I. 통합 인증 관리 서비스 SSO의 개요
가. SSO (Single Sign On)의 정의.
한 번의 시스템 인증을 통하여 관련 SSO를 지원하는 다수의 정보 시스템에 재 인증 절차 없이 사용할 수 있게 하는 기능.
나. SSO의 특징
| 비즈니스적 |
|
| 기술적 |
|
| 관리적 |
|
II. SSO의 구성도 및 구성요소
가. SSO의 구성도
- 인증절차의 단순화로 한 번의 인증에 의하여 다수의 업무에 접근 가능
나. SSO의 구성요소
| 구성 | 설 명 |
| 사용자 | 개별 ID, Password로 로그인 시도 |
| 인증 Server | ACL(Access Control List)을 통한 통합 인증 서버 |
| SSO Agent | 각 정보시스템에 인증 정보 제공(Token) |
| LDAP | 네트워크 상의 자원을 식별하고, 사용자와 Application 이 자원에 접근할 수 있도록 하는 네트워크 Directory 서비스 |
III. SSO의 요구 기능 및 주요 기술 요소
가. SSO의 요구 기능
| 기능 | 설 명 |
| 생산성 | 운영체계, 네트워크, Database 등 접속 환경에 관계없이 접속 가능해야 함 |
| 보안성 | Logic 정보가 Cache되거나 사용자 PC에 저장되지 않아야 함 |
| 확장성 | App에 관계 없이 Loging이 필요한 곳에 확장 가능해야 함 |
나. SSO의 주요 기술 요소
| 구분 | 요소기술 | 내용 |
| 인증 | PKI | 비대칭키(공개키, 비밀키) 기반의 인증 및 암호화 |
| 생체인식 | 생체 유일한 특징을 추출해 인증 | |
| OTP | 로그인시 세션에서만 사용할 수 있는 1회 패스워드 생성 시스템 | |
| 관리 | LDAP | X.500을 근거로 한 디렉터리 데이터 베이스에 접속하기 위한 통신규약 |
| 쿠키 | 웹서버가 웹브라우저에 보내어 저장했다가 서버의 부가적 요청이 있을 시 서버로 보내주는 문자열 | |
| 기술 | SSL | C/S간의 보안 기능을 수행하는 TCP/IP 상위에서 수행되는 보안 프로토콜 |
| IPSec | IP계층을 기반으로 보안 프로토콜을 제공하는 개방형 프레임 워크 |
IV. SSO의 특성 및 유사 기술과의 비교
가. SSO의 특성
| 구분 | SSO방식 | 응용 프로그램 사용자 인증 방식 |
| 장점 | - 완벽한 보안 제공 - ID/PWD에 대한 암기부담 강조 - ID/PWD 기록에 따른 보안 |
- 구축기간 단기 소요 - 구축 비용이 적게 소요 |
| 단점 | - 구축기간 장기, 구축비용 많이 소요. - SSO서버의 해킹으로 모든 시스템 노출 |
- SSO 방식에 비해 보안 성 취약 |
나. 유사 기술과의 비교(EAM, IAM)
| 구분 | SSO | EAM | IAM |
| 목적 | 단일 로그인, 통합 인증 | SSO + 통합 권한 관리 | EAM + 통합 계정 관리 |
| 기능 | 단일 계정 | 보안정책에 따른 접근 통제 | 프로비져닝을 통한 자동 계정 관리 |
| 기술 | PKI, LDAP | ACL, RBAC | Workflow |
| 장점 | 사용자 편의성 | 보안 성 강화 | 관리 효율성 강화 |
| 단점 | 인증 이외에 보안 취약 | 사용자 관리 어려움 | 시스템 구축 복잡 |
V. 주요 구축 요소 및 모델
가. 인증대행 모델(Delegation)
- 인증방식을 변경하기 어려울 때 많이 사용됨
- 애플리케이션 인증 정보를 에이전트가 관리해 사용자 대신 로그온 해주는 기능
- ID/PASS 의 집중화로 유출 우려
- C/S나 패키지 소프트웨어도 SSO통합가능
나. 인증정보 전달모델(Propagation)
- 통합 인증을 수행하는 곳에서 인증을 받아 대상 애플리케이션에 전달한 Token을 발급
- 웹 환경 에서는 쿠키라는 기술을 이용해 Token을 자동으로 대상 애플리케이션에 전달 가능
다. 구축모델 비교
| 구분 | 인증대행모델 (Delegation) | 인증정보전달모델 (Propagation) |
| 적용대상 | C/S방식, 패키지 소프트웨어, ERP 시스템 | 웹 기반에서 구현되는 대부분의 시스템 |
| 구현방법 | 시스템 접근 시 마다 통합 에이전트가 인증 작업을 대행 | 미리 인증된 인증토큰을 받아서 각 시스템 접근 시 자동으로 전달 |
| 특징 | 인증방식 변경이 어려운 C/S, 패키지 방식에 사용 | 웹의 쿠키 기능 이용하여 인증토큰을 전달. |
VI. SSO의 기대 효과 및 보안강화 방안
가. SSO의 기대효과
| 구 분 | 설 명 |
| 사용자 | - 한 개의 Login ID/Pwd에 의한 편리한 접속이 가능함 - 많은 수의 ID/Pwd 암기로부터 의 해방 |
| 관리자 | - 중앙집중적인 사용자 관리가 가능 - 모든 사용자의 자원접근에 대한 Auditing 기능을 제공함. - 접속 Site에 대한 Login ID/Pwd 관리 기능 - 다양한 인터넷 환경에 대응하는 표준 보안 인프라 체계구축기능 |
나. SSO의 보안강화 방안
- MTM(Mobile Trusted Module): Mobile 플랫폼 형 신뢰 보안모듈
- ESM(Enterprise Security Manager)
- HSM(Hardware Security Module): 보안토큰
VII. SSO의 활용 현황 및 향후 전망
가. SSO활용 현황
- IT자원의 급속한 증가로 사용자의 접근관리에서 권한관리로 발전
- 다양한 접근방식의 개발
- 중소기업 등의 소규모 사업장에 단위 업무로 적절한 활용
나. SSO활용 전망
| 구 분 | 설 명 |
| 인증방식 측면 | - 스마트카드 방식과 생체기반의 통합 방식이 확대될 것임 - EAM과 IAM을 이용한 유무선 통합 인증체계 방향으로 발전할 것임 |
| 활용 측면 | - 관리적 편의성이 아닌 사용자의 시스템 접근 용이성에 대한 고려에서 시스템 연구를 진행 - 다양한 응용시스템의 도입에 따른 User Provisioning 작업에 대한 관리비 상승에 따른 IAM 시장의 활성화. |
[용어/개념] BCP(Business Continuity Planning) - 업무 연속성 계획
[용어/개념] BCP(Business Continuity Planning) - 업무 연속성 계획
업무 연속성 계획 BCP각종 재해, 재난 발생을 대비하여 핵심 업무 기능수행의 연속성을 유지하여 고객 서비스의 지속성 보장(서비스 장애가 일어났을 때 어떻게 서비스 지속성을 보장할 것인지)
infoofit.tistory.com
[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술
[용어/개념] DOI, INDECS - URN 이용한 디지털 위치 추적 기술
DOI(Digital Object Identifier)의 정의- 책이나 잡지등에 매겨진 국제표준도서번호(ISBN)와 같이 모든 디지털 콘텐츠에 부여되는 고유 식별번호 INDECS(INteroperability of Data in E-Commerce System)의 정의- 디지
infoofit.tistory.com