Biometric 생체인증 "You are your key" - Schneier - 생체인증 시스템은 신체의 특징을 이용해 개인을 인증한다. - 생체인증은 아래 표와 같이 Physiological Biometric (Static Biometric; 생리학적 인증, 정적 생체인증)과 Behavioral Biometric (Dynamic Biometric; 행동학적 인증, 동적 생체인증)로 구분된다. Physiological Biometric (Static Biometric) (생리학적 인증, 정적 생체인증) Behavioral Biometric (Dynamic Biometric) (행동학적 인증, 동적 생체인증) - 신체의 정적 특성을 기반으로 인증한다. - Face, Fingerprint, Hand, I..
Password-Based Authentication 패스워드 기반 인증 - 사용자는 시스템에게 이름 혹은 Identifier(ID)와 더불어 비밀번호(패스워드)를 제공하여 본인임을 인증한다. - Cost가 매우 저렴하고, 다루기 간편한 가장 전통적인 인증 수단이다. - 하지만 아직까지도 많은 Issue를 겪고 있는 수단이다. Password Experiment (패스워드 관련 실험) - 3개의 실험군에 대해, 아래와 같이 패스워드를 설정하게 하고 Crack Ratio를 비교했다. Experimental Group Description Crack Ratio Group A At least 6 characters, 1 non letter 30% Group B Password based on passphras..
Authorization 인가 "Are you allowed to do that?" - 인증된 사용자가 특정 Resource에 대한 접근 및 동작에 대한 권한을 부여하는 작업을 의미한다. OAuth 2.0 (URL) [Security] OAuth 2.0 OAuth 2.0 Reference: OAuth 2.0, URL, 2022.04.29 검색 Reference: 2022학년도 1학기 홍익대학교 네트워크 보안 강의, 이윤규 교수님 dad-rock.tistory.com - 한 Application에서 다른 Application으로 하여금 데이터와 기능에 대한 권한을 부여하는 절차에 대한 표준이자 프레임워크이다. (Authorization 절차에 대한 표준 및 프레임워크이다.) OIDC (OpenID Conn..
User Authentication 사용자 인증 "Are you who you say you are?" - Identity를 밝혀, 접근의 허용 여부를 결정한다. - 사람과 기계간 인증, 기계와 기계간 인증이 대표적이다. - RFC 4949 (URL)에서는 Authentication을 아래와 같은 두 단계로 구성하고 있다. Identification Step (식별 단계) - Security System에 Identifier를 제공하는 단계이다. - Identifier는 신중하게 Assign되어야 한다. Verification Step (검증 단계) - 인증 정보들은 Security System과 Identifier가 견고하게 Binding 되도록 생성되고 전달되어야 한다. NIST SP 800-63-2..
Requirements Capture 요구사항 포착 - 다른말로, Specification이라 한다. - Software Development Process 중, Requirement를 찾고 Documentation하는 가장 중요한 단계이다. Point of User Requirement Capture (사용자 요구사항 포착의 요점) 해당 소프트웨어를 사용하는 조직이 어떻게 구동되고 있는지를 이해해야 한다. 기존 시스템을 분석하여 문제점을 파악해야 한다. 기존 시스템에 없는 기능을 파악하여 새로 개발될 시스템에 포함시켜야 한다. Reasons for Investigating the Current System (기존 시스템을 분석하는 이유) - 아예 새로운 시스템을 개발하는 경우보다, 기존의 시스템을 업그..
Modeling 모델링 - 문제 영역에서 핵심만을 추출하여 모델을 만드는 일련의 과정을 의미한다. Model (모델) - Problem Domain에서 실제적인 혹은 가상적인 것(Real or Imaginary Things)을 표현한 것을 의미한다. - 유용한 모델은 세부사항들을 지나치게 상세하거나, 지나치게 개괄적이지 않고, 적절한 수준으로 표현할 수 있어야한다. - 대부분의 System Development Model들은 Diagram 형태로 표현된다. Modeling Techniques (모델링 테크닉) Simplicity of Representation - 문제해결에 필요한 것들만 보인다. Completeness - 필요한 것들은 빠짐없이 보인다. Internal Consistency - 일관되게..
Security Protocol 보안 프로토콜 - 프로토콜의 종류는 크게 아래와 같이 나눌 수 있다. Human Protocol - 사람들간의 상호작용을 보장하기 위한 규칙이다. ex) 강의시간에 선생님께 질문하는 과정 (손을 들면 선생님이 학생에게 발언권을 부여) Network Protocol - 네트워크에 적용되는 통신 규칙이다. ex) HTTP, FTP, TCP 등 Security Protocol - 보안 시스템에 적용되는 규칙이다. ex) TLS, IPSec, Kerberos 등 Ideal Security Protocol (이상적인 보안 프로토콜) - 이상적인 보안 프로토콜이 지녀야 할 특성은 아래와 같다. Satisfy Security Requirements (보안 요구사항 충족성) - 보안 요..
