III.3 인증 프로세스
인증 프로세스는 크리덴셜의 생성과 등록, 로그인 인증, 전자거래 인증 및 크리덴셜의 수정/폐기로 나누어 설명될 수 있다. 프로세스에는 PASSCON의 고유한 개인화 대시보드 인터페이스와 사진파일로 생성하는 자연난수와 2Way 4Factor 검증 알고리즘이 적용된다.
크리덴셜 (UD_CRD, US_CRD) 신규 등록
로그인 전자서명 인증
전자거래 전자서명 인증
크리덴셜 (UD_CRD, US_CRD) 변경/폐기
각 프로세스는 아래와 같은 순서에 따라 운영될 수 있다.
III.3.1 크리덴셜 (UD_CRD, US_CRD) 신규 등록
크리덴셜은 사용자가 특정 사진과 인증 키를 선택하는 과정을 통하여 생성되고 저장된다.
순서도
UD_CRD과 US_CRD을 생성하고 저장하는 과정)은 아래의 흐름도에 따른다.
크리덴셜의 생성과 저장
크리덴셜을 구성하는 각 인증 팩터들을 생성하는 연산식은 아래와 같다. Key Generator와 Factor Generator 및 Mix 함수는 다양한 알고리즘으로 변형하여 적용할 수 있다.
Spb, Spr, Upb, Upr: RSA2048(Seed)
DAK, DAK_N: SHA-3(Mac Address, etc.)
E_DAK: RSA2048(Spb, DAK)
NRN: SHA-3(Photo)
E_Upb_NRN_DAK: RSA2048(Upb, Mix (NRN, DAK))
APC_Key: Key Generator (APC)
E_Upr: AES256(APC_Key, Upr)
SFA: Factor Generator (Mix (NRN, APC))
Signature: RSA2048(Upr, SFA)
NA_Key: Key Generator (APC, NRN)
디바이스에 저장되는 UD_CRD와 서버에 저장되는 US_CRD가 일련의 등록 과정을 거쳐 완성된다.
각 크리덴셜의 구성 요소는 아래와 같다. 사용자 ID에 종속되는 “ID dependent”와 사용자 디바이스에 종속되는 “Device Dependent”로 다시 구분될 수 있다.
만약 디바이스가 2개 이상이라면 US_CRD에서 “Device Dependent”도 2개 이상이 될 것이다. 인증 키, Upr, APC 및 NRN은 그 자체로 어디에도 저장되지 않는다.
III.3.2 로그인 인증
로그인 인증은 UD_CRD이 완비된 디바이스에서 아래와 같은 절차에 따른다.
순서도
검증
인증은 3번의 디바이스 검증 후 최종적으로 전자서명을 검증하는 순서로 수행된다. 또한 Auth_Token은 전자서명의 유효성을 1회로 한정하는 역할을 수행한다.
2. Compare: E_DAK in UD_CRD = Encrypt(Spb, DAK_N)
4. Compare: E_DAK in UD_CRD = E_DAK in US_DRD
7. Generate APC_Key, Decrypt(E_Upr, APC_Key), Decrypt(E_DAK in E_Upb_NRN_DAK, Upr), Compare: DAK_N = E_DAK in E_Upb_NRN_DAK
8. Extract NRN in E_DAK in E_Upb_NRN_DAK, Generate SFA, Signature
10. Compare: Decrypt(Signature, Upb) = hash(SFA, Auth_Token)
III.3.3 전자거래 전자서명 인증
전자거래에 전자서명을 적용하는 것은 기밀성, 무결성, 부인불가의 목적을 달성하기 위함이다.
순서도
아래 도표는 사용자가 “IV.3.2 로그인 인증”에 성공한 후 전자거래를 요청하는 절차이다.
검증
거래정보의 해시 값과 멀티 합성 팩터(SFA)를 포함하는 전자서명을 검증한다. 전자거래의 기밀성, 무결성 및 부인불가의 요건을 충족하는 지 여부를 검증한다.
5. Compare: Decrypt(E_Tx, Spr) = Tx - Confidentiality
5. Compare: Hash(Tx) = H_Tx - Integrity
5. Compare: Decrypt(Signature, Upb) = hash(SFA, H_Tx, Auth_Token) – Non-repudiation
III.3.4 크리덴셜 (US_CRD, UD_CRD) 변경/폐기
PASSCON은 사용자가 간편하게 인증 키, 자연난수(NRN) 그리고 PKI를 주도적으로 변경할 수 있는 권한과 기능을 제공한다. 변경된 크리덴셜에 따라 UD-CRD와 US_CRD가 업데이트 된다. 서버에 저장된 US_CRD를 삭제하여 크리덴셜을 폐기할 수 있다.
순서도
아래 도표는 사용자가 “IV.3.2 로그인 인증”에 성공한 후 변경을 요청하는 절차이다.
#패스콘#인증 #자연난수 #PASSCON
IDall Service Home : http://www.idall.io