1. 개체(생물학적) 특성 기반 인증(What you are) / Type 3
- 개체의 지문, 홍채, 목소리 등을 이용
- 사용자는 사전에 생체템플릿이라고 불리는 자신의 생체정보를 DB에 등록해야함
- 인증을 위한 생체 데이터와 DB에 저장된 생체 템플릿을 비교하여 인증 수행
2. 생물학적 특징 기반 인증 장단점
| 장점 | 단점 |
| 사용하기 쉬움 | 판단이 모호성 존재 |
| 분실/손실 및 도난X | 미리 생체 인증을 등록해야하고 생체템플릿 보관으로 관리가 어려움 |
| 위조가 어려움 | 임계치 설정이 어려움 |
| 비용이 비쌈 |
3. 생체인증
- 생체인증은 생체/행동적 특성을 측정하여 인증하는 방법
- 추측 또는 도난 공유할 수 없는 특성을 측정
- 생리학적(육체적 속성) : 지문
- 행태론적(행동 기반) : 서명
- 생체인증 기술의 평가 항목
| 특성 | 설명 |
| 보편성 | 모든 사람이 가지고 있는 생체 특징인가 |
| 유일성 | 동일한 생체 특징을 가진 타인은 없는가 |
| 지속성(영구성) | 시간에 따른 변화가 없는가 |
| 획득성 | 정량적으로 측정 가능한가 |
| 성능 | 정확성이 높은가 |
| 수용성 | 사용자 거부감 여부 |
| 반기만성 | 고의적으로 부정사용으로부터 안전 유무 |
- 생체인증 기술의 유형 비교
| 유형 | 장점 | 단점 | 예시 |
| 지문 | 안전성우수 | 지문 훼손 시 인식 불가 오탐 높음 |
범죄수사 |
| 얼굴 | 거부감 적응 | 조명 및 표정 변화 민감 | 출입 통제 |
| 망막/홍채 | 타인에 의한 복제X | 사용 불편 이용 시 거부감 발생 |
의료시설, 교도소 |
| 음성 | 원격지 사용 가능 | 정확도가 낮음 타인에 의한 도용 가능성 |
원격 은행업무, ARS |
| 서명 | 거부감 적음 | 서명에 따라 인식률 차이 발생 | PDA |
※ 오탐(False Positive) : 탐지했으나 잘못 된 탐지
※ 미탐(Fasle Negative) : 탐지 실패
4. 생체인증의 정확도
오거부율(부정거부율, FRR(False Rejection Rate)) Type 1
- 총 시도 횟수 중 부정 거부의 횟수가 얼마인지를 백분율로 나타낸 것
- FRR은 등록된 사용자를 거부하는 인식 오류율을 의미
오인식률(부정허용률, FAR(False Acceptance Rate)) Type 2
- 총 시도 횟수 중 부정 허용의 횟수가 얼마인지를 백분율로 나타낸 것
- FAR은 등록되지 않은 사용자를 등록 된 사용자로 오인하는 비율
사용자 편의성을 요구하는 경우는 FAR ↑ FRR ↓ / 보안 강화 시 FAR ↓ FRR ↑
1. 통합 인증체게 (SSO, Single Sign On)
- 하나의 시스템 인증을 통해 다양한 시스템에 재인증 없이 접근할 수 있도록 하는 통합 로그인 솔루션
2. SSO 구성 요소
| 구성요소 | 설명 |
| 사용자 | 개별 계정 로그인 시도 |
| 인증 서버 | ACL(Access Control List)을 통한 통합 인증서버 |
| LDAP | 네트워크 디렉터리 서비스(Ex. 전화번호부) |
| SSO Agent | 자동인증 정보(Token) 송수신 수행 |
3. SSO 장단점
| 장점 | 단점 |
| 운영 비용 감소 | SSO서버가 단일 실패 지정(SPoF, Single Point of Failure) |
| 이중 인증 등을 사용할 경우 보안성 향상 | SSO 서버 침해 시 모든 서버의 보안 침해 가능 |
| PW 암기/분실 위험감소로 사용자 편의성 증가 | SSO 개발 및 운영 비용 발생 |
| 중앙집중 관리를 통한 효율적 관리 | 자원(객체)별 권한관리 미비 |
4. SSO, EAM, IAM
| 구분 | SSO | EAM | IAM |
| 개념 | 한번의 로그인으로 다양한 시스템 로그인 |
SSO를 이용하여 사용자 관리 및 사용자 접근 관리(수동적) | EAM을 자동적으로 계정 관리 및 프로비저닝 기능을 포함 (자동적) |
| 기술 | PKI, LDAP | SSO, AC, LDAP, PKI, 암호화 | 통합자원관리+프로비저닝 |
| 특징 | 다인로그인 후 여러 자원 접근 | SSO + 통합 권한 관리 | EAM + 통합 계정 관리 |
| 장점 | 사용자 편의성 | 보안성 강화 | 보안성 강화 + 관리 효율성 |
| 단점 | 인증 이외 보안 치약 | 사용자 관리 어려움 | 시스템 구축 복잡 + 비용 |
1. 커버로스
- MIT의 Athena 프로젝트의 일환으로 개발
- 클라이언트/서버 모델에서 동작 (개인간 동작 안함)
- 대칭키 암호 기법에 바탕을 둔 티켓 기반 인증 프로토콜이며 동시에 KDC
※ KDC : 인증서 보관소로 통신 하기 위한 대칭키 공유
2. 특징
- 커버로스는 4가지 요소 : 확장성, 투명성, 안정성(인증+기밀성), 보안
- 티켓이 지정 된 유효기간 내에만 있다면 티켓을 사용하여 동일한 서버에서 여러 가지의 응용 서비스를 제공받을 수 있음
- 커버로스 사용하는 주된 이유는 주체들이 직접 통신하기엔 서로 신뢰하지 않으며 오직 KDC만 신뢰
→ KDC는 티겟을 생성하여 통신을 할 필요가 있는 개별적인 주체들에게 발행
3. 커버로스 구성요소
| 구성 요소 | 설명 |
| KDC (Key Distribution Center) | 키 분배 서버 |
| AS (Authentication Service) | 실질적으로 인증 수행 |
| TGS (Ticket Granting Service) | 티켓 부여 서비스 |
| Ticket | 사용자에 대해 신원과 인증을 확인하는 토큰 |
| Princioals | 인증을 위하여 커버로스 프로토콜을 사용하는 모든 실체 |
4. 커버로스의 장단점
| 장점 | 단점 |
| 데이터의 기밀성과 무결성 보장 (가용성X, 부인방지O) |
패스워드 사전 공격에 약함 |
| 재생공격 예방 | 비밀키, 세션키가 임시로 단말기에 저장되어 침입자에 의해 탈취 가능성 있음 |
| 이기종 간 자유로운 서비스 인증 가능 | Timestamp로 인해 시간 동기화 프로토콜(NTP) 필요 |
| 대칭키를 사용하여 도청으로부터 보호 | TGS & AS는 물리적 공격 및 악성코드로부터의 공격에 취약 |
5. 커버로스 버전 4와 5의 차이점
- 암호화 시스템 의존성
1) 버전4에서는 DES만 사용해야하나 버전5에서는 모든 종류의 암호기술을 사용할 수 있음
- 인터넷 프로토콜 의존성
1) 버전4에서는 인터넷 프로토콜 주소를 사용해야하나 버전5에서는 어떤 유형의 네트워크 주소도 사용 가능
- 티켓 유효기간
1) 버전4에서는 약 21시간을 조금 넘지만 버전5에서는 시작/만료 시간을 명시
1. 세사미
- 세사미(SESAME)는 대칭 및 비대칭 암호화 기법 사용
- 커버로스는 인증 시 티켓을 사용하지만 세사미(SESAME)는 PAC(Privileged Attribute Certificate)를 사용
'정보보안기사' 카테고리의 다른 글
| 18강. Section 12 보안 운영체제 (0) | 2023.11.06 |
|---|---|
| 17강. Section 10 접근통제 보안 모델_(1) 벨라파듈라 모델 (0) | 2023.11.02 |
| 16강. Section 10 접근통제 보안 모델 (0) | 2023.11.01 |
| 14강 Section 09 사용자 인증_2.사용자 인증 기법 (0) | 2023.10.26 |
| 13강 Section 08 접근통제 개요 (0) | 2023.10.23 |