Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet

EAP-TLS(EAP-Transport Layer Security, EAP 전송 계층 보안)는 TLS 프로토콜(RFC 2246)을 기반으로
하는 IEEE 802.1X EAP 인증 알고리즘입니다. TLS는 X.509 디지털 인증서를 기반으로 상호 인증 방
법을 사용합니다. EAP-TLS 메시지 교환은 상호 인증, 암호 세트 협상, 키 교환, 클라이언트 및 인증
서버 간 확인 및 트래픽 암호화에 사용할 수 있는 키 요소를 제공합니다.

아래 목록에서는 EAP-TLS 클라이언트 인증서가 유선 및 무선 연결에 대한 강력한 인증을 제공할 수
있는 주된 원인을 보여줍니다.

• 인증은 주로 사용자에 의한 간섭 없이 자동으로 발생합니다.

• 사용자 비밀번호에 대한 종속성이 없습니다.

• 디지털 인증서가 강력한 인증 보호 기능을 제공합니다.

• 메시지 교환이 공개 키 암호화로 보호됩니다.

• 인증서가 사전 공격(Dictionary Attack)에 취약하지 않습니다.

• 인증 과정을 통해 데이터 암호화 및 서명의 키가 상호 결정됩니다.

EAP-TLS에는 2가지 옵션이 포함되어 있습니다.

• 서버 인증서 확인 - 서버 인증서 검증을 활성화합니다.

• 빠른 재연결 활성화 - TLS 세션 재개를 활성화하여 클라이언트 및 서버에 TLS 세션 데이터가 보

존되어 있는 한 축약된 TSL 핸드셰이크를 사용하여 훨씬 더 빠르게 재인증할 수 있습니다.

Disable When Using a Smart Card(스마트카드 사용 시 비활성화) 옵션은 머신 연
결 인증에 사용할 수 없습니다.

참고

EAP-TTLS(EAP-Tunneled Transport Layer Security, EAP 터널링 전송 계층 보안)는 EAP-TLS 기능을 확
장하는 2단계 프로토콜입니다. 1단계에서는 완전한 TLS 세션을 시행하고 2단계에서 사용되는 세션
키를 유도하여 서버와 클라이언트 간에 특성을 안전하게 터널링합니다. 2단계 도중 터널링된 특성을
사용하면 다양한 메커니즘을 사용하여 추가로 인증할 수 있습니다.

Network Access Manager는 EAP-TTLS 인증 시 사용된 내부 및 외부 방법의 암호화 바인딩을 지원하
지 않습니다. 암호화 바인딩이 필요한 경우 EAP-FAST를 사용해야 합니다. 암호화 바인딩은 공격자
가 자격 증명 정보를 모르는 상태에서 사용자의 연결을 가로채는 중간자 공격(Man-in-the-Middle
Attack)의 특수 클래스로부터 보호합니다.

2단계에서 사용할 수 있는 인증 메커니즘에는 다음과 같은 프로토콜이 포함되어 있습니다.

• PAP(Password Authentication Protocol, 비밀번호 인증 프로토콜) - ID를 증명하기 위해 피어에 간

단한 방법을 제공하는 양방향 핸드셰이크를 사용합니다. 인증이 승인되거나 실패할 때까지 ID/

Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1    

Network Access Manager 구성

네트워크, 사용자 또는 머신 인증 페이지