서버 인증 및 접근 통제

서버 인증 및 접근 통제

서버인증은 다중 사용자 시스템과 망 운영 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차이다.

인증 기술의 유형

• 지식기반 인증 : 사용자가 기억하고 있는 지식
• 소지기반 인증 : 소지하고 있는 사용자 물품
• 생체기반 인증 : 고유한 사용자의 생체 정보
• 특징기반 인증 : 사용자의 특징을 활용

서버 접근 통제

사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능

접근 통제 기법

• 식별(Identification) : 자신이 누구라고 시스템에 밝히는 행위
• 인증(Authentication) : 주체의 신원을 검증하기 위한 활동
• 인가(Authorization) : 인증된 주체에게 접근을 허용하는 활동
• 책임추적성(Accountability) : 주체의 접근을 추적하고 행동을 기록하는 활동

서버 접근 통제의 유형

• 임의적 접근 통제(DAC : Discretionary Access Control) : 주체나 그룹의 신분에 근거하여 객체에 접근을 제한하는 방법
• 강제적 접근 통제(MAC : Mandatory Access Control) : 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법 
• 역할 기반 접근 통제(RBAC : Role Based Access Control) : 조직 내 맡은 역할에 기반하여 자원에 대한 접근을 제한하는 방법

3A(Authentication, Authorization, Accounting)

• 인증(Authenticaiton) : 접근을 시도하는 가입자 또는 단말에 대한 식멸 및 신분 검증
• 권한 부여(Authorization) : 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용
• 계정 관리(Accounting) : 리소스 사용에 대한 정보를 수집하고 관리하는 서비스

접근 통제 보호 모델

• 벨-라파듈라 모델(BLP : Bell - LaPadula Policy) : 미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조하며 강제적 정책에 의해 접근 통제하는 모델
• 비바 모델 : 벨-라파듈라 모델의 단점을 보완한 무결성을 보장하는 최초의 모델