KR20200079191A - System and Method for Controlling Multi Factor Access Prioritized - Google Patents
System and Method for Controlling Multi Factor Access Prioritized Download PDFInfo
- Publication number
- KR20200079191A KR20200079191A KR1020190167819A KR20190167819A KR20200079191A KR 20200079191 A KR20200079191 A KR 20200079191A KR 1020190167819 A KR1020190167819 A KR 1020190167819A KR 20190167819 A KR20190167819 A KR 20190167819A KR 20200079191 A KR20200079191 A KR 20200079191A
- Authority
- KR
- South Korea
- Prior art keywords
- factor
- user terminal
- equation
- terminal
- access
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명은 액세스 제어 시스템에 관한 것으로서, 특히 우선 순위 지정 문제를 해결하기 위하여 우선 순위가 높은 객체에 액세스할 때, 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있는 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법에 관한 것이다.The present invention relates to an access control system, particularly when accessing a high-priority object to solve a prioritization problem, two or more factor keys are provided from a plurality of independent certification authorities, and the number of factor keys The present invention relates to a multi-factor access control system and method having priority set to dynamically change a user's protection level by adjusting.
사물 인터넷 환경에서는 액세스 제어를 조사하여 사용자의 요청을 허용하거나 거부하는 결정을 내린다.In the Internet of Things environment, access control is examined to make a decision to allow or deny a user's request.
물리적 시스템에서의 액세스 작업은 인간에게 다양한 영향을 미치기 때문에 중요하다. 원자력 발전소를 제어하는 것과 데이터를 읽는 것은 우선 순위가 달라야 한다.Access work in physical systems is important because it has a variety of effects on humans. Controlling nuclear power plants and reading data should have different priorities.
이러한 인증 작업에 대한 액세스 요청은 우선 순위 지정 문제라는 여러 가지의 보호 수준으로 구분하여 인증되어야 한다.Requests for access to these authentication tasks must be authenticated by dividing them into different levels of protection, prioritization issues.
그러나 기존의 인증 솔루션은 우선 순위의 요구 사항을 충족시키지 못하가나 사물 인터넷 환경에서 잘 작동하지 않는 문제점이 있었다.However, the existing authentication solution does not meet the requirements of priority, but there is a problem that does not work well in the Internet of Things.
이와 같은 문제점을 해결하기 위하여, 본 발명은 우선 순위 지정 문제를 해결하기 위하여 우선 순위가 높은 객체에 액세스할 때, 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있는 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법을 제공하는데 그 목적이 있다.In order to solve this problem, the present invention provides two or more factor keys from a plurality of independent certification authorities when accessing a high priority object to solve a prioritization problem, and the number of factor keys It is an object of the present invention to provide a multi-factor access control system and method having prioritization to dynamically adjust a user's protection level by adjusting.
상기 목적을 달성하기 위한 본 발명의 특징에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 방법은,In order to achieve the above object, the multi-factor access control method with priority set according to the features of the present invention
유무선 네트워크를 통하여 인증기관, 사용자 단말과 서비스 제공 단말 간의 인증 프로세스를 수행하는 멀티 팩터 액세스 제어 방법에 있어서,In the multi-factor access control method for performing an authentication process between a certification authority, a user terminal and a service provision terminal through a wired or wireless network,
상기 인증기관은 복수개로 형성되고, 상기 각각의 인증기관에서 인증 과정을 위한 팩터 키와 공개 키를 생성하고, 상기 하나 이상의 팩터 키와 공개 키를 상기 사용자 단말로 전송하는 단계;The authentication authority is formed of a plurality, generating a factor key and a public key for the authentication process in each of the certification authorities, and transmitting the one or more factor keys and the public key to the user terminal;
상기 사용자 단말은 액세스 요청 메시지를 생성하여 상기 서비스 제공 단말로 전송하는 단계;The user terminal generating an access request message and transmitting it to the service providing terminal;
상기 서비스 제공 단말은 상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말을 인증하는데 사용되는 챌린지 C를 생성하고, 상기 생성한 챌린지 C를 상기 사용자 단말로 전송하는 단계;When the service providing terminal receives the access request message from the user terminal, generating a challenge C used to authenticate the user terminal, and transmitting the generated challenge C to the user terminal;
상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 임의의 수를 이용하여 상기 챌린지 C에 대응하는 챌린지 응답 신호를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하는 단계; 및Generating, by the user terminal, a challenge response signal corresponding to the challenge C using an arbitrary number pre-selected in the access request procedure, and transmitting the generated challenge response signal to the service providing terminal; And
상기 서비스 제공 단말은 상기 챌린지 응답 신호를 수신하고, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행하는 단계를 포함하는 것을 특징으로 한다.The service providing terminal may include receiving the challenge response signal, and performing a decoding operation process using the unique sequence number and the unique sequence number included in the received challenge response signal.
전술한 구성에 의하여, 본 발명은 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있으므로 자체 액세스 제어 정책을 구성할 수 있는 효과가 있다.According to the above-described configuration, the present invention is provided with two or more factor keys from a plurality of independent certification bodies, and the number of factor keys can be adjusted to dynamically change a user's protection level. It has the effect.
도 1은 본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 액세스 정책 트리의 일례를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 멀티 팩터 액세스 제어 시스템에서 인증 및 권한 부여 프로토콜의 액세스 제어 결정을 위한 프로토콜을 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 스마트 그리드의 멀티 팩터 액세스 제어를 사용하여 에너지 자원에 대한 세분화된 액세스 제어 개념을 나타낸 도면이다.1 is a diagram illustrating the configuration of a multi-factor access control system in which priority is set according to an embodiment of the present invention.
2 is a diagram showing an example of an access policy tree according to an embodiment of the present invention.
3 is a diagram illustrating a protocol for determining access control of an authentication and authorization protocol in a multi-factor access control system according to an embodiment of the present invention.
4 is a diagram illustrating a concept of granular access control to energy resources using multi-factor access control of a smart grid according to an embodiment of the present invention.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part “includes” a certain component, this means that other components may be further included rather than excluding other components unless specifically stated to the contrary.
우선 순위 문제를 해결하기 위해서 멀티 팩터링(Multi-Factoring) 기술을 사용하는 멀티 액세스 액세스 제어라는 새로운 액세스 제어 메커니즘을 제안합니다.To solve the priority problem, we propose a new access control mechanism called multi-access access control using multi-factoring technology.
본 발명은 복수의 인증기관으로부터 권한을 획득할 수 있는 구성과, 속성으로 구성된 액세스 정책 트리의 구조를 동적으로 변경할 수 있고, 우선 순위가 높은 팩터(Factor)에 복잡한 보호 수준을 요구하며, 우선 순위가 낮은 팩터에 낮은 보호 수준을 설정할 수 있다.The present invention can dynamically change the structure of an access policy tree composed of properties and attributes that can obtain authority from a plurality of certification authorities, requires a complex level of protection in a high-priority factor, and has priority. You can set a low level of protection in a low factor.
도 1은 본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템의 구성을 나타낸 도면이고, 본 발명의 실시예에 따른 액세스 정책 트리의 일례를 나타낸 도면이고, 도 3은 본 발명의 실시예에 따른 멀티 팩터 액세스 제어 시스템에서 인증 및 권한 부여 프로토콜의 액세스 제어 결정을 위한 프로토콜을 나타낸 도면이다.1 is a diagram showing the configuration of a multi-factor access control system in which priority is set according to an embodiment of the present invention, and is a view showing an example of an access policy tree according to an embodiment of the present invention, and FIG. 3 is an embodiment of the present invention A diagram showing a protocol for determining access control of an authentication and authorization protocol in a multi-factor access control system according to an example.
본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템(100)은 사용자 단말(110), 서비스 제공 단말(120) 및 인증기관(130)을 포함한다.The multi-factor
사용자 단말(110)은 팩터(Factor)로 기능하는 팩터 키를 허가받은 인증기관(CA)(130)들에 연결한다. 팩터들은 팩터 키들(Secret Keys)을 의미한다.The
사용자 단말(110)은 복수의 인증기관(130)들로부터 복수의 팩터 키를 전송받는다. 여기서, 팩터 키는 일련의 속성으로 구성되며, 각 속성은 특정 액세스 조작에 대한 사용자 단말(110)의 특권을 나타낸다(예를 들어, 사무실 3803에 위치한 에어컨 제어 등).The
팩터 키 인가 프로세스는 사용자 단말(110)의 신원이 확인되고, 팩터 키가 포함된 속성들이 규정된다.In the factor key authorization process, the identity of the
복수의 인증기관(130)에서 팩터 키가 발급되기 때문에 하나의 팩터 키에 대한 타협은 다른 팩터 키에 영향을 미치지 않는다.Since a factor key is issued by a plurality of
사용자 단말(110)은 서비스 제공 단말(120)에 접근할 때 서비스 제공 단말(120)에 의해 준비된 보호 정책을 포함한 챌린지(Challenge)를 받게 된다.When the
서비스 제공 단말(120)은 제시된 팩터 키들의 속성들에 따라 사용자 단말(110)을 인증한다.The
속성 기반 암호화(Attribute Based Encryption)는 공개 키를 사용하지 않고 속성 세트를 사용하여 데이터를 암호화한다.Attribute Based Encryption encrypts data using a set of attributes without using a public key.
부울 수식은 액세스 정책 트리를 만들어 속성의 조합을 정의한다. 사용자 단말(110)은 액세스 정책 트리를 만족하는 경우 암호문을 해독할 수 있다.The Boolean formula creates an access policy tree to define a combination of attributes. If the
도 2에 도시된 바와 같이, 액세스 정책 트리는 두 가지 유형의 부울 로직 게이트와 나뭇잎에 있는 4가지 속성(Service Provider, Utility, EV, Read)으로 구성된다.2, the access policy tree is composed of two types of Boolean logic gates and four attributes (Service Provider, Utility, EV, Read) in the leaves.
액세스 정책 트리는 Service Provider와 Utility의 OR 게이트로 연결되고, EV와 Read의 AND 게이트로 연결되어 있으며, OR 게이트와 AND 게이트를 다시 AND 게이트로 연결되어 있다.The access policy tree is connected to the OR gate of the Service Provider and Utility, connected to the AND gate of EV and Read, and the OR gate and AND gate are connected to the AND gate again.
일례로, 데이터 제공자(Alice)는 데이터를 암호화할 때 액세스 정책 트리를 생성하는데, Kevin과 Sara의 사용자 단말은 팩터 키들에 대한 5개의 속성들을 가진다.In one example, the data provider Alice creates an access policy tree when encrypting data, with Kevin and Sara's user terminals having five attributes for factor keys.
암호화 프로세스는 각각의 속성들을 논리 게이트로 매칭하여 True값이 모두 리턴되어야 데이터를 성공적으로 복구한다.The encryption process matches each attribute to a logical gate to successfully recover data when all True values are returned.
즉, Service Provider 또는 Utility는 둘 중 하나의 속성이 True이어야 하고, EV와 Read는 두 가지의 속성이 모두 True이어야 한다.In other words, one property of Service Provider or Utility must be True, and both properties of EV and Read must be True.
예를 들면, Kevin(Utility, Thermostat, EV, Read, Write), Sara(SP, Thermostat, Lighting, Heater, Read)인 경우, Kevin(사용자 단말)은 데이터 제공자(Alice)의 데이터를 읽는 반면, Sara(사용자 단말)은 데이터 제공자(Alice)의 데이터를 읽을 수 없다.For example, in the case of Kevin (Utility, Thermostat, EV, Read, Write), Sara (SP, Thermostat, Lighting, Heater, Read), Kevin (user terminal) reads data from the data provider (Alice), whereas Sara (User terminal) cannot read data of data provider (Alice).
서비스 제공 단말(120)은 액세스 정책 트리를 팩터 키들의 속성들을 이용하여 2개의 입력과 하나의 출력을 갖는 논리 회로를 복수로 구성된다.The
멀티 팩터 액세스 제어 시스템(100)은 트리의 부울 수식(Boolean Formula)을 동등한 선형 팩터 공유 스키마(Secret Sharing Schemes, LSSS) 행렬로 변환하여 수학적 형태로 정책을 나타낸다.The multi-factor
분산된 액세스 제어 엔트리(Decentralized Access Control Entry, DeACE)는 세 가지의 사용자 클래스(소유자, 그룹 및 기타)를 미리 정의하고, 권한(읽기, 쓰기, 실행)이 각 클래스에 저장된다. 각 클래스의 권한은 사용자 단말(110)에게 읽기, 쓰기 또는 실행 권한이 부여되도록 3자리 코드로 표시된다. 즉, 사용자 단말(110)은 권한에 의해 "object_1=101" 권한을 부여받는다. 이를 해석하면, 사용자 단말(110)은 object_1에 액세스하면, 읽기 및 실행 권한이 있지만 쓰기 권한이 없다.사용자 단말(110)은 다른 인증기관(130)에 의해 부여된 복수의 속성 세트들을 저장한다.Decentralized Access Control Entry (DeACE) defines three user classes (owner, group, and others) in advance, and permissions (read, write, execute) are stored in each class. The authority of each class is indicated by a three-digit code so that the
액세스하는 사용자 단말(110)은 데이터를 복구하기 위해 적절한 속성 세트를 제시해야 하며, 2개의 인증기관(130)에서 부여된 속성을 독립적으로 확보해야 한다.The accessing
각각의 인증기관(130)은 다양한 형태의 속성들의 집합을 저장하고 있다.Each
속성 형태는 조명, 에어컨, 팬, 태양광 패널과 같은 스마트 빌딩 내의 에너지 소스들을 나타내고, 회사의 특정 직원(예를 들어 직원 ID 및 이름)을 포함한다.Attribute types represent energy sources in smart buildings such as lighting, air conditioning, fans, and solar panels, and include the company's specific employees (eg employee ID and name).
멀티 팩터 액세스 제어 시스템(100)은 새로운 형태의 속성인 클리어런스(Clearance)를 추가한다. 클리어런스의 카테고리는 매니저, 관리자, 번호가 할당된 구성원이 포함된다.The multi-factor
클리어런스의 번호는 속성 내의 클리어런스 레벨을 나타낸다(예를 들면, "manager = 300").The number of clearance indicates the level of clearance in the attribute (eg, "manager = 300").
사용자 단말(110)은 인증기관(130)에 접속하여 팩터 키를 수신한다. 사용자 단말(110)은 복수의 인증기관(130)과 통신망(102)을 통해 통신하여 복수의 팩터 키들과 팩터 키의 집합을 전송받는다.The
사용자 단말(110)은 액세스 요청 메시지를 생성하여 통신망(102)을 통해 서비스 제공 단말(120)로 전송한다.The
서비스 제공 단말(120)은 사용자 단말(110)로부터 액세스 요청 메시지를 수신하면, 하나 또는 하나 이상의 팩터 키를 사용자 단말(110)로 제공한다.When the
서비스 제공 단말(120)은 액세스 요청을 처리하기 위해서 액세스 정책 트리(도 2), 챌린지(Challenge)를 유지 관리한다.The
액세스 정책 트리의 속성들은 하나의 인증기관(130)에 속할 수도 있고, 각 속성들이 다른 인증기관(130)에 속할 수도 있다.The attributes of the access policy tree may belong to one
예를 들면, 도 2에 도시된 바와 같이, 앨리스(Alice)는 캘리포니아주에서 발행한 두 가지 속성(서비스 제공업체 및 유틸리티)과 로스앤젤레스시에서 발행한 두 가지 속성(전기 자동차 및 읽기)을 사용할 수 있다.For example, as shown in FIG. 2, Alice can use two attributes (service providers and utilities) issued by the State of California and two attributes (electric vehicles and reading) issued by the City of Los Angeles. Can.
팩터 키들의 개수는 보호 레벨을 결정한다. 번호로 지정된 속성의 경우, 서비스 제공 단말(120)은 "manager = 200"과 같은 부등호를 사용하여 클리어런스 레벨에 대한 조건을 설정한다.The number of factor keys determines the level of protection. In the case of the attribute designated by the number, the service providing terminal 120 sets the condition for the clearance level using an inequality code such as "manager = 200".
사용자 단말(110)은 챌린지를 만족시키는 팩터 키와 속성들을 제시하면, 액세스 요청이 확인되고 수락된다.When the
서비스 제공 단말(120)은 팩터 키들의 개수를 변경하여 다양한 챌린지를 동적으로 생성할 수 있고, 응용 프로그램의 컨텍스트에 따라 속성 조합을 생성할 수 있다.The
멀티 팩터 액세스 제어 시스템(100)은 공공 매개변수인 Param을 모든 인증기관(130)들과 사용자 단말(110)로 전송한다. 여기서. Param은 하기의 [수학식 1]과 같이 정의된다.The multi-factor
바이리니어 맵(Bilinear Map) e가 정의된 3개의 그룹 G1, G2, GT들을 고려하는 경우, 상기 그룹 G1, G2는 수학적으로 정의되는 위수(Order)가 큰 소수(Prime Number)인 싸이클릭 그룹들이다.When considering three groups G 1 , G 2 , and G T in which a bilinear map e is defined, the groups G 1 and G 2 are mathematically defined prime numbers having a large order (Prime Number). These are cyclic groups.
싸이클릭 그룹은 하나의 원소로 생성될 수 있는 그룹을 의미하므로 두 그룹의 생성원을 고정하여 사용하는데, 제1 싸이클릭 그룹 G1 생성원을 g1, 제2 싸이클릭 그룹 G2의 생성원을 g2로 표기하기로 한다. 이때, 다음의 사상을 만족하는 상기 바이리니어 맵(Bilinear Map) e : G1 × G2 -> GT이 있다고 가정한다.Since the cyclic group means a group that can be generated as one element, the sources of the two groups are fixed and used. The source of the first cyclic group G 1 is g1, and the source of the second cyclic group G 2 is used. It will be written as g2. At this time, it is assumed that there is the bilinear map e: G 1 × G 2 -> G T that satisfies the following idea.
여기서, g는 그룹 G의 생성기(Generator), 해시 함수(Hash Function) H : {0,1}* -> G는 사용자 단말(110)의 인증을 위해 G를 매핑한다.Here, g is a generator of group G, hash function H: {0,1} * -> G maps G for authentication of the
인증기관(CAj)(130)은 속성 세트 Lj를 유지 관리한다.The certification authority (CA j ) 130 maintains the attribute set L j .
인증기관()(130)은 각각의 속성 에 대해서 두 개의 임의의 지수 를 선택하고, 팩터 키와 공개 키의 2가지 Key를 생성한다. 인증기관(130)은 하기의 [수학식 2]에 의해 팩터 키 SKj를 유지하고, 공개 키 PKj를 생성한다.certification( ) 130 is the property of each About two random exponents Select and generate two keys, a factor key and a public key. The
팩터 키 SKj와 공개 키 PKj는 인증기관()(130)에서 생성되어 사용자 단말(110)과 서비스 제공 단말(120)로 전송된다.The factor key SK j and the public key PK j are certification bodies ( ) 130 and transmitted to the
인증기관(130)은 인증 요청에 따라 사용자 단말(110)의 신원을 검증한다. 인증기관(130)은 사용자 단말(110)에 대한 정규화된 속성 집합()을 선택하고, [수학식 3]에 의해 속성 집합에 대응하는 팩터 키 세트를 생성한다.The
여기서, H(u)는 사용자 단말(110)의 ID의 해시이고, 는 팩터 키 가 포함된 팩터 키 집합이다. 팩터 키 세트 는 인증기관()(130)이 사용자 단말(110)에 부여하는 것이고, 일련의 속성 집합과 대응하는 팩터 키들을 포함한다.Here, H (u) is a hash of the ID of the
그런 다음, 인증기관()(130)은 팩터 키 를 사용자 단말(110)에게 발급해준다. 이를 하기의 [수학식 4]와 같이 표현된다.Then, the certification body ( ) 130 is a factor key To the
여기서, 는 팩터 키 가 포함된 속성 집합이고, 는 팩터 키 가 포함된 팩터 키들의 집합을 나타낸다.here, The factor key Is a set of properties that contains, The factor key Indicates a set of factor keys included.
예를 들면, 도 2에 도시된 바와 같이, 사용자 단말(110)은 인증기관(130)으로부터 서비스 프로바이더(Service Provider), 유틸리티(Utility), EV, Read의 4가지 속성이 포함된 팩터 키 세트를 제공받는다.For example, as shown in FIG. 2, the
사용자 단말(110)은 서비스 제공 단말()(120) 상에서 특정 작업을 수행하기 위하여 서비스 제공 단말()(120)을 액세스한다.The
예를 들면, 서비스 제공 단말(120)이 히터라고 가정하면, 사용자 단말(110)은 히터를 오프하라는 액세스 요청 메시지(Mo)를 생성하여 히터인 서비스 제공 단말(120)로 전송하고, 본인을 나타내는 랜덤번호인 를 생성한다. 사용자 단말(110)은 액세스 요청(Access Request, AR) 메시지를 생성하여 서비스 제공 단말(120)로 전송한다. 여기서, 액세스 요청 메시지는 다음의 [수학식 5]와 같다.For example, assuming that the
서비스 제공 단말()(120)은 사용자 단말(110)로부터 액세스 요청 메시지를 수신하는 경우, 사용자 단말(110)을 인증하는데 사용되는 챌린지(Challenge)를 생성한다.Service provision terminal( ) 120, when receiving an access request message from the
예를 들면, , 사용자 단말(110)은 메시지 M을 서비스 제공 단말(120)로 전송한다는 의미이다.For example, , It means that the
서비스 제공 단말()(120)은 2개의 랜덤번호인 를 생성하고, 시퀀스 번호 z를 생성한다.Service provision terminal( ) 120 is two random numbers And generate sequence number z.
서비스 제공 단말()(120)은 랜덤번호인 , 시퀀스 번호 z와, 액세스 요청 메시지에서 획득한 를 이용하여 2개의 변수()를 계산한다.Service provision terminal( ) (120) is a random number , Obtained from the sequence number z and the access request message 2 variables ( ).
여기서, 는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘이고, 암호 해독에 대한 쌍 표기법은 y=decx(ciphertext)이다.here, Is a symmetric key algorithm that encrypts the message y with factor x, and the pair notation for decryption is y=dec x (ciphertext).
서비스 제공 단말()(120)은 전술한 2개의 변수를 연결하여 챌린지 메시지(Mc)를 생성한다. 예를 들면, 는 메시지 M1와 M2를 연결한다는 의미이다.Service provision terminal( ) 120 connects the two variables described above to generate a challenge message Mc. For example, Means that the messages M1 and M2 are connected.
서비스 제공 단말()(120)은 도 2와 같이, 액세스 정책 트리 를 생성하여 보호 정책을 구축한다. 는 서비스 제공 단말(120)을 구축하는 액세스 정책 트리이고, 서비스 제공 단말(120) 상에서 액세스 조작의 보호 레벨을 나타낸다. 여기서, 도 2는 액세스 정책 트리의 일례를 나타낸다.Service provision terminal( ) 120, as shown in Figure 2, the access policy tree Create a protection policy. Is an access policy tree for constructing the
서비스 제공 단말(120)은 인증기관(130)의 공개 키 PK로부터 액세스 정책 트리의 모든 속성들에 관련된 팩터들과 팩터 키들을 획득한다.The
서비스 제공 단말(120)은 액세스 정책 트리를 등가의 n×l의 LSSS(Linear Secret Sharing Scheme) 매트릭스()로 변환한다. 여기서, 는 에 대응하는 LSSS 매트릭스이고, n은 액세스 정책 트리의 형태를 결정하고, l은 액세스 정책 트리의 속성 개수이다.The
액세스 정책 트리를 LSSS 매트릭스로 변환하는 일례는 다음과 같다.An example of converting an access policy tree to an LSSS matrix is as follows.
전술한 알고리즘은 액세스 정책 트리(도 2)를 텍스트 형태를 매트릭스 형태로 변환한 것이다.The above-described algorithm converts the access policy tree (FIG. 2) from text form to matrix form.
서비스 제공 단말(120)은 챌린지 메시지(Mc), 공개 키(PK), LSSS 행렬()을 계산한 후, 아래의 변수들을 계산할 수 있다.The
서비스 제공 단말(120)은 속성의 전체를 나타내는 랜덤번호인 벡터를 생성하고, 제1 엔트리로 S를 가진 벡터와 제1 엔트리로 0을 가진 벡터의 2개의 랜덤 벡터를 생성한다.The
서비스 제공 단말(120)은 를 계산한다. 여기서, 는 의 행 X이다.
서비스 제공 단말(120)은 의 각 행 에 대하여 랜던번호인 을 생성한다. 즉, rx는 속성별 랜덤번호를 나타낸다.
서비스 제공 단말(120)은 인증기관(130)로부터 액세스 정책 트리()의 각 속성(i)별 위치를 나타내는 를 획득한다.The
서비스 제공 단말(120)은 하기의 [수학식 7]과 같이, 바이리니어 맵(Bilinear Map)의 S자승에 Mc를 곱하면(Mc(e(g,g)S), 검증할 데이터를 포함한 Co가 계산된다.As shown in [Equation 7] below, the
서비스 제공 단말(120)은 행렬 와 , Co, C1,x, C2,x, C3,x를 모두 연결하여 챌린지(C)를 생성하고, 생성된 챌린지(C)를 사용자 단말(110)로 전송한다. 여기서, 챌린지(C)는 다음의 [수학식 7]과 같다.The
Co, C1,x, C2,x, C3,x는 속성을 나타내고, C1,x는 바이리니어 맵(Bilinear Map)(e(g,g))의 자승과, 바이리니어 맵(e(g,g))의 자승으로 암호화한다.Co, C 1,x , C 2,x , C 3,x represent properties, and C1,x represents the bilinear map (e(g,g)) Square and bilinear map (e(g,g)) Encrypt with squares.
챌린지(C)는 액세스 정책 트리(도 2)를 나타내는 텍스트 형태를 매트릭스 형태로 변환하고, 매트릭스 형태를 수학적으로 암호화한 것이다(수학식 7).The challenge C is to convert the text form representing the access policy tree (FIG. 2) into a matrix form and mathematically encrypt the matrix form (Equation 7).
챌린지(C)는 사용자 단말(110)이 갖고 있는 속성(Co, C1, C2, C3)으로 트리 구조를 만들어 암호화한다.The challenge C creates and encrypts a tree structure with attributes (Co, C 1 , C 2 , C 3 ) of the
사용자 단말(110)은 서비스 제공 단말(120)로부터 챌린지(C)를 수신하는 경우, 행렬 와 를 획득한다.When the
팩터 키 집합 은 속성 집합 에 대한 에 상응하는 팩터 키들을 포함한다면, 사용자 단말(110)은 다음 단계를 진행한다. 그렇지 않은 경우, 사용자 단말(110)은 자격이 없으므로 프로세스를 중단한다.Factor key set Silver property set for If it includes factor keys corresponding to, the
사용자 단말(110)은 n개의 복수의 인증기관(130)에서 부여된 팩터 키의 집합, 즉 를 유지한다.The
챌린지(C)와 팩터 키들로부터 다른 변수들을 얻는 경우, 사용자 단말(110)은 [수학식 8]에 의해 각 x를 계산할 수 있다.When other variables are obtained from the challenge (C) and factor keys, the
사용자 단말(110)은 이 되도록 상수 를 선택하고, 하기의 [수학식 9]에 의해 미래 평가를 위한 챌린지 메시지 신호 를 복구한다.
사용자 단말(110)은 액세스 요청 절차에서 미리 선택된 랜덤번호 를 이용하여 챌린지 응답 신호(CR)를 생성하고, 생성한 챌린지 응답 신호를 서비스 제공 단말(120)로 전송한다(수학식 10).The
여기서, 는 미래 평가에 있어 대신에 사용된다.here, Got in the future evaluation Used instead.
서비스 제공 단말(120)은 사용자 단말(110)로부터 챌린지 응답 신호를 수신하는 경우, 를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여 의 복호화 연산 과정을 계산할 수 있다.When the
그런 다음, 서비스 제공 단말(120)은 하기의 [수학식 11]과 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하면, 요청된 연산자 Mo를 수행하고, Ack 신호를 생성하여 사용자 단말(110)로 전송한다. 비교 결과가 동일하지 않으면, 서비스 제공 단말(120)은 액세스 요청을 거부한다. 예를 들면, 서비스 제공 단말(120)은 True인 경우, 액세스 요청 메시지(Mo)에 따라 히터를 오프시키고, False인 경우, 히터를 오프시키지 않고 액세스 요청을 거부한다.Then, the
도 4는 본 발명의 실시예에 따른 스마트 그리드의 멀티 팩터 액세스 제어를 사용하여 에너지 자원에 대한 세분화된 액세스 제어 개념을 나타낸 도면이다.4 is a diagram illustrating a concept of granular access control to energy resources using multi-factor access control of a smart grid according to an embodiment of the present invention.
본 발명의 멀티 팩터 액세스 제어 시스템(100)은 에너지 자원(120)을 제어하는 데이터 리딩 및 제어의 액세스 작업을 위하여 보호 수준의 난이도를 차별화한다.The multi-factor
제1 사용자 단말(111)은 데이터 리딩(Reading)의 액세스 작업을 위하여 하나의 인증기관(130)에 권한을 부여받는다.The
제2 사용자 단말(112)은 제어(Control)의 액세스 작업을 위하여 2개의 인증기관(130)에 권한을 획득해야 한다.The
본 발명은 에너지 자원(120)을 제어하는 두 가지 유형으로 데이터 리딩과 제어의 팩터(Factor)를 제공한다.The present invention provides a factor of data reading and control in two types of controlling the
본 발명의 멀티 팩터 액세스 제어 시스템(100)은 도 2와 같이, 속성으로 구성된 액세스 정책 트리를 생성하고, 일정 시 간 후에 액세스 정책 트리의 구조를 동적으로 변경할 수 있으며, 보호 수준의 난이도를 다르게 설정할 수 있다.As illustrated in FIG. 2, the multi-factor
본 발명은 복수의 인증기관(130)으로부터 권한을 획득할 수 있는 구성, 속성별로 팩터 키가 존재하는 구성, 속성으로 구성된 액세스 정책 트리의 구조를 동적으로 변경할 수 있고, 우선 순위가 높은 팩터(Factor)에 복잡한 보호 수준을 요구하며, 우선 순위가 낮은 팩터에 낮은 보호 수준을 설정할 수 있다.The present invention can dynamically change the structure of an access policy tree composed of attributes, a configuration in which a factor key exists for each attribute, a configuration capable of obtaining authority from a plurality of
이상에서 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.In the above, the embodiment of the present invention is not implemented only through an apparatus and/or method, and may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention, a recording medium in which the program is recorded, and the like. There is, such an implementation can be easily implemented by those skilled in the art to which the present invention belongs from the description of the above-described embodiment.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
100: 멀티 팩터 액세스 제어 시스템
102: 통신망
110: 사용자 단말
120: 서비스 제공 단말
130: 인증기관100: multi-factor access control system
102: communication network
110: user terminal
120: service provision terminal
130: certification authority
Claims (10)
상기 인증기관은 하나 이상으로 형성되고, 상기 각각의 인증기관로부터 액세스 제어를 위한 팩터(Factor) 키를 하나 이상을 생성하여 상기 사용자 단말과 상기 서비스 제공 단말로 전송하는 단계;
상기 사용자 단말은 상기 인증기관으로부터 수신한 팩터 키와 본인을 나타내는 랜덤번호를 포함한 상기 서비스 제공 단말의 액세스 제어를 위한 액세스 요청 메시지를 생성하여 상기 서비스 제공 단말로 전송하는 단계;
상기 서비스 제공 단말은 상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말이 가진 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하는 챌린지(C)를 생성하고, 상기 생성한 챌린지(C)를 상기 사용자 단말로 전송하는 단계;
상기 사용자 단말은 상기 랜덤번호를 이용하여 상기 챌린지(C)에 대응하는 챌린지 응답 신호를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하는 단계; 및
상기 서비스 제공 단말은 상기 챌린지 응답 신호를 수신하고, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행한 결과값을 비교하여 액세스 성공 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.In the multi-factor access control method for performing access control between a certification authority, a user terminal and a service providing terminal through a wired or wireless network,
The authentication authority is formed of one or more, and generating at least one factor key for access control from each of the authentication authorities to transmit to the user terminal and the service providing terminal;
Generating, by the user terminal, an access request message for access control of the service providing terminal including a factor key received from the certification authority and a random number indicating the identity of the user, and transmitting it to the service providing terminal;
When the service providing terminal receives the access request message from the user terminal, it creates a challenge (C) for mathematically encrypting the access policy tree composed of the attributes of the user terminal, and the generated challenge (C) Transmitting to the user terminal;
Generating, by the user terminal, a challenge response signal corresponding to the challenge (C) using the random number and transmitting the generated challenge response signal to the service providing terminal; And
The service providing terminal receives the challenge response signal, and compares a result value obtained by performing a decryption operation process using the unique sequence number included in the received challenge response signal and the unique sequence number to determine whether access is successful. Multi-factor access control method comprising the step of.
상기 사용자 단말은 본인을 나타내는 랜덤번호인 를 생성하고, 하기의 수학식 1과 같이, 를 포함한 액세스 요청 메시지(Mo)를 생성하여 상기 서비스 제공 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 1]
According to claim 1,
The user terminal is a random number representing the person To generate, as in Equation 1 below, And generating an access request message (Mo) including the same and transmitting it to the service providing terminal.
[Equation 1]
상기 서비스 제공 단말은 2개의 랜덤번호인 를 생성하고, 시퀀스 번호 z를 생성하고, 상기 액세스 요청 메시지에서 획득한 상기 를 이용하여 2개의 변수(Z1, Z2)를 수학식 2에 의해 계산하고, 상기 2개의 변수를 연결하여 수학식 3의 챌린지 메시지(Mc)를 생성하며, 상기 생성한 챌린지 메시지를 상기 사용자 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 2]
여기서, 는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘임.
[수학식 3]
여기서, <Z1, Z2>는 Z1와 Z2를 연결함.According to claim 2,
The service providing terminal is two random numbers To generate the sequence number z, and obtained from the access request message Two variables (Z 1 , Z 2 ) are calculated by using Equation 2, and the two variables are connected to generate the challenge message (Mc) of Equation 3, and the generated challenge message is generated by the user. Multi-factor access control method comprising the step of transmitting to the terminal.
[Equation 2]
here, Is a symmetric key algorithm that encrypts message y with factor x.
[Equation 3]
Here, <Z 1 , Z 2 > connects Z 1 and Z 2 .
상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 랜덤번호 를 이용하여 하기의 수학식 4와 같은 챌린지 응답 신호(CR)를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하고,
상기 서비스 제공 단말은 상기 사용자 단말로부터 챌린지 응답 신호를 수신하는 경우, 를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여 의 복호화 연산 과정을 계산하고, 하기의 수학식 5와 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 수행하며, 비교 결과가 동일하지 않으면, False를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 거부하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 4]
[수학식 5]
According to claim 3,
The user terminal is a random number selected in advance in the access request procedure Generate a challenge response signal (CR) as shown in Equation 4 below using, and transmit the generated challenge response signal to the service providing terminal,
When the service providing terminal receives a challenge response signal from the user terminal, And using the unique sequence number Z used in the challenge creation procedure After calculating the decoding operation process of, comparing two variables as shown in Equation 5 below, if the comparison result is the same, if True is returned, an access request is performed according to the access request message, and the comparison result is And if not, returning False, rejecting the access request according to the access request message.
[Equation 4]
[Equation 5]
상기 인증기관으로부터 수신한 팩터 키와 본인을 나타내는 랜덤번호를 포함한 액세스 제어를 위한 액세스 요청 메시지를 생성하여 전송하는 사용자 단말; 및
상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말이 가진 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하는 챌린지(C)를 생성하고, 상기 생성한 챌린지(C)를 상기 사용자 단말로 전송하고, 상기 사용자 단말로부터 상기 랜덤번호를 이용하여 상기 챌린지(C)에 대응하는 챌린지 응답 신호를 수신하며, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행한 결과값을 비교하여 액세스 성공 여부를 판단하는 서비스 제공 단말을 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.At least one certification authority that generates and transmits one or more factor keys for access control;
A user terminal generating and transmitting an access request message for access control including a factor key received from the certification authority and a random number representing the user; And
When the access request message is received from the user terminal, a challenge (C) for mathematically encrypting an access policy tree composed of attributes possessed by the user terminal is generated, and the generated challenge (C) is transmitted to the user terminal And, receives a challenge response signal corresponding to the challenge (C) using the random number from the user terminal, decoding operation using the unique sequence number and the unique sequence number included in the received challenge response signal And a service provision terminal that determines whether access is successful by comparing the result values performed through the process.
상기 하나의 인증기관 또는 상기 2개 이상의 인증기관으로부터 액세스 제어를 위한 팩터(Factor) 키를 수신하여 권한을 부여받는 복수의 사용자 단말; 및
상기 각각의 사용자 단말로부터 수신된 팩터 키들의 속성들에 따라 상기 각각의 사용자 단말을 인증하고, 상기 각각의 사용자 단말에서 특정 액세스 조작을 나타내는 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하여 상기 각각의 사용자 단말로 전송하는 서비스 제공 단말을 포함하며,
상기 서비스 제공 단말은 일정 시간 후에 상기 액세스 정책 트리의 구조를 동적으로 변경하여 팩터별로 보호 수준의 난이도를 다르게 설정하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.A plurality of certification authorities that generate and transmit one or more factor keys for access control;
A plurality of user terminals receiving authorization from the one certification authority or the two or more certification authorities by receiving a factor key for access control; And
Each user terminal is authenticated according to the attributes of the factor keys received from each user terminal, and each user is encrypted by mathematically encrypting an access policy tree composed of attributes representing a specific access operation at each user terminal. It includes a service providing terminal to be transmitted to the terminal,
The service providing terminal dynamically changes the structure of the access policy tree after a certain period of time, thereby setting a difficulty level of protection for each factor differently.
상기 사용자 단말은 본인을 나타내는 랜덤번호인 를 생성하고, 하기의 수학식 1과 같이, 를 포함한 액세스 요청 메시지(Mo)를 생성하여 상기 서비스 제공 단말로 전송하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 1]
The method of claim 5 or 6,
The user terminal is a random number representing the person To generate, as in Equation 1 below, Multi-factor access control system, characterized in that for generating an access request message (Mo) including the transmission to the service providing terminal.
[Equation 1]
상기 서비스 제공 단말은 상기 팩터 키들의 속성들을 이용하여 2개의 입력과 하나의 출력을 갖는 논리 회로를 복수로 구성된 상기 액세스 정책 트리를 텍스트 형태로 나타내고, 상기 텍스트 형태를 등가의 n(액세스 정책 트리의 형태로 결정함)×l(액세스 정책 트리의 속성 개수)의 LSSS(Linear Secret Sharing Scheme) 매트릭스 형태로 변환하며, 상기 변환한 매트릭스 형태를 수학적으로 암호화하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.The method of claim 5 or 6,
The service providing terminal displays the access policy tree composed of a plurality of logic circuits having two inputs and one output in text form by using the attributes of the factor keys, and the text form is equivalent to n (of the access policy tree Multi-factor access control system, characterized by converting into a Linear Secret Sharing Scheme (LSSS) matrix form of xl (number of attributes in the access policy tree) matrix, and mathematically encrypting the converted matrix form.
상기 서비스 제공 단말은 2개의 랜덤번호인 를 생성하고, 시퀀스 번호 z를 생성하고, 상기 액세스 요청 메시지에서 획득한 상기 를 이용하여 2개의 변수(Z1, Z2)를 수학식 2에 의해 계산하고, 상기 2개의 변수를 연결하여 수학식 3의 챌린지 메시지(Mc)를 생성하며, 상기 생성한 챌린지 메시지를 상기 사용자 단말로 전송하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 2]
여기서, 는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘임.
[수학식 3]
여기서, <Z1, Z2>는 Z1와 Z2를 연결함.The method of claim 7,
The service providing terminal is two random numbers To generate the sequence number z, and obtained from the access request message Two variables (Z 1 , Z 2 ) are calculated by using Equation 2, and the two variables are connected to generate the challenge message (Mc) of Equation 3, and the generated challenge message is generated by the user. Multi-factor access control system characterized in that the transmission to the terminal.
[Equation 2]
here, Is a symmetric key algorithm that encrypts message y with factor x.
[Equation 3]
Here, <Z 1 , Z 2 > connects Z 1 and Z 2 .
상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 랜덤번호 를 이용하여 하기의 수학식 4와 같은 챌린지 응답 신호(CR)를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하고,
상기 서비스 제공 단말은 상기 사용자 단말로부터 챌린지 응답 신호를 수신하는 경우, 를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여 의 복호화 연산 과정을 계산하고, 하기의 수학식 5와 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 수행하며, 비교 결과가 동일하지 않으면, False를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 거부하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 4]
[수학식 5]
The method of claim 9,
The user terminal is a random number selected in advance in the access request procedure Generate a challenge response signal (CR) as shown in Equation 4 below using, and transmit the generated challenge response signal to the service providing terminal,
When the service providing terminal receives a challenge response signal from the user terminal, And using the unique sequence number Z used in the challenge creation procedure After calculating the decoding operation process of, comparing two variables as shown in Equation 5 below, if the comparison result is the same, if True is returned, an access request is performed according to the access request message, and the comparison result is If not the same, if returning False, the multi-factor access control system, characterized in that to reject the access request according to the access request message.
[Equation 4]
[Equation 5]
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180168456 | 2018-12-24 | ||
KR20180168456 | 2018-12-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200079191A true KR20200079191A (en) | 2020-07-02 |
KR102381389B1 KR102381389B1 (en) | 2022-04-01 |
Family
ID=71599706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190167819A KR102381389B1 (en) | 2018-12-24 | 2019-12-16 | System and Method for Controlling Multi Factor Access Prioritized |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102381389B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112489746A (en) * | 2020-12-08 | 2021-03-12 | 平安国际智慧城市科技股份有限公司 | Task pushing method and device for data management, electronic equipment and storage medium |
CN114338238A (en) * | 2022-03-02 | 2022-04-12 | 厦门荆艺软件股份有限公司 | Method for accessing computer data by multiple users |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070030883A (en) * | 2004-07-08 | 2007-03-16 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | Method of providing digital certificate functionality |
KR20160004353A (en) * | 2013-06-27 | 2016-01-12 | 인텔 코포레이션 | Continuous multi-factor authentication |
KR101632946B1 (en) | 2012-06-20 | 2016-07-08 | 알까뗄 루슨트 | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
-
2019
- 2019-12-16 KR KR1020190167819A patent/KR102381389B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070030883A (en) * | 2004-07-08 | 2007-03-16 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | Method of providing digital certificate functionality |
KR101632946B1 (en) | 2012-06-20 | 2016-07-08 | 알까뗄 루슨트 | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
KR20160004353A (en) * | 2013-06-27 | 2016-01-12 | 인텔 코포레이션 | Continuous multi-factor authentication |
Non-Patent Citations (1)
Title |
---|
Y. Sreenivasa Rao 외 1명, Dynamic Ciphertext-Policy Attribute-Based Encryption for Expressive Access Policy, ICDCIT 2014, LNCS 8337, pp.275-286 (2014.)* * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112489746A (en) * | 2020-12-08 | 2021-03-12 | 平安国际智慧城市科技股份有限公司 | Task pushing method and device for data management, electronic equipment and storage medium |
CN114338238A (en) * | 2022-03-02 | 2022-04-12 | 厦门荆艺软件股份有限公司 | Method for accessing computer data by multiple users |
Also Published As
Publication number | Publication date |
---|---|
KR102381389B1 (en) | 2022-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Anggorojati et al. | Capability-based access control delegation model on the federated IoT network | |
US10027489B2 (en) | Digital rights management system and method | |
CN105072180B (en) | A kind of cloud storage data safety sharing method for having permission time control | |
US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
RU2501081C2 (en) | Multi-factor content protection | |
CN111274599A (en) | Data sharing method based on block chain and related device | |
US11943345B2 (en) | Key management method and related device | |
KR102381389B1 (en) | System and Method for Controlling Multi Factor Access Prioritized | |
CN116842573B (en) | Hierarchical encryption privacy protection method based on blockchain | |
CN115426136A (en) | Cross-domain access control method and system based on block chain | |
CN112994872A (en) | Key management method and system for mobile terminal platform | |
CN114726502B (en) | Security system based on Internet of things and big data | |
Maheswari et al. | Secure sharing of personal health records in Jelastic cloud by attribute based encryption | |
Johnson | Recommendations for distributed energy resource access control | |
CN110011963A (en) | The information processing method with the more authorization CP-ABE effectively cancelled based on OBDD | |
CN105790929A (en) | High-efficient access control method based on rule redundancy elimination in encryption environment | |
US20090327704A1 (en) | Strong authentication to a network | |
CN116720218A (en) | Cross-system account sharing service method and system based on block chain | |
Chatterjee et al. | An efficient fine grained access control scheme based on attributes for enterprise class applications | |
CN115550052A (en) | Attribute encryption access control system and method based on trust | |
Klaus et al. | Challenges and solutions for industry-grade secure connectivity | |
CN114978771B (en) | Data security sharing method and system based on blockchain technology | |
Ko et al. | Viotsoc: Controlling access to dynamically virtualized iot services using service object capability | |
KR102638798B1 (en) | Method and system for managing wallets on blockchain networks | |
US20220272073A1 (en) | Proxy And A Communication System Comprising Said Proxy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |