KR0172644B1

KR0172644B1 - 키잉 및 검정 자료용 보호 분배 프로토콜

Info

Publication number: KR0172644B1
Application number: KR1019950702800A
Authority: KR
Inventors: 어윈 더블유. 배드릭; 존 더블유. 가버; 쳉-치 후앙; 케네쓰 씨. 궁; 토드 이. 매튜; 제임스 이. 즈무다; 레지나 엘. 매튜즈
Original assignee: 완다 케이. 덴슨-로우; 휴우즈 에어크라프트 캄파니
Priority date: 1993-11-08
Filing date: 1994-10-28
Publication date: 1999-03-30
Also published as: CA2149744C; EP0682832A1; NO952584D0; CA2149744A1; US5825300A; JPH08512445A; WO1995014283A3; NO311909B1; AU8095794A; EP0682832A4; WO1995014283A2; AU669828B2; NO952584L; KR960700482A; JP2723365B2

Abstract

본 발명은 검정 인가측과 이 검정 인가측의 도메인 내의 적어도 하나의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 위한 컴퓨터 시스템 및 방법에 관한 것으로, 이는 다음의 단계들을 포함한다 : 검정 인가측에 의해 발생된, 패스워드를 갖는 키잉 자료를 보안 매체를 통해 엔티티로 전송하는 단계 ; 검정 인가측에 의해 제공된 키잉 자료를 사용하여 공용 및 전용 키 쌍을 상기 엔티티에 의해 발생 및 보호하는 단계 ; 검정 인가측에 의해 제공된 키잉 자료를 사용하여 검정에 대한 요청을 발생 및 보호하며, 이를 상기 검정 인가측에 전송하는 단계 ; 엔티티의 공용 키 및 어드레스가 검정 인가측에 전송되도록 검정 인가측이 요청하는 단계 ; 검정 인가측에 의해 제공된 키잉 자료를 사용하여 엔티티의 공용 키 및 어드레스를 보호하고 검정 인가측으로 전송하는 단계 ; 및 검정을 모아서 정리하여 이를 검정 인가측으로부터 상기 엔티티로 제기하며, 검정 인가측의 도메인 내에 있는 공용의 검정 인가측에서 엔티티의 공용 키를 기록하는 단계.

Description

[발명의 명칭]

키잉 및 검정 자료용 보호 분배 프로토콜

[발명의 상세한 설명]

[발명의 배경]

[발명 분야]

본 발명은 컴퓨터 보안 시스템, 특히 검정 인가측(certification authority)와 검정 인가측의 도메인(domain) 내의 엔티티(entity)와의 사이에서 검정 및 키잉 자료(certificate and keying material)의 보호 분배(protected distribution)에 관한 컴퓨터 보안 시스템 및 방법에 관한 것이다.

[관련 기술의 설명]

검정 및 키잉 자료의 분배에 관한 현존 방법에 있어서, 관리자는 각각의 단부 시스템(엔티티) 및 사용자에게 정보를 수동으로 분배해야 한다. 과거의 관리자들은 네트워크 보안 메카니즘을 지원하는데 필요한 정보를 초기화하기 위해서는 각각의 시스템 또는 시스템 상의 사용자를 한번 이상 방문해야 했다.

검정 또는 키잉 자료는 분배된 엔티티들 사이의 통신을 인증 및 보호하기 위해 나중에 사용된다. 이들 자료들이 초기 분배시에 일치하면, 신뢰성 및 인증 서비스(confidentiality and authentication services)들은 추후 동작 동안에는 보장될 수 없다.

이러한 수동 분배 시스템은, 검정인가측(Certification Authority)와 여러 엔티티 사이에서 키잉 자료들의 실제 수송시에 보안을 유지하는데 어려움이 따르고, 한 엔티티로부터 다른 엔티티로 이동시에 걸리는 실제 대기 시간만큼 위임된 결과적 시간 지연이 뒤따른다. 이러한 모든 셋업 시간 동안에, 여러 엔티티들은 즉각 필요할 수 있는 보호된 데이터로의 억세스가 부정된다.

본 발명은 엔티티들 사이에서 키잉 자료들의 전송시에 보안을 유지하는 어려움을 충족 및 극복하여, 달리 허가된 엔티티에 대해 억세스가 부정되는 동안의 시간을 최소로 단축시킨다.

본 발명은 인증 및 네트워크 보안 프로토콜 보호에 필요한 데이터를 보호하기 위해서 무결성(integrity) 및 암호화(encryption) 서비스들에 사용될 근본적 키잉 자료들을 발생시키도록 패스워드(공유열쇠 : shared secret)를 사용하여, 필요한 보안 억세스 소프트웨어를 설치하는데 필요한 방문을 한번의 방문으로 줄인다.

[본 발명의 목적 및 요약]

따라서, 본 발명의 목적은 검정 인가측과 이 검정 인가측의 도메인 내의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 위한 컴퓨터 보안 네트워크 시스템 및 방법을 제공하는 것이다.

본 발명의 다른 목적은 허가된 사용자 제어를 데이터에 대해 신속하게 제공하는 방법 및 시스템을 제공하는 것이다.

본 발명의 또 다른 목적은 인코드된 공용 및 전용 키 데이터 또는 서로 다른 보안 레벨로 분류된 서류의 설정(establishment)을 방해하기 보다는 용이하게 하는 방법 및 시스템을 제공하는 것이다.

본 발명은 엔티티와 검정 인가측과의 사이에 전송된 데이터를 보호하기 위해서 공유 열쇠를 설정하고 이를 사용하므로서, 검정 인가측과 이 검정 인가측의 도메인 내의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 위한 컴퓨터 시스템 및 방법을 제공한다.

본 발명의 구성 및 동작에 대한 새로운 특징에 대해서는 도면을 참조하여 좀 더 상세히 설명하고자 한다.

[도면의 간단한 설명]

제1도는 본 발명을 채택한 시스템을 통한 일반적이고 전체적인 논리 흐름을 도시하는 블록 플로우챠트이다.

[본 발명의 양호한 실시예에 관한 설명]

본 발명의 양호한 형태는 엔티티와 검정 인가측과의 사이에 전송된 데이터를 보호하기 위해서 공유 열쇠를 설정하고 이를 사용하므로서, 검정 인가측과 이 검정 인가측의 도메인 내의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 위한 방법 및 컴퓨터 시스템에서 구체화된다.

일반적으로, 제1도에 도시된 바와 같이, 본 발명에서는 검정 인가측과 이 검정 인가측의 도메인 내의 적어도 하나의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 제공하기 위해서 다음에 상세히 설명된 단계들에 따라 네트워크 전체에 걸쳐 동작하는 컴퓨터 시스템이 제공된다.

검정 인가는 패스워드를 포함하는 키잉 자료를 발생하여 이를 제1보안 통신 매체를 통해 주 엔티티로 보내므로서 시작된다. 이 예에서, 최고의 보안 통신 매체는 수동 쿠리어(manual courier), 보안 우편, 또는 검정 인가측에 엔티티를 인증시에 후술하는 바와 같이 사용될 키잉 자료에 대해서 컴퓨터 시스템과는 별개인 다른 보안 통신 매체와 같은 비전자 매체이다.

엔티티가 검정 인가측으로부터 키잉 자료를 수신하면, 공용 및 전용 키 쌍을 발생하고, 검정 인가측에 의해 제공된 키잉 자료를 사용하여 공용 키를 보호한다.

이제, 엔티티는 검정 인가측에 의해 제공된 키잉 자료를 사용하여, 검정 인가측에 검정에 대한 요청을 발생 및 보호한다. 발생 및 보호되면, 요청은 검정 인가측과 검정 도메인 내의 엔티티들을 접속시키는 제2보안 통신 매체를 통해 검정 인가측에 보내진다.

검정 인가측이 엔티티로부터 요청을 수신하면, 검정 인가측은 엔티티 요청의 아덴티티(identity)를 인증한다. 이는 제2보안 통신 매체를 통해, 엔티티의 공용 키 및 어드레스가 검정 인가측에 보내지도록 요청하므로서 행해진다.

검정 인가측으로부터 인증 요청이 수신되어 있는 엔티티의 요청은 검정 인가측에 의해 제공된 키잉 자료를 사용하여, 선택된 공용 키 및 어드레스를 제2보안 통신 매체를 통한 검정 인가측으로의 전송을 보호한다.

엔티티 요청의 아덴티티가 일단 확인되면, 검정 인가측은 요청된 검정을 모아서 정리하여 이를 제2보안 통신 매체를 통해 엔티티로 제기하며, 검정 인가측의 검정 도메인 내에 있는 다른 엔티티들에 의해 공용의 검정 인가측에서 엔티티의 공용 키를 기록한다.

물론, 본 발명은 본 발명의 정신 및 범위를 벗어나지 않는 한도에서 본 분야의 숙련자들에 의해 많은 변형 및 변경이 가능하다. 마찬가지로, 본 명세서에 기술된 양호한 실시예들은 단지 설명만을 위한 것이지, 본 발명을 제한하려는 의도는 아니다.

Claims

검정 인가측과 이의 도메인 내에 있는 엔티티들을 접속시키는 통신 매체를 통해 상기 검정 인가측과 이의 도메인 내에 있는 적어도 하나의 엔티티와의 사이에서 검정 및 키잉 자료의 보호 분배를 위한 방법에 있어서, 상기 검정 인가측에 의해 발생된, 패스워드를 갖는 키잉 자료를 제1 보안통신 매체를 통해 상기 엔티티로 전송하는 단계 ;상기 검정 인가측에 의해 상기 엔티티에 제공된 상기 키잉 자료를 사용하여 공용 및 전용 키 쌍을 상기 엔티티에 의해 발생 및 보호하는 단계 ; 상기 검정 인가측에 의해 상기 엔티티에 제공된 상기 키잉 자료를 사용하여 검정에 대한 요청을 발생 및 보호하며, 이를 제2 보안 통신 매체를 통해 상기 검정 인가측에 전송하는 단계 ; 상기 엔티티의 상기 공용 키 및 어드레스가 상기 검정 인가측에 전송되도록 상기 검정 인가측이 상기 제2보안 통신 매체를 통해 요청하는 단계 ; 상기 검정 인가측에 의해 제공된 상기 키잉 자료를 사용하여 상기 엔티티의 상기 공용 키 및 어드레스를 보호하고 상기 제2보안 통신 매체를 통해 상기 검정 인가측으로 전송하는 단계 ; 및 상기 검정을 모아서 정리하여 이를 상기 제2보안 통신 매체를 통해 상기 검정 인가측으로부터 상기 엔티티로 제기하며, 상기 검정 인가측의 도메인 내에 있는 공용의 상기 검정 인가측에서 상기 엔티티의 상기 공용 키를 기록하는 단계 포함하는 것을 특징으로 하는 검정 및 키잉 자료의 보호 분배 방법.
제1항에 있어서, 상기 검정 인가측에 의해 발생된, 패스워드를 포함하는 키잉 자료를 상기 제1보안 통신 매체를 통해 상기 엔티티로 전송하는 상기 단계가 상기 제2보안 통신 매체로부터 분리되어 독립적인 상기 제1보안 통신 매체를 선택하는 단계를 더 포함하는 것을 특징으로 하는 검정 및 키잉 자료의 보호 분배 방법.
제1항에 있어서, 상기 검정 인가측에 의해 발생된, 패스워드를 포함하는 키잉 자료를 상기 제1보안 통신 매체를 통해 상기 엔티티로 전송하는 상기 단계가 상기 제1보안 통신 매체용으로 비전자 전송 매체를 선택하는 단계를 더 포함하는 것을 특징으로 하는 검정 및 키잉 자료의 보호 분배 방법.