확장 가능 인증 프로토콜

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 방식
- 2.1. 주요 EAP 방식
- 2.2. 기타 EAP 방식
3. 캡슐화
4. 활용
5. 비판 및 논란
참조

1. 개요

확장 가능 인증 프로토콜(EAP)은 다양한 인증 방식을 지원하는 프로토콜로, IETF RFC에 정의된 EAP-MD5, EAP-TLS, EAP-TTLS, EAP-SIM, EAP-AKA 등이 있으며, 벤더 특화 방식과 새로운 제안도 존재한다. EAP는 IEEE 802.1X, PEAP, RADIUS, Diameter, PANA, PPP 등 다양한 프로토콜에서 캡슐화되어 사용된다. EAP는 LAN, 특히 무선 LAN 환경에서 사용자 인증에 활용되며, 한국에서는 EAP-TLS, EAP-TTLS, PEAP 등이 기업과 공공기관에서 도입되고 있다. 초기 EAP 방식인 EAP-MD5는 보안 취약성으로 인해 비판을 받기도 한다.

더 읽어볼만한 페이지

인증 프로토콜 - 챌린지-핸드셰이크 인증 규약
챌린지-핸드셰이크 인증 규약(CHAP)은 점대점 프로토콜 환경에서 서버가 클라이언트를 인증하기 위해 설계된 프로토콜로, 3방향 핸드셰이크를 통해 주기적으로 인증하며, 서버가 챌린지 메시지를 보내고 클라이언트가 해시 함수로 응답하는 방식으로 작동하지만, 암호 저장 및 사전 공격에 취약한 단점이 있다.
인증 프로토콜 - 다이어미터 (프로토콜)
다이어미터 프로토콜은 RADIUS 프로토콜의 단점을 개선한 AAA 프레임워크 프로토콜로, TCP 또는 SCTP를 사용해 더 큰 주소 공간, 신뢰성, 확장성, 보안, 로밍 지원을 제공하며, RFC 6733에 정의되어 3GPP IMS 등 다양한 애플리케이션에서 활용된다.
무선 네트워크 - 무선 통신
무선 통신은 전선 없이 전자기파 등을 이용하여 정보를 전달하는 방식으로, 마르코니의 무선 전신 실험 성공 이후 다양한 형태로 발전해왔으며, 현대 사회에서 필수적인 기술로 자리 잡았다.
무선 네트워크 - 무선랜
무선랜은 유선 케이블 없이 무선으로 근거리 통신망을 구축하는 기술로, IEEE 802.11 표준 기반으로 발전하여 고속 통신과 다양한 운영 방식, 보안 기술을 제공하며 메시 Wi-Fi, 공중 무선랜 등 여러 형태로 발전하고 각국에서 법적 규제를 마련하고 있다.

확장 가능 인증 프로토콜
프로토콜 정보
이름	확장 가능 인증 프로토콜
약자	EAP
종류	인증 프로토콜
개발	IETF
RFC	RFC 3748 RFC 2284 RFC 5247
설명	PPP (Point-to-Point Protocol)를 위한 인증 프로토콜

2. 방식

EAP는 특정한 인증 메커니즘이 아니라, 다양한 인증 방식들을 지원하는 프레임워크이다.^[44] 약 40여 가지의 EAP 방식(메서드)이 존재하며, IETF RFC에 정의된 표준 방식과 벤더별 특화 방식, 그리고 새로운 제안들이 있다.^[1]

IETF RFC에 정의된 방식에는 EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA, EAP-AKA' 등이 있다.^[1] 무선망에서 사용 가능한 대표적인 방식에는 EAP-TLS, EAP-SIM, EAP-AKA, LEAP, EAP-TTLS 등이 있다.^[1]

2. 1. 주요 EAP 방식

EAP-MD5^[44]

: 사용자 이름과 비밀번호를 이용한 인증 방식이지만, 평문을 전송하지 않기 위해 MD5 해시를 사용한다. 클라이언트 측만 인증된다. 최소한의 보안만 제공하며, 사전 공격에 취약하고 키 생성을 지원하지 않아 동적 WEP 또는 WPA/WPA2 엔터프라이즈와 함께 사용하기에 적합하지 않다. 상호 인증을 제공하지 않아 중간자 공격에 취약하다.

EAP-TLS (Transport Layer Security^영어)^[44]

: 서버와 클라이언트 양쪽에 전자 인증서를 준비하여 인증을 수행한다. 전송 계층 보안(TLS)의 서버 인증 및 클라이언트 인증 방식을 사용한다. 가장 안전한 EAP 표준 중 하나로 널리 지원된다.

EAP-TTLS (Tunneled TLS^영어)^[44]

: 서버 측에만 전자 인증서를 준비하여 서버 인증된 TLS 통신로를 구축하고, 해당 암호화 통신로를 통해 비밀번호 기반의 클라이언트 인증을 수행한다. 도청 및 중간자 공격을 방지하고 사용자 이름을 암호화하여 개인 정보를 보호한다.

EAP-PEAP (Protected EAP^영어)^[44]

: 서버 측에만 전자 인증서를 준비하여 서버 인증된 TLS 통신로를 구축하고, 해당 암호화 통신로를 통해 EAP 통신을 추가로 수행하여 클라이언트를 인증한다. 이때 클라이언트 인증은 비밀번호나 키 토큰 등, 전자 인증서 이외의 인증 수단을 사용하는 것이 일반적이다.

EAP-POTP (EAP Protected One-Time Password)^[44]

: 일회용 비밀번호(OTP) 토큰을 사용하여 인증 키를 생성하는 방식이다. 개인 식별 번호(PIN)와 토큰의 물리적 접근이 모두 필요한 2단계 사용자 인증을 제공한다.^[15]

EAP-PSK (EAP Pre-shared key)^[44]

: 사전 공유키(PSK)를 사용하여 상호 인증 및 세션 키를 가져오는 방식이다.

EAP-PWD (EAP Password)^[44]

: 인증을 위한 공유 비밀번호를 사용하는 방식이다.

EAP-IKEv2 (EAP Internet Key Exchange v. 2)^[44]

: 인터넷 키 교환 프로토콜 버전 2(IKEv2)에 기반을 둔 방식이다.

EAP-FAST (Flexible Authentication via Secure Tunneling)^[44]

: LEAP을 대체하기 위한 시스코 시스템즈의 프로토콜 제안이다.^[45]

TEAP (Tunnel Extensible Authentication Protocol)^[44]

: 상호 인증 터널을 구축하기 위해 TLS 프로토콜을 사용하여 피어와 서버 간 안전한 통신을 가능케 하는 터널 기반 방식이다.

EAP-SIM^[44]

: GSM의 SIM 카드을 이용하여 인증 및 세션 키 배포를 위해 사용된다.

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement)^[44]

: USIM를 이용한 인증 및 세션 키 배포를 위한 EAP 매커니즘이다.

EAP-AKA'^[44]

: EAP-AKA의 변종으로, 3GPP 코어 네트워크에 대해 3GPP가 아닌 접근(예: EVDO, 와이파이, 와이맥스)을 위해 사용된다.

EAP-GTC (EAP Generic Token Card)^[44]

: PEAPv0/EAP-MSCHAPv2의 대안으로서 시스코가 개발한 방식이다.

EAP-EKE^[44]

: 암호화 키 교환 기능이 포함된 EAP로, 짧은 비밀번호를 사용하고 공인인증서가 불필요한, 안전한 상호 인증을 제공하는 몇 안 되는 방식들 가운데 하나이다.

EAP-NOOB (확장 가능 인증 프로토콜을 위한 민첩한 대역 외 인증)^[28]

: 사전 구성된 인증 자격 증명이 없고 아직 어떤 서버에도 등록되지 않은 장치를 위한 일반 부트스트래핑 솔루션이다.

2. 2. 기타 EAP 방식

경량 확장 인증 프로토콜(LEAP)은 IEEE의 802.11i 보안 표준 비준 이전에 시스코 시스템즈가 개발한 방식이다.^[3] 시스코는 표준이 없는 상황에서 802.1X 및 동적 WEP 채택을 업계에 도입하기 위해 CCX(Cisco Certified Extensions)를 통해 프로토콜을 배포했다. LEAP는 윈도우 운영 체제에서 기본적으로 지원되지 않지만, 대부분 WLAN(무선 LAN) 장치와 함께 제공되는 타사 클라이언트 소프트웨어에서 널리 지원된다. 마이크로소프트 윈도우 7 및 윈도우 비스타에 대한 LEAP 지원은 LEAP 및 EAP-FAST를 모두 지원하는 시스코에서 클라이언트 추가 기능을 다운로드하여 추가할 수 있다. 네트워킹 업계에서 LEAP가 널리 채택됨에 따라 다른 많은 WLAN 공급업체들이 LEAP 지원을 주장한다.

LEAP는 사용자 자격 증명이 강력하게 보호되지 않고 쉽게 손상되는 인증 프로토콜인 MS-CHAP의 수정된 버전을 사용한다. ASLEAP라는 익스플로잇 도구는 2004년 초 조슈아 라이트에 의해 공개되었다.^[4] 시스코는 LEAP를 반드시 사용해야 하는 고객에게 충분히 복잡한 암호를 사용할 것을 권장하지만, 복잡한 암호는 관리하고 적용하기 어렵다. 시스코는 현재 EAP-FAST, PEAP 또는 EAP-TLS와 같은 더 새롭고 강력한 EAP 프로토콜을 사용할 것을 권장한다.

; EAP-MD5

: 사용자 이름과 비밀번호를 이용한 인증 방식이지만, 평문을 전송하지 않기 위해 MD5 해시를 사용한다. 클라이언트 측만 인증된다.

; EAP-TLS (Transport Layer Security^영어)

: 서버와 클라이언트 양쪽에 전자 인증서를 준비하여 인증을 수행한다. 전송 계층 보안(Transport Layer Security, TLS)의 서버 인증 및 클라이언트 인증 방식을 사용한다.

; EAP-TTLS (Tunneled TLS^영어)

: 서버 측에만 전자 인증서를 준비하여 서버 인증된 TLS 통신로를 구축하고, 해당 암호화 통신로를 통해 비밀번호 기반의 클라이언트 인증을 수행한다.

; EAP-PEAP (Protected EAP^영어)

: 서버 측에만 전자 인증서를 준비하여 서버 인증된 TLS 통신로를 구축하고, 해당 암호화 통신로를 통해 EAP 통신을 추가로 수행하여 클라이언트를 인증한다. 이때 클라이언트 인증은 비밀번호나 키 토큰 등, 전자 인증서 이외의 인증 수단을 사용하는 것이 일반적이다.

3. 캡슐화

EAP는 유선 프로토콜이 아니며, 메시지 형식만을 정의한다. 따라서 EAP를 사용하는 각 프로토콜은 해당 프로토콜 메시지 내에 EAP 메시지를 캡슐화하는 방법을 정의한다.^[30]^[31]

3. 1. IEEE 802.1X

IEEE 802.1X는 EAP(확장 가능 인증 프로토콜)를 IEEE 802 위에서 캡슐화하는 것을 정의하며, "EAP over LAN" 또는 EAPOL로 알려져 있다.^[32]^[33]^[34] EAPOL은 원래 802.1X-2001에서 IEEE 802.3 이더넷을 위해 설계되었지만, 802.1X-2004에서 IEEE 802.11 무선 및 광섬유 분산 데이터 인터페이스(ANSI X3T9.5/X3T12, ISO 9314로 채택)와 같은 다른 IEEE 802 LAN 기술에 맞게 조정되었다.^[35] 802.1X-2010에서는 EAPOL 프로토콜이 IEEE 802.1AE (MACsec) 및 IEEE 802.1AR (초기 장치 ID, IDevID)와 함께 사용하도록 수정되었다.^[36]

IEEE 802.11i-2004 무선 액세스 포인트(WAP)와 같은 802.1X 지원 네트워크 액세스 서버(NAS) 장치에서 EAP가 호출될 때, 최신 EAP 방법은 안전한 인증 메커니즘을 제공하고 클라이언트와 NAS 간에 안전한 개인 키(Pair-wise Master Key, PMK)를 협상할 수 있다. 이는 TKIP 또는 CCMP (AES 기반) 암호화를 활용하는 무선 암호화 세션에 사용될 수 있다. EAP는 LAN에서의 사용자 인증 규격인 IEEE 802.1X에 채택되었다. 특히 무선 LAN에서는 전파를 통신 매체로 사용하기 때문에 무단 이용이 문제시되었고, 이에 대한 해결 방법으로 IEEE 802.11i 등의 규격에 채택되었다.

3. 2. PEAP

보호 확장 인증 프로토콜(PEAP)은 암호화되고 인증된 전송 계층 보안(TLS) 터널 내에 EAP를 캡슐화하는 프로토콜이다.^[37]^[38]^[39] EAP는 물리적 보안과 같이 보호된 통신 채널을 가정했으므로 EAP 대화를 보호하기 위한 기능이 제공되지 않았는데, PEAP는 이러한 EAP의 결함을 수정하기 위해 개발되었다.^[40]

PEAP는 시스코 시스템즈, 마이크로소프트, RSA 시큐리티가 공동으로 개발했다. PEAPv0는 마이크로소프트 윈도우 XP에 포함된 버전이었다. 이 프로토콜은 여러 EAP 메커니즘을 연결하는 것만 지정하며 특정 방법은 지정하지 않는다.^[38]^[43] EAP-MSCHAPv2 및 EAP-GTC 방법의 사용이 가장 일반적이다.

3. 3. RADIUS / Diameter

RADIUS와 Diameter AAA 프로토콜은 모두 EAP 메시지를 캡슐화할 수 있다. 이들은 네트워크 접속 서버(NAS) 장치에서 IEEE 802.1X 종단점과 AAA 서버 간에 EAP 패킷을 전달하여 IEEE 802.1X를 용이하게 하기 위해 사용되는 경우가 많다.^[1]

3. 4. PANA

네트워크 접속을 위한 인증 전송 프로토콜(PANA)은 장치가 네트워크에 자신을 인증하여 접근 권한을 얻을 수 있도록 하는 IP 기반 프로토콜이다. PANA는 새로운 인증 프로토콜, 키 배포, 키 합의 또는 키 파생 프로토콜을 정의하지 않으며, 이러한 목적을 위해 EAP를 사용하고 EAP 페이로드를 전달한다. PANA는 동적 서비스 제공자 선택을 허용하고, 다양한 인증 방법을 지원하며, 로밍 사용자에게 적합하고, 링크 계층 메커니즘과 독립적이다.

3. 5. PPP

EAP는 원래 점대점 프로토콜(PPP)의 인증 확장 기능이었다. PPP는 EAP가 챌린지-핸드셰이크 인증 규약(CHAP) 및 비밀번호 인증 프로토콜(PAP)을 대체하는 방식으로 생성된 이후 EAP를 지원했으며, CHAP 및 PAP는 결국 EAP에 통합되었다. PPP에 대한 EAP 확장은 처음에 RFC 2284에서 정의되었으며, 현재 RFC 3748에 의해 폐지되었다.^[1]

4. 활용

EAP는 LAN에서의 사용자 인증 규격인 IEEE 802.1X에 채택되었다.^[32]^[33]^[34] 특히 무선 LAN 환경에서는 전파를 통신 매체로 사용하기 때문에 무단 이용이 문제시되었고, 이에 대한 해결 방법으로 IEEE 802.11i 등의 규격에 채택되었다.

EAP(확장 가능 인증 프로토콜)를 IEEE 802 위에서 캡슐화하는 것은 IEEE 802.1X에서 정의되며 "EAP over LAN" 또는 EAPOL로 알려져 있다. EAPOL은 원래 IEEE 802.3 이더넷을 위해 802.1X-2001에서 설계되었지만, 802.1X-2004에서 IEEE 802.11 무선 및 광섬유 분산 데이터 인터페이스(ANSI X3T9.5/X3T12, ISO 9314로 채택)와 같은 다른 IEEE 802 LAN 기술에 맞게 조정되었다.^[35] 이후 EAPOL 프로토콜은 802.1X-2010에서 IEEE 802.1AE (MACsec) 및 IEEE 802.1AR (초기 장치 ID, IDevID)와 함께 사용하도록 수정되었다.^[36]

EAP가 IEEE 802.11i-2004 무선 액세스 포인트(WAP)와 같은 802.1X 지원 네트워크 액세스 서버(NAS) 장치에 의해 호출될 때, 최신 EAP 방법은 안전한 인증 메커니즘을 제공하고 클라이언트와 NAS 간에 안전한 개인 키(Pair-wise Master Key, PMK)를 협상할 수 있으며, 이는 TKIP 또는 CCMP (AES 기반) 암호화를 활용하는 무선 암호화 세션에 사용될 수 있다.

5. 비판 및 논란

EAP-MD5는 EAP를 위한 초기 RFC(RFC 2284)에서 처음 정의되었을 때 유일한 IETF 표준 추적 EAP 방법이었다. EAP-MD5는 최소한의 보안만을 제공한다. MD5 해시 기능은 사전 공격에 취약하며 키 생성을 지원하지 않아 동적 WEP 또는 WPA/WPA2 엔터프라이즈와 함께 사용하기에 적합하지 않다. EAP-MD5는 EAP 단말과 EAP 서버 간의 인증은 제공하지만, 상호 인증은 제공하지 않는다는 점에서 다른 EAP 방법과 차이가 있다. EAP 서버 인증을 제공하지 않기 때문에, 해당 EAP 방법은 중간자 공격에 취약하다. EAP-MD5 지원은 윈도우 2000에서 처음 포함되었으며, 윈도우 비스타에서는 지원되지 않는다.^[1]

참조

_[1] IETF Extensible Authentication Protocol (EAP)
_[2] 웹사이트 Extensible Authentication Protocol (EAP) Registry https://www.iana.org[...] 2021-06-01
_[3] 간행물 Ultimate wireless security guide: An introduction to LEAP authentication http://www.techrepub[...] 2007-01-11
_[4] 웹사이트 Look Before You LEAP http://www.unstrung.[...] Unstrung 2008-02-17
_[5] 웹사이트 Understanding the updated WPA and WPA2 standards http://blogs.techrep[...] techrepublic.com 2008-02-17
_[6] 웹사이트 Open Secure Wireless http://riosec.com/fi[...] 2013-08-14
_[7] IETF The EAP-TLS Authentication Protocol 2008-03
_[8] 웹사이트 Add UNAUTH-TLS vendor specific EAP type http://hostap.epites[...] 2013-08-14
_[9] 웹사이트 HS 2.0R2: Add WFA server-only EAP-TLS peer method http://hostap.epites[...] 2014-05-06
_[10] 웹사이트 HS 2.0R2: Add WFA server-only EAP-TLS server method http://hostap.epites[...] 2014-05-06
_[11] 웹사이트 Open Secure Wireless 2.0 http://riosec.com/op[...] 2013-08-14
_[12] 서적 Microsoft Exchange Server 2003 Unleashed https://books.google[...] Sams
_[13] 웹사이트 Alternative Encryption Schemes: Targeting the weaknesses in static WEP https://arstechnica.[...] 2008-02-17
_[14] 문서 Knowledge Base Microsoft
_[15] 웹사이트 EAP-POTP Authentication Protocol http://www.juniper.n[...] Juniper.net 2014-04-17
_[16] 문서 FreeRADIUS EAP module rlm_eap_pwd http://code.metager.[...]
_[17] 간행물 Added support for EAP-PWD per RFC 5931 http://www.open.com.[...]
_[18] 문서 Secure-authentication with only a password http://community.aru[...]
_[19] 문서 Extensible Authentication Protocol (EAP) Settings for Network Access https://docs.microso[...]
_[20] 웹사이트 802.1x / EAP TTLS support? – Windows Phone Central Forums http://forums.wpcent[...] Forums.wpcentral.com 2014-04-17
_[21] 웹사이트 Enterprise Wi-Fi authentication (EAP) https://technet.micr[...] Microsoft.com 2014-04-23
_[22] IETF EAP Tunneled TLS Authentication Protocol Version 1 (EAP-TTLSv1)
_[23] 웹사이트 Ultimate wireless security guide: A primer on Cisco EAP-FAST authentication http://articles.tech[...] techrepublic.com 2008-02-17
_[24] 웹사이트 EAP-FAST > EAP Authentication Protocols for WLANs http://www.ciscopres[...] Ciscopress.com 2014-04-17
_[25] 웹사이트 EAP-FAST for Windows Vista Administrator Guide http://www.cisco.com[...]
_[26] 문서 How do I install CISCO EAP-FAST on my computer? http://blogs.msdn.co[...]
_[27] 문서 EAPHost in Windows http://www.microsoft[...]
_[28] IETF Nimble out-of-band authentication for EAP (EAP-NOOB) 2021-12
_[29] 문서 EAP-NOOB Model on GitHub https://github.com/t[...]
_[30] 서적 Encyclopedia of Cryptography and Security 2005
_[31] Citation CAPPS : HTTPS Networking
_[32] IETF Extensible Authentication Protocol (EAP)
_[33] IETF Extensible Authentication Protocol (EAP)
_[34] 문서 IEEE 802.1X-2001, § 7
_[35] 문서 IEEE 802.1X-2004, § 3.2.2
_[36] 간행물 IEEE 802.1X-2010
_[37] IETF Microsoft's PEAP version 0 (Implementation in Windows XP SP1)
_[38] IETF Protected EAP Protocol (PEAP) Version 2
_[39] IETF Protected EAP Protocol (PEAP) Version 2
_[40] IETF Protected EAP Protocol (PEAP) Version 2
_[41] IETF Protected EAP Protocol (PEAP)
_[42] IETF Protected EAP Protocol (PEAP)
_[43] IETF Protected EAP Protocol (PEAP) Version 2
_[44] 간행물 RFC 3748
_[45] 웹인용 Ultimate wireless security guide: A primer on Cisco EAP-FAST authentication http://articles.tech[...] techrepublic.com 2008-02-17

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com