KR100917601B1 - 인증 재전송 공격 방지 방법 및 인증 시스템 - Google Patents
인증 재전송 공격 방지 방법 및 인증 시스템 Download PDFInfo
- Publication number
- KR100917601B1 KR100917601B1 KR1020070066761A KR20070066761A KR100917601B1 KR 100917601 B1 KR100917601 B1 KR 100917601B1 KR 1020070066761 A KR1020070066761 A KR 1020070066761A KR 20070066761 A KR20070066761 A KR 20070066761A KR 100917601 B1 KR100917601 B1 KR 100917601B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- identification information
- register
- log
- target system
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
Abstract
Description
상기 인증 응답 메시지를 검증하여 상기 인증 대상 시스템의 신뢰성을 판단하는 과정은, 상기 인증 응답 메시지에 포함된 서명을 확인할 수 있는 인증 식별키에 대한 인증서 및 상기 서명을 검증하는 단계; 상기 검증이 성공하면, 상기 식별 정보를 기록한 로그를 이용하여 자신의 레지스터 값을 재구성하는 단계; 상기 재구성한 레지스터 값이 상기 인증 응답 메시지에 포함된 레지스터 값과 일치하는지 확인하는 단계; 및 상기 두 레지스터 값이 일치하면, 상기 로그에 기록된 모든 컴포넌트들의 신뢰 여부를 판단하고, 상기 로그에 포함된 식별 정보가 인증 대상 시스템의 식별 정보와 일치하는지 검증하여 성공한 경우 상기 인증 대상 시스템을 신뢰할 수 있는 것으로 결정하는 단계를 포함하는 것을 특징으로 한다.
Claims (13)
- 인증 대상 시스템 및 인증 요청 시스템으로 이루어진 인증 시스템에서, 상기 인증 대상 시스템이 인증 재전송 공격을 방지하기 위한 방법에 있어서,무결성에 영향을 줄 수 있는 이벤트가 발생한 경우 관련 컴포넌트를 측정하는 과정;자신의 식별 정보를 파악하여 파악된 식별 정보를 검증하는 과정;상기 측정된 컴포넌트 및 상기 식별 정보를 레지스터에 확장 및 로그에 기록하는 과정;상기 인증 요청 시스템으로부터 인증 요청 메시지를 수신하면 상기 로그 및 레지스터의 값을 포함하는 인증 응답 메시지를 생성하는 과정; 및상기 생성된 인증 응답 메시지를 상기 인증 요청 시스템으로 전송하는 과정을 포함하는 것을 특징으로 하는 인증 시스템에서의 인증 재전송 공격 방지 방법.
- 제1항에 있어서, 상기 식별 정보를 파악하여 파악된 식별 정보를 검증하는 과정은,상기 식별 정보의 처음 설정 또는 변경 여부를 탐지하는 단계;상기 탐지된 식별 정보의 위조 여부를 검증하는 단계; 및상기 검증에 성공하면 상기 식별 정보를 상기 레지스터에 확장 시키고, 상기 로그에 기록시키는 단계를 포함하는 것을 특징으로 하는 인증 시스템에서의 인증 재전송 공격 방지 방법.
- 제2항에 있어서, 상기 탐지된 식별 정보의 위조 여부를 검증하는 단계는,상기 식별 정보로 사용하기 위한 네트워크 주소를 파악하는 단계;난수를 생성하는 단계;상기 파악된 네트워크 주소를 송신 주소로 하여 상기 난수를 신뢰할 수 있는 제3의 시스템(TTP)으로 전송하는 단계;상기 신뢰할 수 있는 제3의 시스템(TTP)에서 생성된 상기 난수와 송신 주소에 대한 서명을 수신하여 검증하는 단계; 및상기 검증이 성공하면 상기 파악된 네트워크 주소가 외부와 통신이 가능한 정당한 주소임을 확인하는 단계를 포함하는 것을 특징으로 하는 인증 시스템에서의 인증 재전송 공격 방지 방법.
- 제1항에 있어서,상기 인증 응답 메시지는 상기 로그 및 상기 레지스터 값, 상기 요청 메시지에 포함된 난수 및 상기 레지스터의 값에 대한 서명, 상기 서명을 확인할 수 있는 공개키에 대한 인증서를 포함함을 특징으로 하는 인증 시스템에서의 인증 재전송 공격 방지 방법.
- 인증 대상 시스템 및 인증 요청 시스템으로 이루어진 인증 시스템에서, 상기 인증 요청 시스템이 인증 재전송 공격을 방지하기 위한 방법에 있어서,상기 인증 대상 시스템으로 난수를 포함하는 인증 요청 메시지를 전송하는 과정;상기 인증 대상 시스템의 식별 정보를 기록한 로그 및 상기 식별 정보를 확장한 레지스터의 값을 포함하여 생성된 인증 응답 메시지를 수신하는 과정; 및상기 인증 응답 메시지를 검증하여 상기 인증 대상 시스템의 신뢰성을 판단하는 과정을 포함하며,상기 인증 응답 메시지를 검증하여 상기 인증 대상 시스템의 신뢰성을 판단하는 과정은,상기 인증 응답 메시지에 포함된 서명을 확인할 수 있는 인증 식별키에 대한 인증서 및 상기 서명을 검증하는 단계;상기 검증이 성공하면, 상기 식별 정보를 기록한 로그를 이용하여 자신의 레지스터 값을 재구성하는 단계;상기 재구성한 레지스터 값이 상기 인증 응답 메시지에 포함된 레지스터 값과 일치하는지 확인하는 단계; 및상기 두 레지스터 값이 일치하면, 상기 로그에 기록된 모든 컴포넌트들의 신뢰 여부를 판단하고, 상기 로그에 포함된 식별 정보가 인증 대상 시스템의 식별 정보와 일치하는지 검증하여 성공한 경우 상기 인증 대상 시스템을 신뢰할 수 있는 것으로 결정하는 단계를 포함하는 것을 특징으로 하는 인증 시스템에서의 인증 재전송 공격 방지 방법.
- 삭제
- 인증 대상 시스템 및 상기 인증 대상 시스템으로 인증 요청을 하는 인증 요청 시스템을 구비하고, 인증 재전송 공격을 방지하기 위한 인증 시스템에 있어서, 상기 인증 대상 시스템은,무결성 영향을 줄 수 있는 이벤트가 발생할 경우 관련 컴포넌트를 측정하는 무결성 측정부;상기 인증 대상 시스템의 식별 정보를 파악하여 파악된 식별 정보를 검증하는 식별 정보 검증부;상기 측정된 컴포넌트 및 상기 식별 정보를 로그에 기록하는 정보 기록부;상기 측정된 컴포넌트 및 상기 식별 정보를 확장하여 저장하는 레지스터를 갖는 보안부; 및상기 식별 정보가 기록된 상기 로그 및 레지스터의 값을 포함하여 인증 응답 메시지를 생성하는 인증 서비스부를 포함하며,상기 인증 요청 시스템은 상기 인증 대상 시스템으로부터 상기 인증 요청에 따른 인증 응답 메시지를 수신하여 상기 인증 응답 메시지가 상기 인증 대상 시스템에서 생성된 것인지를 확인함을 특징으로 하는 인증 시스템.
- 제7항에 있어서,상기 식별 정보는 네트워크 주소, 일련 번호, 도메인 이름, 호스트 이름을 포함함을 특징으로 하는 상기 인증 시스템.
- 제7항에 있어서,상기 식별 정보 검증부는 상기 식별 정보가 처음 설정되거나 변경되는 경우 상기 설정된 식별 정보를 탐지하고, 상기 식별 정보의 위조 여부를 검증함을 특징으로 하는 상기 인증 시스템.
- 제9항에 있어서,상기 식별 정보 검증부는 난수를 생성하고, 네트워크 주소를 송신 주소로 설정하고, 신뢰할 수 있는 제3의 시스템(TTP)으로부터 상기 생성된 난수 및 상기 송신 주소에 대한 서명을 받아 검증하여 상기 파악된 네트워크 주소가 외부와 통신이 가능한 정당한 주소임을 확인함을 특징으로 하는 인증 시스템.
- 제7항에 있어서,상기 정보 기록부는, 상기 확장할 식별 정보의 값이 상기 레지스터의 크기와 일치하지 않을 경우 미리 설정된 알고리즘을 이용하여 상기 식별 정보의 값을 상기 레지스터의 크기의 값으로 변환하여 확장함을 특징으로 하는 인증 시스템.
- 제7항에 있어서,상기 인증 응답 메시지는 상기 식별 정보가 기록된 상기 로그 및 레지스터 값, 난수 및 레지스터 값에 대한 서명, 상기 서명을 확인할 수 있는 공개키에 대한 인증서를 포함함을 특징으로 하는 인증 시스템.
- 제12항에 있어서,상기 인증 요청 시스템은 상기 인증서 및 상기 공개키를 이용하여 상기 레지스터 값에 대한 서명을 검증하고, 상기 로그를 이용하여 상기 레지스터 값을 재구성하고, 상기 재구성된 레지스터 값과 상기 서명된 레지스터 값을 비교하여 일치하 고 상기 로그에 기록된 모든 컴포넌트들의 신뢰 여부를 판단하고, 상기 로그에 포함된 식별 정보가 인증 대상 시스템의 식별 정보와 일치하는지 검증하여 성공한 경우 상기 인증 대상 시스템을 신뢰할 수 있는 것으로 결정함을 특징으로 하는 인증 시스템.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070066761A KR100917601B1 (ko) | 2007-07-03 | 2007-07-03 | 인증 재전송 공격 방지 방법 및 인증 시스템 |
US12/120,154 US20090013181A1 (en) | 2007-07-03 | 2008-05-13 | Method and attestation system for preventing attestation replay attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070066761A KR100917601B1 (ko) | 2007-07-03 | 2007-07-03 | 인증 재전송 공격 방지 방법 및 인증 시스템 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090003797A KR20090003797A (ko) | 2009-01-12 |
KR100917601B1 true KR100917601B1 (ko) | 2009-09-17 |
Family
ID=40222356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070066761A KR100917601B1 (ko) | 2007-07-03 | 2007-07-03 | 인증 재전송 공격 방지 방법 및 인증 시스템 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20090013181A1 (ko) |
KR (1) | KR100917601B1 (ko) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
US8161285B2 (en) * | 2008-09-26 | 2012-04-17 | Microsoft Corporation | Protocol-Independent remote attestation and sealing |
CN100581107C (zh) * | 2008-11-04 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别(TePA)的可信平台验证方法 |
US20120089830A1 (en) * | 2009-03-25 | 2012-04-12 | Kande Mohamed M | Method and device for digitally attesting the authenticity of binding interactions |
US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
US9087196B2 (en) * | 2010-12-24 | 2015-07-21 | Intel Corporation | Secure application attestation using dynamic measurement kernels |
EP2506519A1 (en) * | 2011-03-25 | 2012-10-03 | EADS Deutschland GmbH | Method for determining integrity in an evolutionary collabroative information system |
US8990935B1 (en) * | 2012-10-17 | 2015-03-24 | Google Inc. | Activity signatures and activity replay detection |
US20180183609A1 (en) * | 2015-06-05 | 2018-06-28 | Hewlett Packard Enterprise Development Lp | Remote attestation of a network endpoint device |
US9768966B2 (en) | 2015-08-07 | 2017-09-19 | Google Inc. | Peer to peer attestation |
CN106921619B (zh) * | 2015-12-24 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 一种关联事件处理方法及装置 |
US10602353B1 (en) * | 2018-12-31 | 2020-03-24 | Microsoft Technology Licensing, Llc | Extensible device identity attestation |
KR20210132646A (ko) * | 2019-01-15 | 2021-11-04 | 비자 인터네셔널 서비스 어소시에이션 | 디지털 거래를 인증하기 위한 방법 및 시스템 |
US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
US11665148B2 (en) * | 2021-03-22 | 2023-05-30 | Cisco Technology, Inc. | Systems and methods for addressing cryptoprocessor hardware scaling limitations |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060067099A (ko) * | 2004-12-14 | 2006-06-19 | 한국전자통신연구원 | 링크 암호화 공격을 차단하는 장치 및 그 방법 |
KR20060117798A (ko) * | 2005-05-13 | 2006-11-17 | 삼성전자주식회사 | 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6298153B1 (en) * | 1998-01-16 | 2001-10-02 | Canon Kabushiki Kaisha | Digital signature method and information communication system and apparatus using such method |
DE10223248A1 (de) * | 2002-05-22 | 2003-12-04 | Siemens Ag | Verfahren zum Registrieren eines Kommunikationsendgeräts |
US20050015344A1 (en) * | 2003-06-26 | 2005-01-20 | Pitney Bowes Incorporated | Method and system for detection of tampering and verifying authenticity of a 'data capture' data from a value dispensing system |
US7373509B2 (en) * | 2003-12-31 | 2008-05-13 | Intel Corporation | Multi-authentication for a computing device connecting to a network |
ATE490619T1 (de) * | 2004-02-13 | 2010-12-15 | Certicom Corp | Einseitige authentifikation |
US7574600B2 (en) * | 2004-03-24 | 2009-08-11 | Intel Corporation | System and method for combining user and platform authentication in negotiated channel security protocols |
JP4144880B2 (ja) * | 2004-04-09 | 2008-09-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プラットフォーム構成測定装置、プログラム及び方法、プラットフォーム構成認証装置、プログラム及び方法、プラットフォーム構成証明装置、プログラム及び方法、並びに、プラットフォーム構成開示装置、プログラム及び方法 |
US7761920B2 (en) * | 2004-09-03 | 2010-07-20 | Fortinet, Inc. | Data structure for policy-based remediation selection |
WO2007030506A2 (en) * | 2005-09-07 | 2007-03-15 | International Business Machines Corporation | Automated deployment of protection agents to devices connected to a distributed computer network |
-
2007
- 2007-07-03 KR KR1020070066761A patent/KR100917601B1/ko active IP Right Grant
-
2008
- 2008-05-13 US US12/120,154 patent/US20090013181A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060067099A (ko) * | 2004-12-14 | 2006-06-19 | 한국전자통신연구원 | 링크 암호화 공격을 차단하는 장치 및 그 방법 |
KR20060117798A (ko) * | 2005-05-13 | 2006-11-17 | 삼성전자주식회사 | 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 |
Non-Patent Citations (1)
Title |
---|
정보호호학회지, 제16권, 제3호, 2006.06, 정보보호학회, 김무섭·신진아·박영수·전성익, 모바일 플랫폼용 공통보안핵심 모듈 기술, p7-17* |
Also Published As
Publication number | Publication date |
---|---|
KR20090003797A (ko) | 2009-01-12 |
US20090013181A1 (en) | 2009-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100917601B1 (ko) | 인증 재전송 공격 방지 방법 및 인증 시스템 | |
EP3295352B1 (en) | Client software attestation | |
US10367834B2 (en) | Systems and methods for implementing intrusion prevention | |
US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
KR100823738B1 (ko) | 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법 | |
KR101055712B1 (ko) | 모바일 장치에서의 메시지 핸들링 | |
KR101216306B1 (ko) | 이동 단말기에서의 구성 파라미터 갱신 | |
US5919257A (en) | Networked workstation intrusion detection system | |
US7200758B2 (en) | Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem | |
US9530002B1 (en) | Verifying the integrity of a computing platform | |
TW201732669A (zh) | 受控的安全碼鑑認 | |
US11601268B2 (en) | Device attestation including attestation-key modification following boot event | |
WO2018157247A1 (en) | System and method for securing communications with remote security devices | |
Böck et al. | Towards more trustable log files for digital forensics by means of “trusted computing” | |
US11403428B2 (en) | Protecting integrity of log data | |
US7444561B2 (en) | Verifier for remotely verifying integrity of memory and method thereof | |
JP2014138380A (ja) | 車両不正状態検出方法、車載システムにおける制御方法、およびシステム | |
US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
US11157626B1 (en) | Bi-directional chain of trust network | |
US20210011734A1 (en) | Industrial internet of things gateway boot methods | |
CN110830465B (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
EP1944942A1 (en) | Method for checking the running configuration of a network equipment and network equipment | |
CN116418538A (zh) | 单包授权的状态检测方法、终端设备及存储介质 | |
CN117828561A (zh) | 芯片固件数据的安全烧录方法、设备、系统及存储介质 | |
CN117688577A (zh) | 一种固件升级保护方法、装置、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120831 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20130829 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140827 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150827 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160826 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170828 Year of fee payment: 9 |