보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 X.509 기반 동적 크리덴셜 생성 연구에 관한 연구 고훈1) , Carlos Ramos2) A Study on Dynamic Credential (DC) Making based on X.509 Hoon Ko 1), Carlos Ramos2) 요약 언제, 어디서든 인터넷을 자유롭게 사용하자고 하는 요구가 다양한 환경에서 요구되고 있다. 이러 한 요구들은 결국 상황인지/ 환경인지의 스마트 홈/ 스마트 오피스에 영향을 주고 있고, 대표적인 예 로, 가족의 구성원들이 외부에 집안의 디바이스를 제어하고자 하는 경우를 예상할 수 있다. 또한, 퇴 근 후에 사무실의 디바이스를 원격으로 접속하여 작업하는 경우도 예상할 수 있다. 하지만, 소유자의 구성원이 아닌 손님이 혹은 회사의 동료가 내 소유의 디바이스를 처리하고자 할 때, 혹은 타인 소유 의 디바이스를 제어해야 하는 경우가 있다. 이러한 경우, 제 3 자에게 사용에 대한 권한을 위임해야 하는데, 이러한 상황은 부담스러울 수밖에 없다. 기존에는 ACL(Access Control List)을 이용하여 단편 적으로 제공하고 있지만, 유비쿼터스 컴퓨팅에서는 유연하지 않다. 즉, 유연성 제공, 요청자 권한에 따른 접근 등급 부여기능은 향후에 유연한 네트워크를 위해서 필요한 부분이다. 따라서 본 연구에서 는 유연성 제공을 위한 X.509 기반의 동적 크리덴셜에 관하여 연구하였다. 핵심어 : X.509, 콘텍스트인지, 동적 크리덴셜, 보안구조, 스마트 오피스 Abstract In Ambient Intelligence, mainly Users intend to control their office devices which are another users devices. For example, in office, when they have to use another devices which belong to another user. Therefore, if they want to use them, they should get those authorization from owners before using them. In order to get those permissions, they obviously need to ask their authentication / authorization. However, the owner of devices who got those asking, should not give him all possible permission but only the necessary in order to his performance the intended task. To provide those permissions, we proposed Dynamic Credential (DC) that used X.509 Proxy Certificate in this paper. Keywords : X.509, Context-Aware, Dynamic Credential, Security Structure, Smart Office 접수일(2009년02월18일), 심사의뢰일(2009년02월19일), 심사완료일(1차:2009년03월19일, 2차:2009년04월01일) 게재일(2009년08월31일) 1 4200-072 GECAD (Knowledge Engineering & Decision Support Research Group), ISEP/IPP (Institute of Engineering-Polytechnic of Porto), Rua Dr. Antonio Bernardino de Almeida, 431, Dr. Investigator. email: hko@isep.ipp.pt 2 (교신저자) 4200-072 GECAD (Knowledge Engineering & Decision Support Research Group), ISEP/IPP (Institute of Engineering-Polytechnic of Porto), Rua Dr. Antonio Bernardino de Almeida, 431, Director/Doctor/Professor. email: csr@dei.isep.ipp.pt 275 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 1. 서론 또한 3G 네트워크 환경에서 이제는 4G 를 준비하며, 언제, 어디서든 유연한 네트워크 환경에 대 한 요구가 증가하고 있으며, 이에 따라 향후 이동 통신 사업자들은 다양한 형태의 도전에 직면하 고 있다. 이러한 수요는 스마트 홈/ 스마트 오피스에 영향을 주어, 집 혹은 회사의 구성원들이 다 양한 부분들을 요구하고 있다. 4G 의 특징은 향상된 멀티미디어 서비스, 유비쿼터스 서비스, 그리고 글로벌 서비스 3가지 측면에서 설명할 수 있다. 무엇보다도 3G 에서는 사람으로 한정된 이동의 주 체가 4G 에서는 자동차, 우편물, 로봇, 동물 등 모든 움직이는 개체로 확장되는 특징이 있다. 결국, 4G 의 특징에 따라, 이러한 객체들을 상호간에 공유할 필요도 발생할 수 있다. 즉 여러 사용자가 자원을 공유 할 수 있기 때문에, 공유된 자원에 대한 접근제어 및 처리(접근)등급에 대한 관리가 필요하며, 공유된 장치에 대한 데이터의 무결성도 보장되어야 한다. 또한, 서비스의 특징에 따라 실시간 과금 할 가능성도 있다. 과금의 경우, 본 소유자에게 있겠지만, 해당 시간에 누가 액세스를 했느냐에 따라 부과의 주체가 바뀌어야 한다. 현재까지의 많은 연구논문들이 발표되었지만, 유연성 부족문제, 요청자 권한에 따른 접근등급 부여문제는 아직 해결되지 못하고 있다. 유연성 부족문제/ 요청자 권한에 따른 접근등급 부여문제는 기술적으로 각 디바이스 인증서를 부분적으로 나눠지지 못한다는 특성에서 발생되는 문제로, 만약 해당 디바이스 인증서를 사용하려면 인증서 및 소유권 을 얻기 위한 단계를 거쳐, 해당디바이스의 전체 인증서를 받아야만 처리가 가능하다. 이를 해결하 기 위해서 X.509 프락시 인증서를 활용한 동적 크리덴셜을 만들어 요청자가 필요한 디바이스들을 사용할 수 있는 방법을 연구하였다. 논문의 구성은 다음과 같다. 2장은 본 연구를 위한 관련 연구 를 정리하였고, 3 장에서는 제안하는 동적 크리덴셜 생성에 대해서 설명하였다. 4 장에서는 모델에 대한 분석을 하였고, 5장에서는 실험 결과를 설명하였다. 마지막으로 6장에서는 결론 부분을 정리 하였다. 2. 관련연구 참고문헌 [1] 에서는 분산된 서명기반 자원 공유 환경에서 신원/ 식별관리(생성) 문제에 대해서 연구하였고, 브라우저를 통한 서명기반의 원격 네트워크 제어를 제공하는 시스템 설계 및 구현을 하였다. 제 3자 인증 프로토콜은 포함된 사용자들 사이의 보안 정보를 교환하기 위해 설계되었다. 따라서 사용자는 하나의 아이디/ 암호를 이용해서 서명된 리소스(사이트)를 이용할 수 있도록 하였 다. 하지만, 리소스 제공자에 의해서 사용되는 현재의 방법은 IP 기반의 액세스제어이며, 유연성부 족, 프락시 서버를 이용하는 이동 사용자에게는 문제가 있음을 밝혔다. 또한 스푸핑 공격이 쉽기 때문에 책임성의 문제를 가져온다. 참고문헌 [2]의 연구는 액세스 권한위임에 대해서 연구하였다. 그러나 인증서의 포맷을 직접 처리하지는 않아서, 동적 변화에는 취약하다. 참고문헌 [3]은 물리적 276 보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 으로 떨어진 위치, 일반적인 액세스 인터페이스, 유비쿼터스 환경에서 ACL 처리의 유연성을 처리 하기 위해서 연구하였지만, 완벽한 해결로는 성공하지 못하였다. 참고문헌 [4]의 연구에서 저자는 기존의 문제점으로 다음과 같이 분석하였다. 기존 시스템은 잠재적으로 프라이버시나 보안상 문제 를 야기한다. 예를 들면, 사용자 A 가 사용자 B 에게, B 가 좋아하는 음악 등을 액세스 허락을 위해 서 홈 네트워크에 등록한 경우, 이전의 접근방법이 사용된 경우, B 는 A 의 모든 DRM 콘텐츠를 처 리할 뿐 아니라, 좋아하는 음악 파일도 처리 할 수 있다. (A 는 B 에게 listen 을 허락한다.) 따라서, B 는 모든 보안 DRM 콘텐츠를 볼 수 있다. 그렇지만, A 는 이러한 경우 공유를 원하지 않을 수도 있다. 따라서 이러한 잠재적인 보안과 프라이버스 문제를 해결하기 위해서, DRM 콘텐츠마다 각 디바이스의 액세스 권한을 제어 하는 새로운 방법이 제공되어야 한다. 따라서 저자는 이러한 문제 점을 해결하기 위해서 프락시 인증서에서 권한위임에 의한 콘텐츠를 제어하고자 하였다. 그리고 홈 네트워크에서 활용되는 일반적인 시나리오에서 필요한 콘텐츠의 제한적 공유와 임시 공유 기능 을 제공할 목적으로 제안하였다. 3. 동적 크리덴셜 생성 3.1 구조 및 시나리오 프락시 인증서는 엔터티가 그 승인에 대해서 다른 엔터티의 허락을 희망할 때, 보안시스템에서 일시적으로 사용할 수 있도록, 인가된 리스트를 정의하도록 한다. id-pkix OBJECT IDENTIFIER::= { iso(1) identified-organizations(3) dod(6) internet(1) security(5) mechanisms pkix ( 7) } id-pe OBJECT IDENTIFIER::= { id-pkix 1 } id-pe-proxyCertInfo ::= SEQUENCE { pCPathLenConstraint INTEGER (0..MAX) OPTIONAL, proxyPolicy ProxyPolicy } ProxyPolicy ::= SEQUENCE { policyLanguage OBJECT IDENTIFIER , policy OCTET STRING OPTIONAL } [그림 1] X.509 프락시 인증서 확장부분 [Fig. 1] The expansion of X.509 proxy certificate [그림 1] 은 프락시 인증서의 확장부분을 보여주고 있다. id-pe-proxyCertInfo 부분이 모든 장비 들의 인증에 관한 정보를 담고 있으며, pCPathLenConstraint의 정의 방법을 확인할 수 있다. 제안 하는 동적 크리덴셜은 프락시 인증서확장부분에서 Policy Restriction 부분에 대한 활용을 제안하고 있다. [Scenario] 사용자(U)는 자신의 발표를 위해, Room1을 다음과 같이 사용하려고 한다. 사용시간은 14:00-16:00,컴퓨터 3대, 디스플레이용 모니터 2대, 프린터 1대, 빔프로젝터 1대를 Secretary 에게 사 용요청 예정이다. 각 장비의 설정은 다음과 같다. 컴퓨터(C) 3 대 중 1 대는 (Readable, Writable, 277 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 Executable)을 허용하고 프리젠테이션용 모니터(M) 및 프로젝터(P), 그리고 프린터(Pr)에 연결되어 있다. 나머지 2대에 대해서는 (Only Readable)만을 허용하고, 디스플레이용 모니터 2 대에게는 Executable 만을 허용하였다. 그리고 프린터는 (Readable, Writable, Executable)을 허용하고, 빔프 로젝터는 (Writable, Executable)만을 허용하였다. 위의 Scenario 를 근거로 ProxyPolicy에 설정되는 정의는 다음과 같다 [그림 2]. // X.509.PDC (X.509.Proxy.Dynamic.Credential) ProxyPolicy ::= SEQUENCE {[R[1].0:14:00-16:00], [(C(3)[1].1:Readable.Writable.Executable:M/P/Pr:1:),(C[2,3].1::Readable.x.x:1:)], [M(2)[1,2].1::x.x.Executable:1:], [P(1)[1].1::Readable.Writable.Executable:1:], [Pr(1)[1].1::x.Writable.Executable:1:],…,} X.509.PDC(X.509.Proxy.Dynamic.Credential)은 짧은 시간 허용이 필요한 경우에 유용하다. X.509.PDE(X.509.Proxy.Dynamic.Entities) 는 다른 소유의 장비에 대한 엔터티 저장 부분이며, 구 조는 장비명-인가여부(0or1):인가옵션:인증상태로 구성된다. X.509. PRA (X.509.Proxy.Repeately.Authentication)는 새로운 장비들이 등록될 때마다 인증 처리 해야 함을 의미한다. Local Agent LA1 DC R C U LA2 PKI based CA1 CA2 User Authen. Device Authen. Author. C.1 C.2 M P C.3 Us U1 U2 U3 U4 Pr [그림 2] 장비 및 사용자의 인증/ 인가 [Fig. 2] Authentication / Authorization of Devices and Users [그림 2] 에서는 제안하는 모델의 장비 인증/ 인가, 사용자 인증 방법을 표현하였다. 각 사용자들 (U1-4)들에 대한 인증은 PKI(CA1-2) 정책을 따른다. 그리고 사용 대기 중인 장비(프린터(C), 모니터 (M), 컴퓨터(C))들의 인증/ 인가 처리는 LA1-2가 담당하게 된다. Device Authentication / Authorization : 사용자가 장비들의 안전한 사용을 위한 방법으로 사용 할 장비들에 대한 인증을 요청할 수 있다. 이때 장비 인증에 사용되는 서버(Local)은 이미 등록된 장비들에 대한 인증을 담당한다. 또한 해당 장비들의 각 사용에 대한 인가부분도 처리하게 된다. 278 보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 Local::={S1,S2}/S1.[(C.1,C.2,C.3),(M),(P)]/S2.[(Pr)] User Authentication : X.509 프락시 인증서 사용은 PKI기반으로 처리된다. 본 연구에서 사용자 인증에 대한 내용은 PKI를 따른다. 3.2 자동설정 본 연구에서는 사용자의 상황 인지에 에 따른 연속적인 상황도 고려하였다. 즉, 발표자가 발표 도중 새로운 장비의 사용에 대한 추가 요청이 있을 경우, 장비들의 관계에 따라서 연속적인 추가/ 갱신이 있어야 한다. 예를 들면, 발표 전 혹은 후에, 인근 데모를 위한 추가 작업이 필요한 경우, 발표 중에 자신의 단말기를 이용하여 이에 대한 요청을 하게 된다. 각 LA(Local Agent), SS(Security Server), Us(Users)는 이러한 상황에 맞게 능동적으로 처리한다. Local Agent LA1 DC LA2 PKI based CA1 CA2 (3) (6) (7) C R U (4) User Authen. Device Authen. Author. UR (5) (2) C.1 C.2 C.3 Us U1 U2 U3 U4 M P Pr (1) R [그림 3] 자동적인 반응 [Fig. 3] Automatic Reaction [그림 3]은 시연을 위해서 Robot(R) 장비를 사용할 경우, 처리되는 과정을 보여주고 있다. U1은 R 의 사용을 위한 인가정보를 요청하고[1], R 은 소유자인 UR 에게 이러한 사실을 알린다[2]. UR 은 SS(S3, S4)에게 U1의 정보에 대한 확실을 구하기 위해 보안서버에게 검증을 요청하고, 응답을 받는 다[3, 4]. 