정보보안기사 필기 - 7(난수와 접근 통제)

- 세션 키와 마스터 키

세션키 : 통신때마다 한번만 사용되는 키를 세션키라고 합니다.

마스터키 : 세션키와 달리 반복적으로 사용되는 키를 마스터키라고합니다.

 

- CEK와 KEK

CEK : contents encrypting key의 약어로 사용자가 원하는 정보를 암호화할때 사용되는 키를 말합니다.

KEK : Key encrypting key의 약어로 키를 암호화하는 키를 말합니다.

 

- 솔트

솔트는 의사난수 생성기로 만들어지는 랜덤한 수로 키를 만들때에 패스워드와 함께 일방향 해시함수에 입력되어 하나의 패스워드에 솔트값에따라 여러가지 해시값을 만들어 사전공격 또는 레이번 테이블을 이용한 공격을 막아냅니다.

 

- 난수의 성질

• 무작위성 : 통계적인 편중 없이 수열이 무작위로 되어있는 성질
• 예측 불가능성 : 과거의 수열로부터 당므 수를 예측 할 수 없는 성질
• 재현 불가능성 : 같은 수열을 재현 할 수 없는 성질

- 접근 통제

접근 통제는 비인가된 사용자의 정보 자원 사용의 방지뿐만 아니라 인가된 사용자가 비인가된 방식으로 정보 자산을 접근하는 행위도 방지할 수 있어야합니다.

 

<주요 용어>

• 주체 : 데이터에 대한 접근을 요청하는 개체입니다.
• 객체 : 접근 대상이 될 자료를 말합니다.
• 접근 : 주체와 객체 사이의 정보 흐름입니다.

 

<접근 통제 절차>

1. 식별 : 본인이 누구라는 것을 시스템에 밝히는 것
2. 인증 : 누구라는 것으 검증하기위한 사용 증명 활동
3. 인가 : 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정

<접근 통제 요구사항>

입력의 신뢰성 : 입력되는 사용자 정보를 신뢰할 수 있어야합니다.

최소 권한 부여 : 필요한 최소한의 자원과 자원에대한 최소한의 접근 권한을 부여하도록 구현되어야합니다.

직무 분리 : 시스템 기능의 단계를 다수의 개인들에게 나누어야합니다.