KR20070062199A - Method for authenticating user using id/password - Google Patents

Method for authenticating user using id/password Download PDF

Info

Publication number
KR20070062199A
KR20070062199A KR1020050121982A KR20050121982A KR20070062199A KR 20070062199 A KR20070062199 A KR 20070062199A KR 1020050121982 A KR1020050121982 A KR 1020050121982A KR 20050121982 A KR20050121982 A KR 20050121982A KR 20070062199 A KR20070062199 A KR 20070062199A
Authority
KR
South Korea
Prior art keywords
server
client
user authentication
user
home network
Prior art date
Application number
KR1020050121982A
Other languages
Korean (ko)
Other versions
KR100819024B1 (en
Inventor
주홍일
이윤경
박지혜
이형규
한종욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050121982A priority Critical patent/KR100819024B1/en
Publication of KR20070062199A publication Critical patent/KR20070062199A/en
Application granted granted Critical
Publication of KR100819024B1 publication Critical patent/KR100819024B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A method for authenticating a user with an ID and a password is provided to authenticate a server and authenticate a client user after the server is authenticated in a home network environment by using a certificate of the server, and enable a client to authenticate the user by using the ID/password without using the certificate while using the certificate of the user for user authentication between the client and the server. The client transmits a message including information indicating the user authentication uses the ID/password to the server. The client receives and verifies the certificate of the server. If the received certificate is verified, a password key used in the server is generated and shared through key generation/exchange. The client authenticates the user by calculating a hash value for copied user authentication data corresponding to original user authentication data and encoding the hash value with the password key.

Description

아이디/패스워드를 이용한 사용자 인증 방법{Method for authenticating user using ID/password}Method for authenticating user using ID / password}

도 1은 종래 EAP-MD5를 이용한 클라이언트와 서버 사이에서 사용자 인증 방법에 대한 흐름도,1 is a flowchart illustrating a user authentication method between a client and a server using a conventional EAP-MD5;

도 2는 본 발명의 바람직한 일 실시예가 적용되는 홈네트워크 시스템 구성도,2 is a block diagram illustrating a home network system to which an embodiment of the present invention is applied;

도 3은 본 발명의 바람직한 일 실시예에 따른 클라이언트와 서버 사이에서 아이디/패스워드를 이용한 사용자 인증 방법에 대한 흐름도,3 is a flowchart illustrating a user authentication method using an ID / password between a client and a server according to an embodiment of the present invention;

도 4는 도 3에서 서버 인증시 패킷 포맷의 일 예,4 is an example of a packet format at the time of server authentication in FIG.

도 5는 도 3에서 사용자 인증시 패킷 포맷의 일 예, 및5 is an example of a packet format for user authentication in FIG. 3, and

도 6은 도 4 또는 도 5에서의 플래그 형태에 대한 일 예이다.6 is an example of a flag form in FIG. 4 or FIG. 5.

본 발명은 아이디/패스워드를 이용한 사용자 인증 방법에 관한 것으로, 더욱 상세하게는 홈네트워크 시스템에서 홈서버에 아이디/패스워드 정보가 기 등록되어 있는 사용자만이 홈네트워크 시스템을 사용할 수 있도록 하고, 클라이언트 사용자 인증에 있어서 아이디/패스워드 정보를 이용한 인증수단을 제공하여 사용자의 프라이버시를 보호하고 안전성과 편의성을 제공하는 사용자 인증 방법 및 시스템에 관한 것이다.The present invention relates to a user authentication method using ID / password, and more particularly, only a user whose ID / password information is pre-registered on a home server in a home network system can use the home network system, and client user authentication The present invention relates to a user authentication method and system for providing an authentication means using ID / password information to protect a user's privacy and provide safety and convenience.

사용자 인증 방법과 관련되어서 PPP(The Point-to-Point Protocol)에서 다양한 인증 방식을 수용하도록 제정된 EAP(Extensible Authentication Protocol)가 많이 사용되고 있는데, 이는 어떤 링크 계층에서도 적용 가능하다는 장점을 가진다. EAP는 인증 요청자와 서버 사이에 인증 정보를 전달하는 데 사용되며, 기본 동작은 Request와 Response의 반복으로 이루어지고, EAP 인증 유형에 따라 인증처리 과정이 조금씩 다르다.In relation to the user authentication method, Extensible Authentication Protocol (EAP), which is designed to accommodate various authentication methods in PPP (The Point-to-Point Protocol), is widely used, which has the advantage of being applicable to any link layer. EAP is used to transfer authentication information between the authentication requester and the server. The basic operation consists of repetition of request and response, and the authentication process differs slightly depending on the EAP authentication type.

종래의 아이디(ID)/패스워드(PW) 정보를 이용한 인증 방법으로는 보안의 취약성이 발견되었으나, 사용하기 간편하다는 이유로 EAP-MD5가 많이 사용되고 있다. EAP-MD5는 양방향이 인증이 아닌 단방향 인증으로 서버는 클라이언트의 사용자를 인증하지만, 클라이언트는 서버를 인증하지 않고 인증 정보를 전달하게 된다.In the conventional authentication method using ID / PW information, security vulnerabilities have been found, but EAP-MD5 has been widely used because it is easy to use. In EAP-MD5, bi-directional authentication is not one-way authentication, but the server authenticates the user of the client, but the client passes authentication information without authenticating the server.

또한 어떠한 키 생성을 통한 인증방법이 아니고, Challenge-Response 방식의 사용자 아이디 정보와 Challenge에 대한 Response의 비교로 인증과정을 수행한다. 그러나, 이는 오프라인 사전 공격(Offline Dictionary Attack)에 상당히 취약하며, 프로토콜이 MITM(Man-In-The-Middle-Attack)과 DoS(Denial of Service)에 완전히 노출되어 있어 보안성의 문제점이 따른다. 즉, 사용자 아이디 정보, Challenge, Response가 키를 사용하지 않는 평문(plain text) 형태로 전송되므로, 패킷 캡쳐 등으로 많은 사용자 아이디 정보, Challenge, Response의 쌍으로부터 아이디/패스 워드 유출이 가능하고, 또한 인증 프로토콜 핸드쉐이크 과정 중에 공격자가 개입하여 패킷을 변경하거나 서비스를 받지 못하게 할 수도 있게 된다.In addition, the authentication process is performed by comparing the user ID information of the challenge-response method with the response to the challenge, not the authentication method by generating any key. However, it is quite vulnerable to an offline dictionary attack, and the protocol is fully exposed to man-in-the-middle-attack (MITM) and denial of service (DoS), which poses a security problem. That is, since user ID information, challenge, and response are transmitted in the form of plain text without using a key, it is possible to leak ID / password from many pairs of user ID information, challenge, and response through packet capture, etc. During the authentication protocol handshake, an attacker can intervene to alter the packet or stop receiving the service.

따라서, EAP-MD5와 같은 종래의 인증 메커니즘들이 가지는 보안상의 취약점을 보완하여, 양방향 인증이 가능하며, 암호화된 채널을 형성해서, 그 채널을 통해 종래의 인증 메커니즘을 보호하는 인증 기술들이 있다. 그러나, 이러한 기술들은 채널을 형성하는 과정과 요청자 인증 과정이 분리되어 안전한 채널을 형성하는 외부 EAP 패킷 내에 TLS 패킷을 포함한 내부 EAP 패킷을 추가적으로 포함하는 등 이로 인해 복잡한 패킷 구성을 가지게 되어, 결국은 인증과정에서 오버헤드가 될 수 있다. 이는 홈네트워크 환경을 고려하지 않은 일반적인 인증 메커니즘으로 홈네트워크 내에서 인증 메커니즘을 수행하는 댁내외 클라이언트와 홈게이트웨이 또는 홈서버의 성능에 맞게 경량화할 필요가 있다.Therefore, there are authentication techniques that complement the security weaknesses of conventional authentication mechanisms such as EAP-MD5, enable two-way authentication, form an encrypted channel, and protect the conventional authentication mechanism through the channel. However, these techniques have a complicated packet configuration because the channel formation process and the requestor authentication process are separated to further include an internal EAP packet including a TLS packet in an external EAP packet that forms a secure channel. This can be an overhead in the process. This is a general authentication mechanism that does not consider the home network environment. It is necessary to reduce the weight according to the performance of the home gateway or the home gateway or home server that performs the authentication mechanism in the home network.

또한, 안전한 채널을 만드는 과정에서 비밀키 교환이 매우 중요한 요소인데, 이러한 비밀키를 사전에 미리 나눠 가졌다고 가정하에 인증 방법을 설명하는 기술도 있다. 이러한 인증방법은 인증 과정 이전에 비밀키를 어떻게 교환할 것인가에 대한 문제를 초래한다. 그리고, 종래의 안전한 채널을 이용한 인증 방법은 안전한 채널 안에서 사용되는 인증 방법이 EAP-MD5처럼 키를 생성하지 않는 인증 방법이라면 사용자 아이디 정보는 보호될지라도 안전한 채널 형성시 생성된 키와 내부 인증 방법과의 연관성이 없어서 여전히 MITM 공격에 대한 취약성을 가진다.In addition, secret key exchange is a very important factor in the process of creating a secure channel, and there is a technique for explaining the authentication method assuming that the secret key has been previously distributed. This authentication method raises the question of how to exchange the secret key before the authentication process. And, if the authentication method using the conventional secure channel is an authentication method that does not generate a key, such as EAP-MD5, if the authentication method used in the secure channel is protected, even if the user ID information is protected, the key and internal authentication method generated when the secure channel is formed There is still no vulnerability for MITM attacks.

도 1은 종래 EAP-MD5를 이용한 클라이언트와 서버 사이에서의 사용자 인증 방법에 대한 흐름도이다. 도 1을 참조하면, 클라이언트(10)가 서버(20)로 사용자 인증 시작을 요청하는 사용자 인증 요청 시작 메시지인 EAP-Start 메시지를 전송하면(S10), EAP-Start 메시지를 수신한 서버(20)는 이에 대한 응답으로 사용자 신원 정보 요청 메시지인 EAP-Request/Identity 메시지를 전송한다(S11).1 is a flowchart illustrating a user authentication method between a client and a server using a conventional EAP-MD5. Referring to FIG. 1, when the client 10 transmits an EAP-Start message, which is a user authentication request start message requesting to start user authentication, to the server 20 (S10), the server 20 receiving the EAP-Start message. In response to this, the EAP-Request / Identity message, which is a user identity information request message, is transmitted (S11).

EAP-Request/Identity 메시지는 서버가 클라이언트(10)의 신원을 물어보는 메시지이며, 이와 같은 메시지를 수신한 클라이언트(10)는 사용자 신원 정보 응답 메시지인 EAP-Response/Identity 메시지로 응답한다(S12). EAP-Response/Identity 메시지는 클라이언트(10)의 신원을 위치 정보와 아이디 정보를 포함하며, 인증 방법으로 EAP-MD5를 사용한다는 정보를 포함한다. EAP-Response/Identity 메시지를 수신한 서버(20)는 난수 값을 포함하는 해쉬 값 요청 메시지인 EAP-Request/Challenge 메시지를 전송한다(S13). EAP-Request/Challenge 메시지는 인증 요청자의 인증을 위해 필요한 난수 값인 Challenge를 포함하며, 이 메시지를 수신한 클라이언트(10)는 서버(20)로부터 받은 Challenge와 자신의 아이디와 패스워드를 MD5 알고리즘을 통해 계산한 해쉬 값을 포함하는 해쉬 값 응답 메시지인 EAP-Response/Response 메시지로 응답한다(S14). EAP-Response/Response 메시지를 수신한 서버(20)는 클라이언트(10)로부터 전송받은 해쉬 값과 자신이 계산한 해쉬 값을 확인한 후 일치하면 인증의 성공으로 사용자 인증 성공 메시지인 EAP-Success 메시지를 전송한다(S15).The EAP-Request / Identity message is a message that the server asks for the identity of the client 10, and the client 10 receiving such a message responds with an EAP-Response / Identity message, which is a user identity information response message (S12). . The EAP-Response / Identity message includes location information and identity information for the identity of the client 10, and includes information that EAP-MD5 is used as an authentication method. Upon receiving the EAP-Response / Identity message, the server 20 transmits an EAP-Request / Challenge message, which is a hash value request message including a random value (S13). The EAP-Request / Challenge message contains a challenge, which is a random number required for the authentication requestor's authentication, and the client 10 receiving the message calculates the challenge received from the server 20 and its ID and password through the MD5 algorithm. It responds with an EAP-Response / Response message, which is a hash value response message containing one hash value (S14). Upon receiving the EAP-Response / Response message, the server 20 checks the hash value received from the client 10 and the hash value calculated by the server 10 and transmits an EAP-Success message, which is a user authentication success message, when authentication is successful. (S15).

도 1과 같은 경우 클라이언트(10)는 서버(20)의 인증과정 없이 클라이언트 사용자의 인증 정보를 서버(20)에 전달하여 인증받는 단방향 인증이기 때문에 정상적인 인증 과정을 수행하더라도, 위장한 서버(20)에 의한 공격으로 EAP-Success 메 시지 대신 EAP-Fail 메시지를 받게 되면 더 이상 서버(20)에 대한 접근을 할 수 없으며 사용자 인증 과정 중에 비밀키 교환 과정이 없으므로, 인증 과정 이후에 전송되는 데이터에 대하여 별도의 키 교환을 통하여 보호하여야 한다는 보안상의 문제점이 있다.In the case of FIG. 1, since the client 10 is a one-way authentication in which the client user's authentication information is transmitted to the server 20 without being authenticated by the server 20, the client 10 may perform a normal authentication process. If you receive an EAP-Fail message instead of an EAP-Success message, you can no longer access the server 20, and there is no secret key exchange during the user authentication process. There is a security problem that must be protected through key exchange.

상기 종래 기술의 문제점을 해결하기 위한 본 발명은 네트워크 환경, 특히 홈네트워크 환경에서 서버의 인증서를 통하여 먼저 서버를 인증하고, 서버가 인증된 이후에 클라이언트 사용자를 인증하는 방법을 제공한다.The present invention for solving the problems of the prior art provides a method for authenticating a server first through a certificate of the server in a network environment, particularly a home network environment, and then authenticating a client user after the server is authenticated.

그리고, 클라이언트와 서버 사이에서의 사용자 인증을 위하여 서버의 인증서만 필요하고, 클라이언트는 인증서 필요없이 아이디/패스워드 정보를 이용하여 사용자를 인증하는 방법을 제공한다.In addition, only the certificate of the server is required for user authentication between the client and the server, and the client provides a method of authenticating a user using ID / password information without requiring a certificate.

또한, 클라이언트와 서버가 사용할 비밀키는 서버의 인증 과정에서 생성 및 교환이 이루어지는데 비밀키는 클라이언트 사용자 인증 과정에서 사용자 인증 정보를 보호하는데 사용되는 방법을 제공한다.In addition, the secret key to be used by the client and server is generated and exchanged during the server authentication process, and the secret key provides a method used to protect user authentication information during the client user authentication process.

또한, 클라이언트 사용자 인증 과정에서 사용되는 알고리즘은 키 사용을 필요로 하는 HMAC-MD5나 HMAC-SHA과 같은 해쉬 함수를 사용하고, 이때 사용되는 키는 인증 서버 인증과정에서 생성 및 교환된 비밀키로부터 재생성하여 인증 메커니즘에 사용하여 MITM 공격에 대한 보안성을 제공한다.In addition, the algorithm used in the client user authentication process uses a hash function such as HMAC-MD5 or HMAC-SHA that requires the use of a key, and the key used is regenerated from the secret key generated and exchanged during authentication server authentication. It is used in authentication mechanisms to provide security against MITM attacks.

상기 기술적 과제를 해결하기 위한 본 발명의 아이디/패스워드를 이용한 사 용자 인증 방법은, 클라이언트에서 아이디/패스워드를 포함하는 사용자 인증 원본 데이터를 기 저장되어 있는 서버로 접속하여 사용자 인증을 수행하는 방법에 있어서, (a) 상기 클라이언트는 사용자 인증으로 아이디/패스워드 방식을 사용한다는 정보를 포함하는 메시지를 상기 서버로 전송하는 단계; (b) 상기 서버로부터 상기 서버의 인증서를 전송받아 검증하는 단계; (c) 상기 전송받은 인증서의 검증이 이루어지는 경우, 키 생성과 교환을 통하여 상기 서버와 사용할 비밀키를 생성하여 공유하는 단계; 및 (d) 상기 사용자 인증 원본 데이터와 대응되는 사용자 인증 비교본 데이터에 대한 해쉬 값을 계산하고 상기 비밀키로 암호화하여 상기 서버로 전송함으로써 사용자 인증을 수행하는 단계;를 포함하는 것을 특징으로 가진다.In the user authentication method using the ID / password of the present invention for solving the technical problem, in the method for performing user authentication by accessing the user authentication original data including the ID / password from the client to the server that is stored in advance (a) transmitting, by the client, a message including information indicating that the client uses an ID / password method for user authentication; (b) receiving and verifying a certificate of the server from the server; (c) generating and sharing a secret key for use with the server through key generation and exchange when the received certificate is verified; And (d) performing a user authentication by calculating a hash value of the user authentication comparison data corresponding to the user authentication original data, encrypting the data with the secret key, and transmitting the encrypted data to the server.

또한, 상기 기술적 과제를 해결하기 위한 본 발명의 아이디/패스워드를 이용한 사용자 인증 방법은, 사용자 인증 원본 데이터를 기 저장되어 있는 서버에서 상기 서버로 접속하고자 하는 클라이언트 사용자를 인증하는 방법에 있어서, (a) 상기 클라이언트로부터 아이디/패스워드 방식을 사용한다는 정보를 포함하는 메시지를 전송받는 단계; (b) 상기 서버의 인증서를 상기 클라이언트로 전송하는 단계; (c) 상기 클라이언트에서 상기 서버의 인증서가 검증이 성공하는 경우에 생성되는 비밀키를 전송받아 상기 클라이언트와 공유하는 단계; (d) 상기 클라이언트로부터 상기 비밀키로 암호화되는 상기 사용자 인증 원본 데이터와 대응되는 사용자 인증 비교본 데이터에 대한 해쉬 값을 전송받는 단계; 및 (e) 상기 사용자 인증 비교본 데이터에 해쉬 값과 상기 사용자 인증 원본 데이터에 대한 해쉬 값을 비교하여 일치하는 경우 상기 클라이언트 사용자를 인증하는 단계;를 포함하는 것을 특징으로 가진다.In addition, the user authentication method using the ID / password of the present invention for solving the above technical problem, in a method for authenticating a client user to connect to the server from a server that previously stored the user authentication original data, (a Receiving a message including information indicating that an ID / password method is used from the client; (b) sending the server's certificate to the client; (c) receiving and sharing a secret key generated when the server's certificate is verified by the client with the client; (d) receiving a hash value for the user authentication comparison data corresponding to the user authentication original data encrypted with the secret key from the client; And (e) comparing the hash value with respect to the user authentication comparison data and comparing the hash value with respect to the original user authentication data to authenticate the client user.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 바람직한 일 실시예가 적용되는 홈네트워크 시스템 구성도이다.2 is a block diagram illustrating a home network system to which a preferred embodiment of the present invention is applied.

도 2를 참조하면, 본 발명의 바람직한 일 실시예가 적용되는 홈네트워크 시스템은 홈서버(100), 댁내 클라이언트(110), 댁내 디바이스(120), 홈네트워크 사업자 서버(130), 댁외 클라이언트(140) 및 사용자 인증 수단(112)(142)으로 구성된다. 여기에서, 홈서버(100)를 중심으로 모든 장치들이 연결된다.2, a home network system to which a preferred embodiment of the present invention is applied includes a home server 100, an indoor client 110, an indoor device 120, a home network operator server 130, and an outdoor client 140. And user authentication means 112,142. Here, all devices are connected to the home server 100.

홈서버(100)는 디바이스 인증 및 사용자 인증과 댁내 디바이스 제어와 홈서비스를 담당한다.The home server 100 is responsible for device authentication and user authentication, home device control and home service.

댁내 클라이언트(110)는 댁내에서 댁내 디바이스(120) 제어 또는 댁내 홈서비스를 요청하거나 또는 홈네트워크 사업자 서버(130)가 제공하는 서비스를 이용한다.The indoor client 110 requests the control of the indoor device 120 or the home service in the home, or uses the service provided by the home network operator server 130.

댁내 디바이스(120)는 댁내에서 홈네트워크 시스템을 구성하는 기기이다.The indoor device 120 is a device configuring a home network system in the home.

홈네트워크 사업자 서버(130)는 홈서버(100) 인증을 하고, 댁내 클라이언트(110) 또는 댁외 클라이언트(130)와 사용자 인증을 하며, 다양한 서비스를 제공한다.The home network operator server 130 authenticates the home server 100, authenticates the user with the indoor client 110 or the outdoor client 130, and provides various services.

댁외 클라이언트(140)는 댁외에서 홈서버(100)를 통해서 댁내 디바이스(120) 제어와 댁내 홈서비스를 요청하거나 홈네트워크 사업자 서버(130)가 제공하는 서비스를 이용한다.The outdoor client 140 requests the home device 120 control and the home service from the outside through the home server 100 or uses the service provided by the home network operator server 130.

홈네트워크 시스템 인증 방법을 설명하기 이전에 댁내 디바이스(120)들과 댁내 클라이언트(110)는 홈서버(100)에 등록되어 있어야 한다. 또한, 사용자 등록 시에는 사용자가 인증시 사용할 아이디/패스워드 정보를 홈서버(100)에 저장시켜야 한다.Before describing the home network system authentication method, the indoor devices 120 and the indoor client 110 should be registered in the home server 100. In addition, when registering a user, the user ID / password information to be used for authentication should be stored in the home server (100).

댁내 디바이스(120)들은 홈서버(100)와 연결되어 있고, 홈서버(100)는 홈네트워크 사업자 서버(130)와 연결되어있다.The indoor devices 120 are connected to the home server 100, and the home server 100 is connected to the home network operator server 130.

도 3은 본 발명의 바람직한 일 실시예에 따른 클라이언트와 서버 사이에서 아이디/패스워드를 이용한 사용자 인증 방법에 대한 흐름도이다.3 is a flowchart illustrating a user authentication method using ID / password between a client and a server according to an exemplary embodiment of the present invention.

도 3의 사용자 인증방법 및 장치에서 사용되는 EEAP-PW 프로토콜은 Request와 Response로 이루어져 있으며, 서버는 시스템 접근에 대한 Request를 보내며 Request에 대한 Response에 기초하여 접근을 승인하거나 거부한다.The EEAP-PW protocol used in the user authentication method and apparatus of FIG. 3 consists of a request and a response. The server sends a request for access to the system and grants or denies access based on the response to the request.

또한 상호인증을 제공하며, 서버의 인증서를 사용하여 먼저 서버를 인증한 후 서버와 클라이언트 사이에 사용할 비밀키를 교환하고, 교환된 비밀키로부터 사용자의 인증과정에서 필요로 하는 키를 재생성하여 사용자 인증과정에서 사용하고, 교환된 비밀키를 사용하여 클라이언트 사용자 인증 과정 전체를 암호화 함으로써 보다 안전하게 클라이언트 사용자를 인증할 수 있다.It also provides mutual authentication, authenticates the server first using the server's certificate, then exchanges the secret key to be used between the server and the client, and regenerates the key needed in the user's authentication process from the exchanged secret key to authenticate the user. You can authenticate the client user more securely by using it in the process and encrypting the entire client user authentication process using the exchanged secret key.

도 3을 참조하면, 먼저, 클라이언트(310)는 서버(300)에게 사용자 인증 요청 시작 메시지인 EAP-Start 메시지를 전송한다(S300).Referring to FIG. 3, first, the client 310 transmits an EAP-Start message, which is a user authentication request start message, to the server 300 (S300).

다음으로, 단계S300에서 EAP-Start 메시지를 전송받은 서버(300)는 이에 대한 응답으로 클라이언트(310)에게 사용자 신원 정보 요청 메시지인 EAP-Request/Identity 메시지를 전송한다(S301). EAP-Request/Identity 메시지에는 클라이언트(310) 사용자의 아이디 정보, 위치 정보(도메인 정보), 사용할 인증 방식 정보 등에 관한 정보를 요청하게 된다.Next, the server 300 receiving the EAP-Start message in step S300 transmits an EAP-Request / Identity message, which is a user identity information request message, to the client 310 in response (S301). The EAP-Request / Identity message requests information about the ID information, location information (domain information), authentication method information to be used, etc. of the client 310 user.

다음으로, 단계S301에서 EAP-Request/Identity 메시지를 전송받은 클라이언트(310)는 서버(300)에게 사용자 신원 정보 응답 메시지인 EAP-Response/Identity 메시지를 전송한다(S302). 여기에서, EAP-Response/Identity 메시지에는 클라이언트 사용자의 신원에 대한 위치 정보와 인증 방법으로 EEAP-PW를 사용한다는 정보만을 포함한다. 즉, 사용자의 아이디 정보는 포함되지 않는다.Next, the client 310 receiving the EAP-Request / Identity message in step S301 transmits an EAP-Response / Identity message, which is a user identity information response message, to the server 300 (S302). Here, the EAP-Response / Identity message includes only the location information on the identity of the client user and the information that the EEAP-PW is used as an authentication method. That is, the user's ID information is not included.

다음으로, 단계S302에서 EAP-Response/Identity 메시지를 수신한 서버(300)는 사용자 인증 방법으로 EEAP-PW를 사용한다는 정보를 포함하는 EEAP-PW 인증 시작 메시지인 EAP-Request/EEAP-PW(Start) 메시지를 클라이언트(310)로 전송한다(S303).Next, the server 300 receiving the EAP-Response / Identity message in step S302, the EAP-Request / EEAP-PW (Start), which is an EEAP-PW authentication start message including information indicating that the EEAP-PW is used as a user authentication method. ) Transmits the message to the client 310 (S303).

다음으로, 단계S303에서 EAP-Request/EEAP-PW(Start) 메시지를 수신한 클라이언트(310)는 서버(300)와의 TLS 통신 시작 메시지로써 클라이언트 헬로우 메시지인 EAP-Response/EEAP-PW(ClientHello) 메시지를 서버(300)로 전송한다(S304). 여기에서, EAP-Response/EEAP-PW(ClientHello) 메시지에 포함될 수 있는 내용은 클라이언트(310)의 TLS 버전, 클라이언트(310)에서 생성한 난수, 세션 식별자, CipherSuit 리스트, 클라이언트(310)의 압축 방법 리스트를 포함할 수 있다.Next, the client 310 receiving the EAP-Request / EEAP-PW (Start) message in step S303 is an EAP-Response / EEAP-PW (ClientHello) message which is a client hello message as a TLS communication start message with the server 300. To transmit to the server 300 (S304). Here, the contents that may be included in the EAP-Response / EEAP-PW (ClientHello) message include the TLS version of the client 310, the random number generated by the client 310, the session identifier, the CipherSuit list, and the compression method of the client 310. It can contain a list.

다음으로, 단계S304에서 EAP-Response/EEAP-PW(ClientHello) 메시지를 수신한 서버(300)는 서버 헬로우 서버 인증서, 서버 키 교환, 서버 헬로우 종료를 포함하는 EAP-Request/EEAP-PW(ServerHello, ServerCertificate, ServerKeyExchange*, ServerHelloDone) 메시지를 전송한다(S305).Next, in step S304, the server 300 receiving the EAP-Response / EEAP-PW (ClientHello) message includes an EAP-Request / EEAP-PW (ServerHello, Server Hello Server Certificate, Server Key Exchange, and Server Hello End). ServerCertificate, ServerKeyExchange *, ServerHelloDone) message is transmitted (S305).

여기에서, ServerHello 메시지는 서버(300)의 TLS 버전, 서버(300)에서 생성한 임의의 난수, 세션 식별자, 단계S304에서 클라이언트(310)가 전송한 CipherSuit 리스트 중에서 선택한 하나의 CipherSuit, 단계S304에서 클라이언트(310)가 전송한 압축 방법 리스트에서 선택한 압축 방법 등을 포함한다. 그리고, ServerCertificate는 서버 인증서를 포함하고, ServerHelloDone은 ServerHello 메시지가 종료되었음을 나타낸다.In this case, the ServerHello message includes one CipherSuit selected from a TLS version of the server 300, an arbitrary random number generated by the server 300, a session identifier, and a CipherSuit list transmitted by the client 310 in step S304, and the client in step S304. A compression method selected from the compression method list transmitted by the 310, and the like. ServerCertificate contains a server certificate, and ServerHelloDone indicates that a ServerHello message has ended.

그리고, ServerKeyExchange 메시지는 인증서의 종류에 따라 포함 여부가 결정된다. 즉, 서버(300)의 인증서가 서명용(Signiature) 인증서일 경우에 서버(300)의 공개키를 포함하는 서버 키 교환 메시지(ServerKeyExchange)를 더 포함할 수 있다는 것이다.The ServerKeyExchange message is determined according to the type of certificate. In other words, there is a certificate for the server 300 for signing (Sign ature i) may further include a server key exchange message (ServerKeyExchange) containing a public key of the server 300 in the case of certificates.

다음으로, 단계S305에서 EAP-Request/EEAP-PW(ServerHello, ServerCertificate, ServerKeyExchange*, ServerHelloDone) 메시지를 수신한 클라이언트(300)는 서버 인증서를 통하여 서버(300)를 인증하고, 인증이 이루어진 경우에 클라이언트(310)의 키 정보, 키 교환 알고리즘, 암호 알고리즘, 무결성 알고리즘 등을 포함하고 서버(300)와의 협상이 성공적으로 이루어졌음을 알리는 메시지인 EAP-Response/EEAP-PW(ClientKeyExchange, ChangeCipherSpec, Finished)메시지를 서버(300)에 전송한다(S306). 여기에서, 서버 인증서를 통한 서버(300)의 인증 방법과 관련되어서는 종래 알려져 있는 인증서 인증 방법을 통하여 이루어지게 된다.Next, in step S305, the client 300 receiving the EAP-Request / EEAP-PW (ServerHello, ServerCertificate, ServerKeyExchange *, ServerHelloDone) message authenticates the server 300 through the server certificate, and if the client is authenticated, EAP-Response / EEAP-PW (ClientKeyExchange, ChangeCipherSpec, Finished) message, which includes key information of 310, key exchange algorithm, cryptographic algorithm, integrity algorithm, etc. and indicates that the negotiation with the server 300 was successful. Is transmitted to the server 300 (S306). Here, the authentication method of the server 300 through the server certificate is made through a conventionally known certificate authentication method.

다음으로, 단계S306에서 EAP-Response/EEAP-PW(ClientKeyExchange, ChangeCipherSpec, Finished) 메시지를 수신한 서버(300)는 키 교환 알고리즘, 암호 알고리즘, 무결성 알고리즘 등을 포함하고 클라이언트(310)와의 협상이 성공적으로 이루어졌음을 알리는 EAP-Request/EEAP-PW(ChangeCipherSpec, Finished)메시지를 클라이언트(310)에게 전송한다(S307).Next, the server 300 receiving the EAP-Response / EEAP-PW (ClientKeyExchange, ChangeCipherSpec, Finished) message in step S306 includes a key exchange algorithm, an encryption algorithm, an integrity algorithm, and the like, and the negotiation with the client 310 is successful. The EAP-Request / EEAP-PW (ChangeCipherSpec, Finished) message indicating that the transmission is made is transmitted to the client 310 (S307).

상기 단계S300부터 단계S307까지는 클라이언트(310)에서 서버 인증서를 통하여 서버(300)를 인증하는 것이며, 이후 과정은 서버(300)에서 클라이언트(310) 사용자의 아이디와 패스워드 정보를 통하여 클라이언트(310) 사용자를 인증하는 것이다.From step S300 to step S307 is to authenticate the server 300 through the server certificate in the client 310, the subsequent process is the client 310 user through the ID and password information of the client 310 user in the server 300 To authenticate.

다음으로, 단계S307에서 EAP-Request/EEAP-PW(ChangeCipherSpec, Finished) 메시지를 수신한 클라이언트(310)는 사용자의 신원 정보인 아이디 정보를 상기 서버(300)의 인증서 검증 과정에서 생성 및 교환한 비밀키로 암호화한 사용자 아이디 정보 메시지인 EAP-Response/EEAP-PW(UserID) 메시지를 서버(300)에 전송한다(S308).Next, in step S307, the client 310 receiving the EAP-Request / EEAP-PW (ChangeCipherSpec, Finished) message generates and exchanges ID information, which is user's identity information, during the certificate verification process of the server 300. The EAP-Response / EEAP-PW (UserID) message, which is a user ID information message encrypted with a key, is transmitted to the server 300 (S308).

다음으로, 상기 단계S308에서 EAP-Response/EEAP-PW(UserID) 메시지를 전송받은 서버(300)는 클라이언트(310) 사용자 인증을 위해 필요한 난수 값인 Challenge를 포함하며, 서버(300)의 인증과정에서 생성 및 교환한 비밀키로 암호화한 해쉬 값 요청 메시지인 EAP-Request/EEAP-PW(Challenge) 메시지를 클라이언트 (310)에게 전송한다(S309).Next, the server 300 receiving the EAP-Response / EEAP-PW (UserID) message in step S308 includes a challenge, which is a random value required for authenticating the client 310, and during the authentication process of the server 300. The EAP-Request / EEAP-PW (Challenge) message, which is a hash value request message encrypted with the generated and exchanged secret key, is transmitted to the client 310 (S309).

다음으로, 상기 단계S309에서 EAP-Request/EEAP-PW(Challenge) 메시지를 수신한 클라이언트(310)는 단계S309에서 수신한 Challenge와 사용자 아이디와 패스워드 정보를 HMAC-MD5 또는 HMAC-SHA 와 같은 키를 사용하는 해쉬 알고리즘을 통해서 계산된 해쉬 값을 포함하는 해쉬 값 응답 메시지인 EAP-Response/EEAP-PW(Response) 메시지를 서버(300)로 전송한다(S310). 여기에서, 해쉬 값 응답 메시지인 EAP-Response/EEAP-PW(Response) 메시지는 서버(300)의 인증 과정에서 생성 및 교환한 비밀키로 암호화되어 서버(300)로 전송되어 진다. 또한, 해쉬 값 생성을 위해 필요한 키는 서버의 인증 과정에서 생성 및 교환한 비밀키로부터 재생성하여 사용한다.Next, the client 310 receiving the EAP-Request / EEAP-PW (Challenge) message in step S309 uses the challenge, user ID, and password information received in step S309 as a key such as HMAC-MD5 or HMAC-SHA. The EAP-Response / EEAP-PW (Response) message, which is a hash value response message including the hash value calculated through the hash algorithm used, is transmitted to the server 300 (S310). Here, the EAP-Response / EEAP-PW (Response) message, which is a hash value response message, is encrypted with a secret key generated and exchanged during the authentication process of the server 300 and transmitted to the server 300. In addition, the key necessary for generating the hash value is regenerated from the secret key generated and exchanged during the server authentication process.

다음으로, 단계S310에서 EAP-Response/EEAP-PW(Response) 메시지를 수신한 서버(300)는 클라이언트(310)로부터 전송받은 해쉬 값과 자신이 계산한 해쉬 값을 비교하여 일치하면 클라이언트(310) 사용자 인증 성공 메시지인 EAP-Success 메시지를 클라이언트(310)로 전송한다(S311). 여기에서, 서버가 해쉬값을 계산하기 위해 필요한 키는 서버의 인증 과정에서 생성 및 교환한 비밀키로부터 재생성하여 사용한다.Next, the server 300 receiving the EAP-Response / EEAP-PW (Response) message in step S310 compares the hash value received from the client 310 with the hash value calculated by the client 310 and matches the client 310. The EAP-Success message, which is a user authentication success message, is transmitted to the client 310 (S311). Here, the key necessary for the server to calculate the hash value is regenerated from the secret key generated and exchanged during the server authentication process.

상기와 같은 과정을 정리하면, 클라이언트(310)와 서버(300) 사이의 상호 인증을 위해 먼저, 서버 인증서를 통하여 먼저 서버(300)를 인증하고, 이때 생성 및 교환된 비밀키로 클라이언트(310) 사용자의 인증 메커니즘을 보호한다. 또한, 클라이언트(310) 사용자의 인증 메커니즘은 키를 사용하는 해쉬 알고리즘을 사용하고, 이때 사용되는 키는 서버 인증과정에서 공유한 비밀키로부터 재생성하여 사용한다. 따라서, 사용자의 아이디 정보뿐만 아니라 사용자 인증 과정 전체를 암호화하여 전송함으로써, MITM 공격 등의 취약성을 해결할 수 있게 된다.To summarize the above process, first for the mutual authentication between the client 310 and the server 300, first authenticate the server 300 through a server certificate, the client 310 user with the generated and exchanged secret key To protect the authentication mechanism. In addition, the authentication mechanism of the user of the client 310 uses a hash algorithm using a key, and the key used at this time is regenerated from a secret key shared during server authentication. Therefore, by encrypting and transmitting not only the user's ID information but the entire user authentication process, the vulnerability such as MITM attack can be solved.

도 3에서는 서버(300)와 클라이언트(310)로 설명하였다. 본 발명이 적용될 수 있는 기술 분야로써 도 2에서 살펴본 홈 네트워크 시스템에 적용하면 다음과 같다.In FIG. 3, the server 300 and the client 310 have been described. As a technical field to which the present invention can be applied, the present invention can be applied to the home network system described in FIG. 2 as follows.

댁내에서 홈 네트워크 시스템을 이용하는 경우에는 클라이언트(310)는 댁내 클라이언트가 되고 서버(300)는 홈서버가 된다. 그리고, 적용하는 경우에 따라 클라이언트(310)는 홈서버가 되고 서버(300)는 홈네트워크 사업자 서버가 될 수 있으며, 클라이언트(310)는 댁내 클라이언트가 되고 서버(300)는 홈네트워크 사업자 서버가 될 수도 있다.When using a home network system in the home, the client 310 becomes a home client and the server 300 becomes a home server. And, depending on the application, the client 310 may be a home server and the server 300 may be a home network operator server, the client 310 may be a home client, and the server 300 may be a home network operator server. It may be.

또한, 댁외에서 홈 네트워크 시스템을 이용하는 경우에는 클라이언트(310)는 댁외 클라이언트가 되고 서버(300)는 홈 네트워크 사업자 서버가 된다.In addition, in the case of using a home network system outside the home, the client 310 becomes an outdoor client and the server 300 becomes a home network operator server.

도 4는 도 3에서 서버 인증시 패킷 포맷의 일 예이다. 도 4는 본 발명에 따른 클라이언트 사용자가 서버 인증서를 통하여 서버를 인증하는 과정에서 사용되는 패킷 구조를 나타낸다.4 is an example of a packet format in server authentication in FIG. 3. 4 illustrates a packet structure used in a process in which a client user authenticates a server through a server certificate according to the present invention.

도 4를 참조하면, 클라이언트(300)에서 서버 인증서를 통하여 서버를 인증시 패킷 구조에서 헤더 부분은 코드(Code), 식별자(Identifier), 길이(Length), 타입(Type) 필드로 이루어지며, 데이터 부분은 플래그(Flags), TLS 메시지 길이(TLS Message Length), TLS 데이터(TLS Data)로 구성된다.Referring to FIG. 4, when the client 300 authenticates the server through the server certificate, the header part of the packet structure includes a code, identifier, length, and type fields. The part consists of flags, TLS message length, and TLS data.

코드 필드는 Request와 Response를 표시하는 필드로 Request일 경우는 '1'로 Response일 경우는 '2'로 표시한다.The code field is a field indicating request and response, and it is represented as '1' in case of request and '2' in case of response.

식별자 필드는 각 Request 패킷에서 값이 변하고 Response의 식별자(Identifier) 필드는 대응하는 Request 패킷의 값과 같아야 한다.The identifier field changes in each request packet, and the identifier field of the response must be equal to the value of the corresponding request packet.

길이 필드는 2 바이트로 이루어져 있으며, 코드(Code) 필드부터 데이터부분까지 패킷 전체의 길이를 나타낸다.The length field consists of 2 bytes and represents the length of the entire packet from the code field to the data portion.

타입 필드 값은 EEAP-PW를 표시하는 것으로써 '80'이라 임시 값을 사용하는데, 이는 정식 표준안에서 변경될 수 있다.The type field value represents the EEAP-PW and uses a temporary value of '80', which can be changed in the formal standard.

플래그 필드는 데이터 부분의 정보를 표시하기 위한 것으로 1 바이트를 사용하며, 이중 7 비트를 사용하고 나머지 1 비트는 사용하지 않는다. 도 6은 플래그 필드의 구성을 보여준다.The flag field is used to display information of the data portion, which uses one byte, and uses seven bits, and does not use the remaining one bit. 6 shows the configuration of a flag field.

도 5는 도 3에서 사용자 인증시 패킷 포맷의 일 예이다. 도 5는 본 발명에 따른 서버가 클라이언트 사용자를 인증하는 과정에서 사용되는 패킷 구조를 나타낸다.FIG. 5 is an example of a packet format for user authentication in FIG. 3. 5 illustrates a packet structure used in a process in which a server authenticates a client user according to the present invention.

도 5를 참조하면, 사용자 인증시 패킷 구조는 서버 인증서를 통한 서버 인증시 패킷 구조와 헤더 부분은 동일하며, 데이터 부분의 플래그 필드도 동일하게 적용된다. 다만, 플래그 필드의 비트 값에 따라 플래그 필드 다음의 패킷 구조가 달라진다. 즉, 현재 인증과정이 서버 인증 과정인지 사용자 인증 과정인지를 표시하는 ‘U' 비트가 ‘0’이면 현재 인증과정은 서버 인증 과정이며 패킷 구조는 TLS 패킷 구조를 가진다. 그러나 ‘U’비트가‘1’이면 서버 인증 과정이 성공적으로 끝나고 사용자 인증 과정임을 표시하므로 2바이트의 밸류-사이즈(Value-Size) 필드와 밸류(Value) 필드로 구성된 Encrypted-PW 패킷으로 구성된다.Referring to FIG. 5, the packet structure at the time of user authentication has the same packet structure and the header portion at the time of server authentication, and the flag field of the data portion is equally applied. However, the packet structure following the flag field varies according to the bit value of the flag field. That is, if the 'U' bit indicating whether the current authentication process is a server authentication process or a user authentication process is 0, the current authentication process is a server authentication process and the packet structure has a TLS packet structure. However, if the 'U' bit is '1', it indicates that the server authentication process is successfully completed and the user authentication process. Therefore, it consists of Encrypted-PW packet consisting of a 2-byte value-size field and a value field. .

도 6은 도 4 또는 도 5에서의 플래그 형태에 대한 일 예이다. 도 6을 참조하면, 플래그 필드의 구성에서 첫번째 'L'비트는 TLS 메시지 길이(TLS Message Length) 필드가 존재할 때 지정하며, 프레그먼트(fragment) 중 첫 번째 프레그먼트에만 '1'로 설정하고, 두 번째 'M'비트는 하나 이상의 메시지 유무를 나타내는데 마지막 프레그먼트를 제외하고 모든 프레그먼트에 '1'로 설정한다. 그리고, 세 번째 'S'비트는 EEAP-PW의 시작 메시지를 표시하는데, 맨 처음 시작할 때 '1'로 설정하고 그 이후로는 '0'으로 설정한다. 네 번째 'U'비트는 현재 패킷 구조가 Encrypted-PW 패킷 구조임을 표시하는데, 서버 인증 과정에서는 '0'으로 설정하고, 서버 인증이 성공적으로 끝난 후 사용자 인증 과정에서는 '1'로 설정한다. 마지막으로 여섯 번째부터 여덟 번째까지 3비트는'V'비트로 EEAP-PW의 버전 정보를 나타낸다.6 is an example of a flag form in FIG. 4 or FIG. 5. Referring to FIG. 6, in the configuration of the flag field, the first 'L' bit is designated when the TLS message length field is present and is set to '1' only for the first fragment of the fragment. The second 'M' bit indicates the presence or absence of one or more messages, which is set to '1' for all fragments except the last fragment. And, the third 'S' bit indicates the start message of EEAP-PW. It is set to '1' at the first start and '0' thereafter. The fourth 'U' bit indicates that the current packet structure is Encrypted-PW packet structure. It is set to '0' in server authentication process and '1' in user authentication process after server authentication is completed successfully. Finally, the sixth through eighth bits are the 'V' bits that represent the version information of the EEAP-PW.

도 6에서 살펴본 플래그 형태에 대한 것은 일 예로 설명한 것으로, 다양한 변형이 가능할 것이다.The flag form described with reference to FIG. 6 has been described as an example, and various modifications may be made.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷 을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD_ROM, magnetic tape, floppy disks, and optical data storage, and also include those implemented in the form of carrier waves (eg, transmission over the Internet). . The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, optimal embodiments have been disclosed in the drawings and the specification. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not intended to limit the scope of the present invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

상기에서 살펴본 본 발명의 아이디/패스워드를 이용한 사용자 인증 방법은 다음과 같은 효과를 가진다.The user authentication method using the ID / password of the present invention described above has the following effects.

첫째, 본 발명에서 제안하는 사용자 인증 방법은 서버의 인증서를 가지고 서버를 인증함으로써 클라이언트의 사용자가 별도의 인증서가 필요 없이 자신의 아이디/패스워드만으로 안전한 상호 인증을 이루어짐으로써 사용자 안전성과 편의성을 제공한다.First, the user authentication method proposed in the present invention authenticates the server with the server's certificate, thereby providing user safety and convenience by securely mutually authenticating only the user's ID / password without requiring a separate certificate.

둘째, 본 발명에서 제안하는 사용자 인증 방법은 서버 인증과 클라이언트 사용자 인증과 같이 반드시 서버 인증 과정 후에 사용자를 인증함으로써 클라이언트의 사용자는 서버를 신뢰하고 사용자 인증 정보를 전송할 수 있다.Secondly, in the user authentication method proposed in the present invention, the user of the client can trust the server and transmit user authentication information by authenticating the user after the server authentication process, such as server authentication and client user authentication.

셋째, 본 발명에서 제안하는 사용자 인증 방법은 서버의 인증서로 서버를 인증한 후 클라이언트와 서버 사이에 비밀키를 공유하게 됨으로써 사용자의 아이디 정보가 보호됨은 물론, 클라이언트의 사용자 인증 과정에서 사용되는 키 또한 서버의 인증 과정에서 생성된 비밀키로부터 재생성되어 사용되므로 위장한 인증 서버 또는 위장한 인증 클라이언트로부터 보안 위협을 해결할 수 있으며, MITM 등과 같은 공격에 대한 피해도 막을 수 있다.Third, in the user authentication method proposed in the present invention, after authenticating the server with the server's certificate, the secret key is shared between the client and the server, thereby protecting the user's ID information, as well as the key used in the client's user authentication process. Since it is regenerated from the secret key generated during the authentication process of the server, security threats can be solved from the spoofed authentication server or the spoofed authentication client, and the damages from attacks such as MITM can be prevented.

넷째, 본 발명에서 제안하는 사용자 인증 방법은 서버 인증과 클라이언트 사용자 인증과정에서 사용되는 패킷 구성을 서로 상이하게 구성함으로써, 클라이언트 사용자 인증 과정의 패킷 구성을 경량화화여 인증 과정에서 발생하는 오버헤드를 줄이면서도 종래의 사용자 인증 방법과 호환 가능하다. 따라서, 무선랜에서의 사용자 단말, AP, AAA 서버 등과 연동 및 호환이 가능하다.Fourth, the user authentication method proposed in the present invention is configured by differently configuring the packet configuration used in the server authentication and client user authentication process, thereby reducing the overhead of the authentication process by reducing the packet configuration of the client user authentication process It is compatible with the conventional user authentication method. Therefore, it is possible to interwork and compatible with the user terminal, AP, AAA server and the like in the WLAN.

다섯째, 본 발명에서 제안하는 사용자 인증 방법 및 장치는 홈네트워크 환경에 가장 적합하지만 다른 네트워크 환경에서도 다양하게 사용할 수 있다. 또한 본 발명은 네트워크 구조와 통신 매개체(예: 무선랜, 이더넷 등)에 관계없이 사용할 수 있다.Fifth, the user authentication method and apparatus proposed by the present invention are most suitable for home network environments, but can be variously used in other network environments. In addition, the present invention can be used regardless of the network structure and communication media (eg, WLAN, Ethernet, etc.).

Claims (21)

클라이언트에서 아이디/패스워드를 포함하는 사용자 인증 원본 데이터를 기 저장되어 있는 서버로 접속하여 사용자 인증을 수행하는 방법에 있어서,A method of authenticating a user by accessing user authentication source data including ID / password from a client to a pre-stored server, (a) 상기 클라이언트는 사용자 인증으로 아이디/패스워드 방식을 사용한다는 정보를 포함하는 메시지를 상기 서버로 전송하는 단계;(a) transmitting, by the client, a message including information indicating that the user uses an ID / password method for user authentication; (b) 상기 서버로부터 상기 서버의 인증서를 전송받아 검증하는 단계;(b) receiving and verifying a certificate of the server from the server; (c) 상기 전송받은 인증서의 검증이 이루어지는 경우, 키 생성과 교환을 통하여 상기 서버와 사용할 비밀키를 생성하여 공유하는 단계; 및(c) generating and sharing a secret key for use with the server through key generation and exchange when the received certificate is verified; And (d) 상기 사용자 인증 원본 데이터와 대응되는 사용자 인증 비교본 데이터에 대한 해쉬 값을 계산하고 상기 비밀키로 암호화하여 상기 서버로 전송함으로써 사용자 인증을 수행하는 단계;를 포함하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.(d) calculating a hash value of the user authentication comparison data corresponding to the user authentication original data, encrypting with the secret key, and transmitting the encrypted data to the server to perform user authentication; User authentication method using. 제 1 항에 있어서, 상기 (a)단계 이전에The method according to claim 1, wherein before step (a) 상기 클라이언트는 상기 서버로 인증 서비스 접속 메시지를 전송하는 단계; 및The client sending an authentication service access message to the server; And 상기 서버로부터 상기 클라이언트의 사용자 신원 정보 요청 메시지를 전송받는 단계;를 더 포함하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.Receiving a user identity information request message of the client from the server; User authentication method using the ID / password further comprising. 제 1 항에 있어서, 상기 (d)단계는The method of claim 1, wherein step (d) (d1) 상기 클라이언트는 상기 서버로부터 사용자 인증 비교본 데이터 요청 메시지를 전송받는 단계;(d1) the client receiving a user authentication comparison data request message from the server; (d2) 상기 사용자 인증 비교본 데이터를 상기 비밀키로 암호화하여 상기 서버로 전송하는 단계; 및(d2) encrypting the user authentication comparison data with the secret key and transmitting the encrypted data to the server; And (d3) 상기 서버에서 상기 (d2)단계에서 전송받은 사용자 인증 비교본 데이터와 상기 서버에 기 등록되어 있는 사용자 인증 원본 데이터를 비교하여 일치한다고 판단되는 경우에 생성되는 사용자 인증 성공 메시지를 전송받는 단계로 이루어지는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.(d3) receiving a user authentication success message generated when it is determined that the server compares the user authentication comparison data transmitted in the step (d2) with the user authentication original data previously registered in the server and matches the data; User authentication method using an ID / password characterized in that consisting of. 제 3 항에 있어서, 상기 (d1)단계 이전에The method of claim 3, wherein before step (d1) 상기 클라이언트는 사용자 아이디를 상기 비밀키로 암호화하여 상기 서버로 전송하는 단계;를 더 포함하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And encrypting a user ID with the secret key and transmitting the encrypted user ID to the server. 제 1 항에 있어서,The method of claim 1, 상기 아이디/패스워드 방식은 EEAP-PW 방식인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.The ID / password method is a user authentication method using an ID / password, characterized in that the EEAP-PW method. 제 1 항에 있어서,The method of claim 1, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 댁내 클라이언트이고, 상기 서버는 상기 홈네트워크 시스템의 홈서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is a home client of the home network system, and the server is a home server of the home network system. 제 1 항에 있어서,The method of claim 1, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 홈서버이고, 상기 서버는 상기 홈네트워크 시스템의 홈네트워크 사업자 서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is a home server of the home network system, and the server is a home network operator server of the home network system. 제 1 항에 있어서,The method of claim 1, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 댁외 클라이언트이고, 상기 서버는 상기 홈네트워크 시스템의 홈네트워크 사업자 서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is an outdoor client of the home network system, and the server is a home network operator server of the home network system. 제 1 항에 있어서,The method of claim 1, 상기 (b)단계의 서버 인증서에 대한 검증과 상기 (d)단계의 클라이언트 사용 자 인증에서 사용되는 패킷의 구성을 패킷의 플래그 필드의 비트 값에 따라 서로 다르게 사용하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.ID / password, characterized in that the configuration of the packet used in the verification of the server certificate of the step (b) and the client user authentication of the step (d) is used differently according to the bit value of the flag field of the packet. User authentication method. 제 9 항에 있어서,The method of claim 9, 상기 플래그 필드의 U비트 값에 따라 TLS 형태의 패킷과 Encrypted-PW 형태의 패킷으로 구분하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And a TLS type packet and an Encrypted-PW type packet according to the U bit value of the flag field. 제 1 항에 있어서,The method of claim 1, 상기 사용자 인증 비교본 데이터에 대한 해쉬 값을 계산함에 있어서 필요한 키는 상기 비밀키로부터 재생성하여 사용하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And a key necessary for calculating a hash value of the comparison data of the user authentication is regenerated from the secret key and used. 사용자 인증 원본 데이터를 기 저장되어 있는 서버에서 상기 서버로 접속하고자 하는 클라이언트 사용자를 인증하는 방법에 있어서,In the method for authenticating a client user who wants to access the server from a server that previously stored user authentication original data, (a) 상기 클라이언트로부터 아이디/패스워드 방식을 사용한다는 정보를 포함하는 메시지를 전송받는 단계;(a) receiving a message including information indicating that an ID / password scheme is used from the client; (b) 상기 서버의 인증서를 상기 클라이언트로 전송하는 단계;(b) sending the server's certificate to the client; (c) 상기 클라이언트에서 상기 서버의 인증서가 검증이 성공하는 경우에 생성되는 비밀키를 전송받아 상기 클라이언트와 공유하는 단계;(c) receiving and sharing a secret key generated when the server's certificate is verified by the client with the client; (d) 상기 클라이언트로부터 상기 비밀키로 암호화되는 상기 사용자 인증 원본 데이터와 대응되는 사용자 인증 비교본 데이터에 대한 해쉬 값을 전송받는 단계; 및(d) receiving a hash value for the user authentication comparison data corresponding to the user authentication original data encrypted with the secret key from the client; And (e) 상기 사용자 인증 비교본 데이터에 해쉬 값과 상기 사용자 인증 원본 데이터에 대한 해쉬 값을 비교하여 일치하는 경우 상기 클라이언트 사용자를 인증하는 단계;를 포함하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.(e) comparing the hash value with respect to the user authentication comparison data and comparing the hash value with respect to the original user authentication data, and authenticating the client user. Way. 제 12 항에 있어서, 상기 (a)단계 이전에The method of claim 12, wherein before step (a) 상기 클라이언트로부터 인증 서비스 접속 메시지를 전송받는 단계; 및Receiving an authentication service access message from the client; And 상기 클라이언트로 상기 클라이언트 사용자의 신원 정보 요청 메시지를 전송하는 단계;를 더 포함하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And transmitting the identity information request message of the client user to the client. 제 12 항에 있어서, 상기 (d)단계는The method of claim 12, wherein step (d) (d1) 상기 클라이언트로부터 사용자 아이디 정보를 전송받는 단계;(d1) receiving user ID information from the client; (d2) 상기 클라이언트로 해당하는 사용자 인증 비교본 데이터 요청 메시지를 전송하는 단계; 및(d2) transmitting a corresponding user authentication comparison data request message to the client; And (d3) 상기 클라이언트로부터 상기 비밀키로 암호화된 사용자 인증 비교본 데이터에 해쉬 값을 전송받는 단계로 이루어지는 것을 특징으로 하는 아이디/패스워 드를 이용한 사용자 인증 방법.(d3) The user authentication method using the ID / password characterized in that the step of receiving a hash value to the user authentication comparison data encrypted with the secret key from the client. 제 12 항에 있어서,The method of claim 12, 상기 아이디/패스워드 방식은 EEAP-PW 방식인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.The ID / password method is a user authentication method using an ID / password, characterized in that the EEAP-PW method. 제 12 항에 있어서,The method of claim 12, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 댁내 클라이언트이고 상기 서버는 상기 홈네트워크 시스템의 홈서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is a home client of the home network system and the server is a home server of the home network system. 제 12 항에 있어서,The method of claim 12, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 홈서버이고 상기 서버는 상기 홈네트워크 시스템의 홈네트워크 사업자 서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is a home server of the home network system and the server is a home network operator server of the home network system. 제 12 항에 있어서,The method of claim 12, 상기 클라이언트와 서버는 홈네트워크 시스템에 적용되되,The client and server are applied to the home network system, 상기 클라이언트는 상기 홈네트워크 시스템의 댁외 클라이언트이고 상기 서버는 상기 홈네트워크 시스템의 홈네트워크 사업자 서버인 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And the client is an outdoor client of the home network system and the server is a home network operator server of the home network system. 제 12 항에 있어서,The method of claim 12, 상기 (b)단계의 서버 인증서에 대한 검증과 상기 클라이언트 사용자 인증에서 사용되는 패킷의 구성을 패킷의 플래그 필드의 비트 값에 따라 서로 다르게 사용하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.User authentication method using ID / password, characterized in that for verifying the server certificate of step (b) and the configuration of the packet used in the client user authentication differently according to the bit value of the flag field of the packet. 제 19 항에 있어서,The method of claim 19, 상기 플래그 필드의 U비트 값에 따라 TLS 형태의 패킷과 Encrypted-PW 형태의 패킷으로 구분하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And a TLS type packet and an Encrypted-PW type packet according to the U bit value of the flag field. 제 12 항에 있어서,The method of claim 12, 상기 사용자 인증 비교본 데이터에 대한 해쉬 값을 계산함에 있어서 필요한 키는 상기 비밀키로부터 재생성하여 사용하는 것을 특징으로 하는 아이디/패스워드를 이용한 사용자 인증 방법.And a key necessary for calculating a hash value of the comparison data of the user authentication is regenerated from the secret key and used.
KR1020050121982A 2005-12-12 2005-12-12 Method for authenticating user using ID/password KR100819024B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050121982A KR100819024B1 (en) 2005-12-12 2005-12-12 Method for authenticating user using ID/password

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050121982A KR100819024B1 (en) 2005-12-12 2005-12-12 Method for authenticating user using ID/password

Publications (2)

Publication Number Publication Date
KR20070062199A true KR20070062199A (en) 2007-06-15
KR100819024B1 KR100819024B1 (en) 2008-04-02

Family

ID=38357716

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050121982A KR100819024B1 (en) 2005-12-12 2005-12-12 Method for authenticating user using ID/password

Country Status (1)

Country Link
KR (1) KR100819024B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100921153B1 (en) * 2007-08-01 2009-10-12 순천향대학교 산학협력단 Method for authentication in network system
WO2009096738A3 (en) * 2008-01-31 2009-10-22 삼성전자 주식회사 Method for ensuring communication security in home network and apparatus for same
WO2009134213A2 (en) * 2008-05-02 2009-11-05 Radiantrust Pte Ltd Method and system for on-screen authentication using secret visual message
KR100925636B1 (en) * 2007-12-04 2009-11-06 주식회사 케이티 The networking method between non-pc device and server for providing the application services
WO2009110703A3 (en) * 2008-03-04 2009-12-10 삼성전자 주식회사 Authentication information management method in home network and an apparatus therefor

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097608A (en) * 2000-04-25 2001-11-08 권도균 Communicating Method Using Web Security Protocol

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100921153B1 (en) * 2007-08-01 2009-10-12 순천향대학교 산학협력단 Method for authentication in network system
KR100925636B1 (en) * 2007-12-04 2009-11-06 주식회사 케이티 The networking method between non-pc device and server for providing the application services
WO2009096738A3 (en) * 2008-01-31 2009-10-22 삼성전자 주식회사 Method for ensuring communication security in home network and apparatus for same
US8464055B2 (en) 2008-01-31 2013-06-11 Samsung Electronics Co., Ltd. Method and apparatus of ensuring security of communication in home network
WO2009110703A3 (en) * 2008-03-04 2009-12-10 삼성전자 주식회사 Authentication information management method in home network and an apparatus therefor
US8347079B2 (en) 2008-03-04 2013-01-01 Samsung Electronics Co., Ltd. Method and apparatus for managing authentication information in home network
WO2009134213A2 (en) * 2008-05-02 2009-11-05 Radiantrust Pte Ltd Method and system for on-screen authentication using secret visual message
WO2009134213A3 (en) * 2008-05-02 2010-03-04 Radiantrust Pte Ltd Method and system for on-screen authentication using secret visual message

Also Published As

Publication number Publication date
KR100819024B1 (en) 2008-04-02

Similar Documents

Publication Publication Date Title
US9819666B2 (en) Pass-thru for client authentication
Aboba et al. RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP)
CA2543096C (en) Protected dynamic provisioning of credentials
EP1498800B1 (en) Security link management in dynamic networks
Simon et al. The EAP-TLS authentication protocol
JP4746333B2 (en) Efficient and secure authentication of computing systems
US7069438B2 (en) Establishing authenticated network connections
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US8468347B2 (en) Secure network communications
AU2003203712B2 (en) Methods for remotely changing a communications password
JP5688087B2 (en) Method and apparatus for reliable authentication and logon
Cam-Winget et al. The flexible authentication via secure tunneling extensible authentication protocol method (EAP-FAST)
KR20060017594A (en) Technique for secure wireless lan access
JP2007511167A5 (en)
GB2371957A (en) Method of authenticating a network access server
KR100819024B1 (en) Method for authenticating user using ID/password
KR100957044B1 (en) Method and system for providing mutual authentication using kerberos
KR100759813B1 (en) Method for authenticating user using biometrics information
Davies RADIUS protocol security and best practices
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
Aboba et al. RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)
Kim Simple authentication and security layer incorporating extensible authentication protocol
Cam-Winget et al. RFC 4851: The Flexible Authentication via Secure Tunneling Extensible Authentication Protocol Method (EAP-FAST)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110228

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20111208

Year of fee payment: 17