1. 사용자 인증 (User Authentication) 또는 개체 인증 (Entity Authentication)
ㅇ 거래 당사자간에 상대의 신분을 검증하는 것 (identity validation)
- 하나의 세션 동안에 거래 당사자 간에, (사람,프로세스,클라이언트,서버,장비 등)
- 상대의 신원주장에 대해, (identity claim)
- 그 유효성을 성립시키는 것
ㅇ 물론, 장비별로도 가능하지만 주로, 사용자(개인신분)별로 식별하며 인증
2. 사용자 인증의 요소/구분/범주
ㅇ 사용자 신분확인 대상별 구분
- ① 알고 있는 것 (패스워드 등 지식 기반)
. 비밀문자를 이용한 소프트웨어적인 방법 등
- ② 가지고 있는 것 (여권,신분증,신용카드 등 소유 기반) ☞ 토큰 참조
. 신원 증명 물건을 소지하는 방법 등
- ③ 물리적/태생적 특성/행동양식 (지문,필체 등 생체/행동 기반)
. 지문이나 망막 등 개인 생체 속성을 이용한 하드웨어적인 방법 등
- ④ 위치하는 곳 (장소 기반)
. 현재 접속을 시도하는 위치의 적절성
ㅇ 사용자 인증 메커니즘 구분
- 기본 인증 : ID/Password (ID : 공개, Password : 비밀로 간직)
. 가장 오래되고 기본적인 패스워드 기반의 인증 방식
. Password (패스워드) : 신원 주장자가 비밀스럽게 알고있는 것, 접속시(로그인시) 사용
- 토큰 인증 : 스마트카드, 생체인식(지문인식, 음성, 홍채 등)
- 강한 인증 : PKI(공개키기반구조) 기반의 전자서명
3. 사용자 인증을 위한 주요 방식들
ㅇ One-factor 인증/확인 (단일 요소 인증) : 사용자 ID/Password 조합 방식
* 가장 오래된 패스워드 기반의 인증 방식
. (ID : 공개, Password : 비밀로 간직)
- 고정 Password 방식 : 엑세스시 마다 반복 사용 (암호 변경 불요)
. 패스워드 평문 저장 방식 (도청,훔치기,추측 등에 취약)
. 패스워드 해쉬 저장 방식 (사전공격에 취약)
. 솔팅 방식 (패스워드에 솔트라는 랜덤 문자열을 이어붙임)
- 일회용 Password 방식, One Time Password(OTP) 방식 : 엑세스시 마다 다른 암호가 적용됨
ㅇ Two-factor 인증/확인 (이중 요소 인증, 2단계 인증, 2FA)
- 2가지 확인 기술을 조합 사용
. `카드번호 및 비밀번호`
.. 例) 쉽게, `소지하는 것(카드번호)`과 `알고있는 것(비밀번호)`을 분리하는 것
. `디지털서명 및 비밀`
.. 例) (인증서 : 개인 식별용) + (보안 카드 / USB / OTP 토큰 : 개인 비밀품)
. `ID/Password 및 임시 비표`
.. 例) 보통, One Time Password 방식에서 이를 기반하여 구현되고 있음
ㅇ 공유 비밀 키 (Shared Secret Key) 방식
- 양측 간에 공유되고 있는 비밀 키에 의함
ㅇ 시도 응답 인증 (Challenge-Response) 방식
- 검증자(verifier)가, 매회 다른 질문(Challenge,Nounce : 난수,타임스탬프 등)을 보내며,
- 주장자(claimant)는, 그 값에 함수를 적용하여 나온 응답으로 비밀을 안다는 것을 증명하는 방식
ㅇ 생물학적 방법(지문인식,홍체인식) 등
※ 한편, Kerberos, SSO(Single Sign On) 등의 방식은 한 번의 인증절차로 여러
전자상거래를 함께 이용할 수 있도록하는 기술을 말함