RSA 토큰 인증 메커니즘

RSA(Rivest Shamir Adleman) 인증 메커니즘은 융통성 있는 관리 토폴로지에 대한 보안 환경을 단순화하는 데 사용됩니다. 이는 새 서버를 융통성 있는 관리 토폴로지에 안전하고 쉽게 등록하는 기능을 지원합니다. 융통성있는 관리 토폴로지를 사용하면 로컬 또는 원격으로 애플리케이션을 관리, 제품 유지보수 수행, 구성 수정, 애플리케이션 서버 런타임 제어를 사용하여 관리 작업을 로컬 또는 원격으로 제출 및 관리할 수 있습니다. RSA 인증 메커니즘은 관리 커넥터 및 파일 전송 요청과 같은 서버 대 서버 관리 인증에만 사용됩니다. RSA 인증 메커니즘은 애플리케이션에서 사용되는 LTPA 또는 Kerberos를 대체하지는 않습니다.

참고: RSA 토큰 인증 메커니즘은 기본 프로파일 구성을 보존하고 이를 보안 퍼스펙티브에서 격리하기 위해 융통성있는 관리 목표를 지원합니다. 이 메커니즘은 관리 에이전트에서 관리되는 기본 프로파일을 허용하여 다른 LTPA(Lightweight Third-Party Authentication) 키, 다른 사용자 레지스트리, 다른 관리 사용자를 포함하도록 허용합니다.
중요사항: RSA 토큰은 RSA SecureId 토큰과 연관되지 않습니다. 애플리케이션 서버는 SecureId에 대한 지원을 제공하지 않습니다.

인증은 특정 컨텍스트에서 청구 클라이언트 또는 청구 대상 설정 프로세스입니다. 클라이언트는 일반 사용자, 머신, 애플리케이션이 될 수 있습니다. WebSphere® Application Server의 인증 메커니즘은 일반적으로 사용자 레지스트리와 밀접하게 협업합니다. 사용자 레지스트리는 인증 메커니즘이 인증 수행 시 참조하는 사용자 및 그룹 계정 저장소입니다. 인증 메커니즘은 성공적으로 인증된 클라이언트 사용자의 내부 제품 표시인 신임 정보를 작성해야 합니다. 모든 신임 정보가 동등하게 작성되지는 않습니다. 신임 정보의 기능은 구성된 인증 메커니즘에 의해 판별됩니다.

인증 프로세스

RSA 토큰 인증 메커니즘은 RSA 루트 서명자 인증서(15년의 사용 기간)가 두 관리 프로세스에서 교환된 후 관리 요청에 대해 다른 프로파일 사이에서 보안 정보를 동기화할 필요가 없도록 합니다. RSA 개인 인증서(1년의 사용 기간)는 RSA 토큰에서 암호화 조작을 수행하는 데 사용되며 장기 RSA 루트에서 확인 가능합니다. RSA 토큰 인증은 키가 공유되며 하나가 변경되면 다른 모두가 변경되어야 하는 LTPA와는 다릅니다. RSA 토큰 인증이 PKI 인프라를 기반으로 하기 때문에 큰 토폴로지에서 이 토폴로지의 확장가능성과 관리가능성의 혜택을 얻을 수 있습니다.

RSA 토큰에는 LTPA보다 더 많은 고급 보안 기능이 포함됩니다. 여기에는 1회용 토큰, 단기 만기 기간(1회용 토큰이기 때문에), 신뢰와 같은 난스(nonce) 값을 포함하며 이는 대상 RSA 신뢰 저장소의 인증서를 기반으로 설정됩니다.

RSA 토큰 인증은 SSL(Secure Sockets Layer)에서 사용되는 동일한 인증서를 사용하지 않습니다. 이는 RSA가 자체 키 저장소를 가지는 이유입니다. RSA에 대해 설정된 신뢰를 분리하기 위해 신뢰 저장소, 키 저장소 루트 키 저장소는 SSL 구성과 달라야 합니다.
참고: 단일 클라이언트에 제공되는 SSL 개인 인증서는 서버에서 사용되는 동일한 SSL 루트 인증서로 서명되는 경우가 있으며 이를 통해 단일 클라이언트는 RSA 토큰을 서버로 전송하고 관리자로 수행할 수 있습니다. 이는 RSA 토큰 인증 메커니즘에서는 피해야 합니다. RSA 토큰 인증 메커니즘은 자체 루트 인증서를 가지고 있으며 이는 토큰의 파트를 암호화하고 서명하는 데 사용되는 개인 인증서를 서명합니다.
RSA 토큰에 저장되는 데이터는 클라이언트 주제(Subject)의 ID를 기반으로 합니다. 클라이언트 주제(Subject)는 LTPA 또는 Kerberos를 기반으로 할 수 있지만 RSA 토큰은 관리 요청에 대해 이 보호를 사용하지 않습니다. RSA 토큰은 ID에 대해 안전한 통신을 유지보수하면서 사용하기도 더 쉽습니다. RSA 토큰의 데이터에는 다음이 포함됩니다.
  • 버전
  • 난스(nonce)
  • 만기
  • 영역
  • 프린시펄
  • 액세스 ID
  • 역할(현재는 사용되지 않음)
  • 그룹
  • 사용자 정의 데이터
사용자 정의 데이터는 특성 오브젝트를 작성, 사용자 정의 속성 추가, 이를 다음과 같은 방식으로 WSCredential에 추가하여 전송 측(아웃바운드로 이동하기 전)에서 WSCredential에 추가 가능합니다.
import com.ibm.websphere.security.cred.WSCredential;

java.util.Properties props = new java.util.Properties();
props.setProperty("myAttribute", "myValue");
WSCredential.put ("customRSAProperties", props);
주제(Subject)가 대상 프로세스에서 작성되면 다음과 같은 방식으로 이 속성에 대한 액세스를 확보할 수 있습니다.
java.util.Properties props = (java.util.Properties) WSCredential.get("customRSAProperties");

이 데이터는 대상 측의 해시 테이블에 배치되며 해시 테이블은 RSA 토큰의 동일 속성을 포함하는 대상에서 주제(Subject)를 확보하는 JAAS(Java™ Authentication and Authorization Service)로 로그인에서 사용됩니다. RSA 토큰의 동일 속성을 포함하는 대상으로 대상에서 사용되는 동일한 영역에서가 아닌 대상 측에 주제(Subject)를 가질 수 있습니다. 이 권한 부여가 성공하려면 상호 영역 맵핑이 ID가 신뢰 서버 ID인 경우를 제외하고는 관리 권한 테이블 내에 필요합니다.

이 절의 나중에 있는 그림은 RSA 토큰 인증 메커니즘의 개요이며 요청이 클라이언트로 사용되는 서버(server-as-client)에서 대상으로 전송될 때 발생하는 프로세스를 설명합니다. 클라이언트로 사용되는 서버에는 RSA 토큰 작성 입력으로 사용되는 스레드에 관리 주제(Subject)가 포함됩니다. 필요한 다른 정보는 대상 서버의 RSA 공개 인증서입니다. 이 인증서는 실제 요청을 전송하기 전에 대상 프로세스에 대한 "부트스트랩" MBean 요청을 작성하여 검색해야 합니다. 대상 부트스트랩 요청은 대상 프로세스에서 공개 인증서를 검색합니다. RSA 토큰을 작성할 때 대상의 공개 인증서를 가져오는 기본 목적은 비밀 키를 암호화하기 위해서입니다. 대상은 비밀 키를 복호화할 수 있으며 이는 사용자 데이터 암호화에 사용됩니다.

이 절의 나중에 있는 그림은 RSA 토큰 인증 메커니즘의 개요이며 요청이 클라이언트로 사용되는 서버(server-as-client)에서 대상으로 전송될 때 발생하는 프로세스를 설명합니다. 클라이언트로 사용되는 서버에는 RSA 토큰 작성 입력으로 사용되는 스레드에 관리 주제(Subject)가 포함됩니다. 필요한 다른 정보는 대상 서버의 RSA 공개 인증서입니다. 이 인증서는 실제 요청을 전송하기 전에 대상 프로세스에 대한 “부트스트랩” MBean 요청을 작성하여 검색해야 합니다. 대상 부트스트랩 요청은 대상 프로세스에서 공개 인증서를 검색합니다. RSA 토큰을 작성할 때 대상의 공개 인증서를 가져오는 기본 목적은 비밀 키를 암호화하기 위해서입니다. 대상은 비밀 키를 복호화할 수 있으며 이는 사용자 데이터 암호화에 사용됩니다.

클라이언트의 개인 키는 비밀 키와 사용자 데이터 모두를 서명하기 위해서 사용됩니다. 클라이언트의 공개 키는 RSA 토큰에 임베드되며 대상으로 유효성 검증됩니다. 클라이언트의 공개 키가 대상에서 CertPath API를 호출할 때 신뢰되지 않으면 RSA 토큰 유효성 검증은 계속할 수 없습니다. 클라이언트 공개 키가 신뢰되면 비밀 키와 사용자 데이터 서명을 확인하는 데 사용할 수 있습니다.

기본 목표는 필수 정보를 안전하게 전파하여 클라이언트 주제(Subject)를 대상의 주제(Subject)로 변환하기 위해서입니다. 대상에서 주제(Subject)가 생성된 후 RSA 인증 메커니즘 프로세스가 완료됩니다.


주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_7rsa_token_auth
파일 이름:csec_7rsa_token_auth.html