확장 인증 프로토콜(EAP : Extensible Authentication Protocol) 네트워크 접근 및 인증 프로토콜 프레임워크 역할 클라이언트와 인증 서버 간의 인증 방법을 캡슐화 할 수 있는 일련의 프로토콜 메시지 제공 점-대-점 링크, LAN 및 기타 네트워크 같은 네트워크 및 링크 계층 장치에서 작동 다양한 링크와 네트워크에서 필요로 하는 인증 기능을 제공 인증 방법 EAP는 클라이언트 시스템과 인증 서버 간의 인증 정보 교환을 위한 일반 전송 서비스를 제공한다 클라이언트와 인증 서버 양 쪽에 설치된 특정 인증 프로토콜이나 방법을 사용하여 기본 EAP 전송 서비스를 확장함 EAP-TLS (서버와 사용자 모두 인증서를 가지고 있음) EAP-TTLS (서버만 인증서를 가지고 있음) EAP-G..
Computer Science/Security
네트워크 접근 통제(NAC)네트워크 접근 통제란 네트워크 접근 관리에 사용하는 포괄적인 용어이다.사요자가 네트워크에 로그인 하는걸 인증사용자가 접근 할 수 있는 데이터와 수행 할 수 있는 작업 범위를 결정사용자가 컴퓨터나 모바일 기기(종단 기기)의 안정성을 접근한다핵심은 행동 제어를 해준다는 것이다 공공 기관에서 하나의 AP로 여러 개의 SSID를 뿌려 줄 수 있다. 즉 해당 기관 직원과 게스트를 위한 AP를 분리해둔 상황이다. 이 때 외부인이 직원 전용 SSID에 접근하여 공공 기관 인증 서버에서 접근 통제를 한다.네트워크 접근 통제 시스템 요소접근 요청자(AR : Access Requestor) 네트워크에 접근을 시도하는 노드 워크스테이션, 서버, 프린터, 카메라 등 NAC 시스템이 관리하는 모든 장..
X.509 인증서 ITU-T 권고안 X.509는 디렉터리 서비스를 정의하는 권고안 X.500 시리즈의 한 부분 X.509 X.509는 인증 서비스의 구조를 규정합니다 공개 키 암호와 디지털 서명을 이용해서 만들어졌습니다 해당 표준에서는 특정 디지털 서명 알고리즘/해시 함수 사용을 명시하지 않습니다 디렉터리 사용자 정보 데이터베이스를 관리하는 하나의 서버 또는 분산 서버 집단 공개키 인증서의 저장소로 이용 IT 센터 등에서 컴퓨터 안에 들어가야 할 소프트웨어 정보들을 관리 할 때 디렉터리를 사용한다 X.509 형식 X.509 구조의 핵심은 각 사용자와 연관 된 공개 키 인증서이다. 해당 사용자 인증서(공개 키 인증서)는 CA가 만들고, CA나 사용자가 디렉터리에 올린다 디렉터리 서버 자체는 공개 키 작성이..
Kerberos 커버로스는 대칭 암호 원리 기초를 기반으로하는 컴퓨터 네트워크 인증프로토콜이다 주로 클라이언트-서버 시스템에 사용 되며, 인터넷 같이 보안이 보장되지 않는 네트워크에서 사용자 인증, 데이터 무결성, 기밀성 제공합니다 인터넷에서 데이터를 주고 받을 때의 위협은 무엇인가? 사용자 위장 네트워크 주소 변경 (Spoofing) 재전송 공격 커버로스에서 사용자는 서버를 인증할 수 있는 기능을 갖춘 중앙 집중식 인증 서버를 가지게 된다 커버로스 프로토콜의 핵심 요소 클라이언트(Client) : 서비스를 사용하려는 사용자 또는 시스템 서비스 서버(Service Server) : 클라이언트에게 서비스를 제공하는 시스템 인증서버(Authentication Server, AS) : 사용자의 인증 정보를 확..
Kerberos 5 Kerberos 4에 비해 개선 된 부분을 위주로 버전 5 kerberos 프로토콜에 대해 알아보자 버전 4와 버전 5의 차이점 환경적 결함 : Athena 프로젝트 환경에 국한해 설계해서 발생 암호화 시스템 의존성 : 기존의 버전 4는 DES 를 사용하였다 인터넷 프로토콜 의존성 : 버전 4는 IP 주소만을 사용해야 했다 메시지 바이트 순서 : 버전 4의 바이트 순서가 전통적인 방법을 따르지 않았음 티켓 유효 기간 : 버전 4는 티켓 유효기간이 21시간 정도로 짧았음 인증 전달 공동체 간 인증 기술적 결함 이중 암호화 PCBC 암호화 세션 키 패스워드 공격 버전 5의 인증 절차 인증 서비스 교환 티켓 - 발행 티켓 취득 용어 공동체(Realm) : 사용자의 공동체 선택 사항(Opti..
커버로스 4는 내부 암호로 DES를 사용하며, 설명을 위해 Athena 프로젝트의 Bill Bryant가 사용한 방법으로 구조 설명을 하겠다 단순 인증 절차 : 인증서버(AS:authentication server) AS는 각 서버와 유일한 비밀 키를 공유한다 이 때 비밀 키는 물리적으로 분배되거나 다른 안전한 방법을 통해서 분배 된다. 아래의 가상 절차를 고려해보자 (1) 사용자가 워크스테이션에 로그온하고, 서버 V에 접근 요청 사용자 워크 스테이션 내 클라이언트 모듈 C는 사용자 패스워드 요구 사용자의 ID와 서버 ID 그리고 사용자 패스워드를 포함하는 메시지를 AS에 보낸다 (2) AS의 티켓 발행 AS는 데이터베이스 조회 사용자가 자신의 ID와 일치하는 패숴워드를 입력했는지 서버 V에 접근 허가가..
대칭 암호를 이용한 대칭키 분배 대칭 키 암호를 올바로 사용하려면 메시지를 주고 받는 양쪽이 반드시 동일한 키를 공유해야만 하고, 반드시 다른 사람은 그 키에 접근할 수 없도록 해야 한다. 키 분배 기술이란 다른 사람이 키를 보지 못하게 하면서 데이터를 교환하고자 하는 쌍방에게 전달하는 수단을 의미한다. 아래는 키 분배 기술의 예시이다. A가 키를 선택한 뒤 B에게 직접 전달 제3자가 키를 선택한 뒤에 A와 B에게 직접 전달 A와 B의 공유키로 한 사람이 새 키를 작성하고 공유키로 암호화하여 상대방에게 전송 A와 B가 제3자인 C와 암호화된 연결이 확립되어 있다면, C가 암호화된 링크를 통해서 A와 B에게 키를 전달 세션 키와 영구 키를 사용하는 방법 이 방법은 위의 키 분배 기술의 예시 중 4번을 따라..
원격 사용자 인증 원칙 사용자 인증이란 주장하는 신원이나 시스템 개체를 검증하는 과정이라고 정의되어 있다. 식별 단계 : 보안 시스템에서 식별자 제시 검증 단계 : 개체와 식별자를 묶어서 인증 할 수 있도록 인증 정보 제시 또는 생성 핵심은 사용자 인증은 주장된 내용을 검증하는 방식으로 이루어진다. NIST 전자 사용자 인증 모델 전자 사용자 인증이란 전자적으로 정보 시스템에 제시된 사용자 신원에 대해 신뢰를 확립하는 과정이다 시스템은 인증된 신원을 이용하여 인증된 개체가 특정 기능을 수행 할 수 있도록 허가할지 말지를 결정한다. 특정 기능 데이터베이스 트랜잭션 시스템 자원에 대한 접근 등등 SP 800-63-2 E-인증 구조 모델 해당 인증 모델에서는 다수의 개체와 프로시저들이 연관된 사용자 인증용 일..
디지털 서명 NIST에서 정의 한 것에 따르면, 데이터를 암호학적으로 변환한 결과로서 적절하게 구현할 경우 출처인증, 데이터 무결성, 서명인 부인 봉쇄를 검증하는 메커니즘에 사용된다. 디지털 서명은 데이터에 종속되는 비트 패턴으로, 파일, 메시지 또는 다른 유형의 데이터 블록을 입력 값으로 하는 함수 형태의 에이전트에 의해 생성 된다. 디지털 서명 생성과 검증 위의 그림은 일반적인 디지털 서명 생성 절차를 나타낸 그림이다. 디지털 서명은 메세지 출처와 무결성은 지켜주지만, 기밀성을 지켜주지는 못한다. 밥은 메시지 M을 해시 함수에 넣은 후, 디티절 서명 생성 알고리즘을 통해 짧은 블록을 만들어 메시지 M에 첨부한다 앨리스는 받은 비트 블록과 메시지 M을 동일하게 해시 함수-디지털 서명 생성 알고리즘에 넣..
Diffe-hillman 알고리즘 Diffie-Hellman 키 교환은 공개키 암호화 기법 중에서 대칭 키를 공유하기 위해 사용되는 방법입니다. 이 알고리즘의 목적은 두 사용자가 비밀 키를 안전하게 교환하는데 있다 알고리즘 자체는 키를 교환하는데 국한되어서 사용한다 핵심 Diffie-Hellman 키 교환의 핵심은 이산 로그 문제와 모듈러 산술 문제입니다. 이를 이용하여 Alice와 Bob은 비밀 수를 선택하고, 이를 통해 대 키(비밀키)를 생성합니다. 이 알고리즘은 인증 및 기밀성이 보장되지 않으므로, 보안 통신 시스템에서는 이를 보완하기 위해 추가적인 암호화 방법을 사용합니다. 예를 들어, SSL/TLS 프로토콜에서는 Diffie-Hellman 키 교환을 사용하면서, 서버 인증을 위해 디지털 인증서를..
