KR101471414B1 - 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템 - Google Patents

인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템 Download PDF

Info

Publication number
KR101471414B1
KR101471414B1 KR20130078784A KR20130078784A KR101471414B1 KR 101471414 B1 KR101471414 B1 KR 101471414B1 KR 20130078784 A KR20130078784 A KR 20130078784A KR 20130078784 A KR20130078784 A KR 20130078784A KR 101471414 B1 KR101471414 B1 KR 101471414B1
Authority
KR
South Korea
Prior art keywords
certificate
original
gsi
original certificate
verification
Prior art date
Application number
KR20130078784A
Other languages
English (en)
Inventor
황선태
허대영
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR20130078784A priority Critical patent/KR101471414B1/ko
Application granted granted Critical
Publication of KR101471414B1 publication Critical patent/KR101471414B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

인증서 검증 방법은 인증서 검증 시스템에서 수행된다. 상기 인증서 검증 방법은 그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장하는 단계; 상기 저장된 경로 정보를 기초로 상기 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행하는 단계; 및 상기 저장된 경로 정보를 기초로 상기 GSI의 인증서에서 상기 원본 인증서를 검색하고 새로운 사용자 인증서와 상기 검색된 원본 인증서 간의 관계를 확인하여 상기 원본 인증서의 경로를 검증하는 제2 검증을 수행하는 단계를 포함한다.

Description

인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템{VALIDATION METHOD AND SYSTEM FOR CERTIFICATE}
본 발명은 인증서 검증 방법 및 시스템에 관한 것으로, 보다 상세하게는, 그리드 보안 구조(GSI, Grid Security Infrastructure)와 연관된 소프트웨어의 수정 없이 국가 공개 키 기반 구조(PKI, Public Key Infrastructure)의 신뢰성을 적용하여 인증서에 대한 경로 검증이 가능한 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템에 관한 것이다.
그리드 컴퓨팅 환경에서는 GSI(Grid Security Infrastructure)라고 부르는 X.509 표준을 따르는 인증서는 그리드 컴퓨팅 환경에 접근하기 위한 인증을 웹 환경으로 통합해야 한다. 웹 표준 환경에서는 비밀번호 인증을 기반으로 하는 다양한 단일 로그온(Single Sign-On) 방법이 있지만, 추가적인 지원 소프트웨어 없이 인증서를 직접적으로 지원하기는 매우 어렵다.
이와 같이, 그리드 서비스를 보편적인 웹 인터페이스 및 웹 서비스로 사용자에게 제공하기 위해 웹 표준 기술에 기반을 둔 그리드 웹 애플리케이션의 사용이 증가하고 있으나, 웹 표준 보안 구조에서 GSI와 같은 그리드 보안 시스템과 동일한 위임 방법이 없어 웹 애플리케이션에 그리드를 통합하는 것은 매우 어렵다.
이를 해결하기 위해서는 그리드에서 가장 많이 사용하는 마이프록시(MyProxy)와 같은 온라인 자격 증명 저장 서비스를 이용하여 웹 애플리케이션(즉, 마이프록시를 사용한 그리드 웹 애플리케이션)에서 그리드 인증(Credential)을 사용할 수 있도록 해야 한다.
한편, 한국등록특허 제10-0626462호는 확장가능하고 플렉시블하며 스케일링 가능하도록 한 확장가능한 컴퓨팅 시스템에 관하여 개시되어 있는데, 다수의 프로세서들; 다수의 프로세서들에 연결된 제1 스위칭 시스템; 다수의 저장 장치들; 다수의 저장 장치들에 연결된 제2 스위칭 시스템; 제1 스위칭 시스템과 제2 스위칭 시스템에 연결된 제어기; 다수의 프로세서들로부터 프로세서들 서브세트를 선택하기 위한 제어기 내의 수단; 제1 스위칭 시스템으로 하여금 프로세서들 서브세트 내의 프로세서들 각각을 논리적으로 연결시키도록 하는 명령어들을 생성하는 제어기 내의 수단; 다수의 저장 장치로부터 저장 장치들 서브세트를 선택하는 제어기 내의 수단; 및 제2 스위칭 시스템으로 하여금 저장장치들 서브세트 내의 저장장치들 각각을 서로, 그리고 프로세서들 서브세트에 논리적으로 연결시키도록 하는 명령어들을 생성하는 제어기 내의 수단을 포함하는 것을 특징으로 한다. 개시된 기술에 따르면, 단일 광역 스케일 컴퓨팅 인프라스트럭쳐를 이용하여 많은 부분의 인구에게 컴퓨팅 서비스를 제공할 수 있다.
그런데, 마이프록시는 그리드 웹 애플리케이션과 상호 신뢰를 전제로 하는 서비스로서, 마이프록시를 사용하여 상호 신뢰 기반이 아닌 그리드 웹 애플리케이션을 작성할 경우에는, 마이프록시 서비스를 이용한 통합에 대한 문제점으로 다음과 같은 세 가지의 문제점이 발생하게 된다.
첫 번째로, 마이프록시는 독립적으로 인증 시스템을 가지고 있다. 만약에 웹 애플리케이션이 별도의 인증 시스템을 가지고 있다면, 웹 애플리케이션에서 그리드로 접근하기 위해서는 웹 애플리케이션과 마이프록시로 인증을 2회 수행해야 한다. 이것은 그리드 서비스가 X.509 대리 인증서를 통해서 단일 로그온 인증 방식을 채택한 것에 역행한다는 문제점이 있다.
두 번째로, 웹 애플리케이션이 마이프록시로부터 대리 인증서를 획득하려면, 반드시 웹 애플리케이션이 사용자의 마이프록시 인증 정보를 알아야만 한다. 이것은 사용자 자격 증명이 웹 애플리케이션에 저장될 수 있는 보안 위험이 존재하는 문제점이 있다.
세 번째로, 마이프록시는 한 사용자 계정에 하나의 인증서만을 위임할 수 있다. 그리드 컴퓨팅에서는 자원 공유 협의체라고 할 수 있는 가상 조직(Virtual Organization)이 다수 존재할 수 있으며, 각각의 가상 조직은 상호 인증을 지원할 수도 있고 그렇지 않을 수도 있다. 따라서 마이프록시를 이용하는 웹 애플리케이션은 다중 가상 조직을 지원하기 어려운 문제점이 있다.
다시 말해서, 종래의 기술에서는 온라인 자격 증명 저장 서비스로 가장 많이 사용하고 있는 마이프록시를 사용하는 경우에, 그리드로 단일 로그인이 되지 않는 문제점이 있으며, 사용자 단말까지 인증이 교환되려면 웹 애플리케이션에 자격 증명이 저장될 수도 있다는 보안상의 문제점이 있으며, 하나의 그리드 인증만 교환 가능하여 그리드 웹 애플리케이션이 특정 그리드에 종속되는 한계를 가지는 문제점이 있다.
한편, 그리드의 보안을 담당하는 GSI(Grid Security Infrastructure) 컴포넌트 소프트웨어를 수정하지 않고, 신뢰성 높은 PKI를 운영하는 국가 PKI를 적용하려고 하는 경우 많은 문제점이 발생할 수 있다.
보다 구체적으로, 국가 PKI는 대부분의 그리드에서 사용하는 PKI와 다른 PKI 구조를 갖춘다. CA, RA의 업무 신뢰성을 높이기 위하여 당국은 법으로 절차를 보호하고 지켜지도록 강제한다. 한편, GSI에 국가 PKI를 적용하는 방법은 두 가지 방법이 사용될 수 있다. 첫 번째 방법은 국가 PKI의 인증서를 바로 사용하는 방법이다. 여기에서, GSI는 국가 PKI에서 추가한 확장 요소를 해석하지 못할 수 있다. 만약 국가 PKI 인증서에 Criticality 속성을 가진 확장 요소가 포함되어 있다면, GSI는 그 인증서의 검증을 실패할 것이다. 두 번째 방법은 국가 PKI 인증서를 바로 사용하지 않고, 국가 PKI로부터 권한을 위임받은 Grid PKI를 사용하는 방법이다. 여기에서, Grid PKI에서 발급하는 인증서는 GSI에서 허용하는 정보만을 포함하기 때문에, 그 인증서는 검증을 성공할 수 있다. 그러나, 인증서 경로의 검증에서 상위 CA의 인증서인 국가 PKI의 인증서를 검증해야 한다. 이 인증서의 검증은 국가 PKI에 의해 확장된 Criticality를 가진 추가 정보 때문에 실패하게 된다.
즉, GSI 관련 소프트웨어의 수정 없이, 국가 PKI의 신뢰성을 적용해야 하는 딜레마가 발생할 수 있다.
이러한 상황에서 현재까지 제공되는 기술들은 GSI 관련 소프트웨어의 수정 없이, 국가 PKI의 신뢰성을 적용하여 인증서에 대한 경로 검증이 가능한 인증서 검증 기술을 제공하지 못하고 있다.
한국등록특허 제10-0626462호
본 발명의 일 실시예는 그리드 보안 구조(GSI, Grid Security Infrastructure)와 연관된 소프트웨어의 수정 없이 국가 공개 키 기반 구조(PKI, Public Key Infrastructure)의 신뢰성을 적용하여 인증서에 대한 경로 검증이 가능한 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템을 제공하고자 한다.
실시예들 중에서, 인증서 검증 방법은 인증서 검증 시스템에서 수행된다. 상기 인증서 검증 방법은 그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장하는 단계; 상기 저장된 경로 정보를 기초로 상기 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행하는 단계; 및 상기 저장된 경로 정보를 기초로 상기 GSI의 인증서에서 상기 원본 인증서를 검색하고 새로운 사용자 인증서와 상기 검색된 원본 인증서 간의 관계를 확인하여 상기 원본 인증서의 경로를 검증하는 제2 검증을 수행하는 단계를 포함한다.
여기에서, 상기 원본 인증서에 대한 공개 키 기반 구조(Public Key Infrastructure, PKI)와 상기 GSI는 비계층적 구조로 분리될 수 있다.
일 실시예에서, 상기 경로 정보는 상기 원본 인증서에 대한 검색 정보로서, 상기 원본 인증서의 공개 키, 상기 원본 인증서를 서명한 인증 기관(Certificate Authority, CA)의 공개 키, 상기 원본 인증서의 이름 및 상기 원본 인증서의 발급자의 이름 중 적어도 하나를 포함할 수 있다.
여기에서, 상기 원본 인증서에 대한 경로 정보를 저장하는 단계는 새로운 GSI 인증서의 발급 대상 대안 이름에 상기 원본 인증서의 발급 대상 이름을 저장하는 단계; 상기 새로운 GSI 인증서의 발급자 대안 이름에 상기 원본 인증서의 발급자 이름을 저장하는 단계; 상기 새로운 GSI 인증서의 발급 대상 키 식별자에 상기 원본 인증서의 공개 키를 저장하는 단계; 및 상기 새로운 GSI 인증서의 발급 기관 키 식별자에 상기 원본 인증서를 발급한 CA 인증서의 정보를 저장하는 단계; 중 적어도 하나를 더 포함할 수 있다.
일 실시예에서, 상기 원본 인증서의 공개 키를 저장하는 단계는 상기 원본 인증서의 공개 키를 해쉬 알고리즘을 통해 변환하여 저장하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 제2 검증을 수행하는 단계는 상기 원본 인증서의 경로를 상기 발급 대상 대안 이름으로 상기 GSI의 CA에서 관리되는 저장소에서 검색하여 상기 원본 인증서를 검색하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 제2 검증을 수행하는 단계는 상기 GSI의 인증서의 발급 대상 키 식별자, 발급 기관 키 식별자, 원본 인증서의 공개 키, CA의 공개 키의 동일성 여부를 기초로 상기 GSI의 인증서가 상기 원본 인증서로부터 유도되었는지 여부를 검증하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 제2 검증을 수행하는 단계는 상기 검색된 원본 인증서의 경로를 재구성하여 상기 재구성된 원본 인증서의 경로를 검증하는 단계를 더 포함할 수 있다.
실시예들 중에서, 인증서 검증 시스템은 그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장하는 경로 정보 저장부; 상기 저장된 경로 정보를 기초로 상기 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행하는 제1 검증 수행부; 및 상기 저장된 경로 정보를 기초로 상기 GSI의 인증서에서 상기 원본 인증서를 검색하고 새로운 사용자 인증서와 상기 검색된 원본 인증서 간의 관계를 확인하여 상기 원본 인증서의 경로를 검증하는 제2 검증을 수행하는 제2 검증 수행부를 포함한다.
본 발명의 일 실시예에 따른 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템은 그리드 보안 구조(GSI, Grid Security Infrastructure)와 연관된 소프트웨어의 수정 없이 국가 공개 키 기반 구조(PKI, Public Key Infrastructure)의 신뢰성을 적용하여 인증서에 대한 경로 검증이 가능할 수 있다.
도 1은 본 발명의 일 실시예에 따른 PKI의 구조를 설명하기 위한 참고도이다.
도 2는 본 발명의 일 실시예에 따른 X.509의 연장 구조(Extension Structure)를 설명하기 위한 도면이다.
도 3은 국가 PKI와 GSI의 통합 시 발생할 수 있는 문제점을 설명하기 위한 참고도이다.
도 4는 본 발명의 일 실시예에 따른 국가 PKI와 GSI의 구조를 설명하기 위한 참고도이다.
도 5는 본 발명의 일 실시예에 따른 원본 인증서 경로 정보를 보전하는 과정을 설명하기 위한 참고도이다.
도 6은 본 발명의 일 실시예에 따른 인증서 경로 검증 과정을 설명하기 위한 참고도이다.
도 7은 본 발명의 일 실시예에 따른 검증 알고리즘을 설명하기 위한 참고도이다.
도 8은 본 발명의 일 실시예에 따른 금고 서비스를 설명하기 위한 참고도이다.
도 9는 본 발명의 일 실시예에 따른 그리드 자격 증명 위임 과정을 설명하기 위한 참고도이다.
도 10은 응답 헤더를 나타낸 예시도이다.
도 11은 요청 헤더를 나타낸 예시도이다.
도 12는 본 발명의 일 실시예에 따른 인증서 검증 시스템을 설명하기 위한 블록도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
한편, 본 발명에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
1. 서론
그리드 컴퓨팅은 연구자, 기관, 조직에게 복잡한 계산 문제를 풀기 위한 수많은 자원을 사용할 수 있도록 지원하는 기술이다. 여기에서, 그리드 컴퓨팅의 각 기관과 사용자 간의 협력을 하나로 모으기 위하여 거대한 가상 조직(Virtual Organization, VO)으로 통합하여야 한다. 이에 따라 참여한 기관들의 상호 인증을 위해서는 PKI(Public Key Infrastructure)를 적용할 수 있다.
그러나 가상 조직의 사용자에게 인증서를 발급하는 절차는 일반적으로 어떤 사람이 가상 조직의 사용자임을 확인하기 위한 등록 기관(Registration Authority)과의 인터뷰를 포함하는 것과 같이 신뢰를 보장해야하는 복잡하고 어려운 것이다.
한편, 전세계적으로 전자 정부를 위해서 국가 수준의 PKI의 적용이 늘어나고 있다. 예를 들어, 한국은 이미 NPKI(National Public Key Infrastructures)라고 불리우는 국가 수준의 PKI를 보유하고 있다. 여기에서, 정부에서 보장하는 등록 기간을 포함한 인증서 발급 절차에 의존할 수 있는 정부가 인증하는 수준의 PKI를 가질 수 있다.
2. 국가 PKI의 사용시 딜레마
그리드의 보안을 담당하는 GSI(Grid Security Infrastructure) 컴포넌트 소프트웨어를 수정하지 않고, 신뢰성 높은 PKI를 운영하는 국가 PKI를 적용하려고 하는 경우 발생할 수 있는 문제점은 다음과 같다.
2.1 PKI
일 실시예에서, PKI는 도 1과 같이 설정될 수 있다. 한편, 도 1은 본 발명의 일 실시예에 따른 PKI의 구조를 설명하기 위한 참고도이다.
도 1을 참조하면, PKI는 인증 기관(Certificate Authority, CA), 등록 기관(Registration Authority, RA), 저장소, 백업 중 적어도 하나를 포함하는 인프라 요소를 가질 수 있다. 여기에서, CA는 PKI의 기본적인 구성 요소에 해당할 수 있다. CA는 시스템에서 서비스, 사용자와 같은 구성원의 신원 확인을 공증하는 역할을 수행하여 다른 시스템을 지원할 수 있다. RA는 CA에 의하여 신뢰된 구성원으로 사용자의 신원을 CA에게 검증하고 확인하여 줄 수 있다. 이러한 과정은 보편적으로 사용자 신원 증명을 위한 직접적인 인터뷰에 해당할 수 있다. 저장소는 CA 시스템을 위한 전자 인증서를 가진 데이터베이스에 해당할 수 있다. 백업은 차후 혼란을 초래할 수 있는 오래되거나 비활성화된 인증서와 관련된 문서와 취소된 인증서를 가질 수 있다. 일반적으로 PKI는 도 1과 같이 설정될 수 있다.
도 2는 본 발명의 일 실시예에 따른 X.509의 연장 구조(Extension Structure)를 설명하기 위한 도면이다.
도 2를 참조하면, PKI를 위한 X.509 표준에서 인증서는 개인키와 쌍이 되는 공개키뿐만 아니라 인증서 검증, 정책과 같은 추가 정보를 저장할 수 있다. X.509 표준은 도 2에서 보여주는 것과 같이 키, 값 및 Criticality로 구성되는 추가 정보를 검증에 사용할 수 있다. X.509 표준은 키와 값을 확장할 수 있는 유연성을 제공할 수 있다. X.509 표준에서 Criticality는 검증하는 주체가 특정 추가 정보에 대한 검증의 의무화 여부를 나타낼 수 있다. Criticality가 True인 추가 정보는 검증하는 주체가 키와 값을 모두 알고, 정해진 방법대로 처리하여야 한다. 검증 주체는 만약 키 또는 값 중 한 가지라도 모른다면 검증을 실패하도록 할 수 있다.
대부분의 그리드 사이트는 비용의 문제로 독자적인 RA 시스템을 운영하지 못하기 때문에, 높은 신뢰성을 확보하기 어렵다. 만약 이들 그리드 사이트들이 국가 PKI(특히, 인증서 발급 정차에 대한 RA 시스템을 가진 PKI)를 적용할 수 있다면, 그리드 사이트들의 보안 환경이 보다 높은 신뢰성을 가지게 될 것이다.
2.2 딜레마
국가 PKI는 대부분의 그리드에서 사용하는 PKI와 달리 도 2의 PKI 구조를 갖춘다. CA, RA의 업무 신뢰성을 높이기 위하여 당국은 법으로 절차를 보호하고 지켜지도록 강제한다. 기술적으로 국가 PKI의 인증서는 당국에서 제한한 용도로 사용하도록 당국의 표준 추가 정보를 가진다. 이들 추가 정보 중 인증서 정책과 같이 법적 규정을 표현한 요소들은 Criticality 속성을 가질 수 있다.
도 3은 국가 PKI와 GSI의 통합 시 발생할 수 있는 문제점을 설명하기 위한 참고도이다.
도 3을 참조하면, GSI에 국가 PKI를 적용하는 방법은 두 가지 방법이 사용될 수 있다. 첫 번째 방법은 도 3의 (a)에서 보여주는 것과 같이 국가 PKI의 인증서를 바로 사용하는 방법이다. 여기에서, GSI는 국가 PKI에서 추가한 확장 요소를 해석하지 못할 수 있다. 만약 국가 PKI 인증서에 Criticality 속성을 가진 확장 요소가 포함되어 있다면, GSI는 그 인증서의 검증을 실패할 것이다.
두 번째 방법은 도 3의 (b)에서 보여주는 것과 같이 국가 PKI 인증서를 바로 사용하지 않고, 국가 PKI로부터 권한을 위임받은 Grid PKI를 사용하는 방법이다. 여기에서, Grid PKI에서 발급하는 인증서는 GSI에서 허용하는 정보만을 포함하기 때문에, 그 인증서는 검증을 성공할 수 있다. 그러나, 인증서 경로의 검증에서 상위 CA의 인증서인 국가 PKI의 인증서를 검증해야 한다. 이 인증서의 검증은 국가 PKI에 의해 확장된 Criticality를 가진 추가 정보 때문에 실패하게 된다.
따라서, GSI 관련 소프트웨어의 수정 없이, 국가 PKI의 신뢰성을 적용해야 하는 딜레마가 발생할 수 있다. 이하, GSI 소프트웨어의 수정 없이, 인증서에 대한 경로 검증이 가능한 정보를 유지하도록 하는 동시에 인증서 체인을 분리하는 방법에 대하여 설명한다.
3. 인증서 경로의 검증
도 4는 본 발명의 일 실시예에 따른 국가 PKI와 GSI의 구조를 설명하기 위한 참고도이다.
도 4를 참조하면, 상기 2.에서 설명한 딜레마를 회피하기 위하여, 국가 PKI와 GSI는 비계층적 구조로 분리될 수 있다. 도 4에서, GSI 인증서는 국가 PKI로 직접 연결되어 질 수 있는 인증서 경로를 분리하였기 때문에, Grid CA 인증서와 인증서 자체가 수정되지 않은 GSI 소프트웨어로 검증이 가능하다. 여기에서, GSI 인증서는 국가 PKI 인증서의 원본 경로를 그리드 인증서에서 찾을 수 있어야 하고, 일반적인 PKI 인증서 검증 방법으로 인증의 손상이 있는지 검증할 수 있어야 한다.
이하 GSI 인증서의 비치명적인 요소에 국가 PKI의 인증서 경로를 저장하는 방법과 저장된 정보를 사용하여 인증서 경로를 검증하는 방법에 대하여 설명한다.
3.1 원본 인증서 경로 정보 보존
도 5는 본 발명의 일 실시예에 따른 원본 인증서 경로 정보를 보전하는 과정을 설명하기 위한 참고도이다.
도 5를 참조하면, 원본 인증서 경로를 추적하기 위해서는 GSI 인증서에서 원본 인증서 경로를 찾을 수 있어야 한다. 원본 인증서를 검색하고 찾기 위해서 원본 인증서와 원본 인증서의 CA 인증서로부터 4개의 값이 필요할 수 있다. 인증서 경로를 검증하기 위해서 1) 원본 인증서의 공개키와 2) 원본 인증서를 서명한 CA의 공개키가 필요할 수 있고, 원본 인증서를 검색하기 위해서 3) 원본 인증서의 이름과 4) 원본 인증서의 발급자의 이름이 사용될 수 있다. 1) 내지 4)의 값은 도 5에 나타난 바와 같이 GSI에서 발급된 새로운 인증서의 비치명적 X.509 속성에 저장될 수 있다.
첫 번째, 원본 인증서의 발급 대상 이름(Subject Name)은 (PKI에서 모든 인증서의 발급 대상자 이름을 유일해야 하기 때문에) 새로운 GSI 인증서의 "Subject Alternative Name(발급 대상 대안 이름)"에 저장될 수 있다. 또한, 일반적으로 PKI에서 인증서 경로 추적을 위해서 새로운 GSI 인증서의 발급자 이름은 GSI가 되고, 그렇게 되면 더 이상 국가 PKI에서 발급한 원본 인증서를 찾을 수 없기 때문에, 원본 인증서의 발급자 이름(Issuer Name)은 원본 인증서를 추적하기 위해서 "Issuer Alternative Name(발급자 대안 이름)"에 저장될 수 있다.
두 번째, 새로운 인증서를 유도할 때, 원본 인증서와 원본 인증서의 CA 인증서의 공개키가 검색되었을 때 인증서를 검증하기 위해서 저장한다. 원본 인증서의 공개키는 "Subject Key Identifier(SKID, 발급 대상 키 식별자)"에 저장될 수 있다. 이 값은 SHA-1 알고리즘으로 해쉬된 형태로 저장될 수 있다. 원본 인증서를 발급한 CA 인증서의 정보는 "Authority Key Identifier(AKID, 발급 기관 키 식별자)에 저장될 수 있다. 일 실시예에서, 저장된 정보에는 공개키, CA 인증서의 이름 및 일련번호를 포함할 수 있다.
이하, 도 5에서 보여주는 것처럼 저장된 값들을 사용하여 인증서 경로 검증을 위한 대체 방법을 설명한다.
3.2 인증서 경로 검증
도 6은 본 발명의 일 실시예에 따른 인증서 경로 검증 과정을 설명하기 위한 참고도이고, 도 7은 본 발명의 일 실시예에 따른 검증 알고리즘을 설명하기 위한 참고도이다.
도 6 및 7을 참조하면, 인증서 검증은 기본 검증과 경로 검증으로 구성될 수 있다. 여기에서, 기본 검증은 사용자의 인증서의 철회 상태와 유효 기간을 확인하는 절차이고, 경로 검증은 인증서를 발급할 때 서명해준 모든 인증서들에 대해서 기본 검증을 수행하는 절차에 해당할 수 있다.
도 6에서 보여지는 것과 같이, GSI의 CA가 새로운 인증서를 서명할 때, GSI의 CA는 새로 발급한 인증서를 검증할 수 있도록, 원본 인증서의 전체 인증서 경로를 구성하여 저장할 수 있다. 새로운 대체 인증서 검증 경로 알고리즘은 세 단계로 구성될 수 있고, 일 실시예에서, 1) 원본 인증서를 찾기 위한 단계, 2) 새로운 사용자 인증서와 원본 인증서 간의 관계를 확인하는 단계 및 3) 인증서의 경로를 검증하는 단계로 구성될 수 있다.
일 실시예에서, 1) 단계는 원본 인증서 경로를 "Subject Alternative Name"으로 GSI의 CA에서 관리되는 저장소를 찾을 수 있다.
일 실시예에서, 2) 단계는 GSI 사용자 인증서가 원본 국가 PKI의 인증서로부터 유도되었는지 여부를 검증할 수 있다. 여기에서, 이러한 검증은 사용자 인증성, SKID, AKID와 원본 인증서의 공개키, 원본 인증서를 발급한 인증서의 공개키가 동일한지 비교할 수 있다.
일 실시예에서, 3) 단계는 1) 단계에서 찾은 원본 인증서 경로를 재구성하여, 재구성한 원본 인증서의 경로를 검증할 수 있다.
일 실시예에서, 본 발명의 일 실시예에 따른 검증 알고리즘은 도 7과 같이 구현될 수 있다.
4. 금고 서비스의 확장: 그리드 식별자 서비스
상기에서 설명한 대체 인증서 검증 경로 방법을 기반으로 금고(SecureBox) 서비스(금고 서비스는 차후 상세하게 설명함)를 확장한 그리드 식별자 서비스(Grid Identity Service)를 설명한다. 여기에서, 금고 서비스는 국가 PKI 인증서를 사용해서 그리드의 본래 GSI로 로그인하는 것을 허용할 수 있다.
도 8은 본 발명의 일 실시예에 따른 금고 서비스를 설명하기 위한 참고도이다. 도 8은 금고 서비스가 국가 PKI 인증서의 식별자를 그리드 자격 증명으로 변환하고, 그리드 서비스에 자격증명을 위임하는 것을 보여준다. 금고 서비스는 인증 철회 상태를 주기적으로 점검하여 인증서를 효과적으로 관리할 수 있다.
4.1 그리드 자격증명 변환
금고 서비스는 국가 PKI 인증서에서 GSI 인증서로 변환할 수 있다. 일 실시예에서, 금고 서비스는 3가지의 절차에 따라 국가 PKI 인증서에서 GSI 인증서로 변환할 수 있다. 1) 국가 PKI 인증서는 금고 서비스의 계정에 등록되어, 금고 서비스의 계정과 PKI 인증서 이름(또는 경로)가 사상될 수 있다. 2) 새로운 GSI 인증서는 사용자가 국가 PKI 인증서(또는 재발급된 인증서)로 최초 로그인할 때에, 도 6에서 보여준 방법으로 발급될 수 있다. 여기에서, 발급된 GSI 인증서는 원본 국가 PKI 인증서와 같은 유효기간을 가질 수 있다. GSI가 새로 발급되었을 때, 원본 인증서 경로는 나중에 검증을 위해서 금고 서비스에 저장될 수 있다. 3) 상기에서 설명한 인증서 경로 검증 방법에 따라 인증서 경로 검증을 수행한 후, 새로운 그리드 자격 증명을 생성할 수 있다. 여기에서, 생성된 자격 증명은 그리드 서비스가 그리드 서비스에 사용자를 대리하여 사용하는 것을 허가하는 위임 인증 방법이 포함될 수 있다.
만약, 변환이 국가 PKI 인증서의 서명 철회나 재발급 때문에 실패하게 되면, 금고 서비스는 해당 국가 PKI 인증서로부터 변환 유도된 GSI 인증서를 철회하고, 이전에 위임한 자격증명에 대해서도 위임 취소한 후, 인증서 철회 목록(CRL, Ceriricate Revocation List)을 갱신할 수 있다.
원본 국가 PKI 인증서의 서명 철회는 새로 로그인하는 것에 의한 변환이 발생되지 않으면, 발견할 수 없다. 따라서, 금고 서비스는 서비스가 유휴상태에 있을 때, 백그라운드 작업으로 원본 인증서를 주기적으로 점검할 수 있다.
4.2 그리드 자격 증명 위임
도 9는 본 발명의 일 실시예에 따른 그리드 자격 증명 위임 과정을 설명하기 위한 참고도이다.
도 9를 참조하면, 그리드 자격 증명으로 변환된 후에, 이 그리드 자격 증명은 그리드 서비스에게 위임될 수 있다. 여기에서, 도 9는 위임 절차를 상세하게 보여주고 있다. 보다 구체적으로, 도 9는 1) 국가 PKI 인증서를 사용해서 금고 서비스에 사용자가 로그인하는 단계(제1 내지 5 단계)를 포함하여, 그리드 자격 증명으로 변환하고, 이를 그리스 서비스에 그리드 자격 증명 위임을 목적으로 확장된 OAuth 프로토콜에 따라 위임하는 단계(제6 내지 8 단계)를 보여주고 있다. 여기에서, 제5 단계 및 제6 단계 사이에서는 도 5에서 보여주는 것과 같이 로그인으로 생성된 국가 PKI 자격 증명은 그리드 자격 증명으로 전환되고, 도 7의 알고리즘을 사용하여 자격 증명을 검증할 수 있다.
5. 인증서 위임 시스템
상기에서 설명한 그리드 자격 증명 위임 과정에서 활용될 수 있는 인증서 위임 시스템에 대하여 상세하게 설명한다. 한편, 인증서 위임 시스템은 상기에서 설명한 금고 서비스로 이해될 수 있으며, 본 발명의 기술 분야에 속하는 통상의 기술자라면 이하 설명을 통하여 본 발명을 용이하게 이해하고 실시할 수 있을 것이다.
발명의 일 실시예에 따른 인증서 위임 시스템은, 상호 신뢰를 바탕으로 하지 않는 그리드 인증을 위임하는 프로토콜(즉, 대리 인증서(즉, X.509 대리 인증서)의 위임을 위해서 확장된 공개 인증 프로토콜)을 이용하도록 한다. 여기서, 해당 프로토콜은 제3의 서비스 제공자에게 사용자의 보호된 데이터를 읽을 수 있도록 허가하는 공개 인증 프로토콜에 X.509 대리 인증서 위임 프로세스를 추가한 것이다.
본 발명의 일 실시예에 따른 인증서 위임 시스템은 사용자 단말기, 웹 애플리케이션 수행부, 서비스 제공 단말기, 그리드 자원 제공부를 포함할 수 있다.
사용자 단말기는, 사용자의 인증 요청에 따라 인증서 위임 요청을 웹 애플리케이션 수행부로 수행하며, 마이프록시(MyProxy) 사용자 자격 증명 정보가 웹 애플리케이션 수행부로 전달되지 않도록 하기 위해서, 사용자의 인증 요청에 따라 서비스 제공 단말기로 직접 사용자 인증을 수행하여 인증 상태를 웹 애플리케이션 수행부로 전달해 줄 수 있다. 여기에서, 사용자 단말기는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 서비스 제공 단말기로 전달할 수 있다.
웹 애플리케이션 수행부는, 그리드 웹 애플리케이션을 수행하는데, 사용자 단말기로부터 수신되는 인증서 위임 요청을 서비스 제공 단말기에 전달해 주며, 서비스 제공 단말기로부터 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 그리드 자원 제공부에 요청하여 그리드 자원 제공부로부터 그리드 자원을 제공받도록 할 수 있다.
서비스 제공 단말기는, 온라인 자격증명 저장 서비스를 제공하는데, 웹 애플리케이션 수행부로부터 인증서 위임 요청을 전달받고 사용자 단말기로부터 수신되는 사용자 인증 요청에 따라 사용자 인증을 수행한 후에, 대리 인증서 접근 허가를 웹 애플리케이션 수행부로 통보해 줄 수 있다.
그리드 자원 제공부는, 웹 애플리케이션 수행부의 요청에 따라 그리드 자원을 웹 애플리케이션 수행부에게 제공할 수 있다.
본 발명의 일 실시예에 따른 인증서 위임 시스템은, 웹 애플리케이션 수행부와 서비스 제공 단말기로 2회의 인증을 수행할 수 있다.
그래서 그리드 서비스와 같이 싱글 사인-온 인증 방식을 유지하기 위해서는, 웹 애플리케이션 수행부와 서비스 제공 단말기로 2회의 인증을 해결해야 하는데, 통합 인증을 수행할 수 있도록 별도의 인증 서버를 두어 처리하도록 할 수 있다.
본 발명의 이 실시예에 따른 인증서 위임 시스템은, 사용자 단말기, 웹 애플리케이션 수행부, 서비스 제공 단말기, 그리드 자원 제공부, 인증 서버를 포함할 수 있다.
여기에서, 사용자 단말기는, 마이프록시(MyProxy) 사용자 자격 증명 정보가 웹 애플리케이션 수행부로 전달되지 않도록 하기 위해서, 사용자의 인증 요청에 따라 인증 서버로 직접 사용자 인증을 수행한 후에, 인증서 위임 요청을 웹 애플리케이션 수행부로 수행해 줄 수 있다. 여기에서, 사용자 단말기는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 서비스 제공 단말기로 전달할 수 있다.
웹 애플리케이션 수행부는, 그리드 웹 애플리케이션을 수행하는데, 인증 서버로부터 인증 정보를 전달받은 후에, 사용자 단말기로부터 인증서 위임 요청을 수신받아 대리 인증서를 서비스 제공 단말기에 요청하며, 서비스 제공 단말기로부터 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 그리드 자원 제공부에 요청하여 그리드 자원 제공부로부터 그리드 자원을 제공받도록 한다.
서비스 제공 단말기는, 온라인 자격증명 저장 서비스를 제공하는데, 인증 서버로부터 인증 정보를 전달받은 후에, 웹 애플리케이션 수행부로부터 대리 인증서 요청을 전달받아 대리 인증서 접근 허가를 웹 애플리케이션 수행부로 통보해 줄 수 있다.
여기에서, 그리드 보안을 웹 기반으로 통합하는 것을 지원하는 온라인 자격증명 저장 서비스는, 마이프록시 외에도 크레드엑스(CredEx), 세이프박스(SafeBox) 등이 있다.
크레드엑스는 비밀번호 기반 웹 서비스와 GSI 기반 그리드 서비스 사이의 인증을 교환하는 시스템으로, 더블유에스-트러스트(WS-Trust) 토큰 교환 프로토콜을 사용하여 다른 자격 증명으로 교환을 하는 웹 서비스로 구현된다. 또한, 크레드엑스는 인증 정보 저장을 위해서 별칭을 사용하며, 별칭과 인증 정보를 연결하는 것은 사용자 책임이다.
세이프박스는 그리드 사용자에게 한 개 이상의 그리드 인증을 저장할 수 있도록 제공하는 자격 증명 관리 서비스로서, 사용자 이름과 비밀번호 쌍의 인증을 통해서 공유 토큰을 발급하고, 공유 토큰을 통해서 저장된 그리드 인증을 획득할 수 있는 인증 교환 프로토콜을 제시한다.
그리드 자원 제공부는, 웹 애플리케이션 수행부의 요청에 따라 그리드 자원을 웹 애플리케이션 수행부에게 제공할 수 있다.
인증 서버는 사용자 단말기로부터 수신되는 사용자 인증 요청에 따라 사용자 인증을 수행한 후에, 인증 정보를 웹 애플리케이션 수행부 및 서비스 제공 단말기로 전달해 줄 수 있다.
상술한 구성과 같은 본 발명의 이 실시예에 따른 인증서 위임 시스템은, 공개 인증 프로토콜 기반 X.509 대리 인증서 위임 및 획득을 수행하도록 하는데, 즉 공개 인증 프로토콜에 X.509 대리 인증서 위임/획득 프로세스를 추가한 프로토콜을 이용하여 X.509 대리 인증서 위임 및 획득을 수행할 수 있다.
본 발명의 삼 실시예에 따른 인증서 위임 시스템은, 신원 공급 단말기, 금고 서비스 단말기, 위임 단말기를 포함하여, 공개 인증 프로토콜에 X.509 대리 인증서 교환 프로세스를 추가하여, 사용자의 인증서를 위임하도록 할 수 있다. 여기서, 해당 인증서 위임은 사용자의 인증서에 대한 위임 인증서를 금고 서비스 단말기에 저장하는 것이다.
신원 공급 단말기는, 신원 공급자(Identity Provider; IdP)로서, 사용자의 신원을 인증해 주는 서비스를 제공한다.
일 실시예에서, 신원 공급 단말기는, 인증 화면을 금고 서비스 단말기로 제공하고 인증 절차를 금고 서비스 단말기에게 제공하여 사용자의 신원을 인증하도록 할 수 있다.
금고 서비스 단말기는, 금고 서비스(Secure Box Service; SBox)를 제공하는 단말기로서, 마이프록시를 대체하는 온라인 자격증명 저장 서비스를 제공하는데, 사용자의 인증서를 위임받아 저장하는 일과, 허가된 서비스 대행 단말기에게 저장된 사용자의 인증서를 위임하는 일을 수행할 수 있다.
일 실시예에서, 금고 서비스 단말기는, 위임 단말기로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 위임 단말기에게 발급해 주며, 금고 서비스의 인증 화면을 위임 단말기(330)에게 제공하여 공개아이디(OpenID) 및 공개 인증 프로토콜을 지원하는 신원 공급 단말기의 인증 사이트로 이동시켜 주며, 신원 공급 단말기로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증하며, 사용자의 인증이 성공적으로 끝날 경우에 대리 인증서에 사용할 개인/공개키 쌍을 생성하며, 접근 토큰을 생성하고 해당 생성된 접근 토큰과 대리 인증서 서명 요청서(공개키)를 위임 단말기에게 전달하며, 위임 단말기로부터 공유 암호 발급 요청을 인가받아 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기에게 발급해 줄 수 있다.
위임 단말기는, 위임자(Delegator)로서, 금고 서비스 단말기(320)에 사용자의 인증서를 위임하는 일을 수행하는 애플리케이션을 제공할 수 있다.
일 실시예에서, 위임 단말기는, 사용자의 요청에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하며, 금고 서비스 단말기로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며, 금고 서비스 단말기로부터 전달받은 대리 인증서에 서명을 수행하도록 하며, 해당 서명된 대리 인증서와 함께 접근 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하며, 금고 서비스 단말기로부터 발급받은 접근 토큰 및 공유 암호를 이용하여 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 한다.
한편, 상기 본 발명의 삼 실시예에 따른 인증서 위임 과정을 상세하게 설명한다.
우선 위임 단말기에서는 사용자의 요청에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하게 된다(제1 단계). 이에, 금고 서비스 단말기는 위임 단말기로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 위임 단말기에게 발급해 주게 된다(제2 단계).
이에 따라, 위임 단말기는 금고 서비스 단말기로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며(제3 단계), 금고 서비스 단말기는 금고 서비스의 인증 화면을 위임 단말기에게 제공하여 신원 공급 단말기의 인증 사이트로 이동시켜 주게 된다(제4 단계).
그러면, 신원 공급 단말기에서는 인증 화면을 금고 서비스 단말기로 제공하고 인증 절차를 금고 서비스 단말기에게 제공하여 사용자의 신원을 인증하도록 한다(제5 단계).
이때, 금고 서비스 단말기는 신원 공급 단말기로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증하며, 사용자의 인증이 성공적으로 끝날 경우에 대리 인증서에 사용할 개인/공개키 쌍을 생성하며, 접근 토큰을 생성하고 해당 생성된 접근 토큰과 대리 인증서 서명 요청서를 위임 단말기에게 전달하게 된다(제6 단계).
이에, 위임 단말기는 금고 서비스 단말기로부터 전달받은 대리 인증서에 서명을 수행하도록 하며, 해당 서명된 대리 인증서와 함께 접근 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하게 된다(제7 단계).
이에 따라, 금고 서비스 단말기는 위임 단말기로부터 공유 암호 발급 요청을 인가받아 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기에게 발급해 주게 된다(제8 단계).
그러면, 위임 단말기는 금고 서비스 단말기로부터 발급받은 접근 토큰 및 공유 암호를 이용하여 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 한다(제9 단계).
상술한 바와 같은 본 발명의 삼 실시예에 따른 인증서 위임 방법은, 인증서 위임을 위해서, 공개 인증의 제1 단계에서 제9 단계까지의 단계에서 제3 단계에서 제6 단계까지의 단계의 인증과, 제6 단계에서 제7 단계까지의 단계를 확장한다. 여기서, 제6 단계에서 제7 단계까지의 단계는 X.509 인증서 위임 프로세스를 추가한 것이다.
한편, 도 10은 응답 헤더를 나타낸 예시도이며, 도 11은 요청 헤더를 나타낸 예시도이다. 도 10 및 도 11을 참조하면, 상기 제6 단계와 제7 단계의 응답과 요청 예를 보여준다.
상기 제6 단계의 응답에서는, 공개 인증 프로토콜에 xoauth_proxy_ request 헤더 혹은 파라미터를 추가할 수 있다.
상기 제7 단계의 요청에서는, xoauth_public_certificate 헤더 혹은 파라미터를 추가하고, 확장된 proxy_request와 public_certificate의 내용은 파일로 첨부할 수 있다.
본 발명의 사 실시예에 따른 인증서 위임 시스템은, 신원 공급 단말기, 금고 서비스 단말기, 서비스 대행 단말기를 포함하여, 대리 인증서를 획득할 수 있다. 여기서, 해당 대리 인증서 획득은 금고 서비스 단말기에 위임한 대리 인증서를 이용해서 서비스 대행 단말기가 새로운 대리 인증서를 획득하는 것이다. 또한, 서비스 대행 단말기가 획득한 대리 인증서는 원본 개체 인증서의 권한을 계승한다.
신원 공급 단말기는, 신원 공급자로서, 사용자의 신원을 인증해 주는 서비스를 제공한다. 일 실시예에서, 신원 공급 단말기는, 인증 화면을 금고 서비스 단말기로 제공하고 인증 절차를 금고 서비스 단말기에게 제공하여 사용자의 신원을 인증하도록 한다.
금고 서비스 단말기는, 금고 서비스를 제공하는 단말기로서, 마이프록시를 대체하는 온라인 자격증명 저장 서비스를 제공하는데, 사용자의 인증서를 위임받아 저장하는 일과, 허가된 서비스 대행 단말기에게 저장된 사용자의 인증서를 위임하는 일을 수행한다.
일 실시예에서, 금고 서비스 단말기는, 서비스 대행 단말기로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 서비스 대행 단말기에게 발급해 주며, 금고 서비스의 인증 화면을 서비스 대행 단말기에게 제공하여 공개아이디(OpenID) 및 공개 인증 프로토콜을 지원하는 신원 공급 단말기의 인증 사이트로 이동시켜 주며, 신원 공급 단말기로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증한 후에, 금고에 저장되어 있는 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기에게 전달하며, 서비스 대행 단말기로부터 접근 토큰 공유 암호 발급을 요청받아 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기에게 전달하도록 한다.
서비스 대행 단말기는, 서비스 대행자(Service Agency; SA)로서, 사용자 혹은 다른 서비스를 대신하여 그리드 서비스에 접근하여 처리하는 서비스를 제공한다. 예를 들어, 그리드 포털과 같은 웹 애플리케이션이 이에 해당한다.
일 실시예에서, 서비스 대행 단말기는, 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하며, 금고 서비스 단말기로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며, 금고 서비스 단말기에서 생성된 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서(공개키)와 함께 접근 토큰 공유 암호 발급을 금고 서비스 단말기에게 요청하며, 금고 서비스 단말기로부터 전달받은 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기에 저장된 제1 대리 인증서를 폐기하도록 한다.
한편, 상기 본 발명의 사 실시예에 따른 인증서 위임 과정을 상세하게 설명한다.
우선 서비스 대행 단말기에서는 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하게 된다(제1 단계).
이에, 금고 서비스 단말기는 서비스 대행 단말기로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 서비스 대행 단말기에게 발급해 주게 된다(제2 단계).
이에 따라, 서비스 대행 단말기는 금고 서비스 단말기로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며(제3 단계), 금고 서비스 단말기는 금고 서비스의 인증 화면을 서비스 대행 단말기에게 제공하여 신원 공급 단말기의 인증 사이트로 이동시켜 주게 된다(제4 단계).
그러면, 신원 공급 단말기에서는 인증 화면을 금고 서비스 단말기로 제공하고 인증 절차를 금고 서비스 단말기에게 제공하여 사용자의 신원을 인증하도록 한다(제5 단계).
이때, 금고 서비스 단말기는 신원 공급 단말기로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증한 후에, 금고에 저장되어 있는 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기에게 전달하게 된다(제6 단계).
이에, 서비스 대행 단말기는 금고 서비스 단말기에서 생성된 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서(공개키)와 함께 접근 토큰 공유 암호 발급을 금고 서비스 단말기에게 요청하게 된다(제7 단계).
이에 따라, 금고 서비스 단말기는 서비스 대행 단말기로부터 접근 토큰 공유 암호 발급을 요청받아 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기에게 전달하도록 한다(제8 단계).
그러면, 서비스 대행 단말기는 금고 서비스 단말기로부터 전달받은 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기에 저장된 제1 대리 인증서를 폐기하도록 한다(제9 단계).
상술한 바와 같은 본 발명의 사 실시예에 따른 인증서 위임 방법은, 인증서 위임을 위해서, 공개 인증의 제1 단계에서 제9 단계까지의 단계에서 제3 단계에서 제6 단계까지의 단계의 인증과, 제6 단계에서 제7 단계까지의 단계를 확장한다. 여기서, 제6 단계에서 제7 단계까지의 단계는 X.509 인증서 위임 프로세스를 공개 인증 프로토콜에 추가한 것이다.
그리고 상술한 바와 같은 본 발명의 사 실시예에 따른 인증서 위임 방법은, 상술한 바와 같은 본 발명의 삼 실시예에 따른 인증서 위임 방법에서의 요청(도 10)과 응답(도 11)을 반대로 적용한 것과 동일하다는 점을 잘 이해해야 한다.
본 발명의 오 실시예에 따른 인증서 위임 시스템은, 제3의 신원 공급자의 단말기, 금고 서비스 단말기, 서비스 대행 단말기, 사용자 단말기를 포함하여, 제3의 신원 공급자의 단말기를 이용한 사용자 인증 동작을 수행하도록 한다.
제3의 신원 공급자의 단말기(즉, 신원 공급 단말기)는, 인증 화면을 금고 서비스 단말기로 제공하고 인증 절차를 금고 서비스 단말기에게 제공하여 사용자 단말기로부터 제공되는 사용자의 신원을 인증하도록 하며, 사용자의 인증이 성공적으로 끝날 경우에 인증 성공 정보를 금고 서비스 단말기에게 전달한다.
금고 서비스 단말기는, 금고 서비스의 인증 화면을 사용자 단말기에게 제공하여 신원 공급 단말기의 인증 사이트로 이동시켜 준 후에, 신원 공급 단말기로부터 인증 성공 정보를 전달받아 공개 인증 프로토콜 표준에 따른 공유 토큰 발급을 서비스 대행 단말기에게 허가해 준다. 이때, 금고 서비스 단말기는 신원 공급 단말기를 통해서 메일 주소 등과 같은 기본적인 신원 정보를 확인할 수 있다.
일 실시예에서, 금고 서비스 단말기는 서비스 대행 단말기에 대한 신원 공급자 역할을 수행할 수 있다.
서비스 대행 단말기는, 상기 본 발명의 삼 실시예 또는 사 실시예의 제2 단계의 동작을 수행하는데, 사용자 단말기로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 사용자 단말기에게 발급하며, 금고 서비스 단말기의 공유 토큰 발급 허가에 따라 그리드 자원 접근을 그리드 자원 제공부에 요청하여 그리드 자원 제공부로부터 그리드 자원을 제공받도록 한다.
사용자 단말기는, 상기 본 발명의 삼 실시예 또는 사 실시예의 제1 단계의 동작을 수행한 후에 상기 본 발명의 삼 실시예 또는 사 실시예의 제3 단계의 동작을 수행하는데, 사용자 요청 또는 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 서비스 대행 단말기에게 요청한 다음에, 서비스 대행 단말기로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 신원 공급 단말기의 인증 사이트로 이동하도록 한다.
그리고 사용자 단말기는, 금고 서비스 단말기에 의해 제공되는 신원 공급 단말기의 인증 화면에서 신원 공급 단말기로 사용자 인증을 수행한다. 이때, 사용자 단말기는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 신원 공급 단말기로 제공한다.
상술한 바와 같은 구성을 가진 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 자격 증명 서비스와 그리드 웹 애플리케이션의 인증 통합을 지원하기 위해서, 제3의 신원 공급자의 신원 공급 단말기를 통해서 신원 인증을 수행할 수 있다. 여기서, 신원 공급 단말기는 공개아이디(OpenID)와 공개 인증과 같은 단일 로그온이 가능한 서비스를 제공한다.
즉, 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 상기 본 발명의 삼 실시예 또는 사 실시예의 제3 단계에서 제6 단계의 사용자 인증 동작에 공개아이디(OpenID) 또는 공개 인증 프로토콜과 같은 외부 인증 프로토콜을 사용하도록 한다.
이때, 인증서 위임/획득 혹은 인증을 구분하기 위해서, 상기 본 발명의 삼 실시예 또는 사 실시예의 제3 단계에서 요청 헤더 혹은 파라미터에 항목(xoauth_auth_method=[auth, delegate or get])을 추가하여, 사용자 인증 목적을 명시할 수 있다.
만약에 값이 위임(delegate)이면 인증서 위임을 의미하고, 값이 획득(get)이면 인증서 획득을 의미하며, 값이 인증(auth)이거나 값이 없는 경우에는 확장하지 않은 공개 인증 프로토콜의 사용자 인증을 수행하도록 한다.
그리고 상술한 바와 같은 구성을 가진 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 다중 가상 조직(Multiple Virtual Organization)을 지원하기 위해서, 금고 서비스 단말기가 인증서 위임 시에 사용자 별로 여러 개의 인증서를 위임할 수 있도록 한다.
또한, 그리드 웹 애플리케이션 수행부인 서비스 대행 단말기에서 대리 인증서를 획득할 때에는, 상기 본 발명의 사 실시예의 제3 단계 내지 제6단계까지의 단계에서 사용자 인증 후에 위임되어 있는 대리 인증서를 선택하게 하여 다중 가상 조직을 지원할 수 있도록 한다.
본 발명 마이프록시 크레드엑스 세이프박스
사용자인증 및 인증방식 확장 방법 외부인증 자체인증(ID/PWD)
웹기반인증 PAM 불가 PAM, SASI 등
그리드인증 교환방법 (사용자포함) 공개인증프로토콜 X.509 프록시 + 중계 더블유-트러스트 + 중계 공유 토큰
제3자로부터 인증보호 공개인증프로토콜에 의존적임 불가 불가 공유 토큰에 의존적임
단일로그인 (SSO) 가능 불가 불가 가능
다중 인증서 가능 물가 가능 가능
표 1은 온라인 자격증명 저장 서비스들을 사용자 인증 지원 방법과, 그리드 인증으로 교환하는 방법, 그리드 인증을 사용하려고 하는 제3자로부터 사용자 인증의 보호 여부, 단일 로그온(Single Sign On; SSO) 지원 여부, 다중 인증서 지원 여부를 비교한 것이다.
여기서, 사용자 인증 및 인증 방식 확장 방법은, 공개아이디(OpenID)나 공개 인증 프로토콜과 같은 웹에서 사용하는 외부 인증 방법을 이용하여 사용자 인증을 지원한다. 이때, 마이프록시, 크레드엑스 및 세이프박스는 자체적인 사용자 인증 정보를 처리한다. 또한, 마이프록시 및 세이프박스에서 외부 인증을 지원하기 위해서는, 유닉스의 PAM을 확장할 수 있지만, 이런 경우에 PAM 시스템이 인증 정보를 중계해야 한다. 반면에, 본 발명은 다른 웹 애플리케이션과 통합할 때, 웹 인증 기반으로 수행되어 인증 정보 중계가 없어 안전하다.
그리고 그리드 인증 교환 방법은, 사용자 인증을 통해서 그리드 인증으로 교환하기 위한 방법을 말한다. 이때, 마이프록시는 X.509 대리 인증서 표준을 따르고, 크레드엑스는 웹 서비스 표준인 더블유-트러스트를 준수하고 있는데, 두 서비스는 사용자에서 서비스 대행자를 거쳐 그리드 인증을 수행해야 하기 때문에 추가의 사용자 자격 증명 중계가 필요하다. 또한, 세이프박스는 사용자 인증을 대표하는 동적으로 생성된 공유 토큰 방법을 사용한다.
그리고 제3자로부터 인증 보호의 경우, 그리드 인증의 교환을 위한 사용자 자격 증명 정보는 제3자인 그리드 웹 애플리케이션으로부터 보호되어야 한다. 본 발명에서는 공개 인증 방법으로 그리드 웹 애플리케이션에 사용자 자격 증명 정보가 전달되지 않도록 하고, 세이프박스는 공유 토큰을 사용하여 사용자 자격 증명 정보가 전달되지 않도록 하고 있다. 그러나 마이프록시와 크레드엑스는 사용자 자격 증명 정보를 그리드 웹 애플리케이션에 중계해야 함으로 사용자 자격증명 정보가 보호되지 않는다.
그리고 단일 로그온의 경우, 그리드 웹 애플리케이션과 온라인 자격증명 저장 서비스간의 사용자 자격 증명을 통합할 수 있어야 한다. 본 발명에서는 공개 인증 프로토콜에서 지원하는 범위에서 단일 로그온을 지원한다. 세이프박스는 공유 토큰을 이용한 단일 로그인이 지원이 가능하다. 마이프록시와 크레드엑스는 구현하지 않고 있으나 그리드 웹 애플리케이션에서 마이프록시와 크레드엑스를 통해서 사용자 자격 증명을 수행할 경우에만 가능하다.
그리고 다중 인증서의 경우, 다양한 그리드 가상 조직을 사용하기 위해서는 하나의 사용자 자격 증명으로 그리드 인증에 사용되는 다수의 인증서를 지원해야 한다. 마이프록시는 하나의 사용자 자격 증명에 하나의 인증서만 사용 가능하다.
상술한 바와 같이, 그리드 서비스를 지원하는 웹 애플리케이션에서 표준 웹 환경의 인증 방식에서 그리드 인증을 지원하기 위해서는, 온라인 자격 증명 저장 서비스가 필요하며, 온라인 자격 증명 저장 서비스는 다양한 방법의 사용자 자격 증명들을 그리드 인증으로 전환할 수 있어야 한다.
그리고 온라인 자격증명 저장 서비스로 가장 많이 사용하고 있는 마이프록시를 사용하는 경우, 사용자 단말기까지 인증이 교환되려면 웹 애플리케이션에 자격 증명이 저장될 수도 있다는 보안상의 문제, 그리드로 단일 로그인이 되지 않는 문제, 하나의 그리드 인증만 교환 가능하여 그리드웹 애플리케이션이 특정 그리드에 종속되는 한계를 가지고 있으므로, 본 발명에서는 이러한 세 가지 문제를 해결하기 위해서 사용자 자격 증명(예를 들어, 비밀번호, 공유키 등)을 그리드 인증(X.509인증)으로 교환하는 방법으로, 공개 인증 프로토콜에 X.509 대리 인증서 표준 교환 방법을 확장한 프로토콜을 사용하도록 하며, 제3의 신원 공급자를 통한 사용자 자격 증명이 가능하도록 하며, 이에 따라 그리드 웹 애플리케이션에서 웹 기반 인증으로 단일 로그인 형태의 인증 통합이 쉽게 가능해지고, 중계 애플리케이션에 사용자의 자격 증명 정보를 전달하는 보안 문제를 해결하며, 또한 단일 계정을 통하여 다중 가상 조직을 지원하는 것이 가능하도록 한다.
도 12는 본 발명의 일 실시예에 따른 인증서 검증 시스템을 설명하기 위한 블록도이다. 여기에서, 인증서 검증 시스템은 도 12에 개시된 각 구성 요소를 포함하는 컴퓨팅 장치에 해당할 수 있으며, 각 구성 요소는 상호 독립된 컴퓨팅 장치로 구현되거나 또는 하나의 컴퓨팅 장치에서 이하 설명하는 각 동작을 수행하는 소프트웨어로서 구현될 수 있다.
한편, 본 발명의 기술 분야에 속하는 통상의 기술자는 본 발명의 일 실시예에 따른 인증서 검증 시스템 및 인증서 검증 시스템에서 수행되는 인증서 검증 방법을 상기 도1 내지 11을 참조한 설명을 통하여 용이하게 이해하고 실시할 수 있을 것이다. 즉, 상기에서 설명한 중복된 내용은 생략하나 통상의 기술자는 이를 쉽게 이해할 수 있을 것이다.
도 12를 참조하면, 인증서 검증 시스템(1200)은 경로 정보 저장부(1210), 제1 검증 수행부(1220), 제2 검증 수행부(1230) 및 제어부(1240)를 포함한다.
경로 정보 저장부(1210)는 그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장한다.
일 실시예에서, 원본 인증서에 대한 공개 키 기반 구조(Public Key Infrastructure, PKI)와 상기 GSI는 비계층적 구조로 분리될 수 있다.
일 실시예에서, 경로 정보는 원본 인증서에 대한 검색 정보로서, 원본 인증서의 공개 키, 원본 인증서를 서명한 인증 기관(Certificate Authority, CA)의 공개 키, 원본 인증서의 이름 및 원본 인증서의 발급자의 이름 중 적어도 하나를 포함할 수 있다.
일 실시예에서, 경로 정보 저장부(1210)는 새로운 GSI 인증서의 발급 대상 대안 이름(예: Subject Alternative Name)에 원본 인증서의 발급 대상 이름(Subject Name)을 저장할 수 있다.
일 실시예에서, 경로 정보 저장부(1210)는 새로운 GSI 인증서의 발급자 대안 이름(예: Issuer Alternative Name)에 원본 인증서의 발급자 이름(예: Issuer Name)을 저장할 수 있다.
일 실시예에서, 경로 정보 저장부(1210)는 새로운 GSI 인증서의 발급 대상 키 식별자(예: Subject Key Identifier, SKID)에 원본 인증서의 공개 키를 저장할 수 있다.
일 실시예에서, 경로 정보 저장부(1210)는 새로운 GSI 인증서의 발급 기관 키 식별자(Authority Key Identifier, AKID)에 원본 인증서를 발급한 CA 인증서의 정보를 저장할 수 있다.
일 실시예에서, 경로 정보 저장부(1210)는 원본 인증서의 공개 키를 해쉬 알고리즘을 통해 변환하여 저장할 수 있다.
제1 검증 수행부(1220)는 저장된 경로 정보를 기초로 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행한다. 즉, 제1 검증 과정은 사용자의 인증서 철회 상태 및 유효 기간을 확인하는 기본 검증에 해당할 수 있다.
제2 검증 수행부(1230)는 저장된 경로 정보를 기초로 GSI의 인증서에서 원본 인증서를 검색하고 새로운 사용자 인증서와 검색된 원본 인증서 간의 관계를 확인하여 원본 인증서의 경로를 검증하는 제2 검증을 수행한다. 여기에서, 제2 검증 과정은 인증서를 발급할 때 서명해준 모든 인증서들에 대하여 기본 검증을 수행하는 과정을 포함할 수 있다.
일 실시예에서, 제2 검증 수행부(1230)는 원본 인증서의 경로를 발급 대상 대안 이름으로 GSI의 CA에서 관리되는 저장소에서 검색하여 원본 인증서를 검색할 수 있다.
일 실시예에서, 제2 검증 수행부(1230)는 GSI의 인증서의 발급 대상 키 식별자, 발급 기관 키 식별자, 원본 인증서의 공개 키, CA의 공개 키의 동일성 여부를 기초로 GSI의 인증서가 원본 인증서로부터 유도되었는지 여부를 검증할 수 있다.
일 실시예에서, 제2 검증 수행부(1230)는 검색된 원본 인증서의 경로를 재구성하여 재구성된 원본 인증서의 경로를 검증할 수 있다.
제어부(1240)는 경로 정보 저장부(1210), 제1 검증 수행부(1220) 및 제2 검증 수행부(1230)의 동작 및 데이터의 흐름을 제어한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1200 : 인증서 검증 시스템
1210: 경로 정보 저장부
1220: 제1 검증 수행부
1230: 제2 검증 수행부
1240: 제어부

Claims (11)

  1. 인증서 검증 시스템에서 수행되는 인증서 검증 방법에 있어서,
    그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장하는 단계;
    상기 저장된 경로 정보를 기초로 상기 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행하는 단계; 및
    상기 저장된 경로 정보를 기초로 상기 GSI의 인증서에서 상기 원본 인증서를 검색하고 새로운 사용자 인증서와 상기 검색된 원본 인증서 간의 관계를 확인하여 상기 원본 인증서의 경로를 검증하는 제2 검증을 수행하는 단계를 포함하고,
    상기 원본 인증서에 대한 공개 키 기반 구조(Public Key Infrastructure, PKI)와 상기 GSI는 비계층적 구조로 분리되는 것을 특징으로 하는 인증서 검증 방법.
  2. 삭제
  3. 제1항에 있어서, 상기 경로 정보는
    상기 원본 인증서에 대한 검색 정보로서, 상기 원본 인증서의 공개 키, 상기 원본 인증서를 서명한 인증 기관(Certificate Authority, CA)의 공개 키, 상기 원본 인증서의 이름 및 상기 원본 인증서의 발급자의 이름 중 적어도 하나를 포함하는 것을 특징으로 하는 인증서 검증 방법.
  4. 제3항에 있어서, 상기 원본 인증서에 대한 경로 정보를 저장하는 단계는
    새로운 GSI 인증서의 발급 대상 대안 이름에 상기 원본 인증서의 발급 대상 이름을 저장하는 단계;
    상기 새로운 GSI 인증서의 발급자 대안 이름에 상기 원본 인증서의 발급자 이름을 저장하는 단계;
    상기 새로운 GSI 인증서의 발급 대상 키 식별자에 상기 원본 인증서의 공개 키를 저장하는 단계; 및
    상기 새로운 GSI 인증서의 발급 기관 키 식별자에 상기 원본 인증서를 발급한 CA 인증서의 정보를 저장하는 단계;
    중 적어도 하나를 더 포함하는 것을 특징으로 하는 인증서 검증 방법.
  5. 제4항에 있어서, 상기 원본 인증서의 공개 키를 저장하는 단계는
    상기 원본 인증서의 공개 키를 해쉬 알고리즘을 통해 변환하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 인증서 검증 방법.
  6. 제4항에 있어서, 상기 제2 검증을 수행하는 단계는
    상기 원본 인증서의 경로를 상기 발급 대상 대안 이름으로 상기 GSI의 CA에서 관리되는 저장소에서 검색하여 상기 원본 인증서를 검색하는 단계를 더 포함하는 것을 특징으로 하는 인증서 검증 방법.
  7. 제6항에 있어서, 상기 제2 검증을 수행하는 단계는
    상기 GSI의 인증서의 발급 대상 키 식별자, 발급 기관 키 식별자, 원본 인증서의 공개 키, CA의 공개 키의 동일성 여부를 기초로 상기 GSI의 인증서가 상기 원본 인증서로부터 유도되었는지 여부를 검증하는 단계를 더 포함하는 것을 특징으로 하는 인증서 검증 방법.
  8. 제7항에 있어서, 상기 제2 검증을 수행하는 단계는
    상기 검색된 원본 인증서의 경로를 재구성하여 상기 재구성된 원본 인증서의 경로를 검증하는 단계를 더 포함하는 것을 특징으로 하는 인증서 검증 방법.
  9. 그리드 보안 구조(Grid Security Infrastructure, GSI)의 인증서에 원본 인증서에 대한 경로 정보를 저장하는 경로 정보 저장부;
    상기 저장된 경로 정보를 기초로 상기 원본 인증서에 대한 철회 상태 및 유효 기간 중 적어도 하나와 연관된 제1 검증을 수행하는 제1 검증 수행부; 및
    상기 저장된 경로 정보를 기초로 상기 GSI의 인증서에서 상기 원본 인증서를 검색하고 새로운 사용자 인증서와 상기 검색된 원본 인증서 간의 관계를 확인하여 상기 원본 인증서의 경로를 검증하는 제2 검증을 수행하는 제2 검증 수행부를 포함하고,
    상기 원본 인증서에 대한 공개 키 기반 구조(Public Key Infrastructure, PKI)와 상기 GSI는 비계층적 구조로 분리되는 것을 특징으로 하는 인증서 검증 시스템.
  10. 삭제
  11. 제9항에 있어서, 상기 경로 정보는
    상기 원본 인증서에 대한 검색 정보로서, 상기 원본 인증서의 공개 키, 상기 원본 인증서를 서명한 인증 기관(Certificate Authority, CA)의 공개 키, 상기 원본 인증서의 이름 및 상기 원본 인증서의 발급자의 이름 중 적어도 하나를 포함하는 것을 특징으로 하는 인증서 검증 시스템.
KR20130078784A 2013-07-05 2013-07-05 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템 KR101471414B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130078784A KR101471414B1 (ko) 2013-07-05 2013-07-05 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130078784A KR101471414B1 (ko) 2013-07-05 2013-07-05 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템

Publications (1)

Publication Number Publication Date
KR101471414B1 true KR101471414B1 (ko) 2014-12-10

Family

ID=52678453

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130078784A KR101471414B1 (ko) 2013-07-05 2013-07-05 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템

Country Status (1)

Country Link
KR (1) KR101471414B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013668A (ko) * 2002-08-08 2004-02-14 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013668A (ko) * 2002-08-08 2004-02-14 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법

Similar Documents

Publication Publication Date Title
US10664577B2 (en) Authentication using delegated identities
US9172541B2 (en) System and method for pool-based identity generation and use for service access
Carretero et al. Federated identity architecture of the European eID system
KR20170106515A (ko) 다중 팩터 인증 기관
Laborde et al. A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework
Bazaz et al. A review on single sign on enabling technologies and protocols
Berbecaru et al. Providing login and Wi-Fi access services with the eIDAS network: A practical approach
CN109981287A (zh) 一种代码签名方法及其存储介质
KR20140050121A (ko) 인증서 위임 시스템 및 방법
EP3286894B1 (en) Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
JP2009205223A (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
Aleksandrova et al. Applying the group signature for entity authentication in distributed grid computing networks
KR101471414B1 (ko) 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템
Milenković et al. Using Kerberos protocol for single sign-on in identity management systems
Zwattendorfer et al. Middleware Architecture for Cross-Border Identification and Authentication.
Basu et al. Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System
Trias et al. Enterprise level security
Beshiri et al. Authentication and authorisation in service-oriented grid architecture
Abdulla et al. Identify cloud security weakness related to authentication and identity management (IAM) using openstack keystone model
Vullings et al. Secure federated authentication and authorisation to grid portal applications using saml and xacml
Deeptha et al. Single Sign-on Mechanism for Secure Web Service Access through ISSO
Kakei et al. SSL client authentication with TPM
Nagar et al. A secure authenticate framework for cloud computing environment
Ioannis Integration of OpenId Connect with Fido Uaf for Android Environments

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170921

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 5