인증 및 스마트 카드 개요
관리자는 해커,스파이,테러리스트,도둑 및 범죄자가 시작한 공격으로부터 네트워크를 보호해야합니다. 보안에는 수많은 기술,프로토콜,표준,정책,암호 및 비밀 키가 포함됩니다. 이러한 모든 메커니즘은 일반적으로 다음에 중점을 둡니다:
-
인증
-
액세스 제어
-
데이터 보호
-
감사/책임
인증은 네트워크 로그온이 허용되기 전에 엔터티가 자신을 식별하는 프로세스입니다. 사용자가 인증된 후 액세스 제어는 액세스할 수 있는 리소스,리소스에 대해 수행할 수 있는 작업 및 이러한 작업을 감사할지 여부를 정의합니다. 액세스 제어는 리소스 및 개체에 대한 권한을 지정하고 사용자에게 권한을 할당하여 구현됩니다. 데이터 보호에는 두 가지 보안 개념,즉 데이터 기밀성과 데이터 무결성이 포함됩니다. 데이터 기밀성은 암호화 작업 응용 프로그램을 통해 네트워크를 통해 전송되는 데이터 보안을 다룹니다. 암호화 알고리즘과 개인 및 공개 키의 활용은 데이터 기밀성을 제공합니다. 메시지를 가로채는 권한이없는 당사자는 메시지의 내용을 해석 할 수 없습니다. 데이터 무결성은 메시지 및 파일의 디지털 서명을 통해 구현됩니다. 디지털 서명을 사용하여 메시지가 변조되었는지 여부를 확인할 수 있습니다. 이 간단한 설명에서 보안에 대해 논의 할 때 많은 개념과 주체가 포함되어 있음을 알 수 있습니다. 따라서 스마트 카드는 악의적인 공격으로부터 조직의 네트워크 및 리소스를 보호하는 프로세스에 적합합니다. 대답은 인증입니다.
앞에서 언급했듯이 인증은 네트워크 리소스에 액세스하려고 시도할 수 있도록 사용자 또는 다른 엔터티가 자신을 식별하는 프로세스입니다. 인증은 사용자가 네트워크 리소스에 액세스할 수 있도록 하는 프로세스의 초기 단계입니다. 활성 디렉터리에서 사용자 인증은 사용자 로그온 이름,암호 및 사용자의 보안 식별자와 같은 사용자 계정 자격 증명을 제공하는 사용자가 수행합니다.
인증:
-
대화형 로그온:사용자가 암호 또는 스마트 카드를 사용하여 시스템에 로그온할 때 대화형 로그온이 발생합니다.
-
네트워크 인증:네트워크 인증은 사용자가 이 암호 또는 스마트 카드의 개인 식별 번호(핀)를 다시 입력할 필요 없이 사용자가 리소스에 액세스할 수 있는 경우 발생합니다.
사용자 또는 엔터티는 공유 암호를 사용하여 신원을 증명합니다. 공유 암호는 아래에 나열된 구성 요소 중 하나일 수 있으며 인증이 성공하려면 인증을 요청하는 사용자와 인증자 간의 암호여야 합니다:
-
비밀번호
-
암호화 키
-
비밀 핀
인증 프로토콜은 사용자와 인증자 간의 비밀을 공유하는 데 사용됩니다. 그런 다음 인증자는 액세스를 허용하거나 요청자 액세스를 거부합니다. 인증 프로토콜은 다음과 같습니다:
-
네트워크 인증에 사용되는 커베로스 버전 5. 버전 5 는 대화형 로그온 인증 프로세스와 네트워크 인증에 사용됩니다.
-
보안 소켓 계층/전송 계층 보안은 네트워크 인증에 사용되며 공개 키 인증서를 기반으로 합니다.
-
네트워크 인증에 사용되지만 주로 마이크로소프트 윈도우즈 4 호환성을 위해 사용됩니다.
-
네트워크 인증 및 전화 접속 인증에 사용됩니다.
-
네트워크 인증 및 전화 접속 인증에 사용되는 암호 인증 프로토콜.
-
확장 가능한 인증 프로토콜-무선 연결 인증에 사용되는 전송 수준 보안입니다.
-
네트워크 인증 및 전화 접속 인증에 사용되며 스마트 카드 지원(하드웨어 사용 인증)을 포함합니다.
하드웨어 사용 인증은 암호화 키가 스마트 카드,컴퓨터 카드 또는 기타 암호화 토큰 메커니즘에 저장되어 있고 사용자가 스마트 카드와 인증을 통과하고 시스템에 액세스하기 위한 핀 또는 암호를 보유해야 할 때 발생합니다. 이 시스템에 액세스 하려고 하는 권한이 없는 개인 스마트 카드 및 핀 또는 암호를 필요로 하기 때문에 추가 수준의 보안을 제공 합니다.
스마트 카드 인증은 스마트 카드 사용을 기반으로 하며 윈도우 2000 및 윈도우 서버 2003 에서 지원됩니다. 스마트 카드는 응용 프로그램 및 보안 프로토콜에 대한 추가 보호를 제공하는 데 사용할 수있는 보안 장치 또는 신용 카드 크기의 하드웨어 토큰입니다.
스마트 카드는 다음과 같은 기능을 제공합니다:
-
안전한 사용자 인증 방법
-
대화형 로그온
-
원격 액세스 로그온
-
관리자 로그온
-
보안 코드 서명
-
보안 전자 메일
네트워크 환경에서는 일반적으로 다음과 같은 용도로 사용됩니다
-
컴퓨터에 로그온
-
이메일 암호화
-
디스크 파일 암호화
앞서 언급 한 바와 같이,스마트 카드 인증은 사용자가 스마트 카드를 소유해야하고 사용자가 개인 식별 번호(핀)를 알아야하기 때문에 매우 강력한 인증을 제공합니다. 실패한 로그온 시도가 연속적으로 수행된 후 시스템에서 스마트 카드를 차단할 수 있습니다. 이러한 기능을 사용하려면 스마트 카드 인증이 컴퓨터에 연결된 스마트 카드 판독기를 사용해야 합니다. 윈도우 서버 2003 와 플러그 앤 플레이 리더를 사용하는 것이 좋습니다. 스마트 카드에는 사용자의 로그온 정보,개인 키,디지털 인증서 및 기타 개인 정보를 보유하는 마이크로프로세서와 영구 플래시 메모리가 포함되어 있습니다. 사용자가 스마트 카드를 스마트 카드 판독기에 삽입하면 시스템에 로그온할 핀을 제공해야 합니다. 스마트 카드는 변조 방지 인증을 제공하도록 설계되었습니다. 스마트 카드와 소프트웨어 개인 키의 차이점은 스마트 카드를 한 컴퓨터에서 컴퓨터로 이동할 수 있다는 것입니다.
스마트 카드 판독기는 일반적으로 컴퓨터의 직렬 포트에 연결됩니다. 스마트 카드 판독기는 모든 컴퓨터에서 지원됩니다. 스마트 카드는 다양한 형태로 제공됩니다. 대부분 신용 카드에 유사 하지만 있다. 고급 스마트 카드는 자기학을 활용합니다. 이것이 의미하는 것은 그들이 외부 연락처를 가질 필요가 없다는 것입니다. 더 큰 데이터 요금제로 가정용 인터넷을 해지하고 핸드폰 핫스팟기능을 이용하여 인터넷을 사용할 수 있습니다 여기에서 암호화 서비스 제공자가 액세스합니다. 동글 형태는 특별한 독자가 필요하지 않습니다. 이 양식의 몰락은 기존 스마트 카드 양식보다 약 4 배 더 비싸다는 것입니다. 스마트 카드 구현의 설치는 복잡하고 비용이 많이 들 수 있지만,또 다른 어려운 프로세스는 사용할 공급 업체를 결정하는 것입니다. 젬플러스와 슐룸버거의 스마트 카드 제품 드라이버는 실제로 운영 체제에 내장되어 있습니다.
스마트 카드 배포 고려 사항
스마트 카드를 통한 인증은 다음과 같이 지원됩니다. 스마트 카드 인증을 구현하려면 먼저 인증이 있어야 합니다. 스마트 카드를 기반으로 하는 인증에는 엔터프라이즈 인증 기관을 사용하는 것이 좋습니다. 독립 실행형 캐스 및 외부 캘리포니아 엔터티는 스마트 카드 인증과 함께 사용하지 않는 것이 좋습니다.
스마트 카드 기술을 제공하기 위해 선택할 수 있는 공급업체가 상당히 많지만,플러그 앤 플레이 스마트 카드 판독기를 지원하지 않습니다. 공급 업체가 비 플러그 앤 플레이 스마트 카드 판독기를 제공하는 경우에도 개인용 컴퓨터/스마트 카드 및 판독기 만 사용하는 것이 좋습니다. 각 컴퓨터에는 스마트 카드 판독기가 필요합니다.
비용은 항상 중요한 요소이므로 스마트 카드 구현 관리 비용에 영향을 주는 요소로 아래에 나열된 요소를 고려할 수 있습니다:
-
스마트 카드 프로그램을 사용할 사용자 수와 이러한 특정 사용자의 위치입니다.
-
사용자가 스마트 카드를 발급받을 수있는 방식. 사용자 신원 확인을 위한 요구 사항도 포함되어야 합니다.
-
사용자가 분실 또는 그들에 게 발급 된 스마트 카드를 손상 하는 경우 사용 하는 절차.
스마트 카드 인증 솔루션을 계획할 때는 사용할 인증 및 로그온 방법을 정의해야 합니다. 여기에는 다음이 포함됩니다:
-
구현 될 인증 전략을 식별.
-
의존성.
-
모든 스마트 카드 배포 문제.
앞서 언급한 바와 같이,스마트 카드는 스마트 카드의 구현에 따라 달라집니다. 스마트 카드에는 스마트 카드를 사용하여 인증할 수 있는 사용자를 관리하기 위한 인증서가 필요합니다. 인증서는 사용자,응용 프로그램,컴퓨터 및 서비스의 신원을 확인하는 데 사용되며 웹 및 응용 프로그램 코드 인증을 위해 전자 메일을 보호하고 스마트 카드를 사용할 수 있도록 하는 데 사용할 수 있습니다. 인증 기관은 사용자 및 기타 엔터티에 인증서를 발급합니다.
인증서에는 일반적으로 다음 정보가 포함됩니다:
-
인증서의 일련 번호
-
사용자를 식별하는 정보.
-
인증서를 발급한 캘리포니아를 식별하는 정보입니다.
-
사용자의 공개 키
-
인증서의 유효 기간
-
발급 서버의 고유 이름
스마트 카드를 지원 하기 위해 컴퓨터의 기능은 윈도우 컴퓨터의 구현의 매력적인 기능입니다. 스마트 카드를 구현하려면 사용자 환경 내의 서버에 인증서 서비스를 설치하고 서버를 엔터프라이즈로 구성하는 것이 첫 번째 단계 중 하나입니다. 그런 다음 조직 내에서 스마트 카드를 사용할 수 있도록 세 개의 인증서 템플릿을 만들어야 합니다. 인증서 템플릿은 의도된 용도에 따라 발급되는 인증서의 내용과 형식을 지정하는 규칙 및 설정 집합으로 정의할 수 있습니다. 인증서 템플릿을 구성하려면 다음을 수행합니다. 인증서 템플릿은 사용자가 인증서로부터 인증서를 요청할 때 적용됩니다. 활성 디렉터리에 저장된 인증서 템플릿을 사용하여 사용자 및 컴퓨터에 대한 인증서를 만듭니다.
스마트 카드 구현의 경우 다음 세 가지 인증서 템플릿을 만들어야 합니다:
-
등록 에이전트 인증서:이 인증서 템플릿을 사용하면 등록 스테이션으로 사용할 수 있습니다. 등록 스테이션은 스마트 카드 사용자에게 인증서를 만들고 발급합니다.
-
스마트 카드 로그온 인증서:이 인증서 템플릿을 사용하면 사용자가 스마트 카드를 사용하여 인증할 수 있습니다.
-
스마트 카드 사용자 인증서: 이 인증서 템플릿을 사용하면 인증 후 전자 메일을 보호할 수 있습니다.
스마트 카드 구현
조직에서 스마트 카드 솔루션을 구현하는 일반적인 단계는 다음과 같습니다. 실제 단계는 스마트 카드가 사용되는 방식에 따라 결정됩니다:
-
등록 스테이션 구성
-
인증서와 활성 디렉터리에 필요한 인증서 템플릿을 정의합니다.
-
스마트 카드를 발급할 등록 에이전트 정의
-
스마트 카드 준비
-
사용자 용 스마트 카드 인증 발급
-
스마트 카드 인증을 허용하도록 원격 액세스 서버 구성
-
컴퓨터 인증서에 대한 서버 등록
스마트 카드에서 사용하는 인증서 템플릿은 기본적으로 엔터프라이즈에 설치되어 있지 않으므로 인증 기관 콘솔을 사용하여 이러한 인증서 템플릿을 구성해야 합니다. 이 외에도 사용자에게 인증서 템플릿에 대한 올바른 사용 권한을 할당해야 합니다. 인증서 템플릿에 대한 사용 권한을 변경하려면 포리스트 루트 도메인의 도메인 관리자 그룹의 구성원이거나 엔터프라이즈 관리자 그룹의 구성원이어야 합니다.
인증서 템플릿에 대한 사용 권한을 설정하는 방법
-
시작,실행을 클릭하고 인증서를 입력합니다.실행 대화 상자에서 석사. 확인을 클릭합니다.
-
사용 권한을 수정할 인증서를 찾아 마우스 오른쪽 단추로 클릭한 다음 바로 가기 메뉴에서 속성을 클릭합니다.
-
보안 탭을 클릭합니다.
-
특정 인증서 템플릿,읽기 및 등록 권한을 기반으로 하는 인증서를 요청해야 하는 사용자 및 그룹을 할당합니다.
-
확인을 클릭합니다.
윈도우 서버 2003 에 포함된 인증서 서버는 사용자에게 인증서를 배포하는 데 사용할 수 있는 스마트 카드 등록 스테이션을 포함한다. 스마트 카드 등록 스테이션을 사용하여 사용자 대신 스마트 카드 인증서를 요청할 수 있습니다. 이렇게 하면 사용자의 스마트 카드에 미리 설치할 수 있습니다. 사용자가 인증서를 요청하려면 먼저 등록 스테이션을 준비하여 인증서를 만들어야 합니다. 스마트 카드 인증서를 발급할 수 있도록 준비하는 첫 번째 단계는 등록 에이전트 인증서를 만드는 것입니다.
등록 에이전트 인증서를 만드는 방법
-
시작,관리 도구,인증 기관을 차례로 클릭합니다.
-
콘솔 트리에서 인증 기관,<서버 이름>및 인증서 템플릿을 확장합니다.
-
새로 만들기를 클릭한 다음 작업 메뉴에서 발급할 인증서를 클릭합니다.
-
등록 에이전트 템플릿을 선택합니다. 확인을 클릭합니다.
-
동작 메뉴에서 새로 만들기를 클릭한 다음 동작 메뉴에서 발급할 인증서를 클릭합니다
-
사용자 인증용 인증서를 만들려면 스마트 카드 로그온 인증서 템플릿을 선택합니다. 확인을 클릭합니다.
-
사용자 인증 및 사용자 정보 암호화를 위한 인증서를 만들려면 스마트 카드 사용자 인증서 템플릿을 선택합니다. 확인을 클릭합니다.
-
-
이제 콘솔 창에 인증서 템플릿이 표시됩니다
-
인증 기관 콘솔을 닫습니다.
스마트 카드 인증서 등록 스테이션을 만드는 방법
-
컴퓨터에 로그온합니다
-
시작,실행을 클릭하고 실행 대화 상자에 다음을 입력합니다. 확인을 클릭합니다
-
파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.
-
인증서 스냅인을 두 번 클릭합니다. 확인을 클릭합니다.
-
닫기를 클릭합니다.
-
인증서 스냅인에서 인증서,현재 사용자 및 개인을 확장합니다.
-
모든 작업을 선택한 다음 작업 메뉴에서 새 인증서를 요청합니다.
-
인증서 요청 마법사가 시작되면 다음을 클릭합니다.
-
인증서 유형 페이지가 열리면 등록 에이전트를 클릭하고 다음을 클릭합니다.
-
인증서 이름 및 설명 페이지에서 인증서에 대한 설명을 입력합니다. 다음을 클릭합니다.
-
요약 페이지가 열리면 마침을 클릭합니다.
스마트 카드를 사용하도록 사용자 설정에는 모든 사용자 워크스테이션에 대한 스마트 카드 판독기 구입 및 설치가 포함됩니다. 플러그 앤 플레이 호환되는 스마트 카드 판독기를 설치하는 것은 일반적으로 복잡하지 않은 하드웨어 설치입니다.
이 지원되는 스마트 카드 판독기는 다음과 같습니다.
-
American Express, GCR435 – USB port
-
Bull, SmarTLP3 – serial port
-
Compaq, Serial reader – serial port
-
Gemplus, GCR410P – serial port
-
Gemplus, GPR400 – PCMCIA port
-
Gemplus, GemPC430 – USB port
-
Hewlett-Packard, ProtectTools, – serial port
-
Litronic, 220P, – serial port
-
Schlumberger, Reflex 20 – PCMCIA port
-
Schlumberger, Reflex 72 – serial port
-
Schlumberger, Reflex Lite – serial port
-
SCM Microsystems, SCR111 – serial port
-
SCM Microsystems, SCR120 – PCMCIA port
-
SCM Microsystems, SCR200 – serial port
-
SCM Microsystems, SCR300 – USB port
-
Systemneeds, External – serial port
-
Omnikey AG, 2010 – serial port
-
Omnikey AG, 2020 – USB port
-
Omnikey AG, 4000 – PCMCIA port
Some smart card 다른 사람은 이지 않는 그러나,독자 운전사는 윈도우 서버 2003 년에 미리 설치된다. 스마트 카드 판독기를 직렬 포트에 연결하여 컴퓨터에 스마트 카드 판독기를 설치할 수 있습니다. 노트북의 경우 스마트 카드 판독기를 삽입합니다.
스마트 카드 판독기를 설치한 후에는 다음 작업에 등록 스테이션을 사용해야 합니다:
-
사용자의 스마트 카드에 대한 스마트 카드 로그온 또는 사용자 인증서를 설치합니다.
-
사용자의 초기 핀을 설정합니다.
스마트 카드 판독기가 설치되면 다음 단계는 사용자에게 스마트 카드 인증서를 발급하는 것입니다. 이 프로세스를 등록 이라고 합니다. 사용자를 등록하고 스마트 카드로 사용자를 발급하기 전에 사용자에게 이러한 점을 교육해야 합니다:
-
사용자는 스마트 카드의 내부 메커니즘을 손상시킬 수 있으므로 스마트 카드를 구부리지 않아야 합니다.
-
사용자는 외부 스마트 카드 칩이 긁히거나 찌그러지지 않도록 보호해야합니다. 이 방법으로 손상된 경우 스마트 카드 판독기가 카드에 저장된 정보를 읽지 못할 수 있습니다.
-
사용자는 서늘하고 건조한 위치에 스마트 카드를 보관하고 신용 카드와 같은 다른 자기 소스로부터 안전해야합니다. 과도한 뜨거운 온도는 스마트 카드가 부서지기 쉽고 부서지기 쉬운 결과를 초래할 수 있습니다.
스마트 카드 사용자를 등록하려면,
-
사용자 계정이 포함된 도메인의 등록 에이전트 인증서 템플릿에 필요한 권한이 있는 사용자 계정을 사용하여 워크스테이션에 액세스합니다.
-
인터넷 익스플로러를 열고http://CA서버 이름을 입력하여 액세스합니다.
-
시작 페이지에서 인증서 요청을 클릭합니다
-
인증서 요청 페이지에서 고급 인증서 요청을 클릭합니다.
-
고급 인증서 요청 페이지에서 다른 사용자 대신 스마트 카드의 인증서 요청 옵션을 선택합니다.
-
스마트 카드 인증서 등록 스테이션 페이지에서 다음 중 하나를 만들려면 선택합니다:
-
스마트 카드 로그온 인증서
-
스마트 카드 사용자 인증서
-
-
인증 기관 목록 상자에서 스마트 카드 인증서를 발급해야 하는 도메인의 이름을 선택합니다.
-
암호화 서비스 공급자 목록 상자에 스마트 카드에 사용할 공급업체의 이름을 입력합니다.
-
관리자 서명 인증서 상자에 인증서 등록 요청에 서명할 등록 에이전트 인증서의 이름을 입력합니다. 다음을 클릭합니다.
-
등록할 사용자 페이지에서 스마트 카드 인증서를 만들 사용자 계정을 찾으려면 사용자 선택을 클릭하고 등록을 클릭합니다.
-
스마트 카드 판독기에 사용자의 스마트 카드를 놓고 확인을 클릭합니다.
-
스마트 카드의 초기 핀 입력을 진행합니다.
-
인증서 보기를 클릭하여 지정한 사용자에게 인증서가 발급되었는지 확인합니다.
원격 액세스 서버는 스마트 카드 로그온을 지원합니다. 이러한 서버에 대해 스마트 카드 로그온을 사용하도록 설정하려면 확장 가능한 인증 프로토콜을 사용하도록 서비스를 구성해야 합니다. 다음 방법으로 스마트 카드 로그온을 지정 해야 합니다.
스마트 카드 로그온에 대 한 원격 액세스 서버를 구성 하려면,
-
관리 도구에서 콘솔을 엽니다.
-
스마트 카드 로그온을 허용해야 하는 원격 액세스 서버의 속성 대화 상자를 엽니다.
-
보안 탭을 클릭합니다.
-
클릭 윈도우 인증를 클릭 하 고를 인증 방법.
-
확장 가능한 인증 프로토콜 옵션을 선택합니다.
-
메서드를 클릭합니다.
-
사용 가능한 목록을 사용하여 스마트 카드 또는 기타 인증서를 찾아 두 번 클릭합니다. 확인을 클릭합니다.
-
다른 인증 옵션의 선택을 취소하십시오. 확인을 클릭합니다.
-
서버의 속성 대화 상자에서 확인을 클릭합니다.
-
콘솔 트리에서 원격 액세스 정책을 찾습니다.
-
전화 접속 권한이 설정된 경우 액세스 허용을 두 번 클릭합니다.
-
속성 대화 상자가 열리면 프로필 편집을 클릭합니다.
-
인증 탭을 클릭합니다.
-
메서드를 클릭합니다.
-
공급자 선택 대화 상자가 열리면 추가를 클릭합니다.
-
추가 대화 상자에서 스마트 카드 또는 기타 인증서 옵션을 선택합니다.
-
확인을 클릭합니다.
-
공급자 선택 대화 상자에서 편집을 클릭합니다.
-
스마트 카드 또는 기타 인증서 속성 대화 상자가 열리면 인증서 발급 대상 상자에서 특정 서버에 발급된 컴퓨터 인증서를 선택합니다.
-
확인을 클릭하고 열려 있는 모든 대화 상자를 닫습니다.
사용자 환경에서 스마트 카드 관리를 단순화하는 데 도움이 되는 그룹 정책에서 특정 정책 설정을 사용하도록 설정할 수 있습니다:
-
계정 잠금 임계값:이 정책의 설정을 사용하여 암호 공격으로부터 스마트 카드 인증 프로세스를 보호할 수 있습니다.
-
스마트 카드 장치 리디렉션 허용 안 함:사용하도록 설정하면 사용자가 스마트 카드를 사용하여 터미널 서비스 서버에 로그온할 수 없습니다.
-
스마트 카드 제거 시:이 설정을 사용하여 사용자가 무인 활성 세션을 실행하지 못하게 할 수 있습니다. 이러한 설정을 사용하여 스마트 카드 판독기에서 스마트 카드를 제거할 때 사용자의 세션이 잠겨 있거나 로그오프되도록 지정할 수 있습니다.
-
대화형 로그온에 필요한 스마트 카드:활성화되면 사용자는 스마트 카드 인증을 사용하여 로컬 컴퓨터에만 로그온할 수 있습니다. 사용자는 사용자 계정을 사용하여 로그온할 사용자 이름 및 암호 자격 증명을 제공할 수 없습니다.