ETRI-Knowledge Sharing Plaform

- 본 이전기술은 분실 및 도난의 가능성과 악성코드 위협이 높은 스마트단말 환경에서 가상화 모듈을 통해 기존의 모바일 OS(안드로이드OS)가 동작하는 일반영역과 보안 기능을 제공하는 보안영역으로 운영환경을 분리하여, 스마트단말 내의 민감 정보을 보호하고 처리하는데 있어 안정한 운영환경을 제공하는 가상화 기반 보안플랫폼 기술임
- 본 기술은 스마트단말 내 가상화 기반 보안플랫폼 구조를 제공하기 위해 크게, "보안플랫폼 접속제어 및 관리 기술"과 "보안플랫폼 기반 보안엔진 기술", "보안플랫폼 API 및 추상화 기술"로 구성되어 있음

- 본 기술은 모바일OS(안드로이드OS) 환경에서 운영되는 악성코드의 위협으로부터 데이터를 보호하기 위해, 스마트단말용 가상머신 모니터를 통해 모바일OS 영역인 일반 영역과 보안 기능 수행을 위한 보안영역을 분리하고, 보안영역에 보안 기능을 수행하는 보안플랫폼을 운영함으로써, 보안플랫폼 내의 데이터 보호 및 보안 기능 수행에 안전을 보장하는 것이 목적임

(장점)
- 진화하는 스마트 단말의 악성 코드로부터 단말 내 중요 정보의 유출을 방지할 수 있는 플랫폼 수준의 보안 구조를 제공함
- 특히, 암호키, 인증서 등과 같은 민감 정보의 안전한 보호가 가능하여 관련 서비스의 신뢰도를 높일 수 있음
(인증 결과의 신뢰도 향상(신뢰 인증), 암호 연산의 신뢰도 향상(데이터 보호의 신뢰도 향상))
- 소프트웨어적인 기법을 적용함으로써 비용 절감 및 배포 용이

(기술 상세 사양)
- 영역 분리된 보안플랫폼 접근 통제 강화를 위한 앱 및 사용자 2단계 인증 구조
- 일반영역에서 분리된 보안플랫폼 기능 이용을 위한 제한된 보안API 라이브러리
- 영역 분리된 보안플랫폼 내의 안전저장 기술을 통한 데이터 기밀성 및 무결성 지원
- 영역 분리된 보안플랫폼 기반 FIP-196 표준 인증 규격 준수
- KCMVP Level 1 기준을 준수하는 암호 알고리즘 제공(ARIA, SEED 포함)
(블록 암호, 비대칭키 암호, 해쉬 & MAC, 전자서명, 난수생성 알고리즘)
- 암호키 노출 방지형(White-Box 기반) 키생성 및 관리 기능

- 본 기술이전은 가상머신 모니터 기술 기반의 실행환경 분리를 제공하고, 실행환경의 폐쇄성 여부에 따라 “일반영역(모바일OS 영역)”과 “보안영역(보안플랫폼)”으로 분리하고 보안이 요구되는 기능들을 보안영역 내부에서 독립적으로 실행시키는 보안플랫폼 기술임
- 본 기술은 스마트단말 가상화 기반의 보안플랫폼 구조를 제공하기 위해 크게 “보안플랫폼 접속제어 및 관리 기술”, “보안플랫폼 기반 보안엔진 기술”, “보안플랫폼용 보안API 및 추상화 기술”로 구성되어 있음

A. 기술명 : 보안플랫폼 기반 보안엔진 기술
안드로이드OS와 분리된 보안영역에서 운영되는 “보안플랫폼 기반 보안엔진 기술”은 분리된 보안영역에서 데이터 처리를 수행하는 보안엔진

-> KCMVP 대응 암호 알고리즘
- 대칭키 암호 : AES, SEED, ARIA (모드 : ECB/CBC/CTR/CFB/OFB)
- 공개키암호 : RSA-1024, RSA-2048
- 전자서명: KCDSA_1048, KCDSA_2048,
- 해쉬함수 : SHA224, SHA256, SHA384, SHA512
- 난수생성기: HMAC_DBRG
-> 화이트박스 기반 키관리 기능
- 화이트박스(WB)를 이용한 키 생성 알고리즘
-> 안전한 저장관리(Secure Storage) 기능
- 중요 데이터의 안전한(암호화, 무결성 검증) 저장/관리

B. 기술명 : 보안플랫폼 접속제어 및 관리 기술
안드로이드OS와 분리된 보안영역에서 운영되는 ”보안플랫폼 접속제어 및 관리 기술”은 분리된 보안영역으로의 접근 제어 및 접근 관리를 위해 인증 및 접근제어, 메시지 관리 등의 기능으로 구성됨.
일반영역에서 전달된 보안 API에 해당하는 추상화 라이브러리를 호출할 수 있도록, 일반영역에서 호출된 보안 API 메시지를 해석 및 관리하는 기능을 포함하고 있음.

-> 보안영역 접근에 대한 2-Facotr 인증(Admission) 기능
- 보안영역 접근 허가앱 인증
- 사용자 PIN 인증
-> 보안영역 접근제어(Access Control) 및 메시지 관리 기능
- 2-Factor 인증을 통한 영역 간 통신 채널 제공
- 인증 정보 기반 세션 관리(생성/삭제/타임아웃/갱신)
- 통신채널 신뢰성 확보를 위한 채널 암호화
- 영역 간 송수신 메시지 관리 및 보안 서비스 호출 관리

C. 기술명 : 보안플랫폼용 보안 API 및 추상화 기술
“보안 API 및 추상화 기술”은 일반영역(안드로이드OS)의 보안서비스(앱)가 분리된 보안플랫폼의 보안 기능을 사용할 수 있도록 개발자에게 제공된 API와 일반영역에서 제공된 API의 실제 구현을 제공하는 보안영역(보안플랫폼)에서의 추상화 라이브러리로 구성됨.
일반영역에서 호출된 보안 API 내용을 분리된 보안영역에 전달하고 수행된 결과를 보안서비스(앱)에게 전달하는 메시지를 관리하는 기능을 포함하고 있음.

-> 일반영역에서의 보안플랫폼 활용을 위한 보안API 주요 기능
- 안전저장 및 메모리 관리용 IF
- 사용자 접근제어용 PIN 관리 IF
- 보안영역 채널 및 세션 생성 IF
- FIPS-196 표준 규격 기반 RSA/KCDSA 서명 생성/검증용 IF
-> 보안영역의 보안서비스 추상화 기능
- 안전저장 및 메모리 관리 라이브러리 구현
- 사용자 접근제어용 PIN 관리 라이브러리 구현
- 보안영역 채널 및 세션 생성 라이브러리 구현
- FIPS-196 표준 규격 기반 RSA/KCDSA 서명 생성/검증 라이브러리 구현
-> 일반영역 메시지 관리 기술
- 멀티 채널 지원 메시지 통신 구조 제공
A. 기술명 : 보안플랫폼 기반 보안엔진 기술
- 시스템설계서 중 해당 기술 부분
- 보안플랫폼 기반 보안엔진 source code
- 해당 기술 시험문서

B. 기술명 : 보안플랫폼 접속제어 및 관리 기술
- 시스템설계서 중 해당 기술 부분
- 보안플랫폼 접속제어 및 관리 source code
- 해당 기술 시험문서

C. 기술명 : 보안플랫폼용 보안 API 및 보안서비스 추상화 기술
- 시스템설계서 중 해당 기술 부분
- 보안 API 및 추상화 source code
- 해당 기술 시험문서

- 휴대 단말 및 이동 환경에서 높은 보안성을 요구하는 보안 강화형 특수 단말로 활용(예, 안전재난 서비스용 스마트 보안단말)
- 군 경계 상황 등 보안이 철저히 요구되는 분야에서 발생하는 긴급 상황의 신뢰된 전파 및 정보 유출 방지를 위한 보안 단말 플랫폼으로 활용(상황 전파용 스마트 보안단말)
- 모바일 환경에서 스마트워크 및 원격 업무 제공시 사용자 인증 정보 및 중요 정보 유출 방지를 위한 보안 단말 플랫폼으로 활용(모바일 오피스용 스마트 보안단말)
- 특정 구성원 간의 문자/음성 정보의 안전한 전달 및 관리를 위한 보안 단말 플랫폼으로 활용 가능(보안 통신용 스마트 보안단말)
- IoT 등 융합 단말 제품에서 안전한 키 및 중요 정보 처리의 보안성을 제공하는 보안플랫폼으로 적용 가능(Ex. IoT 게이트웨이 보안플랫폼 및 셋탑박스 보안플랫폼 등) (융합서비스 단말 보안)
- 휴대성 및 이동성의 특징을 기반으로 한 스마트단말 기반 서비스에서 스마트단말의 보안 문제(정보 유출, 신원 도용 등)를 원천적으로 해결할 수 있는 보안 구조를 제공하여, 해당 서비스의 활성화에 기여할 것으로 기대됨