KR20100130467A - 사용자 중심의 아이덴터티 관리 시스템 및 그 방법 - Google Patents

사용자 중심의 아이덴터티 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR20100130467A
KR20100130467A KR1020090049181A KR20090049181A KR20100130467A KR 20100130467 A KR20100130467 A KR 20100130467A KR 1020090049181 A KR1020090049181 A KR 1020090049181A KR 20090049181 A KR20090049181 A KR 20090049181A KR 20100130467 A KR20100130467 A KR 20100130467A
Authority
KR
South Korea
Prior art keywords
service
provider server
service provider
user
protocol
Prior art date
Application number
KR1020090049181A
Other languages
English (en)
Other versions
KR101241864B1 (ko
Inventor
김승현
김덕진
김수형
정관수
조상래
조진만
최대선
조영섭
노종혁
진승헌
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090049181A priority Critical patent/KR101241864B1/ko
Priority to US12/791,764 priority patent/US20100310078A1/en
Publication of KR20100130467A publication Critical patent/KR20100130467A/ko
Application granted granted Critical
Publication of KR101241864B1 publication Critical patent/KR101241864B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말은, 서비스 사업자 서버에 서비스를 요청하고, 서비스에 해당하는 선택 가능한 복수 개의 프로토콜 파라미터가 기록된 서비스 파라미터를 서비스 사업자 서버로부터 수신하는 브라우저; 브라우저를 통해 서비스 파라미터를 전달받아 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 상호 작용부; 및 상호 작용부를 통해 선택된 프로토콜 파라미터에 근거하여 서비스 사업자 서버와 서비스 프로토콜을 수행하고, 서비스를 제공받기 위해 필요한 토큰 정보를 서비스 사업자 서버로부터 수신하여 브라우저에게 전달하는 서비스 처리부를 구비한다.
Figure P1020090049181
가입, 인증, 갱신, 아이덴터티, 관리, 사용자, 프로파일, 파라미터, 프로토콜

Description

사용자 중심의 아이덴터티 관리 시스템 및 그 방법{System for User-Centric Identity management and method thereof}
본 발명은 사용자 중심의 아이덴터티 관리 시스템 및 그 방법에 관한 것이다. 더욱 상세하게는, 사용자 중심의 아이덴터티 관리 환경에서 사용자 아이덴터티 관리에 필요한 서비스를 다양한 강도로 제공하는 아이덴터티 관리 시스템 및 그 방법에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호:2007-S-601-02, 과제명: 자기통제 강화형 전자 ID지갑 시스템 개발].
현재 인터넷 환경은 사이트마다 각기 다른 인증방법과 개인정보 입력방법으로 인해 불편하고 피싱(Phishing) 공격 등에 의해 개인 정보 유출이 심각하여 편의성과 보안성 측면에서 취약함을 보인다. 그리고, 대부분의 사이트들은 인터넷 서비스 제공을 위해 필요 이상의 정보를 요구하고 있다. 예컨대, 사용자들은 인터넷 서비스를 이용하기 위해 사이트에 가입할 때, 이름, 주민등록번호, 주소, 전화번호, 이메일 주소 등 자신의 중요한 개인 정보를 제공해야만 한다. 하지만, 현재 인터넷 환경은 인터넷 사이트 가입시에 포괄적인 약관 동의만으로 개인 정보 통제에 대한 모든 권리가 서비스 제공자에게로 이양되어 개인 정보에 대한 사용자의 자기 통제권이 부재하게 된다는 문제점이 있다.
또한, 사용자들은 너무 많은 사이트에 가입을 하다 보니, 자신의 개인 정보를 어느 사이트에 제공하였는지, 어떤 정보를 제공하였는지 기억하기 쉽지 않다. 그리고, 수많은 영세 사이트들은 고객의 정보를 관리함에 있어서 정보 보호 및 프라이버시 보호 문제들을 전혀 고려하지 않고 있다. 뿐만 아니라, 개인의 정보를 불법으로 판매하는 일도 발생하고 있다.
따라서, 직관적이고 일관성 있는 인증 방법을 제공하고 개인정보에 대한 자기 통제권을 강화하여 개인정보의 오남용으로 인한 개인정보 침해를 줄일 수 있는 대책이 요구되고 있다.
전술한 바와 같은 문제점을 해결하기 위해 사용자의 개인 정보를 안전하게 관리하고 공유시키기 위한 기술들이 제안되고 있다. 대표적으로 사용자 중심의 ID 관리 시스템이 있다. 사용자 중심의 ID 관리 시스템은 사용자가 모든 트랜잭션의 중심에 위치하여 자신의 개인정보가 유통되는 흐름을 제어해줌으로써, 사용자가 인터넷을 사용함에 있어, 자신의 개인 정보를 보다 편리하고 안전하게 관리할 수 있는 환경을 제공하는 것을 목적으로 한다.
인터넷 서비스를 제공하는 서비스 사업자 위주로 관리되던 기존의 ID 관리 시스템과는 달리, 사용자 중심의 ID 관리 시스템에서는 사용자가 개인정보를 직접 보유하고 관리하거나 서비스 사업자가 보유한 개인정보를 직접 제어할 수 가 있다. 따라서, 사용자는 본인의 개인정보에 대한 통제권을 가질 수 있으며, 원하는 시점에 원하는 개인정보만을 노출시킬 수 있기 때문에 개인의 프라이버시를 강화할 수 있는 장점이 있다.
그러나, 기존의 사용자 중심의 ID 관리 시스템은 단순한 인증 서비스를 제외한 다른 서비스는 고려하고 있지 못하고 있다. 또한, 그 인증 서비스의 경우에도 구체적인 인증 메커니즘에 대해서는 전혀 고려하고 있지 않고 있다.
때문에, 기존 사용자 중심의 ID 관리 시스템에서 사용되는 기술은 상대적으로 높은 수준의 보안이 요구되는 환경에는 적합하지 않다는 평가를 받고 있다.
이러한 점을 보완하고자 높은 보안 수준을 갖는 특정 인증 기술을 사용하는 경우가 있을 수 있는데, 이는 다양한 서비스와 단말을 고려해야 하는 사용자 중심의 ID 관리 시스템의 특성상 적합하지 않다. 아울러, 기존 사용자 중심의 ID 관리 시스템에서는 인증 서비스에 대한 프로토콜만을 고려하고 있으며, 그 이외의 서비스 프로토콜에 대해서는 고려하고 있지 않고 있다.
