KR100979205B1 - 디바이스 인증방법 및 그 시스템 - Google Patents

디바이스 인증방법 및 그 시스템 Download PDF

Info

Publication number
KR100979205B1
KR100979205B1 KR1020070132831A KR20070132831A KR100979205B1 KR 100979205 B1 KR100979205 B1 KR 100979205B1 KR 1020070132831 A KR1020070132831 A KR 1020070132831A KR 20070132831 A KR20070132831 A KR 20070132831A KR 100979205 B1 KR100979205 B1 KR 100979205B1
Authority
KR
South Korea
Prior art keywords
authentication
certificate
authority
home
home registration
Prior art date
Application number
KR1020070132831A
Other languages
English (en)
Other versions
KR20090065336A (ko
Inventor
이덕규
이윤경
한종욱
김건우
김도우
이형규
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070132831A priority Critical patent/KR100979205B1/ko
Publication of KR20090065336A publication Critical patent/KR20090065336A/ko
Application granted granted Critical
Publication of KR100979205B1 publication Critical patent/KR100979205B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Abstract

본 발명은 디바이스 인증방법 및 그 시스템에 관한 것으로서, 사용자 인증 이외에도 홈네트워크에 연결되는 디바이스에 대한 인증을 수행하고, 디바이스 인증서를 이용하여 디바이스를 인증함으로써, 이동 가능한 디바이스가 이동 도메인에서도 서비스를 이용할 수 있도록 하여, 네트워크의 보안성 및 효율성이 향상되는 효과가 있다.
홈네트워크, 인증, 인증서, 이동도메인, 유비쿼터스

