을 수행할 수 없음 , 단말기 및 모든 사이트에 적용 필요 )

• 단말기가 USIM 을 지원해야 함• USIM 을 지원하지 않는 기존 단말기 사용불가 발생

인증매커니즘 비교 23. 3G 이동통신 보안기술 - 상호인증


상호인증 적용 제언

인증매커니즘의 경우 구현 정도에 따라 성능의 차이가 있으나 기본적으로 아래와 같은 특징 차이가 있으며 보안성 / 적용용이성 / 경제성 측면에서 효율적인 매커니즘을 결정해야 함 .

• EAP-AKA– 양방향이며 인증서버 활용으로 사용확대에 대한 오버헤드 분산– 대칭키기반이며 초기 키분배에 따른 보안위협 존재로 보안수준미비– 네트워크 인증위주로 사용자인증 제공하나 확대 어려움– 두번의 인증절차로 프로토콜 오버헤드에 따른 성능 문제 예상– 모든 대상 시스템 적용 고려– 기존 AAA 서버 확대 개발 가능 예상

• PKI 기반 디바이스인증– 양방향이며 인증서버 활용으로 사용확대에 대한 오버헤드 분산– 보안수준 최고– 디바이스 / 사용자 인증 용이– 모든 대상 시스템 / 어플리케이션 적용 용이



4. 3G 이동통신 보안기술

- USIM 기반 서비스보안


• USIM 기능의 확장 및 UICC 의 성능 향상으로 다양한 응용서비스 본격화를 대비하여 UICC 기반의 Security Service Module 에 대한 필수인프라로 요구됨 .

• 현재 UICC card 에 자체 Crypto 기능을 확대하여 제공하고 있으나 , Crypto 알고리즘과 키관리 기능 정도

• 국내 실정에 맞는 공인인증이나 DRM, 디바이스 인증에 활용하기에는 많은 보안기능 추가가 필요함 .

• 응용 인증 , 서명 , DRM, 보안 e-mail, 결제 , 뱅킹 . 애플리케이션 다운로드 등에 사용 가능하며 , 각 애플리케이션이 사용하는 API 와 키를 공통으로 제공하여 공간을 절약할 수 있는 Security Service Platform 이 요구됨 .

USIM 서비스 보안 동향4. 3G 이동통신 보안기술 -USIM

서비스보안


‘USSM(UICC Security Service Module) TS 102 266 (stage 1)’

• ETSI 에서 정의한 UICC 보안 모델• 보안 관련 데이터저장 / 데이터 접근 통제 /API 를 통한 UICC 애플리케이션 보안 서비스 제공 표준 모델 표준화 진행 (TS 102 266)• UMTS 기반의 목적 및 요구사항 정도만 정의된 상태• WCDMA 기반 UICC security Service Module 설계 및 개발이 요구됨 .

USSM

ETSI(European Telecommunications Standards Institute)

USSM(UICC Security Service Module) 아키텍쳐

4. 3G 이동통신 보안기술 -USIM서비스보안


UICC 보안기능 분석 (SUN Java Card Ver 2.2.2)

UICC Javacard platform 제공보안기능

• javacardx.security : security 와 cryptography 기능을 구현하고 제어할 수 있도록 javacard.security 의 확장패키지

• javacard.framework.service SecurityService : Service security status 조회할 수 있는인터페이스

• 대칭키 : AESKey, DESKey, KoreanSEEDKey• 공개키 : DSAKey, DSAPrivateKey, DSAPubilicKey• ECKey, ECPrivateKey, ECPublicKey• RSAPrivateCrtKey, RSAPrivateKey, RSAPublicKey• 해쉬 : HMACKey• 메시지다이제스트 : InitializedMessageDigest, Messa

geDigest• 키관리 : Key, KeyAgreement, KeyBuilder, KeyPair• 서명 : Signature , SignatureMessageRecovery• 기타 : PrivateKey , PublicKey, RandomData• SecretKey, Checksum, CryptoExcepion

H/W

COS

J ava Card Platform

ServiceApplet 1

ServiceApplet 1…

Crypto연산

J avacard.security

application

H/W

COS

J ava Card Platform

ServiceApplet 1

ServiceApplet 1…

Crypto연산

J avacard.security

application



USIM 기반 서비스보안 제언

• 사용자편의성 / 보안성 확보• 디바이스에 독립적인 모듈 개발• 다양한 보안기능 통합구현 (PKI, TLS, DRM, Code signning 등 )• UICC 리소스를 고려한 최적화 통합모듈 설계• USIM LocK 해제 시에도 보안성을 유지할 수 있도록 비인가된 하드웨어 및 단말

프로그램으로부터 UICC 의 비밀정보가 노출되지 않도록 설계

• 서비스용이성 / 성능 향상• 단말 어플리케이션과의 연계를 위해 기존 단말 모바일보안플랫폼과의 연동• UICC 나 서비스에 의존적이지 않도록 다운로더블 applet 형태로 개발• 모듈화된 설계로 적용의 경제성 보장• 향후 예상 가능한 서비스와 현재 유선 상에서 제공되고 있는 보안 서비스 및 프로토콜 들에 대한 고려 설계

• Javacard Platform Security 인터페이스를 통해 H/W 기반 암호알고리즘 연산으로 고성능 암호화 연산 보장

• 범용성 • 다양한 단말과의 호환을 위해 표준화된 인터페이스 (PKCS#11) 구현• USSM(UICC Security Service Module) TS 102 266 표준 아키텍쳐 수용


Documents

“ 3G 이동통신보안 ” security in 3G Mobile Communication