EAP-TLS 사용
Azure Sphere는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)를 사용하여 Wi-Fi 네트워크에 연결할 수 있도록 지원합니다. EAP-TLS는 이더넷을 통해 지원되지 않습니다.
Wi-Fi EAP-TLS는 보안 중심 시나리오에서 일반적인 인증 방법입니다. SSID 암호를 전역 비밀로 사용하는 것보다 훨씬 더 큰 보안을 제공하지만 Azure Sphere 디바이스와 네트워크가 올바르게 구성되고 인증되도록 하기 위한 추가 작업이 필요합니다.
EAP-TLS 프로토콜 사양은 RFC 5216에 자세히 설명되어 있습니다. Azure Sphere OS는 EAP-TLS 프로토콜을 직접 구현하지 않습니다. 대신 프로토콜을 구현하는 오픈 소스 wpa_supplicant 구성 요소를 통합합니다.
용어
AP(액세스 지점): 다른 Wi-Fi 디바이스가 유선 네트워크에 연결할 수 있도록 하는 네트워킹 하드웨어 디바이스입니다.
인증서: CA에서 서명한 공개 키 및 기타 메타데이터입니다.
CA(인증 기관): 디지털 인증서에 서명하고 발급하는 엔터티입니다.
CA 인증서: RADIUS 서버의 인증 인증서가 체인하는 루트 CA 인증서입니다. 이 공개 키는 Azure Sphere 디바이스에 저장될 수 있습니다.
클라이언트 인증서: 네트워크에 인증하는 데 사용되는 인증서 및 프라이빗 키입니다. 클라이언트 인증서와 쌍을 이루는 프라이빗 키는 Azure Sphere 디바이스에 저장됩니다.
키 쌍: 암호화된 바인딩된 키 집합입니다. 대부분의 시나리오에서 키 쌍은 공개 키와 프라이빗 키를 의미합니다. 그러나 Azure Sphere EAP-TLS 시나리오에서 키 쌍 은 클라이언트 인증서와 해당 프라이빗 키를 나타냅니다.
프라이빗 키: 신뢰할 수 있는 소유자를 제외한 엔터티에 노출되어서는 안 되는 키입니다.
PKI(공개 키 인프라): 디지털 인증서를 생성, 관리, 배포, 사용, 저장 및 해지하고 공개 키 암호화를 관리하는 데 필요한 역할, 정책, 하드웨어, 소프트웨어 및 절차 집합입니다.
RADIUS(원격 인증 전화 접속 사용자 서비스): 포트 1812에서 작동하고 네트워크 서비스에 연결하고 사용하는 사용자를 위해 중앙 집중식 인증, 권한 부여 및 회계(AAA 또는 트리플 A) 관리를 제공하는 네트워킹 프로토콜입니다. RADIUS 서버는 클라이언트에서 인증 데이터를 수신하고 유효성을 검사한 다음 다른 네트워크 리소스에 액세스할 수 있도록 합니다.
Rivest–Shamir–Adleman(RSA):RFC 3447을 기반으로 하는 공개 키 암호화 시스템).
요청자: 무선 클라이언트입니다. Azure Sphere 디바이스는 지원됩니다.
EAP-TLS 인증 개요
다음 다이어그램에서는 Azure Sphere 디바이스가 EAP-TLS 프로토콜을 사용하여 인증하는 프로세스를 요약합니다.
Azure Sphere 디바이스가 네트워크 리소스에 액세스해야 하는 경우 AP(무선 액세스 지점)에 연결합니다. 요청을 받으면 AP는 디바이스의 ID를 요청한 다음 RADIUS 서버에 연결하여 인증 프로세스를 시작합니다. 액세스 지점과 디바이스 간의 통신은 EAPOL(LAN) 프로토콜을 통한 EAP 캡슐화를 사용합니다.
액세스 지점은 EAPOL 메시지를 RADIUS 형식으로 다시 코딩하고 RADIUS 서버로 보냅니다. RADIUS 서버는 포트 1812의 네트워크에 대한 인증 서비스를 제공합니다. Azure Sphere 디바이스와 RADIUS 서버는 액세스 지점을 통해 인증 프로세스를 수행하여 메시지를 서로 릴레이합니다. 인증이 완료되면 RADIUS 서버는 디바이스에 상태 메시지를 보냅니다. 인증에 성공하면 서버에서 Azure Sphere 디바이스에 대한 포트를 엽니다.
인증에 성공하면 Azure Sphere 디바이스가 다른 네트워크 및 인터넷 리소스에 액세스할 수 있습니다.
서버 인증 및 디바이스 인증 은 인증 프로세스를 자세히 설명합니다.
서버 인증
서버 인증은 상호 EAP-TLS 인증의 첫 번째 단계입니다. 상호 인증에서 RADIUS 서버는 디바이스를 인증할 뿐만 아니라 디바이스가 서버를 인증합니다. 서버 인증이 반드시 필요한 것은 아니지만 이를 지원하도록 네트워크 및 디바이스를 구성하는 것이 좋습니다. 서버 인증은 불량 또는 사기꾼 서버가 네트워크의 보안을 손상할 수 없도록 하는 데 도움이 됩니다.
서버 인증을 사용하도록 설정하려면 RADIUS 서버에 CA에서 서명한 서버 인증 인증서가 있어야 합니다. 서버 인증 인증서는 서버 인증서 체인의 끝에 있는 "리프"이며, 필요에 따라 중간 CA를 포함할 수 있으며 결국 루트 CA에서 종료됩니다.
디바이스가 액세스를 요청하면 서버는 전체 인증서 체인을 디바이스로 보냅니다. 디바이스가 네트워크에 인증될 때까지 OS 시간을 유효한 시간 원본과 동기화할 수 없으므로 Azure Sphere는 서버 인증 인증서 또는 체인에 시간 유효성 검사를 적용하지 않습니다. 디바이스가 서버의 루트 CA와 일치하는 루트 CA를 신뢰하도록 구성된 경우 서버 ID의 유효성을 검사합니다. 디바이스에 일치하는 루트 CA가 없는 경우 서버 인증이 실패하고 디바이스가 네트워크 리소스에 액세스할 수 없습니다. 루트 CA 인증서 업데이트에 설명된 대로 디바이스에서 때때로 RootCA를 업데이트할 수 있어야 합니다.
디바이스 인증
서버 인증이 완료되면 디바이스는 클라이언트 인증서를 전송하여 자격 증명을 설정합니다. 디바이스가 클라이언트 ID를 전달할 수도 있습니다. 클라이언트 ID는 일부 네트워크에서 인증에 필요할 수 있는 선택적 정보입니다.
성공적인 디바이스 인증에 대한 특정 요구 사항은 특정 네트워크가 구성된 방식에 따라 달라질 수 있습니다. 네트워크 관리자는 Azure Sphere 디바이스의 유효성을 증명하기 위해 추가 정보를 요구할 수 있습니다. 구성에 관계없이 클라이언트 인증서 업데이트에 설명된 대로 디바이스 인증서를 수시로 업데이트할 수 있어야 합니다.
Azure Sphere EAP-TLS 플랫폼
Azure Sphere EAP-TLS 플랫폼은 네트워크 구성 및 관리에 다음과 같은 기능을 제공합니다.
- 를 로드합니다. Wi-Fi EAP-TLS 연결에 대한 디바이스의 클라이언트 인증서 및 프라이빗 키가 포함된 PEM 파일입니다.
- EAP-TLS를 사용하도록 Wi-Fi 인터페이스를 구성합니다. Tthe. 디바이스의 클라이언트 인증서를 포함하는 PEM 파일은 디바이스에 있어야 합니다.
- 기존 비 EAP-TLS 네트워크에 연결하여 디바이스 인증서 및 프라이빗 키를 얻고, EAP-TLS 네트워크를 사용하도록 설정하고, EAP-TLS 네트워크에 연결합니다.
- 애플리케이션이 HTTPS 연결 에 사용되는 DAA(디바이스 인증 및 증명) 인증서를 사용하여 인증서 저장소에 인증할 수 있도록 설정합니다.
- WifiConfig API 를 사용하여 Wi-Fi 네트워크를 관리합니다.
- 인증서를 관리하는 Certstore API 입니다.
다른 모든 EAP-TLS 네트워크 구성 요소는 로컬 네트워크 관리자의 책임입니다.
EAP-TLS 네트워크 설정
EAP-TLS 네트워크의 설정은 네트워크 관리자의 책임입니다. 네트워크 관리자는 PKI(공개 키 인프라)를 정의하고 모든 네트워크 구성 요소가 해당 정책을 준수하는지 확인해야 합니다. 네트워크 설정 및 구성에는 다음 작업이 포함되지만 이에 국한되지는 않습니다.
- RADIUS 서버를 설정하고, CA 인증서를 획득 및 설치하고, 디바이스의 ID를 증명하기 위한 기준을 설정합니다.
- 서버를 인증할 수 있도록 RADIUS 서버의 루트 CA를 사용하여 Azure Sphere 디바이스를 구성합니다.
- 각 디바이스에 대한 클라이언트 인증서 및 프라이빗 키를 획득하고 디바이스에 로드합니다.
EAP-TLS 인증서 획득 및 배포 는 다양한 네트워킹 시나리오에서 인증서를 획득하고 배포하는 방법을 설명합니다.
클라이언트 인증을 위한 인증서 및 프라이빗 키는 PEM 형식으로 제공되어야 합니다. 프라이빗 키는 프라이빗 키에 대한 대칭 키 암호를 사용하거나 사용하지 않고 PKCS1 또는 PKCS8 구문으로 제공할 수 있습니다. 루트 CA 인증서도 PEM 형식으로 제공해야 합니다.
다음 표에서는 Azure Sphere에 대한 EAP-TLS 네트워크를 구성하는 데 사용되는 정보를 나열합니다.
| 항목 | 설명 | 세부 정보 |
|---|---|---|
| 클라이언트 인증서 | 클라이언트 인증서에 대한 공개 키가 포함된 서명된 CA 인증서입니다. 필수. | 최대 크기: 8KiB 식별자 문자열의 최대 길이: 16자 |
| 클라이언트 프라이빗 키 | 클라이언트 인증서와 쌍을 이루는 프라이빗 키입니다. 필수. | 최대 크기: 8Kib RSA 지원; ECC 키는 지원되지 않습니다. |
| 클라이언트 프라이빗 키 암호 | 클라이언트 프라이빗 키를 암호화하는 데 사용되는 암호입니다. 선택적. | 최소 크기: 1 바이트 최대 크기: 256바이트 빈 문자열 및 null 문자열은 동일한 것으로 해석됩니다. |
| 클라이언트 ID | RADIUS 서버에 전달되고 디바이스에 대한 추가 정보를 제공하는 ASCII 문자열입니다. 일부 EAP-TLS 네트워크에서 필요합니다. | 최대 크기: 254바이트 형식: user@domainname.com |
| 루트 CA 인증서 | RADIUS 서버 인증 인증서의 루트 CA 인증서입니다. 각 디바이스에서 구성해야 합니다. 선택 사항이지만 강력하게 권장됩니다. 네트워크 관리자와 검사. | 최대 크기: 8KiB 식별자 문자열의 최대 길이: 16자 |
중요
인증서 만료 관리를 포함하여 네트워크에 대한 모든 PKI 및 RADIUS 서버 설정은 사용자의 책임입니다.