KR20040097505A - 토큰을 이용한 무선 인증시스템과 그 인증방법 - Google Patents

토큰을 이용한 무선 인증시스템과 그 인증방법 Download PDF

Info

Publication number
KR20040097505A
KR20040097505A KR1020030029822A KR20030029822A KR20040097505A KR 20040097505 A KR20040097505 A KR 20040097505A KR 1020030029822 A KR1020030029822 A KR 1020030029822A KR 20030029822 A KR20030029822 A KR 20030029822A KR 20040097505 A KR20040097505 A KR 20040097505A
Authority
KR
South Korea
Prior art keywords
token
server
password
authentication
value
Prior art date
Application number
KR1020030029822A
Other languages
English (en)
Other versions
KR100626341B1 (ko
Inventor
박봉주
Original Assignee
학교법인 호서학원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인 호서학원 filed Critical 학교법인 호서학원
Priority to KR1020030029822A priority Critical patent/KR100626341B1/ko
Publication of KR20040097505A publication Critical patent/KR20040097505A/ko
Application granted granted Critical
Publication of KR100626341B1 publication Critical patent/KR100626341B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 토큰을 이용하는 무선 인증시스템에서 하나의 토큰으로 복수개의 서버상에서 인증을 받을 수 있도록 하면서 서버측에서 복수의 토큰을 효율적으로 관리할 수 있도록 하는 기술에 관한 것으로서, 임의의 토큰이 서버로 등록요청을 하면, 각 서버는 난수발생을 통해 패스워드를 생성하여 해당 토큰으로 전송하고, 등록된 토큰으로부터 인증이 요청되면 해당 토큰으로 챌린지값을 전송하여 해당 토큰이 등록시 부여받은 패스워드로 상기 챌린지값을 암호화한 결과값을 근거로 상기 토큰에 대한 인증을 수행하는 것을 특징으로 한다.

Description

토큰을 이용한 무선 인증시스템과 그 인증방법{System and Method for wireless authenticating using token}
본 발명은 토큰을 이용한 무선 인증시스템과 그 인증방법에 관한 것으로, 보다 상세하게는 토큰을 이용하는 무선 인증시스템에서 하나의 토큰이 복수개의 서버상에서 인증받을 수 있으며, 하나의 서버가 복수개의 토큰을 관리할 수 있도록 하는 기술에 관한 것이다.
현재, 사무실이나 일반 가정 등에서 적용되고 있는 각종 개폐 메카니즘은등록된 특정인에 대해서만 개방을 허용하기 위한 인증시스템을 채용하고 있다. 이 인증시스템의 한 예로서, 출입허용대상이 되는 사용자에게 보안장치(이하, 서버)와 무선통신이 가능한 토큰을 구비시키고, 상기 토큰으로부터 인증이 요구되면, 서버에 해당하는 보안장치에서 상기 토큰이 이미 등록된 토큰인가를 판단하여, 등록된 토큰으로 판단될 경우에만 개폐 대상을 개방하는 무선인증시스템이 사용되고 있다.
그러나, 이러한 무선인증시스템은 토큰(클라이언트)과 보안장치에 암호화를 위해 사용되는 패스워드가 운용자에 의해 세팅되기 때문에, 토큰: 보안장치가 1:1로 매칭되어 사용될 수 밖에 없었다.
이런 이유로, 토큰을 소지한 사용자가 복수개의 서버로부터 인증을 받아야 하는 경우에는 인증받고자 하는 서버의 수만큼 토큰을 구비해야 하는 불편함이 있다.
따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위해 이루어진 것으로, 하나의 토큰을 이용하여 복수의 서버로부터 인증을 받을 수 있도록 하면서 서버측에서 복수의 토큰을 효율적으로 관리할 수 있는 시스템과 방법을 제공함에 그 목적이 있다.
도 1은 본 발명의 실시예에 따른 토큰을 이용한 무선 인증시스템의 전체 구성도.
도 2는 도 1에 도시된 토큰의 내부 구성도.
도 3은 도 1에 도시된 서버의 내부 구성도.
도 4는 도 1에 도시된 난수발생부의 내부 구성도.
도 5 내지 도 6은 본 발명의 실시예에 따른 토큰을 이용한 무선 인증방법을 설명하기 위한 플로우차트.
상기한 목적을 달성하기 위해 본 발명의 바람직한 실시예에 따른 토큰을 이용한 무선 인증시스템은,
복수의 서버에 등록되어 상기 서버들로부터 인증을 받을 수 있는 토큰과;
임의의 토큰에 대해 각각 고유의 패스워드를 부여하고, 패스워드를 부여한 복수의 토큰들을 관리하며, 등록된 토큰으로부터 인증이 요청되면 상기 토큰에 대해 부여된 상기 패스워드를 이용하여 상기 토큰에 대한 인증을 행하는 서버를 포함하여 구성되고,
상기 토큰과 상기 서버는 무선으로 통신하는 것을 특징으로 한다.
또, 본 발명의 바람직한 실시예에 따른 토큰을 이용한 무선 인증방법은,
서버에서 등록모드가 설정된 상태에서 임의의 토큰으로부터 인증이 요구되면, 난수발생으로 생성한 패스워드를 상기 토큰에게 전송하여 상기 토큰을 인증대상으로 등록하는 제 1 과정과;
서버에서 등록모드가 설정되지 않은 상태에서 기등록된 토큰으로부터 인증이 요구되면, 난수발생으로 생성한 챌린지값을 상기 토큰으로 전송하고, 상기 챌린지값을 암호화한 후, 상기 챌린지값과 상기 토큰에서 암호화되어 전송된 챌린지값의 일치여부를 근거로 상기 토큰에 대한 인증을 수행하는 제 2 과정을 포함하여 이루어진 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 보다 상세히 설명한다.
본 발명의 실시예에 따른 토큰을 이용한 무선 인증시스템은 도 1에 도시된 바와 같이, 하나의 토큰(101)이 복수의 서버(201∼20N)에 등록되어 각각의 서버(201∼20N)로부터 인증받을 수 있다. 이는, 상기 토큰(101) 외의 다른 토큰(102∼10N)에도 동일하게 적용된다.
도 1에 도시된 토큰(101∼10N)은 서버와의 무선통신을 통해 서버로 인증요구를 하는 장치로서, 그 내부구성은 도 2에 도시된 바와 같다.
인증요청을 행하는 키입력부(110)와, 상기 인증모드에 따른 인증절차와 서버(201)와 연동하여 신규 서버에 대한 등록절차를 수행하기 위해 장치전반을 제어하는 토큰제어부(130), 및 토큰제어부(130)와 서버간의 무선통신이 가능하도록 무선메시지를 송수신하는 무선인터페이스(120)를 구비한다.
무선인터페이스(120)는 적외선(IR: infrared or infrared radiation) 또는 무선주파수(RF: Radio Frequency)형태로 메시지를 송수신하도록 구성되어 있는 종래의 인터페이스이다.
또, 토큰제어부(130)에는 상기 등록절차와 상기 인증절차를 수행할 수 있도록 관련 데이터를 저장관리하는 데이터베이스가 구비되는데, 이는 해당 토큰에 대한 고유정보(예컨대, 토큰ID, 모델명 등)가 저장된 고유정보저장부(140), 서버별로 할당받은 패스워드를 저장하는 패스워드저장부(150), 및 현재 해당 토큰(101)이 등록된 서버(201)의 정보(예컨대, 서버ID, 모델명, 등록시간 등)가 저장된 서버정보저장부(160)를 구비한다. 본 발명에서는 토큰에 설치되는 데이터베이스를 고유정보저장부(140), 패스워드저장부(150) 및 서버정보저장부(160)로 구현하였지만, 상기 등록절차와 상기 인증절차에 필요로 되는 정보가 추가될 경우 추가구성이 가능하다.
도 1에 도시된 서버(201∼20N)는 복수의 토큰(101∼10N)에 대해 등록·인증을 행하는 장치로서, 본 발명에서는 개폐메카니즘(290)과 연계하여 설명한다.
상기 서버(201∼20N)는 도 3에 도시된 바와 같이, 등록모드를 설정하기 위한 등록버튼이 구성된 모드설정부(205), 무선인터페이스(210)를 통해 토큰측과 무선통신을 행하여 해당 토큰에 대한 등록·인증을 행하는 서버제어부(220), 상기 서버제어부(220)가 특정 토큰에 대한 등록·인증을 행하기 위해 필요로 되는 각종 정보가 저장된 정보저장부(230, 240, 250), 특정 토큰의 등록과정에서 요구되는 패스워드를 생성하기 위한 난수와 인증과정에서 요구되는 챌린지값을 생성하기 위한 난수를 발생하는 난수발생부(260), 난수발생부(260)에 의해 발생된 난수에 대해 암호화를 행하여 이를 서버제어부(220)로 전달하는 암호화부(270), 서버제어부(220)의 제어하에 토큰의 등록과정이나 현재 인증상태가 표시되는 디스플레이부(280), 서버제어부(220)에 의해 인증성공 가부에 따라 개방대상의 개폐상태를 조작하는 개폐 메카니즘(290)을 구비하여 구성된다.
여기서, 정보저장부(230, 240, 250)는 해당 서버(201)에 대한 고유정보(예컨대, 서버ID, 모델명 등)가 저장된 고유정보저장부(230), 해당 서버(201)에 현재 등록된 토큰(101∼10N)의 정보(예컨대, 토큰ID, 모델명, 등록시간 등)가 저장된 토큰정보저장부(240) 및, 각 토큰에 대해 할당된 패스워드가 토큰별로 저장된 패스워드저장부(250)로 구성된다.
도 3에 제시된 난수발생부(260)의 내부 구성은 도 4에 도시된 바와 같이, 4개의 선형 귀환 쉬프트 레지스터( LFSR; Linear Feedback Shift Register)(261∼264), LFSR1(261) 내지 LFSR4(264)로부터 각각 출력되는 8비트 데이터를 덧셈(real sum)하는 가산기(265), 가산기(265)로부터 출력된 8비트 데이터가 쉬프트되어 저장되는 난수저장부(266), LFSR1(261) 내지 LFSR4(264)를 초기화시키기 위한 128비트의 SEED값이 저장된 SEED값 저장부(267), 및 난수저장부(266)의 출력과 SEED값 저장부(267)에 저장된 SEED값을 배타적 논리합(exclusive OR) 연산을 행하여 그 연산결과값을 이용하여 SEED값 저장부(267)에 저장된 SEED값을 갱신하는 SEED값 처리부(268)를 구비하여 구성된다.
여기서, 상기 LFSR1(261) 내지 LFSR4(264)는 각 비트수가 35비트, 33비트, 31비트, 29비트이며, 상기 비트수를 각기 다르게 설계하므로써 난수발생주기를 길게 할 수 있다는 잇점이 있다.
LFSR1(261)에 대한 원시다항식은 X35+X27+X19+X17+X2+X+1 이고 주기는 235-1이며, LFSR2(262)에 대한 원시다항식은 X33+X22+X14+X5+X3+X+1 이고 주기는 233-1이며, LFSR3(263)에 대한 원시다항식은 X31+X23+X11+X5+X3+X+1 이고 주기는 231-1이며, LFSR4(264)에 대한 원시다항식은 X29+X21+X13+X4+X2+X+1 이고 주기는 229-1이다.
이하, 첨부되어진 도 5에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따른 토큰을 이용한 무선 인증방법을 상세하게 설명한다.
사용자가 토큰의 키입력부(110)를 통해 인증을 요청하면, 토크제어부(130)는 고유정보저장부(140)에서 해당 토큰의 고유정보를 추출하고, 추출된 토큰의 고유정보를 이용하여 인증요구메시지를 생성하여 이를 인증받고자 하는 서버(201)측으로 전송한다.
상기 인증요구메시지는 메시지식별자, 토큰 ID 등이 포함되는 것이 바람직하다.
무선인터페이스(210)를 통해 상기 인증요구메시지를 수신한 서버(201)의 서버제어부(220)는 상기 인증요구메시지로부터 토큰 ID를 추출하고(S601, S602), 등록모드의 설정여부를 판단한다(S603).
운용자가 임의의 토큰(101)을 등록하기 위하여 모드설정부(205)를 통해 인증모드를 설정한 상태이면, 서버제어부(220)는 단계 S603에서의 판단결과에 따라 단계 S604로 진행하여 난수발생부(260)를 제어하여 해당 토큰에게 할당될 패스워드를 생성한다.
패스워드가 생성되는 과정을 좀 더 자세히 설명하면, 서버제어부(220)는 35비트의 LFSR1(261)의 LSB(Least Signification Bit) 3비트(W2, W1, W0)를 (0, 0, 1)로 세팅하고, LFSR1(261)의 나머지 32비트는 SEED값 저장부(267)의 SEED값 (S31, S30, …, S0)으로 설정한다. 이와 동일한 방식으로, 서버제어부(220)는 33비트의 LFSR2(262)의 LSB 1비트(X0)를 (1)로 세팅하고, LFSR2(262)의 나머지 32비트는 상기 SEED값 (S63, S62, …, S32)으로 세팅하며, LFSR3(263)의 LSB 7비트(Y6, Y5, …, Y0)를 (0, 0, 0, 0, 0, 0, 1)로 세팅하고, LFSR3(263)의 나머지 24비트는 상기 SEED값 (S87, S86, …, 64)으로 세팅하며, LFSR4(264)의 LSB 5비트(Z4, Z3, , …, Z0)를 (0, 0, 0, 0, 1)로 세팅하고, LFSR4(264)의 나머지 24비트는 상기 SEED값 (S111, S110, …, S88)으로 세팅한다.
본 발명에서는 LFSR1(261), LFSR2(262)에서 32비트를 초과하는 비트와, LFSR3(263), LFSR4(264)에서 24비트를 초과하는 비트에 대해서 서버제어부(220)가 초기값을 세팅할 때, 오른쪽 끝 비트를 "1"로 세팅하고 나머지는 "0"으로 세팅하였지만, 이에 한정하지 않고 상기 초과 비트가 모두 "0"이 되지 않도록만 세팅되면 된다.
상기와 같이 세팅된 각 LFSR1(261) 내지 LFSR4(264)가 1회 동작하면, LFSR1(261) 내지 LFSR4(264)의 각 MSB(Most Significant) 8비트는 가산기(265)로 각각 출력되는데, 가산기(265)는 덧셈(real sum)을 행하여 그 결과값에 해당하는 8비트 데이터를 난수 저장부(266)에 전송하고, 난수 저장부(266)는 8회 오른쪽으로 쉬프트된 후에 상기 8비트 데이터를 (E127, E126, …, E120)에 저장된다.
이와 같은 동작을 15회 더 수행하므로서, 난수저장부(266)의 (E127, 126, …, E0)에는 LFSR1(261) 내지 LFSR4(264)와 가산기(265)에 의해 발생된 난수에 해당하는 128비트의 데이터가 저장된다.
SEED값 처리부(268)는 서버제어부(220)의 제어하에 난수저장부(266)에 저장된 128비트와 SEED값 저장부(267)에 저장된 128비트는 배타적 논리합 연산을 행하여 그 연산결과값에 해당하는 128비트데이터를 SEED값 저장부(267)에 갱신저장하므로서, LFSR1(261) 내지 LFSR4(264)의 초기화를 위한 SEED값을 변경시킨다.
이어, 서버제어부(220)는 난수저장부(266)에 저장된 128비트의 난수(상기 난수는 해당 토큰의 패스워드로 할당된다)와 상기 토큰의 ID를 패스워드저장부(250)에 저장함과 동시에 토큰정보저장부(240)에 해당 토큰의 등록정보를저장한다(S605).
서버제어부(220)는 상기 토큰 ID와 상기 패스워드가 포함된 등록완료메시지를 생성하여, 해당 토큰측으로 전송한다(S606). 여기서, 상기 등록완료메시지는 메시지식별코드필드(2바이트), 여분(reserved)필드(2바이트), 토큰ID필드 (4바이트), 서버ID필드(4바이트), 패스워드필드(16바이트)로 구성된다.
상기 단계 S604 내지 단계 S606에서, 서버(201)는 미등록상태인 토큰에 대해서는 패스워드를 최초로 부여하고, 이미 등록된 토큰에 대해서는 이전에 부여된 패스워드를 신규한 패스워드로 갱신 등록시킨다.
한편, 서버(201)로부터 등록완료메시지를 수신한 토큰의 토큰제어부(130)는 상기 등록완료메시지를 분석하여 상기 서버ID와 서버등록시간 등의 서버등록정보는 서버정보저장부(160)에 저장하고, 상기 토큰등록완료메시지에 포함된 패스워드는 서버 ID별로 패스워드저장부(150)에 저장한다.
그러나, 상술되어진 경우와는 달리 단계 S603에서의 판단결과, 등록모드가 설정되지 않은 상태가 판단되면(S603에서 No), 서버제어부(220)는 세팅값은 인증모드로 자동설정하여, 단계 S602에서 추출된 토큰 ID를 토큰정보저장부(240)에서 조회하여 기등록된 토큰 ID인가를 판단한다(S607). 여기서, 상기 모드는 기본값이 인증모드로 설정되고, 모드설정부(205)에 의해 등록모드가 설정되면, 해당 시간으로부터 일정 시간동안만 등록모드상태를 유지하고, 해당 시간이 경과되면 자동으로 인증모드로 변경되도록 동작하는 것이 바람직하다.
상기 판단결과, 상기 인증요구메시지로부터 추출된 토큰 ID가 미등록된 토큰 ID로 판단되면(S607에서 No), 서버 제어부(220)는 인증이 실패한 것으로 판단하여 디스플레이부(280)를 통해 인증실패결과를 통보한다(S622).
그러나, 단계 S607에서의 판단결과, 상기 인증요구메시지로부터 추출된 토큰 ID가 등록된 토큰 ID로 판단되면(S607에서 Yes), 서버제어부(220)는 난수발생부(260)를 제어하여 챌린지값에 해당하는 160비트의 난수를 발생시킨다(S608). 상기 챌린지값을 160비트로 설계하는 이유는 암호학상 챌린지가 160비트의 경우 안정성이 약 280이상 되기 때문이다.
서버제어부(220)는 난수발생부(260)의 LFSR1(261) 내지 LFSR4(264)를 16회 구동하여, 난수저장부(266)의 (E127, E126, …, E0)에 저장되는 128비트 데이터를 추출한 다음, LFSR1(261) 내지 LFSR4(264)를 다시 16회 구동하여, 난수저장부(206)의 (E31, E31, …, E0)에 새로이 저장되는 32비트 데이터를 추출하여 총 160비트의 난수를 생성한다.
상기 동작에 의해, SEED값 처리부(268)는 난수저장부(266)의 (E127, E126, …, E0)에 데이터가 저장될 때마다 상기 난수저장부(266)의 (E127, E126, …, E0)에 저장된 데이터와 데이터SEED값 저장부(267)에 저장된 SEED값을 배타적 논리합 연산하여, 그 결과를 근거로 SEED값 저장부(267)에 저장되는 SEED값을 갱신등록한다.
이어, 서버제어부(220)는 160비트(20바이트)의 챌린지 값을 이용하여 챌린지 메시지을 생성하여 무선인터페이스(210)를 통해 토큰 측으로 전송하고(S610),상기 챌린지 값을 상기 토큰 ID로 등록된 패스워드를 이용하여 CBC암호화(Cipher Block Chaining)방식을 2회 적용하여 암호화시킨다(S612).
그런 다음, 서버제어부(220)는 토큰측으로부터 암호화된 챌린지 값이 등록된 암호문메시지가 수신되는가를 판단한다(S614).
한편, 단계 S610에서 서버로부터 상기 챌린지메시지를 수신한 토큰측 제어부(130)는 상기 챌린지메시지에 포함된 챌린지값을 추출하고, 패스워드저장부(150)로부터 상기 서버에 대해 등록된 패스워드를 검색하여, 상기 챌린지값을 상기 패스워드로 암호화한 후, 암호화된 챌린지값을 이용하여 암호문메시지를 생성하여 이를 서버측으로 전송한다.
이때, 토큰제어부(130)에서도 상기 챌린지값을 CBC암호화방식으로 2회 암호화하여 16바이트의 암호데이터를 생성하고, 이 암호데이터를 상기 암호문메시지에 추가시키는데, 상기 암호문메시지는 메시지식별자코드필드(2바이트), 여분필드(2바이트), 암호데이터(16바이트)로 구성된다.
상기한 동작에 의해, 토큰으로부터 암호문메시지가 수신되면, 서버제어부(220)는 단계 S614의 판단결과(Yes)에 따라 단계 S618로 진행하여, 상기 암호문메시지에 포함된 암호데이터와 단계 S612에서 암호화된 챌린지값이 서로 일치하는가를 판단한다(S618).
만약, 일치하면 서버제어부(220)는 인증이 성공한 것으로 판단하여, 개폐메카니즘(290)을 동작시켜, 개폐대상이 개방되도록 한다(S612).
그러나, 이와 달리 상기 암호문메시지에 포함된 암호데이터와 단계 S612에서 암호화된 챌린지값이 서로 일치하지 않으면(S618에서 No), 서버제어부(220)는 인증이 실패한 것으로 판단하여 디스플레이부(280)를 통해 인증실패를 통보한다.
한편, 서버제어부(220)는 토큰측으로부터 전송되는 암호문 메시지의 수신을 대기하는 과정에서 대기시간이 기준시간을 경과하면(S616에서 Yes), 인증이 실패한 것으로 판단하여 디스플레이부(280)을 통해 인증실패를 통보한다(S621).
도 5에 도시된 본 발명의 실시예에서는, 단계 S601 내지 단계 S606을 통해 임의의 토큰을 등록시킨 후, 일련의 과정을 종료하도록 동작하지만, 단계 S606를 수행한 후에 단계 S608로 진행하여, 등록과정을 마친 토큰에 대해 인증절차를 수행하도록 구성할 수도 있다.
이상 설명한 바와 같은 본 발명에 의하면, 사용자가 인증받고자 하는 서버의 수만큼 토큰을 구비하지 않아도 하나의 토큰으로 복수의 서버로부터 인증받을 수 있게 하면서, 토큰 사용자가 효율적으로 키를 관리할 수 있도록 함으로써 무선인증시스템의 사용효율을 극대화시킬 수 있다는 이점이 있다.
또한, 패스워드를 직접 전송할 경우 그 안정성이 매우 취약한 반면, 본 발명은 챌린지가 매 세션마다 변경되므로 선로 도청과 같은 공격으로부터 안전하다는 장점이 있다.
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.

Claims (9)

  1. 복수의 서버에 등록되어 상기 서버들로부터 인증을 받을 수 있는 토큰과;
    임의의 토큰에 대해 각각 고유의 패스워드를 부여하고, 패스워드를 부여한 복수의 토큰들을 관리하며, 등록된 토큰으로부터 인증이 요청되면 상기 토큰에 대해 부여된 상기 패스워드를 이용하여 상기 토큰에 대한 인증을 행하는 서버를 포함하여 구성되고,
    상기 토큰과 상기 서버는 무선으로 통신하는 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  2. 제 1 항에 있어서,
    상기 토큰은,
    임의의 서버로부터 부여받은 패스워드를 관리하고, 인증 대상이 되는 서버로부터 전송되는 챌린지값을 해당 서버로부터 부여받은 패스워드로 암호화하여 해당 서버로 전송하는 토큰제어부와;
    상기 토큰의 ID가 포함된 고유정보와 등록완료된 서버들로부터 부여받은 패스워드가 저장되는 데이터베이스;
    상기 토큰제어부와 상기 서버의 무선통신을 지원하는 무선인터페이스로 구성된 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  3. 제 2 항에 있어서,
    상기 토큰제어부는,
    임의의 서버로부터 등록완료메시지가 전송되면, 상기 등록완료메시지로부터 패스워드를 추출하여 상기 데이터베이스에 저장하는 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  4. 제 2 항에 있어서,
    상기 토큰제어부는,
    상기 인증대상이 되는 서버로부터 챌린지값이 포함된 챌린지메시지가 전송되면, 상기 챌린지메시지로부터 서버ID와 챌린지값을 추출하고, 추출된 서버ID에 해당하는 패스워드를 데이터베이스에서 검색하여, 검색된 패스워드로 상기 챌린지값을 암호화한 후, 암호화된 챌린지값이 포함된 암호문메시지를 상기 서버로 전송하는 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  5. 제 1 항에 있어서,
    상기 서버는,
    난수를 발생하여 등록대상이 되는 토큰에게 부여되어질 패스워드를 생성하고, 인증대상이 되는 토큰에게 전송되어질 챌린지값을 생성하는 난수발생부;
    상기 난수발생부에서 생성되어진 챌린지값을 암호화하는 암호화부;
    상기 난수발생부를 제어하여 등록모드가 설정된 상태에서 인증요구 메시지를전송한 토큰에 대해서는 패스워드를 부여하고, 상기 등록모드가 설정되지 않은 상태에서 인증요구 메시지를 전송한 토큰으로부터 전송된 암호화된 챌린지값과 상기 암호화부에서 암호화된 챌린지값의 일치여부를 근거로 인증을 수행하는 서버제어부;
    상기 서버의 ID가 포함된 고유정보와 등록완료된 토큰에게 부여된 패스워드가 저장되는 데이터베이스; 및
    상기 서버제어부와 상기 토큰의 무선통신을 지원하는 무선인터페이스를 포함하여 구성된 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  6. 제 5 항에 있어서,
    상기 난수발생부는,
    복수의 선형 귀환 쉬프트 레지스터;
    상기 선형 귀한 쉬프트 레지스터에 초기값으로 제공되는 SEED값이 저장되는 SEED값 저장부;
    상기 귀환 쉬프트 레지스터들로부터 출력되는 8비트 데이터를 가산하는 가산기;
    상기 가산기의 출력을 쉬프트하여 저장하는 128비트 메모리;
    상기 메모리에 저장된 128비트 데이터와 상기 SEED값 저장부에 저장된 데이터를 XOR처리하여 그 결과값을 근거로 상기 SEED값 저장부의 상기 SEED값을 갱신저장하는 SEED값 처리부를 포함하여 이루어진 것을 특징으로 하는 토큰을 이용한 무선 인증시스템.
  7. 서버에서 등록모드가 설정된 상태에서 임의의 토큰으로부터 인증이 요구되면, 난수발생으로 생성한 패스워드를 상기 토큰에게 전송하여 상기 토큰을 인증대상으로 등록하는 제 1 과정과;
    서버에서 등록모드가 설정되지 않은 상태에서 기등록된 토큰으로부터 인증이 요구되면, 난수발생으로 생성한 챌린지값을 상기 토큰으로 전송하고, 상기 챌린지값을 암호화한 후, 상기 챌린지값과 상기 토큰에서 암호화되어 전송된 챌린지값의 일치여부를 근거로 상기 토큰에 대한 인증을 수행하는 제 2 과정을 포함하여 이루어진 것을 특징으로 하는 토큰을 이용한 무선 인증방법.
  8. 제 7 항에 있어서,
    제 1 과정에서,
    서버에 등록모드가 설정된 상태에서 인증을 요구한 토큰이 기등록된 토큰이면, 상기 토큰에 대해 이전에 부여된 패스워드를 새로운 패스워드로 갱신시키는 것을 특징으로 하는 토큰을 이용한 무선인증방법.
  9. 제 7 항에 있어서,
    상기 제 1 과정을 통해 패스워드를 부여받은 토큰에 대해 난수발생으로 생성한 챌린지값을 상기 토큰으로 전송하고, 상기 챌린지값을 암호화한 후, 상기 챌린지값과 상기 토큰에서 암호화되어 전송된 챌린지값의 일치여부를 근거로 상기 토큰에 대한 인증을 수행하는 제 3 과정을 더 포함하여 구성된 것을 특징으로 하는 토큰을 이용한 무선인증방법.
KR1020030029822A 2003-05-12 2003-05-12 토큰을 이용한 무선 인증시스템과 그 인증방법 KR100626341B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030029822A KR100626341B1 (ko) 2003-05-12 2003-05-12 토큰을 이용한 무선 인증시스템과 그 인증방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030029822A KR100626341B1 (ko) 2003-05-12 2003-05-12 토큰을 이용한 무선 인증시스템과 그 인증방법

Publications (2)

Publication Number Publication Date
KR20040097505A true KR20040097505A (ko) 2004-11-18
KR100626341B1 KR100626341B1 (ko) 2006-09-20

Family

ID=37375663

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030029822A KR100626341B1 (ko) 2003-05-12 2003-05-12 토큰을 이용한 무선 인증시스템과 그 인증방법

Country Status (1)

Country Link
KR (1) KR100626341B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007024626A1 (en) * 2005-08-22 2007-03-01 Microsoft Corporation Distributed single sign-on service
KR100727866B1 (ko) * 2005-08-27 2007-06-19 주식회사 하이스마텍 원 타임 패스워드 생성용 스마트카드 리더 장치
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
KR101386606B1 (ko) * 2012-10-17 2014-04-17 순천향대학교 산학협력단 백업용 스토리지 제어 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007024626A1 (en) * 2005-08-22 2007-03-01 Microsoft Corporation Distributed single sign-on service
US7690026B2 (en) 2005-08-22 2010-03-30 Microsoft Corporation Distributed single sign-on service
KR100727866B1 (ko) * 2005-08-27 2007-06-19 주식회사 하이스마텍 원 타임 패스워드 생성용 스마트카드 리더 장치
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
US9083514B2 (en) 2008-11-24 2015-07-14 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
US9118463B2 (en) 2008-11-24 2015-08-25 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
US9160528B2 (en) 2008-11-24 2015-10-13 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
US9184910B2 (en) 2008-11-24 2015-11-10 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
US9641514B2 (en) 2008-11-24 2017-05-02 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
US10298562B2 (en) 2008-11-24 2019-05-21 Microsoft Technology Licensing, Llc Distributed single sign on technologies including privacy protection and proactive updating
KR101386606B1 (ko) * 2012-10-17 2014-04-17 순천향대학교 산학협력단 백업용 스토리지 제어 방법

Also Published As

Publication number Publication date
KR100626341B1 (ko) 2006-09-20

Similar Documents

Publication Publication Date Title
CN106357649B (zh) 用户身份认证系统和方法
CN106411525B (zh) 消息认证方法和系统
CN108965338B (zh) 多服务器环境下的三因素身份认证及密钥协商的方法
CN108377190B (zh) 一种认证设备及其工作方法
KR101265873B1 (ko) 분산된 단일 서명 서비스 방법
US8370638B2 (en) Derivative seeds
US7334255B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
US8516566B2 (en) Systems and methods for using external authentication service for Kerberos pre-authentication
EP3293995B1 (en) Locking system and secure token and ownership transfer
US20070130463A1 (en) Single one-time password token with single PIN for access to multiple providers
KR20070057871A (ko) 다항식에 기초한 인증 방법
JP2024023594A (ja) マルチポイント認証のためのキー生成・預託システム及び方法
NO324315B1 (no) Metode og system for sikker brukerautentisering ved personlig dataterminal
WO2007035846A2 (en) Authentication method and apparatus utilizing proof-of-authentication module
CN102017578A (zh) 用于在令牌与验证器之间进行认证的网络助手
JP2010226336A (ja) 認証方法および認証装置
JP6667371B2 (ja) 通信システム、通信装置、通信方法、及びプログラム
CN114070559B (zh) 一种基于多因子的工业物联网会话密钥协商方法
CN104539420A (zh) 一种通用的智能硬件的安全密钥管理方法
CN1894882B (zh) 认证系统
JPH09321748A (ja) 共有暗号鍵による通信システム、同システム用サーバ装置、同システム用クライアント装置、及び通信システムにおける暗号鍵の共有方法
KR101878314B1 (ko) 사물 인터넷 네트워크의 사용자 인증 시스템 및 방법
KR100626341B1 (ko) 토큰을 이용한 무선 인증시스템과 그 인증방법
CN107104792B (zh) 一种便携式移动口令管理系统及其管理方法
JP2001094553A (ja) 匿名認証方法および装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120913

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130913

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140911

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150911

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee