1. 정보보호 개요
1) 정보보호 목표
- 기밀성(Confidentiality) : 허가되지 않은 사용자에게 노출되지 않는 것을 보장
- 무결성(Integrity) : 권한이 없는 사용자에 의해 변경되지 않는 것을 보장
- 가용성(Availability) : 인가된 사용자가 필요로 할 때 원하는 객체 또는 자원에 접근하고 사용할 수 있는 것을 보장
2) 정보보호 공격유형과 보호대책
- 변조(Modification) : 원래의 데이터를 조작하는 행위로, 소스 프로그램을 변경하여 악성코드 실행 또는 특정 URL로 접속하게 함
- 가로채기(Interception) : 네트워크상에서 전송되는 데이터에 대하여 복사, 열람 등을 하는 공격유형으로 중요 정보가 유출될 수 있음 (ex. Sniffing)
- 차단(Interruption) : 정상적인 서비스를 방해하는 행위로, DOS 및 프로세스 고갈 공격이 대표적임
- 위조(Fabrication) : 송신되는 메시지를 변조하여 상대방을 속이는 것으로, 송신자의 IP를 변경하여 상대를 속일 수 있음
2. 사용자 인증 방식 및 원리
1) 지식기반 인증
- 사용자의 기억으로만 인증하는 방식으로, 패스워드, Pin 번호 등이 있음
Cf) 패스워드의 문제점
- 패스워드 전송 시 암호화하지 않으면 Sniffing Tool에 의해 도청이 가능
- 패스워드 전송구간에 도청을 막기위해 암호화를 해야하며, 복호화될 필요가 없으므로 일방향 암호화 실행
2) 소유기반 인증
- 소유기반 인증의 가장 대표적인 예는 열쇠이며, 이러한 소유기반 인증은 복제와 분실의 문제점을 가짐
3) 존재(생체)기반 인증
- 평생 불변의 특성을 지닌 생체적, 행동적 특징을 자동화된 수단으로 등록하여 인증하는 방식
- 생체인증 분류
| 분류 | 내용 |
| 존재 특징 | - 생체 특성, 지문, 장문, 얼굴, 손 모양, 홍채, 망막, 정맥 |
| 행동 특징 | - 서명, 음성, 키보드 입력 |
- 생체인증 특징
| 평가항목 | 내용 |
| 보편성(University) | - 모든 사람들이 보편적으로 지니고 있어야 함 |
| 유일성(Uniqueness) | - 개인별로 특징이 명확히 구분되어야 함 |
| 지속성(Permanence) | - 개인의 생체 정보는 지속적이어야 함 |
| 성능(Performance) | - 개인 확인 및 인식의 우수성, 시스템 성능 |
| 수용성(Acceptance) | - 거부감이 없어야 함 |
| 저항성(Resistance) | - 위조 가능성이 없어야 함 |
3. 커버로스(Kerberos) 인증
대칭키 암호화 기법에 바탕을 둔 티켓기반 인증 프로토콜로 Client <> Server 사이의 인증을 제공하며, Windows OS의 기본 인증 방식으로 사용된다.
3A(Authentication, Authorization, Accounting)를 지원한다. (인증, 인가, 과금)
1) Kerberos의 구성요소
| 구성요소 | 설명 |
| KDC | - 키 분배센터(Key Distriction Center), TGS + AS로 구성 - 사용자와 서비스 암호화 키(비밀키)를 유지하고 인증 서비스를 제공하며 세션 키를 만들고 분배 |
| AS | - 인증 서비스(Authentication Service), 실질적 인증 수행 |
| Principals | - 인증을 위해 Kerberos Protocol을 사용하는 모든 실제를 이르는 말 |
| TGS | - 티켓 부여 서비스(Ticket Granting Service) - 티켓을 만들고 세션 키를 포함한 Principals에 티켓을 분배하는 KDC의 한 부분 |
| Ticket | - 인증 토큰 |
| TimeStamp | - 시간 제한을 두어, 다른 사람이 티켓을 복사 후 위장하여 티켓을 사용하는 것을 막음 - Replay 공격 예방 |
2) Kerberos 인증의 동작
① 사용자는 AS에 인증 요청
② 인증 서비스는 사용자에게 시작 티켓을 전송 (사용자 이름, 발급시간, 유효시간)
③ 사용자는 서비스 접근 요청
④ TGS는 세션 키가 포함된 새로운 티켓을 생성
⑤ 사용자는 하나의 세션 키를 추출하고 티켓을 파일 서버로 전송
⑥ 티켓을 받은 서버는 사용자에 대한 서비스 제공 여부 결정
# 참고
해당 글은 '이기적 정보보안기사 필기 1권 이론서'을 읽으며 필요한 부분만 정리한 내용입니다.
'자격증 > 정보보안기사(필기)' 카테고리의 다른 글
| 정보보안기사(필기) - 정보보안 일반(전자서명) (0) | 2021.08.15 |
|---|---|
| 정보보안기사(필기) - 정보보안 일반(접근 통제) (0) | 2021.08.15 |
| 정보보안기사(필기) - 애플리케이션 보안(기타) (0) | 2021.08.02 |
| 정보보안기사(필기) - 애플리케이션 보안(전자상거래 보안) (0) | 2021.08.01 |
| 정보보안기사(필기) - 애플리케이션 보안(인터넷 응용 보안) (0) | 2021.07.30 |