KR100853448B1 - 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법 - Google Patents

도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법 Download PDF

Info

Publication number
KR100853448B1
KR100853448B1 KR1020070012294A KR20070012294A KR100853448B1 KR 100853448 B1 KR100853448 B1 KR 100853448B1 KR 1020070012294 A KR1020070012294 A KR 1020070012294A KR 20070012294 A KR20070012294 A KR 20070012294A KR 100853448 B1 KR100853448 B1 KR 100853448B1
Authority
KR
South Korea
Prior art keywords
agent
domain
authentication
information
platform
Prior art date
Application number
KR1020070012294A
Other languages
English (en)
Other versions
KR20080073556A (ko
Inventor
엄영익
김구수
조현진
고광선
장현수
임원택
정용우
최현우
경계현
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020070012294A priority Critical patent/KR100853448B1/ko
Publication of KR20080073556A publication Critical patent/KR20080073556A/ko
Application granted granted Critical
Publication of KR100853448B1 publication Critical patent/KR100853448B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

악의를 가진 이동에이전트로부터 에이전트 플랫폼을 보호하기 위해 이동에이전트가 가지고 있는 인증정보를 이용하여 이동에이전트의 신원을 확인하고 정당하지 못한 이동에이전트의 유입을 막음으로써 에이전트 플랫폼을 보호하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 관한 것으로, 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트, 상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼, 동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버, 상기 에이전트플랫폼 또는 상기 도메인관리서버에 대한 인증을 수행하는 인증기관서버를 포함하는 구성을 마련한다.
상기와 같은 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 이용하는 것에 의해, 도메인 내 인증 시 인증 속도 및 연산 부하의 감소시킬 수 있다.
Figure R1020070012294
이동에이전트, 에이전트 플랫폼, 유비쿼터스, 인증, 보안

Description

도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법{Domain-Based Mobile Agent Authentication System and Method Thereof}
도 1은 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 시스템을 도시한 블록도,
도 2는 본 발명의 일실시예에 따른 에이전트플랫폼의 구조를 도시한 블록도,
도 3은 본 발명의 일실시예에 따른 도메인관리서버의 구조를 도시한 블록도,
도 4는 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 방법을 설명하는 흐름도.
* 도면의 주요 부분에 대한 부호의 설명 *
10: 이동에이전트 20: 에이전트플랫폼
21: 에이전트생성수단 22: 등록요청수단
23: 키생성수단 24: 인증자생성수단
25: 지역인증수단 30: 도메인관리서버
31: 공유키관리수단 32: 플랫폼관리수단
33: 전역인증수단 40: 인증기관서버
본 발명은 도메인(Domain) 기반 이동에이전트(Mobile Agent) 인증 시스템 및 그 인증 방법에 관한 것으로, 특히 악의를 가진 이동에이전트로부터 에이전트 플랫폼(Agent Platform)을 보호하기 위해 이동에이전트가 가지고 있는 인증정보를 이용하여 이동에이전트의 신원을 확인하고 정당하지 못한 이동에이전트의 유입을 막음으로써 에이전트 플랫폼을 보호하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 관한 것이다.
일반적으로 이동에이전트는 능동적이고 자율적인 소프트웨어 객체(Software Object)를 말한다. 이러한 이동에이전트를 유비쿼터스 컴퓨팅(Ubiquitous Computing)에 적용할 경우 다양한 서비스를 제공할 수 있다. 좀 더 구체적으로 설명하자면, 이동에이전트는 연산 로직(Logic)과 상태 정보를 포함하고 있는 능동적이고 자율적이며 자기복제가 가능한 소프트웨어 객체이다. 이동에이전트는 한 호스트에서 연산을 수행하다가 자신의 상태 정보를 가지고 다른 호스트로 이동하여 이전 호스트에서 수행했던 연산을 계속 수행할 수 있다. 이러한 이동에이전트의 응용 분야로는 전자상거래, 개인화 지원 서비스, 분산 정보 검색, 모니터링 및 네트워크 관리 등이 있다. 이동에이전트를 이용한 응용 서비스는 기존의 클라이언트-서버 기반 응용 서비스에 비해 네트워크 사용의 감소, 서비스 인터페이스의 동적인 갱신, 결합허용성(Fault Tolerance), 이종 환경에서의 동작 가능 등의 장점을 갖는다.
그러나 이동에이전트를 실제 생활환경에 적용하고자 하는 경우에 보안상으로 취약하다는 문제가 발생한다. 예를 들어, 악의를 가진 외부의 개체가 다른 이동에이전트로 신분을 위장하거나, 위장한 신분의 권한을 이용하여 자신의 권한으로는 접근할 수 없는 서비스를 이용하거나, 다른 이동에이전트로 위장하여 에이전트 플랫폼을 공격하는 등의 문제가 있을 수 있다. 이외에도 악의를 가진 개체가 서비스를 제공하는 이동에이전트를 중간에 가로채어 내부의 사용자 개인 정보 및 서비스 실행 결과 등을 입수 또는 변경할 수도 있다.
이와 같이 에이전트 보안 기술의 일례가 대한민국 특허 등록공보 제0432236호(2004.05.10 등록, 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템)에 개시되어 있다.
상기 대한민국 특허 등록공보 제0432236호에 개시된 기술은 분산 네트워크 환경에서 중요시되는 시스템간 상호 호환 및 연동과 기구축된 시스템의 안정성 보장을 위해 분산 객체 기술 및 통합 관제 기술을 통해 각 시스템에 대한 통합 관제 및 관리기능을 제공하며 범용의 정보보호 서비스를 제공하는 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템에 관한 것으로, 분산 네트워크 환경에서 필수적인 시스템간 상호 호환 및 연동과 기구축된 시스템의 안정성 보장을 위해 매니저와 통합 관제/관리 서버와 지능형 이동 에이전트를 포함하는 구성으로 이루어진다고 기재되어 있다. 즉, 상기 공보 제0432236호에 개시된 기술에서는 분산 객체 기술을 기반의 높은 이식성을 통해 각 시스템에 대한 통합 관제 및 관리기능을 제공하며 또한 인증, 기밀성, 무결성, 접근 제어 그리고 부인 방지 등의 범용의 정 보보호 서비스를 지원하는 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호 시스템에 대해 기재되어 있다.
또, 에이전트 보안 기술의 일례가 대한민국 특허 공개공보 제2006-0104839호(2006.10.09 공개, 확장성과 이동성을 고려한 멀티 에이전트 기반의 보안서비스 방법)에 개시되어 있다.
상기 대한민국 특허 공개공보 제2006-0104839호에 개시된 기술은 멀티에이전트 기술을 이용한 유비쿼터스 환경에서 에이전트 플랫폼들 사이에서 정보 및 메시지 교환시에 발생할 수 있는 보안문제를 해결하는 보안시스템을 제공하는 확장성과 이동성을 고려한 멀티 에이전트 기반의 보안서비스 방법에 관한 것으로, 유비쿼터스 환경에서 사용자에게 필요한 응용서비스를 실행하기 위해 하나 이상의 에이전트 플랫폼을 포함하는 멀티 에이전트 기반의 시스템에 있어서 각 에이전트 플랫폼 사이에 정보교환시에 발생되는 보안의 취약성을 해결하기 위해 각 에이전트 플랫폼 내에 보안모듈을 플러그인하여 상기 보안모듈을 통해서 각 에이전트 플랫폼 사이에 정보교환이 이루어진다고 기재되어 있다. 즉, 상기 공보 제2006-0104839호에 개시된 기술에서는 보다 쉬운 보안 서비스 혜택을 적용받을 수 있는 확장성과 이동성을 보장하는 멀티 에이전트 기반의 보안서비스 방법에 대해 기재되어 있다.
그러나 상기 공보들에 개시된 기술들을 비롯하여 종래의 이동에이전트 인증 기술에 있어서는 공개키를 이용하여 인증을 수행하므로 암호화에 비해 속도가 느려 인증 연산의 부하가 커지는 문제가 있었다. 즉, 공개키를 이용하는 암호화의 경우 대칭키를 이용하는 암호화에 비해 약 1000 ~ 5000배 느리기 때문에 연산이 오래 걸리게 된다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로서, 이동에이전트가 실행되는 환경을 도메인으로 구분한 후, 도메인 내에서의 인증은 대칭키를 사용함으로써 도메인 내 인증 시 인증 속도 및 연산 부하를 감소시키는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.
본 발명의 다른 목적은 유비쿼터스 컴퓨팅 환경을 포함한 다양한 환경에서 이동에이전트의 인증을 수월하게 하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.
본 발명의 다른 목적은 PDA(Personal Digital Assistants)와 같은 소형 디바이스(Device) 상에서도 이동에이전트 인증이 가능하게 하는 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트, 상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼, 동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버 를 포함하고, 상기 에이전트플랫폼은 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는 경우 대칭키 기반 인증을 수행하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 에이전트플랫폼은 이동에이전트를 생성하는 에이전트생성수단, 상기 도메인관리서버에 등록을 요청하는 등록요청수단, 인증에 이용되는 지역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단, 상기 다른 이동에이전가 포함하는 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 지역인증수단을 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 도메인관리서버는 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단, 상기 에이전트플랫폼을 등록하여 관리하는 플랫폼관리수단을 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID(Identification) 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트(Message Digest) 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트, 상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼, 동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버, 상기 에이전트플랫폼 또는 상기 도메인관리서버에 대한 인증을 수행하는 인증기관서버를 포함하고, 상기 에이전트플랫폼은 다른 에이전트플랫폼으로부터 이주되는 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 대칭키 기반 인증 또는 공개키 기반 인증을 수행하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 에이전트플랫폼은 이동에이전트를 생성하는 에이전트생성수단, 상기 도메인관리서버에 등록을 요청하는 등록요청수단, 상기 에이전트플랫폼의 공개키 또는 개인키를 생성하는 키생성수단, 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단, 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 다른 이동에이전트를 인증하는 지역인증수단을 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 도메인관리서버는 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단, 상기 에이전트플랫폼을 등록하 여 관리하는 플랫폼관리수단, 다른 도메인으로부터 이주되는 다른 이동에이전트를 인증하는 전역인증수단을 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 지역인증수단은 상기 다른 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 경우, 상기 다른 이동에이전트가 포함하는 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 인증자생성수단은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고, 상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 있어서, 상기 전역인증수단은 상기 다른 이동에이전트가 다른 도메인으로부터 이주되는 경우, 상기 다른 이동에이전트가 포함하는 전역인증자를 이용하여 상기 공개키 기반 인증을 수행하는 것을 특징으로 한다.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 방법은 이동에이전트, 에이전트플랫폼, 도메인관리서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서, 상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계, 상기 에이전트플랫폼이 인증에 이용되는 지역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계, 상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 등록하는 단계는 상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계, 상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계, 상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계, 상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전 송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 대칭키 기반 인증을 수행하는 단계는 상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트의 지역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계, 상기 에이전트플랫폼이 생성된 지역인증정보와 상기 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.
또, 상기 목적을 달성하기 위해 본 발명에 따른 도메인 기반 이동에이전트 인증 방법은 이동에이전트, 에이전트플랫폼, 도메인관리서버, 인증기관서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서, 상기 에이전트 플랫폼이 상기 인증기관서버로부터 인증받는 단계, 상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계, 상기 에이전트플랫폼이 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계, 상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계, 상기 도메인관리서버가 다른 도메인으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 공개키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 인증받는 단계는 상기 에이전트플랫폼이 공개키 및 개인키 1쌍을 생성하는 단계, 상기 에이전트플랫폼이 생성된 상기 공개키를 상기 인증기관서버로 전송하는 단계, 상기 에이전트플랫폼이 상기 인증기관서버로부터 인증서를 수신하는 단계를 포함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 등록하는 단계는 상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계, 상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계, 상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계, 상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포 함하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고, 상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 이동에이전트가 생성된 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 대칭키 기반 인증을 수행하는 단계는 상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계, 상기 에이전트플랫폼이 상기 다른 이동에이전트의 지역인증 자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계, 상기 에이전트플랫폼이 생성된 지역인증정보와 상기 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 있어서, 상기 공개키 기반 인증을 수행하는 단계는 상기 도메인관리서버가 다른 도메인으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계, 상기 도메인관리서버가 상기 다른 이동에이전트로부터 인증 요청 또는 상기 전역인증자를 수신하는 단계, 상기 도메인관리서버가 상기 인증기관서버로 상기 다른 이동에이전트가 생성된 에이전트플랫폼의 공개키를 요청하는 단계, 상기 도메인관리서버가 상기 인증기관서버로부터 상기 다른 이동에이전트가 생성된 에이전트플랫폼의 인증서를 수신하는 단계, 상기 도메인관리서버가 수신된 인증서에 포함된 공개키를 이용하여 상기 다른 이동에이전트의 전역인증자에 포함된 전역인증정보를 복호화하는 단계, 상기 도메인관리서버가 복호화된 결과와 상기 다른 이동에이전트의 전역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 한다.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시 예를 첨부한 도면을 참조하여 상세하게 설명한다. 또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
본 발명에 따른 도메인 기반 이동에이전트 인증 시스템에 대해 도 1 내지 도 3에 따라 설명한다.
도 1은 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 시스템을 도시한 블록도이다.
도 1에서 도시한 바와 같이, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템은 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트(10), 이동에이전트(10)에 대한 생성 또는 인증을 수행하고 이동에이전트(10)의 기능이 실현되도록 지원하는 에이전트플랫폼(20), 동일한 보안 정책이 적용되는 도메인을 통해 이동에이전트(10) 및 에이전트플랫폼(20)을 관리하는 도메인관리서버(30), 에이전트플랫폼(20) 및 도메인관리서버(30)에 대한 인증을 수행하는 인증기관서버(40)를 구비한다.
본 발명에서 도메인은 공통적인 보안 정책이 적용되는 논리적인 단위를 말한다. 단일 도메인은 도 1에서 도시한 바와 같이 이동에이전트(10), 에이전트플랫폼(20), 도메인 내 인증을 담당하는 도메인관리서버(30)로 구성된다. 또, 다중 도메인은 단일 도메인이 연결된 것을 말한다. 에이전트플랫폼(20)은 다른 에이전트플 랫폼으로부터 이주되는 이동에이전트(10)가 동일 도메인 내에서의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 대칭키 기반 인증 또는 공개키 기반 인증(Public Key Infrastructure, PKI)을 수행하여 이주되는 이동에이전트(10)를 인증한다.
도 1에 도시된 인증기관서버(40)는 통상의 인증기관(Certificate Authority) 시스템으로서, 공개키 및 개인키를 이용하여 공개키 기반 인증을 수행한다. 인증기관의 공개키 기반 인증 기술은 본 분야에서 통상으로 사용되는 공지 기술이므로 구체적 설시는 생략한다.
도 2는 본 발명의 일실시예에 따른 에이전트플랫폼의 구조를 도시한 블록도이고, 도 3은 본 발명의 일실시예에 따른 도메인관리서버의 구조를 도시한 블록도이다.
도 2에 도시된 에이전트플랫폼(20)은 통상의 에이전트플랫폼으로서, 이동에이전트(10)를 생성하는 에이전트생성수단(21), 도메인관리서버(30)에 등록을 요청하는 등록요청수단(22), 에이전트플랫폼(20)의 공개키 또는 개인키를 생성하는 키생성수단(23), 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 이동에이전트(10)로 전송하는 인증자생성수단(24), 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 다른 이동에이전트를 인증하는 지역인증수단(25), 에이전트생성수단(21), 등록요청수단(22), 키생성수단(23), 인증자생성수단(24) 및 지역인증수단(25)을 비롯하여 에이전트플랫폼(20) 내부를 제어하는 플랫폼제어수단(26)을 더 포함한다.
또, 도 3에 도시된 도메인관리서버(30)는 통상의 도메인 관리 서버(Domain Management Server, DMS) 시스템으로서, 관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 에이전트플랫폼(20)으로 전송하는 공유키관리수단(31), 에이전트플랫폼(20)을 등록하여 관리하는 플랫폼관리수단(32), 다른 도메인으로부터 이주되는 다른 이동에이전트를 인증하는 전역인증수단(33), 공유키관리수단(31), 플랫폼관리수단(32) 및 전역인증수단(33)을 비롯하여 도메인관리서버(30) 내부를 제어하는 서버제어수단(34)을 더 포함한다.
도 2에 도시된 인증자생성수단(24)은 상기의 설명에서와 같이 인증에 이용되는 인증자를 생성한다. 인증자는 다음의 표1에서와 같이 크게 2가지로 나누어진다.
인증자 설명
지역인증자 (Local Authenticator) 이동에이전트가 동일한 도메인 내 이주시 사용하는 인증자
전역인증자 (Global Authenticator) 이동에이전트가 도메인 간 이주시 사용하는 인증자
각각의 인증자에 대한 설명은 다음과 같다.
먼저, 지역인증자에 대해 설명한다.
지역인증자의 구조는 "<AID | HPID | MD | C(KDS, AID |HPID | MD)>"와 같이 표현할 수 있다. 상기 구조에 표기된 각각의 필드에 대한 설명은 다음의 표2와 같다.
필드 설명
AID 이동에이전트 ID(Identification)
HPID 이동에이전트가 생성된 에이전트플랫폼의 ID
MD 이동에이전트 실행코드의 메시지 다이제스트(Message Digest)
C(KDS, AID |HPID | MD) 지역인증정보
인증자생성수단(24)은 이동에이전트(10)의 실행 코드에 대한 메시지 다이제스트(Message Digest, 이하 'MD'라 한다)를 생성하고, 이 MD를 포함한 지역인증정보를 생성한다. 즉, 지역인증정보는 에이전트 ID, 플랫폼 ID, MD를 도메인공유키로 생성한 인증코드이다. 이동에이전트(10)는 이주 시 지역인증자를 가지고 있는데, 지역인증자에는 지역인증정보와 지역인증정보 생성에 사용된 에이전트 ID, 플랫폼 ID, MD가 포함된다. 다시 말해서, 인증자생성수단(24)이 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 MD 정보를 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 생성된 지역인증정보와 지역인증정보 생성에 사용된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보, 이동에이전트 내부코드의 MD 정보를 이용하여 지역인증자를 생성한다.
다음으로 전역인증자에 대해 설명한다.
전역인증자의 구조는 "<AID | HPID | MD | Cert | E(PRhome _platform, H[AID | HPID | MD])>"와 같이 표현할 수 있다. 상기 구조에 표기된 각각의 필드에 대한 설명은 다음의 표3과 같다.
필드 설명
AID 이동에이전트 ID
HPID 이동에이전트가 생성된 에이전트플랫폼의 ID
MD 이동에이전트 실행코드의 MD
E(PRhome _platform, H[AID | HPID | MD]) 전역인증정보
인증자생성수단(24)은 이동에이전트(10)의 실행 코드에 대한 MD를 생성하고, 이 MD를 포함한 전역인증정보를 생성한다. 즉, 전역인증정보는 에이전트 ID, 플랫폼 ID, MD의 해시값을 생성하고 에이전트플랫폼(20)의 개인키로 암호화하여 전역인증정보를 생성한다. 이동에이전트(10)는 이주 시 전역인증자를 가지고 있는데, 전역인증자에는 전역인증정보와 전역인증정보 생성에 사용된 에이전트 ID, 플랫폼 ID, MD가 포함된다. 다시 말해서, 인증자생성수단(24)이 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 MD 정보의 해시값을 생성하고 에이전트플랫폼(20)의 개인키로 암호화하여 전역인증정보를 생성하고, 생성된 전역인증정보와 전역인증정보 생성에 사용된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보, 이동에이전트 내부코드의 MD 정보를 이용하여 전역인증자를 생성한다.
다음에 본 발명에 따른 도메인 기반 이동에이전트 인증 방법에 대해 도 4에 따라 설명한다.
도 4는 본 발명의 일실시예에 따른 도메인 기반 이동에이전트 인증 방법을 설명하는 흐름도이다.
도 4에서 도시한 바와 같이, 우선 에이전트플랫폼(20a)의 에이전트생성수단(21)이 이동에이전트(10a)를 생성하였다고 가정한다. 다음으로, 에이전트플랫폼(20a)이 인증기관서버(40)로부터 인증받고(ST100), 에이전트플랫폼(20a)이 도메인관리서버(30a)에 등록한다(ST200). 등록이 완료된 후 에이전트플랫폼(20a)은 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 에이전트플랫폼(20a)에서 생성한 이동에이전트(10a)로 전송한다(ST300). 이후, 에이전트플랫폼(20a)이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 제1의 다른 이동에이전트(10b)가 이주되는지 여부를 판단하여(ST400) 제1의 다른 이동에이전트(10b)에 대해 대칭키 기반 인증을 수행한다(ST500). 또, 도메인관리서버(30a)가 다른 도메인으로부터 다른 이동에이전트(10c)가 이주되는지 여부를 판단하여(ST400) 다른 이동에이전트(10c)에 대해 공개키 기반 인증을 수행한다(ST600).
이하 상기의 각 단계들에 대해 더욱 구체적으로 설명한다.
먼저, ST100 단계에 대해 설명하면 다음과 같다. 에이전트플랫폼(20a)이 가동하게 되면 에이전트플랫폼(20a)의 키생성수단(23)은 공개키 및 개인키 1쌍을 생성하고, 인증기관서버(40)로 공개키를 전송하여 공개키에 대한 인증서를 수신한다.
다음으로, ST200 단계에 대해 설명하면 다음과 같다. 에이전트플랫폼(20a)의 등록요청수단(22)이 자신이 속한 도메인A를 관리하는 도메인관리서버(30a)에 등록요청 메시지를 전송한다. 해당 도메인관리서버(30a)의 플랫폼관리수단(32)은 수신되는 메시지에 따라 에이전트플랫폼(20a)을 등록하고 에이전트플랫폼(20a)과의 비밀채널을 구성한다. 도메인관리서버(30a)의 공유키관리수단(31)은 관리중인 도메인A내에서 사용할 도메인공유키를 생성하여 비밀채널을 통해 에이전트플랫폼(20a)으로 도메인공유키를 전송한다.
다음으로, ST300 단계에 대해 설명하면 다음과 같다. 지역인증자를 생성하는 경우, 에이전트플랫폼(20a)의 인증자생성수단(24)은 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보 및 이동에이전트(10a) 내부코드의 MD를 도메인공유키로 인증코드화하여 지역인증정보를 생성하고, 생성된 지역인증정보, 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보, 이동에이전트(10a) 내부코드의 MD를 이용하여 지역인증자를 생성한다. 또, 전역인증자를 생성하는 경우, 에이전트플랫폼(20a)의 인증자생성수단(24)은 이동에이전트(10a)의 ID 정보, 에이전트플랫폼(20a)의 ID 정보 및 이동에이전트(10a) 내부코드의 MD 정보의 해시값을 생성하고 에이전트플랫폼(20a)의 개인키로 암호화하여 전역인증정보를 생성하고, 생성된 전역인증정보, 이동에이전트(10a)의 ID 정보, 이동에이전트(10a)가 생성된 에이전트플랫폼(20a)의 ID 정보, 이동에이전트(10a) 내부코드의 MD를 이용하여 전역인증자를 생성한다. 생성된 지역인증자 및 전역인증자는 도메인관리서버(30a)의 플랫폼관리수단(32)로 전송되어 등록되고 관리된다.
이때 사용되는 인증정보란 인증 시 사용되는 부분으로서, 지역인증자에는 지역인증정보가, 전역인증자에는 전역인증정보가 포함된다. 또한, 각각의 인증정보는 내부의 정보에서 차이가 있을 뿐, 둘 다 전자서명을 통해 생성되고 검증된다. 다시 말해서, 지역인증정보는 도메인공유키로 전자서명을 하고, 전역인증정보는 에이전트플랫폼(20)의 개인키로 전자서명을 하게 된다. 결국, 인증정보는 도메인관리서버(30)가 관여하지 않으며, 각각의 인증정보의 생성 및 검증은 에이전트플랫폼(20)이 담당하는 것이다. 다만, 도메인 내 인증은 지역인증정보를 통해 수행되는데, 이때 사용되는 도메인공유키를 도메인관리서버(30)가 생성하고 자신에게 등록하는 에이전트플랫폼(20)에게 전달한다.
다음으로, ST400 단계 내지 ST600 단계에 대해 설명한다.
에이전트플랫폼(20a) 또는 도메인관리서버(30a)는 ST400 단계의 판단결과에 따라 이주되는 제1 및 제2의 다른 이동에이전트(10b, 10c)에 대해 대칭키 기반 인증 또는 공개키 기반 인증을 수행한다(ST500, ST600). 즉, 제1 및 제2의 다른 이동에이전트(10b, 10c)가 이주되는 경우, 동일 도메인 내에서의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 수행하는 인증방법이 달라진다.
먼저, 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 이주되는 이동에이전트의 경우에 대해 설명하면, 이 경우 에이전트플랫폼(20a)은 제1의 다른 이동에이전트(10b)가 포함하는 지역인증자를 이용하여 대칭키 기반 인증을 수행한다(ST500).
대칭키 기반 인증에 대해 예를 들어 설명하자면 다음과 같다.
대칭키 기반 인증은 여러 객체가 동일한 키를 가지고 있다는 것을 전제로 하여 이루어진다. 예를 들어, 사용자A와 사용자B가 사전에 안전한 방법으로 동일한 키인 K를 공유한다고 가정한다. 온라인상에서 서로를 확인할 때 K를 이용할 수 있다. 만약 사용자A가 사용자B에게 자신을 확인시키고 싶을 경우, 임의의 데이터 DA를 생성하고 이 데이터를 K로 암호화한 값인 E(K, DA)와 같이 사용자B에게 전송한다. 사용자B는 DA를 K로 암호화하여 새로운 암호화 값인 E(K, DA)를 생성하고, 사용자A가 전송한 암호화 값인 E(K, DA)와 비교한다. 만약, 두 값이 일치한다면 사용자B는 사용자A가 자신과 동일한 K를 가지고 있다고 판단하고, 따라서 사용자A를 확인하게 된다.
이와 마찬가지로, 먼저 에이전트플랫폼(20a)의 지역인증수단(25)이 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 제1의 다른 이동에이전트(10b)가 이주되는지 여부를 판단한다. 만약, 동일 도메인 내의 다른 에이전트플랫폼(20b)으로부터 제1의 다른 이동에이전트(10b)가 이주되는 것으로 판단된다면, 제1의 다른 이동에이전트(10b)로부터 인증 요청 및 지역인증자를 수신한다. 수신된 요청에 따라 에이전트플랫폼(20a)의 지역인증수단(25)은 제1의 다른 이동에이전트(10b)의 지역인증자에 포함된 이동에이전트(10b)의 ID 정보, 에이전트플랫폼(20b)의 ID 정보 및 이동에이전트(10b) 내부코드의 MD 정보를 에이전트플랫폼(20a)이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성한다. 이후 에이전트플랫폼(20a)의 지역인증수단(25)이 생성된 지역인증정보와 제1의 다른 이동에이전트(10b)의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행한다.
다음으로, 다른 도메인의 다른 에이전트플랫폼(20c)으로부터 이주되는 이동에이전트(10c)의 경우에 대해 설명하면, 이 경우 도메인관리서버(30a)는 제2의 다른 이동에이전트(10c)가 포함하는 전역인증자를 이용하여 공개키 기반 인증을 수행한다(ST600).
공개키 기반 인증에 대해 예를 들어 설명하자면 다음과 같다.
공개키 기반 인증은 공개키의 특성을 이용하여 객체를 확인하는 방법을 말한다. 공개키는 공개키와 개인키의 한 쌍으로 이루어지며, 공개키로 암호화한 것을 개인키로 복호화할 수 있고, 반대로 개인키로 암호화한 것을 공개키로 복호화할 수 있다. 이때 공개키는 외부의 모든 객체에게 공개되며, 개인키는 자신만이 보유하게 된다. 예를 들어, 사용자A가 자신의 공개키/개인키 한 쌍을 생성한다고 가정하자. 이때, 사용자A의 공개키를 공개키A, 개인키를 개인키A라 한다. 공개키A는 이미 모든 사용자가 알고 있다고 가정한다. 대칭키 인증과 마찬가지로 사용자A는 임의의 데이터 DA를 생성하고 이것을 자신의 개인키로 암호화한다. 이후 사용자A는 사용자B에게 DA와 개인키로 DA를 암호화한 값을 전송한다. 사용자B는 개인키로 DA를 암호화한 값을 사용자A의 공개키로 복호화하고, 이값을 사용자A가 전송한 DA와 비교한다. 개인키A는 오직 사용자A만이 소유하고 있기 때문에 두 정보가 일치한다면 본 정보는 사용자A로부터 전송되었다는 것을 확인할 수 있는 것이다.
이와 마찬가지로, 먼저 도메인관리서버(30a)의 전역인증수단(33)이 다른 도메인으로부터 제2의 다른 이동에이전트(10c)가 이주되는지 여부를 판단한다. 만약, 다른 도메인인 도메인B로부터 제2의 다른 이동에이전트(10c)가 이주되는 것으로 판단된다면, 제2의 다른 이동에이전트(10c)로부터 인증 요청 및 전역인증자를 수신한다. 수신된 요청에 따라 도메인관리서버(30a)의 전역인증수단(33)이 인증기관서버(40)로 제2의 다른 이동에이전트(10c)가 생성된 에이전트플랫폼(20c)의 공개키를 요청한다. 이에 대해 인증기관서버(40)는 해당 에이전트플랫폼(20c)의 인증서를 도메인관리서버(30a)의 전역인증수단(33)으로 전송한다. 이 인증서에는 해당 에이전트플랫폼(20c)의 공개키가 포함되어 있다. 도메인관리서버(30a)의 전역인증수단(33)은 수신된 인증서에 포함된 공개키를 이용하여 제2의 다른 이동에이전트(10c)의 전역인증자에 포함된 전역인증정보를 복호화한다. 복호화가 완료되면 도메인관리서버(30a)의 전역인증수단(33)이 복호화된 결과와 제2의 다른 이동에이전트(10c)의 전역인증자에 포함된 이동에이전트(10c)의 ID 정보, 에이전트플랫폼(20c)의 ID 정보 및 이동에이전트(10c) 내부코드의 MD 정보를 비교하여 동일여부를 판단하여 인증을 수행한다.
이동에이전트 분야는 분산 컴퓨팅 분야에서 새로운 패러다임으로 각광을 받고 있다. 따라서, 본 발명을 통해 이동에이전트 시스템을 홈 네트워크 시스템 등에 활용하여 지능적인 서비스를 제공함에 따라 더욱 많은 수요를 창출할 수 있을 것으로 예상된다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
상술한 바와 같이, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, 도메인 내 인증 시 인증 속도 및 연산 부하의 감소시킬 수 있다는 효과가 얻어진다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, 유비쿼터스 컴퓨팅 환경을 포함한 다양한 환경에서도 빠르게 이동에이전트의 인증을 수행할 수 있다는 효과도 얻어진다.
또, 본 발명에 따른 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법에 의하면, PDA와 같은 소형 디바이스 상에서도 이동 에이전트를 인증할 수 있다는 효과도 얻어진다.

Claims (22)

  1. 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전트,
    상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼,
    동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버를 포함하고,
    상기 에이전트플랫폼은 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는 경우 대칭키 기반 인증을 수행하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  2. 제 1항에 있어서,
    상기 에이전트플랫폼은
    이동에이전트를 생성하는 에이전트생성수단,
    상기 도메인관리서버에 등록을 요청하는 등록요청수단,
    인증에 이용되는 지역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단,
    상기 다른 이동에이전가 포함하는 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 지역인증수단을 포함하는 것을 특징으로 하는 도메인 기반 이동에 이전트 인증 시스템.
  3. 제 2항에 있어서,
    상기 도메인관리서버는
    관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단,
    상기 에이전트플랫폼을 등록하여 관리하는 플랫폼관리수단을 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  4. 제 3항에 있어서,
    상기 인증자생성수단은
    이동에이전트의 ID(Identification) 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트(Message Digest) 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고,
    상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  5. 네트워크의 호스트 사이를 이동하며 정보를 생산 또는 소비하는 이동에이전 트,
    상기 이동에이전트에 대한 생성 또는 인증을 수행하고 상기 이동에이전트의 기능이 실현되도록 지원하는 에이전트플랫폼,
    동일한 보안 정책이 적용되는 도메인을 통해 상기 이동에이전트 또는 상기 에이전트플랫폼을 관리하는 도메인관리서버,
    상기 에이전트플랫폼 또는 상기 도메인관리서버에 대한 인증을 수행하는 인증기관서버를 포함하고,
    상기 에이전트플랫폼은 다른 에이전트플랫폼으로부터 이주되는 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터의 이주인지 다른 도메인으로부터의 이주인지 여부에 따라 대칭키 기반 인증 또는 공개키 기반 인증을 수행하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  6. 제 5항에 있어서,
    상기 에이전트플랫폼은
    이동에이전트를 생성하는 에이전트생성수단,
    상기 도메인관리서버에 등록을 요청하는 등록요청수단,
    상기 에이전트플랫폼의 공개키 또는 개인키를 생성하는 키생성수단,
    인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 이동에이전트로 전송하는 인증자생성수단,
    동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 다른 이동에이전트 를 인증하는 지역인증수단을 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  7. 제 6항에 있어서,
    상기 도메인관리서버는
    관리중인 도메인 내에서 사용할 도메인공유키를 생성하여 소속된 상기 에이전트플랫폼으로 전송하는 공유키관리수단,
    상기 에이전트플랫폼을 등록하여 관리하는 플랫폼관리수단,
    다른 도메인으로부터 이주되는 다른 이동에이전트를 인증하는 전역인증수단을 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  8. 제 7항에 있어서,
    상기 인증자생성수단은
    이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고,
    상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  9. 제 8항에 있어서,
    상기 지역인증수단은 상기 다른 이동에이전트가 동일 도메인 내의 다른 에이전트플랫폼으로부터 이주되는 경우, 상기 지역인증자를 이용하여 상기 대칭키 기반 인증을 수행하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  10. 제 7항에 있어서,
    상기 인증자생성수단은
    이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고,
    상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  11. 제 10항에 있어서,
    상기 전역인증수단은 상기 다른 이동에이전트가 다른 도메인으로부터 이주되는 경우, 상기 전역인증자를 이용하여 상기 공개키 기반 인증을 수행하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 시스템.
  12. 이동에이전트, 에이전트플랫폼, 도메인관리서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서,
    상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계,
    상기 에이전트플랫폼이 인증에 이용되는 지역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계,
    상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  13. 제 12항에 있어서,
    상기 등록하는 단계는
    상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계,
    상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계,
    상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계,
    상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  14. 제 13항에 있어서,
    상기 이동에이전트로 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고,
    상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  15. 제 14항에 있어서,
    상기 대칭키 기반 인증을 수행하는 단계는
    상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 다른 이동에이전트가 이주되는지 여부를 판단하는 단계,
    상기 에이전트플랫폼이 상기 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계,
    상기 에이전트플랫폼이 상기 다른 이동에이전트의 지역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시 지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계,
    상기 에이전트플랫폼이 생성된 지역인증정보와 상기 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  16. 이동에이전트, 에이전트플랫폼, 도메인관리서버, 인증기관서버를 구비하고 이동에이전트와 에이전트플랫폼간에 인증하는 방법에 있어서,
    상기 에이전트플랫폼이 상기 인증기관서버로부터 인증받는 단계,
    상기 에이전트플랫폼이 상기 도메인관리서버에 등록하는 단계,
    상기 에이전트플랫폼이 인증에 이용되는 지역인증자 또는 전역인증자를 생성하여 상기 에이전트플랫폼에서 생성한 이동에이전트로 전송하는 단계,
    상기 에이전트플랫폼이 동일한 보안 정책이 적용되는 동일 도메인 내의 다른 에이전트플랫폼으로부터 제1의 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 제1의 다른 이동에이전트에 대해 대칭키 기반 인증을 수행하는 단계,
    상기 도메인관리서버가 다른 도메인으로부터 제2의 다른 이동에이전트가 이주되는지 여부를 판단하여 상기 제2의 다른 이동에이전트에 대해 공개키 기반 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  17. 제 16항에 있어서,
    상기 인증받는 단계는
    상기 에이전트플랫폼이 공개키 및 개인키 1쌍을 생성하는 단계,
    상기 에이전트플랫폼이 생성된 상기 공개키를 상기 인증기관서버로 전송하는 단계,
    상기 에이전트플랫폼이 상기 인증기관서버로부터 인증서를 수신하는 단계를 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  18. 제 17항에 있어서,
    상기 등록하는 단계는
    상기 에이전트플랫폼이 상기 도메인관리서버에 등록요청 메시지를 전송하는 단계,
    상기 도메인관리서버가 상기 에이전트플랫폼을 등록하고 상기 에이전트플랫폼과의 비밀채널을 구성하는 단계,
    상기 도메인관리서버가 관리중인 도메인 내에서 사용할 도메인공유키를 생성하는 단계,
    상기 도메인관리서버가 상기 비밀채널을 통해 상기 에이전트플랫폼으로 상기 도메인공유키를 전송하는 단계를 포함하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  19. 제 18항에 있어서,
    상기 이동에이전트로 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 도메인공유키로 인증코드화하여 지역인증정보를 생성하고,
    상기 지역인증정보, 상기 이동에이전트의 ID 정보, 상기 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 지역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  20. 제 18항에 있어서,
    상기 이동에이전트로 전송하는 단계에서 상기 에이전트플랫폼은 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보의 해시값을 생성하고 상기 에이전트플랫폼의 개인키로 암호화하여 전역인증정보를 생성하고,
    상기 전역인증정보, 상기 이동에이전트의 ID 정보, 상기 이동에이전트가 생성된 에이전트플랫폼의 ID 정보, 상기 이동에이전트 내부코드의 메시지 다이제스트 정보를 이용하여 상기 전역인증자를 생성하는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  21. 제 19항 또는 제20항에 있어서,
    상기 대칭키 기반 인증을 수행하는 단계는
    상기 에이전트플랫폼이 동일 도메인 내의 다른 에이전트플랫폼으로부터 제1의 다른 이동에이전트가 이주되는지 여부를 판단하는 단계,
    상기 에이전트플랫폼이 상기 제1의 다른 이동에이전트로부터 인증 요청 또는 상기 지역인증자를 수신하는 단계,
    상기 에이전트플랫폼이 상기 제1의 다른 이동에이전트의 지역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 상기 에이전트플랫폼이 보유한 도메인공유키로 인증코드화하여 지역인증정보를 생성하는 단계,
    상기 에이전트플랫폼이 생성된 지역인증정보와 상기 제1의 다른 이동에이전트의 지역인증자에 포함된 지역인증정보를 비교하여 동일 여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
  22. 제 21항에 있어서,
    상기 공개키 기반 인증을 수행하는 단계는
    상기 도메인관리서버가 다른 도메인으로부터 제2의 다른 이동에이전트가 이주되는지 여부를 판단하는 단계,
    상기 도메인관리서버가 상기 제2의 다른 이동에이전트로부터 인증 요청 또는 상기 전역인증자를 수신하는 단계,
    상기 도메인관리서버가 상기 인증기관서버로 상기 제2의 다른 이동에이전트가 생성된 에이전트플랫폼의 공개키를 요청하는 단계,
    상기 도메인관리서버가 상기 인증기관서버로부터 상기 제2의 다른 이동에이전트가 생성된 에이전트플랫폼의 인증서를 수신하는 단계,
    상기 도메인관리서버가 수신된 인증서에 포함된 공개키를 이용하여 상기 제2의 다른 이동에이전트의 전역인증자에 포함된 전역인증정보를 복호화하는 단계,
    상기 도메인관리서버가 복호화된 결과와 상기 제2의 다른 이동에이전트의 전역인증자에 포함된 이동에이전트의 ID 정보, 에이전트플랫폼의 ID 정보 및 이동에이전트 내부코드의 메시지 다이제스트 정보를 비교하여 동일여부를 판단하여 인증을 수행하는 단계를 통해 이루어지는 것을 특징으로 하는 도메인 기반 이동에이전트 인증 방법.
KR1020070012294A 2007-02-06 2007-02-06 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법 KR100853448B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070012294A KR100853448B1 (ko) 2007-02-06 2007-02-06 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070012294A KR100853448B1 (ko) 2007-02-06 2007-02-06 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법

Publications (2)

Publication Number Publication Date
KR20080073556A KR20080073556A (ko) 2008-08-11
KR100853448B1 true KR100853448B1 (ko) 2008-08-21

Family

ID=39883292

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070012294A KR100853448B1 (ko) 2007-02-06 2007-02-06 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법

Country Status (1)

Country Link
KR (1) KR100853448B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101068558B1 (ko) * 2009-08-17 2011-09-28 이화여자대학교 산학협력단 정보 관리 방법
KR101222619B1 (ko) * 2011-01-18 2013-01-16 덕성여자대학교 산학협력단 무선 메쉬 네트워크의 데이터 인증 방법 및 장치
US9560525B2 (en) 2014-06-18 2017-01-31 At&T Intellectual Property I, Lp System and method for unified authentication in communication networks
KR101683481B1 (ko) * 2016-03-22 2016-12-08 주식회사 티모넷 모바일 환경에서 nfc 보안토큰 공인인증서 발급 시스템 및 그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203680A (ja) 2000-01-21 2001-07-27 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd ダイナミックセキュアグループ移動通信方式
KR20060013029A (ko) * 2004-08-05 2006-02-09 삼성전자주식회사 비밀 그룹에서 구성원 가입에 따른 그룹키 갱신 방법 및이를 이용한 비밀 그룹 통신 시스템
JP2006115502A (ja) 2004-10-14 2006-04-27 Palo Alto Research Center Inc ポータブルセキュリティトークン使用型認証機関間相互認証方法及び装置
KR20060127229A (ko) * 2004-03-24 2006-12-11 인텔 코오퍼레이션 네트워크 도메인 내의 네트워크 엔드포인트의 임베디드에이전트와 암호화 키를 공유하기 위한 방법, 장치들 및컴퓨터 프로그램 제품

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001203680A (ja) 2000-01-21 2001-07-27 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd ダイナミックセキュアグループ移動通信方式
KR20060127229A (ko) * 2004-03-24 2006-12-11 인텔 코오퍼레이션 네트워크 도메인 내의 네트워크 엔드포인트의 임베디드에이전트와 암호화 키를 공유하기 위한 방법, 장치들 및컴퓨터 프로그램 제품
KR20060013029A (ko) * 2004-08-05 2006-02-09 삼성전자주식회사 비밀 그룹에서 구성원 가입에 따른 그룹키 갱신 방법 및이를 이용한 비밀 그룹 통신 시스템
JP2006115502A (ja) 2004-10-14 2006-04-27 Palo Alto Research Center Inc ポータブルセキュリティトークン使用型認証機関間相互認証方法及び装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
M. S. Wangham 외 2명, A Security Scheme for Mobile Agent Platforms in Large-Scale Systems, Communications and Multimedia Security, LNCS 2828 (2003)

Also Published As

Publication number Publication date
KR20080073556A (ko) 2008-08-11

Similar Documents

Publication Publication Date Title
RU2297037C2 (ru) Управление защищенной линией связи в динамических сетях
CN107925567B (zh) 使用票证来优化对称密钥高速缓存的系统、装置和方法
JP3999655B2 (ja) レベル化された機密保護があるアクセス制御のための方法及び装置
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
CN1777096B (zh) 用于口令保护的方法和设备
US7526649B2 (en) Session key exchange
EP1706825B1 (en) Avoiding server storage of client state
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
JP2004180310A (ja) チップカードと無線端末の間の信頼モデルの設定と管理の方法
US11184336B2 (en) Public key pinning for private networks
US7266705B2 (en) Secure transmission of data within a distributed computer system
CN101297534A (zh) 用于安全网络认证的方法和装置
CN101212293A (zh) 一种身份认证方法及系统
CN108632251B (zh) 基于云计算数据服务的可信认证方法及其加密算法
KR102416561B1 (ko) 블록체인을 기반으로 한 IoT 게이트웨이의 인증 및 해지 방법
KR100853448B1 (ko) 도메인 기반 이동에이전트 인증 시스템 및 그 인증 방법
CN109474431B (zh) 客户端认证方法及计算机可读存储介质
KR100984275B1 (ko) 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법
Shepherd et al. Remote credential management with mutual attestation for trusted execution environments
KR100970552B1 (ko) 비인증서 공개키를 사용하는 보안키 생성 방법
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110711

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20120724

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee