KR101943183B1 - 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치 - Google Patents

사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치 Download PDF

Info

Publication number
KR101943183B1
KR101943183B1 KR1020170011178A KR20170011178A KR101943183B1 KR 101943183 B1 KR101943183 B1 KR 101943183B1 KR 1020170011178 A KR1020170011178 A KR 1020170011178A KR 20170011178 A KR20170011178 A KR 20170011178A KR 101943183 B1 KR101943183 B1 KR 101943183B1
Authority
KR
South Korea
Prior art keywords
authentication
user
response
response message
message
Prior art date
Application number
KR1020170011178A
Other languages
English (en)
Other versions
KR20180087011A (ko
Inventor
김기천
김영세
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020170011178A priority Critical patent/KR101943183B1/ko
Publication of KR20180087011A publication Critical patent/KR20180087011A/ko
Application granted granted Critical
Publication of KR101943183B1 publication Critical patent/KR101943183B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사용자 인증 방법과 이를 수행하는 장치 및 인증 요청 방법 및 이를 수행하는 장치가 개시된다. 일 실시예에 따른 사용자 인증 방법은 사용자의 접속 요청에 기초하여 유효 값을 계산하는 단계와, 상기 접속 요청에 응답하여 상기 사용자에게 챌린지 메시지를 전송하는 단계와, 상기 사용자로부터 상기 챌린지 메시지에 대한 응답 메시지를 수신한 경우, 상기 유효 값에 기초하여 상기 응답 메시지를 검증하는 단계를 포함한다.

Description

사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치{METHOD OF AUTHENTICATING CLIENT AND REQUESTING AUTHENTICATION, AND APPARATUS THEREOF}
아래 실시예들은 사용자 인증 방법과 이를 수행하는 장치 및 인증 요청 방법 및 이를 수행하는 장치에 관한 것이다.
과학 기술의 발전과 경제 수준의 향상으로 인해, 많은 사람들이 퍼스널 컴퓨터 등과 같은 고정화된 통신 기기뿐 아니라 이동 통신 단말기 등과 같은 이동성이 보장된 통신 기기를 이용해서도 인터넷에 접속할 수 있게 되었으며, 결과적으로 인터넷 이용을 위한 장소의 제약이 점차 사라지고 있다.
따라서, 퍼스널 컴퓨터 등을 통해 인터넷을 접속한 사용자뿐 아니라 이동 통신 단말기 등을 이용하여 인터넷에 접속한 사용자도 특정 웹사이트에서 원하는 텍스트 데이터, 게임 프로그램 등의 다양한 데이터를 다운로드(Download)하는 등의 다양한 데이터 제공 서비스를 이용할 수 있게 되었다.
그리고, 이동 통신 단말기 등을 이용하여 데이터 제공 서비스를 이용하는 사용자는 데이터 제공 서비스를 이용한 시간 또는 데이터 송수신에 따른 패킷 데이터량 등의 다양한 기준에 따라 미리 지정된 금액을 서비스 이용 요금으로 지불하게 된다.
따라서, 데이터 제공 서비스를 제공하는 사업자의 입장에서는 과금 등의 목적을 달성하기 위해 현재 데이터 제공 서비스를 이용하고 있는 사용자가 누구인지를 판단하고, 해당 사용자가 당해 데이터 제공 서비스를 이용할 수 있는 권한을 가진 가입자인지 여부를 판단할 필요가 발생하게 되며, 이러한 과정은 일반적으로 AAA 서버(Authorization, Authentication and Accounting Server)의 기능을 통해 수행된다.
AAA 서버(Authorization, Authentication and Accounting Server)는 당해 분야에서 공지되어 있는 용어로서, 인증, 확인 및 회계 기능을 수행하는 서버를 지칭한다.
그러나, 종래의 데이터 전용망에서의 인증 방법을 수행하는 AAA 서버는 단순히 사용자가 데이터 서비스의 이용을 위해 초기 접속한 경우 당해 사용자에게 서비스 이용에 대한 허용 여부를 판단하는 기능만을 수행할 수 있을 뿐 당해 사용자가 일단 당해 서비스를 이용하고 있는 상태에서는 당해 서비스의 이용을 강제적으로 차단할 수 없는 문제점이 있었다.
실시예들은 인증 장치가 스트림 시퀀스 번호를 사용하여 사용자를 인증하는 기술을 제공할 수 있다.
또한, 실시예들은 인증 장치가 사용자가 암호화하여 생성한 응답 메시지에 기초하여 인증을 수행하는 기술을 제공할 수 있다.
일 실시예에 따른 인증 방법은 사용자(client)의 접속 요청에 기초하여 유효 값을 계산하는 단계와, 상기 접속 요청에 응답하여 상기 사용자에게 챌린지 메시지(challenge message)를 전송하는 단계와, 상기 사용자로부터 상기 챌린지 메시지에 대한 응답 메시지를 수신한 경우, 상기 유효 값에 기초하여 상기 응답 메시지를 검증하는 단계를 포함한다.
상기 접속 요청은, 상기 사용자의 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하고, 상기 계산하는 단계는, 상기 스트림 시퀀스 번호에 기초하여 상기 유효 값을 계산하는 단계를 포함할 수 있다.
상기 응답 메시지는, 상기 챌린지 메시지에 대한 응답 및 스트림 시퀀스 번호에 기초하여 암호화될 수 있다.
상기 응답 메시지는, SHA(secure hash algorithm)에 기초하여 암호화될 수 있다.
상기 방법은, 상기 응답 메시지가 유효한 경우, 상기 사용자에게 인증된 패킷(signed packet)을 전송하는 단계를 더 포함할 수 있다.
상기 방법은, 상기 응답 메시지가 유효하지 않은 경우, 상기 사용자와의 통신을 종료하는 단계를 더 포함할 수 있다.
사용자(client)와 통신을 수행하는 인증 장치에 있어서, 일 실시예에 따른 인증 장치는, 상기 사용자의 접속 요청에 기초하여 유효 값을 계산하고, 상기 사용자로부터 챌린지 메시지(challenge message)에 대한 응답 메시지를 수신한 경우, 상기 유효 값에 기초하여 상기 응답 메시지를 검증하는 컨트롤러와, 상기 접속 요청을 수신하고, 상기 접속 요청에 응답하여 상기 사용자에게 상기 챌린지 메시지를 전송하는 송수신기(transceiver)를 포함한다.
상기 접속 요청은, 상기 사용자의 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하고, 상기 컨트롤러는, 상기 스트림 시퀀스 번호에 기초하여 상기 유효 값을 계산할 수 있다.
상기 응답 메시지는, 상기 챌린지 메시지에 대한 응답 및 스트림 시퀀스 번호에 기초하여 암호화될 수 있다.
상기 응답 메시지는, SHA(secure hash algorithm)에 기초하여 암호화될 수 있다.
상기 컨트롤러는, 상기 응답 메시지가 유효한 경우, 상기 사용자에게 인증된 패킷(signed packet)을 전송할 수 있다.
상기 컨트롤러는, 상기 응답 메시지가 유효하지 않은 경우, 상기 사용자와의 통신을 종료할 수 있다.
일 실시예에 따른 인증 요청 방법은, 사용자(client)가 인증 장치로 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하는 접속 요청을 전송하는 단계와, 상기 인증 장치로부터 상기 접속 요청에 대한 챌린지 메시지를 수신한 경우, 상기 챌린지 메시지에 대한 응답 및 스트림 시퀀스 번호에 기초하여 암호화를 수행하여 응답 메시지를 생성하는 단계와, 상기 응답 메시지를 상기 사용자에게 전송하는 단계를 포함한다.
일 실시예에 따른 인증 요청 장치는, 사용자(client)가 인증 장치로 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하는 접속 요청을 전송하고, 응답 메시지를 상기 사용자에게 전송하는 송수신기(transceiver)와, 상기 인증 장치로부터 상기 접속 요청에 대한 챌린지 메시지를 수신한 경우, 상기 챌린지 메시지에 대한 응답 및 스트림 시퀀스 번호에 기초하여 암호화를 수행하여 상기 응답 메시지를 생성하는 컨트롤러를 포함한다.
도 1은 일 실시예에 따른 인증 시스템의 블록도의 일 예를 나타낸다.
도 2는 도 1에 도시된 인증 시스템이 인증을 수행하는 동작을 설명하기 위한 순서도이다.
도 3은 도 1에 도시된 전자 장치가 응답 메시지를 생성하는 동작을 설명하기 위한 도면의 일 예이다.
도 4는 도 1에 도시된 인증 장치가 응답 메시지를 검증하는 동작을 설명하기 위한 도면의 일 예이다.
도 5는 도 1에 도시된 인증 시스템의 성능을 나타낸 그래프이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시예들에 한정되지 않는다.
본 발명의 개념에 따른 실시예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 “연결되어” 있다거나 “접속되어” 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 “직접 연결되어” 있다거나 “직접 접속되어” 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 “~사이에”와 “바로~사이에” 또는 “~에 직접 이웃하는” 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, “포함하다” 또는 “가지다” 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 일 실시예에 따른 인증 시스템의 블록도의 일 예를 나타내고, 도 2는 도 1에 도시된 인증 시스템이 인증을 수행하는 동작을 설명하기 위한 순서도이다.
도 1 및 도 2를 참조하면, 인증 시스템(10)은 전자 장치(100) 및 인증 장치(200)를 포함한다.
전자 장치(100)는 데스크 탑 PC(personal computer), 데이터 서버, 또는 모바일 장치로 구현될 수 있다.
모바일 장치는 랩탑(laptop) 컴퓨터, 이동 전화기, 스마트 폰(smart phone), 태블릿(tablet) PC, 모바일 인터넷 디바이스(mobile internet device(MID)), PDA(personal digital assistant), EDA(enterprise digital assistant), 디지털 스틸 카메라(digital still camera), 디지털 비디오 카메라(digital video camera), PMP(portable multimedia player), PND(personal navigation device 또는 portable navigation device), 휴대용 게임 콘솔(handheld game console), e-북(e-book), 또는 스마트 디바이스(smart device)로 구현될 수 있다.
스마트 디바이스는 스마트 와치(smart watch watch) 또는 스마트 밴드(smart band)로 구현될 수 있다. 즉, 전자 장치(100)는 사용자가 착용할 수 있는 또는 착용하기에 적합한 웨어러블 장치일 수 있다.
전자 장치(100)는 통신 네트워크를 통해 인증 장치(200)와 통신할 수 있다. 예를 들어, 통신 네트워크는 인터넷 통신 네트워크, 인트라넷, 근거리 통신 네트워크(LAN), 무선 LAN, 또는 IEEE 802.11 기반의 와이파이(Wi-Fi)일 수 있다.
사용자(client)는 전자 장치(100)를 사용하여 인증 장치(200)에 인증(authentication)을 요청할 수 있다. 인증 장치(200)가 인증을 수행한 경우, 사용자(전자 장치(100))와 인증 장치(200)는 통신이 가능할 수 있다.
인증 장치(200)는 서버(server)일 수 있다. 예를 들어, 인증 장치(200)는 RADIUS(Remote Authentication Dial In User Service) 프토토콜(protocol)로 구현될 수 있다.
인증 장치(200)는 인증(Authentication), 인가(Authorization), 및 회계(Accounting)의 AAA 프레임워크 기반의 인증 프로토콜일 수 있다. 즉, 인증 장치(200)는 전자 장치(100)가 접속을 요청하는 경우, 사용자의 ID, 패스워드 등의 정보를 검증한 후 인증 및 식별 작업을 수행할 수 있다.
인증 장치(200)는 전자 장치(200)의 식별 정보에 기초하여 사용자를 인증하고, 인증 결과에 기초하여 원격 접속을 허가하거나, 또는 인증 실패 메시지를 전송할 수 있다.
인증 장치(200)는 패킷(packet)에 기초하여 전자 장치(200)의 인증을 수행할 수 있다. 패킷은 Code, Identifier, Length, Authenticator(인증값) 필드, Attribute(속성) 필드 등을 포함할 수 있다. 이때, Code 필드 및 Identifier 필드는 1 Byte, Length 필드는 2 Bytes, Authenticator 필드는 16 Bytes의 크기를 가질 수 있다.
Length 필드는 해당 패킷의 전체 길이일 수 있다. Attribute 필드는 사용자(또는 전자 장치(100))의 이름, 패스워드 등의 인증과 관련된 적어도 하나의 속성일 수 있다.
인증 장치(200)는 Code 필드에 기초하여 인증을 수행할 수 있다. 예를 들어, Code 필드의 값이 누락되거나 또는 부적합한 경우, 인증 장치(200)는 해당 패킷을 폐기할 수 있다. 즉, 인증 장치(200)는 'silently discard' 동작을 수행할 수 있다. 인증 장치(200)는 Code 필드의 값을 가장 먼저 확인할 수 있다.
인증 장치(200)는 Identifier 필드에 기초하여 매칭을 수행할 수 있다. 예를 들어, 인증 장치(200)는 Identifier 필드에 기초하여 전자 장치(100)의 요청(request) 및 응답(reply)을 매칭할 수 있다.
인증 장치(200)는 Authenticator 필드를 Password Hiding 알고리즘에 사용할 수 있다. Authenticator 필드는 Request Authenticator 또는 Response Authenticator일 수 있다. 예를 들어, 패킷이 Access-Request 패킷인 경우, Authenticator 필드는 Request Authenticator일 수 있다. 패킷이 Access-Accept, Access-Reject, 또는 Access-Challenge 등의 패킷인 경우, Authenticator 필드는 Response Authenticator일 수 있다.
인증 장치(200)는 PPP 인증을 수행할 수 있다. 예를 들어, 인증 장치(200)는 PAP(Password Authentication Protocol) 인증 또는 CHPA(Challenge Handshake Authentication Protocol) 인증을 수행할 수 있다.
인증 장치(200)는 챌린지 및 응답(challenge and response) 방식을 사용하여 전자 장치(100)의 인증을 수행할 수 있다. 예를 들어, 전자 장치(100)가 인증 장치(200)에 접속 요청을 전송한 경우, 인증 장치(200)는 전자 장치(100)에 챌린지 메시지(challenge message)를 전송할 수 있다. 전자 장치(100)가 챌린지 메시지에 대한 응답 메시지를 인증 장치(200)로 전송한 경우, 인증 장치(200)는 응답 메시지를 검증하여 인증 유무를 결정할 수 있다.
또한, 인증 장치(200)는 SCTP(Stream Control Transmission Protocol)로 구현될 수 있다. SCTP는 데이터 통신을 위한 전송 계층 프로토콜일 수 있다.
인증 장치(200)는 전자 장치(100)에 복수의 associations을 설정할 수 있다. 인증 장치(200)는 복수의 Associations 중 데이터 전송을 위한 메인 경로를 지정할 수 있다. 인증 장치(200)는 메인 경로를 제외한 Associations를 예비 경로로 지정할 수 있다. 즉, 인증 장치(200)는 메인 경로에 장애가 발생한 경우 예비 경로를 대체경로로 활용할 수 있다.
인증 장치(200)는 multi-homing 또는 multi-streaming 기능을 수행할 수 있다. 예를 들어, 인증 장치(200)는 혼잡제어를 통해 경로장애 복구기능을 제공하는 multi-homing 기능을 수행할 수 있다. 인증 장치(200)는 하나의 Association을 설정하여 다양한 종류의 데이터를 여러 개의 스트림으로 분리해서 독립적으로 전송하여 multi-streaming 기능을 수행할 수 있다. 인증 장치(200)는 여러 streams에서 동시에 데이터를 전송할 수 있다. 이때, 특정 stream에서 전송이 지연되는 경우, 다른 stream에 영향을 주지 않고 독립적으로 데이터를 전송할 수 있다.
인증 장치(200)는 multi-streaming 기능을 통해 대용량 데이터를 효율적으로 제어할 수 있다. 인증 장치(200)는 각 streams 별로 스트림 시퀀스 번호(stream sequence number(SSN))를 유지할 수 있다. 예를 들어, 인증 장치(200)가 전자 장치(100)와 통신하고 있는 도중 특정 경로에서 오류가 발생한 경우, 해당 경로를 필터링하고 다른 경로를 선택할 수 있다. 이에, 인증 장치(200)는 전자 장치(100)의 요청을 신속하게 처리할 수 있다.
인증 장치(200)는 SCTP 방식을 사용한 RADIUS 프로토콜로 구현될 수 있다. 인증 장치(200)는 전자 장치(100)와 인증 장치(200)가 공유하는 데이터의 해시 값을 검증하고, 패킷 사이닝(packet signing) 방식을 사용해 유효한 전자 장치(100)에만 서버 접근을 허용할 수 있다. 인증 장치(200)가 전자 장치(100)의 인증을 수행하는 동작의 일 예는 도 2에 도시된 바와 같을 수 있다.
전자 장치(100)는 특정 IP(internet protocol) 주소를 갖는 인증 장치(200)에 접속 요청을 전송할 수 있다(S210). 이때, 전자 장치(100)는 인증 장치(200)에 자신의 스트림 시퀀스 번호(SSN)를 접속 요청과 함께 전송할 수 있다. 즉, 접속 요청은 전자 장치(100)의 스트림 시퀀스 번호(SSN)를 포함할 수 있다.
인증 장치(200)는 접속 요청에 응답하여 유효 값을 계산할 수 있다(S220). 유효 값은 전자 장치(100)의 인증을 수행하는 데 필요한 값일 수 있다. 인증 장치(200)는 전자 장치(100)의 스트림 시퀀스 번호(SSN)에 기초하여 유효 값을 계산할 수 있다.
인증 장치(200)는 전자 장치(100)에 챌린지 메시지를 전송할 수 있다(S230). 챌린지 메시지는 유효 값과 연관된 메시지일 수 있다. 즉, 유효 값은 챌린지 메시지에 대한 정보를 포함할 수 있다. 챌린지 메시지는 질문을 포함할 수 있다. 예를 들어, 챌린지 메시지는 현재 날짜, 현재 시간 등의 질문을 포함할 수 있다. 즉, 전자 장치(100)는 챌린지 메시지의 수신에 응답하여 대답을 인증 장치(200)로 전송할 수 있다.
전자 장치(100)는 챌린지 메시지의 수신에 응답하여 암호화를 수행할 수 있다(S240). 예를 들어, 전자 장치(100)는 챌린지 메시지에 대한 응답 및 스트림 시퀀스 번호(SSN) 중 적어도 하나에 기초하여 암호화를 수행할 수 있다. 전자 장치(100)는 SHA(secure hash algorithm)에 기초하여 암호화를 수행할 수 있다. 예를 들어, 전자 장치(100)는 SHA-1를 사용하여 암호화를 수행할 수 있다. 전자 장치(100)는 암호화의 결과, 해시(hash) 값을 포함하는 응답 메시지를 생성할 수 있다. 응답 메시지는 암호화된 챌린지 메시지에 대한 응답 및 암호화된 스트림 시퀀스 번호(SSN) 중 적어도 하나를 포함할 수 있다.
전자 장치(100)는 인증 장치(200)로 응답 메시지를 전송할 수 있다(S250).
인증 장치(200)는 응답 메시지를 검증할 수 있다(S270). 예를 들어, 인증 장치(200)는 유효 값에 기초하여 응답 메시지를 검증할 수 있다.
인증 장치(200)는 검증 결과에 기초하여 전자 장치(100)와의 통신 여부를 결정할 수 있다(S280). 예를 들어, 응답 메시지가 유효한 경우, 인증 장치(200)는 전자 장치(100)에 인증된 패킷(signed packet)을 전송할 수 있다. 응답 메시지가 유효하지 않은 경우, 인증 장치(200)는 전자 장치(100)와의 통신을 종료할 수 있다.
이하에서는 인증 시스템의 성능에 대해 설명한다.
도 3은 도 1에 도시된 전자 장치가 응답 메시지를 생성하는 동작을 설명하기 위한 도면의 일 예이고, 도 4는 도 1에 도시된 인증 장치가 응답 메시지를 검증하는 동작을 설명하기 위한 도면의 일 예이고, 도 5는 도 1에 도시된 인증 시스템의 성능을 나타낸 그래프이다.
도 3 내지 도 5를 참조하면, 인증 시스템(10)은 전자 장치(100) 및 인증 장치(200)의 성능을 각각 평가함으로써 평가될 수 있다. 이때, 인증 장치(200)는 SCTP 방식의 스트림 서버일 수 있다.
전자 장치(100)는 접속하고자 하는 인증 장치(200)의 IP 주소를 입력할 수 있다. 전자 장치(100)는 5대일 수 있다. 인증 장치(200)는 multi-streaming 기능을 수행할 수 있다. 즉, 5 대의 전자 장치(100)는 인증 장치(200)로 접속 요청을 전송할 수 있다. 인증 장치(200)는 전자 장치(100)의 접속 요청을 검증하여 접속을 허가할 수 있다. 전자 장치(100)는 응답 메시지를 생성하여 인증 장치(200)로 전송하고, 인증 장치(200)는 응답 메시지를 검증할 수 있다.
이때, 전자 장치(100)가 응답 메시지의 hash 값을 생성하는 시간 및 인증 장치(200)가 응답 메시지의 hash 값을 검증하는 시간은 표 1과 같을 수 있다.
Figure 112017008513560-pat00001
평가 결과, 인증 시스템(10)이 스트림 시퀀스 번호(SSN)에 기초하여 인증을 수행하는데 소요되는 평균 시간은 0.024초일 수 있다. 즉, 인증 시스템(10)은 스트림 시퀀스 번호(SSN)를 사용함으로써 보안성을 높이고, 효율적인 인증 프로세스를 수행할 수 있다.
즉, 인증 시스템(10)은 다수의 사용자가 여러 전자 장치(100)를 사용해서 동시에 인증 장치(200)에 인증을 요청하고, 재인증이 빈번하게 발생하는 환경에서 더욱 효율적일 수 있다. 인증 장치(200)는 전자 장치(100)를 보증하기 위해, 전자 장치(100) 및 인증 장치(200)가 서로 공유한 스트림 시퀀스 번호(SSN)에 기초하여 생성한 hash 값(응답 메시지)을 사용할 수 있다. 이에, 전자 장치(100) 및 인증 장치(200)는 송수신되는 데이터의 무결성을 유지할 수 있다. 인증에 성공한 경우, 인증 장치(200)는 인증된(서명된) 패킷(signed packet)을 전자 장치(100)에 전송할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (14)

  1. 사용자의 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하는 상기 사용자(client)의 접속 요청에 기초하여 유효 값을 계산하는 단계;
    상기 접속 요청에 응답하여 상기 사용자에게 상기 유효 값과 연관되고, 질문을 포함하는 챌린지 메시지(challenge message)를 전송하는 단계; 및
    상기 사용자로부터 상기 챌린지 메시지에 대한 응답 및 상기 스트림 시퀀스 번호를 포함하는 응답 메시지를 수신한 경우, 상기 유효 값에 기초하여 상기 응답 메시지를 검증하는 단계
    를 포함하고,
    상기 유효 값은 사용자 검증시 사용되는 값으로 상기 스트림 시퀀스 번호에 기반하고,
    상기 응답 메시지는 상기 챌린지 메시지에 대한 응답 및 상기 스트림 시퀀스 번호에 기초하여 암호화되는 인증 방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 응답 메시지는,
    SHA(secure hash algorithm)에 기초하여 암호화된
    인증 방법.
  5. 제1항에 있어서,
    상기 응답 메시지가 유효한 경우, 상기 사용자에게 인증된 패킷(signed packet)을 전송하는 단계
    를 더 포함하는 인증 방법.
  6. 제1항에 있어서,
    상기 응답 메시지가 유효하지 않은 경우, 상기 사용자와의 통신을 종료하는 단계
    를 더 포함하는 인증 방법.
  7. 사용자(client)와 통신을 수행하는 인증 장치에 있어서,
    상기 사용자의 스트림 시퀀스 번호(stream sequence number(SSN))를 포함하는 상기 사용자의 접속 요청에 기초하여 유효 값을 계산하고, 상기 사용자로부터 챌린지 메시지(challenge message)에 대한 응답 메시지를 수신한 경우, 상기 유효 값에 기초하여 상기 응답 메시지를 검증하는 컨트롤러; 및
    상기 접속 요청을 수신하고, 상기 접속 요청에 응답하여 상기 사용자에게 상기 유효 값과 연관되고, 질문을 포함하는 챌린지 메시지를 전송하는 송수신기(transceiver)
    를 포함하고,
    상기 유효 값은 사용자 검증시 사용되는 값으로 상기 스트림 시퀀스 번호에 기반하고,
    상기 응답 메시지는 상기 챌린지 메시지에 대한 응답 및 상기 스트림 시퀀스 번호를 포함하고, 상기 챌린지 메시지에 대한 응답 및 상기 스트림 시퀀스 번호에 기초하여 암호화되는 인증 장치.
  8. 삭제
  9. 삭제
  10. 제7항에 있어서,
    상기 응답 메시지는,
    SHA(secure hash algorithm)에 기초하여 암호화된
    인증 장치.
  11. 제7항에 있어서,
    상기 컨트롤러는,
    상기 응답 메시지가 유효한 경우, 상기 사용자에게 인증된 패킷(signed packet)을 전송하는 인증 장치.
  12. 제7항에 있어서,
    상기 컨트롤러는,
    상기 응답 메시지가 유효하지 않은 경우, 상기 사용자와의 통신을 종료하는 인증 장치.
  13. 삭제
  14. 삭제
KR1020170011178A 2017-01-24 2017-01-24 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치 KR101943183B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170011178A KR101943183B1 (ko) 2017-01-24 2017-01-24 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170011178A KR101943183B1 (ko) 2017-01-24 2017-01-24 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치

Publications (2)

Publication Number Publication Date
KR20180087011A KR20180087011A (ko) 2018-08-01
KR101943183B1 true KR101943183B1 (ko) 2019-01-28

Family

ID=63227779

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170011178A KR101943183B1 (ko) 2017-01-24 2017-01-24 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치

Country Status (1)

Country Link
KR (1) KR101943183B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11368319B2 (en) 2020-01-23 2022-06-21 Samsung Electronics Co., Ltd. Integrated circuit performing authentication using challenge-response protocol and method of using the integrated circuit

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11368319B2 (en) 2020-01-23 2022-06-21 Samsung Electronics Co., Ltd. Integrated circuit performing authentication using challenge-response protocol and method of using the integrated circuit

Also Published As

Publication number Publication date
KR20180087011A (ko) 2018-08-01

Similar Documents

Publication Publication Date Title
US10581827B2 (en) Using application level authentication for network login
CN108259438B (zh) 一种基于区块链技术的认证的方法和装置
WO2016188290A1 (zh) Api调用的安全认证方法、装置、系统
US9871821B2 (en) Securely operating a process using user-specific and device-specific security constraints
JP6282349B2 (ja) ウェブサイトにログインしている端末がモバイル端末であるかどうかを決定するための方法およびシステム
TWI792320B (zh) 判定認證能力之查詢系統、方法及非暫態機器可讀媒體
US9547756B2 (en) Registration of devices in a digital rights management environment
US10164963B2 (en) Enforcing server authentication based on a hardware token
US11140150B2 (en) System and method for secure online authentication
EP3308499B1 (en) Service provider certificate management
US20220286440A1 (en) Secure Media Delivery
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
US9942200B1 (en) End user authentication using a virtual private network
US11277404B2 (en) System and data processing method
US10764294B1 (en) Data exfiltration control
US9590972B2 (en) Application authentication using network authentication information
KR102645768B1 (ko) 다중 계정 통합 관리 시스템 및 방법
CN110545285B (zh) 一种基于安全芯片的物联网终端安全认证方法
CN114143343A (zh) 雾计算环境中远程访问控制系统、控制方法、终端及介质
US9621546B2 (en) Method of generating one-time password and apparatus for performing the same
CN107347073B (zh) 一种资源信息处理方法
WO2020025056A1 (zh) 安全认证方法、装置和系统,移动终端
US20150101059A1 (en) Application License Verification
JP6162260B2 (ja) Scep証明書登録要求の正当性を確認するためのシステムおよび方法
KR101943183B1 (ko) 사용자 인증 및 인증 요청 방법 및 이를 수행하는 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant