인증 프로토콜
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
인증 프로토콜은 네트워크를 통해 정보 접근이 증가함에 따라, 허가받지 않은 접근을 막기 위해 사용되는 일련의 검증 절차를 의미한다. 이러한 프로토콜은 둘 이상의 당사자를 포함하며, 각 단계가 정확하게 정의되어야 하고 모든 가능한 상황에 대한 동작을 포함해야 한다. 주요 인증 프로토콜 유형으로는 PPP 기반 인증 프로토콜(PAP, CHAP, EAP 등), AAA 아키텍처 프로토콜(TACACS, RADIUS, Diameter 등), Kerberos 등이 있다.
더 읽어볼만한 페이지
- 인증 프로토콜 - 확장 가능 인증 프로토콜
확장 가능 인증 프로토콜(EAP)은 다양한 인증 방식을 지원하며, IEEE 802.1X 등 여러 프로토콜에서 캡슐화되어 LAN, 특히 무선 LAN 환경에서 사용자 인증에 활용된다. - 인증 프로토콜 - 챌린지-핸드셰이크 인증 규약
챌린지-핸드셰이크 인증 규약(CHAP)은 점대점 프로토콜 환경에서 서버가 클라이언트를 인증하기 위해 설계된 프로토콜로, 3방향 핸드셰이크를 통해 주기적으로 인증하며, 서버가 챌린지 메시지를 보내고 클라이언트가 해시 함수로 응답하는 방식으로 작동하지만, 암호 저장 및 사전 공격에 취약한 단점이 있다. - 컴퓨터 접근 제어 프로토콜 - RADIUS
RADIUS는 네트워크 접근 관리에 사용되는 AAA 프로토콜로, 클라이언트-서버 모델을 기반으로 사용자 인증 및 권한 부여를 수행하며 다양한 환경에서 활용된다. - 컴퓨터 접근 제어 프로토콜 - OAuth
OAuth는 웹/앱 환경에서 사용자 인증 및 API 접근 권한 위임을 위한 개방형 표준 프로토콜로, 버전 1.0과 2.0을 거쳐 2.1 초안이 진행 중이며, 널리 사용되지만 복잡성과 보안 문제에 대한 논쟁도 있다.
| 인증 프로토콜 |
|---|
2. 인증 프로토콜의 목적 및 원칙
네트워크를 통해 신뢰할 수 있는 정보의 접근성이 높아짐에 따라, 허가받지 않은 사람이 이 데이터에 접근하는 것을 막아야 할 필요성이 생겼다. 컴퓨팅 세계에서 타인의 신원을 도용하는 것은 쉬운 일이므로, 데이터를 요청하는 사람/컴퓨터가 실제로 본인이 주장하는 사람인지 확인하기 위한 특별한 검증 방법이 고안되어야 했다.[2] 인증 프로토콜의 역할은 인증 실행에 필요한 정확한 일련의 단계를 명시하는 것이다.
인증 프로토콜은 다음 주요 원칙을 준수해야 한다.[2]
- 프로토콜은 둘 이상의 당사자를 포함해야 하며, 프로토콜에 참여하는 모든 사람은 사전에 프로토콜을 알고 있어야 한다.
- 포함된 모든 당사자는 프로토콜을 따라야 한다.
- 프로토콜은 모호하지 않아야 한다. 각 단계는 정확하게 정의되어야 한다.
- 프로토콜은 완전해야 한다. 모든 가능한 상황에 대해 지정된 동작을 포함해야 한다.
단순한 인증 프로토콜을 사용한 비밀번호 기반 인증은 도청, 재전송 공격, 중간자 공격, 사전 공격 또는 무차별 대입 공격과 같은 많은 위협에 취약하다.[3][4]
2. 1. 목적
네트워크를 통해 신뢰할 수 있는 정보의 접근성이 높아짐에 따라, 허가받지 않은 사람이 이 데이터에 접근하는 것을 막아야 할 필요성이 생겼다. 컴퓨팅 세계에서 타인의 신원을 도용하는 것은 쉬운 일이므로, 데이터를 요청하는 사람/컴퓨터가 실제로 본인이 주장하는 사람인지 확인하기 위한 특별한 검증 방법이 고안되어야 했다.[2] 인증 프로토콜의 역할은 인증 실행에 필요한 정확한 일련의 단계를 명시하는 것이다.인증 프로토콜은 다음 주요 원칙을 준수해야 한다.[2]
- 프로토콜은 둘 이상의 당사자를 포함해야 하며, 프로토콜에 참여하는 모든 사람은 사전에 프로토콜을 알고 있어야 한다.
- 포함된 모든 당사자는 프로토콜을 따라야 한다.
- 프로토콜은 모호하지 않아야 한다. 각 단계는 정확하게 정의되어야 한다.
- 프로토콜은 완전해야 한다. 모든 가능한 상황에 대해 지정된 동작을 포함해야 한다.
단순한 인증 프로토콜을 사용한 비밀번호 기반 인증은 도청, 재전송 공격, 중간자 공격, 사전 공격 또는 무차별 대입 공격과 같은 많은 위협에 취약하다.[3][4]
2. 2. 원칙
3. 주요 인증 프로토콜 유형
3. 1. PPP (점대점 프로토콜) 기반 인증 프로토콜
점대점 프로토콜(PPP) 서버에서 원격 클라이언트가 서버 데이터에 접근하기 전에 해당 클라이언트의 신원을 확인하기 위해 인증 프로토콜이 주로 사용된다. 대부분의 프로토콜은 인증의 핵심으로 암호를 사용한다. 대부분의 경우, 암호는 통신하는 당사자 간에 사전에 공유되어야 한다.[5]
#### PAP (Password Authentication Protocol)
패스워드 인증 프로토콜은 가장 오래된 인증 프로토콜 중 하나이다. 인증은 클라이언트가 연결 시작 시 자격 증명(사용자 이름과 패스워드)을 담은 패킷을 전송하여 초기화되며, 승인이 수신될 때까지 클라이언트는 인증 요청을 반복한다.[6] 이 프로토콜은 자격 증명이 "평문"으로 반복적으로 전송되기 때문에 매우 안전하지 않으며, 도청 및 중간자 공격과 같은 가장 단순한 공격에도 취약하다. 널리 지원되지만, 구현 시 더 강력한 인증 방식을 제공하는 경우, PAP보다 먼저 해당 방식을 ''반드시'' 제공해야 한다고 명시되어 있다. 혼합 인증(예: 동일한 클라이언트가 PAP와 CHAP를 번갈아 사용하는 경우)도 예상되지 않는데, CHAP 인증이 PAP에 의해 평문으로 패스워드가 전송됨으로써 손상될 수 있기 때문이다.
#### CHAP (Challenge-handshake authentication protocol)
CHAP(Challenge-handshake authentication protocol) 인증 절차는 항상 서버(호스트)에 의해 시작되며, 세션 중 언제든지, 심지어 반복적으로 수행될 수 있다. 서버는 무작위 문자열(일반적으로 128바이트 길이)을 보낸다. 클라이언트는 비밀번호와 수신된 문자열을 해시 함수에 대한 입력으로 사용한 다음, 그 결과를 사용자 이름과 함께 일반 텍스트로 보낸다. 서버는 사용자 이름을 사용하여 동일한 함수를 적용하고, 계산된 해시와 수신된 해시를 비교한다. 계산된 해시와 수신된 해시가 일치하면 인증에 성공한다.
#### EAP (Extensible Authentication Protocol)
확장 인증 프로토콜(EAP)는 원래 점대점 프로토콜(PPP)를 위해 개발되었지만, 오늘날에는 IEEE 802.1x 인증 프레임워크의 일부로 IEEE 802.3, IEEE 802.11(와이파이) 또는 IEEE 802.16에서 널리 사용된다. 최신 버전은 RFC 5247에 표준화되어 있다. EAP의 장점은 클라이언트-서버 인증을 위한 일반적인 인증 프레임워크일 뿐이라는 점이다. 즉, 인증의 구체적인 방법은 EAP-메소드라고 불리는 다양한 버전에서 정의된다. 40개 이상의 EAP-메소드가 있으며, 가장 흔한 방법은 다음과 같다.
- EAP-MD5
- EAP-TLS
- EAP-TTLS
- EAP-FAST
- EAP-PEAP
3. 1. 1. PAP (Password Authentication Protocol)
패스워드 인증 프로토콜은 가장 오래된 인증 프로토콜 중 하나이다. 인증은 클라이언트가 연결 시작 시 자격 증명(사용자 이름과 패스워드)을 담은 패킷을 전송하여 초기화되며, 승인이 수신될 때까지 클라이언트는 인증 요청을 반복한다.[6] 이 프로토콜은 자격 증명이 "평문"으로 반복적으로 전송되기 때문에 매우 안전하지 않으며, 도청 및 중간자 공격과 같은 가장 단순한 공격에도 취약하다. 널리 지원되지만, 구현 시 더 강력한 인증 방식을 제공하는 경우, PAP보다 먼저 해당 방식을 ''반드시'' 제공해야 한다고 명시되어 있다. 혼합 인증(예: 동일한 클라이언트가 PAP와 CHAP를 번갈아 사용하는 경우)도 예상되지 않는데, CHAP 인증이 PAP에 의해 평문으로 패스워드가 전송됨으로써 손상될 수 있기 때문이다.3. 1. 2. CHAP (Challenge-handshake authentication protocol)
CHAP(Challenge-handshake authentication protocol) 인증 절차는 항상 서버(호스트)에 의해 시작되며, 세션 중 언제든지, 심지어 반복적으로 수행될 수 있다. 서버는 무작위 문자열(일반적으로 128바이트 길이)을 보낸다. 클라이언트는 비밀번호와 수신된 문자열을 해시 함수에 대한 입력으로 사용한 다음, 그 결과를 사용자 이름과 함께 일반 텍스트로 보낸다. 서버는 사용자 이름을 사용하여 동일한 함수를 적용하고, 계산된 해시와 수신된 해시를 비교한다. 계산된 해시와 수신된 해시가 일치하면 인증에 성공한다.3. 1. 3. EAP (Extensible Authentication Protocol)
확장 인증 프로토콜(EAP)는 원래 점대점 프로토콜(PPP)를 위해 개발되었지만, 오늘날에는 IEEE 802.1x 인증 프레임워크의 일부로 IEEE 802.3, IEEE 802.11(와이파이) 또는 IEEE 802.16에서 널리 사용된다. 최신 버전은 RFC 5247에 표준화되어 있다. EAP의 장점은 클라이언트-서버 인증을 위한 일반적인 인증 프레임워크일 뿐이라는 점이다. 즉, 인증의 구체적인 방법은 EAP-메소드라고 불리는 다양한 버전에서 정의된다. 40개 이상의 EAP-메소드가 있으며, 가장 흔한 방법은 다음과 같다.- EAP-MD5
- EAP-TLS
- EAP-TTLS
- EAP-FAST
- EAP-PEAP
3. 2. AAA (Authentication, Authorization, Accounting) 아키텍처 프로토콜
더 큰 네트워크에서 사용되는 복잡한 프로토콜로, 사용자 인증(Authentication), 서버 데이터 접근 제어(Authorization), 서비스 요금 청구에 필요한 네트워크 자원 및 정보 모니터링(Accounting) 등에 사용된다.=== TACACS, XTACACS, TACACS+ ===
가장 오래된 AAA 프로토콜로, 암호화 없이 IP 기반 인증을 사용했다(사용자 이름과 비밀번호는 일반 텍스트로 전송). 이후 버전인 XTACACS(확장 TACACS)는 인가와 계정을 추가했다. 이 두 프로토콜은 이후 TACACS+로 대체되었다. TACACS+는 AAA 구성 요소를 분리하여 별도의 서버에서 분리하고 처리할 수 있다(예: 인가를 위해 다른 프로토콜을 사용할 수도 있음). 전송을 위해 TCP를 사용하며 전체 패킷을 암호화한다. TACACS+는 시스코(Cisco)의 독점 프로토콜이다.
=== RADIUS (Remote Authentication Dial-In User Service) ===
원격 인증 다이얼 인 사용자 서비스(RADIUS)는 AAA 프로토콜의 일종으로, 일반적으로 ISP에서 사용된다. 자격 증명은 주로 사용자 이름-비밀번호 조합을 기반으로 하며, 전송을 위해 NAS 및 UDP 프로토콜을 사용한다.[7]
=== Diameter ===
Diameter (프로토콜)은 RADIUS에서 발전했으며, 보다 신뢰할 수 있는 TCP 또는 SCTP 전송 프로토콜 사용과 TLS 덕분에 향상된 보안과 같은 많은 개선 사항을 포함한다.[8]
3. 2. 1. TACACS, XTACACS, TACACS+
가장 오래된 AAA 프로토콜로, 암호화 없이 IP 기반 인증을 사용했다(사용자 이름과 비밀번호는 일반 텍스트로 전송). 이후 버전인 XTACACS(확장 TACACS)는 인가와 계정을 추가했다. 이 두 프로토콜은 이후 TACACS+로 대체되었다. TACACS+는 AAA 구성 요소를 분리하여 별도의 서버에서 분리하고 처리할 수 있다(예: 인가를 위해 다른 프로토콜을 사용할 수도 있음). 전송을 위해 TCP를 사용하며 전체 패킷을 암호화한다. TACACS+는 시스코(Cisco)의 독점 프로토콜이다.3. 2. 2. RADIUS (Remote Authentication Dial-In User Service)
원격 인증 다이얼 인 사용자 서비스(RADIUS)는 AAA 프로토콜의 일종으로, 일반적으로 ISP에서 사용된다. 자격 증명은 주로 사용자 이름-비밀번호 조합을 기반으로 하며, 전송을 위해 NAS 및 UDP 프로토콜을 사용한다.[7]3. 2. 3. Diameter
Diameter (프로토콜)은 RADIUS에서 발전했으며, 보다 신뢰할 수 있는 TCP 또는 SCTP 전송 프로토콜 사용과 TLS 덕분에 향상된 보안과 같은 많은 개선 사항을 포함한다.[8]3. 3. 기타 인증 프로토콜
MIT에서 개발된 중앙 집중식 네트워크 인증 시스템으로, MIT에서 무료로 구현되어 제공되며 많은 상용 제품에서도 사용되고 있다. 윈도우 2000 및 이후 버전에서 기본 인증 방법으로 사용된다. 인증 프로세스 자체는 이전 프로토콜보다 훨씬 복잡하다. 케르베로스는 대칭키 암호화를 사용하며, 신뢰할 수 있는 제3자를 필요로 하고, 필요에 따라 인증의 특정 단계에서 공개 키 암호화를 사용할 수 있다.
- AKA
- 기본 접근 인증
- CAVE 기반 인증
- CRAM-MD5
- 다이제스트
- 호스트 ID 프로토콜 (HIP)
- LAN 매니저
- NTLM
- 오픈아이디 프로토콜
- 비밀번호 인증 키 합의 프로토콜
- 네트워크 접근 인증 전송 프로토콜 (PANA)
- 보안 원격 비밀번호 프로토콜 (SRP)
- RFID 인증 프로토콜
- 우 람 92 (프로토콜)
- SAML
3. 3. 1. Kerberos
MIT에서 개발된 중앙 집중식 네트워크 인증 시스템으로, MIT에서 무료로 구현되어 제공되며 많은 상용 제품에서도 사용되고 있다. 윈도우 2000 및 이후 버전에서 기본 인증 방법으로 사용된다. 인증 프로세스 자체는 이전 프로토콜보다 훨씬 복잡하다. 케르베로스는 대칭키 암호화를 사용하며, 신뢰할 수 있는 제3자를 필요로 하고, 필요에 따라 인증의 특정 단계에서 공개 키 암호화를 사용할 수 있다.3. 3. 2. 기타 프로토콜 목록
4. 한국의 인증 프로토콜 활용 현황 및 과제
4. 1. 공인인증서와 전자서명
4. 2. 다양한 인증 수단의 등장과 과제
4. 3. 한국형 인증 시스템의 미래
참조
[1]
웹사이트
An Overview of Different Authentication Methods and Protocols
https://www.sans.org[...]
SANS Institute
2001-10-23
[2]
웹사이트
Understanding and selecting authentication methods
http://www.techrepub[...]
2001-08-28
[3]
서적
Fundamentals of Cryptology
Kluwer Academic Publishers
[4]
서적
Internet Cryptography
https://archive.org/[...]
Addison Wesley Longman
[5]
CiteSeerX
Public-key cryptography and password protocols
[6]
웹사이트
Autentizacní telekomunikacních a datových sítích
http://data.cedupoin[...]
CVUT Prague
2015-10-31
[7]
웹사이트
AAA protocols
http://www.cisco.com[...]
CISCO
2015-10-31
[8]
웹사이트
Introduction to Diameter
http://www.ibm.com/d[...]
IBM
2006-01-24
[9]
웹사이트
Kerberos: The Network Authentication Protocol
http://web.mit.edu/k[...]
MIT Kerberos
2015-09-10
[10]
서적
Applied Cryptography
John Wiley & Sons, Inc.
[11]
웹사이트
Protocols of the Past
http://srp.stanford.[...]
Stanford University
2015-10-31
[12]
웹인용
An Overview of Different Authentication Methods and Protocols
https://www.sans.org[...]
SANS Institute
2001-10-23
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com