KR20130084315A - 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법 - Google Patents

신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법 Download PDF

Info

Publication number
KR20130084315A
KR20130084315A KR1020137014220A KR20137014220A KR20130084315A KR 20130084315 A KR20130084315 A KR 20130084315A KR 1020137014220 A KR1020137014220 A KR 1020137014220A KR 20137014220 A KR20137014220 A KR 20137014220A KR 20130084315 A KR20130084315 A KR 20130084315A
Authority
KR
South Korea
Prior art keywords
entity
message
authentication
party
trusted
Prior art date
Application number
KR1020137014220A
Other languages
English (en)
Other versions
KR101483895B1 (ko
Inventor
맨시아 티에
준 카오
씨아로롱 라이
젠하이 황
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20130084315A publication Critical patent/KR20130084315A/ko
Application granted granted Critical
Publication of KR101483895B1 publication Critical patent/KR101483895B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법은: 엔티티 A가, 엔티티 B로부터 송신되고 엔티티 B의 인증 파라미터를 포함한 메시지 1을 수신하고, 메시지 2를 신뢰성 있는 제 3자 TP로 송신하는 단계로서, 상기 메시지 2는 엔티티 B의 인증 파라미터 및 엔티티 A의 인증 파라미터를 포함하는 단계; 엔티티 A가 상기 신뢰성 있는 제 3자 TP로부터 송신된 메시지 3을 수신하고, 상기 메시지 3은, 상기 신뢰성 있는 제 3자 TP에 의해 상기 메시지 2를 기반으로 상기 엔티티 A 및 엔티티 B가 적법한지 여부를 확인한 후의 확인 결과를 포함하는 단계, 및 엔티티 B가 상기 메시지 4를 기반으로 인증을 수행하고 엔티티 A의 인증 결과를 획득하도록 상기 엔티티 B로 메시지 4를 송신하는 단계를 포함한다. 본 발명은 프로토콜의 동작 조건을 단순화시키며, 인증 엔티티의 계산 용량 요구조건을 감소시키며, 리소스가 부족한 네트워크 장치의 높은 보안 요구조건을 만족시킨다.

Description

신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법{A BIDIRECTIONAL ENTITY AUTHENTICATION METHOD BASED ON THE CREDIBLE THIRD PARTY}
본원은 2008년 3월 6일에 중국특허청에 출원된 중국특허출원번호 200810017646.5, 발명의 명칭 "신뢰성 있는 제 3자를 기반으로 한 유틸리티 양방향 엔티티 인증 방법(A UTILITY BIDIRECTIONAL ENTITY AUTHENTICATION METHOD BASED ON THE TRUSTED THIRD PARTY)"을 기초로 우선권을 주장하며, 그 내용 전체는 여기에서 참조로서 도입된다.
본 발명은 신뢰성 있는 제 3자를 기반으로 한 유틸리티 양방향 엔티티 인증 방법에 관한 것이다.
비대칭 암호화 기술을 채용한 엔티티 인증 방법은: 단방향성 인증 및 양방향성 인증과 같은 두 가지 타입으로 나누어질 수 있다. 인증의 고유성 또는 적시성은 일반적으로 타임 스탬프, 시퀀스 넘버 및 랜덤 넘버 등을 포함하는 시변 파라미터에 의해 식별된다. 타임 스탬프 또는 시퀀스 넘버가 시변 파라미터로 사용되는 경우, 단방향성 인증은 원 패스 인증을 수행할 필요가 있고 양방향성 인증은 투 패스 인증을 수행할 필요가 있으며; 랜덤 넘버가 시변 파라미터로 사용되는 경우, 단방향성 인증은 투 패스 인증을 수행할 필요가 있고 양방향성 인증은 쓰리 패스 인증 또는 포 패스 인증(즉, 두 개의 평행한 단방향성 인증 프로시져)을 수행할 필요가 있다.
전술한 인증 메커니즘 중 어느 것이 채용되더라도, 검증자는 요청자의 유효한 공개키를 구비해야 하며, 그렇지 않은 경우, 인증 프로세스는 손상되거나 성공적으로 완료될 수 없다. 여기서, 양방향성 인증의 쓰리 패스 인증에 대한 방법을 예로 들어 설명될 것이다:
도 1을 참조하면, 토큰 TokenAB=RA∥RB∥B∥Text3∥sSA(RA∥RB∥B∥Text2), TokenBA=RB∥RA∥A∥Text5∥sSB(RB∥RA∥A∥Text4)이 도시된다. X가 엔티티 구분 식별자인 경우, 인증 시스템은 A 및 B인 두 개의 인증 엔티티들을 구비한다. CertX는 엔티티 X의 인증서를 나타내며; sSX는 엔티티 X의 사인을 나타내며; RX는 엔티티 X에 의해 생성된 랜덤을 나타내며 Text는 옵션적인 텍스트 필드를 나타낸다.
쓰리 패스 인증의 인증 메커니즘은 다음과 같이 상세하게 동작한다:
1) 엔티티 B가 랜덤 넘버 RB 및 옵션 텍스트 Text1을 엔티티 A로 송신한다;
2) 엔티티 A가 토큰 TokenAB 및 옵션 인증서 CertA를 엔티티 B로 송신한다;
3) 엔티티 A로부터 송신된 메시지를 수신하면, 엔티티 B가 다음과 같은 단계들을 수행한다:
3.1) 엔티티 A의 인증서를 확인하거나 다른 방법에 의해 엔티티 A의 유효한 공개키를 구비함을 보장하는 단계;
3.2) 엔티티 A의 공개키를 획득한 후, 단계 2)의 TokenAB의 사인을 검증하는 단계, 구분 식별자 B의 정확성을 검증하는 단계 및 단계 1)에서 송신된 랜덤 넘버 RB가 TokenAB의 랜덤 넘버 RB와 일치하는지 여부를 확인하는 단계, 엔티티 B에 의한 엔티티 A의 검증을 종료하는 단계;
4) 엔티티 B가 토큰 TokenBA 및 옵션 인증서 CertB를 엔티티 A로 송신한다;
5) 엔티티 B로부터 송신된 TokenBA를 포함한 메시지를 수신한 후, 엔티티 A가 다음과 같은 단계들을 수행한다:
5.1) 엔티티 B의 인증서를 확인하거나 다른 방법에 의해 엔티티 B의 유효한 공개키를 구비함을 보장하는 단계;
5.2) 엔티티 B의 공개키를 획득한 후, 단계 4)의 TokenBA의 사인을 검증하는 단계; 구분 식별자 A의 정확성을 확인하는 단계 및 단계 2)에서 송신된 랜덤 넘버 RA가 TokenBA의 랜덤 넘버 RA와 일치하는지 여부를 확인하고 단계 1)에서 수신된 랜덤 넘버 RB가 TokenBA의 랜덤 넘버 RB와 일치하는지 여부를 확인하는 단계, 엔티티 A에 의한 엔티티 B의 검증을 종료하는 단계.
도시된 바와 같이, 쓰리 패스 인증의 인증 메커니즘은 성공적으로 동작하기 위해 엔티티 A 및 B 각각이 다른 쪽의 유효한 공개키를 가지는 것을 보장해야 한다. 그러나, 다른 쪽의 공개키 및 그 유효성을 획득하는 방법은 프로토콜에 포함되어 있지 않다. 이러한 보장 요구조건은 현재의 많은 응용환경에서 만족될 수 없으며, 예를 들어 통신 네트워크에서, 엔티티 인증 메커니즘은 일반적으로 사용자 액세스 제어의 기능을 구현하도록 사용되며, 인증 메커니즘이 성공적으로 완료되기 전에, 사용자는 네트워크에 액세스하는 것이 금지되며, 따라서 사용자는 인증 전에 다른 쪽 엔티티(네트워크 액세스 지점의 공개키의 유효성)를 획득하기 위해 인증 기관에 액세스할 수 없거나 액세스하는 것이 어려울 수 있다.
일반적으로, 현재의 통신 네트워크에서, 양방향성 인증은 사용자와 네트워크 액세스 지점 간에 구현되어 적법한 사용자가 적법한 네트워크에 액세스함을 보장할 필요가 있다. 따라서, 네트워크 엔티티에 관하여, 인증 전에 통신에서 상대방 엔티티의 유효한 공개키를 알 필요가 없을 경우, 그리고 상대방 엔티티의 공개키의 검증이 인증 도중 구현되는 경우, 종래의 엔티티 인증 메커니즘은 개선될 뿐만 아니라 보다 나은 실행가능성 및 유용성을 실제 응용에 제공할 것이다. 추가적으로, 전술한 인증 메커니즘 중 어느 것이 채용되더라도, 인증 엔티티는 공개키의 계산을 수행할 필요가 있다. 그러나, 공개키의 계산은 많은 시간을 소요하며, 상대적으로 약한 계산 용량을 가진 인증 엔티티의 경우, 인증 프로토콜이 적용되기 어렵게 된다. 따라서, 프로토콜의 설계 시, 인증 엔티티의 공개키의 계산은 인증 기능을 보장하는 동시에 가능한 한 적은 시간만큼 수행되어야 한다.
전술한 배경기술에 기재된 기술적 문제점을 해결하기 위해, 본 발명은 신뢰성 있는 제 3자를 기반으로 한 유틸리티 양방향 엔티티 인증 방법을 제공한다.
본 발명의 기술적 해결책은 다음과 같다.
신뢰성 있는 제 3자를 기반으로 한 유틸리티 양방향 엔티티 인증 방법에 있어서,
엔티티 B로부터 엔티티 B의 인증 파라미터를 포함한 메시지 1을 수신한 후, 엔티티 A가 신뢰성 있는 제 3자 TP로 메시지 2를 송신하고, 메시지 2는 엔티티 B의 인증 파라미터 및 엔티티 A의 인증 파라미터를 포함하며,
엔티티 A가 신뢰성 있는 제 3자 TP로부터 송신된 메시지 3을 수신하고, 메시지 3은, 메시지 2를 기반으로 신뢰성 있는 제 3자 TP에 의해 엔티티 A 및 B가적법한지 여부를 확인함으로써 획득된 확인 결과를 포함하며,
메시지 3을 검증한 후, 엔티티 A가 엔티티 B의 검증 결과를 획득하고, 엔티티 B로 하여금 메시지 5를 기반으로 검증을 수행하도록 하고 엔티티 A의 검증 결과를 획득하기 위해 메시지 4를 엔티티 B로 송신한다.
메시지 1은 시변 파라미터 RB, 아이덴티티 IDB, 토큰 TokenBA, 옵션 텍스트 Text1을 포함한다.
메시지 2는 시변 파라미터 RA 및 RB, 아이덴티티 IDA 및 IDB, 토큰 TokenAT 및 TokenBA, 옵션 텍스트 Text1 및 Text2를 포함한다.
메시지 3은 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나, 토큰 TokenTA1 및 TokenTA2를 포함한다.
메시지 4는 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나, 토큰 TokenTA2를 포함한다.
엔티티 A 및 B가 적법한지 여부를 확인하는 단계는:
메시지 2의 엔티티 A 및 B의 아이덴티티 IDA 및 IDB가 인증서인 경우, 토큰 TokenBA 및 TokenAT의 엔티티 B 및 A의 사인을 검증하는 단계, 검증이 성공하지 못한 경우, 메시지 2를 직접 폐기하는 단계; 및 검증이 성공한 경우, 인증서의 유효성을 확인하는 단계;
인증서가 유효하지 않은 경우, 메시지 2를 직접 폐기하는 단계 또는 메시지 3을 반환하는 단계; 인증서가 유효한 경우, 메시지 3을 엔티티 A로 반환하는 단계를 포함한다.
엔티티 A 및 B가 적법한지 여부를 확인하는 단계는:
메시지 2의 엔티티 A 및 B의 아이덴티티 IDA 및 IDB가 구분 식별자인 경우, 엔티티 A 및 B의 대응하는 공개키 및 그 유효성을 검색하고 확인하는 단계, 대응하는 공개키가 검색될 수 없거나 검색된 대응하는 공개키가 유효하지 않은 경우, 메시지 2를 직접 폐기하거나 메시지 3을 반환하는 단계; 대응하는 공개키가 검색되고 검색된 대응하는 공개키가 유효한 경우, 토큰 TokenBA 및 TokenAT의 엔티티 B 및 A의 사인을 검증하는 단계;
사인의 검증이 성공하지 못한 경우, 메시지 2를 직접 폐기하는 단계; 및 사인의 검증이 성공한 경우, 메시지 3을 엔티티 A로 반환하는 단계를 포함한다.
엔티티 A에 의해 메시지 3을 검증하는 단계는:
엔티티 A가 TokenTA 또는 TokenTA1의 신뢰성 있는 제 3자 TP의 사인을 검증하고, 메시지 2의 시변 파라미터 RA가 TokenTA 또는 TokenTA1의 시변 파라미터 RA와 일치하는지 여부를 확인하고, 일치하는 경우, 엔티티 B의 검증 결과 PubB를 획득하는 단계를 포함한다.
엔티티 B에 의해 메시지 4를 기반으로 하여 검증을 수행하는 단계는:
엔티티 B가 TokenTA 또는 TokenTA2의 신뢰성 있는 제 3자 TP의 사인을 검증하고, 메시지 1의 시변 파라미터 RB가 TokenTA 또는 TokenTA2의 시변 파라미터 RB와 일치하는지 여부를 확인하고, 일치하는 경우, 엔티티 A의 검증 결과 PubA를 획득하는 단계를 포함한다.
엔티티 A가 엔티티 B로부터 송신된 메시지 1을 수신하기 전에, 상기 방법은:
엔티티 A가 엔티티 A의 인증 파라미터를 포함한 메시지 0을 엔티티 B로 송신하는 단계, 및 메시지 0의 수신 후 엔티티 B가 메시지 1을 엔티티 A로 송신하는 단계를 더 포함한다.
메시지 0은 시변 파라미터 RA, 아이덴티티 IDA 및 옵션 텍스트 Text0을 포함한다.
시변 파라미터는 랜덤 넘버, 타임 스탬프 또는 시퀀스 넘버이다.
본 발명에서는, 세 개의 엔티티 구조가 채용된다. 인증 엔티티는 인증 전에 신뢰성 있는 제 3자의 공개키 또는 인증서를 획득하도록 요구되며, 미리 상대방 인증 엔티티의 유효한 공개키를 알 필요 없이 신뢰성 있는 제 3자로부터 발급된 사용자 인증서를 획득하거나 또는 안전한 보관을 위해 자신의 공개키를 신뢰성 있는 제 3자에게 제공한다. 프로토콜의 동작 도중, 인증 엔티티의 공개키 및 그 유효성은 신뢰성 있는 제 3자에 의한 검색 및 검증을 통해 요구되는 상대방에게 자동으로 전송되고; 프로토콜의 동작 도중, 인증 엔티티의 사인 검증은 일반적으로 보다 높은 계산 용량을 가진 신뢰성 있는 제 3자에 의해 구현되는 것이 바람직하다.
종래의 인증 메커니즘과 비교하면, 본 발명은 공개키를 위한 온라인 검색 및 인증 메커니즘을 정의하고, 공개키의 중앙집중화된 관리를 구현하고, 프로토콜의 동작 조건을 단순화하고 인증 엔티티의 계산 용량의 요구조건을 감소시키며, 이는 리소스가 부족한 네트워크 장치의 높은 보안 요건을 만족할 수 있다.
도 1은 종래의 세 번 전송하는 인증 메커니즘을 사용한 인증의 개략도이다.
도 2는 본 발명에 따른 인증의 개략도이다.
도 2를 참조하면, 본 발명의 방법은 세 개의 엔티티들, 즉 두 개의 인증 엔티티들 A 및 B와 신뢰성 있는 제 3자 TP에 관한 것이며, 신뢰성 있는 제 3자 TP는 인증 엔티티 A 및 B의 신뢰성 있는 제 3자이다. 두 엔티티 A 및 B 간의 피어 인증이 신뢰성 있는 제 3자 TP에 의해 구현되는 시스템은 삼원 피어 인증(Tri-element Peer Authentication, TePA) 시스템으로 불린다. 도 2에서, ValidX는 인증서 CertX의 유효성을 나타내며; PublicKeyX는 엔티티 X의 공개키이며; IDX는 엔티티 X의 아이덴티티이며, 이는 엔티티의 인증서 CertX 또는 구분 식별자 X로 표현되며; PubX는 엔티티 X의 검증 결과를 나타내며, 이는 인증서 CertX 및 그 유효성 ValidX에 의해 구성되거나 엔티티 X 및 그 공개키 PublicKeyX에 의해 구성되며, Token은 아래와 같이 정의된 토큰 필드이다:
TokenBA = sSB(RB∥IDB∥Text1)
TokenAT = sSA(RA∥RB∥IDA∥IDB∥Text2)
TokenTA = RA∥RB∥PubA∥PubB∥sSTP(RA∥RB∥PubA∥PubB∥Text3)
TokenTA1 = RA∥PubB∥Text4∥sSTP(RA∥PubB∥Text4)
TokenTA2 = RB∥PubA∥Text5∥sSTP(RB∥PubA∥Text5)
특정 프로시져는 다음을 포함한다:
1) 엔티티 B가 엔티티 A로 시변 파라미터 RB, 아이덴티티 IDB, 토큰 TokenBA 및 옵션 텍스트 Text1을 포함한 메시지 1을 송신하며;
2) 메시지 1의 수신 후, 엔티티 A가 신뢰성 있는 제 3자 TP로 메시지 2를 송신하며, 메시지 2는 시변 파라미터 RA 및 RB, 아이덴티티 IDA 및 IDB, 토큰 TokenBA 및 TokenAT 및 옵션 텍스트 Text1 및 Text2를 포함하며;
3) 신뢰성 있는 제 3자 TP는 메시지 2의 수신 후 엔티티 A 및 B가 적법한지 여부를 확인하며;
메시지 2의 엔티티 A 및 B의 아이덴티티가 인증서인 경우, 토큰 TokenBA 및 TokenAT의 엔티티 B 및 A의 사인을 검증하는 단계, 검증이 성공하지 못한 경우, 메시지 2를 직접 폐기하는 단계; 그렇지 않으면, 엔티티 A 및 B의 인증서의 유효성을 확인하는 단계; 이들이 유효하지 않은 경우, 메시지 2를 직접 폐기하거나 메시지 3을 반환하는 단계, 및 이들이 유효한 경우, 메시지 3을 반환하고 단계 4)를 수행하는 단계;
메시지 2의 엔티티 A 및 B의 아이덴티티가 구분 식별자인 경우, 엔티티 A 및 B의 대응하는 공개키 및 그 유효성을 검색하고 확인하는 단계, 대응하는 공개키가 검색되지 않거나 공개키가 유효하지 않은 경우, 메시지 2를 직접 폐기하거나 메시지 3을 반환하는 단계; 대응하는 공개키가 검색되고 유효한 경우, TokenBA 및 TokenAT의 엔티티 B 및 A의 사인을 검증하는 단계; 검증이 성공하지 못하는 경우, 메시지 2를 직접 폐기하는 단계; 및 검증이 성공한 경우, 메시지 3을 반환하고 단계 4)를 수행하는 단계;
4) 엔티티 A 및 B의 적법성을 확인한 후, 신뢰성 있는 제 3자 TP가 메시지 3을 엔티티 A로 반환하며, 메시지 3은 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나 토큰 TokenTA1 및 TokenTA2를 포함하며;
5) 메시지 3의 수신 후, 엔티티 A는 검증을 수행하며, 즉 TokenTA 또는 TokenTA1의 신뢰성 있는 제 3자 TP의 사인을 검증하는 단계, 및 메시지 2의 시변 파라미터 RA가 ToeknTA 또는 TokenTA1의 시변 파라미터 RA와 일치하는지 여부를 확인하는 단계, 일치하는 경우 엔티티 B의 검증 결과 PubB를 획득하는 단계;
6) 메시지 3의 검증 후, 엔티티 A가 메시지 4를 엔티티 B로 송신하며, 메시지 4는 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나 토큰 TokenTA2를 포함하며;
7) 메시지 4의 수신 후, 엔티티 B가 검증을 수행하며, 즉 토큰 TokenTA 또는 TokenTA2의 신뢰성 있는 제 3자 TP의 사인을 검증하는 단계, 및 메시지 1의 시변 파라미터 RB가 TokenTA 또는 TokenTA2의 시변 파라미터 RB와 일치하는지 여부를 확인하는 단계, 일치하는 경우, 엔티티 A의 검증 결과 PubA를 획득하는 단계.
다음과 같은 사항이 주목되어야 한다:
1. 본 발명의 시변 파라미터는 랜덤 넘버, 타임 스탬프 또는 시퀀스 넘버일 수 있다.
2. 일부의 경우, 프로토콜의 수행을 구현하기 위해, 프로토콜의 시작은 엔티티 A에 의해 활성화될 수 있으며, 다시 말해, 엔티티 A는 우선 메시지 0을 엔티티 B로 송신하고, 엔티티 B는 메시지 0을 수신한 후 상술한 7개의 단계들을 수행하기 시작한다. 여기에서, 메시지 0은 시변 파라미터 RA, 아이덴티티 IDA, 옵션 텍스트 Text0를 포함하며, 메시지 1의 토큰 TokenBA는: TokenBA = sSB(RA∥RB∥IDA∥IDB∥Text1)과 같이 표현될 수 있다.
A, B: 엔티티 TP: 신뢰성 있는 제 3자

Claims (9)

  1. 신뢰성 있는 제 3자를 기반으로 한 유틸리티 양방향 엔티티 인증 방법에 있어서,
    엔티티 B로부터 상기 엔티티 B의 인증 파라미터를 포함한 메시지 1을 수신한 후, 엔티티 A에 의해, 상기 엔티티 B의 인증 파라미터 및 상기 엔티티 A의 인증 파라미터를 포함한 메시지 2를 신뢰성 있는 제 3자 TP로 송신하는 단계;
    상기 엔티티 A에 의해, 상기 신뢰성 있는 제 3자 TP로부터 송신된 메시지 3을 수신하고, 상기 메시지 2를 기반으로 상기 신뢰성 있는 제 3자 TP에 의해 상기 엔티티 A 및 B가 적법한지 여부를 확인함으로써 획득되는 메시지 3 내에 확인 결과가 포함되는 단계;
    상기 엔티티 A에 의해, 상기 엔티티 B의 검증 결과를 획득하기 위해 상기 메시지 3을 검증하는 단계, 상기 엔티티 B가 메시지 4를 기반으로 검증을 수행하도록 하기 위해 상기 메시지 4를 상기 엔티티 B로 송신하는 단계 및 상기 엔티티 A의 검증 결과를 획득하는 단계를 포함하는 유틸리티 양방향 엔티티 인증 방법.
  2. 제 1항에 있어서,
    상기 메시지 1은 시변 파라미터 RB, 아이덴티티 IDB, 토큰 TokenBA, 옵션 텍스트 Text1을 포함하고,
    상기 메시지 2는 시변 파라미터 RA 및 RB, 아이덴티티 IDA 및 IDB, 토큰 TokenAT 및 TokenBA, 옵션 텍스트 Text1 및 Text2를 포함하고,
    상기 메시지 3은 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나, 토큰 TokenTA1 및 TokenTA2를 포함하고,
    상기 메시지 4는 토큰 TokenTA 및 옵션 텍스트 Text3을 포함하거나, 토큰 TokenTA2를 포함하는 유틸리티 양방향 엔티티 인증 방법.
  3. 제 2항에 있어서,
    상기 엔티티 A 및 B가 적법한지 여부를 확인하는 것은,
    상기 메시지 2 내의 상기 엔티티 A 및 B의 상기 아이덴티티 IDA 및 IDB가 인증서인 경우, 상기 TokenBA 및 TokenAT 내의 상기 엔티티 B 및 A의 사인을 검증하고, 검증이 성공하지 못한 경우, 상기 메시지 2를 직접 폐기하며; 검증이 성공한 경우, 상기 인증서의 유효성을 확인하며;
    상기 인증서가 유효하지 않은 경우, 상기 메시지 2를 직접 폐기하거나 상기 메시지 3을 반환하며; 상기 인증서가 유효한 경우, 상기 메시지 3을 상기 엔티티 A로 반환하는 것을 포함하는 유틸리티 양방향 엔티티 인증 방법.
  4. 제 2항에 있어서,
    상기 엔티티 A 및 B가 적법한지 여부를 확인하는 것은,
    상기 메시지 2 내의 상기 엔티티 A 및 B의 상기 아이덴티티 IDA 및 IDB가 구분 식별자인 경우, 상기 엔티티 A 및 B의 대응하는 공개키 및 공개키의 유효성을 검색하고 확인하며, 상기 대응하는 공개키가 검색될 수 없거나 검색된 대응하는 공개키가 유효하지 않은 경우, 상기 메시지 2를 직접 폐기하거나 상기 메시지 3을 반환하고; 상기 대응하는 공개키가 검색되고 상기 검색된 대응하는 공개키가 유효한 경우, 상기 TokenBA 및 TokenAT 내의 상기 엔티티 B 및 A의 사인을 검증하며;
    상기 사인의 검증이 성공하지 못한 경우, 상기 메시지 2를 직접 폐기하고; 상기 사인의 검증이 성공한 경우, 상기 메시지 3을 상기 엔티티 A로 반환하는 것을 포함하는 유틸리티 양방향 엔티티 인증 방법.
  5. 제 2항에 있어서,
    상기 엔티티 A에 의해 상기 메시지 3을 검증하는 단계는:
    상기 엔티티 A에 의해, 상기 TokenTA 또는 TokenTA1 내의 상기 신뢰성 있는 제 3자 TP의 사인을 검증하는 단계, 상기 메시지 2 내의 상기 시변 파라미터 RA가 상기 TokenTA 또는 TokenTA1 내의 상기 시변 파라미터 RA와 일치하는지 여부를 확인하는 단계, 및 일치하는 경우, 상기 엔티티 B의 검증 결과 PubB를 획득하는 단계를 포함하는 유틸리티 양방향 엔티티 인증 방법.
  6. 제 2항에 있어서,
    상기 엔티티 B가 상기 메시지 4를 기반으로 검증을 수행하는 것은,
    상기 엔티티 B에 의해, 상기 TokenTA 또는 TokenTA2 내의 상기 신뢰성 있는 제 3자 TP의 사인을 검증하고, 상기 메시지 1 내의 상기 시변 파라미터 RB가 상기 TokenTA 또는 TokenTA2 내의 시변 파라미터 RB와 일치하는지 여부를 확인하고, 일치하는 경우, 상기 엔티티 A의 검증 결과 PubA를 획득하는 것을 포함하는 유틸리티 양방향 엔티티 인증 방법.
  7. 제 1항에 있어서,
    상기 엔티티 A가 상기 엔티티 B로부터 송신된 상기 메시지 1을 수신하기 전,
    상기 엔티티 A에 의해, 상기 엔티티 A의 인증 파라미터를 포함한 메시지 0을 상기 엔티티 B로 송신하는 단계, 및 상기 메시지 0의 수신 후, 상기 엔티티 B에 의해, 상기 메시지 1을 상기 엔티티 A로 송신하는 단계를 더 포함하는 유틸리티 양방향 엔티티 인증 방법.
  8. 제 7항에 있어서,
    상기 메시지 0은 시변 파라미터 RA, 아이덴티티 IDA 및 옵션 텍스트 Text0을 포함하는 유틸리티 양방향 엔티티 인증 방법.
  9. 제 2항 내지 제 6항 및 제 8항 중 어느 한 항에 있어서,
    상기 시변 파라미터는 랜덤 넘버, 타임 스탬프 또는 시퀀스 넘버인 유틸리티 양방향 엔티티 인증 방법.
KR1020137014220A 2008-03-06 2009-03-04 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법 KR101483895B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2008100176465A CN101247223B (zh) 2008-03-06 2008-03-06 一种基于可信第三方的实体双向鉴别方法
CN200810017646.5 2008-03-06
PCT/CN2009/070629 WO2009109136A1 (zh) 2008-03-06 2009-03-04 一种实用的基于可信第三方的实体双向鉴别方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020107021533A Division KR101483818B1 (ko) 2008-03-06 2009-03-04 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법

Publications (2)

Publication Number Publication Date
KR20130084315A true KR20130084315A (ko) 2013-07-24
KR101483895B1 KR101483895B1 (ko) 2015-01-16

Family

ID=39947455

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020137014220A KR101483895B1 (ko) 2008-03-06 2009-03-04 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
KR1020107021533A KR101483818B1 (ko) 2008-03-06 2009-03-04 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020107021533A KR101483818B1 (ko) 2008-03-06 2009-03-04 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법

Country Status (6)

Country Link
US (1) US8510565B2 (ko)
EP (1) EP2257021B1 (ko)
JP (1) JP5370373B2 (ko)
KR (2) KR101483895B1 (ko)
CN (1) CN101247223B (ko)
WO (1) WO2009109136A1 (ko)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101222328B (zh) 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法
CN101247223B (zh) * 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法
CN101527718B (zh) 2009-04-16 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种建立三元对等鉴别可信网络连接架构的方法
CN101540676B (zh) * 2009-04-28 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
CN101572705B (zh) * 2009-06-08 2012-02-01 西安西电捷通无线网络通信股份有限公司 一种实现双向平台认证的系统及方法
CN101640593B (zh) * 2009-08-28 2011-11-02 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体双向鉴别方法
CN101645776B (zh) * 2009-08-28 2011-09-21 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体鉴别方法
CN101635624B (zh) * 2009-09-02 2011-06-01 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体鉴别方法
CN101674182B (zh) 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
JP5624219B2 (ja) * 2010-10-13 2014-11-12 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司Chinaiwncomm Co., Ltd. ネットワークアクセス制御方法およびシステム
CN101984577B (zh) 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
CN101997688B (zh) * 2010-11-12 2013-02-06 西安西电捷通无线网络通信股份有限公司 一种匿名实体鉴别方法及系统
CN103312670A (zh) * 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 一种认证方法及系统
CN103312499B (zh) * 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 一种身份认证方法及系统
JP6238858B2 (ja) * 2014-08-28 2017-11-29 三菱電機株式会社 データ処理システム及び検証装置及び検証方法及びプログラム
CN106571921B (zh) * 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
CN106571920B (zh) * 2015-10-10 2019-09-27 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106572064B (zh) 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106571919B (zh) * 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US9722803B1 (en) * 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
CN106682490B (zh) * 2016-12-02 2019-09-20 青岛博文广成信息安全技术有限公司 Cfl人工免疫计算机模型建设方法
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
WO2019045914A1 (en) * 2017-09-01 2019-03-07 InfoSci, LLC DEVICE AUTHENTICATION SYSTEMS AND METHODS
CN113508379B (zh) * 2019-03-04 2024-02-20 日立数据管理有限公司 用于分布式系统中的多向信任形成的系统、方法和介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08297638A (ja) * 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPH08335208A (ja) 1995-06-08 1996-12-17 Nippon Telegr & Teleph Corp <Ntt> 代理認証方法及びシステム
US5794221A (en) * 1995-07-07 1998-08-11 Egendorf; Andrew Internet billing method
CA2418740C (en) * 2000-08-08 2010-07-27 Wachovia Corporation Internet third-party authentication using electronic tickets
US7370351B1 (en) * 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
US7155608B1 (en) * 2001-12-05 2006-12-26 Bellsouth Intellectual Property Corp. Foreign network SPAM blocker
US20060053296A1 (en) * 2002-05-24 2006-03-09 Axel Busboom Method for authenticating a user to a service of a service provider
JP2004015665A (ja) * 2002-06-10 2004-01-15 Takeshi Sakamura 電子チケット流通システムにおける認証方法およびicカード
CN100428667C (zh) 2003-12-01 2008-10-22 中国电子科技集团公司第三十研究所 一种采用公开密钥密码算法数字签名模式的强鉴别方法
JP4714482B2 (ja) * 2005-02-28 2011-06-29 株式会社日立製作所 暗号通信システムおよび方法
CN101064605B (zh) * 2006-04-29 2011-02-16 华为技术有限公司 一种多主机网络的aaa系统及认证方法
CN100495963C (zh) * 2006-09-23 2009-06-03 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法
CN101247223B (zh) 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法

Also Published As

Publication number Publication date
JP2011514082A (ja) 2011-04-28
JP5370373B2 (ja) 2013-12-18
EP2257021B1 (en) 2019-05-08
CN101247223B (zh) 2010-06-09
WO2009109136A1 (zh) 2009-09-11
EP2257021A1 (en) 2010-12-01
KR20100116697A (ko) 2010-11-01
US8510565B2 (en) 2013-08-13
US20110004767A1 (en) 2011-01-06
CN101247223A (zh) 2008-08-20
EP2257021A4 (en) 2014-08-20
KR101483895B1 (ko) 2015-01-16
KR101483818B1 (ko) 2015-01-16

Similar Documents

Publication Publication Date Title
KR20130084315A (ko) 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
US8417955B2 (en) Entity bidirectional authentication method and system
US9306942B1 (en) Agile OTP generation
RU2458481C2 (ru) Способ и система двусторонней идентификации объекта на основе доверенной третьей стороны
KR101421329B1 (ko) 3 개의 피어 인증(tepa)에 기반한 신뢰할만한 플랫폼을 인증하는 방법
KR101405509B1 (ko) 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템
EP2472770A1 (en) Entity bidirectional authentication method by introducing an online third party
KR101471259B1 (ko) 온라인 제3자를 도입하는 개체 인증 방법
US20070234054A1 (en) System and method of network equipment remote access authentication in a communications network
US9398024B2 (en) System and method for reliably authenticating an appliance
WO2011026296A1 (zh) 引入在线可信第三方的实体鉴别方法
CN111800378A (zh) 一种登录认证方法、装置、系统和存储介质
CN116506118A (zh) 一种pki证书透明化服务中身份隐私性保护方法
CN113169953B (zh) 用于验证设备或用户的方法和装置

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 6