KR100377196B1 - System and method for key recovery using multiple agents - Google Patents

System and method for key recovery using multiple agents Download PDF

Info

Publication number
KR100377196B1
KR100377196B1 KR10-2000-0073451A KR20000073451A KR100377196B1 KR 100377196 B1 KR100377196 B1 KR 100377196B1 KR 20000073451 A KR20000073451 A KR 20000073451A KR 100377196 B1 KR100377196 B1 KR 100377196B1
Authority
KR
South Korea
Prior art keywords
key
key recovery
recovery
information
partial
Prior art date
Application number
KR10-2000-0073451A
Other languages
Korean (ko)
Other versions
KR20020043973A (en
Inventor
강상승
임신영
함호상
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2000-0073451A priority Critical patent/KR100377196B1/en
Publication of KR20020043973A publication Critical patent/KR20020043973A/en
Application granted granted Critical
Publication of KR100377196B1 publication Critical patent/KR100377196B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Abstract

본 발명은 암호화된 통신 및 저장된 정보를 복구하기 위하여 다중 에이전트를 이용함으로써, 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정하여 키 복구의 시간과 보안성을 높일 수 있도록 하는 다중 에이전트를 이용한 키 복구 시스템 및 그 방법을 제공하기 위하여, 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 수단으로 키 복구 요청을 수행하고, 상기 키 복구 수단을 통하여 복구된 키 정보를 전달받기 위한 키 복구 요청수단; 상기 키 복구 요청수단으로부터 전달받은 정보에서 부분키 정보를 추출하여 추출된 부분키 정보를 해당 부분키 복구 수단으로 전달하여 부분키 복구를 요청하고, 상기 부분키 복구 수단들로부터 각각 전달받은 복구된 부분키 정보를 조합하여 복구된 키 정보를 상기 키 복구 요청수단으로 전달하기 위한 키 복구 수단; 및 상기 키 복구 수단으로부터 해당 부분키 정보를 각각 전달받아 부분키 정보를 복구하고, 복구된 각 부분키 정보를 상기 키 복구 수단으로 전달하기 위한 다수의 부분키 복구 수단을 포함하며, 전자상거래, CALS, ERP, CITIS, 전자메일, 전자결재, 전자화폐 등과 같이 암호 통신을 이용하는 정보 시스템 등에 이용됨.The present invention uses a multi-agent to recover encrypted communication and stored information, and by using a multi-agent key recovery system to secretly specify any key recovery agent from the agent group to increase the time and security of key recovery In order to provide the method, a key recovery block (KRB), which is information necessary for performing key recovery, is received from a key recovery information generation system, and a key recovery request is performed by a key recovery means, and restored through the key recovery means. Key recovery request means for receiving the received key information; Partial key information is extracted from the information received from the key recovery requesting means, the extracted partial key information is transmitted to the corresponding partial key recovery means, and the partial key recovery is requested, and each of the recovered partial received from the partial key recovery means. Key recovery means for delivering the recovered key information by combining key information to the key recovery requesting means; And a plurality of partial key recovery means for receiving partial key information received from the key recovery means, for recovering partial key information, and for transferring each of the recovered partial key information to the key recovery means. Used for information systems using cryptographic communication, such as ERP, CITIS, e-mail, electronic payment, and electronic money.

Description

다중 에이전트를 이용한 키 복구 시스템 및 그 방법{System and method for key recovery using multiple agents}System and method for key recovery using multiple agents

본 발명은 다중 에이전트를 이용한 키 복구 시스템 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 암호화된 통신 및 저장된 정보를 복구하기 위하여 다중 에이전트를 이용함으로써, 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정할 수 있도록 하기 위한 다중 에이전트를 이용한 키 복구 시스템 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to a key recovery system using a multi-agent and a method and a computer-readable recording medium recording a program for realizing the method, in particular by using a multi-agent to recover encrypted communication and stored information The present invention relates to a key recovery system using multiple agents for enabling secret key assignment from a group of agents, and a method and a computer-readable recording medium having recorded thereon a program for realizing the method.

본 발명은 정보기술 분야 중 정보보호 시스템에서의 암호키 관리 기술 분야에 속하며, 세부적으로는 암호키 복구 기술 분야에 속한다. 본 발명은 암호기술을 사용하는 모든 정보 시스템내에서 암호키 복구를 통한 암호화된 정보의 복구에 활용될 수 있으며, 전자상거래, 광속 거래(CALS : Commerce At Light Speed), ERP(Enterprise Resource Planning), EIS(Enterprise Information System), 전자메일, 전자결재, 전자화폐 등의 다양한 응용 분야에서 활용될 수 있다.The present invention belongs to the field of encryption key management technology in the information protection system of the information technology field, and specifically belongs to the field of encryption key recovery technology. The present invention can be utilized for the recovery of encrypted information through the recovery of the encryption key in all information systems using encryption technology, e-commerce, light transaction (CALS: Commerce At Light Speed), enterprise resource planning (ERP), It can be used in various applications such as enterprise information system (EIS), electronic mail, electronic payment, and electronic money.

정보시스템에서 정보에 대한 보안성은 매우 중요하며, 이를 위한 정보보호 시스템들이 개발되어 정보시스템 내에서 운영되고 있다. 정보보호 시스템들은 많은 수와 양(키당 16∼344바이트 이상)의 암호 키들을 이용하여 중요한 정보들을 암호화하여 통신 및 저장하고 있다. 따라서, 정보시스템에서는 많은 수의 암호키들을 관리해야 한다. 그러나, 암호키(특히, 개인키 또는 세션키)를 분실 및 손상시키거나, 암호키를 소유한 사람을 일정한 시간 내에 찾을 수 없을 때 암호화된 정보를 복구할 수 없으므로, 이를 복구하기 위한 기술이 요구된다. 또한, 정보시스템의 소속 기업 또는 기관에서도 기관의 보안정책 및 법 집행(암호화된 정보의 압수수색)에 따라 암호화된 정보를 복호화할 수 있는 기술이 요구된다.The security of information in the information system is very important, and information security systems have been developed and operated in the information system. Information security systems encrypt and communicate sensitive information using a large number and amount of encryption keys (16 to 344 bytes per key). Therefore, information systems must manage a large number of cryptographic keys. However, since encrypted information cannot be recovered when a cryptographic key (especially a private key or session key) is lost or damaged, or the person who owns the cryptographic key cannot be found within a certain time, a technique for recovering it is required. do. In addition, there is a need for a technology capable of decrypting encrypted information in accordance with the organization's security policy and law enforcement.

키 복구 기술 분야의 종래 기술은 수신자가 1개 이상의 키 위탁 기관에 자신의 암호키를 위탁하며 키 복구가 필요하면 위탁한 키를 위탁기관에 요청하는 키 위탁 방식, TTP(Trusted Third Party)가 수신자에게 암호키를 제공하며 키 복구가 필요할 때 TTP가 수신자에게 제공했던 키를 다시 제공하는 TTP 방식, 수신자가 자료를 대칭 암호화한 후 그 세션키를 자신의 공개키로 암호화하여 암호화된 자료와 함께 유지하고 수신자의 비밀키는 키 백업 기관에 저장하며 키 복구가 필요할 때 키 복구 기관이 저장된 수신자의 비밀키를 제공하는 상업적 키 백업 방식, 자료를 대칭 암호화한 세션키를 이용하여 키 복구 정보를 생성하고 키 복구 정보는 키 복구 에이전트만이 복호화할 수 있으며 키 복구가 필요할 때 키 복구 정보를 키 복구 에이전트에 보내어 세션키를 복구하는 키 캡슐화 방식 등으로 나눌 수 있다. 그러나, 키 위탁, TTP, 상업적 키 백업 방식에서 키 위탁 기관, TTP에서의 키분배 센터 및키 백업 기관은 전자상거래 시스템과 같이 트랜잭션이 빈번하고 저장할 정보들이 많은 정보시스템에서는 병목이 될 수 있으며, 또한 대부분의 수신자들은 자신의 비밀키 또는 세션키를 어떤 기관에도 위탁하거나 저장하려 하지 않는다.The prior art in the field of key recovery technology is a key entrustment method in which a receiver entrusts its cryptographic key to one or more key entrusting agencies and requests the entrusted key if a key recovery is required, and the TTP (Trusted Third Party) A TTP method that provides an encryption key to the recipient and when the key needs to be recovered, the TTP re-provides the key provided to the recipient by the receiver. The receiver symmetrically encrypts the data, encrypts the session key with its public key, and maintains the encrypted data together. The receiver's private key is stored in a key backup authority.When key recovery is needed, a commercial key backup method in which the key recovery authority provides the stored recipient's private key.The key recovery information is generated using a symmetrically encrypted session key. The recovery information can only be decrypted by the key recovery agent. When key recovery is required, the key recovery information is sent to the key recovery agent to recover the session key. Keys can be divided into the encapsulation and more. However, key consignment agencies in key consignment, TTP, and commercial key backup methods, key distribution centers and key backup institutions in TTP can be bottlenecks in information systems that have frequent transactions and store information such as e-commerce systems, and most of them Recipients do not attempt to entrust or store their private or session keys with any organization.

특히, 키 위탁 방식은 개인의 프라이버시 문제와 바인딩 문제에 취약하다는 문제점을 내포한다. 키 캡슐화 방식에서는 수신자들이 키 복구 정보를 생성 및 저장하며, 키 복구가 필요할 때에만 키 복구 정보와 함께 키 복구 센터에 요청하므로 시스템의 병목이 줄어들며, 각 수신자는 키 복구의 주도권을 가질 수 있으므로 프라이버시가 보장될 수 있다. 그러나, 기존의 키 캡슐화 방법들의 경우에도 하나 혹은 두 개의 키 복구 에이전트를 고정시킴으로써 해당 에이전트의 도청, 위장 공격 등의 여러가지 문제점들이 있다. 그 문제점을 구체적으로 살펴보면 다음과 같다.In particular, the key entrustment method has a problem of being vulnerable to privacy and binding problems of individuals. In key encapsulation, receivers generate and store key recovery information, and request key recovery centers with key recovery information only when key recovery is needed, reducing system bottlenecks, and allowing each recipient to take the initiative to recover keys. Can be guaranteed. However, even in the existing key encapsulation methods, there are various problems such as eavesdropping and spoofing of the agent by fixing one or two key recovery agents. Looking at the problem in detail as follows.

첫째, n개 키 복구 에이전트를 활용하는 다중 에이전트 기반 키 복구 시스템에서 세션키 처리 방법이 알려져 있지 않다.First, the session key processing method is not known in a multi-agent-based key recovery system utilizing n key recovery agents.

둘째, 송신자(키 복구 정보 생성자)가 지정한 키 복구 에이전트의 신원을 수신자(키 복구 요청자)가 알게되므로, 키 복구의 투명성이 저하된다.Secondly, since the receiver (key recovery requester) knows the identity of the key recovery agent designated by the sender (key recovery information generator), transparency of key recovery is degraded.

셋째, 키 복구 에이전트들이 정해져 있으므로, 에이전트들간의 결탁 공격이 용이하다.Third, since key recovery agents are determined, collusion attacks between agents are easy.

마지막으로, 수신자는 다수의 키 복구 에이전트들과 직접 통신해야 하며 수신자마다 복잡한 키 복구 기능들이 설치되어야 한다.Finally, the receiver must communicate directly with multiple key recovery agents and complex key recovery functions must be installed for each recipient.

본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 암호화된 통신 및 저장된 정보를 복구하기 위하여 다중 에이전트를 이용함으로써, 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정하여 키 복구의 시간과 보안성을 높일 수 있도록 하는 다중 에이전트를 이용한 키 복구 시스템 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and by using multiple agents to recover encrypted communication and stored information, it is possible to secretly designate any key recovery agent from a group of agents so that time of key recovery can be achieved. SUMMARY OF THE INVENTION An object of the present invention is to provide a key recovery system using multiple agents and a method thereof, and a computer-readable recording medium recording a program for realizing the method.

도 1 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 프로토콜에 대한 일실시예 설명도.1 is a diagram illustrating an embodiment of a key recovery protocol using multiple agents according to the present invention.

도 2a 및 도 2b는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템에서 선택한 키 복구 에이전트 수에 따른 중간키 생성 과정에 대한 설명도.2A and 2B are explanatory diagrams illustrating an intermediate key generation process according to the number of key recovery agents selected in a key recovery system using multiple agents according to the present invention.

도 3 은 본 발명에 따른 도메인 구조와 파트들간의 통신 과정에 대한 설명도.3 is an explanatory diagram of a communication structure between domains and parts according to the present invention;

도 4 는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템에 대한 일실시예 구성도.4 is a block diagram of an embodiment of a key recovery system using multiple agents according to the present invention;

도 5 는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 사용자 키 복구 시스템의 일실시예 구성도.5 is a diagram illustrating an embodiment of a user key recovery system among key recovery systems using multiple agents according to the present invention;

도 6 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 센터 시스템의 일실시예 구성도.6 is a diagram illustrating an embodiment of a key recovery center system among key recovery systems using multiple agents according to the present invention;

도 7 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 에이전트 시스템의 일실시예 구성도.7 is a diagram illustrating an embodiment of a key recovery agent system among key recovery systems using multiple agents according to the present invention;

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

41 : 사용자 키 복구 시스템 42 : 키 복구 센터 시스템41: User Key Recovery System 42: Key Recovery Center System

43 : 키 복구 에이전트 시스템43: Key Recovery Agent System

상기 목적을 달성하기 위한 본 발명은, 다중 에이전트를 이용한 키 복구 시스템에 있어서, 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 수단으로 키 복구 요청을 수행하고, 상기 키 복구 수단을 통하여 복구된 키 정보를 전달받기 위한 키 복구 요청수단; 상기 키 복구 요청수단으로부터 전달받은 정보에서 부분키 정보를 추출하여 추출된 부분키 정보를 해당 부분키 복구 수단으로 전달하여 부분키 복구를 요청하고, 상기 부분키 복구 수단들로부터 각각 전달받은 복구된 부분키 정보를 조합하여 복구된 키 정보를 상기 키 복구 요청수단으로 전달하기 위한 키 복구 수단; 및 상기 키 복구 수단으로부터 해당 부분키 정보를 각각 전달받아 부분키 정보를 복구하고, 복구된 각 부분키 정보를 상기 키 복구 수단으로 전달하기 위한 다수의 부분키 복구 수단을 포함하여 이루어진 것을 특징으로 한다.In the present invention for achieving the above object, in a key recovery system using a multi-agent, the key recovery block (KRB), which is information required to perform key recovery from the key recovery information generation system received from the key recovery block key recovery means Key recovery request means for performing a request and receiving the recovered key information through the key recovery means; Partial key information is extracted from the information received from the key recovery requesting means, the extracted partial key information is transmitted to the corresponding partial key recovery means, and the partial key recovery is requested, and each of the recovered partial received from the partial key recovery means. Key recovery means for delivering the recovered key information by combining key information to the key recovery requesting means; And a plurality of partial key recovery means for receiving partial key information received from the key recovery means, for recovering partial key information, and for transmitting the recovered partial key information to the key recovery means. .

또한, 본 발명은, 다중 에이전트를 이용한 키 복구 시스템에 적용되는 키 복구 방법에 있어서, 사용자 키 복구 시스템이 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 센터로 키 복구를 요청하는 제 1 단계; 상기 키 복구 센터가 상기 사용자 키 복구 시스템으로부터의 키 복구 요청에 따라 부분키 정보를 추출하여 추출된 각 부분키 정보를 해당 키 복구 에이전트로 전달하여 부분키 복구를 요청하는 제 2 단계; 각각의 상기 키 복구 에이전트가 상기 키 복구 센터로부터의 부분키 복구 요청에 따라 해당 부분키 정보를 복구하여 복구된 각 부분키 정보를 상기 키 복구 센터로 전달하는 제 3 단계; 및 상기 키 복구 센터가 각각의 상기 키 복구 에이전트로부터 전달받은 부분키 정보를 조합하여 복구된 키 정보를 상기 사용자 키 복구 시스템으로 전달하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다.In addition, the present invention, in a key recovery method applied to a key recovery system using a multi-agent, the user key recovery system delivers a key recovery block (KRB) which is information required to perform key recovery from the key recovery information generation system A first step of requesting key recovery to a key recovery center; A second step of the key recovery center extracting partial key information according to a key recovery request from the user key recovery system and transferring the extracted partial key information to a corresponding key recovery agent to request partial key recovery; A third step of each of the key recovery agents recovering the corresponding partial key information according to the partial key recovery request from the key recovery center and transferring each recovered partial key information to the key recovery center; And a fourth step in which the key recovery center combines the partial key information received from each of the key recovery agents and delivers the recovered key information to the user key recovery system.

또한, 본 발명은, 프로세서를 구비한 다중 에이전트를 이용한 키 복구 시스템에, 사용자 키 복구 시스템이 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 센터로 키 복구를 요청하는 제 1 기능; 상기 키 복구 센터가 상기 사용자 키 복구 시스템으로부터의 키 복구 요청에 따라 부분키 정보를 추출하여 추출된 각 부분키 정보를 해당 키 복구 에이전트로 전달하여 부분키 복구를 요청하는 제 2 기능; 각각의 상기 키 복구 에이전트가 상기 키 복구 센터로부터의 부분키 복구 요청에 따라 해당 부분키 정보를 복구하여 복구된 각 부분키 정보를 상기 키 복구 센터로 전달하는 제 3 기능; 및 상기 키 복구 센터가 각각의 상기 키 복구 에이전트로부터 전달받은 부분키 정보를 조합하여 복구된 키 정보를 상기 사용자 키 복구 시스템으로 전달하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention, the key recovery system using a multi-agent equipped with a processor, the key recovery block (KRB) that is required for the user key recovery system to perform the key recovery from the key recovery information generation system received key recovery A first function of requesting key recovery to a center; A second function of requesting partial key recovery by the key recovery center extracting partial key information according to a key recovery request from the user key recovery system and transferring each extracted partial key information to a corresponding key recovery agent; A third function, wherein each key recovery agent recovers the corresponding partial key information according to a partial key recovery request from the key recovery center, and delivers each recovered partial key information to the key recovery center; And a program for realizing a fourth function for the key recovery center to combine the partial key information received from each of the key recovery agents to deliver the recovered key information to the user key recovery system. Provide the medium.

본 발명은, 다중 에이전트를 이용하는 키 복구 시스템 및 그 방법에 관한 것으로, 다수의 에이전트, 즉 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정할 수 있도록 함으로써 안전성을 향상시키며, 다음과 같은 특징이 있다.The present invention relates to a key recovery system and method using multiple agents, and improves security by enabling the randomization of any key recovery agent from a plurality of agents, that is, a group of agents, and has the following features.

첫째, 키 복구 시스템은 다중 에이전트를 이용한 키 복구 기능을 갖는다.First, the key recovery system has a key recovery function using multiple agents.

둘째, 키 복구 시스템은 상기 프로토콜에서의 키 복구 에이전트 집단으로부터 2개 이상의 키 복구 에이전트들의 비밀 지정 기능을 갖는다.Second, the key recovery system has a secret function of two or more key recovery agents from the key recovery agent family in the protocol.

셋째, 키 복구 시스템은 상기 프로토콜에서의 인증서 첨부 방법에 의한 동적인 공개키 분배 기능을 갖는다.Third, the key recovery system has a dynamic public key distribution function by the certificate attachment method in the protocol.

넷째, 상기 프로토콜에서 수신자(키 복구 요청자)에 의한 새로운 키 쌍 생성 기능을 갖는다.Fourth, it has a function of generating a new key pair by a receiver (key recovery requester) in the protocol.

다섯째, 상기 프로토콜에서 키 복구 서비스의 선택 기능을 갖는다.Fifth, the protocol has a function of selecting a key recovery service.

이러한 본 발명은 정보 보호기술을 활용하는 모든 정보시스템의 가용성 향상에 기여할 수 있으며, 키 복구의 시간과 보안성을 높이는 것을 특징으로 한다.The present invention can contribute to improving the availability of all information systems utilizing the information protection technology, it is characterized in that to increase the time and security of key recovery.

한편, 본 발명에서는, 첫째 손·망실된 키의 복구를 통한 암호화된 정보를 최소한의 시간과 자원(컴퓨터 및 통신자원)으로 해결할 수 있는 키 복구 시스템을 제시한다. 둘째, 본 발명에서는 정보시스템상의 악의를 가진 주체(일반 수신자, 키 복구 센터 및 키 복구 기관 등)들에게 보안 공격의 대상이 될 수 있으므로, 암호화된 정보의 법적인 소유자 모르게 그 암호화된 정보를 복호화하는 것을 차단하는 보안성을 확보할 수 있는 키 복구 시스템을 제시한다. 셋째, 전자상거래 시스템과 같은 정보시스템은 하나의 기관내에서 뿐만 아니라 국제적으로 가동될 수 있으므로, 본 발명에서는 인터넷을 통해 형성된 다양한 플랫폼 및 서로 다른 정보시스템들간에서 연동되어야 하는 상호 운용성의 확보와 국제표준을 준수하는 키 복구 시스템을 제시한다.On the other hand, the present invention provides a key recovery system that can solve the encrypted information through the recovery of the first lost or lost key with a minimum of time and resources (computer and communication resources). Second, the present invention can be a target of security attacks on malicious subjects (general recipients, key recovery centers and key recovery agencies, etc.) in the information system, so that the encrypted information can be decrypted without the legal owner of the encrypted information. We present a key recovery system that can secure the security of the system. Third, since an information system such as an e-commerce system can be operated not only within one institution but also internationally, the present invention secures interoperability and international standards that must be interoperated between various platforms and different information systems formed through the Internet. Present a key recovery system that complies with.

즉, 본 발명은 안전성이 검증된 기존의 암호 알고리즘을 활용하여 보다 효율적으로 보안성을 강화시키며, 상호 운용성을 만족하고 국제표준을 준수하는 새로운 다중 에이전트 기반의 키 복구 프로토콜과 이 프로토콜을 구현한 키 복구 시스템을 제공하는데 그 특징이 있다.In other words, the present invention utilizes existing cryptographic algorithms whose safety has been verified, enhances security more efficiently, provides a new multi-agent-based key recovery protocol that satisfies interoperability and conforms to international standards, and a key implementing the protocol. It is characterized by providing a recovery system.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은, 암호화된 통신 및 저장된 정보를 복구하기 위하여 다중 에이전트를 이용하는 키 복구 시스템에 관한 것으로, 다수의 에이전트, 즉 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정할 수 있도록 함으로써 안전성을 향상시키며, 다음과 같은 세부적인 사항으로 구성된다.The present invention relates to a key recovery system that uses multiple agents to recover encrypted communications and stored information, and improves security by allowing any key recovery agent to be secreted from a plurality of agents, i. It consists of the following details:

첫번째로, 다중 에이전트를 이용한 키 복구 프로토콜 구현 방법에 대해 살펴보면 다음과 같다.First, the key recovery protocol implementation method using multiple agents is as follows.

도 1 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 프로토콜에 대한 일실시예 설명도로서, UML(Unified Modeling Language) 중 순차 다이어그램(sequence diagram)으로 나타낸 것이다.1 is a diagram illustrating an embodiment of a key recovery protocol using a multi-agent according to the present invention, which is shown as a sequence diagram in UML (Unified Modeling Language).

도 1에 도시된 바와 같이, 다중 에이전트를 이용한 키 복구 기술이란 2보다 큰 n개의 키 복구 에이전트를 지정하여 키 복구 시스템을 구성하는 기술이다. 다중 에이전트를 이용한 키 복구 시스템(즉, n개의 키 복구 에이전트로 구성된 시스템)에서, 세션키(m비트)는 m/n비트로 분할하지 않고, n-1개의 난수키와 세션키를 이용하여 n개의 중간키(m비트)들을 생성하므로, 세션키에 대한 보안성이 증대된다.As shown in FIG. 1, a key recovery technique using multiple agents is a technique for configuring a key recovery system by designating n key recovery agents larger than two. In a key recovery system using multiple agents (that is, a system consisting of n key recovery agents), the session key (m bits) is not divided into m / n bits, but n intermediate numbers using n-1 random keys and session keys. By generating keys (m bits), the security of the session key is increased.

도 1의 프로토콜에서 [수학식 1]의 포크(fork) 함수는 세션키(ssk)와 난수키(rk)들을 이용하여 세션키를 키 복구 에이전트의 개수만큼 분할하여 중간키(ik)들을 생성하는 것이며, [수학식 2]의 조인(join) 함수는 부분키들을 결합하는 것이다. 부분키는 키 복구 에이전트당 1개씩 생성되며, 난수키는 선택한 키 복구 에이전트 수보다 1개 적게 생성된다.In the protocol of FIG. 1, the fork function of Equation 1 generates intermediate keys ik by dividing the session key by the number of key recovery agents using the session keys sks and the random numbers rks. The join function in Equation 2 is to combine the partial keys. One partial key is generated per key recovery agent, and one random key is generated less than the selected number of key recovery agents.

(여기서, ik1= sskrk1, ik2= rk1 rk2, …, iki= rki-1 rki, …, ikn= rkn-1)Where ik 1 = ssk rk 1 , ik 2 = rk 1 rk 2 ,.. , ik i = rk i-1 rk i ,… , ik n = rk n-1 )

ik2 iki ikn ik2 iki ikn

(여기서, ssk: 세션키, rk: 난수키, ik: 중간키,: 비트단위 exclusive-or 연산자)Where ssk: session key, rk: random number key, ik: middle key, Bitwise exclusive-or operator)

이에, 다중 에이전트를 이용한 키 복구 프로토콜 처리 과정을 표로 나타내면 하기의 [표1]과 같다.Thus, a table showing the key recovery protocol processing process using a multi-agent as shown in Table 1 below.

여기서, "n"은 지정된 키 복구 에이전트(KRA)들의 수, "+" 는 메시지의 결합, "ssk"는 세션키, "pukx"는 x의 공개키, "prkx"는 x의 개인키, "SCe(d, k)"는 자료 d를 키 k를 통해 대칭 암호화(예; DES), "SCd(d, k)"는 d를 키 k를 통해 대칭 복호화, "PCe(d, k)"는 d를 키 k를 통해 비대칭 암호화(예; RSA), "PCd(d, k)"는 d를 키 k를 통해 비대칭 복호화, "KRI"는 키 복구 정보, "RES"는 부분키 정보를 나타낸다.Where "n" is the number of specified key recovery agents (KRAs), "+" is the combination of messages, "ssk" is the session key, "puk x " is the public key of x, and "prk x " is the private key of x , "SCe (d, k)" symmetrically encrypts data d with key k (e.g. DES), "SCd (d, k)" symmetrically decrypts d with key k, "PCe (d, k) "Is asymmetric encryption with key k (eg RSA)," PCd (d, k) "is asymmetric decryption with key k," KRI "is key recovery information," RES "is partial key information Indicates.

도 2a 및 도 2b는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템에서 선택한 키 복구 에이전트 수에 따른 중간키 생성 과정에 대한 설명도이다.2A and 2B are explanatory diagrams illustrating an intermediate key generation process according to the number of key recovery agents selected in a key recovery system using multiple agents according to the present invention.

도 2a 및 도 2b에 도시된 바와 같이, 송신자는 각 중간키(iki)들을 해당하는 키 복구 에이전트들의 공개키로 암호화하며, 각 키 복구 에이전트들은 자신의 비밀키로 복호화하여 키 복구 센터로 보낸다. 키 복구 센터에서는 조인(join) 연산을 통해 세션키를 복구하게 된다. 한편, n개의 키 복구 에이전트를 가질 때, (sskrk1)(rk1 rk2), …, (rki-1 rki), …,(rkn-2 rkn-1)rkn-1= ssk 이므로 세션키(ssk)는 보존된다.As shown in Fig. 2a and 2b, the sender encrypts each intermediate key (ik i ) with the public key of the corresponding key recovery agents, each key recovery agent decrypts it with its own private key and sends it to the key recovery center. The key recovery center recovers the session key through a join operation. On the other hand, when you have n key recovery agents, (ssk rk 1 ) (rk 1 rk 2 ) ,… , (rk i-1 rk i ),… , (rk n-2 rk n-1 ) Since rk n-1 = ssk, the session key (ssk) is preserved.

두번째로, 상기 프로토콜에서의 키 복구 에이전트 집단으로부터 2개 이상의 키 복구 에이전트들의 비밀을 지정하는 방법에 대해 살펴보면 다음과 같다.Secondly, a method of specifying secrets of two or more key recovery agents from the key recovery agent group in the protocol is as follows.

도 1에서와 같이, 송신자(키 복구 정보의 생성자)는 다수의 키 복구 에이전트들을 비밀리에 지정하며, 키 복구 블록(KRB) 내에 이에 대한 정보를 삽입한다. 이로써 수신자는 키 복구 에이전트를 알 수 없도록(또는 알 필요가 없도록) 하고 있다. 따라서, 수신자는 오직 키 복구 센터의 공개키만을 알면 된다. 이를 통해 수신자(키 복구 요청자)에게 키 복구의 투명성을 제공하고 파트들간의 공모공격 가능성을 줄이게 되는 것이다.한편, 키 복구 블록(KRB)에 대해 보다 정확하게 설명하면, KRI(Key Recovery Information, 키 복구 정보)에 추가 정보(버전, 길이, OID, 타입 등)를 포함하며, 여기에 덧붙여 무결성 검증을 위한 서명값까지 포함한다. 다시 말하면, KRI는 KRB의 핵심 구성요소라고 할 수 있다.As in FIG. 1, the sender (creator of key recovery information) secretly designates a number of key recovery agents and inserts information about it in the key recovery block KRB. This prevents the receiver from knowing (or not needing to know) the key recovery agent. Thus, the recipient only needs to know the public key of the key recovery center. This provides the recipient (key recovery requester) with transparency of key recovery and reduces the likelihood of collusion between parts. On the other hand, the key recovery block (KRB) is more precisely described as Key Recovery Information (KRI). Information), including additional information (version, length, OID, type, etc.), plus a signature value for integrity verification. In other words, KRI is a key component of KRB.

세번째로, 상기 프로토콜에서의 인증서 첨부 방법에 의한 동적인 공개키 분배 방법에 대해 살펴보면 다음과 같다. 즉, 공개키가 포함된 인증서는 필요한 시기에 필요한 장소에 분배하는 방식이다.Third, the dynamic public key distribution method by the certificate attachment method in the protocol will be described as follows. In other words, the certificate containing the public key is distributed to the necessary place at the required time.

다음의 인증서들은 본 발명이 가동되는 공개키 기반구조를 통해 획득되는 인증서의 정적 분배 방식을 사용하는 것으로, 송신자(키 복구 정보 생성자)의 경우는 수신자 및 키 복구 센터 및 지정한 키 복구 에이전트들의 인증서, 수신자(키 복구 서비스 요청자)의 경우는 키 복구 센터의 인증서, 키 복구 센터의 경우는 키 복구 에이전트의 인증서가 해당된다.The following certificates use a static distribution scheme of certificates obtained through the public key infrastructure in which the present invention operates. In the case of the sender (key recovery information generator), the certificate of the recipient and key recovery center and the designated key recovery agents, In the case of a receiver (key recovery service requester), a certificate of a key recovery center is used. In the case of a key recovery center, a certificate of a key recovery agent is used.

나머지 인증서들은 필요한 시기와 장소에만 키 복구 정보와 함께 보내는 인증서의 동적 분배 방식을 사용한다. 먼저, 키 복구 센터의 경우, 수신자가 키 복구를 요청할 때 수신자의 인증서를 키 복구 요청 메시지로부터 획득한다. 즉, 키 복구 요청 메시지에 수신자의 인증서가 첨부되는 것이다. 다음, 키 복구 에이전트의 경우, 키 복구 센터가 키 복구를 요청할 때 키 복구 센터의 인증서를 키 복구 요청 메시지로부터 획득한다. 즉, 키 복구 요청 메시지에 키 복구 센터의 인증서가 첨부되는 것이다.The remaining certificates use a dynamic distribution of certificates that are sent with key recovery information only when and where they are needed. First, in the case of the key recovery center, when the receiver requests key recovery, the receiver's certificate is obtained from the key recovery request message. In other words, the recipient's certificate is attached to the key recovery request message. Next, in the case of the key recovery agent, when the key recovery center requests key recovery, the key recovery center obtains a certificate of the key recovery center from the key recovery request message. That is, the key recovery center's certificate is attached to the key recovery request message.

일반적으로 키 복구 시스템에서 잠재적인 수신자(키 복구 요청자)는 수만 명 이상이 될 수 있으므로, 키 복구 센터가 사전에 모든 수신자의 인증서를 획득할 필요가 없으므로, 본 발명을 통해, 인증서의 획득시간을 줄일 수 있다.In general, in a key recovery system, the number of potential recipients (key recovery requesters) can be tens of thousands or more, and thus, the key recovery center does not need to acquire all recipients' certificates in advance, and according to the present invention, Can be reduced.

네번째로, 상기 프로토콜에서의 수신자(키 복구 요청자)에 의한 새로운 키 쌍 생성 방법에 대해 살펴보면 다음과 같다.Fourth, a method of generating a new key pair by a receiver (key recovery requester) in the protocol is as follows.

즉, 수신자(키 복구 요청자)는 자신의 개인키를 분실했으므로, 새로운 키쌍(공개키 및 개인키)을 생성하여 인증기관에 등록하고 이를 이용한다. 따라서, 수신자의 개인키를 불법적으로 획득했거나 사용기간이 만료된 수신자의 공개키를 이용할 수 없도록 하고 있다.That is, since the receiver (key recovery requester) has lost his or her private key, a new key pair (public key and private key) is generated, registered with the certificate authority, and used. Therefore, the public key of the receiver which has illegally obtained the recipient's private key or whose usage period has expired cannot be used.

마지막으로, 상기 프로토콜에서의 키 복구 서비스의 선택 방법에 대해 살펴보면 다음과 같다.Finally, a method of selecting a key recovery service in the protocol is as follows.

키 복구 서비스는 정보시스템의 일반 수신자에게는 매우 민감한 사항이므로, 본 발명에서는 도 1에서처럼 정보의 소유자인 송신자와 수신자가 선택할 수 있게 하고 있다. 이를 통해, 본 발명의 활용성이 증대될 수 있다.Since the key recovery service is very sensitive to the general receiver of the information system, the present invention allows the sender and the receiver, who are the owners of the information, to select it as shown in FIG. Through this, the utility of the present invention can be increased.

도 3 은 본 발명에 따른 도메인 구조와 파트들간의 통신 과정에 대한 설명도이다.3 is an explanatory diagram illustrating a communication process between domain parts and parts according to the present invention.

도 3에 도시된 바와 같이, ①은 키 복구 서비스를 받지 않는 수신자간의 통신, ②은 키 복구 서비스를 받지 않는 수신자와 서비스를 받는 수신자간의 통신, ③은 키 복구 서비스를 받는 수신자간의 통신, ④는 키 복구 서비스를 위한 통신, ⑤는 키 복구 센터(KRC)와 키 복구 에이전트(KRA)간의 통신, ⑥키 복구 에이전트(KRAi~KRAn)간의 통신(허용안됨)을 나타낸다.As shown in Fig. 3, ① denotes communication between a receiver not receiving a key recovery service, ② denotes communication between a receiver not receiving a key recovery service and a receiver receiving a service, ③ denotes communication between a receiver receiving a key recovery service, and ④ Communication for the key recovery service, ⑤ indicates communication between the key recovery center KRC and the key recovery agent KRA, and communication between the key recovery agents KRA i to KRA n (not allowed).

한편, 키 복구 시스템은 독자적인 시스템이 아니라, 기존의 응용 시스템 내에 키 복구 서비스를 제공하는 솔루션이며, 도메인 구조는 도 3에 도시된 바와 같다.On the other hand, the key recovery system is not a proprietary system, but a solution for providing a key recovery service in the existing application system, the domain structure is shown in FIG.

"응용 시스템 도메인"은 CALS(Commerce At Light Speed), EC(ElectronicCommerce), EDI(Electronic Data Interchange), CITIS(Contractor Integrated Technical Information Service) 시스템 등을 나타내며, 인터넷/인트라넷 기반 구조와 공개키 기반구조 위에 존재하며, 일반 수신자들은 이 도메인 상에 존재한다."Application System Domain" refers to the Commerce At Light Speed (CALS), Electronic Commerce (EC), Electronic Data Interchange (EDI), and Contractor Integrated Technical Information Service (CITIS) systems, and above the Internet / Intranet infrastructure and public key infrastructure. It exists, and the general recipients are on this domain.

"키 복구 요청 도메인"은 응용 시스템 도메인 내부에 존재하며, 키 복구 서비스를 제공받을 수 있는 권한을 가진 수신자들은 이 도메인 상에 존재한다. 키 복구 요청 도메인 내에는 키 복구 서비스를 제공하는 "키 복구 제공 도메인"이 존재하며, 1개의 키 복구 센터와 2개 이상의 키 복구 에이전트들로 구성된다. 키 복구 제공 도메인과 같이 내포된 도메인은 상위 도메인의 기능들을 상속받는다.The "key recovery request domain" resides inside the application system domain, and recipients who are authorized to receive key recovery services reside on this domain. Within the key recovery request domain, there is a "key recovery providing domain" that provides a key recovery service, and is composed of one key recovery center and two or more key recovery agents. Nested domains, such as key recovery provisioning domains, inherit the functions of the parent domain.

도 4 는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템에 대한 일실시예 구성도이다.4 is a diagram illustrating an embodiment of a key recovery system using multiple agents according to the present invention.

도 4에 도시된 바와 같이, 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템은, 수신자가 암호문을 풀기 위한 키를 손실하였을 경우 키 복구 센터 시스템에 키 복구 요청을 하기 위한 사용자 키 복구 시스템(41)과, 수신자가 요청한 키 복구를 수행하기 위해 키 복구 에이전트에 부분키 복구를 요청하기 위한 키 복구 센터 시스템(42)과, 키 복구 센터 시스템(42)으로부터 요청된 부분키 복구를 수행하기 위한 다수의 키 복구 에이전트로 구성된 키 복구 에이전트 시스템(43)을 구비한다.As shown in FIG. 4, in the key recovery system using the multi-agent according to the present invention, the user key recovery system 41 for requesting a key recovery request from the key recovery center system when the receiver loses the key for decrypting the ciphertext. And a key recovery center system 42 for requesting a key recovery agent for partial key recovery to perform a key recovery requested by the receiver, and a plurality of key keys for performing the partial key recovery requested from the key recovery center system 42. A key recovery agent system 43 configured as a key recovery agent is provided.

여기서, 다중 에이전트를 이용한 키 복구 시스템의 키 복구 수행 절차는 다음과 같다.Here, a key recovery procedure of a key recovery system using multiple agents is as follows.

먼저, 송신자가 암호문(전자서명 및 암호화된 세션키 포함)과 키 복구를 수행하기 위해 필요한 정보인 키 복구 블록(KRB : Key Recovery Block)을 함께 수신자에게 전송하면, 수신자는 암호문을 전송받는다. 그러나, 수신자가 암호문을 복호할 수 있는 키를 손실하게 되면 수신자는 KRB를 키 복구 센터 시스템(42)에 송신하여 키 복구 요청을 한다.First, when a sender transmits a ciphertext (including an electronic signature and an encrypted session key) and a key recovery block (KRB) which is information required to perform key recovery, the receiver receives the ciphertext. However, if the receiver loses a key capable of decrypting the cipher text, the receiver sends the KRB to the key recovery center system 42 to make a key recovery request.

그러면, 키 복구 센터 시스템(42)은 수신자로부터 받은 KRB로부터 부분키 정보를 추출하여 해당 키 복구 에이전트 시스템(43)으로 전송한다.Then, the key recovery center system 42 extracts the partial key information from the KRB received from the receiver and transmits the partial key information to the corresponding key recovery agent system 43.

이에, 해당 키 복구 에이전트들은 키 복구 센터 시스템(42)으로부터 전달받은 부분키 정보를 복구한 후 다시 키 복구 센터 시스템(42)으로 전송한다.Accordingly, the key recovery agents recover the partial key information received from the key recovery center system 42 and then transmit the partial key information back to the key recovery center system 42.

키 복구 센터 시스템(42)은 키 복구 에이전트들로부터 받은 복구된 부분키 정보를 조합하여 복구된 키 정보를 수신자가 받아 볼 수 있도록 사용자 키 복구 시스템(41)으로 전송한다.The key recovery center system 42 combines the recovered partial key information received from the key recovery agents and transmits the recovered key information to the user key recovery system 41 so that the receiver can receive it.

도 5 는 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 사용자 키 복구 시스템의 일실시예 구성도이다.5 is a configuration diagram of an embodiment of a user key recovery system among key recovery systems using multiple agents according to the present invention.

도 5에 도시된 바와 같이, 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 사용자 키 복구 시스템(41)은, 저장부를 통해 전달되는 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 키 복구 에이전트 리스트 등에 대한 시스템 및 개인 정보를 초기화하기 위한 초기화 모듈(510)과, 초기화 모듈(510)을 수행한 후 패스워드에 의한 사용자 인증을 수행하기 위한 인증 모듈(520)과, 인증 모듈(520)을 수행한 후 키 복구 정보를 생성하고, 생성된 키 복구 정보에 추가 정보를 설정하여 키 복구 블록을 생성하며, 생성된 키 복구 블록에 대한 무결성 검증을 수행하여 검증된 키 복구 블록을 키 복구 센터로 전달하고, 전달된 세션키를 복호화하여 키 복구를 수행하기 위한 키 복구 모듈(530)과, 인증모듈(520)을 통해 인증된 수신자의 키 복구 요청서를 작성하여 전달하기 위한 키 복구 요청 모듈(540)과, 키 복구 모듈(530) 및 키 복구 요청 모듈(540)로부터 전달된 키 복구 정보를 전달받아 저장부에 저장하고, 키 복구 센터와 통신을 수행하기 위한 통신 모듈(550)을 구비한다.As shown in FIG. 5, the user key recovery system 41 of the key recovery system using the multi-agent according to the present invention is provided with respect to a certificate, a certificate format, a signature or encryption algorithm, a key recovery agent list, and the like transmitted through a storage unit. Initialization module 510 for initializing system and personal information, authentication module 520 for performing user authentication by password after performing initialization module 510, and after performing authentication module 520 Generate recovery information, create additional key recovery information to generate key recovery blocks, perform integrity verification on the generated key recovery blocks, deliver the verified key recovery blocks to the key recovery center, and deliver Key recovery module 530 for decrypting the session key to perform key recovery, and the key recovery request of the recipient authenticated through the authentication module 520 to create and deliver A key recovery request module 540 for receiving the key recovery information received from the key recovery module 530 and the key recovery request module 540 and stored in a storage unit and communicating with a key recovery center Module 550.

여기서, 초기화 모듈(510)은 저장부를 통해 전달되는 CA(Certification Authority) 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 키 복구 에이전트 리스트 등에 대한 시스템 정보를 초기화하기 위한 시스템 정보 초기화부(511)와, 수신자 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 수신자 개인키 등에 대한 개인 정보를 초기화하기 위한 개인 정보 초기화부(512)를 포함한다.Here, the initialization module 510 includes a system information initialization unit 511 for initializing system information about a certification authority (CA) certificate, a certificate format, a signature or encryption algorithm, a key recovery agent list, and the like, which are transmitted through a storage unit, and a receiver. A personal information initialization unit 512 for initializing personal information about a certificate, a certificate format, a signature or encryption algorithm, a recipient private key, and the like.

인증 모듈(520)은 초기화 모듈(510)을 통해 초기화된 정보를 이용하여 패스워드에 의한 사용자 인증을 수행하기 위한 사용자 인증부(521)를 포함한다.The authentication module 520 includes a user authentication unit 521 for performing user authentication using a password by using the information initialized through the initialization module 510.

키 복구 모듈(530)은 인증모듈(520)을 통해 송신 문서의 암호화에 사용된 세션키를 분리하고 키 복구 에이전트의 집단으로부터 선택된 키 복구 에이전트들의 공개키로 각각 암호화한 다음 키 복구 센터의 공개키로 암호화하며, 이때 키 복구 센터에서 키 복구 에이전트의 선택과 키 복구 정보의 소유자 검증에 사용될 키 복구 에이전트 아이디(ID) 및 수신자 아이디(ID) 등을 첨부하여 키 복구 정보를 생성하기 위한 키 복구 정보 생성부(531)와, 키 복구 정보 생성부(531)를 통해 생성된 키 복구 정보에 추가 정보를 설정하고 키 복구 블록 생성자를 확인하기 위한 서명을 자신의 개인키로 생성하기 위한 키 복구 블록 생성부(532)와, 키 복구 블록 생성부(532)를 통해 생성된 또는 수신된 키 복구 블록을 송신자의 공개키로 무결성 검증을 수행하기 위한 키 복구 블록 검증부(533)와, 키 복구 블록 검증부(533)를 통해 검증된 키 복구 블록을 수신자 또는 키 복구 센터에게 전달하기 위한 키 복구 정보 전달부(534)와, 키 복구 센터로부터 수신된 세션키를 자신의 개인키로 복호화하여 키 복구를 수행하기 위한 수신자 키 복구부(535)를 포함한다.The key recovery module 530 separates the session key used to encrypt the transmission document through the authentication module 520, encrypts each of the key recovery agents with a public key selected from a group of key recovery agents, and then encrypts the public key of the key recovery center. In this case, the key recovery information generation unit for generating key recovery information by attaching a key recovery agent ID (ID) and a receiver ID (ID) to be used for selecting the key recovery agent and verifying the owner of the key recovery information in the key recovery center. 531 and a key recovery block generation unit 532 for setting additional information to the key recovery information generated by the key recovery information generation unit 531 and generating a signature for verifying the key recovery block generator as its own private key. And a key recovery block for performing integrity verification on the key recovery block generated or received through the key recovery block generation unit 532 with the sender's public key. A key recovery information transmission unit 534 for delivering the key recovery block verified through the key recovery block verification unit 533 to the receiver or the key recovery center, and a session key received from the key recovery center. A receiver key recovery unit 535 for decrypting the data with its own private key to perform key recovery.

키 복구 요청 모듈(540)은 키 복구 요청을 위한 키 복구 요청서를 생성하기 위한 키 복구 요청서 생성부(541)와, 암호화 및 서명된 키 복구 요청서를 통신모듈(550)을 통하여 키 복구 센터에 전달하기 위한 키 복구 요청서 전달부(542)를 포함한다.The key recovery request module 540 forwards the key recovery request generation unit 541 to generate a key recovery request for the key recovery request, and an encrypted and signed key recovery request to the key recovery center through the communication module 550. Key recovery request delivery unit 542 for the.

통신 모듈(550)은 외부로 데이터를 출력하는 출력부(551)과 외부로부터 데이터를 입력받는 입력부(552)를 포함한다.The communication module 550 includes an output unit 551 for outputting data to the outside and an input unit 552 for receiving data from the outside.

도 6 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 센터 시스템의 일실시예 구성도이다.6 is a diagram illustrating an embodiment of a key recovery center system among key recovery systems using multiple agents according to the present invention.

도 6에 도시된 바와 같이, 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 센터 시스템은, 저장부를 통해 전달되는 인증서, 인증서 형식, 서명 또는 알고리즘, 키 복구 에이전트 등에 대한 시스템 및 관리자 정보를 초기화하기 위한 초기화 모듈(610)과, 초기화 모듈(610)을 수행한 후 패스워드에 의한 관리자 인증을 수행하기 위한 인증 모듈(620)과, 키 복구 요청자로부터 수신된 키 복구 요청서를 복호화하여 요청 내역을 처리하고, 부분키 세션키 복구를 수행하기 위해 키 복구 에이전트들에게 송신할 부분 세션키 요청서를 생성하며, 생성된 부분세션키 복구 요청서와 함께 키 복구 정보에서 추출한 암호화된 부분 세션키를 해당하는 다수의 키 복구 에이전트에게 전송하기 위한 키 복구 요청 모듈(630)과, 키 복구 요청자로부터 수신된 키 복구 블록에 대한 무결성 검증을 수행하고, 키 복구 정보로부터 소유자 아이디를 추출하여 인증서 및 요청서 아이디를 확인하며, 확인된 키 복구 정보를 키 복구 센터의 공개키로 복호화하여 복구 정보에서 추출된 암호화된 부분 세션키를 해당되는 키 복구 에이전트들에게 송신하며, 해당 에이전트들로부터 수신된 부분 세션키를 복구하기 위한 키 복구 모듈(640)과, 키 복구 요청자의 접근에 대한 정보를 기록하여 복구 처리된 내역을 감사 로그에 저장하기 위한 감사모듈(650)과, 키 복구 에이전트들과 통신을 수행하기 위한 통신 모듈(660)과, 패스워드에 의한 관리자 인증을 수행하기 위한 인증모듈(670)과, 인증모듈(670)을 통해 인증 수행 후, 시스템 접근 관리 작업을 수행하여 복구내역을 관리하고, 그에 따른 오류를 관리하기 위한 관리모듈(680)을 구비한다.As shown in FIG. 6, the key recovery center system of the key recovery system using the multi-agent according to the present invention includes system and administrator information about a certificate, a certificate format, a signature or an algorithm, a key recovery agent, and the like, which are transmitted through a storage unit. Initialization module 610 for initializing, authentication module 620 for performing administrator authentication by password after performing initialization module 610, and decrypting the request details by decrypting the key recovery request received from the key recovery requester. A partial session key request to be sent to key recovery agents to perform partial key session key recovery, and a plurality of corresponding encrypted partial session keys extracted from the key recovery information together with the generated partial session key recovery request. Key recovery request module 630 for transmitting to the key recovery agent of the key, and the key received from the key recovery requester An encrypted partial session extracted from the recovery information by performing integrity verification on the recovery block, extracting the owner ID from the key recovery information, checking the certificate and request ID, and decrypting the verified key recovery information with the public key of the key recovery center. The key recovery module 640 sends a key to the corresponding key recovery agents, recovers the partial session key received from the agents, and records the information about the key recovery requester's access to audit the repaired details. An audit module 650 for storing in a log, a communication module 660 for communicating with key recovery agents, an authentication module 670 for performing administrator authentication with a password, and an authentication module 670 After performing authentication through the system access management operation to manage the recovery history, there is provided with a management module 680 for managing the error accordingly The.

여기서, 초기화 모듈(610)은 저장부를 통해 전달되는 CA(Certification Authority) 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 키 복구 에이전트 리스트 등에 대한 정보를 초기화하기 위한 시스템 정보 초기화부(611)와, 키 복구 센터 관리자 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 관리자 개인키 등에 대한 관리자 정보를 초기화하기 위한 관리자 정보 초기화부(612)를 포함한다.Here, the initialization module 610 is a system information initialization unit 611 for initializing information on a certification authority (CA) certificate, a certificate format, a signature or encryption algorithm, a key recovery agent list, and the like, which are transmitted through a storage unit, and key recovery. And an administrator information initialization unit 612 for initializing administrator information on the center administrator certificate, certificate format, signature or encryption algorithm, administrator private key, and the like.

운영 시스템의 인증 모듈(620)은 초기화 모듈(611)을 통해 초기화된 정보를 이용하여 패스워드에 의한 관리자 인증을 수행하기 위한 관리자 인증부(621)와, 키 복구 요청자로부터 수신된 요청자의 인증서를 CA 인증서에 의해 검증하기 위한 요청자 인증부(622)를 포함한다.The authentication module 620 of the operating system includes an administrator authentication unit 621 for performing administrator authentication using a password using information initialized through the initialization module 611, and a certificate of a requestor received from a key recovery requester. Requestor authentication unit 622 for verification by a certificate.

키 복구 요청 모듈(630)은 키 복구 요청자로부터 수신된 키 복구 요청서를 복호화하여 요청 내역을 확인하고 처리하기 위한 키 복구 요청서 처리부(631)와, 부분 세션키 복구를 수행하기 위해 키 복구 에이전트들에게 송신할 부분 세션키 요청서를 생성하기 위한 부분키 복구 요청서 생성부(632)와, 부분키 복구 요청서 생성부(632)를 통해 생성된 부분 세션키 복구 요청서와 함께 키 복구 정보에서 추출한 암호화된 부분 세션키를 해당하는 키 복구 에이전트들에게 송신하기 위한 부분키 복구 요청서 전달부(633)를 포함한다.The key recovery request module 630 decodes the key recovery request received from the key recovery requester to confirm and process the request details, and to the key recovery agents to perform partial session key recovery. The encrypted partial session extracted from the key recovery information together with the partial key recovery request generation unit 632 for generating a partial session key request to be transmitted and the partial session key recovery request generated through the partial key recovery request generation unit 632. Partial key recovery request delivery unit 633 for transmitting the key to the corresponding key recovery agents.

키 복구 모듈(640)은 키 복구 요청자로부터 수신된 키 복구 블록에 대한 무결성 검증을 수행하기 위한 키 복구 블록 검증부(641)와, 키 복구 블록 검증부(641)를 통해 검증된 키 복구 정보로부터 소유자 아이디(ID)를 추출하여 인증서 아이디 및 요청서 아이디와 동일한지 확인하기 위한 키 복구 정보 소유자 검증부(642)와, 키 복구 정보 소유자 검증부(642)를 통해 검증된 키 복구 정보를 키 복구 센터의 공개키로 복호화하기 위한 키 복구 정보 처리부(643)와, 키 복구 정보를 통해 처리된 부분 세션키에 대한 무결성 값을 생성하기 위한 부분키 무결성 생성부(644)와, 부분키 무결성 생성부(644)를 통해 생성된 부분 세션키 복구 요청서와 함께 키 복구 정보에서 추출한 암호화된 부분 세션키를 해당되는 키 복구 에이전트들에게 전달하기 위한 부분키 복구 정보 전달부(645)와, 해당 키 복구 에이전트들로부터 수신된 부분 세션키를 복구한 후 이를 조합하여 세션키를 복구하기 위한 센터 키 복구부(646)와, 센터 키 복구부(646)를 통해 복구된 키를 요청자에게전달하기 위한 복구 키 전달부(647)를 포함한다.The key recovery module 640 may include a key recovery block verification unit 641 for performing integrity verification on the key recovery block received from the key recovery requester, and key recovery information verified through the key recovery block verification unit 641. Key recovery information, which is obtained through the key recovery information owner verification unit 642 and the key recovery information owner verification unit 642, to extract the owner ID and verify that the certificate ID and the request ID are the same. A key recovery information processing unit 643 for decrypting the public key of the local key, a partial key integrity generating unit 644 for generating an integrity value for the partial session key processed through the key recovery information, and a partial key integrity generating unit 644 Partial key recovery information for delivering the encrypted partial session key extracted from the key recovery information to the corresponding key recovery agents together with the partial session key recovery request generated through 645, a center key recovery unit 646 for recovering the session key by recovering the partial session key received from the corresponding key recovery agents, and a key recovered through the center key recovery unit 646 It includes a recovery key delivery unit 647 for delivering to the requestor.

감사 모듈(650)은 키 복구 요청자의 접근에 대한 정보를 기록하기 위한 접근 로그 생성부(651)와, 복구 키 전달부(647)를 통해 복구 처리된 내역을 감사 로그에 저장하기 위한 감사 로그 생성부(652)를 포함한다.The audit module 650 generates an access log generating unit 651 for recording information on the access of the key recovery requestor, and an audit log for storing the details of the recovery processing through the recovery key delivery unit 647 in the audit log. A portion 652 is included.

통신 모듈(660)은 외부로부터 데이터를 입력받기 위한 입력부(661)와, 외부로 데이터를 출력하는 출력부(662)를 포함한다.The communication module 660 includes an input unit 661 for receiving data from the outside and an output unit 662 for outputting data to the outside.

관리 시스템의 인증 모듈(670)은 패스워드에 의한 관리자 인증을 수행하는 관리자 인증부(671)를 포함하며, 관리 모듈(680)은 인증모듈(670)를 통해 인증된 정보를 이용하여 시스템 환경 관리 작업을 수행하기 위한 시스템 환경 관리부(681)와, 인증모듈(670)을 통해 인증된 정보를 이용하여 시스템 접근 관리 작업을 수행하기 위한 시스템 접근 관리부(682)와, 인증모듈(670)을 통해 인증된 정보를 이용하여 복구 내역 관리 작업을 수행하기 위한 복구 내역 관리부(683)와, 인증모듈(670)을 통해 인증된 정보를 이용하여 복구 오류 관리 작업을 수행하기 위한 복구 오류 관리부(685)를 포함한다.The authentication module 670 of the management system includes an administrator authentication unit 671 that performs administrator authentication using a password, and the management module 680 manages a system environment using information authenticated through the authentication module 670. The system environment management unit 681 for performing the operation, the system access management unit 682 for performing the system access management operation using the information authenticated through the authentication module 670, and the authentication module 670 A recovery history management unit 683 for performing a recovery history management operation using the information, and a recovery error management unit 685 for performing a recovery error management operation using information authenticated through the authentication module 670. .

도 7 은 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 에이전트 시스템의 일실시예 구성도이다.7 is a diagram illustrating an embodiment of a key recovery agent system among key recovery systems using multiple agents according to the present invention.

도 7에 도시된 바와 같이, 본 발명에 따른 다중 에이전트를 이용한 키 복구 시스템 중 키 복구 에이전트 시스템은, 저장부를 통해 전달되는 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 키 복구 에이전트 등에 대한 시스템 및 관리자 정보를 초기화하기 위한 초기화 모듈(710)과, 초기화 모듈(710)을 수행한 후 패스워드에 의한 관리자 인증을 수행하기 위한 인증모듈(720)과, 키 복구 센터로부터 수신된 키 복구 요청서를 복호화하여 요청내역을 확인 및 처리하기 위한 키 복구 요청모듈(730)과, 키 복구 센터로부터 수신된 부분키에 대한 무결성 검증 및 키 복구 에이전트의 부분키를 복구하고 복구된 부분키의 암호화한 값과 무결성 값을 상기 키 복구 센터의 공개키로 암호화하며, 키 복구 에이전트의 개인키로 무결성 값을 생성한 후, 복구된 부분키의 암호화한 값과 무결성 값을 키 복구 센터로 전송하기 위한 키 복구 모듈(740)과, 키 복구 센터의 접근에 대한 정보를 기록하고, 복구된 부분키 전달부(744)를 통해 전달되는 복구 처리된 내용을 저장하기 위한 감사 모듈(750)과, 키 복구 센터와 통신을 수행하기 위한 통신 모듈(760)과, 패스워드에 의한 관리자 인증을 수행하기 위한 인증 모듈(770)과, 인증 모듈(770)을 통해 인증 수행 후, 시스템 접근 관리 작업을 수행하여 복구 내역을 관리하고, 그에 따른 오류를 관리하기 위한 관리모듈(780)을 구비한다.As shown in FIG. 7, a key recovery agent system among key recovery systems using multiple agents according to the present invention includes system and administrator information on a certificate, a certificate format, a signature or encryption algorithm, a key recovery agent, and the like, which are transmitted through a storage unit. Initialization module 710 for initializing the operation, authentication module 720 for performing administrator authentication by password after performing the initialization module 710, and the request history by decrypting the key recovery request received from the key recovery center A key recovery request module 730 for verifying and processing the data, and verifying the integrity of the partial key received from the key recovery center and recovering the partial key of the key recovery agent and recalling the encrypted and integrity values of the recovered partial key. Encrypt with the public key of the key recovery center, generate the integrity value with the private key of the key recovery agent, and then encrypt the recovered partial key. The key recovery module 740 for transmitting the converted value and the integrity value to the key recovery center, the information on the access of the key recovery center, and the recovered contents transmitted through the recovered partial key delivery unit 744. An audit module 750 for storing the information, a communication module 760 for communicating with the key recovery center, an authentication module 770 for performing administrator authentication with a password, and an authentication module 770. After performing authentication, a management module 780 for managing a recovery history by performing a system access management operation and managing an error accordingly is provided.

여기서, 초기화 모듈(710)은 CA 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 키 복구 에이전트 리스트 등에 대한 정보를 초기화하기 위한 시스템 정보 초기화부(711)와, 키 복구 에이전트 관리자 인증서, 인증서 형식, 서명 또는 암호 알고리즘, 관리자 개인키 등에 대한 관리자 정보를 초기화하기 위한 관리자 정보 초기화부(712)를 포함한다.Here, the initialization module 710 may include a system information initializer 711 for initializing information on a CA certificate, a certificate format, a signature or encryption algorithm, a key recovery agent list, and the like, and a key recovery agent manager certificate, a certificate format, a signature, or the like. And an administrator information initialization unit 712 for initializing administrator information on an encryption algorithm, an administrator private key, and the like.

운영 시스템의 인증 모듈(720)은 초기화 모듈(710)을 통해 초기화된 정보를 이용하여 패스워드에 의한 관리자 인증을 수행하기 위한 관리자 인증부(721)를 포함한다.The authentication module 720 of the operating system includes an administrator authentication unit 721 for performing administrator authentication using a password using information initialized through the initialization module 710.

키 복구 요청 모듈(730)은 키 복구 센터로부터 수신된 키 복구 요청서를 복호화하여 요청 내역을 확인 및 처리하기 위한 부분키 복구 요청서 처리부(731)를 포함한다.The key recovery request module 730 includes a partial key recovery request processing unit 731 for verifying and processing the request details by decrypting the key recovery request received from the key recovery center.

키 복구 모듈(740)은 키 복구 센터로부터 수신된 부분키에 대한 무결성을 검증하기 위한 부분키 무결성 검증부(741)와, 키 복구 센터로부터 수신된 부분키를 키 복구 에이전트의 개인키로 복호화하여 부분키를 복구하기 위한 에이전트 부분키 복구부(742)와, 에이전트 부분키 복구부(742)를 통해 복구된 부분키를 키 복구 센터의 공개키로 암호화하고 키 복구 에이전트의 개인키로 무결성 값을 생성하여 처리하기 위한 복구된 부분키 처리부(743)와, 복구된 부분키 처리부(743)를 통해 복구된 부분키의 암호화한 값과 무결성 값을 키 복구 센터로 전달하기 위한 복구된 부분키 전달부(744)를 포함한다.The key recovery module 740 decrypts the partial key integrity verification unit 741 for verifying the integrity of the partial key received from the key recovery center and the partial key received from the key recovery center with the private key of the key recovery agent. The agent partial key recovery unit 742 for recovering the key and the partial key recovered through the agent partial key recovery unit 742 are encrypted with the public key of the key recovery center and an integrity value is generated and processed with the private key of the key recovery agent. A recovered partial key processing unit 743 for transmitting the encrypted and integrity values of the recovered partial key to the key recovery center through the recovered partial key processing unit 743 It includes.

감사 모듈(750)은 키 복구 센터의 접근에 대한 정보를 기록하기 위한 접근 로그 생성부(751)와, 복구된 부분키 전달부(744)를 통해 복구 처리된 내역을 감사 로그에 저장하기 위한 감사 로그 생성부(752)를 포함한다.The audit module 750 includes an access log generator 751 for recording information about access of the key recovery center, and an audit for storing the details of the recovery process through the recovered partial key transfer unit 744 in the audit log. And a log generator 752.

통신 모듈(760)은 외부로부터 데이터를 입력받기 위한 입력부(761)와, 외부로 데이터를 출력하기 위한 출력부(762)를 포함한다.The communication module 760 includes an input unit 761 for receiving data from the outside and an output unit 762 for outputting data to the outside.

관리 시스템의 인증 모듈(770)은 패스워드에 의한 관리자 인증을 수행하기 위한 관리자 인증부(771)를 포함하며, 관리 모듈(780)은 인증 모듈(770)을 통해 인증된 정보를 이용하여 시스템 환경 관리 작업을 수행하기 위한 시스템 환경 관리 부(781)와, 인증 모듈(770)을 통해 인증된 정보를 이용하여 시스템 접근 관리 작업을 수행하기 위한 시스템 접근 관리부(782)와, 인증 모듈(770)을 통해 인증된 정보를 이용하여 복구 내역 관리 작업을 수행하기 위한 복구 내역 관리부(783)와, 인증 모듈(770)을 통해 인증된 정보를 이용하여 복구 오류 관리 작업을 수행하기 위한 복구 오류 관리부(785)를 포함한다.The authentication module 770 of the management system includes an administrator authentication unit 771 for performing administrator authentication using a password, and the management module 780 manages a system environment using information authenticated through the authentication module 770. Through a system environment management unit 781 for performing a task, a system access management unit 782 for performing a system access management task using information authenticated through the authentication module 770, and an authentication module 770. A recovery history management unit 783 for performing a recovery history management operation using the authenticated information, and a recovery error management unit 785 for performing a recovery error management operation using information authenticated through the authentication module 770; Include.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The method of the present invention as described above may be implemented as a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.).

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be apparent to those of ordinary knowledge.

상기한 바와 같은 본 발명은, 첫째 암호화된 통신 및 저장된 정보를 복구하기 위하여 다중 에이전트를 이용함으로써, 에이전트 집단으로부터 임의의 키 복구 에이전트를 비밀 지정하여 키 복구의 시간과 보안성을 높일 수 있는 효과가 있다.The present invention as described above, by using multiple agents to recover the encrypted communication and stored information first, it is effective to increase the time and security of key recovery by secretly specifying any key recovery agent from the agent group have.

둘째, 안전성이 검증된 기존의 암호 알고리즘을 활용하여 보다 효율적으로 보안성을 강화시키며, 상호 운용성을 만족하고 국제표준을 준수하는 새로운 다중 에이전트 기반의 키 복구 프로토콜과 이 프로토콜을 구현한 키 복구 시스템을 제공할 수 있는 효과가 있다.Second, the new multi-agent-based key recovery protocol and the key recovery system that implement this protocol can be used more effectively by using existing cryptographic algorithms that have been proven to be more secure. There is an effect that can be provided.

셋째, CALS, 전자상거래, CITIS 인프라 내의 전자문서 복구 솔루션으로 개발되었지만, 암호 통신을 이용하는 모든 정보시스템에서 응용할 수 있는 효과가 있다.Third, it was developed as a solution for recovering electronic documents in CALS, e-commerce, and CITIS infrastructure, but it can be applied to all information systems using crypto communication.

넷째, 본 발명에 따른 송신자 서브시스템을 기존의 출력 프로세서에 추가하고 수신자 서브시스템을 입력 프로세서에 추가함으로써, 암호화된 저장정보를 복구할 수 있는 효과가 있다. 즉, 출력 프로세서는 저장할 정보를 암호화하고 키 복구 정보를 생성하여 암호화된 정보와 함께 디스크에 저장할 수 있고, 키 복구시 입력 프로세스(키 복구 요청자)는 키 복구 정보를 키 복구 센터에 보내 키를 복구할 수 있다.Fourth, by adding a sender subsystem according to the present invention to an existing output processor and adding a receiver subsystem to the input processor, there is an effect of recovering encrypted stored information. That is, the output processor can encrypt the information to be stored, generate the key recovery information, and store it on the disk along with the encrypted information.In key recovery, the input process (key recovery requester) sends the key recovery information to the key recovery center to recover the key. can do.

Claims (15)

다중 에이전트를 이용한 키 복구 시스템에 있어서,In a key recovery system using multiple agents, 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 수단으로 키 복구 요청을 수행하고, 상기 키 복구 수단을 통하여 복구된 키 정보를 전달받기 위한 키 복구 요청수단;A key for receiving a key recovery block (KRB), which is information necessary for performing key recovery from a key recovery information generation system, performing a key recovery request to a key recovery means, and receiving a key information recovered through the key recovery means. Recovery request means; 상기 키 복구 요청수단으로부터 전달받은 정보에서 부분키 정보를 추출하여 추출된 부분키 정보를 해당 부분키 복구 수단으로 전달하여 부분키 복구를 요청하고, 상기 부분키 복구 수단들로부터 각각 전달받은 복구된 부분키 정보를 조합하여 복구된 키 정보를 상기 키 복구 요청수단으로 전달하기 위한 키 복구 수단; 및Partial key information is extracted from the information received from the key recovery requesting means, the extracted partial key information is transmitted to the corresponding partial key recovery means, and the partial key recovery is requested, and each of the recovered partial received from the partial key recovery means. Key recovery means for delivering the recovered key information by combining key information to the key recovery requesting means; And 상기 키 복구 수단으로부터 해당 부분키 정보를 각각 전달받아 부분키 정보를 복구하고, 복구된 각 부분키 정보를 상기 키 복구 수단으로 전달하기 위한 다수의 부분키 복구 수단A plurality of partial key recovery means for receiving partial key information received from the key recovery means to recover partial key information, and for transmitting each of the recovered partial key information to the key recovery means; 을 포함하는 다중 에이전트를 이용한 키 복구 시스템.Key recovery system using a multi-agent including a. 제 1 항에 있어서,The method of claim 1, 상기 키 복구 정보 생성 시스템은,The key recovery information generation system, 다수의 키 복구 에이전트들을 비밀리에 지정하여 키 복구 블록 내에 삽입하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 시스템.A key recovery system using multiple agents, characterized in that a plurality of key recovery agents are secretly designated and inserted into a key recovery block. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 키 복구 요청수단, 상기 키 복구 수단 및 상기 다수의 부분키 복구 수단은,The key recovery request means, the key recovery means and the plurality of partial key recovery means, 공개키가 포함된 인증서를 필요한 시기에 필요한 장소에 분배하기 위하여, 상기 키 복구 수단의 경우 상기 키 복구 요청 수단이 키 복구를 요청할 때 상기 키 복구 요청수단의 인증서를 키 복구 요청 메시지로부터 획득하고, 상기 부분키 복구 수단의 경우 상기 키 복구 수단으로부터의 요청에 따라 상기 키 복구 수단의 인증서를 부분키 복구 요청 메시지로부터 획득하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 시스템.In order to distribute a certificate containing a public key to a necessary place at a necessary time, in the case of the key recovery means, the key recovery request means obtains a certificate of the key recovery request means from a key recovery request message when the key recovery request means requests a key recovery. And in the case of the partial key recovery means, obtain a certificate of the key recovery means from the partial key recovery request message according to a request from the key recovery means. 제 3 항에 있어서,The method of claim 3, wherein 상기 인증서는,The certificate is, 공개키, 식별자 등의 정보를 포함하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 시스템.Key recovery system using a multi-agent, characterized in that it includes information such as public key, identifier. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 키 복구 요청 수단은,The key recovery request means, 개인키를 불법적으로 획득했거나 사용기간이 만료된 공개키를 이용할 수 없도록 새로운 키 쌍(공개키 및 개인키)을 생성하여 생성된 공개키 및 개인키를 인증기관에 등록하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 시스템.A multi-agent characterized in that a new key pair (public key and private key) is generated to register a public key and a private key with a certificate authority so that a public key that is illegally obtained or has expired cannot be used. Key recovery system. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 키 복구 요청수단은,The key recovery request means, 정보의 소유자인 상기 키 복구 정보 생성 시스템(송신자)과 상기 키 복구 요청수단(수신자)이 키 복구 서비스를 선택할 수 있도록 하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 시스템.And a key recovery information generating system (sender) and said key recovery requesting means (receiver), which are owners of information, to select a key recovery service. 다중 에이전트를 이용한 키 복구 시스템에 적용되는 키 복구 방법에 있어서,In the key recovery method applied to a key recovery system using a multi-agent, 사용자 키 복구 시스템이 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 센터로 키 복구를 요청하는 제 1 단계;A first step in which the user key recovery system receives a key recovery block (KRB), which is information necessary for performing key recovery from the key recovery information generation system, and requests a key recovery center from the key recovery center; 상기 키 복구 센터가 상기 사용자 키 복구 시스템으로부터의 키 복구 요청에 따라 부분키 정보를 추출하여 추출된 각 부분키 정보를 해당 키 복구 에이전트로 전달하여 부분키 복구를 요청하는 제 2 단계;A second step of the key recovery center extracting partial key information according to a key recovery request from the user key recovery system and transferring the extracted partial key information to a corresponding key recovery agent to request partial key recovery; 각각의 상기 키 복구 에이전트가 상기 키 복구 센터로부터의 부분키 복구 요청에 따라 해당 부분키 정보를 복구하여 복구된 각 부분키 정보를 상기 키 복구 센터로 전달하는 제 3 단계; 및A third step of each of the key recovery agents recovering the corresponding partial key information according to the partial key recovery request from the key recovery center and transferring each recovered partial key information to the key recovery center; And 상기 키 복구 센터가 각각의 상기 키 복구 에이전트로부터 전달받은 부분키 정보를 조합하여 복구된 키 정보를 상기 사용자 키 복구 시스템으로 전달하는 제 4 단계A fourth step in which the key recovery center combines the partial key information received from each of the key recovery agents and delivers the recovered key information to the user key recovery system; 를 포함하는 다중 에이전트를 이용한 키 복구 방법.Key recovery method using a multi-agent including a. 제 7 항에 있어서,The method of claim 7, wherein 상기 키 복구 정보 생성 시스템은,The key recovery information generation system, 상기 다수의 키 복구 에이전트들을 비밀리에 지정하여 키 복구 블록 내에 삽입하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.And recovering the plurality of key recovery agents secretly and inserting the plurality of key recovery agents into a key recovery block. 제 7 항 또는 제 8 항에 있어서,The method according to claim 7 or 8, 상기 제 1 단계의 키 복구 요청 과정, 상기 제 2 단계의 키 복구 요청 과정, 상기 제 3 단계의 부분키 정보 복구 과정은,The key recovery request process of the first step, the key recovery request process of the second step, and the partial key information recovery process of the third step, 공개키가 포함된 인증서를 필요한 시기에 필요한 장소에 분배하기 위하여, 상기 키 복구 센터의 경우 상기 사용자 키 복구 시스템이 키 복구를 요청할 때 상기 사용자 키 복구 시스템의 인증서를 키 복구 요청 메시지로부터 획득하고, 각각의 상기 키 복구 에이전트의 경우 상기 키 복구 센터로부터의 요청에 따라 상기 키 복구 센터의 인증서를 부분키 복구 요청 메시지로부터 획득하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.In order to distribute the certificate containing the public key to the necessary place at the required time, the key recovery center obtains the certificate of the user key recovery system from the key recovery request message when the user key recovery system requests the key recovery. Each key recovery agent obtains a certificate of the key recovery center from a partial key recovery request message according to a request from the key recovery center. 제 9 항에 있어서,The method of claim 9, 상기 인증서는,The certificate is, 공개키, 식별자 등의 정보를 포함하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.Key recovery method using a multi-agent, characterized in that it comprises information such as public key, identifier. 제 7 항 또는 제 8 항에 있어서,The method according to claim 7 or 8, 상기 제 1 단계의 키 복구 요청 과정은,The key recovery request process of the first step, 상기 사용자 키 복구 시스템의 개인키를 불법적으로 획득했거나 사용기간이 만료된 상기 사용자 키 복구 시스템의 공개키를 이용할 수 없도록 상기 사용자 키 복구 시스템의 새로운 키 쌍(공개키 및 개인키)을 생성하여 생성된 공개키 및 개인키를 인증기관에 등록하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.Generate and generate a new key pair (public key and private key) of the user key recovery system so that the public key of the user key recovery system which has illegally obtained the private key of the user key recovery system or whose usage period has expired cannot be used. Recovering a key using a multi-agent, characterized in that the registered public key and private key registered with the certificate authority. 제 7 항 또는 제 8 항에 있어서,The method according to claim 7 or 8, 상기 제 1 단계의 키 복구 요청 과정은,The key recovery request process of the first step, 정보의 소유자인 상기 키 복구 정보 생성 시스템(송신자)과 상기 사용자 키 복구 시스템(수신자)이 키 복구 서비스를 선택할 수 있도록 하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.A key recovery method using multiple agents, characterized in that the key recovery information generation system (sender) and the user key recovery system (receiver), which are owners of information, can select a key recovery service. 제 7 항에 있어서,The method of claim 7, wherein 상기 키 복구 정보 생성 시스템은,The key recovery information generation system, 세션키(ssk)와 난수키(rk)들을 이용하여 세션키를 키 복구 에이전트의 개수만큼 분할하여 중간키(ik)들을 생성하는 하기의 포크(fork) 함수와, 부분키들을 결합하는 하기의 조인 함수(부분키는 키 복구 에이전트당 1개씩 생성되고, 난수키는 선택한 키 복구 에이전트 수보다 1개 적게 생성됨)를 이용하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.The following fork function for generating intermediate keys (ik) by dividing the session key by the number of key recovery agents using the session keys (ssk) and random numbers (rk), and the following join that combines partial keys A method for recovering keys using multiple agents, wherein a function is used, one partial key is generated per key recovery agent, and one random key is generated less than the selected number of key recovery agents. (fork(ssk, n) = ik1, ... iki, …, ikn(여기서, ik1= sskrk1, ik2= rk1 rk2, …, iki= rki-1 rki, …, ikn= rkn-1),(fork (ssk, n) = ik 1 , ... ik i ,…, ik n (where ik 1 = ssk rk 1 , ik 2 = rk 1 rk 2 ,.. , ik i = rk i-1 rk i ,… , ik n = rk n-1 ), join(ik1, …, iki, …, ikn) = ik1 ik2 iki ikn(여기서, ssk: 세션키, rk: 난수키, ik: 중간키,: 비트단위 exclusive-or 연산자))join (ik 1 ,…, ik i ,…, ik n ) = ik 1 ik 2 ik i ik n (where ssk: session key, rk: random number key, ik: middle key, Bitwise exclusive-or operator) 제 13 항에 있어서,The method of claim 13, 상기 세션키는,The session key is 상기 다중 에이전트를 이용한 부분키 복구 시스템(n개의 키 복구 에이전트로 구성된 시스템)에서, m/n 비트로 분할하지 않고, n-1 개의 난수키와 세션키를 이용하여 n개의 중간키(m비트)들을 생성하는 것을 특징으로 하는 다중 에이전트를 이용한 키 복구 방법.In the partial key recovery system using a multi-agent (system composed of n key recovery agents), n intermediate keys (m bits) are generated using n-1 random numbers and session keys without partitioning into m / n bits. Key recovery method using a multi-agent, characterized in that. 프로세서를 구비한 다중 에이전트를 이용한 키 복구 시스템에,In a key recovery system using a multi-agent with a processor, 사용자 키 복구 시스템이 키 복구 정보 생성 시스템으로부터 키 복구를 수행하기 위하여 필요한 정보인 키 복구 블록(KRB)을 전달받아 키 복구 센터로 키 복구를 요청하는 제 1 기능;A first function of requesting key recovery to a key recovery center by receiving a key recovery block (KRB) which is information necessary for a user key recovery system to perform key recovery from a key recovery information generation system; 상기 키 복구 센터가 상기 사용자 키 복구 시스템으로부터의 키 복구 요청에 따라 부분키 정보를 추출하여 추출된 각 부분키 정보를 해당 키 복구 에이전트로 전달하여 부분키 복구를 요청하는 제 2 기능;A second function of requesting partial key recovery by the key recovery center extracting partial key information according to a key recovery request from the user key recovery system and transferring each extracted partial key information to a corresponding key recovery agent; 각각의 상기 키 복구 에이전트가 상기 키 복구 센터로부터의 부분키 복구 요청에 따라 해당 부분키 정보를 복구하여 복구된 각 부분키 정보를 상기 키 복구 센터로 전달하는 제 3 기능; 및A third function, wherein each key recovery agent recovers the corresponding partial key information according to a partial key recovery request from the key recovery center, and delivers each recovered partial key information to the key recovery center; And 상기 키 복구 센터가 각각의 상기 키 복구 에이전트로부터 전달받은 부분키 정보를 조합하여 복구된 키 정보를 상기 사용자 키 복구 시스템으로 전달하는 제 4 기능A fourth function of delivering the recovered key information to the user key recovery system by combining the partial key information received from each of the key recovery agents by the key recovery center; 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this.
KR10-2000-0073451A 2000-12-05 2000-12-05 System and method for key recovery using multiple agents KR100377196B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0073451A KR100377196B1 (en) 2000-12-05 2000-12-05 System and method for key recovery using multiple agents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0073451A KR100377196B1 (en) 2000-12-05 2000-12-05 System and method for key recovery using multiple agents

Publications (2)

Publication Number Publication Date
KR20020043973A KR20020043973A (en) 2002-06-12
KR100377196B1 true KR100377196B1 (en) 2003-03-26

Family

ID=27679724

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0073451A KR100377196B1 (en) 2000-12-05 2000-12-05 System and method for key recovery using multiple agents

Country Status (1)

Country Link
KR (1) KR100377196B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210156776A (en) 2020-06-18 2021-12-27 주식회사 디에스알브이랩스 System and method for Private key recovery using recovery transaction

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101160812B1 (en) * 2005-03-31 2012-06-28 재단법인서울대학교산학협력재단 Method for key generation to reduce transmission overhead in Broadcast Encryption, Encryption and Decryption using the key generation
KR101393159B1 (en) 2013-04-10 2014-05-30 숭실대학교산학협력단 Method and apparatus for controlling access based on key in social network service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980032357A (en) * 1996-10-02 1998-07-25 포만제프리엘 Two-phase cryptographic key recovery system
US5815573A (en) * 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
JPH1127253A (en) * 1997-07-07 1999-01-29 Hitachi Ltd Key recovery system, key recovery device, recording medium for storing key recovery program and key recovery method
US6396929B1 (en) * 1998-12-31 2002-05-28 International Business Machines Corporation Apparatus, method, and computer program product for high-availability multi-agent cryptographic key recovery

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5815573A (en) * 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
KR19980032357A (en) * 1996-10-02 1998-07-25 포만제프리엘 Two-phase cryptographic key recovery system
JPH1127253A (en) * 1997-07-07 1999-01-29 Hitachi Ltd Key recovery system, key recovery device, recording medium for storing key recovery program and key recovery method
US6396929B1 (en) * 1998-12-31 2002-05-28 International Business Machines Corporation Apparatus, method, and computer program product for high-availability multi-agent cryptographic key recovery

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210156776A (en) 2020-06-18 2021-12-27 주식회사 디에스알브이랩스 System and method for Private key recovery using recovery transaction

Also Published As

Publication number Publication date
KR20020043973A (en) 2002-06-12

Similar Documents

Publication Publication Date Title
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US8145898B2 (en) Encryption/decryption pay per use web service
JP3251917B2 (en) Electronic bidding system and electronic bidding method
US20090097657A1 (en) Constructive Channel Key
CN109450843B (en) SSL certificate management method and system based on block chain
US20090271627A1 (en) Secure Data Transmission
JP2004509398A (en) System for establishing an audit trail for the protection of objects distributed over a network
US20080044023A1 (en) Secure Data Transmission
CN107070879A (en) Data guard method and system
US20060095770A1 (en) Method of establishing a secure e-mail transmission link
KR100582546B1 (en) Method for sending and receiving using encryption/decryption key
CN112883399B (en) Method and system for realizing secure sharing of encrypted file
CN110557248A (en) Secret key updating method and system for resisting quantum computation signcryption based on certificateless cryptography
JPH0969831A (en) Cipher communication system
KR100377196B1 (en) System and method for key recovery using multiple agents
GB2395304A (en) A digital locking system for physical and digital items using a location based indication for unlocking
Prabhu et al. Security in computer networks and distributed systems
Wu et al. Verified CSAC-based CP-ABE access control of cloud storage in SWIM
KR100337637B1 (en) Method for recovering a digital document encrypted
Reddy et al. Data Storage on Cloud using Split-Merge and Hybrid Cryptographic Techniques
Lim et al. Design of key recovery system using multiple agent technology for electronic commerce
Vanamoorthy Secure Data Sharing Using Revocable-Storage Identity-Based Encryption
Daliri Authentication and Encryption Mechanisms
JP4662799B2 (en) Encrypted communication system
WO2023043793A1 (en) System and method of creating symmetric keys using elliptic curve cryptography

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090303

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee