제안 시스템의 구성

가.인증 요청자 :MN

-Cmn:CA가 발급한 공인 인증서

-Smn:사용자 MN의 비밀키로 서명한 서명문 -IDmn:사용자 MN의 ID

-KMP:MN과 PA(ProxyAuthentication)Server사이의 대칭키 -PKmn:사용자 MN의 공개키

-SKmn:사용자 MN의 비밀키

나.무선 네트워크 중계자 :AP

AuthenticatorSystem 기능을 수행하며,MN이 네트워크 접속을 시도했을 경우 UncontrolledPort를 이용하여 SupplicantSystem과 AuthenticationServerSystem

사이에 인증을 수행하고,인증이 성공하였을 경우에 ControlledPort를 인가하여 서 비스를 제공해주며,WEP 키를 이용한 MN과 AP사이에 데이터 기밀성을 가능하게 해준다.

다.인증 서버 :AS

공개 키 기반 구조(PKI)에서 전자 서명 및 공개 키 인증서의 유효성과 데이터의 소 유나 존재를 확인하기 위한 서버로써,무선 LAN 시스템에서 클라이언트를 인증하는 서비스를 제공한다.

라.대리 인증 서버 :PA

기존 인증 방식의 인증 절차에서 상호 인증을 수행하기 위해서는 수 차례의 핸드쉐 이크 과정을 거쳐야만 상호 인증이 가능하였다.이러한 과정에서 단말은 인증서의 검 증을 위하여 매번 암․복호화를 함으로써 이동성을 고려한 무선단말은 많은 부하를 받을 것이며,수 차례의 핸드쉐이크 과정을 거치면서 제한된 무선 네트워크망에서 자 원을 소비하게 된다.이러한 문제점을 개선하기 위하여 제안 시스템에서는 대리 인증 서버를 사용을 제안 하였다.이는 EAP-TLS와 같이 보안상 강력한 인증 방법을 제 공하고는 있지만,저속 저용량의 무선단말에 있어서 부하가 많이 걸리는 인증 방식은 사용이 불가능 하다.따라서 본 논문에서는 강력한 보안을 제공하는 EAP-TLS와 같 이 클라이언트와 인증 서버 모두 인증서를 사용한 상호 인증과,저속 저용량의 무선 단말 또한 이를 사용할 수 이용할 수 있도록 하기 위하여 대리 인증 서버를 사용하였 다.

이는 인증 서버에서 먼저 클라이언트를 인증 후 인증 서버 자신을 인증 하기 위해 서는 대리 인증 서버를 이용하여 자신의 인증을 마친 후,대리 인증서버는 이를 클라 이언트에게 통보 함으로써 클라이언트는 인증 서버의 검증 내용만 확인 후 네트워크 에 접속이 가능하다.이는 무선 단말 시스템에 부하를 줄일 수 있으며,간단한 인증 절차만을 거친 후 무선 네트워크에 접속을 할 수 있게 되어 인증 시간을 단축 시킬것 이다.하지만 이를 위하여 클라이언트와 대리 인증 서버사이에서는 무선 네트워크를

사용하기 이전에 유선망을 통한 사전 등록 단계를 거쳐서 대리 인증 서버에 클라이언 트의 대리 인증을 위한 위임서와 대리 인증 서버와 클라이언트간에 사용될 대칭키를 생성하여 보관 하여야 한다.

사전 등록 단계는 유선망을 사용하여 클라이언트와 대리 인증 서버사이에 공인 인 증서를 이용한 상호 인증을 거친 후 무선 네트워크에 접속시 대리 인증 서버의 서비 스를 받을 수 있다.

그림 11.클라이언트의 사전 등록 절차

마.인증서 검증 프로토콜 :CVP

인증서 검증 프로토콜은 PKI초기부터 CRL이라고 하는 인증서 폐기목록을 사용하 였는데 배포시점에 대한 문제와 책임소재 때문에 지속적으로 논의의 대상이 되어 왔 다. 그러다가 OCSP가 제안되면서부터 본격적인 연구의 대상이 되었으며 SCVP(Simple Certificate Validation Protocol), DPD/DPV(Delegated Path Discovery/DelegatedPathValidation),OCSPv2등이 제안되면서 다양한 검증 방법들 이 연구 되었으며,CVP는 2002년 7월 Bull의 DenisPinkas가 최초로 제안하였다.

본 논문에서는 CRL을 이용하지 않고 OCSP서버와 같은 별도의 기관을 두지 않고 CA를 직접 이용하도록 하여 CRL을 생성 관리하거나 OCSP서버에 응답하는 동작을 하지 않기 때문에 CA의 부담을 증가 시키지 않으면서 CRL이나 OCSP서버를 이용 할 때의 단점을 해소할 수 있게 하기 위하여 CVP를 사용하였다.이러한 CVP인증서 대리 검증 서비스에 대한 새로운 프로토콜에 대한 주요내용을 아래와 같다.

• 특정 인증서에 대한 대리 검증 서비스를 요청 받아 해당 인증서의 유효성 여부 를 결과 메시지로 전송하기 위한 프로토콜이다.

• 기존의 OCSP서비스 및 DPD /DPV와 목적은 같지만 제안 접근 방식에서 차 이가 있다.

• 기존에 제안된 대리 검증 서비스 프로토콜에 비해 보다 사용자 측면에서의 제안 내용이 부각되었다.

• PKI도메인에서의 EE(EndEntity)의 위치를 보다 현명한 사용자로 가정하며 인 증서 검증에 대한 정책 선택 및 CVP서버가 사용하게 될 신뢰 데이터,검증 대 상 인증서,인증서 폐기 목록,해당 인증서에 대한 OCSP결과 메시지 등을 사 용자로 하여금 직접 결정하여 CVP 서버에 서비스를 요청할 수 있다.

• 자신이 검증하고 싶은 인증서에 대한 특정 시간의 인증서 폐기 목록이나 OCSP 결과 메시지 등을 포함한 서비스 요구 메시지를 전송할 수 있으며,CVP서버는 해당 메시지를 전폭 수용하여 검증 서비스를 처리하도록 되어 있다.

CVP는 기존 방식들에 대한 장단점을 충분히 분석해서 나온 매우 효율적인 대리 검증 서비스를 위한 프로토콜로써 제안 시스템에 구성요소로써 사용하였다.