KR20130125201A - Apparatus and method for authenticating based on public key - Google Patents
Apparatus and method for authenticating based on public key Download PDFInfo
- Publication number
- KR20130125201A KR20130125201A KR1020120048760A KR20120048760A KR20130125201A KR 20130125201 A KR20130125201 A KR 20130125201A KR 1020120048760 A KR1020120048760 A KR 1020120048760A KR 20120048760 A KR20120048760 A KR 20120048760A KR 20130125201 A KR20130125201 A KR 20130125201A
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- authentication
- object node
- public key
- service providing
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 49
- 238000004891 communication Methods 0.000 claims abstract description 26
- 238000012795 verification Methods 0.000 claims description 30
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 230000009977 dual effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 공개키 기반의 인증 장치 및 방법에 관한 것으로, 특히 클라이언트와 서버간 상호 인증으로, 클라이언트에게 서버의 진부 인증을 제공할 수 있는 공개키 기반의 인증 장치 및 방법에 관한 것이다. The present invention relates to a public key-based authentication apparatus and method, and more particularly, to a public key-based authentication apparatus and method capable of providing authenticity authentication of a server to a client by mutual authentication between a client and a server.
인터넷을 통한 정보 교환에는 항상 정보 노출에 대한 위험성이 내포되어 있으며 이러한 취약성에 특히 민감한 전자상거래를 보호하기 위해 여러 암호 기술 및 알고리즘이 사용되고 있다. 이 중 대칭키와 공개키 암호 기술의 단점을 보완하기 위해 탄생한 공개키 기반 구조(Public Key Infrastructure, PKI)는 원래 그 목적이 서버와 클라이언트 상호간 인증에 있음에도 불구하고 현재 대부분의 서비스 모델에서는 서버(서비스 제공자)에 의한 클라이언트(서비스 사용자) 인증 측면만이 부각되고 있다. Information exchange over the Internet always poses a risk of information disclosure, and several cryptographic technologies and algorithms are used to protect electronic commerce, which is particularly sensitive to these vulnerabilities. The public key infrastructure (PKI), which was created to compensate for the shortcomings of symmetric key and public key cryptography, was originally designed for server (client) in spite of server and client mutual authentication. Only the aspects of client (service user) authentication by a service provider are highlighted.
이러한 일방 인증으로 인해, 피싱 사이트 같은 불법 사이트에 의한 피해가 발생할 수 있고, 더군다나 현재의 인터넷 및 클라우드 환경에서는 서비스 사용자가 서비스 제공자가 되거나, 그 반대로 되는 경우도 비일비재하게 발생하기 때문에 지금과 같은 일방 인증만으로는 안전하게 인터넷 전자상거래를 이용할 수 없고, 인터넷을 기반으로 한 서비스를 신뢰하기가 어렵다. Due to this one-sided authentication, damages caused by illegal sites such as phishing sites may occur, and even in the current Internet and cloud environments, service users may become service providers or vice versa. It is difficult to secure Internet e-commerce alone, and it is difficult to trust Internet-based services.
본 발명이 해결하고자 하는 기술적 과제는 클라이언트가 인터넷을 기반으로 하는 서비스를 안전하게 제공 받을 수 있는 공개키 기반의 인증 장치 및 방법을 제공하는 것이다. The technical problem to be solved by the present invention is to provide a public key-based authentication device and method that allows a client to securely receive a service based on the Internet.
본 발명의 한 실시 예에 따르면, 인증서를 발급하는 인증 기관과의 연동을 통해 객체 노드에서 통신하고자 하는 상대 객체 노드를 인증하는 공개키 기반의 인증 장치가 제공된다. 공개키 기반의 인증 장치는 제1 통신부, 제2 통신부, 그리고 인증부를 포함한다. 제1 통신부는 상기 상대 객체 노드의 공개키 기반 인증을 위해 통합 인증 대행 서버와 통신을 수행한다. 제2 통신부는 상기 상대 객체 노드와 통신한다. 그리고 상기 인증부는 상기 통합 인증 대행 서버를 통하여 상기 인증 기관과 연동하여 상기 상대 객체 노드를 일차 인증하고, 일차 인증이 성공된 상대 객체 노드에 대해 상기 상대 객체 노드의 공개키와 개인키 쌍을 이용한 데이터 암복호화를 이용하여 상기 상대 객체 노드를 이차 인증한다. According to an embodiment of the present invention, there is provided a public key-based authentication apparatus for authenticating a counterpart object node to communicate in an object node through interworking with a certification authority that issues a certificate. The public key based authentication device includes a first communication unit, a second communication unit, and an authentication unit. The first communication unit communicates with an integrated authentication agent server for public key based authentication of the counterpart object node. The second communication unit communicates with the counterpart object node. The authentication unit first authenticates the counterpart object node in association with the authentication authority through the integrated authentication agent server, and uses the public key and the private key pair of the counterpart object node for the counterpart object node on which the first authentication succeeds. The second object is secondly authenticated using encryption and decryption.
상기 인증부는 상기 통합 인증 대행 서버로부터 수신한 상기 인증 기관으로부터의 상기 상대 객체 노드의 인증서 검증 결과를 토대로 하여, 상기 일차 인증을 판단할 수 있다. The authentication unit may determine the primary authentication based on a certificate verification result of the counterpart object node from the authentication authority received from the integrated authentication agent server.
상기 인증부는 상기 상대 객체 노드의 공개키로 암호화한 데이터와 상기 상대 객체 노드로부터 상기 암호화된 데이터를 상기 공개키와 쌍으로 이루어진 개인키로 복호화한 데이터를 비교하여 상기 이차 인증을 수행할 수 있다. The authentication unit may perform the second authentication by comparing the data encrypted with the public key of the counterpart object node with the data decrypted from the counterpart object node with the private key paired with the public key.
상기 상대 객체 노드의 인증서는 상기 상대 객체 노드의 공개키와 상기 인증 기관의 정보를 결합한 후, 상기 인증 기관의 개인 키로 암호화되어 있고, 상기 인증부는 상기 인증 기관의 개인 키와 쌍으로 이루어진 공개키로 상기 상대 객체 노드의 인증서를 복호화하여 상기 객체 노드의 공개키를 획득할 수 있다. The certificate of the counterpart object node is encrypted with the private key of the certificate authority after combining the public key of the counterpart object node with the information of the certificate authority, and the authentication unit is a public key paired with the private key of the certificate authority. The public key of the object node may be obtained by decrypting a certificate of the counterpart object node.
