확장 인증 프로토콜(EAP : Extensible Authentication Protocol)
- 네트워크 접근 및 인증 프로토콜 프레임워크 역할
- 클라이언트와 인증 서버 간의 인증 방법을 캡슐화 할 수 있는 일련의 프로토콜 메시지 제공
- 점-대-점 링크, LAN 및 기타 네트워크 같은 네트워크 및 링크 계층 장치에서 작동
- 다양한 링크와 네트워크에서 필요로 하는 인증 기능을 제공
인증 방법
EAP는 클라이언트 시스템과 인증 서버 간의 인증 정보 교환을 위한 일반 전송 서비스를 제공한다
-
클라이언트와 인증 서버 양 쪽에 설치된 특정 인증 프로토콜이나 방법을 사용하여 기본 EAP 전송 서비스를 확장함
-
EAP-TLS (서버와 사용자 모두 인증서를 가지고 있음)
-
EAP-TTLS (서버만 인증서를 가지고 있음)
-
EAP-GPSK (미리 약속 된 키를 공유한다)
-
EAP-IKEv2
TMI
사실 휴대폰 인증도 EAP로 한다. EAP의 SIM을 쓰는데 AKE도 있다.
심카드가 EAP 타고 인증 서버로 날라가나보다
데이터 링크 위에서 작동을 한다고 한다
EAP 교환
- EAP 대등자 : 네트워크에 접근하고자 하는 클라이언트의 컴퓨터
- EAP 인증자 : 네트워크에 접근을 허가하기 전에 EAP 인증을 요구하는 AP
- EAP 통과 모드 : 접근 권한 부여 여부를 결정
- 인증 서버(Authentication Server) : EAP 대등과 사용할 특정 EAP 방법을 합의하는 서버 컴퓨터
- EAP 대등이 제공하는 신용 정보를 검증하고, 네트워크에 접근을 허가 한다
- 보통 인증 서버는 RADIUS 서버
- 대등을 인증 할 수 있는 백엔드 서버
어떤 인증 방법을 쓰던 인증 정보와 인증 프로토콜 정보는 EAP 메시지로 전송한다.
- 인증자가 대등의 접근을 허가하고, 그 대등이 접근권을 사용하도록 결정하는 것을 의미
- 인증자의 결정은 보통 인증과 권한 부여
성공적인 인증이란
- EAP 메시지 교환인데, 궁극적으로 인증자가 대등의 접근을 허가하고, 그 대등이 접근권을 사용하도록 결정하는 것을 의미
인증자 결정 관점 : 인증 권한과 부여의 2가지 관점에서 이루어진다
- 대등은 인증자에게 성공적으로 인증 할 수 있지만, 인증자는 정책적인 이유로 대등의 접근을 거절 할 수 있다
EAP 인증 교환 과정
- EAP 교환에 필요한 설정을 위해 하위 계층에서 교환이 끝나면, 인증자는 대등에게 신원을 요청하기 위해 요청을 보낸다
- 대등은 신원 정보로 응답한다
- 인증자는 일련의 요청을 하고 인증 정보 교환을 위한 대등의 응답이 이어진다.
- 교환되는 정보와 필요한 요청-응답 교환 수는 인증 방법에 따라 달라진다
위의 대화는 인증자가 대등을 인증 할 수 없어 실패를 전송하거나 인증자가 성공적으로 인증이 이루어져 성공을 전송할 때까지 반복 된다
통과 모드에서 EAP 메시지 흐름도
단 성공과 실패 메시지에는 데이터 필드가 없다
-
EAP의 첫 번째 요청과 응답 메시지 쌍은 유형 신원으로서 이를 이용하여 인증자는 대등의 신원을 요청하고, 대등은 자신의 신원을 응답 메시지에 포함시켜 보낸다
-
이 응답은 인증자를 경유하여 인증 서버로 전달 된다
-
대등과 인증 서버는 이어서 EAP 메시지를 교환한다
-
대등으로부터 신원 응답 메시지를 수신하면 서버는 EAP 방법을 선택하고, 인증 방법과 연관이 있는 유형 필드를 포함한 첫 번째 EAP 메시지를 보낸다
-
대등이 선택된 EAP 방법을 지원하고 수용한다면 대등은 대응 되는 동안 동일한 유형의 응답 메시지로 대답
- 그렇지 않으면 대등은 NAK를 보내고, EAP 다른 EAP 방법을 선택하거나 실패 메시지를 이용하여 EAP를 실행을 중단한다
-
선택된 EAP 방법에 따라 요청/응답 쌍의 개수가 결정된다
- 쌍방의 대화 과정 중 키 내요이 포함된 적절한 인증 정보를 교환한다.
-
서버는 인증이 성공했다고 결정하거나 더 이상 시도가 없어서 인증이 실패했다고 결정하면 이 교환을 종료한다.
EAP 메시지 필드
- 코드
- EAP 메시지 유형을 식별
- 요청은 1, 응답은 2, 성공은 3, 실패는 4
- 식별자
- 요청에 대한 응답을 맺기 위해 사용
- 길이
- EAP 메시지 길이를 옥텟 단위로 표시
- 메시지에는 코드, 식별자, 길이와 데이터 필드 포함
- 데이터
- 인증과 연관된 정보
- 전송하는 데이터의 유형을 나타내는 유형 서브 필드
- 유형 데이터 필드로 구성
'Computer Science > Security' 카테고리의 다른 글
| 사회 공학적 공격 (0) | 2023.04.12 |
|---|---|
| 통합 신원 관리 (0) | 2023.04.12 |
| 네트워크 접근 통제 (0) | 2023.04.12 |
| X.509 인증서 (1) | 2023.04.11 |
| Kerberos (0) | 2023.04.11 |
