KR20120089903A - 비실시간 iptv 시스템을 위한 인증 장치 및 방법 - Google Patents

비실시간 iptv 시스템을 위한 인증 장치 및 방법 Download PDF

Info

Publication number
KR20120089903A
KR20120089903A KR1020100131007A KR20100131007A KR20120089903A KR 20120089903 A KR20120089903 A KR 20120089903A KR 1020100131007 A KR1020100131007 A KR 1020100131007A KR 20100131007 A KR20100131007 A KR 20100131007A KR 20120089903 A KR20120089903 A KR 20120089903A
Authority
KR
South Korea
Prior art keywords
authentication
request message
random number
content
session key
Prior art date
Application number
KR1020100131007A
Other languages
English (en)
Inventor
서대희
권혁찬
이승민
문용혁
나재훈
남택용
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100131007A priority Critical patent/KR20120089903A/ko
Priority to US13/170,331 priority patent/US8769280B2/en
Publication of KR20120089903A publication Critical patent/KR20120089903A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

비실시간 IPTV 시스템을 위한 인증 장치는 디바이스로부터 수신된 콘텐츠 요청 메시지에 포함된 제1 암호화 값을 미리 설정된 세션 키를 통해 복호화하여 콘텐츠 요청 메시지에 대한 유효성을 검증하고, 콘텐츠 요청 메시지에 대한 검증 결과가 유효한 경우, 인증 장치와 디바이스간의 타임스탬프 변화량을 세션 키를 통해 암호화하여 제2 암호화 값을 생성하며, 제2 암호화 값을 이용하여 디바이스에서 인증 장치를 검증할 수 있는 검증 정보를 생성한 후, 콘텐츠 요청 메시지에 대응되는 콘텐츠와 함께 검증 정보를 디바이스로 전송한다.

Description

비실시간 IPTV 시스템을 위한 인증 장치 및 방법{APPARATUS AND METHOD OF AUTHENTICATION FOR NON-REALTIME IPTV SYSTEM}
본 발명은 비실시간 IPTV 시스템을 위한 인증 장치 및 방법에 관한 것이다. 보다 상세하게, 본 발명은 비실시간 IPTV 시스템을 위한 멀티 에이전트 기반의 인증 장치 및 방법에 관한 것이다.
스마트 카드를 기반으로 원격 사용자를 인증하는 종래의 방식에 따르면, 원격 사용자가 생성한 난수와 패스워드를 이용한 일방향 해시 값으로 사용자를 인증한다.
하지만, 이와 같은 종래의 방식에 따르면, 사용자의 수에 따라 서버에 오버헤드가 발생하고, 사용자의 인증 정보에 기반한 보안 정책이 제공되지 않아 비인가된 사용자로부터 콘텐츠 제공의 안전성을 확보하기 어렵다. 또한, 이종 네트워크 환경에서 비실시간 서비스를 제공하기 위해서는 사용자의 인증 기술과 더불어 접근 제어 및 정책적인 내용을 제공하기 어렵다.
아이피 멀티미디어 서브시스템(IP Multimedia Subsystem)을 이용한 종래의 다른 방식에 따르면, 인증 관리 기술을 간단하게 초기화하고 익명성과 무결정성(seamless) 서비스를 제공할 수 있다.
하지만, 이와 같은 종래의 다른 방식에 따르면, 사용자의 사전 등록 과정에서 공격자는 알려진 정보와 사용자의 이전 로그인 정보를 이용해 현재의 패스워드와 이전의 패스워드에 대한 비교를 통해 추측 공격이 가능하다. 또한, 공격자가 패스워드 추출 공격으로 패스워드를 추출하였을 경우, 위조된 로그인 정보를 생성하여 이를 기반으로 사용자를 위장할 수 있다. 특히, 패스워드 공유의 안전성에 기반하여 일방향 식별을 제공하기 때문에, 위장된 공격자에 대한 검증, 그리고 서비스에 대한 보안 정책 운영에 대한 취약성을 내포하고 있다.
멀티 에이전트를 이용한 종래의 또 다른 방식은 홈 네트워크의 자동화된 에이전트 관리 시스템인 IDAPS(Intelligent Distributed Autonomous Power System)을 이용한 방식이다.
하지만, 이와 같은 종래의 또 다른 방식에 따르면, 신뢰된 개체를 기반으로 하드웨어 기반의 추가적인 보안 시스템이 필요할 뿐만 아니라 소프트웨어적인 미들웨어를 통해 보안 서비스를 제공함으로써 사전 정의된 보안 서비스 이외의 추가적인 보안 서비스의 제공이 어렵다. 특히, 신뢰된 개체의 TCP/IP 기반으로 에이전트의 메시지를 교환하기 때문에, TCP/IP 기반의 공개된 채널에서 발생할 수 있는 기밀성, 무결성의 보안 서비스가 요구되나 제공되지 않는다. 또한, 사용자의 아이디/패스워드 방식에 기반한 인증 방식을 이용함으로써 기존의 패스워드 인증의 취약점을 그대로 내포하고 있다. 따라서, 별도의 에이전트간의 인증 정보 교환이 이루어지지 않아 자동화된 형식의 보안 정보 교환이 어렵고 보안 정책이 제공되지 않는다.
본 발명의 목적은 IPTV 시스템에서 원 소스 멀티유스(one source multi-use)를 통한 콘텐츠의 재사용에 따른 사용자의 인증을 위한 인증 장치 및 방법을 제공하는 것이다.
본 발명의 특징에 따른 비실시간 IPTV 시스템을 위한 인증 방법은 장치가 디바이스를 인증하는 인증 방법으로써, 디바이스로부터 수신된 콘텐츠 요청 메시지에 포함된 제1 암호화 값을 미리 설정된 세션 키를 통해 복호화하여 콘텐츠 요청 메시지에 대한 유효성을 검증하는 단계, 콘텐츠 요청 메시지에 대한 검증 결과가 유효한 경우, 장치와 디바이스간의 타임스탬프 변화량을 세션 키를 통해 암호화하여 제2 암호화 값을 생성하는 단계, 제2 암호화 값을 이용하여 디바이스에서 장치를 검증할 수 있는 검증 정보를 생성하는 단계, 그리고 콘텐츠 요청 메시지에 대응되는 콘텐츠와 함께 검증 정보를 디바이스로 전송하는 단계를 포함한다.
본 발명의 다른 특징에 따른 비실시간 IPTV 시스템을 위한 인증 방법은 장치가 디바이스를 인증하는 인증 방법으로써, 장치의 타임스탬프 및 디바이스의 타임스탬프를 이용하여 장치와 디바이스간의 세션 키를 설정하는 단계, 세션 키를 이용하여 디바이스로부터 수신된 콘텐츠 요청 메시지에 대한 유효성을 검증하는 단계, 그리고 콘텐츠 요청 메시지에 대한 검증 결과가 유효한 경우, 콘텐츠 요청 메시지에 포함된 콘텐츠 식별자에 대응되는 데이터를 포함하는 콘텐츠 응답 메시지를 디바이스로 전송하는 단계를 포함한다.
본 발명의 또 다른 특징에 따른 비실시간 IPTV 시스템을 위한 인증 장치는 인터넷 프로토콜 텔레비전(IPTV) 시스템의 인증 장치로써, 인증 에이전트, 사용자 에이전트 및 정책 에이전트를 포함한다. 인증 에이전트는 디바이스와 인증 장치간의 세션 키를 설정하고, 세션 키를 이용하여 디바이스로부터 수신된 데이터 요청 메시지에 대한 유효성을 검증한다. 사용자 에이전트는 디바이스에서 인증 장치를 검증할 수 있는 검증 정보를 생성한다. 정책 에이전트는 데이터 요청 메시지에 따라 요청된 데이터 및 검증 정보를 포함하는 데이터 응답 메시지를 디바이스로 전송한다.
본 발명에 따르면, 상호 세션 키를 생성하기 위해 타임스탬프의 변화량을 이용하여 서비스 거부 공격에 대한 안전성을 유지할 수 있는 효과가 있다. 또한, 전송 정보에 대한 세션 키 기반의 암호 통신과 해시 알고리즘을 통해 IPTV 서비스에 대한 무결성 서비스를 제공할 수 있는 효과가 있다.
도 1은 본 발명의 실시 예에 따른 인터넷 프로토콜 텔레비전 시스템의 구성을 도시한 도면이다.
도 2는 본 발명의 실시 예에 따른 인증 장치의 구성을 도시한 도면이다.
도 3은 본 발명의 실시 예에 따른 디바이스의 세션 키 설정 방법을 도시한 도면이다.
도 4는 본 발명의 실시 예에 따른 인증 장치의 세션 키 설정 방법을 도시한 도면이다.
도 5는 본 발명의 실시 예에 따른 콘텐츠 제공 방법을 도시한 도면이다.
도 6은 본 발명의 실시 예에 따른 인증 방법을 도시한 도면이다.
본 발명을 첨부된 도면을 참고하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 고지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이제, 도면을 참고하여 본 발명의 실시 예에 따른 비실시간 IPTV 시스템을 위한 인증 장치 및 방법에 대해 설명한다.
먼저, 도 1을 참고하여 본 발명의 실시 예에 따른 인터넷 프로토콜 텔레비전 시스템에 대해 설명한다.
도 1은 본 발명의 실시 예에 따른 인터넷 프로토콜 텔레비전 시스템의 구성을 도시한 도면이다.
도 1에 도시된 바와 같이, 인터넷 프로토콜 텔레비전 시스템(Internet Protocol Television System, 이하에서는 'IPTV 시스템'이라고도 함)(100)은 인터넷 망을 이용하여 디바이스(200)에게 양방향 텔레비전 서비스를 제공하는 시스템으로써, 인증 장치(110) 및 콘텐츠 서버(130)를 포함한다.
인증 장치(110)는 디바이스(200)를 등록 및 인증하고, 디바이스(200)의 요청에 따라 콘텐츠 서버(130)에 저장된 콘텐츠를 디바이스(200)에 제공한다.
콘텐츠 서버(130)는 저장된 콘텐츠를 인증 장치(110)를 통해 인증된 디바이스(200)에 제공한다.
다음은 도 2를 참고하여 본 발명의 실시 예에 따른 인증 장치에 대해 설명한다.
도 2는 본 발명의 실시 예에 따른 인증 장치의 구성을 도시한 도면이다.
도 2에 도시된 바와 같이, 인증 장치(110)는 인증 에이전트(Authentication Agent, 이하에서는 'AA'라고도 함)(111), 사용자 에이전트(User Agent, 이하에서는 'UA'라고도 함)(113), 제어 에이전트(Control Agent, 이하에서는 'CA'라고도 함)(115) 및 정책 에이전트(Policy Agent, 이하에서는 'PA'라고도 함)(117)를 포함한다.
인증 에이전트(AA)(111)는 디바이스(200)를 등록하고, 등록된 디바이스(200)에 대한 인증을 수행한다.
사용자 에이전트(UA)(113)는 사용자들의 콘텐츠 사용 유형 및 기호 정보 등 사용자의 개인 정보를 저장하고 관리한다.
제어 에이전트(CA)(115)는 멀티미디어 콘텐츠의 재사용을 위해 사용자가 구매한 콘텐츠 정보를 저장하고 관리한다.
정책 에이전트(PA)(117)는 하나의 콘텐츠를 서로 다른 디바이스에 제공하기 위해 사용자의 정보 및 디바이스의 정보에 따라 보안 정책을 유동적으로 관리한다.
다음은 도 3을 참고하여 본 발명의 실시 예에 따른 디바이스가 세션 키를 설정하는 방법에 대해 설명한다.
도 3은 본 발명의 실시 예에 따른 디바이스의 세션 키 설정 방법을 도시한 도면이다.
도 3에 도시된 바와 같이, 먼저, 디바이스(200)는 디바이스(200)와 인증 장치(110)간의 세션 키를 설정하기 위해 사용자로부터 미리 설정된 디바이스(200)의 패스워드(password, 이하에서는 'pw'라고도 함)를 수신한다(S101).
다음, 디바이스(200)는 패스워드(pw)가 수신됨에 따라 세션 키의 생성에 사용되는 제1 난수(이하에서는 'rD'라고도 함)를 생성한다(S103).
이후, 디바이스(200)는 생성된 제1 난수(rD)를 이용하여 제1 연산 값(이하에서는 'A'라고도 함)을 생성한다(S105). 여기서, 디바이스(200)는 수학식 1에 따라 제1 연산 값(A)을 계산할 수 있다.
Figure pat00001
수학식 1에서, "g"는 지수승 연산자를 나타내고, "mod"는 모듈러 연산자를 나타낸다. 또한, "rD"는 제1 난수를 나타내고, "n"은 모듈러 연산자의 제수를 나타낸다.
다음, 디바이스(200)는 수신된 패스워드(pw)와 디바이스(200)의 타임스탬프(이하에서는 'TD'라고도 함)를 이용하여 제1 해시 값(이하에서는 'hD'라고도 함)을 생성한다(S107). 여기서, 디바이스(200)는 수학식 2에 따라 제1 해시 값(hD)를 계산할 수 있다.
Figure pat00002
수학식 3에서, "H()"는 해시 함수를 나타내고, "
Figure pat00003
"는 배타적 논리합(eXclusive OR, 이하에서는 'XOR'라고도 함)을 나타낸다. 또한, "pw"는 수신된 패스워드를 나타내고, "TD"는 디바이스(200)의 타임스탬프를 나타낸다.
이후, 디바이스(200)는 디바이스(200)와 인증 장치(110)간의 세션 키를 설정하기 위한 키 설정 요청 메시지를 인증 장치(110)로 전송한다(S109). 여기서, 키 설정 요청 메시지는 디바이스(200)의 식별자(이하에서는 'IDD'라고도 함), 제1 해시 값(hD), 디바이스(200)의 타임스탬프(TD) 및 제1 연산값(A)을 포함한다.
다음, 디바이스(200)는 인증 장치(110)로부터 전송된 키 설정 요청 메시지에 대한 응답으로 키 설정 응답 메시지를 수신한다(S111).
이후, 디바이스(200)는 수신된 키 설정 응답 메시지에서 세션 키 설정을 위한 제1 키 설정 정보를 추출한다(S113). 여기서, 제1 키 설정 정보는 제2 난수(이하에서는 'rAA'라고도 함) 및 인증 에이전트(111)의 타임스탬프(이하에서는 'TAA'라고도 함)를 포함한다. 이때, 제2 난수(rAA)는 인증 장치(110)의 인증 에이전트(111)를 통해 생성될 수 있다.
다음, 디바이스(200)는 인증 에이전트(111)의 타임스탬프(TAA)와 디바이스(200)의 타임스탬프(TD)를 이용하여 타임스탬프 변화량(이하에서는 'ΔT'라고도 함)을 생성한다(S115). 여기서, 디바이스(200)는 수학식 3에 따라 타임스탬프 변화량(ΔT)을 계산할 수 있다.
Figure pat00004
수학식 3에서, "TAA"는 인증 에이전트(111)의 타임스탬프를 나타내고, "TD"는 디바이스(200)의 타임스탬프를 나타낸다.
이후, 디바이스(200)는 제1 난수(rD), 제2 난수(rAA) 및 타임스탬프 변화량(ΔT)을 이용하여 디바이스(200)와 인증 장치(110)간의 세션 키(이하에서는 'k'라고도 함)를 생성한다(S117). 여기서, 디바이스(200)는 수학식 4에 따라 세션 키(k)를 계산할 수 있다.
Figure pat00005
수학식 4에서, "g"는 지수승 연산자를 나타내고, "
Figure pat00006
"는 배타적 논리합(XOR)을 나타낸다. 또한, "rD"는 제1 난수를 나타내고, "rAA"는 제2 난수를 나타내며, "ΔT"는 타임스탬프 변화량을 나타낸다.
다음은, 도 4를 참고하여 본 발명의 실시 예에 따른 인증 장치가 세션 키를 설정하는 방법에 대해 설명한다.
도 4는 본 발명의 실시 예에 따른 인증 장치의 세션 키 설정 방법을 도시한 도면이다.
도 4에 도시된 바와 같이, 먼저, 인증 장치(110)의 인증 에이전트(111)는 디바이스(200)로부터 디바이스(200)와 인증 장치(110)간의 세션 키를 설정하기 위한 키 설정 요청 메시지를 수신한다(S201). 여기서, 키 설정 요청 메시지는 디바이스(200)의 식별자(이하에서는 'IDD'라고도 함), 제1 해시 값(hD), 디바이스(200)의 타임스탬프(TD) 및 제1 연산값(A)을 포함한다.
다음, 인증 장치(110)의 인증 에이전트(111)는 키 설정 요청 메시지가 수신됨에 따라 세션 키의 생성에 사용되는 제2 난수(rAA)를 생성한다(S203).
이후, 인증 장치(110)의 인증 에이전트(111)는 생성된 제2 난수(rAA)를 이용하여 제2 연산값(이하에서는 'B'라고도 함)을 생성한다(S205). 여기서, 인증 장치(110)의 인증 에이전트(111)는 수학식 5에 따라 제2 연산값(B)을 계산할 수 있다.
Figure pat00007
수학식 5에서, "g"는 지수승 연산자를 나타내고, "mod"는 모듈러 연산자를 나타낸다. 또한, "rAA"는 제2 난수를 나타내고, "n"은 모듈러 연산자의 제수를 나타낸다.
다음, 인증 장치(110)의 인증 에이전트(111)는 인증 에이전트(111)의 식별자(이하에서는 'IDAA'라고도 함)와 인증 에이전트(111)의 타임스탬프(이하에서는 'TAA'라고도 함)를 이용하여 제2 해시 값(이하에서는 'hAA'라고도 함)을 생성한다(S207). 여기서, 인증 장치(110)의 인증 에이전트(111)는 수학식 6에 따라 제2 해시 값(hAA)을 계산할 수 있다.
Figure pat00008
수학식 6에서, "H()"는 해시 함수를 나타내고, "
Figure pat00009
"는 배타적 논리합(XOR)을 나타낸다. 또한, "IDAA"는 인증 에이전트(111)의 식별자를 나타내고, "TAA"는 인증 에이전트(111)의 타임스탬프를 나타낸다.
이후, 인증 장치(110)의 인증 에이전트(111)는 수신된 키 설정 요청 메시지의 응답으로 키 설정 응답 메시지를 디바이스(200)로 전송한다(S209). 여기서, 키 설정 응답 메시지는 인증 에이전트(111)의 식별자(IDAA), 제2 해시 값(hAA), 인증 에이전트(111)의 타임스탬프(TAA) 및 제2 연산값(B)을 포함한다.
다음, 인증 장치(110)의 인증 에이전트(111)는 수신된 키 설정 요청 메시지에서 세션 키 설정을 위한 제2 키 설정 정보를 추출한다(S211). 여기서, 제2 키 설정 정보는 제1 난수(rD) 및 디바이스(200)의 타임스탬프(TD)를 포함한다. 이때, 인증 장치(110)의 인증 에이전트(111)는 키 설정 요청 메시지에 포함된 제1 연산값(A)으로부터 제1 난수(rD)를 추출할 수 있다.
이후, 인증 장치(110)의 인증 에이전트(111)는 인증 에이전트(111)의 타임스탬프(TAA)와 디바이스(200)의 타임스탬프(TD)를 이용하여 타임스탬프 변화량(이하에서는 'ΔT'라고도 함)을 생성한다(S213). 여기서, 인증 장치(110)의 인증 에이전트(111)는 수학식 7에 따라 타임스탬프 변화량(ΔT)을 계산할 수 있다.
Figure pat00010
수학식 7에서, "TAA"는 인증 에이전트(111)의 타임스탬프를 나타내고, "TD"는 디바이스(200)의 타임스탬프를 나타낸다.
다음, 인증 장치(110)의 인증 에이전트(111)는 제1 난수(rD), 제2 난수(rAA) 및 타임스탬프 변화량(ΔT)을 이용하여 디바이스(200)와 인증 장치(110)간의 세션 키(k)를 생성한다(S215). 여기서, 디바이스(200)는 수학식 8에 따라 세션 키(k)를 계산할 수 있다.
Figure pat00011
수학식 8에서, "g"는 지수승 연산자를 나타내고, "
Figure pat00012
"는 배타적 논리합(XOR)을 나타낸다. 또한, "rD"는 제1 난수를 나타내고, "rAA"는 제2 난수를 나타내며, "ΔT "는 타임스탬프 변화량을 나타낸다.
다음은 도 5를 참고하여 본 발명의 실시 예에 따른 디바이스가 사용자에게 콘텐츠를 제공하는 방법에 대해 설명한다.
도 5는 본 발명의 실시 예에 따른 콘텐츠 제공 방법을 도시한 도면이다.
도 5에 도시된 바와 같이, 먼저, 디바이스(200)는 IPTV 시스템(100)으로 콘텐츠(contentsi)를 요청하기 위해 사용자로부터 미리 설정된 디바이스(200)의 패스워드(pw)를 수신한다(S301).
이후, 디바이스(200)는 디바이스(200)의 인증에 사용되는 제3 난수(이하에서는 'a'라고도 함) 및 제4 난수(이하에서는 'b'라고도 함)를 생성한다(S303).
다음, 디바이스(200)는 수신된 패스워드(pw)를 이용하여 제1 암호화 값(이하에서는 'SD'라고도 함)을 생성한다(S305). 여기서, 디바이스(200)는 수학식 9에 따라 제1 암호화 값(SD)을 계산할 수 있다.
Figure pat00013
수학식 9에서, "Ek()"는 세션 키(k)를 이용한 암호화 연산을 나타내고, "?"는 연접(concatenation) 연산자를 나타내며, "H()"는 해시 함수를 나타낸다. 또한, "rD"는 제1 난수를 나타내고, "pw"는 수신된 패스워드를 나타내며, "b"는 제4 난수를 나타낸다.
이후, 디바이스(200)는 생성된 제1 암호화 값(SD)를 이용하여 콘텐츠 요청 메시지(이하에서는 'eD'라고도 함)를 생성한다(S307). 여기서, 콘텐츠 요청 메시지(eD)는 디바이스(200)의 식별자(IDD), 콘텐츠(contentsi)의 식별자(IDC), 디바이스(200)의 타임스탬프(TD), 제1 암호화 값(SD), 제3 난수(a) 및 제4 난수(b)를 포함한다.
다음, 디바이스(200)는 생성된 콘텐츠 요청 메시지를 인증 장치(110)로 전송한다(S309).
이후, 디바이스(200)는 인증 장치(110)로부터 콘텐츠 응답 메시지를 수신한다(S311). 여기서, 콘텐츠 응답 메시지는 요청된 콘텐츠(contentsi) 및 콘텐츠(contentsi)의 서비스 레벨(Service Level, 이하에서는 'SLi'라고도 함)을 포함한다. 또한, 콘텐츠 응답 메시지는 콘텐츠 응답 메시지에 대한 검증 정보를 더 포함할 수 있다.
다음, 디바이스(200)는 검증 정보를 이용하여 수신된 콘텐츠 응답 메시지에 대한 유효성을 검증한다(S313). 여기서, 디바이스(200)는 검증 정보를 이용하여 제3 난수(a)와 제4 난수(b)의 최대공약수 및 최소공배수를 추출하고, 제3 난수(a) 및 제4 난수(b)를 이용하여 추출된 최대공약수 및 최소공배수를 검증하여 콘텐츠 응답 메시지에 대한 유효성을 검증할 수 있다.
이후, 디바이스(200)는 수신된 콘텐츠 응답 메시지가 유효한 경우에 수신된 콘텐츠 응답 메시지에 포함된 콘텐츠(contentsi)를 사용자에게 제공한다(S315).
다음은 도 6을 참고하여 본 발명의 실시 예에 따른 인증 장치가 요청된 콘텐츠를 제공하기 위해 인증을 수행하는 방법에 대해 설명한다.
도 6은 본 발명의 실시 예에 따른 인증 방법을 도시한 도면이다.
도 6에 도시된 바와 같이, 먼저, 인증 장치(110)의 사용자 에이전트(113)는 디바이스(200)로부터 콘텐츠 요청 메시지(eD)를 수신한다(S401). 여기서, 콘텐츠 요청 메시지(eD)는 디바이스(200)의 식별자(IDD), 콘텐츠(contentsi)의 식별자(IDC), 디바이스(200)의 타임스탬프(TD), 제1 암호화 값(SD), 제3 난수(a) 및 제4 난수(b)를 포함한다.
다음, 인증 장치(110)의 인증 에이전트(111)는 미리 설정된 디바이스(200)와 인증 장치(110)간의 세션 키(k)를 이용하여 제1 암호화 값(SD)를 복호화하여 제1 난수(rD) 및 제3 해시 값(이하에서는 'H(pw)'라고도 함)을 추출한다(S403).
이후, 인증 장치(110)의 인증 에이전트(111)는 추출된 제1 난수(rD) 및 제3 해시 값(H(pw))을 이용하여 콘텐츠 요청 메시지(eD)에 대한 유효성을 검증한다(S405). 여기서, 인증 장치(110)의 인증 에이전트(111)는 디바이스(200)의 초기 등록 값과 추출된 제1 난수(rD) 및 제3 해시 값(H(pw))을 비교하여 콘텐츠 요청 메시지(eD)에 대한 유효성을 검증할 수 있다. 이때, 인증 장치(110)의 인증 에이전트(111)는 세션 키(k)의 생성에 이용된 제1 난수(rD)와 추출된 제1 난수(rD)간의 동일성을 비교할 수 있고, 미리 설정된 디바이스(200)의 패스워드(pw)에 대한 해시 값과 추출된 제3 해시 값(H(pw))간의 동일성을 비교할 수 있다.
다음, 콘텐츠 요청 메시지(eD)의 검증 결과가 유효한 경우, 인증 장치(110)의 인증 에이전트(111)는 제2 난수(rAA), 제4 난수(b) 및 타임스탬프 변화량(ΔT)을 이용하여 제2 암호화 값(이하에서는 'SAA'라고도 함)을 생성한다(S407). 여기서, 인증 장치(110)의 인증 에이전트(111)는 수학식 10에 따라 제2 암호화 값(SAA)을 계산할 수 있다.
Figure pat00014
수학식 10에서, "Ek()"는 세션 키(k)를 이용한 암호화 연산을 나타내고, "?"는 연접(concatenation) 연산자를 나타낸다. 또한, "b"는 제4 난수를 나타내고, "ΔT "는 타임스탬프 변화량을 나타내며, "rAA"는 제2 난수를 나타낸다.
이후, 인증 장치(110)의 제어 에이전트(115)는 제3 난수(a)와 제4 난수(b)의 최대공약수(이하에서는 'C1'라고도 함) 및 최소공배수(이하에서는 'C2'라고도 함)를 계산한다(S409). 여기서, 인증 장치(110)의 제어 에이전트(115)는 수학식 11에 따라 최대공약수(C1) 및 최소공배수(C2)를 계산할 수 있다.
Figure pat00015
다음, 인증 장치(110)의 사용자 에이전트(113)는 계산된 최대공약수(C1), 최소공배수(C2) 및 제2 암호화 값을 이용하여 제1 검증 값(이하에서는 'X'라고도 함) 및 제2 검증 값(이하에서는 'Y'라고도 함)을 생성한다(S411). 여기서, 인증 장치(110)의 사용자 에이전트(113)는 수학식 12에 따라 제1 검증 값(X) 및 제2 검증 값(Y)을 계산할 수 있다.
Figure pat00016
수학식 12에서, "
Figure pat00017
"는 배타적 논리합(XOR)을 나타낸다. 또한, "C1"은 제3 난수(a)와 제4 난수(b)의 최대공약수를 나타내고, "C2"는 제3 난수(a)와 제4 난수(b)의 최소공배수를 나타내며, "SAA"는 제2 암호화 값을 나타낸다.
이후, 인증 장치(110)의 정책 에이전트(117)는 콘텐츠 서버(130)로부터 콘텐츠의 식별자(IDC)에 대응되는 콘텐츠(이하에서는 'Contentsi'라고도 함)를 수신한다(S413). 여기서, 수신된 콘텐츠(Contentsi)는 선택적 영역만이 암호화된 데이터에 해당한다.
다음, 인증 장치(110)의 정책 에이전트(117)는 수신된 콘텐츠(Contentsi)를 이용하여 제4 해시 값(이하에서는 'hPA'라고도 함)을 생성한다(S415). 여기서, 인증 장치(110)의 정책 에이전트(117)는 수학식 13에 따라 제4 해시 값(hPA)을 계산할 수 있다.
Figure pat00018
수학식 13에서, "H()"는 해시 함수를 나타내고, "
Figure pat00019
"는 배타적 논리합(XOR)을 나타내며, "?"는 연접 연산자를 나타낸다. 또한, "C1"은 제3 난수(a)와 제4 난수(b)의 최대공약수를 나타내고, "C2"는 제3 난수(a)와 제4 난수(b)의 최소공배수를 나타내며, "SLi"는 콘텐츠(Contentsi)의 서비스 레벨(service level)을 나타내고, "TPA"는 정책 에이전트(117)의 타임스탬프를 나타낸다.
이후, 인증 장치(110)의 인증 에이전트(111)는 생성된 제4 해시 값(hPA)를 이용하여 수신된 콘텐츠(Contentsi)에 대한 유효성을 검증한다(S417).
다음, 인증 장치(110)의 정책 에이전트(117)는 콘텐츠 요청 메시지(eD)의 응답으로 콘텐츠 응답 메시지를 디바이스(200)로 전송한다(S419). 여기서, 콘텐츠 응답 메시지는 콘텐츠(Contentsi), 제1 검증 값(X), 제2 검증 값(Y) 및 콘텐츠(Contentsi)의 서비스 레벨(service level)을 포함한다.
이상에서와 같이 도면과 명세서에서 최적의 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사사에 의해 정해져야 할 것이다.
100: IPTV 시스템 110: 인증 장치
111: 인증 에이전트 113: 사용자 에이전트
115: 제어 에이전트 117: 정책 에이전트
130: 콘텐츠 서버 200: 디바이스

Claims (17)

  1. 장치가 디바이스를 인증하는 인증 방법에 있어서,
    상기 디바이스로부터 수신된 콘텐츠 요청 메시지에 포함된 제1 암호화 값을 미리 설정된 세션 키를 통해 복호화하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 단계;
    상기 콘텐츠 요청 메시지에 대한 검증 결과가 유효한 경우, 상기 장치와 상기 디바이스간의 타임스탬프 변화량을 상기 세션 키를 통해 암호화하여 제2 암호화 값을 생성하는 단계;
    상기 제2 암호화 값을 이용하여 상기 디바이스에서 상기 장치를 검증할 수 있는 검증 정보를 생성하는 단계; 및
    상기 콘텐츠 요청 메시지에 대응되는 콘텐츠와 함께 상기 검증 정보를 상기 디바이스로 전송하는 단계를 포함하는 비실시간 IPTV 시스템을 위한 인증 방법.
  2. 제1항에 있어서,
    상기 검증하는 단계는
    상기 제1 암호화 값을 상기 세션 키를 통해 복호화하여 추출된 복호화 값과 상기 디바이스의 등록 정보를 비교하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 비실시간 IPTV 시스템을 위한 인증 방법.
  3. 제2항에 있어서,
    상기 검증하는 단계는
    상기 복호화 값과 상기 디바이스의 패스워드에 대한 해시 값간의 동일성을 비교하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 비실시간 IPTV 시스템을 위한 인증 방법.
  4. 제1항에 있어서,
    상기 검증 정보를 생성하는 단계는
    상기 제2 암호화 값 및 상기 콘텐츠 요청 메시지에 포함된 복수 개의 난수들을 이용하여 상기 검증 정보를 생성하는 비실시간 IPTV 시스템을 위한 인증 방법.
  5. 제4항에 있어서,
    상기 검증 정보를 생성하는 단계는
    상기 복수 개의 난수들에 포함된 제1 난수와 제2 난수간의 공약수 및 공배수를 계산하는 단계;
    상기 공약수와 상기 제2 암호화 값을 이용하여 제1 검증 값을 생성하는 단계; 및
    상기 공배수와 상기 제2 암호화 값을 이용하여 제2 검증 값을 생성하는 단계를 포함하는 비실시간 IPTV 시스템을 위한 인증 방법.
  6. 제5항에 있어서,
    상기 공약수는 상기 제1 난수와 상기 제2 난수간의 최대공약수이고, 상기 공배수는 상기 제1 난수와 상기 제2 난수간의 최소공배수인 비실시간 IPTV 시스템을 위한 인증 방법.
  7. 장치가 디바이스를 인증하는 인증 방법에 있어서,
    상기 장치의 타임스탬프 및 상기 디바이스의 타임스탬프를 이용하여 상기 장치와 상기 디바이스간의 세션 키를 설정하는 단계;
    상기 세션 키를 이용하여 상기 디바이스로부터 수신된 콘텐츠 요청 메시지에 대한 유효성을 검증하는 단계; 및
    상기 콘텐츠 요청 메시지에 대한 검증 결과가 유효한 경우, 상기 콘텐츠 요청 메시지에 포함된 콘텐츠 식별자에 대응되는 데이터를 포함하는 콘텐츠 응답 메시지를 상기 디바이스로 전송하는 단계를 포함하는 비실시간 IPTV 시스템을 위한 인증 방법.
  8. 제7항에 있어서,
    상기 설정하는 단계는
    상기 장치의 타임스탬프와 상기 디바이스의 타임스탬프간의 변화량을 이용하여 상기 세션 키를 설정하는 비실시간 IPTV 시스템을 위한 인증 방법.
  9. 제8항에 있어서,
    상기 설정하는 단계는
    상기 디바이스로부터 수신된 제1 난수, 미리 생성된 제2 난수 및 상기 변화량을 이용하여 상기 세션 키를 설정하는 비실시간 IPTV 시스템을 위한 인증 방법.
  10. 제9항에 있어서,
    상기 검증하는 단계는
    상기 콘텐츠 요청 메시지에 포함된 암호화 값을 상기 세션 키롤 통해 복호화하여 복호화 값을 추출하는 단계; 및
    상기 복호화 값과 상기 제1 난수를 비교하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 단계를 포함하는 비실시간 IPTV 시스템을 위한 인증 방법.
  11. 제7항에 있어서,
    상기 검증하는 단계는
    상기 콘텐츠 요청 메시지에 포함된 암호화 값을 상기 세션 키를 통해 복호화하여 추출된 복호화 값과 상기 디바이스의 등록 정보 비교하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 비실시간 IPTV 시스템을 위한 인증 방법.
  12. 제11항에 있어서,
    상기 검증하는 단계는
    상기 암호화 값과 상기 디바이스의 패스워드에 대한 해시 값을 비교하여 상기 콘텐츠 요청 메시지에 대한 유효성을 검증하는 비실시간 IPTV 시스템을 위한 인증 방법.
  13. 제7항에 있어서,
    상기 콘텐츠 응답 메시지는
    상기 콘텐츠 식별자에 대응되는 콘텐츠 및 상기 콘텐츠의 서비스 레벨을 포함하는 비실시간 IPTV 시스템을 위한 인증 방법.
  14. 인터넷 프로토콜 텔레비전(IPTV) 시스템의 인증 장치에 있어서,
    디바이스와 인증 장치간의 세션 키를 설정하고, 상기 세션 키를 이용하여 상기 디바이스로부터 수신된 데이터 요청 메시지에 대한 유효성을 검증하는 인증 에이전트;
    상기 디바이스에서 상기 인증 장치를 검증할 수 있는 검증 정보를 생성하는 사용자 에이전트; 및
    상기 데이터 요청 메시지에 따라 요청된 데이터 및 상기 검증 정보를 포함하는 데이터 응답 메시지를 상기 디바이스로 전송하는 정책 에이전트를 포함하는 비실시간 IPTV 시스템을 위한 인증 장치.
  15. 제14항에 있어서,
    상기 인증 에이전트는
    상기 디바이스의 타임스탬프와 상기 인증 에이전트의 타임스탬프간의 변화량을 이용하여 상기 세션 키를 설정하고, 상기 변화량을 상기 세션 키를 통해 암호화하여 상기 검증 정보를 생성하기 위한 암호화 값을 생성하는 비실시간 IPTV 시스템을 위한 인증 장치.
  16. 제15항에 있어서,
    상기 인증 장치는
    상기 데이터 요청 메시지에 포함된 제1 난수와 제2 난수간의 최대공약수 및 최소공배수를 계산하는 제어 에이전트를 더 포함하고,
    상기 사용자 에이전트는
    상기 암호화 값, 상기 최대공약수 및 상기 최소공배수를 이용하여 상기 검증 정보를 생성하는 비실시간 IPTV 시스템을 위한 인증 장치.
  17. 제14항에 있어서,
    상기 정책 에이전트는
    상기 데이터에 대한 서비스 레벨을 더 포함하는 상기 데이터 응답 메시지를 상기 디바이스로 전송하는 비실시간 IPTV 시스템을 위한 인증 장치.
KR1020100131007A 2010-12-20 2010-12-20 비실시간 iptv 시스템을 위한 인증 장치 및 방법 KR20120089903A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100131007A KR20120089903A (ko) 2010-12-20 2010-12-20 비실시간 iptv 시스템을 위한 인증 장치 및 방법
US13/170,331 US8769280B2 (en) 2010-12-20 2011-06-28 Authentication apparatus and method for non-real-time IPTV system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131007A KR20120089903A (ko) 2010-12-20 2010-12-20 비실시간 iptv 시스템을 위한 인증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20120089903A true KR20120089903A (ko) 2012-08-16

Family

ID=46236023

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131007A KR20120089903A (ko) 2010-12-20 2010-12-20 비실시간 iptv 시스템을 위한 인증 장치 및 방법

Country Status (2)

Country Link
US (1) US8769280B2 (ko)
KR (1) KR20120089903A (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719568B1 (en) * 2011-06-30 2014-05-06 Cellco Partnership Secure delivery of sensitive information from a non-communicative actor
DE102016117101A1 (de) * 2016-09-12 2018-03-15 Komet Group Gmbh Verfahren zum Überwachen von zumindest einer Werkzeugmaschine und Fertigungsanlage

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US7916868B1 (en) * 2004-05-06 2011-03-29 Verizon Data Services Llc Quadratic residue based password authenticated key exchange method and system
CN101796837B (zh) 2007-09-11 2012-12-19 Lg电子株式会社 安全签名方法、安全认证方法和iptv***
US8533474B2 (en) 2008-02-27 2013-09-10 Red Hat, Inc. Generating session keys

Also Published As

Publication number Publication date
US20120159161A1 (en) 2012-06-21
US8769280B2 (en) 2014-07-01

Similar Documents

Publication Publication Date Title
US10142297B2 (en) Secure communication method and apparatus
US20240007308A1 (en) Confidential authentication and provisioning
CN109309565B (zh) 一种安全认证的方法及装置
CN108173662B (zh) 一种设备的认证方法和装置
Tan et al. Comments on “dual authentication and key management techniques for secure data transmission in vehicular ad hoc networks”
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN108418691A (zh) 基于sgx的动态网络身份认证方法
CN105553666B (zh) 一种智能电力终端安全认证***及方法
KR101531662B1 (ko) 사용자 단말과 서버간 상호 인증 방법 및 시스템
CN113691560A (zh) 数据传送方法、控制数据使用的方法以及密码设备
CN108809903B (zh) 一种认证方法、装置及***
CN111159684B (zh) 一种基于浏览器的安全防护***和方法
KR101765081B1 (ko) 클라우드 컴퓨팅을 위한 안전한 속성기반 인증 방법
CN111740995B (zh) 一种授权认证方法及相关装置
EP3000216B1 (en) Secured data channel authentication implying a shared secret
CN103701787A (zh) 一种基于公开密钥算法实现的用户名口令认证方法
CN110383755B (zh) 网络设备和可信第三方设备
Dua et al. Replay attack prevention in Kerberos authentication protocol using triple password
CN101192927B (zh) 基于身份保密的授权与多重认证方法
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
CN114513339A (zh) 一种安全认证方法、***及装置
CN110138558B (zh) 会话密钥的传输方法、设备及计算机可读存储介质
CN104394532A (zh) 移动端防暴力破解的安全登录方法
KR20120089903A (ko) 비실시간 iptv 시스템을 위한 인증 장치 및 방법
Kim et al. A secure channel establishment method on a hardware security module