개발스토리

Role-Based Access Control(RBAC) ■ 각 사용자 대신에 역할별로 접근 권한을 할당 ■ 상업적으로 회사, 기관, 조직에서 많이 쓰임 ■ 예를 들어, 회사에 팀장과 팀원마다 역할이 다르면 각각의 사용자 별로 권한을 주는 것이 아니라 팀장, 팀원 등에 역할에 맞게 접근 권한을 할당해 주는 것이다. -> 메모리 낭비가 줄어든다. ■ 각각의 사용자는 권한에 할당되는 것이 아니라 role(역할이나 직급)에 할당되게 된다. ■ 이점 - 예를들어, 어떤 사용자는 팀장이자 팀원일 수도 있다. 두 개의 역할을 가질 수도 있다. 이 상황에 따른 권한을 할당 받는 것이 쉽다. 또한, 팀장 역할을 그만두게 될 시에 전체 구조를 바꾸는 것이 아니라 연결만 끊어주면 돼서 간단하다. -> 관계에 따른 연결 해..

Discretionary access control (DAC) ■ 임의 접근 제어 ■ 요청자의 신원에 따라 무엇을 할 수 있는 지 정의 ■ Window, unix 등 컴퓨터 시스템 널리 사용 ■ Access Matrix 사용 - 주체와 객체, 권한을 행렬로 표현 - 단점 : 주체와 객체가 많아질수록, 메모리 낭비가 심해질 수 있다. ■ 단순하고 직관적임 Access Matrix ■ 행 : 자원 접근 주체, subject ■ 열 : subject가 접근하는 대상 자원, object ■ Entry : 허용되는 접근, access right 방법1. ACL - Access Control Lists ■ Access matrix를 열로 분리 ■ 객체에 대한 권한을 가진 주체 파악에 유리 ■ linked list ..

Access Control(접근 제어) ■ 보안 정책에 따라 시스템 자원 사용을 규제하고, 인가된 존재(사용자, 프로그램, 다른 시스템)에게 사용을 허가 즉, 허가되지 않은 사용자의 자원 접근을 막고 정당한 사용자라도 허가되지 않은 방법으로 자원 사용을 막는다. 정당한 사용자가 허가된 방식으로만 자원에 접근하도록 한다. Access control components ■ Authentication function - 사용자가 시스템에 접근할 수 있는 지 결정 ■ Access control function - 사용자의 요청이 허용되는지 결정 ■ Security admin - 사용자의 요청이 자원에 어떻게 접근하는지를 명시한 권한 DB를 관리 ■ Audit - 사용자가 시스템 자원에 접근하는 것을 log로 기..

HTTP and HTTPS - HTTP, HTTPS를 많이 접할텐데 S의 차이가 바로 SSL/TLS의 지원 유무 차이이다. SSL / TLS ● SSL과 TLS는 사실 같은 것이다. ● 웹 기반 전자 상거래를 위해 TCP Layer에서 메시지의 무결성과 비밀성을 제공한다. ● 웹-서버와 웹-브라우저간의 보안이다. ● Handshake(암호 spec, session 관리), record(암호, 무결성 등 보안 서비스) 프로토콜로 나뉜다. ● 인증 수행 -> 세션 키 분배 -> 암호화 메시지 송수신 순서이다. ● 지원하는 보안 서비스 : server/client 인증, confidentiality, integrity ● 부인 방지 기능은 제공이 안된다 -> 전자서명과 같이 사용해야 한다. ● 단순히 웹-서버..