KR100268095B1 - 데이터통신시스템 - Google Patents

데이터통신시스템 Download PDF

Info

Publication number
KR100268095B1
KR100268095B1 KR1019970028384A KR19970028384A KR100268095B1 KR 100268095 B1 KR100268095 B1 KR 100268095B1 KR 1019970028384 A KR1019970028384 A KR 1019970028384A KR 19970028384 A KR19970028384 A KR 19970028384A KR 100268095 B1 KR100268095 B1 KR 100268095B1
Authority
KR
South Korea
Prior art keywords
key
server
client
user
private key
Prior art date
Application number
KR1019970028384A
Other languages
English (en)
Other versions
KR19980032189A (ko
Inventor
크리스토퍼 제임스 할러웨이
Original Assignee
포만 제프리 엘
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포만 제프리 엘, 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 포만 제프리 엘
Publication of KR19980032189A publication Critical patent/KR19980032189A/ko
Application granted granted Critical
Publication of KR100268095B1 publication Critical patent/KR100268095B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

하나 또는 그 이상의 사용자(150)에게 고유한 개인키(SKu)와 함께 공개키 암호법을 이용하여 메시지가 처리될 수 있는 통신 시스템이 기재되어 있다. 이 시스템은 통신망(100)을 통해 클라이언트(110)와 데이터 통신하기에 적합한 서버 수단(130)을 포함하고, 서버 수단(130)은 키 암호화키를 이용하여 암호화되는 각각의 사용자에 대한 개인키가 보안 방식으로 저장되는 제1 데이터 저장 수단을 포함한다. 서버 수단은 클라이언트상에서 실행될 수 있는 애플리트 코드가 저장되는 제2 데이터 저장 수단을 더 포함한다. 또한, 서버는 통신망을 통한 서버에의 클라이언트의 접속에 응답하여 통신망을 통해 클라이언트에 애플리트 코드를 제공한다. 애플리트 코드는, 클라이언트에서 실행될 때 사용자로부터 처리될 메시지를 수신하고, 통신망을 통해 서버 수단으로부터 사용자에 대한 암호화된 개인키를 검색하고, 사용자로부터 키 암호화키를 수신하고, 키 암호화키를 이용하여 개인키를 복호화하고, 복호화된 개인키를 이용하여 메시지에 대한 공개키 처리를 수행하도록 동작하는 보안 처리 수단을 포함한다. 애플리트 코드 및 관련키는 애플리트 코드의 종단시 클라이언트로부터 제거된다.

Description

데이터 통신 시스템{DATA COMMUNICATIONS SYSTEM}
본 발명은 일반적으로 데이터 통신 시스템에 관한 것으로서, 특히 공개키 암호법을 이용하여 메시지를 보안 처리하는 것에 관한 것이다. 본 발명은, 비록 전용적인 것은 아니지만 디지털 서명의 생성에 특별히 적용될 수 있다.
공개키 암호법(public key cryptographic) 알고리즘은 데이터 통신 시스템에서 메시지의 기점(origin)을 인증(authenticate)하거나, 메시지의 보안성 또는 보전성을 보장하기 위해 널리 사용된다. 이와 같은 알고리즘에는 여러 가지 형태가 존재하는데, 그중 잘 알려진 한 가지 변형은 RSA 알고리즘이다. 1982년도 Wiley, 32-48페이지의 Meyer와 Matyas에 의한 "Cryptography-A New Dimension in Computer Data Security"에는 공개키 암호법 및 RSA 알고리즘에 대한 일반적인 소개가 되어 있다. 이들 알고리즘은 보다 전통적인 대칭키(symmetric key) 알고리즘에 비해 몇가지 뚜렷한 장점을 갖고 있다. 특히, 이들 알고리즘은 어떤 독립적인 제3자가 중앙 인증국(central authority)에 대한 조회 없이 메시지를 수신하여 검증할 수 있도록 키를 공표하거나 확인할 수 있는 능력을 제공한다.
데이터 통신에서 공개키 암호법의 이용에 대한 한 예는 디지털 서명의 생성에 이용하는 것이다. 이러한 기술의 원리는 전송될 메시지 및 서명하는 사용자에 의존하는 공개 디지털 값, 즉 서명을 생성하고 그래서 다른 사용자가 아닌 송신측 사용자가 그 서명값을 생성할 수 있고 그 사용자만이 이 메시지에 대한 서명 값을 생성했다는 것을 수신측 사용자가 확신할 수 있도록 하는 것이다.
이와 같은 시스템에 있어서, 메시지에 서명하는 당사자는 대응하는 공개키가 존재하는 개인키(private key)를 갖고 있다. 공개키는 서명자가 개인키를 이용하여 암호화한 데이터를 복호화(decrypt) 하기 위해 누구라도 이용할 수 있지만, 이 개인키에 대한 억세스 없이는 누구도 이와 같은 암호화된 데이터를 생성할 수는 없다.
통상적으로, 서명자는 다른 메시지가 동일한 값을 발생하게 될 가능성이 극히 낮게 되도록 강력한 해쉬 알고리즘을 이용하여 메시지로부터 해쉬값을 발생한다. 비록 동일한 값을 발생하게 되는 상이한 메시지를 판단할 수 있는 허용된 방법은 없지만, 이 값을 계산하는 방법은 일반에게 알려져 있다. 서명자는 개인키를 이용하여 이 값을 암호화하고, 그 메시지 및 암호화된 값을 수신자에 전송한다. 암호화된 값은 이 기술에서 일반적으로 "디지털 서명(digital signature)"으로서 알려져 있다.
수신자는 이 값을 해독하기 위해 공개키를 이용할 수 있으며, 그 메시지에 대한 계산이 동일한 값을 발생하는지 테스트할 수 있다. 만일 동일한 값이 발생된다면, 그것은 그 메시지가 서명된 것이라는 것을 수신자에게 충족시키게 되는데, 그 이유는 동일한 값을 발생하는 다른 메시지를 계산할 수 있는 허용된 방법이 없기 때문이다. 수신자는 또한 그 서명자가 그 메시지에 진정으로 서명했다는 것을 확신할 수 있는데, 그 이유는 개인키에 대한 억세스 없이는 누구도 암호화된 값을 생성할 수 없기 때문이다.
그러나 이와 같은 공개키 암호화 방식은 계산학상 매우 복잡하고 어려우며, 대칭키(symmetric key) 방식보다 암호화 및 복호화를 위해 처리 전력 및 메모리 요구조건과 같은 상당히 고도의 컴퓨팅 자원을 요구한다.
데이터 통신에 대한 공개키 암호법의 많은 응용에 있어서, 메시지는 보안장치의 제어하에 처리되고 사용자에 의해 제공되어야 한다. 보안 장치는 가정용 컴퓨터 단말이나 또는 스마트 카드, PCMCIA 카드, 랩탑 컴퓨터와 같은 휴대용 장치가 될 수도 있다. 비록 검증될 수 있는 것보다 더 적은 계산적 노력으로 메시지가 서명될 수 있도록 하는 방법들이 제안되었지만, 1994년 5월 19일자로 연방 정보 처리 표준(FIPS)186에 공표된 미국 상무성/국립 표준 기술 협회(NIST)의 디지털 서명 표준에서 볼 수 있는 바와 같이, 현재의 기술을 이용하여 수용가능한 시간에 충분히 강력한 공개키 처리를 수행하기 위해 필요한 처리 전력 또는 메모리를 가진 보안 장치를 제공하는 것은 여러 가지 경우에 실용적이지 못하며 비용면에서도 효과적이지 못하다.
보안 장치가 비밀키를 서버에 알려줄 필요 없이 보안장치로 하여금 강력한 서버 컴퓨터의 도움으로 공개키 처리를 수행할 수 있도록 하는 여러 가지 방법이 종래 기술에서 제안되었다. 이러한 기술의 예는 예를들어 Advances in Cryptology- Asiacrypt 91 Proceedings 1993의 450-459 페이지의 Laih 등의 "Two efficient server-aided secret computation protocols based on the addition sequence"에서 찾아 볼 수 있다.
비록 이들 방법은 문제점을 경감시키는데 약간의 효과가 있지만, 사용자 소유의 장치에 비밀키를 저장하는데 있어 본질적인 몇가지 단점이 있다.
첫번째로는, 비밀키를 얻기 위해 장치를 시험하는 시도를 할 수도 있다는 것이다.
두번째로는, 서명자의 개인키가 누설되는 경우에, 다른 사용자가 메시지 처리를 위해 그것을 이용할 수도 있다는 것이다. 이러한 상황에서는, 권한을 부여받지 않은 사용자가 그 개인키를 더 이상 사용하지 못하도록 그 비밀키를 폐지하기 위한 수단이 요구된다. 보안장치가 항상 시스템에 접속되어 있는 것은 아니며 어떤 시점에서 시스템에 재접속될 수 있기 때문에, 비밀키의 이용을 철회시키거나 방지하는 것은 현실적으로 매우 어렵다. 통상적으로 이것은 여러 가지 형태의 사용자 블랙리스트를 이용하여 실현되어 왔다. 그러나, 특히 광범위한 네트워크를 통해 이러한 리스트의 인증을 제어, 갱신, 검증하는 것과 관련된 많은 현실적인 어려움이 있다.
또한, 서명 목적을 위해 공개키 알고리즘을 이용하는 몇몇 스마트 카드 구현에 있어서는 스마트 카드내에서 사용자의 공개키 및 개인키 쌍을 생성할 수 없기 때문에, 키가 최초로 보안 장치로 적재될 때 잠재적인 보안 노출의 가능성이 있다. 그 이유는 암호화 및 복호화 기능보다 키 생성 알고리즘이 훨씬 복잡하기 때문이다. 그러므로, 카드에 비밀키를 저장할 필요가 있는 경우에, 카드 밖에서 비밀키를 생성하고 그 비밀키를 초기화 프로세스 동안에 카드에 입력시킬 필요성이 있을 수도 있다. 이러한 초기화 프로세스는 불가피하게 키를 다소 노출시키게 된다.
유럽 특허원 EP 0 725 512 A2 에는 각각의 사용자가 보유한 휴대용 보안장치의 제어하에 하나 또는 그 이상의 사용자에 고유한 개인키가 있는 공개키 암호법을 이용하여 메시지가 처리되는 통신 시스템이 기재되어 있는데, 이 시스템은 휴대용 보안 장치와 데이터 통신을 하기에 적합하게 되어 있고, 개인키를 이용하여 공개키 처리를 수행하기 위한 서버를 포함하고 있으며, 이 서버는 오직 암호화된 형태로 각각의 사용자에 대한 개인키가 보안 방식으로 저장되는 데이터 저장 수단을 포함하거나 억세스 하며, 개인키는 키 암호화 키로 암호화되며, 서버는 또한, 사용자로부터 처리될 메시지를 수신하고, 사용자에 대한 암호화된 개인키를 검색하고, 키 암호화 키를 이용하여 개인키를 복호화하고, 복호화된 개인키를 이용하여 메시지에 대한 공개키 처리를 수행하고, 이용후에 키 암호화 키 및 복호화된 개인키를 삭제하기 위한 보안 처리 수단을 포함하는 것을 특징으로 하며, 또한 각각의 보안장치는 키 암호화 키를 저장하거나 생성하고 키 암호화 키를 서버에 제공하기 위한 수단과 처리될 메시지를 지정하기 위한 수단을 포함하고, 이 시스템은 적어도 서버로의 키 암호화 키의 통신이 보안되고, 서버가 단지 사용자에 의해 지정된 메시지를 처리하기 위해 키 암호화 키를 사용할 수 있도록 구성되어 있는 것을 특징으로 한다.
EP 0 725 512호에 기재된 통신 시스템에 있어서는, 공개키 알고리즘이 보안 서버에 의해 수행된다. 그러나, 서버는 암호화된 형태의 개인키만을 억세스 한다. 휴대용 보안 장치는 서버로 하여금 개인키를 복호화하고, 그것을 이용하고, 이용후에는 그 개인키를 삭제할 수 있도록 하기 위한 키를 서버에 제공하므로써 공개키 처리를 제어한다.
본 발명은 어떠한 암호법 알고리즘 또는 키(Key)도 권한을 부여받은 사용자에 의해 보유되는 것을 필요로 하지 않고, 권한을 부여 받은 사용자만이 특정 메시지의 처리 권한을 부여할 수 있었다는 것을 나타낼 수 있도록 하는 방식으로 권한을 부여받은 사용자를 대신하여 공개키 처리를 이용하여 메시지가 처리될 수 있도록 하는 보안 방법을 제공하는 문제에 관한 것이다.
도1은 통신 시스템의 한 예의 블록도.
도2는 디지털 서명의 생성과정을 도시하는 도면.
도3은 도1의 통신 시스템에서 애플리트의 전송을 도시하는 도면.
도4는 도1의 통신 시스템에서 애플리트의 생성과정을 도시하는 도면.
*도면의 주요부분에 대한 부호의 설명
100:WWW 110:클라이언트 컴퓨터 시스템
120:스마트 카드 130:서버 컴퓨터 시스템
150:사용자
전술한 문제점을 해결하기 위해, 본 발명에 따르면, 하나 또는 그 이상의 사용자에게 고유한 개인키와 함께 공개키 암호법을 이용하여 메시지를 처리하기 위한 통신 시스템이 제공되는데, 이 시스템은, 각각의 사용자를 위해 키 암호화 키로 암호화되는 개인키를 보안 방식으로 저장하기 위한 제1 데이터 저장 수단을 포함하고 있는, 통신망을 통해 클라이언트와 데이터 통신을 하기에 적합한 서버 수단을 포함하고; 서버 수단은 클라이언트상에서 실행될 수 있는 애플리트 코드가 저장되는 제2 데이터 저장수단을 더 포함하고, 또한 서버 수단은 통신망을 통한 서버에의 클라이언트의 접속에 응답하여 통신망을 통해 클라이언트에 애플리트 코드를 제공하고; 애플리트 코드는 클라이언트에서 실행될 때, 사용자로부터 처리될 메시지를 수신하고, 통신망을 통해 서버 수단으로부터 사용자에 대한 암호화된 개인키를 검색하고, 사용자 또는 각각의 사용자로부터 키 암호화 키를 수신하고, 키 암호화 키를 이용하여 개인키를 복호화하고, 복호화된 개인키를 이용하여 메시지에 대한 암호법 키 처리를 수행하도록 동작하는 보안 처리 수단을 포함하고; 애플리트 코드 및 관련키는 애플리트 코드의 종단시 클라이언트로부터 제거되는 것을 특징으로 한다.
바람직하게도, 보안 처리 수단은, 등록하는 사용자의 최초 등록중에 클라이언트에서 실행될 때, 개인키 및 관련 공개키를 생성하고, 등록하는 사용자로부터 키 암호화 키를 수신하고, 등록하는 사용자로부터 수신된 키 암호화 키를 이용하여 개인키를 암호화하고, 제1 데이터 저장 수단에 저장하기 위해 암호화된 개인키 및 공개키를 클라이언트로부터 서버 수단으로 전송하도록 동작한다.
본 발명의 양호한 실시예에서, 서버 수단은, 상기 암호화된 개인키를 저장하기 위한 키 서버와, 통신망에 접속된 웹 서버, 및 웹서버를 키 서버에 접속하는 화이어-월(fire-wall)을 포함하고, 키 서버는 개인키를 웹 서버를 통해 클라이언트에 제공한다.
본 발명의 다른 관점에 따르면, 하나 또는 그 이상의 사용자에게 고유한 개인키와 함께 공개키 암호법을 이용하여 메시지를 처리하기 위한 방법이 제공되는데, 이 방법은, 통신망을 통해 클라이언트와 데이터 통신하기에 적합하고 사용자 또는 각각의 사용자에 대한 개인키가 보안 방식으로 저장되는 서버 수단에 키 암호화키를 이용하여 암호화된 개인키를 저장하는 단계; 클라이언트상에서 실행될 수 있는 애플리트 코드를 서버 수단에 저장하는 단계; 통신망을 통한 상기 서버로의 클라이언트의 접속에 응답하여 서버로부터의 애플리트 코드를 통신망을 통해 클라이언트로 전송하는 단계; 애플리트 코드를 통해 클라이언트로 보안 처리 수단을 제공하는 단계; 사용자로부터 처리될 메시지를 보안 처리 수단을 통해 클라이언트에 의해 수신하는 단계; 통신망을 통한 서버 수단으로부터의 사용자에 대한 암호화된 개인키를 보안 처리수단을 통해 클라이언트에 의해 검색하는 단계; 사용자로부터의 키 암호화 키를 보안 처리 수단을 통해 클라이언트에 의해 수신하는 단계; 보안 처리 수단을 통해 클라이언트에서, 키 암호화 키를 이용하여 개인키를 복호화하는 단계; 보안 처리 수단을 통해 상기 클라이언트에서, 복호화된 개인키를 이용하여 메시지에 대한 암호법 키 처리를 수행하는 단계; 및 애플리트 코드의 종단시 애플리트 코드 및 관련된 키 및 알고리즘을 클라이언트로부터 제거하는 단계를 포함한다.
바림직하게도, 이 방법은 또한, 등록하는 사용자의 최초 등록중에 보안 처리 수단을 통해 클라이언트에서, 개인키 및 관련 공개키를 생성하는 단계; 등록하는 사용자로부터 키 암호화 키를 수신하는 단계; 등록하는 사용자의 최초 등록중에 보안 처리 수단을 통해 클라이언트에서, 등록하는 사용자로부터 수신된 키 암호화 키를 이용하여 개인키를 암호화하는 단계; 및 제1 데이터 저장 수단에 저장하기 위해 암호화된 개인키 및 공개키를 클라이언트로부터 상기 서버 수단으로 전송하는 단계를 포함한다.
본 발명의 또 다른 관점에 따르면, 하나 또는 그 이상의 사용자에게 고유한 개인키와 함께 공개키 암호법을 이용하여 메시지가 처리되는 통신 시스템을 위한 서버 컴퓨터 시스템이 제공되는데, 이 시스템은, 통신망을 통해 클라이언트와 데이터 통신하기 위한 통신 수단; 및 키 암호화 키를 이용하여 암호화되는 사용자 또는 각각의 사용자에 대한 개인키를 보안 방식으로 저장하기 위한 제1 데이터 저장 수단을 포함하고; 서버 시스템은 클라이언트상에서 실행될 수 있는 애플리트 코드가 저장되는 제2 데이터 저장 수단을 더 포함하고, 서버는 통신망을 통한 클라이언트로의 서버의 접속에 응답하여 통신망을 통해 클라이언트에 애플리트 코드를 제공하고; 애플리트 코드는, 클라이언트에서 실행될 때, 사용자로부터 처리될 메시지를 수신하고, 통신망을 통해 서버 수단으로부터 사용자에 대한 암호화된 개인키를 검색하고, 사용자로부터 키 암호화 키를 수신하고, 키 암호화 키를 이용하여 개인키를 복호화하고, 복호화된 개인키를 이용하여 메시지에 대한 암호법 키 처리를 수행하도록 동작하는 보안 처리 수단을 포함하고; 애플리트 코드 및 관련된 키 및 알고리즘은 애플리트 코드의 종단시 클라이언트로부터 제거되는 것을 특징으로 한다.
이제 본 발명은 첨부 도면을 참조하여 단지 예로써 설명되게 된다.
간략하게 설명될 본 발명의 양호한 실시예는 인터넷을 통해 동작하도록 구성되어 있다. 특히, 간략하게 설명될 양호한 실시에는 인터넷을 통해 제공되는 설비중 하나인 월드와이드 웹(WorldWide Web : WWW)을 통해 동작하도록 구성되어 있다. WWW는 많은 상이한 서버에 걸쳐 분배되어 있는 많은 정보 페이지 또는 파일을 포함하고 있다. 각각의 페이지는 유니버셜 리소스 로케이터(Universal Resource Locator : URL)에 의해 식별된다. 각각의 URL은 서버 머신 및 그 서버 머신상의 특정 파일 또는 페이지 모두를 의미한다. 단일 서버에 많은 페이지 또는 URL이 내재할 수도 있다.
WWW를 이용하기 위해, 사용자는 개인용 컴퓨터와 같은 클라이언트 컴퓨터 시스템상에서 웹 브라우저(Web browser)로 불리는 컴퓨터 프로그램을 실행한다. 널리 이용가능한 웹 브라우저의 예에는 OS/2 운영 체제 소프트웨어로 IBM사에 의해 제공되는 "WebExplorer" 웹 브라우저나 또는 넷스케이프 커뮤니케이션 코포레이션으로부터 이용할 수 있는 "Navigator" 웹 브라우저가 있다. 사용자는 특정 URL을 선택하기 위해 웹 브라우저와 대화한다. 대화(interaction)로 인해 브라우저는 선택된 URL에서 식별된 페이지 또는 파일에 대한 요구를 선택된 URL에서 식별된 서버로 전송하게 된다. 통상적으로, 서버는 요구된 페이지를 검색하고, 요구한 클라이언트에 그 페이지에 대한 데이터를 다시 전송하므로써 그 요구에 응답한다. 클라이언트-서버의 대화는 통상적으로 하이퍼텍스트 전송 프로토콜(HyperText Transfer Protocol: HTTP)로 불리는 프로토콜에 따라 수행된다. 다음에, 클라이언트에 의해 수신된 페이지는 클라이언트의 디스플레이 스크린상에서 사용자에게 디스플레이된다. 클라이언트는 또한 서버로 하여금 예를들어, 특정 토픽에 관련된 WWW 페이지를 검색하는 것과 같이 응용프로그램을 런치(launch)하도록 할 수도 있다.
WWW 페이지는 통상적으로 하이퍼텍스트 마크-업 언어(Hypertext Mark-up Language : HTML)로서 알려진 컴퓨터 프로그래밍 언어에 따라 포맷된다. 그러므로, 통상적인 WWW 페이지는 예를 들어, 폰트 스타일, 폰트 크기, 레이-아웃 등을 제어하기 위해 사용될 수 있는 태그로서 언급되는 내장된 포맷팅 명령어와 함께 텍스트를 포함하고 있다. 웹 브라우저는 지정된 포맷에 따라 텍스트를 디스플레이 하기 위해 HTML 스크립트(script)를 분석(parse)한다. 또한, HTML 페이지는 다른 URL에 관하여 영상, 비디오 세그먼트, 또는 오디오 파일과 같은 멀티미디오 데이터의 일부에 대한 레퍼런스(reference)를 포함할 수도 있다. 웹 브라우저는 멀티미디어 데이터를 검색하여 디스플레이 또는 플레이하므로써 이와 같은 레퍼런스에 응답한다. 이와 달리 멀티미디어 데이터는 HTML 텍스트에 수반되지 않고 그 자체의 WWW 페이지상에 내재할 수도 있다.
HTML 텍스트, 그래픽스, 멀티미디어 데이터 및 URL에 더하여 WWW 페이지는 또한 애플리트(applet)로서 일반적으로 알려진 컴퓨터 프로그램 코드를 포함할 수도 있다. 웹 브라우저가 WWW 페이지에 애플리트가 내장된 것으로 판단하면, 그 애플리트는 그 웹 브라우저가 내재하는 로컬 시스템에 WWW 페이지가 내재하는 서버로부터 다운로드된다. 다음에, 애플리트는 웹 브라우저에 의해 웹 브라우저 내에서 실행된다. 애플리트는 일반적으로 미합중국, 캘리포니아 소재의 선 마이크로시스템에 의해 개발된 JAVA(JAVA는 선 마이크로시스템의 상표) 프로그래밍 언어와 같은 객체 지향 프로그래밍 언어로 기록된다.
대부분의 WWW 페이지는 또한 다른 WWW 페이지에 대한 하나 또는 그 이상의 레퍼런스(references)를 포함하는데, 이것은 원래의 페이지와 동일한 서버에 내재할 필요가 없다. 이와 같은 레퍼런스는 통상적으로 마우스 제어 버튼을 클릭하므로써 스크린상의 특정 위치(locations)를 선택하는 사용자에 의해 활성화될 수도 있다. 이들 레퍼런스 또는 위치는 하이퍼링크로서 알려져 있으며, 통상적으로 특정 방식으로 웹 브라우저에 의해 플래그된다. 예를 들어, 하이퍼링크와 관련된 텍스트는 다른 칼라로 디스플레이 될 수 있다. 만일 사용자가 하이퍼링크 텍스트를 선택하면, 레퍼런스된 페이지는 검색되어 현재의 디스플레이되는 페이지를 대체하게 된다.
HTML 및 WWW에 관한 다른 정보는 1994년 12월에 발간된 "Dr Dobbs Journal" 18-26 페이지의 더글라스 맥아더의 "Worldwide Web and HTML"과 1995년에 뉴욕에서 발간된 죤 윌리, 이안 그레이함에 의한 "The HTML SourceBook"에서 찾아볼 수 있다. JAVA 프로그래밍 언어 및 애플리트에 관한 다른 정보는 1996년 인디아나폴리스, 샘스 네트의 로라 레메이와 찰스 퍼킨스에 의한 "Teach Yourself Java in 21 Days"에서 찾아 볼 수 있다.
이제 도1을 참조하면, WWW(100)를 포함하는 통신 시스템이 도시되어 있다. 이 WWW(100)에는 클라이언트 컴퓨터 시스템(110)이 접속되어 있다. WWW(100)와 클라이언트 컴퓨터 시스템(110) 사이의 접속은 모뎀 링크, 근거리 통신망(LAN), 광대역 통신망(WAN) 또는 그 조합을 통해 구현될 수 있다. 클라이언트 컴퓨터 시스템(110)은웹 브라우저(105)를 포함하고 있으며 또한 부가적으로 스마트 카드(120)와 함께 운영하기 위한 스마트 카드 판독기(reader)를 포함할 수도 있다. 또한 WWW(100)에는 필수적인 것은 아니지만 중간 통신망을 통해 서버 컴퓨터 시스템(130)이 접속된다. 서버 컴퓨터 시스템(130)은 "화이어월(firewall)"(137)을 통해 키 서버 컴퓨터(138)에 접속된 웹 서버 컴퓨터 (136)를 포함한다. 웹 서버(136)에는 클라이언트(110)상의 브라우저(105)에 의해 억세스 가능한 WWW 페이지(135)가 저장된다. 간략하게 후술되는 바와 같이 WWW 페이지(135)는 예를 들어 은행이나 소매점 또는 그 비슷한 서비스가 될 수도 있는, 수신자와 사용자(150) 사이의 메시지 처리를 용이하게 한다. 화이어월(137)은 WWW(100)로부터 키 서버(138)를 스크린한다. 또한 WWW(100)에는 예를들어 메인프레임 컴퓨터(140)로서 도시된, 사용자(150)로부터의 메시지의 다른 가능한 수신처(destination)가 접속된다. 클라이언트(100)는 예를들어, PC 홈 단말이 될 수 있다. 스마트 카드(120)는 사용자(150)의 소유로 되어 있다. 이러한 구성에 있어서는 사용자(150)는 디지털 서명을 이용하여 클라이언트(110)에 의해 생성되는 메시지에 서명할 수 있다. 메시지는 예를들어, WWW 페이지(135)가 사용자 뱅크에 속해 있는 경우에 사용자의 계정(account)을 위한 데빗(debit) 명령어를 포함할 수 있다.
비록 이들 실시예에서는 서버(130)가 명료성을 위해 독립적인 컴퓨터 시스템으로 가정되었지만, 서버(130)의 기능은 메인프레임 컴퓨터(140)에서 실행되는 프로세스에 의해서도 동일하게 수행될 수 있다는 것은 다음의 설명으로부터 이해될 것이다. 또한, 비록 여기서 설명되는 본 발명의 실시예에서 서버 컴퓨터 시스템(130)은 복수의 서버 컴퓨터를 포함하고 있지만, 본 발명의 다른 실시예에서는 서버 컴퓨터 시스템(130)이 단일의 컴퓨터를 포함할 수도 있다.
후술되는 설명은 공개키/개인키 메시지 암호화에 대한 간략한 설명이며, 여기서 키(KEY)를 이용하여 암호화된 수량 A를 나타내기 위해 기호 EKey(A)가 사용된다.
도2는 공개키 암호법을 이용한 디지털 서명의 생성 및 이용에 관한 원리의 간단한 예를 도시하고 있다. 이러한 형태의 디지털 서명은 본 발명의 다른 실시예에서도 동일하게 사용될 수도 있는, 공개키 암호법을 이용한 많은 디지털 서명의 생성 기술중 하나일 뿐이라는 것을 알수 있을 것이다. 도2는 서로 통신하길 원하고 다른 사용자의 신분을 확신하길 원하는 두 사용자를 도시하고 있다. 각각의 사용자는 공개키 및 개인키 쌍 PK, SK를 포함하고 있다. 각각의 사용자는 그 공개키를 각각의 다른 사용자와 공유한다. 정상적으로 각각의 사용자는 그 각각의 개인키의 비밀을 유지하게 되지만, 공개키는 통신하길 원하는 누구라도 이용할 수 있다.
사용자 A가 데이터 통신망을 통해 사용자 B에 메시지 MSG를 전송하길 원하는 것으로 가정하자. 디지털 서명은 다양한 공지된 형태가 있는, 강력한 해쉬 함수(strong hashing function)를 이용하여 메시지의 해쉬값을 먼저 생성함으로써 메시지로부터 생성된다. 디지털 서명을 계산하기 위해 사용하기 적합한 강력한 해쉬 알고리즘의 한 예는 미합중국 특허 제 4,908,861호에 기재되어 있다. 관련된 특정 해쉬 함수는 사용자 B에게도 알려져 있는 것으로 가정하자. 다음에 해쉬값은 디지털 서명 ESKa(Hash(MSG))를 생성하기 위해 사용자 A의 비밀키를 이용하여 암호화된다. 다음에는, 메시지가 디지털 서명과 함께 사용자 B로 전송된다. 사용자B는 공개키 Pka를 이용하여 그 디지털 서명을 복호화하고 그 얻어진 값을 그 메시지로부터 얻어지는 해쉬값과 비교하므로써 그 메시지의 인증을 검증할 수 있다. 비록 본 발명의 실시예는 특정 형태 Eska(Hash(MSG))로된 디지털 서명을 레퍼런스하여 설명되지만, 본 발명은 다른 형태의 디지털 서명이 사용되는 시스템에도 동일하게 적용될 수 있다는 것을 알 수 있을 것이다.
실제적으로, 공개키 Pka의 보전성은 그 키를 확인하기 위한 역할을 가진 제3자에 의해 확인되게 된다. 이것은 Pka가 진정으로 다른 사람이 아닌 사용자 A와 관련된 공개키라는 것을 사용자 B에게 충족시키는 작용을 하게 된다. 이와 같은 공개키의 확인 및 분배는 이 기술에 잘 알려져 있으며, 따라서 여기서 더 이상 설명되지 않는다. 이러한 확인에 대한 논의는 CCITT Recommendation X.509 Directory service(1988) 에서 찾아볼 수 있다.
다시 도3을 참조하면, 본 발명의 양호한 실시예에서, 사용자 소유의 개인키 Sku는 키 서버(138)의 저장부나 또는 키 서버(138)가 억세스하는 데이터 저장수단에 저장된다. 개인키 Sku는 서버 시스템(130)으로부터 웹 서버(136)와 WWW(100)를 통해 애플리트 Ap내에서 사용자(150)로 전달된다. 애플리트 Ap는 예를들어 전술한 JAVA 프로그래밍 언어로 기록될 수 있다. 이러한 구성에 있어서는 키 및 암호법 알고리즘이 단지 그것을 소유한 사용자에 의해서 요구되는 때에 클라이언트(100)로 다운로드되기 때문에 도난이나 악용의 위험이 감소된다는 것을 다음의 설명으로부터 알게될 것이다. 또한 SSL(Secure Sockets Layer) 및 SHTTP(Secure HyperText Transfer Protoclo)과 같은 WWW 보안은 단지 서버(130)까지만 데이터를 보호한다. 곧 명백해지는 바와 같이 여기서 설명되는 애플리트 해결책은 비지니스 애플리케이션들 사이의 종단간(end-to-end)에 보안이 이루어질수 있도록 한다.
동작시, 권한 받을 것을 요구하는 사용자가 클라이언트(110)상의 브라우저(105)를 통해 웹서버(136)상의 WWW페이지(135)를 억세스하는 경우에, 서버 시스템(130)은 애플리트 Ap를 컴파일 한다. 애플리트 Ap는 키 서버(138)에 저장된 요구한 사용자의 암호화된 개인키 Eppu(SKu) 및 관련 암호법 알고리즘 모두를 포함한다. 다음에, 서버(130)는 애플리트 Ap를 WWW(100)를 통해 브라우저(105)로 전송한다. 브라우저(105)에서, 개인키 SKu는, 요구된 사용자가 소유한 사용자의 패스 어구(pass phrase) PPu를 알고 있고, 따라서 클라이언트(110)로 입력시킬 수 있는 경우에만 애플리트에 의해 사용될 수 있다. 패스-어구 PPu에 대한 인지에 의해 메시지에 "서명"하기 위해 개인키 SKu를 이용할 수 있도록 하므로써 소유한 사용자의 신분이 입증되게 된다. 애플리트 Ap 또는 브라우저(105)가 종료되면, 그 알고리즘 및 키는 클라이언트(110)의 메모리로부터 소실된다.
본 발명의 양호한 실시예에서는, 사용자 등록 단계, 사용자 서명 단계, 사용자 인증 단계, 메시지 보안 단계, 사용자 재등록 단계, 및 해지(Revocation) 단계를 지원하는 애플리트 Ap에 의해 트랜잭션의 보안이 이루어진다. SSL 과 같은 종래의 암호법 기술은 서버(130)의 신빙성을 입증하기 위해 사용될 수 있다.
애플리트 Ap는 또한 서버, 랜덤 시드(random seed) R(s), 타임 스탬프 T(s) 및 넌스(nonce) Ncs에 각각 속하는 데이터 보전성 공개키 확인자(certificate) PUB(i,s) 및 데이터 신뢰성 공개키 PUB(c,s)를 포함한다. 전술한 값중에서 마지막 3개의 값은 모두 동일한 값이 될 수 있다. 브라우저(105)에서, 애플리트(Ap)는 시드 R(s)의 함수로서 랜덤 시메트릭 알고리즘키 KS(m, a)를 비-결정론적으로 생성하고 그것을 PUB(c,s)를 이용하여 암호화된 서버 시스템(130)으로 복귀시킨다. 다음에 이 알고리즘키 KS(m, a)는 메시지 인증 코드(MACs) 및 암호화 모두를 이용하여 클라이언트(110)로부터 서버 시스템(130)으로 다시 전송되는 메시지 데이터를 보호하기 위해 사용될 수 있다.
사용자 등록 단계에는 3개의 단계, 즉 레지스터에 신청하는 단계, 등록을 승인하는 단계, 및 등록을 갱신하는 단계가 있다.
