인증 (Authentication)
- 유저가 누구인지 확인하는 절차
- 어떤 정보가 어떤 자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위
인증의 수단
1. 지식 기반 (Type1)
내가 알고 있는 것
분실의 우려는 없지만 추정 공격에 취약하여 심각한 일이 일어나지 않는 1차 인증수단으로만 사용
>비밀번호
패턴-
소유 기반 (Type2)
내가 가진 것
소유물이기 때문에 도난 및 분실의 위험이 있음
보안성이 높아 2차 인증 수단으로 사용인증서
OTP
보안카드
토큰
스마트카드 -
신체 기반 (Type3)
내 몸의 특징
보안성이 높고 분실의 위험이 매우 낮음
저장해 둔 정보가 유출되고 나면 대체 인증 수단이 없음지문
음성
홍채
안면 형태
인가 (Authorization)
- 특정 리소스에 접근할 수 있는 권한을 부여하거나 제한하는 것. 접근 제어(access control)라고도 볼 수 있음
- 권한에 따라 사용 가능한 기능이 제한됨
- 시스템 리소스가 원치 않은 용도로 사용되는 것을 피하기 위해서는 '부분적으로 신뢰할 수 있는' 사용자나 손님들은 제한된 리소스만 허가되어야 함
- 이를 제어하기 위해 접근 제어 프로그램은 인증 기능을 통해 사용자의 신원을 확인한 후 접근 제어 정책에 따라 인가함
SSO (Single Sign On)
- 엔터프라이즈급 환경에서 사용자가 모든 업무 서버에 대해 제각각 따로 인증해야하는 불편함을 방지하고자 인증절차를 단일화해 일괄적 처리가 가능하도록 만든 솔루션
Secure SSO
- 각 사용자에 대해 인증 수단을 통해 신원을 확인하고, 단일 인증만으로 전체 서버군 접근을 허용하되 사용자 각자의 권한에 따라 각 서버에 대한 권한을 달리 적용하고 통합적으로 관리
- 인증 단일화 기능만을 제공하는 단순 SSO에 비해 충분한 보안성을 유지
출처:
