[정보보안기사 PART 03] 접근통제 - 사용자 인증
Section 09 사용자 인증
1.인증
(1) 메시지 인증
1) 기본 개념
전달되는 메시지의 이상 유무를 확인할 수 있는 기능으로 전송 중 발생할 수 있는 메시지 내용 변경, 메시지 순서 변경, 메시지 삭제 여부를 확인하는 기능
ex) 메시지 암호화 방식, MAC(Message Authentication Code)방식, 해쉬 함수 이용한 방식
(2) 사용자 인증
1) 기본 개념
사용자 A가 사용자 B한테 자기 자신을 A임을 증명할 수 있는 것!
2) 사용자 인증의 유형
유형 | 설명 | 예 |
Type 1 (지식) | 주체는 그가 알고 있는 것을 보여줌(Something you know) | 패스워드, 핀(PIN) |
Type 2 (소유) | 주체는 그가 가지고 있는 것을 보여줌(Something you have) | 토큰, 스마트카드 |
Type 3 (존재) | 주체는 그를 나타내는 것을 보여줌(Something you are) | 지문 |
(행위) | 주체는 그가 하는 것을 보여줌(Something you do) | 서명, 움직임 |
Two Factor | 위 타입 중에서 두 가지 인증 메커니즘을 결합하여 구현 | 토큰 + PIN |
Muti Factor | 가장 강한 인증으로 세 가지 이상의 인증 메커니즘 사용 | 토큰 + PIN + 지문인식 |
2. 사용자 인증 기법
(1) 지식 기반 인증 (What you know)
1) 지식 기반 인증의 장,단점
장점
1. 다양한 분야에서 사용 가능
2. 검증 확실성
3. 관리비용 저렴
단점
1. 소유자가 패스워드 망각
2. 공격자에 의한 추측 가능
3. 사회 공학적 공격 취약
2) 패스워드
고정된 패스워드
접속 시에 반복해서 사용되는 패스워드 (표나 파일 저장, 해시 저장, 솔트 이용)
일회용 패스워드(one-time password)
오직 한 번만 유효한 높은 수준의 보안이 요구되는 환경에서 사용
3) 시도-응답 개인 식별 프로토콜
- 대칭형 암호와 공개키 암호에 기반
- 자기 자신만의 소유하고 있는 어떤 비밀 정보를 자신이 알고 있다는 사실을 간접적으로 보여줌
ex) 일방향 개인 식별 프로토콜, 상호 개인 식별 프로토콜
4) 영지식 개인 식별 프로토콜
자신의 비밀 정보를 서버에게 제공하지 않고 자신의 신분을 증명하는 방식
5) i-PIN (Internet Personal Identificatin Number)
인터넷상에서 주민번호 대신에 아이디와 패스워드를 이용하여 본인 확인을 하는 수단
(2) 소유 기반 인증 (What you have)
1) 소유기반 인증의 장,단점
장점
1. 일반적임
2 입증된 기술
3. 생체 인식방식보다 경제적
단점
1. 소유물 없는 경우 인증 어려움
2. 복제 가능
3. 자산 관리 기능 요구됨
2) 메모리 카드(토큰)
- 메모리 카드는 저장 가능하지만 프로세스 데이터는 아님
- 카드 뒤에 있는 마그네틱 선
3) 스마트카드
마이크로 프로세스, 카드 운영체제, 보안 모듈, 메모리 등으로 구성되어 특정 업무를 처리함
집적 회로가 내장된 신용카드 크기의 플라스틱 카드
4) 일회용 패스워드(OTP, One-Time Password)
- OTP용 프로그램에서 사용자 비밀번호와 일회용 비밀번호 생성용 입력값을 입력하면 암호 알고리즘을 사용해서 일회용 패스워드를 생성하는 사용자 인증 방법
- 패스워드 가로채기, 어깨너머 훔쳐보기 등에 대처하며 일정시간마다 비밀번호 변경
ex) 질의응답, 시간 및 이벤트 동기화, S/Key 방법
질의 응답 : 시도응답 방식, 임의의 난수
시간 동기화 : 토큰장치와 비밀키에 나타나는 시간값은 OTP 생성하는데 사용
이벤트 동기화 : 인증값과 비밀키 해시되어 사용자에게 보여짐
S/Key 방식 : 해시 체인 기반
(3) 개체(생물학적) 특성 기반 인증 (What you are)
1) 생물학적 특징 기반 인증의 장,단점
장점
1. 사용 쉬움
2. 쉽게 도난 및 손상 할 수 없음.
3. 위조 어려움
단점
1. 잘못 판단할 영역(판단 모호성) 존재
2. 관리 어려움
3. 인증 위한 임계치 설정 어려움
2) 생체인증 (Biometrics)
생체적 혹은 행동적 특성 측정하여 신원 인증하는 방법
생체인증 기술의 평가항목
특성 | 설명 |
보편성 | 모든 사람이 가지고 있는 생체 특징인가? |
유일성 | 동일한 생체 특징을 가진 타인은 없는가? |
지속성 | 시간에 따른 변화가 없는 생체 특징인가? |
획득성 | 정량적으로 측정이 가능한 특성인가? |
성능 | 환경변화와 무관하게 높은 정확성을 얻을 수 있는가? |
수용성 | 사용자의 거부감은 없는가? |
반기만성 | 고의적인 부정사용으로부터 안전한가? |
3. 통합 인증 체계
(1) SSO (Single Sign On)의 기본 개념
1) 통합 인증 체계(SSO) 정의
한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 정보시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 설루션
2) SSO 구성요소
사용자 : 개별 ID/Password 로그인 시도
인증 Server : ACL을 통한 통합 인증 서버
LDAP : 네트워크상의 지원을 식벼하고, 사용자와 Application들이 자원에 접근할 수 있도록 하는 네트워크 디렉터리 서비스
SSO Agent : 각 정보시스템에 자동인증 정보(Token) 송수신 수행
(2) 커버로스(Kerberos)
1) 개요
SSO의 한 예이며, 혼합 네트워크를 위한 사실상의 표준
2) 특징
확장성, 투명성, 안정성, 보안
티켓이 지정된 유효기간 내에만 있다면 동일한 서버에서 여러가지의 서비스 응용 가능
3) 커버로스의 구성요소
구성요소 | 설명 | 비고 |
KDC (Key Distribution Center) |
키 분배 서버 모든 사용자와 서비스의 비밀키 보관 신뢰할 수 있는 티켓 생성 무결성 신뢰 사용자의 패스워드 비밀키로 변환 (사용자의 인증 목적 위해 사용) |
TGS와 AS로 구성 |
AS (Authentication Service) |
실질적으로 인증 수행 사용자에 대한 인증을 수행하는 KDC의 부분 서비스 |
|
TGS (Ticket Granting Service) |
티켓 부여 서비스 티켓을 부여하고 티켓을 분배하는 KDC의 부분 서비스 |
|
Ticket | 사용자에게 대해 신원과 인증을 확인하는 토큰 | |
Principals | 인증을 위하여 커버로스 프로토콜을 사용하는 모든 실체 |
4) 커버로스의 취약성
- 실패 단일 지점(SPOF, Single Point Of Failure)이 될 수 있다. KDC를 위한 이중화 구성 필요
- 비밀키는 사용자의 워크스테이션에 임시 저장 -> 침입자가 암호화된 키 획득 가능성 암시
- 패스워드 추측 공격에 취약
*출처:[알기사] 2019 정보보안기사&산업기사
*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.
'자격증 > 정보보안기사' 카테고리의 다른 글
[정보보안기사 PART 04] 시스템 보안 - 운영체제 개요 (0) | 2020.04.26 |
---|---|
[정보보안기사 PART 03] 접근통제 - 접근통제 보안 모델 (0) | 2020.04.19 |
[정보보안기사 PART 03] 접근통제 - 접근통제 개요 (0) | 2020.04.18 |
[정보보안기사 PART 02] 암호학 - 전자서명과 PKI (0) | 2020.04.18 |
[정보보안기사 PART 02] 암호학 - 해시함수와 응용 (0) | 2020.04.17 |