레지스터에 신청하는 단계에서, 사용자는 등록을 신청한다. 그러면, 키는 모두 생성되지만 사용자(150)가 그 키의 이용을 승인할 때까지는 암호법적으로 디스에이블된다. 다음에, 애플리트 Ap는 사용자에게 서버 시스템(130)에 의해 필요로 될 수도 있는 명칭, 계정 번호, 어드레스 등과 같은 등록 데이터를 입력시키도록 요구한다. 애플리트 Ap는 또한 사용자에게 패스 어구(pass phrase) PPu를 입력시키도록 요구하고, 이 패스 어구는 일단 발생되면 사용자(150)의 개인키 SKu를 암호화하는데 이용되게 된다. 패스 어구는 예를 들어 스마트 카드(120)에 저장될 수도 있다. 애플리트 Ap는 또한 새로운 개인/공개 키 쌍 SKu/PKu을 생성하고, 서버 시스템(130)으로 회답하기 위한 확인자 요구 메시지를 형성한다. 확인자 요구 메시지는 타임 스탬프 T(s) 및 사용자 등록 상세와 함께 공개키 PKu 및 암호화된 개인키 Eppu(SKu)를 포함한다. 메시지의 MAC는 넌스 N(s)을 산입하여 계산된다. 이것은 동일한 원래의 요구에 대해 2개의 등록이 이루어지는 것을 방지한다. 메시지는 서버 시스템(130)으로 전송하기 전에 암호화된 메시지에 자체적으로 부가된 알고리즘 키 KS(m,a)를 이용하여 암호화되고, 또한 데이터 신뢰성 공개키 PUB(c, s)을 이용하여 암호화된다. 이 메시지는 서버 시스템(130)에서 수신되어 검사된다. 다음에는 서버 시스템(130)에서 승인 어구 CPu가 생성되는데, 이것은 보안 스테이셔너리(secure stationery)에 프린트되고 예를 들어 우편을 이용하여 사용자(150)에게 디스패치된다. 승인 어구 CPu는 또한 사용자 소유의 개인키 SKu를 암호화하기 위한 암호화키로서 사용된다. 암호화된 개인키 Ecpu(Eppu(SKu))는 서버 시스템(130)의 키 서버(138)에 있는 메모리에 저장되거나, 또는 다른 실시예에서는 서버 시스템(130)이 보안 억세스 하는 독립적인 데이터 기억장치에 저장된다. 메모리에서, 개인키 SKu는 승인을 대기하고 있는 요구한 사용자의 신분에 인덱스된다. 패스 어구 PPu와 승인 어구 CPu가 반드시 키로서 사용될 필요는 없다. 본 발명의 몇몇 실시예에서 어구는 암호화키를 발생하기 위해 SHA-1과 같은 메시지 다이제스트 또는 해쉬 알고리즘에 의해 처리될 수 있다. 패스 어구 PPu 및 그 해쉬는 서버 시스템(130)에 알려져 있지 않으며, 따라서 서버 시스템(130)이 개인키 SKu를 이용하는 것을 방지한다.
등록을 승인하는 단계는 부정한 신청이 유효하게 되는 것을 방지하기 위해 탐색한다. 등록을 2단계로 분리시키므로써, 요구된 사용자(150)의 신분을 검증할 수 있고, 사용자(150)로 하여금(예를 들어, 승인 어구의 수신에 응답하여) 문서적인 승인 양식에 서명하여 반송할 기회가 제공된다. 이것은 또한 공개 디렉토리 오프-라인(public directory off-line)에 배치하기 위해 공개키 확인자가 생성될 수 있도록 허용한다. 사용자(150)가 (예를들어, 우편을 통해 승인 어구를 수신하므로써) 등록 승인 단계를 선택하면, 애플리트 Ap는 등록 데이터와 승인 어구 CPu 모두를 요구한다. 다음에, 애플리트 Ap는 입력된 등록 데이터 및 승인 어구 CPu를 암호화하고 인증한다. 등록 데이터 및 승인 어구 CPu는 일단 암호화되고 인증되면, 애플리트 Ap에 의해 서버(130)로 전송된다. 다음에, 서버 시스템(130)은 승인 어구CPu를 이용하여 암호화된 개인키 Ecpu(Eppu(Sku))를 로크해제한다. 다음에는, 개인키 Eppu(SKu)를 올바르게 해독하는지 검증하기 위해 암호화된 개인키 기록의 해쉬값이 서버 시스템(130)에서 보존된다. 보존된 해쉬값은 서버 시스템(130)에 의해 승인 어구 CPu를 통해 해독되는 암호화된 개인키 기록의 해쉬와 비교된다. 이러한 비교로 인해 올바른 승인 어구 CPu 인지를 검증하게 된다. 따라서, 이 단계에서는 여전히 패스 어구 PPu를 통해 암호화되어 있는 개인키 SKu가 서명 기입(sign-in)을 위한 준비로 브라우저(105)내의 애플리트 Ap로 전송될 수 있다.
사용자 서명기입 단계에서, 사용자(150)에게는 등록 서비스나 트랜잭션 서비스를 선택하는 선택권이 제공된다. 등록 서비스에 대해서는 이미 앞에서 설명되었다. 사용자는 통상적으로 등록 서비스보다는 트랜잭션 서비스를 요구하게 된다는 것을 알 수 있을 것이다. 데빗 명령어(debit instruction)와 같은 트랜잭션을 요구하길 원할 때, 사용자(150)는 초기에 그 신분을 클라이언트(110)로 입력시킨다. 이 신분은 등록에 대해 전술한 바와 같이 암호화된 형태로 애플리트 Ap에 의해 서버 시스템(130)으로 전송된다. 서버(130)는 (비록 지금은 승인이 요구되지 않지만) 등록 단계에서 전술한 바와 같이 암호화된 개인키 기록를 반송한다. 개인키 기록은 현재 클라이언트(110)내에서 애플리트 Ap에 의해 보유되지만, 여전히 사용자(150)의 패스 어구 PPu로 암호화되어 있다. 애플리트 Ap는 애플리트 Ap로 하여금 사용을 위한 준비로 개인키 기록을 해독할 수 있게 하도록 사용자에게 패스 어구 PPu를 입력할 것을 요구한다.
개인키 기록은 사용자 인증 단계에서 패스 어구 PPu의 검증을 할 수 있도록 사용자의 등록 데이터와 함께 개인키 자체의 해쉬값을 포함한다. 애플리트 Ap에 의한 개인키 기록의 해독시, 기록된 등록 데이터와 함께 개인키 PKu는 애플리트 Ap에 의해 재해쉬가 이루어진다. 재해쉬에 의해 얻어지는 해쉬값은 애플리트Ap에 의해 기록으로부터의 해쉬값과 비교된다. 기록으로부터의 해쉬값이 재해쉬로부터의 해쉬값과 부합하는 경우 및 그 경우에만 애플리트 Ap에 의해 개인키 Sku가 올바른 것으로 간주되고, 따라서 사용자(150)가 애플리트 Ap에 의해 인증된 것으로 간주된다.
이제 본 발명의 양호한 실시예에서 승인 어구가 암호화된 형태로 전송되는 경우에 승인 프로세스 동안을 제외하고 WWW(100)를 통해 전달되는 어떠한 사용자 패스워드 또는 PIN 넘버도 없이 사용자 인증이 이루어진다는 것을 알 수 있을 것이다. 개인키 SKu는 그 상세내용(details) 및 패스 어구 PPu 에서의 사용자 서명이 애플리트 Ap에 의해 올바른 것으로 결정되는 경우에만 브라우저(105)내의 애플리트Ap에 이용 가능한 상태로 된다.
이제 메시지 보안에 대해 언급하면, 인증 단계에서 애플리트 Ap와 서버 시스템(130)은 대칭 암호화키 KS(m,a)를 공유한다. 또한, 애플리트 Ap는 서버(130)의 공개키 확인자 PUB(i,s)를 보유하고, 서버 시스템(130)은 애플리트 Ap의 공개키 확인자 PUB(i, a)를 보유한다. 애플리트 Ap는 또한 사용자(150)의 개인키 Sku를 보유한다. 그러므로, 메시지는 송신자에 의해 서명되어 수신자에 의해 검증될 수 있으며, 또한 대칭키를 이용하여 암호화될 수도 있다.
본 발명의 몇몇 실시예에서, WWW 페이지(135)를 통해 이용가능한 서비스는 독립된 시스템상에 내재하는 호스트 애플리케이션에 의해 서버 시스템(130)에 제공될 수도 있다. 이와 같은 실시예에서, 호스트 애플리케이션은 메시지 신뢰성 및 보전성을 위해 그 고유의 개인 및 공개키 쌍을 가질 수도 있다. 이와 같은 키들의 공개키 확인자는 서버 시스템(130)에 대한 메시지 보다는 호스트 애플리케이션에 대한 응용 메시지를 보호하기 위해 사용된다. 그러나 등록에 관련한 메시지는 서버 시스템(130)의 영역에 그대로 남아 있다.
본 발명의 몇몇 실시예에서, 호스트 공개키 확인자 PBU(c,h) 및 PUB(i,h)는 또한 서버(130)에 의해 애플리트 Ap에 제공될 수도 있다. 이와 같은 실시예에서 애플리트 Ap는 호스트 애플리케이션에 대한 종단간 신뢰성을 제공하기 위해 호스트 공개키 확인자 PUB(c,h)에 따라 암호화된 다른 종단간 신뢰성 키 KS(m,a)를 생성한다. 이로 인해 서버 시스템(130)이 호스트 애플리케이션의 제공자에 대해 상이한 구성에 의해 운영될 수 있게 된다. 키 및 애플리트는 여전히 서버 시스템(130)에 의해 제공되지만, 애플리케이션 트랜잭션은 호스트 애플리케이션을 통해 루팅되어 종단간을 기반으로하여 보안이 이루어진다.
재등록 단계는 이미 등록된 사용자와 관련하여 기록된 신분에 대해 서버 시스템(130)에 새로운 암호화된 개인키 기록이 부여될 수 있도록 허용한다. 예를 들어, 패스어구, 즉 암호화키가 변경되었기 때문에, 또는 새로운 서명의 개인 및 공개키 쌍이 생성되었기 때문에, 개인키 기록이 변경되었을 수도 있다. 두 경우 모두 패스 어구 및 개인/공개키 쌍이 모두 변경된 것처럼 간주된다. 애플리트 Ap에 의해 서버 시스템(130)으로 전송되는 메시지는 암호화된 새로운 개인키 기록, "새로운(new)" 공개키 값 및 현재의 공개키를 이용한 서명을 포함한다. 이제 서버 시스템(130)에서 공개키 및 개인키 기록이 대체된다. 기존의 유효한 서명 키에 의해 요구가 서명되었기 때문에 승인 처리는 요구되지 않는다. 적절하다면, 새로운 공개키 확인자가 요구되어 발생된다. 이전의 공개키 확인자는 기록보관 목적을 위해 서버 시스템(130)에서 보유된다.
서버 시스템(130)이 비록 암호화되었다 하더라도 개인키를 보유하기 때문에, 서버 시스템(130)은 단순히 그것을 삭제하므로써 그 키를 무효화시킬 수 있다는 것을 알 수 있다. 따라서 이 키는 더 이상 서명을 위해 이용될 수 없게 된다.
전술한 바와 같은 본 발명에 따르면, 어떠한 암호법 알고리즘 또는 키(Key)도 권한을 부여받은 사용자에 의해 보유되는 것을 필요로 하지 않고, 권한을 부여 받은 사용자만이 특정 메시지의 처리 권한을 부여할 수 있었다는 것을 나타낼 수 있도록 하는 방식으로 권한을 부여받은 사용자를 대신하여 공개키 처리를 이용하여 메시지가 처리될 수 있도록 하는 보안 방법이 제공될 수 있다.

Claims (7)

  1. 하나 또는 그 이상의 사용자에게 고유한 개인키(SKu)와 함께 공개키 암호법을 이용하여 메시지를 처리하기 위한 통신 시스템에 있어서,
    상기 사용자 또는 상기 각각의 사용자를 위해 키 암호화 키로 암호화되는 개인키를 보안 방식으로 저장하기 위한 제1 데이터 저장 수단을 포함하고 있으며, 통신망을 통해 클라이언트와 데이터 통신을 하기에 적합하게 되어 있는 서버 수단
    을 포함하고;
    상기 서버 수단은 클라이언트상에서 실행될 수 있는 애플리트 코드가 저장되는 제2 데이터 저장수단을 더 포함하고, 상기 서버 수단은 상기 통신망을 통한 서버로의 상기 클라이언트의 접속에 응답하여 상기 통신망을 통해 상기 클라이언트에 상기 애플리트 코드를 제공하고;
    상기 애플리트 코드는 상기 클라이언트에서 실행될 때, 사용자로부터 처리될 메시지를 수신하고, 상기 통신망을 통해 상기 서버 수단으로부터 사용자에 대한 상기 암호화된 개인키를 검색하고, 상기 사용자 또는 상기 각각의 사용자로부터 키 암호화 키를 수신하고, 상기 키 암호화 키를 이용하여 상기 개인키를 복호화하고, 상기 복호화된 개인키를 이용하여 메시지에 대한 암호법 키 처리를 수행하도록 동작하는 보안 처리 수단을 포함하고;
    상기 애플리트 코드 및 관련 키(associated keys)는 상기 애플리트 코드의 종단시 클라이언트로부터 제거되도록 되어 있는
    통신 시스템.
  2. 제 1 항에 있어서,
    상기 보안 처리 수단은, 등록하는 사용자의 최초 등록중에 클라이언트에서 실행될 때, 상기 개인키 및 관련 공개키를 생성하고, 상기 등록하는 사용자로부터 키 암호화 키를 수신하고, 상기 등록하는 사용자로부터 수신된 키 암호화 키를 이용하여 개인키를 암호화하고, 상기 제1 데이터 저장 수단에 저장하기 위해 상기 암호화된 개인키 및 공개키를 상기 클라이언트로부터 상기 서버 수단으로 전송하도록 동작하는
    통신 시스템.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 서버 수단은, 상기 암호화된 개인키를 저장하기 위한 키 서버와, 상기 통신망에 접속된 웹 서버, 및 상기 웹서버를 상기 키 서버에 접속하는 화이어-월(fire-wall)을 포함하고, 상기 키 서버는 상기 개인키를 상기 웹 서버를 통해 상기 클라이언트에 제공하도록 되어 있는
    통신 시스템.
  4. 하나 또는 그 이상의 사용자에게 고유한 개인키(SKu)와 함께 공개키 암호법을 이용하여 메시지를 처리하기 위한 방법에 있어서,
    통신망을 통해 클라이언트와 데이터 통신하기에 적합하고, 상기 사용자 또는 상기 각각의 사용자에 대한 개인키가 보안 방식으로 저장되는 서버 수단에 키 암호화 키를 이용하여 암호화된 상기 개인키를 저장하는 단계;
    상기 클라이언트상에서 실행될 수 있는 애플리트 코드를 상기 서버 수단에 저장하는 단계;
    상기 통신망을 통한 상기 서버로의 상기 클라이언트의 접속에 응답하여 상기 서버로부터의 상기 애플리트 코드를 상기 통신망을 통해 상기 클라이언트로 전송하는 단계;
    상기 애플리트 코드를 통해 상기 클라이언트로 보안 처리 수단을 제공하는 단계;
    사용자로부터 처리될 메시지를 상기 보안 처리 수단을 통해 상기 클라이언트에 의해 수신하는 단계;
    상기 통신망을 통한 상기 서버 수단으로부터의 사용자에 대한 암호화된 개인키를 상기 보안 처리수단을 통해 상기 클라이언트에 의해 검색하는 단계;
    사용자로부터의 상기 키 암호화 키를 상기 보안 처리 수단을 통해 상기 클라이언트에 의해 수신하는 단계;
    상기 보안 처리 수단을 통해 상기 클라이언트에서, 상기 키 암호화 키를 이용하여 상기 개인키를 복호화하는 단계;
    상기 보안 처리 수단을 통해 상기 클라이언트에서, 상기 복호화된 개인키를 이용하여 상기 메시지에 대한 암호법 키 처리를 수행하는 단계; 및
    상기 애플리트 코드의 종단시 상기 애플리트 코드 및 관련 키와 알고리즘을 상기 클라이언트로부터 제거하는 단계
    를 포함하는 메시지 처리 방법.
  5. 제 4 항에 있어서,
    등록하는 사용자의 최초 등록중에 상기 보안 처리 수단을 통해 상기 클라이언트에서, 상기 개인키 및 관련 공개키를 생성하는 단계;
    상기 등록하는 사용자로부터 키 암호화 키를 수신하는 단계;
    상기 등록하는 사용자의 최초 등록중에 상기 보안 처리 수단을 통해 상기 클라이언트에서, 상기 등록하는 사용자로부터 수신된 상기 키 암호화 키를 이용하여 상기 개인키를 암호화하는 단계; 및
    상기 제1 데이터 저장 수단에 저장하기 위해 상기 암호화된 개인키 및 공개키를 상기 클라이언트로부터 상기 서버 수단으로 전송하는 단계
    를 더 포함하는 메시지 처리 방법.
  6. 하나 또는 그 이상의 사용자에게 고유한 개인키(SKu)와 함께 공개키 암호법을 이용하여 메시지가 처리되는 통신 시스템을 위한 서버 컴퓨터 시스템에 있어서,
    통신망을 통해 클라이언트와 데이터 통신하기 위한 통신 수단; 및
    키 암호화 키를 이용하여 암호화되는 상기 사용자 또는 상기 각각의 사용자에 대한 개인키를 보안 방식으로 저장하기 위한 제1 데이터 저장 수단
    을 포함하고;
    상기 서버 시스템은 상기 클라이언트상에서 실행될 수 있는 애플리트 코드가 저장되는 제2 데이터 저장 수단을 더 포함하고, 상기 서버는 상기 통신망을 통한 상기 클라이언트로의 상기 서버의 접속에 응답하여 상기 통신망을 통해 상기 클라이언트에 상기 애플리트 코드를 제공하고;
    상기 애플리트 코드는, 상기 클라이언트에서 실행될 때, 사용자로부터 처리될 메시지를 수신하고, 상기 통신망을 통해 상기 서버 수단으로부터 사용자에 대한 암호화된 개인키를 검색하고, 사용자로부터 상기 키 암호화키를 수신하고, 상기 키 암호화 키를 이용하여 상기 개인키를 복호화하고, 상기 복호화된 개인키를 이용하여 상기 메시지에 대한 암호법 키 처리를 수행하도록 동작하는 보안 처리 수단을 포함하고;
    상기 애플리트 코드 및 관련 키와 알고리즘은 상기 애플리트 코드의 종단시 상기 클라이언트로부터 제거되도록 되어 있는
    서버 컴퓨터 시스템.
  7. 제 6 항에 있어서.
    상기 암호된 개인키를 저장하기 위한 키 서버와, 상기 통신망에 접속된 웹 서버, 및 상기 웹 서버를 상기 키 서버에 접속하는 화이어-월을 포함하고, 상기 키 서버는 상기 개인키를 상기 웹 서버를 통해 상기 클라이언트에 제공하도록 되어 있는
    서버 컴퓨터 시스템.
KR1019970028384A 1996-10-16 1997-06-27 데이터통신시스템 KR100268095B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB9621601.5 1996-10-16
GB9621601A GB2318486B (en) 1996-10-16 1996-10-16 Data communications system

Publications (2)

Publication Number Publication Date
KR19980032189A KR19980032189A (ko) 1998-07-25
KR100268095B1 true KR100268095B1 (ko) 2000-11-01

Family

ID=10801537

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019970028384A KR100268095B1 (ko) 1996-10-16 1997-06-27 데이터통신시스템

Country Status (4)

Country Link
US (1) US6424718B1 (ko)
JP (1) JP3605501B2 (ko)
KR (1) KR100268095B1 (ko)
GB (1) GB2318486B (ko)

Families Citing this family (140)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671813B2 (en) 1995-06-07 2003-12-30 Stamps.Com, Inc. Secure on-line PC postage metering system
AU5014796A (en) * 1996-03-22 1997-10-17 Hitachi Limited Method and device for managing computer network
US20050021477A1 (en) * 1997-01-29 2005-01-27 Ganapathy Krishnan Method and system for securely incorporating electronic information into an online purchasing application
US6504620B1 (en) * 1997-03-25 2003-01-07 Fuji Photo Film Co., Ltd. Print ordering method, printing system and film scanner
US6178433B1 (en) * 1997-07-15 2001-01-23 International Business Machines Corporation Method and system for generating materials for presentation on a non-frame capable web browser
US7162738B2 (en) 1998-11-03 2007-01-09 Tumbleweed Communications Corp. E-mail firewall with stored key encryption/decryption
DE69836545T2 (de) * 1997-07-24 2007-05-16 Tumbleweed Communications Corp., Redwood City Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
US7117358B2 (en) 1997-07-24 2006-10-03 Tumbleweed Communications Corp. Method and system for filtering communication
US20050081059A1 (en) * 1997-07-24 2005-04-14 Bandini Jean-Christophe Denis Method and system for e-mail filtering
US7127741B2 (en) 1998-11-03 2006-10-24 Tumbleweed Communications Corp. Method and system for e-mail message transmission
US6681017B1 (en) * 1997-09-03 2004-01-20 Lucent Technologies Inc. Simplified secure shared key establishment and data delivery protocols for electronic commerce
US6651166B1 (en) * 1998-04-09 2003-11-18 Tumbleweed Software Corp. Sender driven certification enrollment system
US6925182B1 (en) * 1997-12-19 2005-08-02 Koninklijke Philips Electronics N.V. Administration and utilization of private keys in a networked environment
US7328350B2 (en) 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
FR2779018B1 (fr) * 1998-05-22 2000-08-18 Activcard Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees
US7389413B2 (en) 1998-07-23 2008-06-17 Tumbleweed Communications Corp. Method and system for filtering communication
US6429952B1 (en) * 1998-08-31 2002-08-06 Sharp Laboratories Of America Browser interface to scanner
EP0989478B1 (en) * 1998-08-31 2006-10-18 Irdeto Access B.V. System for providing encrypted data, system for decrypting encrypted data and method for providing a communication interface in such a decrypting system
US7711714B2 (en) * 1998-09-22 2010-05-04 Hitachi, Ltd. Method and a device for sterilizing downloaded files
US6813358B1 (en) * 1998-11-17 2004-11-02 Telcordia Technologies, Inc. Method and system for timed-release cryptosystems
CA2347893C (en) * 1998-11-19 2005-02-01 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
JP3497088B2 (ja) 1998-12-21 2004-02-16 松下電器産業株式会社 通信システム及び通信方法
IL128720A (en) * 1999-02-25 2009-06-15 Cidway Technologies Ltd Method for confirming actions performed over the phone
NL1011600C2 (nl) * 1999-03-19 2000-09-20 No Wires Needed B V Werkwijze voor het inrichten van beveiligd dataverkeer in een computernetwerk.
US6892308B1 (en) * 1999-04-09 2005-05-10 General Instrument Corporation Internet protocol telephony security architecture
US7088459B1 (en) * 1999-05-25 2006-08-08 Silverbrook Research Pty Ltd Method and system for providing a copy of a printed page
US6694025B1 (en) * 1999-06-02 2004-02-17 Koninklijke Philips Electronics N.V. Method and apparatus for secure distribution of public/private key pairs
KR100326140B1 (ko) * 1999-06-24 2002-02-27 강형자 개인키/공개키 기반의 전자 서명 장치
US6760752B1 (en) * 1999-06-28 2004-07-06 Zix Corporation Secure transmission system
US7111172B1 (en) * 1999-07-19 2006-09-19 Rsa Security Inc. System and methods for maintaining and distributing personal security devices
JP2001051917A (ja) * 1999-08-06 2001-02-23 Matsushita Graphic Communication Systems Inc 通信装置および受信通知方法
US7260724B1 (en) * 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
WO2001022651A2 (en) 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
JP2001109799A (ja) * 1999-10-06 2001-04-20 Move Japan:Kk 運送費の見積り装置および見積り方法
WO2001029779A1 (en) 1999-10-18 2001-04-26 Stamps.Com Secure and recoverable database for on-line value-bearing item system
US7251632B1 (en) 1999-10-18 2007-07-31 Stamps. Com Machine dependent login for on-line value-bearing item system
WO2001029741A2 (en) * 1999-10-18 2001-04-26 Stamps.Com Machine dependent login for on-line value-bearing item system
WO2001029776A1 (en) 1999-10-18 2001-04-26 Stamps.Com Cryptographic module for secure processing of value-bearing items
IL134066A (en) * 2000-01-16 2004-07-25 Eluv Holdings Ltd Key encrypted e-mail system
JP3864656B2 (ja) * 2000-01-18 2007-01-10 株式会社日立製作所 データ伝送方法
US6915435B1 (en) * 2000-02-09 2005-07-05 Sun Microsystems, Inc. Method and system for managing information retention
US20020016910A1 (en) * 2000-02-11 2002-02-07 Wright Robert P. Method for secure distribution of documents over electronic networks
US7257542B2 (en) 2000-02-16 2007-08-14 Stamps.Com Secure on-line ticketing
KR20000030740A (ko) * 2000-03-14 2000-06-05 김재홍 통신보안시스템
US6665709B1 (en) * 2000-03-27 2003-12-16 Securit-E-Doc, Inc. Method, apparatus, and system for secure data transport
US7644274B1 (en) * 2000-03-30 2010-01-05 Alcatel-Lucent Usa Inc. Methods of protecting against spam electronic mail
JP2001313636A (ja) 2000-04-28 2001-11-09 Sony Corp 認証システム、認証方法、認証装置及びその方法
US6931549B1 (en) * 2000-05-25 2005-08-16 Stamps.Com Method and apparatus for secure data storage and retrieval
KR100381710B1 (ko) * 2000-07-27 2003-04-26 이종우 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템
US8307098B1 (en) * 2000-08-29 2012-11-06 Lenovo (Singapore) Pte. Ltd. System, method, and program for managing a user key used to sign a message for a data processing system
US20020031225A1 (en) * 2000-09-08 2002-03-14 Hines Larry Lee User selection and authentication process over secure and nonsecure channels
KR100679158B1 (ko) * 2000-09-14 2007-02-05 (주) 엘지텔레콤 이동통신 단말기를 이용한 데이터 다운로드 시스템 및 그다운로드 방법
US7606898B1 (en) 2000-10-24 2009-10-20 Microsoft Corporation System and method for distributed management of shared computers
US20020164036A1 (en) * 2000-12-12 2002-11-07 Philippe Stransky Certification of transactions
US9047609B2 (en) * 2000-11-29 2015-06-02 Noatak Software Llc Method and system for dynamically incorporating advertising content into multimedia environments
US7409061B2 (en) 2000-11-29 2008-08-05 Noatak Software Llc Method and system for secure distribution of subscription-based game software
CA2425887A1 (en) * 2000-12-14 2002-06-20 Silanis Technology Inc. Method and system for the approval of an electronic document over a network
FI111788B (fi) * 2001-01-04 2003-09-15 Nokia Corp Menetelmä yksityisyyden tuottamiseksi tietoliikenneverkossa
US7308477B1 (en) * 2001-01-10 2007-12-11 Cisco Technology, Inc. Unified messaging system configured for transport of encrypted messages
US20020116633A1 (en) * 2001-01-19 2002-08-22 Takuya Kobayashi Data processor
GB2373074B (en) * 2001-03-10 2004-10-13 Ibm A method and apparatus for storage of security keys and certificates
US7100200B2 (en) * 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
EP1276062A1 (en) * 2001-07-12 2003-01-15 Hewlett-Packard Company, A Delaware Corporation A method of providing user-specific data to an information source, a data carrier and a method of personalising a user's internet experience
US7826076B2 (en) * 2001-09-05 2010-11-02 Xerox Corporation System and method for providing secure value-added document network services
US6986050B2 (en) * 2001-10-12 2006-01-10 F-Secure Oyj Computer security method and apparatus
US8819253B2 (en) 2001-11-13 2014-08-26 Oracle America, Inc. Network message generation for automated authentication
GB2388284B (en) * 2001-11-13 2004-04-28 Sun Microsystems Inc Message generation
GB0202431D0 (en) * 2002-02-02 2002-03-20 F Secure Oyj Method and apparatus for encrypting data
FR2841070B1 (fr) * 2002-06-17 2005-02-04 Cryptolog Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne
FR2844656B1 (fr) * 2002-09-18 2005-01-28 France Telecom Procede de signature electronique, programme et serveur pour la mise en oeuvre du procede
US7890543B2 (en) 2003-03-06 2011-02-15 Microsoft Corporation Architecture for distributed computing system and automated design, deployment, and management of distributed applications
US7689676B2 (en) 2003-03-06 2010-03-30 Microsoft Corporation Model-based policy application
US8122106B2 (en) 2003-03-06 2012-02-21 Microsoft Corporation Integrating design, deployment, and management phases for systems
US8261062B2 (en) * 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
WO2004091170A2 (en) * 2003-03-31 2004-10-21 Visa U.S.A. Inc. Method and system for secure authentication
US7500099B1 (en) * 2003-05-16 2009-03-03 Microsoft Corporation Method for mitigating web-based “one-click” attacks
US20040268127A1 (en) * 2003-06-17 2004-12-30 Sahota Jagdeep Singh Method and systems for securely exchanging data in an electronic transaction
US9338026B2 (en) 2003-09-22 2016-05-10 Axway Inc. Delay technique in e-mail filtering system
US8146141B1 (en) 2003-12-16 2012-03-27 Citibank Development Center, Inc. Method and system for secure authentication of a user by a host system
US20050177715A1 (en) * 2004-02-09 2005-08-11 Microsoft Corporation Method and system for managing identities in a peer-to-peer networking environment
US7814543B2 (en) * 2004-02-13 2010-10-12 Microsoft Corporation System and method for securing a computer system connected to a network from attacks
US7603716B2 (en) * 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US7716726B2 (en) * 2004-02-13 2010-05-11 Microsoft Corporation System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
US7778422B2 (en) * 2004-02-27 2010-08-17 Microsoft Corporation Security associations for devices
US8015393B2 (en) * 2004-04-12 2011-09-06 Canon Kabushiki Kaisha Data processing device, encryption communication method, key generation method, and computer program
US20050246529A1 (en) 2004-04-30 2005-11-03 Microsoft Corporation Isolated persistent identity storage for authentication of computing devies
US7929689B2 (en) * 2004-06-30 2011-04-19 Microsoft Corporation Call signs
US7660798B1 (en) * 2004-10-04 2010-02-09 Adobe Systems Incorporated System and method for providing document security, access control and automatic identification of recipients
EP1825412A1 (en) 2004-10-25 2007-08-29 Rick L. Orsini Secure data parser method and system
US7716727B2 (en) * 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US9917819B2 (en) * 2005-01-13 2018-03-13 International Business Machines Corporation System and method for providing a proxied contact management system
US7636940B2 (en) * 2005-04-12 2009-12-22 Seiko Epson Corporation Private key protection for secure servers
US7797147B2 (en) 2005-04-15 2010-09-14 Microsoft Corporation Model-based system monitoring
US8489728B2 (en) 2005-04-15 2013-07-16 Microsoft Corporation Model-based system monitoring
US7802144B2 (en) 2005-04-15 2010-09-21 Microsoft Corporation Model-based system monitoring
US8549513B2 (en) 2005-06-29 2013-10-01 Microsoft Corporation Model-based virtual system provisioning
JP4725955B2 (ja) * 2005-06-30 2011-07-13 株式会社リコー 情報処理装置、メッセージ管理方法、プログラムおよび記憶媒体
US20070067403A1 (en) * 2005-07-20 2007-03-22 Grant Holmes Data Delivery System
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7941309B2 (en) 2005-11-02 2011-05-10 Microsoft Corporation Modeling IT operations/policies
CA2629015A1 (en) 2005-11-18 2008-05-08 Rick L. Orsini Secure data parser method and system
US7673135B2 (en) * 2005-12-08 2010-03-02 Microsoft Corporation Request authentication token
JP4518058B2 (ja) 2006-01-11 2010-08-04 ソニー株式会社 コンテンツ伝送システム、コンテンツ伝送装置及びコンテンツ伝送方法、並びにコンピュータ・プログラム
US8086842B2 (en) * 2006-04-21 2011-12-27 Microsoft Corporation Peer-to-peer contact exchange
BRPI0718581A2 (pt) 2006-11-07 2014-03-11 Security First Corp Sistemas e métodos para distribuir e proteger dados
US8424073B2 (en) * 2006-11-13 2013-04-16 Microsoft Corporation Refreshing a page validation token
EP2482218A3 (en) 2006-12-05 2012-10-31 Security First Corporation Improved storage backup method using a secure data parser
US8510233B1 (en) 2006-12-27 2013-08-13 Stamps.Com Inc. Postage printer
US9779556B1 (en) 2006-12-27 2017-10-03 Stamps.Com Inc. System and method for identifying and preventing on-line fraud
CA2699416A1 (en) 2007-09-14 2009-03-19 Rick L. Orsini Systems and methods for managing cryptographic keys
US8627079B2 (en) 2007-11-01 2014-01-07 Infineon Technologies Ag Method and system for controlling a device
US8908870B2 (en) * 2007-11-01 2014-12-09 Infineon Technologies Ag Method and system for transferring information to a device
CN101939946B (zh) * 2008-01-07 2013-04-24 安全第一公司 使用多因素或密钥式分散对数据进行保护的系统和方法
US9281947B2 (en) * 2008-01-23 2016-03-08 Microsoft Technology Licensing, Llc Security mechanism within a local area network
CN104283880A (zh) 2008-02-22 2015-01-14 安全第一公司 安全工作组管理和通信的系统和方法
JP2009212747A (ja) * 2008-03-04 2009-09-17 Nec Corp 電子署名システム
CN101616142A (zh) * 2008-06-24 2009-12-30 香港城市大学 实现信息加密传输的方法和系统
US8589698B2 (en) * 2009-05-15 2013-11-19 International Business Machines Corporation Integrity service using regenerated trust integrity gather program
JP5757536B2 (ja) * 2009-05-19 2015-07-29 セキュリティー ファースト コープ. クラウド内にデータを確保するシステムおよび方法
US9031876B2 (en) * 2009-06-19 2015-05-12 Hewlett-Packard Development Company, L.P. Managing keys for encrypted shared documents
US8745372B2 (en) 2009-11-25 2014-06-03 Security First Corp. Systems and methods for securing data in motion
WO2011123699A2 (en) 2010-03-31 2011-10-06 Orsini Rick L Systems and methods for securing data in motion
EP2577936A2 (en) 2010-05-28 2013-04-10 Lawrence A. Laurich Accelerator system for use with secure data storage
CN103609059B (zh) 2010-09-20 2016-08-17 安全第一公司 用于安全数据共享的系统和方法
US8971539B2 (en) * 2010-12-30 2015-03-03 Verisign, Inc. Management of SSL certificate escrow
US9191405B2 (en) 2012-01-30 2015-11-17 Microsoft Technology Licensing, Llc Dynamic cross-site request forgery protection in a web-based client application
US8458494B1 (en) * 2012-03-26 2013-06-04 Symantec Corporation Systems and methods for secure third-party data storage
US20140082364A1 (en) * 2012-09-18 2014-03-20 Tommaso Cucinotta Collaborative Uses of a Cloud Computing Confidential Domain of Execution
US20140089202A1 (en) * 2012-09-27 2014-03-27 Michael K. Bond CRM Security Core
US9881177B2 (en) 2013-02-13 2018-01-30 Security First Corp. Systems and methods for a cryptographic file system layer
US9246676B2 (en) * 2013-11-22 2016-01-26 Cisco Technology, Inc. Secure access for encrypted data
US9503433B2 (en) * 2014-03-27 2016-11-22 Intel Corporation Method and apparatus for cloud-assisted cryptography
US9372987B1 (en) * 2014-08-04 2016-06-21 Anonyome Labs, Inc. Apparatus and method for masking a real user controlling synthetic identities
US9733849B2 (en) 2014-11-21 2017-08-15 Security First Corp. Gateway for cloud-based secure storage
US10366227B2 (en) * 2016-11-15 2019-07-30 International Business Machines Corporation Secure debugging in a trustable computing environment
CN110226078B (zh) * 2016-12-22 2024-04-26 日产北美公司 自动车辆服务系统
CN109522726B (zh) * 2018-10-16 2024-06-25 康键信息技术(深圳)有限公司 小程序的鉴权方法、服务器及计算机可读存储介质
KR102209989B1 (ko) * 2018-11-30 2021-02-01 사단법인 금융결제원 사용자 인증에 기초한 암호 키 제공 장치 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4182933A (en) * 1969-02-14 1980-01-08 The United States Of America As Represented By The Secretary Of The Army Secure communication system with remote key setting
DE3003998A1 (de) * 1980-02-04 1981-09-24 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt System zur ver- und entschluesselung von daten
US4731840A (en) * 1985-05-06 1988-03-15 The United States Of America As Represented By The United States Department Of Energy Method for encryption and transmission of digital keying data
US5604801A (en) * 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device

Also Published As

Publication number Publication date
US6424718B1 (en) 2002-07-23
JP3605501B2 (ja) 2004-12-22
GB2318486A (en) 1998-04-22
GB2318486B (en) 2001-03-28
GB9621601D0 (en) 1996-12-04
KR19980032189A (ko) 1998-07-25
JPH10135942A (ja) 1998-05-22

Similar Documents

Publication Publication Date Title
KR100268095B1 (ko) 데이터통신시스템
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
US7069440B2 (en) Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
US5638446A (en) Method for the secure distribution of electronic files in a distributed environment
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US6732277B1 (en) Method and apparatus for dynamically accessing security credentials and related information
US7150038B1 (en) Facilitating single sign-on by using authenticated code to access a password store
EP1346548B1 (en) Secure session management and authentication for web sites
EP1714422B1 (en) Establishing a secure context for communicating messages between computer systems
KR100856674B1 (ko) 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법
US7243226B2 (en) Method and system for enabling content security in a distributed system
US6539093B1 (en) Key ring organizer for an electronic business using public key infrastructure
US7392390B2 (en) Method and system for binding kerberos-style authenticators to single clients
US8145898B2 (en) Encryption/decryption pay per use web service
JP5062870B2 (ja) 任意通信サービスのセキュリティ確保
US20050144439A1 (en) System and method of managing encryption key management system for mobile terminals
JPH1185890A (ja) 金融機関サーバ及びクライアントウェブブラウザ用セキュリティシステム及び方法
WO2002084938A2 (en) Controlled distribution of application code and content data within a computer network
MXPA04007546A (es) Metodo y sistema para proporcionar una tercera autenticacion de autorizacion.
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
US7363486B2 (en) Method and system for authentication through a communications pipe
WO2002005475A2 (en) Generation and use of digital signatures
KR100848966B1 (ko) 공개키 기반의 무선단문메시지 보안 및 인증방법
JPH08335208A (ja) 代理認証方法及びシステム
Weeks et al. CCI-Based Web security: a design using PGP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100428

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee