2013년 2월 13일 수요일

실시간 인증서 상태 확인 기술규격( OCSP)

1. OCSP 규격의 구성 및 범위

  본 규격은 [RFC2560]을 준수하여 전자서명인증체계에서 이용되는 OCSP에 대한 규격을 정의한다.

 첫 번째로 OCSP 인증서 발급 및 운용 모델을 명시하며 OCSP 서버와 클라이언트간 메시지 교환을 위한 프로토콜 및 공인인증서 효력정지 및 폐지정보 획득 방법에 대해 정의한다.

 두 번째로 OCSP 서비스를 제공하기 위해 필요한 OCSP 서버 및 클라이언트 소프트웨어 요구사항을 명시한다.


2. OCSP 모델

  2.1. OCSP서버용 공인인증서 발급 모델

    공인인증기관이 OCSP서버를 운용하고자 하는 경우 OCSP서버를 위한 공인인증서를 발급해야 한다. 본 기술규격에서는 OCSP서버를 위한 공인인증서를 최상위인증기관이 발생한 경우와 최상위인증기관이 발행한 공인인증기관의 공인인증서에 해당하는 공인인증기관의 전자서명 생성키로 발행한 공인인증서만 허용된다.

   2.1.1. 최상위인증기관이 발급하는 경우

      공인인증기관이 OCSP 서버를 운영하고자 하는 경우 OCSP서버를 위한 공인증서를 최상위 인증기관에서 발급해 줄 수 있다. 이 경우 OCSP서버용 공인 인증서 발급 모델은 아래와 같다.

      OCSP 서버용 공인인증서 프로파일은 [KCAC.TS.DSCP]을 준용해야 한다.



   2.1.2. 공인인증기관이 발급하는 경우

     OCSP서버를 위한 공인인증서를 공인인증기관이 직접 발행하여 사용할 수도 있다. 이 경우 OCSP서버용 공인인증서 발급 모델은 그림 2와 같다.



         공인인증기관이 OCSP서버용 인증서로 shortlived 인증서를 발행할 경우 OCSP서버용 인증서 프로파일을 준수해야 하며 유효기간은 CRL 갱신주기에 비해 충분히 짧은 유효기간을 가져야 한다. 이용자는 OCSP서버용 인증서가 shortlived 인증서로 사용될 경우라도 CRL이외의 확장필드에 대한 검증은 반드시 수행해야 한다.

         OCSP 서버용 shortlived 인증서 프로파일은 [KCAC.TS.DSCP]을 준용해야 한다.

  
  2.2. OCSP 서버 운영 모델

    공인인증기관이 OCSP서버를 운영하기 위한 모델은 그림 3과 같다.



      OCSP서버는 이용자가 원하는 공인인증서 상태 조회 요청이 있을 경우 해당 공인인증서의 상태 정보를 이용자에게 응답하여 준다.
      OCSP서버는 해당 공인인증서의 상태정보를 조회하기 위해 CA에서 제공되는 최신의 효력정지 및 폐지정보를 획득/관리해야 한다.

      OCSP서버와 이용자간의 상태 조회 요청 및 그 응답과 관련된 기술기준은 3.1절에 기술되어 있으며 OCSP서버가 최신의 효력정지 및 폐지 정보를 획득하기 위해 필요한 사항들은 3.2절에 기술되어 있다.



3. 구성요소간 기준

  3.1. OCSP서버와 클라이언트

    OCSP서버는 적법한 클라이언트가 원하는 공인인증서의 상태를 조회할 수 있도록 한다.
    이를 위해 OCSP서버와 클라이언트간의 메시지 교환을 위한 프로토콜은 [RFC2560]을 준용해야 한다.
 
   공인인증서 상태 조회를 위한 요청 메시지와 응답메시지 전송을 위한 프로토콜은 HTTP를 사용해야 한다.

   클라이언트가 OCSP서버 공인인증서를 획득하기 위하여 응답 메시지에 OCSP서버의 공인인증서를 포함하여 보내야 한다.

   OCSP 요청 및 응답은 재연 공격(replay attack)에 대처할 수 있도록 난수(Nonce)를 requestExtensions 및 responseExtensions에 반드시 사용해야 한다.

   이용자가 요청한 인증서의 상태조회 결과가 폐기인 경우 이용자가 인증서의 폐지사유를 명확히 알 수 있도록 응답 메시지의 revocationReason 필드를 반드시 사용해야 한다.


 3.2. OCSP서버의 공인인증서 효력정지 및 폐지정보 획득

    OCSP서버가 공인인증서의 상태를 제공하기 위해서 공인인증서 효력정지 및 폐지정보를 획득.관리해야 한다. 이를 위해서 OCSP서버는 CA가 제공하는 최신의 공인인증서 효력정지 및 폐지정보를 획득해야 한다.
    OCSP서버가 공인인증기관 내에 존재하여 CA서버 혹은 디렉토리 시스템으로부터 공인인증서 효력정지 및 폐지정보를 획득하는 경우 다음의 사항을 만족해야 한다.

     o OCSP서버가 클라이언트에게 제공하는 공인인증서 효력정지 및 폐지정보는 CA가 제공하는 최신 공인인증서 상태 정보가 모두 반영되어 있어야 한다.

     o OCSP서버가 공인인증서 효력정지 및 폐지정보 획득을 위해 CA서버에 접근하는 경우 CA서버는 OCSP서버에 대한 접근통제 기능을 가져야 한다.
     o CA서버가 공인인증서 효력정지 및 폐지정보를 제공하기 위해 OCSP서버에 접근하는 경우 OCSP서버는 CA서버에 대한 접근통제 기능을 가져야 한다.

     o OCSP서버에 제공된 공인인증서 효력정지 및 폐지정보에 대한 무결성을 보장할 수 있어야 한다.
   
 
작성자: 시간:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)