PMI(Privilege Management Infrastructure)

권한 자원과 소유자간의 관계를 신뢰기간이 보증, PMI

정의	사용자 권한, 자원, 임무 등에 관한 사용자 속성(Attribute) 를 정의하고 관리하기 위한 권한 인증체계 기존의 인증서 구조에 소유자의 역할, 권한 등의 다양한 속성 정보를 포함하여 주체(소유자)와 객체(자원)간의 관계를 제3의 인증기관이 인증하는 권한 관리 메커니즘
구조	X.509 인증서 : 확장필드를 사용하여 사용자별 속성을 저장 별도 인증서 : 사용자 속성을 보증하는 별도의 인증서를 발급하는 방식
주요기능	AC(Attribute Certificate) : 사용자 속성기록, 인증하는 인증서 SO(Source Of Authority) : 권한 소유자에게 인증서를 발급하는 체계 PV(Privilege Verfiter) : 특정자원에 대한 권한을 소유한 개체 PH(Privilege Holder) : 권한 소유자의 적정성을 판단하는 개쳬 AA : 소유권 권한에 대한 인증서를 할부, 다른 개체에 권한 위임을 하는 개체
사용자 속성 관리의 필요성	전자서명에 기반한 PKI(Public Key Infrastructure)는 단순히 인증서 소유자의 신원 확인에만 중점을 두고 있음 인터넷 서비스 제공자들이 각 사용자 별로 다른 서비스를 제공함에 따라, 시스템 내의 사용자에 따라 서로 다른 리소스를 제공하는 등 사용자의 신원 파악 뿐 아니라 사용자별 권한 속성을 정의 필요
PMI 구성요소	인증서AC (Attribute Certificate) :사용자의 속성을 기록하고 인증하는 인증서 인증서 발급 개체 SOA(Source Of Authority) : 권한 소유자에게 권한을 할당하는 인증서를 발급하는 개체 권한 위임 개체 AA(Attribute Authority) : 자신이 소유한 권한에 해당하는 인증서를 발부하고 다른 개체에게 권한을 위임하는 개체 권한 소유자 PH(Privilege Holder) : 특정 자원을 사용하기 위한 권한을 가지며 그 권한을 사용하는 개체 권한 입증자 PV(Privilege Verifier) : 권한소유자가 주장하는 권한이 그 상황에 적절한지를 판단하는 개체
PMI 모델	일반 : SOA가 직접 PH에게 AC를 발급, PV는 SOA를 통해 적정성 여부를 판단 제어 : PH(User), PV(verfier), 접근 대상(target), 권한 정책(Privilege polocy), (민감도 속성, 환경 변수 등으로 이루어진) ACI(Access Control Information)로 구성 위임 : SOA는 특정 개체가 AA의 역할을 할 수 있도록 역할을 줄 수 있으며, 해당 개체가 타 개체로 자신의 권한을 위임할 수 있도록 허가할 수도 있음 역할 : SOA는 PH에 권한을 할당하는 대신, AC내의 role 속성에 역할(role)을 할당하고, 역할 명세 인증서(Role Specification Certificate)를 통해 역할에 권한을 할당. 이로서 PH는 역할을 통해 간접적으로 권한을 소유
속성인증서의 생명주기	공개키 인증서보다 짧은 생명 주기 발급과 폐기가 가볍고 자동적이어야 함 소유주의 직무가 실제로 변화하는 곳에서 발급하는 것이 합리적 폐기 목록을 관리하지 않을 수도 있음
속성인증서 폐기방식	ACRL(Attribute Certificate Revocation List) 관리는 CRL과 동일한 방법으로 수행 폐기목록 관리가 필요 없는 경우에는 만료시키면 됨

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