KR20180054776A - 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치 - Google Patents

엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치 Download PDF

Info

Publication number
KR20180054776A
KR20180054776A KR1020187010987A KR20187010987A KR20180054776A KR 20180054776 A KR20180054776 A KR 20180054776A KR 1020187010987 A KR1020187010987 A KR 1020187010987A KR 20187010987 A KR20187010987 A KR 20187010987A KR 20180054776 A KR20180054776 A KR 20180054776A
Authority
KR
South Korea
Prior art keywords
entity
signature
message
ttp
trusted
Prior art date
Application number
KR1020187010987A
Other languages
English (en)
Other versions
KR102107918B1 (ko
Inventor
지창 두
비안링 장
진 리
시앙 얀
궈창 장
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20180054776A publication Critical patent/KR20180054776A/ko
Application granted granted Critical
Publication of KR102107918B1 publication Critical patent/KR102107918B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 엔티티의 신원이 유효한지를 검증하기 위한 다중-TTP-기반 방법 및 장치에 관한 것이다. 방법은: 엔티티(B)에 의해, 메시지 1을 엔티티(A)에 송신하고; 메시지 1을 수신한 후, 엔티티(A)에 의해, 메시지 2를 TTPA에 송신하고; 메시지 2를 수신한 후, TTPA에 의해, 엔티티(A)의 신원을 검증하고, 메시지 3을 TTPB에 송신하고; 메시지 3을 수신한 후, TTPB에 의해, TTPA의 제1 서명을 검증하고, 엔티티(B)의 신원을 검증하고, 메시지 4를 TTPA에 반송하고; 메시지 4를 수신한 후, TTPA에 의해, TTPB의 제2 서명을 검증하고, 메시지 5를 구성하고, 메시지 5를 엔티티(A)에 송신하고; 메시지 5를 수신한 후, 엔티티(A)에 의해, TTPA의 제2 서명을 검증하고, 엔티티(B)의 신원이 유효한지를 판단하고, 메시지 6을 구성하고, 메시지 6을 엔티티(B)에 송신하고; 메시지 6을 수신한 후, 엔티티(B)에 의해, TTPB의 제1 서명을 검증하고, 엔티티(A)의 신원이 유효한지를 판단한다. 본 발명은 신원 유효성이 상이한 신뢰된 제3자들(TTPs)에 의해서만 검증될 수 있는 엔티티들의 신원의 유효성의 검증을 실현한다.

Description

엔티티의 신원의 유효성을 검증하기 위한 다중-TTP-기반의 방법 및 장치
본 출원은 중국 특허청에 2015년 10월 10일자로 출원되고 발명의 명칭이 "MULTI-TTP-BASED METHOD AND DEVICE FOR VERIFYING VALIDITY OF IDENTITY OF ENTITY"인 중국 특허 출원 번호 제201510654832.X호에 대한 우선권을 주장하며, 이는 본 명세서에 그 전체가 참조로 통합된다.
본 개시는 엔티티 신원 유효성 검증을 위한 방법들 및 장치들에 관한 것으로서, 특히 다수의 신뢰된 제3자들이 수반되는 엔티티 신원 유효성 검증 방법 및 이를 위한 장치들에 관한 것이다.
엔티티들 사이의 신원(identity) 유효성 검증을 위한 방법들 중에서, 신뢰된 제3자(Trusted Third Party(TTP))가 수반되어 검증 서비스들을 제공하도록 요구되는 유형의 방법이 있다. 그러한 방법에서, 두 신원 유효성 검증 당사자들에 의해 신뢰될 수 있는 TTP는 신원 유효성 검증에 수반되는 두 당사자들에 대해 검증 서비스들을 제공하고 신원 유효성 검증에 수반되는 두 엔티티들에 다시 검증 결과들을 공급하기 위해 사용되며, 그것에 의해 엔티티들 사이의 상호 신원 유효성 검증을 완료하는 것을 돕는다. 그러나, 당업자는 방법을 사용하여 일부 특정 환경들에서 신원 유효성 검증을 완료하도록 지시받을 수 없다. 예를 들어, 특정 신원 유효성 검증 환경은 상호 신원 유효성 검증이 상이한 신뢰된 제3자들(TTPs)을 각각 신뢰하는 엔티티들 사이에서 수행되도록 요구되고 신뢰된 제3자들이 수반되어 검증 서비스들을 제공하도록 요구되는 경우를 포함할 수 있다. 따라서, 그것은 문제들을 해결하기 위해 엔티티 신원 유효성 검증 방법을 제공하는 것이 바람직하다.
배경 부분에서 언급된 문제를 해결하기 위해, 2개의 TTP들이 수반되는 엔티티 신원 유효성 검증 방법은 엔티티(A)와 엔티티(B) 사이에 상호 신원 유효성 검증을 위한 서비스들을 제공하기 위해, 본 개시에 따라 제공된다.
다수의 TTP들이 수반되는 엔티티 신원 유효성 검증 방법이 제공된다. 방법은 엔티티(A), 엔티티(B), 신뢰된 제3자(TTPA) 신뢰된 제3자(TTPB)를 수반한다. TTPA는 엔티티(A)의 신원의 유효성을 검증할 수 있고, TTPB는 엔티티(B)의 신원의 유효성을 검증할 수 있고, 엔티티(A)는 TTPA를 신뢰하고, 엔티티(B)는 TTPB를 신뢰하고, TTPA TTPB는 서로 신뢰한다. 방법은:
엔티티(B)에 의해, 메시지 1을 엔티티(A)에 전송하는 것으로서, 메시지 1은 엔티티(B)의 신원 정보(IB) 및 엔티티(B)에 의해 생성되는 난수(RB)를 포함하는 단계 1);
엔티티(A)가 메시지 1을 수신한 후, 엔티티(A)에 의해, 메시지 2를 신뢰된 제3자(TTPA)에 송신하는 것으로서, 메시지 2는 엔티티(A)의 신원 정보(IA), 엔티티(A)에 의해 생성되는 난수(RA), 엔티티(B)의 신원 정보(IB), 및 난수(RB)를 포함하는 단계 2);
신뢰된 제3자(TTPA)가 엔티티(A)에 의해 송신되는 메시지 2를 수신한 후, 신뢰된 제3자(TTPA)에 의해, IA 에 기초하여 엔티티(A)의 신원을 검증하고, 신뢰된 제3자(TTPA)에 의해, 메시지 3을 신뢰된 제3자(TTPB)에 송신하는 것으로서, 메시지 3은 TTPA에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, TokenTPAB은 ResA, IB, RB, 및 TTPA의 제1 서명을 포함하고, ResA는 TTPA에 의해 엔티티(A)를 검증한 검증 결과이고, TTPA의 제1 서명의 서명 객체들은 ResA, IB RB를 포함하는 단계 3);
TTPB가 TTPA에 의해 송신되는 메시지 3을 수신한 후, TTPB에 의해, TokenTPAB에서 TTPA의 제1 서명을 검증하고; TTPA의 제1 서명이 TTPB에 의해 수행되는 검증을 통과한 후, TTPB에 의해, IB에 기초하여 엔티티(B)의 신원을 검증하고, TTPB에 의해, 메시지 4를 TTPA에 송신하는 것으로서, 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB, TTPB의 제1 서명, TTPB의 제2 서명을 포함하고, ResB는 TTPB에 의해 엔티티(B)를 검증한 검증 결과이고, TTPB의 제1 서명의 서명 객체들은 ResA RB를 포함하고, TTPB의 제2 서명의 서명 객체들은 RTPA ResB를 포함하는 단계 4);
TTPA가 TTPB에 의해 송신되는 메시지 4를 수신한 후, TTPA에 의해, TokenTPBA에서 TTPB의 제2 서명을 검증하고; TTPB의 제2 서명이 TTPA에 의해 수행되는 검증을 통과한 후, TTPA에 의해, 메시지 4로부터 획득되는 RTPA가 TTPA에 의해 TTPB 송신되는 메시지 3의 난수(RTPA)와 동일한지를 체크하고; 메시지 4로부터 획득되는 RTPA가 TTPA에 의해 TTPB에 송신되는 메시지 3의 난수(RTPA)와 동일하면, TTPA에 의해 메시지 5를 구성하고 메시지 5를 엔티티(A)에 송신하는 것으로서, 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, TTPA의 제2 서명, 및 TTPB의 제1 서명을 포함하고, TTPA의 제2 서명의 서명 객체들은 ResB RA를 포함하는 단계 5);
엔티티(A)가 TTPA로부터 메시지 5를 수신한 후, 엔티티(A)에 의해, TokenTA에서 TTPA의 제2 서명을 검증하고; TTPA의 제2 서명이 엔티티(A)에 의해 수행되는 검증을 통과한 후, 엔티티(A)에 의해, 메시지 5로부터 획득되는 RA가 엔티티(A)에 의해 TTPA에 송신되는 메시지 2의 난수(RA)와 동일한지를 체크하고; 메시지 5로부터 획득되는 RA가 엔티티(A)에 의해 TTPA에 송신되는 메시지 2의 난수(RA)와 동일하면, 엔티티(A)에 의해, 검증 결과(ResB)에 기초하여 엔티티(B)의 신원의 유효성을 결정하고, 엔티티(A)에 의해 메시지 6을 구성하고 메시지 6을 엔티티(B)에 송신하는 것으로서, 메시지 6은 TTPB 의 제1 서명을 포함하는 단계 6); 및
엔티티(B)가 메시지 6을 수신한 후, 엔티티(B)에 의해, TTPB의 제1 서명을 검증하고; TTPB의 제1 서명이 엔티티(B)에 의해 수행되는 검증을 통과한 후, 엔티티(B)에 의해, 메시지 6으로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고; 메시지 6으로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일하면, 엔티티(B)에 의해, 검증 결과(ResA)에 기초하여 엔티티(A)의 신원의 유효성을 결정하는 단계 7)을 포함한다.
제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제2 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제1 엔티티 신원 유효성 검증 장치가 제공된다. 제1 엔티티 신원 유효성 검증 장치는:
난수(RA)를 생성하도록 구성되는 처리 유닛;
제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA)를 저장하도록 구성되는 저장 유닛; 및
제2 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 1을 수신하고 메시지 2를 제1 신뢰된 제3자 장치에 송신하며, 메시지 1은 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB) 및 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함하고, 메시지 2는 IA, RA, IB RB를 포함하고;
제1 신뢰된 제3자 장치에 의해 송신되는 메시지 5를 수신하고 메시지 6을 제2 엔티티 신원 유효성 검증 장치에 송신하도록 구성되는 것으로서, 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, 제1 신뢰된 제3자 장치의 제2 서명, 및 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 제1 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 ResB RA를 포함하고, 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, 메시지 6은 제2 신뢰된 제3자 장치의 제1 서명을 포함하는 송수신 유닛을 포함하며,
처리 유닛은: TokenTA에서 제1 신뢰된 제3자 장치의 제2 서명을 검증하고; 메시지 5로부터 획득되는 RA가 제1 엔티티 신원 유효성 검증 장치에 의해 제1 신뢰된 제3자 장치에 송신되는 메시지 2의 난수(RA)와 동일한지를 체크하고; 검증 결과(ResB)에 기초하여 제2 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하고; 메시지 6을 구성하도록 더 구성된다.
제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제1 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제2 엔티티 신원 유효성 검증 장치가 제공된다. 제2 엔티티 신원 유효성 검증 장치는:
난수(RB)를 생성하도록 구성되는 처리 유닛;
상기 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB)를 저장하도록 구성되는 저장 유닛; 및
메시지 1을 송신하고 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 6을 수신하도록 구성되는 것으로서, 메시지 1은 IB RB를 포함하고, 메시지 6은 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과인 송수신 유닛을 포함하며,
처리 유닛은: 제2 신뢰된 제3자 장치의 제1 서명을 검증하고; 메시지 6으로부터 획득되는 RB가 제2 엔티티 신원 유효성 검증 장치에 의해 제1 엔티티 신원 유효성 검증 장치에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고; 검증 결과(ResA)에 기초하여 제1 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하도록 더 구성된다.
제2 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제1 신뢰된 제3자 장치가 제공된다. 제1 신뢰된 제3자 장치는:
제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 2를 수신하도록 구성되는 것으로서, 메시지 2는 제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA), 제1 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RA), 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB), 및 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함하는 송수신 유닛; 및
IA에 기초하여 제1 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성되는 처리 유닛을 포함하며,
송수신 유닛은 메시지 3을 제2 신뢰된 제3자 장치에 송신하도록 더 구성되며, 메시지 3은 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, 토큰(TokenTPAB)은 ResA, IB, RB , 제1 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 제1 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA, IB RB를 포함하고;
송수신 유닛은 제2 신뢰된 제3자 장치에 의해 송신되는 메시지 4를 수신하도록 더 구성되며, 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB, 제2 신뢰된 제3자 장치의 제1 서명, 제2 신뢰된 제3자 장치의 제2 서명을 포함하고, ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, 제2 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 RTPA ResB를 포함하고;
처리 유닛은: TokenTPBA에서 제2 신뢰된 제3자 장치의 제2 서명을 검증하고; 메시지 4로부터 획득되는 RTPA가 제1 신뢰된 제3자 장치에 의해 제2 신뢰된 제3자 장치에 송신되는 메시지 3의 난수(RTPA)와 동일한지를 체크하고; 메시지 5를 구성하도록 더 구성되며, 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, 제1 신뢰된 제3자 장치의 제2 서명, 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, 제1 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 ResB RA를 포함하고;
송수신 유닛은 메시지 5를 제1 엔티티 신원 유효성 검증 장치에 송신하도록 더 구성된다.
제1 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제2 신뢰된 제3자 장치가 제공된다. 제2 신뢰된 제3자 장치는:
제1 신뢰된 제3자 장치에 의해 송신되는 메시지 3을 수신하도록 구성되는 것으로서, 메시지 3은 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, TokenTPAB는 ResA, IB, RB, 및 제1 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, IB는 제2 엔티티 신원 유효성 검증 장치의 신원 정보이고, RB는 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수이고, 제1 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA, IB RB를 포함하는 송수신 유닛; 및
TokenTPAB에서 제1 신뢰된 제3자 장치의 제1 서명을 검증하고 IB에 기초하여 제2 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성되는 처리 유닛을 포함하며;
송수신 유닛은 메시지 4를 제1 신뢰된 제3자 장치에 송신하도록 더 구성되며, 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB , 제2 신뢰된 제3자 장치의 제1 서명, 및 제2 신뢰된 제3자 장치의 제2 서명을 포함하고, ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, 제2 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 RTPA ResB를 포함한다.
본 개시에서, 상호 신원 유효성 검증을 수행하는 엔티티들의 신원들의 유효성은 상이한 신뢰된 제3자들(TTPs)에 의해서만 검증될 수 있다. 검증 프로세스 동안, 두 엔티티들에 의해 각각 신뢰되는 TTP들은 서로 상호작용하고, 엔티티들 사이의 상호 신원 유효성 검증을 위한 서비스들을 제공하여, 엔티티들 사이의 신원 유효성 검증을 완료한다. 본 개시에 따르면, 엔티티들이 상이한 TTP들을 각각 신뢰하는 경우의 신원 유효성 검증 프로세스에 존재하는 문제는 해결될 수 있다.
본 개시의 실시예들 또는 종래 기술의 기술적 해결책들을 보다 명확하게 예시하기 위해, 실시예들 또는 종래 기술의 설명에서 사용될 도면들이 간략하게 설명된다. 이하 설명에서의 도면들은 본 개시의 일부 실시예들만 도시하고, 다른 도면들은 독창적인 노력들 없이 도면들로부터 당업자들에 의해 획득될 수 있다는 점이 명백하다.
도 1은 본 개시의 바람직한 실시예에 따른 다수의 TTP들이 수반되는 신원 유효성 검증 방법을 도시하는 개략도이다.
도 2는 본 개시에 따른 제1 엔티티 신원 유효성 검증 장치의 개략도이다.
도 3은 본 개시에 따른 제2 엔티티 신원 유효성 검증 장치의 개략도이다.
도 4는 본 개시에 따른 제1 신뢰된 제3자 장치의 개략도이다.
도 5는 본 개시에 따른 제2 신뢰된 제3자 장치의 개략도이다.
본 개시에 따른 방법은 엔티티들(A 및 B)뿐만 아니라 신뢰된 제3자들(TTPA TTPB)을 수반한다. TTPA는 엔티티(A)의 신원의 유효성을 검증할 수 있고, TTPB는 엔티티(B)의 신원의 유효성을 검증할 수 있다. 엔티티(A)는 TTPA를 신뢰하고, 엔티티(B)는 TTPB를 신뢰한다. 본 개시에 따른 신원 유효성 검증 프로세스에서 엔티티들과 TTP들 사이의 연결들은 다음과 같이 설명될 수 있다. 엔티티(B)는 엔티티(A)에만 연결되고, 엔티티(A)는 엔티티(B) 및 신뢰된 제3자(TTPA)에 연결되고, 신뢰된 제3자(TTPA)는 엔티티(A) 및 신뢰된 제3자(TTPB)에 연결되고, 신뢰된 제3자(TTPB)는 신뢰된 제3자(TTPA)에만 연결된다.
도 1을 참조하면, 다수의 TTP들이 수반되는 엔티티 신원 유효성 검증 방법이 본 개시에 따라 제공된다. 방법은 엔티티(A), 엔티티(B), 신뢰된 제3자(TTPA) 및 신뢰된 제3자(TTPB)를 수반한다. TTPA는 엔티티(A)의 신원의 유효성을 검증할 수 있고, TTPB는 엔티티(B)의 신원의 유효성을 검증할 수 있다. 엔티티(A)는 TTPA를 신뢰하고, 엔티티(B)는 TTPB를 신뢰한다. 방법은 다음 단계들 1) 내지 7)을 포함한다.
단계 1)에서, 엔티티(B)는 메시지 1을 엔티티(A)에 송신한다. 메시지 1은 엔티티(B)의 신원 정보(IB) 및 엔티티(B)에 의해 생성되는 난수(RB)를 포함한다.
단계 2)에서, 엔티티(A)가 메시지 1을 수신한 후, 엔티티(A)는 메시지 2를 신뢰된 제3자(TTPA)에 송신한다. 메시지 2는 엔티티(A)의 신원 정보(IA), 엔티티(A)에 의해 생성되는 난수(RA), 엔티티(B)의 신원 정보(IB), 및 난수(RB)를 포함한다.
단계 3)에서, 신뢰된 제3자(TTPA)가 엔티티(A)에 의해 송신되는 메시지 2를 수신한 후, 신뢰된 제3자(TTPA)는 IA에 기초하여 엔티티(A)의 신원을 검증하고, 메시지 3을 신뢰된 제3자(TTPB)에 송신한다. 메시지 3은 TTPA에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함한다. TokenTPAB는 ResA, IB, RB, 및 TTPA의 제1 서명을 포함한다. ResA는 TTPA에 의해 엔티티(A)를 검증한 검증 결과이다. TTPA의 제1 서명의 서명 객체들은 ResA, IB RB를 포함한다.
단계 4)에서, TTPB가 TTPA에 의해 송신되는 메시지 3을 수신한 후, TTPB는 TokenTPAB에서 TTPA의 제1 서명을 검증하고; TTPA의 제1 서명이 TTPB에 의해 수행되는 검증을 통과한 후, TTPB는 IB에 기초하여 엔티티(B)의 신원을 검증하고, TTPB는 메시지 4를 TTPA에 송신한다. 메시지 4는 토큰(TokenTPBA)을 포함한다. TokenTPBA는 ResB, TTPB의 제1 서명, 및 TTPB의 제2 서명을 포함한다. ResB는 TTPB에 의해 엔티티(B)를 검증한 검증 결과이다. TTPB의 제1 서명의 서명 객체들은 ResA RB를 포함하고, TTPB 의 제2 서명의 서명 객체들은 RTPA ResB를 포함한다.
단계 5)에서, TTPA가 TTPB에 의해 송신되는 메시지 4를 수신한 후, TTPA는 TokenTPBA에서 TTPB의 제2 서명을 검증하고; TTPB의 제2 서명이 TTPA에 의해 수행되는 검증을 통과한 후, TTPA는 메시지 4로부터 획득되는 RTPA가 TTPA에 의해 TTPB 송신되는 메시지 3의 난수(RTPA)와 동일한지를 체크하고; 메시지 4로부터 획득된 RTPA가 TTPA에 의해 TTPB에 송신되는 메시지 3의 난수(RTPA)와 동일하면, TTPA는 메시지 5를 구성하고 메시지 5를 엔티티(A)에 송신한다. 메시지 5는 토큰(TokenTA)을 포함한다. TokenTA는 ResA, ResB, TTPA의 제2 서명, 및 TTPB의 제1 서명을 포함한다. TTPA의 제2 서명의 서명 객체들은 ResB RA를 포함한다.
단계 6)에서, 엔티티(A)가 TTPA로부터 메시지 5를 수신한 후, 엔티티(A)는 TokenTA에서 TTPA의 제2 서명을 검증하고; TTPA의 제2 서명이 엔티티(A)에 의해 수행되는 검증을 통과한 후, 엔티티(A)는 메시지 5로부터 획득되는 RA가 엔티티(A)에 의해 TTPA에 송신되는 메시지 2의 난수(RA)와 동일한지를 체크하고; 메시지 5로부터 획득되는 RA가 엔티티(A)에 의해 TTPA에 송신되는 메시지 2의 난수(RA)와 동일하면, 엔티티(A)는 검증 결과(ResB)에 기초하여 엔티티(B)의 신원의 유효성을 결정하고 메시지 6을 구성하고 메시지 6을 엔티티(B)에 송신한다. 메시지 6은 TTPB의 제1 서명을 포함한다.
단계 7)에서, 엔티티(B)가 메시지 6을 수신한 후, 엔티티(B)는 TTPB의 제1 서명을 검증하고; TTPB의 제1 서명이 엔티티(B)에 의해 수행되는 검증을 통과한 후, 엔티티(B)는 메시지 6으로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고; 메시지 6으로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일하면, 엔티티(B)는 검증 결과(ResA)에 기초하여 엔티티(A)의 신원의 유효성을 결정한다.
따라서, 엔티티(A)와 엔티티(B) 사이의 상호 신원 유효성 검증이 완료된다.
특히, 신뢰된 제3자(TTPA)가 상술한 단계 3)에서 엔티티(A)에 의해 송신되는 메시지 2를 수신한 후 신뢰된 제3자(TTPA)가 IA에 기초하여 엔티티(A)의 신원을 검증하는 프로세스는 다음과 같이 수행될 수 있다. IA가 엔티티(A)의 구별자(distinguisher)인 경우, TTPA는 엔티티(A)의 공개 키(PA)를 추출하며, 이 경우, ResA는 PA를 포함한다. IA가 엔티티(A)의 인증서(CertA)인 경우, TTPA는 CertA의 유효성을 체크하며, 이 경우, ResA는 CertA의 유효성 상태를 포함한다. TTPA가 엔티티(A)의 공개 키 또는 인증서의 유효성을 획득할 수 없으며, ResA는 실패된 검증을 나타내는 콘텐츠를 포함한다.
특히, 신뢰된 제3자(TTPB)가 상술한 단계 4)에서 TTPA에 의해 송신되는 메시지 3을 수신한 후 신뢰된 제3자(TTPB)가 IB에 기초하여 엔티티(B)의 신원을 검증하는 프로세스는 다음과 같이 수행될 수 있다. IB가 엔티티(B)의 구별자인 경우, TTPB는 엔티티(B)의 공개 키(PB)를 추출하며, 이 경우, ResB는 PB를 포함한다. IB가 엔티티(B)의 인증서(CertB)인 경우, TTPB는 CertB의 유효성을 체크하며, 이 경우, ResB는 CertB의 유효성 상태를 포함한다. TTPB가 엔티티(B)의 공개 키 또는 인증서의 유효성을 획득할 수 없으면, ResB는 실패된 검증을 나타내는 콘텐츠를 포함한다.
특히, 단계 3)에서, TTPA는 난수(RTPA)를 생성하지 않을 수 있고, 메시지 3의 RTPA는 엔티티(A)에 의해 생성되고 TTPA에 송신되는 난수(RA)로 직접 대체될 수 있다. 후속 단계 4) 및 단계 5)에서, RTPA는 또한 RA로 대체될 수 있다. 이러한 방식으로, TTPA는 보안이 거의 영향을 받지 않는 동안 임의의 난수를 생성하도록 요구되지 않으며, 그것에 의해 TTPA의 계산 복잡성을 감소시키고, 시스템의 효율성을 향상시킨다.
특히, 단계 5), 단계 6), 및 단계 7)에서, 서명이 서명에 대한 검증을 통과하지 않거나 난수들이 서로 상이한 것으로 결정되면, 대응 메시지를 폐기하거나 신원 유효성 검증 프로세스를 종료하는 것과 같은 이 기술 분야의 공지된 프로세스가 수행될 수 있다.
이 기술 분야의 공지된 기술들로서, 디지털 서명 알고리즘들은 메시지 복구를 갖는 서명 알고리즘, 메시지 복구를 갖지 않는 서명 알고리즘 등을 포함한다. 타겟 필드가 서명 검증 프로세스 동안에 복수될 수 있으면, 서명 검증자는 서명이 서명에 대한 검증을 통과한 경우 서명으로부터 직접 타겟 필드를 복구할 수 있다. 타겟 필드가 서명 검증 프로세스 동안에 복구될 수 없으면, 당업자는 통상적으로 타겟 필드가 메시지에서 운반되고, 서명 검증자가 메시지로부터 직접 타겟 필드를 획득할 수 있다는 것을 설정할 수 있다. 상술한 단계 5)를 일 예로서 취할시, TTPA가 TTPB의 제2 서명을 검증할 때 TTPA가 타겟 필드(RTPA)를 복구할 수 있는 경우, TTPA는 서명이 TTPA에 의해 수행되는 검증을 통과한 후 서명으로부터 직접 RTPA 를 복구할 수 있다. 게다가, TTPA가 서명을 검증할 때 TTPA가 타겟 필드(RTPA)를 복구할 수 없는 경우, RTPA는 메시지 4에서 직접 운반되고, TTPA는 메시지 4로부터 직접 RTPA를 획득할 수 있다.
또한, 엔티티(A) 및 엔티티(B)가 신원 검증 프로세스 동안에 가장되는(impersonated) 것을 방지하기 위해, 엔티티(A)와 엔티티(B) 사이의 상호 서명 검증의 동작이 또한 방법 실시예에 더 추가될 수 있다. 동작은 방법 실시예에서 단계들 1) 내지 7)과 독립적으로 수행될 수 있거나, 방법 실시예에서 단계들 1) 내지 7)과 조합으로 수행될 수 있다. 동작은 조합 방식으로 더 효과적으로 수행될 수 있다. 바람직하게는, 방법 실시예에서 서명 검증 동작과 단계들 1) 내지 7)을 조합하기 위한 2개의 구현예들이 본 개시에 따라 제공된다.
제1 구현예에서, 방법 실시예에서 단계 1) 이전에, 단계 0)이 더 포함된다. 단계 0)에서, 엔티티(A)는 메시지 0을 엔티티(B)에 송신한다. 메시지 0은 엔티티(A)의 신원 정보(IA), 및 엔티티(A)에 의해 생성되는 난수(RA')를 포함한다. 게다가, 엔티티(B)의 서명을 포함하는 토큰(TokenBA)은 방법에 따라 메시지에 추가된다. 엔티티(B)의 서명의 서명 객체들은 RA', RB, 엔티티(A)의 식별자, 및 엔티티(B)의 식별자를 포함한다. 단계 6)에서, 엔티티(A)가 ResB에 기초하여 엔티티(B)의 신원의 유효성을 결정한 후, 엔티티(A)는 메시지 1로부터 획득되는 엔티티(B)의 서명을 검증하고; 엔티티(B)의 서명이 엔티티(A)에 의해 수행되는 검증을 통과한 후, 엔티티(A)는 메시지 1로부터 획득되는 RA'가 엔티티(A)에 의해 엔티티(B)에 송신되는 메시지 0의 난수(RA')와 동일한지를 체크하고, 따라서, 엔티티(B)에 대한 인증이 완료된다. 게다가, 엔티티(A)의 서명을 포함하는 토큰(TokenAB)이 메시지 6에 추가된다. 엔티티(A)의 서명의 서명 객체들은 RA', RB, 엔티티(A)의 식별자, 및 엔티티(B)의 식별자를 포함한다. 단계 7)에서, 엔티티(B)가 ResA에 기초하여 엔티티(A)의 신원의 유효성을 결정한 후, 엔티티(B)는 메시지 6으로부터 획득되는 엔티티(A)의 서명을 검증하고; 엔티티(A)의 서명이 엔티티(B)에 의해 수행되는 검증을 통과한 후, 엔티티(B)는 메시지 6로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고, 따라서, 엔티티(A)에 대한 인증이 완료된다.
제2 구현예에서, 엔티티(A)에 의해 생성되는 난수(RA') 및 엔티티(A)의 서명을 포함하는 토큰(TokenAB)이 메시지 6에 추가된다. 엔티티(A)의 서명의 객체들은 RA', RB, 엔티티(A)의 식별자, 및 엔티티(B)의 식별자를 포함한다. 단계 7)에서, 엔티티(B)가 ResA에 기초하여 엔티티(A)의 신원의 유효성을 결정한 후, 엔티티(B)는 메시지 6으로부터 획득되는 엔티티(A)의 서명을 검증하고; 엔티티(A)의 서명이 엔티티(B)에 의해 수행되는 검증을 통과한 후, 엔티티(B)는 메시지 6으로부터 획득되는 RB가 엔티티(B)에 의해 엔티티(A)에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고, 따라서 엔티티(A)에 대한 인증이 완료된다. 게다가, 단계 7) 이후에, 단계 8) 및 단계 9)가 방법 실시예에 추가된다. 단계 8)에서, 엔티티(B)는 메시지 7을 엔티티(A)에 송신한다. 메시지 7은 엔티티(B)의 서명을 포함하는 토큰(TokenBA)을 포함한다. 엔티티(B)의 서명의 객체들은 RA', RB, 엔티티(A)의 식별자, 및 엔티티(B)의 식별자를 포함한다. 단계 9)에서, 엔티티(A)가 메시지 7을 수신한 후, 엔티티(A)는 엔티티(B)의 서명을 검증하고; 엔티티(B)의 서명이 엔티티(A)에 의해 수행되는 검증을 통과한 후, 엔티티(A)는 메시지 7로부터 획득되는 RA'가 엔티티(A)에 의해 엔티티(B)에 송신되는 메시지 6의 난수(RA')와 동일한지를 체크하고, 따라서 엔티티(B)에 대한 인증이 완료된다.
도 2를 참조하면, 상술한 엔티티 신원 유효성 검증 방법에 기초하여, 제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제2 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제1 엔티티 신원 유효성 검증 장치가 본 개시에 따라 더 제공된다. 제1 엔티티 신원 유효성 검증 장치는 저장 유닛(11), 송수신 유닛(12) 및 처리 유닛(13)을 포함한다.
처리 유닛(13)은 난수(RA)를 생성하도록 구성된다.
저장 유닛(11)은 제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA)를 저장하도록 구성된다.
송수신 유닛(12)은 제2 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 1을 수신하고 메시지 2를 제1 신뢰된 제3자 장치에 송신하도록 구성된다. 메시지 1은 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB), 및 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함한다. 메시지 2는 IA, RA, IB RB를 포함한다.
송수신 유닛(12)은 제1 신뢰된 제3자 장치에 의해 송신되는 메시지 5를 수신하고 메시지 6을 제2 엔티티 신원 유효성 검증 장치에 송신하도록 더 구성된다. 메시지 5는 토큰(TokenTA)을 포함한다. TokenTA는 ResA, ResB, 제1 신뢰된 제3자 장치의 제2 서명, 및 제2 신뢰된 제3자 장치의 제1 서명을 포함한다. ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다. 제1 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 ResB RA를 포함하고, 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함한다. 메시지 6은 제2 신뢰된 제3자 장치의 제1 서명을 포함한다.
처리 유닛(13)은: TokenTA에서 제1 신뢰된 제3자 장치의 제2 서명을 검증하고; 메시지 5로부터 획득되는 RA가 제1 엔티티 신원 유효성 검증 장치에 의해 제1 신뢰된 제3자 장치에 송신되는 메시지 2의 난수(RA)와 동일한지를 체크하고; 검증 결과(ResB)에 기초하여 제2 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하고; 메시지 6을 구성하도록 더 구성된다.
도 3을 참조하면, 상술한 엔티티 신원 유효성 검증 방법에 기초하여, 제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제1 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제2 엔티티 신원 유효성 검증 장치가 본 개시에 따라 더 제공된다. 제2 엔티티 신원 유효성 검증 장치는 저장 유닛(21), 송수신 유닛(22) 및 처리 유닛(23)을 포함한다.
처리 유닛(23)은 난수(RB)를 생성하도록 구성된다.
저장 유닛(21)은 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB)를 저장하도록 구성된다.
송수신 유닛(22)은 메시지 1을 송신하고 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 6을 수신하도록 구성된다. 메시지 1은 IB RB를 포함한다. 메시지 6은 제2 신뢰된 제3자 장치의 제1 서명을 포함한다. 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함한다. ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다.
처리 유닛(23)은: 제2 신뢰된 제3자 장치의 제1 서명을 검증하고; 메시지 6으로부터 획득되는 RB가 제2 엔티티 신원 유효성 검증 장치에 의해 제1 엔티티 신원 유효성 검증 장치에 송신되는 메시지 1의 난수(RB)와 동일한지를 체크하고; 검증 결과(ResA)에 기초하여 제1 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하도록 더 구성된다.
도 4를 참조하면, 상술한 엔티티 신원 유효성 검증 방법에 기초하여, 제2 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제1 신뢰된 제3자 장치가 본 개시에 따라 제공된다. 제1 신뢰된 제3자 장치는 송수신 유닛(31) 및 처리 유닛(32)을 포함한다.
송수신 유닛(31)은 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 2를 수신하도록 구성된다. 메시지 2는 제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA), 제1 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RA), 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB), 및 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함한다.
처리 유닛(32)은 IA에 기초하여 제1 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성된다.
송수신 유닛(31)은 메시지 3을 제2 신뢰된 제3자 장치에 송신하도록 더 구성된다. 메시지 3은 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함한다. TokenTPAB는 ResA, IB, RB, 및 제1 신뢰된 제3자 장치의 제1 서명을 포함한다. ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다. 제1 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA, IB RB를 포함한다.
송수신 유닛(31)은 제2 신뢰된 제3자 장치에 의해 송신되는 메시지 4를 수신하도록 더 구성된다. 메시지 4는 토큰(TokenTPBA)을 포함한다. TokenTPBA는 ResB, 제2 신뢰된 제3자 장치의 제1 서명, 및 제2 신뢰된 제3자 장치의 제2 서명을 포함한다. ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다. 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, 제2 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 RTPA ResB를 포함한다.
처리 유닛(32)은: TokenTPBA에서 제2 신뢰된 제3자 장치의 제2 서명을 검증하고; 메시지 4로부터 획득되는 RTPA가 제1 신뢰된 제3자 장치에 의해 제2 신뢰된 제3자 장치에 송신되는 메시지 3의 난수(RTPA)와 동일한지를 체크하고; 메시지 5를 구성하도록 더 구성된다. 메시지 5는 토큰(TokenTA)을 포함한다. TokenTA는 ResA, ResB, 제1 신뢰된 제3자 장치의 제2 서명, 및 제2 신뢰된 제3자 장치의 제1 서명을 포함한다. 제1 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 ResB RA를 포함한다.
송수신 유닛(31)은 메시지 5를 제1 엔티티 신원 유효성 검증 장치에 송신하도록 더 구성된다.
특히, 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 2가 제1 신뢰된 제3자 장치(TTPA)에 의해 수신된 후 제1 신뢰된 제3자 장치(TTPA)가 IA에 기초하여 제1 엔티티 신원 유효성 검증 장치의 신원을 검증하는 프로세스에서, 처리 유닛(32)은:
IA가 제1 엔티티 신원 유효성 검증 장치의 구별자(distinguisher)인 경우 제1 엔티티 신원 유효성 검증 장치의 공개 키(PA)를 추출하고;
IA가 제1 엔티티 신원 유효성 검증 장치의 인증서(CertA)인 경우 제1 엔티티 신원 유효성 검증 장치의 인증서(CertA)의 유효성을 체크하도록 더 구성될 수 있다.
도 5를 참조하면, 상술한 엔티티 신원 유효성 검증 방법에 기초하여, 제1 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제2 신뢰된 제3자 장치가 본 개시에 따라 더 제공된다. 제2 신뢰된 제3자 장치는 송수신 유닛(41) 및 처리 유닛(42)을 포함한다.
송수신 유닛(41)은 제1 신뢰된 제3자 장치에 의해 송신되는 메시지 3을 수신하도록 구성된다. 메시지 3은 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함한다. TokenTPAB는 ResA, IB, RB, 및 제1 신뢰된 제3자 장치의 제1 서명을 포함한다. ResA는 제1 신뢰된 제3자 장치에 의해 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다. IB는 제2 엔티티 신원 유효성 검증 장치의 신원 정보이다. RB는 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수이다. 제1 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA, IB RB를 포함한다.
처리 유닛(42)은 TokenTPAB에서 제1 신뢰된 제3자 장치의 제1 서명을 검증하고 IB에 기초하여 제2 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성된다.
송수신 유닛(41)은 메시지 4를 제1 신뢰된 제3자 장치에 송신하도록 더 구성된다. 메시지 4는 토큰(TokenTPBA)을 포함한다. TokenTPBA는 ResB, 제2 신뢰된 제3자 장치의 제1 서명, 및 제2 신뢰된 제3자 장치의 제2 서명을 포함한다. ResB는 제2 신뢰된 제3자 장치에 의해 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이다. 제2 신뢰된 제3자 장치의 제1 서명의 서명 객체들은 ResA RB를 포함하고, 제2 신뢰된 제3자 장치의 제2 서명의 서명 객체들은 RTPA ResB를 포함한다.
특히, 제1 신뢰된 제3자 장치에 의해 송신되는 메시지 3이 제2 신뢰된 제3자 장치에 의해 수신된 후 제2 신뢰된 제3자 장치가 IB에 기초하여 제2 엔티티 신원 유효성 검증 장치의 신원을 검증하는 프로세스에서, 처리 유닛(42)은:
IB가 제2 엔티티 신원 유효성 검증 장치의 구별자인 경우 제2 엔티티 신원 유효성 검증 장치의 공개 키(PB)를 추출하고;
IB가 제2 엔티티 신원 유효성 검증 장치의 인증서(CertB)인 경우 제2 엔티티 신원 유효성 검증 장치의 인증서(CertB)의 유효성을 체크하도록 더 구성될 수 있다.
본 개시에 따른 장치들은 각각 본 개시에 따른 방법 실시예의 엔티티들에 대응한다는 점이 주목되어야 한다. 특히, 제1 엔티티 신원 유효성 검증 장치는 엔티티(A)를 포함하고, 제2 엔티티 신원 유효성 검증 장치는 엔티티(B)를 포함하고, 제1 신뢰된 제3자 장치는 신뢰된 제3자(TTPA)를 포함하고, 제2 신뢰된 제3자 장치는 신뢰된 제3자(TTPB)를 포함한다. 따라서, 도 1을 참조하여 본 개시에 따른 장치들에 의해 형성되는 시스템은 본 개시에 따른 방법을 구현할 수 있다. 각각의 장치의 특정 구성은 장치 실시예에서 도시되었고, 그 동작 상세들은 또한 본 명세서에 상세히 설명되지 않은 방법 실시예에 대응한다는 점이 당업자에 의해 이해되어야 한다.
본 개시의 실시예들은 방법, 시스템 또는 컴퓨터 프로그램 제품으로서 구현될 수 있다는 점이 당업자에 의해 이해되어야 한다. 따라서, 본 개시는 하드웨어 실시예들로만, 소프트웨어 실시예들로만 또는 소프트웨어와 하드웨어를 조합하는 실시예들에 의해 구현될 수 있다. 대안적으로, 본 개시는 컴퓨터 이용가능 프로그램 코드들을 포함하는 하나 이상의 컴퓨터 이용가능 저장 매체들(자기 디스크 메모리, CD-ROM 및 광 메모리 등을 포함하지만 이에 제한되지 않음) 상에서 구현되는 컴퓨터 프로그램 제품들로서 구현될 수 있다.
본 개시는 본 개시에 따른 방법들, 장치들(시스템들) 및 컴퓨터 프로그램 제품들의 흐름도들 및/또는 블록도들을 참조하여 설명된다. 흐름도들 및/또는 블록도들 내의 각각의 흐름 및/또는 블록 및 흐름도들 및/또는 블록도들 내의 흐름들 및/또는 블록들의 조합은 컴퓨터 프로그램 명령어들에 의해 구현될 수 있다는 점이 이해되어야 한다. 컴퓨터 프로그램 명령어들은 컴퓨터 또는 다른 프로그램가능 데이터 처리 장치들의 프로세서들에 의해 실행되는 명령어들이 흐름도들의 하나 이상의 흐름들 및/또는 블록도들의 하나 이상의 블록들에 지정된 기능들을 구현하기 위한 장치를 생성하도록, 머신을 생성하기 위해 범용 컴퓨터, 전용 컴퓨터, 내장형 프로세서 또는 다른 프로그램가능 데이터 처리 장치들의 프로세서들에 제공될 수 있다.
컴퓨터 프로그램 명령어들은 또한 컴퓨터 판독가능 메모리에 저장되는 명령어들이 흐름도들의 하나 이상의 흐름들 및/또는 블록도들의 하나 이상의 블록들에 지정된 기능들을 수행하는 명령어 장치들을 포함하는 제품을 생성하도록, 컴퓨터 또는 다른 프로그램가능 데이터 처리 장치들이 특정 방식으로 동작하도록 안내할 수 있은 컴퓨터 판독가능 메모리에 저장될 수 있다.
컴퓨터 프로그램 명령어들은 또한 컴퓨터 또는 다른 프로그램가능 장치들이 컴퓨터에 의해 구현되는 프로세싱을 생성하기 위해 일련의 동작 단계들을 수행하고, 따라서 컴퓨터 또는 다른 프로그램가능 장치들 상에서 실행되는 명령어들이 흐름도들의 하나 이상의 흐름들 및/또는 블록도들의 하나 이상의 블록들에 지정된 기능들을 구현하기 위한 단계들을 제공하도록, 컴퓨터 또는 다른 프로그램가능 데이터 처리 장치들에 로딩될 수 있다.
본 개시의 바람직한 실시예들이 설명되었지만, 당업자들은 일단 그들이 기본 창의적 개념들을 알게 되면 실시예들에 추가적인 변경들 및 수정들을 가할 수 있다. 따라서, 첨부된 청구항들은 바람직한 실시예들 및 본 개시의 범위 내에 속하는 모든 변경들과 수정들을 포함하는 것으로서 설명되도록 의도된다.
명백하게, 당업자들은 본 개시의 사상 및 범위에서 벗어나는 것 없이 다양한 변경들 및 변형들을 본 개시에 가할 수 있다. 이 경우, 본 개시의 변형 및 변경들이 본 개시의 청구항들 및 그 등가 기술들의 범위 내에 속하면, 본 개시는 변경들 및 변형들을 포함하도록 의도된다.

Claims (15)

  1. 엔티티(A), 엔티티(B), 신뢰된 제3자(TTPA) 신뢰된 제3자(TTPB)를 수반하며, 상기 TTPA는 상기 엔티티(A)의 신원의 유효성을 검증할 수 있고, 상기 TTPB는 상기 엔티티(B)의 신원의 유효성을 검증할 수 있고, 상기 엔티티(A)는 상기 TTPA를 신뢰하고, 상기 엔티티(B)는 상기 TTPB를 신뢰하는 복수의 TTP들이 수반되는 엔티티 신원 유효성 검증 방법으로서, 상기 방법은:
    상기 엔티티(B)에 의해, 메시지 1을 상기 엔티티(A)에 전송하는 것으로서, 상기 메시지 1은 상기 엔티티(B)의 신원 정보(IB) 및 상기 엔티티(B)에 의해 생성되는 난수(RB)를 포함하는 단계 1);
    상기 엔티티(A)가 상기 메시지 1을 수신한 후, 상기 엔티티(A)에 의해, 메시지 2를 상기 신뢰된 제3자(TTPA)에 송신하는 것으로서, 상기 메시지 2는 상기 엔티티(A)의 신원 정보(IA), 상기 엔티티(A)에 의해 생성되는 난수(RA), 상기 엔티티(B)의 상기 신원 정보(IB), 및 상기 난수(RB)를 포함하는 단계 2);
    상기 신뢰된 제3자(TTPA)가 상기 엔티티(A)에 의해 송신되는 상기 메시지 2를 수신한 후, 상기 신뢰된 제3자(TTPA)에 의해, IA 에 기초하여 상기 엔티티(A)의 상기 신원을 검증하고, 상기 신뢰된 제3자(TTPA)에 의해, 메시지 3을 상기 신뢰된 제3자(TTPB)에 송신하는 것으로서, 상기 메시지 3은 상기 TTPA에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, TokenTPAB는 ResA, IB, RB, 및 상기 TTPA의 제1 서명을 포함하고, ResA는 상기 TTPA에 의해 상기 엔티티(A)를 검증한 검증 결과이고, 상기 TTPA의 상기 제1 서명의 서명 객체들은 ResA, IB RB를 포함하는 단계 3);
    상기 TTPB가 상기 TTPA에 의해 송신되는 상기 메시지 3을 수신한 후, 상기 TTPB에 의해, TokenTPAB에서 상기 TTPA의 상기 제1 서명을 검증하고; 상기 TTPA의 상기 제1 서명이 상기 TTPB에 의해 수행되는 상기 검증을 통과한 후, 상기 TTPB에 의해, IB에 기초하여 상기 엔티티(B)의 상기 신원을 검증하고, 상기 TTPB,에 의해, 메시지 4를 상기 TTPA에 송신하는 것으로서, 상기 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB, 상기 TTPB의 제1 서명, 및 상기 TTPB의 제2 서명을 포함하고, ResB는 상기 TTPB에 의해 상기 엔티티(B)를 검증한 검증 결과이고, 상기 TTPB의 상기 제1 서명의 서명 객체들은 ResA RB를 포함하고, 상기 TTPB의 상기 제2 서명의 서명 객체들은 RTPA ResB를 포함하는 단계 4);
    상기 TTPA가 상기 TTPB에 의해 송신되는 상기 메시지 4를 수신한 후, 상기 TTPA에 의해, TokenTPBA에서 상기 TTPB의 상기 제2 서명을 검증하고; 상기 TTPB의 상기 제2 서명이 상기 TTPA에 의해 수행되는 상기 검증을 통과한 후, 상기 TTPA에 의해, 상기 메시지 4로부터 획득되는 RTPA가 상기 TTPA에 의해 상기 TTPB 송신되는 상기 메시지 3의 상기 난수(RTPA)와 동일한지를 체크하고; 상기 메시지 4로부터 획득되는 RTPA가 상기 TTPA에 의해 상기 TTPB에 송신되는 상기 메시지 3의 상기 난수(RTPA)와 동일하면, 상기 TTPA에 의해 메시지 5를 구성하고 상기 메시지 5를 상기 엔티티(A)에 송신하는 것으로서, 상기 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, 상기 TTPA의 제2 서명, 및 상기 TTPB의 상기 제1 서명을 포함하고, 상기 TTPA의 상기 제2 서명의 서명 객체들은 ResB RA를 포함하는 단계 5);
    상기 엔티티(A)가 상기 TTPA로부터 상기 메시지 5를 수신한 후, 상기 엔티티(A)에 의해, TokenTA에서 상기 TTPA의 상기 제2 서명을 검증하고; 상기 TTPA의 상기 제2 서명이 상기 엔티티(A)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(A)에 의해, 상기 메시지 5로부터 획득되는 RA가 상기 엔티티(A)에 의해 상기 TTPA 에 송신되는 상기 메시지 2의 상기 난수(RA)와 동일한지를 체크하고; 상기 메시지 5로부터 획득되는 RA가 상기 엔티티(A)에 의해 상기 TTPA에 송신되는 상기 메시지 2의 상기 난수(RA)와 동일하면, 상기 엔티티(A)에 의해, 상기 검증 결과(ResB)에 기초하여 상기 엔티티(B)의 상기 신원의 상기 유효성을 결정하고, 상기 엔티티(A)에 의해 메시지 6을 구성하고 상기 메시지 6을 상기 엔티티(B)에 송신하는 것으로서, 상기 메시지 6은 상기 TTPB의 상기 제1 서명을 포함하는 단계 6); 및
    상기 엔티티(B)가 상기 메시지 6을 수신한 후, 상기 엔티티(B)에 의해, 상기 TTPB의 상기 제1 서명을 검증하고; 상기 TTPB 의 상기 제1 서명이 상기 엔티티(B)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(B)에 의해, 상기 메시지 6으로부터 획득되는 RB가 상기 엔티티(B)에 의해 상기 엔티티(A)에 송신되는 상기 메시지 1의 상기 난수(RB)와 동일한지를 체크하고; 상기 메시지 6으로부터 획득되는 RB가 상기 엔티티(B)에 의해 상기 엔티티(A)에 송신되는 상기 메시지 1의 상기 난수(RB)와 동일하면, 상기 엔티티(B)에 의해, 상기 검증 결과(ResA)에 기초하여 상기 엔티티(A)의 상기 신원의 상기 유효성을 결정하는 단계 7)을 포함하는 엔티티 신원 유효성 검증 방법.
  2. 제1항에 있어서,
    상기 신뢰된 제3자(TTPA)가 단계 3)에서 상기 엔티티(A)에 의해 송신되는 상기 메시지 2를 수신한 후 상기 신뢰된 제3자(TTPA)가 IA에 기초하여 상기 엔티티(A)의 상기 신원을 검증하는 것은:
    IA가 상기 엔티티(A)의 구별자(distinguisher)인 경우, 상기 TTPA에 의해, 상기 엔티티(A)의 공개 키(PA)를 추출하는 것 - ResA는 PA를 포함함 -; 및
    IA가 상기 엔티티(A)의 인증서(CertA)인 경우, 상기 TTPA에 의해, 상기 CertA의 유효성을 체크하는 것 - ResA는 CertA의 유효성 상태를 포함함 -을 포함하며;
    상기 TTPA가 상기 엔티티(A)의 상기 공개 키 또는 상기 인증서의 상기 유효성을 획득할 수 없으면, ResA는 실패된 검증을 나타내는 콘텐츠를 포함하는 엔티티 신원 유효성 검증 방법.
  3. 제1항에 있어서,
    상기 신뢰된 제3자(TTPB)가 단계 4)에서 상기 TTPA에 의해 송신되는 상기 메시지 3을 수신한 후 상기 신뢰된 제3자(TTPB)가 IB에 기초하여 상기 엔티티(B)의 상기 신원을 검증하는 것은:
    IB가 상기 엔티티(B)의 구별자인 경우, 상기 TTPB에 의해, 상기 엔티티(B)의 공개 키(PB)를 추출하는 것 - ResB는 PB를 포함함 -; 및
    IB가 상기 엔티티(B)의 인증서(CertB)인 경우, 상기 TTPB에 의해, 상기 CertB의 유효성을 체크하는 것 - ResB는 CertB의 유효성 상태를 포함하는 것을 포함함 -을 포함하며;
    상기 TTPB가 상기 엔티티(B)의 상기 공개 키 또는 상기 인증서의 상기 유효성을 획득할 수 없으면, ResB는 실패된 검증을 나타내는 콘텐츠를 포함하는 엔티티 신원 유효성 검증 방법.
  4. 제1항에 있어서,
    상기 TTPA가 단계 5)에서 상기 메시지 4로부터 RTPA를 획득하는 것은:
    TTPA가 상기 TTPB의 상기 제2 서명을 검증할 때 상기 TTPA가 상기 TTPB의 상기 제2 서명으로부터 RTPA를 복구할 수 있는 경우, 상기 TTPB의 상기 제2 서명이 상기 TTPA에 의해 수행되는 검증을 통과한 후, 상기 TTPA에 의해, 상기 TTPB의 상기 제2 서명으로부터 직접 RTPA를 복구하는 것; 및
    상기 TTPA가 상기 TTPB의 상기 제2 서명을 검증할 때 상기 TTPA가 상기 TTPB의 상기 제2 서명으로부터 RTPA를 복구할 수 없는 경우, 상기 TTPA에 의해, RTPA 필드를 포함하는 상기 메시지 4로부터 직접 RTPA를 획득하는 것을 포함하고;
    상기 엔티티(A)가 단계 6)에서 상기 메시지 5로부터 RA를 획득하는 것은:
    상기 엔티티(A)가 상기 TTPA의 상기 제2 서명을 검증할 때 상기 엔티티(A)가 상기 TTPA의 상기 제2 서명으로부터 RA를 복구할 수 있는 경우, 상기 TTPA의 상기 제2 서명이 상기 엔티티(A)에 의해 수행되는 검증을 통과한 후, 상기 엔티티(A)에 의해, 상기 TTPA의 상기 제2 서명으로부터 직접 RA를 복구하는 것; 및
    상기 엔티티(A)가 상기 TTPA의 상기 제2 서명을 검증할 때 상기 엔티티(A)가 상기 TTPA의 상기 제2 서명으로부터 RA를 복구할 수 없는 경우, 상기 엔티티(A)에 의해, RA 필드를 포함하는 상기 메시지 5로부터 직접 RA를 획득하는 것을 포함하고;
    상기 엔티티(B)가 단계 7)에서 상기 메시지 6으로부터 RB를 획득하는 것은:
    상기 엔티티(B)가 상기 TTPB의 상기 제1 서명을 검증할 때 상기 엔티티(B)가 상기 TTPB의 상기 제1 서명으로부터 RB를 복구할 수 있는 경우, 상기 TTPB의 상기 제1 서명이 상기 엔티티(B)에 의해 수행되는 검증을 통과한 후, 상기 엔티티(B)에 의해, 상기 TTPB의 상기 제1 서명으로부터 직접 RB를 복구하는 것; 및
    상기 엔티티(B)가 상기 TTPB의 상기 제1 서명을 검증할 때 상기 엔티티(B)가 상기 TTPB의 상기 제1 서명으로부터 RB를 복구할 수 없는 경우, 상기 엔티티(B)에 의해, RB 필드를 포함하는 상기 메시지 6으로부터 직접 RB를 획득하는 것을 포함하는 엔티티 신원 유효성 검증 방법.
  5. 제1항에 있어서,
    상기 엔티티(A)에 의해, 상기 엔티티(B)의 서명을 검증하고, 상기 엔티티(B)에 의해, 상기 엔티티(A)의 서명을 검증하는 것을 더 포함하며,
    상기 방법은 단계 1) 이전에 단계 0)을 더 포함하고, 단계 0)은: 상기 엔티티(A)에 의해, 메시지 0을 상기 엔티티(B)에 송신하는 것을 포함하는 것으로서, 상기 메시지 0은 상기 엔티티(A)의 상기 신원 정보(IA), 및 상기 엔티티(A)에 의해 생성되는 난수(RA')를 포함하고; 상기 엔티티(B)의 서명을 포함하는 토큰(TokenBA)은 상기 메시지 1에 추가되고, 상기 엔티티(B)의 상기 서명의 서명 객체들은 RA', RB, 상기 엔티티(A)의 식별자, 및 상기 엔티티(B)의 식별자를 포함하고;
    상기 엔티티(A)가 단계 6)에서 ResB에 기초하여 상기 엔티티(B)의 상기 신원의 상기 유효성을 결정한 후, 단계 6)은: 상기 엔티티(A)에 의해, 상기 메시지 1로부터 획득되는 상기 엔티티(B)의 상기 서명을 검증하는 것; 상기 엔티티(B)의 상기 서명이 상기 엔티티(A)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(A)에 의해, 상기 메시지 1로부터 획득되는 RA'가 상기 엔티티(A)에 의해 상기 엔티티(B)에 송신되는 상기 메시지 0의 상기 난수(RA')와 동일한지를 체크하여, 상기 엔티티(B)에 대한 인증을 완료하는 것을 더 포함하는 것으로서; 상기 엔티티(A)의 서명을 포함하는 토큰(TokenAB)은 상기 메시지 6에 추가되고, 상기 엔티티(A)의 상기 서명의 서명 객체들은 RA', RB, 상기 엔티티(A)의 상기 식별자, 및 상기 엔티티(B)의 상기 식별자를 포함하고;
    상기 엔티티(B)가 단계 7)에서 ResA에 기초하여 상기 엔티티(A)의 상기 신원의 상기 유효성을 결정한 후, 단계 7)은: 상기 엔티티(B)에 의해, 상기 메시지 6으로부터 획득되는 상기 엔티티(A)의 상기 서명을 검증하는 것; 상기 엔티티(A)의 상기 서명이 상기 엔티티(B)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(B)에 의해, 상기 메시지 6으로부터 획득되는 RB가 상기 엔티티(B)에 의해 상기 엔티티(A)에 송신되는 상기 메시지 1의 상기 난수(RB)와 동일한지를 체크하여, 상기 엔티티(A)에 대한 인증을 완료하는 것을 더 포함하는 엔티티 신원 유효성 검증 방법.
  6. 제1항에 있어서
    상기 엔티티(A)에 의해, 상기 엔티티(B)의 서명을 검증하고, 상기 엔티티(B)에 의해, 상기 엔티티(A)의 서명을 검증하는 것을 더 포함하며,
    상기 엔티티(A)에 의해 생성되는 난수(RA') 및 상기 엔티티(A)의 서명을 포함하는 토큰(TokenAB)은 상기 메시지 6에 추가되고, 상기 엔티티(A)의 상기 서명의 서명 객체들은 RA', RB, 상기 엔티티(A)의 식별자, 및 상기 엔티티(B)의 식별자를 포함하고;
    상기 엔티티(B)가 단계 7)에서 ResA에 기초하여 상기 엔티티(A)의 상기 신원의 상기 유효성을 결정한 후, 단계 7)은: 상기 엔티티(B)에 의해, 상기 메시지 6으로부터 획득되는 상기 엔티티(A)의 상기 서명을 검증하는 것; 상기 엔티티(A)의 상기 서명이 상기 엔티티(B)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(B)에 의해, 상기 메시지 6으로부터 획득되는 RB가 상기 엔티티(B)에 의해 상기 엔티티(A)에 송신되는 상기 메시지 1의 난수(RB)와 동일한지를 체크하여, 상기 엔티티(A)에 대한 인증을 완료하는 것을 더 포함하고;
    상기 방법은 단계 7) 이후에 단계 8) 및 단계 9)를 더 포함하며,
    단계 8)은: 상기 엔티티(B)에 의해, 메시지 7을 상기 엔티티(A)에 송신하는 것을 포함하는 것으로서, 상기 메시지 7은 상기 엔티티(B)의 서명을 포함하는 토큰(TokenBA)을 포함하고, 상기 엔티티(B)의 상기 서명의 서명 객체들은 RA', RB, 상기 엔티티(A)의 식별자, 및 상기 엔티티(B)의 식별자를 포함하고;
    단계 9)는: 상기 엔티티(A)가 상기 메시지 7을 수신한 후, 상기 엔티티(A)에 의해, 상기 엔티티(B)의 상기 서명을 검증하는 것; 상기 엔티티(B)의 상기 서명이 상기 엔티티(A)에 의해 수행되는 상기 검증을 통과한 후, 상기 엔티티(A)에 의해, 상기 메시지 7로부터 획득되는 RA'가 상기 엔티티(A)에 의해 상기 엔티티(B)에 송신되는 상기 메시지 6의 상기 난수(RA')와 동일한지를 체크하여, 상기 엔티티(B)에 대한 인증을 완료하는 것을 포함하는 엔티티 신원 유효성 검증 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    단계 3), 단계 4) 및 단계 5)의 RTPA는 RA로 대체되는 엔티티 신원 유효성 검증 방법.
  8. 제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제2 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제1 엔티티 신원 유효성 검증 장치로서, 상기 제1 엔티티 신원 유효성 검증 장치는:
    난수(RA)를 생성하도록 구성되는 처리 유닛;
    상기 제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA)를 저장하도록 구성되는 저장 유닛; 및
    상기 제2 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 1을 수신하고 메시지 2를 상기 제1 신뢰된 제3자 장치에 송신하며, 상기 메시지 1은 상기 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB), 및 상기 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함하고, 상기 메시지 2는 IA, RA, IB RB를 포함하고;
    상기 제1 신뢰된 제3자 장치에 의해 송신되는 메시지 5를 수신하고 메시지 6을 상기 제2 엔티티 신원 유효성 검증 장치에 송신하도록 구성되는 것으로서, 상기 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, 상기 제1 신뢰된 제3자 장치의 제2 서명, 및 상기 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 상기 제1 신뢰된 제3자 장치에 의해 상기 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, ResB는 상기 제2 신뢰된 제3자 장치에 의해 상기 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 상기 제1 신뢰된 제3자 장치의 상기 제2 서명의 서명 객체들은 ResB RA를 포함하고, 상기 제2 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 ResA RB를 포함하고, 상기 메시지 6은 상기 제2 신뢰된 제3자 장치의 상기 제1 서명을 포함하는 송수신 유닛을 포함하며,
    상기 처리 유닛은: TokenTA에서 상기 제1 신뢰된 제3자 장치의 상기 제2 서명을 검증하고; 상기 메시지 5로부터 획득되는 RA가 상기 제1 엔티티 신원 유효성 검증 장치에 의해 상기 제1 신뢰된 제3자 장치에 송신되는 상기 메시지 2의 상기 난수(RA)와 동일한지를 체크하고; 상기 검증 결과(ResB)에 기초하여 상기 제2 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하고; 상기 메시지 6을 구성하도록 더 구성되는 제1 엔티티 신원 유효성 검증 장치.
  9. 제1 신뢰된 제3자 장치 및 제2 신뢰된 제3자 장치가 수반되는 제1 엔티티 신원 유효성 검증 장치와 함께 신원 유효성 검증을 수행하기 위한 제2 엔티티 신원 유효성 검증 장치로서, 상기 제2 엔티티 신원 유효성 검증 장치는:
    난수(RB)를 생성하도록 구성되는 처리 유닛;
    상기 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB)를 저장하도록 구성되는 저장 유닛; 및
    메시지 1을 송신하고 상기 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 6을 수신하도록 구성되는 것으로서, 상기 메시지 1은 IB RB를 포함하고, 상기 메시지 6은 상기 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, 상기 제2 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 ResA RB를 포함하고, ResA는 상기 제1 신뢰된 제3자 장치에 의해 상기 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과인 송수신 유닛을 포함하며,
    상기 처리 유닛은: 상기 제2 신뢰된 제3자 장치의 상기 제1 서명을 검증하고; 상기 메시지 6으로부터 획득되는 RB가 상기 제2 엔티티 신원 유효성 검증 장치에 의해 상기 제1 엔티티 신원 유효성 검증 장치에 송신되는 상기 메시지 1의 상기 난수(RB)와 동일한지를 체크하고; 상기 검증 결과(ResA)에 기초하여 상기 제1 엔티티 신원 유효성 검증 장치의 신원의 유효성을 결정하도록 더 구성되는 제2 엔티티 신원 유효성 검증 장치.
  10. 제2 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제1 신뢰된 제3자 장치로서, 상기 제1 신뢰된 제3자 장치는:
    상기 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 메시지 2를 수신하도록 구성되는 것으로서, 상기 메시지 2는 상기 제1 엔티티 신원 유효성 검증 장치의 신원 정보(IA), 상기 제1 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RA), 상기 제2 엔티티 신원 유효성 검증 장치의 신원 정보(IB), 및 상기 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수(RB)를 포함하는 송수신 유닛; 및
    IA에 기초하여 상기 제1 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성되는 처리 유닛을 포함하며,
    상기 송수신 유닛은 메시지 3을 상기 제2 신뢰된 제3자 장치에 송신하도록 더 구성되는 것으로서, 상기 메시지 3은 상기 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, TokenTPAB는 ResA, IB, RB , 상기 제1 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 상기 제1 신뢰된 제3자 장치에 의해 상기 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 상기 제1 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 IB RB를 포함하고;
    상기 송수신 유닛은 상기 제2 신뢰된 제3자 장치에 의해 송신되는 메시지 4를 수신하도록 더 구성되는 것으로서, 상기 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB, 상기 제2 신뢰된 제3자 장치의 제1 서명, 및 상기 제2 신뢰된 제3자 장치의 제2 서명을 포함하고, ResB는 상기 제2 신뢰된 제3자 장치에 의해 상기 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 상기 제2 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 ResA RB를 포함하고, 상기 제2 신뢰된 제3자 장치의 상기 제2 서명의 서명 객체들은 RTPA ResB를 포함하고;
    상기 처리 유닛은: TokenTPBA에서 상기 제2 신뢰된 제3자 장치의 상기 제2 서명을 검증하고; 상기 메시지 4로부터 획득되는 RTPA가 상기 제1 신뢰된 제3자 장치에 의해 상기 제2 신뢰된 제3자 장치에 송신되는 상기 메시지 3의 상기 난수(RTPA)와 동일한지를 체크하고; 메시지 5를 구성하도록 더 구성되는 것으로서, 상기 메시지 5는 토큰(TokenTA)을 포함하고, TokenTA는 ResA, ResB, 상기 제1 신뢰된 제3자 장치의 제2 서명, 및 상기 제2 신뢰된 제3자 장치의 제1 서명을 포함하고, 상기 제1 신뢰된 제3자 장치의 상기 제2 서명의 서명 객체들은 ResB RA를 포함하고;
    상기 송수신 유닛은 상기 메시지 5를 상기 제1 엔티티 신원 유효성 검증 장치에 송신하도록 더 구성되는 제1 신뢰된 제3자 장치.
  11. 제10항에 있어서,
    상기 제1 엔티티 신원 유효성 검증 장치에 의해 송신되는 상기 메시지 2가 상기 제1 신뢰된 제3자 장치(TTPA)에 의해 수신된 후 상기 제1 신뢰된 제3자 장치(TTPA)가 IA에 기초하여 상기 제1 엔티티 신원 유효성 검증 장치의 상기 신원을 검증하는 프로세스에서, 상기 처리 유닛은:
    IA가 상기 제1 엔티티 신원 유효성 검증 장치의 구별자인 경우 상기 제1 엔티티 신원 유효성 검증 장치의 공개 키(PA)를 추출하고;
    IA가 상기 제1 엔티티 신원 유효성 검증 장치의 인증서(CertA)인 경우 상기 제1 엔티티 신원 유효성 검증 장치의 상기 인증서(CertA)의 유효성을 체크하도록 더 구성되는 제1 신뢰된 제3자 장치.
  12. 제1 신뢰된 제3자 장치와 함께 제1 엔티티 신원 유효성 검증 장치와 제2 엔티티 신원 유효성 검증 장치 사이의 신원 유효성 검증에 수반되기 위한 제2 신뢰된 제3자 장치로서, 상기 제2 신뢰된 제3자 장치는:
    상기 제1 신뢰된 제3자 장치에 의해 송신되는 메시지 3을 수신하도록 구성되는 것으로서, 상기 메시지 3은 상기 제1 신뢰된 제3자 장치에 의해 생성되는 난수(RTPA) 및 토큰(TokenTPAB)을 포함하고, TokenTPAB는 ResA, IB, RB, 및 상기 제1 신뢰된 제3자 장치의 제1 서명을 포함하고, ResA는 상기 제1 신뢰된 제3자 장치에 의해 상기 제1 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, IB는 상기 제2 엔티티 신원 유효성 검증 장치의 신원 정보이고, RB는 상기 제2 엔티티 신원 유효성 검증 장치에 의해 생성되는 난수이고, 상기 제1 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 ResA, IB RB를 포함하는 송수신 유닛; 및
    TokenTPAB에서 상기 제1 신뢰된 제3자 장치의 상기 제1 서명을 검증하고 IB에 기초하여 상기 제2 엔티티 신원 유효성 검증 장치의 신원을 검증하도록 구성되는 처리 유닛을 포함하며;
    상기 송수신 유닛은 메시지 4를 상기 제1 신뢰된 제3자 장치에 송신하도록 더 구성되는 것으로서, 상기 메시지 4는 토큰(TokenTPBA)을 포함하고, TokenTPBA는 ResB, 상기 제2 신뢰된 제3자 장치의 제1 서명, 및 상기 제2 신뢰된 제3자 장치의 제2 서명을 포함하고, ResB는 상기 제2 신뢰된 제3자 장치에 의해 상기 제2 엔티티 신원 유효성 검증 장치를 검증한 검증 결과이고, 상기 제2 신뢰된 제3자 장치의 상기 제1 서명의 서명 객체들은 ResA RB 를 포함하고, 상기 제2 신뢰된 제3자 장치의 상기 제2 서명의 서명 객체들은 RTPA ResB를 포함하는 제2 신뢰된 제3자 장치.
  13. 제12항에 있어서,
    상기 제1 신뢰된 제3 장치에 의해 송신되는 상기 메시지 3이 상기 제2 신뢰된 제3자 장치에 의해 수신된 후 상기 제2 신뢰된 제3자 장치가 IB에 기초하여 상기 제2 엔티티 신원 유효성 검증 장치의 상기 신원을 검증하는 프로세스에서, 상기 처리 유닛은:
    IB가 상기 제2 엔티티 신원 유효성 검증 장치의 구별자인 경우 상기 제2 엔티티 신원 유효성 검증 장치의 공개 키(PB)를 추출하고;
    IB가 상기 제2 엔티티 신원 유효성 검증 장치의 인증서(CertB)인 경우 상기 제2 엔티티 신원 유효성 검증 장치의 상기 인증서(CertB)의 유효성을 체크하도록 더 구성되는 제2 신뢰된 제3자 장치.
  14. 제8항 내지 제13항 중 어느 한 항에 있어서,
    상기 메시지들 1 내지 6은 다음 순서: 상기 메시지 1, 상기 메시지 2, 상기 메시지 3, 상기 메시지 4, 상기 메시지 5, 및 상기 메시지 6으로 발생하는 제1 엔티티 신원 유효성 검증 장치, 제2 엔티티 신원 유효성 검증 장치, 제1 신뢰된 제3자 장치 또는 제2 신뢰된 제3자 장치.
  15. 제10항 내지 제13항 중 어느 한 항에 있어서,
    RTPA가 RA로 대체되는 제1 신뢰된 제3자 장치 또는 제2 신뢰된 제3자 장치.
KR1020187010987A 2015-10-10 2016-08-23 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치 KR102107918B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510654832.X 2015-10-10
CN201510654832.XA CN106572065B (zh) 2015-10-10 2015-10-10 一种多ttp参与的实体身份有效性验证方法及装置
PCT/CN2016/096342 WO2017059744A1 (zh) 2015-10-10 2016-08-23 一种多ttp参与的实体身份有效性验证方法及装置

Publications (2)

Publication Number Publication Date
KR20180054776A true KR20180054776A (ko) 2018-05-24
KR102107918B1 KR102107918B1 (ko) 2020-06-26

Family

ID=58487364

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187010987A KR102107918B1 (ko) 2015-10-10 2016-08-23 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치

Country Status (6)

Country Link
US (1) US10652029B2 (ko)
EP (1) EP3361692B1 (ko)
JP (1) JP6543768B2 (ko)
KR (1) KR102107918B1 (ko)
CN (1) CN106572065B (ko)
WO (1) WO2017059744A1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020174075A1 (en) * 2001-05-15 2002-11-21 International Business Machines Corporation System & method for on-line payment
EP2472770A1 (en) * 2009-08-28 2012-07-04 China Iwncomm Co., Ltd Entity bidirectional authentication method by introducing an online third party
EP2472772A1 (en) * 2009-09-30 2012-07-04 China Iwncomm Co., Ltd Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
EP2639998A1 (en) * 2010-11-12 2013-09-18 China Iwncomm Co., Ltd Method and device for anonymous entity identification

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI980591A (fi) * 1998-03-17 2000-01-03 Sonera Oy Menetelmä ja järjestelmä sopimusosapuolen luotettavaksi ja turvallisek si tunnistamiseksi
KR100419484B1 (ko) * 2001-09-07 2004-02-19 한국전자통신연구원 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
JP3889004B2 (ja) 2003-01-27 2007-03-07 松下電器産業株式会社 デジタルコンテンツ配信システム
CN100389555C (zh) 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
US8880889B1 (en) 2007-03-02 2014-11-04 Citigroup Global Markets, Inc. Systems and methods for remote authorization of financial transactions using public key infrastructure (PKI)
CN101378318B (zh) 2008-10-08 2010-09-15 南京邮电大学 开放网络中基于动态可信第三方的身份认证方法
CN101662366B (zh) * 2009-05-27 2011-09-21 西安西电捷通无线网络通信股份有限公司 基于哈希函数的双向认证方法及系统
CN101651690A (zh) * 2009-09-08 2010-02-17 中兴通讯股份有限公司 信任关系的建立方法及对等系统
CN102036235A (zh) * 2009-09-28 2011-04-27 西门子(中国)有限公司 一种用于身份认证的装置和方法
CN102510387B (zh) 2011-12-29 2014-06-04 西安西电捷通无线网络通信股份有限公司 一种安全传输层协议tls握手方法和装置及ttp
GB2499184B (en) * 2012-01-23 2019-01-30 Youview Tv Ltd Authorisation system
US20140136419A1 (en) * 2012-11-09 2014-05-15 Keith Shoji Kiyohara Limited use tokens granting permission for biometric identity verification
CN104618307B (zh) * 2013-11-04 2018-10-23 航天信息股份有限公司 基于可信计算平台的网银交易认证系统
CN104283688B (zh) * 2014-10-11 2017-12-29 东软集团股份有限公司 一种USBKey安全认证系统及安全认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020174075A1 (en) * 2001-05-15 2002-11-21 International Business Machines Corporation System & method for on-line payment
EP2472770A1 (en) * 2009-08-28 2012-07-04 China Iwncomm Co., Ltd Entity bidirectional authentication method by introducing an online third party
EP2472772A1 (en) * 2009-09-30 2012-07-04 China Iwncomm Co., Ltd Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party
EP2639998A1 (en) * 2010-11-12 2013-09-18 China Iwncomm Co., Ltd Method and device for anonymous entity identification

Also Published As

Publication number Publication date
CN106572065A (zh) 2017-04-19
EP3361692A4 (en) 2018-11-07
US20180323976A1 (en) 2018-11-08
WO2017059744A1 (zh) 2017-04-13
US10652029B2 (en) 2020-05-12
CN106572065B (zh) 2019-11-22
EP3361692A1 (en) 2018-08-15
JP2018530269A (ja) 2018-10-11
JP6543768B2 (ja) 2019-07-10
KR102107918B1 (ko) 2020-06-26
EP3361692B1 (en) 2022-03-30

Similar Documents

Publication Publication Date Title
US8533806B2 (en) Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA)
US8356179B2 (en) Entity bi-directional identificator method and system based on trustable third party
US8667283B2 (en) Soft message signing
KR101856682B1 (ko) 엔티티의 인증 방법 및 장치
KR102085466B1 (ko) 엔티티의 신원의 유효성을 검증하기 위한 방법 및 장치
CN109766716A (zh) 一种基于可信计算的匿名双向认证方法
KR102104733B1 (ko) 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치
KR102107918B1 (ko) 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치
KR102141289B1 (ko) 엔티티의 신원의 유효성을 검증하기 위한 다중-ttp-기반의 방법 및 장치
WO2017059755A1 (zh) 一种实体身份有效性验证方法及其装置
WO2017059743A1 (zh) 一种多ttp参与的实体身份有效性验证方法及装置
WO2017059736A1 (zh) 一种实体身份有效性验证方法及其装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant