KR20080050134A - Server, client and method for integrated user authentication in a system of multi-authentication means - Google Patents

Server, client and method for integrated user authentication in a system of multi-authentication means Download PDF

Info

Publication number
KR20080050134A
KR20080050134A KR1020060120980A KR20060120980A KR20080050134A KR 20080050134 A KR20080050134 A KR 20080050134A KR 1020060120980 A KR1020060120980 A KR 1020060120980A KR 20060120980 A KR20060120980 A KR 20060120980A KR 20080050134 A KR20080050134 A KR 20080050134A
Authority
KR
South Korea
Prior art keywords
authentication
client
server
authentication means
value
Prior art date
Application number
KR1020060120980A
Other languages
Korean (ko)
Other versions
KR100842267B1 (en
Inventor
이형규
이윤경
한종욱
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060120980A priority Critical patent/KR100842267B1/en
Publication of KR20080050134A publication Critical patent/KR20080050134A/en
Application granted granted Critical
Publication of KR100842267B1 publication Critical patent/KR100842267B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Abstract

A server, a client and a method for integrated user authentication in a system having multi-authentication means are provided to select preferred or convenient authentication means among multi-authentication means including a certificate, a password, and bio information while securing safety of each authentication means. A method for integrated user authentication at a client of a system having multi-authentication means includes the steps of authenticating a signature of a server based on a public key certificate and generating a session key same as a value of the server based on the signature(S110), selecting an authentication means to be used for authentication of a client(S120), encoding information used for the selected authentication means with the generated session key to request authentication of the client(S130), and discarding the existing session key K and regenerating a new session key SK for protecting data used for a new authentication process(S140).

Description

다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버, 클라이언트 및 방법{Server, Client and Method for integrated user authentication in a system of multi-authentication means}Server, client and method for integrated user authentication in a system of multi-authentication means

도 1은 본 발명의 일실시예에 따른 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법을 나타낸 흐름도,1 is a flow chart showing a method of integrated authentication in a client of a system having multiple authentication means according to an embodiment of the present invention;

도 2는 본 발명의 일실시예에 따른 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법을 나타낸 흐름도,2 is a flowchart illustrating a method for integrated authentication in a server of a system having multiple authentication means according to an embodiment of the present invention;

도 3은 본 발명의 일실시예에 따른 서버 인증 과정을 나타낸 도면,3 is a diagram illustrating a server authentication process according to an embodiment of the present invention;

도 4는 본 발명의 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서의 인증서 기반의 클라이언트 인증 방법을 나타낸 도면,4 is a diagram illustrating a certificate-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention;

도 5는 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서의 패스워드 기반의 클라이언트 인증 방법을 나타낸 도면,5 is a diagram illustrating a password-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention;

도 6은 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서의 생체 정보 기반의 클라이언트 인증 방법을 나타낸 도면, 및6 is a diagram showing a biometric information-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention; and

도 7은 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 통합 인증 클라이언트, 서버 및 시스템의 구성을 나타낸 도면이다.7 is a diagram showing the configuration of an integrated authentication client, server and system having multiple authentication means according to another embodiment of the present invention.

본 발명은 다중 인증 수단(multi-authentication means)을 가지는 시스템의 통합 사용자 인증(user authentication) 서버, 클라이언트 및 방법에 관한 것으로, 더욱 상세하게는 클라이언트-서버 환경에서 인증서(certificate), 패스워드, 생체 정보(bio information)와 같은 다양한 사용자 인증 수단을 안전성(security)을 확보한 상태로 사용할 수 있도록 하는 통합 사용자 인증 서버, 클라이언트 및 그에 적용되는 인증 프로토콜에 관한 것이다.The present invention relates to an integrated user authentication server, client, and method of a system having multi-authentication means, and more particularly to certificates, passwords, biometric information in a client-server environment. The present invention relates to an integrated user authentication server, a client, and an authentication protocol applied thereto, which enable various user authentication means such as (bio information) to be used with security.

일반적으로 사용자 인증 수단으로 사용되는 인증서, 패스워드, 생체 정보는 각각의 특성으로 인해 안전성을 확보하기 위한 각각의 사용자 인증 프로토콜이 요구된다. 인증서를 이용한 인증은 공개키(public key) 방식에 의한 서명(signature)을 이용하여 프로토콜을 설계하며, 패스워드는 일반적으로 추측이 쉬우므로 공격자들이 패스워드를 추측하지 못하도록 하는 방식으로 인증 프로토콜을 설계하게 된다. 또한 생체 정보는 그 특성으로 인해 보통 안전한 채널을 먼저 형성하고, 그 채널을 통해 생체 정보를 전송하는 형태로 인증을 제공하게 된다.In general, a certificate, a password, and biometric information used as a user authentication means require respective user authentication protocols to ensure safety due to their respective characteristics. Authentication using certificates design protocols using public key signatures, and passwords are generally easy to guess, so authentication protocols are designed to prevent attackers from guessing passwords. . In addition, because of its characteristics, biometric information usually forms a secure channel first, and provides authentication in the form of transmitting biometric information through the channel.

인증 프로토콜을 안전하게 설계하는 것은 이러한 각각의 인증 수단의 특성을 이해하고, 도청이나 정당한 사용자로의 위장 공격(spoofing)을 포함한 여러 가지 다양한 공격 방식에 대비하여 안전성을 추구하는 것이다. 특히, 양단에 있는 인증 주체의 중간에서 패킷을 가로채거나, 수정 또는 주입하여 불법적인 접근을 시도하는 공격에 대한 안전성이 매우 중요하게 여겨지고 있다. 근래에는 피싱(phishing) 사이트 등이 등장하여 정당한 웹 사이트로 가장하는 경우와 정당한 서버로 위장하는 경우가 빈번히 발생하므로 이에 대한 안전성도 해결해야 할 중요한 보안 요구사항이다. Designing authentication protocols securely understands the nature of each of these means of authentication and seeks security against a variety of attack methods, including eavesdropping and spoofing to legitimate users. In particular, the security against the attack that attempts to illegally access by intercepting, modifying or injecting a packet in the middle of the authentication subjects at both ends is considered to be very important. In recent years, phishing sites and the like have appeared frequently to disguise themselves as legitimate web sites and to disguise themselves as legitimate servers, which is an important security requirement to address.

한편 기존에 여러 가지 인증 프로토콜을 함께 사용하기 위한 프로토콜로써 IETF(Internet Engineering Task Force)에서 제안된 확장 가능 인증 프로토콜(Extensible Authentication Protocol, EAP)가 있으나, 이것은 각각의 인증 프로토콜을 담기 위한 컨테이너의 역할을 할 뿐 그 자체가 인증 프로토콜이 아니다. 따라서 생체 정보와 같은 인증 수단을 이용할 수 있는 방법을 제공하지 못한다.Extensible Authentication Protocol (EAP) proposed by IETF (Internet Engineering Task Force) as a protocol for using several authentication protocols together, but this serves as a container for each authentication protocol. It is not an authentication protocol itself. Therefore, it does not provide a method that can use an authentication means such as biometric information.

본 발명이 이루고자 하는 기술적 과제는, 다양한 사용자 인증 수단을 선택적으로 사용할 수 있는 인증 서버 및 클라이언트를 제공하는 것이다.It is an object of the present invention to provide an authentication server and a client which can selectively use various user authentication means.

또한 본 발명이 이루고자 하는 기술적 과제는, 다중 인증 수단을 가지는 시스템에서 각각의 인증 수단에 따른 안전성을 해치지 않는 통합 사용자 인증 프로토콜을 정의하고, 인증 서버 및 클라이언트에서의 적용 방법을 제공하는 것이다.Another object of the present invention is to define an integrated user authentication protocol that does not compromise the safety of each authentication means in a system having multiple authentication means, and to provide an application method in an authentication server and a client.

또한 본 발명이 이루고자 하는 기술적 과제는, 다중 인증 수단을 가지는 통합 인증 시스템에서 사용자가 인증서 기반의 인증 수단을 선택하는 경우, 인증서 방식의 안전성을 해치지 않는 인증 방법을 제공하는 것이다.Another object of the present invention is to provide an authentication method that does not compromise the security of a certificate method when a user selects a certificate-based authentication means in an integrated authentication system having multiple authentication means.

또한 본 발명이 이루고자 하는 기술적 과제는, 다중 인증 수단을 가지는 통합 인증 시스템에서 사용자가 패스워드 기반의 인증 수단을 선택하는 경우, 패스워드 방식의 안전성을 해치지 않는 인증 방법을 제공하는 것이다.Another object of the present invention is to provide an authentication method that does not compromise the security of a password method when a user selects a password-based authentication means in an integrated authentication system having multiple authentication means.

또한 본 발명이 이루고자 하는 기술적 과제는, 다중 인증 수단을 가지는 통합 인증 시스템에서 사용자가 생체 정보 기반의 인증 수단을 선택하는 경우, 생체 정보 방식의 안전성을 해치지 않는 인증 방법을 제공하는 것이다.In addition, the technical problem to be achieved by the present invention is to provide an authentication method that does not compromise the safety of the biometric information when the user selects the biometric information-based authentication means in the integrated authentication system having multiple authentication means.

상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법은, (a) 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 단계; (b) 클라이언트의 인증에 사용될 인증 수단을 선택하는 단계; 및 상기 (b) 단계에서 선택된 인증 수단에 사용되는 정보들을 상기 (a) 단계에서 생성된 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 단계;를 포함한다.In order to achieve the above technical problem, the integrated authentication method in the client of the system with multiple authentication means according to the present invention, (a) to authenticate the signature of the server based on the public key certificate of the server, the signature Generating a session key equal to a value possessed by the server based on the; (b) selecting an authentication means to be used for authentication of the client; And requesting authentication of the client by encrypting the information used for the authentication means selected in step (b) with the session key generated in step (a).

바람직하게는, 상기 (b) 단계에서 선택된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상이다. Preferably, the authentication means selected in step (b) is at least one of a certificate-based authentication means, a password-based authentication means and a biometric information-based authentication means.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 클라이언트에서의 인증서 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 인증서 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 인증서 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계; 및 (b) 인증 수단이 인증서 기 반의 인증 수단인 것을 알리는 메시지 및 상기 암호값을 상기 서버로 전송하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the certificate-based authentication method in the client of the system having a multi-authentication means according to the present invention, (a) a server in a system having a multi-authentication means and through the server authentication client Generating a cipher value by encrypting the information used in the certificate-based authentication means with the session key generated in the server authentication process when a user who has completed the authentication process selects a certificate-based authentication means and attempts authentication; And (b) transmitting a message indicating that the authentication means is a certificate-based authentication means and the password value to the server.

바람직하게는, 상기 인증서 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디(ID), 상기 클라이언트의 공개키 인증서, 및 상기 클라이언트의 개인키로 서명한 서명을 포함한다.Preferably, the information used in the certificate-based authentication means includes a signature signed with a user ID of the client, a public key certificate of the client, and a private key of the client.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 인증 수단이 패스워드 기반의 인증 수단인 것을 알리는 메시지, 및 상기 클라이언트의 사용자 아이디를 상기 서버 인증 과정에서 생성한 세션 키로 암호화한 제 1 암호값을 생성하여 상기 서버로 전송하는 단계; (b) 상기 서버로부터, 상기 클라이언트의 사용자 아이디에 해당하는 검증자를 연산하여 얻은 제 1 연산값을 상기 세션 키로 암호화한 제 2 암호값을 수신하는 단계; 및 (c) 상기 제 2 암호값을 복호하여 얻은 제 1 연산값을 이용하여 연산한 제 2 연산값을 상기 세션 키로 암호화한 제 3 암호값을 생성하여 상기 서버로 전송하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the password-based authentication method in the client of the system having a multi-authentication means according to the present invention, (a) a server in a system having a multi-authentication means and through the server authentication to authenticate the client When a user who has completed the authentication process attempts authentication by selecting a password-based authentication means, a message indicating that the authentication means is a password-based authentication means, and encrypting the user ID of the client with the session key generated in the server authentication process. Generating and transmitting a first cipher value to the server; (b) receiving a second encryption value obtained by encrypting, with the session key, a first operation value obtained by computing a verifier corresponding to the user ID of the client from the server; And (c) generating a third cipher value obtained by encrypting the second arithmetic value calculated using the first arithmetic value obtained by decrypting the second cipher value with the session key, and transmitting the third cipher value to the server.

바람직하게는 상기 검증자는 상기 클라이언트의 패스워드를 해시 연산한 값을 이용하여 생성되어, 상기 클라이언트의 사용자 아이디와 함께 상기 서버의 데이터 베이스에 미리 저장되어 있는 값이다.Preferably, the verifier is a value generated by hashing the password of the client, and is a value previously stored in the database of the server together with the user ID of the client.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인 증 수단을 가진 시스템의 클라이언트에서의 생체 정보 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 생체 정보 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계; 및 (b) 인증 수단이 생체 정보 기반의 인증 수단인 것을 알리는 메시지 및 상기 암호값을 상기 서버로 전송하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the biometric information-based authentication method in the client of the system having a multi-authentication means according to the present invention, (a) a system having a multi-authentication means and through the server authentication to authenticate the client When the user who has completed the server authentication process attempts authentication by selecting the biometric information-based authentication means, the encryption value is generated by encrypting the information used in the biometric information-based authentication means with the session key generated in the server authentication process. Doing; And (b) transmitting a message indicating that the authentication means is a biometric information-based authentication means and the password value to the server.

바람직하게는, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디; 및 상기 클라이언트의 사용자 아이디 및 사용자의 생체 정보인 제 1 생체 정보를 이용하여 생성한 제 2 생체 정보;를 포함한다.Preferably, the information used in the biometric information-based authentication means, the index ID corresponding one-to-one with the user ID of the client; And second biometric information generated using the biometric information of the user ID of the client and the biometric information of the user.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법은, (a) 인증 절차 시작을 요청하는 클라이언트에게 서버의 공개키 인증서를 기초로 한 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 단계; (b) 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 단계; 및 (c) 상기 (b) 단계에서 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 (a) 단계에서 생성된 세션 키로 복호하여 상기 클라이언트를 인증하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the integrated authentication method in the server of the system with multiple authentication means according to the present invention, (a) a client requesting to start the authentication process based on the server's public key certificate Requesting authentication of a signature and generating a session key equal to a value possessed by the client based on the signature; (b) identifying an authentication means to be used for authentication of the client; And (c) authenticating the client by decrypting the cipher value encrypted with the session key with the information used in the authentication means identified in step (b) with the session key generated in step (a).

바람직하게는, 상기 (b) 단계에서 확인된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상이다.Preferably, the authentication means identified in step (b) is at least one of a certificate-based authentication means, a password-based authentication means and a biometric information-based authentication means.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 서버에서의 인증서 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 인증서 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 인증서 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계; (b) 상기 암호값을 상기 세션 키로 복호하여 상기 클라이언트의 개인키로 서명한 서명을 추출하는 단계; 및 (c) 상기 추출된 서명을 상기 클라이언트의 공개키로 검증하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the certificate-based authentication method in a server of a system having multiple authentication means according to the present invention, (a) a server in a system having a multi-authentication means and through the server authentication client authentication When a user who has completed the authentication process selects a certificate-based authentication means and attempts to authenticate, the client receives a password value obtained by encrypting information used in the certificate-based authentication means with a session key generated in the server authentication process. Doing; (b) extracting the signature signed with the private key of the client by decrypting the encryption value with the session key; And (c) verifying the extracted signature with the public key of the client.

바람직하게는, 상기 인증서 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디(ID), 상기 클라이언트의 공개키 인증서, 및 상기 클라이언트의 개인키로 서명한 서명을 포함한다.Preferably, the information used in the certificate-based authentication means includes a signature signed with a user ID of the client, a public key certificate of the client, and a private key of the client.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 서버에서의 패스워드 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 클라이언트의 사용자 아이디를 상기 세션 키로 암호화한 제 1 암호값을 수신한 후, 상기 서버 인증 과정에서 생성된 세션 키를 이용하여 복호하는 단계; (b) 상기 클라이언트의 사용자 아이디에 해당하는 검증자를 상기 서버의 데이터 베이스에서 검색하는 단계; (c) 상기 검색된 검증자를 연산하여 제 1 연산값을 생성하는 단계; (d) 상기 제 1 연산값을 상기 세션 키로 암호화하여 생성한 제 2 암호값을 상기 클라이언트로 송신하는 단계; (e) 상기 클라이언트로부터, 상기 제 2 암호값을 기초로 생성된 제 2 연산값을 상기 세션 키로 암호화한 제 3 암호값을 수신한 후, 상기 세션 키를 이용하여 복호하는 단계; 및 (f) 상기 복호된 제 2 연산값을 검증하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the password-based authentication method in the server of the system having a multi-authentication means according to the present invention, (a) a server in a system having a multi-authentication means and through the server authentication client authentication When a user who has completed the authentication process selects a password-based authentication means and attempts to authenticate, the server generates a first password value after encrypting a user ID of the client with the session key, and then generates the server authentication process. Decrypting using the session key; (b) retrieving a validator corresponding to a user ID of the client from a database of the server; (c) generating a first operation value by operating the retrieved verifier; (d) transmitting a second encryption value generated by encrypting the first operation value with the session key to the client; (e) receiving a third encryption value obtained by encrypting a second operation value generated based on the second encryption value with the session key from the client, and then decrypting the data using the session key; And (f) verifying the decoded second operation value.

바람직하게는, 상기 검증자는 상기 클라이언트의 패스워드를 해시 연산한 값을 이용하여 생성되어, 상기 클라이언트의 사용자 아이디와 함께 상기 서버의 데이터 베이스에 미리 저장되어 있는 값이다.Preferably, the verifier is a value generated using a hashed value of the client's password, and is previously stored in the database of the server together with the user ID of the client.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 서버에서의 생체 정보 기반 인증 방법은, (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계; (b) 상기 암호값을 복호하여 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 추출하는 단계; (c) 상기 추출된 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 이용하여 사용자의 생체 정보인 제 1 생체 정보를 계산하는 단계; 및 (d) 상기 계산된 제 1 생체 정보가 상기 서버의 데이터 베이스에 미리 저장된 정보와 일치하는지 여부를 검증하는 단계;를 포함한다.In addition, in order to achieve the above technical problem, the biometric information-based authentication method in the server of the system with multiple authentication means according to the present invention, (a) in a system having multiple authentication means and through the server authentication client authentication When a user who has completed the server authentication process selects a password-based authentication means and attempts to authenticate, the client encrypts the information used in the biometric information-based authentication means with the session key generated in the server authentication process. Receiving; (b) extracting information used in the biometric information-based authentication means by decoding the encryption value; (c) calculating first biometric information, which is biometric information of a user, using the information used in the extracted biometric information-based authentication means; And (d) verifying whether the calculated first biometric information matches information previously stored in a database of the server.

바람직하게는, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디; 및 상기 클라이언트의 사용자 아이디 및 상기 제 1 생체 정보를 이용하여 생성한 제 2 생체 정보;를 포함한다.Preferably, the information used in the biometric information-based authentication means, the index ID corresponding one-to-one with the user ID of the client; And second biometric information generated using the user ID of the client and the first biometric information.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 클라이언트는, 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 서버 인증부; 클라이언트의 인증에 사용될 인증 수단을 선택하는 인증 수단 선택부; 및 상기 선택된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 클라이언트 인증 요청부;를 포함한다.Further, in order to achieve the above technical problem, the client for integrated authentication of a system having multiple authentication means according to the present invention authenticates the server's signature based on the server's public key certificate, and based on the signature, A server authentication unit generating a session key equal to a value of the server; An authentication means selection unit for selecting an authentication means to be used for authentication of the client; And a client authentication request unit for requesting authentication of the client by encrypting the information used for the selected authentication means with the session key.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 서버는, 인증 절차를 시작을 요청하는 클라이언트에게 서버의 공개키 인증서를 기초로 한 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 서버 요청 인증부; 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 인증 수단 확인부; 및 상기 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 세션 키로 복호하여 상기 클라이언트를 인증하는 클라이언트 인증부;를 포함한다.In addition, the server for integrated authentication of the system with multiple authentication means according to the present invention for achieving the above technical problem, the authentication of the signature based on the server's public key certificate to the client requesting to start the authentication procedure A server request authentication unit for requesting a request and generating a session key equal to a value of the client based on the signature; An authentication means confirmation unit for confirming an authentication means to be used for authentication of the client; And a client authentication unit for authenticating the client by decrypting an encryption value obtained by encrypting the information used in the verified authentication means with the session key with the session key.

또한 상기와 같은 기술적 과제를 달성하기 위한, 본 발명에 따르는 다중 인증 수단을 가진 통합 인증 시스템은, 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 서버 인증부; 클라이언트의 인증에 사용될 인증 수단을 선택하는 인증 수단 선택부; 및 상기 선택된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 클라이언트 인증 요청부;를 포함하는 클라이언트와, 인증 절차를 시작을 요청하는 상기 클라이언트에게 상기 서버의 공개키 인증서를 기초로 한 상기 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 서버 인증 요청부; 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 인증 수단 확인부; 및 상기 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 세션 키로 복호하여 상기 클라이언트를 인증하는 클라이언트 인증부;를 포함하는 인증 서버,를 포함한다.In addition, in order to achieve the above technical problem, the integrated authentication system having multiple authentication means according to the present invention, the server's public key certificate to authenticate the signature of the server, based on the signature A server authentication unit generating a session key equal to the value; An authentication means selection unit for selecting an authentication means to be used for authentication of the client; And a client authentication request unit for encrypting the information used for the selected authentication means with the session key to request authentication of the client, and a public key certificate of the server to the client requesting to start an authentication procedure. A server authentication request unit for requesting authentication of the signature based on the request and generating a session key equal to a value of the client based on the signature; An authentication means confirmation unit for confirming an authentication means to be used for authentication of the client; And a client authentication unit for decrypting the encryption value obtained by encrypting the information used in the verified authentication means with the session key with the session key to authenticate the client.

이하에서, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.

도 1은 본 발명의 일실시예에 따른 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법을 나타낸 흐름도이고, 도 2는 본 발명의 일실시예에 따른 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법을 나타낸 흐름도이다.1 is a flowchart illustrating a method for integrated authentication in a client of a system having multiple authentication means according to an embodiment of the present invention, and FIG. 2 is a diagram of a server of a system having multiple authentication means according to an embodiment of the present invention. This is a flowchart showing the integrated authentication method.

도 1 및 도 2를 참조하면, 본 발명은 우선 서버 인증(server authentication) 과정을 수행하고, 서버 인증 과정에서 생성된 세션 키(session key)를 이용하여 각 인증 수단에 적합한 클라이언트 인증(client authentication)을 수행하는 것을 알 수 있다.1 and 2, the present invention first performs a server authentication (client) authentication process, using a session key generated in the server authentication process (client authentication) suitable for each authentication means It can be seen that

도 1을 참조하면, 본 발명의 따른 클라이언트에서의 통합 인증 방법은, 서버 인증 단계(S110), 클라이언트 인증 수단 선택 단계(S120), 클라이언트 인증 요청 단계(S130)를 포함한다.Referring to FIG. 1, the integrated authentication method in the client according to the present invention includes a server authentication step S110, a client authentication means selection step S120, and a client authentication request step S130.

더욱 상세하게는, 우선 클라이언트는 서버의 공개키 인증서(public key certificate)를 기초로 서버의 서명(signature)을 인증하고, 이 서명을 기초로 서버가 가진 값과 동일한 세션 키를 생성한다(S110). 바람직하게는, 세션 키는, 서명의 인증을 위해 교환되는 디피-헬먼 (Diffie-Hellman) 공개값을 이용하여 생성된다. 서버 인증 단계에 대하여는 도 3에서 더욱 상세히 설명한다.More specifically, first, the client authenticates the server's signature based on the server's public key certificate, and generates a session key equal to the value of the server based on the signature (S110). . Preferably, the session key is generated using Diffie-Hellman public values that are exchanged for authentication of the signature. The server authentication step will be described in more detail with reference to FIG. 3.

다음으로, 클라이언트를 통하여 인증을 시도하는 사용자는 클라이언트의 인증에 사용될 인증 수단을 선택한다(S120). 바람직하게는, 선택할 수 있는 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상이다. Next, the user attempting to authenticate through the client selects an authentication means to be used for authentication of the client (S120). Preferably, the selectable authentication means is at least one of a certificate based authentication means, a password based authentication means and a biometric information based authentication means.

다음으로는, 앞서 선택된 인증 수단에 사용되는 정보들을 서버 인증 과정에서 생성된 세션 키로 암호화하여 서버에게 클라이언트의 인증을 요청한다(S130). 이때, 사용자가 선택한 인증 수단에 적합하게 클라이언트 인증 과정을 수행한다. 각 인증 수단에 따른 인증 과정(S131 내지 S133)은 후술할 해당 수단에 대한 도면의 설명을 참조한다. Next, the server authenticates the client by encrypting the information used for the previously selected authentication means with the session key generated in the server authentication process (S130). At this time, the client authentication process is performed according to the authentication means selected by the user. For the authentication process (S131 to S133) according to each authentication means refer to the description of the drawings for the corresponding means to be described later.

마지막으로 클라이언트의 인증이 완료되면, 기존의 세션 키 K를 폐기하고, 새로운 인증 절차에 사용되는 데이터 보호를 위한 새로운 세션 키 SK를 재생성하는 단계(S140)을 더 포함할 수 있다. 더욱 상세하게는, 클라이언트 인증 과정이 모두 끝나면, 인증 후 일어나는 서비스 데이터를 보호하기 위하여 새로운 서비스 데이터 보호용 키를 다음과 같이 생성하고, 인증 과정에 사용되던 세션 키 K는 폐기한다.Finally, when the authentication of the client is completed, the method may further include a step (S140) of discarding the existing session key K and regenerating a new session key SK for data protection used in the new authentication procedure. More specifically, when the client authentication process is completed, a new service data protection key is generated as follows to protect the service data occurring after authentication, and the session key K used in the authentication process is discarded.

SK = Hash(clientID, K)SK = Hash (clientID, K)

즉, 클라이언트의 사용자 아이디인 'clientID'와 기존의 세션 키 K를 해시 연산하여 새로운 세션 키 SK를 얻을 수 있다.That is, a new session key SK can be obtained by hashing the client user ID 'clientID' and the existing session key K.

도 2을 참조하면, 본 발명의 따른 서버에서의 통합 인증 방법은, 서버 인증 요청 단계(S210), 클라이언트 인증 수단 확인 단계(S220), 클라이언트 인증 단계(S230)를 포함한다.2, the integrated authentication method in the server according to the present invention includes a server authentication request step S210, a client authentication means checking step S220, and a client authentication step S230.

더욱 상세하게는, 우선 인증 절차 시작을 요청하는 클라이언트에게 서버의 공개키 인증서를 기초로 한 서명의 인증을 요청하고, 이 서명을 기초로 클라이언트가 가진 값과 동일한 세션 키를 생성한다(S210). 바람직하게는 이 세션 키는, 서명의 인증을 위해 교환되는 디피-헬먼(Diffie-Hellman) 공개값을 이용하여 생성된다. 서버 인증 요청 단계에 대하여는 도 3에서 더욱 상세히 설명한다.More specifically, first, the client requesting the start of the authentication procedure is requested to authenticate the signature based on the public key certificate of the server, and the same session key is generated based on the signature (S210). Preferably this session key is generated using a Diffie-Hellman public value that is exchanged for authentication of the signature. The server authentication request step will be described in more detail with reference to FIG. 3.

다음으로 클라이언트의 인증에 사용될 인증 수단을 확인한다(S220). 바람직하게는 확인된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상이다.Next, check the authentication means to be used for authentication of the client (S220). Preferably the verified authentication means is at least one of a certificate based authentication means, a password based authentication means and a biometric information based authentication means.

다음으로 확인된 인증 수단에 사용되는 정보들을 세션 키로 암호화한 암호값 을 생성된 세션 키로 복호하여 클라이언트를 인증한다(S230). 이때, 사용자가 선택한 인증 수단에 적합하게 클라이언트 인증 과정을 수행한다. 각 인증 수단에 따른 인증 과정(S231 내지 S233)은 후술할 해당 수단에 대한 도면의 설명을 참조한다. Next, the client authenticates the client by decrypting the cipher value encrypted with the session key with the information used in the verified authentication means with the generated session key (S230). At this time, the client authentication process is performed according to the authentication means selected by the user. The authentication process (S231 to S233) according to each authentication means refers to the description of the drawings for the corresponding means to be described later.

마지막으로 클라이언트의 인증이 완료되면, 기존의 세션 키 K를 폐기하고, 새로운 인증 절차에 사용되는 데이터 보호를 위한 새로운 세션 키 SK를 재생성하는 단계(S240)을 더 포함할 수 있다. 이에 대한 설명은 클라이언트에서와 같다.Finally, when the authentication of the client is completed, the method may further include a step (S240) of discarding the existing session key K and regenerating a new session key SK for data protection used in the new authentication procedure. This is the same as for the client.

이상의 실시예에서 서버 인증이 이루어진 후에 인증 수단의 선택이 이루어지는 예를 설명하였으나, 인증 수단의 선택이 먼저 이루어진 후 서버 인증이 이루어 지는 것도 가능하다. 이 경우는 후술할 서버 인증 과정에서 클라이언트가 시작 메시지와 함께 자신의 인증 수단을 통지하는 방법이 사용될 수 있다. In the above embodiment, the example in which the authentication means is selected after the server authentication has been described has been described. However, the server authentication may be performed after the authentication means is first selected. In this case, a method of notifying the authentication means of the client with the start message may be used in the server authentication process to be described later.

도 3은 본 발명의 일실시예에 따른 서버 인증 과정을 나타낸 도면이다. 한편 이하의 도면에서 "mod p"를 표시하지 않더라도 모든 디피-헬먼 공개값, 세션 키, 검증자 및 연산값은 모듈러(modular) p 상에서 이루어지는 것이다.3 is a diagram illustrating a server authentication process according to an embodiment of the present invention. On the other hand, even if "mod p" is not shown in the following drawings, all Diffie-Hell public values, session keys, verifiers and operation values are made on modular p.

도 3을 참조하면, 클라이언트는 서버에게 인증 프로토콜을 시작을 알리는 시작 메시지 'Hello_Server'를 보낸다(S301). 시작 메시지를 수신하면, 서버는 난수 발생기를 통하여 난수(random number)인 쿠키(cookie) 'CookieB'를 생성한다(S302). 그리고 서버는 시작 메시지에 대한 응답 메시지 'Hello_Client'와 'CookieB'를 클라이언트에게 보내고, 'CookieB'를 잠시 저장해 둔다(S303). Referring to FIG. 3, the client sends a start message 'Hello_Server' informing the server to start the authentication protocol (S301). Upon receiving the start message, the server generates a cookie 'Cookie B ' which is a random number through a random number generator (S302). The server sends a response message 'Hello_Client' and 'Cookie B ' to the client and stores 'Cookie B ' for a while (S303).

클라이언트는 수신한 서버의 'CookieB'를 그대로 복사해두고, 안전한 큰 소 수(prime number) p (p = 2q + 1, q 도 역시 큰 소수)를 가지는 갈로아(Galoa) 필드 GF(p)상에서 0 < x < p - 2 인 클라이언트 측 비밀 정수(secrete integer) x 를 선택하여 클라이언트 측 디피-헬먼(Diffie-Hellman) 공개값인 'gx mod p' 를 계산한다(S304). 이때 g 는 GF(p)상의 원시원소(generator)이다. 클라이언트는 복사해 둔 'CookieB'와 'gx mod p'를 서버에게 전송한다(S305). The client makes a copy of 'Cookie B ' of the received server as it is, and the Galoa field GF (p) has a secure prime number p (p = 2q + 1, q is also a large prime). A client side secrete integer x of 0 <x <p − 2 is selected on the client to calculate 'g x mod p', which is a client side Diffie-Hellman public value (S304). Where g is a generator on GF (p). The client transmits the copied 'Cookie B ' and 'g x mod p' to the server (S305).

이러한 쿠키 교환 과정은 클라이언트의 서비스 거부 공격(Denial of Service)의 일종인 세션 범람 공격(session flooding attack)을 막기 위한 것이다. 본 발명의 인증 과정이 클라이언트의 인증 없이 서버 인증이 먼저 일어나는 구조이므로, 클라이언트를 가장한 공격자가 세션 범람 공격을 하여 서버의 자원이나 파워를 소모시킬 수 있다. 따라서, 클라이언트가 그냥 세션 범람 공격을 하지 못하고 서버가 제공하는 쿠키를 받아서 다음 라운드에 포함하도록 함으로써, 프로토콜에 강제적으로 참여하도록 하는 것이다. 이렇게 함으로서 어느 정도의 세션 범람 공격을 예방할 수 있는 효과를 가진다.This cookie exchange process is to prevent a session flooding attack, which is a kind of denial of service of the client. Since the authentication process of the present invention is a structure in which server authentication occurs first without client authentication, an attacker who impersonates the client may consume a resource or power of a server by performing a session flood attack. Thus, the client is forced to participate in the protocol by not accepting the session overflow attack but accepting the cookie provided by the server and including it in the next round. This has the effect of preventing some of the session flooding attacks.

서버는 수신한 'CookieB'가 자신이 보낸 'CookieB'가 맞는지 검증하고(S306), 0 < y < p - 2 인 서버측 비밀 정수 y 를 선택하여 서버 측 디피-헬먼 공개값인 'gy mod p'를 계산한다(S307). 그리고, 서버는 이미 알고 있는 값들을 해시(hash) 연산하여 해시 값 'Hash(serverID, gx, gy)'를 구하고, 이 해시 값을 자신 의 공개키 인증서인 'CertB'에 해당하는 자신의 비밀키로 서명하여 생성한 서명 'SIGB{Hash(serverID, gx, gy)}'를 생성한다(S308). 그리고 서버는 클라이언트가 어떤 인증 수단을 원하는지를 묻는 질의(query) 'REQ_AUTH'와 함께 'CertB', 'gy' 및 'SIGB{Hash(serverID, gx, gy)}'를 클라이언트에게 전송한다(S309). 그리고, 알고 있는 값 y 및 'gx mod p'를 이용하여 다음 식을 이용하여 세션 키 K를 계산한다(S310).The server is a 'Cookie B' that it has sent 'Cookie B' is verified, and (S306) is correct, 0 <y <p received-2 by selecting the server-side secret integer y server side Diffie-in 'g Hellman public value Calculate y mod p '(S307). Then, the server hashes the known values to obtain the hash value 'Hash (serverID, g x , g y )', and uses this hash value as its own value corresponding to 'Cert B ', its public key certificate. A signature 'SIG B {Hash (serverID, g x , g y )}' generated by signing with the private key of S is generated (S308). The server then sends the client 'Cert B ', 'g y ', and 'SIG B {Hash (serverID, g x , g y )}' to the client with the query 'REQ_AUTH' asking what authentication method the client wants. It transmits (S309). Then, using the known value y and 'g x mod p' to calculate the session key K using the following equation (S310).

K = gxy mod pK = g xy mod p

클라이언트는 서버의 메시지를 받으면 서버의 공개키 인증서 'CertB'를 이용하여 서명 'SIGB{Hash(serverID, gx, gy)}'를 검증한다(S311). 서명이 정당하면, 서버와 마찬가지로 자신이 선택한 비밀 정수 x 및 서버가 보내온 'gy mod p'를 이용하여 다음과 같이 서버와 동일한 식을 이용하여 세션 키 K를 계산한다(S312).When the client receives the message from the server, the client verifies the signature 'SIG B {Hash (serverID, g x , g y )}' using the server's public key certificate 'Cert B ' (S311). If the signature is valid, the session key K is calculated using the same formula as the server using the secret integer x selected by the server and 'g y mod p' sent by the server as in the following case (S312).

K = gxy mod pK = g xy mod p

이상의 과정에서 클라이언트는 서버를 인증하면서 서버와 세션 키 K를 공유하게 된다. In the above process, the client authenticates the server and shares the session key K with the server.

이상의 서버 인증 과정을 서버와 클라이언트의 측면에서 각각 살펴본다.The server authentication process will be described in terms of server and client, respectively.

우선 서버 인증 과정을 수행하는 클라이언트에서의 인증 과정은, 서버에게 인증 프로토콜을 시작하는 시작 메시지를 송신하는 단계, 서버로부터 상기 시작 메시지에 대한 응답 메시지 및 난수 발생기를 통하여 생성된 쿠키(Cookie)를 수신하는 단계, 클라이언트 측 디피-헬먼 공개값을 계산하여 수신한 쿠키와 함께 서버로 송신하는 단계, 서버로부터, 서버 측 디피-헬먼 공개값을 포함하여 서명된 서명을 수신하여 검증하는 단계, 및 클라이언트 측 디피-헬먼 공개값을 계산하는데 사용된 클라이언트 측 비밀 정수 및 서버 측 디피-헬먼 공개값을 기초로 세션 키를 생성하는 단계를 포함한다.First, the authentication process in the client performing the server authentication process includes transmitting a start message for starting the authentication protocol to the server, receiving a response message to the start message and a cookie generated by the random number generator from the server. Calculating and transmitting a client-side Diffie-Hellman public value to the server with the received cookie, receiving and verifying a signed signature from the server, including the server-side Diffie-Hellman public value, and client side Generating a session key based on the client-side secret integer and the server-side Diff-Hellman public value used to calculate the Diffie-Hellman public value.

그리고 서버 인증 과정을 수행하는 서버에서의 인증 과정은, 클라이언트로부터, 인증 프로토콜을 시작하는 시작 메시지를 수신하는 단계, 시작 메시지에 대한 응답 메시지 및 난수 발생기를 사용하여 생성한 쿠키(Cookie)를 클라이언트로 송신하는 단계, 클라이언트로부터, 클라이언트 측 디피-헬먼 공개값 및 상기 클라이언트가 재전송한 쿠키를 수신하여 재전송된 쿠키를 검증하는 단계, 서버의 공개키 인증서를 기초로, 서버 측 디피-헬먼 공개값을 포함하는 서명을 생성한 후, 클라이언트로 송신하여 서버 인증을 요청하는 단계, 및 서버 측 디피-헬먼 공개값을 계산하는데 사용된 서버 측 비밀 정수 및 클라이언트 측 디피-헬먼 공개값을 기초로 세션 키를 생성하는 단계를 포함한다.The authentication process in the server performing the server authentication process includes receiving a start message from the client, which starts the authentication protocol, a response message to the start message, and a cookie generated by using a random number generator. Transmitting, receiving, from the client, a client-side Diff-Hell public value and receiving the cookie resent by the client to verify the re-sent cookie, based on the server's public key certificate, the server-side Diff-Hell public value Generating a signature, and sending it to the client to request server authentication, and generating a session key based on the server-side secret integer and the client-side Diff-Hellman public value used to calculate the server-side Diffy-Hellman public value. It includes a step.

서버 인증 과정이 끝나면 클라이언트는 자신이 선호하는 인증 수단을 선택하여 클라이언트 인증 과정을 수행한다. 지금부터는 각 인증 수단별 클라이언트 인증 과정의 실시예들을 살펴본다.After the server authentication process is completed, the client selects its preferred authentication method and performs the client authentication process. The following describes the embodiments of the client authentication process for each authentication means.

도 4는 본 발명의 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서의 인증서 기반의 클라이언트 인증 방법을 나타낸 도면이다. 즉, 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 인증서 기반의 인증 수단을 선택하여 클라이언트의 인증을 수행하는 방법을 나타낸 것이다. 이때 클라이언트와 서버는 이미 서버 인증 과정 중에서 협상한 세션 키 K를 알고 있다.4 is a diagram illustrating a certificate-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention. In other words, in a system having multiple authentication means and undergoing server authentication, a user who has completed the server authentication process selects a certificate-based authentication means to perform client authentication. At this point, the client and server already know the session key K negotiated during the server authentication process.

도 4를 참조하면, 먼저 클라이언트는 자신의 사용자 아이디(ID)인 'clientID'와 서버 인증 과정에서 수신한 서버 측 디피-헬만 공개값 'gy mod p'를 해시 연산하여 해시값 'Hash(clientID, gy)'을 얻은 후, 이 해시값을 자신의 개인키로 서명하여 서명 'SIGA{Hash(clientID, gy)'를 생성한다(S401). 그리고 'clientID', 클라이언트의 공개키 인증서 'CertA', 및 서명 'SIGA{Hash(clientID, gy)'을 세션 키 K로 암호화하여 암호값 'ENCK[ID, CertA, SIGA{Hash(clientID, gy)}]'를 생성한다(S402). 그리고, 자신이 선택한 인증 수단이 인증서 기반의 인증 수단임을 가리키는 'CERT' 메시지와 함께 'clientID', 'CertA', 및 암호값 'ENCK[ID, CertA, SIGA{Hash(clientID, gy)}]'을 서버에게 송신한다(S403). Referring to FIG. 4, a client first hashes a hash value 'Hash (clientID) by hashing a server-side Diffie-Hellman public value' g y mod p 'received during server authentication. , g y ) ', and then sign this hash value with its private key to generate a signature' SIG A {Hash (clientID, g y ) '(S401). And 'clientID', the public key certificate of the client 'Cert A', and a sign 'SIG A {Hash (clientID, g y)' by encrypting the session key K encrypted value 'ENC K [ID, Cert A , SIG A { Hash (clientID, g y )}] 'is generated (S402). Then, the message 'clientID', 'Cert A ', and password 'ENC K [ID, Cert A , SIG A {Hash (clientID, g y )}] 'is transmitted to the server (S403).

서버는 메시지를 받으면 'CERT' 메시지로부터 인증서를 이용한 클라이언트 인증을 수행해야 한다는 사실을 알게 되며, 세션 키 K로 'ENCK[ID, CertA, SIGA{Hash(clientID, gy)}]'를 복호한다(S404). 그리고, 복호된 정보에서 클라이언트의 서명 SIGA{Hash(clientID, gy)}을 추출하여(S405), 함께 추출된 'CertA'를 이용하여 서명을 검증한다(S406). 서명에 이상이 없으면, 인증 성공을 알리는 인증 성공 메시지 'SUCCESS'를 생성하여(S407) 클라이언트에게 보낸다(S408). The server is aware of the fact that receiving the message must perform client authentication by using a certificate from 'CERT' message, the session key K to the 'ENC K [ID, Cert A , SIG A {Hash (clientID, g y)}]' Decode (S404). Then, the signature SIG A {Hash (clientID, g y )} of the client is extracted from the decoded information (S405), and the signature is verified using the extracted 'Cert A ' (S406). If there is no abnormality in the signature, an authentication success message 'SUCCESS' indicating the authentication success is generated (S407) and sent to the client (S408).

클라이언트는 'SUCCESS'를 수신함으로써 자신이 서버에게 인증되었음을 알 수 있다.The client knows that it is authenticated to the server by receiving 'SUCCESS'.

이상의 인증서 기반의 클라이언트의 인증 과정을 서버와 클라이언트의 측면에서 각각 살펴본다.The authentication process of the certificate-based client will be described in terms of the server and the client, respectively.

우선 인증서 기반의 클라이언트에서의 인증 과정은, 인증서 기반의 인증 수단에서 사용되는 정보들을 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계, 및 인증 수단이 인증서 기반의 인증 수단인 것을 알리는 메시지 및 암호값을 서버로 전송하는 단계를 포함한다.First, the authentication process in the certificate-based client includes: generating a password value by encrypting information used in the certificate-based authentication means with a session key generated in the server authentication process, and notifying that the authentication means is a certificate-based authentication means. Sending the message and the password value to the server.

그리고 인증서 기반의 서버에서의 인증 과정은, 클라이언트로부터, 인증서 기반의 인증 수단에서 사용되는 정보들을 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계, 암호값을 세션 키로 복호하여 클라이언트의 개인키로 서명한 서명을 추출하는 단계, 및 추출된 서명을 클라이언트의 공개키로 검증하는 단계를 포함한다.The authentication process in the certificate-based server may include receiving, from the client, an encryption value obtained by encrypting information used in the certificate-based authentication means with a session key generated in the server authentication process, decrypting the encryption value with the session key, Extracting the signature signed with the private key, and verifying the extracted signature with the public key of the client.

서버와 클라이언트 모두에 있어서, 바람직하게는, 인증서 기반의 인증 수단에서 사용되는 정보들은, 클라이언트의 사용자 아이디(ID), 클라이언트의 공개키 인증서, 및 클라이언트의 개인키로 서명한 서명을 포함한다. 바람직하게는, 서명은 클라이언트의 사용자 아이디 및 서버 측 디피-헬먼 공개값을 해시 연산하여 얻은 해쉬값을, 클라이언트의 개인키로 서명한 값이다. 바람직하게는, 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디를 클라이언트의 사용자 아이디 대신 전송하여, 사용자 아이디를 노출하지 않도록 한다. 바람직하게는, 인증되었음을 알리는 인증 성공 메시지를 서버와 클라이언트가 송신/수신하는 단계를 더 포함한다.For both the server and the client, preferably, the information used in the certificate-based authentication means includes a client's user ID (ID), the client's public key certificate, and a signature signed with the client's private key. Preferably, the signature is a value obtained by hashing a hash value obtained by hashing the user ID of the client and the server-side Diffie-Hell public value with the private key of the client. Preferably, the index ID corresponding to the user ID of the client is transmitted instead of the user ID of the client so that the user ID is not exposed. Preferably, the method further includes the step of transmitting / receiving an authentication success message indicating that the server and the client are authenticated.

도 5는 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서의 패스워드 기반의 클라이언트 인증 방법을 나타낸 도면이다. 즉, 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 클라이언트의 인증을 수행하는 방법을 나타낸 것이다. 이때 클라이언트와 서버는 이미 서버 인증 과정 중에서 협상한 세션 키 K를 알고 있다.5 is a diagram illustrating a password-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention. In other words, in a system having multiple authentication means and server authentication, the user who has completed the server authentication process selects a password-based authentication means to perform client authentication. At this point, the client and server already know the session key K negotiated during the server authentication process.

도 5를 참조하면, 본 발명에 따른 인증 프로토콜의 수행에 앞서 먼저 클라이언트와 서버 사이에 패스워드를 설정하기 위한 패스워드 설정(set up)이 필요하다. 이것은 인증 프로토콜의 수행 전에 미리 설정되어 있어야 한다. 즉, 클라이언트는 서버와의 패스워드 설정을 위해 패스워드 P의 해시값 'Hash(P)'를 구하고, 검증자 V를 아래의 식과 같이 계산하여 자신의 사용자 아이디 'clientID'와 함께 서버에 안전하게 등록해 두어야 한다.Referring to FIG. 5, a password set up for setting a password between a client and a server is required before performing an authentication protocol according to the present invention. This must be set in advance before performing the authentication protocol. In other words, the client should obtain the hash value 'Hash (P)' of the password P to set the password with the server, calculate the verifier V as shown below, and securely register it with the user ID 'clientID' on the server. do.

V = g- Hash (P) mod pV = g - Hash (P) mod p

이제 패스워드 기반의 클라이언트 인증 과정을 위해, 클라이언트는 먼저 세션 키 K로 자신의 'clientID'를 암호화하여 제 1 암호값 'ENCK[clientID]'를 생성한다(S501). 그리고 제 1 암호값을 패스워드 기반의 클라이언트 인증임을 알리는 'PWD' 메시지와 함께 서버로 보낸다(S502). Now, for the password-based client authentication process, the client first encrypts its 'clientID' with the session key K to generate a first encryption value 'ENC K [clientID]' (S501). The first password value is transmitted to the server together with a 'PWD' message indicating that the password-based client authentication is performed (S502).

서버는 제 1 암호값 'ENCK[clientID]'를 세션 키 K로 복호화하여(S503) 'clientID'에 해당하는 검증자 V를 자신의 데이터베이스에서 검색한다(S504). 해당 클라이언트의 검증자가 검색되면, 0 < r < p - 2인 임의의 r값을 선택하여 다음의 식에 의하여 제 1 연산값 X를 계산한다(S505).The server decrypts the first cipher value 'ENC K [clientID]' with the session key K (S503) and retrieves the verifier V corresponding to 'clientID' from its database (S504). When the validator of the corresponding client is found, an arbitrary r value of 0 <r <p − 2 is selected, and the first operation value X is calculated using the following equation (S505).

X ≡ g- Hash (P)·r ≡ Vr mod pX ≡ g - Hash (P) r ≡ V r mod p

그리고 제 1 연산값 X를 K로 암호화하여 제 2 암호값 'ENCK[X]'를 생성하여(S506), 클라이언트로 전송한다(S507). The first operation value X is encrypted with K, and a second encryption value 'ENC K [X]' is generated (S506) and transmitted to the client (S507).

클라이언트는 제 2 암호값 'ENCK[X]'를 복호화하고(S508), 아래의 식에 의하여 제 2 연산값 Y를 계산한다(S509).The client decrypts the second cipher value 'ENC K [X]' (S508), and calculates the second operation value Y according to the following equation (S509).

Y ≡ gr ≡ XHash (P) mod p Y ≡ g r ≡ X Hash (P) mod p

그리고 제 2 연산값 Y를 K로 암호화하여 제 3 암호값 'ENCK[Y]'를 생성하여(S510), 서버로 보낸다(S511). The second operation value Y is encrypted with K, and a third encryption value 'ENC K [Y]' is generated (S510) and sent to the server (S511).

서버는 제 3 암호값 'ENCK[Y]'를 복호화한 후(S512), 자신이 선택한 제 1 연산값 X를 계산하기 위하여 선택했던 r값으로 계산한 'gr mod p' 값과 복호된 제 2 연산값 Y가 일치하는지를 검사한다(S513). 만일 일치하면 인증 성공을 알리는 인증 성공 메시지 'SUCCESS'를 생성하여(S514), 클라이언트에게 보낸다(S515). After decrypting the third cipher value 'ENC K [Y]' (S512), the server decodes the value of 'g r mod p', which is calculated from the value r selected to calculate the first operation value X selected by the server. It is checked whether the second operation value Y matches (S513). If there is a match, an authentication success message 'SUCCESS' indicating an authentication success is generated (S514) and sent to the client (S515).

클라이언트는 'SUCCESS'를 수신함으로써 자신이 서버에게 인증되었음을 알 수 있다.The client knows that it is authenticated to the server by receiving 'SUCCESS'.

이상의 패스워드 기반의 클라이언트의 인증 과정을 서버와 클라이언트의 측면에서 각각 살펴본다.The above-mentioned password-based client authentication process will be examined in terms of server and client, respectively.

우선 패스워드 기반의 클라이언트에서의 인증 과정은, 인증 수단이 패스워드 기반의 인증 수단인 것을 알리는 메시지, 및 클라이언트의 사용자 아이디를 서버 인증 과정에서 생성한 세션 키로 암호화한 제 1 암호값을 생성하여 서버로 전송하는 단계, 서버로부터, 클라이언트의 사용자 아이디에 해당하는 검증자를 연산하여 얻은 제 1 연산값을 세션 키로 암호화한 제 2 암호값을 수신하는 단계, 및 제 2 암호값을 복호하여 얻은 제 1 연산값을 이용하여 연산한 제 2 연산값을 세션 키로 암호화한 제 3 암호값을 생성하여 서버로 전송하는 단계를 포함한다.First, the authentication process in the password-based client generates a message informing that the authentication means is a password-based authentication means, and generates a first password value encrypted with the session key generated in the server authentication process to the server. Receiving a second encryption value obtained by encrypting a first operation value obtained by calculating a validator corresponding to a user ID of a client with a session key, and decrypting the second encryption value by the server. And generating a third encryption value obtained by encrypting the second operation value calculated using the session key and transmitting the same to the server.

그리고 패스워드 기반의 서버에서의 인증 과정은, 클라이언트로부터, 클라이언트의 사용자 아이디를 세션 키로 암호화한 제 1 암호값을 수신한 후, 서버 인증 과정에서 생성된 세션 키를 이용하여 복호하는 단계, 클라이언트의 사용자 아이디에 해당하는 검증자를 서버의 데이터 베이스에서 검색하는 단계, 검색된 검증자를 연산하여 제 1 연산값을 생성하는 단계, 제 1 연산값을 세션 키로 암호화하여 생성한 제 2 암호값을 클라이언트로 송신하는 단계, 클라이언트로부터, 제 2 암호값을 기초로 생성된 제 2 연산값을 세션 키로 암호화한 제 3 암호값을 수신한 후, 세션 키를 이용하여 복호하는 단계, 및 복호된 제 2 연산값을 검증하는 단계를 포함한다. 바람직하게는, 복호된 제 2 연산값 Y 가 임의로 선택된 값 r 으로 계산한 gr mod p 값과 일치하는지 여부를 확인하여 제 2 연산값 Y 를 검증한다.The authentication process in the server based on the password may include decrypting, using the session key generated in the server authentication process after receiving, from the client, a first encryption value obtained by encrypting the user ID of the client with the session key. Retrieving a validator corresponding to the ID from a database of the server, generating a first calculated value by operating the retrieved validator, and transmitting a second encrypted value generated by encrypting the first calculated value with a session key to the client. Receiving a third encryption value obtained by encrypting the second operation value generated based on the second encryption value with the session key from the client, and then decrypting using the session key, and verifying the decrypted second operation value. Steps. Preferably, the second computed value Y is verified by checking whether the decoded second computed value Y matches the value of g r mod p calculated with the arbitrarily selected value r.

서버와 클라이언트 모두에 있어서, 바람직하게는, 검증자는 클라이언트의 패스워드를 해시 연산한 값을 이용하여 생성되어, 클라이언트의 사용자 아이디와 함께 서버의 데이터 베이스에 미리 저장되어 있는 값이다. 바람직하게는, 안전한 소수 p를 가지는 갈로아 필드 상의 원시 원소(generator)를 g, 상기 클라이언트의 패스워드 P를 해시 연산한 값을 Hash(P) 라고 할 때, 검증자 V 는 V = g- Hash (P) mod p 이다. 바람직하게는, 0 < r < p-2 를 만족하도록 임의로 선택된 값을 r 이라고 할 때, 제 1 연산값 X 는 X ≡ g - Hash (P) · r ≡ Vr mod p 이고, 제 2 연산값 Y 는 Y ≡ gr ≡ XHash (P) mod p 이다. 바람직하게는, 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디를 클라이언트의 사용자 아이디 대신 전송하여, 사용자 아이디를 노출하지 않도록 한다. 바람직하게는, 인증되었음을 알리는 인증 성공 메시지를 서버와 클라이언트가 송신/수신하는 단계를 더 포함한다.For both the server and the client, preferably, the verifier is a value generated using a hashed value of the client's password and stored in advance in the server's database along with the client's user ID. Preferably, when the generator g on the Galloa field with a safe prime number p and the hashed value of the client's password P are Hash (P), the verifier V is V = g - Hash ( P) mod p. Preferably, when a value arbitrarily selected to satisfy 0 <r <p-2 is r, the first operation value X is X ≡ g - Hash (P) r ≡ V r mod p, and the second operation value Y is Y ≡ g r ≡ X Hash (P) mod p. Preferably, the index ID corresponding to the user ID of the client is transmitted instead of the user ID of the client so that the user ID is not exposed. Preferably, the method further includes the step of transmitting / receiving an authentication success message indicating that the server and the client are authenticated.

도 6은 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 시스템에서 의 생체 정보 기반의 클라이언트 인증 방법을 나타낸 도면이다. 즉, 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 생체 정보 기반의 인증 수단을 선택하여 클라이언트의 인증을 수행하는 방법을 나타낸 것이다. 이때 클라이언트와 서버는 이미 서버 인증 과정 중에서 협상한 세션 키 K를 알고 있다.6 is a diagram illustrating a biometric information-based client authentication method in a system having multiple authentication means according to another embodiment of the present invention. In other words, in a system having multiple authentication means and undergoing server authentication, a user who has completed the server authentication process selects a biometric information-based authentication means to perform client authentication. At this point, the client and server already know the session key K negotiated during the server authentication process.

생체 정보의 특성상 사용자의 생체 정보는 한번 노출되면 재사용이 어렵기 때문에 보다 안전하게 관리되어야 한다. 따라서 본 발명에서는 클라이언트의 사용자 아이디 정보와 사용자의 생체 정보(제 1 생체 정보)의 배타적 논리합(exclusive-OR) 연산을 통해 제 2 생체 정보를 생성한 후, 이것을 암호화하여 전송하므로 사용자의 생체 정보가 더욱 안전하게 보호되도록 한다. Due to the nature of the biometric information, once the user's biometric information is exposed, it cannot be reused, so it must be managed more safely. Accordingly, in the present invention, after generating the second biometric information through an exclusive-OR operation of the user ID information of the client and the biometric information (first biometric information) of the user, the biometric information of the user is encrypted and transmitted. Make it more secure.

생체 정보를 이용한 클라이언트 인증을 위해 서버는 미리 사용자의 정보를 자신의 데이터 베이스에 안전하게 저장하고 있어야 한다. 저장되는 사용자 정보는 클라이언트 사용자 아이디를 가리키는 인덱스인 'indexID', 클라이언트의 사용자 아이디 정보인 'clientID', 사용자의 생체 정보인 'BioInfo'이다. In order to authenticate the client using biometric information, the server must securely store the user's information in its database in advance. The stored user information is 'indexID' which is an index indicating a client user ID, 'clientID' which is the user ID information of the client, and 'BioInfo' which is the biometric information of the user.

도 6을 참조하면, 클라이언트는 자신의 'clientID'와 생체 정보측정기를 통해 측정된 제 1 생체 정보 'BioInfo'를 이용하여 다음과 같이 제 2 생체 정보 'bioD'를 생성한다(S601).Referring to FIG. 6, the client generates the second biometric information 'bioD' as follows using its 'clientID' and the first biometric information 'BioInfo' measured through the biometric information measuring instrument (S601).

bioD = Bioinfo

Figure 112006089561661-PAT00001
clientID bioD = Bioinfo
Figure 112006089561661-PAT00001
clientID

그리고, 제 2 생체 정보 'bioD'와 'indexID'를 세션 키 K로 암호화하여 암호 값 ENCK[indexID, bioD]를 생성한다(S602). 제 1 생체 정보 대신 제 2 생체 정보를, 'clientID' 대신에 'clientID'와 일대일 대응되는 'indexID'를 암호화하는 것은 앞서 설명한 바와 같이 암호값 전송시 생체 정보의 노출을 피하여 생체 정보를 더욱 안전하게 보호하기 위함이다.The second biometric information 'bioD' and 'indexID' are encrypted using the session key K to generate a cipher value ENC K [indexID, bioD] (S602). Encrypting the second biometric information instead of the first biometric information and 'indexID' corresponding one-to-one with 'clientID' instead of 'clientID' further protects the biometric information by avoiding exposure of the biometric information during transmission of a password value as described above. To do this.

그리고 클라이언트는 인증을 위해 자신이 선택한 클라이언트 인증 수단이 생체 정보 기반의 인증 수단임을 알리는 'BIO' 메시지를 생성하여 암호값과 함께 서버로 전송한다(S603).The client generates a 'BIO' message indicating that the client authentication means selected by the client for authentication is a biometric information-based authentication means and transmits the message to the server together with the password value (S603).

서버는 암호값 'ENCK[indexID, bioD]'를 세션 키 K로 복호화하고(S604), 복호화된 'indexID'를 이용하여 미리 저장되어 있던 해당 사용자 정보('indexID', 'clientID', 'BioInfo')를 검색한다(S605). 복호된 제 2 생체 정보 'bioD'와 검색된 클라이언트 사용자 아이디 'clientID'를 이용하여 다음의 식과 같이 제 1 생체 정보 'BioInfo'를 계산한다(S606). 이때 연산을 위해 필요하다면 'clientID' 정보에 대한 패딩 절차가 이루어질 수 있다.The server decrypts the encryption value 'ENC K [indexID, bioD]' with the session key K (S604), and the corresponding user information ('indexID', 'clientID', 'BioInfo previously stored using the decrypted' indexID '). Search (S605). The first biometric information 'BioInfo' is calculated using the decoded second biometric information 'bioD' and the retrieved client user ID 'clientID' as shown in the following equation (S606). At this time, if necessary for operation, a padding procedure for 'clientID' information may be performed.

BioInfo = bioD

Figure 112006089561661-PAT00002
clientIDBioInfo = bioD
Figure 112006089561661-PAT00002
clientID

서버는 위의 식으로 계산된 제 1 생체 정보 'BioInfo'가 자신의 데이터 베이스에서 검색된 'Bioinfo'와 동일한 생체 정보인지를 비교한다(S607). 만일 동일한 생체 정보임이 확인되면 인증 성공을 알리는 인증 성공 메시지 'SUCCESS' 메시지를 생성하여(S608), 클라이언트에게 보낸다(S609). The server compares whether the first biometric information 'BioInfo' calculated by the above formula is the same biometric information as 'Bioinfo' retrieved from its database (S607). If it is confirmed that the same biometric information, the authentication success message 'SUCCESS' message indicating the authentication success is generated (S608), and sent to the client (S609).

클라이언트는 'SUCCESS'를 수신함으로써 자신이 서버에게 인증되었음을 알 수 있다.The client knows that it is authenticated to the server by receiving 'SUCCESS'.

생체 정보 기반의 인증 수단을 이용한 클라이언트 인증 과정에 사용되는 'indexID'는 도 4 및 도 5에 설명한 인증서 기반 또는 패스워드 기반의 인증 수단을 이용한 클라이언트 인증 과정에 동일하게 사용될 수 있다. 이 경우에는 전송되는 'clientID' 정보를 'indexID'로 모두 대체하고, 서버의 데이터 베이스에 'clientID'를 'indexID'와 일대일 대응시켜서 함께 저장하면 된다.'IndexID' used in the client authentication process using the biometric information-based authentication means may be equally used in the client authentication process using the certificate-based or password-based authentication means described with reference to FIGS. 4 and 5. In this case, replace all the transmitted 'clientID' information with 'indexID' and store 'clientID' in one-to-one correspondence with 'indexID' in the server database.

이상의 생체 정보 기반의 클라이언트의 인증 과정을 서버와 클라이언트의 측면에서 각각 살펴본다.The authentication process of the biometric information-based client will be described in terms of the server and the client, respectively.

우선 생체 정보 기반의 클라이언트에서의 인증 과정은, 생체 정보 기반의 인증 수단에서 사용되는 정보들을 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계, 및 인증 수단이 생체 정보 기반의 인증 수단인 것을 알리는 메시지 및 암호값을 서버로 전송하는 단계를 포함한다.First, the authentication process in the biometric information-based client includes: encrypting information used in the biometric information-based authentication means with a session key generated in the server authentication process to generate a cipher value, and the authentication means is a biometric information-based authentication means. And sending a message and a password value informing that it is.

그리고 생체 정보 기반의 서버에서의 인증 과정은, 클라이언트로부터, 생체 정보 기반의 인증 수단에서 사용되는 정보들을 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계, 암호값을 복호하여 생체 정보 기반의 인증 수단에서 사용되는 정보들을 추출하는 단계, 추출된 생체 정보 기반의 인증 수단에서 사용되는 정보들을 이용하여 사용자의 생체 정보인 제 1 생체 정보를 계산하는 단계, 및 계산된 제 1 생체 정보가 서버의 데이터 베이스에 미리 저장된 정보와 일치하는지 여부를 검증하는 단계를 포함한다.The authentication process in the server based on the biometric information may include: receiving, from a client, an encryption value obtained by encrypting information used in the biometric information based authentication means with a session key generated in the server authentication process; Extracting information used in the authentication means based on the user; calculating first biometric information as the user's biometric information using the information used in the extracted biometric information based authentication means; and calculating the first biometric information And verifying whether the information matches the information previously stored in the database of the server.

서버와 클라이언트 모두에 있어서, 바람직하게는, 생체 정보 기반의 인증 수 단에서 사용되는 정보들은, 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디, 및 클라이언트의 사용자 아이디 및 제 1 생체 정보를 이용하여 생성한 제 2 생체 정보를 포함한다. 바람직하게는, 제 1 생체 정보는, 인덱스 아이디를 이용하여 찾은 클라이언트의 사용자 아이디와 제 2 생체 정보의 배타적 논리합(exclusive-OR) 연산을 통하여 계산된다. 바람직하게는, 인증되었음을 알리는 인증 성공 메시지를 서버와 클라이언트가 송신/수신하는 단계를 더 포함한다.In both the server and the client, preferably, the information used in the biometric information-based authentication means is generated by using the user ID of the client and an index ID corresponding to one-to-one, and the user ID and the first biometric information of the client. And second biometric information. Preferably, the first biometric information is calculated through an exclusive-OR operation of the user ID of the client found using the index ID and the second biometric information. Preferably, the method further includes the step of transmitting / receiving an authentication success message indicating that the server and the client are authenticated.

도 7은 본 발명의 또 다른 실시예에 따른 다중 인증 수단을 가진 통합 인증 클라이언트, 서버 및 시스템의 구성을 나타낸 도면이다.7 is a diagram showing the configuration of an integrated authentication client, server and system having multiple authentication means according to another embodiment of the present invention.

도 7을 참조하면, 본 발명에 따르는 다중 인증 수단을 가진 통합 인증 시스템은 통합 인증 시스템을 위한 클라이언트(710)와 서버(720)를 포함한다.Referring to Fig. 7, the integrated authentication system with multiple authentication means according to the present invention includes a client 710 and a server 720 for the integrated authentication system.

본 발명에 따른 클라이언트(710)는 서버 인증부(711), 인증 수단 선택부(712) 및 클라이언트 인증 요청부(713)를 포함한다.The client 710 according to the present invention includes a server authenticator 711, an authentication means selection unit 712, and a client authentication request unit 713.

서버 인증부(711)은 서버(720)의 공개키 인증서를 기초로 서버(720)의 서명을 인증하고, 이 서명을 기초로 서버(720)가 가진 값과 동일한 세션 키를 생성한다. 바람직하게는, 세션 키는, 서명의 인증을 위해 교환되는 디피-헬먼(Diffie-Hellman) 공개값을 이용하여 생성된다.The server authenticator 711 authenticates the signature of the server 720 based on the public key certificate of the server 720, and generates a session key identical to the value of the server 720 based on the signature. Preferably, the session key is generated using Diffie-Hellman public values that are exchanged for authentication of the signature.

인증 수단 선택부(712)는 클라이언트(710)의 인증에 사용될 인증 수단을 선택한다. 바람직하게는 인증 수단 선택부(712)에서 선택한 인증 수단은 인증서 기반의 인증 수단(713a), 패스워드 기반의 인증 수단(713b), 생체 정보 기반의 인증 수단(713c) 중 하나 이상이다.The authentication means selection unit 712 selects an authentication means to be used for authentication of the client 710. Preferably, the authentication means selected by the authentication means selection unit 712 is at least one of a certificate-based authentication means 713a, a password-based authentication means 713b, and a biometric information-based authentication means 713c.

클라이언트 인증 요청부(713)은 선택된 인증 수단에 사용되는 정보들을 세션 키로 암호화하여 클라이언트(710)의 인증을 요청하여 클라이언트 인증 및 전체 인증 과정을 완료한다. The client authentication request unit 713 encrypts the information used for the selected authentication means with the session key to request authentication of the client 710 to complete the client authentication and the entire authentication process.

본 발명에 따른 서버(720)는 서버 인증부 요청부(721), 인증 수단 확인부(722) 및 클라이언트 인증부(723)를 포함한다.The server 720 according to the present invention includes a server authenticator request unit 721, an authentication means check unit 722, and a client authenticator 723.

서버 인증 요청부(721)는 인증 절차를 시작을 요청하는 클라이언트(710)에게 서버(720)의 공개키 인증서를 기초로 한 서명의 인증을 요청하고, 이 서명을 기초로 클라이언트(710)가 가진 값과 동일한 세션 키를 생성한다. 바람직하게는, 이 세션 키는 서명의 인증을 위해 교환되는 디피-헬먼 공개값을 이용하여 생성된다.The server authentication request unit 721 requests the client 710 requesting to start the authentication procedure to authenticate the signature based on the public key certificate of the server 720, and based on the signature, the server 710 Create a session key equal to the value. Preferably, this session key is generated using a Diffie-Hellman public value that is exchanged for authentication of the signature.

인증 수단 확인부(722)는 클라이언트(710)의 인증에 사용될 인증 수단을 확인한다. 즉, 인증 수단 선택부(712)에서 선택된 인증 수단을 확인하는 것이다. 바람직하게는 인증 수단 확인부(722)에서 확인되는 인증 수단은 인증서 기반의 인증 수단(723a), 패스워드 기반의 인증 수단(723b), 생체 정보 기반의 인증 수단(723c) 중 하나 이상이다.The authentication means confirmation unit 722 confirms the authentication means to be used for authentication of the client 710. That is, the authentication means selected by the authentication means selection unit 712 is confirmed. Preferably, the authentication means confirmed by the authentication means confirmation unit 722 is at least one of a certificate-based authentication means 723a, a password-based authentication means 723b, and a biometric information-based authentication means 723c.

클라이언트 인증부(723)는 확인된 인증 수단을 이용하여 인증을 수행한다. 즉, 확인된 인증 수단에 사용되는 정보들을 세션 키로 암호화한 암호값을 동일한 세션 키로 복호하여 클라이언트(710)를 인증한다. The client authentication unit 723 performs authentication using the verified authentication means. That is, the client 710 is authenticated by decrypting the encryption value obtained by encrypting the information used in the verified authentication means with the session key with the same session key.

도 7의 클라이언트(710), 서버(720) 및 시스템의 더욱 상세한 인증 과정은 도 1 내지 도 6을 참조한다.For more detailed authentication of the client 710, server 720 and system of FIG. 7, see FIGS. 1 to 6.

이상의 실시예들에서 인증 수단이 인증서 기반의 인증 수단, 패스워드 기반 의 인증 수단 및 생체 정보 기반의 인증 수단인 경우만 설명하였으나, 이에 한정되는 것은 아니며, 본 발명의 방법 및 시스템에 다른 인증 수단이 적용될 수 있다.In the above embodiments, only the case where the authentication means is a certificate-based authentication means, a password-based authentication means and a biometric information-based authentication means has been described, but is not limited thereto, and other authentication means may be applied to the method and system of the present invention. Can be.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disks, optical data storage devices, and the like, which may also be implemented in the form of carrier waves (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등 및 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown not in the above description but in the claims, and all differences within the equivalent and equivalent scope will be construed as being included in the present invention.

본 발명에 따르면, 사용자는 인증서, 패스워드, 생체 정보 등 다중 인증 수단 중에서 자신이 선호 또는 편리한 인증 수단을 선택하여 사용할 수 있다. 특히, 이렇게 다양한 인증 수단을 이용하더라도 각 인증 수단의 안전성을 해치지 않는 효과가 있다.According to the present invention, a user can select and use a preferred or convenient authentication means from multiple authentication means such as a certificate, a password, and biometric information. In particular, the use of such various authentication means has the effect of not harming the safety of each authentication means.

또한 본 발명에 따르면, 다양한 인증 수단을 이용하더라도 각 인증 수단으로 인한 취약점을 제거함으로써 여전히 강한 안전성을 유지할 수 있다.In addition, according to the present invention, even by using a variety of authentication means can still maintain strong security by eliminating the vulnerability caused by each authentication means.

또한 본 발명에 따르면, 패스워드의 경우는 서버의 데이터 베이스가 해킹(hacking)되는 경우에도 사용자의 패스워드 정보가 노출되지 않는 효과가 있다.In addition, according to the present invention, the password has the effect that the user's password information is not exposed even if the database of the server is hacked (hacking).

또한 본 발명에 따르면, 다양한 인증 수단을 가진 통합 사용자 인증 프로토콜을 제공하여, 홈 네트워크 산업과 같이 노인이나 어린이 등 IT 환경에 익숙하지 않은 사용자가 많은 상황에서도 쉽고 안전한 보안 서비스를 선택적으로 제공할 수 있으므로 산업적 활용도를 크게 높이는 효과가 있다.In addition, according to the present invention, by providing an integrated user authentication protocol having a variety of authentication means, it is possible to selectively provide an easy and secure security service even in a situation where there are many users who are not familiar with the IT environment, such as the elderly or children, such as the home network industry It has the effect of greatly increasing industrial utilization.

Claims (40)

(a) 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 단계;(a) authenticating the server's signature based on the server's public key certificate and generating a session key equal to the value the server has based on the signature; (b) 클라이언트의 인증에 사용될 인증 수단을 선택하는 단계; 및(b) selecting an authentication means to be used for authentication of the client; And (c) 상기 (b) 단계에서 선택된 인증 수단에 사용되는 정보들을 상기 (a) 단계에서 생성된 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.(c) encrypting the information used for the authentication means selected in step (b) with the session key generated in step (a) and requesting authentication of the client. Integrated authentication method on clients of the system. 제 1항에 있어서,The method of claim 1, 상기 (b) 단계에서 선택된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.The authentication means selected in step (b) is one or more of a certificate-based authentication means, a password-based authentication means and a biometric information-based authentication means. 제 1항에 있어서,The method of claim 1, 상기 세션 키는, 상기 서명의 인증을 위해 교환되는 디피-헬먼 (Diffie-Hellman) 공개값을 이용하여 생성되는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.And said session key is generated using a Diffie-Hellman public value exchanged for authentication of said signature. 제 1항에 있어서, 상기 (a) 단계는,The method of claim 1, wherein step (a) comprises: (a-1) 서버에게 인증 프로토콜을 시작하는 시작 메시지를 송신하는 단계;(a-1) sending a start message to start the authentication protocol to the server; (a-2) 상기 서버로부터 상기 시작 메시지에 대한 응답 메시지 및 난수 발생기를 통하여 생성된 쿠키(Cookie)를 수신하는 단계;(a-2) receiving a cookie generated from the server through a response message and a random number generator for the start message; (a-3) 클라이언트 측 디피-헬먼 공개값을 계산하여 상기 수신한 쿠키와 함께 상기 서버로 송신하는 단계;(a-3) calculating a client-side Diffie-Hell disclosure value and sending it to the server with the received cookie; (a-4) 상기 서버로부터, 서버 측 디피-헬먼 공개값을 포함하여 서명된 상기 서명을 수신하여 검증하는 단계; 및(a-4) receiving and verifying the signed signature from the server, including the server-side Diffie-Hell public value; And (a-5) 상기 클라이언트 측 디피-헬먼 공개값을 계산하는데 사용된 클라이언트 측 비밀 정수 및 상기 서버 측 디피-헬먼 공개값을 기초로 상기 세션 키를 생성하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.(a-5) generating the session key based on the client-side secret integer used to calculate the client-side Diffie-Hell public value and the server-side Diffie-Hell public value; Integrated authentication method on a client of a system with authentication means. 제 4항에 있어서,The method of claim 4, wherein 상기 쿠키는, 클라이언트의 서비스 거부 공격(Denial of Service)의 일종인 세션 범람 공격(session flooding attack)을 막기 위한 정보인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.And the cookie is information for preventing a session flooding attack, which is a kind of denial of service of the client. 제 4항에 있어서, 상기 (a-4) 단계에서,The method of claim 4, wherein in step (a-4), 인증 수단에 대한 질의, 상기 서버 측 디피-헬먼 공개값 및 상기 서버의 공 개키 인증서를 더 수신하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.Receiving a query for authentication means, the server-side Diffie-Hell public value and the public key certificate of the server. 제 1항에 있어서,The method of claim 1, (d) 상기 클라이언트의 인증이 완료되면, 기존의 세션 키를 폐기하고, 새로운 인증 절차에 사용되는 데이터 보호를 위한 새로운 세션 키를 재생성하는 단계;를 더 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 통합 인증 방법.(d) discarding the existing session key and regenerating a new session key for data protection used in a new authentication procedure when authentication of the client is completed; Integrated authentication method on clients of the system. (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 인증서 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 인증서 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계; 및(a) When a user who has completed the server authentication process in a system having multiple authentication means and performs client authentication and attempts authentication by selecting a certificate-based authentication means, the information used in the certificate-based authentication means is obtained. Generating an encryption value by encrypting with a session key generated in the server authentication process; And (b) 인증 수단이 인증서 기반의 인증 수단인 것을 알리는 메시지 및 상기 암호값을 상기 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 인증서 기반 인증 방법.(b) transmitting a message indicating that the authentication means is a certificate-based authentication means and the password value to the server; certificate-based authentication method for a client of a system having multiple authentication means. 제 8항에 있어서,The method of claim 8, 상기 인증서 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디(ID), 상기 클라이언트의 공개키 인증서, 및 상기 클라이언트의 개인 키로 서명한 서명을 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 인증서 기반 인증 방법.The information used in the certificate-based authentication means includes a user ID of the client, a public key certificate of the client, and a signature signed with the client's private key. -Based authentication method on the client of the client. 제 9항에 있어서,The method of claim 9, 상기 서명은 상기 클라이언트의 사용자 아이디 및 서버 측 디피-헬먼 공개값을 해시 연산하여 얻은 해쉬값을, 상기 클라이언트의 개인키로 서명한 값인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 인증서 기반 인증 방법.The signature is a value obtained by hashing a hash value obtained by hashing a user ID of the client and a server-side Diffie-Hell public value with the private key of the client, and certificate-based authentication in a client of a system having multiple authentication means. Way. 제 9항에 있어서,The method of claim 9, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디를 상기 클라이언트의 사용자 아이디 대신 전송하여, 사용자 아이디를 노출하지 않는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 인증서 기반 인증 방법.Certificate-based authentication method for a client of a system having multiple authentication means, by transmitting an index ID corresponding to the user ID of the client one-to-one instead of the user ID of the client, so as not to expose the user ID. (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 인증 수단이 패스워드 기반의 인증 수단인 것을 알리는 메시지, 및 상기 클라이언트의 사용자 아이디를 상기 서버 인증 과정에서 생성한 세션 키로 암호화한 제 1 암호값을 생성하여 상기 서버로 전송하는 단계;(a) Informing the user that the authentication means is a password-based authentication means when a user who has completed the server authentication process attempts authentication by selecting a password-based authentication means in a system having multiple authentication means and performing client authentication. Generating a message and a first cipher value encrypted by using a session key generated in the server authentication process and transmitting the user ID of the client to the server; (b) 상기 서버로부터, 상기 클라이언트의 사용자 아이디에 해당하는 검증자를 연산하여 얻은 제 1 연산값을 상기 세션 키로 암호화한 제 2 암호값을 수신하는 단계; 및(b) receiving a second encryption value obtained by encrypting, with the session key, a first operation value obtained by computing a verifier corresponding to the user ID of the client from the server; And (c) 상기 제 2 암호값을 복호하여 얻은 제 1 연산값을 이용하여 연산한 제 2 연산값을 상기 세션 키로 암호화한 제 3 암호값을 생성하여 상기 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법.(c) generating a third encryption value obtained by encrypting the second operation value calculated using the first operation value obtained by decrypting the second encryption value with the session key, and transmitting the generated third encryption value to the server. A password-based authentication method for a client of a system having multiple authentication means. 제 12항에 있어서,The method of claim 12, 상기 검증자는 상기 클라이언트의 패스워드를 해시 연산한 값을 이용하여 생성되어, 상기 클라이언트의 사용자 아이디와 함께 상기 서버의 데이터 베이스에 미리 저장되어 있는 값인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법.The verifier is generated using a hashed value of the password of the client, and is stored in a database of the server together with a user ID of the client. Password based authentication method. 제 12항에 있어서,The method of claim 12, 안전한 소수 p를 가지는 갈로아 필드 상의 원시 원소(generator)를 g, 상기 클라이언트의 패스워드 P를 해시 연산한 값을 Hash(P) 라고 할 때, Let gash a primitive element on the Galloa field with a safe prime number p, and hash the value of the client's password P as Hash (P). 상기 검증자 V 는The verifier V is V = g- Hash (P) mod pV = g - Hash (P) mod p 인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법.A password-based authentication method for a client of a system having multiple authentication means, characterized in that. 제 14항에 있어서,The method of claim 14, 0 < r < p-2 를 만족하도록 임의로 선택된 값을 r 이라고 할 때,Let r be any value chosen arbitrarily to satisfy 0 <r <p-2, 상기 제 1 연산값 X 는The first operation value X is X ≡ g - Hash (P) · r ≡ Vr mod pX ≡ g - Hash (P) r ≡ V r mod p 이고, 상기 제 2 연산값 Y 는And the second operation value Y is Y ≡ gr ≡ XHash (P) mod pY ≡ g r ≡ X Hash (P) mod p 인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법.A password-based authentication method for a client of a system having multiple authentication means, characterized in that. 제 14항에 있어서,The method of claim 14, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디를 상기 클라이언트의 사용자 아이디 대신 전송하여, 사용자 아이디를 노출하지 않는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 패스워드 기반 인증 방법.Password-based authentication method for a client of a system having multiple authentication means, by transmitting an index ID corresponding to the user ID of the client one-to-one instead of the user ID of the client, so as not to expose the user ID. (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시 스템에서 서버 인증 과정을 마친 사용자가 생체 정보 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성한 세션 키로 암호화하여 암호값을 생성하는 단계; 및(a) When a user who has completed the server authentication process in a system having multiple authentication means and performs client authentication and attempts authentication by selecting a biometric information-based authentication means, the biometric information-based authentication means is used. Generating encrypted values by encrypting the information using the session key generated in the server authentication process; And (b) 인증 수단이 생체 정보 기반의 인증 수단인 것을 알리는 메시지 및 상기 암호값을 상기 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 생체 정보 기반 인증 방법.(b) transmitting a message indicating that the authentication means is a biometric information-based authentication means and the password value to the server; biometric information-based authentication method for a client of a system having multiple authentication means, comprising: . 제 17항에 있어서,The method of claim 17, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들은, The information used in the biometric information-based authentication means, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디; 및 An index ID corresponding to the user ID of the client one-to-one; And 상기 클라이언트의 사용자 아이디 및 사용자의 생체 정보인 제 1 생체 정보를 이용하여 생성한 제 2 생체 정보;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 생체 정보 기반 인증 방법.And biometric information based on the user ID of the client and the first biometric information, the first biometric information of the user. 제 18항에 있어서,The method of claim 18, 상기 제 2 생체 정보는, 상기 클라이언트의 사용자 아이디와 상기 제 1 생체 정보의 배타적 논리합(exclusive-OR) 연산을 통하여 생성되는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 클라이언트에서의 생체 정보 기반 인증 방법.The second biometric information is generated through an exclusive-OR operation of the user ID of the client and the first biometric information, wherein the biometric information-based authentication method for a client of a system having multiple authentication means. . (a) 인증 절차 시작을 요청하는 클라이언트에게 서버의 공개키 인증서를 기 초로 한 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 단계;(a) requesting a client requesting to start an authentication procedure to authenticate a signature based on a server's public key certificate, and generating a session key equal to a value possessed by the client based on the signature; (b) 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 단계; 및(b) identifying an authentication means to be used for authentication of the client; And (c) 상기 (b) 단계에서 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 (a) 단계에서 생성된 세션 키로 복호하여 상기 클라이언트를 인증하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.(c) decrypting the encryption value obtained by encrypting the information used in the authentication means identified in step (b) with the session key and authenticating the client with the session key generated in step (a). Integrated authentication method in a server of a system having multiple authentication means. 제 20항에 있어서,The method of claim 20, 상기 (b) 단계에서 확인된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단 및 생체 정보 기반의 인증 수단 중 하나 이상인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.The authentication means identified in the step (b) is at least one of a certificate-based authentication means, a password-based authentication means and a biometric information-based authentication means. 제 20항에 있어서, 상기 (a) 단계는,The method of claim 20, wherein step (a) comprises: (a-1) 상기 클라이언트로부터, 인증 프로토콜을 시작하는 시작 메시지를 수신하는 단계;(a-1) receiving a start message for starting an authentication protocol from the client; (a-2) 상기 시작 메시지에 대한 응답 메시지 및 난수 발생기를 사용하여 생성한 쿠키(Cookie)를 상기 클라이언트로 송신하는 단계;(a-2) transmitting a cookie generated using the response message and the random number generator to the client to the client; (a-3) 상기 클라이언트로부터, 클라이언트 측 디피-헬먼 공개값 및 상기 클라이언트가 재전송한 쿠키를 수신하여 상기 재전송된 쿠키를 검증하는 단계;(a-3) verifying the retransmitted cookie by receiving, from the client, a client side Diff-Hell public value and a cookie retransmitted by the client; (a-4) 서버의 공개키 인증서를 기초로, 서버 측 디피-헬먼 공개값을 포함하는 상기 서명을 생성한 후, 상기 클라이언트로 송신하여 서버 인증을 요청하는 단계; 및(a-4) generating the signature based on the server's public key certificate and sending the signature to the client, requesting server authentication; And (a-5) 상기 서버 측 디피-헬먼 공개값을 계산하는데 사용된 서버 측 비밀 정수 및 상기 클라이언트 측 디피-헬먼 공개값을 기초로 상기 세션 키를 생성하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.(a-5) generating the session key based on the server-side secret integer and the client-side diff-heman public value used to calculate the server-side Diffie-Hell public value. Integrated authentication method on a server of a system with authentication means. 제 22항에 있어서, 상기 (a-4) 단계에서,The method of claim 22, wherein in the step (a-4), 인증 수단에 대한 질의, 상기 서버 측 디피-헬먼 공개값 및 상기 서버의 공개키 인증서를 더 송신하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.And further transmitting a query for authentication means, the server-side Diffie-Hell public value and the server's public key certificate. 제 22항에 있어서,The method of claim 22, 상기 서명은, 상기 서버의 아이디(ID), 상기 서버 측 디피-헬먼 공개값, 및 상기 클라이언트 측 디피-헬먼 공개값을 해시 연산한 값을 상기 서버의 공개키 인증서에 해당하는 비밀키를 이용하여 서명한 값인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.The signature is obtained by hashing the ID (ID) of the server, the server-side Diffie-Hell public value, and the client-side Diffie-Hell public value by using a secret key corresponding to the public key certificate of the server. Integrated authentication method in a server of a system having multiple authentication means, characterized in that the signed value. 제 20항에 있어서,The method of claim 20, (d) 상기 클라이언트의 인증이 완료되면, 기존의 세션 키를 폐기하고, 새로운 인증 절차에 사용되는 데이터 보호를 위한 새로운 세션 키를 재생성하는 단계;를 더 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 통합 인증 방법.(d) discarding the existing session key and regenerating a new session key for data protection used in a new authentication procedure when authentication of the client is completed; Integrated authentication method on a server in the system. (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 인증서 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 인증서 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계;(a) When a user who has completed the server authentication process in a system having multiple authentication means and performs client authentication and attempts authentication by selecting a certificate-based authentication means, from the client, the certificate-based authentication means Receiving a cipher value encrypted with the session key generated during the server authentication process; (b) 상기 암호값을 상기 세션 키로 복호하여 상기 클라이언트의 개인키로 서명한 서명을 추출하는 단계; 및 (b) extracting the signature signed with the private key of the client by decrypting the encryption value with the session key; And (c) 상기 추출된 서명을 상기 클라이언트의 공개키로 검증하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 인증서 기반 인증 방법.(c) verifying the extracted signature with the public key of the client; certificate-based authentication method in a server of a system having multiple authentication means. 제 26항에 있어서,The method of claim 26, 상기 인증서 기반의 인증 수단에서 사용되는 정보들은, 상기 클라이언트의 사용자 아이디(ID), 상기 클라이언트의 공개키 인증서, 및 상기 클라이언트의 개인키로 서명한 서명을 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 인증서 기반 인증 방법.The information used in the certificate-based authentication means includes a user ID of the client, a public key certificate of the client, and a signature signed with the client's private key. Based authentication on the server 제 27항에 있어서,The method of claim 27, 상기 서명은 상기 클라이언트의 사용자 아이디 및 서버 측 디피-헬먼 공개값을 해시 연산하여 얻은 해쉬값을 상기 클라이언트의 개인키로 서명한 값인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 인증서 기반 인증 방법.The signature is a value obtained by signing a hash value obtained by hashing a user ID of the client and a server-side Diffie-Hell public value with the private key of the client. . (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 클라이언트의 사용자 아이디를 상기 세션 키로 암호화한 제 1 암호값을 수신한 후, 상기 서버 인증 과정에서 생성된 세션 키를 이용하여 복호하는 단계;(a) When a user who has completed the server authentication process in a system having multiple authentication means and performs client authentication and attempts authentication by selecting a password-based authentication means, the user's user ID of the client is recalled from the client. Receiving a first encryption value encrypted with a session key and then decrypting it using the session key generated in the server authentication process; (b) 상기 클라이언트의 사용자 아이디에 해당하는 검증자를 상기 서버의 데이터 베이스에서 검색하는 단계;(b) retrieving a validator corresponding to a user ID of the client from a database of the server; (c) 상기 검색된 검증자를 연산하여 제 1 연산값을 생성하는 단계;(c) generating a first operation value by operating the retrieved verifier; (d) 상기 제 1 연산값을 상기 세션 키로 암호화하여 생성한 제 2 암호값을 상기 클라이언트로 송신하는 단계;(d) transmitting a second encryption value generated by encrypting the first operation value with the session key to the client; (e) 상기 클라이언트로부터, 상기 제 2 암호값을 기초로 생성된 제 2 연산값을 상기 세션 키로 암호화한 제 3 암호값을 수신한 후, 상기 세션 키를 이용하여 복호하는 단계; 및(e) receiving a third encryption value obtained by encrypting a second operation value generated based on the second encryption value with the session key from the client, and then decrypting the data using the session key; And (f) 상기 복호된 제 2 연산값을 검증하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 패스워드 기반 인증 방법.(f) verifying the decoded second operation value. Password-based authentication method in a server of a system having multiple authentication means, characterized in that it comprises. 제 29항에 있어서,The method of claim 29, 안전한 소수 p를 가지는 갈로아 필드 상의 원시 원소(generator)를 g, 상기 클라이언트의 패스워드 P를 해시 연산한 값을 Hash(P) 라고 할 때, Let gash a primitive element on the Galloa field with a safe prime number p, and hash the value of the client's password P as Hash (P). 상기 검증자 V 는The verifier V is V = g- Hash (P) mod pV = g - Hash (P) mod p 인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 패스워드 기반 인증 방법.A password-based authentication method in a server of a system having multiple authentication means, characterized in that. 제 30항에 있어서,The method of claim 30, 0 < r < p-2 를 만족하도록 임의로 선택된 값을 r 이라고 할 때,Let r be any value chosen arbitrarily to satisfy 0 <r <p-2, 상기 제 1 연산값 X 는The first operation value X is X ≡ g - Hash (P) · r ≡ Vr mod pX ≡ g - Hash (P) r ≡ V r mod p 이고, 상기 제 2 연산값 Y 는And the second operation value Y is Y ≡ gr ≡ XHash (P) mod pY ≡ g r ≡ X Hash (P) mod p 인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 패스워드 기반 인증 방법.A password-based authentication method in a server of a system having multiple authentication means, characterized in that. 제 31항에 있어서, 상기 (f) 단계에서,The method of claim 31, wherein in step (f), 상기 복호된 제 2 연산값 Y 가 상기 임의로 선택된 값 r 으로 계산한 gr mod p 값과 일치하는지 여부를 확인하여 상기 제 2 연산값 Y 를 검증하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 패스워드 기반 인증 방법.A server of a system with multiple authentication means, verifying the second calculated value Y by checking whether the decoded second calculated value Y matches the value of g r mod p calculated by the randomly selected value r; Password-based authentication method in. (a) 다중 인증 수단을 가지며 서버 인증을 거쳐 클라이언트 인증을 하는 시스템에서 서버 인증 과정을 마친 사용자가 패스워드 기반의 인증 수단을 선택하여 인증을 시도할 때, 상기 클라이언트로부터, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 상기 서버 인증 과정에서 생성된 세션 키로 암호화한 암호값을 수신하는 단계;(a) When the user who has completed the server authentication process in the system having multiple authentication means and performs client authentication and attempts authentication by selecting a password-based authentication means, from the client, the biometric information-based authentication means Receiving a cipher value encrypted with the session key generated during the server authentication process; (b) 상기 암호값을 복호하여 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 추출하는 단계;(b) extracting information used in the biometric information-based authentication means by decoding the encryption value; (c) 상기 추출된 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들을 이용하여 사용자의 생체 정보인 제 1 생체 정보를 계산하는 단계; 및(c) calculating first biometric information, which is biometric information of a user, using the information used in the extracted biometric information-based authentication means; And (d) 상기 계산된 제 1 생체 정보가 상기 서버의 데이터 베이스에 미리 저장된 정보와 일치하는지 여부를 검증하는 단계;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 생체 정보 기반 인증 방법.(d) verifying whether the calculated first biometric information matches information previously stored in the database of the server; biometric information-based authentication in a server of a system having multiple authentication means, comprising: Way. 제 33항에 있어서,The method of claim 33, 상기 생체 정보 기반의 인증 수단에서 사용되는 정보들은, The information used in the biometric information-based authentication means, 상기 클라이언트의 사용자 아이디와 일대일 대응되는 인덱스 아이디; 및 An index ID corresponding to the user ID of the client one-to-one; And 상기 클라이언트의 사용자 아이디 및 상기 제 1 생체 정보를 이용하여 생성한 제 2 생체 정보;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 생체 정보 기반 인증 방법.And second biometric information generated using the user ID of the client and the first biometric information. 제 34항에 있어서, 상기 (c) 단계에서,The method of claim 34, wherein in step (c), 상기 제 1 생체 정보는, 상기 인덱스 아이디를 이용하여 찾은 클라이언트의 사용자 아이디와 상기 제 2 생체 정보의 배타적 논리합(exclusive-OR) 연산을 통하여 계산되는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 서버에서의 생체 정보 기반 인증 방법.In the server of the system having multiple authentication means, the first biometric information is calculated through an exclusive-OR operation of a user ID of the client found using the index ID and the second biometric information. Biometrics based authentication method. 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 서버 인증부;A server authentication unit for authenticating a signature of the server based on a public key certificate of a server and generating a session key equal to a value of the server based on the signature; 클라이언트의 인증에 사용될 인증 수단을 선택하는 인증 수단 선택부; 및An authentication means selection unit for selecting an authentication means to be used for authentication of the client; And 상기 선택된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 클라이언트 인증 요청부;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 클라이언트.And a client authentication request unit for requesting authentication of the client by encrypting the information used for the selected authentication means with the session key. 제 36항에 있어서,The method of claim 36, 상기 인증 수단 선택부에서 선택한 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단, 생체 정보 기반의 인증 수단 중 하나 이상인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 클라이언트.The authentication means selected by the authentication means selection unit is a client for integrated authentication of a system having multiple authentication means, characterized in that at least one of a certificate-based authentication means, a password-based authentication means, a biometric information-based authentication means. 인증 절차를 시작을 요청하는 클라이언트에게 서버의 공개키 인증서를 기초로 한 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 서버 요청 인증부;A server request authentication unit for requesting a client requesting to start an authentication procedure to authenticate a signature based on a public key certificate of a server, and generating a session key equal to a value of the client based on the signature; 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 인증 수단 확인부; 및An authentication means confirmation unit for confirming an authentication means to be used for authentication of the client; And 상기 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 세션 키로 복호하여 상기 클라이언트를 인증하는 클라이언트 인증부;를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 인증 서버.And a client authentication unit for authenticating the client by decrypting an encryption value obtained by encrypting the information used in the identified authentication means with the session key with the session key. Authentication server. 제 38항에 있어서,The method of claim 38, 상기 인증 수단 확인부에서 확인된 인증 수단은 인증서 기반의 인증 수단, 패스워드 기반의 인증 수단, 생체 정보 기반의 인증 수단 중 하나 이상인 것을 특징으로 하는 다중 인증 수단을 가진 시스템의 통합 인증을 위한 인증 서버.The authentication means identified in the authentication means check unit is at least one of a certificate-based authentication means, password-based authentication means, biometric information-based authentication means authentication server for integrated authentication of a system having multiple authentication means. 서버의 공개키 인증서를 기초로 상기 서버의 서명을 인증하고, 상기 서명을 기초로 상기 서버가 가진 값과 동일한 세션 키를 생성하는 서버 인증부; 클라이언트의 인증에 사용될 인증 수단을 선택하는 인증 수단 선택부; 및 상기 선택된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화하여 상기 클라이언트의 인증을 요청하는 클라이언트 인증 요청부;를 포함하는 클라이언트와,A server authentication unit for authenticating a signature of the server based on a public key certificate of a server and generating a session key equal to a value of the server based on the signature; An authentication means selection unit for selecting an authentication means to be used for authentication of the client; And a client authentication request unit configured to request authentication of the client by encrypting the information used for the selected authentication means with the session key. 인증 절차를 시작을 요청하는 상기 클라이언트에게 상기 서버의 공개키 인증서를 기초로 한 상기 서명의 인증을 요청하고, 상기 서명을 기초로 상기 클라이언트가 가진 값과 동일한 세션 키를 생성하는 서버 인증 요청부; 상기 클라이언트의 인증에 사용될 인증 수단을 확인하는 인증 수단 확인부; 및 상기 확인된 인증 수단에 사용되는 정보들을 상기 세션 키로 암호화한 암호값을 상기 세션 키로 복호하여 상기 클라이언트를 인증하는 클라이언트 인증부;를 포함하는 인증 서버,를 포함하는 것을 특징으로 하는 다중 인증 수단을 가진 통합 인증 시스템.A server authentication request unit for requesting authentication of the signature based on the public key certificate of the server to the client requesting to start an authentication procedure, and generating a session key equal to a value of the client based on the signature; An authentication means confirmation unit for confirming an authentication means to be used for authentication of the client; And an authentication server for authenticating the client by decrypting an encryption value obtained by encrypting the information used in the verified authentication means with the session key with the session key. Having an integrated authentication system.
KR1020060120980A 2006-12-01 2006-12-01 Server, Client and Method for integrated user authentication in a system of multi-authentication means KR100842267B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060120980A KR100842267B1 (en) 2006-12-01 2006-12-01 Server, Client and Method for integrated user authentication in a system of multi-authentication means

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060120980A KR100842267B1 (en) 2006-12-01 2006-12-01 Server, Client and Method for integrated user authentication in a system of multi-authentication means

Publications (2)

Publication Number Publication Date
KR20080050134A true KR20080050134A (en) 2008-06-05
KR100842267B1 KR100842267B1 (en) 2008-06-30

Family

ID=39805632

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060120980A KR100842267B1 (en) 2006-12-01 2006-12-01 Server, Client and Method for integrated user authentication in a system of multi-authentication means

Country Status (1)

Country Link
KR (1) KR100842267B1 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014069778A1 (en) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 Id-based encryption and decryption method, and apparatus for executing same
KR101395325B1 (en) * 2011-07-19 2014-05-16 주식회사 비즈모델라인 Method and System for Operating One Time Signature Key
KR101481101B1 (en) * 2014-05-21 2015-01-09 주식회사 인포바인 Method of athentication service using usim security token and apparatus for the same
US9311032B2 (en) 2013-07-29 2016-04-12 Samsung Electronics Co., Ltd. Image forming apparatus and near field communication (NFC) device supporting NFC function and method of performing authentication thereof cross-reference to related applications
KR101625554B1 (en) * 2014-12-08 2016-06-14 고려대학교 산학협력단 System and method for authentication and key agreement
KR20180108907A (en) * 2014-04-14 2018-10-04 마스터카드 인터내셔날, 인코포레이티드 Method and system for generating an advanced storage key in a mobile device without secure elements
KR20190023354A (en) * 2017-08-28 2019-03-08 아주대학교산학협력단 Virtual machine migration device and method thereof
CN113726523A (en) * 2021-09-01 2021-11-30 国网四川省电力公司信息通信公司 Multi-identity authentication method and device based on Cookie and DR identity cryptosystem
US11361313B2 (en) 2013-12-02 2022-06-14 Mastercard International Incorporated Method and system for generating an advanced storage key in a mobile device without secure elements
US11842340B2 (en) 2014-10-21 2023-12-12 Mastercard International Incorporated Method and system for generating cryptograms for validation in a webservice environment

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282648B1 (en) 2012-12-05 2013-09-16 소프트포럼 주식회사 Index based user authentication apparatus and method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100714100B1 (en) * 2004-10-29 2007-05-02 한국전자통신연구원 Method and system for user authentication in home network system

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395325B1 (en) * 2011-07-19 2014-05-16 주식회사 비즈모델라인 Method and System for Operating One Time Signature Key
WO2014069778A1 (en) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 Id-based encryption and decryption method, and apparatus for executing same
US9311032B2 (en) 2013-07-29 2016-04-12 Samsung Electronics Co., Ltd. Image forming apparatus and near field communication (NFC) device supporting NFC function and method of performing authentication thereof cross-reference to related applications
US11361313B2 (en) 2013-12-02 2022-06-14 Mastercard International Incorporated Method and system for generating an advanced storage key in a mobile device without secure elements
KR20180108907A (en) * 2014-04-14 2018-10-04 마스터카드 인터내셔날, 인코포레이티드 Method and system for generating an advanced storage key in a mobile device without secure elements
KR20200018729A (en) * 2014-04-14 2020-02-19 마스터카드 인터내셔날, 인코포레이티드 Method and system for generating an advanced storage key in a mobile device without secure elements
KR101481101B1 (en) * 2014-05-21 2015-01-09 주식회사 인포바인 Method of athentication service using usim security token and apparatus for the same
US11842340B2 (en) 2014-10-21 2023-12-12 Mastercard International Incorporated Method and system for generating cryptograms for validation in a webservice environment
KR101625554B1 (en) * 2014-12-08 2016-06-14 고려대학교 산학협력단 System and method for authentication and key agreement
KR20190023354A (en) * 2017-08-28 2019-03-08 아주대학교산학협력단 Virtual machine migration device and method thereof
CN113726523A (en) * 2021-09-01 2021-11-30 国网四川省电力公司信息通信公司 Multi-identity authentication method and device based on Cookie and DR identity cryptosystem
CN113726523B (en) * 2021-09-01 2023-09-01 国网四川省电力公司信息通信公司 Multiple identity authentication method and device based on Cookie and DR identity cryptosystem

Also Published As

Publication number Publication date
KR100842267B1 (en) 2008-06-30

Similar Documents

Publication Publication Date Title
KR100842267B1 (en) Server, Client and Method for integrated user authentication in a system of multi-authentication means
KR101237632B1 (en) Network helper for authentication between a token and verifiers
KR100581590B1 (en) Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same
KR100811419B1 (en) Countermeasure Against Denial-of-Service Attack in Authentication Protocols Using Public-Key Encryption
CN107360571B (en) Method for anonymous mutual authentication and key agreement protocol in mobile network
CN103763356B (en) A kind of SSL establishment of connection method, apparatus and system
RU2307391C2 (en) Method for remote changing of communication password
Hwang et al. Improvement on Peyravian-Zunic's password authentication schemes
CA2913444C (en) System and method for user authentication
US20150319149A1 (en) Cryptographic method and system for secure authentication and key exchange
JP2008545353A (en) Establishing a reliable relationship between unknown communicating parties
CA2551113A1 (en) Authentication system for networked computer applications
US20080148043A1 (en) Establishing a secured communication session
JP2003536320A (en) System, method and software for remote password authentication using multiple servers
KR20150092719A (en) Device and method certificate generation
JP2016522637A (en) Secured data channel authentication that implies a shared secret
CN115955320B (en) Video conference identity authentication method
CN111740995A (en) Authorization authentication method and related device
KR100553792B1 (en) Apparatus and method having a function of client-to-clinet authenticattion
KR20080005344A (en) System for authenticating user&#39;s terminal based on authentication server
KR20070035342A (en) Method for mutual authentication based on the user&#39;s password
Hsieh et al. On the security of some password authentication protocols
Tang et al. On the security of some password-based key agreement schemes
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
Chen et al. SSL/TLS session-aware user authentication using a gaa bootstrapped key

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110609

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee