Future Internet Authentication : Trend and Perspective 2011 년 6 월 28 일, 박승철교수 (scpark@kut.ac.kr)
인증 (authentication) 정의 사용자가전자적으로제시한신원 (identity) 에대한신뢰 (confidence) 를확립하는작업 Process of corroborating an identity or attribute with a specified or understood level of assurance(itu-t X.eaa/TTAI.IT-Xeaa) 2
인증과정 등록 (enrollment) : 증거서류제시 (proofing) 확인 (verification) 기재 (registration) 증명정보 (credential) 관리 발급 (issuance) 결합 (binding) 폐지 (revocation) 증명정보사용 인증 (authentication) 기록 (record-keeping) 3
인증기법 사용자이름 / 패스워드기반의인증 (user name / password) 일회용패스워드기반의인증 (one time password) 챌린지 / 응답기반의인증 (challenge / response) 익명열쇠교환기반의인증 (anonymous key exchange) 서버인증서기반의인증 (server certificate) 상호공개열쇠기반의인증 (mutual public key) 4
인증프로토콜 PAP(Password Authentication Protocol) CHAP(Challenge Handshake Authentication Protocol) EAP(Extensible Authentication Protocol) HTTP 기본인증 (basic authentication)/ 다이제스트인증 (digest authentication) Kerberos SSL/TLS IPsec 5
인증프로비져닝프로토콜 CMP(Certificate Management Protocol) SKRSS(XML Key Registration Service Specification) CMC(Certificate Management over CMS) SCEP(Simple Certificate Enrollment Protocol) OSCP(Online Certificate Status Protocol) KMIP(Key Management Interoperability Protocol) 6
현재인증모델 : authentication 1.0 폐쇄형신원 (closed identity) 모델 특정서비스제공자 (service provider) 에만사용가능한신원정보 고립형인증 (isolated authentication) 모델 특정서비스제공자에만사용가능한인증결과 서비스제공자중심 (service provider centric) 모델 서비스제공자에의한인증정책결정과집행 인증수준자가보증 (self-assurance of authentication level) 모델 서비스제공자에의한자체적인인증수준보증 표준인증보증수순부재 7
authentication 1.0 의문제점 사용자편의성 (usability) 부족 다수의신원증명정보관리 신원정보의반복적인등록 반복적인로그인과로그아웃 신뢰기반 (trustworthiness) 부재 사용자가서비스제공자의인증보증수준 (level of authentication assurance) 에대한판단 8
authentication 1.0 의문제점 고비용 (high cost) 구조 모든서비스제공자가신원 ( 인증 ) 서버개발, 구축, 유지, 관리 프라이버시 (privacy) 문제유발 많은수의서비스제공자에신원정보노출 불필요한신원정보요구및사용자통제장치미흡 신원정보수집, 사용, 보호상태에대한감사시스템부족 9
새로운인증모델 : authentication 2.0 신원공유 (shared identity) 하나의신원을다수의서비스제공자에서사용 인증공유 (shared authentication) 하나의서비스제공자의인증결과를다수의서비스제공자가공유 단일사인온 (single sign-on) 10
새로운인증모델 : authentication 2.0 사용자중심 (user-centric) 신원정보에대한사용자통제강화 연방화 (federation) 다수의서비스제공자들이신원정보와인증공유를위한신뢰동아리 (Circle of Trust) 형성 11
authentication 2.0 모델 Passport/Live ID 중앙집중형인증모델 Liberty Alliance/SAML CoT 기반의연방형 (federated) 인증모델 OpenID 개방형 ID 기반의인증모델 CardSpace 사용자중심 (user-centric) 인증모델 12
Passport/Live ID Passport 서버에의한중앙집중형인증 13
Passport/Live ID (1) 웹브라우저사용자가 Passport 인증시스템을사용하는서비스제공자의특정웹페이지의접근을요청한다. (2),(3) 서비스제공자는해당사용자를 Passport 서버에게인증을위해 Redirect 한다. (4) Passport 서버는해당사용자웹브라우저와보안채널 (SSL/TLS) 을설정하고로그인페이지를제공한다. (5) 사용자는보안채널을통해사용자이름과패스워드를입력한다. (6) 사용자에대한인증이성공적으로완료되면 Passport 서버는해당서비스제공자와미리정의된열쇠로암호화한인증정보를담은 Redirect 메시지를사용자웹브라우저에게전달한다. 이때 Passport 서버는암호화된쿠키 (GLOBALAUTH-cookie) 를웹브라우저에게제공한다. 이쿠키정보는해당서버가다시 Passport 서버를방문할때로그인절차를생략하기위해사용된다. (7) 암호화된인증정보와함께웹페이지요청메시지가서비스제공자에게전달된다. (8) 해당사용자에대한인증결과가성공적이면서비스제공자는해당사용자웹브라우저에게암호화된쿠키 (LOCAL-cookie) 를제공한다. 이쿠키정보는해당사용자가동일한서비스제공자를다시방문할때인증절차를생략하기위해사용된다. 14
Passport/Live ID 장점 신원공유 (shared identity) 인증공유 (shared authentication) 신원제공자 (IdP-Identity Provider) 신뢰 문제점 프라이버시 (privacy) MS 서버에모든신원정보노출 서비스제공자 (SP-Service Provider/RP-Relying Party) 의독립성훼손 낮은확장성 (scalability) 중앙집중형서버 15
Liberty Alliance/SAML CoT-Circle of Trust 16
Liberty Alliance/SAML 연방화된신원 (federated identity) 17
Liberty Alliance/SAML 필명 / 가명 (pseudonym) 기반의신원연방화 18
Liberty Alliance/SAML 19
Liberty Alliance/SAML 장점 신원공유 (shared identity) & 인증공유 (shared authentication) 신원제공자 (IdP) & 서비스제공자 (SP) 신뢰 IdP 선택가능 & SP 독립성보장 필명 / 가명 (pseudonym) 지원 & 신원정보에대한사용자통제 단점 사용자신원연방화를위한복잡한구성과정 IdPs & SPs 상호협약을통한 CoT 설정과정의복잡성 IdP 에의한사용자 SP 접근정보관찰 20
OpenID 1.x 선택가능한 OP(OpenID Provider) 에등록한하나의 ID(OpenID) 를사용하여 SSO 방식으로 OpenID 를지원하는모든서비스제공자 (SP) 접근 SP 가 OP 를발견하여인증요청 redirect 2.0 OpenID 를지원하는 SP 에게선택가능한 OP 의 URL 을제시 OP 가발급한필명 / 가명 (pseudonym) 을사용하여해당 SP 접근 21
OpenID 1.x 22
OpenID 2.0 23
OpenID 장점 신원공유 (shared identity) & 인증공유 (shared authentication) 필명 / 가명 (pseudonym) 지원 & 신원정보에대한사용자통제 사용하기간단함 단점 OP 의인증보증수준과 SP 에대한신뢰여부가사용자의판단에의존 OP 에의한사용자 SP 접근정보관찰 24
CardSpace 시스템구성 Identity selector : 사용자의신원정보들을온라인서비스제공자 (relying parties) 들에게안전하고신뢰적인방법으로제공하는클라이언트소프트웨어 Identity provider : InfoCard 라불리는 XML 파일형태의가상의신원카드를발급하고신원인증서비스를제공하는서버 Service provider/relying party : CardSpace 인증서비스를사용하는서비스제공자 25
CardSpace Identity selector 26
CardSpace 27
CardSpace 28
CardSpace 장점 신원공유 (shared identity) & 인증공유 (shared authentication) IdP 에대한사용자선택보장 & 신원정보에대한사용자통제 IdP 와 SP 의동작분리 IdP 에의한 SP 접근행위관찰배제 SP 에대한제 3 자의인증서비스 단점 사용자장치에 Identity selector 설치필요 processing power IdP 의인증보증수준과 SP 에대한신뢰를위한표준화된인프라스트럭처부재 최종판단을사용자에의존 29
authentication 2.0 모델비교 장점단점개선점 Passport usability Privacy, scalability trustworthiness Liberty Alliance trustworthiness usability Privacy, scalability CardSpace OpenID privacy, scalability Usability, scalability Identity selector 설치 trustworthiness Usability, trustworthiness privacy 30
authentication 3.0 모델전망 Distributed SSO User- Centricity Identity Management 3.0 Open Trust Infrastructure 31
authentication 3.0 모델전망 Distributed SSO Single Sign-On for Usability Distributed Identity Management for Privacy and Scalability Global Internet Access by Limited Number of Identity Providers for Usability Authentication Interoperability based on LoA(Level of Assurance) LoA Standardization : NIST 800-63 : Electronic Authentication Guideline ITU-T X.eaa(TTAI.IT-Xeaa) : Entity Authentication Assurance Framework 32
authentication 3.0 모델전망 User-Centricity User-control of identity information User-selection of Identity Providers UA(User Agent)-mediation of Identity Provider and Service Provider Interactions UA-verification of LoA of Identity Providers and LoP(Level-of-Protection) of Service Providers 33
authentication 3.0 모델전망 Open Trust Infrastructure LoA of Identity Providers LoP of Service Providers Open Trust Framework for Internet Scale Certification Certification of Identity Provider Certification Authorities Certification of Service Provider Certification Authorities Certification of Identity Providers Certification of Service Providers 34
authentication 3.0 모델전망 Open Trust Infrastructure Example OITF by OIX Corporation 35
authentication 3.0 모델전망 Open Trust Infrastructure Example OIX US ICAM LoA 1 Framework 36
Thank you!