Description

디바이스 인증방법 및 그 시스템{Method and system for device authentication}
본 발명은 사용자 인증 이외에 디바이스에 대한 인증을 수행하여 보안성을 강화하고, 디바이스 인증서를 이용하여 디바이스가 다른 도메인에서도 사용 가능하도록 하는 디바이스 인증방법 및 그 시스템에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-067-02, 과제명: 디바이스 인증 기반의 유비쿼터스 홈네트워크 보안 기술개발].
최근, 홈네트워크의 활성화됨에 따라, 홈네트워크 사용자의 보안성 및 안전성을 향상시키기 위한 인증장치 및 인증방법에 대한 중요성이 커지고 있다.
홈네트워크 서비스를 이용하는데 있어서 권한이 있는 사용자만이 서비스를 이용할 수 있도록 하기 위해서 사용자 인증 또는 인가 기술을 홈네트워크 서비스에 이용해 왔다.
일반적인 인증의 요소에는 알고 있는 것, 가지고 있는 것, 소유하고 있는 것의 3가지가 있는데, 기존의 사용자 인증은 사용자가 알고 있고 가지고 있고, 소유 하고 있는 것을 이용하여 사용자를 인증하는 것이었다.
그러나, 사용자의 실수로 인한 사용자 인증정보의 유출, 추측 가능한 인증정보의 사용 및 기존 인증수단의 새로운 취약성 발견 등과 같이 기존 사용자 인증기술에 문제가 있다.
또한, 인증에는 공개키를 이용한 인증과 비밀키 방법을 이용한 인증으로 구분할 수도 있다.
비밀키를 이용한 인증방법에서는 키 분배 및 키 관리 문제가 가장 중요한 이슈가 된다. 즉, 인증 양단간에 키를 안전하게 분배하고, 키를 안전하게 저장하여 제 3자가 이 키를 알 수 없도록 하는 것이 주된 보안 이슈가 된다.
그러나 비밀키를 이용한 암호 알고리듬 들(예를 들어, AES, DES, etc.)의 연산은 공개키를 이용한 암호알고리듬들의 연산에 비해 쉽다는 장점이 있다. 즉, 더 적은 컴퓨팅 파워와 더 적은 연산시간이 걸린다.
반면, 공개키를 이용한 인증방법은 공개키를 이용한 암호 알고리듬 (예를 들어, RSA, ECC 등)이 상대적으로 어렵다. 즉, 더 많은 컴퓨팅 파워의 소모와 더 많은 연산시간이 걸린다는 단점이 있지만 키 분배 및 키 관리 측면에서는 상대적으로 자유롭다는 장점이 있다.
비밀키를 이용한 디바이스 인증은 인증할 디바이스의 개수가 작고, 서버와 각 단말 디바이스간의 디바이스 인증만을 하고자 할 때 유리할 수 있지만, 인증할 디바이스의 개수가 많아지고, 서버와 각 단말 디바이스간의 인증만이 아니라 단말 디바이스들 사이의 디바이스 인증까지 고려하게 된다면 비밀키를 이용한 디바이스 인증에는 한계가 있을 수 있다.
즉, 각 디바이스가 관리해야 할 키의 개수가 많아지고, 키의 주기적인 업데이트 등을 생각하면 디바이스 개수가 늘어날수록 키의 관리는 더욱 어려워질 것이다.
또한 홈네트워크에 연결되는 디바이스는 각 가정에 고정되어 있는 가전기기들뿐만 아니라, 각 개인이 지니고 다니는 디바이스까지를 포함될 수 있는데, 이동 가능한 디바이스에 대한 인증에는 한계가 있다.
본 발명의 목적은, 공개키 방식의 디바이스 인증서를 적용함으로써 홈네트워크에 연결되는 디바이스를 인증하고, 이동 가능한 디바이스에 대하여 다른 도메인에서도 인증을 통한 디바이스의 홈네트워크 이용이 가능하도록 하여, 홈네트워크의 보안성 향상과 함께, 다양한 디바이스의 이용을 통한 그 활용도가 크게 향상되어 효율적 이용이 가능하도록 하는 디바이스 인증방법 및 그 시스템을 제공하는 데 있다.
상기한 과제를 해결하기 위한 본 발명에 따른 디바이스 인증방법은 신규 연결된 디바이스의 정보가 입력되면, 홈 등록기관이 상기 디바이스의 생산기관에 접속하여, 상기 디바이스에 대한 유효성을 확인하는 단계; 상기 유효성 확인이 완료되면, 상기 디바이스에 대한 공개키 및 개인키를 생성하고, 인증기관으로 상기 디바이스에 대한 디바이스 인증서 발급을 요청하는 단계; 상기 인증기관으로부터 상기 디바이스에 대한 디바이스 인증서가 발급되면, 상기 공개키를 이용하여 상기 디바이스 인증서를 암호화 하고 상기 디바이스로 전달하는 단계; 및 상기 디바이스로부터 이동에 대한 신호가 수신되면, 상기 디바이스에 대한 인증서를 암호화하여, 홈네트워크의 상위 도메인으로 상기 디바이스의 이동에 대한 신호와 함께 전송하는 단계를 포함한다.
상기한 과제를 해결하기 위한 본 발명에 따른 디바이스 인증방법은 홈 등록기관으로부터 디바이스 인증서 발급요청이 수신되면, 상기 디바이스 인증서 발급요청의 해당 디바이스에 대한 유효성 확인메시지가 수신되었는지 여부를 판단하는 단계; 상기 디바이스에 대한 유효성 확인 메시지가 수신된 경우, 상기 홈등록기관으로 상기 디바이스에 대한 디바이스 인증서를 발급하는 단계; 및 상기 디바이스에 대한 인증정보를 중앙인증기관으로 전송하여 다른 인증기관과 공유하는 단계를 포함한다.
또한, 본 발명에 따른 디바이스 인증시스템은 홈네트워크에 연결되는 복수의 디바이스; 상기 디바이스와 연결되어 상기 디바이스의 연결을 등록하고 디바이스 인증서 발급 및 상기 디바이스에 대한 인증을 요청하며, 상기 디바이스 이동 시, 홈네트워크의 상위 도메인으로 상기 디바이스의 이동에 대한 신호와 함께 전송하여 상기 디바이스를 관리하는 홈등록기관; 상기 홈등록기관으로부터 인증서 발급요청에 따라 상기 디바이스로 디바이스 인증서를 발급하고, 상기 디바이스에 대한 인증을 확인하는 인증기관을 포함한다.
본 발명에 따르면 디바이스 인증방법 및 그 시스템은, 홈네트워크에 연결되는 디바이스에 대한 인증을 수행하여 홈네트워크의 보안성 및 안정성을 향상시키고, 디바이스 인증서를 통해 이동 가능한 디바이스가 다른 도메인에서도 인증절차를 통해 홈네트워크에 접속할 수 있도록 하여 사용자의 편의성이 향상되고, 디바이스에 대한 그 활용도 및 효율성이 크게 향상되는 효과가 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하면 다음과 같다.
도 1 은 본 발명의 실시예에 따른 디바이스 인증을 위한 인증 시스템의 구성에 대한 설명에 참조되는 도이다.
도 1을 참조하면, 본 발명에 따른 디바이스 인증 시스템은 디바이스(10), 홈등록기관(HRA)(20), 인증기관(CA)(30), 중앙인증기관(RCA)(40)의 계층적 구조를 갖는다.
디바이스(10) 인증 시스템은 홈 네트워크에 복수의 디바이스(10)(11 내지 14)가 연결되고, 각 디바이스(10)는 인증기관(CA)(30)에 연결되어 디바이스 인증을 받는다. 이때, 복수의 인증기관(CA)(30)(31 내지 33)은, 중앙인증기관(RCA)(40)에 연결되며, 중앙인증기관(RCA)(40)은 복수의 인증기관(CA)(30)(31 내지 33)을 관리한다. 또한, 각 디바이스(10)는 인증기관(CA)(30)에 연결될 뿐 아니라, 홈등록기관(HRA)(20)에 연결된다.
디바이스(10)는 홈네트워크(N1, N2)에 연결되어 다른 디바이스와 통신이 가능하고 기본적인 연산능력을 포함하는 기기로서, 가정내의 가전기기뿐 아니라, 이동 가능한 단말장치를 포함한다. 예를 들어, 디바이스(10)는 네트워크 연결 가능한 전자레인지, 냉장고, TV, 세탁기와 같은 가전기기를 포함하여, PDA, 노트북, UMPC, PMP, 휴대폰과 같은 이동 가능한 기기를 포함한다.
홈등록기관(HRA)(20)은 홈 네트워크(N1, N2)에 연결되는 복수의 디바이스(10)(11 내지 14, 21, 22) 중 어느 하나의 디바이스(10)로서, 홈 네트워크 내에 존재하는 일종의 홈서버 이다. 이때, 홈등록기관(HRA)(20)은 다른 디바이스(10)의 관리하고, 그에 대한 정보를 저장하며, 인증기관(CA)(30)에 연결되어 디바이스(10)에 대한 소정의 등록절차를 수행한다.
홈등록기관(HRA)(20)는 사용자 명령을 입력 받는 입력수단,. 소정의 정보를 사용자에게 제공하는 출력수단을 포함하는 사용자 인터페이스가 구비되며, 각 디바이스(10)들과 통신할 수 있는 통신수단, 다른 디바이스(10)에 대한 정보를 저장하는 저장수단을 포함한다.
홈등록기관(HRA)(20)는 각 디바이스(10)를 등록하고 관리한다. 이때, 홈등록기관(HRA)(20)는 다른 디바이스(10)보다 상위의 개념이 될 수 없으나, 다른 디바이스(10)를 등록하는 과정에 있어서 디바이스(10)에 대한 관리 기능을 수행한다. 홈등록기관(HRA)(20)은 인증기관(CA)(30)과 인증서 주체가 되는 디바이스(10) 사이의 중간 매개체 역할을 수행한다.
인증기관(CA)(30)는 디바이스(10)에 대한 보안 적격 여부 및 메시지 암호화를 위한 공개키의 발급과 관리를 담당하는 네트워크 상의 기관이다. 인증기관(CA)(30)은 공개키 기반 인증구조 내에서 디지털 인증서를 신청한 디바이스(10)에 대한 정보를 검증하기 위한 홈등록기관(HRA)(20)과 함께 보안성을 검사하고, 홈등록기관(HRA)(20) 또는 디바이스(10)로부터 입력된 디바이스(10)의 정보가 입증되면 디바이스(10)에 대한 인증서를 발급한다. 디바이스 인증서는 요청한 디바이스(10)에 대한 공개키, 인증서의 유효 기간, 요구한 디바이스(10)의 아이디 및 고유정보를 포함한다.
중앙인증기관(RCA)(40)는 인증기관(CA)(30)의 상위개념으로서 인증기관(CA)(30)을 관리한다. 경우에 따라 중앙인증기관(RCA)(40)에서 직접 디바이스(10)를 관리할 수 도 있으며, 이 경우 각 인증기관(CA)(30)는 생략될 수 있다.
상기와 같이 구성되는 디바이스 인증시스템은 중앙인증기관(RCA)(40), 인증기관(CA)(30), 홈등록기관(HRA)(20), 디바이스(10) 순으로 인증경로를 형성하고, 또는 중앙인증기관(RCA)(40), 인증기관(CA)(30), 디바이스(10)의 순으로 인증경로를 형성한다.
이때, 각 디바이스(10)는 등록된 인증기관(CA)(30)에 대한 디바이스(10) 인증을 수행 할 수 있으나, 각 인증기관(CA)(30)은 상호 정보 교환 및 협약을 통해 디바이스(10)에 대한 리스트를 생성하여 공유함으로써 다른 인증기관(CA)(30)에서도 디바이스(10)에 대해 인증을 수행할 수 있다.
이때, 디바이스 인증서는 공인 인증서를 사용하며, 인터넷 X. 509 인증서의 기본 형식을 따른다. 즉 X. 509 v1 인증서를 그대로 따르고, X.509 v3 인증서에서 추가된 부분인 확장필드(extensions)에 디바이스(10) 인증에 필요한 항목들이 추가적으로 포함된다.
여기서, X. 509 인증서는 사용자, 서버, 기업체, 라우터 등을 인증하기 위한 것으로, 본 발명의 디바이스 인증과는 그 대상이 상이할 수 있으나, 널리 퍼져서 사용되고 있는 X. 509 인증서를 중심으로 디바이스 인증서를 구현함을 명시한다.
또한, 본 발명의 디바이스(10) 인증장치는 홈네트워크(N1, N2) 내에서 홈서버로서의 홈등록기관과 디바이스(10)간의 인증뿐 아니라, 멀티 도메인 상에서의 디 바이스(10) 사용에 대한 인증과, 이동 가능한 디바이스(10)의 인증을 모두 포함한다.
본 발명에서의 공개키 기반 시스템(PKI)은 멀티 도메인에서의 인증으로 위해 사설 인증기관의 인증이 아닌 공공 인증기관에서의 인증을 기본으로 한다. 즉. 본 발명의 인증기관(CA, RCA)은 공공 인증기관이다.
도 2 는 본 발명의 실시예에 따른 디바이스(10) 등록 및 인증서 등록에 대한 동작 설명에 참조되는 순서도이다.
도 2를 참조하면, 새로운 디바이스(10)의 구입 등으로 인하여 홈 네트워크에 새로운 디바이스(10)가 연결되는 경우, 새로운 디바이스(10)를 홈 네트워크에 등록한다(S110). 이때, 디바이스(10)의 아이디를 포함한 정보와 유효기간, 디바이스 인증서 발급에 필요한 정보가 입력된다.
디바이스(10)의 정보는 디바이스(10)로부터 홈등록기관(HRA)(20)으로 전송된다. 경우에 따라, 홈등록기관(HRA)(20)에 구비된 사용자 인터페이스를 통해 직접 새로운 디바이스(10)에 대한 정보가 입력될 수 있다.
이때. 홈등록기관(HRA)(20)는 새로운 디바이스(10)의 정보를 바탕으로, 새로운 디바이스의 생산기관의 서버에 접속하여, 입력된 디바이스(10) 정보를 전송한다(S120). 이때, 홈등록기관(HRA)(20)은 디바이스(10)의 아이디, 홈등록기관의 아이디, 홈등록기관이 연결된 인증기관(CA)(30)의 정보, 유효기간에 대한 정보를 해당 서버로 전송한다.
홈등록기관(HRA)(20)는 디바이스생산기관으로부터 수신된 응답에 따라 디바 이스(10)에 대한 유효성을 확인한다(S130).
디바이스생산기관은 홈등록기관(HRA)(20)으로부터 수신된 디바이스(10)의 고유정보를 확인하여, 자신이 생산한 디바이스(10)가 맞는지 여부를 확인하고, 그 결과를 홈등록기관(HRA)(20)과 홈등록기관이 연결된 인증기관(CA)(30)으로 전송한다(S140).
이때, 홈등록기관(HRA)(20)은 소정시간 응답이 없는 경우 소정 횟수 재 전송하여 유효성을 확인한다(S120). 여기서, 새로운 디바이스(10)가 유효하지 않은 디바이스(10)인 경우 등록 오류를 표시하고, 등록 및 인증 절차를 중지한다.
홈등록기관(HRA)(20)은 새로운 디바이스(10)에 대한 유효성 확인이 완료되면, 해당 디바이스(10)를 대신해서 디바이스(10)에 대한 공개키와 개인키를 생성하고(S150), 인증기관(CA)(30)으로 새로운 디바이스(10)에 대한 디바이스 인증서 발급 요청 메시지를 전송한다(S160). 이때, 홈등록기관(HRA)(20)은 디바이스(10)의 아이디, 홈등록기관의 아이디, 유효성을 포함하여 디바이스 인증서 발급 요청 메시지를 생성하여 전송한다.
인증기관(CA)(30)은 홈등록기관(HRA)(20)의 디바이스 인증서 발급 요청 메시지와, 생산기관로부터 해당 디바이스(10)에 대한 유효성 확인 메시지가 수신되면, 해당 디바이스(10)에 인증서를 발급한다(S170). 인증기관(CA)(30)은 홈등록기관(HRA)(20)으로 디바이스(10) 아이디, 홈등록기관 아이디, 유효기관이 포함된 디바이스 인증서를 전송한다.
이때, 홈등록기관(HRA)(20)의 디바이스 인증서 발급 요청 메시지만 수신되 고, 생산기관의 유효성 확인 메시지가 수신되지 않는 경우에는 디바이스 인증서 발급 요청을 거절한다.
홈등록기관(HRA)(20)은 인증기관(CA)(30)으로부터 발급된 디바이스 인증서를 해당 디바이스(10)에게 오프라인을 통해 전달한다(S180).
여기서, 홈등록기관(HRA)(20)은 인증기관(CA)(20)에서 발급된 디바이스 인증서(Cert_CA)를 난수와 함께 해쉬함수처리하고, 앞서 생성한 공개키를 이용하여 해쉬함수의 값과 디바이스 아이디를 포함하는 홈등록기관 디바이스 인증서(Cert_HRA)를 생성한다. 홈등록기관(HRA)(20)은 상기와 같이 생성된 홈등록기관 디바이스 인증서(Cert_HRA, HRAC)를 유효기간 정보와 함께 디바이스(10)로 전달한다. 인증기관(CA)(20)에서 발급된 디바이스 인증서(Cert_CA)는 인증기관(CA)(20)의 공개키가 포함되어 있다.
이때, 홈등록기관 디바이스 인증서는 홈네트워크의 네트워크를 통해서가 아닌, 사용자에 의해 수동으로 전달되는 것이 바람직하다.
디바이스(10)는 홈등록기관으로부터 디바이스 인증서를 받아 저장하고, 홈네트워크에 연결된다.
도 3 은 본 발명의 실시예에 따른 도메인 상에서의 디바이스 인증절차에 대한 동작설명에 참조되는 순서도이다.
디바이스(10)는 수신된 홈등록기관 디바이스 인증서(이하 '디바이스 인증서')를 이용하여 홈네트워크에 연결되고(S210), 소정의 동작을 수행하는 중에, 등록된 홈네트워크 내에서 다른 위치로 이동하는 경우, 이동에 대한 신호를 홈등록기 관(HRA)(20)으로 전송한다(S220).
홈등록기관(HRA)(20)는 디바이스(10)로부터 수신된 신호에 대응하여, 홈등록기관(HRA)(20)이 속하는 도메인으로 디바이스(10)의 이동을 알린다(S230). 이때, 홈등록기관(HRA)(20)은 디바이스(10) 아이디와, 해당 디바이스(10)에 대한 디바이스 인증서(HRAC)를 홈등록기관(HRA)(20)의 공개키로 암호화하여 도메인으로 전송한다.
또한, 홈등록기관(HRA)(20)은 자신이 속한 전체 도메인으로 디바이스(10)의 이동 정보를 전송한다(S240) 이때, 홈등록기관(HRA)(20)은 다른 도메인으로 디바이스(10) 아이디와 상기와 같이 디바이스 인증서(HRAC)를 암호화하여 전송한다.
이때, 디바이스(10)가 이동된 도메인은, 홈등록기관(HRA)(20)으로부터 디바이스(10)의 이동에 대한 보고 및 그에 따른 홈등록기관(HRA)(20)으로부터의 인증 정보를 확인하고, 디바이스(10)에게 제공받은 정보와 비교하여 인증을 허락한다(S250).
이때, 도메인은 홈등록기관(HRA)(20)로부터 상기와 같이 공개키를 이용하여 암호화한 디바이스 인증서를 개인키로 복호화한다. 디바이스로부터 수신된 디바이스 아이디 및 디바이스 인증서를 복호화된 데이터와 비교하여 인증을 허락한다.
도메인은 이동된 디바이스(10)로부터의 아이디와, 상기와 같이 홈등록기관(HRA)(20)으로부터 수신된 데이터를 비교하여 디바이스(10)에 대한 인증을 수행한다.
홈등록기관(HRA)(20) 또한 디바이스(10)에 대한 인증서 확인을 통해 인증을 수락하고, 인증 수락에 대한 메시지를 디바이스로 전송한다(S260).
도 4 는 본 발명의 실시예에 따른 이동 도메인에서의 디바이스 인증절차에 대한 동작설명에 참조되는 순서도이다.
디바이스(10)는 제1 홈등록기관(HRA)(21)으로부터 수신된 디바이스 인증서를 이용하여 홈네트워크에 연결하여 소정의 서비스를 이용하는 중 이동하는 경우, 제1 홈등록기관(21)으로 이동 도메인으로의 이동에 대한 신호를 전송한다(S310).
제1 홈등록기관(HRA)(21)는 디바이스(10)로부터 이동 도메인으로의 이동에 대한 신호를 수신하면, 제1 홈네트워크(N1)에 연결된 디바이스(10)에 대한 목록에서 해당 디바이스(10)에 대한 항목을 삭제한다.
제1 홈등록기관(HRA)(21)는 디바이스(10)가 자신의 도메인에서 벗어남을 알리는 신호를 제1 인증기관(CA)(31)로 전송한다. 이때, 다른 인증기관(CA)(32,33)으로의 이동인 경우 중앙인증기관(RCA)(40)으로 디바이스(10)의 이동에 대한 신호를 전송한다(S330).
여기서, 제1 홈등록기관(HRA)(21)은 이동한 디바이스(10)의 아이디, 홈등록기관의 아이디를 제1 인증기관(CA)(31)으로 전송한다. 그에 따라 인증기관(CA)(30)은 디바이스(10)의 아이디, 홈등록기관의 아이디, 인증기관의 아이디를 중앙인증기관(RCA)로 전송한다.
디바이스(10)는 기 연결된 홈등록기관(HRA)(20)인 제1 홈등록기관(21)으로 이동 도메인에에 위치하였음을 알린 후, 다른 홈등록기관(HRA)인 제2 홈등록기관(22)으로 인증 요청을 전송한다(S340).
이때, 디바이스(10)는 개인키를 이용하여 홈등록기관의 디바이스 인증서(HRCA)를 암호화하고, 제2 홈등록기관(22)으로 전송한다.
이동 도메인의 제2 홈등록기관(HRA)(22)는 디바이스(10)로부터 수신된 암호화된 디바이스 인증서를 공개키를 이용하여 복호화하고, 인증 정보가 맞는지 여부를 확인한다(S350).
인증 정보가 확인되면, 제2 홈등록기관(22)은 디바이스(10)의 인증 정보를 제2 인증기관(CA)(32)으로 전송한다. 이때, 제2 홈등록기관(22)은 홈등록기관의 아이디와, 암호화된 디바이스 인증서를 제2 인증기관(CA)(32)으로 전송한다(S360).
제2 홈등록기관(22)은 디바이스 인증서(HRCA)를 개인키로 암호화 하여 전송한다.
제2 인증기관(CA)(32)는 제2 홈등록기관(22)으로부터 수신된 데이터를 공개키를 이용하여 복호화 하고, 복호화된 디바이스 인증서를 비교함으로써 디바이스에 대한 인증을 수행한다. 이동 도메인에서 사용자에게 발급한 인증 정보로부터 생성된 정보인지 여부를 확인하고, 완료되면 디바이스(10)에 대한 인증을 수락한다(S370).
이동 도메인에서 제2 홈등록기관(HRA)(22)은 수락 받은 디바이스(10)에 대한 인증을 수락하고, 이동 도메인에서 응용 서비스에 대한 사용을 허락한다.
따라서, 디바이스 인증방법 및 그 시스템은 홈네트워크에 연결되는 디바이스를 등록하고 그에 대한 디바이스 인증서를 이용하여 사용자 인증 뿐 디바이스에 대한 인증까지 수행하므로, 홈네트워크의 보안성이 향상되며, 이동가능한 디바이스가 다른 이동 도메인에서도 디바이스 인증서를 이용한 인증을 통해 소정의 서비스를 이용할 수 있어서, 디바이스에 대한 활용도 및 사용자의 편의성이 향상되고 효율적인 네트워크 운용 및 서비스 제공이 가능하게 된다.
이상과 같이 본 발명에 의한 디바이스 인증방법 및 그 시스템은 예시된 도면을 참조로 설명하였으나, 본 명세서에 개시된 실시예와 도면에 의해 본 발명은 이에 한정되지 않고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 응용될 수 있다.
도 1 은 본 발명의 실시예에 따른 디바이스(10) 인증을 위한 인증 시스템의 의 구성에 대한 설명에 참조되는 도,
도 2 는 본 발명의 실시예에 따른 디바이스(10) 등록 및 인증서 등록에 대한 동작 설명에 참조되는 순서도,
도 3 은 본 발명의 실시예에 따른 도메인 상에서의 디바이스(10) 인증절차에 대한 동작설명에 참조되는 순서도,
도 4 는 본 발명의 실시예에 따른 이동 도메인에서의 다비아스 인증절차 에 대한 동작설명에 참조되는 순서도이다.
<도면의 주요 부분에 관한 부호의 설명>
10: 디바이스 20: 홈등록기관, HRA
30: 인증기관, CA 40: 중앙인증기관, HCA
N1,N2 : 홈네트워크

Claims (10)

  1. 신규 연결된 디바이스의 정보가 입력되면, 홈 등록기관이 상기 디바이스의 생산기관에 접속하여, 상기 디바이스에 대한 유효성을 확인하는 단계;
    상기 유효성 확인이 완료되면, 상기 디바이스에 대한 공개키 및 개인키를 생성하고, 인증기관으로 상기 디바이스에 대한 디바이스 인증서 발급을 요청하는 단계;
    상기 인증기관으로부터 상기 디바이스에 대한 디바이스 인증서가 발급되면, 상기 공개키를 이용하여 상기 디바이스 인증서를 암호화 하고 상기 디바이스로 전달하는 단계; 및
    상기 디바이스로부터 이동에 대한 신호가 수신되면, 상기 디바이스에 대한 인증서를 암호화하여, 홈네트워크의 상위 도메인으로 상기 디바이스의 이동에 대한 신호와 함께 전송하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 상위 도메인으로부터의 인증 수락이 수신되면, 상기 디바이스의 이동에대한 인증을 수락하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  4. 제 1 항에 있어서,
    상기 디바이스로부터 다른 이동 도메인으로의 이동에 대한 신호가 수신되면,
    관리 대상의 목록에서 상기 디바이스 정보를 삭제하고, 상위 인증기관 또는 중앙인증기관으로 상기 디바이스의 이동에 대한 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  5. 제 1 항에 있어서,
    다른 디바이스로부터 디바이스 인증서를 포함한 인증요청이 수신되면, 공개키를 이용하여 상기 디바이스 인증서를 복호화 하여 상기 다른 디바이스에 대한 인증을 수행하는 단계들 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  6. 제 5 항에 있어서,
    상기 다른 디바이스에 대한 인증이 완료되면, 상위 인증기관으로 상기 다른 디바이스의 인증정보를 암호화하여 전송하는 단계; 및
    상기 상위 인증기관으로부터 인증이 수락되면, 상기 다른 디바이스의 이동도메인 서비스 이용을 허락하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  7. 홈 등록기관으로부터 디바이스 인증서 발급요청이 수신되면, 상기 디바이스 인증서 발급요청의 해당 디바이스에 대한 유효성 확인메시지가 수신되었는지 여부를 판단하는 단계;
    상기 디바이스에 대한 유효성 확인 메시지가 수신된 경우, 상기 홈등록기관으로 상기 디바이스에 대한 디바이스 인증서를 발급하는 단계; 및
    상기 디바이스에 대한 인증정보를 중앙인증기관으로 전송하여 다른 인증기관과 공유하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  8. 삭제
  9. 제 7 항에 있어서,
    상기 홈등록기관으로 부터 암호화된 디바이스 인증서와 함께 소정 디바이스의 인증요청이 수신되면,
    보유한 공개키를 이용하여 상기 디바이스 인증서를 복호화하여 인증을 확인하는 단계; 및
    인증 완료 시 상기 홈등록기관으로 인증 수락에 대한 신호를 전송하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  10. 홈네트워크에 연결되는 복수의 디바이스;
    상기 디바이스와 연결되어 상기 디바이스의 연결을 등록하고 디바이스 인증서 발급 및 상기 디바이스에 대한 인증을 요청하며, 상기 디바이스 이동 시, 홈네트워크의 상위 도메인으로 상기 디바이스의 이동에 대한 신호와 함께 전송하여 상기 디바이스를 관리하는 홈등록기관;
    상기 홈등록기관으로부터 인증서 발급요청에 따라 상기 디바이스로 디바이스 인증서를 발급하고, 상기 디바이스에 대한 인증을 확인하는 인증기관을 포함하는 것을 특징으로 하는 디바이스 인증시스템.
KR1020070132831A 2007-12-17 2007-12-17 디바이스 인증방법 및 그 시스템 KR100979205B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070132831A KR100979205B1 (ko) 2007-12-17 2007-12-17 디바이스 인증방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070132831A KR100979205B1 (ko) 2007-12-17 2007-12-17 디바이스 인증방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20090065336A KR20090065336A (ko) 2009-06-22
KR100979205B1 true KR100979205B1 (ko) 2010-09-01

Family

ID=40993703

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070132831A KR100979205B1 (ko) 2007-12-17 2007-12-17 디바이스 인증방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR100979205B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101990882B1 (ko) * 2012-10-09 2019-09-30 에스케이 텔레콤주식회사 사물 인터넷을 위한 인증 방법과 그를 위한 디바이스 및 인증 장치
US9124434B2 (en) * 2013-02-01 2015-09-01 Microsoft Technology Licensing, Llc Securing a computing device accessory
KR102136543B1 (ko) * 2013-12-17 2020-08-13 삼성전자주식회사 기기 간 통신이 가능한 기기를 서버에 등록하는 방법 및 장치
KR102196927B1 (ko) * 2013-12-19 2020-12-30 엘지전자 주식회사 홈 어플라이언스
KR102070037B1 (ko) * 2019-04-15 2020-03-02 에스케이 텔레콤주식회사 사물 인터넷을 위한 인증 방법과 그를 위한 디바이스 및 인증 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yun-kyung Lee et al. 'Home Device Authentication Method Based on PKI', Future Generation Communication and Networking (FGCN 2007), Vol. 2, pp.7-11, 2007.12.06-08*

Also Published As

Publication number Publication date
KR20090065336A (ko) 2009-06-22

Similar Documents

Publication Publication Date Title
CN109617698B (zh) 发放数字证书的方法、数字证书颁发中心和介质
US20210367795A1 (en) Identity-Linked Authentication Through A User Certificate System
CN110061846B (zh) 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质
KR100925329B1 (ko) 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치
JP4851767B2 (ja) ポータブルセキュリティトークン使用型認証機関間相互認証方法及びコンピュータシステム
US8010795B2 (en) Secure information transfer using dedicated public key pairs
KR100962399B1 (ko) 익명 공개 키 기반구조 제공 방법 및 이를 이용한 서비스제공 방법
CN101212293B (zh) 一种身份认证方法及系统
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
KR20080001574A (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
CN103490881A (zh) 认证服务系统、用户认证方法、认证信息处理方法及系统
CN101262342A (zh) 分布式授权与验证方法、装置及系统
Chen et al. Lightweight authentication protocol in edge-based smart grid environment
WO2003101042A1 (fr) Procede, systeme et dispositif de traitement d&#39;informations, support d&#39;enregistrement et programme
CN101772024A (zh) 一种用户身份确定方法及装置和系统
CN111865988B (zh) 一种基于区块链的无证书密钥管理方法、系统及终端
US20140013116A1 (en) Apparatus and method for performing over-the-air identity provisioning
Togan et al. A smart-phone based privacy-preserving security framework for IoT devices
KR101063354B1 (ko) 공개 키 기반의 프로토콜을 이용한 과금 시스템 및 그 방법
KR100772534B1 (ko) 공개키 기반 디바이스 인증 시스템 및 그 방법
KR100979205B1 (ko) 디바이스 인증방법 및 그 시스템
JP4807944B2 (ja) 秘密認証データの知識を必要としないチャレンジ−ベースの認証
Hou et al. Lightweight and privacy-preserving charging reservation authentication protocol for 5G-V2G
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
KR101491553B1 (ko) 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140728

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150821

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee