powerpoint presentationunet.kr/wp-content/uploads/2020/09/... · 2020. 9. 2. · html5 html5 world...
TRANSCRIPT
TrustNET제품소개서Advance Edition (Clientless)
2020.09
01 TrustNET 소개
TrustNET CA/RA
TrustNET OCSP
TrustNET LRAPI, Web Gateway
TrustNET CA Client
TrustNET Toolkit
02
03
04
05
06
목차
가. 제안배경
나. 관련표준
다. 제품구성
라. 운영환경
1. TrustNET소개
제품소개서
PKI 개요
전자상거래시스템과같은정보시스템에안전성을부여하며, 네트워크상에연결된사용자와메시지에대한인증기능을부여하기위한 공개키방식을 이용한전자인증기반기술체계.
Public Key Infrastructure
거래행위자의신원확인
인증서사용자인증
거래정보의위/변조방지
자료인증자료의무결성보증
전자서명을통한거래신뢰성확보
전자서명거래사실부인방지
거래정보암호화를통한정보보호
암호화신뢰성확보
별도의클라이언트용 프로그램설치없이공개키방식의인증서발급가능
1.TrustNET 소개
가.제안배경
제품소개서
Needs분산시스템환경에서의데이터교류를통한비즈니스활성화에따라정보보호의필요성이대두되고,다양한통신환경및단말기를통한정보교류는언제나정보유출의위험성을내포하고있음안전한정보교류를통한비즈니스활성화를위해데이터무결성및기밀성이보장되어야하고확장성을용이하게할수있는보안인프라가필요함
기밀성(Confidentiality)
무결성(Integrity)
인증(Authentication)
부인방지(Non-repudiation)
Public Key
Infrastructure
가.제안배경
인터넷발전,인터넷을통한개인신상정보,기업정보자산의유통정보증가
배경
통신내용도청,불법사용자데이터변조,
송수신사실부인
문제점
1.TrustNET 소개
제품소개서
기술요소 표준안근거 기술설명
인증서규격 X.509 v3, RFC3280적용된기술은인터넷표준안인 RFC 2459 의인증서규격을채택하여다른 PKI 영역과의연동을위한최소한의기능을갖춤
인증서폐기목록규격 X.509 v2, RFC3280 인증서와같이인터넷표준안인 RFC 2459 가적용되어업체간연동을갖춤
인증서관리절차RFC 2510, RFC 2511
draft-ietf-pkix-cmp-transport-protocols-01
인증서발급/폐기/갱신을위한상호메시지부분에서인터넷표준안인 RFC 2510과실제메시지의전송부분의인터넷표준안인 draft-ietf-pkix-cmp-transport-protocols-01 를적용하여종단간연동성을갖춤
인증서검증 RFC 3280인증서의유효성검증을위한경로인증부분은인터넷표준안인 RFC 2459를준용하여상호인증시에인증서의검증에대한연동성을갖춤
인증서분배 RFC 2559, RFC 2585, RFC2587발급된인증서를배분하기위해표준화된디렉토리구조를통한 LDAP 지원및HTTP 나 FTP 기타네트워크프로토콜을통한접근자를위해 RFC 2585를 적용하여분배편의를도모함
인증기관적용표준나.관련표준
1.TrustNET 소개
제품소개서
기술요소 설명 표준안근거
CRMF Certificate Request RFC 2511
CMP Internal messaging cross certification RFC 2510
SSL Secure Socket Layer RFC 6101
X.509 PKI-OCSP Online Certificate Status Protocol RFC 2560
CMS Cryptographic Message Syntax RFC 2630
LDAP Communication LDAP LDAP
SQL Internal Communication SQL
HTML5 HTML5 World Wide Web Consortium
통신프로토콜표준나.관련표준
1.TrustNET 소개
제품소개서
기술요소 설명 표준안근거
RSA 암호화 PKCS #1 RSA 알고리즘을이용한데이터암호화및전자서명생성과관련된업계표준을지원
패스워드기반데이터암호화 PKCS #5 v2.0
패스워드기반의암호화를위한키유도함수 PBKDF2 및 8바이트이상의블록암호키를
이용한 PBES2 를지원
인증서확장구조 PKCS #6 확장된인증서구조를지원하기위한업계표준으로서명메시지등에서첨부기능지원
전자서명및
암호데이터
PKCS #7, RFC 2630,
RFC 2634
공개키암호화방식을이용해전자서명메시지및암호메시지, 다이제스트메시지등의전자
문서표준을지원
개인키구조 PKCS #8 개인키의보관및이동을위한메시지형식및암호화된개인키표준을지원
인증서요구양식 PKCS #10, RFC 2511인증서발급요구서메시지의표준구조로 PKCS #10 에비해 POP 및구조가개선된 RFC
2511 추가지원
사용자정보교환 PKCS #12사용자개인키및인증서기타보안자료들의이동보관및전달양식표준으로 PC 에서의
인증서이동수단을위해지원
기술표준나.관련표준
1.TrustNET 소개
제품소개서
제품구성 및 주요기능(1/2)제품구분 기능 비고
서버
TrustNET CA/RA사용자정보의등록및인증서의생성, 폐지, 효력정지기능을수행하는 PKI 핵심시스템 - TrustNET 에서는인증서유효성검
증을 OCSP 를기본으로함- CA, OCSP 서버가핸들링하는 RDB 별도필요- CRL 사용시 LDAP 별도필요
TrustNET OCSP 실시간으로인증서유효성을검증하는시스템
관리자 Web Console 인증서정책설정, 발급, 폐기및통계정보확인
응용 TrustNET LRAPI, Web Gateway ActiveX clientTrustNET CA/RA 서버에인증서발급을위해사용자등록, 사용자삭제, 인증서폐지기능수행을위한라이브러리
TrustNET CA client 가설치되어있어야함
클라이언트
TrustNET
CA-Client
For PC
ActiveX client사용자 PC에설치되는컨트롤로 Windows IE 환경에서
인증서발급및관리를수행
Multi client사용자 PC에설치되는컨트롤로 Windows, Linux, Mac
환경에서인증서발급및관리를수행
Non Plug-in Client 사용
(Windows IE는 Active X를사용하기도
함)
TrustNET
CA-Client
For Mobile
Internal Storage
내부저장소에인증서, 개인키를저장하며 Application
형태로제공되며 VPN App 또는해당인증서가필요한다른
App 에서인증서사용가능
Android, iOS 환경지원
External Storage외부저장소에인증서, 개인키를저장하며 Library 형태로
제공되며인증서발급및관리를수행Android, iOS 환경지원
TrustNET Non-Native CA-Client 별도의클라이언트모듈설치없이웹에서클라이언트기능
수행HTML5를지원하는모든웹브라우저
다.제품구성
1.TrustNET 소개
제품소개서
제품구성 및 주요기능(2/2)
제품구분 기능
Toolkit
TrustNET Toolkit for JAVA C/S Application 운영환경에적용하는보안라이브러리
TrustNET Toolkit for C/S 자바통합환경에적용하는보안자바클래스
TrustNET Toolkit for ASP NT용 ASP 웹서버환경에적용하는보안라이브러리
TrustNET Toolkit for .NET .NET Application 환경에적용하는보안라이브러리
TrustNET Toolkit for PHP PHP 기반의웹환경에적용하는보안라이브러리
다.제품구성
1.TrustNET 소개
제품소개서
구성개념도
Admin
WAS
TrustNET CA/RA
User
CA/RA OCSPAdmin WEB
사용자관리
인증서정책설정
발급인증서관리
폐지인증서관리
인증서발급통계
사용자등록요청
인증서발급/폐지요청
인증서통한전자서명
Application
LRAPI WEB G/W
http/https
