KR20070061606A - Authentication method for domain in ubiquitous devices using attribute certification - Google Patents

Authentication method for domain in ubiquitous devices using attribute certification Download PDF

Info

Publication number
KR20070061606A
KR20070061606A KR1020050121208A KR20050121208A KR20070061606A KR 20070061606 A KR20070061606 A KR 20070061606A KR 1020050121208 A KR1020050121208 A KR 1020050121208A KR 20050121208 A KR20050121208 A KR 20050121208A KR 20070061606 A KR20070061606 A KR 20070061606A
Authority
KR
South Korea
Prior art keywords
authentication
device
domain
process
information
Prior art date
Application number
KR1020050121208A
Other languages
Korean (ko)
Other versions
KR100789250B1 (en
Inventor
이덕규
이임영
Original Assignee
이임영
임종인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이임영, 임종인 filed Critical 이임영
Priority to KR1020050121208A priority Critical patent/KR100789250B1/en
Publication of KR20070061606A publication Critical patent/KR20070061606A/en
Application granted granted Critical
Publication of KR100789250B1 publication Critical patent/KR100789250B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements, e.g. access security or fraud detection; Authentication, e.g. verifying user identity or authorisation; Protecting privacy or anonymity ; Protecting confidentiality; Key management; Integrity; Mobile application security; Using identity modules; Secure pairing of devices; Context aware security; Lawful interception
    • H04W12/06Authentication

Abstract

A method for authenticating a ubiquitous device domain using an attribute certification is provided to efficiently perform authentication according to a device shift using a PMI(Privilege Management Infrastructure). A method for authenticating a ubiquitous device domain using an attribute certification includes the steps of: requesting an authentication issue from an authentication center(A1); issuing a PKI certificate for generation of the attribute certification to a user(A2); issuing the attribute certification to each device by using the PKI certificate issued from the authentication center(A3); informing the issued attribute certification to the authentication center(A4); if the device which stores the attribute certification is moved to a single domain, informing a mobile signal to the single domain(B1); informing the mobile signal to an upper hub(B2); transmitting information of a mobile device to the device in the single domain to be moved(B3); transmitting authentication information including movement information and behavior information to the hub through the mobile device information(B4); checking the authentication information at the hub, and allowing the authentication of the mobile device to the device of the domain to be moved(B5); providing the authenticated information to the device of the domain to be moved(B6); checking the authentication information provided from the hub, and allowing the use in the domain of the mobile device(B7).

Description

속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법 { Authentication Method for Domain in Ubiquitous Devices Using Attribute Certification } Ubiquitous device domain authentication method using an attribute certificate {Authentication Method for Ubiquitous in Domain Devices Using Attribute Certification}

도 1은 종래기술에 의한 것으로 인증값을 이용한 인증방법을 나타낸 흐름도이며, 1 is a flowchart illustrating an authentication method using the authentication value to be due to the prior art,

도 2는 본 발명의 실시예에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법을 개략적으로 도시한 전체 흐름도이며, Figure 2 is an overall flow chart that schematically illustrates a ubiquitous device, the domain authentication method using an attribute certificate in accordance with an embodiment of the invention,

도 3은 본 발명의 실시예에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 단일 도메인에서의 인증 방법을 개략적으로 도시한 흐름도이며, 3 is a flow diagram schematically illustrating an authentication method in a single domain in the ubiquitous device domain authentication method using an attribute certificate in accordance with an embodiment of the invention,

도 4는 본 발명의 실시예에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 멀티 도메인에서의 인증 방법을 개략적으로 도시한 흐름도이다. Figure 4 is a flow diagram schematically illustrating an authentication method in a multi-domain according to the ubiquitous device domain authentication method using an attribute certificate according to an embodiment of the invention.

본 발명은 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 관한 것으로서, 보다 상세하게는 속성 인증서(Attribute Certification)을 이용한 도메인 인증 방식으로 최초 사용자가 인증센터에 자신의 디바이스들을 등록하게 되면 이에 해당하는 속성 인증서를 발급함으로써 효율적인 인증과정이 이루어지는 것을 특징으로 한다. The invention property that when related to a ubiquitous device, the domain authentication method using an attribute certificate, the first to the domain authentication method using More specifically, the attribute certificate (Attribute Certification) user to register their device in the authentication center corresponding certificate It characterized in that the effective authentication process is made by issuing.

유비쿼터스 컴퓨터 환경은 사용자가 네트워크나 컴퓨터를 의식하지 않고 장소에 상관없이 자유롭게 네트워크에 접속할 수 있는 정보통신 환경을 말한다. Ubiquitous computing environment refers to the user information and communications environment that can freely access the network from any location without worrying about the network or computer. 그러나, 이러한 유비쿼터스 컴퓨터 환경은 사용자가 언제 어디서나 컴퓨터를 이용할 수 있도록 네트워크를 통해 상호 연결된 보이지 않는 수많은 컴퓨터(Invisible Computer)가 편재되고 사용자가 원하는 대로 쉽게 이용할 수 있는 컴퓨팅 환경을 지향하고 더 나아가서는 사용자가 원하는 컴퓨팅을 컴퓨터 스스로 알아서(상황인식 Context Awareness) 제공하는 스마트 환경 보안에 있어 특히 취약한 면을 많이 내포하고 있다. However, the ubiquitous computer environment users anywhere, anytime number of computers that are mutually visible connected over a network to allow access to a computer (Invisible Computer) is unevenly distributed and oriented computing environment where users can easily access the desired further a further user I you want to smart computing environments provide security to take care of your computer (situation awareness context awareness) themselves may involve a lot of particularly vulnerable side. 그 중에서도 분산된 다양한 기기들이 도처에 존재함으로 인해 사용자 주변에 있는 기기 중에서 사용자 혹은 서버에 인증된 기기로의 위장공격 등이 가능하다는 문제점도 있었다. Among them was even possible that such an attack in the stomach with the user device authentication server or from the device in the user due to the presence of peripheral devices distributed throughout the various problems.

유비쿼터스의 대부로 불리는 PARC(Palo Alto Research Center)의 Mark Weiser가 1993년 발표한 논문 중에 컴퓨터의 진화과정을 컴퓨터 기술과 인간과의 관계 변화를 중심으로 보고, 제 1의 물결인 메인프레임시대(1대의 고가의 컴퓨터를 다수가 공유), 제 2의 물결인 퍼스널 컴퓨터 시대(1인 1대의 컴퓨터 사용), 그리고 광역 분산 컴퓨팅을 제공하는 인터넷 시대를 거쳐 유비쿼터스 사회(다양한 사람들이 내장형의 다양한 컴퓨터를 의식하지 않고 네트워크를 통해 사용)로 나누는 동시에 컴퓨터 기술에 있어 제 3의 물결로 정의하였다. During that Mark Weiser of PARC (Palo Alto Research Center) it called the ubiquitous loan papers published in 1993 reported the evolution of computers around the relationship between changes in the computer technology and the human wave mainframe era (one of the first one expensive computer majority share), the second wave of the personal computer era (one of one's computer use), and via the Internet age, offering a wide-area distributed computing aware of the various computers in the ubiquitous society (various people built At the same time division by using over the network) in computer technology defined by the third wave without. 그리고 우리 생활 중의 주요한 컴퓨터 인터페이스 기술이 보이지 않는 인터페이스(Invisible Interfaces)를 사용하여 우리 주변에 스며들어 일상생활에 통합되는 기술(Calm Technology)의 등장을 언급하면서, 이러한 기술변화를 통해 새로운 문화 즉, 유비쿼터스 컴퓨팅의 출현을 주장하였다. And our new culture through these technological changes, noting the appearance of using the main computer Interface (Invisible Interfaces) technology is invisible stains around us Technology (Calm Technology) is integrated into the daily life of the life that is ubiquitous It argued the emergence of computing. 유비쿼터스 컴퓨팅에서의 주요 연구는 다음과 같이 이뤄지고 있다. The main research in ubiquitous computing are being made as follows: 유비쿼터스 컴퓨팅 시대의 유비쿼터스 네트워크는 PC, 서버 중심의 협희의 네트워킹에서 AV 기기, 정보가전, 휴대전화, 게임기, 제어기기 등과 같은 다양한 기기가 접속됨으로 인하여 소형화 기술, 휴대전화기술, 정보가전기술, 전자제어기술, 네트워킹제어기술 등이 주요한 원천 기술로 대두되었다. Ubiquitous network of the ubiquitous computing era, PC, in the networking of server-centric hyeophui AV equipment, information appliances, mobile phones, game consoles, and is connected to various devices, such as control devices doemeuro due to miniaturization technology, mobile phone technology, information electronics technology, electronic control such as technology, networking, control technology has emerged as the leading source of technology. 이중에서 어디서나 안전하게 컴퓨터를 사용할 수 있는 기술로서 개인 인증 기술과 보안 기술을 들 수 있다. As a technology that can be used to secure your computer from anywhere in the dual may be a personal authentication technology and security technology. 이러한 개인 인증에 관한 연구는 각 국가의 프로젝트에 따라 연구가 진행되어왔다. Study of these individuals have been certified according to the research conducted in each country projects. 각각의 도메인 상에서는 인증에 관한 해결책으로 제시하고 있는 연구는 현재 진행되고 있지 않은 실정이다. On each domain research and presented as a solution for authentication is a situation that is not currently in progress. 유비쿼터스 컴퓨팅 관련 프로젝트는 MIT의 Oxygen, UC Berkeley의 Endwavour, Washington 대학의 Portolano, Georgia Tech & Ogi의 Infosphere, CMU의 Aura 프로젝트, 일본의 TRON프로젝트 등이 있다. Ubiquitous computing-related projects include the MIT Oxygen, UC Berkeley's Endwavour, Washington University in Portolano, Georgia Tech & Ogi's Infosphere, the CMU Aura project, the Japanese TRON project. 산업체에서의 가장 대표적인 경우가 IBM의 Websphere 제품과 HP의 Cooltown, MS의 Easy Living이라 할 수 있다. The most typical case in the industry can be called Easy Living IBM's Websphere product and HP's Cooltown, MS. MIT의 Oxygen Project의 특징은 매우 동적이며, 다양한 인간 활동을 지원하기 위함이고, 많은 기술적인 문제점을 해결해야한다. Features of the Oxygen Project at MIT is very dynamic, and in order to support a wide range of human activities, should resolve many technical problems. 사용자와 시스템 기 술들을 조합하여 편재하며, 인간 중심형 컴퓨팅 기술을 가능하게 하며, 음성, 비전 기술들을 이용하여 시간과 노력을 절약시킨다. Ubiquity by combining the user and system technology, and enables the human-oriented computing technology, thereby saving time and effort, using the voice, vision. 임베디드 디바이스를 이용한 분산처리 기반 컴퓨팅 시스템이라 할수 있다. Dispersion process using the embedded device can be referred to based computing system. Washington 대학의 Portolano 프로젝트는 사용자의 의도에 따른 다중 사용자 인터페이스 기능을 가지며, 네트워크에 기초한 수평적 계층적 서비스 기능을 제공한다. University of Washington Portolano project has a multi-user interface function according to the user's intention, there is provided a horizontally layered service function based on the network. 그리고 엑티브 네트워크, 분산처리 기반 구조 기능을 특징으로 한다. And it characterized by the active network, distributed processing infrastructure functions. CMU의 Aura 프로젝트는 사용자의 집중도를 떨어뜨리지 않고 작업할 수 있는 컴퓨팅 환경구성을 주요 목표로 하고 있다. Aura project at CMU has a computing environment that can be configured to work without compromising the user to concentrate on the main goal. Aura 프로젝트를 수행하기위한 요소 기술은 다음과 같으며, 보안에 관련된 연구는 키 설립, 선택적 제어, 위치 정보에 대한 보호 등 개인적인 프라이버시에 집중되는 것을 알 수 있다. Technical elements for conducting the Aura project can be seen as follows, and research related to security which focus on personal privacy, including protection for key establishment, selective control and location information. IBM의 유비쿼터스 컴퓨팅은 모든 네트워크상에서 임의의 장치를 사용하여 어떤 정보라도 전달하며, 개인화기능을 이용하면 사용자가 선택하는 것으로 정보를 전달하는 일을 뜻한다. Ubiquitous computing, IBM delivers any information, using any device, over any network, using the personalization feature means the day that you deliver information that choice.

2002년에 Jalal등은 사용자 인증 레벨 개념을 가진 방식을 제안하였다. In 2002, Jalal et al. Proposed a method with user authentication level concepts. 따라서 사용자의 각 디바이스는 각각의 인증값을 가질 수 있도록 설계되었으며 아래와 같은 두 가지 조건을 가진다. Thus each device of the user are designed so that they have a respective authentication value has two conditions as follows.

① 각각의 디바이스에 사용자 인증 정보가 다르게 존재할 수 있다. ① it may be present in the different user credentials for each device. 즉, 스마트 디바이스인 PDA, 시계, 스마트 반지와 같은 디바이스에 사용자의 정보를 반지에는 최소의 인증 정보를 PDA에는 중간 정도의 인증 정보를 보관 할 수 있다. That is, the smart device is a PDA, clock, in the ring the user's information in the same device and the smart ring at least the authentication information PDA may store the authentication information of the medium.

② 레벨 인증 정보를 위해 신임값을 통한 인증을 다단계로 분할하고 있는데 신임을 각 디바이스에서 획득하기 위해 각 디바이스에 맞는 인증 프로토콜을 통하 여 신임값을 전달하고 있다. ② to the level of authentication information there and split the authentication via the new value to the multi-step and forwards over the new values ​​made through an authentication protocol for each device to acquire each new device.

하나의 디바이스가 사용자의 도메인에서 벗어나 다른 도메인으로 들어갔을 경우 다른 도메인의 사용자 정보를 가지고 있더라 하더라도 새로운 도메인의 사용자 인증 정보를 따라가 결국 다른 도메인에서 이동한 사용자는 사용에 있어 제약이 생기게 된다. If one of the device away from the user enters the domain to another domain even itdeora with the user information of the other domain is in accordance with the credentials of a new domain user who eventually moves in different domains is in use is causing restrictions. 이 방식은 같은 도메인 내에서의 사용자의 디바이스 각각이 인증 정보를 가지고 있으므로 사용자가 하나의 디바이스를 통해서 인증을 받을 수 있고 사용자 주변의 모든 디바이스를 레벨 인증 정보를 통하여 모두 인증 받을 수 있는 특징을 가지고 있다. This method, because the user of the device within the same domain, respectively, with the authentication information has a feature that the user can be authenticated through a single device may be authenticated both by the level of authentication information for all devices of the user around the . 신임값을 갖고 디바이스를 인증하는 것은 스마트 디바이스에 대해서는 효율적인 인증을 제공하지만 전체적인 인증을 위해서나 스마트 인증에 대한 확인을 위해 상위 디바이스가 필요한 경우가 발생하게 된다. It has a new authentication value, the device provides an efficient authentication for the smart device, but is necessary if the parent device to confirm authentication to the smart occurs wihaeseona the overall authentication. 이때 신임값을 갖는 중간 디바이스나 스마트 디바이스 상위의 디바이스가 다른 곳에 위치하거나 분실하였다면 전체적인 인증은 불가능하며 분실 디바이스 이하의 디바이스에 대해서는 새로이 신임값을 분배해야하는 문제점이 발생하게 된다. If this time the intermediate device and the smart devices in the upper device having a new value, the position is lost, or else can not be authenticated and the whole becomes a problem should occur new allocation of the new values ​​for the devices below the device is lost. 각각에 대하여 다시 살펴보면 다음과 같다. Looking back for each are as follows:

① 전체 인증 정보는 디바이스 N까지의 신임값 합과 일치한다. ① full authentication information is identical to the sum of new value to the device N.

② 어떤 한 디바이스가 이동 혹은 분실되면, 이하 디바이스에 대해 전체적인 인증은 불가능하다. ② When a device which is moved or lost, it is not possible for less than the whole authentication device.

JARM 방식에 대해 자세히 기술하면 다음과 같다. A detailed description of the way JARM follows. 유비쿼터스 컴퓨팅 환경에서 사용자는 여러 가지 디바이스를 통하여 인증을 받을 수 있다. In ubiquitous computing environment, a user can be authenticated through a variety of devices. 하나의 디바이스를 통해 인증이 이뤄질 수 있고 작은 디바이스는 상위의 디바이스로 인증 정보를 전송하는 다단계 과정을 통해 인증을 이루어질 수도 있다. This authentication can be made through one of the devices, and a small device may be authenticated via a multi-step process of transmitting the authentication information to the parent device. 여기서 다단계 인증 과정 중에 각 디바이스에 어떻게 신임할 것인가가 가장 큰 문제로 작용한다. Where should I act as the biggest problem will be new for each device in the multi-factor authentication process. 예를 들어, 패스워드를 어느 하나의 인증 디바이스에게 제공한 후 이것을 디바이스가 사용하였을 때, 제공된 패스워드가 다른 디바이스에서 어느 정도 신뢰되어 개체를 인증하는 것은 각 디바이스 선택에 의해 좌우된다. For example, when this After providing the password to the authentication device of any one hayeoteul device is used, it is that the password is provided to some extent trusted by the other devices to authenticate the object is influenced by each of the devices selected. 각 디바이스에 신임값을 전달하는 것은 각 디바이스에 맞는 프로토콜을 통하여 이루어질 수 있다. It passes the new value to each device can be made through the protocols for each device. 만약 사용자가 하나의 인증 방법을 사용하기 원할 때 신임값은 포괄적으로 사용할 수 있다. If the user wants to use a single authentication credential values ​​it can be used comprehensively. 이 방식에서 사용되는 신임값의 예제는 다음과 같다. Examples of the new value to be used in this way are as follows:

C net = 1-(1-C 1 )(1-C 2 )...(1-C n ) C net = 1- (1-C 1) (1-C 2) ... (1-C n)

여기서 C net 은 사용자의 신임값이 되며, C 1 , C 2 , ..., C n 은 각 디바이스의 신임값이 된다. Where C is the net value of the user credentials, C 1, C 2, ... , C n is the new value of each device. 상기의 방식은 기존 분산 시스템의 인증 방법으로 사용되었던 Kerberos를 유비쿼터스 환경에 맞도록 개선하여 사용하게 된다. Wherein the method is used to improve fit the Kerberos was used as the authentication method of an existing distributed systems in a ubiquitous environment. 여기서 활동 공간(AD: Active Domain)은 인증을 위한 도메인으로 Kerberos와 동일하게 구성하며, 이 엑티브 도메인은 세 개의 인증 컴포넌트들로 구성하게 된다. The activity space (AD: Active Domain) is configured the same as the Kerberos domain for authentication, and the active domain is composed of three authentication component. 첫 번째 컴포넌트는 인증 서버(AS: Authentication Server)로서 엑티브 도메인 내의 SSO를 지원하게 하며, 두 번째 컴포넌트는 티켓 발급 서버(TGS: Ticket Granting Server)로 엑티브 도메인 내에 사용자가 접근할 수 있는 티켓 발급을 담당하며, 세 번째 컴포넌트는 데이터베이스로 엑티브 도메인내의 모든 사용 인증에 관한 필요정보를 보관한다. The first component is the authentication server as the (AS Authentication Server) and support for SSO within the active domain, and the second component is a ticketing server is responsible for ticketing, which allows users to access within the active domain as (TGS Ticket Granting Server) and the third component is a need to keep information about all certificates used within the active domain to the database.

진행 과정은 도 1의 흐름도를 참고하여 보다 상세히 설명한다. Process will be described in more detail with reference to the flowchart of FIG. 활동 공간 (Active Domain)내에 스마트 디바이스들이 login등을 검출하는 것을 기지국으로 봉쇄할 수 있다(S11). Smart devices in the active area (Active Domain) that can be sealed to the base station to detect the like login (S11). 사용자는 자신을 충분히 인증해 줄 수 있는 SAP(Space Authentication Portal)로 이동하고(S12), SAPs 자체는 사용자 인증을 제공하면서 프라이버시를 제공하기 위해 충분한 정보를 제공하지 않는다. You go to the SAP (Space Authentication Portal) that can sufficiently authenticate themselves and (S12), SAPs itself does not provide sufficient information to provide privacy while providing user authentication. 하지만, 사용자의 정보는 보안 서버와 통신할 수 있는 Lighthouse에서 가지고 있게 된다(S13). However, your information is taken from Lighthouse able to communicate with a secure server (S13).

성공적인 인증(S14)에는 Kerberos와 같은 활동 공간에 사용할 수 있는 사용자에 대한 TGT(Ticket Granting Ticket)를 발급하며(S15), 사용자는 고정된 워크스테이션의 사용이 필요치 않게 되지만, 대신 활동 공간에서 서비스를 이용하도록 접근이 가능한데, 직접적으로 사용할 수 있는 어떠한 디바이스를 이용함으로써 서비스에 상호 작용할 수 있다(S16). Successful authentication (S14) has issued a TGT (Ticket Granting Ticket) for a user that can be used for activities space, such as Kerberos and (S15), the user is not required to use a fixed workstation, but instead the service in the activities room possible to use this approach, it is possible to interact with the service by using any device that can be used directly (S16).

통신은 Lighthouse가 사용자의 위치정보 제공을 막기 위해 Mist 프로토콜(MIT대학의 프로토콜)을 사용하며(S17), TGT는 Target 사용자를 위해 Lighthouse에서 저장해둔다. Communication haedunda Lighthouse is provided to prevent the user's location information using the Mist protocol (Protocol at MIT) and (S17), TGT is stored in the Lighthouse for the Target users. 또한 Lighthouse는 필수 서비스에 접근하기 위해 티켓들을 요청한 TGS와 통신할 수 있도록 한다.(S18) Lighthouse also allows you to communicate with the requested TGS ticket to gain access to essential services. (S18)

최종적인 신뢰와 더불어 사용권한에 대한 내용을 담고 있는 티켓내의 정보를 이용하여, 서비스는 스마트 디바이스 소유자에게 권한을 줄 것인지 아닌지 결정한다(S19). Use the information in the ticket contains information about the permissions with the final trust, service determines whether a smart device owners whether to give permission (S19). 최종적으로 활동공간의 로그오프 혹은 티켓의 폐기, 티겟의 말소, 디바이스 활동 공간 벗어난 경우는 종료된다(S20). Eventually logs off of the work space or disposing of the ticket, cancellation of the Ticket, if out of the device active area is terminated (S20).

본 발명은 사용자의 디바이스가 이동하는데 있어 원활하게 끊김 없이 사용자 디바이스를 인증하면서 각 디바이스에 대한 인증, 인가 및 기밀성과 안전성을 확보하기 위한 방법으로 속성 인증서(Attribute Certification)를 이용한 모델 및 프로토콜을 제공하는 것을 목적으로 한다. The present invention is to provide a model and protocol with the attribute certificate (Attribute Certification) as a means to secure authentication, authorization, and privacy and security for each device, and authenticate a user device without smooth it to move a user of the device breaks and that for the purpose.

또한, 본 발명은 동일한 도메인 내에서 뿐만 아니라 사용자가 이동하는 경우 사용자 디바이스 정보가 올바르게 제공되면서 사용자 인증과 불법적인 사용자 디바이스의 불법 행위를 방지하고자 함에 또 다른 목적이 있다. In addition, the present invention as well as in the same domain as the user device provides correct information if a user moves to prevent user authentication and illegal illegal act of the user device, there is another purpose.

상술한 목적을 달성하기 위해, 본 발명은 유비쿼터스 환경에서 각각의 디바이스에 대한 도메인 인증 방법에 있어서, 사용자는 인증센터로부터 인증서 발급을 요청하는 제 1과정과, 인증센터는 사용자에게 속성인증서의 생성을 위한 PKI인증서를 발급하는 제 2과정과, 사용자는 인증센터로부터 발급받은 PKI인증서를 이용하여 자신의 각 디바이스에 속성인증서(Attribute Certification)를 발급하는 제 3과정과, 상기 제 3과정에서 발급된 속성인증서에 대한 사항을 인증센터에 통보하는 제 4과정을 포함하여 이루어진 사용자 및 디바이스 등록과정과, In order to achieve the above object, the present invention is the first process and the authentication center is generated in the user attribute certificate according to a domain authentication method for each device in a ubiquitous environment, a user request, a certificate issued by the authentication center and a second process that issues a PKI certificate for the user is issued by an attribute certificate (attribute certification) on their respective devices using PKI certificates issued by the authentication center a third step, and the attribute is issued by the third step of user and device registration process, and made in a fourth process for notifying the information about the certificate to the authentication center,

상기 제 3과정을 통해 생성한 속성인증서를 보관한 디바이스가 자신의 공간(Single Domain)으로 이동하는 경우, 이에 대한 이동 신호를 자신의 도메인에 보고를 알리는 제 5과정과, 상기 제 5과정에서 보고받은 도메인은 상위의 허브에게 이동에 대한 보고를 알리는 제 6과정과, 상기 제 6과정에서 보고받은 허브는 디바이 스가 이동할 단일 도메인 내에서의 디바이스에게 이동 디바이스의 정보를 전송하는 제 7과정과, 상기 제 7과정에서의 이동 디바이스 정보를 이용하여 인증정보에 자신의 이동정보와 이전 공간에서의 행위정보를 포함하여 허브에게 전송하는 제 8과정과, 상기 제 8과정에서의 제공된 정보를 이용하여 허브는 인증정보를 확인하고 이동할 도메인의 디바이스에 이동 디바이스의 인증을 허락하는 제 9과정과, 상기 제 9과정에서 인증된 정보를 Reported in the fifth process, and, the fifth process of notifying the reported mobile signal for it to their own domain if the one device store the attribute certificate generated by the third process, go to his room (Single Domain) the received domain and the seventh step of transmitting the information of the mobile device to the device within a single domain and a sixth process of informing the reporting of the mobile to the upper hub, a hub received report in the sixth process, devices Suga move, claim to process the authentication information by using the mobile device information in 7 contains the behavior information of the own mobile information and the previous space, using the information provided in the eighth process, and the eighth step of transmitting to the hub hub a ninth step of determining the authentication information, and allowed to reach the authentication of the mobile device to the device in the domain, and the identification information in the ninth process 동할 도메인의 디바이스에 제공하는 제 10과정과, 상기 제 10과정에서 허브로부터 제공받은 인증 정보를 확인하여 이동 디바이스의 도메인내 사용을 허락하는 제 11과정으로 이루어지는 단일 도메인에서의 인증 방법과, A tenth step of providing the device in the domain and move, and the authentication method in a single domain formed by the process of claim 11 to verify the authentication information supplied from the hub 10 in the first process, which allows the use within the domain of the mobile device,

상기 제 3과정을 통해 생성한 속성인증서를 보관한 디바이스가 다른 사용자의 공간(Multi Domain)으로 이동하는 경우, 디바이스는 도메인에 이동신호를 보내고 허브는 자신의 공간 목록에서 이전 단일 도메인상의 목록을 삭제하는 제 12과정과, 허브는 상기 제 12과정에서 제공받은 삭제 정보를 상위 관리자에 알리는 제 13과정과, 멀티 도메인에 새로운 디바이스가 위치함을 디바이스가 위치한 상위 관리자에 알리고 인증 요청을 수행하는 제 14과정과, 상기 제 14과정에서 제공된 인증 정보가 올바른지 확인하는 제 15과정과, 상기 제 15과정에서 인증이 올바르다고 판단되면 이동한 디바이스의 인증 정보를 상위 도메인에게 전송하는 제 16과정과, 상기 제 16과정에서의 상위 도메인은 전송된 정보가 이동할 도메인에서 올바르게 생성된 정보인지를 확인하고 이 When the one device store the attribute certificate generated by the third process of moving into the space (Multi Domain) of the other user, the device sends a change signal to the domain hub delete list and the previous single domain in the list of own space claim 14 claim 12 the method comprising the steps of, a hub is to inform the upper management is that with a thirteenth process of informing the deletion information received in the twelfth process, the parent manager, the new device is located in a multi-domain device in performing the authentication request process, and the sixteenth process of claim 15, the process of confirming the correct authentication information provided by the 14 process and transmits the authentication information of the mobile device when it is determined that the authentication is valid in the first 15 courses to the parent domain, and the first Top 16 domains in the process confirm that a properly created in the transmission information to the mobile domain information 할 디바이스에 대한 인증을 수락하는 제 17과정과, 상기 제 17과정에서 인증 정보가 확인되면 이동 디바이스의 멀티 도메인내에서 디바이스에 대한 사용을 허락하는 제 18과정으로 이루어지는 멀티 도메인에서의 인증 방법을 포함하여 이루어지는 것을 특징으로 한다. After the 17th step of accepting authentication to be a device, the authentication information is confirmed in the 17th process includes an authentication method in a multi-domain consisting of a 18 process which allows the use of the device in the multi-domain of the mobile device and it characterized in that formed.

또한, 상기에서 인증정보를 확인하는 제 9과정, 또는 제 14과정, 또는 제 17과정 중 어느 한 과정에 있어서, 상기의 인증정보가 정당하지 않을 경우 이동 디바이스에 대한 인증이 이루어지지 않으며, 인증정보 재생성을 요구하는 과정이 부가되는 것을 특징으로 한다. Further, in any one course of the ninth degree, or 14 degree, or 17, the process of checking the authentication information in the above, not the authentication of the mobile device be achieved if the authentication information is not pertinent, the authentication information, It characterized in that a process requiring re-added.

먼저, 본 발명에 의해 구현될 수 있는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에서의 요구사항은 다음과 같다. First, the requirements in a ubiquitous device, the domain authentication method using an attribute certificate, which may be implemented by the present invention are as follows.

① Mobility(이동성) : 사용자가 가지고 있는 스마트 디바이스(인증 정보가 포함된)는 이동하여 모든 서비스에 사용될 수 있다. ① Mobility (mobility): smart devices (including the credentials) that a user has may be used for all services to the mobile.

② Entity Authentication(개체 인증) : 사용자가 SM_A를 가지고 Domain_A를 벗어나더라도 Domain_B에서 SM_A의 정보만을 이용하여 인증을 받을 수 있다. ② Entity Authentication (authentication object) even if you have a SM_A out of Domain_A can be authenticated using only information from SM_A Domain_B.

③ Corresponding Entity Authentication(동일한 개체에 대한 인증) : Domain_A에 Device_B가 위치해 있을 때, B와 동일한 개체임을 확증하도록 제공하는 것이다. ③ Corresponding Entity Authentication (authentication of the same object) will be provided to confirm that when Device_B located in Domain_A, the same object as B. 이 인증은 하나의 도메인에 여러 디바이스가 접속되었을 때, 이전 사용자의 개체를 통하여 디바이스의 인증을 실현하는 것이다. This authentication is to realize the authentication of a device by an object in the original user when the number of devices connected to a single domain. 이러한 인증은 다양한 등급의 보호기능을 제공할 수 있다. This certification can provide varying degrees of protection.

④ Data Outgoing Authentication(데이터 발신처 인증) : Domain_A에 의해 제공될 때, 데이터의 발신처를 요구하는 Domain_B에서의 Device_A가 실제 디바이스라는 것을 Domain_A에 의해 제공된다. ④ Outgoing Data Authentication (the source authentication data): When provided by a Domain_A, provided that the Device_A in Domain_B requiring the source of data of the actual device by the Domain_A. 이 인증은 인증 데이터의 발신처에 대한 확 증을 제공한다. This certification provides increased accuracy for the source of authentication data. 그러나 이 인증은 데이터의 중복 혹은 변경에 대한 보호기능은 제공되어서는 안된다. However, authentication should not be provided are protection against duplication or modification of the data.

⑤ Connection/Non-connection Confidentiality(접속/비접속 기밀성) : 접속 기밀성은 Domain_A 상에서 Device_B는 사용자 데이터에 대한 기밀성을 제공해야한다. ⑤ Connection / Non-Confidentiality connection (connection / disconnection confidentiality) connected confidentiality Device_B on Domain_A shall provide the confidentiality of user data. Domain_A는 B의 정보를 받아 상위로부터 최종 인증을 받는다. Domain_A receives the information of the authentication from the host B receives the final. 비접속 기밀성은 B의 디바이스는 어떤 도메인과 연결되기 전까지 사용자 데이터에 대한 기밀성을 제공해야 한다. Connectionless confidentiality of the device B has to provide confidentiality for the user data until it is associated with a certain domain.

이하, 첨부된 도면을 참조하면서 본 발명에 대해 상세하게 설명한다. With reference to the accompanying drawings and will be described in detail the invention.

도 2는 본 발명의 실시예에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법을 개략적으로 도시한 전체 흐름도이며, 도 3은 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 단일 도메인에서의 인증 방법을 개략적으로 도시한 흐름도이며, 도 4는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 멀티 도메인에서의 인증 방법을 개략적으로 도시한 흐름도이다. Figure 2 is a schematic authentication method in a single domain in the ubiquitous device domain authentication method using a an overall flow diagram, the attribute certificate Figure 3 shows a ubiquitous device, the domain authentication method using an attribute certificate schematically according to an embodiment of the present invention and the flowchart shown in, Figure 4 is a flow diagram schematically illustrating an authentication method in a multi-domain according to the ubiquitous device domain authentication method using an attribute certificate.

도 2에 도시한 바와 같이, 본 발명에 의한 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법은 크게 사용자 및 디바이스 등록과정(A1~A4)과, 도메인 인증과정(B1~B7, C1~C7)으로 구분되며, 상기에서 도메인 인증과정은 상황에 따른 두 가지 방법이 제안된다. 2, the ubiquitous device domain authentication method using an attribute certificate of the present invention is significantly user and device registration process is divided into (A1 ~ A4) and, domain authentication process (B1 ~ B7, C1 ~ C7) , domain authentication process in the above two methods according to the situation is proposed.

도메인 인증과정의 첫 번째 방법은 사용자가 자신의 스마트 디바이스를 가지 고 자신의 도메인으로 이동하여 이동한 공간의 디바이스를 이용하고자 할 때 자신의 인증 정보가 포함된 스마트 디바이스를 통해 인증을 받게 되는 단일 도메인상의 인증 방법(B1~B7)이며, 두 번째 방법은 사용자가 자신의 스마트 디바이스를 가지고 단일 도메인이 아닌 멀티 도메인으로 이동하여 이동한 곳의 디바이스를 이용하고자 할 때 자신의 인증 정보가 포함된 스마트 디바이스를 통해 인증을 받는 멀티 도메인상의 인증 방법(C1~C7)이다. The first method for domain authentication process is a single domain that is subject to authentication through smart devices, including their credentials when the user tries things their smart device you want to use the device of space to move, go to your own domain the authentication method (B1 ~ B7) on the second method is a smart device that contains its own authentication information when the user wishes to use their smart with the device to move to move to a multi-domain, not a single domain where the device the authentication method is (C1 ~ C7) on the multi-domain receives the authentication through.

본 발명의 각 과정을 상세히 설명함에 있어서 표기되는 기호들은 다음과 같이 정의한다. Symbols, denoted as will be described in detail according to each process of the present invention are defined as follows.

· * : (SM : Smart Device, D: Device, SD: Single Domain, MDC : Multi Domain Center, A : Alicer, B : Bob, MDCM: MDC Manager, ASC: Active Space Center) · *: (SM: Smart Device, D: Device, SD: Single Domain, MDC: Multi Domain Center, A: Alicer, B: Bob, MDCM: MDC Manager, ASC: Active Space Center)

· Cert* : *의 공개키를 포함한 인증서 · Cert *: certificate containing the public key of the *

· PCert* : *의 공개키를 포함한 PMI 인증서 · PCert *: PMI certificate containing the public key of the *

· n : PMI 인증서 최대 발급 갯수 · N: PMI certificate issued maximum number

· AP : 유효기간(Available Period) · AP: valid (Available Period)

· r: 사용자 Hub가 생성한 난수 · R: random user-generated Hub

· i: 사용자가 발급한 디바이스 · I: one device user issues

· E*() : *의 키로 암호화 · E * (): * Encryption key for the

· pw : Password · Pw: Password

· R* : *의 권한 · R *: * Rights of

· ID* : *의 Identity · ID *: * Identity of

· H() : 안전한 해쉬함수 · H (): secure hash function

· Hub* : *의 Hub · Hub *: * the Hub

먼저, 본 발명에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 사용자 및 디바이스 등록과정(A1~A4)을 설명하기로 한다. First, in the ubiquitous device domain authentication method using an attribute certificate of the present invention will be described in the user registration process and a device (A1 ~ A4).

Single 또는 Multi Domain에서의 사용자 인증을 위하여 사용자는 초기에 여러 디바이스 인증정보를 갖도록 해야한다. For user authentication in a Single or Multi Domain user must have a different device authentication information at an early stage. 이때, 사용자는 인증센터인 MDC(Multi Domain Center)로부터 PKI(Public Key Infrastructure) 인증서를 받고, 이를 Hub를 통해 자신의 디바이스에 PMI(Privilege Management Infrastructure) 인증서를 발급하며, 상기에서 발급한 PMI 인증서를 스마트 디바이스에 저장토록 하는데 이때 PMI 인증서 발급은 MDC와 상호 협정한 방법에 따라 인증서를 발급한다. In this case, the user receives a PKI (Public Key Infrastructure) certificate from the MDC (Multi Domain Center) certification center, to issue a (Privilege Management Infrastructure) PMI certificates on their devices Through the Hub, the PMI certificate issued by the for ever stored on a smart device the PMI certificates issued shall issue a certificate in accordance with the bilateral agreement with the MDC method.

사용자 및 디바이스 등록과정을 보다 상세히 설명하면 다음과 같다. To be more specific user and device registration process as follows.

사용자 A의 Device A 인증 정보 생성을 위해서는, 먼저 사용자 A는 인증센터인 MDC에 인증서 발급을 요청하는 과정을 거친다(A1). For Device A generates authentication information of the user A, the user A is first subjected to a process of requesting the certificate issued by the certification center MDC (A1).

사용자 A로부터 인증서 발급 요청을 받은 MDC는 사용자 A에게 n개의 PMI인증서(속성인증서)를 생성할 수 있는 PKI인증서를 발급한다(A2). MDC received a certificate issuing request from the user A issues a PKI certificate that can generate n number of PMI certificate (attribute certificate) to the user A (A2).

사용자 A는 발급받은 PKI인증서를 이용하여 Device A 들과 SM A 들에 PMI인증서 를 발급한다(A3). A user has issued the PMI certificate to Device A and SM A certificate issued by a PKI (A3). 상기 PMI인증서는 사용자 A의 ID, 권한, PMI인증서에 대한 유효기간으로 구성된다. PMI is the certificate is configured, as an active period for the ID, authority, PMI certificate of user A.

MDC -> Hub A : Cert A [ID A ,R A ,n,AP} MDC -> Hub A: Cert A [ID A, R A, n, AP}

또한, 상기에서 발급된 PMI인증서는 상위 인증서로의 경로를 포함한다. In addition, the certificate issued by the PMI may include a path to the parent certificate.

Hub A ->SD A (or Device A ): PC A =PCert A [ID A , H(Cert A || r),i] || A Hub -> SD A (or Device A): PC = A A PCert [ID A, H (Cert A || r), i] || AP AP

SD A : E PKDDC [PC A ] SD A: E PKDDC [PC A ]

SD A install : E pw or PIN [E PKDDC [PC A ]] … SD A install: E pw or PIN [E PKDDC [PC A]] ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... (A3) (A3)

사용자 A는 자신의 Device A 에 발급된 PMI인증서에 대한 사항을 MDC에 통보한다(A4). A user is notified about the PMI certificate issued by their Device A to the MDC (A4). 후에 A의 SM A PMI 인증서가 멀티 도메인에서 사용되었을 경우 SM A 내의 PMI 인증서 경로로써 사용자 A를 인증 한다. A PMI after a SM if the certificate of A has been used in a multi-domain authenticates the user A as in the SM A PMI certificate path.

Hub A -> MDC : E PKDDC [H(Cert A || r), r, I] … A Hub -> MDC: PKDDC E [H (Cert A || r), r, I] ... ... ... ... ... ... ... ... ... ... ... ... (A4) (A4)

상기의 사용자 및 디바이스 등록과정(A1~A4)은 단일도메인 또는 멀티도메인상에서 공통으로 적용된다. The registration of the user device and the process (A1 ~ A4) is applied in common on a single domain or multiple domains.

이하, 본 발명에 따른 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 도메인 인증과정(B1~B7, C1~C7)을 설명하기로 한다. Or less, in the ubiquitous device domain authentication method using an attribute certificate of the present invention will be described in the domain authentication process (B1 ~ B7, C1 ~ C7).

먼저, 단일 도메인 상에서의 인증방법을 살펴 보기로 한다. First, take a look at the authentication methods on a single domain. 도 3은 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 단일 도메인에서의 인증 방법(B1~B7)을 개략적으로 도시한 흐름도이다. Figure 3 is a flow diagram schematically illustrating an authentication method (B1 ~ B7) in a single domain in the ubiquitous device domain authentication method using an attribute certificate.

사용자 A의 Hub에서의 SM A 가 AS A1 에서 이동하여 AS A2 에 Device A2 를 사용하고자 할 경우 SM A 는 기존 정보를 그대로 이용하게 된다. If the SM A in the user A to use any Hub Device A2 in AS AS A1 A2 moves from SM A is used as it is the same information.

SM A 는 최초 공간(AS A1 : Active Space)에 존재하고 있다가 이동이 발생할 경우 이동 신호를 Device A1 에게 보낸다(B1). A first space is SM: sends a signal when the movement is present in the (AS Active Space A1) to cause the movement Device A1 (B1).

SD A1 -> Device A1 :Signal(Outgoing) … SD A1 -> Device A1: Signal (Outgoing) ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... (B1) (B1)

Device A1 은 Hub A 에 SM A 의 이동을 알린다(B2). Device A1 informs the mobile of the SM A Hub A (B2).

Device A1 -> Hub A :E PKHub [Device A ,E PKHub [PC A ]]… Device A1 -> Hub A: E PKHub [Device A, E PKHub [PC A]] ... ... ... ... ... ... ... ... ... ... ... ... (B2) (B2)

Device A1 은 이동할 Device A2 에 SM A 의 인증정보 및 이동정보를 전송한다(B3). Device A1 is moved to the Device A2 sends the authentication information and movement information of the SM A (B3).

Device A1 -> Device A2 : [Device A1 ||E PW ( orPIN ) E PKHub [PC A ]] … Device A1 -> Device A2: [ Device A1 || E PW (orPIN) E PKHub [PC A]] ... ... ... ... ... ... ... (B3) (B3)

Device A1 로부터 제공받은 인증 정보를 이용하여 Device A2 는 인증정보 및 이동정보를 Hub A 에 전송한다(B4). By using the authentication information received from Device Device A1 A2 transmits the authentication information and the movement information to the Hub A (B4).

Device A2 -> Hub A : [Device A2 || Device A2 -> Hub A: [ Device A2 || E pw (or PIN) E PKHub [PC A ]] … E pw (or PIN) E PKHub [PC A]] ... ... ... ... ... ... ... ... (B4) (B4)

Hub A 또한 Device A1 로 제공받은 인증 정보를 확인하고 Device A2 에게서 제공받은 인증정보 및 이동정보와 비교하여 SM A 의 인증을 허락한다(B5). Hub A also verify the authentication information received by Device A1 and compared with the authentication information and the movement information received from Device A2 allows the authentication of the SM A (B5).

Hub A : E pw(or PIN) [E PKHub [PC A ]] = E PKHub [PC A ] Hub A: E pw (or PIN ) [E PKHub [PC A]] = E PKHub [PC A]

Compare : (Device A1 )E PKHub [PC A ] = (Device A1 )E PKHub [PC A ]… Compare: (Device A1) E PKHub [PC A] = (Device A1) E PKHub [PC A] ... ... ... ... ... ... ... ... (B5) (B5)

Hub A 는 확인을 완료하고 SM A 에 대한 인증을 수락한다(B6). The Hub A is completed, and to accept the authentication for the SM A (B6).

Hub A -> Device A2 :[Device A2 || Hub A -> Device A2: [ Device A2 || Auth SD ] … Auth SD] ... ... ... ... ... ... ... ... ... ... ... ... ... ... (B6) (B6)

SM A 는 자신이 이전에 행하던 행위 정보 값을 제공하고 비교한 뒤 이동 공간의 Device A2 에 대한 사용을 허락한다(B7). SM A will allow the use of the Device of A2 then provides a behavior that walked their values prior to comparison moving space (B7).

다음은 멀티 도메인 상에서의 인증방법에 대해 살펴보기로 한다. Next is to look for the authentication method on the multi-domain. 도 4는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법에 있어서 멀티 도메인에서의 인증 방법을 개략적으로 도시한 흐름도이다. Figure 4 is a flow diagram schematically illustrating an authentication method in a multi-domain according to the ubiquitous device domain authentication method using an attribute certificate.

전체적으로 Domain A 의 SM A 가 Domain B 로 이동하여 사용자 A의 정보를 사용하여 Domain B 의 Device B 를 사용하고자 할 경우 SM A 는 사용자 A의 정보를 그대로 이용하게 된다. Overall, if the SM of A Domain A to use any of the Device B Domain B using the information of the user A by going to Domain B SM A is used as it is the information of the user A.

먼저, 자신의 도메인(Domain A )에 Device A 를 통해 이동 신호를 보내고, Hub A 은 SM A 로부터 이동 신호를 받으면 자신의 공간 목록에서 이전 단일 도메인상의 목록을 삭제한다(C1). First, a delete list and the previous single domain having a movement signal through the Device A to their domain (Domain A), A is Hub List own space receives a movement signal from the SM A (C1).

SD A1 -> Hub A : Signal(Outgoing) SD A1 -> Hub A: Signal (Outgoing)

Hub A : SD DeviceList -> Delete[SD A1 ] … Hub A: SD DeviceList -> Delete [SD A1] ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... (C1) (C1)

Hub A 은 자신의 Domain A 로부터 벗어났다는 삭제정보를 상위 관리자인 MDC에 알린다. Hub A Announces delete information escaped from his Domain A top manager at the MDC. 만약 다른 MDC로의 이동일 경우는 Domain A 로부터 벗어났다는 삭제정보를 MDC의 상위 관리자인 MDCM에 알려준다(C2). If yidongil to the other MDC informs the information is deleted from the Domain A was off the parent manager of the MDCM MDC (C2).

Hub A -> MDC : (ID A , i) Hub A -> MDC: (ID A, i)

MDC -> MDCM : (ID A , I) … MDC -> MDCM: (ID A , I) ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... (C2) (C2)

SM A 는 새로운 도메인(Domain B )에 위치하였음을 SM A 가 위치한 상위관리자에 알린 후에 Domain B 의 Device B 에 인증 요청을 한다(C3). SM A is an authentication request to Device B in Domain B after informed the supervisory SM in the A that it has located the new domain (Domain B) (C3).

SD A1 -> Hub B : Signal(Ongoing) SD A1 -> Hub B: Signal (Ongoing)

SD A1 : E pw(or PIN) [E PKDDC [PC A ]] = E PKDDC [PC A ] SD A1: E pw (or PIN ) [E PKDDC [PC A]] = E PKDDC [PC A]

SK A1 -> Device B : E PKDDC [PC A ] SK A1 -> Device B: E PKDDC [PC A]

Device B -> Hub B : E PKHub [PC B , E PKDDC [PC A ]]… Device B -> Hub B: E PKHub [PC B, E PKDDC [PC A]] ... ... ... ... ... ... ... ... ... ... ... ... ... ... (C3) (C3)

Domain B 의 Hub B 는 자신의 Device B 에 생성된 인증 정보가 올바른지 확인한다(C4). Hub B of Domain B confirms the validity of the authentication information generation on their Device B (C4).

Hub B : E SKHub [E PKHub [PC B , E PKDDC [PC A ]]] = PC B , E PKDDC [PC A ] Hub B: E SKHub [E PKHub [PC B, E PKDDC [PC A]]] = PC B, E PKDDC [PC A]

Hub B : PC' B = PC B Hub B: PC 'B = PC B ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... (C4) (C4)

Hub B 는 자신의 Device B 인증 정보가 올바르면 SM A 의 인증 정보를 MDC에 전송한다(C5). Hub B has his Device B sends the authentication information of the authentication information is correct, A SM in MDC (C5). 만약, 상기의 인증 정보 확인 과정(C4)에서 인증 정보가 올바르지 않으면 인증 정보를 재생성하고 상위 관리자에 인증 요청을 수행하는 과정(C3)을 반복한다. If, and repeats the process (C3) to determine if the authentication information from the process (C4) of the identification information is not correct, re-create the authentication information and performing an authentication request to the upper management.

Hub B -> MDC : (ID B , E PKMDC [E PKDDC [PC A ] || ID B ]) … Hub B -> MDC: (ID B, E PKMDC [E PKDDC [PC A] || ID B]) ... ... ... ... ... ... ... ... ... ... ... (C5) (C5)

MDC는 Domain B The MDC Domain B 사용자에게 발급한 인증 정보로부터 생성된 정보인지 확인하 고, 확인이 완료되면 SM A 에 대한 인증을 수락한다(C6). When confirming that the information generated from the authentication information issued to the user and, viewed completed accepts the authentication for the SM A (C6). 만약, 상기의 인증 정보 확인 과정(C6)에서 인증 정보가 올바르지 않으면 SM A 의 인증 정보를 MDC에 전송하는 과정을 반복한다(C5). If, on the authentication information, if the verification process (C6) of the identification information is not correct, and repeats the process of transmitting the authentication information A of the SM to the MDC (C5).

MDC : E PKDDC [PC A ] || MDC: E PKDDC [PC A] || ID B ID B

MDC : PC' A = PCert A [ID A , H(Cert A || r), i] … MDC: PC 'PCert A = A [ID A, H (Cert A || r), i] ... ... ... ... ... ... ... ... ... ... ... ... (C6) (C6)

Hub는 수락 받은 SM A 에 대한 인증을 자신의 Domain B 상에서 수락하고 Domian B 에서 사용될 Device B 에 대한 사용을 허락한다(C7). The Hub accept authentication of the SM A received acceptance on their Domain B, and permit the use of the Device B to be used in Domian B (C7).

이상에서 본 발명에 대한 기술 사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 가장 양호한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. While it is describing the technical idea of ​​the present invention at least in conjunction with the accompanying drawings which geotyiji described the most preferred embodiment of the present invention by way of example and does not limit the present invention. 또한, 이 기술 분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형과 모방이 가능함은 명백한 사실이다. In addition, various modifications and mimic possible within the scope without departing from the scope of the art, conventional chairs all technical idea of ​​the present invention is with the knowledge of the fact is apparent.

이상에서 설명한 바와 같이 본 발명은, 종래의 유비쿼터스에서 디바이스 이동에 따른 인증을 단일 도메인에서 멀티 도메인까지 제공할 수 있도록 하였고, 이 러한 인증을 제공하기 위해 PMI(Privilege Management Infrastructure)를 이용하여 디바이스 이동에 따른 인증을 효율적으로 수행할 수 있도록 하였다. The present invention as described above, the authentication of the device move in a conventional ubiquitous was to provide in a single domain to multidomain, the device serviced by the (Privilege Management Infrastructure) PMI to provide these certificates It was due to perform authentication efficiently. 또한, 컴퓨터 네트워크 및 이동 통신의 발전과 함께 유비쿼터스 사회로 발전하면서 많은 디바이스의 이동이 이루어지게 될 것이다. In addition, it will be the movement of a number of devices made with a ubiquitous society developed with the development of computer networks and mobile communications. 이동하는 디바이스에 대해 원활한 인증이 이뤄질 수 있어야만 서비스 또한 효율적으로 이루어질 수 있을 것이다. This must be done for seamless authentication to the mobile device service will also be made efficiently. 이러한 유비쿼터스 환경에서의 인증은 중요한 문제일 뿐 아니라 디바이스에 접근에 관한 중요한 해결책이 될 수 있다. Certification of these ubiquitous in the environment can be an important issue as well as an important solution for access to the device. 따라서, 이와 같은 단일 도메인과 멀티 도메인에서의 인증을 위한 본 발명을 통해서 유비쿼터스 사회 발전에 기여하는 효과가 있다. Therefore, there is an effect that contributes to this ubiquitous society developed by the present invention for authentication of a single domain and multidomain like.

Claims (4)

  1. 유비쿼터스 환경에서 각각의 디바이스에 대한 도메인 인증 방법에 있어서, In the domain authentication method for each device in a ubiquitous environment,
    사용자는 인증센터로부터 인증서 발급을 요청하는 제 1과정과(A1), The user first process and the (A1) to request a certificate issued by the authentication center,
    인증센터는 사용자에게 속성인증서의 생성을 위한 PKI인증서를 발급하는 제 2과정과(A2), The authentication center is a second process that issues a PKI certificate for the generation of the user attribute certificate and (A2),
    사용자는 인증센터로부터 발급받은 PKI인증서를 이용하여 자신의 각 디바이스에 속성인증서(Attribute Certification)를 발급하는 제 3과정과(A3), The user and a third step (A3) that issues the attribute certificate (Attribute Certification) on their respective devices using PKI certificates issued by the authentication center,
    상기 제 3과정에서 발급된 속성인증서에 대한 사항을 인증센터에 통보하는 제 4과정(A4)을 포함하여 이루어진 사용자 및 디바이스 등록과정과(A1~A4), A fourth process of user and device registration process, and (A1 ~ A4) made including (A4) for notifying the information on the attribute certificate issued by the third process to the authentication center,
    상기 제 3과정을 통해 생성한 속성인증서를 보관한 디바이스가 자신의 공간(Single Domain)으로 이동하는 경우, 이에 대한 이동 신호를 자신의 도메인에 보고를 알리는 제 5과정과(B1), When the device is stored for a property certificate generated by the third process, you go to his room (Single Domain), and a fifth process (B1) a movement signal indicating a report to their own domain for it,
    상기 제 5과정에서 보고받은 도메인은 상위의 허브에게 이동에 대한 보고를 알리는 제 6과정과(B2), A sixth process domain received report in the fifth process, informing the reporting of movement to the upper hub and (B2),
    상기 제 6과정에서 보고받은 허브는 디바이스가 이동할 단일 도메인 내에서의 디바이스에게 이동 디바이스의 정보를 전송하는 제 7과정과(B3), Hub received report in the sixth process, a seventh process and (B3) for transmitting the information of the mobile device to the device within a single domain, the device is moved,
    상기 제 7과정에서의 이동 디바이스 정보를 이용하여 인증정보에 자신의 이동정보와 이전 공간에서의 행위정보를 포함하여 허브에게 전송하는 제 8과정과 (B4), An eighth process, and (B4) for transmission to the hub by the authentication information by using the mobile information device in the seventh process, including the behavior of the information from their mobile information and the previous space,
    상기 제 8과정에서의 제공된 정보를 이용하여 허브는 인증정보를 확인하고 이동할 도메인의 디바이스에 이동 디바이스의 인증을 허락하는 제 9과정과(B5), A ninth process, and (B5) to determine hub authentication information using the information provided in the eighth process, and allowed to reach the authentication of the mobile device to the device in the domain,
    상기 제 9과정에서 인증된 정보를 이동할 도메인의 디바이스에 제공하는 제 10과정과(B6), A tenth process, and (B6) to provide a device of a domain to move the identification information in the ninth process,
    상기 제 10과정에서 허브로부터 제공받은 인증 정보를 확인하여 이동 디바이스의 도메인내 사용을 허락하는 제 11과정(B7)으로 이루어지는 단일 도메인에서의 인증 방법과(B1~B7), Authentication method in a single domain formed by the 11th process (B7) to confirm the authentication information received from the hub 10 in the first process, which allows the use of a mobile device within the domain and (B1 ~ B7),
    상기 제 3과정을 통해 생성한 속성인증서를 보관한 디바이스가 다른 사용자의 공간(Multi Domain)으로 이동하는 경우, 디바이스는 도메인에 이동신호를 보내고 허브는 자신의 공간 목록에서 이전 단일 도메인상의 목록을 삭제하는 제 12과정과(C1), When the one device store the attribute certificate generated by the third process of moving into the space (Multi Domain) of the other user, the device sends a change signal to the domain hub delete list and the previous single domain in the list of own space claim 12 and the process (C1) which,
    허브는 상기 제 12과정에서 제공받은 삭제 정보를 상위 관리자에 알리는 제 13과정과(C2), The hub of claim 13 and a process (C2) indicating the deletion information received in the process of claim 12 in the upper management,
    멀티 도메인에 새로운 디바이스가 위치함을 디바이스가 위치한 상위 관리자에 알리고 인증 요청을 수행하는 제 14과정과(C3), The device that the new device positioned in a multi-domain in claim 14, the process of performing the authentication request notifies the supervisory and (C3),
    상기 제 14과정에서 제공된 인증 정보가 올바른지 확인하는 제 15과정과(C4), Process of claim 15 and (C4) to verify that the authentication information provided by the process of claim 14,
    상기 제 15과정에서 인증이 올바르다고 판단되면 이동한 디바이스의 인증 정 보를 상위 도메인에게 전송하는 제 16과정과(C5), Claim 16 The process of transmitting authentication information of the mobile device is valid when determining that the authentication in the first process 15 to the parent domain, and (C5),
    상기 제 16과정에서의 상위 도메인은 전송된 정보가 이동할 도메인에서 올바르게 생성된 정보인지를 확인하고 이동할 디바이스에 대한 인증을 수락하는 제 17과정과(C6), Process of claim 17 and (C6) to check whether the parent domain in the sixteenth process is correctly generated in the transmitted information to move the domain information, and to accept authentication of the Mobile device,
    상기 제 17과정에서 인증 정보가 확인되면 이동 디바이스의 멀티 도메인내에서 디바이스에 대한 사용을 허락하는 제 18과정(C7)으로 이루어지는 멀티 도메인에서의 인증 방법(C1~C7)을 포함하여 이루어지는 것을 특징으로 하는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법. Characterized by comprising the authentication method (C1 ~ C7) in the multi-domain consisting of 18 courses (C7) for when the certification information is confirmed in the 17th process allowed the use of the device in the multi-domain of the mobile device ubiquitous device domain authentication method attribute certificate.
  2. 제 1항에 있어서, According to claim 1,
    인증정보를 확인하는 제 9과정에 있어서, The method of claim 9, the process of checking the authentication information,
    상기의 인증정보가 정당하지 않을 경우, 이동 디바이스에 대한 인증이 이루어지지 않으며, 이동한 디바이스 자신의 정보를 허브에게 전송하는 제 8과정으로 돌아가는 것을 특징으로 하는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법. When the authentication information is not pertinent, not support the authentication of the mobile device made, ubiquitous device domain authentication method using an attribute certificate, characterized in that to return the mobile device his own information in the eighth step of transmitting to the hub.
  3. 제 1항에 있어서, According to claim 1,
    인증정보를 확인하는 제 15과정에 있어서, The method of claim 15, the process of checking the authentication information,
    상기의 인증정보가 정당하지 않을 경우, 이동 디바이스에 대한 인증이 이루어지지 않으며, 인증 정보를 재생성하고 상위 관리자에 인증 요청을 수행하는 제 14과정으로 돌아가는 것을 특징으로 하는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법. When the authentication information is not pertinent, not support the authentication of the mobile device made, authentication regenerating the information, and authentication ubiquitous device domain using an attribute certificate, characterized in that return to claim 14, the process of performing the authentication request to the supervisory Way.
  4. 제 1항에 있어서, According to claim 1,
    인증정보를 확인하는 제 17과정에 있어서, The method of claim 17, the process of checking the authentication information,
    상기의 인증정보가 정당하지 않을 경우, 이동 디바이스에 대한 인증이 이루어지지 않으며, 이동한 디바이스의 인증 정보를 상위 도메인에게 전송하는 제 16과정으로 돌아가는 것을 특징으로 하는 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증 방법. When the authentication information is not pertinent, not support the authentication of the mobile device made, ubiquitous device domain authentication method using an attribute certificate, characterized in that to return the credentials of a mobile device in claim 16, and transmitting to the parent domain, .
KR1020050121208A 2005-12-10 2005-12-10 Authentication Method for Domain in Ubiquitous Devices Using Attribute Certification KR100789250B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050121208A KR100789250B1 (en) 2005-12-10 2005-12-10 Authentication Method for Domain in Ubiquitous Devices Using Attribute Certification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050121208A KR100789250B1 (en) 2005-12-10 2005-12-10 Authentication Method for Domain in Ubiquitous Devices Using Attribute Certification

Publications (2)

Publication Number Publication Date
KR20070061606A true KR20070061606A (en) 2007-06-14
KR100789250B1 KR100789250B1 (en) 2008-01-02

Family

ID=38357334

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050121208A KR100789250B1 (en) 2005-12-10 2005-12-10 Authentication Method for Domain in Ubiquitous Devices Using Attribute Certification

Country Status (1)

Country Link
KR (1) KR100789250B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009088615A2 (en) * 2008-01-04 2009-07-16 Microsoft Corporation Selective authorization based on authentication input attributes
US10146926B2 (en) 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000102072A (en) 1998-09-21 2000-04-07 Nippon Telegr & Teleph Corp <Ntt> Mobile communication method, mobile communication equipment and recording medium recording mobile communication program
JP3573453B2 (en) 2002-09-27 2004-10-06 松下電器産業株式会社 Terminal authentication system and terminal authentication method, and the terminal authentication server
JP2004297292A (en) 2003-03-26 2004-10-21 Nec Corp Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method
KR100679016B1 (en) * 2004-09-14 2007-02-06 삼성전자주식회사 Device, system and method for setting of security information in wireless network
KR100599174B1 (en) * 2004-12-16 2006-07-12 삼성전자주식회사 Service method using profile information and service system thereof

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009088615A2 (en) * 2008-01-04 2009-07-16 Microsoft Corporation Selective authorization based on authentication input attributes
WO2009088615A3 (en) * 2008-01-04 2009-09-03 Microsoft Corporation Selective authorization based on authentication input attributes
US8621561B2 (en) 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
US10146926B2 (en) 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources

Also Published As

Publication number Publication date
KR100789250B1 (en) 2008-01-02

Similar Documents

Publication Publication Date Title
Johnston et al. Authorization and attribute certificates for widely distributed access control
JP5844001B2 (en) Secure authentication in multi-party systems
JP4782986B2 (en) Single sign-on on the Internet using public key cryptography
US7607008B2 (en) Authentication broker service
US6880079B2 (en) Methods and systems for secure transmission of information using a mobile device
CN101120569B (en) Remote access system and method for user to remotely access terminal equipment from subscriber terminal
EP1875703B1 (en) Method and apparatus for secure, anonymous wireless lan (wlan) access
CN100461667C (en) Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
CN1726690B (en) Method and system for native authentication protocols in a heterogeneous federated environment
AU2009323748B2 (en) Secure transaction authentication
TWI432000B (en) Provisioning of digital identity representations
EP1872502B1 (en) Peer-to-peer authentication and authorization
US7945774B2 (en) Efficient security for mashups
US8590027B2 (en) Secure authentication in browser redirection authentication schemes
KR100702421B1 (en) Method and system for web-based cross-domain single-sign-on authentication
ES2564128T3 (en) A computer-implemented system to provide users with secure access to application servers
ES2263474T3 (en) Method and apparatus for initializing secure communications between wireless devices and to pair them exclusively.
US8973122B2 (en) Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method
DE60311200T2 (en) Apparatus and method for providing authentication information for secure group communication
US7257836B1 (en) Security link management in dynamic networks
CN101719238B (en) Method and system for managing, authenticating and authorizing unified identities
US20110173681A1 (en) flexible authentication and authorization mechanism
US20040054885A1 (en) Peer-to-peer authentication for real-time collaboration
US9602492B2 (en) Privacy enhanced key management for a web service provider using a converged security engine
JP2009519530A (en) Authenticating principals in a federation

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121130

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131202

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141216

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151124

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20161206

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161221

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20181221

Year of fee payment: 12