공개 키 인프라 PKI
저자: xxx123123 기사 출처: 이 사이트의 원래 클릭 수: 29 업데이트 시간: 2005-8-29
1. PKI 개요
기업 비즈니스의 성공은 기업이 안전하고 신뢰할 수 있는 네트워크 시스템을 보유하고 있는지 여부에 크게 좌우됩니다. 현재 대부분의 기업 IT 관리자는 기업 네트워크 시스템에 대해 특정 형태의 암호화 및 인증 솔루션을 채택했습니다. 많은 기업의 네트워크 관리자는 원격 직원이 기업 네트워크에 액세스할 수 있도록 웹을 사용하여 안전한 인터넷 상거래, 가상 사설망(VPN) 및 원격 인증 서비스를 기업에 제공하고 있습니다. 그러나 대부분의 최신 보안 기술(예: 사용자 이름 및 비밀번호, 일회용 비밀번호, 양방향 인증)은 기업 보안 요구 사항에 적합하지 않으며 이러한 기존 기술에는 종종 다른 유지 관리 조치가 필요합니다.
현재 점점 더 많은 기업이 전 세계 지점과 원격 직원을 연결하기 위해 네트워크를 사용해야 하므로 기업 리소스를 보호하기 위해 가장 효과적인 보안 조치를 채택해야 합니다. 하지만 안전 예방 조치가 강화되면서 추가적인 관리 업무도 늘어나게 됩니다. 다행스럽게도 PKI(공개 키 인프라)는 기업이 이 문제를 해결하는 데 도움이 될 수 있으며 안전하고 안정적인 네트워크 관리 시스템을 구축하는 데 도움이 될 수 있습니다. PKI는 관리하기 쉬운 중앙 집중식 네트워크 보안 솔루션입니다. 데이터 암호화, 디지털 서명, 부인 방지, 신원 인증, 키 관리 및 교차 인증 등 다양한 형태의 디지털 인증을 지원할 수 있습니다. PKI는 인증 기반 프레임워크를 통해 모든 데이터 암호화 및 디지털 서명을 처리합니다. PKI 표준 및 프로토콜 개발의 역사는 15년이며, 현재 PKI는 기업 네트워크에 효과적인 보안 보장을 완벽하게 제공할 수 있습니다.
운영 메커니즘 측면에서 지난 15년 동안 약 50개에 달하는 PKI 관련 표준이 통합되어 공급업체의 끊임없는 노력으로 백엔드 데이터베이스의 상호 운용성을 더욱 잘 해결할 수 있었습니다. PKI는 데이터 암호화와 디지털 인증서 생성이라는 두 가지 주요 기능을 동시에 수행하는 많은 구성 요소로 구성됩니다. 서버(즉, 백엔드) 제품은 이 시스템의 핵심입니다. 이러한 데이터베이스는 디지털 인증, 공개 키 및 개인 키(각각 데이터 암호화 및 암호 해독에 사용됨)를 관리합니다. CA(인증 기관, 인증 기관) 데이터베이스는 X.509 디지털 인증 정보의 발급, 취소 및 수정을 담당합니다. 여기에는 사용자의 공개 키, 인증서 유효 기간 및 인증 기능(예: 데이터 암호화 또는 디지털 서명 확인)이 포함됩니다. . 데이터 서명의 변조를 방지하기 위해 CA는 요청 클라이언트에 보내기 전에 각 디지털 서명을 인증해야 합니다. 디지털 인증서가 생성되면 트리 구조인 X.500 디렉터리에 자동으로 저장됩니다. LDAP(Lightweight Directory Access Protocol) 프로토콜은 저장된 공개 키 인증 제출을 요구하는 요청에 응답합니다. CA는 각 사용자 또는 서버에 대해 두 개의 독립적인 공개 키와 개인 키 쌍을 생성합니다. 한 쌍은 정보의 암호화 및 암호 해독에 사용되며, 다른 쌍은 클라이언트 응용 프로그램에서 문서 또는 정보 전송 시 디지털 서명을 생성하는 데 사용됩니다.
대부분의 PKI는 발급되거나 갱신된 인증서를 저장하는 프로세스인 인증서 배포를 지원합니다. 이 프로세스는 공개 쿼리 메커니즘을 사용하며 X.500 디렉터리는 이 저장 프로세스를 자동으로 완료할 수 있습니다. 기업에서 PKI를 널리 수용하는 데 가장 큰 장애물 중 하나는 서로 다른 CA 간의 교차 인증입니다. 서로 다른 공급업체의 CA를 사용하는 두 회사가 있고 이제 일정 기간 동안 서로를 호스팅하려고 한다고 가정해 보겠습니다. 백업 데이터베이스가 교차 인증을 지원하는 경우 두 기업은 서로 CA를 호스팅할 수 있으므로 호스트하는 모든 사용자는 두 기업의 CA에서 호스팅될 수 있습니다.
2. PKI 시스템의 기본 구성 요소
PKI는 모든 네트워크 애플리케이션에 대해 암호화 및 디지털 서명과 같은 암호화 서비스를 투명하게 제공할 수 있는 표준 호환 키 관리 플랫폼입니다. 및 인증서 관리. PKI는 인증 기관(CA), 인증서 라이브러리, 키 백업 및 복구 시스템, 인증서 무효 처리 시스템, 클라이언트 인증서 처리 시스템 등의 기본 구성 요소를 갖추고 있어야 합니다. PKI의 구축도 이 5가지 시스템을 중심으로 구축됩니다.
* 인증 기관
CA는 인증서 발급 기관이자 PKI의 핵심입니다. 우리 모두 알고 있듯이 암호 서비스 시스템 구축의 핵심 내용은 키 관리를 구현하는 방법입니다. 공개 키 시스템에는 개인 키와 공개 키라는 한 쌍의 키가 포함됩니다. 공개 키는 공개되어 온라인으로 전송되어야 하는 반면, 공개 키 시스템의 키 관리는 주로 공개 키 관리입니다. 인증서 메커니즘.
인증서는 공개키 시스템의 핵심 관리 매체이다. 특정 주체(개인, 서버 등)의 신원과 공개키의 정당성을 증명하기 위해 사용되는, 네트워크 컴퓨팅 환경의 신분증과 유사한 권위 있는 전자문서이다. 공개키 시스템을 사용하는 네트워크 환경에서는 공개키 사용자에게 공개키의 진정한 정당성이 입증되어야 한다. 따라서 공개키 시스템 환경에서는 어떤 주체의 공개키를 공증하고, 주체의 신원과 그 주체와 공개키의 일치관계를 증명할 수 있는 신뢰할 수 있는 기관이 있어야 한다. CA는 그러한 조직이며 그 책임은 다음과 같이 요약될 수 있습니다:
1. 인증서 신청자의 신원을 확인하고 식별합니다.
2. CA가 사용하는 비대칭성을 보장합니다. 인증서 서명 키의 품질
3. 전체 비자 절차의 보안과 서명 개인 키의 보안을 보장합니다.
4. 인증서 일련번호, CA 식별 관리 등)
5. 인증서 유효 기간 결정 및 확인
6. 이름 중복 방지
7. 유효하지 않은 인증서 테이블 게시 및 유지
8. 전체 인증서 발급 프로세스에 대한 로그 기록 유지
9 . 지원자에게 알림을 보냅니다.
이 중 가장 중요한 것은 CA의 자체 키 쌍을 관리하는 것입니다. 이를 통해 높은 수준의 기밀성을 보장하고 다른 사람이 인증서를 위조하는 것을 방지해야 합니다. CA의 공개키는 온라인에 공개되며 전체 네트워크 시스템의 무결성이 보장되어야 합니다.
* 인증서 라이브러리
인증서 라이브러리는 인터넷의 "화이트 페이지"와 유사한 중앙 집중식 저장소입니다. . 사용자는 다른 사용자의 인증서와 공개 키를 얻을 수 있습니다.
인증서 저장소를 구성하는 가장 좋은 방법은 LDAP 프로토콜을 지원하는 디렉터리 시스템을 사용하는 것입니다. 사용자 또는 관련 응용 프로그램은 LDAP를 통해 인증서 저장소에 액세스합니다. 시스템은 인증서 저장소의 무결성을 보장하고 인증서의 위조 및 변조를 방지해야 합니다.
* 키 백업 및 복구 시스템
사용자가 데이터 복호화에 사용된 키를 분실한 경우 암호문 데이터가 복호화되지 않아 데이터가 손실됩니다. 이러한 상황을 방지하려면 PKI는 암호 해독 키를 백업하고 복원하는 메커니즘을 제공해야 합니다. 키 백업 및 복구는 이러한 역할을 수행할 수 있는 CA와 같은 신뢰할 수 있는 조직에 의해 완료되어야 합니다. 키 백업 및 복구는 해독된 키에만 사용할 수 있으며 서명 개인 키는 백업할 수 없다는 점을 강조할 가치가 있습니다.
*인증서 만료 처리 시스템
인증서 만료 처리 시스템은 PKI의 중요한 구성 요소입니다. 일상생활에서 사용되는 각종 인증서와 마찬가지로 CA가 서명한 유효기간 내에 인증서를 무효화해야 하는 경우가 있다. 예를 들어 A사의 직원 A가 사직하고 퇴사하는 경우에는 인증서 A의 수명이 종료되어야 한다. 이를 달성하기 위해 PKI는 인증서를 무효화하는 일련의 메커니즘을 제공해야 합니다. 인증서를 무효화하는 방법에는 세 가지가 있습니다.
1. 하나 이상의 주체에 대한 인증서를 무효화합니다.
2. 특정 키 쌍에서 발급한 모든 인증서를 무효화합니다. p >
3. CA에서 발급한 모든 인증서를 무효화합니다.
인증서 무효화는 일반적으로 인증서 해지 목록(CRL)에 인증서를 나열하여 수행됩니다. 일반적으로 CA는 시스템에서 시기적절하게 업데이트된 CRL을 생성하고 유지 관리할 책임이 있으며, 사용자는 인증서 검증 시 해당 인증서가 CRL에 포함되어 있는지 확인할 책임이 있습니다. CRL은 일반적으로 디렉토리 시스템에 저장됩니다. 인증서 무효화는 안전하고 검증 가능한 방식으로 수행되어야 하며 시스템은 CRL의 무결성도 보장해야 합니다.
*PKI 애플리케이션 인터페이스 시스템
PKI의 가치는 사용자가 암호화, 디지털 서명 등의 보안 서비스를 쉽게 사용할 수 있도록 하는 것입니다. 따라서 완전한 PKI는 우수한 애플리케이션 인터페이스를 제공해야 합니다. 이는 다양한 애플리케이션이 안전하고 일관되며 신뢰할 수 있는 방식으로 PKI와 상호 작용할 수 있도록 하여 확립된 네트워크 환경의 신뢰성을 보장하고 관리 및 유지 비용을 절감합니다. 마지막으로, PKI 애플리케이션 인터페이스 시스템은 크로스 플랫폼이어야 합니다.
3. PKI의 기능을 요약하면 PKI는 애플리케이션에 대해 다음과 같은 보안 지원을 제공해야 합니다.
* 인증서 및 CA, PKI는 CA, 인증서 라이브러리 및 CRL 관리 기능.
* 키 백업 및 인증서 복구.
* 자동 교체 인증서와 키 쌍의 키에는 일정한 수명이 있습니다. 사용자의 개인 키가 유출되면 키 쌍을 교체해야 하며, 컴퓨터 속도가 증가함에 따라 키 길이도 그에 따라 길어져야 합니다. 따라서 PKI는 완전 자동(사용자 개입 없이) 키 교체 및 새 배포를 제공해야 합니다.
* 교차 검증
각 CA는 특정 범위, 즉 CA의 도메인만 다룰 수 있습니다. 예를 들어, 여러 회사가 자체 CA와 인증서를 갖고 있는 경우가 많습니다. 유효한 전사적 범위만 발행합니다. 서로 다른 CA에 속한 사용자가 정보를 교환해야 하는 경우 교차 인증서 및 교차 유효성 검사를 도입해야 하며 이는 PKI가 완료해야 하는 작업이기도 합니다.
* 암호화 키와 서명 키의 분리
앞서 언급한 것처럼 암호화 키와 서명 키에 대한 키 관리 요구 사항이 서로 충돌하므로 PKI는 암호화 키와 서명 키를 구분하여 지원해야 합니다. 서명 키 사용.
* 디지털 서명 부인 방지 지원
모든 유형의 전자 상거래는 디지털 서명과 분리될 수 없으므로 PKI는 디지털 서명 부인 방지를 지원해야 합니다. 디지털 서명 부인 부인 방지는 서명 개인 키의 고유성과 기밀성에 의존합니다. 이를 보장하기 위해 PKI는 서명 키와 암호화 키가 별도로 사용되도록 해야 합니다.
* 키 기록 관리
암호화 키가 업데이트될 때마다 해당 복호화 키를 보관하여 향후 이전 키로 암호화된 데이터를 복구할 수 있도록 해야 합니다. 서명 키를 업데이트할 때마다 이전 서명 개인 키를 적절하게 파기하여 고유성이 손상되지 않도록 해야 합니다. 해당 이전 확인 공개 키는 향후 이전 서명을 확인하는 데 사용할 수 있도록 보관해야 합니다. 이러한 작업은 PKI에 의해 자동으로 완료되어야 합니다.
IV. PKI 시스템의 발전 전망
위에서 언급했듯이 PKI는 기업의 비즈니스 성공에 매우 중요합니다. 이를 통해 기업은 공정하고 안전한 기반을 확보할 수 있습니다. 구조 - 모든 보안 애플리케이션이 의존하는 인프라입니다. 기업의 많은 보안 이메일, 인터넷 비즈니스 애플리케이션, VPN 및 단일 서명 기능의 보안은 X.509 인증에 의존합니다. PKI는 데이터 암호화, 디지털 서명, 부인 방지, 디지털 무결성 및 심사에 필요한 키 및 인증에 대한 통합되고 중앙 집중화된 관리를 구현합니다.
모든 기업은 PKI 구조화된 관리 솔루션의 이점을 누릴 수 있습니다. 그러나 안타깝게도 지금까지 이 시스템을 채택한 산업은 소수(은행, 금융, 건강보험 등)에 불과합니다. Automotive Network Exchange(미국의 여러 대형 자동차 제조업체로 구성)와 같이 감히 새로운 것을 시도하는 일부 회사는 이 보안 기술의 혜택을 받기 시작했습니다.
기업의 비즈니스가 웹에 더욱 의존하게 되면 고객 정보를 안전하게 처리하기 위해 PKI를 사용하는 기업이 계속 늘어날 것으로 예상됩니다. 그러나 지금까지 PKI를 채택한 기업은 거의 없습니다.
PKI 자체에 존재하는 문제는 사용자의 광범위한 채택을 제한하는 주요 이유입니다. 통일된 표준이 없기 때문에 많은 미국 기업이 PKI 프로그램에서 제외되었습니다. 실제로 PKI 제품을 개발할 때 따라야 할 상당히 성숙한 표준이 이미 있습니다. 상호 운용성이 부족하다는 점도 PKI를 널리 채택하는 데 주요 장애물 중 하나입니다. PKI 공급업체가 모든 표준을 지원하려면 많은 기업이 클라이언트에서 독점 툴킷을 사용해야 하며, 이로 인해 PKI의 급속한 인기도 크게 제한됩니다.
그러나 PKI의 광범위한 채택을 제한하는 주요 장애물은 여전히 설계 및 구현의 복잡성입니다. 그러나 PKI 공급업체의 점진적인 통합 및 합병으로 인해 PKI 구현 프로세스가 점점 더 단순해질 것으로 예상됩니다. 구현이 너무 복잡하면 기업 시스템을 타사 공급업체에 아웃소싱할 수 있습니다.
현재 많은 권위 있는 인증 솔루션 제공업체(예: VeriSign, Thawte 및 GTE)가 아웃소싱 PKI를 제공하고 있습니다. PKI 아웃소싱의 가장 큰 문제점은 사용자가 자신의 기업을 서비스 제공업체에 호스팅해야 한다는 것입니다. 이는 네트워크 보안에 대한 통제권을 포기한다는 것을 의미합니다. 이 작업을 원하지 않으면 전용 PKI를 구축할 수 있습니다. 전용 솔루션은 일반적으로 Entrust, Baltimore Technologies 및 Xcert의 서버 제품을 Microsoft, Netscape 및 Qualcomm과 같은 주류 애플리케이션 공급업체의 제품과 결합합니다. Private PKI는 또한 기업이 인프라 준비에 많은 재정적, 물적 자원을 투자하도록 요구합니다.
은행, 금융, 보험 등 고위험 산업의 경우 PKI는 향후 10년 동안 장기적인 보안 요구 사항에 매우 중요할 것입니다. PKI 기술이 널리 보급됨에 따라 PKI 구현은 더욱 간단해지고 비용은 점차 감소할 것입니다. PKI는 최근에야 실행 가능한 보안 솔루션으로 등장하기 시작했기 때문에 이 기술은 여전히 추가적인 개선이 필요합니다. 조직에서 이 기술이 성숙되기를 기다릴 수 없다면 현재 기능이 일반 기업의 대부분의 보안 요구 사항을 충족하기에 충분하므로 지금 채택하십시오.