Clark and Wilson 모델

Download Report

Transcript Clark and Wilson 모델 

제4장 접근통제
도경화
2009. 10
[email protected]
접근통제..
 보안정책과 접근 통제
 보안요소와 접근통제
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
2
보안 통제 분류
보안목표에 의한 통제분류
행위에 의한 통제분류
기능에 의한 통제분류
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
3
접근통제(Access Control)
 최소권한 정책(Least Privilege Policy)
 임무의 분리(Separation of Duties)
 명확하게 허용하지 않는 것은 금지
 명확하게 금지하지 않는 것은 허용
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
4
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
5
객체기반 vs 주체기반
[객체 기반]
 객체관점에서 접근이 허용된 주체들에 대한 접근 권한을 테이블형태
로 기술하여 이를 기반으로 접근제어
 관련된 객체에 대하여 주체의 접근 권한을 반영한다.
 구분될 필요가 있는 사용자(개인, 그룹, 또는 직무)가 비교적 소수일
때와 그러한 사용자의 분포가 안정적일 대 가장 적합
 지속적으로 변화하는 환경에는 부적합
 해고된 사용자의 접근을 철회하는데 어려움
[주체기반]
 CL(Capability List)
 주체가 소유할 수 있는 하나의 티켓(capability)을 부여
 커버로스에서 사용됨
 비교적 객체가 적은 경우에 적합
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
6
 Content-Dependent Access Control
 내용기반 접근통제
 DB에서 많이 사용되며 접근제어가 contents의 내용에 의하여
이루어지는 접근제어 방식
 예) DB 파일에서 직원의 경력, 봉급, 인사점수의 내용이 있을 때,
일반직원은 자신의 것만 볼 수 있지만 팀장의 경우 자기팀의
모든 직원을 볼 수 있게 하는 방식
예
 Capability List : 주체에게 허가된 자원 및 권한의 목록
 ACL : 어떤 객체에 접근할 수 있는 주체들의 목록
 Access control matrix : 각 객체들에 대하여 ACL을 테이블로 만
든것
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
7
접근통제기술 - ACL
 접근통제 매트릭스
Access Control Matrix
직원 A
File 1
File 2
Read
Write
직원 B
Read/Write No Access
직원 C
No Access Read/Write
•주체와 객체간의 접근권한을 테이블로 구성한 것으로 행에는 주체를 열에는
객체를 두어, 행과 열의 교차점에는 주체가 객체에 대한 접근권한(W, R, D, E)
을 기술하고 이를 기반으로 제어함
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
8
접근제어모델
 강제접근제어(Mandatory Access Control)
 주체의 객체에 대한 접근이 주체의 비밀 취급 인가 레이블 및 객
체의 민감도 레이블에 따라 지정
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
9
접근제어모델
 임의접근제어(Discretionary Access Control)
 주체의 객체에 대한 접근이 객체의 소유자에 의해 결정
객체
인사정보
사내 공지 사항
기타
주체
임꺽정
임꺽정, 홍길동
홍길동, 임꺽정, 기타
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
10
접근제어모델
 비임의접근제어(Non-Discretionary Access Control)
 주체의 역할에 따라 접근할 수 있는 객체를 지정
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
접근 통제 보안 모델
 Bell-LaPadula(BLP) 모델
 Biba 모델
 Clark and Wilson 모델
 Take-Grant 모델
 Lattice 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
12
Bell-LaPadula(BLP) 모델
 가장 널리 알려진 보안 모델 중의 하나
 70-80년대까지 국방부(DOD)의 지원을 받아 적립된 보안 모델
 군사용 보안 구조의 요구사항을 충족하기 위해 설계된 모형
 정보의 불법적인 파괴나 변조보다는 불법적인 비밀유출 방지에 중점
 보안 정책은 정보가 높은 보안 레벨로부터 낮은 보안 레벨로
흐르는 것을 방지
 정보를 극비(Top secret),비밀(secret),일반정보(Unclassified) 구분
 정보의 불법적 유출을 방어하기 위한 최초의 수학적 모델
 보안 등급과 범주를 이용한 강제적 정책에 의한 접근통제 모델
 제한사항
 한번 결정되면 접근 권한을 변경하기 어려움
 지나치게 기밀성에만 집중 등
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
13
 상위레벨 읽기금지 정책(No-read-up Policy, NRU, ss-property)
 보안 수준이 낮은 주체는 보안수준이 높은 객체를 읽어서는 안됨
 주체의 취급인가가 객체의 기밀 등급보다 길거나 높아야 그 객체
를 읽을 수 있음
 하위레벨 쓰기금지 정책(No-write-down Policy, NWD, *-property)
 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록해서는 안
됨
 주체의 취급인가가 객체의 기밀 등급보다 낮거나 같은 경우에 그
객체를 주체가 기록할 수 있음
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
14
Bell-LaPadula(BLP) 모델
 상위레벨 읽기금지 정책(No-readup Policy, NRU, ss-property)
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
하위레벨 쓰기금지 정책(No-writedown Policy, NWD, *-property)
15
Biba 모델
 주체들과 객체들의 integrity access class에 기반하여 수학적으로 설명할
수정의 문제를 다룸
 BLP모델의 단점인 무결성을 보장할 수 있도록 보완한 모델
 목적
• 하위 무결성 객체에서 상위 무결성 객체로 정보흐름 방어
• 무결성 유지
 특징
• No Read-Down Integrity Policy
• No Write-Up Integrity Policy
• => 낮은 등급에서 높은 비밀등급에 수정작업을 할 수 있도록 하면
신뢰할 수 있는 중요한 정보들이 다소 신뢰성이 약한 정보들과 결
합하여 본래의 비밀등급이 깨짐
• 다양한 정책에서 선택적 사용 가능
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
16
Biba 모델
 상위레벨 쓰기 금지(No-write-up
Policy)
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
하위레벨 읽기 금지(No-read-down
Policy)
17
Clark and Wilson 모델
 목적
 무결성 중심의 상업용으로 설계
 정보의 특성에 따라 비밀 노출방지보다 “ 자료의 변조방지”가 더
중요한 경우(예: 금융, 회계관련 데이터 등)
 특징
 well-formed transaction, separation of duty
 특별한 데이터에 대응하는 프로그램의 실행 권한에 따른 접근통
제
 3가지 무결성 목적
 비인가된 사용자가 수정권한을 갖지 못하도록 방지
 내부일관성과 외부일관성을 갖도록 함
 인가된 사용자가 부당한 변경으로부터 보호되야 함
 한 사람이 정보의 입력, 처리, 확인을 하는 것이 아니라 여러 사람이
나누어 각 부문별로 관리토록 함으로써 자료의 무결성 보장
 인가자의 비인가된 행동 예방
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
18
Clark and Wilson 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
19
기타
Lattice 모델
Take-Grant 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
20
싱글 사인온(Single Sign On)
 싱글 사인온
 사용자가 한 번의 인증으로 여러 개의 응용 서버에 접근할 수 있
게 하는 시스템
 보다 강력한 패스워드를 사용
 패스워드의 변경, 삭제 등 관리가 용이
 접근 시간이 단축
 하나의 패스워드로 여러 시스템에 침입 가능
 커베로스
21
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
커베로스
 커베로스(Kerberos)
 그리스 신화의 저승 입구를 지키는 머리 셋 달린 개
 MIT 공대에서 개발된 대칭키 암호 기반의 인증체계
• 제3의 신뢰성 있는 기관(키분배센터)에 의존
• 키분배센터(Key Distribution Center)
• KDC는 앨리스와는 KA , 밥과는 KB, 캐롤과는 KC, 이런 식으로 대칭
키를 공유
• 마스터 키 KKDC는 KDC만 소유
• KDC는 인증 및 비밀성 및 무결성이 요구되는 세션키를 생성
• TGT(ticket granting ticket) 사용
– 티켓을 획득하게 해주는 티켓
• DES 암호 알고리즘을 사용
22
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
커베로스
 인증과정
 사용자 KDC에 다른 서비스의 접근을 요청
 KDC는 사용자를 인증하고, 서비스와 사용자가 사용할 수 있는 티
켓을 보내 줌
 사용자는 서비스에 티켓을 보내어 인증하고 요청된 서비스를 사용
23
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
커베로스 로그인
앨리스가 TGT를
앨리스의
요청
패스워드
앨리스
E(SA,TGT,KA)
컴퓨터
KDC
 앨리스의 패스워드로부터 KA=h(앨리스의 패스워드) 를 유도
 KDC는 세션키 SA를 생성
 앨리스의 컴퓨터는 KA 로 SA와 TGT를 복호화
 TGT = E(“앨리스”, SA, KKDC)
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
24
앨리스 “밥으로의 티켓” 요청
밥과 대화하기를
요청(REQUEST)
밥에게 대화
응답(REPLY)
앨리스
컴퓨터
KDC
 REQUEST = (TGT, 인증기호)
 TGT = E(“앨리스”, SA, KKDC)
 인증기호 = E(타임스탬프, SA)
 KDC는 타임스탬프를 확인하기 위하여 TGT로부터 SA를 얻음
 REPLY = E(“밥”, KAB, 밥으로의 티켓, SA)
 밥으로의 티켓 = E(“앨리스”, KAB, KB)
 KAB 는 앨리스와 밥이 세션에 이용할 세션키
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
25
앨리스 “밥으로의 티켓” 사용
밥으로의 티켓, 인증기호
E(타임스탬프+ 1,KAB)
앨리스의
컴퓨터
밥
 밥으로의 티켓 = E(“앨리스”, KAB, KB)
 인증기호 = E(타임스탬프, KAB)
 밥은 “밥으로의 티켓”을 복호화하여 KAB를 얻고, 이를 사용하여 타
임스탬프를 확인
 대화에 대한 기밀성 및 무결성을 위해 KAB사용
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
26
커베로스
 장점
 암호화를 통한 데이터의 기밀성, 무결성 보장
 단점
 모든 당사자와 서비스의 암호화 키를 키 분배 센터에서 가지고
있기 때문에 키 분배 센터에 오류가 발생하면 전체 서비스 사용
불가
 사용자의 비밀키가 사용자의 워크스테이션에 임시로 저장되기
때문에 침입자에 의하여 유출 가능
 패스워드 추측 공격에 취약
 사용자가 패스워드를 바꾸면 비밀키도 변경해야 하는 번거로움
27
Copyright © 2008 Do.KH :: 도경화 :: [email protected]