[논문]커버로스 기반의 효율적인 허가 메커니즘 설계

김은환; 전문석

doi:10.3745/kipstc.2003.10c.3.287

[국내논문] 커버로스 기반의 효율적인 허가 메커니즘 설계
Design of a effective Authorization Mechanism based on Kerberos 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.10C no.3, 2003년, pp.287 - 294

초록
AI-Helper

분산 네트워크 환경의 보안에 있어서 인증(authentication)과 함께 허가(authorization)는 필수적인 보안 기능이다. 허가는 사용자나 과정이 특별한 운영을 수행할 것인지를 판단하고 결정하는 절차다. 본 논문에서는 인증 메커니즘은 기존 커버로스를 사용하고 효율적인 시스템을 만들기 위해 허가 메커니즘을 설계하여 첨가한다. 제안한 허가 메커니즘은 커버로스 서버 안에 프록시 권한 서버를 운영한다. 프록시 권한 서버는 제안한 알고리즘을 사용하여 자신이 속한 영역의 사용자, 서버 및 서비스의 권한을 관리하고 허가한다. 또한, 프록시 권한 서버가 발행하는 권한 속성 인증서는 권한 위임에 사용된다 기존의 커버로스의 인증 메커니즘에 제안하고 있는 효율적인 허가 메커니즘을 추가함으로써 보다 안전한 커버로스를 설계했다.

Abstract ▼ AI-Helper

Authentication and authorization are essential functions for the security of distributed network environment. Authorization is determining and to decide whether a user or process is permitted to perform a particular operation. In this paper, we design an authorization mechanism to make a system more effective with Kerberos for authentication mechanism. In the authorization mechanism, Kerberos server operates proxy privilege server. Proxy privilege server manages and permits right of users, servers and services with using proposed algorithm. Also, privilege attribute certificate issued by proxy privilege server is used in delegation. We designed secure kerberos with proposed functions for effective authorization at the same time authentication of Kerberos mechanism.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 기존 커버로스의 인증 메커니즘과 티켓 인증자의 구조를 분석했다. 기존 커버로스에는 인증 메커니즘만을 사용하고 있으며 허가 메커니즘에 대해서는 언급하고 있지 않다.

제안 방법

허가 메커니즘을 사용하는 시스템에는 유럽 보안 시스템 연구 프로젝트로서 공개키/개인 키 개념을 도입하고 PAS(privilege attribute service)를 두어 PAC(privi- lege attribute certificate)-!- 발행하여 허가 메커니즘을 구성한 SESAME(Secure European System for Application in a Multi-vendor Environment)[4, 5] 프로젝트가 있다. 또한, OSF의 DCE(distributed computing environment) [8]£ PAC 개념을 사용하여 허가 메커니즘과 권한 위임 개념을 구현하였다.
본 논문은 기존의 커버로스 인증 메커니즘에 프록시 권한 서버 (PPS : proxy privilege server)를 두어 권한 허가 메커니즘 기능을 제공한다. PPS는 자신이 속한 영역의 사용자, 서버 및 서비스에 대한 권한을 관리하고 권한 허가를 해준다.
PPS 동작 알고리즘은 권한 요구 등의 내용을 포함한 PAC를 발행하여 권한 위임 기능을 수행한다. 또한, 제안한 허가 메커니즘은 기존의 커버로스의 인증 절차를 최대한 유지하면서 별도의 자료구조나 인증 단계를 추가하지 않은 권한 허가 메커니즘이다.
인증 메커니즘을 사용할 때는 이 부분을 사용하지 않는다. 제안하는 허가 메커니즘에서는 authorization data 부분에 개시자나 중개자의 이름과 무결성을 위한 해 쉬 값을 저장한다.
인증 메커니즘을 사용할 때는 이 부분을 사용하지 않는다. 제안하는 허가 메커니즘에 서는 subkey를 이용하여 권한 속성 인증서 (PAC) 를 암호화하고, authorization-data 부분에 PAC를 저장한다.
제안하는 메커니즘의 구성은 사용자, 커버로스 서버 및 응용 서버로 이루어지고, 커버로스 서버는 인증 서버, 티켓 발행 서버, 프록시 권한 서버로 구성된다. 인증 서버, 티켓 발행 서버는 기존 커버로스의 역할을 수행한다.
무결성은 PAC의 해쉬값HV) 과 PID값을 저장한 티켓과 세션 키로 암호화한 PAC를 목적지로 전송한다. 목적지에서 티켓과 PAC를 복호화하고 PID 와 해쉬값을 비교하여 무결성을 확인한다.
무결성은 PAC의 해쉬값HV) 과 PID값을 저장한 티켓과 세션 키로 암호화한 PAC를 목적지로 전송한다. 목적지에서 티켓과 PAC를 복호화하고 PID 와 해쉬값을 비교하여 무결성을 확인한다. 티켓과 PAC는 각각 비밀키와 세션 키로 암호화하기 때문에 안전하다.
영역 간에 세션^〕成祯)로 암호화한 ProxyPAC를 발행하고, 상대 영역에서는 ProxyPAC를 통해서 요구자의 서비스와 권한 요구에 대해서 유효성을 확인한다. ProxyPAC의 구성은 다음과 같다.
기존 커 버로스를 기준으로 권한 허가 메커니즘을 적용한 전송 프로토콜이다. 전체적인 동작 단계는 기존 커 버로스를 그대로 적용했으며, 권한 허가 메커니즘을 위한 자료 구조 는 티켓과 인증 자의 옵션 부분을 활용했다.
제안하고 있는 허가 메커니즘을 위해서는 기존의 커버로스 에 프록시 권한 서버 (PPS: proxy privilege server)를 KDC 내부에 두어 동작하게 하였다. PPS가 K①C 내부에서 동작하기 때문에 AS, TGS 및 PPS 간의 데이터 전달은 특별한 암호화나 전자서명 없이 데이터를 교환한다.
제안한 허가 메커니즘은 기존 커버로스의 인증 메커니즘을 최대한 활용 할 수 있도록 개선했다. 즉, 기존의 커버로스 인증 메커니즘에 허가 메커니즘을 접목했다. 기존 커버로스 서버에 프록시 권한 서버를 두어 권한 허가 메커니즘을 설계했다.
즉, 기존의 커버로스 인증 메커니즘에 허가 메커니즘을 접목했다. 기존 커버로스 서버에 프록시 권한 서버를 두어 권한 허가 메커니즘을 설계했다. 그리고 제안하고 있는 메커니즘과 기존의 SESAME 시스템을 비교 분석한다.
제안한 메커니즘은 전송 단계의 추가 없이 기존의 커버 로스의 동작 절차를 그대로 적용했다. 단일 영역의 동작 절차는 5단계, 다중 영역인 경우는 7단계를 수행한다.
권한 서버의 사용 용도에 있어서 제안한 메커니즘은 권한 서버가 자신이 속한 영역 내의 응용 서버에 대한 서비스에 대한 권한만을 저장하고 처리하기 때문에 권한 서버의 부담을 줄였다. 다중 영역에 대한 권한 허가는 ProxyPAC를 발행하여 해당 영역의 권한 서버에서 처리하도록 했다. SESAME는 모든 응용 서버에 대한 서비스들의 권한 내용을 해당하는 모든 권한 서버가 저장하고 있어야 한다.
기존 커버로스에는 인증 메커니즘만을 사용하고 있으며 허가 메커니즘에 대해서는 언급하고 있지 않다. 그러므로 기존 커버로스의 개념에 제안한 허가 메커니즘을 추가하여 인증과 더불어 효율적으로 커버로스를 사용할 수 있도록 설계했다. 기존 커버로스에프록시 권한 서버(PPS)를 두어 영역 내의 권한을 관리하도록 했다.
기존 커버로스에프록시 권한 서버(PPS)를 두어 영역 내의 권한을 관리하도록 했다. PPS는 제안하고 있는 알고리즘을 이용하여 권한 허가 개념을 처리하고 권한 속성 인증서(PAC)를 생성하여 제공한다. PAC를 통해 권한 위임(delegation)을 처리한다.
다중 영역에서의 권한 위임 기능은 ProxyPAC를 발행하여 원격 PPS로부터 PAC를 발행하도록 하여 PPS의 부담을 줄였다. PAC를 사용하여 개시자의 권한을 위임하여 중개자로 하여금 개시자의 권한을 갖고 처리하도록 했다. 또한, 제안한 메커니즘은 기존 커버로스 동작 단계에는 영향을 주지 않도록 했다.
PAC를 사용하여 개시자의 권한을 위임하여 중개자로 하여금 개시자의 권한을 갖고 처리하도록 했다. 또한, 제안한 메커니즘은 기존 커버로스 동작 단계에는 영향을 주지 않도록 했다. 그러므로 추가되는 키의 개수나 동작단계는 그대로 유지하면서 권한 허가 기능을 추가하여 성능을 향상 시켰다.

데이터처리

기존 커버로스 서버에 프록시 권한 서버를 두어 권한 허가 메커니즘을 설계했다. 그리고 제안하고 있는 메커니즘과 기존의 SESAME 시스템을 비교 분석한다.
다음은 제안한 메커니즘과 SESAME를 비교 분석했다.

이론/모형

분산 네트워크에서 가장 대표적인 인증 메커니즘으로 커 버로스[2, 3, 10-12]가 있다. 커버로스는 중앙 집중식 인증 서버를 사용하고, 암호화 방식은 대칭키 암호화 방식을 사용하여 인증을 수행한다. 현재, 커버로스 기반의 권한 허가 메커니즘에 대한 연구[6, 7, 13, 14]는 진행 중이며 일부는 사용하고 있다.

성능/효과

응용 서버는 티켓과 인증 자를 사용하여 사용자를 인증하고 PACc를 확인한다. PAC에 대해서 해 쉬한 결과가 티 켓에 포함된 HV값과 같으면 K①C가 올바르게 권한 부여를 수행한 것을 확인할 수 있다.
제안한 허가 메커니즘은 기존 커버로스의 인증 메커니즘을 최대한 활용 할 수 있도록 개선했다. 즉, 기존의 커버로스 인증 메커니즘에 허가 메커니즘을 접목했다.

후속연구

본 논문은 기존의 커버로스에 권한 허가 메커니즘을 추가하여 인증 메커니즘과 함께 권한 허가 메커니즘을 사용한 효율적인 커버로스를 설계하였으며 향후, 많은 곳에서 인증과 허가시스템으로 사용될 것으로 기대한다.

참고문헌 (14)

J. Kohl and C. Neuman, 'The Kerberos Network Authentication Service(V5),' RFC 1510, September, 1993
J. Steiner, C. Neuman, J. Schiller, 'Kerberos: An Authentication Service for Open Network System,' Proc.of the Winter 1988 Usenix Conference, Feb., 1988
W. Stallings, 'Network Security Essentials applications and standard,' Prentice hall, 2000
T. T. Parker, 'A Secure European System for Applications in a Multi-vendor Environment(The SESAME Project),' Proceedings of the 14th American National Security Conference, 1991
P. V. McMahon, 'SESAME V2 Public Key and Authorization Extensions to Kerberos,' Proceedings of the 1995 Symposium on Network and Distributed System Security, 1991
B. Clifford Neuman, 'Proxy-Based Authorization and Accounting for Distributed system,' Proceedings of the 13th International Conference on Distributed Computing systems, pp. 283-291, 1993
Jonathan T. Trostle,, B. Clifford Neuman, 'A Flexible Distributed Authorization Protocol,' Internet Society 1996 Symposium on Network and Distributed System Security, pp.43-52, May, 1996
Marlena E. Erdos, and Joseph N. Pato, 'Extending the OSF DCE Authorization System to Support Practical Delegation,' Proceedings of the PSRG Workshop on Network and Distributed System Security, pp.93-100, Feb., 1993
M. Gasser and E. McDermott, 'An Architecture for Practical Delegation in a Distributed System,' IEEE Symposium on Security and Privacy, pp.20-30, 1999
http://web.mit.edu/kerberos/www/
김은환, 전문석, '공개키를 이용한 커버로스 기반의 강력한 인증 매커니즘 설계,' 정보보호학회논문지, 제12권 제2호, April, 2002
신광철, 정진욱, '네트윅 환경에서 안전한 Kerberos 인증 메커니즘에 관한 연구,' 정보보호학회논문지, 제12권 제2호, April, 2002
김철현, 정일용, 'PKINIT 기반 새로운 커브로스 인증 메커니즘의 설계,' 정보과학회논문지, 제28권 제1호, Mar. 2001

원문보기 상세보기
유정각, 이건희, 이상하, 김동규, 'PKI기반에서 X.509 인증서를 사용한 권한 위임,' 정보보호학회 종합 학술발표회논문집, 제11권 제1호, Nov., 2001

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증