한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션

  • 장점
    • 각 시스템 별로 개별적인 ID/PW 설정이 필요 없음
    • 패스워드 분실/망각 가능성 감소
    • 관리의 간편함, 보안수준의 향상
  • 단점
    • SSO서버 침해 시 모든 서버의 보안 침해 가능(단일 실패 지점)
    • 자원별 권한관리 미비

엑스트라넷 접근 관리(EAM, Extranet Access Management)

인트라넷, 엑스트라넷 및 일반 클라이언트/서버 환경에서 자원의 접근 인증과 이를 기반으로 자원에 대한 접근 권한을 부여/관리하는 통합 인증 관리 솔루션

식별/접근 관리(IAM, Identity and Access Management)

ID와 패스워드를 종합적으로 관리해주는 역할 기반의 계정 관리 솔루션. EAM을 확장/보완한 솔루션

커버로스(Kerberos)

개방된 네트워크 내에서 서비스 요구를 인증하기 위해 대칭키 암호기법에 바탕을 둔 티켓 기반 인증 프로토콜이자 KDC

  • 분산 환경을 위한 SSO
  • 기업 접근 통제를 위한 확장성, 투명성, 안정성, 보안을 제공

구성 요소

  • 키 분배 서버(KDC, Key Distribution Center): Kerberos의 핵심 요소
  • 인증 서버(AS, Authentication Server): 실질적으로 인증을 수행
  • 티켓 분배 서버(TGS, Ticket Granting Server): 티켓을 부여/분배
  • 티켓: 사용자에 대해 신원과 인증을 확인하는 토큰

인증 과정

  1. 커버로스는 모든 사용자의 패스워드를 알고 있고, 중앙집중식 DB에 그 패스워드를 저장하고 있는 AS를 이용
  2. AS는 각 서버와 유일한 비밀키를 공유
  3. TGS는 AS에게 인증 받은 사용자에게 티켓을 발행
  4. 사용자가 새 서비스를 요청할 때마다 자신을 인증하는 티켓을 이용하여 TGS에 접속, TGS가 해당 서비스에 대한 티켓 발행
  5. 사용자는 서비스 승인 티켓을 보관하고 필요할 때마다 티켓을 사용하여 서버에 인증
  6. 타임스탬프로 위장하는 것을 방지

취약점

  • 단일 실패 지점
  • 비밀키는 사용자의 워크스테이션에 임시저장(공격자에게 탈취 가능성)
  • 패스워드 추측 공격에 취약

V4 vs V5

항목 V4 V5
알고리즘 DES 모든 대칭키 암호
주소 유형 IP 모든 네트워크 주소
티켓 유효기간 한계치 존재 원하는 만큼 지정, 갱신 가능

세사미(SESAME)

  • 커버로스의 기능을 확장하고 약점을 보완하기 위해 개발된 SSO 기술
  • 비대칭키 및 대칭키 암호화 기술에 기반
  • 티켓이 대신 PAC(Privileged Attribute Certificate)를 사용