인증(Authentication)
리소스(e.g. 정보, 시스템)에 접근하는 사람/응용 프로그램의 신원을 확인함으로써 해당 주체의 자격을 검증하는 방법.
인증된 사용자 또는 프로세스만이 보호된 리소스에 액세스할 수 있도록 허용하는 것.
정보의 기밀성과 무결성 보호에 기여
예:
사용자 인증, 인증서 기반 인증(PKI, Public Key Infrastructure) 등
사용자 ID와 비밀번호를 입력하여 시스템에 로그인 시, 시스템은 사용자가 입력한 비밀번호 검사하여 사용자를 인증
모바일앱에서 클라우드 서버로 사진을 전송할 때, 모바일앱은 클라우드 서버가 정당한 서버인지 인증 후 사진 전송(스푸핑(신분위장) 공격방어)
권한 부여(Authorization)
리소스/기능에 대한 접근 권한 및 정책을 부여함으로써, 접근할 수 있는 능력과 범위를 결정
기본원칙: 최소권한, 권한분리
해당 작업을 수행하기 위한 최소한의 권한부여
작업수행에 대한 권한을 분리하여 권한의 독점을 방지하는 것
정보의 기밀성과 무결성 보호에 기여
적용 기술 예: ACL(Access Control List, 접근제어목록), 보안등급 등
예:
어떤 직원이 어떤층에 접근할 수 있는지 결정하는 것.
Bob은 자신의 계정에는 접근 권한을 가지고 있지만, Alice의 계좌에는 접근 권한을 가지고 있지 않다.
ACL 기반 보안 모델
DAC(Discretionary Access Control, 임의적 접근 제어)
신분기반(identity based) 접근 제어 정책
데이터 소유자가 사용자나 사용자 그룹(사용자 계정 또는 그룹ID)에게 접근 권한을 부여
MAC(Mandatory Access Control, 강제적 접근 제어)
규칙 기반(rule based) 접근 제어 정책
관리자가 보안 등급에 따라 접근 권한을 부여
RBAC(Role Based Access Control, 역할 기반 접근 제어)
업무 역할에 기반한 접근 제어 정책
관리자가 사용자 역할에 기반하여 접근 권한을 부여
DAC와 MAC의 중간(임의적, 강제적의 중간)
References
'IT 기초 > Security' 카테고리의 다른 글
| [Security] [보안 매커니즘] 메시지 인증코드(MAC) (0) | 2022.05.03 |
|---|---|
| [Security] [보안 매커니즘] 부인 방지 (Non-Repudiation) (0) | 2022.05.03 |
| [Security] [보안 매커니즘] 암호화(Cryptography) (0) | 2022.05.02 |
| [Security] 스푸핑(Spoofing), 스니핑(Sniffing), 스누핑(Snooping) (0) | 2022.05.02 |
| [Security] 보안의 정의 및 보안 특성 (0) | 2022.05.02 |