FIDO: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
(6 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
[[분류:표준]][[분류:조직/단체]] | |||
;Fast IDentity Online | ;Fast IDentity Online | ||
= 종류 = | == 개념 == | ||
== UAF(Universal Authentication Framework) 스펙 == | * FIDO 연합(Alliance): 지문 등 [[바이오인식]]을 활용해 아이디와 비밀번호 방식보다 간편하고 보안성 높은 인증체계를 만드는 글로벌 연합조직(2012년 7월 조직) | ||
** 구글, 레노버, 마스터카드, 마이크로소프트, 페이팔, 삼성전자, LG전자 등 153개 기업 참여 | |||
* FIDO 표준: FIDO 연합에서 제시한 사용자 인증 방안 | |||
** 다양한 인증 방안에 대해 포괄적인 개념을 정의하며 구체적인 인증기술은 다루지 않음 | |||
== 종류 == | |||
=== [[FIDO UAF|UAF(Universal Authentication Framework) 스펙]] === | |||
;패스워드를 대체하는 사용자 인증 방식 | ;패스워드를 대체하는 사용자 인증 방식 | ||
* 사용자는 휴대단말에 저장된 생체정보를 이용하여 온라인 서비스에 등록 | * 사용자는 휴대단말에 저장된 생체정보를 이용하여 온라인 서비스에 등록 | ||
Line 7: | Line 14: | ||
* 사용자는 더 이상 패스워드를 입력할 필요가 없음 | * 사용자는 더 이상 패스워드를 입력할 필요가 없음 | ||
== U2F(Universal 2nd Factor) 스펙 == | === U2F(Universal 2nd Factor) 스펙 === | ||
;인증을 강화하기 위한 별도의 인증을 추가하는 방식 | ;인증을 강화하기 위한 별도의 인증을 추가하는 방식 | ||
* 사용자는 기존과 동일하게 user id 와 password 로 로그인 수행 | * 사용자는 기존과 동일하게 user id 와 password 로 로그인 수행 | ||
Line 13: | Line 20: | ||
* 사용자는 USB 또는 NFC 디바이스의 버튼을 누름으로써 인증 완료 | * 사용자는 USB 또는 NFC 디바이스의 버튼을 누름으로써 인증 완료 | ||
= 시스템 구성 = | == 시스템 구성 == | ||
== 생체인식 기반 로컬 인증 == | === 생체인식 기반 로컬 인증 === | ||
* FIDO 클라이언트: FIDO 서버의 정책에 따라 인증자를 필터링하고 ASM과 RP 클라이언트 간의 중계 역할 | * FIDO 클라이언트: FIDO 서버의 정책에 따라 인증자를 필터링하고 ASM과 RP 클라이언트 간의 중계 역할 | ||
* ASM(Authenticator Specific Module): FIDO 클라이언트의 요청을 인증자로 전달하고 인증자에서 생성된 응답 값을 FIDO 클라이언트로 전달하는 중계역할을 수행 | * ASM(Authenticator Specific Module): FIDO 클라이언트의 요청을 인증자로 전달하고 인증자에서 생성된 응답 값을 FIDO 클라이언트로 전달하는 중계역할을 수행 | ||
* 인증자(Authenticator): 생체 인증 등으로 사용자를 사용자 단말에서 로컬 인증하고 서버에서의 원격 인증을 위한 공개키/개인키 쌍을 생성하여 개인키를 이용해 전자서명을 수행 | * 인증자(Authenticator): 생체 인증 등으로 사용자를 사용자 단말에서 로컬 인증하고 서버에서의 원격 인증을 위한 공개키/개인키 쌍을 생성하여 개인키를 이용해 전자서명을 수행 | ||
== 온라인 인증 프로토콜 == | === 온라인 인증 프로토콜 === | ||
* FIDO 서버: 인증장치에 대한 정책을 설정하고 사용자의 공개키를 등록·관리 및 검증 | * FIDO 서버: 인증장치에 대한 정책을 설정하고 사용자의 공개키를 등록·관리 및 검증 | ||
= 동작 절차 = | == 동작 절차 == | ||
;FIDO 는 등록(Registration) 과정을 통해 새로운 공개키 쌍을 생성하여 그 공개키를 서버에 등록하고, 이후 인증(Authentication) 시에는 단말의 개인키로 서명한 메시지를 서버의 공개키로 검증함으로써 사용자 인증을 수행 | ;FIDO 는 등록(Registration) 과정을 통해 새로운 공개키 쌍을 생성하여 그 공개키를 서버에 등록하고, 이후 인증(Authentication) 시에는 단말의 개인키로 서명한 메시지를 서버의 공개키로 검증함으로써 사용자 인증을 수행 | ||
== 등록(FIDO Registration) == | === 등록(FIDO Registration) === | ||
# 사용자가 온라인 인증 방식을 FIDO 로 선택 | # 사용자가 온라인 인증 방식을 FIDO 로 선택 | ||
# 사용자는 단말에 등록된 지문과 동일지문을 통해 본인 인증 | # 사용자는 단말에 등록된 지문과 동일지문을 통해 본인 인증 | ||
Line 30: | Line 37: | ||
# 공개키는 온라인으로 전송되어 사용자 계정과 연결되어 짐 | # 공개키는 온라인으로 전송되어 사용자 계정과 연결되어 짐 | ||
== 인증(FIDO Authentication) == | === 인증(FIDO Authentication) === | ||
# 서비스 제공자는 사용자에게 기존에 등록된 단말로 로그인 할 것을 알림 | # 서비스 제공자는 사용자에게 기존에 등록된 단말로 로그인 할 것을 알림 | ||
# 사용자는 등록 시 사용한 동일지문을 통해 본인 인증 | # 사용자는 등록 시 사용한 동일지문을 통해 본인 인증 | ||
# 단말에서는 해당하는 개인키를 사용하여 서버 메시지를 서명함 | # 단말에서는 해당하는 개인키를 사용하여 서버 메시지를 서명함 | ||
# 서명된 메시지는 온라인으로 전송되어 공개키로 검증 후 로그인 완료됨 | # 서명된 메시지는 온라인으로 전송되어 공개키로 검증 후 로그인 완료됨 |
Latest revision as of 11:10, 21 August 2019
- Fast IDentity Online
개념[edit | edit source]
- FIDO 연합(Alliance): 지문 등 바이오인식을 활용해 아이디와 비밀번호 방식보다 간편하고 보안성 높은 인증체계를 만드는 글로벌 연합조직(2012년 7월 조직)
- 구글, 레노버, 마스터카드, 마이크로소프트, 페이팔, 삼성전자, LG전자 등 153개 기업 참여
- FIDO 표준: FIDO 연합에서 제시한 사용자 인증 방안
- 다양한 인증 방안에 대해 포괄적인 개념을 정의하며 구체적인 인증기술은 다루지 않음
종류[edit | edit source]
UAF(Universal Authentication Framework) 스펙[edit | edit source]
- 패스워드를 대체하는 사용자 인증 방식
- 사용자는 휴대단말에 저장된 생체정보를 이용하여 온라인 서비스에 등록
- 등록된 사용자는 온라인 인증이 필요할 때마다 생체인식만으로 인증 완료
- 사용자는 더 이상 패스워드를 입력할 필요가 없음
U2F(Universal 2nd Factor) 스펙[edit | edit source]
- 인증을 강화하기 위한 별도의 인증을 추가하는 방식
- 사용자는 기존과 동일하게 user id 와 password 로 로그인 수행
- 서비스 제공자는 사용자에게 2nd 인증방식을 수행하도록 알림
- 사용자는 USB 또는 NFC 디바이스의 버튼을 누름으로써 인증 완료
시스템 구성[edit | edit source]
생체인식 기반 로컬 인증[edit | edit source]
- FIDO 클라이언트: FIDO 서버의 정책에 따라 인증자를 필터링하고 ASM과 RP 클라이언트 간의 중계 역할
- ASM(Authenticator Specific Module): FIDO 클라이언트의 요청을 인증자로 전달하고 인증자에서 생성된 응답 값을 FIDO 클라이언트로 전달하는 중계역할을 수행
- 인증자(Authenticator): 생체 인증 등으로 사용자를 사용자 단말에서 로컬 인증하고 서버에서의 원격 인증을 위한 공개키/개인키 쌍을 생성하여 개인키를 이용해 전자서명을 수행
온라인 인증 프로토콜[edit | edit source]
- FIDO 서버: 인증장치에 대한 정책을 설정하고 사용자의 공개키를 등록·관리 및 검증
동작 절차[edit | edit source]
- FIDO 는 등록(Registration) 과정을 통해 새로운 공개키 쌍을 생성하여 그 공개키를 서버에 등록하고, 이후 인증(Authentication) 시에는 단말의 개인키로 서명한 메시지를 서버의 공개키로 검증함으로써 사용자 인증을 수행
등록(FIDO Registration)[edit | edit source]
- 사용자가 온라인 인증 방식을 FIDO 로 선택
- 사용자는 단말에 등록된 지문과 동일지문을 통해 본인 인증
- 단말에 단말/서비스/사용자계정에 대해 유일한 개인키/공개키쌍이 생성됨
- 공개키는 온라인으로 전송되어 사용자 계정과 연결되어 짐
인증(FIDO Authentication)[edit | edit source]
- 서비스 제공자는 사용자에게 기존에 등록된 단말로 로그인 할 것을 알림
- 사용자는 등록 시 사용한 동일지문을 통해 본인 인증
- 단말에서는 해당하는 개인키를 사용하여 서버 메시지를 서명함
- 서명된 메시지는 온라인으로 전송되어 공개키로 검증 후 로그인 완료됨