그리고 U1에게 R 의 제한적 사용에 대한 권한을 얻게 되고, U1.X.509 프락시 인증서 동적 크리덴셜에 권한 정보를 저장하게 된다. 4. 모델 분석 4.1 모델 발표를 위한 장비 선택에 있어서 최적의 장비 조건을 선택하고자 한다. 즉, 다양한 회의 공간 중에서, 발표자가 요청하는 조건에 가장 적합한 공간을 선택한다. 다양한 사용자들의 요청에 최적 279 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 의 조건에 맞는 공간을 할당 해 주는 것이, 제한된 공간을 효율적으로 사용하기 위한 방안이기 때 문이다. Sblt = Sbl / Rbl, for l ∈ Lt Sblt : 작업 공간 (l) 중에서 사용자요청(b) 설정에 적합한 공간 Sbl : 작업 공간 (l)에서 사용자요청(b)에 적합한 공간리스트 Rbl : 작업 공간 (l)에서 사용자요청(b)을 위한 활용율 사용자가 요청한 컴퓨터의 개수보다 회의 공간 안에 사용되지 않는 컴퓨터가 많은 경우는 장비 의 비효율의 결과를 가져온다. 만약, 많은 컴퓨터 사용을 요청하는 사용자가 나타났을 경우에 문제 가 발생되기 때문에, 사용자 요청에 대한 최적의 공간을 활용하도록 한다. U Sblt = {C # + M # + P# + PR # } / l # (→ 0) # # # = ( ∑ {C c × x} + ∑ {M m × x} + ∑ {Pp × x} + c =1 m =1 p =1 # ∑ {P R × x}), (0 ≤ #{c , m , p , pR } ) PR =1 4.2 새로운 작업/ 장비 추가 새로운 작업이 추가되는 경우, 위에서 처리된 결과에 새로운 작업이 더해진다. △Jst=Est-|Js(t-1)| △Jst : Sblt 동안 추가되는 장비(프로세스) Est : Sblt 동안의 증가되는 전체 장비(프로세스) Js(t-1) : Sblt 동안 모든 장비 집합 따라서 추가 되는 작업에 대해서는 다음과 같이 유도된다. # uU Sblt = U Sblt × ∑ (∆J st ) k =1 4.3 보안 모델 분석 제안한 모델에서 사용되는 서버는 사용자 인증을 위한 서버와, 회사 안에서 장비 인증/ 인가를 위한 서버로 구성된다. Lauthentication.Server=f(lsm)={ls1,ls2,...,lsm} Uauthentication.Server=f(usn)={us1,us2,...,usn} 280 보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 4.3.1 Lauthentication.Server 회사 안에서 사용되는 서버는 장비에 대한 인증/ 인가를 목표로 하고 있다. Lauthentication.Server=f(lsm)={ls1,ls2,...,lsm} f(lsm)=[ls1×w1, ls2×w2,..., lsm×wm]=Min[f(lsm)] 빠른 인증/ 인가를 위해서, 최적의 서버를 찾아서 처리를 해야 한다. wm 은 각 서버에서 처리하 고 있는 사용률을 정의한 결과이다. 장비의 인증요청과 각 서버의 사용률을 고려해서, 각 서버의 사용률이 산출되고, 최소의 값을 가진 서버가, 사용자에게 할당된다. 4.3.2 Uauthentication.Server X.509 인증서는 공개키에 기반을 두고 있다. 사용자 인증에 사용되는 단계는 PKI의 단계와 같 다. Uauthentication.Server=f(usn)={us1,us2,...,usn} f(usm)=[us1×w1×d1, us1×w2×d2,..., usm×wm,×dn]=Min[f(usm)] Uauthentication.Server는 Lauthentication.Server와 비슷한 단계로 처리된다. 그러나 Lauthentication.Server는 회사 안에 있지만, Uauthentication.Server는 회사 외부에 위치한 서버이 다. 단지, PKI 의 특성에 맞게 거리(dn,지역)을 고려하였다. 4.4 전체 인증시간 분석 전체 인증 시간은 Lauthentication.Server × Uauthentication.Server 의 결과로 나타난다. T(tat) = {Min[f(lsm)] × Min[f(usm)]} 5. 실험결과 5.1 실험 [표 1]은 본 논문에서 제안한 X.509 기반의 동적 크리덴셜 생성에 대한 실험 결과를 보여주고 있다. Group 1은 단순한 사용자로 구성된 그룹으로 정의 하였고, Group 2는 같은 조건에서 몇 개 의 그룹을 추가한 결과를 보여주고 있다. 총 실험시간은 600초를 실험하였으며, 실험 중간에 각각 10 회씩의 추가 장비를 요청하였다. 물론, Group 2의 경우는 Local Agent/PKI 처리를 위한 서버를 3-5 개로 분산하여, 각각의 요청에 대해서 분산된 인증을 처리하도록 하였다. 따라서 전반적으로 Group 2의 경우가 대부분의 결과에서 Group 1 보다는 좋은 결과를 가져왔다. 281 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 [표 1] 실험 결과 [Table 1] Experiment Results Group 1 Classification Total Authentication Time :T(TAT) Average Authentication Time Group 2 Local Agent (Device) PKI (User) LA+PKI (Add D) Devices (Device) Users (User) LA+PKI (Add D) 1.812608 2.916384 2.357152 5.4784 12.1744 13.8016 0.0954 0.153494 0.124061 0.054784 0.121744 0.138016 본 연구에서 실험은 내부의 장비인증 서버와 외부의 PKI기반의 사용자 인증의 비교와 장비의 추가에 대한 인증시간 등을 비교하였으며, 실험에서 추가되는 장비는 Local Agent를 위한 장비인 증/ 인가와 PKI를 이용한 사용자 인증 시간의 합으로 처리하였다. [그림 4]는 초기의 장비/ 사용자, 그리고 추가된 장비의 인증시간을 보여주고 있다. 사용자 및 장 비에 대한 인증은 20초 이후부터 진행되었고, 추가되는 장비에 대한 인증시간은 40초 이후로 설정 하였다. [그림 5]의 결과, 초기설정 때 사용자 인증과 장비인증 시간이 Group 2가 Group 1 보다 빠른 결과를 보여주었지만, 추가되는 장비에 대한 장비인증시간은 Group 1이 Group 2보다 빠른 결과를 가져왔다. 본 제안에서 장비인가를 위한 서버는 내부의 Local Agent를 이용하였고, 사용자 인증을 위한 처리는 PKI 기반의 인증을 기초로 하였다. 빠른 장비들의 활용을 위한 처리 중에서 Local Agent와 PKI 의 인증시간에 대한 차이가 없어야 빠른 장비를 사용할 수가 있다. 0.35 0.3 0.25 0.2 0.15 0.1 0.05 0 -0.05 1 6 11 16 21 26 31 36 41 46 51 56 Experiment Time (sec) Devices Users Adding Devices [그림 4] 초기 인증 시간 [Fig. 4] Initial Authentication Time 282 Group 1 vs Group 2 Au t he n t ic a ti o n T i me A ut h en t i ca t io n Ti m e ( se c ) Initial Authentication Time 0.2 0.15 0.1 0.05 0 Device Users Adding D. Classfication Group 1 Group 2 [그림 5] 그룹 1 대 그룹 2 비교 [Fig. 5] Group 1 vs Group 2 보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 Au t he n t ic a ti o n T i me Local Agent vs PKI 0.2 0.15 0.1 0.05 0 Group 1 Group 2 Classfication Device Users [그림 6] 로컬 에이전트 대 PKI 비교 [Fig. 6] Local Agent vs PKI [그림 6]은 Local Agent를 이용하는 디바이스 인증과 PKI 를 이용하는 User 인증으로 구분하여 비교하였다. 양쪽 모두 사용자 인증 시간이 더 많이 소요됨을 보여주고 있다. 이로 인해 발생되는 문제점은 사용자는 장비인증을 받기 위해 자신의 인증을 위한 시간을 기다려야 한다는 것이다. 결 국 이것은 전체 처리시간에 문제가 발생됨을 보여주고 있다. 5.2 분석 [표 2]는 본 연구에서 제안하는 방법의 X.509 인증서 부분에 대한 분석적인 결과를 보여주고 있 다. [표 2]에서 보여주는 것과 같이 제안하는 방법인 X509 프락시 인증서 동적 크리덴셜은 ‘DELEGATION from ISSUER’ 부분을 허락하는 특징을 가지고 있다. 즉, 다른 소유의 장비를 허락 여부에 따라 제한적으로 그 장비를 사용할 수 있도록 제안하였다. [표 2] X.509 시리즈의 비교 [Table 2] Comparison of X.509 Series Certificate Attribute ISSUER / SIGNER NAME DELEGATI ON From ISSUER KEY PAIRS X.509 Public Key Certificate A Certification Authority Any as allowed by issuer’s policy None Uses unique key pair X.509 Proxy Certificate A public key certificate or Another Proxy Certificate Scoped to namespace defined by issuer’s name Allows for arbitrary policies expressing issuer’s intent to delegate rights to Proxy Certificate bearer Uses unique key pair X.509 Proxy Certificate Dynamic Credential A public key certificate or Another Proxy Certificate Scoped to namespace defined by issuer’s name Allows for dynamic delegation from Issuer Uses unique key pair 283 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 [표 3]에서는 기존 방법과의 비교를 보여주고 있다. 상황인지 항목에서, 제안하는 방법은 이미 설정된 환경에 중간의 새로운 장비를 추가로 요청할 경우, 이에 대한 보안처리를 자동으로 처리하 도록 제안하였다. 즉 발표자가 어떤 장비에 대한 요청을 하게 되면, 이에 대한 사용자/ 장비 인증 과정이 처리되며, 이에 대한 추가된 정보는 이미 설정된 장비환경에 자동으로 추가/ 수정되게 됨으 로써 Context-Aware 의 일부로 연구되었다. [표 3] 결과의 분석 [Table 3] Analysis of the results [1] [2] [3] [4] Proposed Method × × △ △ △ △ × △ △ ○ × △ △ △ ○ Context-Aware × × × × △ Mobility × ○ △ ○ × Flexibility Adaptable in dynamic hanging Restric. / Temp. of Author. 6. 결론 본 연구에서는 X.509 프락시 인증서의 확장 부분에 동적 크리덴셜에 모듈을 추가하여, 사용자의 동적 요청에 응답하도록 연구하였다. 또한, 기존에 불가능했던 여러 사용자 소유의 다양한 장비들 에 대한 제한적인 처리를 위한 방안에 대해서도 연구하였다. 제안하는 바와 같이, 이러한 사용을 위해서는 내부의 장비인증을 위한 Local Agent를 정의하였다. 물론 Local Agent는 상황인지 환경 에서 사용되는 상황인지를 위한 단계이지만, 안전한 사용을 위한 환경에서 장비인증의 기능을 추 가하였다. 또한 사용자의 확인을 위한 사용자 인증단계는 기존의 PKI 기반을 기초로 하였다. 위에 서 분석된 결과와 같이 Local Agent와 PKI의 사용자 인증을 결합하면 보다 안전한 스마트 사무실 환경에서의 작업을 계획할 수 있다. 향후에, 여전히 참고문헌 [3]과 [4], 그리고 본 제안에서 확실하 게 해결하지 못한 유연성 부분에 대한 추가연구가 진행되어야 한다. 상황인지 연구에서는 사용자 가 어떤 장비의 추가요청 이후에 상황인가를 처리하도록, 즉 수동적인 방법으로 처리하게 하였다. 이에 대한 능동적 처리를 위한 연구가 필요하다. 그리고 마지막으로 현재의 방법은 고정된 곳에서 만 작업할 수 있는 형태로 연구되었다. 따라서 이동성 부분에 대해서도 이동성의 특징에 맞게 재 정의해야 할 필요가 있다. 284 보안공학연구논문지 (Journal of Security Engineering), 제 6권 제 4호 2009년 8월 참고문헌 [1] Mingchao Ma and Steve Woodhead, “Authentication delegation for subscription-based remote network services,” Computers & Security, Vol. 25, pp. 371-378, 2006. [2] Tuomas Aura, "Distributed Access Rights Management with Delegation Certificates," Secure Internet programming: security issues for mobile and distributed objects, pp. 211-235, 2001. [3] David W. Chadwick, Alexander Otenko, and Edward Ball, “Role-Based Access Control With X.509 Attribute Certificates,” IEEE Internet Computing, Vol. 7, pp. 62-69, 2003. [4] Heeyoul Kim, Younho Lee, Byunchyn Chung, Hyunsoo Yoon, Jaewon Lee and KyungIm Jung, "Digital Right management with rigt delegation for home networks," ICISC2006 (LNCS 4296), pp. 233-245, 2006. [5] IST Advisory Group, Scenarios for Ambient Intelligence in 2010, European Commission, 2001. [6] Carlos Ramos, “Ambient Intelligence – A State of the Art from Artificial Intelligence Perspective” in Progress in Artificial Intelligence from Lecture Notes in Computer Science, pp. 285-295, 2007 [7] B. Schilit, N. Adams, R. Want. Context-Aware Computing Applications. 1st International Workshop on Mobile Computing Systems and Applications, pp. 85-90, 1994. [8] Ramos C, Augusto JC, Shapiro D (2008) Ambient intelligence the next step for artificial intelligence. IEEE Intelligent Systems Vol. 23, No. 2, pp. 15-18, 2008. [9] Thirunavukkarasu Sivaharan, Gordon Blair and Geoff Conlson, “GREEN: A Configurable and Re-configurable Publish-Subscribe Middleware for Pervasive Computing,” CoopIS/DOA/ODBASE2005 (LNCS) 3760, pp. 732-749, 2005. [10] Rene Meiier and Vinny Cahill, “Location-Aware Event-Based Middleware:A Paradigm for Collaborative Mobile Application,” Computers & Security, pp. 371-378, 2006. 285 X.509기반 동적 크리덴셜 생성 연구에 관한 연구 저자 소개 Hoon Ko Hoon Ko got the B.S. degree in computer science from Howon University, Kunsan-City, S. Korea, in 1998, and M.S. degree in computer science from Soongsil University, Seoul, S. Korea in 2000 and Ph D. degree in 2004. He had joined in Daejin University as visiting professor from 2002 to 2006. He had worked at Information & Communications University (ICU), Korea Advanced Institute of Science and Technology (KAIST) in 2007. Now, he is joining at GECAD, ISEP, IPP in Porto, Portugal as a Doctor Researcher since 2008. He is interested to Urban Computing Security, Ubiquitous Computing Security, AmI Security, Context-Aware Security, MSEC(Multicast Security), RFID Security, Home Network Security, etc. Carlos Ramos Carlos Ramos got his graduation from the University of Porto, Portugal, in 1986 and the PhD degree from the same university in 1993. He is Coordinator Professor of the Department of Informatics at the Institute of Engineering – Polytechnic of Porto (ISEP-IPP). His main interests are Artificial Intelligence and Decision Support Systems, recently with more emphasis on Ambient Intelligence. He is Director of GECAD (Knowledge Engineering and Decision Support Research Centre), the largest R&D centre of the Polytechnic system in Portugal, and dedicated to AI topics. He coordinates the Ambient Intelligence and Decision Support group of GECAD. Carlos Ramos has about 50 publications in scientific journals and magazines and more than 200 publications in Scientific Conferences. 286
© Copyright 2024