KR101811285B1 - Method for authentication of cloud system based on additional authentication device and cloud system therefor - Google Patents

Method for authentication of cloud system based on additional authentication device and cloud system therefor Download PDF

Info

Publication number
KR101811285B1
KR101811285B1 KR1020160074297A KR20160074297A KR101811285B1 KR 101811285 B1 KR101811285 B1 KR 101811285B1 KR 1020160074297 A KR1020160074297 A KR 1020160074297A KR 20160074297 A KR20160074297 A KR 20160074297A KR 101811285 B1 KR101811285 B1 KR 101811285B1
Authority
KR
South Korea
Prior art keywords
computing device
server
index
response data
challenge
Prior art date
Application number
KR1020160074297A
Other languages
Korean (ko)
Other versions
KR20170051164A (en
Inventor
정성훈
김대영
Original Assignee
현대오토에버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 현대오토에버 주식회사 filed Critical 현대오토에버 주식회사
Publication of KR20170051164A publication Critical patent/KR20170051164A/en
Application granted granted Critical
Publication of KR101811285B1 publication Critical patent/KR101811285B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Abstract

본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법은, (a) 컴퓨팅 디바이스의 부가인증장치를 서버에 등록하는 단계; 및 (b) 상기 서버가, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스를 인증하는 단계를 포함하고, 상기 단계 (a)에서, 상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 서버가 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스가 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하며 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하고, 상기 단계 (b)에서, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 서버가 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증한다.A method of authenticating a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention includes the steps of: (a) registering a supplementary authentication apparatus of a computing device in a server; And (b) the server authenticating the computing device in response to a service request of the computing device, wherein, in step (a), in response to a request to register a supplemental authentication device of the computing device, And transmits a response data sequence of the supplementary authentication apparatus corresponding to the challenge data sequence to the server in the form of an index-response data sequence, wherein the index-challenge data sequence is transmitted to the server, Wherein the server registers the additional authentication device of the computing device with the server by associating the index-response data string with the ID of the computing device and storing the index-response data in the database of the server, and in the step (b) In response to a service request of the device, Requesting response data of the additional authentication device corresponding to the random index to the device and storing response data corresponding to the random index received from the computing device in the random index according to the ID of the computing device stored in the database of the server And authenticates the computing device if it matches the corresponding response data.

Description

부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 그 클라우드 시스템{METHOD FOR AUTHENTICATION OF CLOUD SYSTEM BASED ON ADDITIONAL AUTHENTICATION DEVICE AND CLOUD SYSTEM THEREFOR}TECHNICAL FIELD [0001] The present invention relates to an authentication method for a cloud system based on an additional authentication apparatus,

본 발명은 클라우드 시스템의 인증 방법 및 그 클라우드 시스템에 관한 것으로서, 보다 구체적으로는 물리적 복제 방지 기능과 같은 부가인증장치에 기반하여 클라우드 시스템의 인증을 수행하는 방법 및 그 클라우드 시스템에 관한 것이다.The present invention relates to a cloud system authentication method and a cloud system thereof, and more particularly, to a cloud system and a method for performing authentication of a cloud system based on a supplementary authentication apparatus such as a physical copy protection function.

클라우드 시스템은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 서비스하여 사용한 만큼의 요금을 지불하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이다.The cloud system is a computing service that pays a large amount of IT resources by using virtualization technology and distributed processing technology to charge computing resources (memory, CPU, storage, etc.) to the Internet. In other words, cloud computing is an Internet-based user-oriented on-demand outsourcing service technology that integrates computing resources (memory, CPU, storage, etc.) existing in different physical locations into one through virtualization technology.

인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하고, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.If the Internet is provided, you can use your own computing environment regardless of time and place, charge a fee for the time you use, and all services such as hardware / software and after services can be provided in a cloud computing environment Therefore, system maintenance and repair costs, hardware / software purchase cost, and energy savings can be expected.

클라우드 컴퓨팅 서비스가 주목받으면서 수많은 IT 대기업들이 경쟁적으로 클라우드 컴퓨팅 서비스를 제공하고 있다. 클라우드 컴퓨팅 서비스는, 크게 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스로 구분할 수 있다. As cloud computing services become more prominent, many IT giants are competing to offer cloud computing services. Cloud computing services can be broadly divided into public cloud services and private cloud services.

퍼블릭 클라우드 서비스는 불특정 다수의 사람에게 인터넷을 통해 클라우드 서비스를 제공한다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지는 않으며 사용자 접근제어 및 요금 청구 등의 서비스를 제공한다. 퍼블릭 클라우드는 서비스 제공자가 사용자의 정보를 관리하고 모든 리소스를 공유하므로 개인 정보 보호에 취약한 면이 있다.Public cloud services provide cloud services to the unspecified number of people through the Internet. Public cloud services do not mean free or open data and sources, and provide services such as user access control and billing. Public clouds are vulnerable to privacy because service providers manage user information and share all resources.

프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.A private cloud service is a service that provides a computing environment such as a public cloud service and manages services, data, and processes directly from a specific company or organization. For security reasons, it is a closed cloud service model that can be accessed only by authorized persons while avoiding contact with outside.

한편, 전술한 바와 같이 클라우드 시스템은 IT 자원을 용이하게 저장 및 열람할 수 있는 장점이 있는 반면에, 종래 사용자 각각의 개인 디바이스에 저장하였던 사적인 정보들을 외부 서버에 저장하게 되는바, 이러한 정보들이 유출될 경우 많은 문제가 발생할 수 있다. Meanwhile, as described above, the cloud system has the advantage of easily storing and browsing the IT resources, while the private information stored in the individual devices of the conventional users is stored in the external server, This can lead to many problems.

예를 들어, 아이클라우드(iCloud)의 해킹으로 제니퍼 로렌스(Jennifer Lawrence)를 포함한 미국 유명인들의 개인 사진이 유출하는 사건이 발생한 것과 같이(2014 년 8 월 31일), 외부로 공개하고 싶지 않은 사적인 멀티미디어 데이터가 유출되는 문제가 발생할 수 있다. 종래에는 사적인 멀티미디어 데이터는 개인 PC 의 하드 디스크 또는 USB와 같은 휴대형 저장 장치에 저장하는 경우가 많았으며, 스마트폰과 같은 휴대용 컴퓨팅 디바이스의 저장 공간에만 저장되는 경우가 많았다. 다만, 이러한 멀티미디어 정보를 보다 다양한 장치에서 공유할 수 있도록 클라우드 시스템에 저장함으로써, 개인 컴퓨팅 디바이스에 비해 해킹 등을 통한 정보 유출의 가능성이 급격하게 증가하였다.For example, the hacking of iCloud has caused an outbreak of personal photos of American celebrities, including Jennifer Lawrence (August 31, 2014), causing private multimedia There may be a problem that data is leaked. Conventionally, private multimedia data is often stored in a portable storage device such as a hard disk or a USB of a personal computer, and is often stored only in a storage space of a portable computing device such as a smart phone. However, by storing the multimedia information in a cloud system so that the multimedia information can be shared by various devices, the possibility of information leakage through hacking or the like has increased dramatically compared with personal computing devices.

따라서, 클라우드 시스템은 다른 어떤 서비스에 비해서 그 보안의 중요성이 강조되어야 할 것인바, 이에 대한 보안 유지를 위해 많은 노력이 있었다. 가장 보편적인 인증 방법은, 클라우드 시스템에 사용자가 원하는 계정과 패스워드를 등록하고 이후 서비스 요청에 대해서는 올바른 계정과 패스워드가 확인된 경우에만 해당 서비스를 제공하는 것이다. Therefore, cloud systems should emphasize the importance of security compared to other services, and there have been many efforts to maintain security. The most common authentication method is to register the user's desired account and password in the cloud system, and then provide the service only when the correct account and password are confirmed for the subsequent service request.

그러나, 상기와 같은 ID-비밀번호 방식의 인증 시스템은, 피싱을 통한 계정과 패스워드 유출의 가능성이 크고, 연속하여 흐르는 비밀번호 리스트를 사용한 계속적인 접속 시도를 통해 계정과 패스워드 정보가 유출될 수 있는 우려가 있으며, 서비스 사용자의 보안 인식 부족으로 허술한 비밀번호 설정을 유지함에 따라 데이터가 유출되는 경우도 많다.However, the ID-password type authentication system as described above has a high possibility of account and password leakage through phishing, and there is a concern that account and password information may be leaked through continuous access attempts using a continuously flowing password list There are many cases in which data is leaked due to a poor password set-up due to a lack of security awareness of service users.

KRKR 10-2014-005948510-2014-0059485 AA

본 발명이 해결하고자 하는 과제는, 물리적 복제 방지 기능(PUF: Physically Unclonable Funtion)과 같은 부가인증장치를 이용하여 물리적인 패스워드를 생성하여 패스워드의 복제가 불가능하도록 함으로써 사적인 멀티미디어 데이터와 같은 프라이버시 관련 정보와 공인 인증 정보와 같은 경제 정보 등의 유출을 방지할 수 있고, 서버에서 인덱스와 챌린지 데이터 열을 생성하여 컴퓨팅 디바이스로 전송한 후 챌린지 정보를 폐기함으로써 컴퓨팅 디바이스에 내장되어 있는 부가인증장치의 전체 정보가 서버에 저장되는 것이 아니라, 부가인증장치의 일부 정보인 응답 데이터만이 서버에 저장되므로 서버의 데이터베이스에 저장된 정보가 유출되더라도 컴퓨팅 디바이스의 부가인증장치 정보가 안전하게 보관될 수 있어 보안을 강화할 수 있는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법을 제공하는 것이다.A problem to be solved by the present invention is to create a physical password by using a supplementary authentication device such as a physically unclonable function (PUF), thereby making it impossible to replicate a password, so that privacy-related information such as private multimedia data It is possible to prevent an outflow of economic information such as authorized authentication information, generate an index and a challenge data string in the server, transmit the index and the challenge data string to the computing device, and discard the challenge information so that the entire information of the additional authentication device built in the computing device Since only the response data, which is a part of the additional authentication device, is stored in the server, the additional authentication device information of the computing device can be safely stored even if the information stored in the database of the server is leaked, In addition authentication device To provide an authentication method of a cloud system.

본 발명이 해결하고자 하는 다른 과제는, 물리적 복제 방지 기능(PUF: Physically Unclonable Funtion)과 같은 부가인증장치를 이용하여 물리적인 패스워드를 생성하여 패스워드의 복제가 불가능하도록 함으로써 사적인 멀티미디어 데이터와 같은 프라이버시 관련 정보와 공인 인증 정보와 같은 경제 정보 등의 유출을 방지할 수 있고, 서버에서 인덱스와 챌린지 데이터 열을 생성하여 컴퓨팅 디바이스로 전송한 후 챌린지 정보를 폐기함으로써 컴퓨팅 디바이스에 내장되어 있는 부가인증장치의 전체 정보가 서버에 저장되는 것이 아니라, 부가인증장치의 일부 정보인 응답 데이터만이 서버에 저장되므로 서버의 데이터베이스에 저장된 정보가 유출되더라도 컴퓨팅 디바이스의 부가인증장치 정보가 안전하게 보관될 수 있어 보안을 강화할 수 있는, 부가인증장치에 기반한 클라우드 시스템을 제공하는 것이다.Another problem to be solved by the present invention is to create a physical password by using a supplementary authentication device such as a physically unclonable function (PUF) to make it impossible to replicate a password, thereby generating privacy-related information such as private multimedia data And authentication information, and generates an index and a challenge data string from the server, transmits the index and the challenge data string to the computing device, and discards the challenge information, thereby storing the entire information of the additional authentication device built in the computing device Is stored in the server, only the response data, which is part of the additional authentication device, is stored in the server, so that the additional authentication device information of the computing device can be securely stored even if information stored in the database of the server is leaked, , Additional authentication device To provide a cloud-based system.

다만, 본 발명의 해결하고자 하는 과제는 이에 한정되는 것이 아니며, 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위에서 다양하게 확장될 수 있을 것이다.It should be understood, however, that the present invention is not limited to the above-described embodiments, but may be variously modified without departing from the spirit and scope of the invention.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법은,According to an aspect of the present invention, there is provided a method of authenticating a cloud system based on a supplementary authentication apparatus,

(a) 컴퓨팅 디바이스의 부가인증장치를 서버에 등록하는 단계; 및(a) registering a supplementary authentication device of a computing device with a server; And

(b) 상기 서버가, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스를 인증하는 단계를 포함하고,(b) the server authenticating the computing device in response to a service request of the computing device,

상기 단계 (a)에서, 상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 서버가 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스가 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하며 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하고,Wherein, in step (a), in response to a request to register a supplementary authentication device of the computing device, the server generates and transmits a certain range of index-challenge data strings to the computing device, Response data string of the additional authentication device to the server in the form of an index-response data string, and the server stores the index-response data string in association with the ID of the computing device in the database of the server, Registering the additional authentication device of the computing device with the server,

상기 단계 (b)에서, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 서버가 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증한다.Wherein, in step (b), in response to a service request of the computing device, the server requests the computing device of the response data of the supplementary authentication device corresponding to the random index, and responds to the random index received from the computing device The response data corresponding to the random index corresponding to the ID of the computing device stored in the database of the server matches the response data corresponding to the random index.

본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법에 있어서, 상기 단계 (a)에서, 상기 서버는, 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송한 후 상기 챌린지 데이터 열을 폐기할 수 있다.In the authentication method of a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, in the step (a), the server generates an index-challenge data string of the specific range and transmits the index- And then discard the challenge data string.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법에 있어서, 상기 단계 (a)는,Further, in the authentication method of the cloud system based on the additional authentication apparatus according to the embodiment of the present invention, the step (a)

(a-1) 상기 컴퓨팅 디바이스가, 상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하는 단계;(a-1) the computing device requesting the server to register the additional authentication device according to the device ID;

(a-2) 상기 서버가, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 단계;(a-2) the server generates a certain range of index-challenge data strings and transmits them to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index-challenge data string to the computing device Discarding the challenge data string after the request;

(a-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 단계;(a-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns, which are request parameters from the server, and storing them in an index-challenge table;

(a-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 단계; 및(a-4) the computing device acquiring a response data string of the additional authentication device corresponding to the challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And

(a-5) 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하는 단계를 포함할 수 있다.(a-5) the server registers the additional authentication device of the computing device with the server by storing the index-response data string in association with the ID of the computing device in the database of the server .

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법에 있어서, 상기 단계 (b)는,Further, in the authentication method of the cloud system based on the additional authentication apparatus according to the embodiment of the present invention, the step (b)

(b-1) 상기 컴퓨팅 디바이스가 디바이스 ID를 상기 서버로 전송하고 상기 서버에 서비스를 요청하는 단계;(b-1) the computing device sending a device ID to the server and requesting a service from the server;

(b-2) 상기 서버가, 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터를 요청하는 단계;(b-2) the server requesting the computing device for the response data of the additional authentication device of the computing device corresponding to the random index;

(b-3) 상기 컴퓨팅 디바이스가, 상기 인덱스-챌린지 테이블로부터 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 획득하는 단계;(b-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;

(b-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 단계;(b-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device;

(b-5) 상기 컴퓨팅 디바이스가, 상기 응답 데이터를 랜덤 인덱스-응답 데이터 형태로 상기 서버로 전송하는 단계;(b-5) the computing device sending the response data to the server in the form of random index-response data;

(b-6) 상기 서버가, 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하는 단계; 및(b-6) the server obtaining response data corresponding to the random index according to the ID of the computing device from the database; And

(b-7) 상기 서버가, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터를 비교하고, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터가 일치하는 경우, 상기 컴퓨팅 디바이스를 인증하는 단계를 포함할 수 있다.(b-7) The server compares response data received from the computing device with response data obtained from the database, and when the response data received from the computing device and the response data obtained from the database match, And authenticating the computing device.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법에 있어서, 상기 부가인증장치는 물리적 복제 방지 기능(Physically Unclonable Funtion, PUF)을 포함할 수 있다.In addition, in the authentication method of the cloud system based on the additional authentication device according to an embodiment of the present invention, the additional authentication device may include a physically unclonable function (PUF).

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법에 있어서, 상기 인덱스는 상기 응답 데이터 열에서 해당 응답 데이터의 순서를 나타낼 수 있다.Also, in the authentication method of the cloud system based on the additional authentication apparatus according to an embodiment of the present invention, the index may indicate the order of the corresponding response data in the response data string.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법은, (c) 상기 컴퓨팅 디바이스의 인증 정보를 갱신 및 폐기하는 단계를 더 포함하고,The authentication method of the cloud system based on the additional authentication apparatus according to an embodiment of the present invention may further include: (c) updating and discarding the authentication information of the computing device,

상기 단계 (c)는,The step (c)

(c-1) 상기 컴퓨팅 디바이스가, 디바이스 ID를 상기 서버로 전송하면서 상기 서버에 인증 정보 갱신을 요청하고 상기 컴퓨팅 디바이스의 인덱스-챌린지 테이블에 저장된 인증 정보를 삭제하는 단계;(c-1) the computing device requesting the server to update the authentication information while transmitting the device ID to the server, and deleting the authentication information stored in the index-challenge table of the computing device;

(c-2) 상기 서버가, 새로운 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 단계;(c-2) the server generates and transmits a new specific range of index-challenge data string to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index- And discarding the challenge data string after requesting the challenge data string;

(c-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 단계;(c-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server and storing them in an index-challenge table;

(c-4) 상기 컴퓨팅 디바이스가, 상기 새로운 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 단계; 및(c-4) the computing device acquiring a response data string of the additional authentication device corresponding to the new challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And

(c-5) 상기 서버가 상기 컴퓨팅 디바이스로부터 수신된 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장하는 단계를 포함할 수 있다.(c-5) storing the index-response data sequence received from the computing device in the database of the server in association with the ID of the computing device.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법은, (d) 상기 서버를 인증하는 단계를 더 포함하고,Further, the authentication method of the cloud system based on the additional authentication apparatus according to the embodiment of the present invention may further include: (d) authenticating the server,

상기 단계 (d)는,The step (d)

(d-1) 상기 컴퓨팅 디바이스가, 디바이스 ID와 랜덤 인덱스를 상기 서버로 전송하면서 상기 서버 인증을 요청하는 단계;(d-1) requesting the server authentication while the computing device transmits a device ID and a random index to the server;

(d-2) 상기 서버가, 상기 디바이스 ID와 연관된 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하여 랜덤 인덱스-응답 데이터를 상기 컴퓨팅 디바이스로 전송하는 단계;(d-2) the server obtaining response data corresponding to a random index associated with the device ID from the database and transmitting random index-response data to the computing device;

(d-3) 상기 컴퓨팅 디바이스가, 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 상기 인덱스-챌린지 테이블로부터 획득하는 단계;(d-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;

(d-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 단계; 및(d-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device; And

(d-5) 상기 컴퓨팅 디바이스가 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터를 비교하여, 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터가 일치하는 경우 상기 서버를 인증하는 단계를 포함할 수 있다.(d-5) The computing device compares the response data received from the server with the response data obtained from the additional authentication device, and if the response data received from the server and the response data acquired from the additional authentication device match And authenticating the server.

상기 다른 과제를 해결하기 위한 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템은,According to another aspect of the present invention, there is provided a cloud system based on a supplementary authentication apparatus,

서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하고, 상기 서버로부터 특정 범위의 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는, 컴퓨팅 디바이스; 및Requesting the server to register a supplementary authentication apparatus according to the device ID, receiving a specific range of index-challenge data strings from the server, and storing the response data string of the additional authentication apparatus corresponding to the challenge data string in the index- To the server in the form of a message; And

상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스로부터 상기 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 컴퓨팅 디바이스의 부가인증장치를 등록하는, 서버를 포함하고,Response data string from the computing device in response to the additional authentication device registration request of the computing device to generate and transmit the index-challenge data string of the specific range to the computing device, receive the index-response data string from the computing device, And registering the additional authentication device of the computing device by storing the row in association with the ID of the computing device in the database of the server,

상기 서버는, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증한다.Wherein the server requests response data of a supplementary authentication apparatus corresponding to a random index to the computing device in response to a service request of the computing device and transmits response data corresponding to the random index received from the computing device to the server And matches the response data corresponding to the random index according to the ID of the computing device stored in the database.

본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 서버는, 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송한 후 상기 챌린지 데이터 열을 폐기할 수 있다.In a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, the server may generate the index-challenge data string of the specific range and transmit the index-challenge data string to the computing device and discard the challenge data string .

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서,In addition, in the cloud system based on the additional authentication apparatus according to the embodiment of the present invention,

상기 컴퓨팅 디바이스와 상기 서버는, (a) 상기 컴퓨팅 디바이스의 부가인증장치를 서버에 등록하는 동작, 및 (b) 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스를 인증하는 동작을 수행하고,Wherein the computing device and the server perform the operations of: (a) registering the additional authentication device of the computing device with the server; and (b) authenticating the computing device in response to a service request of the computing device,

상기 동작 (a)는,The operation (a)

(a-1) 상기 컴퓨팅 디바이스가, 상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하는 동작;(a-1) the computing device requesting the server to register the additional authentication device according to the device ID;

(a-2) 상기 서버가, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 동작;(a-2) the server generates a certain range of index-challenge data strings and transmits them to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index-challenge data string to the computing device Discarding the challenge data string after the request;

(a-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 동작;(a-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server and storing them in an index-challenge table;

(a-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 동작; 및(a-4) the computing device acquiring a response data string of the additional authentication device corresponding to the challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And

(a-5) 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하는 동작을 포함할 수 있다.(a-5) registering, by the server, the additional authentication device of the computing device with the server by storing the index-response data string in association with the ID of the computing device in the database of the server .

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 동작 (b)는,In addition, in the cloud system based on the additional authentication apparatus according to the embodiment of the present invention, the operation (b)

(b-1) 상기 컴퓨팅 디바이스가 디바이스 ID를 상기 서버로 전송하고 상기 서버에 서비스를 요청하는 동작;(b-1) the computing device sending a device ID to the server and requesting a service from the server;

(b-2) 상기 서버가, 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터를 요청하는 동작;(b-2) the server requesting the computing device for the response data of the additional authentication device of the computing device corresponding to the random index;

(b-3) 상기 컴퓨팅 디바이스가, 상기 인덱스-챌린지 테이블로부터 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 획득하는 동작;(b-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;

(b-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 동작;(b-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device;

(b-5) 상기 컴퓨팅 디바이스가, 상기 응답 데이터를 랜덤 인덱스-응답 데이터 형태로 상기 서버로 전송하는 동작;(b-5) the computing device sending the response data to the server in the form of random index-response data;

(b-6) 상기 서버가, 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대한 응답 데이터를 상기 데이터베이스로부터 획득하는 동작; 및(b-6) the server obtaining response data for the random index according to the ID of the computing device from the database; And

(b-7) 상기 서버가, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터를 비교하고, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득한 응답 데이터가 일치하는 경우, 상기 컴퓨팅 디바이스를 인증하는 동작을 포함할 수 있다.(b-7) The server compares the response data received from the computing device with the response data obtained from the database, and if the response data received from the computing device and the response data acquired from the database match, And authenticating the computing device.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 부가인증장치는 물리적 복제 방지 기능(Physically Unclonable Funtion, PUF)을 포함할 수 있다.In addition, in the cloud system based on the additional authentication apparatus according to an embodiment of the present invention, the additional authentication apparatus may include a physically unclonable function (PUF).

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 인덱스는 상기 응답 데이터 열에서 해당 응답 데이터의 순서를 나타낼 수 있다.In addition, in the cloud system based on the additional authentication apparatus according to an embodiment of the present invention, the index may indicate the order of the corresponding response data in the response data string.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 컴퓨팅 디바이스와 상기 서버는, (c) 상기 컴퓨팅 디바이스의 인증 정보를 갱신 및 폐기하는 동작을 더 수행하고,Further, in a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, the computing device and the server further perform (c) operations of updating and discarding authentication information of the computing device,

상기 동작 (c)는,The operation (c)

(c-1) 상기 컴퓨팅 디바이스가, 디바이스 ID를 상기 서버로 전송하면서 상기 서버에 인증 정보 갱신을 요청하고 상기 컴퓨팅 디바이스의 인덱스-챌린지 테이블에 저장된 인증 정보를 삭제하는 동작;(c-1) the computing device requesting the server to update the authentication information while transmitting the device ID to the server, and deleting the authentication information stored in the index-challenge table of the computing device;

(c-2) 상기 서버가, 새로운 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 동작,(c-2) the server generates and transmits a new specific range of index-challenge data string to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index- And discarding the challenge data string after requesting,

(c-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 인덱스-챌린지 테이블에 저장하는 동작;(c-3) storing, in the index-challenge table, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server;

(c-4) 상기 컴퓨팅 디바이스가, 상기 새로운 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 동작; 및(c-4) the computing device acquires a response data string of the additional authentication device corresponding to the new challenge data string from the supplementary authentication device and transmits the response data string to the server in the form of an index-response data string; And

(c-5) 상기 서버가 상기 컴퓨팅 디바이스로부터 수신된 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장하는 동작을 포함할 수 있다.(c-5) storing the index-response data sequence received from the computing device in the database of the server in association with the ID of the computing device.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 컴퓨팅 디바이스와 상기 서버는, (d) 상기 서버를 인증하는 동작을 더 수행하고,In addition, in a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, the computing device and the server further perform (d) an operation of authenticating the server,

상기 동작 (d)는,The operation (d)

(d-1) 상기 컴퓨팅 디바이스가, 디바이스 ID와 랜덤 인덱스를 상기 서버로 전송하면서 상기 서버 인증을 요청하는 동작;(d-1) the computing device requesting the server authentication while transmitting a device ID and a random index to the server;

(d-2) 상기 서버가, 상기 디바이스 ID와 연관된 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하여 랜덤 인덱스-응답 데이터를 상기 컴퓨팅 디바이스로 전송하는 동작;(d-2) the server obtaining response data corresponding to a random index associated with the device ID from the database and sending random index-response data to the computing device;

(d-3) 상기 컴퓨팅 디바이스가, 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 상기 인덱스-챌린지 테이블로부터 획득하는 동작;(d-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;

(d-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 동작; 및(d-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device; And

(d-5) 상기 컴퓨팅 디바이스가 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터를 비교하여, 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터가 일치하는 경우 상기 서버를 인증하는 동작을 포함할 수 있다.(d-5) The computing device compares the response data received from the server with the response data obtained from the additional authentication device, and if the response data received from the server and the response data acquired from the additional authentication device match And authenticating the server.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 컴퓨팅 디바이스는,In addition, in the cloud system based on the additional authentication apparatus according to the embodiment of the present invention,

클라우드 애플리케이션 수행부; 및A cloud application execution unit; And

물리적 복제 방지 기능(PUF)을 포함하고,Includes physical copy protection (PUF)

상기 클라우드 애플리케이션 수행부는,The cloud application execution unit,

상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하고, 상기 서버로부터 특정 범위의 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는, 인증 핸들러;Requesting the server to register a supplementary authentication apparatus according to a device ID, receiving a specific range of index-challenge data strings from the server, and transmitting the response data string of the supplementary authentication apparatus corresponding to the challenge data string to index- An authentication handler for transmitting to the server in the form of a column;

상기 서버로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기;A packet generator for generating packet data by encapsulating data to be transmitted to the server;

상기 서버로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser);A packet parser for analyzing packet data received from the server;

상기 서버로부터 수신된 특정 범위의 인덱스-챌린지 데이터 열을 저장하기 위한 인덱스-챌린지 테이블; 및An index-challenge table for storing a specific range of index-challenge data columns received from the server; And

상기 인증 핸들러로 데이터를 전송하거나 상기 인증 핸들러로부터 데이터를 수신하고 상기 물리적 복제 방지 기능(PUF)과 물리적으로 연결하기 위한 제1 물리적인 인터페이스를 포함하며,A first physical interface for transmitting data to or receiving data from the authentication handler and for physically connecting to the physical copy protection function (PUF)

상기 물리적 복제 방지 기능(PUF)은,The physical copy protection function (PUF)

임의의 챌린지 데이터가 입력되면 물리적으로 복제가 불가능한 고유의 응답 데이터를 출력하는 코어 회로; 및A core circuit for outputting unique response data which can not be physically copied when arbitrary challenge data is input; And

상기 코어 회로로 데이터를 전송하거나 상기 코어 회로로부터 데이터를 수신하고 상기 제1 물리적인 인터페이스와 물리적으로 연결하기 위한 제2 물리적인 인터페이스를 포함할 수 있다.And a second physical interface for transmitting data to or receiving data from the core circuit and for physically connecting the data to the first physical interface.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템에 있어서, 상기 서버는, 인증 관리부; 및 데이터베이스를 포함하고,Further, in a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, the server may include an authentication management unit; And a database,

상기 인증 관리부는,The authentication management unit,

상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스로부터 수신된 상기 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 컴퓨팅 디바이스의 부가인증장치를 등록하고, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터와 상기 서버의 데이터베이스로부터 획득한 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터가 일치하는 경우 상기 컴퓨팅 디바이스를 인증하는, 인증 정보 핸들러,Response data string received from the computing device in response to the additional authentication device registration request of the computing device, generating the index-challenge data string of the specific range and transmitting the index-challenge data string to the computing device, Registering a supplementary authentication device of the computing device by storing a response data string in association with the ID of the computing device in the database of the server, and in response to the service request of the computing device, Requesting response data corresponding to the random index corresponding to the random index received from the computing device and response data corresponding to the random index according to the ID of the computing device acquired from the database of the server, The authentication information handler authenticating the computing device,

상기 컴퓨팅 디바이스로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기; 및A packet generator for encapsulating data to be transmitted to the computing device to generate packet data; And

상기 컴퓨팅 디바이스로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser)를 포함하고,A packet parser for parsing packet data received from the computing device,

상기 데이터베이스는, 상기 컴퓨팅 디바이스로부터 수신된 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 저장하는 인덱스-응답 테이블을 포함할 수 있다.The database may include an index-response table that stores the index-response data sequence received from the computing device in association with the ID of the computing device.

본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 그 클라우드 시스템에 의하면, 물리적 복제 방지 기능(PUF: Physically Unclonable Funtion)과 같은 부가인증장치를 이용하여 물리적인 패스워드를 생성하여 패스워드의 복제가 불가능하도록 함으로써 사적인 멀티미디어 데이터와 같은 프라이버시 관련 정보와 공인 인증 정보와 같은 경제 정보 등의 유출을 방지할 수 있고, 서버에서 특정 범위의 인덱스와 챌린지 데이터 열을 생성하여 컴퓨팅 디바이스로 전송한 후 챌린지 정보를 폐기함으로써 컴퓨팅 디바이스에 내장되어 있는 부가인증장치의 전체 정보가 서버에 저장되는 것이 아니라, 부가인증장치의 일부 정보인 특정 범위의 응답 데이터만이 서버에 저장되므로 서버의 데이터베이스에 저장된 정보가 유출되더라도 컴퓨팅 디바이스의 부가인증장치 정보가 안전하게 보관될 수 있어 보안을 강화할 수 있다.According to an authentication method and a cloud system of a cloud system based on a supplementary authentication device according to an embodiment of the present invention, a physical password is generated using a supplementary authentication device such as a physical unclonable function (PUF) It is possible to prevent the leakage of economic information such as privacy-related information and public authentication information such as private multimedia data by making it impossible to replicate the password, and generate indexes and challenge data strings of a specific range in the server and transmit them to the computing device Since the entire information of the additional authentication device built in the computing device is not stored in the server but only the response data of a specific range which is a part of the additional authentication device is stored in the server by discarding the challenge information, Even if the computer The additional authentication device information of the switching device can be safely stored, thereby enhancing security.

따라서, 스마트폰과 같은 휴대용 컴퓨팅 디바이스나 개인용 PC 등의 고정형 컴퓨팅 디바이스에 저장된 패스워드의 유출 가능성을 제거할 수 있으며, OTP와 유사하게 매번 변경되는 패스워드의 구현이 가능하다. 또한, 허술한 비밀번호 설정으로 인해 발생하는 보안 문제가 억제될 수 있다.Accordingly, it is possible to eliminate the possibility of password leakage stored in a fixed computing device such as a portable computing device such as a smart phone or a personal PC, and it is possible to implement a password that is changed every time similar to the OTP. In addition, a security problem caused by a poor password setting can be suppressed.

또한, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 그 클라우드 시스템에 의하면, 컴퓨팅 디바이스에 내장되어 있는 부가인증장치의 전체 정보가 서버에 저장되는 것이 아니라, 부가인증장치의 일부 정보인 특정 범위의 응답 데이터만이 서버에 저장되기 때문에, 서버의 데이터베이스에 저장되어 있는 응답 데이터가 유출되더라도, 해커는 컴퓨팅 디바이스의 부가인증장치의 챌린지-응답 정보를 알 수 없어 컴퓨팅 디바이스의 부가인증장치의 정보가 안전하게 보관될 수 있다.According to the authentication method of the cloud system and the cloud system based on the additional authentication device according to the embodiment of the present invention, the entire information of the additional authentication device built in the computing device is not stored in the server, The hacker can not know the challenge-response information of the additional authentication device of the computing device even if the response data stored in the database of the server is leaked, because only a specific range of response data is stored in the server. Information of the additional authentication apparatus can be safely stored.

또한, 서버의 데이터베이스가 유출되는 경우, 다시 상기 특정 범위 이외의 다른 범위의 인덱스와 응답 데이터 열을 등록하는 과정을 거쳐 서버의 데이터베이스를 갱신하면, 해커가 이전에 해킹한 서버의 데이터베이스를 가지고 있다고 하더라도, 서버 내의 개인정보 및 데이터는 안전하게 지켜질 수 있다.When a database of a server is leaked, a database of a server is updated through a process of registering an index and a response data string in a range other than the specific range again. Even if a hacker has a database of a previously hacked server , Personal information and data in the server can be safely kept.

또한, 본 발명의 일 실시예에 의하면, 매번 다른 인덱스와 응답이 전달되므로 데이터 유출에 대한 위험성을 극도로 낮출 수 있다.In addition, according to an embodiment of the present invention, since the different indexes and responses are transmitted each time, the risk of data leakage can be extremely reduced.

또한, 본 발명의 일 실시예에 의하면, PUF로 인증 정보가 보호되므로 외부 공격에도 인증 정보의 유출이 불가능하다.In addition, according to the embodiment of the present invention, since the authentication information is protected by the PUF, authentication information can not be leaked to an external attack.

도 1은 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 개략도.
도 2는 일반적인 클라우드 시스템의 인증 방법의 흐름도.
도 3은 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템 및 부가인증장치에 기반한 클라우드 시스템의 인증 방법을 설명하기 위한 도면.
도 4는 클라우드 서버의 상세 블록도.
도 5는 컴퓨팅 디바이스의 상세 블록도.
도 6은 인증 정보 등록 과정을 도시한 도면.
도 7은 인증 정보 갱신 및 폐기 과정을 도시한 도면.
도 8은 컴퓨팅 디바이스 인증 과정을 도시한 도면.
도 9는 클라우드 서버 인증 과정을 도시한 도면.1 is a schematic diagram of a cloud system based on a supplemental authentication apparatus according to an embodiment of the present invention;
2 is a flowchart of an authentication method of a general cloud system;
3 is a diagram for explaining an authentication method of a cloud system based on a cloud system and a supplementary authentication device based on a supplementary authentication device according to an embodiment of the present invention.
4 is a detailed block diagram of a cloud server;
5 is a detailed block diagram of a computing device;
6 is a diagram illustrating an authentication information registration process;
7 is a diagram illustrating a process of updating and discarding authentication information;
8 illustrates a computing device authentication process;
9 is a diagram illustrating a cloud server authentication process.

본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.For the embodiments of the invention disclosed herein, specific structural and functional descriptions are set forth for the purpose of describing an embodiment of the invention only, and it is to be understood that the embodiments of the invention may be practiced in various forms, The present invention should not be construed as limited to the embodiments described in Figs.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention is capable of various modifications and various forms, and specific embodiments are illustrated in the drawings and described in detail in the text. It is to be understood, however, that the invention is not intended to be limited to the particular forms disclosed, but on the contrary, is intended to cover all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprise", "having", and the like are intended to specify the presence of stated features, integers, steps, operations, elements, components, or combinations thereof, , Steps, operations, components, parts, or combinations thereof, as a matter of principle.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미이다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미인 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be construed as meaning consistent with meaning in the context of the relevant art and are not to be construed as ideal or overly formal in meaning unless expressly defined in the present application .

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. The same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 개략도를 도시한 도면이다. 도 1에 도시된 바와 같이, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템은 클라우드 서버(100) 및 복수의 컴퓨팅 디바이스(102-1, 102-2, 102-3, 102-4)를 포함한다.1 is a schematic diagram of a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention. 1, a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention includes a cloud server 100 and a plurality of computing devices 102-1, 102-2, 102-3, 102-4 ).

상기 복수의 컴퓨팅 디바이스(102-1, 102-2, 102-3, 102-4) 중 어느 하나는, 당해 컴퓨팅 디바이스가 보유하고 있는 데이터를 네트워크를 통해 서버(100)로 전송하여 저장할 수 있으며, 필요에 따라 다시 서버(100)에 서비스 요청을 하고, 특정 데이터를 다시 수신하여 활용할 수 있다.One of the plurality of computing devices 102-1, 102-2, 102-3, and 102-4 may transmit and store data held by the computing device to the server 100 via the network, It can make a service request to the server 100 again as needed, and receive and utilize specific data again.

한편, 여기서 컴퓨팅 디바이스(102-1, 102-2, 102-3, 102-4)는 디지털 방송 단말기, 개인 정보 단말기(PDA, Personal Digital Assistant), 스마트 폰(Smart Phone), 태블릿(Tablet) PC, 아이패드(Ipad), 3G, 4G LTE(Long Term Evolution) 단말기, 예를 들면 IMT-2000(International Mobile Telecommunication 2000) 단말기, WCDMA(Wideband Code Division Multiple Access)단말기, GSM/GPRS(Global System For Mobile Communication Packet Radio Service) 및 UMTS(Universal Mobile Telecommunication Service) 단말기 그리고, 위성을 사용하는 GPS 등과 같은 모든 정보통신기기 및 멀티미디어 기기 등을 포함할 수 있다. 또한, 본 발명의 실시예에 따른 구성은 휴대단말기뿐만 아니라, 디지털 TV, 데스크탑 컴퓨터 등과 같은 고정 단말기에도 적용될 수도 있음을 본 기술분야의 당업자라면 쉽게 알 수 있을 것이다.Here, the computing devices 102-1, 102-2, 102-3, and 102-4 may be a digital broadcasting terminal, a personal digital assistant (PDA), a smart phone, a tablet PC An Ipad, a 4G LTE (Long Term Evolution) terminal such as an International Mobile Telecommunication 2000 (IMT-2000) terminal, a Wideband Code Division Multiple Access (WCDMA) terminal, a Global System for Mobile Communication Packet Radio Service), UMTS (Universal Mobile Telecommunication Service) terminal, GPS using satellite, and multimedia devices. It will be apparent to those skilled in the art that the present invention may also be applied to fixed terminals such as digital TVs, desktop computers, and the like as well as portable terminals.

도 2는 일반적인 클라우드 시스템의 인증 방법의 흐름도이다. 전술한 바와 같이, 클라우드 서비스의 경우 IT 자원을 용이하게 저장 및 열람할 수 있는 장점이 있는 반면에, 종래 사용자 각각의 개인 디바이스에 저장하였던 사적인 정보들을 개인 디바이스나 휴대용 저장소가 아닌 외부 서버에 저장하게 되는바, 이러한 정보들이 유출될 경우 많은 문제가 발생할 수 있다.2 is a flowchart of an authentication method of a general cloud system. As described above, in the case of the cloud service, there is an advantage that the IT resources can be easily stored and browsed. On the other hand, private information stored in the individual devices of the conventional users is stored in an external server As a result, many problems may arise when such information is leaked.

따라서, 클라우드 시스템은 다른 어떤 서비스에 비해서 그 보안의 중요성이 강조되어야 할 것인바, 종래에도 클라우드 서버(200)에 포함된 정보를 정당한 권원이 있는 사용자에게만 제공하기 위해, 계정 및 패스워드 기반 인증 방법을 사용하는 경우가 많았다.Therefore, the importance of security is emphasized in comparison with any other services. Therefore, in order to provide the information included in the cloud server 200 only to users with legitimate rights, There were many cases of use.

도 2를 참조하면, 일반적인 클라우드 시스템의 계정 및 비밀번호 기반 인증 방법은, 최초 서비스 이용시에 사용자 계정의 등록 과정을 거친다. Referring to FIG. 2, an account and password-based authentication method of a general cloud system performs a registration process of a user account when using the first service.

보다 구체적으로, 먼저 컴퓨팅 디바이스(202)가 클라우드 서버(200)로 향후 사용하고자 하는 계정 네임과 그에 따른 패스워드를 포함하여, 계정 및 패스워드 등록 요청을 송신한다(S210). 이러한 요청을 수신한 클라우드 서버(200)는, 상기 요청에 포함된 계정 및 패스워드를 클라우드 서버(200)와 연관된 저장부(미도시)에 등록(S212)함으로써, 클라우드 시스템의 해당 컴퓨팅 디바이스 등록이 완료된다. 아울러, 서버(200)는 계정과 패스워드가 등록되었음을 나타내는 응답을 컴퓨팅 디바이스(202)로 송신하고, 컴퓨팅 디바이스(202)는 상기의 계정과 패스워드를 저장하여, 향후 사용에 대비한다.More specifically, the computing device 202 transmits an account and password registration request including an account name and a corresponding password to be used in the cloud server 200 (S210). Upon receiving the request, the cloud server 200 registers the account and the password included in the request in a storage unit (not shown) associated with the cloud server 200 (S212), thereby completing registration of the corresponding computing device in the cloud system do. In addition, the server 200 sends a response to the computing device 202 indicating that the account and password have been registered, and the computing device 202 stores the account and password to prepare for future use.

이후, 당해 컴퓨팅 디바이스(202)는 클라우드 시스템을 사용할 수 있고, 컴퓨팅 디바이스(202)에 형성되어 있던 데이터를 클라우스 서버(200)에 저장할 수도 있으며, 저장된 데이터를 다시 수신하여 사용할 수도 있다.The computing device 202 may then use the cloud system, store the data that was formed in the computing device 202 in the cloud server 200, and may receive and use the stored data again.

보다 구체적으로, 컴퓨팅 디바이스(202)는 클라우드 서버(200)로 서비스 요청을 송신한다(S218). 상기와 같은 요청은 HTTP를 통해 송신되고, 상기 요청은 기 등록되었으며, 디바이스에 저장되었던 계정과 패스워드를 포함하게 된다. More specifically, the computing device 202 transmits a service request to the cloud server 200 (S218). The request is transmitted via HTTP, the request is pre-registered, and includes the account and password that were stored in the device.

클라우드 서버(200)는 서비스 요청에 포함된 계정과 패스워드를 기반으로, 서비스 가능여부를 판단하여(S220), 계정과 패스워드 정보가 일치하면 컴퓨팅 디바이스(202)가 요청한 서비스를 제공한다.The cloud server 200 determines whether the service is available based on the account and the password included in the service request (S220). If the account and password information match, the cloud server 200 provides the service requested by the computing device 202.

그러나, 전술한 바와 같이 ID-비밀번호 방식의 인증 시스템은, 피싱을 통한 계정과 패스워드 유출의 가능성이 크고, 연속하여 흐르는 비밀번호 리스트를 사용한 계속적인 접속 시도를 통해 계정과 패스워드 정보가 유출될 수 있는 우려가 있으며, 서비스 사용자의 보안 인식 부족으로 허술한 비밀번호 설정을 유지함에 따라 데이터가 유출되는 경우가 많았다.However, as described above, the ID-password type authentication system has a high possibility of account and password leakage through phishing, and there is concern that account and password information may be leaked through continuous access attempts using a continuously flowing password list There are many cases where data is leaked due to lack of security setting due to insufficient security awareness of service users.

이러한 문제점을 해결하기 위하여, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 그 클라우드 시스템은 인증 절차에 있어서 물리적 복제 방지 기능(Physically Unclonable Funtion, PUF)과 같은 부가인증장치를 사용할 수 있다. 상기 PUF는 예를 들어 반도체 공정 편차와 같이, 특정 기기가 가지는 고유의 하드웨어적 특성을 이용함으로써 물리적으로 복제 불가능한 키를 생성하는 보안 기술이다. 각 컴퓨팅 디바이스(102-1, 102-2, 102-3, 102-4)에 존재하는 PUF 모듈은 복수의 챌린지와 그에 각각 상응하는 응답을 생성할 수 있다.In order to solve such a problem, an authentication method of a cloud system based on a supplementary authentication apparatus according to an embodiment of the present invention, and a cloud system of the cloud system may include a supplementary authentication apparatus such as a physically unclonable function (PUF) Can be used. The PUF is a security technology for generating a key that is physically non-reproducible by utilizing inherent hardware characteristics of a specific device such as, for example, a semiconductor process variation. A PUF module present in each computing device 102-1, 102-2, 102-3, 102-4 may generate a plurality of challenges and corresponding responses thereto.

도 3은 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템 및 부가인증장치에 기반한 클라우드 시스템의 인증 방법을 설명하기 위한 도면이다.3 is a diagram for explaining a cloud system authentication method based on a cloud system and a supplementary authentication apparatus based on a supplementary authentication apparatus according to an embodiment of the present invention.

도 3에 도시된 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템(300)은, 컴퓨팅 디바이스(304) 및 클라우드 서버(302)를 포함한다. 설명의 편의를 위하여 도 3에는 컴퓨팅 디바이스(304)가 하나만 도시되어 있지만, 클라우드 시스템에 있어서 컴퓨팅 디바이스(304)는 복수개 존재할 수 있다.The cloud system 300 based on the additional authentication apparatus according to an embodiment of the present invention shown in FIG. 3 includes a computing device 304 and a cloud server 302. Although only one computing device 304 is shown in FIG. 3 for ease of illustration, there may be a plurality of computing devices 304 in the cloud system.

상기 컴퓨팅 디바이스(304)는 클라우드 애플리케이션 수행부(310), 및 부가인증장치로서 물리적 복제 방지 기능(PUF)(314)을 포함하고, 상기 서버(302)는 인증 관리부(306) 및 데이터베이스(308)를 포함한다.The computing device 304 includes a cloud application performing unit 310 and a physical copy protection function (PUF) 314 as a supplementary authentication device. The server 302 includes an authentication management unit 306 and a database 308, .

본 발명의 일 실시예에서 컴퓨팅 디바이스(304)는 부가인증장치로서 물리적 복제 방지 기능(PUF)(314)을 포함하지만, 본 발명의 일 실시예에는 이에 한정되지 않는다.In one embodiment of the present invention, the computing device 304 includes a physical copy protection function (PUF) 314 as a supplemental authentication device, but is not limited to one embodiment of the present invention.

상기 클라우드 애플리케이션 수행부(310)는 상기 컴퓨팅 디바이스(304)의 프로세서(미도시)에서 수행되는 클라우드 애플리케이션(311)을 포함할 수 있거나, 상기 클라우드 애플리케이션(311)의 각 기능을 수행하는 하드웨어 블록을 포함할 수 있거나, 상기 클라우드 애플리케이션의 각 기능을 수행하는 소프트웨어와 하드웨어의 조합을 포함할 수 있다.The cloud application execution unit 310 may include a cloud application 311 executed in a processor (not shown) of the computing device 304 or may include a hardware block that performs each function of the cloud application 311 Or a combination of software and hardware that performs each function of the cloud application.

또한 서버(302)의 인증 관리부(306)는 상기 서버(302)의 프로세서(미도시)에서 수행되는 인증 관리 소프트웨어를 포함할 수 있거나, 상기 인증 관리 소프트웨어의 각 기능을 수행하는 하드웨어 블록을 포함할 수 있거나, 상기 인증 관리 소프트웨어의 각 기능을 수행하는 소프트웨어와 하드웨어의 조합을 포함할 수 있다.The authentication management unit 306 of the server 302 may include authentication management software executed in a processor (not shown) of the server 302 or may include a hardware block that performs each function of the authentication management software Or a combination of software and hardware to perform each function of the authentication management software.

상기와 같이 구성된 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템(300)의 동작을 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법과 연계하여 하기에 설명하기로 한다.The operation of the cloud system 300 based on the additional authentication apparatus according to an embodiment of the present invention configured as described above will be described in connection with the authentication method of the cloud system based on the additional authentication apparatus according to an embodiment of the present invention .

본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법은, 컴퓨팅 디바이스(304)의 PUF(314)를 서버(302)에 등록하는 단계(S320, S322, S324, S326), 및 상기 서버(302)가, 상기 컴퓨팅 디바이스(304)의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스(304)를 인증하는 단계(S330, S332, S334, S336)를 포함한다.A method of authenticating a cloud system based on a supplemental authentication device according to an embodiment of the present invention includes the steps of registering the PUF 314 of the computing device 304 with the server 302 (S320, S322, S324, S326) The server 302 includes steps S330, S332, S334, and S336 of authenticating the computing device 304 in response to a service request of the computing device 304. [

상기 컴퓨팅 디바이스(304)의 PUF(314)를 서버(302)에 등록하는 단계(S320, S322, S324, S326)에 대해 설명하기로 한다.The steps S320, S322, S324, and S326 of registering the PUF 314 of the computing device 304 with the server 302 will be described.

단계 S320에서, 상기 컴퓨팅 디바이스(304)는, 상기 서버(302)에 디바이스 ID에 따른 PUF(314)의 등록을 요청한다.In step S320, the computing device 304 requests the server 302 to register the PUF 314 according to the device ID.

단계 S322에서, 상기 서버(302)는, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스(304)로 전송하고 상기 특정 범위의 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스(304)의 PUF(314)의 응답 데이터 열을 상기 컴퓨팅 디바이스(304)에 요청한 후 상기 챌린지 데이터 열을 폐기한다.In step S322, the server 302 generates and transmits a specific range of index-challenge data strings to the computing device 304 and determines the PUF of the computing device 304 corresponding to the particular range of index- Requests the computing device 304 for a response data string of the challenge data 314 and discards the challenge data string.

단계 S324에서, 상기 컴퓨팅 디바이스(304)는, 상기 서버(302)로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 인덱스-챌린지 테이블(312)에 저장하고, 상기 챌린지 데이터 열에 대응하는 상기 PUF(314)의 응답 데이터 열을 상기 PUF(314)로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버(302)로 전송한다. 본 발명의 일 실시예에서, 상기 인덱스는 상기 응답 데이터 열에서 해당 응답 데이터의 순서를 나타내지만, 본 발명의 일 실시예는 이에 한정되지 않는다.In step S324, the computing device 304 stores, in the index-challenge table 312, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server 302, And obtains the response data string of the PUF 314 from the PUF 314 and transmits it to the server 302 in the form of an index-response data string. In one embodiment of the present invention, the index indicates the order of the corresponding response data in the response data string, but an embodiment of the present invention is not limited thereto.

단계 S326에서, 상기 서버(302)가, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스(304)의 디바이스 ID와 연관시켜 상기 서버(302)의 데이터베이스(308)에 저장함으로써 상기 서버(302)가 상기 컴퓨팅 디바이스(304)의 PUF(314)를 상기 서버(302)에 등록하고, 등록이 성공했음을 컴퓨팅 디바이스(304)에 통지한다.The server 302 stores the index-response data string in the database 308 of the server 302 in association with the device ID of the computing device 304 in step S326, Registers the PUF 314 of the computing device 304 with the server 302 and notifies the computing device 304 that the registration was successful.

다음, 상기 서버(302)가, 상기 컴퓨팅 디바이스(304)의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스(304)를 인증하는 단계(S330, S332, S334, S336)에 대해 설명하기로 한다.Next, the server 302 will explain the steps S330, S332, S334, and S336 of authenticating the computing device 304 in response to a service request of the computing device 304. [

단계 S330에서, 상기 컴퓨팅 디바이스(304)가 디바이스 ID를 상기 서버(302)로 전송하고 상기 서버(302)에 서비스를 요청한다.In step S330, the computing device 304 transmits the device ID to the server 302 and requests the server 302 for a service.

단계 S332에서, 상기 서버(302)가, 상기 컴퓨팅 디바이스(304)에 랜덤 인덱스에 대응하는 상기 컴퓨팅 디바이스(304)의 PUF(314)의 응답 데이터를 요청한다.In step S332, the server 302 requests the computing device 304 for the response data of the PUF 314 of the computing device 304 corresponding to the random index.

단계 S334에서, 상기 컴퓨팅 디바이스(304)가, 인덱스-챌린지 테이블(312)로부터 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 획득하고, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 PUF(314)로부터 획득하며, 상기 획득한 응답 데이터를 랜덤 인덱스-응답 데이터 형태로 상기 서버(302)로 전송한다.In step S334, the computing device 304 obtains challenge data corresponding to the random index from the index-challenge table 312, obtains response data corresponding to the challenge data from the PUF 314, And transmits the obtained response data to the server 302 in the form of random index-response data.

단계 S336에서, 상기 서버(302)가, 상기 컴퓨팅 디바이스(304)의 디바이스 ID에 따른 상기 랜덤 인덱스에 대한 응답 데이터를 상기 데이터베이스(308)로부터 획득하고, 상기 컴퓨팅 디바이스(304)로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터를 비교하여 상기 컴퓨팅 디바이스(304)로부터 수신된 응답 데이터가 상기 데이터베이스(308)로부터 획득한 응답 데이터와 일치하는 경우, 상기 컴퓨팅 디바이스(304)를 인증하며, 상기 컴퓨팅 디바이스(304)가 요청한 서비스의 제공 가능 여부를 판단한 후 이를 컴퓨팅 디바이스(304)에 통지한다.In step S336 the server 302 obtains response data for the random index according to the device ID of the computing device 304 from the database 308 and receives response data from the computing device 304 And the response data obtained from the database to authenticate the computing device 304 if the response data received from the computing device 304 matches the response data obtained from the database 308, The device 304 determines whether the requested service can be provided and notifies the computing device 304 of the availability of the requested service.

도 4 내지 도 9를 참조하여, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 부가인증장치에 기반한 클라우드 시스템에 대해 상세히 설명하기로 한다.4 to 9, the cloud system based on the authentication method of the cloud system and the additional authentication apparatus based on the additional authentication apparatus according to the embodiment of the present invention will be described in detail.

도 4는 도 3에 도시된 클라우드 서버(302)의 상세 블록도이고, 도 5는 도 3에 도시된 컴퓨팅 디바이스(304)의 상세 블록도이다.FIG. 4 is a detailed block diagram of the cloud server 302 shown in FIG. 3, and FIG. 5 is a detailed block diagram of the computing device 304 shown in FIG.

도 4에 도시된 클라우드 서버(420)는, 인증 관리부(400) 및 인증 정보 데이터베이스(408)를 포함하고, 도 5에 도시된 컴퓨팅 디바이스(520)는, 클라우드 애플리케이션 수행부(500) 및 물리적 복제 방지 기능(PUF)(512)을 포함한다.The cloud server 420 shown in FIG. 4 includes an authentication management unit 400 and an authentication information database 408. The computing device 520 shown in FIG. 5 includes a cloud application execution unit 500 and a physical replication (PUF) < / RTI >

도 4를 참조하면, 상기 인증 관리부(400)는, 인증 정보 핸들러(406), 상기 컴퓨팅 디바이스(520)로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기(404), 및 상기 컴퓨팅 디바이스(520)로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser)(402)를 포함한다.4, the authentication management unit 400 includes an authentication information handler 406, a packet generator 404 for generating packet data by encapsulating data to be transmitted to the computing device 520, And a packet parser 402 for analyzing the packet data received from the packet parser 402.

상기 데이터베이스(408)는, 상기 컴퓨팅 디바이스(520)로부터 수신된 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스(520)의 디바이스 ID와 연관시켜 저장하는 인덱스-응답 테이블(410)을 포함한다.The database 408 includes an index-response table 410 that stores an index-response data sequence received from the computing device 520 in association with the device ID of the computing device 520.

상기 인증 정보 핸들러(406)는, 상기 컴퓨팅 디바이스(520)의 등록 요청을 처리하고 등록 요청에 응답하며, 상기 컴퓨팅 디바이스(520)로 전송할 인덱스-챌린지 데이터 열을 생성하고, 상기 컴퓨팅 디바이스(520)로 인덱스-챌린지 데이터 열을 전송한 후 폐기하며, 상기 컴퓨팅 디바이스(520) 등록 시, 인덱스-응답 테이블(410)을 생성하고, 인덱스-응답 데이터 열의 갱신 여부를 판단한다.The authentication information handler 406 processes the registration request of the computing device 520 and responds to the registration request and generates an index-challenge data stream to be transmitted to the computing device 520, Response data table 410 when the computing device 520 is registered, and determines whether the index-response data string is updated.

즉, 상기 인증 정보 핸들러(406)는, 컴퓨팅 디바이스(도 5의 520)의 PUF(512) 등록 요청에 응답하여 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스(520)로 전송하고, 상기 컴퓨팅 디바이스(520)로부터 수신된 상기 특정 범위의 인덱스-챌린지 데이터 열에 대응하는 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스(520)의 디바이시 ID와 연관시켜 상기 서버(420)의 데이터베이스(408)에 저장함으로써 상기 컴퓨팅 디바이스(520)의 PUF(512)를 등록하고, 상기 컴퓨팅 디바이스(520)의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스(520)에 랜덤 인덱스에 대응하는 PUF(512)의 응답(Response) 데이터를 요청하며, 상기 컴퓨팅 디바이스(520)로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답(Response) 데이터가 상기 서버(420)의 데이터베이스(408)로부터 획득한 상기 컴퓨팅 디바이스(520)의 디바이스 ID에 따른 상기 랜덤 인덱스에 대응하는 응답(Response) 데이터와 일치하는 경우 상기 컴퓨팅 디바이스(520)를 인증한다.That is, the authentication information handler 406 generates a certain range of index-challenge data strings in response to the PUF 512 registration request of the computing device 520 (FIG. 5) and transmits the index-challenge data sequence to the computing device 520, Response data string corresponding to the index-challenge data string of the specific range received from the computing device 520 and associating the index-response data string with the device ID of the computing device 520, Registers the PUF 512 of the computing device 520 by storing it in the database 408 of the server 420 and responds to the random index to the computing device 520 in response to the service request of the computing device 520 The response data corresponding to the random index received from the computing device 520 is transmitted to the server 520, (520) corresponding to the random index according to the device ID of the computing device (520) acquired from the database (408) of the computing device (420).

도 4에 도시된 클라우드 서버(420)에서의 동작 과정을 살펴보면, 패킷이 수신되면 패킷 파서(402)를 통해 데이터가 해석되고, 해석된 데이터는 인증 정보 핸들러(406)에서 처리된다. 필요에 따라 인증 정보 핸들러(406)는 인덱스-응답 테이블(410) 생성, 읽기, 쓰기 처리 등을 수행하고, 처리된 데이터는 패킷 생성기(404)를 통해 패킷으로 캡슐화되어 나간다.4, when the packet is received, data is analyzed through the packet parser 402, and the analyzed data is processed in the authentication information handler 406. [ If necessary, the authentication information handler 406 performs generation, reading, and writing of the index-response table 410, and the processed data is encapsulated as a packet through the packet generator 404.

한편, 도 5에 도시된 컴퓨팅 디바이스(520)의 클라우드 애플리케이션 수행부(500)는, 상기 클라우드 서버(420)에 디바이스 ID에 따른 PUF(512)의 등록을 요청하고, 상기 서버(420)로부터 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 PUF(512)의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버(420)로 전송하는 인증 핸들러(506), 상기 서버(420)로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기(502), 상기 서버(420)로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser)(504), 상기 서버(420)로부터 수신된 인덱스-챌린지 데이터 열을 저장하기 위한 인덱스-챌린지 테이블(508), 및 상기 인증 핸들러(506)로 데이터를 전송하거나 상기 인증 핸들러(506)로부터 데이터를 수신하고 상기 물리적 복제 방지 기능(PUF)(512)과 물리적으로 연결하기 위한 제1 물리적인 인터페이스(510)를 포함한다.Meanwhile, the cloud application execution unit 500 of the computing device 520 shown in FIG. 5 requests the cloud server 420 to register the PUF 512 according to the device ID, An authentication handler 506 for receiving the challenge data string and transmitting the response data string of the PUF 512 corresponding to the challenge data string in the form of an index-response data string to the server 420; A packet parser 504 for analyzing the packet data received from the server 420 and a packet parser 504 for receiving packet data from the index- (508) for receiving data from the authentication handler (506) and for sending data to the authentication handler (506) and for receiving data from the physical copy protection function (PU And a first physical interface 510 for physically connecting to the physical interface (F)

상기 물리적 복제 방지 기능(PUF)(512)은, 임의의 챌린지 데이터가 입력되면 물리적으로 복제가 불가능한 고유의 응답 데이터를 출력하는 코어 회로(514) 및 상기 코어 회로(514)로 데이터를 전송하거나 상기 코어 회로(514)로부터 데이터를 수신하고 상기 제1 물리적인 인터페이스(510)와 물리적으로 연결하기 위한 제2 물리적인 인터페이스(516)를 포함한다.The physical copy protection function (PUF) 512 includes a core circuit 514 for outputting unique response data that can not be physically copied when arbitrary challenge data is input, a core circuit 514 for transmitting data to the core circuit 514, And a second physical interface 516 for receiving data from the core circuit 514 and physically connecting to the first physical interface 510.

상기 인증 핸들러(506)는, 서버(420)에 컴퓨팅 디바이스(520)의 등록을 요청하고, 서버(420)에 클라우드 서비스를 요청하며, 인덱스-챌린지 테이블(508)의 생성, 읽기, 쓰기 등을 수행하고, PUF(512)로 챌린지 데이터를 송신하여 PUF(512)로부터 응답 데이터를 수신한다.The authentication handler 506 requests the server 420 to register the computing device 520 and requests the server 420 to provide a cloud service and generates the index-challenge table 508, And transmits the challenge data to the PUF 512 to receive the response data from the PUF 512. [

도 5에 도시된 컴퓨팅 디바이스(520)에서의 동작 과정을 살펴보면, 패킷이 들어오면 패킷 파서(504)를 통해 데이터가 해석되고, 해석된 데이터는 인증 핸들러(506)에서 처리된다.5, when a packet arrives, the data is analyzed through the packet parser 504, and the interpreted data is processed in the authentication handler 506. [

인증 핸들러(506)는 인덱스-챌린지 테이블(508)의 생성, 읽기, 쓰기 처리를 수행한다. 클라우드 애플리케이션 수행부(500)와 PUF(512) 사이에는 물리적인 연결로 이루어져 있어 별도의 물리적인 인터페이스(510, 516)가 필요하다. 제1 및 제2 물리적인 인터페이스(510, 516)를 통해 들여온 챌린지 데이터는 코어 회로(514)에서 응답 데이터를 생성하여 다시 제2 물리적인 인터페이스(516)를 통해 제1 물리적인 인터페이스(510)로 전송된다. 인증 핸들러(506)에서 처리된 데이터는 패킷 생성기(502)를 통해 패킷으로 캡슐화되어 나간다.The authentication handler 506 performs generation, read, and write processing of the index-challenge table 508. A separate physical interface 510 or 516 is required because the PUF 512 is physically connected between the cloud application execution unit 500 and the PUF 512. The challenge data imported through the first and second physical interfaces 510 and 516 is used to generate response data in the core circuit 514 and send the response data back to the first physical interface 510 via the second physical interface 516 . The data processed in the authentication handler 506 is encapsulated as a packet through the packet generator 502.

하기에 도 6 내지 도 9를 각각 참조하여, 인증 정보 등록 과정, 인증 정보 갱신 및 폐기 과정, 컴퓨팅 디바이스 인증 과정, 및 클라우드 서버 인증 과정에 대해 상세히 설명하기로 한다.The authentication information registration process, the authentication information update and revocation process, the computing device authentication process, and the cloud server authentication process will now be described in detail with reference to FIGS. 6 to 9, respectively.

우선 도 6에 도시된 인증 정보 등록 과정에 대해 설명하기로 한다.First, the authentication information registration process shown in FIG. 6 will be described.

도 6을 참조하면, 단계 S600에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 클라우드 서버(420)의 인증 정보 핸들러(406)에 디바이스 ID에 따른 PUF(512)의 등록을 요청한다.Referring to FIG. 6, in step S600, the authentication handler 506 of the computing device 520 requests the authentication information handler 406 of the cloud server 420 to register the PUF 512 according to the device ID.

단계 S602에서, 서버(420)의 인증 정보 핸들러(406)가, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)로 전송하고 상기 특정 범위의 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스(520)의 PUF(512)의 응답 데이터 열을 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)에 요청한 후 상기 챌린지 데이터 열을 폐기한다. 상기 인덱스-챌린지 데이터 열은 예를 들어, 인덱스의 수(N); 갱신일; 인덱스#1; 챌린지#1; 인덱스#2; 챌린지#2; 인덱스#3; 챌린지#3; ..., 인덱스#N; 챌린지#N의 형태를 포함할 수 있다. 상기에서 N은 1 이상의 정수이다.In step S602, the authentication information handler 406 of the server 420 generates a certain range of index-challenge data strings and sends them to the authentication handler 506 of the computing device 520, After requesting the authentication handler 506 of the computing device 520 for the response data string of the PUF 512 of the computing device 520 corresponding to the data string, discards the challenge data string. The index-challenge data stream may include, for example, the number of indices (N); Update date; Index # 1; Challenge # 1; Index # 2; Challenge # 2; Index # 3; Challenge # 3; ..., index #N; May include the form of challenge #N. N is an integer of 1 or more.

단계 S604 및 단계 S606에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 상기 서버(420)의 인증 정보 핸들러(406)로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블(508)에 저장한다.In step S604 and step S606, the authentication handler 506 of the computing device 520 receives from the authentication information handler 406 of the server 420 the number of indexes, the update date, the index-challenge data string And stores it in the index-challenge table 508.

단계 S608에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 상기 챌린지 데이터 열에 대응하는 상기 PUF(512)의 응답 데이터 열을 PUF 코어 회로(514)에 요청한다. 상기 챌린지 데이터 열은 챌린지#1; 챌린지#2; 챌린지#3; ..., 챌린지#N의 형태를 포함할 수 있다.In step S608, the authentication handler 506 of the computing device 520 requests the PUF core circuit 514 of the response data string of the PUF 512 corresponding to the challenge data string. The challenge data stream includes challenge # 1; Challenge # 2; Challenge # 3; ..., and challenge #N.

단계 S610에서, PUF 코어 회로(514)가 챌린지 데이터 열에 대응하는 응답 데이터 열을 인증 핸들러(506)로 전송한다. 상기 응답 데이터 열은 응답#1; 응답#2; 응답#3; ..., 응답#N의 형태를 포함할 수 있다.In step S610, the PUF core circuit 514 sends a response data string corresponding to the challenge data string to the authentication handler 506. [ The response data sequence includes response # 1; Response # 2; Response # 3; ..., < / RTI > response #N.

단계 S612에서, 인증 핸들러(506)는 서버(420)의 인증 정보 핸들러(406)로 응답 데이터 열을 전송한다. 상기 응답 데이터 열은 인덱스의 수(N); 인덱스#1; 응답#1; 인덱스#2; 응답#2; 인덱스#3; 응답#3; ..., 인덱스#N; 응답#N의 형태를 포함할 수 있다.In step S612, the authentication handler 506 sends the response data string to the authentication information handler 406 of the server 420. [ Wherein the response data sequence comprises a number of indices (N); Index # 1; Response # 1; Index # 2; Response # 2; Index # 3; Response # 3; ..., index #N; And may include the form of response #N.

단계 S614에서, 인증 정보 핸들러(406)가 인덱스-응답 데이터 열을 컴퓨팅 디바이스(520)의 디바이스 ID와 연관시켜 상기 서버(420)의 인증 정보 데이터베이스(408)에 인덱스-응답 테이블(410)로서 저장함으로써 상기 서버(420)가 상기 컴퓨팅 디바이스(520)의 PUF(512)를 상기 서버(420)에 등록한다.In step S614, the authentication information handler 406 associates the index-response data string with the device ID of the computing device 520 and stores it in the authentication information database 408 of the server 420 as the index-response table 410 So that the server 420 registers the PUF 512 of the computing device 520 with the server 420.

단계 S616에서, 서버(420)의 인증 정보 핸들러(406)가 컴퓨팅 디바이스(520)의 인증 핸들러(506)에 인증 정보 등록이 성공했음을 통지한다.In step S616, the authentication information handler 406 of the server 420 notifies the authentication handler 506 of the computing device 520 that authentication information registration succeeded.

도 7에 도시된 인증 정보 갱신 및 폐기 과정에 대해 설명하기로 한다.The authentication information update and discard process shown in FIG. 7 will be described.

도 7을 참조하면, 단계 S700에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 인덱스-챌린지 테이블(508)을 참조하여 인증 정보 갱신일을 체크하고, 단계 S702에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 인증 정보 갱신을 결정하며, 단계 S704에서 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 이전의 인덱스-챌린지 테이블(508)을 삭제하여 인덱스-챌린지 테이블(508)에 저장된 이전의 인증 정보를 삭제한다.7, in step S700, the authentication handler 506 of the computing device 520 checks the authentication information update date with reference to the index-challenge table 508, and in step S702, the authentication of the computing device 520 The authentication handler 506 of the computing device 520 deletes the previous index-challenge table 508 in step S704 and the previous handler 506 stored in the index-challenge table 508 Delete the authentication information.

단계 S706에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 디바이스 ID를 서버(420)의 인증 정보 핸들러(406)로 전송하면서 인증 정보 핸들러(406)에 인증 정보 갱신을 요청한다.The authentication handler 506 of the computing device 520 requests the authentication information handler 406 to update the authentication information while transmitting the device ID to the authentication information handler 406 of the server 420 in step S706.

단계 S708에서, 서버(420)의 인증 정보 핸들러(406)가 갱신일을 체크한다.In step S708, the authentication information handler 406 of the server 420 checks the update date.

단계 S710에서, 서버(420)의 인증 정보 핸들러(406)가 새로운 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 컴퓨팅 디바이스(520)의 인증 핸들러(506)로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스(520)의 PUF(512)의 응답 데이터 열을 상기 컴퓨팅 디바이스(520)에 요청한 후 상기 챌린지 데이터 열을 폐기한다. 상기 새로운 인덱스-챌린지 데이터 열은 인덱스의 수(N); 갱신일; 인덱스#1; 챌린지#1; 인덱스#2; 챌린지#2; 인덱스#3; 챌린지#3; ..., 인덱스#N; 챌린지#N의 형태를 포함할 수 있다.In step S710, the authentication information handler 406 of the server 420 generates a new specific range of index-challenge data string and sends it to the authentication handler 506 of the computing device 520 and sends the index-challenge data string corresponding to the index- Requesting the computing device 520 a response data string of the PUF 512 of the computing device 520 and discarding the challenge data string. The new index-challenge data stream comprises a number of indices (N); Update date; Index # 1; Challenge # 1; Index # 2; Challenge # 2; Index # 3; Challenge # 3; ..., index #N; May include the form of challenge #N.

단계 S712 및 단계 S714에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 상기 서버(420)의 인증 정보 핸들러(406)로부터 새로운 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블(508)에 저장한다.In step S712 and step S714 the authentication handler 506 of the computing device 520 receives from the authentication information handler 406 of the server 420 the number of indexes, And stores it in the index-challenge table 508.

단계 S716에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 상기 챌린지 데이터 열에 대응하는 상기 PUF(512)의 응답 데이터 열을 PUF 코어 회로(514)에 요청한다. 상기 챌린지 데이터 열은 챌린지#1; 챌린지#2; 챌린지#3; ..., 챌린지#N의 형태를 포함할 수 있다.In step S716, the authentication handler 506 of the computing device 520 requests the PUF core circuit 514 for the response data string of the PUF 512 corresponding to the challenge data string. The challenge data stream includes challenge # 1; Challenge # 2; Challenge # 3; ..., and challenge #N.

단계 S718에서, PUF 코어 회로(514)가 챌린지 데이터 열에 대응하는 응답 데이터 열을 인증 핸들러(506)로 전송한다. 상기 응답 데이터 열은 응답#1; 응답#2; 응답#3; ..., 응답#N의 형태를 포함할 수 있다.In step S718, the PUF core circuit 514 sends a response data string corresponding to the challenge data string to the authentication handler 506. [ The response data sequence includes response # 1; Response # 2; Response # 3; ..., < / RTI > response #N.

단계 S720에서, 인증 핸들러(506)는 서버(420)의 인증 정보 핸들러(406)로 응답 데이터 열을 전송한다. 상기 응답 데이터 열은 인덱스의 수(N); 인덱스#1; 응답#1; 인덱스#2; 응답#2; 인덱스#3; 응답#3; ..., 인덱스#N; 응답#N의 형태를 포함할 수 있다.In step S720, the authentication handler 506 sends the response data string to the authentication information handler 406 of the server 420. [ Wherein the response data sequence comprises a number of indices (N); Index # 1; Response # 1; Index # 2; Response # 2; Index # 3; Response # 3; ..., index #N; And may include the form of response #N.

단계 S722에서, 인증 정보 핸들러(406)가 인덱스-응답 데이터 열을 컴퓨팅 디바이스(520)의 디바이스 ID와 연관시켜 상기 서버(420)의 인증 정보 데이터베이스(408)의 인덱스-응답 테이블(410)에 저장함으로써 상기 서버(420)가 상기 컴퓨팅 디바이스(520)의 PUF(512)를 상기 서버(420)에 등록한다.In step S722, the authentication information handler 406 associates the index-response data string with the device ID of the computing device 520 and stores it in the index-response table 410 of the authentication information database 408 of the server 420 So that the server 420 registers the PUF 512 of the computing device 520 with the server 420.

단계 S724에서, 서버(420)의 인증 정보 핸들러(406)가 컴퓨팅 디바이스(520)의 인증 핸들러(506)에 인증 정보 갱신이 성공했음을 통지한다.In step S724, the authentication information handler 406 of the server 420 notifies the authentication handler 506 of the computing device 520 that authentication information update is successful.

도 8에 도시된 컴퓨팅 디바이스 인증 과정을 설명하기로 한다.The computing device authentication process shown in FIG. 8 will be described.

단계 S800에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 디바이스 ID를 서버(420)의 인증 정보 핸들러(406)로 전송하고 상기 서버(420)에 클라우드 서비스를 요청한다.In step S800, the authentication handler 506 of the computing device 520 sends the device ID to the authentication information handler 406 of the server 420 and requests the server 420 for a cloud service.

단계 S802에서, 서버(420)의 인증 정보 핸들러(406)가, 컴퓨팅 디바이스(520)의 인증 핸들러(506)에 랜덤 인덱스(랜덤 인덱스#X)에 대응하는 상기 컴퓨팅 디바이스(520)의 PUF(512)의 응답 데이터를 요청한다. 상기에서 X는 1과 N 사이에 있는 정수이다.The authentication information handler 406 of the server 420 sends a PUF 512 of the computing device 520 corresponding to the random index (random index #X) to the authentication handler 506 of the computing device 520 at step S802 Of the response data. In the above, X is an integer between 1 and N.

단계 S804 및 단계 S806에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 인덱스-챌린지 테이블(508)로부터 상기 랜덤 인덱스(랜덤 인덱스#X)에 대응하는 챌린지 데이터(챌린지#X)를 획득한다.In step S804 and step S806, the authentication handler 506 of the computing device 520 obtains challenge data (challenge #X) corresponding to the random index (random index #X) from the index-challenge table 508. [

단계 S808 및 단계 S810에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 상기 챌린지 데이터(챌린지#X)에 대응하는 응답 데이터(응답#X)를 상기 PUF 코어 회로(514)로부터 획득한다.In step S808 and step S810, the authentication handler 506 of the computing device 520 acquires from the PUF core circuit 514 the response data (response #X) corresponding to the challenge data (challenge #X).

단계 S812에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가 상기 응답 데이터(응답#X)를 랜덤 인덱스-응답 데이터 형태(인덱스#X; 응답#X)로 서버(420)의 인증 정보 핸들러(406)로 전송한다.In step S812, the authentication handler 506 of the computing device 520 sends the response data (response #X) to the authentication information handler (420) of the server 420 in the random index-response data type (index # 406, respectively.

단계 S814 및 단계 S816에서, 서버(420)의 인증 정보 핸들러(406)가, 컴퓨팅 디바이스(520)의 디바이스 ID에 따른 상기 랜덤 인덱스(인덱스#X)에 대한 응답 데이터(응답#X)를 인증 정보 데이터베이스(410)에 있는 인덱스-응답 테이블(410)로부터 획득한다.The authentication information handler 406 of the server 420 sends response data (response #X) to the random index (index #X) in accordance with the device ID of the computing device 520 to the authentication information handler 406 in step S814 and step S816, From the index-response table 410 in the database 410.

단계 S818에서, 서버(420)의 인증 정보 핸들러(406)가, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)로부터 수신된 응답 데이터와 상기 인덱스-응답 테이블(410)로부터 획득된 응답 데이터를 비교하고, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)로부터 수신된 응답 데이터와 상기 인덱스-응답 테이블(410)로부터 획득된 응답 데이터가 일치하는 경우, 상기 컴퓨팅 디바이스(520)를 인증한다.In step S818 the authentication information handler 406 of the server 420 compares the response data received from the authentication handler 506 of the computing device 520 with the response data obtained from the index- And if the response data received from the authentication handler 506 of the computing device 520 matches the response data obtained from the index-response table 410, the computing device 520 is authenticated.

단계 S820에서, 서버(420)의 인증 정보 핸들러(406)가 컴퓨팅 디바이스(520)의 인증 핸들러(506)에 클라우드 서비스 제공 가능 여부에 대해 통지한다.In step S820, the authentication information handler 406 of the server 420 notifies the authentication handler 506 of the computing device 520 about availability of the cloud service.

도 9를 참조하여, 클라우드 서버 인증 과정에 대해 설명하기로 한다.The cloud server authentication process will be described with reference to FIG.

단계 S900에서, 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 디바이스 ID와 랜덤 인덱스(디바이스 ID; 랜덤 인덱스#X)를 서버(420)의 인증 정보 핸들러(406)로 전송하면서 클라우드 서버 인증을 요청한다.In step S900, the authentication handler 506 of the computing device 520 sends the device ID and the random index (device ID; random index #X) to the authentication information handler 406 of the server 420, request.

단계 S902 및 단계 S904에서, 서버(420)의 인증 정보 핸들러(406)가, 상기 디바이스 ID와 연관된 랜덤 액세스에 대응하는 응답 데이터(응답#X)를 인덱스-응답 테이블(410)로부터 획득한다.In step S902 and step S904, the authentication information handler 406 of the server 420 acquires from the index-response table 410 the response data (response #X) corresponding to the random access associated with the device ID.

단계 S906에서, 인증 정보 핸들러(406)가 상기 랜덤 인덱스(인덱스#X)에 대응하는 응답 데이터인 인덱스-응답 데이터(인덱스#X; 응답#X)를 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)로 전송한다.In step S906, the authentication information handler 406 sends the index-response data (index #X; response #X), which is response data corresponding to the random index (index #X), to the authentication handler 506 ).

단계 S908 및 단계 S910에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 상기 랜덤 인덱스(인덱스#X)에 대응하는 챌린지 데이터(챌린지#X)를 인덱스-챌린지 테이블(508)로부터 획득한다.In steps S908 and S910, the authentication handler 506 of the computing device 520 obtains challenge data (challenge #X) corresponding to the random index (index #X) from the index-challenge table 508 .

단계 S912 및 단계 S914에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 상기 챌린지 데이터(챌린지#X)에 대응하는 응답 데이터(응답#X)를 PUF 코어 회로(514)로부터 획득한다.In step S912 and step S914, the authentication handler 506 of the computing device 520 acquires from the PUF core circuit 514 the response data (response #X) corresponding to the challenge data (challenge #X).

단계 S916에서, 상기 컴퓨팅 디바이스(520)의 인증 핸들러(506)가, 상기 서버(420)의 인증 정보 핸들러(406)로부터 수신된 응답 데이터와 상기 PUF 코어 회로(514)로부터 획득한 응답 데이터를 비교하여, 상기 서버(420)의 인증 정보 핸들러(406)로부터 수신된 응답 데이터와 상기 PUF 코어 회로(514)로부터 획득한 응답 데이터가 일치하는 경우 상기 서버(420)를 인증한다.The authentication handler 506 of the computing device 520 compares the response data received from the authentication information handler 406 of the server 420 with the response data obtained from the PUF core circuit 514 in step S916 And authenticates the server 420 when the response data received from the authentication information handler 406 of the server 420 and the response data obtained from the PUF core circuit 514 match.

본 발명의 일 실시예에서, 인증 요소는 컴퓨팅 디바이스(304, 520)의 디바이스 ID, 인덱스 및 여러 개의 응답 데이터이고, 서버(302, 420)의 데이터베이스(308, 408)에 저장되는 데이터는 컴퓨팅 디바이스(302, 520)의 디바이스 ID와 여러 개의 응답 데이터이다.In one embodiment of the invention, the authentication element is a device ID, an index and a number of response data of the computing device 304, 520, and the data stored in the database 308, 408 of the server 302, (302, 520) and a plurality of response data.

본 발명의 일 실시예에서, 인증 방법은 인증을 위해 몇 번째 응답을 요청했는지를 확인하는 것에 기반하는 데, 응답 데이터의 순서를 나타내는 랜덤 인덱스에 대응하는 응답들, 즉 컴퓨팅 디바이스(302, 520)의 PUF(314, 512)로부터 획득되는 랜덤 인덱스에 대응하는 응답 데이터와 서버(302, 420)에 저장된 상기 랜덤 인덱스에 대응하는 응답 데이터가 일치하는 지를 판단함으로써 수행된다.In one embodiment of the present invention, the authentication method is based on ascertaining how many responses are requested for authentication, and the responses corresponding to the random indices indicating the order of the response data, i.e., the computing device (302, 520) By comparing whether the response data corresponding to the random index obtained from the PUFs 314 and 512 of the server 302 or 420 matches the response data corresponding to the random index stored in the server 302 or 420.

상기한 바와 같이, 챌린지-응답 데이터와 관련된 PUF를 보유하고 있지 않은 컴퓨팅 디바이스라면, 상기 디바이스 ID와 연관된 서비스를 제공받을 수 없고, 물리적인 패스워드 생성으로 패스워드의 복제가 불가능하도록 함으로써, 사적인 멀티미디어 데이터와 같은 프라이버시 관련 정보와, 공인 인증 정보와 같은 경제 정보 등의 유출을 방지할 수 있다.As described above, in the case of a computing device that does not have a PUF associated with the challenge-response data, the service associated with the device ID can not be provided, and the password can not be copied by generating a physical password. It is possible to prevent leakage of such privacy-related information and economic information such as authorized authentication information.

그에 따라, 스마트폰과 같은 휴대용 컴퓨팅 디바이스나 개인용 PC 등의 고정형 컴퓨팅 디바이스에 저장된 패스워드의 유출 가능성을 제거할 수 있으며, OTP와 유사하게 매번 변경되는 패스워드의 구현이 가능하다. 또한, 허술한 비밀번호 설정으로 인해 발생하는 보안 문제가 억제될 수 있다.Accordingly, it is possible to eliminate the possibility of password leakage stored in a fixed computing device such as a portable computing device such as a smart phone or a personal PC, and it is possible to implement a password that is changed every time similar to an OTP. In addition, a security problem caused by a poor password setting can be suppressed.

한편, 향상된 보안을 제공하기 위하여, 상기 서버(302, 420)가 상기 컴퓨팅 디바이스(304, 520)에 랜덤 인덱스에 대응하는 PUF(314, 512)의 응답(Response) 데이터를 요청하는 단계 및 상기 컴퓨팅 디바이스(304, 520)가 상기 서버(302, 420)에 해당 인덱스에 대응하는 PUF(314, 512)의 응답(Response) 데이터를 전송하는 단계는 보안 소켓 계층(Secure Socket Layer, SSL) 채널을 통해 수행될 수 있다.Meanwhile, in order to provide enhanced security, the server 302, 420 requests the computing device 304, 520 for the response data of the PUF 314, 512 corresponding to the random index, The step of the devices 304 and 520 transmitting the response data of the PUFs 314 and 512 corresponding to the indexes to the servers 302 and 420 may be performed through a Secure Socket Layer .

아울러, 클라우드 서버(302, 420)를 통해 제공되는 서비스는 IT 자원을 용이하게 저장 및 열람할 수 있도록 하는 복수의 서비스를 포함할 수 있다. 예를 들어, 상기 서비스는 멀티미디어 데이터의 전송에 관한 것일 수 있고, 계좌 정보와 같이 온라인 금융 거래에 관한 정보의 전송 및 저장에 관한 것일 수도 있다. In addition, the services provided through the cloud servers 302 and 420 may include a plurality of services that enable easy storage and browsing of IT resources. For example, the service may be related to transmission of multimedia data, or may involve transmission and storage of information relating to online financial transactions, such as account information.

상기와 같이, 본 발명의 일 실시예에 의한 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 부가인증장치에 기반한 클라우드 시스템에 의하면, 컴퓨팅 디바이스(304, 520)에 내장되어 있는 PUF(314, 512)와 같은 부가인증장치의 전체 정보가 서버(302, 420)에 저장되는 것이 아니라, 서버(302, 420)에서 특정 범위의 인덱스와 챌린지 데이터 열을 생성하여 컴퓨팅 디바이스(304, 520)로 전송한 후 챌린지 정보를 폐기함으로써 컴퓨팅 디바이스(304, 520)에 내장되어 있는 부가인증장치의 전체 정보가 서버에 저장되는 것이 아니라 부가인증장치(314, 512)의 일부 정보인 특정범위의 응답 데이터만이 서버(302, 420)에 저장되기 때문에, 서버(302, 420)의 데이터베이스(308, 408)에 저장되어 있는 응답 데이터가 유출되더라도, 해커는 컴퓨팅 디바이스(304, 520)의 부가인증장치(314, 512)의 챌린지-응답 정보를 알 수 없어 컴퓨팅 디바이스(304, 520)의 부가인증장치(314, 512)의 정보가 안전하게 보관될 수 있다.As described above, according to the cloud system based on the authentication method of the cloud system and the additional authentication device based on the additional authentication device according to the embodiment of the present invention, the PUFs 314 and 512 embedded in the computing devices 304 and 520, The server 302 or 420 generates a specific range of indexes and challenge data strings and transmits the indexes and challenge data strings to the computing devices 304 and 520 The entire information of the additional authentication device built in the computing devices 304 and 520 is not stored in the server but only a specific range of response data, which is a part of the additional authentication devices 314 and 512, Even if response data stored in the databases 308 and 408 of the servers 302 and 420 are leaked out, the hacker can not access the additional authentication device 314 of the computing devices 304 and 520 Response information of the computing devices 304 and 520 can not be known and information of the additional authentication devices 314 and 512 of the computing devices 304 and 520 can be safely stored.

서버(302, 420)의 데이터베이스(308, 408)가 유출되는 경우, 다시 상기 특정 범위 이외의 다른 범위의 인덱스와 응답 데이터 열을 등록하는 과정을 거쳐 서버(302, 420)의 데이터베이스(308, 408)를 갱신하면, 해커가 이전에 해킹한 서버의 데이터베이스를 가지고 있다고 하더라도, 서버 내의 개인정보 및 데이터는 안전하게 지켜질 수 있다.When the databases 308 and 408 of the servers 302 and 420 are leaked, the indexes and the response data strings of the ranges other than the specific range are registered again and the databases 308 and 408 of the servers 302 and 420 ), Even if the hacker has a database of previously hacked servers, personal information and data within the server can be safely kept.

또한, 본 발명의 일 실시예에 의하면, 매번 다른 인덱스와 응답이 전달되므로 데이터 유출에 대한 위험성을 극도로 낮출 수 있다.In addition, according to an embodiment of the present invention, since the different indexes and responses are transmitted each time, the risk of data leakage can be extremely reduced.

상기에서는 본 발명을 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the following claims. It will be understood.

100, 200, 302, 420 : 클라우드 서버
102-1 내지 102-4, 202, 304, 520 : 컴퓨팅 디바이스
300 : 클라우드 시스템 308 : 서버 데이터베이스
310 : 클라우드 애플리케이션 수행부 312 : 인덱스-챌린지 테이블
314, 512 : PUF 400 :인증 관리부
402, 504 : 패킷 파서 404, 502 : 패킷 생성기
406 : 인증 정보 핸들러 408 : 인증 정보 데이터베이스
410 : 인덱스-응답 테이블 506 : 인증 핸들러
508 : 인덱스-챌린지 테이블 510 : 제1 물리적인 인터페이스
514 : PUF 코어 회로 516 : 제2 물리적인 인터페이스 100, 200, 302, 420: Cloud server
102-1 through 102-4, 202, 304, 520: computing devices
300: Cloud system 308: Server database
310: Cloud Application Performer 312: Index-Challenge Table
314, 512: PUF 400: Authentication Manager
402, 504: a packet parser 404, 502: a packet generator
406: Authentication information handler 408: Authentication information database
410: Index-response table 506: Authentication handler
508: Index-Challenge Table 510: First Physical Interface
514: PUF core circuit 516: second physical interface

Claims (18)

(a) 컴퓨팅 디바이스의 부가인증장치를 서버에 등록하는 단계; 및
(b) 상기 서버가, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스를 인증하는 단계를 포함하고,
상기 단계 (a)에서, 상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 서버가 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스가 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하며 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하고,
상기 단계 (b)에서, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 서버가 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증하며,
상기 단계 (a)에서, 상기 서버는, 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송한 후 상기 챌린지 데이터 열을 폐기하고,
상기 단계 (a)는,
(a-1) 상기 컴퓨팅 디바이스가, 상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하는 단계;
(a-2) 상기 서버가, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 단계;
(a-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 단계;
(a-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 단계; 및
(a-5) 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하는 단계를 포함하는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.(a) registering a supplementary authentication device of a computing device with a server; And
(b) the server authenticating the computing device in response to a service request of the computing device,
Wherein, in step (a), in response to a request to register a supplementary authentication device of the computing device, the server generates and transmits a certain range of index-challenge data strings to the computing device, Response data string of the additional authentication device to the server in the form of an index-response data string, and the server stores the index-response data string in association with the ID of the computing device in the database of the server, Registering the additional authentication device of the computing device with the server,
Wherein, in step (b), in response to a service request of the computing device, the server requests the computing device of the response data of the supplementary authentication device corresponding to the random index, and responds to the random index received from the computing device Authenticate the computing device if the response data corresponding to the random index matches the response data corresponding to the random index according to the ID of the computing device stored in the database of the server,
Wherein in the step (a), the server generates the index-challenge data string of the specific range, transmits the index-challenge data string to the computing device, discards the challenge data string,
The step (a)
(a-1) the computing device requesting the server to register the additional authentication device according to the device ID;
(a-2) the server generates a certain range of index-challenge data strings and transmits them to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index-challenge data string to the computing device Discarding the challenge data string after the request;
(a-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns, which are request parameters from the server, and storing them in an index-challenge table;
(a-4) the computing device acquiring a response data string of the additional authentication device corresponding to the challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And
(a-5) registering, by the server, the additional authentication device of the computing device with the server by storing the index-response data string in association with the ID of the computing device in the database of the server , A method of authentication of a cloud system based on an additional authentication device. 삭제delete 삭제delete 청구항 1에 있어서,
상기 단계 (b)는,
(b-1) 상기 컴퓨팅 디바이스가 디바이스 ID를 상기 서버로 전송하고 상기 서버에 서비스를 요청하는 단계;
(b-2) 상기 서버가, 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터를 요청하는 단계;
(b-3) 상기 컴퓨팅 디바이스가, 상기 인덱스-챌린지 테이블로부터 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 획득하는 단계;
(b-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 단계;
(b-5) 상기 컴퓨팅 디바이스가, 상기 응답 데이터를 랜덤 인덱스-응답 데이터 형태로 상기 서버로 전송하는 단계;
(b-6) 상기 서버가, 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하는 단계; 및
(b-7) 상기 서버가, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터를 비교하고, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터가 일치하는 경우, 상기 컴퓨팅 디바이스를 인증하는 단계를 포함하는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.The method according to claim 1,
The step (b)
(b-1) the computing device sending a device ID to the server and requesting a service from the server;
(b-2) the server requesting the computing device for the response data of the additional authentication device of the computing device corresponding to the random index;
(b-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;
(b-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device;
(b-5) the computing device sending the response data to the server in the form of random index-response data;
(b-6) the server obtaining response data corresponding to the random index according to the ID of the computing device from the database; And
(b-7) The server compares response data received from the computing device with response data obtained from the database, and when the response data received from the computing device and the response data obtained from the database match, And authenticating the computing device based on the additional authentication device. 청구항 1에 있어서,
상기 부가인증장치는 물리적 복제 방지 기능(Physically Unclonable Funtion, PUF)을 포함하는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.The method according to claim 1,
Wherein the additional authentication device includes a physically unclonable function (PUF). 청구항 1에 있어서,
상기 인덱스는 상기 응답 데이터 열에서 해당 응답 데이터의 순서를 나타내는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.The method according to claim 1,
Wherein the index indicates the order of the corresponding response data in the response data string. 청구항 4에 있어서,
(c) 상기 컴퓨팅 디바이스의 인증 정보를 갱신 및 폐기하는 단계를 더 포함하고,
상기 단계 (c)는,
(c-1) 상기 컴퓨팅 디바이스가, 디바이스 ID를 상기 서버로 전송하면서 상기 서버에 인증 정보 갱신을 요청하고 상기 컴퓨팅 디바이스의 인덱스-챌린지 테이블에 저장된 인증 정보를 삭제하는 단계;
(c-2) 상기 서버가, 새로운 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 단계;
(c-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 단계;
(c-4) 상기 컴퓨팅 디바이스가, 상기 새로운 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 단계; 및
(c-5) 상기 서버가 상기 컴퓨팅 디바이스로부터 수신된 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장하는 단계를 포함하는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.The method of claim 4,
(c) updating and discarding the authentication information of the computing device,
The step (c)
(c-1) the computing device requesting the server to update the authentication information while transmitting the device ID to the server, and deleting the authentication information stored in the index-challenge table of the computing device;
(c-2) the server generates and transmits a new specific range of index-challenge data string to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index- And discarding the challenge data string after requesting the challenge data string;
(c-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server and storing them in an index-challenge table;
(c-4) the computing device acquiring a response data string of the additional authentication device corresponding to the new challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And
(c-5) associating the index-response data sequence received from the computing device with the ID of the computing device and storing the index-response data sequence in the database of the server, wherein the authentication method of the cloud system . 청구항 4에 있어서,
(d) 상기 서버를 인증하는 단계를 더 포함하고,
상기 단계 (d)는,
(d-1) 상기 컴퓨팅 디바이스가, 디바이스 ID와 랜덤 인덱스를 상기 서버로 전송하면서 상기 서버 인증을 요청하는 단계;
(d-2) 상기 서버가, 상기 디바이스 ID와 연관된 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하여 랜덤 인덱스-응답 데이터를 상기 컴퓨팅 디바이스로 전송하는 단계;
(d-3) 상기 컴퓨팅 디바이스가, 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 상기 인덱스-챌린지 테이블로부터 획득하는 단계;
(d-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 단계; 및
(d-5) 상기 컴퓨팅 디바이스가 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터를 비교하여, 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터가 일치하는 경우 상기 서버를 인증하는 단계를 포함하는, 부가인증장치에 기반한 클라우드 시스템의 인증 방법.The method of claim 4,
(d) authenticating the server,
The step (d)
(d-1) requesting the server authentication while the computing device transmits a device ID and a random index to the server;
(d-2) the server obtaining response data corresponding to a random index associated with the device ID from the database and transmitting random index-response data to the computing device;
(d-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;
(d-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device; And
(d-5) The computing device compares the response data received from the server with the response data obtained from the additional authentication device, and if the response data received from the server and the response data acquired from the additional authentication device match And if so, authenticating the server. 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하고, 상기 서버로부터 특정 범위의 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는, 컴퓨팅 디바이스; 및
상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스로부터 상기 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 컴퓨팅 디바이스의 부가인증장치를 등록하는, 서버를 포함하고,
상기 서버는, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증하며,
상기 서버는, 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송한 후 상기 챌린지 데이터 열을 폐기하고,
상기 컴퓨팅 디바이스와 상기 서버는, (a) 상기 컴퓨팅 디바이스의 부가인증장치를 서버에 등록하는 동작, 및 (b) 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스를 인증하는 동작을 수행하며,
상기 동작 (a)는,
(a-1) 상기 컴퓨팅 디바이스가, 상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하는 동작;
(a-2) 상기 서버가, 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 동작;
(a-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 수신하여 인덱스-챌린지 테이블에 저장하는 동작;
(a-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 동작; 및
(a-5) 상기 서버가 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 서버가 상기 컴퓨팅 디바이스의 부가인증장치를 상기 서버에 등록하는 동작을 포함하는, 부가인증장치에 기반한 클라우드 시스템.Requesting the server to register a supplementary authentication apparatus according to the device ID, receiving a specific range of index-challenge data strings from the server, and storing the response data string of the additional authentication apparatus corresponding to the challenge data string in the index- To the server in the form of a message; And
Response data string from the computing device in response to the additional authentication device registration request of the computing device to generate and transmit the index-challenge data string of the specific range to the computing device, receive the index-response data string from the computing device, And registering the additional authentication device of the computing device by storing the row in association with the ID of the computing device in the database of the server,
Wherein the server requests response data of a supplementary authentication apparatus corresponding to a random index to the computing device in response to a service request of the computing device and transmits response data corresponding to the random index received from the computing device to the server Authenticates the computing device if it matches the response data corresponding to the random index according to the ID of the computing device stored in the database,
The server generates the index-challenge data string of the specific range, transmits the index-challenge data string to the computing device, discards the challenge data string,
Wherein the computing device and the server perform the operations of: (a) registering the additional authentication device of the computing device with the server; and (b) authenticating the computing device in response to the service request of the computing device,
The operation (a)
(a-1) the computing device requesting the server to register the additional authentication device according to the device ID;
(a-2) the server generates a certain range of index-challenge data strings and transmits them to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index-challenge data string to the computing device Discarding the challenge data string after the request;
(a-3) receiving, by the computing device, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server and storing them in an index-challenge table;
(a-4) the computing device acquiring a response data string of the additional authentication device corresponding to the challenge data string from the supplementary authentication device and transmitting the response data string to the server in the form of an index-response data string; And
(a-5) registering, by the server, the additional authentication device of the computing device with the server by storing the index-response data string in association with the ID of the computing device in the database of the server , A cloud system based on an additional authentication device. 삭제delete 삭제delete 청구항 9에 있어서,
상기 동작 (b)는,
(b-1) 상기 컴퓨팅 디바이스가 디바이스 ID를 상기 서버로 전송하고 상기 서버에 서비스를 요청하는 동작;
(b-2) 상기 서버가, 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터를 요청하는 동작;
(b-3) 상기 컴퓨팅 디바이스가, 상기 인덱스-챌린지 테이블로부터 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 획득하는 동작;
(b-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 동작;
(b-5) 상기 컴퓨팅 디바이스가, 상기 응답 데이터를 랜덤 인덱스-응답 데이터 형태로 상기 서버로 전송하는 동작;
(b-6) 상기 서버가, 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대한 응답 데이터를 상기 데이터베이스로부터 획득하는 동작; 및
(b-7) 상기 서버가, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득된 응답 데이터를 비교하고, 상기 컴퓨팅 디바이스로부터 수신된 응답 데이터와 상기 데이터베이스로부터 획득한 응답 데이터가 일치하는 경우, 상기 컴퓨팅 디바이스를 인증하는 동작을 포함하는, 부가인증장치에 기반한 클라우드 시스템.The method of claim 9,
The operation (b)
(b-1) the computing device sending a device ID to the server and requesting a service from the server;
(b-2) the server requesting the computing device for the response data of the additional authentication device of the computing device corresponding to the random index;
(b-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;
(b-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device;
(b-5) the computing device sending the response data to the server in the form of random index-response data;
(b-6) the server obtaining response data for the random index according to the ID of the computing device from the database; And
(b-7) The server compares the response data received from the computing device with the response data obtained from the database, and if the response data received from the computing device and the response data acquired from the database match, The method comprising: authenticating the computing device. 청구항 9에 있어서,
상기 부가인증장치는 물리적 복제 방지 기능(Physically Unclonable Funtion, PUF)을 포함하는, 부가인증장치에 기반한 클라우드 시스템.The method of claim 9,
The additional authentication device includes a physically unclonable function (PUF). 청구항 9에 있어서,
상기 인덱스는 상기 응답 데이터 열에서 해당 응답 데이터의 순서를 나타내는, 부가인증장치에 기반한 클라우드 시스템.The method of claim 9,
Wherein the index indicates the order of the corresponding response data in the response data string. 청구항 12에 있어서,
상기 컴퓨팅 디바이스와 상기 서버는, (c) 상기 컴퓨팅 디바이스의 인증 정보를 갱신 및 폐기하는 동작을 더 수행하고,
상기 동작 (c)는,
(c-1) 상기 컴퓨팅 디바이스가, 디바이스 ID를 상기 서버로 전송하면서 상기 서버에 인증 정보 갱신을 요청하고 상기 컴퓨팅 디바이스의 인덱스-챌린지 테이블에 저장된 인증 정보를 삭제하는 동작;
(c-2) 상기 서버가, 새로운 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고 상기 인덱스-챌린지 데이터 열에 대응하는 상기 컴퓨팅 디바이스의 부가인증장치의 응답 데이터 열을 상기 컴퓨팅 디바이스에 요청한 후 상기 챌린지 데이터 열을 폐기하는 동작,
(c-3) 상기 컴퓨팅 디바이스가, 상기 서버로부터 요청 파라미터인 인덱스의 수, 갱신일, 인덱스-챌린지 데이터 열을 인덱스-챌린지 테이블에 저장하는 동작;
(c-4) 상기 컴퓨팅 디바이스가, 상기 새로운 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 상기 부가인증장치로부터 획득하여 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는 동작; 및
(c-5) 상기 서버가 상기 컴퓨팅 디바이스로부터 수신된 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장하는 동작을 포함하는, 부가인증장치에 기반한 클라우드 시스템.The method of claim 12,
Wherein the computing device and the server further perform: (c) updating and discarding authentication information of the computing device,
The operation (c)
(c-1) the computing device requesting the server to update the authentication information while transmitting the device ID to the server, and deleting the authentication information stored in the index-challenge table of the computing device;
(c-2) the server generates and transmits a new specific range of index-challenge data string to the computing device, and sends a response data string of the additional authentication device of the computing device corresponding to the index- And discarding the challenge data string after requesting,
(c-3) storing, in the index-challenge table, the number of indexes, update dates, and index-challenge data columns that are request parameters from the server;
(c-4) the computing device acquires a response data string of the additional authentication device corresponding to the new challenge data string from the supplementary authentication device and transmits the response data string to the server in the form of an index-response data string; And
(c-5) associating an index-response data sequence received from the computing device with the ID of the computing device and storing the index-response data sequence in a database of the server. 청구항 12에 있어서,
상기 컴퓨팅 디바이스와 상기 서버는, (d) 상기 서버를 인증하는 동작을 더 수행하고,
상기 동작 (d)는,
(d-1) 상기 컴퓨팅 디바이스가, 디바이스 ID와 랜덤 인덱스를 상기 서버로 전송하면서 상기 서버 인증을 요청하는 동작;
(d-2) 상기 서버가, 상기 디바이스 ID와 연관된 랜덤 인덱스에 대응하는 응답 데이터를 상기 데이터베이스로부터 획득하여 랜덤 인덱스-응답 데이터를 상기 컴퓨팅 디바이스로 전송하는 동작;
(d-3) 상기 컴퓨팅 디바이스가, 상기 랜덤 인덱스에 대응하는 챌린지 데이터를 상기 인덱스-챌린지 테이블로부터 획득하는 동작;
(d-4) 상기 컴퓨팅 디바이스가, 상기 챌린지 데이터에 대응하는 응답 데이터를 상기 부가인증장치로부터 획득하는 동작; 및
(d-5) 상기 컴퓨팅 디바이스가 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터를 비교하여, 상기 서버로부터 수신된 응답 데이터와 상기 부가인증장치로부터 획득한 응답 데이터가 일치하는 경우 상기 서버를 인증하는 동작을 포함하는, 부가인증장치에 기반한 클라우드 시스템.The method of claim 12,
Wherein the computing device and the server further perform: (d) authenticating the server,
The operation (d)
(d-1) the computing device requesting the server authentication while transmitting a device ID and a random index to the server;
(d-2) the server obtaining response data corresponding to a random index associated with the device ID from the database and sending random index-response data to the computing device;
(d-3) the computing device obtaining challenge data corresponding to the random index from the index-challenge table;
(d-4) the computing device acquiring response data corresponding to the challenge data from the supplemental authentication device; And
(d-5) The computing device compares the response data received from the server with the response data obtained from the additional authentication device, and if the response data received from the server and the response data acquired from the additional authentication device match And if so, authenticating the server. 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하고, 상기 서버로부터 특정 범위의 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는, 컴퓨팅 디바이스; 및
상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스로부터 상기 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 컴퓨팅 디바이스의 부가인증장치를 등록하는, 서버를 포함하고,
상기 서버는, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터가 상기 서버의 데이터베이스에 저장된 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터와 일치하는 경우 상기 컴퓨팅 디바이스를 인증하며,
상기 서버는, 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송한 후 상기 챌린지 데이터 열을 폐기하고,
상기 컴퓨팅 디바이스는,
클라우드 애플리케이션 수행부; 및
물리적 복제 방지 기능(PUF)을 포함하며,
상기 클라우드 애플리케이션 수행부는,
상기 서버에 디바이스 ID에 따른 부가인증장치의 등록을 요청하고, 상기 서버로부터 특정 범위의 인덱스-챌린지 데이터 열을 수신하며, 상기 챌린지 데이터 열에 대응하는 상기 부가인증장치의 응답 데이터 열을 인덱스-응답 데이터 열의 형태로 상기 서버로 전송하는, 인증 핸들러;
상기 서버로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기;
상기 서버로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser);
상기 서버로부터 수신된 특정 범위의 인덱스-챌린지 데이터 열을 저장하기 위한 인덱스-챌린지 테이블; 및
상기 인증 핸들러로 데이터를 전송하거나 상기 인증 핸들러로부터 데이터를 수신하고 상기 물리적 복제 방지 기능(PUF)과 물리적으로 연결하기 위한 제1 물리적인 인터페이스를 포함하며,
상기 물리적 복제 방지 기능(PUF)은,
임의의 챌린지 데이터가 입력되면 물리적으로 복제가 불가능한 고유의 응답 데이터를 출력하는 코어 회로; 및
상기 코어 회로로 데이터를 전송하거나 상기 코어 회로로부터 데이터를 수신하고 상기 제1 물리적인 인터페이스와 물리적으로 연결하기 위한 제2 물리적인 인터페이스를 포함하는, 부가인증장치에 기반한 클라우드 시스템.Requesting the server to register a supplementary authentication apparatus according to the device ID, receiving a specific range of index-challenge data strings from the server, and storing the response data string of the additional authentication apparatus corresponding to the challenge data string in the index- To the server in the form of a message; And
Response data string from the computing device in response to the additional authentication device registration request of the computing device to generate and transmit the index-challenge data string of the specific range to the computing device, receive the index-response data string from the computing device, And registering the additional authentication device of the computing device by storing the row in association with the ID of the computing device in the database of the server,
Wherein the server requests response data of a supplementary authentication apparatus corresponding to a random index to the computing device in response to a service request of the computing device and transmits response data corresponding to the random index received from the computing device to the server Authenticates the computing device if it matches the response data corresponding to the random index according to the ID of the computing device stored in the database,
The server generates the index-challenge data string of the specific range, transmits the index-challenge data string to the computing device, discards the challenge data string,
The computing device includes:
A cloud application execution unit; And
Includes physical copy protection (PUF)
The cloud application execution unit,
Requesting the server to register a supplementary authentication apparatus according to a device ID, receiving a specific range of index-challenge data strings from the server, and transmitting the response data string of the supplementary authentication apparatus corresponding to the challenge data string to index- An authentication handler for transmitting to the server in the form of a column;
A packet generator for generating packet data by encapsulating data to be transmitted to the server;
A packet parser for analyzing packet data received from the server;
An index-challenge table for storing a specific range of index-challenge data columns received from the server; And
A first physical interface for transmitting data to or receiving data from the authentication handler and for physically connecting to the physical copy protection function (PUF)
The physical copy protection function (PUF)
A core circuit for outputting unique response data which can not be physically copied when arbitrary challenge data is input; And
And a second physical interface for transmitting data to, or receiving data from, the core circuit and physically coupling the first physical interface to the core circuit. 청구항 17에 있어서,
상기 서버는,
인증 관리부; 및 데이터베이스를 포함하고,
상기 인증 관리부는,
상기 컴퓨팅 디바이스의 부가인증장치 등록 요청에 응답하여 상기 특정 범위의 인덱스-챌린지 데이터 열을 생성하여 상기 컴퓨팅 디바이스로 전송하고, 상기 컴퓨팅 디바이스로부터 수신된 상기 인덱스-응답 데이터 열을 수신하며, 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 상기 서버의 데이터베이스에 저장함으로써 상기 컴퓨팅 디바이스의 부가인증장치를 등록하고, 상기 컴퓨팅 디바이스의 서비스 요청에 응답하여 상기 컴퓨팅 디바이스에 랜덤 인덱스에 대응하는 부가인증장치의 응답 데이터를 요청하고, 상기 컴퓨팅 디바이스로부터 수신되는 상기 랜덤 인덱스에 대응하는 응답 데이터와 상기 서버의 데이터베이스로부터 획득한 상기 컴퓨팅 디바이스의 ID에 따른 상기 랜덤 인덱스에 대응하는 응답 데이터가 일치하는 경우 상기 컴퓨팅 디바이스를 인증하는, 인증 정보 핸들러,
상기 컴퓨팅 디바이스로 전송할 데이터를 캡슐화하여 패킷 데이터를 생성하는 패킷 생성기; 및
상기 컴퓨팅 디바이스로부터 수신된 패킷 데이터를 해석하기 위한 패킷 파서(parser)를 포함하고,
상기 데이터베이스는, 상기 컴퓨팅 디바이스로부터 수신된 상기 인덱스-응답 데이터 열을 상기 컴퓨팅 디바이스의 ID와 연관시켜 저장하는 인덱스-응답 테이블을 포함하는, 부가인증장치에 기반한 클라우드 시스템.18. The method of claim 17,
The server comprises:
An authentication management unit; And a database,
The authentication management unit,
Response data string received from the computing device in response to the additional authentication device registration request of the computing device, generating the index-challenge data string of the specific range and transmitting the index-challenge data string to the computing device, Registering a supplementary authentication device of the computing device by storing a response data string in association with the ID of the computing device in the database of the server, and in response to the service request of the computing device, Requesting response data corresponding to the random index corresponding to the random index received from the computing device and response data corresponding to the random index according to the ID of the computing device acquired from the database of the server, The authentication information handler authenticating the computing device,
A packet generator for encapsulating data to be transmitted to the computing device to generate packet data; And
A packet parser for parsing packet data received from the computing device,
Wherein the database comprises an index-response table that stores the index-response data sequence received from the computing device in association with an ID of the computing device.
KR1020160074297A 2015-10-30 2016-06-15 Method for authentication of cloud system based on additional authentication device and cloud system therefor KR101811285B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150151856 2015-10-30
KR20150151856 2015-10-30

Publications (2)

Publication Number Publication Date
KR20170051164A KR20170051164A (en) 2017-05-11
KR101811285B1 true KR101811285B1 (en) 2017-12-22

Family

ID=58741899

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160074297A KR101811285B1 (en) 2015-10-30 2016-06-15 Method for authentication of cloud system based on additional authentication device and cloud system therefor

Country Status (1)

Country Link
KR (1) KR101811285B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102477886B1 (en) * 2020-10-28 2022-12-15 주식회사 유앤아이씨 Retransmission preventing system using security code table and authentication identification code

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153722A1 (en) * 2008-12-11 2010-06-17 International Business Machines Corporation Method and system to prove identity of owner of an avatar in virtual world
WO2015116288A2 (en) * 2013-11-10 2015-08-06 Sypris Electronics, Llc Authenticatable device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153722A1 (en) * 2008-12-11 2010-06-17 International Business Machines Corporation Method and system to prove identity of owner of an avatar in virtual world
WO2015116288A2 (en) * 2013-11-10 2015-08-06 Sypris Electronics, Llc Authenticatable device

Also Published As

Publication number Publication date
KR20170051164A (en) 2017-05-11

Similar Documents

Publication Publication Date Title
US11665006B2 (en) User authentication with self-signed certificate and identity verification
US20220182365A1 (en) Techniques for shared private data objects in a trusted execution environment
CN110915183B (en) Block chain authentication via hard/soft token validation
US8595507B2 (en) Client-based authentication
US10541804B2 (en) Techniques for key provisioning in a trusted execution environment
EP3921991A1 (en) System and method for hardening security between web services using protected forwarded access tokens
CN110521182B (en) Method and system for protocol level identity mapping
CN110213223B (en) Service management method, device, system, computer equipment and storage medium
CN115021991A (en) Single sign-on for unmanaged mobile devices
US9578502B2 (en) Device authentication using inter-person message metadata
US20230370265A1 (en) Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control
US9231943B2 (en) Client-based authentication
JP2017045462A (en) System and method for authenticating user by using contact list
CA3152810A1 (en) Connecting web publisher inventory to programmatic exchanges without third-party cookies
CN111147235B (en) Object access method and device, electronic equipment and machine-readable storage medium
US10944578B2 (en) Identity verification
KR101811285B1 (en) Method for authentication of cloud system based on additional authentication device and cloud system therefor
CN111355583B (en) Service providing system, method, device, electronic equipment and storage medium
US11539711B1 (en) Content integrity processing on browser applications
US11275867B1 (en) Content integrity processing
US20240104229A1 (en) Verifiable attribute maps
US20240114012A1 (en) Zero-trust distributed data sharing
CN110995437B (en) ETC system-based user information input method, device, equipment and storage medium
WO2023003699A1 (en) Publisher permissioned activation in cookieless authentication environment
CN115664791A (en) Associated application authentication access method based on dynamic certificate and application thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right