한국통신학회논문지 (The Journal of Korean Institute of Communications and Information Sciences)

  • 제29권5C호
  • /
  • Pages.737-749
  • /
  • 2004
  • /
  • 1226-4717(pISSN)
  • /
  • 2287-3880(eISSN)
한국통신학회 (The Korean Institute of Commucations and Information Sciences)
권호 표지

커버로스 기반의 안전한 인증 및 허가 프로토콜 에 관한 연구

Study on a Secure Authentication and Authorization Protocol based on Kerberos

  • 김은환 (숭실대학교 전산원 인터넷 정보통신학과) ;
  • 김명희 (숭실대학교 컴퓨터학) ;
  • 전문석 (숭실대학교 정보과학대학)
  • 발행 : 2004.05.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

분산 네트워크 환경에서 커버로스는 시스템간의 신뢰를 바탕으로 대칭키를 사용하여 사용자를 인증한다. 그러나, 인증(authentication)과 함께 허가(authorization)는 보안의 필수적인 요소다. 본 논문에서는 기존의 커버로스에 프록시 권한 서버(proxy privilege server)를 두고 공개키/개인키를 적용하여 효율적이고 안전한 인증 및 허가 메커니즘을 설계하였다. 제안한 메커니즘에서는 사용자 인증을 위해 미리 정해진 long-term 키와 공개키를 통해 교환한 랜덤 수에 MAC 알고리즘을 적용하여 암호화에 사용하는 세션키 값을 매번 바꾸어주기 때문에 안전성을 높였다. 또한, 전체적인 인증 절차를 간소화하여 사용하는 키의 수를 줄였다. 프록시 권한 서버는 사용자의 권한 요구를 확인하고 권한 속성 인증서(privilege attribute certificate)를 발행한다. 권한 속성 인증서는 사용자의 권한 요구를 응용 서버에 전달하고 권한 위임에 사용된다. 제안한 메커니즘을 사용하여 기존의 커버로스에서 동작하는 효율적이고 안전한 인증 및 허가 알고리즘을 설계한다.

Kerberos authenticates clients using symmetric-key cryptography, and supposed to Oust other systems of the realm in distributed network environment. But, authentication and authorization are essential elements for the security. In this paper, we design an efficient and secure authentication/authorization mechanism by introducing the public/private-key and installing the proxy privilege server to Kerberos. In the proposed mechanism, to make a system more secure, the value of the session key is changed everytime using MAC(message authentication code) algorithm with the long-term key for user-authentication and a random number exchanged through the public key. Also, we reduce the number of keys by simplifying authentication steps. Proxy privilege server certifies privilege request of client and issues a privilege attribute certificate. Application server executes privilege request of client which is included a privilege attribute certificate. Also, a privilege attribute certificate is used in delegation. We design an efficient and secure authentication/authorization algorithm with Kerberos.

키워드

참고문헌

  1. RFC 1510 The Kerberos Network Authentication Service (V5) J.Kohl;C.Neuman
  2. draft-ietf-cat-kerberos-pk-init-15.txt. Public Key Cryptography for Initial Authentication in Kerberos B.Tung;C.Neuman;M.Hur;A.Medvinsky;S.Medvinsky;J.Wray;J.Trostle
  3. draft-ietf-cat-kerberos-pk-cross-0.8.txt. Public Key Cryptography for Cross-Realm Authentication in Kerberos B.Tung;B.C.Neuman;M.Hur;A.Medvinsky;S.Medvinsky
  4. Proc. 2001 IEEE Symposium on Security and Privacy Performance of Public Key-Enabled Kerberos Authentication in Large Networks A.Harbitter;D.Menasce
  5. IEEE Computer Society Press The Evolution of the Kerberos Authentication System In Distributed Open Systems John T.Kohl;B.Clifford Neuman;Theodore Y.T'so
  6. Proc. 1997 Symposium on Network and Distributed System Security Distributed Authentication in Kerberos Using Public Key Cryptography Marvin A.Sirbu;John Chung I Chuang
  7. Network Security Essentials applications and standard W.Stallings
  8. Handbook of applied Cryptography Alfred J.Menezes;Paul C.van Oorschot;Scott A.Vanstone
  9. Proc. of the Winter 1998 Usenix Conference Kerberos: An Authentication Service for Open Network System J.Steiner;C.Neuman;J.Schiller
  10. Proceedings of the 14th American National Security Conference A Secure European System for Applications in a Multi-vendor Environment(The SESAME Project) T.T.Parker
  11. Proceedings of the 13th International Conference on Distributed Computing systems Proxy-Based Authorization and Accounting for Distributed system B.Clifford Neuman
  12. Internet Society 1996 Symposium on Network and Distributed System Security A Flexible Distributed Authorization Protocol Jonathan T.Trostle;B.clifford Neuman
  13. Proceedings of the PSRG Workshop on Network and Distributed System Security Extending to Support Practical Delegation Marlena E.Erdos;Joseph N.Pato
  14. IEEE Symposium on Security and Privacy An Architecture for Practical Delegation in a Distributed System M.Gasser;E.McDermott
  15. Proceedings of the 1995 Symposium on Network and Distributed System Security SESAME V2 Public Key and Authorization Extensions to Kerberos P.V.McMahon
  17. 정보보호학회논문지 v.12 no.4 공개키를 이용한 커버로스 기반의 강력한 인증 메커니즘 설계 김은환;전문석
  18. 정보과학회 논문지 v.28 no.1 PKINIT 기반 새로운 커브로스 인증 메커니즘의 설계 김철현;정일용