KR20080073556A - Domain-based mobile agent authentication system and method thereof - Google Patents
Domain-based mobile agent authentication system and method thereof Download PDFInfo
- Publication number
- KR20080073556A KR20080073556A KR1020070012294A KR20070012294A KR20080073556A KR 20080073556 A KR20080073556 A KR 20080073556A KR 1020070012294 A KR1020070012294 A KR 1020070012294A KR 20070012294 A KR20070012294 A KR 20070012294A KR 20080073556 A KR20080073556 A KR 20080073556A
- Authority
- KR
- South Korea
- Prior art keywords
- agent
- domain
- information
- authentication
- platform
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
도 1은 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 시스템을 도시한 블록도,1 is a block diagram illustrating a domain-based mobile agent authentication system according to an embodiment of the present invention;
도 2는 본 발명의 일실시예에 따른 에이전트플랫폼의 구조를 도시한 블록도,2 is a block diagram showing the structure of an agent platform according to an embodiment of the present invention;
도 3은 본 발명의 일실시예에 따른 도메인관리서버의 구조를 도시한 블록도,3 is a block diagram showing the structure of a domain management server according to an embodiment of the present invention;
도 4는 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 방법을 설명하는 흐름도.4 is a flowchart illustrating a domain-based mobile agent authentication method according to an embodiment of the present invention.
* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings
10: 이동에이전트 20: 에이전트플랫폼10: Mobile Agent 20: Agent Platform
21: 에이전트생성수단 22: 등록요청수단21: Agent creation means 22: Registration request means
23: 키생성수단 24: 인증자생성수단23: key generation means 24: authenticator generation means
25: 지역인증수단 30: 도메인관리서버25: local authentication means 30: domain management server
31: 공유키관리수단 32: 플랫폼관리수단31: shared key management means 32: platform management means
33: 전역인증수단 40: 인증기관서버33: global authentication means 40: certificate authority server
본 발명은 도메인(Domain) 기반 이동에이전트(Mobile Agent) 인증 시스템 및 그 인증 방법에 관한 것으로, 특히 악의를 가진 이동에이전트로부터 에이전트 플랫폼(Agent Platform)을 보호하기 위해 이동에이전트가 가지고 있는 인증정보를 이용하여 이동에이전트의 신원을 확인하고 정당하지 못한 이동에이전트의 유입을 막음으로써 에이전트 플랫폼을 보호하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 관한 것이다. The present invention relates to a domain-based mobile agent authentication system and an authentication method thereof. In particular, the present invention uses authentication information possessed by a mobile agent to protect an agent platform from malicious mobile agents. The present invention relates to a domain-based mobile agent authentication system and an authentication method for protecting an agent platform by verifying the identity of a mobile agent and preventing an inflow of an illegal mobile agent.
일반적으로 이동에이전트는 능동적이고 자율적인 소프트웨어 객체(Software Object)를 말한다. 이러한 이동에이전트를 유비쿼터스 컴퓨팅(Ubiquitous Computing)에 적용할 경우 다양한 서비스를 제공할 수 있다. 좀 더 구체적으로 설명하자면, 이동에이전트는 연산 로직(Logic)과 상태 정보를 포함하고 있는 능동적이고 자율적이며 자기복제가 가능한 소프트웨어 객체이다. 이동에이전트는 한 호스트에서 연산을 수행하다가 자신의 상태 정보를 가지고 다른 호스트로 이동하여 이전 호스트에서 수행했던 연산을 계속 수행할 수 있다. 이러한 이동에이전트의 응용 분야로는 전자상거래, 개인화 지원 서비스, 분산 정보 검색, 모니터링 및 네트워크 관리 등이 있다. 이동에이전트를 이용한 응용 서비스는 기존의 클라이언트-서버 기반 응용 서비스에 비해 네트워크 사용의 감소, 서비스 인터페이스의 동적인 갱신, 결합허용성(Fault Tolerance), 이종 환경에서의 동작 가능 등의 장점을 갖는다. In general, a mobile agent refers to an active and autonomous software object. When applying the mobile agent to ubiquitous computing (Ubiquitous Computing) can provide a variety of services. More specifically, a mobile agent is an active, autonomous, self-replicating software object that contains computational logic and state information. A mobile agent can perform operations on one host, then move to another host with its state information and continue to perform operations on the previous host. Applications of these mobile agents include e-commerce, personalization support services, distributed information retrieval, monitoring, and network management. Application services using mobile agents have advantages such as reduced network usage, dynamic update of service interfaces, fault tolerance, and operation in heterogeneous environments, compared to existing client-server based application services.
그러나 이동에이전트를 실제 생활환경에 적용하고자 하는 경우에 보안상으로 취약하다는 문제가 발생한다. 예를 들어, 악의를 가진 외부의 개체가 다른 이동에이전트로 신분을 위장하거나, 위장한 신분의 권한을 이용하여 자신의 권한으로는 접근할 수 없는 서비스를 이용하거나, 다른 이동에이전트로 위장하여 에이전트 플랫폼을 공격하는 등의 문제가 있을 수 있다. 이외에도 악의를 가진 개체가 서비스를 제공하는 이동에이전트를 중간에 가로채어 내부의 사용자 개인 정보 및 서비스 실행 결과 등을 입수 또는 변경할 수도 있다.However, there is a problem that security agents are vulnerable in case of applying mobile agent to real life environment. For example, a malicious external entity may impersonate an identity with another mobile agent, use a masqueraded identity to use a service that is inaccessible to its own authority, or impersonate another mobile agent to There may be problems such as attacking. In addition, a malicious entity may intercept a mobile agent providing a service to obtain or change internal user personal information and service execution results.
이와 같이 에이전트 보안 기술의 일례가 대한민국 특허 등록공보 제0432236호(2004.05.10 등록, 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템)에 개시되어 있다.As such, an example of an agent security technology is disclosed in Korean Patent Registration Publication No. 0432236 (Universal Information Protection System with Registration, May 10, 2004, object-based integrated control and management).
상기 대한민국 특허 등록공보 제0432236호에 개시된 기술은 분산 네트워크 환경에서 중요시되는 시스템간 상호 호환 및 연동과 기구축된 시스템의 안정성 보장을 위해 분산 객체 기술 및 통합 관제 기술을 통해 각 시스템에 대한 통합 관제 및 관리기능을 제공하며 범용의 정보보호 서비스를 제공하는 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템에 관한 것으로, 분산 네트워크 환경에서 필수적인 시스템간 상호 호환 및 연동과 기구축된 시스템의 안정성 보장을 위해 매니저와 통합 관제/관리 서버와 지능형 이동 에이전트를 포함하는 구성으로 이루어진다고 기재되어 있다. 즉, 상기 공보 제0432236호에 개시된 기술에서는 분산 객체 기술을 기반의 높은 이식성을 통해 각 시스템에 대한 통합 관제 및 관리기능을 제공하며 또한 인증, 기밀성, 무결성, 접근 제어 그리고 부인 방지 등의 범용의 정 보보호 서비스를 지원하는 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템에 대해 기재되어 있다.The technology disclosed in Korean Patent Registration Publication No. 0432236 provides integrated control for each system through distributed object technology and integrated control technology to ensure mutual compatibility and interworking between systems that are important in a distributed network environment, and to ensure stability of a built-in system. The present invention relates to a general-purpose information security system with an object-based integrated control and management function that provides management functions and provides general information security services. Risk management, integrated control / management server and intelligent mobile agent. In other words, the technique disclosed in the above-mentioned publication No. 0432236 provides integrated control and management functions for each system through high portability based on distributed object technology, and also provides general control such as authentication, confidentiality, integrity, access control, and non-repudiation. A general information security system with object-based integrated control and management functions that support security services is described.
또, 에이전트 보안 기술의 일례가 대한민국 특허 공개공보 제2006-0104839호(2006.10.09 공개, 확장성과 이동성을 고려한 멀티 에이전트 기반의 보안서비스 방법)에 개시되어 있다.In addition, an example of an agent security technology is disclosed in Korean Patent Laid-Open Publication No. 2006-0104839 (multi-agent-based security service method in consideration of disclosure, scalability and mobility on October 09, 2006).
상기 대한민국 특허 공개공보 제2006-0104839호에 개시된 기술은 멀티에이전트 기술을 이용한 유비쿼터스 환경에서 에이전트 플랫폼들 사이에서 정보 및 메시지 교환시에 발생할 수 있는 보안문제를 해결하는 보안시스템을 제공하는 확장성과 이동성을 고려한 멀티 에이전트 기반의 보안서비스 방법에 관한 것으로, 유비쿼터스 환경에서 사용자에게 필요한 응용서비스를 실행하기 위해 하나 이상의 에이전트 플랫폼을 포함하는 멀티 에이전트 기반의 시스템에 있어서 각 에이전트 플랫폼 사이에 정보교환시에 발생되는 보안의 취약성을 해결하기 위해 각 에이전트 플랫폼 내에 보안모듈을 플러그인하여 상기 보안모듈을 통해서 각 에이전트 플랫폼 사이에 정보교환이 이루어진다고 기재되어 있다. 즉, 상기 공보 제2006-0104839호에 개시된 기술에서는 보다 쉬운 보안 서비스 혜택을 적용받을 수 있는 확장성과 이동성을 보장하는 멀티 에이전트 기반의 보안서비스 방법에 대해 기재되어 있다.The technology disclosed in Korean Patent Laid-Open Publication No. 2006-0104839 provides scalability and mobility to provide a security system that solves a security problem that may occur when exchanging information and messages between agent platforms in a ubiquitous environment using multiagent technology. The present invention relates to a multi-agent-based security service method that is considered. Security in a multi-agent-based system including one or more agent platforms to execute application services required by a user in a ubiquitous environment. It is described that information is exchanged between each agent platform through the security module by plugging in a security module in each agent platform to solve the vulnerability of the system. That is, the technology disclosed in the above publication 2006-0104839 describes a multi-agent-based security service method that guarantees scalability and mobility to which easier security service benefits can be applied.
그러나 상기 공보들에 개시된 기술들을 비롯하여 종래의 이동에이전트 인증 기술에 있어서는 공개키를 이용하여 인증을 수행하므로 암호화에 비해 속도가 느려 인증 연산의 부하가 커지는 문제가 있었다. 즉, 공개키를 이용하는 암호화의 경우 대칭키를 이용하는 암호화에 비해 약 1000 ~ 5000배 느리기 때문에 연산이 오래 걸리게 된다.However, in the conventional mobile agent authentication techniques, including the techniques disclosed in the above publications, authentication is performed using a public key, which causes a problem that the load of authentication operation is increased due to the slow speed compared to encryption. In other words, the encryption using the public key takes about 1000 to 5000 times slower than the encryption using the symmetric key, so the operation takes a long time.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로서, 이동에이전트가 실행되는 환경을 도메인으로 구분한 후, 도메인 내에서의 인증은 대칭키를 사용함으로써 도메인 내 인증 시 인증 속도 및 연산 부하를 감소시키는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the above problems, and after dividing the environment in which the mobile agent is executed into domains, authentication in the domain uses a symmetric key to reduce authentication speed and computational load in the domain. It is to provide a domain-based mobile agent authentication system and a method of authentication thereof.
본 발명의 다른 목적은 유비쿼터스 컴퓨팅 환경을 포함한 다양한 환경에서 이동에이전트의 인증을 수월하게 하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.Another object of the present invention is to provide a domain-based mobile agent authentication system and an authentication method thereof for facilitating authentication of mobile agents in various environments including ubiquitous computing environments.
본 발명의 다른 목적은 PDA(Personal Digital Assistants)와 같은 소형 디바이스(Device) 상에서도 이동에이전트 인증이 가능하게 하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.Another object of the present invention is to provide a domain-based mobile agent authentication system and a method of authenticating the same, which enable mobile agent authentication even on a small device such as a personal digital assistant (PDA).
상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트, 상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼, 동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버 를 포함하고, 상기 에이전트플랫폼은 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는 경우 대칭키 기반 인증을 수행하는 것을 특징으로 한다.In order to achieve the above object, the domain-based mobile agent authentication system according to the present invention moves between hosts in a network and generates or authenticates a mobile agent, and performs the generation or authentication of the mobile agent, and performs the function of the mobile agent. Agent platform to support the realization, and includes a domain management server for managing the mobile agent or the agent platform through a domain to which the same security policy is applied, wherein the agent platform is a mobile agent is migrated from another agent platform in the same domain In this case, the symmetric key-based authentication is performed.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 에이전트플랫폼은 이동에이전트를 생성하는 에이전트생성수단, 상기 도메인관리서버에 등록을 요청하는 등록요청수단, 인증에 이용되는 지역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단, 상기 다른 이동에이전가 포함하는 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 지역인증수단을 포함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the agent platform is generated by the agent generating means for generating a mobile agent, a registration request means for requesting registration with the domain management server, by generating a local authenticator used for authentication And a local authentication means for performing the symmetric key-based authentication using a local authenticator included in the other mobile agent.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 도메인관리서버는 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단, 상기 에이전트플랫폼을 등록하여 관리하는 플랫폼관리수단을 포함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the domain management server registers the shared key management means for generating a domain shared key to be used in the domain being managed and transmitting it to the agent platform to which it belongs, the agent platform. It characterized in that it comprises a platform management means for managing.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID(Identification) 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트(Message Digest) 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the authenticator generating means is characterized in that the ID (Identification) information of the mobile agent, the ID information of the agent platform and the message digest information (Message Digest) of the mobile agent internal code; Generating authentication code with a domain shared key to generate local authentication information, and generating the local authenticator using the local authentication information, ID information of the mobile agent, ID information of the agent platform, and message digest information of the mobile agent internal code. It is characterized by.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트, 상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼, 동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버, 상기 에이전트플랫폼 또는 상기 도메인관리서버에 대한 인증을 수행하는 인증기관서버를 포함하고, 상기 에이전트플랫폼은 다른 에이전트플랫폼으로부터 이주되는 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 대칭키 기반 인증 또는 공개키 기반 인증을 수행하는 것을 특징으로 한다.In addition, to achieve the above object, the domain-based mobile agent authentication system according to the present invention is a mobile agent that moves between hosts of a network and produces or consumes information, and generates or authenticates the mobile agent and performs the authentication of the mobile agent. An agent platform supporting functions to be realized, a domain management server managing the mobile agent or the agent platform through a domain to which the same security policy is applied, and a certification authority server performing authentication on the agent platform or the domain management server. The agent platform includes symmetric key-based authentication or public key-based authentication depending on whether the mobile agent migrated from another agent platform is a migration from another agent platform or a migration from another domain in the same domain. And that is characterized.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 에이전트플랫폼은 이동에이전트를 생성하는 에이전트생성수단, 상기 도메인관리서버에 등록을 요청하는 등록요청수단, 상기 에이전트플랫폼의 공개키 또는 개인키를 생성하는 키생성수단, 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단, 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 다른 이동에이전트를 인증하는 지역인증수단을 포함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the agent platform includes an agent generating means for generating a mobile agent, a registration request means for requesting registration with the domain management server, a public key or a private key of the agent platform. Key generation means for generating a, local authenticator used for authentication or authenticator generation means for generating a global authenticator and transmitting to the mobile agent, local authentication means for authenticating another mobile agent migrated from another agent platform in the same domain Characterized in that.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 도메인관리서버는 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단, 상기 에이전트플랫폼을 등록하 여 관리하는 플랫폼관리수단, 다른 도메인으로부터 이주되는 다른 이동에이전트를 인증하는 전역인증수단을 포함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the domain management server registers the shared key management means for generating a domain shared key to be used in the domain being managed and transmitting it to the agent platform to which it belongs, the agent platform. Platform management means to manage, characterized in that it comprises a global authentication means for authenticating other mobile agents migrated from different domains.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the authenticator generating means authenticates the ID information of the mobile agent, the ID information of the agent platform, and the message digest information of the mobile agent internal code by using the domain shared key to authenticate the area. And generating the authentication information, and generating the local authenticator using the local authentication information, the ID information of the mobile agent, the ID information of the agent platform, and the message digest information of the mobile agent internal code.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 지역인증수단은 상기 다른 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 경우, 상기 다른 이동에이전트가 포함하는 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the local authentication means, if the other mobile agent is migrated from another agent platform in the same domain, the symmetric using the local authenticator included in the other mobile agent Key based authentication is performed.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고, 상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the authenticator generating means generates a hash value of ID information of the mobile agent, ID information of the agent platform and message digest information of the mobile agent internal code, and generates the agent platform. Generating global authentication information by encrypting with a private key, and generating the global authenticator using the global authentication information, ID information of the mobile agent, ID information of the agent platform, and message digest information of the mobile agent internal code. It features.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 전역인증수단은 상기 다른 이동에이전트가 다른 도메인으로부터 이주되는 경우, 상기 다른 이동에이전트가 포함하는 전역인증자를 이용하여 상기 공개키 기반 인증을 수행하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication system according to the present invention, the global authentication means, when the other mobile agent is migrated from another domain, the public key-based authentication using a global authenticator included in the other mobile agent It is characterized by performing.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 방법은 이동에이전트, 에이전트플랫폼, 도메인관리서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서, 상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계, 상기 에이전트플랫폼이 인증에 이용되는 지역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계, 상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.In addition, the domain-based mobile agent authentication method according to the present invention in order to achieve the above object is provided with a mobile agent, agent platform, domain management server and in the method for authenticating between the mobile agent and the agent platform, the agent platform the domain management Registering with a server, generating a local authenticator used for authentication by the agent platform, and transmitting the same to a mobile agent created by the agent platform; different from another agent platform in the same domain to which the same agent policy is applied. Determining whether the mobile agent is migrated, and performing symmetric key-based authentication on the other mobile agent.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 등록하는 단계는 상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계, 상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계, 상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계, 상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication method according to the present invention, in the registering step, the agent platform transmitting a registration request message to the domain management server, the domain management server registers the agent platform and the agent Configuring a secret channel with a platform, generating a domain shared key for use in a domain managed by the domain management server, and transmitting the domain shared key to the agent platform through the secret channel; Characterized in that it comprises a step.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전 송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.In the domain-based mobile agent authentication method according to the present invention, the agent platform in the step of transmitting the ID information of the mobile agent, the ID information of the agent platform and the message digest information of the mobile agent internal code to the domain shared key. The local authentication information is generated by generating an authentication code, and the local authenticator is generated using the local authentication information, the ID information of the mobile agent, the ID information of the agent platform, and the message digest information of the mobile agent internal code. do.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 대칭키 기반 인증을 수행하는 단계는 상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트의 지역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계, 상기 에이전트플랫폼이 생성된 지역인증정보와 상기 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.In the domain-based mobile agent authentication method according to the present invention, the performing of the symmetric key-based authentication may include determining whether the agent platform migrates another mobile agent from another agent platform in the same domain. A platform for receiving an authentication request or the local authenticator from the other mobile agent, wherein the agent platform ID information of the mobile agent included in the local authenticator of the other mobile agent, the ID information of the agent platform, and the message of the mobile agent internal code Generating local authentication information by authenticating digest information with a domain shared key held by the agent platform, comparing the local authentication information generated by the agent platform with local authentication information included in the local authenticator of the other mobile agent. Determining whether the characterized in that formed through the step of performing authentication.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 방법은 이동에이전트, 에이전트플랫폼, 도메인관리서버, 인증기관서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서, 상기 에이전트 플랫폼이 상기 인증기관서버로부터 인증받는 단계, 상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계, 상기 에이전트플랫폼이 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계, 상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계, 상기 도메인관리서버가 다른 도메인으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 공개키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.In addition, the domain-based mobile agent authentication method according to the present invention to achieve the above object is provided with a mobile agent, an agent platform, a domain management server, a certification authority server, and in the method for authenticating between the mobile agent and the agent platform, the agent platform Authenticating from the certification authority server, registering the agent platform with the domain management server, generating a local authenticator or a global authenticator used for authentication, and transmitting the generated agent to the mobile agent generated by the agent platform. The agent platform determines whether another mobile agent is migrated from another agent platform in the same domain to which the same security policy is applied, and performs symmetric key-based authentication for the other mobile agent. Determining whether another mobile agent is migrated from another domain and performing public key based authentication on the other mobile agent.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 인증받는 단계는 상기 에이전트플랫폼이 공개키 및 개인키 1쌍을 생성하는 단계, 상기 에이전트플랫폼이 생성된 상기 공개키를 상기 인증기관서버로 전송하는 단계, 상기 에이전트플랫폼이 상기 인증기관서버로부터 인증서를 수신하는 단계를 포함하는 것을 특징으로 한다.In the domain-based mobile agent authentication method according to the present invention, the step of authenticating the agent platform generates a pair of public key and private key, and the certificate authority server generates the public key generated by the agent platform. The step of transmitting to, characterized in that the agent platform comprises the step of receiving a certificate from the certification authority server.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 등록하는 단계는 상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계, 상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계, 상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계, 상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포 함하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication method according to the present invention, in the registering step, the agent platform transmitting a registration request message to the domain management server, the domain management server registers the agent platform and the agent Configuring a secret channel with a platform, generating a domain shared key for use in a domain managed by the domain management server, and transmitting the domain shared key to the agent platform through the secret channel; It is characterized by including the steps.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication method according to the present invention, in the transmitting step, the agent platform authenticates the mobile agent ID information, the agent platform ID information, and the mobile agent internal code message digest information with the domain shared key. Code to generate local authentication information, and generate the local authenticator using the local authentication information, ID information of the mobile agent, ID information of the agent platform, and message digest information of the mobile agent internal code. .
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고, 상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 이동에이전트가 생성된 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 한다.Further, in the domain-based mobile agent authentication method according to the present invention, in the transmitting step, the agent platform generates a hash value of ID information of the mobile agent, ID information of the agent platform, and message digest information of the mobile agent internal code. Generate global authentication information by encrypting with the private key of the agent platform, and use the global authentication information, ID information of the mobile agent, ID information of the agent platform on which the mobile agent is generated, and message digest information of the mobile agent internal code. To generate the global authenticator.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 대칭키 기반 인증을 수행하는 단계는 상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트의 지역인증 자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계, 상기 에이전트플랫폼이 생성된 지역인증정보와 상기 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.In the domain-based mobile agent authentication method according to the present invention, the performing of the symmetric key-based authentication may include determining whether the agent platform migrates another mobile agent from another agent platform in the same domain. Receiving, by the platform, an authentication request or the local authenticator from the other mobile agent, wherein the agent platform includes the ID information of the mobile agent included in the local authenticator of the other mobile agent, the ID information of the agent platform, and the mobile agent internal code. Generating local authentication information by encoding the message digest information with a domain shared key held by the agent platform, comparing the local authentication information generated by the agent platform with the local authentication information included in the local authenticator of the other mobile agent. Determining whether the characterized in that formed through the step of performing authentication.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 공개키 기반 인증을 수행하는 단계는 상기 도메인관리서버가 다른 도메인으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 도메인관리서버가 상기 다른 이동에이전트로부터 인증 요청 또는 상기 전역인증자를 수신하는 단계, 상기 도메인관리서버가 상기 인증기관서버로 상기 다른 이동에이전트가 생성된 에이전트플랫폼의 공개키를 요청하는 단계, 상기 도메인관리서버가 상기 인증기관서버로부터 상기 다른 이동에이전트가 생성된 에이전트플랫폼의 인증서를 수신하는 단계, 상기 도메인관리서버가 수신된 인증서에 포함된 공개키를 이용하여 상기 다른 이동에이전트의 전역인증자에 포함된 전역인증정보를 복호화하는 단계, 상기 도메인관리서버가 복호화된 결과와 상기 다른 이동에이전트의 전역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.In addition, in the domain-based mobile agent authentication method according to the present invention, the performing of the public key-based authentication may include: determining, by the domain management server, whether or not another mobile agent is migrated from another domain; Receiving an authentication request or the global authenticator from the other mobile agent, the domain management server requesting the certification authority server a public key of the agent platform on which the other mobile agent is generated, and the domain management server performing the authentication Receiving a certificate of an agent platform on which the other mobile agent is generated from an authority server, and using the public key included in the received certificate, the domain management server receives global authentication information included in the global authenticator of the other mobile agent; Decrypting, the domain management server Comparing the encrypted result with ID information of the mobile agent included in the global authenticator of the other mobile agent, ID information of the agent platform, and message digest information of the mobile agent internal code to determine whether they are identical and perform authentication. Characterized in that made.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시 예를 첨부한 도면을 참조하여 상세하게 설명한다. 또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. In addition, in describing this invention, the same code | symbol is attached | subjected and the repeated description is abbreviate | omitted.
본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 대해 도 1 내지 도 3에 따라 설명한다.A domain based mobile agent authentication system according to the present invention will be described with reference to FIGS.
도 1은 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 시스템을 도시한 블록도이다.1 is a block diagram illustrating a domain-based mobile agent authentication system according to an embodiment of the present invention.
도 1에서 도시한 바와 같이, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트(10), 이동에이전트(10)에 대한 생성 또는 인증을 수행하고 이동에이전트(10)의 기능이 실현되도록 지원하는 에이전트플랫폼(20), 동일한 보안 정책이 적용되는 도메인을 통해 이동에이전트(10) 및 에이전트플랫폼(20)을 관리하는 도메인관리서버(30), 에이전트플랫폼(20) 및 도메인관리서버(30)에 대한 인증을 수행하는 인증기관서버(40)를 구비한다.As shown in FIG. 1, the domain-based mobile agent authentication system according to the present invention performs or generates or authenticates a
본 발명에서 도메인은 공통적인 보안 정책이 적용되는 논리적인 단위를 말한다. 단일 도메인은 도 1에서 도시한 바와 같이 이동에이전트(10), 에이전트플랫폼(20), 도메인 내 인증을 담당하는 도메인관리서버(30)로 구성된다. 또, 다중 도메인은 단일 도메인이 연결된 것을 말한다. 에이전트플랫폼(20)은 다른 에이전트플 랫폼으로부터 이주되는 이동에이전트(10)가 동일 도메인 내에서의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 대칭키 기반 인증 또는 공개키 기반 인증(Public Key Infrastructure, PKI)을 수행하여 이주되는 이동에이전트(10)를 인증한다.In the present invention, the domain refers to a logical unit to which a common security policy is applied. As shown in FIG. 1, the single domain includes a
도 1에 도시된 인증기관서버(40)는 통상의 인증기관(Certificate Authority) 시스템으로서, 공개키 및 개인키를 이용하여 공개키 기반 인증을 수행한다. 인증기관의 공개키 기반 인증 기술은 본 분야에서 통상으로 사용되는 공지 기술이므로 구체적 설시는 생략한다.The
도 2는 본 발명의 일실시예에 따른 에이전트플랫폼의 구조를 도시한 블록도이고, 도 3은 본 발명의 일실시예에 따른 도메인관리서버의 구조를 도시한 블록도이다.2 is a block diagram showing the structure of an agent platform according to an embodiment of the present invention, Figure 3 is a block diagram showing the structure of a domain management server according to an embodiment of the present invention.
도 2에 도시된 에이전트플랫폼(20)은 통상의 에이전트플랫폼으로서, 이동에이전트(10)를 생성하는 에이전트생성수단(21), 도메인관리서버(30)에 등록을 요청하는 등록요청수단(22), 에이전트플랫폼(20)의 공개키 또는 개인키를 생성하는 키생성수단(23), 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 이동에이전트(10)로 전송하는 인증자생성수단(24), 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 다른 이동에이전트를 인증하는 지역인증수단(25), 에이전트생성수단(21), 등록요청수단(22), 키생성수단(23), 인증자생성수단(24) 및 지역인증수단(25)을 비롯하여 에이전트플랫폼(20) 내부를 제어하는 플랫폼제어수단(26)을 더 포함한다.
또, 도 3에 도시된 도메인관리서버(30)는 통상의 도메인 관리 서버(Domain Management Server, DMS) 시스템으로서, 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 에이전트플랫폼(20)으로 전송하는 공유키관리수단(31), 에이전트플랫폼(20)을 등록하여 관리하는 플랫폼관리수단(32), 다른 도메인으로부터 이주되는 다른 이동에이전트를 인증하는 전역인증수단(33), 공유키관리수단(31), 플랫폼관리수단(32) 및 전역인증수단(33)을 비롯하여 도메인관리서버(30) 내부를 제어하는 서버제어수단(34)을 더 포함한다.In addition, the
도 2에 도시된 인증자생성수단(24)은 상기의 설명에서와 같이 인증에 이용되는 인증자를 생성한다. 인증자는 다음의 표1에서와 같이 크게 2가지로 나누어진다.The authenticator generating means 24 shown in FIG. 2 generates an authenticator used for authentication as described above. There are two main types of authenticators, as shown in Table 1 below.
각각의 인증자에 대한 설명은 다음과 같다.Description of each authenticator is as follows.
먼저, 지역인증자에 대해 설명한다.First, the local certifier will be described.
지역인증자의 구조는 "<AID | HPID | MD | C(KDS, AID |HPID | MD)>"와 같이 표현할 수 있다. 상기 구조에 표기된 각각의 필드에 대한 설명은 다음의 표2와 같다.The structure of the local authenticator can be expressed as "<AID | HPID | MD | C (K DS , AID | HPID | MD)>". Description of each field indicated in the above structure is shown in Table 2 below.
인증자생성수단(24)은 이동에이전트(10)의 실행 코드에 대한 메시지 다이제스트(Message Digest, 이하 'MD'라 한다)를 생성하고, 이 MD를 포함한 지역인증정보를 생성한다. 즉, 지역인증정보는 에이전트 ID, 플랫폼 ID, MD를 도메인공유키로 생성한 인증코드이다. 이동에이전트(10)는 이주 시 지역인증자를 가지고 있는데, 지역인증자에는 지역인증정보와 지역인증정보 생성에 사용된 에이전트 ID, 플랫폼 ID, MD가 포함된다. 다시 말해서, 인증자생성수단(24)이 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 MD 정보를 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 생성된 지역인증정보와 지역인증정보 생성에 사용된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보, 이동에이전트 내부코드의 MD 정보를 이용하여 지역인증자를 생성한다.The authenticator generating means 24 generates a message digest (hereinafter, referred to as 'MD') for the execution code of the
다음으로 전역인증자에 대해 설명한다.Next, the global certifier is described.
전역인증자의 구조는 "<AID | HPID | MD | Cert | E(PRhome _platform, H[AID | HPID | MD])>"와 같이 표현할 수 있다. 상기 구조에 표기된 각각의 필드에 대한 설명은 다음의 표3과 같다.The structure of a global certifier can be expressed as "<AID | HPID | MD | Cert | E (PR home _platform , H [AID | HPID | MD])>". Description of each field indicated in the above structure is shown in Table 3 below.
인증자생성수단(24)은 이동에이전트(10)의 실행 코드에 대한 MD를 생성하고, 이 MD를 포함한 전역인증정보를 생성한다. 즉, 전역인증정보는 에이전트 ID, 플랫폼 ID, MD의 해시값을 생성하고 에이전트플랫폼(20)의 개인키로 암호화하여 전역인증정보를 생성한다. 이동에이전트(10)는 이주 시 전역인증자를 가지고 있는데, 전역인증자에는 전역인증정보와 전역인증정보 생성에 사용된 에이전트 ID, 플랫폼 ID, MD가 포함된다. 다시 말해서, 인증자생성수단(24)이 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 MD 정보의 해시값을 생성하고 에이전트플랫폼(20)의 개인키로 암호화하여 전역인증정보를 생성하고, 생성된 전역인증정보와 전역인증정보 생성에 사용된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보, 이동에이전트 내부코드의 MD 정보를 이용하여 전역인증자를 생성한다.The authenticator generating means 24 generates an MD for the execution code of the
다음에 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 대해 도 4에 따라 설명한다.Next, a domain-based mobile agent authentication method according to the present invention will be described with reference to FIG.
도 4는 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 방법을 설명하는 흐름도이다.4 is a flowchart illustrating a domain-based mobile agent authentication method according to an embodiment of the present invention.
도 4에서 도시한 바와 같이, 우선 에이전트플랫폼(20a)의 에이전트생성수단(21)이 이동에이전트(10a)를 생성하였다고 가정한다. 다음으로, 에이전트플랫폼(20a)이 인증기관서버(40)로부터 인증받고(ST100), 에이전트플랫폼(20a)이 도메인관리서버(30a)에 등록한다(ST200). 등록이 완료된 후 에이전트플랫폼(20a)은 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 에이전트플랫폼(20a)에서 생성한 이동에이전트(10a)로 전송한다(ST300). 이후, 에이전트플랫폼(20a)이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 다른 이동에이전트(10b)가 이주되는지 여부를 판단하여(ST400) 다른 이동에이전트(10b)에 대해 대칭키 기반 인증을 수행한다(ST500). 또, 도메인관리서버(30a)가 다른 도메인으로부터 다른 이동에이전트(10c)가 이주되는지 여부를 판단하여(ST400) 다른 이동에이전트(10c)에 대해 공개키 기반 인증을 수행한다(ST600).As shown in FIG. 4, first, it is assumed that the agent generating means 21 of the
이하 상기의 각 단계들에 대해 더욱 구체적으로 설명한다.Hereinafter, each step will be described in more detail.
먼저, ST100 단계에 대해 설명하면 다음과 같다. 에이전트플랫폼(20a)이 가동하게 되면 에이전트플랫폼(20a)의 키생성수단(23)은 공개키 및 개인키 1쌍을 생성하고, 인증기관서버(40)로 공개키를 전송하여 공개키에 대한 인증서를 수신한다. First, the step ST100 will be described. When the
다음으로, ST200 단계에 대해 설명하면 다음과 같다. 에이전트플랫폼(20a)의 등록요청수단(22)이 자신이 속한 도메인A를 관리하는 도메인관리서버(30a)에 등록요청 메시지를 전송한다. 해당 도메인관리서버(30a)의 플랫폼관리수단(32)은 수신되는 메시지에 따라 에이전트플랫폼(20a)을 등록하고 에이전트플랫폼(20a)과의 비밀채널을 구성한다. 도메인관리서버(30a)의 공유키관리수단(31)은 관리중인 도메인A내에서 사용할 도메인공유키를 생성하여 비밀채널을 통해 에이전트플랫폼(20a)으로 도메인공유키를 전송한다.Next, the ST200 step will be described. The registration request means 22 of the
다음으로, ST300 단계에 대해 설명하면 다음과 같다. 지역인증자를 생성하는 경우, 에이전트플랫폼(20a)의 인증자생성수단(24)은 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보 및 이동에이전트(10a) 내부코드의 MD를 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 생성된 지역인증정보, 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보, 이동에이전트(10a) 내부코드의 MD를 이용하여 지역인증자를 생성한다. 또, 전역인증자를 생성하는 경우, 에이전트플랫폼(20a)의 인증자생성수단(24)은 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보 및 이동에이전트(10a) 내부코드의 MD 정보의 해시값을 생성하고 에이전트플랫폼(20a)의 개인키로 암호화하여 전역인증정보를 생성하고, 생성된 전역인증정보, 이동에이전트(10a)의 ID 정보, 이동에이전트(10a)가 생성된 에이전트플랫폼(20a)의 ID 정보, 이동에이전트(10a) 내부코드의 MD를 이용하여 전역인증자를 생성한다. 생성된 지역인증자 및 전역인증자는 도메인관리서버(30a)의 플랫폼관리수단(32)로 전송되어 등록되고 관리된다.Next, the ST300 step will be described. When generating a local authenticator, the authenticator generating means 24 of the
이때 사용되는 인증정보란 인증 시 사용되는 부분으로서, 지역인증자에는 지역인증정보가, 전역인증자에는 전역인증정보가 포함된다. 또한, 각각의 인증정보는 내부의 정보에서 차이가 있을 뿐, 둘 다 전자서명을 통해 생성되고 검증된다. 다시 말해서, 지역인증정보는 도메인공유키로 전자서명을 하고, 전역인증정보는 에이전트플랫폼(20)의 개인키로 전자서명을 하게 된다. 결국, 인증정보는 도메인관리서버(30)가 관여하지 않으며, 각각의 인증정보의 생성 및 검증은 에이전트플랫폼(20)이 담당하는 것이다. 다만, 도메인 내 인증은 지역인증정보를 통해 수행되는데, 이때 사용되는 도메인공유키를 도메인관리서버(30)가 생성하고 자신에게 등록하는 에이전트플랫폼(20)에게 전달한다.At this time, the authentication information used is a part used at the time of authentication. The local authentication information includes the local authentication information and the global authentication information includes the global authentication information. In addition, each authentication information differs only in the internal information, and both are generated and verified through an electronic signature. In other words, the local authentication information is digitally signed with the domain shared key, and the global authentication information is digitally signed with the private key of the
다음으로, ST400 단계 내지 ST600 단계에 대해 설명한다.Next, the steps ST400 to ST600 will be described.
에이전트플랫폼(20a) 또는 도메인관리서버(30a)는 ST400 단계의 판단결과에 따라 이주되는 다른 이동에이전트(10b, 10c)에 대해 대칭키 기반 인증 또는 공개키 기반 인증을 수행한다(ST500, ST600). 즉, 다른 이동에이전트(10b, 10c)가 이주되는 경우, 동일 도메인 내에서의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 수행하는 인증방법이 달라진다. The
먼저, 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 이주되는 이동에이전트(10b)의 경우에 대해 설명하면, 이 경우 에이전트플랫폼(20a)은 다른 이동에이전트(10b)가 포함하는 지역인증자를 이용하여 대칭키 기반 인증을 수행한다(ST500). First, a case of the
대칭키 기반 인증에 대해 예를 들어 설명하자면 다음과 같다.An example of symmetric key-based authentication is as follows.
대칭키 기반 인증은 여러 객체가 동일한 키를 가지고 있다는 것을 전제로 하여 이루어진다. 예를 들어, 사용자A와 사용자B가 사전에 안전한 방법으로 동일한 키인 K를 공유한다고 가정한다. 온라인상에서 서로를 확인할 때 K를 이용할 수 있다. 만약 사용자A가 사용자B에게 자신을 확인시키고 싶을 경우, 임의의 데이터 DA를 생성하고 이 데이터를 K로 암호화한 값인 E(K, DA)와 같이 사용자B에게 전송한다. 사용자B는 DA를 K로 암호화하여 새로운 암호화 값인 E(K, DA)를 생성하고, 사용자A가 전송한 암호화 값인 E(K, DA)와 비교한다. 만약, 두 값이 일치한다면 사용자B는 사용자A가 자신과 동일한 K를 가지고 있다고 판단하고, 따라서 사용자A를 확인하게 된다.Symmetric key-based authentication is based on the assumption that several objects have the same key. For example, assume that User A and User B share the same key, K, in a secure way in advance. You can use K to identify each other online. If user A wants to identify himself to user B, he creates random data D A and sends it to user B as E (K, D A ), which is the value encrypted with K. User B encrypts D A with K to generate a new encryption value, E (K, D A ), and compares it with the encryption value E (K, D A ) sent by user A. If the two values match, User B determines that User A has the same K as itself, and therefore checks User A.
이와 마찬가지로, 먼저 에이전트플랫폼(20a)의 지역인증수단(25)이 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 다른 이동에이전트(10b)가 이주되는지 여부를 판단한다. 만약, 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 다른 이동에이전트(10b)가 이주되는 것으로 판단된다면, 다른 이동에이전트(10b)로부터 인증 요청 및 지역인증자를 수신한다. 수신된 요청에 따라 에이전트플랫폼(20a)의 지역인증수단(25)은 다른 이동에이전트(10b)의 지역인증자에 포함된 이동에이전트(10b)의 ID 정보, 에이전트플랫폼(20b)의 ID 정보 및 이동에이전트(10b) 내부코드의 MD 정보를 에이전트플랫폼(20a)이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성한다. 이후 에이전트플랫폼(20a)의 지역인증수단(25)이 생성된 지역인증정보와 다른 이동에이전트(10b)의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행한다.Similarly, first, the local authentication means 25 of the
다음으로, 다른 도메인의 다른 에이전트플랫폼(20c)으로부터 이주되는 이동에이전트(10c)의 경우에 대해 설명하면, 이 경우 도메인관리서버(30a)는 다른 이동에이전트(10c)가 포함하는 전역인증자를 이용하여 공개키 기반 인증을 수행한다(ST600). Next, the case of the
공개키 기반 인증에 대해 예를 들어 설명하자면 다음과 같다.An example of public key based authentication is as follows.
공개키 기반 인증은 공개키의 특성을 이용하여 객체를 확인하는 방법을 말한다. 공개키는 공개키와 개인키의 한 쌍으로 이루어지며, 공개키로 암호화한 것을 개인키로 복호화할 수 있고, 반대로 개인키로 암호화한 것을 공개키로 복호화할 수 있다. 이때 공개키는 외부의 모든 객체에게 공개되며, 개인키는 자신만이 보유하게 된다. 예를 들어, 사용자A가 자신의 공개키/개인키 한 쌍을 생성한다고 가정하자. 이때, 사용자A의 공개키를 공개키A, 개인키를 개인키A라 한다. 공개키A는 이미 모든 사용자가 알고 있다고 가정한다. 대칭키 인증과 마찬가지로 사용자A는 임의의 데이터 DA를 생성하고 이것을 자신의 개인키로 암호화한다. 이후 사용자A는 사용자B에게 DA와 개인키로 DA를 암호화한 값을 전송한다. 사용자B는 개인키로 DA를 암호화한 값을 사용자A의 공개키로 복호화하고, 이값을 사용자A가 전송한 DA와 비교한다. 개인키A는 오직 사용자A만이 소유하고 있기 때문에 두 정보가 일치한다면 본 정보는 사용자A로부터 전송되었다는 것을 확인할 수 있는 것이다.Public key-based authentication refers to a method of verifying an object using the characteristics of a public key. The public key is composed of a pair of public key and private key, and the public key can be decrypted with the private key, and conversely, the public key can be decrypted with the private key. At this time, the public key is disclosed to all external objects, and the private key is owned by itself. For example, suppose that User A generates his public / private key pair. At this time, the public key of user A is called public key A and the private key is called private key A. Public key A assumes that all users already know. Like symmetric key authentication, user A generates random data D A and encrypts it with its private key. After the user A sends a value obtained by encrypting the private key D A to the user B and D A. User B decrypts the value of D A encrypted with the private key with user A's public key and compares this value with D A sent by user A. Since private key A is owned only by user A, if the two information match, it can be confirmed that this information was sent from user A.
이와 마찬가지로, 먼저 도메인관리서버(30a)의 전역인증수단(33)이 다른 도메인으로부터 다른 이동에이전트(10c)가 이주되는지 여부를 판단한다. 만약, 다른 도메인인 도메인B로부터 다른 이동에이전트(10c)가 이주되는 것으로 판단된다면, 다른 이동에이전트(10c)로부터 인증 요청 및 전역인증자를 수신한다. 수신된 요청에 따라 도메인관리서버(30a)의 전역인증수단(33)이 인증기관서버(40)로 다른 이동에이전트(10c)가 생성된 에이전트플랫폼(20c)의 공개키를 요청한다. 이에 대해 인증기관서버(40)는 해당 에이전트플랫폼(20c)의 인증서를 도메인관리서버(30a)의 전역인증수단(33)으로 전송한다. 이 인증서에는 해당 에이전트플랫폼(20c)의 공개키가 포함되어 있다. 도메인관리서버(30a)의 전역인증수단(33)은 수신된 인증서에 포함된 공개키를 이용하여 다른 이동에이전트(10c)의 전역인증자에 포함된 전역인증정보를 복호화한다. 복호화가 완료되면 도메인관리서버(30a)의 전역인증수단(33)이 복호화된 결과와 다른 이동에이전트(10c)의 전역인증자에 포함된 이동에이전트(10c)의 ID 정보, 에이전트플랫폼(20c)의 ID 정보 및 이동에이전트(10c) 내부코드의 MD 정보를 비교하여 동일여부를 판단하여 인증을 수행한다.Similarly, first, the global authentication means 33 of the
이동에이전트 분야는 분산 컴퓨팅 분야에서 새로운 패러다임으로 각광을 받고 있다. 따라서, 본 발명을 통해 이동에이전트 시스템을 홈 네트워크 시스템 등에 활용하여 지능적인 서비스를 제공함에 따라 더욱 많은 수요를 창출할 수 있을 것으로 예상된다. The mobile agent sector is emerging as a new paradigm in distributed computing. Therefore, the present invention is expected to be able to create more demand by utilizing the mobile agent system to provide intelligent services using a home network system.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.As mentioned above, although the invention made by this inventor was demonstrated concretely according to the said Example, this invention is not limited to the said Example and can be variously changed in the range which does not deviate from the summary.
상술한 바와 같이, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, 도메인 내 인증 시 인증 속도 및 연산 부하의 감소시킬 수 있다는 효과가 얻어진다.As described above, according to the domain-based mobile agent authentication system and the authentication method thereof according to the present invention, it is possible to reduce the authentication speed and computational load in the authentication in the domain.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, 유비쿼터스 컴퓨팅 환경을 포함한 다양한 환경에서도 빠르게 이동에이전트의 인증을 수행할 수 있다는 효과도 얻어진다.In addition, according to the domain-based mobile agent authentication system and the authentication method according to the present invention, it is also possible to quickly perform the authentication of the mobile agent in a variety of environments, including ubiquitous computing environment.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, PDA와 같은 소형 디바이스 상에서도 이동 에이전트를 인증할 수 있다는 효과도 얻어진다.In addition, according to the domain-based mobile agent authentication system and the authentication method thereof according to the present invention, the effect that the mobile agent can be authenticated also on a small device such as a PDA.
Claims (22)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070012294A KR100853448B1 (en) | 2007-02-06 | 2007-02-06 | Domain-Based Mobile Agent Authentication System and Method Thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070012294A KR100853448B1 (en) | 2007-02-06 | 2007-02-06 | Domain-Based Mobile Agent Authentication System and Method Thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080073556A true KR20080073556A (en) | 2008-08-11 |
| KR100853448B1 KR100853448B1 (en) | 2008-08-21 |
Family
ID=39883292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020070012294A KR100853448B1 (en) | 2007-02-06 | 2007-02-06 | Domain-Based Mobile Agent Authentication System and Method Thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100853448B1 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101068558B1 (en) * | 2009-08-17 | 2011-09-28 | 이화여자대학교 산학협력단 | The method of managing information |
| KR101222619B1 (en) * | 2011-01-18 | 2013-01-16 | 덕성여자대학교 산학협력단 | Data authentication apparatus and method for wireless mesh networks |
| KR101683481B1 (en) * | 2016-03-22 | 2016-12-08 | 주식회사 티모넷 | System for providing a certificate by using security token in the mobile NFC |
| US9560525B2 (en) | 2014-06-18 | 2017-01-31 | At&T Intellectual Property I, Lp | System and method for unified authentication in communication networks |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001203680A (en) | 2000-01-21 | 2001-07-27 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | Dynamic secure group mobile communication system |
| US20050213768A1 (en) * | 2004-03-24 | 2005-09-29 | Durham David M | Shared cryptographic key in networks with an embedded agent |
| KR100657273B1 (en) * | 2004-08-05 | 2006-12-14 | 삼성전자주식회사 | Rekeying Method in secure Group in case of user-join and Communicating System using the same |
| US7130998B2 (en) | 2004-10-14 | 2006-10-31 | Palo Alto Research Center, Inc. | Using a portable security token to facilitate cross-certification between certification authorities |
-
2007
- 2007-02-06 KR KR1020070012294A patent/KR100853448B1/en not_active IP Right Cessation
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101068558B1 (en) * | 2009-08-17 | 2011-09-28 | 이화여자대학교 산학협력단 | The method of managing information |
| KR101222619B1 (en) * | 2011-01-18 | 2013-01-16 | 덕성여자대학교 산학협력단 | Data authentication apparatus and method for wireless mesh networks |
| US9560525B2 (en) | 2014-06-18 | 2017-01-31 | At&T Intellectual Property I, Lp | System and method for unified authentication in communication networks |
| US9832645B2 (en) | 2014-06-18 | 2017-11-28 | At&T Intellectual Property I, L.P. | System and method for unified authentication in communication networks |
| US10368242B2 (en) | 2014-06-18 | 2019-07-30 | At&T Intellectual Property I, L.P. | System and method for unified authentication in communication networks |
| KR101683481B1 (en) * | 2016-03-22 | 2016-12-08 | 주식회사 티모넷 | System for providing a certificate by using security token in the mobile NFC |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100853448B1 (en) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2297037C2 (en) | Method for controlling protected communication line in dynamic networks | |
| KR100827650B1 (en) | Methods for authenticating potential members invited to join a group | |
| JP3999655B2 (en) | Method and apparatus for access control with leveled security | |
| EP1706825B1 (en) | Avoiding server storage of client state | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| US7516326B2 (en) | Authentication system and method | |
| CN101212293B (en) | Identity authentication method and system | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| JP2004180310A (en) | Method for setting and managing confidence model between chip card and radio terminal | |
| US20050149722A1 (en) | Session key exchange | |
| US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
| CN101297534A (en) | Method and apparatus for secure network authentication | |
| KR20060045440A (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
| KR20040045486A (en) | Method and system for providing client privacy when requesting content from a public server | |
| CN108632251B (en) | Credible authentication method based on cloud computing data service and encryption algorithm thereof | |
| US20220247576A1 (en) | Establishing provenance of applications in an offline environment | |
| Downnard | Public-key cryptography extensions into Kerberos | |
| JP4807944B2 (en) | Challenge-based authentication that does not require knowledge of secret authentication data | |
| KR20210090372A (en) | Blockchain-based authenticaton and revocation method for the internet of things gateway | |
| KR100853448B1 (en) | Domain-Based Mobile Agent Authentication System and Method Thereof | |
| CN114091009A (en) | Method for establishing secure link by using distributed identity | |
| KR100984275B1 (en) | Method for generating secure key using certificateless public key in insecure communication channel | |
| Shepherd et al. | Remote credential management with mutual attestation for trusted execution environments | |
| KR100970552B1 (en) | Method for generating secure key using certificateless public key | |
| JP4499575B2 (en) | Network security method and network security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20110711 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20120724 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |