본문 바로가기

SIS

번외 01. [정보보안기사/산업기사] 커버로스(Kerberos)

사용자 인증을 위한 대표적인 메커니즘

네트워크상에서 사용자의 인증을 위해 가장 많이 사용된다.

문구 - 인증(Challenge - Response) 방법을 부분적으로 사용하며

사용자가 서비스의 인증을 얻기 위해서 티켓이라는 인증 값을 사용한다

* MIT에서 네트워크를 기반으로 한 인증시스템을 목적으로 개발


개체의 종류


클라이언트 : 인증을 얻길 원하는 사용자

서버 : 클라이언트가 접속하려는 곳, 클라이언트가 접속하기 위해서 인증이 필요

인증 서버 : 클라이언트를 인증하는 곳

티켓 발급 서버 : 인증 값인 티켓을 클라이언트에게 발급해주는 곳


구조


클라이언트가 서버에 접속하기 위해서는 인증 서버에 유효한 패스워드를 입력한다

인증 서버는 사용자를 인증하고 티켓 발급 서버에서 사용자에게 티켓을 발급한다

그 티켓으로 클라이언트는 서버에 접속한다


티켓에 들어있는 정보


접속할 서버의 ID, 클라이언트의 ID, 클라이언트의 네트워크 주소, 티켓 유효 기간

클라이언트와 서버가 서비스 동안 공유하는 세션키


* Needham - Schroeder 의 신뢰할 수 있는 제 3차 프로토콜에 근거한 모델


장점


데이터의 기밀성과 무결성을 보장


단점


1. 서비스의 암호화 키를 키 분배 센터에서 가지고 있음

키 분배 센터가 단일 오류 지점(Single Point of Failure)이 되어 키 분배 센터에 오류가 발생하면 전체 서비스 X

2. 사용자의 비밀키가 사용자의 워크스테이션에 임시로 저장, 사용자의 워크스테이션에 침입하는 침입자에 의해 유출 가능

사용자의 세션키도 워크스테이션에 임시로 저장되기 때문에 침입에 취약

3. 패스워드 추측 공격에 취약