사용자등록요청인증서발급/폐지요청인증서검증요청(HTTP)
다.제품구성
https
https
1.TrustNET 소개
제품소개서
지원 환경
제품구분 지원환경
서버
TrustNET CA/RAJAVA 1.7 이상의모든 OS 환경지원
DBMS : Oracle, MS-SQL, MySQL, MariaDB, TiberoDB 지원
(그외 DBMS 는포팅하여지원가능)
TrustNET OCSP
관리자 Web Console
응용 TrustNET LRAPI, Web Gateway ActiveX client JAVA 1.3 이상의모든 OS 환경지원
클라이언트
TrustNET
CA-Client
For PC
ActiveX clientBrowser : Internet Explorer
OS : Windows (Windows 8.1 tile UI 제외)
Multi clientBrowser : Chrome, Safari, Opera, Firefox, Edge
OS : Windows, Mac, Linux
TrustNET
CA-Client
For Mobile
iOS iOS 6.0 이상
AndroidAndroid 4.0 (Ice Cream Sandwich) 이상
( Internal Storage Version 기준)
TrustNET JavaScript CA-Client HTML5 를지원하는모든 OS및웹브라우저수정
라.운영환경
1.TrustNET 소개
2. TrustNET CA/RA가. 제품설명
나. 제품기능
제품소개서
가.제품설명
01. 인증서발급
02. 사용자개인키로전자서명
PKI에서핵심역할에해당하는인증기관(Certificate Authority), 등록기관(Registration Authority) 시스템.
사용자의정보등록을통해사용자 DN을부여하고인증서발급을위한참조번호, 인가코드를발행.
인증서발급, 폐지기능을수행하고사용자인증서를조회하여인증서검증수행.
국제표준기술및최신기술적극반영.
TrustNET CA/RACA의개인키로사용자의공개키를서명
사용자
AP Server
03. 사용자인증서유효성검증요청/응답
04. 서명검증
* 사용자인증의추가수단으로인증서를사용하여보다강력한인증을할수있음.
* 인증서를이용한전자서명으로데이터무결성및부인방지를수행할수있음.
2.TrustNET CA/RA
제품소개서
모든인증서의발급, 재발급, 폐지기능
RFC 2510 CMP 를이용한인증서관리기능
DBMS 종류에상관없이인증서저장관리기능
( 별도 DBMS 를사용하지않을경우 MariaDB 사용)
LDAP 서버연동을통한인증서게시기능
인증서관리기능
인증서유효성검증을위해 OCSP를기본으로
제공하고있으나별도요청에의한 CRL 생성및
LDAP 게시기능제공
CRL 갱신주기설정에따라주기적으로
갱신되며, CRL 게시위치를인증서에첨부함
CRL 생성및관리지원
인증서유효기간, 키길이, 키사용에대한설정기능
1인 1인증서또는 1인다인증서정책설정기능
인증서보존기간에대한설정기능
CRL 갱신주기설정기능
인증서정책설정기능
사용자를구분하여등록, 삭제기능
인증서정보(상태, SN, DN 등) 조회및
퇴사등으로인한 인증서폐지기능제공
월별사용자등록통계기능
월별인증서발급및폐지통계기능
사용자관리및통계
주요기능나.제품기능
2.TrustNET CA/RA
제품소개서
사용자등록
인증서발급절차
인증서발급
사용자 인증서발급 WAS TrustNET CA/RA DBMS
1. 사용자등록요청 2. 사용자정보전송
3. 사용자정보등록
4. 참조번호/인가코드5. 참조번호/인가코드수신
사용자 인증서발급 WAS TrustNET CA/RA
6. 인증서발급신청(참조번호/인가코드) 7.참조번호/인가코드전송
4. 참조번호/인가코드5. 참조번호/인가코드수신
DBMS
나.제품기능
2.TrustNET CA/RA
3. TrustNET OCSP가. 제품설명
나. 제품기능
제품소개서
TrustNET OCSP는 CRL (인증서폐기리스트)요청없이인증서의상태를확인하기위한 시스템으로인증서의유효성을실시간으로검증할수있는시스템 , 고객사의요청으로 LDAP 구성을하여 CRL 검증을할수있는기능도제공
제품설명
사용자
인증서저장DBMS
1. 인증서제출
2. 인증서유효성검증요청
3. 인증서상태정보조회
4. 인증서유효성검증결과
5. 서명검증6. 결과전송
인증서상태정보갱신
CRL게시 LDAP
OCSP Distribute CRL
TrustNET
OCSP
TrustNET
CA/RA
TrustNET Toolkit
Web Service
가.제품설명
3.TrustNET OCSP
제품소개서
제품기능
실시간인증서상태확인
OCSP 검증요청에대하여검증요청인증서를실시간으로상태를확인하는기능
폐기된인증서에대한폐기일시및폐기사유정보를구할수있음
인증서유효성검증실패에대한인증서의실패원인을로그에기록하는기능
OCSP 정보검증기능
OCSP 요청정보자체에대한서명확인기능
OCSP 요청자의인증서를발급기관의공개키로검증하여발급기관에서서명한인증서인지를검증
OCSP 요청자의인증서가유효한인증서인지발급기관 DB 정보와비교해발급자의인증서가종속된인증기관의인증서인지확인
검증할인증서의발급자정보를발급기관의발급인증서와비교하여발급기관에서발급된인증서인지를검증하는기능
인증서의유효성을실시간으로검증 할수있는시스템
나.제품기능
3.TrustNET OCSP
제품소개서
CRL 검증
OCSP 검증
사용자 업무 AP Server TrustNET OCSP 인증서저장 DBMS
1. 인증서제출 2. 인증서유효성검증요청
5.인증서유효성결과응답6. 결과응답
사용자 업무 AP Server CRL이게시된 LDAP
1. 인증서제출 2. 인증서배포지점의CRL 요청
3. 해당 CRL 제공5. 결과응답
인증서검증절차
3. 인증서유효성체크
4.결과응답
4. 인증서폐지리스트조회
나.제품기능
3.TrustNET OCSP
4. TrustNET LRAPI,Web Gateway가. 제품설명
나. 제품기능
제품소개서
TrustNET CA/RA 서버에인증서발급을위해사용자등록, 사용자삭제, 인증서폐지의기능수행을위한 API
라이브러리형태의제품이며, 인증서발급을위한웹화면제작시응용프로그램에서 각기능에해당하는 API를호출하여사용
LRAPI
사용자PC
스마트폰
2. API 호출
5. 참조번호,인가코드반환
TrustNET
CA/RAOCSP Application
인증서발급WAS 1. 사용자등록요청
6. 참조번호,인가코드
1. 사용자등록요청
6. 참조번호,인가코드
가.제품설명
3. 사용자등록요청
4. 참조번호,인가코드
4.TrustNET LRAPI, Web Gateway
제품소개서
제품기능
LRAPI
TrustNET CA/RA 서버와의암호화(https) 통신
TrustNET CA/RA 서버에사용자등록/재등록, 삭제요청
TrustNET CA/RA 서버에인증서폐지요청
JAVA 1.3 이상의모든환경에서사용가능
Web Gateway
TrustNET CA/RA 서버와의암호화(https) 통신
TrustNET CA/RA 서버응답에대해 TrustNET CA Client 에무결성검증요청
사용자등록결과값인참조번호, 인가코드를이용하여인증서를발급및재발급
클라이언트에는 CA Client 가설치되어동작되어야함
JAVA 1.3 이상의모든환경에서사용가능
TrustNET CA/RA 서버에서인증서발급을위해필요한작업을수행할수있도록 API 기능제공
나.제품기능
4.TrustNET LRAPI, Web Gateway
가. 제품설명
나. 제품기능
5. TrustNET CA Client
제품소개서
Non Plug-in 방식의모듈제작및배포
Internet Explore 환경을포함한브라우
저와 Windows 와타 OS (Linux,
MacOS) 환경에서사용
사설인증서를발급받아 PC내 File 형태로
저장
발급받은사설인증서의관리기능지원
PC Client
TrustNETCAPC Client발급된인증서는로컬디렉토리에 File 형태로보관되며, Web Browser 또는 OS 종류에따라ActiveX / Non Plug-in 방식 2가지로나뉩니다.
ActiveXNon Plug-in
2 WaysWindows – Internet Explore 환경에서는ActiveX 모듈이설치가되며, 그외브라우저(chrome, safari,
opera, firefox, Edge) 또는 OS 에서는Non Plug-in 모듈이설치되어동작합니다.
각모듈이지원하는기능은동일합니다.
ActiveX 로제작및배포
Windows Internet Explore 에서만사
용가능
사설인증서를발급받아 PC내의 File
형태로저장
발급받은사설인증서의관리기능지원
ActiveX Client
Non Plug-in Client
가.제품설명
5.TrustNET CA Client
제품소개서
Mobile Client
TrustNET CA Mobile Client는스마트폰모바일앱에사설인증서를발급및관리를할수있는기능을제공합니다. 발급된인증서의저장형태에따라 Internal Storage / External Storage 2가지버전으로나뉘며, Internal Storage는클라이언트에서인증서발급후 OS가인식할수있는내부저장소에저장후다른 App 또는 OS에서인증서를사용할수있고, External Storage는 SD Card 또는 App 내부자체폴더를생성하여저장하여, 인증서를사용할수있는기능을제공합니다.
Mobile Client
사설인증서발급외부저장소에인증서및개인키저장개인키패스워드변경키/인증서삭제
External Storage Ver.
사설인증서발급내부저장소에인증서및개인키저장VPN App 또는해당인증서가필요한다른 App에서인증서사용가능
Internal Storage Ver.
가.제품설명
5.TrustNET CA Client
제품소개서
Non Installation Client
중요로직을수행하는 JavaScript 코드는난독화및실시간암호화처리
사설인증서발급
웹브라우저내부저장소에인증서및개인키저장. 자체방식으로암호화보관.
TrustNET Non-Native CA-Client는
JavaScript와 HTML5 기술을이용하여
별도의모듈을설치할필요없이 PC, 모바
일환경에서동일하게사용할수있는클
라이언트입니다.
발급된인증서는웹브라우저내에저장
되어사용되며, 안전하게암호화되어저장
되므로노출되거나오용되거나할우려가
없습니다.
JavaScript 와 HTML5 기술을기반으로 Native 코드없이클라이언트기능을수행
가.제품설명
5.TrustNET CA Client
제품소개서
제품 기능TrustNET CA/RA 서버에인증서발급을위해필요한작업을수행할수있도록 API 기능제공
PC Client
TrustNET CA/RA 서버와의데이트무결성검증기능
인증서발급에필요한인증서생성요청정보생성및인증서/개인키저장기능
인증서/개인키삭제기능, 개인키비밀번호변경기능
Mobile Client
TrustNET CA/RA 서버와의데이트무결성검증기능
인증서발급에필요한인증서생성요청생성및인증서/개인키저장기능
VPN App 또는다른 App 에서인증서를사용할수있도록내부저장소에인증서세트를저장하는기능
외부저장소에인증서저장시인증서/개인키삭제기능, 개인키비밀번호변경기능
Non-Native Client
TrustNET CA/RA 서버와의데이트무결성검증기능
인증서발급에필요한인증서생성요청생성및인증서/개인키저장기능
인증서/개인키삭제기능, 개인키비밀번호변경기능
인증서내보내기/들여오기기능제공
나.제품기능
5.TrustNET CA Client
6. TrustNET Toolkit가. 제품설명
나. 제품구성
다. 주요기능
라. 특징및장점
제품소개서
제품설명
응용환경
암호화처리 API 전자서명처리 API
응용관련기술 암호화관련기술 PKI관련기술 (IETF)
송수신자료암호화기능(인증서불필요)
송수신자료전자서명기능(인증서필요)
송수신자료무결성제공(인증서필요)
응용환경사용자인증기능(인증서필요)
Toolkit
SECURE 기능
가.제품설명
6.TrustNET Toolkit
제품소개서
Toolkit(API) 각종암호화알고리즘제공(암호,전자서명, 해쉬, 랜덤넘버생성등..)
Cert Library
인증서(X509) 검증,경로검색기능암호문구처리기능
인증서요청/폐지등CA인터페이기능암복호자료인코딩/디코딩
Crypto Library
서버응용프로그램에서암복호화및전자서명/검증 등에대한기능제공
레지스터리및스마트카드인터페이스지원
제품구성SECURE APPLICATION
X. 509 CMP
CSP
나.제품구성
PKCS
전자서명API
DS API 인증서관련APIPKCS
API
암호화 API
BigNum Public Block
SCRT
Hmac
Rand Hash
6.TrustNET Toolkit
제품소개서
주요기능(1/2)구분 기능설명 특징
암복호화기능대칭키알고리즘및공개키알고리즘을사용하여특정자료를
암호화/복호화할수있는기능
특정자료및임의의자료에대한암/복호화가능
첨부화일에대한암복호화기능
전자서명기능 특정자료에대해전자서명값을생성하고서명값을검증하는기능 첨부화일에대한전자서명기능
암호화키생성및키교환기능
암복호화에사용되는세션키(암호화키)를안전하게생성하여교환(공유)할수있는기능제공
SSL V3와 TLS V1.1에서의키공유기능과동일방식
인증서 I/O 기능인증서및개인키를레지스터리, 하드디스크, 스마트카드, USB포트등에
백업및복구할수있는기능
다양한형식의저장형식제공(PKCS#12, PEM,DER 인코딩, 디코딩기능)
PKCS#8형태의비밀키관리
PKCS#7 메시지(전자봉투) 기능
RSA의표준형식의암복호화및전자서명메시지생성/복구기능지원 보안메일, XML등에대한확장성제공
인증서검증기능 각종인증기관에서발급한인증서에대한유효성검증(경로검증) 기능제공
6.TrustNET Toolkit
다.주요기능
제품소개서
주요기능(2/2)구분 기능설명 특징
공인인증기관인증서연동
기능
사내사설인증서및공인인증기관인증서를통합하여인터페이스
할수있는기능제공
6대공인인증기관발행인증서및공인인증기관상호연동인증서처리
인증서관리기능
인증서발급요청프로토콜인 CMP(Certificate Management
Protocol) 방식에의한인증서발급신청및인증서폐지, 인증서
갱신, 인증서비밀번호변경, 인증서내보내기, 드려오기등에대한
기능제공
CMP 표준을따르는인증기관(공인인증기관포함)은모두인터페이스가능
스마트카드및 USB 포트등과의인터페이스제공
인증서 GUI(사용자
인터페이스) 기능
저장매체별인증서선택및개인키획득등을위한편리한화면인터페이스기능제공
공인인증기관인증서처리
인증서자동선택기능제공
다양한형태의클라이언트
제공
ActiveX, Npruntime, 모바일, Non-Native 환경등다양한환경에사용할수있는클라이언트제품을제공가능
PC, 모바일환경에서사용되는거의모든환경을지원가능
Non-Native 지원클라이언트는HTML5 기능을지원하는웹브라우저이어야함.
6.TrustNET Toolkit
다.주요기능
제품소개서
특징 및 장점라.특징및장점
툴킷구조가 3계층으로구조화되어있으므로고객이원하는기능만으로가볍게재구성할수있음
맞춤형툴킷제공
국내표준알고리즘지원, 기타공개키알고리즘및암호학적표준의완벽한준수
관련표준완벽한지원
현재 5개의공인인증기관용 인증서처리(암복호화, 전자서명, 인터페이스, 스마트카드지원)
공인인증서처리
멀티쓰레드환경을고려한설계에따른안전성및처리속도보장(K전자서명/검증 시약 0.03초)
속도및안정성확보
웹To브라우저, 클라이언트To서버, 서버To서버등다양한구조와응용환경지원
다양한환경지원
제품사의다양한 PKI 구축경험(공인및대규모인증센터구축, 다양한공인인증기관연동)
다양한구축경험
6.TrustNET Toolkit
Thank you