[컴퓨터 보안] Access control and User authentication

Access control

• : 인가되지 않은 공개와 인가되지 않거나 부적절한 변경으로부터 데이터와 리소스를 보호하는 절차
• 공격에 대응하는 가장 효율적인 방법

 

Access Control Policies

• Discretionary Access Control(DAC: 임의적 접근 제어)
  • 소유자가 접근 제어를 임의적으로 하겠다
  • -> Access control list(ACL): DAC 구현한 것
  • <-> MAC 
  • 장점: 기능에 따라 권한을 세세하게 나눠 컨트롤 가능
  • 단점: 의도치 않은 문제가 생길 수 있음
• Mandatory Access Control(MAC: 강제적 접근 제어)
  • rule-based access control
  • level을 두고, 접근 권한을 줌

 

 

Access Control Matrices(MAM)

• 허가를 테이블로 정의
  • 누가 어떤 것에 접근 가능한지
• 모든 elements를 테이블로 표현하면 비효율적
  • -> 압축해서 표현 가능: ACL
    • 중복을 줄일 수 있지만, 정밀도는 좀 떨어짐
    • 유닉스는 모든 사용자에게 권한 세분화해서 부여하는 게 아니라 그룹별로 줌
  • -> Capabilities Lists: CL
    • 주체 위주로 명시
    • 예: 놀이기구로 예를 들면, 놀이기구를 중심으로 놀이기구를 탈 수 있는 사람을 정의
    • 잘 안 씀

 

Role-based Access Control(RBAC)

• 누구인가가 중요한 것이 아니라, 그 사람의 직책이 무엇인지에 따라 접근 제어함.
  • Rule-based는 사용자 아이디로 구분(누구냐에 따라 제어)
• least privilege(권한을 최소화) 원칙을 지킴
• task를 나눠서 권한 부여 가능하다.

 

User Authentication

• Authentication: 's내가 누구라고 주장' 한 것이 맞는지 확인
• Identification: 여러 주체들이 섞여 있는 가운데, 누구인지 추려 내는 것(식별)
• Authenticatino mechanisms
  • something the user knows:
    • 사용자가 외우고 있는 정보(PIN, password 등)를 사용함
    • 장점: 사용자가 외우면 끝. 유출되면 쉽게 변경 가능
    • 단점: password 길이가 제한되어 있으면, 제한(개수)이 있음.
  • Something the user has
    • SIM, ID card, OTP 등
    • 도난, 분실 문제가 있음
  • Something the user is or does (biometric verification)
    • 지문, 얼굴 등으로 인증
    • 얼굴로 하면, 사용자의 얼굴 사진을 저장하고 있어야 하는데 사생활 문제가 생길 수 있고, 변경할 수 없다.
  • Two-factor authentication
    • 이 중 두 개를 섞어서 사용하는 것

 

 

 

 

 

ㅇ