KR100406525B1 - Initial certification system for wireless public key infrastructure, and its method - Google Patents
Initial certification system for wireless public key infrastructure, and its method Download PDFInfo
- Publication number
- KR100406525B1 KR100406525B1 KR10-2001-0040971A KR20010040971A KR100406525B1 KR 100406525 B1 KR100406525 B1 KR 100406525B1 KR 20010040971 A KR20010040971 A KR 20010040971A KR 100406525 B1 KR100406525 B1 KR 100406525B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- request message
- authentication request
- public key
- signing
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 62
- 238000012795 verification Methods 0.000 claims abstract description 59
- 238000004458 analytical method Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 5
- 238000003672 processing method Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims 2
- 230000006870 function Effects 0.000 abstract description 12
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
1. 청구범위에 기재된 발명이 속하는 기술분야1. TECHNICAL FIELD OF THE INVENTION
본 발명은 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치 및 그 방법과 그를 이용한 인증서 발급 시스템 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to an apparatus for requesting / processing a certificate in a wireless public key infrastructure, a method thereof, a system for issuing a certificate using the same, and a computer-readable recording medium having recorded thereon a program for realizing the method.
2. 발명이 해결하고자 하는 기술적 과제2. Technical problem to be solved by the invention
본 발명은, 실제 적용하지 않은 무선 전송 계층 보안(WTLS : Wireless Transport Layer Security)을 사용하지 않고 무선 마크업 랭귀지 스크립트 메시지 서명 함수(Wireless Markup Language Script SignText)와 같은 메시지 서명기능으로 무선 공개키 구조(Wireless Public Key Infrastructure : WPKI)에서 인증서를 발급받기 위한 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치 및 그 방법과 그를 이용한 인증서 발급 시스템 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함.The present invention provides a wireless public key structure (WTLS) using a message signing function such as Wireless Markup Language Script SignText without using Wireless Transport Layer Security (WTLS). Wireless Public Key Infrastructure (WPKI) can be read by a computer that records a certificate issuing request / processing device in a wireless public key infrastructure for obtaining a certificate and its method, a certificate issuing system using the same, and a program for realizing the method. Provide recording media.
3. 발명의 해결방법의 요지3. Summary of Solution to Invention
본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 시스템에 있어서, 사용자의 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서 및 서명용 비밀키를 생성하고, 사용자의 아이디(ID), 비밀번호 및 서명용 공개키에 의해 생성된 인증 요청 메시지를 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 전송하기 위한 적어도 하나의 인증서 발급 요청 수단; 및 상기 적어도 하나의 인증서 발급 요청 수단으로부터 전송받은 인증 요청 메시지의 서명 확인으로 서명용 비밀키 소유확인 정보를 추출하고, 서명 확인된 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키 및 메시지 인증 코드(MAC : Message Authentication Code) 값을 추출하여 인증서를 발급하기 위한 인증서 발급 처리 수단을 포함함.The present invention provides a certificate issuing system in a wireless public key infrastructure, receives a user's ID (ID) and password, generates a signing public key, a signing certificate, and a signing secret key, and the user's ID (ID) and password. And at least one certificate issuing request means for signing and transmitting a certificate request message generated by the signing public key using a signing certificate and a signing secret key; And extracting signature secret key ownership verification information by signature verification of the authentication request message received from the at least one certificate issuing request means, analyzing the signature verification request message, and analyzing the user's ID, signature public key, and message. It includes a certificate issuing processing means for issuing a certificate by extracting an authentication code (MAC) value.
4. 발명의 중요한 용도4. Important uses of the invention
본 발명은 네트워크 상에서의 인증 시스템 등에 사용됨.The present invention is used in authentication systems and the like on a network.
Description
본 발명은 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치 및 그 방법과 그를 이용한 인증서 발급 시스템에 관한 것으로, 보다 상세하게는 무선 통신 환경의 무선 공개키 기반 구조에서 메시지 서명 기능을 이용하여 인증서를 발급받기 위한 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치 및 그 방법과 그를 이용한 인증서 발급 시스템 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to an apparatus for requesting / processing a certificate in a wireless public key infrastructure, a method thereof, and a certificate issuing system using the same. More particularly, the present invention relates to a certificate using a message signing function in a wireless public key infrastructure of a wireless communication environment. An apparatus for requesting / processing a certificate in a wireless public key infrastructure for issuing a certificate, and a method thereof, a certificate issuing system using the same, and a computer-readable recording medium having recorded thereon a program for realizing the method.
일반적으로 인증서를 기반으로 하는 무선 환경에서의 정보 보호 서비스는 무선 어플리케이션 프로토콜(Wireless Application Protocol: 이하, "WAP" 이라 약칭한다) 포럼(Forum)에서 규정한 대로 무선 전송 계층 보안(Wireless Transport Layer Security : 이하 "WTLS"로 약칭한다)프로토콜과 무선 마크업 랭귀지 스크립트 메시지 서명 함수(Wireless Markup Language Script SignText)를 사용하는 무선 공개키 기반 구조(Wireless Public Key Infrastructure : 이하, "WPKI"로 약칭한다)를 통해 달성할 수 있다. 그러나, WTLS은 WAP의 게이트 웨이에서 복호화됨으로인하여 종단간의 암호화를 해결하지 못하는 문제점이 있었다. 따라서, 전송계층에서 암호화가 아닌 응용계층에서 암호화를 수행하는 다양한 솔루션이 제시되어 있으며, 이에 따라 WTLS을 사용하는 경우가 적은 실정이다.In general, information protection services in a certificate-based wireless environment are referred to as the Wireless Application Protocol (hereinafter referred to as "WAP") Forum. Through the Wireless Public Key Infrastructure (hereinafter abbreviated as "WPKI") using protocols and Wireless Markup Language Script SignText. Can be achieved. However, there is a problem that WTLS cannot solve end-to-end encryption because it is decrypted at the gateway of WAP. Therefore, various solutions for performing encryption at the application layer instead of encryption at the transport layer have been proposed. Accordingly, there are few cases in which WTLS is used.
한편, WPKI에서 WTLS를 사용하지 않는 방법으로는 크게 응용계층을 암호화하는 방법, 인증 솔루션을 사용하는 방법 및 암호화 솔루션을 사용하지 않는 방법으로 나눌 수 있다. 여기서, 상기 응용 계층을 암호화하는 방법의 경우에는 아직 표준화가 완료되지 않았고 국내에서도 사용되고 있는 솔루션도 여러 가지이므로 특정 암호화 솔루션을 사용한 WPKI를 개발하는데는 무리가 있다. 또한, 암호화 솔루션을 사용하지 않은 방법은 암호화가 필요한 보안성 요소에 대해 암호화의 필요성을 없애는 것이다.On the other hand, the WPKI does not use the WTLS can be classified into the application layer encryption method, the authentication solution method and the encryption solution method. Here, in the case of the method of encrypting the application layer, the standardization has not been completed yet, and there are various solutions that are used in Korea. Therefore, it is difficult to develop a WPKI using a specific encryption solution. In addition, the way the encryption solution is not used eliminates the need for encryption for security elements that require encryption.
즉, WTLS는 종단간 정보 보호를 할 수 없다는 구조적인 문제점과 단말기의 탑재에 어려움이 많아 무선 환경에서 정보 보호 서비스를 수행하기 어려운 문제점이 있었다.That is, the WTLS has a problem that it is difficult to perform information protection service in a wireless environment because there is a structural problem that can not end-to-end information protection and a lot of difficulty in mounting the terminal.
이에 본 발명은, 상기와 같은 단점을 해결하기 위해 제안된 것으로, 실제 적용하지 않은 무선 전송 계층 보안(WTLS)을 사용하지 않고 무선 마크업 랭귀지 스크립트 메시지 서명 함수(Wireless Markup Language Script SignText)와 같은 메시지 서명기능으로 무선 공개키 구조(WPKI)에서 인증서를 발급받기 위한 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치 및 그 방법과 그를 이용한 인증서 발급시스템 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함을 그 목적으로 한다.Accordingly, the present invention has been proposed to solve the above disadvantages, and does not use wireless transport layer security (WTLS), which is not actually applied, such as a message such as a wireless markup language script signtext. A certificate issuing request / processing device in a wireless public key infrastructure for issuing a certificate in a wireless public key structure (WPKI) with a signature function, a method for issuing a certificate using the same, and a program for realizing the method. Its purpose is to provide a readable recording medium.
도 1은 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 시스템에 대한 일실시예 구성도.1 is a configuration diagram of an embodiment of a certificate issuing system in a wireless public key infrastructure according to the present invention.
도 2는 도 1에 도시된 무선 공개키 기반 구조에서의 인증서 발급 시스템의 일실시예 상세 구성도.2 is a detailed configuration diagram of an embodiment of a certificate issuing system in the wireless public key infrastructure shown in FIG.
도 3은 도 2에 도시된 인증 요청 메시지 처리 모듈의 일실시예 상세 구성도.3 is a detailed block diagram of an embodiment of an authentication request message processing module shown in FIG. 2;
도 4는 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 요청 방법에 대한 일실시예 흐름도.4 is a flowchart illustrating a method for requesting issuance of a certificate in a wireless public key infrastructure according to the present invention.
도 5는 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 처리 방법에 대한 일실시예 흐름도.5 is a flowchart illustrating a method for processing a certificate issue in a wireless public key infrastructure according to the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of Symbols for Main Parts of Drawings>
100 : 인증서 발급 요청 장치 110 : 초기 정보 입력/생성 및 제공 모듈100: certificate issuing request device 110: initial information input / generation and provision module
120 : 인증 요청 메시지 생성 모듈 130 : 인증 요청 메시지 서명 모듈120: authentication request message generation module 130: certificate request message signing module
140 : 인증 요청 제어 모듈 200 : 인증서 발급 처리 장치140: authentication request control module 200: certificate issuing processing device
210 : 인증 요청 메시지 서명 검증 모듈210: certificate request message signature verification module
220 : 인증 요청 메시지 처리 모듈220: authentication request message processing module
상기와 같은 목적을 달성하기 위한 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 시스템에 있어서, 사용자의 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서 및 서명용 비밀키를 생성하고, 사용자의 아이디(ID), 비밀번호 및 서명용 공개키에 의해 생성된 인증 요청 메시지를 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 전송하기 위한 적어도 하나의 인증서 발급 요청 수단; 및 상기 적어도 하나의 인증서 발급 요청 수단으로부터 전송받은 인증 요청 메시지의 서명 확인으로 서명용 비밀키 소유확인 정보를 추출하고, 서명 확인된 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키 및 메시지 인증 코드(MAC : Message Authentication Code) 값을 추출하여 인증서를 발급하기 위한 인증서 발급 처리 수단을 포함한다.The present invention for achieving the above object, in the certificate issuing system in the wireless public key infrastructure, receives the user's ID (ID) and password to generate a public key for signature, a signature certificate and a signature secret key, At least one certificate issuing requesting means for signing and transmitting a certificate request message generated by a user's ID, a password, and a signing public key using a signing certificate and a signing secret key; And extracting signature secret key ownership verification information by signature verification of the authentication request message received from the at least one certificate issuing request means, analyzing the signature verification request message, and analyzing the user's ID, signature public key, and message. Certificate issuance processing means for issuing a certificate by extracting an authentication code (MAC) value.
또한, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 시스템에 있어서, 사용자의 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서, 서명용 비밀키 및 키 관리용 인증 정보를 생성하고, 사용자의 아이디(ID), 비밀번호, 서명용 공개키 및 키 관리용 인증 정보에 의해 생성된 인증 요청 메시지를 서명용 인증서 및 서명용 비밀키를 이용하여 서명하여 전송하기 위한 적어도 하나의 인증서 발급 요청 수단; 및 상기 적어도 하나의 인증서 발급 요청 수단으로부터 전송받은 인증 메시지의 서명을 확인하여 서명용 비밀키 소유확인 정보를 추출하고, 서명 확인된 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키, 메시지 인증 코드(MAC : Message Authentication Code) 값 및 키 관리용 인증 정보를 추출하여 인증서를 발급하기 위한 인증서 발급 처리 수단을 포함한다.In addition, the present invention, in the certificate issuing system in the wireless public key infrastructure, receives the user's ID (ID) and password to generate a public key for signing, a signing certificate, a signing secret key and key management authentication information, At least one certificate issuing requesting means for signing and transmitting a certificate request message generated by a user ID (ID), a password, a signing public key, and key management authentication information using a signing certificate and a signing secret key; Verifying the signature of the authentication message received from the at least one certificate issuing requesting means, extracting signature private key ownership verification information, and analyzing the signature verification request message to analyze the user ID (ID), signature public key, and message; Certificate issuance processing means for issuing a certificate by extracting an authentication code (MAC) value and authentication information for key management.
한편, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 요청 장치에 있어서, 사용자의 인증 요청에 따라, 인증 요청 제어 신호를 출력하여 인증에 필요한 정보를 제공토록 하기 위한 인증 요청 제어 수단; 상기 인증 요청 제어 수단으로부터의 인증 요청 제어 신호에 따라, 사용자로부터 입력 및 생성된 사용자의 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서 및 서명용 비밀키를 생성하여 제공하기 위한 초기 정보 입력/생성 및 제공 수단; 상기 초기 정보 입력/생성 및 제공 수단으로부터 제공되는 사용자의 아이디(ID), 비밀번호 및 서명용 공개키를 이용하여 인증에 필요한 인증 요청 메시지를 생성하기 위한 제1 인증 요청 메시지 생성 수단; 및 상기 제1 인증 요청 메시지 생성 수단으로부터 생성된 인증 요청 메시지를 상기 초기 정보 입력/생성 및 제공 수단으로부터 제공된 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 요청하기 위한 인증 요청 메시지 서명 수단을 포함한다.On the other hand, the present invention, the certificate issuance request device in a wireless public key infrastructure, the authentication request control means for outputting the authentication request control signal to provide information required for authentication in accordance with the user's authentication request; Initial information input for generating and providing a signing public key, a signing certificate, and a signing secret key by receiving an ID and password of a user input and generated from a user according to an authentication request control signal from the authentication request control means. Generating and providing means; First authentication request message generating means for generating an authentication request message for authentication using an ID, a password, and a signature public key provided from the initial information input / generation and providing means; And an authentication request message signing means for signing and requesting an authentication request message generated from said first authentication request message generating means by using a signing certificate and a signing secret key provided from said initial information input / generation and providing means.
또한, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 요청 장치에 있어서, 사용자의 인증 요청에 따라, 인증 요청 제어 신호를 출력하여 인증에 필요한 정보를 제공토록 하기 위한 인증 요청 제어 수단; 상기 인증 요청 제어 수단으로부터의 인증 요청 제어 신호에 따라, 사용자로부터 입력 및 생성된 사용자의 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서, 서명용 비밀키 및 키 관리용 인증 정보를 생성하여 제공하기 위한 초기 정보 입력/생성 및 제공 수단; 상기 초기 정보 입력/생성 및 제공 수단으로부터 제공되는 사용자의 아이디(ID), 비밀번호, 서명용 공개키 및 키 관리용 인증 정보를 토대로 인증에 필요한 인증 요청 메시지를 생성하기 위한 제1 인증 요청 메시지 생성 수단; 및 상기 제1 인증 요청 메시지 생성 수단으로부터 생성된 인증 요청 메시지를 상기 초기 정보 입력/생성 및 제공 수단으로부터 제공된 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 인증을 요청하기 위한 인증 요청 메시지 서명 수단을 포함한다.In addition, the present invention provides a certificate issuing request apparatus in a wireless public key infrastructure, comprising: authentication request control means for outputting an authentication request control signal and providing information required for authentication according to an authentication request of a user; In response to the authentication request control signal from the authentication request control means, receiving a user ID (ID) and password input and generated from the user to generate a signing public key, signing certificate, signing secret key and key management authentication information Initial information input / generation and providing means for providing; First authentication request message generating means for generating an authentication request message for authentication based on the user's ID (ID), password, signing public key, and key management authentication information provided from the initial information input / generation and providing means; And authentication request message signing means for requesting authentication by signing an authentication request message generated from said first authentication request message generating means using a signing certificate and a signing secret key provided from said initial information input / generation and providing means. .
또한, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 처리 장치에 있어서, 수신된 인증 요청 메시지의 서명을 확인하여, 서명용 비밀키 소유확인 정보를 추출하기 위한 인증 요청 메시지 서명 검증 수단; 및 상기 인증 요청 메시지 서명 검증 수단으로부터 제공받은 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키 및 메시지 인증 코드(MAC : Message Authentication Code) 값을 추출하고, 상기 추출한 사용자의 아이디(ID)에 상응하는 비밀번호를 저장수단으로부터 추출하여 인증서를 발급하기 위한 인증 요청 메시지 처리 수단을 포함한다.In addition, the present invention provides a certificate issuing processing apparatus in a wireless public key infrastructure, comprising: authentication request message signature verification means for verifying a signature of a received authentication request message and extracting signature private key ownership verification information; And analyzing an authentication request message provided from the authentication request message signature verification means to extract a user ID (ID), a signing public key, and a message authentication code (MAC) value, and extract the ID of the user. Authentication request message processing means for issuing a certificate by extracting the password corresponding to the data from the storage means.
또한, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 처리 장치에 있어서, 수신된 인증 요청 메시지의 서명을 확인하여 서명용 비밀키 소유확인 정보를 추출하기 위한 인증 요청 메시지 서명 검증 수단; 및 상기 인증 요청 메시지 서명 검증 수단으로부터 제공받은 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키, 메시지 인증 코드(MAC : Message Authentication Code) 값 및 키 관리용 인증 정보를 추출하고, 저장수단으로부터 추출하여 획득한 상기 사용자의 아이디(ID)에 상응하는 비밀번호와 키 관리용 인증정보에서 추출된 키 관리용 공개키를 이용하여 인증서를 발급하기 위한 인증 요청 메시지 처리 수단을 포함한다.In addition, the present invention provides a certificate issuing processing apparatus in a wireless public key infrastructure, comprising: authentication request message signature verification means for verifying a signature of a received authentication request message and extracting private key ownership verification information for signature; And analyzing an authentication request message provided from the authentication request message signature verification means, extracting and storing a user's ID, a signature public key, a message authentication code (MAC) value, and authentication information for key management. And an authentication request message processing means for issuing a certificate by using a password corresponding to the user ID extracted from the means and a public key for key management extracted from the key management authentication information.
한편, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 요청 장치에 적용되는 인증서 발급 요청 방법에 있어서, 입력된 인증 요구에 따라 사용자로부터 사용자 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서 및 서명용 비밀키를 생성하는 제 1 단계; 상기 사용자의 아이디(ID), 비밀번호, 서명용 공개키 및 키 관리용 인증정보를 토대로 비밀 번호 기반 메시지 인증 코드(MAC) 값을 추출하여 인증 요청 메시지를 생성하는 제 2 단계; 및 상기 인증 요청 메시지를 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 인증을 요청하는 제 3 단계를 포함한다.On the other hand, the present invention, in the certificate issuing request method applied to the certificate issuing request device in the wireless public key infrastructure, receiving a user ID (ID) and password from the user in accordance with the input authentication request, the signing public key, for signature A first step of generating a certificate and a secret key for signing; A second step of extracting a password-based message authentication code (MAC) value based on the user ID (ID), password, signing public key, and key management authentication information to generate an authentication request message; And a third step of requesting authentication by signing the authentication request message using a signing certificate and a signing secret key.
또한, 본 발명은, 무선 공개키 기반 구조에서의 인증서 발급 처리 장치에 적용되는 인증서 발급 처리 방법에 있어서, 서명 확인된 인증 요청 메시지를 분석하여 사용자 아이디, 서명용 공개키 및 MAC 값을 추출한 후에 상기 사용자 아이디에 상응하는 비밀번호를 저장수단으로부터 추출하여 비밀 번호 기반의 메시지 인증 코드(MAC) 값을 생성하고, 상기 생성된 메시지 인증 코드(MAC) 값을 검증하는 제 1 단계; 키 관리용 인증 정보가 입력되는지를 판단하는 제 2 단계; 상기 제 2 단계의 판단 결과, 키 관리용 인증 정보가 입력될 경우 키 관리용 인증 정보에서 추출한 키 관리용 비밀키 보유 증명 정보에 대한 확인을 수행한 후, 키 관리용 인증정보에서 추출한 키 관리용 공개키와 상기 서명용 사용자 아이디와 서명용 공개키를 이용하여 인증서를 발급하는 제 3 단계; 및 상기 제 2 단계의 판단 결과, 키 관리용 인증 정보가 입력되지 않을 경우에는 상기 사용자 아이디와 서명용 공개키를 이용하여 인증서를 발급하는 제 4 단계를 포함한다.In addition, the present invention, in the certificate issuing processing method applied to the certificate issuing processing device in the wireless public key infrastructure, after analyzing the signature verification request message to extract the user ID, signature public key and MAC value after the user Extracting a password corresponding to the ID from the storage means to generate a password-based message authentication code (MAC) value, and verifying the generated message authentication code (MAC) value; A second step of determining whether key management authentication information is input; As a result of the determination in the second step, when the key management authentication information is input, after confirming the key management secret key authentication information extracted from the key management authentication information, the key management authentication extracted from the key management authentication information is performed. A third step of issuing a certificate using a public key, the signing user ID, and a signing public key; And a fourth step of issuing a certificate using the user ID and the signing public key when the key management authentication information is not input as a result of the determination in the second step.
한편, 본 발명은, 인증서 발급을 요청하기 위하여, 프로세서를 구비한 인증서 발급 요청 장치에, 입력된 인증 요구에 따라 사용자로부터 사용자 아이디(ID) 및 비밀번호를 입력받아 서명용 공개키, 서명용 인증서 및 서명용 비밀키를 생성하는 제 1 기능; 상기 사용자의 아이디(ID), 비밀번호, 서명용 공개키 및 키 관리용 인증정보를 토대로 비밀 번호 기반 메시지 인증 코드(MAC) 값을 추출하여 인증 요청 메시지를 생성하는 제 2 기능; 및 상기 인증 요청 메시지를 서명용 인증서 및 서명용 비밀키를 이용해 서명하여 인증을 요청하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention, in order to request a certificate issuance, by receiving a user ID (ID) and password from the user in accordance with the input authentication request to the certificate issuing request device having a processor, the signing public key, the signing certificate and the signing secret A first function of generating a key; A second function of extracting a password-based message authentication code (MAC) value based on the user ID (ID), password, signing public key, and key management authentication information to generate an authentication request message; And a computer-readable recording medium having recorded thereon a program for realizing a third function of requesting authentication by signing the authentication request message with a signing certificate and a signing secret key.
또한, 본 발명은, 인증서 발급 요청을 처리하기 위하여, 프로세서를 구비한 인증서 발급 처리 장치에, 서명 확인된 인증 요청 메시지를 분석하여 사용자 아이디, 서명용 공개키 및 MAC 값을 추출한 후에 상기 사용자 아이디에 상응하는 비밀번호를 저장수단으로부터 추출하여 비밀 번호 기반의 메시지 인증 코드(MAC) 값을 생성하고, 상기 생성된 메시지 인증 코드(MAC) 값을 검증하는 제 1 기능; 키 관리용 인증 정보가 입력되는지를 판단하는 제 2 기능; 상기 제 2 기능의 판단 결과, 키 관리용 인증 정보가 입력될 경우 키 관리용 인증 정보에서 추출한 키 관리용 비밀키 보유 증명 정보에 대한 확인을 수행한 후, 키 관리용 인증정보에서 추출한 키 관리용 공개키와 상기 서명용 사용자 아이디와 서명용 공개키를 이용하여 인증서를 발급하는 제 3 기능; 및 상기 제 2 기능의 판단 결과, 키 관리용 인증 정보가 입력되지 않을 경우에는 상기 사용자 아이디와 서명용 공개키를 이용하여 인증서를 발급하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention, in order to process the certificate issuance request, the certificate issuance processing apparatus equipped with a processor, after analyzing the signature verification authentication request message to extract the user ID, signature public key and MAC value corresponding to the user ID Extracting a password from a storage means to generate a password-based message authentication code (MAC) value, and verifying the generated message authentication code (MAC) value; A second function of determining whether key management authentication information is input; As a result of the determination of the second function, when the key management authentication information is input, after checking the key management secret key authentication information extracted from the key management authentication information, the key management authentication extracted from the key management authentication information is performed. A third function of issuing a certificate using a public key, the signing user ID, and a signing public key; And a computer-readable recording recording program for realizing a fourth function for issuing a certificate by using the user ID and a signing public key when the key management authentication information is not input as a result of the determination of the second function. Provide the medium.
여기서 상술된 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The objects, features and advantages described above will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
먼저, 본 발명에 이해를 돕고자 인증서 발급 요청 및 처리에 관련된 용어에 대해 간략히 살펴보면 다음과 같다.First, the terms related to the certificate issuance request and processing to help understand the present invention will be briefly described as follows.
서명용 비밀키는 전자 서명에 사용될 수 있는 공개키 암호 기술에 기반한 비밀키이다.The signing secret key is a secret key based on public key cryptography that can be used for digital signatures.
서명용 공개키는 전자 서명에 사용될 수 있는 공개키 암호 기술에 기반한 비밀키에 상응하는 공개키이다.The signing public key is a public key that corresponds to a secret key based on a public key cryptographic technology that can be used for digital signatures.
서명용 인증서는 서명용 공개키, 공개키 사용자의 아이디(ID) 및 기타 정보와 이에 대한 발급자의 서명을 담고 있는 자료 구조이다.The signing certificate is a data structure containing the signing public key, the identity of the public key user and other information, and the issuer's signature on it.
키 관리용 비밀키는 공개키 암호 기술에 기반하여 비밀키 교환에 사용될 수 있는 비밀키이다.A secret key for key management is a secret key that can be used for secret key exchange based on public key cryptography.
키 관리용 공개키는 공개키 암호 기술에 기반하여 비밀키 교환에 사용될 수 있는 비밀키에 상응하는 공개키이다.The public key for key management is a public key corresponding to a secret key that can be used for secret key exchange based on public key cryptography.
키 관리용 비밀키 보유 확인 정보는 인증서 발급 요청자가 인증서 발급 요청시 제출한 공개키에 상응하는 비밀키를 보유하고 있음을 증명하는 정보이다.The private key holding confirmation information for key management is information that proves that the certificate issuing requester has a private key corresponding to the public key submitted in the certificate issuing request.
도 1은 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 시스템에 대한 일실시예 구성도이다.1 is a diagram illustrating an embodiment of a certificate issuing system in a wireless public key infrastructure according to the present invention.
도 1에 도시된 바와 같이, 인증서 발급 시스템은 적어도 하나 이상의 인증서 발급 요청 장치(100) 및 인증서 발급 처리 장치(200)를 포함하며, 상기 인증서 발급 요청 장치(100) 및 인증서 발급 처리 장치(200)는 무선 네트워크(150)를 통해 연결된다.As shown in FIG. 1, the certificate issuing system includes at least one certificate issuing request device 100 and a certificate issuing processing device 200, and the certificate issuing request device 100 and the certificate issuing processing device 200. Is connected via a wireless network 150.
여기서, 상기 인증서 발급 요청 장치(100)는 셀룰러 폰 혹은 PCS(Personal Communication System) 폰 등과 같은 무선 통신 단말기, IMT-2000(International Mobile Telecommunication Service) 등과 같은 차세대 무선 통신 단말기에 탑재되어 사용될 수 있다.The certificate issuing request device 100 may be mounted and used in a wireless communication terminal such as a cellular phone or a personal communication system (PCS) phone, or a next generation wireless communication terminal such as an International Mobile Telecommunication Service (IMT-2000).
상기 인증서 발급 요청 장치(100)는 사용자의 아이디(ID), 비밀번호, 서명용공개키 및 서명용 인증서 등을 이용하여 인증 요청 메시지를 서명하여 무선 네트워크(150)를 통해 인증서 발급 처리 장치(200)에 전송한다. 상기 인증서 발급 처리 장치(200)는 무선 네트워크(150)를 통해 입력되는 인증서 발급 요청 장치의 서명된 인증 요청 메시지를 검증하여 처리한다.The certificate issuing request device 100 signs an authentication request message using a user ID (ID), a password, a signing public key, and a signing certificate, and transmits the certificate request message to the certificate issuing processing device 200 through the wireless network 150. do. The certificate issuing processing device 200 verifies and processes the signed authentication request message of the certificate issuing request device input through the wireless network 150.
도 2는 도 1에 도시된 무선 공개키 기반 구조에서의 인증서 발급 시스템의 일실시예 상세 구성도이다.FIG. 2 is a detailed configuration diagram of an embodiment of a certificate issuing system in the wireless public key infrastructure shown in FIG. 1.
도 2에 도시된 바와 같이, 상기 인증서 발급 요청 장치(100)는 구체적으로 초기 정보 입력/생성 및 제공 모듈(110), 인증 요청 메시지 생성 모듈(120), 인증 요청 메시지 서명 모듈(130) 및 인증 요청 제어 모듈(140)을 포함한다.As shown in FIG. 2, the certificate issuing request device 100 may include an initial information input / generation and providing module 110, an authentication request message generating module 120, an authentication request message signing module 130, and an authentication. Request control module 140.
그리고, 상기 인증 요청 메시지 생성 모듈(120)은 비밀번호 기반 MAC 생성기(121) 및 인증 요청 메시지 생성기(122)를 포함한다.In addition, the authentication request message generating module 120 includes a password-based MAC generator 121 and an authentication request message generator 122.
상기 초기 정보 입력/생성 및 제공 모듈(110)은 사용자의 아이디(ID), 비밀번호, 서명용 공개키, 서명용 인증서 및 비밀키 등의 초기 정보를 인증 요청 메시지 생성 모듈(120)로 제공한다. 그리고, 상기 초기 정보 입력/생성 및 제공 모듈(110)은 키 관리용 인증 정보인 초기 정보를 인증 요청 제어 모듈(140)의 제어에 따라 선택적으로 인증 요청 메시지 생성 모듈(120)에 제공한다.The initial information input / generation and provision module 110 provides the authentication request message generation module 120 with initial information such as a user's ID, password, signing public key, signing certificate, and secret key. In addition, the initial information input / generation and providing module 110 selectively provides initial information, which is authentication information for key management, to the authentication request message generating module 120 under the control of the authentication request control module 140.
상기 초기 정보 입력/생성 및 제공 모듈(110)은 저장된 서명용 인증서 및 서명용 비밀키를 인증 요청 메시지 서명 모듈(130)로 제공한다.The initial information input / generation and provision module 110 provides the stored signing certificate and the signing secret key to the authentication request message signing module 130.
여기서, 초기 정보 입력/생성 및 제공 모듈(110)에 저장된 키 관리용 인증 정보는 키 관리용 공개키와 이에 대한 비밀키 및 키 관리용 비밀키 보유 증명 정보로 이루어져, 인증 요청 메시지 생성 모듈(120)로 제공된다. 상기 키 관리용 인증 정보는 무선 전송 계층 보안(WTLS : Wireless Transport Layer Security), 소켓 계층 보안(SSL : Secure Socket Layer) 및 전송 계층 보안(TLS : Transport Layer Security) 등의 세션키 교환, 채널 암호화, 메시지 암호화 솔루션에서 사용되는 키 분배, 키 합치 및 사용자 인증에 사용된다.Here, the authentication information for key management stored in the initial information input / generation and provision module 110 is composed of a public key for key management, a secret key for the secret key and the secret key for the key management, and the authentication request message generation module 120. Is provided. The key management authentication information may include session key exchange, channel encryption, such as wireless transport layer security (WTLS), secure socket layer (SSL), and transport layer security (TLS). Used for key distribution, key matching, and user authentication used in message encryption solutions.
상기 인증 요청 메시지 생성 모듈(120)은 초기 정보 입력/생성 및 제공 모듈(110)에서 제공받은 초기 정보(사용자의 아이디(ID), 비밀번호 및 서명용 공개키) 및 키 관리용 인증 정보를 이용하여 인증 요청 메시지를 생성하여 인증 요청 메시지 서명 모듈(130)로 제공한다.The authentication request message generating module 120 authenticates using initial information (ID, password, and signing public key of the user) and key management authentication information provided from the initial information input / generation and provision module 110. A request message is generated and provided to the authentication request message signature module 130.
여기서, 상기 인증 요청 메시지 생성 모듈(120)은 입력되는 초기 정보에 따라 인증 요청 메시지를 생성하는데, 키 관리용 인증 정보가 입력되지 않을 경우에는 사용자의 아이디(ID), 비밀번호 및 서명용 공개키를 포함하는 인증 요청 메시지를 생성할 수 있다.Here, the authentication request message generating module 120 generates an authentication request message according to the initial information inputted, and when the authentication information for key management is not input, the authentication request message generating module 120 includes a user ID (ID), a password, and a public key for signature. An authentication request message may be generated.
즉, 상기 인증 요청 메시지 생성 모듈(120)의 비밀번호 기반 MAC 생성기(121)는 입력된 사용자의 아이디(ID), 비밀번호 및 서명용 공개키로 메시지 인증 코드(Message Authentication Code : 이하 "MAC"이라 약칭한다) 값을 생성하고, 이 생성된 MAC 값을 다른 정보들과 함께 인증 요청 메시지 생성기(122)로 전달한다. 그러면, 상기 인증 요청 메시지 생성기(122)는 전달받은 MAC 값과 다른 정보를 이용하여 인증 요청 메시지를 생성하여 인증 요청 메시지 서명 모듈(130)로 제공한다.That is, the password-based MAC generator 121 of the authentication request message generating module 120 uses a message authentication code (hereinafter, abbreviated as "MAC") as an input user ID (ID), password, and public key for signature. Generates a value, and passes the generated MAC value along with other information to the authentication request message generator 122. Then, the authentication request message generator 122 generates an authentication request message using information different from the received MAC value and provides it to the authentication request message signing module 130.
상기 인증 요청 메시지 서명 모듈(130)은 인증 요청 메시지 생성 모듈(120)에서 제공되는 생성된 인증 요청 메시지를 상기 초기 정보 입력/생성 및 제공 모듈(110)에서의 서명용 인증서 및 비밀키를 사용하여 서명하여 무선 네트워크(150)를 통해 인증서 발급 처리 장치(200)로 제공한다.The authentication request message signing module 130 signs the generated authentication request message provided by the authentication request message generating module 120 using a certificate and a private key for signing in the initial information input / generation and provision module 110. To provide the certificate issuing processing device 200 through the wireless network 150.
상기 인증서 발급 처리 장치(200)는 인증 요청 메시지 서명 검증 모듈(210) 및 인증 요청 메시지 처리 모듈(220)을 포함하고 있으며, 무선 네트워크(150)를 통해 수신된 서명 인증 요청 메시지는 인증 요청 메시지 서명 검증 모듈(210)로 제공된다. 또한, 상기 인증서 발급 처리 장치(200)는 상기 사용자의 아이디(ID)와 이 아이디에 상응하는 비밀번호(password) 등을 저장하기 위한 저장수단(일명 데이터 베이스, 도면에 도시되지 않음)을 포함한다. 여기서, 상기 사용자의 아이디(ID)와 비밀번호는 가입 시 사용자 등록 절차에 따라 인증서 발급 처리 장치(200)로부터 부여받은 것으로 저장수단 등에 저장된다.The certificate issuing processing device 200 includes an authentication request message signature verification module 210 and an authentication request message processing module 220, and the signature authentication request message received through the wireless network 150 signs an authentication request message. Provided to the verification module 210. In addition, the certificate issuing processing device 200 includes a storage means (also referred to as a database, not shown in the figure) for storing an ID (ID) of the user and a password corresponding to the ID. Here, the ID and password of the user are given from the certificate issuing processing apparatus 200 according to the user registration procedure at the time of subscription and are stored in the storage means.
상기 인증 요청 메시지 서명 검증 모듈(210)은 제공된 인증 요청 메시지의 서명을 확인하고, 서명 확인된 인증 요청 메시지와 함께 서명의 확인으로 추출된 서명용 비밀키 소유 확인 정보를 인증 요청 메시지 처리 모듈(220)로 제공한다.The authentication request message signature verification module 210 verifies the signature of the provided authentication request message, and verifies the signature secret key ownership verification information extracted by the verification of the signature together with the signature verification authentication request message. To provide.
상기 인증 요청 메시지 처리 모듈(220)은 인증 요청 메시지 서명 검증 모듈(210)에서 제공받은 인증 요청 메시지 및 서명용 비밀키 소유 확인 정보를 분석하여 사용자의 아이디(ID), MAC 값 및 서명용 공개키를 추출하고, 이 추출한 사용자의 아이디(ID)에 상응하는 비밀번호를 상기 저장수단으로부터 추출하여 사용자의 인증 확인을 완료한다.The authentication request message processing module 220 analyzes the authentication request message and signature secret key ownership verification information provided by the authentication request message signature verification module 210 and extracts the user ID (ID), MAC value, and signature public key. Then, the password corresponding to the extracted user ID (ID) is extracted from the storage means to complete the authentication confirmation of the user.
도 3은 도 2에 도시된 인증 요청 메시지 처리 모듈의 일실시예 상세 구성도이다.3 is a detailed block diagram of an embodiment of an authentication request message processing module illustrated in FIG. 2.
도 3에 도시된 바와 같이, 상기 인증 요청 메시지 처리 모듈은 인증 요청 메시지 분석기(221), 비밀번호 패치기(222), 비밀번호 기반 MAC 생성기(223), MAC 값 비교기(224), 인증 요청 메시지 처리기(225), 키 관리용 비밀키 소유 확인기(226)및 키 관리용 공개키 추출기(227)를 포함한다.As shown in FIG. 3, the authentication request message processing module includes an authentication request message analyzer 221, a password patcher 222, a password-based MAC generator 223, a MAC value comparator 224, and an authentication request message processor ( 225, a private key holder for key management 226, and a public key extractor 227 for key management.
상기 인증 요청 메시지 분석기(221)는 인증 요청 메시지 서명 검증 모듈(210)에서 제공되는 인증 요청 메시지를 분석하여 추출된 사용자 아이디(ID), MAC 값 및 서명용 공개키 중 사용자의 아이디(ID)를 비밀번호 패치기(222)에 제공하고, 서명용 공개키를 비밀번호 기반 MAC 생성기(223)에 제공하며, 추출된 MAC 값 을 MAC 값 비교기(224)에 제공한다.The authentication request message analyzer 221 analyzes the authentication request message provided by the authentication request message signature verification module 210 and passwords the user ID (ID) among the extracted user ID (ID), MAC value, and public key for signature. It provides the patcher 222, provides a public key for signature to the password-based MAC generator 223, and provides the extracted MAC value to the MAC value comparator 224.
상기 비밀번호 패치기(Password Fetcher, 222)는 인증 요청 메시지 분석기(221)에서 제공하는 사용자의 아이디(ID)에 상응하는 비밀번호를 상기 저장수단으로부터 추출하여 획득하고, 이 획득한 비밀번호를 비밀번호 기반 MAC 생성기(223)에 제공한다.The password fetcher 222 extracts and acquires a password corresponding to a user's ID provided from the authentication request message analyzer 221 from the storage means, and obtains the obtained password from a password-based MAC generator. Provided at 223.
상기 비밀번호 기반 MAC 생성기(223)는 상기 비밀번호 패치기(222)에서 제공된 비밀번호와 상기 인증 요청 메시지 분석기(221)에서 제공된 사용자의 아이디(ID) 및 서명용 공개키를 이용하여 비밀번호 기반의 MAC 값을 생성하여 이를 MAC 값 비교기(224)로 제공한다.The password-based MAC generator 223 generates a password-based MAC value by using the password provided by the password patcher 222 and the user ID (ID) and the public key for signature provided by the authentication request message analyzer 221. And provide it to the MAC value comparator 224.
상기 MAC 값 비교기(224)는 비밀번호 기반 MAC 생성기(223)에서 제공된 MAC 값과 인증 요청 메시지 분석기(221)에서 제공된 MAC 값을 비교하여, 두 MAC 값이 일치하면 사용자의 아이디(ID)와 서명용 공개키를 인증 요청 메시지 처리기(225)로 제공한다. 따라서, 상기 인증 요청 메시지 처리기(225)는 서명용 공개키를 이용해 서명용 인증서를 발급한다.The MAC value comparator 224 compares the MAC value provided by the password-based MAC generator 223 with the MAC value provided by the authentication request message analyzer 221, and if the two MAC values match, the user's ID and signature are published. Provide the key to the authentication request message processor 225. Accordingly, the authentication request message processor 225 issues a signing certificate using a signing public key.
한편, 상기 인증 요청 메시지 분석기(221)의 분석을 통해 인증 요청 메시지에 키 관리용 인증 정보가 포함될 경우에는 해당 키 관리용 인증 정보를 키 관리용비밀키 소유 확인기(226)로 제공한다. 상기 키 관리용 비밀키 소유 확인기(226)는 제공받은 키 관리용 인증 정보에 포함된 키 관리용 공개키를 이용하여 인증 정보에 포함된 서명값을 검증하고, 이 서명값의 검증이 정상적으로 수행되면 소유 확인 정보를 키 관리용 공개키 추출기(227)로 제공한다.On the other hand, when the authentication request message includes the key management authentication information through the analysis of the authentication request message analyzer 221, the corresponding key management authentication information is provided to the key management secret key ownership checker 226. The key management secret key ownership verification unit 226 verifies the signature value included in the authentication information by using the key management public key included in the provided key management authentication information, and verifies the signature value normally. When the ownership confirmation information is provided to the public key extractor 227 for key management.
상기 키 관리용 공개키 추출기(227)는 키 관리용 비밀키 소유 확인기(226)에서 제공되는 소유 확인 정보를 토대로 인증서 발급에 사용할 키 관리용 공개키를 추출하여 인증 요청 메시지 처리기(225)에 제공한다. 상기 인증 요청 메시지 처리기(225)는 MAC 값 비교기(224)에서 제공되는 사용자의 아이디(ID), 서명용 공개키를 이용하여 서명용 인증서를 발급하고, 키 관리용 공개키 추출기(225)에서 제공되는 키 관리용 공개키를 이용하여 키 관리용 인증서를 발급한다.The key management public key extractor 227 extracts a key management public key to be used for issuing a certificate based on the ownership verification information provided by the key management secret key ownership checker 226 to the authentication request message processor 225. to provide. The authentication request message processor 225 issues a certificate for signing using a user ID (ID) provided by the MAC value comparator 224 and a public key for signing, and a key provided by the public key extractor 225 for key management. Issue a key management certificate using the management public key.
도 4는 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 요청 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating a method for requesting issuance of a certificate in a wireless public key infrastructure according to the present invention.
도 4에 도시된 바와 같이, 사용자로부터 인증 요구가 입력되면(41), 인증 요청 제어 모듈(140)은 초기 정보 입력/생성 및 제공 모듈(110)에 저장된 서명용 인증서 및 서명용 비밀키를 인증 요청 메시지 서명 모듈(130)로, 사용자의 아이디(ID) 및 비밀번호를 비밀번호 기반 MAC 생성기(121)로, 그리고 서명용 공개키 및 사용자의 아이디(ID)를 인증 요청 메시지 생성기(122)로 각각 제공한다(42).As shown in FIG. 4, when an authentication request is input from a user (41), the authentication request control module 140 stores a signature certificate and a signature secret key stored in the initial information input / generation and provision module 110, and a certificate request message. The signature module 130 provides the user's ID and password to the password-based MAC generator 121 and the signature public key and the user's ID to the authentication request message generator 122 (42). ).
그러면, 비밀번호 기반 MAC 생성기(121)는 입력된 사용자의 아이디(ID), 비밀번호 및 서명용 공개키를 토대로 비밀번호를 기반으로 한 MAC 값을 생성하고, 이 생성된 MAC 값을 인증 요청 메시지 생성기(122)로 전송한다(43).Then, the password-based MAC generator 121 generates a MAC value based on a password based on the input user ID (ID), password, and public key for signature, and the authentication request message generator 122 generates the generated MAC value. To transmit (43).
이때, 상기 인증 요청 메시지 생성기(122)는 MAC 값을 전송받고, 초기 정보 입력/생성 및 제공모듈(110)로부터 키 관리용 인증 정보가 입력되는지를 판단한다(44).At this time, the authentication request message generator 122 receives the MAC value, and determines whether authentication information for key management is input from the initial information input / generation and providing module 110 (44).
상기 과정(44)에서 판단한 결과, 키 관리용 인증 정보가 입력될 경우에는 기 전송받은 MAC 값과 초기 정보 입력/생성 및 제공 모듈(110)로부터 제공된 사용자의 아이디(ID), 서명용 공개키 및 키 관리용 인증 정보를 포함한 인증 요청 메시지를 구성하여 인증 요청 메시지 서명 모듈(130)로 전송한다(45).As a result of the determination in the step 44, when the key management authentication information is input, the user's ID (ID), signature public key and key provided from the previously transmitted MAC value and initial information input / generation and provision module 110 are input. The authentication request message including the authentication information for management is configured and transmitted to the authentication request message signing module 130 (45).
따라서, 인증 요청 메시지 서명 모듈(130)에서는 MAC 값, 사용자의 아이디(ID), 서명용 공개키 및 키 관리용 인증정보를 포함한 인증 요청 메시지를 상기 초기 정보 입력/생성 및 제공 모듈(110)에서 제공받은 서명용 인증서 및 서명용 비밀키를 사용하여 서명하고, 이 서명된 인증 요청 메시지를 무선 네트워크(150)를 통해 인증서 발급 처리 장치로 전송한다(46).Accordingly, the authentication request message signing module 130 provides an authentication request message including a MAC value, a user's ID, a public key for signing, and authentication information for key management in the initial information input / generation and provision module 110. Signed using the received signing certificate and signing secret key, and transmits the signed certificate request message to the certificate issuing processing device via the wireless network 150 (46).
한편, 상기 과정(44)에서 판단 결과, 키 관리용 인증 정보가 입력되지 않을 경우에는 기 전송받은 MAC 값과 초기 정보 입력/생성 및 제공 모듈(110)로부터의 사용자의 아이디(ID) 및 서명용 공개키를 포함한 인증 요청 메시지를 구성하여 인증 요청 메시지 서명 모듈(130)로 전송한다(47).On the other hand, if it is determined in step 44 that the authentication information for key management is not input, the previously transmitted MAC value and initial information input / generation and the user's ID (ID) from the providing module 110 and the public for signature A certificate request message including a key is configured and transmitted to the certificate request message signing module 130 (47).
따라서, 인증 요청 메시지 서명 모듈(130)에서는 MAC 값과 사용자의 아이디(ID) 및 서명용 공개키인 인증 요청 메시지를 초기 정보 입력/생성 및 제공 모듈(110)에서 제공받은 서명용 인증서 및 비밀키를 사용하여 서명하고, 이 서명된 인증 요청 메시지를 인증서 발급 처리 장치로 전송한다(48).Therefore, the authentication request message signing module 130 uses the MAC certificate, the user's ID and the signing certificate and the secret key provided by the initial information input / generation and provision module 110 as the authentication request message. The signed certificate request message is transmitted to the certificate issuing processing device (48).
도 5는 본 발명에 따른 무선 공개키 기반 구조에서의 인증서 발급 처리 방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating a method for processing a certificate issue in a wireless public key infrastructure according to the present invention.
도 5에 도시된 바와 같이, 인증서 요청 처리 장치는 인증서 발급 요청 장치로부터 서명된 인증 요청 메시지를 수신하여 인증 요청 메시지 서명 검증 모듈(210)을 통해 서명을 확인하고, 서명 확인된 요청 메시지 정보와 함께 부가 정보를 인증 요청 메시지 분석기(221)로 전송한다(51).As shown in FIG. 5, the certificate request processing apparatus receives a signed authentication request message from the certificate issuing request apparatus, verifies a signature through the authentication request message signature verification module 210, and together with the signature verified request message information. The additional information is transmitted to the authentication request message analyzer 221 (51).
이때, 상기 인증 요청 메시지 분석기(221)는 전송받은 인증 요청 메시지를 분석하여 사용자의 아이디(ID), 서명용 공개키 및 MAC 값을 추출하고, 이 추출된 사용자의 아이디(ID)를 비밀번호 패치기(222)로 전송한다(52).At this time, the authentication request message analyzer 221 analyzes the received authentication request message to extract the user ID (ID), signature public key and MAC value, and extracts the user ID (ID) of the extracted user from the password patcher ( And transmits to 222.
그러면, 상기 비밀번호 패치기(222)는 전송받은 사용자의 아이디(ID)에 상응하는 비밀번호를 저장수단으로부터 추출하여 획득하고, 이 획득한 비밀번호와 함께 사용자의 아이디(ID)를 비밀번호 기반 MAC 생성기(223)로 전송한다(53). 그러면, 비밀번호 기반 MAC 생성기(53)는 전송받은 비밀번호와 사용자의 아이디(ID)를 상기 인증 요청 메시지 분석기(221)로부터 제공되는 서명용 공개키를 이용하여 MAC 값을 생성한 후(54), MAC 값 비교기(224)가 상기 생성된 MAC 값이 인증 요청 메시지 분석기(225)에서 제공된 MAC 값과 일치하는지를 판단한다(55).Then, the password patcher 222 extracts and obtains a password corresponding to the ID (ID) of the received user from the storage means, and obtains the ID (ID) of the user along with the obtained password. (53). Then, the password-based MAC generator 53 generates a MAC value using the signature public key provided from the authentication request message analyzer 221 using the received password and the user's ID (ID) (54). Comparator 224 determines whether the generated MAC value matches the MAC value provided by authentication request message analyzer 225 (55).
상기 과정(55)에서 판단한 결과, 두 MAC 값이 일치하지 않을 경우에는 인증 절차의 실패로 현재의 루프를 종료하고, 두 MAC 값이 일치할 경우에는 사용자의 아이디(ID) 및 서명용 공개키를 인증 요청 메시지 처리기(225)에 전송하고, 인증 요청 메시지 분석기(221)로부터 출력된 부가 정보의 분석으로 키 관리용 인증 정보가입력되는지를 판단한다(56).As a result of the determination in step 55, if the two MAC values do not match, the current loop ends due to the failure of the authentication procedure. If the two MAC values match, the user's ID and signature public key are authenticated. The processor transmits the request message processor 225 and determines whether the key management authentication information is input by analyzing the additional information output from the authentication request message analyzer 221 (56).
이때, 상기 과정(56)에서 판단 결과, 키 관리용 인증 정보가 입력된는 경우에는 입력된 키 관리용 인증 정보에 해당하는 비밀키의 소유 확인을 수행한 후, 키 관리용 인증 정보에 포함된 키 관리용 공개키를 추출하여 인증 요청 메시지 처리기(225)에 전송한다. 따라서, 상기 인증 요청 메시지 처리기(225)는 MAC 값 비교기(224)를 통해 전송된 사용자의 아이디(ID) 및 서명용 공개키와 함께 키 관리용 공개키를 이용하여 인증 요청 메시지를 처리한다(57).At this time, when the determination result in step 56, if the key management authentication information is input, after verifying the ownership of the secret key corresponding to the input key management authentication information, the key included in the key management authentication information The management public key is extracted and transmitted to the authentication request message processor 225. Accordingly, the authentication request message processor 225 processes the authentication request message using the key management public key together with the user ID (ID) and the signature public key transmitted through the MAC value comparator 224 (57). .
한편, 상기 과정(56)에서 판단 결과, 키 관리용 인증 정보가 입력되지 않을 경우에는 상기 인증 요청 메시지 처리기(225)는 사용자의 아이디와 서명용 공개키를 이용하여 인증 요청 메시지를 처리한다(58).On the other hand, if it is determined in step 56 that the authentication information for key management is not input, the authentication request message processor 225 processes the authentication request message using the user ID and the signing public key (58). .
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The method of the present invention as described above may be implemented as a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.).
이상에서 설명한 본 발명은 진술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 있어 명백할 것이다.The present invention described above is not limited to the stated embodiments and the accompanying drawings, and it is common in the art that various substitutions, modifications, and changes can be made without departing from the technical spirit of the present invention. It will be evident to those who have knowledge of.
상기와 같은 본 발명은, 무선 공개키 기반 구조에서 메시지 서명기능을 이용하여 인증서를 발급함으로써 종단간의 기밀성 확보와 실제 필드에 적용이 용이하며, 사용자의 무선 단말기에 쉽게 적용할 수 있으며, 응용레벨의 프로그램으로써 무선 인터넷 솔루션인 WAP과 ME를 모두 지원할 수 있기 때문에 효율적으로 무선 공개키 기반 구조를 구축할 수 있다.The present invention as described above, by issuing a certificate using a message signing function in the wireless public key infrastructure, it is easy to secure the end-to-end confidentiality and the actual field, can be easily applied to the user's wireless terminal, the application level The program can support both wireless Internet solutions, WAP and ME, effectively constructing a wireless public key infrastructure.
Claims (24)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0040971A KR100406525B1 (en) | 2001-07-09 | 2001-07-09 | Initial certification system for wireless public key infrastructure, and its method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0040971A KR100406525B1 (en) | 2001-07-09 | 2001-07-09 | Initial certification system for wireless public key infrastructure, and its method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20030005604A KR20030005604A (en) | 2003-01-23 |
| KR100406525B1 true KR100406525B1 (en) | 2003-11-22 |
Family
ID=27714078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2001-0040971A KR100406525B1 (en) | 2001-07-09 | 2001-07-09 | Initial certification system for wireless public key infrastructure, and its method |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100406525B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101388452B1 (en) | 2012-09-17 | 2014-04-23 | 주식회사 드림시큐리티 | Method of migrating certificate to mobile terminal using certificate transmission server based on one-time public information and apparatus using the same |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005101727A1 (en) * | 2004-04-15 | 2005-10-27 | Matsushita Electric Industrial Co., Ltd. | Communication device, communication system, and authentication method |
| KR102442280B1 (en) * | 2019-12-24 | 2022-09-13 | 한전케이디엔주식회사 | Security services providing method for distribution intelligence system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH118619A (en) * | 1997-06-18 | 1999-01-12 | Hitachi Ltd | Electronic certificate publication method and system therefor |
| KR20010048947A (en) * | 1999-11-30 | 2001-06-15 | 이계철 | Method for implementing simple trust-chain in pki which has multi-step |
| KR20020067223A (en) * | 2001-02-16 | 2002-08-22 | (주)케이사인 | Electronic Certificate Issuing and Delivery System using ID, Password Authentication Mechanism |
| KR20020095815A (en) * | 2001-06-15 | 2002-12-28 | (주) 비씨큐어 | System and Method for issuing an Electronic Identification Card based on Certificates |
-
2001
- 2001-07-09 KR KR10-2001-0040971A patent/KR100406525B1/en not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH118619A (en) * | 1997-06-18 | 1999-01-12 | Hitachi Ltd | Electronic certificate publication method and system therefor |
| KR20010048947A (en) * | 1999-11-30 | 2001-06-15 | 이계철 | Method for implementing simple trust-chain in pki which has multi-step |
| KR20020067223A (en) * | 2001-02-16 | 2002-08-22 | (주)케이사인 | Electronic Certificate Issuing and Delivery System using ID, Password Authentication Mechanism |
| KR20020095815A (en) * | 2001-06-15 | 2002-12-28 | (주) 비씨큐어 | System and Method for issuing an Electronic Identification Card based on Certificates |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101388452B1 (en) | 2012-09-17 | 2014-04-23 | 주식회사 드림시큐리티 | Method of migrating certificate to mobile terminal using certificate transmission server based on one-time public information and apparatus using the same |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20030005604A (en) | 2003-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102017578B (en) | Network helper for authentication between a token and verifiers | |
| US8438385B2 (en) | Method and apparatus for identity verification | |
| US20060126848A1 (en) | Key authentication/service system and method using one-time authentication code | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| US8274401B2 (en) | Secure data transfer in a communication system including portable meters | |
| EP1610202A1 (en) | Using a portable security token to facilitate public key certification for devices in a network | |
| CN111435913B (en) | Identity authentication method and device for terminal of Internet of things and storage medium | |
| EP0807911A2 (en) | Client/server protocol for proving authenticity | |
| KR20170043520A (en) | System and method for implementing a one-time-password using asymmetric cryptography | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| JP3362780B2 (en) | Authentication method in communication system, center device, recording medium storing authentication program | |
| CN106713279A (en) | Video terminal identity authentication system | |
| KR100723835B1 (en) | System for key authentication/service with one time authentication code and method therefor | |
| CN109981287A (en) | A kind of code signature method and its storage medium | |
| JP2001186122A (en) | Authentication system and authentication method | |
| KR20190031986A (en) | Apparatus for executing telebiometric authentication and apparatus for requesting the same | |
| KR100559958B1 (en) | System and Method for Intermediate of Authentication Tool Between Mobile Communication Terminal | |
| CN112383401B (en) | User name generation method and system for providing identity authentication service | |
| US20090319778A1 (en) | User authentication system and method without password | |
| CN113965425B (en) | Access method, device and equipment of Internet of things equipment and computer readable storage medium | |
| CN116112242B (en) | Unified safety authentication method and system for power regulation and control system | |
| CN112235276A (en) | Master-slave equipment interaction method, device, system, electronic equipment and computer medium | |
| Alsaid et al. | Preventing phishing attacks using trusted computing technology | |
| KR100406525B1 (en) | Initial certification system for wireless public key infrastructure, and its method | |
| CN115801287A (en) | Signature authentication method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121031 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20131024 Year of fee payment: 11 |
|
| LAPS | Lapse due to unpaid annual fee |