KR100731491B1 - 인증서 폐지목록 분산 관리 방법 - Google Patents

인증서 폐지목록 분산 관리 방법 Download PDF

Info

Publication number
KR100731491B1
KR100731491B1 KR1020000060053A KR20000060053A KR100731491B1 KR 100731491 B1 KR100731491 B1 KR 100731491B1 KR 1020000060053 A KR1020000060053 A KR 1020000060053A KR 20000060053 A KR20000060053 A KR 20000060053A KR 100731491 B1 KR100731491 B1 KR 100731491B1
Authority
KR
South Korea
Prior art keywords
certificate
revocation list
certificate revocation
subscriber
crl
Prior art date
Application number
KR1020000060053A
Other languages
English (en)
Other versions
KR20020029216A (ko
Inventor
강경희
김선정
양성현
임영숙
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020000060053A priority Critical patent/KR100731491B1/ko
Priority to US09/735,921 priority patent/US6950934B2/en
Publication of KR20020029216A publication Critical patent/KR20020029216A/ko
Application granted granted Critical
Publication of KR100731491B1 publication Critical patent/KR100731491B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 분배점 메커니즘을 적용하여 인증서 폐지목록(CRL)을 효과적으로 분산 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 인증정책 설정 단계; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 CRL 분배점 구조체를 설정하여, 인증서를 발급하는 인증서 발급 단계; 상기 발급된 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 인증 단계; 및 인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 상기 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 인증서 폐지 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 인증서 폐지목록 분산 관리 시스템 등에 이용됨.
인증시스템, 인증서 폐지목록(CRL), 분배점(DP), 해쉬함수, 서브젝트 네임(SUBJECT_NAME)

Description

인증서 폐지목록 분산 관리 방법{Method for managing dispersion certificate revocation list}
도 1 은 일반적인 디렉토리 서버의 인증서 폐지목록 관리 구조에 대한 예시도.
도 2 는 도 1에 적용되는 사용자 단말 환경에서 인증서 폐지목록을 이용한 상대방 인증서의 유효성 검증 과정에 대한 상세 흐름도.
도 3a 및 도 3b 는 ITU-T X.509 표준문서에서, 인증서 폐지목록에 분배점을 적용하였을때, 사용하도록 정의한 데이터 구조체에 대한 예시도.
도 4 는 본 발명이 적용되는 공개키 기반 구조 보안 서비스 시스템에 대한 구성예시도.
도 5 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증정책 등록 과정에 대한 일실시예 흐름도.
도 6 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증서 발급 과정에 대한 일실시예 흐름도.
도 7 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 실제 서비스 환경에서의 상대방 인증서의 유효성 검증 과정에 대한 일실시예 흐름도.
도 8 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 특정 인증서 폐지 과정에 대한 일실시예 흐름도.
도 9 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법에 이용되는 디렉토리 서버의 인증서 폐지목록 관리 구조에 대한 예시도.
* 도면의 주요 부분에 대한 부호의 설명
41 : 인증기관(CA) 42 : 디렉토리 서버
43 : 사용자 단말
본 발명은 ITU-T(ITU-Telecommunication Standardization Sector) X.509에서 정의하고 있는 공개키 기반 구조(PKI : Public Key Infrastructure)의 보안 서비스 상에서 인증서 폐지목록(CRL : Certificate Revocation List)을 효과적으로 분산하여 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
공개키 기반 구조(PKI)는 인터넷과 같은 개방형 또는 분산형 정보통신망 환경에서 사용자 간에 주고받는 정보의 변경 여부를 확인하는 무결성, 사용자의 신분확인을 위한 인증, 사후 자신의 행위에 대한 부인방지 등에 필요한 공개키 암호방 식을 이용하는 보안서비스를 효과적으로 광범위하게 이용할 수 있도록 해주는 다수의 인증기관이 계층적으로 연결된 인증 메커니즘이라 할 수 있다.
PKI에 대한 또 다른 표현으로는, 미국 IBM 사가 "인증서의 발행, 검증, 갱신, 취소, 등록의 관리, 키관리, 관련 서비스를 제공하는 인증기관, 등록기관, 저장소들의 시스템"으로, 캐나다 정부는 "거래 당사자간에 안전한 전자거래와 중요정보의 교환을 가능케하는 암호키와 인증서 전달시스템"으로 정의하고 있다. 따라서, PKI는 무결성, 인증, 부인방지 등의 보안서비스 제공을 위한 인증서의 생성, 처리 폐지 등의 과정과 전자서면 생성과 확인에 필요한 비밀키, 공개키 등의 각종 키를 관리하는 하드웨어, 소프트웨어, 정책들의 집합으로 볼 수 있다. 향후, PKI가 전자상거래, 은행, 증권, 보험 등 서로 다른 응용 분야나 환경, 인증기관간, 그리고 국제간에서 효율적으로 이용되려면 공개키 암호방식, PKI 관리 및 운영, 인증서 관련 규격, 인증 정책, 상호인증 등의 분야에서 국내 및 국제 표준화는 반드시 필요하다.
한편, ITU-T X.509에서는 인증 기관이 가입자에게 발급해 주는 인증서 규격에 대해 버전1(version 1, 이하 V1이라 함), 버전 2(version 2, 이하 V2라 함) 및 버전 3(version 3, 이하 V3라 함)을 정의하고 있다. 따라서, 본 발명과 관련된 인증서 폐지목록의 분배점 정보 구조체는 V3에서 정의한 인증서의 확장필드(즉, 첨부된 도 3a 참조)와 인증서 폐지목록 V2의 확장 필드(즉, 첨부된 도 3b 참조)와 관련된다.
이와 같이, 인증서 폐지목록을 효과적으로 관리하기 위한 ITU-T X.509 표준 문서에는 사전에 인증서 폐지목록에 분배점을 적용하기 위해서 필요한 기본 정보들을 정의하고 있지만, 구체적으로 어떤 방식으로 인증서 폐지목록에 분배점 메커니즘을 적용할 것인가에 관해서는 정의되어 있지 않다. 여기서, 인증서 폐지목록에 분배점 메커니즘이 적용되지 않는 경우(도 1 참조)에 대한 일예를 도 2를 참조하여 상세히 살펴보면 다음과 같다.
도 2 는 도 1에 적용되는 사용자 단말 환경에서 인증서 폐지목록을 이용한 상대방 인증서의 유효성 검증 과정에 대한 상세 흐름도로서, 해당 가입자에게 적용하게 될 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정이 되었는지를 검증하는 과정을 나타낸 것이다.
도 2에 도시된 바와 같이, 상대방 인증서에 대한 유효성을 검증하기 위해서는 사용자 단말은 해당 가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)(이하, s라 칭함)을 입력받아(201) 상대방의 s를 사용하여 상대방 인증서에 관한 "LDAP_SEARCH" 구문을 작성한다(202).
이어서, 상기에서 작성된 구문을 사용하여 디렉토리 서버(204)로 상대방의 인증서를 요청하면(203) 디렉토리 서버(204)는 자신의 s를 이용하여 CRL에 관련된 "LDAP_SEARCH" 구문을 작성한다(205).
그리고, 작성된 구문을 사용하여 다시 디렉토리 서버로 CRL 파일을 전송할 것을 요청하면(206) 디렉토리 서버(204)는 전체 CRL 파일을 전달해준다(207).
그러면, 사용자 단말은 전달받은 CRL 파일을 기반으로 유효시간 범위를 체크하여(208), (205)과정에서 작성된 "LDAP_SEARCH" 구문을 이용해 상대방 인증서로부 터 인증서의 일련번호를 추출하고(209), 해당 일련번호가 CRL에 있는지를 확인하여(210), 해당 일련번호가 CRL에 없으면 상대방 인증서의 유효성을 보장하고(211) 해당 일련번호가 CRL에 있으면 상대방 인증서가 비유효함을 인정한다(212).
따라서, 상기와 같은 종래 기술에서는 인증시스템에서 특정 가입자에 대한 인증서를 발급할 때, 인증서를 구성하는 맨더터리(mandatory) 필드 중의 하나인 서브젝트(SUBJECT)를 해쉬함수의 입력 데이터로 정의하여 서브젝트(SUBJECT)에 대응하는 해쉬함수의 결과값을 도출하여 이를 CRL의 DP 기준점으로 사용할 수 있도록 하는 방안이 필수적으로 요구된다.
본 발명은, 상기한 바와 같은 요구에 부응하기 위하여 안출된 것으로, 분배점 메커니즘을 적용하여 인증서 폐지목록(CRL)을 효과적으로 분산 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
즉, 본 발명은, 인증시스템에서 발급하여 디렉토리 서버에서 상대방 인증서에 대한 유효성 정보를 담고 있는 인증서 폐기목록을 보안 서비스 사용자들이 효과적으로 검색할 수 있도록 하고, 디렉토리 서버로부터 사용자 단말환경으로 다운로드받는 CRL 파일 크기를 최소화시켜 보안서비스를 처리하는데 소요되는 시간을 줄이며, 특정 CRL 노드로의 집중적인 접근을 배제하여 N개의 CRL 노드에 균형(balance)있게 CRL 정보를 저장/관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명은, 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 인증정책 설정 단계; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 CRL 분배점 구조체를 설정하여, 인증서를 발급하는 인증서 발급 단계; 상기 발급된 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 인증 단계; 및 인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 상기 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 인증서 폐지 단계를 포함하여 이루어진 것을 특징으로 한다.
한편, 본 발명은, 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 인증시스템이 인증서를 구성하는 서브젝트 네임(즉, 인증서 발급을 신청한 객체의 이름)을 해쉬함수의 입력 데이터로 정의하는 인증정책 설정 단계; 및 상기 인증시스템이 상기 서브젝트 네임에 대응하는 상기 해쉬함수의 결과값을 도출하고, 이를 인증서 폐지목록의 분배점 기준으로 사용하여 인증서를 발급하는 인증서 발급 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 보안 서비스 사용자 단말 환경에서 상대방 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 인증 단계를 더 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 인증서 폐지 단계를 더 포함하여 이루어진 것을 특징으로 한다.
다른 한편, 본 발명은, 인증정책 설정을 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 인증시스템이 예상되는 가입자 수를 기반으로 상기 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의하는 단계; 가입자 인증서를 구성하는 기본 항목 중 서브젝트 네임(SUBJECT_NAME)을 해쉬함수의 입력값으로 정의하는 단계; 해쉬함수에 서브젝트 네임을 대입하여 얻을 수 있는 값의 최대값과 최소값의 차이를 상기 노드 수로 나누었을 때 얻어지는 값을 상기 인증서 폐지목록의 분배 구간 값으로 정의하는 단계; 및 상기 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(crl_dp_flag)을 설정하는 단계를 포함하여 이루어진 것을 특징으로 한다.
또 다른 한편, 본 발명은, 인증서 발급을 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 해당 가입자에게 적용될 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME)을 추출하는 단계; 상기 추출된 서브젝트 네임(SUBJECT_NAME)에 대한 해쉬값(Vtmp)을 추출하는 단계; 상기 추출된 해쉬값(Vtmp)에 따라 해쉬값이 포함되는 구간값(n)을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 상기 인증서 폐지목록의 DN(Distingushied Name)을 완성시키는 단계; 및 정해진 상기 인증서 폐지목록의 DN 정보와 상기 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 이용하여 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성하여, 인증서를 발급하는 단계를 포함하여 이루어진 것을 특징으로 한다.
또 다른 한편, 본 발명은, 인증서 폐지를 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서, 가입자에게 적용된 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 인증서 폐지를 요청한 가입자의 인증서를 데이터베이스(DB)에서 갱신하는 단계; 상기 갱신된 가입자 인증서로부터 CRL 분배점 구조체에 관한 정보를 추출하여 이름이 부여된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 검색하고, 검색된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 갱신하는 단계; 상기 갱신된 가입자 인증서에서 일련번호를 추출하고, 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하는 단계; 및 상기 갱신된 해당 인증서 폐지목록에 해당하는 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여 해당하는 인증서 폐지목록을 상기 디렉토리 서버에서 관리하는 DIT(Directory Information Tree)의 노드에 게시하는 단계를 포함하여 이루어진 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명은, 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에, 인증서 폐지목록(CRL)의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 기능; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 CRL 분배점 구조체를 설정하여, 인증서를 발급하는 기능; 상기 발급된 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 기능; 및 인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 상기 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
한편, 본 발명은, 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에, 인증시스템이 인증서를 구성하는 서브젝트 네임(즉, 인증서 발급을 신청한 객체의 이름)을 해쉬함수의 입력 데이터로 정의하는 기능; 및 상기 인증시스템이 상기 서브젝트 네임에 대응하는 상기 해쉬함수의 결과값을 도출하고, 이를 인증서 폐지목록의 분배점 기준으로 사용하여 인증서를 발급하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은, 인증시스템에서 발급하여 디렉토리 서버에서 상대방 인증서에 대한 유효성 정보를 담고 있는 인증서 폐기목록을 보안 서비스 사용자들이 효과적으로 검색할 수 있도록 하고, 디렉토리 서버로부터 사용자 단말환경으로 다운로드 받는 CRL 파일 크기를 최소화시켜 전송시간 단축과 그에 따른 가입자 단말 환경에서 보안서비스를 처리하는데 소요되는 시간을 최소화할 수 있는 방안을 제공하며, 디렉토리 서버 측면에서 특정 CRL 노드로의 집중적인 접근을 배제하여 N개의 CRL 노드에 균형(balance)있게 CRL 정보를 저장/관리하여 궁극적으로 인증서 폐지목록 사용에 따른 제반의 비용을 절감시키는 것을 특징으로 한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 4 는 본 발명이 적용되는 공개키 기반 구조(PKI : Public Key Infrastructure) 보안 서비스 시스템에 대한 구성예시도이다.
도 4에 도시된 바와 같이, 공개키 기반 구조(PKI : Public Key Infrastructure) 보안 서비스 시스템은, 가입자의 인증서 발급/폐지/재발급 업무를 수행하여 디렉토리 서버(42)로 인증서와 인증서 폐지목록을 게시/삭제하기 위한 인증기관(혹은 인증시스템, CA)(41)과, 인증기관(41)이 게시한 인증서/CRL을 서비스 가입자들이 참조할 수 있도록 해당 파일들을 관리하기 위한 디렉토리 서버(42)와, 인증기관(41)으로 사용자 인증서 발급/폐지를 요청하고, 서비스 처리시 디렉토리 서버(42)로 접근하여 상대방 인증서와 CRL을 다운로드받아 단말환경에서 보안 서비스를 처리하기 위한 사용자 단말(43)을 구비한다.
도 5 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증정책(CPS : Certificate Policy Statement) 등록 과정에 대한 일실시예 흐름도이다. 도 5에서는 인증 시스템에서 특정 가입자에 대한 인증서를 발급할 때, 인증서를 구성하는 Mandatory 필드 중의 하나인 SUBJECT(즉, 인증서 발급을 신청한 객체의 이름)를 해쉬함수(H())의 입력 데이터로 정의한다. 이후, 도 6에서는 SUBJECT에 대응하는 해쉬함수의 결과값을 도출하여 이를 CRL의 DP 기준점으로 사용한다.
도 5에 도시된 바와 같이, CA에서 CRL과 관련된 인증정책을 등록하기 위해서는, 먼저 인증시스템에서 예상되는 가입자 수를 기반으로 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree, 이하 DIT)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의한다(501). 여기서, N은 CA에서 관리하고자 하는 CRL 파일의 개수를 말하고, H()는 CA에서 사용할 해쉬함수를 말한다.
이어서, 가입자 인증서를 구성하는 기본 항목 중의 하나인 서브젝트 네임(SUBJECT_NAME, 이하 S라 함)을 (501)과정에서 정의한 해쉬함수의 입력값으로 정의한다(502).
이후, (501,502)과정을 통해 정의된 함수 및 변수값들을 이용하여 인증서 폐지목록의 분배 구간을 산출한다(503). 이를 수식으로 나타내면 다음의 [수학식1] 및 [수학식2]와 같다.
Figure 112000021428786-pat00001
Figure 112000021428786-pat00002
즉, [수학식1]과 같이 해쉬함수 H()에 S를 대입하여 얻을 수 있는 값을 V로 정의하였을 때, 최대치인 Vmax와 최소치인 Vmin간의 차이를 구하고, 이를 N으로 나누었을 때 얻어지는 값을 인증서 폐지목록의 분배구간값인 I로 정의한다.
그리고 나서, 인증서 폐지목록에 대한 인증정책 등록시, 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(예: crl_dp_flag)을 "yes"로 셋팅한 후(504), 기타 인증정책 등록을 진행한다(505).
도 6 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증서 발급 과정에 대한 일실시예 흐름도이다.
도 6에 도시된 바와 같이, CA에서 가입자의 인증서를 발급하기 위해서는 먼저 해당 가입자에게 적용될 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여(601) 이 내용이 설정되지 않았으면 그냥 스킵하고(602), 설정되었으면 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME), 즉 S를 추출한다(603).
이어서, 추출된 S에 대한 해쉬값, 즉 Vtmp를 추출한다(Vtmp=H(S))(604).
이후, (605)에서 (607)과정을 통해 (604)과정에서 얻어진 Vtmp가 포함되는 구간값을 추출한다. 이때, (608)에서 (610) 과정에서 인증서 폐지목록의 DN(Distingushied Name)체계를 OU(Organization Unit)는 CRLDP(n)으로, O(Organization)는 SECURITY로, C(Country)는 kr로 부여한다(608,609,610,611).
즉, (605)과정에서 (607)과정은 n값을 구하는 것이다. 또한, (608,609,610,611)과정은 (605)에서(607)과정을 통해 얻은 인증서 폐지목록의 구간값, 즉 n을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 인증서 폐지목록의 DN을 완성시키는 것이다.
이후, (608,609,610,611)과정을 통해서 정해진 인증서 폐지목록의 DN과 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 도 3a에 도시된 바와 같이, 분배점이름(DistributionPointName) 구조체를 구성하는 풀네임(fullName)과 CRL을 발급하는 CA의 이름(nameRelativeToCRLIssuer)에 채워, 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성시킨다(612).
도 7 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 실제 서비스 환경에서의 상대방 인증서의 유효성 검증 과정에 대한 일실시예 흐름도이다.
도 7에 도시된 바와 같이, 상대방 인증서에 대한 유효성을 검증하기 위해서는 먼저 응용프로그램이나 가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)을 입력받아(701) 상대방 인증서에 관한 "LDAP_SEARCH" 구문을 작성한다(702). 이어서, 상기에서 작성된 구문을 사용하여 디렉토리 서버(704)로 상대방의 인증서를 요청하면(703) 디렉토리 서버(704)는 s를 이용하여 다운로드 받은 상대방 인증서로부터 해당되는 도 3a에 도시된 CRL분배점(crlDistributionPoint) 정보를 추출한다(705).
그리고, 성공적으로 추출된 CRL분배점(crlDistributionPoint) 정보에서 풀네 임(fullname)을 추출하여 디렉토리 서버(704)로 CRL을 전송해줄 것을 요청하면(706) 디렉토리 서버(704)는 CRL분배점(crlDistributionPoint)에서 정의된 해당 DN의 이름이 부여된 CRL 파일을 전달해준다(707).
그러면, 사용자 단말은 전달받은 CRL 파일을 기반으로 유효시간 범위를 체크하여(708), (705)과정에서 추출된 CRL분배점(crlDistributionPoint) 정보를 이용해 상대방 인증서로부터 인증서의 일련번호를 추출하고(709), 해당 일련번호가 CRL에 있는지를 확인하여(710) 해당 일련번호가 CRL에 없으면 상대방 인증서의 유효성을 보장하고(711), 해당 일련번호가 CRL에 있으면 상대방 인증서가 비유효함을 인정한다(712).
도 8 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 특정 인증서 폐지 과정에 대한 일실시예 흐름도로서, 인증서 폐지목록의 분배점을 이용하여 적합한 인증서 폐지목록을 갱신하고, 그 내용을 디렉토리 서버에 적절하게 게시하는 과정에 대한 것이다.
도 8에 도시된 바와 같이, CA가 사용자의 인증서를 폐지하기 위해서는 먼저 해당 가입자에게 적용된 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여(801) 이 내용이 설정되지 않았으면 그냥 스킵하고(802), 설정되었으면 인증서 폐지를 요청한 가입자의 인증서를 인증시스템의 데이터베이스(DB)로부터 로드시킨다(803).
이어서, 로드된 가입자 인증서로부터 CRL분배점(crlDistributionPoint) 정보를 추출하고, 이로부터 다시 분배점(DistributionPoint) -> 분배점네임(DistributionPointName) -> 풀네임(fullName)을 추출한다(804). 그리고, 추출된 분배점(DistributionPoint) -> 분배점네임(DistributionPointName) -> 풀네임(fullName)의 이름이 부여된 인증서 폐지목록 파일을 해당 인증시스템 데이터베이스(806)를 통해 검색하고(805), 검색된 분배점(DistributionPoint) -> 분배점네임(DistributionPointName) -> 풀네임(fullName)의 이름이 부여된 인증서 폐지목록 파일을 해당 데이터베이스(806)를 통해 로드시킨다(807).
이후, (803)과정을 통해 로드된 가입자의 인증서에서 일련번호를 추출하고 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하고(808), (807)과정에서 로드된 해당 CRL에 해당 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여(809) 해당 CRL 파일을 디렉토리 서버에서 관리하는 DIT의 적정한 노드에 게시하도록 한다(810).
상기와 같이, 본 발명에 대한 인증서 폐지목록에 분배점 메커니즘을 적용하면 도 9에 나타낸 바와 같이 디렉토리 서버에 N개의 노드로 균형있게 분산 관리된다.
즉, 본 발명은 인증시스템에서 발급하여 디렉토리 서버로 개시하는 CRL에 효과적인 DP 메커니즘을 적용함으로써, 보안 서비스 사용자들이 디렉토리 서버에서 상대편 가입자의 인증서 유효 정보가 저장된 CRL을 효과적으로 검색하여 사용자 단말환경으로 다운로드받는 CRL 크기를 최소화시키고, 가입자 단말환경에서 보안을 시행하는데 걸리는 시간을 최소화시키며, N 개의 CRL 노드에 균형있게 CRL 정보를 저장 및 관리하여 특정 노드로의 집중적인 접근을 배제시킨다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 첫째로 보안 서비스 사용자 관점에서 보면 디렉토리 서버로부터 사용자 단말환경으로 다운로드받는 CRL의 크기가 적기 때문에, 상대방 인증서의 유효성을 검증하는 시간을 단축시킬 수 있고 사용자 단말환경에서 보안 서비스를 처리하는 시간을 단축시킬 수 있는 효과가 있다.
두번째로, 디렉토리 서버 관점에서 보면 한 개의 파일로 관리하던 CRL을 여러 파일, 즉 여러 노드로 균형(balance)있게 분산 관리할 수 있으므로 특정 CRL 노드로의 집중적인 접근을 배제할 수 있는 효과가 있다.
세번째로, 인증 시스템 관점에서 보면 DP 메커니즘은 CRL이 다수의 CRL로 분리되고 그 크기가 균일하기 때문에 인증시스템에서 관리하는 데이터베이스에서 효과적으로 관리할 수 있을 뿐만 아니라 다양한 포멧의 사용자 이름을 수용할 수 있는 효과가 있다.

Claims (18)

  1. 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL) 분산 관리 방법에 있어서,
    상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 인증정책 설정 단계;
    상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 CRL 분배점 구조체를 설정하여, 인증서를 발급하는 인증서 발급 단계;
    상기 발급된 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 인증 단계; 및
    인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 상기 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 인증서 폐지 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  2. 제 1 항에 있어서,
    상기 인증정책 설정 단계는,
    인증시스템이 예상되는 가입자 수를 기반으로 상기 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의하는 단계;
    가입자 인증서를 구성하는 기본 항목 중 서브젝트 네임(SUBJECT_NAME)을 해쉬함수의 입력값으로 정의하는 단계;
    해쉬함수에 서브젝트 네임을 대입하여 얻을 수 있는 값의 최대값과 최소값의 차이를 상기 노드 수로 나누었을 때 얻어지는 값을 상기 인증서 폐지목록의 분배 구간 값으로 정의하는 단계; 및
    상기 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(crl_dp_flag)을 설정하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  3. 제 1 항에 있어서,
    상기 인증서 발급 단계는,
    해당 가입자에게 적용될 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 설정되어 있지 않으면 스킵하고, 설정되어 있으면 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME)을 추출하는 단계;
    상기 추출된 서브젝트 네임(SUBJECT_NAME)에 대한 해쉬값(Vtmp)을 추출하는 단계;
    상기 추출된 해쉬값(Vtmp)에 따라 해쉬값이 포함되는 구간값(n)을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 상기 인증서 폐지목록의 DN(Distingushied Name)을 완성시키는 단계; 및
    정해진 상기 인증서 폐지목록의 DN 정보와 상기 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 이용하여 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성하여, 인증서를 발급하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 인증 단계는,
    가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)을 입력받아 상대방 인증서에 관한 구문을 작성하는 단계;
    상기 작성된 구문을 사용하여 디렉토리 서버로 상대방의 인증서를 요청하고, 요청에 따라 서브젝트 네임(SUBJECT_NAME)을 이용하여 다운로드받은 상대방 인증서로부터 해당 구조체에 관한 정보를 추출하는 단계;
    상기 추출된 정보를 이용하여 상기 디렉토리 서버로 상기 인증서 폐지목록의 전송을 요청하고, 요청에 따라 해당 DN의 이름이 부여된 상기 인증서 폐지목록을 전송받는 단계;
    전송받은 상기 인증서 폐지목록을 기반으로 유효시간 범위를 체크하여, 상대방 인증서로부터 인증서의 일련번호를 추출하는 단계; 및
    상기 추출된 일련번호가 상기 인증서 폐지목록에 있는지를 확인하여, 해당 일련번호가 상기 인증서 폐지목록에 없으면 상대방 인증서의 유효성을 보장하고, 해당 일련번호가 상기 인증서 폐지목록에 있으면 상대방 인증서가 비유효함을 인정하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  5. 제 4 항에 있어서,
    상기 인증서 폐지 단계는,
    가입자에게 적용된 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 설정되어 있지 않으면 스킵하고, 설정되어 있으면 인증서 폐지를 요청한 가입자의 인증서를 데이터베이스(DB)에서 갱신하는 단계;
    상기 갱신된 가입자 인증서로부터 CRL 분배점 구조체에 관한 정보를 추출하여 이름이 부여된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 검색하고, 검색된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 갱신하는 단계;
    상기 갱신된 가입자 인증서에서 일련번호를 추출하고, 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하는 단계; 및
    상기 갱신된 해당 인증서 폐지목록에 해당하는 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여 해당하는 인증서 폐지목록을 상기 디렉토리 서버에서 관리하는 DIT(Directory Information Tree)의 노드에 게시하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  6. 인증서 폐지목록(CRL) 분산 관리 방법에 있어서,
    인증시스템이 인증서를 구성하는 서브젝트 네임(즉, 인증서 발급을 신청한 객체의 이름)을 해쉬함수의 입력 데이터로 정의하는 인증정책 설정 단계; 및
    상기 인증시스템이 상기 서브젝트 네임에 대응하는 상기 해쉬함수의 결과값을 도출하고, 이를 인증서 폐지목록의 분배점 기준으로 사용하여 인증서를 발급하는 인증서 발급 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  7. 제 6 항에 있어서,
    상기 인증서 발급 단계에서는,
    인증정책 설정시 기 정의된 분배함수를 적용하여 가입자 인증서를 구성하는 CRL 분배점(crlDistributionPoint) 구조체를 설정하는 것을 특징으로 하는 인증서 폐지목록 분산 관리 방법.
  8. 제 7 항에 있어서,
    상기 인증정책 설정 단계는,
    상기 인증시스템이 예상되는 가입자 수를 기반으로 상기 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의하는 단계;
    가입자 인증서를 구성하는 기본 항목 중 서브젝트 네임(SUBJECT_NAME)을 해쉬함수의 입력값으로 정의하는 단계;
    해쉬함수에 서브젝트 네임을 대입하여 얻을 수 있는 값의 최대값과 최소값의 차이를 상기 노드 수로 나누었을 때 얻어지는 값을 상기 인증서 폐지목록의 분배 구간 값으로 정의하는 단계; 및
    상기 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(crl_dp_flag)을 설정하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  9. 제 8 항에 있어서,
    상기 인증서 발급 단계는,
    해당 가입자에게 적용될 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 설정되어 있지 않으면 스킵하고, 설정되어 있으면 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME)을 추출하는 단계;
    상기 추출된 서브젝트 네임(SUBJECT_NAME)에 대한 해쉬값(Vtmp)을 추출하는 단계;
    상기 추출된 해쉬값(Vtmp)에 따라 해쉬값이 포함되는 구간값(n)을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 상기 인증서 폐지목록의 DN(Distingushied Name)을 완성시키는 단계; 및
    정해진 상기 인증서 폐지목록의 DN 정보와 상기 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 이용하여 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성하여, 인증서를 발급하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  10. 제 6 항 내지 제 9 항 중 어느 한 항에 있어서,
    보안 서비스 사용자 단말 환경에서 상대방 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 인증 단계
    를 더 포함하는 인증서 폐지목록 분산 관리 방법.
  11. 제 10 항에 있어서,
    상기 인증 단계는,
    가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)을 입력받아 상대방 인증서에 관한 구문을 작성하는 단계;
    상기 작성된 구문을 사용하여 디렉토리 서버로 상대방의 인증서를 요청하고, 요청에 따라 서브젝트 네임(SUBJECT_NAME)을 이용하여 다운로드받은 상대방 인증서로부터 해당 구조체에 관한 정보를 추출하는 단계;
    상기 추출된 정보를 이용하여 상기 디렉토리 서버로 상기 인증서 폐지목록의 전송을 요청하고, 요청에 따라 해당 DN의 이름이 부여된 상기 인증서 폐지목록을 전송받는 단계;
    전송받은 상기 인증서 폐지목록을 기반으로 유효시간 범위를 체크하여, 상대방 인증서로부터 인증서의 일련번호를 추출하는 단계; 및
    상기 추출된 일련번호가 상기 인증서 폐지목록에 있는지를 확인하여, 해당 일련번호가 상기 인증서 폐지목록에 없으면 상대방 인증서의 유효성을 보장하고, 해당 일련번호가 상기 인증서 폐지목록에 있으면 상대방 인증서가 비유효함을 인정하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  12. 제 10 항에 있어서,
    인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 인증서 폐지 단계
    를 더 포함하는 인증서 폐지목록 분산 관리 방법.
  13. 제 12 항에 있어서,
    상기 인증서 폐지 단계는,
    가입자에게 적용된 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 설정되어 있지 않으면 스킵하고, 설정되어 있으면 인증서 폐지를 요청한 가입자의 인증서를 데이터베이스(DB)에서 갱신하는 단계;
    상기 갱신된 가입자 인증서로부터 CRL 분배점 구조체에 관한 정보를 추출하여 이름이 부여된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 검색하고, 검색된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 갱신하는 단계;
    상기 갱신된 가입자 인증서에서 일련번호를 추출하고, 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하는 단계; 및
    상기 갱신된 해당 인증서 폐지목록에 해당하는 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여 해당하는 인증서 폐지목록을 상기 디렉토리 서버에서 관리하는 DIT(Directory Information Tree)의 노드에 게시하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  14. 인증정책 설정을 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서,
    인증시스템이 예상되는 가입자 수를 기반으로 상기 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의하는 단계;
    가입자 인증서를 구성하는 기본 항목 중 서브젝트 네임(SUBJECT_NAME)을 해쉬함수의 입력값으로 정의하는 단계;
    해쉬함수에 서브젝트 네임을 대입하여 얻을 수 있는 값의 최대값과 최소값의 차이를 상기 노드 수로 나누었을 때 얻어지는 값을 상기 인증서 폐지목록의 분배 구간 값으로 정의하는 단계; 및
    상기 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(crl_dp_flag)을 설정하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  15. 인증서 발급을 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서,
    해당 가입자에게 적용될 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME)을 추출하는 단계;
    상기 추출된 서브젝트 네임(SUBJECT_NAME)에 대한 해쉬값(Vtmp)을 추출하는 단계;
    상기 추출된 해쉬값(Vtmp)에 따라 해쉬값이 포함되는 구간값(n)을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 상기 인증서 폐지목록의 DN(Distingushied Name)을 완성시키는 단계; 및
    정해진 상기 인증서 폐지목록의 DN 정보와 상기 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 이용하여 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성하여, 인증서를 발급하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  16. 인증서 폐지를 위한 인증서 폐지목록(CRL) 분산 관리 방법에 있어서,
    가입자에게 적용된 인증정책에서 상기 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)되었는지를 확인하여, 인증서 폐지를 요청한 가입자의 인증서를 데이터베이스(DB)에서 갱신하는 단계;
    상기 갱신된 가입자 인증서로부터 CRL 분배점 구조체에 관한 정보를 추출하여 이름이 부여된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 검색하고, 검색된 상기 인증서 폐지목록을 해당 데이터베이스를 통해 갱신하는 단계;
    상기 갱신된 가입자 인증서에서 일련번호를 추출하고, 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하는 단계; 및
    상기 갱신된 해당 인증서 폐지목록에 해당하는 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여 해당하는 인증서 폐지목록을 상기 디렉토리 서버에서 관리하는 DIT(Directory Information Tree)의 노드에 게시하는 단계
    를 포함하는 인증서 폐지목록 분산 관리 방법.
  17. 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에,
    인증서 폐지목록(CRL)의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 기능;
    상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 CRL 분배점 구조체를 설정하여, 인증서를 발급하는 기능;
    상기 발급된 인증서의 CRL 분배점 정보를 이용하여 해당 인증서의 유효성을 검증하는 기능; 및
    인증서 폐지시, 해당 인증서의 CRL 분배점 정보를 이용하여 상기 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  18. 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에,
    인증시스템이 인증서를 구성하는 서브젝트 네임(즉, 인증서 발급을 신청한 객체의 이름)을 해쉬함수의 입력 데이터로 정의하는 기능; 및
    상기 인증시스템이 상기 서브젝트 네임에 대응하는 상기 해쉬함수의 결과값을 도출하고, 이를 인증서 폐지목록의 분배점 기준으로 사용하여 인증서를 발급하는 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020000060053A 2000-10-12 2000-10-12 인증서 폐지목록 분산 관리 방법 KR100731491B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020000060053A KR100731491B1 (ko) 2000-10-12 2000-10-12 인증서 폐지목록 분산 관리 방법
US09/735,921 US6950934B2 (en) 2000-10-12 2000-12-14 Method for managing certificate revocation list by distributing it

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000060053A KR100731491B1 (ko) 2000-10-12 2000-10-12 인증서 폐지목록 분산 관리 방법

Publications (2)

Publication Number Publication Date
KR20020029216A KR20020029216A (ko) 2002-04-18
KR100731491B1 true KR100731491B1 (ko) 2007-06-21

Family

ID=19693160

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000060053A KR100731491B1 (ko) 2000-10-12 2000-10-12 인증서 폐지목록 분산 관리 방법

Country Status (2)

Country Link
US (1) US6950934B2 (ko)
KR (1) KR100731491B1 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020091782A1 (en) * 2001-01-09 2002-07-11 Benninghoff Charles F. Method for certifying and unifying delivery of electronic packages
GB2366141B (en) * 2001-02-08 2003-02-12 Ericsson Telefon Ab L M Authentication and authorisation based secure ip connections for terminals
US6970862B2 (en) * 2001-05-31 2005-11-29 Sun Microsystems, Inc. Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
KR100432103B1 (ko) * 2001-08-31 2004-05-17 주식회사 안랩유비웨어 인증 및 권한 인가 서비스 시스템
KR100406008B1 (ko) * 2001-09-13 2003-11-15 장홍종 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법및 시스템
KR100698514B1 (ko) * 2002-03-11 2007-03-21 (주)케이사인 효율적인 인증서폐기목록 처리 방법 및 컴퓨터 프로그램제품
KR20020039309A (ko) * 2002-05-09 2002-05-25 김경중 실시간 인증서 상태정보 조회 시스템 및 방법
KR20040104723A (ko) * 2002-05-09 2004-12-10 마츠시타 덴끼 산교 가부시키가이샤 공개 키 인증서 무효화 리스트 생성 장치, 무효화 판정장치 및 인증 시스템
KR20040028071A (ko) * 2002-09-28 2004-04-03 주식회사 케이티 인증기관 환경에서의 인증서 검증 서비스 장치 및 그 방법
US20060156391A1 (en) * 2005-01-11 2006-07-13 Joseph Salowey Method and apparatus providing policy-based revocation of network security credentials
US9054879B2 (en) * 2005-10-04 2015-06-09 Google Technology Holdings LLC Method and apparatus for delivering certificate revocation lists
EP1826695A1 (en) 2006-02-28 2007-08-29 Microsoft Corporation Secure content descriptions
EP1801720A1 (en) * 2005-12-22 2007-06-27 Microsoft Corporation Authorisation and authentication
US8468339B2 (en) * 2006-11-30 2013-06-18 Red Hat, Inc. Efficient security information distribution
US8533463B2 (en) * 2007-08-30 2013-09-10 Red Hat, Inc. Reduced computation for generation of certificate revocation information
US20090113543A1 (en) * 2007-10-25 2009-04-30 Research In Motion Limited Authentication certificate management for access to a wireless communication device
KR101109403B1 (ko) * 2009-07-23 2012-01-30 이성복 휴대형 전자기기용 파우치
US9794248B2 (en) * 2009-12-23 2017-10-17 Symantec Corporation Alternative approach to deployment and payment for digital certificates
TWI600334B (zh) 2016-03-23 2017-09-21 財團法人工業技術研究院 車輛網路節點之安全憑證管理方法與應用其之車輛網路節 點

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10276187A (ja) * 1997-03-31 1998-10-13 Nippon Telegr & Teleph Corp <Ntt> 認証システムにおける公開鍵証明証管理方法
JPH10282883A (ja) * 1997-04-08 1998-10-23 Oki Electric Ind Co Ltd 無効ディジタル証明書リストの配布方法
KR19990025290A (ko) * 1997-09-11 1999-04-06 정선종 인터넷 웹 기반의 인증국 인증서 취소 목록 실시간 조회 방법과그 시스템
KR20010057168A (ko) * 1999-12-18 2001-07-04 이계철 온라인 지불서비스 제공을 위한 전자인증서 취소리스트확인 방법

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6237096B1 (en) * 1995-01-17 2001-05-22 Eoriginal Inc. System and method for electronic transmission storage and retrieval of authenticated documents
US6367013B1 (en) * 1995-01-17 2002-04-02 Eoriginal Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US5666416A (en) * 1995-10-24 1997-09-09 Micali; Silvio Certificate revocation system
US5717758A (en) * 1995-11-02 1998-02-10 Micall; Silvio Witness-based certificate revocation system
US6487658B1 (en) * 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US5699431A (en) * 1995-11-13 1997-12-16 Northern Telecom Limited Method for efficient management of certificate revocation lists and update information
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
US5903651A (en) * 1996-05-14 1999-05-11 Valicert, Inc. Apparatus and method for demonstrating and confirming the status of a digital certificates and other data
US6192131B1 (en) * 1996-11-15 2001-02-20 Securities Industry Automation Corporation Enabling business transactions in computer networks
US6128740A (en) * 1997-12-08 2000-10-03 Entrust Technologies Limited Computer security system and method with on demand publishing of certificate revocation lists
US6226743B1 (en) * 1998-01-22 2001-05-01 Yeda Research And Development Co., Ltd. Method for authentication item
US6314517B1 (en) * 1998-04-02 2001-11-06 Entrust Technologies Limited Method and system for notarizing digital signature data in a system employing cryptography based security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10276187A (ja) * 1997-03-31 1998-10-13 Nippon Telegr & Teleph Corp <Ntt> 認証システムにおける公開鍵証明証管理方法
JPH10282883A (ja) * 1997-04-08 1998-10-23 Oki Electric Ind Co Ltd 無効ディジタル証明書リストの配布方法
KR19990025290A (ko) * 1997-09-11 1999-04-06 정선종 인터넷 웹 기반의 인증국 인증서 취소 목록 실시간 조회 방법과그 시스템
KR20010057168A (ko) * 1999-12-18 2001-07-04 이계철 온라인 지불서비스 제공을 위한 전자인증서 취소리스트확인 방법

Also Published As

Publication number Publication date
US6950934B2 (en) 2005-09-27
KR20020029216A (ko) 2002-04-18
US20020104000A1 (en) 2002-08-01

Similar Documents

Publication Publication Date Title
KR100731491B1 (ko) 인증서 폐지목록 분산 관리 방법
CA2328645C (en) A method and a system for certificate revocation list consolidation and access
CN110138560B (zh) 一种基于标识密码和联盟链的双代理跨域认证方法
US6304974B1 (en) Method and apparatus for managing trusted certificates
US7743248B2 (en) System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
JP4796971B2 (ja) Ocsp及び分散型ocspのための効率的に署名可能なリアルタイム・クレデンシャル
US7073195B2 (en) Controlled access to credential information of delegators in delegation relationships
US6970862B2 (en) Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
US6553493B1 (en) Secure mapping and aliasing of private keys used in public key cryptography
CN111144881A (zh) 对资产转移数据的选择性访问
CN100593921C (zh) 时间戳服务系统和时间戳信息验证服务器及计算机·软件
CN113271311B (zh) 一种跨链网络中的数字身份管理方法及系统
KR102295113B1 (ko) 영지식증명을 이용한 블록체인 기반의 전자 계약 관리 시스템 및 그 방법
US20040186998A1 (en) Integrated security information management system and method
US11025643B2 (en) Mobile multi-party digitally signed documents and techniques for using these allowing detection of tamper
CN112199721A (zh) 认证信息处理方法、装置、设备及存储介质
Iliadis et al. Towards a framework for evaluating certificate status information mechanisms
KR102477363B1 (ko) 효율적인 키 폐기가 가능한 익명 속성 증명 시스템 및 방법
CN113569298A (zh) 一种基于区块链的身份生成方法及身份系统
JP2004023406A (ja) 電子署名付与方法
JP2009031849A (ja) 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム
CN117280346A (zh) 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置
US20090044011A1 (en) Systems, Devices and Methods for Managing Cryptographic Authorizations
US20020152383A1 (en) Method for measuring the latency of certificate providing computer systems
CN115694836A (zh) 一种增量式crl列表更新装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130605

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140603

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150605

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160809

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170605

Year of fee payment: 11