Skip to content

사용자 인증

인증에는 메시지 인증사용자 인증이 존재한다.

  • 메시지 인증
  • 메시지 전송 중 발생할 수 있는 수정, 삭제 등 무결성 검증
  • 메시지 암호화, MAC(Message Authentication Code), 해시 함수 등 이용
  • 사용자 인증
  • 정당한 사용자의 접속인지 확인하는 절차
  • 시스템 내 자원의 불법적인 접근을 막음

사용자 인증의 유형에는 지식, 소유, 존재, 행위가 있으며 이 중 둘을 결합하여 사용하는 것을 Two Factor, 그 이상을 결합하여 사용하는 것을 Multi Factor라고 한다.

지식 기반 인증

사용자가 알고 있는 것에 의존하는 방법

  • 장점
  • 다양한 분야에서 사용 가능
  • 검증이 확실
  • 관리 비용 저렴
  • 단점
  • 소유자의 분실 가능성
  • 공격자의 추측 가능
  • 사회 공학적 공격에 취약(피싱)

패스워드

가장 간단하면서 오랫동안 사용된 개체인증 방식

고정된 패스워드

접속시 반복해서 사용

  • 테이블에 ID/PW 원본 데이터 저장
  • PW를 해시한 값으로 저장
  • PW에 솔트(Salt)를 붙여 해시한 값을 저장
일회용 패스워드(OTP, One-Time Password)

동적 패스워드, 인증시 한번 유효

  • 사용자와 시스템이 PW 목록 합의하고, 오직 한번만 사용
  • 사용자와 시스템이 PW를 순차적으로 업데이트하기로 합의
  • 사용자와 시스템이 해시함수를 이용하여 순차적으로 업데이트하기로 합의

시도-응답 개인 식별 프로토콜

대칭형 암호와 공개키 암호에 기반하여 도청이 가능한 환경에서 안전

  • 일방향 개인 식별 프로토콜: 서버 또는 클라이언트 중에 어느 한 대상을 식별하는 프로토콜
  • 상호 개인 식별 프로토콜: 상호간에 대상을 식별하는 프로토콜

영지식 개인 식별 프로토콜

자신의 비밀정보를 제공하지 않고 자신의 정당한 신분만을 밝힘으로써 식별되는 유형의 프로토콜

  • 스마트카드, 원격지 로그인 시 사용자 식별 등
I-PIN(Internet Personal Identification Number)

주민번호 대신에 ID와 PW로 대체하는 수단

  • 주민번호 유출예방
  • 본인확인 강화

소유 기반 인증

실생활에서 사용되는 다양한 매체를 이용하여 사용자 인증을 수행

  • 장점
  • 신용카드 등 다양한 수단이 사용될 수 있음
  • 입증된 기술(신용카드)
  • 생체 인증보다 경제적
  • 단점
  • 소유물이 없을 경우 인증이 어려움
  • 복제 가능
  • 자산 관리 기능 요구

메모리 카드

  • 정보를 저장할 수 있지만 정보 처리 불가

스마트 카드

  • 정보 저장 및 처리 가능
  • 접촉식과 비 접촉식으로 나뉨

일회용 패스워드(OTP, One-Time Password)

OTP용 프로그램에서 사용자 패스워드OTP 생성용 입력 값을 입력하면 암호 알고리즘을 사용해서 OTP를 생성하는 사용자 인증 방식

질의응답 방식
  • 시도-응답 방식
  • 구조가 간단하며 OTP 생성 매체와 인증서버 간 동기화가 필요 없음
  • 사용자가 질의 값을 직접 입력해야 하며 같은 질의 값이 생성되지 않도록 인증 서버 관리가 필요
시간과 이벤트 동기화 방식
  • 토큰장치와 인증서비스는 반드시 동일한 비밀키를 공유하여 암ㆍ복호화에 사용
  • 시간 동기화 방식
  • 토큰장치와 비밀키에 나타나는 시간 값은 OTP를 생성하는데 사용
  • OTP 생성 매체와 인증서버의 시간 정보이 동기화되어 있어야 함
  • 이벤트 동기화 방식
  • 사용자가 토큰장치의 버튼을 누르면 다음 인증 값이 나타남
  • OTP 생성 매체와 인증서버의 계수기 값이 동기화되어 있어야 함
S/KEY 방식
  • 유닉스 계열 OS에서 인증에 사용되는 해시 체인 기반의 방식
  • 동작방식
  • 클라이언트에서 임의의 비밀키를 서버에 전송
  • 이 비밀키를 첫 번째 값으로 해시 체인 방식으로 이전 결과값에 대한 해시 값을 구하는 작업을 n번 수행
  • n개의 OTP를 서버에 저장

개체 특성 기반 인증

  • 장점
  • 사용하기 쉬움
  • 분실, 손실, 도난 X
  • 위조가 어려움
  • 단점
  • 잘못 판단할 가능성
  • 관리가 어려움
  • 인증을 위한 임계치 설정의 어려움

생체인증

생체적 혹은 행동적 특성을 측정하여 신원을 확인하는 방법

  • 기술 평가항목: 보편성, 유일성, 지속성, 획득성, 성능, 수용성, 반기만성
  • 처리 속도는 느리며, 처리량은 낮음
정확도
  • FRR(False Rejection Rate, 오거부율)
  • 인식되어야 할 사람이 얼마나 시스템에 의해서 인식이 되지 않았는지에 대한 값
  • FAR(False Acceptance Rate, 오인식률)
  • 인식되어서는 안 될 사람이 얼마나 시스템에 의해서 인식이 되는지에 대한 값
  • CER(Crossover Error Rate)/EER(Equal Error Rate)
  • FRR과 FAR이 일치하는 지점
  • 수치가 낮을수록 정확
Last update : 4 juin 2023
Created : 9 juin 2020