[8.5.5.6 이상]

Common Secure Interoperability version 2(CSIv2)

CSIv2(Common Secure Interoperability version 2)는 인증, 위임 및 권한에 대해 CORBA 보안 상호 운용성 요구사항을 충족하는 아키텍처입니다. SAS 프로토콜은 보안 컨텍스트의 확립을 위해 GIOP 요청과 응답 메시지의 서비스 컨텍스트에서 토큰을 교환하기 위해 CSIv2 아키텍처에서 사용됩니다. SSL/TLS(Transport Layer Security)는 SAS에 필요하며 클라이언트 인증과 위임을 위해 상위에 두 개의 계층을 더 제공합니다.

SAS 프로토콜은 두 개의 계층으로 나뉘어집니다. 인증 계층은 전송 시 충분한 인증이 이루어지지 않는 클라이언트 인증을 수행하는 데 사용됩니다. 속성 계층은 액세스 제어 의사결정에서 대상 서버에 보안 속성이 적용되는 ID처럼 보안 속성을 푸시하거나 전달하기 위해 클라이언트에서 사용됩니다. 전송 계층은 SAS 프로토콜 메시지의 일부가 아니며 SAS 메시지는 전송 계층 상위에 있지만, 설명하기 쉽도록 CSIv2 문서에서 또 하나의 계층으로 언급됩니다.

CSIv2 ID 어설션

속성 계층에서 CSIv2 ID 어설션 지원은 RMI/IIOP를 사용하여 요청을 수행될 때 클라이언트 프로세스에서 서버 프로세스로 ID를 어설션하는 데 사용됩니다.

어설션은 다른 엔티티 대신 ID를 승인하기 위해 한 엔티티를 다른 엔티티에 선언하는 것입니다. 클라이언트는 원격 자원을 시작한 시점에 유효한 주제를 나타내는 ID를 어설션할 수 있습니다. 사용자를 나타내는 ID 토큰 외에도 클라이언트 프로세스는 또한 인증 계층 또는 전송 계층에 있는 자체 ID를 보냅니다. 대상 서버는 클라이언트 프로세스가 신뢰 유효성 검증을 수행하여 ID를 어설션할 수 있도록 합니다. 대상 서버는 클라이언트를 신뢰하는 경우 어설션된 ID를 사용하여 호출 시 클라이언트 프로세스에서 유효한 사용자를 나타내는 서버 측 주제를 작성합니다.

클라이언트는 프린시펄 이름 ID 토큰을 사용 중인 사용자를 어설션할 수 있습니다. 프린시펄 이름의 형식은 클라이언트 프로세스에서 구성되는 사용자 레지스트리에 따라 다릅니다. 익명 ID 토큰 유형도 지원되며 서버는 해당 토큰을 수신할 때 인증되지 않은 주제를 사용합니다.

ID 어설션을 사용하여 CSIv2 속성 계층을 구성하는 데 대한 정보는 인바운드 CSIv2 속성 계층 구성 또는 아웃바운드 CSIv2 속성 계층 구성의 내용을 참조하십시오.

CSIv2 인증 계층

CSIv2 인증 계층은 요청이 RMI/IIOP를 사용하여 수행될 때 클라이언트 프로세스에서 서버 프로세스로 인증 정보를 전달하는 데 사용됩니다.

CSIv2 인증 계층은 클라이언트에서 보내고 서버가 이 클라이언트를 인증하는 데 사용할 수 있는 토큰을 포함할 수 있습니다. 인증 계층에서 다양한 토큰 유형을 지원합니다. 예를 들면, GSSUP 토큰은 클라이언트의 사용자 이름과 비밀번호를 전송하는 데 사용되며, 대상 서버의 사용자 레지스트리에 대해 유효성 검증됩니다. LTPA(Lightweight Third Party Authentication) 토큰은 비밀번호를 전송할 필요가 없는 클라이언트의 사용자를 나타내는 토큰이지만, 원격 메소드 호출 전에 클라이언트 프로세스에서 사용자를 인증해야 하며 클라이언트 프로세스와 서버 프로세스가 LTPA 키를 공유해야 합니다.

어느 토큰 유형에서든 토큰은 서버 프로세스에서 원격 사용자를 인증하고 클라이언트가 원격 오브젝트를 시작하기 전에 클라이언트 측에서 유효한 주제의 주제 표시를 작성하는 데 사용됩니다. 또한 ID 어설션이 사용될 때 ID 어설션 토큰은 호출 시 실제 원격 사용자를 나타내지만, 인증 계층은 클라이언트 ID를 나타내는 보안 정보를 포함할 수 있습니다.

CSIv2 인증 계층을 구성하는 데 대한 정보는 인바운드 CSIv2 인증 계층 구성 또는 아웃바운드 CSIv2 인증 계층 구성의 내용을 참조하십시오.

CSIv2 전송 계층

CSIv2(Common Secure Interoperability version 2) 전송 계층 지원은 SAS 프로토콜 요청 메시지를 보호하고 클라이언트 프로세스에서 서버 프로세스로 클라이언트 인증서 인증을 지원하는 데 사용됩니다.

전송 계층의 주요 기능은 클라이언트에서 서버 프로세스로 SAS 프로토콜 메시지 전송의 보안 특성을 제공하는 것입니다. 암호화, 서명 또는 둘 다를 사용하여 메시지를 보호할 수 있습니다. Liberty 프로파일 SSL 지원은 이러한 특성을 제공하는 기본 메커니즘으로 사용됩니다.

전송 계층의 또 하나의 기능은 인증 계층이 사용되지 않을 때 인증 자료의 소스를 제공하는 것입니다. ID 어설션이 사용되고 인증 계층이 사용되지 않는 경우 전송 계층의 클라이언트 인증서 체인에서 클라이언트 프로세스 ID를 얻습니다. 대상 서버 프로세스는 클라이언트의 인증서 체인을 해당 사용자 레지스트리의 사용자에 맵핑하여 클라이언트의 인증서 체인을 인증합니다. 인증서 체인 발급자 식별 이름은 ID를 어설션하기 위해 클라이언트를 신뢰하는지 여부를 판별하는 데 사용됩니다.

ID 어설션과 인증 계층이 사용되지 않는 경우, 클라이언트 인증서 체인 맵핑에서 얻은 주제는 대상 서버 프로세스에서 실제 원격 메소드 호출을 시작할 때 호출자 주제로 사용됩니다. 이 주제는 또한 대상 서버의 인증 계층이 지원될 때 적용되지만, 필수는 아니며 클라이언트는 인증 토큰과 ID 토큰을 보내지 않았습니다.

ID 어설션으로 CSIV2 속성 계층을 구성하는 것에 대한 정보는 인바운드 CSIv2 전송 계층 구성 또는 아웃바운드 CSIv2 전송 계층 구성을 참조하십시오.

주요 용어

ORB(Object Request Broker)
동일한 프로세스에서 배치되거나 배치되지 않는 엔티티 간의 오브젝트 메소드 호출을 중재합니다.
보안 컨텍스트
ORB에서 오브젝트에 대한 특정 조작에 대해 보안 특성을 규정하는 데 사용되는 정보입니다. 예를 들면, 오브젝트 조작 호출 시 사용되어야 하는 ID입니다.
클라이언트 보안 서비스 또는 CSS
대상 보안 서비스의 ORB에서 오브젝트 조작에 대해 이 서비스에서 보안 컨텍스트를 확립하기 위해 SAS 프로토콜 요청을 시작하는 엔티티입니다.
대상 보안 서비스 또는 TSS
ORB에서 오브젝트 조작과 관련하여 보안 컨텍스트 확립을 위해 SAS 프로토콜 요청을 수신하는 엔티티입니다. 요청을 수락하거나 거부하여 보안 컨텍스트를 확립하거나 사용합니다.
클라이언트 인증
클라이언트를 인증하는 데 사용되는 토큰 기반 메커니즘입니다. GSSUP(Username Password GSS)는 최소 요구사항이지만, LTPA처럼 다른 인증 방법도 있습니다.
ID 어설션
중개 엔티티가 다른 엔티티를 보증하고 TSS에서 호출 프린시펄을 위해 어설션된 ID를 사용하는 메커니즘입니다. TSS는 ID를 어설션하고 있는 프록시를 신뢰하는지 여부를 결정할 수 있습니다.
Stateless
보안 컨텍스트는 단일 요청이 지속되는 동안에만 사용되며 후속 요청에는 재사용되지 않습니다.
Stateful
보안 컨텍스트는 확립된 후 TSS 또는 CSS에 의해 무효화될 때까지 여러 요청에 의해 재사용될 수 있습니다.
전송 계층 보안
기본 전송 계층에 의해 제공되는 보안 지원입니다.

주제의 유형을 표시하는 아이콘 개념 주제

Information Center 이용 약관 | 피드백


시간소인 아이콘 마지막 업데이트 날짜: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=cwlp_csiv2overview
파일 이름: cwlp_csiv2overview.html