KR20120071193A - 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법 - Google Patents

사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법 Download PDF

Info

Publication number
KR20120071193A
KR20120071193A KR1020100132823A KR20100132823A KR20120071193A KR 20120071193 A KR20120071193 A KR 20120071193A KR 1020100132823 A KR1020100132823 A KR 1020100132823A KR 20100132823 A KR20100132823 A KR 20100132823A KR 20120071193 A KR20120071193 A KR 20120071193A
Authority
KR
South Korea
Prior art keywords
authentication
hash value
subscriber
tree
hash
Prior art date
Application number
KR1020100132823A
Other languages
English (en)
Inventor
곽득휘
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020100132823A priority Critical patent/KR20120071193A/ko
Publication of KR20120071193A publication Critical patent/KR20120071193A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9014Indexing; Data structures therefor; Storage structures hash tables
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9027Trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Abstract

본원 발명은 해시 트리를 이용하여 임의의 가입자 아이디(ID)만으로 복수개의 인증 시스템에서 인증을 받을 수 있게 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법을 제공하는 데 있다.
본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법에 의하면 가입자가 다양한 인터넷 서비스를 이용하기 위해서 다수의 서비스에 가입해야 하는 절차적 번거로움을 해소하고, 사용자가 가입한 서비스의 아이디(ID)와 패스워드(PW)를 모두 기억하여야 하는 문제를 해결할 수 있는 효과가 있다.
본 발명에 의해 독립적인 SSO(Single Sign On) 서비스를 제공하는 다수의 인증 도메인을 묶어서 도메인 간 SSO(Single Sign On) 서비스를 제공할 수 있으며 보안 그룹을 구성하는 기법을 활용하여 SSO 서비스를 위한 유연한 웹 서버 관리가 가능한 장점이 있다.

Description

사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법{Hash tree based ID federation system and technique for the user authentication }
본원 발명은 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법에 관한 것으로, 보다 상세하게는 해시 트리를 이용하여 임의의 가입자 아이디(ID)만으로 복수개의 인증 시스템에서 인증을 받을 수 있게 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법에 관한 것이다.
일반적으로 어떤 서비스를 사용할 수 있는 회원임을 증명하는 인증시스템은 제공하는 인터넷 서비스의 범위가 제한된다.
따라서 사용자가 다양한 인터넷 서비스를 이용하기 위해서는 다수의 서비스에 가입하는 절차적 번거로움을 감수하여야 하고, 사용자가 가입한 서비스의 아이디(ID)와 패스워드(PW)를 모두 기억하여야 하는 문제가 있다.
각 아이디(ID)와 패스워드(PW)를 통해 인증을 받고 제공받는 서비스는 등록된 인터넷 서비스에 제한되어 있는 문제점을 해결하기 위해 종래에는 기술적으로 SSO(Single Sign On) 서비스를 위한 표준을 준용하거나 정책적으로 기관간 신뢰관계를 형성하여 ID 연합 기능을 제공할 수 있었다.
SSO(Single Sign On) 서비스는 한번의 로그인으로 여러 사이트에서 제공하는 서비스를 이용할 수 있게 해 주는 인증 서비스이다.
여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업이 각각의 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식으로, 1997년 IBM이 개발하였으며 우리나라에는 2000년 코리아닷컴이 처음 도입하였다.
개인의 경우 사이트에 접속하기 위하여 아이디와 패스워드는 물론 이름, 전화번호등 개인 정보를 각 사이트마다 일일이 기록해야 하던 것을 한번의 작업으로 끝나므로 불편함이 해소되며, 기업에서는 회원에 대한 통합관리가 가능해 마케팅을 극대화시킬 수 있다는 장점이 있다.
본 발명의 실시예가 이루고자 하는 기술적 과제는, 해시 트리를 이용하여 임의의 가입자 아이디(ID)만으로 복수개의 인증 시스템에서 인증을 받을 수 있게 하는 ID 연합 시스템 및 방법을 제공하는 데 있다.
상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템은, 가입자의 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성부; 상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성부; 상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성부; 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 비교부; 및 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하는 인증 수락부;를 포함하는 것을 특징으로 한다.
바람직하게는 상기 인증 수락부는 인증 허가시 상기 가입자의 신상 정보를 수신하는 것을 특징으로 한다.
바람직하게는 상기 등록 루트(Root) 해시값, 상기 제 1 해시값, 상기 제 2 해시값은 해시함수를 이용하여 상기 가입자의 패스워드(PWD)와 같은 비밀정보에 대항하여 생성된 해시값을 조합한 것을 특징으로 한다.
상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템은,가입자 정보를 등록 및 저장하여 상기 가입자의 인증을 수행하는 적어도 하나 이상의 제 1 인증부; 및 상기 가입자의 인증 허가시 상기 제 1 인증부로부터 상기 가입자 정보를 수신하는 적어도 하나 이상의 제 2 인증부;를 포함하는 것을 특징으로 한다.
바람직하게는 상기 제 2 인증부는 상기 가입자의 등록시 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성부; 상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성부; 상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성부; 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 비교부; 및 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하고, 상기 가입자의 정보를 수신하는 인증 수락부;를 포함하는 것을 특징으로 한다.
바람직하게는 상기 제 1 인증부 및 상기 제 2 인증부를 최상위 노드, 적어도 하나 이상의 제 1 중간 노드, 적어도 하나 이상의 제 2 중간 노드 또는 적어도 하나 이상의 하위노드로 분류하고 상기 최상위 노드는 한쌍의 상기 제 1 중간 노드를 자식노드로 가지며, 상기 제 1 중간 노드는 한쌍의 상기 제 2 중간 노드 또는 한쌍의 상기 하위 노드를 자식노드로 가지는 트리(tree) 구조로 관리하는 트리 및 그룹관리부;를 더 포함하는 것을 특징으로 한다.
바람직하게는 상기 트리 및 그룹 관리 시스템은 상기 제 1 인증부 및 상기 제 2 인증부에 저장된 해시함수를 이용하여 생성된 해시값을 상기 트리 구조에 대응되게 저장하는 것을 특징으로 한다.
바람직하게는 상기 제 1 인증부에 대한 트리(tree)구조 및 상기 제 1 인증시스템에 저장된 해시값을 기초로 상기 가입자의 해시트리를 생성하는 가입자 해시 트리 관리부;를 더 포함하는 것을 특징으로 한다.
바람직하게는 상기 제 2 해시값은 상기 등록 루트(Root) 해시값의 일부와 중복되며, 상기 제 2 해시값 및 등록 루트(Root) 해시값은 상기 가입자 해시트리를 기초로 생성되는 것을 특징으로 한다.
바람직하게는 상기 제 1 인증부 및 제 2 인증부는 하나의 도메인내에 위치하는 것을 특징으로 한다.
상기 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 방법은, 가입자의 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성단계; 상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성단계; 상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성단계; 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 인증여부판단단계; 및 상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하는 인증 수락단계;를 포함하는 것을 특징으로 한다.
바람직하게는 상기 등록 루트(Root) 해시값, 상기 제 1 해시값, 상기 제 2 해시값은 해시함수를 이용하여 상기 가입자의 패스워드(PWD)와 같은 비밀정보에 대응하여 생성된 해시값을 조합한 것을 특징으로 한다.
본 발명에 의한 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법에 의하면 해시 트리를 이용하여 임의의 가입자 아이디(ID)만으로 복수개의 인증 시스템에서 인증을 받을 수 있는 장점이 있다.
본 발명은 사용자가 다양한 인터넷 서비스를 이용하기 위해서는 다수의 서비스에 가입하는 절차적 번거로움을 해소하고, 사용자가 가입한 서비스의 아이디(ID)와 패스워드(PW)를 모두 기억하여야 하는 문제를 해결할 수 있는 장점이 있다.
본 발명에 의해 독립적인 SSO(Single Sign On) 서비스를 제공하는 다수의 인증 도메인을 묶어서 도메인 간 SSO(Single Sign On) 서비스를 제공할 수 있으며 보안 그룹을 구성하는 기법을 활용하여 SSO 서비스를 위한 유연한 웹 서버 관리가 가능한 장점이 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1 은 본원 발명에서의 해시 트리의 개념을 보여주기 위한 도면이다.
도 2 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템의 구성을 보여주는 도면이다.
도 3 은 도2에서의 트리 및 그룹관리 시스템(210)에서 관리하는 인증시스템 트리의 일 실시예를 보여주는 도면이다.
도 4 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 트리 및 그룹 관리 시스템의 구성을 보여주는 도면이다.
도 5 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 인증 시스템의 구성을 보여주는 도면이다.
도 6 은 본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 가입자 해시 트리의 일 실시예를 보여주는 도면이다.
도 7 은 본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 가입자 해시 트리의 다른 실시예를 보여주는 도면이다.
도 8 은 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 방법의 흐름도를 보여주는 도면이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
본원 발명은 해시 트리를 이용하여 임의의 가입자 아이디(ID)만으로 복수개의 인증 시스템에서 인증을 받을 수 있게 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법을 제공하는데 목적이 있다.
본원 발명은 사용자가 다양한 인터넷 서비스를 이용하기 위해서는 다수의 서비스에 가입하는 절차적 번거로움을 해소하고, 사용자가 가입한 서비스의 아이디(ID)와 패스워드(PW)를 모두 기억하여야 하는 문제를 해결하기 위한 것이다.
본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템 및 방법은 해시트리 (Hash Tree)를 기반으로 한 것이다.
도 1a 는 본원 발명에서의 해시 트리의 개념을 보여주기 위한 도면이다.
본원발명에서의 해시트리(Hash Tree)는 해시값들로 구성된 트리를 의미한다.
트리(tree) 각각의 잎(leaf) 노드는 데이터 블록을 해시한 값을 나타내고, 트리의 중간 노드는 적어도 하나 이상의 자식 노드들을 갖는다.
따라서, 트리의 중간 노드는 자식 노드들의 해시값을 조합한 해시값을 갖는다.
최상위의 루트(Root) 노드는 모든 자식 노드들의 데이터 블록을 대표하는 해시값을 갖는다.
본원발명에서는 인증 시스템 트리와 가입자 해시 트리가 있으며,
인증 시스템 트리는 트리 및 그룹관리 시스템에 관리하는 연합 그룹에 가입한 인증 시스템들을 잎(Leaf)로 두고 구성한 트리로 트리 및 그룹관리 시스템(TGS)이 생성 및 관리한다.
가입자 해시 트리는 가입자가 등록(가입)한 인증시스템을 잎(Leaf)로 두고 구성한 트리로 각 인증시스템에서 가입자 별로 생성 및 관리한다. 가입자 해시트리는 인증시스템 트리의 서브 트리(Sub-Tree)이다.
도 1b 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서의 해시 트리의 용도를 설명하기 위한 도면이다.
본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 해시 트리(Hash Tree)는 가입자 또는 사용자가 소유한 일부 데이터만을 노출하고도 전체를 가지고 있음을 증명하기 위해 사용된다.
즉, 본원발명에서 가입자가 자신이 등록한 복수개의 ID중 하나의 ID만을 노출하고도 하나의 도메인에서 운용중인 복수개의 시스템에 등록한 ID 전체를 가지고 있음을 입증할 수 있다.
예를 들어 인증요청자가 도1 a의 data 1(ID 1)부터 data 8 (ID 8)을 소유하고 있음을 증명하고자 하면 인증요청자는 도1 b의 data1(ID 1)(110)만을 제공하면 인증시스템은 data1 (ID 1)에서 hash1(111)을 생성하고 이미 보관 중인 hash2(112), hash34(113), hash5678(114)을 조합하여 인증 루트 해시값 (Hash12345678)(115)을 생성한다.
인증 루트 해시값 (Hash12345678)(115)과 보관중인 등록 루트 해시값(RHV)가 일치하면 인증요청자가 data1(ID 1)부터 data8(ID 8)의 소유자로 인정받게 되는 것이다.
도 2 는 본원 발명의 일 실시예에 따른 해시 트리를 이용한 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템의 구성을 보여주는 도면이다.
본원 발명에서의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템은 트리 및 그룹관리 시스템(TGS)(210)와 복수개의 인증시스템(220-1,...,220-n)을 포함하여 이루어진다.
트리 및 그룹관리 시스템(TGS)(210)은 아이디(ID)연합에 동의하고 인증그룹에 가입한 인증시스템들에 대해 트리를 구성한다.
도 3 은 도2에서의 트리 및 그룹관리 시스템(210)에서 관리하는 인증시스템 트리의 일 실시예를 보여주는 도면이다.
도 3에서의 ID연합에 동의하고 인증 그룹에 가입한 인증시스템의 수가 6인 경우를 보여주는 도면이다.
트리 및 그룹관리 시스템(도2 210)에서 관리하는 인증시스템의 수가 늘거나 줄어서 그룹의 멤버십에 변화가 발생하면 인증 시스템 트리를 재구성하여 저장하고 인증 시스템 트리에 관한 정보를 인증 시스템(도2의 220-1,...,220-N)들에게 전송한다.
트리 및 그룹관리 시스템(도2 210)은 인증시스템으로부터 가입자의 신규 가입이나 탈퇴가 발생하면 ID 맵핑 테이블을 갱신하고 각 인증시스템에게 가입자의 해시정보를 전송한다.
트리 및 그룹관리 시스템(도2의 210)은 각각의 인증시스템에 가입한 동일 사용자를 인식하기 위해 아이디(ID)를 맵핑한 정보를 가지고 있으며, 가입자의 주민번호나 아이핀(IPIN)를 이용하여 수행된다.
도 3 에서 최하위 노드는 시스템 1 내지 시스템 6으로 구성되며, 시스템 1과 시스템2를 자식노드로 가지는 중간노드 시스템12(310) 과 시스템3과 시스템 4를 자식노드로 가지는 중간노드 시스템34(320)이 있다.
중간노드 56(330)는 시스템 5와 시스템6을 자식노드로 가진다.
시스템12(310)과 시스템34(320)을 자식노드로 가지는 부모노드는 중간노드로서 시스템1234 (340)이 된다.
시스템123456 (350) 최상위 노드로서 인증시스템의 트리를 구성하여 인증시스템를 관리하며, 가입자의 ID 맵핑 테이블을 갱신하고 각 인증시스템에게 가입자의 해시 정보를 생성하여 전송한다.
도 2 에서의 각 인증 시스템(120-1),....,(120-N)은 독자적인 가입절차에 따라서 회원을 받고 가입자의 ID와 해시한 비밀번호 패스워드(PWD)를 트리 및 그룹관리 시스템(TGS)(210)에 전송한다.
각 인증 시스템은 가입자 또는 사용자에게 서비스를 제공하는 서비스 시스템(230-1,....230-M)으로부터 인증요청을 받아서 인증 절차 수행한다.
인증 시스템은 인증 허가시 타 인증시스템에게 가입자 정보를 제공하고, 트리 및 그룹관리 시스템(TGS)(210)로부터 가입자 해시 정보를 받아 가입자별 해시트리를 구성하고 가입자별 등록 루트해시값(RHV)을 생성하여 저장한다.
인증 시스템은 트리 및 그룹관리 시스템(TGS)(210)로부터 인증시스템트리 정보를 받아서 인증시스템 트리를 갱신한다.
도 2 에서의 서비스 제공 시스템(230-1,...,230-M)은 가입자에게 서비스를 제공하는 시스템이다.
서비스 제공 시스템은 가입자의 인증 요청을 받아서 인증 시스템에게 가입자 인증을 요청하고 인증 결과를 받는다.
서비스 제공 시스템은 가입자가 서비스의 가입 또는 탈퇴 요청을 받아 처리하고 관련 정보를 트리 및 그룹관리 시스템(TGS)(210)로 전송한다.
가입자는 인증 그룹의 인증 시스템 중 최소한 하나에 가입되어 회원으로 등록되어 있어야 한다.
가입자는 등록을 수행한 인증 시스템을 통하여서만 인증을 받을 수 있는 것이 아니라 인증 그룹에 속한 임의의 인증 시스템을 통하여 가입자 인증을 요청할 수 있다.
도 4 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 트리 및 그룹 관리 시스템의 구성을 보여주는 도면이다.
트리 및 그룹 관리 시스템(도 2 210)는 인증시스템 트리 관리부(410) 및 ID 맵핑 테이블(420)을 포함하여 이루어진다.
인증시스템 트리 관리부(410)는 인증시스템의 트리를 생성하거나 변경하고, 생성된 인증 시스템 트리 정보를 인증시스템에 전송한다.
인증 시스템 그룹 멥버십에 변경이 발생하면 인증시스템 트리 관리부(410)는 트리 구조를 변경한다.
ID 맵핑 테이블(420)은 각각의 인증시스템에 가입한 동일 사용자를 인식하기 위해 아이디(ID)를 맵핑한 정보를 저장하며, 가입자의 주민번호나 아이핀(IPIN)를 이용하여 수행된다.
도 5 는 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 인증 시스템의 구성을 보여주는 도면이다.
인증 시스템(도2 220-1,...220-N)은 인증시스템 트리 수신부(510), 가입자 해시 트리 관리부(520), 등록 루트 해시값 생성부(530), 인증 해시 값 생성부(540), 인증 루트 해시값 생성부 (550), 비교부(560) 및 인증수락부(570)를 포함하여 이루어진다.
인증시스템 트리 수신부(510)는 트리 및 그룹 관리 시스템(도 2 210)로부터 인증 시스템 트리 정보를 수신한다.
가입자 해시 트리 관리부(520)는 트리 및 그룹 관리 시스템(도 2 210)에서 수신한 가입자 해시 정보 및 인증 시스템 트리 정보를 기초로 각 가입자별 해시트리를 생성 및 관리한다.
등록 루트 해시값 생성부(530)는 가입자의 해시 트리를 기초로 가입자의 (ID)를 이용하여 가입자 등록 루트 해시값을 생성하여 저장한다.
인증 해시값 생성부(540)는 가입자가 임의의 인증시스템에 아이디(ID)와 패스워드(PWD)를 입력하여 인증 요청시 패스워드(PWD)에 해시함수를 적용하여 인증 해시값을 생성 저장한다.
해시함수는 임의의 데이터로부터 보통 전자지문 또는 다이제스트라고 불리는 짧고 고정된 길이의 다른 데이터를 만들어 내는 함수이다.
인증 루트 해시값 생성부(550)는 인증 해시값 생성부(540)에서 생성한 인증 해시값과 트리 및 그룹 관리 시스템(도 2 210)에서 수신한 가입자 해시값을 조합하여 인증 루트 해시값을 생성 저장한다.
비교부(560)는 인증 루트(Root) 해시값과 등록 루트 해시값을 비교하여 가입자의 인증 허가 여부를 판단한다.
인증 수락부(570)는 인증 루트(Root) 해시값과 등록 루트 해시값이 같으면 가입자의 인증을 허가하고, 가입자가 등록한 원래의 인증 시스템으로부터 가입자 정보를 수신한다.
도 6 은 본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 가입자 해시 트리의 일 실시예를 보여주는 도면이다.
도 6은 가입자가 인증시스템1과 인증시스템5에 가입 되어있는 경우의 트리 구조를 보여준다.
도 3의 인증 시스템 트리에서 시스템 2, 3, 4, 6 노드를 삭제하고 남은 시스템 1,5 노드로 재구성하여 도 6과 같은 구조가 된다.
도 7 은 본원 발명의 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템에서 가입자 해시 트리의 다른 실시예를 보여주는 도면이다.
도 7은 가입자가 도 6의 상태에서 인증시스템6에 가입한 경우의 트리 구조를 보여준다.
도 3의 인증 시스템 트리에서 시스템 2, 3, 4 노드를 삭제하고 남은 시스템 1,5,6 노드로 재구성하여 도 7과 같은 구조가 된다.
도 8 은 본원 발명의 일 실시예에 따른 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합방법의 흐름도를 보여주는 도면이다.
가입자의 등록시 등록 루트(Root) 해시값을 생성한다.
가입자는 임의의 인증시스템에 아이디(ID)와 패스워드(PWD)를 입력하여 인증 요청한다.
가입자의 인증 요청에 의해 저장된 해시함수를 이용하여 가입자 패스워드에 대응하는 제 1 해시값을 생성한다.
제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성한다.
제 2 해시값은 트리 및 그룹 관리 시스템(도 2 210)에서 수신한 등록 루트 해시값의 일부이다.
인증 루트(Root) 해시값과 등록 루트 해시값을 비교하여 가입자의 인증 여부를 판단한다.
인증 루트(Root) 해시값과 등록 루트 해시값이 같으면 가입자의 인증을 허가하고, 가입자 정보를 수신한다.
인증시스템은 가입자 등록 시에 생성하여 저장한 등록 루트 해시값와 인증 요청시 생성한 인증 루트(Root) 해시값이 일치하면 인증요청자에게 인증 성공을, 서로 다르면 인증실패 결과를 전달한다.
본원 발명은 하나의 도메인 내에 위치하는 복수개의 인증시스템을 포함하고 있으며, 가입자가 아이디(ID), 패스워드(PWD) 및 가입자 신상정보를 등록하여 저장하고 있는 가입자 정보를 가진 제 1 인증시스템과 가입자 신상정보를 저장하고 않고 있으면서 가입자 아이디(ID), 패스워드(PWD)를 입력하여 인증을 요청하면 시스템 해시트리 및 가입자 해시트리를 기초로 생성된 인증 루트 해시값을 생성하여 생성된 인증 루트 해시값을 등록 루트 해시값을 비교하여 두 값이 같으면 가입자 정보를 수신하여 가입자가 직접 등록한 것과 동일한 서비스를 제공 받을 수 있는 제 2 인증 시스템으로 구분할 수 있다.
따라서, 가입자는 자신이 등록한 수십개의 아이디(ID)와 패스워드(PWD)를 전부 기억하고 있을 필요가 없으며 단지 임의의 하나만을 기억함으로써 자신이 등록한 인증시스템이 제공하는 서비스를 이용할 수 있는 것이다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (12)

  1. 가입자의 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성부;
    상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성부;
    상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성부;
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 비교부; 및
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하는 인증 수락부;를 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  2. 제 1 항에 있어서,
    상기 인증 수락부는 인증 허가시 상기 가입자의 신상 정보를 수신하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  3. 제 1 항에 있어서,
    상기 등록 루트(Root) 해시값, 상기 제 1 해시값, 상기 제 2 해시값은 해시함수를 이용하여 상기 가입자의 패스워드(PWD)와 같은 비밀정보에 대응하여 생성된 해시값을 조합한 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  4. 가입자 정보를 등록 및 저장하여 상기 가입자의 인증을 수행하는 적어도 하나 이상의 제 1 인증부; 및
    상기 가입자의 인증 허가시 상기 제 1 인증부로부터 상기 가입자 정보를 수신하는 적어도 하나 이상의 제 2 인증부;를 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  5. 제 4 항에 있어서, 상기 제 2 인증부는
    상기 가입자의 등록시 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성부;
    상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성부;
    상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성부;
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 비교부; 및
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하고, 상기 가입자의 정보를 수신하는 인증 수락부;를 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  6. 제 5항에 있어서,
    상기 제 1 인증부 및 상기 제 2 인증부를 최상위 노드, 적어도 하나 이상의 제 1 중간 노드, 적어도 하나 이상의 제 2 중간 노드 또는 적어도 하나 이상의 하위노드로 분류하고 상기 최상위 노드는 한쌍의 상기 제 1 중간 노드를 자식노드로 가지며, 상기 제 1 중간 노드는 한쌍의 상기 제 2 중간 노드 또는 한쌍의 상기 하위 노드를 자식노드로 가지는 트리(tree) 구조로 관리하는 트리 및 그룹관리부;를 더 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  7. 제 6 항에 있어서, 상기 트리 및 그룹 관리 시스템은
    상기 제 1 인증부 및 상기 제 2 인증부에 저장된 해시함수를 이용하여 생성된 해시값을 상기 트리 구조에 대응되게 저장하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  8. 제 7 항에 있어서,
    상기 제 1 인증부에 대한 트리(tree)구조 및 상기 제 1 인증시스템에 저장된 해시값을 기초로 상기 가입자의 해시트리를 생성하는 가입자 해시 트리 관리부;를 더 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  9. 제 8 항에 있어서,
    상기 제 2 해시값은 상기 등록 루트(Root) 해시값의 일부와 중복되며, 상기 제 2 해시값 및 상기 등록 루트(Root) 해시값은 상기 가입자 해시트리를 기초로 생성되는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  10. 제 4 항에 있어서,
    상기 제 1 인증부 및 제 2 인증부는 하나의 도메인내에 위치하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 시스템.
  11. 가입자의 등록 루트(Root) 해시값을 생성하는 등록 루트 해시값 생성단계;
    상기 가입자의 인증 시도에 의해 제 1 해시값을 생성하는 해시값 생성단계;
    상기 제 1 해시값에 추가하여 적어도 하나 이상의 제 2 해시값을 조합하여 인증 루트(Root) 해시값을 생성하는 인증루트 해시값 생성단계;
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값을 비교하여 상기 가입자의 인증 여부를 판단하는 인증여부판단단계; 및
    상기 인증 루트(Root) 해시값과 상기 등록 루트 해시값이 같으면 상기 가입자의 인증을 허가하는 인증 수락단계;를 포함하는 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 방법.
  12. 제 11 항에 있어서,
    상기 등록 루트(Root) 해시값, 상기 제 1 해시값, 상기 제 2 해시값은 해시함수를 이용하여 상기 가입자의 패스워드(PWD)와 같은 비밀정보에 대응하여 생성된 해시값을 조합한 것을 특징으로 하는 사용자 인증을 위한 해시 트리 기반 아이디(ID) 연합 방법.
KR1020100132823A 2010-12-22 2010-12-22 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법 KR20120071193A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100132823A KR20120071193A (ko) 2010-12-22 2010-12-22 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100132823A KR20120071193A (ko) 2010-12-22 2010-12-22 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20120071193A true KR20120071193A (ko) 2012-07-02

Family

ID=46706301

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100132823A KR20120071193A (ko) 2010-12-22 2010-12-22 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20120071193A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101409348B1 (ko) * 2013-03-26 2014-06-20 (주)아펙스플랫폼 통합 사용자 인증 정보를 이용한 사용자 인증 및 관리 방법
CN105488125A (zh) * 2015-11-24 2016-04-13 百度在线网络技术(北京)有限公司 页面访问方法和装置
WO2019070227A1 (en) * 2017-10-02 2019-04-11 Hewlett-Packard Development Company, L.P. DEVICE AUTHENTICATION
KR101968418B1 (ko) * 2017-10-26 2019-04-11 순천향대학교 산학협력단 데이터의 소유권 관리를 효율적으로 수행할 수 있는 암호데이터 중복제거 시스템 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101409348B1 (ko) * 2013-03-26 2014-06-20 (주)아펙스플랫폼 통합 사용자 인증 정보를 이용한 사용자 인증 및 관리 방법
WO2014157892A1 (ko) * 2013-03-26 2014-10-02 (주)아펙스플랫폼 통합 사용자 인증 정보를 이용한 사용자 인증 및 관리 방법
CN105488125A (zh) * 2015-11-24 2016-04-13 百度在线网络技术(北京)有限公司 页面访问方法和装置
WO2019070227A1 (en) * 2017-10-02 2019-04-11 Hewlett-Packard Development Company, L.P. DEVICE AUTHENTICATION
US11405195B2 (en) 2017-10-02 2022-08-02 Hewlett-Packard Development Company, L.P. Device authentication
KR101968418B1 (ko) * 2017-10-26 2019-04-11 순천향대학교 산학협력단 데이터의 소유권 관리를 효율적으로 수행할 수 있는 암호데이터 중복제거 시스템 및 방법

Similar Documents

Publication Publication Date Title
US10333941B2 (en) Secure identity federation for non-federated systems
US8370638B2 (en) Derivative seeds
US20040010697A1 (en) Biometric authentication system and method
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
Laborde et al. A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
US20070101125A1 (en) Method of authorising a computing entity
Ziyad et al. A multifactor biometric authentication for the cloud
KR20120071193A (ko) 사용자 인증을 위한 해시 트리 기반 아이디(id) 연합 시스템 및 방법
JP2014529124A (ja) 構造化集合に組織化された様々な識別情報ドメインからのデータを管理及び検査する方法
WO2021107755A1 (en) A system and method for digital identity data change between proof of possession to proof of identity
Milenković et al. Using Kerberos protocol for single sign-on in identity management systems
Al-Sinani et al. Client-based cardspace-openid interoperation
JP4722682B2 (ja) 動的アクセス制御装置
Lohar et al. A proposed approach for Digital Identity management using Self Sovereign Identity.
Tada Attribute sharing systems of the star type
Kumar et al. Review on the authentication protocol used in UIDAI
Lezoray et al. Enabling collaboration between heterogeneous circles of trust through innovative identity solutions
IES83387Y1 (en) A biometric authentication system and method
Wang User-Centric Identification Management for Cross Realm Cloud and Ubiquitous Computing
Reddy et al. EASEID-A SESSION-BASED SINGLE SIGN-ON SELF-SOVEREIGN IDENTITY AND ACCESS MANAGEMENT SYSTEM USING BLOCKCHAIN
IE20020190U1 (en) A biometric authentication system and method
KR20090106368A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination