KR100447623B1 - Authentication and payment based on ticket in wireless Internet - Google Patents

Authentication and payment based on ticket in wireless Internet Download PDF

Info

Publication number
KR100447623B1
KR100447623B1 KR10-2002-0005552A KR20020005552A KR100447623B1 KR 100447623 B1 KR100447623 B1 KR 100447623B1 KR 20020005552 A KR20020005552 A KR 20020005552A KR 100447623 B1 KR100447623 B1 KR 100447623B1
Authority
KR
South Korea
Prior art keywords
ticket
key
user
vasp
service
Prior art date
Application number
KR10-2002-0005552A
Other languages
Korean (ko)
Other versions
KR20030065100A (en
Inventor
이병래
김태윤
Original Assignee
학교법인고려중앙학원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인고려중앙학원 filed Critical 학교법인고려중앙학원
Priority to KR10-2002-0005552A priority Critical patent/KR100447623B1/en
Publication of KR20030065100A publication Critical patent/KR20030065100A/en
Application granted granted Critical
Publication of KR100447623B1 publication Critical patent/KR100447623B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

본 발명은 무선 인터넷에서 부가가치서비스를 위하여 티켓을 이용한 인증 및 지불 프로토콜로 온라인 TTP와 통신 없이 사용자의 비용 지불 여부를 확인하는 방법과 티켓에 기반한 제안된 프로토콜을 이동 사용자의 서비스 사용에 대한 익명성을 보장하는 무선 인터넷에서의 티켓 기반 인증 및 지불 방법에 관한 것으로 제 3세 이동 통신 시스템인 UMTS에서의 부가가치서비스를 위하여 티켓을 이용하여 사용자의 온라인 TTP와 통신 없이도 사용자의 지불 가능 여부를 VASP가 검증할 수 있으며 VASP는 단지 티켓의 정당성과 사용자가 티켓의 소유주임을 확인하고 프로토콜은 온라인 TTP가 관여하는 AIP 프로토콜과 비교하여 계산량과 통신비용에 있어서 우수하며 또한 서비스 사용에 대한 사용자의 익명성이 보장되는 뛰어난 효과가 있다.The present invention provides an authentication and payment protocol using a ticket for value-added services in the wireless Internet, and a method for confirming whether a user pays a fee without communicating with an online TTP, and anonymity for using a service based on a ticket. The present invention relates to a ticket-based authentication and payment method for guaranteeing wireless Internet. VASP can verify whether a user can pay without communicating with the user's online TTP by using a ticket for value-added service in the third-generation mobile communication system UMTS. The VASP only confirms the validity of the ticket and that the user is the owner of the ticket, and the protocol is superior in computational and communication costs compared to the AIP protocol involving the online TTP and also ensures that the user's anonymity for service usage is ensured. It works.

Description

무선 인터넷에서의 티켓 기반 인증 및 지불 방법 {Authentication and payment based on ticket in wireless Internet}{Authentication and payment based on ticket in wireless Internet}

본 발명은 무선 인터넷에서의 티켓 기반 인증 및 지불 방법에 관한 것으로 더욱 상세하게는, 무선 인터넷에서의 부가가치서비스(value-added service)를 위하여 티켓(ticket)을 이용하여 인증 및 지불 프로토콜을 제시하고 상기 제시된 티켓 기반 인증 및 지불 프로토콜은 온라인 TTP와 통신 없이 사용자의 비용 지불 여부를 확인하는 방법하고 티켓에 기반한 제안된 프로토콜을 이동 사용자의 서비스 사용에 대한 익명성을 보장하는 무선 인터넷에서의 티켓 기반 인증 및 지불 방법에 관한 것이다.The present invention relates to a ticket-based authentication and payment method in the wireless Internet, and more particularly, to present an authentication and payment protocol using a ticket for a value-added service in the wireless Internet. The presented ticket-based authentication and payment protocol is a method of verifying whether a user pays without communicating with an online TTP, and the ticket-based authentication protocol over the wireless Internet, which guarantees anonymity for the mobile user's use of the service based on the ticket-based protocol. It is about a payment method.

종래의 부가가치서비스(VAS : value-added service)를 위한 인증 및 지불 프로토콜은 사용자의 인증기관(Certificate Authority) 역할을 해주는 온라인(on-line) TTP 기술이 있었다.Conventional authentication and payment protocols for value-added services (VAS) have had on-line TTP technology that serves as the user's certificate authority.

상기 기술된 TTP 기술은 무선 인터넷에서의 수많은 서비스 제공자들, 다양한 종류의 서비스들, 그리고 넓은 사용자 계층 등을 고려할 때 온라인 TTP에 기반한 인증과 지불 기법은 실용적이지 못하는 문제점이 있었다.The above-described TTP technology has a problem that the authentication and payment method based on the online TTP is not practical considering numerous service providers, various kinds of services, and a wide user layer in the wireless Internet.

또한 UMTS(Universal Mobile Telecommunications System)와 차세대 이동 통신 시스템 기반의 무선 인터넷 환경에서는 사용자들이 네트워크를 통하여 지불을 함으로써 제공받을 수 있는 다양한 종류의 수만은 부가가치서비스(VAS : value-added service)들이 존재하고 있었으며 UMTS 서비스 제공자는 이동 사용자들에게 인증서를 발급함으로써 사용자가 서비스를 사용할 수 있는 신용과 전자적으로 지불을 할 수 있는 방법을 제공하고 있었다.In addition, in the wireless Internet environment based on the Universal Mobile Telecommunications System (UMTS) and the next generation mobile communication system, there are tens of thousands of value-added services (VAS) that users can receive by paying through the network. The UMTS service provider provided mobile users with a credential to pay for the service and an electronic payment by issuing a certificate.

그리고 종래의 무선 인터넷 기술은 사용자가 자신의 서비스 사용에 대한 지불을 완료하지 않으면 인증서는 취소되며 재발급 되지 않으며 무선 인터넷에서의 중요한 점 중의 한가지는 사용자의 서비스 사용과 지불에 관한 것이다.In the conventional wireless Internet technology, if the user does not complete the payment for the use of his service, the certificate is revoked and is not reissued. One of the important points in the wireless Internet is the service use and payment of the user.

따라서, 사용자가 서비스를 이용하기 전에 VASP(value-added service Provider)는 사용자의 서비스 사용에 대한 지불 가능성을 확신할 필요가 있고 ASPeCT(Advanced Security for Personal Communication Technologies)에서는 UMTS에서의 사용자와 VASP간에 인증과 지불을 위한 AIP (Authentication and Initialization of Payment)프로토콜을 제시하고 있다.Therefore, before the user can use the service, the value-added service provider (VASP) needs to be sure of the payability of the user's use of the service, and Advanced Security for Personal Communication Technologies (ASPCTC) authenticates between the user and VASP in UMTS. It presents AIP (Authentication and Initialization of Payment) protocol.

AIP 프로토콜에서 VASP는 사용자의 비용에 대한 지불을 확신하기 위하여 사용자의 온라인 TTP(Trusted Third Party)에 접근하여 서비스 사용을 원하는 사용자의 인증서 취소 여부를 확인한다.In the AIP protocol, VASP verifies whether the user wants to use the service by revoking the user's online Trusted Third Party (TTP) to confirm payment of the user's expenses.

그러나, 온라인 TTP에 의존하여 사용자의 인증서 취소 여부를 확인하는 것은 원거리에서의 인증 프로토콜 수행과 그에 따른 소비라는 문제점이 존재하고 또한, 이러한 방식은 VASP가 있는 외부 도메인과 TTP가 존재하는 사용자의 홈 도메인과의 신뢰 관계를 필요로 한다.However, there is a problem that relying on online TTP to confirm whether a user revokes a certificate has a problem of performing an authentication protocol at a long distance and consequently consumption. Also, this method has a foreign domain with VASP and a home domain of a user with TTP. Requires a trust relationship with

적은 서비스 제공자가 존재하는 환경에 있어서는 이동성 계약에 의하여 온라인 TTP에 기반한 인증과 지불 프로토콜의 수행이 가능하나 향후의 무선 인터넷에서와 같이 수많은 서비스 제공자들과 다양한 서비스들이 존재하는 환경에서는 비효율적인 방법이다.In an environment where few service providers exist, it is possible to perform authentication and payment protocols based on online TTP by a mobility contract, but it is an inefficient method in an environment where many service providers and various services exist, such as in the future wireless Internet.

그리고 본 발명은 티켓의 장점을 바탕으로 이룩한 것으로 상기 티켓을 이용한 접근 기술을 티켓을 이용한 서비스 접근 기술에 의하여 연구되고 있으며 티켓은 사용자가 서비스를 사용할 권리를 나타내는 데이터이다.In addition, the present invention has been accomplished based on the advantages of the ticket, and the access technology using the ticket is studied by the service access technology using the ticket, and the ticket is data representing the right of the user to use the service.

이하 티켓의 장점에 대하여 설명하면 첫째 사용자는 원하는 서비스에 대한 티켓을 제공받고 그에 따른 지불을 하게 되며 특정 서비스를 사용하고 싶을 때 VASP에서 티켓을 제출하게 되고 상기 티켓은 기본 통신 서비스(무선 및 유선)와 더불러 부가가치서비스(value-added service 주문형 비디오 등)를 이용할 때 사용될 수 있다.Explaining the advantages of the ticket below, the first user is provided with a ticket for the desired service and pays accordingly. When the user wants to use a specific service, the VASP submits a ticket, and the ticket is a basic communication service (wireless and wired). It can also be used when using value-added services (such as video on demand).

그리고 티켓은 서비스 제공자가 사용자에게 서비스를 제공할 것인지를 판단하는 데 필요한 정보들을 가지므로 사용자의 인증서 취소여부를 검사하기 위한 온라인 TTP와의 긴 거리를 통한 인증 프로토콜을 수행할 필요가 없고 사용자가 이동해서 외부 도메인(먼 거리에 있는)에 위치한 서비스 제공자와 접촉하는 이동 통신 환경에서 티켓에 기반한 서비스 접근을 유용하게 만들고 또한 티켓에 기반한 메커니즘은 티켓을 발급하고 지불을 대행하는 신뢰할 수 있는 기관을 통하여 사용자의 서비스 사용에 대한 익명성을 보장할 수 있으며 서비스 제공자는 티켓을 통하여 사용자의 개인 정보를 얻을 수가 없는 장점이 있다.And because the ticket has the information the service provider needs to determine whether to provide the service to the user, there is no need to perform an authentication protocol over a long distance with the online TTP to check the user's certificate revocation. In a mobile communication environment with contact with a service provider located in an external domain (at a distance), ticket-based service access can be useful, and the ticket-based mechanism can be used by a trusted authority that issues tickets and pays for them. Anonymity about the use of the service can be guaranteed and the service provider has the advantage of not being able to obtain the user's personal information through the ticket.

그리고 티켓 장점 둘째는 사용자의 적절한 티켓을 구입함으로써 자신의 요구에 적합한 서비스를 제공받을 수 있고 사용자들은 원하는 서비스를 선택할 수 있으며 서비스 제공자와의 장기간에 걸친 계약을 할 필요가 없는 장점이 있다.And the second advantage is that by purchasing the appropriate ticket of the user can be provided with a service suitable for their needs, the user can select the desired service and there is no need to make a long-term contract with the service provider.

이하, 본 발명을 달성하기 위하여 티켓에 기반을 둔 서비스 접근 메커니즘은 다음과 같다.Hereinafter, a ticket based service access mechanism to achieve the present invention is as follows.

자원의 접근에 대한 제한을 다루고 있기 때문에 사용자와 서비스 제공자에 있어서 안전성이 보장되어야 하고 사용자는 티켓을 획득할 때 공인된 기관에서 획득하는 것에 대한 확인을 필요로 하고 또한 사용자들은 공격자에 의해서 티켓이 불법적으로 수정되거나 위조되지 않았음을 확신하여야 한다.As it deals with restrictions on access to resources, safety must be ensured for users and service providers, and users need to verify that they are obtained from an accredited agency when obtaining a ticket, and users are also guilty of illegal tickets by attackers. It should be assured that it has not been modified or forged.

또한, VASP는 서비스를 제공하기 전에 티켓이 위조가 아니고 원본임을 확인하고 티켓의 이중 사용의 문제 또한 해결되어야 한다.In addition, VASP must ensure that the ticket is original, not counterfeit, before providing the service, and the problem of double use of the ticket must also be addressed.

따라서, 본 발명의 목적은 상기 문제점을 해결하기 위하여 안출된 것으로서 무선 인터넷에서 부가가지서비스(value-added service)를 위하여 공개키 암호 시스템을 이용한 티켓 기반 인증 및 지불 프로토콜을 제공하고 프로토콜에서는 서비스 사용에 대한 지불 가능성을 검증하기 위하여 온라인 TTP에 접근하는 과정을 없애고 VASP는 단지 티켓을 검증하고 사용자가 적당한 티켓의 소유주임을 확인하는데 있다.Accordingly, an object of the present invention is to provide a ticket-based authentication and payment protocol using a public key cryptography system for value-added service in wireless Internet, and to provide a service in the protocol. By eliminating the process of accessing the online TTP to verify the likelihood of payment, VASP simply verifies the ticket and verifies that the user is the owner of the proper ticket.

본 발명의 다른 목적은 본 발명의 기법에서 인증 및 지불 프로토콜 수행 중에 온라인 TTP와의 통신은 필요하지 않는 것으로 티켓을 사용하여 기존의 AIP 프로토콜과 비교하여 통신과 계산 비용을 개선하고 티켓은 이동 사용자에게 익명성이 보장되는 서비스 사용을 보장하는데 있다.Another object of the present invention is that communication with the online TTP is not required during the authentication and payment protocol in the present invention, and the ticket is used to improve the communication and calculation costs compared to the existing AIP protocol, and the ticket is anonymous to the mobile user. To ensure the use of guaranteed services.

상기 본 발명의 목적을 달성하기 위해서 피켓 획득 프로토콜은 사용자와 VASP와 익명 서비스 사용을 위해서 티켓 서버로부터 임시로 사용할 수 있는 서명을위한 비밀키와 검증을 위한 공개키 그리고 VASP와의 세션키를 설정하는데 사용할 공개키와 비밀키를 획득함으로써 무선 인터넷에서의 티켓 기반 인증 및 지불 방법을 달성하였다.In order to achieve the object of the present invention, the picket acquisition protocol can be used to set a private key for signature and public key for verification and a session key with VASP that can be used temporarily by the ticket server for use with the user and VASP and anonymous service. By obtaining public and private keys, we achieved a ticket-based authentication and payment method over the wireless Internet.

도 1은 본 발명의 바람직한 실시예의 무선 인터넷에서의 티켓 기반 인증 및 지불 방법 블록도,1 is a block diagram of a ticket based authentication and payment method in the wireless Internet of a preferred embodiment of the present invention;

도 2는 본 발명의 바람직한 실시예의 티켓 구조도,2 is a ticket structure diagram of a preferred embodiment of the present invention;

도 3은 본 발명의 제 1 티켓 획득 프로토콜 구조도,3 is a structural diagram of a first ticket acquisition protocol of the present invention;

도 4는 본 발명의 제 2 티켓 획득 프로토콜 구조도,4 is a structural diagram of a second ticket acquisition protocol of the present invention;

도 5는 본 발명의 바람직한 실시예의 티켓 기반 인증 및 지불 프로토콜 구성도이다.5 is a block diagram of a ticket-based authentication and payment protocol in a preferred embodiment of the present invention.

* 도면의 주요부분에 대한 부호의 설명** Explanation of symbols for the main parts of the drawings *

1 : 모바일 사용자 2 : 부가가치서비스 제공자1: Mobile user 2: Value added service provider

3 : 티켓 서버3: ticket server

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 바람직한 실시예의 티켓에 기반한 인증과 지불 모델 구성도로 기반 인증 및 지불 모델에서의 각 참여자들의 간의 관계를 도시한 것이며 티켓에 기반한 서비스 이용과 지불의 참여자는 모바일 사용자(1)(이하 사용자라 칭함)와 VASP(2)(Value-Added Service Provider) 그리고 티켓 서버(3)로 구성되어 있다.Figure 1 illustrates the relationship between each participant in the ticket-based authentication and payment model diagram of the preferred embodiment based on the authentication and payment model. Participants in ticket-based service use and payment are the mobile user 1 (hereinafter referred to as the user). And VASP (2), Value-Added Service Provider, and Ticket Server (3).

상기 티켓 서버(3)는 일종의 인증기관 역할을 하는 특별한 TTP이고 티켓을 이용한 서비스 제공자(2)와의 인증 및 지불 메커니즘은 두 단계로 구분되어지며 각 사용자는 티켓 서버(3)에 등록되어 있는 것으로 간주한다.The ticket server 3 is a special TTP acting as a kind of certification authority, and the authentication and payment mechanism with the service provider 2 using the ticket is divided into two stages, and each user is considered to be registered with the ticket server 3. do.

사용자(1)는 티켓 서버(3)와 티켓 획득 프로토콜을 수행시킴으로써 티켓을 얻게 되고 티켓 획득 단계는 사용자(1)와 티켓 서버(3)간에 서비스 선택 및 티켓 획득이 이루어지고 또한, 상기 티켓 획득 단계에서 사용자는 티켓 서버(3)에서 획득한 티켓에 대한 지불을 수행한다.The user 1 obtains a ticket by performing a ticket acquisition protocol with the ticket server 3, and the ticket acquisition step is a service selection and ticket acquisition between the user 1 and the ticket server 3, and the ticket acquisition step In the user, the user pays for the ticket obtained in the ticket server 3.

티켓 획득 과정 다음에 수행되는 티켓 사용 단계에서는 모바일 사용자(1)는 VASP(2)에서 티켓 획득 과정에서 얻은 티켓을 VASP(2)에서 전송하면 VASP(2)는 티켓의 불법적인 수정과 위조여부를 검증하고 모바일 사용자(1)가 티켓의 정당한 소유주임을 확인하기 위한 인증 과정을 수행한다.In the ticket use step performed after the ticket acquisition process, the mobile user 1 transmits a ticket obtained in the ticket acquisition process from the VASP 2 to the VASP 2, and the VASP 2 checks whether the ticket is illegally modified and forged. A verification process is performed to verify and verify that the mobile user 1 is the legitimate owner of the ticket.

만약 티켓의 검증이 성공적이면 티켓의 조건에 따라서 사용자에게 서비스를 제공한다.If the ticket validation is successful, the service is provided to the user according to the conditions of the ticket.

사용된 티켓은 VASP(2)에게 저장이 되어서 나중에 티켓 서버에서 제출이 되며 티켓 서버(3)는 티켓을 제출한 VASP(2)에게 서비스 제공에 대한 지불을 한다.The ticket used is stored in the VASP 2 and later submitted by the ticket server, and the ticket server 3 pays for providing the service to the VASP 2 that submitted the ticket.

도 2는 바람직한 실시예의 티켓 구조를 도시한 것으로 티켓은 모바일 사용자가 서비스를 이용하는데 있어서 사용하는 특별한 인증서이며 티켓은 일련번호 sn, 사용자의 키 설정용 공개키 gu, 사용자의 서명을 검증할 수 있는 검증용 공개키 PKU, 티켓이 발행된 시간을 나타내는 티켓 서버의 타임스탬프 TT, 그리고 기타 정보에 대한 data를 가지고 있으며 상기 파라미터들은 해쉬 함수 h로 처리되고 티켓 서버의 서명으로 이루어진다.Figure 2 illustrates the ticket structure of the preferred embodiment, where the ticket is a special certificate used by the mobile user to use the service and the ticket is a serial number sn, the public key g u for the user's key setting, and the user's signature can be verified. Which has data for the verification public key PK U , the ticket server's timestamp TT indicating the time the ticket was issued, and other information, the parameters being processed by the hash function h and the signature of the ticket server.

gu는 VASP와의 세션 키 설정에 사용될 공개키로서 티켓에 포함되며 비밀키 u와 같이 사용자는 티켓 획득 프로토콜 수행 단계에서 티켓 서버로부터 전송받게 되고 익명 서비스 사용을 위해서 티켓 서버는 VASP와의 티켓 사용 단계에서 사용할 서명용 비밀키 SKU를 생성하여 사용자에게 전송하고 대응되는 서명 검증용 공개키 PKU를 티켓에 포함하여 사용자에게 전송하게 되는 것이다.g u is the public key that will be used to establish the session key with VASP and is included in the ticket. Like the secret key u, the user is sent from the ticket server during the ticket acquisition protocol execution phase. The signature secret key SK U to be used is generated and sent to the user, and the corresponding signature verification public key PK U is included in the ticket and sent to the user.

도 3은 바람직한 실시예의 제 1 티켓 획득 프로토콜을 도시한 것으로 사용자와 티켓 서버는 U와 T로 표현되고 제안한 티켓 획득 프로토콜 수행전에 U와 T는 비밀 세션키 L을 소유하고 있다고 가정하고 T의 신원은 idT로 나타내며 타임스템프는 TT로 표시하기로 한다.Figure 3 illustrates a first ticket acquisition protocol of the preferred embodiment, wherein the user and the ticket server are represented by U and T and assume that U and T own the secret session key L before performing the proposed ticket acquisition protocol. The timestamp is represented by idT and TT.

사용자는 난수 r을 생성하여 자신의 신원 idU와 같이 T와의 비밀 세션키 L을 이용하여 암호화하고 T에게 전송한다.The user generates a random number r, encrypts it using a secret session key L with T as his identity idU, and sends it to T.

T는 U로부터 메시지를 받아 복호화를 하여 티켓을 요청하는 U의 신원과 난수 r을 획득한다.T receives the message from U and decrypts it to obtain the identity and random number r of U requesting the ticket.

U의 신원을 파악한 T는 U의 인증서 취소 여부를 파악하고 인증서가 취소되지 않았으면 T는 U가 VASP와의 통신에서의 세션키 설정에 사용될 새로운 난수 u를 생성하고 그에 대응되는 키 설정용 공개키 gu를 생성한다.After identifying U's identity, T knows whether U's certificate has been revoked, and if the certificate has not been revoked, T generates a new random number u to be used for establishing the session key in communication with VASP and the corresponding public key g for key establishment. Create u

또한 U가 VASP에게 전송할 서명에 사용될 비밀 서명키 SKU와 그에 대응되는 서명 검증키 PKU를 생성하여 티켓을 계산해낸다.In addition, U calculates a ticket by generating a secret signature key SK U and a corresponding signature verification key PK U to be used for the signature to be sent to VASP.

T는 티켓과 자신의 신원 idT, 난수 r, 타임 스템프 TT 그리고 비밀키 u와 SKU를 비밀 세션키 L을 이용하여 암호화 한 후 U에게 전송한다.T encrypts the ticket, its identity idT, random number r, time stamp TT, and secret keys u and SK U with secret session key L and sends them to U.

U는 T로부터의 메시지를 받아 복호화 한 후 티켓을 획득한 이후 U는 T에게 지불을 수행하며 U는 VASP와의 세션키 설정에 사용할 키 설정용 키 쌍인 u와 gu를 얻는다.After U receives the message from T, decrypts it and obtains a ticket, U pays T, and U obtains the key pair u and g u, which are key pairs used to establish the session key with VASP.

또한 서명에 사용될 임시 서명용 키 쌍인 SKU와 PKU를 얻어서 훗날 VASP와의 통신에 이용되는 것이다.In addition, SK U and PK U, which are temporary signing key pairs to be used for signing, are used for later communication with VASP.

도 4는 바람직한 실시예의 제 2 티켓 획득 프로토콜를 도시한 것으로 티켓 획득 프로토콜 수행 전에 U는 T의 정당한 공개키 합의 키(punblic key agreement key) gt를 소유하고 있다고 간주하고 티켓 획득 프로콜은 도 4에 도시한 바와 같다.FIG. 4 illustrates a second ticket acquisition protocol of the preferred embodiment, where U assumes that T owns a punblic key agreement key g t of T before performing the ticket acquisition protocol and the ticket acquisition protocol is described in FIG. 4. As shown.

우선 사용자 U는 임의로 자신의 공개키 합의 키 gw를 생성하고 U는 T의 공개키 합의 키 gt와 자신의 공개키 합의키 gw를 이용하여 비밀 세션키 L=(gt)w을 생성한다.First, user U randomly generates his own public key agreement key g w and U generates a secret session key L = (g t ) w using T's public key agreement key g t and his public key agreement key g w . do.

사용자는 난수 r을 생성하여 자신의 신원 idU와 같이 T와의 비밀 세션키 L을 이용하여 암호화하고 T에게 전송한다.The user generates a random number r, encrypts it using a secret session key L with T as his identity idU, and sends it to T.

T는 U로부터 메시지를 받아 비슷한 방식으로 비밀 세션키 L=(gw)t를 생성한다.T receives a message from U and generates a secret session key L = (g w ) t in a similar manner.

T는 복호화를 하여 티켓을 요청하는 U의 신원과 난수 r을 획득한다. U의 신원을 파악한 T는 U의 인증서 취소 여부를 파악한다. 인증서가 취소되지 않았으면 T는 U가 VASP와의 통신에서의 세션키 설정에 사용될 새로운 난수 u를 생성하고 그에 대응되는 키 설정용 공개키 gu를 생성한다. 또한 U가 VASP에게 전송할 서명에 사용될 비밀서명키 SKU와 그에 대응되는 서명 검증키 PKU를 생성하여 같이 티켓을 계산 해낸다.T decrypts and obtains the identity of U requesting the ticket and a random number r. Having identified U's identity, T determines whether U's certificate has been revoked. If the certificate has not been revoked, T generates a new random number u to be used for session key establishment in communication with VASP and a corresponding public key g u for key establishment. In addition, U generates a secret signature key SK U to be used for the signature to be sent to VASP and a corresponding signature verification key PK U to calculate the ticket.

T는 티켓과 자신의 신원 idT, 난수 r, 타임 스템프 TT 그리고 비밀키 u와 SKU를 비밀 세션키 L을 이용하여 암호화 한 후 U에게 전송한다.T encrypts the ticket, its identity idT, random number r, time stamp TT, and secret keys u and SK U with secret session key L and sends them to U.

U는 T로부터 메시지를 받아 복호화 한 후 티켓을 획득하고 T의 서명을 검증하게 되고 티켓을 획득한 U는 T에게 지불을 수행하고 또한, U는 VASP와의 세션키 설정에 사용할 키 설정용 키 쌍인 u와 gu를 얻는다. 또한 서명에 사용될 임시 서명용 키 쌍인 SKU와 PKU를 얻어서 훗날 VASP와의 통신에 사용한다.U receives a message from T, decrypts it, obtains a ticket, verifies the signature of T, obtains U, pays T, and U is a key pair for establishing a key for the session key with VASP. And g u are obtained. In addition, SK U and PK U, which are temporary signing key pairs to be used for signing, are obtained for later communication with VASP.

도 5는 바람직한 실시예의 티켓 기반 인증 및 지불 프로토콜 구성도로 본 발명에서 프로토콜은 서비스 사용에 대한 비용 지불 가능 여부를 검사하기 위해 사용자의 온라인 TTP에 접근하는 것이 아니라, VASP는 단지 티켓의 정당성과 사용자가 티켓의 소유주임을 확인하면 되고 티켓을 이용하여 익명 서비스 사용을 보장해줄 수 있다.5 is a ticket based authentication and payment protocol configuration of the preferred embodiment, in the present invention, the protocol does not access the user's online TTP to check whether the service is payable for use of the service, but VASP is merely a ticket justification and You can verify that you own the ticket and use the ticket to guarantee the use of the anonymous service.

도 5에 도시된 프로토콜에서 U는 사용자, V는 VASP, cert V는 V의 신원, TV는 V가 생성한 타임스템프, ch_data는 V가 U에게 보내주는 지불에 관련된 정보, h는 해쉬 함수를 의미한다.In the protocol shown in FIG. 5, U is a user, V is VASP, cert V is the identity of V, TV is the timestamp generated by V, ch_data is information related to payments that V sends to U, and h is a hash function. do.

본 발명에서의 프로토콜 시작전 하기와 같은 조건을 전재로 한다.Before starting the protocol in the present invention, the following conditions are reproduced.

조건 1 : U는 T로부터 부여받은 정당한 Ticket을 소유하고 있다.Condition 1: U owns a valid Ticket granted by T.

조건 2 : V는 T에 의해서 할당된 키 합의를 위한 공개키에 대한 인증서가 있다.Condition 2: V has a certificate for the public key for key agreement assigned by T.

조건 3 : U는 T의 공개된 서명 검증키를 가지고 있다.Condition 3: U has T's public signature verification key.

상기와 같은 조건에서 프로토콜이 시작되면 U는 티켓 획득 프로토콜에서 얻은 Ticket을 V에게 전송하고 V는 Ticket으로부터 얻은 gu와 자신의 키 설저용 비밀키 v를 이용하여 세션키 K=h(guv∥r)을 계산하여 V는 난수 r을 생성하여 세션키 K와 자신의 신원 idV을 해쉬 함수 h로 처리하고 r과 타임 스템프 TV 그리고 자신의 키 설정 공개키인 gv에 대한 인증서 certV와 같이 U에게 전송한다.When the protocol is started under the same conditions as in the U sends a Ticket obtained from the ticket acquisition protocol to V and V is by using the g u and a secret key v for their key seoljeo obtained from Ticket session key K = h (g uv ∥ r is calculated, and V generates a random number r, which treats session key K and its identity idV with the hash function h, and tells U to certV for r, the time stamp TV, and g v , its key-setting public key. send.

그리고 두 번째 메시지를 전송 받은 후, U는 certV를 이용하여 V와 동일한 세션키 K=h(gvu∥r)를 계산하고 해쉬 값을 검사한 후 V가 실제로 세션키 K을 소유하고 있다는 것을 확인하게 된다.After receiving the second message, U calculates the same session key K = h (g vu ∥r) as V using certV, checks the hash value, and confirms that V actually owns the session key K. Done.

또한, U는 Ticket ∥gv∥r ∥idV ∥ch_data ∥TV에 해쉬 함수 h를 취하고 생성된 값에 전자 서명을 하여 V에게 전송한다.Also, U takes the Ticket ∥g v ∥r ∥idV ∥ch_data ∥ take the hash function h on the TV and digitally sign the generated value and send it to V.

마지막 세 번째 메시시를 받은 후, V는 세션키 K를 이용해서 전달받은 메시지를 복호화 하고 사용자의 서명을 검증하며 검증에 성공하면 U에게 서비스 제공을 시작하고 V는 티켓 서버에서 U의 서명을 제출하고 제공한 서비스에 대한 지불을 받게 되는 것이다.After receiving the last third message, V decrypts the message received using session key K, verifies the user's signature, and if successful, starts serving the U and V submits the U's signature on the ticket server. You will be paid for the services you provide.

본 발명은 티켓에 있어서 문제가 되는 점 즉, 불법적인 수정과 위조, 복제 그리고 재상용에 관한 것이 있으나 티켓 사용 프로토콜에서 서명을 생성해낼 수가 없으므로 티켓의 복제 사용은 방지될 수 있고 티켓 서버 이외의 참가자로부터의 티켓의 수정과 위조는 가능하지 않다.The present invention has a problem with the ticket, that is, illegal modification, forgery, duplication and re-commercial use, but since the signature cannot be generated from the ticket usage protocol, the use of the ticket can be prevented and participants other than the ticket server can be prevented. Modification and forgery of tickets from the site is not possible.

그 이유는 사용자나 정당하지 못한 티켓의 사용은 티켓 서버의 서명을 생성해낼 수 없기 때문이며 사용자가 티켓을 재사용 하면은 티켓서버는 동일한 티켓에 대한 사용자의 서명(제안한 프로토콜의 세 번째 메시지)을 중복해서 받게 된다.The reason is that the user or the use of an invalid ticket cannot generate the ticket server's signature. If the user reuses the ticket, the ticket server will duplicate the user's signature (third message in the proposed protocol) for the same ticket. Will receive.

따라서, 티켓 서버는 사용자의 티켓 재사용 여부를 파악할 수 있으므로 티켓 재사용은 검출 될 수 있다.Therefore, the ticket server can determine whether the ticket reuse of the user can be detected ticket reuse.

본 발명의 티켓 기반 트로토콜은 사용자의 지불 가능성을 검사하기 위하여 온라인 TTP의 관여가 필요하지 않고 V에게 전송되는 티켓은 U의 신원 정보를 가지고 있지 않으며 프로토콜 수행 중에 U는 서비스 사용을 위해 새로이 생성한 비밀 서명키를 이용하여 서명을 수행하므로 서비스 사용에 대한 익명성이 보장되는 것이다.According to the present invention, the ticket-based protocol does not require the involvement of an online TTP to check the user's payment possibility, and the ticket sent to V does not have U's identity information and U is newly created for service use during the protocol execution. Since the signature is performed using the secret signing key, the anonymity of the service usage is guaranteed.

마지막 메시지 티켓과 V의 신원 idV, 난수 r 그리고 타임스템프 TV를 포함한 U의 전자서명은 티켓에 대한 서비스 사용의 부인 방지를 해준다.U's digital signature, including the last message ticket and the identity id V of V, the random number r, and Timestamp TV, prevents the denial of service use of the ticket.

세션키 K는 V로부터 생성된 난수 r로부터 만들어지고 이는 예전에 세션키 K가 재 사용되는 것을 방지하기 위함이며 이것은 새로이 생성된 난수 u와 같이 U와 V 양쪽에 새로운 키라는 것을 제공한다.The session key K is created from a random number r generated from V, which prevents the old session key K from being reused, which provides a new key for both U and V, like the newly generated random number u.

본 발명의 기법은 티켓 획득의 추가적인 단계가 필요하지만 대개의 경우 티켓 획득 프로토콜은 이동 단말이 휴지(idle)상태 일 때 수행 될 수 있고 이동 단말의 제한된 능력을 고려할 때 n-times 티켓(최대 n번 사용할 수 있는 티켓) 또는 subscription(주어진 기간 동안 계속해서 사용할 수 있는 티켓)이 매우 유용할 수 있다.The technique of the present invention requires an additional step of ticket acquisition, but in most cases the ticket acquisition protocol can be performed when the mobile is idle and considering the limited capabilities of the mobile terminal, n-times tickets (up to n times) Available tickets) or subscriptions (tickets that can continue to be used for a given period of time) can be very useful.

사용자는 티켓 서버에서 티켓을 획득하고 그에 대한 지불을 하기 때문에 기본적으로 선지불(pre-paid) 방식이다. 하지만 티켓 안은 지불 초기화 파라미터 등을 포함하고 실제 서비스이용 중에 소액 지불 기법을 수행하는 후지불(Post-paid) 방식으로도 변형될 수 있다.The user is basically pre-paid because the ticket server obtains and pays for the ticket. However, the ticket may be transformed into a post-paid method that includes a payment initialization parameter and the like, and performs a small payment technique during actual service use.

이상에서 설명한 바와 같이, 제 3세 이동 통신 시스템인 UMTS에서의 부가가치서비스(value-added service)를 위하여 티켓을 이용한 효율적인 인증과 지불 프로토콜로 본 발명 프로토콜은 티켓을 이용하여 사용자의 온라인 TTP와의 통신 없이도 사용자의 지불 가능 여부를 VASP가 검증할 수 있으며 VASP는 단지 티켓의 정당성과 사용자가 티켓의 소유주임을 확인하고 본 발명의 프로토콜은 온라인 TTP가 관여하는 AIP 프로토콜과 비교하여 계산량과 통신비용에 있어서 우수하며 또한 서비스 사용에 대한 사용자의 익명성이 보장되는 뛰어난 효과가 있으므로 무선인터넷산업상 매우 유용한 발명인 것이다.As described above, an efficient authentication and payment protocol using a ticket for a value-added service in UMTS, the third-generation mobile communication system, is a protocol of the present invention without using a ticket to communicate with a user's online TTP. The VASP can verify whether the user can pay and the VASP only confirms the validity of the ticket and the user is the owner of the ticket, and the protocol of the present invention is superior in computation and communication costs compared to the AIP protocol involving online TTP. In addition, there is an excellent effect of ensuring the anonymity of the user to use the service is a very useful invention in the wireless Internet industry.

Claims (3)

사용자가 생성된 난수 r을 자신의 신원 idU와 같이 T와 비밀 세션키 L을 수단으로 암호화하여 T에게 전송하는 단계와;Encrypting the random number r generated by the user and the secret session key L together with the means, such as their identity idU, to the T; 티켓 서버 T는 U로부터 메시지를 복호화하여 티켓을 요청하는 U의 신원과 난수 r을 획득하는 단계와;The ticket server T decrypts the message from U and obtains the identity of the U requesting the ticket and a random number r; U의 신원을 파악한 T는 U의 인증서확인 단계와;After identifying the identity of U, T is a certificate verification step of U; 티켓 서버 T가 인증서가 취소되지 않은 U를 위해 VASP와 통신에서 세션키 설정에 사용할 난수 u와 키 설정용 공개키 gu를 생성하는 단계와;Generating, by the ticket server T, a random number u for use in establishing a session key and a public key g u for key establishment in communication with the VASP for U for which the certificate is not revoked; 티켓 서버 T는 U가 VASP에게 전송할 서명에 사용될 비밀 서명키 SKU및 서명 검증키 PKU를 생성하고 티켓을 계산하는 단계와;The ticket server T generates a secret signature key SK U and a signature verification key PK U to be used for the signature that U will send to the VASP and calculates a ticket; 티켓 서버 T는 티켓과 자신의 신원 idT, 난수 r, 타임 스템프 TT 그리고 비밀키 u와 SKU를 비밀 세션키 L을 이용하여 암호화 한 후 U에게 전송하는 단계와;The ticket server T encrypts the ticket and its identity idT, the random number r, the time stamp TT, and the secret keys u and SK U using the secret session key L and transmits them to U; U는 티켓 서버 T로부터의 메시지를 받아 복호화하여 티켓을 획득 및 서명 검증하는 단계와;U receives and decrypts the message from the ticket server T to obtain the ticket and verify signature; 티켓을 획득한 U는 T에게 지불 수행 및 VASP와의 세션키 설정에 사용할 키 설정용 키 쌍인 u와 gu를 획득하는 단계로 이루어진 것을 특징으로 하는 무선 인터넷에서의 티켓 기반 인증 및 지불 방법.The U having obtained the ticket comprises obtaining u and g u which are key pairs for key setting for performing payment to T and establishing a session key with the VASP. 제 1항에 있어서, 상기 티켓 서버 U는 티켓 서버 T의 공개키 합의키 gt와 자신의 공개키 합의 키 gw를 이용하여 비밀세션키 L=(gt)w를 생성함을 특징으로 하는 무선 인터넷에서의 티켓 기반 인증 및 지불 방법.The method of claim 1, wherein the ticket server U generates a secret session key L = (g t ) w using the public key agreement key g t of the ticket server T and its public key agreement key g w . Ticket-based authentication and payment method over wireless Internet. 제 1항에 있어서, 상기 VASP와의 세션키 설정에 사용할 키 설정용 키 쌍인 u와 gu는 VASP 통신에 사용되는 것을 특징으로 하는 무선 인터넷에서의 티켓 기반 인증 및 지불 방법.The method of claim 1, wherein u and g u, which are key pairs for setting a session key with the VASP, are used for VASP communication.
KR10-2002-0005552A 2002-01-31 2002-01-31 Authentication and payment based on ticket in wireless Internet KR100447623B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0005552A KR100447623B1 (en) 2002-01-31 2002-01-31 Authentication and payment based on ticket in wireless Internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0005552A KR100447623B1 (en) 2002-01-31 2002-01-31 Authentication and payment based on ticket in wireless Internet

Publications (2)

Publication Number Publication Date
KR20030065100A KR20030065100A (en) 2003-08-06
KR100447623B1 true KR100447623B1 (en) 2004-09-07

Family

ID=32220011

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0005552A KR100447623B1 (en) 2002-01-31 2002-01-31 Authentication and payment based on ticket in wireless Internet

Country Status (1)

Country Link
KR (1) KR100447623B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101043215B1 (en) 2008-07-03 2011-06-22 한국과학기술원 Ticket, system and method for verificating privilege in single sign-on system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104166918B (en) * 2014-08-20 2017-08-25 齐鲁工业大学 Safe payment method based on audio button
CN113159872B (en) * 2021-02-26 2024-03-29 西安电子科技大学 Privacy protection online billing service authentication method, system, storage medium and application

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10308732A (en) * 1997-05-07 1998-11-17 Fuji Xerox Co Ltd Access right authenticating device and method therefor
JPH11205306A (en) * 1998-01-16 1999-07-30 Fuji Xerox Co Ltd Authentication system and authentication method
JP2001177513A (en) * 1999-12-15 2001-06-29 Nippon Telegr & Teleph Corp <Ntt> Authenticating method in communication system, center equipment, and recording medium with authentication program recorded thereon
KR100341852B1 (en) * 1999-08-30 2002-06-26 오길록 Implementation method of authentication for server-client application

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10308732A (en) * 1997-05-07 1998-11-17 Fuji Xerox Co Ltd Access right authenticating device and method therefor
JPH11205306A (en) * 1998-01-16 1999-07-30 Fuji Xerox Co Ltd Authentication system and authentication method
KR100341852B1 (en) * 1999-08-30 2002-06-26 오길록 Implementation method of authentication for server-client application
JP2001177513A (en) * 1999-12-15 2001-06-29 Nippon Telegr & Teleph Corp <Ntt> Authenticating method in communication system, center equipment, and recording medium with authentication program recorded thereon

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101043215B1 (en) 2008-07-03 2011-06-22 한국과학기술원 Ticket, system and method for verificating privilege in single sign-on system

Also Published As

Publication number Publication date
KR20030065100A (en) 2003-08-06

Similar Documents

Publication Publication Date Title
JP4674044B2 (en) System and method for providing a key management protocol that allows a client to verify authorization
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
JP4879176B2 (en) System and method for implementing a digital signature using a one-time private key
JP4546240B2 (en) User authentication method and system using challenge / response method
KR101078455B1 (en) Key management protocol and authentication system for secure internet protocol rights management architecture
JP4538312B2 (en) Certificate-based authentication, authorization and accounting scheme for loose-working interworking
JP5027227B2 (en) Method and apparatus for an authentication procedure in a communication network
US20070150744A1 (en) Dual authentications utilizing secure token chains
US20080235513A1 (en) Three Party Authentication
US20090144541A1 (en) Method and apparatus of mutual authentication and key distribution for downloadable conditional access system in digital cable broadcasting network
JP2005525622A (en) Method and system for providing third party authorization authorization
KR20040037155A (en) Unique on-line provisioning of user terminal allowing user authentication
JP2008511232A (en) Personal token and method for control authentication
WO2007019760A1 (en) A method and a system for a mobile terminal joining in a domain and obtaining a rights object
JP4213664B2 (en) Non-repudiation of service agreement
RU2007138849A (en) NETWORK COMMERCIAL TRANSACTIONS
CN111163109B (en) Block chain center-removing type node anti-counterfeiting method
MX2012011105A (en) Certificate authority.
EP1912147A1 (en) Method and apparatus for selling a digital resource
JP4761348B2 (en) User authentication method and system
KR100447623B1 (en) Authentication and payment based on ticket in wireless Internet
JP3634279B2 (en) Application linkage method between multiple IC cards and within the same IC card
Lee et al. Ticket based authentication and payment protocol for mobile telecommunications systems
CN113886781B (en) Multi-authentication encryption method, system, electronic device and medium based on block chain
KR20010048903A (en) Method of realtime electronic auction with JAVA security skill

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110615

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20120615

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee