| Simple Secure Transfer v1.0 |
- 개요
2005년 시행된 "정보통신망 이용 촉진 및 정보보호 등에 관한 법률" 및 "개인정보의 기술적,관리적 보호조치 기준" 법안에 따라, 영리목적의 모든 사이트에서는 개인정보(비밀번호 혹은 주민번호, 전화번호 등 개인신상정보)의 보안을 위해 보안서버를 구축해야합니다.
이에 따라 한국정보보호진흥원(KISA)에서는 보안서버 구축을 위해 SSL과 응용프로그램(예를들어 ActiveX)방식중 한가지는 설치되어야 한다고 권고하고 있습니다.
보안수준으로선 키로거까지 보안 가능한 응용프로그램방식이 우수하나, 구축비용이 비싸며 ActiveX설치를 기피하는 유저성향때문에 SSL을 이용한 보안서버 구축이 많은 관심을 받고 있습니다. 하지만 SSL역시 호스팅계정을 이용중인 영세 사이트에서 구축하기엔 만만치 않은 비용과 불편함을 감수해야합니다.
따라서 본 프로그램은 SSL보호수준의 데이터 암호화 송수신을 인증서 설치 없이 구현할 수 있도록 만들어졌습니다.
- 환경
SSL의 암호화 수준에 최대한 근접하기 위하여 전자서명에서 많이 사용중인 RSA 비대칭 암호화 알고리즘(기본 512bit)을 사용하였습니다.
암호화 모듈 (JavaScript)
복호화 모듈 (ASP.NET 2.0 - C#)
- 동작원리
본 프로그램의 예제소스처럼, 아이디와 패스워드를 입력한 후 버튼클릭시 정보를 서버에 전송하는 화면을 기준으로 프로세스를 설명하도록 하겠습니다.
1.보안이 필요한 데이터를 암호화 - 사용자가 아이디와 패스워드를 입력한 후 "전송"버튼을 클릭하면 JavaScript를 통해 WebServer에 있는 공개키(PublcKey)를 XML로 읽어와, 공개키를 이용하여 아이디와 패스워드를 암호화하고 HiddenField에 입력합니다. (이때 원본 TextBox의 값을 공백처리하여 암호화되지 않은 데이터가 전송되지 않게 주의하십시오.)
2.암호화된 데이터 전송 - 1번에서 문제없이 암호화가 완료되었다면 Form Submit을 발생시켜 암호화된 데이터가 서버로 전송됩니다.
3.암호화된 데이터를 복호화 - 비밀키(PrivateKey)를 이용하여 클라이언트로부터 전송받은 암호화된 HiddenField의 값을 복호화하여 원하는 처리를 합니다.
- 예제파일안내
| /Web.Config |
공개키와 비밀키파일 경로를 세팅합니다. |
| /Default.aspx |
로그인폼으로 디자인된 예제파일입니다. |
| /GenerateKey.aspx |
공개키와 비밀키를 생성하는 파일입니다. (생성된키를 PublicKey.xml과 PrivateKey.config파일에 각각 저장해 주십시오.) |
| /SST/SST.js |
클라이언트에서 사용하는 암호화 스크립트 파일입니다. |
| /SST/SimpleSecureTransfer.cs |
서버에서 사용하는 복호화 클래스 파일입니다. |
| /SST/PublicKey.xml |
클라이언트에서 사용하는 공개키 XML파일입니다. |
| /SST/PrivateKey.config |
서버에서 사용하는 비밀키 XML파일입니다.(외부접근을 막기위해 .config확장자로 구성되었습니다.) |
| 참조 |
RSA복호화를 위해 System.Security를 추가참조해야 합니다. |
- 소스다운로드
- 예제
-
|
출처 : http://kuimoani.tistory.com/entry/SSL없이-무료로-쉽게-보안서버-구축하기-SST-v10
