커버로스 kerberos 보안기사관련

보안관련해서 통합인증 관련된 커버로스에 대해 알아보았다.

커버로스 Kerberos

커버로스는 인증 프로토콜이며 동시에 Key Distribution Center 이다

커버로스라는 이름은 문을 지키는 그리스 신화의 머리가 셋달린 개의 이름에서 따온 것입니다.

MIT에서 설계를 했으며 여러버전으로 업데이트 되었다.

개방된 컴퓨터 네트웍내에서 서비스 요구를 인증하기 위해 대칭키 암호기법에 바탕을 둔 티켓기반 인증프로토콜입니다.

수년간 유닉스시스템에서 사용되었으며, 윈도우서버 운영체제에서 기본 인증기법으로 사용되고 있다.

커버로스는 사용자에게 동일한 계정정보로 여러가지 서비스를 받을 수 잇게 한다. 즉 통합인증 역할을 한다고 보면 될 것 같다. 이것은 티켓을 이용하여 구현하게 된다. 티켓이 지정된 유효기간내에만 있다면 티켓을 사용하여 동일한 서버에서 여러가지의 응용서비스를 제공받을 수 있다.

관리측면에서도 사용자인증을 인증서버에서만 관리하기 때문에 강력한 보안정책을 적용할 수 있다. 그러나 공격자가 티켓을 갱신하여 응용서버로의 접속을 시도할 수 있기 때문에 티켓 관리가 가장 중요하다. 즉 티켓의 암호화 및 암호화 채널을 사용한 서버간 통신을 통해 보완 할 수 있다.

커버로스의 구성요소는 인증서버, 티켓발급서버, 실질데이타서버로 구성된다.

인증서버는 커버로스 프로토콜의 키분배센터이다. 각 사용자는 인증서버에 등록을 하고 사용자아이디와 패스워드를 발급받는다.

티켓발급서버는 실질서버에 티켓을 발급해준다. 또한 사용자와 실질서버사이에 사용할 세션키를 제공한다.

실질데이타서버는 사용자에게 서비스를 제공한다.

커버로스는 사용자가 클라이언트 프로세스를 이요하여 서버에 접근하여 클라이언트서버 프로그램용으로 설계되었다. 개인대개인 인증용으로는 사용되지 않는다.