KR20070115574A - 데이터 통신 방법 - Google Patents

데이터 통신 방법 Download PDF

Info

Publication number
KR20070115574A
KR20070115574A KR1020060133190A KR20060133190A KR20070115574A KR 20070115574 A KR20070115574 A KR 20070115574A KR 1020060133190 A KR1020060133190 A KR 1020060133190A KR 20060133190 A KR20060133190 A KR 20060133190A KR 20070115574 A KR20070115574 A KR 20070115574A
Authority
KR
South Korea
Prior art keywords
domain
client
data
representative
manager
Prior art date
Application number
KR1020060133190A
Other languages
English (en)
Inventor
박일곤
조성현
정만수
박구용
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Publication of KR20070115574A publication Critical patent/KR20070115574A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

데이터 통신 방법이 개시되어 있다. 데이터 통신 방법은 도메인을 관리하는 도메인 관리자와 상기 도메인에 가입된 도메인 클라이언트가 상기 도메인 클라이언트를 인증할 수 있는 인증 정보를 관리하고, 상기 인증 정보가 포함된 암호화키를 생성하여 상호간의 전송 데이터를 암호화한다. 상기 인증 정보에는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표(Domain Reference Point Membership Token) 및 상기 도메인 클라이언트의 고유한 정보 등이 포함될 수 있다. 따라서 전송 데이터의 암호화키 자체에 인증 정보가 포함되므로 별도의 복잡한 인증 절차가 필요 없고 보안 채널에 대한 부담을 해소할 수 있게 된다.

Description

데이터 통신 방법 {Method for Communicating Data}
도 1은 도메인과 그 도메인을 구성하는 주요 개체들 및 개체들 간의 연관 관계를 도시하는 블록도이다.
도 2는 본 발명의 바람직한 실시예에 따른 데이터 통신 방법을 도시하는 절차도이다.
<도면의 주요 부분에 대한 부호 설명>
10 : 도메인(Domain)
12 : 도메인 대표자(Domain Reference Point)
14 : 도메인 클라이언트(Domain Client)
20 : 도메인 관리자(Domain Manager)
30 : 통신망
본 발명은 데이터 통신 방법에 관한 것으로, 좀더 상세하게는, 디지털 저작 권 관리(Digital Rights Management, DRM) 신뢰체계의 기본 단위인 도메인을 구성하는 도메인 관리자와 도메인 클라이언트 간에 간략하고 효율적인 통신을 수행할 수 있도록 하는 데이터 통신 방법에 관한 것이다.
일반적으로, 디지털 컨텐츠는 불법적으로 자행되는 복제 및 사용에 쉽게 노출될 수 있다. 따라서 디지털 컨텐츠의 서비스를 위해서는 디지털 컨텐츠를 불법적인 복제 및 사용으로부터 보호할 수 있는 컨텐츠 보호 기술이 필수적으로 요구된다.
DRM은 이러한 컨텐츠 보호 기술의 대표적인 예로서, 디지털 컨텐츠의 불법 복제 및 사용을 미연에 방지하고 적법한 권한을 가진 사용자만이 디지털 컨텐츠를 사용할 수 있도록 하는 디지털 컨텐츠 보호 기술이다. 예컨대 DRM에서는 암호화 기술을 이용하여 디지털 컨텐츠를 패키지 형태의 암호화된 데이터로 변환시키고, 이 암호화된 데이터를 사용할 수 있는 권한을 디지털 컨텐츠와 분리하여 관리한다. 따라서 특정 사용자가 DRM으로 보호되는 디지털 컨텐츠를 취득한다고 하더라도 적법한 인증 절차를 통하여 사용할 수 있는 권한을 획득하지 못하면 그 사용자는 해당 디지털 컨텐츠를 사용할 수 없다.
이러한 DRM은 다양한 형태의 관리 및 과금 시스템 등과 연결되면서 전자상거래 시스템의 구축에 필수적인 조건이 되고 있다. 특히, 최근에는 대부분의 전자 기기들이 디지털화되면서 디지털 서비스 제공자들은 각자 자신만의 고유한 DRM을 채택하고 있다.
그런데 이와 같이 각각의 서비스 제공자가 서로 다른 DRM을 채택하면서 디지털 컨텐츠를 소비하는 사용자의 불편이 초래되었다. 이것은 DRM이 갖는 기술적 고립성과 정책성 폐쇄성으로 인한 것으로서, 서로 다른 기술 및 정책을 사용하는 각각의 DRM은 상호호환이 되지 않기 때문이다. 예컨대 사용자가 적법하게 구매한 디지털 컨텐츠라도 그 디지털 컨텐츠에 적용된 DRM과 다른 DRM이 채택된 장치들에서는 이용할 수 없다. 이러한 DRM의 고립성 및 폐쇄성은 디지털 컨텐츠 유통 구조의 유연성을 저해하는 요소로 작용하여 오히려 사용자들에 의한 불법적인 유통 및 이용을 조장하면서, 디지털 컨텐츠 시장의 활성화에 장애가 되고 있는 실정이다.
때문에, 최근에는 동일 DRM 프레임웍 내의 다수의 장치들에 대해서는 디지털 컨텐츠의 자유로운 이용이 가능하도록 하거나, 또는 고립적이고 폐쇄적인 DRM들 간에도 상호 호환성 있는 프레임웍을 제공하고자 하는 새로운 시스템들이 제안되고 있다. 이러한 시스템들은 공통적으로 도메인(Domain)이라는 개념을 도입하고 있다.
도메인이란 DRM 신뢰체계(Trusted Framework)의 기본 단위로서, 소정의 절차에 따라 적법하게 컨텐츠를 사용할 수 있는 물리적 또는 논리적인 영역을 의미할 수 있다. 예를 들면, 도메인에 소정의 절차를 통해 가입된 디바이스들은 허용된 권한에 따라 동일한 DRM 또는 서로 다른 DRM이 적용된 컨텐츠를 자유롭게 사용할 수 있도록 하는 것이다.
이러한 도메인은 통상 도메인을 관장하는 도메인 관리자(Domain Manager) 및 도메인 내에서 컨텐츠를 실제로 사용하는 적어도 하나의 도메인 클라이언트(Domain Client) 등의 개체(Entity)들을 포함한다. 상기 도메인 클라이언트는 컨텐츠를 제 공받기 위해서 필요한 각종 데이터들을 도메인 관리자에게 요청하고 그에 상응하는 정보들을 제공받을 수 있다.
도메인 클라이언트와 도메인 관리자 간에 데이터를 송수신하기 위해서는, 하위 계층에서 제공하는 안전한 전송 채널, 즉 보안 채널이 두 개체 간에 미리 확립되어 있어야 한다. 이러한 보안 채널 하에서, 데이터 송수신에 앞서 도메인 클라이언트에 대한 인증이 선행된다. 이때 '도메인 클라이언트에 대한 인증'이란 상기 도메인 클라이언트가 도메인에 정상적으로 가입되어 있어며, 현재 도메인에 속해있다는 것을 도메인 관리자가 확인할 수 있도록 하는 절차를 의미할 수 있다.
이러한 인증을 위한 방법으로 현재 DRM 시스템에서는 신임장(Credential)을 이용한 방법이 주로 채택되고 있다. 예를 들어, 새로운 도메인이 생성되면 도메인 관리자는 소정의 신임장을 생성하여 향 후 도메인 관리를 위한 인증 거래에 사용한다. 또한 특정 도메인 클라이언트가 도메인에 가입하면 도메인 관리자는 해당 도메인 클라이언트에게 유일한 회원표(Membership Token)를 생성하여 배포 및 관리한다. 그리고 상기 도메인 클라이언트가 도메인 관리자에게 데이터를 보내고자 할 경우, 상기 도메인 클라이언트는 자신의 회원표가 포함된 신임장을 생성하여 도메인 관리자에게 제시함으로써 자신에 대한 인증을 요청한다. 이때 만약 신임장의 내용이 정당하다면 해당 도메인 클라이언트와 도메인 관리자는 상기 보안 채널을 통하여 데이터를 송수신할 수 있게 된다.
그런데, 이러한 종래의 데이터 통신 방법의 경우, 도메인 클라이언트와 도메인 관리자 사이에는 하위 계층에서 제공하는 보안 채널이 미리 확보되어 있어야 하 는 문제가 있다. 왜냐하면 인증 시에 제시되는 신임장의 경우 암호화되어 전송되기도 하나, 인증 후에 실지로 전송되는 데이터에 대해서는 별도의 암호화 절차가 수행되지 않기 때문이다.
또한, 상기 종래의 데이터 통신 방법은, 두 개체 간에 보안 채널이 확보되어 있다고 하더라도, 전송되는 데이터에 대한 안정성이 떨어지는 문제가 있다. 예를 들어 도메인 클라이언트로부터 전송되는 데이터는 도메인 관리자에서만 볼 수 있어야 하고, 동시에 상기 메시지를 수신한 도메인 관리자는 해당 메시지가 정당한 도메인 클라이언트로부터 전송된 것임을 지속적으로 확인할 수 있어야 하나 종래에는 이러한 점들을 안정적으로 보장할 수 없었다.
본 발명은 이러한 문제점들을 해결하기 위한 것으로서, 도메인 관리자와 도메인 클라이언트 간에 안전한 데이터 전송을 보장할 수 있도록 함과 동시에 인증 과정을 간략화 할 수 있는 데이터 통신 방법을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위한 본 발명에 따른 데이터 통신 방법은, 데이터 통신 방법에 있어서, 도메인을 관리하는 도메인 관리자와 상기 도메인에 가입된 도메인 클라이언트가 상기 도메인 클라이언트를 인증할 수 있는 인증 정보를 관리하고, 상기 인증 정보가 포함된 암호화키를 생성하여 상호간의 전송 데이터를 암호화 하는 특징이 있다.
상기 도메인 클라이언트의 인증 정보는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표(Domain Reference Point Membership Token) 및 상기 도메인 클라이언트의 고유한 정보 중 적어도 어느 하나를 포함할 수 있다.
이때, 상기 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인에 정상적으로 속해있음을 확인하는 정보일 수 있다. 이러한 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인에 가입하는 시점에 상기 도메인 대표자로부터 발급받을 수 있다. 또한, 상기 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인 관리자에게 접속을 요청하고자 할 때 상기 도메인 대표자에게 요청하여 발급받을 수도 있다.
상기 암호화된 데이터의 전송 시에는 전송 메시지의 무결성을 보장하기 위한 메시지 인증 코드가 상기 암호화된 데이터와 함께 전송될 수 있다. 상기 메시지 인증 코드에는 상기 암호화된 데이터 및 상기 도메인 클라이언트의 클라이언트 회원표 중 적어도 어느 하나가 포함될 수 있다. 또한, 상기 암호화키 생성 시에는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표와 상기 도메인 클라이언트의 고유한 정보와의 해쉬값을 계산할 수 있다.
상기 도메인 클라이언트는 상기 인증 정보를 포함한 암호화키로 상기 도메인 관리자와의 접속을 요청하는 접속 요청 데이터를 암호화하여 상기 도메인 관리자로 전송하고, 상기 도메인 관리자는 상기 암호화키를 이용하여 상기 전송된 접속 요청 데이터를 추출할 수 있다.
한편, 상술한 본 발명의 목적을 달성하기 위한 데이터 통신 방법은, 데이터 통신 방법에 있어서, 도메인에 가입된 도메인 클라이언트가 자신의 인증 정보를 포함하는 암호화키를 생성하는 단계; 및 상기 생성된 암호화키를 이용하여 송신 데이터를 암호화하고, 상기 암호화된 송신 데이터를 상기 도메인의 도메인 관리자로 송신하는 단계를 포함할 수도 있다.
이때, 상기 인증 정보는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표 및 상기 도메인 클라이언트의 식별자 중 적어도 어느 하나를 포함할 수 있다. 상기 송신 데이터는 상기 도메인 관리자로 접속을 요청하는 접속 요청 데이터일 수 있다.
이하, 본 발명이 속하는 분야에 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다. 이하에 설명할 본 발명의 바람직한 실시예에서는 내용의 명료성을 위하여 특정한 기술 용어를 사용한다. 하지만 본 발명은 그 선택된 특정 용어에 한정되지는 않으며, 각각의 특정 용어가 유사한 목적을 달성하기 위하여 유사한 방식으로 동작하는 모든 기술 동의어를 포함함을 미리 밝혀둔다.
<실시예>
도 1은 도메인과 그 도메인을 구성하는 주요 개체들 및 개체들 간의 연관 관계를 도시하는 블록도로서, 본 발명의 바람직한 실시예에 따른 데이터 통신 방법이 적용될 수 있는 구성을 보여주고 있다.
이때, 도메인은 DRM 신뢰 체계의 기본 단위로서, DRM 시스템 또는 DRM 상호호환 시스템이 실질적으로 적용되는 영역을 의미한다. 여기서 영역이란 물리적인 개념의 영역을 의미할 수도 있고, 논리적으로 지정된 영역을 의미할 수도 있다. 이러한 도메인이 형성되기 위해서는 개체들 간에 서로 연동할 수 있는 물리적 통신 환경이 마련되어 있어야 한다.
도 1을 참조하면, 도메인(10)은 도메인 관리자(Domain Manager, 20), 적어도 하나의 도메인 클라이언트(Domain Client, 14) 및 도메인 대표자(Domain Reference Point, 12) 등의 개체들에 의하여 구성될 수 있다. 이때 상기 개체들(12, 14, 20)은 소프트웨어 모듈이나 하드웨어 칩 등의 형태로 특정 디바이스에 탑재될 수 있으며, 각기 고유한 역할(Role)을 갖는다.
각 개체들(12, 14, 20)의 역할 및 탑재 위치를 살펴보면 다음과 같다.
1. 도메인 관리자(20) : 도메인 관리자(20)는 도메인(10)을 관장하는 기능을 수행하는 개체로서, 도메인(10)의 생성(Creating)과 파기(Destroying), 도메인 대표자(12)의 발견(Discovering) 및 제거(Removing) 및 도메인 클라이언트(14)에 대한 인증(Authenticating) 등의 기능을 수행할 수 있다.
이러한 기능들을 위하여 도메인 관리자(20)는 클라이언트 식별자(Client Identifier, CID) 등과 같은 도메인 클라이언트(14)에 대한 정보 및 도메인 대표자(12)에 대한 정보를 등록하여 관리한다. 또한, 도메인 관리자(20)는 도메인 클라이언트(14)가 도메인(10)에 가입할 때 클라이언트 회원표(Domain Client Membership Token)를 해당 도메인 클라이언트(14)에게 발급하여 저장 및 관리하고, 도메인 대표자(12)가 등록될 때 도메인 대표자 회원표(Domain Reference Point Membership Token)를 도메인 대표자(12)에게 발급하여 저장 및 관리한다.
이러한 도메인 관리자(20)는 도메인(10)의 내부 또는 외부 어디에도 존재할 수 있다. 도 1에 도시된 예에서는 도메인 관리자(20)가 도메인(10)의 외부 즉, DRM 코어 영역에 존재하는 것으로 가정하였다. 이 경우 도메인 관리자(20)는 서비스 제공자의 서버 또는 DRM 상호호환 서비스 사업자의 서버 등에 탑재될 수 있으며, 인터넷 등의 통신망(30)을 통하여 도메인 대표자(12) 및 도메인 클라이언트(14)와 연동할 수 있다.
2. 도메인 클라이언트(14) : 도메인 클라이언트(14)는 컨텐츠를 최종적으로 소비하는 개체이다. 즉, 컨텐츠의 사용의 종단점(End Point)을 의미할 수 있다. 이러한 도메인 클라이언트(14)의 주요 기능은 컨텐츠 재생, 권리 이전(Transferring Rights), 컨텐츠 이전(Transferring Contents), 스트리밍(Streaming), 도메인 관리자(20)에 대한 인증 요청, 도메인 대표자(12)의 발견 등의 기능이 있다.
이러한 도메인 클라이언트(14)는 도메인(10) 내에 존재하는 이동형 또는 고정형 디바이스들, 예를 들면 휴대폰, 피디에이, 컴퓨터, 텔레비젼 등에 탑재될 수 있다. 도메인 클라이언트(14)가 탑재된 디바이스는 도메인 내에서 주어진 권한에 따라 컨텐츠를 사용할 수 있게 된다.
도메인 클라이언트(14)는 각자 고유의 식별자, 즉 클라이언트 식별자(CID)를 갖는다. 클라이언트 식별자(CID)는 소정의 데이터 구조(data structure)로 표현할 수 있는데, 이러한 데이터 구조는 예컨대 시스템 식별자(system identifier), 명 칭(name) 등을 포함할 수 있다. 도메인 클라이언트(14)는 상기 데이터 구조를 지속적으로 저장한다.
3. 도메인 대표자(12) : 도메인 대표자(12)는 도메인(10)의 범위와 도메인(10)의 환경을 결정하는데 있어서 기준이 되는 개체로서, 그 정보는 도메인 관리자(20)에 등록된다. 예를 들어, 도메인 대표자(12)는 자신에 대한 디바이스들의 근접도(Proximity)를 검사하여 물리적 경계를 정하고, 이를 기준으로 도메인(10)의 범위를 결정하는 기능을 수행할 수 있다. 상기 도메인(10)의 범위는 예컨대 도메인 대표자(12)와 도메인 클라이언트(14)가 동일한 댁내 통신망에 연결되어 있는지 여부나 또는 두 개체 사이의 물리적인 거리, 홉(Hop)의 수 등으로 정해질 수 있다.
도메인 대표자(12)는 이러한 근접도의 검사 결과 도메인 클라이언트(14)가 동일한 도메인(10)에 속한다고 판단되는 경우, 도메인 대표자 회원표(Domain Reference Point Membership Token)를 발행하여 배포한다. 그 결과 도메인(10)에 등록된 도메인 클라이언트(14)는 도메인 대표자 회원표를 저장하고 있다.
이러한 도메인 대표자(12)는 앞서 설명한 도메인 클라이언트(14)처럼, 도메인 내에 존재하는 디바이스들, 예를 들면 컴퓨터, 휴대폰, 텔레비전, 피디에이 등에 탑재될 수 있다.
도 2는 본 발명의 바람직한 실시예에 따른 데이터 통신 방법을 도시하는 절차도로서, 도메인 클라이언트(14)와 도메인 관리자(20) 간의 데이터 통신 절차를 예를 들어 보여주고 있다. 본 실시예에 따른 데이터 통신 방법은 특정한 요청이나 그에 따른 응답을 나타내는 데이터의 송수신 방법뿐만 아니라 도메인 관리자(20)가 도메인 클라이언트(14)를 인증할 수 있는 인증 방법도 포함하고 있다.
도 1 및 도 2를 참조하면, 우선, 도메인 관리자(20)와 통신을 하고자 하는 도메인 클라이언트(14)는, 도메인 대표자(12)로부터 자신이 도메인 내에 있다는 증명인 도메인 대표자 회원표(TA)를 수령한다(단계:S1).
앞서도 언급한 바와 같이, 도메인 대표자(12)는 근접도 조사 등을 통하여 도메인 클라이언트(14)가 도메인(10)에 속하는지의 여부를 조사하여 도메인 클라이언트(14)가 그 도메인(10)에 속한다고 판단되는 경우, 그 도메인 클라이언트(14)에게 도메인 대표자 회원표(TA)를 발급한다. 따라서 도메인 클라이언트(14)는 상기 도메인 대표자 회원표(TA)를 수령할 수 있다. 이러한 과정은 도메인 관리자(20)와 통신하고자 하는 도메인 클라이언트(14)의 요청에 의하여 이루어질 수도 있고, 도메인 클라이언트(14)가 도메인(10)에 결합하는 시점에 이루어질 수도 있다.
이어서, 도메인 클라이언트(14)는 수령한 도메인 대표자 회원표(TA) 및 자신을 식별하기 위한 정보를 이용하여 도메인 관리자(20)와의 안전한 통신을 보장하기 위한 암호화키(K)를 생성한다(단계:S2).
상기 암호화키(K)를 생성하는데 이용되는 '도메인 클라이언트를 식별하기 위한 정보'는 예컨대 고유한 클라이언트 식별자(Client Identifier, CID)일 수 있다. 예를 들어, 도메인 클라이언트(14)는 도메인 대표자 회원표(TA)와 클라이언트 식별 자(CID)와의 해쉬(Hash)값을 계산하여 상기 암호화키(K)를 생성할 수 있다. 이 경우 암호화키(K)는 다음의 수학식 1과 같은 함수 형태로 표현될 수 있다.
K = Hash(TA, CID)
상기 도메인 대표자 회원표(TA) 및 클라이언트 식별자(CID)는 도메인 관리자(20)에서도 저장 및 관리되는 정보이기 때문에, 상기 암호화키(K)는 도메인 관리자(20)도 알 수 있는 정보이다. 따라서 대칭키 암호화 스킴(Symmetric Encryption Scheme)의 적용이 가능할 것이다.
이러한 암호화키(K) 생성 단계(단계:S2)가 완료되면, 도메인 클라이언트(14)는 상기 생성된 암호화키(K)를 통해 암호화된 접속 요청 메시지를 도메인 관리자(20)로 전송한다(단계:S3). 이때, 상기 접속 요청 메시지에는 전송 메시지의 무결성을 보장할 수 있는 메시지 인증 코드(Message Authentication Code, MAC)가 포함될 수도 있다.
예를 들면, 도메인 클라이언트(14)는 접속 요청 데이터(D접속요청)를 암호화키(K)로 암호화하고, 그 암호화된 접속 요청 데이터(EK(D접속요청))와 함께 메시지 인증 코드(MAC)를 도메인 관리자(20)로 전송할 수 있다. 이때 메시지 인증 코드(MAC)는 암호화키를 가지는 메시지 인증 코드(Mac with Key)일 수 있으며, 실시 환경에 따라서는 클라이언트 회원표(Tc)를 포함할 수 있다. 예컨대, 메시지 인증 코드(MAC) 는 'MAC(EK(D접속요청), Tc)'로 표현되며, 클라이언트 회원표(Tc)를 포함할 경우 'MAC(EK(D접속요청), Tc)'로 표현될 수 있다. 이때 클라이언트 회원표(Tc)는 도메인 클라이언트(14)가 도메인(10)에 가입될 때 도메인 관리자(20)로부터 발급받는 것으로 앞서도 언급한 바 있다. 따라서, 도메인 클라이언트(14)로부터 도메인 관리자(20)에게 전송되는 접속 요청 메시지 M은 다음의 수학식 2와 같이 표현될 수 있다.
M = EK(D접속요청) + MAC(EK(D접속요청), Tc
이와 같이 도메인 클라이언트(14)로부터 접속 요청 메시지가 도메인 대표자(20)로 전송되면(단계:S3), 도메인 대표자(20)는 도메인 클라이언트(14)의 암호화키(K)를 이용하여 접속 요청 데이터(D접속요청)를 추출할 수 있다. 왜냐하면, 암호화키(K)는 도메인 대표자 회원표(TA)와 클라이언트 식별자(CID)를 이용하여 계산된 것이고, 이는 앞서도 언급했듯이 도메인 관리자(20)에서도 저장 및 관리되는 정보이기 때문이다. 또한, 암호화키(K)에는 그 자체에 도메인 클라이언트(14)에 대한 인증 정보가 포함되어 있으므로, 도메인 관리자(20)가 도메인 클라이언트(14)를 인증하기 위한 별도의 절차가 필요 없을 수 있다.
이어서, 도메인 관리자(20)와 도메인 클라이언트(14)는 암호화키(K)에 의하여 암호화된 데이터(EK(Data))를 송수신한다(단계:S4). 즉, 도메인 관리자(20) 또는 도메인 클라이언트(14) 중 데이터(Data)를 송신하고자하는 개체는 도메인 대표 자 회원표(TA) 및 클라이언트 식별자(CID)를 이용하여 암호화키(K)를 생성하고, 그 생성된 암호화키(K)로 데이터(Data)를 암호화하여 수신 개체로 송신하는 것이다. 다시 말해, 도메인 관리자(20)와 도메인 클라이언트(14)간의 데이터(Data)의 통신은 암호화된 상태로 이루어진다. 이때 앞서 언급한 메시지 인증 코드(MAC)를 함께 전송할 수도 있다.
이상과 같이, 본 실시예에서는 도메인 클라이언트(14)가 도메인 관리자(20)에게 암호화키(K)를 이용하여 암호화한 데이터를 전송한다. 이때, 암호화키(K)는 도메인 대표자 회원표(TA)와 클라이언트 식별자(CID)를 통해 계산되므로, 그 자체에 도메인 클라이언트(14)에 대한 인증 정보가 포함되어 있다. 따라서 본 실시예에 의하면 도메인 관리자(20)가 도메인 클라이언트(14)를 인증하기 위한 별도의 과정이 생략될 수 있다. 즉, 도메인 클라이언트(14)는 도메인 관리자(20)에게 인증을 받기 위하여 신임장을 제출할 필요가 없으며, 질의나 요청을 나타내는 데이터를 암호화하여 직접 전송하므로, 데이터의 전송과 함께 도메인 클라이언트(14)에 대한 인증이 동시에 이루어진다.
아울러, 본 실시예의 일 측면에 의하면 데이터의 전송이 클라이언트 식별자(CID)를 이용하여 계산된 암호화키(K)에 의하여 암호화된 상태로 이루어지므로, 도메인 관리자(20)와 도메인 클라이언트(14)와의 사이에 안전한 전송 채널을 확보하기 위한 과정을 생략하는 것도 가능하다. 그러나 보다 안전한 통신을 보장하기 위해서이든 아니면 정책적인 판단에 의해서이든, 데이터 전송을 하기 이전에 상호 인증을 통한 안전한 전송 채널의 확보가 선행될 수도 있음은 물론이다.
이상 본 발명에 대하여 그 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 기술적 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시켜 실시할 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.
이상 설명한 바와 같이, 본 발명에 따르면 도메인 클라이언트와 도메인 관리자가 공통으로 소유하고 있는 정보로서, 도메인 클라이언트가 도메인에 속한다는 것을 입증할 수 있는 정보와 그 도메인 클라이언트에 고유한 정보를 가지고 암호화키를 생성하고, 이 암호화키를 이용하여 소정의 데이터를 암호화하여 도메인 클라이언트와 도메인 관리자 사이에 데이터의 통신이 이루어진다.
따라서, 도메인 클라이언트를 인증하기 위하여 도메인 관리자에게 신임장을 제시할 필요가 없을 뿐만 아니라, 도메인 관리자와 도메인 클라이언트가 데이터 통신을 하기 위하여 도메인 클라이언트에 대한 인증이라는 선행 과정을 거칠 필요가 없다. 또한, 도메인 관리자와 도메인 클라이언트 사이의 상호 인증 절차를 생략하고서도 안전한 통신 채널의 확보가 가능하며, 통신 절차에 있어서도 대폭 간소화할 수 있는 장점이 있다.

Claims (12)

  1. 데이터 통신 방법에 있어서,
    도메인을 관리하는 도메인 관리자와 상기 도메인에 가입된 도메인 클라이언트가 상기 도메인 클라이언트를 인증할 수 있는 인증 정보를 관리하고, 상기 인증 정보가 포함된 암호화키를 생성하여 상호간의 전송 데이터를 암호화하는 것을 특징으로 하는 데이터 통신 방법.
  2. 제 1 항에 있어서, 상기 도메인 클라이언트의 인증 정보는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표 및 상기 도메인 클라이언트의 고유한 정보 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 데이터 통신 방법.
  3. 제 2 항에 있어서, 상기 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인에 정상적으로 속해있음을 확인하는 정보인 것을 특징으로 하는 데이터 통신 방법.
  4. 제 2 항에 있어서, 상기 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인에 가입하는 시점에 상기 도메인 대표자로부터 발급받는 것을 특징으로 하는 데이터 통신 방법.
  5. 제 2 항에 있어서, 상기 도메인 대표자 회원표는 상기 도메인 클라이언트가 상기 도메인 관리자에게 접속을 요청하고자 할 때 상기 도메인 대표자에게 요청하여 발급받는 것을 특징으로 하는 데이터 통신 방법.
  6. 제 1 항에 있어서, 상기 암호화된 데이터의 전송 시에는 전송 메시지의 무결성을 보장하기 위한 메시지 인증 코드가 상기 암호화된 데이터와 함께 전송되는 것을 특징으로 하는 데이터 통신 방법.
  7. 제 6 항에 있어서, 상기 메시지 인증 코드는 상기 암호화된 데이터 및 상기 도메인 클라이언트의 클라이언트 회원표 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 데이터 통신 방법.
  8. 제 1 항에 있어서, 상기 암호화키 생성 시에는 상기 도메인의 도메인 대표자에 의하여 발급된 도메인 대표자 회원표와 상기 도메인 클라이언트의 고유한 정보와의 해쉬값을 계산하는 것을 특징으로 하는 데이터 통신 방법.
  9. 제 1 항에 있어서, 상기 도메인 클라이언트는 상기 인증 정보를 포함한 암호화키로 상기 도메인 관리자와의 접속을 요청하는 접속 요청 데이터를 암호화하여 상기 도메인 관리자로 전송하고, 상기 도메인 관리자는 상기 암호화키를 이용하여 상기 전송된 접속 요청 데이터를 추출하는 것을 특징으로 하는 데이터 통신 방법.
  10. 데이터 통신 방법에 있어서,
    도메인에 가입된 도메인 클라이언트가,
    자신의 인증 정보를 포함하는 암호화키를 생성하는 단계; 및
    상기 생성된 암호화키를 이용하여 송신 데이터를 암호화하고, 상기 암호화된 송신 데이터를 상기 도메인의 도메인 관리자로 송신하는 단계를 포함하는 것을 특징으로 하는 데이터 통신 방법.
  11. 제 10 항에 있어서, 상기 인증 정보는 상기 도메인의 도메인 대표자에 의하 여 발급된 도메인 대표자 회원표 및 상기 도메인 클라이언트의 식별자 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 데이터 통신 방법.
  12. 제 10 항에 있어서, 상기 송신 데이터는 상기 도메인 관리자로 접속을 요청하는 접속 요청 데이터인 것을 특징으로 하는 데이터 통신 방법.
KR1020060133190A 2006-06-01 2006-12-22 데이터 통신 방법 KR20070115574A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US60/802,943 2006-05-23
US80294306A 2006-06-01 2006-06-01

Publications (1)

Publication Number Publication Date
KR20070115574A true KR20070115574A (ko) 2007-12-06

Family

ID=39142006

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060133190A KR20070115574A (ko) 2006-06-01 2006-12-22 데이터 통신 방법

Country Status (1)

Country Link
KR (1) KR20070115574A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011094096A3 (en) * 2010-01-28 2011-12-01 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011094096A3 (en) * 2010-01-28 2011-12-01 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
CN102725995A (zh) * 2010-01-28 2012-10-10 英特尔公司 至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查
US8873746B2 (en) 2010-01-28 2014-10-28 Intel Corporation Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes
CN102725995B (zh) * 2010-01-28 2015-02-25 英特尔公司 在节点之间建立安全通信信道的装置、设备及执行方法

Similar Documents

Publication Publication Date Title
US20220158985A1 (en) Reoccuring Keying System
US7503074B2 (en) System and method for enforcing location privacy using rights management
RU2352985C2 (ru) Способ и устройство для санкционирования операций с контентом
KR100958110B1 (ko) 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
EP1452941B1 (en) Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (DRM) system
KR101098091B1 (ko) 보안 레벨을 기반으로 하는 컨텐츠 사용 방법, 컨텐츠 공유 방법 및 디바이스
US7500269B2 (en) Remote access to local content using transcryption of digital rights management schemes
KR101099192B1 (ko) 보안 통신 방법 및 시스템
US20050204038A1 (en) Method and system for distributing data within a network
JP2007528658A (ja) 改良されたドメインマネージャ及びドメイン装置
US20120303967A1 (en) Digital rights management system and method for protecting digital content
US8156340B1 (en) System and method for securing system content by automated device authentication
US20070110012A1 (en) Device and method for tracking usage of content distributed to media devices of a local area network
US20090199303A1 (en) Ce device management server, method of issuing drm key by using ce device management server, and computer readable recording medium
KR20080046253A (ko) Lan에 미디어 컨텐츠를 분배하기 위한 디지털 보안
US8417937B2 (en) System and method for securely transfering content from set-top box to personal media player
CN110650139B (zh) 云平台的资源访问控制方法以及系统
JP4470573B2 (ja) 情報配信システム、情報配信サーバ、端末機器、情報配信方法、情報受信方法、情報処理プログラム、及び記憶媒体
EP1843274A2 (en) Digital rights management system
CN114826702A (zh) 数据库访问密码加密方法、装置和计算机设备
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
JP2004302835A (ja) デジタルコンテンツ管理システム、利用者端末装置、ライツマネジメント方法
Koster et al. Identity-based DRM: Personal entertainment domain
KR100989371B1 (ko) 개인 홈 도메인을 위한 디지털 저작권 관리방법
KR20070115574A (ko) 데이터 통신 방법

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination