Transcript 용어 및 약어
2009. 05. 25.
OSLAB 석사 3학기
최규호
[email protected]
목차
1. 용어 및 약어
2. 서론
3. 관련연구
4. 시스템 설계
5. 시스템 설계(구현)
6. 결론
7. 참고문헌
1. 용어 및 약어
SSO(single Sign-On)
- 사용자가 네트워크에 한번 로그온하여, 기업 내의 허가된 모든 자원에 접
근할 수 있는 능력이다. SSO 프로그램은 사용자 아이디와 암호를 받아들
여서, 적절한 모든 서버에 자동적으로 로그온 한다. 마이크로소프트의 패
스포트와 같은 SSO 서비스는 웹사이트에서의 사용이 점차 늘고 있다.
IKE(Internet Key Exchange)
- RFC 2409에 규정되어 있으며 IPSEC(IP security protocol)을 암호화하는
데 사용된다. 일반적으로 데이터의 암호화는 세션마다 임의의 암호 키를
생성, 실시한다. 동일한 암호 키를 오랫동안 사용하면 밝혀지기 쉬우므로,
IKE는 송신 측에서 수신 측이 생성한 암호 키를 상대방에게 안전하게 송
신하기 위한 방법이다. RSA법 및 디피 헬만(Diffie-Hellman)법 등의 암호
기술을 사용한다.
3
1. 용어 및 약어
ISAKMP(internet security association & key management protocol)
- 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약.
IPSEC(IP security protocol)의 일부로서 RFC 2408에 규정되어 있으며,
구체적으로는 어떠한 인증 알고리듬, 암호화 기술, 암호 키 교환 규약을
사용할 것인지 등의 보안 수단을 상대방에게 알리기 위한 메시지 형식이
다. 사용자 데이터그램 프로토콜(UDP) 패킷 형태로 송수신되며, 머리부
( 부분에서 쿠키(cookie:WWW 서버가 이용자를 식별, 관리하기 위한 규
약)라는 이용자 ID를 주고받음으로써 제3자에 의한 서비스 거부(DoS)를
방지하는 규약이다. IPSEC의 표준 키 교환 방식(IKE:internet key
exchange)의 일부로 규정되어 있지만 TLS(transport layer security) 등
IPSEC 이외의 암호화 기술을 선택, 사용해도 지장이 없도록 되어 있다.
4
1. 용어 및 약어
PKI (public key infrastructure) 공개키 기반구조
- PKI는 기본적으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들
이, 신뢰할 수 있는 기관에서 부여된 한 쌍의 공개키와 개인키를 사용함으
로써, 안전하고 은밀하게 데이터나 자금을 교환할 수 있게 해준다. PKI는
한 개인이나 기관을 식별할 수 있는 디지털 인증서와, 인증서를 저장했다
가 필요할 때 불러다 쓸 수 있는 디렉토리 서비스를 제공한다. 비록 PKI의
구성 요소들이 일반적으로 알려져 있지만, 공급자 별로 많은 수의 서로 다
른 접근방식이나 서비스들이 생겨나고 있으며, 그동안에도 PKI를 위한 인
터넷 표준은 계속하여 작업이 진행되었다.
5
1. 용어 및 약어
PKI 구성
- 디지털 인증서를 발급하고 검증하는 인증기관
-
공개키 또는 공개키에 관한 정보를 포함하고 있는 인증서
-
디지털 인증서가 신청자에게 발급되기 전에 인증기관의 입증을
대행하는 등록기관
-
공개키를 가진 인증서들이 보관되고 있는 하나 이상의 디렉토리
-
인증서 관리 시스템
6
1. 용어 및 약어
공개키와 개인키 암호화의 동작원리
- 공개키 암호화에서, 공개키와 개인키는 인증기관에 의해 같은 알고리즘
(흔히 RSA라고 알려져 있다)을 사용하여 동시에 만들어진다. 개인키는 요
청자에게만 주어지며, 공개키는 모든 사람이 접근할 수 있는 디렉토리에
디지털 인증서의 일부로서 공개된다. 개인키는 절대로 다른 사람과 공유
되거나 인터넷을 통해 전송되지 않는다. 사용자는 누군가가 공개 디렉토
리에서 찾은 자신의 공개키를 이용해 암호화한 텍스트를 해독하기 위해
개인키를 사용한다. 그러므로, 만약 자신이 누구에겐가 어떤 메시지를 보
낸다면, 우선 수신자의 공개키를 중앙 관리자를 통해 찾은 다음, 그 공개
키를 사용하여 메시지를 암호화하여 보낸다. 그 메시지를 수신한 사람은,
그것을 자신의 개인키를 이용하여 해독한다. 메시지를 암호화하는 것 외
에도, 송신자는 자신의 개인키를 사용하여 디지털 인증서를 암호화하여
함께 보냄으로써, 메시지를 보낸 사람이 틀림없이 송신자 본인이라는 것
을 알 수 있게 한다.
7
1. 용어 및 약어
공개키와 개인키 암호화의 동작원리
다음의 일을 하기 위해 ...
누구 것을 사용?
어떤 키를 사용?
암호화된 메시지를 송신
수신자의
공개키
암호화된 서명을 송신
송신자의
개인키
암호화된 메시지의 해독
수신자의
개인키
암호화된 서명의 해독
(그리고 송신자의 인증)
송신자의
공개키
8
2. 서론
Client-to-Gateway, IPSec-VPN 시스템
- IPSec-VPN 클라이언트에 대한 사용자 접근 제어 방식
- ID/Password 검증 방식
- 묵시적 사용자 접근제어 방식
ㆍ IPSec-VPN 클라이언트가 인증되면, 묵시적으로 IPSec-VPN 게이
트웨이가 IPSec-VPN 클라이언트에 대한 사용자 접근 제어가 수행된 것
으로 간주
9
2. 서론
Client-to-Gateway, IPSec-VPN 시스템
- ID/Password 검증 방식
ㆍ IKE 교섭 과정에서 ID/Password 정보의 전송 방법이 용이하지 않음
- 묵시적 사용자 접근제어 방식
ㆍ 사용자가 접근 불가인 상황이 발생하더라도, IPSec-VPN 시스템이 보
호하는 내부 영역에 접근할 수 있는 문제
10
2. 서론
제안하는 구조
- 속성 인증서를 이용한 사용자 접근 제어 방안
ㆍ 사용자 접근제어 엔진
ㆍ 임의적 접근제어
ㆍ 역할기반 접근제어
ㆍ SSO 제공
11
3. 관련 연구
사용자 접근 제어 필요성
-
Embedded CA 방식
-
외부 PKI 사용방식
- 기존 Client-to-Gateway, IPSec-VPN과 같은 문제를 포함
ㆍ IKE 교섭 과정에서 ID/Password 정보의 전송,
ㆍ 사용자가 접근 불가인 상황,
12
3. 관련 연구
공인 인증서를 이용한 접근 제어 방안
- 공인 인증서의 확장 필드에 식별 번호 정보(주민등록번호, 사업자
번호)를 포함한 사용자 접근 제어
ㆍ 자연인을 대상으로 하는 응용에 유리
- IPSec-VPN 시스템 개체의 식별번호 부여방식 부적합
ㆍ IPSec-VPN 개체를 위한 식별번호 부여 요구
ㆍ 기존 ISAKMP/IKE 표준 프로토콜 수정 필요
13
4. 시스템 설계
시스템 구조
- Embedded CA 및 외부 PKI 환경에 효과적인 Client-to-Gateway
IPSec-VPN 시스템을 위한 사용자 접근제어 방안 제안
- IPSec-VPN : 전자서명방식의 상호 인증을 위한 PKI(공개키 인증서 발급,
관리) 요구
ㆍ Embedded CA : 자체 PKI 기능 탑재
- 외부 PKI와 달리 유연성 제공(자체 공개키 발급 기능)
ㆍ 외부 PKI : 외부 PKI로부터 공개키 인증서 발급
- 부가적인 공개키 인증서 관련 서비스 불필요(외부 PKI 서비스)
14
4. 시스템 설계
Embedded CA 사용자 접근 제어
Embedded CA
그림 1. Embedded CA 환경에서의 사용자 접근 제어
15
4. 시스템 설계
Embedded CA 사용자 접근 제어
외부 PKI
그림 2. 외부 PKI 환경에서의 사용자 접근 제어
16
4. 시스템 설계
속성 인증서 프로파일 구조
RFC 3281
표준 규격
표 1. 속성 인증서 프로파일
17
4. 시스템 설계
속성 인증서 프로파일 구조
제안하는
구조 특징
표 1. 속성 인증서 프로파일
18
4. 시스템 설계
속성 인증서 프로파일 구조
- Service Authentication Information
ㆍ 클라이언트가 접속하고자 하는 응용 서버, 서비스 이름 설정,
ID/Password 정보 기술 및 암호화
(임의적 접근제어 및 SSO 기능 수행을 위해 사용)
- Access Identity
ㆍ 위 속성 정보와 유사한 기능을 수행
(단, Password와 같은 인증 정보는 설정하지 않음)
- Group
ㆍ 해당 IPSec-VPN 클라이언트가 속한 그룹 설정
- Role
ㆍ 해당 IPSec-VPN 클라이언트의 역할 정보를 설정
(역할 기반 접근 제어)
19
4. 시스템 설계
접근 제어 및 SSO 수행 과정
- IPSec 엔진
ㆍ IPSec 패킷 암/복호화 수행
- IKE 엔진
ㆍ 상호 인증 및 키 분배 수행
- 접근 제어 및 SSO 엔진
ㆍ 속성 인증서 유효성 검증, 속성 인증서 내 속성 필드 검색,
접근 제어 및 SSO 기능 수행
20
4. 시스템 설계
사용자 접근 제어 과정
HDR : ISAKMP 헤더 정보
HDR* : HDR* 이후 데이터 Payload 암호화 의미
SA : SA(Security Association) Payload, 개체인
증방식, 암호 알고리즘, PRF 함수, SA
lifetime, Diffie-Hellman 사용 그룹 정의
KE : Key Exchange Payload
Ni, Nr : Nonce Payload, Initiator, Responder에
서 생성한 각각의 난수 값
IDii, IDir : Identification Payload, SA를 맺고자
하는 Initiator, Responder id
SIG_I, SIG_R : Initiator / Responder 에서 생성
한 전자서명 값
그림 4. IKE 교섭과정에서의 속성인증서 제출/검증 과정
21
4. 시스템 설계
SSO 수행 과정
그림 5. SSO 수행 과정
22
5. 시스템 설계(구현)
시스템 구조
Implement
in
Linux
Redhat
9.0
OSS
그림 6. SNACC ASN.1 도구를 이용한 접근 제어 및 SSO 엔진 구현 구조
23
5. 시스템 설계(구현)
속성 인증서 구현 구조
그림 7. IPSec-VPN 클라이언트의 속성 인증서
24
5. 시스템 설계(구현)
시스템 분석
표 2. 공인 인증서를 이용한 접근제어 방법과의 비교
제어방법
적용대상
수행구조
문제 및 특징
편의 및 적용
25
6. 결론
효율적인 사용자 접근제어
- Client-to-Gateway, IPSec-VPN 시스템에서의 효율적인 사용자
접근제어 지원
- 기존 ISAKMP/IKE 표준 프로토콜 준용, 사용자 접근 제어 수행,
SSO 기능 수행
- IPSec-VPN 시스템, 국내 공인 인증서 기법에 비해 효율적임
26
7. 참고 문헌
참고 문헌
[1] American National Standard for Financial Services X9.45, "Enhanced
Management Controls Using Digital Signatures and Attribute Certificates",
February 1999.
[2] S. Farrell and R. Housley, "An Internet Attribute Certificate Profile for
Authorization", RFC 3281, April 2002. available on line at
http://www.ietf.org/rfc/rfc3281.txt.
[3] D. Harkins and D.Carrel, "The Internet Key Exchange", RFC 2409, November
1998. available on line at http://www.ietf.org/rfc/rfc2409.txt
[4] ITU-T Recommendation X.208, "Specification of Abstract Syntax Notation
One (ASN.1)", 1988.
[5] ITU-T Recommendation X.209, "Specification of Basic Encoding Rules for
Abstract Syntax Notation One(ASN.1)", 1988.
[6] S. Kent and R. Atkinson, "Security Architecture for the Internet Protocol“, RFC
2401, November 1998. available on line at http://www.ietf.org/rfc/rfc2401.txt
27
7. 참고 문헌
참고 문헌
[7] D. Maughan, M. Schertler, M. Schneider and J. Turner, "Internet Security
Association and Key Management Protocol", RFC 2408, November 1998.
available on line at http://www.ietf.org/rfc/rfc2408.txt
[8] Joon S. Park and Ravi Sandhu, "Binding Identities and Attributes Using
Digitally Signed Certificates", IEEE Communication Magazine, September, 2000.
[9] Michael Sample, "Snacc 1.2rj : A High Performance ASN.1 to C/C++/IDL
Compiler", July, 1993.
[10] 박종욱, 윤재호, 김승주, 이재일, 이홍섭, 박상준, “X.509 인증서내 식별번호를
이용한 본인 확인 메커니즘”, 제 13회 통신 정보 합동 학술대회, April 2003.
[11] 박종욱, 김승주, 이재일, 이홍섭, “X.509 인증서내 식별번호를 이용한 본인 확
인기술 표준화 동향”, 한국정보보호학회 학회지 제 14권 2호, April 2004.
[12] 한국정보보호진흥원, “식별번호를 이용한 본인확인 기술규격 v.1.11”,
September 2002.
28
Q&A
29