1. CRL의 종류
1.1 완전 CRL
폐지된 모든 인증서를 하나의 목록에 유지
목록이 커지는 단점이 발생한다.
분배점으로 해결하지만 CRL 분배점과 발급점이 같아야한다.
1.2 Redirect CRL
위에서 분배점 고정이 일어나므로 크기와 위치가 동적으로 참조되게 함
★1.3 Delta CRL
새롭게 폐지된 CRL만을 기록
1.4 Indirect CRL
여러 인증기관의 CRL을 하나로 결합 사용
2. OCSP
Online Certificate Status Protocol
다운받아 폐지목록을 확인하기에는 오래 걸리므로 온라인상으로 확인
3. 개인 키 관리
안전한 하드웨어 보안모듈에 저장되어야 한다.
HSM - 암호키를 생성, 저장 및 보호하는 하드웨어 모듈
3.1 HSM의 특성
간섭 - 증거 : 공격이 있을 때 시각적 변화를 제공
간섭 - 저항 : 물리적 도구로 접근하려 할 때 더 강하게 보안
간섭 - 반응 : 잘못 접근 시 포맷
4. 암호모듈 보안평가 표준(FIPS)
LEVEL으로 분류됨, 4 단계가 제일 높음
4.1 FIPS 140 -1
LEVEL 1 : 최소한의 보안
LEVEL 2 : 물리적 보안을 추가
LEVEL 3 : 보안 프로그램에 접근방지, 보안 알고리즘 접근 방지
LEVEL 4 : 보안 모듈의 외피까지 보안 제공
4.2 FIPS 140 -2
LEVEL 1
LEVEL 2 : 역할기반인증, 물리적 보안
LEVEL 3 : 부당 변경 방지 기능 강화
5. 네트워크 계층 보안
5.1 개인 무선 네트워크( WPAN )
wireless personal area network
블루투스가 대표적 ( IEEE 802.15 )
일반적 무선랜(WIFI)는 IEEE 802.11
- 통신방식
I ) AD HOC
1:1 통신, 직접 통신
II ) Infrastructure
AP를 통해 간접 통신
- 무선랜의 단점
보안에 취약, 거리에 제한
5.2 네트워크 헤더 구조
IPv4 의 헤더는 총 20BYTE로 구성되어있다.
I ) Version - 4BIT
IP 프로토콜의 버전
IPv4 : 0100
IPv6 : 010
II ) IHL - 4BIT
IP HEADER LENGTH
4바이트 단위로 표현
( 즉, 5로 표현된다면 4 * 5 = 20 이므로 헤더의 길이는 총 20
6으로 표현된다면 4 * 6 = 24 이므로 헤더의 길이는 총 24 )
III ) Service TYPE - 8BIT
패킷이 라우터에 의해 어떻게 처리되어야할지를 결정
우선순위 (3BIT) + 서비스유형 (4BIT) + 빈 공간 (1BIT)
- 서비스 유형
Delay(지연)
0 : 보통, 1 : 높은 지연
Throughput(처리율)
0 : 보통, 1 : 높은 처리율
Reliability(신뢰성)
0 : 보통, 1: 높은 신뢰성
Minimum Cost(최소비용)
IV ) Total Length - 16BIT
전체 패킷길이를 바이트 단위로 표시함
V ) Fragmentation
데이터그램의 크기조절 기능
- Identification - 16BIT
재조립을 위한 식별값
- FLAG - 3BIT
1 : 항상 0
2 : Do not Fragment (0일시 단편화 가능, 1일시 불가)
3 : More Fragment(0일시 단편화의 끝, 1일시 더 존재)
- OFFSET FIELD - 3BIT
현재 단편화의 상대적 위치 ( 8바이트 단위 )
VI) Time - To - Live - 8BIT
라우터 경우시 하나씩 감소
VII) Protocol
IP 계층의 서비스를 사용하는 상위 계층의 프로토콜
VIII) Checksum - 16BIT
패킷 전달 중 달생하는 오류 검출을 위하여 사용
- 생성
1. 헤더를 16비트 단위로 나눔
2. 모든 조각을 합한 후 보수를 구함
- 검증
1. 헤더를 16비트 단위로 나눔
2. 모든 조각을 더하고 보수를 취하면 0이되어야함
IX) Source Address, Destination Address
-- 불변필드
버전, 헤더의 길이(전체길이), 식별자, 프로토콜, 발신지 주소, 목적지 주소