[정보처리기사] 서버 인증 및 접근 통제

서버 접근 통제의 유형

유형	설명
임의적 접근 통제 (DAC; Discretionary Access Control)	→ 주체나 그룹의 신분에 근거하여 객체에 대한 접근을 제한하는 방법 → 신분 기반(Identity-Based) 접근통제 정책 → DAC에서 사용자는 자원과 관련된 ACL(Access Control List)이 수정됨으로써 자원에 대한 권한을 부여
강제적 접근 통제 (MAC; Mandatory Access Control)	→ 객체에 포함된 정보의 허용등급과 접근 정보에 대하여 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법 → 규칙 기반(Rule-Based) 접근통제 정책
역할 기반 접근 통제 (RBAC; Role Based Access Control)	→ 중앙 관리자가 사용자와 시스템의 상호관계를 통제하며 조직 내 맡은 역할(Role)에 기초하여 자원에 대한 접근을 제한하는 방법 → RBAC에서 자원에 대한 접근은 사용자에게 할당된 역할에 기반 → 관리자는 사용자에게 특정한 권리와 권한이 정의된 역할을 할당

 

3A(Authentication, Authorization, Accounting)

→ 유무선 이동 및 인터넷 환경에서 가입자에 대한 안전하고, 신뢰성 있는 인증(Authentication), 권한 부여(Authorization), 계정 관리(Accounting)를 체계적으로 제공하는 정보 보호 기술

 

인증 관련 기술

구분	설명
SSO (Single Sign On)	→ 커버로스에서 사용되는 기술로 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용할 수 있도록 해주는 인증 기술
커버로스 (Kerberos)	→ 1980년대 중반 MIT의 Athena 프로젝트 일활으로 개발되었으며 클라이언트/서버 모델에서 동작하고 대칭 키 암호기법에 바탕을 둔 티켓 기반의 프로토콜
OAuth	→ 사용자가 비밀번호를 제공하지 않고 다른 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있게 하는 개방형 표준기술 → 네이버, 카카오톡, Google 등의 외부 계정으기반으로 토큰을 이용하여 간편하게 회원가입 및 로그인할 수 있게 해주는 기술