728x90
인증
메시지 인증
전달되는 메시지의 이상 유무를 확인할 수 있는 기능이다.
메시지 내용 변경, 메시지 순서 변경, 메시지 삭제 여부를 확인한다.
사용자 인증
컴퓨터 통신망은 공개된 통신망이므로 등록된 가입자는 누구든지 접속이 가능하다. 따라서 정당한 가입자의 접속인가를 확인하기 위해 사용자 인증이 사용된다.
+ 개인식별
- 사용자 인증의 유형
- Type 1(지식): Something you know
- Type 2(소유): Something you have
- Type 3(존재): Something you are
- Type 3(행위): Something you do
- Two Factor: 위 타입 중에서 두 가지 인증 메커니즘을 결합하여 구현
- Multi Factor: 가장 강한 인증으로 세 가지 이상의 인증 메커니즘 사용
사용자 인증 기법
지식 기반 인증(What you know)
- 장점
- 다양한 분야에서 사용 가능
- 검증 확실성
- 관리비용의 저렴
- 단점
- 소유자가 패스워드 망각 가능
- 공격자에 의한 추측이 가능
- 사회 공학적 공격에 취약
- 패스워드(Password)
- 고정된 패스워드
- 표나 파일에 사용자 아이디를 정렬해서 저장하는 방법이다. 사용자는 자신의 아이디와 패스워드를 평문 형태로 시스템에 전달한다.
- 패스워드를 평문으로 저장하는 대신 패스워드의 해시를 저장하는 방법이다.
- 패스워드 솔팅(salting) 방법이다. 패스워드로 사용할 문자열이 생성되면 솔트를 이어 붙인다. 그리고 솔팅된 패스워드에 해시함수를 적용한다.
- 일회용 패스워드(one-time password)
- 사용자와 시스템이 패스워드 목록에 대해 합의를 하는 방법이다. 목록 상의 패스워드는 오직 한 번만 사용하기로 한다.
- 사용자와 시스템은 패스워드를 순차적으로 업데이트하기로 합의하는 방법이다. $P_i$를 사용해서 $P_{i+1}$을 생성하는 것이다.
- 사용자와 시스템은 해시함수를 이용하여 순차적으로 업데이트된 패스워드를 생성하는 방법이다. 원래의 패스워드 $P_0$와 카운터 $n$이 있고, 시스템은 $h^n(P_0)$를 계산한다.
- 패스워드 인증의 문제점
- 개인정보 등을 사용하면 패스워드 추측이 쉽다.
- 크래킹 툴과 같은 소프트웨어로 크랙하기 쉽다.
- 무작위로 만든 패스워드 사용 시 기억하기가 어렵다.
- 고정된 패스워드
+ 크래킹: 게임,유틸리티 등의 복사 금지, 실행 금지 등을 깨는 행위이다. 금지를 위한 장치들을 무력화하는 프로그램을 '크랙'이라고 한다.
-
- 패스워드 유형
- 인식 패스워드
- 일회용 패스워드
- 패스 프레이즈
- 패스워드의 보안 정책
- 패스워드의 안전성
- 패스워드 유형
- 시도-응답 개인 식별 프로토콜
- 일방향 개인 식별 프로토콜
- 상호 개인 식별 프로토콜
- 영지식 개인 식별 프로토콜
- i-PIN(Internet Personal Identification Number)
소유 기반 인증(What you have)
- 장점
- 일반적이다.
- 이미 신뢰성과 편리성을 인정받고 있는 기술이다.
- 비용 측면에서 생체 인식방식보다 경제적이다.
- 단점
- 소유물이 없을 경우 인증이 어렵다.
- 복제가 가능하다.
- 자산 관리 기능이 요구된다.
- 메모리 카드(토큰)
- 스마트카드
- 일회용 패스워드 (OTP)
- 질의응답 방식
- 시간 동기화 방식
- 이벤트 동기화 방식
- S/KEY 방식
개체(생물학적) 특정 기반 인증(What you are)
- 장점
- 사용하기가 쉽다.
- 잊어버리거나 손실될 수 없으며 도난당할 수도 없다.
- 위조가 어렵다.
- 단점
- 판단 모호성이 존재한다.
- 관리가 어렵다.
- 인증을 위한 임계치 설정이 어렵다.
- 생체인증(Biometrics)
- 생체인증 기술의 평가 항목
- 보편성
- 유일성
- 지속성
- 획득성
- 성능
- 수용성
- 반기만성
- 생체인증 기술의 유형
- 지문
- 얼굴
- 망막/홍채
- 음성
- 서명
- 생체인증의 정확도
- 오거부율(FRR, False Rejection Rate)
- 오인식률(FAR, False Acceptance Rate)
- 대부분의 생체인식 인증 시스템은 오인식률과 오거부율이 같아지는 균등 오류율에 맞는 민감도를 유지하도록 설정된다.
- 생체인증 기술의 평가 항목
통합 인증 체계 (SSO, Single Sign On)
SSO
- 한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 정보시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션이다.
- 구성요소
- 사용자
- 인증 Server
- LDAP
- SSO Agent
- 장점
- 운영비용 감소
- 보안성 향상
- 사용자 편의성 증가
- 중앙집중 관리를 통한 효율적 관리 가능
- 단점
- SSO서버가 단일실패지점
- SSO서버 침해 시 모든 서버의 보안 침해 가능
- SSO 개발 및 운영비용 발생
- 자원별 권한관리 미비
커버로스(Kerberos)
- 클라이언트/서버 모델에서 동작하며 대칭키 암호기법에 바탕을 둔 티켓 기바 인증 프로토콜이며 동시에 KDC이다.
- 특징
- 개방형 아키텍처
- 티켓이 지정된 유효기간 내에만 있다면 티켓을 사용하여 동일한 서버에서 여러 가지의 응용서비스를 제공
- 주체들은 서로를 신뢰하지 않고, 오직 KDC만을 신뢰
- 구성요소
- KDC(Key Distribution Center)
- AS(Authentication Service)
- TGS(Ticket Granting Service)
- Ticket
- Principals
- 구성도
- 커버로스는 중앙집중식 데이터베이스에 사용자의 패스워드를 저장하고 있는 인증서버(AS)를 이용한다.
- AS는 각 서버와 유일한 비밀키를 공유한다.
- TGS는 AS에게 인증 받은 사용자에게 티켓을 발행한다. 사용자 워크스테이션의 클라이언트 모듈은 이 티켓을 보관한다.
- 사용자가 새 서비스를 요청할 때마다 클라이언트는 자신을 인증하는 티켓을 이용하여 TGS에 접속한다. 이때 TGS는 요청된 서비스에 대한 티켓을 발행한다.
- 클라이언트는 각 서비스-인증 티켓을 보관하고 해당 티켓을 이용하여 사용자를 서버에게 인증시킨다.
- 티켓에는 타임스탬프를 이용한 시간제한이 있다.
- 장점
- 데이터의 기밀성과 무결성 보장
- 재생공격 예방
- 분산 시스템에서 자유로운 서비스 인증이 가능(SSO)
- 대칭키를 사용하여 도청으로부터 보호
- 단점
- 패스워드 사전공격에 약함
- 비밀키, 세션키가 임시로 단말기에 저장되어 침입자에게 탈취당할 수 있음
- 시간동기화 프로토콜이 필요
- 비밀키 변경 필요
- KDC가 단일실패지점
- KDC는 많은 수의 요청을 처리 가능해야 함
- TGS & AS는 물리적 공격 및 악성코드로부터의 공격에 취약
- 커버로스 버전 4와 5의 차이점
- 암호화 시스템 의존성
- 인터넷 프로토콜 의존성
- 티켓 유효기간
세사미(SESAME)
- 커버로스의 기능을 확장하고 약점을 보완하기 위해 개발된 SSO 기술
- 대칭 및 비대칭 암호화 기법을 사용
- PAC(Privileged Attribute Certificate)을 사용: 주체의 신원, 객체에 대한 접근 능력, 접근 기간, PAC의 유효기간을 포함
'정보보안기사 > 필기 오답' 카테고리의 다른 글
접근통제 보안위협 및 대응책 (0) | 2025.01.26 |
---|---|
접근통제 보안 모델 (0) | 2025.01.25 |
접근통제 개요 (0) | 2025.01.21 |
키, 난수 (0) | 2025.01.21 |
전자서명과 PKI (0) | 2025.01.21 |