연합인증은 소속기관에서 이용하는 사용자 ID와 비밀번호를 이용해 타 기관에서 제공하는 연구자원에 접근할 수 있는 멀티도메인 간 사용자 인증 및 인가체계이다. 사용자는 연합인증 서비스에 참여하고 있는 다수의 기관들 중에서 자신의 소속기관을 선택해 로그인해야 한다. 탐색서비스는 연합인증이 가능한 기관들을 목록화해 화면 표시함으로써 사용자가 자신의 소속기관을 쉽게 찾을 수 있게 하는 서비스이다. ID 연합에 참여하는 기관이 증가할수록 소속기관 검색이 어렵기 때문에 탐색시스템에서 참여기관들을 효과적으로 목록화하는 방법이 필요하다. 본 논문은 사용자와 기관의 위치정보를 이용해 근접도를 계산하고 근접도에 따라 기관들의 목록 순서를 결정하는 식별정보제공자 탐색시스템을 제안한다. 또한 탐색시스템의 무중단 서비스를 위한 서버 이중화 방안과 연합인증 서비스의 관리편의성 재고를 위해 서비스현황 모니터링 기능을 구현한다. 마지막으로 개발된 탐색시스템을 연합인증 서비스 환경에 적용하고 제안한 위치정보 기반 탐색, 서버 이중화, 현황 모니터링 방법의 성능과 기능을 검증했다.
연합인증은 소속기관에서 이용하는 사용자 ID와 비밀번호를 이용해 타 기관에서 제공하는 연구자원에 접근할 수 있는 멀티도메인 간 사용자 인증 및 인가체계이다. 사용자는 연합인증 서비스에 참여하고 있는 다수의 기관들 중에서 자신의 소속기관을 선택해 로그인해야 한다. 탐색서비스는 연합인증이 가능한 기관들을 목록화해 화면 표시함으로써 사용자가 자신의 소속기관을 쉽게 찾을 수 있게 하는 서비스이다. ID 연합에 참여하는 기관이 증가할수록 소속기관 검색이 어렵기 때문에 탐색시스템에서 참여기관들을 효과적으로 목록화하는 방법이 필요하다. 본 논문은 사용자와 기관의 위치정보를 이용해 근접도를 계산하고 근접도에 따라 기관들의 목록 순서를 결정하는 식별정보제공자 탐색시스템을 제안한다. 또한 탐색시스템의 무중단 서비스를 위한 서버 이중화 방안과 연합인증 서비스의 관리편의성 재고를 위해 서비스현황 모니터링 기능을 구현한다. 마지막으로 개발된 탐색시스템을 연합인증 서비스 환경에 적용하고 제안한 위치정보 기반 탐색, 서버 이중화, 현황 모니터링 방법의 성능과 기능을 검증했다.
Federated authentication (FA) is a multi-domain authentication and authorization infrastructure that enables users to access nationwide R&D resources with their home-organizational accounts. An FA-enabled user is redirected to his/her home organization, after selecting the home from an identity-prov...
Federated authentication (FA) is a multi-domain authentication and authorization infrastructure that enables users to access nationwide R&D resources with their home-organizational accounts. An FA-enabled user is redirected to his/her home organization, after selecting the home from an identity-provider (IdP) discovery service, to log in. The discovery service allows a user to search his/her home from all FA-enabled organizations. Users get troubles to find their home as federation size increases. Therefore, a discovery service has to provide an intuitive way to make a fast IdP selection. In this paper, we propose a discovery system which leverages geographical information. The proposed system calculates geographical proximity and text similarity between a user and organizations, which determines the order of organizations shown on the system. We also introduce a server redundancy and a status monitoring method for non-stop service provision and improved federation management. Finally, we deployed the proposed system in a real service environment and verified the feasibility of the system.
Federated authentication (FA) is a multi-domain authentication and authorization infrastructure that enables users to access nationwide R&D resources with their home-organizational accounts. An FA-enabled user is redirected to his/her home organization, after selecting the home from an identity-provider (IdP) discovery service, to log in. The discovery service allows a user to search his/her home from all FA-enabled organizations. Users get troubles to find their home as federation size increases. Therefore, a discovery service has to provide an intuitive way to make a fast IdP selection. In this paper, we propose a discovery system which leverages geographical information. The proposed system calculates geographical proximity and text similarity between a user and organizations, which determines the order of organizations shown on the system. We also introduce a server redundancy and a status monitoring method for non-stop service provision and improved federation management. Finally, we deployed the proposed system in a real service environment and verified the feasibility of the system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
제안한 근접도에 따라 식별정보제공자의 화면표시 우선순위를 결정하기 때문에 사용자가 자신의 소속기관을 쉽고 빠르게 검색할 수 있다는 것을 실험을 통해 확인했다. 또한 본 논문은 공개소프트웨어를 활용한 서버 이중화 환경의 구축 방법을 제시하고 구현함으로써 개발된 탐색시스템의 무중단 서비스를 가능케 했다. 마지막으로 탐색서비스와 연동한 이용현황 모니터링 기능을 구현함으로써 서비스제공자의 생명주기 관리, 사용자의 접근기록 관리를 가능하게 하는 등 신뢰프레임워크제공자의 연합인증 서비스에 대한 관리편의성을 향상시켰다.
본 논문은 식별정보제공자 탐색시스템의 개발내용을 상세히 소개한다. 개발된 탐색시스템은 식별정보제공자들의 위치정보와 기관명을 이용해 연합인증 서비스를 이용 중인 사용자와의 근접도(Proximity)를 계산한다.
본 논문은 위치정보에 기반을 둔 식별정보제공자 탐색시스템을 개발하고 실제 서비스 환경에서 성능과 기능을 검증했다. 제안한 근접도에 따라 식별정보제공자의 화면표시 우선순위를 결정하기 때문에 사용자가 자신의 소속기관을 쉽고 빠르게 검색할 수 있다는 것을 실험을 통해 확인했다.
탐색서비스는 사용자가 자신의 계정 정보를 저장하고 있는 식별정보제공자를 보다 쉽게 검색 및 선택 할 수 있게 하는 연합인증 응용서비스이다. 본 논문은 중앙집중형 탐색시스템의 구현을 목적으로 세부 개발내용을 소개한다. 탐색시스템의 설계 목표는 다음과 같다.
가설 설정
사용자와 식별정보제공자 간의 물리적 거리를 계산하고 근접한 순서대로 식별정보제공자들을 화면표시 한다면 사용자는 보다 쉽게 소속기관을 찾을 수 있을 것이다. 본 논문은 사용자가 소속기관과 근거리에 위치한다고 가정한다. 파견, 출장 등으로 거주지가 소속기관과 멀어지는 경우에는 위치정보를 이용하는 대신에 기관명 검색을 통해 소속기관을 선택할 수 있다.
제안 방법
XFF는 HTTP 헤더 중 하나이다. HAproxy에서 XFF 옵션을 설정하고 HTTP 헤더에 실제 송신지 주소를 기록할 수 있도록 구성했다. 또한 HTTP 헤더를 전달받은 탐색 서버에서 XFF 값을 읽어 실제 송신지 IP 주소를 파악하고 시스템 로그에 해당 송신지 IP가 기록되도록 수정했다.
HTTP GET과 Redirect의 URL 매개변수로 전달되는 개체식별자 정보를 탐색시스템에서 실시간으로 저장해 분석함으로써 모니터링 기능을 구현했다. 사용자가 서비스제공자를 통해 HTTP GET으로 탐색시스템에 접근할 때, 서비스제공자의 개체식별자가 탐색시스템에 전달된다.
개발된 탐색시스템은 보안사고로 인한 서비스 단절을 사전에 예방하기 위해 호스트 기반 침입차단 시스템을 연동하였다. 침입차단 시스템은 공개 소프트웨어인 OSSEC[22]을 이용했다.
개발된 탐색시스템은 사용자 접속지점의 정보(lb,tb)와 개별 개체들에 정의된 정보(la,ta) 간에 근접도 P를 계산해 내림차순으로 우선순위를 정한다. 즉, 근접도가 가장 높은 식별정보제공자가 선택목록의 최상단에 배치된다.
본 논문은 식별정보제공자 탐색시스템의 개발내용을 상세히 소개한다. 개발된 탐색시스템은 식별정보제공자들의 위치정보와 기관명을 이용해 연합인증 서비스를 이용 중인 사용자와의 근접도(Proximity)를 계산한다. 근접도가 높은 기관명을 화면표시 목록의 상단에 배치함으로써 사용자는 참여 개체수가 크게 증가해도 소속기관을 쉽게 찾을 수 있다.
개발된 탐색시스템은 접근한 사용자의 IP 주소로부터 위치정보와 기관명을 확보한 후 개체 메타데이터에 포함된 위치정보와 기관명을 비교함으로써 식별정보제공자들의 화면표시 우선순위를 결정한다.
두 지점 (a,b) 사이의 거리 d(la,lb)와 두 기관명의 텍스트 유사도s(ta,tb)를 계산해 가중합(Weighted sum)함으로써 근접도를 계산하고 식별정보제공자의 화면표시 우선순위를 결정했다.
HAproxy에서 XFF 옵션을 설정하고 HTTP 헤더에 실제 송신지 주소를 기록할 수 있도록 구성했다. 또한 HTTP 헤더를 전달받은 탐색 서버에서 XFF 값을 읽어 실제 송신지 IP 주소를 파악하고 시스템 로그에 해당 송신지 IP가 기록되도록 수정했다. OSSEC은 수정된 시스템 로그를 활용해 보안 이벤트를 검사하고 접근제어를 수행한다.
개체 메타데이터는 개체의 이름, 설명, 위치정보, 서명 키, 암호화키, 접근 URL, 로그아웃 URL, 관리기관, 관리자 연락처 등의 정보를 포함하고 있다[14]. 마지막으로, 메타데이터에 포함된 접근 URL을 이용해 식별정보제공자의 사용자 로그인 창에 접근하고 사용자 인증 절차를 진행(Authentication Request/Response)한다.
즉, 식별정보제공자를 선택할 때 사용자 편의성이 낮아지는 문제가 발생한다. 문제 해결을 위해 기관명을 직접 검색하거나 이전에 선택한 기관명을 목록화(그림 6의 Previously chosen)하는 방법이 구현되었다.
위치정보 기반 탐색시스템을 실제 서비스 환경에 적용하기 위해 표 3에 표시된 국내 8개 연구기관과 교육기관을 대상으로 근접도(P)를 확인하고 제안한 방법의 적용 가능성을 검증했다. 기관명(Organization name)은 개체 메타데이터에 기록된 이름을 나타내며 도시(City)는 기관의 소재지로써 메타데이터에 포함된 위/경도 정보를 이용해 파악했다.
제안한 탐색시스템은 위치정보 데이터베이스를 이용해 근접도를 계산한다. 데이터베이스에 저장된 위치정보가 부정확할 경우 화면표시 우선순위가 실제 근접도와 다를 수 있다.
첫째, 위치정보와 기관명 유사도를 이용해 식별정보제공자의 화면표시 우선순위를 결정한다. ID 연합에 포함된 식별정보제공자의 수가 수십, 수백으로 증가되면 사용자가 자신의 식별정보제공자를 찾는데 걸리는 시간이 크게 증가한다.
대상 데이터
그래프 가시화를 위한 정보는 탐색시스템의 데이터베이스에서 읽어온다. 가시화를 위해 구글 그래픽 라이브러리(Google Chart Library)가 이용되었다.
이론/모형
고가용성 환경의 구축을 위해 공개 소프트웨어인 Keepalived와 HAproxy[19]가 이용되었다. 모든 구성요소들은 사설 IP망에 연결되어 있다.
일반적으로 Active-active 방식[20]을 적용하기 위해서는 외부 DNS (Domain Name Service)에 추가적인 환경설정이 필요하다. 데이터베이스 서버는 사용자 이벤트의 저장, 이용현황의 모니터링 등 쓰기/읽기 작업이 많이 발생하기 때문에 부하분산을 위해 Active-active 방식으로 클러스터링되었다.
또한 연합메타데이터의 분석과 사용자 이벤트를 실시간으로 저장함으로써 식별정보제공자 또는 서비스제공자별 이용현황을 실시간으로 파악할 수 있다. 마지막으로, 식별정보 탐색을 위한 HTTP 메시지 처리를 위해 OASIS(Organization for the Advancement of Structured Information Standards) 공개 표준[14]을 준용함으로써 기술 호환성을 높였다.
부하 분산 알고리즘은 최소연결(Least connection) 방식을 적용했다. 탐색서비스가 구동 중인 서버들 중에 연결된 세션(Session)의 수가 가장 적은 서버로 연결하는 방식이다.
사설망 내부에서 IP 패킷의 실제 송신지 주소를 식별해 내기 위해 그림 5와 같이 X-Forwarded-For(XFF)를 이용했다. XFF는 HTTP 헤더 중 하나이다.
세션 정보를 유지해야 하기 때문에 라운드 로빈(Round robin) 방식보다 시스템 자원을 더 소비하지만 부하를 균등하게 분배할 수 있다. 세션 관리를 위해 sticky-session 방식을 이용했다. sticky-session은 접속 IP, 쿠키 값 등을 이용하여 특정 시간동안 사용자를 처음에 접속했던 서버와 동일한 서버에 연결시킨다.
ID 연합(ID federation)은 연합인증을 위해 신뢰관계를 구축하고 동일한 정책과 기술을 준용하는 기관 및 조직의 집합을 의미한다. 연구교육 분야에서 연합인증은 SAML(Security Assertion Markup Language[6])을 이용한다. ID 연합은 사용자를 인증(Authentication)하고 속성정보(전자메일 주소 등)를 제공하는 식별정보제공자(Identity provider), 사용자를 인가(Authorization) 하고 스토리지, 연구데이터 등 보유자원을 제공하는 서비스 제공자(Service provider), 연합인증 정책과 기술제반사항을 규정, 집행, 감사하는 신뢰프레임워크제공자(Trust framework provider)로 구성된다.
l과 t는 위/경도 정보와 기관명을 각각 의미한다. 지구가 구형인 점을 고려해 두 지점간의 거리 d(la,lb)는 하버사인 공식[17]을 이용해 계산했다. d(la,lb)는 지구 표면에 위치한 두 지점 사이의 최단 거리로 볼 수 있다.
개발된 탐색시스템은 보안사고로 인한 서비스 단절을 사전에 예방하기 위해 호스트 기반 침입차단 시스템을 연동하였다. 침입차단 시스템은 공개 소프트웨어인 OSSEC[22]을 이용했다. OSSEC은 시스템 로그를 분석해 보안 이벤트를 탐지하고 iptables에 송신자 IP 주소를 등록함으로써 침입을 차단한다.
성능/효과
개발된 탐색시스템은 개체 수의 변동 추이, 서비스제공자 별 식별정보제공자의 이용통계, 식별정보제공자 별 서비스제공자의 이용통계, 기간 별 서비스제공자 및 식별정보제공자의 이용통계 등 연합인증 서비스의 이용 현황을 실시간으로 모니터링할 수 있다.
둘째, 중앙집중형 탐색시스템은 서비스 고가용성(High availability) 환경을 필수적으로 구축해야 한다. 탐색시스템이 중단될 경우, 사용자는 해당 시스템을 이용하는 모든 서비스제공자에 로그인할 수 없게 된다.
또한 본 논문은 공개소프트웨어를 활용한 서버 이중화 환경의 구축 방법을 제시하고 구현함으로써 개발된 탐색시스템의 무중단 서비스를 가능케 했다. 마지막으로 탐색서비스와 연동한 이용현황 모니터링 기능을 구현함으로써 서비스제공자의 생명주기 관리, 사용자의 접근기록 관리를 가능하게 하는 등 신뢰프레임워크제공자의 연합인증 서비스에 대한 관리편의성을 향상시켰다.
본 논문은 위치정보에 기반을 둔 식별정보제공자 탐색시스템을 개발하고 실제 서비스 환경에서 성능과 기능을 검증했다. 제안한 근접도에 따라 식별정보제공자의 화면표시 우선순위를 결정하기 때문에 사용자가 자신의 소속기관을 쉽고 빠르게 검색할 수 있다는 것을 실험을 통해 확인했다. 또한 본 논문은 공개소프트웨어를 활용한 서버 이중화 환경의 구축 방법을 제시하고 구현함으로써 개발된 탐색시스템의 무중단 서비스를 가능케 했다.
질의응답
핵심어
질문
논문에서 추출한 답변
연합인증이란 무엇인가?
연합인증(Federated authentication[1])은 신뢰관계(Circle of trust)가 형성된 다수의 보안도메인들 사이에서 통합인증(Single sign-on)을 실현하기 위한 기술적, 정책적 체계이다. 예를 들어, 두 연구기관 간에 신뢰관계가 구축되면 한 기관에 소속된 연구자가 다른 기관에서 제공하는 웹 기반 응용서비스를 소속기관에서 이용하는 사용자 ID와 비밀번호를 이용해 접근할 수 있게 된다.
기존 탐색시스템이 가지고 있는 문제점은 무엇인가?
기존 탐색시스템들은 효율적인 개체 목록화를 위해 기관명 검색, 기관종류 분류, IP 주소범위 설정, 쿠키, 역 DNS 검색(Reverse DNS Lookup)과 같은 방법을 이용하고 있다. 하지만, 개별 메타데이터에 IP 주소 정보를 수동으로 설정하거나, 한번 선택된 기관을 실시간으로 변경하기 어렵고 검색화면에 기관명을 직접 입력해야 하는 등 정보관리 부담이 크거나 이용 편이성이 낮은 문제점이 있다. 또한 탐색서비스 이용현황에 대한 모니터링 기능을 포함하지 않고 있다.
ID 연합은 어떻게 구성되어 있는가?
연구교육 분야에서 연합인증은 SAML(Security Assertion Markup Language[6])을 이용한다. ID 연합은 사용자를 인증(Authentication)하고 속성정보(전자메일 주소 등)를 제공하는 식별정보제공자(Identity provider), 사용자를 인가(Authorization) 하고 스토리지, 연구데이터 등 보유자원을 제공하는 서비스 제공자(Service provider), 연합인증 정책과 기술제반사항을 규정, 집행, 감사하는 신뢰프레임워크제공자(Trust framework provider)로 구성된다. 현재 전 세계 68개 국가에서 ID 연합체를 보유하고 있으며 대한민국의 ID 연합체 및 신뢰프레임워크제공자는 한국과학기술정보연구원의 KAFE(Korean Access Federation)이다[7,8].
참고문헌 (25)
R. Bhatt, M. Gupta and R. Sharman, "Identity management systems: Models, standards, and COTS offerings," Handbook of Research on Emerging Developments in Data Privacy, pp. 1-26, 2014.
I. M. Khalil, A. Khreishah and M. Azeem, "Cloud computing security: A survey," Computers, vol. 3, no. 1, pp. 1-35, Feb. 2014.
H. Jang, K. Lee, J. Kong and J. Jo, "Development of collaboration infrastructure to promote R&D collaboration," Journal of the Korea Institute of Information and Communication Engineering, vol. 19, no. 10, pp. 2429-2440, Oct. 2015.
J. C. R. Ribon, L. J. G. Villalba and T. P. de Miguel Moro and T. H. Kim, "Solving technological isolation to build virtual learning communities," Multimedia Tools and Applications, vol. 74, no. 19. pp. 8521-8539, Oct. 2015.
Daesung Lee, "Design of user integrated authentication systems in heterogeneous distributed cloud service brokerage environment," Journal of Korea Institute of Information and Communication Engineering, vol. 20, no. 11, pp. 2061-2066, Nov. 2016.
E. Maler, P. Mishra and R. Philpott, Assertion and protocol for the OASIS security assertion markup language (SAML) V1.1, OASIS SSTC, Santa Clara, California, Sep. 2003.
Research and Education FEDerations group, Federations, [Internet]. Available: https://refeds.org/federations.
Korean Access Federation, What is KAFE?, [Internet]. Available: https://coreen.kreonet.net/kafe.
L. Hammerle, "SWITCHaai: Shibboleth-based federated identity management in Switzerland," In Proceedings of CESNET 2006 Conference, pp. 1-12, 2006.
Y. Lin, J. Jiang and S. Lee, "Similarity measures for text classification and clustering," IEEE transactions on knowledge and data engineering, vol. 26, no. 7, pp. 1575-1590, Jan. 2013.
W. Tarreau, HAproxy-the reliable, high-performance TCP/HTTP load balancer, [Internet] http://www.haproxy.org.
J. W. Choi, "Implementation and fault-tolerance tests of load balanced and duplicated active-active web servers," Journal of Korea Institute of Information and Communication Engineering, vol. 18, no. 1, pp. 63-69, Jan. 2014.
D. Bartholomew, MariaDB cookbook, Packt Publishing Ltd., Birmingham, UK, 2014.
A. Singh and M. Singh, "Analysis of host-based and network-based intrusion detection system," International Journal of Computer Network and Information Security, vol. 6, no. 8, pp. 41-47, Jul. 2014.
G. S. Machado, P. Schnellmann, M. Corti, M. Waldburger, A. Vancea and B. Stiller, "AMAAIS Phase 2: Architecture design and implementation," Accounting and Monitoring of AAI Services Project, Tech. Rep. Deliverable D, Feb. 2011.
D. Cicalese, J. Auge, D. Joumblatt, T. Friedman and D. Rossi, "Characterizing IPv4 anycast adoption and deployment," In Proceedings of the 11th ACM Conference on Emerging Networking Experiments and Technologies, no. 16, pp. 1-13, Dec. 2015.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.