SSO
한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션
- 장점
- 각 시스템 별로 개별적인 ID/PW 설정이 필요 없음
- 패스워드 분실/망각 가능성 감소
- 관리의 간편함, 보안수준의 향상
- 단점
- SSO서버 침해 시 모든 서버의 보안 침해 가능(단일 실패 지점)
- 자원별 권한관리 미비
엑스트라넷 접근 관리(EAM, Extranet Access Management)¶
인트라넷, 엑스트라넷 및 일반 클라이언트/서버 환경에서 자원의 접근 인증과 이를 기반으로 자원에 대한 접근 권한을 부여/관리하는 통합 인증 관리 솔루션
식별/접근 관리(IAM, Identity and Access Management)¶
ID와 패스워드를 종합적으로 관리해주는 역할 기반의 계정 관리 솔루션. EAM을 확장/보완한 솔루션
커버로스(Kerberos)¶
개방된 네트워크 내에서 서비스 요구를 인증하기 위해 대칭키 암호기법에 바탕을 둔 티켓 기반 인증 프로토콜이자 KDC
- 분산 환경을 위한 SSO
- 기업 접근 통제를 위한 확장성, 투명성, 안정성, 보안을 제공
구성 요소¶
- 키 분배 서버(KDC, Key Distribution Center): Kerberos의 핵심 요소
- 인증 서버(AS, Authentication Server): 실질적으로 인증을 수행
- 티켓 분배 서버(TGS, Ticket Granting Server): 티켓을 부여/분배
- 티켓: 사용자에 대해 신원과 인증을 확인하는 토큰
인증 과정¶
- 커버로스는 모든 사용자의 패스워드를 알고 있고, 중앙집중식 DB에 그 패스워드를 저장하고 있는 AS를 이용
- AS는 각 서버와 유일한 비밀키를 공유
- TGS는 AS에게 인증 받은 사용자에게 티켓을 발행
- 사용자가 새 서비스를 요청할 때마다 자신을 인증하는 티켓을 이용하여 TGS에 접속, TGS가 해당 서비스에 대한 티켓 발행
- 사용자는 서비스 승인 티켓을 보관하고 필요할 때마다 티켓을 사용하여 서버에 인증
- 타임스탬프로 위장하는 것을 방지
취약점¶
- 단일 실패 지점
- 비밀키는 사용자의 워크스테이션에 임시저장(공격자에게 탈취 가능성)
- 패스워드 추측 공격에 취약
V4 vs V5¶
| 항목 | V4 | V5 |
|---|---|---|
| 알고리즘 | DES | 모든 대칭키 암호 |
| 주소 유형 | IP | 모든 네트워크 주소 |
| 티켓 유효기간 | 한계치 존재 | 원하는 만큼 지정, 갱신 가능 |
세사미(SESAME)¶
- 커버로스의 기능을 확장하고 약점을 보완하기 위해 개발된 SSO 기술
- 비대칭키 및 대칭키 암호화 기술에 기반
- 티켓이 대신
PAC(Privileged Attribute Certificate)를 사용
Last update :
4 juin 2023
Created : 9 juin 2020
Created : 9 juin 2020