[컴퓨터 보안] 네트워크 보안 -3
네트워크 보안 매커니즘
| 암호화 | 전자서명 | 접근제어 | 데이터 무결성 |
인증교환 | 트래픽 패딩 |
라우팅 제어 |
공증 | |
|---|---|---|---|---|---|---|---|---|
| 대등개체 인증 | v | v | v | |||||
| 데이터 발신처 인증 | v | v | ||||||
| 접근제어 | v | |||||||
| 접속 기밀성, 비접속 기밀성 | v | v | ||||||
| 선택영역 기밀성 | v | |||||||
| 트래픽 흐름 기밀성 | v | v | v | |||||
| 복구기능을 갖는 접속 무결성 | v | v | ||||||
| 복구기능이 없는 접속 무결성 | v | v | ||||||
| 선택영역 접속 무결성 | v | v | ||||||
| 비접속 무결성 | v | v | v | |||||
| 선택영역 비접속 무결성 | v | v | v | |||||
| 발신 부인방지, 수신 부인방지 | v | v |
암호화
- 인증, 기밀성, 무결성을 제공하는 강력한 수단
- 두 호스트 간 혹은 두 응용 시스템 간에 적용
- 링크 암호화
- 단대단 암호화
- 링크 암호화
전자서명
- 인증과 무결성을 제공하는 수단
- 데이터에 대한 서명과 서명된 데이터에 대한 검증절차
- 서명 : 비밀정보인 서명자의 개인키를 사용하여 전자서명 생성
- 검증 : 공개정보인 서명자의 공개키를 사용하여 서명된 데이터를 검증함으로써 정보를 보낸 사람이 그 사람이 맞는지를 확인
- 서명 : 비밀정보인 서명자의 개인키를 사용하여 전자서명 생성
- 개인키 소유자가 아니면 누구도 서명된 데이터 생성 불가
- 서명자는 그 데이터에 서명하고 송신했음을 부인 불가
- 데이터를 받은 사람은 서명된 데이터를 변조 및 위조 불가
접근제어
- 사용자의 접근권한을 결정하거나 사용자에게 접근권한을 부여하기 위해 사용자의 고유성, 정보, 자격 등을 이용
- 다음과 같은 정보들을 사용
- 접근제어 정보
- 패스워드 등과 같은 인증정보
- 자격, 소유, 기타의 부가적 표시
- 보안 레이블
- 접근시도 시간, 경로 및 접근지속 시간
- 접근제어 정보
데이터 무결성
- 네트워크상에서 데이터의 정확성을 점검하는 메커니즘
- 송신자
- 데이터 자체에 대한 특정값을 계싼하여 무결성 기능 제공
- 메시지 인증 코드(MAC), 조작 점검 코드(MDC) 등
- 데이터 자체에 대한 특정값을 계싼하여 무결성 기능 제공
- 수신자
- 수신한 데이터와 관계 있는 무결성 정보를 생성
- 수신한 무결성 정보와 비교하여 데이터의 변경 여부 확인
- 수신한 데이터와 관계 있는 무결성 정보를 생성
- 데이터 재사용을 막기 위한 타임스탬프 사용
인증교환
- 패스워드 같은 단순한 신분확인 정보 이용부터 암호기술 이용까지 다양
- 사용자 특성이나 소유권한 이용 가능
- 타임스탬프, 동기 클록, 2-방향 혹은 3-방향 핸드셰이크, 부인방지 등 선택
트래픽 패딩
- 트래픽 흐름의 해석을 방지하기 위해 다양한 수준의 보안을 제공하는 메커니즘
- 실제의 데이터가 아닌 정보를 고의로 네트워크에 흘림
- 기밀성 서비스에 의해 보호된다면 더욱 효율적
라우팅 제어
- 네트워크로 전달되는 데이터에 대한 보안요구를 충족시키기 위해 물리적, 논리적 전송경로를 선택하는 매커니즘
- 물리적으로 안전한 서브네트워크, 릴레이 시스템, 링크 등을 사용
- 특정 보안수준을 갖는 데이터는 보안방침에 따라 특정 서브네트워크, 릴레이 시스템, 링크 등을 통해 전송되는 것이 금지될 수 있음
- 이 경우 접속 설정자나 비접속 데이터 단위의 송신자는 이들을 피하는 라우팅 절차를 규정해야 함
공증
- 통신 중인 데이터의 무결성, 발신지, 목적지 등과 같은 특성을 보증하는 것
- 통신 실체들이 신뢰할 수 있는 제3자에 의해 이루어짐
- 각 통신 실체는 공증에 의한 서비스를 제공하기 위해 전자서명, 암호화 및 데이터 무결성 등의 메커니즘을 사용할 수 있음
- 공증이 이루어질 때 데이터는 안전하게 통신 됨
기타
- 신뢰기능
- 보안 레이블
- 이벤트 감지
- 보안감사 추적
- 보안복구