KR20200079191A - System and Method for Controlling Multi Factor Access Prioritized - Google Patents

System and Method for Controlling Multi Factor Access Prioritized Download PDF

Info

Publication number
KR20200079191A
KR20200079191A KR1020190167819A KR20190167819A KR20200079191A KR 20200079191 A KR20200079191 A KR 20200079191A KR 1020190167819 A KR1020190167819 A KR 1020190167819A KR 20190167819 A KR20190167819 A KR 20190167819A KR 20200079191 A KR20200079191 A KR 20200079191A
Authority
KR
South Korea
Prior art keywords
factor
user terminal
equation
terminal
access
Prior art date
Application number
KR1020190167819A
Other languages
Korean (ko)
Other versions
KR102381389B1 (en
Inventor
이은규
Original Assignee
인천대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인천대학교 산학협력단 filed Critical 인천대학교 산학협력단
Publication of KR20200079191A publication Critical patent/KR20200079191A/en
Application granted granted Critical
Publication of KR102381389B1 publication Critical patent/KR102381389B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

According to the present invention, a priority-set multi-factor access control system and a method thereof receive two or more factor keys from a plurality of independent certification authorities when accessing high-priority objects to solve the prioritization problem, and may dynamically change a user′s level of protection by adjusting the number of the factor keys.

Description

우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법{System and Method for Controlling Multi Factor Access Prioritized}System and Method for Controlling Multi Factor Access Prioritized

본 발명은 액세스 제어 시스템에 관한 것으로서, 특히 우선 순위 지정 문제를 해결하기 위하여 우선 순위가 높은 객체에 액세스할 때, 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있는 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법에 관한 것이다.The present invention relates to an access control system, particularly when accessing a high-priority object to solve a prioritization problem, two or more factor keys are provided from a plurality of independent certification authorities, and the number of factor keys The present invention relates to a multi-factor access control system and method having priority set to dynamically change a user's protection level by adjusting.

사물 인터넷 환경에서는 액세스 제어를 조사하여 사용자의 요청을 허용하거나 거부하는 결정을 내린다.In the Internet of Things environment, access control is examined to make a decision to allow or deny a user's request.

물리적 시스템에서의 액세스 작업은 인간에게 다양한 영향을 미치기 때문에 중요하다. 원자력 발전소를 제어하는 것과 데이터를 읽는 것은 우선 순위가 달라야 한다.Access work in physical systems is important because it has a variety of effects on humans. Controlling nuclear power plants and reading data should have different priorities.

이러한 인증 작업에 대한 액세스 요청은 우선 순위 지정 문제라는 여러 가지의 보호 수준으로 구분하여 인증되어야 한다.Requests for access to these authentication tasks must be authenticated by dividing them into different levels of protection, prioritization issues.

그러나 기존의 인증 솔루션은 우선 순위의 요구 사항을 충족시키지 못하가나 사물 인터넷 환경에서 잘 작동하지 않는 문제점이 있었다.However, the existing authentication solution does not meet the requirements of priority, but there is a problem that does not work well in the Internet of Things.

한국 등록특허번호 제10-1632946호Korean Registered Patent No. 10-1632946

이와 같은 문제점을 해결하기 위하여, 본 발명은 우선 순위 지정 문제를 해결하기 위하여 우선 순위가 높은 객체에 액세스할 때, 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있는 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템 및 방법을 제공하는데 그 목적이 있다.In order to solve this problem, the present invention provides two or more factor keys from a plurality of independent certification authorities when accessing a high priority object to solve a prioritization problem, and the number of factor keys It is an object of the present invention to provide a multi-factor access control system and method having prioritization to dynamically adjust a user's protection level by adjusting.

상기 목적을 달성하기 위한 본 발명의 특징에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 방법은,In order to achieve the above object, the multi-factor access control method with priority set according to the features of the present invention

유무선 네트워크를 통하여 인증기관, 사용자 단말과 서비스 제공 단말 간의 인증 프로세스를 수행하는 멀티 팩터 액세스 제어 방법에 있어서,In the multi-factor access control method for performing an authentication process between a certification authority, a user terminal and a service provision terminal through a wired or wireless network,

상기 인증기관은 복수개로 형성되고, 상기 각각의 인증기관에서 인증 과정을 위한 팩터 키와 공개 키를 생성하고, 상기 하나 이상의 팩터 키와 공개 키를 상기 사용자 단말로 전송하는 단계;The authentication authority is formed of a plurality, generating a factor key and a public key for the authentication process in each of the certification authorities, and transmitting the one or more factor keys and the public key to the user terminal;

상기 사용자 단말은 액세스 요청 메시지를 생성하여 상기 서비스 제공 단말로 전송하는 단계;The user terminal generating an access request message and transmitting it to the service providing terminal;

상기 서비스 제공 단말은 상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말을 인증하는데 사용되는 챌린지 C를 생성하고, 상기 생성한 챌린지 C를 상기 사용자 단말로 전송하는 단계;When the service providing terminal receives the access request message from the user terminal, generating a challenge C used to authenticate the user terminal, and transmitting the generated challenge C to the user terminal;

상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 임의의 수를 이용하여 상기 챌린지 C에 대응하는 챌린지 응답 신호를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하는 단계; 및Generating, by the user terminal, a challenge response signal corresponding to the challenge C using an arbitrary number pre-selected in the access request procedure, and transmitting the generated challenge response signal to the service providing terminal; And

상기 서비스 제공 단말은 상기 챌린지 응답 신호를 수신하고, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행하는 단계를 포함하는 것을 특징으로 한다.The service providing terminal may include receiving the challenge response signal, and performing a decoding operation process using the unique sequence number and the unique sequence number included in the received challenge response signal.

전술한 구성에 의하여, 본 발명은 서로 독립적인 복수의 인증기관으로부터 2가지 이상의 팩터 키를 제공받으며, 팩터 키의 개수를 조정하여 사용자의 보호 수준을 동적으로 변경할 수 있으므로 자체 액세스 제어 정책을 구성할 수 있는 효과가 있다.According to the above-described configuration, the present invention is provided with two or more factor keys from a plurality of independent certification bodies, and the number of factor keys can be adjusted to dynamically change a user's protection level. It has the effect.

도 1은 본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 액세스 정책 트리의 일례를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 멀티 팩터 액세스 제어 시스템에서 인증 및 권한 부여 프로토콜의 액세스 제어 결정을 위한 프로토콜을 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 스마트 그리드의 멀티 팩터 액세스 제어를 사용하여 에너지 자원에 대한 세분화된 액세스 제어 개념을 나타낸 도면이다.
1 is a diagram illustrating the configuration of a multi-factor access control system in which priority is set according to an embodiment of the present invention.
2 is a diagram showing an example of an access policy tree according to an embodiment of the present invention.
3 is a diagram illustrating a protocol for determining access control of an authentication and authorization protocol in a multi-factor access control system according to an embodiment of the present invention.
4 is a diagram illustrating a concept of granular access control to energy resources using multi-factor access control of a smart grid according to an embodiment of the present invention.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part “includes” a certain component, this means that other components may be further included rather than excluding other components unless specifically stated to the contrary.

우선 순위 문제를 해결하기 위해서 멀티 팩터링(Multi-Factoring) 기술을 사용하는 멀티 액세스 액세스 제어라는 새로운 액세스 제어 메커니즘을 제안합니다.To solve the priority problem, we propose a new access control mechanism called multi-access access control using multi-factoring technology.

본 발명은 복수의 인증기관으로부터 권한을 획득할 수 있는 구성과, 속성으로 구성된 액세스 정책 트리의 구조를 동적으로 변경할 수 있고, 우선 순위가 높은 팩터(Factor)에 복잡한 보호 수준을 요구하며, 우선 순위가 낮은 팩터에 낮은 보호 수준을 설정할 수 있다.The present invention can dynamically change the structure of an access policy tree composed of properties and attributes that can obtain authority from a plurality of certification authorities, requires a complex level of protection in a high-priority factor, and has priority. You can set a low level of protection in a low factor.

도 1은 본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템의 구성을 나타낸 도면이고, 본 발명의 실시예에 따른 액세스 정책 트리의 일례를 나타낸 도면이고, 도 3은 본 발명의 실시예에 따른 멀티 팩터 액세스 제어 시스템에서 인증 및 권한 부여 프로토콜의 액세스 제어 결정을 위한 프로토콜을 나타낸 도면이다.1 is a diagram showing the configuration of a multi-factor access control system in which priority is set according to an embodiment of the present invention, and is a view showing an example of an access policy tree according to an embodiment of the present invention, and FIG. 3 is an embodiment of the present invention A diagram showing a protocol for determining access control of an authentication and authorization protocol in a multi-factor access control system according to an example.

본 발명의 실시예에 따른 우선 순위가 설정된 멀티 팩터 액세스 제어 시스템(100)은 사용자 단말(110), 서비스 제공 단말(120) 및 인증기관(130)을 포함한다.The multi-factor access control system 100 having a priority set according to an embodiment of the present invention includes a user terminal 110, a service providing terminal 120, and an authentication authority 130.

사용자 단말(110)은 팩터(Factor)로 기능하는 팩터 키를 허가받은 인증기관(CA)(130)들에 연결한다. 팩터들은 팩터 키들(Secret Keys)을 의미한다.The user terminal 110 connects the factor key functioning as a factor to the authorized certification authorities (CA) 130. Factors mean Secret Keys.

사용자 단말(110)은 복수의 인증기관(130)들로부터 복수의 팩터 키를 전송받는다. 여기서, 팩터 키는 일련의 속성으로 구성되며, 각 속성은 특정 액세스 조작에 대한 사용자 단말(110)의 특권을 나타낸다(예를 들어, 사무실 3803에 위치한 에어컨 제어 등).The user terminal 110 receives a plurality of factor keys from a plurality of certification authorities 130. Here, the factor key is composed of a series of attributes, and each attribute represents a privilege of the user terminal 110 for a specific access operation (for example, air conditioner control located in the office 3803, etc.).

팩터 키 인가 프로세스는 사용자 단말(110)의 신원이 확인되고, 팩터 키가 포함된 속성들이 규정된다.In the factor key authorization process, the identity of the user terminal 110 is verified, and attributes including the factor key are defined.

복수의 인증기관(130)에서 팩터 키가 발급되기 때문에 하나의 팩터 키에 대한 타협은 다른 팩터 키에 영향을 미치지 않는다.Since a factor key is issued by a plurality of certification bodies 130, compromise on one factor key does not affect another factor key.

사용자 단말(110)은 서비스 제공 단말(120)에 접근할 때 서비스 제공 단말(120)에 의해 준비된 보호 정책을 포함한 챌린지(Challenge)를 받게 된다.When the user terminal 110 approaches the service providing terminal 120, it receives a challenge including a protection policy prepared by the service providing terminal 120.

서비스 제공 단말(120)은 제시된 팩터 키들의 속성들에 따라 사용자 단말(110)을 인증한다.The service providing terminal 120 authenticates the user terminal 110 according to the attributes of the suggested factor keys.

속성 기반 암호화(Attribute Based Encryption)는 공개 키를 사용하지 않고 속성 세트를 사용하여 데이터를 암호화한다.Attribute Based Encryption encrypts data using a set of attributes without using a public key.

부울 수식은 액세스 정책 트리를 만들어 속성의 조합을 정의한다. 사용자 단말(110)은 액세스 정책 트리를 만족하는 경우 암호문을 해독할 수 있다.The Boolean formula creates an access policy tree to define a combination of attributes. If the user terminal 110 satisfies the access policy tree, it can decrypt the ciphertext.

도 2에 도시된 바와 같이, 액세스 정책 트리는 두 가지 유형의 부울 로직 게이트와 나뭇잎에 있는 4가지 속성(Service Provider, Utility, EV, Read)으로 구성된다.2, the access policy tree is composed of two types of Boolean logic gates and four attributes (Service Provider, Utility, EV, Read) in the leaves.

액세스 정책 트리는 Service Provider와 Utility의 OR 게이트로 연결되고, EV와 Read의 AND 게이트로 연결되어 있으며, OR 게이트와 AND 게이트를 다시 AND 게이트로 연결되어 있다.The access policy tree is connected to the OR gate of the Service Provider and Utility, connected to the AND gate of EV and Read, and the OR gate and AND gate are connected to the AND gate again.

일례로, 데이터 제공자(Alice)는 데이터를 암호화할 때 액세스 정책 트리를 생성하는데, Kevin과 Sara의 사용자 단말은 팩터 키들에 대한 5개의 속성들을 가진다.In one example, the data provider Alice creates an access policy tree when encrypting data, with Kevin and Sara's user terminals having five attributes for factor keys.

암호화 프로세스는 각각의 속성들을 논리 게이트로 매칭하여 True값이 모두 리턴되어야 데이터를 성공적으로 복구한다.The encryption process matches each attribute to a logical gate to successfully recover data when all True values are returned.

즉, Service Provider 또는 Utility는 둘 중 하나의 속성이 True이어야 하고, EV와 Read는 두 가지의 속성이 모두 True이어야 한다.In other words, one property of Service Provider or Utility must be True, and both properties of EV and Read must be True.

예를 들면, Kevin(Utility, Thermostat, EV, Read, Write), Sara(SP, Thermostat, Lighting, Heater, Read)인 경우, Kevin(사용자 단말)은 데이터 제공자(Alice)의 데이터를 읽는 반면, Sara(사용자 단말)은 데이터 제공자(Alice)의 데이터를 읽을 수 없다.For example, in the case of Kevin (Utility, Thermostat, EV, Read, Write), Sara (SP, Thermostat, Lighting, Heater, Read), Kevin (user terminal) reads data from the data provider (Alice), whereas Sara (User terminal) cannot read data of data provider (Alice).

서비스 제공 단말(120)은 액세스 정책 트리를 팩터 키들의 속성들을 이용하여 2개의 입력과 하나의 출력을 갖는 논리 회로를 복수로 구성된다.The service providing terminal 120 is composed of a plurality of logic circuits having two inputs and one output using attributes of factor keys in an access policy tree.

멀티 팩터 액세스 제어 시스템(100)은 트리의 부울 수식(Boolean Formula)을 동등한 선형 팩터 공유 스키마(Secret Sharing Schemes, LSSS) 행렬로 변환하여 수학적 형태로 정책을 나타낸다.The multi-factor access control system 100 converts a Boolean formula of a tree into an equivalent linear factor sharing scheme (LSSS) matrix to express a policy in a mathematical form.

분산된 액세스 제어 엔트리(Decentralized Access Control Entry, DeACE)는 세 가지의 사용자 클래스(소유자, 그룹 및 기타)를 미리 정의하고, 권한(읽기, 쓰기, 실행)이 각 클래스에 저장된다. 각 클래스의 권한은 사용자 단말(110)에게 읽기, 쓰기 또는 실행 권한이 부여되도록 3자리 코드로 표시된다. 즉, 사용자 단말(110)은 권한에 의해 "object_1=101" 권한을 부여받는다. 이를 해석하면, 사용자 단말(110)은 object_1에 액세스하면, 읽기 및 실행 권한이 있지만 쓰기 권한이 없다.사용자 단말(110)은 다른 인증기관(130)에 의해 부여된 복수의 속성 세트들을 저장한다.Decentralized Access Control Entry (DeACE) defines three user classes (owner, group, and others) in advance, and permissions (read, write, execute) are stored in each class. The authority of each class is indicated by a three-digit code so that the user terminal 110 is given the authority to read, write, or execute. That is, the user terminal 110 is granted “object_1=101” authority by authority. When interpreting this, when the user terminal 110 accesses object_1, it has read and execute permission but no write permission. The user terminal 110 stores a plurality of attribute sets granted by another certification authority 130.

액세스하는 사용자 단말(110)은 데이터를 복구하기 위해 적절한 속성 세트를 제시해야 하며, 2개의 인증기관(130)에서 부여된 속성을 독립적으로 확보해야 한다.The accessing user terminal 110 must present an appropriate set of attributes to recover data, and must independently acquire attributes granted by the two certification bodies 130.

각각의 인증기관(130)은 다양한 형태의 속성들의 집합을 저장하고 있다.Each certification authority 130 stores a set of various types of attributes.

속성 형태는 조명, 에어컨, 팬, 태양광 패널과 같은 스마트 빌딩 내의 에너지 소스들을 나타내고, 회사의 특정 직원(예를 들어 직원 ID 및 이름)을 포함한다.Attribute types represent energy sources in smart buildings such as lighting, air conditioning, fans, and solar panels, and include the company's specific employees (eg employee ID and name).

멀티 팩터 액세스 제어 시스템(100)은 새로운 형태의 속성인 클리어런스(Clearance)를 추가한다. 클리어런스의 카테고리는 매니저, 관리자, 번호가 할당된 구성원이 포함된다.The multi-factor access control system 100 adds a new form of attribute, Clearance. The category of clearance includes managers, managers, and members assigned numbers.

클리어런스의 번호는 속성 내의 클리어런스 레벨을 나타낸다(예를 들면, "manager = 300").The number of clearance indicates the level of clearance in the attribute (eg, "manager = 300").

사용자 단말(110)은 인증기관(130)에 접속하여 팩터 키를 수신한다. 사용자 단말(110)은 복수의 인증기관(130)과 통신망(102)을 통해 통신하여 복수의 팩터 키들과 팩터 키의 집합을 전송받는다.The user terminal 110 accesses the certification authority 130 to receive the factor key. The user terminal 110 communicates with the plurality of certification authorities 130 through the communication network 102 to receive a plurality of factor keys and a set of factor keys.

사용자 단말(110)은 액세스 요청 메시지를 생성하여 통신망(102)을 통해 서비스 제공 단말(120)로 전송한다.The user terminal 110 generates an access request message and transmits it to the service providing terminal 120 through the communication network 102.

서비스 제공 단말(120)은 사용자 단말(110)로부터 액세스 요청 메시지를 수신하면, 하나 또는 하나 이상의 팩터 키를 사용자 단말(110)로 제공한다.When the service providing terminal 120 receives the access request message from the user terminal 110, the service providing terminal 120 provides one or more factor keys to the user terminal 110.

서비스 제공 단말(120)은 액세스 요청을 처리하기 위해서 액세스 정책 트리(도 2), 챌린지(Challenge)를 유지 관리한다.The service provision terminal 120 maintains an access policy tree (FIG. 2) and a challenge to process the access request.

액세스 정책 트리의 속성들은 하나의 인증기관(130)에 속할 수도 있고, 각 속성들이 다른 인증기관(130)에 속할 수도 있다.The attributes of the access policy tree may belong to one certification authority 130 or each attribute may belong to another certification authority 130.

예를 들면, 도 2에 도시된 바와 같이, 앨리스(Alice)는 캘리포니아주에서 발행한 두 가지 속성(서비스 제공업체 및 유틸리티)과 로스앤젤레스시에서 발행한 두 가지 속성(전기 자동차 및 읽기)을 사용할 수 있다.For example, as shown in FIG. 2, Alice can use two attributes (service providers and utilities) issued by the State of California and two attributes (electric vehicles and reading) issued by the City of Los Angeles. Can.

팩터 키들의 개수는 보호 레벨을 결정한다. 번호로 지정된 속성의 경우, 서비스 제공 단말(120)은 "manager = 200"과 같은 부등호를 사용하여 클리어런스 레벨에 대한 조건을 설정한다.The number of factor keys determines the level of protection. In the case of the attribute designated by the number, the service providing terminal 120 sets the condition for the clearance level using an inequality code such as "manager = 200".

사용자 단말(110)은 챌린지를 만족시키는 팩터 키와 속성들을 제시하면, 액세스 요청이 확인되고 수락된다.When the user terminal 110 presents factor keys and attributes satisfying the challenge, the access request is confirmed and accepted.

서비스 제공 단말(120)은 팩터 키들의 개수를 변경하여 다양한 챌린지를 동적으로 생성할 수 있고, 응용 프로그램의 컨텍스트에 따라 속성 조합을 생성할 수 있다.The service provision terminal 120 may dynamically generate various challenges by changing the number of factor keys, and may generate attribute combinations according to the context of the application program.

멀티 팩터 액세스 제어 시스템(100)은 공공 매개변수인 Param을 모든 인증기관(130)들과 사용자 단말(110)로 전송한다. 여기서. Param은 하기의 [수학식 1]과 같이 정의된다.The multi-factor access control system 100 transmits the public parameter Param to all the certification bodies 130 and the user terminal 110. here. P aram is defined as [Equation 1] below.

바이리니어 맵(Bilinear Map) e가 정의된 3개의 그룹 G1, G2, GT들을 고려하는 경우, 상기 그룹 G1, G2는 수학적으로 정의되는 위수(Order)가 큰 소수(Prime Number)인 싸이클릭 그룹들이다.When considering three groups G 1 , G 2 , and G T in which a bilinear map e is defined, the groups G 1 and G 2 are mathematically defined prime numbers having a large order (Prime Number). These are cyclic groups.

싸이클릭 그룹은 하나의 원소로 생성될 수 있는 그룹을 의미하므로 두 그룹의 생성원을 고정하여 사용하는데, 제1 싸이클릭 그룹 G1 생성원을 g1, 제2 싸이클릭 그룹 G2의 생성원을 g2로 표기하기로 한다. 이때, 다음의 사상을 만족하는 상기 바이리니어 맵(Bilinear Map) e : G1 × G2 -> GT이 있다고 가정한다.Since the cyclic group means a group that can be generated as one element, the sources of the two groups are fixed and used. The source of the first cyclic group G 1 is g1, and the source of the second cyclic group G 2 is used. It will be written as g2. At this time, it is assumed that there is the bilinear map e: G 1 × G 2 -> G T that satisfies the following idea.

Figure pat00001
Figure pat00001

여기서, g는 그룹 G의 생성기(Generator), 해시 함수(Hash Function) H : {0,1}* -> G는 사용자 단말(110)의 인증을 위해 G를 매핑한다.Here, g is a generator of group G, hash function H: {0,1} * -> G maps G for authentication of the user terminal 110.

인증기관(CAj)(130)은 속성 세트 Lj를 유지 관리한다.The certification authority (CA j ) 130 maintains the attribute set L j .

인증기관(

Figure pat00002
)(130)은 각각의 속성
Figure pat00003
에 대해서 두 개의 임의의 지수
Figure pat00004
를 선택하고, 팩터 키와 공개 키의 2가지 Key를 생성한다. 인증기관(130)은 하기의 [수학식 2]에 의해 팩터 키 SKj를 유지하고, 공개 키 PKj를 생성한다.certification(
Figure pat00002
) 130 is the property of each
Figure pat00003
About two random exponents
Figure pat00004
Select and generate two keys, a factor key and a public key. The certification authority 130 maintains the factor key SK j by the following [Equation 2] and generates a public key PK j .

Figure pat00005
Figure pat00005

팩터 키 SKj와 공개 키 PKj는 인증기관(

Figure pat00006
)(130)에서 생성되어 사용자 단말(110)과 서비스 제공 단말(120)로 전송된다.The factor key SK j and the public key PK j are certification bodies (
Figure pat00006
) 130 and transmitted to the user terminal 110 and the service provision terminal 120.

인증기관(130)은 인증 요청에 따라 사용자 단말(110)의 신원을 검증한다. 인증기관(130)은 사용자 단말(110)에 대한 정규화된 속성 집합(

Figure pat00007
)을 선택하고, [수학식 3]에 의해 속성 집합에 대응하는 팩터 키 세트를 생성한다.The certification authority 130 verifies the identity of the user terminal 110 according to the authentication request. Certification authority 130 is a set of normalized attributes for user terminal 110 (
Figure pat00007
) Is selected, and a factor key set corresponding to the attribute set is generated by [Equation 3].

Figure pat00008
Figure pat00008

여기서, H(u)는 사용자 단말(110)의 ID의 해시이고,

Figure pat00009
는 팩터 키
Figure pat00010
가 포함된 팩터 키 집합이다. 팩터 키 세트
Figure pat00011
는 인증기관(
Figure pat00012
)(130)이 사용자 단말(110)에 부여하는 것이고, 일련의 속성 집합과 대응하는 팩터 키들을 포함한다.Here, H (u) is a hash of the ID of the user terminal 110,
Figure pat00009
The factor key
Figure pat00010
Is a set of factor keys. Factor key set
Figure pat00011
Is a certification body (
Figure pat00012
) 130 is given to the user terminal 110, and includes a set of attribute sets and corresponding factor keys.

그런 다음, 인증기관(

Figure pat00013
)(130)은 팩터 키
Figure pat00014
를 사용자 단말(110)에게 발급해준다. 이를 하기의 [수학식 4]와 같이 표현된다.Then, the certification body (
Figure pat00013
) 130 is a factor key
Figure pat00014
To the user terminal 110. This is expressed as [Equation 4] below.

Figure pat00015
Figure pat00015

여기서,

Figure pat00016
는 팩터 키
Figure pat00017
가 포함된 속성 집합이고,
Figure pat00018
는 팩터 키
Figure pat00019
가 포함된 팩터 키들의 집합을 나타낸다.here,
Figure pat00016
The factor key
Figure pat00017
Is a set of properties that contains,
Figure pat00018
The factor key
Figure pat00019
Indicates a set of factor keys included.

예를 들면, 도 2에 도시된 바와 같이, 사용자 단말(110)은 인증기관(130)으로부터 서비스 프로바이더(Service Provider), 유틸리티(Utility), EV, Read의 4가지 속성이 포함된 팩터 키 세트를 제공받는다.For example, as shown in FIG. 2, the user terminal 110 is a factor key set including four attributes of a service provider, utility, EV, and read from the certification authority 130. Is provided.

사용자 단말(110)은 서비스 제공 단말(

Figure pat00020
)(120) 상에서 특정 작업을 수행하기 위하여 서비스 제공 단말(
Figure pat00021
)(120)을 액세스한다.The user terminal 110 is a service providing terminal (
Figure pat00020
) 120 to provide a service to perform a specific task terminal (
Figure pat00021
) 120.

예를 들면, 서비스 제공 단말(120)이 히터라고 가정하면, 사용자 단말(110)은 히터를 오프하라는 액세스 요청 메시지(Mo)를 생성하여 히터인 서비스 제공 단말(120)로 전송하고, 본인을 나타내는 랜덤번호인

Figure pat00022
를 생성한다. 사용자 단말(110)은 액세스 요청(Access Request, AR) 메시지를 생성하여 서비스 제공 단말(120)로 전송한다. 여기서, 액세스 요청 메시지는 다음의 [수학식 5]와 같다.For example, assuming that the service providing terminal 120 is a heater, the user terminal 110 generates an access request message (Mo) to turn off the heater and transmits it to the service providing terminal 120, which is a heater, indicating the identity of the user. Random number
Figure pat00022
Produces The user terminal 110 generates an access request (AR) message and transmits it to the service providing terminal 120. Here, the access request message is as shown in [Equation 5].

Figure pat00023
Figure pat00023

서비스 제공 단말(

Figure pat00024
)(120)은 사용자 단말(110)로부터 액세스 요청 메시지를 수신하는 경우, 사용자 단말(110)을 인증하는데 사용되는 챌린지(Challenge)를 생성한다.Service provision terminal(
Figure pat00024
) 120, when receiving an access request message from the user terminal 110, creates a challenge used to authenticate the user terminal 110.

예를 들면,

Figure pat00025
, 사용자 단말(110)은 메시지 M을 서비스 제공 단말(120)로 전송한다는 의미이다.For example,
Figure pat00025
, It means that the user terminal 110 transmits the message M to the service providing terminal 120.

서비스 제공 단말(

Figure pat00026
)(120)은 2개의 랜덤번호인
Figure pat00027
를 생성하고, 시퀀스 번호 z를 생성한다.Service provision terminal(
Figure pat00026
) 120 is two random numbers
Figure pat00027
And generate sequence number z.

서비스 제공 단말(

Figure pat00028
)(120)은 랜덤번호인
Figure pat00029
, 시퀀스 번호 z와, 액세스 요청 메시지에서 획득한
Figure pat00030
를 이용하여 2개의 변수(
Figure pat00031
)를 계산한다.Service provision terminal(
Figure pat00028
) (120) is a random number
Figure pat00029
, Obtained from the sequence number z and the access request message
Figure pat00030
2 variables (
Figure pat00031
).

여기서,

Figure pat00032
는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘이고, 암호 해독에 대한 쌍 표기법은 y=decx(ciphertext)이다.here,
Figure pat00032
Is a symmetric key algorithm that encrypts the message y with factor x, and the pair notation for decryption is y=dec x (ciphertext).

서비스 제공 단말(

Figure pat00033
)(120)은 전술한 2개의 변수를 연결하여 챌린지 메시지(Mc)를 생성한다. 예를 들면,
Figure pat00034
는 메시지 M1와 M2를 연결한다는 의미이다.Service provision terminal(
Figure pat00033
) 120 connects the two variables described above to generate a challenge message Mc. For example,
Figure pat00034
Means that the messages M1 and M2 are connected.

Figure pat00035
Figure pat00035

서비스 제공 단말(

Figure pat00036
)(120)은 도 2와 같이, 액세스 정책 트리
Figure pat00037
를 생성하여 보호 정책을 구축한다.
Figure pat00038
는 서비스 제공 단말(120)을 구축하는 액세스 정책 트리이고, 서비스 제공 단말(120) 상에서 액세스 조작의 보호 레벨을 나타낸다. 여기서, 도 2는 액세스 정책 트리의 일례를 나타낸다.Service provision terminal(
Figure pat00036
) 120, as shown in Figure 2, the access policy tree
Figure pat00037
Create a protection policy.
Figure pat00038
Is an access policy tree for constructing the service provision terminal 120, and indicates the protection level of the access operation on the service provision terminal 120. Here, Fig. 2 shows an example of an access policy tree.

서비스 제공 단말(120)은 인증기관(130)의 공개 키 PK로부터 액세스 정책 트리의 모든 속성들에 관련된 팩터들과 팩터 키들을 획득한다.The service providing terminal 120 obtains factors and factor keys related to all attributes of the access policy tree from the public key PK of the certification authority 130.

서비스 제공 단말(120)은 액세스 정책 트리를 등가의 n×l의 LSSS(Linear Secret Sharing Scheme) 매트릭스(

Figure pat00039
)로 변환한다. 여기서,
Figure pat00040
Figure pat00041
에 대응하는 LSSS 매트릭스이고, n은 액세스 정책 트리의 형태를 결정하고, l은 액세스 정책 트리의 속성 개수이다.The service provision terminal 120 includes an access policy tree equivalent to an n×l Linear Secret Sharing Scheme (LSSS) matrix (
Figure pat00039
). here,
Figure pat00040
The
Figure pat00041
Is an LSSS matrix corresponding to, n is the type of access policy tree, and l is the number of attributes of the access policy tree.

액세스 정책 트리를 LSSS 매트릭스로 변환하는 일례는 다음과 같다.An example of converting an access policy tree to an LSSS matrix is as follows.

Figure pat00042
Figure pat00042

전술한 알고리즘은 액세스 정책 트리(도 2)를 텍스트 형태를 매트릭스 형태로 변환한 것이다.The above-described algorithm converts the access policy tree (FIG. 2) from text form to matrix form.

서비스 제공 단말(120)은 챌린지 메시지(Mc), 공개 키(PK), LSSS 행렬(

Figure pat00043
)을 계산한 후, 아래의 변수들을 계산할 수 있다.The service providing terminal 120 includes a challenge message (Mc), a public key (PK), and an LSSS matrix (
Figure pat00043
After calculating ), the following variables can be calculated.

서비스 제공 단말(120)은 속성의 전체를 나타내는 랜덤번호인

Figure pat00044
벡터를 생성하고, 제1 엔트리로 S를 가진
Figure pat00045
벡터와 제1 엔트리로 0을 가진
Figure pat00046
벡터의 2개의 랜덤 벡터를 생성한다.The service providing terminal 120 is a random number indicating the entirety of the attribute
Figure pat00044
Create a vector, with S as the first entry
Figure pat00045
Vector and first entry with zeros
Figure pat00046
Generate two random vectors of vectors.

서비스 제공 단말(120)은

Figure pat00047
를 계산한다. 여기서,
Figure pat00048
Figure pat00049
의 행 X이다.Service provision terminal 120
Figure pat00047
To calculate. here,
Figure pat00048
The
Figure pat00049
Is row X.

서비스 제공 단말(120)은

Figure pat00050
의 각 행
Figure pat00051
에 대하여 랜던번호인
Figure pat00052
을 생성한다. 즉, rx는 속성별 랜덤번호를 나타낸다.Service provision terminal 120
Figure pat00050
Each row of
Figure pat00051
About Landon Number
Figure pat00052
Produces That is, r x represents a random number for each attribute.

서비스 제공 단말(120)은 인증기관(130)로부터 액세스 정책 트리(

Figure pat00053
)의 각 속성(i)별 위치를 나타내는
Figure pat00054
를 획득한다.The service provision terminal 120 is an access policy tree from the certification authority 130 (
Figure pat00053
) Indicates the location of each attribute (i)
Figure pat00054
To acquire.

서비스 제공 단말(120)은 하기의 [수학식 7]과 같이, 바이리니어 맵(Bilinear Map)의 S자승에 Mc를 곱하면(Mc(e(g,g)S), 검증할 데이터를 포함한 Co가 계산된다.As shown in [Equation 7] below, the service providing terminal 120 multiplies S square of the bilinear map by Mc (Mc(e(g,g) S ), Co containing the data to be verified. Is calculated.

서비스 제공 단말(120)은 행렬

Figure pat00055
Figure pat00056
, Co, C1,x, C2,x, C3,x를 모두 연결하여 챌린지(C)를 생성하고, 생성된 챌린지(C)를 사용자 단말(110)로 전송한다. 여기서, 챌린지(C)는 다음의 [수학식 7]과 같다.The service providing terminal 120 is a matrix
Figure pat00055
Wow
Figure pat00056
, Co, C 1,x , C 2,x , and C 3,x are all connected to generate a challenge (C) and transmit the generated challenge (C) to the user terminal (110 ). Here, the challenge (C) is as shown in [Equation 7] below.

Figure pat00057
Figure pat00057

Co, C1,x, C2,x, C3,x는 속성을 나타내고, C1,x는 바이리니어 맵(Bilinear Map)(e(g,g))의

Figure pat00058
자승과, 바이리니어 맵(e(g,g))의
Figure pat00059
자승으로 암호화한다.Co, C 1,x , C 2,x , C 3,x represent properties, and C1,x represents the bilinear map (e(g,g))
Figure pat00058
Square and bilinear map (e(g,g))
Figure pat00059
Encrypt with squares.

챌린지(C)는 액세스 정책 트리(도 2)를 나타내는 텍스트 형태를 매트릭스 형태로 변환하고, 매트릭스 형태를 수학적으로 암호화한 것이다(수학식 7).The challenge C is to convert the text form representing the access policy tree (FIG. 2) into a matrix form and mathematically encrypt the matrix form (Equation 7).

챌린지(C)는 사용자 단말(110)이 갖고 있는 속성(Co, C1, C2, C3)으로 트리 구조를 만들어 암호화한다.The challenge C creates and encrypts a tree structure with attributes (Co, C 1 , C 2 , C 3 ) of the user terminal 110.

사용자 단말(110)은 서비스 제공 단말(120)로부터 챌린지(C)를 수신하는 경우, 행렬

Figure pat00060
Figure pat00061
를 획득한다.When the user terminal 110 receives the challenge (C) from the service providing terminal 120, the matrix
Figure pat00060
Wow
Figure pat00061
To acquire.

팩터 키 집합

Figure pat00062
은 속성 집합
Figure pat00063
에 대한
Figure pat00064
에 상응하는 팩터 키들을 포함한다면, 사용자 단말(110)은 다음 단계를 진행한다. 그렇지 않은 경우, 사용자 단말(110)은 자격이 없으므로 프로세스를 중단한다.Factor key set
Figure pat00062
Silver property set
Figure pat00063
for
Figure pat00064
If it includes factor keys corresponding to, the user terminal 110 proceeds to the next step. Otherwise, the user terminal 110 does not have a qualification, so the process is stopped.

사용자 단말(110)은 n개의 복수의 인증기관(130)에서 부여된 팩터 키의 집합, 즉

Figure pat00065
를 유지한다.The user terminal 110 is a set of factor keys granted from n plurality of certification authorities 130, that is,
Figure pat00065
To maintain.

챌린지(C)와 팩터 키들로부터 다른 변수들을 얻는 경우, 사용자 단말(110)은 [수학식 8]에 의해 각 x를 계산할 수 있다.When other variables are obtained from the challenge (C) and factor keys, the user terminal 110 may calculate each x by [Equation 8].

Figure pat00066
Figure pat00066

사용자 단말(110)은

Figure pat00067
이 되도록 상수
Figure pat00068
를 선택하고, 하기의 [수학식 9]에 의해 미래 평가를 위한 챌린지 메시지 신호
Figure pat00069
를 복구한다.User terminal 110 is
Figure pat00067
To be constant
Figure pat00068
Select, and the challenge message signal for future evaluation by the following [Equation 9]
Figure pat00069
To recover.

Figure pat00070
Figure pat00070

사용자 단말(110)은 액세스 요청 절차에서 미리 선택된 랜덤번호

Figure pat00071
를 이용하여 챌린지 응답 신호(CR)를 생성하고, 생성한 챌린지 응답 신호를 서비스 제공 단말(120)로 전송한다(수학식 10).The user terminal 110 is a random number pre-selected in the access request procedure
Figure pat00071
Generate a challenge response signal (CR) using, and transmits the generated challenge response signal to the service providing terminal 120 (Equation 10).

Figure pat00072
Figure pat00072

여기서,

Figure pat00073
는 미래 평가에 있어
Figure pat00074
대신에 사용된다.here,
Figure pat00073
Got in the future evaluation
Figure pat00074
Used instead.

서비스 제공 단말(120)은 사용자 단말(110)로부터 챌린지 응답 신호를 수신하는 경우,

Figure pat00075
를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여
Figure pat00076
Figure pat00077
의 복호화 연산 과정을 계산할 수 있다.When the service providing terminal 120 receives the challenge response signal from the user terminal 110,
Figure pat00075
And using the unique sequence number Z used in the challenge creation procedure
Figure pat00076
Figure pat00077
Decoding operation of can be calculated.

그런 다음, 서비스 제공 단말(120)은 하기의 [수학식 11]과 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하면, 요청된 연산자 Mo를 수행하고, Ack 신호를 생성하여 사용자 단말(110)로 전송한다. 비교 결과가 동일하지 않으면, 서비스 제공 단말(120)은 액세스 요청을 거부한다. 예를 들면, 서비스 제공 단말(120)은 True인 경우, 액세스 요청 메시지(Mo)에 따라 히터를 오프시키고, False인 경우, 히터를 오프시키지 않고 액세스 요청을 거부한다.Then, the service providing terminal 120 compares the two variables as shown in [Equation 11] below, and if the comparison result is the same, returns True, performs the requested operator Mo and generates an Ack signal To the user terminal 110. If the comparison result is not the same, the service provision terminal 120 rejects the access request. For example, if the service providing terminal 120 is true, the heater is turned off according to the access request message (Mo), and if false, the access request is rejected without turning off the heater.

Figure pat00078
Figure pat00078

도 4는 본 발명의 실시예에 따른 스마트 그리드의 멀티 팩터 액세스 제어를 사용하여 에너지 자원에 대한 세분화된 액세스 제어 개념을 나타낸 도면이다.4 is a diagram illustrating a concept of granular access control to energy resources using multi-factor access control of a smart grid according to an embodiment of the present invention.

본 발명의 멀티 팩터 액세스 제어 시스템(100)은 에너지 자원(120)을 제어하는 데이터 리딩 및 제어의 액세스 작업을 위하여 보호 수준의 난이도를 차별화한다.The multi-factor access control system 100 of the present invention differentiates the degree of difficulty of the protection level for data reading and control access operations for controlling the energy resource 120.

제1 사용자 단말(111)은 데이터 리딩(Reading)의 액세스 작업을 위하여 하나의 인증기관(130)에 권한을 부여받는다.The first user terminal 111 is authorized to one certification authority 130 for accessing data.

제2 사용자 단말(112)은 제어(Control)의 액세스 작업을 위하여 2개의 인증기관(130)에 권한을 획득해야 한다.The second user terminal 112 must acquire the authority to the two certification authorities 130 for the access operation of the control.

본 발명은 에너지 자원(120)을 제어하는 두 가지 유형으로 데이터 리딩과 제어의 팩터(Factor)를 제공한다.The present invention provides a factor of data reading and control in two types of controlling the energy resource 120.

본 발명의 멀티 팩터 액세스 제어 시스템(100)은 도 2와 같이, 속성으로 구성된 액세스 정책 트리를 생성하고, 일정 시 간 후에 액세스 정책 트리의 구조를 동적으로 변경할 수 있으며, 보호 수준의 난이도를 다르게 설정할 수 있다.As illustrated in FIG. 2, the multi-factor access control system 100 of the present invention generates an access policy tree composed of attributes, can dynamically change the structure of the access policy tree after a certain period of time, and sets the difficulty of the protection level differently. Can.

본 발명은 복수의 인증기관(130)으로부터 권한을 획득할 수 있는 구성, 속성별로 팩터 키가 존재하는 구성, 속성으로 구성된 액세스 정책 트리의 구조를 동적으로 변경할 수 있고, 우선 순위가 높은 팩터(Factor)에 복잡한 보호 수준을 요구하며, 우선 순위가 낮은 팩터에 낮은 보호 수준을 설정할 수 있다.The present invention can dynamically change the structure of an access policy tree composed of attributes, a configuration in which a factor key exists for each attribute, a configuration capable of obtaining authority from a plurality of certification authorities 130, and a high priority factor. ) Requires a complex level of protection, and a lower level of protection can be set for lower priority factors.

이상에서 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.In the above, the embodiment of the present invention is not implemented only through an apparatus and/or method, and may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention, a recording medium in which the program is recorded, and the like. There is, such an implementation can be easily implemented by those skilled in the art to which the present invention belongs from the description of the above-described embodiment.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

100: 멀티 팩터 액세스 제어 시스템
102: 통신망
110: 사용자 단말
120: 서비스 제공 단말
130: 인증기관
100: multi-factor access control system
102: communication network
110: user terminal
120: service provision terminal
130: certification authority

Claims (10)

유무선 네트워크를 통하여 인증기관, 사용자 단말과 서비스 제공 단말 간의 액세스 제어를 수행하는 멀티 팩터 액세스 제어 방법에 있어서,
상기 인증기관은 하나 이상으로 형성되고, 상기 각각의 인증기관로부터 액세스 제어를 위한 팩터(Factor) 키를 하나 이상을 생성하여 상기 사용자 단말과 상기 서비스 제공 단말로 전송하는 단계;
상기 사용자 단말은 상기 인증기관으로부터 수신한 팩터 키와 본인을 나타내는 랜덤번호를 포함한 상기 서비스 제공 단말의 액세스 제어를 위한 액세스 요청 메시지를 생성하여 상기 서비스 제공 단말로 전송하는 단계;
상기 서비스 제공 단말은 상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말이 가진 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하는 챌린지(C)를 생성하고, 상기 생성한 챌린지(C)를 상기 사용자 단말로 전송하는 단계;
상기 사용자 단말은 상기 랜덤번호를 이용하여 상기 챌린지(C)에 대응하는 챌린지 응답 신호를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하는 단계; 및
상기 서비스 제공 단말은 상기 챌린지 응답 신호를 수신하고, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행한 결과값을 비교하여 액세스 성공 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
In the multi-factor access control method for performing access control between a certification authority, a user terminal and a service providing terminal through a wired or wireless network,
The authentication authority is formed of one or more, and generating at least one factor key for access control from each of the authentication authorities to transmit to the user terminal and the service providing terminal;
Generating, by the user terminal, an access request message for access control of the service providing terminal including a factor key received from the certification authority and a random number indicating the identity of the user, and transmitting it to the service providing terminal;
When the service providing terminal receives the access request message from the user terminal, it creates a challenge (C) for mathematically encrypting the access policy tree composed of the attributes of the user terminal, and the generated challenge (C) Transmitting to the user terminal;
Generating, by the user terminal, a challenge response signal corresponding to the challenge (C) using the random number and transmitting the generated challenge response signal to the service providing terminal; And
The service providing terminal receives the challenge response signal, and compares a result value obtained by performing a decryption operation process using the unique sequence number included in the received challenge response signal and the unique sequence number to determine whether access is successful. Multi-factor access control method comprising the step of.
제1항에 있어서,
상기 사용자 단말은 본인을 나타내는 랜덤번호인
Figure pat00079
를 생성하고, 하기의 수학식 1과 같이,
Figure pat00080
를 포함한 액세스 요청 메시지(Mo)를 생성하여 상기 서비스 제공 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 1]
Figure pat00081
According to claim 1,
The user terminal is a random number representing the person
Figure pat00079
To generate, as in Equation 1 below,
Figure pat00080
And generating an access request message (Mo) including the same and transmitting it to the service providing terminal.
[Equation 1]
Figure pat00081
제2항에 있어서,
상기 서비스 제공 단말은 2개의 랜덤번호인
Figure pat00082
를 생성하고, 시퀀스 번호 z를 생성하고, 상기 액세스 요청 메시지에서 획득한 상기
Figure pat00083
를 이용하여 2개의 변수(Z1, Z2)를 수학식 2에 의해 계산하고, 상기 2개의 변수를 연결하여 수학식 3의 챌린지 메시지(Mc)를 생성하며, 상기 생성한 챌린지 메시지를 상기 사용자 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 2]
Figure pat00084

여기서,
Figure pat00085
는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘임.
[수학식 3]
Figure pat00086

여기서, <Z1, Z2>는 Z1와 Z2를 연결함.
According to claim 2,
The service providing terminal is two random numbers
Figure pat00082
To generate the sequence number z, and obtained from the access request message
Figure pat00083
Two variables (Z 1 , Z 2 ) are calculated by using Equation 2, and the two variables are connected to generate the challenge message (Mc) of Equation 3, and the generated challenge message is generated by the user. Multi-factor access control method comprising the step of transmitting to the terminal.
[Equation 2]
Figure pat00084

here,
Figure pat00085
Is a symmetric key algorithm that encrypts message y with factor x.
[Equation 3]
Figure pat00086

Here, <Z 1 , Z 2 > connects Z 1 and Z 2 .
제3항에 있어서,
상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 랜덤번호
Figure pat00087
를 이용하여 하기의 수학식 4와 같은 챌린지 응답 신호(CR)를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하고,
상기 서비스 제공 단말은 상기 사용자 단말로부터 챌린지 응답 신호를 수신하는 경우,
Figure pat00088
를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여
Figure pat00089
Figure pat00090
의 복호화 연산 과정을 계산하고, 하기의 수학식 5와 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 수행하며, 비교 결과가 동일하지 않으면, False를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 거부하는 단계를 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 방법.
[수학식 4]
Figure pat00091

[수학식 5]
Figure pat00092
According to claim 3,
The user terminal is a random number selected in advance in the access request procedure
Figure pat00087
Generate a challenge response signal (CR) as shown in Equation 4 below using, and transmit the generated challenge response signal to the service providing terminal,
When the service providing terminal receives a challenge response signal from the user terminal,
Figure pat00088
And using the unique sequence number Z used in the challenge creation procedure
Figure pat00089
Figure pat00090
After calculating the decoding operation process of, comparing two variables as shown in Equation 5 below, if the comparison result is the same, if True is returned, an access request is performed according to the access request message, and the comparison result is And if not, returning False, rejecting the access request according to the access request message.
[Equation 4]
Figure pat00091

[Equation 5]
Figure pat00092
액세스 제어를 위한 팩터(Factor) 키를 하나 이상을 생성하여 전송하는 하나 이상의 인증기관;
상기 인증기관으로부터 수신한 팩터 키와 본인을 나타내는 랜덤번호를 포함한 액세스 제어를 위한 액세스 요청 메시지를 생성하여 전송하는 사용자 단말; 및
상기 사용자 단말로부터 상기 액세스 요청 메시지를 수신하는 경우, 상기 사용자 단말이 가진 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하는 챌린지(C)를 생성하고, 상기 생성한 챌린지(C)를 상기 사용자 단말로 전송하고, 상기 사용자 단말로부터 상기 랜덤번호를 이용하여 상기 챌린지(C)에 대응하는 챌린지 응답 신호를 수신하며, 상기 수신한 챌린지 응답 신호에 포함된 고유 시퀀스 번호와, 상기 고유 시퀀스 번호를 이용하여 복호화 연산 과정을 수행한 결과값을 비교하여 액세스 성공 여부를 판단하는 서비스 제공 단말을 포함하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
At least one certification authority that generates and transmits one or more factor keys for access control;
A user terminal generating and transmitting an access request message for access control including a factor key received from the certification authority and a random number representing the user; And
When the access request message is received from the user terminal, a challenge (C) for mathematically encrypting an access policy tree composed of attributes possessed by the user terminal is generated, and the generated challenge (C) is transmitted to the user terminal And, receives a challenge response signal corresponding to the challenge (C) using the random number from the user terminal, decoding operation using the unique sequence number and the unique sequence number included in the received challenge response signal And a service provision terminal that determines whether access is successful by comparing the result values performed through the process.
액세스 제어를 위한 팩터(Factor) 키를 하나 이상을 생성하여 전송하는 복수의 인증기관;
상기 하나의 인증기관 또는 상기 2개 이상의 인증기관으로부터 액세스 제어를 위한 팩터(Factor) 키를 수신하여 권한을 부여받는 복수의 사용자 단말; 및
상기 각각의 사용자 단말로부터 수신된 팩터 키들의 속성들에 따라 상기 각각의 사용자 단말을 인증하고, 상기 각각의 사용자 단말에서 특정 액세스 조작을 나타내는 속성으로 구성된 액세스 정책 트리를 수학적으로 암호화하여 상기 각각의 사용자 단말로 전송하는 서비스 제공 단말을 포함하며,
상기 서비스 제공 단말은 일정 시간 후에 상기 액세스 정책 트리의 구조를 동적으로 변경하여 팩터별로 보호 수준의 난이도를 다르게 설정하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
A plurality of certification authorities that generate and transmit one or more factor keys for access control;
A plurality of user terminals receiving authorization from the one certification authority or the two or more certification authorities by receiving a factor key for access control; And
Each user terminal is authenticated according to the attributes of the factor keys received from each user terminal, and each user is encrypted by mathematically encrypting an access policy tree composed of attributes representing a specific access operation at each user terminal. It includes a service providing terminal to be transmitted to the terminal,
The service providing terminal dynamically changes the structure of the access policy tree after a certain period of time, thereby setting a difficulty level of protection for each factor differently.
제5항 또는 제6항에 있어서,
상기 사용자 단말은 본인을 나타내는 랜덤번호인
Figure pat00093
를 생성하고, 하기의 수학식 1과 같이,
Figure pat00094
를 포함한 액세스 요청 메시지(Mo)를 생성하여 상기 서비스 제공 단말로 전송하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 1]
Figure pat00095
The method of claim 5 or 6,
The user terminal is a random number representing the person
Figure pat00093
To generate, as in Equation 1 below,
Figure pat00094
Multi-factor access control system, characterized in that for generating an access request message (Mo) including the transmission to the service providing terminal.
[Equation 1]
Figure pat00095
제5항 또는 제6항에 있어서,
상기 서비스 제공 단말은 상기 팩터 키들의 속성들을 이용하여 2개의 입력과 하나의 출력을 갖는 논리 회로를 복수로 구성된 상기 액세스 정책 트리를 텍스트 형태로 나타내고, 상기 텍스트 형태를 등가의 n(액세스 정책 트리의 형태로 결정함)×l(액세스 정책 트리의 속성 개수)의 LSSS(Linear Secret Sharing Scheme) 매트릭스 형태로 변환하며, 상기 변환한 매트릭스 형태를 수학적으로 암호화하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
The method of claim 5 or 6,
The service providing terminal displays the access policy tree composed of a plurality of logic circuits having two inputs and one output in text form by using the attributes of the factor keys, and the text form is equivalent to n (of the access policy tree Multi-factor access control system, characterized by converting into a Linear Secret Sharing Scheme (LSSS) matrix form of xl (number of attributes in the access policy tree) matrix, and mathematically encrypting the converted matrix form.
제7항에 있어서,
상기 서비스 제공 단말은 2개의 랜덤번호인
Figure pat00096
를 생성하고, 시퀀스 번호 z를 생성하고, 상기 액세스 요청 메시지에서 획득한 상기
Figure pat00097
를 이용하여 2개의 변수(Z1, Z2)를 수학식 2에 의해 계산하고, 상기 2개의 변수를 연결하여 수학식 3의 챌린지 메시지(Mc)를 생성하며, 상기 생성한 챌린지 메시지를 상기 사용자 단말로 전송하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 2]
Figure pat00098

여기서,
Figure pat00099
는 메시지 y를 팩터 x로 암호화하는 대칭 키 알고리즘임.
[수학식 3]
Figure pat00100

여기서, <Z1, Z2>는 Z1와 Z2를 연결함.
The method of claim 7,
The service providing terminal is two random numbers
Figure pat00096
To generate the sequence number z, and obtained from the access request message
Figure pat00097
Two variables (Z 1 , Z 2 ) are calculated by using Equation 2, and the two variables are connected to generate the challenge message (Mc) of Equation 3, and the generated challenge message is generated by the user. Multi-factor access control system characterized in that the transmission to the terminal.
[Equation 2]
Figure pat00098

here,
Figure pat00099
Is a symmetric key algorithm that encrypts message y with factor x.
[Equation 3]
Figure pat00100

Here, <Z 1 , Z 2 > connects Z 1 and Z 2 .
제9항에 있어서,
상기 사용자 단말은 액세스 요청 절차에서 미리 선택된 랜덤번호
Figure pat00101
를 이용하여 하기의 수학식 4와 같은 챌린지 응답 신호(CR)를 생성하고, 상기 생성한 챌린지 응답 신호를 상기 서비스 제공 단말로 전송하고,
상기 서비스 제공 단말은 상기 사용자 단말로부터 챌린지 응답 신호를 수신하는 경우,
Figure pat00102
를 획득하고, 챌린지 생성 절차에서 사용된 고유 시퀀스 번호 Z를 사용하여
Figure pat00103
Figure pat00104
의 복호화 연산 과정을 계산하고, 하기의 수학식 5와 같이 2개의 변수를 비교한 후, 비교 결과가 동일하면, True를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 수행하며, 비교 결과가 동일하지 않으면, False를 반환하는 경우, 상기 액세스 요청 메시지에 따라 액세스 요청을 거부하는 것을 특징으로 하는 멀티 팩터 액세스 제어 시스템.
[수학식 4]
Figure pat00105

[수학식 5]
Figure pat00106
The method of claim 9,
The user terminal is a random number selected in advance in the access request procedure
Figure pat00101
Generate a challenge response signal (CR) as shown in Equation 4 below using, and transmit the generated challenge response signal to the service providing terminal,
When the service providing terminal receives a challenge response signal from the user terminal,
Figure pat00102
And using the unique sequence number Z used in the challenge creation procedure
Figure pat00103
Figure pat00104
After calculating the decoding operation process of, comparing two variables as shown in Equation 5 below, if the comparison result is the same, if True is returned, an access request is performed according to the access request message, and the comparison result is If not the same, if returning False, the multi-factor access control system, characterized in that to reject the access request according to the access request message.
[Equation 4]
Figure pat00105

[Equation 5]
Figure pat00106
KR1020190167819A 2018-12-24 2019-12-16 System and Method for Controlling Multi Factor Access Prioritized KR102381389B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180168456 2018-12-24
KR20180168456 2018-12-24

Publications (2)

Publication Number Publication Date
KR20200079191A true KR20200079191A (en) 2020-07-02
KR102381389B1 KR102381389B1 (en) 2022-04-01

Family

ID=71599706

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190167819A KR102381389B1 (en) 2018-12-24 2019-12-16 System and Method for Controlling Multi Factor Access Prioritized

Country Status (1)

Country Link
KR (1) KR102381389B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112489746A (en) * 2020-12-08 2021-03-12 平安国际智慧城市科技股份有限公司 Task pushing method and device for data management, electronic equipment and storage medium
CN114338238A (en) * 2022-03-02 2022-04-12 厦门荆艺软件股份有限公司 Method for accessing computer data by multiple users

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070030883A (en) * 2004-07-08 2007-03-16 코닌클리케 필립스 일렉트로닉스 엔.브이. Method of providing digital certificate functionality
KR20160004353A (en) * 2013-06-27 2016-01-12 인텔 코포레이션 Continuous multi-factor authentication
KR101632946B1 (en) 2012-06-20 2016-07-08 알까뗄 루슨트 Manipulation and restoration of authentication challenge parameters in network authentication procedures

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070030883A (en) * 2004-07-08 2007-03-16 코닌클리케 필립스 일렉트로닉스 엔.브이. Method of providing digital certificate functionality
KR101632946B1 (en) 2012-06-20 2016-07-08 알까뗄 루슨트 Manipulation and restoration of authentication challenge parameters in network authentication procedures
KR20160004353A (en) * 2013-06-27 2016-01-12 인텔 코포레이션 Continuous multi-factor authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Y. Sreenivasa Rao 외 1명, Dynamic Ciphertext-Policy Attribute-Based Encryption for Expressive Access Policy, ICDCIT 2014, LNCS 8337, pp.275-286 (2014.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112489746A (en) * 2020-12-08 2021-03-12 平安国际智慧城市科技股份有限公司 Task pushing method and device for data management, electronic equipment and storage medium
CN114338238A (en) * 2022-03-02 2022-04-12 厦门荆艺软件股份有限公司 Method for accessing computer data by multiple users

Also Published As

Publication number Publication date
KR102381389B1 (en) 2022-04-01

Similar Documents

Publication Publication Date Title
Anggorojati et al. Capability-based access control delegation model on the federated IoT network
US10027489B2 (en) Digital rights management system and method
CN105072180B (en) A kind of cloud storage data safety sharing method for having permission time control
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
RU2501081C2 (en) Multi-factor content protection
CN111274599A (en) Data sharing method based on block chain and related device
US11943345B2 (en) Key management method and related device
KR102381389B1 (en) System and Method for Controlling Multi Factor Access Prioritized
CN116842573B (en) Hierarchical encryption privacy protection method based on blockchain
CN115426136A (en) Cross-domain access control method and system based on block chain
CN112994872A (en) Key management method and system for mobile terminal platform
CN114726502B (en) Security system based on Internet of things and big data
Maheswari et al. Secure sharing of personal health records in Jelastic cloud by attribute based encryption
Johnson Recommendations for distributed energy resource access control
CN110011963A (en) The information processing method with the more authorization CP-ABE effectively cancelled based on OBDD
CN105790929A (en) High-efficient access control method based on rule redundancy elimination in encryption environment
US20090327704A1 (en) Strong authentication to a network
CN116720218A (en) Cross-system account sharing service method and system based on block chain
Chatterjee et al. An efficient fine grained access control scheme based on attributes for enterprise class applications
CN115550052A (en) Attribute encryption access control system and method based on trust
Klaus et al. Challenges and solutions for industry-grade secure connectivity
CN114978771B (en) Data security sharing method and system based on blockchain technology
Ko et al. Viotsoc: Controlling access to dynamically virtualized iot services using service object capability
KR102638798B1 (en) Method and system for managing wallets on blockchain networks
US20220272073A1 (en) Proxy And A Communication System Comprising Said Proxy

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant