지급결제시스템에서 토큰 발급 시 개인정보유출 방지에 관한 연구
- 주제(키워드) 지급결제시스템 , 토큰
- 발행기관 아주대학교
- 지도교수 홍만표
- 발행년도 2016
- 학위수여년월 2016. 2
- 학위명 석사
- 학과 및 전공 일반대학원 지식정보공학과
- 실제URI http://www.dcollection.net/handler/ajou/000000021790
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
최근 지급결제서비스의 핵심 보안 기술은 토큰화(Tokenization)이다. IT 기술에서 토큰화란 민감한(Senstive) 데이터를 민감하지 않은(Non-Senstive) 데이터인 토큰(Token)으로 치환하는 것을 의미한다. 사용자가 결제토큰 발급을 위해서는 사용자의 실제 정보로 인증을 받아야 한다. 사용자는 인증을 위한 정보를 서비스제공자가 제공하는 어플리케이션에 입력을 한다. 어플리케이션에서는 서비스제공자 서버로 인증정보를 전송하고, 서비스제공자 서버에서는 PAN(Primary Account Number)를 기준으로 카드사의 네트워크를 선택하여 인증 정보를 전송하여 토큰 발급 절차를 수행한다. 결제토큰 발급을 위한 사용자 인증 절차에서 서비스제공자 서버는 카드사의 네트워크를 선택하기 위한 기준인 PAN 정보를 제외한 다른 인증 정보는 필요 없지만, 모든 데이터들은 서비스제공자의 서버를 거쳐 전송된다. 만약 서비스제공자 서버에서 내부 공격자(Inside Attacker), 스니핑(Sniffing), 중간자 공격(Man-In-the-Middle Attack) 등이 발생한다면, 개인정보유출은 물론 부정거래에 사용될 가능성이 있다. 본 논문에서는 기존의 결제토큰 발급절차를 분석하여, 기존의 시스템 구성을 최대한 변경하지 않고, 서비스제공자 서버에서 사용자 개인정보유출에 대한 보안성을 향상할 수 있는 방안에 대해 제안한다.
more목차
제 1 장 연구배경 및 목적 1
제 2 장 관련연구 4
제 1 절 지급결제 시스템 4
제 1 항 지급결제 카드의 구성 4
제 2 항 지급결제 카드의 검증체계 6
제 3 항 지급결제시스템의 구성 8
제 4 항 지급결제시스템의 역사 9
제 2 절 토큰화(Tokenization) 13
제 1 항 토큰(Token)의 정의 13
제 2 항 토큰(Token)의 특징 14
제 3 항 토큰(Token)의 보안요구 특성 15
제 4 항 토큰(Token)의 보안요구 사항 16
제 3 절 기존 토큰 시스템 17
제 1 항 토큰 발급을 위한 인증 정보 명세 17
제 2 항 유즈케이스 다이어그램 18
제 3 항 기존 토큰발급을 위한 사용자 인증 절차 20
제 4 항 기존 결제토큰시스템에서의 결제 절차 21
제 5 항 기존 결제토큰시스템의 취약점 22
제 3 장 제안하는 토큰발급 절차 24
제 1 절 공개키 기반 암호화 알고리즘 24
제 1 항 제안하는 토큰발급 절차 24
제 2 항 키 관리 문제와 해결 방법 27
제 2 절 대칭키 기반 암호화 알고리즘 29
제 1 항 제안하는 토큰발급 절차 29
제 2 항 발생 가능한 문제와 해결 방법 32
제 4 장 보안성 검토 33
제 1 절 정보 유출 및 재사용 공격 33
제 2 절 제안하는 인증 절차 분석 34
제 5 장 결론 및 향후연구 35
참고문헌 36
Abstract 38
