도 경 화

2009. 10

khdo0905@nate.com

제 4 장 접근통제

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 2

접근통제 ..

보안정책과 접근 통제

보안요소와 접근통제

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 3

보안 통제 분류보안목표에 의한 통제분류

행위에 의한 통제분류

기능에 의한 통제분류

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 4

접근통제 (Access Control) 최소권한 정책 (Least Privilege Policy)

임무의 분리 (Separation of Duties)

명확하게 허용하지 않는 것은 금지

명확하게 금지하지 않는 것은 허용

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 5

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 6

객체기반 vs 주체기반

[ 객체 기반 ]

객체관점에서 접근이 허용된 주체들에 대한 접근 권한을 테이블형태로 기술하여 이를 기반으로 접근제어

관련된 객체에 대하여 주체의 접근 권한을 반영한다 .

구분될 필요가 있는 사용자 ( 개인 , 그룹 , 또는 직무 ) 가 비교적 소수일 때와 그러한 사용자의 분포가 안정적일 대 가장 적합

지속적으로 변화하는 환경에는 부적합 해고된 사용자의 접근을 철회하는데 어려움

[ 주체기반 ]

CL(Capability List)

주체가 소유할 수 있는 하나의 티켓 (capability) 을 부여 커버로스에서 사용됨

비교적 객체가 적은 경우에 적합

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 7

Content-Dependent Access Control 내용기반 접근통제 DB 에서 많이 사용되며 접근제어가 contents 의 내용에 의하여

이루어지는 접근제어 방식 예 ) DB 파일에서 직원의 경력 , 봉급 , 인사점수의 내용이 있을

때 , 일반직원은 자신의 것만 볼 수 있지만 팀장의 경우 자기팀의 모든 직원을 볼 수 있게 하는 방식

예 Capability List : 주체에게 허가된 자원 및 권한의 목록 ACL : 어떤 객체에 접근할 수 있는 주체들의 목록 Access control matrix : 각 객체들에 대하여 ACL 을 테이블로

만든 것

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 8

접근통제기술 - ACL

접근통제 매트릭스

Access Control Matrix

직원 A

직원 B

직원 C

File 1

Read

Read/Write

No Access

File 2

Write

No Access

Read/Write

•주체와 객체간의 접근권한을 테이블로 구성한 것으로 행에는 주체를 열에는 객체를 두어 , 행과 열의 교차점에는 주체가 객체에 대한 접근권한 (W, R, D, E) 을 기술하고 이를 기반으로 제어함

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

접근제어모델 강제접근제어 (Mandatory Access Control)

주체의 객체에 대한 접근이 주체의 비밀 취급 인가 레이블 및 객체의 민감도 레이블에 따라 지정

9

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

접근제어모델 임의접근제어 (Discretionary Access Control)

주체의 객체에 대한 접근이 객체의 소유자에 의해 결정

10

객체 주체

인사정보 임꺽정

사내 공지 사항 임꺽정 , 홍길동

기타 홍길동 , 임꺽정 , 기타

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

접근제어모델 비임의접근제어 (Non-Discretionary Access Control)

주체의 역할에 따라 접근할 수 있는 객체를 지정

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 12

접근 통제 보안 모델 Bell-LaPadula(BLP) 모델

Biba 모델

Clark and Wilson 모델

Take-Grant 모델

Lattice 모델

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 13

Bell-LaPadula(BLP) 모델 가장 널리 알려진 보안 모델 중의 하나

70-80 년대까지 국방부 (DOD) 의 지원을 받아 적립된 보안 모델

군사용 보안 구조의 요구사항을 충족하기 위해 설계된 모형

정보의 불법적인 파괴나 변조보다는 불법적인 비밀유출 방지에 중점 보안 정책은 정보가 높은 보안 레벨로부터 낮은 보안 레벨로

흐르는 것을 방지

정보를 극비 (Top secret), 비밀 (secret), 일반정보 (Unclassified) 구분

정보의 불법적 유출을 방어하기 위한 최초의 수학적 모델 보안 등급과 범주를 이용한 강제적 정책에 의한 접근통제 모델

제한사항 한번 결정되면 접근 권한을 변경하기 어려움 지나치게 기밀성에만 집중 등

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 14

상위레벨 읽기금지 정책 (No-read-up Policy, NRU, ss-property) 보안 수준이 낮은 주체는 보안수준이 높은 객체를 읽어서는 안됨 주체의 취급인가가 객체의 기밀 등급보다 길거나 높아야 그

객체를 읽을 수 있음

하위레벨 쓰기금지 정책 (No-write-down Policy, NWD, *-property)

보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록해서는 안됨

주체의 취급인가가 객체의 기밀 등급보다 낮거나 같은 경우에 그 객체를 주체가 기록할 수 있음

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 15

Bell-LaPadula(BLP) 모델 상위레벨 읽기금지 정책 (No-

read-up Policy, NRU, ss-property)

하위레벨 쓰기금지 정책 (No-write-down Policy, NWD, *-

property)

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 16

Biba 모델 주체들과 객체들의 integrity access class 에 기반하여 수학적으로 설명할

수정의 문제를 다룸

BLP 모델의 단점인 무결성을 보장할 수 있도록 보완한 모델

목적

• 하위 무결성 객체에서 상위 무결성 객체로 정보흐름 방어

• 무결성 유지

특징

• No Read-Down Integrity Policy

• No Write-Up Integrity Policy

• => 낮은 등급에서 높은 비밀등급에 수정작업을 할 수 있도록 하면 신뢰할 수 있는 중요한 정보들이 다소 신뢰성이 약한 정보들과 결합하여 본래의 비밀등급이 깨짐

• 다양한 정책에서 선택적 사용 가능

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 17

Biba 모델 상위레벨 쓰기 금지 (No-write-

up Policy)하위레벨 읽기 금지 (No-read-

down Policy)

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 18

Clark and Wilson 모델 목적

무결성 중심의 상업용으로 설계 정보의 특성에 따라 비밀 노출방지보다 “ 자료의 변조방지”가 더

중요한 경우 ( 예 : 금융 , 회계관련 데이터 등 )

특징 well-formed transaction, separation of duty 특별한 데이터에 대응하는 프로그램의 실행 권한에 따른

접근통제 3 가지 무결성 목적

비인가된 사용자가 수정권한을 갖지 못하도록 방지 내부일관성과 외부일관성을 갖도록 함 인가된 사용자가 부당한 변경으로부터 보호되야 함

한 사람이 정보의 입력 , 처리 , 확인을 하는 것이 아니라 여러 사람이 나누어 각 부문별로 관리토록 함으로써 자료의 무결성 보장 인가자의 비인가된 행동 예방

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 19

Clark and Wilson 모델

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 20

기타

Lattice 모델

Take-Grant 모델

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

싱글 사인온 (Single Sign On) 싱글 사인온

사용자가 한 번의 인증으로 여러 개의 응용 서버에 접근할 수 있게 하는 시스템

보다 강력한 패스워드를 사용 패스워드의 변경 , 삭제 등 관리가 용이 접근 시간이 단축 하나의 패스워드로 여러 시스템에 침입 가능 커베로스

21

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

커베로스 커베로스 (Kerberos)

그리스 신화의 저승 입구를 지키는 머리 셋 달린 개 MIT 공대에서 개발된 대칭키 암호 기반의 인증체계

• 제 3 의 신뢰성 있는 기관 ( 키분배센터 ) 에 의존

• 키분배센터 (Key Distribution Center)

• KDC 는 앨리스와는 KA , 밥과는 KB, 캐롤과는 KC, 이런 식으로 대칭키를 공유

• 마스터 키 KKDC 는 KDC 만 소유

• KDC 는 인증 및 비밀성 및 무결성이 요구되는 세션키를 생성

• TGT(ticket granting ticket) 사용

– 티켓을 획득하게 해주는 티켓• DES 암호 알고리즘을 사용

22

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

커베로스 인증과정

사용자 KDC 에 다른 서비스의 접근을 요청 KDC 는 사용자를 인증하고 , 서비스와 사용자가 사용할 수 있는

티켓을 보내 줌 사용자는 서비스에 티켓을 보내어 인증하고 요청된 서비스를 사용

23

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

커베로스 로그인

앨리스의 패스워드로부터 KA=h(앨리스의 패스워드 ) 를 유도

KDC 는 세션키 SA를 생성

앨리스의 컴퓨터는 KA 로 SA와 TGT 를 복호화

TGT = E(“ 앨리스”, SA, KKDC)

24

앨리스

앨리스의

앨리스가 TGT 를

패스워드

요청

E(SA,TGT,KA)

KDC컴퓨터

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

앨리스 “밥으로의 티켓” 요청

REQUEST = (TGT, 인증기호 ) TGT = E(“ 앨리스”, SA, KKDC)

인증기호 = E( 타임스탬프 , SA)

KDC 는 타임스탬프를 확인하기 위하여 TGT 로부터 SA를 얻음

REPLY = E(“ 밥”, KAB, 밥으로의 티켓 , SA) 밥으로의 티켓 = E(“ 앨리스”, KAB, KB)

KAB 는 앨리스와 밥이 세션에 이용할 세션키

25

앨리스

밥에게 대화

밥과 대화하기를

요청 (REQUEST)

응답 (REPLY)

KDC컴퓨터

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

앨리스 “밥으로의 티켓” 사용

밥으로의 티켓 = E(“앨리스” , KAB, KB)

인증기호 = E( 타임스탬프 , KAB)

밥은 “밥으로의 티켓”을 복호화하여 KAB 를 얻고 , 이를 사용하여 타임스탬프를 확인

대화에 대한 기밀성 및 무결성을 위해 KAB 사용

26

밥으로의 티켓 , 인증기호

E( 타임스탬프 + 1,KAB)

앨리스의 컴퓨터

밥

Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com

커베로스 장점

암호화를 통한 데이터의 기밀성 , 무결성 보장

단점 모든 당사자와 서비스의 암호화 키를 키 분배 센터에서 가지고

있기 때문에 키 분배 센터에 오류가 발생하면 전체 서비스 사용 불가

사용자의 비밀키가 사용자의 워크스테이션에 임시로 저장되기 때문에 침입자에 의하여 유출 가능

패스워드 추측 공격에 취약 사용자가 패스워드를 바꾸면 비밀키도 변경해야 하는 번거로움

27