Access Control

Access control

객체 [object]: 접근 대상 (시스템, 서비스)

주체 [subject]: 객체나 객체 내의 데이터에 대한 접근을 요청/시도하는 개체

접근 [Access]: 주체의 객체에 대한 활동

 

 

■ 접근 통제의 개념

주체(외부에서 접근하는 사람, 시스템)가 접근 대상이 되는 객체(시스템)에 접근할 경우 보안상의 위협, 변조 등과 같은 위험으로부터 보호하기 위함.

 

 

■ 접근 통제/접근 제어 절차

 

1단계: 식별 [Identification]

- 접근하려는 주체의 신원을 분별하는 단계

- 사용자 이름, 계정 번호

 

2단계: 인증 [Authentication]

- 식별된 주체의 신원을 검증/증명하는 단계

- 패스워드, 생체인증, 스마트 카드

 

3단계: 인가 [Authorization]

- 인증된 주체의 접근 허용의 범위를 규정하고 권리를 부여하는 단계

- ACL, 보안등급

 

4단계: 책임추적 [Audict]

- 인가된 주체가 시스템에 어떤 행위를 했는지에 대한 감사 단계

 

 

■ 접근통제/접근제어의 기본 원칙

 

직무분리 [Separtion of duty, SoD]

- 업무의 발생, 승인, 수정, 확인, 완료 등이 처음부터 끝까지 한 사람에 의해 처리될 수 없게 하는 보안 정책

- 공모(collusion)에 대한 대응 방안

- 보안 ↔ 감사

- 개발 ↔ 운영

 

최소권한 [Least privilege policy]

- 허가 받은 일을 수행하기 위한 최소 권한만을 부여

- Need to Know

 

 

사용자 인증

□ 사용자 인증 vs 메시지 인증

	사용자 인증 [user authentication]	메시지 인증 [message authentication]
인증대상	식별정보	메시지
인증시각	실시간 처리	지연 처리 가능
인증 반복	세션 당 1회 인증	세션에서 교환되는 모든 메시지 인증

 

□ 사용자 인증 유형

	설명	예
지식	주체가 그가 알고 있는 것을 보여줌	패스워드 , PIN
소유	주체가 그가 가지고 있는 것을 보여줌	스마트카드, OTP
존재/특징/생체	주체는 그를 나타내는 것을 보여줌	생체인증
행위	주체는 그가 하는 것을 보여줌	서명
Two Factor	위 4가지 중 2개 인증 메커니즘 결합	OTP + PIN
Multi Factor	위 4가지 중 3개 이상을 결합	OTP + PIN + 지문인식

 

 

■ 지식 기반 사용자 인증

- 지식 기반의 보안성은 비밀번호의 길이와 랜덤성에 의존한다.

 

① 고정된 패스워드

패스워드를 그대로 저장하지 않고 패스워드의 해쉬값을 저장/관리

사전 공격에 대응하기 위해 salt 값 사용

 

② 일회용 패스워드

도청/도난에 대하여 고정된 패스워드 사용보다 안전함

동기식/비동기식

 

③ 영지식 인증 [zero-knowledge proof]

주체는 객체에게 자신의 비밀을 노출하지 않으면서 그 비밀을 알고 있다는 사실만을 증명

- Fiat Shamir 프로토콜

- Feige Fiat Shamir 프로토콜

- Guillou Quisquater 프로토콜

 

BOB은 동굴 문의 열쇠를 갖고 있다.

1: Alice는 동굴 밖에 있다.

2: Bob은 동굴로 들어간 후 a 방향 또는 b 방향 중에서 하나를 선택해 들어간다.

3: Alice가 동굴로 들어가 Bob에게 a방향 또는 b 방향으로 나오라고 한다.

4: Bob이 문의 열쇠를 갖고 있다면 해당 방향에서 나온다.

Fiat shamir protocol

 

□ 패스워드 보안 정책

 

① 패스워드 생성 정책

 └ 최소 8자리 이상의 문자 사용

 └ 4가지 유형의 문자 (대/소문자, 숫자, 특수문자)를 조합하여 구성

 └ 쉽게 예측 가능한 문자 사용 금지: 연속된 숫자, 생년월일, 전화번호, 사전에 나온 단어

 

② 패스워드 갱신/변경 정책

  └ 주기적인 패스워드 갱신

  └ 패스워드 구성

  └ 동일한 패스워드 재사용 금지

 

③ 로그인 실패 횟수를 제한하도록 임계치 설정

④ 패스워드 저장 시 일방향 암호화(one way function, 1 way function, one-way function) 알고리즘 사용

 

 

 

□ I-PIN [Internet Personal Identification Number]

- 인터넷 상에서 주민등록번호를 대신하여 아이디와 패스워드를 이용하여 본인 확인하는 수단

- 주민등록번호 유출 예방

- 2015년 3월 해킹 발생

 

 

 

■ 소유자 기반 사용자 인증

 

① 메모리 카트 [토큰]

 

② 스마트 카드

  └ ISO 7816

  └ 부채널 공격

 

③ 일회용 패스워드 [OTP]

  └ 비동기식: challenge response

  └ 동기식: 시간 동기화 방식, 계수기 동기화 방식

 

 

■ 개체 특성 기반 사용자 인증

 

  생체 인증 기술 평가 항목

• 보편성, 유일성, 지속성, 성능
• 획득성: 정량적인 측정이 가능한가?
• 수용성: 사용자의 거부감은 없는가?
• 기만성: 고의적인 부정사용으로부터 안전한가?

  종류

• 지문
• 손바닥 인식
• 손 기하학
• 손 위상 기하학적 인식
• 망막 인식
• 홍체 인식
• 서명 동작 인식
• 키보드 동작 인식
• 성문 인식
• 얼굴 인식

※ 성문 인식 < 서명 동작 인식 < 키보드 동작 인식 < 손바닥 인식 (수용율 높음)

※ 얼굴 인식 < 지문 인식 < 손바닥 인식 < 손 기하학적 인식 < 망막 인식 (수용율 낮음)

 

 

 

■ 생체 인증 정확도

 

  부정 거부율

• Type I 에러
• 시스템이 허가된 사용자의 접근을 거부하는 비율

 

  부정 허용율

• Type II 에러
• 시스템이 거부해야할 사용자의 접근을 허용하는 비율

※ CER [Crossover Error Rate], 교차 요류율 (중요)

인공지능을 통해 사람이 결정하는것을 인공지능이 해결해준다. > 이것에 대한 신뢰성을

 

CER / 교차 요류율 / crossover

대체 특성 / CER 지수 / 효율성

개체 특성 / 수용성 순위&nbsp;

통합 인증 / SSO / Single Sign ON / 운영절차 / 시스템 인증 / 통합 로그인 솔루션

 

 

■ 통합 인증 체계

kerberos / 커버로스 / KDC / 인증서버 / AS / Authentication

커버로스: 티켓 기반 인증 프로토콜

 

구성/KDC (KDC: key를 배포하는 센터)

① 인증서버(AS, Authentication server)

② 발급서버 (TGS, Ticket granting server)

 

단점

① 서비스의 가용성은 보호하지 않는다, KDC

② KDC가 단일실패(Single Point Of Failure: SPOF) 지점이 될 수 있다

③ KDC는 패스워드 추측 공격에 취약하다

④ 네트워크 트래픽은 커버로스에 의해 보호 받지 못한다

⑤ 사용자가 자신의 패스워드를 변경하면 개인키가 변경된다.

  └ 개인 패스워드 > kpw 생성, 개인키 = CBC-MAC(Kpw, PW)

 

 

 

 

접근통제모델

 

■ 강제적 접근 통제 [MAC: Mandatory Access Control]

 

MAC의 종류

1. Medium Access Control: 데이터 통신 layer2

2. Message Auth Code: 메시지 인증에 사용: 자신의 키로 해시값을 만들어 중간에 오류가 있는지 검증

3. Mandatory Access Control: 강제적 통제 모델 (벨라파둘라가 대표적)

 

 

객체에 대한 주체의 권한을 근거로 접근을 통제:

객체가 얼마나 민감하고 중요한지를 나타내는 보안라벨과 어떤 주체가 특정 객체에 접근 가능한지를 나타내는 보안 허가증을 비교한다.

 

특징:

① 객체 및 주체의 등급은 관리자만이 설정/변경할 수 있다

② 매우 엄격한 보안 적용

③ 중앙 집중식 관리

 

 

 

 

■ 임의적 접근 통제 [DAC: Discretionary Access Control]

주체의 신원과 객체에 대한 접근 규칙을 근거로 접근 통제

ACL (Acess Control List) 사용하여 구현 > 대표적으로 유무선 공유기 내에 MAC 주소 단위로 정리되어 있음. 세부기록이 가능.

 

특징:

① 객체의 소유자, 생성자가 접근 여부를 결정할 수 있다

② 하나의 주체가 복수의 객체에 접근하려 할 때, 각각의 객체에 대한 접근 권한을 부여 받아야 한다

 

 

 

■ 역할기반 접근 통제 [RBAC: Role Based Access Control]

직급에 따라 역할을 설정하고, 관리자는 주체의 역할을 할당하고, 객체마다 접근 가능한 역할이 지정된다.

위의 두 모델: 임의적 접근 통제 방식의 단점과 강제적 접근 통제 방식의 단점을 보완했다.

주체의 인사이동이 잦은 조직에 적합하다.

 

 

특징:

① Role based model: 조직에서의 내 역할에 의한 설정

② Task based model: 조직에서의 임무에 의한 설정

③ Lattice based model: 주체와 객체의 관계에 의거하여 접근 가능한 upper bound/lower bound(Lattice)를 설정하여 접근 제어

 

 

 

■ 보안모델 (시험에 나옴)

1) 벨라파둘라 모델 [BLP: Bell LaPadula Confidentiality Model]

- 기밀성을 강조한 모델 

- 주체는 보안허가(security clearance)를 가지고 객체는 보안분류(security classification)를 갖는다.

- MAC 시스템 벨라파둘라 모델을 근간으로 한다

 

 

접근모드

① 읽기: 주체는 객체에 대해 오직 읽기 접근만을 허용한다

② 추가: 주체는 객체에 대해 오직 쓰기 접근만을 허용한다

③ 쓰기: 주체는 객체에 대해 읽기와 쓰기 접근이 허용된다

④ 실행: 주체는 객체에 대해 읽기/쓰기 접근이 허용되지 않으며 실행을 위해 객체를 호출할 수 있다

 

준수사항

① no read up: 주체는 같거나 낮은 보안 수준의 객체만을 읽을 수 있다.

② no write up: 주체는 같거나 높은 보안 수준의 객체만을 쓸 수 있다.

 

 

2) 비바 무결성 모델 [Biba Integrity Model]

- 문서의 변경을 막는 것. 변형이 되지 않도록 하는것이 핵심.

- 무결성(Integrity)을 위한 상업용 모델 > 비인가자들의 데이터 변형 방지만을 취급

- 비인가자가 수정하는 것을 방지

- 내/외부 일관성 유지(=정확한 트랜잭션)

- 합법적인 사람이 불법적인 수정을 방지하는 것이 목적(=직무분리)

 

접근 모드

① 변경: 객체에 있는 정보를 쓰거나 갱신

② 관찰: 객체의 경로를 읽기

③ 실행: 객체를 실행

④ 호출: 한 주체에서 다른 주체로 통신

 

 

운영/정책

① 단순 무결성 (no read down): I(S) >= I(O)

- 주체의 무결성 수준이 객체의 무결성 수준보다 우세할 때 객체로부터 데이터를 읽을 수 없다.

- 무결성 수준이 낮은 객체로부터 얻은 정보를 바탕으로 무결성 수준이 높은 객체를 수정하는 행위를 미연에 방지한다.

 

② 무결성 제한 (스타 무결성, no wirte up): I(S) <= I(O)

- 주체의 무결성 수준이 객체의 무결성 수준보다 열세할 때는 객체에 데이터를 쓸 수 없다 (= 수정이 불가능하다)

 

③ 호출 속성

- 첫번째 주체의 무결성 수준이 두번째 주체의 무결성 수준보다 우세할 때에만 첫번째 주체가 두번째 주체를 호출할 수 있다

 

 

3) 클락 월슨 모델 [Clark Wilson Model]

- 무결성을 강조한 모델

- 접근의 3요소(주체, 객체, 프로그램) 임무분할(separation of duty) 감사(auditing)을 통해 무결성을 제공

- 주체는 허가된 프로그램을 통해 객체에 접근

 

 

---

 

Q: 다음에서 설명하는 내용에 해당되는 것은?

전자서명의 서명자를 누구든지 검증할 수 있어야 한다.

① 위조불가 조건

② 부인불가 조건

③ 서명자 인증 조건

④ 재사용 불가 조건

 

 

Q: 전자서명이 제공하는 기능이 아닌 것은?

① 위조불가

② 인증

③ 부인방지

④ 기밀성

 

 

Q: 다음 중 업무 분리의 개념을 통합하고 데이터와 객체에 대한 모든 수정이 프로그램을 통해 수행되어야 하는 모델은?

① State machine model

② Bell Lapadula model

③ Clark Wilson model

④ Biba model