상기 공개키 기반의 인증 장치는 접속 제어부를 더 포함할 수 있으며, 상기 접속 제어부는 상기 상대 객체 노드의 이차 인증이 성공적으로 이루어진 경우에 상기 상대 객체 노드로의 접속을 수행한다. The public key-based authentication apparatus may further include an access controller, and when the secondary authentication of the counterpart object node is successfully performed, the access controller performs access to the counterpart object node.
본 발명의 다른 실시 예에 따르면, 객체 노드의 공개키 기반의 인증 장치에서 인증서를 발급하는 인증 기관과의 연동을 통해 통신하고자 하는 상대 객체 노드를 인증하는 방법이 제공된다. 공개키 기반의 인증 방법은 상기 상대 객체 노드로부터 상기 상대 객체 노드의 인증서를 수신하는 단계, 상기 상대 객체 노드의 인증서를 통합 인증 대행 서버를 통해 상기 인증 기관으로 검증 요청하는 단계, 그리고 상기 인증 기관으로부터 상기 통합 인증 대행 서버를 통해 수신한 상기 상대 객체 노드의 인증서 검증 결과로부터 상기 상대 객체 노드의 일차 인증을 수행하는 단계를 포함한다. According to another embodiment of the present invention, a method for authenticating a counterpart object node to communicate with through an interworking with a certificate authority that issues a certificate in a public key-based authentication device of an object node is provided. The public key-based authentication method includes receiving a certificate of the counterpart object node from the counterpart object node, requesting to verify the certificate of the counterpart object node to the certification authority through an integrated authentication agent server, and from the certificate authority. Performing primary authentication of the counterpart object node from a certificate verification result of the counterpart object node received through the integrated authentication agent server.
상기 공개키 기반의 인증 방법은 상기 일차 인증이 성공된 상대 객체 노드에 대해 상기 상대 객체 노드의 공개키로 데이터를 암호화하여 상기 상대 객체 노드로 전송하는 단계, 상기 상대 객체 노드로부터 상기 상대 객체 노드의 공개키와 쌍으로 이루어진 개인키로 상기 암호화된 데이터를 복호화한 데이터를 수신하는 단계, 그리고 상기 암호화된 데이터와 상기 복호화된 데이터가 일치하는지의 비교를 통해 상기 상대 객체 노드의 이차 인증을 수행하는 단계를 더 포함할 수 있다. The public key-based authentication method encrypts data with a public key of the counterpart object node with respect to the counterpart object node on which the primary authentication is successful, and transmits the data to the counterpart object node. Receiving the data decrypted by the encrypted data with a private key paired with a key, and performing a second authentication of the counterpart object node by comparing whether the encrypted data and the decrypted data match. It may include.
본 발명의 실시 예에 의하면, 서버와 클라이언트 또는 두 클라이언트간 상호 인증을 통하여 안전하게 통신을 수행할 수 있다. According to an embodiment of the present invention, communication can be securely performed through mutual authentication between a server and a client or two clients.
특히 서버와 클라이언트간 상호 인증에서 클라이언트가 서버의 진부를 인증을 통해 확인할 수 있도록 하여 피싱 사이트와 같은 각종 불법 사이트로의 접속을 원천 차단시킴으로써 보안 취약성을 가진 인터넷을 기반으로 한 서비스를 안전하게 제공 받을 수 있다. In particular, in the mutual authentication between the server and the client, the client can verify the authenticity of the server through authentication, thereby preventing access to various illegal sites such as phishing sites, thereby providing secure Internet-based services with security vulnerabilities. have.
도 1은 본 발명의 실시 예에 적용되는 인증 시스템의 일 예를 나타낸 도면이다.
도 2a 및 도 2b는 본 발명의 제1 실시 예에 따른 공개키 기반의 인증 방법을 나타낸 도면이다.
도 3은 본 발명의 실시 예에 적용되는 인증 시스템의 다른 일 예를 나타낸 도면이다.
도 4 및 도 5는 각각 본 발명의 제2 및 제3 실시 예에 따른 공개키 기반의 인증 방법을 나타낸 도면이다.
도 6은 본 발명의 실시 예에 따른 사용자 단말의 공개키 기반의 인증 장치를 나타낸 도면이다.
도 7은 본 발명의 다른 실시 예에 따른 사용자 단말의 공개키 기반의 인증 장치의 개략적인 도면이다. 1 is a diagram illustrating an example of an authentication system applied to an embodiment of the present invention.
2A and 2B illustrate a public key based authentication method according to a first embodiment of the present invention.
3 is a diagram illustrating another example of an authentication system applied to an embodiment of the present invention.
4 and 5 are diagrams illustrating a public key based authentication method according to the second and third embodiments of the present invention, respectively.
6 illustrates a public key based authentication device of a user terminal according to an embodiment of the present invention.
7 is a schematic diagram of a public key based authentication device of a user terminal according to another embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification and claims, when a section is referred to as "including " an element, it is understood that it does not exclude other elements, but may include other elements, unless specifically stated otherwise.
이제 본 발명의 실시 예에 따른 공개키 기반의 인증 장치 및 방법에 대하여 도면을 참고로 하여 상세하게 설명한다. A public key based authentication apparatus and method according to an embodiment of the present invention will now be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시 예에 적용되는 인증 시스템의 일 예를 나타낸 도면이다. 1 is a diagram illustrating an example of an authentication system applied to an embodiment of the present invention.
도 1을 참고하면, 인증 시스템은 인증 기관(Certification Authority, CA)(100) 및 상호 인증을 수행하는 두 객체 노드, 예를 들면, 사용자 단말(200) 및 서비스 제공 서버(300)를 포함한다. 도 1에서는 설명의 편의상 상호 인증을 수행하는 두 객체 노드를 각각 사용자 단말(200)과 서비스 제공 서버(300)로 도시하였으나, 이들 두 객체 노드는 서로 동등한 노드 예를 들면, 두 사용자 단말이 될 수도 있다. Referring to FIG. 1, a certification system includes a certification authority (CA) 100 and two object nodes performing mutual authentication, for example, a
사용자 단말(200)은 서비스 제공 서버(300)를 인증하고, 인증된 서비스 제공 서버(300)에서 제공하는 서비스를 제공 받는다. The
서비스 제공 서버(300)는 인터넷을 기반으로 한 서비스를 제공하는 서버로서, 인증된 사용자 단말(200)에게 해당 서비스를 제공한다. The
사용자 단말(200)은 CA(100)와 연동하는 공개키 기반의 인증을 통해서 서비스 제공 서버(300)를 인증하며, 서비스 제공 서버(300) 또한 CA(100)와 연동하는 공개키 기반의 인증을 통해서 사용자 단말(200)을 인증한다. The
CA(100)는 인증서를 발급하는 기관으로, 사용자 단말(200) 및 서비스 제공 서버(300)로부터의 인증서 검증 요청을 수신하면 해당 인증서를 조회하고 검증하며 검증 결과를 사용자 단말(200) 및 서비스 제공 서버(300)로 전달한다. The CA 100 is an authority that issues a certificate. When the CA 100 receives a certificate verification request from the
특히 사용자 단말(200)은 공개키 기반의 인증을 통해서 인증된 서비스 제공 서버(300)에 대해 서비스 제공 서버(300)의 공개키를 이용한 데이터 암복호화를 통해 이중 인증할 수도 있다. 이와 같은 이중 인증을 수행하면, 서비스 제공 서버(300)의 공개키가 불법적으로 해킹을 당하더라도 서비스 제공 서버(300)의 공개키를 이용한 데이터 암복호화를 통해 피싱 사이트와 같은 불법적인 서버로의 접속을 피할 수 있게 된다. In particular, the
도 2a 및 도 2b는 본 발명의 제1 실시 예에 따른 공개키 기반의 인증 방법을 나타낸 도면이다. 2A and 2B illustrate a public key based authentication method according to a first embodiment of the present invention.
도 2a를 참고하면, CA(100)는 공개키 암호 방식을 사용하여 공개키와 개인키 쌍을 생성한다(S202). 공개키 암호 방식에 의해 공개키와 개인키가 하나의 쌍으로 생성되며, 이렇게 생성된 공개키로 암호화할 수 있고 이 경우, 이 공개키와 쌍으로 이루어진 개인키로만 복호화할 수 있다. 예를 들어, 공개키 암호 방식에 의해 A키와 B키가 하나의 쌍으로 생성된 경우, A키로 암호화를 하면 B키로만 복호화될 수 있고, B키로 암호화를 하면 A키로만 복호화될 수 있다. Referring to FIG. 2A, the
CA(100)는 CA(100)의 공개키와 CA(100)의 정보를 서로 결합한 후 이를CA(100)의 개인키로 전자 서명 즉, 암호화하여 CA(100) 자신의 인증서를 생성하고(S204), 이를 저장 관리한다. CA(100)의 정보에는 CA(100)의 이름, 인증서 유효 기간, 인증서 소유자의 이름 및 인증서의 시리얼 번호 등이 포함될 수 있다. The CA 100 combines the public key of the
사용자 단말(200)은 서비스 제공 서버(300)의 인증에 앞서 CA(100)가 신뢰된 인증 기관에 해당하는지 확인하는 절차를 수행한다. The
CA(100)가 신뢰된 인증 기관에 해당하는지 확인하기 위해 사용자 단말(200)은 CA(100)로 CA(100)의 인증서를 요청하고(S206), CA(100)는 CA(100)의 인증서를 사용자 단말(200)로 전송한다(S208). 이때 CA(100)의 인증서는 상위 CA의 개인키로 전자 서명될 수 있다. In order to check whether the
사용자 단말(200)은 CA(100)의 인증서를 수신하면, CA(100)의 인증서를 상위 CA의 공개키로 검증하고, 검증에 성공하면 CA(100)를 신뢰된 CA(100)로 판단한다. When the
다음, 사용자 단말(200)은 CA(100)의 공개키 및 인증서를 저장 관리한다(S210). 이때 사용자 단말(200)은 CA(100)의 인증서와 함께 상위 CA의 공개키를 CA(100)를 통해서 전달 받을 수 있으며, 인증을 위한 웹브라우저 설치 시에 상위 CA의 공개키를 획득할 수도 있다. Next, the
한편, 서비스 제공 서버(300) 또한 공개키 암호 방식을 사용하여 공개키와 개인키 쌍을 생성하고(S212), 서비스 제공 서버(300)의 공개키를 포함한 인증서 서명 요청(Certificate Signing Request, CSR)을 CA(100)로 전송한다(S214). On the other hand, the
CA(100)는 서비스 제공 서버(300)로부터 CSR을 수신하면 CSR에 포함되어 있는 서비스 제공 서버(300)의 공개키를 등록한다(S216). When the
CA(100)는 CA(100)의 정보와 서비스 제공 서버(300)의 공개키를 서로 결합한 후 이를 CA(100)의 개인 키로 전자 서명하여 서비스 제공 서버(300)의 인증서를 생성하고(S218), 서비스 제공 서버(300)의 인증서를 서비스 제공 서버(300)로 전송한다(S220). The
서비스 제공 서버(300)는 CA(100)로부터 수신한 전자 서명된 서비스 제공 서버(300)의 인증서를 저장한다(S222). The
이러한 단계(S212~S222)를 통해서 서비스 제공 서버(300)는 CA(100)로부터 서비스 제공 서버(300)의 인증서를 발급 받을 수 있다. Through these steps (S212 ~ S222), the
또한 이와 동일한 방법으로 사용자 단말(200) 또한 공개키 암호 방식을 사용하여 공개키와 개인키 쌍을 생성하고(S224), 생성한 공개키를 CA(100)에 등록하고(S226~S228), CA(100)로부터 CA(100)의 정보와 사용자 단말(200)의 공개키를 서로 결합하여 CA(100)의 개인 키로 전자 서명한 사용자 단말(200)의 인증서를 수신하고(S230~S232), 수신한 사용자 단말(200)의 인증서를 저장한다(S234). 즉, 사용자 단말(200) 또한 단계(S224~S234)를 통해서 CA(100)로부터 사용자 단말(200)의 인증서를 발급 받을 수 있다. In addition, the
그리고 도 2b를 참고하면, 사용자 단말(200)은 CA(100)로부터 사용자 단말(200)의 인증서를 발급 받고 나면, 서비스 제공 서버(300)의 인증을 위해 서비스 제공 서버(300)로 서비스를 요청한다(S236). 2B, after receiving the certificate of the
서비스 제공 서버(300)는 사용자 단말(200)로부터 서비스 요청을 수신하면, 저장하고 있던 서비스 제공 서버(300)의 인증서를 사용자 단말(200)로 전송한다(S238). 즉, 이 단계(S238)에서 사용자 단말(200)로부터의 서비스 요청은 사용자 단말(200)이 서비스 제공 서버(300)의 인증을 위해 필요한 서비스 제공 서버(300)의 인증서를 요청하는 단계에 해당한다. When the
사용자 단말(200)은 서비스 제공 서버(300)로부터 서비스 제공 서버(300)의 인증서를 수신하면 서비스 제공 서버(300)의 인증서를 CA(100)로 전달하면서 서비스 제공 서버(300)의 인증서를 검증 요청한다(S240). When the
CA(100)는 CA(100)의 개인 키로 사용자 단말(200)로부터 수신한 서비스 제공 서버(300)의 인증서를 복호화하고, 복호화에 성공하면 서비스 제공 서버(300)의 인증서에 포함된 서비스 제공 서버(300)의 공개키가 존재하는지 조회함으로써 서비스 제공 서버(300)의 인증서를 검증한다(S242). 이때 해당 서비스 제공 서버(300)의 공개키가 존재하면 CA(100)는 검증 성공으로 간주하고 그렇지 않으면 검증 실패로 간주한다. CA(100)는 서비스 제공 서버(300)의 인증서 검증 결과를 사용자 단말(200)로 전송한다(S244). The
사용자 단말(200)은 CA(100)로부터 서비스 제공 서버(300)의 인증서 검증이 성공적으로 이루어진 것을 확인하고 나면, 획득한 CA(100)의 공개키로 서비스 제공 서버(300)의 인증서를 복호화함으로써 서비스 제공 서버(300)의 인증서로부터 서비스 제공 서버(300)의 공개키를 획득한다(S246). After confirming that the certificate verification of the
이와 같이 하여 사용자 단말(200)이 서비스 제공 서버(300)를 성공적으로 인증하고 나면 인증 결과를 포함하여 서비스 제공 서버(300)로 서비스 요청을 전송한다(S248). In this manner, after the
서비스 제공 서버(300)는 인증 결과를 토대로 사용자 단말(200)이 서비스 제공 서버(300)의 인증에 성공한 것으로 판단되면, 사용자 단말(200)로 로그인(접속)을 요청한다(S250). If the
사용자 단말(200)은 서비스 제공 서버(300)로부터 로그인 요청을 수신하면 저장하고 있던 사용자 단말(200)의 인증서로 서비스 제공 서버(300)로 로그인을 수행한다(S252). When the
서비스 제공 서버(300)는 로그인을 통해 사용자 단말(200)의 인증서를 수신하면, 사용자 단말(200)의 인증서를 CA(100)로 전달하면서 사용자 단말(200)의 인증서를 검증 요청한다(S254). When the
CA(100)는 획득한 CA(100)의 공개키로 서비스 제공 서버(300)로부터 수신한 사용자 단말(200)의 인증서를 복호화하고, 복호화에 성공하면 사용자 단말(200)의 인증서에 포함된 사용자 단말(200)의 공개키가 존재하는지 조회함으로써 사용자 단말(200)의 인증서를 검증한다(S256). 이때 해당 사용자 단말(200)의 공개키가 존재하면 CA(100)는 검증 성공으로 간주하고 그렇지 않으면 검증 실패로 간주한다. CA(100)는 사용자 단말(200)의 인증서 검증 결과를 서비스 제공 서버(300)로 전송한다(S258). The
서비스 제공 서버(300)는 CA(100)로부터 사용자 단말(200)의 인증서 검증이 성공적으로 이루어진 것을 확인하고 나면, 사용자 단말(200)이 요청한 서비스를 사용자 단말(200)로 제공해준다(S260). After checking that the certificate verification of the
이와 같이 사용자 단말(200) 및 서비스 제공 서버(300)간 상호 인증이 성공적으로 이루지고 난 후 정보 보안을 위해 사용자 단말(200)은 서비스 제공 서버(300)의 공개키로 데이터를 암호화하여 전송할 수 있고, 서비스 제공 서버(300)는 암호화된 데이터를 서비스 제공 서버(300)의 개인 키로 복호화한 후 해당 데이터에 대응하는 서비스를 사용자 단말(200)로 제공할 수 있다. As such, after mutual authentication between the
이러한 사용자 단말(200)과 서비스 제공 서버(300)간 공개키 기반의 인증 방법은 사용자 단말(200)과 서비스 제공 서버(300) 사이의 상호 인증을 수행한다는 점에서 대칭 키와 공개키 암호 기술의 단점을 보완할 수 있고, 사용자 단말(200) 입장에서는 인증된 서비스 제공 서버(300)의 서비스를 제공 받을 수 있다는 장점이 있다. 그런데 사용자 단말(200)은 서비스 제공 서버(300)의 인증을 수행하기 위한 미들웨어와 같은 하드웨어 수단을 가지고 있어야 한다. 즉, 인증서를 발급하는 적법한 CA는 하나 이상 예를 들면, 6개 정도의 기관이 있을 수 있고, 사용자 단말(200)은 서비스 제공 서버(300)의 인증서를 CA(100)로 전달하기 위해 서비스 제공 서버(300)의 인증서를 발급한 CA(100)를 검색하고, 검색한 CA(100)로 서비스 제공 서버(300)의 인증서를 검증 요청해야 한다. 따라서 이러한 제반 절차를 수행할 수 있는 하드웨어 수단을 사용자 단말(200)이 가지고 있어야 하므로, 사용자 단말(200)의 하드웨어가 복잡해지고 부피도 커질 수 있다.The public key-based authentication method between the
도 3은 본 발명의 실시 예에 적용되는 인증 시스템의 다른 일 예를 나타낸 도면이고, 도 4는 본 발명의 제2 실시 예에 따른 공개키 기반의 인증 방법을 나타낸 도면이다. 3 is a diagram illustrating another example of an authentication system applied to an embodiment of the present invention, and FIG. 4 is a diagram illustrating a public key based authentication method according to a second embodiment of the present invention.
도 3에 도시한 바와 같이 인증 시스템은 통합 인증 대행 서버(400)를 더 포함할 수 있다. As shown in FIG. 3, the authentication system may further include an integrated
도 4를 참고하면, 사용자 단말(200)은 CA(100)로부터 사용자 단말(200)의 인증서를 발급 받고 나면, 서비스 제공 서버(300)를 인증하는 절차를 수행한다. Referring to FIG. 4, after receiving the certificate of the
서비스 제공 서버(300)의 인증 절차를 보면, 사용자 단말(200)은 서비스 제공 서버(300)의 인증을 위해 서비스 제공 서버(300)로 서비스를 요청한다(S402). Referring to the authentication procedure of the
서비스 제공 서버(300)는 사용자 단말(200)로부터 서비스 요청을 수신하면, 저장하고 있던 서비스 제공 서버(300)의 인증서를 사용자 단말(200)로 전송한다(S404). When the
사용자 단말(200)은 서비스 제공 서버(300)로부터 서비스 제공 서버(300)의 인증서를 수신하면 도 2b에서 설명한 것과는 달리 통합 인증 대행 서버(400)로 서비스 제공 서버(300)의 인증서를 전달한다(S406). When the
통합 인증 대행 서버(400)는 사용자 단말(200)로부터 서비스 제공 서버(300)의 인증서를 수신하면, 서비스 제공 서버(300)의 인증서를 해당 CA(100)로 전달하면서 서비스 제공 서버(300)의 인증서를 검증 요청한다(S408). When the integrated
CA(100)는 서비스 제공 서버(300)의 인증서를 검증한 후(S410), 서비스 제공 서버(300)의 인증서 검증 결과를 통합 인증 대행 서버(400)로 전송한다(S412). The
통합 인증 대행 서버(400)는 CA(100)로부터 서비스 제공 서버(300)의 인증서 검증 결과를 수신하여 사용자 단말(200)로 전송한다(S414). The integrated
이와 같이, 사용자 단말(200)은 통합 인증 대행 서버(400)로 서비스 제공 서버(300)의 인증서를 전달하고, 통합 인증 대행 서버(400)로부터 서비스 제공 서버(300)의 인증서 검증 결과를 수신만 하고, CA(100)로 인증서의 조회 요청 등에 해당하는 기능을 통합 인증 대행 서버(400)에서 수행하게 된다. 따라서, 사용자 단말(200)은 조회 요청 등과 같은 하드웨어 수단을 필요로 하지 않게 되므로, 사용자 단말(200)을 제1 실시 예에 비해 간소화시킬 수 있다. As such, the
사용자 단말(200)은 CA(100)로부터 서비스 제공 서버(300)의 인증서 검증이 성공적으로 이루어진 것을 확인하고 나면, 획득한 CA(100)의 공개키로 서비스 제공 서버(300)의 인증서를 복호화함으로써 서비스 제공 서버(300)의 인증서로부터 서비스 제공 서버(300)의 공개키를 획득한다(S416). After confirming that the certificate verification of the
또한 단계(S406~S414)와 동일한 방법으로 서비스 제공 서버(300)는 통합 인증 대행 서버(400)를 통하여 CA(100)로부터 사용자 단말(200)의 인증서를 검증 받을 수도 있다. 이에 해당하는 방법은 단계(S420~S432)로서, 사용자 단말(200)이 서비스 제공 서버(300)를 성공적으로 인증하고 나면 사용자 단말(200)은 인증 결과를 포함하여 서비스 제공 서버(300)로 서비스 요청을 전송한다(S420). In addition, the
서비스 제공 서버(300)는 인증 결과를 토대로 사용자 단말(200)이 서비스 제공 서버(300)의 인증에 성공한 것으로 판단되면, 사용자 단말(200)로 로그인(접속)을 요청한다(S422). If the
사용자 단말(200)은 서비스 제공 서버(300)로부터 로그인 요청을 수신하면 저장하고 있던 사용자 단말(200)의 인증서로 서비스 제공 서버(300)로 로그인을 수행한다(S424). When the
서비스 제공 서버(300)는 로그인을 통해 사용자 단말(200)의 인증서를 수신하면, 사용자 단말(200)의 인증서를 통합 인증 대행 서버(400)로 전달한다(S426). When the
통합 인증 대행 서버(400)는 서비스 제공 서버(300)로부터 사용자 단말(200)의 인증서를 수신하면, 사용자 단말(200)의 인증서를 해당 CA(100)로 전달하면서 사용자 단말(200)의 인증서를 검증 요청한다(S428). When the integrated
CA(100)는 사용자 단말(200)의 인증서를 검증한 후(S430), 사용자 단말(200)의 인증서 검증 결과를 통합 인증 대행 서버(400)로 전송한다(S432). After verifying the certificate of the user terminal 200 (S430), the
인증 대행 서버(400)는 CA(100)로부터 사용자 단말(200)의 인증서 검증 결과를 수신하여 서비스 제공 서버(300)로 전송한다(S434). 이렇게 하면, 서비스 제공 서버(300) 또한 제1 실시 예에 비해 간소화될 수 있다. The
도 5는 본 발명의 제3 실시 예에 따른 공개키 기반의 인증 방법을 나타낸 도면이다. 5 illustrates a public key based authentication method according to a third embodiment of the present invention.
사용자 단말(200)과 서비스 제공 서버(300)간 도 4에 도시한 방법을 통해서 상호 인증이 성공적으로 이루어졌다 할지라도, 악의적인 의도에 의해 서비스 제공 서버(300)의 공개키가 노출될 수도 있다. 이러한 경우를 대비하여 도 5에 도시한 바와 같이 사용자 단말(200)은 서비스 제공 서버(300)의 공개키를 이용한 데이터 암복호화를 통해 서비스 제공 서버(300)의 추가적인 인증을 수행할 수 있다. Although mutual authentication is successfully performed between the
도 5에서는 편의상 사용자 단말(200)에서 서비스 제공 서버(300)의 추가적인 인증 절차만을 도시하였지만, 이와 동일한 추가적인 인증 절차가 서비스 제공 서버(300)에서 사용자 단말(200)의 인증에도 적용될 수 있다. In FIG. 5, only the additional authentication procedure of the
도 5를 참고하면, 사용자 단말(200)은 CA(100)와 연동하는 공개키 기반의 인증을 통해 서비스 제공 서버(300)가 성공적으로 인증되고 난 후(S502~S516), 사용자 단말(200)은 서비스 제공 서버(300)의 인증 절차를 한 번 더 수행한다. 단계(S502~S516)는 앞에서 설명한 단계(S402~S416)와 동일하므로, 그 설명은 생략한다. Referring to FIG. 5, after the
그러면 서비스 제공 서버(300)의 추가적인 인증 절차를 보면, 사용자 단말(200)은 서비스 제공 서버(300)의 공개키로 특정 데이터를 암호화하여 서비스 제공 서버(300)로 전송한다(S518). Then, when the additional authentication procedure of the
서비스 제공 서버(300)는 사용자 단말(200)로부터 암호화된 데이터를 수신하면 서비스 제공 서버(300)의 개인 키로 암호화된 데이터를 복호화하고, 복호화한 데이터를 사용자 단말(200)로 전송한다(S520). When the
사용자 단말(200)은 서비스 제공 서버(300)로부터 수신한 복호화된 데이터와 원 특정 데이터를 비교하여 두 데이터가 일치하면(S522), 서비스 제공 서버(300)의 인증에 성공한 것으로 판단하고(S524), 그렇지 않으면 서비스 제공 서버(300)의 인증에 실패한 것으로 판단한다(S530). The
서비스 제공 서버(300)의 인증에 성공한 경우, 이후 절차 즉, 서비스 제공 서버(300)의 사용자 단말(200)의 인증 절차가 수행될 수 있다. When the authentication of the
이러한 서비스 제공 서버(300)의 이중 인증을 통해서 사용자 단말(300)은 서비스 제공 서버(300)의 공개키가 노출되어 불법 사이트에서 사용자 단말(300)의 접속을 유도하여도, 이를 확인하고 해당 사이트로의 접속을 방지할 수 있다. Through the dual authentication of the
도 6은 본 발명의 실시 예에 따른 사용자 단말의 공개키 기반의 인증 장치를 나타낸 도면이다. 6 illustrates a public key based authentication device of a user terminal according to an embodiment of the present invention.
도 6을 참고하면, 사용자 단말(200)은 도 4 및 도 5에서 설명한 바와 같은 방법으로 서비스 제공 서버(300)가 적법한 서버인지를 인증하는 공개키 기반의 인증 장치(600)를 포함한다. Referring to FIG. 6, the
공개키 기반의 인증 장치(600)는 통신부(610, 620), 키쌍 생성부(630), 인증부(640) 및 접속 제어부(650)를 포함한다. The public key-based
통신부(610)는 서비스 제공 서버(300)의 인증을 위해 서비스 제공 서버(300)와 통신을 수행한다. The
통신부(620)는 서비스 제공 서버(300)의 인증을 위해 통합 인증 대행 서버(400) 및 CA(100)와 통신을 수행한다. 통신부(620)는 검증된 CA(100)와 통신을 수행할 수 있다. 또한 통신부(620)는 인증부(640)의 명령에 따라서 인증 대행 서버(400)와 통신을 수행하는데, 인증 대행 서버(400)로 서비스 제공 서버(300)의 인증서를 전달하거나 인증 대행 서버(400)로부터 서비스 제공 서버(300)의 인증서 검증 결과를 수신한다. The
키쌍 생성부(630)는 공개키 암호 방식을 사용하여 사용자 단말(200)의 공개키와 개인키 쌍을 생성하고, 생성한 공개키를 통신부(620)를 통해 CA(100)로 전송한다. 그러면 CA(100)는 앞에서 설명한 방법으로 사용자 단말(200)의 인증서를 생성하고 이를 통신부(620)를 통해 키쌍 생성부(630)로 전송한다. 키쌍 생성부(630)는 CA(100)로부터 사용자 단말(200)의 인증서를 수신하면 생성한 개인키와 함께 사용자 단말(200)의 인증서를 저장한다. The
인증부(640)는 서비스 제공 서버(300)의 인증을 위한 제반 절차를 수행한다. The
구체적으로, 인증부(640)는 사용자 단말(200)의 인증서를 발급받을 CA(100)를 검증한다. 인증부(640)는 통신부(610)를 통해 수신한 CA(100)의 인증서를 통해 CA(100)를 검증할 수 있으며, 검증된 CA(100)의 인증서로부터 CA(100)의 공개키를 확보한다. In detail, the
또한 인증부(640)는 통신부(620)를 통해 서비스 제공 서버(300)의 인증서를 전달하면서 인증 대행 서버(400)로 인증 요청 명령을 전달하고 통신부(620)를 통해 수신한 서비스 제공 서버(300)의 인증서 검증 결과를 확인한다. 인증부(640)는 서비스 제공 서버(300)의 인증서 인증이 성공적으로 이루어진 경우 통신부(610)와의 통신을 통해 서비스 제공 서버(300)의 인증서를 CA(100)의 개인 키로 복호화하여 서비스 제공 서버(300)의 공개키를 확보한 후 서비스 제공 서버(300)의 공개키를 이용한 데이터 암복호화를 통해 서비스 제공 서버(300)를 한 번 더 인증할 수 있다. In addition, the
접속 제어부(650)는 인증부(640)에서 서비스 제공 서버(300)의 이중 인증이 모두 성공된 경우에 서비스 제공 서버(300)로의 접속을 허용한다. 즉, 서비스 제공 서버(300)의 이중 인증이 모두 성공되지 않은 경우 접속 제어부(650)는 사용자 단말(200)의 서비스 제공 서버(300)로의 접속을 차단함으로써, 악의적인 의도를 가진 서버로의 접속을 원천 차단시킨다. The
이상에서 설명한 본 발명의 제2 및 제3 실시 예에 따른 공개키 기반의 인증 장치 및 방법 중 적어도 일부 기능은 하드웨어로 구현되거나 하드웨어에 결합된 소프트웨어로 구현될 수 있다. 아래에서는 공개키 기반의 인증 장치 및 방법이 컴퓨터 시스템에 결합된 실시 예에 대해서 도 7을 참고로 하여 상세하게 설명한다.At least some functions of the public key-based authentication apparatus and method according to the second and third embodiments of the present invention described above may be implemented in hardware or software coupled to the hardware. Hereinafter, an embodiment in which a public key-based authentication device and method are coupled to a computer system will be described in detail with reference to FIG. 7.
도 7은 본 발명의 다른 실시 예에 따른 사용자 단말의 공개키 기반의 인증 장치의 개략적인 도면으로, 도 6을 참고하여 설명한 통신부(610, 620), 키쌍 생성부(630), 인증부(640) 및 접속 제어부(650)의 기능 중 적어도 일부를 수행하는 데 사용할 수 있는 시스템을 나타낸다. FIG. 7 is a schematic diagram of an authentication device based on a public key of a user terminal according to another embodiment of the present invention. The
도 7을 참고하면, 공개키 기반의 인증 장치(700)는 프로세서(710), 메모리(720), 저장 장치(730) 및 입출력(input/output, I/O) 인터페이스(740)를 포함한다.Referring to FIG. 7, the public key-based
프로세서(710)는 중앙 처리 유닛(central processing unit, CPU)이나 기타 칩셋, 마이크로프로세서 등으로 구현될 수 있으며, 메모리(720)는 동적 랜덤 액세스 메모리(dynamic random access memory, DRAM), 램버스 DRAM(rambus DRAM, RDRAM), 동기식 DRAM(synchronous DRAM, SDRAM), 정적 RAM(static RAM, SRAM) 등의 RAM과 같은 매체로 구현될 수 있다. 저장 장치(730)는 하드 디스크 (hard disk), CD-ROM(compact disk read only memory), CD-RW(CD rewritable), DVD-ROM(digital video disk ROM), DVD-RAM, DVD-RW 디스크, 블루레이(blu-ray) 디스크 등의 광학 디스크, 플래시 메모리, 다양한 형태의 RAM과 같은 영구 또는 휘발성 저장 장치로 구현될 수 있다. 또한 I/O 인터페이스(740)는 프로세서(710) 및/또는 메모리(720)가 저장 장치(730)에 접근할 수 있도록 한다. The
이 경우, 프로세서(710)는 통신부(610, 620), 키쌍 생성부(630), 인증부(640) 및 접속 제어부(650) 의 기능의 적어도 일부 기능을 구현하기 위한 프로그램 명령을 메모리(720)에 로드시켜, 도 4 및 도 5를 참고로 하여 설명한 동작이 수행되도록 제어할 수 있다. 그리고 이러한 프로그램 명령은 저장 장치(730)에 저장되어 있을 수 있으며, 또는 네트워크로 연결되어 있는 다른 시스템에 저장되어 있을 수 있다.In this case, the
도 7에 도시한 프로세서(710), 메모리(720), 저장 장치(730) 및 I/O 인터페이스(740)는 하나의 컴퓨터에 구현될 수도 있으며 또는 복수의 컴퓨터에 분산되어 구현될 수도 있다.The
이상에서는 상호 인증을 수행하는 두 객체 노드를 사용자 단말(200)과 서비스 제공 서버(200)로 가정하여 설명하였지만, 앞에서 언급한 바와 같이 두 객체 노드가 동등한 경우 예를 들어, 두 사용자 단말간 통신에서 상호 인증을 수행하고자 하는 경우에도 도 4 및 도 5를 참고로 하여 설명한 상호 인증이 적용될 수 있다. 즉 두 사용자 단말간 통신에서 상호 인증은 도 4 및 도 5를 참고로 하여 설명한 사용자 단말(200)의 동작을 다른 사용자 단말에서 사용자 단말(200)과 통신을 통해 동일하게 수행함으로써 이루어질 수 있다. In the above description, the two object nodes performing mutual authentication are assumed to be the
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention are not limited to the above-described apparatuses and / or methods, but may be implemented through a program for realizing functions corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, Such an embodiment can be readily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
Claims (14)
상기 상대 객체 노드의 공개키 기반 인증을 위해 통합 인증 대행 서버와 통신을 수행하는 제1 통신부,
상기 상대 객체 노드와 통신하는 제2 통신부, 그리고
상기 통합 인증 대행 서버를 통하여 상기 인증 기관과 연동하여 상기 상대 객체 노드를 일차 인증하고, 일차 인증이 성공된 상대 객체 노드에 대해 상기 상대 객체 노드의 공개키와 개인키 쌍을 이용한 데이터 암복호화를 이용하여 상기 상대 객체 노드를 이차 인증하는 인증부
를 포함하는 공개키 기반의 인증 장치. In a public key-based authentication device that authenticates a counterpart object node that an object node wants to communicate with by interworking with a certificate authority that issues a certificate,
A first communication unit for communicating with an integrated authentication agent server for public key based authentication of the counterpart object node;
A second communication unit for communicating with the counterpart object node, and
Firstly authenticate the counterpart object node by interworking with the certification authority through the integrated authentication agent server, and use data encryption / decryption using the counterpart's public key and private key pair for the counterpart object node where the first authentication succeeds. An authentication unit for secondly authenticating the counterpart object node
Public key based authentication device comprising a.
상기 인증부는 상기 통합 인증 대행 서버로부터 수신한 상기 인증 기관으로부터의 상기 상대 객체 노드의 인증서 검증 결과를 토대로 하여, 상기 일차 인증을 판단하는 공개키 기반의 인증 장치. In claim 1,
And the authentication unit determines the primary authentication based on a certificate verification result of the counterpart object node from the authentication authority received from the integrated authentication agent server.
상기 인증부는 상기 인증 기관으로부터의 인증서 검증 결과가 검증 성공에 해당하면 상기 상대 객체 노드의 일차 인증이 성공된 것으로 판단하는 공개키 기반의 인증 장치.3. The method of claim 2,
And the authentication unit determines that primary authentication of the counterpart object node is successful when the certificate verification result from the certification authority corresponds to the verification success.
상기 인증부는 상기 상대 객체 노드의 공개키로 암호화한 데이터와 상기 상대 객체 노드로부터 상기 암호화된 데이터를 상기 공개키와 쌍으로 이루어진 개인키로 복호화한 데이터를 비교하여 상기 이차 인증을 수행하는 공개키 기반의 인증 장치.3. The method of claim 2,
The authentication unit compares the data encrypted with the public key of the counterpart object node with the data decrypted from the counterpart object node with the private key paired with the public key to perform the second authentication. Device.
상기 인증부는 상기 암호화한 데이터와 상기 복호화한 데이터가 일치하는 경우에 상기 상대 객체 노드의 이차 인증이 성공된 것으로 판단하는 공개키 기반의 인증 장치. 5. The method of claim 4,
And the authentication unit determines that the second authentication of the counterpart object node is successful when the encrypted data and the decrypted data coincide with each other.
상기 상대 객체 노드의 인증서는 상기 상대 객체 노드의 공개키와 상기 인증 기관의 정보를 결합한 후, 상기 인증 기관의 개인 키로 암호화되어 있고,
상기 인증부는 상기 인증 기관의 개인 키와 쌍으로 이루어진 공개키로 상기 상대 객체 노드의 인증서를 복호화하여 상기 객체 노드의 공개키를 획득하는 공개키 기반의 인증 장치. 5. The method of claim 4,
The certificate of the counterpart object node is encrypted with the private key of the certificate authority after combining the public key of the counterpart object node with the information of the certificate authority,
And the authentication unit decrypts the certificate of the counterpart object node with a public key paired with the private key of the certification authority to obtain the public key of the object node.
상기 제2 통신부는 상기 객체 노드의 인증서 발급을 위해 상기 인증 기관과 직접 통신하며,
상기 인증부는 상기 인증서 발급 전에 상기 인증 기관의 인증서를 통해 상기 인증 기관이 적법한 기관인지 확인하며, 상기 인증 기관의 인증서로부터 상기 인증 기관의 공개키를 획득하는 공개키 기반의 인증 장치.The method of claim 6,
The second communication unit directly communicates with the certification authority for issuing a certificate of the object node,
The authentication unit checks whether the certification authority is a legitimate authority through a certificate of the certification authority before issuing the certificate, and obtains the public key of the certification authority from the certificate of the certification authority.
상기 상대 객체 노드의 이차 인증이 성공적으로 이루어진 경우에 상기 상대 객체 노드로의 접속을 수행하는 접속 제어부
를 더 포함하는 공개키 기반의 인증 장치. In claim 1,
A connection control unit for performing access to the counterpart object node when secondary authentication of the counterpart object node is successfully performed
Public key-based authentication device further comprising.
상기 객체 노드는 사용자 단말을 포함하고, 상기 상대 객체 노드는 상기 사용자 단말로 서비스를 제공하는 서비스 제공 서버를 포함하는 공개키 기반의 인증 장치. In any one of Claims 1-8,
The object node comprises a user terminal, and the counterpart object node comprises a service providing server for providing a service to the user terminal.
상기 상대 객체 노드로부터 상기 상대 객체 노드의 인증서를 수신하는 단계,
상기 상대 객체 노드의 인증서를 통합 인증 대행 서버를 통해 상기 인증 기관으로 검증 요청하는 단계, 그리고
상기 인증 기관으로부터 상기 통합 인증 대행 서버를 통해 수신한 상기 상대 객체 노드의 인증서 검증 결과로부터 상기 상대 객체 노드의 일차 인증을 수행하는 단계
를 포함하는 인증 방법. As a method of authenticating a counterpart object node to communicate by interworking with a certificate authority that issues a certificate in an object node's public key-based authentication device,
Receiving a certificate of the counterpart object node from the counterpart object node;
Requesting verification of the certificate of the counterpart object node to the certification authority through an integrated authentication agent server, and
Performing primary authentication of the counterpart object node from a certificate verification result of the counterpart object node received from the certification authority through the integrated authentication agent server;
.
상기 일차 인증이 성공된 상대 객체 노드에 대해 상기 상대 객체 노드의 공개키로 데이터를 암호화하여 상기 상대 객체 노드로 전송하는 단계,
상기 상대 객체 노드로부터 상기 상대 객체 노드의 공개키와 쌍으로 이루어진 개인키로 상기 암호화된 데이터를 복호화한 데이터를 수신하는 단계, 그리고
상기 암호화된 데이터와 상기 복호화된 데이터가 일치하는지의 비교를 통해 상기 상대 객체 노드의 이차 인증을 수행하는 단계
를 더 포함하는 인증 방법. 11. The method of claim 10,
Encrypting data with a public key of the counterpart object node with respect to the counterpart object node in which the primary authentication is successful, and transmitting the data to the counterpart object node;
Receiving data from the counterpart object node by decrypting the encrypted data with a private key paired with the public key of the counterpart object node; and
Performing secondary authentication of the counterpart object node by comparing whether the encrypted data and the decrypted data match.
Authentication method further comprising.
상기 상대 객체 노드의 인증서는 상기 상대 객체 노드의 공개키와 상기 인증 기관의 정보를 결합한 후, 상기 인증 기관의 개인 키로 암호화되어 있으며,
상기 상대 객체 노드로 전송하는 단계는
상기 인증 기관의 개인 키와 쌍으로 이루어진 상기 인증 기관의 공개키를 획득하는 단계, 그리고
상기 인증 기관의 공개키로 상기 데이터를 암호화하는 단계를 포함하는 인증 방법. 12. The method of claim 11,
The partner object node's certificate is encrypted with the private key of the certification authority after combining the public key of the partner object node and the information of the certification authority.
The step of transmitting to the relative object node
Obtaining the public key of the certificate authority, which is paired with the private key of the certificate authority, and
Encrypting the data with the public key of the certificate authority.
상기 인증 기관의 공개키를 획득하는 단계는,
상기 인증 기관으로부터 상기 인증 기관의 인증서를 수신하는 단계,
상기 인증 기관을 인증서로부터 상기 인증 기관이 적법한 기관인지 확인하는 단계, 그리고
적법한 인증 기관의 인증서로부터 상기 인증 기관의 공개키를 획득하는 단계를 포함하는 인증 방법. The method of claim 12,
Acquiring the public key of the certification authority,
Receiving a certificate of the certification authority from the certification authority,
Confirming from the certificate that the certificate authority is a legitimate authority, and
Obtaining a public key of the certification authority from a certificate of a legitimate certification authority.
상기 상대 객체 노드의 이차 인증이 성공적으로 이루어진 경우에 상기 상대 객체 노드로의 접속을 허용하는 단계
를 더 포함하는 인증 방법. 11. The method of claim 10,
Allowing access to the counterpart object node when secondary authentication of the counterpart object node is successfully performed
Authentication method further comprising.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120048760A KR20130125201A (en) | 2012-05-08 | 2012-05-08 | Apparatus and method for authenticating based on public key |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120048760A KR20130125201A (en) | 2012-05-08 | 2012-05-08 | Apparatus and method for authenticating based on public key |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20130125201A true KR20130125201A (en) | 2013-11-18 |
Family
ID=49853718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120048760A KR20130125201A (en) | 2012-05-08 | 2012-05-08 | Apparatus and method for authenticating based on public key |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20130125201A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220168415A (en) * | 2021-06-16 | 2022-12-23 | 계명대학교 산학협력단 | Embedding blockchain method and system using external storage media |
-
2012
- 2012-05-08 KR KR1020120048760A patent/KR20130125201A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220168415A (en) * | 2021-06-16 | 2022-12-23 | 계명대학교 산학협력단 | Embedding blockchain method and system using external storage media |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110537346B (en) | Safe decentralized domain name system | |
KR101391151B1 (en) | Method and apparatus for authenticating between clients using session key shared with server | |
Barker et al. | Recommendation for key management part 3: Application-specific key management guidance | |
US9065637B2 (en) | System and method for securing private keys issued from distributed private key generator (D-PKG) nodes | |
US10567370B2 (en) | Certificate authority | |
US11134069B2 (en) | Method for authorizing access and apparatus using the method | |
WO2016177052A1 (en) | User authentication method and apparatus | |
JP6471112B2 (en) | COMMUNICATION SYSTEM, TERMINAL DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
CN110677240A (en) | Method and device for providing high-availability computing service through certificate issuing | |
JP2004032311A (en) | Method, system and program for confirming pki certificate | |
WO2005025125A1 (en) | Device authentication system | |
CN102624740A (en) | Data interaction method, client and server | |
WO2022100356A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
JP5992535B2 (en) | Apparatus and method for performing wireless ID provisioning | |
US20100223464A1 (en) | Public key based device authentication system and method | |
KR100984275B1 (en) | Method for generating secure key using certificateless public key in insecure communication channel | |
KR100890720B1 (en) | Method for Selectively Encrypting Web Contents and Computer-Readable Recording Medium Where Program Executing the Same Method | |
JP4761348B2 (en) | User authentication method and system | |
Barker et al. | Sp 800-57. recommendation for key management, part 1: General (revised) | |
KR100970552B1 (en) | Method for generating secure key using certificateless public key | |
JP2024513521A (en) | Secure origin of trust registration and identification management of embedded devices | |
KR20170111809A (en) | Bidirectional authentication method using security token based on symmetric key | |
KR20130125201A (en) | Apparatus and method for authenticating based on public key | |
CN112087467A (en) | Information encryption transmission method and system based on web system | |
JP4071474B2 (en) | Expiration confirmation device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |