SOHO(Small Office Home Office)나 외출지에서의 인트라넷 접속은 아날로그 전화망이나 ISDN, 휴대 전화, PHS 등의 공중망을 이용한다. 이 경우 안전성을 확보하기 위해서는 허가된 사람만 인트라넷에 접속할 수 있는 「인증」구조가 중요한 요소가 된다.

ID와 패스워드에 의한 인증은 PPP가 실행

대표적인 인증 방법에는 ID와 패스워드에 의한 것이 있다. PPP의 옵션 기능인 PAP (Password Authentication Protocol), 또는 CHAP(Challenge Handshake Authentication Protocol)로 실현할 수 있다. PAP와 CHAP의 차이는 CHAP에서는 패스워드를 암호화하여 송신하는 것에 반하여 PAP에서는 보통 문장 그대로 보낸다는 점이다.

PPP(Point-to-Point Protocol)는 SOHO측의 PC와 AP(Access Point)에 설치하는 액세스 서버에 장치한다. SOHO측의 PC는 먼저 AP에 다이얼업으로 접속했을 때 ID와 패스워드를 통지한다. 액세스 서버는 사용자 관리 테이블에 사전 등록된 ID와 패스워드를 비교하여 양자가 일치하면 접속을 허가하고 일치하지 않으면 회선은 중단된다.

이같은 ID와 패스워드를 이용하는 방법에는 약점이 있다. 즉, ID와 패스워드가 누출되면 부정 접속이 쉽게 이루어진다. 그래서 1회의 접근마다 다른 패스워드를 생성ㆍ이용할 수 있도록 하는「원타임 패스워드」방법이 실용화되어 있다.

ISDN의 발신자 번호 통지로 사용자를 식별

인증에 전화번호를 사용할 수도 있다. 구체적으로 말하면 ISDN의 기본 기능인「발신자 번호 통지」를 이용하는 것이다. 이 기능은 착신자에 대하여 발신자의 ISDN전화번호를 호출할 때 통지하는 것이다. 예를 들면 인트라넷으로의 접속을 허가하는 SOHO의 ISDN전화번호를 액세스 서버에 등록해 둔다. 등록된 것 외의 ISDN전화번호로 호출이 된 경우는 착신하지 않도록 한다.

이 인증 방법은 PHS나 디지털 휴대 전화에서의 접속으로도 이용할 수 있다. 다만 아날로그 전화 망으로는 불가능하다. 또한 사전에 발신측의 전화번호를 알아두어야 하기 때문에 출장지에서 접속하는 경우도 사용할 수 없다.

발신자 번호에 의한 인증 방법을 응용하면 발신자에게 전혀 통신료를 부담시키지 않는 무과금(無課金) 콜백도 가능하다.

콜백 자체는 발신측에 약간의 요금 부담을 하게 하는 것이지만 발신자 번호를 사용하지 않고도 실현할 수 있다. 예를 들면 액세스 서버에 ID마다의 전화번호를 등록해두는 방법이다. 접속시에 ID와 패스워드에 의한 인증을 실시한 상태에서 일단 회선을 중단하고 등록번호로 콜백한다. 이외에 PPP의 옵션 기능을 이용하여 전화번호를 통지하고 콜백을 하는 방법도 있다.

복수 AP를 인증서버에서 총괄

발신측은 항상 같은 ID와 패스워드를 사용하고 싶을 것이다. 그러나 액세스 서버 자체에 ID나 패스워드를 설정하면 설치한 모든 액세스 서버에 같은 설정을 하여야 한다. 따라서 설정의 수고나 변경시의 유지보수(maintenance), 등록 사용자 수의 제한 등 다양한 문제가 발생한다. 이 문제는 인증 서버를 도입하여 ID 등을 집중 관리하는 것으로 해결할 수 있다(그림 참조).

ID나 패스워드, 콜백용의 전화번호 등의 조건은 인증 서버에 등록한다. 액세스 서버는 자신이 인증하지 않고 인증 서버에 ID 등을 보내어 인증 서버가 접속의 가부를 결정한다. 따라서 어느 액세스 서버에 접속해도 같은 ID나 패스워드를 이용할 수 있다. 패스워드 등의 조건 변경도 인증 서버에서 일괄하여 행할 수 있다.

인증 서버를 사용하면 ID와 패스워드의 관리 뿐만 아니라 과금에 필요한 접속 정보를 수집하거나 사용자마다 접속할 수 있는 정보를 제한하는 등의 기능을 추가할 수 있다. 단, 이들 추가 기능은 각 헤더 고유의 기능으로 제공되는 경우가 많기 때문에 제품간 상호 접속성에 주의가 필요하다.

인증 서버와 액세스 서버 사이에서 정보를 주고 받는 프로토콜은 RADIUS와 TACACS (TACACS+)가 유명하며, 대부분의 제품이 양쪽을 지원하고 있다.

간단한 용어해설

☞ PPP(point-to-point protocol)

원격 액세스용 망 프로토콜. IP뿐만이 아니라 IPX나 AppleTalk 등 임의의 망 프로토콜을 중계할 수 있다. PPP는 Windows95에서는 OS자신의 표준 기능이지만 Windows3.1에는 장치되어 있지 않다. 때문에 Windows3.1 PC에서 PAP나 CHAP를 이용하기 위해서는 별도의 PPP소프트웨어가 필요하다.

☞ PAP(password authentication protocol)

PPP 접속시에 사용자ID와 패스워드로 인증하는 구조로서 RFC1334에서 규정. 단말형 다이얼업 IP 접속시에는 인터넷 접속 사업자(프로바이더)의 액세스 서버가 PAP를 사용하여 사용자에게 인증을 요구한다.

☞ CHAP(challenge handshake authentication protocol)

PPP의 인증 프로토콜로서 RFC1994에서 규정. PAP과 달리 패스워드를 암호화하여 네트워크상에 송신하기 때문에 안전성이 높다.

☞ 원타임 패스워드(onetime password)

패스워드의 생성 방법은 여러가지가 있지만 시각(時刻)을 사용하는 경우가 있다. 구체적으로는 패스워드를 크레디트 카드같은 것에 몇자리의 숫자를 넣으면 그 때의 시각을 기초로 패스워드를 생성한다. 액세스 서버측에도 같은 방법으로 패스워드를 동적으로 생성하는 spec을 만들어두고 사용자 인증시에 이 2개의 패스워드를 조회한다. 인증 종료후는 이 패스워드를 파기함으로서 노출된 패스워드의 부정 사용을 방지한다.

☞ 콜백

전화를 다시 거는 것. ISDN에서는 호출할 때 전화번호 정보를 송신하고 있으며, 일반적으로 ISDN대응의 전화기는 이 전화번호 정보를 액정 디스플레이에 표시할 수 있는 기능이 있다. 결국 ISDN전화기간의 통화에서는 발신측이 몇번의 콜로 전화를 끊어도 착신측은 발신측의 전화번호를 알 수 있다. 이 전화번호로 전화를 다시 하면 결국 발신측에는 통신료를 전혀 부담시키지 않는다. 최근에는 이같은 "무과금" 콜백이 가능한 터미널 어댑터도 증가하고 있고 데이터 통신에도 응용할 수 있다.

☞ RADIUS(remote authentication dial in user service)

접근 서버와 인증 서버 간의 프로토콜로서 RFC2138에서 규정. RADIUS서버는 사용자 정보의 테이블을 관리하고 액세스 서버에서 송신된 사용자ID를 체크한 후 해쉬함수의 MD5를 사용한 챌린지 응답형식으로 액세스 서버와 통신하고 패스워드의 인증을 한다. 그렇기 때문에 액세스 서버와 RADIUS서버 간의 통신에서는 패스워드가 평문으로 이동할 수 없다. 인증 후는 사용자의 PPP접속용 IP어드레스 등을 액세스 서버에 반환한다. PPP (PAP/CHAP)접속이나 UNIX로그인 등을 지원한다.

☞ TACACS(terminal access controller access control system)

접속 서버용의 인증 프로토콜로서 RFC1492에서 규정한다.