JP2010528551A - オフライン装置のためのオンライン認証書の検証装置および方法 - Google Patents
オフライン装置のためのオンライン認証書の検証装置および方法 Download PDFInfo
- Publication number
- JP2010528551A JP2010528551A JP2010510206A JP2010510206A JP2010528551A JP 2010528551 A JP2010528551 A JP 2010528551A JP 2010510206 A JP2010510206 A JP 2010510206A JP 2010510206 A JP2010510206 A JP 2010510206A JP 2010528551 A JP2010528551 A JP 2010528551A
- Authority
- JP
- Japan
- Prior art keywords
- online
- certificate
- nonce
- message
- ocsp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims abstract description 118
- 238000012795 verification Methods 0.000 claims abstract description 86
- 230000005540 biological transmission Effects 0.000 claims description 20
- 239000000284 extract Substances 0.000 abstract description 6
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 description 118
- 102100024990 Tetraspanin-10 Human genes 0.000 description 118
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
オフライン装置のためのオンライン認証書の検証装置および方法を提供する。オフライン装置のためのオンライン認証書の検証装置はノンス(nonce)を生成して、前記生成されたノンスを含み、認証しようとする目標(target)オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを生成するノンス生成部、前記生成されたメッセージをオンライン装置に伝送して、前記オンライン装置から前記目標オンライン装置に対するOCSP(online certificate statue protocol)応答メッセージを受信する送受信部、および前記受信された応答メッセージからノンスを抽出して、前記抽出したノンスを前記生成されたノンスと比較して、前記受信した応答メッセージの信頼の有無を判断する認証書検証結果判断部を含む。
【選択図】 図3
【選択図】 図3
Description
本発明は、オフライン装置のためのオンライン認証書の検証装置および方法に関するものであって、より詳細には、オフライン装置がオンライン装置を認証するためにオンライン認証書状態プロトコル(Online Certificate Status Protocol、以下OCSPと呼ぶ)を利用する装置および方法に関するものである。
OCSPは、オンライン装置(connected device)が他の装置の認証書状態を検証するために使用するプロトコルであって、OCSPという用語から分かるようにオンライン装置のための、すなわちオフライン装置(unconnected device)を考慮せずデザインされたものである。
ここで、オンライン装置は、ホストのようにネットワーク接続を提供する装置を意味し、オフライン装置は、保安カードのようにネットワーク接続を提供しない装置を意味する。
オフライン装置がオンライン装置の信頼性を検証するためには、発行された認証書の状態を保存し、クライアントのOCSP要請(request)に対して該当認証書の状態を知らせるサーバであるOCSP応答サーバ(responder)にオンライン装置の認証書の状態の検証を要請しなければならない。
しかし、オフライン装置は、ネットワーク接続を提供しないため、直接OCSP応答サーバに接続することができないため、オフライン装置はオンライン装置を経由するか、またはオンライン装置から助けを受けてOCSP応答サーバに接続するしかない。
このとき、オンライン装置は信頼性が検証されていない状態であるため、オフライン装置はオンライン装置が実行するOCSP要請および該当要請に対する応答結果を信頼できない問題が発生する。
特にオンライン装置は、特定装置の認証書が撤回される前にOCSP応答結果を保存し、以後該当装置の認証書が撤回された後、既存に保存したOCSP応答結果を再使用して、あたかも該当装置の撤回された認証書が依然として有効であるようにオフライン装置に応答する再使用攻撃(reply attack)を実行することができる。
たとえオンライン装置が前述した再使用攻撃を防止するとしても、これはオンライン装置とOCSP応答サーバとの間の区間だけを信頼することができるだけで、オフライン装置とオンライン装置との間で発生できる偽変造を防止することができないとの問題がある。
本発明は、オフライン装置のためのオンライン認証書の検証装置および方法により、オフライン装置がノンスを生成して生成されたノンスを認証しようとする目標(target)オンライン装置に対するOCSP要請メッセージおよびOCSP応答メッセージに含めることによってOCSP応答サーバの応答結果を信頼することができるようにすることにその目的がある。
本発明の目的は、以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解できるであろう。
前記目的を達成するために、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置は、ノンス(nonce)を生成して、前記生成されたノンスを含み、認証しようとする目標(target)オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを生成するノンス生成部、前記生成されたメッセージをオンライン装置に伝送して、前記オンライン装置から前記目標オンライン装置に対するOCSP(online certificate statue protocol)応答メッセージを受信する送受信部、および前記受信された応答メッセージからノンスを抽出して、前記抽出したノンスを前記生成されたノンスと比較して、前記受信した応答メッセージの信頼の有無を判断する認証書検証結果判断部を含む。
前記目的を達成するために、本発明の他の実施形態によるオフライン装置のためのオンライン認証書の検証装置は、オフライン装置から受信された認証しようとする目標オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージに応じてOCSP要請メッセージを生成するメッセージ生成部、および前記生成されたメッセージをOCSP応答サーバに伝送して、前記OCSP応答サーバから前記伝送されたメッセージに対するOCSP応答メッセージを受信する送受信部を含む。
前記目的を達成するために、本発明のまた他の実施形態によるオフライン装置のためのオンライン認証書の検証装置は、オンライン装置から受信されたOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証する検証部、前記検証結果に対するOCSP応答メッセージを生成する応答メッセージ生成部および前記生成されたメッセージを前記オンライン装置に伝送する送受信部を含む。
前記目的を達成するために、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証方法は、ノンス(nonce)を生成する段階、前記生成されたノンスを含み、認証しようとする目標(target)オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを生成する段階、前記生成されたメッセージをオンライン装置に伝送して、前記オンライン装置から前記目標オンライン装置に対するOCSP応答メッセージを受信する段階、および前記受信された応答メッセージからノンスを抽出して、前記抽出したノンスを前記生成されたノンスと比較して前記受信した応答メッセージの信頼の有無を判断する段階を含む。
前記目的を達成するために、本発明の他の実施形態によるオフライン装置のためのオンライン認証書の検証方法は、オフライン装置から認証しようとする目標オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを受信する段階、前記受信されたメッセージによりOCSP要請メッセージを生成する段階、および常時生成されたメッセージをOCSP応答サーバに伝送して、前記OCSP応答サーバから前記伝送されたメッセージに対するOCSP応答メッセージを受信する段階を含む。
前記目的を達成するために、本発明のまた他の実施形態によるオフライン装置のためのオンライン認証書の検証方法は、オンライン装置から受信されたOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証する段階、前記検証結果に対するOCSP応答メッセージを生成する段階、および前記生成されたメッセージを前記オンライン装置に伝送する段階を含む。
その他実施形態の具体的な内容は詳細な説明および図に含まれている。
前記したような本発明のオフライン装置のためのオンライン認証書の検証装置および方法によれば次のような効果が一つあるいはそれ以上ある。
オンライン装置間の認証にのみ使われていたOCSPをオフライン装置まで拡大する長所がある。
また、OCSP応答サーバが関連するすべての認証書の状態情報を管理し、最も最新の情報を維持しているため、信頼できないオンライン装置からでもOCSPを安全に利用する長所もある。
また、オフライン装置が、従来の認証書撤回リスト(Certificate Revocation List、以下CRLと呼ぶ)を使用することによって生じ得るリアルタイムアップデート問題、CRLサイズによる効率性低下の問題およびこれによる保安上の脆弱な問題が解消されるため、低性能オフライン装置のための効率的な認証方法を提供する長所もある。
また、オフライン装置が認証対象であるオンライン装置にOCSP認証を委任しても認証書状態の検証結果の信頼が保障されるため、相対的に高性能装置のオンライン装置にOCSP要請メッセージ生成をためのロードを転嫁させて、低性能オフライン装置のOCSP計算量を減少させる長所もある。
本発明の利点、特徴、およびそれらを達成する方法は、添付される図面と共に詳細に後述される実施形態を参照すれば明確になるであろう。
しかし、本発明は、以下で開示される実施形態に限定されるものではなく、互いに異なる多様な形態で具現されることが可能である。本実施形態は、単に本発明の開示が完全になるように、本発明が属する技術分野で通常の知識を有する者に対して発明の範疇を完全に知らせるために提供されるものであり、本発明は、請求項の範疇によってのみ定義される。
なお、明細書全体にかけて、同一の参照符号は同一の構成要素を指すものとする。
以下、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置および方法を説明するための構成図または処理フローチャートに対する図を参照して本発明について説明する。
このとき、フローチャートの各ブロックとフロ−チャートの組合わせはコンピュータプログラムインストラクションにより実行可能なのが理解できるであろう。
これらコンピュータプログラムインストラクションは、汎用コンピュータ、特殊用コンピュータまたはその他のプログラマブルデータプロセッシング装備のプロセッサーに搭載されうるので、コンピュータまたはその他のプログラマブルデータプロセッシング装備のプロセッサーを通じて実行されるそのインストラクションがフローチャートのブロックで説明された機能を行う手段を生成するように機構を作れる。
これらコンピュータプログラムインストラクションは特定方式で機能を具現するためにコンピュータまたはその他のプログラマブルデータプロセッシング装備を指向できるコンピュータ利用可能またはコンピュータ判読可能メモリに保存されることも可能なので、そのコンピュータ利用可能またはコンピュータ判読可能メモリに保存されたインストラクションはフローチャートのブロックで説明された機能を行うインストラクション手段を内包する製造品目を生産することも可能である。
コンピュータプログラムインストラクションはコンピュータまたはその他のプログラマブルデータプロセッシング装備上に搭載することも可能なので、コンピュータまたはその他のプログラマブルデータプロセッシング装備上で一連の動作段階が実行されてコンピュータで実行されるプロセスを生成し、コンピュータまたはその他のプログラマブルデータプロセッシング装備を行うインストラクションはフローチャートのブロックで説明された機能を実行するための段階を提供することも可能である。
また、各ブロックは特定の論理的機能を行うための一つ以上の実行可能なインストラクションを含むモジュール、セグメントまたはコードの一部を示すことができる。
また、いくつの代替実行例では、ブロックで言及された機能が順序を外れて発生することも可能であるということに注目せねばならない。
例えば、連続して図示されている2つのブロックは、実質的に同時に行われてもよく、またはそのブロックが時々該当する機能によって逆順に行われてもよい。
以下、添付した図面を参照して本発明の望ましい実施形態について詳細に説明する。
本発明でノンスは、メッセージの無欠性を証明するためにメッセージに挿入する値で、メッセージの伝送主体がメッセージに含めて伝送した値が途中で変更されず、そのまま受信されるのか確認して応答が正しいのか確認することにその目的がある。
前述したノンスは乱数(random number)を基本とするが、必ず乱数である必要はなく、特定規則を利用した数字や文字またはタイムスタンプのようなカウンタ値であり得る。
図1は、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置で構成されたシステムを示す図である。
本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置で構成されたシステム100は、ノンス(nonce)を生成して、生成されたノンスを含みオンライン装置認証書の検証要請メッセージを生成した後、生成されたメッセージを伝送するオフライン装置110、オフライン装置110から受信された認証しようとする目標オンライン装置に対する認証書の検証要請メッセージに応じてOCSP要請メッセージを生成して伝送するオンライン装置120およびオンライン装置120から受信されたOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証して、検証結果に対するOCSP応答メッセージを生成してオンライン装置120に伝送するOCSP応答サーバ130を含む。
参考までに、オフライン装置110が直接OCSP要請メッセージを生成するほどの高性能装置である場合、オンライン装置120は別途のOCSP要請メッセージを生成せず、オフライン装置110から受信したOCSP要請メッセージをOCSP応答サーバ130に伝達する役割をする。
このとき、オフライン装置110で生成したOCSP要請メッセージにはオフライン装置110で生成したノンスが含まれる。
仮に、オフライン装置110が直接OCSP要請メッセージを生成できないほどの低性能装置である場合、オンライン装置120は、オフライン装置110からオンライン装置認証書の検証要請メッセージを受信して、これによってOCSP応答サーバ130に伝送するOCSP要請メッセージを生成する。
このとき、オンライン装置120がオフライン装置110から受信したオンライン装置認証書の検証要請メッセージにはオフライン装置110で生成したノンスが含まれ、オンライン装置120はオフライン装置110から受信したオンライン装置認証書の検証要請メッセージに含まれたノンスを抽出してOCSP要請メッセージを生成した後、OCSP応答サーバ130にOCSP要請メッセージを伝送する。
したがって、本発明の実施形態によるオフライン装置110でオンライン装置120に伝送するオンライン装置認証書の検証要請メッセージは、オフライン装置110で生成したノンスが含まれたオンライン装置認証書の検証要請メッセージおよびオフライン装置110で生成したノンスが含まれたOCSP要請メッセージのうち少なくとも一つを含む意味として解釈することが好ましい。
また、OCSP応答サーバ130で生成されるOCSP応答メッセージにもオフライン装置110で生成したノンスが含まれるが、これはオンライン装置120から受信したOCSP要請メッセージから抽出することができる。
以後、OCSP応答サーバ130から伝送されたOCSP応答メッセージを受信したオンライン装置120は受信したOCSP応答メッセージをオフライン装置110に伝送して、オフライン装置110はOCSP応答メッセージを受信して受信したメッセージからノンスを抽出する。
以後、オフライン装置110は、抽出したノンスを自身が生成したノンスと比較して受信したメッセージの信頼の有無を判断するが、抽出したノンスと自身が生成したノンスの比較結果、一致する場合は受信したメッセージを信頼する。
前述したように、結果的にオフライン装置110は、その性能によってOCSP要請メッセージを直接生成するか、またはオンライン装置120でOCSP要請メッセージを生成するように要請することができる。
すなわち、必ずOCSP要請メッセージを直接生成する必要はないが、少なくともOCSP応答メッセージを確認できなければならず、ここで応答メッセージの確認は、OCSP応答メッセージからノンスを抽出して自身が生成したノンスと一致するのかを比較することを意味する。
以下、本発明の実施形態で言及されるオフライン装置110は、OCSP要請メッセージを直接生成することができないが、OCSP応答メッセージを確認できる程度の性能を有する装置と仮定する。
図2は、前記図1に示すシステムによるオンライン認証書の検証過程を示す図である。
説明の便宜上、図1に示すシステム100を参照して説明する。
先ず、オフライン装置110でノンス(nonce)を生成して生成されたノンスを含み認証しようとする目標オンライン装置に対する認証書の検証要請メッセージを生成する(S201)。
S201後、オフライン装置110は、生成されたメッセージをオンライン装置120に伝送する(S202)。
S202後、オンライン装置120は、オフライン装置110から受信された認証しようとする目標オンライン装置に対する認証書の検証要請メッセージによってOCSP要請メッセージを生成する(S203)。
S203後、オンライン装置120は、生成されたメッセージをOCSP応答サーバ130に伝送する(S204)。
このとき、オンライン装置120で生成されるOCSP要請メッセージにはオフライン装置110で生成されたノンスが含まれる。
S204後、OCSP応答サーバ130は目標オンライン装置に対する認証書を検証して検証結果に対するOCSP応答メッセージを生成する(S205)。
S205後、OCSP応答サーバ130は生成されたメッセージをオンライン装置120に伝送する(S206)。
このとき、OCSP応答サーバ130で生成されるOCSP応答メッセージには目標オンライン装置に対する認証書検証結果およびオフライン装置110で生成されたノンスが含まれる。
参考までに、OCSP応答サーバ130はオンライン装置120から受信されたOCSP要請メッセージでノンスを抽出することができる。
S206後、オンライン装置120はOCSP応答メッセージを受信して受信されたメッセージをオフライン装置110に伝送する(S207)。
S207後、オフライン装置110は受信されたOCSP応答メッセージからノンスを抽出して抽出されたノンスと自身が生成したノンスを比較して検証結果の信頼の有無を判断する(S208)。
図3は、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置の構成を示す図である。
参考までに、図3に示す装置300は図1に示すシステム100の構成のうちオフライン装置110に含まれ得、説明の便宜上、図1に示すシステム100を参照して説明する。
本発明の実施形態によるオフライン装置のためのオンライン認証書の検証装置300はノンス(nonce)を生成して生成されたノンスを含み、認証しようとする目標(target)オンライン装置に対する認証書の検証要請メッセージを生成するノンス生成部310、ノンス生成部310で生成されたメッセージをオンライン装置120に伝送して、オンライン装置120から目標オンライン装置に対するOCSP応答メッセージを受信する送受信部320、送受信部320から受信されたメッセージからノンスを抽出して抽出したノンスをノンス生成部310で生成したノンスと比較し、受信したメッセージの信頼の有無を判断する認証書検証結果判断部330および各部を制御する制御部340を含む。
図3に示す装置300のうち認証書検証結果判断部330は、送受信部320で受信されたメッセージから抽出したノンスとノンス生成部310で生成したノンスを比較して一致する場合、目標(target)オンライン装置に対する認証書の検証結果を信頼する。
図4は、本発明の他の実施形態によるオフライン装置のためのオンライン認証書の検証装置の構成を示す図である。
参考までに、図4に示す装置400は図1に示すシステム100の構成のうちオンライン装置120に含まれ得、説明の便宜上、図1に示すシステム100を参照して説明する。
本発明の他の実施形態によるオフライン装置のためのオンライン認証書の検証装置400は、オフライン装置110から受信された認証しようとする目標オンライン装置に対する認証書の検証要請メッセージに応じてOCSP要請メッセージを生成するメッセージ生成部410、メッセージ生成部410で生成されたメッセージをOCSP応答サーバ130に伝送して、OCSP応答サーバ130から伝送されたメッセージに対するOCSP応答メッセージを受信する送受信部420および各部を制御する制御部430を含む。
参考までに、図1に示すシステム100の構成要素のうち一つであるオンライン装置120、またオフライン装置110が認証しようとする目標オンライン装置は同一の装置であるか互いに異なる別個の装置であり得、本発明の実施形態ではオンライン装置120と前述した目標オンライン装置が同一の場合を説明する。
図4に示す装置400のうちメッセージ生成部410で生成されるOCSP要請メッセージは、オフライン装置110のノンス生成部310で生成したノンスを含み生成され、送受信部420はOCSP応答サーバ130から受信したOCSP応答メッセージ、すなわち目標オンライン装置に対する認証書の検証に対する結果をオフライン装置110に伝送する。
このとき、送受信部420でオフライン装置110に伝送するOCSP応答メッセージにはOCSP応答サーバ130で生成した目標オンライン装置に対する認証書検証に対する結果およびオフライン装置110のノンス生成部310で生成したノンスが含まれる。
仮に、オンライン装置120で、特定装置の認証書が撤回される前にOCSP応答サーバ130から受信したOCSP応答メッセージを保存して、以後該当装置の認証書が撤回された後、既存に保存していたOCSP応答メッセージを再使用して、あたかも該当装置の撤回された認証書が依然として有効なようにオフライン装置110に応答する再使用攻撃(reply attack)を実行する場合、再使用攻撃によるOCSP応答メッセージに含まれたノンスは、オフライン装置110で目標オンライン装置に対する認証の書検証要請メッセージをオンライン装置120に伝送しながら含めたノンスとその値が異なるため、オフライン装置110は該当OCSP応答メッセージを信頼できないと判断する。
図5は、本発明のまた他の実施形態によるオフライン装置のためのオンライン認証書の検証装置の構成を示す図である。
参考までに、図5に示す装置500は図1に示すシステム100の構成のうちOCSP応答サーバ130に含まれ得、説明の便宜上、図1に示すシステム100を参照して説明する。
本発明のまた他の実施形態によるオフライン装置のためのオンライン認証書の検証装置500は、オンライン装置120から受信されたOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証する検証部510、検証部510で検証した検証結果に対するOCSP応答メッセージを生成する応答メッセージ生成部520、生成された応答メッセージを前記オンライン装置に伝送する送受信部530および各部を制御する制御部540を含む。
図5に示す装置500中応答メッセージ生成部520で生成されたOCSP応答メッセージは、目標オンライン装置に対する認証書を検証結果およびオフライン装置110のノンス生成部310で生成したノンスを含み、応答メッセージ生成部520はオンライン装置120から受信されたOCSP要請メッセージからノンスを抽出することができる。
本発明の実施形態による図3〜図5で図示された構成要素はソフトウェアまたはFPGA(Field Programmable Gate Array)またはASIC(Application Specific Integrated Circuit)のようなハードウェア構成要素を意味し、ある役割を果たす。
しかし、構成要素はソフトウェアまたはハードウェアに限定される意味ではなく、各構成要素はアドレッシングできる保存媒体にあるように構成されることもでき、一つまたはそれ以上のプロセッサーを再生させるように構成されることもできる。
したがって、一例として構成要素は、ソフトウェアの構成要素、オブジェクト指向ソフトウェアの構成要素、クラスの構成要素およびタスク構成要素のような構成要素と、プロセス、関数、属性、プロシーザ、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、および変数を含む。
構成要素と該当構成要素から提供される機能はさらに小さい数の構成要素に結合されるか追加的な構成要素でさらに分離することができる。
図6は、本発明の実施形態によるオフライン装置のためのオンライン認証書の検証過程を示すフローチャートである。
参考までに、図3に示す装置300は図1に示すシステム100の構成のうちオフライン装置110で実行され得、図4に示す装置400は図1に示すシステム100の構成のうちオンライン装置120で実行され得、図5に示す装置500は図1に示すシステム100の構成のうちOCSP応答サーバ130で実行され得る。
説明の便宜上、図1に示すシステム100を参照して説明する。
先ず、オフライン装置110のノンス生成部310はノンスを生成して生成されたノンスを含み認証しようとする目標オンライン装置に対する認証書の検証要請メッセージを生成する(S601)。
S601後、オフライン装置110の送受信部320は生成されたメッセージをオンライン装置120に伝送する(S602)。
S602後、オンライン装置120の送受信部420は認証しようとする目標オンライン装置に対する認証書の検証要請メッセージをオフライン装置110から受信する(S603)。
S603後、オンライン装置120のメッセージ生成部410は、送受信部420で受信したメッセージでノンス(オフライン装置110で生成された)を抽出して抽出したノンスを含みOCSP要請メッセージを生成する(S604)。
S604後、オンライン装置120の送受信部420は生成されたOCSP要請メッセージをOCSP応答サーバ130に伝送する(S605)。
S605後、OCSP応答サーバ130の送受信部530はオンライン装置120からOCSP要請メッセージを受信する(S606)。
S606後、OCSP応答サーバ130の検証部510は受信したOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証する(S607)。
S607後、OCSP応答サーバ130の応答メッセージ生成部520は目標オンライン装置に対する認証書の検証結果に対するOCSP応答メッセージを生成する(S608)。
このとき、OCSP応答メッセージにはオフライン装置110で生成されたノンスが含まれるが、応答メッセージ生成部520はオンライン装置120から受信されたOCSP要請メッセージでノンスを抽出することができる。
S608後、OCSP応答サーバ130の送受信部530は生成されたOCSP応答メッセージをオンライン装置120に伝送する(S609)。
S609後、オンライン装置120の送受信部420はOCSP応答サーバ130からOCSP応答メッセージを受信して受信したOCSP応答メッセージをオフライン装置110に伝送する(S610)。
S610後、オフライン装置110の送受信部320はオンライン装置120から目標オンライン装置に対するOCSP応答メッセージを受信する(S611)。
S611後、オフライン装置110の認証書の検証結果、判断部330は受信されたOCSP応答メッセージからノンスを抽出して抽出したノンスをノンス生成部310で生成したノンスと比較して受信したOCSP応答メッセージの信頼の有無を判断する(S612)。
以上と添付された図面を参照して本発明の実施形態について説明したが、本発明が属する技術分野で通常の知識を有する者は、本発明が、その技術的思想や必須の特徴を変更せず、他の具体的な形態で実施され得ることを理解することができる。したがって、上記実施形態はすべての面で例示的なものであり、限定的でないものと理解しなければならない。
310 ノンス生成部
320 送受信部
330 認証書検証結果判断部
340 制御部
320 送受信部
330 認証書検証結果判断部
340 制御部
Claims (14)
- ノンス(nonce)を生成して、前記生成されたノンスを含み認証しようとする目標(target)オンライン装置に対する認証書検証を要請する認証書の検証要請メッセージを生成するノンス生成部と、
前記生成されたメッセージをオンライン装置に伝送して、前記オンライン装置から前記目標オンライン装置に対するOCSP(online certificate statue protocol)応答メッセージを受信する送受信部、および
前記受信された応答メッセージからノンスを抽出して、前記抽出したノンスを前記生成されたノンスと比較して、前記受信した応答メッセージの信頼の有無を判断する認証書検証結果判断部を含む、オフライン装置のためのオンライン認証書の検証装置。 - 前記認証書検証結果判断部は、前記抽出したノンスと前記生成されたノンスが一致する場合、前記受信した応答メッセージを信頼する、請求項1に記載のオフライン装置のためのオンライン認証書の検証装置。
- オフライン装置から受信された認証しようとする目標オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージに応じてOCSP要請メッセージを生成するメッセージ生成部、および
前記生成されたメッセージをOCSP応答サーバに伝送して、前記OCSP応答サーバから前記伝送されたメッセージに対するOCSP応答メッセージを受信する送受信部を含む、オフライン装置のためのオンライン認証書の検証装置。 - 前記OCSP要請メッセージは、オフライン装置で生成されたノンスを含む請求項3に記載のオフライン装置のためのオンライン認証書の検証装置。
- 前記送受信部は、前記受信したOCSP応答メッセージを前記オフライン装置に伝送する請求項3に記載のオフライン装置のためのオンライン認証書の検証装置。
- ノンス(nonce)を生成する段階と、
前記生成されたノンスを含み認証しようとする目標(target)オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを生成する段階と、
前記生成されたメッセージをオンライン装置に伝送して、前記オンライン装置から前記目標オンライン装置に対するOCSP応答メッセージを受信する段階、および
前記受信された応答メッセージからノンスを抽出して、前記抽出したノンスを前記生成されたノンスと比較して、前記受信した応答メッセージの信頼の有無を判断する段階を含む、オフライン装置のためのオンライン認証書の検証方法。 - 前記受信した応答メッセージの信頼の有無を判断する段階は、前記抽出したノンスと前記生成されたノンスが一致する場合、前記受信した応答メッセージを信頼する請求項6に記載のオフライン装置のためのオンライン認証書の検証方法。
- オフライン装置から認証しようとする目標オンライン装置に対する認証書の検証を要請する認証書の検証要請メッセージを受信する段階と、
前記受信されたメッセージによりOCSP要請メッセージを生成する段階、および
前記生成されたメッセージをOCSP応答サーバに伝送して、前記OCSP応答サーバから前記伝送されたメッセージに対するOCSP応答メッセージを受信する段階を含む、オフライン装置のためのオンライン認証書の検証方法。 - 前記OCSP要請メッセージは、オフライン装置で生成されたノンスを含む請求項8に記載のオフライン装置のためのオンライン認証書の検証方法。
- 前記受信したOCSP応答メッセージを前記オフライン装置に伝送する段階をさらに含む、請求項9に記載のオフライン装置のためのオンライン認証書の検証方法。
- オンライン装置から受信されたOCSP要請メッセージに応じて目標オンライン装置に対する認証書を検証する段階と、
前記検証結果に対するOCSP応答メッセージを生成する段階、および
前記生成されたメッセージを前記オンライン装置に伝送する段階を含む、オフライン装置のためのオンライン認証書の検証方法。 - 前記生成されたOCSP応答メッセージはオフライン装置で生成されたノンスを含み、前記オフライン装置は、前記目標オンライン装置に対する認証書の検証を要請する請求項11に記載のオフライン装置のためのオンライン認証書の検証方法。
- 前記OCSP要請メッセージは、オフライン装置によって生成されて、前記オフライン装置によって生成された認証書の検証要請メッセージから前記オンライン装置によって抽出され、
前記認証書の検証要請メッセージは、認証しようとする目標オンライン装置の認証書の検証を要請する請求項11に記載のオフライン装置のためのオンライン認証書の検証方法。 - 前記OCSP応答メッセージは、前記ノンスを含む、請求項13に記載のオフライン装置のためのオンライン認証書の検証方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070051572A KR20080104594A (ko) | 2007-05-28 | 2007-05-28 | 오프라인 장치를 위한 온라인 인증서 검증 장치 및 방법 |
| PCT/KR2008/002935 WO2008147086A1 (en) | 2007-05-28 | 2008-05-26 | Apparatus and method of verifying online certificate for offline device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010528551A true JP2010528551A (ja) | 2010-08-19 |
Family
ID=40075263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010510206A Pending JP2010528551A (ja) | 2007-05-28 | 2008-05-26 | オフライン装置のためのオンライン認証書の検証装置および方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20080301793A1 (ja) |
| JP (1) | JP2010528551A (ja) |
| KR (1) | KR20080104594A (ja) |
| CN (1) | CN101682511A (ja) |
| WO (1) | WO2008147086A1 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010026438A1 (en) * | 2008-09-02 | 2010-03-11 | Telefonaktiebolaget L M Ericsson (Publ) | Verifying neighbor cell |
| JP5371698B2 (ja) * | 2009-10-30 | 2013-12-18 | 株式会社エヌ・ティ・ティ・データ | 電子署名システム及び電子署名方法 |
| US8566596B2 (en) | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| KR20120039133A (ko) | 2010-10-15 | 2012-04-25 | 삼성전자주식회사 | 인증정보를 생성하고 인증정보를 증명하는 장치 및 방법 |
| US9171162B2 (en) | 2011-03-29 | 2015-10-27 | Microsoft Technology Licensing, Llc | Random file request for software attestation |
| US9756036B2 (en) * | 2012-06-15 | 2017-09-05 | Nokia Technologies Oy | Mechanisms for certificate revocation status verification on constrained devices |
| CN107786515B (zh) * | 2016-08-29 | 2020-04-21 | 中国移动通信有限公司研究院 | 一种证书认证的方法和设备 |
| US10977024B2 (en) * | 2018-06-15 | 2021-04-13 | Sierra Wireless, Inc. | Method and apparatus for secure software update |
| CN110247884B (zh) * | 2018-11-21 | 2023-05-19 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
| CN110290141A (zh) * | 2019-06-28 | 2019-09-27 | 深圳市信锐网科技术有限公司 | 一种终端认证请求的处理方法、终端认证方法及相关组件 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08160855A (ja) * | 1994-12-01 | 1996-06-21 | Nippon Telegr & Teleph Corp <Ntt> | ディジタル情報保護システム及びその方法 |
| JP2002108209A (ja) * | 2000-09-27 | 2002-04-10 | Hitachi Ltd | 証明書有効性確認方法 |
| US20050138351A1 (en) * | 2003-12-23 | 2005-06-23 | Lee Sok J. | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for Internet access |
| JP2006154125A (ja) * | 2004-11-26 | 2006-06-15 | Ntt Docomo Inc | ローカル認証システム、ローカル認証装置、ローカル認証方法 |
| CN1929380A (zh) * | 2006-09-23 | 2007-03-14 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2366470B (en) * | 2000-08-25 | 2005-07-20 | Hewlett Packard Co | Improvements relating to document transmission techniques iv |
| US7318155B2 (en) * | 2002-12-06 | 2008-01-08 | International Business Machines Corporation | Method and system for configuring highly available online certificate status protocol responders |
| WO2005050415A1 (en) * | 2003-10-31 | 2005-06-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and devices for the control of the usage of content |
| WO2005067672A2 (en) * | 2004-01-09 | 2005-07-28 | Corestreet, Ltd. | Batch ocsp and batch distributed ocsp |
| CN1922815B (zh) * | 2004-01-09 | 2011-03-23 | 科尔街有限公司 | 用于ocsp和分布式ocsp的签名有效实时凭证 |
| KR100739176B1 (ko) * | 2004-11-09 | 2007-07-13 | 엘지전자 주식회사 | 디지털 컨텐츠 보호 시스템 및 방법 |
| KR100684079B1 (ko) * | 2005-06-20 | 2007-02-20 | 성균관대학교산학협력단 | Ocsp응답자의 세션 개인키의 노출에 대한 검출 시스템및 그 검출 방법 |
| US7836306B2 (en) * | 2005-06-29 | 2010-11-16 | Microsoft Corporation | Establishing secure mutual trust using an insecure password |
| CN100337175C (zh) * | 2005-08-12 | 2007-09-12 | 华为技术有限公司 | 移动终端加入域和获取版权对象的方法、系统和相关设备 |
| US20070061886A1 (en) * | 2005-09-09 | 2007-03-15 | Nokia Corporation | Digital rights management |
| SG171651A1 (en) * | 2006-05-05 | 2011-06-29 | Interdigital Tech Corp | Digital rights management using trusted processing techniques |
| US20080263117A1 (en) * | 2007-04-23 | 2008-10-23 | Gregory Gordon Rose | Initial seed management for pseudorandom number generator |
-
2007
- 2007-05-28 KR KR1020070051572A patent/KR20080104594A/ko active Search and Examination
-
2008
- 2008-03-10 US US12/045,229 patent/US20080301793A1/en not_active Abandoned
- 2008-05-26 WO PCT/KR2008/002935 patent/WO2008147086A1/en active Application Filing
- 2008-05-26 JP JP2010510206A patent/JP2010528551A/ja active Pending
- 2008-05-26 CN CN200880017548A patent/CN101682511A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08160855A (ja) * | 1994-12-01 | 1996-06-21 | Nippon Telegr & Teleph Corp <Ntt> | ディジタル情報保護システム及びその方法 |
| JP2002108209A (ja) * | 2000-09-27 | 2002-04-10 | Hitachi Ltd | 証明書有効性確認方法 |
| US20050138351A1 (en) * | 2003-12-23 | 2005-06-23 | Lee Sok J. | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for Internet access |
| JP2006154125A (ja) * | 2004-11-26 | 2006-06-15 | Ntt Docomo Inc | ローカル認証システム、ローカル認証装置、ローカル認証方法 |
| CN1929380A (zh) * | 2006-09-23 | 2007-03-14 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101682511A (zh) | 2010-03-24 |
| WO2008147086A1 (en) | 2008-12-04 |
| US20080301793A1 (en) | 2008-12-04 |
| KR20080104594A (ko) | 2008-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2010528551A (ja) | オフライン装置のためのオンライン認証書の検証装置および方法 | |
| US10484184B2 (en) | Vehicle system and authentication method | |
| JP6684930B2 (ja) | ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム | |
| CN106452782B (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| CN109379336B (zh) | 一种统一认证方法、分布式系统和计算机可读存储介质 | |
| US20170338961A1 (en) | Method of providing security for controller using ecryption and apparatus therefor | |
| JP2005085102A (ja) | 保証システム | |
| US9178870B2 (en) | User authentication method using self-signed certificate of web server, client device and electronic device including web server performing the same | |
| US9203839B2 (en) | User authentication method and apparatus | |
| CN112887282B (zh) | 一种身份认证方法、装置、系统及电子设备 | |
| TWI679551B (zh) | 進程的身份認證方法和裝置 | |
| JP2009526287A (ja) | 権利委任によって権利オブジェクトを代理して生成する方法および装置 | |
| CN113661681A (zh) | 将软件载入在安全装置上以生成装置身份以向远程服务器进行认证 | |
| KR20070037019A (ko) | 스마트 카드를 이용하여 보안 기능을 수행하는 장치 및 그방법 | |
| CN112861106B (zh) | 数字证书处理方法及系统、电子设备及存储介质 | |
| KR20180046593A (ko) | 펌웨어 서명 검증과 보안키 관리를 위한 사물인터넷 디바이스의 펌웨어 업데이트 시스템 | |
| CN116015807A (zh) | 一种基于边缘计算的轻量级终端安全接入认证方法 | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
| JP2009003501A (ja) | ワンタイムパスワード認証システム | |
| CN111404884B (zh) | 安全通信方法、客户机及非公开服务器 | |
| JP2007336127A (ja) | 認証システム、サーバコンピュータ、プログラム、及び、記録媒体 | |
| JP2006221440A (ja) | 認証方法 | |
| US9038143B2 (en) | Method and system for network access control | |
| WO2017219886A1 (zh) | 一种简单网络协议认证方法及装置 | |
| JP2015170220A (ja) | 機器認証方法および機器認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120511 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130326 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130612 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140212 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140903 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20140910 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20141010 |