Authentication, Authorization, Acountability, Access Control
작성자 : 김문규
최초 작성일 : 2008. 7. 8
Authentication, Authorization, Accountability, Access Control 이들의 개념은 너무나 유사하고 헷갈린다.
해당 포스트에서는 해당 개념의 유사성과 차이점을 알아보도록 한다.
1. Authentication (인증)
출처 : http://www.terms.co.kr/authentication.htm
인증이란 어떤 사람이나 사물이 실제로 신고된 바로 그 사람(또는 바로 그 것)인지를 판단하는 과정이다. 개별 또는 인터넷을 포함한 공공 네트웍에서의 인증은 대개 로그온시 암호의 사용을 통해 이루어진다. 암호를 알고 있는 사람은 일단 믿을만한 사용자라고 간주된다. 모든 사용자는 처음에 자신이 원하는 암호를 등록하고, 이후 계속 사용할 때마다, 사용자는 이전에 신고된 암호를 잊지 않고 사용해야만 한다. 그러나, 자금 교환 등이 수반되는 중요한 거래에서 이 시스템의 약점은, 암호가 종종 도난 당하거나, 우연히 알려지거나 또는 잊혀질 수 있다는데 있다.
이러한 이유 때문에, 인터넷 비즈니스와 많은 다른 거래들에서는 좀더 엄중한 인증 과정을 필요로 하는 것이다. 공개키 기반구조의 일부인 인증기관에 의해 발급되고 검증된 디지털 증명의 사용은 인터넷 상에서 인증을 수행하는 표준적인 방법이 되어가고 있다. 필연적으로, 인증은 권한부여에 우선한다 (종종 두 개가 결합된 것처럼 보이더라도).
2. Authorization (권한 부여)
출처 : http://www.terms.co.kr/authorization.htm
Authorization은 누구에게 무엇을 할 수 있거나, 가질 수 있는 권한을 부여하는 과정이다. 다중 사용자 컴퓨터 시스템에서, 시스템 관리자는 어떤 사용자가 그 시스템을 액세스할 수 있는지, 그리고 부여된 사용권한은 어디까지인지(파일 디렉토리의 접근 범위, 허용된 액세스 시간, 할당된 저장 공간의 크기 등)를 그 시스템을 위해 정의한다. 어떤 사람이 컴퓨터 운영체계나 응용프로그램에 로그온 했을 때, 그 시스템이나 응용프로그램은 그 세션 동안 그 사용자에게 어떤 자원의 이용을 허락해야하는지 확인한다. 그러므로, authorization이라고 표현되는 권한부여는, 때로 시스템관리자에 의해 미리 설정되는 권한들과 사용자가 액세스를 해 왔을 때 미리 설정된 권한을 실제로 확인하는 일 모두를 지칭하기도 한다.
3. Accountability (감사, 책임)
출처 : http://en.wikipedia.org/wiki/Access_control
Accountability는 audit 기록이나 log들을 분석하여 시스템 상의 개체들의 동작의 정당성을 확인하는 과정이다. 주로 보안 위반을 감지하고 위반 사태를 재연하는 데에 audit 기록과 log 정보들이 사용되기 때문에 중요하다. 만일 주기적으로 이런 정보들이 감시되어 지고 관리되어 지지 않는다면 해당 시스템은 안전하고 일관된 방법으로 관리되고 있다고 할 수 없겠다.
대부분의 시스템은 미리 정의된 기준을 넘어서는 이벤트 발생 시에 자동으로 관련 리포트를 제공하는 기능을 제공한다. 이는 clipping level이라고 부른다. 예를 들면 수차례 로그인 실패를 거듭하는 경우난 특정 계정을 삭제하려는 행위등이 여기에 해당된다.
4. Access Control (접근 제어)
출처 : http://en.wikipedia.org/wiki/Access_control
Access Control은 특정한 개체(사용자)가 어떤 자원을 사용하고자 할 때 이를 허용하거나 거부하는 기능이다. 개인적인 생각으로는 위에 언급된 모든 개념을 포함하고 있는 상위의 개념이다. 어떤 시스템을 안전하게 보호하기 위해서 위와 같은 개념이 잘 정의되고 구현되어 있어야 하는 것이다. 이러한 목표를 이루기 위한 일련의 과정 또는 기술을 Access Control이라고 한다.
주로 다음과 같은 대표적인 기술이 알려져 있다.
- Discretionary Access Control
- Mandatory Access Control
- Role Based Access Control
작성자 : 김문규
최초 작성일 : 2008. 7. 8
Authentication, Authorization, Accountability, Access Control 이들의 개념은 너무나 유사하고 헷갈린다.
해당 포스트에서는 해당 개념의 유사성과 차이점을 알아보도록 한다.
1. Authentication (인증)
출처 : http://www.terms.co.kr/authentication.htm
인증이란 어떤 사람이나 사물이 실제로 신고된 바로 그 사람(또는 바로 그 것)인지를 판단하는 과정이다. 개별 또는 인터넷을 포함한 공공 네트웍에서의 인증은 대개 로그온시 암호의 사용을 통해 이루어진다. 암호를 알고 있는 사람은 일단 믿을만한 사용자라고 간주된다. 모든 사용자는 처음에 자신이 원하는 암호를 등록하고, 이후 계속 사용할 때마다, 사용자는 이전에 신고된 암호를 잊지 않고 사용해야만 한다. 그러나, 자금 교환 등이 수반되는 중요한 거래에서 이 시스템의 약점은, 암호가 종종 도난 당하거나, 우연히 알려지거나 또는 잊혀질 수 있다는데 있다.
이러한 이유 때문에, 인터넷 비즈니스와 많은 다른 거래들에서는 좀더 엄중한 인증 과정을 필요로 하는 것이다. 공개키 기반구조의 일부인 인증기관에 의해 발급되고 검증된 디지털 증명의 사용은 인터넷 상에서 인증을 수행하는 표준적인 방법이 되어가고 있다. 필연적으로, 인증은 권한부여에 우선한다 (종종 두 개가 결합된 것처럼 보이더라도).
2. Authorization (권한 부여)
출처 : http://www.terms.co.kr/authorization.htm
Authorization은 누구에게 무엇을 할 수 있거나, 가질 수 있는 권한을 부여하는 과정이다. 다중 사용자 컴퓨터 시스템에서, 시스템 관리자는 어떤 사용자가 그 시스템을 액세스할 수 있는지, 그리고 부여된 사용권한은 어디까지인지(파일 디렉토리의 접근 범위, 허용된 액세스 시간, 할당된 저장 공간의 크기 등)를 그 시스템을 위해 정의한다. 어떤 사람이 컴퓨터 운영체계나 응용프로그램에 로그온 했을 때, 그 시스템이나 응용프로그램은 그 세션 동안 그 사용자에게 어떤 자원의 이용을 허락해야하는지 확인한다. 그러므로, authorization이라고 표현되는 권한부여는, 때로 시스템관리자에 의해 미리 설정되는 권한들과 사용자가 액세스를 해 왔을 때 미리 설정된 권한을 실제로 확인하는 일 모두를 지칭하기도 한다.
3. Accountability (감사, 책임)
출처 : http://en.wikipedia.org/wiki/Access_control
Accountability는 audit 기록이나 log들을 분석하여 시스템 상의 개체들의 동작의 정당성을 확인하는 과정이다. 주로 보안 위반을 감지하고 위반 사태를 재연하는 데에 audit 기록과 log 정보들이 사용되기 때문에 중요하다. 만일 주기적으로 이런 정보들이 감시되어 지고 관리되어 지지 않는다면 해당 시스템은 안전하고 일관된 방법으로 관리되고 있다고 할 수 없겠다.
대부분의 시스템은 미리 정의된 기준을 넘어서는 이벤트 발생 시에 자동으로 관련 리포트를 제공하는 기능을 제공한다. 이는 clipping level이라고 부른다. 예를 들면 수차례 로그인 실패를 거듭하는 경우난 특정 계정을 삭제하려는 행위등이 여기에 해당된다.
4. Access Control (접근 제어)
출처 : http://en.wikipedia.org/wiki/Access_control
Access Control은 특정한 개체(사용자)가 어떤 자원을 사용하고자 할 때 이를 허용하거나 거부하는 기능이다. 개인적인 생각으로는 위에 언급된 모든 개념을 포함하고 있는 상위의 개념이다. 어떤 시스템을 안전하게 보호하기 위해서 위와 같은 개념이 잘 정의되고 구현되어 있어야 하는 것이다. 이러한 목표를 이루기 위한 일련의 과정 또는 기술을 Access Control이라고 한다.
주로 다음과 같은 대표적인 기술이 알려져 있다.
- Discretionary Access Control
- Mandatory Access Control
- Role Based Access Control
'보안, 암호화' 카테고리의 다른 글
| [실전 security ⑤] 안전한 CGI 프로그래밍 (0) | 2008.08.11 |
|---|---|
| [실전 security ④] 안전한 DB 프로그래밍 (0) | 2008.08.06 |
| [실전 security ③] 안전한 웹 서버 프로그래밍 (0) | 2008.08.05 |
| [실전 security ②] 웹 서버 보안 기초 (1) | 2008.08.04 |
| [실전 security ①] 보안 개요 (0) | 2008.08.01 |
