[실기] 정보보안 - 인증과 접근 통제

최초 작성일: 2024-09-11

최종 작성일: 2024-09-11

목표 : 정처기 합격 및 CS 지식 쌓기

 

 

1.    인증과 인가

(1)   인증(authentication)

1)    인증의 개념

로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차

2)    인증 유형

유형	설명
지식 기반 인증	사용자가 기억하는 정보를 이용 아이디/패스워드 등
소유 기반 인증	사용자가 소유한 물건을 이용 신분증, OTP(OneTimePassword) 등
생체 기반 인증	사용자의 신체적 또는 행동적 특징을 이용 지문, 홍채, 음성등
행위 기반 인증	사용자의 행동정보를 이용 서명, 동작 등
위치 기반 인증	인증을 시도하는 위치를 이용 (GPS, IP주소등)

 

(2)   인가(Authorization)

인증된 사용자에게 권한을 부여하는 과정

권한에 따라 사용가능한 기능이 제한된다

(3)   인증 방식

1)    계정 정보를 요청 헤더에 넣는 방식 (https ok 등)

가장 보안이 낮은 방식이다

http 요청에 인증할 수단을 넣어서 전송하는 방식이다(ID,PW)

2)    Cookie/Session 방식

세션 기반 인증을 위해 Session(서버에 저장)과 Cookie(temporary 폴더에 저장)가 사용된다

서버에 저장되어야 개인정보 유출이 안됨

(쿠키만 사용을 가능하나 세션만 사용할 수 는 없음)

(사용자의 중요한 정보는 세션을 통해 서버에 저장하고 해당 세션 키(세션 id)를 쿠키에 저장함)

3)    토큰 기반 인증 방식(JMT, json web token)

암호화된 문자열을 이용하는 인증방식

 토큰을 이용해서 다른 사이트에서도 작업을 하겠다 이런 거임

4)    OAuth

온라인 서비스에서 사용자의 자격 증명을 공유하지 않고도 한 서비스(예: 웹 사이트 또는 애플리케이션)가 사용자를 대신해 다른 서비스에 접근할 수 있도록 하는 개방형 표준 인증 프로토콜

주로 3rd party 애플리케이션이 사용자의 동의를 얻어 리소스 소유자의 자원을 접근할 때 사용한다(동의를 얻어 토큰을 받아서 다른 사이트에서도 작업)

5)    SSO

하나의 로그인 인증 정보를 사용해 여러 애플리케이션을 접근 할 수 있는 인증 서비스 이다

6)    커버로스

개방된 네트워크에서 안전하게 서비스 요청을 인증하기 위한 프로토콜

대칭키 암호화 체계를 사용

7)    아이핀

주민등록번호 대체 인증 수단으로 개인정보 유출 최소화를 위해 도입되었다

2.    접근 통제

(1)   개념

정당한 사용자에게 권한을 부여하고, 그 외의 사용자는 접근을 거부하는 것

IP 주소와 서비스 포트는 접근 제어의 기본적인 수단이다

네트워크 장비의 관리 인터페이스 접근 제어, ACL을 통해 IP에 대한 접근을 제어한다

*ACL = 내 IPT 주소가 화이트 박스 리스트에 들어가 있는 것

(2) 접근 통제 과정

1) 식별 : 사용자 ID를 확인하는 과정

2) 인증 : 사용자의 패스워드가 정확한지 확인

3) 인가 : 사용자에게 읽기, 쓰기, 실행하기 등의 권한을 부여

(3) 접근 통제 원칙

1) 최소 권한의 원칙 : 필요한 최소한의 권한만을 부여한다

2) 직무 분리 : 업무의 처리 과정을 한사람이 독단적으로 수행하지 않도록 직무를 분리 한다

(4) 접근 통제 정책

1) 강제적 접근 통제( MAC, Mandatory Access Control)

자원의 보안 레벨과 사용자의 보안 취급 인자를 비교하여 접근을 제어

기밀성을 강조되는 조직에서 사용

대표적인 모델 :BLP(벨라파듈라)모델, BIBA 모델 등

2)임의적 접근 통제(DAC)

자원소유자가 다른 사용자의 접근을 허용하거나 제한할 수 있는 방법

3)    역할 기반 접근 통제(RBAC)

사용자의 역할에 기반을 두고 접근을 통제하는 모델

정보에 대한 사용자의 접근을 개별적인 신분이 아니라 조직 내 개인 역할에 따라 허용여부를 결정하는 모델

4)    정책별 내용

정책	MAC	DAC	RBAC
권한부여	시스템	데이터 소유자	중앙 관리자
접근결정	보안등급(Label)	신분(identity	역할(role)
정책변경	고정적 (변경 어려움)	변경 용이	변경 용이
장점	안정적,  중앙 집중적	구현 용이, 유연함	관리 용이

 

(5)   접근통제모델

1)    벨- 라파둘라 모델(blp, 하나의 데이터/정보)

기밀성을 중점으로 두는 모델로, 주로 군사 및 국방 분야에서 사용

정보가 높은 보안 레벨에서 낮은 레벨로 유출되는 것을 방지한다

No read up, no write down

(아래 사람은 읽을 수 없고 밑에 알려주면 안되)

2)    비바 모델(하나의 데이터)

무결성을 강조하는 상업용 모델

정보의 무결성을 유지하기 위해 보안 레벨과 데이터 접근 권한을 엄격히 관리 한다

No read down, no write up

3)    클락-윌슨 모델(업무 처리 과정, 트랜잭션)

무결성을 중점을 둔 상업용 모델

상업적 응용 프로그램의 보안 요구사항에 초점을 맞춘다

업무 처리 과정과 트랜잭션의 무결성을 유지하는 데 초점을 맞춘다

4)    만리장성 모델

이해 충돌을 방지하기 위한 모델로, 특히 금융 서비스 제공회사에서 널리 사용된다

어떠한 정보의 흐름도 차단하여 이해 충돌이 발생하지 않도록 한다

 

 

===복습===

평문 -> 암호문 (암호화)

암호문 -> 평문 (복호화)

양방향 암호화

단방향 암호화 ( 복호화 시킬 수 없는 것)

 

대칭키 암호화 ( 많은 양을 암호화 시킬 수 있음, 속도가 빠름, 키 분배의 문제 발생(많은 양을 암호화 빠르게 시키 되, 비 대칭키-공개키로 암호화, 개인키로 복호화를 이용

비 대칭키 암호화 (적은양, 속도가 느림 , 대칭키 암호화의 경우, 키 분배 문제가 발생하여 해당 이슈 해결하려고 비대칭키를 이용함)

 

대칭키 암호화 – 블록 암호화 (덩어리 덩어리)

DES(64블록, 56 암호키, 16 라운드)

3-DES

AES(128 평문, 128/192, 256 암호키, 10/12/14 라운드)

ARIA(AES 알고리즘과 비슷)

IDEA(64블록, 128암호키, 8라운드, 스위스)

SKIPJACK(64 입출력, 80 암호키, 32라운드, 미국)

대칭키 암호화 – 스트림 암호화

LFSR(스트림 암호의 난수를 생성하는 용도)

RC4(로널드 라이베스트)

A5(GSM 휴대폰 체계에 사용)

데이터를 쏵 쏘면서

 

비 대칭키 암호화

소인수 분해 기반(RSA, Rabin)

이산 대수 기반 (Diffie-hellman, DSA, ELGamal, KCDSA)

타원 곡선(ECC)

단방향 암호화(MD5, SHA)

역상 저항성 : x->y (y를 가지고 x 추정 불가)

제2역상 저항성

충돌 저항성

무차별 대입 공격(-> 키스트레칭), Rainbow table (->솔팅)

전자우편 보안 : PGP, PEM, S/MIME, DKIM

코드유형: 순차 코드, 블록 코드, 10진 코드, 그룹분류 코드, 연상 코드, 표의 숫자 코드(중량 너비 등), 합성 코드

코드 오류 : 생략(Ommision), 필사, 전위, 이중, 추가, 임의 오류

트리플 a ( 인증, 인가, 어카운팅)