KR20030061558A - User authentification using a virtual private key - Google Patents

User authentification using a virtual private key Download PDF

Info

Publication number
KR20030061558A
KR20030061558A KR1020020002095A KR20020002095A KR20030061558A KR 20030061558 A KR20030061558 A KR 20030061558A KR 1020020002095 A KR1020020002095 A KR 1020020002095A KR 20020002095 A KR20020002095 A KR 20020002095A KR 20030061558 A KR20030061558 A KR 20030061558A
Authority
KR
South Korea
Prior art keywords
user
server
message
private key
digest
Prior art date
Application number
KR1020020002095A
Other languages
Korean (ko)
Inventor
한웅
Original Assignee
(주) 씨네티아 정보통신
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 씨네티아 정보통신 filed Critical (주) 씨네티아 정보통신
Priority to KR1020020002095A priority Critical patent/KR20030061558A/en
Publication of KR20030061558A publication Critical patent/KR20030061558A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

PURPOSE: A method for authenticating an user by using a private key is provided to authenticate the user by using a digest in a registration process and an authentication process. CONSTITUTION: A private key of an user is obtained from the user(910). An encryption key is obtained from a client side related to the user and the encryption key is decoded by using the private key(920). A preliminary digest is calculated by using a time stamp, an user authentication serial number, and an encryption key of a client(930,940). An encryption key of an encoded server is obtained from a non-encoded message including the time stamp, the user authentication serial number, and the encryption key and the encryption key of the encoded server is decoded by using the private key(975). The calculated digest is calculated by using the time stamp, the user authentication serial number from the non-encoded message(980). The message is authenticated by comparing the calculated digest to the preliminary digest(985-992).

Description

가상개인키를 이용한 사용자 인증방법 {USER AUTHENTIFICATION USING A VIRTUAL PRIVATE KEY}User Authentication using Virtual Private Key {USER AUTHENTIFICATION USING A VIRTUAL PRIVATE KEY}

첫째 본 발명은 PKI를 이용한 강한 인증을 제공하는 방법과 관련이 있다. 또한 본 발명은 컴퓨터 시스템에서 가상 개인키를 이용하여 사용자 인증을 가능케 하는 소프트웨어 프로그램과 관련이 있다. 더 나아가 본발명은 가상 개인키를 이용하여 사용자 인증이 행해지는 컴퓨터 시스템과 관련이 있다.First, the present invention relates to a method for providing strong authentication using a PKI. The present invention also relates to a software program that enables user authentication using a virtual private key in a computer system. The present invention further relates to a computer system in which user authentication is performed using a virtual private key.

둘째 본 발명은 마그네틱 스와프 카드나 생체 인식 장치등에서 강한 사용자 인증을 제공하는 방법과 관련이 있다. 또한 본 발명은 컴퓨터 시스템에서 행해지는 마그네틱 스와프 카드나 생체인식 장치에서 사용자 인증을 가능케 하는 소프트웨어 프로그램과 관련이 있다. 더 나아가 본 발명은 마그네틱 스와프 카드나 생체인식 장치를 이용하여 사용자 인증이 행해지는 컴퓨터 시스템과 관련이 있다.Secondly, the present invention relates to a method for providing strong user authentication in a magnetic swap card or a biometric device. The present invention also relates to a software program that enables user authentication in a magnetic swap card or biometric device performed in a computer system. The present invention further relates to a computer system in which user authentication is performed using a magnetic swipe card or biometric device.

셋째 본 발명은 패스문구를 이용하여 강한 사용자 인증을 제공하는 방법과 관련이 있다. 또한 본 발명은 컴퓨터 시스템에서 패스 문구를 이용한 사용자 인증 소프트웨어 프로그램과 관련이 있다. 더 나아가 본 발명은 패스 문구를 이용하여 사용자 인증이 이루어지는 컴퓨터 시스템과 관련이 있다.Third, the present invention relates to a method for providing strong user authentication using pass phrases. The invention also relates to a user authentication software program using pass phrases in a computer system. The invention further relates to a computer system in which user authentication is made using pass phrases.

2. 관련기술2. Related Technology

오늘날 PKI 시스템 인증은 사용자가 개인키를 알고 있다는 것에 기초한다. 그러나 개인키는 사용자가 기억할 수 있거나 자신이 직접 입력 할 수 있는 것이 아니다. 따라서 보통의 경우 개인키는 컴퓨터에 암호화 되어 저장되어 있다가 사용자의 패스워드 입력에 의해서 사용되어지게 된다. 그러나 패스워드 입력이 보안에 있어서는 가장 약한 방법이라는 것이 문제이다. 사용자가 기억할 수 있는 패스워드는 똑똑한 침입자나 해커에게는 쉽게 알아낼 수 있는 것으로 판단된다. 따라서 오늘날 PKI기술은 개인키가 단지 패스워드로만 보호되어지고 있기 때문에 약한 연결 문제를 가지고 있다고 여겨진다.PKI system authentication today is based on the fact that a user knows a private key. However, the private key is not something that the user can remember or enter directly. Therefore, in general, the private key is encrypted and stored in the computer and used by the user's password input. But the problem is that password entry is the weakest method of security. The passwords that users can remember can be easily found by smart intruders and hackers. Therefore, PKI technology today is considered to have a weak connection problem because private keys are only protected by passwords.

다른 문제는 PKI시스템이 저장공간에 제한이 있는 특정한 환경에서는 쉽게 사용할 수 없다는 것이다. PKI시스템에서 송신자를 인증하기 위해서 사용하는 전자 서명은 메시지 이다. 1024비트 키를 기초로 한 전자 서명에서는 적어도 2000바이트 이상이 요구된다. 그러나 특정한 경우 저장공간의 한계 때문에 직접적인 PKI 기술(특히 전자 서명)의 적용이 불가능하다. 이런 특정한 환경의 예는 마그네틱 스와프카드이다. 신용카드나 다른 마그네틱 스와프카드에는 2000바이트 이상을 저장할 공간이 없다. 다른 예는 원격접근프로토콜(remote access protocol)에 있다. 클라이언트 스테이션은 보안서버와 직접 통신하지 않는다. 대신 클라이언트 스테이션은 통신서버와 통신을 한다. 원격접근프로토콜은 클라이언트 스테이션과 통신서버의 통신에 사용이 되는데 이것은 일반적으로 사용자에게 사용자 아이디와 패스워드를 얻도록 설계 되어져 있다. 이런 프로토콜의 일반적인 예가 PPP프로토콜이다. 이런 사용자 아이디/패스워드는 프로토콜이 사용자 아이디/패스워드 필드로 60바이트를 전송할 수 있다는 것에 근거 하고 있다. 그러나 이것은 공개키 기술로 사용자 인증, 암호화, 전자서명을 하기에는 충분한 공간이 되지 않는다. 따라서 PKI인증은 원격접근시스템에서는 효과적으로 사용되어 질 수 없다.Another problem is that PKI systems are not readily available in certain environments with limited storage space. The digital signature used by the PKI system to authenticate the sender is a message. At least 2000 bytes are required for digital signatures based on 1024-bit keys. In certain cases, however, storage space limitations prevent direct PKI technology (especially digital signatures). An example of this particular environment is a magnetic swap card. Credit cards and other magnetic swap cards do not have more than 2000 bytes of storage. Another example is in the remote access protocol. The client station does not communicate directly with the security server. Instead, the client station communicates with a communication server. Remote access protocols are used for communication between client stations and communication servers, which are generally designed to obtain a user ID and password from the user. A common example of such a protocol is the PPP protocol. This user ID / password is based on the protocol being able to send 60 bytes in the user ID / password field. However, this is a public key technology that is not enough space for user authentication, encryption, or digital signatures. Therefore, PKI authentication cannot be effectively used in remote access systems.

약한 연결 문제를 극복하기 위해서 이중 요소(two-factor)기술이 개발되었다. 이중 요소란 사용자가 알고 있는 것(예로 패스워드 등)과 사용자가 가지고 있는 것(예로마그네틱 스와프 카드, 지문 등)의 결합이다. 이중 요소 기술은 매우 강한 보안을 제공하지만 추가적인 하드웨어 장치를 요구한다는 문제점이 있다. 여기에 필요한 장치는 일반적으로 컴퓨터 시스템에 탑제 되어 있는것도 아니고 그런 장치가 없는 워크스테이션에서 작업하는 사용자들에게는 문젯거리가 된다. 따라서 이 이중 요소 기술은 바람직한 해결 방법이 되지 못한다.To overcome the weak connection problem, two-factor technology has been developed. The dual element is the combination of what the user knows (e.g. a password) and what the user has (e.g. a magnetic swipe card, fingerprint, etc.). Dual element technology provides very strong security but requires additional hardware devices. The equipment needed for this is usually not built into a computer system and is a problem for users working on workstations without such equipment. Thus this dual element technique is not a desirable solution.

따라서 패스워드로만 행해지는 보안의 약한 연결 문제의 해결과 추가적인 하드웨어의 요구가 없는 강한 사용자 인증을 할 수 있는 방법이 요구되어진다. 또한 제한된 저장공간을 가진 환경에 PKI기술을 적용할 수 있는 방법이 필요하다.Therefore, there is a need for a method for solving a weak connection problem of security that is performed only with a password and for strong user authentication without requiring additional hardware. There is also a need for a way to apply PKI technology to an environment with limited storage space.

본 발명은 위에서 정의되어진 문제를 등록과 인증의 두 개의 단계에서 다이제스트를 사용함으로써 해결한다.The present invention solves the problem defined above by using digest in two stages of registration and authentication.

첫째 제한된 저장공간을 가진 환경에 PKI기술을 사용하여 사용자 인증을 행하는 방법이다. 마그네틱 스와프 카드시스템은 제한된 저장공간을 가지고 있다. 원격접근시스템(전화선)에서 사용자 아이디/패스워드 필드의 크기는 제한되어 있다. 본 발명은 이런종류의 저장 공간이 제한되어 있는 환경에 유용하다. 본 발명은 PKI기술을 적용하는데 길이가 긴 키의 전송 없이 사용자 인증이 될 수 있도록 특별한 대화방법이 사용된다. 본 발명의 방법은 전체 길이의 개인 키 필드 영역을 상대적으로 짧은 데이터 필드로 사상 시키는 기술을 포함한다.First, user authentication is performed using PKI technology in an environment with limited storage space. Magnetic swap card systems have limited storage space. In remote access systems (phone lines), the user ID / password field is limited in size. The present invention is useful in environments where this kind of storage space is limited. In the present invention, a special conversation method is used to apply a PKI technique so that user authentication can be performed without transmitting a long key. The method includes the technique of mapping a full length private key field area into a relatively short data field.

본 발명의 기술을 원격접근환경에 적용하는데 있어 본 발명은 통상적인 등록과 인증 단계를 사용한다.In applying the techniques of the present invention to a remote access environment, the present invention uses conventional registration and authentication steps.

본 발명은 실재 PKI키와 인증 일련번호 또는 전자서명을 전송하지 않기 위해서 가상 개인키를 사용하여 PKI를 적용한다.The present invention applies a PKI using a virtual private key in order not to transmit the actual PKI key and authentication serial number or digital signature.

본론으로 들어가서 첫째 본 발명은 컴퓨터 시스템이나 컴퓨터 소프트웨어 프로그램에서 저장공간이 한정되어 있어서 직접적인 PKI기술을 사용할 수 없는 환경에서 PKI기술을 사용하여 사용자 메시지의 인증을 제공하는 방법이다. 일단 한번 등록이 된 상태에서 길이가 긴 키나 인증일련번호 혹은 전자서명의 실제적인 전송 없이 PKI기술을 사용한다. 개인키는 클라이언트 스테이션에서 사용자 인증에 사용되고 저장되어 있던 암호화된 비밀키를 얻어내는데 사용된다. 비밀키와 사용자의 X.509 ISO 표준 공개키 인증일련번호 그리고 시간도장을 이용하여 다이제스트를 계산한다. 메시지의 크기를 줄이기 위해서 사용자 인증일련번호를 사용한다. 다이제스트와 사용자인증일련번호 그리고 시간도장을 결합하여 간결한 메시지를 만들고 이것을 원격접근프로토콜에서 사용자 아이디/패스워드 필드를 이용하여 전송되게 된다. 비밀키나 개인키는 전송되지 않는다. 보안서버에 이미 저장되어 있던 비밀키는 받은 사용자인증일련련번호와 시간도장과 함께 다이제스트를 계산하는데 사용이 되고 이렇게 계산된 다이제스트와 받은 다이제스트를 비교한다. 만약 두개의 다이제스트가 일치하면 사용자는 인증된것으로 본다. 시간도장은 재전송 공격을 막기 위한 것이다.First, the present invention is a method for providing authentication of a user message using a PKI technology in an environment in which a storage space is limited in a computer system or a computer software program and thus a direct PKI technology cannot be used. Once registered, PKI technology is used without the actual transmission of long keys, authentication serial numbers, or digital signatures. The private key is used to authenticate the user at the client station and retrieve the encrypted secret key that was stored. The digest is calculated using the secret key, the user's X.509 ISO standard public key certificate serial number, and a time stamp. Use the user authentication serial number to reduce the size of the message. The digest, combining the user authentication serial number and the time stamp, creates a concise message that is sent using the user ID / password field in the remote access protocol. No private or private key is sent. The secret key already stored on the security server is used to calculate the digest, along with the serial number and time stamp of the user authentication, and compares the digest with the digest. If the two digests match, the user is considered authenticated. Time stamps are intended to prevent replay attacks.

둘째 본 발명은 사용자의 개인키 대신 참조사항 이라고 이름지은 어떤 정보를 사용하는 방법을 제공한다. 기본적으로 본 항목은 첫째 항목이 사용자 등록 과정에서 단 한번 사용자의 개인키가 필요하다는 점에서 차이가 있다. 따라서 사용자의 개인키를 사용하는 것이 아니라 마그네틱 스와프 카드 혹은 생체인식 장치와 같이 사용자가 가지고 있는 것에서 읽은 참조사항을 이용한다. 참조사항은 클라이언트의 비밀키로 사용되기 위해 간소화 된다. 그리고 사용자 인증 일련번호, 시간도장 비밀키를 이용하여 예비 다이제스트를 만든다. 이 예비 다이제스트는 사용자 인증일련번호와 시간도장과 함께 인증서버로 보내진다. 인증서버는 참조사항 자체를 저장하거나 혹은 다이제스트 형태로 저장한다. 다이제스트 형태의 참조사항은 서버의 비밀키로 사용되어 진다. 인증은 시간도장, 사용자 인증일련번호 그리고 비밀키를 이용하여 다이제스트를 계산하고 이것과 받은 예비 다이제스트와 비교하여 이루어 진다. 본 항목의 이점은 클라이언트에 참조사항이 저장되지 않는다는 것이다. 해커가 클라이언트 스테이션을 해킹하여 참조사항을 얻어 낼 수 없다. 또한 사용자의 개인키는 등록 이후에 사용되어 지지 않는다. 또한 사용자가 마그네틱 스와프 카드를 가지고 있거나 혹은 그와 비슷한 것을 가지고 있을 경우 사용자는 카드를 분실을 쉽게 알아 낼 수 있다. 마그네틱 스와프 카드 대신 참조사항으로 지문이나 망막 스캔이나 그와 비슷한 것을 사용할 수 있다. 또한 참조사항 그 자체는 등록 과정 한번만 전송이 이루어 지고 그 이후에는 네트워크 상에 존재하지 않는다.Secondly, the present invention provides a method of using some information named a reference instead of a user's private key. Basically, this item differs in that the first item requires the user's private key only once during the user registration process. So instead of using the user's private key, use the reference read from what the user has, such as a magnetic swipe card or biometric device. The reference is simplified to be used as the client's private key. A preliminary digest is made using the user authentication serial number and the time stamp secret key. This preliminary digest is sent to the authentication server with the user authentication serial number and time stamp. The authentication server stores the references themselves or in digest form. The digest type reference is used as the server's private key. Authentication is accomplished by using the time stamp, user authentication serial number, and secret key to calculate the digest and comparing it to the preliminary digest received. The advantage of this item is that no references are stored on the client. A hacker cannot hack a client station to get a reference. In addition, the user's private key is not used after registration. Also, if the user has a magnetic swap card or the like, the user can easily find the card lost. Instead of a magnetic swap card, you can use a fingerprint, retina scan, or the like as a reference. Also, the reference itself is sent only once during the registration process, after which it does not exist on the network.

셋째 본 발명은 참조사항을 대체하는 방법으로 패스문구를 사용하는 것이다. 즉 셋째 항목은 둘째 항목이 사용자가 무엇을 가지고 있어야 한다는 점에서만 차이가 난다. 사용자는 참조사항으로 쓰일 패스문구를 기억하고 사용하기만 하면 된다.참조사항과 마찬가지로 패스 문구는 클라이언트 스테이션에 저장되지 않는다. 둘째 항목에서 사용자 개인키는 등록과정에서만 사용되었고 그 이후에는 네트워크 상에 존재 하지 않았다. 셋째 항목은 거기에 덧붙여 추가적인 카드리더나 생체인식장치가 필요치 않다. 단지 키보드로 문구를 쳐 넣기만 하면 된다. 본 설명은 첨부한 도면을 참조하면 더욱 확실이 이해가 갈 것이다.Third, the present invention uses a pass phrase as a way to replace the reference. That is, the third item differs only in that the second item requires what the user has. The user only needs to remember and use the pass phrase to be used as a reference. Like the reference, the pass phrase is not stored on the client station. In the second section, the user private key was used only during the registration process and thereafter it did not exist on the network. In addition to the third item, no additional card reader or biometric device is required. Just type in a phrase on the keyboard. The description will be more clearly understood with reference to the accompanying drawings.

도면1 : 네트워크 보안상에서 보안서버로 접근Figure 1: Access to a security server on network security

도면2 : PKI시스템에서 공개키와 개인키의사용Figure 2: Use of public and private keys in PKI systems

도면3 : 공개키 참조 테이블Figure 3: Public Key Reference Table

도면4 : 메시지에 전자서명을 하는 방법Figure 4: How to digitally sign a message

도면5 : 메시지에 포함된 전자 서명을 인증하는 방법Figure 5: Method for authenticating a digital signature included in a message

도면6 : 전자서명을 생성하고 인증하는 방법의 흐름도Figure 6: Flow chart of a method for generating and authenticating a digital signature

도면7 : 원격접근환경 도Figure 7: Remote access environment diagram

도면8 : 가상개인키를 이용한 등록 절차Figure 8: Registration procedure using virtual private key

도면9 : 가상개인키를 이용한 인증 절차Figure 9: Authentication procedure using virtual private key

도면10 : 참조사항 혹은 패스문구를 이용한 등록 절차Figure 10: Registration procedure using reference or pass phrase

도면11 : 참조사항 혹은 패스문구를 이용한 인증 절차Figure 11: Authentication procedure using reference or pass phrase

여기서부터 언급한 항목에 대하여 상세히 기술한다. 첫번째로 원격접근 환경에 대한 것이고 다음으로 마그네틱 스와프 카드 환경 마지막으로 패스문구에 대해서 설명한다. 이상 3가지 항목에 대해서 많은 설명이 첨부되는데 이것은 본 발명의 이해를 위한 것이다.The items mentioned here are described in detail. First, the remote access environment, and then the magnetic swap card environment, and finally the pass phrase. Many descriptions are attached to the above three items, which are intended for understanding the present invention.

원격 접근 환경에 대한 항목Item for remote access environment

원격접근환경에 대하여 본 발명을 설명하기 전에 발명과 관련된 배경 원리부터 설명한다. 보안서버로 접근법, PKI에서 공개키와 개인키의 사용법, 그리고 전자 서명에 대한 것이다. 보안은 인터넷이 대중화 되어 있는 오늘날에 심각한 문제 중의 하나이다. 네트워크 보안의 중요한 측면은 사용자 인증이다. 사용자 인증은 세션의 초기화나 다른 활동에 있어 사용자의 유일성을 확인하거나 이미 확인된 사용자의 허용되지 않은 복제를 방지하는 것을 포함한다. 보안을 다루는데 있어 산업계에서는 보안서버 접근법을 도입하였다. 이런 접근법은 보안서버가 클라이언트와 응용서버 중간에서 양측을 매개함으로써 이루어진다. 보안서버의 역할은 클라이언트와 응용서버를 단일하게 연결시켜주는 것이다. 보안서버는 사용자가 인증되었을 경우에만 클라이언트와 응용서버와의 통신을 확립시켜준다. 이 글에서 보안서버라는 용어는 인컴패스(encompass) 보안서버, 프록시 서버, 방화벽, 인증서버를 의미한다.Before describing the present invention with respect to the remote access environment, the background principle related to the present invention will be described. The approach to a secure server, the use of public and private keys in PKI, and digital signatures. Security is one of the serious problems in today's popular world. An important aspect of network security is user authentication. User authentication includes verifying a user's uniqueness in initializing a session or other activity, or preventing unauthorized duplication of a user who has already been verified. In dealing with security, the industry has adopted a secure server approach. This approach is achieved by the security server intermediary between the client and the application server. The role of the security server is to provide a single connection between the client and the application server. The secure server establishes communication between the client and the application server only if the user is authenticated. In this article, the term security server refers to an incompass security server, proxy server, firewall, and authentication server.

보안서버 접근법Secure Server Approach

보안 서버 접근법에 대한 그림은 도면1이다. 매우 단순화된 그림이다. 10은 클라이언트를 의미한다. 클라이언트는 일반적인 목적의 컴퓨터 시스템이나 혹은 특수한 목적에 사용되는 컴퓨터 시스템에서 실행되고 있는 프로세스로 이해를 하면 된다. 프로세스로서 클라이언트는 네트워크를 통해서 어떤 응용을 수행하기 를 원하는 사용자를 나타내기도 한다. 도면1에서 20이라고 번호 붙여진 것은 보안 서버를 나타낸다. 30은 응용서버를 나타낸다. 10과 30은 직접적인 통신을 할 수 없다. 20은 10과 30 사이에서 양자를 매개해준다. 보안서버 즉 20은 일반적인 목적의 컴퓨터나 혹은 특수한 목적의 컴퓨터시스템에서 실행되고 있는 프로세스 이해되어 질 수 있다. 30도 또한 이와 비슷한 것으로 설명 할 수 있다.Figure 1 illustrates the security server approach. It is a very simplified picture. 10 means client. A client can be understood as a process running on a general purpose computer system or a special purpose computer system. As a process, the client also represents a user who wants to run an application over the network. The number 20 in Fig. 1 represents a security server. 30 represents an application server. 10 and 30 cannot communicate directly. 20 mediates both between 10 and 30. The security server 20 can be understood as a process running on a general purpose computer or a special purpose computer system. 30 can also be described as similar.

좀더 자세히 사용자가 클라이언트 10을 사용하여 네트워크 상에서 뭔가를 하려고 하면 20이 30과의 통신연결을 확립하여 준다. 그러나 그 중간에 20은 어떤 형태의 보안을 요구한다. 즉 클라이언트를 사용하고 있는 사용자의 인증을 처리하게 된다. 따라서 인증된 사용자만이 30과의 통신을 할 수 있다.More specifically, when a user tries to do something on the network using client 10, 20 establishes a communication connection with 30. But in the middle 20 requires some form of security. In other words, it handles the authentication of the user using the client. Therefore, only authenticated users can communicate with 30.

일반적인 경우 10, 20, 30은 상당히 떨어진 거리에 위치하는 별도의 컴퓨터 시스템에서 실행되고 있다. 이런 경우가 일반적이라 해도 여기에 적용되는 방법은 10, 20, 30이 같은 컴퓨터 시스템에서 실행되고 있을 경우에도 그대로 적용이 된다.Typically, 10, 20, and 30 run on separate computer systems located at considerable distances. Even if this is the case, the method used here is true even if 10, 20, and 30 are running on the same computer system.

PKI 기술PKI technology

통신에서 프라이버시를 보호하기 위해서 PKI(public key infrastructure)라고 알려진 시스템이 개발되었다. PKI시스템에서 양자 혹은 사용자는 2개의 암호 키를 가지고 있다. 2개의 암호키는 공개키와 개인키이다. 공개키는 다른 모든 유저에게 공개되어 사용되는 키이고 개인키는 다른 사용자에게 절대 공개되어서는 안되는 키이다.To protect privacy in communications, a system known as the public key infrastructure (PKI) has been developed. In a PKI system, either party or user has two encryption keys. The two cryptographic keys are the public key and the private key. A public key is a key that is open to all other users and a private key is a key that should never be revealed to other users.

도면 2는 사용자 갑이 송신측이고 사용자 을이 수신측이다. 사용자 갑은 PKI시스템에서 사용자 을로 메시지를 보내길 원한다. PKI시스템에서는 사용자 을은 을-공개키 와 을-개인키를 가지고 있다.2 shows that the user party is the sender and the user is the receiver. User wants to send a message to user from PKI system. In a PKI system, a user has a public key and a private key.

도면 3에서 PKI시스템에서 사용자가 사용가능한 테이블을 보여준다. 완전히 같지는 않지만 비슷한 의미의 도면 3과 같이 표현되는 테이블이 있다. 300은 공개키 테이블이다. 공개키 테이블에는 각각의 사용자, 인증 일련번호, 사용자 이름, 그리고 공개키에 대한 정보가 들어 있다. 인증 일련번호는 통상적으로 특정한 유저를 가려내기 위하여 유일한 숫자이다. 사용자 이름은 문자와 숫자의 조합을 사용하고 이것은 일반적으로 쉽게 사용자를 구분하기 위해서 사용된다. 공개키의 예로는 1024비트를 든다.Figure 3 shows the tables available to the user in the PKI system. There is a table that is not exactly the same but is represented in Figure 3 with similar meaning. 300 is a public key table. The public key table contains information about each user, authentication serial number, username, and public key. The authentication serial number is typically the only number used to identify a particular user. Usernames use a combination of letters and numbers, which are commonly used to easily identify users. An example of a public key is 1024 bits.

도면2로 돌아가서 사용자 갑은 메시지 m을 가지고 있고 이것은 사용자 을로 보내진다. 사용자 갑은 도면3의 공개키 테이블을 통해서 사용자 을의 공개키를 얻는다. 그 다음 얻은 을-공개키로 240의 암호화 과정을 거쳐서 암호화된 메시지를 얻는다. 암호화된 메시지는 txm이라고 이름 붙여진 전송하기에 적당한 형태이다.Returning to Figure 2, User A has a message m, which is sent to User. The user acquires the public key of the user through the public key table of FIG. The encrypted message is then obtained through the encryption process of 240 with the obtained public key. The encrypted message is in a form suitable for transmission named txm.

전송된 txm은 250의 복호화 과정을 거친다. 여기서는 을-개인키를 이용한다. 을-개인키는 사용자 을 만이 알고 있는 키이다. 250의 복호화 과정을 거쳐서 나온 메시지 m은 중간에 변경이 되지 않았다면 사용자 갑이 암호화 하기 전의 메시지와 동일한 것이다. 암호화된 메시지 txm은 을-공개키를 이용하여 암호화 되고 이것은 을-개인키를 가지고 복호화 하지 않는한 완전히 해독 불가능한 형태이다. 따라서 암호화된 메시지 txm은 인증되지 않은 침입자에게 의해서 읽혀지리라는 두려움 없이 네트워크 상에서 안심하고 보낼 수 있다.The transmitted txm undergoes a decoding process of 250. Here we use-private key. The private key is known only to the user. The message m from the decryption process of 250 is the same as the message before the user encrypts it, unless it is changed in the middle. The encrypted message txm is encrypted using a-public key, which is completely indecipherable unless decrypted with a-private key. Thus, the encrypted message txm can be sent on the network without fear of being read by an unauthorized intruder.

도면3의 테이블과 같은 공개키 테이블이 꼭 있어야 하는 것은 아니다. 사용자 갑이 사용자 을의 공개키를 공개키 테이블에서 찾기 보다 사용자 을에게 을-공개키를 네트워크 상에서 요청을 하면 된다. 을-공개키는 공개되어 있고 사용자 을은 을-공개키를 자유롭게 배포할 수 있다.It is not necessary to have a public key table such as the table of FIG. Rather than looking for the user's public key in the public key table, the user does request the user's public key from the network. The public key is public and the user can freely distribute the public key.

따라서 PKI시스템에서 송신측은 수신측의 공개키로 메시지를 암호화 하고 암호화된 메시지는 수신측으로 보내진다. 암호화된 메시지를 받은 수신측은 수신측의 개인키를 이용하여 암호화된 메시지를 복호할 수 있다.Therefore, in the PKI system, the sender encrypts the message with the public key of the receiver and the encrypted message is sent to the receiver. The receiving side receiving the encrypted message can decrypt the encrypted message using the receiving party's private key.

사용자 을로 보내진 메시지가 네트워크 상에서 인증되지 않은 침입자의 방해 없이안전하게 전송되었다고 치더라도 사용자 을은 보내진 메시지 원본 여부를 확인 할 수는 없다. 사용자 갑의 메시지가 보내지는 대신 사용자 갑으로 가장한 사용자 병의 메시지가 보내질 수 있다. 따라서 사용자 병(도둑)은 사용자 을(은행)에게 나는사용자 갑이다. 당장 나의 계좌를 사용자 병의 계좌로 이체할 것을 요구한다. 라는메시지를 사용자 을-공개키로 암호화해서 보낼 수 있다. 사용자 을은 보내진 메시지를 성공적으로 복호화 한다는 것이 보내진 메시지는 갑에게서 온 것이다 라는 것을 의미하지는 않는다.Even if the message sent to the user is sent safely without interference from an unauthorized intruder on the network, the user cannot confirm whether the message was originally sent. Instead of sending a message from the user's head, a message from the user's bottle disguised as the user's head may be sent. Therefore, user bottle (thief) is the user's case to user (bank). I ask you to transfer my account right away to your account. Message can be sent encrypted with the user-public key. The successful decryption of a sent message by the user does not mean that the message sent is from Ab.

전자 서명Electronic signature

PKI 시스템에서 메시지를 보낸 사람을 확인하기 위해서 전자 서명을 사용한다. 즉 메시지에 첨부된 전자 서명을 이용하여 사용자가 보낸 메시지라는 것을 확인 함과 동시에 전자서명이 이루어진 시점에서 메시지의 변경이 없었음을 보장해 준다.The PKI system uses digital signatures to verify who sent the message. That is, it confirms that the message is sent by the user by using the electronic signature attached to the message and ensures that there is no change of the message when the electronic signature is made.

도면4는 전자서명과 관련된 전단 보여준다. 첫째 단계인 410은 보내질 메시지에 대한 다이제스트를 생성한다. 다이제스트는 이 분야에 종사하는 사람에게는 익숙한 개념이지만 설명을 하자면 해쉬함수나 체크섬등과 비슷한 수치적 결과이다. 메시지에 대한 이 수치적 결과를 메시지 다이제스트 라고 한다. 410의 결과는 계산된 다이제스트 즉 cd이다. Cd는 420의 입력이 되고 송신측의 개인키로 암호화 한다. 즉 420의 결과는 암호화된 다이제스트 즉 ed이다. 430단계에서는 암호화된 다이제스트와 암호화 되지 않은 메시지 m을 결합한다. 결합된 결과를 ed+m으로 나타낸다. 440 단계에서는 ed+m을 수신측의 공개키로 암호화 하여 txm을 생성한다. 즉 txm은 송신측의 원본 메시지와 그 메시지에 대한 송신자의 전자 서명이 포함된 것이다.Figure 4 shows the leaflet associated with the digital signature. The first step, 410, creates a digest for the message to be sent. Digest is a familiar concept for people in this field, but to explain it is a numerical result similar to a hash function or checksum. This numerical result for a message is called a message digest. The result of 410 is the calculated digest or cd. Cd is input to 420 and encrypted with the sender's private key. That is, the result of 420 is an encrypted digest, or ed. In step 430, the encrypted digest and the unencrypted message m are combined. The combined results are shown as ed + m. In step 440, txm is generated by encrypting ed + m with the public key of the receiver. That is, txm includes the original message of the sender and the electronic signature of the sender of the message.

도면5는 txm을 복호화 하는 과정을 나태낸 단계도이다. 들어온 암호화된 txm은 510단계에서 수신측의 개인키를 이용하여 복호화한다. 그 결과는 ed+m이 된다. 520단계에서 ed+m은 ed와 m으로 각각 분리가 된다. 530단계에서는 암호화 되지 않은 메시지 m으로부터 송신자를 확인한다. 확인된 송신자는 550단계에서 설명하는 것과 같은 수단으로 사용된다. 540 단계에서는 암호화되지 않은 메시지의 내용은 메시지 다이제스트를 계산하기 위해 사용된다. 이 단계의 결과는 cd이다. 550단계에서는 송신측의 공개키를 얻었다고 본다. 송신측의 공개키는 530단계에서 메시지와 거기에 포함된 내용을 통하여 송신자를 알아내고 도면 3과 같은 공개키 테이블을 참조하여 해당하는 공개키를 알아 낼 수 있다. 이 공개키를 이용하여 560단계에서 ed를 복호화 하여 복호화된 다이제스트 dd를 얻는다. 570단계에서 cd와 ed를 비교하여 두개의 다이제스트가 일치하면 메시지는 해당 송신자로 부터 보내졌으며 내용의 변경이 없었음을 보장하게 된다(590). 만약 cd와 ed의 값이 일치 하지 않는 경우는 송신자로 부터 보내지지 않았거나, 전송도중 메시지의 내용이 변경되었음을 의미한다(580). 전술한 것과 같이 송신자를 확인 인증하는 방법을 전자서명이라고 한다.5 is a flowchart illustrating a process of decoding txm. The encrypted txm is decrypted using the private key of the receiver in step 510. The result is ed + m. In step 520, ed + m is separated into ed and m, respectively. In step 530, the sender is identified from the unencrypted message m. The confirmed sender is used by the same means as described in step 550. In step 540 the content of the unencrypted message is used to calculate the message digest. The result of this step is cd. In step 550, it is assumed that the public key of the sender is obtained. In step 530, the sender's public key can find out the sender through the message and the contents included therein, and can refer to the public key table as shown in FIG. The public key is used to decrypt ed in step 560 to obtain the decrypted digest dd. Comparing cd and ed in step 570, if the two digests match, the message is assured that the message was sent from the sender and that there was no change in content (590). If the values of cd and ed do not match, it means that either the message was not sent from the sender or the contents of the message were changed during transmission (580). As described above, a method of verifying and authenticating a sender is called an electronic signature.

도면6은 사용자 갑과 사용자 을 사이에 전자서명이 어떻게 이루어지는 지를 나타낸다. 각각의 항목은 이미 기술 했다. 여기에 나타난 갑-개인키는 갑의 개인키를 나타낸다. 또 간략히 하기 위해서 cd와 dd의 결과 비교 단계 570의 결과는 r로 나타내었다. 실제 적용에 있어서 공개키 테이블의 인증 보증이 선행되어야 한다. 여기에 신뢰할수 있는 소위 인증기관이라고 하는 제3자가 있어야 한다. 전자서명이 일반적으로 통용되기 위해서 ISO X.509 표준이라고 불리는 공개키 인증 양식이 사용된다. X.509표준에 의하면 인증에는 다음의 필드가 필요하다. (ㄱ)인증일련번호, (ㄴ)인증유효기간,(ㄷ)인증 관련 이름,(ㄹ)공개키의 소유자 이름,(ㅁ)소유자의 공개키,(ㅂ) (ㄱ)-(ㅁ)까지의 정보에 대한 인증기관의 전자서명Figure 6 shows how the electronic signature is made between the user and the user. Each item has already been described. The former-private key shown here represents the private key of the former. For the sake of simplicity, the result of comparing step 570 with cd and dd is represented by r. In practical application, the authentication guarantee of public key table should be preceded. There must be a third party, called a trusted certification body. In order for digital signatures to be commonly accepted, a public key authentication form called the ISO X.509 standard is used. According to the X.509 standard, authentication requires the following fields: (A) Certificate serial number, (b) Certificate validity period, (c) Certificate-related name, (ㄹ) Owner's name of public key, (ㅁ) Owner's public key, (ㅂ) (a)-(ㅁ) Digital signature of the certification body for the information

따라서 X.509 인증은 사용자의 이름과 그의 공개키를 인증기관의 전자서명에 결합시켜 놓는다. 이 전자 서명은 해당 공개키가 서명된 시점이후 변경되지 않았음을 보장한다.Thus, X.509 authentication combines a user's name and his public key with the certificate authority's digital signature. This electronic signature ensures that the public key has not been changed since the time it was signed.

인증기관은 보통 공개키 테이블에서 인증폐기목록을 제공한다. 인증폐기목록은 폐기된 인증일련번호의 목록이다. 이 목록은 인증기관에 의해서 인증되고 갱신된다.The certification body usually provides a certificate revocation list in its public key table. The revocation list is a list of revoked certification serial numbers. This list is certified and updated by the certification body.

원격접근Remote access

전술한 원격접근의 측면을 도면7을 참조하여 자세히 설명한다.Side of the above-described remote access will be described in detail with reference to FIG.

도면7에서 클라이언트 110은 보안서버120과 전화회선등 원격접근방법을 이용하여 통신한다. 클라이언트가 보안서버 120과 직접적으로 통신할 수 없는 경우 통신서버 700을 통하여 120과 통신하게 된다. 보통의 경우 클라이언트 110은 통신 링크 710을 통하여 통신서버 700 과 통신한다. 이 링크는 전화회선링크라고 불려진다. 통신프로토콜에서 710은 PPP와 같은 원격접근프로토콜(RAP)이다. 통신서버 700과 보안서버 120은 TACACS 나 RADIUS등과 같은 다른 프로토콜로 링크된다.In FIG. 7, the client 110 communicates with the security server 120 using a remote access method such as a telephone line. If the client cannot communicate directly with the security server 120, the client communicates with the 120 through the communication server 700. In general, the client 110 communicates with the communication server 700 through the communication link 710. This link is called the telephone line link. In the communication protocol, 710 is a remote access protocol (RAP) such as PPP. The communication server 700 and security server 120 are linked by other protocols such as TACACS or RADIUS.

TACACS와 RADIUS에 대한 상세한 설명은 다음의 문서를 참조하면 된다.See the following documents for a detailed description of TACACS and RADIUS.

internet RFC 1492,"An Access Control Protocol, Sometimes called TACACS", July 1993internet RFC 1492, "An Access Control Protocol, Sometimes called TACACS", July 1993

internet RFC 2138, "TXT Remote Authentication Dial in User Service(RADIUS)", January, 1997internet RFC 2138, "TXT Remote Authentication Dial in User Service (RADIUS)", January, 1997

등록Enrollment

본 발명은 등록 절차에서 행해지는 인증과정과 관련이 있다. 등록과정은 도명8을 참고하여 설명한다. 도면 8에서 110은 클라이언트 700은 통신 서버 120은 보안서버를 나타낸다. 클라이언트 110을 사용하는 사용자는 먼저 120과 통신하기 위해서 700과의 통신 연결을 요구한다. 통신서버는 요청에 해당하는 보안서버 120이 어디에 있는지 알아내고 사용자에게 사용자 아이디와 패스워드를 입력할 것을 요구한다. 아이디와 패스워드를 정상적으로 입력 받은 경우 통신서버는 클라이언트와 보안서버의 연결을 확립한다. 클라이언트와 보안서버사이에 한번 연결이 이루어지면 양자간 임의의 길이의 데이타를 주고 받을 수 있다. 여기서 통신서버 700은 별다른 역활을 하지 않는다. 이것이 810단계에서 행하는 일이다.The present invention relates to the authentication process performed in the registration process. The registration process will be described with reference to FIG. In FIG. 8, 110 denotes a client 700, a communication server 120, and a security server. The user using the client 110 first requires a communication connection with the 700 in order to communicate with the 120. The communication server finds out where the security server 120 corresponds to the request and asks the user to enter a user ID and password. If ID and password are entered normally, communication server establishes connection between client and security server. Once a connection is established between a client and a secure server, it can send and receive data of any length between them. Communication server 700 does not play a role here. This is what is done in step 810.

보안서버 120은 820단계에서 클라이언트110으로 사용자인증일련번호를 보낸다. 이 사용자인증일련번호는 클라이언트 110에서 공개키 테이블로부터 보안서버의 공개키를 쉽게 찾을 수 있게 한다.The security server 120 sends the user authentication serial number to the client 110 in step 820. This serial number makes it easy for the client 110 to find the public key of the security server from the public key table.

830단계에서 사용자는 자신의 개인키를 클라이언트에 입력한다. 개인키는 마그네틱 스와프 카드나 지문, 토큰 혹은 망막같은 것으로 수동으로 입력한다. 840단계에서는 클라이언트는 PKI기술을 사용하기 위하여In step 830, the user inputs his private key to the client. The private key can be manually entered, such as a magnetic swap card, fingerprint, token or retina. In step 840, the client uses the PKI technology.

랜덤하고 임의적인 비밀키를 생성한다.Generate a random, random secret key.

850단계에서 클라이언트는 생성한 비밀키를 사용자의 공개키로 암호화 하여 클라이언트에 저장한다. 이렇게 저장된 비밀키는 해당 사용자의 개인키만으로 복호할 수 있다.In step 850, the client encrypts the generated private key with the user's public key and stores it in the client. The stored secret key can be decrypted only with the private key of the user.

860 단계에서 사용자의 개인키를 가지고 만든 전자서명과 메시지가 준비된다. 이 메시지는 840단계에서 비밀키와 사용자인증일련번호와 함께 합쳐진다. 이 두개의 아이템은 메시지 m이 되고 여기서 ed라는 전자서명을 더한다. 따라서 보안서버의 공개키로 암호화된 txm은 클라인언트 110으로 부터 보안서버 120으로 전송되게 된다.In step 860, an electronic signature and message prepared with the user's private key are prepared. This message is combined with the secret key and the user authentication serial number in step 840. These two items become the message m, where we add the digital signature ed. Therefore, the txm encrypted with the public key of the security server is transmitted from the client 110 to the security server 120.

870단계에서 보안서버 120은 txm을 자신이 가지고 있는 개인키를 이용하여 복호화하여 클라이언트의 비밀키와 클라이언트의 사용자인증일련번호를 가지고 있는 메시지 m과 클라이언트 ed로부터 전자서명을 얻는다. 인증은 도면5에서 설명한 것과 같은 방법으로 행해진다. 서버의 관점에서 비밀키는 보내진 비밀키로 간주된다.In step 870, the security server 120 decrypts txm using its own private key to obtain a digital signature from the message m and client ed having the client's secret key and the client's user authentication serial number. Authentication is performed in the same manner as described in FIG. From the server's point of view, the secret key is considered the sent secret key.

880단계에서 보안서버는 사용자의 사용자인증일련번호와 비밀키를 암호화 해서 저장한다.이것은 숩게 찾기 위해서 이다. 효과적인 검색을 위해서 인증테이블이라고 불리는 테이블 형태로 저장된다.In step 880, the security server encrypts and stores the user's user authentication serial number and secret key. For efficient retrieval, they are stored in a table called an authentication table.

보안서버는 이 시점에서 사용자의 사용자인증일련번호의 유효성을 검사하고 전자서명을 확인하고 인증폐기목록을 참조하여 유효기간을 검사한다.The security server checks the validity of the user's user authentication serial number at this point, verifies the digital signature, and checks the validity period by referring to the revocation list.

등록 절차는 단 한번만 필요하다. 그러나 이는 인증 최초 단계에 행해야 한다. 등록된 비밀키를 서버에 저장한다고 했는데 이것은 반드시 서버 장치에 저장될 필요없이 서버가 참조할 수 있는 어떤 곳에든지 저장 가능하다. 수행성능적인 면에서 많은 등록된 비밀키가 서버측에 있는 것이 바람직 할 뿐이다.The registration process only needs to be done once. However, this must be done during the first phase of authentication. We say that we store the registered private key on the server, which can be stored anywhere the server can refer to it without necessarily being stored on the server device. In terms of performance, it is desirable to have many registered secret keys on the server side.

등록 절차 다음으로 여기서 부터는 인증 절차를 설명한다.Registration Procedure Next, the authentication procedure is described.

인증certification

인증 절차는 사용자가 통신서버의 세션을 열거나 보안서버를 통하여 응용서버로 접근하는 매 순간 마다 행해진다.The authentication procedure is performed every time a user opens a session of a communication server or accesses an application server through a secure server.

도면9를 참조하여 설명하면 사용자는 910단계에서 클라이언트에서 자신의 개인키를 입력한다. 클라이언트는 920단계에서 입력받은 사용자의 개인키를 이용하여 이미 저장되어 있던 비밀키를 얻어내고 이것을 복호한다.Referring to FIG. 9, the user inputs his or her private key at the client in step 910. The client obtains the secret key already stored using the user's private key input in step 920 and decrypts it.

930단계에서 사용자인증일련번호, 현재시간도장 사용자의 비밀키를 모아서 예비 메시지를 형성한다. 940단계에서 이 예비 메시지의 다이제스트를 계산한다. 예비 메시지는 절대 전송되지 않는다. 예비 메시지를 생성하는 이유는 다이제스트를 만들기 위해서이다. 940단계에서 다이제스트를 만드는데 사용한 알고리즘은 MD5나 SHA1을 사용한다. 이렇게 생성된 다이제스트는 원격접근프로토콜의 사용자아이디/패스워드 필드에 넣을 수 있는 크기이다. 이 다이제스트는 예비 메시지로 부터 만들어진 다이제스트임으로 예비 다이제스트라 부르겠다. 950 단계에서는 실재 전송될 메시지를 준비한다. 이 메시지는 예비 메시지와 구별하기 위해서 전송 메시지라고 부르겠다. 전송 메시지는 사용자인증일련번호,예비 다이제스트를 만들때 사용된 시간도장 그리고 예비 다이제스트로 이루어져 있다. 이 3가지 항목은 모두 합쳐서 PPP와 같은 원격접근프로토콜의 사용자아이디/패스워드 필드에 들어갈 정도로 작은 크기이다. 960단계에서 전송메시지는 사용자아이디/패스워드 필드에 실려 통신서버로 보내진다. 970단계에서 보안서버는 전송메시지의 데이터를 받아서 메시지 구성에서 정확한 파트를 구분하여 사용자인증일련번호, 시간도장, 그리고 예비 다이제스트를 얻어낸다. 975단계에서 보안서버는 사용자인증일련번호를 이용하여 저장장치로부터 암호화된 비밀키를 얻어낸다. 그리고 자신의 개인키를 이용하여 암호화된 비밀키를 복호한다. 980단계에서 보안서버는 사용자인증일련번호와 시간도장 그리고 저장장치로 부터 얻어낸 비밀키를 이용하여 다이제스트를 계산한다. 985단계에서 보안서버는 계산된 다이제스트와 예비 다이제스트를 비교한다. 두개의 다이제스트는 전송된 메시지에 포함된 비밀키가 보안서버에서 알아낸 사용자의 비밀키와 같을 경우 뿐이다. 따라서 사용자의 비밀키는 클라이언트에 저장되기 전에 사용자의 공개키로 암호화 되고 이것은 사용자의 개인키로만 복호화 될 수 있음을 의미한다. 990단계에서는 보안서버는 받은 시간도장과 가장 최근에 받은 메시지의 시간도장을 비교하여 재 전송 공격을 방어한다. 990단계는 이점은 전송된 메시지는 단 한번만 유효하다는 것을 의미한다. 각 개개 사용자의 가장 최근 메시지의 시간도장을 저장함으로해서 재전송 공격을 방어한다. 992단계에서 사용자인증 일련번호는 보안서버 120에서 유효하다.In step 930, a user authentication serial number and a secret key of the current time stamp user are collected to form a preliminary message. In step 940, a digest of the preliminary message is calculated. A spare message is never sent. The reason for generating the preliminary message is to make a digest. The algorithm used to create the digest in step 940 uses MD5 or SHA1. The generated digest is a size that can be put in the user ID / password field of the remote access protocol. This digest is a digest made from the preliminary message and will be called a preliminary digest. In step 950, a message to be actually transmitted is prepared. This message will be called a transport message to distinguish it from the spare message. The outgoing message consists of the user authentication serial number, the time stamp used to make the preliminary digest, and the preliminary digest. All three of these items are small enough to fit into the User ID / Password field of a remote access protocol such as PPP. In step 960, the transmission message is sent to the communication server in the user ID / password field. In step 970, the security server receives the transmission message data, classifies the correct part in the message composition, and obtains the user authentication serial number, time stamp, and preliminary digest. In step 975, the security server obtains an encrypted secret key from the storage device using the user authentication serial number. The private key is then decrypted using its private key. In step 980, the security server calculates a digest using the user authentication serial number, time stamp, and secret key obtained from the storage device. In step 985, the security server compares the calculated digest with the preliminary digest. The two digests only exist if the secret key included in the transmitted message is the same as the user's private key obtained from the security server. Thus, the user's private key is encrypted with the user's public key before being stored on the client, which means that it can only be decrypted with the user's private key. In step 990, the security server defends against the retransmission attack by comparing the time stamp received with the time stamp of the most recently received message. The advantage of step 990 is that the message sent is valid only once. It protects against replay attacks by storing a time stamp of each individual user's most recent message. In step 992, the user authentication serial number is valid in the security server 120.

비밀키는 단 한번 전송되고 암호화된 형태로 클라이언트에서 서버로 전송된다. 이과정은 등록 과정에서만 일어난다. 그러나 비밀키는 인증과정에서 클라이언트와 보안서버 양측 모두에서 매번 사용된다. 따라서 이 비밀키를 가장 개인키라고 부르겠다. 왜냐하면 자주 사용되지만 인증과정에서 전송이 일어나지 않기 때문이다. 이것은 길이가 긴 키의 전송을 행하지 않고 PKI기술을 사용할 수 있다는 이점이 있다. 전송 메시지 길이가 짧기 때문에 크기가 작은 데이터 필드에 적합하다. 상기 독창적인 발명은 길이가 긴 PKI 정보를 크기가 작은 데이타 필드로 사상시키는 방법이다.The secret key is sent only once and sent from the client to the server in encrypted form. This process occurs only during the registration process. However, the secret key is used each time on both the client and the secure server during the authentication process. Therefore, we will call this private key the most private key. This is because it is often used but no transmission occurs during authentication. This has the advantage that the PKI technique can be used without transmitting long keys. Its short message length makes it ideal for small data fields. The inventive invention is a method of mapping long PKI information into small data fields.

그러나 본 발명은 원격접근환경에만 제한 적으로 적용되는 것이 아니다. 본 발명은 상재적으로 긴 PKI정보를 전송하는 어떠한 환경에도 적용가능한다.However, the present invention is not limited to only the remote access environment. The present invention is applicable to any environment that transmits long PKI information.

마드네틱 카드환경Magnetic Card Environment

본 발명의 본 항목은 스와프 카드로 잘 알려진 산업 표준 마드네틱 스트립 카드를 사용과 관련이 있다. 이런 카드들은 저장공간이 제한적이다. 이런 카드들이 가지는 적은 양은 저장공간은 원격접근환경에서 사용자 아이디/패스워드 필드와 같이 작은 데이터 필드를 가진것으로 생각할 수 있다. 양쪽 모두 보안의 필요성과 저장공간보다 더 큰 데이터를 전송해야 한다는 측면에서 본 발명의 가상개인키 접근법이 적당하다.This section of the invention relates to the use of industry standard magnetic strip cards, also known as swap cards. These cards have limited storage space. The small amount these cards have can be thought of as having a small data field, such as a user ID / password field, in a remote access environment. In both cases, the virtual private key approach of the present invention is suitable in terms of the need for security and the transfer of larger data than the storage space.

등록Enrollment

도면10을 참고하여 설명한다. 도면10에는 통신서버 700이 없다. 810 단계에서 클라이언트 측의 사용자는 보안서서 120과의 통신 연결을 요청한다. 그러면 110과 120사이에는 통신연결이 확립된다. 820단계에서 보안서버는 클라이언트 110에게 자신의 사용자인증일련번호를 전송한다. 1030 단계에서 클라이언트는 마그네틱 카드를 읽어서 저장되어져 있는 정보를 얻는다. 읽어들인 정보는 '참조사항'으로 표현된다. 이 참조사항은 1040단계에서 다이제스트로 계산되고 이것은 바로 비밀키로 쓰인다. 830단계에서 사용자는 클라이언트에 자신의 개인키를 입력한다. 개인키는 어떠한 형태(마그네틱 카드, 수동 입력)로 입력되든 상관없다. 비밀키는 클라이언트에 저장되거나 참조사항에 저장되지 않는다. 860단계에서 사용자 개인키로 만들어진 전자 서명과 함께 메시지가 준비된다. 메시지에는 비밀키와 사용자인증일련번호가 포함되어 있다. 이 메시지는 보안서버의 공개키로 암호화 되어 보안서버로 전송된다. 870단계에서 보안서버 120은 자신의 개인키로 복호화 하고 메시지와 비밀키 그리고 사용자인증일련번호, 전자서명을 얻어낸다. 보안서버 120은 이 시점에서 사용자의 사용자인증일련번호의 유효성을 검사한다. 880단계에서 보안서버는 사용자인증일련번호에 암호화된 비밀키를 저장한다. 이 정보는 인증테이블에 저장된다.A description with reference to FIG. There is no communication server 700 in FIG. In operation 810, the user at the client side requests a communication connection with the security document 120. A communication link is then established between 110 and 120. In step 820, the security server transmits its user authentication serial number to the client 110. In step 1030, the client reads the magnetic card to obtain the stored information. The information read is expressed as 'reference'. This reference is computed as a digest in step 1040, which is used as a secret key. In step 830, the user enters his or her private key on the client. The private key can be entered in any form (magnetic card, manual input). The secret key is not stored on the client or stored in the reference. In step 860, a message is prepared with an electronic signature made of the user's private key. The message contains a secret key and a user authentication serial number. This message is encrypted with the security server's public key and sent to the security server. In step 870, the security server 120 decrypts with its own private key and obtains a message, a secret key, a user authentication serial number, and an electronic signature. Security server 120 checks the validity of the user authentication serial number at this point. In step 880, the security server stores the encrypted secret key in the user authentication serial number. This information is stored in the authentication table.

중요한 것은 마그네틱카드에있던 내용은 절대 전송되지 않는다. 카드의 다이제스트만이 전송된다. 따라서 네트워크 상에는 사용자의 신용카드 번호나 다른 어떠한 개인적인 정보가 존재하지 않는다.Importantly, the contents of the magnetic card are never transmitted. Only the digest of the card is sent. Therefore, no user's credit card number or any other personal information exists on the network.

이전 항목에서 등록과정에서 필요로 했던 사용자 개인키는 필요 없다 따라서 마그네틱 카드나 그 비슷한 제한 적인 저장 공간으로도 충분하다.You don't need the user's private key that you needed during the registration process in the previous section, so a magnetic card or similar limited storage space is sufficient.

인증certification

도면11을 참조하여 설명한다. 1110단계에서 클라이언트 프로세스 110은 사용자의 마그네틱 카드로 부터 정보를 입력 받는다. 카드로 부터 읽어 들인 정보를 '참조사항'이라고 부르겠다. 클라이언트는 참조사랑의 다이제스트를 계산하고 이것을 비밀키로 사용한다. 930단계에서 예비 메시지를 준비하는데 예비 메시지에는 사용자인증일련번호와 현재시간도장, 그리고 사용자의 비밀키가 들어 있다. 이 예비 메시지는 절대 전송되지 않는다. 950단계에서 전송 메시지를 준비한다. 950단계에서 준비하는 전송 메시지는 사용자의 사용자인증일련번호, 예비 메시지를 만들때 사용한 시간도장 그리고 예비메시지의 다이제스트이다. 1160단계에서 전송 메시지는 보안 서버로 보내진다. 970-992단계는 원격접근환경에서 설명한 것과 동일하다.A description with reference to FIG. In step 1110, the client process 110 receives information from the user's magnetic card. The information read from the card will be called a reference. The client computes the digest of the reference love and uses it as the secret key. In step 930, a preliminary message is prepared. The preliminary message includes a user authentication serial number, a current time stamp, and a user's private key. This preliminary message is never sent. In step 950, a transmission message is prepared. The transmission message prepared in step 950 is a user authentication serial number, a time stamp used when creating a preliminary message, and a digest of the preliminary message. In step 1160, the transmission message is sent to the security server. Steps 970-992 are the same as described for the remote access environment.

등록과정에서 비밀키는 암호화된 형태로 클라이언트에서 서버로 한번만 전송이 된다.그러나 인증과정에서 이 비밀키가 매번 이용됨으로 이 비밀키를 가상개인키라고 하겠다. 이 키는 매번 사용되지만 실제 통신회선을 통해서 전송이 이루어 지지는 않는다. 여기서 중요한 점은 인증 과정에서 사용자의 개인키가 필요치 않다는 것이다.During registration, the secret key is encrypted and sent only once from the client to the server, but this secret key is used every time during the authentication process. This key is used every time, but not through the actual communication line. The important point here is that the user's private key is not required during the authentication process.

패스문구를 사용에 대한 발명Invention for using pass phrases

세번째 사항에서 언급한 패스문구를 설명한다. 패스문구는 사용자가 암기하고 있는 어떤 문장이다. 이것은 '참조사항'과 같은 의미로 생각할 수 있다. 그러나 이 '참조사항'은 마그네틱 카드나 생체 인식 장치로 부터 나오는 정보가 아니라 사용자의 기억에 기초한 것이다. 이 패스문구는 짧은 패스워드에 의존한 보안을 보안할 수 있는 상대적으로 긴 문구를 의미한다.Explain the pass phrase mentioned in section 3. A pass phrase is something that a user memorizes. This can be thought of as 'reference'. But this 'reference' is based on the user's memory, not the information from the magnetic card or biometric device. This passphrase means a relatively long phrase that can secure security that relies on short passwords.

설명하려고 하는 세번째 항목은 이미 설명한 마그네틱 카드환경과 완전히 동일하다. 설명의 간략화를 위해서 중복된 설명은 적지 않는다.The third item I'm going to explain is exactly the same as the magnetic card environment already described. In order to simplify the description, there are not many duplicate descriptions.

등록Enrollment

등록 과정은 도면10에 나타나 있다. 여기서 유일한 차이점은 '참조사항'이 장치(카드판독기, 생체인식장치등)에서 얻은 것이 아니라 사용자가 기억하고 있는 패스문구를 가리킨다는 것이다.The registration process is shown in FIG. The only difference here is that the 'reference' does not come from the device (card reader, biometric device, etc.) but rather the pass phrase that the user remembers.

인증certification

인증 과정은 도면11에 나타나 있다. 2번째 사항과 완전히 동일하다.The authentication process is shown in FIG. It is exactly the same as the second point.

본 발명은 위에서 정의되어진 문제를 등록과 인증의 두 개의 단계에서 다이제스트를 사용함으로써 해결한다.The present invention solves the problem defined above by using digest in two stages of registration and authentication.

첫째 제한된 저장공간을 가진 환경에 PKI기술을 사용하여 사용자 인증을 행하는 방법이다. 마그네틱 스와프 카드시스템은 제한된 저장공간을 가지고 있다. 원격접근시스템(전화선)에서 사용자 아이디/패스워드 필드의 크기는 제한되어 있다. 본 발명은 이런종류의 저장 공간이 제한되어 있는 환경에 유용하다. 본 발명은 PKI기술을 적용하는데 길이가 긴 키의 전송 없이 사용자 인증이 될 수 있도록 특별한 대화방법이 사용된다. 본 발명의 방법은 전체 길이의 개인 키 필드 영역을 상대적으로 짧은 데이터 필드로 사상 시키는 기술을 포함한다.First, user authentication is performed using PKI technology in an environment with limited storage space. Magnetic swap card systems have limited storage space. In remote access systems (phone lines), the user ID / password field is limited in size. The present invention is useful in environments where this kind of storage space is limited. In the present invention, a special conversation method is used to apply a PKI technique so that user authentication can be performed without transmitting a long key. The method includes the technique of mapping a full length private key field area into a relatively short data field.

본 발명의 기술을 원격접근환경에 적용하는데 있어 본 발명은 통상적인 등록과 인증 단계를 사용한다.In applying the techniques of the present invention to a remote access environment, the present invention uses conventional registration and authentication steps.

본 발명은 실재 PKI키와 인증 일련번호 또는 전자서명을 전송하지 않기 위해서 가상 개인키를 사용하여 PKI를 적용한다.The present invention applies a PKI using a virtual private key in order not to transmit the actual PKI key and authentication serial number or digital signature.

본론으로 들어가서 첫째 본 발명은 컴퓨터 시스템이나 컴퓨터 소프트웨어 프로그램에서 저장공간이 한정되어 있어서 직접적인 PKI기술을 사용할 수 없는 환경에서 PKI기술을 사용하여 사용자 메시지의 인증을 제공하는 방법이다. 일단 한번 등록이 된 상태에서 길이가 긴 키나 인증일련번호 혹은 전자서명의 실제적인 전송 없이 PKI기술을 사용한다. 개인키는 클라이언트 스테이션에서 사용자 인증에 사용되고 저장되어 있던 암호화된 비밀키를 얻어내는데 사용된다. 비밀키와 사용자의 X.509 ISO 표준 공개키 인증일련번호 그리고 시간도장을 이용하여 다이제스트를 계산한다. 메시지의 크기를 줄이기 위해서 사용자 인증일련번호를 사용한다. 다이제스트와 사용자인증일련번호 그리고 시간도장을 결합하여 간결한 메시지를 만들고 이것을 원격접근프로토콜에서 사용자 아이디/패스워드 필드를 이용하여 전송되게 된다. 비밀키나 개인키는 전송되지 않는다. 보안서버에 이미 저장되어 있던 비밀키는 받은 사용자인증일련련번호와 시간도장과 함께 다이제스트를 계산하는데 사용이 되고 이렇게 계산된 다이제스트와 받은 다이제스트를 비교한다. 만약 두개의 다이제스트가 일치하면 사용자는 인증된것으로 본다. 시간도장은 재전송 공격을 막기 위한 것이다.First, the present invention is a method for providing authentication of a user message using a PKI technology in an environment in which a storage space is limited in a computer system or a computer software program and thus a direct PKI technology cannot be used. Once registered, PKI technology is used without the actual transmission of long keys, authentication serial numbers, or digital signatures. The private key is used to authenticate the user at the client station and retrieve the encrypted secret key that was stored. The digest is calculated using the secret key, the user's X.509 ISO standard public key certificate serial number, and a time stamp. Use the user authentication serial number to reduce the size of the message. The digest, combining the user authentication serial number and the time stamp, creates a concise message that is sent using the user ID / password field in the remote access protocol. No private or private key is sent. The secret key already stored on the security server is used to calculate the digest, along with the serial number and time stamp of the user authentication, and compares the digest with the digest. If the two digests match, the user is considered authenticated. Time stamps are intended to prevent replay attacks.

둘째 본 발명은 사용자의 개인키 대신 참조사항이라고 이름지은 어떤 정보를 사용하는 방법을 제공한다. 기본적으로 본 항목은 첫째 항목이 사용자 등록 과정에서 단 한번 사용자의 개인키가 필요하다는 점에서 차이가 있다. 따라서 사용자의 개인키를 사용하는 것이 아니라 마그네틱 스와프 카드 혹은 생체인식 장치와 같이 사용자가 가지고 있는 것에서 읽은 참조사항을 이용한다. 참조사항은 클라이언트의 비밀키로 사용되기 위해 간소화 된다. 그리고 사용자 인증 일련번호, 시간도장 비밀키를 이용하여 예비 다이제스트를 만든다. 이 예비 다이제스트는 사용자 인증일련번호와 시간도장과 함께 인증서버로 보내진다. 인증서버는 참조사항 자체를 저장하거나 혹은 다이제스트 형태로 저장한다. 다이제스트 형태의 참조사항은 서버의 비밀키로 사용되어 진다. 인증은 시간도장, 사용자 인증일련번호 그리고 비밀키를 이용하여 다이제스트를 계산하고 이것과 받은 예비 다이제스트와 비교하여 이루어 진다. 본 항목의 이점은 클라이언트에 참조사항이 저장되지 않는다는 것이다. 해커가 클라이언트 스테이션을 해킹하여 참조사항을 얻어 낼 수 없다. 또한 사용자의 개인키는 등록 이후에 사용되어 지지 않는다. 또한 사용자가 마그네틱 스와프 카드를 가지고 있거나 혹은 그와 비슷한 것을 가지고 있을 경우 사용자는 카드를 분실을 쉽게 알아 낼 수 있다. 마그네틱 스와프 카드 대신 참조사항으로 지문이나 망막 스캔이나 그와 비슷한 것을 사용할 수 있다. 또한 참조사항그 자체는 등록 과정 한번만 전송이 이루어 지고 그 이후에는 네트워크 상에 존재하지 않는다.Secondly, the present invention provides a method of using some information named a reference instead of a user's private key. Basically, this item differs in that the first item requires the user's private key only once during the user registration process. So instead of using the user's private key, use the reference read from what the user has, such as a magnetic swipe card or biometric device. The reference is simplified to be used as the client's private key. A preliminary digest is made using the user authentication serial number and the time stamp secret key. This preliminary digest is sent to the authentication server with the user authentication serial number and time stamp. The authentication server stores the references themselves or in digest form. The digest type reference is used as the server's private key. Authentication is accomplished by using the time stamp, user authentication serial number, and secret key to calculate the digest and comparing it to the preliminary digest received. The advantage of this item is that no references are stored on the client. A hacker cannot hack a client station to get a reference. In addition, the user's private key is not used after registration. Also, if the user has a magnetic swap card or the like, the user can easily find the card lost. Instead of a magnetic swap card, you can use a fingerprint, retina scan, or the like as a reference. Also, the reference itself is sent only once during the registration process, after which it does not exist on the network.

셋째 본 발명은 참조사항을 대체하는 방법으로 패스문구를 사용하는 것이다. 즉 셋째 항목은 둘째 항목이 사용자가 무엇을 가지고 있어야 한다는 점에서만 차이가 난다. 사용자는 참조사항으로 쓰일 패스문구를 기억하고 사용하기만 하면 된다. 참조사항과 마찬가지로 패스 문구는 클라이언트 스테이션에 저장되지 않는다. 둘째 항목에서 사용자 개인키는 등록과정에서만 사용되었고 그 이후에는 네트워크 상에 존재 하지 않았다. 셋째 항목은 거기에 덧붙여 추가적인 카드리더나 생체인식장치가 필요치 않다. 단지 키보드로 문구를 쳐 넣기만 하면 된다.Third, the present invention uses a pass phrase as a way to replace the reference. That is, the third item differs only in that the second item requires what the user has. The user just needs to remember and use the passphrase for reference. As with references, pass phrases are not stored on the client station. In the second section, the user private key was used only during the registration process and thereafter it did not exist on the network. In addition to the third item, no additional card reader or biometric device is required. Just type in a phrase on the keyboard.

Claims (1)

청구항1. 인증을 구성하는 요소Claim 1. What constitutes authentication 1) 사용자로 부터 사용자의 개인키를 얻어 내는 행위1) Obtaining the user's private key from the user 2) 사용자와 관계되어 있는 클라이언트측에서 암호화되어 있는 비밀키를 얻는것2) Obtaining an encrypted secret key from the client side associated with the user 3) 암호화된 사용자 비밀키를 사용자의 개인키를 이용하여 복호화하는 것3) decrypting the encrypted user secret key using the user's private key 4) 시간도장, 사용자의 사용자인증일련번호 클라이언트의 비밀키를 이용하여 예비 다이제스트를 계산하는 것4) Time stamp, calculating the user's user authentication serial number using the client's private key 5) 시간도장, 사용자인증일련번호, 예비 다이제스트를 포함한 암호화되지 않는 메시지의 사용5) use of unencrypted messages including time stamp, user authentication serial number, and preliminary digest; 6) 암호화되지 않은 메시지로부터 사용자인증일련번호에 해당하는 암호화된 서버의 비밀키를 얻는 것6) Obtaining the encrypted server's secret key corresponding to the user authentication serial number from an unencrypted message. 7) 암호화된 서버의 비밀키를 서버의 개인키를 이용하여 복호화 하는것7) Decrypting the encrypted server's secret key using the server's private key 8) 암호화 되지 않는 메시지에서 시간도장, 사용자인증일련번호 얻어낸 비밀키를 이용하여 계산된 다이제스트를 계산해 내는것8) Compute the calculated digest using the secret key obtained from the time stamp and user authentication serial number in the unencrypted message. 9) 계산된 다이제스트와 예비 다이제스트를 비교하여 메시지를 인증하는 것9) Authenticate the message by comparing the calculated digest with the preliminary digest 청구항2. 1에 덧붙여 인증방법Claim 2. In addition to 1 authentication method 1) 비밀키를 생성하는 것1) generating a secret key 2) 사용자의 공개키로 클라이언트의 비밀키를 암호화 해서 암호화된 비밀키를 제공하는 것2) encrypting the client's private key with the user's public key and providing an encrypted private key 3) 서버의 개인키를 사용ㅇ하여 메시지에서 암호화된 비밀키를 복호화 하는 것3) decrypting the encrypted secret key in the message using the server's private key 4) 클라이언트의 비밀키를 서버에서 대응되는 사용자인증일련번호화 함께 비밀키를 저장하는 저장하는 것4) storing the secret key of the client and storing the secret key together with the corresponding user authentication serial number on the server 청구항3. 서버에서 클라이언트의 사용자로부터 보내진 메시지를 인증하는 방법Claim 3. How the server authenticates messages sent from users on the client 1) 사용자와 관련된 클라이언트 비밀키를 서버에 사용자 인증일련번호와 함께 저장하는 것1) storing the client secret key associated with the user on the server with the user authentication serial number 2) 시간도장, 클라이언트 비밀키, 사용자인증일련번호를 이용하여 서버로 보내질 예비 다이제스트를 계산하는 것2) Calculate the preliminary digest to be sent to the server using the time stamp, client secret key and serial number. 3) 시간도장, 사용자인증일련번호, 예비 다이제스트를 서버로 전송하는 것3) Sending the time stamp, user authentication serial number, and preliminary digest to the server 4) 서버에서 받은 메시지를 사용자인증일련번호, 시간도장, 클라이언트 비밀키를 이용하여 다이제스트를 계산하는것4) Calculate the digest from the message received from the server using the user authentication serial number, time stamp, and client secret key. 5) 예비 다이제스트와 계산된 다이제스트를 비교하여 메시지를 인증하는 것5) Authenticate the message by comparing the preliminary digest with the calculated digest 청구항4. 3에 덧붙여서 서버에서의 인증 방법Claim 4. In addition to 3, authentication method on server 1) 클라이언트의 비밀키를 서버의 공개키로 암호화 하여 서버에 저장하는 것1) encrypting the client's private key with the server's public key and storing it on the server 2) 사용자인증일련번호와 함께 비밀키를 저장하는 것2) storing the secret key together with the user authentication serial number;
KR1020020002095A 2002-01-14 2002-01-14 User authentification using a virtual private key KR20030061558A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020002095A KR20030061558A (en) 2002-01-14 2002-01-14 User authentification using a virtual private key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020002095A KR20030061558A (en) 2002-01-14 2002-01-14 User authentification using a virtual private key

Publications (1)

Publication Number Publication Date
KR20030061558A true KR20030061558A (en) 2003-07-22

Family

ID=32217988

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020002095A KR20030061558A (en) 2002-01-14 2002-01-14 User authentification using a virtual private key

Country Status (1)

Country Link
KR (1) KR20030061558A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008046282A1 (en) * 2006-10-17 2008-04-24 Huawei Technologies Co., Ltd. An authentication method, method and communication system for certificating the authentication sequence number, and sim
KR101219862B1 (en) * 2005-03-07 2013-01-18 마이크로소프트 코포레이션 System and method for establishing that a server and a correspondent have compatible secure email

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219862B1 (en) * 2005-03-07 2013-01-18 마이크로소프트 코포레이션 System and method for establishing that a server and a correspondent have compatible secure email
WO2008046282A1 (en) * 2006-10-17 2008-04-24 Huawei Technologies Co., Ltd. An authentication method, method and communication system for certificating the authentication sequence number, and sim

Similar Documents

Publication Publication Date Title
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US6189096B1 (en) User authentification using a virtual private key
US7840993B2 (en) Protecting one-time-passwords against man-in-the-middle attacks
JP3982848B2 (en) Security level control device and network communication system
US8099607B2 (en) Asymmetric crypto-graphy with rolling key security
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US7231526B2 (en) System and method for validating a network session
US20030115452A1 (en) One time password entry to access multiple network sites
US20030196084A1 (en) System and method for secure wireless communications using PKI
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
US20020078350A1 (en) System and method for password throttling
CN110020524B (en) Bidirectional authentication method based on smart card
WO2006130619A2 (en) Secure login using augmented single factor split key asymmetric cryptography
US20020018570A1 (en) System and method for secure comparison of a common secret of communicating devices
US7360238B2 (en) Method and system for authentication of a user
US20060053288A1 (en) Interface method and device for the on-line exchange of content data in a secure manner
JPH10340255A (en) System for authenticating network user
US20020184501A1 (en) Method and system for establishing secure data transmission in a data communications network notably using an optical media key encrypted environment (omkee)
JP2001069138A (en) User verifying system on internet for shared key enciphered ic card
WO2001011817A2 (en) Network user authentication protocol
KR20020040378A (en) Method for Authentication without Password Transmission on the basis of Public Key
KR20030061558A (en) User authentification using a virtual private key
KR100381710B1 (en) Method For Security In Internet Server Based Upon Membership Operating System And Server Systems Regarding It
CN114531235B (en) Communication method and system for end-to-end encryption
JP2000349748A (en) Secret information sharing method

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination