KR100853182B1 - 다중 도메인에서 대칭키 기반 인증 방법 및 장치 - Google Patents

다중 도메인에서 대칭키 기반 인증 방법 및 장치 Download PDF

Info

Publication number
KR100853182B1
KR100853182B1 KR1020060096588A KR20060096588A KR100853182B1 KR 100853182 B1 KR100853182 B1 KR 100853182B1 KR 1020060096588 A KR1020060096588 A KR 1020060096588A KR 20060096588 A KR20060096588 A KR 20060096588A KR 100853182 B1 KR100853182 B1 KR 100853182B1
Authority
KR
South Korea
Prior art keywords
certificate
authentication server
authentication
domain
symmetric key
Prior art date
Application number
KR1020060096588A
Other languages
English (en)
Other versions
KR20080029685A (ko
Inventor
김건우
한종욱
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060096588A priority Critical patent/KR100853182B1/ko
Priority to US11/856,924 priority patent/US20080082818A1/en
Publication of KR20080029685A publication Critical patent/KR20080029685A/ko
Application granted granted Critical
Publication of KR100853182B1 publication Critical patent/KR100853182B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 다중 도메인 환경에서 사용자나 디바이스가 인증을 필요로 하는 도메인에 접근할 때 대칭키로 서명된 인증서를 사용하여 인증 개체를 인증함으로써 신뢰성과 확장성을 보장하도록 한 인증 방법 및 장치에 관한 것이다. 이를 위하여 본 발명은, (a) 홈 도메인 인증 서버가 인증서와 대칭키를 생성해서 인증 개체에 분배하는 단계; (b) 상기 인증 개체가 상기 홈 도메인 인증 서버 또는 외부 도메인 인증 서버에 상기 인증서를 제출하는 단계; (c) 상기 홈 도메인 인증 서버 또는 상기 외부 도메인 인증 서버가 상기 대칭키를 사용하여 상기 제출된 인증서의 유효성을 검증하는 단계;를 포함하는 것을 특징으로 하며, 데이터 처리 능력이나 파워 등을 고려하여 공개키 기반 인증 방식을 사용하기 어려운 컴퓨팅 환경에서 효율적인 인증 방식을 제공한다.
다중 도메인, 인증서, 대칭키, 홈 네트워크

Description

다중 도메인에서 대칭키 기반 인증 방법 및 장치{Symmetric key-based authentication method and apparatus in multi domains}
도 1은 본 발명에 따른 다중 도메인에서의 인증 구조를 나타내는 도면이다.
도 2는 본 발명에 따라 인증 개체가 홈 도메인 인증 서버로부터 인증서와 서명에 사용된 대칭키를 발급받는 과정을 나타내는 도면이다.
도 3은 본 발명에 따라 홈 도메인 인증 서버가 인증 개체로부터 제출된 인증서의 유효성을 검증하는 과정을 나타내는 도면이다.
도 4는 본 발명에 따라 외부 도메인 인증 서버가 홈 도메인 인증 서버와 연동하여 인증서를 검증하는 과정을 나타내는 도면이다.
도 5는 본 발명에 따른 인증 개체 장치로서 인증 개체 장치가 주변 장치와 동작하는 도면이다.
도 6a는 본 발명에 따른 홈 도메인 인증 서버 장치로서, 인증 개체에 인증서와 대칭키를 생성하여 전송하는 동작을 나타낸다.
도 6b는 본 발명에 따른 홈 도메인 인증 서버 장치로서, 홈 도메인 인증 서버 장치에 인증서가 제출되었을 때 제출된 인증서의 유효성을 검증하는 동작을 포함하는 도면이다.
도 6c는 본 발명에 따른 홈 도메인 인증 서버 장치로서, 외부 도메인 인증 서버 장치에 인증서가 제출되었을 때 인증 개체 장치와 외부 도메인 인증 서버 장치와의 연동을 나타내는 도면이다.
도 7은 본 발명에 따른 외부 도메인 인증 서버 장치로서 인증 개체 장치와 홈 도메인 인증 서버 장치와의 연동을 나타낸다.
본 발명은 서로 다른 인증 주체를 가지는 다중 도메인 환경에서 대칭키로 서명된 인증서를 사용하여 인증 개체를 인증하는 방식에 관한 것으로, 상세하게는 인증하고자 하는 사용자나 디바이스가 인증을 필요로 하는 도메인에 접근할 때 대칭키로 서명된 인증서를 사용해서 신뢰성과 확장성을 보장하는 인증 방식을 제공한다.
일반적으로 공용망을 기반으로 하는 다중 도메인 환경에서는 공개키를 이용한 X.509 기반 인증서를 사용하고 공개키를 포함하는 인증서는 공개 디렉토리에서 제공되며, 인증서 서명은 해당 인증서를 발급한 상급 인증 기관이 수행한다. 이러한 계층적 인증 방식을 통해서 대규모 네트워크 환경에서 확장성 있는 인증 구조를 지워하지만, 공개키 기반 암호 처리의 특성을 고려하면 낮은 처리 능력과 컴퓨팅 파워를 가지는 인증 개체가 공개키 기반 인증 방식을 사용하기에는 어려움이 있다.
IETF(Internet Engineering Task Force)에서 정의된 mobile IPv6 환경에서 노드간 통신을 보호하기 위한 프로토콜로서 IPsec(IP security)와 RR(Return Routability) 프로토콜이 사용되고 있다. 문제는 효율적으로 ID를 인증하기 위한 방식이 제시되지 않고 있다는 점인데, 종래 기술은 mobile IPv6에서 효율적으로 키를 관리하기 위해 인증서 기반 방식의 확장성의 장점과 PKI 구현 및 인증서 배분 상의 단점, 반면 ID 기반 인증 방식의 PKI 구현 및 인증서 배분 상의 장점과 확장성의 단점을 고려하여 두 방식을 합친 안전하고 빠른 하이브리드 방식을 제안함으로써 낮은 비용과 확장성을 지원할 수 있다. 이러한 하이브리드 방식은 공개키를 사용하는 인증서 기반 방식과 ID 기반 인증 방식을 동시에 사용하여야 하고 mobile IPv6에서 IPsec 키를 관리하기 위한 목적임에 반해, 본 발명에서 제안하는 것과 같은, 유비쿼터스 컴퓨팅 환경과 같은 다중 도메인에서 사용자/디바이스 인증에 사용될 수 있으며 인증 개체는 대칭키 기반 인증 방식만을 제공하며 상위 인증 서버 간에는 공개키 기반 인증 방식만을 사용하는 것을 개시하지는 않는다.
따라서 본 발명이 이루고자 하는 기술적 과제는, 서로 다른 인증 주체를 가지는 다중 도메인 환경에 적합한 인증 방식을 정의하며, 대칭키 방식의 단점인 확장성과 효율성을 해결하고 경량화된 인증 개체를 가능하도록 하는 새로운 인증 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 서로 다른 인증 주체를 가지는 다중 도메인 환경에서 대칭키 방식의 단점인 확장성과 효율성을 해결하고 경량화된 인증 개체를 가능하도록 하는 장치를 제공하는 데 있다.
상기의 기술적 과제를 해결하기 위하여 본 발명에 의한 다중 도메인에서의 대칭키 기반 인증 방식은, (a) 홈 도메인 인증 서버가 인증서와 대칭키를 생성해서 인증 개체에 분배하는 단계; (b) 상기 인증 개체가 상기 홈 도메인 인증 서버 또는 외부 도메인 인증 서버에 상기 인증서를 제출하는 단계; (c) 상기 홈 도메인 인증 서버 또는 상기 외부 도메인 인증 서버가 상기 대칭키를 사용하여 상기 제출된 인증서의 유효성을 검증하는 단계;를 포함하는 것을 특징으로 하는 다중 도메인에서의 대칭키 기반 인증 방법이 제공된다.
바람직하게는, 상기 (a) 단계는 상기 인증 개체가 상기 홈 도메인 인증 서버에 인증서 발급을 요청하는 단계; 상기 홈 도메인 인증 서버가 상기 대칭키와 상기 대칭키를 사용해서 서명한 인증서를 생성하는 단계; 및 생성된 상기 인증서를 상기 인증 개체에 분배하는 단계;를 포함한다.
바람직하게는 상기 인증서가 제출된 인증 서버가 상기 외부 도메인 인증 서버인 경우, 상기 외부 도메인 인증 서버가 상기 대칭키를 사용하여 상기 인증서의 유효성을 검증하는 단계가 상기 외부 도메인 인증 서버가 상기 홈 도메인 인증 서버와 연동하여 인증서의 유효성을 검증하는 단계를 포함하되 상기 단계는, 상기 외부 도메인 인증 서버가 공개키 인증 방식을 이용해서 상기 인증서의 발급자인 상기 홈 도메인 인증 서버를 인증하는 단계; 상기 홈 도메인 인증 서버와 상기 외부 도메인 인증 서버 간의 안전한 통신 채널을 생성하는 단계; 상기 외부 도메인 인증 서버가 상기 홈 도메인 인증 서버에게 상기 인증서의 검증을 요청하는 단계; 상기 홈 도메인 인증 서버가 이미 설정된 대칭키를 사용해서 상기 인증서를 검증하고 결 과를 알려주는 단계; 및 상기 외부 도메인 인증 서버는 상기 홈 도메인 인증 서버로부터 제공받은 결과를 바탕으로 인증 성공 여부를 결정하여 상기 인증 개체에 전송하는 단계;를 포함한다.
또한 본 발명은 상기한 다른 기술적 과제를 달성하기 위하여, 서로 다른 인증 주체를 가지는 다중 도메인 환경에서 대칭키 방식의 단점인 확장성과 효율성을 해결하고 경량화된 인증 개체를 가능하도록 하는 장치를 제공한다.
더욱 상세하게는, 다중 도메인 대칭키 기반 인증을 채용하는 인증 개체 장치로서, 이러한 인증 개체 장치는 홈 도메인 인증 서버에 인증서 발급을 요청하는 인증서 발급 요청부; 상기 인증서 발급 요청에 대한 응답으로 상기 홈 도메인 인증 서버에서 발급된 인증서 및 대칭키를 수신하는 인증서/대칭키 수신부; 상기 홈 도메인 인증 서버 혹은 외부 도메인 인증 서버에 상기 인증서를 제출하는 인증서 전송부; 및 상기 홈 도메인 인증 서버 혹은 상기 외부 도메인 인증 서버로부터 제출된 상기 인증서의 검증 결과를 수신하는 인증서 결과 수신부;를 포함한다.
또한 다중 도메인 대칭키 기반 인증을 채용하는 홈 도메인 인증 서버 장치로서 이러한 홈 도메인 인증 서버 장치는, 인증 개체로부터 인증서 발급 요청을 수신하는 인증서 발급 요청 수신부; 상기 인증서 발급 요청에 대응하여 대칭키와 인증서를 생성하는 대칭키/인증서 생성부; 생성된 상기 대칭키 및 인증서를 상기 인증 개체에 발급하는 대칭키/인증서 발급부;를 포함한다.
더욱 바람직하게는, 상기 홈 도메인 인증 서버 장치가 상기 인증 개체를 인증하는 경우, 이미 분배한 상기 대칭키를 사용해서 상기 인증서를 검증하는 인증서 검증부; 상기 인증서 검증을 통한 인증 검증 결과를 상기 인증 개체에 전송하는 인증서 결과 송신부;를 더욱 포함한다.
또한 더욱 바람직하게는, 외부 도메인 인증 서버 장치가 상기 홈 도메인 인증 서버 장치에 상기 인증서 검증 요청을 하고 상기 홈 도메인 인증 서버 장치에서 수신한 인증서 검증 결과에 의해 상기 인증 개체를 인증하는 경우, 상기 홈 도메인 인증 서버 장치는 상기 외부 도메인 인증 서버 장치와 안정된 통신 채널 확립을 통해 서로 통신할 수 있는 도메인 통신 연결부; 상기 외부 도메인 인증 서버 장치로부터 상기 인증서 검증 요청을 수신하는 인증서 검증 요청 수신부; 이미 설정된 상기 대칭키를 사용하여 검증 요청된 상기 인증서를 검증하는 인증서 검증부; 상기 외부 도메인 인증 서버 장치에 인증서 검증에 대한 결과를 전송하는 인증서 검증 결과 송신부;를 더욱 포함한다.
또한 다중 도메인 대칭키 기반 인증을 채용하는 외부 도메인 인증 서버 장치로서, 이러한 외부 도메인 인증 서버 장치는 상기 외부 도메인 인증 서버 장치가 인증 개체로부터 받은 인증서를 홈 도메인 인증 서버 장치에 인증서 검증 요청을 하고 상기 홈 도메인 인증 서버 장치에서 수신한 인증서 검증 결과에 의해 상기 인증 개체를 인증하는 경우, 인증 개체가 제출하는 인증서를 수신하는 인증서 수신부; 상기 인증 개체로부터 받은 상기 인증서를 검증하기 위해, 상기 인증서를 발급한 상기 홈 도메인 인증 서버 장치와 통신을 확립하기 위해 공개키 인증 방식을 이용하여 상기 홈 도메인 인증 서버 장치를 인증하는 도메인 서버 장치 인증부; 상기 홈 도메인 인증 서버 장치와 안전한 통신 채널을 생성하여 서로 통신할 수 있는 도 메인 통신 연결부; 상기 홈 도메인 인증 서버 장치에게 상기 인증서 검증을 요청하는 인증서 검증 요청부; 상기 홈 도메인 인증 서버 장치로부터 상기 인증서 검증 결과를 수신하는 인증서 검증 결과 수신부; 상기 홈 도메인 인증 서버 장치로부터 제공받은 결과를 바탕으로 인증서 성공 여부를 결정하여 상기 인증서 성공 여부를 상기 인증 개체에 전달하는 인증서 검증 결과 송신부;를 포함한다.
이하, 첨부한 도면을 참조하면서 본 발명에 따른 다중 도메인에서 대칭키 기반 인증 방법 및 장치의 바람직한 실시예를 상세하게 설명한다.
먼저 도 1은 본 발명에 따른 다중 도메인에서의 인증 구조를 나타내는 도면이다. 홈 도메인 인증 서버(100)는 대칭키와 인증서를 생성해서 인증 개체(120)에게 인증서를 분배(151)하게 되고 인증 개체는 인증을 위해 외부 도메인 인증 서버(130)에 인증서를 제출(153)한다. 인증서를 제출받은 외부 도메인 인증 서버(130)는 인증서를 검증하기 위해 기존의 공개키 기반 인증 방식을 사용하여 홈 도메인 인증 서버(100)와 상호 인증 과정을 수행한 후 확립된 통신 채널을 통해 인증서의 검증 결과를 수신하고 결과를 인증 개체(120)에 전송한다. 도 1에서 나타난 본 발명의 단계를 도 2 내지 도 4에서 좀더 구체적으로 기술하고 있다.
도 2는 본 발명에 따라 인증 개체가 홈 도메인 인증 서버로부터 인증서와 서명에 사용된 대칭키를 발급받는 과정을 나타내는 도면이다. 다시 말해서 도 1에 나타난 인증서 분배(151) 과정을 좀더 상세히 나타낸 도면이다. 먼저 인증 개체(220)는 홈 도메인 인증 서버(210)에 인증서 발급을 요청(231)한다. 인증서 발급을 요청받은 홈 도메인 인증 서버(210)는 대칭키를 생성(233)하고 이어서 생성된 대칭키를 사용해서 서명한 인증서를 생성(235)한다. 이렇게 생성된 상기 인증서 및 대칭키는 인증서를 요청한 인증 개체(220)에 분배(237)된다.
도 3은 본 발명에 따라 홈 도메인 인증 서버가 인증 개체로부터 제출된 인증서의 유효성을 검증하는 과정을 나타내는 도면이다. 만일 인증 개체(320)가 홈 도메인 인증 서버(310)에 인증서를 제출하게 되면 홈 도메인 인증 서버가 인증서를 검증하게 된다. 인증 개체(320)는 도 2에서 나타난 바와 동일한 과정을 통해 인증서 발급 요청(331)을 하게 되고 마찬가지로 홈 도메인 인증 서버(310)는 대칭키 생성(333) 및 인증서 생성(335)을 수행한 후 인증 개체(320)에 인증서 및 대칭키를 분배(337)하게 된다. 만일 인증 개체(320)가 상기 홈 도메인 인증 서버(310)에 인증서를 제출하면 홈 도메인 인증 서버(310)는 이미 설정된 대칭키를 사용해서 인증서를 검증(341)하고 그 결과로 인증 성공 여부를 인증 개체(320)로 전송(343)한다.
도 4는 본 발명에 따라 외부 도메인 인증 서버가 홈 도메인 인증 서버와 연동하여 인증서를 검증하는 과정을 나타내는 과정을 나타낸다. 도 4는 도 1의 전체 과정과 대응되며 좀더 상세하게 본 발명을 단계별로 기술한다. 먼저 앞에서 설명한 바와 같이 인증서 발급 요청(431), 대칭키 생성(433), 인증서 생성(435) 및 인증서 및 대칭키 분배(437)는 동일한 과정을 통해 이루어진다. 인증 개체(420)는 홈 도메인 인증 서버(410)로부터 받은 인증서를 외부 도메인 인증 서버(430)에 제출(439)하여 인증 여부를 기다리게 된다. 상기 인증서를 받은 외부 도메인 인증 서버(430)는 인증서를 검증하기 위해 애초에 상기 인증서를 발급한 홈 도메인 인증 서버(410)와의 정보 교환을 위해 우선 통신 채널을 확립하게 된다. 즉, 외부 도메인 인증 서버(430)는 기존의 공개키 인증 방식을 이용해서 홈 도메인 인증 서버와 상호 인증(441)을 수행하게 된다. 이러한 공개키 인증 방식을 통한 홈 도메인 인증 서버 인증 수행 후 세션키 분배를 통해 홈 도메인 인증 서버(410)와 외부 도메인 인증 서버(430)간 안전한 통신 채널이 생성(443)되고 양자 간에는 자유로운 통신 환경이 확립되게 된다. 그러고 난후, 외부 도메인 인증 서버(430)는 상기 인증 개체(420)로부터 수신한 인증서를 검증하기 위해 홈 도메인 인증 서버(410)에 인증서 검증 요청(445)을 하게 된다. 인증서 검증 요청을 받은 홈 도메인 인증 서버(410)는 이미 설정된 대칭키를 사용해서 상기 인증서를 검증(447)하고 인증서 결과를 외부 도메인 인증 서버에 송신(449)하고 보안 세션을 종료한다. 인증서 검증 결과를 받은 외부 도메인 인증 서버(430)는 인증 성공 여부를 결정(451)하고 인증 성공 여부를 인증 개체(420)에 전송(453)함으로써 모든 단계가 종료하게 된다.
도 5를 참조하면 본 발명을 구현하기 위한 장치로서의 인증 개체 장치(510)와 상기 인증 개체 장치가 홈 도메인 인증 서버 장치(520) 및 홈/외부 도메인 인증 서버 장치(530)와 동작하는 것을 나타낸다. 먼저 인증 개체 장치(510)는 홈 도메인 인증 서버 장치(520)로 인증서 발급 요청(521)을 하는 인증서 발급 요청부(511), 홈 도메인 인증 서버 장치(520)로부터 인증서 및 대칭키를 수신(523)하는 인증서/대칭키 수신부(513)로 구성된다. 더불어 상기 수신한 인증서를 홈 도메인 인증 서버 장치 혹은 외부 도메인 인증 서버 장치(530)에 제출하는 인증서 전송부(515) 및 인증서 검증 결과를 수신하는 인증서 결과 수신부(517)를 포함한다.
도 6a 내지 도 6c는 본 발명을 구현하기 위한 홈 도메인 인증 서버 장치를 추가 기능별로 도시하고 있다.
먼저 도 6a에서는 인증 개체 장치(610)로부터 인증서 발급 요청(521)에 대응하는 장치를 나타낸다. 홈 도메인 인증 서버 장치(600)는 상기의 인증서 발급 요청(611)에 대해 이러한 인증서 발급 요청을 수신하는 인증서 발급 요청 수신부(601), 인증서 발급 요청에 대해 대칭키 및 인증서를 생성하는 대칭키/인증서 생성부(603) 및 상기 생성된 대칭키와 인증서를 인증 개체 장치(610)에 발급하는 대칭키/인증서 발급부(605)로 구성된다.
도 6b에서는 상기 도 6a에 추가하여 만일 인증 개체 장치가 인증서를 제출하여 검증을 하여야 할 경우의 추가적인 구성 부분을 가지는 홈 도메인 인증 서버 장치(630)를 도시한다. 홈 도메인 인증 서버 장치(630)는 도 6a의 홈 도메인 인증 서버 장치(600)가 가지는 구성 요소에 추가하여 인증 개체 장치(640)로부터 받은 인증서를 검증하는 인증서 검증부(637) 및 상기 인증서 검증을 통한 인증 검증 결과를 인증 개체 장치(640)에 전송하는 인증서 결과 송신부(639)를 더욱 포함한다.
도 6c에서는 상기 도 6a에 추가하여 만일 외부 도메인 서버 장치(680)가 인증서 검증을 의뢰할 경우 추가적인 구성 부분을 가지는 홈 도메인 인증 서버 장치(650)를 도시한다. 홈 도메인 인증 서버 장치(650)는 도 6a의 홈 도메인 인증 서버 장치(600)가 가지는 구성 요소에 추가하여 외부 도메인 서버 장치(680)와 같은 외부의 도메인 서버 장치와 통신 채널(681)을 확립하여 통신을 연결하는 도메인 통신 연결부(657) 및 외부 도메인 서버 장치(680)로부터 수신한 인증서 검증 요청을 수신하는 인증서 검증 요청 수신부(659), 이미 설정된 대칭키를 사용해서 검증 요 청된 인증서를 검증하는 인증서 검증부(661) 및 외부 도메인 서버 장치(680)에 인증서 검증에 대한 결과를 전송하는 인증서 검증 결과 송신부(663)를 더욱 포함한다. 인증서 검증 결과 송신부에서는 검증 결과를 외부 도메인 서버 장치로 전달하기 위해 도메인 통신 연결부(657)를 통해 결과를 전송하게 된다.
도 7에서는 본 발명을 구현하기 위한 장치로서의 외부 도메인 인증 서버 장치(700)와 상기 외부 도메인 인증 서버 장치가 인증 개체 장치(730) 및 홈 도메인 서버 장치(750)와 연동하여 동작하는 것을 나타낸다. 먼저 외부 도메인 인증 서버 장치(700)는 인증 개체 장치로부터 인증서 제출(731)을 수신하는 인증서 수신부(701)를 포함하고 이 인증서 수신부(701)에서 수신된 인증서를 검증하기 위해 인증서 검증 요청부(707)의 요청에 의해 외부 도메인 인증 서버 장치(700)는 홈 도메인 서버 장치(750)와의 통신 연결을 확립한다. 통신 연결 목적을 이루기 위해 외부 도메인 인증 서버 장치(700)는 기존의 공개키 인증 방식을 이용하여 상기 홈 도메인 서버 장치(750)를 인증하는 도메인 서버 장치 인증부(703)를 포함하고 세션키를 분배해서 도메인 통신 연결부(705)를 통해 안전한 통신 채널(753)을 생성한다. 이러한 확립된 통신 채널을 통해 외부 도메인 인증 서버 장치(700)는 인증 개체의 인증서 검증을 요청하며, 홈 도메인 서버 장치(750)는 인증서 서명에 사용된 대칭키를 통해서 인증서의 유효성을 검증한 후 결과를 전송하고 보안 세션을 종료한다. 확립된 통신 연결(705)부를 통해 수신된 인증서 검증 결과는 인증서 검증 결과 수신부(709)에 수신되고 인증서 검증 결과 수신부(709)는 인증서 검증 결과 송신부(711)로 검증 결과를 보내고 인증서 검증 결과 송신부(711)는 인증 개체 장 치(730)에 상기 인증서 검증 결과를 송신(733)한다.
이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함은 자명하다. 그러므로, 이 발명의 보호 범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화나 변경 또는 조절을 모두 포함하는 것으로 해석되어야 할 것이다.
이상에서 살펴본 바와 같이 본 발명에 따른 다중 도메인에서의 대칭키를 기반으로 하는 인증 방법은, 고수준의 컴퓨팅 능력과 복잡한 암호 처리 과정을 필요로 하는 공개키 인증 방식에 비해서 비교적 단순하고 경량화된 대칭키 기반 인증 방식을 사용하고, 동시에 대칭키 방식의 단점인 확장성과 키 관리 문제를 해결함으로써, 유비쿼터스 컴퓨팅 환경이나 홈 네트워크 환경에서 디바이스의 선택적 폭을 넓힐 뿐만 아니라 사업 활성화에 기여할 수 있다.
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 통상의 지식을 가진 사람이라면, 첨부된 청구 범위에 정의된 본 발명의 정신 및 범위를 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.

Claims (8)

  1. 다중 도메인에서 대칭키 기반 인증 방법에 있어서,
    (a) 홈 도메인 인증 서버가 인증서와 대칭키를 생성해서 인증 개체에 분배하는 단계;
    (b) 상기 인증 개체가 상기 홈 도메인 인증 서버 또는 외부 도메인 인증 서버에 상기 인증서를 제출하는 단계;
    (c) 상기 홈 도메인 인증 서버가 상기 대칭키를 사용하여 또는 상기 외부 도메인 인증 서버가 상기 대칭키를 사용하여 상기 홈 도메인 인증 서버와 연동하여 상기 제출된 인증서의 유효성을 검증하는 단계;를 포함하는 것을 특징으로 하는 다중 도메인에서 대칭키 기반 인증 방법.
  2. 제1항에 있어서 상기 (a) 단계는,
    상기 인증 개체가 상기 홈 도메인 인증 서버에 상기 인증서 발급을 요청하는 단계;
    상기 홈 도메인 인증 서버가 상기 대칭키와 상기 대칭키를 사용해서 서명한 인증서를 생성하는 단계; 및
    생성된 상기 인증서를 상기 인증 개체에 분배하는 단계;를 포함하는 것을 특징으로 하는 다중 도메인에서 대칭키 기반 인증 방법.
  3. 제1항에 있어서, 상기 인증서가 제출된 인증 서버가 상기 외부 도메인 인증 서버인 경우, 상기 외부 도메인 인증 서버가 상기 대칭키를 사용하여 상기 홈 도메인 인증 서버와 연동하여 상기 제출된 인증서의 유효성을 검증하는 단계는,
    상기 외부 도메인 인증 서버가 공개키 인증 방식을 이용해서 상기 인증서의 발급자인 상기 홈 도메인 인증 서버를 인증하는 단계;
    상기 홈 도메인 인증 서버와 상기 외부 도메인 인증 서버 간의 안전한 통신 채널을 생성하는 단계;
    상기 외부 도메인 인증 서버가 상기 홈 도메인 인증 서버에게 상기 인증서의 검증을 요청하는 단계;
    상기 홈 도메인 인증 서버가 이미 설정된 대칭키를 사용해서 상기 인증서를 검증하고 결과를 알려주는 단계; 및
    상기 외부 도메인 인증 서버는 상기 홈 도메인 인증 서버로부터 제공받은 결과를 바탕으로 인증 성공 여부를 결정하여 상기 인증 개체에 전송하는 단계;를 포함하는 것을 특징으로 하는 다중 도메인에서 대칭키 기반 인증 방법.
  4. 다중 도메인 대칭키 기반 인증을 채용하는 인증 개체 장치에 있어서,
    홈 도메인 인증 서버에 인증서 발급을 요청하는 인증서 발급 요청부;
    상기 인증서 발급 요청에 대한 응답으로 상기 홈 도메인 인증 서버에서 발급된 인증서 및 대칭키를 수신하는 인증서/대칭키 수신부;
    상기 홈 도메인 인증 서버 혹은 외부 도메인 인증 서버에 상기 인증서를 제출하는 인증서 전송부; 및
    상기 홈 도메인 인증 서버 혹은 상기 외부 도메인 인증 서버로부터 제출된 상기 인증서의 검증 결과를 수신하는 인증서 결과 수신부;를 포함하는 다중 도메인 대칭키 기반 인증을 채용하는 인증 개체 장치.
  5. 다중 도메인 대칭키 기반 인증을 채용하는 홈 도메인 인증 서버 장치에 있어서,
    인증 개체로부터 인증서 발급 요청을 수신하는 인증서 발급 요청 수신부;
    상기 인증서 발급 요청에 대응하여 대칭키와 인증서를 생성하는 대칭키/인증서 생성부;
    생성된 상기 대칭키 및 인증서를 상기 인증 개체에 발급하는 대칭키/인증서 발급부;를 포함하는 다중 도메인 대칭키 기반 인증을 채용하는 홈 도메인 인증 서버 장치.
  6. 제5항에 있어서, 상기 홈 도메인 인증 서버 장치가 상기 인증 개체를 인증하는 경우,
    이미 분배한 상기 대칭키를 사용해서 상기 인증서를 검증하는 인증서 검증부;
    상기 인증서 검증을 통한 인증 검증 결과를 상기 인증 개체에 전송하는 인증서 결과 송신부;를 더욱 포함하는 것을 특징으로 하는 다중 도메인 대칭키 기반 인증을 채용하는 홈 도메인 인증 서버 장치.
  7. 제5항에 있어서, 외부 도메인 인증 서버 장치가 상기 홈 도메인 인증 서버 장치에 상기 인증서 검증 요청을 하고 상기 홈 도메인 인증 서버 장치에서 수신한 인증서 검증 결과에 의해 상기 인증 개체를 인증하는 경우,
    상기 외부 도메인 인증 서버 장치와 안정된 통신 채널 확립을 통해 서로 통신할 수 있는 도메인 통신 연결부;
    상기 외부 도메인 인증 서버 장치로부터 상기 인증서 검증 요청을 수신하는 인증서 검증 요청 수신부;
    이미 설정된 상기 대칭키를 사용하여 검증 요청된 상기 인증서를 검증하는 인증서 검증부;
    상기 외부 도메인 인증 서버 장치에 인증서 검증에 대한 결과를 전송하는 인증서 검증 결과 송신부;를 더욱 포함하는 것을 특징으로 하는 다중 도메인 대칭키 기반 인증을 채용하는 홈 도메인 인증 서버 장치.
  8. 다중 도메인 대칭키 기반 인증을 채용하는 외부 도메인 인증 서버 장치로서, 상기 외부 도메인 인증 서버 장치가 인증 개체로부터 받은 인증서를 홈 도메인 인증 서버 장치에 인증서 검증 요청을 하고 상기 홈 도메인 인증 서버 장치에서 수신한 인증서 검증 결과에 의해 상기 인증 개체를 인증하는 경우,
    인증 개체가 제출하는 인증서를 수신하는 인증서 수신부;
    상기 인증 개체로부터 받은 상기 인증서를 검증하기 위해, 상기 인증서를 발급한 상기 홈 도메인 인증 서버 장치와 통신을 확립하기 위해 공개키 인증 방식을 이용하여 상기 홈 도메인 인증 서버 장치를 인증하는 도메인 서버 장치 인증부;
    상기 홈 도메인 인증 서버 장치와 안전한 통신 채널을 생성하여 서로 통신할 수 있는 도메인 통신 연결부;
    상기 홈 도메인 인증 서버 장치에게 상기 인증서 검증을 요청하는 인증서 검증 요청부;
    상기 홈 도메인 인증 서버 장치로부터 상기 인증서 검증 결과를 수신하는 인증서 검증 결과 수신부;
    상기 홈 도메인 인증 서버 장치로부터 제공받은 결과를 바탕으로 인증 성공 여부를 결정하여 상기 인증 성공 여부를 상기 인증 개체에 전달하는 인증서 검증 결과 송신부;를 포함하는 것을 특징으로 하는 다중 도메인 대칭키 기반 인증을 채용하는 외부 도메인 인증 서버 장치.
KR1020060096588A 2006-09-29 2006-09-29 다중 도메인에서 대칭키 기반 인증 방법 및 장치 KR100853182B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060096588A KR100853182B1 (ko) 2006-09-29 2006-09-29 다중 도메인에서 대칭키 기반 인증 방법 및 장치
US11/856,924 US20080082818A1 (en) 2006-09-29 2007-09-18 Symmetric key-based authentication in multiple domains

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060096588A KR100853182B1 (ko) 2006-09-29 2006-09-29 다중 도메인에서 대칭키 기반 인증 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20080029685A KR20080029685A (ko) 2008-04-03
KR100853182B1 true KR100853182B1 (ko) 2008-08-20

Family

ID=39262400

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060096588A KR100853182B1 (ko) 2006-09-29 2006-09-29 다중 도메인에서 대칭키 기반 인증 방법 및 장치

Country Status (2)

Country Link
US (1) US20080082818A1 (ko)
KR (1) KR100853182B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160016157A (ko) 2014-08-04 2016-02-15 주식회사 엔씨소프트 복구용 데이터를 이용한 데이터 배포방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101252549B1 (ko) 2008-11-21 2013-04-08 한국전자통신연구원 보안 도메인 환경에서의 암/복호화 프로그램 및 대칭키의 안전 배포 방법 및 이를 위한 데이터 분할 및 주입 장치
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
US8838962B2 (en) * 2010-09-24 2014-09-16 Bryant Christopher Lee Securing locally stored Web-based database data
CN108667609B (zh) * 2017-04-01 2021-07-20 西安西电捷通无线网络通信股份有限公司 一种数字证书管理方法及设备
US10454690B1 (en) 2017-08-04 2019-10-22 Amazon Technologies, Inc. Digital certificates with distributed usage information
CN109474432B (zh) * 2017-09-07 2021-11-02 西安西电捷通无线网络通信股份有限公司 数字证书管理方法及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010092521A (ko) * 2000-03-22 2001-10-26 윤종용 인터넷 환경 하에서 데이터 통신을 수행하는이동통신시스템의 사용자 정보 보안 장치 및 그 방법
JP2002041467A (ja) 2000-07-25 2002-02-08 Mitsubishi Electric Corp 証明書アクセスシステム
US20030030680A1 (en) 2001-08-07 2003-02-13 Piotr Cofta Method and system for visualizing a level of trust of network communication operations and connection of servers
KR20040037990A (ko) * 2002-10-31 2004-05-08 한국전자통신연구원 비밀키 관리 시스템 및 방법
KR20040046026A (ko) * 2002-11-26 2004-06-05 한국전자통신연구원 액티브 네트워크에서의 사용자 인증과 권한 확인 시스템및 방법
JP2005006076A (ja) 2003-06-12 2005-01-06 Minolta Co Ltd 通信システムおよび方法
KR20060067787A (ko) * 2004-12-15 2006-06-20 한국전자통신연구원 무선 Ad Hoc 망에서의 인증서 발행 및 인증 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961858B2 (en) * 2000-06-16 2005-11-01 Entriq, Inc. Method and system to secure content for distribution via a network
US7069435B2 (en) * 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys
KR100431210B1 (ko) * 2002-08-08 2004-05-12 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법
KR100493885B1 (ko) * 2003-01-20 2005-06-10 삼성전자주식회사 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
US20060174110A1 (en) * 2005-01-31 2006-08-03 Microsoft Corporation Symmetric key optimizations

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010092521A (ko) * 2000-03-22 2001-10-26 윤종용 인터넷 환경 하에서 데이터 통신을 수행하는이동통신시스템의 사용자 정보 보안 장치 및 그 방법
JP2002041467A (ja) 2000-07-25 2002-02-08 Mitsubishi Electric Corp 証明書アクセスシステム
US20030030680A1 (en) 2001-08-07 2003-02-13 Piotr Cofta Method and system for visualizing a level of trust of network communication operations and connection of servers
KR20040037990A (ko) * 2002-10-31 2004-05-08 한국전자통신연구원 비밀키 관리 시스템 및 방법
KR20040046026A (ko) * 2002-11-26 2004-06-05 한국전자통신연구원 액티브 네트워크에서의 사용자 인증과 권한 확인 시스템및 방법
JP2005006076A (ja) 2003-06-12 2005-01-06 Minolta Co Ltd 通信システムおよび方法
KR20060067787A (ko) * 2004-12-15 2006-06-20 한국전자통신연구원 무선 Ad Hoc 망에서의 인증서 발행 및 인증 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160016157A (ko) 2014-08-04 2016-02-15 주식회사 엔씨소프트 복구용 데이터를 이용한 데이터 배포방법

Also Published As

Publication number Publication date
US20080082818A1 (en) 2008-04-03
KR20080029685A (ko) 2008-04-03

Similar Documents

Publication Publication Date Title
KR100953095B1 (ko) 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법
KR100992356B1 (ko) 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체
KR101459802B1 (ko) 암호화 증명의 재검증에 기반을 둔 인증 위임
EP1610202B1 (en) Using a portable security token to facilitate public key certification for devices in a network
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
CN110677240B (zh) 通过证书签发提供高可用计算服务的方法、装置及介质
KR100872099B1 (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
JP4674044B2 (ja) クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法
CN101364876B (zh) 一种实现实体的公钥获取、证书验证及鉴别的方法
EP2472772B1 (en) Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
US7512785B2 (en) Revocation distribution
US20030237004A1 (en) Certificate validation method and apparatus thereof
CN101364875B (zh) 一种实现实体的公钥获取、证书验证及双向鉴别的方法
KR100853182B1 (ko) 다중 도메인에서 대칭키 기반 인증 방법 및 장치
CN102984127A (zh) 一种以用户为中心的移动互联网身份管理及认证方法
KR20080001574A (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
CN114884698B (zh) 基于联盟链的Kerberos与IBC安全域间跨域认证方法
JP4870427B2 (ja) デジタル証明書交換方法、端末装置、及びプログラム
WO2014092534A1 (en) A system and method for peer-to-peer entity authentication with nearest neighbours credential delegation
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
KR100764882B1 (ko) 저성능 보안 단말기의 공개키 기반 싱글 사인온 인증 장치및 방법
JP2007074745A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
CN114491449A (zh) 一种数据共享方法、***及计算机可读存储介质
JP2000261428A (ja) 分散処理システムにおける認証装置
CN116707793A (zh) 一种电力物联终端设备的认证方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120730

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee