KR100276690B1 - Authentication Method for Secure Object-Based Distributed Processing Systems - Google Patents
Authentication Method for Secure Object-Based Distributed Processing Systems Download PDFInfo
- Publication number
- KR100276690B1 KR100276690B1 KR1019970065693A KR19970065693A KR100276690B1 KR 100276690 B1 KR100276690 B1 KR 100276690B1 KR 1019970065693 A KR1019970065693 A KR 1019970065693A KR 19970065693 A KR19970065693 A KR 19970065693A KR 100276690 B1 KR100276690 B1 KR 100276690B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- authentication
- public key
- password
- authentication method
- Prior art date
Links
Images
Abstract
본 발명은 안전한 객체 기반 분산 처리 시스템의 인증 방법에 관한 것이다.The present invention relates to an authentication method of a secure object-based distributed processing system.
기존의 대부분의 분산 처리 환경에서는 단순히 패스워드를 수신 받아 사용자가 이용 가능한 사용자인지를 확인하여 허용 여부를 결정한다. 이 경우 패스워드가 누출되는 경우에 중요한 정보가 불법 사용자에게 노출되어 큰 손실을 입을 수가 있다.In most existing distributed processing environments, a user simply receives a password and checks whether the user is an available user to determine whether to allow it. In this case, if a password is leaked, sensitive information may be exposed to illegal users, which may cause a great loss.
본 발명에서는 이를 방지하기 위하여 인증 요청 시에도 패스워드 혹은 공개 키를 암호화하여 송수신하고 인증 결과로 공개 키 증명서 혹은 서비스 티켓을 주므로써 서버 응용 프로세스에게 서비스를 요청할 때 사용하게 한다. 인증 받은 사용자가 구동한 응용 프로세스가 서버 응용 프로세스에게 서비스를 요청할 때 이 키를 사용하여 메시지를 암호화하여 보내므로써 분산 처리 환경에서 안전하게 메시지를 송수신할 수 있다.In order to prevent this, the present invention encrypts and transmits a password or a public key even at the time of an authentication request and gives a public key certificate or a service ticket as a result of the authentication so that the server application process can use the service request. When an application process driven by an authenticated user requests a service from a server application process, this key is used to encrypt and send a message so that the message can be safely transmitted and received in a distributed processing environment.
Description
본 발명은 안전한 객체 기반 분산 처리 시스템의 인증 방법에 관한 것으로, 특히 분산 처리 환경에서 발생할 수 있는 보안 침해들에 대처할 수 있는 안전한 객체 기반 분산 처리 시스템의 인증 방법에 관한 것이다.The present invention relates to an authentication method of a secure object-based distributed processing system, and more particularly, to an authentication method of a secure object-based distributed processing system that can cope with security breaches that may occur in a distributed processing environment.
객체 기반 분산 처리 시스템의 장점에도 불구하고 은행 업무 등과 같이 보안에 민감한 분야에서 이용하기를 주저하는 이유로는 분산 처리 환경에서 발생할 수 있는 보안 침해들, 즉 허가 받지 않은 사용자에 의한 정보 접근, 권한이 있는 사용자인 것처럼 하여 정보를 불법 사용하는 것, 통신 라인에서 정보를 가로채거나 변경하는 일때문이다.Despite the advantages of an object-based distributed processing system, hesitation in use in security-sensitive areas such as banking is due to security breaches that can occur in distributed processing environments, i.e. unauthorized access to information, authorized users The illegal use of information as if it were a user, or the interception or alteration of information on a communication line.
기존의 분산 처리 환경에서의 인증 방법은 단순히 패스워드를 수신 받아 사용자가 이용 가능한 사용자인지를 확인하여 허용 여부를 결정하므로써 패스워드가 누출되는 경우에 중요한 정보가 불법 사용자에게 노출되어 큰 손실을 입을 수가 있다.The authentication method in the existing distributed processing environment simply receives a password and checks whether the user is an available user, thereby determining whether or not to allow the user. Thus, when a password is leaked, important information may be exposed to an illegal user, thereby causing a great loss.
따라서, 본 발명은 분산 처리 환경에서 발생할 수 있는 보안 침해들에 대처할 수 있는 안전한 객체 기반 분산 처리 시스템의 인증 방법을 제공하는 것을 목적으로 한다.Accordingly, an object of the present invention is to provide a method for authenticating a secure object-based distributed processing system that can cope with security breaches that may occur in a distributed processing environment.
상술한 목적을 달성하기 위한 본 발명은 사용자가 입력한 사용자의 암호명과 인증 방식, 암호화된 인증 데이터 및 요청한 권한 정보 등을 인증 보안 객체에서 해석하는 단계와, 상기 인증 보안 객체에서 사용자가 요청한 인증 방식이 공개 키 인증 방식인지를 검사하여 공개 키 인증 방식일 경우 암호화되어 있는 공개 키를 사용자의 공개 키로 복호화하고, 다시 자신(인증 객체)의 개인 키로 서명을 해석한 후 사용자 정보 데이터베이스에서 사용자의 공개 키를 회수하는 단계와, 상기 복호화한 사용자의 공개 키와 사용자 정보 데이터베이스에서 회수한 키를 비교하여 동일할 경우 인증서와 공개 키 증명서를 사용자에게 돌려주고, 동일하지 않을 경우 최초 단계로 천이하는 단계와, 상기 인증 보안 객체에서 사용자가 요청한 인증 방식이 공개 키 인증 방식인지를 검사하여 비밀 키 인증 방식인 경우 암호화된 패스워드를 사용자의 패스워드로 만든 키로 복호화한 후 사용자 정보 데이터베이스에서 상기 사용자의 패스워드를 회수하는 단계와, 상기 복호화 한 사용자의 패스워드와 사용자 정보 데이터베이스에서 회수한 패스워드를 비교하여 동일한 경우 인증서와 서비스 티켓, 그리고 세션 키를 사용자에게 돌려주고, 동일하지 않을 경우 최초 단계로 천이하는 단계를 포함하여 이루어진 것을 특징으로 한다.The present invention for achieving the above object is the step of interpreting the user's password name and authentication method, the encrypted authentication data and the requested authorization information, etc. in the authentication security object, and the authentication method requested by the user in the authentication security object If the public key authentication method is used, the public key authentication method is used to decrypt the encrypted public key with the user's public key, interpret the signature with the private key of the user (authentication object), and then use the user's public key in the user information database. Recovering the certificate, comparing the decrypted user's public key with the key recovered from the user information database, and returning the certificate and the public key certificate to the user if they are identical; The authentication method requested by the user in the authentication secure object is a public key authentication room. In the case of secret key authentication, decrypting an encrypted password with a key made of the user's password, and recovering the user's password from a user information database; and recovering from the decrypted user's password and a user information database. Comparing one password and returning a certificate, a service ticket, and a session key to the user if the password is the same, and transiting to the first step if the password is not the same.
도 1은 고객 컴퓨터 시스템과 서버 컴퓨터 시스템간의 상호 동작 과정을 설명하기 위한 블록도.1 is a block diagram for explaining an interaction process between a customer computer system and a server computer system.
도 2는 사용자의 인증 요청시 인증 객체의 동작을 설명하기 위한 블록도.2 is a block diagram illustrating an operation of an authentication object when a user requests an authentication.
도 3은 본 발명에 따른 안전한 객체 기반 분산 처리 시스템의 인증 방법을 설명하기 위한 흐름도.3 is a flow chart illustrating an authentication method of a secure object-based distributed processing system according to the present invention.
<도면의 주요 부분에 대한 부호 설명><Description of the symbols for the main parts of the drawings>
1 : 고객 컴퓨터 시스템 2 : 서버 컴퓨터 시스템1: customer computer system 2: server computer system
3a 및 3b : 안전한 객체 기반 분산 처리 시스템3a and 3b: secure object-based distributed processing system
4 : 사용자 5 : 로긴 프로세스4: user 5: login process
6a : 고객 응용 프로세스 6b : 서버 응용 프로세스6a: Customer Application Process 6b: Server Application Process
7a 및 7b : 인증 보안 객체 8a 및 8b : 보안 컨택스트 객체7a and 7b:
9a 및 9b : 객체 요청 브로커 10a : 인터페이스 저장소9a and 9b:
10b : 서버 정보 저장소10b: Server Information Store
첨부된 도면을 참조하여 본 발명을 상세히 설명하기로 한다.The present invention will be described in detail with reference to the accompanying drawings.
도 1은 고객 컴퓨터 시스템상의 고객 응용프로세스와 서버 컴퓨터 시스템상의 서버 응용프로세스간의 상호 동작 과정을 설명하기 위한 블록도로서, 안전한 객체 기반 분산 처리 시스템(3a 및 3b)은 보안 침해를 방지하는데 필요한 여러 가지의 보안 객체(7a 및 7b)들을 포함하고 있다. 허가 받지 않은 불법 사용자를 방지하는 보안 객체(7a 및 7b), 통신 라인에서 메시지를 중간에서 가로채거나 변경하는 일을 방지하기 위하여 메시지를 암호화는 다수의 보안 컨택스트 객체(8a 및 8b), 권한이 없는 사용자가 특정 정보에 접근하는 것을 방지하는 접근 결정 객체(7a 및 7b)들로 이루어져 있다. 이들 객체들이 위와 같은 일을 수행하는데 필요한 세부 사항들을 설명하면 다음과 같다.FIG. 1 is a block diagram illustrating an interaction process between a customer application process on a customer computer system and a server application process on a server computer system. The secure object-based
일반 사용자(4)가 고객 컴퓨터 시스템(1)의 로긴 프로세스(5)를 이용하여 인증을 요청하면(101) 로긴 프로세스(5)는 사용자(4)가 입력한 사용자 이름과 패스워드 혹은 키(long term 키)를 입력 값으로 보안 객체들 중의 하나인 보안 인증 객체(7a)에 인증을 요청한다(102). 인증이 완료된 후 사용자(4)가 분산 고객 응용 프로세스(6a)를 구동시키고(103), 분산 고객 응용 프로세스(6a)는 분산 객체 시스템(3a)이 제공하는 고객 스터브를 통하여 객체 요청 브로커(9a)에게 서버 응용 프로세스를 찾아 그 내부에 있는 객체의 어떤 연산을 수행하여 그 결과 값을 반환해 주도록 요청한다(104). 객체 요청 브로커(9a)가 고객 응용 프로세스(6a)와 서버 컴퓨터 시스템(2)에 있는 서버 응용 프로세스(6b)와 보안 연계를 설정하기 위하여 보안 객체들 중의 하나인 볼트(vault) 객체를 호출한다(105). 객체 요청 브로커(9a)가 서버 컴퓨터 시스템(2)에 보낸 데이터를 암호화하기 위하여 단계 (105)에서 생성된 보안 컨택스트 객체들(8a)에 접근한다(106). 서버 컴퓨터 시스템(2)의 서버 응용 프로세스(6b)가 자신의 접속 정보와 인터페이스 정보들을 객체 요청 브로커(9a)에게 요청했을 때 객체 요청 브로커(9a)가 인터페이스 저장소(10a)에 저장한다(107). 고객 컴퓨터 시스템(1)의 객체 요청 브로커(9a)가 서버 컴퓨터 시스템(2)에 있는 객체 요청 브로커(9b)에게 암호화된 메시지인 보안 토큰 혹은 연산 요청 데이터를 전송한다(108).When the
고객 컴퓨터 시스템(1)의 객체 요청 브로커(9a)로부터 수신한 연산 요청 메시지를 서버 컴퓨터 시스템(2)의 객체 요청 브로커(9b)가 분석하여 해당 연산을 지원하는 서버 응응 프로세스를 찾기 위하여 서버 정보 저장소(10b)를 검색한다(109). 고객 컴퓨터 시스템(1)으로부터 수신된 보안 연계 설정 요청 메시지인 보안 토큰을 이용하여 서버쪽 보안 컨택스트를 만들기 위하여 보안 객체(7b)들 중의 하나인 볼트(vault) 객체를 호출한다(110). 수신한 암호화 메시지를 해독하기 위하여 보안 컨택스트 객체(8b)를 호출하고(111), 다시 보안 객체들 중의 하나인 접근 결정 객체를 호출하여 보안 연계 설정 요청을 받아 들일 것인지를 확인하여 만약 허락하는 경우에 서버 응용 프로세스(6b)의 서버 스켈레튼을 이용하여 고객 응용 프로세스(6a)가 요청한 서버 응용 프로세스내(6b)에 있는 어떤 연산을 수행하도록 요청한다(112).In order to find the server response process that supports the operation, the
도 2는 사용자의 인증 요청시 인증 객체의 동작을 설명하기 위한 블록도로서, 도 1의 사용자의 인증 과정을 세부적으로 표현한 것이다.FIG. 2 is a block diagram illustrating an operation of an authentication object when a user requests an authentication, and details the authentication process of the user of FIG. 1.
사용자의 로긴 프로세스(21)가 송신한 사용자가 입력한 정보들, 즉 인증 방식, 사용자 구별자(User ID), 패스워드 혹은 공개 키들을 인증 보안 객체(22)가 수신한다(201). 인증 보안 객체(22)는 인증을 요청한 사용자가 시스템을 이용할 수 있는 계정을 갖고 있는지를 확인하기 위하여 사용자 정보 DB(23)를 검색하여(202) 관련 정보가 있는 경우에는 사용자에게 인증서에 대한 참조를 돌려 주고 그 인증서는 인증서 DB(24)에 저장한다(203).The authentication
인증서 DB(24)는 사용자가 고객 응용 프로세스를 구동시켜 그 프로세스가 서버 응용 프로세스에게 서비스를 요청할 때 필요한 정보들, 즉 권한 정보, 대화하는데 필요한 키 정보, 암호화 알고리즘 구별자(ID)등에 대한 정보들을 담고 있다. 사용자 정보 DB(23)에는 사용자의 사용자 구별자(User ID), 패스워드, 공개 키(public key)와 비밀 키(secret key)등이 저장되어 있다.The
도 3은 본 발명에 따른 안전한 객체 기반 분산 처리 시스템의 인증 방법을 설명하기 위한 흐름도로서, 도 2에서 설명된 (201) 과정을 상세하게 설명하기 위한 것이다. 사용자가 인증을 요청하였을 때 사용자가 등록된 사용자인지 그리고 만약 등록된 사용자인 경우 그 사용자에 대한 권한 정보, 즉 관리자 인지 아니면 일반 사용자인지, 어떤 정보에 접근 할 수 있는지 등의 정보를 담고 있는 인증서와 서버 응용 프로세스를 이용하는데 필요한 서비스 티켓 혹은 공개키 증명서(public key certificate)를 돌려준다.FIG. 3 is a flowchart illustrating an authentication method of a secure object-based distributed processing system according to the present invention, and describes the
사용자가 입력한 사용자의 암호명과 인증 방식, 암호화된 인증 데이터, 요청한 권한 정보 등을 인증 보안 객체에서 해석한다(301). 사용자가 요청한 인증 방식이 공개 키 인증 방식인지를 검사하여(302) 공개 키 인증 방식인 경우 사용자의 개인 키(private key)로 서명하고, 이를 인증 객체의 공개 키를 가지고 암호화 알고리즘을 이용하여 암호화된 인증 정보(사용자의 공개 키)를 사용자의 공개 키(public key)를 가지고 복호화 알고리즘을 이용하여 복호화하고, 이를 다시 자신(인증 객체)의 개인 키로 서명을 해석한 후 사용자 정보 DB에서 사용자의 공개 키를 회수한다(303). 복호화한 사용자의 공개 키와 DB에서 회수한 키를 비교하여(304) 동일한 경우는 그 사용자의 이용 권한 정보들을 담고 있는 인증서와 공개 키 증명서를 사용자에게 돌려준다(305). 단계 (304)의 비교 결과 복호화한 사용자의 공개 키와 DB에서 회수한 키가 동일하지 않을 경우 단계 (301)로 천이한다. 이 공개 키 증명서는 사용자가 고객 응용 프로세스를 구동 시켰을 때 서버 응용 프로세스에게 서비스 요청할 때 이용하는 키이다.The user's password name, authentication method, encrypted authentication data, requested authorization information, and the like are interpreted by the authentication secure object (301). It is checked whether the authentication method requested by the user is a public key authentication method (302). If the public key authentication method is used, the user's private key is signed, which is encrypted using an encryption algorithm with the public key of the authentication object. Decrypt the authentication information (user's public key) with the user's public key using a decryption algorithm, and again interpret the signature with the private key of its own (authentication object) and then the user's public key in the user information DB. It recovers (303). If the decrypted user's public key is compared with the key retrieved from the DB (304), the certificate and the public key certificate containing the user's usage right information are returned to the user (305). If the public key of the decrypted user and the key retrieved from the DB are not the same as the comparison result of
단계 (302)의 검사 결과 인증 방식이 비밀 키 인증 방식인 경우 암호화되어 있는 인증 정보(패스워드)를 사용자와 공유하는 키로 복호화한 후 사용자 정보 DB에서 사용자의 패스워드를 회수한다(306). 복호화 한 사용자의 패스워드와 DB에서 회수한 패스워드를 비교하여(307) 동일한 경우 사용자의 이용 권한 정보들을 담고 있는 인증서와 서버 응용 프로세스를 이용할 때 필요한 서비스 티켓과 대화할 때 사용할 세션 키를 사용자에게 돌려 준다(308). 동일하지 않을 경우 단계 (301)로 천이한다.If the verification method in
상술한 바와 같이 본 발명에 의하면 인증 요청 시에도 패스워드 혹은 공개 키를 암호화하여 송수신하고 인증 결과로 공개 키 증명서 혹은 서비스 티켓을 제공하므로써 서버 응용 프로세스에게 서비스 요청할 때 이를 사용하게 된다. 또한, 인증 받은 사용자가 구동한 응용 프로세스가 서버 응용 프로세스에게 서비스를 요청할 때 이 키를 사용하여 메시지를 암호화하여 보내므로써 분산 처리 환경에서 안전하게 메시지를 송수신할 수 있다. 그러므로, 위와 같은 인증 기능을 지원하는 분산 객체 처리 시스템 환경에서 동작하는 전자 상거래, 전자 화폐, 금융 거래 응용 프로세스(시스템)들의 업무를 안전하게 수행할 수 있다.As described above, according to the present invention, even when the authentication request is made, the password or the public key is encrypted and transmitted and used as the service request to the server application process by providing the public key certificate or the service ticket as a result of the authentication. In addition, when an application process driven by an authenticated user requests a service from a server application process, the message is encrypted and sent using this key, so that the message can be safely transmitted and received in a distributed processing environment. Therefore, the electronic commerce, electronic money, and financial transaction application processes (systems) operating in the distributed object processing system environment supporting the above authentication function can be safely performed.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019970065693A KR100276690B1 (en) | 1997-12-03 | 1997-12-03 | Authentication Method for Secure Object-Based Distributed Processing Systems |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1019970065693A KR100276690B1 (en) | 1997-12-03 | 1997-12-03 | Authentication Method for Secure Object-Based Distributed Processing Systems |
Publications (2)
Publication Number | Publication Date |
---|---|
KR19990047336A KR19990047336A (en) | 1999-07-05 |
KR100276690B1 true KR100276690B1 (en) | 2001-01-15 |
Family
ID=66095414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1019970065693A KR100276690B1 (en) | 1997-12-03 | 1997-12-03 | Authentication Method for Secure Object-Based Distributed Processing Systems |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100276690B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100341852B1 (en) * | 1999-08-30 | 2002-06-26 | 오길록 | Implementation method of authentication for server-client application |
-
1997
- 1997-12-03 KR KR1019970065693A patent/KR100276690B1/en not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
KR19990047336A (en) | 1999-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7587608B2 (en) | Method and apparatus for storing data on the application layer in mobile devices | |
US6173402B1 (en) | Technique for localizing keyphrase-based data encryption and decryption | |
US6510523B1 (en) | Method and system for providing limited access privileges with an untrusted terminal | |
EP2143028B1 (en) | Secure pin management | |
CN111783075B (en) | Authority management method, device and medium based on secret key and electronic equipment | |
KR101878149B1 (en) | Device, system, and method of secure entry and handling of passwords | |
US7155616B1 (en) | Computer network comprising network authentication facilities implemented in a disk drive | |
US7526652B2 (en) | Secure PIN management | |
EP1249983A2 (en) | Methods and arrangements for protecting information in forwarded authentication messages | |
CN104756127A (en) | Secure data handling by a virtual machine | |
US7571311B2 (en) | Scheme for sub-realms within an authentication protocol | |
EP1323258A1 (en) | System for protecting objects distributed over a network | |
JPH08320847A (en) | Password management system | |
JP3860280B2 (en) | Communication system, IC card issuance registration system, key code generation device, and recording medium | |
WO2001084768A1 (en) | Method of authenticating user | |
JP2004070875A (en) | Secure system | |
KR100276690B1 (en) | Authentication Method for Secure Object-Based Distributed Processing Systems | |
JP2002247021A (en) | Method and device for displaying access limited contents | |
CN113987561A (en) | Trusted execution environment-based private data classification method, system and terminal | |
KR100243657B1 (en) | Method for maintaining security in information retrievals | |
KR100458281B1 (en) | Method for inhibiting unlawful usage of a software, contents or information using source security technology | |
KR102542840B1 (en) | Method and system for providing finance authentication service based on open api | |
JP2000112751A (en) | Device used for software distribution system | |
KR20040019704A (en) | A method to prevent e-mail address from being stolew and communized on a metwork | |
WO2002025860A1 (en) | The dynamic identification method without identification code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20081001 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |