project-bs

■ 패스워드 크래커 (Password Cracker) 1) Brute-Force-Attack (무작위 대입공격, 무차별공격) - 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 원하는 공격을 시도하는 해킹 방법, 정확한 패스워드가 드러날 때까지 모든 가능한 문자이 나열을 시도하는 툴이 사용됨 - 패스워드에 사용될 수 있는 문자열의 범위를 정하고 그 범위 내에서 생성 가능한 패스워드를 활용하는 공격 2) Rainbow Table을 이용한 공격 - 레인보우 테이블(Rainbow Table)은 해시함수를 사용하여 변환 가능한 모든 해시값을 저장시켜 놓은 표(Table)이다. 보통 해시함수를 이용하여 저장된 비밀번호에서 원래의 비밀번호를 추출해 내는 데 사용된다 - 단점 : 해킹의 위험이 있다. 그래서 P..

** 접근통제 모델은 프레임워크로 주체가 어떻게 객체에 접근하는지를 설명한다. 이것은 접근통제 기술과 보안 메커니즘을 사용하여 모델의 규칙과 객체 사용에 대해 엄격한 정의를 내린다 ■ 접근통제 정책 ① MAC (Mandatory Access Control, 강제적 접근 제어) - 종이 형태로 보관되던 정보가 컴퓨터로 옮겨짐에 따라, 종이문서의 보안 등급이 컴퓨터에 저장된 정보에도 적용하기 위해 만들어졌다 - MAC 보안 정책은 컴퓨터에서의 정보와 사용자 간의 보안정책을 명시하고 있다 - 이 보안 정책은 최초 1980년대 후반 미국의 국방성에서 시작되었다 ☆ 특징 - 각 주체가 각 객체에 접근할 때마다 관리자에 의해 사전에 규정된 규칙과 비교하여 그 규칙을 만족하는 주체에게만 접근권한을 부여하는 기법으로 ..

■ SSO (Single Sign On : 통합인증체계) - 한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 정보시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션 - SSO (Single Sign On)는 통합인증체계로 다양한 정보시스템을 한 번의 인증으로 사용이 가능하며 대표적인 것이 커버로스이다 ■ 커버로스 (kerberos v4) - 티켓 기반 보안알고리즘을 이용하는 중앙집중 인증서비스 - Needham-Schroeder(니덤-슈로더) 프로토콜을 기반으로 만들어졌다 - TGT를 이용해 자원 사용을 위한 티켓을 획득한다 - 티켓 안에는 자원 활용을 위한 키와 정보가 포함되어 있다 - 개방 네트워크상에서 인증과 통신의 암호화를 시행하여 보안성을 확보하기 위한 알고리즘이다 - 각..

■ 인증 (Authentication) - 정보의 주체가 되는 송신자와 수신자 간에 교류되는 정보의 내용이 변조 또는 삭제되지 않았는지, 그리고 주체가 되는 송ㆍ수신자가 정당한지를 확인하는 방법 - 사용자 인증(개체인증, 신원인증)과 메시지 인증으로 나눌 수 있음 ■ 사용자 인증과 메시지 인증 1) 사용자 인증 - 사용자 인증(User Authentication)이란 네트워크상에서 사용자가 자신이 진정한 사용자라는 것을 상대방에게 증명할 수 있도록 하는 기능 - 반면 제3자가 위장을 통해 사용자 행세를 하는 것이 불가능해야 한다 - 사용자 인증은 신원확인(Identification)이라고도 하는데, 서버에 로그인하는 경우 등 사용자의 신분을 확인하고 정보 서비스를 이용할 수 있는 권한을 부여하기 위해 사..

■ 접근통제 (접근제어, Access Control) - 접근제어는 적절한 권한을 가진 인가자만 특정 시스템이나 정보에 접근할 수 있도록 통제하는 것 - 시스템의 보안 수준을 갖추기 위한 가장 기본적 수단 - 어떤 회사나 조직의 민감한 정보가 권한 없는 사용자에 의해 외부로 누출, 변조, 파괴될 위험성을 차단하기 위한 보안기술 - 사용자, 프로그램, 프로세스, 시스템 등의 정보시스템 자원에 허가된 주체만이 접근할 수 있도록 제한하는 것 더보기 ** 접근통제란 주체와 객체 사이의 정보 흐름을 Control 하는 것 - 주체 : 자원의 접근을 요구하는 활동 개체(사람, 프로그램, 프로세스 등) - 능동적 역할 - 객체 : 자우너을 가진 수동적인 개체(Database, 컴퓨터, 파일 등) - 수동적 역할 - ..

1. ISAKMP (Internet Security Association & Key Management Protocol) - 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약 - IPSEC의 일부로서 RFC 2408에 규정되어 있으며, 구체적으로는 어떠한 인증 알고리즘, 암호화 기술, 암호 키 교환 규약을 사용할 것인지 등의 보안 수단을 상대방에게 알리기 위한 메시지 형식 2. 보안 토큰 (Security Token) - 물리적 보안 및 암호 연산 기능을 가진 칩을 내장하고 있어 해킹으로부터 공인인증서 유출을 방지하는 기능을 가진 안전성이 강화 된 휴대용 공인인증서 저장 매체ㆍ보안 토큰 내부에 프로세스 및 암호 연산장치가 있어 전자서명 키 생성 및 검증 등도 가능하다. 내부에 저장 된 비밀..

■ 비트코인 (Bitcoin) - 비트코인은 분산 네트워크형 가상화폐로 중앙집중형 금융 시스템의 대안으로 주목받고 있음 - 이용자끼리 직접 연결되어 거래 비용이 발생하지 않고 쉽게 계정을 만들 수 있기 때문에 송금이나 소액 결제에 유용하다 - 만약 해킹을 하기 위해서는 모든 컴퓨터를 동시에 공격해야 하기 때문에 보안 측면에서도 커다란 안정성을 지닌다 - 비트코인의 발행 및 거래 내역은 중앙 서버가 아니라 이용자들의 컴퓨터가 구성하는 네트워크에 존재하는 것이다 - 비트코인은 발행 과정에서부터 중앙 기관을 필요로 하지 않는다. 많은 시간과 컴퓨터의 프로세싱 능력을 요하는 복잡한 수학 문제를 풀면 새로운 비트코인이 생성되어 가질 수 있는데, 이를 마이닝(Mining)이라고 한다 - 향후 100년간 발행되는 비..

■ 전자상거래 보안 개요 - 전자상거래 (Electronic Commerce)란 인터넷을 이용해 상품과 서비스를 거래하는 행위를 의미 ☆ 전자상거래의 보안 요구사항 - 전자상거래에서는 원격의 거래 상대를 신뢰하기 어려우므로 네트워크상에서 상대방 및 자신에 대한 신분 확인 수단이 필요하다 - 전자상거래에서는 전자지불 과정의 안전성을 보장하기 위한 방법이 확보되어야 하며, 정보보호의 목표인 기밀성(비밀성), 무결성, 가용성, 부인봉쇄(부인방지), 신분확인 및 인증, 접근통제, 보안관리 등의 요구사항을 만족해야 한다 - 기존의 응용 시스템 : 사용자의 접근통제 및 시스템 이용에 대한 이력 자료의 관리를 근간으로 함 - 전자상거래 : 접근통제 이외에 사용자의 실체 증명, 데이터 내용에 대한 사후 검증 수단 확보..

■ 키 (Key) - 대칭키 암호, 비대칭키 암호, 메시지 인증 코드, 전자서명 등의 암호기술을 사용하려면 반드시 키(Key)라 불리는 대단히 큰 수가 필요하다 - 키의 종류에는 크게 세션키와 마스터키가 있다 ■ 세션키(Session Key) - 통신을 하는 상대방끼리 하나의 통신 세션 동안에만 사용하는 암호화키, 하나의 키를 사용한 암호문이 많을 경우, 이를 분석하여 키를 계산할 가능성이 있으므로 이를 막기 위해 사용하는 임시적인 키 - 메시지의 기밀성 또는 무결성을 보장하기 위해서 메시지 암호화에 직접 적용되는 키 - 키 계층 구조상에서 최하위에 위치하는 상위의 키에 의해 암호화되며, 사용기간이 매우 짧고 송신자와 수신자가 동시에 키를 갱신하는 특징을 보임 ■ 마스터 키 (Master Key) - 통..

■ 공개키 기반 구조 (Publi Key Interface, PKI) - 공개키 암호 알고리즘(Algorithm)을 적용하고 인증서를 관리하기 위한 기반시스템 - 사용하는 인증서는 주로 X.509 형식의 인증서를 사용하고 있으며, 그 인증서를 발급하는 역할을 하는 기관을 CA라고 함 - 전자서명, 전자상거래 등이 안전하게 구현되기 위하여 구축되어야 할 기반기술 - 보안카드 분실, 유효기간 경과 등의 이유로 인증서가 폐기 되었을 때, 인증서의 폐기 여부를 확인하기 위해 사용되는 프로토콜은 OCSP - 인증서는 변조를 막기 위한 대상(상대방)의 서명이 아닌 인증기관(CA)의 서명이 추가됨 - PKI는 보안이 되지 않는 네트워크를 통해 안전한 전송이 가능하게 하는 플랫폼으로, 공개(비대칭)키 암호화 구조의 구..