KR19990038925A - 분산 환경에서 안전한 양방향 인증 방법 - Google Patents
분산 환경에서 안전한 양방향 인증 방법 Download PDFInfo
- Publication number
- KR19990038925A KR19990038925A KR1019970058806A KR19970058806A KR19990038925A KR 19990038925 A KR19990038925 A KR 19990038925A KR 1019970058806 A KR1019970058806 A KR 1019970058806A KR 19970058806 A KR19970058806 A KR 19970058806A KR 19990038925 A KR19990038925 A KR 19990038925A
- Authority
- KR
- South Korea
- Prior art keywords
- server
- client
- authentication
- ticket
- information
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
본 발명은 분산환경에서 안전한 양방향 인증 방법에 관한 것이다. 분산 시스템 환경에서 다수의 호스트가 네트워크에 상호 연결되어 다양한 사용자가 공통적으로 이용하기 때문에 심각한 보안 문제를 갖고 있으며 사용자가 정당한 사용자인가를 확인하기 위한 인증 방식에 관한 것이다. 일반적으로 분산 환경에 있어서 현재 대표적인 인증 방식에는 커버로스(Kerberos) 및 야크샤(Yakasha) 방식이다.
그러나, 기존의 인증 방식은 안전성에 대한 문제점을 지니고 있으므로 상기 문제를 해결하기 위해 본 발명은 공개키 알고리즘과 비밀키 알고리즘을 적용한 효율적인 양방향 인증 방식으로 키 정보를 저장하는 또 다른 데이터 베이스가 불필요하며, 다양한 기능을 제공한다.
Description
본 발명은 분산환경에서 안전한 양방향 인증 방법에 관한 것이다.
일반적으로, 분산 시스템 환경에서 다수의 호스트가 네트워크에 상호 연결되어 있어 다양한 사용자가 공통적으로 이용하기 때문에 보안 문제를 갖고 있어, 원하는 서버에게 서비스를 요청할 수 있으며, 이때 사용자가 정당한 사용자인가를 확인하기 위한 인증 방식이 필요하다. 인증은 사용자 인증과 메시지 인증 방식으로 나누어지는데, 사용자 인증 방식으로는 패스워드를 이용하여 정당한 사용자인가를 확인하는 방법, 암호를 이용하는 시도 응답 방법(Challenge-Response), 영지식 상호증명(ZKIP:Zero Knowledge Interactive Proof) 등이 있으며 특히, 분산 환경에 있어서 현재 대표적인 인증 방식에는 커버로스(Kerberos)방식 및 커버로스(Kerberos) 와의 적합성을 고려한 공개키 암호를 적용한 야크샤(Yakasha)방식이다.
커버로스(Kerberos) 인증 방식은 첫째, 인증서버가 각 클라이언트의 비밀키를 보관하고 있어야 하며, 티켓 발행에 의한 사용자 인증을 실현하고 있지만 디지털 서명 기능은 제공하고 있지 않다. 둘째, 하나의 패스워드가 도난 당하면 이를 획득한 도청자로부터 새로운 티켓을 해독하는데 사용되고, 재전송 공격을 위하여 타임스템프에 의존하는데 이것은 동기화 되어야 하고 안전한 클럭이 요구된다. 셋째, 다수의 세션키를 사용하고 있으며, 또한 패스워드에 대한 사전적(dictionary) 공격에 약하다.
야크샤(Yakasha) 인증 방식은 첫째, 공개키 증명서를 발행할 인증 기관이 분산망내에 반드시 추가 해야하며, 알에스에이(RSA) 공개키 알고리즘만이 사용되는 점, 클라이언트와 서버사이의 서비스를 재 개시할 경우 모든 단계를 수행해야하는 번거로움이 있다. 둘째, 특정 모델에는 사용할수 없다.
기존의 인증 프로토콜은 인증서버에서 모든 사용자와 서버의 비밀키를 보유하고 있기 때문에 인증서버에 대한 비밀키를 알게 되면 모든 시스템에 악영향을 준다. 그리고 현실적으로 응용측면에서 상기 인증 방식들은 가장 중요한 문제로 안전성 및 효율성에 대한 문제점을 지니고 있다.
따라서, 본 발명은 공개키 알고리즘 과 비밀키 알고리즘을 적용한 효율적인 양방향 인증 방식으로서, 다양한 기능을 제공할 뿐만 아니라 키 정보를 저장하는 또 다른 데이터 베이스가 불필요하여, 안전성 및 효율적인 측면에서 기존의 인증 방식보다 더욱 더 안전한 양방향 인증 방법을 제공하는 것이 그 목적이다.
상기한 목적을 달성하기 위한 본 발명은 근거리 통신망, 공중 통신망, 전산망 등과 같은 정보를 전달할 수 있는 통신망에 접속되어 있으며, 정보의 요청을 승인하는 서버와, 상기 서버에 접속을 요청하는 사용자인 클라이언트와, 상기 서버 및 클라이언트 사이의 서비스를 교환하기 위해 필요한 세션키 및 공개키를 생성하는 인증 서버를 포함하여 이루어진 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명에 따른 클라이언트는 인증 서버에게 정보를 보내어 서버를 요청한 후 인증서버는 클라이언트와 서버 간의 세션키 및 티켓을 생성하여 상기 인증서버와 클라이언트 사이의 비밀키로 암호화하여 클라이언트에게 전달하는 단계: 상기 클라이언트는 인증서버로부터 수신하여 구한 세션키를 이용하여 생성한 인증자 및 티켓을 서버에게 전송하는 단계: 및 상기 서버는 상기 티켓을 복호화 한 다음 상기 티켓에서 복구된 정보와 복호화된 세션 키를 이용하여 상기 인증자로부터 복구된 정보가 서로 일치하는지 확인하여 클라이언트의 정당성을 확인하는 단계를 포함하여 이루어지는 것을 특징으로 한다.
도 1은 본 발명에 따른 분산 환경에서 안전한 양방향 인증 방법의 시스템 구성도.
도 2는 본 발명에 따른 분산 환경에서 안전한 양방향 인증 방법의 전체 흐름도,
도 3 은 본 발명에 따른 분산 환경에서 안전한 양방향 인증 방법의 절차도.
<도면의 주요부분에 대한 부호의 설명>
1 ; 인증서버 2 ; 클라이언트
3 ; 서버
이하, 첨부한 도면을 참조하여 본 발명을 상세히 설명하면 다음과 같다.
본 발명은 개방형 시스템인 네트워크를 통한 서버와 클라이언트 사이에서의 서비스 교환을 클라이언트가 자신의 신원을 서버에게 확인시킨 양방향 인증 방법이다.
본 발명에서 사용되는 기호는 다음과 같이 정의한다.
c = 클라이언트
s = 서버
as = 인증 서버
IDc= 클라이언트 의 ID
ADc= 클라이언트(c) 의 주소
IDs= 액세스를 원하는 서버(s) 의 ID
R = 랜덤 수
KPs = 서버의 공개키
KSs = 서버의 비밀키
KS as = 인증 서버의 비밀키
SKc = 클라이언트의 비밀키
TS = 시간
Texp = 티켓(Ticket)의 유효 시간
도 1은 본 발명에 따른 전체 시스템 구성도로서, (1)는 서버와 클라이언트사이의 서비스를 교환하기 위해 필요한 세션키 및 공개키를 생성하는 인증서버이고, (2)는 서버에 접속하기 위한 요청하는 사용자인 클라이언트이며, (3)은 요청을 승인하는 서버이다. 이들은 근거리 통신망, 공중 통신망, 전산망 등과 같은 정보를 전달할 수 있는 통신망에 접속되어 있다.
도 2는 본 발명에 따른 양방향 인증 방식의 전체 흐름도로서, (20)은 클라이언트는 인증 서버에게 정보를 보내어 서버를 요청하고, (21)은 인증 서버는 클라이언트와 서버 간의 세션키 와 티켓(Ticket) 을 각각 생성하여 인증 서버와 클라이언트 사이의 비밀키로 암호화하여 클라이언트에게 전달한다. (22)는 클라이언트는 인증 서버로부터 수신하여 구한 세션키를 이용하여 생성한 인증자(Authenticator)와 티켓(Ticket)을 서버(s)에게 전송한다. (23)는 서버는 티켓을 복호화 한 다음 티켓에서 복구된 정보와 복호화된 세션 키를 이용하여 인증자로부터 복구된 정보가 서로 일치하는지 확인하므로써, 클라이언트의 정당성을 확인시켜준다.
도 3은 본 발명에 따른 양방향 인증 절차도로서, 클라이언트와 서버간의 서비스 승인 단계별 절차는 다음과 같다.
1 단계에서 클라이언트는 IDc, ADc, IDs, R 정보를 생성 하여 인증 서버에 보내어 서비스를 요청한다(30). 여기서, 랜덤수(R)는 사전적(dictionary) 공격을 방지하기 위한 랜덤 난수이다.
2 단계에서 인증서버는 클라이언트와 서버간의 세션키(ssk)와 티켓(Ticket) = EKPs[IDc, ADc, IDs, ssk, Texp]를 각각 생성하여 인증 서버와 클라이언트 사이의 비밀키(SKc)로 암호화 하여 클라이언트에게 전달한 세션키(ssk)는 먼저 비밀키(SKc)로 암호화 한 결과를 다시 인증 서버의 비밀키(KSas)로서 IDs, Texp, R, ESKc(ssk)을 암호화한다(40).
3 단계에서 클라이언트는 인증 서버로부터 수신하여 구한 세션키(ssk)를 이용하여 생성한 인증자(Authenticator)=Essk[IDc, ADc, TS]와 티켓(Ticket)을 서버에게 전송한다(50).
4단계에서 서버는 티켓(Ticket)을 자신의 비밀키(KSs)로 티켓(Ticket)을 복호화한 후 티켓(Ticket)에서 복구된 IDc, ADc,IDs, ssk, Texp 와 복호화된 세션 키 (ssk)를 이용하여 인증자로부터 복구된 IDc, ADc 가 서로 일치하는지 확인한다. 그후 서버는 자신이 정당한 서버임을 증명하기 위해 Essk [TS]을 클라이언트에게 보낸다(60).
상기와 같이 발명은 (30)에서 난수발생기를 사용하므로 사전적(dictionary)공격에 안전하며, (50)에서 필요한 세션키는 (40)에서 암호화된 메시지로부터 세션키를 알 수 없으며, (50)에서 타임 스템프를 사용하게 되므로 재전송 공격(replay attack)에도 안전하다. 기존의 인증 프로토콜인 커버로스(Kerberos)와 야크샤 (Yakasha)등에서는 프로토콜 교환을 6단계 보다 적은 4단계에 의해서 수행되므로 프로토콜 변화를 최소화하였으며 가장 중요한 티켓은 변경되지 않으면서 소규모 특정 모델에 안전하며 효율적으로 사용할 수 있다.
상술한 바와같이 본 발명은 기존의 인증 프로토콜 공격인 대재난에 대한 취약점, 사전적(dictionary)공격, 재전송 공격 등을 적용하였을 경우에도 안전할 뿐 아니라 작은 사이즈의 비밀키를 사용하므로 스마트 카드 등에 적합하게 사용할 수 있다. 분산 환경에서 커버로스(Kerberos)와 야크샤 (Yakasha) 인증 방식보다 더 안전성을 더욱 보장할 수 있고, 디지털 서명 등 다양한 기능을 제공하여 효율적으로 구성하는 방식으로서 신분 확인 등 정보 보호 서비스를 제공하는 다양한 환경에서 안전하며 효율적으로 사용할 수 있다.
Claims (2)
- 근거리 통신망, 공중 통신망, 전산망 등과 같은 정보를 전달할 수 있는 통신망에 접속되어 있으며, 정보의 요청을 승인하는 서버와,상기 서버에 접속을 요청하는 사용자인 클라이언트와,상기 서버 및 클라이언트 사이의 서비스를 교환하기 위해 필요한 세션키 및 공개키를 생성하는 인증 서버를 포함하여 이루어진 것을 특징으로 하는 분산 환경에서 안전한 양방향 인증 방법.
- 클라이언트는 인증 서버에게 정보를 보내어 서버를 요청한 후 인증 서버는 클라이언트와 서버 간의 세션키 및 티켓을 생성하여 상기 인증 서버와 클라이언트 사이의 비밀키로 암호화하여 클라이언트에게 전달하는 단계:상기 클라이언트는 인증 서버로부터 수신하여 구한 세션키를 이용하여 생성한 인증자 및 티켓을 서버에게 전송하는 단계: 및상기 서버는 상기 티켓을 복호화한 다음 상기 티켓에서 복구된 정보와 복호화된 세션 키를 이용하여 상기 인증자로부터 복구된 정보가 서로 일치하는지 확인하여 클라이언트의 정당성을 확인하는 단계를 포함하여 이루어지는 것을 특징으로 하는 분산 환경에서 안전한 양방향 인증 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019970058806A KR19990038925A (ko) | 1997-11-07 | 1997-11-07 | 분산 환경에서 안전한 양방향 인증 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019970058806A KR19990038925A (ko) | 1997-11-07 | 1997-11-07 | 분산 환경에서 안전한 양방향 인증 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR19990038925A true KR19990038925A (ko) | 1999-06-05 |
Family
ID=66087362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1019970058806A KR19990038925A (ko) | 1997-11-07 | 1997-11-07 | 분산 환경에서 안전한 양방향 인증 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR19990038925A (ko) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100341852B1 (ko) * | 1999-08-30 | 2002-06-26 | 오길록 | 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법 |
| KR100377195B1 (ko) * | 1999-08-16 | 2003-03-28 | 한국전자통신연구원 | 지능망 연동 시스템에서의 방문 사용자 인증 방법 |
| KR100434436B1 (ko) * | 2001-07-10 | 2004-06-04 | (주)니트 젠 | 웹모듈 인증 장치 및 방법 |
| KR100450405B1 (ko) * | 2002-08-12 | 2004-09-30 | 한국전자통신연구원 | 개인식별정보를 이용한 라우터간 접근정책 전송방법 |
| KR100498747B1 (ko) * | 2000-11-25 | 2005-07-01 | 엘지전자 주식회사 | 사내망의 통합 보안 시스템 |
| KR100573700B1 (ko) * | 2004-05-15 | 2006-04-25 | 주식회사 니츠 | 분산환경을 지원하는 안전한 멀티에이전트 시스템 및보안서비스 제공방법 |
| WO2008091477A1 (en) * | 2007-01-19 | 2008-07-31 | Microsoft Corporation | Mechanism for utilizing kerberos features by an ntlm compliant entity |
| KR100957044B1 (ko) * | 2007-07-26 | 2010-05-18 | 성균관대학교산학협력단 | 커버로스를 이용한 상호 인증 방법 및 그 시스템 |
| KR100986441B1 (ko) * | 2002-05-15 | 2010-10-08 | 마이크로소프트 코포레이션 | 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체 |
-
1997
- 1997-11-07 KR KR1019970058806A patent/KR19990038925A/ko not_active Application Discontinuation
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100377195B1 (ko) * | 1999-08-16 | 2003-03-28 | 한국전자통신연구원 | 지능망 연동 시스템에서의 방문 사용자 인증 방법 |
| KR100341852B1 (ko) * | 1999-08-30 | 2002-06-26 | 오길록 | 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법 |
| KR100498747B1 (ko) * | 2000-11-25 | 2005-07-01 | 엘지전자 주식회사 | 사내망의 통합 보안 시스템 |
| KR100434436B1 (ko) * | 2001-07-10 | 2004-06-04 | (주)니트 젠 | 웹모듈 인증 장치 및 방법 |
| KR100986441B1 (ko) * | 2002-05-15 | 2010-10-08 | 마이크로소프트 코포레이션 | 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체 |
| KR100450405B1 (ko) * | 2002-08-12 | 2004-09-30 | 한국전자통신연구원 | 개인식별정보를 이용한 라우터간 접근정책 전송방법 |
| KR100573700B1 (ko) * | 2004-05-15 | 2006-04-25 | 주식회사 니츠 | 분산환경을 지원하는 안전한 멀티에이전트 시스템 및보안서비스 제공방법 |
| WO2008091477A1 (en) * | 2007-01-19 | 2008-07-31 | Microsoft Corporation | Mechanism for utilizing kerberos features by an ntlm compliant entity |
| KR100957044B1 (ko) * | 2007-07-26 | 2010-05-18 | 성균관대학교산학협력단 | 커버로스를 이용한 상호 인증 방법 및 그 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7865936B2 (en) | System and method for controlling access to multiple public networks and for controlling access to multiple private networks | |
| US5418854A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
| US6073237A (en) | Tamper resistant method and apparatus | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| JP5345675B2 (ja) | トークンとベリファイアとの間の認証のためのネットワーク・ヘルパー | |
| US7231526B2 (en) | System and method for validating a network session | |
| CA2463034C (en) | Method and system for providing client privacy when requesting content from a public server | |
| US8724819B2 (en) | Credential provisioning | |
| US7685421B2 (en) | System and method for initializing operation for an information security operation | |
| US20100195824A1 (en) | Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure | |
| US20030115452A1 (en) | One time password entry to access multiple network sites | |
| US10263782B2 (en) | Soft-token authentication system | |
| WO1998037661A1 (en) | Apparatus and method for authentification and encryption of a remote terminal over a wireless link | |
| WO2006078572A2 (en) | Asymmetric crypto-graphy with rolling key security | |
| GB2371957A (en) | Method of authenticating a network access server | |
| CN111159684B (zh) | 一种基于浏览器的安全防护系统和方法 | |
| WO2005088892A1 (en) | A method of virtual challenge response authentication | |
| CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
| KR19990038925A (ko) | 분산 환경에서 안전한 양방향 인증 방법 | |
| KR20010079161A (ko) | 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법 | |
| JP2001069138A (ja) | 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式 | |
| WO2001011817A2 (en) | Network user authentication protocol | |
| KR100681005B1 (ko) | 키 로밍 방법 및 그를 위한 시스템 | |
| JP2002051036A (ja) | キーエスクロー方式 | |
| JPH09130376A (ja) | 利用者パスワード認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |