- 권한 관련 자원과 이의 소유자간의 관계를 신뢰기관이 보증하고 유지하는 구조. PMI에서 사용되는 인증서를 가리켜 PMI 인증서 또는 속성 인증서(AC: attribute certificate)라 칭함.
- X.509 인증서의 확장 필드를 이용하여 PKI 체계 내에 표현은 가능하나, 일반적으로 신원과 속성은 유효기간이 달라지기 마련. 또한 공개키 인증서 발급 기관과 속성 관리 기관은 일반적으로 다름.
PMI의 구조도 및 구성요소- SOA(Source Of Authority) : PKI의 Root CA와 유사한 역할. 검증자가 신뢰하는 AA
- AA(Attribute Authority) : PKI의 CA와 유사. SOA로부터 권한의 전부 또는 일부를 위임받아 인증서 발급 업무를 수행
- 권한소유자(Privilege Holder) : 인증서를 통해 AA로부터 권한에 대한 소유권을 보증받은 자
- 권한검증자(Privilege Verifier) : AC를 받아 응용에 맞게 사용하는 자. SOA를 통해 AC를 검증.
PMI 모델 - ITU-T X.509 표준에서는 AC를 정보보호 메커니즘으로 활용할 수 있도록 일반, 제어, 위임, 역할이란 4가지 모델을 제시
1. 일반 모델(General Model)
- SOA가 직접 PH에게 AC를 발급, PV는 SOA를 통해 적정성 여부를 판단
2. 제어 모델(Control Model)
- PH(User), PV(verfier), 접근 대상(target), 권한 정책(Privilege polocy), (민감도 속성, 환경 변수 등으로 이루어진) ACI(Access Control Information)로 구성. PV는 권한 정책, ACI에 기초하여 PH의 AC를 검증.
3. 위임 모델(delegation model)
- SOA는 특정 개체가 AA의 역할을 할 수 있도록 역할을 줄 수 있으며, 해당 개체가 타 개체로 자신의 권한을 위임할 수 있도록 허가할 수도 있다. PV는 SOA를 통해 권한을 검증.
4. 역할 모델(role model)
- SOA는 PH에 권한을 할당하는 대신, AC내의 role 속성에 역할(role)을 할당하고, 역할 명세 인증서(Role Specification Certificate)를 통해 역할에 권한을 할당. 이로서 PH는 역할을 통해 간접적으로 권한을 소유. 타 모델에 비해 유연한 권한 관리가 가능.
PKC(Public Key Certificate)와 AC와의 바인딩- 일반적으로 속성은 속성 쇼유자의 신원과 연결되어 사용
1. 단일서명(Monolitic Signatures) : PKC와 AC를 하나의 인증 기관이 동시에 서명. X.509 확장 필드를 이용해 쉽게 구현 가능
2. 자율 서명(Autonomic Signatures) : PKC와 AC를 별개의 인증 기관에서 각기 관리. AC는 PKC의 일련번호와 같은 특정 정보와 연결하여 바인딩. 신원 인증 경로 구성에 유연성을 가지며, 인증서 재사용성이 높음.
3. 체인서명(Chained Signatures) : 자율서명의 경우에서 AC가 PKC를 가리키는 신원정보가 CA의 서명(CA's Signature)이 되는 경우임.
PMI의 표준1. ITU-T : ISO/EC와 함께 X.509 2000년 판에서 PKC와 AC의 프로파일을 명시
2. IETF : RFC 3281을 통해 발표
