KR102192477B1 - Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램 - Google Patents

Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램 Download PDF

Info

Publication number
KR102192477B1
KR102192477B1 KR1020180082006A KR20180082006A KR102192477B1 KR 102192477 B1 KR102192477 B1 KR 102192477B1 KR 1020180082006 A KR1020180082006 A KR 1020180082006A KR 20180082006 A KR20180082006 A KR 20180082006A KR 102192477 B1 KR102192477 B1 KR 102192477B1
Authority
KR
South Korea
Prior art keywords
authentication
message
encrypted
root key
authenticator
Prior art date
Application number
KR1020180082006A
Other languages
English (en)
Other versions
KR20200008186A (ko
Inventor
이철영
조효원
지창훈
최완택
Original Assignee
(주)이더블유비엠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이더블유비엠 filed Critical (주)이더블유비엠
Priority to KR1020180082006A priority Critical patent/KR102192477B1/ko
Publication of KR20200008186A publication Critical patent/KR20200008186A/ko
Application granted granted Critical
Publication of KR102192477B1 publication Critical patent/KR102192477B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

인증을 요청하는 인증요청기와 인증요청에 응답하는 인증기 사이의 FIDO를 기반으로 하는 인증 대용의 인증방법으로서, 상기 인증요청기에서 인증을 위한 제1 메시지로부터 암호화된 제1 메시지가 생성되어 상기 인증기로 전송되고, 상기 인증기에서 상기 암호화된 제1 메시지가 복호화되어 제2 메시지가 생성되며, 상기 제1 메시지와 제2 메시지가 동일 또는 대응되는 경우에 인증으로 결정됨을 특징으로 한다.

Description

FIDO 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램 {METHOD, SYSTEM AND PROGRAM OF SILENT AUTHENTICATION INSTEAD OF FIDO-BASED AUTHENTICATION}
본 발명은, FIDO(Fast Identity Online) 기반 인증 대용의 암묵인증(Silent Authentication)의 방법, 시스템 및 프로그램에 관한 것으로서, 보다 상세히는, FIDO 기반 인증에 있어서의 사용자의 간섭(interaction) 요구를 배제(제거)해 주면서 통신기기(통신장치) 사이의 보안성(기밀성)을 높게 유지해 주는 FIDO 방식 인증 대용의 암묵(무간섭; non-interaction) 인증의 방법, 시스템 및 프로그램에 관한 것이다.
일반적으로 로라(LoRa), NB-IoT, SigFox 등 저전력 통신망, 예컨대 LPWAN(Low Power Wide Area Network)에는, FIDO 등의 보안인증이 적용되어야 할 경우가 많다.
예컨대 IoT(사물인터넷)의 장치간 각종 인증, 또는 통신기기들 사이의 보안인증은, 교환되는 정보 및 조종(제어, control)되는 기기의 안전을 위해 매우 중요하다. 예컨대 사용자 단말에 새로운 IoT 카메라를 접속시켜야 하는 경우에, 이 새로운 IoT 카메라에 대한 인증이 이루어지면, 그 후에는 새로 인증된 IoT 카메라로부터 전송받은 데이터를 사용자 단말에서는 신뢰할 수 있게 된다.
이하, IoT 장치나 통신기기 등 접속을 위해 인증이 요구되는 장치들을 통칭하여 단순히 '기기'라 하는 경우가 있고, 보안인증 및 각종 기타 인증을 통칭하여 단순히 '인증(Authentication)'이라 하는 경우가 있으며, 인증을 요청(challenge)하는 기기를 '인증요청기'(authenticator)(예컨대 사용자 단말), 인증요청에 응답(response)하여 인증을 하는 기기를 '인증기'(예컨대 IoT 기기)라 하는 경우가 있다.
이 보안인증의 편의성 증대와 속도의 향상과, 안정성 또는 안전 레벨의 강화는 서로 양립하기 어려운 경우가 있다.
하기 특허문헌의 기술은, '사용자 단말에서 IOT (Internet of Things) 디바이스를 인증하는 방법에 있어서, 상기 IOT 디바이스의 키 및 식별자를 포함하는 디바이스 정보를 생성하는 단계; 메모리에 저장된 공인인증서를 이용하여 상기 디바이스 정보에 서명하는 단계; 상기 서명된 디바이스 정보 및 상기 공인인증서를 인증 서버로 전송하는 단계; 및 상기 생성한 디바이스 정보를 상기 IOT 디바이스로 전송하는 단계를 포함하는, 디바이스 인증방법'을 개시하고 있다.
여기서 '상기 식별자는 GUID(Globally Unique Identifier) 형식이며, 상기 키는 공개키 또는 대칭키 중 어느 하나'일 수 있고, '상기 디바이스 정보에 서명하는 단계는, 상기 공인인증서에 대응하는 개인키를 이용하여 서명하는 것'일 수 있다.
특허공개 10-2016-0084680 공보
보안인증에 있어서, 인증의 편의성과 속도를 향상시키면서도, 인증의 안정성, 안전 레벨의 유지 내지 강화시키는 것은 쉽지 않다. 특히, 생체정보를 이용하는 인증 등과 같이, 인증에 있어서 높은 보안성을 위해, 지문 스캔 및 검증 등 사용자의 간섭(interaction)이 요구되는 경우가 있다.
그런데, 이러한 사용자의 간섭은, 기기들 사이의 보안인증의 편의성과 속도에 모두 지장을 초래하고 있다. 예컨대 지문 스캔의 경우에, 사용자가 하나하나 지문을 스캔하는 동작을 해야 하고, 지문 스캔에는 시간이 소요되기 때문이다. 예컨대 공인인증서의 서명도 마찬가지이다. 특허문헌의 기술에 있어서도 공인인증서를 통한 서명을 수행하고 있는데, 이처럼 인증 및 연결에 사용자의 간섭이 요구됨으로써, 편의성과 속도가 저하되고 있다.
특히 IoT 기기의 경우에는, 수십 내지 수만대 단위의 다수의 기기들이 운용 전에 사전적으로 인증될 필요가 있고, 운용 도중에 해킹이나 고장 등에 의해 인증에 사후적으로 문제가 발생되었을 경우에도 재차 인증이 수행돼야 할 필요가 있다. 이런 상황에서 사용자의 간섭에 의한 인증은, 매우 불편할 뿐 아니라, 인증에 시간이 소요되므로, 저속, 저효율일 수 밖에 없다는 태생적 한계가 있다. 따라서, 기기의 운용시간 및 성능에 손실을 초래한다.
반면에 무작정 사용자의 간섭이 없는 인증을 채택하는 경우에는, 예컨대 생체인증이나 공인인증서 서명 등과 같이 사용자의 확인을 거치지 않으므로 편의성이 증대되지만, 해킹이나 인증도용, 인증오류의 가능성이 커져서, 인증의 안정성이나 안전 레벨의 저하가 우려된다.
본 발명은, 상기 종래기술의 문제를 해소하기 위해 이루어진 것으로서, FIDO 등 사용자의 간섭을 이용하는 인증이 불가능, 불합리하거나 불편한 경우, 사용자의 간섭을 배제(제거)하면서도, 기기간의 반복적 인증에 있어서 기기의 원래 성능을 저하시키지 않고, 오히려 속도 및 보안(안전) 레벨을 높여서, 사용자 간섭으로 인한 제품 및 시스템의 상용화 상의 어려움을 극복할 수 있는, FIDO 기반 인증 대용의 암묵인증 방법, 시스템 및 프로그램을 제공하고자 하는 것이다.
상기 과제를 달성하기 위한 본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증 방법은, 인증을 요청하는 인증요청기와 인증요청에 응답하는 인증기 사이의 FIDO를 기반으로 하는 인증 대용의 인증방법으로서, 상기 인증요청기에서 인증을 위한 제1 메시지로부터 암호화된 제1 메시지가 생성되어 상기 인증기로 전송되고, 상기 인증기에서 상기 암호화된 제1 메시지가 복호화되어 제2 메시지가 생성되며, 상기 제1 메시지와 제2 메시지가 동일 또는 대응되는 경우에 인증으로 결정됨을 특징으로 한다.
여기서, 상기 제1 메시지는 상기 인증요청기 내의 제1 루트키에 의해 암호화되고, 상기 제2 메시지는 상기 인증기 내의 제2 루트키에 의해 복호화됨이 바람직하다.
그리고 상기 제1 루트키는 상기 인증요청기에서 암호화된 원본 루트키를 복호화하여 생성됨이 바람직하다.
그리고 상기 암호화된 제1 메시지와 함께, 상기 인증요청기에서, 상기 제1 루트키의 제1 해시값으로부터 생성된 암호화된 제1 해시값과, 상기 제1 해시값을 이용하여 상기 제1 루트키로부터 생성된 암호화된 제1 루트키가, 상기 인증기에 전송되고, 상기 제2 루트키는, 상기 인증기에서, 상기 암호화된 제1 해시값으로부터 복호화되어 형성된 복호화된 제2 해시값을 이용하여, 상기 암호화된 제1 루트키로부터 복호화되어 생성됨이 바람직하다.
여기서, 상기 제2 루트키로부터 생성된 해시된 제2 해시값이 상기 복호화된 제2 해시값과 일치하면, 상기 암호화된 제1 메시지의 복호화에 상기 제2 루트키가 이용되도록 허용됨이 바람직하다.
한편, 상기 과제를 달성하기 위한 본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증 시스템은, 인증을 요청하는 인증요청기와 인증요청에 응답하는 인증기 사이의 FIDO를 기반으로 하는 인증 대용의 인증시스템으로서, 상기 인증요청기는, 인증을 위한 제1 메시지로부터 암호화된 제1 메시지를 생성하는 제1 메시지 암호화부와, 상기 암호화된 제1 메시지를 상기 인증기에 전송하는 전송부를 포함하여 구성되고, 상기 인증기는, 상기 암호화된 제1 메시지를 복호화하여 제2 메시지를 생성하는 제1 메시지 복호화부와, 상기 제1 메시지와 제2 메시지가 동일 또는 대응되는 경우에 인증으로 결정하는 인증결정부를 포함하여 구성됨을 특징으로 한다.
한편, 상기 과제를 달성하기 위한 본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증 프로그램은, 청구항 1 내지 청구항 5 중 어느 한 항에 기재된 인증방법을 정보처리기기에서 실행시키기 위한 프로그램을 기록한 기록매체에 저장된 프로그램임을 특징으로 한다.
본 발명에 의하면, FIDO 등 사용자의 간섭을 이용하는 인증이 불가능, 불합리하거나 불편한 경우, 사용자의 간섭을 배제(제거)하면서도, 기기간의 반복적 인증에 있어서 기기의 원래 성능을 저하시키지 않고, 오히려 속도 및 보안(안전) 레벨을 높여서, 사용자 간섭으로 인한 제품 및 시스템의 상용화 상의 어려움을 극복할 수 있는, FIDO 기반 인증 대용의 암묵인증 방법, 시스템 및 프로그램이 제공된다.
도 1은, 본 발명의 일실시예에 따른 암묵 인증방법의 인증요청기(authenticator, challenger) 및 인증기(responser)에서의 데이터 처리 흐름을 함께 나타내는 블럭도이다.
도 2는, 본 발명의 일실시예에 따른 암묵 인증방법에 있어서, 인증요청기에서 인증을 위한 메시지를 전송하는 과정에 도입된 루트키(Root Key)의 사용과 해시(Hash)값의 암호화 처리에 대한 설명을 위한 블럭도이다.
도 3은, 본 발명의 일실시예에 따른 암묵 인증방법에 있어서, 인증기에서 인증을 위한 메시지를 수신하고 검증하는 과정에 도입된 루트키의 사용과 해시값의 복호화 및 수신 메시지 검증 처리에 대한 설명을 위한 블럭도이다.
도 4는, 본 발명의 일실시예에 따른 암묵 인증방법에서 제안된, 사용자의 간섭을 제거하고 루트키를 도입하여 보안의 레벨을 오히려 높인 방식에 대한 설명을 위한 개념도이다.
도 5는, 본 발명의 일실시예에 따른 암묵 인증방법이 구현된 기기가 로라(LoRa), NB-IoT, SigFox 등 저전력 통신망, 예컨대 LPWAN(Low Power Wide Area Network) 통신망에 연결된 경우에 대한 설명을 위한 개념도이다.
도 6은, 종래의 FIDO 기술에서 사용자의 간섭을 요구하는 기기 인증의 기존 방식에 대한 설명을 위한 개념도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라, 서로 다른 다양한 형태로 구현될 수 있고, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은, 명백하게 특별히 정의되지 않는 한, 이상적으로 또는 과도하게 해석되지 않는다.
또한, 어떤 부재나 모듈이 다른 부재나 모듈의 전후좌우 상하에 연결된다 함은, 직접 연결되는 것 뿐 아니라, 그 중간에 다른 제3의 부재나 모듈이 끼워져서 개재되어 연결되는 경우를 포함할 수 있다. 그리고 어떤 기능을 수행하는 부재나 모듈은, 그 기능을 분할하여 2 이상의 여러 부재나 모듈로 나뉘어 구현될 수 있고, 반대로, 각각 기능을 가지는 2 이상의 여러 부재나 모듈은, 그 기능을 통합하여 하나의 부재나 모듈로 통합되어 구현될 수 있다. 그리고 어떤 전자적 기능블럭은, 소프트웨어의 실행에 의해 실현되어도 좋고, 그 소프트웨어가 전기회로를 통해 하드웨어로 구현된 상태로 실현되어도 좋다.
<암묵 인증방법>
본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증방법은, 인증요청기(10)인증기(20) 사이의 FIDO를 기반으로 하는 인증 대용의 인증방법이다. 상기 인증요청기(10, authenticator, challenger)는, 인증을 요청하는 기기이고, 인증을 통과하면 인증된 통신의 허락을 받게 될 기기, 즉 신규기기이며, 상기 인증기(20, responser)는, 인증요청에 응답하는 기기, 예컨대 이미 인증에 통과된 기기나 인증권한을 가지는 기기이다. 인증은, 기기간, 예컨대 IoT의 기기들 사이나 통신기기들 사이에서, 상대방을 확인하여 접속가능한지를 결정하는 과정이다.
본 발명의 방법은, 메시지 암호화 및 전달, 메시지 복호화 및 인증결정의 단계들로 이루어진다.
상기 암호화 및 전달은 상기 인증요청기(10)에서 수행되며, 예컨대 암호화부(미도시)에 의해 인증을 위한 제1 메시지(6)로부터 암호화된 제1 메시지(7)가 생성되고, 예컨대 전송부(미도시)에 의해 상기 암호화된 제1 메시지(7)가 상기 인증기(20)로 전송된다. 상기 제1 메시지(6)는, 미리 상기 인증요청기(10) 내에 저장되어 있고, 예컨대 헬로(Hello) 메시지이다. 메시지의 암호화 방식은 미리 정해져 있다.
상기 복호화 및 인증결정은 상기 인증기(20)에서 수행되며, 예컨대 복호화부(미도시)에 의해 상기 암호화된 제1 메시지(7)가 복호화되어 제2 메시지(6')가 생성되고, 예컨대 인증결정부(미도시)에 의해 상기 제1 메시지(6)와 제2 메시지(6')가 동일 또는 대응되는 경우에 인증으로 결정된다. 상기 암호화된 제1 메시지(7)는 상기 인증요청기(10)로부터 받은 것이고, 상기 제2 메시지(6')는 복호화처리에 의해 생성된 것이므로, 상기 인증기(20) 내에 미리 구비되어 있는 것이 아니다. 암호화된 메시지의 복호화 방식은, 상기 메시지의 암호화 방식과 대응되어 미리 정해져 있다.
이처럼, 본 발명에 의한 FIDO 기반 인증 대용의 암묵인증방법에 있어서는, FIDO 등에서 흔히 요구되는 생체인증이나 공인인증서 서명 등의 사용자 간섭이 수행되지 않는다. 따라서, 사용자의 물리적 행위나 생체정보 등의 요청이 제거된다. 따라서, 요구되는 장치간 '암묵(무간섭)(Silent)' 인증 및 장치간 고속인증이 구현된다.
그러면서도 IoT에서의 보안의 레벨을 높이기 위해, 본 발명의 구현에 있어서 루트키(2)를 도입하여, FIDO 등에서와 같이 장치의 인증 및 등록시, 메시지(6)를 한 단계 더 암호화하고 통신한 후 복호화하고 인증결정을 함으로써, 보안의 레벨을 높이고 있다.
즉, 상기 제1 메시지(6)는 상기 인증요청기(10) 내의 제1 루트키(2)에 의해 암호화되는 한편, 상기 제2 메시지(6')는 상기 인증기(20) 내의 제2 루트키(2')에 의해 복호화되도록 되어 있다. 여기서 상기 제1 루트키(2)와 제2 루트키(2')는, 동일한 것이 아니면, 암호화와 복호화의 결과가 일치할 수 없으므로, 인증에 통과하기 위해서는 이들 제1, 제2 루트키(2, 2')는 서로 동일할 필요가 있다.
본 발명에서 언급하는 루트키(2, '2)란, 인증을 위해 상대 기기 또는 FIDO 시스템에 접근하는 '도전(Challenge)'을 시도하는 장치, 즉 인증요청기(10)에 저장되어 있는 키이고, 도전을 받는 쪽의 기기, 즉 인증기(20)가 반드시 미리 가지고 있을 필요가 없다. 다만, 인증기(20)에 루트키(2')가 미리 구비되어 있더라도 본 발명의 범주를 벗어나는 것은 아니고, 반대로 인증기(20)에 미리 구비되어 있지 않더라도, 인증요청기(10)로부터 받은 정보를 이용하여 루트키(2')가 생성되도록 구성될 수도 있다. 이 루트키(2, 2')를 이용하여, 서명 및 인증을 위한 메시지(6)는, 장치와 장치간 (Device-to-Device)에 조용하게(Silently) 통신될 수 있다.
본 발명에 있어서 루트키(2, 2')를 이용한 인증이 완료되고 나면, 그 이후로 장치와 장치 사이에 성립된 채널에서의 추후 암호화 및 복호화는, 이 루트키(2, 2')를 이용하여 시행할 수 있으므로, 보안 통신채널(Secure Connection Line)로 인식할 수 있다.
그리고 특히 상기 제1 루트키(2)는 상기 인증요청기(10)에서 암호화된 원본 루트키(1)를 복호화하여 생성되도록 구성됨이 바람직하다. 이를 위해, 상기 암호화된 원본 루트키(1)는, 상기 인증요청기(10) 내의 보안 저장장치(미도시) 내에 미리 저장되어 있어도 좋다.
이렇게 보안 저장장치 내에 미리 암호화된 상태로 원본 루트키(1)가 저장되어 있으므로, 해킹이 이루어지더라도 루트키(1)가 누출되기 어렵고, 설사 누출되더라도 해독 불가능하므로 안전하다.
그리고, 상기 인증기(20) 내에 제2 루트키(2')를 미리 구비하도록 하지 않도록 하는 구성으로서, 상기 인증요청기(10)에서 상기 인증기(20)에 제1 루트키(2)에 관한 정보를 보내고, 상기 인증기(20)는 이 정보로부터 상기 제1 루트키(2)와 동일한 제2 루트키(2')를 추출해 낼 수 있도록 구성하여도 좋다. 그러한 구성의 하나로서, 상기 정보는 암호화와 해시처리 결과로 이루어지도록 할 수 있다.
즉, 도 1 및 도 2와 같이, 상기 인증요청기(10)에서 상기 인증기(20)에 상기 암호화된 제1 메시지(7)와 함께, 상기 제1 루트키(2)의 제1 해시값(3)으로부터 생성된 암호화된 제1 해시값(4)과, 상기 제1 해시값(3)을 이용하여 상기 제1 루트키(2)로부터 생성된 암호화된 제1 루트키(5)가, 전송되도록 구성될 수 있다.
여기서, 상기 제1 해시값(3)의 해시 처리에는, 미리 정해진 해시 처리루틴, 예컨대 SHA-256(랜덤 값의 키와 루트키(2)의 암호화값 시드)을 이용하도록 이루어질 수 있다. 그리고 상기 암호화된 제1 해시값(4)의 암호화에는, 미리 정해진 암호화 처리루틴, 예컨대 ECIES(Elliptic Curve Integrated Encrypt Scheme)를 이용하도록 이루어질 수 있다. 그리고 상기 암호화된 제1 루트키(5)의 암호화에는, 예컨대 상기 해시값(3)을 이용하도록 이루어질 수 있다.
이 경우, 도 1 및 도 3과 같이, 상기 인증기(20)에서 상기 제2 루트키(2')는, 상기 암호화된 제1 해시값(4)으로부터 복호화되어 형성된 복호화된 제2 해시값(3')을 이용하여, 상기 암호화된 제1 루트키(5)로부터 복호화되어 생성되도록 구성됨이 바람직하다.
여기서, 상기 복호화된 제2 해시값(3')의 복호화는, 상기 암호화 처리루틴과 대응하여 미리 정해진 복호화 처리루틴, 예컨대 ECIES를 이용하도록 이루어질 수 있다.
이처럼 인증기(20) 내에 미리 루트키가 구비되어 있지 않더라도, 인증요청기(10)로부터 전송받은 암호화된 제1 루트키(5)와 암호화된 제1 해시값(4)을 이용하여, 루트키(2')의 생성이 가능하므로, 인증요청기(10)와 인증기(20) 사이에 미리 설정된 암호화 및 복호화 방식, 해시 방식 뿐아니라 암복호화 및 해시에 이용되는 데이터도 일치됨을 확인하여 인증할 수 있으므로, 보안이 더욱 철저해진다.
한편, 상기 제2 루트키(2')로부터 생성된 해시된 제2 해시값(3'')이 상기 복호화된 제2 해시값(3')과 일치하면, 상기 암호화된 제1 메시지(7)의 복호화에 상기 제2 루트키(2')가 이용되도록 허용됨이 바람직하다.
이 구성에 의하면, 암호화된 해시값의 복호화에 의한 결과값(3')과, 이와 다른 루트로 암호화된 루트키의 복호화 후의 해시에 의한 결과값(3'')가 서로 일치한다는 매우 우연성 낮은 조건을 만족하는 경우에만 비로소 제2 루트키(2')의 정당성, 즉 제1 루트키(2)와의 일치로 판단하고, 이 제2 루트키(2')를 이용한 메시지의 복호화를 진행하는 것이다. 이로써 보안이 더욱 강화된다.
<FIDO 기반 인증 대용의 암묵인증시스템>
한편, 본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증 시스템은, 인증을 요청하는 인증요청기(10)와 인증요청에 응답하는 인증기(20) 사이의 FIDO를 기반으로 하는 인증 대용의 인증시스템이다.
여기서, 상기 인증요청기(10)는, 인증을 위한 제1 메시지(6)로부터 암호화된 제1 메시지(7)를 생성하는 제1 메시지 암호화부(미도시)와, 상기 암호화된 제1 메시지(7)를 상기 인증기(20)에 전송하는 전송부(미도시)를 포함하여 구성되고, 상기 인증기(20)는, 상기 암호화된 제1 메시지(7)를 복호화하여 제2 메시지(6')를 생성하는 제1 메시지 복호화부(미도시)와, 상기 제1 메시지(6)와 제2 메시지(6')가 동일 또는 대응되는 경우에 인증으로 결정하는 인증결정부(미도시)를 포함하여 구성됨을 특징으로 한다.
<기록매체에 저장된 프로그램>
그리고, 본 발명의 일실시예에 따른 기록매체에 저장된 프로그램은, 상기 방법을 정보처리기기에서 실행시키기 위한 프로그램을 기록한 기록매체에 저장된 프로그램이다.
도 5와 같이, 본 발명의 일실시예에 따른 FIDO 기반 인증 대용의 암묵인증 방법, 시스템 및 프로그램은, 예컨대 사용자의 간섭(interaction)을 제거하는 방식으로 IoT에서 빈번히 쓰이는 LPWAN 통신기기들에 효율적으로 사용할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
본 발명은, FIDO 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램의 산업에 이용될 수 있다.
1: 암호화된 원본 루트키
2: 복호화된 제1 루트키 2': 복호화된 제2 루트키
3: 제1 해시값 3', 3'': 제2 해시값
4, 4': 암호화된 제1 해시값
5, 5': 암호화된 제1 루트키
6: 원본 제1 메시지 6': 복호화된 제2 메시지
7, 7': 암호화된 제1 메시지

Claims (7)

  1. 인증을 요청하는 인증요청기와 인증요청에 응답하는 인증기 사이의 FIDO를 기반으로 하는 인증 대용의 인증방법으로서,
    FIDO 기반 인증 대신에, 상기 인증요청기에서 인증을 위한 제1 메시지로부터 암호화된 제1 메시지가 생성되어 상기 인증기로 전송되고,
    상기 인증기에서 상기 암호화된 제1 메시지가 복호화되어 제2 메시지가 생성되며,
    상기 제1 메시지와 제2 메시지가 동일 또는 대응되는 경우에 인증으로 결정되고,
    상기 제1 메시지는 상기 인증요청기 내의 제1 루트키에 의해 암호화되고,
    상기 제2 메시지는 상기 인증기 내의 제2 루트키에 의해 복호화되며,
    상기 암호화된 제1 메시지와 함께, 상기 인증요청기에서, 상기 제1 루트키의 제1 해시값으로부터 미리 정해진 암호화 처리루틴에 의해 암호화되어 생성된 암호화된 제1 해시값과, 상기 제1 해시값을 이용하여 상기 제1 루트키로부터 생성된 암호화된 제1 루트키가, 상기 인증기에 전송되고,
    상기 제2 루트키는, 상기 인증기에서, 상기 암호화된 제1 해시값으로부터 상기 암호화 처리루틴에 대응되는 복호화 처리루틴에 의해 복호화되어 형성된 복호화된 제2 해시값을 이용하여, 상기 암호화된 제1 루트키로부터 복호화되어 생성됨
    을 특징으로 하는 FIDO 기반 인증 대용의 암묵인증방법.
  2. 청구항 1에 있어서,
    상기 제1 루트키는 상기 인증요청기에서 암호화된 원본 루트키를 복호화하여 생성됨
    을 특징으로 하는 FIDO 기반 인증 대용의 암묵인증방법.
  3. 청구항 1에 있어서,
    상기 제2 루트키로부터 생성된 해시된 제2 해시값이 상기 복호화된 제2 해시값과 일치하면, 상기 암호화된 제1 메시지의 복호화에 상기 제2 루트키가 이용되도록 허용됨
    을 특징으로 하는 FIDO 기반 인증 대용의 암묵인증방법.
  4. 인증을 요청하는 인증요청기와 인증요청에 응답하는 인증기 사이의 FIDO를 기반으로 하는 인증 대용의 인증시스템으로서,
    상기 인증요청기는,
    FIDO 기반 인증 대용의 인증을 위한 제1 메시지로부터 암호화된 제1 메시지를 생성하는 제1 메시지 암호화부와,
    상기 암호화된 제1 메시지를 상기 인증기에 전송하는 전송부
    를 포함하여 구성되고,
    상기 인증기는,
    상기 암호화된 제1 메시지를 복호화하여 제2 메시지를 생성하는 제1 메시지 복호화부와,
    상기 제1 메시지와 제2 메시지가 동일 또는 대응되는 경우에 인증으로 결정하는 인증결정부
    를 포함하여 구성되며,
    상기 제1 메시지는 상기 인증요청기 내의 제1 루트키에 의해 암호화되고,
    상기 제2 메시지는 상기 인증기 내의 제2 루트키에 의해 복호화되며,
    상기 암호화된 제1 메시지와 함께, 상기 인증요청기에서, 상기 제1 루트키의 제1 해시값으로부터 미리 정해진 암호화 처리루틴에 의해 암호화되어 생성된 암호화된 제1 해시값과, 상기 제1 해시값을 이용하여 상기 제1 루트키로부터 생성된 암호화된 제1 루트키가, 상기 인증기에 전송되고,
    상기 제2 루트키는, 상기 인증기에서, 상기 암호화된 제1 해시값으로부터 상기 암호화 처리루틴에 대응되는 복호화 처리루틴에 의해 복호화되어 형성된 복호화된 제2 해시값을 이용하여, 상기 암호화된 제1 루트키로부터 복호화되어 생성됨
    을 특징으로 하는 FIDO 기반 인증 대용의 암묵인증시스템.
  5. 청구항 1에 기재된 FIDO 기반 인증 대용의 암묵인증방법을 정보처리기기에서 실행시키기 위한 프로그램을 기록한 기록매체에 저장된 프로그램.
  6. 삭제
  7. 삭제
KR1020180082006A 2018-07-16 2018-07-16 Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램 KR102192477B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180082006A KR102192477B1 (ko) 2018-07-16 2018-07-16 Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180082006A KR102192477B1 (ko) 2018-07-16 2018-07-16 Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램

Publications (2)

Publication Number Publication Date
KR20200008186A KR20200008186A (ko) 2020-01-28
KR102192477B1 true KR102192477B1 (ko) 2020-12-18

Family

ID=69370454

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180082006A KR102192477B1 (ko) 2018-07-16 2018-07-16 Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램

Country Status (1)

Country Link
KR (1) KR102192477B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021100907A1 (ko) * 2019-11-20 2021-05-27 (주)이더블유비엠 Fido 기반 암묵인증방법, 시스템 및 프로그램

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7860802B2 (en) * 2005-02-01 2010-12-28 Microsoft Corporation Flexible licensing architecture in content rights management systems
KR101729960B1 (ko) * 2013-10-21 2017-04-25 한국전자통신연구원 신뢰 보안 플랫폼 모듈을 이용한 보안 애플리케이션 인증 및 관리 방법 및 장치
US9270469B2 (en) * 2014-02-20 2016-02-23 Xilinx, Inc. Authentication using public keys and session keys
KR20160084680A (ko) 2015-01-06 2016-07-14 주식회사 케이티 Iot 디바이스 인증 방법, iot 디바이스 인증 수행 방법, 사용자 단말 및 인증 서버
KR101924047B1 (ko) * 2016-05-10 2019-02-25 주식회사 엔젠소프트 암호화 방법 및 이를 이용한 송신 장치, 복호화 방법 및 이를 이용한 수신 장치
KR101897715B1 (ko) * 2016-12-15 2018-10-29 한국인터넷진흥원 바이오정보를 이용한 패스워드 없는 전자서명 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. Menezes 외 2명, Handbook of Applied Cryptography, Chapter.10, CRC Press (1996.)

Also Published As

Publication number Publication date
KR20200008186A (ko) 2020-01-28

Similar Documents

Publication Publication Date Title
US11757662B2 (en) Confidential authentication and provisioning
US11563567B2 (en) Secure shared key establishment for peer to peer communications
US9825765B2 (en) Method for distributed trust authentication
US8719952B1 (en) Systems and methods using passwords for secure storage of private keys on mobile devices
CA2590989C (en) Protocol and method for client-server mutual authentication using event-based otp
US9491174B2 (en) System and method for authenticating a user
US20030204724A1 (en) Methods for remotely changing a communications password
US11316685B1 (en) Systems and methods for encrypted content management
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
US9647842B2 (en) Dual-party session key derivation
KR102364649B1 (ko) Puf 기반 사물인터넷 디바이스 인증 장치 및 방법
Khan et al. A brief review on cloud computing authentication frameworks
KR102192477B1 (ko) Fido 기반 인증 대용의 암묵인증방법, 시스템 및 프로그램
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
KR20220126733A (ko) Fido 기반 암묵인증방법, 시스템 및 프로그램
CN112398818B (zh) 一种软件激活方法及其相关装置
KR20230056151A (ko) 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법
CN114900288A (zh) 一种基于边缘服务的工业环境认证方法
CN117643010A (zh) 无证书认证和安全通信
CN116915388A (zh) 信息传输方法、相关设备及存储介质
CN116961988A (zh) 用于保证客户端的私用密钥安全的方法、系统和介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right