KR20040002036A - 보안성이 강화된 단순 인증 방법 - Google Patents

보안성이 강화된 단순 인증 방법 Download PDF

Info

Publication number
KR20040002036A
KR20040002036A KR1020020037381A KR20020037381A KR20040002036A KR 20040002036 A KR20040002036 A KR 20040002036A KR 1020020037381 A KR1020020037381 A KR 1020020037381A KR 20020037381 A KR20020037381 A KR 20020037381A KR 20040002036 A KR20040002036 A KR 20040002036A
Authority
KR
South Korea
Prior art keywords
user
password
directory
function
directory server
Prior art date
Application number
KR1020020037381A
Other languages
English (en)
Inventor
강경희
이승재
임영숙
양성현
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020037381A priority Critical patent/KR20040002036A/ko
Publication of KR20040002036A publication Critical patent/KR20040002036A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 보안성이 강화된 단순 인증 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 디렉토리 서버에서 관리되는 제반의 정보에 대한 안정성과 신뢰성을 높이기 위해 커베로스 인프라를 도입하지 않고도, 단순 바인드 오퍼레이션에 보안 강도를 높일 수 있는 보안성이 강화된 단순 인증 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
3. 발명의 해결방법의 요지
본 발명은, 단순 인증 방법에 있어서, 디렉토리 사용자로부터 바인딩 패킷을 수신받는 제 1 단계; 디렉토리 서버에서 수신된 바인딩 패킷으로부터 사용자 아이디를 추출하여, 내부에서 관리되는 사용자의 패스워드를 가져와, 패스워드에 대해 해쉬함수를 적용하여 해슁값을 얻는 제 2 단계; 상기 제 2 단계에서 얻어진 해슁값을 상기 바인딩 패킷에서 추출한 해슁값과 비교하는 제 3 단계; 및 상기 제 3 단계의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 4 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 인증 관리 시스템 등에 이용됨.

Description

보안성이 강화된 단순 인증 방법{Simple Binding Authorization Method for Strengthening Security}
본 발명은 보안성이 강화된 단순 인증 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 보다 상세하게는, 단순 바인드 함수의 매개변수인 패스워드에 일방향의 특성을 가진 해쉬함수를 적용하여 디렉토리 서비스에 대한 사용자 인증을 하는 일실시예 방법과, 디렉토리 서버의 키 관리용 인증서를 사용하여 단순 바인드 함수의 매개변수인 사용자 패스워드에 대한 메시지 암호화를 수행하고 디렉토리 서버에서 이 암호화된 메시지를 복호화하여 디렉토리 서비스에 대한 사용자 인증을 하는 다른 실시예 방법에 관한 것이다.
원격(remote)에 있는 디렉토리 사용자가 LDAP(Lightweight Directory Access Protocol) 디렉토리 서버(이하, "디렉토리 서버"로 기술함)에 접속하여 안전하게(secure) 바인딩(Binding)할 수 있도록 하기 위한 이렉토리 서비스 인증 방식은, 현재 널리 사용되고 있는 사용자 ID와 패스워드 기반의 디렉토리 서비스 인증 방식이다.
이에 관련된 표준 규격은 IETF(Internet Engineering Task Force)의 RFC(Request for Comments) 1823(제목 : The LDAP Application Program Interface)이다.
참고로, RFC 1823 문서란 IETF에서 표준화된 LDAP 사양에 따라 원격에서 서버로 접속하여 임의의 오퍼레이션을 수행하고자 할 때, 응용프로그램에서 사용할 수 있는 다양한 함수를 표준으로 규격화 한 문서이다.
원격에 있는 디렉토리 사용자가 디렉토리 서버로 접속(bind)하는 것과 관련하여, RFC1823에서는 [표 1]에서와 같은 함수를 응용 프로그램에서 사용할 수 있도록 정의하고 있다.
[표 1]은 바인딩 함수 유형 및 매개 변수에 대한 정의를 나타낸 것이다.
int ldap_bind( LDAP *ld, char *dn, char *cred, int method ); int ldap_bind_s( LDAP *ld, char *dn, char *cred, int method ); int ldap_simple_bind( LDAP *ld, char *dn, char *passwd ); int ldap_simple_bind_s( LDAP *ld, char *dn, char *passwd ); int ldap_kerberos_bind( LDAP *ld, char *dn ); int ldap_kerberos_bind_s( LDAP *ld, char *dn ); 주) Parameters are: ld The connection handle; dn The name of the entry to bind as; cred The credentials with which to authenticate; method One of LDAP_AUTH_SIMPLE, LDAP_AUTH_KRBV41, or LDAP_AUTH_KRBV42, indicating the authentication method to use; passwd For ldap_simple_bind(), the password to compare to the entry's userPassword attribute;
[표 1]을 통해서 알 수 있는 것처럼 원격에서 디렉토리 서버로 접속할 때 사용되는 사용자 인증 방식은 [표 2]에서와 같이 세 가지 유형으로 분류된다.
[표 2]는 인증 방식에 의한 바인드(bind) 함수 분류를 나타낸다.
인증 방식 관련 함수
단순 인증 (Simple authentication) ldap_simple_bind, ldap_simple_bind_s
커베로스(Kerberos) 인증 ldap_kerberos_bind, ldap_kerberos_bind_s
단순 인증과 커베로스 인증 방식에서 특정 인증 방식을 선택 ldap_bind, ldap_bind_s
[표 2]를 참조하여 분류된 인증 방식별 장/단점을 비교하면, 단순 인증 방식의 경우는 해당 기능 구현이 단순하여 광범위하게 사용되나, 바인딩(Binding) 오퍼레이션 수행 시, 네트웍상에 사용자 아이디(매개변수로는 dn에 해당함)와 패스워드(매개변수로는 passwd)가 읽을 수 있는 형태(clear)로 전송된다.
따라서, 임의의 해커가 중간에서 해당 패킷을 가로채어, 사용자 아이디와 패스워드 정보 추출에 성공하게 되면 패스워드 정보 추출에 성공한 해커가 디렉토리 서버를 대상으로 다양한 공격(attack)을 수행할 수 있다는 문제점이 있었다.
커베로스(Kerberos) 인증 방식의 경우는 단순 인증 방식에 비하여 보안(security) 강도가 높은 바인딩(binding) 오퍼레이션 기능을 제공한다. 그러나, 커베로스(kerberos) 인증 방식을 사용하기 위해서는 인증서버(이하 AS:Authentication Server라 함) 및 티켓부여서버(이하, TGS:Ticket Granting Server라 함)와 여러 단계의 보안 통신을 수행하기 때문에 원격의 디렉토리 사용자 측면에서 보면 보안 강도는 높을지라도 단순 인증 방식에 비해 디렉토리 서버로부터의 응답이 상대적으로 지연되는 단점이 있다.
또한, 커베로스(Kerberos)의 AS에서 관리하는 데이터베이스(DB)는 원격에서 디렉토리 서버에 접속하는 모든 디렉토리 사용자들에 대한 정보를 저장/관리해야 하기 때문에, 공인인증기관과 같이 범용적인 서비스를 제공해야 하는 기관에서는 도입하기 어려운 요인으로 작용한다.
도 1a 및 도 1b 에 위에서 설명한 단순 인증 방식 및 커베로스 인증 방식을설명하기 위한 도면이 도시되어 있다.
한편, 공개키 인프라(PKI:Public Key Infrastructure)에서, 인증기관(CA:Certificate Authority)이 디렉토리 서버로 접속하여 인증을 수행하는 주요 절차에는 인증서의 개시/삭제/변경 및 인증서 취소목록의 개시/삭제가 있다.
그리고, 공인인증기관(CA)에서 위에서 설명한 인증 절차를 수행하기 위해서는 디렉토리 서버 관리자(administrator)의 아이디와 패스워드로 바인딩(binding) 오퍼레이션을 수행해야만 한다.
그러나, 현재 대부분의 국내 공인인증기관에서는 커베로스(Kerberos) 인증 방식의 바인딩(binding) 함수를 사용하지 않고, 단순 인증 방식의 바인딩(binding) 함수를 사용하기 때문에 임의의 해커로부터의 공격에 노출되어 있다는 문제점이 있었다.
또한, 디렉토리 서비스 포트(Port) 자체가 잘 알려진(well-known) 포트인 389이고, 디렉토리 서비스 포트에 모든 사람들이 접속할 수 있어야 한다는 전제 조건이 있기 때문에, 해커의 공격으로부터 안전하지 않은 문제점이 있었다.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 디렉토리 서버에서 관리되는 제반의 정보에 대한 안정성과 신뢰성을 높이기 위해 커베로스 인프라를 도입하지 않고도, 단순 바인드 오퍼레이션에 보안 강도를 높일 수 있는 보안성이 강화된 단순 인증 방법 및 상기 방법을 실현시키기 위한 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
즉, 본 발명은, 새로운 바인드 함수를 정의하고 상기 바인드 함수의 매개변수의 하나인 패스워드에 해쉬함수를 적용하여 단순 바인드 오퍼레이션을 수행하며, 공개키 방식의 단순 바인드 오프레이션을 수행하는 경우에 디렉토리 서버로부터 키관리용 인증서를 전달받아 사용자의 인증 유효성이 인정되면, 사용자의 패스워드를 대상으로 키관리용 인증서에 의해 암호화된 메시지를 디렉토리 서버로 전달하고, 디렉토리 서버에서 암호화된 메시지를 복호화하여 공개키 방식의 단순 바인드 오퍼레이션을 수행함으로써, 커베로스(Kerberos) 인프라를 도입하지 않고서도 안정성과 신뢰성을 높이는 디렉토리 보안 서비스를 제공하고자 한다.
도 1a 는 종래의 단순 인증 방식을 설명하기 위한 도면.
도 1b 는 종래의 커베로스 인증 방식을 설명하기 위한 도면.
도 2 는 일반적인 인증 관리 시스템의 구성예시도.
도 3 은 본 발명의 일실시예에 따라 해쉬 함수를 이용하여 단순 바인드(Simple Bind) 오퍼레이션을 수행하였을 때, 원격지에 있는 디렉토리 사용자와 디렉토리 서버간에 제공되는 보안 서비스 절차를 나타낸 흐름도.
도 4 는 본 발명의 다른 실시예에 따라 공개키 방식으로 단순 바인드(Simple Bind) 오퍼레이션을 수행하였을 때, 원격지에 있는 디렉토리 사용자와 디렉토리 서버간에 제공되는 보안 서비스 절차를 나타낸 흐름도.
* 도면의 주요 부분에 대한 부호의 설명
11 : 디렉토리 서버 12 : 디렉토리 사용자
13 : 인터넷
상기 목적을 달성하기 위한 본 발명은, 단순 인증 방법에 있어서, 디렉토리 사용자로부터 바인딩 패킷을 수신받는 제 1 단계; 디렉토리 서버에서 수신된 바인딩 패킷으로부터 사용자 아이디를 추출하여, 내부에서 관리되는 사용자의 패스워드를 가져와, 패스워드에 대해 해쉬함수를 적용하여 해슁값을 얻는 제 2 단계; 상기 제 2 단계에서 얻어진 해슁값을 상기 바인딩 패킷에서 추출한 해슁값과 비교하는 제 3 단계; 및 상기 제 3 단계의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 단순 인증 방법에 있어서, 디렉토리 사용자가 전자서명용인증서를 사용하여 사용자의 패스워드에 대한 전자서명을 수행하고, 디렉토리 서버의 키 관리용 인증서를 사용하여 사용자의 패스워드에 대한 메시지 암호화를 수행한 후, 바인딩 패킷을 디렉토리 서버로 전송하는 제 1 단계; 상기 디렉토리 서버가 수신된 바인딩(Binding) 패킷을 대상으로 전자서명 검증과 상기 메시지의 복호화를 수행하여 얻어진 패스워드 정보를 내부에서 관리되는 이름 정보에 대한 패스워드를 비교하는 제 2 단계; 및 상기 제 2 단계의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 3 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 프로세서를 구비한 디렉토리 단순 인증 관리 시스템에,디렉토리 사용자로부터 바인딩 패킷을 수신받는 제 1 기능; 디렉토리 서버에서 수신된 바인딩 패킷으로부터 사용자 아이디를 추출하여, 내부에서 관리되는 사용자의 패스워드를 가져와, 패스워드에 대해 해쉬함수를 적용하여 해슁값을 얻는 제 2 기능; 상기 제 2 기능에서 얻어진 해슁값을 상기 바인딩 패킷에서 추출한 해슁값과 비교하는 제 3 기능; 및 상기 제 3 기능의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
또한, 본 발명은, 프로세서를 구비한 단순 인증 관리 시스템에, 디렉토리 사용자가 전자서명용 인증서를 사용하여 사용자의 패스워드에 대한 전자서명을 수행하고, 디렉토리 서버의 키 관리용 인증서를 사용하여 사용자의 패스워드에 대한 메시지 암호화를 수행한 후, 바인딩 패킷을 디렉토리 서버로 전송하는 제 1 기능; 상기 디렉토리 서버가 수신된 바인딩(Binding) 패킷을 대상으로 전자서명 검증과 상기 메시지의 복호화를 수행하여 얻어진 패스워드 정보를 내부에서 관리되는 이름 정보에 대한 패스워드를 비교하는 제 2 기능; 및 상기 제 2 기능의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명에서는 새로운 바인드 함수를 정의하여, 상기 바인드 함수에 대해 각 인증방식에 맞는 매개변수를 적용하여 사용자 정보를 전달받도록 하였다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 2 는 일반적인 단순 인증 관리 시스템의 구성예시도이다.
도 2에 도시된 바와 같이, 일반적인 단순 인증 관리 시스템은, 디렉토리 서비스를 제공하기 위한 디렉토리 소프트웨어가 설치되어 있는 디렉토리 서버(11)와, 디렉토리 서비스를 제공받기 위해 원격지에서 TCP/IP 프로토콜을 이용하여 디렉토리 서버(11)로 접근하는 디렉토리 사용자(12), 및 디렉토리 서버(11)와 디렉토리 사용자(12)간에 상호 통신을 위해 사용되는 네트웍인 인터넷(13)을 포함하여 이루어진다.
인증을 위한 제반의 오퍼레이션은 디렉토리 사용자(12)가 인터넷(13)을 통해 디렉토리 서버(11)의 389포트로 접속을 요청하면서 시작된다. 여기서, 디렉토리 서버 사용자(12)란 인증서를 발급/폐기하는 인증기관(CA)으로부터 단순한 인증서 사용자 등에 이르기까지 다양한 유형이 있다.
도 3 은 본 발명의 일실시예에 따른 해쉬 함수를 적용하여 단순 바인딩(Simple Binding) 오퍼레이션을 수행하였을 때, 원격지에 있는 디렉토리 사용자와 디렉토리 서버간에 제공되는 보안 서비스 과정을 나타낸 흐름도이다.
본 발명의 일실시예인 보안 서비스(인증) 방식은, 단순 바인딩(Simple Binding) 함수의 매개변수인 패스워드(passwd)에 대해 해쉬함수를 적용하는 것이다. 이 방법은 해쉬함수의 일방향(one-way function) 특성을 이용한 것이며, 네트워크상에서 바인딩(binding) 패킷을 가로채였더라도 패스워드 값이 해슁(Hashing:해쉬함수 수행)되었기 때문에, 패스워드의 원문을 알아낼 수 없다.
여기서, 해쉬함수(Hash Function)란 계산되어 나온 결과를 가지고 원래의 입력된 스트링을 예측할 수 없는 것이 특징으로, 입력되는 값으로 동일한 내용의 스트링(String)을 입력해 준다면 결과는 항상 같지만 그 반대 방향의 처리는 불가능하도록 한 함수이다.
도 3에 도시된 바와 같이, 본 발명의 일실시예에 따른 해쉬 함수를 이용하여 단순 바인딩 오퍼레이션을 수행하였을 때 원격지에 있는 디렉토리 사용자와 디렉토리 서버간에 제공되는 보안 서비스는, 디렉토리 사용자가 Idap_Connect 함수를 이용하여 디렉토리 서버와 세션 연결을 성공적으로 수행하는 과정(301)으로부터 시작한다.
다음으로, 본 발명에서 정의한 바인드 함수를 통해 바인딩 요청자(사용자)의 이름(Dn), 패스워드(p1), 해쉬함수(h1())를 디렉토리 서버로부터 매개변수로 전달받는다(303).
전달받은 해쉬함수(h1())를 사용하여 패스워드(p1)의 해슁값(즉, h1(p1))을 계산하여(305), 바인딩 요청자 이름((Dn), 패스워드 해슁값(h1(p1)), 해쉬함수(h1()))로 구성된 바인딩 패킷을 생성한 후 디렉토리 서버로 전달한다(307).
디레토리 서버에서는, 바인딩 패킷을 수신하여(309), 수신된 바인딩 패킷으로부터 바인딩 요청자의 이름(Dn), 패스워드의 해쉬값(h1(p1)) 및 소정의 해쉬함수(h1())를 추출한다(311).
디렉토리 서버의 데이터베이스에서 바인딩 요청자 이름(Dn)에 해당하는 패스워드를 가져와(313) 소정의 해쉬함수를 사용하여 얻어진 해슁값(h1(p2))(315)과 바인딩 패킷에서 추출한 해슁값(h1(p1))이 동일한지를 비교하여(317), 정당한 사용자로 판명된 경우(319)에 한하여(즉, h1(p1) = h1(p2)) 이후 발생하게 될 제반의 오퍼레이션을 수행할 수 있도록 허가해 준다.
비교 결과(317), 정당한 사용자가 아님이 판명되면(즉, h1(p1) <> h1(p2)) 이후의 오퍼레이션 수행을 불허하고(323), 오류메시지를 응답 패킷으로 생성하여 디렉토리 사용자(클라이언트)로 전송한다(321).
도 4 는 본 발명의 다른 실시예에 따른 공개키 방식으로 단순 바인드(Simple Bind) 오퍼레이션을 수행하였을 때, 원격지에 있는 디렉토리 사용자와 디렉토리 서버간에 제공되는 보안 서비스 절차를 나타낸 흐름도이다.
본 발명의 다른 실시예인 보안 서비스(인증) 방식은 해쉬함수를 이용한 방식보다 보안 강도가 높은 방식이다.
이 방식은 디렉토리 서버를 대상으로 전자서명용(digital signature) 인증서와 키 관리용 (Key encipherment) 인증서를 발급하여, 원격에서 단순 바인드(Simple Bind) 오퍼레이션을 수행하고자 하는 경우, 사용자의 전자서명용 인증서(즉, 매개변수 dn의 인증서)를 사용하여, 사용자의 패스워드(즉, 매개변수 passwd)에 대한 전자서명을 수행하고, 디렉토리 서버의 키관리용 인증서를 사용하여 사용자의 패스워드에 대한 메시지 암호화를 수행하고, 전자서명 및 암호화된 메시지를 바인딩 패킷으로 생성하여 디렉토리 서버로 전송하면, 디렉토리 서버에서는 수신된 바인딩 패킷을 대상으로 전자서명 검증과 메시지 복호화 과정을 통해 사용자 인증(더 나아가서는 무결성/기밀성 검증)을 수행하여 정당한 사용자에 한해 이후 발생하게 될 제반의 오퍼레이션을 수행할 수 있도록 허가해 주는 방식이다.
물론, 이 방식을 이용해도, 임의의 해커가 네트웍 상에 침입하여 바인딩(binding) 패킷을 가로채더라도 특정 사용자의 패스워드를 볼 수는 없다.
도 4에 도시된 바와 같이, 먼저 디렉토리 사용자는 ldap_connect 함수를 이용하여 디렉토리 서버와 세션을 연결하여(401), 본 발명에서 제시한 바인드 함수를 통해 디렉토리 서버로부터 바인딩(Binding) 요청자의 이름(dn), 패스워드(p1)를 전달 받고(403), 디렉토리 서버의 키관리용 인증서를 전달받아(405), 디렉토리 서버와 바인딩(Binding) 요청자의 인증서에 대한 유효성 검증을 수행하여, 유효하다고 판명된 경우 이후 과정을 처리한다(407).
다음으로, 전달받은 패스워드값(p1)을 입력값으로 하여 바인딩(Binding) 요청자의 인증서를 사용하여 전자서명을 수행하고, 디렉토리 서버의 키관리용 인증서를 사용하여 패스워드값(p1)에 대한 메시지 보안, 즉 암호화를 수행한후(409), 바인딩 요청자 이름(dn), 전자서명값, 암호화된 메시지로 바인딩(binding) 패킷을 생성하여 디렉토리 서버로 전달한다(411).
상술한 과정 "401" ~ 과정 "411"은 원격에 위치한 디렉토리 사용자 환경에서 이루어지며, 이후 과정은 디렉토리 서버에서 이루어진다.
디렉토리 서버는 디렉토리 사용자가 보낸 바인딩(Binding) 패킷을 수신하여(413), 수신한 패킷을 대상으로 전자서명 검증과 메시지 복호화를 수행한다(415).
상기 과정 "415"에서 오류가 발생하면 이후 단계는 수행하지 않고 오류 메시지를 생성하여 바인딩(Binding) 요청자에게 오류메시지를 전송하고, 상기 과정 "415"가 성공적으로 수행되면 디렉토리 서버는 바인딩 요청자 이름(dn)과 패스워드값(p1)을 얻게 된다(417).
이후, 디렉토리 서버 내부에서 관리하는 사용자 데이터베이스에서 바인딩 요청자(dn)에 대한 패스워드 값(p2)을 얻어와(419) p1과 p2 값이 일치하는가를 비교한다(421).
비교 결과, 일치하는 경우 바인딩(Binding) 요청자를 정당하다고 판명하고 이후의 오퍼레이션 수행을 허가하고(423), 일치하지 않는 경우 바인딩(Binding) 요청자를 부당한 사용자로 판명하고 이후 오퍼레이션 수행을 불허한다(427).
마지막으로, 바인딩 요청자에 대한 오퍼레이션 수행의 허가/불허가에 대해적절한 응답패킷을 생성하여 바인딩 요청자에게 전달한다(425).
즉, 본 발명의 보안 서비스 방식(인증 방식)에 따라, 공인인증기관(CA)에서 디렉토리 서버로 인증서 개시/변경/삭제 절차를 수행할 때 디렉토리 서버관리자 아이디를 사용하여 단순 인증 방식의 심플_바인드(Simple_bind) 함수를 사용하여도 보안성을 높인 디렉토리 서비스 인증 방식을 구현할 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 디렉토리 서버 관리자 아이디(ID)를 사용하여 원격에서 디렉토리 서버로 접속하는 과정에 기밀성, 무결성, 사용자 인증과 같은 보안 서비스를 제공할 수 있기 때문에 추가, 삭제, 변경과 같은 오퍼레이션을 안전하게 수행 할 수 있는 효과가 있다.
또한, 본 발명은, 무결성, 사용자 인증과 같은 보안 서비스를 제공하기 위해 커베로스(kerberos)와 같은 보안 인프라를 추가로 도입할 필요가 없을 뿐만 아니라서비스 사용자가 빠른 응답을 받을 수 있는 효과가 있다.
한편, 본 발명은, 인증서 기반의 보안 서비스가 활성화되는 현 시점에서, 공인인증기관(CA)에서 디렉토리 서버로 인증서 개시/변경/삭제 기능을 수행할 때 디렉토리 서버 관리자 ID를 사용하여 단순 인증 방식의 심플_바인드(simple_bind) 함수를 사용한다는 보안 취약성이 있는데, 이와 같은 보안 취약성을 해결할 수 있는 효과가 있다.

Claims (10)

  1. 인증관리 시스템에 적용되는 단순 인증 방법에 있어서,
    디렉토리 사용자로부터 바인딩 패킷을 수신받는 제 1 단계;
    디렉토리 서버에서 수신된 바인딩 패킷으로부터 사용자 아이디를 추출하여, 내부에서 관리되는 사용자의 패스워드를 가져와, 패스워드에 대해 해쉬함수를 적용하여 해슁값을 얻는 제 2 단계;
    상기 제 2 단계에서 얻어진 해슁값을 상기 바인딩 패킷에서 추출한 해슁값과 비교하는 제 3 단계; 및
    상기 제 3 단계의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 4 단계
    를 포함하는 보안성이 강화된 단순 인증 방법.
  2. 제 1 항에 있어서,
    상기 디렉토리 사용자는,
    상기 디렉토리 서버와 세션을 연결 설정하여, 바인드 함수를 이용하여 상기 디렉토리 서버로부터 바인딩 요청자에 해당하는 이름 정보, 패스워드 정보 및 해쉬함수 정보를 매개 변스로 전달받아, 상기 패스워드의 해슁값을 계산하고, 상기 디렉토리 사용자의 이름 정보와 상기 패스워드의 해슁값 정보 및 상기 해쉬 함수로구성된 상기 바인딩 패킷을 생성하여 상기 디렉토리 서버로 전달하는 것을 특징으로 하는 보안성이 강화된 단순 인증 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 디렉토리 서버는,
    상기 바인딩 패킷에서 추출한 패스워드의 해슁값 정보와 디렉토리 서버 내부에서 관리되는 상기 이름 정보에 해당하는 패스워드에 대해 상기 해쉬함수를 적용하여 얻어진 해슁값 정보가 일치하지 않으면 상기 디렉토리 사용자에게 상기 디렉토리 서버에 대한 사용 권한이 없음을 알리는 오류메시지를 전달하는 것을 특징으로 하는 보안성이 추가된 단순 인증 방법.
  4. 제 3 항에 있어서,
    상기 바인드 함수는,
    상기 이름 정보, 상기 패스워드 정보 및 해쉬함수 정보를 매개 변수로 정의하는 것을 특징으로 하는 보안성이 강환된 단순 인증 방법.
  5. 인증관리 시스템에 적용되는 단순 인증 방법에 있어서,
    디렉토리 사용자가 전자서명용 인증서를 사용하여 사용자의 패스워드에 대한 전자서명을 수행하고, 디렉토리 서버의 키 관리용 인증서를 사용하여 사용자의 패스워드에 대한 메시지 암호화를 수행한 후, 바인딩 패킷을 디렉토리 서버로 전송하는 제 1 단계;
    상기 디렉토리 서버가 수신된 바인딩(Binding) 패킷을 대상으로 전자서명 검증과 상기 메시지의 복호화를 수행하여 얻어진 패스워드 정보를 내부에서 관리되는 이름 정보에 대한 패스워드를 비교하는 제 2 단계; 및
    상기 제 2 단계의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 3 단계
    를 포함하는 보안성이 강화된 단순 인증 방법.
  6. 제 5 항에 있어서,
    상기 제 1 단계는,
    디렉토리 사용자가 디렉토리 서버와 세션을 연결하고 상기 디렉토리 서버로부터 바인딩 요청자의 이름 정보, 및 패스워드 정보를 상기 디렉토리 서버로부터 바인드 함수의 매개변수로 전달받은 후 상기 디렉토리 서버의 키 관리용 인증서를 전달받아 상기 디렉토리 서버와 상기 바인딩 요청자의 인증서에 대한 유효성 검증을 수행하여 유효하다고 판명된 경우, 상기 패스워드를 입력값으로 하여 상기 바인징 요청자의 인증서를 사용하여 전자서명을 수행하고, 상기 키관리용 인증서를 사용하여 상기 패스워드에 대한 메시지를 암호화한 후 이름 정보, 전자서명값, 및 암호화된 메시지로 바인딩 패킷을 생성하여 상기 디렉토리 서버로 전달하는 것을 특징으로 하는 보안성이 강화된 단순 인증 방법.
  7. 제 5 항 및 제 6 항에 있어서,
    상기 디렉토리 서버는,
    상기 바인딩 패킷에서 추출한 패스워드 정보와 상기 디렉토리 서버 내부에서 관리되는 상기 이름 정보에 대한 패스워드가 일치하지 않으면, 상기 디렉토리 사용자에게 상기 디렉토리 서버에 대한 사용 권한이 없음을 알리는 오류메시지를 전송하는 것을 특징으로 하는 보안성이 강화된 단순 인증 방법
  8. 제 7 항에 있어서,
    상기 바인드 함수는,
    상기 이름 정보, 상기 패스워드 정보 및 해쉬함수 정보를 매개 변수로 정의하는 것을 특징으로 하는 보안성이 강화된 단순 인증 방법.
  9. 대용량 프로세서를 구비한 단순 인증 관리 시스템에,
    디렉토리 사용자로부터 바인딩 패킷을 수신받는 제 1 기능;
    디렉토리 서버에서 수신된 바인딩 패킷으로부터 사용자 아이디를 추출하여, 내부에서 관리되는 사용자의 패스워드를 가져와, 패스워드에 대해 해쉬함수를 적용하여 해슁값을 얻는 제 2 기능;
    상기 제 2 기능에서 얻어진 해슁값을 상기 바인딩 패킷에서 추출한 해슁값과 비교하는 제 3 기능; 및
    상기 제 3 기능의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 4 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  10. 대용량 프로세서를 구비한 단순 인증 관리 시스템에,
    디렉토리 사용자가 전자서명용 인증서를 사용하여 사용자의 패스워드에 대한 전자서명을 수행하고, 디렉토리 서버의 키 관리용 인증서를 사용하여 사용자의 패스워드에 대한 메시지 암호화를 수행한 후, 바인딩 패킷을 디렉토리 서버로 전송하는 제 1 기능;
    상기 디렉토리 서버가 수신된 바인딩(Binding) 패킷을 대상으로 전자서명 검증과 상기 메시지의 복호화를 수행하여 얻어진 패스워드 정보를 내부에서 관리되는 이름 정보에 대한 패스워드를 비교하는 제 2 기능; 및
    상기 제 2 기능의 비교 결과에 따라, 일치하는 경우에 정당한 사용자로 판명하여 권한을 부여하는 제 3 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020020037381A 2002-06-29 2002-06-29 보안성이 강화된 단순 인증 방법 KR20040002036A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020037381A KR20040002036A (ko) 2002-06-29 2002-06-29 보안성이 강화된 단순 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020037381A KR20040002036A (ko) 2002-06-29 2002-06-29 보안성이 강화된 단순 인증 방법

Publications (1)

Publication Number Publication Date
KR20040002036A true KR20040002036A (ko) 2004-01-07

Family

ID=37313766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020037381A KR20040002036A (ko) 2002-06-29 2002-06-29 보안성이 강화된 단순 인증 방법

Country Status (1)

Country Link
KR (1) KR20040002036A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100882347B1 (ko) * 2006-11-10 2009-02-12 한국전자통신연구원 무선 IPv6 기반의 경로 최적화 방법
KR100986758B1 (ko) * 2008-11-13 2010-10-12 한국전력공사 통신기기 보안기능 처리용 보안전용 장치
KR101048439B1 (ko) * 2009-04-24 2011-07-11 (주)엠더블유스토리 게임 실행 권한 인증 방법, 게임 실행 권한 인증 프로그램이 기록된 기록매체, 및 게임 실행 권한 인증 프로그램이 저장된 서버
KR101068855B1 (ko) * 2009-08-11 2011-09-29 이화여자대학교 산학협력단 정보 데이터의 권한 변경을 방지하는 방법
US8261062B2 (en) 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
KR101366442B1 (ko) * 2012-06-04 2014-02-25 순천향대학교 산학협력단 스마트 미터와 디바이스 간 인증 방법
KR101483901B1 (ko) * 2014-01-21 2015-01-16 (주)이스트소프트 인트라넷 보안시스템 및 보안방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010002738A (ko) * 1999-06-17 2001-01-15 정선종 네트워크 시스템의 인증 방법
KR20010090167A (ko) * 2000-03-23 2001-10-18 윤종용 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
KR20020015398A (ko) * 2000-08-22 2002-02-28 이기섭 전자서명된 프로그램을 이용한 안전한 통신 방법
KR20030073401A (ko) * 2002-03-11 2003-09-19 (주)케이사인 공개키 기반구조 전자서명 인증서를 기반으로 한전자여권시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010002738A (ko) * 1999-06-17 2001-01-15 정선종 네트워크 시스템의 인증 방법
KR20010090167A (ko) * 2000-03-23 2001-10-18 윤종용 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
KR20020015398A (ko) * 2000-08-22 2002-02-28 이기섭 전자서명된 프로그램을 이용한 안전한 통신 방법
KR20030073401A (ko) * 2002-03-11 2003-09-19 (주)케이사인 공개키 기반구조 전자서명 인증서를 기반으로 한전자여권시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8261062B2 (en) 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
KR100882347B1 (ko) * 2006-11-10 2009-02-12 한국전자통신연구원 무선 IPv6 기반의 경로 최적화 방법
KR100986758B1 (ko) * 2008-11-13 2010-10-12 한국전력공사 통신기기 보안기능 처리용 보안전용 장치
KR101048439B1 (ko) * 2009-04-24 2011-07-11 (주)엠더블유스토리 게임 실행 권한 인증 방법, 게임 실행 권한 인증 프로그램이 기록된 기록매체, 및 게임 실행 권한 인증 프로그램이 저장된 서버
KR101068855B1 (ko) * 2009-08-11 2011-09-29 이화여자대학교 산학협력단 정보 데이터의 권한 변경을 방지하는 방법
KR101366442B1 (ko) * 2012-06-04 2014-02-25 순천향대학교 산학협력단 스마트 미터와 디바이스 간 인증 방법
KR101483901B1 (ko) * 2014-01-21 2015-01-16 (주)이스트소프트 인트라넷 보안시스템 및 보안방법
WO2015111842A1 (ko) * 2014-01-21 2015-07-30 (주)이스트소프트 인트라넷 보안시스템 및 보안방법

Similar Documents

Publication Publication Date Title
US9819666B2 (en) Pass-thru for client authentication
US7840993B2 (en) Protecting one-time-passwords against man-in-the-middle attacks
EP1498800B1 (en) Security link management in dynamic networks
US8800018B2 (en) Method and system for verifying user instructions
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
US20030115452A1 (en) One time password entry to access multiple network sites
US20060004662A1 (en) Method and system for a PKI-based delegation process
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
US20110030042A1 (en) Ldapi communication across os instances
KR100723835B1 (ko) 일회성 인증 코드를 이용한 키 인증/서비스 시스템 및 그방법
JP2005276122A (ja) アクセス元認証方法及びシステム
CA3160107A1 (en) Secure enclave implementation of proxied cryptographic keys
KR100984275B1 (ko) 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
WO2007115495A1 (fr) Procédé et appareil d&#39;authentification de passerelle sur la base d&#39;une clé publique combinée
KR20040002036A (ko) 보안성이 강화된 단순 인증 방법
US11804957B2 (en) Exporting remote cryptographic keys
KR100970552B1 (ko) 비인증서 공개키를 사용하는 보안키 생성 방법
Ali et al. Flexible and scalable public key security for SSH
Torrellas et al. An authentication protocol for agent platform security manager
CN114996770A (zh) 基于宿管系统的身份识别方法
Garimella et al. Secure Shell-Its significance in Networking (SSH)
Ali Adding Public Key Security to SSH
Rao A Fixed Network Transmission Based on Kerberos Authentication Protocol
Andrew Kerberos: A Review of the Modification in Versions 4-To-5 Transition

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application