즉, 기존 사용자 중심의 ID 관리 시스템에서는 인증, 가입, 인증 정보 갱신, 기본 프로파일 제출 및 갱신, 로그 아웃, 탈퇴 등의 서비스에 대해 사용자가 중심이 되어 다양한 강도로 자신의 개인정보가 유통되는 흐름을 제어할 수 있는 방안이 고려되고 있지 않다.
본 발명은 상기한 바와 같은 문제점을 해결하기 위해 고안된 것으로서,
사용자 중심의 ID 관리 환경에서, 인증, 가입, 인증 정보 갱신, 기본 프로파일 제출 및 갱신, 로그 아웃, 탈퇴 등의 서비스에 대해 사용자가 중심이 되어 자신의 개인정보가 유통되는 흐름을 다양한 강도로 제어할 수 있는 아이덴터티 관리 시스템 및 관리 방법을 제공하는 것을 목적으로 한다.
본 발명의 사용자 단말은, 서비스 사업자 서버와 네트워크를 통해 연결되고, 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말로서, 상기 서비스 사업자 서버에 서비스를 요청하고, 상기 서비스에 해당하는 선택 가능한 복수 개의 프로토콜 파라미터가 기록된 서비스 파라미터를 상기 서비스 사업자 서버로부터 수신하는 브라우저; 상기 브라우저를 통해 상기 서비스 파라미터를 전달받아 상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 상호 작용부; 및 상기 상호 작용부를 통해 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하고, 상기 서비스를 제공받기 위해 필요한 토큰 정보를 상기 서비스 사업자 서버로부터 수신하여 상기 브라우저에게 전달하는 서비스 처리부를 구비한다.
특히, 상기 서비스 파라미터는, 사이트 가입, 인증, 인증 정보 갱신, 프로파일 갱신, 로그아웃, 및 사이트 탈퇴를 위한 서비스 파라미터 중 어느 하나인 것을 특징으로 한다.
또한, 상기 상호 작용부는, 상기 선택 가능한 복수 개의 프로토콜 파라미터를 사용자에게 출력하고, 그에 따른 사용자 선택을 입력받아 상기 복수 개의 프로 토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 것을 특징으로 한다.
또한, 상기 프로토콜 파라미터는, 인증 방식, 암호화 방식, 및 암호화를 위한 키 사이즈 중 어느 하나에 관한 프로토콜 파라미터인 것을 특징으로 한다.
또한, 상기 인증 방식은, 패스워드, 공개키 기반(PKI), 생체 정보, 및 투 팩터 인증 방식 중 하나 이상의 인증 방식을 포함하는 것을 특징으로 한다.
또한, 상기 서비스 처리부는, 상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하기 위해 필요한 정보를 암호화하는 암호화부를 구비하는 것을 특징으로 한다.
또한, 상기 서비스 파라미터에 기록된 서버 검증 수단에 따라 상기 서비스 사업자 서버와 통신 채널을 설정하고 상기 서비스 사업자 서버를 검증하는 서버 검증부를 더 구비하는 것을 특징으로 한다.
또한, 상기 서비스 파라미터에는, 상기 서비스 사업자 서버의 위치식별정보, 상기 서비스 사업자 서버의 도메인 네임, 및 상기 서비스 파라미터의 서비스 식별정보가 기록되어 있는 것을 특징으로 한다.
또한, 상기 서비스 처리부는, 공유키를 만들기 위한 공유키 생성 정보를 생성하여 상기 서비스 사업자 서버로 전송되도록 하고, 상기 서비스 사업자 서버로부터 공유키 생성 정보를 수신하여 공유 키를 생성하는 키 생성부를 구비하는 것을 특징으로 한다.
한편, 본 발명의 아이덴터티 관리 방법은, 브라우저와 연동된 아이덴터티 관 리 장치의 아이덴터티 관리 방법으로서, 상기 브라우저의 호출에 의해 구동되는 단계; 서비스 사업자 서버로부터 전송된 선택 가능한 복수 개의 프로토콜 파라미터가 기록된 서비스 파라미터를 상기 브라우저를 통해 전달받는 단계; 상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 단계; 상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계; 상기 서비스 사업자 서버로부터 서비스를 제공받기 위해 필요한 토큰 정보를 상기 서비스 사업자 서버로부터 수신하는 단계; 및 상기 서비스 사업자 서버로부터 수신한 토큰 정보를 상기 브라우저에 전달하는 단계를 포함한다.
특히, 상기 서비스 파라미터는, 사이트 가입, 인증, 인증 정보 갱신, 프로파일 갱신, 로그아웃, 및 사이트 탈퇴를 위한 서비스 파라미터 중 어느 하나인 것을 특징으로 한다.
또한, 상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 단계는, 상기 선택 가능한 복수 개의 프로토콜 파라미터를 사용자에게 출력하고, 그에 따른 사용자 선택을 입력받아 상기 어느 하나의 프로토콜 파라미터를 선택하는 것을 특징으로 한다.
또한, 상기 서비스 파라미터에 기록된 서버 검증 수단에 따라 상기 서비스 사업자 서버와 통신 채널을 설정하고 상기 서비스 사업자 서버를 검증하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 프로토콜 파라미터는, 인증 방식, 암호화 방식, 및 암호화를 위한 키 사이즈 중 어느 하나에 관한 프로토콜 파라미터인 것을 특징으로 한다.
또한, 상기 인증 방식은, 패스워드, 공개키 기반(PKI), 생체 정보, 및 투 팩터 인증 방식 중 하나 이상의 인증 방식을 포함하는 것을 특징으로 한다.
또한, 상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계는, 상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하기 위해 필요한 정보를 암호화하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계는, 공유키를 만들기 위한 공유키 생성 정보를 성성하여 상기 서비스 사업자 서버로 전송하는 단계; 및 상기 서비스 사업자 서버로부터 공유키 생성 정보를 수신하여 공유키를 생성하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 서비스 사업자 서버에 사용자 로그인을 수행하기 위한 식별정보를 생성하고, 상기 사용자 로그인을 수행하기 위한 식별정보를 상기 생성된 공유키를 이용해 암호화하는 단계; 및 암호화된 상기 사용자 로그인을 수행하기 위한 식별정보를 상기 서비스 사업자 서버로 전송하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 서비스 사업자 서버에 사용자 로그인을 수행하기 위한 식별정보를 생성하는 단계는, 상기 사용자 로그인을 수행하기 위한 식별정보를 의사난수 함수(peudo-random function)를 이용하여 생성하는 것을 특징으로 한다.
본 발명에 따르면 다음과 같은 효과가 있다.
사용자가 모든 트랜잭션의 중심에 위치하여 자신의 개인정보가 유통되는 흐름을 제어해줌으로써, 사용자가 인터넷을 사용함에 있어 개인정보의 오남용으로 인한 피해를 줄일 수가 있고, 자신의 개인정보를 보다 편리하고 안전하게 관리할 수가 있다.
특히, 인증, 가입, 인증 정보 갱신, 프로파일 제출 및 갱신, 로그 아웃, 탈퇴 등의 서비스에 대해 사용자가 중심이 되어 자신의 개인정보가 유통되는 흐름을 다양한 강도로 제어할 수 있는데 그 효과가 있다.
이하, 본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
도 1은 본 발명의 일실시예에 따른 사용자 중심의 아이덴터티 관리 시스템을 설명하기 위한 블럭도이다.
본 발명에 따른 아이덴터티 관리 시스템은 브라우저(browser, 10)와 연동되는 아이덴터티 관리 장치(20)를 구비하는 사용자 단말(100), 및 서비스 사업자 서버(200)을 구비한다.
본 발명의 사용자 중심의 아이덴터티 관리 시스템은, 예를 들어, 웹 환경에서 동작하며 구현되는 서비스 환경은 크게 클라이언트/서버의 형태를 취한다.
사용자 단말(100)은 서비스 사업자 서버(200)가 요청하는 정보를 서비스 사업자 서버(200)에 제공하고, 그에 따라 서비스 사업자 서버(200)로부터 소정의 인터넷 서비스를 제공받는 주체이다. 사용자는 브라우저(10)를 통해 서비스 사업자 서버(200)에게 서비스를 요청하고, 브라우저(10)를 통해 서비스 사업자로부터 서비스를 제공받는다. 예를 들어, 사용자 단말(100)은 마이크로소프트의 인터넷 익스플 로러(internet explorer)나 네스케이프의 네비게이터(navigator)와 같은 웹 브라우저를 사용하는 컴퓨터, 이동 통신 단말, PDA 등과 같은 통신 장치이다.
브라우저(10)는 서비스 사업자 서버(200)에게 서비스를 요청하고, 서비스 요청에 따라 서비스 사업자 서버(200)로부터 전송되는 서비스 파라미터를 수신하여 이를 아이덴터티 관리 장치(20)로 전달한다. 사용자가 브라우저(10)을 통해 서비스를 제공받기 위해서는 서비스 사업자 서버(200)가 요구하는 토큰(token) 정보를 전송하여야만 하는데, 이 토큰 정보를 생성하기 위해서 브라우저(10)는 다양한 서비스에 해당하는 서비스 파라미터를 서비스 사업자 서버(200)로부터 수신하여 아이덴터티 관리 장치(20)에 전달한다. 여기서 서비스 파라미터는, 인증, 사이트 가입, 인증 정보 갱신, 기본 프로파일 제출 및 갱신, 로그아웃, 사이트 탈퇴 서비스 등에 따라 각기 다른 형식을 갖는다. 그리고, 토큰은 일반적인 ID 관리 시스템들이 보안정보나 사용자의 아이덴터티를 교환하기 위한 사용하는 포맷을 의미한다.
아이덴터티 관리 장치(20)는 브라우저(10)에 의해 호출되며, 브라우저(10)로부터 서비스 파라미터를 전달받아, 서비스 사업자 서버(200)와 해당 서비스 파라미터에 상응하는 서비스 프로토콜을 수행하여 해당 서비스가 사용자에게 제공되도록 처리한다. 예를 들어, 아이덴터티 관리 장치(20)가 인증 파라미터를 브라우저(10)로부터 전달받은 경우, 상기한 인증 파라미터에는 서비스 사업자 서버(200)가 지정한 하나 이상의 인증 방식과 각 인증 방식 별로 제공받을 수 있는 서비스가 기록되어 있다. 여기서 인증 방식으로는, 패스워드, PKI(Public Key Infrastructure), 생체 정보, 및 투 팩터(two-factor) 인증 방식 등이 적용될 수 있으며, 동일한 인증 방식에서도 보안 수준에 따라 다르게 적용될 수 있는 정보, 암호화 방식(예컨대, AES, SEED, DESE, DES, RSA 등), 암호 키 사이즈 등이 구분될 수 있다. 따라서, 사용자는 자신이 받을 서비스와 단말 환경을 감안하여 인증 방식을 선택할 수가 있고, 자신의 개인정보가 유통되는 흐름을 다양한 강도로 제어하여 제공받는 서비스에 비해 과다한 개인정보가 서비스 사업자 서버(200)에게 유출 또는 제공되는 것을 방지할 수 있다.
또한, 아이덴터티 관리 장치(20)는 사용자의 아이덴터티를 요청하는 서비스 사업자 서버(200)에게 사용자의 아이덴터티가 공유되도록 처리하며, 아이덴터티 정보의 동기화를 수행하고, 서비스를 제공받기 위해 필요한 토근 정보를 관리한다. 일반적으로, 아이덴터티는 프로파일(Profile)과 공유 아이덴터티로 구분되며, 프로파일은 일반적으로 사이트에 가입할 때 제공되는 사용자 정보이고, 공유 아이덴터티는 사용자와 서비스 사업자 서버간에 생성된 정보를 공유하기 위한 규약 및 데이터 등을 의미한다. 예컨대, 프로파일은 닉네임, 회사주소, 집주소, 전화번호, 가족과 같이 정부나 회사 같은 기관에서 발급받거나 등록한 사용자 정보, 학력, 취미, 종교, 사용자 식별자 등과 같이 개인을 유일(Unique)하게 구분할 수 있는 정보가 될 수 있다.
사용자의 모든 아이덴터티는 아이덴터티 관리 장치(20)를 거쳐 서비스 사업자 서버(200)에게 공유된다.
서비스 사업자 서버(200)는 브라우저(10)로부터 수신한 서비스 요청에 따라, 그에 해당하는 서비스 파라미터를 브라우저(10)로 전송한다. 예를 들어, 수신한 메 시지가, 가입을 요청하는 메시지인 경우에는 가입을 위한 서비스 파라미터를 브라우저(10)로 전송하고, 인증 정보 갱신을 위한 메시지인 경우에는 인증 정보 갱신을 위한 서비스 파라미터를 브라우저(10)로 전송한다.
서비스 사업자 서버(200)는 서비스 파라미터를 브라우저(10)에 전송하고 난 후, 아이덴터티 관리 장치(20)와 소정의 서비스 프로토콜을 수행한다. 아이덴터티 그리고, 서비스 사업자 서버(200)는 아이덴터티 관리 장치(20)와의 서비스 프로토콜 수행이 완료되면, 아이덴터티 관리 장치(20)로 해당하는 토큰 정보를 전송한다. 여기서 토큰 정보는 서비스 사용자가 브라우저(10)를 통해 서비스 사업자 서버(200)로부터 해당 서비스를 제공받기 위해 사용된다.
도 2는 도 1의 아이덴터티 관리 장치를 보다 상세하게 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 아이덴터티 관리 장치(20)는 서버 검증부(30), 상호 작용부(40), 및 서비스 처리부(50)를 구비한다.
서버 검증부(30)는 브라우저(10)를 통해 전달받은 서비스 파라미터의 서버 검증 수단('ServerValidation', 도 4참조)에 따라 HTTP(hypertext transfer protocol) 또는 SSL(secure sockets layer)를 이용하여 서비스 사업자 서버(200)와 통신 채널을 설정하고 서버를 검증한다. 서버 검증부(30)는 서버 검증 수단이 'host'인 경우, URL로 서버를 검증하는 절차를 수행하며, "scheme://host:port" 형식을 갖는다. 서버 검증 수단이 'TLS-CERT'인 경우, SSL 채널을 설정한 뒤 서버를 검증하는 절차를 수행한다. 보다 상세하게는, 공개키 인증서의 해쉬 octet string을 바탕으로 서비스 사업자 서버(200)의 'ServiceUrl'로 접근하여 TLS(Transport Layer Security) 공개키 인증서를 획득하고 일치하는지 여부를 확인하여 서비스 사업자 서버(200)를 검증한다.
상호 작용부(40)는 서비스 사업자 서버(200)와 소정의 서비스 프로토콜을 수행함에 있어서, 사용자 선택이 필요한 관련 데이터를 사용자에게 출력하고 그에 따른 사용자 선택을 입력받는다. 예컨대, 상호 작용부(40)는 서비스 사업자 서버(200)에 생성할 사용자 ID를 사용자로부터 입력받고, 서비스 사업자 서버(200)가 지정한 복수 개의 인증 방식, 암호화 방식, 및 암호 키 사이즈 등을 사용자에게 출력하고 그에 따른 사용자 선택을 입력받는다.
서비스 처리부(50)는 서비스 사업자 서버(200)로부터 수신한 서비스 파라미터를 이용하여 서비스 사업자 서버(200)와 소정의 서비스 프로토콜을 수행한다. 그리고, 서비스 사업자 서버(200)로부터 토큰 정보를 획득하여 사용자가 서비스 사업자 서버(200)로부터 서비스를 제공받을 수 있게 한다.
이를 위해 서비스 처리부(50)는 아이덴터티 관리부(51), 토큰 관리부(53), 키 생성부(55), 암호화부(57), 및 복호화부(59)를 구비한다.
아이덴터티 관리부(51)는 사용자의 아이덴터티를 요청하는 서비스 사업자 서버(200)에게 사용자의 아이덴터티가 공유되도록 처리하며, 이를 관리한다.
토큰 관리부(53)는 서비스 사업자 서버(200)로부터 수신한 토큰 정보를 관리하고, 이를 브라우저(10)에 전달한다.
키 생성부(55)는 공유키를 만들기 위한 공유키 생성 정보를 생성하고, 서비스 사업자 서버(200)로부터 수신한 공유키 생성 정보를 이용하여 공유 키를 생성한다.
암호화부(57)는 서비스 사업자 서버(200)와 서비스 프로토콜을 수행하기 위해 필요한 정보를 서비스 파라미터에 기록된 암호화 방식에 근거하여 암호화를 수행한다. 예컨대, 암호화부(57)에서 암호화하는 정보로는, 로그인을 위한 식별 정보(SS:Shared secret), 사용자 프로파일, 로그아웃과 탈퇴인 경우에는 세션 ID와 같은 정보가 있다. 로그인을 위한 식별정보(SS)는 숫자 및 문자 중 어느 하나 이상의 조합으로 이루어진 패스워드가 될 수 있다.
복호화부(59)는 서비스 사업자 서버(200)와 서비스 프로토콜을 수행하기 위해 필요한 정보를 서비스 파라미터에 기록된 암호화 방식에 근거하여 복호화를 수행한다.
도 3은 본 발명의 일실시예에 따른 사용자 중심의 아이덴터티 관리 방법을 설명하기 위한 도면이다.
사용자는 브라우저(10)를 통해 서비스 사업자 서버(200)에게 소정의 서비스를 요청한다(S100).
사용자 단말(100)로부터 서비스 요청을 수신한 서비스 사업자 서버(200)는, 사용자 단말(100)의 브라우저(10)로 해당 서비스에 상응하는 서비스 파라미터를 전송하고, 사용자 단말(100)에게 서비스를 제공하기 위해 필요한 토큰 정보를 요구한 다(S110).
서비스 사업자 서버(200)로부터 서비스 파라미터를 수신한 브라우저(10)는, 아이덴터티 관리 장치(20)를 호출하여 장치를 구동시키고 수신한 서비스 파라미터를 전달한다(S120).
브라우저(10)로부터 서비스 파라미터를 수신한 아이덴터티 관리 장치(20)는 전달받은 서비스 파라미터를 이용하여 서비스 사업자 서버(200)와 해당 서비스 파라미터에 상응하는 서비스 프로토콜을 수행한다(S130). 여기서 서비스 파라미터는 사용자가 받고 싶어하는 서비스에 따라 각기 다른 형식을 갖는다.
아이덴터티 관리 장치(20)와 서비스 사업자 서버(200) 간에 서비스 프로토콜이 완료되면, 서비스 사업자 서버(200)는 아이덴터티 관리 장치(20)에게 토큰 정보를 전송한다(S140). 브라우저(10)가 해당 서비스를 서비스 사업자 서버(200)로부터 제공받기 위해서는 상기한 토큰 정보를 아이덴터티 관리 장치(20)로부터 전달받아 서비스 사업자 서버(200)에 제시하여야만 한다.
다음으로, 아이덴터티 관리 장치(20)는 서비스 사업자 서버(200)로부터 수신한 토큰 정보를 브라우저(10)에게 전달하여, 브라우저(10)가 토큰 정보를 서비스 사업자 서버(200)에 제시할 수 있도록 한다(S150).
S150 단계를 통해 토큰 정보를 전달받은 브라우저(10)는, 서비스 사업자 서버(200)에게 토큰 정보를 전송하고, 서비스 사업자 서버(200)에게 해당 서비스를 제공해줄 것을 요청한다.
마지막으로, 서비스 사업자 서버(200)는 브라우저(10)로부터 토큰 정보를 수 신하고, 수신한 토큰 정보를 검증한 뒤, 검증 결과가 적합하면 해당 서비스를 제공한다(S170).
도 5 및 도 6은 본 발명의 아이덴터티 관리 장치가 서비스 사업자 서버와 가입 서비스 프로토콜을 수행하는 과정을 보다 상세하게 설명하기 위한 흐름도이다. 여기서 가입 서비스는 아이덴터티 관리 장치를 이용하여 서비스 사업자 서버에 가입하는 기능이다. 보다 상세하게는 가입 서비스는 사용자가 입력한 사용자 ID를 이용하여 사용자 계정 생성, 자동 로그인을 위한 식별정보(SS:Shared secret) 교환, 사용자가 서비스 사업자 서버에 로그인할 때 사용할 수 있는 토큰 정보를 제공하는 기능을 포함한다.
도 5 및 도 6을 참조하면, 먼저, 브라우저는 서비스 사업자 서버에 가입 서비스를 요청하고, 그에 따라 서비스 사업자 서버로부터 가입을 위한 서비스 파라미터(이하, '가입 파라미터')와 함께 가입을 위한 토큰 정보(가입 토큰 정보) 요청을 수신한다. 브라우저가 서비스 사업자 서버로부터 가입 파라미터와 함께 가입 토큰 정보 요청을 수신하면, 아이덴터티 관리 장치를 호출한다. 그리고 아이덴터티 관리 장치에게 서비스 사업자 서버로부터 수신한 데이터를 전달한다.
브라우저의 호출에 의해 아이덴터티 관리 장치가 구동된다(S10). 구동된 아이덴터티 관리 장치는 브라우저로부터 가입 파라미터 및 가입 토큰 정보 요청을 수신한다(S20).
브라우저를 통해 전달받은 가입 파라미터는 도 4와 같은 형식을 갖는다. 도 4를 참조하면, 가입 파라미터에서 'SiteDomain'은 서비스를 제공하는 주체인 서비스 사업자 서버의 도메인 네임을 나타내고, 'ServiceUrl'은 가입 서비스를 처리하는 서비스 사업자 서버의 위치식별 정보(예컨대, URL)를 나타낸다. 그리고, 'ServiceParam'은 프로토콜 파라미터를 나타내고, 'OperationCode'는 해당 서비스 파라미터가 가입 서비스를 제공하기 위한 파라미터임을 나타내며, 해당 서비스의 종류에 따라 달라진다.
도 4의 'ServiceParam'에 기록된 프로토콜 파라미터 중 'MutualAuthenticationAlgorithm'은 'iso1177-4-dl-2048'과 'iso1177-4-dl-2096' 중 하나의 프로토콜 파라미터를 선택할 수 있도록 되어 있다. 가입 파라미터 뿐만이 아니라 다른 서비스 프로토콜(예컨대, 인증정보 갱신, 탈퇴, 로그아웃을 위한 서비스 프로토콜)에서도 사용자가 복수 개의 프로토콜 파라미터 중 하나를 선택할 수 있도록 되어 있다. 따라서, 사용자는 자신이 받을 서비스와 단말 환경을 감안하여 인증 방식을 선택할 수가 있고, 자신의 개인정보가 유통되는 흐름을 다양한 강도로 제어하여 제공받는 서비스에 비해 과다한 개인정보가 서비스 사업자 서버에게 유출 또는 제공되는 것을 방지할 수 있다.
다음으로, 아이덴터티 관리 장치는, 가입 파라미터에 기록된 'ServerValidation'(서버 검증 수단)에 따라 HTTP 또는 SSL를 이용하여 서비스 사업자 서버와 채널을 설정하고 서버를 검증한다(S30). 서버 검증 수단이 'host'인 경우, URL로 서버를 검증하는 절차를 수행하며, "scheme://host:port" 형식을 갖는다. 서버 검증 수단이 'TLS-CERT'인 경우, SSL 채널을 설정한 뒤 서버를 검증하는 절차를 수행한다. 보다 상세하게는, 공개키 인증서의 해쉬 octet string을 바탕으로 서비스 사업자 서버의 'ServiceUrl'로 접근하여 TLS 공개키 인증서를 획득하고 일치하는지를 확인한다(S40)
S40 단계에서 서비스 사업자 서버가 검증 절차를 통과한 경우, 아이덴터티 관리 장치는 서비스 사업자 서버에 생성할 사용자 ID를 사용자로부터 입력받는다(S50). 그리고, 공유키를 만들기 위한 정보인 '공유키 생성 정보'(예컨대, sa = random[1,r-1], wa = g^sa mod q)를 생성하여 사용자 ID가 포함된 가입 요청 메시지와 함께 서비스 사업자 서버로 전송한다(S60).
S40 단계에서 서비스 사업자 서버가 검증 절차를 통과하지 못한 경우에는, 서비스 사업자 서버가 전술한 바와 같은 소정의 검증 절차를 통과하지 못하였음을 사용자에게 알리고, 과정을 종료한다(S45).
한편, 서비스 사업자 서버는, 아이덴터티 관리 장치로부터 수신한 가입 요청 메시지 및 키 생성 정보를 처리한다. 서비스 사업자 서버는 수신한 사용자 ID를 이용하여 사용자 레코드를 생성하고 해당 사용자 레코드에 사용자 ID를 저장한다. 이때, 서비스 사업자 서버는 wa가 q-1보다 작은지 확인하고, 입력받은 사용자 ID의 중복여부를 확인한다. 즉, 입력받은 사용자 ID와 동일한 사용자 ID가 기존에 저장되어 있는지를 판단하고, 동일한 사용자 ID가 존재할 경우 사용자 ID 재전송 요청 메시지를 아이덴터티 관리 장치에 반환하고, 동일한 사용자 ID가 존재하지 않을 경우에는 사용자 레코드를 생성하여 입력받은 사용자 ID를 저장한다.
또한, 서비스 사업자 서버는 공유키를 만들기 위한 공유키 생성 정보(Pi = h(vs(algorithm)|vs(auth-domain)|vs(realm)|vs(id)), vs(s)=vi(length(s))|s, vi(i) = octet(i) for i<128, octet(0x80|(i>>7))|octet(i&127) for 128 <= I < 16384, Sb = random[1,r-1], Wb = ((g^(pi) mod q)* wa^(H(octet(1))|octets(wa)))^sb mod q)를 생성하여 세션 ID와 함께 아이덴터티 관리 장치로 전송한다.
다음으로, 아이덴터티 관리 장치는 서비스 사업자 서버로부터 전송되는 메시지를 수신한다. 즉, 아이덴터티 관리 장치는 서비스 사업자 서버로부터 공유키 생성 정보 및 세션 ID를 수신하여 이를 검증하고 공유키를 생성한다. 보다 상세하게는, 아이덴터티 관리 장치는 Wb가 q-1보다 작은지 확인하고 공유키(Pi = h(vs(algorithm)|vs(auth-domain)|vs(realm)|vs(id)), vs(s)=vi(length(s))|s, vi(i) = octet(i) for i<128, octet(0x80|(i>>7))|octet(i&127) for 128 <= I < 16384, 공유키 z = wb^((sa + H(octet(2)|OCTETS(wa)|OCTETS(wb)))/ (sa*H(octet(1)|wa)+(pi)) mod r) mod q)를 생성한다(S80).
다음으로, 아이덴터티 관리 장치는 해당 공유키를 이용하여 로그인을 위한 식별정보(SS)를 암호화하고(S100), 이를 세션 ID와 함께 서비스 사업자 서버로 전송한다(S110). 여기서 아이덴터티 관리 장치는 사용자 로그인을 위한 식별정보(SS)를 의사난수 함수(peudo-random function)를 이용하여 생성하며, 단계 S20에서 수신한 가입 파라미터에 기록된 암호화 방식(예컨대, DES)에 따라 로그인을 위한 식별정보(SS)를 암호화한다. 그리고, 대칭키는 키 사이즈에 따라 공유키 z의 초기 비트를 이용하여 생성한다.
그리고, 서비스 사업자 서버는, 아이덴터티 관리 장치로부터 암호화된 식별정보(SS)와 세션 ID를 수신하여 암호화된 식별정보(SS)를 복호화하고 세션 ID를 검증한다. 보다 상세하게는, 서비스 사업자 서버는 공유키(z = (wa*g^H(octet(2)|OCTETS(wa)|OCTETS(wb)))^sb mod q)를 생성하고, 단계 S20에서 아이덴터티 관리 장치로 전송한 가입 파라미터에 기록된 암호화 방식에 따라 로그인을 위한 식별정보(SS)를 복호화한다. 이때, 대칭키는 키 사이즈에 따라 공유키 z의 초기 비트를 이용하여 생성한다. 그리고, 서비스 사업자 서버는 복호화된 식별정보(SS)를 세션 ID에 매핑된 해당 사용자의 레코드에 저장한다.
다음으로, 서비스 사업자 서버는 가입 파라미터에 기록된 암호화 방식에 따라 로그인을 위한 식별정보(SS)와 세션 ID를 암호화한 뒤, 가입을 위해 필요한 정보가 포함된 토큰 정보(가입 토큰 정보)와 함께 아이덴터티 관리 장치로 전송한다.
다음으로, 아이덴터티 관리 장치는 서비스 사업자 서버로부터 데이터를 수신하여 가입 파라미터에 기록된 암호화 방식에 따라 로그인을 위한 식별정보(SS) 및 세션 ID를 복호화하고(S130), 자신이 전송한 정보와 일치하는지를 판단한다(S140).
S140 단계에서의 판단 결과, 일치하는 경우에는 가입 토큰 정보를 저장한 뒤(S150), 이를 브라우저에게 전달한다(S160). 이에 브라우저는 전달받은 가입 토큰 정보를 서비스 사업자 서버에게 전송하여 서비스 사업자 서버로부터 서비스를 제공받게 된다.
한편, S140 단계에서의 판단 결과, 사용자에게 오류를 보고하고 과정을 종료한다(S145).
이상, 본 발명의 아이덴터티 관리 시스템에서 수행될 수 있는 다양한 서비스 프로토콜 중 가입 서비스 프로토콜이 수행되는 경우만을 예로 들어 설명하였다. 하지만, 전술한 바와 같이, 서비스 파라미터의 종류에 따라 수행되는 서비스 프로토콜의 형태가 다소 차이가 있을 수 있으나, 가입 서비스를 제외한 인증 정보 갱신, 기본 프로파일의 제출 및 갱신, 로그아웃, 탈퇴 서비스는 암호화 방식을 사용하여 상호 주고받는 정보만 달라지는 형태로 구현된다. 예를 들어, 인증 정보 갱신인 경우 새로 생성한 SS 정보, 프로파일 제출이나 갱신인 경우 프로파일 정보, 로그아웃과 탈퇴인 경우 세션 ID와 같은 정보를 서비스 파라미터에 기록된 암호화 방식에 근거하여 암호화한 뒤 이를 주고받게 된다.
전술한 바에 따르면, 상대적으로 높은 수준의 보안이 요구되는 환경에서도 사용자가 모든 트랜잭션의 중심에 위치하여 자신의 개인정보가 유통되는 흐름을 제어해줄 수 있게 된다. 따라서, 사용자가 인터넷을 사용함에 있어 개인정보의 오남용으로 인한 피해를 줄일 수가 있고, 자신의 개인정보를 보다 편리하고 안전하게 관리할 수가 있다. 특히, 인증, 가입, 인증 정보 갱신, 프로파일 제출 및 갱신, 로그 아웃, 탈퇴 등의 서비스에 대해 사용자가 중심이 되어 다양한 강도로 자신의 개인정보가 유통되는 흐름을 제어할 수가 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1은 본 발명의 일실시예에 따른 사용자 중심의 아이덴터티 관리 시스템을 설명하기 위한 블럭도이다.
도 2는 도 1의 아이덴터티 관리 장치를 보다 상세하게 설명하기 위한 도면이다.
도 3은 본 발명에 따른 사용자 중심의 아이덴터티 관리 방법을 설명하기 위한 도면이다.
도 4는 서비스 사업자 서버가 가입 서비스를 위해 아이덴터티 관리 장치에 전송하는 가입 파라미터의 일예를 나타내는 도면이다.
도 5 및 도 6은 본 발명의 아이덴터티 관리 장치가 서비스 사업자 서버와 가입 서비스 프로토콜을 수행하는 과정을 설명하기 위한 도면이다.

Claims (19)

  1. 서비스 사업자 서버와 네트워크를 통해 연결되고, 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말로서,
    상기 서비스 사업자 서버에 서비스를 요청하고, 상기 서비스에 해당하는 선택 가능한 복수 개의 프로토콜 파라미터가 기록된 서비스 파라미터를 상기 서비스 사업자 서버로부터 수신하는 브라우저;
    상기 브라우저를 통해 상기 서비스 파라미터를 전달받아 상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 상호 작용부; 및
    상기 상호 작용부를 통해 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하고, 상기 서비스를 제공받기 위해 필요한 토큰 정보를 상기 서비스 사업자 서버로부터 수신하여 상기 브라우저에게 전달하는 서비스 처리부를 구비하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  2. 청구항 1에 있어서,
    상기 서비스 파라미터는,
    사이트 가입, 인증, 인증 정보 갱신, 프로파일 갱신, 로그아웃, 및 사이트 탈퇴를 위한 서비스 파라미터 중 어느 하나인 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  3. 청구항 1에 있어서,
    상기 상호 작용부는,
    상기 선택 가능한 복수 개의 프로토콜 파라미터를 사용자에게 출력하고, 그에 따른 사용자 선택을 입력받아 상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  4. 청구항 1에 있어서,
    상기 프로토콜 파라미터는,
    인증 방식, 암호화 방식, 및 암호화를 위한 키 사이즈 중 어느 하나에 관한 프로토콜 파라미터인 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  5. 청구항 4에 있어서,
    상기 인증 방식은,
    패스워드, 공개키 기반(PKI), 생체 정보, 및 투 팩터 인증 방식 중 하나 이상의 인증 방식을 포함하는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  6. 청구항 1에 있어서,
    상기 서비스 처리부는,
    상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하기 위해 필요한 정보를 암호화하는 암호화부를 구비하는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  7. 청구항 1에 있어서,
    상기 서비스 파라미터에 기록된 서버 검증 수단에 따라 상기 서비스 사업자 서버와 통신 채널을 설정하고 상기 서비스 사업자 서버를 검증하는 서버 검증부를 더 구비하는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  8. 청구항 1에 있어서,
    상기 서비스 파라미터에는,
    상기 서비스 사업자 서버의 위치식별정보, 상기 서비스 사업자 서버의 도메인 네임, 및 상기 서비스 파라미터의 서비스 식별정보가 기록되어 있는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  9. 청구항 1에 있어서,
    상기 서비스 처리부는,
    공유키를 만들기 위한 공유키 생성 정보를 생성하여 상기 서비스 사업자 서버로 전송되도록 하고, 상기 서비스 사업자 서버로부터 공유키 생성 정보를 수신하여 공유 키를 생성하는 키 생성부를 구비하는 것을 특징으로 하는 사용자 중심의 아이덴터티 관리 시스템을 위한 사용자 단말.
  10. 브라우저와 연동된 아이덴터티 관리 장치의 아이덴터티 관리 방법으로서,
    상기 브라우저의 호출에 의해 구동되는 단계;
    서비스 사업자 서버로부터 전송된 선택 가능한 복수 개의 프로토콜 파라미터가 기록된 서비스 파라미터를 상기 브라우저를 통해 전달받는 단계;
    상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 단계;
    상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계;
    상기 서비스 사업자 서버로부터 서비스를 제공받기 위해 필요한 토큰 정보를 상기 서비스 사업자 서버로부터 수신하는 단계; 및
    상기 서비스 사업자 서버로부터 수신한 토큰 정보를 상기 브라우저에게 전달하는 단계를 포함하는 아이덴터티 관리 방법.
  11. 청구항 10에 있어서,
    상기 서비스 파라미터는,
    사이트 가입, 인증, 인증 정보 갱신, 프로파일 갱신, 로그아웃, 및 사이트 탈퇴를 위한 서비스 파라미터 중 어느 하나인 것을 특징으로 하는 아이덴터티 관리 방법.
  12. 청구항 10에 있어서,
    상기 복수 개의 프로토콜 파라미터 중 어느 하나의 프로토콜 파라미터를 선택하는 단계는,
    상기 선택 가능한 복수 개의 프로토콜 파라미터를 사용자에게 출력하고, 그에 따른 사용자 선택을 입력받아 상기 어느 하나의 프로토콜 파라미터를 선택하는 것을 특징으로 하는 아이덴터티 관리 방법.
  13. 청구항 10에 있어서,
    상기 서비스 파라미터에 기록된 서버 검증 수단에 따라 상기 서비스 사업자 서버와 통신 채널을 설정하고 상기 서비스 사업자 서버를 검증하는 단계를 더 포함하는 것을 특징으로 하는 아이덴터티 관리 방법.
  14. 청구항 10에 있어서,
    상기 프로토콜 파라미터는,
    인증 방식, 암호화 방식, 및 암호화를 위한 키 사이즈 중 어느 하나에 관한 프로토콜 파라미터인 것을 특징으로 하는 아이덴터티 관리 방법.
  15. 청구항 14에 있어서,
    상기 인증 방식은,
    패스워드, 공개키 기반(PKI), 생체 정보, 및 투 팩터 인증 방식 중 하나 이상의 인증 방식을 포하하는 것을 특징으로 하는 아이덴터티 관리 방법.
  16. 청구항 10에 있어서,
    상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계는,
    상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하기 위해 필요한 정보를 암호화하는 단계를 포함하는 것을 특징으로 하는 아이덴터티 관리 방법.
  17. 청구항 10에 있어서,
    상기 선택된 프로토콜 파라미터에 근거하여 상기 서비스 사업자 서버와 서비스 프로토콜을 수행하는 단계는,
    공유키를 만들기 위한 공유키 생성 정보를 성성하여 상기 서비스 사업자 서버로 전송하는 단계; 및
    상기 서비스 사업자 서버로부터 공유키 생성 정보를 수신하여 공유키를 생성하는 단계를 포함하는 것을 특징으로 하는 아이덴터티 관리 방법.
  18. 청구항 17에 있어서,
    상기 서비스 사업자 서버에 사용자 로그인을 수행하기 위한 식별정보를 생성 하고, 상기 사용자 로그인을 수행하기 위한 식별정보를 상기 생성된 공유키를 이용해 암호화하는 단계; 및
    암호화된 상기 사용자 로그인을 수행하기 위한 식별정보를 상기 서비스 사업자 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 아이덴터티 관리 방법.
  19. 청구항 18에 있어서,
    상기 서비스 사업자 서버에 사용자 로그인을 수행하기 위한 식별정보를 생성하는 단계는,
    상기 사용자 로그인을 수행하기 위한 식별정보를 의사난수 함수(peudo-random function)를 이용하여 생성하는 것을 특징으로 하는 아이덴터티 관리 방법.
KR1020090049181A 2009-06-03 2009-06-03 사용자 중심의 아이덴터티 관리 시스템 및 그 방법 KR101241864B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090049181A KR101241864B1 (ko) 2009-06-03 2009-06-03 사용자 중심의 아이덴터티 관리 시스템 및 그 방법
US12/791,764 US20100310078A1 (en) 2009-06-03 2010-06-01 System for user-centric identity management and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090049181A KR101241864B1 (ko) 2009-06-03 2009-06-03 사용자 중심의 아이덴터티 관리 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20100130467A true KR20100130467A (ko) 2010-12-13
KR101241864B1 KR101241864B1 (ko) 2013-03-11

Family

ID=43300766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090049181A KR101241864B1 (ko) 2009-06-03 2009-06-03 사용자 중심의 아이덴터티 관리 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US20100310078A1 (ko)
KR (1) KR101241864B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190040842A (ko) * 2017-10-11 2019-04-19 엘지전자 주식회사 결합형 프로토콜을 제공하는 방법, 이를 구현하는 프로토콜 제공장치 및 이에 결합하는 제어장치

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9313199B2 (en) * 2014-07-25 2016-04-12 Verizon Patent And Licensing Inc. Secure BIOS access and password rotation
CN106603249B (zh) * 2015-10-19 2019-11-12 中国电信股份有限公司 基于url加密信息比对的计费方法、设备和系统
US10728343B2 (en) * 2018-02-06 2020-07-28 Citrix Systems, Inc. Computing system providing cloud-based user profile management for virtual sessions and related methods
KR102456859B1 (ko) 2018-10-05 2022-10-20 삼성전자 주식회사 5g 시스템에서 제공하는 서비스 파라미터를 단말과 네트워크에 프로비져닝하는 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6681017B1 (en) * 1997-09-03 2004-01-20 Lucent Technologies Inc. Simplified secure shared key establishment and data delivery protocols for electronic commerce
JP3439359B2 (ja) * 1998-12-18 2003-08-25 日本電気株式会社 個人識別方法、個人識別装置および記録媒体
US7356704B2 (en) * 2000-12-07 2008-04-08 International Business Machines Corporation Aggregated authenticated identity apparatus for and method therefor
JP2005100063A (ja) * 2003-09-24 2005-04-14 Sanyo Electric Co Ltd 認証装置および認証方法
JP4979210B2 (ja) 2005-08-24 2012-07-18 株式会社みずほ銀行 ログイン情報管理装置及び方法
WO2007044500A2 (en) * 2005-10-06 2007-04-19 C-Sam, Inc. Transactional services
KR20070082179A (ko) * 2006-02-15 2007-08-21 삼성전자주식회사 상호 인증 장치 및 그 방법
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US20080133296A1 (en) * 2006-12-05 2008-06-05 Electronics And Telecommunications Research Institute Method and system for managing reliability of identification management apparatus for user centric identity management
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190040842A (ko) * 2017-10-11 2019-04-19 엘지전자 주식회사 결합형 프로토콜을 제공하는 방법, 이를 구현하는 프로토콜 제공장치 및 이에 결합하는 제어장치

Also Published As

Publication number Publication date
KR101241864B1 (ko) 2013-03-11
US20100310078A1 (en) 2010-12-09

Similar Documents

Publication Publication Date Title
KR102124413B1 (ko) 아이디 기반 키 관리 시스템 및 방법
US7921292B1 (en) Secure messaging systems
US7395549B1 (en) Method and apparatus for providing a key distribution center without storing long-term server secrets
US10567370B2 (en) Certificate authority
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
US20030115452A1 (en) One time password entry to access multiple network sites
CN113612605A (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
CA2475489A1 (en) Secure electronic messaging system requiring key retrieval for deriving decryption keys
US20060005026A1 (en) Method and apparatus for secure communication reusing session key between client and server
CA2463034A1 (en) Method and system for providing client privacy when requesting content from a public server
WO2020206014A1 (en) Digital rights management authorization token pairing
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
KR101241864B1 (ko) 사용자 중심의 아이덴터티 관리 시스템 및 그 방법
KR100559958B1 (ko) 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
CN110138765A (zh) 数据处理方法和装置
KR20190010016A (ko) 사용자 인증 서버 및 시스템
CN111698203A (zh) 一种云数据加密方法
KR19990038925A (ko) 분산 환경에서 안전한 양방향 인증 방법
KR101165350B1 (ko) 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법
JPH11187008A (ja) 暗号鍵の配送方法
KR20140004703A (ko) 제어된 보안 도메인
CN113918971A (zh) 基于区块链的消息传输方法、装置、设备及可读存储介质
CN114978564B (zh) 基于多重加密的数据传输方法及装置
JPH09130376A (ja) 利用者パスワード認証方法
JP4911504B2 (ja) 匿名認証システム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee