인터넷 ID관리 솔루션 들은 크게 다음과 같은 것들이 있다.

• Microsoft .Net Passport  (LiveID)  => 통합 인증서버 
• 전세계에 하나의 인증서버를 두고, 여기에 등록해서 id를 만든 뒤 그 id를 이용해서 Passport 서비스에 가맹한 사이트를 모두 이용할 수 있도록 해주는 개념이다. 
• 가맹한 웹사이트에 방문해서 "Passport로 로그인" 버튼을 누르면 passport 로그인 창이 뜨고 여기서 passport id를 사용해서 로그인하면 해당 사이트에 로그인 된다.
• 가맹웹사이트에서는 패스포트에게 인증확인을 요청하고, 패스포트는 로그인을 확인후 응답을 주는 방식으로  인증 대행이 이루어 진다.
• 한번 로그인하면 그 뒤엔 "Passport로 로그인" 버튼을 누르기만 하면 로그인이 된다.
• 윈도우 계정과 passport를 연계해서 로그인할 수 있다. 즉 윈도우 로그인만 하면 passport 로그인이 같이되는 것이다.
• 별로 많은 가맹사이트를 모으지 못해 실패한것으로 판정되었으나, MSN 메신저를 가맹사이트에 하나로 두어 여기서는 계속 사용되고 있고 가입자는 3억8천만명에 이르는 세계 최대 규모의 인터넷 ID관리 솔루션이다.
• 폐쇄성, 독점성, 보안상의 취약, 유료가맹비 등으로 많은 비판을 받았으나. 최근 LiveID라는 명칭으로 변경되고 무료가맹에, 가맹자용 툴킷을 공개하여 다른 국면을 맞이 하고 있다.

 

• OpenID   => url기반 솔루션
  • Url-based 솔루션의 대표 주자이다.
  • Passport와 달리 누구나 인증서비스 제공자가 될 수 있다. 심지어 사용자 자신이 만들어서 사용할 수 있다.
  • 인증서비스제공자를 찾아기 위해 id에 url을 붙여서 id를 만든다. 
  • 웹사이트에 방문해서 url이 포함된 id를 입력하면, 웹사이트는 url을 이용, 해당 인증서비스 제공자를 찾아가서 인증확인을 요청한다.
  • 사용자는 인증서비스 제공자에서 로그인하면 인증결과를 웹사이트로 돌려준다. 이런식으로 웹사이트에 로그인하게 된다.
  • 핵심은 id에 url이 포함되어 있기때문에 인증서비스 제공자와 웹사이트간의 사전 가맹관계가 없어도 인증대행서비스가 가능하다는 점이다.
  • 최근 많은 사용자와 웹사이트를 확보하고 있다. 전세계적으로 5천개 이상의 웹사이트에서 사용가능하다고 한다.

 

• Microsoft Cardspace => Client side 솔루션
  • Client 기반 솔루션의 대표주자이다 (PC에 설치된 프로그램을 이용한 인터넷 ID관리)
  • Client기반 솔루션은 웹사이트에 등록된 id와 패스워드를 클라이언트마다 저장해 두고 로그인시 자동 입력해주는 방식으로 로그인 및 패스워드관리 문제를 해결하고, 개인정보도 저장해 두었다가 자동입력해주는 방식으로 동작한다.
  • 이방식의 장점은 웹사이트를 수정할 필요가 없다는 것이다.
  • Microsoft에서 Windows Vista에 탑재해 출시한 Cardspace는 이러한 client기반 솔루션중 하나인데, 웹사이트를 수정할 필요가 있는 점이 특이하다.
  • Cardspace는 저장된 id/pw 혹은 개인정보를 카드의 형태로 사용자에게 보여준다.
  • 사용자는 카드를 이용해서 웹사이트에 가입하고 로그인하고 이용하게 된다.
  • 카드 중 어떤 것은 다른 웹사이트에서 발급해 준 것이다. 즉 다른 웹사이트에 발급된 정보가 사용자를 거쳐, 웹사이트에 전송될 수 있는 것이다.  
  • 이를 통해, 인증대행이라든지, 사용자 정보 전송을 달성할 수 있다.

 

• EIDMS  => id 연계  기반 솔루션
• Liberty는 원래 조직(기업)간 id연계를 위해 개발된 기술이다
• 양쪽이 한 사람에 대한 id를 상호 연계하면, 한쪽에서 로그인후 다른쪽에는 추가로그인없이(인증확인을 통해) 이용할 수 있고, 한쪽에서 다른쪽에게 그 사람에 대한 개인정보를 전송해서 이용할 수 있게 된다.
• 한사람이 두개 사이트에 보유한 서로다른 id연계를 통해 이러한 목적을 달성할 수도 있고, 한사람이 하나의 유일한 id만을 사용함을 통해 달성할 수도 있다. Liberty는 둘중에 id 연계에 기반한 솔루션이다.
• 이렇게 조직간 id 연계를 위해 개발된 기술을 인터넷 ID관리에 적용하여 이용하는 솔루션 중 대표적인 것은 ETRI에서 개발한 EIDMS이다.
• EIDMS에서는 인증대행 및 사용자 정보를 제공하는 IDP가 있고, IDP와 ID 연계를 통해 인터넷 ID 서비스를 이용하는 가맹 웹사이트인 SP가 있다.
• IDP와 SP는 각각 개별적으로 사용자 관리(id, 개인정보 등록등)를 수행하지만, id연계를 통해 IDP에서 로그인한 사용자가 가맹SP에서 추가적 로그인없이 사용할 수 있는 SSO를 이용할 수도 있고, IDP 나 타 SP에 저장된 사용자 정보를 서로 교환할 수도 있다.

위의 4가지 유형에 포함되는 몇가지 솔루션들이 더 있지만 대표적인 것들은 위와같다.


 

• Enterprise I&AM  (Identity & Access Management)
  Enterprise I&AM 은 하나의 조직(기업 등)에서 사용하는 ID 및 권한관리 솔수션이다. 다루고 있는 문제는 인터넷 ID의 그것과 유사하나 대상이 조직내부 또는 조직내부와 외부의 연동에 촛점을 맞추고 있다.

• 조직 내의 신규 진입자에게 각 정보시스템 (인트라넷, 인사관리, 등등)에 id 생성 및 초기 정보 등록 -> provisioning
• 여러 개의 정보시스템에서 사용하는 패스워드 또는 추가적인 강력한 인증수단 (pki, 생체등)의 관리 -> password management, strong authentication
• 한번 로그인으로 여러 정보시스템을 추가 로그인 없이 이용하기 -> single sign on
• 각 정보시스템에서의 사용자의 이용권한을 관리 -> access management
• 조직 내부의 시스템들 간  (커다란 조직의 경우) 또는 타 조직의 시스템 간의 sso나 타 조직에서 접근해온 사용자에 대한 권한관리 등을 위한 id 연계  -> id federation
• ID관리 전반에 대한 감사 기록 -> audit
• 다음 그림은 Enterprise ID관리의 구성요소를 나타낸 것

          

• Enterprise I&AM과 인터넷 ID 관리의 차이점
  • EIAM은 단일 기업(조직)에 도입되는 단위의 솔루션이다.
  • 기업 내에서 id관리에 따른 비용절감을 목적으로 한다.
  • 기업 내에 사용되는 정보시스템을 대상으로 하므로 권한관리나 감사기록의 보안성에 많은 초점이 맞춰져 있다.
  • 기업들이 도입할 동기가 분명하므로, 큰 시장이 형성되어 있고, 도입도 활발하고 그만큼 많은 솔루션들이 출시되어 있다.

 

 

• 인터넷 상의 identity관련 문제는 다음과 같다.
• 웹사이트에 새로 가입할 때 id,패스워드 등록 및 개인정보 입력 불편
• 반복되는 로그인 및 사용되는 패스워드 기억 불편
• 등록한 개인정보나 id, 패스워드의 안전성 문제
• 한곳에서 생성된 개인정보를 다른 사이트에서 이용할 수 없는지..
• 등록해 놓은 개인정보가 변경되었을 때 반영 방법(예, 주소변경)

 

International

• "Identity Centric Management of Distributed UCC", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, IUC2006, Korea, December 2006


• "A Personal Information Leakage Prevention Method on the Internet", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, ISCE2006, Russia, June 2006
• "A Method for Preventing the leakage of the Personal Information on the Internet", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, ICACT2006, Korea, January 2006
• "An Efficient Trust Evaluation in Ad Hoc Network", Seunghun Jin, Chanil Park, Daeseon Choi, Kyoil Jung, Hyunsoo Yoon, ETRI Journal Vol.27, No. 4, August 2005 
• "Reputation based public key management for mobile ad hoc network", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, The 8th World Multiconference on Systemics, Cybernetics and Informatics, USA, July 2004
• "Single Sign On and Access Control for network security service", Taesung Kim, Jonghyuk Roh, Daeseon Choi, Youngsub Cho, Seunghun Jin, The 8th World Multiconference on Systemics, Cybernetics and Informatics, USA, July 2004
• "Fully Self Organized Public Key Management for Mobild Adhoc Network", Daeseon Choi, Seunghun Jin, Hyunsoo Yoon, PARA'04 Workshop on State-of-the-art in Scientific Computing, Denmark, June 2004
• "A Location Privacy Protection Mechanism for Smart Space", Youngsub Cho, Sangrae Cho, Daeseon Choi, Seunghun Jin, Kyoil Jung, Chihang Park, LNCS 2908: Information Security Applications, March 2004
• "A Location Privacy Protection Mechanism for Smart Space", Youngsub Cho, Sangrae Cho, Daeseon Choi, Seunghun Jin, Kyoil Jung, Chihang Park, WISA2003, Korea, August 2003
• "New Security Paradigm for Application Security Infrastructure", Seunghun Jin, Sangrae Cho, Daeseon Choi, Jaechul Ryu, ICOIN 2003, Korea, Feburary 2003
• "An Information Security Model for the Next Generation Application Service", Daeseon Choi, Sangrae Cho, Seunghun Jin, Kyoil Jung, IWAP 2002, Taiwan, October 2002
• "A Wireless PKI System Using Password Based MAC", Daeseon Choi, Heesun Kim, Taesung Kim, Jonghyuk Roh,  Youngsub Cho, Seunghun Jin, IWAP 2001, Korea, October 2001

Domestic(KOREA)

• "인터넷 개인정보 유출 차단기술" 최대선, 진승헌, 윤현수, NCS 2005 논문집, 2005년 12월
• "인터넷 개인정보 유출 차단 방법" 최대선, 진승헌, 윤현수, 정보보학회 동계학술대회 논문집, 2005년 12월
• "인터넷 ID관리 서비스", 최대선, 진승헌, 정교일, ETRI 전자통신동향분석, 2005년 2월
• "인터넷 SSO를 위한 Federated Identity 기술", 조영섭, 최대선, 김태성, 진승헌, 차세대 통신소프트웨어학술대회 논문지, 2004년 12월
• "인터넷 ID관리 서비스" , 정보보호학회지, 최대선, 조상래, 김승현, 진승헌, 정교일, 2004년 11월
• "P2P를 이용한 전자거래 프라이버시 보장 기법", 최대선, 조상래, 진승헌, 여광재, 2003 정보과학회 충청지부 추계학술대회, 2003년 12월
• "프라이버시 보장형 P2P 상거래 시스템", 최대선, 진승헌, 윤현수,  통신소프트웨어 학술대회논문집, 2003년 7월
• "공인 Web SSO 도입 방안에 관한 연구", 최대선, 김태성, 진승헌, 정보과학회 춘계학술대회 논문집, 2003년 4월
• "통합 어플리케이션 정보보호 기반구조", 최대선, 진승헌, 정교일, 정보보호학회 학회지 제12권 5호, 2002년 11월
• "SAML기반의 SSO및 B2B", 최대선, 진승헌, 한국정보처리학회 추계학술대회 논문집, 2002년 12월
• "TSP SDK 구현", 원형석, 노종혁, 최대선, 진승헌, 한국정보과학회 추계학술대회 논문집, 2002년 10월
• "통합형 암호API의 설계와 구현", 김태성, 노종혁, 최대선, 원형석, 진승헌, 한국정보과학회 학술대회, 2002년 10월
• "차세대 어플리케이션 서비스를 위한 정보보호 모델", 최대선, 김태성, 조상래, 진승헌, 정보보호학술발표회논문집, 2002년 7월
• "Collaboratvie VA모델”,  노종혁, 김태성, 최대선, 진승헌, 정교일, 2001정보과학회 추계 학술발표논문집: pg 751-753(2001년 10월 20일)
• “WAP을 위한 무선 PKI 시스템 개발”, 최대선, 김희선, 조영섭, 진승헌, 조현숙, 정보보호와 암호에 관한 학술대회(WISC2001) 논문집: pg 692-703(2001년 9월 7일)
• “통합형 global 공개키 기반구조 시스템”, 김태성, 노종혁, 최대선, 조영섭, 진승헌,통신소프트웨어 학술대회 논문집: (2001년7월 26일)
• “Attribute Certificate과 PMI모델”, 조영섭, 최대선, 진승헌, 정교일,한국통신학회 하계 종합학술대회 논문집: pg 1933-1936 (2001년 7월 6일)
• “속성인증기술과 PMI”,      조영섭, 최대선, 진승헌, 윤이중,한국통신정보보보학회 학회지: (2000년 12월 12일)
• “ETRI CMS의 인증기관 운영 모델과 정책 관리”, 조상래, 최대선, 진승헌, 윤이중정보보호학술 발표회 논문집: (2000년11월 3일)
• “ETRI CMS”, 최대선,조영섭,진승헌,윤이중,정보보호학술 발표회 논문집: (2000년11월 3일)

Current Project

        e-identity 보호용 공통보안서비스 플랫폼 개발         2004.3 ~ 현재  정보통신부



Accomplished Projects

@ ETRI

• 능동형 보안관리시스템 기술 개발        2003.1 ~ 2003.12   정보통신부
• 통합형 Global PKI 기술 개발              2001.1 ~ 2003.12   정보통신부
• 통합형 Global PKI 기술 개발              2001.1 ~ 2003.12   정보통신부
• 무선인터넷 정보보호시스템 개발         2000.4 ~ 2001.4    정보통신부
• 금융망보안대책 및 인증서버개발         1999.7 ~ 2000.10   증권전산, 금융결제원
• 전자보증서기반 정보보호시스템개발    1999.7 ~ 2000.12   정보통신부

@ Hyundai

• 신공항경비보안시스템                       1999.3 ~ 1999.6     신공항건설공단
• 육군 Wargame 시스템                       1998.12~1999.2     육군교육사령부 
• 체신금융분산시스템                          1998.1 ~ 1998.10   정보통신부
• 한국전력 네트웍관리시스템                1997.11~1998.1     한국전력
• 현대자동차 SNA gw 시스템               1997.6 ~ 1997.10    현대자동차

@ POSTECH

• 철강특허 정보검색 시스템                 1995.2 ~ 1997.2     포항제철
• 한국어 형태소 분석기 개발                1995.2 ~ 1996.2     한국과학재단

@ ETRI

- Information Security
- Privacy Protection
- Identity Management
- Public Key Infrastructure

@ KAIST

- Ad hoc Network Security
- Sensor Network

@ Hyundai

- Middle ware
- SNA network

@ POSTECH

- Natural Language Processing
- Information Retrieval

@ Personal interests

- Web 2.0
- Customized Service
- Personal Information Service

• 2003 ~ Present    Phd candidate, Computer Science Div. EECS Dept, KAIST
• 1999 ~ Present    Senior Research Staff, Information Security Div., ETRI 
• 1998 ~ 1999       Software Engineer, Hyundai Information Technology 
  1997 ~ 1998       Software Engineer, Hyundai Electronics 
• 1997                   M.S. Computer Science, POSTECH
• 1995                   B.S. Computer Scient, Dongguk Univ. 

• Address            Information Security Div., ETRI
                         161 Kajung-dong, Yusung-gu, Taejeon, 305-350, KOREA   
• E-Mail               sunchoi AT etri re kr
• Phone               82-42-860-I3O8
• Fax                   82-42-860-5611

 

Source: User Centric Identity #1 by HP's Archie Reed

Summary

User Centric Identity Challenge 는  개인정보 수집자 (Aggregatior) Choicpoint, Lexis 같은 회사들이 규제와 관계없이 활동중 (KT 소디스 비슷하군)

저자의 제안은

- User experience : microsoft's cardspace 와 sxip solution  -> 다만 현재의 규제(금융권 인증 방법)가 Identity관련 기능을 분리하여 일관된 UE를 제공하는데 장애물이 되고 있음

- Privacy Management : User centric data 에 대한 privacy policy insurance 측면에서 접근하고 있다. (정작 hp솔루션은 개인이 아닌 조직 단위 정책 설정 기능 밖에 없는 모양)

Comment

포커스가 안맞는 엉뚱한 글. HP 솔루션을 설명하기 위해, 엉뚱한 도입부를 갖고 있음

HP의 privacy management는 ETRI의 privacy controller 개념과 유사함

정책기반 centralized privacy management에 대한 필요성이 부각되고 있는 듯하고, ETRI의 현재까지 개발 방향은

매우 타당한 것으로 생각됨

Idea

??

source: Identity substitutes, tokens and proxies by ZDNet's Phil Becker

summary

인증을 할 때 진짜 identity는 biometric이고 나머지는 전부 approximation 을 사용한다.

사실, 진짜 identity 확인이 필요한 경우는 많지 않다. 

궁극적 목적이 privilege control을 위해서, 실제 identity확인 보다는 , 이 transaction이 authorized party에 의해 실행되고 있다는 것만 확인하면 되는 경우가 많다.

몇가지 예로, 스마트키로 가는 자동차 -스마트키 보유여브,   ATM 인출 - 카드보유 및 PIN 아는지, 지폐로 물건 구입 -지폐보유 및 위폐아님, RFID 통행요금 납부 - RFID tag이 부착되어 있는지, 건물 출입-스마트카드 id배지, 지문인식 노트북 - 이건실제임

이러한 대체물에 의한 인증은 사용자를 편하게 해준다. 반면 인증강도도 높다.

사용자들은 사용자를 편하게 해주면 높은 인증강도를 위한 다른 인증 방법도 채택하는 경향이 있다.

comment

attribute base privilege control 기술의 필요성이 점차 높아지고 있다. 실제 많은 부분이 도입되고 있음

identity management의 폭을 좀더 넓혀 나가야 한다.

현재의 기능( 복수의 id 존재-관리 )을 넘어서서 새로운 서비스로 사용자 편의성과 보안성을 높이려는 노력이 필요함

idea
스마트키를 이용한 자동차 시스템을 다른 부분에 확장하면 좋겠다.

source: Social Software, Identity, & Reputation: by Tom Maducks

summary

identity infra (여기서는 social software를 위한 environment  라고 함)가 필요하단 얘기

Apple's new social software push, Facebook's open APIs, Microsoft's enabling user-created Xbox 360 games, the growth of online video, the prospect of Internet-based TV, XuQa combining social networking with games, Yahoo making its Answers API ..  => identity와 reputation 기반을 필요로 함

" a rich social environment online where both identity and reputation require managing for the convenience and privacy of all of us. "

1. id 반복등록 없애기

2. 개인정보 반복입력 없애기

3. 분산ID관리 기능 주기

4. 개인정보 자기 통제 기능 주기

5. What names (or pseudonyms--a constant theme of this blog) we attach to our information =>요거하나 새로움

comment


ETRI에서 이야기해온 인터넷 ID관리문제 및 솔루션과 동일한 얘기, 필요성이 증대되고 있음

idea

5번과 관련해서 고려가 필요함.